Intel Active Management Technology ( AMT ) es hardware y firmware para la administración remota fuera de banda de computadoras comerciales seleccionadas, [1] [2] [3] [4] [5] que se ejecutan en Intel Management Engine , un microprocesador separado no expuestos al usuario, con el fin de monitorearlos, mantenerlos, actualizarlos, actualizarlos y repararlos. [1] La administración fuera de banda (OOB) o basada en hardware es diferente de la administración basada en software (o en banda ) y los agentes de administración de software. [1] [2]
La gestión basada en hardware funciona a un nivel diferente al de las aplicaciones de software y utiliza un canal de comunicación (a través de la pila TCP / IP ) que es diferente de la comunicación basada en software (que es a través de la pila de software en el sistema operativo). La administración basada en hardware no depende de la presencia de un sistema operativo o un agente de administración instalado localmente. La administración basada en hardware ha estado disponible en computadoras basadas en Intel / AMD en el pasado, pero se ha limitado en gran medida a la configuración automática usando DHCP o BOOTP para la asignación dinámica de direcciones IP y estaciones de trabajo sin disco , así como wake-on-LAN (WOL ) para encender sistemas de forma remota. [6]AMT no está destinado a ser utilizado por sí mismo; está destinado a ser utilizado con una aplicación de gestión de software. [1] Le da a una aplicación de administración (y por lo tanto, al administrador del sistema que la usa) acceso a la PC a través del cable, para realizar de forma remota tareas que son difíciles o, a veces, imposibles cuando se trabaja en una PC que no tiene funcionalidades remotas. construido en él. [1] [3] [7]
AMT está diseñado en un procesador secundario (de servicio) ubicado en la placa base, [8] y utiliza comunicación protegida por TLS y encriptación sólida para brindar seguridad adicional. [2] AMT está integrado en PC con tecnología Intel vPro y se basa en Intel Management Engine (ME). [2] AMT ha avanzado hacia un mayor soporte para los estándares DMTF Desktop y Mobile Architecture for System Hardware (DASH) y AMT Release 5.1 y versiones posteriores son una implementación de los estándares DASH versión 1.0 / 1.1 para la gestión fuera de banda. [9] AMT proporciona una funcionalidad similar a IPMI, aunque AMT está diseñado para sistemas informáticos de cliente en comparación con el IPMI típicamente basado en servidor.
Actualmente, AMT está disponible en computadoras de escritorio, servidores, ultrabooks, tabletas y computadoras portátiles con la familia de procesadores Intel Core vPro , incluidos Intel Core i5, Core i7, Core i9 y la familia de productos Intel Xeon E3-1200, Xeon E, Xeon W-1200. [1] [10] [11]
Intel confirmó un error de Elevación remota de privilegios ( CVE - 2017-5689 , SA-00075) en su Tecnología de administración el 1 de mayo de 2017. [12] Cada plataforma Intel con Capacidad de administración estándar, Tecnología de administración activa o Tecnología para pequeñas empresas de Intel, de Nehalem en 2008 a Kaby Lake en 2017 tiene un agujero de seguridad explotable de forma remota en el ME. [13] [14] Algunos fabricantes, como Purism [15] y System76 [16]ya están vendiendo hardware con Intel Management Engine desactivado para evitar el exploit remoto. Intel confirmó el 20 de noviembre de 2017 fallas de seguridad importantes adicionales en el ME que afectan a una gran cantidad de computadoras que incorporan el firmware de Management Engine, Trusted Execution Engine y Server Platform Services , desde Skylake en 2015 hasta Coffee Lake en 2017 (SA- 00086).
Aunque iAMT puede incluirse de forma gratuita en dispositivos vendidos al público y a pequeñas empresas, las capacidades completas de iAMT, incluido el acceso remoto cifrado a través de un certificado de clave pública y el aprovisionamiento remoto automático de dispositivos de clientes iAMT no configurados, no son accesibles de forma gratuita para los usuarios. público en general oa los propietarios directos de dispositivos equipados con iAMT. iAMT no puede ser utilizado en su totalidad a su máximo potencial sin tener que comprar software o servicios adicionales de gestión de Intel u otra tercera parte proveedor independiente de software (ISV) o revendedor de valor agregado (VAR).