[Материнская плата] Intel® Management Engine руководство по обновлению(ME)
[Материнская плата] Intel® Management Engine руководство по обновлению(ME) Примечание: релизы платформ Intel, которые могут быть затронуты, подвержены риску проблем с безопасностью. Обновите прошивку Intel ME, используя инструмент Intel ME. Как установить Intel® Management Engine Firmware (1) Как проверить версию ME? Включив компьютер, откройте настройки BIOS через клавишу F2 или Del и проверьте параметр «ME FW Version» на вкладке «Main» в «Расширенном» режиме. (2) Как найти Intel ME Последние версии программного обеспечения, руководств, драйверов и прошивок можно получить в Центре Загрузок ASUS *Как проверить название модели: https://www.asus.com/ru/support/FAQ/1046543 (3) Порядок действий 1. Загрузите последнюю версию файла Intel ME согласно моели материнской платы из Центра Загрузок ASUS и сохраните. Введите название модели -> раздел «Драйверы и Утилиты». (Например: ROG STRIX Z590-A GAMING WIFI) 1-1 Откройте раздел «Драйверы и утилиты» -> BIOS и Прошивки, выберите рекомендуемую версию Intel ME (рекомендуется последняя версия) и загрузите. 1-2 Сохраните загруженный файл Intel ME zip в папку. 2. Разархивируйте файл Intel ME. 3. Двойным нажатием запустите “MEUpdateTool.exe”. Примечание: Выполнять в окружении Windows 3-1 Обновление Intel ME займёт некоторое время. Чтобы процесс обновления ME корректно завершился, рекомендуется на это время закрыть неиспользуеммые приложения. Нажмите Yes для запуска обновления. 3-2 По окончании обновления ME нажмите OK для перезагрузки компьютера. (4) Убедитесь что обновление ME version было установлено. После включения компьютера через клавишу F2 или Del откройте настройки BIOS и, на вкладке «Main» в «Расширенном» режиме, проверьте версию ME FW. Если обновить не получается, свяжитесь со службой поддержки ASUS.
Эта информация была полезной?
Что мы можем сделать, чтобы улучшить эту статью? Отправить Пропустить
Связаться со службой поддержки
Пожалуйста, свяжитесь со службой поддержки, если информация выше не помогла решить Ваш вопрос.
Получить поддержку
- Приведенная выше информация может быть частично или полностью процитирована с внешних веб-сайтов или источников. Пожалуйста, обратитесь к информации на основе источника, который мы отметили. Пожалуйста, свяжитесь напрямую или спросите у источников, если есть какие-либо дополнительные вопросы, и обратите внимание, что ASUS не имеет отношения к данному контенту / услуге и не несет ответственности за него.
- Эта информация может не подходить для всех продуктов из той же категории / серии. Некоторые снимки экрана и операции могут отличаться от версий программного обеспечения.
- ASUS предоставляет вышеуказанную информацию только для справки. Если у вас есть какие-либо вопросы о содержании, пожалуйста, свяжитесь напрямую с поставщиком вышеуказанного продукта. Обратите внимание, что ASUS не несет ответственности за контент или услуги, предоставляемые вышеуказанным поставщиком продукта.
Продукты и информация
- Ноутбуки
- Сетевое оборудование
- Материнские платы
- Видеокарты
- Смартфоны
- Мониторы
- Показать все продукты
-
Item_other —>
- Моноблоки (All-in-One)
- Планшеты
- Коммерческое сетевое оборудование
- Серия ROG
- AIoT и промышленные решения
- Блоки питания
- Проекторы
- VivoWatch
- Настольные ПК
- Компактные ПК
- Внешние накопители и оптические приводы
- Звуковые карты
- Игровое сетевое оборудование
- Одноплатный компьютер
- Корпуса
- Компьютер-брелок
- Наушники и гарнитуры
- Охлаждение
- Chrome-устройства
- Коммерческие
-
Commercial_list.Item —>
- Моноблоки (All-in-One)
- Информационные панели
- Ноутбуки
- Настольные ПК
- Мониторы
- Серверы и рабочие станции
- Проекторы
- Компактные ПК
- Сетевое оборудование
- Материнские платы
- Игровые станции
- Data Storage
Скачать Драйвер для MSI (Microstar) PE60 6QE Intel ME FW Update Tool v.ME118H для BIOS
Описание: Intel ME FW Update Tool for MSI (Microstar) PE60 6QE
Intel® Management Engine Critical Firmware Update for Security Vulnerabilities (Intel SA-00086) Refer to the update guide to patch security vulnerabilities for your system.
Правовая информация: Все програмное обеспечение, размещённое на Driver.ru является бесплатным. Все названия и торговые марки принадлежат их владельцам.
Внимание: Некоторые программы получены из непроверенных источников. Мы не гарантируем их совместимость и работоспособность. Всегда проверяйте загруженные файлы с помощью антивирусных программ. Мы не несём никакой ответственности за возможные потери, возникшие в результате установки загруженных программ. Загрузка файла с Driver.ru обозначает вашу информированность об этом и согласие с данными условиями.
Похожие файлы:
Название: Intel ME FW Update Tool
Версия: ME11879
Система: Windows 95
Описание: Intel ME FW Update Tool for MSI (Microstar) PE60 6QE
Refer to the update guide to patch security vulnerabilities for your system. Скачать MSI (Microstar) PE60 6QE Intel ME FW Update Tool v.ME11879 драйвер
Название: Intel ME FW Update Tool
Версия: ME11871
Система: BIOS
Описание: Intel ME FW Update Tool for MSI (Microstar) PE60 6QE
Intel® Management Engine Critical Firmware Update for Security Vulnerabilities. Refer to the update guide to patch security vulnerabilities for your system. Скачать MSI (Microstar) PE60 6QE Intel ME FW Update Tool v.ME11871 драйвер
Тип программы: BIOS
Версия: E16J5IMS.11D
Система: Windows 95
Описание: BIOS for MSI (Microstar) PE60 6QE
Update CPU microcode 0xC2 for Intel-SA-00088 (Meltdown & Spectre) speculative execution side-channel vulnerabilities. Скачать MSI (Microstar) PE60 6QE BIOS v.E16J5IMS.11D
Название: Audio Driver with Nahimic
Версия: Audio driver:6.0.1.8158/Nahimic:2.3.20
Система: Windows 7 64-bit
Описание: Audio Driver with Nahimic for MSI (Microstar) PE60 6QE
Nahimic 2 is designed to improve the high-fidelity audio quality, and can provide an accurate and extremely realistic 3D spatial audio experience. Features — Audio effects includes Bass Boost, Virtual Surround, Reverb, Frequency Leveler, Volume Boost and Voice Clarity for analog playback devices. — Enhanced user interface gives mo. Скачать MSI (Microstar) PE60 6QE Audio Драйвер with Nahimic v.Audio драйвер:6.0.1.8158/Nahimic:2.3.20
Скажите что это за файл, и для чего он нужен?
Скажите что это за файл, и для чего он нужен? Intel ME FW Update Tool нашел его на сайте MSI к этому устройству.
Комментарии 1
Izzy Moonbow
11 месяцев назад
Обновление прошивки ME. В целом, относится к драйверам.
Обсуждение товара
Ноутбуки 1 год назад
Ужасный гул вентилятора видеокарты
Спустя 2 недели после покупки ноутбука, и игры в КС ГО на высоких, я заметил что когда ноутбук под напрягом, он начинает сильно гудеть и вентилятор как будто цепляется за что-то. В общем, мерзкий звук, но больше всего беспокоит то, не выйдет ли из строя вентилятор? Сдавать типо ноутбук из-за этого дерьма на 45 дней, когда еще и могут отказать в том, чтобы его отремонтировать.
Ноутбуки 1 год назад
Слот под дополнительное SSD или HDD
Приобрëл этот ноутбук. 512 Гб маловато и хочу увеличить объëм, но не понимаю, есть ли и доп слоты для этого Подскажите, пожалуйста
Ноутбуки 10 месяцев назад
Слабая производительность на MSI GF76 Katana 11UC-480XRU.
Купил ноут, привёз домой, при установке винды видимо случайно отформатировал диск drivercd с драйверами, скачал дрова с офф сайта, начал играть. почитав отзывы и посмотрев ютуб, надеялся на 200+ фпс в кс на высоких, 100+ фпс в гта. получил 60-70 в гта, вне зависимости от графики, а то и на низких ещё меньше фпс. в гта фпс в районе 60, при езде так вообще проседает чуть ли не до 45. не знаю, в чем проблема, что делать?
Ноутбуки 11 месяцев назад
TDP видеокарты здесь какое?
Есть мнение что изделие на 3 балла. Фуфел. TDP карты какое тут?
Ноутбуки 1 год назад
MSI GF76 Katana 11UC-480XRU и MSI GF76 Katana 11UD-695XRU
Почему при одинаковой цене у 11UD-695XRU лучше характеристики (больше оперативки, лучше видеокарта) или я чего то не понимаю?
К вопросу о защите от Intel Management Engine
Intel Management Engine (IME) – встроенная проприетарная подсистема чипсетов Intel, обладающая неограниченным доступом к ресурсам компьютера. В качестве мер, ограничивающих потенциальное вредоносное воздействие IME на систему, предлагается использовать проверяемые аппаратные средства на всех каналах взаимодействия СВТ с внешним миром.
Ключевые слова: Intel Management Engine, IME, резидентный компонент безопасности, РКБ, служебный носитель, Секрет Особого Назначения, Транзит, Новая гарвардская архитектура.
On the Protection from Intel Management Engine Question
Closed Joint Stock Company «OKB SAPR», Moscow, Russia
Intel Management Engine (IME) – is the embedded proprietary Intel chip set subsystem, that has unlimited success to the computer resources. The way of the limiting of its potential harmful influence on the computing system, suggested in the article, is the following: to use some controllable hardware tools on all the channels of the computer and environment communication.
Keywords: Intel Management Engine, IME, resident safety component, official carrier, Special Secret, Transit, New Harvard architecture.
С 2008 года Intel начала встраивать в свои чипсеты отдельную специализированную подсистему Intel Management Engine, которая сразу привлекла внимание специалистов по информационной безопасности. «Встроенная во многие платформы на основе наборов микросхем Intel® – это небольшая, имеющая малое энергопотребление компьютерная подсистема, называемая Intel® Management Engine (intel® ME). Intel® ME выполняет различные задачи, пока система находится во режиме сна, во время процесса загрузки и нормальной активности. Эта подсистема должна функционировать корректно для достижения наивысшей производительности и функциональности вашего ПК» [1] – это цитата с русскоязычной версии сайта Intel (с оригинальным вариантом можно ознакомиться по ссылке [2]), описывающая IME. IME имеет неконтролируемый ни аппаратными (на уровне процессора), ни программными средствами (на уровне операционной системы (ОС)) доступ к оперативной памяти компьютера, к встроенному сетевому адаптеру, к контроллерам PCI, PCIe, usb и прочей периферии [3]. На данный момент полностью исходный код IME недоступен для независимых исследований и анализа. Энтузиастами предпринимаются попытки дизассемблирования кода IME и последующего анализа, которые даже приводят к нахождению недокументированных возможностей [4], ошибок и уязвимостей [5]. И компания Intel признает эти уязвимости и даже выпускает обновления, их устраняющие [6]. Необходимо отметить, что найденные уязвимости признаются ФСТЭК и вносятся в Банк данных угроз безопасности информации [7-11]. По поводу одной из этих уязвимостей ФСТЭК России даже выпустила информационное письмо [12], предписывающее до появления обновления, нейтрализующего уязвимость, принять ряд жестких организационных мер, снижающих вероятность эксплуатации уязвимости.
Таким образом, можно констатировать, что внутри любого современного компьютера, построенного на базе чипсета от компании Intel, есть по сути еще одни компьютер, с неизвестным функционалом и имеющий неограниченный доступ к ресурсам основного компьютера. Очевидно, что есть три принципиальных пути снижения вероятности несанкционированной работы IME: отказаться от СВТ с чипсетами Intel, воздействовать на IME (удалить, запретить, модифицировать, внедрить собственный код внутрь) или изолировать IME от внешнего мира.
Отказ от СВТ с чипсетами Intel и переход на другие аппаратные платформы представляется наиболее правильным путем решения проблемы. Тем более, что альтернативные защищенные аппаратные варианты есть [13]. Но зачастую в силу различных организационных моментов (отсутствие необходимого программного обеспечения под другую аппаратную платформу, отсутствие специалистов, способных провести переход на другие аппаратные платформы, необходимость переобучения сотрудников работе с другой программной и аппаратной средой и т. п.) отказ от привычных инструментов (а СВТ – это все-таки инструмент) невозможен.
Все описанные в открытых источниках попытки пойти по второму пути и воздействовать каким-либо образом на IME не завершились успехом. Удаление IME приводило к неработоспособности СВТ. Штатного механизма отключения не существует. А попытки нештатного отключения [14] не дают стопроцентной уверенности в том, что эта подсистема полностью отключена. Внедрение собственного кода внутрь IME затруднено в силу закрытости технологии и предпринимаемых компанией Intel усилий по защите от такого внедрения. Компания Intel осознает все возможности, которые получает код, исполняющийся в IME, и разработало сложную криптографическую систему его защиты. По факту в IME может исполняться только код, подписанный на ключах Intel.
Таким образом, в случае невозможности отказа от использования СВТ с чипсетами Intel остается путь изоляции IME от внешнего мира. В описанной выше парадигме (неконтролируемый компьютер с неограниченными возможностями по доступу к ресурсам основного компьютера ВНУТРИ этого основного компьютера) с подсистемой IME связаны следующие виды угроз:
- получение несанкционированного удаленного управления
- несанкционированная передача конфиденциальных данных за пределы основного СВТ.
В качестве возможных каналов для реализации обеих угроз в современных компьютерах на базе чипсетов Intel могут выступать Ethernet и USB. Кстати, в упомянутом выше информационном письме ФСТЭК [12] как раз и рекомендуется исключить неконтролируемые каналы связи, обеспечить защиту от несанкционированного использования USB-портов средств вычислительной техники (в том числе при помощи их опечатывания, а также отключения путем применения соответствующих настроек базовой системы ввода-вывода) и настроить межсетевые экраны соответствующим образом.
Подключаемые к USB-портам устройства (флешки, клавиатуры, мыши, токены, сканеры, принтеры, плоттеры, телефоны, фотоаппараты, жесткие диски) могут быть как каналом несанкционированного управления, так и приемником для несанкционированной передачи данных. Причем выполнять нештатные действия они могут в теневом режиме, незаметно для пользователя, подключившего их к USB-порту, параллельно с основным функционалом. По факту даже самая простая флешка представляет собой компьютер с собственным процессором и собственной памятью. Известен целый класс атак, называемый BadUSB, в основе которого лежит модификация firmware USB-устройств для выполнения несанкционированных действий процессором этих самых USB-устройств. Кроме того, существуют варианты реализаций штатных протоколов взаимодействия USB-устройств [15] с нештатными расширениями, которые могут быть использованы и как скрытые каналы управления, и как нелегальные хранилища для конфиденциальной информации.
На первый взгляд (учитывая многочисленные публикации о разнообразных DLP-системах) вопрос защиты от несанкционированного использования USB-устройств давно решен и его можно считать закрытым. Но не в случае с IME. Нужно помнить, что IME имеет прямой доступ к периферии (в том числе и к USB-контроллерам), минуя приложения и драйвера ОС. Программные агенты этих самых DLP-систем, функционирующие в ОС, могут определять наличие подключенных к портам устройств с некоторой задержкой, необходимой ОС для проведения работ по инициализации стека драйверов и извещения соответствующих агентов о подключении устройств к портам. И последующий контроль за обменом данными с устройством агенты DLP-систем могут проводить не ниже драйверов ОС. А IME может взаимодействовать с подключенными USB-устройствами напрямую через firmware USB-контроллера.
Следовательно, для нейтрализации такой угрозы средство контроля должно быть аппаратно независимым от целевой системы. В качестве такого средства контроля может выступать либо доверенный вычислитель, установленный непосредственно в подключаемое средство (по сути являясь частью этого USB-устройства), либо доверенный вычислитель, подключаемый в разрыв канала взаимодействия устройства и СВТ.
Устройства с интегрированным в них доверенным вычислителем существуют (это служебные носители (СН) «Транзит» и «Секрет» [16]). Эти устройства служат для хранения данных и характеризуются невозможностью несанкционированного изменения firmware. В контексте взаимодействия с IME их можно считать доверенными: они не создадут скрытый канал управления и на них нельзя будет незаметно вынести конфиденциальные данные за пределы СВТ.
В качестве доверенного вычислителя, подключаемого в разрыв канала могут быть разработаны либо переходники, с одной стороны подключаемые к USB-порту СВТ, а с другой предоставляющие штатный USB-разъем для подключения к ним целевых устройств, либо USB-хабы, которые также будут подключаться к USB-порту СВТ, а с другой стороны к ним будут одновременно подключаться несколько целевых устройств. Одним из основных свойств таких вычислителей должна быть невозможность несанкционированного изменения их firmware. Функциональное наполнение подобных устройств может быть самым разнообразным: они могут быть простыми фильтрами на уровне vid/pid подключаемого устройства, могут проводить процедуры аппаратной аутентификации подключаемых устройств по протоколам, аналогичным протоколам СН «Секрет», могут быть фильтрами протоколов взаимодействия, контролирующими четкое соответствие стандартам каждого подключаемого устройства.
Ситуация, описанная в предыдущей части в случае с USB-каналами, во многом повторяется и в случае с Ethernet-каналами. Также существуют мощные средства контроля (программные межсетевые экраны), также они оказываются бесполезными в случае необходимости контроля IME. Также для качественной защиты межсетевые экраны нужно делать независимыми от основного СВТ и устанавливать их в разрыв соединения Ethernet-контроллера и локальной вычислительной сетью (ЛВС), к которой подключается СВТ. И уже внутри этих вычислителей осуществлять контроль трафика, отфильтровывая нештатные нестандартные сетевые пакеты. Да, существуют аппаратные межсетевые экраны, но по сложившейся практике применения они устанавливаются на границе периметра ЛВС и защищают сеть целиком. Но не защищают СВТ в ЛВС друг от друга и от подключенного нештатно стороннего СВТ.
Ну и конечно, все эти технические средства должны быть тесно вплетены в регламенты и подкреплены строгими организационными мерами. Технологические процессы должны быть выстроены таким образом, чтобы не возникала необходимость подключать к локальным СВТ принтеры, плоттеры, сканеры и прочее важное офисное оборудование. Все неиспользуемые USB-порты должны быть заклеены соответствующими защитными знаками. Пользователи должны быть извещены о запрете подключения к незаклеенным USB-портам ничего, кроме выданных СН или прочих разрешенных устройств. Или все открытые USB-порты должны обеспечивать подключение устройств только через доверенные USB-хабы. На все Ethernet-соединения должны быть установлены персональные аппаратные межсетевые экраны. И все это оборудование должно быть настроено и поддерживаться в актуальном состоянии в течении всего жизненного цикла системы. Впору вернуться к первоначальной постановке задачи и еще раз рассмотреть вариант отказа от использования чипсетов Intel и переход на защищенные альтернативные варианты.
Все вышеперечисленные выкладки относятся к случаю защиты от угроз, связанных с IME, универсальных СВТ, построенных на чипсетах Intel. Если провести анализ предложенных решений, вычленить в них главное (аппаратную независимость), объединить доверенные вычислители в одном и сделать полученное в едином конструктиве, то получится резидентный компонент безопасности (РКБ) [17]. Ситуация очень похожа на ситуацию с настоящими аппаратными модулями доверенной загрузки (АМДЗ), устанавливаемыми на системную шину и самостоятельно принимающими решения. Но в отличии от ситуации с АМДЗ использовать какую-либо системную шину при защите от угроз, связанных с IME, нельзя. Поэтому нужно отказываться от идеи защищать универсальные СВТ и разрабатывать специализированные материнские платы. На этих материнских платах РКБ будет правильным образом физически подключен по всем интерфейсам и будет сам контролировать USB и Ethernet-каналы. Формально это будет единая материнская плата, устанавливаемая внутрь корпуса СВТ, но фактически это будет физическое объединение двух компьютеров (РКБ и чипсета от Intel). В этом случае получится решение на порядок более простое в эксплуатации, чем набор подключаемых к различным портам устройств при защите универсальных СВТ, так как для пользователя СВТ будет выглядеть как обычное СВТ с привычным набором портов, а администраторам информационной безопасности не нужно будет контролировать физические порты и корректность подключения доверенных вычислителей к ним.
- Часто задаваемые вопросы об утилите проверки Intel® Management Engine [Электронныйресурс].URL: https://www.intel.ru/content/www/ru/ru/support/articles/000005974/software/chipset-software.html (дата обращения: 08.04.2018)
- Frequently Asked Questions for the Intel® Management Engine Verification Utility [Электронный ресурс].URL: https://www.intel.com/content/www/us/en/support/articles/000005974/software/chipset-software.html (дата обращения: 08.04.2018)
- Kumar A. Active Platform Management Demystified: Unleashing the Power of Intel VPro (TM) Technology, 2009, Intel Press.
- Горячий М., Ермолов М. Выключаем Intel ME 11, используя недокументированный режим [Электронный ресурс]. URL: https://habrahabr.ru/company/pt/blog/336242/ (дата обращения: 08.04.2018).
- Уязвимость Intel ME позволяет выполнять неподписанный код [Электронный ресурс].URL:https://habrahabr.ru/company/pt/blog/339292/ (дата обращения: 08.04.2018).
- Intel Q3’17 ME 6.x/7.x/8.x/9.x/10.x/11.x, SPS 4.0, and TXE 3.0 Security Review Cumulative Update [Электронныйресурс]. URL: https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00086&languageid=en-fr (дата обращения: 08.04.2018).
- BDU:2017-02217: Множественные уязвимости подсистемы Intel Management Engine (ME) микропрограммного обеспечения семейства микросхем Platform Controller Hub, позволяющие выполнить неподписанный код [Электронный ресурс]. URL:https://bdu.fstec.ru/vul/2017-02217 (дата обращения: 08.04.2018).
- BDU:2017-02527: Множественные уязвимости подсистемы Intel Server Platform Services (SPS) микропрограммного обеспечения семейства микросхем Platform Controller Hub, позволяющие выполнить неподписанный код [Электронный ресурс]. URL:https://bdu.fstec.ru/vul/2017-02527 (дата обращения: 08.04.2018).
- BDU:2017-02528: Множественные уязвимости подсистемы Intel Trusted Execution Engine (TXE) микропрограммного обеспечения семейства микросхем Platform Controller Hub, позволяющие выполнить неподписанный код [Электронный ресурс].URL:https://bdu.fstec.ru/vul/2017-02528 (дата обращения: 08.04.2018).
- BDU:2017-02532: Множественные уязвимости подсистем Active Management Technology (AMT) и Intel Management Engine (ME) микропрограммного обеспечения семейства микросхем Platform Controller Hub, позволяющие выполнить произвольный код [Электронный ресурс]. URL:https://bdu.fstecru/vul/2017-02532 (дата обращения: 08.04.2018).
- BDU:2017-02534: Множественные уязвимости подсистем Active Management Technology (AMT) и Intel Management Engine (ME) микропрограммного обеспечения семейства микросхем Platform Controller Hub, позволяющие выполнить произвольный код [Электронный ресурс]. URL:https://bdu.fstec.ruvul/2017-02534 (дата обращения: 08.04.2018).
- ФСТЭК. Информационное сообщение от 25 октября 2017 г. № 240/22/4900 об уязвимости микропрограммного обеспечения Intel Management Engine.
- Конявский В. А., Степанов В. Б. Компьютер типа «тонкий клиент» с аппаратной защитой данных. Патент на полезную модель № 118773. 27.07.2012, бюл. №2 1.
- Боремся с дистанционным контролем: как отключить Intel ME [Электронный ресурс].URL:https://habrahabr.ru/company/pt/blog/302292/ (дата обращения: 08.04.2018).
- Кравец В. В. Клавиатура — устройство вывода? [Электронный ресурс]. URL:https://habrahabr.ru/company/pm/blog/352868/ (дата обращения: 08.04.2018).
- Конявский В. А., Щербаков А. Ю. Специальный съемный носитель информации. Патент на полезную модель № 94751. 27.05.2010, бюл. № 15.
- Конявский В. А. Управление защитой информации на базе СЗИ НСД «Аккорд». — М.: Радио и связь, 1999. — 325 c., ил.
Автор: Счастный Д. Ю.
Дата публикации: 01.01.2018
Библиографическая ссылка: Счастный Д. Ю. К вопросу о защите от Intel Management Engine // Вопросы защиты информации. М., 2018. № 2 (121). С. 37–40.