Подскажите, как обновить

Обновлено: 20.11.2024

Эта фиксация не принадлежит ни к одной из веток в этом репозитории и может принадлежать ответвлению за пределами репозитория.

  • Открыть с рабочего стола
  • Просмотреть в необработанном виде
  • Копировать исходное содержимое Копировать необработанное содержимое

Копировать необработанное содержимое

Копировать необработанное содержимое

Как обновить прошивку Intel ME для Lenovo T460 с помощью Linux

TL;DR — Intel и Lenovo выпускают обновления встроенного ПО в виде исполняемых файлов Windows, поэтому вам придется создать USB-накопитель с Windows PE со всеми необходимыми драйверами и утилитами обновления. Вы загружаете свой компьютер с USB и выполняете обновления из WinPE. Если у вас есть запасной ПК с Windows, вам повезло, и вы можете пропустить всю часть виртуальной машины, если нет, вы можете использовать виртуализированную Windows 10 для подготовки USB.

Я возился с Windows PE 7 (x86) 2 дня, но так и не смог заставить ее работать. Использование Windows 10 (amd64) работало нормально.

Содержимое этого документа предоставляется «КАК ЕСТЬ» без каких-либо гарантий. Этот документ может содержать технические неточности, опечатки и устаревшую информацию. Этот документ может быть обновлен или изменен без предварительного уведомления в любое время. Таким образом, вы используете информацию на свой страх и риск.

Эмуляция Windows 10 с помощью VirtualBox

Для эмуляции Windows 10 вам понадобится VirtualBox, а поскольку мы будем эмулировать 64-разрядную машину с Windows 10, у вас должен быть включен Intel VT-X.

Вместо того, чтобы создавать виртуальную машину с нуля, мы можем использовать работу, проделанную Microsoft. Microsoft выпускает набор виртуальных машин с определенной комбинацией операционной системы и версии браузера. Эти машины являются корпоративными версиями Windows, и лицензия действительна в течение 90 дней.

Посетите веб-сайт виртуальной машины Microsoft Edge и загрузите выбранный файл:

  • Виртуальная машина: MSEdge на Win10 (64-разрядная), стабильная (16.16299)
  • Выберите платформу: VirtualBox
  • Нажмите: Загрузить ZIP

Примечание. ZIP-файл весит около 4,9 ГБ.

После загрузки MSEdge.Win10.VirtualBox.zip необходимо разархивировать его, чтобы получить окончательный файл MSEdge - Win10.ova.

Импортируйте файл ova Windows 10

Файл > Импорт устройства

Выберите файл MSEdge - Win10.ova

Изменить количество ЦП на 2

Нажмите Импорт и подождите .

Изменить настройки отображения

Используйте 128 МБ видеопамяти и включите 3D-ускорение

Добавление дополнительного диска к ВМ

Мне не удалось заставить VirtualBox обнаруживать и расшаривать физический USB-накопитель на гостевой машине — даже с пакетом расширений Oracle. Мой обходной путь заключался в том, чтобы добавить дополнительный виртуальный диск ( .vdi ) и использовать его в качестве USB-устройства в Windows.

Давайте создадим дополнительный диск объемом 1 ГБ

Выберите машину MSEdge — Win10

Нажмите кнопку Настройки

.

Выберите вариант Память

.

Под основным контроллером IDE нажмите Добавить жесткий диск

Выберите Создать новый диск

.

Выберите VDI (образ виртуального ящика)

Выберите Фиксированный размер

Сохраните файл usb.vdi в известном месте и используйте размер 1,00 ГБ

Запуск виртуальной машины

Выберите компьютер MSEdge — Win 10

.

Теперь у вас есть работающая виртуальная машина Windows 10

Изменение разрешения экрана виртуальной машины

Чтобы сделать рабочее место более удобным, измените разрешение экрана по умолчанию.

Нажмите правой кнопкой мыши на Рабочий стол

.

Выберите Настройки отображения

.

Выберите вариант 1280 x 960

Выберите Сохранить изменения

.

Форматирование дополнительного диска (usb.vdi)

Нажмите клавишу Windows

Введите разделы диска

Выберите Создать и отформатировать разделы жесткого диска

.

Выберите MBR для Диска 1

Щелкните правой кнопкой мыши диск и выберите Новый простой том

.

Принять все значения по умолчанию и назначить букву диска D

Отформатировать в файловой системе FAT32

Отформатируйте диск, нажав Готово

.

Теперь у вас есть 2 диска, и мы будем использовать D: в качестве USB-накопителя

Установка Windows ADK

Откройте браузер Microsoft Edge

Нажмите Загрузить сейчас

Выберите вариант: Выполнить

Выберите расположение по умолчанию и примите лицензию

Из выбранных по умолчанию пакетов я удалил:

  • Набор инструментов для повышения производительности Windows
  • Шаблон Microsoft User Experience Virtualization (UE-V)
  • Секвенсор Microsoft Application Virtualization (App-V)
  • Автоматический секвенсор Microsoft Application Virtualization (App-V)

  • Нажмите Установить – и подождите, вы скачаете около 6,4 ГБ.

Настройка Windows PE

Документация, доступная в Microsoft Docs, содержит все необходимое для настройки Windows PE.

Используйте клавишу Windows

Найдите развертывание

Щелкните правой кнопкой мыши параметр Deployment and Imaging Tools Environment

.

Запуск от имени администратора

Используя консоль: скопируйте amd64 C:\WinPE_amd64

Теперь мы готовы загрузить дополнительные драйверы

Драйверы набора микросхем Intel и ME

Чтобы использовать обновление встроенного ПО, вам необходимо установить дополнительные драйверы в среде WinPE. Необходимые драйверы можно найти на портале поддержки Lenovo в разделе «Набор микросхем».

В моем случае я скачал:

  • Сохраните файлы и выполните их. Это самораспаковывающиеся ZIP-файлы.
  • ПРИМЕЧАНИЕ. Не пытайтесь установить эти драйверы на виртуальную машину.
  • Используйте путь по умолчанию для извлечения содержимого:
    • C:\DRIVERS\WIN\ME
    • C:\DRIVERS\WIN\MEI
    • C:\DRIVERS\WIN\Набор микросхем

    Извлечение содержимого исполняемых файлов драйвера

    Первая папка C:\DRIVERS\WIN\ME содержит прошивку (файлы .bin) и необходимый скрипт для обновления: MEUpdate.CMD -- мы добавим эту папку в дистрибутив WinPE.

    Используя ту же консоль.

    Переместить в C:\DRIVERS\WIN\MEI

    Создайте новую папку с именем Drivers

    Выполните SetupME.exe, используя флаги -A и -P, чтобы извлечь содержимое файла

    Вы найдете 2 новые папки в Drivers, HECI_REL и SOL_REL

    Перейти в папку Набор микросхем

    Создайте внутри папку Drivers

    Выполнить SetupChipset.exe с флагами -extract

    • SetupChipset.exe -распаковать C:\DRIVERS\WIN\Chipset\Drivers

    Составьте список файлов в разделе «Драйверы», и вы найдете папку для каждой архитектуры процессора. В этом случае я буду использовать скайлейк

    Настройка нашей среды WinPE с помощью прошивки и драйверов

    В документации Microsoft показано, как монтировать и настраивать WinPE.

    Смонтировать файл образа

    • Dism /Mount-Image /ImageFile:"C:\WinPE_amd64\media\sources\boot.wim" /index:1 /MountDir:"C:\WinPE_amd64\mount"

    Добавьте драйвер набора микросхем Intel

    • Dism /Add-Driver /Image:"C:\WinPE_amd64\mount" /Driver:"C:\DRIVERS\WIN\Chipset\Drivers\skylake\SkylakeSystem.inf"

    Добавить драйвер Intel ME

    • Dism /Add-Driver /Image:"C:\WinPE_amd64\mount" /Drivers:"C:\DRIVERS\WIN\MEI\Drivers\HECI_REL\win10\heci.inf"

    • Dism /Add-Driver /Image:"C:\WinPE_amd64\mount" /Drivers:"C:\DRIVERS\WIN\MEI\Drivers\SOL_REL\mesrl.inf"

    Добавьте обновление микропрограммы и скрипт, скопировав папку C:\DRIVERS\WIN\* в точку подключения

    • xcopy /s C:\DRIVERS\WIN\* C:\WinPE_amd64\mount
    • ПРИМЕЧАНИЕ. Хотя копирование двоичных файлов драйверов не является строго обязательным, я сделал это для устранения неполадок.

    Добавить дополнительное временное пространство

    • Dism /Set-ScratchSpace:512 /Image:"C:\WinPE_amd64\mount"

    Размонтировать файл и зафиксировать изменения

    • Dism /Unmount-Image /MountDir:"C:\WinPE_amd64\mount" /commit

    Создайте загрузочный носитель

    Мы будем использовать дополнительный диск, добавленный к виртуальной машине

    СделатьWinPEMedia /UFD C:\WinPE_amd64 D:

    Запись созданного носителя на USB-накопитель

    Обязательно выключите виртуальную машину Windows 10

    У нас есть загрузочный носитель в формате .vdi, и нам нужно преобразовать его, чтобы иметь возможность записать его

    С помощью VBoxManage мы преобразуем .vdi в необработанный формат. ПРИМЕЧАНИЕ. Измените команду на правильный путь к usb.vdi

    VBoxManage clonehd usb.vdi winpe_amd.img --format RAW 0%. 10%. 20%. 30%. 40%. 50%. 60%. 70%. 80%. 90%. 100% клонированный носитель, созданный в формате «RAW». UUID: b4e20b0b-302d-44d4-8b10-40801fb35b88

    С помощью dd вы можете скопировать полученный файл winpe_amd64.img на свой USB-накопитель.

    ВНИМАНИЕ! Убедитесь, что вы выбрали правильный вывод, иначе вы можете что-то удалить со своего компьютера

    В ответ на проблемы, выявленные сторонними исследователями, корпорация Intel провела всестороннюю всестороннюю проверку безопасности следующих компонентов с целью повышения отказоустойчивости встроенного ПО:

    • Intel® Management Engine (Intel® ME)
    • Intel® Trusted Execution Engine (Intel® TXE)
    • Службы серверной платформы Intel® (SPS)

    Корпорация Intel обнаружила уязвимости в системе безопасности, которые потенциально могут повлиять на определенные ПК, серверы и платформы Интернета вещей.

    Затронуты системы, использующие микропрограмму Intel ME версий 6.x–11.x, серверы, использующие микропрограмму SPS версии 4.0, и системы, использующие TXE версии 3.0. Вы можете найти эти версии встроенного ПО для определенных процессоров в:

    • Семейства процессоров Intel® Core™ 1-го, 2-го, 3-го, 4-го, 5-го, 6-го, 7-го и 8-го поколения
    • Семейство процессоров Intel® Xeon® E3-1200 v5 и v6
    • Семейство масштабируемых процессоров Intel® Xeon®
    • Процессор Intel® Xeon® W
    • Семейство процессоров Intel Atom® C3000
    • Процессор Apollo Lake Intel Atom® серии E3900
    • Процессоры Intel® Pentium® Apollo Lake
    • Процессор Intel® Pentium® серии G
    • Процессоры Intel® Celeron® серий G, N и J

    Чтобы определить, влияют ли обнаруженные уязвимости на вашу систему, загрузите и запустите инструмент Intel CSME Version Detection, используя приведенные ниже ссылки.

    Доступные ресурсы

    Ресурсы для пользователей Microsoft и Linux*

    Ресурсы от производителей систем/материнских плат

    • ASRock: информация о поддержке
    • ASUS: информация о поддержке
    • Compulab: информация о поддержке
    • Клиент Dell: информация о поддержке
    • Dell Server: информация о поддержке
    • Fujitsu: информация о поддержке
    • Getac: информация о поддержке
    • GIGABYTE: информация о поддержке
    • HP Inc.: информация о поддержке
    • Серверы HPE: информация о поддержке
    • Intel® NUC и Intel® Compute Stick: информация о поддержке
    • Серверы Intel®: информация о поддержке
    • Lenovo: информация о поддержке
    • Microsoft Surface*: информация о поддержке
    • NEC: информация о поддержке
    • Oracle: информация о поддержке
    • Panasonic: информация о поддержке
    • Quanta/QCT: информация о поддержке
    • Siemens: информация о поддержке
    • Supermicro: информация о поддержке
    • Toshiba: информация о поддержке
    • Vaio: информация о поддержке


    Часто задаваемые вопросы:​

    В: Инструмент определения версии Intel CSME сообщает, что моя система уязвима. Что мне делать?
    О. Корпорация Intel предоставила производителям систем и материнских плат необходимые обновления микропрограмм и программного обеспечения для устранения уязвимостей, указанных в рекомендациях по безопасности Intel-SA-00086.

    Свяжитесь с производителем вашей системы или материнской платы, чтобы узнать об их планах предоставления обновлений конечным пользователям.

    Некоторые производители предоставили Intel прямую ссылку своим клиентам для получения дополнительной информации и доступных обновлений программного обеспечения (см. список ниже).

    В: Почему мне необходимо связаться с производителем моей системы или материнской платы? Почему Intel не может предоставить необходимое обновление для моей системы?
    О: Intel не может предоставить стандартное обновление из-за настройки встроенного ПО модуля управления, выполненной производителями систем и материнских плат.

    В: Инструмент определения версии Intel CSME сообщает, что моя система может быть уязвима. Что мне делать?
    О: Статус возможно, уязвимость обычно отображается, если не установлен один из следующих драйверов:

    • Драйвер интерфейса Intel® Management Engine (Intel® MEI)
    • Драйвер Intel® Trusted Execution Engine Interface (Intel® TXEI)

    Свяжитесь с производителем вашей системы или материнской платы, чтобы получить правильные драйверы для вашей системы.

    В: Производитель моей системы или материнской платы не отображается в вашем списке. Что я делаю?
    О: В приведенном ниже списке показаны ссылки от производителей систем или материнских плат, которые предоставили Intel информацию. Если вашего производителя нет в списке, свяжитесь с ним, используя стандартные механизмы поддержки (веб-сайт, телефон, электронная почта и т. д.).

    В: Какие типы доступа потребуются злоумышленнику для использования выявленных уязвимостей?
    О: Если производитель оборудования включает рекомендованную корпорацией Intel защиту от записи Flash Descriptor, злоумышленнику потребуется физический доступ к флэш-памяти встроенного ПО платформы для использования уязвимостей. идентифицировано в:

    • CVE-2017-5705
    • CVE-2017-5706
    • CVE-2017-5707
    • CVE-2017-5708
    • CVE-2017-5709
    • CVE-2017-5710
    • CVE-2017-5711

    Конец производства

    Злоумышленник получает физический доступ, вручную обновляя платформу вредоносным образом встроенного ПО через программатор флэш-памяти, физически подключенный к флэш-памяти платформы. Защита от записи дескриптора флэш-памяти — это параметр платформы, обычно устанавливаемый в конце производства. Защита от записи дескриптора флэш-памяти защищает параметры флэш-памяти от злонамеренного или непреднамеренного изменения после завершения производства.

    Если производитель оборудования не включает рекомендованную корпорацией Intel защиту от записи Flash Descriptor, злоумышленнику требуется доступ к операционному ядру (логический доступ, кольцо операционной системы 0). Злоумышленнику нужен этот доступ для использования выявленных уязвимостей путем применения вредоносного образа микропрограммы к платформе с помощью вредоносного драйвера платформы.

    Уязвимость, обнаруженная в CVE-2017-5712, может использоваться удаленно по сети в сочетании с действительными учетными данными администратора Intel® Management Engine. Уязвимость нельзя использовать, если действительные учетные данные администратора недоступны.

    Если вам нужна дополнительная помощь, обратитесь в службу поддержки клиентов Intel, чтобы отправить онлайн-запрос на обслуживание.

    Я купил свой ноутбук около года назад и не обновлял прошивку Intel Management Engine (IME). Я знаю, что недавно обнаружилось несколько уязвимостей, но я не был уверен, какие шаги необходимо предпринять. Я знаю, что безопаснее просто обновить прошивку, но я использую только Linux, а обновление прошивки IME производителя моего ноутбука представляет собой исполняемый файл для Windows. Существует процедура загрузки Windows с USB-накопителя, но я не хочу мучиться, если в этом нет особой необходимости.

    Если это вообще уместно, я использую Debian 9 (стабильную) и довольно часто запускаю обновления безопасности. Будут ли эти обновления безопасности устранять уязвимости Intel Management Engine? Кроме того, актуальны ли они, если я использую Debian? Кроме того, я недавно запустил этот инструмент от Intel, и он сказал, что мой компьютер не подвержен никаким уязвимостям. Однако, опять же, я не совсем уверен, насколько бдительным мне действительно нужно быть здесь. Спасибо.

    Для таких случаев у меня всегда есть USB-флешка Windows to Go. Хотя большинство обновлений BIOS/UEFI можно выполнить прямо из меню BIOS/загрузки, обновления встроенного ПО, такие как IME, диски и т. д., необходимо выполнять через Windows.

    Я настоятельно рекомендую обновить IME. Уязвимости в нем имеют большое значение и влияют на компьютер в целом, независимо от того, какую ОС вы устанавливаете.

    IME — это, по сути, ОС, которая работает на самом чипе/ЦП и имеет доступ практически ко всем основным аспектам машины. Уязвимость к нему похожа на черный ход в вашей системе, который ваша действующая ОС/AV никогда не сможет обнаружить.

    Понятно, спасибо за пояснение.

    Обновление ME на самом деле не дает каких-либо заметных улучшений, поэтому не стоит делать только для этого.

    Однако, если вы знаете, как обновить его и это не неудобно, можете сделать это. Раньше я заходил на веб-сайт Win-RAID и брал оттуда последнюю версию ME и копию инструмента Intel ME flash. Последнее, что я проверял, у них были флеш-инструменты для Linux и UEFI, которые вообще не требовали Windows. Для этого вам нужно выяснить, какая прошивка ME вам нужна (в WinRAID есть большой пост с подробным описанием этого), взять инструменты прошивки, соответствующие версии ME, и использовать этот инструмент для прошивки (все это объясняется в этом посте). ).

    Некоторые утверждают, что устанавливать прошивку для чего-то настолько интегрированного, как ME, со случайного веб-сайта — ужасный совет, но прошивка подписана и законна; вы думаете, что Intel позволит вам небрежно прошить какую-нибудь модифицированную прошивку?

    Сейчас я использую me_cleaner, когда могу, и просто уничтожаю МЕНЯ; после этого обновлять его не нужно, и я закрываю огромную дыру в безопасности :) Я бы рекомендовал сделать это, а не пытаться обновить ME, но на большинстве современных компьютеров это непросто из-за программных блоков при перепрошивке BIOS.

    Обновление, 30 ноября 2017 г., 11:25 по тихоокеанскому времени: компания Asus ответила на наш запрос о комментариях со ссылкой на страницу, содержащую список затронутых моделей серверов и WS. Компания заявила, что проверила проблему и планирует устранить ее в следующем обновлении BIOS, хотя и не сообщила, когда это обновление будет выпущено.

    Исходный текст, 28 ноября 2017 г., 8:00 по тихоокеанскому времени:

    В связи с недавним объявлением Intel об обнаруженных и устраненных уязвимостях в механизме управления (ME) под номером INTEL-SA-00086 многие OEM-производители начали выпускать обновления встроенного ПО для своих продуктов. Мы в Tom’s Hardware напоминаем вам проверять наличие обновлений на страницах поддержки OEM-производителей вашего оборудования.

    Проблема INTEL-SA-00086 затрагивает вас, если у вас есть продукт с одним из следующих процессоров Intel:

    • 6-е (Skylake и Skylake-X), 7-е (Kaby lake, Kaby Lake-X и Kaby Lake R) и 8-е поколение (Coffee Lake) семейств процессоров Intel Core
    • Семейство процессоров Intel Xeon E3-1200 v5 и v6
    • Семейство масштабируемых процессоров Intel Xeon
    • Процессоры Intel Xeon семейства W
    • Семейство процессоров Intel Atom C3000
    • Процессор Apollo Lake Intel Atom серии E3900
    • Аполлон Лейк Intel Pentium
    • Процессоры Celeron серий N и J

    Если у вас есть уязвимый продукт, вам потребуется обновление встроенного ПО материнской платы или OEM-производителя системы, а также, возможно, обновление драйвера от Intel. Если ваша система основана на Windows или Linux, то самый простой способ узнать, нужно ли вам обновление, — это установить Intel SA-00086 Detection Tool. Корпорация Intel опубликовала ссылки на страницы поддержки для большинства OEM-производителей систем, включая Acer , Dell , Lenovo и Toshiba , и это лишь некоторые из них.

    Для встроенных систем выяснить, затронуты ли вы, и получить обновление может быть более сложной задачей. Intel обратилась сюда к своим собственным NUC, и мы нашли обновления от Synology для ее систем NAS на базе Celeron. Мы предполагаем, что аналогичные устройства от других OEM-производителей, таких как QNAP и Asustor, также затронуты.

    Компании Gigabyte и MSI объявили об обновлениях BIOS для самодельщиков, но мы еще не видели их для многих затронутых материнских плат. ASRock выпустила подробные инструкции для некоторых затронутых продуктов, в то время как Asus ничего не анонсировала, но мы обнаружили обновление ME для ряда ее материнских плат. EVGA сообщила нам, что работает над выпуском обновлений. Однако все, что мы видели до сих пор, касалось только материнских плат серии 100/200/300. Мы не нашли ничего для материнских плат X299, которые также затронуты.

    Мы также связались с Supermicro, ECS и Biostar, но пока не получили ответа.

    "Нет, спасибо" = "Мне не нужно об этом беспокоиться, потому что моего процессора Intel нет в списке затронутых процессоров"?

    "Нет, спасибо" = "Мне не нужно об этом беспокоиться, потому что у меня машина на базе AMD"?

    Или (надеюсь, нет) "Нет, спасибо" = "Мне все равно, выпустят они обновление или нет, я просто проигнорирую его и надеюсь, что оно исчезнет"?

    Нет, спасибо. Я никогда не использую, не нуждаюсь и не устанавливаю Intel ME. И, конечно же, я бы не подпустил вас ни к одному из моих компьютеров. Ты недостаточно умен, чтобы находиться в одной комнате с моей собакой.

    "Я никогда не использую, не нуждаюсь и не устанавливаю Intel ME"

    Вы понимаете, что это правильно? Это сопроцессор, встроенный в чипы Intel. У вас нет выбора, устанавливать его или не устанавливать. Он всегда рядом, что бы вы ни делали.

    Он может читать и записывать память так, что ваша ОС не знает, что она читала или изменяла какие-либо данные. Он имеет полный доступ к вашей системе. Дыры безопасности в IME оставляют вашу систему полностью открытой для всего, и вы должны относиться к ним серьезно.

    Нет, спасибо. Я никогда не использую, не нуждаюсь и не устанавливаю Intel ME. И, конечно же, я бы не подпустил вас ни к одному из моих компьютеров. Ты недостаточно умен, чтобы находиться в одной комнате с моей собакой.

    Вот что вы должны знать об Intel ME:

    Я связался с Gigabyte по этому поводу, и они сказали, что им ничего не известно о каких-либо предполагаемых обновлениях какой-либо из их материнских плат Z170 или Z270 для решения этой проблемы. Я также не вижу обновленных драйверов набора микросхем на веб-сайте Intel для плат серии 100.

    Я только что получил этот ответ от Gigabyte сегодня после запроса в пятницу, поэтому я не знаю, кто в Gigabyte говорит вам, что они выпустили их, но, возможно, им нужно зайти на ту же страницу, что и их персонал технической поддержки.< /p>


    Я должен представить себе Да. Версия теста для Linux *может* работать, поскольку OS-X основана на Linux. (Я бы сначала перепроверил, прежде чем пытаться.)

    Читайте также: