Veamos todo esto.
Pero básicamente están hablando de las vulnerabilidades de la tecnología vPro, específicamente el error de AMT (lo siento, no puedo enlazar más aquí, busque CVE-2017-5689), donde muchas personas se han asustado al desactivar el AMT. sistema debido al error masivo que se ha descubierto a principios de este año
Es probable que no tenga AMT, ya que generalmente solo está disponible en los chips de arquitectura Xeon, pero ha habido informes de que también podría ser explotable en algunas arquitecturas de escritorio. Es posible deshabilitarlo, consulte esta secuencia en los foros de Intel para más detalles. Si su sistema no ofrece esta opción en UEFI / BIOS, necesitará una personalizada (ver más adelante en esta respuesta) o deberá limpiar su firmware IME para eliminar la funcionalidad por completo (también se explica más adelante) .
Tecnología antirrobo, que básicamente puede bloquear su computadora, incluso a través del acceso remoto (gran vulnerabilidad de seguridad)
Tipo de. Necesitas registrar tu dispositivo con un proveedor (por ejemplo, Intel, McAffee o los administradores de tu organización) para que funcione. En este punto, el proveedor puede bloquear el BIOS de forma remota si informa que fue robado. El hilo enlazado anteriormente también explica cómo desactivar esto, pero el conmutador habilitar / deshabilitar se encuentra fácilmente en la mayoría de los menús de UEFI / BIOS.
Ejecutar Disable Bit, no estoy seguro de lo que hace esto, pero suena un poco invasivo
¡No te asustes por cosas que no entiendes! Ser curioso. Execute Disable Bit es una característica de seguridad muy importante, es la característica de hardware que subyace a No-Execute (NX), también conocida como Prevención de Ejecución de Datos (DEP) en Windows.
La tecnología de protección de identidad, suena como una gran invasión de privacidad
No. IPT está diseñado para su uso en entornos empresariales donde desea integración 2FA o PKI con soporte de hardware. No hace nada a menos que lo configures y lo inscribas.
Intel VT-x, que crea un subsistema que tiene privilegios completos, pero supuestamente no tiene acceso al sistema principal
No sé dónde has leído esto, pero es una tontería. VT-x es soporte de virtualización de hardware. Incluye instrucciones especiales que ayudan a acelerar el proceso de virtualización de un sistema operativo secundario (una VM) en su sistema host. Software como Hyper-V, VMWare y VirtualBox usan estas extensiones para mejorar el rendimiento y la seguridad.
Deshabilitar IME es probablemente una buena idea en general si valora la apertura de su pila de hardware. Desafortunadamente no puedes deshabilitarlo completamente en este momento. Sin embargo, existen esfuerzos para ayudarlo a reducir en gran medida la cantidad de código que se ejecuta bajo ME. La herramienta me_cleaner
le permite eliminar la mayoría de las secciones del firmware del motor de administración sin desencadenar un error de validación de firma o un apagado de 30 minutos minutero. Un nuevo truco lanzado recientemente (en realidad, solo unos días antes de escribir esto) le permite deshabilitar ME muy pronto y eliminar aún más código, usando una función no documentada llamada HAP . Los desarrolladores de me_cleaner están en proceso de implementar el soporte para esto. Tenga en cuenta que estos dos trucos generalmente requieren una modificación de hardware (reprogramación de la EEPROM IC de 8 pines que contiene el firmware) y no están totalmente soportados; puede bloquear su hardware, aunque siempre puede restaurar el firmware original utilizando un programador de EEPROM.
También puede buscar en coreboot y libreboot si desea reemplazar su UEFI / BIOS con una opción de código abierto. Desafortunadamente, estos proyectos generalmente se limitan a una pequeña cantidad de computadoras portátiles y motherboards antiguas.