26
Wie kann man UEFI blockieren?
Hallo zusammen,
das UEFI „nach Hause“ telefoniert, ist nicht neu und nicht unbedingt verwerflich. WOL ist anders wohl kaum möglich, auch kann ein Remotezugriff vor Start des eigentlichen Betriebssystems für Supportzwecke hilfreich sein.
Ich selbst, möchte das allerdings an meinem Rechner auf keinen Fall.
Mir ist nicht klar, wie der Spaß funktioniert? Hat UEFI eine IPv6 Adresse „im Bauch“ und kann so selbstständig eine Verbindung herstellen? Es wird sicherlich nicht ausreichen, den DHCP Dienst im LAN zu deaktivieren. Wie kann man diese „Telefonitis“ dauerhaft und streng verhindern? Gibt es eine Firewall, die z.B. auf einem zwischengeschalteten Raspberry UEFI blockt? Oder hat man andere Möglichkeiten? An UEFI kommt ja heute niemand mehr vorbei (zumindest nicht, wenn er einen neuen PC anschaffen möchte).
wenn jemand hier hilfreiche Tipps hat, super
Danke und Gruß
das UEFI „nach Hause“ telefoniert, ist nicht neu und nicht unbedingt verwerflich. WOL ist anders wohl kaum möglich, auch kann ein Remotezugriff vor Start des eigentlichen Betriebssystems für Supportzwecke hilfreich sein.
Ich selbst, möchte das allerdings an meinem Rechner auf keinen Fall.
Mir ist nicht klar, wie der Spaß funktioniert? Hat UEFI eine IPv6 Adresse „im Bauch“ und kann so selbstständig eine Verbindung herstellen? Es wird sicherlich nicht ausreichen, den DHCP Dienst im LAN zu deaktivieren. Wie kann man diese „Telefonitis“ dauerhaft und streng verhindern? Gibt es eine Firewall, die z.B. auf einem zwischengeschalteten Raspberry UEFI blockt? Oder hat man andere Möglichkeiten? An UEFI kommt ja heute niemand mehr vorbei (zumindest nicht, wenn er einen neuen PC anschaffen möchte).
wenn jemand hier hilfreiche Tipps hat, super
Danke und Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 53384128801
Url: https://administrator.de/contentid/53384128801
Printed on: April 27, 2024 at 15:04 o'clock
26 Comments
Latest comment
Servus,
evtl. hilft Dir diese Freeware (auch für Windows 11 geeignet) https://www.oo-software.com/de/shutup10?
Gruß
evtl. hilft Dir diese Freeware (auch für Windows 11 geeignet) https://www.oo-software.com/de/shutup10?
Gruß
Hallo,
nicht "UEFI" telefoniert nach Hause, sondern höchstens eine Software, die dort implementiert ist (und IMO als Diebstahlschutz agiert - was ja durchaus sinnvoll sein kann). Wenn Dich das stört, wechsele den Gerätehersteller oder auf Linux. Ansonsten kann auch eine Firewall das "Telefonieren" verbieten, das ist aber nicht immer ganz einfach.
Viele Grüße, commodity
nicht "UEFI" telefoniert nach Hause, sondern höchstens eine Software, die dort implementiert ist (und IMO als Diebstahlschutz agiert - was ja durchaus sinnvoll sein kann). Wenn Dich das stört, wechsele den Gerätehersteller oder auf Linux. Ansonsten kann auch eine Firewall das "Telefonieren" verbieten, das ist aber nicht immer ganz einfach.
Viele Grüße, commodity
3
danke für den Tipp,
ich nutze Linux und kein Windows, da hilft das nicht.
ich nutze Linux und kein Windows, da hilft das nicht.
Hallo,
UEFI - telefoniert nicht nach Hause. UEFI
Intel Management Konsole verbindet im BIOS, eine mögliche Ursache.
Erst mal nachlesen...
BG BM
UEFI - telefoniert nicht nach Hause. UEFI
Intel Management Konsole verbindet im BIOS, eine mögliche Ursache.
Erst mal nachlesen...
BG BM
2... da hilft das nicht.
Doch,wie ich oben schon kurz schrieb, sollte damit das Thema erledigt sein.
Viele Grüße, commodity
Hi,
alternativ kannst du auch nach coreboot-kompatibler Hardware Ausschau halten (coreboot ersetzt UEFI).
Gruß
TA
alternativ kannst du auch nach coreboot-kompatibler Hardware Ausschau halten (coreboot ersetzt UEFI).
Gruß
TA
Heute ist ein Freitag namens Montag, oder wie?
1Heute ist ein Freitag namens Montag, der wie?
Genau das war mein erster Gedanke 
Aber man hilft doch gern
Viele Grüße, commodity
Zitat von @commodity:
Hallo,
nicht "UEFI" telefoniert nach Hause, sondern höchstens eine Software, die dort implementiert ist (und IMO als Diebstahlschutz agiert - was ja durchaus sinnvoll sein kann). Wenn Dich das stört, wechsele den Gerätehersteller oder auf Linux. Ansonsten kann auch eine Firewall das "Telefonieren" verbieten, das ist aber nicht immer ganz einfach.
Viele Grüße, commodity
Hallo,
nicht "UEFI" telefoniert nach Hause, sondern höchstens eine Software, die dort implementiert ist (und IMO als Diebstahlschutz agiert - was ja durchaus sinnvoll sein kann). Wenn Dich das stört, wechsele den Gerätehersteller oder auf Linux. Ansonsten kann auch eine Firewall das "Telefonieren" verbieten, das ist aber nicht immer ganz einfach.
Viele Grüße, commodity
danke, wenn UEFI selber nicht telefoniert, sondern eine Software, die dort drauf sitzt, bringt mir das auch nichts. Linux setze ich sowieso ein (Windows maximal in einer VM). Wenn das Teil aber schon telefoniert, bevor das OS gestartet ist, ist das Kind schon in den Brunnen gefallen. Hardwarehersteller wechseln, ja, alle liefern nur noch mit UEFI, coreboot wird in der Praxis nicht mehr unterstützt. Alternative: meinen derzeitigen PC (8 Jahre alt) weiternutzen, er tut ja noch.
viele Grüße
Zitat von @TwistedAir:
Hi,
alternativ kannst du auch nach coreboot-kompatibler Hardware Ausschau halten (coreboot ersetzt UEFI).
Gruß
TA
Hi,
alternativ kannst du auch nach coreboot-kompatibler Hardware Ausschau halten (coreboot ersetzt UEFI).
Gruß
TA
danke, coreboot wird leider kaum noch unterstützt, da werde ich keinen passenden Hersteller finden.
viele Grüße
Wenn das Teil aber schon telefoniert, bevor das OS gestartet ist, ...
Wenn Du Dich weder mit der Materie befassen willst, noch den hier geäußerten Hinweisen glauben schenken magst, warum fragst Du dann eigentlich hier? An dieser Stelle wird es mir leider zu schwurbelig.Machst Du ersteres (oder liest wenigstens den geposteten Link dazu - wo die Arbeitsweise konkret beschrieben ist), kannst Du Deine Bedenken vielleicht überwinden. Muss aber ja auch nicht sein. Ein Leben ohne PC ist möglich.
Viele Grüße, commodity
Moin..
jetzt Bügel mal deinen Aluhut, und dann nutzt du mal den Kabelhai an deinem Switch bzw. an deiner Firewall!
und schon bist du in Bilde, wer wohin Telefoniert, und welche Ports und Protokolle genutzt werden!
Frank
Zitat von @trolli2:
danke, wenn UEFI selber nicht telefoniert, sondern eine Software, die dort drauf sitzt, bringt mir das auch nichts. Linux setze ich sowieso ein (Windows maximal in einer VM). Wenn das Teil aber schon telefoniert, bevor das OS gestartet ist, ist das Kind schon in den Brunnen gefallen.
nun, als Linux Benutzer hätte ich dich für pfiffiger gehalten!danke, wenn UEFI selber nicht telefoniert, sondern eine Software, die dort drauf sitzt, bringt mir das auch nichts. Linux setze ich sowieso ein (Windows maximal in einer VM). Wenn das Teil aber schon telefoniert, bevor das OS gestartet ist, ist das Kind schon in den Brunnen gefallen.
jetzt Bügel mal deinen Aluhut, und dann nutzt du mal den Kabelhai an deinem Switch bzw. an deiner Firewall!
und schon bist du in Bilde, wer wohin Telefoniert, und welche Ports und Protokolle genutzt werden!
Frank
woher hast du diese Info denn? Höre das erste mal davon das "UEFI" irgendwie nach hause telefoniert.
Moin...
Frank
Zitat von @SeaStorm:
woher hast du diese Info denn? Höre das erste mal davon das "UEFI" irgendwie nach hause telefoniert.
ach, er ist jetzt erstmal einige Monate mit Wireshark Logs Lesen beschäftigt.woher hast du diese Info denn? Höre das erste mal davon das "UEFI" irgendwie nach hause telefoniert.
Frank
1Steile These.
Zitat von @SeaStorm:
woher hast du diese Info denn? Höre das erste mal davon das "UEFI" irgendwie nach hause telefoniert.
woher hast du diese Info denn? Höre das erste mal davon das "UEFI" irgendwie nach hause telefoniert.
Nicht irgendwie sondern das Broadcast-WOL ;)
So ziemlich jede Firewall hat eine Log Funktion. Logge was von dem PC raus telefoniert und blockiere, was dir nicht gefällt.
Zitat von @8585324113:
Nicht irgendwie sondern das Broadcast-WOL ;)
Zitat von @SeaStorm:
woher hast du diese Info denn? Höre das erste mal davon das "UEFI" irgendwie nach hause telefoniert.
woher hast du diese Info denn? Höre das erste mal davon das "UEFI" irgendwie nach hause telefoniert.
Nicht irgendwie sondern das Broadcast-WOL ;)
Das telefoniert aber weder nach hause (also ins WAN) noch kommt das vom UEFI des Clients ?
Zitat von @SeaStorm:
Das telefoniert aber weder nach hause (also ins WAN) noch kommt das vom UEFI des Clients ?
Zitat von @8585324113:
Nicht irgendwie sondern das Broadcast-WOL ;)
Zitat von @SeaStorm:
woher hast du diese Info denn? Höre das erste mal davon das "UEFI" irgendwie nach hause telefoniert.
woher hast du diese Info denn? Höre das erste mal davon das "UEFI" irgendwie nach hause telefoniert.
Nicht irgendwie sondern das Broadcast-WOL ;)
Das telefoniert aber weder nach hause (also ins WAN) noch kommt das vom UEFI des Clients ?
Ich weiß es nicht. Ich bin nicht so Alternativ unterwegs, eher Nerd der alten Schule.
Ich glaube, er meint:
Computrace telefoniert nach Hause und das ist im UEFI integriert. Was aber nicht heißt, dass es von allein nach Hause telefoniert. Aber wer UEFI als böse ansieht, kann da seine Paranoia pflegen.
Viele Grüße, commodity
Computrace telefoniert nach Hause und das ist im UEFI integriert. Was aber nicht heißt, dass es von allein nach Hause telefoniert. Aber wer UEFI als böse ansieht, kann da seine Paranoia pflegen.
Zitat von @8585324113:
Steile These.
Na, wie das Leben "ohne Mops" eben Steile These.
Viele Grüße, commodity
WOL ist anders wohl kaum möglich,
Was technischer Unsinn ist, denn WoL macht die NIC bekanntlich immer autark aus ihrem onboard ROM und hat bekanntlich nichts mit dem UEFI zu tun was die Funktion auch im Legacy Boot Umfeld ja zeigt. Fisch und Fahrrad...UEFI hat seit 2.5 eine HTTP Boot Option die aber nirgendwo für obskure "Telefoniererei" verwendet wird was ja nun auch jeder Laie mit dem Wireshark sofort sehen würde.
Hier ist wohl die Phantasie mit dem TO etwas durchgegangen oder... er hat was Falsches geraucht.
Was geraucht...?
Das ist die "J. Edgar Hoover“-Geheimfunktion.
Kreuzberger
Kreuzberger
Klasse Plakat!
1964 erinnert mich ein bisschen an ein (fast) außerirdisches Abendessen ...
Viele Grüße, commodity
1964 erinnert mich ein bisschen an ein (fast) außerirdisches Abendessen ...
Viele Grüße, commodity
Ein Axel hat einmal gesagt: 'Er hat recht! Nur seine Gleichung in der Excel-Tabelle (Calc-Tabelle) ist nicht richtig.'
Ich bin mir sicher, dass er einfach nur drei verschiedene Themen, die einmal an einem Kneipentisch besprochen wurden, durcheinander geworfen hat.
Ich danke jedem, der versucht hat, ihn wieder auf den richtigen Weg zu bringen.
Viele Grüße
Ich
Ich bin mir sicher, dass er einfach nur drei verschiedene Themen, die einmal an einem Kneipentisch besprochen wurden, durcheinander geworfen hat.
Ich danke jedem, der versucht hat, ihn wieder auf den richtigen Weg zu bringen.
Viele Grüße
Ich
1
Also wäre mir definitiv neu das ein UEFI nach hause "telefoniert". Bei Wenn dem ja so wäre dann würde der PC ja auch 2 IP Adressen benötigen denn einmal fürs Bios und eine fürs Windows. Wenn ich also, ich gehe mal davon aus dass das UEFI telefoniert, den Rechner starte dann müsste sich das UEFI ja eine IP vom DHCP abholen und dann kann ich im DHCP ja sehen dass das UEFI eine IP hat.
Also bräuchte der PC einen eingebauten zwei Port Switch ( 1 x UEFI / 1 x System ) oder irre ich mich hier ?
Wako on LAN funktioniert ja nicht so ohne weiteres über das Internet. Was es gibt ist dieses Wake on HTTP.
Eventuell mein der User ja auch dieses Intel Management Kit / Engine welche in vPRO Prozessoren drin ist ?
Damit geht in der Tat mehr ABER NUR wenn man es KONFIGURIERT hat. keine Konfiguration = keine Funktion.
Hatten wir mal bei 20 Notebooks eingerichtet um diese über den SCCM besser verwalten zu können denn man sieht u.U. auch den Bootvorgang des System und kann, wenn alles passt ( IP / LAN Verbindung / Firewall / richter Viewer / Richtige Lizenzen / Richtige Konfiguration usw.... ) auch aufs BIOS aus der ferne zugreifen.
Hat auch einigermaßen gut geklappt.
Dann kam aber diverse Sicherheitslücken raus bzw. wurden bekannt und dann haben wir das ganze wieder abgedreht und fertig ist die Laube. Keine Kommunikation mehr mit unserem SCCM
haben wir mit Wireshark überprüft. Lediglich die PXE Sachen kommen kurz
Also bräuchte der PC einen eingebauten zwei Port Switch ( 1 x UEFI / 1 x System ) oder irre ich mich hier ?
Wako on LAN funktioniert ja nicht so ohne weiteres über das Internet. Was es gibt ist dieses Wake on HTTP.
Eventuell mein der User ja auch dieses Intel Management Kit / Engine welche in vPRO Prozessoren drin ist ?
Damit geht in der Tat mehr ABER NUR wenn man es KONFIGURIERT hat. keine Konfiguration = keine Funktion.
Hatten wir mal bei 20 Notebooks eingerichtet um diese über den SCCM besser verwalten zu können denn man sieht u.U. auch den Bootvorgang des System und kann, wenn alles passt ( IP / LAN Verbindung / Firewall / richter Viewer / Richtige Lizenzen / Richtige Konfiguration usw.... ) auch aufs BIOS aus der ferne zugreifen.
Hat auch einigermaßen gut geklappt.
Dann kam aber diverse Sicherheitslücken raus bzw. wurden bekannt und dann haben wir das ganze wieder abgedreht und fertig ist die Laube. Keine Kommunikation mehr mit unserem SCCM
haben wir mit Wireshark überprüft. Lediglich die PXE Sachen kommen kurz