Intel® для бизнеса

Часть 2: Технология активного удаленного управления

Добрый день, уважаемые коллеги. Сейчас за несколько минут я покажу, как сконфигурировать технологию активного удалённого управления на примере бесплатной консоли из проекта Mesh Central.

Самый просто вариант – зайти на сайт проекта (это meshcentral.com) и создать себе бесплатный аккаунт. В данном случае я уже создал аккаунт ixbt, под котором мы можем войти и создать свою сеть управляемых компьютеров. Также, если мы хотим использовать свой собственный сервер, мы можем скачать с сайта Mesh Central исходные коды данного проекта и проинсталлировать их на свой Windows-сервер. Что я и сделал со своим домашним компьютером – на личном домене поднял сервер управления с использованием проекта Mesh Central.

Я буду логонится и управлять системами со своего собственного сервера. Для этого я также создал аккаунт ixbt на своём домашнем сервере. И я постараюсь продемонстрировать, как за считанные минуты начать управлять любым компьютером с поддержкой технологии АМТ.

Следует отметить, что на всех новых компьютерах из соображений безопасности технология АМТ деактивирована. Чтобы иметь возможность подключиться к данной технологии и начать управлять компьютером, необходимо произвести некоторые конфигурационные действия. Самый простой способ сделать это быстро, когда речь идёт всего лишь о нескольких компьютерах, это произвести необходимую конфигурацию непосредственно в BIOS Extension.

Для демонстрации я буду использовать платформу NUC (Next Unit Computing) компании Intel. При включении компьютера, чтобы зайти в BIOS Extension, нужно нажать комбинацию клавиш CTRL+P. Для начала нам необходимо в разделе Mab X Login ввести пароль учётной записи admin. На всех новых компьютерах этот пароль одинаков, и это тоже слово admin. Чтобы начать какие-либо действия с конфигурированием, нам необходимо поменять этот пароль на новый сложный. Новый сложный пароль должен быть не короче восьми символов, содержать большие и маленькие буквы, цифры и спецсимволы.

Придумываем новый сложный пароль, вводим его дважды и попадаем в меню конфигурирования АМТ. Чтобы его активировать, нам достаточно зайти в раздел АМТ Configuration и выбрать раздел Activate Network access. С этого момента мы считаем, что с настройками по умолчанию технология АМТ у нас активирована и к данному компьютеру при помощи этой технологии мы может уже подключаться по сети.

Выходим из меню BIOS Extension. У нас загружается операционная система Windows. И сейчас я покажу, как происходит установка агента консоли управления Mesh Central, при помощи которого мы сможем управлять данным компьютером с рабочей операционной системы. Также при помощи этого агента происходит доконфигурирование технологии активного удалённого управления для подключения к этому компьютеру на аппаратном уровне.

Я захожу на сайт своего сервера управления, на котором у меня поднят проект Mesh Central. Ввожу логин и пароль для доступа к своей сети управления. Здесь нам надо создать свою сеть управляемых компьютеров. Для этого заходим в раздел «моя учётная запись» и кликаем на ссылку «создать». Называем нашу сеть управляемых компьютеров, создаем пароль для доступа к этой сети, и даём права, которые у нас будут для управления компьютерами в этой сети.

После того, как сеть управляемых компьютеров была создана, мы можем проинсталлировать агента этой Mesh-сети. Для этого кликаем на ссылку «установить», скачиваем самого агента системы управления и конфигурационный файл. После чего нам необходимо запустить агента с администраторскими правами. Мы получаем сообщения о том, какой именно File Politic мы хотим сконфигурировать с этим агентом, нажимаем соответствующую кнопку «проинсталлировать». Всё, агент у нас в системе, он активен и можем видеть этот компьютер непосредственно из консоли управления Mesh Central.

Теперь я перехожу на свой рабочий ноутбук, с которого подключаюсь к системе управления Mesh Central и вижу первый компьютер, который мы сюда добавили, на который был установлен агент данной системы. Сейчас я произведу дополнительное конфигурирование технологии АМТ, непосредственно из консоли Mesh Central. Мы идем по ссылке, задаём пароль, тот самый сложный пароль, на который мы поменяли пароль admin при заходе в BIIOS Extension.

Для начала я рекомендую отключить использование шифрования при помощи TLS. Это несколько упростит на первых этапах работу с данными системами. Но, опять же, если есть повышенные требования к безопасности, то безусловно эту опцию надо оставлять. И мы включим технологию конфигурирования Client Initiated Remote Access, которая позволит нам управлять на аппаратном уровне компьютерами, находящимися вне корпоративной сети. При установке опции конфигурирования Initial Remote Access нам надо задать суффиксы нашей домашней сети, чтобы АМТ могла понимать, когда она находится внутри домашней сети, а когда она подключена к внешнему интернет без доступа к внутренним ресурсам.

В моём случае домашней сетью будет viprodema.info и после введения всех параметров я нажимаю кнопку Create Record, и консоль управления даёт команду агенту Mesh Central’а, который на нашей платформе vPro, через интеловсике драйвера произвести соответствующее конфигурирование технологии активного удалённого управления. И через несколько минут мы увидим, что статус Pending Configuration поменяется, как раз тогда произойдет окончательное конфигурирование АМТ на удалённой машине.

Когда мы увидим надпись Provisioning Completed, это означает, что конфигурирование завершилось, и теперь мы может подключаться к нашей удалённой станции на аппаратном уровне. При этом хочу отметить, что в данном случае компьютер vPro у нас находится во внешней сети за NAT’ом с приватным IP-адресом и без технологии АМТ данный компьютер был бы невиден для системы Mesh Central l на аппаратном уровне.

Когда работает операционная система Mesh Central может управлять этим компьютером непосредственно через агента. Но если возникли какие-то неисправности с операционной системой или со стеком TCP\IP или сетевыми драйверами, то туннель, который на аппаратном уровне поднимает чипсет до системы управления meshcentral позволит нам подключаться к данной системе и управлять ею через аппаратный KVM.

Теперь мы можем подключиться к нашей удалённой рабочей станции на аппаратном уровне, подключиться непосредственно к аппаратному KVM’у. Консоль управления Mesh Central использует веб-интерфейс. Я кликаю по соответствующей ссылке, нажимаю подключиться к аппаратному KVM.

После установки соединения на экране пользователя по периметру появляется цветная рамка, а в верхнем правом углу мигает иконка удалённого подключения. Это убрать нельзя. Политика компании Intel заключается в том, что пользователь должен знать о том, что у него активна сессия аппаратного подключения.

Опять же хочу заметить, что наша технология особо эффективна и имеет смысл, когда операционная система либо неисправна, либо недоступна. В случае исправности и доступности операционной системы есть огромное количество программных методов подключений к десктопу пользователя. Мы же обеспечиваем возможность аварийного подключения. Либо слетела операционная система, либо неисправен стек TCPIP операционной системы.

Чтобы убедить вас, что данное подключение происходит на аппаратном уровне, я перезагружу компьютер – дам ему команду зайти сразу в BIOS непосредственно с консоли управления. При этом мы будем полностью контролировать процесс перезагрузки, при необходимости можем нажимать горячие клавиши для запуска Safe Mode, Recovery Console.

Пошла загрузка, мы не теряем контроль управления компьютером. И вот, пожалуйста, классический экран BIOS нашего NUC’а. При это есть возможность запускать BIOS в текстовом режиме. По умолчанию он запускается в графическом, но есть опция дать команду на использование текстового режима. У нас он называется Serial Overlan.

Все системы АМТ поддерживают текстовой BIOS для совместимости с режимом Serial Overlan. И сейчас компьютер опять же перезагрузится и войдёт в BIOS, но уже в текстовом режиме...

...Данная демонстрация, надеюсь, убедила вас в том, что мы получаем доступ к компьютеру на аппаратном уровне и любые программные проблемы можем решать дистанционно даже с компьютером, который находится вне корпоративной сети, как непосредственно в нашем демонстрируемом случае.

Сейчас мы постараемся показать одну из концепций восстановления удалённой системы. Предположим, здесь «умерла» операционная система на нашей рабочей станции. Выключим компьютер и при помощи наших утилит дистанционно включим его включим и загрузим с образа компакт-диска, который находится на моей консоли управления.

В настоящий момент мы имеем нашу рабочую станцию в выключенном состоянии. Предположительно, на ней либо не было операционной системы вообще, либо она была убита действиями пользователя или вируса и нам необходимо произвести восстановительные действия.

Я продемонстрирую возможности удалённого восстановления системы vPro при помощи ещё одной бесплатной интеловской утилиты, которая называется Manageability Commander Tool. Эта утилита поддерживает проект Mesh Central и я могу к своему серверу управления Mesh Central подключиться напрямую из этой консоли и тоже увижу все компьютеры, которые были добавлены в mesh-сеть через систему meshcentral и смогу ими управлять.

Я вижу нашу систему vPro, даю команду на подключение к этому компьютеру. Это займёт около минуты и теперь мы можем подключиться к нашей системе через консоль Manageability Commander Tool’а. Я даю команду на управление данной системой и подключаю образ, во-первых, загрузочный образ дискетки, и загрузочный образ компакт-диска. Для демонстрации я буду использовать лёгкий образ. Мы не будем сейчас переустанавливать операционную систему, нам надо убедиться в возможности дистанционной загрузки данной системы.

Говорю «подключить образ», то есть команда уже дана, она выполнена и в статусе я вижу, что BIOS моего NUC’а при включении увидит образ компакт-диска, который я подключил. Теперь даю команду на включение и загрузку с удалённого образа компакт-диска, который находится на моей консоли...

...Пошла загрузка, и компьютер загрузился с образа компакт диска, а к аппаратному KVM’у подключусь опять же из консоли Mesh Central, как мы делали до этого. Даю команду на подключение и вижу меню нашего загрузочного компакт-диска и, например, могу выбрать загрузку с Windows 98.

Таким образом, используя различные загрузочные образы компакт-дисков, мы можем любые программные проблемы решать удалённо, включая установку-переустановку операционной системы, а также при необходимости сохранять и восстанавливать данные пользователя.