web-dev-qa-db-ja.com

インテルマネジメントエンジンについて何ができますか?

最近、コンピューターを完全に制御できる新しいIntelプロセッサーの特別な領域であるIntel ME(Management Engine)について読みました。それが何を含んでいるのか正確には誰も知りません、そしてそれについて多くのセキュリティ上の懸念があります。私はそれについてここで学びました:
https://stallman.org/intel.html

これについて私は何ができますか?これを止める方法はありますか、それとも絶望的ですか?

privacyremote-desktopbackdoor
30
888

オンボードNICを使用しないでください。これは、MEがインターネットにアクセスする方法です。代わりに、USB LANデバイス、またはPCIスロットに接続されたデバイスを使用してください。MEはそれらの使用方法を認識していません。

7
burrito

me_cleaner を使用して、MEの最も重要な部分を除くすべてをワイプできます。もちろん、これにはリスクがないわけではありません。

NSA Intelにkillswitchをインストールしてもらいました ;特別なBIOSアップデートでOEMにこれを有効にしてもらうことができます(または、一部のOEM(Purism、System76、およびDell)は、 2017の脆弱性 をきっかけに、特定のコンピューターでこれをオプションとして提供し始めました。

7
Miles B Huff

BIOSでAMT機能を無効にしてみてください。

  1. 「チップセットの高度な機能」、「Intel AMT」(正確な表現は異なる場合があります)に移動し、「無効」に設定します。 BIOSを保存して終了します。

  2. 次に、コンピューターの電源が再び入ったら、Ctrl + Pを押してAMTメニューに入り、「Intel ME Con​​trol State」を「Disabled」に設定します。

ただし、これらのトグルが何を行うかをインテル以外の誰も知りません。また、AMTが知らないうちに自分自身を再度有効にできるかどうかは、まったく別の問題です(これについては多くの噂が流れていますが、私は中立的な立場をとっています少なくとも、インターネットから切断されている限り、(ほとんど)安全です。).

別のオプションは、AMT以前のハードウェアを使用することです。

Quoth Intel:

多くのインテル®チップセットベースのプラットフォームに組み込まれているのは、インテル®マネジメントエンジン(インテル®ME)と呼ばれる小型の低電力コンピューターサブシステムです。これは、システムのスリープ中、ブートプロセス中、およびシステムの実行中にさまざまなタスクを実行します。 PCから最大のパフォーマンスと機能を引き出すには、このサブシステムが正しく機能していることが重要です。このユーティリティは、インテル®MEサブシステムが実行されており、オペレーティングシステムまで正常に通信していることを確認します。これにより、システムビルダーやユーザーは、システムの起動やパフォーマンスの問題が発生した場合でも、Intel®MEが問題の原因ではないことを理解できます。

6
Lester T.

LibreBootのFAQ によると、IntelのCPUだけがこの「機能」を備えたチップではありません-AMDはまさにそのようなものを持っています。安全性を高めたい人は、最新のCPUを使用しません。 LibreBootのWebサイトにリストされているCPUのどれにもIntel MEが付属していません。

4
gmlox

完全かつ永続的に(再インストールしない限り)WindowsでIntel Active Management Technology、Intel Small Business Technology、およびIntel Standard Manageabilityを無効にします。これらはIntel Management Engineファームウェアのコンポーネントです。 Intel MEが実行されている間、Windowsドライバーは無効になり、Intel MEはWindowsにアクセスできなくなります。

1) インテルセットアップおよび構成ソフトウェア(インテルSCS) をダウンロードして解凍します。

2) 管理者コマンドプロンプト を開き、手順1でファイルを抽出した場所に移動します。

  • cd Configuratorを実行します

3)コマンドプロンプトで、ACUConfig.exe UnConfigureを実行します。エラーが発生した場合は、以下のオプションのいずれかを試してください。

  • RCS統合なしのACMでのシステムの構成解除:ACUConfig.exe UnConfigure /AdminPassword <password> /Full

  • RCS統合によるシステムの構成解除:ACUConfig.exe UnConfigure /RCSaddress <RCSaddress> /Full

4)コマンドプロンプトで、LMS(Intel Management and Security Application Local Management Service)を無効または削除します。

  • sc config LMS start=disabled
  • sc delete LMS
  • また、sc qc LMSを実行すると、LMS.exeへのパスまたはFAILが表示されます。パスが表示された場合は、エクスプローラーを使用して削除します。失敗しても、心配する必要はありません。

5)再起動

6)クライアントのIntel ME Internet Assigned Names Authority(IANA)ポート(16992、16993、16994、16995、623、および664)で待機しているソケットがまだあるかどうかを確認します(または、 Intel MEが「Unconfigured」であることがIntel AMT GUIに示されている場合でも、Intel MEはリッスンします)

  • コマンドプロンプト(昇格する必要はありません)で、netstat -na | findstr "\<16993\> \<16992\> \<16994\> \<16995\> \<623\> \<664\>"を実行します。

7)Intel AMT GUIに「残りの両方のタブで情報が利用できない」と表示されます(上記の手順を実行する前に3つ以上のタブがあった可能性があります)

enter image description hereenter image description here

Voilá、Intel AMTを削除しました。そして、あなたは 正しいことをした を、特に 2017-05-01特権エスカレーションの問題の後

これから source (免責事項、それは私自身のブログです)

3
Gaia