Intel主动管理技术简介

目录

1. 概述
2. 硬件和固件技术
   • 硬件管理
   • 基于硬件的管理与软件管理
   • AMT的设计和安全性
3. 特性
   • 硬件功能的结合和自动化维护
   • 基于网络通信的远程访问
   • 远程引导和控制
   • 硬件过滤与安全检测
   • 其他特性：远程配置、硬件资产信息和音视频保护
4. 部署和集成
   • 远程部署和配置
   • 浏览器工具和管理服务
   • 通信技术
5. 安全性
   • 通信安全
   • 已知漏洞和利用
   • 风险避免和缓解措施
6. 结论

概述

Intel主动管理技术（Active Management Technology，简称AMT）是一种硬件和固件技术，用于对个人计算机进行远程、带外管理。它在Intel管理引擎上运行，这是一款不暴露给用户的独立微处理器，用于监视、维护、更新、升级和修复个人计算机。硬件型、带外（OOB）管理与软件型（或带内）管理以及软件管理代理不同，它在不同的级别上运作并使用不同的通信通道。硬件型管理不依赖于操作系统的存在或本地安装的管理代理。AMT不是单独使用的，而是与软件管理应用程序一起使用，使管理应用程序（以及使用它的系统管理员）通过网络对PC进行远程操作，以在没有内置远程功能的PC上进行困难或有时无法完成的任务。

硬件和固件技术

硬件管理

硬件管理是AMT的关键特性之一。它通过在主板上的辅助处理器中集成AMT，利用TLS安全通信和强加密技术提供额外的安全性。与其他基于软件的管理系统不同，硬件管理可以在操作系统的存在或本地安装的管理代理的影响下工作。过去，在基于Intel/AMD的计算机上已经引入了硬件型管理，但在动态IP地址分配使用DHCP或BOOTP的自动配置、无磁盘工作站和远程启动系统方面受到了很大的限制。

优点：

• 硬件型管理不依赖于操作系统或本地安装的管理代理，因此可以在没有这些条件的情况下进行远程管理。
• 它为系统管理员提供了对电脑的远程访问权限，无论电脑是否具有远程功能内置。

缺点：

• 硬件型管理可能需要在主板上集成AMT，这可能会增加硬件成本。
• 由于硬件型管理工作在较低的级别上，可能需要额外的安全防护手段以保护它免受恶意攻击。

基于硬件的管理与软件管理

基于硬件的管理与软件管理是AMT的两种不同类型的管理方式。基于硬件的管理不依赖于操作系统或本地安装的管理代理，并且使用不同于基于软件的通信通道。它可在操作系统未启动或操作系统存在问题时进行操作，并且可以直接从IT控制台访问计算机。而软件管理则是通过在操作系统上运行的代理软件进行管理，其功能和管理范围有限。

优点：

• 基于硬件的管理可以在操作系统无法启动或存在问题时进行操作，提供了无缝的远程管理能力。
• 软件管理代理可以提供更灵活和复杂的管理功能，因为可以直接运行在操作系统上。

缺点：

• 基于硬件的管理通常需要在计算机硬件上集成额外的AMT芯片，这可能增加硬件成本。
• 软件管理代理受限于操作系统的功能和可用性，可能无法进行一些硬件级别的管理操作。

AMT的设计和安全性

AMT是通过TLS安全通信和强加密技术实现远程访问的。它通过在主板上集成一个辅助处理器来实现，该处理器位于主处理器之外，并使用TLS保护的通信通道进行通信。AMT内置于具有Intel vPro技术的PC上，基于Intel管理引擎（ME）。AMT越来越支持DMTF桌面和移动系统硬件体系结构（DASH）标准，并且AMT Release 5.1和更高版本是对DASH版本1.0/1.1标准的实现。AMT为客户端计算系统提供类似于IPMI的功能。目前，AMT在桌面计算机、服务器、超极本、平板电脑和笔记本电脑上都可用，搭配Intel Core vPro处理器系列，包括Intel Core i5、i7和Intel Xeon E3-1200处理器系列。Intel在2017年5月1日确认了管理技术中的漏洞（CVE-2017-5689和SA-00075），并在2017年11月20日确认了影响Intel Management Engine、可信执行引擎和服务器平台服务固件的其他重大安全缺陷（SA-00086）。

优点：

• AMT通过TLS安全通信和强加密技术提供了额外的安全性。
• AMT集成在具有Intel vPro技术的PC上，为系统管理员提供了远程访问PC的能力。

缺点：

• AMT可能会存在安全漏洞，可能受到恶意攻击，从而危及系统的安全性。
• AMT的使用需要具备相应的硬件和软件支持，可能增加系统的成本。

特性

硬件功能的结合和自动化维护

AMT提供了许多硬件功能，可以与脚本结合使用来自动化维护和服务。这些功能包括对硬件设备进行远程通信、远程电源控制、远程引导、引导重定向、控制台重定向和网络流量过滤。这些功能使系统管理员能够在离开办公室的情况下远程管理计算机并处理可能的问题。

硬件功能的结合和自动化维护的优点：

• 系统管理员可以使用这些硬件功能与计算机进行远程通信，无需亲自前往计算机或要求用户进行操作。
• 这些硬件功能可以与脚本结合使用，实现自动化维护和服务的目的，提高工作效率。

硬件功能的结合和自动化维护的缺点：

• 这些功能可能需要一定的配置和设置才能正常工作。
• 如不正确使用或配置，可能会导致系统故障或安全漏洞。

基于网络通信的远程访问

AMT通过网络通信通道与IT控制台进行远程通信。这意味着系统管理员可以从远程位置访问PC，并远程执行各种管理任务，如监视、维护、更新、升级和修复。该功能可以在操作系统存在问题或无法启动的情况下使用，从而提供了一种无缝的远程管理解决方案。

基于网络通信的远程访问的优点：

• 系统管理员可以从远程位置访问计算机，无需亲自前往计算机所在的位置。
• 可以在操作系统存在问题或无法启动的情况下进行远程管理，提高了维护和修复的效率。

基于网络通信的远程访问的缺点：

• 通信过程可能会受到网络连接和速度的限制，可能会导致延迟或连接不稳定。
• 如果通信通道存在安全漏洞，可能会导致远程访问风险。

远程引导和控制

AMT提供了远程引导和控制的功能，可以远程重新启动、引导和控制计算机。这意味着系统管理员可以通过网络远程引导计算机，从其他镜像、网络共享或可引导的设备启动计算机。此功能对于需要重新引导操作系统或修复损坏的操作系统的计算机非常有用。

远程引导和控制的优点：

• 系统管理员可以通过网络远程引导计算机，而无需手动操作计算机或提醒用户参与。
• 可以从其他镜像、网络共享或可引导的设备启动计算机，方便操作系统的修复和重新引导。

远程引导和控制的缺点：

• 当计算机处于远程引导状态时，可能需要更长的时间才能完成引导过程。
• 远程引导可能需要稳定的网络连接和足够的带宽，如果网络条件不理想，可能会导致引导失败。

硬件过滤与安全检测

AMT提供了一些硬件过滤和安全检测功能，用于监视和检测网络流量中的威胁。这些功能可以根据网络流量的特征和时间进行安全检测，阻止或限制潜在的网络攻击或恶意行为。它还支持硬件级别的网络流量过滤，以监视进入和离开计算机的网络流量。

硬件过滤与安全检测的优点：

• 通过硬件过滤和安全检测功能，可以在网络流量到达操作系统和应用程序之前对其进行安全检测。
• 硬件级别的安全检测可以提高系统准确性和及时性，减少了对操作系统和应用程序的依赖。

硬件过滤与安全检测的缺点：

• 硬件过滤和安全检测的功能可能需要一些配置和设置才能发挥最佳效果。
• 如果配置不正确，可能会导致误报或错过真正的威胁。

其他特性：远程配置、硬件资产信息和音视频保护

除了上述功能之外，AMT还提供了一些其他功能，包括远程配置、硬件资产信息和音视频保护。这些功能使系统管理员能够通过远程配置选项进行远程配置，获取硬件资产信息以及提供音视频播放保护。

远程配置、硬件资产信息和音视频保护的优点：

• 远程配置选项使系统管理员能够实现远程配置，提高了管理的灵活性。
• 硬件资产信息使系统管理员能够获取关于硬件组件的制造商和型号等信息。
• 音视频保护功能可以保护DRM受保护的媒体的播放。

远程配置、硬件资产信息和音视频保护的缺点：

• 某些功能可能需要额外的设置和配置才能发挥最佳效果。
• 对于音视频保护功能，可能还需要特定的硬件和软件支持。

部署和集成

远程部署和配置

AMT支持多种远程部署和配置方式。可以通过远程配置和管理服务以及AMT Webserver工具来实现自动部署和配置。这些工具提供了基于网络的远程配置选项、USB密钥配置和手动配置。

优点：

• 远程部署和配置工具使系统管理员能够通过网络对计算机进行快速和方便的部署和配置。
• 自动部署和配置选项可以帮助系统管理员减少部署和配置的工作量，提高工作效率。

缺点：

• 配置和部署可能需要一些技术知识和操作步骤，如果配置不正确，可能会导致不正确的操作。
• 某些部署和配置选项可能需要额外的软件或工具的支持。

浏览器工具和管理服务

AMT通过浏览器工具和管理服务实现远程管理和配置。浏览器工具包括Intel提供的开发人员工具包，允许对AMT进行基本访问。管理服务可以允许IT控制台与AMT进行远程通信，并执行各种管理任务。

优点：

• 浏览器工具和管理服务使系统管理员可以在浏览器中轻松访问和管理AMT。
• 管理服务提供了一种方便和集中化的管理方式，使系统管理员可以使用统一的用户界面和工具来管理多台计算机。

缺点：

• 对于一些高级管理任务和定制功能，可能需要额外的软件或工具的支持。
• 浏览器工具和管理服务可能需要一些学习和熟悉的时间，以便正确使用和配置。

通信技术

通信是AMT中的一个关键方面，它通过主板上的管理引擎实现。AMT的通信依赖于管理引擎的状态，而不是PC的操作系统状态。通信主要基于TCP/IP协议栈，并且可以通过有线和无线网络进行通信。

优点：

• AMT的通信主要基于网络，可以在有线和无线网络上进行通信。
• 通过网络通信，AMT可以在计算机的操作系统未启动时进行通信，提供了更高的灵活性和可靠性。

缺点：

• 通信的稳定性和性能可能受到网络连接和带宽的限制。
• 使用网络技术进行通信可能会涉及一些网络安全风险，如数据泄露或恶意攻击。

安全性

通信安全

AMT提供了多种安全技术和方法来保护与AMT功能的访问和通信。这些技术包括传输层安全性、HTTP身份验证、单点登录和数字签名固件。AMT还提供了随机数生成器、受保护的内存和访问控制列表等功能，以增加通信的安全性。

优点：

• 通信安全技术和方法可以保护与AMT功能的通信安全。
• AMT提供了许多内置的安全特性和控制措施，以确保通信和访问的安全性。

缺点：

• 如果通信通道存在漏洞或配置不正确，可能会导致安全风险。
• 通信安全技术和方法可能需要一些配置和设置才能发挥最佳效果。

已知漏洞和利用

AMT存在一些已知的漏洞和利用，可能对系统的安全性产生影响。这些漏洞可能导致远程攻击者获得对计算机的完全控制，并能够读取和修改计算机中的数据。某些漏洞还可能导致持久性恶意软件的安装和感染。因此，对AMT的设计和配置进行正确认识和保护是非常重要的。

已知漏洞和利用的优点：

• 发现和报告已知漏洞和利用的存在可以引起注意和关注，并促使开发商采取适当的补救措施。
• 已知漏洞和利用的报告可以帮助用户和管理员意识到潜在的安全风险，并采取适当的保护措施。

已知漏洞和利用的缺点：

• 已知漏洞和利用可能会对计算机和数据的安全性产生严重影响。
• 修复已知漏洞和利用可能需要额外的补丁和更新，可能导致系统不可用或出现其他问题。

风险避免和缓解措施

为了避免和缓解AMT可能存在的风险，必须采取一些措施来保护计算机和数据的安全性。这些措施包括禁用AMT、更新固件、限制网络访问、进行安全配置和红队演练等。对于不需要AMT功能的计算机，可以完全禁用AMT以降低潜在的风险。对于需要使用AMT功能的计算机，应定期更新固件和软件，以获取最新的修复和安全增强功能。此外，通过限制网络访问、进行安全配置和定期进行红队演练，可以提高系统的安全性。

风险避免和缓解措施的优点：

• 采取风险避免和缓解措施可以减少AMT功能的潜在风险，增加系统和数据的安全性。
• 定期更新固件和软件，以及进行安全配置和红队演练等活动，可以帮助组织和个人保持对AMT安全性的关注和保护。

风险避免和缓解措施的缺点：

• 有些风险避免和缓解措施需要额外的工作和成本，可能会对用户和管理员的工作流程产生影响。
• 采取风险避免和缓解措施并不能完全消除所有潜在的风险，因此仍然需要其他安全措施和保护措施。

结论

Intel Active Management Technology（AMT）是一种硬件和固件技术，用于远程、带外管理个人计算机。它通过与Intel管理引擎集成，提供硬件级别的管理功能。AMT具有许多特性，包括硬件功能的结合和自动化维护、基于网络的远程访问、远程引导和控制、硬件过滤和安全检测、远程配置以及硬件资产信息和音视频保护。为了保护AMT功能的安全性，必须采取适当的风险避免和缓解措施，并定期更新固件和软件。尽管AMT存在一些已知的漏洞和利用，但通过采取适当的措施，可以减少安全风险，并确保系统和数据的安全性。

参考资源

• Intel官方网站：https://www.intel.com/content/www/us/en/architecture-and-technology/active-management-technology.html
• AMT Firmware Update: https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00086.html
• AMT安全漏洞信息：https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00075&languageid=en-fr

注：以上所提供的信息仅供参考，具体措施应根据个人或组织的需要进行确定和实施。