Что такое intel management engine
Intel Management Engine Interface — что это?
Приветствую друзья. Сегодня мы поговорим про некое системное устройство, информации о котором в интернете мало, а дровишки часто ставятся автоматом виндой при обновлении. Постараюсь все написать простыми словами.
Intel Management Engine Interface — что это такое?
Обеспечивает работу некоторых функций: отключение экрана через заданное время, уход в спящий режим тоже через определенное время, и некоторые другие опции железа, которые можно задавать/изменять из под Windows. Драйвер на данное устройство винда ставит автоматом.
Теперь немного официальной информации.
Некая подсистема, встроенная в чипсеты процессоров Интел с 2008 года. Состоит из софта — прошивки и микропроцессора, который эту прошивку исполняет.
Интел говорит, что данная система нужна для обеспечения максимальной производительности, но при этом принцип работы — недокументирован, а исходный код (видимо прошивки) — закодирован.
Компания АМД тоже в свои процы встраивает аналогичную систему AMD Secure Technology.
Еще в Intel Management Engine была найдена уязвимость, при помощи которой возможно было удаленное использование. Не хочу углубляться, главное понимать, что скорее всего уязвимость устранена, думаю при помощи новых драйверов. Хм, уязвимость нашли в 2017 году, при том что данная подсистема встроена в процах начиная с поколения Nehalem, а это 2008 год.. у меня как раз проц от Интел, поколение Haswell (2013) — никогда никаких взломов или вирусов не было.. Может быть Microsoft тоже какое-то обновление создало для устранения уязвимости.
Также вот читаю, что есть слухи — при помощи подсистем Imtel MEI и AMD PSP спецслужбы могут внедрятся в каждый компьютер, подключенный к сети. И что даже таким способом взламывались компьютеры известных политиков..
Собственно то самое устройство, но только здесь — в семерке:
Как быстро запустить диспетчер устройств: зажимаете Win + R, пишите команду devmgmt.msc, нажимаете ОК и вуаля!
Зачем нужно Intel Management Engine?
На одном сайте нашел инфу, что подсистема нужна для различных задач связанных с:
То есть, можно сделать вывод, что нужно для.. внутренних аппаратных процессов материнской платы и ее взаимодействия с другими устройствами. По факту мы работу Intel Management Engine не видим. Однако это — устройство, оно требует драйвера, который устанавливается виндой автоматом (скорее всего при первом обновлении). Можно также установить и вручную, скачав его с офф сайта материнской платы… или с сайта Интел, точно не скажу.
Intel Management Engine Interface — нужно ли устанавливать?
Если установилось — хорошо.
Нет — ничего страшного.
Устройство системное и узконаправленное, винда должна сама установить дрова на него. Если нет, то можно скачать, поставить, хотя опять же — на чистой винде без хлама и вирусов данный драйвер должен установиться автоматом.
На форумах также читал, что само устройство Intel Management Engine будет работать и без драйвера, который нужен только для доступа к функционалу Intel Management Engine. В плане функционала.. например там есть некие возможности удаленного администрирования..
Некоторые пользователи не ставили этот драйвер принципиально и все у них работало нормально.
Заключение
Ребята, кое-как мы немного разобрались:
Intel ME. Как избежать восстания машин?
Ошарашенный присутствием такого компонента в компьютере, пользователь (получается, что именно «пользователь», а не «владелец») наверняка задавался вопросом: можно ли выключить Intel ME?
Эта статья целиком посвящена этому вопросу.
Введение
Начиная с 6-й версии, ME-контроллер встраивают во все чипсеты Intel.
[рисунок взят отсюда]
Загрузчик его прошивки хранится во внутренней ROM и недоступен для анализа. Сама прошивка располагается в регионе ME во внешней SPI флэш-памяти (т.е. в той же памяти, где хранится BIOS). Структура этой прошивки такова, что весь исполнимый код разбит на модули, которые хранятся в сжатом виде (либо кастомной реализацией алгоритма Хаффмана, либо LZMA). Эти кодовые модули криптографически защищены от модификаций.
Если есть желание поревёрсить прошивку, рекомендуем воспользоваться этими двумя инструментами для изучения её структуры и распаковки кодовых модулей.
Итак, рассматриваемая подсистема является аппаратно-программной основой для различных системных функций (некоторые раньше реализовывали в BIOS) и технологий Intel. Их имплементация включается в состав прошивки Intel ME. Одной из таких технологий, использующих несколько особых привилегий Intel ME, является Active Management Technology (AMT).
Контроль за состоянием AMT
AMT – технология удалённого администрирования компьютерных систем, для которых заявлена официальная поддержка Intel vPro (это бренд, объединяющий несколько технологий, в том числе, AMT). Речь идёт о системах с чипсетами линейки Q (например, Q57 или Q170).
Учитывая высокую стоимость таких платформ, вряд ли кто-то случайно приобретёт компьютер с AMT для того, чтобы принципиально этой технологией не пользоваться. Тем не менее, если под рукой именно такой продукт, и есть необходимость убедиться, что AMT на текущий момент выключена, следует воспользоваться утилитой ACUwizard:
[рисунок взят отсюда]
или средством Intel Management and Security Status (входит в состав ПО Intel ME для vPro-платформ, можно обнаружить в трее):
В продуктах, не относящихся к разряду vPro-платформ AMT включить нельзя, однако в состав прошивки Intel ME входят сетевые драйверы:
Это означает, что ME-контроллер (не будем забывать, что он всегда включен) имеет техническую возможность использования сетевого интерфейса.
Поэтому проблему стоит решать основательно – пытаться выключить подсистему Intel ME.
Выключение Intel ME при помощи утилит из Intel System Tool Kit
Несмотря на то, что этот комплект распространяется по NDA (судя по меткам «Intel Confidential» в прилагаемых документах), многие вендоры забывают его вырезать из архива с ПО Intel ME, который передаётся пользователям. А ещё не закрывают свои ftp-серверы от внешнего доступа. В результате, утекших версий STK очень много. Здесь можно слить комплект для любой версии Intel ME.
Важно, чтобы major и minor version (первая и вторая цифры) используемого STK совпадала с версией Intel ME целевой системы, информацию о которой можно получить, например, воспользовавшись ME analyzer:
Проверять текущее состояние Intel ME можно при помощи утилиты MEinfo, которая через Management Engine Interface (MEI) получает информацию о работе этой подсистемы:
Напомним, что MEI является интерфейсом для связи основного CPU с подсистемой Intel ME и представляет собой набор регистров в конфигурационном пространстве PCI и в MMIO. Команды этого интерфейса не документированы, как и сам протокол.
Flash Image Tool
На старых платформах (Intel ME версии 5.x и ниже) выключить данную подсистему можно, воспользовавшись Flash Image Tool (утилита из STK, предназначенная для сборки образов SPI флэш-памяти из отдельно взятых регионов BIOS, ME, GbE). При сборке задаются параметры, которые прописываются в этих регионах и в регионе Flash Descriptors. В последнем есть один очень интересный флаг, «ME disable»:
Таким образом, для выключения Intel ME на целевой компьютерной системе, в её SPI флэш-память следует записать (программатором) новый образ с выставленным флагом «ME disable».
Работает ли этот способ, нам неизвестно. Но звучит правдоподобно, учитывая, что ME-контроллер в тех версиях интегрировался только в чипсеты линейки Q, т.е. был не обязательным компонентом для всех платформ.
Flash Programming Tool
Начиная с Intel ME 9 версии, в утилиту Flash Programming Tool, предназначенную для программирования SPI флэш-памяти компьютерных платформ, была добавлена возможность временно выключать Intel ME:
Выключение выполняется отправкой команды в MEI. После отработки Intel ME не подаёт «признаков жизни», не отвечает даже MEI:
Согласно документации, в таком состоянии подсистема Intel ME находится до следующего запуска компьютера или перезагрузки.
На vPro-платформах возможность отправки этой команды есть и в более ранних версиях. Для этого необходимо воспользоваться разделом конфигурирования ME/AMT в BIOS, где должна быть опция «Intel ME disable»:
[рисунок взят отсюда]
Нельзя говорить о том, что этот способ позволяет полностью отключить Intel ME, хотя бы потому, что до момента принятия команды на отключение ME-контроллер успеет загрузиться, а значит, выполнить некоторую часть кода прошивки.
Несмотря на то, что Intel ME не подаёт «признаков жизни» после этой операции, неизвестно, может ли эту подсистему заново включить какой-нибудь сигнал извне. Также неясно, насколько Intel ME выключена.
Принудительное выключение Intel ME
В интересах исключения возможности исполнения ME-контроллером кода прошивки, логично попробовать ограничить ему доступ к ней. А что? Нет кода – нет проблемы.
Проанализировав документацию, которая прилагается к STK, и, немного подумав, мы предположили, что это можно сделать следующими способами.
1. Вырезать (обнулить) ME регион из SPI флэш-памяти.
Те, кто пробовал так делать сообщают о том, что их платформа либо не загружалась без наличия подлинной прошивки ME, либо выключалась ровно после 30 минут работы.
Отказ компьютерной системы грузиться без прошивки Intel ME можно объяснить важностью ME-контроллера в процессе инициализации аппаратной составляющей. А 30-минутный таймаут наводит на мысль о WDT (Watch Dog Timer).
Таким образом, ME-контроллер не получит доступ к своему региону, и, следовательно, не будет исполнять прошивку.
С одной стороны, ME-контроллер так же, как и в предыдущем случае, может препятствовать нормальной работе компьютерной системы. С другой стороны, не дескрипторный режим включает т.н. manufacturing mode, который используется вендорами в отладочных целях, и есть шанс, что система запустится.
3. Известно, что прошивка Intel ME распаковывается в выделенную и скрытую от основного CPU область оперативной памяти – ME UMA. Выделение и блокировку этой области осуществляет BIOS во время конфигурирования карты памяти. Тогда почему бы не вырезать эти фрагменты кода из BIOS, чтобы данная область не выделялась. Тогда прошивка ME не будет распаковываться и исполняться.
Проведённые эксперименты показали, что такой способ тоже не годится, и система не запускается. К тому же, у ME-контроллера есть внутренняя SRAM, которая используется при недоступности ME UMA. Поэтому часть прошивки всё равно будет исполняться.
Вывод
Очевидно, что некоторые предложенные решения влекут за собой неработоспособность компьютерной системы, остальные не дают никакой гарантии того, что подсистема Intel ME действительно выключена. В связи с этим, мы пришли к выводу, что полностью выключить Intel ME крайне сложно.
Вероятно, это связано с тем, что, отключая Intel ME, мы нейтрализуем важный компонент в архитектуре компьютерной системы. Например, без ME некому будет решать важные системные задачи вроде ACPI или ICC (которые когда-то реализовывались в BIOS). Чтобы заставить платформу стабильно работать без ME, как минимум, необходимо вернуть реализацию этих технологий в BIOS.
Так или иначе, вопрос о том, как отключить Intel ME без потери работоспособности компьютерной системы, остаётся открытым.
Intel ME driver что это за программа?
Intel ME driver — не программа, а драйвер для работы аппаратных датчиков. Например скорость вращения вентилятора. Также возможно необходим для разгона процессора — у некоторых пользователей выскакивала ошибка Please install intel ME driver to enable CPU overclock, что означает установите драйвер Intel ME для включения опции разгона процессора.
На заметку. Как правило, подобные драйвера устанавливаются автоматически при помощи центра обновлений Windows. Вручную стоит устанавливать только при возникновении проблем. Отсутствие драйвера не вызовет критических ошибок, однако Интел рекомендует все таки устанавливать.
Полное название — Intel Management Engine
Удалось выяснить — драйвер нужен для подсистемы, которая встроенная почти во все чипсеты процессоров Intel с 2008 года. Подсистема состоит из:
Management Engine функционирует всегда, даже когда ПК выключен — в таком случае источником энергии служит:
Сама компания Интел заявляет — подсистема ME необходима для максимальной производительности. При этом принцип работы нигде не описан, а исходный код закодирован.
Компания AMD также создала свою технологию в 2013 году — AMD Secure Technology (ранее называлась Platform Security Proccessor).
Не стоит путать технологию ME с AMT, которая хоть и основана на ME, но доступна только для процессоров с технологией vPro. При помощи AMT можно удаленно включать ПК или выключать, и даже устанавливать операционку.
Интересно — ME отключить никак нельзя в отличии AMT.
В теории, возможно что отказ от установки драйверов ME может отключить технологию, либо ограничить ее работу.
Оказывается, что ME отключить нельзя. Без этой технологии процессор НЕ сможет загрузиться. Все существующие методы отключения максимум что могут сделать — заставить технологию неправильно работать после включения. В таком состоянии функции не выполняются, однако встроенный микропроцессор дальше продолжает работать.
Все способы отключения не приветствуются и являются потенциально опасными.
Некоторые производители ноутбуков решили попробовать отключить ME. Так как корректного отключения все равно нет, то все это несет сомнительную пользу.
Интересно, но в некоторых современных биосах под материнки AMD уже есть опция отключения AMD Secure Technology (аналог Intel ME).
Intel Management Engine Components (IMEC)
Данное ПО устанавливает необходимые для корректной работы компоненты:
| Компонент | Краткое описание |
|---|---|
| Management Engine Interface | Для работы интерфейса ME. |
| Dynamic Application Loader | Предположительно работает под процессом jhi_service.exe. Вроде технология защиты, представляет базовые службы связи. Необходима для обеспечения аппаратного решения безопасности. |
| Identity Protection Technology (IPT) | Комплект технологий для проверки подлинности онлайн-доступа. Обеспечивает надежный уровень безопасности на предприятиях и веб-сайтах. В некотором смысле является альтернативной SMS аутентификации. Также включает в себя Intel Authenticate и Protected Transaction Display (PTD). |
| Manageability Engine Firmware Recovery Agent | Работает предположительно под процессом updateui.exe, который запускается из: |
C:\Program Files (x86)\Intel\Intel(R) Update Manager\bin
Данный компонент позволяет выполнять критические обновления безопасности микропроцессора. Вероятно имеется ввиду обновление прошивки ME.
C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\
Компонент представляет из себя службу локального управления. Имеет отношение к безопасности судя по полному названию — Management and Security Application Local Management Service. На офф сайте также указано название Intel Serial Over LAN.
Настройка в биосе — ME General Settings
Настройка ME General Settings предположительно может находиться в разделе MEBx Login. Содержит главные настройки ME, одна из которых — Change ME Password, служит для смены пароля удаленного управления (по умолчанию пароль admin).
Возможно данная настройка находится не в биосе, а в меню конфигурации Intel vPro.
На заметку. vPro — технология, позволяющая удаленно управлять ПК. Подразумевается в том числе и выключение, включение, открытие настроек биоса. В основе vPro выступают две технологии — удаленное управление мониторинга (Intel Active Management Technology, AMT) и виртуализация (Intel Virtualization Technology, VT)
Вывод
Исходя из всей вышеприведенной информации можно сделать вывод — пытаться отключить Intel ME нет смысла, официальных способов нет.
Отсутствие драйвера скорее всего не вызовет никаких критических проблем в работе Windows. Однако установить его все таки стоит, хотя бы из-за рекомендации Intel.
Учтите, что без ME у вас могут быть проблем с автоматической регулировкой оборотов вентилятора. В разгоне процессора также могут быть проблемы. Возможно драйвер имеет отношение к автоматическому сбросу частоты процессора в простое.
Что такое Intel® Management Engine?
Тип материала Информация о продукции и документация
Идентификатор статьи 000008927
Последняя редакция 09.11.2017
Intel® Management Engine — встроенный микроконтроллер (интегрирован в некоторые наборы микросхем Intel) под управлением операционной системы легкого микроядра, который предоставляет множество функций и служб для компьютерных систем на базе процессоров Intel®.
Какие функции выполняет Intel® Management Engine?
К функциям относятся (но ими не ограничивается):
Во время инициализации системы микроконтроллер Intel® Management Engine загружает свой код из системной флэш-памяти. Это позволяет Intel® Management Engine запускаться до запуска основной операционной системы. Intel® Management Engine имеет доступ к защищенной области системной памяти, находящейся на устройствах хранения данных для выполнения (в дополнение к небольшому количеству кэш-памяти микросхемы для более быстрой и эффективной обработки).
Важнейшей особенностью функции Intel® Management Engine является независимость состояния ее питания от состояний питания ОС компьютера. Эта функция позволяет ему работать, когда микропроцессор и многие другие компоненты системы находятся в состояниях глубокого сна. Поэтому Intel® Management Engine может быть полностью функционирующим компонентом сразу после включения питания системы. Эта возможность позволяет реагировать на внешние команды OOB с консоли ИТ-управления без необходимости пробуждения всей системы. Поэтому значительно снижается энергопотребление.
Безопасность прошивок на примере подсистемы Intel Management Engine
В предыдущей статье был описан ход исследования безопасности прошивок промышленных коммутаторов. Мы показали, что обнаруженные архитектурные недостатки позволяют легко подделывать образы прошивок, обновлять ими свитчи и исполнять свой код на них (а в некоторых случаях — и на подключающихся к свитчам клиентах). В дополнение, мы описали возможности закрепления внедряемого кода на устройствах. Подчеркнули низкое качество кода прошивок и отсутствие механизмов защиты от эксплуатации бинарных уязвимостей.
Мы обещали привести реальный пример сильной модели безопасности прошивок, где модификация исполнимого кода является очень нетривиальной задачей для потенциального злоумышленника.
Встречайте – подсистема Intel Management Engine, самая загадочная составляющая архитектуры современных x86-платформ.
Введение
Для начала, основательно разберёмся в предметной области. Что это такое, откуда и зачем появилось?
В 2005 году компания Intel представила Active Management Technology (AMT) версии 1.0 — решение для удалённого администрирования (управление, инвентаризация, обновление, диагностика, устранение неполадок и т.д.) и защиты десткопных компьютерных систем, своего рода аналог технологии Intelligent Platform Management Interface (IPMI), использующейся в серверах.
[рисунок взят отсюда]
А ещё этот микроконтроллер начинает работать при подаче питания на материнскую плату компьютерной системы (т.е. при подключении компьютера к электрической сети, ещё до того, как пользователь нажмёт кнопку Power).
Итак, Management Engine всегда включён, но использование возможностей AMT требует активации (подразумевает задание пароля, сетевых параметров,… ) в BIOS setup, а точнее в MEBx setup:
[скриншот взят отсюда]
Похвально, что дефолтный пароль («admin») при первом входе обязательно требуется изменить на новый, удовлетворяющий определённым требованиям: минимум 8 символов, среди которых должны присутствовать хотя бы одна цифра, одна заглавная буква и один спец. символ.
AMT 1.0 была реализована на интегрированном в южный мост чипсета (Input/Output Controller Hub, ICH) сетевом модуле Intel 82573E series Gigabit Ethernet Controller.
Затем, в 2006 году, начиная с AMT версии 2.0, микроконтроллер перенесли в северный мост чипсета (Graphics and Memory Controller Hub, GMCH). Именно тогда подсистему наименовали в Intel Management Engine (ME) версии 2.0.
[рисунок взят отсюда]
Одновременно с этим появился бренд Intel vPro, который обозначал комплекс реализованных на основе Intel ME технологий: AMT, Trusted Execution Technology (TXT) и Virtualization Technology (VT). Позже в этот список вошли Identity Protection Technology (IPT) и Anti-Theft (AT).
Тогда же Intel ME наделили ещё большим количеством впечатляющих возможностей, среди которых — полный доступ ко всему содержимому оперативной памяти компьютера через внутренний DMA-контроллер, а в дальнейшем появилась возможность мониторинга видеопотока, выводящегося на монитор (правда, только в случае использования встроенного графического ядра).
AMT тоже не стояла на месте и активно развивалась: изменялся состав используемых протоколов (например, добавилась поддержка HTTPS через порт 16993), в версии 6.0 для удалённого администратора появилась фича Remote Desktop, она же KVM (Keyboard Video Mouse), и прочее.
Подробнее про развитие Intel AMT можно почитать здесь.
Тем не менее, из-за высокой стоимости реализации, эта подсистема присутствовала, за несколькими исключениями, только на материнских платах с чипсетами Intel линейки Q: