Hallo allerseits,

wie kann man bei diesem Board#1 den AMD Platform Security Processor (kurz: PSP) abschalten?
Vor ein paar Jahren ging die Nachricht durch die News IT Portale das man ab einer bestimmten AGESA Version diesen bei AMD Boards abschalten kann. - Ich hab nun das Handbuch konsultiert und bin das BIOS durchgegangen und konnte die Option nirgends finden.

#1 https://www.msi.com/Motherboard/support/B450-GAMING-PLUS-MAX

Wenn du im BIOS/UEFI keine Einstellung dazu hast, dann kannst du es nicht abschalten. Kritiker behaupten, selbst wenn du ein BIOS/UEFI mit PSP-Abschalt-Einstellung hast, bringt dir das nicht viel, weil du nicht sicher weißt, ob du es dann abgeschaltet hast. Denn man kann wohl nicht nachprüfen, ob man es tatsächlich abgeschaltet hat.

Ansonsten schau noch in den Geräte-Manager. Da müsste es einen Punkt mit dem Namen "Security Devices" (Sicherheitsgeräte!?) geben, in dem der AMD PSP aufgeführt ist und wo der dazugehörige Treiber geladen wird. Vielleicht kannst du hier dieses Gerät deaktivieren. Aber ich kann dir nicht sagen, welche Auswirkungen, dass auf dein System hat. Es könnte übrigens auch so sein, dass vorher ein BIOS/UEFI-Treiber das Gerät in Betrieb nimmt und unter Windows ein Windows-Treiber darüber geladen wird. Somit also das Stoppen des Windows-Treibers nicht viel bringt, weil es dann nach wie vor mit dem BIOS/UEFI-Treiber läuft.

Ansonsten schau noch in den Geräte-Manager. Da müsste es einen Punkt mit dem Namen "Security Devices" (Sicherheitsgeräte!?) geben, in dem der AMD PSP aufgeführt ist und wo der dazugehörige Treiber geladen wird. Vielleicht kannst du hier dieses Gerät deaktivieren. Aber ich kann dir nicht sagen, welche Auswirkungen, dass auf dein System hat. Es könnte übrigens auch so sein, dass vorher ein BIOS/UEFI-Treiber das Gerät in Betrieb nimmt und unter Windows ein Windows-Treiber darüber geladen wird. Somit also das Stoppen des Windows-Treibers nicht viel bringt, weil es dann nach wie vor mit dem BIOS/UEFI-Treiber läuft.

1. Ja ich hab so einen Eintrag im Geräte-Manager und 2. habe ich ihn natürlich sofort deaktiviert. Aber das Problem ist ja das gleiche wie bei Intels Managment Enginge. Man hat da ein Stück HW + SW innerhalb des Prozessors mit mächtigen Fähigkeiten (inkl. Network-Stack) hat und das außerhalb der Kontrolle des OS oder des Users alles mögliche tun kann. Außerdem erhöht dieses "Feature" die Angriffsfläche auf das System ohne dabei einen nutzen zu haben. - Das Ziel ist also es gar nicht erst im Geräte Manager auftauchen zu lassen.

Bei welchen Chipsätzen bzw welchen Boardherstellern ist es denn üblich das man PSP abschalten kann?
Kann es sein das MSI PSP einfach nur anders nennt?

Intel hatte früher Chipsätze speziell für Firmen-PCs/Firmen-Mainboards. Entsprechende Lösungen hatten dann im BIOS auch passende Einstellungen, die speziell für Firmenumgebungen relevant waren (oder darauf reduziert wurden). AMD hat das nie praktiziert. Da gab es immer nur Chipsätze/Mainboards von billig bis teuer, die entsprechend wenig bis viele Funktionen hatten. Das hat sich nicht geändert, daher kann man das nicht wirklich an einem Chipsatz fest machen.

Nach Herstellern hast du bei ASRock und Gigabyte gute Chancen diese PSP-Einstellung zu finden, bzw. auch bei den preiswerten Boards (B350) zu finden. Die wird dann unter dem Namen "BIOS PSP Support" geführt. Bei MSI scheint es sie aber auch zu geben, dort habe ich sie bisher allerdings nur auf einem X399 Board (TR4) entdeckt.

Du kannst ja mal an MSI eine Mail schreiben und sie bitten, die Einstellung ins BIOS/UEFI zu übernehmen. Vielleicht klappt es dann ja bis zum nächsten BIOS/UEFI Update.

Ich glaube ich hab was im Handbuch gefunden. Ich zitiere mal:
BIOS PSP Support [Enabled] (optional)
Enables/ disables the BIOS PSP support. It manages PSP sub-items including all
C2P/P2C mailbox, Secure S3, fTPM support.

Im Handbuch wird zwar die Funktion beschrieben aber im BIOS ist sie nicht zu finden. - Ich vermute mal mein Prozessor wird (noch) nicht unterstützt.

Vielleich verwechsel ich hier etwas:

Lässt sich nicht der PSP unter Windows hiermit deaktivieren?

bcdedit /set {current} hypervisorlaunchtype off

Edit: Normalerweise steht "hypervisorlaunchtype" auf "auto" siehe "bcdedit /enum" in der CMD

Ich glaube ich hab was im Handbuch gefunden. Ich zitiere mal:


Im Handbuch wird zwar die Funktion beschrieben aber im BIOS ist sie nicht zu finden. - Ich vermute mal mein Prozessor wird (noch) nicht unterstützt.
Bei meinem MSI Gaming Plus MAX konnte ich das unter Security finden, habe es deaktiviert, in Windows PsP 3.0 deinstalliert. Beim Reboot meldete Windows dann, es wäre kein Treiber für das Gerät gefunden worden, obwohl es ja eigentlich technisch garnicht mehr in Erscheinung hätte treten dürfen. Gerät wurde dann von Windows nicht erneut installiert. Win 7 + Win 10

Bei meinem MSI Gaming Plus MAX konnte ich das unter Security finden, habe es deaktiviert, in Windows PsP 3.0 deinstalliert. Beim Reboot meldete Windows dann, es wäre kein Treiber für das Gerät gefunden worden, obwohl es ja eigentlich technisch garnicht mehr in Erscheinung hätte treten dürfen. Gerät wurde dann von Windows nicht erneut installiert. Win 7 + Win 10

Bei mir sollte es unter "Overclocking" gelistet sein. - Warum auch immer.
Aber ich muss mich bei meinem Board gar nicht durch die (Unter-) Menüs klicken. Denn es hat eine eingebaute Suchfunktion.

Ich poste mal einen Link von Winfuture: https://www.winfuture-forum.de/index.php?showtopic=215057&view=findpost&p=1965787


Zitat

Der AMD Secure Prozessor (vorher auch bezeichnet als „Plattform-Sicherheitsprozessor“ oder „PSP“) ist ein dedizierter
Prozessor mit ARM TrustZone® Technologie und einer softwarebasierten Trusted Execution Environment (TEE) für
Trusted Applications von Drittanbietern. Der AMD Secure Prozessor ist eine hardwarebasierte Technologie, die einen
sicheren Start aus dem BIOS in die TEE ermöglicht. Trusted Applications von Drittanbietern können branchenübliche
APIs nutzen, um die sichere Ausführungsumgebung der TEE verwenden zu können. Nicht alle Anwendungen nutzen
die Sicherheitsfunktionen der TEE. Der AMD Secure Prozessor ist aktuell nur für ausgewählte AMD APUs der A- und
E-Serie verfügbar.
​

...also nur relevant wenn APU der A- bzw. der E-Serie verbaut ist.

Vor einem Jahr habe ich nach PSP gesucht und nur ein Hersteller hatte die Option zum Deaktivieren im Bios, aber laut Internet war die Funktion damals ohne Funktion. CTDP ging trotz Ankündigung auch nicht.

Ich poste mal einen Link von Winfuture: https://www.winfuture-forum.de/index.php?showtopic=215057&view=findpost&p=1965787


Zitat

Der AMD Secure Prozessor (vorher auch bezeichnet als „Plattform-Sicherheitsprozessor“ oder „PSP“) ist ein dedizierter
Prozessor mit ARM TrustZone® Technologie und einer softwarebasierten Trusted Execution Environment (TEE) für
Trusted Applications von Drittanbietern. Der AMD Secure Prozessor ist eine hardwarebasierte Technologie, die einen
sicheren Start aus dem BIOS in die TEE ermöglicht. Trusted Applications von Drittanbietern können branchenübliche
APIs nutzen, um die sichere Ausführungsumgebung der TEE verwenden zu können. Nicht alle Anwendungen nutzen
die Sicherheitsfunktionen der TEE. Der AMD Secure Prozessor ist aktuell nur für ausgewählte AMD APUs der A- und
E-Serie verfügbar.
​

...also nur relevant wenn APU der A- bzw. der E-Serie verbaut ist.
:confused: das post ist von 2016 und da gabs ryzen noch nicht mal. natürlich hat auch ryzen amds psp integriert.

:confused: das post ist von 2016 und da gabs ryzen noch nicht mal. natürlich hat auch ryzen amds psp integriert.Mag sein, aber ich denke den kann man ned abschalten und AMD veröffentlicht darüber keine tiefergehenden Infos. https://www.amd.com/de/technologies/security

Bei mir sollte es unter "Overclocking" gelistet sein. - Warum auch immer.
Aber ich muss mich bei meinem Board gar nicht durch die (Unter-) Menüs klicken. Denn es hat eine eingebaute Suchfunktion.


In meinem X470 Gaming Plus mit einem Ryzen 2600X findet es sich auch unter OC -> CPU-Features.
Obwohl dort deaktiviert habe im im Win10 Gerätemanager einen Eintrag zum "AMD PSP 3.0 Device" Default-mäßig drinnen...

Ich denke das komplette abschalten des "Sicherheitskoprozessors" ist nicht möglich, soweit ich weiß ist der ARM-Prozessor auch für die Initalisierung der CPU zuständig.