Приступая к работе с технологией Intel® Active Management (AMT)

Введение

Этот документ содержит информацию о том, как приступить к работе с технологией Intel® Active Management (Intel® AMT). Здесь содержится обзор возможностей этой технологии, информация о требованиях к системе, конфигурации клиента Intel AMT, а также средства разработки, доступные для создания приложений, поддерживающих Intel AMT.

Intel AMT поддерживает удаленные приложения, работающие под управлением Microsoft Windows * или Linux *. Intel AMT 2.0 или более поздней версии поддерживает только локальные приложения для Windows. Полный перечень требований к системе см. в руководстве по внедрению и справочном руководстве Intel AMT.

Приступая к работе

Для удаленного управления клиентом Intel AMT или для запуска примеров из SDK следует использовать отдельную систему для удаленного управления устройством Intel AMT. Дополнительные сведения см. в руководстве по внедрению и в справочном руководстве Intel AMT, находящемся в папке Docs в пакете Intel AMT SDK.

Что такое Intel® Active Management?

Intel AMT входит в состав пакета решений Intel® vPro™. Если платформа поддерживает Intel AMT, то такими платформами можно удаленно управлять вне зависимости от состояния электропитания и от наличия или отсутствия действующей ОС.

В основе системы Intel AMT находится ядро Converged Security and Manageability Engine (CSME). Intel AMT является компонентом Intel® vPro™ и использует ряд элементов архитектуры платформы Intel vPro. На рис. 1 показаны взаимоотношения между этими элементами.

Рисунок 1.Архитектура технологии Intel® Active Management 11

Обратите внимание на сетевое подключение, связанное с Intel® Management Engine (Intel® ME). Используемый адаптер различается в зависимости от используемой версии Intel AMT.

• Микропрограмма CSME содержит функциональность Intel AMT.
• Во флеш-памяти хранится образ микропрограммы.
• Для поддержки возможностей Intel AMT можно использовать ядро CSME, реализованное ОЕМ-производителем платформы. Удаленное приложение осуществляет установку и настройку корпоративной системы.
• После включения микропрограмма копируется в оперативную память.
• Микропрограмма выполняется на процессоре Intel® с Intel ME и использует небольшую часть оперативной памяти (разъем 0) для хранения данных при выполнении. Поэтому для работы микропрограммы необходимо, чтобы в разъеме 0 был установлен модуль оперативной памяти и чтобы этот разъем был включен.

Intel AMT хранит следующую информацию во флеш-памяти (данные Intel ME).

• Параметры, настраиваемые OEM-производителем
  • Параметры настройки, например пароли, конфигурация сети, сертификаты и списки управления доступом.
  • Прочие данные конфигурации, например списки оповещений и политики защиты системы Intel AMT.
  • Конфигурация оборудования, определенная в BIOS при запуске компьютера.

• • Сведения о платформах 2016 года, поддерживающих технологию Intel vPro (выпуск 11.x)
  • Технологический процесс 14-нм
  • Платформа (мобильные устройства и настольные компьютеры): Процессор Intel® Core™ 6-го поколения
  • ЦП: SkyLake
  • Узел контроллера платформы: Sunrise Point

Новые возможности SDK Intel® Active Management Technology версии 11.0

• CSME — новая архитектура Intel AMT 11. До Intel AMT 11 ядро CSME называлось Intel® Management Engine BIOS Extension (Intel® MEBx).
• Файлы MOFs и XSL: файлы MOFs и XSL в папке \DOCS\WS-Management и справочные материалы по классам в документации относятся к версии 11.0.0.1139.
• Новые поля событий WS и аргументов PET: дополнительные аргументы, добавленные к оповещениям CILA, предоставляют код причины для подключения пользовательского интерфейса и имя хоста устройства, выдавшего оповещение.
• Обновленная версия OpenSSL *: Версия OpenSSL — v1.0. Также обновлена библиотека перенаправления.
• Обновленная версия Xerces: в Windows и в Linux используется библиотека Xerces версии 3.1.2.
• Поддержка HTTPS для событий WS: поддерживается безопасная подписка на события WS.
• Удаленное безопасное стирание через параметры загрузки Intel AMT: среди параметров загрузки Intel AMT есть возможность безопасно удалить все данные с основного устройства хранения данных.
• Подписание DLL-библиотек с помощью строгого имени: следующие библиотеки DLL теперь подписаны с помощью строгого имени: CIMFramework.dll, CIMFrameworkUntyped.dll, DotNetWSManClient.dll, IWSManClient.dll и Intel.Wsman.Scripting.dll.
• HECI и модули наблюдения за наличием агентов включают автоматическую перезагрузку платформы: возможность автоматически включить перезагрузку всякий раз, когда HECI или модули наблюдения за наличием агентов сообщают о том, что срок действия агента истек.
• Замена протокола перенаправления хранилища IDE-R: перенаправление хранилища работает по протоколу USB-R вместо протокола IDE-R.
• Обновление SHA: сертификаты SHA1 упразднены, вместо них применена серия сертификатов SHA256.

Настройка клиента Intel® AMT

Подготовка клиента Intel® AMT к использованию

На рис. 2 показаны этапы настройки устройства Intel AMT перед его использованием.

Рисунок 2. Ход настройки

Перед настройкой устройства Intel AMT в приложении Setup and Configuration Application (SCA) его необходимо подготовить, получив начальную информацию, и перевести в режим установки. Начальная информация будет различаться в зависимости от доступных компонентов выпуска Intel AMT и от настроек платформы, примененных ОЕМ-производителем. В таблице 1 приведены методики установки и настройки для разных версий Intel AMT.

Таблица 1. Способы установки в зависимости от версии Intel® AMT

Программное обеспечение Intel® Setup and Configuration Software (Intel® SCS) 11 можно использовать для подготовки систем ранних версий вплоть до Intel AMT 2.x. Дополнительные сведения о программе Intel SCS и уровнях подготовки, доступных для разных версий Intel AMT, см. на сайте Загрузить последнюю версию службы Intel® Setup and Configuration Service (Intel® SCS).

Советы по настройке вручную

При настройке платформы вручную, начиная с версии 6.0, нет ограничений по компонентам, но следует учитывать определенные особенности поведения системы.

• Методы API не возвратят состояние PT_STATUS_INVALID_MODE, поскольку доступен только один режим.
• По умолчанию протокол TLS отключен, его необходимо включить при настройке. Так будет всегда при настройке вручную, поскольку невозможно задать параметры TLS локально.
• Локальные часы платформы будут использоваться до тех пор, пока не будет удаленно задано время по сети. Автоматическая настройка не будет успешно выполнена, если не задано сетевое время (а это можно сделать только после настройки TLS или Kerberos *). Включение TLS или Kerberos после настройки не будет работать, если не было задано сетевое время.
• Пользовательский веб-интерфейс включен в системе по умолчанию.
• Система по умолчанию включает SOL и IDE-R.
• Система отключает прослушиватель перенаправления по умолчанию в Intel AMT, начиная с версии 10.
• Если включить KVM локально через CSME, оно все равно не будет работать, пока администратор не активирует его удаленно.

Начиная с Intel AMT 10, некоторые устройства поставляются без физического сетевого адаптера. Эти устройства невозможно настроить с помощью существующих USB-решений в составе Intel SCS 11.

Установка вручную

При включении платформа Intel AMT отображает экран запуска BIOS, затем обрабатывает MEBx. В ходе этого процесса можно получить доступ к Intel MEBX, но такой подход зависит от производителя BIOS. Некоторые возможные методы:

• Большинство производителей BIOS добавляют возможность входа в CSME в меню однократной загрузки. Нажмите соответствующие клавиши (обычно используется сочетание клавиш Ctrl + P) и следуйте подсказкам на экране.
• На некоторых ОЕМ-платформах на экране появляется предложение нажать клавиши после процедуры пусковой самопроверки. При нажатии сочетания клавиш управление переходит в главное меню Intel MEBx (CSME).
• Некоторые ОЕМ-производители встраивают настройку CSME в BIOS (но такой подход применяется относительно редко).
• Некоторые ОЕМ-производители предусматривают в BIOS возможность отобразить или скрыть предложение, нажав , поэтому. если в меню однократной загрузки соответствующая команда отсутствует, проверьте наличие в BIOS возможности включить подсказку.

Режим управления клиента и режим управления администратора

После установки устройства с Intel AMT 7.0 или более поздней версии переходят в один из двух режимов управления.

• Режим управления клиента. Intel AMT входит в этот режим после проведения простой настройки на базе хоста (см. «Настройка на базе хостов (локальная)»). В этом режиме функциональность Intel AMT ограничена, поскольку для настройки на базе хоста достаточно более низкого уровня доверия.
• Режим управления администратора. После удаленной настройки, настройки с помощью USB или настройки вручную с помощью CSME Intel AMT переходит в режим управления администратора.

Также существует способ настройки, включающий процедуру изменения режима: с режима клиента на режим администратора. Эта процедура исходит из того, что устройство Intel AMT находится в режиме управления клиента, и переключает устройство в режим управления администратора.

В режиме управления администратора функциональность Intel AMT не имеет ограничений. Это связано с более высоким уровнем доверия при таком методе установки.

Ограничения режима управления клиента

По завершении простой настройки на основе хоста платформа переходит в режим управления клиента, в котором действуют следующие ограничения.

• Функция защиты системы недоступна.
• Действия перенаправления (IDE-R и KVM, исключая запуск сеанса SOL) и изменения параметров загрузки (включая загрузку SOL) требуют дополнительного согласия пользователя. В этом режиме сотрудники удаленной службы ИТ-поддержки по-прежнему могут устранять неполадки в системах конечных пользователей с помощью Intel AMT.
• Если назначен аудитор, то права аудитора не требуются для отмены подготовки.
• Ряд функций заблокирован, чтобы предотвратить доступ недоверенного пользователя к платформе.

Настройка клиента Intel AMT 11.0 вручную

При включении платформы Intel AMT отображается начальный экран BIOS, затем обрабатываются расширения BIOS. Вход в расширение Intel AMT в BIOS зависит от производителя BIOS.

При использовании эталонной платформы Intel AMT (SDS или SDP) на экране появляется приглашение нажать клавиши . После этого управление переходит в главное меню CSME.

В системах ОЕМ-производителей можно использовать меню однократной загрузки, а вход в CSME обычно является одним из вариантов загрузки в этом меню. Конкретные сочетания клавиш могут различаться в зависимости от ОЕМ-производителя, типа BIOS и модели.

Настройка клиентов Intel® AMT 11.0 вручную с подключением только по Wi-Fi *

У многих систем уже нет физического разъема для подключения к проводной локальной сети. Можно настроить и активировать Intel ME, затем использовать веб-интерфейс или какой-нибудь другой способ для настройки параметров беспроводного подключения.

1. 1. Измените пароль по умолчанию, задав новое значение (это требуется для продолжения). Новое значение должно быть стойким паролем. Оно должно содержать по крайней мере одну заглавную букву, одну строчную букву, одну цифру и один специальный символ, а его длина должна составлять не менее восьми символов.
   1. Войдите в CSME при запуске.
   2. Введите пароль по умолчанию (admin).
   3. Введите и подтвердите новый пароль.
2. Выберите «Настройка Intel AMT».
3. Убедитесь, что установлен флажок «Выбор компонентов управления».
4. Выберите «Включить доступ к сети».
5. Выберите «Y», чтобы подтвердить включение интерфейса.
6. Выберите «Настройка сети».
7. Выберите настройку сетевых имен Intel® ME.
   1. Введите имя узла.
   2. Введите имя домена.
8. Выберите «Согласие пользователя».
   1. По умолчанию задано «Только KVM». Можно выбрать «Нет» или «Все».
9. Выйдите из CSME.
10. Настройте беспроводное подключение с помощью синхронизации драйверов беспроводной сети ProSet, веб-интерфейса или другим способом.

Настройка клиентов Intel® AMT 11.0 вручную с подключением по локальной сети

Введите пароль CSME по умолчанию (admin).

Измените пароль по умолчанию (требуется для продолжения). Новое значение должно быть стойким паролем. Оно должно содержать по крайней мере одну заглавную букву, одну строчную букву, одну цифру и один специальный символ, а его длина должна составлять не менее восьми символов. С помощью консоли управления можно изменить пароль Intel AMT, не меняя пароль CSME.

1. Выберите «Настройка Intel AMT».
2. Убедитесь, что установлен флажок «Выбор компонентов управления».
3. Выберите «Включить доступ к сети».
4. Выберите «Y», чтобы подтвердить включение интерфейса.
5. Выберите «Настройка сети».
6. Выберите настройку сетевых имен Intel ME.
   1. Введите имя узла.
   2. Введите имя домена.
7. Выберите «Согласие пользователя».
   1. По умолчанию задано «Только KVM». Можно выбрать «Нет» или «Все».
8. Выйдите из CSME.

Доступ к Intel® AMT через веб-интерфейс

Администратор с правами пользователя может устанавливать удаленное подключение к устройству Intel AMT через веб-интерфейс. Для этого нужно ввести URL-адрес устройства. URL-адрес будет различаться в зависимости от того, включен ли протокол TLS.

• Не TLS — http:// :16992
• TLS — https:// <только полное доменное имя>:16993

Для подключения без TLS также можно использовать локальное подключение и браузер хоста. Вкачестве IP-адреса можно указать localhost или 127.0.0.1. Пример: http://127.0.0.1:16992.

Требования для поддержки Intel AMT

Помимо правильной настройки BIOS и CSME, требуется совместимый с Intel AMT адаптер беспроводной сети. Для управления ОС хоста с помощью Intel AMT требуются определенные драйверы и службы.

Чтобы убедиться в правильности загрузки драйверов и служб Intel AMT, найдите их в диспетчере устройств и в разделе «Службы» в ОС хоста. Регулярно заходите на сайт ОЕМ-производителя для получения обновленных версий BIOS, микропрограмм и драйверов.

Вот драйверы и службы, которые должны отображаться в ОС хоста.

• Сетевое подключение Intel® Ethernet i218-LM #
• Двухдиапазонный адаптер беспроводной сети Intel® AC 8260 или аналогичный #
• Драйвер интерфейса Intel® Management Engine Interface (Intel® MEI)
• Драйвер последовательной передачи по локальной сети (SOL)
• Служба локального управления приложениями Intel® Management and Security Status (Intel® MSS) **
• Приложение Intel® AMT Management and Security Status **
• Драйверы HID-устройств (мыши и клавиатуры) ***

* Версии сетевого контроллера и беспроводного интерфейса будут различаться в зависимости от поколения платформы Intel vPro.

** В составе полного пакета драйверов для Intel MEI (набор микросхем).

*** Драйверы HID-устройств необходимы при подключении через Intel AMT KVM. С драйверами по умолчанию обычно не возникает проблем, но мы сталкивались с затруднениями при использовании нестандартных установок ОС. Если подключение установлено к устройству без HID-драйверов, ОС пытается автоматически установить эти драйверы. После установки заново установите подключение KVM.

Примечание. Уровень версии драйверов должен совпадать с уровнем версий микропрограммы и BIOS. Если установлены несовместимые версии, Intel AMT не будет работать с компонентами, которым требуются эти интерфейсы.

Физическое устройство — беспроводное подключение Ethernet

По умолчанию на всех беспроводных платформах Intel vPro будет установлена плата беспроводной сети с поддержкой Intel AMT, например двухдиапазонный адаптер Intel AC 8260. Прочие адаптеры беспроводной сети, отличные от адаптеров Intel, не будут поддерживать возможность беспроводного подключения Intel AMT. При использовании адаптера беспроводной сети, отличного от Intel AC 8260, можно использовать сайт ark.intel.com, чтобы проверить совместимость этого адаптера с Intel AMT.

Требуемое программное обеспечение для Windows

Для удаленного управления драйвера устройств не требуются, но они необходимы для локального обмена данными с микропрограммой. Для функций обнаружения и настройки с помощью ОС требуются драйвер Intel MEI, драйвер SOL, служба LMS и приложение Intel® Management and Security Status (Intel® MSS).

Драйверы устройств — интерфейс Intel® Management Engine Interface

Для подключения к микропрограмме требуется Intel MEI. По умолчанию драйвер Intel MEI автоматически устанавливается из Центра обновления Windows. Уровень версии драйвера Intel MEI должен быть таким же, как у Intel MEBX.

Драйвер Intel MEI отображается в диспетчере устройств в разделе «Системные устройства» под названием Intel® Management Engine Interface.

Драйверы устройств — драйвер последовательной передачи по локальной сети

Драйвер SOL используется в операции перенаправления IDE при подключении удаленного накопителя для компакт-дисков.

Драйвер SOL отображается в диспетчере устройств в разделе «Порты» под названием «Intel® Active Management Technology — SOL (COM3)».

Рисунок 3.Драйвер последовательной передачи по локальной сети

Служба — Intel Active Management Technology LMS Service

Служба Local Manageability Service (LMS) работает локально на устройстве Intel AMT и дает возможность локальным приложениям управления отправлять запросы и получать ответы. Служба LMS отвечает на запросы, отправленные локальному хосту Intel AMT, и отправляет их в Intel® ME с помощью драйвера Intel® MEI. Установщик службы находится в одном пакете с драйверами Intel MEI на веб-сайтах ОЕМ-производителей.

Обратите внимание, что при установке ОС Windows служба Центра обновления Windows устанавливает только драйвер Intel MEI. Службы IMSS и LMS не устанавливаются. Служба LMS обменивается данными из приложения ОС с драйвером Intel MEI. Если служба LMS не установлена, перейдите на веб-сайт ОЕМ-производителя и загрузите драйвер Intel MEI, который обычно находится в категории драйверов для наборов микросхем.

Рисунок 4. Драйвер интерфейса Intel® Management Engine

LMS — это служба Windows, устанавливающаяся на платформу Intel AMT 9.0 или более поздней версии. Ранее, в версиях Intel AMT с 2.5 до 8.1, служба LMS называлась User Notification Service (UNS).

LMS получает набор оповещений от устройства Intel AMT. LMS записывает оповещение в журнал событий приложения Windows. Для просмотра оповещений щелкните правой кнопкой мыши Компьютери выберите Управление компьютером > Системные программы > Просмотр событий > Приложение.

Приложение — Intel® Management and Security Status

Открыть приложение Intel MSS можно с помощью значка в виде синего ключа в области уведомлений Windows.

Рисунок 5.Значок программы Intel® Management and Security Status в области уведомлений

Вкладка «Общие»

На вкладке «Общие» в Intel MSS отображаются состояние компонентов Intel vPro, доступных на данной платформе, и журнал событий. На каждой вкладке приводятся дополнительные сведения.

Рисунок 6.Вкладка «Общие» в Intel® Management and Security Status

Вкладка Intel AMT

Здесь локальный пользователь может проводить операции KVM и перенаправления носителей, использовать запрос справки и просматривать состояние защиты системы.

Рисунок 7.Вкладка Intel AMT в Intel® Management and Security Status

Вкладка «Расширенные»

На вкладке «Расширенные» в Intel MSS отображается более подробная информация о конфигурации и компонентах Intel AMT. На снимке экрана, показанном на рис. 8, видно, что в этой системе настроена технология Intel AMT.

Рисунок 8.Вкладка «Расширенные» в Intel® Management and Security Status

Intel Active Management Technology Software Development Kit (SDK)

В пакете Intel AMT Software Development Kit (SDK)доступны низкоуровневые возможности программирования, поэтому разработчики могут создавать приложения для управления, наиболее полно использующие Intel AMT.

Пакет средств для разработки ПО на основе Intel AMT представляет собой образец кода и набор API-интерфейсов, позволяющих разработчикам просто и быстро добавить в приложения поддержку Intel AMT. В состав SDK также входит полный комплект документации в формате HTML.

Этот пакет средств для разработки ПО поддерживает C++ и C# в операционных системах Microsoft Windows и Linux. Руководство пользователя и файлы Readme в каждом каталоге содержат важную информацию о сборке примеров.

Пакет SDK представляет собой набор папок, которые можно скопировать в любое расположение. При этом следует копировать всю структуру папок, это обусловлено взаимной зависимостью между компонентами. На верхнем уровне находятся три папки: DOCS (содержит документацию для SDK), а также папки с примерами кода для Linux и Windows. Дополнительные сведения о том, как приступить к работе и использовать SDK, см. в руководстве по внедрению и справочном руководстве Intel® AMT.

Как показано на снимке экрана на рис. 9, можно получить дополнительные сведения о требованиях к системе и о сборке примеров кода, ознакомившись с разделом «Использование Intel® AMT SDK» в руководстве по внедрению и справочном руководстве Intel AMT. Документация представлена в сети Intel® Software Network: Пакет средств для разработки ПО на основе Intel® AMT (последний выпуск)

Рисунок 9. Руководство по внедрению и справочное руководство Intel AMT

Прочие ресурсы, посвященные Intel AMT

Руководство по внедрению и справочное руководство Intel AMT
Intel AMT SDK, загружаемый файл
Высокоуровневый API, статьяи загружаемый файл
Intel® Platform Solutions Manager, статьяи загружаемый файл
Модуль Power Shell, загружаемый файл
Руководство для разработчиков приложений KVM
Библиотека перенаправления
API платформы CIM C++
API платформы CIM C#
Поставщик WMI Intel® ME
Проверка состояния системы (NAP)
Примеры использования и проектов

Приложение

В следующей таблице перечислены возможности, поддерживаемые в Intel AMT версий с 8-й по 11-ю.

Описание всех возможностей и компонентов см. в руководстве по внедрению и справочном руководстве Intel® AMT (в разделе «Компоненты Intel AMT».)