Могу ли я управлять механизмом управления компьютером, как это сделал бы ИТ-отдел?
У меня есть старая рабочая станция, которая при загрузке включает этап, позволяющий мне настроить механизм Intel ME, который каким-то образом присутствует в процессоре или материнской плате. У меня есть пароль для доступа к нему, но само меню не содержит никаких интересных опций. [Думаю, мне однажды пришлось с этим возиться, чтобы вентиляторы работали нормально, а не все время на полной скорости… неясно, почему это не было частью обычного BIOS, но в любом случае это не имеет отношения к этому вопросу…]
Насколько я понимаю, Management Engine в основном обеспечивает сверхпривилегированное удаленное управление компьютером, иногда даже когда он выключен иным образом. Подобный бэкдор, конечно, вызывает споры; есть компьютеры, которыми пользуются люди, которые не являются их владельцами, если они есть, есть ли в них ошибки, безопасны ли они, ура-ля-ля.
Но в данном случае я одновременно пользователь и владелец компьютера.
Могу ли я сделать что-нибудь интересное с Management Engine? Я полагаю, что существует какой-то протокол, который ME использует для соединения с версией какого-то командного/контрольного сервера для «хороших парней».
Существуют ли какие-либо проекты с открытым исходным кодом, которые предоставляют «ИТ-отдел» ME, который я мог бы использовать для удаленного администрирования этого когда-то корпоративного, а теперь домашнего лабораторного компьютера?
1 ответ
На моих компьютерах установлено программное обеспечение Intel Management Engine. Пользовательская версия мало что делает. Он стоит на моих компьютерах Intel уже более десяти лет.
Я обновляю программное обеспечение и прошивку IME через обновления Lenovo, и это не вызывает никаких проблем. Если у вас возникли проблемы с ним, попробуйте обновить его и BIOS. IME на моем компьютере здесь.
Программное обеспечение IME: 2112.15.0.2221 Прошивка IME: 11.8.83.3874
Вот очень интересная и информативная справочная статья о программном обеспечении Intel Management Engine. В статье дается некоторое объяснение того, как это реализовано и почему оно не является частью BIOS.
Я думаю, вам понадобится программное обеспечение компании для управления пользователями. Я не видел, чтобы компании использовали его при консультировании малого бизнеса (до 75 пользователей) за последние два десятилетия.
Для реализации со стороны компании потребуются некоторая энергия и навыки. Это не пользовательский инструмент для контроля использования компьютеров; он предназначен для обеспечения некоторого контроля над компьютерными активами компании, если он был реализован.
Intel Management Engine (ME), также известный как IntelManageability Engine,[1][2] представляет собой автономную подсистему, которая с 2008 года включена практически во все наборы микросхем процессоров Intel.[1][3][4] Он расположен в концентраторе контроллера платформы современных материнских плат Intel.
Intel Management Engine всегда работает, пока материнская плата получает питание, даже если компьютер выключен. Эту проблему можно решить с помощью аппаратного устройства, способного отключать сетевое питание.
Intel ME — привлекательная цель для хакеров, поскольку он имеет доступ верхнего уровня ко всем устройствам и полностью обходит операционную систему. Фонд Electronic Frontier Foundation выразил обеспокоенность по поводу Intel ME, а некоторые исследователи безопасности выразили обеспокоенность тем, что это бэкдор.
Главный конкурент Intel, компания AMD, внедрила эквивалентную технологию AMD Secure Technology (формально называемую процессором безопасности платформы) практически во все свои процессоры, выпущенные после 2013 года.
Подсистема в основном состоит из фирменной прошивки, работающей на отдельном микропроцессоре, который выполняет задачи во время загрузки, во время работы компьютера и во время его сна.[7] Пока чипсет или SoC подключены к источнику питания (через батарею или источник питания), они продолжают работать, даже когда система выключена.[8] Intel утверждает, что ME должен обеспечивать полную производительность.[9] Его точная работа[10] в значительной степени недокументирована[11], а его код запутан с использованием конфиденциальных таблиц Хаффмана, хранящихся непосредственно в аппаратном обеспечении, поэтому прошивка не содержит информации, необходимой для декодирования ее содержимого.
В МЕ обнаружено несколько слабых мест. 1 мая 2017 г. компания Intel подтвердила наличие ошибки удаленного повышения привилегий (SA-00075) в своей технологии управления.[37] Каждая платформа Intel с поддержкой стандартного управления Intel, технологией активного управления или технологией малого бизнеса, от Nehalem в 2008 году до Kaby Lake в 2017 году, имеет дыру в безопасности в ME, которую можно использовать удаленно.[38][39] Было найдено несколько способов отключения ME без авторизации, которые могут привести к саботажу функций ME.[40][41][42] Дополнительные серьезные недостатки безопасности в ME, затрагивающие очень большое количество компьютеров со встроенной прошивкой ME, Trusted Execution Engine (TXE) и Server PlatformServices (SPS), от Skylake в 2015 году до Coffee Lake в 2017 году, были подтверждены Intel 20 ноября. 2017 (SA-00086).[43][44] В отличие от SA-00075, эта ошибка присутствует даже в том случае, если AMT отсутствует, не предусмотрен или если ME был «отключен» любым из известных неофициальных методов.[45] В июле 2018 г. был обнаружен еще один набор уязвимостей (SA-00112).[46] В сентябре 2018 года была опубликована еще одна уязвимость (SA-00125).