amt...
TRANSCRIPT
AMT 安全建議
國家資通安全會報 技術服務中心
1
大綱
● AMT簡介
● AMT風險威脅
●安全建議
2
AMT簡介
● Intel AMT主動管理技術是內嵌於英特爾vPro 架
構平台的一項管理功能,獨立於操作系統運行,
即使平台已經關閉,只要平台仍與電源線和網絡
相連,遠程管理人員仍可以安全地訪問Intel AMT。
獨立軟體開發商(ISV)可利用API來設定AMT
特性的各種應用。
3
AMT簡介
● Intel AMT主動管理技術
處理器
• 英特爾® 支援處理器
晶片組
安全性與可管理性
• 管理引擎
• 非揮發性記憶體
• 英特爾® 主動管理技術
網路
網路連接
•英特爾® 主動管理技術
4
● Intel AMT適用情境
AMT簡介
● AMT簡介
減少工作中斷與IT技術人員負擔
電腦異常無法開機 1
電腦主機/NB IT 人員 網路
通知IT人員(電話) 2
遠端遙控重開機電腦 3
遠端診斷日誌,更新驅動,並修復電腦
2
4
5
AMT簡介
●優 化資產管理
–即使電腦關機,IT人員也能了解資產情況
●縮短停機時間
– 使遠端診斷及重新開機不再有任何障礙,即使系統癱瘓,
IT人員同樣可以遠程進行修復或重建
●減少臨機維護
–事件日誌功能還能幫助IT人員快速檢測問題,縮短停機
時間
–遠端關閉電腦網路連線,降低病毒威脅
6
AMT風險威脅
Internet
內部網路
16992、16993、16994及16995
(TLS )
Intel AMT
Intel AMT
Intel AMT
MIS
部分出廠主機預設啟用Intel
AMT 功能
7
AMT風險威脅
●取得管理主機控制權
–派送惡意程式
–安裝惡意軟體
–清除修改事件日誌
●取得使用者端電腦控制權
–透過使用者端感染散播病毒
–監聽竄改機敏資料
–打包上傳機敏檔案
8
安全建議
●將AMT功能列為管制項目,以原則關閉例外開放
之原則進行管理,預設停用AMT功能
9
安全建議
●將AMT功能列為管制項目,以原則關閉例外開放
之原則進行管理,預設停用AMT功能
–若有需求使用,啟用AMT功能後,則應由管理員管理密
碼,除應定期修改預設密碼外,密碼應具備密碼複雜度
強度,例如『P@ssw0rd』
建議應符合以下密碼原則
♦最小長度:8個字元
♦至少有一個數字字元:0 ... 9
♦至少有一個非字母數字字元:!,$,〜,#,_,+, - ...
♦字母:小寫字母(A,B,...,Z)和大寫字母(A,B,...,Z)
10
安全建議
●修改預設密碼,密碼應具備密碼複雜度,並定期
修改
11
安全建議
●防火牆應針對AMT所使用的通訊埠進行監控管制,
預設阻擋所有流量,若需要則與防火牆管理員申
請例外開放,若啟用AMT服務,則另啟用通訊埠
為16992、16993、16994及16995之流量
–申請使用之需求也應該在防火牆上設定點對點存取,避
免未經授權的來源進行存取
12
安全建議
●處理機敏公務之設備,應考量實體隔離原則,管
理員定期檢查AMT功能有無啟用,避免設備將機
敏資訊透由網路傳輸
13
報告完畢
敬請指教