Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску

Часть веб-интерфейса управления Intel AMT, доступная даже во время сна.

Intel Active Management Technology ( AMT ) - это аппаратное и микропрограммное обеспечение для удаленного внеполосного управления выбранными бизнес-компьютерами [1] [2] [3] [4] [5], работающими на Intel Management Engine , а отдельный микропроцессор не доступны пользователю, чтобы отслеживать, поддерживать, обновлять, обновлять и восстанавливать их. [1] Внеполосное (OOB) или аппаратное управление отличается от программного (или внутриполосного ) управления и агентов управления программным обеспечением. [1] [2]

Аппаратное управление работает на уровне, отличном от уровня программных приложений, и использует канал связи (через стек TCP / IP ), который отличается от программного обмена данными (который осуществляется через программный стек в операционной системе). Аппаратное управление не зависит от наличия ОС или локально установленного агента управления. Аппаратное управление было доступно на компьютерах на базе Intel / AMD в прошлом, но в основном оно ограничивалось автоконфигурацией с использованием DHCP или BOOTP для динамического распределения IP-адресов и бездисковых рабочих станций , а также функцией пробуждения по локальной сети (WOL ) для удаленного включения систем. [6]AMT не предназначен для использования отдельно; он предназначен для использования с приложением для управления программным обеспечением. [1] Он дает приложению управления (и, следовательно, системному администратору, который его использует) доступ к ПК по сети, чтобы удаленно выполнять задачи, которые трудны или иногда невозможны при работе на ПК, на котором нет удаленных функций. встроен в него. [1] [3] [7]

AMT представляет собой вторичный (служебный) процессор, расположенный на материнской плате [8], и использует защищенную протоколом TLS связь и надежное шифрование для обеспечения дополнительной безопасности. [2] AMT встроен в ПК с технологией Intel vPro и основан на Intel Management Engine (ME). [2] AMT перешла к расширению поддержки стандартов DMTF Desktop и Mobile Architecture для системного оборудования (DASH), а AMT Release 5.1 и более поздние версии являются реализацией стандартов DASH версии 1.0 / 1.1 для внеполосного управления. [9] AMT предоставляет функции, аналогичные IPMI., хотя AMT разработан для клиентских вычислительных систем по сравнению с типичным серверным IPMI.

В настоящее время AMT доступен на настольных компьютерах, серверах, ультрабуках, планшетах и ​​ноутбуках с семейством процессоров Intel Core vPro , включая Intel Core i5, Core i7, Core i9 и семейство продуктов Intel Xeon E3-1200, Xeon E, Xeon W-1200. [1] [10] [11]

Intel подтвердила ошибку удаленного повышения привилегий ( CVE - 2017-5689 , SA-00075) в своей технологии управления 1 мая 2017 года. [12] Каждая платформа Intel со стандартной управляемостью Intel, технологией активного управления или технологией малого бизнеса, от Nehalem в 2008 году до Kaby Lake в 2017 году имеет удаленно используемую дыру в безопасности в ME. [13] [14] Некоторые производители, например Purism [15] и System76 [16]уже продают оборудование с отключенным Intel Management Engine, чтобы предотвратить удаленный эксплойт. Дополнительные серьезные недостатки безопасности в ME, затрагивающие очень большое количество компьютеров, включающих микропрограмму Management Engine, Trusted Execution Engine и Server Platform Services , от Skylake в 2015 году до Coffee Lake в 2017 году, были подтверждены Intel 20 ноября 2017 года (SA- 00086).

Несвободный доступ к сервису [ править ]

Хотя iAMT может быть включен бесплатно в устройства, продаваемые населению и малому бизнесу, полные возможности iAMT, включая зашифрованный удаленный доступ через сертификат открытого ключа и автоматическую удаленную инициализацию ненастроенных клиентов iAMT, не доступны бесплатно для широкой публике или прямым владельцам устройств с iAMT. iAMT не может быть полностью использован в максимальной степени без приобретения дополнительного программного обеспечения или услуг управления у Intel или другого стороннего независимого поставщика программного обеспечения (ISV) или реселлера с добавленной стоимостью (VAR).

Сама Intel предоставляет программный пакет инструментария разработчика, который обеспечивает базовый доступ к iAMT, но не предназначен для обычного использования для доступа к технологии. [17] Поддерживаются только основные режимы доступа, без полного доступа к зашифрованным коммуникациям всей приобретенной системы управления. [18]

Особенности [ править ]

Intel AMT включает аппаратное удаленное управление, безопасность, управление питанием и функции удаленной настройки, которые обеспечивают независимый удаленный доступ к ПК с поддержкой AMT. [1] [7] [19] Intel AMT - это технология безопасности и управления, встроенная в ПК с технологией Intel vPro . [1] [6]

Intel AMT использует аппаратный внеполосный (OOB) канал связи [1], который работает независимо от наличия работающей операционной системы. Канал связи не зависит от состояния питания ПК, наличия агента управления и состояния многих аппаратных компонентов, таких как жесткие диски и память .

Большинство функций AMT доступны вне зависимости от состояния питания ПК. [1] Для других функций требуется, чтобы компьютер был включен (например, перенаправление консоли через последовательный порт через LAN (SOL), проверка присутствия агента и фильтрация сетевого трафика). [1] Intel AMT имеет возможность удаленного включения.

Аппаратные функции можно комбинировать со сценариями для автоматизации обслуживания и ремонта. [1]

Аппаратные функции AMT на портативных и настольных ПК включают:

  • Зашифрованный удаленный канал связи для сетевого трафика между ИТ-консолью и Intel AMT. [1] [2]
  • Возможность для проводного ПК (физически подключенного к сети) вне брандмауэра компании в открытой локальной сети установить безопасный коммуникационный туннель (через AMT) обратно к ИТ-консоли. [1] [2] Примеры открытой локальной сети включают проводной портативный компьютер дома или на узле SMB , у которого нет прокси-сервера.
  • Удаленное включение / выключение / цикл питания через зашифрованный WOL . [1] [2]
  • Удаленная загрузка через встроенное перенаправление электроники устройства (IDE-R). [1] [2]
  • Перенаправление консоли через последовательный порт через LAN (SOL). [1]
  • Клавиатура, видео, мышь (KVM) по сети .
  • Аппаратные фильтры для мониторинга заголовков пакетов во входящем и исходящем сетевом трафике на предмет известных угроз (на основе программируемых таймеров ), а также для мониторинга известных / неизвестных угроз на основе эвристики, основанной на времени . Ноутбуки и настольные ПК имеют фильтры для отслеживания заголовков пакетов. Настольные ПК имеют фильтры заголовков пакетов и временные фильтры. [1] [2] [20]
  • Схема изоляции (ранее и неофициально называемая Intel "автоматическим выключателем") для блокировки портов, ограничения скорости или полной изоляции ПК, который может быть взломан или заражен. [1] [2] [20]
  • Проверка присутствия агента с помощью аппаратных программируемых таймеров на основе политик . «Промах» порождает событие; и это также может вызвать предупреждение. [1] [2] [20]
  • Оповещение OOB. [1] [2]
  • Постоянный журнал событий, хранящийся в защищенной памяти (не на жестком диске). [1] [2]
  • Доступ (предварительная загрузка) к универсальному уникальному идентификатору ПК (UUID). [1] [2]
  • Доступ (Preboot) информация об аппаратных активов, таких как производитель и - модели компоненты, который обновляется каждый раз , когда система проходит через самоконтроль при включении питания (POST). [1] [2]
  • Доступ (предварительная загрузка) к стороннему хранилищу данных (TPDS), защищенной области памяти, которую могут использовать поставщики программного обеспечения, в которой хранится информация о версии, файлы .DAT и другая информация. [1] [2]
  • Варианты удаленной настройки, включая удаленную настройку без касания на основе сертификатов, настройку USB-ключа (легкое касание) и ручную настройку. [1] [2] [21]
  • Protected Audio / Video Pathway для защиты воспроизведения носителей с защитой DRM .

Ноутбуки с AMT также включают беспроводные технологии:

  • Поддержка беспроводных протоколов IEEE 802.11 a / g / n [1] [10] [22] [23]
  • Совместимые с Cisco расширения для передачи голоса по WLAN [1] [10] [22] [23]

История [ править ]

Основная статья: версии Intel AMT

Обновления программного обеспечения обеспечивают обновление до следующей минорной версии Intel AMT. Новые основные версии Intel AMT встроены в новый набор микросхем и обновляются с помощью нового оборудования. [2]

Приложения [ править ]

Почти все функции AMT доступны, даже если компьютер выключен, но с подключенным шнуром питания, если произошел сбой операционной системы, если программный агент отсутствует или если оборудование (например, жесткий диск или память) провалился. [1] [2] Функция перенаправления консоли ( SOL ), проверка присутствия агента и фильтры сетевого трафика доступны после включения ПК. [1] [2]

Intel AMT поддерживает следующие задачи управления:

  • Удаленное включение, выключение, выключение и перезагрузка компьютера. [1]
  • Удаленная загрузка ПК путем удаленного перенаправления процесса загрузки ПК , в результате чего он загружается с другого образа, такого как общий сетевой ресурс , загрузочный CD-ROM или DVD , восстановительный привод или другое загрузочное устройство. [1] [7] Эта функция поддерживает удаленную загрузку ПК с поврежденной или отсутствующей ОС.
  • Удаленное перенаправление системного ввода-вывода через перенаправление консоли через последовательный порт через LAN (SOL). [1] Эта функция поддерживает удаленное устранение неполадок, удаленное восстановление, обновление программного обеспечения и аналогичные процессы.
  • Доступ и изменение настроек BIOS удаленно. [1] Эта функция доступна, даже если питание ПК отключено, ОС не работает или произошел сбой оборудования. Эта функция предназначена для удаленного обновления и исправления параметров конфигурации. Эта функция поддерживает полные обновления BIOS, а не только изменения определенных настроек.
  • Обнаружение подозрительного сетевого трафика. [1] [20] В портативных и настольных ПК эта функция позволяет системному администратору определять события, которые могут указывать на входящую или исходящую угрозу в заголовке сетевого пакета . В настольных ПК эта функция также поддерживает обнаружение известных и / или неизвестных угроз (включая медленно и быстро распространяющиеся компьютерные черви ) в сетевом трафике с помощью временных фильтров на основе эвристики . Сетевой трафик проверяется до того, как он достигнет ОС, поэтому он также проверяется перед загрузкой ОС и программных приложений и после их завершения (традиционно уязвимый период для ПК [ необходима цитата ] ).
  • Блокируйте или ограничивайте скорость сетевого трафика к системам, которые подозреваются на заражение или компрометацию компьютерными вирусами , компьютерными червями или другими угрозами. [1] [20] Эта функция использует аппаратную схему изоляции Intel AMT, которая может запускаться вручную (удаленно, системным администратором) или автоматически в зависимости от ИТ-политики (конкретное событие).
  • Управляйте аппаратными фильтрами пакетов во встроенном сетевом адаптере . [1] [20]
  • Автоматически отправлять OOB-сообщение на ИТ-консоль, когда критически важный программный агент пропускает назначенную ему регистрацию с помощью программируемого аппаратного таймера на основе политик . [1] [20] «Промах» указывает на потенциальную проблему. Эта функция может быть объединена с предупреждением OOB, чтобы ИТ-консоль уведомлялась только при возникновении потенциальной проблемы (помогает предотвратить переполнение сети ненужными уведомлениями о «положительных» событиях).
  • Получать события ловушки событий платформы (PET) по внеполосному каналу от подсистемы AMT (например, события, указывающие на то, что операционная система зависла или вышла из строя, или что была предпринята попытка взлома пароля ). [1] Предупреждение может выдаваться при событии (например, при выходе из строя в сочетании с проверкой присутствия агента) или при достижении порогового значения (например, при достижении определенной скорости вентилятора).
  • Доступ к постоянному журналу событий, хранящемуся в защищенной памяти. [1] Журнал событий доступен OOB, даже если ОС не работает или оборудование уже вышло из строя.
  • Откройте для себя систему AMT независимо от состояния питания ПК или ОС. [1] Обнаружение (доступ к UUID перед загрузкой ) доступно, если система выключена, ее ОС скомпрометирована или отключена, оборудование (например, жесткий диск или память ) вышло из строя или агенты управления отсутствуют.
  • Выполните инвентаризацию программного обеспечения или получите доступ к информации о программном обеспечении на ПК. [1] Эта функция позволяет стороннему поставщику программного обеспечения хранить информацию об активах или версиях программного обеспечения для локальных приложений в защищенной памяти Intel AMT. (Это защищенное стороннее хранилище данных, которое отличается от защищенной памяти AMT для информации о компонентах оборудования и другой системной информации). Доступ к стороннему хранилищу данных OOB может получить системный администратор. Например, антивирусная программа может хранить информацию о версии в защищенной памяти, доступной для сторонних данных. Компьютер скрипт может использовать эту функцию , чтобы определить компьютеры , которые должны быть обновлены.
  • Выполните инвентаризацию оборудования, загрузив список аппаратных активов удаленного ПК (платформа, контроллер управления базовой платой , BIOS , процессор , память , диски, портативные батареи, сменные блоки и прочую информацию). [1] Информация об оборудовании актива обновляются каждый раз , когда система работает через силовую самодиагностику (POST).

Начиная с основной версии 6, Intel AMT встраивает проприетарный сервер VNC для внеполосного доступа с использованием выделенной технологии просмотра, совместимой с VNC, и имеет полную возможность KVM (клавиатура, видео, мышь) на протяжении всего цикла питания, включая непрерывное управление рабочий стол при загрузке операционной системы. Такие клиенты, как VNC Viewer Plus от RealVNC, также предоставляют дополнительные функции, которые могут упростить выполнение (и просмотр) определенных операций Intel AMT, таких как выключение и включение компьютера, настройка BIOS и установка удаленного образа (IDER).

Подготовка и интеграция [ править ]

AMT поддерживает удаленную подготовку на основе сертификатов или PSK (полное удаленное развертывание), подготовку на основе USB- ключа (подготовка "одним касанием"), ручную подготовку [1] и подготовку с использованием агента на локальном узле ("Подготовка на основе узла" "). OEM-производитель также может предварительно подготовить AMT. [21]

Текущая версия AMT поддерживает удаленное развертывание как на портативных, так и на настольных ПК. (Удаленное развертывание было одной из ключевых функций, отсутствовавших в более ранних версиях AMT и задерживавшей принятие AMT на рынке.) [7] Удаленное развертывание до недавнего времени было возможно только в корпоративной сети. [24] Удаленное развертывание позволяет системному администратору развертывать ПК, не «касаясь» систем физически. [1] Это также позволяет системному администратору откладывать развертывание и вводить ПК в эксплуатацию на определенный период времени, прежде чем сделать функции AMT доступными для ИТ-консоли. [25] По мере развития моделей доставки и развертывания AMT теперь можно развертывать через Интернет, используя как методы «без касания», так и методы на основе хоста. [26]

Компьютеры могут продаваться с включенной или отключенной AMT. OEM определяет , следует ли отправить AMT с возможностями готовы к установке (включено) или отключена. Процесс установки и настройки может отличаться в зависимости от сборки OEM. [21]

AMT включает приложение Privacy Icon, называемое IMSS [27], которое уведомляет пользователя системы, если AMT включена. OEM-производитель должен решить, хотят ли они отображать значок или нет.

AMT поддерживает различные методы отключения технологии управления и безопасности, а также различные методы повторного включения технологии. [1] [25] [28] [29]

AMT может быть частично отключена с помощью параметров конфигурации или полностью отключена путем удаления всех параметров конфигурации, учетных данных безопасности, а также рабочих и сетевых параметров. [30] При частичном снятии инициализации компьютер остается в состоянии настройки. В этом состоянии ПК может самостоятельно инициировать автоматизированный процесс удаленной настройки. При полной отмене инициализации стираются профиль конфигурации, а также учетные данные безопасности и рабочие / сетевые настройки, необходимые для связи с Intel Management Engine. В случае полной отмены подготовки Intel AMT возвращается к заводскому состоянию по умолчанию.

После отключения AMT, чтобы снова включить AMT, авторизованный системный администратор может восстановить учетные данные безопасности, необходимые для выполнения удаленной настройки, одним из следующих способов:

  • Использование процесса удаленной настройки (полностью автоматизированная, удаленная настройка через сертификаты и ключи). [1]
  • Физический доступ к ПК для восстановления учетных данных безопасности либо с помощью USB-ключа, либо путем ввода учетных данных и параметров MEBx вручную. [1]

Существует способ полностью сбросить AMT и вернуться к заводским настройкам по умолчанию. Это можно сделать двумя способами:

  • Установка соответствующего значения в BIOS .
  • Очистка памяти CMOS и / или NVRAM .

Установка и интеграция AMT поддерживаются службой настройки и конфигурации (для автоматической настройки), инструментом AMT Webserver (входит в состав Intel AMT) и AMT Commander, неподдерживаемым и бесплатным проприетарным приложением, доступным на веб-сайте Intel.

Связь [ править ]

Весь доступ к функциям Intel AMT осуществляется через Intel Management Engine в аппаратном и микропрограммном обеспечении ПК. [1] Обмен данными AMT зависит от состояния Management Engine, а не от состояния ОС ПК.

Как часть Intel Management Engine, канал связи AMT OOB основан на стеке микропрограмм TCP / IP, встроенном в системное оборудование. [1] Поскольку он основан на стеке TCP / IP, удаленная связь с AMT происходит через сетевой путь данных до того, как связь будет передана в ОС.

Intel AMT поддерживает проводные и беспроводные сети. [1] [10] [22] [31] Для беспроводных ноутбуков, питающихся от батареи, связь OOB доступна, когда система активна и подключена к корпоративной сети, даже если ОС не работает. Связь OOB также доступна для беспроводных или проводных ноутбуков, подключенных к корпоративной сети через виртуальную частную сеть (VPN) на базе ОС, когда ноутбуки не спят и работают нормально.

AMT версии 4.0 и выше может устанавливать безопасный коммуникационный туннель между проводным ПК и ИТ-консолью за пределами корпоративного межсетевого экрана. [1] [32] В этой схеме управляющий сервер присутствия (Intel называет это «шлюзом с поддержкой vPro») аутентифицирует ПК, открывает безопасный туннель TLS между ИТ-консолью и ПК и обеспечивает связь. [1] [33] Схема предназначена для того, чтобы помочь пользователю или самому ПК запросить техническое обслуживание или сервис, когда они находятся в дополнительных офисах или подобных местах, где нет прокси-сервера или устройства управления на месте .

Технология, которая защищает связь за пределами корпоративного брандмауэра , относительно нова. Это также требует наличия инфраструктуры , включая поддержку со стороны ИТ-консолей и межсетевых экранов.

ПК AMT хранит информацию о конфигурации системы в защищенной памяти. Для ПК версии 4.0 и выше эта информация может включать имена соответствующих серверов управления « белого списка » для компании. Когда пользователь пытается инициировать удаленный сеанс между проводным ПК и сервером компании из открытой локальной сети , AMT отправляет сохраненную информацию на сервер присутствия управления (MPS) в «демилитаризованной зоне» («DMZ»), которая существует между корпоративный межсетевой экран и межсетевые экраны клиента (ПК пользователя). MPS использует эту информацию для аутентификации ПК. Затем MPS обеспечивает связь между портативным компьютером и серверами управления компании. [1]

Поскольку связь аутентифицируется, безопасный коммуникационный туннель может быть открыт с использованием шифрования TLS . После установления защищенной связи между ИТ-консолью и Intel AMT на ПК пользователя системный администратор может использовать типичные функции AMT для удаленной диагностики, ремонта, обслуживания или обновления ПК. [1]

Дизайн [ править ]

Оборудование [ править ]

Основная статья: Intel Management Engine

Механизм управления (ME) - это изолированный и защищенный сопроцессор, встроенный в качестве необязательной [34] части во все текущие (по состоянию на 2015 год ) наборы микросхем Intel. [35]

Начиная с ME 11, он основан на 32-битном процессоре Intel Quark x86 и работает под управлением операционной системы MINIX 3 . Состояние ME хранится в разделе флэш-памяти SPI с использованием встроенной файловой системы флэш-памяти (EFFS). [36] Предыдущие версии были основаны на ядре ARC , при этом Management Engine запускал ThreadX RTOS из Express Logic . Версии ME с 1.x по 5.x использовали ARCTangent-A4 (только 32-битные инструкции), тогда как версии 6.x по 8.x использовали более новый ARCompact (смешанная 32- и 16-битная архитектура набора команд ). Начиная с ME 7.1, процессор ARC также мог выполнять подписанныеJava-апплеты .

ME использует тот же сетевой интерфейс и IP-адрес, что и хост-система. Трафик маршрутизируется на основе пакетов на порты 16992-16995. Поддержка существует в различных контроллерах Intel Ethernet, экспортируемых и настраиваемых через протокол передачи компонентов управления (MCTP). [37] [38] ME также связывается с хостом через интерфейс PCI. [36] В Linux связь между хостом и ME осуществляется через / dev / mei . [35]

До выпуска Nehalem процессоров, МЭ не обычно встроен в материнскую плату в северный мост , после Memory Controller Hub макете (MCH). [39] В более новых архитектурах Intel ( Intel серии 5 и новее ) ME включен в концентратор контроллера платформы (PCH). [40] [41]

Прошивка [ править ]

  • Management Engine (ME) - основные чипсеты
  • Server Platform Services (SPS) - сервер
  • Trusted Execution Engine (TXE) - планшет / мобильный телефон / с низким энергопотреблением

Безопасность [ править ]

Поскольку AMT разрешает доступ к ПК ниже уровня ОС, безопасность функций AMT является ключевой проблемой.

Безопасность связи между Intel AMT и службой инициализации и / или консолью управления может быть установлена ​​различными способами в зависимости от сетевой среды. Безопасность может быть установлена ​​с помощью сертификатов и ключей (инфраструктура открытых ключей TLS или TLS-PKI), общих ключей ( TLS-PSK ) или пароля администратора. [1] [2]

Технологии безопасности, защищающие доступ к функциям AMT, встроены в оборудование и прошивку. Как и в случае с другими аппаратными функциями AMT, технологии безопасности активны, даже если компьютер выключен, ОС выходит из строя, программные агенты отсутствуют или оборудование (например, жесткий диск или память) вышло из строя. [1] [2] [42]

Поскольку программное обеспечение, реализующее AMT, существует вне операционной системы, оно не обновляется с помощью обычного механизма обновления операционной системы. Поэтому дефекты безопасности в программном обеспечении AMT могут быть особенно серьезными, так как они будут оставаться в течение длительного времени после того, как были обнаружены и стали известны потенциальным злоумышленникам.

15 мая 2017 года Intel объявила о критической уязвимости в AMT. Согласно обновлению, «уязвимость может позволить сетевому злоумышленнику удаленно получить доступ к корпоративным ПК или устройствам, использующим эти технологии». [43] Intel объявила о частичной доступности обновления прошивки для исправления уязвимости для некоторых из затронутых устройств.

Сеть [ править ]

Хотя некоторые протоколы для внутриполосного удаленного управления используют защищенный сетевой канал связи (например, Secure Shell ), некоторые другие протоколы не защищены. Таким образом, некоторым предприятиям пришлось выбирать между наличием защищенной сети или разрешением ИТ-отделу использовать приложения удаленного управления без безопасной связи для обслуживания и обслуживания ПК. [1]

Современные технологии безопасности и конструкция оборудования позволяют удаленно управлять даже в более защищенных средах. Например, Intel AMT поддерживает IEEE 802.1x , Preboot Execution Environment (PXE), Cisco SDN и Microsoft NAP . [1]

Все функции AMT доступны в защищенной сетевой среде. С Intel AMT в безопасной сетевой среде:

  • Сеть может проверить состояние безопасности ПК с поддержкой AMT и аутентифицировать ПК до загрузки ОС и до того, как ПК получит доступ к сети.
  • Загрузку PXE можно использовать при сохранении сетевой безопасности. Другими словами, ИТ-администратор может использовать существующую инфраструктуру PXE в сети IEEE 802.1x , Cisco SDN или Microsoft NAP .

Intel AMT может встраивать учетные данные сетевой безопасности в оборудование с помощью встроенного агента доверия Intel AMT и подключаемого модуля AMT posture . [1] [2] Подключаемый модуль собирает информацию о состоянии безопасности, такую ​​как конфигурация прошивки и параметры безопасности, от стороннего программного обеспечения (например, антивирусного и антишпионского ПО ), BIOS и защищенной памяти . Подключаемый модуль и доверенный агент могут хранить профиль (-ы) безопасности в защищенной энергонезависимой памяти AMT, которой нет на жестком диске .

Поскольку AMT имеет внеполосный канал связи, AMT может представлять состояние безопасности ПК в сети, даже если ОС ПК или программное обеспечение безопасности скомпрометированы. Поскольку AMT представляет состояние вне диапазона, сеть также может аутентифицировать ПК вне диапазона до загрузки ОС или приложений и до того, как они попытаются получить доступ к сети. Если состояние безопасности неверно, системный администратор может отправить обновление OOB (через Intel AMT) или переустановить критически важное программное обеспечение безопасности, прежде чем разрешить компьютеру доступ к сети.

Поддержка различных положений безопасности зависит от версии AMT :

  • Для поддержки IEEE 802.1x и Cisco SDN требуется AMT версии 2.6 или выше для ноутбуков и AMT версии 3.0 или выше для настольных ПК. [1] [44] [45]
  • Для поддержки Microsoft NAP требуется AMT версии 4.0 или выше. [1]
  • Для поддержки загрузки PXE с полной сетевой безопасностью требуется AMT версии 3.2 или выше для настольных ПК. [1]

Технология [ править ]

AMT включает несколько схем, технологий и методологий безопасности для безопасного доступа к функциям AMT во время развертывания и во время удаленного управления. [1] [2] [42] Технологии и методики безопасности AMT включают:

  • Безопасность транспортного уровня , включая TLS с предварительным общим ключом ( TLS-PSK )
  • HTTP- аутентификация
  • Единый вход в Intel AMT с аутентификацией домена Microsoft Windows на основе Microsoft Active Directory и Kerberos
  • Прошивка с цифровой подписью
  • Генератор псевдослучайных чисел (PRNG), который генерирует ключи сеанса
  • Защищенная память (не на жестком диске ) для важных системных данных, таких как UUID , информация об аппаратных активах и параметры конфигурации BIOS
  • Списки контроля доступа (ACL)

Как и в случае с другими аспектами Intel AMT, технологии и методики безопасности встроены в набор микросхем.

Известные уязвимости и эксплойты [ править ]

См. Также: Intel Management Engine § Уязвимости в системе безопасности.

Ring -3 руткит [ править ]

Компания Invisible Things Lab продемонстрировала руткит типа « кольцо -3» для чипсета Q35; он не работает для более позднего набора микросхем Q45, поскольку Intel реализовала дополнительную защиту. [46] Эксплойт работал путем переназначения обычно защищенной области памяти (верхние 16 МБ ОЗУ), зарезервированной для ME. Руткит ME может быть установлен независимо от того, присутствует или включена AMT в системе, поскольку набор микросхем всегда содержит сопроцессор ARC ME. (Обозначение «-3» было выбрано, потому что сопроцессор ME работает, даже когда система находится в состоянии S3 , поэтому он считался уровнем ниже руткитов режима управления системой . [39] ) Для уязвимого набора микросхем Q35 - регистратор нажатий клавиш.Руткит на основе ME был продемонстрирован Патриком Стюином. [47] [48]

Автоматическая подготовка [ править ]

Другая оценка безопасности, проведенная Вассилиосом Верверисом, показала серьезные недостатки в реализации набора микросхем GM45. В частности, он подверг критике AMT за передачу незашифрованных паролей в режиме инициализации SMB, когда используются функции перенаправления IDE и последовательного порта через LAN. Также было обнаружено, что режим обеспечения «нулевого касания» (ZTC) все еще включен, даже если AMT отключен в BIOS. Приблизительно за 60 евро Ververis приобрел у Go Daddy сертификат, который принимается микропрограммой ME и позволяет удаленно настраивать (возможно, ничего не подозревающие) машины, которые транслируют свои пакеты HELLO на потенциальные серверы конфигурации. [49]

Безмолвный Боб безмолвен [ править ]

В мае 2017 года корпорация Intel подтвердила, что на многих компьютерах с AMT имеется не исправленная критическая уязвимость повышения привилегий ( CVE - 2017-5689 ). [14] [50] [12] [51] [52] Уязвимость, получившая прозвище « Безмолвный Боб молчалив» исследователями, которые сообщили об этом в Intel, [53] затрагивает многочисленные ноутбуки, настольные компьютеры и серверы, продаваемые Dell. , Fujitsu , Hewlett-Packard (позже Hewlett Packard Enterprise и HP Inc. ), Intel, Lenovo и, возможно, другие. [53] [54] [55][56] [57] [58] [59] Эти исследователи утверждали, что ошибка затрагивает системы, выпущенные в 2010 году или позже. [60] В других отчетах утверждалось, что ошибка также затрагивает системы, созданные еще в 2008 году. [61] [14] Уязвимость описывалась как предоставление удаленным злоумышленникам:

полный контроль над затронутыми машинами, включая возможность читать и изменять все. Его можно использовать для установки постоянного вредоносного ПО (возможно, в прошивке), а также для чтения и изменения любых данных.

-  Тату Юленен , ssh.com [53]

Процесс авторизации удаленного пользователя включал ошибку программиста: он сравнил предоставленный пользователем токен авторизации hash ( user_response) с истинным значением hash ( computed_response), используя этот код:

strncmp (вычисленный_ответ, user_response, response_length)

Уязвимость заключалась response_lengthв длине токена, выданного пользователем, а не в истинном токене.

Так как третий аргумент for strncmp- это длина двух сравниваемых строк, если она меньше длины computed_response, только часть строки будет проверена на равенство. В частности, если user_responseэто пустая строка (с длиной 0), это «сравнение» всегда будет возвращать True и, таким образом, проверять пользователя. Это позволяло любому человеку просто войти в adminучетную запись на устройствах, отредактировав отправленный им HTTP-пакет, чтобы использовать пустую строку в качестве responseзначения поля.

PLATINUM [ править ]

В июне 2017 года киберпреступная группа PLATINUM стала известна тем, что использовала возможности AMT для кражи данных украденных документов с последовательным подключением по локальной сети (SOL) . [62] [63] [64] [65] [66] [67] [68] [69]

SA-00086 [ править ]

В ноябре 2017 года компания по обеспечению безопасности Positive Technologies обнаружила серьезные недостатки в прошивке Management Engine (ME), которая утверждала, что разработала рабочий эксплойт этой системы для лиц, имеющих физический доступ к USB-порту. [70] 20 ноября 2017 г. Intel подтвердила, что в Management Engine, Trusted Execution Engine, Server Platform Services был обнаружен ряд серьезных недостатков, и выпустила «критическое обновление прошивки». [71] [72]

Избежание и смягчение [ править ]

Компьютеры с AMT обычно предоставляют в меню BIOS параметр для отключения AMT, хотя OEM-производители реализуют функции BIOS по-другому [73], и поэтому BIOS не является надежным способом отключения AMT. Компьютеры на базе Intel, которые поставлялись без AMT, не должны иметь возможность установки AMT позже. Однако до тех пор, пока оборудование ПК потенциально может запускать AMT, неясно, насколько эффективны эти средства защиты. [74] [75] [76] В настоящее время существуют руководства [77] и инструменты [78] для отключения AMT в Windows, но Linux получил только инструмент для проверки того, включен ли AMT в системах Linux. [79]Единственный способ исправить эту уязвимость - установить обновление прошивки. Intel опубликовала список доступных обновлений. [80] В отличие от AMT, обычно не существует официального документированного способа отключения Management Engine (ME); он всегда включен, если он вообще не включен OEM. [81] [82]

В 2015 году небольшое количество конкурирующих поставщиков начали предлагать ПК на базе Intel, разработанные или модифицированные специально для устранения потенциальных уязвимостей AMT и связанных с ними проблем. [83] [84] [85] [86] [87] [88] [89]

См. Также [ править ]

  • Бэкдор (вычисления)
  • Интерфейс встроенного контроллера хоста
  • Встроенная подсветка HP
  • Intel CIRA
  • Intel Core 2
  • Интернет-аварийный выключатель
  • Контроллер-концентратор ввода-вывода
  • Отключите управление
  • Южный мост (вычисления)
  • Системный служебный процессор
  • Версии Intel AMT
  • Intel Management Engine
  • Intel vPro

Ссылки [ править ]

  1. ^ a b c d e f g h i j k l m n o p q r s t u v w x y z aa ab ac ad ae af ag ah ai aj ak al am an ao ap aq ar as at au av aw топор ay az ba bb bc bd be bf bg bh bi bj bk bl "Intel Centrino 2 с технологией vPro и процессор Intel Core2 с технологией vPro"(PDF). Intel. 2008. Архивировано изоригинального(PDF)6 декабря 2008 года. Проверено 7 августа 2008 года.
  2. ^ a b c d e f g h i j k l m n o p q r s t u v w x "Руководство по архитектуре: технология Intel Active Management" . Intel. 26 июня 2008. Архивировано из оригинального 19 октября 2008 года . Проверено 12 августа 2008 года .
  3. ^ a b «Удаленное управление ПК с помощью Intel vPro» . Руководство Тома по оборудованию . Проверено 21 ноября 2007 года .
  4. ^ "Набор микросхем Intel vPro заманивает MSP, сборщиков систем" . ChannelWeb . Проверено 1 августа 2007 года .
  5. ^ «Intel в основном запускает платформу для ноутбуков Centrino 2» . ChannelWeb . Проверено 1 июля 2008 года .
  6. ^ a b «Новый рассвет для удаленного управления? Первый взгляд на платформу Intel vPro» . ars technica . Проверено 7 ноября 2007 года .
  7. ^ a b c d «Пересмотр vPro для корпоративных покупок» . Gartner . Проверено 7 августа 2008 года .
  8. ^ «Ответы на часто задаваемые вопросы о libreboot» . libreboot.org . Проверено 25 сентября 2015 года .
  9. ^ "Архивная копия" . Архивировано из оригинального 14 апреля 2012 года . Проверено 30 апреля 2012 года .CS1 maint: заархивированная копия как заголовок ( ссылка )
  10. ^ a b c d «Intel Centrino 2 с технологией vPro» (PDF) . Intel. Архивировано из оригинального (PDF) 15 марта 2008 года . Проверено 15 июля 2008 года .
  11. ^ "Intel MSP" . Msp.intel.com . Проверено 25 мая 2016 года .
  12. ^ a b «Центр безопасности продукции Intel®» . Security-center.intel.com . Проверено 7 мая 2017 года .
  13. ^ Чарли Demerjian (1 мая 2017). «Удаленный эксплойт безопасности на всех платформах Intel 2008+» . SemiAccurate . Проверено 7 мая 2017 года .
  14. ^ a b c «Предупреждение! Intel исправляет дыру в удаленном выполнении, которая была скрыта в чипах с 2010 года» . Theregister.co.uk . Проверено 7 мая 2017 года .
  15. ^ HardOCP: Purism предлагает ноутбуки с отключенным механизмом управления Intel
  16. ^ System76, чтобы отключить Intel Management Engine на своих ноутбуках
  17. Гаррисон, Джастин (28 марта 2011 г.). «Как удаленно управлять своим компьютером (даже когда он выходит из строя)» . Howtogeek.com . Проверено 7 мая 2017 года .
  18. ^ «Набор инструментов разработчика Open Manageability | Программное обеспечение Intel®» . Software.intel.com . Проверено 7 мая 2017 года .
  19. ^ «Технология Intel vPro» . Intel . Проверено 14 июля 2008 года .
  20. ^ a b c d e f g «Обзор защиты системы Intel Active Management Technology и присутствия агентов» (PDF) . Intel. Февраль 2007 . Проверено 16 августа 2008 года .
  21. ^ a b c «Intel Centrino 2 с технологией vPro» . Intel. Архивировано из оригинального 15 марта 2008 года . Проверено 30 июня 2008 года .
  22. ^ a b c «Новые ноутбуки на базе Intel улучшают все аспекты портативных компьютеров» . Intel. Архивировано из оригинала 17 июля 2008 года . Проверено 15 июля 2008 года .
  23. ^ a b «Что такое Intel AMT по проводной и беспроводной связи (видео)» . Intel. Архивировано из оригинального 26 марта 2008 года . Проверено 14 августа 2008 года .
  24. ^ «Технология Intel® vPro ™» . Intel .
  25. ^ a b «Часть 3: Пост-развертывание Intel vPro в среде Altiris: Включение и настройка отложенной подготовки» . Intel (форум) . Проверено 12 сентября 2008 года .
  26. ^ «Архивная копия» (PDF) . Архивировано из оригинального (PDF) 3 января 2014 года . Проверено 20 июля 2013 года . CS1 maint: archived copy as title (link)
  27. ^ "Архивная копия" . Архивировано из оригинального 20 февраля 2011 года . Проверено 26 декабря 2010 года .CS1 maint: archived copy as title (link)
  28. ^ «Intel vPro Provisioning» (PDF) . HP (Hewlett Packard) . Проверено 2 июня 2008 года .
  29. ^ «Установка и конфигурация vPro для бизнес-ПК dc7700 с технологией Intel vPro» (PDF) . HP (Hewlett Packard) . Проверено 2 июня 2008 года . [ постоянная мертвая ссылка ]
  30. ^ «Часть 4: Пост-развертывание Intel vPro в среде Altiris Intel: частичное UnProvDefault» . Intel (форум) . Проверено 12 сентября 2008 года .
  31. ^ «Технические соображения для Intel AMT в беспроводной среде» . Intel. 27 сентября 2007 . Проверено 16 августа 2008 года .
  32. ^ «Служба установки и настройки технологии Intel Active Management, версия 5.0» (PDF) . Intel . Проверено 13 октября 2018 года .
  33. ^ «Intel AMT - Быстрый вызов помощи» . Intel. 15 августа, 2008. Архивировано из оригинала на 11 февраля 2009 года . Проверено 17 августа 2008 года .(Блог разработчиков Intel)
  34. ^ "Архивная копия" . Архивировано из оригинала на 3 января 2016 года . Проверено 16 января, 2016 .CS1 maint: archived copy as title (link)
  35. ^ a b «Архивная копия» . Архивировано из оригинала на 1 ноября 2014 года . Проверено 25 февраля 2014 года .CS1 maint: archived copy as title (link)
  36. ^ a b Игорь Скочинский ( Hex-Rays ) Руткит в вашем ноутбуке , Ruxcon Breakpoint 2012
  37. ^ "Intel Ethernet Controller I210 Datasheet" (PDF) . Intel . 2013. С. 1, 15, 52, 621–776 . Проверено 9 ноября 2013 года .
  38. ^ «Краткое описание продукта Intel Ethernet Controller X540» (PDF) . Intel . 2012 . Проверено 26 февраля 2014 года .
  39. ^ а б Иоанна Рутковская. «В поисках ядра» (PDF) . Invisiblethingslab.com . Проверено 25 мая 2016 года .
  40. ^ «Архивная копия» (PDF) . Архивировано из оригинального (PDF) 11 февраля 2014 года . Проверено 26 февраля 2014 года . CS1 maint: archived copy as title (link)
  41. ^ "Платформы II" (PDF) . Users.nik.uni-obuda.hu . Проверено 25 мая 2016 года .
  42. ^ a b «Новая процессорная технология Intel vPro повышает безопасность ПК для бизнеса (выпуск новостей)» . Intel. 27 августа, 2007. Архивировано из оригинального 12 сентября 2007 года . Проверено 7 августа 2007 года .
  43. ^ «Критическая уязвимость микропрограмм Intel® AMT» . Intel . Проверено 10 июня 2017 года .
  44. ^ "Intel Software Network, форум инженеров / разработчиков" . Intel. Архивировано из оригинального 13 августа 2011 года . Проверено 9 августа 2008 года .
  45. ^ «Решения Cisco по обеспечению безопасности с Intel Centrino Pro и Intel vPro Processor Technology» (PDF) . Intel. 2007 г.
  46. ^ «Лаборатория невидимых вещей представит две новые технические презентации, раскрывающие уязвимости системного уровня, затрагивающие современное оборудование ПК в его основе» (PDF) . Invisiblethingslab.com . Архивировано из оригинального (PDF) 12 апреля 2016 года . Проверено 25 мая 2016 года .
  47. ^ "Берлинский технологический институт: FG Безопасность в телекоммуникациях: оценка" Руткитов "Ring-3" (PDF) . Stewin.org . Архивировано из оригинального (PDF) 4 марта 2016 года . Проверено 25 мая 2016 года .
  48. ^ «Постоянное скрытое выделенное аппаратное вредоносное ПО с дистанционным управлением» (PDF) . Stewin.org . Архивировано из оригинального (PDF) 3 марта 2016 года . Проверено 25 мая 2016 года .
  49. ^ «Оценка безопасности технологии активного управления Intel» (PDF) . Web.it.kth.se . Проверено 25 мая 2016 года .
  50. ^ "CVE - CVE-2017-5689" . Cve.mitre.org . Архивировано из оригинала 5 мая 2017 года . Проверено 7 мая 2017 года .
  51. ^ "Intel Hidden Management Engine - угроза безопасности x86?" . Даркнет. 16 июня 2016 . Проверено 7 мая 2017 года .
  52. Гаррет, Мэтью (1 мая 2017 г.). «Уязвимость Intel для удаленного AMT» . mjg59.dreamwidth.org . Проверено 7 мая 2017 года .
  53. ^ a b c "2017-05-05 ALERT! Intel AMT EXPLOIT OUT! ЭТО ПЛОХО! ОТКЛЮЧИТЕ AMT СЕЙЧАС!" . Ssh.com \ Accessdate = 2017-05-07 .
  54. ^ Dan Goodin (6 мая 2017). «Уловка, которая скрывается в чипах Intel, хуже, чем кто-либо думал» . Ars Technica . Проверено 8 мая 2017 года .
  55. ^ «Общие: обновления BIOS из-за уязвимости Intel AMT IME - Общее оборудование - Портативный компьютер - Сообщество Dell» . En.community.dell.com . Проверено 7 мая 2017 года .
  56. ^ «Информационное примечание: уязвимость микропрограмм Intel - страницы технической поддержки Fujitsu от Fujitsu Fujitsu в континентальной Европе, Ближнем Востоке, Африке и Индии» . Support.ts.fujitsu.com. 1 мая 2017 года . Проверено 8 мая 2017 года .
  57. ^ «HPE | HPE CS700 2.0 для VMware» . H22208.www2.hpe.com . 1 мая 2017 года . Проверено 7 мая 2017 года .
  58. ^ "Рекомендации Intel® по безопасности в отношении эскалации ... | сообществ Intel" . Communities.intel.com . Проверено 7 мая 2017 года .
  59. ^ «Intel Active Management Technology, Intel Small Business Technology и Intel Standard Manageability Remote Privilege Escalation» . Support.lenovo.com . Проверено 7 мая 2017 года .
  60. ^ «Разрушители мифов: CVE-2017-5689» . Embedi.com . Архивировано из оригинала 6 мая 2017 года . Проверено 7 мая 2017 года .
  61. ^ Чарли Demerjian (1 мая 2017). «Удаленный эксплойт безопасности на всех платформах Intel 2008+» . SemiAccurate.com . Проверено 7 мая 2017 года .
  62. ^ «Подлые хакеры используют инструменты управления Intel для обхода брандмауэра Windows» . Проверено 10 июня 2017 года .
  63. ^ Тунг, Лиам. «Брандмауэр Windows защищен шпионами, устанавливающими« горячие исправления »с помощью Intel AMT, - сообщает Microsoft - ZDNet» . Проверено 10 июня 2017 года .
  64. ^ «PLATINUM продолжает развиваться, находить способы сохранить невидимость» . Проверено 10 июня 2017 года .
  65. ^ «Вредоносное ПО использует скрытую функцию процессора Intel для кражи данных и обхода брандмауэров» . Проверено 10 июня 2017 года .
  66. ^ «Хакеры злоупотребляют функцией управления нижнего уровня для невидимого бэкдора» . iTnews . Проверено 10 июня 2017 года .
  67. ^ «Vxers используют Intel Active Management для передачи вредоносного ПО через LAN • The Register» . www.theregister.co.uk . Проверено 10 июня 2017 года .
  68. ^ Безопасность, хайз. "Intel-Fernwartung AMT bei Angriffen auf PCs genutzt" . Безопасность . Проверено 10 июня 2017 года .
  69. ^ «Метод передачи файлов группы действий PLATINUM с использованием Intel AMT SOL» . Канал 9 . Проверено 10 июня 2017 года .
  70. ^ Исследователи обнаружили, что почти КАЖДЫЙ компьютер с процессором Intel Skylake и выше может принадлежать через USB .
  71. ^ «Критическое обновление микропрограммы Intel® Management Engine (Intel SA-00086)» . Intel.
  72. ^ «Недостатки микросхем Intel оставляют открытыми миллионы устройств» . Проводной.
  73. ^ «Отключение AMT в BIOS» . software.intel.com . Проверено 17 мая 2017 года .
  74. ^ «Безопасны ли потребительские ПК от эксплойта Intel ME / AMT? - SemiAccurate» . semiaccurate.com .
  75. ^ «Intel x86s скрывает другой процессор, который может взять на себя вашу машину (вы не можете его проверять)» . Боинг Боинг . 15 июня 2016 . Проверено 11 мая 2017 года .
  76. ^ "[coreboot]: ошибка AMT" . Mail.coreboot.org . 11 мая 2017 года . Проверено 13 июня 2017 года .
  77. ^ «Отключение Intel AMT в Windows (и более простое руководство по устранению последствий CVE-2017-5689)» . Маркетинг в социальных сетях | Цифровой маркетинг | Электронная коммерция . 3 мая 2017 года . Проверено 17 мая 2017 года .
  78. ^ "bartblaze / Disable-Intel-AMT" . GitHub . Проверено 17 мая 2017 года .
  79. ^ "mjg59 / mei-amt-check" . GitHub . Проверено 17 мая 2017 года .
  80. ^ «Критическая уязвимость микропрограмм Intel® AMT» . Intel . Проверено 17 мая 2017 года .
  81. ^ «Блог Positive Technologies: отключение Intel ME 11 в недокументированном режиме» . Проверено 30 августа 2017 года .
  82. ^ "Intel исправляет основные недостатки в Intel Management Engine" . Экстремальные технологии.
  83. ^ Воган-Николс, Стивен Дж. «Taurinus X200: Теперь самый« свободный программный »ноутбук на планете - ZDNet» .
  84. ^ Kißling, Кристиан. «Libreboot: Thinkpad X220 без Management Engine» Linux-Magazin » . Linux-Magazin .
  85. ^ онлайн, heise. «Libiquity Taurinus X200: Linux-ноутбук с механизмом управления Intel» . heise в сети .
  86. ^ «Уязвимость Intel AMT показывает, что механизм управления Intel может быть опасным» . 2 мая 2017 года.
  87. ^ «Purism объясняет, почему он избегает использования Intel AMT и сетевых карт для своих ноутбуков Librem, ориентированных на конфиденциальность» . Оборудование Тома . 29 августа 2016 . Проверено 10 мая 2017 года .
  88. ^ «Фонд свободного программного обеспечения любит этот ноутбук, но вы не будете» .
  89. ^ «ФСПО поддерживает еще один (устаревший) ноутбук - Phoronix» . phoronix.com .

Внешние ссылки [ править ]

  • MeshCentral2
  • Командующий Intel Manageability
  • Внедрение Intel AMT
  • Центр безопасности Intel
  • Технология активного управления Intel
  • Сообщество разработчиков Intel Manageability
  • Центр экспертов Intel vPro
  • Гигабитный Ethernet-контроллер Intel 82573E (Tekoa)
  • Процессор ARC4
  • AMT-видео (выберите канал для ПК)
  • Клиент Intel AMT - Radmin Viewer 3.3
  • Intel vPro / AMT как аппаратный антивирус
  • AMT через Интернет (OOB Manager)
  • Intel ME Secrets: Скрытый код в вашем чипсете и как узнать, что именно он делает . Игорь Скочинский, доклад на Code Blue 2014
  • Использование Intel AMT и Intel NUC с Ubuntu