Co je rozhraní intel management engine? Tři generace Intel vPro Co je ovladač rozhraní intel me

Úvod

Tento dokument obsahuje informace o tom, jak začít s technologií Intel® Active Management Technology (Intel® AMT). Poskytuje přehled funkcí a také informace o minimálních systémových požadavcích, konfiguraci klienta Intel AMT a dostupných vývojářských nástrojích, které pomáhají vytvářet aplikace pro Intel AMT.

Intel AMT podporuje vzdálené aplikace běžící na Microsoft Windows* nebo Linux*. Intel AMT Release 2.0 a vyšší podporuje pouze lokální aplikace založené na Windows. Úplný seznam systémových požadavků naleznete v příručce Intel AMT Implementation and Reference Guide.

Začínáme

Chcete-li spravovat klienta Intel AMT nebo spouštět ukázky ze sady SDK, použijte pro vzdálenou správu zařízení Intel AMT samostatný systém. Další podrobnosti naleznete v příručce Intel AMT Implementation and Reference Guide umístěné ve složce Docs sady Intel AMT SDK.

Co je technologie Intel® Active Management Technology?

Intel AMT je součástí nabídky technologie Intel® vPro™. Platformy vybavené Intel AMT lze spravovat vzdáleně bez ohledu na stav napájení nebo na to, zda mají funkční OS či nikoli.

Intel® Converged Security and Manageability Engine (Intel® CSME) pohání systém Intel AMT. Jako součást platformy Intel® vPro™ využívá Intel AMT řadu prvků v architektuře platformy Intel vPro. Obrázek 1 ukazuje vztah mezi těmito prvky.

Obrázek 1. Architektura Intel® Active Management Technology 11

Věnujte pozornost síťovému připojení spojenému s Intel® Management Engine (Intel® ME). NIC se mění podle toho, kterou verzi Intel AMT používáte.

Firmware Intel CSME obsahuje funkcionalitu Intel AMT.
Flash paměť ukládá obraz firmwaru.
Povolte funkci Intel AMT pomocí Intel CSME implementovaného poskytovatelem platformy OEM. Vzdálená aplikace provádí podnikové nastavení a konfiguraci.
Při zapnutí se obraz firmwaru zkopíruje do paměti RAM DDR (Double Data Rate).
Firmware se spouští na procesoru Intel® s Intel ME a používá malou část paměti DDR RAM (slot 0) pro ukládání během spouštění. Aby mohl firmware fungovat, musí být slot RAM 0 naplněn a zapnutý.

Intel AMT ukládá následující informace ve formátu flash (data Intel ME):

OEM konfigurovatelné parametry:
- Nastavení a konfigurační parametry, jako jsou hesla, konfigurace sítě, certifikáty a seznamy řízení přístupu (ACL)
- Další konfigurační informace, jako jsou seznamy výstrah a zásady Intel AMT System Defense
- Hardwarová konfigurace zachycená systémem BIOS při spuštění

Podrobnosti pro platformy 2016 s technologií Intel vPro (vydání 11.x) jsou:
- 14nm proces
- Platforma (mobilní zařízení a stolní počítače): Procesor Intel® Core™ 6. generace
- CPU: SkyLake
- PCH: Sunrise Point

Co je nového v sadě Intel® Active Management Technology SDK Release 11.0

Intel CSME je nová architektura pro Intel AMT 11. Před Intel AMT 11 se Intel CSME nazýval Intel® Management Engine BIOS Extension (Intel® MEBx).
Soubory MOF a XSL: Soubory MOF a XSL v adresáři \DOCS\WS-Management a odkaz na třídu v dokumentaci jsou ve verzi 11.0.0.1139.
Nová pole argumentů WS-Eventing a PET tabulky: Další argumenty přidané do výstrah CILA poskytují kód příčiny pro připojení uživatelského rozhraní a název hostitele zařízení, které výstrahu generuje.
Aktualizovaná verze OpenSSL*: Verze OpenSSL je v1.0. Aktualizována byla také knihovna přesměrování.
Aktualizovaná verze Xerces: Windows i Linux mají v3.1.2 knihovny Xerces.
Podpora HTTPS pro události WS: Je povoleno zabezpečené předplatné událostí WS.
Vzdálené zabezpečené vymazání prostřednictvím možností spouštění Intel AMT: Možnosti restartu Intel AMT mají možnost bezpečně vymazat primární zařízení pro ukládání dat.
Podepisování DLL se silným názvem: Následující knihovny DLL jsou nyní podepsány silným názvem: CIMFramework.dll, CIMFrameworkUntyped.dll, DotNetWSManClient.dll, IWSManClient.dll a Intel.Wsman.Scripting.dll
Automatický restart platformy spouštěný HECI a hlídacími psy přítomnosti agenta: Možnost automatického spuštění restartu, kdykoli hlídací pes HECI nebo přítomnost agenta nahlásí, že jeho agent vstoupil do stavu vypršení platnosti.
Náhrada protokolu pro přesměrování úložiště IDE-R: Přesměrování úložiště funguje spíše přes protokol USB-R než protokol IDE-R.
Aktualizované SHA: Certifikáty SHA1 jsou zastaralé, s řadou implementovaných certifikátů SHA256.

Konfigurace klienta technologie Intel® Active Management Technology

Příprava klienta technologie Intel® Active Management Technology k použití

Obrázek 2 ukazuje režimy nebo fáze, kterými zařízení Intel AMT prochází, než se stane funkčním.

Obrázek 2. Konfigurační tok

Před konfigurací zařízení Intel AMT z aplikace Setup and Configuration Application (SCA) musí být zařízení připraveno s informacemi o počátečním nastavení a uvedeno do režimu nastavení. Počáteční informace se budou lišit v závislosti na dostupných možnostech ve verzi Intel AMT a na nastaveních provedených platformou OEM. Tabulka 1 shrnuje metody provádění nastavení a konfigurace na různých verzích Intel AMT.

Tabulka 1. Způsoby nastavení podle verze technologie Intel® Active Management Technology

Metoda nastavení	Platí pro verze Intel® Active Management Technology (Intel® AMT).	Pro více informací
Dědictví	1,0; Vydává 2.xa 3.x ve starším režimu	Nastavení a konfigurace ve starším režimu
SMB	2.x, 3.x, 4.x, 5.x	Nastavení a konfigurace v režimu SMB
PSK	2.0 prostřednictvím Intel AMT 10, zastaralé v Intel AMT 11	Nastavení a konfigurace pomocí PSK
PKI	2.2, 2.6, 3.0 a novější	Nastavení a konfigurace pomocí PKI (vzdálená konfigurace)
Manuál	6.0 a novější	Ruční nastavení a konfigurace (od verze 6.0)
CCM, ACM	7.0 a novější

Intel® Setup and Configuration Software (Intel® SCS) 11 může poskytovat systémy zpět na Intel AMT 2.x. Další informace o Intel SCS a metodách poskytování, které se týkají různých vydání Intel AMT, naleznete na stránce Stáhněte si nejnovější verzi Intel® Setup and Configuration Service (Intel® SCS)

Tipy pro ruční konfiguraci

Při ruční konfiguraci platformy od verze 6.0 neexistují žádná omezení funkcí, ale je třeba poznamenat určité chování systému:

Metody API nevrátí stav PT_STATUS_INVALID_MODE, protože existuje pouze jeden režim.
TLS je ve výchozím nastavení zakázáno a musí být povoleno během konfigurace. To bude vždy případ ruční konfigurace, protože nemůžete nastavit parametry TLS lokálně.
Hodiny místní platformy budou používány, dokud nebude vzdáleně nastaven síťový čas. Automatická konfigurace nebude úspěšná, pokud nebyl nastaven síťový čas (a to lze provést pouze po konfiguraci TLS nebo Kerberos*). Povolení TLS nebo Kerberos po konfiguraci nebude fungovat, pokud nebyl nastaven čas sítě.
Systém standardně povoluje WEB UI.
Systém standardně povoluje SOL a IDE-R.
Systém počínaje Intel AMT 10 ve výchozím nastavení deaktivuje funkci Redirection listener.
Pokud je KVM povoleno lokálně prostřednictvím Intel CSME, stále nebude povoleno, dokud jej správce neaktivuje vzdáleně.

Počínaje Intel AMT 10 jsou některá zařízení dodávána bez fyzického adaptéru LAN. Tato zařízení nelze konfigurovat pomocí aktuálních řešení USB Key poskytovaných Intel SCS 11.

Ruční nastavení

Během zapínání zobrazí platforma Intel AMT úvodní obrazovku systému BIOS a poté zpracuje MEBx. Během tohoto procesu lze provést přístup k Intel MEBX; tato metoda je však závislá na dodavateli systému BIOS. Některé metody jsou:

Většina výrobců BIOS přidává vstup do Intel CSME prostřednictvím jednorázové spouštěcí nabídky. Vyberte příslušnou klávesu (typicky Ctrl+P) a postupujte podle pokynů.
Některé platformy OEM vás vyzývají ke stisknutí po POST. Když stisknete , řízení přechází do hlavní nabídky Intel MEBx (Intel CSME).
Někteří výrobci OEM integrují konfiguraci Intel CSME do systému BIOS (neobvyklé).
Někteří výrobci OEM mají v systému BIOS možnost zobrazit/skrýt Pokud výzva není k dispozici v nabídce jednorázového spouštění, zkontrolujte v systému BIOS aktivaci kláves CTRL+P.

Režim ovládání klienta a režim ovládání správce

Po dokončení nastavení přejdou zařízení Intel AMT 7.0 a novější do jednoho ze dvou režimů ovládání:

Režim ovládání klienta. Intel AMT vstoupí do tohoto režimu po provedení základního hostitelského nastavení (viz Host-Based (místní) nastavení). Omezuje některé funkce Intel AMT, což odráží nižší úroveň důvěry potřebnou k dokončení hostitelského nastavení.
Režim ovládání správce. Po provedení vzdálené konfigurace, konfigurace USB nebo ručního nastavení prostřednictvím Intel CSME přejde Intel AMT do režimu Admin Control Mode.

Existuje také metoda konfigurace, která provádí postup Upgrade klienta na správce. Tento postup předpokládá, že zařízení Intel AMT je v režimu ovládání klienta, ale přesune zařízení Intel AMT do režimu ovládání správce.

V režimu Admin Control Mode neexistují žádná omezení pro funkci Intel AMT. To odráží vyšší úroveň důvěryhodnosti spojenou s těmito metodami nastavení.

Omezení režimu ovládání klienta

Po dokončení jednoduché konfigurace založené na hostiteli platforma přejde do režimu klientského ovládání a zavede následující omezení:

Funkce System Defense není dostupná.
Akce přesměrování (IDE-R a KVM) (kromě zahájení relace SOL) a změny možností spouštění (včetně zavádění do SOL) vyžadují pokročilý souhlas. To stále umožňuje vzdálené podpoře IT řešit problémy koncových uživatelů pomocí Intel AMT.
S definovaným auditorem není vyžadováno povolení auditora k provádění zrušení rezervy.
Řada funkcí je blokována, aby se zabránilo nedůvěryhodnému uživateli převzít kontrolu nad platformou.

Ruční konfigurace klienta Intel Active Management Technology 11.0

Platforma Intel AMT zobrazí spouštěcí obrazovku systému BIOS během zapínání a poté zpracuje rozšíření systému BIOS. Vstup do rozšíření Intel AMT BIOS Extension závisí na dodavateli systému BIOS.

Pokud používáte referenční platformu Intel AMT (SDS nebo SDP), obrazovka vás vyzve ke stisknutí . Poté ovládání přejde do hlavní nabídky Intel CSME.

V případě, že se jedná o OEM systém, je stále snadné používat jednorázovou spouštěcí nabídku, ačkoli vstup do Intel CSME je obvykle součástí nabídky jednorázového spouštění. Přesná sekvence kláves se liší podle OEM, BIOSu a modelu.

Ruční konfigurace pro klienty Intel® AMT 11.0 s připojením pouze Wi-Fi*

Mnoho systémů již nemá kabelový LAN konektor. Můžete nakonfigurovat a aktivovat Intel ME a poté přes WebUI nebo jinou alternativní metodu posunout nastavení bezdrátového připojení.

Změňte výchozí heslo na novou hodnotu (vyžadováno pro pokračování). Nová hodnota musí být silné heslo. Měl by obsahovat alespoň jedno velké písmeno, jedno malé písmeno, jednu číslici a jeden speciální znak a měl by mít alespoň osm znaků.
1. Během spouštění zadejte Intel CSME.
2. Zadejte výchozí heslo „admin“.
3. Zadejte a potvrďte Nové heslo.
Vyberte Nastavení sítě.
Vyberte položku Nastavení názvu sítě Intel® ME.
1. Zadejte název hostitele.
2. Zadejte název domény.
Vyberte Souhlas uživatele.
Ukončete Intel CSME.
Nakonfigurujte bezdrátové připojení pomocí synchronizace ovladače ProSet Wireless Driver, WebUI nebo alternativní metody.

Ruční konfigurace pro klienty Intel AMT 11.0 s připojením k síti LAN

Zadejte výchozí heslo Intel CSME („admin“).

Změňte výchozí heslo (vyžadováno pro pokračování). Nová hodnota musí být silné heslo. Měl by obsahovat alespoň jedno velké písmeno, jedno malé písmeno, jednu číslici a jeden speciální znak a měl by mít alespoň osm znaků. Aplikace konzoly pro správu může změnit heslo Intel AMT bez úpravy hesla Intel CSME.

Vyberte Konfigurace Intel AMT.
Výběr/ověření možnosti správy Výběr funkcí je povolen.
Vyberte možnost Aktivovat přístup k síti.
Vyberte „Y“ pro potvrzení Aktivace rozhraní.
Vyberte Nastavení sítě.
Vyberte položku Nastavení názvu sítě Intel ME.
1. Zadejte název hostitele.
2. Zadejte název domény.
Vyberte Souhlas uživatele.
1. Ve výchozím nastavení je toto nastaveno pouze pro KVM; lze změnit na žádné nebo všechny.
Ukončete Intel CSME.

Přístup k technologii Intel® Active Management prostřednictvím rozhraní WebUI

Správce s uživatelskými právy se může vzdáleně připojit k zařízení Intel AMT prostřednictvím webového uživatelského rozhraní zadáním adresy URL zařízení. Adresa URL se změní v závislosti na tom, zda bylo aktivováno TLS:

Bez TLS – http:// :16992
TLS – https:// :16993

Pro připojení bez TLS můžete také použít místní připojení pomocí prohlížeče hostitele. Jako IP adresu použijte localhost nebo 127.0.0.1. Příklad: http://127.0.0.1:16992

Požadavky na podporu technologie Intel Active Management

Kromě správné konfigurace systému BIOS a Intel CSME musí být bezdrátová síťová karta kompatibilní s technologií Intel AMT. Aby bylo možné používat Intel AMT ke správě hostitelského operačního systému, musí být přítomny a spuštěny konkrétní ovladače a služby.

Chcete-li ověřit, zda jsou ovladače a služby Intel AMT načteny správně, vyhledejte je ve Správci zařízení a službách v hostitelském operačním systému. Aktualizované verze systému BIOS, firmwaru a ovladačů často kontrolujte na stránce stahování OEM.

Zde jsou ovladače a služby, které by se měly objevit v hostitelském OS:

Síťové připojení Intel® Ethernet i218-LM#
Intel® Dual Band Wireless-AC 8260 nebo podobný #
Ovladač Intel® Management Engine Interface (Intel® MEI).
Serial-Over-LAN (SOL) ovladač
Služba místní správy aplikací Intel® Management and Security Status (Intel® MSS)**
Aplikace Intel® AMT Management and Security Status**
HID ovladače myši a klávesnice***

* Verze síťového ovladače a bezdrátového rozhraní se budou lišit v závislosti na generaci platformy Intel vPro.

** Součást kompletního balíčku Intel MEI (Chipset) Driver

*** Při připojení přes Intel AMT KVM jsou potřeba ovladače HID. Tyto výchozí ovladače obvykle nepředstavují problém; nicméně jsme zaznamenali problémy s oříznutými vlastními instalacemi OS. Pokud dojde k připojení k zařízení bez ovladačů HID, operační systém se pokusí ovladače stáhnout automaticky. Po dokončení instalace znovu připojte připojení KVM.

Poznámka: Úroveň verze ovladačů musí odpovídat úrovni verze firmwaru a systému BIOS. Pokud jsou nainstalovány nekompatibilní verze, Intel AMT nebude fungovat s funkcemi, které tato rozhraní vyžadují.

Fyzické zařízení – bezdrátové ethernetové připojení

Ve výchozím nastavení bude mít jakákoli bezdrátová platforma Intel vPro nainstalovanou bezdrátovou kartu Intel AMT, jako je Intel Dual Band Wireless-AC 8260. Žádná bezdrátová karta jiná než od Intelu nebude mít bezdrátové funkce Intel AMT. Pokud máte jinou kartu než Intel Dual Band Wireless-AC 8260, můžete použít ark.intel.com k ověření, zda je bezdrátová karta kompatibilní s Intel AMT.

Požadovaný software pro operační systém Windows

Ovladače zařízení nejsou nutné pro vzdálenou správu; jsou však nezbytné pro místní komunikaci s firmwarem. Funkce jako zjišťování nebo konfigurace prostřednictvím operačního systému budou vyžadovat ovladač Intel MEI, ovladač SOL, službu LMS a stav správy a zabezpečení Intel® (Intel® MSS).

Ovladače zařízení – rozhraní Intel® Management Engine

Ke komunikaci s firmwarem je vyžadován Intel MEI. Automatická aktualizace Windows ve výchozím nastavení nainstaluje ovladač Intel MEI. Ovladač Intel MEI by měl zůstat v kroku verze s verzí Intel MEBX.

Ovladač Intel MEI je ve Správci zařízení pod „Systémová zařízení“ jako „Rozhraní Intel® Management Engine“.

Ovladače zařízení - Serial-Over-LAN Driver

Ovladač SOL používaný během operace přesměrování, kde je během operace přesměrování IDE připojena vzdálená jednotka CD.

Ovladač SOL je ve Správci zařízení pod „Porty“ jako „Intel® Active Management Technology – SOL (COM3).

Obrázek 3. Ovladač Serial-Over-LAN.

Služba – služba Intel Active Management Technology LMS

Služba Local Manageability Service (LMS) běží lokálně v zařízení Intel AMT a umožňuje aplikacím místní správy odesílat požadavky a přijímat odpovědi. LMS reaguje na požadavky směřované na místního hostitele Intel AMT a směruje je do Intel® ME prostřednictvím ovladače Intel® MEI. Tento instalační program služby je dodáván s ovladači Intel MEI na webových stránkách OEM.

Upozorňujeme, že při instalaci operačního systému Windows služba Windows Automatic Update nainstaluje pouze ovladač Intel MEI. IMSS a služba LMS nejsou nainstalovány. Služba LMS komunikuje z aplikace operačního systému s ovladačem Intel MEI. Pokud služba LMS není nainstalována, přejděte na web OEM a stáhněte si ovladač Intel MEI, který je obvykle v kategorii Ovladač čipové sady.

Obrázek 4. Ovladač rozhraní Intel® Management Engine.

LMS je služba Windows nainstalovaná na hostitelské platformě, která má Intel AMT Release 9.0 nebo vyšší. Předtím byl LMS známý jako User Notification Service (UNS) počínaje Intel AMT Release 2.5 až 8.1.

LMS přijímá sadu upozornění ze zařízení Intel AMT. LMS zaznamená výstrahu do protokolu událostí aplikace Windows. Chcete-li zobrazit upozornění, klepněte pravým tlačítkem myši Můj počítač a poté vyberte Spravovat>Systémové nástroje>Prohlížeč událostí>Aplikace.

Nástroj – Intel® Management and Security Status Tool

K nástroji Intel MSS lze přistupovat pomocí ikony modrého tlačítka na hlavním panelu systému Windows.

Obrázek 5. Ikona Sys Tray Správa a zabezpečení Intel®.

Obecné Tab

Karta Obecné nástroje Intel MSS zobrazuje stav funkcí Intel vPro dostupných na platformě a historii událostí. Každá karta obsahuje další podrobnosti.

Obrázek 6. Karta Intel® Management and Security Status General.

Intel AMT Tab

Toto rozhraní umožňuje místnímu uživateli ukončit operace KVM a přesměrování médií, provést rychlé volání o pomoc a zobrazit stav obrany systému.

Obrázek 7. Intel® Management and Security Status Karta Intel AMT

Karta Pokročilé

Karta Upřesnit nástroje Intel MSS zobrazuje podrobnější informace o konfiguraci Intel AMT a jejích funkcích. Snímek obrazovky na obrázku 8 ověřuje, že byl v tomto systému nakonfigurován Intel AMT.

Obrázek 8. Karta Intel® Management and Security Status Advanced

Intel Active Management Technology Software Development Kit (SDK)

Jak ukazuje snímek obrazovky na obrázku 9 Příručky pro implementaci a referenci Intel® AMT, další informace o požadavcích na systém a o tom, jak vytvořit ukázkový kód, získáte v části Používání sady Intel® AMT SDK. Dokumentace je k dispozici na Intel® Software Network zde: Intel® AMT SDK (nejnovější verze)

Úložiště dat třetích stranXXXZastaraléZastaralé Vestavěný webový serverXXXXX Hosting webových aplikací XX Flash ProtectionXXXXX Aktualizace firmwareXXXXX HTTP Digest/TLSXXXXX Statická a dynamická IPXXXXX Obrana systémuXXXXX Přítomnost agentaXXXXX Zásady napájeníXXXXX VlastnostiAMT 8AMT 9AMT 10AMT 11AMT 12 Vzájemná autentizaceXXXXX Kerberos*XXXXX TLS-PSKXXXZastaraléZastaralé Ikona soukromíXXXXX Intel® Management Engine Wake-on-LANXXXXX Vzdálená konfiguraceXXXXX Konfigurace bezdrátového připojeníXXXXX Endpoint Access Control (EAC) 802.1XXXXX Energetické balíčkyXXXXX Detekce prostředíXXXXX Sféra čtečky protokolu událostíXXXXX Heuristika obrany systémuXXXXX Rozhraní WS-MANXXXXX Síťová rozhraníXXXXX TLS 1.0XXXX TLS 1.1 XXXX TLS 1.2 X VlastnostiAMT 8AMT 9AMT 10AMT 11AMT 12 Rychlé volání o pomoc (CIRA)XXXXX Monitor přístupuXXXXX Podpora Microsoft NAP*XXXXX Podpora virtualizace pro přítomnost agentaXXXXX PC budíkXXXXX KVM dálkové ovládáníXXXXX Bezdrátová synchronizace profiluXXXXX Podpora pro internetový protokol verze 6XXXXX Host-Based ProvisioningXXXXX Půvabné vypnutíXXXXX WS-Management APIXXXXX SOAP příkazyXZastaraléZastaraléZastaraléZastaralé Podpora InstantGo XX Vzdálené bezpečné vymazání XX

Po instalaci Windows 10 se mnoho uživatelů potýká s potřebou nainstalovat nejnovější ovladač pro součásti Intel Managemet Engine Components. Co to je a je to opravdu nutné pro počítač? Zodpovědět tuto otázku vyžaduje nastudování obrovského množství informací. Včetně technické dokumentace. Proto je v tomto článku vše vysvětleno jednoduchým jazykem přístupným každému uživateli. Za prvé, stojí za to podívat se na historii této součásti a pak mluvit o jejím účelu.

Historie Intel ME Components

Výrobce procesorů pod značkou Intel začal tuto komponentu zavádět do produktů již v roce 2008. V té době se tato technologie zdála inovativní. Přibližně ve stejnou dobu společnost AMD uvedla na trh analog, který nazvali AMD Secure Technology. Modré značce šlo všechno skvěle. Přestože k této technologii nebyla poskytnuta žádná rozumná dokumentace.

Toto pokračovalo až do roku 2017. A právě letos hacker objevil vážnou zranitelnost v komponentách Intel Management Engine Components. O jaký druh zranitelnosti se jedná? Můžeme říci, že nějaký padouch by mohl pomocí speciálního kódu přinutit tuto komponentu, aby otevřela přístup k procesoru. Díky tomu bylo možné ovládat CPU na dálku.

To byla notoricky známá chyba Spectre Meltdown. Svého času dělala hodně hluku. Generální ředitel Intelu z úleku dokonce prodal kontrolní podíl ve firmě, což všechny investiční společnosti včetně burz uvrhlo do paniky. Vše se ale povedlo, ačkoli pověst Intelu byla pošramocena.

Důsledky zranitelnosti v Intel ME

Skandál byl přirozeně neslýchaný. Intel se musel dlouho vymlouvat, lízat si rány a omlouvat se. Ale hlavní věc je, že toto nedopatření donutilo blues poskytnout náhradní dokumentaci o komponentách Intel Management Engine Components. O jaký druh technologie se jedná, se ukázalo. Ukázalo se také, proč byl bezpečnostní systém hacknut.

Po epickém selhání Intelu začali kluci z AMD testovat svůj systém, protože byl založen na vývoji Intel Management Engine Components. O jakou zranitelnost se jedná – netušili, ale postupem času byla úplně stejná zranitelnost objevena v čipech od AMD. Podařilo se jim to ale rychle zalátat a vyhnout se skandálu. To umožnilo červené značce zaujmout vedoucí pozici na trhu procesorů. Hlavní věc je, že nyní můžete pochopit, co je tato součást.

Co jsou součásti Intel ME?

Tedy, komponenty Intel Managemet Engine. co to je? V podstatě se jedná o malý mikročip, který je zabudován v procesoru a reguluje jeho činnost. Samotné ovladače jsou potřebné k zajištění adekvátního provozu této součásti. Dříve byl tento čip implementován do základních desek. Jenže od doby, kdy většina počítačů přešla na jednočipový systém, začal být čip zabudován do samotných centrálních procesorů. Tento stav měl podle Intelu zvýšit bezpečnost počítače.

Když už jsme u bezpečnosti: Intel měl všechny důvody myslet si, že ME je schopno ochránit počítač před různými útoky. ME totiž řídí činnost centrálního procesoru v různých režimech, i když je počítač úplně vypnutý. A právě tato technologie má na starosti dálkové ovládání procesoru. Nápad je to dobrý, ale problém je v tom, že samotná součástka se ukázala být plná děr.

Za co je Intel ME zodpovědný?

Za správnou funkci centrálního procesoru je zodpovědný program Intel(R) Management Engine Components. Navíc to neznamená pouze zapnutý počítač. Tato technologie umožňuje ovládat procesor, i když je počítač nebo notebook zcela vypnutý. Komponenta také řídí činnost procesoru v režimu spánku nebo hibernace. Obecně je tato složka nezbytná, není z ní úniku.

Na základě Intel ME jsou implementovány i další funkce. Takže například pomocí této technologie je možné vzdáleně ovládat počítač, což je velmi užitečné pro systémové administrátory. Technologie Intel AT (modul ochrany proti krádeži) je také založena na součástech Intel(R) Management Engine Components. Rada: je lepší nainstalovat potřebné ovladače a nikdy se nedotýkat nastavení, jinak může selhat celý počítač.

Je možné zakázat Intel ME?

Nyní stojí za to se blíže podívat na práci s Intel(R) Management Engine Components. Jak tuto funkci zakázat? Běžný uživatel to vůbec nepotřebuje. Okamžitě stojí za zmínku, že úplné zakázání této možnosti je nemožné. Někteří hackeři vyvinuli techniku blokování jednotlivých prvků, ale to nebude k ničemu. Ale když to uděláš sám, nic dobrého z toho nebude. Počítač se jednoduše odmítne spustit, protože Intel ME řídí činnost centrálního procesoru.

Ale co ovladače Intel Management Engine Components? Je možné některé možnosti zakázat programově? Umět. Jednoduše odeberte ovladač spolu s doprovodným softwarem. Ale v tomto případě může celkový výkon procesoru klesnout (dost výrazně). Je také velmi pravděpodobné, že „kámen“ nebude v režimu spánku adekvátně fungovat. Nezapomeňte na hibernaci. Obecně lze odpovídající ovladače odebrat, ale nedoporučuje se to.

Závěr

Tento článek tedy pojednává o součástech Intel Management Engine Components. Již nyní je jasné, že se jedná o velmi důležitý subsystém centrálního procesoru. Bez něj je normální fungování čipu nemožné. Některé „šílené ruce“ však aktivně hledají způsoby, jak tuto technologii deaktivovat. Za žádných okolností to nedělejte, protože následky tohoto jednání mohou být nepředvídatelné. V horším případě uživatel o své drahé auto přijde. V nejlepším případě vám bezpečnostní systém jednoduše nedovolí tuto komponentu „vypnout“. V žádném případě to není potřeba dělat. Je lepší nainstalovat všechny potřebné ovladače, nainstalovat nejnovější software a za žádných okolností se této možnosti nedotýkat. Přesto nenarušuje normální provoz procesoru a všech součástí systému.

Intel Management Engine (ME)

Intel Management Engine (Intel ME) umožňuje přímý přístup k hardwaru a obchází doplňkový operační systém. Tato funkce nezávisí na stavu operačního systému a poskytuje ovládání vzdáleného počítače prostřednictvím nezávislého pomocného kanálu TCP/IP, a to i v případě, že je počítač vypnutý (zapnutí/vypnutí vzdáleného počítače).

Interakce se vzdáleným počítačem probíhá na hardwarové úrovni, takže správce získává některé funkce, které dříve vyžadovaly fyzickou přítomnost vedle počítače uživatele.

Zpočátku jsou nastavení Intel Management Engine povolena po aktivaci této funkce v systému BIOS. Ihned po povolení Intel ME máte přístup k několika funkcím systému BIOS.

Při prvním spuštění rozhraní ME v systému BIOS budete muset vytvořit heslo správce.

Jak můžete vidět na výše uvedeném snímku obrazovky, režim Intel Active Management (AMT) je povolen v části „Konfigurace Intel Management Engine“.

Ve skutečnosti stačí zapnout režim „ON in S0, ME Wake v S3, S4-5“. To vám umožní kdykoli používat funkce vzdáleného přístupu, pokud je počítač připojen k napájení. Pokud je hostitel v režimu S3-S5 a systém je připojen ke zdroji střídavého proudu, systém vzdáleného přístupu po určité době přejde do režimu spánku, ale po přijetí síťové zprávy se znovu zapne.

Pomocí této funkce může IT oddělení umožnit vzdáleným počítačům přejít do režimu spánku, ale znovu se vrátit, například když zaměstnanci odejdou domů a nastanou příležitost nainstalovat několik aktualizací systému. V tomto okně BIOSu můžete nakonfigurovat několik různých nastavení souvisejících s nízkoúrovňovou implementací vzdáleného přístupu AMT.

Intel umožňuje ukládat certifikáty pro poskytování vzdáleného přístupu a počítač lze před získáním přístupu k síťovým zdrojům ověřit.

Intel Active Management Technology (AMT)

AMT je jednou z nejzajímavějších součástí platformy vPro. V předchozích verzích vPro 1.0 motor AMT interagoval s procesorem integrovaným do základní desky, a tím závisel na „hostiteli“ (stavu procesoru). Oddělením funkcí dálkového ovládání (tedy jejich přesunem na základní desku/síťový řadič) udělal Intel velký krok vpřed: mnoho funkcí se stalo dostupnými, i když je počítač vypnutý nebo před načtením OS.

Pokud jste obeznámeni s technologiemi, jako je IPMI 2.0, může se vám koncept AMT zdát známý v tom, jak funguje. Mezi klíčové funkce bankomatu patří:

Dálkové zapnutí/vypnutí nebo samostatný cyklus zapnutí/vypnutí;
Připojení bitové kopie systému pro zavedení operačního systému na vzdáleném počítači;
Vzdálený přístup k informacím o hardwarových zdrojích PC;
Přesměrování vzdálené konzoly pomocí Serial over LAN (SoL);
Výstup zpráv Out-of-Band (OoB) pro správce;
Poskytněte zabezpečený kanál TLS mezi správcem a klientským systémem spravovaným vPro.

Dohromady jsou tyto funkce navrženy tak, aby správcům systému poskytly úroveň kontroly, která je umístěna níže a funguje nezávisle na operačním systému (ačkoli Intel nabízí softwarový doplněk, který umožňuje integraci funkcí AMT do operačního systému, jako je Windows 7).

Intel přidal KVM Remote Control do standardu AMT 6.0, aby administrátorovi poskytl plný přístup ke klávesnici, grafické kartě a myši na klientském počítači. Můžete převzít kontrolu nad správně nakonfigurovaným systémem a diagnostikovat jej, i když nemá nainstalovaný OS. Přestože standard AMT 6.0 poskytuje velmi omezený výběr rozlišení v režimu KVM, verze AMT 6.1 (na základní desce DQ57TM) má rozšířenou sadu rozlišení, která vám umožní pracovat v pohodlnějších podmínkách.

Zde stojí za zmínku, že mnoho řešení KVM-over-IP implementovaných na základě IPMI 2.0 v některých základních deskách serverů obvykle vyžaduje provoz v ještě nižším rozlišení – 800x600. To nezpůsobuje problémy při práci se vzdálenými servery (z nichž mnohé jsou stále spravovány pomocí příkazového řádku), ale obsluha klientských počítačů v tomto rozlišení není vůbec pohodlná. Aktuální verze AMT 7.0, která je implementována v nejnovější generaci platformy vPro, umožňuje pracovat v rozlišení až 1920x1200.

Jedinou funkcí, kterou jsme nemohli otestovat (což je nešťastné, i když na to Intel klade velký důraz), je technologie Anti-Theft (AT). Intel by mohl poslat příkaz, který by vPro počítač v případě krádeže uzamkl. To je samozřejmě důležitější pro uživatele notebooků než pro uživatele stolních počítačů.

S AMT 7.0 Intel zavedl možnost využívat 3G celulární signály k odeslání příkazu vzdáleného zabití, což výrazně zvyšuje šance na zachování důvěrnosti dat v PC v případě jejich krádeže. Pokud se vám počítač náhle vrátí, můžete jej stejným způsobem vrátit k životu.

OBSAH

Intel Management Engine je známá sada slov pro většinu uživatelů PC. Je známo, že při instalaci operačního systému tento vyžaduje ovladače právě pro tento Intel Management Engine (IME).

Tento subsystém se objevil před více než 10 lety a dnes je nedílnou součástí téměř každého PC s procesorem Intel. Docela kuriózní je však skutečnost, že o tomto subsystému je velmi málo informací. Z nějakého důvodu Intel nezveřejňuje prakticky žádné podrobnosti.

Je známo, že se jedná o samostatný mikroprocesor, který je v současné době integrován do čipsetů. Je známo, že je zodpovědný za provoz mnoha procesů. Například vzdálená správa. Je také známo, že tento mikroprocesor provozuje svůj vlastní operační systém, který pracuje odděleně od hlavního. Tento OS se nazývá Minix. Přesněji se jedná o uzavřenou verzi Minix OS.

Intel Management Engine má pravděpodobně přístup k mnoha nebo dokonce všem integrovaným zařízením počítače a má přístup k paměti RAM. To vše, s ohledem na uzavřenost tohoto systému, již delší dobu znepokojuje bezpečnostní specialisty. A ukázalo se, že to nebylo marné.

Ruská společnost Positive Technologies objevila bezpečnostní díru v Intel Management Engine a dokázala ji využít k infikování PC. Díky této zranitelnosti lze škodlivý kód spustit téměř na jakémkoli počítači s Intel Management Engine. Tedy na většině počítačů na světě, ačkoliv zdroje třetích stran uvádějí, že metoda zatím funguje pouze pro CPU generace Skylake a novější. K útoku specialisté použili ladicí porty JTAG.

S největší pravděpodobností si mnozí, kteří si alespoň jednou sami nainstalovali operační systém Windows a poté stáhli ovladače z oficiálních stránek, všimli, že v seznamu ovladačů je určitý. O tom, co to je, za co je zodpovědný a zda je nutné jej nainstalovat, se dozvíte v tomto článku.

Rozhraní Intel management engine v seznamu ovladačů na stránkách výrobce notebooků Asus

Za co je zodpovědný ovladač rozhraní intel management engine?

Nejprve si ujasněme účel tohoto ovladače. nebo zkráceně Intel ME je samostatný subsystém, který je zodpovědný za chod některých funkcí systému, včetně řízení rychlosti otáčení systémových ventilátorů v závislosti na jejich teplotě, zajištění chodu energeticky úsporných režimů, přechodů do režimu spánku a mnoho dalšího.

Pokud se ventilátory vašeho notebooku nebo počítače točí jednou trvale vysokou frekvencí, může to být důsledek selhání subsystému Rozhraní řídicího modulu Intel, nebo nesprávná obsluha jeho ovladače.

Tento ovladač je velmi důležitý a musí být nainstalován, stejně jako . Pokud tak neučiníte, zobrazí se ve správci zařízení ikona s vykřičníkem, která označuje, že podsystém Intel ME nefunguje správně.

Ovladač rozhraní řídicího modulu Intel není nainstalován

Li rozhraní intel management engine Pokud není nainstalován, počítač nebo notebook bude fungovat, ale mohou nastat problémy s některými funkcemi operačního systému.

Abyste tomu zabránili, nainstalujte ovladač rozhraní intel management engine z oficiálních stránek výrobce vašeho notebooku nebo základní desky.

Nejlepší způsob, jak poděkovat autorovi článku, je jeho opětovné zveřejnění na vaší stránce