Дневник megavtogal.com

МЕНЮ
  • Контакты
  • Статьи

Amt intel amt driver это

Обновлено: 31.12.2024

Intel® Active Management Technology (Intel® AMT) - аппаратная технология, позволяющая удалённо управлять компьютером. Так будет, если кратко описать суть AMT. Если же интересует "некратко" - далее чутка букв об истории появления и развития Intel AMT (с упором на функционал и хронологию, т.е. без подробностей "программного" характера - вопросы активации/инициализации/конфигурирования слишком обширны и будут описаны отдельно).

Intel® Management Engine (Intel® ME)

Intel AMT базируется на Intel ME, потому для начала, кто захочет разобраться, стоит прочитать статьи о "предыстории появления ME" и более подробная по "Intel ME".

Технологии удалённого управления до Intel AMT

Intel AMT - технология по удалённому управлению компьютером, потому она есть продолжение-развитие предшествующих ей решений.

Wired for Management (WfM)

В середине 90-ых был бум так называемых NetPC - когда взрывообразное развитие интернета, казалось, уже совсем скоро распространится на всё, а потому будущее за "сетевыми компьютерами", целиком "интегрированными в сеть" (в т.ч. так называемые "тонкие клиенты" - бездисковые рабочие станции, которые загружаются удалённо). Для реализации подобного жизненно требовались стандарты, описывающие работу таких систем. Так в 1997-м году появилась первая подобная спецификация - WfM 1.0. В её составе были ставшие после классическими Wake-on-LAN (WoL) и Preboot Execution Environment (PXE). Стандарт WoL описывал возможность удалённого включения компьютера, а PXE - удалённой загрузки по сети.

Alert on LAN

Alert Standart Format (ASF)

Во второй версии Alert-on-Lan (AoL) обзавёлся возможностью не только отсылать данные, но и обратную возможность - администратору включить/выключить/перезагрузить компьютер. После оформления его в готовую спецификацию (2001-ый год) AoL-2 переименовали в ASF.

Появление Intel AMT

С учётом представляющейся возможности сделать всё "с чистого листа", было решено подойти к проблеме разработки максимально обстоятельно. В 2002-м году были проведены серьёзные маркетинговые исследования, в процессе которых были опрошены сотни компаний на предмет их проблем и "пожеланий" по части обслуживания компьютеров по сети.

Путь к AMT

Под собранные данные был разработан прототип стандарта, который через год ещё раз был уточнён и согласован с ними же. По результатам в 2004-м году появилась первая версия AMT, которая была анонсирована на IDF’04. После окончания тестирования, она вышла на рынок летом 2005-го года в составе чипсета i945/ICH7 с сетевой картой i82573E.

Intel AMT 1.0

Процессор для первой версии Intel ME/AMT был встроен в сетевой контроллер Intel 82573E (кодовое название "Tekoa"):

AMT1

При расположении на материнской плате он был "аппаратно" связан с южным мостом ICH7 посредством SMBus. "Программно" данная связь реализовалась посредством устанавливаемого AMT KCS-драйвера, что позволяло взаимодействовать с ОС.

Аббревиатура KCS расшифровывается как Keyboard Control Style - характерный для простых ("однопроводных") интерфейсов (каким является SMBus) вариант взаимодействия, ещё с древних времён (1980г.) популярного контроллера клавиатуры Intel 8051.

Общая схема работы Intel AMT1.0 следующая:

Общая схема работы AMT

Основной функционал AMT1.0

  • Работа вне зависимости от состояния (наличия) ОС, в том числе работа в S5 (компьютер выключен - в "дежурном" режиме работы)
  • Включение, выключение, перезагрузка (всё вне зависимости от состояния компьютера)
  • "Serial-over-LAN" (SoL) - виртуальный последовательный порт по сети, который позволяет удалённо производить (относительно простые) действия (например, настраивать BIOS Setup)

Serial-on-LAN

AMT - Hardware Inventory

AMT - Remote Diagnostic - IDE-Redirect (IDE-R)

Основные отличия AMT1.0 от ASF2.0

Недостатки AMT1

  • процесс конфигурирования не поддерживал шифрования (лишь после - сама работа сконфигурированной AMT), потому в документации присутствовала рекомендация использования для этого процесса "isolated network"
  • однопоточный ("single treaded") режим работы Windows<=>KCS<=>АМТ (т.к. связь через SMBus)

Intel AMT 2.0

В 2006-м году появились AMT2-системы. Главное отличие первой и второй версии в том, что процессор ME был встроен не в сетевую карту, а в чипсет (северный мост Q965, южный мост ICH8):

AMT2

Это позволило добавить новые фичи: System Defense и Agent presence.

AMT - System Defence

System Defence

В 2004-м году, когда разрабатывалась данная технология, одной из самых острых проблем были "черви" ("worms") - вирусы, которые заражали компьютер и с огромной скоростью распространялись по сети, заражая все уязвимые системы.

AMT - System Defence - защита от червей

Для борьбы с данной напастью была разработана технология System Defence, которая позволяла задавать правила работы сетевой карты - такая-то скорость приёма-передачи (пакетов-байт в секунду), вплоть до её полной блокировки (и на приём и на передачу), в то же время "АМТ канал связи" продолжал работать, позволяя после устранения проблемы "разблокировать" (удалённо) систему, "вернув" ей доступ в сеть (т.е. через АМТ "включив" сетевую карту для операционной системы).

Agent Presence

Другой проблемой всё в то же самое время были настолько злобные вирусы, которые могли "выключать" антивирусы, потому для борьбы с этим (хотя не только) была разработана технология Agent Presence.

AMT - Agent Presense

Она позволяла ставить "аппаратное слежение" за наличием выбранного процесса в операционной системе, а когда он по любой причине "исчезал" (например, был остановлен/убит вражеским процессом вируса) - админу по "AMT-каналу" отправлялось соответственное предупреждение. Таким образом можно было быть уверенным, что система точно крутится под управлением важных для неё (или вас) процессов и если что-то произойдёт - вы сможете сразу предпринять какие-то действия (например, удалённо заблокировать сетевой интерфейс с помощью функции System Defense или совсем выключить компьютер).

Связь между ОС и AMT2 происходит через HECI-драйвер.

AMT - HECI

Host Embedded Controller Interface -
интерфейс между ОС (т.е. "Host") и "Embedded Controller" (т.е. Intel ME)

Основные отличия AMT1.0 и AMT2.0

  • Новые возможности благодаря встроенному в чипсет ME/AMT - "System Defense" и "Agent presence"
  • Многопоточный ("multi treaded") режим работы, т.к. HECI (в отличие от KCS) не имеет таких ограничений
  • Больше места для сохранения AMT-данных
  • Конфигурирование по шифрованному каналу благодаря наличию TLS-PSK (PreShared Keys) - предварительно заданных ключей в MEBx и конфигурирующем сервере

Изменения в AMT2.1:

  • Добавлен режим "ME-Wake-on-LAN", позволяющий ME переходить в "спящий режим" (пониженного энергопотребления) и "просыпающийся" (начинает работать на полной частоте) по сигналу от какого-то события.

Изменения AMT2.2:

  • Поддержка конфигурирования через сертификаты (в дополнение к TLS-PSK) - "Remote Configuration"
  • Поддержка "Zero-Touch" технологии - это когда с помощью USB-флешки можно было в "полуавтоматическом" режиме (т.е. просто нажав "Y" на запрос о автоконфигурировании AMT) внести нужные настройки AMT (в т.ч. ключи шифрования PID/PSK) и AMT сам отправляет запрос на конфигурирование (на указанный в конфигурационных данных сервер)

Intel AMT2.5

Версии Intel AMT2.0-2.2 - "десктопные", соответственно, работающие исключительно через Ethernet-интерфейс (LAN only). Для мобильных платформ i965/ICH9, где связь могла осуществлятья по WiFi, в 2007-м году появились AMT2.5-системы, где AMT-фичи теперь работали и через LAN, и через WLAN.

Отличия AMT2.5 от AMT2

  • Главное отличие - работа AMT по WiFi. Реализация функционала System Defense при этом реализована "программно" (на уровне драйвера).
  • Поддержка "Environment Detection" - возможности AMT определять по DNS-суффиксу, в какой локальной сети сейчас работает компьютер и железно закрывать все AMT-порты в случае "вне корпоративной сети".
  • Поддержка работы AMT по VPN
  • Поддержка 802.1x

Изменения в AMT2.6:

  • Поддержка конфигурирования через сертификаты ("Remote Configuration") в дополнение к TLS-PSK и поддержка "Zero-Touch" - аналогично AMT2.2 (данное обновление вышло одновременно для десктопной и ноутбучной версии)
  • Поддержка PXE поверх 802.1x

Intel AMT3.0

С выходом в 2007-м году Q35-го чипсета, предназначенного для десктоп-систем (т.е. без WiFi), в AMT появилась поддержка WS-Man и DASH1.0 (частично, полная лишь в 3.2). Кроме того, улучшая Zero-Touch вариант конфигурации, был добавлен так называемый "Bare Metal" метод конфигурирования - по-настоящему "полностью автоматический", когда компьютер сам находил сервер для конфигурирования и отсылал на него запрос просто после подачи питания.

Отличия AMT3 от AMT2.x

  • Шифрование ME-данных
  • Поддержка "Bare Metal" инициализации AMT

Изменения в AMT3.1:

Изменения в AMT3.2:

  • Поддержка PXE поверх 802.1x (как для AMT2.6)
  • Полная поддержка DASH1.0

Intel AMT4.0

AMT - CIRA

  1. Компьютер (AMT) "инициирует соединение" с MPS (Management Proxy Server - прокси-сервер для AMT-трафика). При этом AMT-компьютер является "вызывающей" стороной, поэтому созданию канала не помешают никакие фиреволлы, за которыми он может находиться. Канал AMT-MPS обычно использует TLS-шифрование.
  2. Админ со своей Management-консоли может подключить к MPS-серверу и получать, либо отправлять данные на AMT-компьютер "через" MPS.
  3. MPS отправляет данные от админа на AMT-компьютер (и обратно), через созданный канал.

Отличие AMT4 от AMT3

  • Работа AMT через интернет - локальный фукнкционал "транслируется" на MPS и может быть использован на админской стороне (обеспечивается с помощью CIRA)
  • Audit log, где хранится отчёт по операциям управления AMT-компьютером. Для защиты от изменений лог подписан цифровым сертификатом.

Изменения в AMT4.1:

  • Поддержка технологии "AntiTheft" - функционала "антивор", позволяющего блокировать компьютер удалённо при краже-утере с возможностью разблокировки в случае возврата

Изменения в AMT4.2:

  • Поддержка Windows 7
  • Обновлены корневые сертификаты
  • Поддержка инициализации AMT через WiFi-интерфейс

Intel AMT5.0

Сразу же после выхода "ноутбучной" версии 4.0 появилась и AMT5.0 - как и 3.х "чисто десктопная". В основном она повторяла функционал AMT4.0, лишь без "ноутбучных" особенностей.

Отличие AMT5 от AMT4

Самым главным отличием было появление "Standard Manageability" варианта AMT - урезанной версии AMT5, где оставались лишь базовые возможности. По сути компьютер с такой "обрезанной" версией AMT5 имел функционал AMT3.x.

Изменения в AMT5.1:

  • Поддержка "PC Alarm Clock" - возможности включать компьютер по расписанию (указывая нужное время "просыпания" как "будильник")

Изменения в AMT5.2:

  • Исправление ошибок, добавленных в предыдущих версиях

Intel AMT6.0

В 2010-м году появилась версия AMT6.0 - общая и для "ноутбучного" и для "десктопного" сегментов. Самым заметным нововведением AMT6.0 стала поддержка KVM (Keyboard Video Mouse) - удалённое управление компьютером в графическом режиме, при чём сеанс работы с ним не прекращался даже после (и в момент) перезагрузки. В результате компьютеры с Intel AMT KVM получали функционал, доступный до этого лишь в сегменте серверов (с видеоядром в BMC - Baseboard Management Controller).

Присутствующий в предыдущих версиях AMT функционал для упрощённой "первичной настройки" AMT, который подразумевал так называемый "Small Business"-сегмент (и имел некоторые ограничения по сравнению с "полной" версией - "Enterprise") был упразднён. Вместо этого в настройках MEBx появилась кнопка "Activate Network Access" автоматически (сразу же после нажатия - прямо в BIOS) переводила AMT в сконфигурированный Admin-режим работы.

Отличие AMT6 от AMT5

  • Поддержка "KVM Remote Control" с разрешение до 1600x1200 включительно
  • Поддержка IPv6
  • "Manual Configuration" (кнопка "Activate Network Access" в BIOS/MEBx)
  • Для мобильных систем - синхронизация WiFi профиля (автоматическая передача настроек доступа из Windows в AMT)
  • Для мобильных систем - возможность задания "LinkPreference" (предпочитаемый интерфейс, который получает управление послеIDER-перезагрузки)

Изменения в AMT6.1:

  • Поддержка "Host Based Configuration" (HBC) - возможности конфигурировать компьютер локально, а не только с конфигурационного сервера (правда лишь для уже проинициализированного AMT; сам же процесс инициализация по-прежнему был возможен лишь с удалённого сервера).
  • Поддержка 1920x1080 для AMT KVM
  • Поддержка удалённого управления "LinkPreference"

Изменения в AMT6.2:

  • Поддержка Windows 8
  • Исправлены некоторые ошибки связанные с безопасностью версии 6.1, потому официально HBC поддерживается лишь с этой версии
  • Поддержка цифровой подписи текущей конфигурации AMT

Intel AMT7.0

В 2011-м году с выходом чипсетов 6-й серии ("Sandy Bridge") появилась AMT версии 7.0. Основной её отличительной особенностью стало полноценное локальное и конфигурирование и инициализация - Host Based Proviosing (HBP), т.е. AMT7 компьютер мог быть настроен локально и без захода в BIOS.

Отличие AMT7 от AMT6

  • "HBP" - полноценная "локальная настройка" AMT
  • Для "десктоп"-систем - поддержка работы AMT по WiFi (до этого так могли лишь мобильные)
  • Синхронизация IP AMT-системы со статическим адресом в ОС
  • Поддержка 1920x1200 для AMT KVM
  • Отмена поддержки PID/PSK-варианта инициализации
  • Отмена поддержки удалённого обновления AMT-прошивки

Изменения в AMT7.1:

  • Поддержка динамического обновления DNS для IP AMT-системы (DyDNS)

Intel AMT8.0

В 2012-м году с выходом чипсетов 7-й серии ("Ivy Bridge") появилась и версия 8.0. Из-за того, что и сами чипсеты отличались минимально (от 6-й серии) - лишь поддержкой новых процессоров, то и функционал AMT8 не изменился (лишь обновление и косметические правки по ходу разработки).

Отличие AMT8 от AMT7

  • Поддержка Small Business Technology (SBT или в другом варианте Small Business Advantage - SBA) - узконаправленный функционал по некоторому управлению компьютерами для малого бизнеса. Данная технология напрямую к AMT не относится, однако использует некоторые его элементы (например, "PC Alarm Clock") и SDK

Изменения в AMT8.1:

  • "Link Protection" - поддержка автоматического управления "LinkPreference", избавляющего от необходимости при загрузке (IDE-R) по WiFi "вручную" менять это значение

Intel AMT9.0

Отличие AMT9 от AMT8

  • Поддержка новых состояний энергосбережения процессора Haswell
  • Поддержка 2560x1600 для AMT KVM
  • Полностью отменена поддержка SOAP-интерфейса

Intel AMT9.5

Вместе с выходом версии 9.0 появилась и версия AMT9.5, которая предназначалась для мобильных систем (планшеты и ультрабуки), не имеющих Ethernet интерфейса (т.е. только WiFi и другие беспроводные варианты работы). Это привело к урезанию некоторого функционала из-за архитектуры, которая по своей схеме работы не изменилась со времён АМТ2.5 и не предполагала отсутствия LAN-интерфейса, ME-подсистема которого играла существенную роль (а у неё в свою очередь родителем была ME2.0, где АМТ вообще впервые появилась в составе чипсета). WiFi в схеме ME2.5 работает "через" Ethernet ME-subsystem и потому последняя пропала - "всё поломалось", остались лишь "программные" (на уровне драйвера ОС) возможности.

Отличие AMT9.5 от AMT9

  • Урезаны некоторые функции, которые были завязаны на Ethernet-подсистему. Из наиболее значимых - это поддержка сертификатов (TLS-шифрование)

Intel AMT10.0/10.5

В конце 2014-го года планируется к выходу AMT10. Информации о новом функционале пока нет, но можно предположить, что в первую очередь будет решаться проблема "wireless-only" платформ.

В этой статье мы рассмотрим, как настроить и использовать функцию удаленного управления компьютерами Intel AMT KVM . Технология Intel AMT (Active Management Technology) является частью комплекса Intel vPro , и администраторам удаленно управлять компьютерами пользователей, даже если на них не запущена / не работает / не установлена операционная система, или компьютер выключен позволяет (на самом деле это только одна из функций AMT). Как правило такое удаленное управление сводится к использованию возможностей KVM (удаленный просмотр экрана пользователя, управления его клавиатурой, мышью и питанием).

KVM в Intel vPro AMT

Поддержка технологии удаленного управления KVM появилась в Intel vPro AMT 6.x на компьютерах с процессорами i5 и i7 на чипсете Intel с поддержкой vPro (как правило название чипсета начинается с Q) со встроенным графическим чипсетом Intel.

Удаленное управление реализуется за счет наличия встроенного сервера VNC. Любой совместимый VNC клиенты может использоваться для удаленного подключения и управления компьютером через AMT.

Как включить KVM на Intel vPro AMT

По умолчанию возможность удаленного управления через AMT KVM на компьютерах с поддержкой Intel vPro отключена. Включить ее можно через меню Intel MEBx . Попасть в это меню можно после отображения экрана запуска BIOS/UEFI с помощью сочетания клавиш Ctrl+P или F12 (на некоторых компьютерах можно скрыть это меню с помощью настроек BIOS).

В нашем случае, чтобы попасть в меню MEBx, на ноутбуке Dell Latitude E7270 после включения компьютера нужно нажать кнопку F12. На экране выбора режима загрузки нужно выбрать Intel(R) Management Engine BIOS Extension (MEBx).

  • Затем нужно выбрать пункт MEBx Login и нажать Enter.
  • Укажите пароль для входа в режим Intel(R) ME (по умолчанию это admin)

Вам сразу же будет предложено указать новый пароль. Требования к паролю: не менее 8 символов, разный регистр, наличие цифр и спецсимволов.

  • После смены пароля выберите меню настройки Intel(R) AMT configuration .
  • Измените значение Manageability Feature Selection на Enabled
  • Активируйте функции в разделе SOL/Storage Redirection/KVM

Перейдите в раздел User Consent и измените параметр User Opt-in с KVM на None (отключится запрос кода-подтверждения пользователем).

Теперь нужно включить доступ по сети. Выберите пункт Activate Network Access. И подтвердите включение клавишей Y.

  • Выберите пункт меню MEBx Exit и нажмите Y для сохранения изменений. Компьютер перезагрузится.

Теперь, если при загрузке нажат кнопку F12, вы увидите новую опцию Intel(R) Fast Call for Help. Выберите ее и нажмите Enter.

Удаленное администрирование – штука хорошая в первую очередь из-за экономии времени: сотруднику ИТ-отдела не нужно бегать к чужому рабочему месту (которое может находиться на приличном расстоянии), тратя на это свое и чужое время: можно сразу подключиться к удаленному ПК с рабочего места специалиста по обслуживанию. Удаленное управление (УУ) позволяет решать большое количество проблем с ПО и настройками системы. Однако традиционное УУ работоспособно только в том случае, когда операционная система (ОС) функциональна, драйвер сетевого адаптера работает и, обеспечено подключение к локальной сети. Достаточно сбоя в работе хотя бы одного из этих звеньев и удаленно уже ничего сделать нельзя. Проблемы вне ОС, например, в BIOS, так тоже не устранишь. Как и причины, мешающие загрузке системы. Да, кстати: не забудем, что для традиционного УУ компьютер должен быть включен.


Технология Intel® AMT в этом плане на голову выше: она реализована на аппаратном уровне, поэтому компьютером можно управлять даже при неработоспособной ОС. Можно удаленно запустить систему, настроить параметры BIOS, загрузиться с внешнего накопителя для установки и развертывания ОС и ПО, переустановить сетевые драйверы и т.д. Фактически, с помощью АМТ можно решить любые программные проблемы: если «железо» работает нормально, то все остальное выполнимо.

Немного о технической реализации Intel АМТ

Intel® AMT присутствует в решениях Intel уже почти десять лет (впервые она появилась в 2006 году) и все это время активно развивалась. Начиная с 6-й версии технология предоставляет полноценный KVM (keyboard-video-mouse), то есть удаленный оператор получает картинку с монитора и может управлять удаленным ПК с помощью клавиатуры и мыши, как обычно. Последние версии, кстати говоря, поддерживают передачу картинки с разрешением FullHD и выше. АМТ способна передавать управление с удаленной системы всегда, когда включен компьютер: будь то загрузка ОС, выбор загрузчика, загрузка на уровне BIOS или управление параметрами BIOS.


Правда, у аппаратной реализации есть оборотная сторона: нужно выбирать такоке оборудование, которое поддерживает АМТ. И думать об этом следует при закупке оборудования, а не при возникновении аварийной ситуации. АМТ является частью набора vPro, для поддержки которого требуется специальная версия процессора, платформы и сетевого адаптера. Ее поддерживают некоторые чипсеты Intel профессиональных серий, индексы которых заканчиваются на «7», и некоторые модели процессоров Intel ® Core ™ i5 и i7. Однако проще ориентироваться на наличие логотипа vPro.

С технической точки зрения АМТ работает следующим образом: она создает отдельный, совершенно независимый и изолированный от основного, зашифрованный канал обмена данными по локальной сети. Полноценно технология работает только при проводном подключении к локальной сети. Мобильные устройства могут работать и через беспроводные сети, но с серьезными ограничениями: ОС и драйверы сетевого адаптера должны быть установлены, а подключение к сети быть активным. Все необходимое для работы АМТ ПО находится в особой защищенной зоне внутри BIOS.

Наконец, Intel ® АМТ использует распространенный протокол управления VNC, под который существует много продуктов. В качестве ПО для удаленного рабочего стола можно использовать следующие продукты:

1) TightVNC Viewer (Windows);

2) Real VNC Viewer (Windows);

3) VNC Viewer Plus (Windows);

4) Ultra VNC (Windows);

6) Remmina (Linux);

8) Real VNC Viewer for Android (Android);

9) AndroidVNC Viewer (Android);

10) akRDC Free VNC Viewer (Android);

11) Remote Ripple-VNC (Android);


Как видим, список VNC-клиентов обширен, и важно что поддержана работа в Windows, Linux и Android. Это позволяет осуществлять УУ с любого устройства. То есть технология Intel ® AMT имеет широкую поддержку и не привязана к конкретным ОС.

Основные преимущества

Итак, коротко взглянем на основные преимущества технологии по сравнению с распространенными средствами УУ:

- в отличие от программных средств AMT работает и при нефункциональной ОС, позволяет настраивать BIOS и пр.;

- имеет встроенные средства безопасности и надежные алгоритмы шифрования;

- является бесплатной, тогда как многие программные средства удаленного администрирования - платные. Хотя здесь следует учитывать, что ее стоимость включена в стоимость компонентов с логотипом vPro;

- позволяет включать и выключать компьютер;

- позволяет загрузиться с удаленного носителя, в том числе для установки или развертывания ОС и ПО.

В общем, по совокупности возможностей АМТ далеко обходит программные решения

Сценарии использования

Самый распространенный сценарий - дистанционное решение проблем, возникающих на компьютере пользователя. AMT дает огромный выигрыш во времени. Особенно это выгодно в ситуациях, когда когда ИТ-отдел и пользователи находятся в разных зданиях. К тому же АМТ позволяет решать гораздо более широкий круг проблем; т.е., практически все проблемы кроме отказа аппаратных компонентов.


Появляется возможность удаленно проводить плановое сервисное обслуживание, например, установку обновлений. Специалисту не требуется физический доступ к компьютеру, он может производить любые действия, включая перезагрузку системы, удаленно. Также он может мгновенно переключаться от одной системы к другой, что ускоряет выполнение работы. Это тем более важно, поскольку установка обновлений ОС и ПО в рабочее время нежелательна и эти действия производятся, как правило, после окончания рабочего дня или на выходных.

Следующий выгодный сценарий использования АМТ - возможность обеспечения круглосуточной поддержки. Поскольку для решения большинства технических проблем уже нет необходимости в физическом доступе к компьютеру пользователя, можно использовать ИТ-персонал из других регионов с другими часовыми поясами. Кстати говоря, это позволяет предприятию сэкономить, размещая удаленные ИТ-отделы в регионах, где заработные платы ИТ-персонала ниже.

Развертывание ОС и ПО перестает быть проблемой, т.к. АМТ поддерживает загрузку компьютера с использованием удаленного образа. Если физически компьютер подключен к проводной сети, то специалист может удаленно включить его, загрузиться с помощью технологии IDE-R и произвести установку и настройку системы. Кстати, если необходима эта функция, то нужно внимательно ознакомиться с настройками, так как скорость удаленной загрузки может значительно отличаться от привычной.

Существенно упрощается ситуация в случае заражения системы вирусом. Поскольку канал управления независим от ОС, вирус не может нарушить удаленное управление, а специалист может производить любые нужные действия, вплоть до переустановки ОС и развертывания настроенного образа.

Итоги

Как мы видим, у технологии Intel ® АМТ много преимуществ. Так почему же ее не используют повсеместно? Может быть для ее использования необходимо специфическое и дорогое оборудование?

На самом деле, особо критичных требований у Intel ® АМТ нет. Правда, на этапе закупки техники необходимо обратить внимание на наличие в ней поддержки vPro, а потом правильно все настроить, но и тут особых сложностей не возникает. Проводное соединение не является проблемой, так как ЛВС в современном офисе есть везде. К тому же AMT (при соблюдении некоторых простых условий) работает везде, в том числе, посредством Интернет.

image

Автор: Positive Technologies рейтинг

Технология Intel ME (или AMT, Active Management Technology) является одним из самых загадочных и мощных элементов современных x86-платформ. Инструмент изначально создавался в качестве решения для удаленного администрирования. Однако он обладает столь мощной функциональностью и настолько неподконтролен пользователям Intel-based устройств, что многие из них хотели бы отключить эту технологию, что сделать не так-то просто.

На прошедшем 17 и 18 мая в Москве форуме Positive Hack Days VI исследователи Positive Technologies Максим Горячий и Марк Ермолов представили несколько техник отключения Intel ME, сопроводив доклад видеодемонстрацией процесса.

Что это, и зачем нужно отключать

Подсистема Intel Management Engine (ME) представляет собой дополнительный «скрытый» процессор, который присутствует во всех устройствах на базе чипсетов Intel (не только в PC и ноутбуках, но и в серверах). Среда исполнения ME никогда не «спит» и работает даже при выключенном компьютере (при наличии дежурного напряжения), а также имеет доступ к оперативной памяти, сетевому интерфейсу, USB контроллеру и встроенному графическому адаптеру.

Несмотря на столь обширные возможности, существуют вопросы к уровню защищенности ME — ранее исследователи уже находили серьезные уязвимости и векторы атак. Кроме того, подсистема содержит потенциально опасные функции — удаленное управление, NFC, скрытый сервисный раздел (hidden service partition). Интерфейсы подсистемы ME недокументированы, а реализация закрыта.

Все эти причины приводят к тому, что многие рассматривают технологию ME в качестве «аппаратной закладки». Ситуацию усугубляет тот факт, что с одной стороны у пользователя устройства нет возможностей по отключению этой функциональности, а с другой производитель оборудования может допустить ошибки в конфигурации МЕ.

Хорошая новость заключается в том, что способы отключения ME все же существуют.

Техники отключения Intel ME

Исследователи компании Positive Technologies Максим Горячий и Марк Ермолов в ходе состоявшегося в Москве форума Positive Hack Days VI представили доклад, посвященный отключению Intel ME. Специалисты описали несколько техник отключения данной подсистемы:

  1. Основанные на сбое инициализации ME;
  2. Через механизм обновления микропрограммы ME;
  3. Недокументированные команды
  4. Недокументированный механизм, предназначенный для разработчиков аппаратуры — Manufacture Mode.

Большинство методов отключения используют встроенные механизмы ME, разработанные для вендоров устройств на платформе Intel. Все они подробно описаны в презентации, которая опубликована на GitHub. По ссылке представлено демонстрационное видео отключения ME (оно же ниже):

И тем не менее, возникает резонный вопрос: «Действительно ли ME перестает работать в полном объеме при использовании ее встроенных механизмов отключения?» В качестве доказательства факта отключения МЕ исследователи приводят следующий аргумент: ME работает в двух режимах использования памяти: только SRAM (встроенный в ME) и SRAM + UMA. UMA — это часть памяти хоста, которая используется как подкачиваемая память (swap). После инициализации DRAM-контроллера хостом ME всегда переключается в режим SRAM + UMA.

Таким образом, если ME действительно выключена, то при отключении на аппаратном уровне доступа МЕ к UMA-памяти в произвольный момент (посредствам канала VСm), в МЕ не будет происходить аппаратных сбоев, связанных с отсутствием данных и кода, которые были вытеснены в UMA память (такие аппаратные сбои приводят к аварийному отключению питания с основных аппаратных компонентов платформы). С другой стороны применение этих методов позволяет осуществить DoS-атаки на технологию AMT в случае ее применения для удаленного управления.

Читайте также:

      
  • Как в гугл ворде настроить поля
    •   
  • Dbeaver файлы драйвера postgresql отсутствуют
    •   
  • After effects рендерит только 30 секунд
    •   
  • Как сделать справку 3 ндфл в 1с
    •   
  • 1с выгрузить данные для перехода в сервис что это
  • Контакты
  • Политика конфиденциальности