Традиционно безопасность на рабочих местах организовывалась с помощью программных средств. Согласно тенденциям сегодняшнего дня безопасность становится все более «низкоуровневой» и включает в себя непосредственный аппаратный контроль над удаленной клиентской машиной. В таком технологическом подходе есть неоспоримое преимущество — доступ к устройству в обход операционной системы, которая сама по себе представляет дополнительную точку отказа в комплексе безопасности.


Концептуальная архитектура технологии Intel AMT
Концептуальная архитектура технологии Intel AMT

Компания Intel продвигает в качестве инструмента аппаратной безопасности технологию Active Management (AMT). Впервые представленная в 2006 году, за короткий период АМТ пережила достаточно активное развитие. Сегодня технология предоставляет администраторам новые инструментальные средства, позволяющие защищать и обслуживать вычислительные ресурсы независимо от того, включены они или нет, а также независимо от состояния ОС. Технология АМТ, вместе с платформой vPro, призвана решать две основные задачи — повысить управляемость ИТ-инфраструктурой из единого центра и обеспечить безопасность сети.

АМТ является составной частью платформы vPro, которую Intеl развивает на настольных ПК и ноутбуках. В настоящее время актуальной версией данной технологии является АМТ 3.0, реализованная на материнских платах с чипсетом Q35 и процессором Core 2 Duo. Технология AMT распределена по различным компонентам материнской платы. Основная часть данной технологии — небольшой процессор Intel Manageability Engine (ME), который находится в чипсете. Процессор МЕ представляет собой своего рода «компьютер в компьютере», прошивка для него хранится в той же флэш-памяти, что и BIOS. Во флэш-памяти также размещаются данные инвентаризации ресурсов, которые записываются туда каждый раз при включении компьютера.

Если компьютер выключен, компоненты технологии АМТ работают за счет электропитания материнской платы. Также в энергонезависимой памяти может сохраняться информация о программной конфигурации ОС, которую можно затем считать с выключенного компьютера. Реализация АМТ не зависит от центрального процессора и, соответственно, не отнимает процессорные ресурсы.

Основным преимуществом технологии АМТ является возможность работы с компьютером по отдельному каналу связи. Работа АМТ не зависит от того, какая операционная система установлена на компьютере, исправна ли она, настроен и включен ли в операционной системе сетевой интерфейс. АМТ напрямую работает с сетевой картой и не использует ресурсы процессора, благодаря чему достигается полная «прозрачность» ее от операционной системы и прикладного программного обеспечения.

Корпорация Intel называет возможность дистанционного доступа к системе внеполосным доступом (out-of-band, OOB), подчеркивая, что канал связи независим от ОС и всегда доступен.

И, наконец, AMT позволяет перенаправлять команды по локальной сети с помощью функции Serial over LAN (SOL), а также загружать систему удаленно, используя функцию IDE Redirection (IDE-R). Сочетание этих возможностей предоставляет новые мощные инструменты, которые позволяют службе поддержки дистанционно классифицировать и восстанавливать отказавшие системы или системы, не соответствующие требованиям безопасности.

Удаленная инвентаризация аппаратных средств и ПО

Важной задачей управления ИТ-инфраструктурой является проведение инвентаризации аппаратных средств и программного обеспечения. По оценкам Intel, среднестатистическая компания может не учесть (или недосчитаться) в среднем до 20% своих аппаратных ресурсов. Неточная инвентаризация аппаратных и программных средств может привести к юридической ответственности за предоставление неверной информации, а также к лишним затратам вследствие приобретения лишнего количества ПК взамен «потерянной» техники. Кроме того, ошибки при инвентаризации — прямое нарушение безопасности, поскольку компания не может обеспечить безопасность компьютера, местонахождения которого неизвестно.

Обычно точную ревизию ИТ-инфраструктуры сложно провести с помощью программных средств, т.к. они могут не иметь доступа к ПК. Технология АМТ предоставляет возможность проводить удаленную инвентаризацию аппаратных средств ПК и установленного программного обеспечения на выключенных ПК и на компьютерах с деактивированным сетевым интерфейсом.

АМТ позволяет централизованно проводить удаленную инвентаризацию в больших сетях — с сотнями и тысячами ПК — для этого достаточно установить на центральную консоль программное обеспечение, поддерживающее технологию АМТ. Клиенты представляют собой ПК с материнскими платами на основе технологии Intel vPro, подключенные к сети питания и проводной локальной сети. Удаленная инвентаризация производится по запросу центральной консоли. Запрос принимается и обрабатывается ПК с платформами на базе Intel vPro, независимо от состояния системы или ОС. При этом данные о аппаратной обеспечении извлекаются из энергонезависимой флэш-памяти каждого ПК, передаются на центральную консоль управления и помещаются в базу данных.

Для инвентаризации программных средств используются специальные программные агенты. Разработчики агентов определяют формат данных, содержание записей и периодичность обновления информации. Нужно отметить, что данные об аппаратном и программном обеспечении компьютеров корпоративной сети доступны только с центральной консоли управления. Для доступа к консоли управления требуется авторизация.

Удаленная диагностика и восстановление

Ошибки загрузки ПК являются распространенным видом неисправности и требуют присутствия ИТ-специалиста для их устранения. В больших корпоративных сетях для прихода специалиста на место инцидента и исправление ошибок требуется время, что ведет к снижению производительности труда сотрудников из-за простоя. Кроме того, на время восстановления работы пользовательских ПК ИТ-специалисты вынуждены останавливать выполнение других задач.

Используя программные продукты, разработанные для работы с технологией AMT 3.0, администраторы могут перезагрузить компьютер, перенастроить его для загрузки с сетевого образа, чтобы устранить проблемы с локальной операционной системой, изменить настройки BIOS, перезапустить или обновить антивирусные программы, установить обновления Windows, восстановить жёсткий диск и удалить приложения, не входящие в «белый лист». В настоящее время технологию АМТ поддерживают все основные программы централизованного управления ИТ-инфраструктурой: Symantec Altiris, Lenovo Rescue and Recovery, HP OpenView и Microsoft System Management Center.

Использование средств удаленной загрузки, диагностики и восстановления позволяет сократить количество визитов на рабочие места и снизить расходы сервисной службы.

Шифрованное, удаленное включение и обновление

Для обеспечения защиты корпоративной сети от сбоев, незаконных вторжений, компьютерных вирусов и червей необходимо своевременно обновлять ОС, прикладное и антивирусное программное обеспечение. В больших сетях, состоящих из сотен и тысяч машин, в целях экономии средств и ресурсов обновление должно проходить централизованно, автоматически и в нерабочее время.

Способность АМТ работать с компьютером в выключенном состоянии, поддержка шифрования трафика дает возможность использовать эту технологию для проведения регулярных обновлений, затрачивая минимум времени и ресурсов.

Проверка присутствия агентов управления

С помощью технологии АМТ можно контролировать работу критически важных агентов ОС, таких как антивирусы, файрволы, агенты, отвечающие за установку критически важных обновлений и не допускать их остановку и закрытие пользователем. Эта функция, названная разработчиком AgentPresence, в АМТ реализована при помощи механизма сенсоров (watchdog). В терминологии Intel, watchdog — агент АМТ, отслеживающий наступление определенных событий в операционной системе. Максимально можно запустить 14 таких сенсоров одновременно. При наступлении критического события, например, пользователь пытается отключить антивирус, watchdog реагирует на это событие и блокирует несанкционированное действие.

Фильтрация трафика и изоляция зараженных ПК

Одной из возможностей технологии АМТ является противодействие вирусным угрозам. Несмотря на установку и регулярное обновление антивирусных программ всегда существует вероятность проникновения в корпоративную сеть нового вируса, еще не занесенного в антивирусные базы. Такой вирус, проникнув в один ПК, может легко распространиться по всей сети. Работа нарушается до тех пор, пока угроза не будет локализована и устранена. В таких случаях у ИТ-специалистов остается совсем немного времени и возможностей для предотвращения эпидемии, особенно если отсутствуют обновления ПО, антивируса и брандмауэра.

По утверждению специалистов Intel, технология АМТ позволяет как противодействовать заражению компьютеров вирусом, так и изолировать уже зараженные ПК от сети в целях предотвращения эпидемии. С этой целью в технологии АМТ реализована фильтрация сетевого трафика (System Defense). Intel особо подчеркивает, что фильтрацию трафика с помощью АМТ нельзя рассматривать в качестве полноценной заменой файрвола. Фильтровать сетевые пакеты можно по типу протоколов, по IP-адресам, по портам, противодействовать подмене IP-адреса. Возможно перекрывать доступ определенных пакетов или вести статистический учет пакетов проходящих через сетевой интерфейс.

Управляющие правила System Defense задаются с консоли. Всего можно создать 64 программируемых IP-фильтра — по 32 фильтра на входящий трафик и 32 — на исходящий.

Анализ пакетов производится в соответствии с заранее определенными политиками, которые представляют собой наборы фильтров. Политики имеют приоритеты для координации работы System Defense с Agent Presence. В определенный момент времени может быть активирована только одна политика.

Кроме обычной фильтрации трафика, в АМТ реализована технология эвристического анализа сетевых пакетов (System Defense Heuristic), целью которой является обнаружение вирусной активности, сканирования портов и DDos-атак. Эвристический анализ основан на предположении, что компьютерный вирус, пытаясь распространиться по корпоративной сети, производит сканирование адресов и портов. Анализатор контролирует количество исходящих запросов на разные адреса в единицу времени.

System Defense Heuristic способен различать медленное сканирование сети (время сканирования от 1 до 50 c.), быстрое сканирование сети (время сканирования от 0,01 до 1 c.) и DoS атаку (более 100 пакетов за 10 мс).

При обнаружении подозрительной активности срабатывают фильтры, доступ к корпоративной сети прекращается, на консоль управления поступает сигнал о нарушении. В дальнейшем работоспособность компьютера восстанавливается благодаря использованию безопасного канала управления.

Безопасность удаленного соединения

Использование развитых средств удаленного управления ПК на базе технологии АМТ требуют надежной защиты их от вмешательства как со стороны внешнего вторжения, так и со стороны программного обеспечения клиентских компьютеров (вирусы, троянские кони, некорректно работающее ПО). В самом деле, возможности АМТ по сбору данных обо всех ПК в ИТ-инфраструктуре, скрытному редактированию настроек ОС, удаленной загрузки из заранее подготовленных образов CD-дисков могут представлять значительный интерес для злоумышленника. Поэтому разработчик уделил значительное внимание защите от несанкционированного использования инструментов АМТ.

Защита клиента АМТ от внешнего вмешательства предполагает проверку подлинности (аутентификация) и шифрование трафика. Для предприятий малого бизнеса предусматривает одностороннюю аутентификацию (HTTP Digest) с хэшированием пароля по алгоритму MD5. Шифрование трафика при этом не производится. Для предприятий с большой ИТ-инфраструктурой Intel рекомендует использовать аутентификацию HTTP Negotiate Authentication. Эта аутентификация предполагает использование инфраструктуры Active Directory и протокола Kerberos. В Active Directory хранятся пользовательские сертификаты. HTTP Negotiate Authentication поддерживает взаимную аутентификацию: «действительно ли подключение производится к клиенту на базе vPro» и «действительно ли авторизованный ИТ-специалист обратился к центральной консоли». Шифрование производится с использованием алгоритмов TLS w/AES 128-bit или TLS w/RC4 128-bit. Кроме защиты от внешнего вмешательства разработчик предусмотрел защиту клиента АМТ от программного обеспечения, установленного в системе. Во-первых, обеспечивается коммуникационная безопасность Manageability Engine. Для шифрования внутреннего трафика используется та же система обеспечения безопасности, что и для внешнего трафика. Внутренний трафик защищен от прослушивания, а без электронного ключа Intel все команды игнорируются. Коммуникационные пакеты имеют серийные номера, в результате чего невозможно подменить старые разрешенные команды и пакеты для Agent Presence.Во-вторых, память АМТ изолируется на аппаратном уровне — процессор не имеет доступа к флэш-памяти, кроме как во время обновления прошивки со сведения о аппаратном обеспечении и ПО при старте компьютера. При этом, прошивка снабжается цифровой подписью Intel. Флеш-память защищена от атак вредоносных программ, пытающихся получить к ней доступ.

Планы развития технологии

В ближайшее время Intel планирует выпустить новую мобильную платформу, в которой будет реализована АМТ 4.0, а в конце этого года ожидается еще более совершенная реализация vPro на десктопе, включающая АМТ версии 5.0. Одной из новых отличительных особенностей этой платформы будет криптование данных на жестком диске через южный мост. В случае похищения злоумышленником жесткого диска, прочитать данные с него на другом компьютере будет невозможно.

По утверждению представителей компании Intel, такой механизм криптования обеспечит большую безопасность, чем криптование с помощью файловой системы NTFS, поскольку АМТ будет помещать ключи в оперативную память только на очень короткий промежуток времени, что снижает вероятность их перехвата.