Приступая к работе с технологией Intel Active Management (AMT)
Этот документ содержит информацию о том, как приступить к работе с технологией Intel Active Management (Intel AMT). Здесь содержится обзор возможностей этой технологии, информация о требованиях к системе, конфигурации клиента Intel AMT, а также средства разработки, доступные для создания приложений, поддерживающих Intel AMT.
Intel AMT поддерживает удаленные приложения, работающие под управлением Microsoft Windows * или Linux *. Intel AMT 2.0 или более поздней версии поддерживает только локальные приложения для Windows. Полный перечень требований к системе см. в руководстве по внедрению и справочном руководстве Intel AMT.
Приступая к работе
Для удаленного управления клиентом Intel AMT или для запуска примеров из SDK следует использовать отдельную систему для удаленного управления устройством Intel AMT. Дополнительные сведения см. в руководстве по внедрению и в справочном руководстве Intel AMT, находящемся в папке Docs в пакете Intel AMT SDK.
Что такое Intel Active Management?
Intel AMT входит в состав пакета решений Intel vPro. Если платформа поддерживает Intel AMT, то такими платформами можно удаленно управлять вне зависимости от состояния электропитания и от наличия или отсутствия действующей ОС.
В основе системы Intel AMT находится ядро Converged Security and Manageability Engine (CSME). Intel AMT является компонентом Intel vPro и использует ряд элементов архитектуры платформы Intel vPro. На рис. 1 показаны взаимоотношения между этими элементами.
Рисунок 1. Архитектура технологии Intel Active Management 11
Обратите внимание на сетевое подключение, связанное с Intel Management Engine (Intel ME). Используемый адаптер различается в зависимости от используемой версии Intel AMT.
- Микропрограмма CSME содержит функциональность Intel AMT.
- Во флеш-памяти хранится образ микропрограммы.
- Для поддержки возможностей Intel AMT можно использовать ядро CSME, реализованное ОЕМ-производителем платформы. Удаленное приложение осуществляет установку и настройку корпоративной системы.
- После включения микропрограмма копируется в оперативную память.
- Микропрограмма выполняется на процессоре Intel с Intel ME и использует небольшую часть оперативной памяти (разъем 0) для хранения данных при выполнении. Поэтому для работы микропрограммы необходимо, чтобы в разъеме 0 был установлен модуль оперативной памяти и чтобы этот разъем был включен.
Intel AMT хранит следующую информацию во флеш-памяти (данные Intel ME).
- Параметры, настраиваемые OEM-производителем:
- Параметры настройки, например пароли, конфигурация сети, сертификаты и списки управления доступом.
- Прочие данные конфигурации, например списки оповещений и политики защиты системы Intel AMT.
- Конфигурация оборудования, определенная в BIOS при запуске компьютера.
- Сведения о платформах 2016 года, поддерживающих технологию Intel vPro (выпуск 11.x):
- Технологический процесс 14-нм
- Платформа (мобильные устройства и настольные компьютеры)
- Процессор Intel Core 6-го поколения
- ЦП: SkyLake
- Узел контроллера платформы: Sunrise Point
Новые возможности SDK Intel Active Management Technology версии 11.0
- CSME — новая архитектура Intel AMT 11. До Intel AMT 11 ядро CSME называлось Intel Management Engine BIOS Extension (Intel MEBx).
- Файлы MOFs и XSL: файлы MOFs и XSL в папке \DOCS\WS-Management и справочные материалы по классам в документации относятся к версии 11.0.0.1139.
- Новые поля событий WS и аргументов PET: дополнительные аргументы, добавленные к оповещениям CILA, предоставляют код причины для подключения пользовательского интерфейса и имя хоста устройства, выдавшего оповещение.
- Обновленная версия OpenSSL *: Версия OpenSSL — v1.0. Также обновлена библиотека перенаправления.
- Обновленная версия Xerces: в Windows и в Linux используется библиотека Xerces версии 3.1.2.
- Поддержка HTTPS для событий WS: поддерживается безопасная подписка на события WS.
- Удаленное безопасное стирание через параметры загрузки Intel AMT: среди параметров загрузки Intel AMT есть возможность безопасно удалить все данные с основного устройства хранения данных.
- Подписание DLL-библиотек с помощью строгого имени: следующие библиотеки DLL теперь подписаны с помощью строгого имени: CIMFramework.dll, CIMFrameworkUntyped.dll, DotNetWSManClient.dll, IWSManClient.dll и Intel.Wsman.Scripting.dll.
- HECI и модули наблюдения за наличием агентов включают автоматическую перезагрузку платформы: возможность автоматически включить перезагрузку всякий раз, когда HECI или модули наблюдения за наличием агентов сообщают о том, что срок действия агента истек.
- Замена протокола перенаправления хранилища IDE-R: перенаправление хранилища работает по протоколу USB-R вместо протокола IDE-R.
- Обновление SHA: сертификаты SHA1 упразднены, вместо них применена серия сертификатов SHA256.
Настройка клиента Intel AMT
Подготовка клиента Intel AMT к использованию
На рис. 2 показаны этапы настройки устройства Intel AMT перед его использованием.
Рисунок 2. Ход настройки
Перед настройкой устройства Intel AMT в приложении Setup and Configuration Application (SCA) его необходимо подготовить, получив начальную информацию, и перевести в режим установки. Начальная информация будет различаться в зависимости от доступных компонентов выпуска Intel AMT и от настроек платформы, примененных ОЕМ-производителем. В таблице 1 приведены методики установки и настройки для разных версий Intel AMT.
Методика установки | Применимость к версиям Intel AMT | Дополнительные сведения |
---|---|---|
Традиционный режим | 1.0; версии 2.x и 3.x в традиционном режиме | Установка и настройка в традиционном режиме |
SMB | 2.x, 3.x, 4.x, 5.x | Установка и настройка в режиме SMB |
PSK | С версии 2.0 до Intel AMT 10, упразднено в Intel AMT 11 | Установка и настройка с помощью PSK |
PKI | 2.2, 2.6, 3.0 и более поздних версий | Установка и настройка с помощью PKI (удаленная настройка) |
Вручную | 6.0 и более поздних версий | Установка и настройка вручную (с версии 6.0) |
CCM, ACM | 7.0 и более поздних версий | Режим управления клиента и режим управления администратора Настройка клиентов вручную для Intel AMT 7.0 и более поздних версий |
Программное обеспечение Intel Setup and Configuration Software (Intel SCS) 11 можно использовать для подготовки систем ранних версий вплоть до Intel AMT 2.x. Дополнительные сведения о программе Intel SCS и уровнях подготовки, доступных для разных версий Intel AMT, см. на сайте Загрузить последнюю версию службы Intel Setup and Configuration Service (Intel SCS).
Советы по настройке вручную
При настройке платформы вручную, начиная с версии 6.0, нет ограничений по компонентам, но следует учитывать определенные особенности поведения системы.
- Методы API не возвратят состояние PT_STATUS_INVALID_MODE, поскольку доступен только один режим.
- По умолчанию протокол TLS отключен, его необходимо включить при настройке. Так будет всегда при настройке вручную, поскольку невозможно задать параметры TLS локально.
- Локальные часы платформы будут использоваться до тех пор, пока не будет удаленно задано время по сети. Автоматическая настройка не будет успешно выполнена, если не задано сетевое время (а это можно сделать только после настройки TLS или Kerberos *). Включение TLS или Kerberos после настройки не будет работать, если не было задано сетевое время.
- Пользовательский веб-интерфейс включен в системе по умолчанию.
- Система по умолчанию включает SOL и IDE-R.
- Система отключает прослушиватель перенаправления по умолчанию в Intel AMT, начиная с версии 10.
- Если включить KVM локально через CSME, оно все равно не будет работать, пока администратор не активирует его удаленно.
Начиная с Intel AMT 10, некоторые устройства поставляются без физического сетевого адаптера. Эти устройства невозможно настроить с помощью существующих USB-решений в составе Intel SCS 11.
Установка вручную
При включении платформа Intel AMT отображает экран запуска BIOS, затем обрабатывает MEBx. В ходе этого процесса можно получить доступ к Intel MEBX, но такой подход зависит от производителя BIOS. Некоторые возможные методы:
- Большинство производителей BIOS добавляют возможность входа в CSME в меню однократной загрузки. Нажмите соответствующие клавиши (обычно используется сочетание клавиш Ctrl + P) и следуйте подсказкам на экране.
- На некоторых ОЕМ-платформах на экране появляется предложение нажать клавиши <Ctrl + P> после процедуры пусковой самопроверки. При нажатии сочетания клавиш <Ctrl + P> управление переходит в главное меню Intel MEBx (CSME).
- Некоторые ОЕМ-производители встраивают настройку CSME в BIOS (но такой подход применяется относительно редко).
- Некоторые ОЕМ-производители предусматривают в BIOS возможность отобразить или скрыть предложение, нажав <Ctrl + P>, поэтому. если в меню однократной загрузки соответствующая команда отсутствует, проверьте наличие в BIOS возможности включить подсказку.
Режим управления клиента и режим управления администратора
После установки устройства с Intel AMT 7.0 или более поздней версии переходят в один из двух режимов управления.
-
Режим управления клиента. Intel AMT входит в этот режим после проведения простой настройки на базе хоста (см. «Настройка на базе хостов (локальная)»). В этом режиме функциональность Intel AMT ограничена, поскольку для настройки на базе хоста достаточно более низкого уровня доверия.
- Режим управления администратора. После удаленной настройки, настройки с помощью USB или настройки вручную с помощью CSME Intel AMT переходит в режим управления администратора.
Также существует способ настройки, включающий процедуру изменения режима: с режима клиента на режим администратора. Эта процедура исходит из того, что устройство Intel AMT находится в режиме управления клиента, и переключает устройство в режим управления администратора.
В режиме управления администратора функциональность Intel AMT не имеет ограничений. Это связано с более высоким уровнем доверия при таком методе установки.
Ограничения режима управления клиента
По завершении простой настройки на основе хоста платформа переходит в режим управления клиента, в котором действуют следующие ограничения.
- Функция защиты системы недоступна.
- Действия перенаправления (IDE-R и KVM, исключая запуск сеанса SOL) и изменения параметров загрузки (включая загрузку SOL) требуют дополнительного согласия пользователя. В этом режиме сотрудники удаленной службы ИТ-поддержки по-прежнему могут устранять неполадки в системах конечных пользователей с помощью Intel AMT.
- Если назначен аудитор, то права аудитора не требуются для отмены подготовки.
- Ряд функций заблокирован, чтобы предотвратить доступ недоверенного пользователя к платформе.
Настройка клиента Intel AMT 11.0 вручную
При включении платформы Intel AMT отображается начальный экран BIOS, затем обрабатываются расширения BIOS. Вход в расширение Intel AMT в BIOS зависит от производителя BIOS.
При использовании эталонной платформы Intel AMT (SDS или SDP) на экране появляется приглашение нажать клавиши <Ctrl + P>. После этого управление переходит в главное меню CSME.
В системах ОЕМ-производителей можно использовать меню однократной загрузки, а вход в CSME обычно является одним из вариантов загрузки в этом меню. Конкретные сочетания клавиш могут различаться в зависимости от ОЕМ-производителя, типа BIOS и модели.
Настройка клиентов Intel AMT 11.0 вручную с подключением только по Wi-Fi
У многих систем уже нет физического разъема для подключения к проводной локальной сети. Можно настроить и активировать Intel ME, затем использовать веб-интерфейс или какой-нибудь другой способ для настройки параметров беспроводного подключения.
- Измените пароль по умолчанию, задав новое значение (это требуется для продолжения). Новое значение должно быть стойким паролем. Оно должно содержать по крайней мере одну заглавную букву, одну строчную букву, одну цифру и один специальный символ, а его длина должна составлять не менее восьми символов.
- Войдите в CSME при запуске.
- Введите пароль по умолчанию (admin).
- Введите и подтвердите новый пароль.
- Выберите «Настройка Intel AMT».
- Убедитесь, что установлен флажок «Выбор компонентов управления».
- Выберите «Включить доступ к сети».
- Выберите «Y», чтобы подтвердить включение интерфейса.
- Выберите «Настройка сети».
- Выберите настройку сетевых имен Intel ME.
- Введите имя узла.
- Введите имя домена.
- Выберите «Согласие пользователя».
- По умолчанию задано «Только KVM». Можно выбрать «Нет» или «Все».
- По умолчанию задано «Только KVM». Можно выбрать «Нет» или «Все».
- Выйдите из CSME.
- Настройте беспроводное подключение с помощью синхронизации драйверов беспроводной сети ProSet, веб-интерфейса или другим способом.
Настройка клиентов Intel AMT 11.0 вручную с подключением по локальной сети
Введите пароль CSME по умолчанию (admin).
Измените пароль по умолчанию (требуется для продолжения). Новое значение должно быть стойким паролем. Оно должно содержать по крайней мере одну заглавную букву, одну строчную букву, одну цифру и один специальный символ, а его длина должна составлять не менее восьми символов. С помощью консоли управления можно изменить пароль Intel AMT, не меняя пароль CSME.
- Выберите «Настройка Intel AMT».
- Убедитесь, что установлен флажок «Выбор компонентов управления».
- Выберите «Включить доступ к сети».
- Выберите «Y», чтобы подтвердить включение интерфейса.
- Выберите «Настройка сети».
- Выберите настройку сетевых имен Intel ME.
- Введите имя узла.
- Введите имя домена.
- Выберите «Согласие пользователя».
- По умолчанию задано «Только KVM». Можно выбрать «Нет» или «Все».
- По умолчанию задано «Только KVM». Можно выбрать «Нет» или «Все».
- Выйдите из CSME.
Доступ к Intel AMT через веб-интерфейс
Администратор с правами пользователя может устанавливать удаленное подключение к устройству Intel AMT через веб-интерфейс. Для этого нужно ввести URL-адрес устройства. URL-адрес будет различаться в зависимости от того, включен ли протокол TLS.
- Не TLS — http:// <IP-адрес или полное доменное имя>:16992
- TLS — https:// <только полное доменное имя>:16993
Для подключения без TLS также можно использовать локальное подключение и браузер хоста. Вкачестве IP-адреса можно указать localhost или 127.0.0.1. Пример: 127.0.0.1:16992.
Требования для поддержки Intel AMT
Помимо правильной настройки BIOS и CSME, требуется совместимый с Intel AMT адаптер беспроводной сети. Для управления ОС хоста с помощью Intel AMT требуются определенные драйверы и службы.
Чтобы убедиться в правильности загрузки драйверов и служб Intel AMT, найдите их в диспетчере устройств и в разделе «Службы» в ОС хоста. Регулярно заходите на сайт ОЕМ-производителя для получения обновленных версий BIOS, микропрограмм и драйверов.
Вот драйверы и службы, которые должны отображаться в ОС хоста.
- Сетевое подключение Intel Ethernet i218-LM*
- Двухдиапазонный адаптер беспроводной сети Intel AC 8260 или аналогичный*
- Драйвер интерфейса Intel Management Engine Interface (Intel MEI)
- Драйвер последовательной передачи по локальной сети (SOL)
- Служба локального управления приложениями Intel Management and Security Status (Intel MSS) **
- Приложение Intel AMT Management and Security Status **
- Драйверы HID-устройств (мыши и клавиатуры) ***
* Версии сетевого контроллера и беспроводного интерфейса будут различаться в зависимости от поколения платформы Intel vPro.
** В составе полного пакета драйверов для Intel MEI (набор микросхем).
*** Драйверы HID-устройств необходимы при подключении через Intel AMT KVM. С драйверами по умолчанию обычно не возникает проблем, но мы сталкивались с затруднениями при использовании нестандартных установок ОС. Если подключение установлено к устройству без HID-драйверов, ОС пытается автоматически установить эти драйверы. После установки заново установите подключение KVM.
Примечание. Уровень версии драйверов должен совпадать с уровнем версий микропрограммы и BIOS. Если установлены несовместимые версии, Intel AMT не будет работать с компонентами, которым требуются эти интерфейсы.
Физическое устройство — беспроводное подключение Ethernet
По умолчанию на всех беспроводных платформах Intel vPro будет установлена плата беспроводной сети с поддержкой Intel AMT, например двухдиапазонный адаптер Intel AC 8260. Прочие адаптеры беспроводной сети, отличные от адаптеров Intel, не будут поддерживать возможность беспроводного подключения Intel AMT. При использовании адаптера беспроводной сети, отличного от Intel AC 8260, можно использовать сайт ark.intel.com, чтобы проверить совместимость этого адаптера с Intel AMT.
Требуемое программное обеспечение для Windows
Для удаленного управления драйвера устройств не требуются, но они необходимы для локального обмена данными с микропрограммой. Для функций обнаружения и настройки с помощью ОС требуются драйвер Intel MEI, драйвер SOL, служба LMS и приложение Intel Management and Security Status (Intel MSS).
Драйверы устройств — интерфейс Intel Management Engine Interface
Для подключения к микропрограмме требуется Intel MEI. По умолчанию драйвер Intel MEI автоматически устанавливается из Центра обновления Windows. Уровень версии драйвера Intel MEI должен быть таким же, как у Intel MEBX.
Драйвер Intel MEI отображается в диспетчере устройств в разделе «Системные устройства» под названием Intel Management Engine Interface.
Драйверы устройств — драйвер последовательной передачи по локальной сети
Драйвер SOL используется в операции перенаправления IDE при подключении удаленного накопителя для компакт-дисков.
Драйвер SOL отображается в диспетчере устройств в разделе «Порты» под названием «Intel Active Management Technology — SOL (COM3)».
Рисунок 3. Драйвер последовательной передачи по локальной сети
Служба — Intel Active Management Technology LMS Service
Служба Local Manageability Service (LMS) работает локально на устройстве Intel AMT и дает возможность локальным приложениям управления отправлять запросы и получать ответы. Служба LMS отвечает на запросы, отправленные локальному хосту Intel AMT, и отправляет их в Intel ME с помощью драйвера Intel MEI. Установщик службы находится в одном пакете с драйверами Intel MEI на веб-сайтах ОЕМ-производителей.
Обратите внимание, что при установке ОС Windows служба Центра обновления Windows устанавливает только драйвер Intel MEI. Службы IMSS и LMS не устанавливаются. Служба LMS обменивается данными из приложения ОС с драйвером Intel MEI. Если служба LMS не установлена, перейдите на веб-сайт ОЕМ-производителя и загрузите драйвер Intel MEI, который обычно находится в категории драйверов для наборов микросхем.
Рисунок 4. Драйвер интерфейса Intel Management Engine
LMS — это служба Windows, устанавливающаяся на платформу Intel AMT 9.0 или более поздней версии. Ранее, в версиях Intel AMT с 2.5 до 8.1, служба LMS называлась User Notification Service (UNS).
LMS получает набор оповещений от устройства Intel AMT. LMS записывает оповещение в журнал событий приложения Windows. Для просмотра оповещений щелкните правой кнопкой мыши Компьютер и выберите Управление компьютером > Системные программы > Просмотр событий > Приложение.
Приложение — Intel Management and Security Status
Открыть приложение Intel MSS можно с помощью значка в виде синего ключа в области уведомлений Windows.
Рисунок 5. Значок программы Intel Management and Security Status в области уведомлений
Вкладка «Общие»
На вкладке «Общие» в Intel MSS отображаются состояние компонентов Intel vPro, доступных на данной платформе, и журнал событий. На каждой вкладке приводятся дополнительные сведения.
Рисунок 6. Вкладка «Общие» в Intel Management and Security Status
Вкладка Intel AMT
Здесь локальный пользователь может проводить операции KVM и перенаправления носителей, использовать запрос справки и просматривать состояние защиты системы.
Рисунок 7. Вкладка Intel AMT в Intel Management and Security Status
Вкладка «Расширенные»
На вкладке «Расширенные» в Intel MSS отображается более подробная информация о конфигурации и компонентах Intel AMT. На снимке экрана, показанном на рис. 8, видно, что в этой системе настроена технология Intel AMT.
Рисунок 8. Вкладка «Расширенные» в Intel Management and Security Status
Intel Active Management Technology Software Development Kit (SDK)
В пакете Intel AMT Software Development Kit (SDK) доступны низкоуровневые возможности программирования, поэтому разработчики могут создавать приложения для управления, наиболее полно использующие Intel AMT.
Пакет средств для разработки ПО на основе Intel AMT представляет собой образец кода и набор API-интерфейсов, позволяющих разработчикам просто и быстро добавить в приложения поддержку Intel AMT. В состав SDK также входит полный комплект документации в формате HTML.
Этот пакет средств для разработки ПО поддерживает C++ и C# в операционных системах Microsoft Windows и Linux. Руководство пользователя и файлы Readme в каждом каталоге содержат важную информацию о сборке примеров.
Пакет SDK представляет собой набор папок, которые можно скопировать в любое расположение. При этом следует копировать всю структуру папок, это обусловлено взаимной зависимостью между компонентами. На верхнем уровне находятся три папки: DOCS (содержит документацию для SDK), а также папки с примерами кода для Linux и Windows. Дополнительные сведения о том, как приступить к работе и использовать SDK, см. в руководстве по внедрению и справочном руководстве Intel AMT.
Дополнительные сведения о требованиях к системе и о сборке примеров кода можно получить, ознакомившись с разделом «Использование Intel AMT SDK» в руководстве по внедрению и справочном руководстве Intel AMT. Документация представлена в сети Intel Software Network: Пакет средств для разработки ПО на основе Intel AMT (последний выпуск).
Прочие ресурсы, посвященные Intel AMT
» Руководство по внедрению и справочное руководство Intel AMT
» Intel AMT SDK, загружаемый файл
» Высокоуровневый API, статья и загружаемый файл
» Intel Platform Solutions Manager, статья и загружаемый файл
» Модуль Power Shell, загружаемый файл
» Руководство для разработчиков приложений KVM
» Библиотека перенаправления
» API платформы CIM C++
» API платформы CIM C#
» Поставщик WMI Intel ME
» Проверка состояния системы (NAP)
» Примеры использования и проектов
Приложение
В следующей таблице перечислены возможности, поддерживаемые в Intel AMT версий с 8-й по 11-ю.
Описание всех возможностей и компонентов см. в руководстве по внедрению и справочном руководстве Intel AMT (в разделе «Компоненты Intel AMT».)
Компонент | Intel AMT 8 | Intel AMT 9 | Intel AMT 10 | Intel AMT 11 |
---|---|---|---|---|
Инвентаризация оборудования | X | X | X | X |
Постоянный идентификатор | X | X | X | X |
Удаленное включение и выключение | X | X | X | X |
Перенаправление SOL/IDE | X | X | X | X |
Управление событиями | X | X | X | X |
Сторонние хранилища данных | X | X | X | X |
Встроенный веб-сервер | X | X | X | X |
Защита флеш-памяти | X | X | X | X |
Обновление микропрограммы | X | X | X | X |
HTTP-дайджест/TLS | X | X | X | X |
Статические и динамические IP-адреса | X | X | X | X |
Защита системы | X | X | X | X |
Наличие агента | X | X | X | X |
Политики управления электропитанием | X | X | X | X |
Взаимная проверка подлинности | X | X | X | X |
Kerberos * | X | X | X | X |
TLS-PSK | X | X | X | Упразднено |
Значок конфиденциальности | X | X | X | X |
Пробуждение по локальной сети Intel Management Engine | X | X | X | X |
Удаленная настройка | X | X | X | X |
Настройка беспроводной сети | X | X | X | X |
EAC 802.1 | X | X | X | X |
Пакеты управления электропитанием | X | X | X | X |
Обнаружение среды | X | X | X | X |
Сфера чтения журнала событий | X | X | X | X |
Эвристическая защита системы | X | X | X | X |
Интерфейс WS-MAN | X | X | X | X |
Настройки VLAN для Intel AMT | X | X | X | X |
Сетевые интерфейсы | X | X | X | X |
Быстрый вызов помощи (CIRA) | X | X | X | X |
Монитор доступа | X | X | X | X |
Поддержка Microsoft NAP * | X | X | X | X |
Поддержка виртуализации для наличия агента | X | X | X | X |
ПК-будильник | X | X | X | X |
Удаленное управление KVM | X | X | X | X |
Синхронизация профилей беспроводной сети | X | X | X | X |
Поддержка протокола IPv6 | X | X | X | X |
Подготовка на базе хоста | X | X | X | X |
Правильное завершение работы | X | X | X | X |
API WS-Management | X | X | X | X |
Команды SOAP | X | Упразднено | Упразднено | Упразднено |
Поддержка InstantGo | X | |||
Удаленное безопасное стирание | X |