Управление AMT-компьютером с помощью Manageability Commander

Статья "Управление AMT-компьютером с помощью Manageability Commander" из серии "Учебник по Intel AMT", часть одиннадцатая.

См. также:

Предыдущие рассказы про старые версии MDTK Commander при всей своей справедливости не отменяют того факта, что реальные люди для управления AMT-компьютером будут пользоваться "свежими-последними". И это, в принципе, правильно. Потому, особенно с учётом того, что "совсем старые" версии АМТ (которые были до четвёртой) мы уже "прошли", далее постараюсь и я в своих примерах ориентироваться на "OpenMDTK-Командира" (или как он пишется в заголовке "Manageability Commander Mesh Edition"). В принципе, с AMT 4+ он уже работает стабильно (а с 6+ так точно).

Manageability Commander 0.1.32

В частности, в момент написания статьи — это версия 0.1.32 (на примере установленной у меня Windows 7 x64, но для других ОС аналогично). Её и рассмотрим.

Ссылка на последнюю версию Manageability Commander.

Качаем-устанавливаем Командира. Примем за базовый более "тяжёлый случай", когда вы ставите его на компьютер (или виртуалку), отличный от того, с которого инициализировали Директором. Что вполне логично - ваш "админский" компьютер (или виртуалка) чаще отличается от того, который использовался для инициализации.

Если компьютер (виртуалка) тот же - где установлен Директор, с помощью которого инициализировался компьютер и где генерировались сертификаты - тогда часть нижеследующего для информации.

Итак, запускаем Командира, добавляем настроенный в предыдущей части АМТ-компьютер с TLS-сертификатом, подключаемся к нему и видим:

Certificate untrusted

Computer certificate untrusted

Видим "красный экранчик" с предупреждением о том, что "сертификат недоверенный". Это происходит потому, что созданный нами раньше рут-сертфикат (и подписанный им TLS-сертификат) был установлен на другом компьютере (виртуалке), а эта Windows совсем не в курсе (про наш самоподписанный рут). Если зайти в АМТ-хранилище сертификатов, то там увидим жёлтые значки:

root certificate is not trusted

Что и обозначает - "к сертификатам нет доверия". В частности, кликнув просмотр нашего рут-сертификата увидим:

root certificate is not installed

Тут конкретно про это и написано. Для корректной работы с утилитами по управлению АМТ-компьютерами - требуется установить рут-сертификат. Это важное правило, которое позволяет получить доступ ко всему функционалу управления АМТ и минимизировать проблемы. При чём я советую ставить рут с приватным ключём — чтобы была возможность после легко (при надобности) выдавать от его имени новые сертификаты.

В переводе на практику это обозначает, что нам потребуется не "*.cer", а "*.pfx" формат сертификата. Для этого на компьютере с Директором (который использовался в качестве инициализационного сервера) экспортируем его именно в таком виде аналогично тому, как это делали для *.cer. Только сейчас выбираем *.pfx:

root certificate export to pfx

В диалоге будет запрошен пароль, которым будет зашифрован файл сертификата:

root certificate export to pfx enter password

После его будет нужно ввести при импорте.

PFX - кроссплатформенный стандарт, хорош тем, что его "знают все" (его вы сможете поставить везде - в любой ОС). Ну, конечно, врагам лучше его не выдавать, т.к. это важная приватная информация.

Теперь переносим данный файл в ту ОС, где будем запускать Командира и дважды по нему кликаем (устанавливаем). Запустится мастер установки сертификатов:

certificate installing wizard

Проверяем путь:

certificate installing wizard file

Вводим пароль, что ставили при экспорте:

certificate installing wizard enter password

Вторую галку ставить не принципиально - нужно для возможности после экспортировать с приватным ключом (я обычно ставлю).

Далее помещаем в доверенные:

certificate installing wizard save to trusted

Для этого убираем автомат и выбираем "Доверенные корневые центры сертфикации":

certificate installing wizard select trusted

Готово:

certificate installing wizard done

Стандартный диалог подтверждения добавления в трастовые:

certificate installing security

Теперь наш рут в трастовых.

Зайдём в хранилище сертификатов Windows, чтобы проконтролировать и в случае проблем знать, как управлять сертификатами в Windows. Жмём в команной строке mmc и попадаем в консоль. Далее CTRL-M ("Добавить или удалить оснастку") и выбираем "Сертификаты":

mmc certificate

Выбираем "моей учётной записи":

mmc certificate my account

Жмём готово и закрываем окно.

Видим в трастовых ранее импортированный туда сертификат:

mmc certificate trusted

Иконка - с ключиком, что означает наличие приватного ключа.

Для исключения проблем с некоторыми утилитами его нужно добавить и в личные. Правая клавиша-копируем-вставляем и в личные:

mmc certificate personal

Теперь вопросы по поводу корневых сертификатов закрыты.

На будущее, настоятельная рекомендация во избежание проблем - пользоваться одним рутом для всех ваших АМТ-компьютеров, даже несмотря на то, что хранилище (внутри АМТ) рассчитано на четыре (четыре TLS-сертификата и четыре рута, если точно). Толку в более чем одном - на практике мало, а сложности плюс проблемы - почти гарантированы.

Итак, теперь пересоединяемся в Командире и видим:

Connect Control vpro.by

Всё без ошибок.

По сравнению со старыми версиями вид нового (последнего - "мешцентраловского") Командира чуть изменился (пока саму "меш-составляющую" рассматривать не будем), однако совершенно не принципиально. Пройдёмся по всем вкладкам.

Закладка Remote Control

Remote Control

Главная закладка для управления АМТ-компьютером.

Serial-over-LAN, IDE Redirect и Redirection Port

Фичи, которые можно включить-выключить, нажимая на звёздочки. Это их мы раньше задавали в Директоре и MEBx. Для того, чтобы полноценно пользоваться возможностями управления AMT - все они должны быть включены. Как минимум Redirection Port, иначе кнопка Take Control (которую подробней рассмотрим чуть ниже) будет недоступна. Кстати, это как раз тот случай, о котором я как-то говорил — если Serial-over-LAN и IDE Redirect выключены в MEBx, то включение их здесь может отображаться как изменённое, но в реальности останется запрещённым и будет давать непредсказуемый букет ошибок при попытке пользоваться фичами с ними связанными.

User Consent Required

Для версии AMT6 и новей - позволяет включать-выключать подтверждение пользователся для установки админом KVM-сессии. На Lenovo T400 лишь четвёртая версия, потому Not Supported.

Remote Desktop

Аналогично предыдущему пункту — фичи AMT6+ для настройки/управления KVM.

Всё свянное с KVM рассмотрим после подробно, когда дойдём до AMT6, потому пока без подробностей.

Закладка Management Engine

Management Engine

Тут все опции очевидны и мы уже их рассматривали. Плюс две кнопки.

Set Time…

При нажатии на кнопку установку времени можно проверить/установить "внутреннее" ME-время. Оно используется для проверки авторизации - например, не истёк ли выданный сертификат. Кроме того, в версиях 5.1+, в том числе для некоторых функций, использующих "абсолютное" время.

Management Engine time

WSMAN Browser…

WSMAN Browser

Просмотрщик функций WSMAN-интерфейса. Это больше для разработчиков.

Закладка Security

Manageability Commander - Security

Тут также всё, кроме "Control Mode" - рассматривали в предыдущей части. Последняя опция предназначена для версия АМТ 6+, где появился Client Mode (рассмотрим позже).

Закладка Networking

Manageability Commander - Networking

Здесь можно посмотреть/задать основные и расширенные параметры сетевых интерфейсов. В нашем случае (Lenovo T400) использован проводной, потому для беспроводного некоторое будет не доступно (видны "0.0.0.0" для "Wireless" - он автоматически отключился при подсоединении Ethernet).

Advanced Settings

Manageability Commander - Managed Network Interfaces

Просмотр текущих настроек Ethernet-интерфейса (Wired). Нажав Edit Settings:

Manageability Commander - Managed Network Interfaces Edit Settings

Обнаружим те же параметры, которые можно задать в MEBx в подразделе TCP/IP:

MEBx TCP/IP DHCP

По умолчанию там стоит режим DHCP, но если его отменить, то можно вручную прописать статический IP и другие параметры сети (маску, шлюз, dns1, dns2).

Параметры в блоке Network Authentication позволяют настроить авторизацию (самого сетевого интерфейса) в случае использования в вашей подсети систем типа RADIUS:

Manageability Commander - Network Authentication Wired 802.1x

Manageability Commander - Network Authentication EAC

Примеры чисто условные, чтобы реально работало, потребуется добавить нужный сертификат (как - см. ч.10 учебника) и после его выбрать в данных выпадающих списках.

Для беспроводного интерфейса:

Manageability Commander - Managed Network Interfaces Wireless

Обнаружим нули (т.к. сейчас отключён). Но вообще, там аналогичные пункты настроек.

General Settings…

Manageability Commander - Managed Network Interfaces General Settings

Первая опция - настройка пинга ME. С точки зрения безопасности её лучше выключать, но для отладки часто это очень удобно.

Далее - включение VPN роутинга для AMT. Позволяет пользоваться возможностями AMT через VPN. Что это значит? AMT - аппаратная технология, VPN - программная. Потому трафик через "программный интерфейс" (который создаётся в результате работы VPN) может попасть "вниз, в AMT" только после его "дешифрации" на уровне ОС. Это значит, что перехватить его можно только на уровне драйвера, установленного в операционной системе.

LMS HECI ME

Это и реализуют LMS+HECI в случае включения данной опции.

Данная опция больше "чисто корпоративная", т.к., всё же, когда работает ОС (что обязательно требуется - ведь должен работать VPN) - есть много других способов соединиться с удалённым компьютером.

Environment Detection

Важная опция для работы CIRA (разберём в подробностях, когда эту тему будем рассматривать). Была задумана для того, чтобы в случае, когда компьютер "понимает", что он находится вне корпоративной сети - у него автоматически бы закрывались порты AMT (16992/16993).

"Понимает" же он следующим способом - считывает поле Option 15, полученное от DHCP сервера и сравнивает его с тем, что можно указать в данном разделе. Если они отличаются - "чужая сеть" - порты закрываются. Если одинаковы - "своя корпоративная сеть" - открыты. В частности, такое свойство распространяется и на VPN-вариант работы. В общем, разберём дальше, в остальных/общих случаях - малоприменимо и можно не менять.

802.1x Settings - Active in full power (S0)

"Ещё одна" настройка 802.1x нужна для того случая, когда вам нужно исключить отработку EAC/EAP-авторизации "внизу" - на уровне ME/AMT - чтобы это могла осуществить сама ОС (потому только для варианта S0 - когда компьютер включен).

Take Control

Итак, рассмотрев основные настройки, перейдём/вернёмся непосредственно к управлению - закладке Remote Control. Жмём кнопку Take Control:

Manageability Commander - Terminal

В строчке под верхней менюшкой видим:

  • TLS Secured — что соединение защищено ранее настроенным TLS-сертификатом
  • Serial-over-LAN - Connected — SOL включён и работает
  • Full Power (S0) — текущее состояние компьютера - "включён" (ведь можно присоединиться и к выключенному)
  • Plugged-in (AC) — подключён к электросети (актуально для ноутбуков, когда может быть режим DC - от аккумулятора).
    • Стоит учесть, что, к сожалению, точность работы, данного пункта шибко хромает.

В строчке снизу:

TCP Redirect

AMT позволяет включать перенаправление информации с выбранных TCP-портов. Это значит, что если, к примеру, включить перенаправление 80-го порта, то вы сможете видеть всё, что получается человек сидя за AMT-компьютером при работе по интернету. Фича выглядит очень крутой, но в реальности есть много более простых/эффективных способов "слежения" при включенном компьютере и наличии ОС (ведь человек должен работать на таком компьютере), потому данный функционал обычно не востребован.

IDE Redirect

Перенаправление потока информации загрузочного устройства или по-простому "удалённая загрузка компьютера". Очень популярный функционал с момента появления AMT (лишь с выходом AMT6, возможно, более популярным стал KVM). IDE Redirect (IDE-R) Позволяет подключить нужный образ и загрузиться с него по сети так, как-будто он вставлен в дисковод или CDROM/DVDROM непосредственно в АМТ-компьютере.

Это и отображено в изначальной настройке - образ Floppy не задан, образ CDROM - не задан, сам режим IDE Redirect выключен.

Для того чтобы воспользоваться IDE-R, нужно зайти в "Disk Redirect" и настроить все эти пункты:

Manageability Commander - Disk Redirect

Потребуется назначить оба источника для перенаправления - и Target Floppy и Target CDROM. Сложно придумать, что нонче можно грузить с "виртуального дисковода", потому обычно для него ставится "заглушка" - пустой файл:

Manageability Commander - Target Floppy dummy.img

Т.е. просто создайте любой файл с расширением *.img нулевой длины (пустой) и выберите его в диалоге подключения floppy-образа.

Manageability Commander - Target Floppy dummy.img selected

После выбираем сам iso-образ для загрузки.

Manageability Commander - Target CDROM

Для примера выбираю маленький - с большими в будущем будем ещё отдельно разбираться, т.к. есть различные ограничения и по скорости загрузки и по объёму файлов.

Manageability Commander - Target CDROM selected

Жмём Redirect Active:

Manageability Commander - Redirect Active

И выбираем вариант Remote Reboot to Redirect CD:

Manageability Commander - Remote Reboot to Redirect CD

Компьютер перезагрузится, вы будете видеть то, что происходит у него на экране (с некоторой поправкой на "алфавитно-цифровой режим работы").

Manageability Commander - Remote Reboot to Redirect CD boot

В данном случае подключенный образ маленький и это происходит по локальной сети, потому загрузится мгновенно:

Manageability Commander - Remote Reboot to Redirect CD boot DOS

В нижней строчке отображается объём переданных по IDE-R данных.

В примере использована программа Victoria (для "лечения жёстких дисков"), которая работает в CGA/EGA (т.е. не графический режим работы), потому ею благополучно можно пользоваться с помощью такого терминала.

Manageability Commander - Remote Reboot to Redirect CD Victoria

С кириллицей, правда, тут вышла незадача, но это уже совсем другая история.

Remote Command

Для удалённого управления компьютера в самом "привычном" смысле этого слова, где можно послать команды на включение, выключение, перезагрузку -  служит меню Remote Command. Это соответственно менюшки Power Up, Power Down и Normal Reboot.

Manageability Commander - Remote Command

Remote Reboot

Приставка "нормал" была потому, что также имеется и вариант Remote Reboot, при котором после перезагрузки вы продолжаете управлять компьютером в том смысле, что можете видеть происходящее у него на экране (соответственно в Normal Reboot - без управления, видеть происходящего на экране не будете).

Manageability Commander - Remote Reboot

Правда с поправкой на то, что лишь в "алфавитно-цифровом" режиме работы. При переключении в графику (например, когда начнётся загружаться Windows - появится её привычный значёк) — будете наблюдать лишь чёрный экран (даже если после обратно будет переключение в CGA-режим). Снова "увидеть происходящее" можно будет лишь вновь нажав "перезагрузить с удалённым управлением" - Remote Reboot (или её вариант).

Remote Reboot to BIOS Setup

Подвариантом Remote Reboot есть случай удалённой перезагрузки с автоматическим заходом в BIOS Setup:

Manageability Commander - Remote Reboot to BIOS Setup

Это также весьма востребованная и "показательная" (в плане возможностей АМТ) фича. Что-то тут описывать сложно - всё вполне очевидно. Можно лишь упомянуть, что некоторые пункты, связанные с безопасностью (которые "не должны быть доступны удалённо") - могут отсутствовать при таком (удалённом) подключении (а локально они есть).

Другие варианты Remote Reboot

Загрузка с образа дискеты вряд ли нонче актуальна, загрузка по сети (PXE) в свете IDE-R - тем более. Потому смысла рассматривать их нет, они здесь лишь как дань прежним стандартам.

Serial Agent

Manageability Commander - Serial Agent

Данный раздел предполагает, что на управляемом компьютере установлен специальный агент (программа под Windows), который через SOL и АМТ-драйвера в системе, даёт доступ к вышеперечисленным на скриншоте функциям. Агент соединяется с админом через SOL, потому эта фича должна быть включена, в том числе в терминале:

Manageability Commander - Terminal-SOL

Не буду здесь рассматривать функционал агента, он вполне очевиден, плюс, опять же, из-за своей "программности" (требует Windows, установленных AMT-драйверов, включенного компьютера) - не столь востребован, т.к. в плане AMT для этого задействована лишь фича SOL.

Мы рассмотрели основные (самые популярные) фичи управления AMT-компьютерами с помощью Командира из OpenMDTK, актуальные для любых версий АМТ. В следующей части перейдём к "усложнению" - функционалу, появившемуся лишь начиная с АМТ 4 - CIRA.

Добавить комментарий

Filtered HTML

  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Доступные HTML теги: <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Строки и параграфы переносятся автоматически.

Plain text

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и параграфы переносятся автоматически.
Anti-bot.