[科普中國]-Intel主動管理技術

英特爾主動管理技術（英語：Intel Active Management Technology，縮寫AMT）是一個以硬件為基礎的遠程管理技術，它是Intel vPro技術的其中之一。這項技術主要是讓IT人員可以從通過帶外（OOB）的網(wǎng)絡連接來發(fā)現(xiàn)、修復和保護臺式機、筆記本電腦或服務器。

簡介英特爾主動管理技術（AMT）是用于個人計算機遠程帶外管理的硬件和固件技術，用于監(jiān)控，維護，更新，升級，并修復它們。帶外（OOB）或基于硬件的管理與基于軟件（或帶內(nèi)）的管理和軟件管理代理不同。

基于硬件的管理與軟件應用程序在不同的級別上工作，并使用與基于軟件的通信（通過操作系統(tǒng)中的軟件堆棧）不同的通信通道（通過TCP / IP堆棧）?；谟布墓芾聿灰蕾囉诓僮飨到y(tǒng)或本地安裝的管理代理的存在?；谟布墓芾碓谶^去基于英特爾/ AMD的計算機上已經(jīng)可用，但它主要限于使用DHCP或BOOTP進行動態(tài)IP地址分配和無盤工作站的自動配置，以及局域網(wǎng)喚醒（WOL） ）用于遠程供電系統(tǒng)。AMT本身并不打算使用;它旨在與軟件管理應用程序一起使用。它為管理應用程序（以及使用它的系統(tǒng)管理員）提供了對PC的訪問，以便遠程執(zhí)行在沒有遠程功能的PC上工作時很難或有時不可能執(zhí)行的任務內(nèi)置于其中。

AMT被設計到位于主板上的輔助（服務）處理器并使用TLS安全通信和強加密來提供額外的安全性。AMT內(nèi)置于采用Intel vPro技術的PC中，基于英特爾管理引擎（ME）。AMT已經(jīng)開始逐漸增加對DMTF桌面和系統(tǒng)硬件移動架構（DASH）標準的支持，AMT 5.1版及更高版本是針對帶外管理的DASH版本1.0 / 1.1標準的實現(xiàn)。AMT提供與IPMI類似的功能雖然AMT是專為客戶端計算系統(tǒng)而設計的，與典型的基于服務器的IPMI相比。

目前，AMT可用于配備英特爾酷睿博銳處理器系列的臺式機，服務器，超極本，平板電腦和筆記本電腦，包括英特爾酷睿i5，i7和英特爾至強處理器E3-1200產(chǎn)品系列。

英特爾于2017年5月1日在其管理技術中確認了遠程特權提升錯誤（CVE-2017-5689，SA-00075）。每個英特爾平臺均采用英特爾標準可管理性，主動管理技術或小型企業(yè)技術，Nehalem于2008年在Kaby Lake于2017年在ME擁有一個可遠程利用的安全漏洞。一些制造商，如Purism和System76已經(jīng)銷售硬件，禁用英特爾管理引擎以防止遠程攻擊。ME中的其他主要安全漏洞影響了大量包含管理引擎，可信執(zhí)行引擎的計算機，以及2017年Skylake至2017年Coffee Lake的服務器平臺服務固件已于2017年11月20日由英特爾確認（SA-00086）。1

應用即使PC處于關機狀態(tài)但連接了電源線，操作系統(tǒng)已崩潰，軟件代理丟失，或硬件（如硬盤驅動器或內(nèi)存），幾乎所有AMT功能都可用失敗了。PC啟動后，可以使用控制臺重定向功能（SOL），代理存在檢查和網(wǎng)絡流量過濾器。

Intel AMT支持以下管理任務：

遠程開機，關機，重新啟動電源并重置電源。

通過遠程重定向PC的引導過程遠程啟動PC，使其從不同的映像啟動，例如網(wǎng)絡共享，可啟動CD-ROM或DVD，補救驅動器或其他啟動設備。此功能支持遠程啟動操作系統(tǒng)已損壞或丟失的PC。

通過LAN上串行（SOL）通過控制臺重定向遠程重定向系統(tǒng)的I / O.此功能支持遠程故障排除，遠程修復，軟件升級和類似過程。

遠程訪問和更改BIOS設置。即使PC電源關閉，操作系統(tǒng)關閉或硬件發(fā)生故障，此功能也可用。此功能旨在允許遠程更新和更正配置設置。此功能支持完整的BIOS更新，而不僅僅是對特定設置的更改。

檢測可疑的網(wǎng)絡流量。在筆記本電腦和臺式機中，此功能允許sys-admin定義可能指示網(wǎng)絡數(shù)據(jù)包標頭中的入站或出站威脅的事件。在臺式PC中，此功能還支持通過基于時間，基于啟發(fā)式的過濾器檢測網(wǎng)絡流量中的已知和/或未知威脅（包括慢速和快速移動的計算機蠕蟲）。網(wǎng)絡流量在到達操作系統(tǒng)之前會進行檢查，因此在操作系統(tǒng)和軟件應用程序加載之前以及關閉之后也會進行檢查（傳統(tǒng)上是PC的脆弱時期）。

阻止或限制進出被懷疑受到計算機病毒，計算機蠕蟲或其他威脅感染或危害的系統(tǒng)的網(wǎng)絡流量。此功能使用基于Intel AMT硬件的隔離電路，可以根據(jù)IT策略（特定事件）手動（遠程，由sys-admin）觸發(fā)或自動觸發(fā)。

管理板載網(wǎng)絡適配器中的硬件數(shù)據(jù)包篩選器。

當關鍵軟件代理錯過了使用基于策略的可編程硬件定時器分配的簽入時，自動將OOB通信發(fā)送到IT控制臺?！拔疵小北硎緷撛诘膯栴}。此功能可與OOB警報結合使用，以便僅在發(fā)生潛在問題時通知IT控制臺（有助于防止網(wǎng)絡被不必要的“正面”事件通知淹沒）。

從AMT子系統(tǒng)接收帶外事件陷阱（PET）事件（例如，指示操作系統(tǒng)掛起或崩潰的事件，或者已嘗試密碼攻擊的事件）?？梢葬槍κ录ɡ?，不合規(guī)，與代理存在檢查相結合）或閾值（例如達到特定風扇速度）發(fā)出警報。

訪問存儲在受保護內(nèi)存中的持久事件日志。即使操作系統(tǒng)關閉或硬件已經(jīng)發(fā)生故障，事件日志也可用OOB。

獨立于PC的電源狀態(tài)或OS狀態(tài)發(fā)現(xiàn)AMT系統(tǒng)。如果系統(tǒng)斷電，其操作系統(tǒng)受損或關閉，硬件（如硬盤驅動器或內(nèi)存）出現(xiàn)故障或管理代理程序丟失，則可以使用發(fā)現(xiàn)（預引導訪問UUID）。

在PC上執(zhí)行軟件清單或訪問有關軟件的信息。此功能允許第三方軟件供應商在Intel AMT保護的內(nèi)存中存儲本地應用程序的軟件資產(chǎn)或版本信息。（這是受保護的第三方數(shù)據(jù)存儲，它與受保護的AMT存儲器的硬件組件信息和其他系統(tǒng)信息不同）。sys-admin可以訪問第三方數(shù)據(jù)存儲OOB。例如，防病毒程序可以將版本信息存儲在受保護的內(nèi)存中，該內(nèi)存可用于第三方數(shù)據(jù)。一個計算機腳本可以使用此功能來確定需要更新電腦。

通過上載遠程PC的硬件資產(chǎn)列表（平臺，基板管理控制器，BIOS，處理器，內(nèi)存，磁盤，便攜式電池，現(xiàn)場可更換單元和其他信息）來執(zhí)行硬件清單。硬件資產(chǎn)信息是每次系統(tǒng)通過運行時間更新加電自檢（POST）。

從主要版本6開始，英特爾AMT嵌入了專有的VNC服務器，使用專用的VNC兼容的查看器技術進行帶外訪問，并在整個電源循環(huán)中具有完整的KV。2

質疑硬件安全專家Damien Zammit在BoingBoing博客網(wǎng)站指出Intel在部分CPU內(nèi)建了一個無法被禁用的名為Intel管理引擎（Intel Management Engine）的子系統(tǒng)來運行AMT，該子系統(tǒng)運行在Intel處理器中處理器內(nèi)并獨立于計算機自身的閉源操作系統(tǒng)，能夠直接訪問計算機上的存儲器并通過Intel的網(wǎng)絡接口創(chuàng)建TCP/IP服務器使AMT具備運程控制功能，無論計算機的自身操作系統(tǒng)是否運行了防火墻，而且計算機即使在休眠情況下也能以極低的功耗運行，Zammit指出該子系統(tǒng)封閉源代碼且系統(tǒng)固件采用RSA2048位算法加密，無法審計其安全性，也無法判斷其是否為NSA的所謂后門，如果系統(tǒng)代碼被惡意盜用，每臺使用Intel處理器且連接互聯(lián)網(wǎng)的計算機，都可能使子系統(tǒng)成為暴露的Rootkit。2

本詞條內(nèi)容貢獻者為:

王沛 - 副教授、副研究員 - 中國科學院工程熱物理研究所