Supportinformationen für INTEL-SA-00709 Intel® Active-Management-Technologie- und Intel® Standard Manageability-Empfehlung
Warnhinweis zu INTEL-SA-00709 Intel® Active-Management-Technologie (Intel® AMT) und Intel® Standard Manageability
Verwandte Inhalte
Dieser Artikel richtet sich an IT-Experten. Einzelne Benutzer sollten spezifische Anleitungen von ihren Systemherstellern erhalten.
CVE-2022-30601 und CVE-2022-30944 – Überblick
CVE-2022-30601 und CVE-2022-30944 können offengelegt werden, wenn eine Intel® AMT und Intel® Standard Manageability Bereitstellung für die Verwendung von Nicht-TLS (Transport Layer Security) getroffen wird. Best Practices für die Bereitstellungssicherheit im Zusammenhang mit diesen beiden CVEs werden in den folgenden Dokumenten erläutert.
Empfehlungen für CVE-2022-30601 und CVE-2022-30944
Intel empfiehlt Benutzern, bestehende Best Practices für die Sicherheit und alternative Sicherheitskontrollen zu befolgen, einschließlich: Aktivieren und Verwenden von Transport Layer Security (TLS) für Intel® AMT und Intel® Standard Manageability. Intel empfiehlt außerdem allen Intel® AMT- und Intel® Standard Manageability Kunden, auf TLS-Ports zu migrieren. Zukünftige Intel® AMT- und Intel® Standard Manageability-Implementierungen werden keine Nicht-TLS mehr als Option haben. Um diesen Übergang für Kunden zu erleichtern, die derzeit möglicherweise Nicht-TLS-Ports verwenden, wird Intel den Support für Nicht-TLS-TCP/IP-Ports (sowie TLS) in Intel® AMT- und Intel® Standard Manageability-Plattformen bis zu Plattformen mit Intel® Core™Prozessoren der 12. Generation beibehalten. Nur TLS-Ports werden in Intel® AMT und Intel® Standard Manageability auf Plattformen nach der Generation der Intel® Core™ Prozessoren der 12. Generation unterstützt.
Weitere Details zu CVE-2022-30601
Intel® AMT und Intel® Standard Manageability unterstützt die HTTP Basic- und HTTP-Digestauthentifizierung. Bei Verwendung ohne TLS kann das Passwort im Basic- oder Digest-Modus abgefangen und wiedergegeben werden. Intel® AMT Intel® Standard Manageability Anmeldeinformationen für die Firmware werden angezeigt.
- Für Benutzer, die ein System erhalten haben, das nicht mit Intel® EMA konfiguriert wurde, empfiehlt Intel, die spezifischen Schritte zu befolgen, die erforderlich sind, um zu überprüfen, ob TLS aktiviert ist ( hier verfügbar). Dadurch wird sichergestellt, dass Intel® AMT und Intel® Standard Manageability nach der Lieferung des Geräts korrekt konfiguriert werden.
- Intel® AMT und Intel® Standard Manageability Supportkonfiguration wurde entwickelt, um TLS-Sicherheit zu aktivieren, ohne dass sie dekonfiguriert und neu konfiguriert werden muss. Beachten Sie, dass Softwaretools, die Kunden zum Konfigurieren und Verwenden von Intel® AMT und Intel® Standard Manageability verwenden, auch TLS unterstützen müssen.
- Intel® Endpoint Management Assistant (Intel® EMA) konfiguriert Geräte für die Verwendung von TLS.
Weitere Details zu CVE-2022-30944
Intel® AMT und Intel® Standard Manageability unterstützt die HTTP Basic- und HTTP-Digestauthentifizierung. Bei Verwendung ohne TLS werden die unformatierten Nutzdaten von Transaktionen über Port 16992 im Speicher des Betriebssystems als Nur-Text verfügbar gemacht, wodurch die Intel® AMT und Intel® Standard Manageability Anmeldeinformationen verfügbar gemacht werden.
- Intel® AMT oder Intel® Standard Manageability ist anfällig für den Informationsabruf über einen privilegierten Benutzer, der direkt auf die unverschlüsselte Intel® AMT oder Intel® Standard Manageability Kennwort im Betriebssystemspeicher zugreifen kann.
- Um dieses Problem zu mindern, wird Intel® AMT und Intel® Standard Manageability v14 oder höher und Remoteverwaltungssoftware wie Intel® EMA empfohlen, wenn Sie Intel® AMT und Intel® Standard Manageability aktivieren, da diese TLS-Verschlüsselung für die Aktivierung verwenden und über den betriebssystembasierten Software-Stack mit Intel® AMT und Intel® Standard Manageability kommunizieren.
- Intel® AMT und Intel® Standard Manageability Firmware-Versionen 11.8.x bis 12.x unterstützen TLS nicht für die In-Band-Aktivierung.
- Wenn Sie Benutzer hinzufügen oder Benutzeranmeldeinformationen von Intel® AMT oder Intel® Standard Manageability ändern, verwenden Sie eine Remote-Konsole nur über Intel® AMT oder Intel® Standard Manageability mit TLS.
CVE-2022-28697 Überblick
CVE-2022-28697 kann offengelegt werden, wenn das BIOS-Kennwort nicht festgelegt ist, um die Intel® AMT Konfiguration in Intel® Management Engine BIOS Extension (Intel® MEBx) zu schützen. Die bewährten Methoden für die BIOS-Passwortsicherheit werden im folgenden Dokument erläutert:
Empfehlungen für CVE-2022-28697
Intel empfiehlt Benutzern, die bestehenden Best Practices für die Sicherheit und alternative Sicherheitskontrollen zu befolgen, einschließlich: Aktivieren des BIOS-Passwortschutzes auf dem Intel® Management Engine BIOS Extension (Intel® MEBX). Legen Sie unmittelbar nach Erhalt des Systems vom Systemhersteller ein nicht standardmäßiges Passwort für Intel® AMT oder Intel® Standard Manageability fest.
Weitere Details zu CVE-2022-28697
Ein nicht authentifizierter Benutzer mit physischem Zugriff auf die Plattform kann AMT möglicherweise ohne Wissen des Endbenutzers bereitstellen.
Beachten Sie, dass die folgenden Schritte als Referenz dienen und je nach Systemhersteller variieren können.
- Ein Benutzer kann überprüfen, ob Intel® AMT oder Intel® Standard Manageability konfiguriert wurde, indem er während des Bootvorgangs auf die MEBX zugreift.
- Wenn der MEBX zum Konfigurieren von Intel® AMT oder Intel® Standard Manageability verwendet wurde, mussten der Standardbenutzername und das Standardkennwort in einen anderen Wert geändert werden.
- Wenn ein Benutzer aufgrund eines unbekannten Kennworts nicht auf das Menü zugreifen kann, muss Intel® AMT oder Intel® Standard Manageability auf die Werkseinstellungen zurückgesetzt werden, um den Standardbenutzernamen und das Standardkennwort wiederherzustellen und sicherzustellen, dass Intel® AMT oder Intel® Standard Manageability nicht konfiguriert sind. Wenden Sie sich an den Systemhersteller, um zu erfahren, wie Sie einen solchen Reset durchführen können.
- Wenn ein Benutzer das Kennwort ändert und sich anmeldet, kann er zum Intel® AMT- oder Intel® Standard Manageability Konfigurationsmenü gehen und überprüfen, ob die Option "Netzwerkzugriff aktivieren" verfügbar ist.
- Wenn die Menüoption vorhanden ist, bedeutet dies, dass Intel® AMT oder Intel® Standard Manageability nicht konfiguriert sind.
- Wenn die Menüoption nicht vorhanden ist, wurden Intel® AMT oder Intel® Standard Manageability auf diesem Gerät konfiguriert.
- Intel® AMT oder Intel® Standard Manageability können über dasselbe Menü dekonfiguriert werden. Dadurch wird sichergestellt, dass Intel® AMT oder Intel® Standard Manageability nach der Lieferung des Geräts korrekt konfiguriert ist.