前回 、Intel Management Engine（ME）についてお話しました。これは、Intelチップセットを備えた最新のコンピュータープラットフォーム（デスクトップ、ラップトップ、サーバー、タブレット）に組み込まれたサブシステムです。 このテクノロジーは、多くの人がハードウェアの「ブックマーク」として認識しているため、これには理由があります。 Intel MEが唯一のランタイムであると言えば十分です。

• コンピューターの電源が切れていても動作します（ただし、電源は供給されています）。
• コンピューターのRAMのすべてのコンテンツにアクセスできます。
• ネットワークインターフェイスへの帯域外アクセスがあります。

コンピューターにそのようなコンポーネントが存在することに驚いたユーザーは（「所有者」ではなく「ユーザー」であることが判明した）、おそらく疑問に思いました。IntelME をオフにすることは可能ですか？



この記事はこの問題に完全に専念しています。

はじめに

Intel MEの主要コンポーネントは、カスタムアーキテクチャを備えたチップセットに組み込まれたマイクロコントローラーであることを思い出してください。 基本モデルのみが既知であり、32ビットARCtangent-A4 （ME 1.x-5.x）、 ARCtangent-A5 （ME 6.x-10.x）、SPARC（TXE）またはx86（ME 11.x- ...）。



バージョン6以降、MEコントローラーはすべてのIntelチップセットに統合されています。





[ ここからの図面]



ファームウェアのブートローダーは内部ROMに保存されており、分析には使用できません。 ファームウェア自体は、外部SPIフラッシュメモリ（つまり、BIOSが保存されているのと同じメモリ）のME領域にあります。 このファームウェアの構造は、実行可能コード全体が圧縮形式（ハフマンアルゴリズムのカスタム実装またはLZMA）で保存されるモジュールに分割されるようなものです。 これらのコードモジュールは、変更から暗号で保護されています。



ファームウェアをアップグレードする場合は、 これらの 2つのツールを使用してその構造を調べ、コードモジュールを解凍することをお勧めします。



そのため、検討中のサブシステムは、さまざまなシステム機能（以前はBIOSに実装されていたものもあります）およびIntelテクノロジーのハードウェアおよびソフトウェアの基盤です。 それらの実装は、Intel MEファームウェアに含まれています。 Intel MEの特別な特権のいくつかを使用するこのようなテクノロジーの1つに、アクティブ管理テクノロジー（AMT）があります。

AMTモニタリング

AMTは、Intel vProの公式サポートが発表されているコンピューターシステムのリモート管理のためのテクノロジーです（AMTを含むいくつかのテクノロジーを組み合わせたブランドです）。 Qシリーズチップセット（たとえば、Q57またはQ170）を搭載したシステムについて話します。



このようなプラットフォームの高コストを考えると、このテクノロジーを原則的に使用しないために、だれかが誤ってAMTを搭載したコンピューターを購入することはほとんどありません。 それでも、そのような製品が手元にあり、AMTが現在オフになっていることを確認する必要がある場合は、 ACUwizardユーティリティを使用する必要があります。





[ ここからの図面]



または、Intel Management and Security Statusを使用します（vProプラットフォーム用Intel MEに付属、トレイにあります）：













最後に、ネットワーク上のコンピューターを外部からの不正な制御から保護するには、AMT要求を属性でフィルター処理するように外部ファイアウォールを構成する必要があります。 AMT要求の明確な兆候は、アクセスされているポートである可能性があります。

• 5900-暗号化なしのAMT VNCサーバー。
• 16992-HTTP経由のAMT Webサーバー。
• 16993-HTTPS経由のAMT Webサーバー。
• 16994-暗号化なしのSOL、IDE-R、KVMのAMTリダイレクト。
• 16995-TLSを使用したSOL、IDE-R、KVMのAMTリダイレクト。

vProプラットフォームとして分類されていない製品では、AMTを有効にできませんが、Intel MEファームウェアにはネットワークドライバーが含まれています。







これは、MEコントローラー（常にオンになっていることを忘れないでください）がネットワークインターフェイスを使用する技術的能力を持っていることを意味します。



したがって、問題は徹底的に解決する必要があります-Intel MEサブシステムをオフにしてみてください。

Intel System Tool Kitのユーティリティを使用してIntel MEをシャットダウンする

Intelが提供するマザーボードベンダー：

1. バイナリ形式のIntel MEファームウェア。
2. BIOS用のMEBxモジュール。
3. Intel ME OSソフトウェア。
4. Intel System Tool Kit（STK）は、SPIフラッシュメモリイメージを組み立て、これらのイメージを適用し、Intel MEの現在の状態に関する情報を取得するためのソフトウェアツールとドキュメントのセットです。

このキットはNDAに従って配布されているという事実（添付文書のIntel Confidentialタグによる判断）にもかかわらず、多くのベンダーは、ユーザーに送信されるIntel MEソフトウェアでアーカイブからそれを切り取るのを忘れています。 また、外部アクセスからFTPサーバーを閉じないでください。 その結果、多くのリークされたSTKバージョンがあります。 ここでは、Intel MEの任意のバージョンのキットをマージできます。



使用するSTKのメジャーバージョンとマイナーバージョン（1桁目と2桁目）がターゲットシステムのIntel MEバージョンと一致することが重要です。たとえば、 MEアナライザーを使用して、その情報を取得できます。







MEinfoユーティリティを使用してIntel MEの現在のステータスを確認できます。MEinfoユーティリティは、Management Engine Interface（MEI）を介してこのサブシステムの動作に関する情報を受け取ります。







MEIはメインCPUをIntel MEサブシステムに接続するためのインターフェースであり、PCI構成スペースおよびMMIO内のレジスタのセットであることを思い出してください。 このインターフェイスのコマンドは、プロトコル自体と同様に文書化されていません。

フラッシュ画像ツール

古いプラットフォーム（Intel MEバージョン5.x以前）では、Flash Image Tool（個々のBIOS、ME、GbEリージョンからフラッシュメモリのSPIイメージを構築するために設計されたSTKのユーティリティ）を使用してこのサブシステムをオフにできます。 アセンブリ中に、これらの領域とFlash Descriptors領域で指定されたパラメーターが設定されます。 後者には、「ME無効化」という非常に興味深いフラグが1つあります。







したがって、ターゲットコンピューターシステムでIntel MEをオフにするには、「ME無効」フラグが設定された新しいイメージ（プログラマー）をSPIフラッシュメモリに書き込む必要があります。



この方法が機能するかどうかは不明です。 しかし、これらのバージョンのMEコントローラーがQシリーズチップセットにのみ統合されていることを考えると、もっともらしいようです。 すべてのプラットフォームのオプションコンポーネントでした。

フラッシュプログラミングツール

Intel MEバージョン9以降、コンピュータープラットフォームのSPIフラッシュメモリのプログラミング用に設計されたフラッシュプログラミングツールに、Intel MEを一時的にオフにする機能が追加されました。







シャットダウンは、MEIにコマンドを送信することにより行われます。 ワークアウト後、Intel MEは「生命の兆候」を示しません。MEIでさえ反応しません。







ドキュメントによると、Intel MEサブシステムは、次のコンピューターの起動または再起動までこの状態にあります。



vProプラットフォームでは、このコマンドを送信する機能は以前のバージョンでも使用できます。 これを行うには、BIOSのME / AMT構成セクションを使用します。「Intel ME無効化」オプションは次のとおりです。





[ ここからの図面]



MEコントローラーをオフにするコマンドの前にブートする時間があり、ファームウェアコードの一部を実行するという理由だけで、この方法でIntel MEを完全に無効にできるとは言えません。

Intel MEは、この操作の後に「生命の兆候」を示さないという事実にもかかわらず、外部からの信号がこのサブシステムを再び有効にできるかどうかは不明です。 Intel MEがどのようにオフになっているかも不明です。

Intel MEの強制シャットダウン

MEコントローラによるファームウェアコードの実行の可能性を排除するために、それへのアクセスを制限しようとすることは論理的です。 そして何？ コードなし-問題ありません。



STKに付属のドキュメントを分析した後、少し考えて、次の方法でこれを行えることを提案しました。





1. SPIフラッシュメモリからME領域をカット（ゼロ）します。



そのようにしようとした人は 、自分のプラットフォームが本物のMEファームウェアなしでは起動しなかったか、30分操作した直後に電源が切れたと報告しています。



Intel MEファームウェアなしで起動するコンピューターシステムの障害は、ハードウェアコンポーネントの初期化中のMEコントローラーの重要性によって説明できます。 30分のタイムアウトは、WDT（Watch Dog Timer）を示唆しています。





2. SPIフラッシュメモリの非ディスクリプタモードを有効にします。 BIOSのみが含まれる「昔ながらの方法」。 これには、次の2つのいずれかが必要です。

• その中の最初の0x20バイトを削除します（したがって、フラッシュメモリの動作モードを決定するシグネチャ0x0FF0A55Aを損傷します）。
• ジャンパーHDA_SDOを設定します（ある場合）。

したがって、MEコントローラーはその領域にアクセスできないため、ファームウェアを実行しません。



一方で、MEコントローラーは、前のケースのように、コンピューターシステムの通常の動作を妨げる可能性があります。 一方、非記述子モードには、いわゆる 製造モード。これはベンダーがデバッグのために使用するもので、システムが起動する可能性があります。





3. Intel MEファームウェアは、RAMのメインCPU領域に割り当てられ、非表示になっていることがわかっています-ME UMA。 BIOSは、メモリカードの設定中にこの領域を選択してロックします。 次に、この領域が目立たないように、BIOSからこれらのコードを切り取りませんか。 その後、MEファームウェアは解凍されず、実行されません。



実験では、この方法も適切ではなく、システムが起動しないことが示されました。 さらに、MEコントローラには、ME UMAが使用できないときに使用される内部SRAMがあります。 したがって、ファームウェアの一部は引き続き実行されます。

おわりに

Intel MEをオフにする提案および開発の方法について話しました。

• MEIのチームによる各開始時の無効化またはフラッシュ記述子領域のフラグの無効化（バージョンに応じて）。
• MEコントローラーへのアクセスをそのファームウェアに制限するか、コンピュータープラットフォームを製造モードに移行します。
• ランタイムメモリを提供せずにMEコントローラの通常の動作を妨害する。

明らかに、提案されたソリューションの一部はコンピューターシステムの動作不能を伴いますが、他のソリューションはIntel MEサブシステムが実際にオフになっていることを保証しません。 この点で、Intel MEを完全にオフにすることは非常に難しいという結論に達しました。



これはおそらく、Intel MEを無効にすることで、コンピューターシステムのアーキテクチャの重要なコンポーネントを無効にするためです。 たとえば、MEがなければ、ACPIやICC（かつてBIOSに実装されていた）などの重要なシステムタスクを解決する人はいません。 MEなしでプラットフォームを安定して動作させるには、最低限、これらのテクノロジーの実装をBIOSに戻す必要があります。



何らかの方法で、コンピューターシステムのパフォーマンスを失うことなくIntel MEを無効にする方法の問題は未解決のままです。