ит данные intel что это
Что такое Intel® Management Engine?
Тип материала Информация о продукции и документация
Идентификатор статьи 000008927
Последняя редакция 09.11.2017
Intel® Management Engine — встроенный микроконтроллер (интегрирован в некоторые наборы микросхем Intel) под управлением операционной системы легкого микроядра, который предоставляет множество функций и служб для компьютерных систем на базе процессоров Intel®.
Какие функции выполняет Intel® Management Engine?
К функциям относятся (но ими не ограничивается):
Во время инициализации системы микроконтроллер Intel® Management Engine загружает свой код из системной флэш-памяти. Это позволяет Intel® Management Engine запускаться до запуска основной операционной системы. Intel® Management Engine имеет доступ к защищенной области системной памяти, находящейся на устройствах хранения данных для выполнения (в дополнение к небольшому количеству кэш-памяти микросхемы для более быстрой и эффективной обработки).
Важнейшей особенностью функции Intel® Management Engine является независимость состояния ее питания от состояний питания ОС компьютера. Эта функция позволяет ему работать, когда микропроцессор и многие другие компоненты системы находятся в состояниях глубокого сна. Поэтому Intel® Management Engine может быть полностью функционирующим компонентом сразу после включения питания системы. Эта возможность позволяет реагировать на внешние команды OOB с консоли ИТ-управления без необходимости пробуждения всей системы. Поэтому значительно снижается энергопотребление.
Знакомство с технологией Intel vPro
Удаленное управление и упреждающая безопасность для настольных бизнес-ПК
Самые интересные из окружающих нас вещей начинались с попытки ответить на вопрос, звучавший для современников изобретателя очевидным абсурдом. Мог ли житель Земли сто тридцать лет тому назад положительно ответить на вопрос о возможности поговорить с собеседником, находящимся на расстоянии сотен километров от него? Едва ли. Шестьдесят лет назад такую же реакцию вызвал бы вопрос о приготовлении пищи при помощи микроволн. А какой ответ получили бы мы на вопрос о возможности записать кинофильм на крошечную, размером с почтовую марку, карточку памяти всего лишь два десятка лет назад?
Ускорение научно-технического прогресса приучило нас к мысли, что невозможное часто становится возможным. И все же — зададим себе, сегодняшним, вопрос: можно ли управлять выключенным компьютером, да еще удаленно? Те, кто уже знаком с технологией Intel vPro, конечно, ответят положительно. Впрочем, подозреваю, что и те, кто не знаком — тоже: иначе, зачем было начинать статью с вопроса? Да, это так: есть способ удаленного управления компьютером, даже если он выключен. Конечно, не любым — но, пожалуй, пришла пора рассказать обо всем по порядку.
Зачем это нужно
Опыт подсказывает, что все компьютеры в офисах можно поделить на две большие группы: одна состоит из тех, которые пока еще работают, вторая — из тех, которые уже ждут прихода специалиста из отдела ИТ (в простонародье — «компьютерщика»). С точки зрения бизнеса, чем больше компьютеров в первой группе и меньше во второй в каждый момент времени, тем лучше.
Опасностей, подстерегающих среднестатистический ПК, и готовых в считанные мгновения перевести его из разряда «еще» в разряд «уже», день ото дня становится все больше. Это аппаратные сбои, вирусы и другие зловредные программы, коварные происки злоумышленников (если компьютер подключен к сети) и излишняя инициативность пользователя.
По необъяснимой пока причине количество компьютеров обычно растет быстрее, чем штат отдела ИТ, поэтому в один прекрасный момент может получиться так, что добавление «персоналок» увеличивает только затраты, но не общую эффективность компании.
Рассматривая ПК, как ресурс, можно прийти к очень простому выводу — когда он работает, он приносит деньги, когда нет — он забирает деньги. Поскольку бизнес заинтересован в получении максимальной прибыли, он всеми силами стремится увеличить доходы и сократить издержки (трудно избавиться от впечатления, что здесь есть какая-то связь с вопросом о неравномерном росте количества компьютеров и ИТ-штата).
По объективным причинам полностью устранить периоды «не работы» компьютера невозможно, но как их сократить?
Из этой ситуации должен быть какой-то выход, кроме радикальных мер вроде полного отказа от достижений вычислительной техники. Интуитивно понятно, что решение лежит в плоскости удаленного решения задач безопасности и управления настольными ПК. Проще говоря — может ли «компьютерщик» меньше бегать по офису и, тем не менее, поддерживать работу вверенной ему техники?
Есть ли теоретический, идеальный предел времени, в течение которого компьютеры максимально отдаются своему основному предназначению, беззаветно пересчитывая электронные таблицы, обмениваясь сообщениями и выполняя другие полезные задачи? Конечно, есть. Более того, методичный подход позволяет обнаружить зависимость этого предела от причин сбоев. Например, устранение аппаратного сбоя и его последствий требует физического вмешательства. Но по сути дела, аппаратные отказы — единственный вид нарушений в работе ПК, количество которых трудно сократить за счет конструктивных изменений в ПК. Практика знает возможные варианты решений, но едва ли их можно считать рациональными в этом случае. Скажем, общеизвестно, что еще с середины прошлого века военные выдвигают наличие двух двигателей в качестве одного из основных требований к вертолетам, которые летают над морем. Конечно, для офисного ПК резервирование будет избыточно. Хотя, если вспомнить серверы, там такой ход — не редкость. Их архитектура и конструкция предусматривает замену «на ходу» наиболее подверженных отказам подсистем: блоков питания и накопителей на жестких магнитных дисках (к сожалению, наличие в них механических движущихся частей не прибавляет надежности). Пожалуй, все. Впрочем, недавно проскакивало сообщение о системе NEC с возможностью замены «на ходу»… процессора и оперативной памяти.
Однако вернемся к настольному ПК. Помимо аппаратных есть и программные опасности — и их вполне можно устранить удаленно, не отправляя ИТ-специалиста в «путешествие туда и обратно». Стоит только предусмотреть механизм взаимодействия между компьютерами и предложить новый уровень абстракции, который позволит рассматривать ПК, как «управляемый ресурс». Коротко говоря, в этом и заключена основная идея Intel vPro.
Почему это важно
Ключевым моментом решения, которое могло бы высвободить ИТ-персонал, является возможность удаленно управлять и защищать ПК вне зависимости от состояния питания и ОС.
Как это работает
Платформа Intel vPro была анонсирована год назад, а официально доступна стала осенью прошлого года. Компания назвала ее третьим «китом» своей стратегии наравне с мобильной платформой Centrino и мультимедийной Viiv. Заимствуя слова официального пресс-релиза, посвященного выходу платформы, можно сказать, что Intel vPro представляет собой аппаратно-программный комплекс, который должен обеспечить «более высокую защищенность и энергоэффективную производительность» настольных бизнес-ПК, и сократить расходы, связанные с их эксплуатацией.
Основными составляющими аппаратной части платформы на момент премьеры были микропроцессор Intel Core 2 Duo, набор системной логики Intel Q965 Express и адаптер Gigabit Ethernet Intel 82566DM.
Ключевыми технологиями платформы являются технология удаленного мониторинга (Intel Active Management Technology, AMT) и технология виртуализации (Intel Virtualization Technology, VT).
Технология Intel AMT дает в руки ИТ-персонала мощный инструмент для обнаружения, инвентаризации, диагностики, восстановления, модернизации и защиты вычислительных ресурсов, включенных в сеть. Она также позволяет изолировать компьютер, зараженный вредоносной программой от остальных участников сети. Принципиально важной особенностью Intel AMT является то, что она работает независимо от ОС.
Технология виртуализации позволяет создавать и использовать на одном ПК несколько независимых аппаратных сред или разделов. Используя VT, специалисты ИТ-отделов смогут повысить надежность и защищенность системы за счет разделения, как на уровне задач, так и на уровне пользователей.
Что касается технологии виртуализации в целом, исчерпывающее представление о ней можно получить из статьи на нашем сайте. А вот с технологией Intel AMT попробуем разобраться прямо сейчас. Как уже было сказано, Intel AMT помогает инвентаризировать, диагностировать и восстанавливать после сбоев компьютеры, даже в том случае, если они выключены или на них по какой-либо причине не загружена ОС.
Очевидно, что для реализации таких замечательных возможностей необходимо, как минимум, две ключевые компоненты: средство для удаленного взаимодействия, всегда доступное для авторизованного персонала, и энергонезависимая память, защищенная от несанкционированного доступа.
Дайте мне канал связи и энергонезависимую память, и я переверну мир
Традиционно, для взаимодействия между компьютерами в сети, необходимо, чтобы они были включены и работали под управлением ОС. Программные решения, обеспечивающие функции управления и защиты занимают тот же уровень абстракции, что и сама операционная система, потому эти компоненты в равной степени подвержены «взлому» со стороны злоумышленников или вредоносного программного обеспечения. Дополнительную уязвимость создает тот факт, что для обмена служебной информацией используется, по сути, незащищенный канал, сформированный программными средствами довольно высокого уровня.
Разработчики Intel vPro пошли своим путем, дополнив имеющийся канал еще одним. Итак, Intel vPro предлагает обычный, незащищенный канал связи («внутриполосный», in-band), в котором для обмена информацией используется программный стек протоколов ОС, и новый, более защищенный и полагающийся на аппаратную реализацию, существующий независимо от состояния ОС («внеполосный», out-of-band). Этот канал использует стек, реализованный аппаратными средствами Intel AMT и встроенным программным обеспечением. Даже если ПК не работает в обычном режиме — питание выключено, ОС не загружена или повреждена — этот канал будет доступен для авторизованного ИТ-персонала. Поскольку канал связи Intel AMT основывается на аппаратной реализации, доступ к компьютеру возможен в любое время, если только ПК подключен к источнику питания и компьютерной сети. Канал обеспечивает обмен критически важной информацией и выполнение необходимых действий, таких, как, например, удаленная загрузка, даже если ОС не может стартовать самостоятельно.
Важно, что перечисленные данные доступны удаленно, без необходимости «включения» ПК и сохраняются при переустановке, ОС, восстановлении из резервной копии и изменении конфигурации.
Отрадно, что к защите встроенных средств управления, реализованных на уровне платформы ПК, разработчики отнеслись серьезно. Безусловно, как и в других случаях извечного противостояния «меча и щита», гарантированной защиты не бывает. Но вариант, избранный создателями Intel vPro, рационально приближен к ней. Судите сами. Код «прошивки» подписан цифровой подписью, зашифрован и записан в энергонезависимую память, доступ к которой ограничен специальным списком (access control list, ACL). Эти меры существенно ограничивают возможность доступа к служебным средствам Intel vPro со стороны непривилегированных пользователей, злоумышленников, вирусов и других «темных сил». Следует отметить, что данные, помещаемые в энергонезависимую память программами независимых разработчиков, не шифруются, но доступ к ним также ограничен ACL.
Итак, компьютер, в котором реализована технология Intel vPro, оснащен специальными механизмами удаленного управления, доступными даже в случае, если ПК выключен. Для этого достаточно, чтобы он был подключен к сети питания и компьютерной сети.
Какие практические задачи помогает решить Intel vPro
Дурная голова ногам покоя не дает
Стоит ли повторять, что все эти средства доступны вне зависимости от того, в каком состоянии находится ПК и ОС?
Если откажет программа
Например, если система перестала нормально загружаться, достаточно, используя IDE-R, изменить загрузочное устройство, выбрав в его качестве привод оптических дисков или образ, расположенный на удаленном сетевом накопителе. При помощи удаленной консольной сессии, организованной средствами using SOL, ИТ-специалист получает возможность пошагового управления всеми этапами восстановления поврежденной системы. В случае, когда под ударом оказались пользовательские приложения, можно восстановить образ диска и файлы данных из заведомо работоспособной резервной копии, перезаписав их поверх поврежденных.
Если откажет оборудование
Народная мудрость гласит, что против лома приемов нет. Если причиной сбоя в работе компьютера является аппаратная поломка, неисправный компонент необходимо заменить. Казалось бы, тут уж хочешь — не хочешь, придется покинуть теплое гнездышко и потопать ножками к несчастному пострадавшему? Это так, но в случае с Intel vPro ходить придется меньше, и, если так можно выразиться, с большей пользой.
Предположим, отказал жесткий диск. Обычно, в случае аппаратного отказа, пользователь обращается к ИТ-специалистам, которые должны: а) диагностировать проблему; б) выяснить производителя и модель дефектного изделия; в) установить новое, исправное оборудование; г) переустановить систему.
В случае использования ПК, построенного на платформе Intel vPro, ИТ-специалист может получить сообщение от системы немедленно после аппаратного сбоя, иногда — даже до того, как его заметит сам пользователь. В этой ситуации, сотрудник отдела ИТ имеет возможность удаленно получить сведения о производителе, модели и гарантийных обязательствах, относящиеся к компоненту, нуждающемуся в замене. После этого достаточно выбрать на складе необходимое изделие и восстановить образ диска, используя возможности консоли. Остается один (!) раз побывать в центре событий, чтобы заменить старый винчестер на новый — пользователь может продолжать трудиться!
Упреждающая безопасность в три слоя
По мнению специалистов, наибольшую опасность для офисных ПК представляют атаки злоумышленников. Технология Intel vPro имеет три уровня соответствующей защиты, включая аппаратную фильтрацию входящего и исходящего трафика и регулярную проверку состояния программных средств защиты.
Первая линия обороны решает задачу фильтрации опасностей и изоляции ПК. Программируемые фильтры, основанные на аппаратной реализации, проверяют сетевой трафик, чтобы идентифицировать атаки, а «коммутатор», опять-таки, реализованный с опорой на аппаратную часть, отключает сетевые маршруты (или устанавливает ограничение по скорости передачи), чтобы быстро остановить атаку.
Вторую линию защиты образуют программы-агенты, создаваемые независимыми разработчиками. Благодаря своим особенностям, базирующимся на аппаратных возможностях платформы, Intel vPro обеспечивает удаленный анализ состояния ПК; постоянный контроль работы программных агентов; доступ к настройкам BIOS — даже в ситуациях, когда программы-агенты, связанные с безопасностью системы, неактивны, операционная система подверглась опасности или уже выведена из строя.
Наконец, к третьему эшелону системы защиты разработчики отнесли энергонезависимую память и «выделенные среды исполнения». Даже в ситуации, когда злоумышленнику удалось прорвать другие линии обороны, в распоряжении ИТ-персонала есть надежный «бункер», где сохраняется критически важная системная информация. Используя изолированные, самодостаточные виртуальные пространства — среды исполнения, специалисты смогут тщательно проанализировать состояние системы, изолировать данные и приложения на удаленном ПК. Этот уровень защиты тесно примыкает к теме виртуализации, детально рассмотренной в одной из предыдущих статей.
Что дальше?
Недавно корпорация Intel обновила технологию управления ПК Intel vPro и дополнила ее свежими версиями решений из комплекта Microsoft System Center.
Новое поколение Intel vPro, известное под кодовым названием Weybridge, будет поддерживать стандарт Web Services Management (WS-MAN) и функции Intel Active Management Technology 3.0, помогающие противодействовать распространению вредоносных программ. Обновление также будет включать поддержку спецификаций Digital Management Work Group (DMWG), определяющих взаимодействие между аппаратными и программными составляющими ПК, которые разработала группа Distributed Management Task Force (DMTF).
Кроме того, по имеющимся данным, внесены некоторые коррективы в планы развития аппаратной части Intel vPro. Так, до конца года основными для платформы должны стать двухъядерные микропроцессоры серии Core 2 Duo E6x50 (FSB — 1333 МГц) и наборы системной логики Intel Q35/Q33 Express и ICH9/ICH9DO. В секторе высокопроизводительных систем платформу дополнят новые четырехъядерные процессоры (Yorkfield).
Появление на рынке первых продуктов с Weybridge Intel vPro ожидается на рынке во второй половине года.
Безусловно, мир офисных ПК не ограничивается настольными системами. Более того, наметилась явная тенденция увеличения интереса к мобильным технологиям и мобильным ПК. По статистическим оценкам, доля ноутбуков в общем объеме продаж компьютеров (включая настольные ПК и серверы) для деловых применений в странах Европы, Ближнего Востока и Африки (регион EMEA) выросла с 17% в 2000 году до 36% в 2006 году.
Немудрено, что компания Intel расширила сферу применимости рассмотренных технологий и на ноутбуки. На текущий год намечен ряд инноваций в секторе мобильных вычислений, объединенных под новой торговой маркой Intel Centrino Pro.
Ноутбуки на платформе Intel Centrino Pro будут поддерживать средства удаленного управления, аналогичные тем, которые были рассмотрены в этой статье применительно к настольным ПК. Более того, они будут созданы с учетом особенностей и преимуществ, свойственных поддержке беспроводного подключения. Аппаратной опорой платформы, как и в случае настольных систем, станут процессоры семейства Intel Core 2 Duo.
Еще раз про Intel vPro
Intel vPro, платформу удаленного управления и администрирования (хотя этим ее функционал не ограничивается), трудно назвать новинкой – скорее, наоборот. Вот уже без малого 15 лет она трудится в миллионах и миллионах ноутбуков по всему миру, облегчая жизнь и увеличивая производительность труда их владельцев. Однако это совсем не означает, что о ней не стоит писать в блоге, тем более что последний раз мы касались данной темы аж в 2012 году. Итак, когда нужно применять vPro, а когда не очень, за счет чего сейчас его использовать стало проще, чем когда бы то ни было и причем здесь коронавирус – обо всем этом читайте ниже.
Безопасность прежде всего
Начнем с начала. Что представляет из себя платформа vPro? Это совокупность трех аппаратно-программных компонентов:
Все эти компоненты объединенными усилиями создают внутри хост-системы отдельную сущность, работающую параллельно с основной и практически независимо от нее – в этом суть технологии AMT, Active Management Technology. С помощью AMT можно удаленно включить ноутбук, загрузить его со штатного системного раздела либо с другого загрузочного образа, обновить программные компоненты и прошивки устройств и вообще сделать все, что угодно посредством KVM. Когда операционная система загружена и нормально работает, можно воспользоваться услугами программы-агента, работающей как сервис Windows.
Как мы видим, Intel vPro позволяет получить практически полный контроль над удаленным компьютером. Звучит небезопасно, не так ли? Именно поэтому вопросам безопасности в vPro уделено особое внимание. Начать с того, что по умолчанию платформа vPro всегда отключена, а ее настройки в BIOS защищены отдельным паролем. Кроме того, в любом случае, когда к вам подключается удаленный администратор, вы видите веселые полосочки, бегающие по краю дисплея и специальный значок в углу. Не заметить их невозможно, отключить каким-либо образом тоже. Это первые линии обороны vPro, но далеко не последние.
Возможности KVM vPro
Каким образом настраивается vPro на ноутбуке? Самый простой, хотя и несколько утомительный способ – через тот же BIOS либо с помощью флешки, на которой записан специальный файл. Так же просто можно это сделать, установив на компьютере программу-агента – нужны лишь админские права. Правда, в последнем случае для удаленного подключение потребуется явное согласие пользователя – он должен сообщить числовой код сессии, появляющийся у него на дисплее. Однако все преимущества vPro вырисовываются в полной рост только при централизованном им управлении в рамках корпоративной IT-инфраструктуры. И здесь мы вплотную подошли к вопросу, какое ПО умеет использовать vPro.
EMA – наше все
Крутая технология – это хорошо, но недостаточно. Нужны средства для претворения ее в жизнь. Понимая деликатность вопроса, Intel сама занималась реализацией программной обвязки для vPro, обеспечивая должный уровень их безопасности. Так были созданы Intel Setup and Configuration Software (SCS) для инициализации и настройки vPro, а также Intel Manageability Commander (IMC) для ее непосредственного использования. Программы получились продвинутые, как с точки зрения собственного функционала, так и принимая в расчет их интеграцию с корпоративной IT-средой, в первую очередь Active Directory и средствами Microsoft System Center Configuration Manager. Однако обратной стороной крутизны оказалась сложность их использования и перегруженность функционала для решения простых типовых задач. Это препятствовало широкому распространению платформы.
Сравнение функционала ПО, использующего Intel vPro
Далее произошли два важных события. Первое – один из ведущих разработчиков Intel vPro создал проект MeshCentral/ MeshCommander, в котором реализовал возможности удаленного управления vPro в рамках Open Source инициативы. Проект продолжает активно развиваться, в том числе силами компании Intel, он исповедует несколько другую идеологию, нежели фирменные утилиты и в целом идет своей дорогой.
Второе событие – в прошлом году увидела свет принципиально новая программа Intel для реализации функционал vPro, названная Intel Endpoint Management Assistant (EMA). При ее создании был учтен опыт разработки предыдущих продуктов. Принципиальная особенность ЕМА – простота в использовании; сейчас, в стадии первой версии, в ней реализован базовый функционал управления vPro, со временем она приобретет весь функционал, доступный в SCS и IMC, в структурированной, удобной в использовании форме.
Варианты внедрения сервера ЕМА
ЕМА представляет из себя универсальное средство управления корпоративной vPro-инфраструктурой организации. Оно разворачивается на базе Windows-сервера внутри корпоративной сети, в DMZ-сегменте либо снаружи на облачном сервисе. Основные требования для функционирования ЕМА таковы:
Выставка достижений и возможностей
Давайте с помощью интерфейса ЕМА еще раз пройдемся по основным возможностям vPro с точки зрения управления удаленным ПК.
Итак, мы подключаемся к компьютеру. Он находится в спящем режиме, доступны только функции технологии AMT – как мы помним, они не зависят от состояния хост-системы. В этом режиме мы можем разбудить ноутбук, зайти к нему в BIOS, загрузить с образа флешки на сервере. О смысле волшебных букв CIRA мы поговорим чуть позже.
Мы включили ноутбук и пытаемся подключиться к нему через KVM AMT. Система просит нас ввести цифровой код, который в этот момент показывается на удаленном ПК. Если код окажется верным, вы получаете доступ, а на ПК начинают бегать веселые полоски по краям, от которых несколько разбегаются глаза. Но vPro не позиционируется как средство для удаленной работы, это технология оказания срочной техподдержки, и вопросы безопасности у нее на первом месте.
После загрузки ОС через агент ЕМА становится доступным целый ряд сервисов – удаленный рабочий стол, доступ к процессам, файловой системе. Через интерфейс Windows Management Instrumentation (WMI) можно послать команду Windows либо получить значение переменной. Еще раз подчеркнем, что агент ЕМА – это сервис Windows, для него не требуется функционал АМТ, то есть он будет работать на любом компьютере.
Терминала у vPro тоже два. Терминал клиента ЕМА предлагает консоль с рядом административных команд, а также может перейти в режим командной строки Windows. Терминал AMT предоставляет доступ к COM-порту системы и готов обмениваться данными с любым сервисом, висящем на этом порту.
Ну вот, проблема решена, пользователь счастлив. Отключаемся.
Ковид диктует свои условия
В заключении поговорим о реалиях нынешнего дня – они заставляют по-новому посмотреть на уже существующий функционал и изыскивать новый. Никто не будет спорить: в наше безумное время изменяться приходится всем и всему.
Год назад весь корпоративный мир ушел на удаленку. Помимо всего прочего, это добавило проблем внутренней техподдержке – из уютной локальной зоны пользователи переместились кто куда, в публичные и домашние сети. А раз так, сервер ЕМА потерял связь с клиентами, оказавшимися за NAT или файерволлами. На уровне агента установить исходящую связь с сервером не проблема, но как быть с AMT, работающей при выключенном ПК?
Схема работы Client Initiated Remote Access (CIRA)
Решением стал Client Initiated Remote Access (CIRA) – технология, появившаяся не сегодня, но получившая в последний год второе рождение. Ее сущность показана на рисунке. Ноутбук устанавливает TLS-соединение с сервером, как на уровне как ОС, так и АМТ. То есть, получается, ноутбук, будучи наполовину выключенным, инициирует TLS соединение на удаленный сервер и поддерживает его рабочее состояние. Кто после этого скажет, что он заснул?
Intel vPro – это мощное и эффективное средство удаленной поддержки пользователей. Однако оно не является «серебряной пулей» для решения всех подряд проблем или панацеей от всех бед. Вопрос о том, какого рода средство внедрять в той или иной компании, должен быть тщательно взвешен с финансовой, организационной и, я бы сказал, идеологической точки зрения. Мы решили вам напомнить о vPro – технологии, в которую Intel вложила много сил и времени. Возможно, это то, что вам нужно.