Intel Active Management Technology

Technik von Intel zur Out-of-band-Administration von PCs

Die Intel Active Management Technology, abgekürzt iAMT, ist ein von Intel entwickeltes proprietäres Lights-Out-Management-System zur Administration und Fernwartung von Computersystemen, basierend auf Intel vPro. iAMT besteht aus einer eigenen und vom restlichen Computersystem unabhängigen Hardwarekomponente, der Intel Management Engine (Intel ME), welche in allen aktuellen Chipsätzen von Intel in Form eines eigenen Mikrocontrollers, wie dem Intel Quark, fix eingebaut ist.[1]

Dieser autonome Mikrocontroller wird über die permanente 5-V-Versorgung des Netzteils versorgt und läuft somit immer, sobald das Rechnersystem angesteckt, aber noch nicht eingeschaltet ist. Der Mikrocontroller verfügt über eigene interne Schnittstellen, ausgestattet mit einer extern zugänglichen Ethernetschnittstelle. Unabhängig vom eigentlichen Rechnersystem kann damit auf alle Systembestandteile zugegriffen werden, auch wenn sich das Computersystem in einem nicht funktionsfähigen oder ausgeschalteten Zustand befindet.[2] Als Software kommen im Rahmen von iAMT verschiedene fix im System programmierte Softwaremodule zum Einsatz, die unter anderem einen Webserver beinhalten, welcher den Zugang zu iAMT mittels Webbrowser gestattet.

iAMT wird in praktisch allen Desktops, Servern und Tablets eingesetzt, welche auf Intel vPro basieren. Unter anderem sind das die Intel-Core-i-Serien i5, i7, i9 ab Gen8 und die Intel-Xeon-Prozessorfamilien.

Aufgrund der weitgehenden Kontrolle, die iAMT über einen damit ausgerüsteten Rechner gewährt, ist eine ausreichende Absicherung gegen unbefugten Zugriff erforderlich. Nicht alle Funktionen von iAMT sind vollständig offengelegt, sie können teilweise nur durch Reverse Engineering ermittelt werden.[1]

Funktionen

Bearbeiten

Zu den iAMT-Grundfunktionen zählt es, den Rechner zurücksetzen zu können, die Stromversorgung ein- oder auszuschalten und die Tastatur, Maus und Bildschirmausgaben über das Netzwerk in Form eines eingebauten KVM-Switch umzuleiten. Weiter bestehen Möglichkeiten, im BIOS des Rechnersystems Veränderungen vornehmen oder das BIOS neu zu programmieren und die seriellen Schnittstellen mit Bootmeldungen über das Netzwerk umzuleiten. Neuere Firmwareversionen von iAMT ab Version 6 bieten auch die Möglichkeit, über Virtual Network Computing (VNC) Zugriff auf die grafische Oberfläche des Rechnersystems zu erlangen und den Netzwerkverkehr nach bestimmten Mustern zu beobachten.[3]

Sicherheitslücken

Bearbeiten

Bereits 2015 warnte das Bundesamt für Sicherheit in der Informationstechnik vor dem Risiko der AMT-Fernwartungstechnik und schätzte das entsprechende Risiko für Nutzer als hoch ein.[4]

Im November 2017 wurde bekannt, dass eine Reihe von Lücken in der Intel Management Engine sowie im Authentifizierungstool Trusted Execution Engine es erlaubt, Rechner komplett zu übernehmen. Die Sicherheitslücke betrifft alle seit 2010 ausgelieferten Management Engines.[5]

Bereits 2013 hatte es technische Bedenken, Anhaltspunkte und Spekulationen um eventuelle Hintertüren in der Management Engine gegeben.[6]

Vergleich der AMT-Versionen

Bearbeiten
Feature AMT 1.0
(Desktop)
AMT 2.0/2.1
(Desktop)
AMT 2.5/2.6
(Mobile)
AMT 3.0
(Desktop)
AMT 4.0
(Mobile)
AMT 5.0
(Desktop)
6.0
(Desktop & Mobile)
7.0 & 8.0
(Desktop & Mobile)
9.0
(Desktop & Mobile)
10.0

(Desktop & Mobile)

11.0

(Desktop & Mobile)

Hardware Inventory Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja
Persistent ID Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja
Remote Power On/Off Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja
Serial over LAN (SOL)/IDE redirect Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja
Event Management Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja
Third-party Data Storage Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja
Built-in web server Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja
Flash Protection Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja
Firmware Update Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja
TCP/IP, SOAP XML/EOI Ja Ja Ja Ja Ja Ja Ja Nein Nein Nein Nein
HTTP Digest/TLS Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja
Static and dynamic IP Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja
System Defense Nein Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja
Agent Presence Nein Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja
Power Policies Nein Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja
Mutual Authentication Nein Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja
Kerberos (Protokoll) Nein Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja
TLS-PSK Nein Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja
Privacy Icon Nein 2.1 und höher Ja Ja Ja Ja Ja Ja Ja Ja Ja
ME Wake-on-LAN Nein 2.1 und höher Ja Ja Ja Ja Ja Ja Ja Ja Ja
Remote Configuration Nein 2.2 und höher 2.6 und höher Ja Ja Ja Ja Ja Ja Ja Ja
Wireless Configuration Nein Nein Ja Nein Ja Nein Ja Ja Ja Ja Ja
Endpoint Access Control (EAC) 802.1 Nein Nein Ja Ja Ja Ja Ja Ja Ja Ja Ja
Power Packages Nein Nein Ja Nein Ja Nein Ja Ja Ja Ja Ja
Environment Detection Nein Nein Ja Nein Ja Nein Ja Ja Ja Ja Ja
Event Log Reader Realm Nein Nein 2.6 und höher Ja Ja Ja Ja Ja Ja Ja Ja
System Defense Heuristics Nein Nein Nein Ja Nein Ja Ja Ja Ja Ja Ja
WS-Management interface Nein Nein Nein Ja Ja Ja Ja Ja Ja Ja Ja
VLAN settings for Intel AMT network interfaces Nein Nein Nein Ja Nein Ja Nein Ja Ja Ja Ja
Fast Call For Help (Client Initiated Remote Access CIRA) Nein Nein Nein Nein Ja Ja Ja Ja Ja Ja Ja
Access Monitor Nein Nein Nein Nein Ja Ja Ja Ja Ja Ja Ja
MS Network Access Protection (NAP) support Nein Nein Nein Nein Ja Ja Ja Ja Ja Ja Ja
Virtualization Support for Agent Presence Nein Nein Nein Nein Nein Ja Ja Ja Ja Ja Ja
PC Alarm Clock Nein Nein Nein Nein Nein 5.1 und höher Ja Ja Ja Ja Ja
KVM switch Remote Control Nein Nein Nein Nein Nein Nein Ja Ja Ja Ja Ja
Wireless Profile Synchronization Nein Nein Nein Nein Nein Nein Ja Ja Ja Ja Ja
Support for IPv6 Nein Nein Nein Nein Nein Nein Ja Ja Ja Ja Ja
Host-based Provisioning Nein Nein Nein Nein Nein Nein 6.1 und höher Ja Ja Ja Ja
Host-based over the Internet Provisioning Nein Nein Nein Nein Ja Ja Ja Ja Ja Ja Ja
Zero-touch over the Internet Provisioning Nein Nein Nein Nein Ja Ja Ja Ja Ja Ja Ja
Graceful Shutdown Nein Nein Nein Nein Nein Nein Nein Nein Ja Ja Ja
Screen blanking Nein Nein Nein Nein Nein Nein Nein Nein Nein Ja Ja
Graceful power operations Nein Nein Nein Nein Nein Nein Nein Nein Nein Ja Ja
Secure erasure of storage nodes Nein Nein Nein Nein Nein Nein Nein Nein Nein Nein Ja

Einzelnachweise

Bearbeiten
  1. a b Positive Technologies Blog: Disabling Intel ME 11 via undocumented mode. Archiviert vom Original am 2. August 2021; abgerufen am 14. Februar 2022.
  2. Archived copy. Archiviert vom Original am 1. November 2014; abgerufen am 31. Oktober 2017.
  3. Intel Centrino 2 with vPro Technology and Intel Core2 Processor with vPro Technology. (PDF) Intel, 2008, archiviert vom Original am 6. Dezember 2008; abgerufen am 31. Oktober 2017.  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/download.intel.com
  4. Intel Active Management Technology (AMT): Eine Schwachstelle ermöglicht die Übernahme des Systems. Abgerufen am 16. Februar 2018., BSI vom 27. August 2015.
  5. Schwerer Fehler macht fast alle Rechner mit aktuellen Intel-CPUs angreifbar, derstandard.at vom 21. November 2017.
  6. Spekulationen um geheime Hintertüren in Intel-Chipsätzen. Abgerufen am 16. Februar 2018., c’t vom 27. September 2013.