INTEL-SA-00709 的支持信息和英特尔® 主动管理技术和英特尔® Standard Manageability咨询
INTEL-SA-00709 英特尔® 主动管理技术 (英特尔® AMT) 和英特尔® Standard Manageability建议
相关内容
本文面向 IT 从业人员。个人用户应从其系统制造商获得具体指导。
CVE-2022-30601 和 CVE-2022-30944 概述
当英特尔® AMT和英特尔® Standard Manageability部署选择使用非 TLS(传输层安全性)时,可能会暴露 CVE-2022-30601 和 CVE-2022-30944。 以下文档中讨论了与这两个 CVE 相关的部署安全最佳实践。
针对 CVE-2022-30601 和 CVE-2022-30944 的建议
英特尔建议用户遵循现有的安全最佳实践和替代安全控制措施,包括: 启用和使用传输层安全性 (TLS)(英特尔® AMT和英特尔® Standard Manageability)。英特尔还建议所有英特尔® AMT和英特尔® Standard Manageability客户迁移到 TLS 端口。未来的英特尔® AMT和英特尔® Standard Manageability实现将不再具有非 TLS 选项。为方便当前使用非 TLS 端口的客户实现此过渡,英特尔将通过基于第 12 代英特尔® 酷睿™处理器的平台继续支持英特尔® AMT和英特尔® Standard Manageability中的非 TLS TCP/IP 端口(以及 TLS)。第 12 代英特尔® 酷睿™处理器之后的平台在英特尔® AMT和英特尔® Standard Manageability仅支持 TLS 端口。
CVE-2022-30601 的更多详细信息
英特尔® AMT 和 英特尔® Standard Manageability 支持 HTTP 基本和 HTTP 摘要式身份验证。在没有 TLS 的情况下使用时,基本或摘要模式下的密码容易受到拦截和重播固件英特尔® AMT和英特尔® Standard Manageability凭据的影响。
- 对于收到的系统未使用 英特尔® EMA 配置的用户,英特尔建议执行验证是否启用了 TLS 所需的特定步骤( 可在 此处 下载)。这将确保在交付设备后正确配置英特尔® AMT和英特尔® Standard Manageability。
- 英特尔® AMT和英特尔® Standard Manageability支持配置旨在启用 TLS 安全性,而无需取消配置和重新配置。请注意,客户用于配置和使用英特尔® AMT和英特尔® Standard Manageability的软件工具还必须支持 TLS。
- 英特尔® Endpoint Management Assistant (英特尔® EMA) 将设备配置为使用 TLS。
CVE-2022-30944 的其他详细信息
英特尔® AMT 和 英特尔® Standard Manageability 支持 HTTP 基本和 HTTP 摘要式身份验证。在没有 TLS 的情况下使用时,通过端口 16992 的事务的原始有效负载以纯文本形式在操作系统的内存中公开,从而公开英特尔® AMT和英特尔® Standard Manageability凭据。
- 英特尔® AMT或英特尔® Standard Manageability容易受到通过特权用户进行信息检索的影响,该特权用户能够直接访问操作系统内存中未加密的英特尔® AMT或英特尔® Standard Manageability密码。
- 若要缓解此问题,英特尔® AMT并英特尔® Standard Manageability v14 或更高版本,并在激活英特尔® AMT和英特尔® Standard Manageability时建议使用英特尔® EMA等远程管理软件,因为它们使用 TLS 加密进行激活,并通过基于操作系统的软件堆栈与英特尔® AMT和英特尔® Standard Manageability通信。
- 英特尔® AMT和英特尔® Standard Manageability固件版本 11.8.x 到 12.x 不支持带内激活 TLS。
- 如果添加用户或更改英特尔® AMT或英特尔® Standard Manageability的用户凭据,请仅通过英特尔® AMT或英特尔® Standard Manageability TLS 使用远程控制台。
CVE-2022-28697概述
如果未设置 BIOS 密码来保护 英特尔® Management Engine BIOS Extension 中的英特尔® AMT配置(英特尔® MEBx),CVE-2022-28697 可能会暴露。以下文档中讨论了 BIOS 密码安全最佳实践:
CVE-2022-28697 建议
英特尔建议用户遵循现有的安全最佳实践和替代性安全控制措施,包括: 在英特尔® Management Engine BIOS Extension上启用 BIOS 密码保护 (英特尔® MEBX)。从系统制造商处收到系统后立即英特尔® AMT或英特尔® Standard Manageability设置非默认密码。
CVE-2022-28697 的更多详细信息
具有平台物理访问权限的未经身份验证的用户或许能够在最终用户不知情的情况下设置 AMT。
请注意,以下步骤仅供参考,可能因系统制造商而异。
- 用户可以通过在引导过程中访问 MEBX 来验证是否已配置英特尔® AMT或英特尔® Standard Manageability。
- 如果使用 MEBX 配置 英特尔® AMT 或 英特尔® Standard Manageability,则必须将默认用户名和密码更改为另一个值。
- 如果用户由于密码未知而无法访问菜单,则需要将英特尔® AMT或英特尔® Standard Manageability恢复出厂设置以恢复默认用户名和密码,以确保未配置英特尔® AMT或英特尔® Standard Manageability。请与系统制造商联系,了解如何执行此类重置。
- 如果用户更改密码并登录,他们可以转到“英特尔® AMT”或“英特尔® Standard Manageability配置”菜单,并检查“激活网络访问”选项是否可用。
- 如果存在菜单选项,则表示未配置英特尔® AMT或英特尔® Standard Manageability。
- 如果该菜单选项不存在,则表示已在该设备上配置了英特尔® AMT或英特尔® Standard Manageability。
- 可以从同一菜单中取消配置英特尔® AMT或英特尔® Standard Manageability。这将确保在交付设备后正确配置英特尔® AMT或英特尔® Standard Manageability。