Компания
1 056,21
рейтинг
17 февраля 2012 в 03:16

Разное → Про Intel vPro или как удалённо зайти в чужой BIOS



Когда-то давно, когда я ещё не был программистом, но с компьютерами уже дружил, технологии по типу RAdmin для меня были подобны чуду. Можно было подключиться к удалённому компьютеру, прямо как в самом крутом фильме про хакеров, открыть блокнот и написать там угрожающую надпись. Правда, пользоваться мне этим было негде.

Потом в мою жизнь пришёл ssh: осознание, что управляешь сервером за океаном сначала восхищало, а теперь уже стало обыденностью. Пока не наберешь случайно halt, ага. А потом начинаешь открывать админку хостера и пытаться зайти в консоль управления сервером, чтобы его запустить. А она почему-то сегодня тупит. Тогда пишешь в саппорт и нерничаешь. Не очень нравится. Но это мои личные программерские страхи.

Как-то на старой работе после смены администратора вновь пришедший решил навести порядок в компьютерном парке и для этого подходил к компьютеру, выгонял работника, скачивал Everest, запускал диагностику и сохранял результат в файл. Так, обойдя всего лишь ~60 рабочих мест на трёх этажах, он узнал, какое железо есть в его распоряжении. Неудобно.

И тут на сцену выходит Intel vPro.

Intel vPro – это такая штука, которая позволяет не бояться вещей, описанных выше и даже делать намного больше. Состоит vPro из двух компонентов: аппаратного и программного и про них я расскажу под катом.


Аппаратная часть



На аппаратном уровне нужен процессор и материнская плата (чипсет, как правило, начинается на Q, но нужно смотреть спецификации), поддерживающая vPro. В материнскую плату встроена гигабитная сетевая карта и видеоадаптер, которые способны на низкоуровневую работу. На практике это значит, что подключиться к компьютеру при помощи vPro можно без использования, мало того, что сетевых драйверов ОС, так и без самой ОС! И да, можно зайти в BIOS удалённо.

Поддерживается как проводное, так и беспроводное подключение. В случае WiFi полёта для фантазии не очень много – операционная система должна быть загружена и подключена к точке доступа, зато вот при использовании провода подключиться можно даже к выключенному компьютеру. Ну, так говорят маркетологи: на деле же выключенный компьютер можно включить и – далее как обычно.


Программная часть



Программная часть заключена в аббревиатуре AMT – это Intel Active Management Technology, которая обслуживает подключения и обладает огромными возможностями.

Сначала компьютер надо сконфигурировать для работы с vPro и для этого понадобится физический доступ. После этого его, если это сервер, можно потерять или замуровать в комнате, как в анекдотах про администраторов. В случае, если администратор находится с пациентом в одной локальной сети, проблем не возникает, если же нужный компьютер спрятан за NAT – придётся ставить сервер внутри для доступа. Правда иначе и быть не может – базовые требования сетевой безопасности.

Сеанс связи шифруется, а доступ к серверу можно получить через консоль (serial over LAN), web-интерфейс или VNC. Web-интерфейс обладает неприметным рабочим дизайном (который при этом отлично отображается на планшетах) и позволяет получать статистику о железе, его состоянии и перезапускать компьютер, настраивать сетевой интерфейс и политики доступа к AMT, смотреть историю событий – узнать, почему же у секретарши не грузится система, не подходя к её компьютеру.



При подключении через консоль и VNC можно делать уже совсем всё: vPro предоставляет полноценный KVM с локальной машины на удалённую с поддержкой разрешения экрана до 1920х1200 и возможностью посмотреть, как загружается система от инициализации BIOS до непосредственной загрузки ОС. При этом даже при перезагрузке системы не происходит отключения! Единственное что для доступа в BIOS не получится просто зажать Delete при старте системы и надо будет выбрать специальный пункт «Reboot to BIOS».



После чего в самом деле загружается BIOS.



Особенно приятно то, что можно подключиться к удалённой машине по VNC даже в том случае если там слетели драйвера сетевой карты (ведь vPro работает на более низком уровне чем ОС) и прямо через VNC поставить все драйверы. И если в пределах офиса это ещё решаемо, то вот ехать в дата-центр может быть не с руки.

Есть еще одна интересная возможность под название IDE-R которая позволяет загружаться с внешнего источника как будто это внутренний жёсткий диск. То есть можно подключиться по VNC, указать образ для загрузки и загрузиться в заведоморабочей системе. Очень может быть полезная функция как для диагностики, так и для администрирования. Например можно загружать клиентскую машину с системой в которой настроен эталонный антивирус, проверять жетский диск и незаметно уходить.


Про безопасность



При помощи vPro работает технология Intel Anti-Theft. Если у вас украли ноутбук, то вы можете связаться с Intel и они заброкируют его. В блоге Intel есть уже хороший обзор данной технологии. После блокировки новый обладатель компьютера увидит такую картинку.




Заключение и ссылки



Совсем скоро, когда поколение компьютеров в очередной раз сменится даже у самых нетребовательных пользователей, а у прогрессивных компаний и того раньше, работы у администраторов останется столько же, но вот делать её будет куда приятнее.

Подпишитесь на комментарии к посту — в них обещает быть много интересного. Или проверьте топик через пару дней — я вынесу все самые интересные комментарии отдельным списком внизу поста.

Википедия про vPro
Википедия про AMT
Обзор vPro от tom's hardware guide – очень интересный обзор.
Раз, два, три на IT Galaxy
И на вкусное настройка 1U сервера с vPro от Co6aka

Картинки взяты из обзора от thg и поста пользователя Co6aka.


Полезные комментарии к посту



  1. Можно ли пинговать выключенный компьютер.
  2. VNC появился начиная с версии AMT 6.0 и не во всех процессорах.
  3. Комментарий с полезной ссылкой про настройку сервера конфигурации (SCCM) для vPro на русском языке.
  4. Очень подробный комментарий про отличие AMT от IPMI.
  5. Какие порты пробрасывать через NAT.
  6. Как ведёт себя VNC со сложными конфигурациями сетевого интерфейса в ОС
  7. Про две важные функции обеспечивающие безопасность и приватность пользователя


UPD::

В самом конце программной части немного написал про IDE-R. Хорошая функция.
Автор: @hshhhhh
Intel
рейтинг 1 056,21

Комментарии (56)

  • +2
    Я так понимаю, если это работает на L3 модели OSI, то получается выключенные компы можно пинговать? Или по старинке сначала придется wake-on-lanить?
    • 0
      Насколько понял — придется.
    • +1
      Не прийдется. Сетевая карта слушает всегда. На счет «можно пинговать» — да, можно, если разрешить в настройках. Если не разрешить, то выключенный комп на пинг отзываться не будет, но свой порт (16992) слушать будет.
      Пользую такое дома (Q45 чипсет) — очень удобно иногда ребутить машину в другой комнате или получить доступ к консоли на Serial порту.
  • 0
    Первая версия Kaspersky Rescue Disc (которая 8-ая) поддерживала AMT со своей стороны. Почему-то никому не понадобилось.
    • 0
      Не время тогда было)
  • +2
    Хорошая статья по настройке AMT в SCCM (для такого использования оно и создавалось):
    manofwindows.ru/Articles/SCCM/SCCM&ATMComputers/SCCM&ATMComputers.htm
    • 0
      Очень хорошая статья, сейчас добавлю в пост, спасибо :).
  • +1
    Хорошая штука для использования в корпоративной среде, например. Жаль что VNC функциональность (Intel AMT KVM) доступна только начиная с AMT 6.0, для чипсетов выше Q67 и только если у процессора есть встроенный GPU.
    Более старые чипсеты или CPU без GPU поддерживают только Serial-over-LAN (удобно если лины, grub и консоль туда завернуть) и удаленное управление питанием (с вебкой естественно).

    А так получается идеальный Remote Assistance без разделения на вендора и версии OS. Ну и ходить никуда не нужно чтобы ребутнуть машину :)
  • +6
    Про админа бегающего то места к месту — это повеселило. У меня уже давно раз в месяц делается авто-инвентаризация строчкой вида:
    C:\> psexec @список_айпишников -d -n10 путь_к_AIDA64\aida64.exe /R путь_к_отчётам\%COMPUTERNAME% /TEXT /CUSTOM путь_к_конфигу_отчётов\aida64.rpf
    плюсы в том, что можно получить и залогиненых на компе пользовователей и их количество, установленный софт, марку монитора и т.д.
    А ещё решение кроссплатформенное, без привязки к сетевухе или платформе в общем.
    Для включения компов WOL, а про средства удалённого управления и говорить не буду — их сотни.
    • 0
      Аиду ж тоже надо поставить. В любом случае бегать в первый раз :)

      Но там надо было ещё и срочно — узнать не украл ли чего старый.
      • 0
        Ее надо её ставить всем. Зачем?
        Всё запускается из единственного источника, в том-то и прелесть.
        Если её ставить всем, это Corporate покупать нужно. Но если уж приелость поставить всем — то у Aida есть silent режим установки, похожим скриптом она вкатывается вообще всем.
      • +2
        А на счёт срочности:
        15 минут на установку и подготовку скриптов + время на его отработку(зависит от количества хостов), но скрипт многопоточный так что 40 минут на /22 подсеть.
        • 0
          Что в комментариях распылятся на такую тему. К тому же с человеком которой не самый сильный администратор. Пишите пост, вы толковый :).
          • +1
            Покорнейше благодарю.
            Только, для статьи материала маловато.
      • 0
        60 виндовых компьютеров в сети и без домена?
        • 0
          Ну такой вот был старый админ :).
          • +1
            неленивый
            • 0
              ироничный тэг был сьеден.
      • 0
        rpc? если в домене и бегать не нужно все можно и удаленно поставить включая aida.
  • +1
    Опа, у меня как раз компьютер с vPro… Любопытно!

    А какие порты требуется прокинуть для доступа через инет? Комп сидит за NAT-ом.
    • 0
      Вот тут говорят что 16992, но оно вполне может и не заработать через нат. Надо проверять или спросить у тех кто пользуется, например тут
    • +1
      Как уже написали 16992 для HTTP, 16993 если получится настроить (а это не очень просто). Если много комьютеров за натом в организации есть специальные фичи чтобы роутить трафик при помощи дополнительный софтовой компоненты (специальный gateway, MPS).
      • +2
        Забыл что есть еще IDE/Serial redirection: IDE-R/SOL over TCP = 16994, IDE-R/SOL over TLS = 16995. С VNC я уже не работал, так что не знаю нужны ли там еще какие-нибудь порты.
  • +2
    Блокировка моего(!) ноута Intel-ом где и когда он захочет? Чертовски привлекательно. Не говоря уже о том, что будет если найдут дыру. А злоумышленники будут снимать батарею или класть ноут в экранированную сумку, а потом не торопясь перетыкать джампер или ломать модуль приемник.
    • +1
      Палка о двух концах. Вон в андроидах насколько я помню гугл говорил что имеет право удалять неугодные ему приложения якобы для борьбы с вирусами.
      • 0
        ну не знаю, одно дело ты сам можешь заблочить, другое кто то по ему известным правилам и причинам. Гугл не помню чтобы удалял на устройствах что либо, с маркета да. По сути через приложение маркета сможет, но не думаю что все что есть. А тут компания хоть и хорошая, но все же…
  • 0
    странно, но busybox, который загружается, если сервер на ubuntu 10.04 LTS не может примонтировать корень — не видит сетевую клавиатуру, если не воткнута физическая о_О (такая ситуация возникла недавно, а сервер за 1500км)
    • 0
      про другие случаи — не знаю
    • 0
      не может примонтировать корень если не видит клавиатуру? :) Возможно проблема в настройке убунты или в биосе стоит флаг «паниковать при отсутствии клавиатуры»?
      • +2
        grub не может примонтировать корень, загружает busybox, чтобы можно было разобраться. и вот этот busybox, если не воткнута клавиатура — не грузится с ошибкой «не могу найти клавиатуру», хотя виртуальный kvm подключен.
    • +1
      технологий SOL/IDE-R (Serial over LAN + IDE-Redirection) работают так, что SOL создает виртуальный последовательный порт, и в таблице ACPI при загрузке ставит бит, что перенаправление активно. Обычно консольная ОС подхыватывает это и перенаправляет текстовой ввод/вывод туда. Но не всегда. Иногда это приходиться делать явно. Во всяком случае, при загрузке Windows можно просто перенаправить поток на соответствующий COM-порт, '<>COM3:'. С технологией IDE-R ситуация похожая — создается виртуальное IDE устройство со своими PCI Device ID. Идентификаторы этого порта поддерживаются только в новых версиях ядра (не помню когда точно, где-то в 2.6.35+ добавили патч из openamt.org для этого). Соответственно, старые ядра Линукса просто не идентифицируют виртуальный DVD, как собственное загрузочное устройство и пишут, что не могут примонтировать корень. Должно решаться новым ядром, хотя сам не пробовал.
      • 0
        Спасибо за ответ :).
      • +1
        Не мог примонтировать корень он по более прозаичной причине — при обновлении ядра изменилось определение аппаратного RAID массива и UUID стал другой, вот и не подмонтировал он корень.
  • +2
    Не очень понятно, а чем это отличается от IPMI в серверных системах и рабочих станциях?
    • –1
      Интел принимает активное участие в разработке IPMI и поэтому у IPMI и AMT много общего, но у AMT есть как минимум одна киллер фича: разрешение экрана до 1920x1200. Должны быть и другие, но я не пока не знаю что такое IPMI.

      Если будет время на выходных разберусь.

      Спасибо, это хороший вопрос. Попробую призвать технических специалистов интела.
      • 0
        Все же vPro больше на рабочих станциях и ноутах больше распространена, разве нет? То есть это замечательная история про halt по ssh у хостера видимо пока не из реальной жизни?
        • 0
          halt по ssh из реальной, а вот поднятие по vPro пока нет. Впрочем в посте есть ссылка на настройка 1U сервера с vPro и когда лично мне понадобится dedicated сервер — буду собирать его с vPro.
    • +3
      Отличие именно в том, что IPMI — серверная технология, имеющая долгую историю, и построенная на базе SNMP. Обычно реализуется посредством дополнительного чипа, который стоит дороже, чем поддержка AMT, обычно требует отдельного сетевого ввода. AMT предназначается в большой степени для корпоративных компьютеров, где важно централизованное управление и специфический функционал. То что их объединяет, это функционал удаленного управления питанием, перенаправление консоли/экрана, и удаленная загрузка. А дальше идут отличия — поддержка эвристического обнаружения сетевой активности ботнетов и сканирования сети, agent presence — контроль работы, например, антивирусных приложений, механизмы конфигурации, большая безопасность за счет поддержки HTTPS, mutual TLS для аутенфикации (серверы то обычно управляющий интерфейс в открытую сеть не выдают).
  • 0
    Немного не понял про VNC… как долго будет доступен экран рабочей станции? до загрузки драйверов ОС? Можно ли полноценно установить операционную систему? В общем интересует полноценный ли это KVM или только биос и выбор пункта в меню загрузчика?

    Как пересекаются настройки сетевой карты в операционной системе? Не конфликтует ли драйвера видео с AMT во время работы VNC?

    p.s. как узнать, какие материнские платы поддерживают AMT 6.0+, интересует именно работа VNC
    • +1
      Доступен с момента начала загрузки компа. В момент перезагрузки не рвётся коннект.
      Можно подключить по IDE-R внешний образ и ставить систему.

      Чтобы не было конфликтов необходимо пользоваться встроенной видеокартой.

      Вот тут список процессоров и чипсетов:

      Intel AMT 6.0 — Intel Core i5/7 vPro desktop platforms based on the Q57 (Piketon: Ibex Peak) chipset, Core i5/7 vPro mobile platforms based on the QM57 and QS57 (Calpella: Ibex Peak) chipset, and Xeon 3400 series/Core i5 vPro entry workstation platforms based on the 3450 chipset.
      • 0
        про сетевую карту ответьте… в операционной системе сеть будет во время работы vnc? спасибо
        • 0
          Насколько я понимаю работу vPro — оно работает независимо от системы и сеть должна быть даже в том случае если в винде будут другие настройки сетевой карты. Но это я так понимаю, я не добрался ещё до железа.

          Я попросил ответить на ваш вопрос технических специалистов интела, но сделать они это должны уже после выходных.
        • +2
          AMT fireware перехватывает трафик с сетевой карты и не передает в ОС то что касается работы vPro (порты 16992, 16993). Чтобы насройки ОС и AMT не конфликтовали, там вроде есть пара вариантов. Например когда ОС использует DHCP firmware автоматически понимает все сетевые настройки. Когда в ОС используется статический адрес, то вроде для AMT нужно назначить IP адрес явно (причем по моему другой, отличный от используемого в ОС). Еще есть отдельная песня про WiFi для лаптов, который тоже может использоваться для AMT.
          • +1
            Статический адрес еще нужен при сложных конфигурациях хоста. Например если на хосте крутится XEN с виртуальными машинами в bridge и с получением адреса по DHCP. В этом случае адрес AMT может «прыгать» вслед за виртуальными машинами :( и нужна статическая конфигурация.
  • 0
    iLO к писюкам привинтили? шармаан
  • +1
    переставить джампер на материнской плате

    а как быть с ноутбуками? тоже джампер?
    • 0
      Неправильно перевёл, извините.

      На самом в википедии говорится что при помощи джампера можно сбросить AMT в настройки по умолчанию (не Anti-Theft), а отключить vPro аппаратно нельзя.

      Спасибо за наблюдательность :).
    • 0
      В интернетах пишут что только ранние версии Lenovo M55p и T61, HP 6910p, и Panasonic Toughbook имели функцию отлключения vPro.

      Но после выходных в тред должны прийти тех. специалисты интела и они, возможно, проккоментируют более подробно.
  • +1
    Хороший обзор :)
    Мне кажется, что про безопасноть также стоит добавить, что есть еще две важные функции обеспечивающие безопасность и приватность пользователя: использование User Consent Policy для получения согласия на удаленное обслуживание от пользователя, а также доступ к auditlog, в котором хранится информация о всех удачных и неудачных попытках подключения.
    • 0
      Спасибо, я добавлю ссылку на комментарий в пост.
    • 0
      Писал по интернетам, доступа к железке нет, упустил миллионы интересного :(.
    • 0
      А оно, при отключенном User Contest, позволяет незаметно наблюдать за тем, что происходит у пользователя на рабочем столе? Или все-таки выводится какое-то предупреждение?
      • 0
        Нет, незаметно не получится — в любом случае, когда открыта VNC сессия, у пользователя на экране в правом верхнем углу мигает очень заметная иконка, а вокруг всего экрана появляется красная рамка — эти индикаторы реализованы аппаратно и ни одно приложение, ни даже ОС не может их скрыть.
  • 0
    Подcкажите, как это vPro выключить на ноуте совсем?

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Самое читаемое Разное