trolli2
Goto Top

Wie kann man UEFI blockieren?

Hallo zusammen,

das UEFI „nach Hause“ telefoniert, ist nicht neu und nicht unbedingt verwerflich. WOL ist anders wohl kaum möglich, auch kann ein Remotezugriff vor Start des eigentlichen Betriebssystems für Supportzwecke hilfreich sein.

Ich selbst, möchte das allerdings an meinem Rechner auf keinen Fall.

Mir ist nicht klar, wie der Spaß funktioniert? Hat UEFI eine IPv6 Adresse „im Bauch“ und kann so selbstständig eine Verbindung herstellen? Es wird sicherlich nicht ausreichen, den DHCP Dienst im LAN zu deaktivieren. Wie kann man diese „Telefonitis“ dauerhaft und streng verhindern? Gibt es eine Firewall, die z.B. auf einem zwischengeschalteten Raspberry UEFI blockt? Oder hat man andere Möglichkeiten? An UEFI kommt ja heute niemand mehr vorbei (zumindest nicht, wenn er einen neuen PC anschaffen möchte).

wenn jemand hier hilfreiche Tipps hat, super
Danke und Gruß

Content-ID: 53384128801

Url: https://administrator.de/forum/wie-kann-man-uefi-blockieren-53384128801.html

Ausgedruckt am: 22.12.2024 um 13:12 Uhr

VGem-e
VGem-e 13.11.2023 um 15:38:20 Uhr
Goto Top
Servus,

evtl. hilft Dir diese Freeware (auch für Windows 11 geeignet) https://www.oo-software.com/de/shutup10?

Gruß
commodity
commodity 13.11.2023 um 15:43:25 Uhr
Goto Top
Hallo,
nicht "UEFI" telefoniert nach Hause, sondern höchstens eine Software, die dort implementiert ist (und IMO als Diebstahlschutz agiert - was ja durchaus sinnvoll sein kann). Wenn Dich das stört, wechsele den Gerätehersteller oder auf Linux. Ansonsten kann auch eine Firewall das "Telefonieren" verbieten, das ist aber nicht immer ganz einfach.

Viele Grüße, commodity
trolli2
trolli2 13.11.2023 um 15:44:48 Uhr
Goto Top
danke für den Tipp,
ich nutze Linux und kein Windows, da hilft das nicht.
Blackmann
Blackmann 13.11.2023 um 15:50:58 Uhr
Goto Top
Hallo,

UEFI - telefoniert nicht nach Hause. UEFI
Intel Management Konsole verbindet im BIOS, eine mögliche Ursache.

Erst mal nachlesen...

BG BM
commodity
commodity 13.11.2023 aktualisiert um 15:57:00 Uhr
Goto Top
... da hilft das nicht.
Doch,
wie ich oben schon kurz schrieb, sollte damit das Thema erledigt sein.

Viele Grüße, commodity
TwistedAir
TwistedAir 13.11.2023 um 16:00:37 Uhr
Goto Top
Hi,

alternativ kannst du auch nach coreboot-kompatibler Hardware Ausschau halten (coreboot ersetzt UEFI).

Gruß
TA
8585324113
8585324113 13.11.2023 um 16:39:17 Uhr
Goto Top
Heute ist ein Freitag namens Montag, oder wie?
commodity
commodity 13.11.2023 um 16:41:17 Uhr
Goto Top
Heute ist ein Freitag namens Montag, der wie?
Genau das war mein erster Gedanke face-big-smile

Aber man hilft doch gern face-smile

Viele Grüße, commodity
trolli2
trolli2 13.11.2023 um 16:48:44 Uhr
Goto Top
Zitat von @commodity:

Hallo,
nicht "UEFI" telefoniert nach Hause, sondern höchstens eine Software, die dort implementiert ist (und IMO als Diebstahlschutz agiert - was ja durchaus sinnvoll sein kann). Wenn Dich das stört, wechsele den Gerätehersteller oder auf Linux. Ansonsten kann auch eine Firewall das "Telefonieren" verbieten, das ist aber nicht immer ganz einfach.

Viele Grüße, commodity

danke, wenn UEFI selber nicht telefoniert, sondern eine Software, die dort drauf sitzt, bringt mir das auch nichts. Linux setze ich sowieso ein (Windows maximal in einer VM). Wenn das Teil aber schon telefoniert, bevor das OS gestartet ist, ist das Kind schon in den Brunnen gefallen. Hardwarehersteller wechseln, ja, alle liefern nur noch mit UEFI, coreboot wird in der Praxis nicht mehr unterstützt. Alternative: meinen derzeitigen PC (8 Jahre alt) weiternutzen, er tut ja noch.
viele Grüße
trolli2
trolli2 13.11.2023 um 16:51:13 Uhr
Goto Top
Zitat von @TwistedAir:

Hi,

alternativ kannst du auch nach coreboot-kompatibler Hardware Ausschau halten (coreboot ersetzt UEFI).

Gruß
TA

danke, coreboot wird leider kaum noch unterstützt, da werde ich keinen passenden Hersteller finden.
viele Grüße
commodity
commodity 13.11.2023 aktualisiert um 17:33:14 Uhr
Goto Top
Wenn das Teil aber schon telefoniert, bevor das OS gestartet ist, ...
Wenn Du Dich weder mit der Materie befassen willst, noch den hier geäußerten Hinweisen glauben schenken magst, warum fragst Du dann eigentlich hier? An dieser Stelle wird es mir leider zu schwurbelig.

Machst Du ersteres (oder liest wenigstens den geposteten Link dazu - wo die Arbeitsweise konkret beschrieben ist), kannst Du Deine Bedenken vielleicht überwinden. Muss aber ja auch nicht sein. Ein Leben ohne PC ist möglich.

Viele Grüße, commodity
Vision2015
Vision2015 13.11.2023 um 17:53:55 Uhr
Goto Top
Moin..
Zitat von @trolli2:
danke, wenn UEFI selber nicht telefoniert, sondern eine Software, die dort drauf sitzt, bringt mir das auch nichts. Linux setze ich sowieso ein (Windows maximal in einer VM). Wenn das Teil aber schon telefoniert, bevor das OS gestartet ist, ist das Kind schon in den Brunnen gefallen.
nun, als Linux Benutzer hätte ich dich für pfiffiger gehalten!
jetzt Bügel mal deinen Aluhut, und dann nutzt du mal den Kabelhai an deinem Switch bzw. an deiner Firewall!
und schon bist du in Bilde, wer wohin Telefoniert, und welche Ports und Protokolle genutzt werden!

Frank
SeaStorm
SeaStorm 13.11.2023 um 18:02:43 Uhr
Goto Top
woher hast du diese Info denn? Höre das erste mal davon das "UEFI" irgendwie nach hause telefoniert.
Vision2015
Vision2015 13.11.2023 um 18:05:50 Uhr
Goto Top
Moin...
Zitat von @SeaStorm:

woher hast du diese Info denn? Höre das erste mal davon das "UEFI" irgendwie nach hause telefoniert.
ach, er ist jetzt erstmal einige Monate mit Wireshark Logs Lesen beschäftigt.

Frank
8585324113
8585324113 13.11.2023 um 18:09:38 Uhr
Goto Top
Zitat von @commodity:

Ein Leben ohne PC ist möglich.

Viele Grüße, commodity

Steile These.
8585324113
8585324113 13.11.2023 um 18:14:34 Uhr
Goto Top
Zitat von @SeaStorm:

woher hast du diese Info denn? Höre das erste mal davon das "UEFI" irgendwie nach hause telefoniert.

Nicht irgendwie sondern das Broadcast-WOL ;)
NordicMike
NordicMike 13.11.2023 um 18:19:36 Uhr
Goto Top
So ziemlich jede Firewall hat eine Log Funktion. Logge was von dem PC raus telefoniert und blockiere, was dir nicht gefällt.
SeaStorm
SeaStorm 13.11.2023 um 18:30:37 Uhr
Goto Top
Zitat von @8585324113:

Zitat von @SeaStorm:

woher hast du diese Info denn? Höre das erste mal davon das "UEFI" irgendwie nach hause telefoniert.

Nicht irgendwie sondern das Broadcast-WOL ;)

Das telefoniert aber weder nach hause (also ins WAN) noch kommt das vom UEFI des Clients ?
8585324113
8585324113 13.11.2023 um 18:32:36 Uhr
Goto Top
Zitat von @SeaStorm:

Zitat von @8585324113:

Zitat von @SeaStorm:

woher hast du diese Info denn? Höre das erste mal davon das "UEFI" irgendwie nach hause telefoniert.

Nicht irgendwie sondern das Broadcast-WOL ;)

Das telefoniert aber weder nach hause (also ins WAN) noch kommt das vom UEFI des Clients ?

Ich weiß es nicht. Ich bin nicht so Alternativ unterwegs, eher Nerd der alten Schule.
commodity
commodity 13.11.2023 um 19:07:47 Uhr
Goto Top
Ich glaube, er meint:
Computrace telefoniert nach Hause und das ist im UEFI integriert. Was aber nicht heißt, dass es von allein nach Hause telefoniert. Aber wer UEFI als böse ansieht, kann da seine Paranoia pflegen.

Zitat von @8585324113:
Steile These.
Na, wie das Leben "ohne Mops" eben face-wink

Viele Grüße, commodity
aqui
aqui 13.11.2023 aktualisiert um 19:21:36 Uhr
Goto Top
WOL ist anders wohl kaum möglich,
Was technischer Unsinn ist, denn WoL macht die NIC bekanntlich immer autark aus ihrem onboard ROM und hat bekanntlich nichts mit dem UEFI zu tun was die Funktion auch im Legacy Boot Umfeld ja zeigt. Fisch und Fahrrad...
UEFI hat seit 2.5 eine HTTP Boot Option die aber nirgendwo für obskure "Telefoniererei" verwendet wird was ja nun auch jeder Laie mit dem Wireshark sofort sehen würde.
Hier ist wohl die Phantasie mit dem TO etwas durchgegangen oder... er hat was Falsches geraucht. face-wink
8585324113
8585324113 13.11.2023 um 19:30:42 Uhr
Goto Top
Was geraucht...?
img_1_1698776617858
kreuzberger
kreuzberger 13.11.2023 um 19:49:05 Uhr
Goto Top
Das ist die "J. Edgar Hoover“-Geheimfunktion.

Kreuzberger
commodity
commodity 13.11.2023 um 21:15:56 Uhr
Goto Top
Klasse Plakat!

1964 erinnert mich ein bisschen an ein (fast) außerirdisches Abendessen ...

Viele Grüße, commodity
OIOOIOOIOIIOOOIIOIIOIOOO
OIOOIOOIOIIOOOIIOIIOIOOO 14.11.2023 um 10:08:56 Uhr
Goto Top
Ein Axel hat einmal gesagt: 'Er hat recht! Nur seine Gleichung in der Excel-Tabelle (Calc-Tabelle) ist nicht richtig.'

Ich bin mir sicher, dass er einfach nur drei verschiedene Themen, die einmal an einem Kneipentisch besprochen wurden, durcheinander geworfen hat.

Ich danke jedem, der versucht hat, ihn wieder auf den richtigen Weg zu bringen.

Viele Grüße

Ich
Mr-Gustav
Mr-Gustav 14.11.2023 um 12:37:28 Uhr
Goto Top
Also wäre mir definitiv neu das ein UEFI nach hause "telefoniert". Bei Wenn dem ja so wäre dann würde der PC ja auch 2 IP Adressen benötigen denn einmal fürs Bios und eine fürs Windows. Wenn ich also, ich gehe mal davon aus dass das UEFI telefoniert, den Rechner starte dann müsste sich das UEFI ja eine IP vom DHCP abholen und dann kann ich im DHCP ja sehen dass das UEFI eine IP hat.
Also bräuchte der PC einen eingebauten zwei Port Switch ( 1 x UEFI / 1 x System ) oder irre ich mich hier ?


Wako on LAN funktioniert ja nicht so ohne weiteres über das Internet. Was es gibt ist dieses Wake on HTTP.

Eventuell mein der User ja auch dieses Intel Management Kit / Engine welche in vPRO Prozessoren drin ist ?
Damit geht in der Tat mehr ABER NUR wenn man es KONFIGURIERT hat. keine Konfiguration = keine Funktion.
Hatten wir mal bei 20 Notebooks eingerichtet um diese über den SCCM besser verwalten zu können denn man sieht u.U. auch den Bootvorgang des System und kann, wenn alles passt ( IP / LAN Verbindung / Firewall / richter Viewer / Richtige Lizenzen / Richtige Konfiguration usw.... ) auch aufs BIOS aus der ferne zugreifen.
Hat auch einigermaßen gut geklappt.

Dann kam aber diverse Sicherheitslücken raus bzw. wurden bekannt und dann haben wir das ganze wieder abgedreht und fertig ist die Laube. Keine Kommunikation mehr mit unserem SCCM face-smile
haben wir mit Wireshark überprüft. Lediglich die PXE Sachen kommen kurz