Intel AMT 6.2 — "официально минимально рекомендуемая версия" АМТ

Спустя примерно год после появления AMT 6.1 с локальным конфигурированием (HBS - Host Based Setup), летом 2011-го года, вышло минорное обновление - AMT 6.2. Оно вышло уже после появление АМТ 7.0 и по сути было его “бэкпортом” на шестую версию.

Intel AMT Release 6.2 contains a backport of the Host-based setup feature with certain limitations:

The release does not support the following IPS_HostBasedSetupService methods:

–AdminSetup
–UpgradeClientToAdmin
–AddNextCertInChain

To perform a setup resulting in Admin Control mode, perform a remote configuration. To transition from Client Control mode to Admin Control mode, first perform an unprovision; then perform a remote configuration.

Если конкретно, то в шестой версии присутствует лишь следующий набор функций HBS:

  1. AMT_SetupAndConfigurationService.Get
  2. IPS_ProvisioningAuditRecord.Get
  3. AMT_GeneralSystemDefenseCapabilities.Get
  4. IPS_ClientProvisioningRecord.Get
  5. IPS_TLSProvisioningRecord.Get
  6. IPS_OptInServiceOptInService.Get

И перечисленные выше “ограничения” как раз обозначают сказанное в предыдущей статье - применительно к шестой версии HBS превращается в HBC - Host Based Config, т.к. не поддеживается локальная инициализация (для которой обязательно требуются “AdminSetup” или “UpgradeClientToAdmin”), однако присутствует локальное конфигурирование/переконфигурирование (после проведённой инициализации АМТ).

Для тех, кто будет пытаться реализовать данные функции на АМТ 6.1 и 6.2, то важно отметить, что нужно убедиться, что локальная конфигурация разрешена вообще (см. IsHBPSupported) - многие производители по старой-доброй привычке “на всякий вырубим” запрещают всё “лишнее”. Включать его придётся “ручками” - в биосе будет пункт типа “Host Based Setup Enable”.

Если же сравнивать АМТ6.2 с АМТ 6.1, то особо принципиальных вещей не было, в основном были подчищены ляпы, что были допущены в “пионерской” версии с поддержкой локального конфигурирования, типа возможности через АМТ локально выключить питание компьютера (“самому себе”).

Минимально рекомендуемая версия АМТ — 6.2

Версия АМТ 6.2 является “официально минимально рекомендуемой”. Именно на АМТ 6.2 и более новые рассчитывают все современные утилиты Intel AMT - в первую очередь Intel SCS. Версии AMT 6.1 и древней официально считаются “depricated” и никто не гарантирует корректной работы с ними. Неправильно говорить, что они “точно не заработают” - они запросто могут отработать. Но с ними тот же Intel SCS последних версий уже не тестируют и потому проблемы могут вылезти в самых неожиданных местах, не позволяя сделать элементарное.

Конфигурирование AMT 6.2 с помощью Intel SCS 9.1

До этого я постоянно рассматривал “последнюю из открытых” версию Intel SCS - 7.1, однако, конечно, большинство обычно использует самое последнее. На данный момент это Intel SCS 9.1. Дабы подтвердить работоспособность Intel SCS 9.1 + AMT 6.2, проведём переконфигурирование плату Intel DQ57TM с AMT 6.2 на борту.

Принципиальных отличий (от версии 7.1) у той части, которая нас интересует - ACU Wizard 9.1 - нет (по сути - лишь цифры версии).

ACU_Wizard 9.1

Лишь на последнем шаге вы не увидите галочки, предлагающей выбрать, шифровать или не шифровать профиль:

Нет выбора Encryption

Т.е. шифрование профиля идёт в “добровольно-принудительном” порядке.

Процесс переконфигурирования прошёл успешно, подробности можно посмотреть в логе - в папке “ACU_Wizard” после каждой попытки автоматически создаётся файл “ACUConfig.log”. Собственно, название говорит за себя - акувизард лишь GUI-оболочка, запускающая CLI-вариант - ACU_Configurator, с которым мы уже работали раньше.

Кстати, по размеру лога можно быстро понять, удачно ли завершился процесс: если всё хорошо, то его размер будет порядка 50кБ. :)

Лог ACU_Configurator-а - очень важная часть работы с АМТ, т.к. проблемы в этом деле крайне очень частая вещь. Это чтобы не сложилось ложное впечатление, что всё так легко в реальности, как в моих статьях. К сожалению, несмотря на достаточно подробное логгирование процесса, в реальности понять, что произошло в случае ошибки - очень и очень непросто. Без опыта и хорошего понимания процессов инициализации и конфигурирования, не стоит рассчитывать на лог - он не подскажет вам, что вы забыли что-то включить MEBx или что у вас проблемы с сертификатами.

Расшифровка профиля

Чтобы можно было увидеть, что вы там сделали (или пытались сделать - если процесс конфигурирования закончился неудачно) - нужно просмотреть профиль, который создаётся при настройке нужных вам параметров. В папке ACU_Wizard вы найдёте файл Profile.xml. Просто просмотреть его не получится (лишь в случае использования Intel SCS 7.1 со снятой галкой шифрования). Его потребуется расшифровать. В zip-файле с Intel SCS имеется папка Utils, где вы можете найти SCSEncryption.exe. Вспоминаете какой пароль вы использовали при шифровании профиля (который вы указывали на картинке выше) и запускаете:

c:\1\IntelSCS9.1\Utils>SCSEncryption.exe Decrypt Profile.xml ваш_пароль
Exit with status:
Success.

Profile.xml

Рассмотрим простенький профиль с TLS (из ранее нами сделанного):

<?xml version="1.0"?>
<Profile>
  <SCSVersion>9.1.2.74</SCSVersion>
  <Description />
  <NetworkSettings>
    <SourceForAMTName>File</SourceForAMTName>
    <SharedFQDN>true</SharedFQDN>
    <DNSUpdate>DYNAMICUPDATE</DNSUpdate>
    <SourceForAMTIP>DHCP</SourceForAMTIP>
  </NetworkSettings>
  <AdminCredentials>
    <SourceForAdminPassword>Defined</SourceForAdminPassword>
    <AdminPassword>vPro!by</AdminPassword>
  </AdminCredentials>
  <EnabledInterfaces>
    <EnableSOL>true</EnableSOL>
    <EnableIDER>true</EnableIDER>
    <EnableWebUI>true</EnableWebUI>
    <EnablePingResponse>true</EnablePingResponse>
    <EnableLocalTimeSync>true</EnableLocalTimeSync>
  </EnabledInterfaces>
  <KVMOptions>
    <EnableKVM>true</EnableKVM>
    <RFBPassword>vPro!by</RFBPassword>
    <EnableUserConsent>true</EnableUserConsent>
    <UserConsentTimeout>300</UserConsentTimeout>
  </KVMOptions>
  <PowerOptions>
    <PowerState>PowerStateS5</PowerState>
    <WakeOnNetAccessSleepTimer>3</WakeOnNetAccessSleepTimer>
  </PowerOptions>
  <TLSSettings>
    <NetworkTLSAuthentication>1</NetworkTLSAuthentication>
    <TLSServerCertificate>2483975695</TLSServerCertificate>
    <CRLs />
  </TLSSettings>
  <ACLs />
  <EnvironmentDetection>
    <AllowVPN>false</AllowVPN>
  </EnvironmentDetection>
  <RemoteAccess>
    <EnableClientInitiatedViaOS>true</EnableClientInitiatedViaOS>
    <EnableClientInitiatedViaBIOS>true</EnableClientInitiatedViaBIOS>
  </RemoteAccess>
  <Wireless>
    <EnableWireless>false</EnableWireless>
    <WIFISyncType>3</WIFISyncType>
    <Profiles />
  </Wireless>
  <Wired8021xSetting>
    <Enable8021xSettings>false</Enable8021xSettings>
  </Wired8021xSetting>
  <EACSettings>
    <EnableEAC>false</EnableEAC>
  </EACSettings>
  <ADIntegration>
    <EnableADIntegration>false</EnableADIntegration>
  </ADIntegration>
  <Certificates>
    <Certificate>
      <CertificateId>2483975695</CertificateId>
      <CertificateProvided>true</CertificateProvided>
      <CertificateProperties>
        <CertificateFile>C:\1\certs\amt6.crt</CertificateFile>
        <PrivateKeyFile>C:\1\certs\amt6.rsa-key</PrivateKeyFile>
      </CertificateProperties>
    </Certificate>
  </Certificates>
  <RootCertificates>
    <AddOnly>false</AddOnly>
  </RootCertificates>
</Profile>

Основные поля достаточно понятны, остановлюсь на “неочевидных”.

NetworkSettings

Важная секция настроек сетевого имени (“AMT-имени” компьютера) - то, что прописывается в MEBx и что должно совпадать с CN в сертификате.

<SourceForAMTName>File</SourceForAMTName> - в данном случае случае блок настроек берётся из отдельного файла NetworkSettings.xml, который вы найдёте в папке ACU_Wizard. Он имеет примитивную структуру, в моём случае:

<?xml version="1.0" encoding="utf-8"?>
<NetworkSettings>
  <CreatedFor>AMT6</CreatedFor>
  <NewAmtFQDN>amt6.vpro.by</NewAmtFQDN>
</NetworkSettings>

Почему это не сделать сразу в одном файле? Подобный “артефакт” кочует ещё с очень древних версий Intel, где такое требовалось для автоматизации. Никто особо не парится - работает, ну и работает.

В частности, после нажатия кнопки NetworkSettings на главном экране и переопределяя дефолтные устновки (собственно, чтобы принудительно задать “АМТ-имя” - на которое мы генерировали сертификат), ACU_Wizard и создаёт данный файл, после передавая его ACU_Configurator в командной строке.

Настройки KVM

В текущем у меня:

    <EnableUserConsent>true</EnableUserConsent>
    <UserConsentTimeout>300</UserConsentTimeout>

Это обозначает, что будет требоваться подтверждение при подключении AMT KVM. Число - время в секундах - период, когда нужно ввести пароль “User Consent”.
Чтобы его убрать (без подтверждения), должно быть:

    <EnableUserConsent>false</EnableUserConsent>
    <UserConsentTimeout>0</UserConsentTimeout>

Настройка TLS

Включение TLS состоит из секции его разрешения:

  <TLSSettings>
    <NetworkTLSAuthentication>1</NetworkTLSAuthentication>
    <TLSServerCertificate>2483975695</TLSServerCertificate>
    <CRLs />
  </TLSSettings>

... и номера-ссылки на сертификат (случайное число). Сертификат с оным будет ниже:

  <Certificates>
    <Certificate>
      <CertificateId>2483975695</CertificateId>
      <CertificateProvided>true</CertificateProvided>
      <CertificateProperties>
        <CertificateFile>C:\1\certs\amt6.crt</CertificateFile>
        <PrivateKeyFile>C:\1\certs\amt6.rsa-key</PrivateKeyFile>
      </CertificateProperties>
    </Certificate>
  </Certificates>

Видны локальные пути к файлам на АМТ-компьютере, которые мы раньше указывали.

Root-сертификаты

Секция рут-сертификатов:

  <RootCertificates>
    <AddOnly>false</AddOnly>
  </RootCertificates>

В данном случае она пуста. Содержимое root-сертификатов (когда они есть) прописывается непосредственно в профиль (в отличие от “ссылок” на сертификаты во всех других случаях).

Зашифровка профиля

После изменения нужных настроек в профиле (если есть такая необходимость), чтобы его зашифровать, используем альтернативный ключик:

c:\1\IntelSCS9.1\Utils>SCSEncryption.exe Encrypt c:\1\IntelSCS9.1\ACU_Wizard\Profile.xml ваш_пароль
Exit with status:
Success.

Итого, AMT 6.2 благополучно поддерживается самыми последними Intel AMT утилитами, являясь “официальным минимум” версий АМТ на данный момент (2015 год). Intel SCS 9.1 сделал в отношении AMT 6.2 всё то же самое, что и Intel SCS 7.1, только более неудобно из-за принудительного шифрования (есть и другие неудобности, но они касаются более древних версий AMT).

С точки зрения приобретения недорого б/у-ного ноутбука с поддержкой АМТ 6.2 - проверьте, есть ли на него BIOS 2012-го года (и новей), иначе, он, к сожалению то, скорей всего, не будет поддерживать 6.2 (напомню, что не нужно путать версию, отображаемую в MEBx-Setup - она может быть 6.0, а firmware - 6.1 или 6.2). В случае такого ноутбука вы сможете перевести его в админский режим (проинициализировать) просто нажатием кнопки “Activate Network Access”, после чего его возможности относительно АМТ практически будут равняться тем, что есть у самых последних АМТ10-ноутбуков.

Добавить комментарий

Filtered HTML

  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Доступные HTML теги: <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Строки и параграфы переносятся автоматически.

Plain text

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и параграфы переносятся автоматически.
Anti-bot.