パソコン(PC)の森

2020/031234567891011121314151617181920212223242526272829302020/05

PREV | PAGE-SELECT | NEXT

≫ EDIT

法人向けPCのAMT問題

【法人向けPCのAMT問題】

多数のPCをリモート管理する為の機能であるIntel AMTですが、
法人向けPCについて問題がある様なので注意を一つ。



【関連記事】
Intel AMT Security Issue Lets Attackers Bypass Login C
redentials




【どういう問題があるのか】
PCメーカーにもよりますが、法人向けPCは特定の端末から多数の
PCを一括管理して運用するを事前提にデフォルトでIntel AMTを
有効にした状態で出荷していたりします。

なので、使わない状態でもリモートコントロール用IME(Intel
Management Engine)の設定をする為のBIOSを起動できる状
態になっているのですが、

問題はIMEのBIOSは本体とは別の独立したファームウェアなので、
本体側のBIOSにPASSを掛けても意味がない所です。


AMTが有効であるのに、機能の事を知らずIME側のBIOSの設定
をデフォルトの共通PASSのまま放置
している事が多々あります。

だから、再起動又は起動時のOSを読み込む前にCtrlを押しながら
Pを押してIME側のBIOSを起動するだけで誰でも設定を変更でき
てしまうので、

PCに触れる事が可能な悪意のある第3者に設定されてリモートPC
され、データを盗まれたり、PCを操作されたり、攻撃の踏み台
にされる可能性が出ると言う事です。


IMEの設定は1分位で設定できると言っても、さすがに記事の様に
ホテルでいじられると言う話は眉唾なのですが、

PCの導入や設定、修理を委託している業者、派遣で来た者、内部
の人間等は不可能ではないので、放置するのはリスクがあります。



【対処の仕方】
通常のBIOSを起動してIME側のBIOSを無効化するか、IME側の
BIOSを立ち上げてPASSを設定して設定を変更できない様にする
ことです。

BIOSのメーカーによって記述が違いますが、Advancedにあるi
AMT BIOS Extension
INTEL AMTMEBx Selection Scre
en
等の項目をDisable(無効)に変更して下さい。

IME側のBIOSにPASSを設定する場合はCtrl+Pで立ち上げ、共
通PASSのadminを入力して入った後、任意の文字列を入力する
とPASSが設定できます。



【注意点】
MBの電池を抜いてCMOSの設定をクリアするとBIOSが焼いた時
点の初期状態になるので、設定が復活する上に、

IME側のBIOSのPASSも初期化されてadminに戻ります。

修理に出して戻ってきた時に再設定が必要な事があるので必ず確
認して下さい。



AMTは日本の場合10%程度しか使われず設定を放置しがちと言
う情報もあり、狙われる可能性もあるので注意しましょう。



このBlogはBlogランキングに参加しています。
役に立ったと思った方はクリックをお願いします。




総合情報に戻る

TOPに戻る

| ソフトウェア | 12:41 | comments:0 | trackbacks:0 | TOP↑

COMMENT















非公開コメント


TRACKBACK URL

https://pcnomori.blog.fc2.com/tb.php/340-511ecf29

TRACKBACK

PREV | PAGE-SELECT | NEXT