Intel r management engine software что это - TurboComputer.ru
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд (пока оценок нет)
Загрузка...

Intel r management engine software что это

Intel r management engine software что это

Добавление от 12.04.2019 20:40:

Рассказываю, попробовал инсталить – данный инсталлер устанавливает три компонента:
– Intel Management Engine Interface
– Local Management Service
– Intel Trusted Connect Service

Перезагрузки не требует.

После чего в системе в списке Services появляются четыре службы (две активные) которых небыло раньше:

Intel Capability Licensing Service TCP IP Interface
Intel Dynamic Application Loader Host Interface Service (Running)
Intel Management and Security Application Local Management Service (Running)
Intel TPM Provisioning Service

Версия драйвера ME устройства в диспетчере устройств не меняется.

Вобщем, я продолжаю непонимать – необходимо это ставить или нет . Т.е. вопрос по прежнему актуален.

5. vanpetr , 13.04.2019 06:23
PEF810
АИДА то что показывает? Версия у IME 11 я, на Z390 12я.
6. PEF810 , 13.04.2019 07:18
vanpetr аида показывает тоже что и девайс менеджер Driver Version 1815.12.0.2021 ) Только основной вопрос всёж о другом. )
7. vanpetr , 13.04.2019 21:17
PEF810
Так IME в биосе, не версия драйвера виндовс, а сама версия IME в биос.
8. Skunks , 13.04.2019 21:56
PEF810
ntel Management Engine Interface [source=9:69548:4]

vanpetr
ME в биосе, не версия драйвера виндовс, а сама версия IME в биос [source=9:69548:7]

К сообщению приложены файлы: 1.png, 770×261, 54Кb

9. PEF810 , 14.04.2019 00:30
vanpetr
Skunks
Ок понял.

Так ставить то надо данную софтину или нет ? Ктонибудь имеет какие либо мысли на этот счёт ?
В чём её польза ктонибудь может обьяснить ? (ни польза IME, а конкретно данной программы с её запускающимися службами).

10. Skunks , 14.04.2019 07:14
PEF810
ставить [source=9:69548:9]надо данную софтину [source=9:69548:9]

11. vanpetr , 14.04.2019 07:15
PEF810
Это встроенный в чипсет микропроцессор, имеющий доступ ко всем компонентам ПК и работающий на собственной СО что и есть IME. Если говорить в чем польза – поддержка процессоров, режимов их работы, латания дыр уязвимостей.
12. Yakety_Sax , 14.04.2019 07:22
vanpetr
Если говорить в чем польза – поддержка процессоров, режимов их работы, латания дыр уязвимостей. [source=9:69548:11]
Насколько мы знаем из новостей, Spectre, Meltdown и Spoiler можно заделать лишь новыми архитектурами процессоров)
13. nino76 , 14.04.2019 11:38
PEF810
В гугле инфа разнится, ктото говорит что надо ктото наоборот что лучше ненадо. [source=9:69548:0]

В полной версии(70мб) доступен инструментарий удаленного управления по средствам расширенного ME(5мб) который присутствует только в B и Q чипсетах, установка полной версии на H и Z чипсеты ничего нового вам не даст, но так же и не навредит, просто место займет+отожрет памяти оперативной немного своими службами.

Но странно версия драйвера 1815 (2018 года), в то время как на сайте асуса версия 1828 (2019 года). Обновления винды все последние. Так получается есть смысл ставить его вручную ? [source=9:69548:4]

Вообще не заморачивайтесь по поводу версии, если уж очень хочется последнюю то вот тут https://m. z/#!GddDUKhb!C7Zr2_TDXPKpKyfCAaSLG7S9Zg8EcUoshIbcq10uFac последняя текущая версия v1910.12.0.1239 но сам драйвер и его версия не играет совершенно никакой роли, если уж заморочились на эту тему то пользы больше будет если обновите саму ME прошивку, наверняка она у вас древняя

Добавление от 14.04.2019 11:33:

Точнее даже так, обновление ME прошивки в ручную вам тоже никаких видимых изменений не даст, за очень редким иногда исключением, и то если вдумчиво мониторить всевозможные режимы работы всех датчиков(температура процессора без нагрузки, скорость работы вентиляторов, вольтаж процессора в нагрузке и в покое и тд) и не факт что эти изменения будут, НО возможны Но у вас так понимаю подход такой – раз драйвер более свежий, то наверное там ЧТО ТО улучшили – разочарую – нет, сам драйвер содержит только inf и Sys файл, который по сути является “мостиком” взаимодействия винды и аппаратной ME части. В новых версиях просто добавлены взаимодействия с более новыми ME прошивками. А вот касаемо более новой прошивки ME подход “раз вышла более новая то то наверное там ЧТО ТО улучшили” вполне подходит. Главное не пытаться прошить например 11 версию ME 12ой, на самом деле родной прошивальщик и не даст, но при большом стремлении и слабоумии это возможно Этого делать не стоит, т к эти версии имеют разную аппаратную часть, т е 11 версию ме нужно обновлять 11 но с более высокими циферьками(11.8.65.3572 как пример, но не выше 11.8, т к 11.11 идет уже для 299 чипсетов) а 12 – 12ой. Там тоже есть свои ньюансы т к есть версии ме мобильные, есть расширенные, есть обычные, но при желании разобраться не сложно

Intel Management Engine Interface — что это?

Приветствую друзья. Сегодня мы поговорим про некое системное устройство, информации о котором в интернете мало, а дровишки часто ставятся автоматом виндой при обновлении. Постараюсь все написать простыми словами.

Intel Management Engine Interface — что это такое?

Обеспечивает работу некоторых функций: отключение экрана через заданное время, уход в спящий режим тоже через определенное время, и некоторые другие опции железа, которые можно задавать/изменять из под Windows. Драйвер на данное устройство винда ставит автоматом.

Теперь немного официальной информации.

Некая подсистема, встроенная в чипсеты процессоров Интел с 2008 года. Состоит из софта — прошивки и микропроцессора, который эту прошивку исполняет.

Интел говорит, что данная система нужна для обеспечения максимальной производительности, но при этом принцип работы — недокументирован, а исходный код (видимо прошивки) — закодирован.

Компания АМД тоже в свои процы встраивает аналогичную систему AMD Secure Technology.

Еще в Intel Management Engine была найдена уязвимость, при помощи которой возможно было удаленное использование. Не хочу углубляться, главное понимать, что скорее всего уязвимость устранена, думаю при помощи новых драйверов. Хм, уязвимость нашли в 2017 году, при том что данная подсистема встроена в процах начиная с поколения Nehalem, а это 2008 год.. у меня как раз проц от Интел, поколение Haswell (2013) — никогда никаких взломов или вирусов не было.. Может быть Microsoft тоже какое-то обновление создало для устранения уязвимости.

Также вот читаю, что есть слухи — при помощи подсистем Imtel MEI и AMD PSP спецслужбы могут внедрятся в каждый компьютер, подключенный к сети. И что даже таким способом взламывались компьютеры известных политиков..

Собственно то самое устройство, но только здесь — в семерке:

Как быстро запустить диспетчер устройств: зажимаете Win + R, пишите команду devmgmt.msc, нажимаете ОК и вуаля!

Зачем нужно Intel Management Engine?

На одном сайте нашел инфу, что подсистема нужна для различных задач связанных с:

  1. Мониторингом и обслуживанием режимов работы ПК, например включение/выключение, спящий режим (или гибернация, вечно путаюсь). А в Windows XP еще был ждущий, в десятке вроде два режима — ждущий и спящий сделали в одном и назвали гибернация.. но могу ошибаться, вечно в этом путаюсь..
  2. Имеет отношение к скорости работы вентиляторов. Возможно имеется ввиду автоматическая регулировка скорости.

То есть, можно сделать вывод, что нужно для.. внутренних аппаратных процессов материнской платы и ее взаимодействия с другими устройствами. По факту мы работу Intel Management Engine не видим. Однако это — устройство, оно требует драйвера, который устанавливается виндой автоматом (скорее всего при первом обновлении). Можно также установить и вручную, скачав его с офф сайта материнской платы… или с сайта Интел, точно не скажу.

Intel Management Engine Interface — нужно ли устанавливать?

Если установилось — хорошо.

Нет — ничего страшного.

Устройство системное и узконаправленное, винда должна сама установить дрова на него. Если нет, то можно скачать, поставить, хотя опять же — на чистой винде без хлама и вирусов данный драйвер должен установиться автоматом.

На форумах также читал, что само устройство Intel Management Engine будет работать и без драйвера, который нужен только для доступа к функционалу Intel Management Engine. В плане функционала.. например там есть некие возможности удаленного администрирования..

Некоторые пользователи не ставили этот драйвер принципиально и все у них работало нормально.

Заключение

Ребята, кое-как мы немного разобрались:

  1. Intel Management Engine Interface — драйвер для таинственного устройства, которое нужно.. например для отключения экрана через указанное время.
  2. Удалять не нужно. Собственно как и вручную устанавливать — винда должна ставить сама при обновлении (она его качает со своих серверов, где собрано куча драйверов).

Добавить комментарий Отменить ответ

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.

Intel Management Engine Components. Что это и зачем нужно?

Многие пользователи после установки Windows 10 сталкиваются с необходимостью установки актуального драйвера для Intel Managemet Engine Components. Что это такое, и действительно ли оно так необходимо компьютеру? Ответ на этот вопрос подразумевает изучение огромного количества информации. В том числе, технической документации. Поэтому в данной статье все объяснено простым языком, доступным каждому пользователю. Сначала стоит разобрать историю возникновения этого компонента, а потом поговорить о его предназначении.

История создания Intel ME Components

Производитель процессоров под брендом Intel начал внедрять этот компонент в изделия еще в 2008 году. Тогда эта технология казалась инновационной. Примерно в то же время в AMD запустили аналог, который назвали AMD Secure Technology. У синего бренда все шло отлично. Хотя не было предоставлено никакой вменяемой документации по данной технологии.

Так продолжалось вплоть до 2017 года. И как раз в этом году один хакер выявил серьезную уязвимость в Intel Management Engine Components. Что это за уязвимость? Можно сказать, что некий нехороший дядя при помощи специального кода мог заставить данный компонент открыть доступ к процессору. В итоге можно было управлять ЦП удаленно.

Это была пресловутая ошибка Spectre Meltdown. В свое время она наделала много шума. Генеральный директор “Интел” с перепугу даже продал контрольный пакет акций компании, чем привел в панику все инвестиционные компании в купе с биржами. Но все обошлось, хотя репутация у “Интел” оказалась подмоченной.

Последствия уязвимости в Intel ME

Естественно, скандал был неслыханный. “Интел” пришлось долго оправдываться, зализывать раны и извиняться. Но главное – эта оплошность заставила синих предоставить сменяемую документацию об Intel Management Engine Components. Что это за технология такая, стало понятно. Также стало понятно, почему получилось взломать систему защиты.

После эпического провала “Интел”, ребята из АМД начали тестировать свою систему, ведь она была основана на наработках Intel Management Engine Components. Что это за уязвимость – они понятия не имели, но и в чипах от АМД со временем была обнаружена ровно такая же уязвимость. Но они успели ее оперативно заштопать и избежать скандала. Это позволило красному бренду занять лидирующие позиции на рынке процессоров. Главное – теперь можно понять, что представляет собой данный компонент.

Что такое Intel ME Components?

Итак, Intel Managemet Engine Components. Что это такое? По сути, это небольшой микрочип, который внедряется в процессор и регулирует его работу. Сами драйверы нужны для того, чтобы обеспечивать адекватную работу этого компонента. Ранее эта микросхема внедрялась в материнские платы. Но с тех времен, как большинство компьютеров перешли на одночиповую систему, микросхема стала внедряться в сами центральные процессоры. По мнению “Интел”, такое положение вещей должно было повысить безопасность компьютера.

Кстати, о безопасности: у “Интел” были все основания думать, что МЕ способна защитить компьютер от различных атак. Дело в том, что МЕ управляет работой центрального процессора в различных режимах, даже при полностью выключенном компьютере. И именно эта технология отвечает за удаленное управление процессором. Задумка хорошая, но проблема в том, что сам компонент оказался дырявым.

За что отвечает Intel ME?

Программа Intel(R) Management Engine Components отвечает за правильную работу центрального процессора. Причем, имеется в виду не только включенный компьютер. Данная технология позволяет контролировать процессор и в том случае, если компьютер или ноутбук полностью выключены. Также компонент управляет работой процессора в режиме сна или в состоянии гибернации. В общем, этот компонент необходим, от него никуда не деться.

Также на базе Intel ME реализованы другие возможности. Так, к примеру, при помощи этой технологии осуществляется возможность удаленного управления компьютером, что весьма полезно для системных администраторов. Технология Intel AT (“противоугонный” модуль) тоже основывается на Intel(R) Management Engine Components. Совет: лучше установить необходимые драйвера и ни в коем случае не трогать настройки, иначе весь компьютер может выйти из строя.

Можно ли отключить Intel ME?

Теперь стоит рассмотреть подробнее работу с Intel(R) Management Engine Components. Как отключить данную функцию? Обычному пользователю она абсолютно не нужна. Стоит сразу отметить, что полное отключение опции невозможно. Некоторые хакеры разработали методику блокирования отдельных элементов, но от этого никакого толка не будет. А если заняться этим самому, то ничего хорошего не выйдет. ПК просто откажется запускаться, ведь Intel ME контролирует работу центрального процессора.

Но что с драйверами Intel Management Engine Components? Можно ли отключить некоторые опции программно? Можно. Простым удалением драйвера вместе с сопутствующим программным обеспечением. Но в этом случае может упасть (и довольно существенно) общая производительность процессора. Также весьма вероятна неадекватная работа “камня” в режиме сна. Не стоит забывать и о гибернации. В общем, соответствующие драйверы можно удалить, но делать этого не рекомендуется.

Заключение

Итак, в данной статье рассмотрен Intel Management Engine Components. Что это весьма важная подсистема центрального процессора, уже понятно. Без нее нормальное функционирование чипа невозможно. Однако некоторые “очумелые ручки” активно ищут способы отключения данной технологии. Делать этого ни в коем случае не нужно, так как последствия этого действия могут быть непредсказуемыми. В худшем случае – пользователь лишится своей дорогостоящей машины. В лучшем – система безопасности просто не даст “вырубить” данный компонент. В любом случае, делать этого не нужно. Лучше установить все необходимые драйверы, поставить актуальное программное обеспечение и не трогать данную опцию ни под каким видом. Все равно нормальной работе процессора и всех компонентов системы она не мешает.

Безопасность прошивок на примере подсистемы Intel Management Engine

В предыдущей статье был описан ход исследования безопасности прошивок промышленных коммутаторов. Мы показали, что обнаруженные архитектурные недостатки позволяют легко подделывать образы прошивок, обновлять ими свитчи и исполнять свой код на них (а в некоторых случаях — и на подключающихся к свитчам клиентах). В дополнение, мы описали возможности закрепления внедряемого кода на устройствах. Подчеркнули низкое качество кода прошивок и отсутствие механизмов защиты от эксплуатации бинарных уязвимостей.
Мы обещали привести реальный пример сильной модели безопасности прошивок, где модификация исполнимого кода является очень нетривиальной задачей для потенциального злоумышленника.

Встречайте – подсистема Intel Management Engine, самая загадочная составляющая архитектуры современных x86-платформ.

Введение

Для начала, основательно разберёмся в предметной области. Что это такое, откуда и зачем появилось?

В 2005 году компания Intel представила Active Management Technology (AMT) версии 1.0 — решение для удалённого администрирования (управление, инвентаризация, обновление, диагностика, устранение неполадок и т.д.) и защиты десткопных компьютерных систем, своего рода аналог технологии Intelligent Platform Management Interface (IPMI), использующейся в серверах.


[рисунок взят отсюда]

Архитектура AMT 1.0 основывается на интегрированном в чипсет микроконтроллере (Management Engine), наделённому весьма впечатляющими возможностями, например:

  • внеполосный (out-of-band) доступ к сетевому интерфейсу (Ethernet), который он разделяет с основным CPU, но, имея собственный контроллер канального уровня, осуществляет мониторинг всего входящего сетевого трафика, из которого «вырезает» (при помощи Packet Filter) пакеты, предназначенные для него. Для ОС (наличие и состояние которой, кстати, на работу AMT никак не влияет) этот трафик уже не виден;
  • внутренний веб-сервер с TLS-шифрованием;
  • доступ к периферийному оборудованию, получение и хранение в энергонезависимой памяти (там же, где и его прошивка) информации о нём.

А ещё этот микроконтроллер начинает работать при подаче питания на материнскую плату компьютерной системы (т.е. при подключении компьютера к электрической сети, ещё до того, как пользователь нажмёт кнопку Power).

Итак, Management Engine всегда включён, но использование возможностей AMT требует активации (подразумевает задание пароля, сетевых параметров,… ) в BIOS setup, а точнее в MEBx setup:


[скриншот взят отсюда]

Похвально, что дефолтный пароль («admin») при первом входе обязательно требуется изменить на новый, удовлетворяющий определённым требованиям: минимум 8 символов, среди которых должны присутствовать хотя бы одна цифра, одна заглавная буква и один спец. символ.

После настройки AMT-совместимой компьютерной системы, удалённому администратору
становятся доступными сетевые функции (для их использования требуется ввод логина и пароля):

  • инвентаризация аппаратного обеспечения;
  • веб-интерфейс (по HTTP через порт 16992);
  • Serial Over LAN (SOL) – виртуальный COM-порт через сеть, позволяющий включать/перезагружать/выключать компьютер, получать доступ к меню BIOS setup;
  • IDE-Redirection (IDE-R) – опция перенаправления загрузки с локального загрузочного устройства на удалённое (предварительно подготовленный образ системы).

AMT 1.0 была реализована на интегрированном в южный мост чипсета (Input/Output Controller Hub, ICH) сетевом модуле Intel 82573E series Gigabit Ethernet Controller.

Затем, в 2006 году, начиная с AMT версии 2.0, микроконтроллер перенесли в северный мост чипсета (Graphics and Memory Controller Hub, GMCH). Именно тогда подсистему наименовали в Intel Management Engine (ME) версии 2.0.


[рисунок взят отсюда]

Одновременно с этим появился бренд Intel vPro, который обозначал комплекс реализованных на основе Intel ME технологий: AMT, Trusted Execution Technology (TXT) и Virtualization Technology (VT). Позже в этот список вошли Identity Protection Technology (IPT) и Anti-Theft (AT).

Тогда же Intel ME наделили ещё большим количеством впечатляющих возможностей, среди которых — полный доступ ко всему содержимому оперативной памяти компьютера через внутренний DMA-контроллер, а в дальнейшем появилась возможность мониторинга видеопотока, выводящегося на монитор (правда, только в случае использования встроенного графического ядра).

Постепенно на эту подсистему стали навешивать всё больше различных системных функций (некоторыми раньше занимался BIOS) для обеспечения работоспособности компьютерной платформы:

  1. часть функций Advanced Control and Power Interface (ACPI) и Alert Standard Format (ASF);
  2. Quiet System Technology (QST);
  3. Integrated Clock Control (ICC);
  4. Trusted Platform Module (TPM);
  5. .

и других технологий.

AMT тоже не стояла на месте и активно развивалась: изменялся состав используемых протоколов (например, добавилась поддержка HTTPS через порт 16993), в версии 6.0 для удалённого администратора появилась фича Remote Desktop, она же KVM (Keyboard Video Mouse), и прочее.

Подробнее про развитие Intel AMT можно почитать здесь.

Тем не менее, из-за высокой стоимости реализации, эта подсистема присутствовала, за несколькими исключениями, только на материнских платах с чипсетами Intel линейки Q:

GMCHICHME/AMT version
Q965ICH8ME 2.x (AMT 2.x)
GM965 / GME965 / GL960 / GLE960 / PM965ICH8MME 2.5.x (AMT 2.5.x)

Список литературы

1. A. Kumar, «Active Platform Management Demystified: Unleashing the Power of Intel VPro (TM) Technology», 2009, Intel Press.

2. Xiaoyu Ruan, «Platform Embedded Security Technology Revealed: Safeguarding the Future of Computing with Intel Embedded Security and Management Engine», 2014, APress.

Intel Management Engine (Intel ME)

Разработчики:Intel
Дата премьеры системы:2005/06/12
Технологии:Процессоры

Содержание

Intel Management Engine (Intel ME) – подсистема в составе систем на платформе x86, ориентированная на решение различных задач, связанных с мониторингом и обслуживанием компьютера во время его “сна” и в процессе работы.

Система Intel ME встроена во все современные компьютерные платформы с чипсетами компании Intel [1] : десктопы, ноутбуки, серверы, планшеты. Intel ME – единственная действующая система, которая:

  • работает, когда компьютер выключен (подается электричество на БП);
  • имеет доступ ко всему содержимому оперативной памяти компьютера;
  • имеет внеполосный доступ к сетевому интерфейсу.

Основной компонент Intel ME – встроенный в чипсет микроконтроллер с настраиваемой архитектурой. В качестве базовой модели используется 32-разрядный ARCtangent-A4.

Intel ME используется при старте ПК и первоначальной настройке материнской платы. Выход из строя Intel Management Engine или его принудительное отключение (при условии, что больше ничего не вышло из строя на плате или в ноутбуке) часто сказывается работой вентиляторов на максимальных оборотах и отсутствием изменения скорости, в зависимости от температуры охлаждаемых компонентов (в том числе и этим занимается Intel ME). Или компьютер не запускается, выключается после некоторого периода времени после старта [2] .

История

Найден «немыслимо простой» способ взлома ноутбуков на процессорах Intel

Исследователи фирмы F-Secure выявили серьезную проблему с технологией Intel Active Management Technology, благодаря которой злоумышленники могут обходить локальные средства авторизации на ноутбуках на базе процессоров Intel. Эксперты отмечают, что для эксплуатации этой уязвимости достаточно полминуты и никаких специализированных знаний не потребуется [3] .

Злоумышленнику потребуется физический доступ к интересующему его лэптопу. В процессе перезагрузки злоумышленнику достаточно зажать CTRL+P и войти в консоль управления Intel Management Engine BIOS Extension (MEBx). Как выясняется, в MEBx существует предустановленный пароль «admin», которого достаточно, чтобы поменять предустановленный пароль к BIOS, настроить удаленный доступ и выключить авторизацию AMT полностью.

Дальше злоумышленники могут удаленно проникать в компьютер жертвы через локальную сеть или из-за ее пределов с помощью CIRA-сервера (сервера удаленного доступа по запросу клиента).

«Атака до немыслимого проста в исполнении, но при этом обладает колоссальным деструктивным потенциалом, – заявил старший консультант по безопасности F-Secure Гарри Синтонен (Harry Sintonen). – На практике злоумышленник через локальную сеть может получить полный контроль над рабочим ноутбуком жертвы, какими бы обширными ни были принятые меры безопасности».

Intel устранила найденную Positive Technologies уязвимость в Management Engine

Компания Intel опубликовала в ноябре бюллетень безопасности [4] , в котором сообщила о выпуске патча для устранения уязвимости в подсистеме Intel ME, которая была обнаружена экспертами Positive Technologies Марком Ермоловым и Максимом Горячим. Также компания Intel опубликовала специальный инструмент, который поможет администраторам Windows и Linux-систем узнать о том, уязвимо ли их оборудование.

Intel Management Engine — это закрытая технология, которая представляет собой интегрированный в микросхему Platform Controller Hub (PCH) микроконтроллер с набором встроенных периферийных устройств. Через PCH осуществляется почти все общение процессора с внешними устройствами, поэтому Intel ME имеет доступ практически ко всем данным на компьютере. Исследователям удалось найти ошибку, которая позволяет выполнять неподписанный код внутри PCH на любой материнской плате для процессоров семейства Skylake и выше.

Например, злоумышленники могут атаковать компьютеры с уязвимой версией Intel ME, используя эту ошибку безопасности, и потенциально устанавливать в коде Intel ME `закладки` (например, шпионское ПО), которые большинство традиционных средств защиты не обнаружат. Т.к. `закладка` в этом случае будет функционировать на отдельном чипе, а не на CPU, на котором работают большинство ОС и традиционных средств защиты.

При этом основная система может оставаться работоспособной, таким образом пользователь может не подозревать о том, что на его компьютере функционирует шпионское ПО, устойчивое к переустановке ОС и обновлению BIOS.

В бюллетене безопасности Intel представлен полный список уязвимых процессоров:

  • Intel Core поколений 6, 7 и 8;
  • Intel Xeon E3-1200 v5 и v6;
  • Intel Xeon Scalable;
  • Intel Xeon W;
  • Intel Atom C3000;
  • Apollo Lake Intel Atom E3900;
  • Apollo Lake Intel Pentium;
  • чипы Celeron серий N и J.

Ошибки в процессорах

В нескольких сериях процессоров Intel выявлена ошибка, эпизодически приводящая к “падению” систем под управлением Windows и Linux. [5] Проблема затрагивает процессоры серии Kaby Lake, Skylake, Xeon v5, Xeon v6 и некоторые модели процессоров Pentium и Core X v6.

Ошибка была обнаружена разработчиком компилятора OCaml в прошлом году. О ней немедленно известили Intel, и производитель процессоров выпустил исправления в микрокоде и обновил документацию к процессорам Skylake и Kaby Lake, указав на существование проблемы.

В сложных микроархитектурных условиях короткие циклы, состоящие менее чем из 64 инструкций с использованием регистров AH, BH, CH или DH, а также соответствующих им более широких регистров (например, RAX, EAX или AX для AH), могут вызвать непредсказуемое поведение системы. Такое может произойти только когда оба логических процессора на одном физическом процессоре оказываются активны, говорится в документации (см., например, Errata SKZ7 для процессоров Core X [6] и Errata KBL095 для процессоров седьмого поколения [7] )

Разработчики Debian исследовали проблему и показали, что система может вести себя неадекватно, в диапазоне от некорректной работы отдельных приложений и до порчи и потери данных. В качестве промежуточной меры рекомендуется отключать многопоточность (Hyperthreading) на уровне BIOS/UEFI (что, однако, неизбежно приведёт к серьёзному падению производительности) и дождаться соответствующих обновлений от производителей компьютеров.

Стоит отметить, что ряд производителей систем на базе Linux уже успели распространить исправления для BIOS/UEFI, но пока непонятно, когда ждать исправлений от производителей компьютеров под Windows.

Ошибка не носит эпидемического характера, но даже её случайный характер создаёт определённую опасность для пользователей компьютеров на базе перечисленных процессоров. Особенно это касается систем, которые должны работать бесперебойно. Для них самым разумным решением на данный момент будет отключение технологии Hyperthreading.

Начиная с 2010 года с переносом части функциональных блоков северного моста (графическое ядро, контроллер памяти) в корпус CPU, Intel ME начали встраивать во все чипсеты производства Intel. При этом ME-контроллер остался в корпусе чипсета, в Platform Controller Hub (PCH) – чипсеты 5 серии и выше.

Эта подсистема встроена и в серверные платформы Intel, но под другим именем — Intel Server Platform Services (SPS). Произошло появление и в SoC (System-on-a-Chip) под именем Intel Trusted Execution Engine (TXE).

Архитектура каждой современной мобильной/портативной/настольной/серверной компьютерной платформы с чипсетом/SoC от Intel содержит в себе самую скрытную (от пользователя системы) и привилегированную среду исполнения — подсистему Intel ME. Разрабатывая эту архитектуру, компании Intel пришлось серьёзно потрудиться, чтобы защитить от компрометации.

Подсистема Intel ME – неотъемлемая часть архитектуры современных компьютерных платформ (на основе чипсетов/SoC Intel). Её компрометация предоставляет потенциальному злоумышленнику безграничные возможности контроля над платформой:

  • доступ ко всему содержимому оперативной памяти (системная память, память гипервизора, SMRAM, ACRAM, выделяемая память для графического ядра — GFX UMA),
  • out-of-band доступ к сетевому интерфейсу (мониторинг всего сетевого трафика),
  • удалённый контроль, как часть штатной функциональности AMT,
  • перезапись любых регионов SPI флеш-памяти.

При этом обеспечивается полное отсутствие возможностей обнаружения злоумышленника.

Intel ME защищена. Основные принципы этой защиты:

  • запрет на использование пароля по умолчанию, принуждение к установке сильного пароля (соответствующего определённым требованиям);
  • использование функций шифрования в сетевых протоколах;
  • контроль целостности и подлинности всего исполняемого кода прошивки;
  • механизмы защиты от эксплуатации бинарных уязвимостей.

В 2006 году микроконтроллер перенесли в северный мост чипсета (Graphics and Memory Controller Hub, GMCH). Тогда подсистему назвали Intel Management Engine (ME) версии 2.0.

В 2006 году в Intel ME добавили возможности:

  • полный доступ к содержимому оперативной памяти компьютера через внутренний DMA-контроллер,
  • мониторинг видеопотока на монитор (только в случае использования встроенного графического ядра).

Впоследствии на эту подсистему стали добавлять различные системные функции (некоторыми занималась BIOS) для обеспечения работоспособности компьютерной платформы:

  • часть функций Advanced Control and Power Interface (ACPI) и Alert Standard Format (ASF);
  • Quiet System Technology (QST);
  • Integrated Clock Control (ICC);
  • Trusted Platform Module (TPM);
  • .

2005: Active Management Technology (AMT) версии 1.0

В 2005 году компания Intel представила технологию Active Management Technology (AMT) версии 1.0 — решение для удалённого администрирования (управление, инвентаризация, обновление, диагностика, устранение неполадок и т.д.) и защиты настольных компьютерных систем, подобие технологии Intelligent Platform Management Interface (IPMI), использующейся в серверах.

Архитектура AMT 1.0 основана на микроконтроллере (Management Engine), интегрированном в чипсет, имеющий возможности:

  • внеполосный (out-of-band) доступ к сетевому интерфейсу (Ethernet), который он разделяет с основным CPU, но, имея собственный контроллер канального уровня, осуществляет мониторинг всего входящего сетевого трафика, из которого «вырезает» (при помощи Packet Filter) пакеты, предназначенные для него. Для ОС (наличие и состояние которой, кстати, на работу AMT никак не влияет) этот трафик уже не виден;
  • внутренний веб-сервер с TLS-шифрованием;
  • доступ к периферийному оборудованию, получение и хранение в энергонезависимой памяти (там же, где и его прошивка) информации о нём.

Микроконтроллер начинает работу с момента подачи питания на материнскую плату компьютерной системы от БП, до подключения компьютера к электрической сети и до запуска пользователем ПК.

Читайте также:  Удаление Xbox в ОС Виндовс 10
Ссылка на основную публикацию
Adblock
detector