Технология активного управления Intel

Платформа внешнего управления

Часть веб-интерфейса управления Intel AMT, доступная даже когда компьютер находится в спящем режиме.

Технология Intel Active Management Technology ( AMT ) — это аппаратное и микропрограммное обеспечение для удаленного внеполосного управления некоторыми бизнес-компьютерами, ^{[1] [2]} работающее на Intel Management Engine , микропроцессорной подсистеме, недоступной пользователю, предназначенной для мониторинга, обслуживания, обновления и ремонта систем. ^[1] Внеполосное (OOB) или аппаратное управление отличается от программного (или внутриполосного) управления и агентов программного управления. ^[1]

Аппаратное управление работает на другом уровне, чем программные приложения, и использует канал связи (через стек TCP/IP ), который отличается от программной связи (которая осуществляется через программный стек в операционной системе). Аппаратное управление не зависит от наличия ОС или локально установленного агента управления. Аппаратное управление было доступно на компьютерах на базе Intel/AMD в прошлом, но оно в значительной степени ограничивалось автоматической настройкой с использованием DHCP или BOOTP для динамического распределения IP-адресов и бездисковых рабочих станций , а также пробуждения по локальной сети (WOL) для удаленного включения систем. ^[3] AMT не предназначен для использования сам по себе; он предназначен для использования вместе с приложением управления программным обеспечением. ^[1] Он предоставляет приложению управления (и, следовательно, системному администратору, который его использует) доступ к ПК по проводам, чтобы удаленно выполнять задачи, которые трудно или иногда невозможно выполнить при работе на ПК, в который не встроены удаленные функции. ^{[1] [4] [5]}

AMT разработан в виде сервисного процессора, расположенного на материнской плате, и использует защищенную связь TLS и надежное шифрование для обеспечения дополнительной безопасности. ^[6] AMT встроен в ПК с технологией Intel vPro и основан на Intel Management Engine (ME). ^[6] AMT перешел к расширению поддержки стандартов DMTF Desktop and mobile Architecture for System Hardware (DASH), а AMT Release 5.1 и более поздние выпуски представляют собой реализацию стандартов DASH версии 1.0/1.1 для управления по внешнему каналу. ^[7] AMT предоставляет схожую функциональность с IPMI , хотя AMT предназначен для клиентских вычислительных систем по сравнению с типичным серверным IPMI.

В настоящее время AMT доступна на настольных компьютерах, серверах, ультрабуках, планшетах и ​​ноутбуках с семейством процессоров Intel Core vPro , включая Intel Core i5, Core i7, Core i9 и семейство продуктов Intel Xeon E3-1000, Xeon E, Xeon W-1000. ^{[1] [8] [9]} AMT также требует сетевой карты Intel и корпоративной версии двоичного файла Intel Management Engine. ^[10]

Intel подтвердила наличие ошибки удаленного повышения привилегий ( CVE - 2017-5689, SA-00075) в своей технологии управления 1 мая 2017 года. ^[11] Каждая платформа Intel с Intel Standard Manageability, Active Management Technology или Small Business Technology, от Nehalem в 2008 году до Kaby Lake в 2017 году, имеет удаленно эксплуатируемую уязвимость безопасности в ME. ^{[12] [13]} Некоторые производители, такие как Purism ^[14] и System76 ^[15], уже продают оборудование с отключенным Intel Management Engine для предотвращения удаленной эксплуатации. Дополнительные серьезные уязвимости безопасности в ME, затрагивающие очень большое количество компьютеров, включающих в себя прошивку Management Engine, Trusted Execution Engine и Server Platform Services , от Skylake в 2015 году до Coffee Lake в 2017 году, были подтверждены Intel 20 ноября 2017 года (SA-00086).

Несвободный доступ к услугам

Хотя iAMT может быть включен бесплатно в устройства, продаваемые населению и малому бизнесу, все возможности iAMT, включая зашифрованный удаленный доступ с помощью сертификата открытого ключа и автоматическую удаленную подготовку устройств для ненастроенных клиентов iAMT, не доступны бесплатно для широкой публики или прямых владельцев устройств, оснащенных iAMT. iAMT невозможно полностью использовать по максимуму без приобретения дополнительного программного обеспечения или услуг управления у Intel или другого стороннего независимого поставщика программного обеспечения (ISV) или реселлера с добавленной стоимостью (VAR).

Сама Intel предоставляет программный пакет инструментов разработчика , который обеспечивает базовый доступ к iAMT, но не предназначен для обычного использования для доступа к технологии. ^[16] Поддерживаются только базовые режимы доступа, без полного доступа к зашифрованным коммуникациям всей купленной системы управления. ^[17]

Функции

Intel AMT включает в себя аппаратные функции удаленного управления, безопасности, управления питанием и удаленной настройки, которые обеспечивают независимый удаленный доступ к ПК с поддержкой AMT. ^[5] Intel AMT — это технология безопасности и управления, встроенная в ПК с технологией Intel vPro . ^[1]

Intel AMT использует аппаратный внеполосный (OOB) канал связи ^[1] , который работает независимо от наличия работающей операционной системы. Канал связи не зависит от состояния питания ПК, наличия агента управления и состояния многих аппаратных компонентов, таких как жесткие диски и память .

Большинство функций AMT доступны OOB, независимо от состояния питания ПК. ^[1] Другие функции требуют включения ПК (например, перенаправление консоли через последовательный порт по локальной сети (SOL), проверка присутствия агента и фильтрация сетевого трафика). ^[1] Intel AMT имеет возможность удаленного включения питания.

Аппаратные функции можно комбинировать со сценариями для автоматизации обслуживания и ремонта. ^[1]

Аппаратные функции AMT на ноутбуках и настольных ПК включают в себя:

• Зашифрованный удаленный канал связи для сетевого трафика между IT-консолью и Intel AMT. ^[6]
• Возможность для проводного ПК (физически подключенного к сети) за пределами брандмауэра компании в открытой локальной сети устанавливать безопасный туннель связи (через AMT) обратно к ИТ-консоли. ^{[1] [6]} Примерами открытой локальной сети являются проводной ноутбук дома или на сайте малого и среднего бизнеса , не имеющий прокси-сервера.
• Удаленное включение/выключение/переключение питания через зашифрованный WOL . ^[1]
• Удаленная загрузка через перенаправление интегрированной электроники устройства (IDE-R). ^[6]
• Перенаправление консоли через последовательный порт по локальной сети (SOL). ^[1]
• Клавиатура, видео, мышь (KVM) по сети .
• Аппаратные фильтры для мониторинга заголовков пакетов во входящем и исходящем сетевом трафике на предмет известных угроз (на основе программируемых таймеров ), а также для мониторинга известных/неизвестных угроз на основе эвристики на основе времени . Ноутбуки и настольные ПК имеют фильтры для мониторинга заголовков пакетов. Настольные ПК имеют фильтры заголовков пакетов и фильтры на основе времени. ^[18]
• Схема изоляции (ранее и неофициально называемая Intel «выключателем цепи») для блокировки портов, ограничения скорости или полной изоляции ПК, который может быть скомпрометирован или заражен. ^{[1] [6] [18]}
• Проверка присутствия агента с помощью программируемых таймеров на основе аппаратных средств и политик . «Промах» генерирует событие, и это также может генерировать оповещение. ^{[1] [6] [18]}
• Оповещение OOB. ^[1]
• Постоянный журнал событий, хранящийся в защищенной памяти (не на жестком диске). ^[6]
• Доступ (предзагрузка) к универсальному уникальному идентификатору ПК (UUID). ^[1]
• Доступ к информации об аппаратных активах (предзагрузочной), такой как производитель и модель компонента, которая обновляется каждый раз, когда система проходит самотестирование при включении питания (POST). ^[6]
• Доступ (предзагрузка) к стороннему хранилищу данных (TPDS), защищенной области памяти, которую могут использовать поставщики программного обеспечения, для хранения информации о версиях, файлов .DAT и другой информации. ^[1]
• Возможности удаленной настройки, включая удаленную настройку с нулевым касанием на основе сертификатов, настройку с помощью USB-ключа (легкое касание) и ручную настройку. ^{[1] [6] [19]}
• Защищенный аудио/видеоканал для защиты воспроизведения носителей с защитой DRM .

Ноутбуки с AMT также включают беспроводные технологии:

• Поддержка беспроводных протоколов IEEE 802.11 a / g / n ^[20]
• Cisco -совместимые расширения для передачи голоса по беспроводной локальной сети ^[21]

История

Обновления программного обеспечения обеспечивают обновления до следующей младшей версии Intel AMT. Новые основные версии Intel AMT встроены в новый чипсет и обновляются через новое оборудование. ^[6]

Приложения

Почти все функции AMT доступны, даже если ПК выключен, но к нему подключен шнур питания, если операционная система вышла из строя, если отсутствует программный агент или если отказало оборудование (например, жесткий диск или память). ^{[1] [6]} Функция перенаправления консоли ( SOL ), проверка присутствия агента и фильтры сетевого трафика доступны после включения ПК. ^{[1] [6]}

Intel AMT поддерживает следующие задачи управления:

• Удаленно включайте, выключайте, перезапускайте и перезагружайте компьютер. ^[1]
• Удаленная загрузка ПК путем удаленного перенаправления процесса загрузки ПК , заставляя его загружаться с другого образа, например, с сетевого ресурса , загрузочного CD-ROM или DVD , диска восстановления или другого загрузочного устройства. ^{[1] [5]} Эта функция поддерживает удаленную загрузку ПК с поврежденной или отсутствующей ОС.
• Удаленно перенаправляйте ввод-вывод системы через консольное перенаправление через последовательный порт по локальной сети (SOL). ^[1] Эта функция поддерживает удаленное устранение неполадок, удаленный ремонт, обновления программного обеспечения и аналогичные процессы.
• Доступ и изменение настроек BIOS удаленно. ^[1] Эта функция доступна даже при отключении питания ПК, выходе из строя ОС или отказе оборудования. Эта функция предназначена для удаленного обновления и исправления настроек конфигурации. Эта функция поддерживает полное обновление BIOS, а не только изменение определенных настроек.
• Обнаружение подозрительного сетевого трафика. ^{[1] [18]} В ноутбуках и настольных ПК эта функция позволяет системному администратору определять события, которые могут указывать на входящую или исходящую угрозу в заголовке сетевого пакета . В настольных ПК эта функция также поддерживает обнаружение известных и/или неизвестных угроз (включая медленно и быстро перемещающихся компьютерных червей ) в сетевом трафике с помощью временных, эвристических фильтров. Сетевой трафик проверяется до того, как он достигнет ОС, поэтому он также проверяется до загрузки ОС и программных приложений, а также после их выключения (традиционно уязвимый период для ПК ^{[ требуется ссылка ]} ).
• Блокируйте или ограничивайте скорость сетевого трафика в системах, которые предположительно заражены или скомпрометированы компьютерными вирусами , компьютерными червями или другими угрозами. ^{[1] [18]} Эта функция использует аппаратную схему изоляции Intel AMT, которая может быть активирована вручную (дистанционно, системным администратором) или автоматически, на основе ИТ-политики (определенное событие).
• Управление аппаратными пакетными фильтрами во встроенном сетевом адаптере . ^{[1] [18]}
• Автоматически отправлять OOB-сообщение на IT-консоль, когда критический программный агент пропускает назначенную проверку с программируемым, основанным на политике аппаратным таймером . ^{[1] [18]} «Промах» указывает на потенциальную проблему. Эту функцию можно объединить с оповещением OOB, чтобы IT-консоль уведомлялась только при возникновении потенциальной проблемы (помогает предотвратить переполнение сети ненужными уведомлениями о «позитивных» событиях).
• Получать события Platform Event Trap (PET) вне диапазона от подсистемы AMT (например, события, указывающие на зависание или сбой ОС или на попытку атаки на пароль ). ^[1] Оповещение может быть выдано при возникновении события (например, при выходе из соответствия в сочетании с проверкой присутствия агента) или при достижении порогового значения (например, при достижении определенной скорости вентилятора).
• Доступ к постоянному журналу событий, хранящемуся в защищенной памяти. ^[1] Журнал событий доступен OOB, даже если ОС вышла из строя или оборудование уже вышло из строя.
• Обнаружение системы AMT независимо от состояния питания ПК или состояния ОС. ^[1] Обнаружение (предзагрузочный доступ к UUID ) доступно, если система выключена, ее ОС скомпрометирована или не работает, оборудование (такое как жесткий диск или память ) вышло из строя или отсутствуют агенты управления.
• Выполнение инвентаризации программного обеспечения или доступ к информации о программном обеспечении на ПК. ^[1] Эта функция позволяет стороннему поставщику программного обеспечения хранить информацию об активах или версиях программного обеспечения для локальных приложений в защищенной памяти Intel AMT. (Это защищенное стороннее хранилище данных, которое отличается от защищенной памяти AMT для информации об аппаратных компонентах и ​​другой системной информации). Стороннее хранилище данных может быть доступно системному администратору OOB. Например, антивирусная программа может хранить информацию о версии в защищенной памяти, которая доступна для сторонних данных. Компьютерный сценарий может использовать эту функцию для определения ПК, которые необходимо обновить.
• Выполните инвентаризацию оборудования, загрузив список аппаратных активов удаленного ПК (платформа, контроллер управления материнской платой , BIOS , процессор , память , диски, портативные батареи, сменные блоки и другая информация). ^[1] Информация об аппаратных активах обновляется каждый раз, когда система проходит самотестирование при включении питания (POST).

Начиная с основной версии 6, Intel AMT встраивает фирменный сервер VNC для доступа по внеполосному каналу с использованием выделенной технологии просмотра, совместимой с VNC, и имеет полную возможность KVM (клавиатура, видео, мышь) на протяжении всего цикла питания, включая бесперебойное управление рабочим столом при загрузке операционной системы. Такие клиенты, как VNC Viewer Plus от RealVNC, также предоставляют дополнительные функции, которые могут упростить выполнение (и просмотр) определенных операций Intel AMT, таких как выключение и включение компьютера, настройка BIOS и монтирование удаленного образа (IDER).

Предоставление и интеграция

AMT поддерживает удаленную подготовку на основе сертификата или PSK (полное удаленное развертывание), подготовку на основе USB -ключа (подготовка «одним касанием»), ручную подготовку ^[1] и подготовку с использованием агента на локальном хосте («подготовка на основе хоста»). OEM также может предварительно подготовить AMT. ^[19]

Текущая версия AMT поддерживает удаленное развертывание как на ноутбуках, так и на настольных ПК. (Удаленное развертывание было одной из ключевых функций, отсутствовавших в более ранних версиях AMT, и это задерживало принятие AMT на рынке.) ^[5] Удаленное развертывание до недавнего времени было возможно только в корпоративной сети. ^[22] Удаленное развертывание позволяет системному администратору развертывать ПК, не «прикасаясь» к системам физически. ^[1] Оно также позволяет системному администратору откладывать развертывания и вводить ПК в эксплуатацию на определенный период времени, прежде чем функции AMT станут доступны для ИТ-консоли. ^[23] По мере развития моделей доставки и развертывания AMT теперь можно развертывать через Интернет, используя как методы «Zero-Touch», так и методы на основе хоста. ^[24]

ПК могут продаваться с включенным или выключенным AMT. OEM определяет, поставлять ли AMT с возможностями, готовыми к настройке (включенными) или выключенными. Процесс настройки и конфигурирования может различаться в зависимости от сборки OEM. ^[19]

AMT включает приложение Privacy Icon, называемое IMSS, ^[25] , которое уведомляет пользователя системы, если AMT включен. OEM-производитель должен решить, хотят ли они отображать значок или нет.

AMT поддерживает различные методы отключения технологии управления и безопасности, а также различные методы повторного включения технологии. ^{[1] [23] [26] [27]}

AMT может быть частично деинициализирован с помощью параметров конфигурации или полностью деинициализирован путем удаления всех параметров конфигурации, учетных данных безопасности, а также рабочих и сетевых параметров. ^[28] Частичная деинициализация оставляет ПК в состоянии настройки. В этом состоянии ПК может самостоятельно инициировать свой автоматизированный удаленный процесс настройки. Полная деинициализация стирает профиль конфигурации, а также учетные данные безопасности и рабочие / сетевые параметры, необходимые для связи с Intel Management Engine. Полная деинициализация возвращает Intel AMT в заводское состояние по умолчанию.

После отключения AMT, чтобы снова включить AMT, уполномоченный системный администратор может восстановить учетные данные безопасности, необходимые для выполнения удаленной настройки, одним из следующих способов:

• Использование процесса удаленной настройки (полностью автоматизированная, удаленная настройка через сертификаты и ключи). ^[1]
• Физический доступ к ПК для восстановления учетных данных безопасности, либо с помощью USB-ключа, либо путем ручного ввода учетных данных и параметров MEBx. ^[1]

Есть способ полностью сбросить AMT и вернуться к заводским настройкам. Это можно сделать двумя способами:

• Установка соответствующего значения в BIOS .
• Очистка памяти CMOS и/или NVRAM .

Настройка и интеграция AMT поддерживаются службой настройки и конфигурирования (для автоматической настройки), инструментом AMT Webserver (входит в состав Intel AMT) и AMT Commander — неподдерживаемым и бесплатным фирменным приложением, доступным на веб-сайте Intel.

Коммуникация

Весь доступ к функциям Intel AMT осуществляется через Intel Management Engine в аппаратном обеспечении и прошивке ПК. ^[1] Связь AMT зависит от состояния Management Engine, а не от состояния ОС ПК.

Как часть Intel Management Engine, канал связи AMT OOB основан на стеке встроенного ПО TCP/IP , встроенном в системное оборудование. ^[1] Поскольку он основан на стеке TCP/IP, удаленная связь с AMT происходит через сетевой путь передачи данных до того, как связь будет передана ОС.

Intel AMT поддерживает проводные и беспроводные сети. ^{[1] [8] [20] [29]} Для беспроводных ноутбуков с питанием от батареи связь OOB доступна, когда система активна и подключена к корпоративной сети, даже если ОС отключена. Связь OOB также доступна для беспроводных или проводных ноутбуков, подключенных к корпоративной сети через виртуальную частную сеть (VPN) на основе хост-ОС, когда ноутбуки активны и работают нормально.

AMT версии 4.0 и выше может устанавливать безопасный туннель связи между проводным ПК и ИТ-консолью за пределами корпоративного брандмауэра. ^{[1] [30]} В этой схеме сервер присутствия управления (Intel называет его «шлюзом с поддержкой vPro») аутентифицирует ПК, открывает безопасный туннель TLS между ИТ-консолью и ПК и выступает посредником в общении. ^{[1] [31]} Схема предназначена для того, чтобы помочь пользователю или самому ПК запрашивать обслуживание или сервис, находясь в дополнительных офисах или аналогичных местах, где нет локального прокси-сервера или устройства управления.

Технология, которая защищает коммуникации за пределами корпоративного брандмауэра , относительно нова. Она также требует наличия инфраструктуры , включая поддержку со стороны ИТ-консолей и брандмауэров.

AMT PC хранит информацию о конфигурации системы в защищенной памяти. Для ПК версии 4.0 и выше эта информация может включать имя(и) соответствующих серверов управления « белого списка » для компании. Когда пользователь пытается инициировать удаленный сеанс между проводным ПК и сервером компании из открытой локальной сети , AMT отправляет сохраненную информацию на сервер присутствия управления (MPS) в «демилитаризованной зоне» («DMZ»), которая существует между корпоративным брандмауэром и клиентскими (пользовательского ПК) брандмауэрами. MPS использует эту информацию для аутентификации ПК. Затем MPS выступает посредником в коммуникации между ноутбуком и серверами управления компании. ^[1]

Поскольку связь аутентифицирована, защищенный туннель связи может быть открыт с использованием шифрования TLS . После того, как защищенная связь установлена ​​между IT-консолью и Intel AMT на ПК пользователя, системный администратор может использовать типичные функции AMT для удаленной диагностики, ремонта, обслуживания или обновления ПК. ^[1]

Дизайн

Аппаратное обеспечение

Management Engine (ME) — это изолированный и защищенный сопроцессор, встроенный как обязательная ^[32] часть во все текущие (по состоянию на 2015 год ^{[обновлять]}) чипсеты Intel. ^[33]

Начиная с ME 11, он основан на 32-разрядном процессоре Intel Quark x86 и работает под управлением операционной системы MINIX 3. Состояние ME хранится в разделе флэш-памяти SPI с использованием файловой системы Embedded Flash File System (EFFS). ^[34] Предыдущие версии были основаны на ядре ARC , а Management Engine работал под управлением ThreadX RTOS от Express Logic . Версии ME с 1.x по 5.x использовали ARCTangent-A4 (только 32-разрядные инструкции), тогда как версии с 6.x по 8.x использовали более новую ARCompact (смешанную архитектуру набора инструкций 32 и 16-разрядных ). Начиная с ME 7.1, процессор ARC также мог выполнять подписанные апплеты Java .

ME использует тот же сетевой интерфейс и IP, что и хост-система. Трафик маршрутизируется на основе пакетов в порты 16992–16995. Поддержка существует в различных контроллерах Intel Ethernet, экспортируется и настраивается через протокол Management Component Transport Protocol (MCTP). ^{[35] [36]} ME также взаимодействует с хостом через интерфейс PCI. ^[34] В Linux взаимодействие между хостом и ME осуществляется через /dev/mei^[33] или, в последнее время, ^[37] /dev/mei0 . ^[38]

До выпуска процессоров Nehalem ME обычно встраивался в северный мост материнской платы , следуя схеме концентратора контроллера памяти (MCH). ^[39] В новых архитектурах Intel ( начиная с Intel 5 серии ) ME включается в концентратор контроллера платформы (PCH). ^{[40] [41]}

Прошивка

• Management Engine (ME) — основные чипсеты
• Службы серверной платформы (SPS) - сервер
• Trusted Execution Engine (TXE) — планшет/мобильный телефон/малое энергопотребление

Безопасность

Поскольку AMT обеспечивает доступ к ПК ниже уровня ОС, безопасность функций AMT является ключевой проблемой.

Безопасность для связи между Intel AMT и службой обеспечения и/или консолью управления может быть установлена ​​различными способами в зависимости от сетевой среды. Безопасность может быть установлена ​​с помощью сертификатов и ключей (инфраструктура открытых ключей TLS или TLS-PKI), предварительно распределенных ключей ( TLS-PSK ) или пароля администратора. ^{[1] [6]}

Технологии безопасности, защищающие доступ к функциям AMT, встроены в аппаратное обеспечение и прошивку. Как и в случае с другими аппаратными функциями AMT, технологии безопасности активны даже в случае выключения ПК, сбоя ОС, отсутствия программных агентов или отказа оборудования (например, жесткого диска или памяти). ^{[1] [6] [42]}

Поскольку программное обеспечение, реализующее AMT, существует вне операционной системы, оно не обновляется обычным механизмом обновления операционной системы. Поэтому дефекты безопасности в программном обеспечении AMT могут быть особенно серьезными, поскольку они будут оставаться долгое время после того, как были обнаружены и стали известны потенциальным злоумышленникам.

15 мая 2017 года Intel объявила о критической уязвимости в AMT. Согласно обновлению, «Эта уязвимость может позволить сетевому злоумышленнику удаленно получить доступ к корпоративным ПК или устройствам, использующим эти технологии». ^[43] Intel объявила о частичной доступности обновления прошивки для исправления уязвимости для некоторых затронутых устройств.

Нетворкинг

В то время как некоторые протоколы для внутриполосного удаленного управления используют защищенный сетевой канал связи (например, Secure Shell ), некоторые другие протоколы не защищены. Таким образом, некоторым предприятиям пришлось выбирать между наличием защищенной сети или разрешением ИТ-отделам использовать приложения удаленного управления без защищенных коммуникаций для обслуживания и ремонта ПК. ^[1]

Современные технологии безопасности и аппаратные решения позволяют осуществлять удаленное управление даже в более безопасных средах. Например, Intel AMT поддерживает IEEE 802.1x , Preboot Execution Environment (PXE), Cisco SDN и Microsoft NAP . ^[1]

Все функции AMT доступны в защищенной сетевой среде. С Intel AMT в защищенной сетевой среде:

• Сеть может проверить уровень безопасности ПК с поддержкой AMT и аутентифицировать ПК до загрузки ОС и до того, как ПК будет разрешен доступ к сети.
• Загрузка PXE может использоваться при сохранении сетевой безопасности. Другими словами, ИТ-администратор может использовать существующую инфраструктуру PXE в сети IEEE 802.1x , Cisco SDN или Microsoft NAP .

Intel AMT может встраивать учетные данные сетевой безопасности в оборудование с помощью Intel AMT Embedded Trust Agent и подключаемого модуля AMT posture . ^{[1] [6]} Подключаемый модуль собирает информацию о состоянии безопасности, такую ​​как конфигурация прошивки и параметры безопасности из стороннего программного обеспечения (например, антивирусного и антишпионского ПО ), BIOS и защищенной памяти . Подключаемый модуль и доверенный агент могут хранить профили безопасности в защищенной энергонезависимой памяти AMT, которая не находится на жестком диске .

Поскольку AMT имеет внеполосный канал связи, AMT может представить состояние безопасности ПК в сети, даже если ОС или программное обеспечение безопасности ПК скомпрометированы. Поскольку AMT представляет состояние внеполосно, сеть также может аутентифицировать ПК внеполосно, до загрузки ОС или приложений и до того, как они попытаются получить доступ к сети. Если состояние безопасности неверно, системный администратор может выдвинуть обновление OOB (через Intel AMT) или переустановить критическое программное обеспечение безопасности, прежде чем разрешить ПК доступ к сети.

Поддержка различных уровней безопасности зависит от версии AMT :

• Для поддержки IEEE 802.1x и Cisco SDN требуется AMT версии 2.6 или выше для ноутбуков и AMT версии 3.0 или выше для настольных ПК. ^{[1] [44] [45]}
• Для поддержки Microsoft NAP требуется AMT версии 4.0 или выше. ^[1]
• Поддержка загрузки PXE с полной сетевой безопасностью требует AMT версии 3.2 или выше для настольных ПК. ^[1]

Технологии

AMT включает в себя несколько схем безопасности, технологий и методологий для защиты доступа к функциям AMT во время развертывания и во время удаленного управления. ^{[1] [6] [42]} Технологии и методологии безопасности AMT включают в себя:

• Безопасность транспортного уровня , включая предварительный ключ TLS ( TLS-PSK )
• HTTP- аутентификация
• Единый вход в Intel AMT с аутентификацией домена Microsoft Windows на основе Microsoft Active Directory и Kerberos
• Прошивка с цифровой подписью
• Генератор псевдослучайных чисел (ГПСЧ), который генерирует сеансовые ключи
• Защищенная память (не на жестком диске ) для критически важных системных данных, таких как UUID , информация об аппаратных активах и параметры конфигурации BIOS.
• Списки контроля доступа (ACL)

Как и другие аспекты Intel AMT, технологии и методологии безопасности встроены в чипсет.

Известные уязвимости и эксплойты

Руткит Ring −3

Руткит Ring -3 был продемонстрирован Invisible Things Lab для чипсета Q35; он не работает для более позднего чипсета Q45, так как Intel реализовала дополнительные меры защиты. ^[46] Эксплойт работал путем переназначения обычно защищенной области памяти (верхние 16 МБ ОЗУ), зарезервированной для ME. Руткит ME мог быть установлен независимо от того, присутствует ли или включен ли AMT в системе, так как чипсет всегда содержит сопроцессор ARC ME. (Обозначение "-3" было выбрано, потому что сопроцессор ME работает даже тогда, когда система находится в состоянии S3 , поэтому он считался уровнем ниже руткитов режима управления системой . ^[39] ) Для уязвимого чипсета Q35 Патрик Стьюин продемонстрировал руткит на основе ME, регистрирующий нажатия клавиш . ^{[47] [48]}

Автоматическая настройка

Другая оценка безопасности, проведенная Василиосом Верверисом, выявила серьезные недостатки в реализации чипсета GM45. В частности, она критиковала AMT за передачу незашифрованных паролей в режиме подготовки SMB, когда используются функции перенаправления IDE и Serial over LAN. Она также обнаружила, что режим подготовки «zero touch» (ZTC) все еще включен, даже когда AMT, по-видимому, отключен в BIOS. Примерно за 60 евро Верверис приобрел у Go Daddy сертификат, который принимается прошивкой ME и позволяет удаленную подготовку «zero touch» (возможно, ничего не подозревающих) машин, которые транслируют свои пакеты HELLO на потенциальные серверы конфигурации. ^[49]

Молчаливый Боб молчит

В мае 2017 года Intel подтвердила, что многие компьютеры с AMT имели неисправленную критическую уязвимость повышения привилегий ( CVE - 2017-5689). ^{[13] [50] [11] [51] [52]} Уязвимость, которую исследователи, сообщившие о ней в Intel, прозвали « Молчаливый Боб молчит», ^[53] затрагивает многочисленные ноутбуки, настольные компьютеры и серверы, продаваемые Dell , Fujitsu , Hewlett-Packard (позже Hewlett Packard Enterprise и HP Inc. ), Intel, Lenovo и, возможно, другими. ^{[53] [54] [55] [56] [57] [58] [59]} Эти исследователи утверждали, что ошибка затрагивает системы, выпущенные в 2010 году или позже. ^[60] В других отчетах утверждалось, что ошибка также затрагивает системы, выпущенные еще в 2008 году. ^{[12] [13]} Уязвимость описывалась как дающая удаленным злоумышленникам:

полный контроль над затронутыми машинами, включая возможность читать и изменять все. Его можно использовать для установки постоянного вредоносного ПО (возможно, в прошивке), а также для чтения и изменения любых данных.

—  Тату Юленен, ssh.com ^[53]

Процесс авторизации удаленного пользователя включал ошибку программиста: он сравнивал предоставленный пользователем хэш токена авторизации ( user_response) с истинным значением хеша ( computed_response) с помощью этого кода:

strncmp(вычисленный_ответ, пользовательский_ответ, длина_ответа)

Уязвимость заключалась в том, что response_lengthдлина токена, предоставленного пользователем, была не длиной самого токена.

Поскольку третий аргумент для strncmp— это длина двух сравниваемых строк, если она меньше длины computed_response, то только часть строки будет проверена на равенство. В частности, если user_response— пустая строка (длиной 0), это «сравнение» всегда будет возвращать true и, таким образом, проверять пользователя. Это позволяло любому человеку просто входить в adminучетную запись на устройствах, редактируя отправленный им HTTP-пакет, чтобы использовать пустую строку в качестве responseзначения поля.

ПЛАТИНА

В июне 2017 года киберпреступная группировка PLATINUM стала известна тем, что использовала возможности последовательной передачи данных по локальной сети (SOL) AMT для осуществления кражи данных из украденных документов. ^{[61] [62] [63] [64] [65] [66] [67] [68]}

СА-00086

В ноябре 2017 года серьезные недостатки были обнаружены в прошивке Management Engine (ME) фирмой по безопасности Positive Technologies, которая заявила, что разработала рабочий эксплойт этой системы для кого-то, имеющего физический доступ к порту USB. ^[69] 20 ноября 2017 года Intel подтвердила, что ряд серьезных недостатков был обнаружен в Management Engine, Trusted Execution Engine, Server Platform Services, и выпустила «критическое обновление прошивки». ^{[70] [71]}

Избежание и смягчение последствий

ПК с AMT обычно предоставляют опцию в меню BIOS для отключения AMT, хотя OEM-производители реализуют функции BIOS по-разному, ^[72] и поэтому BIOS не является надежным методом отключения AMT. ПК на базе Intel, которые поставляются без AMT, не должны иметь возможность установки AMT позже. Однако, пока оборудование ПК потенциально способно запустить AMT, неясно, насколько эффективны эти средства защиты. ^{[73] [74] [75]} В настоящее время существуют руководства по смягчению ^[76] и инструменты ^[77] для отключения AMT в Windows, но Linux получил только инструмент для проверки того, включена ли и подготовлена ​​ли AMT в системах Linux. ^[78] Единственный способ фактически исправить эту уязвимость — установить обновление прошивки. Intel предоставила список доступных обновлений. ^[79] В отличие от AMT, обычно нет официального, документированного способа отключить Management Engine (ME); он всегда включен, если только он не отключен OEM-производителем. ^{[80] [81]}

В 2015 году небольшое количество конкурирующих поставщиков начали предлагать ПК на базе Intel, разработанные или модифицированные специально для устранения потенциальных уязвимостей AMT и связанных с ними проблем. ^{[82] [83] [84] [85] [10] [86] [87]}

Смотрите также

• Бэкдор (вычисления)
• Интерфейс встроенного контроллера хоста
• Интегрированная подсветка HP
• Intel CIRA
• Intel Core
• Интернет-выключатель
• Платформенный контроллер-концентратор
• Управление отключением света
• Южный мост (вычислительный)
• Системный сервисный процессор
• Версии Intel AMT
• Механизм управления Intel
• Intel vPro

Ссылки

1. "Intel Centrino 2 с технологией vPro и процессор Intel Core2 с технологией vPro" (PDF) . Intel. 2008. Архивировано из оригинала (PDF) 6 декабря 2008 г. . Получено 7 августа 2008 г.
2. "Intel vPro Chipset Lires MSP, System Builders". ChannelWeb . Получено 1 августа 2007 г.
3. «Новый рассвет удаленного управления? Первый взгляд на платформу Intel vPro». ars technica. 6 февраля 2007 г. Получено 7 ноября 2007 г.
4. "Удаленное управление ПК с помощью Intel vPro". Tom's Hardware Guide. 26 апреля 2007 г. Получено 21 ноября 2007 г.
5. "Revisiting vPro for Corporate Purchases". Gartner. Архивировано из оригинала 23 июля 2008 г. Получено 7 августа 2008 г.
6. "Руководство по архитектуре: технология Intel Active Management". Intel. 26 июня 2008 г. Архивировано из оригинала 19 октября 2008 г. Получено 12 августа 2008 г.
7. "Архивная копия". Архивировано из оригинала 14 апреля 2012 г. Получено 30 апреля 2012 г.{{cite web}}: CS1 maint: архивная копия как заголовок ( ссылка )
8. "Intel Centrino 2 с технологией vPro" (PDF) . Intel. Архивировано из оригинала (PDF) 15 марта 2008 г. . Получено 15 июля 2008 г. .
9. "Intel MSP". Msp.intel.com . Получено 25 мая 2016 г. .
10. "Purism объясняет, почему он избегает AMT и сетевых карт Intel для своих ноутбуков Librem, ориентированных на конфиденциальность". Tom's Hardware . 29 августа 2016 г. Получено 10 мая 2017 г.
11. "Центр безопасности продуктов Intel®". Security-center.intel.com . Получено 7 мая 2017 г. .
12. Charlie Demerjian (1 мая 2017 г.). «Удалённый эксплойт безопасности на всех платформах Intel 2008+». SemiAccurate . Получено 6 сентября 2024 г. .
13. "Красная тревога! Intel устраняет уязвимость удаленного выполнения, которая была скрыта в чипах с 2010 года". Theregister.co.uk . Получено 7 мая 2017 г.
14. HardOCP: Purism предлагает ноутбуки с отключенным Intel Management Engine
15. System76 отключает Intel Management Engine на своих ноутбуках
16. Гаррисон, Джастин (28 марта 2011 г.). «Как удаленно управлять своим ПК (даже если он выходит из строя)». Howtogeek.com . Получено 7 мая 2017 г. .
17. "Open Manageability Developer Tool Kit | Intel® Software". Software.intel.com . Получено 7 мая 2017 г. .
18. "Обзор системы защиты и присутствия агента Intel Active Management Technology" (PDF) . Intel. Февраль 2007 г. Получено 16 августа 2008 г.
19. "Intel Centrino 2 с технологией vPro". Intel. Архивировано из оригинала 15 марта 2008 г. Получено 30 июня 2008 г.
20. "Новые ноутбуки на базе Intel совершенствуют все грани ноутбуков". Intel. Архивировано из оригинала 17 июля 2008 г. Получено 15 июля 2008 г.
21. "Понимание Intel AMT по проводным и беспроводным сетям (видео)". Intel. Архивировано из оригинала 26 марта 2008 г. Получено 14 августа 2008 г.
22. "Технология Intel® vPro™". Intel .
23. "Часть 3: Последующее развертывание Intel vPro в среде Altiris: включение и настройка отложенной подготовки". Intel (форум) . Получено 12 сентября 2008 г.
24. "Архивная копия" (PDF) . Архивировано из оригинала (PDF) 3 января 2014 г. . Получено 20 июля 2013 г. .{{cite web}}: CS1 maint: архивная копия как заголовок ( ссылка )
25. "Intel Management and Security Status (IMSS), расширенные конфигурации. Часть 9 – Блоги Intel Software Network". Архивировано из оригинала 20 февраля 2011 г. Получено 26 декабря 2010 г.
26. "Intel vPro Provisioning" (PDF) . HP (Hewlett Packard) . Получено 2 июня 2008 г. .
27. "Настройка и конфигурация vPro для бизнес-ПК dc7700 с технологией Intel vPro" (PDF) . HP (Hewlett Packard) . Получено 2 июня 2008 г. .^{[ постоянная мертвая ссылка ]}
28. "Часть 4: Последующее развертывание Intel vPro в среде Altiris Intel: Частичная неопределенность". Intel (форум) . Получено 12 сентября 2008 г.
29. «Технические соображения по Intel AMT в беспроводной среде». Intel. 27 сентября 2007 г. Получено 16 августа 2008 г.
30. "Служба настройки и конфигурации технологии Intel Active Management, версия 5.0" (PDF) . Intel . Получено 13 октября 2018 г. .
31. "Intel AMT - Fast Call for Help". Intel. 15 августа 2008 г. Архивировано из оригинала 11 февраля 2009 г. Получено 17 августа 2008 г.(Блог разработчика Intel)
32. "Intel x86 считается вредным (новая статья)". Архивировано из оригинала 3 января 2016 г. Получено 16 января 2016 г.
33. "Архивная копия". Архивировано из оригинала 1 ноября 2014 года . Получено 25 февраля 2014 года .{{cite web}}: CS1 maint: архивная копия как заголовок ( ссылка )
34. Игорь Скочинский ( Hex-Rays ) Руткит в вашем ноутбуке, Ruxcon Breakpoint 2012
35. "Intel Ethernet Controller I210 Datasheet" (PDF) . Intel . 2013. стр. 1, 15, 52, 621–776 . Получено 9 ноября 2013 г. .
36. "Краткое описание продукта Intel Ethernet Controller X540" (PDF) . Intel . 2012 . Получено 26 февраля 2014 .
37. "примеры: mei: используйте /dev/mei0 вместо /dev/mei · torvalds/linux@c4a46ac". GitHub . Получено 14 июля 2021 г. .
38. «Введение — Документация ядра Linux». www.kernel.org . Получено 14 июля 2021 г. .
39. Джоанна Рутковска. "A Quest to the Core" (PDF) . Invisiblethingslab.com . Получено 25 мая 2016 г. .
40. "Архивная копия" (PDF) . Архивировано из оригинала (PDF) 11 февраля 2014 г. . Получено 26 февраля 2014 г. .{{cite web}}: CS1 maint: архивная копия как заголовок ( ссылка )
41. "Platforms II" (PDF) . Users.nik.uni-obuda.hu . Получено 25 мая 2016 г. .
42. "Новая процессорная технология Intel vPro укрепляет безопасность бизнес-ПК (пресс-релиз)". Intel. 27 августа 2007 г. Архивировано из оригинала 12 сентября 2007 г. Получено 7 августа 2007 г.
43. "Критическая уязвимость прошивки Intel® AMT". Intel . Получено 10 июня 2017 г. .
44. "Intel Software Network, форум инженеров/разработчиков". Intel. Архивировано из оригинала 13 августа 2011 г. Получено 9 августа 2008 г.
45. «Решения Cisco по безопасности с использованием процессорных технологий Intel Centrino Pro и Intel vPro» (PDF) . Intel. 2007.
46. "Invisible Things Lab представит две новые технические презентации, раскрывающие уязвимости системного уровня, влияющие на современное оборудование ПК в его основе" (PDF) . Invisiblethingslab.com . Архивировано из оригинала (PDF) 12 апреля 2016 г. . Получено 25 мая 2016 г. .
47. "Technische Universität Berlin: FG Security in Telecommunications: Evaluating "Ring-3" Rootkits" (PDF) . Stewin.org . Архивировано из оригинала (PDF) 4 марта 2016 г. . Получено 25 мая 2016 г. .
48. "Persistent, Stealthy Remote-controlled Dedicated Hardware Malware" (PDF) . Stewin.org . Архивировано из оригинала (PDF) 3 марта 2016 г. . Получено 25 мая 2016 г. .
49. "Оценка безопасности технологии активного управления Intel" (PDF) . Web.it.kth.se . Получено 25 мая 2016 г. .
50. "CVE - CVE-2017-5689". Cve.mitre.org . Архивировано из оригинала 5 мая 2017 г. . Получено 7 мая 2017 г. .
51. "Intel Hidden Management Engine - x86 Security Risk?". Darknet. 16 июня 2016 г. Получено 7 мая 2017 г.
52. Гарретт, Мэтью (1 мая 2017 г.). «Уязвимость Intel в удаленном AMT». mjg59.dreamwidth.org . Получено 7 мая 2017 г. .
53. "2017-05-05 ВНИМАНИЕ! ЭКСПЛОЙТ Intel AMT ВЫШЕЛ! ЭТО ПЛОХО! ОТКЛЮЧИТЕ AMT СЕЙЧАС ЖЕ!". Ssh.com\Accessdate=2017-05-07 .
54. Дэн Гудин (6 мая 2017 г.). «Уязвимость, которая таилась в чипах Intel, хуже, чем кто-либо думал». Ars Technica . Получено 8 мая 2017 г.
55. "Общие: обновления BIOS из-за уязвимости Intel AMT IME - Общие сведения об оборудовании - Ноутбук - Сообщество Dell". En.community.dell.com . 2 мая 2017 г. Архивировано из оригинала 11 мая 2017 г. Получено 7 мая 2017 г.
56. "Рекомендательное примечание: уязвимость прошивки Intel – страницы технической поддержки Fujitsu от Fujitsu Fujitsu Continental Europe, Middle East, Africa & India". Support.ts.fujitsu.com. 1 мая 2017 г. Получено 8 мая 2017 г.
57. "HPE | HPE CS700 2.0 для VMware". H22208.www2.hpe.com . 1 мая 2017 г. Архивировано из оригинала 8 мая 2017 г. Получено 7 мая 2017 г.
58. "Intel® Security Advisory concerning escalation o... |Intel Communities". Communities.intel.com . 4 мая 2017 г. . Получено 7 мая 2017 г. .
59. «Технология Intel Active Management, технология Intel Small Business и удаленное повышение привилегий Intel Standard Manageability». Support.lenovo.com . Получено 7 мая 2017 г. .
60. "MythBusters: CVE-2017-5689". Embedi.com . Архивировано из оригинала 6 мая 2017 г. . Получено 7 мая 2017 г. .
61. «Хитрые хакеры используют инструменты управления Intel для обхода брандмауэра Windows». 9 июня 2017 г. Получено 10 июня 2017 г.
62. Танг, Лиам. «Брандмауэр Windows обошел шпионов, использующих Intel AMT, используя «горячее исправление», заявляет Microsoft - ZDNet». ZDNet . Получено 10 июня 2017 г.
63. "PLATINUM продолжает развиваться, находит способы сохранять невидимость". 7 июня 2017 г. Получено 10 июня 2017 г.
64. "Вредоносное ПО использует скрытую функцию процессора Intel для кражи данных и обхода брандмауэров" . Получено 10 июня 2017 г.
65. "Хакеры злоупотребляют функцией управления низкого уровня для невидимого бэкдора". iTnews . Получено 10 июня 2017 г.
66. "Vxers используют Intel Active Management для вредоносного ПО через локальную сеть • The Register". www.theregister.co.uk . Получено 10 июня 2017 г.
67. Безопасность, здравствуйте. «Intel-Fernwartung AMT bei Angriffen auf PCs genutzt». Безопасность . Проверено 10 июня 2017 г.
68. "Метод передачи файлов группы активности PLATINUM с использованием Intel AMT SOL". Канал 9. Получено 10 июня 2017 г.
69. Исследователи обнаружили, что практически КАЖДЫМ компьютером с процессором Intel Skylake и выше можно управлять через USB.
70. "Критическое обновление прошивки Intel® Management Engine (Intel SA-00086)". Intel.
71. Ньюман, Лили Хей. «Недостатки чипов Intel оставляют миллионы устройств уязвимыми». Wired .
72. "Отключение AMT в BIOS". software.intel.com . 28 декабря 2010 г. Получено 17 мая 2017 г.
73. Чарли Демерджян (3 мая 2017 г.). «Защищены ли потребительские ПК от эксплойта Intel ME/AMT?». SemiAccurate.
74. "Intel x86s скрывают другой процессор, который может захватить вашу машину (вы не можете его проверить)". Boing Boing . 15 июня 2016 г. Получено 11 мая 2017 г.
75. "[coreboot] : ошибка AMT". Mail.coreboot.org . 11 мая 2017 г. . Получено 13 июня 2017 г. .
76. «Отключение Intel AMT в Windows (и более простое руководство по устранению уязвимости CVE-2017-5689)». Маркетинг в социальных сетях | Цифровой маркетинг | Электронная коммерция . 3 мая 2017 г. . Получено 17 мая 2017 г. .
77. "bartblaze/Disable-Intel-AMT". GitHub . Получено 17 мая 2017 г. .
78. "mjg59/mei-amt-check". GitHub . Получено 17 мая 2017 г. .
79. "Критическая уязвимость прошивки Intel® AMT". Intel . Получено 17 мая 2017 г. .
80. "Блог Positive Technologies: Отключение Intel ME 11 через недокументированный режим". Архивировано из оригинала 28 августа 2017 г. Получено 30 августа 2017 г.
81. «Intel исправляет основные недостатки в Intel Management Engine». Extreme Tech.
82. Воан-Николс, Стивен Дж. «Taurinus X200: теперь самый «свободнопрограммный» ноутбук на планете - ZDNet». ZDNet .
83. Кисслинг, Кристиан. «Libreboot: Thinkpad X220 без Management Engine » Linux-Magazin». Linux-Магазин .
84. онлайн, хайз. «Libiquity Taurinus X200: Linux-ноутбук с Intel Management Engine». Хейз онлайн .
85. «Уязвимость Intel AMT показывает, что система управления Intel может быть опасной». 2 мая 2017 г.
86. «Фонд свободного программного обеспечения любит этот ноутбук, но вам он не понравится».
87. «FSF одобряет еще один (устаревший) ноутбук — Phoronix». phoronix.com .

Внешние ссылки

• Открытый набор инструментов AMT Cloud
• MeshCentral2
• Intel Управляемость Commander
• Внедрение Intel AMT
• Центр безопасности Intel
• Технология активного управления Intel
• Сообщество разработчиков Intel Manageability
• Центр экспертов Intel vPro
• Контроллер Intel 82573E Gigabit Ethernet (Tekoa)
• Процессор ARC4
• Видеоролики AMT (выберите канал для рабочего стола)
• Клиент Intel AMT - Radmin Viewer 3.3
• Intel vPro/AMT как аппаратный антивирус
• Предоставление услуг AMT через Интернет (OOB Manager)
• Секреты Intel ME: скрытый код в вашем чипсете и как узнать, что именно он делает, Игорь Скочинский, доклад на Code Blue 2014
• Использование Intel AMT и Intel NUC с Ubuntu