Handhabung Sicherheitslücke im Intel ME
Mahlzeit zusammen,
wie handhabt ihr die Sicherheitslücke im Intel ME?
https://www.heise.de/security/meldung/Sicherheitsluecke-in-vielen-Intel- ...
Da man das erst aktivieren und einrichten muss mach ich mir eigentlich keine Sorgen da wir es nicht benutzen.
Leider möchte der IT-Verantwortliche quasi einen "Beweis" dafür dass das auf allen Rechnern nicht vorhanden bzw aktiviert ist.
Gibt es eventuell eine Batch um das zB per Login-Script wegschreiben zu lassen?
Gruß, rudeboy
wie handhabt ihr die Sicherheitslücke im Intel ME?
https://www.heise.de/security/meldung/Sicherheitsluecke-in-vielen-Intel- ...
Da man das erst aktivieren und einrichten muss mach ich mir eigentlich keine Sorgen da wir es nicht benutzen.
Leider möchte der IT-Verantwortliche quasi einen "Beweis" dafür dass das auf allen Rechnern nicht vorhanden bzw aktiviert ist.
Gibt es eventuell eine Batch um das zB per Login-Script wegschreiben zu lassen?
Gruß, rudeboy
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 336729
Url: https://administrator.de/forum/handhabung-sicherheitsluecke-im-intel-me-336729.html
Ausgedruckt am: 22.12.2024 um 19:12 Uhr
4 Kommentare
Neuester Kommentar
Moin,
die Lücke hat auch was mit der AMT Lücke zu tun:
https://www.heise.de/security/meldung/BSI-warnt-vor-Risiko-bei-Intels-Fe ...
Zitat: "Laut BSI sind AMT-Systeme jedoch nicht vor einer unerwünschten AMT-Aktivierung geschützt, wenn AMT im BIOS-Setup nicht eingeschaltet wurde, selbst wenn der Aufruf des BIOS-Setup mit einem Passwort geschützt ist. Es reicht auch nicht, im BIOS-Setup das Booten von USB-Speichermedien zu verbieten."
Es reicht also wirklich NICHT aus, davon auszugehen, dass es nicht benutzt wird.
Am einfachsten rollst Du über eine GPO ein sc config LMS start=disabled aus und löschst danach den Dienst.
Gruss
die Lücke hat auch was mit der AMT Lücke zu tun:
https://www.heise.de/security/meldung/BSI-warnt-vor-Risiko-bei-Intels-Fe ...
Zitat: "Laut BSI sind AMT-Systeme jedoch nicht vor einer unerwünschten AMT-Aktivierung geschützt, wenn AMT im BIOS-Setup nicht eingeschaltet wurde, selbst wenn der Aufruf des BIOS-Setup mit einem Passwort geschützt ist. Es reicht auch nicht, im BIOS-Setup das Booten von USB-Speichermedien zu verbieten."
Es reicht also wirklich NICHT aus, davon auszugehen, dass es nicht benutzt wird.
Am einfachsten rollst Du über eine GPO ein sc config LMS start=disabled aus und löschst danach den Dienst.
Gruss
Nachtrag:
Wenn Du Treiberupdates über Systemtools der Hersteller nachlädst, bspw. "Lenovo Akualisierung und Teiber" o.ä., kann es passieren, dass diese AMT Treiber und Dienste immer wieder installiert werden, daher ist es ratsam die GPO dauerhaft zu belassen, und die EXE auf den HDs zu löschen.
Und wenn's unbedingt sein muss, lässt Du das "Detection Tool" in einem Computer Start Up Skript alles auflisten und dokumentierst das.
Wie das geht steht im Link (PDF) aus Deinem Post.
Gruss
Wenn Du Treiberupdates über Systemtools der Hersteller nachlädst, bspw. "Lenovo Akualisierung und Teiber" o.ä., kann es passieren, dass diese AMT Treiber und Dienste immer wieder installiert werden, daher ist es ratsam die GPO dauerhaft zu belassen, und die EXE auf den HDs zu löschen.
Und wenn's unbedingt sein muss, lässt Du das "Detection Tool" in einem Computer Start Up Skript alles auflisten und dokumentierst das.
Wie das geht steht im Link (PDF) aus Deinem Post.
Gruss