Što je sučelje Intel Management Engine? Tri generacije Intel vPro Što je upravljački program intel me sučelja

Uvod

Ovaj dokument sadrži informacije o tome kako započeti s Intel® Active Management Technology (Intel® AMT). Pruža pregled značajki, kao i informacije o minimalnim zahtjevima sustava, konfiguraciji Intel AMT klijenta i alatima za razvojne programere koji su dostupni za pomoć pri stvaranju aplikacija za Intel AMT.

Intel AMT podržava udaljene aplikacije koje rade na Microsoft Windows* ili Linux*. Intel AMT Release 2.0 i novije podržavaju samo lokalne aplikacije temeljene na sustavu Windows. Za potpuni popis sistemskih zahtjeva pogledajte Vodič za implementaciju i referentni vodič za Intel AMT.

Početak rada

Kako biste upravljali Intel AMT klijentom ili pokrenuli uzorke iz SDK-a, koristite zasebni sustav za daljinsko upravljanje svojim Intel AMT uređajem. Više detalja potražite u Vodiču za implementaciju i referentni vodič za Intel AMT koji se nalazi u mapi Dokumenti Intel AMT SDK-a.

Što je Intel® Active Management Technology?

Intel AMT dio je ponude tehnologije Intel® vPro™. Platformama opremljenim Intel AMT-om može se upravljati daljinski, bez obzira na stanje napajanja ili ima li operativni sustav ili ne.

Intel® Converged Security and Manageability Engine (Intel® CSME) pokreće Intel AMT sustav. Kao komponenta platforme Intel® vPro™, Intel AMT koristi niz elemenata u arhitekturi platforme Intel vPro. Slika 1 prikazuje odnos između ovih elemenata.

Slika 1. Arhitektura Intel® Active Management Technology 11

Obratite pozornost na mrežnu vezu povezanu s Intel® Management Engine (Intel® ME). NIC se mijenja prema tome koje Intel AMT izdanje koristite.

Intel CSME firmware sadrži Intel AMT funkcionalnost.
Flash memorija pohranjuje sliku firmvera.
Omogućite Intel AMT mogućnost korištenjem Intel CSME-a koji implementira OEM pružatelj platforme. Udaljena aplikacija izvodi postavljanje i konfiguraciju poduzeća.
Prilikom uključivanja, slika firmvera se kopira u RAM s dvostrukom brzinom prijenosa podataka (DDR).
Firmware se izvršava na Intel® procesoru s Intel ME i koristi mali dio DDR RAM-a (utor 0) za pohranu tijekom izvođenja. RAM utor 0 mora biti popunjen i uključen da bi firmware mogao raditi.

Intel AMT pohranjuje sljedeće informacije u flash (Intel ME podaci):

OEM-konfigurabilni parametri:
- Parametri postavljanja i konfiguracije kao što su lozinke, konfiguracija mreže, certifikati i liste kontrole pristupa (ACL-ovi)
- Ostale informacije o konfiguraciji, kao što su popisi upozorenja i Intel AMT System Defense pravila
- Konfiguracija hardvera snimljena od strane BIOS-a pri pokretanju

Pojedinosti za platforme iz 2016. s Intel vPro tehnologijom (izdanje 11.x) su:
- 14nm proces
- Platforma (mobilna i radna površina): procesor Intel® Core™ 6. generacije
- CPU: SkyLake
- PCH: Točka izlaska sunca

Što je novo s Intel® Active Management Technology SDK izdanjem 11.0

Intel CSME nova je arhitektura za Intel AMT 11. Prije Intel AMT 11 Intel CSME se zvao Intel® Management Engine BIOS Extension (Intel® MEBx).
MOF i XSL datoteke: MOF i XSL datoteke u direktoriju \DOCS\WS-Management i referenca klase u dokumentaciji su na verziji 11.0.0.1139.
Nova polja argumenata tablice WS-Eventing i PET: Dodatni argumenti dodani CILA upozorenjima daju šifru razloga za UI vezu i naziv hosta uređaja koji generira upozorenje.
Ažurirana verzija OpenSSL*: verzija OpenSSL je v1.0. Knjižnica za preusmjeravanje također je ažurirana.
Ažurirana verzija Xercesa: I Windows i Linux imaju v3.1.2 biblioteke Xerces.
HTTPS podrška za WS događaje: Omogućena je sigurna pretplata na WS događaje.
Daljinsko sigurno brisanje putem Intel AMT opcija pokretanja: Intel AMT opcije ponovnog pokretanja imaju opciju za sigurno brisanje primarnog uređaja za pohranu podataka.
Potpisivanje DLL-a jakim imenom: Sljedeći DLL-ovi sada su potpisani jakim imenom: CIMFramework.dll, CIMFrameworkUntyped.dll, DotNetWSManClient.dll, IWSManClient.dll i Intel.Wsman.Scripting.dll
Automatsko ponovno pokretanje platforme koje pokreću nadzorni psi HECI i Agent Presence: opcija za automatsko pokretanje ponovnog pokretanja svaki put kada HECI ili nadzorni pas za prisutnost agenta prijavi da je njegov agent ušao u isteklo stanje.
Zamjena IDE-R protokola za preusmjeravanje pohrane: Preusmjeravanje pohrane radi preko USB-R protokola umjesto IDE-R protokola.
Ažurirani SHA: SHA1 certifikati su zastarjeli, s nizom implementiranih SHA256 certifikata.

Konfiguriranje Intel® Active Management Technology Client

Priprema vašeg Intel® Active Management Technology Client za korištenje

Slika 2 prikazuje načine rada ili faze kroz koje Intel AMT uređaj prolazi prije nego što postane operativan.

Slika 2. Tijek konfiguracije

Prije konfiguriranja Intel AMT uređaja iz aplikacije za postavljanje i konfiguraciju (SCA), potrebno ga je pripremiti s početnim informacijama o postavljanju i staviti u način rada za postavljanje. Početne informacije bit će različite ovisno o dostupnim opcijama u Intel AMT izdanju i postavkama koje je izvršio OEM platforma. Tablica 1 sažima metode za postavljanje i konfiguraciju na različitim izdanjima Intel AMT-a.

Tablica 1. Metode postavljanja prema verziji Intel® Active Management Technology

Metoda postavljanja	Primjenjivo na izdanja Intel® Active Management Technology (Intel® AMT).	Za više informacija
Naslijeđe	1,0; Izdanja 2.x i 3.x u naslijeđenom načinu rada	Postavljanje i konfiguracija u naslijeđenom načinu rada
SMB	2.x, 3.x, 4.x, 5.x	Postavljanje i konfiguracija u SMB načinu rada
PSK	2.0 kroz Intel AMT 10, zastarjelo u Intel AMT 11	Postavljanje i konfiguracija pomoću PSK-a
PKI	2.2, 2.6, 3.0 i novije	Postavljanje i konfiguracija pomoću PKI (daljinska konfiguracija)
Priručnik	6.0 i kasnije	Ručno postavljanje i konfiguracija (od izdanja 6.0)
CCM, ACM	7.0 i kasnije

Intel® softver za postavljanje i konfiguraciju (Intel® SCS) 11 može vratiti sustave na Intel AMT 2.x. Za više informacija o Intel SCS-u i metodama dodjele koje se odnose na različita izdanja Intel AMT-a, posjetite Preuzimanje najnovije verzije usluge Intel® Setup and Configuration Service (Intel® SCS)

Savjeti za ručnu konfiguraciju

Ne postoje ograničenja značajki pri ručnom konfiguriranju platforme od izdanja 6.0, ali postoje neka ponašanja sustava koja treba imati na umu:

API metode neće vratiti status PT_STATUS_INVALID_MODE jer postoji samo jedan način.
TLS je prema zadanim postavkama onemogućen i mora se omogućiti tijekom konfiguracije. To će uvijek biti slučaj s ručnom konfiguracijom jer TLS parametre ne možete postaviti lokalno.
Lokalni sat platforme koristit će se dok se mrežno vrijeme ne postavi daljinski. Automatska konfiguracija neće biti uspješna osim ako nije postavljeno mrežno vrijeme (a to se može učiniti tek nakon konfiguracije TLS-a ili Kerberosa*). Omogućavanje TLS-a ili Kerberosa nakon konfiguracije neće raditi ako mrežno vrijeme nije postavljeno.
Sustav prema zadanim postavkama omogućuje WEB UI.
Sustav prema zadanim postavkama omogućuje SOL i IDE-R.
Sustav prema zadanim postavkama onemogućuje slušatelja preusmjeravanja počevši od Intel AMT 10.
Ako je KVM omogućen lokalno putem Intel CSME-a, i dalje neće biti omogućen dok ga administrator ne aktivira daljinski.

Počevši od Intel AMT 10, neki se uređaji isporučuju bez fizičkog LAN adaptera. Ovi se uređaji ne mogu konfigurirati korištenjem trenutačnih rješenja USB ključa koje nudi Intel SCS 11.

Ručno postavljanje

Tijekom uključivanja, Intel AMT platforma prikazuje početni zaslon BIOS-a, a zatim obrađuje MEBx. Tijekom ovog procesa može se pristupiti Intel MEBX-u; no metoda ovisi o dobavljaču BIOS-a. Neke metode su:

Većina dobavljača BIOS-a dodaje ulaz u Intel CSME putem izbornika za jednokratno pokretanje. Odaberite odgovarajuću tipku (tipično je Ctrl+P) i slijedite upute.
Neke OEM platforme traže da pritisnete nakon POST-a. Kada pritisnete , kontrola prelazi na glavni izbornik Intel MEBx (Intel CSME).
Neki proizvođači originalne opreme integriraju Intel CSME konfiguraciju unutar BIOS-a (neuobičajeno).
Neki OEM-ovi imaju opciju u BIOS-u za prikaz/sakrij prompt, tako da ako prompt nije dostupan u izborniku za jednokratno pokretanje, provjerite BIOS da aktivirate CTRL+P.

Način kontrole klijenta i način kontrole administratora

Po završetku postavljanja, Intel AMT 7.0 i noviji uređaji prelaze u jedan od dva načina upravljanja:

Način kontrole klijenta. Intel AMT ulazi u ovaj način rada nakon izvođenja osnovnog postavljanja temeljenog na glavnom računalu (pogledajte Postavljanje temeljeno na glavnom računalu (lokalno)). Ograničava neke od Intel AMT funkcionalnosti, odražavajući nižu razinu povjerenja potrebnu za dovršetak postavljanja temeljenog na glavnom računalu.
Administratorski način upravljanja. Nakon izvođenja daljinske konfiguracije, USB konfiguracije ili ručnog postavljanja putem Intel CSME, Intel AMT ulazi u Admin Control Mode.

Također postoji metoda konfiguracije koja izvodi postupak nadogradnje klijenta na administratora. Ovaj postupak pretpostavlja da je Intel AMT uređaj u načinu kontrole klijenta, ali premješta Intel AMT uređaj u način rada Administrator.

U Admin Control Mode nema ograničenja za Intel AMT funkcionalnost. To odražava višu razinu povjerenja povezanu s ovim metodama postavljanja.

Ograničenja načina kontrole klijenta

Kada se završi jednostavna konfiguracija temeljena na glavnom računalu, platforma ulazi u Client Control Mode i nameće sljedeća ograničenja:

Značajka obrane sustava nije dostupna.
Radnje preusmjeravanja (IDE-R i KVM) (osim pokretanja SOL sesije) i promjene opcija pokretanja (uključujući pokretanje na SOL) zahtijevaju napredni pristanak. To još uvijek omogućuje udaljenu IT podršku za rješavanje problema krajnjih korisnika korištenjem Intel AMT-a.
S definiranim Revizorom, Revizorovo dopuštenje nije potrebno za izvođenje deaktivacije.
Brojne su funkcije blokirane kako bi se spriječilo nepouzdanog korisnika da preuzme kontrolu nad platformom.

Ručno konfiguriranje klijenta Intel Active Management Technology 11.0

Intel AMT platforma prikazuje početni zaslon BIOS-a tijekom uključivanja, a zatim obrađuje BIOS proširenja. Ulazak u Intel AMT BIOS Extension ovisi o dobavljaču BIOS-a.

Ako koristite referentnu platformu Intel AMT (SDS ili SDP), zaslon od vas traži da pritisnete . Zatim kontrola prelazi na glavni izbornik Intel CSME.

U slučaju da se radi o OEM sustavu, i dalje je jednostavno koristiti izbornik za jednokratno pokretanje, iako je ulazak u Intel CSME obično uključena opcija kao dio izbornika za jednokratno pokretanje. Točan slijed tipki ovisi o OEM-u, BIOS-u i modelu.

Ručna konfiguracija za Intel® AMT 11.0 klijente s Wi-Fi*-only vezom

Mnogi sustavi više nemaju žičani LAN priključak. Možete konfigurirati i aktivirati Intel ME, a zatim putem WebUI-ja ili neke druge metode za guranje bežičnih postavki.

Promijenite zadanu lozinku na novu vrijednost (potrebno za nastavak). Nova vrijednost mora biti jaka lozinka. Trebao bi sadržavati najmanje jedno veliko slovo, jedno malo slovo, jednu znamenku i jedan poseban znak te imati najmanje osam znakova.
1. Unesite Intel CSME tijekom pokretanja.
2. Unesite zadanu lozinku “admin”.
3. Unesite i potvrdite novu lozinku.
Odaberite Postavljanje mreže.
Odaberite Postavke imena mreže Intel® ME.
1. Unesite naziv glavnog računala.
2. Unesite naziv domene.
Odaberite Pristanak korisnika.
Izađite iz Intel CSME.
Konfigurirajte bežičnu vezu putem ProSet Wireless Driver sinkronizacije, WebUI ili alternativne metode.

Ručna konfiguracija za Intel AMT 11.0 klijente s LAN vezom

Unesite Intel CSME zadanu lozinku (“admin”).

Promijenite zadanu lozinku (potrebno za nastavak). Nova vrijednost mora biti jaka lozinka. Trebao bi sadržavati najmanje jedno veliko slovo, jedno malo slovo, jednu znamenku i jedan poseban znak te imati najmanje osam znakova. Aplikacija upravljačke konzole može promijeniti Intel AMT lozinku bez izmjene Intel CSME lozinke.

Odaberite Intel AMT konfiguraciju.
Odaberite/provjerite značajku upravljanja Odabir je omogućen.
Odaberite Aktiviraj pristup mreži.
Odaberite “Y” za potvrdu Aktiviranja sučelja.
Odaberite Postavljanje mreže.
Odaberite postavke imena mreže Intel ME.
1. Unesite naziv glavnog računala.
2. Unesite naziv domene.
Odaberite Pristanak korisnika.
1. Prema zadanim postavkama, ovo je postavljeno samo za KVM; može se promijeniti u nijedan ili u sve.
Izađite iz Intel CSME.

Pristup tehnologiji Intel® Active Management preko WebUI sučelja

Administrator s korisničkim pravima može se daljinski povezati s Intel AMT uređajem putem web sučelja unosom URL-a uređaja. Ovisno o tome je li TLS aktiviran, URL će se promijeniti:

Ne-TLS - http:// :16992
TLS - https:// :16993

Također možete koristiti lokalnu vezu pomoću preglednika domaćina za vezu koja nije TLS. Koristite ili localhost ili 127.0.0.1 kao IP adresu. Primjer: http://127.0.0.1:16992

Zahtjevi podrške za tehnologiju Intel Active Management

Osim ispravno konfiguriranih BIOS-a i Intel CSME-a, bežični NIC mora biti usklađen s Intel AMT-om. Određeni upravljački programi i usluge moraju biti prisutni i pokrenuti kako bi se koristio Intel AMT za upravljanje OS-om domaćina.

Kako biste provjerili jesu li Intel AMT upravljački programi i usluge ispravno učitani, potražite ih u Upravitelju uređaja i uslugama u glavnom OS-u. Često provjeravajte stranicu za preuzimanje OEM-a za nadograđene verzije BIOS-a, firmvera i upravljačkih programa.

Ovo su upravljački programi i usluge koje bi se trebale pojaviti u glavnom OS-u:

Intel® Ethernet mrežna veza i218-LM#
Intel® Dual Band Wireless-AC 8260 ili sličan #
Upravljački program Intel® Management Engine Interface (Intel® MEI).
Serial-Over-LAN (SOL) upravljački program
Usluga lokalnog upravljanja aplikacijom Intel® Management and Security Status (Intel® MSS)**
Aplikacija Intel® AMT Management and Security Status**
HID drajveri za miš i tipkovnicu***

* Verzije mrežnog kontrolera i bežičnog sučelja razlikovat će se ovisno o generaciji Intel vPro platforme.

** Dio kompletnog Intel MEI (Chipset) Driver paketa

*** HID drajveri su potrebni kada se povezujete preko Intel AMT KVM. Ovi zadani upravljački programi obično nisu problem; međutim, vidjeli smo probleme na skraćenim instalacijama prilagođenog OS-a. Ako se uspostavi veza s uređajem bez HID upravljačkih programa, OS pokušava automatski preuzeti upravljačke programe. Nakon što je instalacija gotova, ponovno povežite KVM vezu.

Napomena: Razina verzije upravljačkih programa mora odgovarati razini verzije firmvera i BIOS-a. Ako su instalirane nekompatibilne verzije, Intel AMT neće raditi sa značajkama koje zahtijevaju ta sučelja.

Fizički uređaj - bežična Ethernet veza

Prema zadanim postavkama, svaka bežična Intel vPro platforma imat će instaliranu bežičnu karticu s omogućenim Intel AMT-om, kao što je Intel Dual Band Wireless-AC 8260. Bilo koja bežična kartica osim Intelove neće imati bežične Intel AMT mogućnosti. Ako imate karticu koja nije Intel Dual Band Wireless-AC 8260, možete koristiti ark.intel.com da provjerite je li bežična kartica kompatibilna s Intel AMT-om.

Potreban softver za Windows OS

Upravljački programi uređaja nisu potrebni za daljinsko upravljanje; međutim, bitni su za lokalnu komunikaciju s firmverom. Funkcije poput otkrivanja ili konfiguracije putem OS-a zahtijevat će Intel MEI upravljački program, SOL upravljački program, LMS uslugu i Intel® Management and Security Status (Intel® MSS).

Upravljački programi uređaja - sučelje Intel® Management Engine

Za komunikaciju s firmverom potreban je Intel MEI. Automatsko ažuriranje sustava Windows prema zadanim postavkama instalira upravljački program Intel MEI. Intel MEI upravljački program trebao bi ostati u koraku s verzijom Intel MEBX.

Intel MEI upravljački program nalazi se u Upravitelju uređaja pod “Sistemski uređaji” kao “Intel® Management Engine Interface”.

Upravljački programi uređaja - Serial-Over-LAN upravljački program

SOL upravljački program koji se koristi tijekom operacije preusmjeravanja gdje je udaljeni CD pogon montiran tijekom operacije IDE preusmjeravanja.

SOL upravljački program nalazi se u Upravitelju uređaja pod “Priključci” kao “Intel® Active Management Technology – SOL (COM3)”.

Slika 3. Upravljački program Serial-Over-LAN.

Usluga - Intel Active Management Technology LMS usluga

Usluga lokalne upravljivosti (LMS) radi lokalno u Intel AMT uređaju i omogućuje lokalnim aplikacijama za upravljanje slanje zahtjeva i primanje odgovora. LMS odgovara na zahtjeve upućene lokalnom hostu Intel AMT i usmjerava ih na Intel® ME putem Intel® MEI upravljačkog programa. Ovaj program za instalaciju usluge nalazi se u paketu s Intel MEI upravljačkim programima na OEM web stranicama.

Imajte na umu da prilikom instaliranja Windows OS-a, usluga Windows Automatic Update instalira samo Intel MEI driver. IMSS i LMS servis nisu instalirani. LMS usluga komunicira od OS aplikacije do Intel MEI upravljačkog programa. Ako LMS usluga nije instalirana, idite na OEM web stranicu i preuzmite Intel MEI driver, koji se obično nalazi u kategoriji Chipset Driver.

Slika 4. Upravljački program sučelja Intel® Management Engine.

LMS je Windows usluga instalirana na glavnoj platformi koja ima Intel AMT izdanje 9.0 ili noviju verziju. Prije toga, LMS je bio poznat kao User Notification Service (UNS) počevši od Intel AMT izdanja 2.5 do 8.1.

LMS prima skup upozorenja od Intel AMT uređaja. LMS bilježi upozorenje u dnevnik događaja Windows aplikacije. Da biste vidjeli upozorenja, kliknite desnom tipkom miša Moje računalo, a zatim odaberite Upravljanje>Alati sustava>Preglednik događaja>Aplikacija.

Alat - Intel® alat za upravljanje i sigurnosni status

Alatu Intel MSS može se pristupiti pomoću ikone plave tipke na traci sustava Windows.

Slika 5. Sistemska traka Intel® ikona statusa upravljanja i sigurnosti.

Općenito Tab

Kartica General alata Intel MSS prikazuje status značajki Intel vPro dostupnih na platformi i povijest događaja. Svaka kartica ima dodatne pojedinosti.

Slika 6. Kartica Intel® Management and Security Status General.

Intel AMT kartica

Ovo sučelje omogućuje lokalnom korisniku da prekine KVM i operacije preusmjeravanja medija, izvrši brzi poziv za pomoć i vidi stanje obrane sustava.

Slika 7. Kartica Intel® upravljanja i sigurnosti Intel AMT

Kartica Napredno

Kartica Napredno alata Intel MSS prikazuje detaljnije informacije o konfiguraciji Intel AMT-a i njegovim značajkama. Snimka zaslona na slici 8 potvrđuje da je Intel AMT konfiguriran na ovom sustavu.

Slika 8. Kartica naprednog statusa Intel® upravljanja i sigurnosti

Intel Active Management Technology Software Development Kit (SDK)

Kao što je ilustrirano snimkom zaslona na slici 9 Intel® AMT Implementation and Reference Guide, možete dobiti više informacija o zahtjevima sustava i kako izgraditi ogledni kod čitanjem odjeljka Korištenje Intel® AMT SDK. Dokumentacija je dostupna na Intel® Software Network ovdje: Intel® AMT SDK (najnovije izdanje)

Pohrana podataka treće stranexxxZastarjeloZastarjelo Ugrađeni web poslužiteljxxxxx Hosting web aplikacija xx Zaštita od bljeskalicexxxxx Ažuriranje firmveraxxxxx HTTP sažetak/TLSxxxxx Statički i dinamički IPxxxxx Obrana sustavaxxxxx Prisutnost agentaxxxxx Politike napajanjaxxxxx ZnačajkaAMT 8AMT 9AMT 10AMT 11AMT 12 Uzajamna provjera autentičnostixxxxx Kerberos*xxxxx TLS-PSKxxxZastarjeloZastarjelo Ikona privatnostixxxxx Intel® Management Engine Wake-on-LANxxxxx Daljinska konfiguracijaxxxxx Bežična konfiguracijaxxxxx Kontrola pristupa krajnjoj točki (EAC) 802.1xxxxx Paketi napajanjaxxxxx Detekcija okruženjaxxxxx Područje čitača dnevnika događajaxxxxx Heuristika obrane sustavaxxxxx WS-MAN sučeljexxxxx Mrežna sučeljaxxxxx TLS 1.0xxxx TLS 1.1 xxxx TLS 1.2 x ZnačajkaAMT 8AMT 9AMT 10AMT 11AMT 12 Brzi poziv za pomoć (CIRA)xxxxx Monitor pristupaxxxxx Podrška za Microsoft NAP*xxxxx Virtualizacijska podrška za prisutnost agentaxxxxx PC budilicaxxxxx KVM daljinski upravljačxxxxx Bežična sinkronizacija profilaxxxxx Podrška za internetski protokol verzije 6xxxxx Omogućavanje na temelju hostaxxxxx Graciozno isključivanjexxxxx WS-Management APIxxxxx SOAP naredbexZastarjeloZastarjeloZastarjeloZastarjelo Podrška za InstantGo xx Daljinsko sigurno brisanje xx

Nakon instaliranja sustava Windows 10, mnogi se korisnici suočavaju s potrebom da instaliraju najnoviji upravljački program za Intel Managemet Engine Components. Što je to i je li stvarno potrebno za računalo? Odgovor na ovo pitanje uključuje proučavanje ogromne količine informacija. Uključujući tehničku dokumentaciju. Stoga je u ovom članku sve objašnjeno jednostavnim jezikom dostupnim svakom korisniku. Prvo, vrijedi pogledati povijest ove komponente, a zatim razgovarati o njezinoj svrsi.

Povijest Intel ME komponenti

Proizvođač procesora pod markom Intel počeo je uvoditi ovu komponentu u proizvode još 2008. godine. U to se vrijeme ova tehnologija činila inovativnom. Otprilike u isto vrijeme, AMD je lansirao analognu tehnologiju koju su nazvali AMD Secure Technology. Sve je išlo odlično za plavu marku. Iako nije pružena razumna dokumentacija o ovoj tehnologiji.

To se nastavilo do 2017. I upravo ove godine, haker je otkrio ozbiljnu ranjivost u komponentama Intel Management Engine. O kakvoj se ranjivosti radi? Možemo reći da bi neki negativac, koristeći poseban kod, mogao prisiliti ovu komponentu da otvori pristup procesoru. Kao rezultat toga, bilo je moguće upravljati CPU-om na daljinu.

Ovo je bila notorna greška Spectre Meltdown. Svojedobno je napravila mnogo buke. Generalni direktor Intela je od straha čak prodao i kontrolni udio u tvrtki, što je sve investicijske kompanije, uključujući burze, dovelo u paniku. Ali sve je uspjelo, iako je ugled Intela bio ukaljan.

Posljedice ranjivosti u Intel ME

Naravno, skandal je bio nečuven. Intel se dugo morao opravdavati, lizati rane i ispričavati se. Ali glavna stvar je da je ovaj previd prisilio bluese da osiguraju zamjensku dokumentaciju o komponentama Intel Management Engine. Postalo je jasno o kakvoj se tehnologiji radi. Postalo je jasno i zašto je sigurnosni sustav hakiran.

Nakon epskog neuspjeha Intela, momci iz AMD-a počeli su testirati svoj sustav, jer se temeljio na razvoju Intel Management Engine Components. O kakvoj se ranjivosti radi - nisu imali pojma, ali s vremenom je upravo ista ranjivost otkrivena u čipovima iz AMD-a. No uspjeli su to brzo pokrpati i izbjeći skandal. To je omogućilo crvenoj marki da preuzme vodeću poziciju na tržištu procesora. Glavna stvar je da sada možete razumjeti što je ova komponenta.

Što su Intel ME komponente?

Dakle, Intel Managemet Engine Components. Što je? U biti, radi se o malom mikročipu koji je ugrađen u procesor i regulira njegov rad. Sami upravljački programi potrebni su kako bi se osigurao odgovarajući rad ove komponente. Prethodno je ovaj čip implementiran u matične ploče. Ali od vremena kada je većina računala prešla na sustav s jednim čipom, čip se počeo ugrađivati u same središnje procesore. Prema Intelu, ovakvo stanje stvari trebalo je povećati sigurnost računala.

Kad smo već kod sigurnosti: Intel je imao sve razloge misliti da je ME sposoban zaštititi računalo od raznih napada. Činjenica je da ME kontrolira rad središnjeg procesora u različitim načinima rada, čak i kada je računalo potpuno isključeno. I upravo je ova tehnologija odgovorna za daljinsko upravljanje procesorom. Ideja je dobra, no problem je što je sama komponenta ispala dupkom puna.

Za što je odgovoran Intel ME?

Program Intel(R) Management Engine Components odgovoran je za pravilan rad središnjeg procesora. Štoviše, to ne znači samo da je računalo uključeno. Ova tehnologija omogućuje kontrolu procesora čak i ako je računalo ili prijenosno računalo potpuno isključeno. Komponenta također kontrolira rad procesora u stanju mirovanja ili hibernacije. Općenito, ova komponenta je neophodna, od nje se ne može pobjeći.

Također temeljen na Intel ME, implementirane su i druge značajke. Tako je, primjerice, pomoću ove tehnologije moguće daljinski upravljati računalom, što je vrlo korisno za administratore sustava. Intel AT tehnologija (protuprovalni modul) također se temelji na komponentama Intel(R) Management Engine. Savjet: bolje je instalirati potrebne upravljačke programe i nikada ne dirati postavke, inače bi cijelo računalo moglo pokvariti.

Je li moguće onemogućiti Intel ME?

Sada vrijedi pobliže pogledati rad s komponentama Intel(R) Management Engine. Kako onemogućiti ovu značajku? Prosječnom korisniku uopće ne treba. Odmah je vrijedno napomenuti da je nemoguće potpuno onemogućiti opciju. Neki hakeri su razvili tehniku za blokiranje pojedinačnih elemenata, ali to neće pomoći. Ali ako to učinite sami, ništa dobro neće proizaći iz toga. Računalo će se jednostavno odbiti pokrenuti, jer Intel ME kontrolira rad središnjeg procesora.

Ali što je s upravljačkim programima Intel Management Engine Components? Je li moguće programski onemogućiti neke opcije? Limenka. Jednostavno uklanjanje upravljačkog programa zajedno s pratećim softverom. Ali u ovom slučaju, ukupna izvedba procesora može pasti (prilično značajno). Također je vrlo vjerojatno da "kamen" neće raditi adekvatno u stanju mirovanja. Ne zaboravite na hibernaciju. Općenito, odgovarajući upravljački programi mogu se ukloniti, ali to se ne preporučuje.

Zaključak

Dakle, ovaj članak govori o komponentama Intelovog mehanizma za upravljanje. Već sada je jasno da se radi o vrlo važnom podsustavu središnjeg procesora. Bez njega je nemoguće normalno funkcioniranje čipa. Međutim, neke "lude ruke" aktivno traže načine kako onemogućiti ovu tehnologiju. Ni pod kojim okolnostima to ne smijete učiniti, jer posljedice ovog postupka mogu biti nepredvidive. U najgorem slučaju, korisnik će izgubiti svoj skupi automobil. U najboljem slučaju, sigurnosni sustav vam jednostavno neće dopustiti da "onemogućite" ovu komponentu. U svakom slučaju, nema potrebe za ovim. Bolje je instalirati sve potrebne upravljačke programe, instalirati najnoviji softver i ni pod kojim okolnostima ne dirati ovu opciju. Svejedno, ne ometa normalan rad procesora i svih komponenti sustava.

Intel Management Engine (ME)

Intel Management Engine (Intel ME) omogućuje vam izravan pristup hardveru, zaobilazeći dodatni operativni sustav. Ova funkcija ne ovisi o stanju OS-a i omogućuje kontrolu udaljenog računala putem neovisnog pomoćnog TCP/IP kanala, uključujući i ako je računalo isključeno (uključeno/isključeno udaljeno računalo).

Interakcija s udaljenim računalom odvija se na hardverskoj razini, tako da administrator dobiva neke mogućnosti koje su prije zahtijevale fizičku prisutnost uz računalo korisnika.

U početku su postavke Intel Management Enginea omogućene nakon aktivacije ove značajke u BIOS-u. Odmah nakon što omogućite Intel ME, imate pristup nekoliko značajki BIOS-a.

Kada prvi put pokrenete ME sučelje u BIOS-u, morat ćete stvoriti administratorsku lozinku.

Kao što možete vidjeti na gornjoj snimci zaslona, način rada Intel Active Management (AMT) omogućen je u odjeljku "Intel Management Engine Configuration".

Zapravo, samo trebate uključiti način rada "ON in S0, ME Wake in S3, S4-5". To će vam omogućiti korištenje funkcija daljinskog pristupa u bilo kojem trenutku ako je računalo priključeno na napajanje. Ako je glavno računalo u načinu rada S3-S5 i sustav je spojen na izmjeničnu struju, sustav daljinskog pristupa odlazi u stanje mirovanja nakon određenog vremena, ali se ponovno uključuje kada se primi mrežna poruka.

Koristeći ovu značajku, IT odjel može dopustiti udaljenim računalima da prijeđu u stanje mirovanja, ali da se ponovno uključe, na primjer, kada zaposlenici odu kući i postoji prilika za instaliranje nekoliko ažuriranja sustava. U ovom prozoru BIOS-a možete konfigurirati nekoliko različitih postavki koje se odnose na nisku razinu implementacije AMT daljinskog pristupa.

Intel vam omogućuje pohranjivanje certifikata za pružanje daljinskog pristupa, a računalo se može autentificirati prije pristupa mrežnim resursima.

Intel Active Management Technology (AMT)

AMT je jedna od najzanimljivijih komponenti vPro platforme. U prethodnim verzijama vPro 1.0, AMT mehanizam komunicirao je s procesorom integriranim u matičnu ploču, ovisno o "domaćinu" (stanje procesora). Odvajanjem funkcija daljinskog upravljanja (odnosno njihovim premještanjem na matičnu ploču/mrežni kontroler), Intel je napravio veliki korak naprijed: mnoge značajke postale su dostupne čak i ako je računalo isključeno ili prije nego što se OS učita.

Ako ste upoznati s tehnologijama poput IPMI 2.0, koncept AMT-a može vam se činiti poznatim u načinu na koji radi. Ključne značajke bankomata uključuju:

Daljinsko uključivanje/isključivanje ili zasebni ciklus uključivanja/isključivanja;
Montiranje slike sustava za pokretanje operativnog sustava na udaljenom računalu;
Daljinski pristup informacijama o hardverskim resursima računala;
Preusmjeravanje udaljene konzole pomoću Serial over LAN (SoL);
Izlaz Out-of-Band (OoB) poruka za administratora;
Omogućite siguran TLS kanal između administratora i klijentskog sustava kojim upravlja vPro.

Uzete zajedno, ove su značajke osmišljene kako bi administratorima sustava dale razinu kontrole koja se nalazi ispod i radi neovisno o operativnom sustavu (iako Intel nudi softverski dodatak koji omogućuje integraciju AMT mogućnosti u operativni sustav kao što je Windows 7).

Intel je dodao KVM Remote Control standardu AMT 6.0 kako bi administratoru omogućio puni pristup tipkovnici, video kartici i mišu na klijentskom računalu. Možete preuzeti kontrolu nad ispravno konfiguriranim sustavom i dijagnosticirati ga čak i ako nema instaliran OS. Iako standard AMT 6.0 pruža vrlo ograničen izbor rezolucija u KVM načinu rada, verzija AMT 6.1 (na matičnoj ploči DQ57TM) ima prošireni skup rezolucija, što vam omogućuje rad u ugodnijim uvjetima.

Ovdje je vrijedno napomenuti da mnoga KVM-over-IP rješenja implementirana na temelju IPMI 2.0 u nekim matičnim pločama poslužitelja obično zahtijevaju rad na još nižoj razlučivosti - 800x600. Ovo ne stvara probleme pri radu s udaljenim poslužiteljima (od kojih se mnogima još uvijek upravlja pomoću naredbenog retka), ali servisiranje klijentskih strojeva na ovoj rezoluciji nije nimalo ugodno. Trenutna verzija AMT 7.0, koja je implementirana u posljednjoj generaciji vPro platforme, omogućuje vam rad na rezolucijama do 1920x1200.

Jedina značajka koju nismo uspjeli testirati (što je nažalost, iako Intel stavlja veliki naglasak na nju) je Anti-Theft (AT) tehnologija. Intel bi mogao poslati naredbu koja bi zaključala vPro računalo ako bi bilo ukradeno. Naravno, ovo je relevantnije za korisnike prijenosnih računala nego korisnike stolnih računala.

S AMT 7.0, Intel je uveo mogućnost korištenja 3G mobilnih signala za slanje daljinske naredbe za ukidanje, što uvelike povećava šanse za očuvanje povjerljivosti podataka na računalu u slučaju njegove krađe. Ako vam se računalo iznenada vrati, možete ga vratiti u život na isti način.

SADRŽAJ

Intel Management Engine poznat je skup riječi većini korisnika računala. Poznato je po tome što prilikom instaliranja operativnog sustava, potonji zahtijeva upravljačke programe za upravo ovaj Intel Management Engine (IME).

Ovaj se podsustav pojavio prije više od 10 godina i sada je sastavni dio gotovo svakog računala s Intelovim procesorom. Međutim, vrlo je zanimljiva činjenica da postoji vrlo malo informacija o ovom podsustavu. Iz nekog razloga Intel ne otkriva gotovo nikakve detalje.

Poznato je da se radi o zasebnom mikroprocesoru, koji se trenutno integrira u čipsete. Poznato je da je odgovoran za rad mnogih procesa. Na primjer, daljinska administracija. Također je poznato da ovaj mikroprocesor pokreće vlastiti operativni sustav, koji radi odvojeno od glavnog. Ovaj OS se zove Minix. Točnije, riječ je o zatvorenoj verziji Minix OS-a.

Intel Management Engine vjerojatno ima pristup mnogim ili čak svim integriranim uređajima računala i može pristupiti RAM-u. Sve to, s obzirom na zatvorenost ovog sustava, već duže vrijeme alarmira sigurnosne stručnjake. I pokazalo se da nije bilo uzalud.

Ruska tvrtka Positive Technologies otkrila je sigurnosnu rupu u Intel Management Engineu i uspjela je upotrijebiti je za zarazu računala. Zahvaljujući ranjivosti, zlonamjerni kod može se izvršiti na gotovo svakom računalu s Intel Management Engineom. Odnosno, na većini računala u svijetu, iako izvori trećih strana kažu da metoda za sada radi samo za CPU generacije Skylake i novije. Za napad su stručnjaci koristili JTAG portove za otklanjanje pogrešaka.

Najvjerojatnije su mnogi koji su barem jednom sami instalirali operativni sustav Windows, a zatim preuzeli upravljačke programe sa službene web stranice, primijetili da postoji određeni na popisu upravljačkih programa. O tome što je, za što je odgovoran i treba li ga instalirati saznat ćete u ovom članku.

Intelovo sučelje za upravljanje motorom na popisu upravljačkih programa na web stranici proizvođača prijenosnih računala Asus

Za što je odgovoran upravljački program sučelja Intel Management Engine?

Prije svega, shvatimo svrhu ovog upravljačkog programa. ili skraćeno Intel ME je zaseban podsustav koji je odgovoran za rad nekih funkcija sustava, uključujući kontrolu brzine vrtnje ventilatora sustava ovisno o njihovoj temperaturi, osiguravanje rada načina rada za uštedu energije, prijelaze u stanje mirovanja i još mnogo toga.

Ako se ventilatori vašeg prijenosnog računala ili računala okreću stalno visokom frekvencijom, to može biti posljedica kvara podsustava Intelovo sučelje za upravljanje motorom, ili neispravan rad njegovog upravljačkog programa.

Ovaj upravljački program je vrlo važan i mora se instalirati, baš kao i . Ako se to ne učini, tada će se u upravitelju uređaja prikazati ikona s uskličnikom, što znači da podsustav Intel ME ne funkcionira ispravno.

Upravljački program sučelja Intelovog mehanizma za upravljanje nije instaliran

Ako Intelovo sučelje za upravljanje motorom Ako nije instaliran, računalo ili prijenosno računalo će raditi, ali mogu nastati problemi s nekim funkcijama OS-a.

Da biste to izbjegli, instalirajte upravljački program Intelovo sučelje za upravljanje motorom sa službene web stranice proizvođača vašeg prijenosnog računala ili matične ploče.

Najbolji način da zahvalite autoru članka je da ga ponovno objavite na svojoj stranici