Intel(r) active management technology — sol v.11.0.0.1136 windows xp / 7 / 8 / 8.1 / 10

Привилегии[править | править код]

Благодаря глубокой интеграции в чипсет, на базе технологий vPro/AMT предлагалось создать программу антируткит «DeepWatch», которая бы могла незаметно для пользователя сканировать оперативную память компьютера и его накопители для поиска и уничтожения вирусов и руткитов, особенно наиболее продвинутых, использующих для своего сокрытия SMM и виртуализацию. При этом авторы отмечали, что не существует способов обойти защиту, предоставляемую таким антируткитом.

Invisible Things Lab предложила называть функциональность технологии Intel vPro / Intel AMT кольцом защиты -3. В рамках этой технологии чипсеты, поддерживающие технологию vPro, содержат независимый микропроцессор (архитектура ARC4), имеют отдельный интерфейс к сетевой карте, эксклюзивный доступ к выделенному участку ОЗУ (16 МБ), DMA-доступ к основной ОЗУ. Программы на нём выполняются независимо от центрального процессора, прошивка хранится совместно с кодами BIOS либо на аналогичной флеш-памяти SPI (код имеет криптографическую подпись). Частью прошивки является встроенный веб-сервер. По умолчанию AMT выключен, но часть кода все же работает в этом режиме даже при выключенном AMT. Код кольца -3 активен даже в режиме питания S3 Sleep.

Other Intel Active Management Technology Resources

Intel AMT Implementation and Reference Guide
Intel AMT SDK Download
High-level API Article and download
Intel Platform Solutions Manager Article
Power Shell Module downloadKVM Application Developer’s GuideRedirection LibraryC++ CIM Framework APIC# CIM Framework APIIntel ME WMI ProviderSystem Health Validation (NAP)Use Case Reference Designs

Appendix

The following table provides a snapshot of features supported by Intel AMT Releases 10 through 14.
Read about all the features in the Intel AMT SDK Implementation and Reference Guide (“Intel AMT Features” section).

Feature Intel Active Management Technology (Intel AMT) 10 Intel AMT 11 Intel AMT 11.8 Intel AMT 12 Intel AMT 14
Hardware Inventory X X X X X
Persistent ID X X X X X
Remote Power On/Off X X X X X
Power Policies X X X X X
Graceful Shutdown X X X X X
InstantGo Support   X X X X
Event Log Reader Realm X X X X X
SOL/ USB-R IDER X X X X
Event Management X X X X X
Fast Call for Help (CIRA) X X X X X
Access Monitor/ Audit Log X X X X X
PC Alarm Clock X X X X X
Boot Control X X X X X
Intel ME Wake-on-LAN X X X X X
Wake on Wireless LAN co-existence X X X X X
Remote Schedule Maintenance (outside firewall) X X X X X
Remote alerts (outside firewall) X X X X X
HW KVM redirection: # of screens Up to 3 Screens
HW KVM Screen Resolution Support Increased 2560 x 1600 4096 x 2160
Remote Screen Blank during KVM X X X X X
KVM for Headless Configurations       X X
KVM Remote Control X X X X X
3rd Party Data Storage X Deprecated Deprecated Deprecated Deprecated
Remote Secure Erase- Intel SSD Pro   X X X X
Built-in Web Server X X X X X
Web Application Hosting   X X X X
Environment Detection X X X X X
System Defense Heuristics X X X X X
System Defense X X X X X
Agent Presence X X X X X
Virtualization Support for Agent Presence X X X X X
Flash Protection X X X X X
Firmware Update X X X X X
Wireless Link Protection X X X X X
802.1x EAP X X X X X
ME Firmware Rollback X X X X X
Enforce BIOS Secure Boot with Disable Redirection Reboot X X X X X
Mutual Authentication X X X X X
Kerberos X X X X X
TLS-PSK X Deprecated Deprecated Deprecated Deprecated
Privacy Icon X X X X X
Intel Trusted Device Setup         X
Manual Configuration via ME BIOS extension (MEBX) menu X X X X X
Local (host-based) Configuration X X X X X
Local Setup using PKI X X X X X
Remote Configuration: PKI X X X X X
Wireless Configuration X X X X X
Configuration for LAN-less Devices X X X X X
Host-Based Provisioning X X X X X
Wireless Profile Synchronization X X X X X
WS-MAN Interface X X X X X
Endpoint Access Control (EAC) 802.1 X X X X X
Network Interfaces X X X X X
TLS 1.0 X X X    
TLS 1.1 X X X X X
TLS 1.2       X X
WS-MAN API X X X X X
SOAP Commands Deprecated Deprecated Deprecated Deprecated Deprecated
Support for Internet Protocol Version 6 X X X X X
DNS Environment Detection X X X X X
HTTP Digest/ TLS X X X X X
Static and Dynamic IP X X X X X
Microsoft NAP Support X X X X X
Admin Control Mode X X X X X
Client Control Mode X X X X X
Direct Upgrade for Client Control Mode to Admin Control Mode X (Secured FQDN Suffix)

Appendix

The following table provides a snapshot of features supported by Intel AMT Releases 8 through 11.
Read about all the features in the Intel AMT SDK Implementation and Reference Guide (“Intel AMT Features” section.)

Feature Intel Active Management Technology (Intel AMT) 8 Intel AMT 9 Intel AMT 10 Intel AMT 11
Hardware Inventory X X X X
Persistent ID X X X X
Remote Power On/Off X X X X
SOL/IDER X X X X
Event Management X X X X
Third-Party Data Storage X X X Deprecated
Built-in Web Server X X X X
Flash Protection X X X X
Firmware Update X X X X
HTTP Digest/TLS X X X X
Static and Dynamic IP X X X X
System Defense X X X X
Agent Presence X X X X
Power Policies X X X X
Mutual Authentication X X X X
Kerberos* X X X X
TLS-PSK X X X Deprecated
Privacy Icon X X X X
Intel Management Engine Wake-on-LAN X X X X
Remote Configuration X X X X
Wireless Configuration X X X X
Endpoint Access Control (EAC) 802.1 X X X X
Power Packages X X X X
Environment Detection X X X X
Event Log Reader Realm X X X X
System Defense Heuristics X X X X
WS-MAN Interface X X X X
VLAN Settings for Intel AMT X X X X
Network Interfaces X X X X
Fast Call For Help (CIRA) X X X X
Access Monitor X X X X
Microsoft NAP* Support X X X X
Virtualization Support for Agent Presence X X X X
PC Alarm Clock X X X X
KVM Remote Control X X X X
Wireless Profile Synchronization X X X X
Support for Internet Protocol Version 6 X X X X
Host-Based Provisioning X X X X
Graceful Shutdown X X X X
WS-Management API X X X X
SOAP Commands X Deprecated Deprecated Deprecated
InstantGo Support N/A N/A N/A X
Remote Secure Erase N/A N/A N/A X

 
*No product or component can be absolutely secure.

Intel Management Engine Components (IMEC)

Данное ПО устанавливает необходимые для корректной работы компоненты:

Состав IMEC
Компонент Краткое описание
Management Engine Interface Для работы интерфейса ME.
Dynamic Application Loader Предположительно работает под процессом jhi_service.exe. Вроде технология защиты, представляет базовые службы связи. Необходима для обеспечения аппаратного решения безопасности.
Identity Protection Technology (IPT) Комплект технологий для проверки подлинности онлайн-доступа. Обеспечивает надежный уровень безопасности на предприятиях и веб-сайтах. В некотором смысле является альтернативной SMS аутентификации. Также включает в себя Intel Authenticate и Protected Transaction Display (PTD).
Manageability Engine Firmware Recovery Agent Работает предположительно под процессом updateui.exe, который запускается из:

C:\Program Files (x86)\Intel\Intel(R) Update Manager\bin

Данный компонент позволяет выполнять критические обновления безопасности микропроцессора. Вероятно имеется ввиду обновление прошивки ME.

Local Management Service Работает под процессом LMS.exe, запускается из:

C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\

Компонент представляет из себя службу локального управления. Имеет отношение к безопасности судя по полному названию — Management and Security Application Local Management Service. На офф сайте также указано название Intel Serial Over LAN.

User Notification Service Работает под процессом UNS.exe, полное название — Active Management Technology User Notification Service. Судя по названию — возможно отвечает за показ уведомлений. Представляет из себя службу.

Приступая к работе

руководстве по внедрению и в справочном руководстве Intel AMT

Что такое Intel Active Management?

Рисунок 1. Архитектура технологии Intel Active Management 11

  • Микропрограмма CSME содержит функциональность Intel AMT.
  • Во флеш-памяти хранится образ микропрограммы.
  • Для поддержки возможностей Intel AMT можно использовать ядро CSME, реализованное ОЕМ-производителем платформы. Удаленное приложение осуществляет установку и настройку корпоративной системы.
  • После включения микропрограмма копируется в оперативную память.
  • Микропрограмма выполняется на процессоре Intel с Intel ME и использует небольшую часть оперативной памяти (разъем 0) для хранения данных при выполнении. Поэтому для работы микропрограммы необходимо, чтобы в разъеме 0 был установлен модуль оперативной памяти и чтобы этот разъем был включен.
  • Параметры, настраиваемые OEM-производителем:
    • Параметры настройки, например пароли, конфигурация сети, сертификаты и списки управления доступом.
    • Прочие данные конфигурации, например списки оповещений и политики защиты системы Intel AMT.
    • Конфигурация оборудования, определенная в BIOS при запуске компьютера.
  • Сведения о платформах 2016 года, поддерживающих технологию Intel vPro (выпуск 11.x):
    • Технологический процесс 14-нм
    • Платформа (мобильные устройства и настольные компьютеры)
    • Процессор Intel Core 6-го поколения
    • ЦП: SkyLake
    • Узел контроллера платформы: Sunrise Point

Новые возможности SDK Intel Active Management Technology версии 11.0

  • CSME — новая архитектура Intel AMT 11. До Intel AMT 11 ядро CSME называлось Intel Management Engine BIOS Extension (Intel MEBx).
  • Файлы MOFs и XSL: файлы MOFs и XSL в папке \DOCS\WS-Management и справочные материалы по классам в документации относятся к версии 11.0.0.1139.
  • Новые поля событий WS и аргументов PET: дополнительные аргументы, добавленные к оповещениям CILA, предоставляют код причины для подключения пользовательского интерфейса и имя хоста устройства, выдавшего оповещение.
  • Обновленная версия OpenSSL *: Версия OpenSSL — v1.0. Также обновлена библиотека перенаправления.
  • Обновленная версия Xerces: в Windows и в Linux используется библиотека Xerces версии 3.1.2.
  • Поддержка HTTPS для событий WS: поддерживается безопасная подписка на события WS.
  • Удаленное безопасное стирание через параметры загрузки Intel AMT: среди параметров загрузки Intel AMT есть возможность безопасно удалить все данные с основного устройства хранения данных.
  • Подписание DLL-библиотек с помощью строгого имени: следующие библиотеки DLL теперь подписаны с помощью строгого имени: CIMFramework.dll, CIMFrameworkUntyped.dll, DotNetWSManClient.dll, IWSManClient.dll и Intel.Wsman.Scripting.dll.
  • HECI и модули наблюдения за наличием агентов включают автоматическую перезагрузку платформы: возможность автоматически включить перезагрузку всякий раз, когда HECI или модули наблюдения за наличием агентов сообщают о том, что срок действия агента истек.
  • Замена протокола перенаправления хранилища IDE-R: перенаправление хранилища работает по протоколу USB-R вместо протокола IDE-R.
  • Обновление SHA: сертификаты SHA1 упразднены, вместо них применена серия сертификатов SHA256.

Intel Active Management Technology Software Development Kit (SDK)

The Intel AMT Software Development Kit (SDK) provides low-level programming capabilities so developers can build manageability applications that take full advantage of Intel AMT.
The Intel AMT SDK provides sample code and a set of APIs that let developers easily and quickly incorporate Intel AMT support into their applications. The SDK also includes a full set of HTML documentation.
The SDK supports C++ and C# on Microsoft Windows and Linux operating systems. Refer to the User Guide and the Readme files in each directory for important information on building the samples.
The SDK, as delivered, is a set of directories that can be copied to any location. The directory structure should be copied in its entirety due to the interdependencies between components. There are three folders at the top level: DOCS (contains SDK documentation), and one each for Linux and Windows (sample code.) For more information on how to get started and how to use the SDK, see the Intel AMT Implementation and Reference Guide.
As illustrated by the screenshot in Figure 9 of the Intel AMT Implementation and Reference Guide, you can get more information on system requirements and how to build the sample code by reading the Using the Intel AMT SDK section. The documentation is available on the Intel Software Network here: Intel AMT SDK.


Figure 9 Intel AMT Implementation and Reference Guide

Manual Configuration Tips

There are no feature limitations when configuring a platform manually since the 6.0 release, but there are some system behaviors to be noted:

  • API methods will not return a PT_STATUS_INVALID_MODE status because there is only one mode.
  • TLS is disabled by default and must be enabled during configuration. This will always be the case with manual configuration as you cannot set TLS parameters locally.
  • The local platform clock will be used until the network time is remotely set. An automatic configuration will not be successful unless the network time was set (and this can only be done after configuring TLS or Kerberos*). Enabling TLS or Kerberos after the configuration will not work if the network time was not set.
  • The system enables WEB UI by default.
  • The system enables SOL and IDE-R by default.
  • The system disables Redirection listener by default starting in Intel AMT 10.
  • If KVM is enabled locally via the Intel CSME, it still will not be enabled until an administrator activates it remotely.

Расширение возможностей и создание приложений

Для более эффективно администрирования системы на базе Intel AMT и упрощения процесса разработки приложений для третьих фирм корпорация Intel предоставляет эффективный набор инструментов – пакет Active Management Technology Software Development Kit (AMT SDK). Он распространяется в рамках программы поддержки разработчиков ПО и предназначен для использования на основе договора о неразглашении (Non-Disclosure Agreement) с корпорацией Intel.

В состав SDK и комплекта интерфейсов прикладного программирования входят вызовы, отвечающие за управление энергонезависимой памятью, удаленное управление и другие функции. Сетевые интерфейсы Intel AMT реализованы на основе Simple Object Access Protocol (SOAP) и доступны в SDK в виде файлов формата Web Services Description Language (WSDL). Поддерживаются любые языки, имеющие поддержку стека SOAP, и любые операционные системы, включая Windows и Linux.

Software Development Kit содержит полную документацию на подсистемы Intel Active Management, описание программного интерфейса (API) и библиотек, позволяющих в полной мере задействовать заложенные в AMT возможности.

Intel AMT Storage Library — статическая библиотека, позволяющая получить локальный или удаленный доступ к энергонезависимой памяти на любых компьютерах, поддерживающих Intel AMT. Компонент Intel AMT Redirection Library позволяет перенаправлять команды по локальной сети с помощью функции Serial over LAN (SOL), а также загружать любую систему удаленно с помощью функции IDE Redirection (IDE-R). Библиотека Error ID Conversion Library отвечает за конвертирование сообщений об ошибках Intel AMT в обычный строчный формат.

Один из компонентов SDK – Intel AMT Host Emulator представляет собой программный эмулятор, позволяющий имитировать поддержку Intel AMT на любом оборудовании. AMT SDK поставляется сразу в двух «версиях» — для Windows и для Linux (в Linux-версии Host Emulator не предусмотрен).

Все компоненты SDK размещаются в отдельных каталогах и могут быть скопированы на любое место на жестком диске системы. При «инсталляции» обязательно требуется сохранить структуру папок такой же, как и в дистрибутиве, так как компоненты SDK взаимозависимы. 

Для полноценной работы Software Development Kit необходимо установить Microsoft Platform SDK и Microsoft Visual Studio 2003 (при помощи которого и будут компилироваться выбранные компоненты пакета).

Software Development Kit регулярно обновляется. Последняя версия пакета включает в себя множество улучшений, повышающих эффективность платформы и увеличивающих скорость работы сисадминов

Внимание участников рынка привлекла интересная особенность нового издания – «Wake on ME». По уверениям разработчиков – новая особенность ПО поможет минимизировать энергопотребление платформы в целом

Чтобы пользователи могли быстро и комфортно создавать консольные приложения для Active Management Technologies, в комплект входит Reference Design Kit. С его помощью разработчики могут создавать свои собственные консольные решения для Active Management Technologies. А наличие полного исходного кода позволит создавать полнофункциональные приложения и легко изменять их в случае необходимости.

Еще одна составная часть специализированного программного обеспечения Active Management Technologies — Setup and Configuration Service (SCS) — автоматизирует начальную конфигурацию платформ и настройку их параметров, позволяющую в дальнейшем администрировать их удаленно. SCS общается с устройствами, поддерживающими AMT, через SOAP API, и использует базу данных SQL Server для сохранения конфигураций, хранимых процедур и журналов, связанных с системными действиями.

Требования для поддержки Intel AMT

  • Сетевое подключение Intel Ethernet i218-LM*
  • Двухдиапазонный адаптер беспроводной сети Intel AC 8260 или аналогичный*
  • Драйвер интерфейса Intel Management Engine Interface (Intel MEI)
  • Драйвер последовательной передачи по локальной сети (SOL)
  • Служба локального управления приложениями Intel Management and Security Status (Intel MSS) **
  • Приложение Intel AMT Management and Security Status **
  • Драйверы HID-устройств (мыши и клавиатуры) ***

* Версии сетевого контроллера и беспроводного интерфейса будут различаться в зависимости от поколения платформы Intel vPro.
** В составе полного пакета драйверов для Intel MEI (набор микросхем).
*** Драйверы HID-устройств необходимы при подключении через Intel AMT KVM. С драйверами по умолчанию обычно не возникает проблем, но мы сталкивались с затруднениями при использовании нестандартных установок ОС. Если подключение установлено к устройству без HID-драйверов, ОС пытается автоматически установить эти драйверы. После установки заново установите подключение KVM.
Примечание.

Служба — Intel Active Management Technology LMS Service

Рисунок 4. Драйвер интерфейса Intel Management EngineКомпьютерУправление компьютером > Системные программы > Просмотр событий > Приложение

Manually Configuring an Intel Active Management Technology Client

The Intel AMT platform displays the BIOS startup screen during power up, then processes the BIOS Extensions. Entry into the Intel AMT BIOS Extension is BIOS vendor dependent.

Manual Configuration for Intel AMT Clients with Built-in LAN Connection

Enter the Intel CSME default password (“admin”).

  1. Enter the MEBX (Intel CSME) by following the instructions listed in prior section.
  2. You will be prompted for the MEBX password. If this is the first time MEBX is entered, the default password is «admin». You will be prompted to change the default password (required to proceed). The new value must be a strong password. It should contain at least one uppercase letter, one lowercase letter, one digit, and one special character, and be at least eight characters. A management console application can change the Intel AMT password without modifying the Intel CSME password.
  3. Select Intel AMT Configuration.
  4. Select/Verify Manageability Feature Selection is Enabled.
  5. Select Activate Network Access.
  6. Select “Y” to confirm Activating the interface.
  7. Select Network Setup.
  8. Select Intel ME network Name Settings.
    1. Enter Host Name.
    2. Enter Domain Name.
  9. Select User Consent.
    1. By default, this is set for KVM only; can be changed to none or all.
  10. Exit Intel CSME.

Manual Configuration for Intel AMT Clients with Wi-Fi*-Only Connection

Many systems no longer have a wired LAN connector. You can configure and activate the Intel ME using the instructions above, then use Intel AMT Web UI or some alternate method to push the wireless settings.

  1. Change the default password to a new value (required to proceed). The new value must be a strong password. It should contain at least one uppercase letter, one lowercase letter, one digit, and one special character, and be at least eight characters.
    1. Enter Intel CSME during startup.
    2. Enter the Default Password of “admin”.
    3. Enter and confirm New Password.
  2. Select Intel AMT Configuration.
  3. Select/Verify Manageability Feature Selection is Enabled.
  4. Select Activate Network Access.
  5. Select “Y” to confirm Activating the interface.
  6. Select Network Setup.
  7. Select Intel ME network Name Settings.
    1. Enter Host Name.
    2. Enter Domain Name.
  8. Select User Consent.
    1. By default, this is set for KVM only; can be changed to none or all.
  9. Exit Intel CSME.
  10. Synchronize WiFi profiles via the Intel ME driver, WebUI, or an alternative method.

Accessing Intel Active Management Technology via the WebUI Interface

An administrator with user rights can remotely connect to the Intel AMT device via the Web UI by entering the URL of the device. Depending on whether TLS has been activated, the URL will change:

  • Non-TLS — http:// <IP_or_FQDN>:16992
  • TLS — https:// <FQDN_only>:16993

You can also use a local connection using the host’s browser for a non-TLS connection. Use either localhost or 127.0.0.1 as the IP address. Example: http://127.0.0.1:16992

Accessing Intel Active Management Technology remotely via Intel Manageability Commander

If you want access functions not supported with the Intel AMT Web UI, you need to use a remote management software from Intel or third party with Intel AMT support. Intel Manageability Commander is one of the options and it can be downloaded from Intel. 

Features

Intel AMT includes hardware-based remote management, security, power management, and remote configuration features that enable independent remote access to AMT-enabled PCs. Intel AMT is security and management technology that is built into PCs with Intel vPro technology.

Intel AMT uses a hardware-based out-of-band (OOB) communication channel that operates regardless of the presence of a working operating system. The communication channel is independent of the PC’s power state, the presence of a management agent, and the state of many hardware components such as hard disk drives and memory.

Most AMT features are available OOB, regardless of PC power state. Other features require the PC to be powered up (such as console redirection via serial over LAN (SOL), agent presence checking, and network traffic filtering). Intel AMT has remote power-up capability.

Hardware-based features can be combined with scripting to automate maintenance and service.

Hardware-based AMT features on laptop and desktop PCs include:

  • Encrypted, remote communication channel for network traffic between the IT console and Intel AMT.
  • Ability for a wired PC (physically connected to the network) outside the company’s firewall on an open LAN to establish a secure communication tunnel (via AMT) back to the IT console. Examples of an open LAN include a wired laptop at home or at an site that does not have a proxy server.
  • Remote power up / power down / power cycle through encrypted WOL.
  • Remote boot, via integrated device electronics redirect (IDE-R).
  • Console redirection, via serial over LAN (SOL).
  • Keyboard, video, mouse (KVM) over network.
  • Hardware-based filters for monitoring packet headers in inbound and outbound network traffic for known threats (based on programmable timers), and for monitoring known / unknown threats based on time-based heuristics. Laptops and desktop PCs have filters to monitor packet headers. Desktop PCs have packet-header filters and time-based filters.
  • Isolation circuitry (previously and unofficially called «circuit breaker» by Intel) to port-block, rate-limit, or fully isolate a PC that might be compromised or infected.
  • Agent presence checking, via hardware-based, policy-based programmable timers. A «miss» generates an event; and this can also generate an alert.
  • OOB alerting.
  • Persistent event log, stored in protected memory (not on the hard drive).
  • Access (preboot) the PC’s universal unique identifier (UUID).
  • Access (preboot) hardware asset information, such as a component’s manufacturer and model, which is updated every time the system goes through power-on self-test (POST).
  • Access (preboot) to third-party data store (TPDS), a protected memory area that software vendors can use, in which to version information, .DAT files, and other information.
  • Remote configuration options, including certificate-based zero-touch remote configuration, USB key configuration (light-touch), and manual configuration.
  • Protected Audio/Video Pathway for playback protection of DRM-protected media.

Laptops with AMT also include wireless technologies:

Версии [ править | править код ]

Intel AMT использует для своей работы специализированный микроконтроллер с архитектурой ARC4, находящийся обычно на материнской плате или, в случае AMT 1.0, на сетевой плате. Микропрограмма AMT записана на флеш-память SPI, обычно на тот же чип, что хранит коды BIOS. Хранение микропрограммы AMT в FWH (Firmware Hub) или в хранилище, подключенном через LPC, не поддерживается.

Программно AMT обновляется одновременно с BIOS. Возможны обновления только между минорными версиями (последняя цифра). Мажорная версия AMT зависит от чипсета и переход между ними возможен только при замене чипсета и материнской платы.

  • Intel AMT 9.0 — Чипсеты Intel 8-й серии (Lynx Point). Удален протокол EOI.
  • Intel AMT 8.0 — Чипсеты Intel 7-й серии (Panther Point).
  • Intel AMT 7.0 — Чипсеты Intel Q67 Express, QM67 и QS67.
  • Intel AMT 6.0 — Платформы с процессорами Intel Core i5 и i7 и поддержкой vPro, чипсетами Q57, QM57 и QS57. Также: системы на процессорах серии Xeon 3400 и Core i5, поддержкой vPro и чипсетом 3450.
  • Intel AMT 5.0 — Intel Core 2 с vPro и чипсет Intel Q45 (ICH10).
  • Intel AMT 4.1 — Является Intel AMT 4.0, дополненной технологией Intel Anti-Theft. Обновление возможно на некоторых мобильных платформах с чипсетом GM45 (ICH9M).
  • Intel AMT 4.0 — Мобильные платформы Intel Centrino 2 с vPro, на чипсетах GM45 и 47/PM45 (ICH9M).
  • Intel AMT 3.2 — Обновление Intel AMT 3.0 с дополнением DASH 1.0 для упрощения конфигурирования.
  • Intel AMT 3.1 — Обновление Intel AMT 3.0 для поддержки Linux (Red Hat и SUSE).
  • Intel AMT 3.0 — Настольные платформы Intel с vPro и чипсетом Intel Q35 (ICH9), например Intel DQ35MP.
  • Intel AMT 2.6 — Intel AMT 2.5 с возможностью удаленного конфигурирования.
  • Intel AMT 2.5 — Мобильные платформы Intel Centrino Pro на чипсетах GM965/PM965 (ICH8M).
  • Intel AMT 2.0 — Настольные платформы Intel vPro на чипсете Intel Q963/Q965 (ICH8), например Intel DQ965GF.
  • Intel AMT 1.0 — Платформы на чипсете 82573E (ICH7), использующие контроллер Gigabit Ethernet, например Intel D975XBX2.

Начиная с PCH 100-й серии был осуществлен переход на новую архитектуру встроенных микроконтроллеров — с ARCompact компании ARC на x86. В качестве основы для операционной системы был выбран MINIX (ранее ThreadX RTOS).

Avoidance and mitigation

PCs with AMT typically provide an option in the BIOS menu to switch off AMT, though OEMs implement BIOS features differently, and therefore the BIOS is not a reliable method to switch off AMT. Intel-based PCs that shipped without AMT are not supposed to be able to have AMT installed later. However, as long as the PC’s hardware is potentially capable of running the AMT, it is unclear how effective these protections are. Presently, there are mitigation guides and tools to disable AMT on Windows, but Linux has only received a tool to check whether AMT is enabled and provisioned on Linux systems. The only way to actually fix this vulnerability is to install a firmware update. Intel has made a list of updates available. Unlike for AMT, there is generally no official, documented way to disable the Management Engine (ME); it is always on, unless it is not enabled at all by the OEM.