Bitte mitmachen: Verfügt euer Notebook über Intel Boot Guard?

[PerAstraAdDeum]

Hallo!

wie ihr vielleicht wisst ist die Möglichkeit, das BIOS zu modifizieren oder gleich eine quelloffene Firmware wie beispielsweise coreboot zu flashen hauptsächlich davon abhängig, ob Intel Boot Guard vom Hersteller aktiviert wurde oder nicht.

Ihr könnt der coreboot-Community einen großen Dienst erweisen wenn ihr mal auf eurem System nachschaut, ob dort Intel Boot Guard aktiviert ist. Die ganze Prozedur dauert in der Regel nur ein bis zwei Minuten und setzt auch keine besonderen Kenntnisse voraus. Ein Linux-System ist aber notwendig.

Hier der Link zum How-To: Boot Guard Status Github

Es würde mich sehr freuen wenn wir hier ein paar Ergebnisse zusammentragen könnten!

 

[H3llF15H]

Ihr könnt der coreboot-Community einen großen Dienst erweisen wenn ihr mal auf eurem System nachschaut, ob dort Intel Boot Guard aktiviert ist.

Was gewinnt ihr mit der Erkenntnis?

 

[PerAstraAdDeum]

Aktuell besteht eine gewisse Unsicherheit hinsichtlich der Frage, welche Laptops nach Haswell (4. Generation Intel) mit Intel Boot Guard ausgeliefert wurden. Aktuell wird überprüft, ob Intel Boot Guard zumindest in den Generation 5 (Broadwell) bis 9 (Ice Lake, Amber Lake) nur dort präsent ist, wo der Prozessor Intel vPro unterstützt.

Das würde bedeuten, daß coreboot prinzipiell auch auf "moderneren" ThinkPad, Latitudes, Elitebooks etc. installiert werden kann.

 

[<NeoN>]

Nö, hab AMD.

 

[pseudopseudonym]

welche Laptops nach Haswell

Also ist mein W530 schon mal uninteressant, gut zu wissen. Könnte irgendwann mal mein T480 ausgraben. Mein aktuelles Thinkpad hat (hier leider) AMD.

 

[|Moppel|]

T480s

inxi -Fz
System:
  Kernel: 6.4.12-arch1-1 arch: x86_64 bits: 64 Desktop: KDE Plasma v: 5.27.7
    Distro: EndeavourOS
Machine:
  Type: Laptop System: LENOVO product: 20L8S9GC00 v: ThinkPad T480s
    serial: <superuser required>
  Mobo: LENOVO model: 20L8S9GC00 v: SDK0J40697 WIN
    serial: <superuser required> UEFI: LENOVO v: N22ET75W (1.52 )
    date: 09/28/2022
Battery:
  ID-1: BAT0 charge: 51.0 Wh (100.0%) condition: 51.0/57.0 Wh (89.5%)
CPU:
  Info: quad core model: Intel Core i5-8350U bits: 64 type: MT MCP cache:
    L2: 1024 KiB

sudo ./intelmetool -b
Bad news, you have a `Sunrise Point LPC/eSPI Controller` so you have ME hardware on board and you can't control or disable it, continuing...

MEI found: [8086:9d3a] Sunrise Point-LP CSME HECI #1

ME Status   : 0x94000245
ME Status 2 : 0x89118306

ME: FW Partition Table      : OK
ME: Bringup Loader Failure  : NO
ME: Firmware Init Complete  : YES
ME: Manufacturing Mode      : NO
ME: Boot Options Present    : NO
ME: Update In Progress      : NO
ME: Current Working State   : Normal
ME: Current Operation State : M0 with UMA
ME: Current Operation Mode  : Normal
ME: Error Code              : No Error
ME: Progress Phase          : Clean Moff->Mx wake
ME: Power Management Event  : Non-power cycle reset
ME: Progress Phase State    : Unknown 0x11

ME: Extend Register not valid

Error mapping physical memory 0x0000003694473216 [0x2000] ERRNO=1 Operation not permitted
Could not map ME setup memory.
Do you have kernel cmdline argument 'iomem=relaxed' set ?
Bad news, you have a `Sunrise Point LPC/eSPI Controller` so you have ME hardware on board and you can't control or disable it, continuing...

Boot Guard MSR Output : 0x300000051
Measured boot        : OFF
Verified boot        : ON
FACB in FPFs         : ON
Module revoked       : OFF
NEM enabled          : ON
Verified boot is enabled and ACM has enabled Cache-As-RAM.
You can't flash other firmware!

 

[PerAstraAdDeum]

Also ist mein W530 schon mal uninteressant, gut zu wissen. Könnte irgendwann mal mein T480 ausgraben. Mein aktuelles Thinkpad hat (hier leider) AMD.

Das T480 wäre natürlich ein besonders heißer Kandidat. Weißt Du ad-hoc, welche CPU da verbaut ist? Der i7-8650U kommt laut Intel Ark mit vPro. Das nächst-niedrigertaktende Modell angeblich nicht.

T480s

Vielen Dank für Dein Ergebnis! Der i5-5350U verfügt ebenfalls über vPro. Könntest Du noch noch

sudo dmesg

laufen lassen und mir beide Ergebnisse schicken? Würde das Ergebnis dann mit Deiner Erlaubnis in die Liste auf Github einpflegen.

 

[pseudopseudonym]

Das T480 wäre natürlich ein besonders heißer Kandidat. Weißt Du ad-hoc, welche CPU da verbaut ist? Der i7-8650U kommt laut Intel Ark mit vPro.

Ich GLAUBE, da ist ne vPro-CPU drin. Komme da aber erst in 1-2 Wochen wieder dran.

 

[|Moppel|]

sudo dmesg

Die Ausgabe sprengt das Terminal. So gewünscht?

 

[PerAstraAdDeum]

Du kannst auch

sudo dmesg > output_dmesg.txt

benutzen, dann wird die Ausgabe direkt in eine Text-Datei geschrieben!

 

[|Moppel|]

Jo hab ich gemacht, ich meinte mehr ob du wirklich alles brauchst.

Bittesehr.

Pflege die Sachen gerne ein.

@PerAstraAdDeum Jo also hier ist jetzt alles drin.

 

[PerAstraAdDeum]

Je vollständiger, desto besser. Für die Übersicht wichtig wären aber vor allem die Infos über BIOS und CPU.

sudo dmesg | grep -i -E 'BIOS | CPU'

 

[IlluminatusUnus]

Warum sollte ich mein UEFI modifizieren? So eine Frickelei unterstütze ich nicht, zumal die Prüfung durch das benötigte Linux doch eher aufwendig ist.

Schreib doch 'n kurzes Skript oder Tool für Windows. Da wäre ich eher bereit das mal kurz auszuführen.

 

[|Moppel|]

Warum sollte ich mein UEFI modifizieren?

Interessiert es dich wirklich?

"warum coreboot" bei google geht doch schneller als diesen Beitrag zu schreiben.

 

[Ltcrusher]

Ich weiß nicht so wirklich, was ich von so etwas halten soll.

Klar verstehe ich den Ansatz, aber für mich stellt sich dann immer die Frage, wie und ob das dann in der Hülle und Fülle von technischen Geräten / Ausstattungen harmoniert.

Bei älteren Geräten, wo ggf. kein Windows 10 gut drauf läuft und / oder bei Geräten, die Windows 11 nicht unterstützen, kann man das machen.

Es gibt aber leider auch "Spezialisten", die machen so etwas und wundern sich dann, warum ein Hersteller ggf. den Garantieablauf verweigert.

Das man um bei einer Art Datenerhebung "mitmachen" zu können schon ein Linux verwenden muss, schließt mich direkt aus.

 

[PerAstraAdDeum]

Jo hab ich gemacht, ich meinte mehr ob du wirklich alles brauchst.

Bittesehr.

Pflege die Sachen gerne ein.

@PerAstraAdDeum Jo also hier ist jetzt alles drin.

Entschuldige, ich hatte gar nicht gesehen daß Du den Beitrag editiert hast. Bin trotz der Verlinkung meines Nutzernamens nicht benachrichtigt worden. Aber sei's drum, habe das Dokument heruntergeladen. Vielen Dank für Deine Mitarbeit!

Falls Du noch Zeit/Lust hast: in Deinem ersten Post ist im Codeblock in Zeile 27 die Frage zu lesen, ob "iomem=relaxed" als Kernel-Parameter gesetzt wurde. Das muss nichts heißen und kann auch ein Fehler sein. Für die definitive Validität wäre es wünschenswert, wenn Du im Terminal einmal den Befehl

more /proc/cmdline

Gefolgt von

sudo ./intelmetool -b

ausführen könntest, damit ersichtlich ist, daß der Kernel-Parameter korrekt gesetzt wurde.

Das ist ein Versäumnis unsererseits, daß diese Eventualität nicht berücksichtigt ist. Ich werde das gerne in die Anleitung mitaufnehmen.

 

[|Moppel|]

Ich hatte den parameter für einen boot gesetzt. Ich mache es wieder und teste.

Edit: Offenbar hatte er den kernel parameter beim ersten mal nicht geschluckt.

more /proc/cmdline
initrd=\da4a8177245a4f0399a0404b20d9fec6\6.4.12-arch1-1\initrd nvme_load=YES nowatchdog rw rootflags=subvol=/@ rd.lu
ks.uuid=944491ec-69ca-4ffb-82cd-f0d9601ba2fb root=/dev/mapper/luks-944491ec-69ca-4ffb-82cd-f0d9601ba2fb mitigations=
off systemd.machine_id=da4a8177245a4f0399a0404b20d9fec6 iomem=relaxed

sudo ./intelmetool -b
Bad news, you have a `Sunrise Point LPC/eSPI Controller` so you have ME hardware on board and you can't control or disable it, continuing...

MEI found: [8086:9d3a] Sunrise Point-LP CSME HECI #1

ME Status   : 0xa4000245
ME Status 2 : 0x89218506

ME: FW Partition Table      : OK
ME: Bringup Loader Failure  : NO
ME: Firmware Init Complete  : YES
ME: Manufacturing Mode      : NO
ME: Boot Options Present    : NO
ME: Update In Progress      : NO
ME: Current Working State   : Normal
ME: Current Operation State : M0 with UMA
ME: Current Operation Mode  : Normal
ME: Error Code              : No Error
ME: Progress Phase          : Clean Moff->Mx wake
ME: Power Management Event  : Non-power cycle reset
ME: Progress Phase State    : Unknown 0x21

ME: Extend Register not valid

ME: timeout waiting for data: expected 8, available 0
ME: GET FW VERSION message failed
Bad news, you have a `Sunrise Point LPC/eSPI Controller` so you have ME hardware on board and you can't control or disable it, continuing...

Boot Guard MSR Output : 0x300000051
Measured boot        : OFF
Verified boot        : ON
FACB in FPFs         : ON
Module revoked       : OFF
NEM enabled          : ON
Verified boot is enabled and ACM has enabled Cache-As-RAM.
You can't flash other firmware!

 

[PerAstraAdDeum]

Prima, ist übernommen. Abermals vielen Dank für Deine Mühen!