英特尔ME有什么作用？

如题所述

Intel ME 是 Intel Management Engine 的简称 ，中文翻译为 英特尔管理引擎，Intel ME 是指 Intel 芯片中一个独立于CPU和操作系统的微处理器。ME里面有用于远程管理的功能，在出现严重漏洞的时可以在不受用户操控下远程管理企业计算机。
官方介绍
intelME（英特尔管理引擎） 是一个嵌入式微控制器 (集成在一些英特尔芯片组上)，它运行着一个轻量级微内核操作系统，为英特尔 processor–based 计算机系统提供各种功能和服务。

功能
功能包括（但不限于）：
低功耗、带外(OOB)管理服务
能力许可服务(CLS)
防盗保护
受保护的音频视频路径(PAVP)
在系统初始化时，ME 从系统闪存中加载其代码。这允许 ME 在主操作系统启动之前启动。对于运行时数据存储，ME 可以访问受保护的系统内存区域（除了少量的芯片缓存内存，以便更快、更高效地处理）。
ME 的基本功能是它的电源状态与主机 OS 电源状态无关。当微处理器和系统的许多其他组件处于更深层次的休眠状态时，此功能允许它出现。因此，只要将电源应用于系统，ME 就可以是一个完全功能的组件。此功能允许它从 it 管理控制台响应 OOB 命令，而不必唤醒系统的其余部分。因此，功耗大大降低。
出现原因

Intel Huron River 平台之后的南桥芯片叫PCH（Platform Controller Hub），intel 为 PCH 开发一个程序（intel Management Engine）主要用于管理 PCH 与其他固件之间的协调沟通作用，以让系统达到最高性能和最协调的效用。
ME 驱动一般会与 BIOS/EC 程序打包在一起，通过 Flash BIOS（快闪存储器）进行升级。
ME 是一个有别于CPU的独立系统，本身其实就是一大堆固件代码实现的功能，比较关键的是 ME 里面有用于远程管理的功能，它可以在不受用户操控下远程管理企业计算机。
出现原因
Intel Huron River 平台之后的南桥芯片叫PCH（Platform Controller Hub），intel 为 PCH 开发一个程序（intel Management Engine）主要用于管理 PCH 与其他固件之间的协调沟通作用，以让系统达到最高性能和最协调的效用。
ME 驱动一般会与 BIOS/EC 程序打包在一起，通过 Flash BIOS（快闪存储器）进行升级。
ME 是一个有别于CPU的独立系统，本身其实就是一大堆固件代码实现的功能，比较关键的是 ME 里面有用于远程管理的功能，它可以在不受用户操控下远程管理企业计算机。[1]
结构设计
这个子系统主要由运行在一个单独的微处理器上的专有固件组成，可以在操作系统开机启动时执行一些任务，无论彼时计算机是在运行或是休眠。只要芯片或系统级芯片（SoC）连接到当前系统（通过电池或电源），即使当前系统是关机状态，它依然会持续运行。英特尔声称管理引擎需要用来提供完整的性能。其确切工作很大程度上是没有记录的，它的代码使用直接存储在硬件中的机密哈夫曼表进行混淆，因此固件不包含解码其内容所需的信息。英特尔的主要竞争对手AMD在其2013年后的几乎所有的CPU中都加入了等效的AMD安全技术（正式名称为平台安全处理器）。[4]
软件接口
Intel MEI（Intel Management Engine Interface）又称英特尔管理引擎接口，是Intel针对其芯片组推出的一款芯片热能管理驱动，该驱动程序主要为 intel ME 提供软件接口。
与AMT的关系
管理引擎经常与Intel主动管理技术（Intel AMT）混淆。AMT基于ME，但仅适用于使用vPro的处理器。AMT使计算机拥有者能够远程管理他们的机器，例如打开关闭计算机以及重新安装操作系统。[5]然而自2008年以来，ME本身就被嵌入到所有英特尔芯片组中，而不仅仅是那些具有AMT的芯片组。虽然AMT可以不由计算机拥有者监管，但没有官方文档化的方式来禁用ME。[6][7]
安全性问题
问题缘由
intel ME 是一个自主运行的子系统，自2008年起被纳入几乎所有的英特尔处理器芯片。[4]它是英特尔主动管理技术的一部分，它允许系统管理员远程执行机器上的任务。如果公司购买英特尔主动管理技术软件并配置其机器使用它系统管理员可以打开和关闭计算机，无论是否安装了操作系统，他们都可以远程访问计算机。[7]
专家抨击
电子前沿基金会（EFF）和安全专家达米恩·扎米特（Damien Zammit）等抨击者指责ME是一个后门和一个隐私隐患。[8]扎米特强调，ME可以完全访问存储器（没有父CPU具有任何知觉）；可以完全访问TCP/IP堆栈，并可以独立于操作系统发送和接收网络数据包，从而绕过其防火墙。[9]对此英特尔回应“英特尔不会在产品中放置后门，也不会让我们的产品在没有最终端用户的明确许可情况下允许英特尔控制或访问计算系统”中立性有争议的作品和“英特尔没有也不会设计进入其产品的后门。最近的报道声称是有误导性和公然虚假的。英特尔并不会努力去降低其技术的安全性。”[10]
英特尔官方回应
2017年5月1日，英特尔在其管理技术中确认了远程特权漏洞（SA-00075）。[11]每个采用英特尔标准管理，主动管理技术或小型企业技术的英特尔平台，从2008年的Nehalem微架构到2017年的Kaby Lake微架构，都有一个可远程利用的安全漏洞。[12][13]有几种方法可以在未经授权的情况下禁用ME，但这可能会导致ME的功能被破坏。ME中这些附加的重大安全缺陷影响了相当数量的集成了TXE（Trusted Execution Engine）和SPS（Server Platform Services）固件的计算机，从2015年的Skylake微架构到2017年的Coffee Lake微架构，这些缺陷都已在2017年11月20日被Intel确认（SA-00086）。[6]不同于SA-00075，这个缺陷甚至是在AMT不存在或没有配置，或者ME被任何已知的非官方方法“禁用”的情况下依旧存在。[4][14]2018年7月，披露了一组漏洞（SA-00112）。[15]2018年9月又发布了另一个漏洞（SA-00125）。[16]
网络舆论
ME中存在高危级别安全漏洞，攻击者可以利用该漏洞进行英特尔产品系统的远程控制提权。[1]
据一位业内人士介绍：“（ME）其实并不是什么秘密。10几年前做Bios的时候就有（ME），Bios代码做好后要用Intel的ME工具把Bios和ME固件一起打包，然后烧到Bios芯片里，那时候ME固件已经有4兆大了，Bios才2兆......（ME）漏洞一直有，有人研究就能找到漏洞”。[1]
对于ME存在的漏洞，国外科技曝料网站Semiaccurate表示：5年前就开始向英特尔公司提这个漏洞，英特尔公司10年来对该漏洞不屑一顾。[1]

温馨提示：答案为网友推荐，仅供参考

当前网址：http://00.wendadaohang.com/zd/DeZInDI0DZ0TTBrZjBB.html