Руководство по началу работы с Intel® AMT 10

Содержание

Введение 
Новые возможности, представленные в выпуске Intel® AMT 10.0
Подготовка клиента Intel® AMT к использованию
Советы по настройке вручную
Режим управления для клиента и режим управления для администратора
Доступ к Intel® AMT через веб-интерфейс
Intel® AMT LMS, UNS и IMSS
Пакет средств для разработки ПО на основе Intel® AMT
Другие ресурсы

Введение

Технология Intel^® Active Management Technology¹ (Intel^® AMT) — один из компонентов технологии Intel^® vPro™². Платформы, оснащенные Intel AMT, поддерживают удаленное управление, даже если операционная система недоступна или компьютер выключен. Системы, в которых активирована технология Intel^® AMT, поддерживают внеполосный доступ к сети через беспроводную (или проводную) сеть Intel^®. Благодаря этому они предоставляют приложениям для удаленного управления платформой безопасный доступ при условии, что платформа подключена к линии электроснабжения и к сети. Независимые поставщики ПО получили возможность создавать приложения, эффективно использующие функции Intel AMT, с помощью пакета средств для разработки ПО на основе Intel AMT. В данный пакет входит высокоуровневый API-интерфейс Intel AMT (Intel AMT HLAPI) — очень простой, единообразный API-интерфейс для всех версий AMT и ассортиментных позиций Intel. Дополнительная информация приводится в документации HLAPI, представленной в данном SDK.  Данный пакет средств для разработки ПО также включает Intel vPro Platform Solution Manager — консоль управления на основе API-интерфейса Intel AMT HLAPI.
Intel AMT использует несколько элементов архитектуры платформы Intel vPro, в частности Intel^® Management Engine (Intel^® ME), один из компонентов микропрограммы (поставляемый производителем системы вместе с BIOS). Данная микропрограмма использует небольшую долю ОЗУ системы, и поэтому, чтобы выполнять ее, необходимо заполнить и активировать слот 0. Микропрограмма также оснащена собственной флеш-памятью, в которой хранятся параметры конфигурации и другие данные.

Примечание. Чтобы использовать возможности внеполосного управления Intel AMT, необходимо использовать Intel^® Ethernet или к беспроводной Intel адаптер, поддерживающей подключение к микропрограмме Intel ME. 
Обратите внимание, что для использования выпуска Intel AMT 10.0 на платформу необходимо установить 10 версию микропрограммы Intel ME и драйвера. Драйвер 10.0 может быть установлен в системах, изначально использовавших микропрограммы 8.x. 9.x или 10.0.  Всегда используйте микропрограмму, предоставленную поставщиком системы.

Intel AMT поддерживает удаленные приложения, выполняемые в ОС Microsoft Windows* или Linux*; в то же время данная технология поддерживает локальные приложения только для ОС Windows. Полный список требований к системе приводится в документации, включенной в последний Intel® AMT Software Development Kit (SDK), а также в Руководстве по внедрению и применению Intel^® AMT, которое находится в папке Docs.

Новые возможности, представленные в выпуске Intel^® AMT 10.0:

 Примечание. Выпуск Intel AMT 10 обратно совместим с системами, в которых используются чипсеты Intel^®серий 7, 8 и 9.

• Самое важное изменение   OpenSSL* теперь используется без флага пульсации. По этой причине в системах, обновленных до выпуска AMT10, необходимо аннулировать и повторно оформить сертификаты, а также изменить пароли. 
• В инструмент приложения HLAPI и KVM добавлена функция очистки экрана клиента Intel AMT (при удаленном доступе).
• Обновленные файлы MOF и XSL, как и справочное описание класса, теперь относятся к версии 10.0.25.1048.
• Версия Real VNC* в Linux и KVM обновлена до 1.2.5.
• Connected Standby/InstantGo в ОС Windows поддерживаются для Windows 7 и более поздних версий (также доступны в HLAPI).
• Корректные операции управления питанием поддерживаются на 32-разрядных
  и 64-разрядных платформах Windows Vista, 7 и 8, включая (в Windows 8) режимы Connected Standby/InstantGo, а также генерирование событий UNS.
  Эта возможность также добавлена в API-интерфейс HLAPI.
• Теперь поддерживается инициализация в режимах управления для администратора и для клиента с защищенными именами FQDN.
  Дополнительная информация приводится в примечаниях к релизу.

Подготовка клиента Intel^® AMT к использованию    

Процесс настройки (инициализации) клиента AMT включает переключение клиента из режима установки и настройки в рабочий режим. Для перехода в режим настройки необходимо, чтобы поставщик системы настроил первоначальную информацию (которая зависит от версии AMT).  Для активации технологии Intel AMT необходимо расширение Intel^® Manageability Engine BIOS (Intel^® MEBx), внедренное поставщиком системы. Для установки и настройки можно использовать приложение для удаленного управления. Для разных версий AMT предусмотрены разные способы установки. Дополнительная информация приводится в документации по установке и настройке.

Выпуски AMT                                                                 Способ установки   
1.x; плюс 2.x, 3.x в старом режиме                              Старый
2.x, 3.x, 4.x, 5.x                                                               SMB
2.0 и более поздние версии                                          PSK
2.2, 2.6, 3.0 и более поздние версии                            PKI  (удаленно)      
6.0 и более поздние версии                                          Вручную      
7.0 и более поздние версии                                          Режим управления для клиента и режим управления для администратора
10.0                                                                                 Теперь поддерживаются безопасные имена FQDN

ПО Intel® Setup and Configuration Software (Intel® SCS) может выполнять инициализацию систем версии Intel AMT 2.X. Дополнительная информация о ПО Intel SCS и способах инициализации для разных выпусков Intel AMT приводится на странице: Загрузка последней версии Intel® Setup and Configuration Service (Intel® SCS).

Советы по ручной настройке

Настройка вручную выполняется в меню Intel MEBx, которое становится доступно сразу после отображения экрана запуска BIOS (обычно для этого необходимо нажать клавиши <Ctrl+P>). Иногда BIOS предоставляет возможность скрыть приглашение на нажатие <Ctrl+P>. 

Чтобы вручную настроить клиент Intel AMT, выполните следующие действия:

1. Введите пароль Intel MEBx по умолчанию (admin).
2. Замените пароль Intel MEBx по умолчанию новым безопасным паролем (обязательно).  Данный пароль должен содержать не менее восьми символов и как минимум одну заглавную букву, одну строчную букву, одну цифру и один специальный символ. Примечание. Приложение консоли управления может изменить пароль Intel AMT, не изменяя пароль Intel MEBx.
3. Выберите пункт Intel^® AMT Configuration (Настройка Intel^® AMT).
4. Выберите Manageability Feature Selection (Выборфункцийуправления).
   1. Выберите ENABLED (ВКЛЮЧЕНО), чтобы активировать технологию Intel^® AMT.
5. Выберите SOL/IDE-R/KVM и активируйте все эти функции. Включение режима Legacy Redirection Mode (Режим перенаправления старых устройств) обеспечивает совместимость с консолями управления, созданными для работы со старым режимом SMB, который не оснащен механизмом включения приемника. Обратите внимание, что, если в Intel MEBx не включены функции SOL/IDER/KVM, они будут недоступны для консолей управления.
6. Выберите User Consent (Разрешение пользователя).
   1. Выберите нужные параметры для операций KVM и Remote IT (Удаленное управление ИТ). Если включен режим разрешения пользователя, каждый раз при удаленном доступе к клиенту Intel AMT необходимо будет получить разрешение пользователя.
7. Введите Network Setup (Настройка сети), чтобы задать параметры сети для Intel ME.
8. Введите Activate Network Access (Активировать доступ к сети), чтобы включить Intel AMT.
9. Вернитесь в главное меню.
10. Выберите MEBx Exit (Выйти из MEBx), чтобы продолжить процесс загрузки системы.

Платформа настроена. Дополнительные параметры можно задать с помощью веб-интер­фейса или приложения консоли удаленного управления.

Режим управления для клиента и режим управления для администратора

По завершении установки, вне зависимости от способа, Intel AMT 7.0 и более поздние версии переходят в один из двух режимов управления.

Режим управления для администратора — после установки с помощью меню Intel MEBx или удаленной установки Intel AMT переходит в режим управления для администратора. В этом режиме доступны все функции Intel AMT по причине высокого уровня доверия пользователю, применившему данные способы установки.

Режим управления для клиента — в этот режим Intel AMT переходит после базовой установки на сервере (локально). В нем недоступны некоторые функции Intel AMT по причине низкого уровня доверия, необходимого для установки на сервере. Применяются следующие ограничения:

1. Функция защиты системы недоступна.
2. Для выполнения действий перенаправления (IDE-R и KVM, но не инициирование сеанса SOL) и изменения параметров загрузки (включая загрузку в SOL) необходимо предварительно получить разрешение пользователя. Однако и в этом случае
   ИТ-специалисты могут удаленно решать проблемы конечного пользователя с помощью Intel AMT.
3. Если создана учетная запись аудитора, то для отмены инициализации разрешение аудитора не требуется.
4. Ряд функций заблокирован, чтобы не позволить ненадежному пользователю управлять платформой.
   
   Примечание. В AMT 9.0 и последующие версии добавлена возможность удаленно настраивать платформу, не оснащенную средствами контроля, без разрешения локального пользователя.

Доступ к клиентам Intel^® AMT через веб-интерфейс

Администратор с правами пользователя может удаленно подключиться к клиенту Intel AMT через веб-интерфейс, если введет в адресную строку браузера IP-адрес или имя FQDN клиента, а затем номер порта.  Если протокол TLS НЕ настроен, используйте http и порт 16992; в противном случае используйте https и порт 16993:      

           Пример. http://134.134.176.1:16992     или     https://amtsystem.domain.com:16993

Чтобы получить доступ к клиенту Intel AMT по технологии Serial Over LAN (SOL), необходимо установить драйвер SOL. 

Службы локального управления (LMS) и уведомления пользователей (UNS) Intel AMT

Служба локального управления (LMS) выполняется локально на устройстве Intel AMT и позволяет локальным приложениям для управления отправлять запросы и принимать ответы устройства. LMS прослушивает и перехватывает запросы, направленные на локальный сервер Intel AMT, чтобы затем передать их в Intel ME через драйвер интерфейса Intel ME.

Обратите внимание, что в Intel AMT 9.0 и более поздних выпусках службы локального управления и уведомления пользователей объединены. UNS регистрируется на устройстве Intel AMT для получения набора оповещений. Получив оповещение, UNS заносит его в журнал событий Windows Application. В качестве источника событий указывается Intel^® AMT.

Инструмент состояния управления и безопасности Intel (IMSS)

Чтобы получить доступ к инструменту IMSS, воспользуйтесь значком «синей кнопки» в области уведомлений Windows.

На вкладке General (Общие) в инструменте IMSS указано состояние служб Intel vPro, доступных на платформе, а также хронология событий. На других вкладках представлены дополнительные сведения.

На вкладке Advanced (Дополнительно) инструмента IMSS представлена более подробная информация о конфигурации и функциях Intel AMT. Представленный ниже снимок экрана подтверждает, что в системе настроена Intel AMT.

Intel AMT Software Development Kit (SDK)

Intel® AMT Software Development Kit (SDK) обеспечивает низкоуровневые возможности программирования, с помощью которых можно создавать приложения для управления, использующие все функции Intel AMT.

Пакет средств для разработки ПО на основе Intel AMT представляет собой образец кода и набор API-интерфейсов, позволяющих разработчикам просто и быстро добавить в приложения поддержку Intel AMT. Помимо этого, в пакет входит полный набор документации. Данный пакет средств для разработки ПО поддерживает C++ и C# в операционных системах Microsoft Windows и Linux. Важная информация по сборке образцов приведена в Руководстве пользователя и в файлах Readme в каждом из каталогов. 

SDK предоставляется как набор каталогов, который можно скопировать в любое выбранное место в системе для разработки. Поскольку компоненты взаимосвязаны, структуру каталога необходимо копировать целиком. На верхнем уровне находятся три папки, одна из которых называется DOCS (документация). Две другие содержат образец кода для Linux и для Windows. Дополнительная информация по началу работы и использованию данного пакета средств для разработки ПО приводится в "Руководстве по внедрению и применению Intel® AMT..”

Ниже представлен снимок экрана из «Руководства по внедрению и применению Intel® AMT». Дополнительная информация о требованиях к системе и инструкции по сборке образца кода приводятся в разделе «Использование пакета средств для разработки ПО на основе Intel® AMT SDK». Данная документация представлена в сети Intel® Software Network на этой странице: Пакет средств для разработки ПО на основе Intel® AMT (последний выпуск)

Другие ресурсы информации о Intel AMT SDK

Intel AMT SDK содержит платформы и образцы для упрощенной разработки приложений по стандарту WS-Management. Кроме того, в этот пакет входят примеры использования расширенных возможностей данного продукта. Дополнительная информация приводится на следующих страницах:

• • Высокоуровневый API-интерфейс
• Intel vPro Platform Solution Manager

Существует много разных средств разработки, для которых пишут ПО с поддержкой Intel AMT. Инструменты Intel vPro Enablement Tools доступны только в C++ (оболочка C# в пакете средств для разработки ПО), и для них требуется COM-объект, подготовленный Microsoft (не просто .NET). Примечание. Поддержка SOAP полностью удалена из пакета средств для разработки ПО в AMT 9.0 и более поздних версиях. 

Об авторе

Коллин Калбертсон — инженер-прикладник, работающий в группе Scale Enabling подразделения Intel Developer Relation Division в Орегоне. Ее опыт работы в Intel составляет более 15 лет. Она сотрудничает с различными рабочими группами и заказчиками и помогает разработчикам оптимизировать созданный ими код.

Intel, эмблема Intel и vPro являются товарными знаками корпорации Intel в США и в других странах.

© Intel Corporation, 2014. Все права защищены.
* Прочие наименования и товарные знаки могут быть собственностью третьих лиц.

¹ Intel AMT необходимо активировать. Для применения этой технологии требуется система с подключением к сети Intel, чипсет с поддержкой Intel^® AMT и соответствующее ПО. Для портативных компьютеров технология Intel AMT может быть недоступна или ограниченно доступна через беспроводное подключение к VPN на основе ОС сервера при включении, переходе в режим сна или гибернации либо при выключении. Результаты зависят от оборудования, установки и настройки. За дополнительной информацией обращайтесь на страницу Intel® Active Management Technology.

² Intel^® vPro™ — интеллектуальная технология, которую необходимо установить и активи­ровать. Доступность ее функций и результаты работы с нею будут зависеть от установки
и настроек оборудования, ПО и ИТ-среды. Дополнительную информацию см. на веб-сайте : http://www.intel.com/technology/vpro.