アカウント名:
パスワード:
バージョン1.6(thinkpad x61)から使い始めて、早6台目のPCですが、初期パスワードadminは初めからですよ。(ログイン後は英大文字小文字、数字、記号を含めた8桁以上のパスワードに変更するよう要求されます)
またAMT自体使えるPCは昔はそう多くなく(目安としてcore2duo、core i5以上のCPUと主にQシリーズのチップセット)、DELLなんか自社のRASボード売りたいらしく、対応製品でもAMTを無効にしているものまでありますし。例:optiplex 7010
それと、そんなに外から侵入されるリスクもないと思います。初期値で使用するのはポート16992でwebログイン画面を開けますが、今市販のルーターは、UPnPで必要なポートを内側から必要な時に開けられますが、これはUPnPなんかに対応していませんので、ルーターを事前に設定しなければ外部から接続できません。
ですので個人的には、随分間の抜けた発表だなと思います。
> PCに物理的にアクセスできる第三者が容易に設定を変更できてしまうという問題があるそうだ
とのことですので、外部からの侵入されるリスクがあると言っているわけではないと思いますよ。
まずMEの設定するのにパスワードを登録しないとならないし。
BIOSはデフォルトではパスワードすら設定されてないけどやりたい放題だよね。USBから起動して、OSが入ってるドライブにリモートツールを仕込むぐらい余裕。
AMT入っててもリモートKVM使えないパターンも有ったりしますし、scott/tiger的な物がデフォルトで有効なのはやめようといった話かも。意図せずセキュリティ的にアレなネットワークに繋ぐとOSはFirewallで防げるけどAMTはOSのFirewallで防げないし。
結局、貴方が意図しない機能が入っているかもしれませんから注意しましょうと言った注意喚起かな。値段だけ見て、vPro/AMT対応PCだと知らずに買ってるエンドユーザーもいるかもしれないし。
大抵の会社ならキッティング時にBIOSのUSB BOOT禁止とかBIOSセットアップ起動禁止と同時にAMTも適切に設定してるだろうからあまりネタにならない気がする。
デスクトップはモバイルすることはないですがノートは問題ありですよ
同一セグメントのネットワーク内から通信可能かどうかわからないネットワークに確認もせずにつなぐなって言われたところで繋いじゃう奴は繋いじゃいます
まぁAMTは有線LAN限定で無線からは拒否するってのが仕様ですのでそうそう起こり得るものではないっちゃないですけれどだからって問題がないわけじゃない
ルーターが初期パスワードのままで運用でおkって言われたらとても同意できないでしょ昔からの仕様であったとしても
# x61はデスクノートっです!てことならまぁ(ry
当時はともかく、いまX61だともう電池が干上がってそうです。まあACアダプタ運用でしょうけど。
間の抜けた発表って言っちゃうほうが間が抜けてるよね。
別にセキュリティ的なリスクは外部からのみとは限らないよね。組織内の関係者による犯行も考えられるよ。
例えば社長や経理担当者のPCを覗き見するとか、不正送金したりすることも可能だよね。内部ネットワークだから、FirewallやIPSも通らずに検知も調査も難しかったりする。
重要な情報を取り扱うPCでは必ずAMTのパスワードを変えておく必要があるよね。
デフォルトで有効なのが問題なのではうっかり侵入されるとお手軽にバックドアが設置できちゃう
更に少なくともIntelのNUCやThinkpadでは通常出荷状態ではnic自体が無効化されてる。パスワード変更してログインした後にしかnicをアクティブにすることが出来ない。
リスクとしては、AMT設定してないPCを物理的触ってAMT設定をしてしまうことぐらいかな。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
物事のやり方は一つではない -- Perlな人
昔から (スコア:5, すばらしい洞察)
バージョン1.6(thinkpad x61)から使い始めて、早6台目のPCですが、初期パスワードadminは初めからですよ。
(ログイン後は英大文字小文字、数字、記号を含めた8桁以上のパスワードに変更するよう要求されます)
またAMT自体使えるPCは昔はそう多くなく(目安としてcore2duo、core i5以上のCPUと主にQシリーズの
チップセット)、DELLなんか自社のRASボード売りたいらしく、対応製品でもAMTを無効にしているものまでありますし。
例:optiplex 7010
それと、そんなに外から侵入されるリスクもないと思います。初期値で使用するのは
ポート16992でwebログイン画面を開けますが、今市販のルーターは、UPnPで必要なポートを
内側から必要な時に開けられますが、これはUPnPなんかに対応していませんので、
ルーターを事前に設定しなければ外部から接続できません。
ですので個人的には、随分間の抜けた発表だなと思います。
Re:昔から (スコア:1)
> PCに物理的にアクセスできる第三者が容易に設定を変更できてしまうという問題があるそうだ
とのことですので、外部からの侵入されるリスクがあると言っているわけではないと思いますよ。
Re: (スコア:0)
まずMEの設定するのにパスワードを登録しないとならないし。
Re: (スコア:0)
BIOSはデフォルトではパスワードすら設定されてないけどやりたい放題だよね。
USBから起動して、OSが入ってるドライブにリモートツールを仕込むぐらい余裕。
Re: (スコア:0)
AMT入っててもリモートKVM使えないパターンも有ったりしますし、scott/tiger的な物がデフォルトで有効なのはやめようといった話かも。
意図せずセキュリティ的にアレなネットワークに繋ぐとOSはFirewallで防げるけどAMTはOSのFirewallで防げないし。
結局、貴方が意図しない機能が入っているかもしれませんから注意しましょうと言った注意喚起かな。
値段だけ見て、vPro/AMT対応PCだと知らずに買ってるエンドユーザーもいるかもしれないし。
大抵の会社ならキッティング時にBIOSのUSB BOOT禁止とかBIOSセットアップ起動禁止と同時にAMTも適切に設定してるだろうからあまりネタにならない気がする。
Re: (スコア:0)
デスクトップはモバイルすることはないですが
ノートは問題ありですよ
同一セグメントのネットワーク内から通信可能かどうかわからないネットワークに
確認もせずにつなぐなって言われたところで繋いじゃう奴は繋いじゃいます
まぁAMTは有線LAN限定で無線からは拒否するってのが仕様ですので
そうそう起こり得るものではないっちゃないですけれど
だからって問題がないわけじゃない
ルーターが初期パスワードのままで運用でおkって言われたら
とても同意できないでしょ昔からの仕様であったとしても
# x61はデスクノートっです!てことならまぁ(ry
Re:昔から (スコア:1)
当時はともかく、いまX61だともう電池が干上がってそうです。
まあACアダプタ運用でしょうけど。
Re: (スコア:0)
間の抜けた発表って言っちゃうほうが間が抜けてるよね。
別にセキュリティ的なリスクは外部からのみとは限らないよね。
組織内の関係者による犯行も考えられるよ。
例えば社長や経理担当者のPCを覗き見するとか、不正送金したりすることも可能だよね。
内部ネットワークだから、FirewallやIPSも通らずに検知も調査も難しかったりする。
重要な情報を取り扱うPCでは必ずAMTのパスワードを変えておく必要があるよね。
Re: (スコア:0)
デフォルトで有効なのが問題なのでは
うっかり侵入されるとお手軽にバックドアが設置できちゃう
Re: (スコア:0)
更に少なくともIntelのNUCやThinkpadでは通常出荷状態ではnic自体が無効化されてる。パスワード変更してログインした後にしかnicをアクティブにすることが出来ない。
リスクとしては、AMT設定してないPCを物理的触ってAMT設定をしてしまうことぐらいかな。