Статья "Основные пароли AMT" из серии "Учебник по Intel AMT", часть вторая.

См. также: часть первая: "Источники информации по Intel AMT".

Intel AMT - теория и практика

Для начала и, вообще, просто хорошего понимания "теоретической" составляющей Intel AMT - правильней ознакомиться с тем, откуда и как появилась эта технология. Для этого крайне рекомендуются к ознакомлению:

• Intel Management Engine - краткая предыстория (Intel AMT - модуль Intel ME, потому и понимание работы ME)
• Intel Management Engine - подробности по версиям
• Intel AMT - история появления и развития функционала

Небольшое вступление

Данные строки пишутся в 2014-м году, когда должна появиться "юбилейная" десятая версия Intel AMT, а самой технологии исполнится 10 лет в следующем. В среднем раз в год появляется новая версия, в то время как обновление парка компьютеров не столь стремительное. В последние годы Intel делает акцент на том, что для поспевания за прогрессом необходимо обновлять компьютеры каждые три года, в то время как в обычной практике это пять лет, а если учесть "наши реалии", то это 7-10 лет и даже больше. В результате у большинства админов, которые являются одной из главных целевых аудиторий темы Intel AMT, в "подчинении" может быть обычно весь спектр, все версии, как минимум, начиная со второй (что где-то и соответствует 7 годам жизни AMT-систем на данный момент).

Исходя из такой предпосылки, а также просто потому, что самая первая версия Intel AMT была встроена в сетевую карту, что более сложно для понимания (вторая, как и все последующие версии AMT - встроены в чипсет), потому правильней разбираться с темой Intel AMT как раз начиная с версий 2.0 - первой "настольной" версии Intel AMT (первая версия для мобильных систем - Intel AMT 2.5). Поняв, как работает AMT 2, будет понятна основная "база" функционала AMT, т.к. по самому принципу работы в последующих версиях Intel AMT ничего не поменялось.

Intel AMT 2 - терминология

Обновление Intel AMT 2.0->2.1->2.2 было доступно для большинства систем того времени, потому говоря про AMT2 - сейчас (и вообще - ведь обновлений больше не будет) обычно подразумевается Intel AMT2.2 система.

В реальности речь идёт, конечно, про обновление Intel ME 2.0->2.1->2.2, однако для большей простоты здесь и далее будем говорить про AMT (которая по сути лишь модуль МЕ).

Часто используется вариант написания "AMT 2.x", однако в таком случае под него подпадает и мобильная версия AMT 2.5/2.6, потому при важности этого момента - его выделяют отдельно.

Intel AMT 2 система - HP Compaq dc7700p

Чтобы не заниматься одним "теоретизированием", будем отталкиваться от реальной и для многих вполне ещё актуальной техники. В частности, разберём работу AMT2 на примере популярной (2007-2008гг.) системы HP dc7700p.
Как и многие другие, так называемые workstation-системы, предназначенные для "enterprise"-сегмента рынка, она оснащена поддержкой Intel AMT.

Это полезный к учёту момент - многие (возможно - даже большинство) "workstation-системы" от известных брендов (в данном примере - HP) оснащены поддержкой Intel AMT, т.к. это соответствовало (-ет) позиционированию Intel данной технологии на этот сегмент рынка.

Версии AMT 2

Итак, версия AMT 2.0 появилась летом 2006-го года. Это первая версия АМТ, встроенная в чипсет (i965Q/ICH8), первая версия, которая пошла под брендом vPro и предназначалась лишь для "настольного" (desktop) сегмента. Версия для мобильных пошла под номером AMT 2.5 и появилась в 2007-м (PM965/ICH9M).
Вскоре вышло обновление AMT 2.1 и уже позже - 2.2.

Подробности о том, что появилось в каждой из подверсий различных версий AMT - будут рассмотрены в отдельной статье. Частично (сухо-кратко) они описаны в Intel AMT - история появления и развития функционала. Потому здесь и далее исходим из того, что каждая доставшаяся вам AMT-система имеет последнюю доступную версию. Для АМТ2 - это 2.2.

Если вам досталась система с версией AMT 2.0 - качайте обновления до 2.2 с сайта производителя.

Заметка: если в случае обновления AMT на системе HP dc7700p вы получаете ошибку "Failed to receive last update status from the firmware" - читайте тут.

Сразу стоит упомянуть и про мобильные (т.е. для ноутбуков) версии AMT 2.5 и AMT 2.6, чтобы в случае упоминания "AMT 2.x" понимать о чём идёт речь. Если утрировать, то AMT2.1 = AMT2.5, AMT2.2 = AMT2.6 с поправкой на отсутствие поддержки WiFi для "десктопных" версий AMT (2.0/2.1/2.2).

System Information & ME

BIOS Setup & настройки AMT

Настройки AMT в биосе есть в меню Advanced:

Однако там "ничего полезного":

Лишь настройки SOL (Serial on LAN) - технологии удалённой работы в BIOS Setup (рассмотрим позже).
Что ещё обычно бывает в BIOS Setup? Не сильно много (будет рассмотрено последовательно в следующих частях учебника по АМТ). Как правило - это включение/выключение АМТ (Intel AMT Enabled/Disabled), а начиная с версии AMT 2.5 - возможность и расконфигурировать AMT (т.е. без ввода MEBx-пароля).
Выключив AMT (в BIOS Setup), перезагрузившись и после вновь включив AMT - можно "сбросить" MEBx (в "дефолтное" состояние, в т.ч. пароль MEBx - в "admin"). И некоторые другие (но это основные) манипуляции с AMT - всё сильно зависит от производителя.

Чаще таких настроек мало (а иногда нет вообще). Речь именно о настройках AMT в BIOS Setup (а не MEBx).

MEBx & CTRL-P

Если в процессе загрузки:

Нажать клавиши CTRL-P (стандартная комбинация для подавляющего большинства AMT-систем), то можно попасть в MEBx Setup:

Версия MEBx и версия AMT

Как видно из примера, сверху указана версия MEBx 2.1, в то время как на скриншоте System Information указана ME2.2 Это важно учитывать в попытках "узнать версию АМТ" - нельзя ориентироваться "напрямую" на то, что пишет MEBx, т.к. это версия именно "биос-модуля для настройки АМТ", а не самой АМТ. Ведь MEBx - всего лишь "клиент", который подключается к "серверу", расположенному в Intel ME (по другому и быть не может, т.к. это два разных процессора, работающих "параллельно" - по сути, это "другой" компьютер в вашем компьютере).

Чаще версия АМТ и MEBx совпадает, однако это точно не правило - она может быть как более свежая/больше, так и более древняя/меньше (что чаще). Дело в том, что это модуль BIOS и он обновляется вместе с прошивкой BIOS, в то время как ME обычно обновляется отдельно (зависит от производителя - может обновляться и прошивка BIOS и прошивка Intel ME одновременно).

Итого, чтобы узнать версию АМТ, нужно учитывать версию МЕ (которая и "равняется" АМТ, если есть её поддержка), а версию MEBx можно использовать для определения "приблизительно" (т.е. с точностью до "мажорной" версии, т.е. без учёта "минорной", которая идёт после точки).

А для версии AMT 2.0 могли отличаться даже и мажорные версии, вот скриншот MEBx HP dc7700p от 2006-го года:

Однако, это, всё же, исключение из правил.

Пароли MEBx

Сразу же при входе в MEBx запрашивается пароль. Многих, кто не знаком с AMT, это сбивает с толку и они банально выходят из "непонятной ерунды". Пароль по умолчанию ("заводской" - в т.ч. который устанавливается после его сброса) - "admin" (без кавычек). После входа, требуется сразу же поменять пароль на новый, без этого не удастся совершить никакого действия:

Пароль задаётся с учётом строгих правил к взлому: 8-32 символа, обязательное наличие как минимум одной латинской буквы верхнего и одной нижнего регистра, цифры и "спецсимвола" (!@#$% и т.п. знаки).

Любые другие "нестрогие" пароли (а-ля "qwerty") будут тупо игнорироваться, безмолвно предлагая задать новый. Именно такое поведение отбивает желание у подавляющего большинства тех, кто всё-таки "взломал" пароль "admin" на первом шаге.

Пример "правильных" (подходящих под "строгие правила") паролей:

• P@ssw0rd
• vPro!by1

Пароли AMT

Мы добрались до объёмной и сложной темы паролей АМТ. Их немало, тема официально практически не раскрывается, а при этом весьма проблематична.

Только не подумайте, что Intel "что-то скрывает". Всё банальней - тематика реально технически очень сложна, находится на стыке различных аппаратных и программных платформ, специалистов, хорошо ориентирующихся сразу во всём этом - не так много (если не дипломатично - их нет).

Потому придётся "с места в карьер" - разобрать сложную тему.

Т.к. эта статья из цикла "учебник", а не "академический труд", то далее информация будет подаваться упрощённо, где-то утрированно, чтобы можно было понять суть и, если потребуется, самостоятельно разобраться глубже.

Основные пароли АМТ

А их три. И частенько используемый термин "админский пароль", обычно подразумевает "все их три сразу".

• MEBx-password - "админский" пароль, который вводите при входе в MEBx. Именно тот, который изначально "admin" и вы "ручками" его меняете на свой-другой.
• Network-password - "админский" пароль, который используется при доступе к АМТ по сети.
• Admin-password - "админский" пароль пользователя с логином admin.

Чтобы было понятней, вот как это можно показать схематически:

Зачем "целых три AMT пароля"?

Intel AMT, как часто написано в документации - есть смесь firmware+software+hardware. Также говорится, что AMT работает даже когда компьютер выключен. Что это значит?

Это значит, что сетевая карта будет работать (привычно моргать лампочками), в то время как BIOS, понятно, не работает (компьютер/процессор выключен - система в состоянии S5), а ME также может быть в "спящем" режиме (ME-Wake-on-LAN). Получается, что сетевой карте нужно хранить пароль "у себя" = Network-password.

Далее. В первый момент, когда AMT ещё не проинициализирована и не сконфигурирована и, вообще, ME может быть отключена = нужен и есть MEBx-пароль, хранящийся "в BIOS".

И, наконец, ME, где происходит "основная авторизация", где хранятся логины-пароли различных пользователей с их политиками на доступ к тому или иному функционалу = Admin-password.

Понятно, что если бы разработчики АМТ предложили своему руководству записывать-вводить сразу три пароля, то завтра бы поехали искать новую работу. Потому они поступили хитрей - эти пароли "синхронизируются", на выходе давая "как бы один", более понятный и привычный админский пароль.

Как это происходит, насколько это логично/удачно/просто и будем разбираться. Всё не так сложно, как может показаться (в реальности - всё намного сложней).

MEBx-пароль

Пароль, который вводится при входе в MEBx.

В случае несконфигурированной АМТ-системы определён только этот пароль. При первом входе в MEBx (или после сброса) этот пароль установлен в "admin".

Теоретически дефолтный пароль ("admin") может быть и другим (как его задаст производитель), но практически мне такие случаи не известны.

После того, как пароль "admin" будет заменён на новый, он копируется в Network-пароль:

Далее вся работа AMT по задумке Intel идёт именно с Network-password, а MEBx-password больше никто не может изменить (в плане - удалённо и/или программно). Это сделано для того, чтобы у того, кто имеет непосредственный физический доступ к компьютеру (и знает MEBx-пароль), всегда была возможность контролировать состояние AMT.

Важный комментарий по ходу. Здесь и далее я буду намеренно упрощать некоторые технические моменты, раскрывая их отдельно позже.
Лучше (как минимум на этом этапе) передать смысл, а не точную техническую реализацию. Например, в случае только что упомянутого MEBx, данный пароль может быть изменён с помощью USB-флешки в процессе так называемого ZeroTouch-конфигурирования (хотя и там есть "ручная составляющая" - вам придётся "лично" нажать клавишу "Y" при подтверждении). Кроме этого в следующих версиях АМТ, вообще, могут последовать изменения, которые всё перевернут наоборот - ведь АМТ развивается.
В то же время попытка разобраться "сразу же и во всём" - больше запутает, чем поможет понять, потому я буду придерживаться линии "как было задумано" и "что хотели при этом получить". И лишь в следующих частях на конкретных примерах разбирать - "что из этого получилось" и "как видоизменилось" в процессе развития АМТ.

Network-password

Это пароль "сетевой карты". В кавычках, т.к., конечно же, это "AMT-пароль". Просто сетевая карта - главный элемент взаимодействия AMT c внешним миром. И, вообще, "выросла" сама технология AMT из первой версии, встроенной как раз в сетевую карту. Потому для всего любого сетевого взаимодействия всегда задействован именно Network-password.
Как было показано выше, впервые он определяется путём копирования свежезаданного MEBx-пароля. И если в настройках "MEBx - AMT configuration - Provision Model"...

Тут всегда жмём "N" - режим "совместимости с AMT1.0" нам никогда уже не пригодится.

...выбрать режим "Small Business":

В режиме Small Business (подробно отличия режимов Enterprise/SB будут рассмотрены в последующих частях), непосредственно после применения сделанных MEBx настроек, можно будет сразу же зайти по сети с адресом компьютера в Web-интерфейс управления AMT:

192.168.0.123 - адрес компьютера HP dc7700p (с поддержкой AMT2)

При нажатии "Log On" запрашивается логин-пароль:

Введённый пароль будет сравниваться с Network-password и в случае совпадения попадаем в интерфейс управления АМТ:

И если мы изменим "админский пароль" ("User Accounts - Administrator Account - Change Admin):

...то таким образом будет изменён Network-password, в то время, как MEBx-password останется прежним.

Admin-password

Админ-пароль для АМТ всегда синхронизируется с Network-password, потому в реальности ситуация после первичного измения MEBx-пароля выглядит так:

Соответстсвенно, после изменения "админского" пароля через вебинтерфейс получится следующее:

Как видно из картинки, "админский пароль", который "Network-password/Admin-password" изменяется, а MEBx остаётся прежним.

Обещать - не значит жениться

Возникнет вполне резонный вопрос - зачем я разделил Network-password и Admin-password, если они всегда синхронизируются? Причин несколько.

Смысл первой вынесена в подзаголовок: выражение "всегда синхронизируется" не совсем корректно, правильней "всегда должен синхронизироваться". А в реальности становится очевидным, что к "должен" добавляется оговорка "не всегда". И чтобы можно было понять что происходит как раз в случае "не всегда" - они были разделены.

Вторая причина более очевидна. В случае взаимодействия АМТ с операционной системой, которое осуществляется через драйвер MEI (Manageability Engine Interface), работа идёт именно с Admin-password:

Т.е. когда AMT работает с Windows, то это локальная работа, в ней не участвует сетевая карта и используется лишь Admin-password.

Зачем такие сложности про АМТ-пароли, такие сложные схемы, ведь этого нет в АМТ-документации?

В этом и проблема, что нет. Но работает оно именно так.

Разберём на конкретном примере, прямо-таки с самого начала - замена стандартного пароля MEBx (admin) на новый. В нём может использоваться даже пробел и его примет MEBx, т.к. "верификация правил" на пароль у каждого (MEBx, LAN, ME) своя. Однако когда он скопируется в Admin-password и Network-password - там уже другие правила. Вот строчка из картинки выше по установке admin-пароля:

*Minimum 8 characters with upper and lowercase, 0-9, and one of !@#$%^&*()

В результате, как поведёт себя программа, подключающася к AMT удалённо, где пароль "недопустимый" - предсказать сложно. Точней, как раз, просто - будут проблемы.

Другой пример - попытка обновить ME Firmware из-под Windows, где не установлен MEI-драйвер будет заканчиваться ругательствами (либо, что хуже - тупым игнорированием). Почему? Потому что, как видно из последней схемы, Windows "не умеет" работать с АМТ (МЕ) напрямую - только через MEI-драйвер. И если его нет - ничего не получится.

Итого, как промежуточный результат по теме паролей AMT, мой совет:

Старайтесь использовать 8 (ровно) символьные пароли из букв, цифр и знаков '!', '@' и '#'.

Такие правила максимально универсальны ко всем потенциально проблемным участкам работы AMT и при этом сохраняется достаточная надёжность.

...продолжение следует.