让我们来看看这一切。

但他们基本上都在谈论 vPro 技术的漏洞，特别是 AMT 漏洞（抱歉我不能在这里链接更多，搜索 CVE-2017-5689），很多人因为以下原因而恐慌禁用 AMT 系统今年早些时候发现的巨大错误

您可能没有 AMT，因为这通常仅在 Xeon 架构芯片上可用，但有报道称它也可能在某些桌面架构上可用。禁用它是可能的，有关详细信息，请参阅英特尔论坛上的此线程。如果您的系统在 UEFI/BIOS 中未提供此选项，您将需要一个自定义选项（请参阅此答案的后面部分），或者您需要清理 IME 固件以完全删除该功能（稍后还将讨论） .

防盗技术，基本上可以锁定您的计算机，甚至通过远程访问（巨大的安全漏洞）

有点。您需要向提供商（例如 Intel、McAffee 或您组织的管理员）注册您的设备才能使其正常运行。此时，如果您报告 BIOS 被盗，提供商可以远程锁定 BIOS。上面链接的线程还解释了如何关闭它，但是在大多数 UEFI/BIOS 菜单中很容易找到启用/禁用切换。

执行禁用位，我不确定这是做什么的，但听起来有点侵入性

不要被你不理解的东西吓到！保持好奇心。执行禁用位是一项非常重要的安全功能 - 它是支持不执行 (NX) 的硬件功能，也称为 Windows 上的数据执行保护 (DEP)。

身份保护技术，听起来像是对隐私的巨大侵犯

不。IPT 专为在需要硬件支持的 2FA 或 PKI 集成的企业环境中使用而设计。除非您配置并注册它，否则它不会做任何事情。

Intel VT-x，它创建了一个具有完全权限的子系统，但据称无权访问主系统

我不知道你在哪里读过这篇文章，但这是胡说八道。VT-x 是硬件虚拟化支持。它包括有助于加快在主机系统上虚拟化辅助操作系统（VM）的过程的特殊说明。Hyper-V、VMWare 和 VirtualBox 等软件使用这些扩展来提高性能和安全性。

如果您重视硬件堆栈的开放性，通常禁用 IME 可能是一个好主意。不幸的是，您目前无法完全禁用它。但是，有一些努力可以帮助您大幅减少在 ME 下运行的代码量。该me_cleaner工具允许您从管理引擎中剥离固件的大部分部分，而不会触发签名验证失败或 30 分钟关闭计时器。最近发布的一个新技巧（实际上只是在写这篇文章的几天前）允许你很早就禁用 ME 并删除更多代码，使用一个名为 HAP 的未记录功能. me_cleaner 开发人员正在实施对此的支持。请注意，这两种技巧通常都需要硬件修改（重新编程包含固件的 8 针 EEPROM IC）并且完全不受支持 - 您可能会破坏您的硬件，尽管您始终可以使用 EEPROM 编程器恢复原始固件。

如果您想用开源选项替换 UEFI/BIOS，还可以查看 coreboot 和 libreboot。不幸的是，这些项目通常仅限于少数旧笔记本电脑和主板。