近日，俄罗斯安全公司Positive Technologies的专家们发现了彻底禁用英特尔管理引擎（Intel ME）的方法。

何为Intel ME？

Intel ME是一个独立于x86 CPU、BIOS/UEFI固件的一个框架。这个框架分为硬件和软件两个部分，硬件部分根据ME版本不同分别对应ARC4/5、SPARC和x86(=>MEv11)的处理器，而软件的部分则是在flash中和BIOS、GBE以及其他固件模块打包在一起。

在ME这个框架以及独立的小型计算机下可以运行很多底层的应用，包括永远处于运行状态的远程管理工具包AMT是ME第一个的基于ME架构的应用，现在也有作为ME实现的TPM: PTT，用于remote attestion的信任链条的EPIDhe Boot Guard、PAVP( Protected Audio and Video Path)和SGX。

ME也被称为Ring -3，和BIOS/EFI的启动是并行的，Bootguard的验签OK的话SEC/PEI会有序进行，但问题是在于ME几乎无法被关掉，为什么是几乎呢，因为一旦启动（甚至关机状态）ME就会一直运行着，没有办法可以关掉，所以长期以来，很多人都怀疑Intel ME有后门嫌疑。

被认为有后门嫌疑的Intel ME

在很长一段时间里，黑客和专家们找了各种办法关掉ME，但都没有成功，这是为什么呢？

从硬件角度来看，ME就是平台控制单元（PCH）芯片上的微控制器，负责处理处理器和外部设备之间的通信，由于所有这些数据流都要经过ME进行处理，因此系统管理员可以远程操控电脑。

之所以被称为后门，是因为这些远程处理信息并未被PCH芯片记录，而且有些信息还会被可以隐藏，有人怀疑这是英特尔官方有意留的后门，不过英特尔拒绝承认此事。

彻底禁用Intel ME有多难？

许多人（包括安全专家和黑客）试图禁用Intel ME却以失败告终

因为这个ME是嵌入在启动进程中的，如果直接禁用ME访问统一内存架构（Unified Memory Architeture，UMA）的路径会导致计算机在1分钟内关机，而如果禁用镜像里的所有section会导致计算机在30分钟左右重启。

所以，美国国家标准与技术委员会(NIST)的国家漏洞数据库(NVD)曾在今年五月披露过AMT技术中存在漏洞。同时，电子前沿基金会将这个漏洞评为安全隐患，基金会还要求用户禁用PCH芯片中的主控制器，并详细介绍了该技术的运行方式。

虽然，非官方工具ME Cleaner可在一定程度上禁用，但也仅限特定范围。

如何彻底禁用英特尔管理引擎？

Positive Technologies研究人员在固件代码中发现了隐藏的字节，当将该字节设置为“1”时，即可禁用ME，而且是彻底的禁用。

这个字节被标记为“reserve_hap”，旁边标注“High Assurance Platform，HAP”，HAP是美国NSA制定的IT安全框架。

研究人员认为英特尔是在NSA的这个规则下添加了这个ME禁用字节。至于原因吗？我想，可能是NSA也需要彻底禁用ME的方法，从而在极度安全的环境中运行他们的业务。不难排除，ME或其中存在的任何固件漏洞可能会泄露高度敏感的信息。

英特尔发言人近日也表示，为了特定客户的需求，可以让他们修改或禁用ME。这样，英特尔应设备制造商的请求进行了配置修改，以支持HAP计划。不过这些修改只是个暂时的计划，还并被英特尔正式的大规模放置到配置中。

Positive Technologies指出，目前尚不清楚HAP是否会对Boot Guard构成影响。

关于详细的禁用方法，请点击此处。

不过为了保险起见，我建议以下4类用户要特别注意ME的潜在威胁：

1．注重软件自由和隐私的用户。

2．非美国以及“五只眼”情报联盟成员国以外的组织。

3．放置企业核心业务以及重要数据资产的设备。

4．管理关键性基础公共设施的机构。

译者注：“五只眼”情报联盟是在英美情报共享的基础上发展起来的。在二战结束后的1946年，英美签署了英美通信协定，将情报共享机制化。1948年，加拿大加入该协定。1956年，澳大利亚和新西兰加入。