Manchmal kann es sinnvoll sein, einen neuen Treiber zu verteilen oder ein Bios Update durchzuführen, weil dadurch ein Problem gelöst wird oder eine Funktion nachgerüstet wird. Dasselbe trifft auch für die Intel ME (Management Engine) von Intel zu. Zum einen sind gerade in den letzten Tagen erneute Meldungen über Sicherheitslücken aufgetreten. Und zum anderen funktionierte bei mir das komfortable Intel AMT nicht mehr. Bei einigen Computer wird mein Passwort nicht mehr angenommen bis man ein Update durchgeführt hat.

Die oben erwähnten Sicherheitslücken sind ab Firmwareversionen ab 11.8.x behoben. Lenovo hat gerade heute ein “Corporate Intel Managemet Engine Firmware Update Tool” veröffentlicht.

Nach einem Update trägt die ME Firmware die Version 11.8.50.3425.

Das Update lässt sich automatisch verteilen, sollte aber zu einem Zeitpunkt stattfinden, an dem der Computer nicht gebraucht wird, also z.B. während einem nächtlichen Wartungsfenster oder in der Nacht über WOL.

Zuerst lädt man das Tool von der Lenovo Homepage herunter. Wenn man es ausführt, wird es zuerst unter c:\drivers\Versionsnummer extrahiert. Danach kann man die Installation abbrechen. Die extrahierten Dateien kopiert man auf den SCCM Server und erstellt ein neues Paket ohne Programm damit.

Als nächstes erstellt man eine neue benutzerdefinierte Tasksequenz.

Der erste Schritt der Tasksequenz ist vom Typ “Befehlszeile ausführen”. Die Befehlszeile lautet: “cmd.exe /c UpdateMEFW.bat“.

Der zweite Schritt ist eine normaler Neustart.

Nun kann man die Tasksequenz bereitstellen. Wenn man “Aktivierungspakete senden” auswählt, werden die Computer über WOL (Wake on Lan) aufgeweckt.

Wenn man nun die Installation am Abend auslöst und die Bereitstellung am Morgen ablaufen lässt, sollte sichergestellt sein, dass kein Benutzer der Installation in die Quere kommt.