4
Handhabung Sicherheitslücke im Intel ME
Mahlzeit zusammen,
wie handhabt ihr die Sicherheitslücke im Intel ME?
https://www.heise.de/security/meldung/Sicherheitsluecke-in-vielen-Intel- ...
Da man das erst aktivieren und einrichten muss mach ich mir eigentlich keine Sorgen da wir es nicht benutzen.
Leider möchte der IT-Verantwortliche quasi einen "Beweis" dafür dass das auf allen Rechnern nicht vorhanden bzw aktiviert ist.
Gibt es eventuell eine Batch um das zB per Login-Script wegschreiben zu lassen?
Gruß, rudeboy
wie handhabt ihr die Sicherheitslücke im Intel ME?
https://www.heise.de/security/meldung/Sicherheitsluecke-in-vielen-Intel- ...
Da man das erst aktivieren und einrichten muss mach ich mir eigentlich keine Sorgen da wir es nicht benutzen.
Leider möchte der IT-Verantwortliche quasi einen "Beweis" dafür dass das auf allen Rechnern nicht vorhanden bzw aktiviert ist.
Gibt es eventuell eine Batch um das zB per Login-Script wegschreiben zu lassen?
Gruß, rudeboy
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 336729
Url: https://administrator.de/contentid/336729
Printed on: April 18, 2024 at 23:04 o'clock
4 Comments
Latest comment
Moin,
die Lücke hat auch was mit der AMT Lücke zu tun:
https://www.heise.de/security/meldung/BSI-warnt-vor-Risiko-bei-Intels-Fe ...
Zitat: "Laut BSI sind AMT-Systeme jedoch nicht vor einer unerwünschten AMT-Aktivierung geschützt, wenn AMT im BIOS-Setup nicht eingeschaltet wurde, selbst wenn der Aufruf des BIOS-Setup mit einem Passwort geschützt ist. Es reicht auch nicht, im BIOS-Setup das Booten von USB-Speichermedien zu verbieten."
Es reicht also wirklich NICHT aus, davon auszugehen, dass es nicht benutzt wird.
Am einfachsten rollst Du über eine GPO ein sc config LMS start=disabled aus und löschst danach den Dienst.
Gruss
die Lücke hat auch was mit der AMT Lücke zu tun:
https://www.heise.de/security/meldung/BSI-warnt-vor-Risiko-bei-Intels-Fe ...
Zitat: "Laut BSI sind AMT-Systeme jedoch nicht vor einer unerwünschten AMT-Aktivierung geschützt, wenn AMT im BIOS-Setup nicht eingeschaltet wurde, selbst wenn der Aufruf des BIOS-Setup mit einem Passwort geschützt ist. Es reicht auch nicht, im BIOS-Setup das Booten von USB-Speichermedien zu verbieten."
Es reicht also wirklich NICHT aus, davon auszugehen, dass es nicht benutzt wird.
Am einfachsten rollst Du über eine GPO ein sc config LMS start=disabled aus und löschst danach den Dienst.
Gruss
Nachtrag:
Wenn Du Treiberupdates über Systemtools der Hersteller nachlädst, bspw. "Lenovo Akualisierung und Teiber" o.ä., kann es passieren, dass diese AMT Treiber und Dienste immer wieder installiert werden, daher ist es ratsam die GPO dauerhaft zu belassen, und die EXE auf den HDs zu löschen.
Und wenn's unbedingt sein muss, lässt Du das "Detection Tool" in einem Computer Start Up Skript alles auflisten und dokumentierst das.
Wie das geht steht im Link (PDF) aus Deinem Post.
Gruss
Wenn Du Treiberupdates über Systemtools der Hersteller nachlädst, bspw. "Lenovo Akualisierung und Teiber" o.ä., kann es passieren, dass diese AMT Treiber und Dienste immer wieder installiert werden, daher ist es ratsam die GPO dauerhaft zu belassen, und die EXE auf den HDs zu löschen.
Und wenn's unbedingt sein muss, lässt Du das "Detection Tool" in einem Computer Start Up Skript alles auflisten und dokumentierst das.
Wie das geht steht im Link (PDF) aus Deinem Post.
Gruss
Schon mal danke für den Tip den Dienst (das reicht?!) per GPO zu deaktivieren.
Haben in der Tat ein paar Lenovo-Geräte im Haus, aber die aktualisieren sich doch nicht selbständig?
Jedenfalls starte ich das "Lenovo System Update" bei einer Gerätewartung manuell und es werden mir dann gegebenenfalls neue Elemente angezeigt.
Ok, man weiß aber nie was die Software vielleicht im Hintergrund so alles tut. ;)
Haben in der Tat ein paar Lenovo-Geräte im Haus, aber die aktualisieren sich doch nicht selbständig?
Jedenfalls starte ich das "Lenovo System Update" bei einer Gerätewartung manuell und es werden mir dann gegebenenfalls neue Elemente angezeigt.
Ok, man weiß aber nie was die Software vielleicht im Hintergrund so alles tut. ;)
Moin,
Du kannst im Lenovo einstellen, dass selbständig nach Updates gesucht und installiert werden soll, das musst Du dann ggfs. deaktivieren oder den ganzen Lenovo Bloatware Kram komplett deinstallieren.
Die Tipps sind in den Links enthalten, also nicht meine geistige Arbeit
Gruss
Du kannst im Lenovo einstellen, dass selbständig nach Updates gesucht und installiert werden soll, das musst Du dann ggfs. deaktivieren oder den ganzen Lenovo Bloatware Kram komplett deinstallieren.
Die Tipps sind in den Links enthalten, also nicht meine geistige Arbeit
Gruss
