intel management and security status что это за программа
Боремся с дистанционным контролем: как отключить Intel ME
Технология Intel ME (или AMT, Active Management Technology) является одним из самых загадочных и мощных элементов современных x86-платформ. Инструмент изначально создавался в качестве решения для удаленного администрирования. Однако он обладает столь мощной функциональностью и настолько неподконтролен пользователям Intel-based устройств, что многие из них хотели бы отключить эту технологию, что сделать не так-то просто.
Автор: Positive Technologies рейтинг
Технология Intel ME (или AMT, Active Management Technology) является одним из самых загадочных и мощных элементов современных x86-платформ. Инструмент изначально создавался в качестве решения для удаленного администрирования. Однако он обладает столь мощной функциональностью и настолько неподконтролен пользователям Intel-based устройств, что многие из них хотели бы отключить эту технологию, что сделать не так-то просто.
На прошедшем 17 и 18 мая в Москве форуме Positive Hack Days VI исследователи Positive Technologies Максим Горячий и Марк Ермолов представили несколько техник отключения Intel ME, сопроводив доклад видеодемонстрацией процесса.
Что это, и зачем нужно отключать
Подсистема Intel Management Engine (ME) представляет собой дополнительный «скрытый» процессор, который присутствует во всех устройствах на базе чипсетов Intel (не только в PC и ноутбуках, но и в серверах). Среда исполнения ME никогда не «спит» и работает даже при выключенном компьютере (при наличии дежурного напряжения), а также имеет доступ к оперативной памяти, сетевому интерфейсу, USB контроллеру и встроенному графическому адаптеру.
Несмотря на столь обширные возможности, существуют вопросы к уровню защищенности ME — ранее исследователи уже находили серьезные уязвимости и векторы атак. Кроме того, подсистема содержит потенциально опасные функции — удаленное управление, NFC, скрытый сервисный раздел (hidden service partition). Интерфейсы подсистемы ME недокументированы, а реализация закрыта.
Все эти причины приводят к тому, что многие рассматривают технологию ME в качестве «аппаратной закладки». Ситуацию усугубляет тот факт, что с одной стороны у пользователя устройства нет возможностей по отключению этой функциональности, а с другой производитель оборудования может допустить ошибки в конфигурации МЕ.
Хорошая новость заключается в том, что способы отключения ME все же существуют.
Техники отключения Intel ME
Исследователи компании Positive Technologies Максим Горячий и Марк Ермолов в ходе состоявшегося в Москве форума Positive Hack Days VI представили доклад, посвященный отключению Intel ME. Специалисты описали несколько техник отключения данной подсистемы:
Большинство методов отключения используют встроенные механизмы ME, разработанные для вендоров устройств на платформе Intel. Все они подробно описаны в презентации, которая опубликована на GitHub. По ссылке представлено демонстрационное видео отключения ME (оно же ниже):
И тем не менее, возникает резонный вопрос: «Действительно ли ME перестает работать в полном объеме при использовании ее встроенных механизмов отключения?» В качестве доказательства факта отключения МЕ исследователи приводят следующий аргумент: ME работает в двух режимах использования памяти: только SRAM (встроенный в ME) и SRAM + UMA. UMA — это часть памяти хоста, которая используется как подкачиваемая память (swap). После инициализации DRAM-контроллера хостом ME всегда переключается в режим SRAM + UMA.
Таким образом, если ME действительно выключена, то при отключении на аппаратном уровне доступа МЕ к UMA-памяти в произвольный момент (посредствам канала VСm), в МЕ не будет происходить аппаратных сбоев, связанных с отсутствием данных и кода, которые были вытеснены в UMA память (такие аппаратные сбои приводят к аварийному отключению питания с основных аппаратных компонентов платформы). С другой стороны применение этих методов позволяет осуществить DoS-атаки на технологию AMT в случае ее применения для удаленного управления.
Что мы узнали о безопасности Intel ME за последние годы: 7 фактов о таинственной подсистеме
В последние пару лет технология Intel ME находится под пристальным вниманием исследователей. Эту технологию окружает ореол таинственности – несмотря на то, что она имеет доступ практически ко всем данным на компьютере и ее компрометация позволяет захватить полный контроль над машиной, официальной документации и руководств по работе с ней от производителя просто не существует. Поэтому исследователям со всего мира приходится самостоятельно разбираться в работе подсистемы.
Мы изучаем Intel ME на протяжение последних лет, и вот что нам удалось узнать об этой таинственной подсистеме к этому моменту.
Уязвимости в ME позволяют взломать даже выключенный компьютер
Уязвимость в Intel ME позволяла выполнять произвольный код. Это ставит под угрозу все технологии такие технологии как Intel Protected Audio Video Path (PAVP), Intel Platform Trust Technology (PTT или fTPM), Intel BootGuard, Intel Software Guard Extention (SGX) и многие другие.
Для перехвата данных в ME можно использовать отладочный механизм JTAG
Эксплуатируя ошибку в модуле bup, исследователям удалось включить механизм, называемый PCH red unlock, который открывает полный доступ ко всем устройствам PCH, для использование их через DFx chain, то есть с помощью JTAG. Одним из таких устройств и является само ядро ME. Это дало возможность отлаживать код, выполняемый на ME, читать память всех процессов и ядра, управлять всеми устройствами внутри PCH. Подсчеты показали, что в современных компьютерах в совокупности порядка 50 внутренних устройств, полный доступ к которым имеет только ME, а основной процессор только к весьма ограниченному их подмножеству.
Такой уровень доступа означает также, что любой эксплуатирующий эту уязвимость злоумышленник, обойдя традиционную защиту на основе ПО, сможет проводить атаки даже при выключенном компьютере.
JTAG можно активировать и в мобильной версии ME
Intel TXE – это мобильная версия ME. Уязвимость INTEL-SA-00086 позволяет активировать JTAG для ядра подсистемы. Исследователи Positive Technologies разработали JTAG PoC для платформы Gigabyte Brix GP-BPCE-3350C platform. Эта утилита может быть использована для активации JTAG для Intel TXE.
Подсистему можно отключить, используя недокументированный режим
Название High Assurance Platform носит программа по созданию доверительных платформ, связанная с Агентством национальной безопасности (АНБ) США. В сети доступна презентация с описанием программы. Вероятно, данный механизм был внедрен по просьбе правительственных служб США, которые стремятся уменьшить вероятность утечки данных по побочным каналам.
Недостатки безопасности ME поставили под угрозу MacBook
Ни этот режим, ни его потенциальные риски не описаны в публичной документации Intel. Обычный пользователь не имеет возможности выключить его самостоятельно, так как утилита для управления им из пакета Intel ME System Tools официально не доступна.
Уязвимость позволяет злоумышленнику с правами администратора получить несанкционированный доступ к критически важным частям прошивки, записать туда уязвимую версию Intel ME и через ее эксплуатацию тайно закрепиться на устройстве. В дальнейшем он сможет получить полный контроль над компьютером и осуществлять шпионскую деятельность, без малейшей вероятности быть обнаруженным.
Уязвимые чипсеты Intel используются во всем мире, от домашних и рабочих ноутбуков до корпоративных серверов. Ранее выпущенное Intel обновление не исключало возможность эксплуатации уязвимостей CVE-2017-5705, CVE-2017-5706 и CVE-2017-5707, так как при наличии у атакующего доступа на запись к ME-региону он всегда может записать уязвимую версию МЕ и проэксплуатировать уязвимость в ней.
Intel «патчит» одни и те же ошибки в ME по два раза
В начале июля Intel выпустила два security advisory ( SA-00112 и SA-00118 ), в которых описала исправления в прошивке Intel Management Engine. Оба бюллетеня безопасности описывают ошибки, позволяющие атакующему произвольное выполнение кода на внутреннем процессоре PCH (Minute IA).
Эти ошибки аналогичны тем, которые специалисты по безопасности компании Positive Technologies обнаружили в ноябре 2017 года ( SA-00086 ). Однако история на этом не закончилась, и впоследствии Intel выпустила новые исправления уязвимостей в ME.
CVE-2018-3627, описанная в SA-00118, помечена в бюллетене в качестве логической ошибки (это не переполнение буфера), которая приводит к выполнению произвольного кода. Для ее эксплуатации атакующему нужен локальный доступ, тогда как уязвимость, о которой речь идет в SA-00086, можно эксплуатировать локально только в случае ошибок в конфигурации системы, допущенных производителем OEM. Это условие делает уязвимость более опасной.
В случае с CVE-2018-3628 (описана в SA-00112) дела обстоят еще хуже. Уязвимость в процессе AMT прошивки Management Engine приводит к удаленному выполнению кода (Remote Code Execution), причем атакующему не нужно иметь учетную запись администратора AMT, как при эксплуатации CVE-2017-5712 из SA-00086.
Intel описывает эту ошибку как «Buffer Overflow in HTTP Handler», что позволяет предположить возможность выполнения кода удаленно без авторизации. Это и есть тот наихудший сценарий, которого боятся все пользователи платформ Intel.
Существуют способы раскрытия ключей шифрования ME
На этом «приключения» Intel ME не закончились. Уже осенью компании пришлось исправлять еще одну ошибку в подсистеме, которая приводила к раскрытию ключей шифрования в Intel ME – ее обнаружили исследователи Positive Technologies Дмитрий Скляров и Максим Горячий.
В подсистеме Intel ME (Management Engine) для хранения данных используется MFS (предположительно, сокращение от ME File System). В механизмах безопасности MFS активно задействуются криптографические ключи. Для обеспечения секретности данных, хранящихся в MFS, используются Confidentiality keys, а для контроля целостности — Integrity keys. Данные, помещаемые в MFS, по степени значимости делятся на две категории, и защищаются разными наборами ключей. Для наиболее чувствительных данных используются Intel keys, а для всего остального — Non-Intel keys. Таким образом, применяется четыре ключа: Intel Integrity key, Non-Intel Integrity key, Intel Confidentiality key и Non-Intel Confidentiality key.
Эксплуатация обнаруженной ранее Марком Ермоловым и Максимом Горячим уязвимости позволяет получить все четыре ключа и полностью скомпрометировать механизмы безопасности MFS. Intel выпустила обновление, закрывающее эту уязвимость. Было увеличено значение SVN (Secure Version Number) — этот шаг должен был привести к обновлению всех ключей и вернуть безопасность MFS на запланированный уровень. Получение ключей MFS для обновленных прошивок ME (с новым значением SVN) должно быть невозможно.
Однако уже в 2018 году исследователи Positive Technologies обнаржили уязвимость CVE-2018-3655, описанную в бюллетене Intel-SA-00125. Суть проблемы заключается в том, что Non-Intel keys зависят от значения SVN и базового неизменяемого секрета подсистемы. А этот секрет удастся получить, если использовать JTAG-отладку, которую можно включить, используя предыдущую уязвимость. Знание базового секрета подсистемы позволяет вычислить оба Non-Intel keys — и все это уже в новой версии прошивки.
Таким образом злоумышленник может вычислить Non-Intel Integrity key и Non-Intel Confidentiality key для прошивок с обновленным значением SVN, а значит и скомпрометировать те механизмы безопасности MFS, которые опираются на эти ключи.
Intel ME. Как избежать восстания машин?
Ошарашенный присутствием такого компонента в компьютере, пользователь (получается, что именно «пользователь», а не «владелец») наверняка задавался вопросом: можно ли выключить Intel ME?
Эта статья целиком посвящена этому вопросу.
Введение
Начиная с 6-й версии, ME-контроллер встраивают во все чипсеты Intel.
[рисунок взят отсюда]
Загрузчик его прошивки хранится во внутренней ROM и недоступен для анализа. Сама прошивка располагается в регионе ME во внешней SPI флэш-памяти (т.е. в той же памяти, где хранится BIOS). Структура этой прошивки такова, что весь исполнимый код разбит на модули, которые хранятся в сжатом виде (либо кастомной реализацией алгоритма Хаффмана, либо LZMA). Эти кодовые модули криптографически защищены от модификаций.
Если есть желание поревёрсить прошивку, рекомендуем воспользоваться этими двумя инструментами для изучения её структуры и распаковки кодовых модулей.
Итак, рассматриваемая подсистема является аппаратно-программной основой для различных системных функций (некоторые раньше реализовывали в BIOS) и технологий Intel. Их имплементация включается в состав прошивки Intel ME. Одной из таких технологий, использующих несколько особых привилегий Intel ME, является Active Management Technology (AMT).
Контроль за состоянием AMT
AMT – технология удалённого администрирования компьютерных систем, для которых заявлена официальная поддержка Intel vPro (это бренд, объединяющий несколько технологий, в том числе, AMT). Речь идёт о системах с чипсетами линейки Q (например, Q57 или Q170).
Учитывая высокую стоимость таких платформ, вряд ли кто-то случайно приобретёт компьютер с AMT для того, чтобы принципиально этой технологией не пользоваться. Тем не менее, если под рукой именно такой продукт, и есть необходимость убедиться, что AMT на текущий момент выключена, следует воспользоваться утилитой ACUwizard:
[рисунок взят отсюда]
или средством Intel Management and Security Status (входит в состав ПО Intel ME для vPro-платформ, можно обнаружить в трее):
В продуктах, не относящихся к разряду vPro-платформ AMT включить нельзя, однако в состав прошивки Intel ME входят сетевые драйверы:
Это означает, что ME-контроллер (не будем забывать, что он всегда включен) имеет техническую возможность использования сетевого интерфейса.
Поэтому проблему стоит решать основательно – пытаться выключить подсистему Intel ME.
Выключение Intel ME при помощи утилит из Intel System Tool Kit
Несмотря на то, что этот комплект распространяется по NDA (судя по меткам «Intel Confidential» в прилагаемых документах), многие вендоры забывают его вырезать из архива с ПО Intel ME, который передаётся пользователям. А ещё не закрывают свои ftp-серверы от внешнего доступа. В результате, утекших версий STK очень много. Здесь можно слить комплект для любой версии Intel ME.
Важно, чтобы major и minor version (первая и вторая цифры) используемого STK совпадала с версией Intel ME целевой системы, информацию о которой можно получить, например, воспользовавшись ME analyzer:
Проверять текущее состояние Intel ME можно при помощи утилиты MEinfo, которая через Management Engine Interface (MEI) получает информацию о работе этой подсистемы:
Напомним, что MEI является интерфейсом для связи основного CPU с подсистемой Intel ME и представляет собой набор регистров в конфигурационном пространстве PCI и в MMIO. Команды этого интерфейса не документированы, как и сам протокол.
Flash Image Tool
На старых платформах (Intel ME версии 5.x и ниже) выключить данную подсистему можно, воспользовавшись Flash Image Tool (утилита из STK, предназначенная для сборки образов SPI флэш-памяти из отдельно взятых регионов BIOS, ME, GbE). При сборке задаются параметры, которые прописываются в этих регионах и в регионе Flash Descriptors. В последнем есть один очень интересный флаг, «ME disable»:
Таким образом, для выключения Intel ME на целевой компьютерной системе, в её SPI флэш-память следует записать (программатором) новый образ с выставленным флагом «ME disable».
Работает ли этот способ, нам неизвестно. Но звучит правдоподобно, учитывая, что ME-контроллер в тех версиях интегрировался только в чипсеты линейки Q, т.е. был не обязательным компонентом для всех платформ.
Flash Programming Tool
Начиная с Intel ME 9 версии, в утилиту Flash Programming Tool, предназначенную для программирования SPI флэш-памяти компьютерных платформ, была добавлена возможность временно выключать Intel ME:
Выключение выполняется отправкой команды в MEI. После отработки Intel ME не подаёт «признаков жизни», не отвечает даже MEI:
Согласно документации, в таком состоянии подсистема Intel ME находится до следующего запуска компьютера или перезагрузки.
На vPro-платформах возможность отправки этой команды есть и в более ранних версиях. Для этого необходимо воспользоваться разделом конфигурирования ME/AMT в BIOS, где должна быть опция «Intel ME disable»:
[рисунок взят отсюда]
Нельзя говорить о том, что этот способ позволяет полностью отключить Intel ME, хотя бы потому, что до момента принятия команды на отключение ME-контроллер успеет загрузиться, а значит, выполнить некоторую часть кода прошивки.
Несмотря на то, что Intel ME не подаёт «признаков жизни» после этой операции, неизвестно, может ли эту подсистему заново включить какой-нибудь сигнал извне. Также неясно, насколько Intel ME выключена.
Принудительное выключение Intel ME
В интересах исключения возможности исполнения ME-контроллером кода прошивки, логично попробовать ограничить ему доступ к ней. А что? Нет кода – нет проблемы.
Проанализировав документацию, которая прилагается к STK, и, немного подумав, мы предположили, что это можно сделать следующими способами.
1. Вырезать (обнулить) ME регион из SPI флэш-памяти.
Те, кто пробовал так делать сообщают о том, что их платформа либо не загружалась без наличия подлинной прошивки ME, либо выключалась ровно после 30 минут работы.
Отказ компьютерной системы грузиться без прошивки Intel ME можно объяснить важностью ME-контроллера в процессе инициализации аппаратной составляющей. А 30-минутный таймаут наводит на мысль о WDT (Watch Dog Timer).
Таким образом, ME-контроллер не получит доступ к своему региону, и, следовательно, не будет исполнять прошивку.
С одной стороны, ME-контроллер так же, как и в предыдущем случае, может препятствовать нормальной работе компьютерной системы. С другой стороны, не дескрипторный режим включает т.н. manufacturing mode, который используется вендорами в отладочных целях, и есть шанс, что система запустится.
3. Известно, что прошивка Intel ME распаковывается в выделенную и скрытую от основного CPU область оперативной памяти – ME UMA. Выделение и блокировку этой области осуществляет BIOS во время конфигурирования карты памяти. Тогда почему бы не вырезать эти фрагменты кода из BIOS, чтобы данная область не выделялась. Тогда прошивка ME не будет распаковываться и исполняться.
Проведённые эксперименты показали, что такой способ тоже не годится, и система не запускается. К тому же, у ME-контроллера есть внутренняя SRAM, которая используется при недоступности ME UMA. Поэтому часть прошивки всё равно будет исполняться.
Вывод
Очевидно, что некоторые предложенные решения влекут за собой неработоспособность компьютерной системы, остальные не дают никакой гарантии того, что подсистема Intel ME действительно выключена. В связи с этим, мы пришли к выводу, что полностью выключить Intel ME крайне сложно.
Вероятно, это связано с тем, что, отключая Intel ME, мы нейтрализуем важный компонент в архитектуре компьютерной системы. Например, без ME некому будет решать важные системные задачи вроде ACPI или ICC (которые когда-то реализовывались в BIOS). Чтобы заставить платформу стабильно работать без ME, как минимум, необходимо вернуть реализацию этих технологий в BIOS.
Так или иначе, вопрос о том, как отключить Intel ME без потери работоспособности компьютерной системы, остаётся открытым.
Intel management and security status что это
Технология Intel ME (или AMT, Active Management Technology) является одним из самых загадочных и мощных элементов современных x86-платформ. Инструмент изначально создавался в качестве решения для удаленного администрирования. Однако он обладает столь мощной функциональностью и настолько неподконтролен пользователям Intel-based устройств, что многие из них хотели бы отключить эту технологию, что сделать не так-то просто.
Автор: Positive Technologies рейтинг
Технология Intel ME (или AMT, Active Management Technology) является одним из самых загадочных и мощных элементов современных x86-платформ. Инструмент изначально создавался в качестве решения для удаленного администрирования. Однако он обладает столь мощной функциональностью и настолько неподконтролен пользователям Intel-based устройств, что многие из них хотели бы отключить эту технологию, что сделать не так-то просто.
На прошедшем 17 и 18 мая в Москве форуме Positive Hack Days VI исследователи Positive Technologies Максим Горячий и Марк Ермолов представили несколько техник отключения Intel ME, сопроводив доклад видеодемонстрацией процесса.
Что это, и зачем нужно отключать
Подсистема Intel Management Engine (ME) представляет собой дополнительный «скрытый» процессор, который присутствует во всех устройствах на базе чипсетов Intel (не только в PC и ноутбуках, но и в серверах). Среда исполнения ME никогда не «спит» и работает даже при выключенном компьютере (при наличии дежурного напряжения), а также имеет доступ к оперативной памяти, сетевому интерфейсу, USB контроллеру и встроенному графическому адаптеру.
Несмотря на столь обширные возможности, существуют вопросы к уровню защищенности ME — ранее исследователи уже находили серьезные уязвимости и векторы атак. Кроме того, подсистема содержит потенциально опасные функции — удаленное управление, NFC, скрытый сервисный раздел (hidden service partition). Интерфейсы подсистемы ME недокументированы, а реализация закрыта.
Все эти причины приводят к тому, что многие рассматривают технологию ME в качестве «аппаратной закладки». Ситуацию усугубляет тот факт, что с одной стороны у пользователя устройства нет возможностей по отключению этой функциональности, а с другой производитель оборудования может допустить ошибки в конфигурации МЕ.
Хорошая новость заключается в том, что способы отключения ME все же существуют.
Техники отключения Intel ME
Исследователи компании Positive Technologies Максим Горячий и Марк Ермолов в ходе состоявшегося в Москве форума Positive Hack Days VI представили доклад, посвященный отключению Intel ME. Специалисты описали несколько техник отключения данной подсистемы:
Исследователи установили, что разработчики аппаратных платформ часто забывают выключать режим Manufacture Mode, что позволяет использовать последний метод на большом количестве компьютеров без каких либо дополнительных затрат в режиме «реального времени».
Большинство методов отключения используют встроенные механизмы ME, разработанные для вендоров устройств на платформе Intel. Все они подробно описаны в презентации, которая опубликована на GitHub. По ссылке представлено демонстрационное видео отключения ME (оно же ниже):
И тем не менее, возникает резонный вопрос: «Действительно ли ME перестает работать в полном объеме при использовании ее встроенных механизмов отключения?» В качестве доказательства факта отключения МЕ исследователи приводят следующий аргумент: ME работает в двух режимах использования памяти: только SRAM (встроенный в ME) и SRAM + UMA. UMA — это часть памяти хоста, которая используется как подкачиваемая память (swap). После инициализации DRAM-контроллера хостом ME всегда переключается в режим SRAM + UMA.
Таким образом, если ME действительно выключена, то при отключении на аппаратном уровне доступа МЕ к UMA-памяти в произвольный момент (посредствам канала VСm), в МЕ не будет происходить аппаратных сбоев, связанных с отсутствием данных и кода, которые были вытеснены в UMA память (такие аппаратные сбои приводят к аварийному отключению питания с основных аппаратных компонентов платформы). С другой стороны применение этих методов позволяет осуществить DoS-атаки на технологию AMT в случае ее применения для удаленного управления.
Видеозапись доклада опубликована на сайте PHDays — нужно найти в списке выступление под названием «How to Become the Sole Owner of Your PC».
Подписывайтесь на каналы «SecurityLab» в 
Telegram и 
Яндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.
Технология Intel® Active Management: положение о конфиденциальности. Последнее обновление: 5/23/2018
Корпорация Intel прилагает все усилия для обеспечения защиты ваших конфиденциальных данных. В данном положении описаны функции и возможности, которые могут иметь отношение к конфиденциальным данным и которые обеспечивает технология Intel® Active Management (Intel® AMT). Кроме того, в нем указано, какие действия ИТ-администраторов разрешает или запрещает технология Intel® AMT, а также перечислены типы данных, которые Intel® AMT хранит в системе пользователя. Данное положение является дополнением к Уведомлению Intel о конфиденциальности персональных данных, размещаемых в Интернете, и применимо только для технологии Intel® AMT.
Что представляет собой технология Intel AMT?
Технология Intel AMT позволяет авторизованным ИТ-администраторам осуществлять внеполосную (OOB) удаленную поддержку и администрирование компьютеров сети предприятия.
Какие потенциальные проблемы с соблюдением конфиденциальности данных связаны с технологией Intel AMT?
Ранее возможности удаленного управления предоставлялись поставщиками программного обеспечения и в течение довольно долгого времени использовались ИТ-отделами многих компаний.
В противовес таким решениям технология Intel AMT позволяет ИТ-администраторам осуществлять удаленную поддержку и управлять компьютером, даже если пользователь не находится на своем рабочем месте или выключил свой компьютер.
Как узнать, включена ли технология Intel AMT на компьютере?
Специалисты Intel создали значок с уведомлениями, отображаемый на панели задач. Этот значок позволяет узнать текущий статус работы технологии Intel® AMT в системе. В настоящее время в стандартный пакет программного обеспечения Intel® AMT входит приложение и значок панели задач Intel® Management and Security Status (IMSS), которые устанавливаются вместе с драйверами и службами. Значок IMSS, расположенный на панели задач, показывает текущий статус технологии Intel® AMT в системе (включена или отключена) и предоставляет инструкции по включению или отключению функций Intel® AMT. Intel рекомендует каждому производителю оригинального оборудования (OEM) загрузить приложение IMSS. Однако OEM-производители могут не следовать этой рекомендации, а ИТ-руководители конечных заказчиков могут удалить приложение IMSS из систем с поддержкой технологии Intel® AMT, прежде чем передавать их конечным пользователям. В зависимости от варианта внедрения OEM-системы пользователям также может быть доступна возможность проверки статуса Intel® AMT в BIOS системы. Важно отметить, что ИТ-специалисты некоторых компаний не предоставляют пользователям доступ к BIOS, поэтому пользователи не смогут включить или отключить технологию Intel ®AMT или проверить ее статус самостоятельно.
Какую личную информацию пользователей собирает технология Intel AMT?
Технология Intel AMT не собирает никакой личной информации пользователя, в том числе имя, адрес, номер телефона и т. д.
Какая информация отправляются технологией Intel AMT в корпорацию Intel и как она используются?
Технология Intel AMT не передает никаких данных в корпорацию Intel.
Какого рода данные хранит технология Intel AMT?
Технология Intel AMT хранит информацию во флэш-памяти системной платы. Сюда входят код встроенного ПО, данные об аппаратных компонентах (например, емкость памяти, тип процессора и тип жесткого диска), журнал событий с записями событий платформы (например, о нагревании процессора, сбое вентилятора и сообщении об ошибке POST в BIOS), события безопасности в Intel® AMT (например, предупреждение Intel® AMT о взломе пароля или некорректная работа фильтра системы безопасности), а также конфигурационные данные Intel® AMT (параметры сети, списки контроля доступа и универсальные уникальные идентификаторы UUID, включая данные о подготовке, MAC-адрес локальной сети, ключи, пароли KVM (клавиатура, видео, мышь), сертификаты TLS (протокол защиты транспортного уровня) и профили беспроводных сетей, созданные ИТ-специалистами). Все данные конфигурации, считающиеся конфиденциальными, хранятся в зашифрованном виде во флэш-памяти. Подробнее об универсальных уникальных идентификаторах UUID читайте в разделе ниже.
Технология Intel® AMT 11.0 и более ранних версий позволяет зарегистрированным приложениям независимых поставщиков ПО хранить данные в разделе флэш-памяти под названием 3PDS (стороннее хранилище данных). Начиная с версии 11.6 эта функция заменена хостингом веб-приложений, который позволяет технологии Intel® AMT размещать веб-приложения в энергонезависимой памяти (NVM), локально управляемой технологией Intel® AMT на клиентской платформе.
Несмотря на то что корпорация Intel передает независимым поставщикам ПО рекомендации по ответственному управлению конфиденциальными данными, в конечном итоге Intel не устанавливает строгих ограничений на типы данных, которые можно хранить в данном разделе флэш-памяти, и не поддерживает методы шифрования данных сторонних поставщиков ПО. Таким образом, независимые поставщики ПО заинтересованы в том, чтобы зашифровывать конфиденциальные данные перед их сохранением во флэш-памяти. Если у вас есть какие-либо опасения в отношении потенциальных рисков хранения данных в этом разделе, обратитесь к независимым разработчикам ПО за разъяснениями о типах данных и веб-приложений, которые хранятся в памяти NVM, и об уровне их защиты.
Как технология Intel AMT использует универсальные уникальные идентификаторы? Какие возможности обеспечивают и какие не обеспечивают универсальные уникальные идентификаторы на платформах с поддержкой Intel AMT?
Универсальные уникальные идентификаторы или UUID — это средства, используемые технологией Intel AMT в самых разнообразных целях, в том числе для процессов выделения ресурсов, обеспечения безопасности системы (например, пароли, ключи и сертификаты TLS), а также для того, чтобы ИТ-администраторы могли корректно подключиться и выполнять задачи управления на компьютерах пользователей в корпоративной сети.
Корпорация Intel никогда не создавала UUID для активации технологии Intel AMT, и UUID, в свою очередь, также не разрабатываются специально для технологии Intel AMT. UUID присутствуют практически на всех современных ПК и устанавливаются многими независимыми поставщиками ПО на всех платформах, даже если они не поддерживают технологию Intel AMT. Разумеется, в настоящее время UUID используются приложениями на многих ПК для изоляции уникальной информации о системе с целью обеспечения ожидаемых функций, например обновлений ОС или системы обнаружения вирусов. Технология Intel AMT использует UUID платформы примерно аналогичным образом. Основным отличием является то, что для включения Intel AMT и получения внеполосного доступа к UUID эти идентификаторы копируются во флэш-память.
Важно отметить, что корпорация Intel не может использовать UUID в системах с поддержкой Intel AMT для отслеживания пользователей или их ПК. С их помощью также невозможно получить доступ к системе пользователя «обходным путем» и установить на платформе встроенное ПО без согласия пользователя. Доступ к идентификаторам, сохраненным во флэш-памяти технологией Intel AMT, есть только у ИТ-администраторов определенной платформы с поддержкой Intel AMT. Список авторизованных ИТ-администраторов задается ИТ-отделом конечного заказчика с использованием защищенной процедуры. Для обеспечения безопасности и настройки доверенных связей можно использовать корпоративные сертификаты или самостоятельно задать этот список в системе Intel AMT (в меню BIOS или с помощью USB-ключа). При этом консоли должны находиться на доверенных серверах ИТ-отдела компании-клиента. Иными словами, технология Intel AMT не пропускает ни сведений об универсальных уникальных идентификаторах, ни любой другой информации третьим сторонам и от третьих сторон, если только конечный заказчик не разрешит это явным образом. Информация о конфигурации списка авторизованных администраторов приведена в документации комплекта для разработки ПО технологии Intel® AMT по адресу: https://software.intel.com/ru-ru/business-client/manageability. Здесь представлены API для получения ACL (списков контроля доступа) и авторизованных учетных записей Kerberos.
Какой тип данных передает по сети технология Intel® Active Management (Intel® AMT)?
Технология Intel AMT отправляет и принимает данные по следующим предварительно определенным сетевым портам IANA: порт 16992 для SOAP/HTTP, порт 16993 для SOAP/HTTPS, порт 16994 для перенаправления/TCP и порт 16995 для перенаправления/TLS. В системах с поддержкой DASH данные отправляются и принимаются по портам 623 для HTTP и 664 для HTTPS. Сеансы KVM (клавиатура, экран и мышь) можно включать либо по вышеперечисленным портам для перенаправления (16994 или 16995), либо по стандартному порту RFB 5900 при наличии сервера VNC Server. По сети передаются такие данные, как команды и ответы технологии Intel AMT, а также трафик перенаправления и системные предупреждения. Данные, передаваемые по портам 16993 и 16995, защищены с помощью метода аутентификации TLS (Transport-Layer Security), если он доступен в системе пользователя.
Intel AMT может отправлять данные как по сети IPV4, так и по IPV6. Технология соответствует спецификациям конфиденциальности RFC 3041.
Какие персональные данные передает по сети технология Intel® Active Management (Intel® AMT)?
Когда технология Intel® AMT включена, открытые порты предоставляют информацию, которая может быть использована для идентификации компьютера на других системах в сети. Эта информация включает сертификат HTTPS, дайджест-аутентификацию HTTP, версию Intel® AMT и другую информацию, которая может быть использована для определения компьютера. Эта информация предоставляется в процессе нормальной работы протоколов, поддерживаемых технологией Intel® AMT. Брандмауэр ОС не блокирует доступ к портам Intel® AMT, однако администраторы могут использовать Environment Detection и Fast Call for Help (функции CIRA) для закрытия локальных портов Intel® AMT и ограничения доступа к этой информации.
Какие действия может совершать ИТ-администратор после аутентификации в Intel AMT?
Может ли ИТ-администратор получить доступ к жесткому диску пользователя после аутентификации в Intel AMT?
Во время сеанса удаленного управления у ИТ-администратора есть доступ к локальным жестким дискам пользователя. Таким образом, ИТ-администратор может выполнять чтение и запись файлов на жестком диске, например, для устранения неполадок в системе путем восстановления или переустановки неработающего приложения или операционной системы. Технология Intel AMT поддерживает две функции для сокращения потенциальных рисков нарушения конфиденциальности, предоставляя ИТ-администраторам доступ к данным IMSS и журналам аудита. Возможности, связанные с записью данных для аудита, позволяют вести учет сеансов доступа ИТ-администратора к системам пользователей с помощью Intel AMT. Стоит отметить, что типы событий, вносимых в журнал, определяет аудитор, который обычно не является пользователем корпоративной сети. Корпорация Intel рекомендует своим клиентам регистрировать в журналах сеансы удаленного доступа с помощью Intel AMT. Тем не менее, в некоторых корпоративных средах эти сведения могут быть недоступны пользователям. Информация об уведомлениях IMSS о получении доступа к системе пользователей ИТ-администраторами приведена ниже.
Позволяет ли функция перенаправления KVM технологии Intel AMT ИТ-администратору осуществлять удаленное управление ПК пользователя так, будто он физически находится за клавиатурой пользователя?
Во время сеанса удаленного управления с помощью перенаправления KVM ИТ-администратор получает полный контроль над ПК пользователя, будто он сам находится за клавиатурой сотрудника. Для таких ситуаций в Intel® AMT предусмотрено требование явного согласия пользователя на запуск сеанса KVM (согласие на сеанс KVM), без получения которого сеанс не может быть запущен. На экране пользователя поверх других окон отображается окно защищенного вывода (так называемый «спрайт») с просьбой сообщить ИТ-администратору случайно сгенерированное число. ИТ-администратор сможет начать сеанс KVM, только если введет правильное число. После начала авторизованного сеанса KVM вокруг экрана пользователя появится мигающая желто-красная рамка, свидетельствующая о том, что ИТ-администратор получил доступ к системе и выполняет восстановление с использованием KVM. Эта мигающая желто-красная рамка будет отображаться на протяжении всего сеанса. Обратите внимание, что согласие на сеанс KVM является обязательным, если система Intel® AMT находится в режиме «Client Control Mode», и необязательным в режиме «Admin Control Mode».
В соответствии с настройками, заданными OEM-производителем, функции SOL/IDER и KVM технологии Intel AMT включаются и выключаются в параметрах BIOS или Intel® Management Engine BIOS Extension (Intel® MEBX). ИТ-администратор также может задать или отменить необходимость явного согласия пользователя на сеанс KVM в параметрах BIOS или в настройках Intel® AMT. Корпорация Intel рекомендует запрашивать согласие пользователя на удаленный доступ к его системе для соблюдения его конфиденциальности.
Как пользователь может узнать, что ИТ-администратор подключился к его системе с помощью технологии Intel AMT?
Значок IMSS на панели задач отображает уведомления о нескольких типах событий, включая ситуации, когда ИТ-администратор подключен или подключался к системе пользователя, запустив сеанс удаленного перенаправления (SOL/IDER), при активации системы безопасности и при удаленном запуске системы пользователя ИТ-администратором. Кроме того, во время активного сеанса удаленного перенаправления в верхнем правом углу экрана отобразится мигающий значок. Впрочем, типы событий, о которых можно узнать с помощью IMSS, определяются в корпоративной среде ИТ-администратором, а не пользователями. Корпорация Intel рекомендует компаниям, которые используют технологию Intel AMT, включать описанные выше уведомления IMSS. Тем не менее, сведения об удаленном доступе к системе с помощью Intel AMT необязательно раскрывать всем пользователям.
Как пользователь может удалить все данные конфигурации и конфиденциальные данные Intel AMT?
Intel® AMT обеспечивает доступ к параметрам BIOS, с помощью которых можно частично или полностью удалить настройки подготовки системы Intel® AMT. Корпорация Intel рекомендует конечным пользователям полностью удалять настройки подготовки системы перед перепродажей или утилизацией компьютера и проверять полное удаление настроек подготовки Intel® AMT при покупке бывшего в употреблении компьютера с поддержкой Intel® AMT.
Обновления положения о конфиденциальности
Корпорация Intel может периодически изменять настоящее положение о конфиденциальности. При внесении изменений изменяется дата последнего обновления в верхней части положения.
Дополнительная информация
Если у вас возникнут вопросы по настоящему дополнению к положению о конфиденциальности, используйте эту форму для связи с нами.
Страница 107: Management and security status
Management and Security Status
Management and Security Status (IMSS) — это приложение, отображающее информацию о технологии активного
платформы (Intel AMT) и стандартных службах управления Intel
Значок приложения Intel Management and Security Status показывает, когда на платформе работают AMT и стандартные
службы управления Intel. Этот значок расположен в области уведомлений. По умолчанию значок уведомления
отображается при каждой загрузке Windows*.
Приложение Intel Management and Security Status выпускается в отдельных версиях для каждого поколения Intel AMT
(4.x, 5.x, 6.x). Здесь описывается приложение Intel Management and Security Status для Intel AMT поколения 6.x.
С более подробной информацией можно ознакомиться здесь
Если приложение Intel Management and Security запускается автоматически при входе
пользователя в Windows, значок будет отображаться в области уведомлений, только если в платформе
активированы Intel AMT или стандартные службы управления Intel Standard Manageability. Если приложение Intel
Management and Security Status запускается вручную (через меню «Пуск»), значок отображается, даже если ни
одна из этих технологий не активирована, если установлены все драйверы.
Информация, отображаемая в Intel Management and Security Status показывается не в реальном
времени. Данные обновляются через различные интервалы.
Информация, содержащаяся на этой странице, предоставлена компанией