維基百科

用戶:Saiisa/Intel me

< User:Saiisa
x86的權限環。 ME通俗地被歸類為環-3,權限在系統管理模式(環-2)和系統監管程序(環-1)之下,它們一同運行在比內核更高的特權級別(環-0)之下

英特爾管理引擎 (Intel ME,  Intel Management Engine,或Intel Manageability Engine )是一個自主運行的子系統,自2008年起被納入幾乎所有的英特爾處理器晶片。 這個子系統主要由運行在一個單獨的微處理器上的專有固件組成,可以在作業系統開機啟動時執行一些任務,無論彼時計算機是在運行或是休眠。 只要晶片或系統級晶片(SoC)連接到當前系統(通過電池或電源),即使當前系統是關機狀態,它依然會持續運行。 英特爾聲稱管理引擎需要用來提供完整的性能。 其確切工作 很大程度上是沒有記錄的 ,它的代碼使用直接存儲在硬件中的機密霍夫曼表進行混淆,因此固件不包含解碼其內容所需的信息。 英特爾的主要競爭對手AMD在其2013年後的幾乎所有的CPU中都加入了等效的AMD安全技術(正式名稱為平台安全處理器)。

管理引擎經常與Intel主動管理技術(Intel AMT)混淆。 AMT基於ME,但僅適用於使用vPro的處理器。 AMT使計算機擁有者能夠遠程管理他們的機器,例如打開關閉計算機以及重新安裝作業系統。 然而自2008年以來,ME本身就被嵌入到所有英特爾晶片組中,而不僅僅是那些具有AMT的晶片組。 雖然AMT可以不由計算機擁有者監管,但沒有官方文檔化的方式來禁用ME。

 電子前沿基金會(EFF)和安全專家達米恩·扎米特(Damien Zammit)等抨擊者指責ME是一個後門和一個私隱隱患。 扎米特強調,ME可以完全訪問存儲器(沒有父CPU具有任何知覺);可以完全訪問TCP / IP堆疊,並可以獨立於作業系統發送和接收網絡數據包,從而繞過其防火牆。 對此英特爾回應"英特爾不會在產品中放置後門,也不會讓我們的產品在沒有最終端用戶的明確許可情況下允許英特爾控制或訪問計算系統"[不中立] 和"英特爾沒有也不會設計進入其產品的後門。 最近的報道聲稱是有誤導性和公然虛假的。 英特爾並不會努力去降低其技術的安全性"[不中立] 截至2017年,谷歌試圖從其伺服器上刪除專有固件,但發現ME是一個障礙。

ME有幾個弱點。 2017年5月1日,英特爾在其管理技術中確認了遠程特權漏洞(SA-00075)。 每個採用英特爾標準管理,主動管理技術或小型企業技術的英特爾平台,從2008年的Nehalem微架構到2017年的Kaby Lake微架構,都有一個可遠程利用的安全漏洞。 有幾種方法可以在未經授權的情況下禁用ME,但這可能會導致ME的功能被破壞。 ME中這些附加的重大安全缺陷影響了相當數量的集成了TXE(Trusted Execution Engine)和SPS(Server Platform Services)固件的計算機,從2015年的 Skylake微架構到2017年的Coffee Lake微架構,這些缺陷都已在2017年11月20日被Intel確認(SA-00086).[1] 不同於SA-00075,這個缺陷甚至是在AMT不存在或沒有配置,或者ME被任何已知的非官方方法「禁用」的情況下依舊存在。

設計

編輯

硬件

編輯

從ME 11開始,它被設計為基於 英特爾夸克 x86 32位CPU且運行MINIX 3作業系統。 ME的狀態存儲在串行閃存(SPI Flash)的一個分區,使用 嵌入式閃存文件系統 (EFFS). 早先版本的ME基於ARC core,運行 Express Logic公司的ThreadX 實時作業系統。 1.x-5.x版本的ME使用ARCTangent-A4(僅支持32位),而版本6.x至8.x使用較新的ARCompact(混合32位和16位指令集架構)。 從ME 7.1開始,ARC處理器還可以執行簽過名的 Java小程序

ME有自己的帶外接口的MAC和IP位址,可以直接訪問以太網控制器;甚至在到達主機的作業系統之前,以太網通信的一部分被轉移到ME,因為在各種以太網控制器中存在一些支持,可以通過 管理組件傳輸協議 (MCTP)導出和配置。 ME還可以通過PCI接口與主機通信。 在Linux系統中,這種通信是通過通過 dev/mei來完成的。

Nehalem微架構發佈之前,ME通常被嵌入在主板的 北橋,遵循存儲器控制中心 (MCH)的佈局。 在新一代的英特爾架構(英特爾5系 開始)種,ME被納入在 平台的控制中心 (PCH)之中。

固件

編輯

按照英特爾2017年的術語體系,ME是幾個為融合安全和可管理引擎(CSME, Converged Security and Manageability Engine)而生的固件之一。 在AMT 11之前的版本,CSME被稱為英特爾管理引擎BIOS擴展(Intel MEBx, Intel Management Engine BIOS Extension).

俄羅斯公司Positive Technologies(Dmitry Sklyarov)發現,ME固件版本11運行MINIX 3.



[[Category:電腦安全]] [[Category:韌體]] [[Category:英特爾]] [[Category:远程管理软件]]

  1. ^ Intel Patches Major Flaws in the Intel Management Engine. Extreme Tech. 
取自 "https://zh.wikipedia.org/w/index.php?title=User:Saiisa/Intel_me&oldid=47586233"