trolli2
Goto Top

Wie kann man UEFI blockieren?

Hallo zusammen,

das UEFI „nach Hause“ telefoniert, ist nicht neu und nicht unbedingt verwerflich. WOL ist anders wohl kaum möglich, auch kann ein Remotezugriff vor Start des eigentlichen Betriebssystems für Supportzwecke hilfreich sein.

Ich selbst, möchte das allerdings an meinem Rechner auf keinen Fall.

Mir ist nicht klar, wie der Spaß funktioniert? Hat UEFI eine IPv6 Adresse „im Bauch“ und kann so selbstständig eine Verbindung herstellen? Es wird sicherlich nicht ausreichen, den DHCP Dienst im LAN zu deaktivieren. Wie kann man diese „Telefonitis“ dauerhaft und streng verhindern? Gibt es eine Firewall, die z.B. auf einem zwischengeschalteten Raspberry UEFI blockt? Oder hat man andere Möglichkeiten? An UEFI kommt ja heute niemand mehr vorbei (zumindest nicht, wenn er einen neuen PC anschaffen möchte).

wenn jemand hier hilfreiche Tipps hat, super
Danke und Gruß

Content-Key: 53384128801

Url: https://administrator.de/contentid/53384128801

Printed on: March 2, 2024 at 06:03 o'clock

Member: VGem-e
VGem-e Nov 13, 2023 at 14:38:20 (UTC)
Goto Top
Servus,

evtl. hilft Dir diese Freeware (auch für Windows 11 geeignet) https://www.oo-software.com/de/shutup10?

Gruß
Member: commodity
commodity Nov 13, 2023 at 14:43:25 (UTC)
Goto Top
Hallo,
nicht "UEFI" telefoniert nach Hause, sondern höchstens eine Software, die dort implementiert ist (und IMO als Diebstahlschutz agiert - was ja durchaus sinnvoll sein kann). Wenn Dich das stört, wechsele den Gerätehersteller oder auf Linux. Ansonsten kann auch eine Firewall das "Telefonieren" verbieten, das ist aber nicht immer ganz einfach.

Viele Grüße, commodity
Member: trolli2
trolli2 Nov 13, 2023 at 14:44:48 (UTC)
Goto Top
danke für den Tipp,
ich nutze Linux und kein Windows, da hilft das nicht.
Member: Blackmann
Blackmann Nov 13, 2023 at 14:50:58 (UTC)
Goto Top
Hallo,

UEFI - telefoniert nicht nach Hause. UEFI
Intel Management Konsole verbindet im BIOS, eine mögliche Ursache.

Erst mal nachlesen...

BG BM
Member: commodity
commodity Nov 13, 2023 updated at 14:57:00 (UTC)
Goto Top
... da hilft das nicht.
Doch,
wie ich oben schon kurz schrieb, sollte damit das Thema erledigt sein.

Viele Grüße, commodity
Member: TwistedAir
TwistedAir Nov 13, 2023 at 15:00:37 (UTC)
Goto Top
Hi,

alternativ kannst du auch nach coreboot-kompatibler Hardware Ausschau halten (coreboot ersetzt UEFI).

Gruß
TA
Mitglied: 8585324113
8585324113 Nov 13, 2023 at 15:39:17 (UTC)
Goto Top
Heute ist ein Freitag namens Montag, oder wie?
Member: commodity
commodity Nov 13, 2023 at 15:41:17 (UTC)
Goto Top
Heute ist ein Freitag namens Montag, der wie?
Genau das war mein erster Gedanke face-big-smile

Aber man hilft doch gern face-smile

Viele Grüße, commodity
Member: trolli2
trolli2 Nov 13, 2023 at 15:48:44 (UTC)
Goto Top
Zitat von @commodity:

Hallo,
nicht "UEFI" telefoniert nach Hause, sondern höchstens eine Software, die dort implementiert ist (und IMO als Diebstahlschutz agiert - was ja durchaus sinnvoll sein kann). Wenn Dich das stört, wechsele den Gerätehersteller oder auf Linux. Ansonsten kann auch eine Firewall das "Telefonieren" verbieten, das ist aber nicht immer ganz einfach.

Viele Grüße, commodity

danke, wenn UEFI selber nicht telefoniert, sondern eine Software, die dort drauf sitzt, bringt mir das auch nichts. Linux setze ich sowieso ein (Windows maximal in einer VM). Wenn das Teil aber schon telefoniert, bevor das OS gestartet ist, ist das Kind schon in den Brunnen gefallen. Hardwarehersteller wechseln, ja, alle liefern nur noch mit UEFI, coreboot wird in der Praxis nicht mehr unterstützt. Alternative: meinen derzeitigen PC (8 Jahre alt) weiternutzen, er tut ja noch.
viele Grüße
Member: trolli2
trolli2 Nov 13, 2023 at 15:51:13 (UTC)
Goto Top
Zitat von @TwistedAir:

Hi,

alternativ kannst du auch nach coreboot-kompatibler Hardware Ausschau halten (coreboot ersetzt UEFI).

Gruß
TA

danke, coreboot wird leider kaum noch unterstützt, da werde ich keinen passenden Hersteller finden.
viele Grüße
Member: commodity
commodity Nov 13, 2023 updated at 16:33:14 (UTC)
Goto Top
Wenn das Teil aber schon telefoniert, bevor das OS gestartet ist, ...
Wenn Du Dich weder mit der Materie befassen willst, noch den hier geäußerten Hinweisen glauben schenken magst, warum fragst Du dann eigentlich hier? An dieser Stelle wird es mir leider zu schwurbelig.

Machst Du ersteres (oder liest wenigstens den geposteten Link dazu - wo die Arbeitsweise konkret beschrieben ist), kannst Du Deine Bedenken vielleicht überwinden. Muss aber ja auch nicht sein. Ein Leben ohne PC ist möglich.

Viele Grüße, commodity
Member: Vision2015
Vision2015 Nov 13, 2023 at 16:53:55 (UTC)
Goto Top
Moin..
Zitat von @trolli2:
danke, wenn UEFI selber nicht telefoniert, sondern eine Software, die dort drauf sitzt, bringt mir das auch nichts. Linux setze ich sowieso ein (Windows maximal in einer VM). Wenn das Teil aber schon telefoniert, bevor das OS gestartet ist, ist das Kind schon in den Brunnen gefallen.
nun, als Linux Benutzer hätte ich dich für pfiffiger gehalten!
jetzt Bügel mal deinen Aluhut, und dann nutzt du mal den Kabelhai an deinem Switch bzw. an deiner Firewall!
und schon bist du in Bilde, wer wohin Telefoniert, und welche Ports und Protokolle genutzt werden!

Frank
Member: SeaStorm
SeaStorm Nov 13, 2023 at 17:02:43 (UTC)
Goto Top
woher hast du diese Info denn? Höre das erste mal davon das "UEFI" irgendwie nach hause telefoniert.
Member: Vision2015
Vision2015 Nov 13, 2023 at 17:05:50 (UTC)
Goto Top
Moin...
Zitat von @SeaStorm:

woher hast du diese Info denn? Höre das erste mal davon das "UEFI" irgendwie nach hause telefoniert.
ach, er ist jetzt erstmal einige Monate mit Wireshark Logs Lesen beschäftigt.

Frank
Mitglied: 8585324113
8585324113 Nov 13, 2023 at 17:09:38 (UTC)
Goto Top
Zitat von @commodity:

Ein Leben ohne PC ist möglich.

Viele Grüße, commodity

Steile These.
Mitglied: 8585324113
8585324113 Nov 13, 2023 at 17:14:34 (UTC)
Goto Top
Zitat von @SeaStorm:

woher hast du diese Info denn? Höre das erste mal davon das "UEFI" irgendwie nach hause telefoniert.

Nicht irgendwie sondern das Broadcast-WOL ;)
Member: NordicMike
NordicMike Nov 13, 2023 at 17:19:36 (UTC)
Goto Top
So ziemlich jede Firewall hat eine Log Funktion. Logge was von dem PC raus telefoniert und blockiere, was dir nicht gefällt.
Member: SeaStorm
SeaStorm Nov 13, 2023 at 17:30:37 (UTC)
Goto Top
Zitat von @8585324113:

Zitat von @SeaStorm:

woher hast du diese Info denn? Höre das erste mal davon das "UEFI" irgendwie nach hause telefoniert.

Nicht irgendwie sondern das Broadcast-WOL ;)

Das telefoniert aber weder nach hause (also ins WAN) noch kommt das vom UEFI des Clients ?
Mitglied: 8585324113
8585324113 Nov 13, 2023 at 17:32:36 (UTC)
Goto Top
Zitat von @SeaStorm:

Zitat von @8585324113:

Zitat von @SeaStorm:

woher hast du diese Info denn? Höre das erste mal davon das "UEFI" irgendwie nach hause telefoniert.

Nicht irgendwie sondern das Broadcast-WOL ;)

Das telefoniert aber weder nach hause (also ins WAN) noch kommt das vom UEFI des Clients ?

Ich weiß es nicht. Ich bin nicht so Alternativ unterwegs, eher Nerd der alten Schule.
Member: commodity
commodity Nov 13, 2023 at 18:07:47 (UTC)
Goto Top
Ich glaube, er meint:
Computrace telefoniert nach Hause und das ist im UEFI integriert. Was aber nicht heißt, dass es von allein nach Hause telefoniert. Aber wer UEFI als böse ansieht, kann da seine Paranoia pflegen.

Zitat von @8585324113:
Steile These.
Na, wie das Leben "ohne Mops" eben face-wink

Viele Grüße, commodity
Member: aqui
aqui Nov 13, 2023 updated at 18:21:36 (UTC)
Goto Top
WOL ist anders wohl kaum möglich,
Was technischer Unsinn ist, denn WoL macht die NIC bekanntlich immer autark aus ihrem onboard ROM und hat bekanntlich nichts mit dem UEFI zu tun was die Funktion auch im Legacy Boot Umfeld ja zeigt. Fisch und Fahrrad...
UEFI hat seit 2.5 eine HTTP Boot Option die aber nirgendwo für obskure "Telefoniererei" verwendet wird was ja nun auch jeder Laie mit dem Wireshark sofort sehen würde.
Hier ist wohl die Phantasie mit dem TO etwas durchgegangen oder... er hat was Falsches geraucht. face-wink
Mitglied: 8585324113
8585324113 Nov 13, 2023 at 18:30:42 (UTC)
Goto Top
Was geraucht...?
img_1_1698776617858
Member: kreuzberger
kreuzberger Nov 13, 2023 at 18:49:05 (UTC)
Goto Top
Das ist die "J. Edgar Hoover“-Geheimfunktion.

Kreuzberger
Member: commodity
commodity Nov 13, 2023 at 20:15:56 (UTC)
Goto Top
Klasse Plakat!

1964 erinnert mich ein bisschen an ein (fast) außerirdisches Abendessen ...

Viele Grüße, commodity
Member: OIOOIOOIOIIOOOIIOIIOIOOO
OIOOIOOIOIIOOOIIOIIOIOOO Nov 14, 2023 at 09:08:56 (UTC)
Goto Top
Ein Axel hat einmal gesagt: 'Er hat recht! Nur seine Gleichung in der Excel-Tabelle (Calc-Tabelle) ist nicht richtig.'

Ich bin mir sicher, dass er einfach nur drei verschiedene Themen, die einmal an einem Kneipentisch besprochen wurden, durcheinander geworfen hat.

Ich danke jedem, der versucht hat, ihn wieder auf den richtigen Weg zu bringen.

Viele Grüße

Ich
Member: Mr-Gustav
Mr-Gustav Nov 14, 2023 at 11:37:28 (UTC)
Goto Top
Also wäre mir definitiv neu das ein UEFI nach hause "telefoniert". Bei Wenn dem ja so wäre dann würde der PC ja auch 2 IP Adressen benötigen denn einmal fürs Bios und eine fürs Windows. Wenn ich also, ich gehe mal davon aus dass das UEFI telefoniert, den Rechner starte dann müsste sich das UEFI ja eine IP vom DHCP abholen und dann kann ich im DHCP ja sehen dass das UEFI eine IP hat.
Also bräuchte der PC einen eingebauten zwei Port Switch ( 1 x UEFI / 1 x System ) oder irre ich mich hier ?


Wako on LAN funktioniert ja nicht so ohne weiteres über das Internet. Was es gibt ist dieses Wake on HTTP.

Eventuell mein der User ja auch dieses Intel Management Kit / Engine welche in vPRO Prozessoren drin ist ?
Damit geht in der Tat mehr ABER NUR wenn man es KONFIGURIERT hat. keine Konfiguration = keine Funktion.
Hatten wir mal bei 20 Notebooks eingerichtet um diese über den SCCM besser verwalten zu können denn man sieht u.U. auch den Bootvorgang des System und kann, wenn alles passt ( IP / LAN Verbindung / Firewall / richter Viewer / Richtige Lizenzen / Richtige Konfiguration usw.... ) auch aufs BIOS aus der ferne zugreifen.
Hat auch einigermaßen gut geklappt.

Dann kam aber diverse Sicherheitslücken raus bzw. wurden bekannt und dann haben wir das ganze wieder abgedreht und fertig ist die Laube. Keine Kommunikation mehr mit unserem SCCM face-smile
haben wir mit Wireshark überprüft. Lediglich die PXE Sachen kommen kurz