即使Intel AMT已禁用，USB 配置也可能会被利用-联想乐享知识库

即使Intel AMT已禁用，USB 配置也可能会被利用 问题:漏洞与防护 Lenovo 安全公告：LEN-3556 潜在影响：系统遭受不想要的本地 AMT 配置 重要性：中 摘要：如果某些系统的 Intel AMT 技术安装在多个供应商的多台 PC 上，那么这些系统可能可由拥有对系统的物理访问权限（通过特殊格式的 USB 驱动器实现）的某些人进行配置，即使 AMT 被认为在 BIOS 中已禁用也是如此。 德国联邦信息安全局（BSI）发现，一些采用 Intel Active Management Technology（AMT）的系统可能存在安全问题。AMT 是一项专为企业发现、修复和保护联网计算资产而设计的 Intel 技术。只要系统连接电源和网络，AMT 就会在操作系统下运行并提供带外系统访问权限，无论操作系统状态或电源状态如何。AMT 技术使用位于 Intel 芯片组内的 Intel Manageability Engine（ME）。 为使用 AMT，系统必须通过一个名为“配置”的流程。此流程用于将计算机连接至用于管理流程的远程计算机。要执行配置，一种方式是插入经特殊格式化的 USB 驱动器，此驱动器包含关于如何连接远程管理计算机的信息。此 USB 驱动器必须包含本地系统的 MEBx 密码才能对系统进行配置。MEBx 密码由 Intel 预配置为一个众所周知的默认值，之后由用户或管理员在配置流程期间进行更改或通过 Intel Management Setup 界面手动更改。 在某些系统上，即使 AMT 被认为在 BIOS 中已禁用，USB 配置仍可能会被利用。如果攻击者获得对系统的物理访问权限，他们可能会插入经特殊格式化的 USB 驱动器，从而将系统与其管理系统连接并控制有漏洞的系统。为此，他们必须知道系统的 MEBx 密码。 发现此漏洞后，Intel 将面向准备实施 AMT 的供应商发布更新的建议。Lenovo 将在这些建议发布后将其整理到一起。 解决方案： 应采取哪些措施进行自我保护： Lenovo 将针对受影响的系统发布更新版 BIOS，允许客户在 BIOS 中手动禁用 USB 配置。在此期间，Intel 建议客户遵循 IT 最佳实践以对计算机系统的物理访问权限和密码进行管理。用户应采取以下某种方法来更改众所周知的 Intel AMT 默认密码，从而防止不想要的 USB 配置： - 将 Intel AMT 计算机系统远程配置成管理员控制模式（请参阅此处 和 此处，了解关于如何进行此操作的说明）。 - 使用 USB 驱动器在本地更改 MEBX 密码（请参阅此处 和 此处，了解关于如何进行此操作的说明）。 - 通过引导至 Intel Management Engine 设置，在本地更改 MEBX 密码 在本地更改默认 MEBX 密码的步骤（根据 BIOS 语言，步骤可能略有不同）： 1、在系统启动时按下“Ctrl+P”以访问 Intel Management Engine 设置 2、选择“登录 MEBx”，系统将出现输入密码的提示。如果之前未配置密码，则默认密码为“admin”。 3、之后，系统将出现设置新密码的提示。此新密码需要包含至少 1 个大写字母、1 个小写字母、1 个数字和 1 个特殊字符，并且长度至少应为 8 个字符。 配置好新密码后，如果用户不希望更改任何其他 AMT 设置，则可以选择“退出 MEBx”。 如果用户没有看到用于访问 Intel Management Engine 的“按下 Ctrl+P”选项，则可在系统启动时按下 F1 以进入 BIOS 设置。导航至“高级”，确保将“按下 以进入 MEBx”设置为 [已启用]。 受影响的产品： ThinkCentre： 系统 状态 最低版本，包括修复程序 链接 E73Z 未受影响 E93 受到影响 目标上市时间：2015 年 11 月 30 日 E93Z 未受影响 Edge 62z 未受影响 Edge 63z 未受影响 Edge 72 未受影响 Edge 72z 未受影响 Edge 92z 未受影响 M53 未受影响 M62Z 未受影响 M72e（Ivy） 未受影响 M72e（PCI） 未受影响 M72e（Tiny） 未受影响 M72z 未受影响 M73 未受影响 M73（Tiny） 未受影响 M73Z 未受影响 M79 未受影响 M83 受到影响 目标上市时间：2015 年 11 月 30 日 M83Z 未受影响 M92 受到影响 目标上市时间：2015 年 11 月 30 日 M92P 受到影响 目标上市时间：2015 年 11 月 30 日 M92Z 受到影响 目标上市时间：2015 年 11 月 30 日 M93 受到影响 目标上市时间：2015 年 11 月 30 日 M93P 受到影响 目标上市时间：2015 年 11 月 30 日 M93P（Tiny） 受到影响 目标上市时间：2015 年 11 月 30 日 M93Z 受到影响 目标上市时间：2015 年 11 月 30 日 ThinkCentre M78（类型 10BN-10BQ-10BR-10BS-10BT-10BU） 未受影响 ThinkCentre M78（类型 1562-1565-1662-1663-1766-2111-2113-2114-4860-4863-4865-4866-5100） 未受影响 ThinkPad： · Lenovo 笔记本电脑 · ThinkCentre · ThinkPad · ThinkServer · ThinkStation 系统 状态 最低版本，包括修复程序 链接 ThinkPad 10（Ella-2） 正在研究 ThinkPad 11e 正在研究 ThinkPad 11e/Yoga 11e（Beema） 正在研究 ThinkPad 11e/Yoga 11e（Broadwell） 正在研究 ThinkPad 13e 正在研究 ThinkPad E450/E450c/E550/E550c 正在研究 ThinkPad E455/E555 正在研究 ThinkPad Edge E130 正在研究 ThinkPad Edge E135 正在研究 ThinkPad Edge E145 正在研究 ThinkPad Edge E330 正在研究 ThinkPad Edge E335 正在研究 ThinkPad Edge E430/E430c/E530/E503c 正在研究 ThinkPad Edge E431/E531 正在研究 ThinkPad Edge E435/E535 正在研究 ThinkPad Edge E440/E540 正在研究 ThinkPad Edge E455/E555 正在研究 ThinkPad Edge S430 正在研究 ThinkPad Helix（20CG-20CH） 正在研究 ThinkPad Helix（3xxx） 正在研究 ThinkPad L330 正在研究 ThinkPad L430 正在研究 ThinkPad L440/L540 正在研究 ThinkPad L450 正在研究 Thin