Intel management engine

В этой статье я расскажу о чипсетах Intel и об их конфигурации.

  1. Ниже приведена блок схема типичной Intel конфигурации.
    Это ноутбук на платформе Intel i3, Intel i5 или Intel i7.
    Процессор на прямую работает с PCI Express и памятью.
    Также идет обмен с Intel Hub, который объединяет в себе выводы Display Port,pci express, аудио порты SATA, USB порты, а также работа с БИОС.
    Для корректной работы Intel Hub используется специальная микропрограмма, которая находится в БИОС и занимает примерно 1-1,5 мегабайта кода.
    Эта конфигурация поставляется производителями ноутбуков в стандартной конфигурации, которая при первом запуске конфигурируется под тот чиспсет, который используется на данной платформе.
    Если мы возьмем два одинаковых ноутбука и зальем один дамп с одного ноутбука на другой, к сожалению, работать корректно он не будет.
    У него может быть постоянные или повышенные обороты кулера, не корректная загрузка в этом будет виновата конфигурация этого чипсета.
    Этот чипсет называется ME region.
  2. Для того чтобы запустить дамп с одного ноутбука на втором нам надо отредактировать его ME region.
    Для работы дампа с БИОС я пользуюсь фирменной утилитой от Intel «flash image tool».
    У меня она в восьмой версии и работает и работает с чипсетами 6, 7 и С600 серии.
  3. В выпадающем списке мы можем увидеть чипсеты, которые она поддерживает.
  4. Открываем наш дамп.
    Эта утилита разбирает наш дамп на блоки.
    В ней мы можем увидеть наш ME region который нас интересует.
  5. Для того чтобы заменить его переходим на первую вкладку нажимаем два раза.
    В вышедшем окне нажимаем Да.
  6. После чего выбираем чистый ME region который нам нужен.
    Чистый ME region я скачал с интернета, он там, в свободном доступе он вырезан из чистого БИОСа какого-то ноутбука.
    После чего нажимаем ОК.
  7. Теперь нам осталось перекомпилировать сам БИОС.
    Смотрим, куда он нам сохраняет.
  8. Выбираем название.
    Нажимаем «сохранить» и нажимаем ОК.
  9. После чего собираем наш БИОС.
  10. Теперь мы можем увидеть у себя в папке тот БИОС, который мы получили с чистым ME region.
    Прошиваем ее в ноутбук и смотрим полученный результат.

    Видео смотрите ниже:

Если говорить просто — это отдельный процессор (или микропроцессор, контроллер, микроконтроллер — смысл один и тот же), встроенный в чипсет. В ранних версиях он встраивался в северный мост, а нынче, когда системы перешли на «одночипсетную» конфигурацию — можно смело говорить «просто в чипсет».


Intel® Management Engine (Intel® ME) — подсистема, встроенная в чипсет, предназначенная для различных задач связанных с мониторингом и обслуживанием компьютера во время сна, загрузки, а также в процессе его работы. Для корректной работы Intel ME потребуется драйвер, отсутствие которого приведёт к восклицательным знакам в «Диспетчере Устройств». Требуется ME для старта и первоначальной настройки материнской платы. Выход из строя Intel Management Engine (если плата/ноутбук при этом живы) чаще всего приводит к тому, что вентиляторы работают на полную катушку (без регулировки оборотов, чем в том числе и занимается Intel ME).

Кроме того, на базе ME реализованы другие технологии:

  • Intel AMT (удалённое администрирование/управление компьютером)
  • Intel AT (противоугонный модуль)
  • Intel SMB (урезанный/модифицированный вариант AMT для малого бизнеса)

Этот процессор «никак не связан» с Intel — это лицензированный у фирмы ARC International (многократно перекупленной, сейчас ею владеет фирма Synopsis на которую, в частности, и стоит перенаправленные с уже бывшего официального сайта www.arc.com) RISC-процессор (т.е. не x86-архитектура). 32-битный, характерный представитель семейства IP-процессоров — специально конфигурируемых «под заказчика», возможности/фичи которых можно задать самостоятельно. Прямой конкурент ставших так популярными в связи с развитием смартфонов-планшетов-андроидов, ARM-процессоров. Имеет все плюсы последних — крайне малое потребление, при этом достаточные для большинства «нужных задач» возможности, среди которых в том числе своя постоянная и оперативная память.

На базе этого процессора и работает Management Engine (просто ME дальше для краткости).

Для взаимодействия ОС с ME имеется MEIManagement Engine Interface. А для настройки ME в BIOS Setup есть MEBx (MEBIOS Extensions) — отдельный модуль, поставляемый для OEM-производителей либо встроенный в BIOS Setup подпункт (у случае EFI/BIOS от Intel). Для корректной работы MEI с ОС соответственно потребуется драйвер.

Рубрики: Система, Софт

Автор: admin | 27.04.2014 | Камменты: 1

Комментарии

Комментарий от Димон Айфон[ Май 29, 2016, 17:27 ]

так как им пользоваться-то?! комп прекрасно работает и без этого, от восклицательного знака подсовываешь heci.inf

Компания Intel опубликовала советы по безопасности, раскрывающие подробности уязвимости Intel-SA-00086, обнаруженной в микропрограмме Intel Manageability Engine (ME), в службах Server Platform Services (SPS) и в Trusted Execution Engine (TXE)

Данной проблеме безопасности подвержено несколько семейств процессоров Intel, включая 6, 7 и 8 поколение процессоров Intel Core, а также процессоры Intel Xeon, Intel Atom, Apollo Lake и Intel Celeron.

Уязвимость затронула системы, использующие микропрограммы Management Engine версий 11.0, 11.5, 11.7, 11.10 и 11.20, микропрограмму Server Platform Engine версии 4.0 и Trusted Execution Engine версии 3.0.

В случае успешной эксплуатации уязвимости злоумышленники могут получить несанкционированный доступ к незащищенным системам. Среди возможных сценариев атаки — запуск кода вне видимости операционной системы или контекста пользователя, что может привести к проблемам стабильности и сбоям, а также возможно влияние на достоверность аттестации локальных механизмов безопасности.

Компания Intel выпустила специальный инструмент для проверки систем на уязвимость.

Утилита работает в Windows 7 и выше, а также предусмотрена отдельная версия для Linux.

Скачать Intel-SA-00086 Detection Tool

Программа выполняет быстрое сканирование и возвращает результат проверки. Инструмент показывает, является ли система уязвимой, а также отображает версию прошивки.

Что делать, если система Intel уязвима?

Пользователи самостоятельно ничего не могут предпринять.

Intel отмечает, что производители устройств должны выпустить обновления для своих продуктов, которые исправляют уязвимость.

Это означает следующее: если вы пользуете компьютером или ноутбуком Dell, Lenovo, HP или другого производителя, то нужно подождать выхода официальных патчей.

Intel создала отдельную страницу поддержки. Информация на данной странице будет постоянно обновляться и добавляться. На данный момент уже доступны ссылки для компьютеров от Acer, Dell, Fujitsu, Lenovo и Panasonic.

Пользователи, которые собирали компьютер сами из различных компонентов, могут ожидать патчи от производителей материнских плат.

Примечание: некоторые производители могут так и не выпустить патчи для некоторых систем и материнских плат. В этом случае системы будут оставаться уязвимыми на протяжении всего жизненного цикла.

Отметим, что это уже не первая проблема с микропрограммой Management Engine. Ранее Фонд Электронных Рубежей (Electronic Frontier Foundation) уже обращался к Intel с просьбой предоставить возможность пользователям и системным администраторам ограничивать или отключать Management Engine.

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества

Добавить комментарий

Закрыть меню