Kako postaviti pametne telefone i računala. Informativni portal

Borba protiv daljinskog upravljanja: kako onemogućiti Intel ME. Onemogućavanje video kartice na prijenosnom računalu

16.06.2019 Internet, Wi-Fi, lokalne mreže

Danas je većina prijenosnih računala opremljena s dvije video kartice:

  • Integrirana, odnosno ugrađena u matičnu ploču, troši minimalno električne energije, ali istovremeno ima niske performanse.
  • Diskretna, to jest zasebna ploča, koja zauzvrat, naprotiv, ima veće performanse i troši više energije.

To vrijeme nije tajna život baterije na prijenosnom računalu bilo kojeg modela (hp g62, hp g72 b01er, sony vgn ar21mr) ili tvrtke (acer, asus, msi, samsung, lenovo) u potpunosti ovisi o količini potrošene energije.

Ako korisnik ne radi sa zahtjevnim aplikacijama i igricama, ali ipak želi da mu baterija traje dulje dugoročno, tada se u ovoj situaciji preporučuje onemogućiti vanjski grafički adapter. U nekim slučajevima to može značajno povećati vrijeme rada uređaja bez ponovnog punjenja.

Osnovne metode

Ako ne znate kako onemogućiti diskretnu grafičku karticu na prijenosnom računalu, onda je ovaj članak samo za vas. Želio bih vam odmah skrenuti pozornost na činjenicu da ako je eksterna kartica isključena, integrirana će se automatski aktivirati i o tome ne morate brinuti.

Postoji nekoliko načina za onemogućavanje diskretne video kartice:

  1. Preko BIOS-a;
  2. Korištenje softvera;
  3. Korištenje dispečera Windows uređaji;

Pogledajmo pobliže svaki od njih kako bismo razumjeli koji je pravi za vas. bolje pristaje Ukupno.

Postavke BIOS-a

Da biste isključili vanjski video adapter na prijenosnom računalu putem BIOS-a, trebate:


Stariji modeli prijenosnih računala ne podržavaju uvijek gornju metodu i onemogućuju je vanjska video kartica na njima je na ovaj način nemoguće. U ovom slučaju, druga opcija, koja će biti opisana u nastavku, prikladna je za vas.

Programi programera

Ako imate stari laptop, zatim za onemogućavanje video kartice (Nvidia, AMD Radeon), morat ćete ažurirati upravljačke programe svoje video kartice i procesora na Najnovija verzija. Uz njih će se na prijenosno računalo instalirati poseban softver koji će nam trebati.

Nakon instalacije softvera morate:


Također, pomoću ovog softvera možete u potpunosti konfigurirati automatsko prebacivanje grafički adapteri. Možete napraviti tako da se pri radu s programima koji zahtijevaju velike resurse koristi diskretna video kartica, au slučaju redovite aplikacije, integrirani će se aktivirati. To će vam pomoći uštedjeti bateriju bez odspajanja bilo koje ploče.

Windows upravitelj uređaja

Je li moguće onemogućiti potpuno diskretnu video karticu pomoću Upravitelja uređaja? Da, možete, i to je vrlo jednostavno:


Prebacivanje na integriranu karticu trebalo bi se dogoditi automatski, ali ako se to ne dogodi i zaslon se samo isključi, morate:

  1. Za ponovno pokretanje računala;
  2. Uštekati vanjski monitor pomoću VGA ili HDMI kabela;
  3. Konfigurirajte parametre prikaza (uključite ugrađeni monitor);

Nakon toga, prijelaz na ugrađenu video karticu bit će u potpunosti završen i moći ćete u potpunosti koristiti svoje prijenosno računalo. Važno je napomenuti da također možete isključiti grafički adapter na računalu pomoću jedne od ovih metoda.

Detaljna video lekcija

Intel ME tehnologija (ili AMT, Active Management Technology) jedan je od najmisterioznijih i najmoćnijih elemenata modernih x86 platformi. Alat je izvorno stvoren kao rješenje za udaljena administracija. Međutim, ima tako snažnu funkcionalnost i toliko je izvan kontrole korisnika Intelovih uređaja da bi mnogi od njih željeli onemogućiti ovu tehnologiju, što nije tako lako učiniti.

Na forumu Positive Hack Days VI koji je održan u Moskvi 17. i 18. svibnja, istraživači Positive Technologies Maxim Goryachiy i Mark Ermolov predstavili su nekoliko tehnika za onesposobljavanje Intel ME-a, poprativši izvješće video demonstracijom procesa.

Što je to i zašto ga morate isključiti?

Intel Management Engine (ME) podsustav je dodatni "skriveni" procesor koji je prisutan u svim uređajima temeljenim na Intel čipseti(ne samo u osobnim i prijenosnim računalima, već i u poslužiteljima). ME runtime okruženje nikada ne "spava" i radi čak i kada je računalo isključeno (u prisustvu napona u stanju pripravnosti), a također ima pristup RAM-u, mrežnom sučelju, USB kontroler i ugrađeni grafički adapter.

Unatoč tako opsežnim mogućnostima, postoje pitanja o razini sigurnosti ME - prethodno su istraživači već pronašli ozbiljne ranjivosti i vektore napada. Osim toga, podsustav sadrži potencijalno opasne funkcije - daljinsko upravljanje, NFC, skrivenu servisnu particiju. Sučelja ME podsustava su nedokumentirana i implementacija je zatvorena.

Svi ovi razlozi navode mnoge da na ME tehnologiju gledaju kao na "hardverski hak". Situaciju pogoršava činjenica da, s jedne strane, korisnik uređaja nema mogućnost onemogućiti ovu funkcionalnost, as druge strane, proizvođač opreme može napraviti pogreške u konfiguraciji ME.

Dobre vijesti Problem je u tome što još uvijek postoje načini da ME onemogućite.

Tehnike za onesposobljavanje Intel ME

Istraživači Positive Technologies Maxim Goryachiy i Mark Ermolov predstavili su izvješće o onemogućavanju Intel ME tijekom foruma Positive Hack Days VI održanog u Moskvi. Stručnjaci su opisali nekoliko tehnika za onesposobljavanje ovog podsustava:
  1. ME inicijalizacija temeljena na greškama;
  2. Kroz ME mehanizam ažuriranja firmvera;
  3. Nedokumentirane naredbe
  4. Nedokumentirani mehanizam namijenjen programerima hardvera - Manufacture Mode.
Istraživači su otkrili da programeri hardverske platforme često zaborave isključiti Manufacture Mode, koji dopušta posljednja metoda na velikom broju računala bez dodatnih troškova u realnom vremenu.

Većina metoda isključivanja koristi ugrađene ME mehanizme dizajnirane za dobavljače uređaja Intel platforma. Svi su oni detaljno opisani u prezentaciji koja je objavljena na GitHubu. Po veza Evo demo videa onemogućavanja ME-a (također je ispod):

Pa ipak, postavlja se razumno pitanje: “Prestajem li JA stvarno raditi u u cijelosti kada koristi svoje ugrađene mehanizme za isključivanje?" Kao dokaz činjenice da je ME onemogućen, istraživači iznose sljedeći argument: ME radi u dva memorijska načina: samo SRAM (ugrađen u ME) i SRAM + UMA. UMA je dio memorije glavnog računala koji se koristi kao stranična memorija (swap). Nakon što glavno računalo inicijalizira DRAM kontroler, ME se uvijek prebacuje u način rada SRAM + UMA.

Dakle, ako je ME stvarno isključen, tada kada je ME pristup UMA memoriji onemogućen na hardverskoj razini u proizvoljnom trenutku (putem VSm kanala), neće doći do kvarova hardvera u ME-u zbog nedostatka podataka i koda koji su gurnuti u UMA memoriju (takvi hardverski kvarovi dovode do hitnog prekida napajanja glavnih hardverskih komponenti platforme). S druge strane, korištenje ovih metoda omogućuje izvođenje DoS napada na AMT tehnologiju ako se koristi za daljinsko upravljanje.

Tijekom ispitivanja unutarnje arhitekture Intel Management Engine (ME) verzije 11, otkriven je mehanizam koji onemogućuje ovu tehnologiju nakon inicijalizacije hardvera i pokretanja glavnog procesora. Kako smo pronašli ovaj nedokumentirani način rada i njegovu vezu s državni program U ovom ćemo članku opisati konstrukciju Platforme visoke sigurnosti (HAP).

Autori upozoravaju da korištenje ovih znanja u praksi može dovesti do oštećenja računalne opreme, te ne snose nikakvu odgovornost za to, a također ne jamče funkcionalnost ili neoperabilnost bilo čega i ne preporučuju eksperimentiranje bez SPI programatora.

Uvod

Intel Management Engine je zatvorena tehnologija koja je mikrokontroler integriran u Platform Controller Hub (PCH) čip sa skupom ugrađenih periferni uređaji. Kroz PCH prolazi gotovo sva komunikacija između procesora i vanjskih uređaja, stoga Intel ME ima pristup gotovo svim podacima na računalu i mogućnost izvršavanja kod treće strane omogućuje potpuno kompromitiranje platforme. Takav neograničene mogućnosti privući istraživače ne po prvi put, ali sada zanimaju Intel tehnologije ME je značajno porastao. Jedan od razloga za to je prelazak ovog podsustava na novi hardver (x86) i softver (modificirani MINIX kao operacijski sustav) arhitektura. Korištenje x86 platforme omogućuje korištenje pune snage alata za analizu binarni kod, što je prije bilo teško, jer se prije 11. verzije koristio kernel s manje uobičajenim sustavom naredbi - ARC. Nažalost, Intel analiza ME verziju 11 ometala je činjenica da su izvršni moduli prepuni Huffmanovog koda s nepoznatim tablicama. Ali naš istraživački tim (Dmitry Sklyarov, Mark Ermolov, Maxim Goryachiy) uspio ih je vratiti (uslužni program za raspakiranje slika može se pronaći na našoj GitHub stranici).

Nakon raspakiranja izvršnih modula, počeli smo proučavati softversko i hardversko "nadjev" Intel ME. Naš tim to radi već dosta dugo i skupili smo veliku količinu materijala koje smo odlučili objaviti. Ovo je prvi članak u nizu članaka posvećenih unutarnja struktura i značajke Intel rad ME, au njemu ćemo vam reći kako onemogućiti glavnu funkcionalnost podsustava. Ovo pitanje muči stručnjake, budući da bi njegovo isključivanje smanjilo rizike od curenja podataka, primjerice, ako se otkrije zero-day ranjivost u ovoj tehnologiji.

Kako ME isključiti

Kako isključiti ME - ovo pitanje često postavljaju neki vlasnici računala s x86 arhitekturom. Tema deaktivacije pokrenuta je nekoliko puta, uključujući i istraživače iz naše tvrtke.

Dodatna hitnost ovom problemu je nedavno otkrivena kritična (9,8 od 10) ranjivost u Intel Active Management Technology (AMT), tehnologiji koja se temelji na Intel ME.

Odmah razočarajmo čitatelja - nemoguće je potpuno isključiti ME na modernim računalima. To je prvenstveno zbog činjenice da je ova tehnologija odgovorna za inicijalizaciju, upravljanje napajanjem i pokretanje glavnog procesora. Dodatak složenosti je činjenica da je dio koda "povezan" unutar PCH čipa, koji služi kao južni most na modernim matične ploče Oh. Glavni lijek za entuzijaste koji se "bore" protiv ove tehnologije je uklanjanje svega "nepotrebnog" sa slike flash memorije uz zadržavanje funkcionalnosti računala. Ali to nije tako lako učiniti, jer ako kod ugrađen u PCH ne pronađe ME module u flash memoriji ili utvrdi da su oštećeni, sustav se neće pokrenuti. Već nekoliko godina na mreži se razvija projekt me_cleaner unutar kojega je i dostupan posebna korisnost, što vam omogućuje da uklonite veći dio slike i ostavite samo komponente vitalne za glavni sustav. Ali čak i ako se sustav pokrenuo, prerano je radovati se - nakon otprilike 30 minuta može doći do automatskog isključivanja, budući da u slučaju nekih kvarova ME prelazi u način oporavka, u kojem ne funkcionira duže od određenog fiksnog vremena. Kao rezultat toga, proces čišćenja postaje kompliciraniji. Na primjer, prije 11. verzije bilo je moguće smanjiti veličinu slike na 90 KB, ali u 11. verziji bilo ju je moguće smanjiti samo na 650 KB.

Slika 1. Podrška za Skylake+ arhitekture u me_cleaner

Tajne u QResourceu

Intel proizvođačima matičnih ploča daje mogućnost specificiranja malog broja ME parametara. Da bi to učinila, tvrtka proizvođačima opreme pruža poseban skup softvera, koji uključuje uslužne programe kao što je Flash Alat za slike(FIT) za postavljanje ME parametara i Flash Programming Tool (FPT), koji pruža podršku za programiranje flash memorije izravno preko ugrađenog SPI kontrolera. Podaci o programu nisu dostupni krajnji korisnik, ali se lako mogu pronaći na internetu. Velik broj datoteka može se izdvojiti iz ovih pomoćnih programa XML format(detaljni Intel ME: The Way of theStatic Analysis), čije proučavanje vam omogućuje da naučite mnogo zanimljivih stvari: strukturu ME firmware-a i opis PCH remena - posebne konfiguracijske bitove za različite podsustave integrirane u PCH čip.


Slika 2. Zapakirane XML datoteke

Zanimalo nas je jedno od tih polja pod nazivom “reserve_hap”, jer je uz njega stajao komentar - High Assurance Platform (HAP) enable.

Slika 3. PCH remen za High Assurance Platform

Google pretraga nije dugo trajala. Doslovno drugi link kaže da je to naziv programa za stvaranje pouzdanih platformi povezanih s američkom Agencijom za nacionalnu sigurnost (NSA). Možete pronaći prezentaciju koja opisuje program. Naša prva pomisao bila je odsvirati ovaj ritam i vidjeti što će se dogoditi. Svatko to može učiniti ako ima SPI programator ili pristup Flash deskriptoru (mnoge matične ploče imaju netočna prava pristupa regijama flash memorije).


Slika 4. ME status nakon aktivacije HAP bita

Nakon učitavanja platforme, uslužni program meinfo javlja čudan status - Alt Disable Mode. Brzom provjerom pokazalo se da ME ne reagira na naredbe i ni na koji način ne reagira na utjecaje operativnog sustava. Odlučili smo saznati kako sustav ulazi u ovaj način rada i što to znači. Do tada smo već analizirali glavni dio BUP modula, koji je odgovoran za početnu inicijalizaciju platforme i, na temelju rezultata meinfo, postavlja ovaj status. Za razumijevanje algoritma rada BUP-a potrebno je detaljnije opisati programsko okruženje Intel ME.

Intel ME 11 softver

Iz serije PCH 100 tvrtka Intel potpuno redizajnirao ovaj čip. Došlo je do prijelaza na novu arhitekturu ugrađenih mikrokontrolera - s ARC-ovog ARCompacta na x86. Kao osnova odabran je 32-bitni Minute IA (MIA) mikrokontroler koji se koristi u Intel mikroračunala Edison i SoC Quark. Temelji se na dizajnu vrlo starog, skalarnog mikroprocesora Intel 486 s dodatkom skupa instrukcija (ISA) iz Pentium procesor. Međutim, za PCH tvrtka izdaje ovu jezgru korištenjem 22nm poluvodičke tehnologije, čime se postiže visoka energetska učinkovitost mikrokontrolera. Postoje tri takve jezgre u novom PCH-u: Management Engine (ME), Integrated Sensors Hub (ISH) i Innovation Engine (IE). Posljednja dva mogu se aktivirati i deaktivirati ovisno o modelu PCH i ciljna platforma, a ME kernel uvijek radi.


Slika 5. Tri x86 procesora u PCH

Takve globalne promjene zahtijevale su promjene u ME programskoj komponenti. Konkretno, MINIX (bivši ThreadX RTOS) odabran je kao osnova za operativni sustav. Sada ME firmware uključuje puni operativni sustav s vlastitim procesima, nitima, upraviteljem memorije, hardverskim upravljačkim programom sabirnice, sustav datoteka i mnogi drugi. ME ima integrirani hardverski kriptoprocesor koji podržava algoritme SHA256, AES, RSA, HMAC. Pristup hardveru za korisničke procese ostvaruje se putem lokalne deskriptorske tablice (LDT). Adresni prostor procesa također je organiziran kroz LDT - to je samo dio globalnog adresnog prostora jezgre, čije su granice navedene u lokalnom deskriptoru. Na ovaj način kernel se ne mora prebacivati ​​između memorije različitih procesa (prebacivanje direktorija stranica) kao npr. Microsoft Windows ili Linux.

Ovime završavamo pregled softverskog okruženja Intel ME i detaljnije razmatramo kako se učitavaju operativni sustav i moduli.

Faze pokretanja Intel ME

Pokretanje počinje s ROM programom koji se nalazi u PCH-ovoj ugrađenoj statičkoj memoriji. Nažalost, način čitanja ili prepisivanja ove memorije nije poznat široj javnosti, ali na Internetu možete pronaći "pretprodajne" verzije ME firmware-a s ROMB odjeljkom (ROM BYPASS), koji, po našem mišljenju, duplira funkcionalnost ROM-a. Stoga je ispitivanjem takvog firmvera moguće vratiti glavnu funkcionalnost programa za inicijalizaciju.

Proučavanje ROMB-a omogućuje vam razumijevanje svrhe ROM-a - izvođenje početne inicijalizacije opreme, na primjer SPI kontrolera, provjera digitalni potpis Zaglavlje odjeljka FTPR, učitavanje RBE modula koji se već nalazi u flash memoriji. RBE, pak, provjerava kontrolne zbrojeve KERNEL, SYSLIB, BUP modula i prenosi kontrolu na ulaznu točku kernela.

Treba napomenuti da se ova tri entiteta - ROM, RBE i KERNEL - izvršavaju na nultoj razini privilegija (u prstenu-0) MIA kernela.


Slika 6. Provjera integriteta SYSLIB-a, KERNEL-a i BUP-a u RBE

Prvi proces koji kernel stvara je BUP, koji se već izvodi u svom adresnom prostoru, prsten-3. Kernel ne pokreće druge procese na vlastitu inicijativu, to radi sam BUP, kao i sam zasebni modul LOADMGR, vratit ćemo se na to kasnije. Svrha BUP-a (platforma BringUP) je inicijalizirati cjelokupno hardversko okruženje platforme (uključujući procesor), obavljati primarne funkcije upravljanja napajanjem (na primjer, pokretanje sustava kada se pritisne tipka za napajanje) i pokrenuti sve ostale ME procese. Stoga možemo sa sigurnošću reći da PCH-ovi serije 100 i više jednostavno fizički nemaju mogućnost pokretanja bez ispravnog ME firmware-a. Prvo, BUP inicijalizira kontroler za upravljanje napajanjem ( upravljanje napajanjem kontroler, PMC) i ICC kontroler. Drugo, pokreće cijeli lanac procesa; Neki od njih su “hard-wired” u kodu (SYNCMAN, PM, VFS), a drugi dio je sadržan u InitScriptu (analogno autorun-u), koji je pohranjen u zaglavlju volumena FTPR i zaštićen digitalnim potpisom.


Slika 7. Pokretanje SYNCMAN-a i PM-a

Dakle, BUP čita InitScript i pokreće sve procese koji zadovoljavaju ME tip pokretanja i IBL procesi.


Slika 8. InitScript obrada


Slika 9. Popis modula s IBL zastavom

Ako pokretanje procesa ne uspije, BUP neće pokrenuti sustav ili će ga prebaciti u Recovery mod, u kojem će se napajanje automatski isključiti nakon nekoliko desetaka minuta. Kao što možete vidjeti na ilustraciji, posljednji na popisu IBL procesa je LOADMGR. On je taj koji pokreće preostale procese, ali za razliku od BUP-a, ako dođe do pogreške tijekom procesa pokretanja modula, LOADMGR će jednostavno prijeći na sljedeći.

Dakle, prva opcija za ograničavanje rada Intel ME je uklanjanje svih modula koji nemaju IBL oznaku u InitScriptu, što će značajno smanjiti veličinu firmvera. Ali u početku smo htjeli saznati što se događa sa MNOM u HAP modu. Da bismo to učinili, pogledajmo detaljnije model softvera BUP.

Slika 10. Shema za pokretanje modula u ME

Spomenuti

Ako pobliže pogledate algoritam rada BUP modula, možete reći da je unutar njega implementiran klasični konačni automat. Izvršenje je funkcionalno podijeljeno u dvije komponente: faze inicijalizacije (koje predstavljaju isti konačni automat) i izvršenje servisnih zahtjeva drugih procesa nakon inicijalizacije sustava. Broj faza inicijalizacije varira ovisno o platformi i SKU-u (TXE, CSME, SPS, potrošačka, korporativna), ali one glavne, zajedničke za sve verzije, ipak se mogu identificirati.

Prva razina

U početnoj fazi stvara se interni dijagnostički datotečni sustav sfs (SUSRAM FS - datotečni sustav smješten u nestabilnoj memoriji), konfiguracija se čita i, što je najvažnije, primaju se informacije od PMC-a o tome što je dovelo do ovog pokretanja - okretanje na snazi ​​platforme, globalno ponovno pokretanje cijele platforme, ponovno pokretanje samo MENE ili buđenje iz stanja mirovanja. Ova faza se naziva određivanje toka pokretanja. Sljedeći stupnjevi inicijalizacijskog konačnog stroja ovise o tome. Osim toga, podržano je nekoliko načina rada: normalni i podešeni servisni načini, u kojem se ne izvodi glavna ME funkcionalnost - HAP, HMRFPO, TEMP_DISABLE, RECOVERY, SAFE_MODE, FW_UPDATE i FD_OVERRIDE.

Druga faza

U sljedećoj fazi se inicijalizira ICC kontroler i učitava ICC profil (odgovoran za taktne frekvencije glavnih potrošača), inicijalizira se Boot Guard i započinje cikličko ispitivanje za potvrdu pokretanja procesora.

Treća faza

BUP čeka poruku od PMC-a koja pokazuje da je glavni procesor pokrenut. BUP zatim pokreće asinkroni ciklus ispitivanja PMC-a za događaje napajanja (ponovno pokretanje ili gašenje platforme) i prelazi na sljedeću fazu. Ako se dogodi takav događaj, BUP će izvršiti traženu radnju u trenutku prijelaza između faza inicijalizacije.

Četvrta faza

U ovoj fazi se inicijalizira unutarnja oprema. BUP također pokreće ciklus prozivanja heci (poseban uređaj dizajniran za primanje naredbi iz BIOS-a ili operativnog sustava) da primi DID (DRAM Init Done message) iz BIOS-a. Ova poruka MI omogućuje da shvatim da se glavni BIOS inicijalizirao radna memorija i rezervirali posebnu regiju, UMA, za ME, a zatim prijeđite na sljedeću fazu.

Peta faza

Čim se primi DID, BUP, ovisno o načinu rada koji određuju različite komponente, ili pokreće IBL procese iz InitScripta (ako normalni mod operacija) ili zaglavi u petlji iz koje može izaći samo kada primi poruku od PMC-a, na primjer, kao rezultat zahtjeva za ponovnim pokretanjem ili gašenjem sustava.

Upravo u ovoj fazi nalazimo HAP obradu, au ovom načinu BUP ne izvršava InitScript, već se zamrzava. Prema tome, preostali redoslijed radnji tijekom normalnog rada nije povezan s HAP-om i nećemo ga razmatrati. Glavna stvar koju bih želio napomenuti je da u HAP modu, BUP izvodi svu inicijalizaciju platforme (ICC, Boot Guard), ali ne pokreće glavne ME procese.


Slika 11. Definicija HAP načina

Slika 12. ME prijenos u peti stupanj, što je ekvivalentno smrzavanju


Slika 13. Peta faza

Postavljanje HAP bita

Na temelju gore navedenog, druga opcija onemogućavanja je postavljanje HAP bita i uklanjanje ili oštećenje svih modula osim onih koji su potrebni za pokretanje BUP-a - RBE, KERNEL, SYSLIB, BUP. To se može učiniti jednostavnim uklanjanjem iz CPD odjeljka FTPR-a i ponovnim izračunavanjem kontrolne sume CPD zaglavlja (struktura ME firmware-a opisana je detaljnije).

Ostaje još jedno pitanje: kako postaviti ovaj bit? Možeš koristiti konfiguracijske datoteke FIT i odredite gdje se nalazi na slici, ali postoji lakši način. Ako otvorite FIT, tada u odjeljku ME Kernel možete pronaći određeni Reserved parametar. Upravo je ovaj bit odgovoran za omogućavanje HAP načina rada.


Slika 14. Bit za uključivanje HAP načina

HAP i Boot Guard

Također smo pronašli kod u BUP-u koji, kada se aktivira HAP način rada, postavlja dodatni bit u pravilima Boot Guarda. Nažalost, još nismo uspjeli saznati što ovaj bit kontrolira.


Slika 15. Postavljanje dodatnog bita za Boot Guard

ME 11 podrška u me_cleaner

Dok se ovaj članak pripremao za objavu, programeri su ažurirali me_cleaner, zbog čega je također počeo uklanjati sve module iz slika osim RBE, KERNEL, SYSLIB i BUP, ali bez postavljanja HAP bita, što ME stavlja u “ TemporaryDisable”. Zanimalo nas je što se događa s ovim pristupom.

Otkrili smo da brisanje particija s ME datotečnim sustavom dovodi do pogreške prilikom čitanja datoteke cfg_rules. Ova datoteka sadrži niz različitih postavki sustava. Među njima je, vjerujemo, i zastavica koju zovemo "bup_not_temporary_disable". Ako nije postavljeno, cijeli se podsustav postavlja u način TemporaryDisable, a budući da je ova zastavica globalna varijabla, inicijalizirana na nulu prema zadanim postavkama, pogreška čitanja se tretira kao konfiguracija koja zahtijeva gašenje.

Također napominjemo da smo također provjerili firmware s poslužitelja i mobilne verzije ME (SPS 4.x i TXE 3.x). U poslužiteljskoj verziji ova je zastavica uvijek postavljena na 1, ali u mobilnoj verziji se ne analizira. Iz gore navedenog slijedi da ova metoda neće raditi na poslužitelju i mobilne verzije(Apollo jezero) JA.


Slika 16. Čitanje datoteke cfg_rules

Umjesto zaključka

Stoga smo pronašli nedokumentiranu PCH traku koja vam omogućuje da stavite Intel ME u način rada za onemogućavanje glavne funkcije u ranoj fazi. Iako fizičko uklanjanje modula sa slike uz zadržavanje funkcionalnosti implicitno dokazuje da ovaj način rada onemogućuje ME, binarna analiza ne ostavlja mjesta sumnji. S visokim stupnjem pouzdanosti možemo reći da Intel ME više ne može izaći iz ovog načina rada, budući da u RBE, KERNEL i SYSLIB modulima nema funkcionalnosti koja bi to omogućila. Također vjerujemo da se ROM integriran u PCH praktički ne razlikuje od ROMB-a, koji također ne sadrži ništa slično. Dakle, HAP će vam omogućiti zaštitu od ranjivosti prisutnih u svim modulima osim RBE, KERNEL, SYSLIB, ROM i BUP, ali, nažalost, ovaj način neće zaštititi od iskorištavanja pogrešaka u ranijim fazama.

Izvijestili smo Intelove predstavnike o detaljima studije. Njihov odgovor potvrdio je našu pretpostavku o vezi između nedokumentiranog načina rada i programa High Assurance Platform. Uz dopuštenje tvrtke, evo izvatka iz odgovora:

Marko/Maksim,
Kao odgovor na zahtjeve kupaca sa posebnim zahtjevima ponekad istražujemo modificiranje ili onemogućavanje određenih značajki. U ovom slučaju, izmjene su napravljene na zahtjev proizvođača opreme kao potpora procjeni njihovih kupaca o programu američke vlade "Platforma visokog osiguranja". Ove izmjene prošle su ograničeni ciklus provjere valjanosti i nisu službeno podržana konfiguracija.

Vjerujemo u to ovaj mehanizam- udovoljavanje uobičajenom zahtjevu bilo koje vladine agencije koja želi smanjiti vjerojatnost curenja sporednog kanala. Ali ostaje glavno pitanje: Kako HAP utječe na rad Boot Guarda? Zbog zatvorenosti ove tehnologije, još nije moguće odgovoriti na ovo pitanje, ali se nadamo da ćemo u skoroj budućnosti to moći učiniti.

Dostupnost dvije vrste hardverskih rješenja za obradu računalna grafika- ugrađen u procesor ili matičnu ploču grafička jezgra I diskretni video adapter postao je gotovo standard za moderna računala i prijenosna računala. Treba napomenuti da je ovaj pristup vrlo učinkovit u rješavanju mnogih problema za korisnike i osoblje za održavanje opreme. Međutim, u nekim slučajevima postoji potreba za rješavanjem pitanja: kako onemogućiti ugrađenu video karticu na računalu ili prijenosnom računalu? O razlozima te potrebe i načinima rješavanja problema pričati ćemo kasnije u članku.

Kada integrirana grafika može dobro doći?

Prisutnost ugrađenog grafičkog adaptera olakšava dijagnosticiranje hardverskih komponenti kada se pojave problemi s vašim računalom. Između ostalog, od trenutka otkazivanja diskretne video kartice do njezine zamjene, računalo možete koristiti gotovo u potpunosti, s iznimkom zadataka koji zahtijevaju snažnu GPU, posebno računalne igrice i programe za obradu videa.

Kada je riječ o prijenosnim računalima, ušteda energije je na prvom mjestu. Prebacivanje na integriranu grafičku karticu prilikom obavljanja zadataka koji ne zahtijevaju velike računalne resurse koje u sustav dovodi diskretni grafički adapter može uštedjeti bateriju prijenosnog računala.

U većini slučajeva nema stroge potrebe za onemogućavanjem ugrađenog adaptera. Izuzetak može biti situacija u kojoj se pojave greške i kvarovi, a to onemogućuje grafika ugrađena u matičnu ploču. puna upotreba pojedinačne prijave. U svakom slučaju, prije nego što onemogućite ugrađenu video karticu matične ploče, trebali biste analizirati moguće negativne posljedice takve odluke u slučaju iznenadnog kvara vanjskog grafičkog adaptera.

Metode

Ako trebate spriječiti sustav da koristi integriranu grafiku, možete koristiti jednu od nekoliko metoda. Ove metode olakšavaju onemogućavanje i ponovno uključivanje ugrađene video kartice. Oni mogu pomoći u deaktiviranju integrirane grafičke jezgre BIOS alati, upravitelj uređaja, kao i specijalizirani softver proizvođača video kartica - AMD ili Nvidia.

Onemogući u BIOS-u

Kako onemogućiti ugrađenu video karticu kroz BIOS? Zapravo univerzalne upute Ne postoji nitko za sva računala i prijenosna računala. Činjenica je da je raznolikost modela i verzija BIOS-a dovela do veliki broj mogućnosti slijeda radnji za izvođenje potrebne operacije. Osim toga, nema svako prijenosno računalo ili računalo mogućnost onemogućivanja integrirane grafike putem BIOS-a. Opisat ćemo samo općenite točke:

  1. Nakon ulaska u BIOS potrebno je pronaći dio koji se zove Config, Advanced Settings ili nešto slično.
  2. Ciljna stavka može se zvati Grafička konfiguracija, Integrirana grafika, OnBoard Video, VGA adapter ili nešto drugo, ali u većini slučajeva sadržavat će riječ Grafika ili Video.
  3. Vrijednost pronađenog parametra mora se promijeniti u Onemogućeno.
  4. Što se tiče matičnih ploča za računala, za onemogućavanje integriranog rješenja obično je dovoljno promijeniti stavku Primarni zaslon na PCI-E.
  5. Ne zaboravite spremiti BIOS postavke prije izlaska. Obično se za to koristi tipka F10.

upravitelj uređaja

Drugi odgovor na pitanje kako onemogućiti ugrađenu video karticu je korištenje ugrađenih mogućnosti sustava Windows, točnije upravitelja uređaja. Metodologija metode je sljedeća:

  1. Otvorite upravitelj uređaja koji vam omogućuje pregled sve opreme instalirane na sustavu. Da biste to učinili, morate kliknuti desni klik Kliknite na ikonu “My Computer” na radnoj površini, odaberite “Properties” u izborniku koji se otvori, au desnom dijelu prozora koji se otvori kliknite na poveznicu “Device Manager”.
  2. U "Upravitelju" nalazimo odjeljak "Video adapteri", klikom na naziv kojeg otvaramo popis grafičkih kartica.

Pronašli smo adaptere, ali kako onemogućiti ugrađenu video karticu? Za ovo:

  • Mi određujemo koje je rješenje integrirano. Ako je ovo teško razumjeti, možete potražiti opis komponente prema modelu uređaja na internetu.
  • Desnom tipkom miša kliknite naziv uređaja koji želite onemogućiti i odaberite "Prekini vezu" iz izbornika koji se otvori.
  • Nakon što potvrdite svoju namjeru prestanka korištenja uređaja u prozoru zahtjeva, morate zatvoriti upravitelj uređaja i ponovno pokrenuti prijenosno ili osobno računalo.

Uslužni programi proizvođača adaptera

Većina računala i prijenosnih računala opremljena je diskretnim grafičkim karticama jednog od dva proizvođača - NVIDIA ili AMD. Zajedno s upravljačkim programima za ova rješenja, korisnik obično dobiva poseban programski paket, koji se koristi za kontrolu funkcija grafičkih adaptera, kao i za njihovu konfiguraciju. Uslužni programi pružaju mnogo opcija, uključujući onemogućavanje hardverskih komponenti koje korisnik ne treba. Da biste razumjeli kako onemogućiti integriranu grafičku karticu pomoću ovih alata, trebate pronaći i pokrenuti jednu od sljedećih aplikacija.

NVIDIA kontrolni centar

Onemogućiti integriranu grafiku ili je barem koristiti razne programe kroz NVIDIA Control Center trebate ići na sljedeći način:

  1. Pokrenite aplikaciju i pronađite i zatim otvorite stavku "3D postavke".
  2. Odaberite odjeljak "Upravljanje 3D postavkama".
  3. Otvorite karticu "Postavke programa" koja se nalazi na desnoj strani zaslona.
  4. Postavili smo za svaki zaseban program koristite isključivo vanjsku video karticu.

Kontrolni centar katalizatora

U većini slučajeva vlasnici AMD-ovih grafičkih adaptera imaju pristup programu Kontrola katalizatora Centar. Postupak za onemogućavanje integrirane grafike je sljedeći:

  1. Pokrenite Control Center, pronađite i otvorite odjeljak "Napajanje".
  2. Redak koji trebamo prijeći na zaslon za prebacivanje video kartica zove se "Promjenjivi grafički adapteri".
  3. Nakon što kliknete na gore navedenu poveznicu, otvara se prozor u kojem možete odabrati video karticu za korištenje. U našem slučaju, trebate kliknuti na "Visoke performanse GPU-a". Nakon spremanja postavki, sustav će pokrenuti aplikacije bez korištenja integriranog grafičkog rješenja.

Nadamo se da je gore navedeno pomoglo čitatelju da shvati kako onemogućiti ugrađenu video karticu na prijenosnom računalu ili računalu. Bez obzira na odabranu metodu, ne biste trebali žuriti s prekidom veze. Sasvim je moguće da možemo i bez toga kardinalne odluke, i rješavanje problema s video adapterima drugim metodama.

Najbolji članci na temu

Obuka za prijenosno računalo: korisni programi za prijenosno računalo
Obuka za prijenosno računalo: korisni programi za prijenosno računalo
Mogući problemi nakon instalacije
Mogući problemi nakon instalacije
Instalacija imo-a na vaše računalo korak po korak
Instalacija imo-a na vaše računalo korak po korak
Kategorije:
© 2023 bumotors.ru. Kako postaviti pametne telefone i računala. Informativni portal.