英特爾管理引擎接口

英特爾管理引擎接口

Intel Management Engine Interface(簡稱Intel MEI)又稱英特爾管理引擎接口,是Intel針對其晶片組推出的一款晶片熱能管理驅動。

簡介

它是介於固件和系統驅動之間,類似於一種接口。通過這個接口,系統可以和固件之間相互作用,從而達到改善熱能管理的目的。

使用維護

如果未安裝該驅動,在設備管理器中將出現“PCI簡易通訊控制器”的黃色問號設備。該設備的硬體ID為:

PCI\VEN_8086&DEV_8C3A

PCI\VEN_8086&DEV_1E3A

PCI\VEN_8086&DEV_1CBA

PCI\VEN_8086&DEV_1C3A

PCI\VEN_8086&DEV_1DBA

PCI\VEN_8086&DEV_1D3A

英特爾管理引擎

英特爾管理引擎(Intel Management Engine 或 Intel Manageability Engine,縮寫為 Intel ME),是一個自主運行的子系統,自2008年起被納入幾乎所有的英特爾處理器晶片。這個子系統主要由運行在一個單獨的微處理器上的專有固件組成,可以在作業系統開機啟動時執行一些任務,無論彼時計算機是在運行或是休眠。只要晶片或系統級晶片(SoC)連線到當前系統(通過電池或電源),即使當前系統是關機狀態,它依然會持續運行。英特爾聲稱管理引擎需要用來提供完整的性能。其確切工作很大程度上是沒有記錄的,它的代碼使用直接存儲在硬體中的機密霍夫曼表進行混淆,因此固件不包含解碼其內容所需的信息。英特爾的主要競爭對手AMD在其2013年後的幾乎所有的CPU中都加入了等效的AMD安全技術(正式名稱為平台安全處理器)。

管理引擎經常與Intel主動管理技術(Intel AMT)混淆。AMT基於ME,但僅適用於使用vPro的處理器。AMT使計算機擁有者能夠遠程管理他們的機器,例如打開關閉計算機以及重新安裝作業系統。然而自2008年以來,ME本身就被嵌入到所有英特爾晶片組中,而不僅僅是那些具有AMT的晶片組。雖然AMT可以不由計算機擁有者監管,但沒有官方文檔化的方式來禁用ME。

電子前沿基金會(EFF)和安全專家達米恩·扎米特(Damien Zammit)等抨擊者指責ME是一個後門和一個隱隱私患。扎米特強調,ME可以完全訪問存儲器(沒有父CPU具有任何知覺);可以完全訪問TCP/IP堆疊,並可以獨立於作業系統傳送和接收網路數據包,從而繞過其防火牆。對此英特爾回應“英特爾不會在產品中放置後門,也不會讓我們的產品在沒有最終端用戶的明確許可情況下允許英特爾控制或訪問計算系統”中立性有爭議的作品和“英特爾沒有也不會設計進入其產品的後門。最近的報導聲稱是有誤導性和公然虛假的。英特爾並不會努力去降低其技術的安全性。”中立性有爭議的作品截至2017年,谷歌試圖從其伺服器上刪除專有固件,但發現ME是一個障礙。

ME有幾個弱點。 2017年5月1日,英特爾在其管理技術中確認了遠程特權漏洞(SA-00075)。每個採用英特爾標準管理,主動管理技術或小型企業技術的英特爾平台,從2008年的Nehalem微架構到2017年的Kaby Lake微架構,都有一個可遠程利用的安全漏洞。有幾種方法可以在未經授權的情況下禁用ME,但這可能會導致ME的功能被破壞。ME中這些附加的重大安全缺陷影響了相當數量的集成了TXE(Trusted Execution Engine)和SPS(Server Platform Services)固件的計算機,從2015年的Skylake微架構到2017年的Coffee Lake微架構,這些缺陷都已在2017年11月20日被Intel確認(SA-00086)。不同於SA-00075,這個缺陷甚至是在AMT不存在或沒有配置,或者ME被任何已知的非官方方法“禁用”的情況下依舊存在。

相關詞條

熱門詞條

聯絡我們