Co to jest Intel Security Assist?

16

Instaluję system Windows 10 i usuwam bloatware.

Co robi Intel Security Assist i dlaczego jest zainstalowany? Ponadto (jak) ma to związek z edytorem IME i czy uzasadnione jest przekonanie, że zapewnia / ułatwia dostarczanie tylnych drzwi do systemu operacyjnego. (Po prawie roku nadal nie mogę znaleźć żadnych istotnych informacji na ten temat w Google)

Aktualizacja - To pytanie było przeglądane ponad 26000 razy i jest jednym z pierwszych wyników, gdy szukam, ale nie ma znaczącej odpowiedzi, więc dodam nagrodę.

Stara aktualizacja - Poniżej znajdują się odpowiedzi potwierdzające jej część platformy IME, ale to wyjaśnia, jakie są korzyści / użyteczność programu (szczególnie dla użytkownika).

security  malware 
Davidgo
źródło
ᴇcʜιᴇ007
@ Ƭᴇcʜιᴇ007 - Myślałem, że tak jest, nie znalazłem żadnych dowodów na poparcie tego i wydaje się, że jest to właściwie część edytora IME. W trakcie ustalania mojej odpowiedzi.
Ramhound
Chociaż z pewnością jest to możliwe, nie sądzę, że Intel Security Assist to McAffee z dwóch powodów - (1) McAfee został już zainstalowany i usunięty, a komentarze w odpowiedzi.microsoft.com/en-us/windows/forum/windows_10-security/ … Implikuje, że odnosi się to do Intels Security Engine - tj. Do korporacyjnej kontroli komputera lub tego rodzaju rzeczy - tylko odpowiedzi nie są wystarczająco konkretne.
davidgo
@davidgo - Moja odpowiedź w zasadzie powie, że jest to element IME. Możesz zgadnąć, dlaczego powiem, że jest zainstalowany.
Ramhound
1
ᴇcʜιᴇ007

Odpowiedzi:

9

Intel Security Assist (ISA) jest częścią technologii Intel Active Management Technology (AMT) zdefiniowanej jako:

Technologia Intel Active Management Technology (AMT) to technologia sprzętowa i oprogramowania układowego do zdalnego zarządzania komputerami osobistymi poza pasmem w celu ich monitorowania, konserwacji, aktualizacji, aktualizacji i naprawy.
...
Intel AMT obejmuje sprzętowe zdalne zarządzanie, bezpieczeństwo, zarządzanie energią i funkcje zdalnej konfiguracji, które umożliwiają niezależny zdalny dostęp do komputerów z obsługą AMT.

Według niektórych raportów ISA łączy się raz w tygodniu z serwerami Intela i przekazuje nieznane informacje.

To nie jest niezbędna usługa. Na komputerze Dell, na którym piszę tę odpowiedź, program ISA nie został nawet zainstalowany w systemie Windows 10, chociaż aplikacje do zarządzania i zabezpieczeń firmy Intel są rzeczywiście zainstalowane.

Podejrzewa się, że AMT i ISA używają komponentu sprzętowego, który jest wypalony na wszystkich płytach Intela po 2006 roku i który może być używany do zdalnego sterowania komputerem. Ten komponent sprzętowy jest włączony lub nie, gdy płyta główna jest produkowana, a klucz dostępu jest wypalany za pomocą certyfikatu. Jego obecność i możliwy dostęp są w gestii producenta, ale sądzę, że normalnie nie byłby włączony dla płyt głównych klasy konsumenckiej, ponieważ jest bardziej zorientowany na przedsiębiorstwo.

AMT miało na celu zapewnienie menedżerom IT przedsiębiorstw większej kontroli nad maszynami w ich sieci, co miało duży wpływ. Począwszy od AMT 6.0, zawiera KVM Remote Control, aby dać administratorom IT pełny dostęp do klawiatury, wideo i myszy klienta docelowego. W AMT 7.0 Intel umożliwia użycie sygnału komórkowego 3G do wysłania polecenia zdalnego zabicia w celu dezaktywacji skradzionego komputera.

Jednak to nie AMT, ale ISA jest tutaj przedmiotem.
Aby odpowiedzieć na pytania postawione przez davidgo:

Co to robi

Nikt tak naprawdę nie wie, ale prawdopodobnie przekazuje pewne statystyki do Intela. Nie wiadomo (ale jest możliwe), czy może przyjmować polecenia Intela dotyczące aktywnych zakłóceń, ale nie ma takich raportów.

Dlaczego jest domyślnie instalowany przez Microsoft

Domyślnie nie jest instalowany przez Microsoft. Może być wstępnie zainstalowany przez producenta komputera, co może oznaczać, że AMT jest aktywowany w sprzęcie.

Jakie ma to konsekwencje dla bezpieczeństwa

Prawdopodobnie żaden. To nie ISA może służyć jako wektor ataku, ale AMT. Istnieje wiele raportów od użytkowników, którzy wyłączali lub odinstalowali ISA bez żadnych niepożądanych efektów, więc wydaje się to raczej nieszkodliwe.

Jako dalsze informacje, Intel Management Engine jest aktywowany w BIOS kompatybilnego komputera, który uzyskuje jeden dostęp do kilku funkcji BIOS, ale nie przed ustawieniem hasła:

Obraz AMT 1

Na tych samych ekranach systemu BIOS można wykonać kilka różnych zadań konfiguracyjnych związanych z niskim poziomem AMT, głównie związanych z aktywacją AMT w zależności od bieżącego poziomu mocy komputera. Jeśli twój BIOS nie ma wpisów Intel ME, prawdopodobnie producent płyty głównej nie włączył AMT.

Jeśli chcesz wyłączyć komponent sprzętowy AMT, projekt GitHub me_cleaner może pomóc, ale jest już szansa, że ​​zostanie on wyłączony. Zacytuję to również z projektu, który faktycznie traktuję jako ostrzeżenie przed nieudanym włamaniem:

Począwszy od Nehalem, oprogramowania układowego Intel ME nie można już usunąć: bez prawidłowego oprogramowania układ komputerowy wyłącza się po 30 minutach. Ten projekt jest próbą usunięcia jak największej liczby kodów z takiego oprogramowania układowego bez przechodzenia w 30-minutowy tryb odzyskiwania.

Wniosek: moim zdaniem ISA jest nieszkodliwy. Można go zablokować w zaporze lub wyłączyć usługę systemową bez szkodliwych skutków. Nie radziłbym go odinstalowywać, ponieważ jego ponowna instalacja może być trudna.

Bibliografia :

harrymc
źródło
6

Co robi Intel Security Assist

Jest to usługa instalowana i włączana po zainstalowaniu silnika zarządzania Intel . Jeśli chodzi o jego konkretny cel: biorąc pod uwagę silne powiązanie edytora IME ze sprzętem na poziomie serwera oraz brak szczegółowej dokumentacji na stronie Intela, podejrzewam, że ma to coś wspólnego z wykrywaniem antysabotażowym na poziomie sprzętowym obsługiwanym przez sam procesor.

dlaczego jest zainstalowany

Intel Security Assist to po prostu element Intel Management Engine, który został zainstalowany.

Intel Management Engine (Intel ME) odnosi się do funkcji sprzętowych, które działają na poziomie płyty głównej, poniżej systemu operacyjnego. Umożliwiając interakcję ze sprzętem niskiego poziomu, Intel daje administratorom możliwość wykonywania zadań, które wcześniej wymagały fizycznej obecności na pulpicie.

Intel vPro: trzy generacje zdalnego zarządzania

Silnik zarządzania jest podłączony do technologii Intel Active Management Technology (AMT).

Technologia Intel Active Management Technology (AMT) to technologia sprzętowa i oprogramowania układowego do zdalnego zarządzania komputerami osobistymi poza pasmem w celu ich monitorowania, konserwacji, aktualizacji, aktualizacji i naprawy. Zarządzanie pozapasmowe (OOB) lub sprzętowe różni się od zarządzania programowego (lub wewnątrzpasmowego) i agentów zarządzających oprogramowaniem.

Technologia Intel Active Management .

Ramhound
źródło
Swoją odpowiedź oparłem na ponad półtorej dekadzie korzystania ze sprzętu Intel. Na podstawie samej nazwy ma sens, ponieważ ma powiązania z wykrywaniem manipulacji na poziomie sprzętowym. O ile Intel nie zdecyduje się udokumentować, co faktycznie robi usługa, jest to najlepsza odpowiedź, każda oprócz Intela może udzielić mojej opcji. Innymi słowy, chociaż większość mojej odpowiedzi opiera się na faktach i doświadczeniu, mogę jedynie zgadnąć, jaki jest rzeczywisty cel usługi.
Ramhound
dzięki za to - głosowałem za odpowiedzią, chociaż nadal nie wyjaśnia, co dokładnie robi - tj. w jaki sposób przynosi korzyść użytkownikowi komputera (lub administratorowi). Wydaje mi się dziwne / podejrzane // dziwne, że oprogramowanie bezpieczeństwa zaprojektowane, aby dać administratorom więcej mocy, nie dokumentuje, w jaki sposób daje im moc lub jaka dokładna moc im daje.
davidgo
@davidgo - „Wydaje mi się dziwne / podejrzane // dziwne, że oprogramowanie bezpieczeństwa zaprojektowane, aby dać administratorom więcej mocy, nie dokumentuje, w jaki sposób daje im moc lub jaka dokładna moc im daje” - Intel nie czuje potrzeby dokumentowania tego . Jeśli chcesz uzyskać zdalny dostęp do tych funkcji sprzętowych, nie masz wyboru, nie ma alternatywy, takiej jak oprogramowanie sprzedawane przez HP dla serwerów typu blade.
Ramhound
1

Nie martw się o „Security Assist”, AMT lub inny składnik systemu operacyjnego. I tak jesteś spieprzony.

Z artykułu w Wikipedii :

„Prawie wszystkie funkcje AMT są dostępne, nawet jeśli komputer jest wyłączony, ale ma podłączony przewód zasilający, jeśli system operacyjny się zawiesił, jeśli brakuje agenta oprogramowania”

W związku z tym kanał „Out-Of_Band” działa z napięcia w trybie gotowości (zawsze włączony), a ukryty dostęp do sieci jest zawsze włączony.

Tak więc, bez względu na to, czy usuniesz „złośliwe oprogramowanie” lub inne usługi z systemu operacyjnego, zewnętrzny „menedżer” może zrobić z komputerem prawie wszystko, co chce. Ciesz się nowoczesną technologią.

Ale..chenski
źródło
Myślę, że AMT jest inny - w szczególności jest to drugi komputer osiągnięty przez poprawnie skonfigurowany stos IP / połączenie internetowe. Nie sądzę, aby w AMT było coś złośliwego, ale cały sposób postępowania z ISA wydaje się nieuczciwy.
davidgo,
2
@davidgo, jak to nie jest złośliwe, jeśli ktoś może zdalnie uruchomić ponownie komputer, uruchomić cokolwiek i wepchnąć cokolwiek do twojego systemu operacyjnego? Kiedy kontroler sieciowy zawsze słucha „na wolności”, nawet jeśli śpi? To prawda, że ​​AMT wymaga sporej ilości konfiguracji / uwierzytelnienia, aby rozpocząć, ale deklarowana zdolność do odzyskiwania komputera z dowolnej uszkodzonej sytuacji nie jest dobrze zgodna z bezpieczeństwem.
Ale..chenski
Możesz kontrolować, kto może uzyskać dostęp do tej funkcji i jak. Istnieje pewne ryzyko z tym związane, ale jeśli kontrolujesz, jak to działa, nie jest złośliwy.
davidgo,
@davidgo, to brzmi niespójnie. Jak mogę to kontrolować, jeśli nikt nie wie, co to robi? Zaczynając od siebie, odkąd zadałeś pytanie. Kiedy pracowałem dla bardzo dużej korporacji, nie przypominam sobie, żebym mógł cokolwiek kontrolować, a bzdury zrzucano na mnie codziennie od tych, którzy wiedzą.
Ale..chenski
2
@ Davidgo, mówię tylko, że ta „technologia” wydaje się bardzo sprzeczna. Intel wyposażył każdy komputer w backdoor bez dostępnych specyfikacji, co przeczy koncepcji otwartej platformy PC. Jeśli drzwi można włamać / zrestartować przez jakąś zdalną elitarną administrację, jest to kwestia czasu, kiedy drzwi te zostaną zhakowane w złośliwych zamiarach.
Ale..chenski
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.