КРИС КАСПЕРСКИ

Дистанционно управление на настройките на BIOS

Всеки от вас поне веднъж в живота си се е сблъсквал с необходимостта да влезе в BIOS Setup и леко да го „настрои“ или да поправи „сринат“ Windows NT, Linux/FreeBSD. Традиционно тази задача се решава с помощта на мишка и клавиатура, но какво ще стане, ако сървърът не е физически достъпен?

Компютрите от семейството на IBM PC отдавна се считат за евтини работни станции и сървърите, базирани на тях, започнаха да се изграждат едва наскоро. Разработчиците увеличиха броя на процесорите, добавиха поддръжка за корекция на паметта, устойчиви на грешки дискови масиви и други удобства, но пълната трансформация в сървър така и не дойде. По-специално остава проблемът с отдалеченото администриране. Операционните системи от семейството Windows NT поддържат дистанционно управление само формално. Дори програми като Remote Admin изпълняват ограничен набор от прости операции и не са в състояние да обслужват напълно сървър в мрежа. В света на UNIX нещата са малко по-добри, но все още има проблеми.

Например, BIOS отказва да стартира, подканвайки ви да щракнете, за да влезете в BIOS Setup или да стартирате с параметри по подразбиране (вижте Фиг. 1). Но сървърът се намира на другия край на града и дори в стая, за която администраторът няма ключове. Позната ситуация, нали? Друг вариант: след инсталирането на следващия пакет за актуализация, операционната система „умря“ и стана жертва хакерска атакаили просто замразени. Във всички тези случаи стандартни средствадистанционното управление вече не работи и трябва да се доближите до сървъра, което е доста трудно. Дори ако сървърът се намира на съседния етаж, е много за предпочитане да го управлявате, без да напускате любимия си стол, отколкото да тичате с флопи дискове (лазерни дискове) напред-назад.

И наистина може да се направи! Има поне три начина, за които искам да говоря.

Дистанционно управление на BIOS

Поръчка Стартиране на BIOSв общи линии изглежда така. Първият, който получава контрол, е BOOT-блокът (блок за зареждане или първичен товарач, да не се бърка със сектора за зареждане!). Той извършва инициализация на основния хардуер ( RAM, контролер за прекъсване, системен таймер и др.), сканира шината ISA и свързва BIOS на всички открити устройства (например SCSI контролери, видео, мрежови карти и др.). Преди да завърши работата си, BOOT-block разопакова основния BIOS код (така наречените BIOS разширения или вторичен буутлоудър) и прехвърля контрола върху него. Вторичният буутлоудър сканира PCI шината и извършва окончателна инициализация на хардуера - разпознава IDE устройства, показва интерактивния редактор за настройка на BIOS, ако е необходимо, разпределя системните ресурси между PnP устройства и накрая чете сектора за зареждане от флопи или твърд диск.

По този начин BIOS-ите, инсталирани на разширителни карти, се контролират на много ранен етап от инициализацията, много преди изчисляването на контролната сума на CMOS или разопаковането на вторичния буутлоудър. Между другото, повечето помощни програми за запис на BIOS не докосват BOOT-блока и дори ако записването е неуспешно, слотовете за разширение на ISA все още се инициализират. С PCI слотовете всичко е много по-сложно и като цяло те са достъпни само от вторичния буутлоудър (и той умира, ако записването не успее). Някои производители, например ASUS, включват специален драйвер в BOOT-блока за работа с PCI шината, така че дънната платка да може да инициализира видеокартата и да покаже поне нещо на екрана, дори ако основният код на BIOS е победен. Но не знам за BIOS, чийто BOOT-блок може да работи с AGP или PCI-express шина.

Следователно, всичко, от което се нуждаем, е да направим „фалшива“ ISA или PCI карта, да инсталираме „нашия“ BIOS върху нея и да я програмираме за дистанционно управление. Имало едно време „модифицирах“ древни мрежови карти (които просто бяха изхвърлени), превръщайки ги в „панел“ за дистанционно управление, който ви позволява да редактирате настройките на BIOS чрез локална мрежа. Не е трудно да се направи! Достатъчно е да можете да програмирате в Assembly и да разберете малко за хардуерната архитектура (вижте фиг. 2).

Въпреки това, изобщо не е необходимо да се занимавате с дебъгера; всичко може да бъде закупено готово. Такива табла (наричат ​​се Remote Boards) се произвеждат от много компании. Обикновено те са стандартна VGA карта с интегриран COM порт, към който е свързан външен модем. Някои модели имат Ethernet порт. Може да се включи в DSL модем или да се свърже към Switch. Чрез тези портове копие на екрана се предава на отдалечен монитор и се получават команди от клавиатурата, в резултат на което IBM PC се превръща в истински „мейнфрейм“ и физическият достъп до него вече не е необходим (виж фиг. .3)!

Много популярен е моделът Remote Insight на Hewlett-Packard, който се поставя в PCI слот и се управлява през 10/100 Mbit Ethernet порт. Поддържа както текстов, така и графичен режим (до 1280x1024/256 цвята) и се захранва от външен източник, което му позволява да „натиска“ бутоните „Power“ и „Reset“. В допълнение към отдалечена мишка и клавиатура е възможно да свържете отдалечено дисково устройство и CD-ROM устройство, без които нито едно преинсталиране на системата не е пълно. Това е просто фантастично! Винаги можете да стартирате от Live CD и да видите какво се е случило със сървъра и да запазите оцелелите данни на всеки носител, който е под ръка. Това повишава сигурността на системата, тъй като сървър, оборудван с Remote Insight, може изобщо да няма сменяеми носители!

Между другото, относно безопасността. Remote Insight поддържа SSL и 128-битово криптиране, което му позволява да функционира дори на незащитени канали (а средният администратор често просто няма други канали на свое разположение).

Цялото управление се осъществява или чрез telnet, или чрез уеб браузър. Каквото е по-удобно за администратора. Почти всяка операционна система може да бъде инсталирана на сървъра: Windows 2000/2003 (Advanced Server, Data Center, Terminal Server, Standard или Enterprise Edition), Novell NetWare 5.1, 6.0, Red Hat Advanced Server2.1, Red Hat Linux 7.3/8.0 , SuSE Linux Enterprise Server V7/V8 и някои други (вижте фиг. 4).

Картата може да бъде закупена в магазин или поръчана онлайн директно от самия Hewlett-Packard. Ще струва $399, което определено си заслужава! По принцип може да се намери и по-евтин производител, но като цена/функционалност тази карта няма равна, въпреки това е далеч от идеала. Никой няма да ни даде изходните текстове на фърмуера и няма да можем да го модифицираме с „файл“, за да отговаря на нашите специфични нужди (теоретично това е възможно, но много трудно). В допълнение, качеството на изпълнение на протоколите за криптиране е под голям въпрос. Може би картата съдържа люкове за отстраняване на грешки или препълващи буфери, които ще позволят на атакуващия да поеме контрола върху колелото за управление (вижте фиг. 5)!

PC Weasel 2000 от едноименната компания няма тези недостатъци. Заедно със самото плащане, купувачът получава пълен източникфърмуер и лиценз за промяната му. Това все още е същата VGA платка, само че вместо Ethernet порт има UART контролер (известен също като стандартен 16550 тип COM порт). За съжаление функционалността му е много по-бедна. Поддържат се само текстови видео режими и няма отдалечени устройства, но е възможно да „бутнете“ сървъра към „Нулиране“ или да погледнете POST кодовете, за да оцените незабавно степента на проблема (вижте Фиг. 6).

Опцията ISA ще ви струва $250, а опцията PCI ще ви струва $350. Не е ли прекалено много висока ценаза отворен лиценз с намалена функционалност? Не бързайте със заключенията. Изходните текстове са страхотно нещо! Можете да закупите една платка и да я инсталирате на неограничен брой машини. Клонинг Хардуерняма да ни трябва. Ако леко модифицирате фърмуера, можете да използвате стандартни компоненти, но повече за това малко по-късно. Първо, нека се запознаем с диаметрално противоположния клас устройства за дистанционно управление, сред които може да се спотайва вашето мечтано устройство (виж фиг. 7).

KVM или дистанционното управление продължава

Основният недостатък на VGA картите с модифициран BIOS е, че изискват отваряне на кутията на сървъра, което не винаги е желателно. Освен това технологията за прихващане на изображения и емулация на въвеждане на клавиатура далеч не е идеална и е изключително противоречива. KVM превключвателите имат напълно различен подход. Те са получили името си от първите три букви: клавиатура, видеомонитор и мишка. Суичът е самостоятелно устройство, което се свързва към компютър чрез стандартни PS/2 и DB15 VGA конектори. Техният сигнал се преобразува в цифров поток и се предава на близкия KVM терминал, свързан към отдалечен компютър. Грубо казано, ние свързваме клавиатурата, мишката и монитора с много дълги кабели (виж фиг. 8).

Можете да конфигурирате BIOS Setup или да видите Windows, който се е сбил син екран, но нямаме отдалечени устройства или дори възможност за натискане на Reset, тоест илюзията за пълен физически достъп не се оказва толкова пълна. Но почти всички видео режими се поддържат и не се правят промени в BIOS кода, а това е много важно в критични инфраструктури. Просто няма да ни бъде позволено да инсталираме емулатор на трета страна в банков компютър, тъй като тази технология не е сертифицирана, но KVM превключвателите по правило имат всички необходими сертификати (вижте Фиг. 9).

По-голямата част от моделите са проектирани да контролират няколко сървъра от един терминал, докато сигналът се изпраща по екраниран кабел с усукана двойка с максимална дължина от няколкостотин метра. Това изобщо не е Ethernet и не може да се вмъкне в мрежов хъб! За реално дистанционно управление чрез интернет или модем ще трябва да инсталираме допълнителен компютър, който получава KVM сигнала и с помощта на специален софтуер го препредава в „използваема“ мрежова форма. А това не е добре! За щастие някои модели поддържат работа чрез модем или локална мрежа. Този тип KVM превключватели се наричат ​​„над IP“, въпреки че тук има вариации. Просто погледнете спецификацията: ако видите нещо подобно на LAN или Dial-Up, това е, от което се нуждаем (фиг. 10)!

Minicom се доказа доста добре и в неговия асортимент можете да намерите поне два подходящи модела - Phantom Dial-Up Remote Access и Smart IP Extender Switch Over IP. Първият струва около $800, вторият... – $3500. За банки и други финансови институции тази сума може да е подходяща, но за малък офис е малко вероятно. Разбира се, като се ровите в магазините, можете да намерите по-евтин KVM превключвател, но е по-добре сами да сглобите система за дистанционно управление.

Как работи, или Направи си сам дистанционно!

За да създадем собствена система за дистанционно управление, ще ни трябва всяка PCI карта и дънна платка, която поддържа работа с PCI шината чрез BOOT-блок (например ASUS). Трябва да има "кораб" с BIOS на борда на картата. В най-лошия случай BIOS може да се намира в отделен чип, който лесно може да бъде изваден от платката и включен в програмиста. За съжаление, мрежовите карти с “външен” BIOS стават остарели и стават все по-трудни за намиране. Съвременните Ethernet контролери интегрират BIOS в чипсета на чипсета и ние вече не можем да правим нищо с него (просто не бъркайте BIOS с BIOS на панела за Boot-ROM, те изобщо не са едно и също нещо!).

Така че трябва да преминем към SCSI контролери, чиито цени паднаха до $10-$14. Разбира се, говорим за най-простите модели, но не се нуждаем от нищо друго освен BIOS! Следователно дори евтиният модел ще работи не по-лошо от скъпия. Не е необходимо да се притеснявате за поддържане на функционалността на контролера. Много по-лесно е да пренапишете BIOS от нулата, отколкото да добавите свои собствени модули към съществуващ (но това може да се направи, ако желаете) (вижте Фиг. 11).

Няма нужда да купувате допълнителен UART контролер. По-добре е да използвате това, което е вградено в дънната платка, а ако желаете, можете да използвате и интегриран Ethernet или друго средство за комуникация.

Разработването на фърмуера обикновено се извършва на асемблер, но при желание могат да се използват и езици от високо ниво като C/C++. Просто не използвайте стандартни I/O библиотеки при никакви обстоятелства и кажете на линкера да деактивира Start-Up. За да направите това, просто преименувайте основната функция на нещо като MyMain. Тъй като C не поддържа базиране, компилираният код трябва да бъде напълно преместим (т.е. да се изпълнява независимо от адреса за зареждане на основната памет). Това може да се постигне чрез елиминиране на глобалните променливи и изключване на всички опции на компилатора, които могат да генерират непреместваем код, за който дори не знаем (като контрол на срива на стека). Ако не сте сигурни, че познавате добре "задния двор" на компилатора, не го използвайте! Програма на асемблерен език. Той няма да ви подведе!

Кодът на фърмуера се изпълнява в 16-битовия сегмент на реалния режим, но никой не ни забранява да преминем към защитен режим и да излезем от там, въпреки че не е съвсем ясно защо това е необходимо. Недопустимо е да се използват сервизни функции на BIOS, тъй като част от хардуера все още не е инициализирана и самият BIOS все още не е разопакован. Работете само през I/O портовете, но преди да направите това, не забравяйте, че оборудването трябва да се инициализира ръчно. По-специално, интегрираният COM порт все още няма базов адрес или IRQ, тъй като PnP мениджърът, който разпределя системните ресурси, все още не е получил контрол! Трябва да отворите документацията за южния мост на чипсета и да програмирате целия хардуер от нулата. Това е най-ниското ниво на "комуникация" с оборудването! Изключително сложно, но в същото време вълнуващо интересно! За щастие сървърният мост вече е частично инициализиран, така че няма нужда да конфигурирате контролера на паметта.

Сега нека поговорим за емулация и техники за прихващане. За показване на информация за BIOS екранизползва собствен сервизен отдел INT 10h. Използва се и в началния етап на зареждане на операционни системи от фамилията Windows и UNIX. Чрез прихващане на това прекъсване можем да ограбим целия изход на екрана и да го прехвърлим на отдалечен компютър („роб“ е напълно легален термин, заимстван от англоговорящи инженери, които казват в този случай „грабни“, звучи грубо, но честен).

Разбира се, това не е без трудности. Тъй като векторите на прекъсване могат да бъдат нулирани много пъти по време на процеса на инициализация на BIOS, просто модифицирането на таблицата на прекъсванията (т.е. класическият метод на прихващане) очевидно няма да е достатъчно. Да, можем да променим далечния указател на адрес: 0000h:10h*sizeof(DWORD) == 0000h:0040h, като го пренасочим към неговия собствен манипулатор, но... след известно време контролът върху INT 10h ще бъде загубен. За да избегнете това, трябва да зададете хардуерна точка на прекъсване за запис в това място в паметта. Фамилията регистри за отстраняване на грешки DRx ще ни помогне с това. Регистрите Dr0-Dr3 съхраняват линейния физически адрес на точката на прекъсване, а Dr7 определя условията, при които се задейства, карайки процесора да генерира прекъсване INT 01h, където трябва да се намира нашият манипулатор, за да експроприира повторно INT 10h от системата.

По-долу е даден пример за работа с регистри за отстраняване на грешки.

Листинг 1. Прехващачът прехвърля контрола към нашия код, когато секторът за зареждане е зареден

; прихващане INT 01h

MOV брадва, CS

XOR bx,bx

MOV DS,bx

; отместване на нашия манипулатор

MOV, компенсира our_vx_code

; спрямо сегмент 0000h

MOV,bx

MOV DS, брадва

; задайте точка на прекъсване за изпълнение

MOV eax,302h

; линеен физически адрес на точка на прекъсване

MOV ebx,7С00h

; Въвеждане на стойности в регистри за отстраняване на грешки

MOV dr7,eax

mov dr0,ebx

Прекъсването INT 10h поддържа над сто различни функции, чийто брой се предава в регистъра AH. По-конкретно, 02h контролира курсора, а 09h отпечатва знака. Естествено, за да ограбите изхода на екрана, трябва да можете да различавате една функция от друга и да знаете какво точно прави всяка от тях. Описание на функциите можете да намерите или в техническата документация за конкретна видеокарта (а ако картата е вградена в дънната платка, тогава в документацията за сървърния мост на чипсета), или в известния списък на прекъсванията от Ралф Браун обаче не е обновяван отдавна и е много остарял. Последната версия е от лятото на 2000 г. Оттогава са пуснати много нови карти! Основните видео функции обаче не са претърпели никакви промени и ако изхвърлите нестандартните видео режими, всичко ще работи с гръм и трясък.

Текстовите режими са ограбени добре, но графичните режими пропускателна способностаналоговите модеми вече не се побират и предадената информация трябва да бъде компресирана по някакъв начин. Най-простото нещо е да прехвърлите само промените, като предварително сте ги опаковали с помощта на алгоритъма gzip, за който има много готови библиотеки за работа.

Вярно е, че с прехода на операционната система към защитен режим, цялото ни прихващане ще бъде „потиснато“ и отдалеченият компютър ще покаже тъп, замръзнал екран. По принцип можете да се примирите с това. Основното е, че имаме контрол върху BIOS Setup и началния етап на зареждане на оста и там можем да използваме стандартен telnet, ако, разбира се, по средата Стартиране на Windowsняма да изведе син екран.

В моите първи модели системи за дистанционно управление направих това: наблюдавах опита за превключване към защитен режим (и можете да го проследите, като използвате същите регистри за отстраняване на грешки), сам превключих към защитен режим, инсталирах свои собствени манипулатори на прекъсвания и дадох управление операционна система, като не й позволява да промени нищо. Проработи! Въпреки че също се срина. Не беше възможно да се създаде универсален прехващач и трябваше да вземем предвид характеристиките на изпълнение на всички операционни системи. В крайна сметка се отказах и написах обикновен филтърен драйвер, който работи като VGA минипорт и изпраща изхода на екрана към „нашата“ разширителна карта (фиг. 12).

Някои системи за дистанционно управление (например вече споменатия комплекс PC Weasel 2000) вместо да прихващат INT 10h просто ограбват видео буфера, което на пръв поглед значително опростява изпълнението. Няма нужда да се занимавате с регистри за отстраняване на грешки, да ровите в списъка с прекъсвания и т.н. Всъщност дори в текстов режим има много екранни страници и обикновено мълчим за графичния режим! Освен това е напълно неясно как да синхронизирате изхода на екрана с неговото прихващане. Сканирането на видео паметта с честота 50-60 Hz е напълно възможно, но е малко вероятно да успеете да прехвърлите откраднатите данни в канала на модема. Колко бавно ще стане това! Нищо чудно, че PC Weasel 2000 работи само с текстови режими!

Сега нека да преминем към емулиране на въвеждане от клавиатурата. Няма да разглеждаме мишката, тъй като обикновените администратори лесно могат да се справят без нея. Цялата услуга на клавиатурата е съсредоточена в прекъсването INT 16h, което трябва да прихванем. Когато дадена програма (и по-специално BIOS Setup) изчаква да бъде натиснат клавиш, тя изчиства регистъра AH и извиква INT 16h. Разбира се, има и други опции, но тази е най-популярната. В този случай нашият манипулатор на прекъсвания трябва да постави ASCII кода на знака, натиснат на отдалечената клавиатура, в регистъра AL и да върне управлението. Естествено, всичко това ще работи само докато операционната система премине в защитен режим и след това ще трябва да заредите свой собствен драйвер, който седи върху стандартния драйвер за клавиатура и емулира въвеждане.

Отдалечените дискове са реализирани доста тривиално. За това е отговорно прекъсването INT 13h. Функция 02h осигурява четене на сектора, 03h – запис. Номерът на сектора се предава в регистрите CX и DX във формат CHS. Реализацията на отдалечен CD-ROM е малко по-сложна. Ако не сте силни в системното програмиране, в началото е по-добре да се ограничите до виртуални флопи дискове. Между другото, изобщо не е необходимо да използвате физически дискети - отдалечената машина може да работи с тяхното изображение, записано на твърдия диск като файл. За дистанционно Преинсталиране на Windows NT тази техника е доста подходяща. А смяната на виртуални дискети не е никак трудна за автоматизиране.

В резултат на това ще получим доста мощен комплекс за дистанционно управление и най-важното - много евтин. Разбира се, нашето време също струва нещо (и ще отнеме много време за разработка и въвеждане в експлоатация), но ако такива комплекси се правят по поръчка, те бързо ще се изплатят, особено след като има стабилно търсене за тях, тъй като повечето западни аналози просто не са достъпни.

За да завършим картината, остава една дреболия - дистанционно Reset, без което нашето творение ще бъде непълно. Е, тук всичко е просто. Достатъчно е да свържете реле, водещо до „заветния“ бутон към LPT порта, и проблемът ще бъде решен. Можем да контролираме LPT порта от фърмуера на SCSI контролера, разбира се, като не забравяме, че той трябва да бъде инициализиран, преди да направим това.

Последен малък трик. Ако не се нуждаете от пълноценна система за дистанционно управление и просто искате да предотвратите изискването на BIOS да натискате клавиш при зареждане, тогава това е лесно да се направи без допълнително оборудване. Достатъчно е да заредите основния фърмуер на BIOS в разглобителя и да намерите всички „злоупотребителни“ съобщения. Кръстосаните препратки ще ни отведат до машинния код, който извежда тези редове. Ще има и код, който чака да бъде натиснат клавиш, който трябва да премахнем. Директното извикване на INT 16h рядко се използва. Най-вероятно ще видим нещо като CALL xxx, където xxx е адресът на функцията за обвивка. За да постигнем нашия план, трябва да заменим CALL xxx с „MOV AX,scan-code“, указвайки кода за сканиране на необходимия ключ. Например ключът в повечето BIOS означава „зареждане до настройки по подразбиране“, но в някои случаи може да се наложи да натиснете или.

Проблемът е, че основният BIOS образ е пакетиран и защитен с контролни суми. Почти всички разработчици на BIOS разпространяват помощни програми за разопаковане/опаковане и преизчисляване на контролни суми, но нямаме гаранция, че модифицираният BIOS ще работи правилно. Грешките могат да се появят на най-неочаквани места. Работата на системата става нестабилна, дънната платка без никакви видими причинизапочва да замръзва и т.н. Разбира се, това е неприемливо за сървъри, така че трябва да отидете по друг начин.

Вместо да модифицираме пакетираното изображение на основния код на BIOS, ще вземем разопакован BOOT-блок и ще добавим към него автоматичен пачър, редактираме необходимите байтове директно в паметта, когато разопаковането вече е завършено. Тъй като основният код на BIOS е разопакован в RAM, няма проблеми с корекцията му. Основното е да се определят необходимите адреси. Фактът, че самият BIOS не презаписва образа си ще ни помогне за това и в момента, в който boot сектора е зареден, той присъства в паметта. Всичко, което трябва да направите, е да напишете малка асемблерна програма, която чете първите 640 KB по-ниска памет и ги записва на дискетата, след което я вгражда в сектора за зареждане. След рестартиране на системата ще станем собственици на разопакования BIOS, който се намира в неговите „родни“ адреси.

Всичко, което остава, е да изгорите актуализирания BOOT-блок и можете да се насладите на непрекъснатата работа на сървъра!

Заключение

Пълното дистанционно управление на системата е реалност! Диапазонът от възможни решения е необичайно широк: от готови (и много скъпи!) KVM устройства до по-евтини, но в същото време по-функционални (!) Разширителни карти, които повечето програмисти могат лесно да направят сами. Физическият достъп до сървъра ще е необходим само когато се ремонтира (няма начин да се направи без него, защото не можете да изпратите клещи и отвертка върху модема), но фаталните повреди не се случват много често.

1. Remote Insight „Lights Out“ табла – преглед на системите за дистанционно управление (на английски): http://www.paul.sladen.org/lights-out/riloe.html.
2. Remote Insight Lights-Out Edition II - описание на картата за дистанционно управление от Hewlett-Packard с възможност за поръчка в Интернет (на английски): http://h18004.www1.hp.com/products/servers/management/riloe2 /server-slot -matrix.html .
3. PC Weasel 2000 - описание на алтернативна платка за дистанционно управление, микрокод, който се разпространява под отворен лиценз (на английски): http://www.realweasel.com/intro.html.
4. Спецификацииогромен брой системи за дистанционно управление (главно KVM превключватели, на английски): http://www.kvms.com.
5. Raritan IP-Reach TR364 - описание на KVM превключвателя TR364 (на английски): http://www.42u.com/telereach_bk.htm.
6. I/O архитектура на персонални компютри IBM PC - електронна версия на книга, посветена на устройството IBM PC, която силно се препоръчва да се прочете, преди да разработите своя собствена система за дистанционно управление (на руски): http://redlib.narod. ru/asmdocs/asm_doc_07.zip.
7. Ralf Brown Interrupt List - електронно ръководство за всички прекъсвания, I/O портове, "магически" адреси на паметта, включително нестандартни разширения и недокументирани възможности (на английски):

Отдалечено администриране с помощта на технологията Intel® AMT

Отдалеченото администриране е добро нещо, главно защото спестява време: служител на ИТ отдел не трябва да бяга до работното място на някой друг (което може да е на значително разстояние), губейки своето време и времето на други хора за това: той може веднага да се свърже към отдалечен компютър от позициите на специалист по обслужване на работното място. Дистанционното управление (RM) ви позволява да решите голям бройпроблеми със софтуера и системните настройки. Въпреки това, традиционното устройство за управление е функционално само ако операционната система (ОС) е функционална, драйверът мрежов адаптерработи и е осигурена връзка с локалната мрежа. Достатъчно е поне един от тези връзки да не работи и нищо не може да се направи от разстояние. Проблеми извън операционната система, например в BIOS, също не могат да бъдат елиминирани по този начин. Както и причините, които пречат на зареждането на системата. О, между другото: нека не забравяме, че за традиционен блок за управление компютърът трябва да е включен.

Технологията Intel® AMT е малко по-висока в това отношение: тя е внедрена на хардуерно ниво, така че компютърът може да се контролира дори ако операционната система не работи. Можете дистанционно да стартирате системата и да конфигурирате BIOS настройки, зареждане от външно устройство за инсталиране и внедряване на операционната система и софтуера, преинсталиране на мрежови драйвери и т.н. Всъщност с помощта на AMT можете да разрешите всякакви софтуерни проблеми: ако хардуерът работи нормално, тогава всичко останало е възможно.

Малко за техническата реализация на Intel AMT

Intel® AMT присъства в решенията на Intel от почти десет години (за първи път се появява през 2006 г.) и се развива активно през това време. Започвайки от версия 6, технологията осигурява пълноправен KVM (клавиатура-видео-мишка), т.е. отдалеченият оператор получава картина от монитора и може да управлява отдалечения компютър с помощта на клавиатурата и мишката, както обикновено. Между другото, най-новите версии поддържат предаване на изображения с FullHD резолюция и по-висока. AMT е в състояние да прехвърли управление от отдалечена система, когато компютърът е включен: независимо дали зарежда операционната система, избира зареждащо устройство, зарежда на ниво BIOS или управлява параметрите на BIOS.

Вярно е, че хардуерното внедряване има недостатък: трябва да изберете оборудване, което поддържа AMT. И трябва да мислите за това, когато купувате оборудване, а не когато възникне извънредна ситуация. AMT е част от vPro пакета, който изисква специална версия на процесора, платформата и мрежовия адаптер, за да го поддържа. Поддържа се от някои професионални серии чипсети на Intel, чиито индекси завършват на „7“, и някои модели процесори на Intel®Core™ i5 и i7. Въпреки това е по-лесно да се съсредоточите върху наличието на логото на vPro.

От техническа гледна точка AMT работи по следния начин: създава отделен, напълно независим и изолиран от основния криптиран канал за обмен на данни през локалната мрежа. Технологията работи пълноценно само при кабелна връзка към локална мрежа. Мобилни устройствасъщо може да работи чрез безжична мрежа, но със сериозни ограничения: операционната система и драйверите на мрежовия адаптер трябва да са инсталирани и мрежовата връзка трябва да е активна. Целият софтуер, необходим за работата на AMT, се намира в специална защитена зона в BIOS.

И накрая, Intel® AMT използва общия контролен протокол VNC, за който има много продукти. Следните продукти могат да се използват като софтуер за отдалечен работен плот:

1) TightVNC Viewer (Windows);

2) Real VNC Viewer (Windows);

3) VNC Viewer Plus (Windows);

4) Ultra VNC (Windows);

5) SSVNC (Linux);

6) Remmina (Linux);

7) KRDC (Linux);

8) Real VNC Viewer за Android (Android);

9) AndroidVNC Viewer (Android);

10) akRDC безплатен VNC Viewer (Android);

11) Дистанционно Ripple-VNC (Android);

12) и т.н.

Както можете да видите, списъкът с VNC клиенти е обширен и е важно да се поддържа работа на Windows, Linux и Android. Това ви позволява да извършвате контрол от всяко устройство. Тоест технологията на Intel® AMT има широка поддръжка и не е обвързан с конкретни операционни системи.

Освен това е възможно да контролирате дистанционно вашия компютър с помощта на портала meshcentral.com. Това обаче е обсъдено подробно във видеото, посветено на AMT, така че няма да го повтаряме.

Основни предимства

И така, нека да разгледаме набързо основните предимства на технологията в сравнение с обичайните инструменти за контрол:

За разлика от софтуера, AMT работи и с нефункционална операционна система, позволява ви да конфигурирате BIOS и т.н.;

Има вградени функции за сигурност и силни алгоритми за криптиране;

Е безплатно, докато много софтуердистанционна администрация - платена. Въпреки че трябва да се има предвид, че цената му е включена в цената на компонентите с логото на vPro;

Позволява ви да включвате и изключвате компютъра си;

Позволява ви да стартирате от отдалечен носител, включително за инсталиране или внедряване на операционна система и софтуер.

Като цяло, по отношение на съвкупността от своите възможности, AMT е далеч пред софтуерните решения

Случаи на употреба

Най-често срещаният сценарий е дистанционно разрешаване на проблеми, които възникват на компютъра на потребителя. AMTдава огромна печалба във времето. Това е особено полезно в ситуации, когато ИТ отделът и потребителите са разположени в различни сгради. Освен това AMT ви позволява да решавате много по-широк кръг от проблеми; почти всички проблеми, с изключение на отказ на хардуерни компоненти.

Става възможно отдалечено извършване на планирана поддръжка, например инсталиране на актуализации. Специалистът не се нуждае от физически достъп до компютъра, той може да извършва всякакви действия, включително рестартиране на системата, от разстояние. Освен това може незабавно да превключва от една система към друга, което ускорява завършването на работата. Това е още по-важно, тъй като инсталирането на актуализации на ОС и софтуер през работно време е нежелателно и тези действия обикновено се извършват след работно време или през почивните дни.

Следващият полезен сценарий за използване на AMT е възможността за предоставяне на денонощна поддръжка. Тъй като за решението на мнозинството технически проблемиВече няма нужда от физически достъп до компютъра на потребителя; може да се използва ИТ персонал от други региони с други часови зони. Между другото, това позволява на предприятието да спести пари, като постави отдалечени ИТ отдели в региони, където заплатиИТ персонал по-долу.

Внедряването на ОС и софтуер престава да бъде проблем, защото... AMT поддържа зареждане на компютър чрез отдалечено изображение. Ако компютърът е физически свързан към кабелна мрежа, тогава специалист може да го включи дистанционно, да стартира с помощта на технологията IDE-R и да инсталира и конфигурира системата. Между другото, ако тази функция е необходима, тогава трябва внимателно да прочетете настройките, тъй като скоростта на дистанционно изтегляне може да се различава значително от обичайната.

Ситуацията е значително опростена, ако системата е заразена с вирус. Тъй като контролният канал е независим от операционната система, вирусът не може да наруши дистанционното управление и специалист може да извърши всички необходими действия, включително преинсталиране на операционната система и внедряване на персонализираното изображение.

Резултати

Както виждаме, технологията на Intel® AMT има много предимства. Така че защо не се използва навсякъде? Може би използването му изисква специфично и скъпо оборудване?

Всъщност Intel има особено критични изисквания® Няма AMT. Вярно е, че на етапа на закупуване на оборудване трябва да обърнете внимание на наличието на vPro поддръжка в него и след това да конфигурирате всичко правилно, но дори и тук няма специални затруднения. Кабелната връзка не е проблем, тъй като LAN е навсякъде в модерен офис. В допълнение, AMT (при някои прости условия) работи навсякъде, включително чрез интернет.

Алексей Шобанов

Със сигурност всеки, който се интересува повече или по-малко от събитията, случващи се в ИТ индустрията, е чувал за технологията Intel vPro, която често се споменава напоследък. Нашето списание също не го пренебрегна - имаше и публикации, посветени на тази технология. Последната и най-пълна от тях е статията “Intel vPro и Intel Centrino Pro Technologies за корпоративния сектор”, публикувана в септемврийския брой.

Това внимание към Intel vPro не е изненадващо, защото използването на тази технология обещава значителни ползи. По този начин инструментите за дистанционно управление и сигурност на компютрите, които Intel vPro предоставя, могат значително да намалят разходите за поддръжка на компютърния парк на компанията (според наличните данни използването на технологията Intel vPro позволява намаляване на броя на обажданията до сервизни специалисти техническа поддръжкана работните места на служителите с 91%, а броят на неизправностите в оборудването с 56%), а за домашните потребители е вероятно да се отвори качествено различен изглед обслужване- дистанционно.

Но въпреки факта, че за възможностите на тази технология се говори отдавна и много, само няколко избрани могат да се похвалят с практически опит в нейното използване, които имат достъп до системи, които отговарят на нейните изисквания. Наистина, всъщност процесорната технология Intel vPro (така се нарича правилно) е комбинация от две други технологии: технология за дистанционно управление (Intel Active Management Technology, Intel AMT) и технология за виртуализация (Intel Virtualization Technology, Intel VT) - и за изпълнението му, съгл последна версияот 2007 г. са необходими следните компоненти:

• централен процесор с поддръжка на технологията за виртуализация Intel VT (Intel Virtualization Technology). Последната версия на технологията се отнася само за процесори от фамилията Intel Core 2 Duo, въпреки че се поддържа както от по-ранните модели от серията Intel Pentium D 9x0, така и от по-късните - Intel Core 2 Quad и Intel Core 2 Extreme;
• дънна платка, поддържаща Intel AMT (Intel Active Management Technology), което означава, че такава дънна платка трябва да е базирана на чипсет Intel Q35 Express с южен мост ICH9DO и мрежов контролер, който поддържа тази технология.

Подобни изисквания се дължат на факта, че технологията Intel vPro, или по-точно включената в нея технология Intel AMT, осигурява достъп до управлявания компютър, дори ако той е изключен и следователно в това състояние тази систематрябва да има активни компоненти, способни да осигурят тази възможност. Чипсетът Intel Q35 Express е специално създаден, като се вземат предвид тези изисквания и имайки редица специализирани интегрирани компоненти - ядрото за управление (Management Engine, ME) и гигабитов мрежов контролер, работещ в тандем с чипа Nineveh 82566DM PHY-ниво), позволява отдалечен достъп до информация и AMT настройки, съхранени в енергонезависима памет, както когато компютърът е включен, така и когато е изключен (единственото условие за това е, че напрежението в режим на готовност трябва да бъде подадено към дънната платка, тоест системата просто трябва да бъде свързана към електрическата мрежа).

Днес, след презентацията, състояла се на 28 авг актуализирана версия Intel vPro платформа официално представяне на новия чипсет Intel Q35 Express, можем да кажем така тази технологиястава широко разпространена. GIGABYTE UNITED беше един от първите, които представиха своето решение със своя подкрепа, пускайки дънната платка GIGABYTE GA-Q35M-S2. След като получихме няколко от тези дънни платки, решихме да запознаем нашите читатели с техните възможности и в същото време да тестваме на практика какво представлява технологията Intel AMT.

Дънната платка GIGABYTE GA-Q35M-S2 (фиг. 1) е направена във форм фактор microATX (размери - 244x244 mm) в традиционните цветове на GIGABYTE UNITED - върху синя PCB (печатна платка). Основен целева аудиториятова дънна платка, поради функциите и технологиите, които поддържа, са предимно корпоративни потребители. Основата за него беше наборът от системна логика Intel Q35 Express (Intel Q35 Express плюс ICH9DO), чиито възможности се допълват от I/O контролера ITE IT8718F.

Ориз. 1. Дънна платка
GIGABYTE GA-Q35M-S2

Тази дънна платка поддържа системна шина с честота 800, 1066 и 1333 MHz и е проектирана да работи с процесори на Intel, направени във форм-фактор LGA775, включително новите процесори на Intel, произведени по 45-nm технологичен процес - четириядрен Yorkfield и двуядрен Wolfdale.

За инсталиране на модули системна памет(предполага се, че ще се използват модули с небуферирана памет от стандарта DDR2 SDRAM 667 или 800) платката има четири DIMM слота. Подсистемата на паметта може да работи както в едноканален, така и в двуканален режим. Максималният размер на системната памет, поддържан от платката, е 8 GB.

Дънната платка GIGABYTE GA-Q35M-S2 има интегрирана графика Intel ядро Graphics Media Accelerator 3100 (Intel GMA 3100), напълно поддържащ API DirectX 9c и OpenGL 1.4 и отговарящ на всички изисквания на новата операционна система Windows системи Vista за работа с интерфейса Aero. Ако възможностите на това са интегрирани графично решениесе окажат недостатъчни, тогава използвайте наличния слот на платката PCI Express x16, ще бъде възможно да се инсталира дискретна графична карта, която отговаря на всички изисквания за графична производителност. Между другото, в допълнение към този инсталационен слот допълнителни карти, разширявайки възможностите на дънната платка, GIGABYTE GA-Q35M-S2 разполага с още два PCI слота и един PCI Express x1 слот.

За да работи в кабелни Ethernet мрежи, GIGABYTE GA-Q35M-S2 предоставя на потребителя гигабитов Ethernet контролер, интегриран в чипа на южния мост, чието PHY ниво се изпълнява от чипа Nineveh 82566DM.

Вграденият аудио контролер на дънната платка е комбинация от High Definition Audio контролер, интегриран в южния мост, и Realtek ALC888 аудио кодек, който осигурява възможност за възпроизвеждане на 7.1 аудио и поддържа технологията Dolby Digital Live!, както и DTS (Digital Theatre Systems) аудио формат. Също така отбелязваме, че този чип (Realtek ALC888) осигурява възможност за едновременно управление на десет изходни канала, което позволява внедряването на схема за свързване „7.1 (осем канала) плюс стерео (два независими канала на предния панел на компютъра)“.

За да организира дисковата подсистема, платката предоставя на потребителя едноканален JMicron JM368 IDE ATA контролер, който ви позволява да свържете до две устройства с ATA66/100/133 или ATAPI интерфейс и шестпортов SATA II RAID контролер, който ви позволява да създавате RAID масиви от нива JBOD, 0, 1, 0+1, 5 или Intel Matrix RAID (комбинация от RAID масиви от нива 0 и 1, създадени на два физически диска), и работата по управлението RAID масивите могат да бъдат направени директно в Windows среда, например, можете да мигрирате от RAID масиви от по-ниски нива (0 или 1) към RAID 5.

Важен компонент от системата, който осигурява високо качество ново нивосигурността е TPM (Trusted Platform Module), който също намери място в това решение на GIGABYTE UNITED. Спомнете си, че TPM модулът е специално проектиран чип, който разширява функциите за сигурност на системата, което се случва чрез осигуряване на защитено пространство за ключови операции и други задачи, важни от гледна точка на сигурността.

Изходният панел на дънната платка (фиг. 2) има следния набор от интерфейси: два PS/2 конектора за свързване на клавиатура и мишка, мрежов порт RJ-45, шест USB 2.0 порта, един COM порт и набор от аудио конектори (шест мини жак - конектора).

Ориз. 2. Изходен панел на дънната платка GIGABYTE GA-Q35M-S2

Имайте предвид, че GIGABYTE GA-Q35M-S2 поддържа 12 USB порта: още шест, в допълнение към вече споменатите, които се намират на изходния панел, могат да бъдат свързани с помощта на допълнителни разширителни ленти, за които платката има три конектора (два порта на конектор).

За захранване на системните компоненти GIGABYTE GA-Q35M-S2 използва четириканален VRM (модул за регулатор на напрежението), създаден с помощта на собствена технология Ultra Durable, което означава, че в неговите схеми се използват само кондензатори в твърдо състояние, за да се осигури по-голяма надеждност и издръжливост на дънната платка.

За охлаждане на микросхеми на северните и южни мостовеИзползва се пластинчат радиатор от лека сплав. Имайте предвид също, че тази дънна платка има два конектора за свързване на охлаждащи вентилатори: четири-пинов (CPU FAN) - за охладителя на процесора и три-пинов (SYS FAN) - за системния вентилатор.

Както подсказва името на този модел, дънната платка GIGABYTE GA-Q35M-S2 принадлежи към S-серията решения на GIGABYTE UNITED. Той разполага с два набора от S-технологии (както се вижда от индекса S2 в името му) - Smart и Safe. Възможностите на функциите, включени в споменатите комплекти, вече са обсъждани повече от веднъж на страниците на нашето списание, така че този път ще се ограничим само до изброяването им. Наборът от функции Smart включва софтуерни продукти като Download Center, @BIOS, Q-Flash, Xpress Install, Меню за стартиранеи Smart Fan, осигуряващи лесен и удобен контрол на различни настройки. Комплектът Safe S-функции включва няколко хардуерни и софтуерни инструмента, които могат да подобрят устойчивостта на грешки на вашия компютър: технологиите GIGABYTE Virtual Dual BIOS и BIOS Setting Recovery, както и Xpress Recovery 2, PC Health Monitor и C.O.M.

Това завършва техническото описание на тази дънна платка и преминава към разглеждане на нейните възможности при работа с технологията Intel AMT.

Тъй като Intel AMT е технология за дистанционно управление, внедряването й изисква поне две AMT компютърни системи, свързани към локална мрежа. Най-общо казано, конфигурацията на компонентите на технологията Intel AMT зависи пряко от LAN инфраструктурата.

Следователно, първата стъпка при настройване на компютърни системи с технологията Intel vPro, по-специално с Intel AMT, е да се определи кой модел ще се използва за управление. Технологията Intel AMT предоставя два такива модела: SMB (малък/среден бизнес) и Enterprise. Режимът SMB е основен и е насочен към малки корпоративни мрежи. Този режим на приложение предоставя следните възможности:

• Дистанционно управление на мощността на компютъра;
• преглед на данни за основно оборудване (инвентар);
• преглед на регистъра на събитията;
• отдалечена актуализация на фърмуера на AMT.

Корпоративният режим е насочен към големи корпоративни мрежи, където мрежовата сигурност е от първостепенно значение. Той включва цялата функционалност на SMB режима, но за разлика от него осигурява затворени комуникационни канали между vPro клиентите и конзолата за управление и изисква SCS (Setup and Configuration Server) сървър, който отговаря за криптиране и удостоверяване.

Може би отговорите, които давате на следните въпроси, ще ви помогнат да направите най-добрия избор коя схема на Intel AMT е най-подходяща за решаване на вашите специфични проблеми:

• Има ли нужда целият трафик, изпращан между конзолата за управление и клиента, да бъде криптиран, т.е. има ли нужда от частен комуникационен канал? (Ако отговорът е „да“ - изборът е в полза на Enterprise, „не“ - възможна е схемата Enterprise или SMB);
• Съгласно указанията за сигурност, вашата организация изисква ли чести промени на паролата, които ще се извършват от централна конзола за управление? (да - Enterprise, не - SMB);
• вашата мрежова инфраструктура поддържа ли статични IP адреси? (да - SMB, не - Възможна е Enterprise или SMB схема);
• Има ли честа смяна на мрежови клиенти (поради реорганизация или преместване на работници), което налага промяна на имената на компютрите? (да - избор в полза на Enterprise, не - възможна е схема Enterprise или SMB);
• Всички конзоли за управление поддържат ли корпоративния режим? (да - Enterprise или SMB, не - SMB);
• Трябва ли да използвате инструкции за удостоверяване на идентификационни данни за влизане в Windows, за да управлявате AMT устройства? (да - Enterprise, не - Enterprise или SMB схема е възможна).

Между другото, ако вашата локална мрежа използва статични IP адреси, тогава трябва да запомните, че в този случай AMT системата може да има два IP адреса: един, дефиниран за мрежовия интерфейс в операционната система, и един, зададен в настройките на Management Engine (ME) AMT устройства. Освен това при статични IP адреси се препоръчва да зададете различни имена за системата: уникално име на хост в операционната система и уникално име на хост в ME.

След като взе решение за схемата Работа на Intel AMT, следващата стъпка е да се обърнете към документацията на производителите на софтуер, която ще се използва за конзолата за управление, за да определите какви други мрежови компоненти и техните настройки, както и системни компоненти, са необходими за внедряването на тази технология, която вие са избрали.

В нашия случай за тестване избрахме SMB схемата с поддръжка на DHCP (Dynamic Host Configuration Protocol), която според нас е най-оптималната опция за използване на технологията Intel AMT в рамките на малко предприятие (ако няма повишени изисквания за мрежа сигурност ).

Две компютърни системи, сглобени на базата на дънните платки, с които разполагаме Платки GIGABYTE GA-Q35M-S2, бяха свързани към рутер с активиран DHCP сървър. В резултат на това получихме peer-to-peer мрежа с динамично разпределение на IP адреси, конфигурацията на AMT, в която почти напълно съответства на случая на работа в домейн на Active Directory.

Следващата стъпка при активиране на технологията Intel AMT е да конфигурирате Management Engine (ME) в специализиран BIOS, който се нарича Entering the Management Engine BIOS extensions (MEBx). В случай на дънна платка GIGABYTE GA-Q35M-S2 може да бъде достъпен в настройките на BIOS на ME ядрото с помощта на клавишната комбинация Ctrl+P, за което обаче потребителят ще бъде предупреден чрез съответното съобщение, показано на екрана, след като системата премине през POST процедури (фиг. 3).

Ориз. 3. Екран за иницииране на влизане в BIOS настройките на ME ядрото

След като влезете в MEBx за първи път, за да направите допълнителни настройки, ще трябва да промените паролата по подразбиране (традиционно - admin), докато нова паролатрябва да отговаря на следните изисквания:

• най-малко осем, но не повече от 32 знака;
• както малки, така и главни латински букви;
• поне една цифра;
• поне един ASCII символ, различен от буква и цифра (!, @, #, $, %, ^, &, *).

Всеки следващ път, когато влезете в MEBx, ще трябва да въведете тази парола, за да направите каквито и да било настройки (фиг. 4).

Ориз. 4. Екран за въвеждане на парола за достъп до настройките на MEBx

След това, като изберете елемента от менюто Intel AMT Configuration, задаваме името на AMT възела (фиг. 5). Ако в мрежата се използва DHCP сървър, той трябва да съответства на уникалното име на компютъра, посочено в операционната система.

Ориз. 5. Прозорец за въвеждане на AMT име на хост

След това, като отидете на елемента Provision Model, изберете внедрения модел за технологията Intel AMT. При зареждане на този елемент от менюто с настройки ще ви бъде дадена възможност да изберете версията на технологията Intel AMT (Intel AMT 1.0 или Intel AMT 3.0) - фиг. 6.

Ориз. 6. Прозорец за избор на версия на технологията Intel AMT

След като решите версията на Intel AMT, в следващия прозорец можете да изберете един от операционните модели на тази технология - SMB или Enterprise (фиг. 7).

Ориз. 7. Прозорец за избор на операционен модел на технологията Intel AMT

Както вече споменахме, за нашите цели избрахме SMB режим. В този случай, за да работи AMT, трябва само да конфигурираме TCP/IP настройките. Отивайки до съответния елемент от менюто, първо трябва да откажете да деактивирате мрежовия интерфейс (фиг. 8).

Ориз. 8. Прозорец за активиране/деактивиране на мрежовия интерфейс

След това трябва да отхвърлите предложението за деактивиране на поддръжката на DHCP (фиг. 9).

Ориз. 9. Прозорец за активиране/деактивиране на поддръжката на DHCP протокол

В последния прозорец на този елемент от менюто трябва да посочите името на домейна (използва се при работа в домейн на Active Directory, в противен случай полето може да остане празно) - Фиг. 10.

Ориз. 10. Прозорец за въвеждане на име на домейн

Като цяло, според документацията на Intel, следните драйвери се използват за работа с технологията Intel AMT:

Intel Management Engine Interface (MEI) драйвер - осигурява сигурна локална връзка между OS и ME интерфейсите чрез Management Engine Interface (MEI);

Serial-over-LAN (SoL) драйвер - емулира създаването на COM порт за VT100 или ANSI отдалечени сесии с цел достъп до графичния интерфейс преди зареждане на операционната система. Това ви позволява дистанционно да виждате и изпращате команди до машината на клиента, когато операционната система все още не е заредена, включително възможност за влизане в BIOS и контрол на POST процедурите;

Драйвер за услуга за локално управление (LMS) - позволява на агентите за управление на софтуера да комуникират с ME, използвайки същия протокол от високо ниво, използван за дистанционно управление (например XML, SOAP). При първото зареждане се появява изскачащ прозорец, потвърждаващ, че Intel AMT работи (Фигура 11).

Ориз. 11. Прозорец с предупреждение за активиране на технологията Intel AMT

След това в компютърната система може да се инсталира софтуер на трети страни, което увеличава удобството и разширява функционалността на работата със системи, които поддържат технологията Intel AMT.

В зависимост от това кои програми на конзолата за управление ще бъдат инсталирани, по-нататъшните стъпки за конфигуриране на AMT системата може леко да варират, но като цяло следната последователност от операции може да се счита за типична за всички конзоли за управление:

Търсене на AMT устройства. На този етап конзолата за управление сканира мрежата за наличие на активирани AMT устройства.

Интегриране на бази данни. След като бъде намерено, AMT устройството трябва да бъде импортирано в базата данни на конзолата за управление.

В нашия случай използвахме софтуер от SyAM Software, който включва конзолата за управление на SyAM System Area Manager и агент, инсталиран на клиентските системи - SyAM System Client. Конзолата за управление на SyAM System Area Manager от този производител ви позволява да автоматизирате стъпката за конфигуриране, спомената по-горе. И така, след като инсталирате този софтуер (конзолата на компютъра, който ще се използва за управление, и агента на клиентските системи), за да търсите AMT устройства, трябва да стартирате конзолата за управление на SyAM System Area Manager. Това може да стане или чрез Star Menu, или чрез уеб браузър чрез достъп до компютъра, на който е инсталирана конзолата чрез IP адрес или име на хост, установяване на връзка през порт 3930 (например http://192.168.1.2:3930 или http://име_на_хост:3930).

След като се появи прозорецът за стартиране на конзолата, трябва да потърсите AMT устройства - щракнете върху бутона Go - фиг. 12.

Ориз. 12. Стартов прозорец на конзолата за управление на SyAM System Area Manager

В прозореца, който се отваря (Фиг. 13), трябва да посочите диапазон от адреси за сканиране и за да групирате AMT устройства, открити в този диапазон, можете незабавно да зададете тяхното описание (Местоположение и функция).

Ориз. 13. Прозорец за свързване на AMT устройства

Устройствата, открити по време на процеса на сканиране, ще бъдат автоматично добавени към базата данни и показани в левия панел на помощната програма (в съответствие с посоченото сортиране). В зависимост от състоянието на системата AMT, нейната икона ще има един или друг цвят (включено - зелено, изключено - черно и т.н.) - фиг. 14.

Ориз. 14. Показване на добавените към конзолната база данни
AMT устройства

След като AMT устройствата бъдат намерени и добавени към базата данни на конзолата, трябва да проверите тяхната функционалност. Всеки разработчик на конзоли има свои собствени инструкции стъпка по стъпказа тестване на функционалността на платформата AMT. Най-малкото, за да сте сигурни, че конфигурацията на AMT устройство е успешна, трябва да се уверите, че то поддържа следните възможности:

• наличие на информация за устройството;
• възможност дистанционно активиране(Събудете се);
• способността за дистанционно управление на операции с помощта на протоколите SoL (Serial over LAN) и IDE Redirection Operations.
• Проверката на AMT устройство може да се извърши с помощта на конзолата за управление или уеб браузър. Следните браузъри могат да се използват за работа с AMT платформи:
• Internet Explorer 6.0 SP1;
• Netscape 7.2 за Windows и Linux;
• Mozilla Firefox 1.0 за Windows и Linux;
• Mozilla 1.7 за Windows и Linux.

Ако за отдалечен достъпКъм AMT устройството се прилага уеб браузър; трябва да въведете неговия IP адрес, като посочите порта, на който ще бъде установена връзката (порт 16992). Този ред може да изглежда така: http://192.168.0.3:16992. Ако AMT системата на клиента е конфигурирана правилно, първоначалната страница за идентификация ще бъде заредена (фиг. 15).

Ориз. 15. Страница за първоначална идентификация на уеб интерфейса
AMT устройства

За да получите достъп до настройките, трябва да щракнете върху бутона Влизане и да въведете данните за вход (администратор по подразбиране) и паролата, посочени за отдалеченото AMT устройство ME в прозореца за идентификация, който се появява (фиг. 16).

Ориз. 16. Прозорец за удостоверяване на уеб интерфейса на AMT устройство

След успешна идентификация ще имате достъп до следните настройки на AMT устройството:

• установяване на състоянието на системата (включена или забранена, IP адрес, системен идентификатор);
• преглед на информация за инсталирано оборудване и фърмуер;
• преглед на регистъра на събитията (Event Log) - фиг. 17;

Ориз. 17. Страница за преглед на регистър на събития чрез уеб интерфейс
AMT устройства

• дистанционно управление на захранването;
• дистанционно управление на мрежовите настройки на ME;
• възможност за промяна на правата за преглед и редактиране на настройките на AMT.

Особено подчертаваме, че всички тези настройки са налични както във включено, така и в изключено състояние на отдалеченото AMT устройство, всичко, което се изисква, е наличието на захранване в режим на готовност, подадено към дънната му платка, ако устройството е включено в електрически контакт.

При използване на софтуер на трети страни, който е съвместим с технологията Intel vPro, основната функционалност, достъпна чрез уеб интерфейса на AMT устройствата, се разширява значително. Така че в нашия случай използването на софтуер от SyAM Software направи възможно по-пълното прилагане на възможностите за дистанционно управление, включително пренасочване на конзолата чрез протокола SoL (който ви позволява да контролирате напредъка на POST процедурите и да правите настройки в CMOS Setup на основна входно-изходна система (BIOS) отдалечен компютър- ориз. 18) и способността за изолиране на заразени компютри (хардуерно блокиране мрежов трафик), както и предоставяне допълнителни функцииза наблюдение и настройка на система за предупреждение въз основа на показанията на хардуерните сензори на платформата (с предаване на предупредителни съобщения по пощата и SMS) - фиг. 19.

Ориз. 18. Достъп до настройките на CMOS Setup на основната I/O система
(BIOS) на отдалечения компютър от конзолата за управление
SyAM System Area Manager, получен чрез SOL протокол

Ориз. 19. Настройки на системата за предупреждение, базирана на четене
хардуерни сензори на отдалечената AMT платформа в конзолата за управление
SyAM System Area Manager

В заключение отбелязваме, че споменатите тук помощни програми от SyAM Software с 15-дневен лиценз са свободно достъпни на уебсайта на разработчика (http://syamsoftware.com). И ако имате достатъчно късмет да инсталирате във вашия корпоративна мрежакомпютърни системи, базирани на дънни платки GIGABYTE GA-Q35M-S2 от GIGABYTE UNITED, ние ви препоръчваме да използвате този или подобен софтуерен продукт, за да оцените напълно всички предимства на използването Intel платформи vPro с технология Intel AMT.

vPro - дистанционно управление във вашата мрежа

В организационните мрежи трябва да управлявате десетки или дори стотици компютри, поддържайки стабилна работаИТ инфраструктура, тъй като тя е в основата на бизнеса. И тази задача често може да отнеме много усилия, време и пари. Компютрите в малки организации са сравнително лесни за управление, защото няма нужда да тичате от етаж на етаж и между различни сгради. Ако трябва да тичате наоколо, тогава дори основни задачи, като инвентаризация, актуализиране на софтуер или подмяна на дефектни компоненти, могат да отнемат много време на ИТ персонала, което струва доста пари.

На пазара има различни системи за управление, но повечето от тях изискват работеща операционна система на отдалечен компютър или инсталиране на специален модул, което отново струва пари. Решенията, специфични за ОС, обикновено не предоставят достъп до настройките на BIOS или ви позволяват да промените последователността на зареждане, да извършите студено зареждане или подобни действия. Ако операционната система не се стартира по някаква причина (например в резултат на вирусна атака или сериозна софтуерна грешка), вече няма да е възможно да получите достъп до отдалечената система и администраторът ще трябва да се справи с проблем на сайта. Въпреки че има стандарти, които осигуряват управление на компютъра на ниво под ОС, им липсва удобство и гъвкавост. Примерите включват функции като събуждане по LAN, модем или RTC. Има и среда PXE (Pre-Boot Execution Environment), която ви позволява да стартирате компютъра си от отдалечен мрежов източник. С него можете да инсталирате операционната система или да актуализирате BIOS, без да инсталирате физически носител във вашия компютър. Мрежовата карта търси PXE сървър за зареждане в локалната мрежа, който осигурява достъп до NBP (Програма за стартиране на мрежата). И накрая, форматът ASF (стандартен формат за предупреждение) отговаря за откриването на грешки и повреди. Той предоставя независима от ОС услуга. Но ASF далеч не е перфектен, тъй като не поддържа удостоверяване, криптиране, възможности за рестартиране, дистанционно управление в реално време, отдалечени актуализации на BIOS и политики.

Какво е vPro?

vPro е маркетингово име за технологията, подобно на Viiv или Centrino. vPro се отнася до набор от функции, насочени към корпоративната среда. По същество получаваме комбинация от функции и технологии, открити в портфолиото на Intel: vPro изисква специфична версия на чипсета 965, а именно Q965 с поддръжка на Intel AMT (технология за активно управление). И накрая, уебсайтът на vPro изброява процесор Core 2 Duo като част от vPro, въпреки че нашата тестова система от Acer беше оборудвана с Pentium D. Това, което е важно тук, е поддръжката на VT (Intel Virtualization Technology) на процесора, така че да може да изпълнява операционната система на услугата.

Описанието на Intel за vPro набляга на функциите за управление и сигурност. vPro ви позволява да намалите броя на обажданията на място и да намалите режийните разходи за поддръжка на вашата ИТ инфраструктура. Освен това Intel обещава безпроблемна интеграция в съществуващата инфраструктура за управление. Под функции за управление Intel разбира възможността за инвентаризация на компютър, включително компоненти, чрез хардуерна връзка, която е независима от операционната система и състоянието на системата. Можете или да събирате системна информация, или да я получавате от малката енергонезависима памет на vPro системата. Намаляването на броя на обажданията към клиентските сайтове се осигурява от поддръжка за дистанционно изтегляне, диагностика и възстановяване/архивиране. Сигурността се осигурява чрез филтриране на мрежовия трафик, лесна изолация и карантина на заразените системи. Информацията за клиентите винаги ще бъде най-актуална, ще можете да инсталирате актуализации от разстояние и по желание да създавате виртуални среди за поддръжка.

vPro използва своя собствена подмрежа за управление, въпреки че комуникацията се осъществява през съществуваща физическа инфраструктура. Разширението vPro в BIOS ви позволява динамично да получавате IP адрес от DHCP сървър, но можете да го зададете ръчно. vPro използва вграден мрежов контролер; други мрежови карти не се поддържат. Всички контролни операции ще работят независимо от състоянието на активност на компютъра (хибернация, заспиване, включен) или състоянието на операционната система.

Къде се включва AMT?

vPro разчита в голяма степен на Intel Active Management Technology (AMT). AMT е комбинация от функции на платформата и софтуер, който обикновено се предоставя от разработчици на трети страни. Повечето от функциите, описани в тази статия, са включени в AMT.

Имате ли нужда от vPro?

Разбира се, vPro поддръжката не е безплатна, но платформите с vPro не са толкова скъпи. Препоръчваме тази технология за големи корпоративни среди, но решението е по-трудно за малкия бизнес. vPro изисква чипсет Intel Q965, но майчини чипсетиЧипсетите от бизнес клас, базирани на този чипсет, обикновено не са подходящи за ентусиасти, тъй като те нямат допълнителни аксесоариили добра поддръжка за овърклок. Да, vPro платформата ще предостави възможност за управление на компютри на съвсем различно ниво, но решението трябва да се вземе индивидуално.

Системна настройка за AMT/vPro

Настройването на система за работа с AMT/vPro е много проста. Трябва да влезете Управление на BIOS, което може да стане с натискане на "CTRL+P" след POST тест (самопроверка при включване), там можете да зададете няколко основни настройки. Не забравяйте да активирате AMT възможностите.

Главно меню на Intel Management Engine BIOS Extension. Влизате в него, като натиснете "CTRL+P" след POST теста.

Като цяло бяхме малко объркани, когато за първи път се опитахме да стартираме AMT и да настроим технологията. Получихме vPro дънна платка от MSI и vPro компютър от Acer, но и в двата случая нямаше документация. За да въведете разширението на BIOS на MSI платка, трябваше да познаем предварително зададената парола (която между другото се оказа "admin"). Същата парола по подразбиране беше на компютъра на Acer.

Преди да извършите по-нататъшни операции, BIOS изисква да промените паролата. Но, отново, тази операция не може да се нарече интуитивна, тъй като изискванията за паролата са много строги и по-малко опитните потребители едва ли ще разберат веднага защо паролата е отхвърлена от системата. Паролата трябва да съдържа главни и малки букви, цифри и символи. Освен това има още един момент: трябва да въведете името на хоста на компютъра, само след това AMT/vPro ще работи - задаване на IP адрес (статичен или чрез DHCP) не е достатъчно. След това въведената информация може да бъде променена.

Имахме няколко страници документация на Intel, но все още нямаше инструкции как да го направим бърз старт. Накрая получихме документа с ръководството за внедряване на vPro от 190 страници. Има много документация, така че се опитайте да отделите време да я проучите.

Менюто за настройка на AMT съдържа редица важни опции.

vPro за предприятие: със SCS

vPro се предлага в два варианта, първият е насочен към малкия бизнес, вторият е насочен към корпоративния сектор и поддържа ключово удостоверяване и криптиране. Корпоративната версия изисква SCS (Setup and Configuration Server) сървър, който отговаря за криптиране и удостоверяване.

AMT Commander е помощна програма за управление на AMT функции, но Intel я предоставя само на разработчици. Обикновено vPro среда е изградена върху приложения на трети страни.

AMT Commander е една от двете помощни програми за управление на vPro. Но той е създаден, за да помогне на разработчиците и е малко вероятно да се използва в реални системи. Следователно администраторите ще трябва да разчитат на помощни програми разработчици на трети страни. Но наборът от функции, от друга страна, е доста сравним. Commander се свързва с vPro-активирани клиентски компютри. Помощната програма ви позволява да намирате компютри с vPro, да преглеждате техните компоненти и да изпълнявате основни настройки AMT.

AMT Commander ви позволява да намерите компютри, които поддържат vPro/AMT, но трябва да посочите диапазон от IP адреси за сканиране.

След успешно търсене на vPro системи в даден диапазон, можете да започнете да работите с клиенти. Важно е да се гарантира, че всеки клиент има определено AMT име на хост, в противен случай Intel Management Utility няма да се свърже. Тук можете да активирате или деактивирате AMT функции като SOL (Serial-over-LAN) или IDE Redirect (за зареждане през LAN).

AMT Commander се свързва с всеки vPro компютър, който е правилно конфигуриран и достъпен през мрежата.

Можете да конфигурирате наблюдатели, които ще наблюдават приложения, работещи на клиентския компютър.

Кликнете върху снимката, за да я увеличите.

AMT Director е вторият софтуерен пакет, който получихме за тестване. Това отново е инструмент, насочен към разработчиците, така че средите в реалния свят ще използват различни решения. Основната цел на AMT Director е конфигуриране и осигуряване. По принцип програмата работи като init сървър.

Отново първо трябва да се свържете.

Сървърът за осигуряване за корпоративна среда издава сертификати за сигурност и шаблони на vPro клиенти. Струва си да се спомене, че всички връзки с клиенти са криптирани, освен ако AMT не работи в корпоративен режим.

Ако производителят на компютъра е инсталирал предварително т.нар софтуерни ключове(софтуерни ключове), необходими за корпоративен AMT режим, първият контакт на vPro клиента със сървъра за осигуряване ще стартира т. нар. Zero-Touch Setup процедура, която е напълно автоматизирана конфигурация на AMT услуги.

Кликнете върху снимката, за да я увеличите.

AMT уеб интерфейсът е може би най-лесният начин за управление на vPro машини, тъй като е лесно достъпен, след като AMT услугите са инициализирани и конфигурирани. Независимо от решенията на трети страни, всеки vPro/AMT компютър може да се управлява с помощта на вградения уеб сървър. Уеб интерфейсът може да бъде достъпен чрез IP адреса на клиентската система или чрез името на хоста, което е зададено за клиентите (без него AMT изобщо няма да работи). функция дистанционно(Дистанционно управление) намираме за особено полезно, тъй като ви позволява да изключвате и включвате системата, да стартирате с различни опции за задвижване или просто да „нулирате“ машините. Тук има значителна разлика от връзката с отдалечен работен плот под Windows: ако под Изключване на Windows- софтуерен процес, който ОС изпълнява, тогава изключването на AMT е най-близо до обикновен превключвател на захранването.

Системната информация е много подробна и тук можете да намерите много информация, която обикновено получавате само чрез инструменти за управление, работещи през операционната система.

Дневникът на събитията също е подробен.

Функцията за дистанционно управление е много полезна. Представете си, че един от вашите компютри отказва да стартира и не можете да получите достъп до традиционните инструменти за дистанционно управление като VNC или Remote Desktop. В такъв случай функцията за нулиране на AMT ще предизвика твърдо нулиранесистеми (нулиране).

AMT поддържа виртуални локални мрежи, което ви позволява да изпълнявате две различни мрежови връзки в две логически мрежи през един физически кабел. Обикновено комутаторите с VLAN се използват за поддръжка на такива мрежи, но VLAN функцията на AMT работи с обикновен мрежов хардуер, без да пречи на преноса на нормални данни.

Влезли сме като администратор, но AMT/vPro поддържа създаване на отделни потребители с права за управление.

AMT фърмуерът може да се актуализира независимо от BIOS на дънната платкатакси.

Кликнете върху снимката, за да я увеличите

Помощната програма Terminal Tool, която също изпробвахме, може да се използва за достъп до BIOS на клиентска машина чрез SOL (Serial-over-LAN). Това означава, че помощната програма създава серийна връзка през мрежата. Използвахме помощната програма за достъп до настройките на BIOS и тук има много повече опции от стандартния интерфейс за управление на AMT. Можете да направите всички необходими промени дистанционно. Можете да използвате Terminal Tool за пренасочване на заявки за диск (за да можете да стартирате от отдалечен диск през мрежата).

Кликнете върху снимката, за да я увеличите.

Получихме една от първите дънни платки с vPro поддръжка - MSI Q965MDO. Той използва чипсет Intel Q965, който ни напомни за G965 с добавена поддръжка на ATM/vPro. Платката използва твърди кондензатори и четирифазен регулатор на напрежението, който е достатъчно мощен, за да работи с процесор Core 2 Quad. Охлаждането е пасивно, което според нас е важно за офис компютър, тъй като никой не се нуждае от допълнителен шум.

Южният мост поддържа шест Serial ATA/300 порта, а платката има четири DIMM слота, което е съвсем нормално за форм фактор MicroATX. Много евтини модели на пазара предлагат само два DIMM слота. Спестяването на слотове не е много добро, ако решите да надстроите паметта по-късно.

Има HD звукова система, гигабитова Ethernet контролерот Intel, Trusted Platform Module (TPM), вграден графично ядрои задайте USB интерфейси 2.0. За разширителни карти платката има два 32-битови PCI слота и един PCI Express x1 слот. Ако искате да инсталирате мощна графична карта, има и PCIe x16 слот.

MSI не е включил vPro документация в пакета. Компанията явно иска да продава платки с vPro поддръжка, но софтуер, монтажа и конфигурацията са делегирани на компаниите, участващи в изпълнението.

Тъй като първият опит с стартирането на vPro на MSI Q965MDO беше неуспешен, решихме да тестваме напълно сглобен компютър с поддръжка на vPro. Получихме съответния модел от Acer, а именно: Veriton 3900 Pro. Това е доста интересна система, въпреки че е оборудвана с не най-модерния процесор Pentium D и само 512 MB памет (DDR2-533, в двуканален режим). Освен това няма да можете да инсталирате стандартни картиразширение, тъй като форм-факторът позволява само карти с нисък профил. Съвсем ясно е, че това е офисен компютър, който едва ли ще стане лидер в тестовете, а гъвкавостта му е ограничена. Но компютърът поддържа vPro, от което се нуждаехме на първо място. Освен това, поддръжката се предоставя с помощта на чипсет 945G, което ясно говори за маркетинговите корени на думата vPro. Всъщност тази технология не е обвързана с хардуера толкова тясно, колкото Intel би искала.

Системата работи чудесно и ние успяхме действително да тестваме всички функции за дистанционно управление на vPro. Въпреки че има и причина за критика: вентилаторът издава много шум по време на стартиране на системата, а също и ако деактивирате контрола на скоростта на въртене в BIOS. Въпреки това, системата е малко вероятно да прегрее. Но все пак шумът на прахосмукачката в съседство едва ли е приятен.

Заключение

Като цяло го наречете vPro страхотно ново изобретениеЕзикът не се върти. Технологията всъщност не изисква най-новото поколение хардуер на Intel и сме виждали подобни функции преди (да речем AMT). Но vPro е много интелигентна маркетингова инициатива, която съчетава няколко полезни функции, което позволява на Intel да продава възможно най-много чипове под такава атрактивна марка. Този подход работи добре с Centrino и повече или по-малко работи в случая с Viiv. Но, отново, важно е да разберете, че vPro не изисква най-новите чипсети или Ядрени процесори 2, за да се насладите на всички предимства на технологията за дистанционно управление на Intel. Въпреки че, разбира се, трябва да обърнете внимание, за да получите най-новия хардуер, ако искате да използвате някакви специфични функции за управление или искате да надстроите AMT/vPro в бъдеще. Например, в близко бъдеще възможността за работа с vPro чрез безжична връзка, но хардуерът също трябва да е съвместим.

От технологична гледна точка не срещнахме никакви негативни страни. Ако знаете на какво да обърнете внимание, можете да настроите клиентски компютри за дистанционно управление с помощта на vPro за минути. За корпоративна среда ще ви е необходим подходящ слой със сървър за инициализация, който осигурява допълнително ниво на сигурност чрез издаване на сертификати. Но такова решение изисква и обучени администратори.

Като цяло има ползи от въвеждането на vPro-съвместими компютри в съществуваща мрежа. Можете да използвате както съществуващи инструменти за дистанционно управление, така и да добавите vPro/AMT поддръжка. Тоест първо можете да инвестирате в подходящо оборудване, а по-късно да внедрите система за дистанционно управление.

vPro също е много интересен за ентусиасти и овърклокъри, тъй като добавя ново ниво на контрол и управление на системата. Компютърът може да се включва, изключва и рестартира през мрежата. Можете дори да предвидите появата на преработени vPro решения, които ви позволяват да предоставяте прости услугидори когато компютърът е изключен. Ако обаче харесвате висока производителност, богат набор от функции и възможност за овърклок, тогава ще трябва да избирате между тях и vPro, тъй като все още не сме намерили дънни платки, които да поддържат едновременно vPro и опции за ентусиасти.

Според нас всеки компютър трябва да съдържа някаква форма на дистанционно управление без допълнителни разходи. Корпоративни клиентивероятно ще иска да похарчи пари за повече сложни системиконтрол, но е малко вероятно крайният потребител да бъде безпокоен от допълнителни функции за почти нищо.

Конфигурационна таблица

Система I
Цокъл 775	Intel Core 2 Extreme E6300 (Allendale 65 nm, 1,86 GHz, 2 MB L2 кеш)
Дънна платка	MSI Q965MDO, чипсет: Intel Q965, BIOS: 2006-12-19
памет	2x 1024 MB DDR2-667 (CL 5.0-5-5-15), Corsair CM2X1024-6400C3 XMS6403v1.1
Видео карта	Intel GMA 3000
HDD	160 GB, 7200 rpm, 8 MB кеш, SATA/300, Western Digital WD1600AAJS
DVD-ROM	Gigabyte GO-D1600C (16x)
Система II
Цокъл 775	Intel Pentium D 925 (Presler 65 nm, 3.0 GHz, L2 кеш 2x2 MB)
Дънна платка	Acer FQ965M, чипсет: Intel Q965, BIOS: R01-A3
памет	1x 512 MB DDR2-533 (CL 5.0-4-4-12), Apacer
Видео карта	Intel GMA 3000
HDD	80 GB, 7200 rpm, 8 MB кеш, SATA/150, Western Digital WD800JD
DVD-ROM	Gigabyte GO-D1600C (16x)
Софтуер
Intel платформа	INF 8.1.1.1010
DirectX	Версия: 9.0c (4.09.0000.0904)
операционна система	Windows XP, Build 2600 SP2

Знаеш ли това дистанционно свързване към вашия компютървъзможно е без да използвате не само мрежови драйвериоперационна система, но също така без абсолютно никаква ОС? Можете дори да влезете в BIOS дистанционно и като цяло да правите каквото искате с компютъра - включително да изтеглите съдържанието на твърдите дискове, да ги изтриете и да изключите компютъра завинаги, превръщайки го в безполезен хардуер.

Тази технология е съвсем официална, нарича се Intel vProи имплементиран хардуерно в Процесори на IntelПясъчен мост и Айви Бридж. Всъщност освен процесора се изисква и съответен чипсет - но това не е проблем, защото чипсетите отдавна се доставят от самия Intel, ха ха. В идеалния случай дънната платка трябва да има вградена гигабитова мрежова карта и видео адаптер, които могат да работят на ниско ниво (и още по-идеално, същия WiFi). И отново, не се притеснявайте - Intel имплементира всичко това и го направи де факто стандарт. Най-далновидните момчета отдавна се чудят защо дънната платка за настолен компютър има вграден WiFi интерфейс, който не е необходим в 99% от настолните компютри - значи е вграден за целта, за да можете да получите достъп до компютъра, без дори да се свързвате с локалната мрежа и дори към компютър, който стои в отделна стая и не е свързан към никаква мрежа.

Разбира се, фактът, че сте изключили Wi-Fi в BIOS, няма да попречи на достъпа. За Intel vPro всички интерфейси винаги работят. Освен това „изключен“ компютър за Intel vPro също работи (въпреки че няма светлини за това). Единственият начин да изключите компютър от Intel vPro е да изключите захранването към него, като извадите захранващия кабел от контакта (но по очевидни причини това няма да работи с лаптопи - батериите на повечето модерни устройстванесменяем и това се прави с причина).

Комуникационната сесия е криптирана и достъпът до компютъра може да се получи чрез конзолата (сериен през LAN), уеб интерфейс или VNC. Уеб интерфейсът има незабележим работен дизайн (който се показва перфектно на таблети) и ви позволява да получавате статистически данни за хардуера, неговото състояние и да рестартирате компютъра, да конфигурирате мрежов интерфейси правила за достъп до AMT, погледнете историята на събитията - например разберете защо системата на секретарката не се зарежда, без да отидете на нейния компютър:

Когато се свързвате чрез конзолата и VNC, можете да правите абсолютно всичко: vPro предоставя пълноценен KVM от локална машина към отдалечена с поддръжка на разделителни способности на екрана до 1920x1200 и възможност да видите как системата се зарежда от инициализация на BIOS до директно Зареждане на ОС. В този случай, дори когато системата се рестартира, няма изключване! Единственото нещо е, че за достъп до BIOS няма да можете просто да натиснете Delete при стартиране на системата и ще трябва да изберете специалния елемент „boot to BIOS“. След което BIOS действително се зарежда:

Можете да се свържете с отдалечена машина чрез VNC, дори ако драйверите са повредени мрежова карта(все пак vPro работи на по-ниско ниво от ОС) и инсталирайте всички драйвери директно през VNC.

Друга интересна функция, наречена IDE-R, ви позволява да стартирате от външен източник - сякаш е вътрешен HDD. Тоест можете да се свържете чрез VNC, да посочите изображението за изтегляне и да стартирате собствената си операционна система - така че собственикът на компютъра да не знае, че е бил включен.

Използвайки vPro, технологията Intel Anti-Theft работи. Ако вашият компютър или лаптоп бъде откраднат, можете да се свържете с Intel и те ще го блокират. Компютърът просто ще спре да се зарежда, показвайки черен екран със съобщението - те казват, че Intel Anti-Theft е блокиран, върнете компютъра на собственика.

Много скоро, когато поколението на компютрите отново ще се смени, дори и за най-непретенциозните потребители, а за прогресивните компании още по-рано - прекрасно нов святабсолютната прозрачност за разузнавателните агенции ще дойде навсякъде.

PS. Тогава един приятел попита - те казват, че се оказва, че изключените компютри могат да бъдат пингвани?

Нека обясня: в Intel vPro мрежовата карта винаги слуша линията, дори ако компютърът е „изключен“. Но той не винаги отговаря. Тоест, на въпроса „възможно ли е пинг“ - отговорът е да, възможно е, ако е разрешено в BIOS настройки. Ако не го разрешите, тогава изключеният компютър няма да отговаря на ping, но ще слуша собствения си порт (в общия случай 16992) и ще работи с Intel vPro.

Тестван на Q45 чипсет - работи.

P.P.S. Старите чипсети на Intel и техните процесори без GPU поддържат само частта Serial-over-LAN на технологията Intel vPro (т.е. текстово-базираната контролна конзола работи, файловете могат да се изтеглят, дистанционно зареждане на операционна система от отдалечен диск работи и т.н., но проследяването на екрана на потребителя не работи и графичната конзола).

За любопитните - IDE-R/SOL през TCP порт = 16994, IDE-R/SOL през TLS порт = 16995. Можете да подушите трафика по линията и да видите.

Е, не забравяйте, че AMT fireware прихваща трафик от мрежовата карта в хардуера и не предава към операционната система това, което се отнася до работата на vPro (портове 16992, 16993, 16994, 16995). Тоест на компютър с тази технология няма да получите или откриете никакви пакети за портове 16992, 16993 и т.н. от ОС. За да ги намерите надеждно, имате нужда от стар компютър със стари мрежови интерфейси, който прилага прозрачен повторител Stay-In-Middle и надушва трафика.

И да, разбира се:

(a) Intel поддържа способността за достъп до всяка машина
(б) Може да разбере къде е тя и да се свърже с нея по всяко време
(c) Може напълно да го блокира (докато ще продължи да изпраща сигнали с координати)

Е, за да няма излишни илюзии, говоря за Intel само защото технологията му е напълно отворена и официално описана. Intel се държа много компетентно - задната вратичка за специалните части не е скрита или отречена, а е представена като допълнителна услугаза потребител и администратор. AMD и всички други големи играчи на пазара на микропроцесори имат подобни решения - просто не са толкова честни като Intel и предпочитат да играят по подразбиране.

Отзиви