Die Tage ist mir ein Problembericht unter die Augen gekommen, den ich gerne als Informationshappen für die Leserschaft einstelle. Der "Intel Technology Access Filter Driver" aus der Intel Management Engine (IME) führte unter Windows zu erheblichen Problemen mit einer Praxisverwaltungssoftware für den zahnärztlichen Bereich.
Der Intel Technology Access Filter Driver
Ich musste erst einmal nachschauen, was sich hinter dem "Intel Technology Access Filter Driver" eigentlich genau verbirgt. Der Treiber steckt in der Datei ndisrfl.sys im Windows-Ordner:
C:\Windows\system32\drivers\
Das Kürzel NDIS (steht für Network Driver Interface Specification) deutet bereits an, dass sich der Treiber in die Programmierschnittstelle für die NICs (Network Interface Cards), die das ordnungsgemäße Funktionieren von Windows 10-Treibern im Computernetzwerk unterstützt, einklinkt. Es ist ein sogenannter "Filtertreiber", der den Netzwerkverkehr analysiert. Irgendwo habe ich noch gelesen, dass der Treiber Bestandteil der Intel Management Engine-Software sei oder damit in Verbindung stehe. Dort gibt es auch einen Screenshot der Netzwerkverbindungen der Netzwerkkarte, wo der Filtertreiber aufgeführt ist.
Es gibt "seltsame" Probleme in einem System
Beim Surfen im Netz ist mir ein Post in einem geschlossenen Forum zu Zahnarzt-Praxisverwaltungssoftware aufgefallen. Der Thread-Ersteller schrieb, dass er "seit Jahresbeginn" zunehmend Probleme beobachtet habe, die nicht so recht greifbar waren. Es gab Probleme mit PDF-Dateien, Probleme mit dem dem KIM-Client zur KIM-Anbindung und auch mit der Web-Komponente der Praxisverwaltungssoftware.
Es wurden ständig Support-Tickets beim Software-Hersteller eingereicht, der dann log-Dateien anforderte, aber nie Antworten lieferte. Der Thread-Starter schrieb, dass die Umstellung der Hardware und der Wechsel des Betriebssystems auf Windows 11 diese Probleme eher noch deutlich verschlimmerten.
Erst war eine alte Festplatte auf die neue Hardware gespiegelt und für das Upgrade auf Windows-11 Pro als Ursache verdächtigt. Dann fiel auf, dass nur am betroffenen Client auch eine deutlich geringere Download-Geschwindigkeit, geringer sogar als die Upload-Geschwindigkeit, erreichbar war. Das deutete auf irgend ein Problem mit der Netzwerk-/Internetanbindung hin.
Eine systematische Suche durch den Systembetreuer identifizierte den "Intel Technology Access Filter Driver", der sich als Filtertreiber in die Netzwerkverbindung eingeklinkt hatte, als Ursache. Laut Forenaussage ließ sich dieser Filtertreiber wohl in den Eigenschaften der Netzwerkkarte über ein Kontrollkästchen deaktivieren. Im Anschluss war nicht nur der Download wieder normal, auch die vorher beobachteten Probleme waren behoben.
Sucht man im Internet nach "Intel Technology Access Filter Driver" oder ndisrfl.sys, gibt es zahlreiche Treffer, wo Probleme, vom Bluescreen bis zu anderen Problemen beschrieben werden. Scheint ein echtes Problem mit diesem Treiber oder veralteten Versionen zu geben.
MVP: 2013 – 2016
Ist das sowas wie ein Man-in-the-Middle Treiber im OS für die Intel Management Engine Backdoor tief in der CPU?
Quelle: https://en.wikipedia.org/wiki/Intel_Management_Engine
Nein ist es nicht!
Was ist es dann?
Mir erscheint das jedenfalls nicht ganz koscher:
"The ME has its own MAC and IP address for the out-of-band management interface, with direct access to the Ethernet controller; one portion of the Ethernet traffic is diverted to the ME even before reaching the host's operating system, …"
Ja, das ist genau besehen der pure Wahnsinn, nur leider interessiert das die wenigsten bzw. man verschliesst absichtlich die Augen.
AMD hat übrigens etwas ähnliches, da heisst das Platform Security Processor.
Quelle: https://en.wikipedia.org/wiki/AMD_Platform_Security_Processor
klingt für mich wie ein ähnliches Problem mit Killer Network Software.
https://shizoworld.de/2020/10/killer-network-dienste-blockieren-windowsupdate/
https://shizoworld.de/2022/05/killer-network-control-manager-und-network-midi-problem/
auch hier war nur die Lösung die Dienste nicht starten zu lassen. inzwischen hat sich das gelegt aber das war immer wieder nach Update der Treiber aktiv und musste wieder deaktiviert werden damit alles sauber läuft.
Beziehen sich diese Performance-Probleme nur auf diese spezielle Praxis-Software, oder generell auf alle derartigen Operationen auf dem PC? Ist die Intel-Treiber-Software aktuell? Ist Windows aktuell?
wenn ich das richtig herauslese betrifft es den kompletten Netzwerk Verkehr. das selbe war bei der Killer Software der Fall nur dass es hier die kompletten Dienste der Killer Software waren. unter anderem der Analytics Dienst der ja für "Verbesserung" sorgen soll. ohne diese Dienste war zwar der Ping etwas höher aber zumindest keine Einschränkungen Mehr. bei mir waren unter anderem die Microsoft Dienste und FTP betroffen und auch andere Software hatte Verbindungsprobleme. was ich allerdings schäbig finde dass der Support keine Antwort liefert!
Mit der Killer-Netzwerktrafficpriorisierungs-Software (was für ein Wort :D) hatten wir auch massive Probleme.
Das Deaktivieren der Killer-Network-Services führte auf den betroffenen Geräten dann sofort zu einer Verbesserung.
Gleiches gilt übrigens auch für den Intel Connectivity Service, der ein ähnliches Verhalten an den Tag legt.
Nach Deaktivierung dieser Treiber funktionieren bei unseren Usern diverse Anwendungen wesentlich besser.
Gibt es noch ein Tipp welche Praxissoftware beim Tippgeber betroffen ist?
Dampsoft DS-Win
Z1 (CGM)
Charly
Dens
Das sind so die Programme, mit denen ich zu tun habe. Am Markt gibt es noch 2 Dutzend weitere PVS Systeme.
Aktuell kenne ich in den Praxen nur Probleme mit der Digital Röntgen Anbindung (Sidexis) wenn Windows 11 im Spiel ist und der vermurkste Localhost Patch von MS noch im System ist. Dann geht nichts mehr. Aber das sollte sich inzwischen gelöst haben wenn die Folgeupdates installiert sind.
'Erst war eine alte Festplatte auf die neue Hardware gespiegelt…'
Der erste Gedanke ist meist der richtige. U.a. auf aktuelle Board spezifische Netzwerktreiber und Management Engine Interface Treiber (Corporation Version) prüfen.