【資安】請各機關確認所屬系統平台是否支援Intel主動管理技術

ANA-漏洞預警 

轉發國家資通安全會報 技術服務中心 漏洞/資安訊息警訊 ICST-ANA-2014-0016

請各機關確認所屬系統平台(含個人電腦、工作站主機及伺服器)是否支援Intel
主動管理技術(Active Management Technology, AMT),並設定停用或條件式開
放該項功能

近期接獲通報,Intel晶片的主動管理技術可在未經授權下,喚醒已關機的電腦,
並利用該技術的KVM功能(使用鍵盤、螢幕及滑鼠),竊取該平台之敏感資訊。

Intel公司於2010年將遠端KVM管理功能加入主動管理技術中,並利用網路通訊埠
16992、16993、16994及16995進行連線與管理,且該技術於部分平台預設為啟用
狀態。

為確保平台安全性,請各機關確認所屬系統主機板是否支援Intel主動管理技術(AMT)
並設定關閉,以防止遭受相關攻擊。


影響平台:

配載Intel vPro晶片之系統平台(個人電腦、工作站主機與伺服器)

(搭載Intel vPro技術之Intel Core處理器的電腦系統,以及Intel Xeon3400系列
處理器的工作站平台)


建議措施:

1. 檢視該主機板是否支援vPro功能或黏貼之貼紙含有vPro或XEON (Xeon 3400系列)
   字樣。

2. 將AMT功能列為管制項目,定期檢查AMT功能有無啟用,並以原則關閉例外開放之
   方式進行管理,即預設停用AMT功能,如有使用需求,應由管理員管理密碼,除
   定期修改預設密碼外,密碼並應具備複雜度強度。

3. 因各家主機板BIOS格式不同,技服中心僅提供常見BIOS作為範例。停用AMT功能:
   於開機時點擊DEL或F2進入BIOS→按F7進入進階模式→將分頁移至Advanced→
   於AMT項目按Enter→將Enable改為Disable→按F10點選YES存檔離開。

4. 防火牆應針對AMT所使用的通訊埠進行監控管制,若非申請使用之需求,應停用
   通訊埠為16992、16993、16994及16995之流量;申請使用之需求也應在防火牆
   設定點對點存取,避免未經授權的來源進行存取。

5. 為避免機敏資訊經由網路傳輸,處理機敏公務之設備,應採實體隔離作業。


參考資料:

1.http://www.intel.com/content/www/us/en/architecture-and-technology/intel-active-management-technology.html

2.http://support.radmin.com/index.php?/Knowledgebase/Article/View/9/9/how-to-set-up-intel-amt-features

3.http://web.it.kth.se/~maguire/DEGREE-PROJECT-REPORTS/100402-Vassilios_Ververis-with-cover.pdf

4.http://www.ithome.com.tw/node/43886

5.ftp://ftp.dell.com/Manuals/all-products/esuprt_laptop/esuprt_precision_mobile/precision-m4500

6.http://www.intel.com.tw/content/www/tw/zh/architecture-and-technology/intel-active-management-technology.html

7.http://www.intel.com.tw/content/dam/www/public/us/en/documents/best-practices/using-intel-vpro-technology-with-a-centralized-it-support-portal-paper.pdf