Главная » Советы и вопросы

Intel Management Engine Interface — что это. Intel management engine interface что это

Советы и вопросы
На чтение 10 мин Просмотров 80 Опубликовано
Intel management engine interface что это - Подсистему можно отключить, используя недокументированный режим Скриншот файлов архива Модули Intel ME Нейтрализация прошивки править | править код SA-00086 править | править код

Чтобы этого избежать, установите драйвер intel management engine interface с официального сайта производителя вашего ноутбука или материнской платы.

Содержание

Intel Management Engine

Intel® Management Engine (Intel® ME) — подсистема, встроенная в чипсет, предназначенная для различных задач связанных с мониторингом и обслуживанием компьютера во время сна, загрузки, а также в процессе его работы.

Так или примерно так, максимально скромно/официально объясняется смысл данной технологии Intel, цитата:

Если вас не устраивает такое обтекаемо-официальное объяснение — читаем далее «много букв».

Предыстория Intel Management Engine

Вынесено в отдельную статью: читайте (и смотрите в картинках) «Intel Management Engine — краткая предыстория».

Далее следовало бы написать аналогичную “предысторию Intel AMT” (и напишу), т.к. появление Intel МЕ неразрывно связано с AMT. Но это уже отдельная и ещё более объёмная тема, потому на подробностях, её касающиеся здесь останавливаться не будем.

Нулевые

Итак, после релиза первой версии ASF в 2001-м, сразу же начались работы над второй версией ASF, т.к. в первой даже не было шифрования. И если эту дырищу ещё можно было как-то заштопать (что и было сделано в некоторой степени во второй версии), то работа по UDP не подлежала лечению, т.к. являлась непреодолимым архитектурным наследием (плюс был ряд и других весомых недостатков). Потому параллельно в 2002-м году начались работы над собственным, исключительно “Intel-овским” решением (в отличие от открытых “management”-проектов типа IPMI/ASF/итп). Возможность создания “с чистого листа” позволяла нацелить его на самый перспективный и растущий тогда рынок — мобильных систем.

Также напомним, что за ситуация сложилась (начало нулевых) на уровне железа/чипсета. Приход PCI-E, SATA/AHCI, всё возрастающая интеграция функционала на плате, мобильная составляющая — всё это требовало введения всё новых специальных микроконтроллеров. Со стороны “management” аналогично — тот же контроллер ASF, с выходом очередной версии спецификации которого, её нужно было бы как-то обновлять. А если ещё и запланированный в разработку будущий контроллер AMT — это получается неуправляемый огород, надёжность которого бы сильно упала по очевидным причинам. Напрашивалось очевидное решение (несмотря на это его на всякий случай всё равно запатентовали) — вместо огорода “спецпроцессоров” ввести один настоящий “management”-процессор, на который можно было бы возложить всю сложную логику, а с периферией он бы общался посредством не столь продвинутых контроллеров. Это бы позволило и легко видоизменять схему и обновлять после производства/продажи. Так на материнской плате появился ещё один процессор, имеющий отдельное питание, работающий “параллельно” и обслуживающий всё железо за счёт выполнения на нём нужных приложений, обеспечивающих какой-то функционал (какие-то фичи). Такую схему работы после назвали и Intel ME.

ARC4

В качестве процессора для Intel ME был выбран весьма популярный в начале нулевых ARCtangent-A4 фирмы ARC, с которой у Интел был хороший уровень сотрудничества.

ARCtangent-A4 это 32bit-ный IP-процессор (т.е. с программируемой внутренней структурой) с RISC-архитектурой (т.е. “ARM”).

ARCtangent A4

Картинка из даташита на ARCtangent-A4 процессор (с.1)

Работал на частотах порядка 200МГц и поначалу данный процессор “путешествовал” по плате — в первых версиях он был и в южном мосте в качестве BMC для чипсета i5000/ESB2:

Intel BMC/AMT

Картинка из даташита «Intel® 631xESB/632xESB I/O Controller Hub»
(c.4 — с моей пометкой версии ME)

И был встроен в гигабитную сетевую карту Intel 82573E (Tekoa) в чипсете i945/ICH7:

Intel AMT1 - Tekoa

Картинка 3DNews.com с IDF 2006 (с моей пометкой версий МЕ)

Однако начиная с i965/ICH8 окончательно обосновался в северном мосте.

В 2006 году микроконтроллер перенесли в северный мост чипсета (Graphics and Memory Controller Hub, GMCH). Тогда подсистему назвали Intel Management Engine (ME) версии 2.0.

Зачем нужно Intel Management Engine?

На одном сайте нашел инфу, что подсистема нужна для различных задач связанных с:

  1. Мониторингом и обслуживанием режимов работы ПК, например включение/выключение, спящий режим (или гибернация, вечно путаюсь). А в Windows XP еще был ждущий, в десятке вроде два режима — ждущий и спящий сделали в одном и назвали гибернация.. но могу ошибаться, вечно в этом путаюсь..
  2. Имеет отношение к скорости работы вентиляторов. Возможно имеется ввиду автоматическая регулировка скорости.

То есть, можно сделать вывод, что нужно для.. внутренних аппаратных процессов материнской платы и ее взаимодействия с другими устройствами. По факту мы работу Intel Management Engine не видим. Однако это — устройство, оно требует драйвера, который устанавливается виндой автоматом (скорее всего при первом обновлении). Можно также установить и вручную, скачав его с офф сайта материнской платы… или с сайта Интел, точно не скажу.

Intel Management Engine Interface — нужно ли устанавливать?

Если установилось — хорошо.

Устройство системное и узконаправленное, винда должна сама установить дрова на него. Если нет, то можно скачать, поставить, хотя опять же — на чистой винде без хлама и вирусов данный драйвер должен установиться автоматом.

На форумах также читал, что само устройство Intel Management Engine будет работать и без драйвера, который нужен только для доступа к функционалу Intel Management Engine. В плане функционала.. например там есть некие возможности удаленного администрирования..

Некоторые пользователи не ставили этот драйвер принципиально и все у них работало нормально.

На ресурсе доступен свежий драйвер для всех современных версий ОС 32 и 64 бита (Виндовс 10, 8.1, 8, 7, Виста, XP). Для скачивания предлагается zip-архив, который после загрузки потребуется распаковать.

Альтернативные варианты установки драйвера Intel(R) Management Engine

Кроме сайта Интел, где вы можете скачать драйвер для IME, существуют также другие варианты для вашего ПК:

  • Установите все системные обновления для вашей ОС . В частности проследите, чтобы было установлено обновление KB2685811. Последнее доступно для загрузки с сайта Майкрософт;
  • Используйте программы для установки драйверов уровня «ДрайверПак Солюшн» . Последние устанавливают свежие драйвера к системным компонентам в полуавтоматическом режиме;
  • Используйте специализированные драйвера IME , представленные для компьютеров Sony и Vaio, Lenovo, Dell.

Ни один из двух обнаруженных методов отключения ME не способен быть эффективной контрмерой против уязвимости SA-00086 15 . Причина этого в том, что уязвимость находится в модуле ME, загружаемом на раннем этапе и необходимом для загрузки основного процессора 34 .

JTAG можно активировать и в мобильной версии ME

Intel TXE – это мобильная версия ME. Уязвимость INTEL-SA-00086 позволяет активировать JTAG для ядра подсистемы. Исследователи Positive Technologies разработали JTAG PoC для платформы Gigabyte Brix GP-BPCE-3350C platform. Эта утилита может быть использована для активации JTAG для Intel TXE.

В ходе исследования внутренней архитектуры Intel Management Engine (ME) 11-й версии Максим Горячий и Марк Ермолов сумели обнаружить механизм , отключающий эту технологию после инициализации оборудования и запуска основного процессора. Они выяснили, что несмотря на то, что полностью отключить ME на современных компьютерах невозможно, в подсистеме существует недокументированный режим под названием High Assurance Platform (HAP). Исследователям удалось обнаружить специальный HAP-бит, установка которого переводит Intel ME в режим отключения на ранней стадии загрузки.

Название High Assurance Platform носит программа по созданию доверительных платформ, связанная с Агентством национальной безопасности (АНБ) США. В сети доступна презентация с описанием программы. Вероятно, данный механизм был внедрен по просьбе правительственных служб США, которые стремятся уменьшить вероятность утечки данных по побочным каналам.

Недостатки безопасности ME поставили под угрозу MacBook

В июне текущего года Apple выпустила обновления , закрывающие уязвимость в ME под кодом CVE-2018-4251. На этот раз ошибка содержалась в компоненте Intel ME Manufacturing Mode – это сервисный режим работы, предназначенный для конфигурирования, настройки и тестирования конечной платформы на стадии производства. Этот режим позволяет задавать критически важные параметры платформы, хранящиеся в однократно записываемой памяти (FUSES). Он обязательно должен быть отключен перед поступлением оборудования в продажу и отгрузкой пользователю.

Ни этот режим, ни его потенциальные риски не описаны в публичной документации Intel. Обычный пользователь не имеет возможности выключить его самостоятельно, так как утилита для управления им из пакета Intel ME System Tools официально не доступна.

Уязвимость позволяет злоумышленнику с правами администратора получить несанкционированный доступ к критически важным частям прошивки, записать туда уязвимую версию Intel ME и через ее эксплуатацию тайно закрепиться на устройстве. В дальнейшем он сможет получить полный контроль над компьютером и осуществлять шпионскую деятельность, без малейшей вероятности быть обнаруженным.

Уязвимые чипсеты Intel используются во всем мире, от домашних и рабочих ноутбуков до корпоративных серверов. Ранее выпущенное Intel обновление не исключало возможность эксплуатации уязвимостей CVE-2017-5705, CVE-2017-5706 и CVE-2017-5707, так как при наличии у атакующего доступа на запись к ME-региону он всегда может записать уязвимую версию МЕ и проэксплуатировать уязвимость в ней.

С выходом Intel Series 5, где MCH (северный мост) и ICH (южный мост) объединились в PCH (“одночипсетная” конфигурация), а контроллер памяти вообще переехал в процессор — для Intel ME был использован ARC-процессор ARCtangent A5 с собственной памятью на борту.

Реакции править | править код

Компания Google, по состоянию на 2017 год, пыталась избавиться от проприетарных прошивок со своих серверов и обнаружила, что технология ME является препятствием на пути к этому 14 .

Реакция производителей процессоров AMD править | править код

Вскоре после исправления уязвимости SA-00086 производители материнских плат для процессоров AMD стали поставлять обновления BIOS, позволяющие отключить AMD Secure Technology 55 , схожую с Intel ME подсистему.

С большой вероятностью многие, кто хоть раз сам устанавливал операционную систему Windows и затем скачивал драйвера с официального сайта, заметил, что в списке драйверов присутствует некий intel management engine interface. О том, что это такое, за что он отвечает и нужно ли его устанавливать вы узнаете из этой статьи.

Intel management engine interface driver что это

Intel management engine interface в списке драйверов на сайте производителе ноутбуков Asus

За что отвечает драйвер intel management engine interface?

Прежде всего давайте разберемся с назначением данного драйвера. Intel management engine interface или сокращенно Intel ME представляет собой отдельную подсистему, которая отвечает за работу некоторых системных функций, среди которых контроль скорости вращения системных вентиляторов в зависимости от их температуры, обеспечение работы режимов энергосбережения, переходы в режим сна и многое другое.

Если вентиляторы вашего ноутбука или компьютера вращаются с одной постоянно высокой частотой, то это может быть последствием выхода из строя подсистемы Intel management engine interface, либо некорректной работы ее драйвера.

Данный драйвер является очень важным и обязателен к установке, так же, как и Intel Rapid Storage. Если этого не сделать, то в диспетчере устройств будет отображаться значок с восклицательным знаком, свидетельствующий о том, то подсистема Intel ME не функционирует должным образом.

Не установленный драйвер intel management engine interface

Если intel management engine interface не установить, то компьютер или ноутбук работать будут, но вот с некоторыми функциями ОС могут возникнуть проблемы.

Чтобы этого избежать, установите драйвер intel management engine interface с официального сайта производителя вашего ноутбука или материнской платы.

«Intel Management Engine» (в переводе «Двигатель управления Интел») – это автономная подсистема, которая с 2008 встраивается во все чипсеты от Intel. Обычно она находится в семействе микросхем «Platform Controller Hub», выполняющих роль южного моста.

Intel Management Engine Interface — нужно ли устанавливать?

Если установилось — хорошо.

Устройство системное и узконаправленное, винда должна сама установить дрова на него. Если нет, то можно скачать, поставить, хотя опять же — на чистой винде без хлама и вирусов данный драйвер должен установиться автоматом.

На форумах также читал, что само устройство Intel Management Engine будет работать и без драйвера, который нужен только для доступа к функционалу Intel Management Engine. В плане функционала.. например там есть некие возможности удаленного администрирования..

Некоторые пользователи не ставили этот драйвер принципиально и все у них работало нормально.

Оцените статью
© 2024 avto-dim.ru