AMT 安全建議

國家資通安全會報 技術服務中心

1

大綱

● AMT簡介

● AMT風險威脅

●安全建議

2

AMT簡介

● Intel AMT主動管理技術是內嵌於英特爾vPro 架

構平台的一項管理功能，獨立於操作系統運行，

即使平台已經關閉，只要平台仍與電源線和網絡

相連，遠程管理人員仍可以安全地訪問Intel AMT。

獨立軟體開發商（ISV）可利用API來設定AMT

特性的各種應用。

3

AMT簡介

● Intel AMT主動管理技術

處理器

• 英特爾® 支援處理器

晶片組

安全性與可管理性

• 管理引擎

• 非揮發性記憶體

• 英特爾® 主動管理技術

網路

網路連接

•英特爾® 主動管理技術

4

● Intel AMT適用情境

AMT簡介

● AMT簡介

減少工作中斷與IT技術人員負擔

電腦異常無法開機 1

電腦主機/NB IT 人員 網路

通知IT人員(電話) 2

遠端遙控重開機電腦 3

遠端診斷日誌，更新驅動，並修復電腦

2

4

5

AMT簡介

●優 化資產管理

–即使電腦關機，IT人員也能了解資產情況

●縮短停機時間

– 使遠端診斷及重新開機不再有任何障礙，即使系統癱瘓，

IT人員同樣可以遠程進行修復或重建

●減少臨機維護

–事件日誌功能還能幫助IT人員快速檢測問題，縮短停機

時間

–遠端關閉電腦網路連線，降低病毒威脅

6

AMT風險威脅

Internet

內部網路

16992、16993、16994及16995

(TLS )

Intel AMT

Intel AMT

Intel AMT

MIS

部分出廠主機預設啟用Intel

AMT 功能

7

AMT風險威脅

●取得管理主機控制權

–派送惡意程式

–安裝惡意軟體

–清除修改事件日誌

●取得使用者端電腦控制權

–透過使用者端感染散播病毒

–監聽竄改機敏資料

–打包上傳機敏檔案

8

安全建議

●將AMT功能列為管制項目，以原則關閉例外開放

之原則進行管理，預設停用AMT功能

9

安全建議

●將AMT功能列為管制項目，以原則關閉例外開放

之原則進行管理，預設停用AMT功能

–若有需求使用，啟用AMT功能後，則應由管理員管理密

碼，除應定期修改預設密碼外，密碼應具備密碼複雜度

強度，例如『P@ssw0rd』

建議應符合以下密碼原則

♦最小長度：8個字元

♦至少有一個數字字元：0 ... 9

♦至少有一個非字母數字字元：！，$，〜，＃，_，+， - ...

♦字母：小寫字母（A，B，...，Z）和大寫字母（A，B，...，Z）

10

安全建議

●修改預設密碼，密碼應具備密碼複雜度，並定期

修改

11

安全建議

●防火牆應針對AMT所使用的通訊埠進行監控管制，

預設阻擋所有流量，若需要則與防火牆管理員申

請例外開放，若啟用AMT服務，則另啟用通訊埠

為16992、16993、16994及16995之流量

–申請使用之需求也應該在防火牆上設定點對點存取，避

免未經授權的來源進行存取

12

安全建議

●處理機敏公務之設備，應考量實體隔離原則，管

理員定期檢查AMT功能有無啟用，避免設備將機

敏資訊透由網路傳輸

13

報告完畢

敬請指教