Служба локального управления intel

Обновлено: 07.07.2024

Технология Intel® Active Management Technology1 (Intel® AMT) — один из компонентов технологии Intel® vPro™2. Платформы, оснащенные Intel AMT, поддерживают удаленное управление, даже если операционная система недоступна или компьютер выключен.

Независимые поставщики ПО получили возможность создавать приложения, эффективно использующие функции Intel AMT, с помощью пакета средств для разработки ПО на основе Intel AMT. В данный пакет входит высокоуровневый API-интерфейс Intel AMT (Intel AMT HLAPI) — очень простой, единообразный API-интерфейс для всех версий AMT и ассортиментных позиций Intel.

Теперь рассмотрим возможности и процедуру настройки Intel AMT более подробно, а в заключении добавим еще несколько слов об AMT SDK.

Чтобы использовать возможности внеполосного управления Intel AMT, необходимо использовать Intel® Ethernet или к беспроводной Intel адаптер, поддерживающий подключение к микропрограмме Intel ME.

Обратите внимание, что для использования выпуска Intel AMT 10.0 на платформу необходимо установить 10 версию микропрограммы Intel ME и драйвера. Драйвер 10.0 может быть установлен в системах, изначально использовавших микропрограммы 8.x. 9.x или 10.0. Всегда используйте микропрограмму, предоставленную поставщиком системы.

Intel AMT поддерживает удаленные приложения, выполняемые в ОС Microsoft Windows* или Linux*; в то же время данная технология поддерживает локальные приложения только для ОС Windows.

Новые возможности, представленные в выпуске Intel® AMT 10.0
Выпуск Intel AMT 10 обратно совместим с системами, в которых используются чипсеты Intel® серий 7, 8 и 9.

  • Самое важное изменение. OpenSSL* теперь используется без флага пульсации. По этой причине в системах, обновленных до выпуска AMT10, необходимо аннулировать и повторно оформить сертификаты, а также изменить пароли.
  • В инструмент приложения HLAPI и KVM добавлена функция очистки экрана клиента Intel AMT (при удаленном доступе).
  • Обновленные файлы MOF и XSL, как и справочное описание класса, теперь относятся к версии 10.0.25.1048.
  • Версия Real VNC* в Linux и KVM обновлена до 1.2.5.
  • Connected Standby/InstantGo в ОС Windows поддерживаются для Windows 7 и более поздних версий (также доступны в HLAPI).
  • Корректные операции управления питанием поддерживаются на 32-разрядных и 64-разрядных платформах Windows Vista, 7 и 8, включая (в Windows 8) режимы Connected Standby/InstantGo, а также генерирование событий UNS. Эта возможность также добавлена в API-интерфейс HLAPI.
  • Теперь поддерживается инициализация в режимах управления для администратора и для клиента с защищенными именами FQDN.

Подготовка клиента Intel® AMT к использованию
Процесс настройки (инициализации) клиента AMT включает переключение клиента из режима установки и настройки в рабочий режим. Для перехода в режим настройки необходимо, чтобы поставщик системы настроил первоначальную информацию (которая зависит от версии AMT). Для активации технологии Intel AMT необходимо расширение Intel® Manageability Engine BIOS (Intel® MEBx), внедренное поставщиком системы. Для установки и настройки можно использовать приложение для удаленного управления. Для разных версий AMT предусмотрены разные способы установки.

Выпуски AMT
Способ установки

1.x; плюс 2.x, 3.x в старом режиме
Старый

2.x, 3.x, 4.x, 5.x
SMB

2.0 и более поздние версии
PSK

2.2, 2.6, 3.0 и более поздние версии
PKI (удаленно)

6.0 и более поздние версии
Вручную

7.0 и более поздние версии
Режим управления для клиента и режим управления для администратора

10.0
Теперь поддерживаются безопасные имена FQDN.

ПО Intel® Setup and Configuration Software (Intel® SCS) может выполнять инициализацию систем версии Intel AMT 2.X.

Советы по настройке вручную
Настройка вручную выполняется в меню Intel MEBx, которое становится доступно сразу после отображения экрана запуска BIOS (обычно для этого необходимо нажать клавиши <Ctrl+P>). Иногда BIOS предоставляет возможность скрыть приглашение на нажатие <Ctrl+P>.

Чтобы вручную настроить клиент Intel AMT, выполните следующие действия.

  1. Введите пароль Intel MEBx по умолчанию (admin).
  2. Замените пароль Intel MEBx по умолчанию новым безопасным паролем (обязательно). Данный пароль должен содержать не менее восьми символов и как минимум одну заглавную букву, одну строчную букву, одну цифру и один специальный символ. Примечание. Приложение консоли управления может изменить пароль Intel AMT, не изменяя пароль Intel MEBx.
  3. Выберите пункт Intel® AMT Configuration (Настройка Intel® AMT).
  4. Выберите Manageability Feature Selection (Выбор функций управления).
  5. Выберите ENABLED (ВКЛЮЧЕНО), чтобы активировать технологию Intel® AMT.
  6. Выберите SOL/IDE-R/KVM и активируйте все эти функции. Включение режима Legacy Redirection Mode (Режим перенаправления старых устройств) обеспечивает совместимость с консолями управления, созданными для работы со старым режимом SMB, который не оснащен механизмом включения приемника. Обратите внимание, что, если в Intel MEBx не включены функции SOL/IDER/KVM, они будут недоступны для консолей управления.
  7. Выберите User Consent (Разрешение пользователя). Выберите нужные параметры для операций KVM и Remote IT (Удаленное управление ИТ). Если включен режим разрешения пользователя, каждый раз при удаленном доступе к клиенту Intel AMT необходимо будет получить разрешение пользователя.
  8. Введите Network Setup (Настройка сети), чтобы задать параметры сети для Intel ME.
  9. Введите Activate Network Access (Активировать доступ к сети), чтобы включить Intel AMT.
  10. Вернитесь в главное меню.
  11. Выберите MEBx Exit (Выйти из MEBx), чтобы продолжить процесс загрузки системы.

Платформа настроена. Дополнительные параметры можно задать с помощью веб-интерфейса или приложения консоли удаленного управления.

Режим управления для клиента и режим управления для администратора
По завершении установки, вне зависимости от способа, Intel AMT 7.0 и более поздние версии переходят в один из двух режимов управления.

Режим управления для администратора — после установки с помощью меню Intel MEBx или удаленной установки Intel AMT переходит в режим управления для администратора. В этом режиме доступны все функции Intel AMT по причине высокого уровня доверия пользователю, применившему данные способы установки.

Режим управления для клиента — в этот режим Intel AMT переходит после базовой установки на сервере (локально). В нем недоступны некоторые функции Intel AMT по причине низкого уровня доверия, необходимого для установки на сервере. Применяются следующие ограничения.

  1. Функция защиты системы недоступна.
  2. Для выполнения действий перенаправления (IDE-R и KVM, но не инициирование сеанса SOL) и изменения параметров загрузки (включая загрузку в SOL) необходимо предварительно получить разрешение пользователя. Однако и в этом случае
  3. ИТ-специалисты могут удаленно решать проблемы конечного пользователя с помощью Intel AMT.
  4. Если создана учетная запись аудитора, то для отмены инициализации разрешение аудитора не требуется.
  5. Ряд функций заблокирован, чтобы не позволить ненадежному пользователю управлять платформой.

В AMT 9.0 и последующие версии добавлена возможность удаленно настраивать платформу, не оснащенную средствами контроля, без разрешения локального пользователя.

Чтобы получить доступ к клиенту Intel AMT по технологии Serial Over LAN (SOL), необходимо установить драйвер SOL.

Службы локального управления (LMS) и уведомления пользователей (UNS) Intel AMT
Служба локального управления (LMS) выполняется локально на устройстве Intel AMT и позволяет локальным приложениям для управления отправлять запросы и принимать ответы устройства. LMS прослушивает и перехватывает запросы, направленные на локальный сервер Intel AMT, чтобы затем передать их в Intel ME через драйвер интерфейса Intel ME.

Обратите внимание, что в Intel AMT 9.0 и более поздних выпусках службы локального управления и уведомления пользователей объединены. UNS регистрируется на устройстве Intel AMT для получения набора оповещений. Получив оповещение, UNS заносит его в журнал событий Windows Application. В качестве источника событий указывается Intel® AMT.

Инструмент состояния управления и безопасности Intel (IMSS)
Чтобы получить доступ к инструменту IMSS, воспользуйтесь значком «синего ключа» в области уведомлений Windows.

На вкладке General (Общие) в инструменте IMSS указано состояние служб Intel vPro, доступных на платформе, а также хронология событий. На других вкладках представлены дополнительные сведения.

На вкладке Advanced (Дополнительно) инструмента IMSS представлена более подробная информация о конфигурации и функциях Intel AMT. Представленный ниже снимок экрана подтверждает, что в системе настроена Intel AMT.

Пакет средств для разработки ПО на основе Intel AMT (SDK)
Пакет средств для разработки ПО на основе Intel® AMT обеспечивает низкоуровневые возможности программирования, с помощью которых можно создавать приложения для управления, использующие все функции Intel AMT.

SDK предоставляется как набор каталогов, который можно скопировать в любое выбранное место в системе для разработки. Поскольку компоненты взаимосвязаны, структуру каталога необходимо копировать целиком. На верхнем уровне находятся три папки, одна из которых называется DOCS (документация). Две другие содержат образец кода для Linux и для Windows.

Другие ресурсы информации о Intel AMT SDK
Intel AMT SDK содержит платформы и образцы для упрощенной разработки приложений по стандарту WS-Management. Кроме того, в этот пакет входят примеры использования расширенных возможностей данного продукта. Дополнительная информация приводится на следующих страницах:

Современные сотрудники очень мобильные и работают из самых разных уголков мира. Платформа Intel vPro®, оснащенная современными инструментами управления технологии Intel® Active Management 1 позволяет ИТ-специалистам с легкостью поддерживать продуктивность работы сотрудников. Инструмент Intel® Endpoint Management Assistant (Intel® EMA) дает ИТ-отделу возможности безопасного удаленного управления устройствами через облако как внутри зоны действия брандмауэра, так и за ее пределами.

Реализация дистанционного управления на периферии

Технология Intel® Active Management в основе платформы Intel vPro®, которая включает в себя процессоры Intel® Core™ vPro® и Intel® Xeon®, помогает сократить общие расходы на обслуживание ПК и административные расходы. Благодаря функциям удаленного обнаружения, восстановления и защиты сетевых вычислительных ресурсов технология Intel® Active Management позволяет ИТ-отделу предоставлять возможности для мобильных сотрудников.

Развертывание эффективных функций дистанционного управления

Технология Intel® Active Management на базе аппаратного обеспечения обеспечивает стабильное подключение по вспомогательному каналу, которое устанавливается независимо от ОС, что позволяет устранять большее количество системных ошибок, даже при отказе ОС. Восстанавливайте поврежденные драйверы, программное обеспечение или ОС на неотвечающих системах, на которых невозможно использовать KVM для отслеживания обновления ОС или которые не могут войти в BIOS.

Современные инструменты управления платформы Intel vPro® предоставляют доступ к устройствам без KVM, таким как интеллектуальные торговые автоматы, удаленные/цифровые рекламные щиты или центральные компьютеры решения Intel Unite® в конференц-залах.

Управление в облачной среде

ПО Intel® Endpoint Management Assistant (Intel® EMA) позволяет ИТ-специалистам дистанционно управлять устройствами с технологией Intel® Active Management в безопасном режиме за пределами брандмауэра в облачной среде в известных сетях Wi-Fi.

Поддержка для удаленного персонала и студентов

Парк ПК на платформе Intel vPro® позволит вашим мобильным сотрудникам и студентам работать из дома с помощью дистанционного управления благодаря технологии Intel® Active Management Technology. Эта платформа также защитит их от угроз безопасности с помощью таких функций, как Intel® Hardware Shield.

Удовлетворяйте потребностям современных сотрудников

Используйте инструменты дистанционного управления платформы Intel vPro® с технологией Intel® Active Management и ПО Intel® Endpoint Management Assistant (Intel® EMA) для полного контроля над устройствами вашей компании.

Узнайте больше об инструментах управления платформы Intel vPro®

Оптимизация управления компьютерами с помощью технологии Intel® Active Management

Преимущества перехода на платформу Intel vPro®

Улучшение производительности с помощью облачной автоматизации

Истории успеха

Платформа Intel vPro® помогает юридической фирме защитить свои данные

Ноутбуки на базе процессоров Intel® Core™ vPro® помогают сотрудникам юридической фирмы Lancaster, Brooks & Welch LLP не только стать мобильнее, эффективнее и продуктивнее, но и повысить качество обслуживания клиентов.

Платформа Intel vPro® помогает Lightbridge Academy сосредоточиться на будущем

Компьютеры на базе процессоров Intel® Core™ vPro® p помогают учебному центру Lightbridge Academy эффективно работать и использовать технологии для взращивания будущих лидеров.

Инструменты для начала работы с технологией Intel® Active Management

Intel предоставляет множество ресурсов, которые помогают внедрить и эффективно использовать технологию Intel® Active Management. Пошаговые видеоинструкции, руководства и поддержка специалистов позволят вам быстро и на ваших условиях реализовать преимущества технологии Intel® Active Management.

Начните с основы для бизнес-компьютеров — платформы Intel vPro®

Оптимизируйте эффективность работы с помощью высокой производительности, необходимой для серьезных вычислений корпоративного уровня. Аппаратные функции безопасности позволят противостоять киберугрозам, а современные функции управления помогают сократить эксплуатационные расходы на ИТ.

Intel® Hardware Shield обеспечивает фундамент для безопасной платформы

Хакеры постоянно ищут новые области ПК, которые можно атаковать, это относится и к BIOS. Технология Intel® Hardware Shield в платформе Intel vPro® помогает снизить уязвимость BIOS и защитить мобильных сотрудников вне зависимости от того, где они используют ПК.

Управление жизненным циклом ПК с помощью программы Intel® Stable IT Platform

Программа Intel® Stable IT Platform позволяет заранее планировать переход на технологии нового поколения.

Раскрытие информации 1 2 3 4

Информация о продукте и производительности

Технология дистанционного управления KVM (переадресация клавиатуры, изображения и мыши) доступна только для двухъядерных процессоров Intel® Core™ i5 vPro® и Intel® Core™ i7 vPro® с активной интегрированной графической системой. Дискретные видеокарты не поддерживаются.

Описанные сценарии сокращения затрат приведены в качестве примеров того, как конкретная продукция на базе архитектуры Intel® в указанных обстоятельствах и конфигурациях может повлиять на будущие затраты и обеспечить их снижение. Обстоятельства могут различаться. Корпорация Intel не дает гарантий относительно объемов затрат или их снижения.

date

07.02.2018

directory

Разное

comments

комментариев 13

В этой статье мы рассмотрим, как настроить и использовать функцию удаленного управления компьютерами Intel AMT KVM. Технология Intel AMT (Active Management Technology) является частью комплекса Intel vPro, и администраторам удаленно управлять компьютерами пользователей, даже если на них не запущена / не работает / не установлена операционная система, или компьютер выключен позволяет (на самом деле это только одна из функций AMT). Как правило такое удаленное управление сводится к использованию возможностей KVM (удаленный просмотр экрана пользователя, управления его клавиатурой, мышью и питанием).

KVM в Intel vPro AMT

Поддержка технологии удаленного управления KVM появилась в Intel vPro AMT 6.x на компьютерах с процессорами i5 и i7 на чипсете Intel с поддержкой vPro (как правило название чипсета начинается с Q) со встроенным графическим чипсетом Intel.

Удаленное управление реализуется за счет наличия встроенного сервера VNC. Любой совместимый VNC клиенты может использоваться для удаленного подключения и управления компьютером через AMT.

Как включить KVM на Intel vPro AMT

По умолчанию возможность удаленного управления через AMT KVM на компьютерах с поддержкой Intel vPro отключена. Включить ее можно через меню Intel MEBx. Попасть в это меню можно после отображения экрана запуска BIOS/UEFI с помощью сочетания клавиш Ctrl+P или F12 (на некоторых компьютерах можно скрыть это меню с помощью настроек BIOS).

  1. В нашем случае, чтобы попасть в меню MEBx, на ноутбуке Dell Latitude E7270 после включения компьютера нужно нажать кнопку F12. На экране выбора режима загрузки нужно выбрать Intel(R) Management Engine BIOS Extension (MEBx).
  2. Затем нужно выбрать пункт MEBx Login и нажать Enter.
  3. Укажите пароль для входа в режим Intel(R) ME (по умолчанию это admin)
  4. Вам сразу же будет предложено указать новый пароль. Требования к паролю: не менее 8 символов, разный регистр, наличие цифр и спецсимволов.
  5. После смены пароля выберите меню настройки Intel(R) AMT configuration.
  6. Измените значение Manageability Feature Selection на Enabled

  • Настройки MEBx нельзя изменить удаленно с помощью KVM
  • Вы можете создать несколько учетных записей с разными паролями
  • Можно использовать собственный статический IP адрес для интерфейса Intel AMT ME (Manageability Engine)

Подключение к удаленным компьютерам с помощью Intel AMT

Веб-интерфейс Intel AMT

Однако удалённая консоль KVM не доступна через веб-интерфейс. Нужно использовать сторонний VNC клиент, совместимый с vPro AMT KVM. К примеру, это может быть Radmin, Dameware, RealVNC, MeshCommander, VNC Viewer Plus и т.п.

Мне понравился бесплатный клиент MeshCommander. Вкратце, как им пользоваться для удаленного подключения к компьютерам с AMT.

image

Автор: Positive Technologies рейтинг

Технология Intel ME (или AMT, Active Management Technology) является одним из самых загадочных и мощных элементов современных x86-платформ. Инструмент изначально создавался в качестве решения для удаленного администрирования. Однако он обладает столь мощной функциональностью и настолько неподконтролен пользователям Intel-based устройств, что многие из них хотели бы отключить эту технологию, что сделать не так-то просто.

На прошедшем 17 и 18 мая в Москве форуме Positive Hack Days VI исследователи Positive Technologies Максим Горячий и Марк Ермолов представили несколько техник отключения Intel ME, сопроводив доклад видеодемонстрацией процесса.

Что это, и зачем нужно отключать

Подсистема Intel Management Engine (ME) представляет собой дополнительный «скрытый» процессор, который присутствует во всех устройствах на базе чипсетов Intel (не только в PC и ноутбуках, но и в серверах). Среда исполнения ME никогда не «спит» и работает даже при выключенном компьютере (при наличии дежурного напряжения), а также имеет доступ к оперативной памяти, сетевому интерфейсу, USB контроллеру и встроенному графическому адаптеру.

Несмотря на столь обширные возможности, существуют вопросы к уровню защищенности ME — ранее исследователи уже находили серьезные уязвимости и векторы атак. Кроме того, подсистема содержит потенциально опасные функции — удаленное управление, NFC, скрытый сервисный раздел (hidden service partition). Интерфейсы подсистемы ME недокументированы, а реализация закрыта.

Все эти причины приводят к тому, что многие рассматривают технологию ME в качестве «аппаратной закладки». Ситуацию усугубляет тот факт, что с одной стороны у пользователя устройства нет возможностей по отключению этой функциональности, а с другой производитель оборудования может допустить ошибки в конфигурации МЕ.

Хорошая новость заключается в том, что способы отключения ME все же существуют.

Техники отключения Intel ME

Исследователи компании Positive Technologies Максим Горячий и Марк Ермолов в ходе состоявшегося в Москве форума Positive Hack Days VI представили доклад, посвященный отключению Intel ME. Специалисты описали несколько техник отключения данной подсистемы:

  1. Основанные на сбое инициализации ME;
  2. Через механизм обновления микропрограммы ME;
  3. Недокументированные команды
  4. Недокументированный механизм, предназначенный для разработчиков аппаратуры — Manufacture Mode.

Большинство методов отключения используют встроенные механизмы ME, разработанные для вендоров устройств на платформе Intel. Все они подробно описаны в презентации, которая опубликована на GitHub. По ссылке представлено демонстрационное видео отключения ME (оно же ниже):

И тем не менее, возникает резонный вопрос: «Действительно ли ME перестает работать в полном объеме при использовании ее встроенных механизмов отключения?» В качестве доказательства факта отключения МЕ исследователи приводят следующий аргумент: ME работает в двух режимах использования памяти: только SRAM (встроенный в ME) и SRAM + UMA. UMA — это часть памяти хоста, которая используется как подкачиваемая память (swap). После инициализации DRAM-контроллера хостом ME всегда переключается в режим SRAM + UMA.

Таким образом, если ME действительно выключена, то при отключении на аппаратном уровне доступа МЕ к UMA-памяти в произвольный момент (посредствам канала VСm), в МЕ не будет происходить аппаратных сбоев, связанных с отсутствием данных и кода, которые были вытеснены в UMA память (такие аппаратные сбои приводят к аварийному отключению питания с основных аппаратных компонентов платформы). С другой стороны применение этих методов позволяет осуществить DoS-атаки на технологию AMT в случае ее применения для удаленного управления.

Читайте также: