Intel主動管理技術

英特爾主動管理技術(英語:Intel Active Management Technology,縮寫AMT)是一個以硬體為基礎的遠程管理技術,它是Intel vPro技術的其中之一。這項技術主要是讓IT人員可以從通過帶外(OOB)的網路連線來發現、修復和保護台式機筆記本電腦伺服器

基本介紹

  • 中文名:Intel主動管理技術
  • 外文名:Intel Active Management Technology
  • 縮寫:AMT
  • 領域:計算機
簡介,套用,質疑,

簡介

英特爾主動管理技術AMT)是用於個人計算機遠程帶外管理的硬體和固件技術,用於監控,維護,更新,升級,並修復它們。帶外(OOB)或基於硬體的管理與基於軟體(或帶內)的管理和軟體管理代理不同。
基於硬體的管理與軟體應用程式在不同的級別上工作,並使用與基於軟體的通信(通過作業系統中的軟體堆疊)不同的通信通道(通過TCP / IP堆疊)。基於硬體的管理不依賴於作業系統或本地安裝的管理代理的存在。基於硬體的管理在過去基於英特爾/ AMD的計算機上已經可用,但它主要限於使用DHCPBOOTP進行動態IP位址分配和無盤工作站的自動配置,以及區域網路喚醒(WOL) )用於遠程供電系統。AMT本身並不打算使用;它旨在與軟體管理應用程式一起使用。它為管理應用程式(以及使用它的系統管理員)提供了對PC的訪問,以便遠程執行在沒有遠程功能的PC上工作時很難或有時不可能執行的任務內置於其中。
AMT被設計到位於主機板上的輔助(服務)處理器並使用TLS安全通信和強加密來提供額外的安全性。AMT內置於採用Intel vPro技術的PC中,基於英特爾管理引擎(ME)。AMT已經開始逐漸增加對DMTF桌面和系統硬體移動架構(DASH)標準的支持,AMT 5.1版及更高版本是針對帶外管理的DASH版本1.0 / 1.1標準的實現。AMT提供與IPMI類似的功能雖然AMT是專為客戶端計算系統而設計的,與典型的基於伺服器的IPMI相比。
目前,AMT可用於配備英特爾酷睿博銳處理器系列的台式機,伺服器,超極本,平板電腦和筆記本電腦,包括英特爾酷睿i5,i7和英特爾至強處理器E3-1200產品系列。
英特爾於2017年5月1日在其管理技術中確認了遠程特權提升錯誤(CVE-2017-5689,SA-00075)。每個英特爾平台均採用英特爾標準可管理性,主動管理技術或小型企業技術,Nehalem於2008年在Kaby Lake於2017年在ME擁有一個可遠程利用的安全漏洞。一些製造商,如Purism和System76已經銷售硬體,禁用英特爾管理引擎以防止遠程攻擊。ME中的其他主要安全漏洞影響了大量包含管理引擎,可信執行引擎的計算機,以及2017年Skylake至2017年Coffee Lake的伺服器平台服務固件已於2017年11月20日由英特爾確認(SA-00086)。

套用

即使PC處於關機狀態但連線了電源線,作業系統已崩潰,軟體代理丟失,或硬體(如硬碟驅動器或記憶體),幾乎所有AMT功能都可用失敗了。PC啟動後,可以使用控制台重定向功能(SOL),代理存在檢查和網路流量過濾器。
Intel AMT支持以下管理任務:
  • 遠程開機,關機,重新啟動電源並重置電源。
  • 通過遠程重定向PC的引導過程遠程啟動PC,使其從不同的映像啟動,例如網路共享,可啟動CD-ROMDVD,補救驅動器或其他啟動設備。此功能支持遠程啟動作業系統已損壞或丟失的PC。
  • 通過LAN上串列(SOL)通過控制台重定向遠程重定向系統的I / O.此功能支持遠程故障排除,遠程修復,軟體升級和類似過程。
  • 遠程訪問和更改BIOS設定。即使PC電源關閉,作業系統關閉或硬體發生故障,此功能也可用。此功能旨在允許遠程更新和更正配置設定。此功能支持完整的BIOS更新,而不僅僅是對特定設定的更改。
  • 檢測可疑的網路流量。在筆記本電腦和台式機中,此功能允許sys-admin定義可能指示網路數據包標頭中的入站或出站威脅的事件。在台式PC中,此功能還支持通過基於時間,基於啟發式的過濾器檢測網路流量中的已知和/或未知威脅(包括慢速和快速移動的計算機蠕蟲)。網路流量在到達作業系統之前會進行檢查,因此在作業系統和軟體應用程式載入之前以及關閉之後也會進行檢查(傳統上是PC的脆弱時期)。
  • 阻止或限制進出被懷疑受到計算機病毒,計算機蠕蟲或其他威脅感染或危害的系統的網路流量。此功能使用基於Intel AMT硬體的隔離電路,可以根據IT策略(特定事件)手動(遠程,由sys-admin)觸發或自動觸發。
  • 管理板載網路適配器中的硬體數據包篩選
  • 當關鍵軟體代理錯過了使用基於策略的可程式硬體定時器分配的簽入時,自動將OOB通信傳送到IT控制台。“未命中”表示潛在的問題。此功能可與OOB警報結合使用,以便僅在發生潛在問題時通知IT控制台(有助於防止網路被不必要的“正面”事件通知淹沒)。
  • 從AMT子系統接收帶外事件陷阱(PET)事件(例如,指示作業系統掛起或崩潰的事件,或者已嘗試密碼攻擊的事件)。可以針對事件(例如,不合規,與代理存在檢查相結合)或閾值(例如達到特定風扇速度)發出警報。
  • 訪問存儲在受保護記憶體中的持久事件日誌。即使作業系統關閉或硬體已經發生故障,事件日誌也可用OOB。
  • 獨立於PC的電源狀態或OS狀態發現AMT系統。如果系統斷電,其作業系統受損或關閉,硬體(如硬碟驅動器記憶體)出現故障或管理代理程式丟失,則可以使用發現(預引導訪問UUID)。
  • 在PC上執行軟體清單或訪問有關軟體的信息。此功能允許第三方軟體供應商在Intel AMT保護的記憶體中存儲本地應用程式的軟體資產或版本信息。(這是受保護的第三方數據存儲,它與受保護的AMT存儲器的硬體組件信息和其他系統信息不同)。sys-admin可以訪問第三方數據存儲OOB。例如,防病毒程式可以將版本信息存儲在受保護的記憶體中,該記憶體可用於第三方數據。一個計算機腳本可以使用此功能來確定需要更新電腦。
  • 通過上載遠程PC的硬體資產列表(平台,基板管理控制器,BIOS處理器記憶體,磁碟,攜帶型電池,現場可更換單元和其他信息)來執行硬體清單。硬體資產信息是每次系統通過運行時間更新加電自檢(POST)。
從主要版本6開始,英特爾AMT嵌入了專有的VNC伺服器,使用專用的VNC兼容的查看器技術進行帶外訪問,並在整個電源循環中具有完整的KV。

質疑

硬體安全專家Damien Zammit在BoingBoing部落格網站指出Intel在部分CPU內建了一個無法被禁用的名為Intel管理引擎(Intel Management Engine)的子系統來運行AMT,該子系統運行在Intel處理器中處理器內並獨立於計算機自身的閉源作業系統,能夠直接訪問計算機上的存儲器並通過Intel的網路接口創建TCP/IP伺服器使AMT具備運程控制功能,無論計算機的自身作業系統是否運行了防火牆,而且計算機即使在休眠情況下也能以極低的功耗運行,Zammit指出該子系統封閉原始碼且系統固件採用RSA2048位算法加密,無法審計其安全性,也無法判斷其是否為NSA的所謂後門,如果系統代碼被惡意盜用,每台使用Intel處理器且連線網際網路的計算機,都可能使子系統成為暴露的Rootkit

相關詞條

熱門詞條

聯絡我們