Intel amt настройка - TurboComputer.ru
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд (пока оценок нет)
Загрузка...

Intel amt настройка

На главную

Введение

Приблизительно два года назад мы разместили на своих страницах материал, описывающий применение Adder IPEPS в качестве аппаратного решения, помогающего системным администраторам производить антивирусную проверку и даже переустановку операционной системы. Стоит особо подчеркнуть, что речь шла об антивирусной проверке и настройке BIOS в случае частичной неработоспособности операционной системы, когда использование стандартных средств удалённого доступа, таких как RDP, RAdmin и RealVNC, не представляется возможным. Сегодня мы представляем нашим читателям ещё один способ управления рабочими станциями без использования внешних устройств.

Удалённое управление

Технология удалённого управления рабочей станцией Intel AMT существует уже достаточно давно, однако аппаратная поддержка данной технологии реализована далеко не во всех современных материнских платах и процессорах. Перед использованием описываемого в данной статье метода подключения к удалённому узлу необходимо убедиться, что процессор поддерживает технологию vPro, а материнская плата построена на чипсете серии Q, например, Q67 или Q77. Мы не будем вдаваться в детали реализации vPro и AMT, а также в требования к оборудованию, но приведём пример, возможно, не совсем стандартного использования обсуждаемых механизмов удалённого доступа.

Итак, в нашем распоряжении был персональный компьютер на базе материнской платы ASUS P8Q77-M (BIOS версии 0303) и процессора Intel i7 3770, который мы считаем обычным ПК рядового пользователя дома или в офисе. Проблема удалённого управления серверами имеет множество успешных решений, к числу которых относятся технологии IPMI, iLO и другие, однако подобные методы не применимы к стандартным ПК. Внедрение решений на основе Adder IPEPS нельзя назвать беспроблемным, так как подключение такой аппаратуры к каждому узлу требует приобретения большого количества дополнительных устройств, а также приводит к занятию ещё одного порта на сетевом оборудовании. Временное же подключение IP KVM к проблемному ПК требует наличия технического персонала на удалённом объекте, к тому же сам по себе Adder IPEPS не позволяет справиться с ситуацией, когда управляемый ПК завис или находится в состоянии BSOD. Мы упоминали об одном из методов удалённого управления питанием, однако он также может оказаться весьма затратным. Использование технологии Intel AMT не приводит к дополнительным затратам на покупку дорогостоящего оборудования, так как её поддержка реализована в некоторых широко распространённых комплектующих.

На момент написания статьи нам были известны две утилиты, поддерживающие подключение к удалённым узлам с использованием Intel AMT: RAdmin и VNC. К сожалению, нам так и не удалось подключиться к тестовому ПК с помощью утилиты RAdmin, к тому же данная утилита поддерживает подключения только к узлам, работающим в текстовом видеорежиме. Мы без проблем выполняли включение, выключение и перезагрузку машины, но получить доступ к BIOS или операционной системе не могли из-за разнообразных ошибок. Конечно, это решает проблему удалённого включения ПК для домашних пользователей в том случае, когда их маршрутизатор не поддерживает функцию WOL (Wake on LAN) – требуется выполнить лишь перенаправление портов – но в нашем случае этого явно не достаточно. При использовании VNC Viewer Plus администратору необходимо указать IP-адрес управляющего AMT-модуля, который, естественно, отличается от собственного адреса узла, указать тип шифрования, а также выбрать режим подключения. Здесь мы опускаем вопросы предварительной настройки самой рабочей станции, необходимой для разрешения удалённых подключений.

После успешного подключения администратору необходимо ввести логин и пароль, заданные в настройках AMT на удалённом узле.

Хотелось бы отдельно отметить, что изменение параметров доступа по технологии Intel AMT на удалённой машине с помощью VNC Viewer Plus невозможно.

Как мы отметили в названии статьи, мы собираемся использовать технологию Intel AMT для антивирусной проверки удалённых узлов. Конечно, такая проверка имеет смысл лишь в том случае, когда операционная система и установленное в ней антивирусное программное обеспечение не могут справиться самостоятельно. Как и в случае с локальной проверкой нам потребуется образ загрузочного диска, содержащий собственную операционную систему и антивирус. Подобные образы доступны от разных производителей антивирусного программного обеспечения, к числу которых относятся «Лаборатория Касперского» и «Доктор Веб». Последний предлагает загрузить полностью готовый образ с сайта, тогда как диск для Касперского может быть создан с помощью установленной на узле администратора программы.

Скачанный или подготовленный образ необходимо смонтировать в программу VNC Viewer Plus.

После того, как диск будет монтирован, можно производить включение удалённого ПК с выбором загрузки с диска.

Дальнейшее управление происходит так же, как если бы администратор загрузился с этого диска и находился в непосредственной близости от проблемного компьютера.

Стоит, однако, отметить, что нам не удалось таким образом осуществить удалённую проверку с помощью Доктора Веб из-за «отсутствия» загрузочного устройства, тогда как работа с антивирусным продуктом Лаборатории Касперского не вызвала затруднений.

В случае если операционная система на удалённом узле полностью испорчена и не подлежит восстановлению, администратор может произвести её переустановку с использованием подключения по всё той же технологии Intel AMT. Правда, время, затрачиваемое на эту операцию, может неприятно удивить, так как сетевое подключение в этом режиме у нас заработало лишь на скорости 10 Мбит/с, а дистрибутивы современных операционных систем едва помещаются на DVD-диски. После переустановки системы администратор может столкнуться с отсутствием ряда драйверов, необходимых для подключения к сети. К счастью, эта проблема может быть легко решена путём добавления нужных файлов в образ диска. Имеется в виду простое добавление файлов в файл ISO, а не внедрение драйверов непосредственно в сам дистрибутив. Такое добавление можно произвести, например, с помощью утилиты UltraISO.

На этом мы завершаем наш краткий экскурс в проблему антивирусных проверок удалённых узлов.

Заключение

Подводя итоги, хочется отметить, что компания Intel предлагает администраторам чрезвычайно мощный инструментарий по удалённому решению проблем с операционной системой, лечению вирусов и настройке BIOS, не требуя при этом приобретения дорогостоящего оборудования, — весь функционал заложен в чипсет и процессор. Доступ к узлу возможен как во включённом, так и в выключенном состоянии. Стоит также отметить, что для выполнения ряда простых функций (включение, выключение, просмотр состояния, получение информации об оборудовании и так далее) не требуется никакого специализированного программного обеспечения – достаточно современного браузера, подключающегося к управляемому узлу по протоколу HTTP на порт 16992.

И хотя Intel AMT является чрезвычайно полезной технологией для администраторов, для простых пользователей она может оказаться очередным чёрным ходом в их систему, оставленным разработчиками для удобства администрирования.

IT для среднего и малого бизнеса

Удаленное администрирование с помощью технологии Intel® AMT

Удаленное администрирование – штука хорошая в первую очередь из-за экономии времени: сотруднику ИТ-отдела не нужно бегать к чужому рабочему месту (которое может находиться на приличном расстоянии), тратя на это свое и чужое время: можно сразу подключиться к удаленному ПК с рабочего места специалиста по обслуживанию. Удаленное управление (УУ) позволяет решать большое количество проблем с ПО и настройками системы. Однако традиционное УУ работоспособно только в том случае, когда операционная система (ОС) функциональна, драйвер сетевого адаптера работает и, обеспечено подключение к локальной сети. Достаточно сбоя в работе хотя бы одного из этих звеньев и удаленно уже ничего сделать нельзя. Проблемы вне ОС, например, в BIOS, так тоже не устранишь. Как и причины, мешающие загрузке системы. Да, кстати: не забудем, что для традиционного УУ компьютер должен быть включен.

Технология Intel® AMT в этом плане на голову выше: она реализована на аппаратном уровне, поэтому компьютером можно управлять даже при неработоспособной ОС. Можно удаленно запустить систему, настроить параметры BIOS, загрузиться с внешнего накопителя для установки и развертывания ОС и ПО, переустановить сетевые драйверы и т.д. Фактически, с помощью АМТ можно решить любые программные проблемы: если «железо» работает нормально, то все остальное выполнимо.

Немного о технической реализации Intel АМТ

Intel® AMT присутствует в решениях Intel уже почти десять лет (впервые она появилась в 2006 году) и все это время активно развивалась. Начиная с 6-й версии технология предоставляет полноценный KVM (keyboard-video-mouse), то есть удаленный оператор получает картинку с монитора и может управлять удаленным ПК с помощью клавиатуры и мыши, как обычно. Последние версии, кстати говоря, поддерживают передачу картинки с разрешением FullHD и выше. АМТ способна передавать управление с удаленной системы всегда, когда включен компьютер: будь то загрузка ОС, выбор загрузчика, загрузка на уровне BIOS или управление параметрами BIOS.

Правда, у аппаратной реализации есть оборотная сторона: нужно выбирать такоке оборудование, которое поддерживает АМТ. И думать об этом следует при закупке оборудования, а не при возникновении аварийной ситуации. АМТ является частью набора vPro, для поддержки которого требуется специальная версия процессора, платформы и сетевого адаптера. Ее поддерживают некоторые чипсеты Intel профессиональных серий, индексы которых заканчиваются на «7», и некоторые модели процессоров Intel ® Core ™ i5 и i7. Однако проще ориентироваться на наличие логотипа vPro.

С технической точки зрения АМТ работает следующим образом: она создает отдельный, совершенно независимый и изолированный от основного, зашифрованный канал обмена данными по локальной сети. Полноценно технология работает только при проводном подключении к локальной сети. Мобильные устройства могут работать и через беспроводные сети, но с серьезными ограничениями: ОС и драйверы сетевого адаптера должны быть установлены, а подключение к сети быть активным. Все необходимое для работы АМТ ПО находится в особой защищенной зоне внутри BIOS.

Читайте также:  Как калибровать монитор в домашних условиях

Наконец, Intel ® АМТ использует распространенный протокол управления VNC, под который существует много продуктов. В качестве ПО для удаленного рабочего стола можно использовать следующие продукты:

1) TightVNC Viewer (Windows);

2) Real VNC Viewer (Windows);

3) VNC Viewer Plus (Windows);

4) Ultra VNC (Windows);

6) Remmina (Linux);

8) Real VNC Viewer for Android (Android);

9) AndroidVNC Viewer (Android);

10) akRDC Free VNC Viewer (Android);

11) Remote Ripple-VNC (Android);

Как видим, список VNC-клиентов обширен, и важно что поддержана работа в Windows, Linux и Android. Это позволяет осуществлять УУ с любого устройства. То есть технология Intel ® AMT имеет широкую поддержку и не привязана к конкретным ОС.

Кроме того, возможно удаленное управление компьютером с помощью портала meshcentral.com. Впрочем, об этом подробно рассказывается в видеоролике, посвященном АМТ, поэтому не будем повторяться.

Основные преимущества

Итак, коротко взглянем на основные преимущества технологии по сравнению с распространенными средствами УУ:

— в отличие от программных средств AMT работает и при нефункциональной ОС, позволяет настраивать BIOS и пр.;

— имеет встроенные средства безопасности и надежные алгоритмы шифрования;

— является бесплатной, тогда как многие программные средства удаленного администрирования — платные. Хотя здесь следует учитывать, что ее стоимость включена в стоимость компонентов с логотипом vPro;

— позволяет включать и выключать компьютер;

— позволяет загрузиться с удаленного носителя, в том числе для установки или развертывания ОС и ПО.

В общем, по совокупности возможностей АМТ далеко обходит программные решения

Сценарии использования

Самый распространенный сценарий — дистанционное решение проблем, возникающих на компьютере пользователя. AMT дает огромный выигрыш во времени. Особенно это выгодно в ситуациях, когда когда ИТ-отдел и пользователи находятся в разных зданиях. К тому же АМТ позволяет решать гораздо более широкий круг проблем; т.е., практически все проблемы кроме отказа аппаратных компонентов.

Появляется возможность удаленно проводить плановое сервисное обслуживание, например, установку обновлений. Специалисту не требуется физический доступ к компьютеру, он может производить любые действия, включая перезагрузку системы, удаленно. Также он может мгновенно переключаться от одной системы к другой, что ускоряет выполнение работы. Это тем более важно, поскольку установка обновлений ОС и ПО в рабочее время нежелательна и эти действия производятся, как правило, после окончания рабочего дня или на выходных.

Следующий выгодный сценарий использования АМТ — возможность обеспечения круглосуточной поддержки. Поскольку для решения большинства технических проблем уже нет необходимости в физическом доступе к компьютеру пользователя, можно использовать ИТ-персонал из других регионов с другими часовыми поясами. Кстати говоря, это позволяет предприятию сэкономить, размещая удаленные ИТ-отделы в регионах, где заработные платы ИТ-персонала ниже.

Развертывание ОС и ПО перестает быть проблемой, т.к. АМТ поддерживает загрузку компьютера с использованием удаленного образа. Если физически компьютер подключен к проводной сети, то специалист может удаленно включить его, загрузиться с помощью технологии IDE-R и произвести установку и настройку системы. Кстати, если необходима эта функция, то нужно внимательно ознакомиться с настройками, так как скорость удаленной загрузки может значительно отличаться от привычной.

Существенно упрощается ситуация в случае заражения системы вирусом. Поскольку канал управления независим от ОС, вирус не может нарушить удаленное управление, а специалист может производить любые нужные действия, вплоть до переустановки ОС и развертывания настроенного образа.

Итоги

Как мы видим, у технологии Intel ® АМТ много преимуществ. Так почему же ее не используют повсеместно? Может быть для ее использования необходимо специфическое и дорогое оборудование?

На самом деле, особо критичных требований у Intel ® АМТ нет. Правда, на этапе закупки техники необходимо обратить внимание на наличие в ней поддержки vPro, а потом правильно все настроить, но и тут особых сложностей не возникает. Проводное соединение не является проблемой, так как ЛВС в современном офисе есть везде. К тому же AMT (при соблюдении некоторых простых условий) работает везде, в том числе, посредством Интернет.

Использование Intel vPro AMT для удаленного управления компьютерами

В этой статье мы рассмотрим, как настроить и использовать функцию удаленного управления компьютерами Intel AMT KVM. Технология Intel AMT (Active Management Technology) является частью комплекса Intel vPro, и администраторам удаленно управлять компьютерами пользователей, даже если на них не запущена / не работает / не установлена операционная система, или компьютер выключен позволяет (на самом деле это только одна из функций AMT). Как правило такое удаленное управление сводится к использованию возможностей KVM (удаленный просмотр экрана пользователя, управления его клавиатурой, мышью и питанием).

KVM в Intel vPro AMT

Поддержка технологии удаленного управления KVM появилась в Intel vPro AMT 6.x на компьютерах с процессорами i5 и i7 на чипсете Intel с поддержкой vPro (как правило название чипсета начинается с Q) со встроенным графическим чипсетом Intel.

Удаленное управление реализуется за счет наличия встроенного сервера VNC. Любой совместимый VNC клиенты может использоваться для удаленного подключения и управления компьютером через AMT.

Благодаря возможностям, предоставляемых Intel vPro, администратор может удаленно зайти на рабочий стол компьютера, войти в BIOS / UEFI, установить ОС, исправить любые ошибки, которые мешают загрузке компьютера, или удалить проблемные обновления, после установки которых Windows перестала грузиться.

Как включить KVM на Intel vPro AMT

По умолчанию возможность удаленного управления через AMT KVM на компьютерах с поддержкой Intel vPro отключена. Включить ее можно через меню Intel MEBx. Попасть в это меню можно после отображения экрана запуска BIOS/UEFI с помощью сочетания клавиш Ctrl+P или F12 (на некоторых компьютерах можно скрыть это меню с помощью настроек BIOS).

  1. В нашем случае, чтобы попасть в меню MEBx, на ноутбуке Dell Latitude E7270 после включения компьютера нужно нажать кнопку F12. На экране выбора режима загрузки нужно выбрать Intel(R) Management Engine BIOS Extension (MEBx).
  2. Затем нужно выбрать пункт MEBx Login и нажать Enter.
  3. Укажите пароль для входа в режим Intel(R) ME (по умолчанию это admin)
  4. Вам сразу же будет предложено указать новый пароль. Требования к паролю: не менее 8 символов, разный регистр, наличие цифр и спецсимволов.
  5. После смены пароля выберите меню настройки Intel(R) AMT configuration.
  6. Измените значение Manageability Feature Selection на Enabled
  7. Активируйте функции в разделе SOL/Storage Redirection/KVM
  8. Перейдите в раздел User Consent и измените параметр User Opt-in с KVM на None (отключится запрос кода-подтверждения пользователем).
  9. Теперь нужно включить доступ по сети. Выберите пункт Activate Network Access. И подтвердите включение клавишей Y.
  10. Выберите пункт меню MEBx Exit и нажмите Y для сохранения изменений. Компьютер перезагрузится.
  11. Теперь, если при загрузке нажат кнопку F12, вы увидите новую опцию Intel(R) Fast Call for Help. Выберите ее и нажмите Enter.
  12. Текущий IP адрес компьютера (получн с сервера DHCP) можно использовать для удаленного подключения.
  • Настройки MEBx нельзя изменить удаленно с помощью KVM
  • Вы можете создать несколько учетных записей с разными паролями
  • Можно использовать собственный статический IP адрес для интерфейса Intel AMT ME (Manageability Engine)

Подключение к удаленным компьютерам с помощью Intel AMT

Веб-интерфейс Intel AMT доступен по адресу http://IP:16992 или https://IP:16993.

Однако удалённая консоль KVM не доступна через веб-интерфейс. Нужно использовать сторонний VNC клиент, совместимый с vPro AMT KVM. К примеру, это может быть Radmin, Dameware, RealVNC, MeshCommander, VNC Viewer Plus и т.п.

Мне понравился бесплатный клиент MeshCommander. Вкратце, как им пользоваться для удаленного подключения к компьютерам с AMT.

  1. Скачайте и установите MeshCommander
  2. Добавьте удаленный компьютер по IP адресу, либо выполните сканирование диапазона IP адресов с включенным AMT KVM. После добавления IP адреса, нажмите Connect
  3. В левой панели будет выведен список различных опций, представляемых AMT: можно получить информацию о системе, получить доступ к журналам, управлять различными настройками компьютера и т.д. (не буду углубляться в них подробно). Нас пока интересует только удаленное управление (раздел Remote Desktop)
  4. Перейдя в данный раздел, вы увидите сообщение «Intel AMT Redirection port or KVM feature is disabled, click here to enable it». Просто нажмите на красную строку для включения KVM
  5. Итак, мы получили удаленный доступ к консоли компьютера. Теперь вы можете установить ОС, выполнить диагностику, настроить или перезагрузить компьютер пользователя.

Для доступа к Intel AMT KVM на сетевом уровне должны быть открыты порты 16994 — IDE-R/SOL over TCP и 16995 — IDE-R/SOL over TLS (помимо 16992 и 16993).

Начальная настройка vPro

Материал из Xgu.ru

Начальная настройка vPro — активация управляющего модуля AMT (AMT Management Engine) и установке некоторых его параметров, таких как пароль доступа и режим работы. Настройка выполнятся при помощи MEBx (Management Engine BIOS Extensions) — специального расширения BIOS, ответственного за настройку AMT.

Обычно начальная настройка vPro для каждого компьютера выполняется только один раз. В последствии выполнять дополнительную настройку и изменение конфигурации можно удалённо, средствами AMT.

Содержание

[править] Режимы и фазы AMT

AMT может работать в двух режиме:

  • SMB — для небольших сетей;
  • Enterprise (по умолчанию) — для больших сетей.

В зависимости от того, на каком этапе настройки AMT вы находитесь, различают три фазы:

  • Factory — конфигурирование AMT не выполнялось;
  • In-Setup — конфигурирование AMT выполняется в настоящий момент;
  • Operational — конфигурирование AMT завершено и AMT можно использовать удалённо.

[править] Требования к паролю

  • Пароль должен быть как минимум 8 символов в длину, допускается использование любых (за исключением четырёх) ASCII-символов из диапазона 32—126 включительно.
  • Нельзя использовать символы “ ‘ , и :
  • В пароле должна присутствовать хотя бы одна цифра (например, 0, 1, 2, 9).
  • В пароле должен присутствовать хотя бы один не алфавитно-цифровой символ (например, !, @, $).
  • В пароле должны присутствовать буквы в верхнего и нижнего регистра (например, A, a, B, b).
Читайте также:  Как настроить чёткость монитора windows 10

[править] Настройка ME в SMB режиме

1. Нажмите Ctrl-P в процессе загрузки.

2. Введите пароль. Пароль по умолчанию: admin. Пароль чувствителен к регистру.

3. Измените пароль MEBx. Пароль должен удовлетворять правилам строгих паролей (см. выше).

Система переходит от фазы Factory к фазе In-Setup.

4. Выберите пункт меню ME Platform Configuration. Система предупреждает, что перезагрузится после того как установка будет завершена.

5. Выберите Y. В ходе настройки ME можно задавать параметры AMT/ASF, настройки питания, настройки обновления firmware и др.

6. Выберите Intel ME State Control и в нём выберите Enabled

  • Настройка по умолчанию: Enabled
  • Рекомендуемая настройка: Enabled

Эта опция может использоваться для того чтобы временно отключить ME. При этом функции AMT/ASF будут недоступны.

7. Выберите Intel ME Firmware Local Update Qualifier и в нём выберите Always Open

  • Настройка по умолчанию: Always Open
  • Рекомендуемая настройка: Always Open
  • Есть варианты: Never Open, Restricted

Опция определяет, можно ли выполнять обновление firmware локально.

8. Пропустите пункт LAN Controller

  • Настройка по умолчанию: Enabled
  • Рекомендуемая настройка: Enabled

Отключение сетевого контроллера возможно только если выключен модуль ME (режим управления ME установлен в None). В этом случае удалённое управление становится невозможным.

9. Выберите Intel ME Features Control.

a. Выберите Manageability Feature Selection

  • Настройка по умолчанию: Intel AMT
  • Рекомендуемая настройка: Intel AMT

b. Пропустите Intel Quiet Systems Technology

  • Настройка по умолчанию: Disabled
  • Рекомендуемая настройка: Disabled

Эта настройка вообще используется для управления скоростью вращения вентилятора системного блока компьютера. В компьютерах HP она не используется, регулирование скорости вращения выполняется другими методами.

c. Пропустите Return to the previous menu

10. Выберите Intel ME Power Control.

a. Выберите ME State upon Initial Power-On и в нём выберите On

  • Настройка по умолчанию: Off
  • Рекомендуемая настройка: On
  • Off — выключено при выключенном компьютере, но включается при включении
  • On — включено даже при выключенном компьютере

b. Выберите ME ON in Host Sleep States и выберите Always

  • Настройка по умолчанию: Never
  • Рекомендуемая настройка: Always

(c) Пропустите LAN Power Well

Функция LAN Power Well выполнена в компьютерах HP на аппаратном уровне и поэтому данная опция не используется.

(d) Пропустите ME Visual LED Indicator

Индикатор активности модуля ME. При выполнении операций с ME зажигается индикатор на материнской плате. В компьютерах HP не используется.

(e) Выберите Return to previous menu

11. Вернуться в предыдущее меню, сохранить настройки AMT. Компьютер уйдёт на перезагрузку. Когда перезагрузка закончится,

12. Введите Ctrl-P во время загрузки POST.

13. Введите пароль для доступа к MEBx.

14. Выберите пункт Intel AMT Configuration.

15. Выберите пункт Host Name и введите имя хоста.

16. Выберите TCP/IP.

(a) В пункте Disable Network Interface выберите N

(b) В пункте DHCP Disable выберите Y

(с) В пункте IP address введите IP-адрес ME

(d) В пункте Subnet Mask введите сетевую маску ME

(e) В пункте Default Gateway Address введите шлюз по умолчанию для ME компьютера

(f) В пункте Preferred DNS Address предпочитаемый DNS-сервер

(g) В пункте Alternate DNS Address запасной DNS-сервер

(h) В пункте Domain Name введите доменное имя ME компьютера

17. Пропустите Provisioning Server.

18. Выберите Provisioning Model.

(a) В пункте Intel AMT 1.0 Mode введите N

(b) В пункте Small Business введите Y

  • Настройка по умолчанию: Enterprise
  • Рекомендуемая настройка: SMB

19. Пропустите Un-Provision.

20. Пропустите настройку VLAN

  • Настройка по умолчанию: Disabled
  • Рекомендуемая настройка: User Dependent

В качестве значения номера VLANа используйте число в диапазоне 1-4094. Если его задать, управляющий трафик AMT тегируется 802.1Q-заголовком, указывающем на принадлежность VLANу с этим номером.

(b) Выберите пункт Username and Password и выберите Enabled

  • Настройка по умолчанию: Enabled
  • Рекомендуемая настройка: Enabled

(c) Выберите пункт Serial over LAN и в нём выберите Enabled.

  • Настройка по умолчанию: Enabled
  • Рекомендуемая настройка: Enabled

22. Выберите пункт Remote Firmware Update и установите вариант Enabled.

  • Настройка по умолчанию: Enabled
  • Рекомендуемая настройка: Enabled

Эта настройка разрешает удалённо обновлять BIOS.

23. Выберите Return to previous menu для того чтобы выйти из текущего меню на уровень выше.

24. Выберите Exit и нажмите Y для того чтобы выйти из настройки MEBx с сохранением.

После того как система перезагрузится, она переходит от фазы In-Setup к фазе Operational. Теперь можно выполнять удалённое управление системой через Web-интерфейс или удалённую консоль ISV.

[править] Настройка AMT в Enterprise режиме

Требует наличия специального сервера настройки (Setup and Configuration Server, S&CS), также известного как сервер обеспечения (Provisioning Server).

Процедура настройки модулей управления AMT компьютеров в enterprise-режиме называется provisioning (ближайший перевод: обеспечение или снабжение).

Отличается от режима настройки ME в режиме SMB тем, что необходимо задать ещё два параметра:

  • Provisioning ID (PID)
  • Provisioning Passphrase (PPS)

Параметр PID должен состоять из 8 символов, а PPS — из 32 символов. Каждые четыре символа отделяются друг от друга символом «-» и получается что нужно вводить 9 символов для параметра PID и 40 символов для для PPS.

Параметры генерируются автоматически с помощью сервера настройки.

Существует три режима настройки множества компьютеров:

  • Legacy — устаревший;
  • IT TLS-PSK — с использованием S&CS, выполнятся IT-отделом компании;
  • OEM TLS-PSK — выполняется производителем.

[править] Отключение AMT (Возврат в исходное состояние)

Сброс настроек AMT и возврат системы в исходное состояние известен называется unprovisioning.

Для того чтобы выполнить его нужно выбрать соответствующий пункт в меню MEBx.

[править] Дополнительная информация

[править] Материалы по технологии Intel vPro на xgu.ru

  • Intel vPro — основная страница
  • Полигон по vPro в УЦ Сетевые Технологии — информация о серии однодневных тренингов по технологии Intel vPro
    • Фотографии участников полигона
  • Материалы тренинга

[править] Технология AMT и её использование

  • Начальная настройка vPro
  • Управление компьютером через Web-интерфейс AMT
  • Использование AMT Commander

[править] Технологии VT-d и VT-x и их использование

  • Windows XP в Xen — как выполнять запуск HVM-домена под управлением Windows XP в Xen с использованием технологии Intel VT-x
  • Windows Vista в Xen — как выполнять запуск HVM-домена под управлением Windows Vista в Xen с использованием технологии Intel VT-x
  • Использование VT-d в Xen — как выполнять проброс PCI-устройств (PCI-passthrough) внутрь HVM-домена Xen с помощью Intel VT-d

При доступе через web интерфейс — имя пользователя admin а пароль, тот который вы устанавливали при конфигурированиии ME

Intel AMT KVM — внутреннее устройство и настройка

Поддержка Intel AMT KVM появилась начиная с Intel AMT версии 6. Представляет собой встроенный в Intel ME сервер RealVNC. Т.е. это целиком «сторонний» (по отношению к Intel) продукт, располагаемый в Intel ME 6.x и более новых версий и позволяющий любому VNC-совместимому клиенту (в том числе на основе открытых/бесплатных решений) управлять AMT-компьютером.
В качестве компенсации за предоставление собственной разработки, RealVNC получила право взимать плату за некоторые дополнительные фичи, уникальные именно при использовании собственного (закрытого/платного) клиентского RealVNCPlus.

Используемые для Intel AMT KVM порты

Внутри Intel ME имеется RealVNC-сервер, позволяющий удалённо видеть, что происходит на экране компьютера, а также управлять его мышкой и клавиатурой. Стандартным для VNC является порт 5900, на него от RealVNC-сервера данные идут без какой-либо обработки. Стандарт VNC не предполагает шифрования. Исключением является лишь первичная передача пароля, в процессе которого задействован DES-56bit. Который, конечно же, тоже давно устарел и не считается безопасным.
Кроме передачи на порт 5900, трафик от VNC также передаётся, если можно так сказать, «в AMT», где уже может быть зашифрован с помощью TLS-сертификата и передан в локальную сеть через «редиректный» Intel AMT порт 16995.
На картинке видно, что возможна работа и через нешифрованный редиректный порт 16994, однако точно также как и нешифрованный Intel AMT HTTP-порт 16992, он обычно не используется — собственно, зря, что ли, мы так долго настраивали сертификаты? 🙂 Потому часто он просто и не указывается. В результате, если отбросить «лишнее» (не требующееся для рассмотрения работы Intel AMT KVM в нашем и общем случае), получится такая схема:

Если кратко, то порт 5900 — не шифруется, порты 16993/16995 — шифруются.

Порт 16993 остался в схеме потому, что изначальное соединение (авторизация) идёт через него, а вот уже сами данные от VNC-сервера — через 16995. Потому, в частности, для корректной работы Intel AMT KVM должны быть открыты оба этих порта.

Итого, все стандартные VNC-клиенты, соответственно, смогут работать с Intel AMT KVM лишь через 5900-й порт и не будут работать через 16993/16995, т.к. работа с последними подразумевает использование Intel AMT SDK, про что они, конечно же, не в курсе.

К «нестандартным» относится лишь упомянутый в начале RealVNCPlus, который «знает» про Intel AMT SDK, а потому работает с 16993/16995. Его рассмотрим отдельно в следующих частях.

Конечно же, отсутствие шифрования — не самая приятная вещь, но она является следствие соблюдения (старого) стандарта. Есть разные способы исправления этого недоразумения, например, организация шифрованного туннеля, внутри которого уже используется нешифрованный VNC-трафик. Однако с учётом понятной специфики Intel AMT KVM, работающей даже без ОС, например, до её загрузки:

Читайте также:  Монитор ноутбука не включается хотя компьютер шумит

. имеются очевидные сложности — ставить «туннель» на самом управляемом компьютере «пока некуда» (т.к. ОС не запущена). В таком случае подобный туннель можно проложить лишь, например, до роутера в подсети, через который уже подключиться к компьютеру.

В любом случае, использование стандартного порта для работы с Intel AMT KVM весьма и весьма удобно. Да и не всегда принципиально защититься от шпиёнов, слушающих ваш трафик, сколько получить возможность не ходить в какую-то бухгалтерию, а удалённо посмотреть, что у них там за «новые синие обои с непонятными буквами кто-то поставил».

Включение Intel AMT KVM с помощью Manageability Commander

Самый простой и самый очевидный способ включения Intel AMT KVM — с помощью Командира. В предыдущих частях мы уже как-то настроили Intel AMT 6 на материнской плате Intel DQ57TM. Отличия в работе AMT KVM для всех версий АМТ его поддерживающих (т.е. AMT6+) нет. Потому можно смело демонстрировать на «самом старом» — ровно также это будет и для «самого нового» — AMT 10 на момент написания статьи.
Итак, подключаемся к АМТ-компьютеру:

Ранее мы настроили AMT-сертификаты на данном компьютере, потому подключаться нужно с указанием DNS-имени, в данном случае это amt6.vpro.by (указывающее на локальный адрес 192.168.0.62). При попытке подключения к АМТ с указанием «привычного» IP получим несоответствие Common Name сертификата (имя, на которое он выдаётся):

Т.е. соединение устанавливает и оно шифрованное (TLS — также виден замок), однако после получим проблемы (неработоспособность некоторых фич, связанных с TLS).
Сходные проблемы получим, если на компьютере, где запускается Manageability Commander не установлен root-сертификат, от которого мы выписывали АМТ-сертификат:

Выполнив перечисленные важные условия для полностью корректной работы с АМТ (должен быть синий значок соединения и замочек) — двигаемся дальше.
Переходим на очевидно главную для работы с Intel AMT KVM вкладку Remote Control. Какие изначальные настройки будут у вас (для вашей АМТ-системы) точно предположить нельзя, обычно они имеют следующий вид («по дефолту»):

Первые два нас сейчас (для работы с Intel AMT KVM) не интересуют, остальные обычно такие:

  • Redirection Port — Disabled
  • User Consent Required — KVM Only
  • Remote Desktop Settings — Disabled, no ports open
  • Remote Desktop Viewer — Not set

К сожалению, пункты для управления KVM не очевидны, да к тому же их несколько (и все важны). В старых версиях MDTK было по-другому:

Видна отдельная вкладка KVM, но в реальности с ней связаны и другие настройки. Потому разберём подробно их по очереди.
Первым делом жмём на «самую главную» для Intel AMT KVM кнопку Remote Desktop Settings:

Видно, что некоторые пункты (Redirection Port, User Consent) дублируют уже имеющиеся, их изменение здесь повлечёт изменение и на «родительской» вкладке. Это из-за того, что они не «чисто-KVM-ные», а используются и для другого функционала Intel AMT (например, IDE-R — удалённая загрузка АМТ-компьютера по сети).
Чтобы разобраться с этой путаницей, по очереди пройдёмся по всем пунктам с отражением на внутреннюю схему работы AMT KVM.

Эта «главная кнопка» включает/выключает» работу VNC-сервера вообще, потому при его выключении другие параметры значения не имеют особого смысла и потому становятся серыми (недоступными для изменения):

Естественно, для использования AMT KVM пункт State должен быть Enabled.

Для того, чтобы можно было использовать AMT KVM с помощью стандартного (читай — бесплатного) VNC-клиента, необходимо включить его (AMT KVM) работу на стандартном (для VNC) порту 5900.
Для этого и предназначена данная опция — она включает/выключает VNC-трафик на порту 5900, никак его не преобразовывая и который далее не имеет никакой «АМТ-составляющей» (потому и доступен любому VNC-клиенту).

Redirection Port (16993/16995)

Данная опция включает перенаправление VNC-трафика «на уровень AMT».

«Перенаправление» (Redirect) не означает, что «оттуда» (со стандартного VNC-порта) трафик «забирается» и что при включении Redirect Port трафик на порту 5900 пропадает. Нет, он условно «копируется» — и туда, и туда.

«На уровень АМТ» обозначает, что после с ним можно будет работать через АМТ порты 16993/16995.

Default Primary Monitor

Данная опция актуальна лишь в мультимониторных системах, когда к управляемому АМТ-компьютеру подключены несколько дисплеев. Однако нужно помнить, что это касается лишь встроенной графики, при работе с «внешними» видеокартами функционал Intel AMT KVM не будет доступен.

Local User Consent

По умолчанию включена «защита создания KVM-сессии» с помощью подтверждения шестизначным числом, которое высвечивается перед началом соединения на экране АМТ-компьютера и которое требуется указать администратору:

В это время на АМТ-компьютере выскакивает окошко «Remote Assistance Session» с кодом доступа, который и нужно ввести, чтобы начать управлять компьютером с помощью АМТ KVM:

При чём не важно, загружена ли операционная система, данное «окошко» запрашивается в любой момент (при обращении к АМТ компьютеру для создания VNC-подключения), например, при старте Windows:

Или в BIOS Setup:

Подобная «защита» крайне неудобна (для администратора в первую очередь), особенно это очевидно, когда пытаешься управлять собственным же компьютером. Потому один из первых вопросов при работе с Intel AMT KVM — как её отключить. Попытка это сделать тут же обычно заканчивается ошибкой:

При чём может ругаться (как на приведенной выше) на другие опции (это глюк программы), либо вообще делать вид, что данная настройка применилась, однако при работе будет вновь запрашивать подтверждение (User Consent) либо вообще не хотеть соедниться — всё это потому, что обычно настройка User Consent присутствует в BIOS/MEBx:

А все настройки в BIOS/MEBx имеют «больший вес» и их нельзя изменить программно. Если это не учитывать (а, к сожалению, не всегда, вообще, технически возможно это учесть/перепроверить) — будут непонимание и раздражение «почему не работает». Например, в случае материнской платы Intel DQ57TML по умолчанию User Consent включён:

Изменяем на None:

И теперь он отключится и больше не будет запрашиваться.

Вариант «ALL» — подразумевает запрос User Consent и для KVM и для IDE-R. Большинство утилит «не умеют» такой вариант, потому им лучше не пользоваться.

В разных системах-компьютерах-ноутбуках-биосах пункт управления User Consent может называться по-разному и располагаться в других менюшках — просто учитывайте такой факт. Хотя его может и не быть — тогда получится программно (с помощью Командира) его и выключить и включить при желании.

Ещё одно важное замечание: изменить настройки User Consent, подключившись через AMT KVM-сессию не получится (т.к. данные данные переменные «задействованы»). Это придётся сделать «ручками» (зайдя на компьютере в BIOS Setup) либо через SOL-доступ (а не KVM):

User Consent Timeout

Если вы всё же решите использовать User Consent, то в данном пункте можно задать количество секунд, пока «висит» окошко с запросом кода:

После окончания этого периода потребуется повторить запрос и ввести новые цифры доступа.

Remote Session Timeout

Здесь задаётся время таймаута KVM-сессии в минутах — через сколько минут она оборвётся, если администратор ничего не делает. Стандартные значения 3-5 минут.
Если указать 0 — сессия не будет обрываться (к сожалению, некоторые утилиты некорректно обрабатывают такой вариант, хотя это обычно удобней).

Remote Desktop Authetication

Здесь задаётся пароль доступа к VNC-серверу (как раз тот, который передаётся с DES-шифрованием). По стандарту VNC он должен быть из 8 символов и быть «строгим» (т.е. типа P@ssw0rd).
Если в данной строке его не указать — он останется прежним (просто не будет меняться).

Индикация Intel AMT KVM сессии

Процесс работы по AMT KVM на управляемом компьютере отображается в виде красной рамки вокруг всего экрана и моргающего «компьютерчика»:

При чём, точно также как и запрос на подтверждение сессии это не относится к ОС, оно отображается везде, в т.ч. пока компьютер не загружен, например, в BIOS Setup:

Рекомендуемые настройки Intel AMT KVM

Итак, выключив надоедливый User Consent уже можно пользоваться и получать удовольствие от Intel AMT KVM. Однако стоит также упомянуть и о «рекомендуемых настройках».
После вышеописанных манипуляций, в принципе, можно «всё включить»:

Однако при таком подходе на компьютере будет постоянно доступен порт 5900, на который смогут подключиться любой желающий из локальной сети (ещё раз напомню — он идёт «мимо АМТ», что видно на картинках, АМТ его лишь либо включает либо выключает).
Ещё одна особенность, если вы его (стандартный порт 5900) включили и поставили в операционной системе «ещё один» (программный) VNC-сервер на 5900 — он («программный») не будет работать, т.к. трафик до него банально не дойдёт — 5900-й порт «загребает себе» AMT KVM).
Потому рекомендуется выключать 5900-й порт и включать его лишь на время работы (управления AMT-компьютером). Аналогично и по редиректным портам — включать их лишь на время работы. Это «официальные рекомендации» (с точки зрения максимальной безопасности), как удобней — уже решать вам.
Я обычно использую вариант с отключённым VNC-портом:

Это получается и защищённый (всё через TLS), и универсальный вариант — некоторые AMT KVM-утилиты (работающие именно через AMT-порты) не умеют сами включать редиректные порты перед началом KVM-сессии и предполагают, что редирект включён).

Ссылка на основную публикацию
Adblock
detector