ข้อมูลสนับสนุนสําหรับ Intel® Active Management Technology และคําแนะนําด้าน Intel® Standard Manageability INTEL-SA-00709

เอกสาร

ข้อมูลผลิตภัณฑ์และเอกสารประกอบ

000091553

14/11/2023

คําแนะนําด้าน Intel® Active Management Technology (Intel® AMT) และ Intel® Standard Manageability INTEL-SA-00709

เนื้อหาที่เกี่ยวข้อง

INTEL-SA-00709

บทความนี้จัดทําขึ้นสําหรับผู้ดําเนินการด้าน IT ผู้ใช้แต่ละรายควรได้รับคําแนะนําเฉพาะจากผู้ผลิตระบบของตน

ภาพรวม CVE-2022-30601 และ CVE-2022-30944

อาจมีการแสดง CVE-2022-30601 และ CVE-2022-30944 เมื่อมีการเลือกการปรับใช้ Intel® AMT และ Intel® Standard Manageability เพื่อใช้ non-TLS (Transport Layer Security) แนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยการปรับใช้ที่เกี่ยวข้องกับ CVEs ทั้งสองนี้จะกล่าวถึงในเอกสารด้านล่าง

คําแนะนําสําหรับ CVE-2022-30601 และ CVE-2022-30944

Intel แนะนําให้ผู้ใช้ปฏิบัติตามแนวทางปฏิบัติด้านความปลอดภัยที่มีอยู่ และการควบคุมการรักษาความปลอดภัยอื่นๆ ซึ่งรวมถึง การเปิดใช้งานและใช้ Transport Layer Security (TLS) สําหรับ Intel® AMT และ Intel® Standard Manageability Intel ยังแนะนําให้ลูกค้า Intel® AMT และ Intel® Standard Manageability ทุกคนย้ายไปยังพอร์ต TLS การปรับใช้ Intel® AMT และ Intel® Standard Manageability ในอนาคตจะไม่มีทางเลือกที่ไม่ใช่ TLS อีกต่อไป เพื่ออํานวยความสะดวกในการเปลี่ยนผ่านนี้สําหรับลูกค้าที่อาจกําลังใช้พอร์ตที่ไม่ใช่ TLS Intel จะรักษาการสนับสนุนพอร์ตที่ไม่ใช่ TLS TCP/IP (รวมทั้ง TLS) ใน Intel® AMT และ Intel® Standard Manageability ผ่านแพลตฟอร์มที่ใช้โปรเซสเซอร์ Intel® Core™ เจนเนอเรชั่น 12 รองรับเฉพาะพอร์ต TLS ใน Intel® AMT และ Intel® Standard Manageability บนแพลตฟอร์มหลังจากเจนเนอเรชั่น Intel® Core™โปรเซสเซอร์เจนเนอเรชั่น 12

รายละเอียดเพิ่มเติมสําหรับ CVE-2022-30601

Intel® AMT และ Intel® Standard Manageability สนับสนุนการรับรองความถูกต้องสําหรับ HTTP basic และ HTTP digest เมื่อใช้งานโดยไม่มี TLS รหัสผ่านในโหมดพื้นฐานหรือโหมดย่อยจะไวต่อการสกัดกั้นและเล่นข้อมูลรับรอง Intel® AMT และ Intel® Standard Manageability กับเฟิร์มแวร์

  • สําหรับผู้ใช้ที่ได้รับระบบที่ไม่ได้กําหนดค่าโดยใช้ Intel® EMA Intel ขอแนะนําให้ทําตามขั้นตอนเฉพาะที่จําเป็นเพื่อตรวจสอบว่าเปิดใช้งาน TLS (ดูได้ ที่นี่) การดําเนินการนี้จะเป็นการตรวจสอบให้มั่นใจว่า Intel® AMT และ Intel® Standard Manageability ได้รับการกําหนดค่าอย่างถูกต้องหลังจากส่งอุปกรณ์แล้ว
  • การกําหนดค่าการสนับสนุน Intel® AMT และ Intel® Standard Manageability ได้รับการออกแบบมาเพื่อเปิดใช้งานการรักษาความปลอดภัย TLS โดยไม่จําเป็นต้องกําหนดค่าใหม่และกําหนดค่าใหม่ โปรดทราบว่าเครื่องมือซอฟต์แวร์ที่ลูกค้าใช้เพื่อกําหนดค่าและใช้ Intel® AMT และ Intel® Standard Manageability จะต้องรองรับ TLS ด้วย
  • Intel® Endpoint Management Assistant (Intel® EMA) กําหนดค่าอุปกรณ์เพื่อใช้ TLS

รายละเอียดเพิ่มเติมสําหรับ CVE-2022-30944

Intel® AMT และ Intel® Standard Manageability สนับสนุนการรับรองความถูกต้องสําหรับ HTTP basic และ HTTP digest เมื่อใช้งานโดยไม่มี TLS จะมีทรานแซคชันมากกว่าพอร์ต 16992 ซึ่งจะแสดงในหน่วยความจําของระบบปฏิบัติการเป็นข้อความธรรมดา ซึ่งจะแสดงข้อมูลประจําตัว Intel® AMT และ Intel® Standard Manageability

  • Intel® AMT หรือ Intel® Standard Manageability มีความไวต่อการเรียกข้อมูลผ่านผู้ใช้ที่มีสิทธิพิเศษที่สามารถเข้าถึงรหัสผ่าน Intel® AMT ที่ไม่ได้เข้ารหัส หรือ Intel® Standard Manageability ในหน่วยความจําของระบบปฏิบัติการโดยตรง
  • เพื่อลดปัญหานี้ Intel® AMT และ Intel® Standard Manageability v14 หรือซอฟต์แวร์การจัดการจากระยะไกลเช่น Intel® EMA แนะนําให้เปิดใช้งาน Intel® AMT และ Intel® Standard Manageability เนื่องจากใช้การเข้ารหัส TLS สําหรับการเปิดใช้งานและสื่อสารกับ Intel® AMT และ Intel® Standard Manageability ผ่านสแต็กซอฟต์แวร์ที่ใช้ระบบปฏิบัติการ
  • Intel® AMT และเฟิร์มแวร์ Intel® Standard Manageability เวอร์ชั่น 11.8.x ถึง 12.x ไม่รองรับ TLS สําหรับการเปิดใช้งานแบบ in-band
  • หากเพิ่มผู้ใช้หรือเปลี่ยนแปลงข้อมูลประจําตัวของผู้ใช้ Intel® AMT หรือ Intel® Standard Manageability ให้ใช้คอนโซลระยะไกลผ่าน Intel® AMT หรือ Intel® Standard Manageability ด้วย TLS เท่านั้น

ภาพรวม CVE-2022-28697

CVE-2022-28697 อาจถูกเปิดเผยเมื่อไม่ได้ตั้งค่ารหัสผ่าน BIOS เพื่อปกป้องการกําหนดค่า Intel® AMT ใน Intel® Management Engine BIOS Extension (Intel® MEBx) แนวทางปฏิบัติที่ดีที่สุดในการรักษาความปลอดภัยรหัสผ่าน BIOS จะกล่าวถึงในเอกสารด้านล่าง:

คําแนะนําสําหรับ CVE-2022-28697

Intel แนะนําให้ผู้ใช้ปฏิบัติตามแนวทางปฏิบัติด้านความปลอดภัยที่มีอยู่ และการควบคุมการรักษาความปลอดภัยแบบอื่น รวมถึง: เปิดใช้งานการป้องกันด้วยรหัสผ่าน BIOS บน Intel® Management Engine BIOS Extension (Intel® MEBX) ตั้งรหัสผ่านเริ่มต้นที่ไม่ใช่รหัสผ่านเริ่มต้นสําหรับ Intel® AMT หรือ Intel® Standard Manageability หลังจากได้รับระบบจากผู้ผลิตระบบทันที

รายละเอียดเพิ่มเติมสําหรับ CVE-2022-28697

ผู้ใช้ที่ไม่ได้รับการอนุญาตที่มีสิทธิ์เข้าถึงแพลตฟอร์มจริงอาจสามารถจัดเตรียม AMT โดยปราศจากความรู้ของผู้ใช้ปลายทาง

โปรดทราบว่าขั้นตอนด้านล่างมีไว้เพื่อใช้อ้างอิงและอาจแตกต่างกันไปตามผู้ผลิตระบบ

  • ผู้ใช้สามารถตรวจสอบว่า Intel® AMT หรือ Intel® Standard Manageability ได้รับการกําหนดค่าหรือไม่โดยการเข้าถึง MEBX ระหว่างการบู๊ต
  • หากใช้ MEBX ในการกําหนดค่า Intel® AMT หรือ Intel® Standard Manageability ชื่อผู้ใช้และรหัสผ่านเริ่มต้นจะต้องเปลี่ยนเป็นค่าอื่น
  • หากผู้ใช้ไม่สามารถเข้าถึงเมนูได้เนื่องจากรหัสผ่านที่ไม่รู้จัก Intel® AMT หรือ Intel® Standard Manageability จะต้องรีเซ็ตจากโรงงานเพื่อกู้คืนชื่อผู้ใช้และรหัสผ่านเริ่มต้นเพื่อให้แน่ใจว่าไม่มีการกําหนดค่า Intel® AMT หรือ Intel® Standard Manageability ติดต่อผู้ผลิตระบบเกี่ยวกับวิธีการดําเนินการรีเซ็ตดังกล่าว
  • หากผู้ใช้เปลี่ยนรหัสผ่านและการลงชื่อเข้าใช้พวกเขาสามารถไปที่เมนูการกําหนดค่า Intel® AMT หรือ Intel® Standard Manageability และตรวจสอบเพื่อดูว่าตัวเลือก "เปิดใช้งานการเข้าถึงเครือข่าย" นั้นพร้อมใช้งานหรือไม่
    • หากมีตัวเลือกเมนูแสดงอยู่ ซึ่งแสดงว่าไม่มีการกําหนดค่า Intel® AMT หรือ Intel® Standard Manageability
    • หากไม่มีตัวเลือกเมนู Intel® AMT หรือ Intel® Standard Manageability ได้รับการกําหนดค่าบนอุปกรณ์นั้น
  • กําหนดค่า Intel® AMT หรือ Intel® Standard Manageability ได้จากเมนูเดียวกันนี้ การดําเนินการนี้จะเป็นการตรวจสอบให้มั่นใจว่า Intel® AMT หรือ Intel® Standard Manageability ได้รับการกําหนดค่าอย่างถูกต้องหลังจากส่งอุปกรณ์แล้ว