Fernsteuerung eines Computers mit der Intel Active-Management-Technik
geschrieben von Stefan, zuletzt aktualisiert am
In dieser Anleitung möchten wir euch zeigen, wie ihr einen Computer mit der Intel Active-Management-Technik, kurz Intel AMT, aus der Ferne verwalten könnt. Die Verwaltung kann dabei dann sogar erfolgen, wenn der Computer ausgeschaltet ist oder das Betriebssystem nicht mehr reagiert. Auch wenn diese Funktion eigentlich für Firmen entwickelt wurde, kann die Nutzung von Intel AMT auch für den privaten Einsatz interessant sein, z.B. auf einem privaten NAS oder Server.
Die Intel AMT ist ein Teil der Intel Management Engine. Da in der Vergangenheit einige Sicherheitslücken in letzterer gefunden wurden, empfehlen wir euch das Bios des Ziel-Computers zu aktualisieren, da damit auch die Intel Management Engine mit aktualisiert wird. Je nach Chipsatz steht euch allerdings nur eine bestimmte Hauptversion der Intel Management Engine zur verfügung. Wir nutzen in diesem Artikel einen Computer mit Intel C246 Chipsatz (Coffee Lake), welcher die Version 12.x der Intel ME nutzt.
Vorraussetzungen
Die Intel AMT ist aber nicht auf allen Prozessoren bzw. Computern nutzbar. Um die Intel Active-Management-Technik verwenden zu können, muss der zu steuernde Computer über einen Intel Prozessor mit vPro Technik verfügen. Unter der vPro Plattform hat Intel mehrere Technologien und Features gebündelt, die ihren Fokus im geschäftlichen Bereich haben. Eine davon ist die Intel AMT zur Fernwartung bzw. -verwaltung eines Computers. Dies kann ein Desktop-Computer, ein Notebook oder ein Server sein.
Da die Intel vPro Plattform wie beschrieben eigentlich für Geschäftszwecke gedacht ist, verfügen viele Computer bzw. Intel Prozessoren für Privatanwender nicht über vPro. Bei aktuellen Intel Prozessoren geht die vPro-Unterstützung bei den Intel Core i5 Prozessoren los. Das bedeutet, dass aktuelle Intel Core i5, Core i7, Core i9 sowie Intel Xeon Prozessoren für vPro freigeschaltet sind, bzw. das diese Prozessoren die Intel AMT nutzen können. AMD Prozessoren haben generell keinen Zugriff auf die Intel AMT.
Neben dem Prozessor muss auch eine Intel Netzwerkkarte sowie ein Intel Chipsatz im System verbaut sein. Wer die Clients aus der Ferne per KVM (dazu später mehr) grafisch steuern möchte, der benötigt zudem einen Intel Prozessor mit integrierter Grafikeinheit, kurz iGPU.
Aktivierung von Intel AMT auf dem Ziel-Computer (Client)
Die Aktivierung der Intel AMT kann auf einem zu verwaltenden Computer (auch Client genannt) auf zwei Wegen durchgeführt werden. Entweder direkt über den Computer während des Startvorganges (die Verwaltung ist hier ähnlich zu einem Bios) oder automatisiert durch die Erstellung eines USB Boot-Sticks zur automatischen Provisionierung von Computern.
Die Erstellung eines USB Boot-Sticks ist die Option der Wahl, wenn ihr mehr als 3 Computer mit Intel AMT verwalten möchtet, also zum Beispiel in einer Firma. Für Privatanwender ist die manuelle Aktivierung direkt über den Client Computer schneller und sinnvoller. Im Grunde unterscheiden die beiden Varianten sich aber nicht groß.
Wir beschreiben hier die Aktivierung der Intel Active-Management-Technik durch die manuelle Aktivierung während des Startvorganges eines Computers. Die Konfiguration geschieht dabei über die Intel Management Engine BIOS Extension.
Erst nach der Anmeldung ..
.. stehen die Intel Management Einstellungen zur Verfügung
Unter User Consent ..
.. lässt sich der Vollzugriff ohne Zustimmung des Benutzers konfigurieren
Aktivierung der Intel AMT via Netzwerk
Verfügbarkeitseinstellungen der Intel AMT
Aktivierung von Intel AMT zusätzlich auch im Dell Bios notwendig
Um in dieses Bios zu kommen, müsst ihr während des Boot-Vorganges des Client Computers STRG+P drücken. Hier müsst ihr euch zunächst unter MEBx Login anmelden. Bei der ersten Anmeldung ist es erforderlich, ein eigenes Passwort zu vergeben. Das Standard-Passwort für den Benutzer admin lautet ebenfalls admin.
Nach der Anmeldung solltet ihr die User Consent Einstellung von KVM auf None setzen. Dann ist es euch möglich ohne Bestätigung durch einen Benutzer ohne Einschränkungen auf den Client zuzugreifen. Außerdem müsst ihr prüfen, ob der Netzwerkzugriff bereits aktiviert ist. Sollte dies nicht der Fall sein, müsst ihr diesen noch aktivieren. Ihr könnt hier auch wählen, ob die Netzwerkkarte eine IP-Adresse per DHCP erhalten soll oder ob ihr lieber selbst eine IP-Adresse zuweisen möchtet.
Damit ist die Konfiguration des Clients für die Nutzung von Intel AMT auch bereits abgeschlossen. Übrigens: der Stromverbrauch im ausgeschalteten Zustand oder im Standby des Computers erhöht sich durch die Aktivierung von AMT kaum. Wir konnten auf einem Dell PowerEdge T40 * Server im ausgeschalteten Zustand einen Mehrverbrauch von 0,3 Watt bei aktivierter Intel AMT messen.
Remoteverwaltung des Computers
Grundlegend ist der Client damit auch schon im Netzwerk über seine IP-Adresse auf dem Port 16992 via Weboberfläche erreichbar. Über die Intel Weboberfläche lassen sich bereits Systeminformationen auslesen und auch einfache Befehle wie z.B. "Power On" oder "Restart Computer" senden. Für die rudimentäre Verwaltung reicht dies durchaus.
Wer mehr Funktionen wünscht oder mehrere Clients gleichzeitig verwaltet, benötigt aber eine Verwaltungssoftware. Wir nutzen als Software in diesem Artikel den von Intel bereitgestellten und kostenlosen Intel Manageability Commander sowie den ebenfalls kostenlosen MeshCommander. Beide Programme funktionieren nur unter Windows. Bei mir liefen die Programme auch in einer Windows 10 VM einwandfrei.
Mit der Intel AMT lassen sich nicht nur Befehle an den Client übertragen. Mit der Remote Desktop Funktion der beiden hier vorgestellten Programme lassen sich alle Aktionen an dem Computer durchführen, die auch lokal per Monitor möglich sind.
Der Remote Desktop funktioniert bei der Intel AMT nur, wenn das System nicht Headless (also ohne Monitor) betrieben wird, da im Headless-Betrieb die Grafikkarte deaktiviert wird um Energie zu sparen. Wer partout keinen Monitor anschließen und dennoch nicht auf die Remote-Desktop Funktion verzichten möchte, der kann auch einen HDMI-Adapter anschließen um eine Deaktivierung der Grafikkarte zu verhindern.
Intel Manageability Commander
Der Intel Manageability Commander basiert auf dem offenen Javascript Framework Electron. Das Programm ist sehr einfach aufgebaut und selbsterklärend. Die Übertragungsqualität des Remote-Desktops ist nicht berauschend, reicht aber für einen Eingriff im Notfall aus. Erfolgt ein Zugriff via Remote-Desktop aus der Ferne, ist dies für den Benutzer am Ziel-Computer übrigens deutlich durch eine Rot-Gelbe Umrandung sichtbar. Unbemerktes "Ausspionieren" des Computers ist also nicht möglich.
Grafischer Remote Desktop von Windows Server 2019
Die Remote-Steuerung ist für den Benutzer am Ziel-Computer deutlich sichtbar
MeshCommander
Der kostenlose MeshCommander ähnelt dem Intel Manageability Commander, bietet aber etwas mehr Funktionen. Die Remote-Desktop Funktion wollte allerdings nicht mit der Intel UHD Graphics P630 unseres Dell PowerEdge T40 * zusammenarbeiten. Der Bildschirm zur Fernverwaltung blieb leider schwarz.
Zunächst müssen wir im MeshCommander einen Ziel-Computer hizufügen
Dies geht auch halb-automatisch per Netzwerkscan
Die Hardware-Informationen des Ziel-Computers
Der Remote-Desktop blieb auf unserem System leider schwarz
Befehle konnten wir aber trotzdem einwandfrei senden
Fazit
Die Intel Active-Management-Technik kann unserer Meinung nach auch für den privaten Gebrauch interessant sein. Die Aktivierung auf einem Computer dauert weniger als 5 Minuten und per Weboberfläche lässt sich dieser ohne zusätzliche Softwareinstallation zumindest rudimentär verwalten.
Wer bei sich im Haushalt einen Headless-Server oder ein NAS mit einem vPro fähigen Intel Prozessor besitzt, der sollte AMT einfach mal aktivieren. Der Energieverbrauch im Standby erhöht sich nur sehr gering. Der Mehrverbrauch nach der Aktivierung der Intel AMT betrug bei unserem Dell PowerEdge T40 * geringe 0,3 Watt (1,7 zu 1,4 Watt).
Bei Links, die mit einem * gekennzeichnet sind, handelt es sich um Affiliate-Links, bei denen wir bei einem Kauf eine Vergütung durch den Anbieter erhalten.
Kommentare (4)
Stefan (Team)
09.06.2020
Zum Teil hast Du sicherlich Recht mit deinen Hinweisen (vieles ist ja nur vermutbar). Aus Mangel an Alternativen zu Intel und AMD Prozessoren hat man meiner Meinung eh keine Wahl. Ob man die ME nun per Software deaktiviert oder nicht - sollte es wirklich eine Hintertür geben, würde man die sicher nicht so schließen können.
Robert
08.06.2020
Ein schöner und informativer Bericht. Und Euren Hinweis das BIOS durch ein Update möglichst aktuell zu halten ist auch gut. Doch vielleicht wären ein paar weitere Hintergrundinformationen zu der verwendeten Technik durchaus angebracht und wichtig zu wissen in diesem Zusammenhang:
1. Die Intel Management Engine (ME) steckt seit 2008 in ALLEN Intel-Prozessoren.
2. Es existiert keinerlei Möglichkeit die ME, also die Basis von AMT, abzuschalten.
3. In der Vergangenheit gefundenen Sicherheitslücken in der ME sind zum Teil so schwerwiegend gewesen wie ein installierter Trojaner, der die volle Kontrolle (admin/root) über den gesamten PC hat.
4. Gefundene Sicherheitslücken wurden von Intel nicht für alle zurückliegenden Core-Generationen gefixt. D.h. da draußen sind noch ein Haufen Intel-CPUs im Einsatz die offen sind, wie eine nicht abgeschlossene Haustür.
5. Die ME ist eine CPU in der CPU welche vollen Zugang zum Arbeitsspeicher hat, ohne das der (Haupt-)Prozessor irgendetwas davon mitbekommt.
6. Niemand hat jemals den Source Code gesehen.
7. Die Electronic Frontier Foundation (EFF) denkt sogar, dass es sich um eine absichtlich eingebaute Hintertür für NSA & Co. handelt. Immerhin verfügt die ME über einen eigenen TCP/IP-Server, der Daten empfangen und senden kann. Übrigens unabhängig davon, ob auf der Kiste eine Firewall läuft oder nicht.
Natürlich ist die Funktionalität für jeden Admin auf der Welt sehr angenehm und hilfreich. Nur allein die Umsetzung von Intel und das Totschweigen gegenüber den Käufern, ist ein Skandal. Man stelle sich nur vor, das eigene Auto, der Fernseher oder das Smartphone enthält eine solche Schnittstelle.
Bei AMD gibt es etwas vergleichbares, dass sich "AMD Secure Technology" bzw. AMD Platform Security Processor (PSP) nennt. Nach dem letzten großen Intel-ME-Sicherheitsloch haben übrigens viele Hersteller reagiert und damit begonnen die PSP-Funktionalität von AMD im BIOS an- und abschaltbar zu machen.
Neben dem alternativen Industrie-Standard IPMI (Intelligent Platform Management Interface), gibt es mit "Redfish" bzw. dem "Redfish Scalable Platforms Management API" bereits einen Nachfolger in Sicht.
1. Die Intel Management Engine (ME) steckt seit 2008 in ALLEN Intel-Prozessoren.
2. Es existiert keinerlei Möglichkeit die ME, also die Basis von AMT, abzuschalten.
3. In der Vergangenheit gefundenen Sicherheitslücken in der ME sind zum Teil so schwerwiegend gewesen wie ein installierter Trojaner, der die volle Kontrolle (admin/root) über den gesamten PC hat.
4. Gefundene Sicherheitslücken wurden von Intel nicht für alle zurückliegenden Core-Generationen gefixt. D.h. da draußen sind noch ein Haufen Intel-CPUs im Einsatz die offen sind, wie eine nicht abgeschlossene Haustür.
5. Die ME ist eine CPU in der CPU welche vollen Zugang zum Arbeitsspeicher hat, ohne das der (Haupt-)Prozessor irgendetwas davon mitbekommt.
6. Niemand hat jemals den Source Code gesehen.
7. Die Electronic Frontier Foundation (EFF) denkt sogar, dass es sich um eine absichtlich eingebaute Hintertür für NSA & Co. handelt. Immerhin verfügt die ME über einen eigenen TCP/IP-Server, der Daten empfangen und senden kann. Übrigens unabhängig davon, ob auf der Kiste eine Firewall läuft oder nicht.
Natürlich ist die Funktionalität für jeden Admin auf der Welt sehr angenehm und hilfreich. Nur allein die Umsetzung von Intel und das Totschweigen gegenüber den Käufern, ist ein Skandal. Man stelle sich nur vor, das eigene Auto, der Fernseher oder das Smartphone enthält eine solche Schnittstelle.
Bei AMD gibt es etwas vergleichbares, dass sich "AMD Secure Technology" bzw. AMD Platform Security Processor (PSP) nennt. Nach dem letzten großen Intel-ME-Sicherheitsloch haben übrigens viele Hersteller reagiert und damit begonnen die PSP-Funktionalität von AMD im BIOS an- und abschaltbar zu machen.
Neben dem alternativen Industrie-Standard IPMI (Intelligent Platform Management Interface), gibt es mit "Redfish" bzw. dem "Redfish Scalable Platforms Management API" bereits einen Nachfolger in Sicht.
Stefan (Team)
31.05.2020
Danke für das Feedback. Intel AMT taugt definitiv als Alternative zu den Management-Interfaces von HP und Dell. Zumindest für den privaten Einsatz.
DFFVB
31.05.2020
Mehr davon :-) Es sind die kleinen Fragen die ihr mit solchen Artikeln beantwortet. Kann man also durchaus als Alternative zu IPMI sehen... Schön
Diesen Artikel kommentieren:
Hinweis:
- Nur Fragen / Antworten direkt zum Artikel
- Kein Support für andere Hard- oder Software !
E-Mail Benachrichtigung bei neuen Artikeln
