Основные пароли Intel AMT
Статья «Основные пароли AMT» из серии «Учебник по Intel AMT», часть вторая.
Небольшое вступление
Данные строки пишутся в 2014-м году, когда должна появиться «юбилейная» десятая версия Intel AMT, а самой технологии исполнится 10 лет в следующем. В среднем раз в год появляется новая версия, в то время как обновление парка компьютеров не столь стремительное. В последние годы Intel делает акцент на том, что для поспевания за прогрессом необходимо обновлять компьютеры каждые три года, в то время как в обычной практике это пять лет, а если учесть «наши реалии», то это 7-10 лет и даже больше. В результате у большинства админов, которые являются одной из главных целевых аудиторий темы Intel AMT, в «подчинении» может быть обычно весь спектр, все версии, как минимум, начиная со второй (что где-то и соответствует 7 годам жизни AMT-систем на данный момент).
В реальности речь идёт, конечно, про обновление Intel ME 2.0->2.1->2.2, однако для большей простоты здесь и далее будем говорить про AMT (которая по сути лишь модуль МЕ).
Чтобы не заниматься одним «теоретизированием», будем отталкиваться от реальной и для многих вполне ещё актуальной техники. В частности, разберём работу AMT2 на примере популярной (2007-2008гг.) системы HP dc7700p.
Как и многие другие, так называемые workstation-системы, предназначенные для «enterprise»-сегмента рынка, она оснащена поддержкой Intel AMT.
Версии AMT 2
Сразу стоит упомянуть и про мобильные (т.е. для ноутбуков) версии AMT 2.5 и AMT 2.6, чтобы в случае упоминания «AMT 2.x» понимать о чём идёт речь. Если утрировать, то AMT2.1 = AMT2.5, AMT2.2 = AMT2.6 с поправкой на отсутствие поддержки WiFi для «десктопных» версий AMT (2.0/2.1/2.2).
System Information & ME
BIOS Setup & настройки AMT
Настройки AMT в биосе есть в меню Advanced:
Однако там «ничего полезного»:
Чаще таких настроек мало (а иногда нет вообще). Речь именно о настройках AMT в BIOS Setup (а не MEBx).
MEBx & CTRL-P
Если в процессе загрузки:
Нажать клавиши CTRL-P (стандартная комбинация для подавляющего большинства AMT-систем), то можно попасть в MEBx Setup:
Версия MEBx и версия AMT
Итого, чтобы узнать версию АМТ, нужно учитывать версию МЕ (которая и «равняется» АМТ, если есть её поддержка), а версию MEBx можно использовать для определения «приблизительно» (т.е. с точностью до «мажорной» версии, т.е. без учёта «минорной», которая идёт после точки).
А для версии AMT 2.0 могли отличаться даже и мажорные версии, вот скриншот MEBx HP dc7700p от 2006-го года:
Однако, это, всё же, исключение из правил.
Пароли MEBx
Пароль задаётся с учётом строгих правил к взлому: 8-32 символа, обязательное наличие как минимум одной латинской буквы верхнего и одной нижнего регистра, цифры и «спецсимвола» (!@#$% и т.п. знаки).
Любые другие «нестрогие» пароли (а-ля «qwerty») будут тупо игнорироваться, безмолвно предлагая задать новый. Именно такое поведение отбивает желание у подавляющего большинства тех, кто всё-таки «взломал» пароль «admin» на первом шаге.
Пароли AMT
Мы добрались до объёмной и сложной темы паролей АМТ. Их немало, тема официально практически не раскрывается, а при этом весьма проблематична.
Т.к. эта статья из цикла «учебник», а не «академический труд», то далее информация будет подаваться упрощённо, где-то утрированно, чтобы можно было понять суть и, если потребуется, самостоятельно разобраться глубже.
Основные пароли АМТ
А их три. И частенько используемый термин «админский пароль», обычно подразумевает «все их три сразу».
Чтобы было понятней, вот как это можно показать схематически:
Зачем «целых три AMT пароля»?
Далее. В первый момент, когда AMT ещё не проинициализирована и не сконфигурирована и, вообще, ME может быть отключена = нужен и есть MEBx-пароль, хранящийся «в BIOS».
И, наконец, ME, где происходит «основная авторизация», где хранятся логины-пароли различных пользователей с их политиками на доступ к тому или иному функционалу = Admin-password.
MEBx-пароль
Пароль, который вводится при входе в MEBx.
В случае несконфигурированной АМТ-системы определён только этот пароль. При первом входе в MEBx (или после сброса) этот пароль установлен в «admin».
Теоретически дефолтный пароль («admin») может быть и другим (как его задаст производитель), но практически мне такие случаи не известны.
После того, как пароль «admin» будет заменён на новый, он копируется в Network-пароль:
Network-password
. выбрать режим «Small Business»:
В режиме Small Business (подробно отличия режимов Enterprise/SB будут рассмотрены в последующих частях), непосредственно после применения сделанных MEBx настроек, можно будет сразу же зайти по сети с адресом компьютера в Web-интерфейс управления AMT:
При нажатии «Log On» запрашивается логин-пароль:
Введённый пароль будет сравниваться с Network-password и в случае совпадения попадаем в интерфейс управления АМТ:
. то таким образом будет изменён Network-password, в то время, как MEBx-password останется прежним.
Admin-password
Админ-пароль для АМТ всегда синхронизируется с Network-password, потому в реальности ситуация после первичного измения MEBx-пароля выглядит так:
Соответстсвенно, после изменения «админского» пароля через вебинтерфейс получится следующее:
Как видно из картинки, «админский пароль», который «Network-password/Admin-password» изменяется, а MEBx остаётся прежним.
Вторая причина более очевидна. В случае взаимодействия АМТ с операционной системой, которое осуществляется через драйвер MEI (Manageability Engine Interface), работа идёт именно с Admin-password:
Т.е. когда AMT работает с Windows, то это локальная работа, в ней не участвует сетевая карта и используется лишь Admin-password.
Зачем такие сложности про АМТ-пароли, такие сложные схемы, ведь этого нет в АМТ-документации?
В этом и проблема, что нет. Но работает оно именно так.
Итого, как промежуточный результат по теме паролей AMT, мой совет:
Старайтесь использовать 8 (ровно) символьные пароли из букв, цифр и знаков ‘!’, ‘@’ и ‘#’.
Такие правила максимально универсальны ко всем потенциально проблемным участкам работы AMT и при этом сохраняется достаточная надёжность.
Приступая к работе с технологией Intel Active Management (AMT)
Этот документ содержит информацию о том, как приступить к работе с технологией Intel Active Management (Intel AMT). Здесь содержится обзор возможностей этой технологии, информация о требованиях к системе, конфигурации клиента Intel AMT, а также средства разработки, доступные для создания приложений, поддерживающих Intel AMT.
Intel AMT поддерживает удаленные приложения, работающие под управлением Microsoft Windows * или Linux *. Intel AMT 2.0 или более поздней версии поддерживает только локальные приложения для Windows. Полный перечень требований к системе см. в руководстве по внедрению и справочном руководстве Intel AMT.
Приступая к работе
Для удаленного управления клиентом Intel AMT или для запуска примеров из SDK следует использовать отдельную систему для удаленного управления устройством Intel AMT. Дополнительные сведения см. в руководстве по внедрению и в справочном руководстве Intel AMT, находящемся в папке Docs в пакете Intel AMT SDK.
Что такое Intel Active Management?
Intel AMT входит в состав пакета решений Intel vPro. Если платформа поддерживает Intel AMT, то такими платформами можно удаленно управлять вне зависимости от состояния электропитания и от наличия или отсутствия действующей ОС.
В основе системы Intel AMT находится ядро Converged Security and Manageability Engine (CSME). Intel AMT является компонентом Intel vPro и использует ряд элементов архитектуры платформы Intel vPro. На рис. 1 показаны взаимоотношения между этими элементами.
Рисунок 1. Архитектура технологии Intel Active Management 11
Обратите внимание на сетевое подключение, связанное с Intel Management Engine (Intel ME). Используемый адаптер различается в зависимости от используемой версии Intel AMT.
Новые возможности SDK Intel Active Management Technology версии 11.0
Настройка клиента Intel AMT
Подготовка клиента Intel AMT к использованию
На рис. 2 показаны этапы настройки устройства Intel AMT перед его использованием.
Рисунок 2. Ход настройки
Перед настройкой устройства Intel AMT в приложении Setup and Configuration Application (SCA) его необходимо подготовить, получив начальную информацию, и перевести в режим установки. Начальная информация будет различаться в зависимости от доступных компонентов выпуска Intel AMT и от настроек платформы, примененных ОЕМ-производителем. В таблице 1 приведены методики установки и настройки для разных версий Intel AMT.
| Методика установки | Применимость к версиям Intel AMT | Дополнительные сведения |
|---|---|---|
| Традиционный режим | 1.0; версии 2.x и 3.x в традиционном режиме | Установка и настройка в традиционном режиме |
| SMB | 2.x, 3.x, 4.x, 5.x | Установка и настройка в режиме SMB |
| PSK | С версии 2.0 до Intel AMT 10, упразднено в Intel AMT 11 | Установка и настройка с помощью PSK |
| PKI | 2.2, 2.6, 3.0 и более поздних версий | Установка и настройка с помощью PKI (удаленная настройка) |
| Вручную | 6.0 и более поздних версий | Установка и настройка вручную (с версии 6.0) |
| CCM, ACM | 7.0 и более поздних версий | Режим управления клиента и режим управления администратора Настройка клиентов вручную для Intel AMT 7.0 и более поздних версий |
Таблица 1. Способы установки в зависимости от версии Intel AMT
Программное обеспечение Intel Setup and Configuration Software (Intel SCS) 11 можно использовать для подготовки систем ранних версий вплоть до Intel AMT 2.x. Дополнительные сведения о программе Intel SCS и уровнях подготовки, доступных для разных версий Intel AMT, см. на сайте Загрузить последнюю версию службы Intel Setup and Configuration Service (Intel SCS).
Советы по настройке вручную
При настройке платформы вручную, начиная с версии 6.0, нет ограничений по компонентам, но следует учитывать определенные особенности поведения системы.
Установка вручную
При включении платформа Intel AMT отображает экран запуска BIOS, затем обрабатывает MEBx. В ходе этого процесса можно получить доступ к Intel MEBX, но такой подход зависит от производителя BIOS. Некоторые возможные методы:
Режим управления клиента и режим управления администратора
После установки устройства с Intel AMT 7.0 или более поздней версии переходят в один из двух режимов управления.
В режиме управления администратора функциональность Intel AMT не имеет ограничений. Это связано с более высоким уровнем доверия при таком методе установки.
Ограничения режима управления клиента
По завершении простой настройки на основе хоста платформа переходит в режим управления клиента, в котором действуют следующие ограничения.
Настройка клиента Intel AMT 11.0 вручную
При включении платформы Intel AMT отображается начальный экран BIOS, затем обрабатываются расширения BIOS. Вход в расширение Intel AMT в BIOS зависит от производителя BIOS.
В системах ОЕМ-производителей можно использовать меню однократной загрузки, а вход в CSME обычно является одним из вариантов загрузки в этом меню. Конкретные сочетания клавиш могут различаться в зависимости от ОЕМ-производителя, типа BIOS и модели.
Настройка клиентов Intel AMT 11.0 вручную с подключением только по Wi-Fi
У многих систем уже нет физического разъема для подключения к проводной локальной сети. Можно настроить и активировать Intel ME, затем использовать веб-интерфейс или какой-нибудь другой способ для настройки параметров беспроводного подключения.
Настройка клиентов Intel AMT 11.0 вручную с подключением по локальной сети
Введите пароль CSME по умолчанию (admin).
Измените пароль по умолчанию (требуется для продолжения). Новое значение должно быть стойким паролем. Оно должно содержать по крайней мере одну заглавную букву, одну строчную букву, одну цифру и один специальный символ, а его длина должна составлять не менее восьми символов. С помощью консоли управления можно изменить пароль Intel AMT, не меняя пароль CSME.
Доступ к Intel AMT через веб-интерфейс
Администратор с правами пользователя может устанавливать удаленное подключение к устройству Intel AMT через веб-интерфейс. Для этого нужно ввести URL-адрес устройства. URL-адрес будет различаться в зависимости от того, включен ли протокол TLS.
Требования для поддержки Intel AMT
Помимо правильной настройки BIOS и CSME, требуется совместимый с Intel AMT адаптер беспроводной сети. Для управления ОС хоста с помощью Intel AMT требуются определенные драйверы и службы.
Чтобы убедиться в правильности загрузки драйверов и служб Intel AMT, найдите их в диспетчере устройств и в разделе «Службы» в ОС хоста. Регулярно заходите на сайт ОЕМ-производителя для получения обновленных версий BIOS, микропрограмм и драйверов.
Вот драйверы и службы, которые должны отображаться в ОС хоста.
Примечание. Уровень версии драйверов должен совпадать с уровнем версий микропрограммы и BIOS. Если установлены несовместимые версии, Intel AMT не будет работать с компонентами, которым требуются эти интерфейсы.
Физическое устройство — беспроводное подключение Ethernet
По умолчанию на всех беспроводных платформах Intel vPro будет установлена плата беспроводной сети с поддержкой Intel AMT, например двухдиапазонный адаптер Intel AC 8260. Прочие адаптеры беспроводной сети, отличные от адаптеров Intel, не будут поддерживать возможность беспроводного подключения Intel AMT. При использовании адаптера беспроводной сети, отличного от Intel AC 8260, можно использовать сайт ark.intel.com, чтобы проверить совместимость этого адаптера с Intel AMT.
Требуемое программное обеспечение для Windows
Для удаленного управления драйвера устройств не требуются, но они необходимы для локального обмена данными с микропрограммой. Для функций обнаружения и настройки с помощью ОС требуются драйвер Intel MEI, драйвер SOL, служба LMS и приложение Intel Management and Security Status (Intel MSS).
Драйверы устройств — интерфейс Intel Management Engine Interface
Для подключения к микропрограмме требуется Intel MEI. По умолчанию драйвер Intel MEI автоматически устанавливается из Центра обновления Windows. Уровень версии драйвера Intel MEI должен быть таким же, как у Intel MEBX.
Драйвер Intel MEI отображается в диспетчере устройств в разделе «Системные устройства» под названием Intel Management Engine Interface.
Драйверы устройств — драйвер последовательной передачи по локальной сети
Драйвер SOL используется в операции перенаправления IDE при подключении удаленного накопителя для компакт-дисков.
Драйвер SOL отображается в диспетчере устройств в разделе «Порты» под названием «Intel Active Management Technology — SOL (COM3)».
Рисунок 3. Драйвер последовательной передачи по локальной сети
Служба — Intel Active Management Technology LMS Service
Служба Local Manageability Service (LMS) работает локально на устройстве Intel AMT и дает возможность локальным приложениям управления отправлять запросы и получать ответы. Служба LMS отвечает на запросы, отправленные локальному хосту Intel AMT, и отправляет их в Intel ME с помощью драйвера Intel MEI. Установщик службы находится в одном пакете с драйверами Intel MEI на веб-сайтах ОЕМ-производителей.
Обратите внимание, что при установке ОС Windows служба Центра обновления Windows устанавливает только драйвер Intel MEI. Службы IMSS и LMS не устанавливаются. Служба LMS обменивается данными из приложения ОС с драйвером Intel MEI. Если служба LMS не установлена, перейдите на веб-сайт ОЕМ-производителя и загрузите драйвер Intel MEI, который обычно находится в категории драйверов для наборов микросхем.
Рисунок 4. Драйвер интерфейса Intel Management Engine
LMS — это служба Windows, устанавливающаяся на платформу Intel AMT 9.0 или более поздней версии. Ранее, в версиях Intel AMT с 2.5 до 8.1, служба LMS называлась User Notification Service (UNS).
LMS получает набор оповещений от устройства Intel AMT. LMS записывает оповещение в журнал событий приложения Windows. Для просмотра оповещений щелкните правой кнопкой мыши Компьютер и выберите Управление компьютером > Системные программы > Просмотр событий > Приложение.
Приложение — Intel Management and Security Status
Открыть приложение Intel MSS можно с помощью значка в виде синего ключа в области уведомлений Windows.
Рисунок 5. Значок программы Intel Management and Security Status в области уведомлений
Вкладка «Общие»
На вкладке «Общие» в Intel MSS отображаются состояние компонентов Intel vPro, доступных на данной платформе, и журнал событий. На каждой вкладке приводятся дополнительные сведения.
Рисунок 6. Вкладка «Общие» в Intel Management and Security Status
Вкладка Intel AMT
Здесь локальный пользователь может проводить операции KVM и перенаправления носителей, использовать запрос справки и просматривать состояние защиты системы.
Рисунок 7. Вкладка Intel AMT в Intel Management and Security Status
Вкладка «Расширенные»
На вкладке «Расширенные» в Intel MSS отображается более подробная информация о конфигурации и компонентах Intel AMT. На снимке экрана, показанном на рис. 8, видно, что в этой системе настроена технология Intel AMT.
Рисунок 8. Вкладка «Расширенные» в Intel Management and Security Status
Intel Active Management Technology Software Development Kit (SDK)
В пакете Intel AMT Software Development Kit (SDK) доступны низкоуровневые возможности программирования, поэтому разработчики могут создавать приложения для управления, наиболее полно использующие Intel AMT.
Пакет средств для разработки ПО на основе Intel AMT представляет собой образец кода и набор API-интерфейсов, позволяющих разработчикам просто и быстро добавить в приложения поддержку Intel AMT. В состав SDK также входит полный комплект документации в формате HTML.
Этот пакет средств для разработки ПО поддерживает C++ и C# в операционных системах Microsoft Windows и Linux. Руководство пользователя и файлы Readme в каждом каталоге содержат важную информацию о сборке примеров.
Пакет SDK представляет собой набор папок, которые можно скопировать в любое расположение. При этом следует копировать всю структуру папок, это обусловлено взаимной зависимостью между компонентами. На верхнем уровне находятся три папки: DOCS (содержит документацию для SDK), а также папки с примерами кода для Linux и Windows. Дополнительные сведения о том, как приступить к работе и использовать SDK, см. в руководстве по внедрению и справочном руководстве Intel AMT.
Дополнительные сведения о требованиях к системе и о сборке примеров кода можно получить, ознакомившись с разделом «Использование Intel AMT SDK» в руководстве по внедрению и справочном руководстве Intel AMT. Документация представлена в сети Intel Software Network: Пакет средств для разработки ПО на основе Intel AMT (последний выпуск).
Использование Intel vPro AMT для удаленного управления компьютерами
В этой статье мы рассмотрим, как настроить и использовать функцию удаленного управления компьютерами Intel AMT KVM. Технология Intel AMT (Active Management Technology) является частью комплекса Intel vPro, и администраторам удаленно управлять компьютерами пользователей, даже если на них не запущена / не работает / не установлена операционная система, или компьютер выключен позволяет (на самом деле это только одна из функций AMT). Как правило такое удаленное управление сводится к использованию возможностей KVM (удаленный просмотр экрана пользователя, управления его клавиатурой, мышью и питанием).
KVM в Intel vPro AMT
Поддержка технологии удаленного управления KVM появилась в Intel vPro AMT 6.x на компьютерах с процессорами i5 и i7 на чипсете Intel с поддержкой vPro (как правило название чипсета начинается с Q) со встроенным графическим чипсетом Intel.
Удаленное управление реализуется за счет наличия встроенного сервера VNC. Любой совместимый VNC клиенты может использоваться для удаленного подключения и управления компьютером через AMT.
Благодаря возможностям, предоставляемых Intel vPro, администратор может удаленно зайти на рабочий стол компьютера, войти в BIOS / UEFI, установить ОС, исправить любые ошибки, которые мешают загрузке компьютера, или удалить проблемные обновления, после установки которых Windows перестала грузиться.
Как включить KVM на Intel vPro AMT
По умолчанию возможность удаленного управления через AMT KVM на компьютерах с поддержкой Intel vPro отключена. Включить ее можно через меню Intel MEBx. Попасть в это меню можно после отображения экрана запуска BIOS/UEFI с помощью сочетания клавиш Ctrl+P или F12 (на некоторых компьютерах можно скрыть это меню с помощью настроек BIOS).
Подключение к удаленным компьютерам с помощью Intel AMT
Веб-интерфейс Intel AMT доступен по адресу http://IP:16992 или https://IP:16993.
Однако удалённая консоль KVM не доступна через веб-интерфейс. Нужно использовать сторонний VNC клиент, совместимый с vPro AMT KVM. К примеру, это может быть Radmin, Dameware, RealVNC, MeshCommander, VNC Viewer Plus и т.п.
Мне понравился бесплатный клиент MeshCommander. Вкратце, как им пользоваться для удаленного подключения к компьютерам с AMT.
Для доступа к Intel AMT KVM на сетевом уровне должны быть открыты порты 16994 — IDE-R/SOL over TCP и 16995 — IDE-R/SOL over TLS (помимо 16992 и 16993).
