Удаленное управление
Intel AMT — это набор функций управления и безопасности, встроенных в ПК vPro, который упрощает системному администратору мониторинг, обслуживание, безопасность и обслуживание ПК. Intel AMT (технология управления) иногда («платформа» ПК), потому что AMT — одна из наиболее заметных технологий ПК на базе Intel vPro.
Intel AMT включает:
- Зашифрованное дистанционное включение / выключение / сброс (через wake-on-LAN или WOL)
- Удаленная / перенаправленная загрузка (через встроенное перенаправление электроники устройства или IDE-R)
- Перенаправление консоли (через последовательный порт через LAN или SOL)
- Предзагрузочный доступ к настройкам BIOS
- Программируемая фильтрация входящего и исходящего сетевого трафика.
- Проверка присутствия агента
- Внеполосное оповещение на основе политик
- Доступ к системной информации, такой как универсальный уникальный идентификатор ПК (UUID), информация об аппаратных активах, постоянные журналы событий и другая информация, которая хранится в выделенной памяти (а не на жестком диске), где она доступна, даже если ОС не работает или компьютер выключен.
Аппаратное управление было доступно в прошлом, но оно ограничивалось автоконфигурацией (компьютеров, которые его запрашивают) с использованием DHCP или BOOTP для динамического распределения IP-адресов и рабочих станций без дисков, а также пробуждения по локальной сети. для удаленного включения систем.
Пульт дистанционного управления KVM на основе VNC
Начиная с vPro с AMT 6.0, ПК с процессорами i5 или i7 и встроенной графикой Intel теперь содержат проприетарный встроенный сервер VNC . Вы можете подключаться по внеполосному каналу с помощью специальной технологии просмотра, совместимой с VNC, и иметь все возможности KVM (клавиатура, видео, мышь) на протяжении всего цикла питания, включая непрерывное управление рабочим столом при загрузке операционной системы. Такие клиенты, как VNC Viewer Plus от RealVNC, также предоставляют дополнительные функции, которые могут упростить выполнение (и просмотр) определенных операций Intel AMT, таких как выключение и включение компьютера, настройка BIOS и установка удаленного образа (IDER).
Не все процессоры i5 и i7 с vPro могут поддерживать KVM. Это зависит от настроек BIOS OEM, а также от наличия дискретной видеокарты. Только встроенная графика Intel HD поддерживает KVM.
Технические характеристики
- Сокет: Intel LGA1151;
- Чипсет: Intel Z270;
- Оперативная память: 4 x DIMM DDR4 2133 – 3866 (ОС), макс. до 64 Гбайт;
- Слоты расширения: 3 × PCI-е ×16 v3.0 (×16/×0/×4, ×8/×8/×4), 3 × PCI-E ×1 v3.0;
- Графика: 1 x HDMI 1.4b порт с поддержкой максимального разрешения 4096×2160 при 24 Гц, 2560×1600 при 60 Гц и 1 x DVI-D порт с поддержкой максимального разрешения 1920×1200 при 60 Гц, DisplayPort с поддержкой максимального разрешения 4096×2304 при 24 Гц, поддержка до 3х дисплеев;
- Поддержка Multi-GPU: 3-Way AMD CrossFire и 2-Way NVIDIA SLI;
- Интерфейсы систем хранения данных: чипсет Intel Z270 – 6 x SATA 6 Гбит/сек, 2 × M.2 слот (Key M) 2242/2260/2280/22110. Примечание: поддержка RAID 0,1,5,10; поддержка памяти Intel Optane;
- Порты USB: чипсет Intel Z270 – 6 × USB 3.1 Gen1 (5 Гбит/сек), 6 × USB 2, чипсет ASMedia: 1 × USB 3.1 Gen 2 Type-C, 1 × USB 3.1 Gen 2 Type-A (10 Гбит/сек);
- Порты ввода/вывода задней панели: PS/2, DVI-D, DisplayPort, USB 3.1 Gen2 Type-A, LAN (RJ45), 5 звуковых разъемов, USB 3.1 Gen1× 4, HDMI, USB 3.1 Gen2 Type-C, Optical S/PDIF-Out;
- Звук: HD-кодек 7.1, Realtek ALC1220А;
- Сетевая карта: 1 × 1000 Мбит/сек, Intel I219-V;
- Форм-фактор: ATX;
- Размеры: 30,5 см × 24,4 см;
- Цена: 10500 руб.
vPro особенности
Intel vPro — это торговая марка набора аппаратных функций ПК. ПК, поддерживающие vPro, имеют в качестве основных элементов процессор с поддержкой vPro, набор микросхем с поддержкой vPro и BIOS с поддержкой vPro .
ПК vPro включает:
Многоядерные, многопоточные процессоры Xeon или Core.
Технология Intel Active Management (Intel AMT), набор аппаратных функций, ориентированных на предприятия, обеспечивает удаленный доступ к ПК для задач управления и безопасности, когда операционная система не работает или питание ПК отключено
Обратите внимание, что AMT — это не то же самое, что Intel vPro; AMT — это только один элемент ПК с vPro.
Технология удаленной настройки для AMT с безопасностью на основе сертификатов. Удаленную настройку можно выполнить в «простых» системах до установки агентов управления ОС и / или программного обеспечения.
Проводное и беспроводное (ноутбук) подключение к сети.
Технология Intel Trusted Execution (Intel TXT), которая проверяет среду запуска и устанавливает корень доверия, который, в свою очередь, позволяет программному обеспечению выстраивать цепочку доверия для виртуализированных сред
Intel TXT также защищает секреты во время переключения питания как для упорядоченного, так и для беспорядочного отключения (традиционно уязвимый период для учетных данных).
Поддержка IEEE 802.1X , Cisco Self Defending Network (SDN) и Microsoft Network Access Protection (NAP) в ноутбуках, а также поддержка 802.1x и Cisco SDN в настольных ПК. Поддержка этих технологий безопасности позволяет Intel vPro сохранять состояние безопасности ПК, чтобы сеть могла аутентифицировать систему до загрузки ОС и приложений, а также до того, как ПК получит доступ к сети.
Технология виртуализации Intel, включая Intel VT-x для ЦП и памяти и Intel VT-d для ввода-вывода , для поддержки виртуализированных сред . Intel VT-x ускоряет аппаратную виртуализацию, что позволяет создавать изолированные области памяти для запуска критически важных приложений на аппаратных виртуальных машинах, чтобы повысить целостность выполняемого приложения и конфиденциальность конфиденциальных данных. Intel VT-D обнажает защищены виртуальная память адресных пространства для DMA периферийных устройств , подключенных к компьютеру через DMA шину , смягчая угрозы , исходящих от вредоносных периферийных устройств.
Бит отключения выполнения, который, если он поддерживается ОС, может помочь предотвратить некоторые типы атак переполнения буфера.
Что такое Intel vPro?
Эта технология – настоящий аппаратно-программный комплекс, направленный на продвинутое решение проблем удалённого доступа: с учётом высоких требований к информационной безопасности, и необходимости предоставлять самые широкие возможности управления (о чём подробнее – ниже).
С аппаратной точки зрения, Intel реализовала технологию на базе собственных специальных материнских плат (с индексом Q, хотя и не все из них поддерживают все возможности vPro), процессоров и сетевых контроллеров. Поскольку компания сама производит все эти узлы, система получила уникальную целостность.
С программной стороны решение также собственное: Intel Active Management Technology (AMT). Продукт специально разработан для максимально эффективного удалённого управления, лёгкой инвентаризации оборудования, обеспечения безопасности и возможности оперативно устранять любые сбои – даже такие, при которых удалённо проблему, без применения этой технологии, решить в принципе невозможно.
Подготовка и интеграция
AMT поддерживает удаленную подготовку на основе сертификатов или PSK (полное удаленное развертывание), подготовку на основе USB- ключа (подготовка «одним касанием»), ручную подготовку и подготовку с использованием агента на локальном узле («Подготовка на основе узла»). OEM-производитель также может предварительно подготовить AMT.
Текущая версия AMT поддерживает удаленное развертывание как на портативных, так и на настольных ПК. (Удаленное развертывание было одной из ключевых функций, отсутствующих в более ранних версиях AMT и задерживавшей принятие AMT на рынке.) Удаленное развертывание до недавнего времени было возможно только в корпоративной сети. Удаленное развертывание позволяет системному администратору развертывать ПК, не «касаясь» систем физически. Это также позволяет системному администратору откладывать развертывание и вводить ПК в эксплуатацию на определенный период времени, прежде чем сделать функции AMT доступными для ИТ-консоли. По мере развития моделей доставки и развертывания AMT теперь можно развертывать через Интернет, используя как методы «нулевого касания», так и методы на основе хоста.
Компьютеры могут продаваться с включенной или отключенной AMT. OEM определяет , следует ли отправить AMT с возможностями готовы к установке (включено) или отключена. Процесс установки и настройки может отличаться в зависимости от сборки OEM.
AMT включает приложение Privacy Icon, называемое IMSS, которое уведомляет пользователя системы, если AMT включена. OEM-производитель должен решить, хотят ли они отображать значок или нет.
AMT поддерживает различные методы отключения технологий управления и безопасности, а также различные методы повторного включения технологии.
AMT можно частично отключить с помощью параметров конфигурации или полностью отключить путем удаления всех параметров конфигурации, учетных данных безопасности, а также рабочих и сетевых параметров. При частичной отмене инициализации компьютер остается в состоянии настройки. В этом состоянии ПК может самостоятельно инициировать автоматизированный процесс удаленной настройки. При полной отмене инициализации стираются профиль конфигурации, а также учетные данные безопасности и рабочие / сетевые настройки, необходимые для связи с Intel Management Engine. При полной отмене инициализации Intel AMT возвращается к заводскому состоянию по умолчанию.
После отключения AMT, чтобы снова включить AMT, авторизованный системный администратор может восстановить учетные данные безопасности, необходимые для выполнения удаленной настройки, одним из следующих способов:
- Использование процесса удаленной настройки (полная автоматизация, удаленная настройка с помощью сертификатов и ключей).
- Физический доступ к ПК для восстановления учетных данных безопасности либо с помощью USB-ключа, либо путем ввода учетных данных и параметров MEBx вручную.
Существует способ полностью сбросить AMT и вернуться к заводским настройкам по умолчанию. Это можно сделать двумя способами:
- Установка соответствующего значения в BIOS .
- Очистка памяти CMOS и / или NVRAM .
Установка и интеграция AMT поддерживается службой настройки и конфигурации (для автоматической настройки), инструментом веб-сервера AMT (входит в состав Intel AMT) и AMT Commander, неподдерживаемым и бесплатным проприетарным приложением, доступным на веб-сайте Intel.
Дизайн
Подсистема в основном состоит из проприетарного микропрограммного обеспечения, работающего на отдельном микропроцессоре, который выполняет задачи во время загрузки, когда компьютер работает, и пока он спит. Пока чипсет или SoC подключен к току (через батарею или источник питания), он продолжает работать, даже когда система выключена. Intel утверждает, что ME требуется для обеспечения полной производительности. Его точная работа в значительной степени недокументирована, а его код запутан с использованием конфиденциальных таблиц Хаффмана, хранящихся непосредственно в оборудовании, поэтому микропрограммное обеспечение не содержит информации, необходимой для декодирования его содержимого.
Аппаратное обеспечение
Начиная с ME 11, он основан на 32-битном процессоре Intel Quark x86 и работает под управлением операционной системы MINIX 3 . Состояние ME хранится в разделе флэш-памяти SPI с использованием встроенной файловой системы флэш-памяти (EFFS). Предыдущие версии были основаны на ядре ARC , а механизм управления работал под управлением ThreadX RTOS . Версии ME с 1.x по 5.x использовали ARCTangent-A4 (только 32-битные инструкции), тогда как версии 6.x по 8.x использовали более новый ARCompact (смешанная 32- и 16-битная архитектура набора команд ). Начиная с ME 7.1, процессор ARC может также выполнять подписанные апплеты Java .
ME имеет собственный MAC и IP-адрес для внеполосного интерфейса с прямым доступом к контроллеру Ethernet; одна часть трафика Ethernet перенаправляется на ME даже до того, как достигает операционной системы хоста, что поддерживается различными контроллерами Ethernet, экспортируется и становится настраиваемой через протокол передачи компонентов управления (MCTP). ME также связывается с хостом через интерфейс PCI. В Linux связь между хостом и ME осуществляется через / dev / mei или / dev / mei0 .
До выпуска Nehalem процессоров, МЭ не обычно встроен в материнскую плату в северный мост , после Memory Controller Hub макете (MCH). В более новых архитектурах Intel ( Intel серии 5 и выше) ME интегрирован в концентратор контроллера платформы (PCH).
Прошивка
Согласно текущей терминологии Intel по состоянию на 2017 год, ME является одним из нескольких наборов микропрограмм для конвергентного механизма безопасности и управления (CSME). До AMT версии 11 CSME назывался Intel Management Engine BIOS Extension (Intel MEBx).
- Management Engine (ME) — основные чипсеты
- Server Platform Services (SPS) — серверные чипсеты и SoC
- Trusted Execution Engine (TXE) — планшет / встроенный / с низким энергопотреблением
Российская компания Positive Technologies ( Дмитрий Скляров ) обнаружила, что версия 11 прошивки ME работает под управлением MINIX 3 .
Модули
- Технология активного управления (AMT)
- Intel Boot Guard (IBG) и безопасная загрузка
- Технология тихой системы (QST), ранее известная как Advanced Fan Speed Control (AFSC), которая обеспечивает поддержку акустически оптимизированного управления скоростью вращения вентилятора, а также мониторинг датчиков температуры, напряжения, тока и скорости вращения вентилятора, которые предусмотрены в наборе микросхем, ЦП и другие устройства, присутствующие на материнской плате. Связь с подсистемой прошивки QST задокументирована и доступна через официальный комплект разработчика программного обеспечения (SDK).
- Защищенный путь аудио-видео
- Intel Anti-Theft Technology (AT), производство прекращено в 2015 году.
- Последовательный через LAN (SOL)
- Intel Platform Trust Technology (PTT), доверенный платформенный модуль (TPM) на основе микропрограмм
- Near Field Communication , промежуточное программное обеспечение для считывателей NFC и поставщиков для доступа к картам NFC и обеспечения безопасного доступа к элементам, обнаруженное в более поздних версиях MEI.
В чём преимущества?
Во-первых, Intel vPro при реализации через VNC обеспечивает полноценный KVM на удалённую машину, не зависящий от операционной системы.
Таким образом, даже при перезагрузке подключение не разрывается. Можно удалённо зайти в BIOS – иными словами, без физического контакта с машиной решаются практически любые проблемы, которые могут на ней возникнуть. Наверное, излишне объяснять, насколько это полезно.
Заметим только, что поддерживается даже разрешение экрана 1920х1200 пикселей. Учитывая высокую скорость — полное ощущение, что работаешь вовсе не удалённо.
Во-вторых, безопасность. В разрезе работы с выделенным сервером важна, конечно, не система Anti-Theft, а тот факт, что vPro шифрует данные. Осуществляются шифрование и дешифровка по протоколу AES, что обеспечивает высокую производительность. К тому же, AMT позволяет, например, изолировать заражённую вредоносным ПО машину, не теряя удалённого доступа к ней. Больше о возможностях AMT можно прочитать в Wiki.
Характеристики
| Предупреждения | |
| ПРЕДУПРЕЖДЕНИЕ | CPU восьмого поколения работать не будут, даже если обновить BIOS.Процессоры 7000-й серии работают только в Windows 10! Предыдущие версии Windows, включая Windows 7 и 8.1, более не поддерживаются, точнее, не будут получать критически важные обновления от Microsoft. |
| Основные характеристики | |
| Описание | Защита от статического электричества на разъемах задней панели, Кэширование данных на SSD |
| Производитель | ASUS |
| Серия | CSM |
| Модель | PRIME Q270M-C/CSMнайти похожую мат.плату |
| Тип оборудования | Материнская плата для настольного ПК |
| Назначение | Настольный ПК |
| Чипсет мат. Платы | Intel Q270характеристики чипсета |
| Гнездо процессора | Socket LGA1151 |
| Формат платы | MicroATX (244 x 244 мм) |
| Поддержка ОС | Windows 10 (только 64 bit)(Windows 8.1 и Windows 7 только при установке 6-го поколения процессоров Skylake) |
| Уникальные технологии | |
| Уникальные технологии ASUS | LANGuard, SafeSlot, DIGI+ VRM |
| Поддержка процессоров | |
| Макс. кол-во процессоров на материнской плате | 1 |
| Поддержка типов процессоров | Intel серии Core i7-7xxx, Core i5-7xxx, Core i3-7xxx, Core i7-6xxx, Core i5-6xxx, Core i3-6xxx, Pentium G4xxx, Celeron G3xxx |
| Поддержка ядер процессоров | Kaby Lake, Skylake-S |
| Поддержка памяти | |
| Тип поддерживаемой памяти | DDR4. Максимальная поддерживаемая пропускная способность памяти указана в описании процессора |
| Количество слотов памяти | 2 |
| Количество разъемов DDR4 | 4 (2х канальный контроллер памяти). Поддерживается Extreme Memory Profile (XMP) |
| Максимальные поддерживаемые стандарты памяти | PC4-19200 (DDR4 2400 МГц), PC4-17000 (DDR4 2133 МГц), Зависит от процессора |
| Максимальный объем оперативной памяти | 64 Гб |
| Дисковая система | |
| Количество разъемов M.2 (NGFF) | 2 разъема M Key SATA/PCI-E с поддержкой карт Type 2242/2260/2280 (длиной до 80 мм). Второй слот поддерживает только PCI-Em.2 SSD |
| Поддержка NVMe Boot | Да |
| Intel Optane Memory | Поддерживается, только при установке 7-й серии процессоров Intel Core |
| RAID-контроллер | Встроен в чипсет, возможно построение RAID массивов уровней 0, 1, 5, 10 из SATA устройств |
| Intel Smart Response | Поддерживается |
| SATA 6Gb/s | 6 каналов |
| Разъем для подключения FDD | Нет |
| Коммуникации | |
| Сеть | 1 Гбит/с. Сетевой контроллер Intel I219-LM |
| Интерфейс, разъемы и выходы | |
| Контроллер USB | USB 3.0 контроллер встроен в чипсет |
| USB разъемы на задней панели | 6x USB 3.0 (USB 3.1 Gen1), 2x USB 2.0 |
| Внутренние порты USB на плате | 2x USB 3.0 (USB 3.1 Gen1), 4x USB 2.0 возможно подключить на корпусе или через планку портов |
| Клавиатура/мышь | PS/2 клавиатура + PS/2 мышь |
| Слоты для установки плат расширения | |
| Количество разъемов PCI Express 16x | 1 слот 16x PCI-E 3.0 |
| Количество разъемов PCI Express 1x | 2 слота 1x PCI-E 3.0 |
| Количество разъемов PCI | 1 слот |
| Встроенная видеокарта | |
| Видео M/B | Используется встроенное в процессор. Максимальный размер видеобуфера 1 Гб. ПРЕДУПРЕЖДЕНИЕ При использовании процессоров без встроенного видео, видеовыходы на плате не работают. |
| Максимальное разрешение экрана | 4096 x 2160 @ 24 Гц при подключении HDMI монитора, 1920 x 1200 @ 60 Гц при подключении DVI-D монитора, 1920 x 1200 @ 60 Гц при подключении D-Sub монитора |
| Видео разъемы на задней панели | 1x DisplayPort, 1x DVI-D, 1x HDMI, 1x VGA монитор |
| Макс. кол-во подключаемых мониторов | 3 |
| Встроенная звуковая карта | |
| Звук | 8-канальный HDA кодек Realtek ALC887 |
| Аудио разъемы на задней панели | Line-in, Line-out, Mic-in |
| Охлаждение | |
| Охлаждение | Пассивное охлаждение |
| Питание | |
| Требования к блоку питания | Поддерживаются только 24+8 pin блоки питания.совместимые БП |
| Прочие характеристики | |
| BIOS | EFI AMI BIOS, 128 Мб |
| Поддержка OA 3.0 | Да |
| Логистика | |
| Размеры упаковки (измерено в НИКСе) | 27.09 x 26.21 x 5.4 см |
| Вес брутто (измерено в НИКСе) | 0.89 кг |
Функции
Intel AMT включает аппаратное удаленное управление, безопасность, управление питанием и функции удаленной настройки, которые обеспечивают независимый удаленный доступ к компьютерам с поддержкой AMT. Intel AMT — это технология безопасности и управления, встроенная в ПК с технологией Intel vPro .
Intel AMT использует аппаратный внеполосный (OOB) канал связи, который работает независимо от наличия работающей операционной системы. Канал связи не зависит от состояния питания ПК, наличия агента управления и состояния многих аппаратных компонентов, таких как жесткие диски и память .
Большинство функций AMT доступны вне зависимости от состояния питания ПК. Для других функций требуется включение ПК (например, перенаправление консоли через последовательный порт через LAN (SOL), проверка присутствия агента и фильтрация сетевого трафика). Intel AMT имеет возможность удаленного включения.
Аппаратные функции могут быть объединены со сценариями для автоматизации обслуживания и ремонта.
Аппаратные функции AMT на портативных и настольных ПК включают:
- Зашифрованный удаленный канал связи для сетевого трафика между ИТ-консолью и Intel AMT.
- Возможность для проводного ПК (физически подключенного к сети) вне брандмауэра компании в открытой локальной сети установить безопасный коммуникационный туннель (через AMT) обратно к ИТ-консоли. Примеры открытой локальной сети включают проводной портативный компьютер дома или на узле , на котором нет прокси-сервера.
- Удаленное включение / выключение / цикл питания через зашифрованный WOL .
- Удаленная загрузка через встроенное перенаправление электроники устройства (IDE-R).
- Перенаправление консоли через последовательный порт через LAN (SOL).
- .
- Аппаратные фильтры для мониторинга заголовков пакетов во входящем и исходящем сетевом трафике на предмет известных угроз (на основе программируемых таймеров ), а также для мониторинга известных / неизвестных угроз на основе эвристики, основанной на времени . Ноутбуки и настольные ПК имеют фильтры для отслеживания заголовков пакетов. Настольные ПК имеют фильтры заголовков пакетов и временные фильтры.
- Схема изоляции (ранее и неофициально называемая Intel «автоматическим выключателем») для блокировки портов, ограничения скорости или полной изоляции ПК, который может быть взломан или заражен.
- Проверка присутствия агента с помощью аппаратных программируемых таймеров на основе политик . «Промах» порождает событие; и это также может вызвать предупреждение.
- Оповещение OOB.
- Постоянный журнал событий, хранящийся в защищенной памяти (не на жестком диске).
- Доступ (предварительная загрузка) к универсальному уникальному идентификатору ПК (UUID).
- Доступ (Preboot) информация об аппаратных активов, таких как производитель и — модели компоненты, который обновляется каждый раз , когда система проходит через самоконтроль при включении питания (POST).
- Доступ (предварительная загрузка) к стороннему хранилищу данных (TPDS), защищенной области памяти, которую могут использовать поставщики программного обеспечения, в которой хранится информация о версии, файлах .DAT и другой информации.
- Варианты удаленной настройки, включая удаленную настройку без касания на основе сертификатов, настройку USB-ключа (легкое касание) и ручную настройку.
- Protected Audio / Video Pathway для защиты воспроизведения носителей, защищенных DRM .
Ноутбуки с AMT также включают беспроводные технологии:
- Поддержка беспроводных протоколов IEEE 802.11 a / g / n
-
Совместимые с Cisco расширения для передачи голоса по WLAN
