Инициализация AMT 6 (на примере Intel DQ57TM) с помощью Intel SCS 7.1

До этого для инициализации мы использовали пакет MDTK, в частности, Командир из него. Это просто, наглядно, удобно. Однако в жизни всё так просто не бывает, потому пора перейти к сложностям и попробовать сделать то же самое (провести инициализацию AMT) с помощью Intel SCS. Хотел добавить "непросто, ненаглядно, неудобно", но передумал.

Использовать будем Intel SCS 7.1 - это последняя доступная "открытая" версия (с доступным открытым исходным кодом). Следующая за ней Intel SCS 8.0 и более новые стали "закрытыми". Но не только это есть причиной - они банально стали ещё более неудобными, в то время как SCS 7.1 прекрасно справляется с этими же задачами.
Версии 7.0 и древней смысла рассматривать тоже нет - уже, как минимум, в текущей ситуации, с актуальностью на компьютерного железа на данный момент.

AMT 6 + Intel DQ57TM

Рассмотрим практический вариант, когда вам досталась подобная неплохая и вполне ещё актуальная на данный момент материнская плата.
Нужно отметить, что все "интеловские" (как производителя матплат) материнские платы не имеют привычного MEBx, вызываемого по CTRL-P. Данный пункт находится непосредственно в BIOS, куда вы попадаете по стандартной клавише F2.

Intel DQ57TM BIOS

Чтобы сбросить неизвестный вам админский ME-пароль, то для этого придётся, опять же характерно для "интеловских" матплат переставить джампер BIOS CFG в положение 2-3 (Recovery/Config) и зайти в BIOS.

Intel DQ57TM BIOS cfg

Появятся дополнительные пункты, где можно будет отдельно выбрать сброс AMT в заводские настройки (будет установлен пароль "admin").

Intel DQ57TM BIOS AMT to defaults

После сброса, возвращения конфигурационного джампера на место, можно попасть в пункт биосам "Intel ME", введя стандартный пароль "admin":

Intel DQ57TM BIOS ME

После этого стандартно потребуется задать новый пароль, как и ранее мы рассматривали, не забываем, что он должен быть "сложным", т.е. использовать буквоцифры, большие-маленькие и знаки, например, "P@ssw0rd" или "vPro!by1".

Intel DQ57TM BIOS ME new password

В результате попадаем в "интеловский аналог" MEBx:

Intel DQ57TM Intel ME

Разбивка менюшек и названия пунктов отличаются от "привычных", хотя смысл, в принципе, тот же.

Единственное, что крайне важно отметить, можете даже не искать пункта "Activate Network Access" - его там нет. Почему? Но ведь это было бы слишком просто! И ненадёжно. А в Интел - всё надёжно в первую очередь. Остальное - для ламеров, которые даже не умеют пользоваться Intel SCS. Чтобы перейти в касту избранных Intel - читайте дальше.

В общем, менять в "Intel ME" ничего не будем, чтобы после всё сделать с помощью Intel SCS.

USB-provisioning

Далее, чтобы не усложнять и так сложное и не заморачиваться ещё и с настройкой DCHP/DNS - сделаем предварительную настройку с помощью USB-key (с помощью флешки, подробности читайте в статье про USBfile). В версии AMT добавилась поддержка файла setup.bin третьей версии. Чтобы задействовать это, используем следующие ключики:

USBfile -create setup.bin vPro!by1 vPro!by1 -dns vpro.by -hash root_AMT-guide.cer "AMT-guide" -redir 3 -kvm 1 -userConsentOption 0 -v 3

Основные ключики мы уже проходили, добавился достаточно понятный ключик "-kvm" (разрешение на использование AMT KVM) и "-userConsentOption" - отключающий требование подтверждения пользовательским паролем при подключении по AMT KVM. Последнее - использование "userConsent" - страшно неудобно (когда речь о личном компьютере), потому можно выключить прямо "с помощью флешки" (хотя это же можно после сделать и "с помощью SCS").

Вставляем флешку с новым файлом, включаем компьютер:

Intel DQ57TM USB key

После нажатия "Y" - компьютер готов к инициализации. Готов - это значит, что мы прописали в него "PKI DNS" (чтобы не настраивать DHCP/DNS) и хэш ранее созданного нами рут-сертификата (чтобы AMT-компьютер "доверял" нашему инициализационному сертификату).

Загружаемся, видим:

AMT guide17 non configured

"Не сконфигурировано".

Сертификат для инициализации AMT

Далее нам потребуется сертификат, с помощью которого можно будет проинициализировать AMT. Запускаем Директора, где мы делали свой корневой сертификат и создаём на его базе, для простоты, "wildcard"-сертификат:

AMT guide17 wildcard cert

"Wildcard" обозначает, что мы можем использовать любой поддомен ("*"). Важно лишь, чтобы совпадал "основной домен" - потому выше мы прописали в PKI DNS значение "vpro.by".

Эту операцию мы делали именно как "замену настройке DHCP/DNS", которые сейчас не важны (AMT будет считывать информацию из установленного нами поля PKI DNS). Потому вместо "vpro.by" можно прописать от балды что угодно, лишь во избежание проблем, разделить это точкой (чтобы "получить FQDN"). Например: "it.galaxy".

Сохраняем сертификат для удобности экспорта (нам его потребуется закидывать на виртуалку с Intel SCS) в pfx:

AMT guide17 wildcard cert pfx

Настройка Intel SCS

Теперь настраиваем Intel SCS. Я для удобства ставлю её на виртуалку на компьютере, находящемся в локальной сети. Или, по-простому, плата Intel DQ57TM рядом с моим рабочим компом и подключена через свитч.

Intel SCS нельзя ставить на виртуалку на самом AMT6-компьютере, который вы хотите проинициализировать. Точней, конечно, можно, просто не отработает. Почему - читайте в следующей статье.

В данном случае мы не будем сразу же настраивать TLS-сертификаты для обеспечения шифрованного соединения (сделаем это в следующей части), потому настройка Intel SCS по сути состоит из установки. Я ставлю её на Windows Server 2008R2 64-bit лишь с настроенной ролью AD:

AMT guide17 WS2008

Всё точно также, даже где-то проще, можно сделать и на Window Server 2003 32-bit (что я обычно всегда и делал), однако, под воздействием статьи Александра Давыдова, окончательно списавшего её в утиль - решил (сейчас и далее) делать на примере WS2008+.

Запускаем установочный файл Intel SCS 7.1.5.19 (в виртуалке):

AMT guide17 Intel SCS 7.1

Указываем действующие пароли доступа к ней (для удобства можно админские, чтобы не запускать Intel SCS из-под отдельного юзера):

AMT guide17 Intel SCS 7.1 admin pas

После установки можно зайти и сразу создать какой-нибудь минимальный профиль:

AMT guide17 Intel SCS 7.1 Profile1

Ничего пока не выбираем, никакие опции не ставим:

AMT guide17 Intel SCS 7.1 Profile1 Optional

Лишь на последнем шаге нужно будет задать наши пароли:

AMT guide17 Intel SCS 7.1 Profile1 System Settings

Пароль для KVM (8 буквоцифр), пароль MEBx, который мы установили ранее (можно посмотреть, что прописывали в USB-key) и для удобства такой же прописываем в качестве "AMT-админского" (напоминаю, что это "разные пароли", потому "и могут быть разными" - см. "Основные пароли Intel AMT", что, собственно, здесь и отражено).

Больше ничего можно не менять, лишь, если зайти в менюшку KVM, то можно обнаружить пунктик отключения UserConsent (который, в принципе, мы уже выключили с помощью USB-key - здесь можно это сделать с помощь SCS).

AMT guide17 Intel SCS 7.1 KVM User Consent

После окончания создания, профиль появится в списке доступных к инициализации. Можно попробовать-посоздавать ещё - после можно будет отредактировать или удалить.

По умолчанию Intel SCS настроен на работу с помощью OTP, нам такое незачем, потому идём в настройки:

AMT guide17 Intel SCS 7.1 Edit Settings

И отключаем OTP:

AMT guide17 Intel SCS 7.1 Disable OTP

Далее импортируем сюда ранее созданный нами wildcard-сертификат для инициализации - ведь у Intel SCS он должен быть, чтобы подписать им конфигурацию на инициализацию AMT. Помещать его в трастовые не нужно, просто кликаем "автомат". Он попадёт в личные, с которыми благополучно работает Intel SCS, т.к. мы его запускаем из-под того же админа:

AMT guide17 WS2008 cert import

Всё, теперь Intel SCS готов к работе.

ACU Wizard и ACU Configurator

Теперь на АМТ6-компьютере запускаем "SCS-клиент" - утилита ACU Wizard из набора Intel SCS. Сделаем это для того, чтобы точно убедиться, что всё правильно настроили с одной стороны и заодно сохранить созданный профиль локально для инициализации и последующей конфигурации (будем использовать в следующих статьях).

AMT guide17 ACU_Wizard

Чтобы после не получить сообщение об ошибке:

AMT guide17 admin error

Стоит сразу убедиться, что вы её запускаете от имени администратора.

На стартовой картинке выбираем нижний пункт "Create Settings or Configure Multiple Systems".

Вводим IP и логин-пароль к виртуалке с Intel SCS:

AMT guide17 Connect to Service


Если всё сделано правильно - подключаемся таким способом на подготовленный нами ранее Intel SCS, выбираем там свежесозданный профиль и жмём "Экспортировать в XML":

AMT guide17 Export to XML

Указываем имя и путь (локальный, на AMT-компьютере) для сохранения профиля. Снимаем галку шифрования, чтобы после можно было при желании отредактировать вручную полученный файл профиля.

В более новых версиях SCS эта важная возможность - получения нешифрованного профиля - скажу дипломатично, "более не доступна".

Далее указываем логин-пароль админавиртуалки, где стоит SCS (т.к. опять же, сервис SCS в нашем случае запущен из-под админского аккаунта).

И, наконец, обязательно помечаем важный пунктик "Put locally configured devices in Admin Control Mode" иначе мы получим описанный в прошлой статье "Client Mode" с его ограничениями, что нам не подходит (да и для его получения не требовался весь этот описываемый здесь сыр-бор).

После этого можно применить полученный профиль зайдя в первый пункт начального экрана "Configure/Unconfigure this System". Либо можно задействовать ACU_Configurator, аналог ACU_Wizard, только для командной строки. ("Чтоб уж по полной программе, так по полной").

Создаю простой командный файл вида:

AMT guide17 ACU_config cmd

И запускаю его в командной строке (тоже не забывать: "cmd" - также из-под админа). Подумав минуту-другую процесс закончится.

AMT guide17 ACU_config cmd run

Если всё хорошо (а у меня - всё хорошо) - инициализацией AMT 6:

AMT guide17 Configured

В общем, всё просто. Ну, или почти всё. А про сложное - поговорим в следующих частях.

Добавить комментарий

Filtered HTML

  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Доступные HTML теги: <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Строки и параграфы переносятся автоматически.

Plain text

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и параграфы переносятся автоматически.
Anti-bot.