Intel主动管理技术

英特尔主动管理技术（英语：Intel Active Management Technology，缩写AMT）是一个以硬件为基础的远程管理技术，它是Intel vPro技术的其中之一。这项技术主要是让IT人员可以从通过带外（OOB）的网络连接来发现、修复和保护台式机、笔记本电脑或服务器。

简介英特尔主动管理技术（AMT）是用于个人计算机远程带外管理的硬件和固件技术，用于监控，维护，更新，升级，并修复它们。带外（OOB）或基于硬件的管理与基于软件（或带内）的管理和软件管理代理不同。

基于硬件的管理与软件应用程序在不同的级别上工作，并使用与基于软件的通信（通过操作系统中的软件堆栈）不同的通信通道（通过TCP / IP堆栈）。基于硬件的管理不依赖于操作系统或本地安装的管理代理的存在。基于硬件的管理在过去基于英特尔/ AMD的计算机上已经可用，但它主要限于使用DHCP或BOOTP进行动态IP地址分配和无盘工作站的自动配置，以及局域网唤醒（WOL） ）用于远程供电系统。AMT本身并不打算使用;它旨在与软件管理应用程序一起使用。它为管理应用程序（以及使用它的系统管理员）提供了对PC的访问，以便远程执行在没有远程功能的PC上工作时很难或有时不可能执行的任务内置于其中。

AMT被设计到位于主板上的辅助（服务）处理器并使用TLS安全通信和强加密来提供额外的安全性。AMT内置于采用Intel vPro技术的PC中，基于英特尔管理引擎（ME）。AMT已经开始逐渐增加对DMTF桌面和系统硬件移动架构（DASH）标准的支持，AMT 5.1版及更高版本是针对带外管理的DASH版本1.0 / 1.1标准的实现。AMT提供与IPMI类似的功能虽然AMT是专为客户端计算系统而设计的，与典型的基于服务器的IPMI相比。

目前，AMT可用于配备英特尔酷睿博锐处理器系列的台式机，服务器，超极本，平板电脑和笔记本电脑，包括英特尔酷睿i5，i7和英特尔至强处理器E3-1200产品系列。

英特尔于2017年5月1日在其管理技术中确认了远程特权提升错误（CVE-2017-5689，SA-00075）。每个英特尔平台均采用英特尔标准可管理性，主动管理技术或小型企业技术，Nehalem于2008年在Kaby Lake于2017年在ME拥有一个可远程利用的安全漏洞。一些制造商，如Purism和System76已经销售硬件，禁用英特尔管理引擎以防止远程攻击。ME中的其他主要安全漏洞影响了大量包含管理引擎，可信执行引擎的计算机，以及2017年Skylake至2017年Coffee Lake的服务器平台服务固件已于2017年11月20日由英特尔确认（SA-00086）。1

应用即使PC处于关机状态但连接了电源线，操作系统已崩溃，软件代理丢失，或硬件（如硬盘驱动器或内存），几乎所有AMT功能都可用失败了。PC启动后，可以使用控制台重定向功能（SOL），代理存在检查和网络流量过滤器。

Intel AMT支持以下管理任务：

远程开机，关机，重新启动电源并重置电源。

通过远程重定向PC的引导过程远程启动PC，使其从不同的映像启动，例如网络共享，可启动CD-ROM或DVD，补救驱动器或其他启动设备。此功能支持远程启动操作系统已损坏或丢失的PC。

通过LAN上串行（SOL）通过控制台重定向远程重定向系统的I / O.此功能支持远程故障排除，远程修复，软件升级和类似过程。

远程访问和更改BIOS设置。即使PC电源关闭，操作系统关闭或硬件发生故障，此功能也可用。此功能旨在允许远程更新和更正配置设置。此功能支持完整的BIOS更新，而不仅仅是对特定设置的更改。

检测可疑的网络流量。在笔记本电脑和台式机中，此功能允许sys-admin定义可能指示网络数据包标头中的入站或出站威胁的事件。在台式PC中，此功能还支持通过基于时间，基于启发式的过滤器检测网络流量中的已知和/或未知威胁（包括慢速和快速移动的计算机蠕虫）。网络流量在到达操作系统之前会进行检查，因此在操作系统和软件应用程序加载之前以及关闭之后也会进行检查（传统上是PC的脆弱时期）。

阻止或限制进出被怀疑受到计算机病毒，计算机蠕虫或其他威胁感染或危害的系统的网络流量。此功能使用基于Intel AMT硬件的隔离电路，可以根据IT策略（特定事件）手动（远程，由sys-admin）触发或自动触发。

管理板载网络适配器中的硬件数据包筛选器。

当关键软件代理错过了使用基于策略的可编程硬件定时器分配的签入时，自动将OOB通信发送到IT控制台。“未命中”表示潜在的问题。此功能可与OOB警报结合使用，以便仅在发生潜在问题时通知IT控制台（有助于防止网络被不必要的“正面”事件通知淹没）。

从AMT子系统接收带外事件陷阱（PET）事件（例如，指示操作系统挂起或崩溃的事件，或者已尝试密码攻击的事件）。可以针对事件（例如，不合规，与代理存在检查相结合）或阈值（例如达到特定风扇速度）发出警报。

访问存储在受保护内存中的持久事件日志。即使操作系统关闭或硬件已经发生故障，事件日志也可用OOB。

独立于PC的电源状态或OS状态发现AMT系统。如果系统断电，其操作系统受损或关闭，硬件（如硬盘驱动器或内存）出现故障或管理代理程序丢失，则可以使用发现（预引导访问UUID）。

在PC上执行软件清单或访问有关软件的信息。此功能允许第三方软件供应商在Intel AMT保护的内存中存储本地应用程序的软件资产或版本信息。（这是受保护的第三方数据存储，它与受保护的AMT存储器的硬件组件信息和其他系统信息不同）。sys-admin可以访问第三方数据存储OOB。例如，防病毒程序可以将版本信息存储在受保护的内存中，该内存可用于第三方数据。一个计算机脚本可以使用此功能来确定需要更新电脑。

通过上载远程PC的硬件资产列表（平台，基板管理控制器，BIOS，处理器，内存，磁盘，便携式电池，现场可更换单元和其他信息）来执行硬件清单。硬件资产信息是每次系统通过运行时间更新加电自检（POST）。

从主要版本6开始，英特尔AMT嵌入了专有的VNC服务器，使用专用的VNC兼容的查看器技术进行带外访问，并在整个电源循环中具有完整的KV。2

质疑硬件安全专家Damien Zammit在BoingBoing博客网站指出Intel在部分CPU内建了一个无法被禁用的名为Intel管理引擎（Intel Management Engine）的子系统来运行AMT，该子系统运行在Intel处理器中处理器内并独立于计算机自身的闭源操作系统，能够直接访问计算机上的存储器并通过Intel的网络接口创建TCP/IP服务器使AMT具备运程控制功能，无论计算机的自身操作系统是否运行了防火墙，而且计算机即使在休眠情况下也能以极低的功耗运行，Zammit指出该子系统封闭源代码且系统固件采用RSA2048位算法加密，无法审计其安全性，也无法判断其是否为NSA的所谓后门，如果系统代码被恶意盗用，每台使用Intel处理器且连接互联网的计算机，都可能使子系统成为暴露的Rootkit。2

本词条内容贡献者为:

王沛 - 副教授、副研究员 - 中国科学院工程热物理研究所