Cum se configurează smartphone-uri și PC-uri. Portal informativ

Combaterea telecomenzii: cum să dezactivați Intel ME. Dezactivarea plăcii video de pe un laptop

16.06.2019 Internet, Wi-Fi, rețele locale

Astăzi, majoritatea laptopurilor sunt echipate cu două plăci video:

  • Integrat, adică încorporat în placa de bază, consumă un minim de energie electrică, dar în același timp are performanțe scăzute.
  • Discreta, adică o placă separată, care la rândul său, dimpotrivă, are performanțe mai mari și consumă mai multă energie.

Nu e un secret pentru acea vreme durata de viata a bateriei pe un laptop de orice model (hp g62, hp g72 b01er, sony vgn ar21mr) sau companie (acer, asus, msi, samsung, lenovo) depinde în totalitate de cantitatea de energie consumată.

Dacă utilizatorul nu lucrează cu aplicații și jocuri solicitante, dar totuși dorește ca bateria să dureze mai mult termen lung, atunci în această situație se recomandă dezactivarea adaptorului grafic extern. În unele cazuri, acest lucru poate crește semnificativ timpul de funcționare a dispozitivului fără reîncărcare.

Metode de bază

Dacă nu știți cum să dezactivați o placă grafică discretă pe un laptop, atunci acest articol este doar pentru dvs. Aș dori să vă atrag imediat atenția asupra faptului că dacă cardul extern este oprit, cel integrat va fi activat automat și nu trebuie să vă faceți griji pentru acest lucru.

Există mai multe moduri de a dezactiva o placă video discretă:

  1. Prin BIOS;
  2. Utilizarea software-ului;
  3. Folosind un dispecer Dispozitive Windows;

Să aruncăm o privire mai atentă la fiecare dintre ele pentru a înțelege care este potrivit pentru tine. se potriveste mai bine Total.

Setări bios

Pentru a opri adaptorul video extern de pe un laptop prin BIOS, trebuie să:


Modelele mai vechi de laptop nu acceptă întotdeauna metoda de mai sus și se dezactivează placă video externă asupra lor în acest fel este imposibil. În acest caz, a doua opțiune, care va fi descrisă mai jos, este potrivită pentru dvs.

Programe de la dezvoltatori

Daca ai laptop vechi, apoi pentru a dezactiva placa video (Nvidia, AMD Radeon), va trebui să actualizați driverele pentru placa video și procesorul la ultima versiune. Alături de ei, pe laptop va fi instalat și software special, de care vom avea nevoie.

După instalarea software-ului trebuie să:


De asemenea, folosind acest software, puteți configura complet comutare automată adaptoare grafice. Puteți face astfel încât atunci când lucrați cu programe care consumă mult resurse, să fie utilizată o placă video discretă, iar în cazul aplicații regulate, cel integrat va fi activat. Acest lucru vă va ajuta să economisiți energia bateriei fără a deconecta niciuna dintre plăci.

Windows Device Manager

Este posibil să dezactivați o placă video complet discretă folosind Device Manager? Da, poți și este destul de simplu de făcut:


Trecerea la cardul integrat ar trebui să aibă loc automat, dar dacă acest lucru nu se întâmplă și ecranul pur și simplu se stinge, trebuie să:

  1. Pentru a reporni un computer;
  2. A conecta monitor extern folosind un cablu VGA sau HDMI;
  3. Configurați parametrii de afișare (porniți monitorul încorporat);

După aceasta, tranziția la placa video încorporată va fi complet finalizată și veți putea folosi pe deplin laptopul. Este demn de remarcat faptul că puteți dezactiva și adaptorul grafic de pe computer folosind una dintre aceste metode.

Lecție video detaliată

Tehnologia Intel ME (sau AMT, Active Management Technology) este unul dintre cele mai misterioase și puternice elemente ale platformelor x86 moderne. Instrumentul a fost creat inițial ca o soluție pentru administrare la distanță. Cu toate acestea, are o funcționalitate atât de puternică și este atât de departe de controlul utilizatorilor de dispozitive bazate pe Intel, încât mulți dintre ei ar dori să dezactiveze această tehnologie, ceea ce nu este atât de ușor de făcut.

La forumul Positive Hack Days VI desfășurat la Moscova pe 17 și 18 mai, cercetătorii Positive Technologies Maxim Goryachiy și Mark Ermolov au prezentat mai multe tehnici pentru dezactivarea Intel ME, însoțind raportul cu o demonstrație video a procesului.

Ce este și de ce trebuie să-l opriți?

Subsistemul Intel Management Engine (ME) este un procesor suplimentar „ascuns” care este prezent în toate dispozitivele bazate pe Chipset-uri Intel(nu doar în PC-uri și laptop-uri, ci și în servere). Mediul ME runtime nu „dormite” niciodată și funcționează chiar și atunci când computerul este oprit (în prezența tensiunii de așteptare) și are, de asemenea, acces la RAM, interfața de rețea, Controler USBși adaptor grafic încorporat.

În ciuda unor capacități atât de extinse, există întrebări cu privire la nivelul de securitate al ME - anterior, cercetătorii au descoperit deja vulnerabilități grave și vectori de atac. În plus, subsistemul conține funcții potențial periculoase - telecomandă, NFC, partiție de serviciu ascunsă. Interfețele subsistemului ME sunt nedocumentate și implementarea este închisă.

Toate aceste motive îi fac pe mulți să vadă tehnologia ME ca pe un „hack hardware”. Situația este agravată de faptul că, pe de o parte, utilizatorul dispozitivului nu are capacitatea de a dezactiva această funcționalitate, iar pe de altă parte, producătorul de echipamente poate face erori în configurația ME.

Vești bune Problema este că mai există modalități de a dezactiva ME.

Tehnici pentru dezactivarea Intel ME

Cercetătorii Positive Technologies Maxim Goryachiy și Mark Ermolov au prezentat un raport despre dezactivarea Intel ME în timpul forumului Positive Hack Days VI desfășurat la Moscova. Experții au descris mai multe tehnici pentru dezactivarea acestui subsistem:
  1. Inițializare ME bazată pe eșec;
  2. Prin mecanismul de actualizare a firmware-ului ME;
  3. Comenzi nedocumentate
  4. Un mecanism nedocumentat destinat dezvoltatorilor de hardware - Modul Manufacture.
Cercetătorii au descoperit că dezvoltatorii de platforme hardware uită adesea să dezactiveze Modul de fabricație, ceea ce permite ultima metoda pe un număr mare de computere fără costuri suplimentare în timp real.

Majoritatea metodelor de oprire folosesc mecanisme ME încorporate concepute pentru furnizorii de dispozitive Platforma Intel. Toate sunt descrise în detaliu în prezentarea, care este publicată pe GitHub. De legătură Iată un videoclip demonstrativ despre dezactivarea ME (este și mai jos):

Și totuși, apare o întrebare rezonabilă: „Eu chiar încetează să lucrez în întregime când folosești mecanismele de oprire încorporate?” Ca dovadă a faptului că ME este dezactivat, cercetătorii prezintă următorul argument: ME operează în două moduri de memorie: numai SRAM (încorporat în ME) și SRAM + UMA. UMA este o parte a memoriei gazdă care este utilizată ca memorie paginată (swap). Odată ce controlerul DRAM este inițializat de gazdă, ME comută întotdeauna la modul SRAM + UMA.

Astfel, dacă ME este cu adevărat oprit, atunci când accesul ME la memoria UMA este dezactivat la nivel hardware la un moment arbitrar (prin canalul VСm), defecțiunile hardware nu vor apărea în ME din cauza lipsei de date și cod care a fost împins în memoria UMA (astfel de defecțiuni hardware duc la o întrerupere de urgență a curentului de la principalele componente hardware ale platformei). Pe de altă parte, utilizarea acestor metode face posibilă efectuarea de atacuri DoS asupra tehnologiei AMT dacă aceasta este utilizată pentru managementul de la distanță.

În timpul unei examinări a arhitecturii interne a Intel Management Engine (ME) versiunea 11, a fost descoperit un mecanism care dezactivează această tehnologie după ce hardware-ul este inițializat și pornește procesorul principal. Cum am găsit acest mod nedocumentat și conexiunea lui la program de stat Vom descrie construcția Platformei de înaltă asigurare (HAP) în acest articol.

Autorii avertizează că utilizarea acestor cunoștințe în practică poate duce la deteriorarea echipamentului informatic și nu își asumă nicio responsabilitate pentru aceasta și, de asemenea, nu garantează funcționalitatea sau inoperabilitatea a nimic și nu recomandă experimentarea fără un programator SPI.

Introducere

Intel Management Engine este o tehnologie închisă care este un microcontroler integrat în cipul Platform Controller Hub (PCH) cu un set de dispozitiv periferic. Prin PCH trece aproape toată comunicarea dintre procesor și dispozitivele externe, prin urmare Intel ME are acces la aproape toate datele de pe computer și capacitatea de a executa cod terț vă permite să compromiteți complet platforma. Astfel de posibilități nelimitate atrage cercetători nu pentru prima dată, dar acum interesează tehnologii Intel ME a crescut semnificativ. Unul dintre motivele pentru aceasta este tranziția acestui subsistem la noul hardware (x86) și software (modificat MINIX ca sistem de operare) arhitectura. Utilizarea platformei x86 vă permite să utilizați întreaga putere a instrumentelor de analiză cod binar, ceea ce anterior era dificil, deoarece înainte de versiunea a 11-a, era folosit un nucleu cu un sistem de comandă mai puțin obișnuit - ARC. Din pacate, Analiza Intel Versiunea 11 ME a fost împiedicată de faptul că modulele executabile sunt împachetate cu cod Huffman cu tabele necunoscute. Dar echipa noastră de cercetare (Dmitry Sklyarov, Mark Ermolov, Maxim Goryachiy) a reușit să le restabilească (utilitatea pentru despachetarea imaginilor poate fi găsită pe pagina noastră GitHub).

După despachetarea modulelor executabile, am început să studiem „umplutura” software și hardware a Intel ME. Echipa noastră face acest lucru de destul de mult timp și am acumulat un volum mare de materiale pe care am decis să le publicăm. Acesta este primul articol dintr-o serie de articole dedicate structura internași caracteristici Lucru Intel ME și în el vă vom spune cum să dezactivați funcționalitatea principală a subsistemului. Această întrebare îi afectează pe experți, deoarece dezactivarea acesteia ar reduce riscurile de scurgere de date, de exemplu, dacă se descoperă o vulnerabilitate zero-day în această tehnologie.

Cum să ME stinge

Cum să dezactivez ME - această întrebare este adesea adresată de unii proprietari de computere cu arhitectură x86. Tema dezactivării a fost ridicată de mai multe ori, inclusiv de către cercetătorii companiei noastre.

Adăugând urgență acestei probleme se află vulnerabilitatea critică recent descoperită (9,8 din 10) în Intel Active Management Technology (AMT), o tehnologie care se bazează pe Intel ME.

Să dezamăgim imediat cititorul - este imposibil să dezactivați complet ME pe computerele moderne. Acest lucru se datorează în primul rând faptului că această tehnologie este responsabilă de inițializarea, gestionarea energiei și pornirea procesorului principal. La complexitate se adaugă faptul că o parte a codului este „cablată” în interiorul cipului PCH, care servește drept punte de sud pe moderna plăci de bază Oh. Principalul remediu pentru entuziaștii care „luptează” cu această tehnologie este eliminarea tot ceea ce „nu este necesar” din imaginea memoriei flash, menținând în același timp funcționalitatea computerului. Dar acest lucru nu este atât de ușor de făcut, deoarece dacă codul încorporat în PCH nu găsește modulele ME în memoria flash sau stabilește că sunt deteriorate, sistemul nu va porni. De câțiva ani, proiectul me_cleaner se dezvoltă pe rețea, în cadrul căreia este disponibil utilitate specială, care vă permite să eliminați cea mai mare parte a imaginii și să lăsați doar componentele vitale pentru sistemul principal. Dar chiar dacă sistemul a pornit, este prea devreme să ne bucurăm - după aproximativ 30 de minute poate apărea o oprire automată, deoarece în cazul unor defecțiuni ME intră în modul Recuperare, în care nu funcționează mai mult de un anumit timp fix. Ca urmare, procesul de curățare devine mai complicat. De exemplu, înainte de versiunea a 11-a era posibil să se reducă dimensiunea imaginii la 90 KB, dar în versiunea a 11-a a fost posibil să o reducă doar la 650 KB.

Figura 1. Suport pentru arhitecturile Skylake+ în me_cleaner

Secretele în QResource

Intel oferă producătorilor de plăci de bază posibilitatea de a specifica un număr mic de parametri ME. Pentru a face acest lucru, compania oferă producătorilor de echipamente un set special de software, care include utilități precum Flash Instrumentul de imagine(FIT) pentru setarea parametrilor ME și Flash Programming Tool (FPT), care oferă suport pentru programarea memoriei flash direct prin controlerul SPI încorporat. Datele programului nu sunt disponibile Utilizator final, dar pot fi găsite cu ușurință pe Internet. Din aceste utilitare pot fi extrase un număr mare de fișiere format XML(detaliat Intel ME: The Way of theStatic Analysis), al cărui studiu vă permite să învățați o mulțime de lucruri interesante: structura firmware-ului ME și o descriere a curelei PCH - biți de configurare speciali pentru diferite subsisteme integrate în PCH cip.


Figura 2. Fișiere XML împachetate

Ne-a interesat unul dintre aceste câmpuri numite „reserve_hap”, deoarece în dreptul acestuia era un comentariu - Activare High Assurance Platform (HAP).

Figura 3. Cureaua PCH pentru Platforma High Assurance

Căutarea pe Google nu a durat mult. Literal, al doilea link spune că acesta este numele programului pentru crearea de platforme de încredere asociate cu Agenția de Securitate Națională a SUA (NSA). O prezentare care descrie programul poate fi găsită. Primul nostru gând a fost să cântăm acest beat și să vedem ce se întâmplă. Oricine poate face acest lucru dacă are un programator SPI sau acces la Flash Descriptor (multe plăci de bază au drepturi de acces incorecte la regiunile de memorie flash).


Figura 4. Starea ME după activarea biților HAP

După încărcarea platformei, utilitarul meinfo raportează o stare ciudată - Alt Disable Mode. O verificare rapidă a arătat că ME nu răspunde la comenzi și nu reacționează în niciun fel la influențele sistemului de operare. Am decis să ne dăm seama cum intră sistemul în acest mod și ce înseamnă. Până în acest moment, am analizat deja partea principală a modulului BUP, care este responsabilă pentru inițializarea inițială a platformei și, pe baza rezultatelor meinfo, stabilește această stare. Pentru a înțelege algoritmul de operare BUP, este necesar să descrieți mai detaliat mediul software Intel ME.

Software-ul Intel ME 11

Din seria PCH 100 Compania Intel a reproiectat complet acest cip. A existat o tranziție către o nouă arhitectură de microcontrolere încorporate - de la ARCompact la x86. Ca bază a fost ales microcontrolerul Minute IA (MIA) pe 32 de biți, care este utilizat în microcalculatoare Intel Edison și SoC Quark. Se bazează pe designul microprocesorului scalar Intel 486 foarte vechi, cu adăugarea unui set de instrucțiuni (ISA) de la procesor Pentium. Cu toate acestea, pentru PCH compania eliberează acest nucleu folosind tehnologia semiconductoare de 22nm, obținând o eficiență energetică ridicată a microcontrolerului. Există trei astfel de nuclee în noul PCH: Management Engine (ME), Integrated Sensors Hub (ISH) și Innovation Engine (IE). Ultimele două pot fi activate și dezactivate în funcție de modelul PCH și platforma tinta, iar nucleul ME funcționează întotdeauna.


Figura 5. Trei procesoare x86 în PCH

Astfel de schimbări globale au necesitat modificări în componenta software ME. În special, MINIX (fostul ThreadX RTOS) a fost ales ca bază pentru sistemul de operare. Acum firmware-ul ME include un sistem de operare cu drepturi depline cu propriile sale procese, fire de execuție, manager de memorie, driver de magistrală hardware, Sistemul de fișiereși multe altele. ME are un criptoprocesor hardware integrat care acceptă algoritmii SHA256, AES, RSA, HMAC. Accesul hardware pentru procesele utilizatorului se face printr-un tabel local de descriptori (LDT). Spațiul de adrese de proces este, de asemenea, organizat prin LDT - este doar o parte a spațiului global de adrese ale nucleului, ale cărui limite sunt specificate în descriptorul local. În acest fel, nucleul nu trebuie să comute între memoria diferitelor procese (schimbarea directoarelor paginilor), ca de ex. Microsoft Windows sau Linux.

Aceasta încheie revizuirea mediului software Intel ME și luați în considerare mai detaliat modul în care sunt încărcate sistemul de operare și modulele.

Etapele de pornire Intel ME

Pornirea începe cu programul ROM, care este conținut în memoria statică încorporată a PCH. Din păcate, modul de a citi sau de a suprascrie această memorie nu este cunoscut publicului larg, dar pe Internet puteți găsi versiuni „pre-vânzare” de firmware ME cu o secțiune ROMB (ROM BYPASS), care, în opinia noastră, dublează funcționalitatea ROM-ului. Astfel, prin examinarea unui astfel de firmware, este posibil să se restabilească funcționalitatea principală a programului de inițializare.

Studierea ROMB vă permite să înțelegeți scopul ROM-ului - efectuarea inițializării inițiale a echipamentelor, de exemplu un controler SPI, verificarea semnatura digitala Antetul secțiunii FTPR, încarcând modulul RBE, care este deja localizat în memoria flash. RBE, la rândul său, verifică sumele de control ale modulelor KERNEL, SYSLIB, BUP și transferă controlul către punctul de intrare al nucleului.

Trebuie remarcat faptul că aceste trei entități - ROM, RBE și KERNEL - sunt executate la nivelul de privilegii zero (în ring-0) al nucleului MIA.


Figura 6. Verificarea integrității SYSLIB, KERNEL și BUP în RBE

Primul proces pe care îl creează nucleul este BUP, care rulează deja în spațiul său de adrese, ring-3. Nucleul nu lansează alte procese din proprie inițiativă; acest lucru este realizat de către BUP însuși, precum și modul separat LOADMGR, vom reveni la el mai târziu. Scopul BUP (platform BringUP) este de a inițializa întregul mediu hardware al platformei (inclusiv procesorul), de a efectua funcții primare de gestionare a energiei (de exemplu, pornirea sistemului atunci când butonul de pornire este apăsat) și de a lansa toate celelalte procese ME. Astfel, putem spune cu încredere că PCH-urile din seria 100 și superioare pur și simplu fizic nu au capacitatea de a porni fără firmware-ul ME corect. În primul rând, BUP inițializează controlerul de gestionare a energiei ( gestionare a energiei controler, PMC) și controler ICC. În al doilea rând, lansează un întreg lanț de procese; Unele dintre ele sunt „cablate” în cod (SYNCMAN, PM, VFS), iar cealaltă parte este conținută în InitScript (analog cu autorun), care este stocat în antetul de volum FTPR și protejat de o semnătură digitală.


Figura 7. Lansarea SYNCMAN și PM

Astfel, BUP citește InitScript și pornește toate procesele care satisfac tipul de pornire ME și sunt procese IBL.


Figura 8. Procesarea InitScript


Figura 9. Lista modulelor cu steag IBL

Dacă pornirea procesului eșuează, BUP nu va porni sistemul sau îl va comuta în modul Recuperare, în care alimentarea se va opri automat după câteva zeci de minute. După cum puteți vedea în ilustrație, ultimul din lista proceselor IBL este LOADMGR. Este cel care pornește procesele rămase, dar spre deosebire de BUP, dacă apare o eroare în timpul procesului de pornire a modulului, LOADMGR va trece pur și simplu la următorul.

Astfel, prima opțiune de a limita funcționarea Intel ME este eliminarea tuturor modulelor care nu au steag IBL în InitScript, ceea ce va reduce semnificativ dimensiunea firmware-ului. Dar inițial am vrut să aflăm ce se întâmplă cu ME în modul HAP. Pentru a face acest lucru, să ne uităm la modelul software BUP mai detaliat.

Figura 10. Schema de lansare a modulelor în ME

A menționa

Dacă aruncați o privire mai atentă la algoritmul de operare al modulului BUP, puteți spune că în interiorul acestuia este implementată o mașină clasică cu stări finite. Execuția este împărțită funcțional în două componente: etapele de inițializare (reprezentând aceeași mașină cu stări finite) și execuția solicitărilor de servicii ale altor procese după inițializarea sistemului. Numărul de etape de inițializare variază în funcție de platformă și SKU (TXE, CSME, SPS, consumer, corporate), dar cele principale, comune tuturor versiunilor, pot fi încă identificate.

Primul stagiu

În etapa inițială, se creează sistemul de fișiere de diagnostic intern sfs (SUSRAM FS - un sistem de fișiere situat în memoria volatilă), se citește configurația și, cel mai important, se primesc informații de la PMC despre ceea ce a condus la această pornire - întoarcerea pe puterea platformei, o repornire globală a întregii platforme, repornind numai ME sau trezirea dintr-o stare de somn. Această etapă se numește determinarea fluxului de pornire. Etapele ulterioare ale mașinii cu stări finite de inițializare depind de aceasta. În plus, sunt acceptate mai multe moduri de operare: normal și setat moduri de serviciu, în care funcționalitatea principală ME nu este efectuată - HAP, HMRFPO, TEMP_DISABLE, RECOVERY, SAFE_MODE, FW_UPDATE și FD_OVERRIDE.

A doua faza

În etapa următoare, controlerul ICC este inițializat și profilul ICC este încărcat (responsabil pentru frecvențele de ceas ale consumatorilor principali), Boot Guard este inițializat și începe un sondaj ciclic pentru confirmarea pornirii procesorului.

A treia etapă

BUP așteaptă un mesaj de la PMC care indică faptul că procesorul principal a pornit. BUP începe apoi un ciclu asincron de interogare a PMC pentru evenimente de alimentare (repornire sau oprire a platformei) și trece la următoarea etapă. Dacă apare un astfel de eveniment, BUP va efectua acțiunea solicitată în momentul tranziției între etapele de inițializare.

Etapa a patra

În această etapă, echipamentul intern este inițializat. BUP începe, de asemenea, un ciclu de interogare a heci (un dispozitiv special conceput pentru a primi comenzi de la BIOS sau sistemul de operare) pentru a primi un DID (mesaj DRAM Init Done) de la BIOS. Acest mesaj îmi permite să înțeleg că BIOS-ul principal s-a inițializat RAMși a rezervat o regiune specială, UMA, pentru ME și apoi trece la următoarea etapă.

Etapa a cincea

Imediat ce DID-ul este primit, BUP, în funcție de modul de operare, care este determinat de diferite componente, sau lansează procesele IBL din InitScript (dacă Mod normal funcționare), sau rămâne blocat într-o buclă din care poate ieși numai atunci când primește un mesaj de la PMC, de exemplu, ca urmare a unei solicitări de repornire sau oprire a sistemului.

În această etapă găsim procesarea HAP, iar în acest mod BUP nu execută InitScript, ci îngheață. Astfel, secvența de acțiuni rămasă în timpul funcționării normale nu are legătură cu HAP și nu va fi luată în considerare de noi. Principalul lucru pe care aș dori să-l remarc este că în modul HAP, BUP efectuează inițializarea tuturor platformei (ICC, Boot Guard), dar nu lansează principalele procese ME.


Figura 11. Definiția modului HAP

Figura 12. Transferul ME la a cincea etapă, care echivalează cu congelarea


Figura 13. Etapa a cincea

Setarea bitului HAP

Pe baza celor de mai sus, a doua opțiune de dezactivare este să setați bitul HAP și să eliminați sau să deteriorați toate modulele, cu excepția celor care sunt necesare pentru pornirea BUP - RBE, KERNEL, SYSLIB, BUP. Acest lucru se poate face pur și simplu prin eliminarea acestora din secțiunea CPD a FTPR și recalculând suma de control a antetului CPD (structura firmware-ului ME este descrisă mai detaliat).

Mai rămâne o întrebare: cum să setați acest bit? Poți să folosești fișierele de configurare FIT și determinați unde se află în imagine, dar există o modalitate mai ușoară. Dacă deschideți FIT, atunci în secțiunea ME Kernel puteți găsi un anumit parametru Rezervat. Acest bit este responsabil pentru activarea modului HAP.


Figura 14. Bit de activare a modului HAP

HAP și Boot Guard

Am găsit și un cod în BUP care, atunci când modul HAP este activat, setează un bit suplimentar în politicile Boot Guard. Din păcate, încă nu am reușit să aflăm ce controlează acest bit.


Figura 15. Setarea unui bit suplimentar pentru Boot Guard

ME 11 suport în me_cleaner

În timp ce acest articol era pregătit pentru publicare, dezvoltatorii au actualizat me_cleaner, drept urmare a început să elimine toate modulele din imagini, cu excepția RBE, KERNEL, SYSLIB și BUP, dar fără a seta bitul HAP, ceea ce mă pune în „ modul TemporaryDisable”. Eram curioși ce se întâmplă cu această abordare.

Am descoperit că ștergerea partițiilor cu sistemul de fișiere ME are ca rezultat o eroare la citirea fișierului cfg_rules. Acest fișier conține o serie de setări diferite de sistem. Printre acestea, credem noi, este un steag pe care îl numim „bup_not_temporary_disable”. Dacă nu este setat, întregul subsistem este plasat în modul TemporaryDisable și, deoarece acest flag este o variabilă globală, inițializată implicit la zero, o eroare de citire este tratată ca o configurație care necesită oprire.

De asemenea, menționăm că am verificat și firmware-ul de pe serverul și versiunile mobile ale ME (SPS 4.x și TXE 3.x). În versiunea de server, acest flag este întotdeauna setat la 1, dar în versiunea mobilă nu este analizat. Din cele de mai sus rezultă că această metodă nu va funcționa pe server și versiuni mobile(Lacul Apollo) EU.


Figura 16. Citirea fișierului cfg_rules

În loc de concluzie

Astfel, am găsit o curea PCH nedocumentată care vă permite să puneți Intel ME într-un mod pentru a dezactiva funcționalitatea principală într-un stadiu incipient. Deși eliminarea fizică a modulelor din imagine menținând în același timp funcționalitatea demonstrează implicit că acest mod dezactivează ME, analiza binară nu lasă loc de îndoială. Cu un grad ridicat de încredere, putem spune că Intel ME nu mai poate ieși din acest mod, deoarece nu există nicio funcționalitate găsită în modulele RBE, KERNEL și SYSLIB care să permită acest lucru. De asemenea, credem că ROM-ul integrat în PCH nu este practic diferit de ROMB, care, de asemenea, nu conține nimic similar. Astfel, HAP vă va permite să vă protejați împotriva vulnerabilităților prezente în toate modulele cu excepția RBE, KERNEL, SYSLIB, ROM și BUP, dar, din păcate, acest mod nu vă va proteja împotriva exploatării erorilor din etapele anterioare.

Am informat reprezentanții Intel cu privire la detaliile studiului. Răspunsul lor a confirmat presupunerea noastră despre legătura dintre modul nedocumentat și programul High Assurance Platform. Cu permisiunea companiei, iată un extras din răspuns:

Mark/Maxim,
Ca răspuns la solicitările clienților cu cerințe specializate, explorăm uneori modificarea sau dezactivarea anumitor funcții. În acest caz, modificările au fost făcute la cererea producătorilor de echipamente în sprijinul evaluării de către clienți a programului „Platforma de înaltă asigurare” al guvernului SUA. Aceste modificări au trecut printr-un ciclu limitat de validare și nu sunt o configurație acceptată oficial.

Noi credem că acest mecanism- satisfacerea unei cereri comune a oricărei agenții guvernamentale care dorește să reducă probabilitatea scurgerii canalului lateral. Dar rămâne întrebarea principală: Cum afectează HAP funcționarea Boot Guard? Din cauza caracterului închis al acestei tehnologii, nu este încă posibil să răspundem la această întrebare, dar sperăm că în viitorul apropiat vom putea face acest lucru.

Disponibilitatea a două tipuri de soluții de procesare hardware grafica pe computer- încorporat în procesor sau placa de bază nucleul graficȘi adaptor video discret a devenit aproape un standard pentru calculatoare moderne si laptopuri. Trebuie remarcat faptul că această abordare este foarte eficientă în rezolvarea multor probleme pentru utilizatori și personalul de întreținere a echipamentelor. Cu toate acestea, în unele cazuri, este necesar să se rezolve întrebarea: cum să dezactivați placa video încorporată pe un computer sau laptop? Despre motivele acestei nevoi și metodele de rezolvare a problemei vom vorbi mai târziu în articol.

Când poate fi utilă grafica integrată?

Prezența unui adaptor grafic încorporat facilitează diagnosticarea componentelor hardware atunci când apar probleme cu computerul dumneavoastră. Printre altele, din momentul în care placa video discretă se defectează și până când este înlocuită, puteți utiliza computerul aproape complet, cu excepția sarcinilor care necesită o putere puternică. GPU, în special jocuri pe calculatorși programe de procesare video.

Când vine vorba de laptopuri, economia de energie este pe primul loc. Trecerea la placa grafică integrată atunci când efectuați sarcini care nu necesită resurse de calcul mari aduse sistemului de un adaptor grafic discret poate economisi energia bateriei laptopului.

În cele mai multe cazuri, nu este nevoie strictă de a dezactiva adaptorul încorporat. O excepție poate fi o situație în care apar erori și defecțiuni, iar grafica încorporată în placa de bază este cea care face imposibilă utilizare deplină aplicatii individuale. În orice caz, înainte de a dezactiva placa video încorporată a plăcii de bază, ar trebui să analizați posibilele consecințe negative ale unei astfel de decizii în cazul unei defecțiuni bruște a adaptorului grafic extern.

Metode

Dacă trebuie să împiedicați sistemul să folosească grafica integrată, puteți utiliza una dintre mai multe metode. Aceste metode fac destul de ușor atât dezactivarea plăcii video încorporate, cât și repornirea acesteia. Ele pot ajuta la dezactivarea nucleului grafic integrat instrumente BIOS, device manager, precum și software specializat de la producătorii de plăci video - AMD sau Nvidia.

Dezactivați în BIOS

Cum se dezactivează placa video încorporată prin BIOS? De fapt instrucțiuni universale Nu există nimeni pentru toate PC-urile și laptopurile. Faptul este că varietatea de modele și versiuni BIOS a dus la un numar mare opțiuni pentru secvența de acțiuni pentru a efectua operația necesară. În plus, nu orice laptop sau computer are capacitatea de a dezactiva grafica integrată prin BIOS. Vom descrie doar punctele generale:

  1. După ce intri în BIOS, trebuie să găsești o secțiune numită Config, Advanced Settings sau ceva similar.
  2. Elementul țintă poate fi numit Configurație grafică, Grafică integrată, Video OnBoard, Adaptor VGA sau altceva, dar în cele mai multe cazuri va conține cuvântul Grafică sau Video.
  3. Valoarea parametrului găsit trebuie schimbată la Dezactivat.
  4. În ceea ce privește plăcile de bază pentru PC, pentru a dezactiva soluția integrată este de obicei suficient să schimbați elementul Primary Display în PCI-E.
  5. Nu uitați să salvați setările BIOS înainte de a ieși. De obicei, tasta F10 este folosită pentru aceasta.

manager de dispozitiv

Un alt răspuns la întrebarea despre cum să dezactivați placa video încorporată este utilizarea capabilităților încorporate ale Windows, mai precis managerul de dispozitive. Metodologia metodei este următoarea:

  1. Deschideți managerul de dispozitive, care vă permite să vizualizați toate echipamentele instalate pe sistem. Pentru a face acest lucru trebuie să faceți clic Click dreapta Faceți clic pe pictograma „Computerul meu” de pe desktop, selectați „Proprietăți” în meniul care se deschide, iar în partea dreaptă a ferestrei care se deschide, faceți clic pe linkul „Manager dispozitive”.
  2. În „Manager” găsim secțiunea „Adaptoare video”, făcând clic pe numele căruia deschidem lista de plăci grafice.

Am găsit adaptoarele, dar cum să dezactivăm placa video încorporată? Pentru aceasta:

  • Determinăm care soluție este integrată. Dacă acest lucru este greu de înțeles, puteți căuta o descriere a componentei după modelul de dispozitiv pe Internet.
  • Faceți clic dreapta pe numele dispozitivului de dezactivat și selectați „Deconectare” din meniul care se deschide.
  • După ce vă confirmați intenția de a opri utilizarea dispozitivului în fereastra de solicitare, trebuie să închideți managerul de dispozitive și să reporniți laptopul sau computerul.

Utilitare pentru producătorul adaptorului

Majoritatea computerelor și laptopurilor sunt echipate cu plăci grafice discrete de la unul dintre cei doi producători - NVIDIA sau AMD. Complet cu drivere pentru aceste soluții, utilizatorul primește de obicei o specială pachete software, care este folosit pentru a controla funcțiile adaptoarelor grafice, precum și pentru a le configura. Utilitarele oferă o mulțime de opțiuni, inclusiv dezactivarea componentelor hardware de care utilizatorul nu are nevoie. Pentru a înțelege cum să dezactivați placa grafică integrată folosind aceste instrumente, trebuie să găsiți și să lansați una dintre următoarele aplicații.

Centrul de control NVIDIA

Pentru a dezactiva grafica integrată, sau cel puțin pentru a le folosi diverse programe prin Centrul de control al NVIDIA trebuie să urmați următoarea cale:

  1. Lansați aplicația și găsiți și apoi deschideți elementul „Setări 3D”.
  2. Selectați secțiunea „Gestionați setările 3D”.
  3. Deschideți fila „Setări program” situată în partea dreaptă a ecranului.
  4. Am stabilit pentru fiecare program separat utilizați exclusiv o placă video externă.

Centrul de control al catalizatorului

În cele mai multe cazuri, proprietarii de adaptoare grafice de la AMD au acces la program Controlul catalizatorului Centru. Procedura de dezactivare a graficii integrate este următoarea:

  1. Lansați Centrul de control, găsiți și deschideți secțiunea „Putere”.
  2. Linia de care trebuie să mergem la ecran pentru comutarea plăcilor video se numește „Adaptoare grafice comutabile”.
  3. După ce faceți clic pe linkul de mai sus, se deschide o fereastră în care puteți selecta o placă video pe care să o utilizați. În cazul nostru, trebuie să faceți clic pe „Performanță GPU ridicată”. După salvarea setărilor, sistemul va lansa aplicații fără a utiliza soluția grafică integrată.

Sperăm că cele de mai sus l-au ajutat pe cititor să-și dea seama cum să dezactiveze placa video încorporată pe un laptop sau computer. Indiferent de metoda aleasă, nu trebuie să vă grăbiți să vă deconectați. Este foarte posibil să ne putem descurca fără așa ceva decizii cardinaleși rezolvați problemele cu adaptoarele video folosind alte metode.

Cele mai bune articole pe această temă

Copierea fișierelor și folderelor
Copierea fișierelor și folderelor
Diferite moduri de a rula promptul de comandă ca administrator în Windows
Diferite moduri de a rula promptul de comandă ca administrator în Windows
Comanda RUNAS - rulează o aplicație ca alt utilizator Windows
Comanda RUNAS - rulează o aplicație ca alt utilizator Windows
Categorii:
© 2023 bumotors.ru. Cum se configurează smartphone-uri și PC-uri. Portal informativ.