Введение
Приблизительно два года назад мы разместили на своих страницах материал, описывающий применение Adder IPEPS в качестве аппаратного решения, помогающего системным администраторам производить антивирусную проверку и даже переустановку операционной системы. Стоит особо подчеркнуть, что речь шла об антивирусной проверке и настройке BIOS в случае частичной неработоспособности операционной системы, когда использование стандартных средств удалённого доступа, таких как RDP, RAdmin и RealVNC, не представляется возможным. Сегодня мы представляем нашим читателям ещё один способ управления рабочими станциями без использования внешних устройств.
Функции
Intel AMT включает аппаратное удаленное управление, безопасность, управление питанием и функции удаленной настройки, которые обеспечивают независимый удаленный доступ к компьютерам с поддержкой AMT. Intel AMT — это технология безопасности и управления, встроенная в ПК с технологией Intel vPro .
Intel AMT использует аппаратный внеполосный (OOB) канал связи, который работает независимо от наличия работающей операционной системы. Канал связи не зависит от состояния питания ПК, наличия агента управления и состояния многих аппаратных компонентов, таких как жесткие диски и память .
Большинство функций AMT доступны вне зависимости от состояния питания ПК. Для других функций требуется включение ПК (например, перенаправление консоли через последовательный порт через LAN (SOL), проверка присутствия агента и фильтрация сетевого трафика). Intel AMT имеет возможность удаленного включения.
Аппаратные функции могут быть объединены со сценариями для автоматизации обслуживания и ремонта.
Аппаратные функции AMT на портативных и настольных ПК включают:
- Зашифрованный удаленный канал связи для сетевого трафика между ИТ-консолью и Intel AMT.
- Возможность для проводного ПК (физически подключенного к сети) вне брандмауэра компании в открытой локальной сети установить безопасный коммуникационный туннель (через AMT) обратно к ИТ-консоли. Примеры открытой локальной сети включают проводной портативный компьютер дома или на узле , на котором нет прокси-сервера.
- Удаленное включение / выключение / цикл питания через зашифрованный WOL .
- Удаленная загрузка через встроенное перенаправление электроники устройства (IDE-R).
- Перенаправление консоли через последовательный порт через LAN (SOL).
- .
- Аппаратные фильтры для мониторинга заголовков пакетов во входящем и исходящем сетевом трафике на предмет известных угроз (на основе программируемых таймеров ), а также для мониторинга известных / неизвестных угроз на основе эвристики, основанной на времени . Ноутбуки и настольные ПК имеют фильтры для отслеживания заголовков пакетов. Настольные ПК имеют фильтры заголовков пакетов и временные фильтры.
- Схема изоляции (ранее и неофициально называемая Intel «автоматическим выключателем») для блокировки портов, ограничения скорости или полной изоляции ПК, который может быть взломан или заражен.
- Проверка присутствия агента с помощью аппаратных программируемых таймеров на основе политик . «Промах» порождает событие; и это также может вызвать предупреждение.
- Оповещение OOB.
- Постоянный журнал событий, хранящийся в защищенной памяти (не на жестком диске).
- Доступ (предварительная загрузка) к универсальному уникальному идентификатору ПК (UUID).
- Доступ (Preboot) информация об аппаратных активов, таких как производитель и — модели компоненты, который обновляется каждый раз , когда система проходит через самоконтроль при включении питания (POST).
- Доступ (предварительная загрузка) к стороннему хранилищу данных (TPDS), защищенной области памяти, которую могут использовать поставщики программного обеспечения, в которой хранится информация о версии, файлах .DAT и другой информации.
- Варианты удаленной настройки, включая удаленную настройку без касания на основе сертификатов, настройку USB-ключа (легкое касание) и ручную настройку.
- Protected Audio / Video Pathway для защиты воспроизведения носителей, защищенных DRM .
Ноутбуки с AMT также включают беспроводные технологии:
- Поддержка беспроводных протоколов IEEE 802.11 a / g / n
-
Совместимые с Cisco расширения для передачи голоса по WLAN
Introduction
This document contains information on how to get started with Intel Active Management Technology (Intel AMT). It provides an overview of the features, as well as information on minimum system requirements, configuration of an Intel AMT client, tools to use Intel AMT features on a PC, and the developer tools available to help create applications for Intel AMT.
There are many tools available in the market from Intel, third party and open source communities to help you utilize Intel AMT features on PCs. Intel currently provides and supports both Intel System Configuration Software (Intel SCS), Intel Manageability Commander (Intel MC) and Intel Endpoint Management Assistant (Intel EMA). This quick start guide focuses on using Intel SCS and Intel MC to provision and use Intel AMT features on PCs. If you are interested to use the cloud-based Intel EMA solution, please refer to the quick start guide for Intel EMA, which is included in the Intel EMA download package on Intel.com.
Расширение возможностей и создание приложений
Для более эффективно администрирования системы на базе Intel AMT и упрощения процесса разработки приложений для третьих фирм корпорация Intel предоставляет эффективный набор инструментов – пакет Active Management Technology Software Development Kit (AMT SDK). Он распространяется в рамках программы поддержки разработчиков ПО и предназначен для использования на основе договора о неразглашении (Non-Disclosure Agreement) с корпорацией Intel.
В состав SDK и комплекта интерфейсов прикладного программирования входят вызовы, отвечающие за управление энергонезависимой памятью, удаленное управление и другие функции. Сетевые интерфейсы Intel AMT реализованы на основе Simple Object Access Protocol (SOAP) и доступны в SDK в виде файлов формата Web Services Description Language (WSDL). Поддерживаются любые языки, имеющие поддержку стека SOAP, и любые операционные системы, включая Windows и Linux.
Software Development Kit содержит полную документацию на подсистемы Intel Active Management, описание программного интерфейса (API) и библиотек, позволяющих в полной мере задействовать заложенные в AMT возможности.
Intel AMT Storage Library — статическая библиотека, позволяющая получить локальный или удаленный доступ к энергонезависимой памяти на любых компьютерах, поддерживающих Intel AMT. Компонент Intel AMT Redirection Library позволяет перенаправлять команды по локальной сети с помощью функции Serial over LAN (SOL), а также загружать любую систему удаленно с помощью функции IDE Redirection (IDE-R). Библиотека Error ID Conversion Library отвечает за конвертирование сообщений об ошибках Intel AMT в обычный строчный формат.
Один из компонентов SDK – Intel AMT Host Emulator представляет собой программный эмулятор, позволяющий имитировать поддержку Intel AMT на любом оборудовании. AMT SDK поставляется сразу в двух «версиях» — для Windows и для Linux (в Linux-версии Host Emulator не предусмотрен).
Все компоненты SDK размещаются в отдельных каталогах и могут быть скопированы на любое место на жестком диске системы. При «инсталляции» обязательно требуется сохранить структуру папок такой же, как и в дистрибутиве, так как компоненты SDK взаимозависимы.
Для полноценной работы Software Development Kit необходимо установить Microsoft Platform SDK и Microsoft Visual Studio 2003 (при помощи которого и будут компилироваться выбранные компоненты пакета).
Software Development Kit регулярно обновляется. Последняя версия пакета включает в себя множество улучшений, повышающих эффективность платформы и увеличивающих скорость работы сисадминов
Внимание участников рынка привлекла интересная особенность нового издания – «Wake on ME». По уверениям разработчиков – новая особенность ПО поможет минимизировать энергопотребление платформы в целом
Чтобы пользователи могли быстро и комфортно создавать консольные приложения для Active Management Technologies, в комплект входит Reference Design Kit. С его помощью разработчики могут создавать свои собственные консольные решения для Active Management Technologies. А наличие полного исходного кода позволит создавать полнофункциональные приложения и легко изменять их в случае необходимости.
Еще одна составная часть специализированного программного обеспечения Active Management Technologies — Setup and Configuration Service (SCS) — автоматизирует начальную конфигурацию платформ и настройку их параметров, позволяющую в дальнейшем администрировать их удаленно. SCS общается с устройствами, поддерживающими AMT, через SOAP API, и использует базу данных SQL Server для сохранения конфигураций, хранимых процедур и журналов, связанных с системными действиями.
Удаленное управление
Intel AMT — это набор функций управления и безопасности, встроенных в ПК vPro, который упрощает системному администратору мониторинг, обслуживание, безопасность и обслуживание ПК. Intel AMT (технология управления) иногда («платформа» ПК), потому что AMT — одна из наиболее заметных технологий ПК на базе Intel vPro.
Intel AMT включает:
- Зашифрованное дистанционное включение / выключение / сброс (через wake-on-LAN или WOL)
- Удаленная / перенаправленная загрузка (через встроенное перенаправление электроники устройства или IDE-R)
- Перенаправление консоли (через последовательный порт через LAN или SOL)
- Предзагрузочный доступ к настройкам BIOS
- Программируемая фильтрация входящего и исходящего сетевого трафика.
- Проверка присутствия агента
- Внеполосное оповещение на основе политик
- Доступ к системной информации, такой как универсальный уникальный идентификатор ПК (UUID), информация об аппаратных активах, постоянные журналы событий и другая информация, которая хранится в выделенной памяти (а не на жестком диске), где она доступна, даже если ОС не работает или компьютер выключен.
Аппаратное управление было доступно в прошлом, но оно ограничивалось автоконфигурацией (компьютеров, которые его запрашивают) с использованием DHCP или BOOTP для динамического распределения IP-адресов и рабочих станций без дисков, а также пробуждения по локальной сети. для удаленного включения систем.
Пульт дистанционного управления KVM на основе VNC
Начиная с vPro с AMT 6.0, ПК с процессорами i5 или i7 и встроенной графикой Intel теперь содержат проприетарный встроенный сервер VNC . Вы можете подключаться по внеполосному каналу с помощью специальной технологии просмотра, совместимой с VNC, и иметь все возможности KVM (клавиатура, видео, мышь) на протяжении всего цикла питания, включая непрерывное управление рабочим столом при загрузке операционной системы. Такие клиенты, как VNC Viewer Plus от RealVNC, также предоставляют дополнительные функции, которые могут упростить выполнение (и просмотр) определенных операций Intel AMT, таких как выключение и включение компьютера, настройка BIOS и установка удаленного образа (IDER).
Не все процессоры i5 и i7 с vPro могут поддерживать KVM. Это зависит от настроек BIOS OEM, а также от наличия дискретной видеокарты. Только встроенная графика Intel HD поддерживает KVM.
Уязвимость в Intel AMT оказалась серьёзнее, чем думали +31
- 08.05.17 09:27
•
alizar
•
#288973
•
Гиктаймс
•
•
24600
Железо, Информационная безопасность, Настольные компьютеры
1 мая 2017 года компания Intel сообщила о критической уязвимости в технологии Active Management Technology (AMT) (уязвимость INTEL-SA-00075, она же CVE-2017-5689). Уязвимость нашёл Максим Малютин из компании Embedi, но держал её в секрете по просьбе Intel до официального анонса.
Intel AMT — это аппаратная технология, предоставляющая удалённый и внеполосный (по независимому вспомогательному каналу TCP/IP) доступ для управления настройками и безопасностью компьютера независимо от состояния питания (удалённое включение/выключение компьютера) и состояния ОС. Технология интегрирована в чипсет. Если использовать её как антируткит для сканирования оперативной памяти и накопителей ПК, то не существует способов обойти такую защиту. Хуже того, удалённые запросы к AMT не заносятся в системный журнал.
Сейчас запрос к Shodan выдаёт более 8500 систем с открытыми портами AMT. Для некоторых прошивок BIOS до сих пор не вышли патчи, исправляющие баг в AMT.
Технология AMT позволяет системным администраторам в удалённом режиме осуществлять различные действия в системе: включать выключенные компьютеры, изменять код загрузчика, управлять устройствами ввода, исполняемыми программами и т. д. Фактически, AMT позволяет в удалённом режиме выполнять все те действия, которые вы можете сделать, имея физический доступ к ПК.
Прочитав описание технологии, вы можете начать фантазировать, какие возможности получает хакер, имея удалённый доступ к выключенному компьютеру с технологией AMT. Так вот, ваши фантазии оказались правдой. Удалённый доступ к AMT предоставляется через веб-интерфейс в браузере. Как выяснил Максим, для дайджест-аутентификации доступа подходит любой криптографический хеш или вовсе никакого. То есть соответствующее поле а форме авторизации можно вообще оставить пустым.
Это даже не похоже на бекдор, потому что кто будет реализовывать его таким топорным способом?
Уязвимы системы после 2010-2011 гг выпуска (список уязвимых прошивок см. ниже). Это на 100% не RCE, а скорее логическая уязвимость. Максим Малютин считает, что есть несколько векторов атаки, как злоумышленник может использовать эту уязвимость, возможно, даже на системах Intel без поддержки Intel AMT.
«Аутентификация по-прежнему работает, — объяснил Малютин. — Мы просто нашли способ полного её обхода».
Через веб-браузер можно получить полный доступ к функциям AMT, как будто вызнаете админский пароль в системе. Вот как это делается с помощью локального прокси на 127.0.0.1:16992:
выпустила эксплойтплагина Nessusсообщение от HPот Dellот Lenovoот FujitsuСписок пропатченных прошивок от Intel
| Уязвимые версии прошивки |
Соответствующее поколение CPU |
Пропатченные прошивки |
|---|---|---|
| 6.0.xx.xxxx | 1st Gen Core | 6.2.61.3535 |
| 6.1.xx.xxxx | 6.2.61.3535 | |
| 6.2.xx.xxxx | 6.2.61.3535 | |
| 7.0.xx.xxxx | 2nd Gen Core | 7.1.91.3272 |
| 7.1.xx.xxxx | 7.1.91.3272 | |
| 8.0.xx.xxxx | 3rd Gen Core | 8.1.71.3608 |
| 8.1.xx.xxxx | 8.1.71.3608 | |
| 9.0.xx.xxxx | 4th Gen Core |
9.1.41.3024 |
| 9.1.xx.xxxx | 9.1.41.3024 | |
| 9.5.xx.xxxx | 9.5.61.3012 | |
| 10.0.xx.xxxx | 5th Gen Core | 10.0.55.3000 |
| 11.0.xx.xxxx | 6th Gen Core | 11.0.25.3001 11.0.22.3001 11.0.18.3003 |
| 11.5.xx.xxxx | 7th Gen Core | 11.6.27.3264 |
| 11.6.xx.xxxx | 11.6.27.3264 11.6.12.3202 |
официальный инструмент
Требования для поддержки Intel AMT
- Сетевое подключение Intel Ethernet i218-LM*
- Двухдиапазонный адаптер беспроводной сети Intel AC 8260 или аналогичный*
- Драйвер интерфейса Intel Management Engine Interface (Intel MEI)
- Драйвер последовательной передачи по локальной сети (SOL)
- Служба локального управления приложениями Intel Management and Security Status (Intel MSS) **
- Приложение Intel AMT Management and Security Status **
- Драйверы HID-устройств (мыши и клавиатуры) ***
* Версии сетевого контроллера и беспроводного интерфейса будут различаться в зависимости от поколения платформы Intel vPro.
** В составе полного пакета драйверов для Intel MEI (набор микросхем).
*** Драйверы HID-устройств необходимы при подключении через Intel AMT KVM. С драйверами по умолчанию обычно не возникает проблем, но мы сталкивались с затруднениями при использовании нестандартных установок ОС. Если подключение установлено к устройству без HID-драйверов, ОС пытается автоматически установить эти драйверы. После установки заново установите подключение KVM.Примечание.
Служба — Intel Active Management Technology LMS Service
Рисунок 4. Драйвер интерфейса Intel Management EngineКомпьютерУправление компьютером > Системные программы > Просмотр событий > Приложение
Утверждения, что Я — бэкдор
Критики, такие как Electronic Frontier Foundation (EFF), разработчики Libreboot и эксперт по безопасности Дэмиен Заммит, обвинили ME в том, что это бэкдор и проблема конфиденциальности. Заммит подчеркивает, что ME имеет полный доступ к памяти (без каких-либо сведений о ядрах ЦП, контролируемых владельцем), имеет полный доступ к стеку TCP / IP и может отправлять и получать сетевые пакеты независимо от операционной системы, таким образом обходя свой брандмауэр. .
В ответ Intel сказала, что «Intel не закрывает глаза на свои продукты, и наши продукты не предоставляют Intel контроль или доступ к вычислительным системам без явного разрешения конечного пользователя». и «Intel не разрабатывает и не будет разрабатывать бэкдоры для доступа к своим продуктам. Недавние отчеты, утверждающие иное, неверны и явно ложны. Intel не участвует в каких-либо усилиях по снижению безопасности своей технологии».
В контексте критики Intel ME и AMD Secure Technology было указано, что бюджетный запрос Агентства национальной безопасности (NSA) на 2013 год содержал проект Sigint Enabling Project с целью «Вставить уязвимости в коммерческие системы шифрования, ИТ-системы, … », И высказывались предположения, что Intel ME и AMD Secure Technology могут быть частью этой программы.
Getting Started
Intel AMT is available on PCs built on the Intel vPro platform. You can identify those by looking for the Intel vPro sticker on the PC. In order to manage an Intel AMT client, you need to use management tools on a different PC which does not need to be a vPro platform. Refer to the Intel AMT Implementation and Reference Guide located in the Docs folder of the Intel AMT SDK for more details.
What is Intel Active Management Technology?
Intel AMT is part of the Intel vPro technology offering. Platforms equipped with Intel AMT can be managed remotely, regardless of its power state or if it has a functioning OS or not.
The Intel Converged Security and Management Engine (Intel CSME) powers the Intel AMT system. As a component of the Intel vPro platform, Intel AMT uses a number of elements in the Intel vPro platform architecture. Figure 1 shows the relationship between these elements.
Figure 1 Intel Active Management Technology Architecture
Note the network connection associated with the Intel Management Engine (Intel ME). The LAN component on the motherboard changes according to which Intel vPro platform you are using, which can affect what Intel AMT features are available.
- The Intel CSME firmware contains the Intel AMT functionality.
- Flash memory stores the firmware image.
- The Intel AMT capability can be enabled by using Intel CSME as implemented by the PC manufacturer. A remote Setup and Configuration server performs the enterprise setup (provisioning) and configuration.
- On power-up, the firmware image is copied into the Double Data Rate (DDR) RAM.
- The firmware executes on the Intel processor with Intel ME and uses a small portion of the DDR RAM (Slot 0) for storage during execution. RAM slot 0 must be populated and powered on for the firmware to run.
Intel AMT stores the following information in flash (Intel ME data):
- PC manufacturer-configurable parameters:
- Setup and configuration parameters such as passwords, network configuration, certificates, and access control lists (ACLs)
- Other configuration information, such as lists of alerts and Intel AMT System Defense policies
- The hardware configuration captured by the BIOS at startup
Features with the Intel Active Management Technology SDK
- Intel CSME started with Intel AMT 11. Prior to Intel AMT 11 Intel CSME was called Intel Management Engine BIOS Extension (Intel MEBX).
- MOFs and XSL files: The MOFs and XSL files in the \DOCS\WS-Management directory and the class reference in the documentation are at version 14.0.0.1139.
- WS-Eventing and PET table argument fields: Additional arguments added to the CILA alerts provide a reason code for the UI connection and the hostname of the device which generates the alert.
- OpenSSL version: The OpenSSL version is at v2.0. The redirection library has also been updated.
- Xerces version: Both Windows* and Linux* have v2.12.1 of the Xerces library.
- HTTPS support for WS events: Secure subscription to WS Events is enabled.
- Remote Secure Erase through Intel AMT boot options: The Intel AMT reboot options has an option to securely erase the primary data storage device.
- DLL signing with strong name: The following DLLs are now signed with a strong name: CIMFramework.dll, CIMFrameworkUntyped.dll, DotNetWSManClient.dll, IWSManClient.dll, and Intel.Wsman.Scripting.dll
- Automatic platform reboot triggered by HECI and Agent Presence watchdogs: An option to automatically trigger a reboot whenever a HECI or Agent Presence watchdog reports that its agent has entered an expired state.
- Storage redirection now works over the USB-R protocol rather than the IDE-R protocol.
- A series of SHA256 certificates are implemented.
Сеанс и аутентификация
- Удаленная консоль запрашивает данные по аутентификации у BMC
- BMC посылает ответ о поддерживаемых типах аутентификации (none, password, алгоритмы MD2 и MD5 и т.д.)
- Удаленная консоль посылает команду о выбранном типе аутентификации и отправляет логин пользователя
- Если пользователь имеет привилегии доступа к каналу, BMC посылает ответ, содержащий ID сеанса. Благодаря назначению ID, несколько сеансов могут работать одновременно на одном канале (согласно требованиям спецификации ― не менее четырех одновременных сессий)
- Удаленная консоль посылает запрос активации сеанса. Запрос содержит ID сеанса и аутентификационную информацию (имя пользователя, пароль, ключи ― зависит от выбранного типа аутентификации)
- BMC верифицирует информацию о пользователе, утверждает ID сеанса и посылает ответ об активации
Структура IPMI-команд
- Network Function (NetFn) присваивает команде значение кластера, к которому команда относится (команды шасси, событий, хранилища и т. д.)
- Поле Request/Response Identifier нужно, чтобы различать запросы и ответы
- Requester’s ID — информация об источнике сообщения. Например, для IPMB эта информация содержит LUN (Logical Unit Number) устройства
- Responder’s ID адресует запрос к желаемому ответчику
- Command — уникальные в рамках Network Function команды
- Data — дополнительные параметры (например, данные, возвращаемые в ответе)
- BMC ― MCs, Sensors, Storage (IPMB)
- BMC ― управляемая платформа (System Interface)
- BMC ― удаленный администратор (LAN, Serial Interface)
- Serial IPMB
- Serial System Interface
- LAN IPMB
- LAN System Interface
- Serial PCI Management Bus
- LAN PCI Management Bus
- Другие комбинации, в том числе Serial LAN
Intel Active Management Technology Software Development Kit (SDK)
The Intel AMT Software Development Kit (SDK) provides low-level programming capabilities so developers can build manageability applications that take full advantage of Intel AMT.
The Intel AMT SDK provides sample code and a set of APIs that let developers easily and quickly incorporate Intel AMT support into their applications. The SDK also includes a full set of HTML documentation.
The SDK supports C++ and C# on Microsoft Windows and Linux operating systems. Refer to the User Guide and the Readme files in each directory for important information on building the samples.
The SDK, as delivered, is a set of directories that can be copied to any location. The directory structure should be copied in its entirety due to the interdependencies between components. There are three folders at the top level: DOCS (contains SDK documentation), and one each for Linux and Windows (sample code.) For more information on how to get started and how to use the SDK, see the Intel AMT Implementation and Reference Guide.
As illustrated by the screenshot in Figure 9 of the Intel AMT Implementation and Reference Guide, you can get more information on system requirements and how to build the sample code by reading the Using the Intel AMT SDK section. The documentation is available on the Intel Software Network here: Intel AMT SDK.
Figure 9 Intel AMT Implementation and Reference Guide
Что такое IPMI
- Проводить мониторинг физического состояния оборудования, например, проверять температуру отдельных составляющих системы, уровни напряжения, скорость вращения вентиляторов
- Восстанавливать работоспособность сервера в автоматическом или ручном режиме (удаленная перезагрузка системы, включение/выключение питания, загрузка ISO-образов и обновление программного обеспечения)
- Управлять периферийными устройствами
- Вести журнал событий
- Хранить информацию об используемом оборудовании
выделенных серверовсерверов произвольной конфигурации
| Производитель | Технология на основе IPMI |
|---|---|
| Cisco | Cisco IMC (Integrated Management Controller) |
| DELL | iDRAC (Integrated Dell Remote Access Card) |
| HP | iLO (Integrated Lights-Out) |
| IBM | IMM (Integrated Management Module) |
| Lenovo | IMM (Integrated Management Module) |
| Supermicro | SIM (Supermicro Intelligent Management) |
- Наглядностью информации о состоянии оборудования
- Уникальным набором приложений для восстановления работоспособности сервера, если отказали какие-либо комплектующие
- Возможностью собирать статистику по всем комплектующим сервера, в том числе подключенным через карты расширения PCI, NVM и т.д.
- Использование технологии не только в серверном оборудовании, но и с обычными компьютерами через платы расширения PCI-Express
Приступая к работе
руководстве по внедрению и в справочном руководстве Intel AMT
Что такое Intel Active Management?
Рисунок 1. Архитектура технологии Intel Active Management 11
- Микропрограмма CSME содержит функциональность Intel AMT.
- Во флеш-памяти хранится образ микропрограммы.
- Для поддержки возможностей Intel AMT можно использовать ядро CSME, реализованное ОЕМ-производителем платформы. Удаленное приложение осуществляет установку и настройку корпоративной системы.
- После включения микропрограмма копируется в оперативную память.
- Микропрограмма выполняется на процессоре Intel с Intel ME и использует небольшую часть оперативной памяти (разъем 0) для хранения данных при выполнении. Поэтому для работы микропрограммы необходимо, чтобы в разъеме 0 был установлен модуль оперативной памяти и чтобы этот разъем был включен.
- Параметры, настраиваемые OEM-производителем:
- Параметры настройки, например пароли, конфигурация сети, сертификаты и списки управления доступом.
- Прочие данные конфигурации, например списки оповещений и политики защиты системы Intel AMT.
- Конфигурация оборудования, определенная в BIOS при запуске компьютера.
- Сведения о платформах 2016 года, поддерживающих технологию Intel vPro (выпуск 11.x):
- Технологический процесс 14-нм
- Платформа (мобильные устройства и настольные компьютеры)
- Процессор Intel Core 6-го поколения
- ЦП: SkyLake
- Узел контроллера платформы: Sunrise Point
Новые возможности SDK Intel Active Management Technology версии 11.0
- CSME — новая архитектура Intel AMT 11. До Intel AMT 11 ядро CSME называлось Intel Management Engine BIOS Extension (Intel MEBx).
- Файлы MOFs и XSL: файлы MOFs и XSL в папке \DOCS\WS-Management и справочные материалы по классам в документации относятся к версии 11.0.0.1139.
- Новые поля событий WS и аргументов PET: дополнительные аргументы, добавленные к оповещениям CILA, предоставляют код причины для подключения пользовательского интерфейса и имя хоста устройства, выдавшего оповещение.
- Обновленная версия OpenSSL *: Версия OpenSSL — v1.0. Также обновлена библиотека перенаправления.
- Обновленная версия Xerces: в Windows и в Linux используется библиотека Xerces версии 3.1.2.
- Поддержка HTTPS для событий WS: поддерживается безопасная подписка на события WS.
- Удаленное безопасное стирание через параметры загрузки Intel AMT: среди параметров загрузки Intel AMT есть возможность безопасно удалить все данные с основного устройства хранения данных.
- Подписание DLL-библиотек с помощью строгого имени: следующие библиотеки DLL теперь подписаны с помощью строгого имени: CIMFramework.dll, CIMFrameworkUntyped.dll, DotNetWSManClient.dll, IWSManClient.dll и Intel.Wsman.Scripting.dll.
- HECI и модули наблюдения за наличием агентов включают автоматическую перезагрузку платформы: возможность автоматически включить перезагрузку всякий раз, когда HECI или модули наблюдения за наличием агентов сообщают о том, что срок действия агента истек.
- Замена протокола перенаправления хранилища IDE-R: перенаправление хранилища работает по протоколу USB-R вместо протокола IDE-R.
- Обновление SHA: сертификаты SHA1 упразднены, вместо них применена серия сертификатов SHA256.
Дизайн
Подсистема в основном состоит из проприетарного микропрограммного обеспечения, работающего на отдельном микропроцессоре, который выполняет задачи во время загрузки, когда компьютер работает, и когда он спит. Пока чипсет или SoC подключен к источнику тока (через батарею или источник питания), он продолжает работать, даже когда система выключена. Intel утверждает, что ME требуется для обеспечения полной производительности. Его точная работа в значительной степени недокументирована, а его код запутан с использованием конфиденциальных таблиц Хаффмана, хранящихся непосредственно в оборудовании, поэтому микропрограммное обеспечение не содержит информации, необходимой для декодирования его содержимого.
Аппаратное обеспечение
Начиная с ME 11, он основан на 32-битном процессоре Intel Quark x86 и работает под управлением операционной системы MINIX 3 . Состояние ME хранится в разделе флэш-памяти SPI с использованием встроенной файловой системы флэш-памяти (EFFS). Предыдущие версии были основаны на ядре ARC , а механизм управления работал под управлением ThreadX RTOS . Версии ME с 1.x по 5.x использовали ARCTangent-A4 (только 32-битные инструкции), тогда как версии 6.x по 8.x использовали более новый ARCompact (смешанная 32- и 16-битная архитектура набора команд ). Начиная с ME 7.1, процессор ARC может также выполнять подписанные апплеты Java .
ME имеет собственный MAC и IP-адрес для внеполосного интерфейса с прямым доступом к контроллеру Ethernet; одна часть трафика Ethernet перенаправляется на ME даже до того, как достигает операционной системы хоста, что поддерживается различными контроллерами Ethernet, экспортируется и становится настраиваемой через протокол передачи компонентов управления (MCTP). ME также связывается с хостом через интерфейс PCI. В Linux связь между хостом и ME осуществляется через / dev / mei или / dev / mei0 .
До выпуска Nehalem процессоров, МЭ не обычно встроен в материнскую плату в северный мост , после Memory Controller Hub макете (MCH). В более новых архитектурах Intel ( Intel серии 5 и выше) ME интегрирован в концентратор контроллера платформы (PCH).
Прошивка
Согласно текущей терминологии Intel по состоянию на 2017 год, ME является одним из нескольких наборов микропрограмм для конвергентного механизма безопасности и управления (CSME). До AMT версии 11 CSME назывался Intel Management Engine BIOS Extension (Intel MEBx).
- Management Engine (ME) — основные чипсеты
- Server Platform Services (SPS) — серверные чипсеты и SoC
- Trusted Execution Engine (TXE) — планшет / встроенный / с низким энергопотреблением
Российская компания Positive Technologies ( Дмитрий Скляров ) обнаружила, что версия 11 прошивки ME работает под управлением MINIX 3 .
Модули
- Технология активного управления (AMT)
- Intel Boot Guard (IBG) и безопасная загрузка
- Технология бесшумной системы (QST), ранее известная как Advanced Fan Speed Control (AFSC), которая обеспечивает поддержку акустически оптимизированного управления скоростью вращения вентилятора, а также мониторинг датчиков температуры, напряжения, тока и скорости вращения вентилятора, которые имеются в наборе микросхем, ЦП и другие устройства, присутствующие на материнской плате. Связь с подсистемой прошивки QST задокументирована и доступна через официальный комплект средств разработки программного обеспечения (SDK).
- Защищенный путь аудио-видео
- Intel Anti-Theft Technology (AT), производство прекращено в 2015 году.
- Последовательный через LAN (SOL)
- Intel Platform Trust Technology (PTT), доверенный платформенный модуль (TPM) на основе микропрограмм
- Near Field Communication , промежуточное программное обеспечение для считывателей NFC и поставщиков для доступа к картам NFC и обеспечения безопасного доступа к элементам, обнаруженное в более поздних версиях MEI.
Настройка Intel AMT:
Чтоб зайти в меню настройки Intel VPro (AMT) нажмите при загрузке компьютера Ctrl+P
Введите пароль Intel MEBx по умолчанию (admin).
Замените пароль Intel MEBx по умолчанию новым безопасным паролем (обязательно). Данный пароль должен содержать не менее восьми символов и как минимум одну заглавную букву, одну строчную букву, одну цифру и один специальный символ. Примечание. Приложение консоли управления может изменить пароль Intel AMT, не изменяя пароль Intel MEBx.
Выберите пункт Intel AMT Configuration (Настройка Intel AMT).
Выберите Manageability Feature Selection (Выбор функций управления).
Выберите ENABLED (ВКЛЮЧЕНО), чтобы активировать технологию Intel AMT.
Выберите SOL/IDE-R/KVM и активируйте все эти функции. Включение режима Legacy Redirection Mode (Режим перенаправления старых устройств) обеспечивает совместимость с консолями управления, созданными для работы со старым режимом SMB, который не оснащен механизмом включения приемника
Обратите внимание, что, если в Intel MEBx не включены функции SOL/IDER/KVM, они будут недоступны для консолей управления.
Выберите User Consent (Разрешение пользователя). Выберите нужные параметры для операций KVM и Remote IT (Удаленное управление ИТ)
Если включен режим разрешения пользователя, каждый раз при удаленном доступе к клиенту Intel AMT необходимо будет получить разрешение пользователя.
Введите Network Setup (Настройка сети), чтобы задать параметры сети для Intel ME.
Введите Activate Network Access (Активировать доступ к сети), чтобы включить Intel AMT.
Вернитесь в главное меню.
Выберите MEBx Exit (Выйти из MEBx), чтобы продолжить процесс загрузки системы.
Заключение
Мы убедились, что Intel Active Management Technology – технология, которая может сэкономить время и деньги компании, облегчить жизнь системным администраторам и повысить эффективность работы всех сотрудников компании в целом. Основные достоинства технологии – это работа как под ОС Windows, так и под ОС Linux, наличие программного эмулятора Intel Host Emulator и возможность разработки решений для удаленного администрирования компьютеров через внеполосное соединение независимо от установленной операционной системы.
Насколько выгодны эти возможности? По результатам исследований компании Intel – ежегодная экономия компании, использующей может составить до 24 миллионов долларов.
А чтобы пользователи Intel AMT SDK и других продуктов не чувствовали себя в одиночестве, на сайте компании Intel создано целое сообщество. Его основная цель – обеспечить системным администраторам прямую связь с разработчиками и инженерами Intel.
Валерий Семенов
09/01.2007
