Prof. Dr. G. Hellberg EDV Beratung und Softwareengineering seit 1984
Mailadresse fuer Kontaktaufnahme
NewsNews
 
Die Hellberg EDV Beratung ist SuSE Business Partner
 
Professor Hellberg ist Certified Novell InstructorDie Hellberg EDV Beratung ist Novell Business Partner
 
Die Hellberg EDV Beratung ist Microsoft Partner
 
GDATA Software
 
News Disclaimer
BSI warnt vor Risiko bei Intels Fernwartungstechnik AMT

28.08.2015

 zur Newsdatenbank home

Die Konfiguration von Desktop-PCs und Notebooks, die mit Intels Active Management Technology ausgestattet sind, sollte überprüft werden, rät das Bundesamt für Sicherheit in der Informationstechnik (BSI). Angreifer können bei einigen dieser Rechner die Fernwartung aktivieren. Das Risiko wird als hoch bewertet (Stufe 4).

Intels Active Management Technology (AMT) ist bei neuen PCs, Notebooks oder Mainboards normalerweise nicht eingeschaltet. Wird AMT lokal eingeschaltet, muss zunächst ein sicheres Passwort vergeben werden und es dann provisionieren (einrichten). Allerdings besteht die Möglichkeit, AMT auch mit einem speziell konfigurierten USB-Stick zu provisionieren.

AMT-Systeme sind vor einer unerwünschten AMT-Aktivierung laut BSI nicht geschützt, wenn AMT im BIOS-Setup nicht eingeschaltet wurde. Auch der Passwort-Schutz des BIOS oder das Verbot, von USB-Speichermedien booten zu dürfen, reicht nicht aus.

Daher rät das BSI zu einem Workaround: "Bei Provisionierung eines neuen Gerätes sollte zunächst ein für jedes Gerät spezifisches sicheres AMT-Passwort vergeben werden und sodann in der BIOS-Konfiguration das AMT-Subsystem deaktiviert werden."

Doch selbst das reicht bei manchen BIOS-Versionen nicht, da sie nämlich, wenn man AMT per BIOS-Setup abschaltet, wieder das Default-Passwort einsetzen. Das BSI gibt für diesen Fall keine Handlungsempfehlung.

Die 2006 von Intel eingeführte Active Management Technology ist zur Fernwartung von Bürocomputern und Business-Notebooks gedacht und ist bei Rechnern mit sogenannten vPro-Komponenten, die mit einem Chipsatz der Q-Serie sowie meist auch einem Core-i5- oder Core-i7-Prozessor bestückt sind, nutzbar.

Die Fernwartung setzt außerdem voraus, dass bestimmte WLAN-Adapter oder Netzwerkchips von Intel eingebaut sind und für die Netzwerkverbindung auch verwendet werden. Per Remote KVM (Keyboard, Video, Mouse) bietet AMT Zugriff auf das BIOS-Setup und den grafischen (Windows-)Desktop. Bei Intel AMT funktioniert das aber nur, wenn die in der CPU (früher im Chipsatz) integrierte Onboard-Grafik verwendet wird.

Intel AMT verwendet die, in allen Intel-Chipsätzen eingebaute, sogenannte Management Engine (ME), welche ein eingebetter Mikrocontroller mit eigener Firmware ist. Die AMT-Funktionen enthält die ME-Firmware aber auch nur bei den Q- und einigen Server-Chipsätzen.

(ts, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE
 
 
 

News - Hellberg EDV - Seminare - Betriebssysteme - Sicherheit und mehr... - AG - FAQs
Nehmen Sie mit uns Kontakt auf.
 
Sonnenweg 7     30171 Hannover     Tel.: 0511 / 288 25 90     Fax: 0511 / 288 25 89