计算机供应商开始禁用Intel管理引擎

隐藏在基于英特尔的计算机内部是一个叫做管理引擎(ME)的神秘程序。它与受信任的执行引擎(TXE)和服务器平台服务(SPS)一起可用于远程管理您的计算机。我们对“英特尔ME”几乎一无所知，只是基于微型X操作系统，“是”，我非常不安全。因此，三台计算机供应商--Linux特定的OEM系统76和Purism和顶级PCBuilder戴尔--已决定为您提供禁用ME的计算机。

这些我的安全漏洞会影响数百万的计算机。我支持英特尔的主动管理技术(AMT)。这是一个功能强大的工具，允许管理员远程运行计算机，即使设备未启动。让我重复一遍：如果您的电脑有电源，即使它没有运行，它也会受到攻击。如果攻击者成功利用这些漏洞，攻击者就可以运行对操作系统完全不可见的恶意软件。

大多数(但不是所有)ME漏洞都需要有人进行物理访问才能利用。另一个则为远程攻击提供有效的管理凭据。尽管如此，这还是令人担忧的。

英特尔发布了一个检测工具，以便Linux和Windows用户可以检测他们的计算机是否容易受到攻击。该公司还拥有一个页面，提供链接以支持来自每个供应商的页面，因为他们确认了易受攻击的机器。

Intel承认以下CPU易受攻击：

现在或者在大多数这些芯片的路径上都有固件补丁。这些补丁的交付是硬件供应商的手中。

当然，也有可能在这些芯片上发现更多的安全漏洞。这就是为什么一些销售商正在远离英特尔的我。

首先，备受尊敬的LinuxPC制造商系统76宣布它发布了一个开源的程序来"类似于软件当前通过操作系统交付的方式，自动将固件传送到System76笔记本电脑。"这个程序的"在英特尔第6、第7和第8代笔记本电脑上自动提供已禁用ME的更新固件。"。

此程序只在运行Ubuntu 16.04 LTS、Ubuntu 17.04、Ubuntu 17.10、Pop！_OS 17.10或Ubuntu派生程序的膝上型计算机上工作，并安装了System 76驱动程序来接收最新的固件。

System 76还在开发一个shell命令工具，它将把这个固件上传到运行其他版本Linux的其他笔记本电脑上。系统76台式机客户将收到更新的固件，这修复了已知的安全漏洞，但我没有。

早些时候，Purism宣布，它将在运行开源软件重启芯片固件的笔记本电脑上禁用我。这不是一件小事。Purism的开发者不得不在不停止Wi-Fi的情况下通过多个抱箍来打击我。

与此同时，戴尔正致力于为其电脑提供修补的英特尔ME固件，以及提供三款无法操作的商业设备。这些包括纬度14崎岖的笔记本电脑，纬度15E 5570笔记本电脑，和纬度12坚固的平板电脑。要获得没有我的命令，您必须使用“Intel vPro-ME不可操作的自定义订单”选项来配置它们。这将使你多花20.92美元。

英特尔不推荐这些选项。在一份声明中，一位英特尔发言人说，"ME为我们的用户提供了重要的功能，包括安全启动、双因素身份验证、系统恢复和企业设备管理等功能。由于所描述的配置必然会删除大多数主流产品所需的功能，英特尔不支持此类配置。"

值得吗？好吧，如果我担心安全性，我不希望我的硬件在一个神秘的操作系统上运行一组黑匣子程序，该系统在任何级别的本地控制下运行。但是，嘿，那只是我。尽管如此，由于英特尔不支持这些配置，你的公司可能不想冒险使用它们。

理想的解决方案是英特尔开源其程序和定制的Minix，以便系统管理员能够准确地知道在他们的个人电脑、平板电脑和服务器上运行的是什么。我不认为这要求太多。

如果不能做到这一点，英特尔应该给供应商和客户一个简单的选项来禁用这些芯片级的程序。