In een vorig artikel las je over Intel ATM en de bijbehorende Management Engine, die er beide voor zorgen dat Intel je pc in een houdgreep vast heeft. Is de Intel Management Engine uitschakelen een optie, of is het niet zo eenvoudig?

Lees eerst: Intel AMT: Waarom je nooit helemaal de baas bent over je pc

Wat zijn nu je mogelijkheden als je beslist dat je de controle over je pc niet aan een obscure processor wilt geven? Terwijl je in de eerste versies de Management Engine nog kon uitschakelen door enkele waardes in het SPI-flashgeheugen in te stellen en daarna de firmware uit het flashgeheugen te verwijderen, is dat sinds de Core i3/i5/i7-processoren uit 2009 niet meer mogelijk.

De Management Engine zorgt voor een deel van de hardware-initialisatie. Als het opstartprogramma van de Management Engine geen firmwaremanifest met geldige ondertekening door Intel vindt, schakelt de pc zichzelf na 30 minuten uit.

Het is onmogelijk om de Management Engine te vervangen, bijvoorbeeld door een vrijer alternatief waarvan je de broncode kunt inkijken. Alleen Intel is in staat om de firmware te vervangen, omdat het opstartprogramma alleen firmware accepteert die door Intel ondertekend is.

Neutralize this

Ben je dan gedoemd om een pc met de Management Engine te gebruiken? In veel gevallen helaas wel. Op moderne Intel-machines is het zelden mogelijk om de Management Engine te verwijderen. Een andere aanpak is om de Management Engine te ‘neutraliseren’. Zie hiervoor http://tiny.cc/neutr.

Je laat dan een minimaal deel van de Management Engine intact, zodat je pc na 30 minuten nog blijft werken, maar verwijdert alle dubieuze functies uit de firmware.

Dat neutraliseren is mogelijk door de modulaire opbouw van de Management Engine: elke module is in een afzonderlijk deel van het SPI-flashgeheugen opgeslagen en wordt afzonderlijk geverifieerd door de opstartcode. Je kunt dus voorkomen dat individuele modules worden geladen.

Vorig jaar is er heel wat vooruitgang gemaakt op dit gebied. Trammell Hudson ontdekte toen dat zijn Lenovo ThinkPad X230 functioneel bleef als hij alle modules van de Management Engine verwijderde en alleen de partitie met de ThreadX-kernel overhield. Nicola Corna en Federico Amedeo Izzo bouwden daarop verder en ontwikkelden het script me_cleaner dat dit op elke Sandy Bridge-pc automatiseerde.

Hiermee verwijder je dus de dubieuze modules zoals de netwerkstack, de DRM-module en veel meer. Het overblijvende deel van de firmware neemt dan nog maar 80 kbyte in. Je hebt wel een externe flash programmer nodig, omdat het geheugen niet door de processor van je pc te benaderen is.

Pc zonder Management Engine

De Management Engine volledig verwijderen lijkt dus niet mogelijk te zijn, maar neutraliseren zodat ze relatief onschuldig wordt, kan wel. Alleen vereist het wat handigheid en loop je het risico dat je je pc ‘brickt’. Gelukkig zijn er enkele producenten die computers aanbieden waarvan de Management Engine is geneutraliseerd.

Zo verkoopt het Britse bedrijf Minifree vanaf het einde van dit jaar de Libreboot X220, een vrijgemaakte versie van de Lenovo Thinkpad X220. De ontwikkeling is nog bezig, maar als je nu een pre-order doet, betaal je mee aan de ontwikkeling daarvan.

De Libreboot X220 vervangt het propriëtaire BIOS door de opensourcefirmware Libreboot. De oprichter van Minifree is ook de oprichter en hoofdontwikkelaar van Libreboot, en de winst van je aankopen bij Minifree gaat integraal naar het Libreboot-project. Minifree levert zijn Libreboot X220 met Debian Jessie en de desktopomgeving MATE, maar je kunt er elke Linux-distributie op draaien.

Volgens de productbeschrijving is Minifree aan het proberen om de Management Engine volledig uit te schakelen zonder hardwaremodificaties. Als dat niet lukt, krijgen kopers een Libreboot X220 met geneutraliseerde Management Engine.

Ook het Amerikaanse bedrijf Purism heeft een aantal laptops voor wie graag meer controle over zijn pc wil. De Librem 11 is een 2-in-1 laptop en tablet met verwijderbaar toetsenbord, aanraakscherm en stylus. De Librem 13 is een ultraportable en de Librem 15 is een laptop met 15,6 inch scherm.

Ook Purism biedt zijn laptops net zoals Minifree momenteel aan met geneutraliseerde Management Engine. Bovendien kiest het voor Intel-processoren zonder vPro (en dus zonder Active Management Technology), de consumentenversie van de Management Engine en geen netwerkchips van Intel. Door deze keuzes vermijdt Purism de grootste risico’s.

En ook Purism streeft er nog altijd naar om uiteindelijk het kleine overblijvende stukje van de Management Engine te verwijderen. De ontwikkelaars zijn dit deel aan het reverse-engineeren en dringen er ook bij Intel op aan om een ontwerp zonder Management Engine mogelijk te maken.

Wat kun je nog meer doen?

Purism doet nog meer in zijn computers om te voorkomen dat je eigen pc je bespioneert. Zo hebben de Librem-computers hardwarematige kill-switches. De laptops bevatten schakelaars die de verbinding tussen het moederbord en de camera, microfoon, wifi en bluetooth fysiek verbreken.

Als je een van deze onderdelen van je laptop niet nodig hebt, kun je ze dus eenvoudig uitschakelen met de garantie dat een of andere malware je niet stiekem bespioneert. In alle andere laptops die op de markt zijn, zijn deze schakelaars ofwel in software geïmplementeerd, ofwel via een controller, die te programmeren en dus uit te buiten is.

Purism heeft ook bij de keuze van zijn chips voor de camera, audio, graphics, usb, wifi enzovoort belang gehecht aan openheid en vrijheid. Samen met de hardwareproducenten en de vrije-software-community heeft het voor hardware gekozen die je privacy respecteert en veiligheid hoog in het vaandel heeft. Ook zet Purism op zijn laptops PureOS, een van Debian afgeleide Linux-distributie die de nadruk legt op privacy, beveiliging en vrijheid.

Trusted Platform Module

De Intel Management Engine is zoals gezegd niet de enige component die heimelijk controle over je pc heeft. Een ander oud zeer bij kritische computergebruikers is de Trusted Platform Module (TPM). Dat is een cryptoprocessor die encryptiesleutels bevat en gegevens kan versleutelen. Onder andere Microsofts BitLocker Drive Encryption zet de TPM in om de sleutels te beschermen waarmee het de schijf versleutelt.

Elke TPM-chip bevat een zogenoemde endorsement key, een 2048-bits RSA-sleutelpaar. Die is fundamenteel voor de veiligheid van de chip. Het sleutelpaar wordt door de fabrikant bij de productie van de chip willekeurig gegenereerd en in de chip gestoken, en de privésleutel van het paar verlaat op geen enkel moment de chip. Met de bijbehorende publieke sleutel kan de computer gevoelige gegevens naar de chip versturen met de garantie dat die alleen voor de chip leesbaar zijn, of door de chip ondertekende gegevens verifiëren en zo zeker weten dat die gegevens uit de TPM-chip komen.

Of niet? Bij de productie van de chip moet de fabrikant die geheime sleutel weten om ze in de chip te kunnen bakken. Wat houdt de fabrikant tegen om alle endorsement keys van zijn TPM-chips bij te houden? Of aan een overheidsinstelling door te spelen? Weet jij wie de TPM-chip in je pc produceert en uit welk land de producent komt?

Maar het gaat nog veel verder. Bijna alle hardware heeft voor zijn werking firmware nodig, waarvan de broncode niet beschikbaar is. We spraken al over het BIOS/UEFI, dat in de praktijk moeilijk te vervangen is. Projecten die alternatieve firmware ontwikkelen zijn onder andere coreboot en Libreboot, maar door de beperkingen die de Intel Management Engine oplegt zijn ze amper ondersteund op moderne pc’s.

Ook de gpu (graphical processing unit) heeft eigen firmware, net zoals harde schijven en ssd’s, de ethernetcontroller, de geluidskaart, webcam enzovoort. Voor bijna geen van deze apparaten is er opensource firmware beschikbaar, zodat je niet weet wat er allemaal achter je rug gebeurt.

En wie zegt dat Intel in de circuits van zijn processoren geen backdoor heeft ingebouwd, die onmogelijk te verwijderen is omdat het om hardware gaat? We hebben geen toegang tot de blauwdrukken van Intels chips. Uiteindelijk moet je dus toch op de hardware vertrouwen...

De aankomende nieuwe Xbox-machine van Microsoft geeft wat Epic Games betreft vanaf de dag van release meteen toegang tot de digitale pc-winkel Epic Games Store.

Dat meldde Epic Games Store-hoofd Steve Allison aan Game File. Daarmee lijkt hij zo goed als te bevestigen dat de Epic Games Store toegankelijk wordt op de aankomende nieuwe Xbox, die volgens eerdere berichten meer richting een pc neigt in een consolejasje.

"We zijn zeker van plan om op de nieuwe Xbox-hardware aanwezig te zijn, aangezien ze ons vertellen dat ze dat verwelkomen - tenzij hun beleid gaat veranderen. We gaan er vanaf dag één bij zijn."

De nieuwe Xbox is in feite een pc

Microsoft bevestigde eerder al dat de volgende Xbox veel eigenschappen zal delen met pc's. Zo zouden er meerdere gamewinkels op beschikbaar komen naast de Xbox Store zelf - net zoals de vorig jaar uitgekomen ROG Xbox Ally dus. Daarmee is ook de hoop ontstaan dat er op het apparaat pc-winkels van andere partijen, zoals Steam en de Epic Games Store, beschikbaar komen. Uit bovenstaande quote blijkt dus dat Epic Games dat in ieder geval wel ziet zitten.

Naast digitale winkels van derde partijen is het aannemelijk dat ook de Xbox Store zelf aanwezig is op het apparaat. Het zou de keuze via welke winkel games gekocht worden dus bij de consument zelf leggen. Voor zover bekend is Microsoft ook bezig met een manier om Xbox Series- en Xbox One-games speelbaar te krijgen op de nieuwe Xbox via backward compatibility.

Begin dit jaar kwamen er geruchten naar buiten dat de nieuwe Xbox-interface zou draaien op de Full Screen Experience van de Xbox pc-app, dat onderdeel uitmaakt van Windows. De volgende Xbox zou volgens geruchten draaien op de AMD Magnus APU, die CPU en GPU in één chip combineert.

Eerder deze week hintte AMD al naar de mogelijkheid dat de nieuwe Xbox in 2027 uitkomt. Officieel heeft Microsoft op moment van schrijven de nieuwe machine nog niet onthuld, en er is dus ook geen releasedatum bekend.

Windows is een veelzijdig besturingssysteem, maar compact en gestroomlijnd kun je het niet noemen. Bovendien lijkt elke nieuwe versie er weer extra functies en onderdelen bij te krijgen. Kan het niet wat compacter? Met de juiste hulpmiddelen draai je hier je hand niet voor om: alles voor een lichtgewicht Windows 11.

Aan de slag met Tiny 11

Tiny11 bestaat uit een set hulpmiddelen waarmee je Windows 11 op dieet zet en zorgt voor een lichtgewicht versie van het besturingssysteem. Het werkt grotendeels met scripts die specifieke onderdelen uit de software verwijderen. Resultaat is een compacte versie van Windows die je op de computer kunt installeren. Tiny11 is beschikbaar in twee varianten. De eerste – Tiny11 Maker – is de standaardversie die Windows flink afslankt, maar waarbij je de mogelijkheid houdt om gangbare functies alsnog toe te voegen. Denk aan talen, updates en Windows-onderdelen die je wél graag gebruikt. De tweede variant – Tiny11 Core Maker – pakt het rigoureuzer aan: deze versie stript Windows tot een minimum. Je kunt de eerdergenoemde functies niet meer toevoegen. Volgens de makers leent zo'n ultraslanke Windows-versie zich voor testdoeleinden en is de versie bijvoorbeeld ideaal om in een virtuele machine te gebruiken. Voor dagelijks gebruik is zo'n Windows-versie niet bruikbaar.

Het voorwerk

Om te beginnen, zorg je voor de meest recente versie van Windows 11. Op het moment van schrijven is dat Windows 11 25H2. Je haalt deze versie binnen via https://www.microsoft.com/nl-nl/software-download/windows11. Kies voor het iso-bestand. Die vind je onder Download Windows 11-schijfkopiebestand (ISO) voor x64-apparaten. In het menu selecteer je Windows 11 (multi-versie ISO-bestand voor x64-apparaten) en klik je op Download nu. Wanneer hierom wordt gevraagd, kies je de gewenste taal. Sla het iso-bestand op in een aparte map, die je bijvoorbeeld Windows 11 Compact noemt. Vervolgens haal je de nieuwste versie van Tiny11 op via de eerdergenoemde website. Je vindt het installatiebestand boven aan de pagina. Klik op de knop Code en kies Download ZIP. Pak het zip-bestand uit en plaats het bestand Tiny11maker.ps1 op een eenvoudige locatie, bijvoorbeeld in de root op de C:\-schijf. Je beschikt nu over alles om van start te gaan.

Koppelen

Keer terug naar de map waarin je het iso-bestand hebt opgeslagen. Klik met de rechtermuisknop op het bestand en kies voor Koppelen. Hiermee koppel je de Windows-installatiebestanden aan een virtuele schijf, zodat Tiny11 ermee kan werken. Links in het venster van Verkenner verschijnt de schijf, bijvoorbeeld F:. Als je erop klikt, toont de Verkenner de Windows-installatiebestanden. Onthoud welke schijfletter wordt gebruikt: dit heb je later nodig.

Tiny11 bestaat uit een script dat je aanroept via PowerShell. PowerShell is het scripting-onderdeel van Windows. Open het Startmenu en typ PowerShell. Klik met de rechtermuisknop op Windows PowerShell en kies Als administrator uitvoeren. Een nieuw venster opent. Typ op de opdrachtregel: Set-ExecutionPolicy Bypass -Scope Process. Druk op Enter. Vervolgens typ je de opdracht om Tiny11 Maker te starten: C:\LOCATIE\tiny11maker.ps1 -ISO <LETTER> -SCRATCH <LETTER>. Neem de opdracht letterlijk over, maar vervang LOCATIE door de locatie waar je het Tiny11-script hebt bewaard. Vervang achter -ISO de <LETTER> door de schijfletter van het iso-bestand van Windows, bijvoorbeeld F. Vervang achter -SCRATCH de <LETTER> door de schijfletter waarmee Tiny11 met de bestanden mag werken en opslaan, bijvoorbeeld C. De opdracht kan er dus zo uitzien: C:\tiny11maker.ps1 -ISO F -SCRATCH C.

Welke versie

Het iso-bestand van Windows bevat de bestanden voor verschillende Windows-edities, zoals Windows 11 Home en Windows 11 Pro. Tiny11 vraagt welke Windows-versie je wilt afslanken. Elke editie heeft een eigen nummer: typ het nummer van de gewenste editie en druk op Enter. Het grootste deel van het werk zit erop. Kies wel een Windows-versie waarvoor je over een geldige licentie beschikt.

Installeren maar

Tiny11 heeft een nieuwe iso met Windows-installatiebestanden gemaakt. Het bestand heet Tiny11.iso. Met behulp van deze iso en een usb-stick kun je vervolgens een schone installatie van het afgeslankte Windows uitvoeren. Je kunt een opstartbare usb-stick op verschillende manieren maken, waaronder met Rufus. Ga naar https://rufus.ie/nl/ en haal de nieuwste versie binnen. Start de app en wijs bij Apparaat de usb-stick aan. Je hebt een stick met een minimale capaciteit van 8 GB nodig. Bij Opstartselectie kies je Schijf of ISO-image en klik je op Selecteren. Wijs het zojuist gemaakte iso-bestand van Tiny11 aan. Klik tot slot op Starten. Om de afgeslankte versie van Windows op een computer te installeren, start je deze op met de usb-stick. Doorloop de stappen van de installatiewizard, zoals je ook zou doen bij een gangbare installatie. Het resultaat: een afgeslankte Windows-versie.

Weer opbouwen

Prettig aan de compacte versie van Windows is de mogelijkheid om naderhand de onderdelen toe te voegen die je wel degelijk gebruikt. Heb je gekozen voor Tiny11 Maker (en niet voor Tiny11 Core), dan is dit mogelijk. Open het Startmenu, typ Onderdelen en kies Windows-onderdelen in- of uitschakelen. Plaats vinkjes naast de componenten die je wilt gebruiken. Daarnaast vind je een deel van de standaard-apps via de Microsoft Store: open het Startmenu, typ Store en kies Microsoft Store. Kies Apps en ga op zoek naar de apps die je alsnog wilt gebruiken, bijvoorbeeld Outlook.

Tiny11 Core

Heb je de smaak te pakken en wil je een nog compactere Windows-versie? Dan kun je Tiny11 Core overwegen. Deze vind je op dezelfde pagina als het andere Tiny11-script. De resulterende Windows-versie ontbeert alle onderdelen die ook door Tiny11 Maker worden verwijderd, maar haalt ook weg: Windows Component Store, Windows Defender, Windows Update en WinRE. Vooral Windows Update is een onderdeel dat je niet graag kwijt wilt, tenzij je de Windows-versie tijdelijk wilt gebruiken om bijvoorbeeld iets te proberen, en daarbij Windows in een virtuele machine installeert. Met Tiny11 Core een Windows-installatie maken voor dagelijks gebruik, is niet aan te raden. 

Bestaande Windows afslanken

Heb je al een bestaande Windows-versie draaien en geen behoefte om een nieuwe installatie van een afgeslankte versie uit te voeren? Met een ander programma – CrapFixer – kun je een bestaande Windows-computer uitkleden en hoef je geen schone installatie uit te voeren. Je mag het programma gratis gebruiken. De nieuwste versie vind je op https://github.com/builtbybel/CrapFixer/releases. Pak het zip-bestand uit en dubbelklik op CrapFixer.exe om het programma te starten. Je hoeft het niet te installeren.

CrapFixer is opgebouwd uit drie hoofdonderdelen: Fixer, Restore en Tools. Kies Fixer. Dit onderdeel bestaat uit twee tabbladen: Windows en Applications. Op de tab Windows vind je aan de linkerzijde de collectie met 'opties' die je via CrapFixer kunt uitschakelen als je er geen behoefte aan hebt. De opties zijn onderverdeeld in verschillende categorieën, zoals Gaming, Privacy en System. Klik eerst op Analyze. CrapFixer scant het systeem en geeft aan wat het aan overbodige troep (zoals bloatware) aantreft. In het venster rechts lees je de aanbevelingen. CrapFixer geeft aan of het onderdeel momenteel wordt uitgevoerd, wat de geadviseerde instelling is en of die al is toegepast. Roodgemarkeerde items vragen extra aandacht, bijvoorbeeld als het gaat om de eerdergenoemde bloatware.

Selecteren maar

Nu komt het leuke werk: bepalen van welke onderdelen je afscheid neemt. Gebruik de lijst aan de linkerkant van het venster om de onderdelen te selecteren. Ben je het eens met de standaardselectie van CrapFixer voor een volledig onderdeel, dan vink je de hoofdcategorie aan. Om bijvoorbeeld alle advertenties uit te zetten, plaats je een vinkje bij Ads. Wil je niet alle wijzigingen toepassen, dan vink je ze individueel aan. Weet je niet zeker wat een onderdeel inhoudt? Klik erop met de rechtermuisknop en kies Help (of druk op de F1-toets): een compacte toelichting verschijnt. Ben je tevreden over de selectie? Uitvoeren maar. Klik op de knop Run Fixer, die je rechtsonder in het venster vindt. 

Neem apps mee

Werp ook een blik op de tab Applications, eveneens beschikbaar via het onderdeel Fixer. Hier lees je voornamelijk welke apps je kunt uitschakelen. Denk aan apps zoals Bing Nieuws en Weer, Copilot en andere ingebakken programma's zoals Telefoonkoppeling. Wil je deze allemaal verwijderen? Klik op Select all (linksonder in het venster). In plaats daarvan kun je ze ook selectief aanvinken.

Kom je later terug op een bepaalde selectie, dan kun je de situatie ook terugdraaien en de instellingen herstellen. Klik links op Restore. In het rechtervenster lees je wat er is teruggedraaid.

Handmatig te werk

Ondanks alle welkome hulp van buitenaf, kun je zelf ook een aantal stappen nemen om Windows meer lichtgewicht te maken. Voorkom allereerst dat er onnodige programma's tijdens de systeemstart worden geladen. Open de Windows-instellingen (Windows-toets+I) en kies Apps / Opstarten. Een overzicht van opstart-apps verschijnt. Zet de schuif op Uit bij de apps die je niet wilt laden. Verwijder ook de apps die nog aanwezig zijn, maar je niet meer gebruikt. Kies Apps / Geïnstalleerde apps. Zoek de app die je wilt verwijderen, klik op Meer opties (herkenbaar aan de drie puntjes) en kies Verwijderen.

Je kunt ook zelf een groot deel van de Windows-onderdelen in- en uitschakelen vanuit de standaardgebruikersomgeving. Open het Startmenu en typ Onderdelen. Klik op Windows-onderdelen in- of uitschakelen. Wil je een volledige categorie uitschakelen, verwijder dan het vinkje bij de hoofdcategorie. Wil je losse onderdelen uitschakelen, dan klap je de hoofdcategorie open en verwijder je de vinkjes bij de ongewenste onderdelen. Plaats de muis op een onderdeel om een compacte beschrijving van het onderdeel te zien. Bij twijfel: schakel het onderdeel niet uit.

Groepsbeleid

Ben je een gevorderde gebruiker en beschik je over Windows 11 Pro? Dan kun je ook het onderdeel Groepsbeleid slim gebruiken om Windows compact te maken. Open het venster Uitvoeren (Windows-toets+R) en typ Gpedit.msc. Vooral onder Computerconfiguratie / Beheersjablonen / Alle instellingen kun je flink wat opties aanpassen. Een interessante instelling is Standaardpakketten Microsoft Store uit het systeem verwijderen. Kies Ingeschakeld en zet aan de linkerzijde van het venster vinkjes bij de apps die je niet wilt gebruiken. Neem ook de rest van de categorie Windows-onderdelen door en zoek naar de standaardprogramma's (bijvoorbeeld Windows Agenda). Vaak kun je die individueel uitschakelen (bijvoorbeeld via Windows Agenda uitschakelen).

Voor Pro's: het ingebouwde groepsbeleid gebruiken.

💻 Nieuwe laptop nodig? Kijk en vergelijk op Kieskeurig.nl