用户:Saiisa/Intel me

x86的权限环。 ME通俗地被归类为环-3,权限在系统管理模式(环-2)和系统监管程序(环-1)之下,它们一同运行在比内核更高的特权级别(环-0)之下

英特尔管理引擎 (Intel ME,  Intel Management Engine,或Intel Manageability Engine )是一个自主运行的子系统,自2008年起被纳入几乎所有的英特尔处理器芯片。 这个子系统主要由运行在一个单独的微处理器上的专有固件组成,可以在操作系统开机启动时执行一些任务,无论彼时计算机是在运行或是休眠。 只要芯片或系统级芯片(SoC)连接到当前系统(通过电池或电源),即使当前系统是关机状态,它依然会持续运行。 英特尔声称管理引擎需要用来提供完整的性能。 其确切工作 很大程度上是没有记录的 ,它的代码使用直接存储在硬件中的机密霍夫曼表进行混淆,因此固件不包含解码其内容所需的信息。 英特尔的主要竞争对手AMD在其2013年后的几乎所有的CPU中都加入了等效的AMD安全技术(正式名称为平台安全处理器)。

管理引擎经常与Intel主动管理技术(Intel AMT)混淆。 AMT基于ME,但仅适用于使用vPro的处理器。 AMT使计算机拥有者能够远程管理他们的机器,例如打开关闭计算机以及重新安装操作系统。 然而自2008年以来,ME本身就被嵌入到所有英特尔芯片组中,而不仅仅是那些具有AMT的芯片组。 虽然AMT可以不由计算机拥有者监管,但没有官方文档化的方式来禁用ME。

 电子前沿基金会(EFF)和安全专家达米恩·扎米特(Damien Zammit)等抨击者指责ME是一个后门和一个隐私隐患。 扎米特强调,ME可以完全访问存储器(没有父CPU具有任何知觉);可以完全访问TCP / IP堆栈,并可以独立于操作系统发送和接收网络数据包,从而绕过其防火墙。 对此英特尔回应"英特尔不会在产品中放置后门,也不会让我们的产品在没有最终端用户的明确许可情况下允许英特尔控制或访问计算系统"[不中立] 和"英特尔没有也不会设计进入其产品的后门。 最近的报道声称是有误导性和公然虚假的。 英特尔并不会努力去降低其技术的安全性"[不中立] 截至2017年,谷歌试图从其服务器上删除专有固件,但发现ME是一个障碍。

ME有几个弱点。 2017年5月1日,英特尔在其管理技术中确认了远程特权漏洞(SA-00075)。 每个采用英特尔标准管理,主动管理技术或小型企业技术的英特尔平台,从2008年的Nehalem微架构到2017年的Kaby Lake微架构,都有一个可远程利用的安全漏洞。 有几种方法可以在未经授权的情况下禁用ME,但这可能会导致ME的功能被破坏。 ME中这些附加的重大安全缺陷影响了相当数量的集成了TXE(Trusted Execution Engine)和SPS(Server Platform Services)固件的计算机,从2015年的 Skylake微架构到2017年的Coffee Lake微架构,这些缺陷都已在2017年11月20日被Intel确认(SA-00086).[1] 不同于SA-00075,这个缺陷甚至是在AMT不存在或没有配置,或者ME被任何已知的非官方方法“禁用”的情况下依旧存在。

设计

编辑

硬件

编辑

从ME 11开始,它被设计为基于 英特尔夸克 x86 32位CPU且运行MINIX 3操作系统。 ME的状态存储在串行闪存(SPI Flash)的一个分区,使用 嵌入式闪存文件系统 (EFFS). 早先版本的ME基于ARC core,运行 Express Logic公司的ThreadX 实时操作系统。 1.x-5.x版本的ME使用ARCTangent-A4(仅支持32位),而版本6.x至8.x使用较新的ARCompact(混合32位和16位指令集架构)。 从ME 7.1开始,ARC处理器还可以执行签过名的 Java小程序

ME有自己的带外接口的MAC和IP地址,可以直接访问以太网控制器;甚至在到达主机的操作系统之前,以太网通信的一部分被转移到ME,因为在各种以太网控制器中存在一些支持,可以通过 管理组件传输协议 (MCTP)导出和配置。 ME还可以通过PCI接口与主机通信。 在Linux系统中,这种通信是通过通过 dev/mei来完成的。

Nehalem微架构发布之前,ME通常被嵌入在主板的 北桥,遵循存储器控制中心 (MCH)的布局。 在新一代的英特尔架构(英特尔5系 开始)种,ME被纳入在 平台的控制中心 (PCH)之中。

固件

编辑

按照英特尔2017年的术语体系,ME是几个为融合安全和可管理引擎(CSME, Converged Security and Manageability Engine)而生的固件之一。 在AMT 11之前的版本,CSME被称为英特尔管理引擎BIOS扩展(Intel MEBx, Intel Management Engine BIOS Extension).

俄罗斯公司Positive Technologies(Dmitry Sklyarov)发现,ME固件版本11运行MINIX 3.



[[Category:電腦安全]] [[Category:韌體]] [[Category:英特爾]] [[Category:远程管理软件]]

  1. ^ Intel Patches Major Flaws in the Intel Management Engine. Extreme Tech.