AMT

AMT steht für Intel Active Management Technology und ist eine in den Intel-Chipsatz integrierte Hardware-Lösung für die Out-of-Band-Fernverwaltung von Business-Notebooks und Desktop-PCs. „Out-of-Band“ bedeutet: AMT funktioniert vollständig unabhängig vom installierten Betriebssystem – auch wenn Windows nicht startet, der Rechner abgestürzt ist oder gerade ausgeschaltet ist, solange er mit Strom versorgt wird. AMT ist Kernbestandteil der Intel-vPro-Plattform und erlaubt IT-Abteilungen, Geräte zu starten, neu zu installieren und fernzusteuern, ohne physisch vor Ort zu sein.

In-Band vs. Out-of-Band: Der entscheidende Unterschied

Um AMT zu verstehen, hilft der Vergleich mit klassischer Fernwartungs-Software:

• In-Band-Management (z. B. klassische Fernwartungs-Tools, Remote Desktop): Läuft als Software unter Windows. Voraussetzung: Das Betriebssystem muss laufen, der Nutzer muss angemeldet sein oder automatisches Login konfiguriert sein, die Software muss installiert sein. Ist Windows abgestürzt oder der PC ausgeschaltet – kein Zugriff.
• Out-of-Band-Management mit AMT: Läuft auf einem separaten Mikrocontroller (Intel Management Engine, Intel ME) im Chipsatz, der unabhängig von CPU und Betriebssystem arbeitet. Zugriff ist möglich, solange das Gerät am Strom hängt – auch bei ausgeschaltetem, abgestürztem oder nicht bootfähigem Windows.

Was AMT konkret ermöglicht

• Remote Power Control: Gerät per Netzwerk ein- und ausschalten – auch von einem anderen Standort aus. Ein Mitarbeiter im Homeoffice mit hängendem Rechner muss nicht selbst den Stecker ziehen; die IT-Abteilung kann das Gerät remote neu starten.
• KVM-Fernsteuerung (Keyboard, Video, Mouse): Vollständige Bildschirmübertragung und Steuerung von Maus und Tastatur über das Netzwerk – auch vor dem Windows-Start, also direkt im BIOS oder beim Bootmenü.
• Boot-Umleitung: Das Gerät kann remote so konfiguriert werden, dass es von einem virtuellen CD-Image über das Netzwerk startet. Damit lässt sich ein korruptes Windows-System remote neu installieren, ohne dass jemand vor Ort einen USB-Stick anschließen muss.
• Hardware-Inventarisierung: CPU-Typ, RAM-Menge, Festplattenmodell und BIOS-Version lassen sich unabhängig vom Betriebssystem auslesen – nützlich für Asset-Management ohne Software-Agent.
• Netzwerk-Isolierung: Bei Verdacht auf Malware kann AMT das Gerät vom Netzwerk trennen – auch wenn das infizierte Windows die Verbindung aktiv hält.

AMT und Intel vPro: Was zusammengehört

AMT ist nicht auf jedem Intel-Notebook verfügbar. Es ist ausschließlich Teil der Intel-vPro-Plattform, die bestimmte Anforderungen an Prozessor, Chipsatz und Firmware stellt. Ein Notebook mit vPro-Zertifizierung erkennst du an:

• Dem Aufkleber „Intel vPro“ auf dem Gehäuse
• Der Prozessorbezeichnung – vPro-fähige CPUs tragen in der Produktliste das Kürzel „vPro“ explizit
• Dem MEBx-Hinweis beim Start: Beim Einschalten erscheint kurz „Press Ctrl+P for Intel ME BIOS Extension“
• Consumer-Prozessoren, auch wenn sie technisch ähnlich sind, haben AMT nicht – das Feature ist auf Business-Plattformen beschränkt

AMT konfigurieren und aktivieren

AMT wird über die MEBx (Management Engine BIOS Extension) konfiguriert, einen eigenen Bereich in der UEFI-Firmware. Zugang durch Drücken von Strg+P direkt nach dem Einschalten – das Standard-Passwort ist „admin“. Im MEBx lassen sich folgende Einstellungen vornehmen:

• AMT aktivieren oder vollständig deaktivieren
• Administratorpasswort setzen (zwingend empfohlen – Standard-Passwort nie belassen)
• Netzwerk-Konfiguration für den AMT-Zugriff
• KVM-Berechtigungen und User-Consent-Einstellungen konfigurieren

Bei einem refurbished Business-Notebook aus einer Unternehmensflotte ist AMT möglicherweise mit dem alten Unternehmenspasswort gesichert. Ein professioneller Aufbereiter setzt das Gerät auf Werkseinstellungen zurück (MEBx-Passwort = „admin“), damit der neue Nutzer AMT nach eigenen Anforderungen konfigurieren kann.

Sicherheitshinweise zu AMT

AMT ist mächtig und war 2017 Gegenstand einer kritischen Sicherheitslücke (CVE-2017-5689), die unauthentifizierten Netzwerkzugriff ermöglichte. Folgendes sollte beim Betrieb von AMT beachtet werden:

• Sofort das Standard-Passwort ändern – „admin“ als MEBx-Passwort ist ein bekannter Angriffspunkt
• TLS-Verschlüsselung aktivieren – AMT-Kommunikation ohne TLS ist im Netzwerk abhörbar
• BIOS/UEFI aktuell halten – die 2017er-Schwachstelle ist durch Firmware-Updates gepatcht; ältere Geräte ohne Update bleiben anfällig
• AMT deaktivieren wenn nicht benötigt – wer keine zentrale IT-Verwaltung betreibt, sollte AMT im MEBx abschalten, um die Angriffsfläche zu reduzieren

AMT in der Praxis: Typische IT-Szenarien

Wo AMT den größten Mehrwert schafft – konkrete Szenarien aus dem IT-Alltag:

• Homeoffice-Gerät reagiert nicht mehr: Mitarbeiter meldet sich, Notebook ist eingefroren, kein Remote-Desktop-Zugriff möglich. Mit AMT kann die IT das Gerät remote neu starten, ohne den Mitarbeiter zu bitten, den Netzstecker zu ziehen und wieder einzustecken.
• Windows-Update-Fehler, System bootet nicht mehr: Ohne AMT müsste jemand physisch zum Gerät. Mit AMT startet die IT das Gerät in ein Boot-Wiederherstellungs-Image über das Netzwerk und repariert Windows remote.
• Verdacht auf Malware-Infektion: Das infizierte Windows hält aktiv Netzwerkverbindungen offen. AMT isoliert das Gerät auf Netzwerkebene – auch wenn der Schädling Firewall-Regeln manipuliert hat.
• Zero-Touch-Deployment neuer Geräte: Neue Notebooks werden direkt an Mitarbeiter verschickt. AMT ermöglicht die vollständige Ersteinrichtung und OS-Installation über das Netzwerk, sobald das Gerät am Strom hängt – ohne einen IT-Techniker vor Ort.

AMT und AMD DASH: Der Vollständigkeit halber

Intel AMT ist nicht die einzige Out-of-Band-Lösung auf dem Markt. AMD bietet mit DASH (Desktop and mobile Architecture for System Hardware) eine vergleichbare Technologie für Ryzen-PRO-Notebooks. DASH basiert auf dem offenen DMTF-Standard und ist grundsätzlich herstellerunabhängiger als AMT, aber im praktischen Einsatz seltener anzutreffen, weil das Ökosystem an Management-Software für AMT deutlich weiter entwickelt ist. Für Unternehmen, die bereits mit AMD-Notebooks arbeiten und Out-of-Band-Verwaltung benötigen, ist DASH die relevante Alternative zu AMT.

FAQ zu AMT