rudeboy
Goto Top

Handhabung Sicherheitslücke im Intel ME

Mahlzeit zusammen,

wie handhabt ihr die Sicherheitslücke im Intel ME?
https://www.heise.de/security/meldung/Sicherheitsluecke-in-vielen-Intel- ...

Da man das erst aktivieren und einrichten muss mach ich mir eigentlich keine Sorgen da wir es nicht benutzen.
Leider möchte der IT-Verantwortliche quasi einen "Beweis" dafür dass das auf allen Rechnern nicht vorhanden bzw aktiviert ist.

Gibt es eventuell eine Batch um das zB per Login-Script wegschreiben zu lassen?

Gruß, rudeboy

Content-ID: 336729

Url: https://administrator.de/forum/handhabung-sicherheitsluecke-im-intel-me-336729.html

Ausgedruckt am: 22.12.2024 um 19:12 Uhr

sabines
sabines 03.05.2017 aktualisiert um 13:09:55 Uhr
Goto Top
Moin,

die Lücke hat auch was mit der AMT Lücke zu tun:

https://www.heise.de/security/meldung/BSI-warnt-vor-Risiko-bei-Intels-Fe ...

Zitat: "Laut BSI sind AMT-Systeme jedoch nicht vor einer unerwünschten AMT-Aktivierung geschützt, wenn AMT im BIOS-Setup nicht eingeschaltet wurde, selbst wenn der Aufruf des BIOS-Setup mit einem Passwort geschützt ist. Es reicht auch nicht, im BIOS-Setup das Booten von USB-Speichermedien zu verbieten."

Es reicht also wirklich NICHT aus, davon auszugehen, dass es nicht benutzt wird.

Am einfachsten rollst Du über eine GPO ein sc config LMS start=disabled aus und löschst danach den Dienst.

Gruss
sabines
sabines 03.05.2017 aktualisiert um 13:15:51 Uhr
Goto Top
Nachtrag:

Wenn Du Treiberupdates über Systemtools der Hersteller nachlädst, bspw. "Lenovo Akualisierung und Teiber" o.ä., kann es passieren, dass diese AMT Treiber und Dienste immer wieder installiert werden, daher ist es ratsam die GPO dauerhaft zu belassen, und die EXE auf den HDs zu löschen.

Und wenn's unbedingt sein muss, lässt Du das "Detection Tool" in einem Computer Start Up Skript alles auflisten und dokumentierst das.
Wie das geht steht im Link (PDF) aus Deinem Post.

Gruss
rudeboy
rudeboy 03.05.2017 um 13:18:39 Uhr
Goto Top
Schon mal danke für den Tip den Dienst (das reicht?!) per GPO zu deaktivieren.
Haben in der Tat ein paar Lenovo-Geräte im Haus, aber die aktualisieren sich doch nicht selbständig?
Jedenfalls starte ich das "Lenovo System Update" bei einer Gerätewartung manuell und es werden mir dann gegebenenfalls neue Elemente angezeigt.
Ok, man weiß aber nie was die Software vielleicht im Hintergrund so alles tut. ;)
sabines
sabines 03.05.2017 um 13:38:50 Uhr
Goto Top
Moin,

Du kannst im Lenovo einstellen, dass selbständig nach Updates gesucht und installiert werden soll, das musst Du dann ggfs. deaktivieren oder den ganzen Lenovo Bloatware Kram komplett deinstallieren.

Die Tipps sind in den Links enthalten, also nicht meine geistige Arbeit face-wink

Gruss