On Sat, Nov 29, 2014 at 08:20:19PM +0100, Paul van der Vlis wrote: > Hallo, > > Ik ben wat bezig geweest met Intel Active Management Technology (AMT), > een techniek die in veel moderne apperatuur zit ingebakken, zoals > laptops, servers, en PC's. Ik had er van gehoord maar wist er nog niet > veel van. > > Ik dacht dat je er niet veel mee te maken had als het maar uit stond, > maar het is maar de vraag of dat klopt. > > De techniek komt er op neer dat iemand op een computer, laptop of server > binnen kan komen buiten het OS om, en eigenlijk alles kan. Dat kan zowel > bedraad als draadloos via wifi, als via 3G. > > Een machine kan ook een encrypted tunnel initiëren naar de beheerder, en > dus in de meeste gevallen door firewalls komen. Door die tunnel kan de > beheerder weer de boel beheren. Ik heb dit niet getest, vond de opties > niet in het webinterface, maar het staat wel in de specs. > > AMT deelt de netwerkinterfaces met het OS, en komt voor het OS. > Het kan eventueel netwerkverkeer filteren. > > AMT kan helemaal remote worden geconfigureerd ("zero touch"), sommige > certificaten worden vertrouwd. Je kunt het wel uitzetten in het bios, > maar een remote beheerder kan het ook aan zetten als ik het goed > begrijp. Wikipedia zegt hierover: "This probably means that AMT is > always listening to open ports to the wild and cannot be disabled at all". > > Het stond default aan in mijn bios, maar er was weinig te configureren. > Ik vond een mogelijkheid om het te configureren in het boot-menu (F12 op > mijn laptop). Rare plek. Bij veel machines schijnt het met ctrl-p te > gaan tijdens het booten. > > Ik moest een paswoord instellen (default was admin/admin), een simpel > paswoord weigert hij, zowel een uppercase, lowercase, cijfer en een > speciaal teken is verplicht, en minstens 8 tekens, alleen verteld het > interface dat niet. > Verder heb ik ook de SMB (small bussisness) mode ingesteld, default is > Enterprise mode, daarvoor heb je Active Directory nodig als ik het goed > begrijp. En hem een hostname gegeven. > > Ik was zo onhandig om eerst AMT en ME in te stellen en toen het bios te > upgraden. Doe dat niet, bij mij duurde booten tot grub opeens 20 > minuten. Pas nadat ik de CMOS batterij enige tijd had verwijderd deed > hij het weer normaal. Die CMOS batterij zat diep verstopt in de laptop. > > Maar goed, uiteindelijk zag ik in de DHCP server dat hij een IP nummer > had gekregen. De beste resultaten had ik in grub. Als je op het pijltje > naar beneden klikt blijft hij in grub en boot niet verder. Ik kon ook > pingen, al is dat wel uit te zetten, en wellicht staat het op sommige > apparaten default uit. > > Ik kon toen connecten via een browser via: http://192.168.0.37:16992 en > ik kreeg een keurig webinterface. Via dat webinterface kon ik wifi > configureren, dat kon niet via het bios. Daarna kon ik ook via wifi > binnenkomen. Een andere poort die gebruikt wordt is 16993, voor https, > bij mij deed die het niet. > > Na het booten van Debian kon ik bedraad niet meer binnenkomen, maar wel > draadloos. Misschien omdat dat komt omdat ik geen firmware geinstalleerd > heb voor de ingebouwde wifi, en er daardoor geen conflict optreed (ik > test op het moment een USB stick met open source firmware). > > Dit is wat oudere apperatuur (Lenovo X200 met AMT versie 4.0.8-build > 1139). Nieuwere versies kunnen ook VNC, en het zou ook moeten werken als > de computer werkt of helemaal uit staat. > > Ik kon overigens niet binnenkomen toen de computer uit stond, maar dat > schijnt wel te kunnen (in elk geval bedraad), je kunt hem op die manier > ook aanzetten en je kunt een Linux command prompt krijgen als je dat > configureert in Linux (serial console). Maar wellicht kan het ook > anders, je kunt bij het geheugen en bij de disk begreep ik. AMT kan b.v. > ook inventariseren wat voor software er op een computer staat. > > Het is aan de ene kant heel mooi voor beheer doeleinden lijkt me, het > werkt zelfs als je geheugen defect is en alles vastgelopen is. Ik heb > ook nog geen mooier tool gezien om bepaalde specs van hardware te kunnen > zien. Het verteld bijvoorbeeld dit over een geheugen module: > -------- > Manufacturer 802C > Serial number 3A4662CA > Size 4096 MB > Speed 1066 MHz > Form factor SODIMM > Type Unknown > Type detail Synchronous > Asset tag 1047 > Part number 16JSF51264HZ-1G4D1 > ------- > > Aan de andere kant is het natuurlijk erg gevaarlijk qua security, je > hebt er helemaal geen grip op. > > Ik heb de indruk dat het bij mij nog niet helemaal stabiel > functioneerde, maar nieuwere versies zijn wellicht beter. > > Groet, > Paul. > > https://software.intel.com/sites/manageability/AMT_Implementation_and_Reference_Guide/default.htm > http://www.intel.com/content/www/us/en/architecture-and-technology/intel-active-management-technology.html > http://en.wikipedia.org/wiki/Intel_Active_Management_Technology > http://en.wikipedia.org/wiki/Intel_AMT_versions > http://en.wikipedia.org/wiki/Intel_vPro > http://www.thomas-krenn.com/en/wiki/Intel_Active_Management_Technology > > > > Module 1 > Manufacturer 802C > Serial number 3A4662CA > Size 4096 MB > Speed 1066 MHz > Form factor SODIMM > Type Unknown > Type detail Synchronous > Asset tag 1047 > Part number 16JSF51264HZ-1G4D1 > > > > > -- > Paul van der Vlis Linux systeembeheer, Groningen > http://www.vandervlis.nl > > > -- > To UNSUBSCRIBE, email to debian-user-dutch-request@lists.debian.org > with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org > Archive: https://lists.debian.org/547A1C73.5000608@vandervlis.nl > Wat een griezelverhaal. Goed dat het vertelt wordt. Zo wordt bekend wat er aan vergif verkocht wordt. Groeten Geert Stappers -- Leven en laten leven
Attachment:
signature.asc
Description: Digital signature