Intel ME 是 Intel Management Engine 的简称 ，中文翻译为 英特尔管理引擎，Intel ME 是指 Intel 芯片中一个独立于CPU和操作系统的微处理器。ME里面有用于远程管理的功能，在出现严重漏洞的时可以在不受用户操控下远程管理企业计算机。     .

基本信息

中文名称: 英特尔管理引擎

外文名称: Intel Management Engine

简称: Intel ME

目录

  1.官方介绍   2.来自功能   3.出现原因   4.结构设计     易反.5.软件接口   6.与AMT的关系   7.安全性问题

官方介绍

intelME(英特尔管理引擎) 是一个嵌入式微控制器 (集成在一些英特尔芯片组上)，它运行着一个轻量级微内核操作系统，为英特尔 processor–based 计算机系统提供各种功能和服务。

功能

功能包括(但不限于):

低功耗、带外(OOB)管理服务能力许可服务(奏极服底CLS)防盗保护受保护的音频视频路径(PAV也外今相春格须益P)

在系统初始化时，ME 从系统闪存中加载其代码。这允许   且到开.ME 在主操作系统启动之前启动。对于运行时数据存角在且储，ME 可以访问受保护的系统内存区域(除了少量的芯片缓存内存，以便更快、更高效地处理)。

ME 的基本功能是它的远电源状态与主机 OS 电源状事市态无关。当微处理器和系统的许多其他组件处于更深层次的休眠状态时，此飞酒请龙从水占换载密功能允许它出现。考烈既控派章布英阳利因此，只要将电源应用于系统，ME 就可以是答民换优结目急等听点一个完全功能的组件。此功能允许蒸愿它从 it 管理控制台响应 OOB 命令，而不必唤醒系统的其余部分。因此，功耗大大降低。

出现原因

Intel Huron River 平台之后的南桥芯片叫PCH(Platfor  立承准.m Control沉两牛始ler Hub)，  员板斤乡众客.intel 为 PCH 开质工京在成观发一个程序(intel Management Engine)主要用于管理 PCH 与其他固件之间的协调沟通作用，以让系统达到最高性能和最协调的效用。

ME 驱动一般会与 BIOS/EC 程序打包在一起，通过 Flash BIOS(快闪存储器)进行升级。

ME 是一个有别于CPU的独立系统，本身其实就是一大堆固件代码实现的功能，比较关键的是 ME 里面有用于远程管理的功能，它可以在不受用户操控下远程管理企业计算机。

结构设计

这个子系统主要由运  防.行在一个单独的微处理器上的专有固件组成，可以在操作系统开机启动时执行一些任务，无论彼时计算机是在运行或是休眠。只要芯片或系统级芯片(SoC)连接到当前系统(通过电池或电源)，即使当前系统是关机状态，它依然会持续运行。英特尔声称管理引擎需要用来提供完整的性能。其确切工作很大程度上是没有记录的，它的代码使用直接存储在硬件中的机密哈夫曼表进行混淆，因此固件不包含解码其内容所需的信息。英特尔的主要竞争对手AMD在其2013年后的几乎所有的C买收延装为讨织这强依PU中都加入了等效的AMD安全技术(正式名称为平台安全处理器)。

本越到胜个来处导凯连快段 软件接口

Intel MEI(Intel Management Engine Interface)又称英感致副破特尔管理引擎接口，是Intel针对其芯片组推出的一款芯片热能管理驱动，该驱动程序主要为 intel ME 提供软件接口。

与AMT的关系

管理引擎经常与Intel主动管理技术致手稳程(Intel AMT)混淆。AMT基于ME，但仅适用于使用vPro的处理器。AMT使计算机拥有者能够远程管理他们的机器，例如打开关闭计算机以及重新安装操作系统。 然而自2008年以来，ME本专书尼补肉酒令认诗酸身就被嵌入到所有英特尔芯片组中，而不仅仅是那些具几事格有AMT的芯片组。虽然AMT可油使配各海以不由计算机拥有者监管，但没有官方文档化的方式来禁更影杨用ME。

安全性问题

问题缘由

intel ME 是一个自主运行的子系统，自2008年起被纳入几乎所有的英特尔处理器芯片。 它是英特尔主动管理技术的一部分，它允许系统管理员远程自大结任列钢确需你某执行机器上的任务。如果公司购买英特尔主动管理技术软件香买越攻并配置其机器使用它系统管理员可以打开和关闭计算机，无论是否安装了操作系统，他们都可以  学主考慢海花保只.远程访问计算机。

专家抨击

电子前沿基金会(EFF)和安全专家达米恩·扎米特(Damien Zammit)等抨击者指责ME是一个后门和一个隐私检经房的志隐患。 扎米特强调，ME可以完全访问存储器(没有父CPU具有任何知觉);可以完全访问TCP/IP堆栈，并可以独立于操作系统发送和接收网络数据包，从而绕过其防火墙。 对此英特尔回应"英特尔不会在产品中放置后门，也不会板山降责让我们的产品在没有最终端用户的明确许可情况下允许英特尔控制或访问计算系统"中立性有争议的作原省第损风升否行员怕关品和"英特尔没有也不会设计进入其产品的后门。最近的报道声称是有误导性和公然虚假的。英特尔并不会努力去降低其技术的安全性。"

英特尔官方回应

2017年5月1日  式压承之被家已顾危传当.，英特尔在其管理技术中确认了远程特权漏洞(SA-00075)。 每个采用英特尔标准管理，主动管理技术或小型企业技术的英特尔平台，从2008年的Nehalem  令照论粮赵.微架构到2017年的Kaby Lake微架  易吸参层排歌架张图.构，都有一个可远程利用的安全漏洞。 有几种方法可以在未经授权的情况下禁用ME，但这可能会导致ME的功能被破坏。ME中这些附加的重大安全缺陷影响了相当数量的集成了TX官例条船轴总吧犯它卫E(Trusted Execution Engine)和SPS(Server Platform Services)固件的计算机，从2015红草村诗历年的Skylake微架构到2017年的Coffee Lake微架构，这些缺陷都已在2017年11月20日被Intel确认(S各曾奏试还更距粒厂A-00086)操首阳前施。 不同于SA-00育075，这个缺陷甚至是在AMT不存在或没有配置，或者ME被任何费层支委裂李虽该算波反已知的非官方方法"禁用"的情况下依旧存在。 2018年7月，披露了一组漏洞(SA-00112)。 2018年9月又发布了另一个漏洞(SA-00125)。

网络舆论

ME中存在高危级别安全漏洞，攻击者女身分交可以利用该漏洞进行英特尔产品系统的远程控制提权。

据一位业内人士介绍:"(M  古测钢物大坏在耐味块根.E)其实并不是什么值科难提被秘密。10几年前做Bios的种处歌团银陈时候就有(ME)，Bios代码做好后要用Intel的ME工具把Bios和ME固件一起打包，然后烧到Bios芯片里，那时候ME固件已经有4兆大了，Bios才2兆......(ME)漏洞  术境受顶.一直有，有人研究就能找到漏洞"。

对于ME存在的漏洞，国外科技曝料网站Semiaccurate表示:5年前就开始向英特尔公司提这个漏洞，英特尔公司10年来对该漏洞不便坚妈互茶镇朝顾式阳屑一顾。