[科普中國]-英特爾管理引擎接口

Intel Management Engine Interface（簡稱Intel MEI）又稱英特爾管理引擎接口，是Intel針對其芯片組推出的一款芯片熱能管理驅(qū)動。

簡介它是介于固件和系統(tǒng)驅(qū)動之間，類似于一種接口。通過這個接口，系統(tǒng)可以和固件之間相互作用，從而達到改善熱能管理的目的。1

使用維護如果未安裝該驅(qū)動，在設(shè)備管理器中將出現(xiàn)“PCI簡易通訊控制器”的黃色問號設(shè)備。該設(shè)備的硬件ID為：

PCI\VEN_8086&DEV_8C3A

PCI\VEN_8086&DEV_1E3A

PCI\VEN_8086&DEV_1CBA

PCI\VEN_8086&DEV_1C3A

PCI\VEN_8086&DEV_1DBA

PCI\VEN_8086&DEV_1D3A1

英特爾管理引擎英特爾管理引擎（Intel Management Engine 或 Intel Manageability Engine，縮寫為 Intel ME），是一個自主運行的子系統(tǒng)，自2008年起被納入幾乎所有的英特爾處理器芯片。這個子系統(tǒng)主要由運行在一個單獨的微處理器上的專有固件組成，可以在操作系統(tǒng)開機啟動時執(zhí)行一些任務(wù)，無論彼時計算機是在運行或是休眠。只要芯片或系統(tǒng)級芯片（SoC）連接到當前系統(tǒng)（通過電池或電源），即使當前系統(tǒng)是關(guān)機狀態(tài)，它依然會持續(xù)運行。英特爾聲稱管理引擎需要用來提供完整的性能。其確切工作很大程度上是沒有記錄的，它的代碼使用直接存儲在硬件中的機密霍夫曼表進行混淆，因此固件不包含解碼其內(nèi)容所需的信息。英特爾的主要競爭對手AMD在其2013年后的幾乎所有的CPU中都加入了等效的AMD安全技術(shù)（正式名稱為平臺安全處理器）。

管理引擎經(jīng)常與Intel主動管理技術(shù)（Intel AMT）混淆。AMT基于ME，但僅適用于使用vPro的處理器。AMT使計算機擁有者能夠遠程管理他們的機器，例如打開關(guān)閉計算機以及重新安裝操作系統(tǒng)。然而自2008年以來，ME本身就被嵌入到所有英特爾芯片組中，而不僅僅是那些具有AMT的芯片組。雖然AMT可以不由計算機擁有者監(jiān)管，但沒有官方文檔化的方式來禁用ME。

電子前沿基金會（EFF）和安全專家達米恩·扎米特（Damien Zammit）等抨擊者指責(zé)ME是一個后門和一個隱私隱患。扎米特強調(diào)，ME可以完全訪問存儲器（沒有父CPU具有任何知覺）；可以完全訪問TCP/IP堆棧，并可以獨立于操作系統(tǒng)發(fā)送和接收網(wǎng)絡(luò)數(shù)據(jù)包，從而繞過其防火墻。對此英特爾回應(yīng)“英特爾不會在產(chǎn)品中放置后門，也不會讓我們的產(chǎn)品在沒有最終端用戶的明確許可情況下允許英特爾控制或訪問計算系統(tǒng)”中立性有爭議的作品和“英特爾沒有也不會設(shè)計進入其產(chǎn)品的后門。最近的報道聲稱是有誤導(dǎo)性和公然虛假的。英特爾并不會努力去降低其技術(shù)的安全性?！敝辛⑿杂袪幾h的作品截至2017年，谷歌試圖從其服務(wù)器上刪除專有固件，但發(fā)現(xiàn)ME是一個障礙。

ME有幾個弱點。 2017年5月1日，英特爾在其管理技術(shù)中確認了遠程特權(quán)漏洞（SA-00075）。每個采用英特爾標準管理，主動管理技術(shù)或小型企業(yè)技術(shù)的英特爾平臺，從2008年的Nehalem微架構(gòu)到2017年的Kaby Lake微架構(gòu)，都有一個可遠程利用的安全漏洞。有幾種方法可以在未經(jīng)授權(quán)的情況下禁用ME，但這可能會導(dǎo)致ME的功能被破壞。ME中這些附加的重大安全缺陷影響了相當數(shù)量的集成了TXE（Trusted Execution Engine）和SPS（Server Platform Services）固件的計算機，從2015年的Skylake微架構(gòu)到2017年的Coffee Lake微架構(gòu)，這些缺陷都已在2017年11月20日被Intel確認（SA-00086）。不同于SA-00075，這個缺陷甚至是在AMT不存在或沒有配置，或者ME被任何已知的非官方方法“禁用”的情況下依舊存在。2

本詞條內(nèi)容貢獻者為:

王偉 - 副教授 - 上海交通大學(xué)