我有一台较旧的工作站,在启动时,它包括一个步骤,允许我配置以某种方式存在于 CPU 或主板上的 Intel ME 引擎。我有访问它的密码,但菜单本身并没有提供任何有趣的选项。[我想我必须弄乱它一次,这样风扇才能正常运转,而不是一直全速运转……不清楚为什么这不是正常 BIOS 的一部分,但这与这个问题无关……]
我的理解是管理引擎基本上提供了超级特权远程控制有时甚至在计算机处于关闭状态时也会被后门程序所利用。这种后门程序当然是有争议的;有些计算机被非所有者使用,应该存在后门程序吗,计算机是否存在漏洞,是否安全,等等等等。
但在这种情况下,我既是用户和计算机的所有者。
有什么很酷的东西吗我管理引擎能做什么?比如,我想象管理引擎使用某种协议来连接某种“好人”版本的命令/控制服务器。
是否有任何开源项目提供 ME 的“IT 部门”端,我可以使用它来远程管理这台曾经的公司计算机、现在的家庭实验室计算机?
答案1
我的电脑上有英特尔管理引擎软件。用户版本没什么用。它已经在我的英特尔电脑上使用了十多年。
我通过 Lenovo Updates 保持 IME 软件和固件更新,这完全不会引起任何问题。如果您发现存在问题,请尝试更新它和 BIOS。我的电脑上的 IME 在此处。
IME 软件:2112.15.0.2221 IME 固件:11.8.83.3874
这是一篇非常有趣且内容丰富的关于英特尔管理引擎软件的背景文章。文章解释了它是如何实现的,以及为什么它不是 BIOS 的一部分。
我认为你需要公司软件来管理用户。过去 20 年来,我从未在我的小型企业咨询公司(最多 75 名用户)中看到公司使用它。
实施公司端需要一些精力和技能。它不是控制人们使用计算机的用户工具;它旨在提供对公司计算机资产的控制(如果已实施)。
英特尔管理引擎 (ME),也称为英特尔可管理性引擎[1][2],是一个独立的子系统,自 2008 年以来已被纳入几乎所有英特尔处理器芯片组。[1][3][4] 它位于现代英特尔主板的平台控制器中心。
只要主板通电,英特尔管理引擎就会一直运行,即使计算机已关闭也是如此。部署能够断开主电源的硬件设备可以缓解此问题。
Intel ME 是黑客们眼中极具吸引力的目标,因为它拥有对所有设备的顶级访问权限,并完全绕过操作系统。电子前沿基金会 (Electronic Frontier Foundation) 已对 Intel ME 表示担忧,一些安全研究人员也表示担心它是后门。
英特尔的主要竞争对手 AMD 在其 2013 年后推出的几乎所有 CPU 中都采用了同等的 AMD 安全技术(正式称为平台安全处理器)。
该子系统主要由专有固件组成,该固件在单独的微处理器上运行,可在计算机启动时、运行中和睡眠时执行任务。[7] 只要芯片组或 SoC 连接到电流(通过电池或电源),它就会继续运行,即使系统关闭也是如此。[8] 英特尔声称需要 ME 才能提供全部性能。[9] 其确切工作原理[10] 大部分没有记录[11],其代码使用直接存储在硬件中的机密 Huffman 表进行混淆,因此固件不包含解码其内容所需的信息
在管理引擎中发现了几个漏洞。2017 年 5 月 1 日,英特尔确认其管理技术中存在远程特权提升漏洞 (SA-00075)。[37] 从 2008 年的 Nehalem 到 2017 年的 Kaby Lake,每个配备英特尔标准可管理性、主动管理技术或小型企业技术的英特尔平台在管理引擎中都存在可远程利用的安全漏洞。[38][39] 已发现多种未经授权禁用管理引擎的方法,这些方法可能导致管理引擎的功能被破坏。[40][41][42] 英特尔于 2017 年 11 月 20 日确认了管理引擎中存在其他重大安全漏洞 (SA-00086),这些漏洞影响了从 2015 年的 Skylake 到 2017 年的 Coffee Lake 在内的大量采用管理引擎、可信执行引擎 (TXE) 和服务器平台服务 (SPS) 固件的计算机。[43][44]与 SA-00075 不同的是,即使 AMT 不存在、未配置,或者 ME 被任何已知的非官方方法“禁用”,此漏洞仍然存在。[45] 2018 年 7 月,另一组漏洞被披露 (SA-00112)。[46] 2018 年 9 月,又发布了另一个漏洞 (SA-00125)。