Что такое Intel Security Assist?

16

Я устанавливаю Windows 10 и удаляю вредоносные программы.

Что делает Intel Security Assist и почему он установлен? Кроме того, (как) это относится к IME, и разумно ли полагать, что оно обеспечивает / облегчает предоставление задних дверей в ОС. (Спустя почти год я так и не смог найти какую-либо значимую информацию об этом в Google)

Обновление - этот вопрос был просмотрен более 26000 раз и является одним из первых результатов при поиске, но без значимого ответа, поэтому я добавляю вознаграждение.

Старое обновление. Ниже приведены некоторые ответы, подтверждающие ее часть платформы IME, но это объясняет, в чем заключаются преимущества / полезность программы (особенно для пользователя).

davidgo
источник
intelsecurity.com
Ƭᴇcʜιᴇ007
@ Ƭᴇcʜιᴇ007 - Я думал, что это так, я не нашел никаких доказательств, подтверждающих это, и похоже, что это фактически часть IME. В процессе исправления мой ответ.
Ramhound
Хотя это, безусловно, возможно, я не думаю, что Intel Security Assist является McAffee по двум причинам - (1) McAfee уже был установлен и удален, а также комментарии в answers.microsoft.com/en-us/windows/forum/windows_10-security/ … Подразумевает, что это относится к Intel Security Security Engine - то есть для корпоративного управления ПК или тому подобного - только ответы не являются достаточно конкретными.
Давидго
@davidgo - Мой ответ в основном скажет, что это компонент IME. Вы можете догадаться, почему я собираюсь сказать, что он установлен.
Ramhound

Ответы:

9

Intel Security Assist (ISA) является частью технологии Intel Active Management (AMT), определяемой как:

Intel Active Management Technology (AMT) - это аппаратное и микропрограммное обеспечение для удаленного внешнего управления персональными компьютерами с целью мониторинга, обслуживания, обновления, обновления и ремонта.
...
Intel AMT включает аппаратные функции удаленного управления, безопасности, управления питанием и удаленной настройки, которые обеспечивают независимый удаленный доступ к ПК с поддержкой AMT.

По некоторым данным, ISA подключается один раз в неделю к серверам Intel и передает некоторую неизвестную информацию.

Это не существенная услуга. На компьютере Dell, на котором я пишу этот ответ, ISA даже не была установлена ​​для Windows 10, хотя приложения Intel для управления и безопасности действительно установлены.

AMT и ISA подозреваются в использовании аппаратного компонента, который встроен во все платы Intel после 2006 года и который может использоваться для удаленного управления компьютером. Этот аппаратный компонент включен или нет, когда материнская плата изготовлена, и ключ доступа запечен в нее через сертификат. Его наличие и возможный доступ остаются на усмотрение производителя, но я бы предположил, что он, как правило, не будет включен для материнских плат потребительского уровня, будучи более ориентированным на предприятие.

Целью AMT было предоставить ИТ-менеджерам предприятия больший контроль над машинами в их сети, что в значительной степени и было сделано. Начиная с AMT 6.0, он включает в себя KVM Remote Control, чтобы предоставить ИТ-администраторам полный доступ к клавиатуре, видео и мыши целевого клиента. В AMT 7.0 Intel позволяет использовать сотовый сигнал 3G для отправки команды удаленного уничтожения для деактивации украденного компьютера.

Тем не менее, здесь речь идет не о AMT, а о ISA.
Чтобы ответить на вопросы, поставленные Давидго:

Что оно делает

Никто на самом деле не знает, но, вероятно, передает статистику Intel. Неизвестно (но возможно ли это), может ли он принимать команды от Intel для активного вмешательства, но таких отчетов не существует.

Почему он установлен Microsoft по умолчанию

Он не устанавливается Microsoft по умолчанию. Он может быть предварительно установлен производителем компьютера, и это может указывать на то, что AMT активирован в оборудовании.

Какие последствия для безопасности это имеет

Наверное, нет. Вектор атаки может служить не ISA, а AMT. Есть много сообщений от пользователей, которые отключили или удалили ISA без каких-либо побочных эффектов, поэтому это кажется довольно безопасным.

В качестве дополнительной информации Intel Management Engine активируется в BIOS совместимого компьютера, который получает один доступ к нескольким функциям BIOS, но не раньше, чем устанавливается пароль:

AMT изображение 1

На этих же экранах BIOS вы можете выполнять несколько различных задач конфигурации низкого уровня, связанных с AMT, в основном связанных с тем, когда AMT активируется в зависимости от текущего уровня мощности компьютера. Если в вашем BIOS нет записей Intel ME, то, вероятно, AMT не была включена производителем материнской платы.

Если вы хотите отключить аппаратный компонент AMT, может помочь проект GitHub me_cleaner , но уже есть вероятность, что он отключен. Я также цитирую это из проекта, который я на самом деле воспринимаю как предупреждение против неудачного взлома:

Начиная с Nehalem, прошивка Intel ME больше не может быть удалена: без действительной прошивки ПК отключается принудительно через 30 минут. Этот проект является попыткой удалить как можно больше кода из такой прошивки, не переходя в 30-минутный режим восстановления.

Вывод: ISA на мой взгляд безвреден. Он может быть заблокирован в брандмауэре или его системная служба может быть отключена без вредных последствий. Я бы не советовал его удалить, потому что переустановить его обратно может быть сложно.

Ссылки :

harrymc
источник
6

Что делает Intel Security Assist

Это служба, которая устанавливается и включается при установке Intel Management Engine . Что касается его конкретной цели: учитывая прочные связи IME с оборудованием на уровне сервера и отсутствие конкретной документации на веб-сайте Intel, я подозреваю, что это как-то связано с обнаружением защиты от несанкционированного вмешательства на уровне оборудования, поддерживаемым самим ЦП.

почему он установлен?

Intel Security Assist - это просто компонент Intel Management Engine, который вы установили.

Intel Management Engine (Intel ME) относится к аппаратным функциям, которые работают на уровне базовой платы, ниже операционной системы. Обеспечивая взаимодействие с оборудованием низкого уровня, Intel дает администраторам возможность выполнять задачи, которые ранее требовали физического присутствия на рабочем столе.

Intel vPro: три поколения удаленного управления

Механизм управления подключен к технологии Intel Active Management (AMT).

Intel Active Management Technology (AMT) - это аппаратное и микропрограммное обеспечение для удаленного внешнего управления персональными компьютерами с целью мониторинга, обслуживания, обновления, обновления и ремонта. Внеполосное (OOB) или аппаратное управление отличается от программных (или внутриполосных) агентов управления программным обеспечением.

Технология активного управления Intel .

Ramhound
источник
Я основал свой ответ на более чем десятилетнем использовании оборудования Intel. Основываясь на одном только имени, оно имеет смысл, оно связано с обнаружением взлома на аппаратном уровне. Если Intel не захочет документировать, что на самом деле делает служба, это лучший ответ, любой, кроме Intel, может предоставить мне свое мнение. Другими словами, хотя большая часть моего ответа основана на фактах и ​​опыте, я могу только догадываться о том, какова реальная цель службы.
Ramhound
спасибо за это - я проголосовал за этот ответ, хотя он все еще не объясняет, что именно он делает - то есть, как это приносит пользу пользователю компьютера (или администратору). Я нахожу странным / подозрительным // странным, что программное обеспечение безопасности, разработанное для того, чтобы предоставить администраторам больше возможностей, не документирует, как оно дает им власть, или какую именно силу оно им дает.
Давидго
@davidgo - «Я нахожу странным / подозрительным // странным, что программное обеспечение безопасности, предназначенное для того, чтобы дать администраторам больше возможностей, не документирует, как оно дает им власть, или то, что именно они им дают» - Intel не чувствует необходимости документировать это , Если вам нужен удаленный доступ к этим аппаратным функциям, у вас нет выбора, альтернативы нет, вроде программного обеспечения, продаваемого HP для своих серверных блейдов.
Ramhound
1

Не беспокойтесь о «Помощнике по безопасности», AMT или любом другом компоненте операционной системы. Вы все равно облажались.

Из статьи Википедии :

«Почти все функции AMT доступны, даже если компьютер находится в выключенном состоянии, но с подключенным шнуром питания, в случае сбоя операционной системы, если отсутствует программный агент»

Таким образом, канал «Out-Of_Band» работает от напряжения в режиме ожидания (всегда включен), а скрытый доступ к сети всегда включен.

Таким образом, независимо от того, удаляете ли вы «вредоносное ПО» или другие сервисы из вашей ОС, внешний «менеджер» может делать с ПК практически все, что захочет. Наслаждайтесь современными технологиями.

Ale..chenski
источник
AMT, я думаю, отличается - в частности, это дополнительный компьютер, подключенный через правильно настроенный стек IP / подключение к Интернету. Я не думаю, что в AMT есть что-то злое, но весь подход к ISA выглядит нечестным.
Давидго
2
@ davidgo, как это не опасно, если кто-то может удаленно перезагрузить компьютер, загрузить что-нибудь и вставить что-нибудь в вашу ОС? Когда сетевой контроллер всегда слушает «диких», даже если спит? Конечно, AMT требует достаточного количества настроек / аутентификации для запуска, но заявленная способность восстанавливать ПК из любой поврежденной ситуации не соответствует требованиям безопасности.
Ale..chenski
Вы контролируете, кто может получить доступ к этой функции и как. Есть некоторые риски, связанные с этим, но если вы контролируете, как это работает, это не вредоносно.
Давидго
@ Давидго, это звучит бессвязно. Как я могу контролировать это, если никто не знает, что он делает? Начиная с себя, так как вы задали вопрос. Когда я работал в очень крупной корпорации, я не помню, могу ли я что-либо контролировать, и каждый день на меня давили дерьмо от тех, кто знает.
Ale..chenski
2
@ davidgo, я просто говорю, что эта «технология» звучит очень противоречиво. Корпорация Intel оснастила каждый ПК бэкдором без доступных спецификаций, что противоречит концепции открытой платформы ПК. Если какая-то удаленная администрация элиты может взломать или перезагрузить дверь, это вопрос времени, когда эта дверь будет взломана со злым умыслом.
Ale..chenski