Знакомство с Intel® Active Management Technology 10

в 6:42, , рубрики: Intel Active Management Technology, Блог компании Intel, информационная безопасность, Сетевые технологии

Знакомство с Intel® Active Management Technology 10 - 1

Технология Intel® Active Management Technology1 (Intel® AMT) — один из компонентов технологии Intel® vPro™2. Платформы, оснащенные Intel AMT, поддерживают удаленное управление, даже если операционная система недоступна или компьютер выключен.
Независимые поставщики ПО получили возможность создавать приложения, эффективно использующие функции Intel AMT, с помощью пакета средств для разработки ПО на основе Intel AMT. В данный пакет входит высокоуровневый API-интерфейс Intel AMT (Intel AMT HLAPI) — очень простой, единообразный API-интерфейс для всех версий AMT и ассортиментных позиций Intel.
Теперь рассмотрим возможности и процедуру настройки Intel AMT более подробно, а в заключении добавим еще несколько слов об AMT SDK.

Чтобы использовать возможности внеполосного управления Intel AMT, необходимо использовать Intel® Ethernet или к беспроводной Intel адаптер, поддерживающий подключение к микропрограмме Intel ME.
Обратите внимание, что для использования выпуска Intel AMT 10.0 на платформу необходимо установить 10 версию микропрограммы Intel ME и драйвера. Драйвер 10.0 может быть установлен в системах, изначально использовавших микропрограммы 8.x. 9.x или 10.0. Всегда используйте микропрограмму, предоставленную поставщиком системы.
Intel AMT поддерживает удаленные приложения, выполняемые в ОС Microsoft Windows* или Linux*; в то же время данная технология поддерживает локальные приложения только для ОС Windows.

Новые возможности, представленные в выпуске Intel® AMT 10.0

Выпуск Intel AMT 10 обратно совместим с системами, в которых используются чипсеты Intel® серий 7, 8 и 9.

  • Самое важное изменение. OpenSSL* теперь используется без флага пульсации. По этой причине в системах, обновленных до выпуска AMT10, необходимо аннулировать и повторно оформить сертификаты, а также изменить пароли.
  • В инструмент приложения HLAPI и KVM добавлена функция очистки экрана клиента Intel AMT (при удаленном доступе).
  • Обновленные файлы MOF и XSL, как и справочное описание класса, теперь относятся к версии 10.0.25.1048.
  • Версия Real VNC* в Linux и KVM обновлена до 1.2.5.
  • Connected Standby/InstantGo в ОС Windows поддерживаются для Windows 7 и более поздних версий (также доступны в HLAPI).
  • Корректные операции управления питанием поддерживаются на 32-разрядных и 64-разрядных платформах Windows Vista, 7 и 8, включая (в Windows 8) режимы Connected Standby/InstantGo, а также генерирование событий UNS. Эта возможность также добавлена в API-интерфейс HLAPI.
  • Теперь поддерживается инициализация в режимах управления для администратора и для клиента с защищенными именами FQDN.

Подготовка клиента Intel® AMT к использованию

Процесс настройки (инициализации) клиента AMT включает переключение клиента из режима установки и настройки в рабочий режим. Для перехода в режим настройки необходимо, чтобы поставщик системы настроил первоначальную информацию (которая зависит от версии AMT). Для активации технологии Intel AMT необходимо расширение Intel® Manageability Engine BIOS (Intel® MEBx), внедренное поставщиком системы. Для установки и настройки можно использовать приложение для удаленного управления. Для разных версий AMT предусмотрены разные способы установки.

Выпуски AMT Способ установки
1.x; плюс 2.x, 3.x в старом режиме Старый
2.x, 3.x, 4.x, 5.x SMB
2.0 и более поздние версии PSK
2.2, 2.6, 3.0 и более поздние версии PKI (удаленно)
6.0 и более поздние версии Вручную
7.0 и более поздние версии Режим управления для клиента и режим управления для администратора
10.0 Теперь поддерживаются безопасные имена FQDN.

ПО Intel® Setup and Configuration Software (Intel® SCS) может выполнять инициализацию систем версии Intel AMT 2.X.

Советы по настройке вручную

Настройка вручную выполняется в меню Intel MEBx, которое становится доступно сразу после отображения экрана запуска BIOS (обычно для этого необходимо нажать клавиши <Ctrl+P>). Иногда BIOS предоставляет возможность скрыть приглашение на нажатие <Ctrl+P>.
Чтобы вручную настроить клиент Intel AMT, выполните следующие действия.

  1. Введите пароль Intel MEBx по умолчанию (admin).
  2. Замените пароль Intel MEBx по умолчанию новым безопасным паролем (обязательно). Данный пароль должен содержать не менее восьми символов и как минимум одну заглавную букву, одну строчную букву, одну цифру и один специальный символ. Примечание. Приложение консоли управления может изменить пароль Intel AMT, не изменяя пароль Intel MEBx.
  3. Выберите пункт Intel® AMT Configuration (Настройка Intel® AMT).
  4. Выберите Manageability Feature Selection (Выбор функций управления).
  5. Выберите ENABLED (ВКЛЮЧЕНО), чтобы активировать технологию Intel® AMT.
  6. Выберите SOL/IDE-R/KVM и активируйте все эти функции. Включение режима Legacy Redirection Mode (Режим перенаправления старых устройств) обеспечивает совместимость с консолями управления, созданными для работы со старым режимом SMB, который не оснащен механизмом включения приемника. Обратите внимание, что, если в Intel MEBx не включены функции SOL/IDER/KVM, они будут недоступны для консолей управления.
  7. Выберите User Consent (Разрешение пользователя). Выберите нужные параметры для операций KVM и Remote IT (Удаленное управление ИТ). Если включен режим разрешения пользователя, каждый раз при удаленном доступе к клиенту Intel AMT необходимо будет получить разрешение пользователя.
  8. Введите Network Setup (Настройка сети), чтобы задать параметры сети для Intel ME.
  9. Введите Activate Network Access (Активировать доступ к сети), чтобы включить Intel AMT.
  10. Вернитесь в главное меню.
  11. Выберите MEBx Exit (Выйти из MEBx), чтобы продолжить процесс загрузки системы.

Платформа настроена. Дополнительные параметры можно задать с помощью веб-интерфейса или приложения консоли удаленного управления.

Режим управления для клиента и режим управления для администратора

По завершении установки, вне зависимости от способа, Intel AMT 7.0 и более поздние версии переходят в один из двух режимов управления.
Режим управления для администратора — после установки с помощью меню Intel MEBx или удаленной установки Intel AMT переходит в режим управления для администратора. В этом режиме доступны все функции Intel AMT по причине высокого уровня доверия пользователю, применившему данные способы установки.
Режим управления для клиента — в этот режим Intel AMT переходит после базовой установки на сервере (локально). В нем недоступны некоторые функции Intel AMT по причине низкого уровня доверия, необходимого для установки на сервере. Применяются следующие ограничения.

  1. Функция защиты системы недоступна.
  2. Для выполнения действий перенаправления (IDE-R и KVM, но не инициирование сеанса SOL) и изменения параметров загрузки (включая загрузку в SOL) необходимо предварительно получить разрешение пользователя. Однако и в этом случае
  3. ИТ-специалисты могут удаленно решать проблемы конечного пользователя с помощью Intel AMT.
  4. Если создана учетная запись аудитора, то для отмены инициализации разрешение аудитора не требуется.
  5. Ряд функций заблокирован, чтобы не позволить ненадежному пользователю управлять платформой.

В AMT 9.0 и последующие версии добавлена возможность удаленно настраивать платформу, не оснащенную средствами контроля, без разрешения локального пользователя.

Доступ к клиентам Intel® AMT через веб-интерфейс

Администратор с правами пользователя может удаленно подключиться к клиенту Intel AMT через веб-интерфейс, если введет в адресную строку браузера IP-адрес или имя FQDN клиента, а затем номер порта. Если протокол TLS НЕ настроен, используйте http и порт 16992; в противном случае используйте https и порт 16993.

Чтобы получить доступ к клиенту Intel AMT по технологии Serial Over LAN (SOL), необходимо установить драйвер SOL.
Знакомство с Intel® Active Management Technology 10 - 2

Службы локального управления (LMS) и уведомления пользователей (UNS) Intel AMT

Служба локального управления (LMS) выполняется локально на устройстве Intel AMT и позволяет локальным приложениям для управления отправлять запросы и принимать ответы устройства. LMS прослушивает и перехватывает запросы, направленные на локальный сервер Intel AMT, чтобы затем передать их в Intel ME через драйвер интерфейса Intel ME.
Знакомство с Intel® Active Management Technology 10 - 3

Обратите внимание, что в Intel AMT 9.0 и более поздних выпусках службы локального управления и уведомления пользователей объединены. UNS регистрируется на устройстве Intel AMT для получения набора оповещений. Получив оповещение, UNS заносит его в журнал событий Windows Application. В качестве источника событий указывается Intel® AMT.

Инструмент состояния управления и безопасности Intel (IMSS)

Чтобы получить доступ к инструменту IMSS, воспользуйтесь значком «синего ключа» в области уведомлений Windows.
Знакомство с Intel® Active Management Technology 10 - 4

На вкладке General (Общие) в инструменте IMSS указано состояние служб Intel vPro, доступных на платформе, а также хронология событий. На других вкладках представлены дополнительные сведения.
Знакомство с Intel® Active Management Technology 10 - 5

На вкладке Advanced (Дополнительно) инструмента IMSS представлена более подробная информация о конфигурации и функциях Intel AMT. Представленный ниже снимок экрана подтверждает, что в системе настроена Intel AMT.
Знакомство с Intel® Active Management Technology 10 - 6

Пакет средств для разработки ПО на основе Intel AMT (SDK)

Пакет средств для разработки ПО на основе Intel® AMT обеспечивает низкоуровневые возможности программирования, с помощью которых можно создавать приложения для управления, использующие все функции Intel AMT.
Пакет средств для разработки ПО на основе Intel AMT представляет собой образец кода и набор API-интерфейсов, позволяющих разработчикам просто и быстро добавить в приложения поддержку Intel AMT. Помимо этого, в пакет входит полный набор документации. Данный пакет средств для разработки ПО поддерживает C++ и C# в операционных системах Microsoft Windows и Linux. Важная информация по сборке образцов приведена в Руководстве пользователя и в файлах Readme в каждом из каталогов.
SDK предоставляется как набор каталогов, который можно скопировать в любое выбранное место в системе для разработки. Поскольку компоненты взаимосвязаны, структуру каталога необходимо копировать целиком. На верхнем уровне находятся три папки, одна из которых называется DOCS (документация). Две другие содержат образец кода для Linux и для Windows.

Другие ресурсы информации о Intel AMT SDK

Intel AMT SDK содержит платформы и образцы для упрощенной разработки приложений по стандарту WS-Management. Кроме того, в этот пакет входят примеры использования расширенных возможностей данного продукта. Дополнительная информация приводится на следующих страницах:

Существует много разных средств разработки, для которых пишут ПО с поддержкой Intel AMT. Инструменты Intel vPro Enablement Tools доступны только в C++ (оболочка C# в пакете средств для разработки ПО), и для них требуется COM-объект, подготовленный Microsoft (не просто .NET). Поддержка SOAP полностью удалена из пакета средств для разработки ПО в AMT 9.0 и более поздних версиях.

Автор: saul

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js