Intel me driver что это

Management Engine Interface Driver

Privilege rings for the x86. The ME is colloquially categorized as ring −3, below System Management Mode (ring −2) and the hypervisor (ring −1), all running at a higher privilege level than the kernel (ring 0)

This package installs the software (Intel Active Management Technology (AMT) Management Engine Interface Driver) to enable the following device. Intel Management Engine Interface. I have fresh installed Windows 10 Home on my HP Pavillion Notebook 15-p288ng. I encountered problem with Intel Management Engine Interface Driver. It shows me yellow triangle in Device Manager. When I try to perform update, it says that latest version is already installed. Current version is 11.0.0.1146. In description stands next text.

The Intel Management Engine (ME), also known as the Manageability Engine,[1][2] is an autonomous subsystem that has been incorporated in virtually all of Intel’s processorchipsets since 2008.[3][4][1] It is located in the Platform Controller Hub of modern Intel motherboards. It is a part of Intel Active Management Technology, which allows system administrators to perform tasks on the machine remotely[5]. System administrators can use it to turn the computer on and off, and they can login remotely into the computer regardless of whether or not an operating system is installed.[6]

The Intel Management Engine always runs as long as the motherboard is receiving power, even when the computer is turned off.

The IME is an attractive target for hackers, since it has top level access to all devices and completely bypasses the operating system. Intel has not released much information on the Intel Management Engine, prompting speculation that it may include a backdoor. The Electronic Frontier Foundation has voiced concern about IME.

AMD processors have a similar feature, called AMD Secure Technology.

• 1Design
• 1.2Firmware
• 2Security vulnerabilities
• 2.1Disabling the ME
• 2.1.1Undocumented methods
• 2.6SA-00086
• 4Reactions

Design[edit]

The subsystem primarily consists of proprietary firmware running on a separate microprocessor that performs tasks during boot-up, while the computer is running, and while it is asleep.[7] As long as the chipset or SoC is connected to current (via battery or power supply), it continues to run even when the system is turned off.[8] Intel claims the ME is required to provide full performance.[9] Its exact workings[10] are largely undocumented[11] and its code is obfuscated using confidential huffman tables stored directly in hardware, so the firmware does not contain the information necessary to decode its contents.[12] Intel’s main competitor AMD has incorporated the equivalent AMD Secure Technology (formally called Platform Security Processor) in virtually all of its post-2013 CPUs.[13]

Hardware[edit]

Starting with ME 11, it is based on the Intel Quark x86-based 32-bit CPU and runs the MINIX 3 operating system.[14] The ME state is stored in a partition of the SPI flash, using the Embedded Flash File System (EFFS).[15] Previous versions were based on an ARC core, with the Management Engine running the ThreadXRTOS. Versions 1.x to 5.x of the ME used the ARCTangent-A4 (32-bit only instructions) whereas versions 6.x to 8.x used the newer ARCompact (mixed 32- and 16-bitinstruction set architecture). Starting with ME 7.1, the ARC processor could also execute signed Java applets.

The ME has its own MAC and IP address for the out-of-band interface, with direct access to the Ethernet controller; one portion of the Ethernet traffic is diverted to the ME even before reaching the host’s operating system, for what support exists in various Ethernet controllers, exported and made configurable via Management Component Transport Protocol (MCTP).[16][17] The ME also communicates with the host via PCI interface.[15] Under Linux, communication between the host and the ME is done via /dev/mei.[18]

Until the release of Nehalem processors, the ME was usually embedded into the motherboard’s northbridge, following the Memory Controller Hub (MCH) layout.[19] With the newer Intel architectures (Intel 5 Series onwards), ME is included into the Platform Controller Hub (PCH).[20][21]

Firmware[edit]

By Intel’s current terminology as of 2017, ME is one of several firmware sets for the Converged Security and Manageability Engine (CSME). Prior to AMT version 11, CSME was called Intel Management Engine BIOS Extension (Intel MEBx).[1]

• Management Engine (ME) — mainstream chipsets[22]
• Server Platform Services (SPS) — server chipsets and SoCs[23][22][24]
• Trusted Execution Engine (TXE) — tablet/embedded/low power[25][26]

The Russian company Positive Technologies (Dmitry Sklyarov) found that the ME firmware version 11 runs MINIX 3.[27][28][29]

Modules[edit]

• Active Management Technology (AMT)[2]
• Alert Standard Format (ASF) support[citation needed]
• Intel Boot Guard (IBG)[30] and Secure Boot[26]
• Integrated Clock Controller (ICC)[citation needed]
• Quiet System Technology (QST), formerly known as Advanced Fan Speed Control (AFSC), which provides support for acoustically-optimized fan speed control, and monitoring of temperature, voltage, current and fan speed sensors that are provided in the chipset, CPU and other devices present on the motherboard. Communication with the QST firmware subsystem is documented and available through the official software development kit (SDK).[31]
• Protected Audio Video Path (used in PlayReady DRM)[citation needed]
• Intel Security Assist (ISA)[citation needed]
• Serial over LAN (SOL)[32]
• Firmware-based Trusted Platform Module (TPM)[30]

Security vulnerabilities[edit]

Several weaknesses have been found in the ME. On May 1, 2017, Intel confirmed a Remote Elevation of Privilege bug (SA-00075) in its Management Technology.[33] Every Intel platform with provisioned Intel Standard Manageability, Active Management Technology, or Small Business Technology, from Nehalem in 2008 to Kaby Lake in 2017 has a remotely exploitable security hole in the ME.[34][35] Several ways to disable the ME without authorization that could allow ME’s functions to be sabotaged have been found.[36][37][38] Additional major security flaws in the ME affecting a very large number of computers incorporating ME, Trusted Execution Engine (TXE), and Server Platform Services (SPS) firmware, from Skylake in 2015 to Coffee Lake in 2017, were confirmed by Intel on 20 November 2017 (SA-00086).[39] Unlike SA-00075, this bug is even present if AMT is absent, not provisioned or if the ME was ‘disabled’ by any of the known unofficial methods.[40] In July 2018 another set of vulnerabilitites were disclosed (SA-00112).[41] In September 2018, yet another vulnerability was published (SA-00125).[42]

Disabling the ME[edit]

It is normally not possible for the user to disable the ME. Some undocumented methods to do so were discovered, however.[39] These methods are not supported by Intel. The ME’s security architecture is designed to prevent disabling, and thus its possibility is considered by Intel to be a security vulnerability. For example, a virus could abuse it to make the computer lose some of the functionality that the typical end-user expects, such as the ability to play media with DRM. On the other hand, a malicious actor could use the ME to remotely compromise a system.

Strictly speaking, none of the known methods disables the ME completely, since it is required for booting the main CPU. All known methods merely make the ME go into abnormal states soon after boot, in which it seems not to have any working functionality. The ME is still physically connected to the current and its microprocessor is continuing to execute code.

Undocumented methods[edit]

In 2016, the me_cleaner project found that the ME’s integrity verification is broken. The ME is supposed to detect that it has been tampered with, and, if this is the case, shut down the PC forcibly after every 30 minutes after system start.[43] This prevents a compromised system from running undetected, yet allows the owner to fix the issue by flashing a valid version of the ME firmware during the grace period. As the project found out, by making unauthorized changes to the ME firmware, it was possible to force it into an abnormal error state that prevented triggering the shutdown even if large parts of the firmware had been overwritten and thus made inoperable.

‘High Assurance Platform’ mode[edit]

Intel Management Engine Interface Driver Won’t Install

In August 2017, Russian company Positive Technologies (Dmitry Sklyarov) published a method to disable the ME via an undocumented built-in mode. As Intel has confirmed[44] the ME contains a switch to enable government authorities such as the NSA to make the ME go into High-Assurance Platform (HAP) mode after boot. This mode disables most of ME’s functions.[45][46] It is authorized for use by government authorities only and is supposed to be available only in machines produced for them. Yet it turned out that most machines sold on the retail market can be tricked into activating the switch.[47][48]. Manipulation of the HAP bit was quickly incorporated into the me_cleaner project[49].

Commercial ME disablement[edit]

In late 2017, several laptop vendors announced their intentions to ship laptops with the Intel ME disabled:

• Purism previously petitioned Intel to sell processors without the ME, or release its source code, calling it ‘a threat to users’ digital rights’.[50] In March 2017, Purism announced[51] that it had neutralized the ME by erasing the majority of the ME code from the flash memory. It further announced in October 2017[52] that new batches of their Debian-based Librem line of laptops will ship with the ME neutralized (via erasing the majority of ME code from the flash, as previously announced), and additionally disabling most ME operation via the HAP bit. Updates for existing Librem laptops were also announced.
• System 76 announced in November 2017[53] their plan to disable the ME on their new and recent Ubuntu-based machines via the HAP bit.
• Dell, in December 2017, began showing certain laptops on its website that offered the ‘Systems Management’ option ‘Intel vPro — ME Inoperable, Custom Order’ for an additional fee. Dell has not announced or publicly explained the methods used. In response to press requests, Dell stated that those systems had been offered for quite a while, but not for the general public, and had found their way to the website only inadvertently.[54] The laptops are available only by custom order and only to military, government and intelligence agencies.[55] They are specifically designed for covert operations, such as providing a very robust case and a ‘stealth’ operating mode kill switch that disables display, LED lights, speaker, fan and any wireless technology.[56]

Effectiveness against vulnerabilities[edit]

None of the two methods to disable the ME discovered so far turned out to be an effective countermeasure against the SA-00086 vulnerability.[57] This is because the vulnerability is in an early-loaded ME module that is essential to boot the main CPU.[58]

Ring −3 rootkit[edit]

A ring −3 rootkit was demonstrated by Invisible Things Lab for the Q35 chipset; it does not work for the later Q45 chipset as Intel implemented additional protections.[59] The exploit worked by remapping the normally protected memory region (top 16 MB of RAM) reserved for the ME. The ME rootkit could be installed regardless of whether the AMT is present or enabled on the system, as the chipset always contains the ARC ME coprocessor. (The ‘−3’ designation was chosen because the ME coprocessor works even when the system is in the S3 state, thus it was considered a layer below the System Management Mode rootkits.[19]) For the vulnerable Q35 chipset, a keystroke logger ME-based rootkit was demonstrated by Patrick Stewin.[60][61]

Zero-touch provisioning[edit]

Another security evaluation by Vassilios Ververis showed serious weaknesses in the GM45 chipset implementation. In particular, it criticized AMT for transmitting unencrypted passwords in the SMB provisioning mode when the IDE redirection and Serial over LAN features are used. It also found that the ‘zero touch’ provisioning mode (ZTC) is still enabled even when the AMT appears to be disabled in BIOS. For about 60 euros, Ververis purchased from Go Daddy a certificate that is accepted by the ME firmware and allows remote ‘zero touch’ provisioning of (possibly unsuspecting) machines, which broadcast their HELLO packets to would-be configuration servers.[62]

Safari free download windows 7. Why Download Safari using YepDownload? Safari Simple & Fast Download! Works with All Windows (64/32 bit) versions! Safari Latest Version! Fully compatible with Windows 10; Disclaimer Safari is a product developed by Apple. This site is not directly affiliated with Apple. Load more results. Apple Footer Apple Support.

SA-00075 (aka Silent Bob is Silent)[edit]

In May 2017, Intel confirmed that many computers with AMT have had an unpatched critical privilege escalation vulnerability (CVE-2017–5689).[35][63][33][64][65] The vulnerability, which was nicknamed ‘Silent Bob is Silent’ by the researchers who had reported it to Intel,[66] affects numerous laptops, desktops and servers sold by Dell, Fujitsu, Hewlett-Packard (later Hewlett Packard Enterprise and HP Inc.), Intel, Lenovo, and possibly others.[66][67][68][69][70][71][72] Those researchers claimed that the bug affects systems made in 2010 or later.[73] Other reports claimed the bug also affects systems made as long ago as 2008.[74][35] The vulnerability was described as giving remote attackers:

full control of affected machines, including the ability to read and modify everything. It can be used to install persistent malware (possibly in firmware), and read and modify any data.

— Tatu Ylönen, ssh.com[66]

PLATINUM[edit]

In June 2017, the PLATINUM cybercrime group became notable for exploiting the serial over LAN (SOL) capabilities of AMT to perform data exfiltration of stolen documents.[75][76][77][78][79][80][81][82]

Techmax ebook download software. Try it and discover how great reading books on your phone or tablet can be.Login with your account on techmaxebooks.comEntire book in Q-A format with coloured diagramsSupports PDF filesTurn pages with a swipeZoom/ Adjust font size with a pinch or a tapBookmarking & Search featureCan make a notes of important topicsMCQ available for FE & SE SPPU StudentsFor any queries regarding Ebooks please mail us at techmaxsupport@techmaxebooks.com. The eBook Reader is optimized for iPhone, iPad, Android,Windows Desktop and is free. Tech-Max eBook Reader lets you read your books bought from Tech-Max Publications.

SA-00086[edit]

Some months after the previous bugs, and subsequent warnings from the EFF,[4] security firm Positive Technologies claimed to have developed a working exploit.[83] On 20 November, 2017 Intel confirmed that a number of serious flaws had been found in the Management Engine (mainstream), Trusted Execution Engine (tablet/mobile), and Server Platform Services (high end server) firmware, and released a ‘critical firmware update’.[84][85] Essentially every Intel-based computer for the last several years, including most desktops and servers, were found to be vulnerable to having their security compromised, although all the potential routes of exploitation were not entirely known.[85] It is not possible to patch the problems from the operating system, and a firmware (UEFI, BIOS) update to the motherboard is required, which was anticipated to take quite some time for the many individual manufacturers to accomplish, if it ever would be for many systems.[39]

Wargame airland battle infantry tactics. 176-page Comprehensive Guide to All Things Wargame: ALB. Wargame: AirLand Battle is a real time strategy (RTS) game made by developers Eugen Systems. These guys (collectively and affectionately referred to by some as “Eugene”) are pretty damn good developers, all things considered. You can expect this game to be lovingly supported with.

Affected systems[84][edit]

Management Engine Interface Driver Does What

• Intel Atom — C3000 family
• Intel Atom — Apollo Lake E3900 series
• Intel Celeron — N and J series
• Intel Core (i3, i5, i7, i9) — 1st, 2nd, 3rd, 4th, 5th, 6th, 7th, and 8th generation
• Intel Pentium — Apollo Lake
• Intel Xeon — E3–1200 v5 and v6 product family
• Intel Xeon — Scalable family
• Intel Xeon — W family

Mitigation[edit]

None of the known unofficial methods to disable the ME prevent exploitation of the vulnerability. A firmware update by the vendor is required. However, those who discovered the vulnerability note that firmware updates are not fully effective either, as an attacker with access to the ME firmware region can simply flash an old, vulnerable version and then exploit the bug.[86]

SA-00112[edit]

In July 2018 Intel announced that 3 vulnerabilities (CVE-2018–3628, CVE-2018–3629 and CVE-2018–3632) had been discovered and that a patch for the CSME firmware would be required. Intel indicated there would be no patch for 3rd generation Core processors or earlier despite chips or their chipsets as far back as Intel Core 2 Duo vPro and Intel Centrino 2 vPro being affected.[41]

Claims that ME is a backdoor[edit]

Critics like the Electronic Frontier Foundation (EFF) and security expert Damien Zammit accused the ME of being a backdoor and a privacy concern.[87][4] Zammit stresses that the ME has full access to memory (without the parent CPU having any knowledge); has full access to the TCP/IP stack and can send and receive network packets independently of the operating system, thus bypassing its firewall.[88]

Intel responded by saying that ‘Intel does not put back doors in its products nor do our products give Intel control or access to computing systems without the explicit permission of the end user.’[88] and ‘Intel does not and will not design backdoors for access into its products. Recent reports claiming otherwise are misinformed and blatantly false. Intel does not participate in any efforts to decrease security of its technology.’[89]

In the context of criticism of the Intel ME and AMD Secure Technology it has been pointed out that the NSA budget request for 2013 contained a Sigint Enabling Project with the goal to ‘Insert vulnerabilities into commercial encryption systems, IT systems, …’ and it has been conjectured that Intel ME and AMD Secure Technology might be part of that programme.[90]

Reactions[edit]

As of 2017, Google was attempting to eliminate proprietary firmware from its servers and found that the ME was a hurdle to that.[39]

Reaction by AMD processor vendors[edit]

Shortly after SA-00086 was patched, vendors for AMD processor mainboards started shipping BIOS updates that allow disabling the AMD Secure Technology,[91] a subsystem with similar function as the ME.

Oct 30, 2017 Manually Boot from CD on Windows XP, Vista, and 7 Changing the boot order from the BIOS of a computer allows the machine to try and automatically find the device you select and boot from it. While this should work most of the time, on occasion, the computer won’t select the drive properly. May 11, 2018 A Windows Vista boot disk is a kind of removable media, like a CD or a floppy disk, which contains the startup files that can be used to boot your Windows Vista. As a matter of fact, there are those startup files stored on your computer, too. Clean boot windows vista.

Intel Management Engine For Windows 10

Relationship between IME and Intel Active Management Technology[edit]

The Management Engine is often confused with Intel AMT. AMT runs on the ME, but is only available on processors with vPro. AMT enables owners remote administration of their computer,[88] like turning it on or off and reinstalling the operating system. However, the ME itself is built into all Intel chipsets since 2008, not only those with AMT. While AMT can be unprovisioned by the owner, there is no official, documented way to disable the ME.

Intel ME driver что это за программа?

Intel ME driver — не программа, а драйвер для работы аппаратных датчиков. Например скорость вращения вентилятора. Также возможно необходим для разгона процессора — у некоторых пользователей выскакивала ошибка Please install intel ME driver to enable CPU overclock, что означает установите драйвер Intel ME для включения опции разгона процессора.

На заметку. Как правило, подобные драйвера устанавливаются автоматически при помощи центра обновлений Windows. Вручную стоит устанавливать только при возникновении проблем. Отсутствие драйвера не вызовет критических ошибок, однако Интел рекомендует все таки устанавливать.

Полное название — Intel Management Engine

Удалось выяснить — драйвер нужен для подсистемы, которая встроенная почти во все чипсеты процессоров Intel с 2008 года. Подсистема состоит из:

1. Прошивки. Микропрограмма, в которой заложен принцип работы устройства. При необходимости прошивку можно обновить.
2. Микропроцессор. Само устройство, работающее только при наличии прошивки.

Management Engine функционирует всегда, даже когда ПК выключен — в таком случае источником энергии служит:

1. Батарейка CMOS.
2. В ноутбуке дополнительно — аккумулятор.

Сама компания Интел заявляет — подсистема ME необходима для максимальной производительности. При этом принцип работы нигде не описан, а исходный код закодирован.

Компания AMD также создала свою технологию в 2013 году — AMD Secure Technology (ранее называлась Platform Security Proccessor).

Не стоит путать технологию ME с AMT, которая хоть и основана на ME, но доступна только для процессоров с технологией vPro. При помощи AMT можно удаленно включать ПК или выключать, и даже устанавливать операционку.

Интересно — ME отключить никак нельзя в отличии AMT.

В теории, возможно что отказ от установки драйверов ME может отключить технологию, либо ограничить ее работу.

Оказывается, что ME отключить нельзя. Без этой технологии процессор НЕ сможет загрузиться. Все существующие методы отключения максимум что могут сделать — заставить технологию неправильно работать после включения. В таком состоянии функции не выполняются, однако встроенный микропроцессор дальше продолжает работать.

Все способы отключения не приветствуются и являются потенциально опасными.

Некоторые производители ноутбуков решили попробовать отключить ME. Так как корректного отключения все равно нет, то все это несет сомнительную пользу.

Интересно, но в некоторых современных биосах под материнки AMD уже есть опция отключения AMD Secure Technology (аналог Intel ME).

Intel Management Engine Components (IMEC)

Данное ПО устанавливает необходимые для корректной работы компоненты:

Состав IMEC

Компонент	Краткое описание
Management Engine Interface	Для работы интерфейса ME.
Dynamic Application Loader	Предположительно работает под процессом jhi_service.exe. Вроде технология защиты, представляет базовые службы связи. Необходима для обеспечения аппаратного решения безопасности.
Identity Protection Technology (IPT)	Комплект технологий для проверки подлинности онлайн-доступа. Обеспечивает надежный уровень безопасности на предприятиях и веб-сайтах. В некотором смысле является альтернативной SMS аутентификации. Также включает в себя Intel Authenticate и Protected Transaction Display (PTD).
Manageability Engine Firmware Recovery Agent	Работает предположительно под процессом updateui.exe, который запускается из:

C:\Program Files (x86)\Intel\Intel(R) Update Manager\bin

C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\

Настройка в биосе — ME General Settings

Настройка ME General Settings предположительно может находиться в разделе MEBx Login. Содержит главные настройки ME, одна из которых — Change ME Password, служит для смены пароля удаленного управления (по умолчанию пароль admin).

Возможно данная настройка находится не в биосе, а в меню конфигурации Intel vPro.

На заметку. vPro — технология, позволяющая удаленно управлять ПК. Подразумевается в том числе и выключение, включение, открытие настроек биоса. В основе vPro выступают две технологии — удаленное управление мониторинга (Intel Active Management Technology, AMT) и виртуализация (Intel Virtualization Technology, VT)

Вывод

Исходя из всей вышеприведенной информации можно сделать вывод — пытаться отключить Intel ME нет смысла, официальных способов нет.

Отсутствие драйвера скорее всего не вызовет никаких критических проблем в работе Windows. Однако установить его все таки стоит, хотя бы из-за рекомендации Intel.

Учтите, что без ME у вас могут быть проблем с автоматической регулировкой оборотов вентилятора. В разгоне процессора также могут быть проблемы. Возможно драйвер имеет отношение к автоматическому сбросу частоты процессора в простое.

Введение

Напомним, что основным компонентом Intel ME является встроенный в чипсет микроконтроллер с кастомной архитектурой. Известна лишь базовая модель, это 32-х разрядный ARCtangent-A4 (ME 1.x — 5.x), ARCtangent-A5 (ME 6.x — 10.x), SPARC (TXE) или x86 (ME 11.x — . ).

Начиная с 6-й версии, ME-контроллер встраивают во все чипсеты Intel.

[рисунок взят отсюда]

Загрузчик его прошивки хранится во внутренней ROM и недоступен для анализа. Сама прошивка располагается в регионе ME во внешней SPI флэш-памяти (т.е. в той же памяти, где хранится BIOS). Структура этой прошивки такова, что весь исполнимый код разбит на модули, которые хранятся в сжатом виде (либо кастомной реализацией алгоритма Хаффмана, либо LZMA). Эти кодовые модули криптографически защищены от модификаций.

Если есть желание поревёрсить прошивку, рекомендуем воспользоваться этими двумя инструментами для изучения её структуры и распаковки кодовых модулей.

Итак, рассматриваемая подсистема является аппаратно-программной основой для различных системных функций (некоторые раньше реализовывали в BIOS) и технологий Intel. Их имплементация включается в состав прошивки Intel ME. Одной из таких технологий, использующих несколько особых привилегий Intel ME, является Active Management Technology (AMT).

Контроль за состоянием AMT

AMT – технология удалённого администрирования компьютерных систем, для которых заявлена официальная поддержка Intel vPro (это бренд, объединяющий несколько технологий, в том числе, AMT). Речь идёт о системах с чипсетами линейки Q (например, Q57 или Q170).

Учитывая высокую стоимость таких платформ, вряд ли кто-то случайно приобретёт компьютер с AMT для того, чтобы принципиально этой технологией не пользоваться. Тем не менее, если под рукой именно такой продукт, и есть необходимость убедиться, что AMT на текущий момент выключена, следует воспользоваться утилитой ACUwizard:

[рисунок взят отсюда]

или средством Intel Management and Security Status (входит в состав ПО Intel ME для vPro-платформ, можно обнаружить в трее):

• 5900 – AMT VNC-сервер без шифрования;
• 16992 – AMT веб-сервер по протоколу HTTP;
• 16993 – AMT веб-сервер по протоколу HTTPS;
• 16994 – AMT redirection для SOL, IDE-R, KVM без шифрования;
• 16995 – AMT redirection для SOL, IDE-R, KVM с TLS.

В продуктах, не относящихся к разряду vPro-платформ AMT включить нельзя, однако в состав прошивки Intel ME входят сетевые драйверы:

Это означает, что ME-контроллер (не будем забывать, что он всегда включен) имеет техническую возможность использования сетевого интерфейса.

Поэтому проблему стоит решать основательно – пытаться выключить подсистему Intel ME.

Выключение Intel ME при помощи утилит из Intel System Tool Kit

1. Прошивку Intel ME в бинарном виде;
2. Модули MEBx для BIOS;
3. ПО Intel ME для ОС;
4. Intel System Tool Kit (STK) — комплект программных средств и документации для сборки образов SPI флэш-памяти, применения этих образов и получении информации о текущем состоянии Intel ME.

Несмотря на то, что этот комплект распространяется по NDA (судя по меткам «Intel Confidential» в прилагаемых документах), многие вендоры забывают его вырезать из архива с ПО Intel ME, который передаётся пользователям. А ещё не закрывают свои ftp-серверы от внешнего доступа. В результате, утекших версий STK очень много. Здесь можно слить комплект для любой версии Intel ME.

Важно, чтобы major и minor version (первая и вторая цифры) используемого STK совпадала с версией Intel ME целевой системы, информацию о которой можно получить, например, воспользовавшись ME analyzer:

Проверять текущее состояние Intel ME можно при помощи утилиты MEinfo, которая через Management Engine Interface (MEI) получает информацию о работе этой подсистемы:

Напомним, что MEI является интерфейсом для связи основного CPU с подсистемой Intel ME и представляет собой набор регистров в конфигурационном пространстве PCI и в MMIO. Команды этого интерфейса не документированы, как и сам протокол.

Flash Image Tool

На старых платформах (Intel ME версии 5.x и ниже) выключить данную подсистему можно, воспользовавшись Flash Image Tool (утилита из STK, предназначенная для сборки образов SPI флэш-памяти из отдельно взятых регионов BIOS, ME, GbE). При сборке задаются параметры, которые прописываются в этих регионах и в регионе Flash Descriptors. В последнем есть один очень интересный флаг, «ME disable»:

Таким образом, для выключения Intel ME на целевой компьютерной системе, в её SPI флэш-память следует записать (программатором) новый образ с выставленным флагом «ME disable».

Работает ли этот способ, нам неизвестно. Но звучит правдоподобно, учитывая, что ME-контроллер в тех версиях интегрировался только в чипсеты линейки Q, т.е. был не обязательным компонентом для всех платформ.

Flash Programming Tool

Начиная с Intel ME 9 версии, в утилиту Flash Programming Tool, предназначенную для программирования SPI флэш-памяти компьютерных платформ, была добавлена возможность временно выключать Intel ME:

Выключение выполняется отправкой команды в MEI. После отработки Intel ME не подаёт «признаков жизни», не отвечает даже MEI:

Согласно документации, в таком состоянии подсистема Intel ME находится до следующего запуска компьютера или перезагрузки.

На vPro-платформах возможность отправки этой команды есть и в более ранних версиях. Для этого необходимо воспользоваться разделом конфигурирования ME/AMT в BIOS, где должна быть опция «Intel ME disable»:

[рисунок взят отсюда]

Нельзя говорить о том, что этот способ позволяет полностью отключить Intel ME, хотя бы потому, что до момента принятия команды на отключение ME-контроллер успеет загрузиться, а значит, выполнить некоторую часть кода прошивки.
Несмотря на то, что Intel ME не подаёт «признаков жизни» после этой операции, неизвестно, может ли эту подсистему заново включить какой-нибудь сигнал извне. Также неясно, насколько Intel ME выключена.

Принудительное выключение Intel ME

В интересах исключения возможности исполнения ME-контроллером кода прошивки, логично попробовать ограничить ему доступ к ней. А что? Нет кода – нет проблемы.

Проанализировав документацию, которая прилагается к STK, и, немного подумав, мы предположили, что это можно сделать следующими способами.

1. Вырезать (обнулить) ME регион из SPI флэш-памяти.

Те, кто пробовал так делать сообщают о том, что их платформа либо не загружалась без наличия подлинной прошивки ME, либо выключалась ровно после 30 минут работы.

Отказ компьютерной системы грузиться без прошивки Intel ME можно объяснить важностью ME-контроллера в процессе инициализации аппаратной составляющей. А 30-минутный таймаут наводит на мысль о WDT (Watch Dog Timer).

• стереть первые 0x20 байт в ней (таким образом повредив сигнатуру 0x0FF0A55A, которая определяет режим работы флэш-памяти);
• выставить джампер HDA_SDO (если он есть).

Таким образом, ME-контроллер не получит доступ к своему региону, и, следовательно, не будет исполнять прошивку.

С одной стороны, ME-контроллер так же, как и в предыдущем случае, может препятствовать нормальной работе компьютерной системы. С другой стороны, не дескрипторный режим включает т.н. manufacturing mode, который используется вендорами в отладочных целях, и есть шанс, что система запустится.

3. Известно, что прошивка Intel ME распаковывается в выделенную и скрытую от основного CPU область оперативной памяти – ME UMA. Выделение и блокировку этой области осуществляет BIOS во время конфигурирования карты памяти. Тогда почему бы не вырезать эти фрагменты кода из BIOS, чтобы данная область не выделялась. Тогда прошивка ME не будет распаковываться и исполняться.

Проведённые эксперименты показали, что такой способ тоже не годится, и система не запускается. К тому же, у ME-контроллера есть внутренняя SRAM, которая используется при недоступности ME UMA. Поэтому часть прошивки всё равно будет исполняться.

Вывод

• отключение при каждом старте командой в MEI или отключение флагом в регионе flash descriptors (в зависимости от версии);
• ограничение доступа ME-контроллеру к своей прошивке либо перевод компьютерный платформы в manufacturing mode.
• препятствование нормальной работе ME-контроллера не обеспечивая его runtime-памятью.

Очевидно, что некоторые предложенные решения влекут за собой неработоспособность компьютерной системы, остальные не дают никакой гарантии того, что подсистема Intel ME действительно выключена. В связи с этим, мы пришли к выводу, что полностью выключить Intel ME крайне сложно.

Вероятно, это связано с тем, что, отключая Intel ME, мы нейтрализуем важный компонент в архитектуре компьютерной системы. Например, без ME некому будет решать важные системные задачи вроде ACPI или ICC (которые когда-то реализовывались в BIOS). Чтобы заставить платформу стабильно работать без ME, как минимум, необходимо вернуть реализацию этих технологий в BIOS.

Так или иначе, вопрос о том, как отключить Intel ME без потери работоспособности компьютерной системы, остаётся открытым.

что это за драйвер? Intel Management Engine Driver

Intel® Management Engine (Intel® ME) — подсистема, встроенная в чипсет, предназначенная для различных задач связанных с мониторингом и обслуживанием компьютера во время сна, загрузки, а также в процессе его работы. Для корректной работы Intel ME потребуется драйвер, отсутствие которого приведёт к восклицательным знакам в «Диспетчере Устройств». Требуется ME для старта и первоначальной настройки материнской платы. Выход из строя Intel Management Engine (если плата/ноутбук при этом живы) чаще всего приводит к тому, что вентиляторы работают на полную катушку (без регулировки оборотов, чем в том числе и занимается Intel ME).

Кроме того, на базе ME реализованы другие технологии:

Intel AMT (удалённое администрирование/управление компьютером)
Intel AT (противоугонный модуль)
Intel SMB (урезанный/модифицированный вариант AMT для малого бизнеса)
Этот процессор «никак не связан» с Intel — это лицензированный у фирмы ARC International (многократно перекупленной, сейчас ею владеет фирма Synopsis на которую, в частности, и стоит перенаправленные с уже бывшего официального сайта www.arc.com) RISC-процессор (т. е. не x86-архитектура). 32-битный, характерный представитель семейства IP-процессоров — специально конфигурируемых «под заказчика», возможности/фичи которых можно задать самостоятельно. Прямой конкурент ставших так популярными в связи с развитием смартфонов-планшетов-андроидов, ARM-процессоров. Имеет все плюсы последних — крайне малое потребление, при этом достаточные для большинства «нужных задач» возможности, среди которых в том числе своя постоянная и оперативная память.

На базе этого процессора и работает Management Engine (просто ME дальше для краткости). Для взаимодействия ОС с ME имеется MEI — Management Engine Interface. А для настройки ME в BIOS Setup есть MEBx (ME BIOS Extensions) — отдельный модуль, поставляемый для OEM-производителей либо встроенный в BIOS Setup подпункт (у случае EFI/BIOS от Intel). Для корректной работы MEI с ОС соответственно потребуется драйвер.