複製鏈接
請複製以下鏈接發送給好友
https://baike.baidu.hk/item/Intel主動管理技術/15637633
複製
複製成功

Intel主動管理技術

鎖定
英特爾主動管理技術(英語:Intel Active Management Technology,縮寫AMT)是一個以硬件為基礎的遠程管理技術,它是Intel vPro技術的其中之一。這項技術主要是讓IT人員可以從通過帶外(OOB)的網絡連接來發現、修復和保護台式機筆記本電腦服務器
中文名
Intel主動管理技術
外文名
Intel Active Management Technology
縮    寫
AMT
領    域
計算機

目錄

  1. 1 簡介
  2. 2 應用
  3. 3 質疑

Intel主動管理技術簡介

英特爾主動管理技術AMT)是用於個人計算機遠程帶外管理的硬件和固件技術,用於監控,維護,更新,升級,並修復它們。帶外(OOB)或基於硬件的管理與基於軟件(或帶內)的管理和軟件管理代理不同。
基於硬件的管理與軟件應用程序在不同的級別上工作,並使用與基於軟件的通信(通過操作系統中的軟件堆棧)不同的通信通道(通過TCP / IP堆棧)。基於硬件的管理不依賴於操作系統或本地安裝的管理代理的存在。基於硬件的管理在過去基於英特爾/ AMD的計算機上已經可用,但它主要限於使用DHCPBOOTP進行動態IP地址分配和無盤工作站的自動配置,以及局域網喚醒(WOL) )用於遠程供電系統。AMT本身並不打算使用;它旨在與軟件管理應用程序一起使用。它為管理應用程序(以及使用它的系統管理員)提供了對PC的訪問,以便遠程執行在沒有遠程功能的PC上工作時很難或有時不可能執行的任務內置於其中。
AMT被設計到位於主板上的輔助(服務)處理器並使用TLS安全通信和強加密來提供額外的安全性。AMT內置於採用Intel vPro技術的PC中,基於英特爾管理引擎(ME)。AMT已經開始逐漸增加對DMTF桌面和系統硬件移動架構(DASH)標準的支持,AMT 5.1版及更高版本是針對帶外管理的DASH版本1.0 / 1.1標準的實現。AMT提供與IPMI類似的功能雖然AMT是專為客户端計算系統而設計的,與典型的基於服務器的IPMI相比。
目前,AMT可用於配備英特爾酷睿博鋭處理器系列的台式機,服務器,超極本,平板電腦和筆記本電腦,包括英特爾酷睿i5,i7和英特爾至強處理器E3-1200產品系列。
英特爾於2017年5月1日在其管理技術中確認了遠程特權提升錯誤(CVE-2017-5689,SA-00075)。每個英特爾平台均採用英特爾標準可管理性,主動管理技術或小型企業技術,Nehalem於2008年在Kaby Lake於2017年在ME擁有一個可遠程利用的安全漏洞。一些製造商,如Purism和System76已經銷售硬件,禁用英特爾管理引擎以防止遠程攻擊。ME中的其他主要安全漏洞影響了大量包含管理引擎,可信執行引擎的計算機,以及2017年Skylake至2017年Coffee Lake的服務器平台服務固件已於2017年11月20日由英特爾確認(SA-00086)。 [1] 

Intel主動管理技術應用

即使PC處於關機狀態但連接了電源線,操作系統已崩潰,軟件代理丟失,或硬件(如硬盤驅動器或內存),幾乎所有AMT功能都可用失敗了。PC啓動後,可以使用控制枱重定向功能(SOL),代理存在檢查和網絡流量過濾器。
Intel AMT支持以下管理任務:
  • 遠程開機,關機,重新啓動電源並重置電源。
  • 通過遠程重定向PC的引導過程遠程啓動PC,使其從不同的映像啓動,例如網絡共享,可啓動CD-ROMDVD,補救驅動器或其他啓動設備。此功能支持遠程啓動操作系統已損壞或丟失的PC。
  • 通過LAN上串行(SOL)通過控制枱重定向遠程重定向系統的I / O.此功能支持遠程故障排除,遠程修復,軟件升級和類似過程。
  • 遠程訪問和更改BIOS設置。即使PC電源關閉,操作系統關閉或硬件發生故障,此功能也可用。此功能旨在允許遠程更新和更正配置設置。此功能支持完整的BIOS更新,而不僅僅是對特定設置的更改。
  • 檢測可疑的網絡流量。在筆記本電腦和台式機中,此功能允許sys-admin定義可能指示網絡數據包標頭中的入站或出站威脅的事件。在台式PC中,此功能還支持通過基於時間,基於啓發式的過濾器檢測網絡流量中的已知和/或未知威脅(包括慢速和快速移動的計算機蠕蟲)。網絡流量在到達操作系統之前會進行檢查,因此在操作系統和軟件應用程序加載之前以及關閉之後也會進行檢查(傳統上是PC的脆弱時期)。
  • 阻止或限制進出被懷疑受到計算機病毒,計算機蠕蟲或其他威脅感染或危害的系統的網絡流量。此功能使用基於Intel AMT硬件的隔離電路,可以根據IT策略(特定事件)手動(遠程,由sys-admin)觸發或自動觸發。
  • 管理板載網絡適配器中的硬件數據包篩選
  • 當關鍵軟件代理錯過了使用基於策略的可編程硬件定時器分配的簽入時,自動將OOB通信發送到IT控制枱。“未命中”表示潛在的問題。此功能可與OOB警報結合使用,以便僅在發生潛在問題時通知IT控制枱(有助於防止網絡被不必要的“正面”事件通知淹沒)。
  • 從AMT子系統接收帶外事件陷阱(PET)事件(例如,指示操作系統掛起或崩潰的事件,或者已嘗試密碼攻擊的事件)。可以針對事件(例如,不合規,與代理存在檢查相結合)或閾值(例如達到特定風扇速度)發出警報。
  • 訪問存儲在受保護內存中的持久事件日誌。即使操作系統關閉或硬件已經發生故障,事件日誌也可用OOB。
  • 獨立於PC的電源狀態或OS狀態發現AMT系統。如果系統斷電,其操作系統受損或關閉,硬件(如硬盤驅動器內存)出現故障或管理代理程序丟失,則可以使用發現(預引導訪問UUID)。
  • 在PC上執行軟件清單或訪問有關軟件的信息。此功能允許第三方軟件供應商在Intel AMT保護的內存中存儲本地應用程序的軟件資產或版本信息。(這是受保護的第三方數據存儲,它與受保護的AMT存儲器的硬件組件信息和其他系統信息不同)。sys-admin可以訪問第三方數據存儲OOB。例如,防病毒程序可以將版本信息存儲在受保護的內存中,該內存可用於第三方數據。一個計算機腳本可以使用此功能來確定需要更新電腦。
  • 通過上載遠程PC的硬件資產列表(平台,基板管理控制器,BIOS,處理器,內存,磁盤,便攜式電池,現場可更換單元和其他信息)來執行硬件清單。硬件資產信息是每次系統通過運行時間更新加電自檢(POST)。
從主要版本6開始,英特爾AMT嵌入了專有的VNC服務器,使用專用的VNC兼容的查看器技術進行帶外訪問,並在整個電源循環中具有完整的KV。 [2] 

Intel主動管理技術質疑

硬件安全專家Damien Zammit在BoingBoing博客網站指出Intel在部分CPU內建了一個無法被禁用的名為Intel管理引擎(Intel Management Engine)的子系統來運行AMT,該子系統運行在Intel處理器中處理器內並獨立於計算機自身的閉源操作系統,能夠直接訪問計算機上的存儲器並通過Intel的網絡接口創建TCP/IP服務器使AMT具備運程控制功能,無論計算機的自身操作系統是否運行了防火牆,而且計算機即使在休眠情況下也能以極低的功耗運行,Zammit指出該子系統封閉源代碼且系統固件採用RSA2048位算法加密,無法審計其安全性,也無法判斷其是否為NSA的所謂後門,如果系統代碼被惡意盜用,每台使用Intel處理器且連接互聯網的計算機,都可能使子系統成為暴露的Rootkit [2] 
參考資料
  • 1.    "Remote Pc Management with Intel's vPro". Tom's Hardware Guide. Retrieved 2007-11-21.
  • 2.    "Archived copy". Archived from the original on 2016-01-03. Retrieved 2016-01-16.