更新时间:2022-08-25 16:55
英特尔主动管理技术(英语:Intel Active Management Technology,缩写AMT)是一个以硬件为基础的远程管理技术,它是Intel vPro技术的其中之一。这项技术主要是让IT人员可以从通过带外(OOB)的网络连接来发现、修复和保护台式机、笔记本电脑或服务器。
英特尔主动管理技术(AMT)是用于个人计算机远程带外管理的硬件和固件技术,用于监控,维护,更新,升级,并修复它们。带外(OOB)或基于硬件的管理与基于软件(或带内)的管理和软件管理代理不同。
基于硬件的管理与软件应用程序在不同的级别上工作,并使用与基于软件的通信(通过操作系统中的软件堆栈)不同的通信通道(通过TCP / IP堆栈)。基于硬件的管理不依赖于操作系统或本地安装的管理代理的存在。基于硬件的管理在过去基于英特尔/ AMD的计算机上已经可用,但它主要限于使用DHCP或BOOTP进行动态IP地址分配和无盘工作站的自动配置,以及局域网唤醒(WOL) )用于远程供电系统。AMT本身并不打算使用;它旨在与软件管理应用程序一起使用。它为管理应用程序(以及使用它的系统管理员)提供了对PC的访问,以便远程执行在没有远程功能的PC上工作时很难或有时不可能执行的任务内置于其中。
AMT被设计到位于主板上的辅助(服务)处理器并使用TLS安全通信和强加密来提供额外的安全性。AMT内置于采用Intel vPro技术的PC中,基于英特尔管理引擎(ME)。AMT已经开始逐渐增加对DMTF桌面和系统硬件移动架构(DASH)标准的支持,AMT 5.1版及更高版本是针对带外管理的DASH版本1.0 / 1.1标准的实现。AMT提供与IPMI类似的功能虽然AMT是专为客户端计算系统而设计的,与典型的基于服务器的IPMI相比。
目前,AMT可用于配备英特尔酷睿博锐处理器系列的台式机,服务器,超极本,平板电脑和笔记本电脑,包括英特尔酷睿i5,i7和英特尔至强处理器E3-1200产品系列。
英特尔于2017年5月1日在其管理技术中确认了远程特权提升错误(CVE-2017-5689,SA-00075)。每个英特尔平台均采用英特尔标准可管理性,主动管理技术或小型企业技术,Nehalem于2008年在Kaby Lake于2017年在ME拥有一个可远程利用的安全漏洞。一些制造商,如Purism和System76已经销售硬件,禁用英特尔管理引擎以防止远程攻击。ME中的其他主要安全漏洞影响了大量包含管理引擎,可信执行引擎的计算机,以及2017年Skylake至2017年Coffee Lake的服务器平台服务固件已于2017年11月20日由英特尔确认(SA-00086)。
即使PC处于关机状态但连接了电源线,操作系统已崩溃,软件代理丢失,或硬件(如硬盘驱动器或内存),几乎所有AMT功能都可用失败了。PC启动后,可以使用控制台重定向功能(SOL),代理存在检查和网络流量过滤器。
Intel AMT支持以下管理任务:
从主要版本6开始,英特尔AMT嵌入了专有的VNC服务器,使用专用的VNC兼容的查看器技术进行带外访问,并在整个电源循环中具有完整的KV。
硬件安全专家Damien Zammit在BoingBoing博客网站指出Intel在部分CPU内建了一个无法被禁用的名为Intel管理引擎(Intel Management Engine)的子系统来运行AMT,该子系统运行在Intel处理器中处理器内并独立于计算机自身的闭源操作系统,能够直接访问计算机上的存储器并通过Intel的网络接口创建TCP/IP服务器使AMT具备运程控制功能,无论计算机的自身操作系统是否运行了防火墙,而且计算机即使在休眠情况下也能以极低的功耗运行,Zammit指出该子系统封闭源代码且系统固件采用RSA2048位算法加密,无法审计其安全性,也无法判断其是否为NSA的所谓后门,如果系统代码被恶意盗用,每台使用Intel处理器且连接互联网的计算机,都可能使子系统成为暴露的Rootkit。