Management Suite поддерживает устройства, в которых используется технология Inte vPro — аппаратная и микропрограммная технология, обеспечивающая дистанционное управление и защиту устройств. Технология Intel vPro предполагает использование внеполосного (OOB) взаимодействия для доступа к устройствам независимо от состояния операционной системы и режима подачи питания устройства.
В этом продукте термин "Intel vPro" относится к технологиям, используемым на настольных и мобильных компьютерах с поддержкой Intel vPro. Этот продукт также поддерживает устройства с более ранними версиями технологии Intel Active Management Technology (Intel AMT). Процесс комплексной обработки устройств с различными версиями Intel vPro различается в зависимости от номеров версий. Информация, предлагаемая в этом разделе, применима ко всем версиям, за некоторыми указанными исключениями.
В приведенной ниже таблице перечислены функции Intel vPro, поддерживаемые в данном продукте в различных версиях Intel vPro.
Функция | Intel AMT 1.0 | Intel vPro 2.0/2.1/2.2 | Intel vPro 2.5/2.6 | Intel vPro 3.0 | Intel vPro 4.0 | Intel vPro 5.0 | Intel vPro 6.0 |
---|---|---|---|---|---|---|---|
Комплексная обработка устройств | Да | Да | Да | Да | Да | Да | Да |
Системная защита | Нет | Да | Да | Да | Да | Да | Да |
Расширенная системная защита | Нет | Нет | Нет | Да | Да | Да | Да |
Наличие агента | Нет | Да | Да | Да | Да | Да | Да |
Профиль беспроводного доступа и управление устройством | Нет | Нет | Да* | Нет | Да | Да | |
Последовательный интерфейс через ЛС и переназначение IDE | Да | Да | Соединение
ЛС: Да Режим беспроводного доступа: Да, если имеется профиль беспроводного доступа |
Да | Да | Да | Да |
Удаленная конфигурация (без участия пользователя) | Нет | 2.0/2.1:
Нет 2.2: только на основе агентов |
2.5:
Нет 2.6: только на основе агентов |
Да | Да | Да | Да |
Обнаружение сетевого окружения | Нет | Нет | Нет | Да | Да | Да | Да |
Удаленный доступ по инициативе клиента | Нет | Нет | Нет | Да | Да | Да | Да |
*Профиль беспроводного доступа необходим для беспроводного управления портативными компьютерами с поддержкой Intel Centrino 2.5. Для портативных компьютеров с поддержкой Intel Centrino 2.6 профиль беспроводного доступа требуется только для использования функций последовательного интерфейса через ЛС и перенаправления IDE; другие функции беспроводного управления могут использоваться независимо от наличия или отсутствия профиля беспроводного доступа на портативном компьютере.
В этой главе приведена информация по следующим темам:
Если устройство поддерживает технологию Intel vPro, то некоторые функции управления доступны даже в том случае, если в устройстве не установлен агент LANDesk. Если устройства подключены к сети и находятся в режиме ожидания, то их можно обнаружить и включить в базу данных для того, чтобы ими можно было управлять из других устройств сети.
Если устройство поддерживает Intel vPro, но в нем не установлен агент управления, то его можно обнаружить, добавить в базу данных инвентаризации и отобразить в папке "Устройства" вида сети. Для устройств с поддержкой Intel vPro доступны следующие функции управления:
Другие функции управления Management Suite доступны только при наличии на устройстве установленного агента управления. Для получения дополнительной информации о функциях управления см. раздел Управление устройствами Intel vPro.
Обнаружение устройств в качестве устройств с поддержкой Intel AMT 1.0 возможно только после доступа к BIOS устройства с помощью экрана настройки Intel AMT и изменения установленного производителем пароля по умолчанию на надежный пароль (для получения информации о доступе к экрану настройки Intel AMT см. документацию к устройству). Если этого не сделать, поиск устройств будет выполняться, но они не будут идентифицироваться в качестве устройств с поддержкой Intel AMT, и нельзя будет просмотреть сводку инвентаризации в полном объеме.
Для успешной аутентификации обнаруженных устройств Intel AMT в главном сервере необходимо, чтобы идентификационная информация для имени пользователя и пароля, введенная в BIOS устройства, соответствовала идентификационной информации, введенной в диалоговом окне Общая конфигурация Intel vPro (Intel vPro general configuration) (щелкните Конфигурация > Параметры Intel vPro > Общая конфигурация (Configure > Intel vPro options > General configuration)).
При добавлении устройства Intel AMT, которым необходимо управлять, в базу данных главного сервера, Management Suite выполняет его автоматическую идентификацию независимо от того, было ли это устройство уже идентифицировано или нет. Режим малого бизнеса позволяет использовать основные функции управления без служб сети infrastructure и незащищенной сети, а корпоративный режим разработан для больших предприятий и обеспечивает безопасную работу на основе таких сетевых служб, как DHCP, DNS и служб центров сертификации TLS для обеспечения безопасного взаимодействия между управляемым устройством и главным сервером.
Во время аутентификации устройства Intel AMT в корпоративном режиме (Enterprise) главный сервер устанавливает в устройстве сертификат, необходимый для защиты коммуникаций. Если другой компьютер попытается использовать функцию Intel AMT устройства, это будет невозможно из-за отсутствия соответствующего сертификата.
Для включения функций Intel vPro на устройствах, оборудованных средствами Intel vPro, необходимо выполнить настройку этих устройств при их первой установке и включении питания. Этот процесс включает несколько оценок защиты, позволяющих гарантировать доступ к функциям управления Intel vPro только для авторизованных пользователей.
Устройства Intel vPro взаимодействуют в сети с сервером комплексной обработки. Этот сервер комплексной обработки принимает в сети сообщения от устройств Intel vPro и позволяет ИТ-специалистам управлять серверами через внеполосные каналы связи независимо от состояния операционной системы устройства. Главный сервер LANDesk работает в качестве сервера комплексной обработки для устройств Intel vPro и включает функции, которые помогают осуществлять идентификацию устройств во время их установки. После этого можно начать управление устройствами с установленными дополнительными агентами управления или без них.
В этом разделе представлен процесс, рекомендуемый для настройки новых устройств Intel vPro. Во время этого процесса будет использоваться Management Suite для создания набора идентификаторов комплексной обработки (PID и PPS). Эти идентификаторы вводятся в настройки BIOS устройства, что позволяет гарантировать безопасное подключение к серверу комплексной обработки во время начального процесса комплексной обработки. В версии 2.0 и более поздних имеются функции конфигурирования устройств "одним нажатием".
При использовании версий 2.2/2.6 и более поздних можно также настраивать устройства с использованием функции удаленной конфигурации (также называется комплексной обработкой без участия пользователя). Этот процесс не требует передачи идентификаторов PID/PPS, а начинается автоматически после получения сервером комплексной обработки (главным сервером) пакета приветствия от устройства или после развертывания агента управления LANDesk на устройстве Intel vPro. Для использования удаленной конфигурации на главном сервере необходимо установить сертификат настройки клиента Intel Client Setup, полученный от надежного поставщика сертификатов.
Для устройств с Intel vPro версии 3.0 и более поздних возможно использование конфигурации "только оборудование" или удаленной конфигурации без агента.
Устройства с функцией Intel AMT версии 1.0 используют похожий процесс, но без идентификатора PID и ключа PPS. Для получения подробной информации см. раздел Поиск устройств Intel AMT 1.0 .
ПРИМЕЧАНИЕ: Обратите внимание, что в настоящем разделе приведено общее описание процесса конфигурирования Intel vPro. Однако средства Intel vPro реализуются различными производителями по-разному, поэтому могут существовать различия в таких функциях, как доступ к экранам Intel AMT или ME BIOS, сброс устройства и его перевод в заводской режим (отмена комплексной обработки), а также в способе ввода пар идентификатор PID/ключ PPS. Перед началом процесса конфигурирования изучите документацию и сопутствующую информацию, поставляемую вместе с устройством.
В этом разделе приведена следующая информация:
В этом разделе описан процесс упрощенной комплексной обработки устройств Intel vPro версии 2.0 и более поздних.
Когда получено устройство Intel vPro, ИТ-специалист собирает компьютер и включает его. После включения устройства инженер входит на экран конфигурации BIOS Intel ME (Management Engine) и меняет пароль по умолчанию (admin) на более надежный пароль. Это открывает доступ к экрану конфигурации Intel AMT Configuration Screen.
На экране конфигурации вводится следующая предварительная информация для комплексной обработки Intel AMT:
Ключ PPS используется совместно сервером комплексной обработки и управляемым устройством, но в целях безопасности не может быть передан по сети. Он должен быть введен вручную на устройстве (на экране конфигурации Intel AMT Configuration Screen). Пары "идентификатор PID/ключ PPS" генерируются приложением Management Suite и хранятся в базе данных. Пользователь может распечатать список сгенерированных пар идентификаторов для использования в процессе комплексной обработки или экспортировать их в файл ключей с помощью устройства USB.
ИТ-специалист должен ввести IP-адрес главного сервера Management Suite в качестве сервера комплексной обработки и указать порт 9971. Иначе по умолчанию устройство Intel vPro будет отправлять общие широковещательные сообщения, которые могут быть получены сервером конфигурации только через порт 9971.
Имя пользователя и пароль по умолчанию для доступа к экрану конфигурации Intel AMT - "admin" и "admin". Имя пользователя остается неизменным, но пароль нужно заменить в процессе аутентификации на более надежный. Новый пароль вводится в диалоговом окне Общая конфигурация Intel vPro (Intel vPro general configuration), как описано ниже. После конфигурирования каждого из устройств можно изменить пароль отдельно для каждого устройства, но в целях безопасности комплексной обработки нужно использовать пароль, указанный в диалоговом окне общей конфигурации.
После того как указанная ранее информация введена на экране конфигурации Intel AMT, устройство во время первого подключения к сети отправляет сообщения приветствия, пытаясь взаимодействовать с сервером комплексной обработки. Если сервер комплексной обработки получит эти сообщения, то после установления сервером соединения с устройством начинается процесс комплексной обработки.
После того как главный сервер получает сообщения приветствия и сверяет их с ключом PID, он выполняет комплексную обработку устройства Intel vPro в режиме TLS. Режим TLS (Transport Layer Security) устанавливает защищенный коммуникационный канал между главным и управляемым сервером для процесса комплексной обработки. Этот процесс включает создание записи в базе данных с идентификатором устройства UUID и шифрованными идентификационными данными. После того как данные устройства занесены в базу данных, устройство появляется в списке неуправляемых устройств.
После выполнения главным сервером комплексной обработки устройства Intel vPro им можно управлять только с использованием функции Intel vPro. Для этого можно выбрать устройство из списка неуправляемых устройств и переместить его в базу данных инвентаризации. Можно также развернуть на устройстве агенты управления для использования дополнительных функций управления.
Ниже приведен рекомендуемый процесс комплексной обработки устройств Intel vPro. Особые инструкции для элементов 1 и 2 приводятся в следующих процедурах. Если необходимо выполнить комплексную обработку устройств с использованием файла ключей на устройстве USB, то описанные ниже действия с 3 по 5 заменяются действиями, описанными в разделе Импорт и экспорт файлов ключей с использованием устройства USB.
Этот новый пароль необходимо ввести перед созданием набора идентификаторов комплексной обработки.
Ключи комплексной обработки хранятся в базе данных для дальнейшего использования при комплексной обработке других устройств Intel vPro. После выполнения комплексной обработки устройств и использования ключей комплексной обработки отображается страница Генерация идентификаторов Intel vPro (Generate Intel vPro IDs), на которой использованные идентификаторы показаны с затенением, что упрощает контроль их использования.
Префикс идентификатора PID добавляется для удобства определения идентификаторов, но его использование необязательно. Рекомендуется использовать от 0 до 4 символов; максимальная длина префикса — 7 символов.
Необходимо указать имя для идентификации набора ключей аутентификации. Это должно быть описательное имя, которое указывает на принадлежность идентификаторов к устройствам. Например, можно сгенерировать наборы для каждого подразделения внутри компании и назвать их: "Производство", "Маркетинг", "Финансы" и т. д. Если вы в дальнейшем хотите просмотреть сгенерированные идентификаторы, введите имя набора и щелкните Просмотр идентификаторов набора (View batch IDs) для просмотра идентификаторов только из этого набора.
Если будет введен идентификатор PID, не соответствующий ключу PPS (например, ключ PPS сопоставлен не с тем идентификатором PID), в журнале предупреждений появится сообщение об ошибке, а процесс комплексной обработки данного устройства будет прекращен. Необходимо перезапустить устройство и ввести правильную пару идентификатора и ключа PPS на экране конфигурации Intel AMT.
Если при вводе идентификатора PID или ключа PPS на экране конфигурации Intel AMT отображается сообщение об ошибке, значит ввод выполнен неверно. Для обеспечения правильности ввода идентификатора PID и ключа PPS проводится проверка контрольной суммы.
Пользователь может создавать идентификаторы комплексной обработки и экспортировать их в файл ключей для использования при комплексной обработке устройств Intel vPro с применением устройства USB. Экспортированные идентификаторы сохраняются в файле setup.bin, который можно скопировать на устройство USB. Используя устройство USB, пользователь может автоматически заполнить поля PID/PPS в настройках BIOS устройства Intel AMT, если необходимо осуществить комплексную обработку новых устройств Intel vPro перед их обнаружением и управлением ими.
Если производитель устройства предоставил вам набор идентификаторов комплексной обработки для приобретенных устройств Intel vPro, то можно импортировать эти идентификаторы в базу данных главного сервера, что позволит главному серверу распознать эти устройства в качестве устройств Intel vPro и автоматически их обнаружить.
Ниже приведено описание этих двух процессов.
Management Suite генерирует идентификаторы комплексной обработки (пары идентификатор PID/ ключ PPS), которые используются для комплексной обработки новых устройств Intel vPro. Можно напечатать список сгенерированных идентификаторов и ввести их вручную при комплексной обработке каждого устройства. Кроме того, можно экспортировать идентификаторы в файл ключей setup.bin, сохранить этот файл на устройстве USB, а затем использовать это устройство USB для комплексной обработки устройств. Это снижает количество ошибок при комплексной обработке, поскольку пользователю не нужно вводить идентификаторы для каждого устройства вручную.
Для нормального выполнения этого процесса необходимо использовать устройство USB с форматом FAT-16.
Создается файл setup.bin, имеющий специальный формат файла ключей, разработанный компанией Intel. При осуществлении комплексной обработки нового устройства Intel vPro пользователь подключает к нему устройство USB и выполняет перезагрузку. Во время перезагрузки пара идентификаторов комплексной обработки (PID и PPS) из файла setup.bin записывается в BIOS Intel AMT устройства. При передаче устройством сообщения приветствия в сеть главный сервер распознает его и сможет безопасно взаимодействовать с этим устройством, поскольку идентификаторы комплексной обработки найдены в базе данных главного сервера.
ПРИМЕЧАНИЕ: Создаваемые идентификаторы отображаются на странице Генерация идентификаторов Intel vPro (Generate Intel vPro IDs) вместе с другими созданными ранее идентификаторами. Использованные идентификаторы будут отображаться с затенением, что означает невозможность их использования для комплексной обработки других устройств.
После загрузки устройства выполняется обращение к файлу setup.bin и получение доступной пары идентификаторов комплексной обработки (PID и PPS), которые будут использоваться в процессе комплексной обработки. Использованная пара идентификаторов комплексной обработки помечается, поэтому ее нельзя будет использовать для другого устройства. Следующее устройство, которое проходит комплексную обработку, получает следующую доступную пару идентификаторов.
Обратите внимание, что для правильной работы этого процесса необходимо оставить без изменения заданные по умолчанию имя пользователя и пароль для доступа к Intel AMT BIOS (обычно это сочетание "admin/admin"). На устройстве не должны быть введены идентификаторы комплексной обработки.
Если производитель устройства предоставил вам набор идентификаторов комплексной обработки для приобретенных устройств Intel vPro, то можно импортировать эти идентификаторы в базу данных главного сервера, что позволит главному серверу распознать эти устройства в качестве устройств Intel vPro и автоматически их обнаружить. Эти идентификаторы комплексной обработки поставляются производителем в файле ключей setup.bin в комплекте с приобретаемым устройством.
Чтобы импортировать идентификаторы в базу данных главного сервера, определите местоположение предоставленного производителем файла setup.bin (он может находиться на компакт-диске или DVD-диске, и пользователь может скопировать этот файл на любое устройство). Если сохранить идентификаторы в базе данных, то при запуске устройств Intel vPro и передаче ими в сеть сообщений приветствия главный сервер сможет распознать эти устройства и обнаружить их.
Выполняется добавление идентификаторов комплексной обработки в базу данных главного сервера и их отображение на странице Генерация идентификаторов Intel vPro (Generate Intel vPro IDs).
Поскольку устройства Intel vPro состоят из двух компонентов, каждому из которых назначается IP-адрес (микросхема Intel vPro и операционная система устройства), в списке обнаруженных устройств могут потенциально присутствовать две записи для одного устройства Intel vPro. Это происходит только в том случае, если пользователь использует статический IP-адрес вместо службы DHCP.
Для использования статических IP-адресов с устройствами Intel vPro необходимо настроить микропрограмму устройства Intel vPro на использование ее собственного MAC-адреса. (Для получения инструкций по повторной установке микропрограммы и ее правильной настройке обратитесь к представителю компании Intel.)
После выполнения настройки MAC-адрес, IP-адрес и имя узла устройства Intel vPro будут отличаться от аналогичных параметров операционной системы устройства. Для правильного управления устройствами Intel vPro необходимо использовать следующие настройки для DHCP и статических IP-адресов:
Если комплексная обработка машины Intel vPro 2.x осуществляется в корпоративном режиме, то единственная возможность связи с ней — это передача пакета приветствия "hello" на сервер настройки и конфигурирования. При управлении машиной с помощью программного обеспечения LANDesk функции Intel vPro могут работать на этой машине как обычные операции. Что пользователю не следует делать, так это пытаться обнаружить и управлять IP-адресом операционной системы, так как в этом случае у него будет две записи, представляющие один и тот же компьютер. Поскольку единственным общим идентификатором между двумя устройствами является GUID AMT, а его нельзя найти дистанционно, то две записи невозможно объединить.
Если необходимо установить агенты LANDesk, нельзя выполнить их принудительную отправку, поскольку единственным IP-адресом в базе данных является IP-адрес Intel vPro, а утилите принудительной отправки необходим адрес операционной системы. Вместо этого необходимо извлечь агенты (из управляемого устройства Intel vPro) путем назначения устройства в общую папку ldlogon на главном сервере и запуска программы ServerConfig.exe.
Перед тем как выполнить извлечение агентов, рекомендуется изменить настройку утилиты службы конфигурации.
Если после изменения этой настройки результаты сканирования инвентаризации управляемого устройства Intel vPro импортируются в базу данных, служба инвентаризации сопоставляет Intel AMT GUID устройства, который уже присутствует в базе данных, с информацией операционной системы в файле сканирования.
В этом разделе описан процесс удаленной настройки устройств с Intel vPro 2.2/2.6 и более поздними версиями.
Удаленная конфигурация позволяет настраивать устройство, имеющее заводские параметры, во время установки, а затем добавлять профиль Intel AMT, чтобы подготовить устройство к внеполосному управлению. При первом включении устройства и его подключении к сети оно начинает передавать сообщения приветствия на сервер настройки и конфигурации (при управлении устройствами посредством продуктов LANDesk в роли сервера настройки и конфигурации выступает главный сервер). При запуске сервера настройки и конфигурации он устанавливает безопасное соединение с устройством Intel vPro и начинает процесс настройки.
После успешного завершения этого процесса устройство добавляется в список обнаруженных устройств, и им можно управлять с главного сервера. При использовании только функций Intel vPro доступны не все функции управления. Для использования полного набора функций управления необходимо развернуть агента управления.
Для удаленной конфигурации необходимо выполнить два условия:
Если устройство Intel vPro включено, но не получает ответ от сервера настройки и конфигурации в течение определенного периода времени (обычно от 6 до 12 часов, в зависимости от заданных производителем настроек), оно прекращает передачу пакетов приветствия и ждет. В это время функция Intel vPro на устройстве не работает.
Для выполнения комплексной обработки устройства в этом состоянии можно установить на нем стандартный агент управления LANDesk. Когда агент обнаруживает на устройстве средства Intel vPro, он активизирует на нем функцию Intel vPro и передает вызов на веб-службу главного сервера для получения пакета приветствия. Затем с главного сервера начинается процесс комплексной обработки.
Устройства Intel vPro 3.0 и более поздних версий поддерживают удаленную конфигурацию типа "только оборудование" (без агента). При правильной настройке сервера настройки и конфигурации и записи DNS, а также при установке на главном сервере нужного сертификата процесс конфигурирования выполняется без использования агентов.
ПРИМЕЧАНИЕ: Если устройство Intel vPro включено, но не начинает передачу сообщений приветствия, как это описано выше, то на этом устройстве, возможно, не включена конфигурация дистанционного управления. Это зависит от того, установил ли производитель режим управляемости "AMT", включив тем самым на устройстве функцию удаленной конфигурации. Если это так, то пользователь может развернуть на устройстве агента управления LANDesk, что позволит активизировать функцию Intel vPro и начать комплексную обработку устройства, как описано в приведенном выше разделе "Отложенная комплексная обработка".
На каждом сервере настройки и конфигурации необходим сертификат настройки клиента Intel. Сертификат действителен для одного пространства имен в одном домене, поэтому, если главный сервер используется в нескольких пространствах имен внутри домена, то необходимо приобрести отдельный сертификат для каждого пространства имен.
Приобретать сертификат следует у надежного поставщика сертификатов. Сертификат должен иметь поддерживаемый класс. Ниже приведены поставщики сертификатов для продуктов LANDesk на следующих устройствах.
ПРИМЕЧАНИЕ: Перед покупкой сертификата проверьте документацию поставщика, а также информацию о том, какие сертификаты поддерживаются вашим устройством.
Класс поставщика/сертификата | Устройства Intel | Устройства Acer | Устройства Lenovo |
---|---|---|---|
Go Daddy класс 2 CA | X | X | X |
VeriSign класс 3 Primary CA-G3 | X | X | X |
VeriSign класс 3 Primary CA-G1 | X | X | X |
Comodo AAA CA | X | X | |
Starfield класс 2 CA | X |
При покупке сертификата необходимо предоставить файл CSR (certificate signing request — запрос на подпись сертификата). Этот файл генерируется для вашего продукта LANDesk вместе с файлом закрытого ключа. После получения от поставщика файлов сертификата необходимо сохранить файл закрытого ключа в каталоге, где находятся файл общего открытого ключа и полученный от поставщика файл сертификата. Ниже приведено описание этой процедуры.
AMTProvMgr2.exe -domainName name.domain.com -country
[2-буквенный код страны] -state [название штата] -city [название
города] -organization [название организации]
trusted_cert.pem
.corecacert.pem
.corecakey.pem
(создан в описанном выше действии 2) в
папку Ldmain\amtprov\certStore\cert_1. Можно сохранить до восьми
сертификатов во вложенных папках с именами cert_1, cert_2 и
т. д.После запуска программы поиска устройств выполняется обнаружение устройств Intel AMT версии 1.0 и добавление их в папку Intel vPro списка неуправляемых устройств. Устройства распознаются в качестве устройств Intel AMT, если они были сконфигурированы с использованием защищенного пароля, заменившего настройки по умолчанию, которые были установлены производителем устройства.
При добавлении защищенного пароля на экране конфигурации Intel AMT пользователь может также ввести IP-адрес сервера комплексной обработки и указать номер порта 9971, как это выполняется для устройств Intel vPro 2.x. Однако для комплексной обработки устройств Intel AMT 1.0 не используется пара - идентификатор и ключ PPS. Если был указан IP-адрес комплексной обработки, главный сервер будет работать в качестве сервера комплексной обработки, и вы сможете управлять устройствами без установленных агентов управления.
Обратите внимание, что устройства Intel AMT версии 1.0 не используют тот же уровень защиты, что и устройства vPro версии 2.x. Компания Intel рекомендует выполнять настройки устройств версии 1 в изолированной, защищенной сети. После конфигурации их можно переместить для управления в менее защищенную сеть.
Для взаимодействия с устройствами Intel vPro и комплексной обработки новых устройств необходим надежный пароль. Для устройств, которыми вы планируете управлять, пароль, введенный на экране конфигурации Intel AMT (в BIOS устройства), должен совпадать с паролем, введенным в диалоговом окне общей конфигурации Intel vPro. Этот пароль хранится в базе данных и применяется для комплексной обработки всех устройств Intel vPro.
Для повышения безопасности сетевых коммуникаций Intel vPro требует использования надежного пароля. Пароли должны удовлетворять следующим требованиям:
После аутентификации устройств необходимо периодически менять пароли для поддержания ИТ-безопасности. Можно использовать отдельные пароли для каждого устройства Intel vPro или применить новый пароль к нескольким устройствам. Новые введенные пароли сохраняются в базе данных и используются приложением Management Suite для безопасного взаимодействия с управляемыми устройствами Intel vPro.
Intel vPro (версии 2.0 и более поздних) включает функцию системной защиты (System Defense), которая реализует политики сетевой защиты на управляемых устройствах. Можно выбрать и применить политики системной защиты на управляемых устройствах.
При применении политики системной защиты на устройстве Intel vPro устройство фильтрует входящие и исходящие сетевые пакеты в соответствии с определенными политиками. При совпадении сетевого трафика с условиями предупреждения, определенными для фильтра, генерируется предупреждение, и сетевой доступ к устройству блокируется. Устройство будет изолировано от сети до тех пор, пока вы не завершите процесс исправления для соответствия данной политике.
LANDesk Management Suite содержит предопределенные политики системной защиты, которые можно применить для устройств Intel vPro. Каждая политика содержит набор фильтров, определяющий, какой вид сетевого трафика недопустим и какие действия нужно выполнить в результате, когда трафик снова станет соответствовать критериям фильтра.
Когда политика System Defense активна на управляемом устройстве, устройство осуществляет мониторинг всего входящего и исходящего сетевого трафика. При обнаружении условий фильтрации происходит следующее:
В следующем разделе этот процесс описан более детально.
Management Suite содержит следующие предопределенные политики системной защиты, которые можно применить для устройств Intel vPro. Политики определяются с помощью следующих параметров: номер порта, тип пакета и количество пакетов за определенное время. При включении политики она регистрируется с Intel vPro на выбранных устройствах. Политики сохраняются в виде файлов XML на управляемом устройстве в папке CircuitBreakerConfig.
BlockFTPSrvr: Эта политика запрещает трафик через порт FTP. При посылке и получении пакетов через порт FTP 21 пакеты отбрасываются, и сетевой доступ приостанавливается.
LDCBKillNics: Эта политика блокирует трафик через все
сетевые порты, кроме следующих портов управления:
Описание портов | Диапазон номеров | Направление трафика | Протокол |
---|---|---|---|
Управление LANDesk | 9593-9595 | Отправка/получение | TCP, UDP |
Управление Intel vPro | 16992-16993 | Отправка/получение | Только TCP |
DNS | 53 | Отправка/получение | Только UDP |
DHCP | 67-68 | Отправка/получение | Только UDP |
LDCBSYNFlood: Эта политика обнаруживает dos-атаку в виде синхронной лавины пакетов; происходит отказ от обслуживания: при включенном флажке SYN за одну минуту пропускаются не более 10000 пакетов TCP. При превышении этого количества пакетов сетевой доступ приостанавливается.
UDPFloodPolicy: Эта политика обнаруживает dos-атаку в виде потока UDP-пакетов; происходит отказ от обслуживания: пропускаются не более 20,000 UDP пакетов в минуту на портах, пронумерованных от 0 до 1023. При превышении этого количества пакетов сетевой доступ приостанавливается.
RemoveAllPolicy: Позволяет удалить все политики, отменяя их регистрацию с Intel vPro на выбранных устройствах.
Для устройств, оснащенных Intel vPro 3.0 или более поздней версии, можно включить функцию Enhanced System Defense (Улучшенная защита системы). Эта функция предотвращает атаки вредоносного программного обеспечения, осуществляя непрерывную проверку сетевого трафика и оценивая его с помощью эвристических правил фильтрации. Она определяет и блокирует подозрительные действия, например, повторяющиеся действия, генерируемые вирусами.
Если обнаружены подозрительные действия, проблемное устройство изолируется от дальнейшего взаимодействия с сетью, за исключением порта исправления, через который Management Suite может переустановить политику System Defense и восстановить сетевое подключение после устранения проблемы.
Если сетевой доступ к устройству приостановлен в результате применения политики системной защиты, устройство появляется в очереди исправлений. Оно остается там до тех пор, пока вы не удалите его из списка, после чего восстанавливается активная политика на данном устройстве. Перед тем, как это сделать, вы должны решить проблему, в результате которой устройство было помещено в очередь. Например, если был обнаружен трафик FTP, вы должны подтвердить, что были предприняты необходимые действия для предупреждения дальнейшего нежелательного трафика FTP на устройстве.
Для исправления устройств с помощью функции расширенной системы защиты выберите Конфигурация > Параметры Intel vPro > Исправление расширенной системной защиты (Configure > Intel vPro options > Enhanced System Defense Remediation), как описано ранее в действии 1.
Intel vPro (версии 2.0 или более поздних) включает программу Agent Presence, которая может осуществлять мониторинг присутствия агентов программного обеспечения на управляемых устройствах. Можно включить мониторинг Agent Presence, чтобы убедиться, что агенты управления на ваших устройствах постоянно работают, а также для получения предупреждения об остановке агента даже в том случае, если другие агенты, работающие на базе ПО, не могут обнаружить проблему.
LANDesk Management Suite использует Intel vPro Agent Presence для мониторинга двух агентов: стандартного агента управления и службы мониторинга. Это очень полезно в ситуациях, когда взаимодействие, необходимое для нормального мониторинга, отсутствует. Например, уровень взаимодействия устройства не функционирует или сам агент мониторинга перестал работать. По умолчанию Agent Presence также следит за своим собственным процессом мониторинга, в случае его остановки вы будете предупреждены.
Мониторинг Agent Presence осуществляется с помощью конфигурации таймера, который "слушает" сообщения о тактовых импульсах от агентов управления на устройстве для получения подтверждения о работе агентов. Если таймер прекращает работу из-за отсутствия сообщения о тактовых импульсах, Intel vPro посылает предупреждение на главный сервер.
Когда вы настраиваете конфигурацию Agent Presence, агент устройства регистрируется в Intel vPro для отправки тактовых импульсов прямо на Intel vPro; если получение тактовых импульсов прекращается, Intel vPro может послать предупреждение на главный сервер с помощью внеполосного взаимодействия о том, что агент устройства не отвечает. Intel vPro посылает на главный сервер предупреждение о событии прерывания на конкретной платформе (PET) с описанием изменившегося состояния. По умолчанию это предупреждение записывается в журнале с сообщением о состоянии устройства. Можно сконфигурировать инициализацию других действий предупреждений при получении данного предупреждения (информацию о конфигурации действий предупреждений см. в разделе Настройка наборов правил предупреждений).
При настройке мониторинга Agent Presence можно включить или отключить мониторинг для двух агентов и установить следующие значения:
Тактовый импульс (Heartbeat): Максимальный интервал времени (в секундах) между импульсами. Если новый импульс не был получен в течение заданного интервала времени, считается, что агент не отвечает. По умолчанию это значение равно 120 сек для стандартного агента управления и 180 сек для службы мониторинга; минимальное значение для обоих - 30 сек.
Время запуска (Startup time): Максимальный интервал времени (в секундах), допустимый после начала работы операционной системы до момента, когда должен быть получен тактовый импульс от агента. Если заданный интервал времени превышен, считается, что агент не отвечает. Функция присутствия агента, Agent Presence, конфигурируется на Intel vPro при установке агента. Этого времени должно быть достаточно, чтобы агент начал работать и мог послать свой первый тактовый импульс. Значение по умолчанию 360 сек; минимальное значение - 30 сек.
Для устройств Intel vPro (версии 2.5 и более поздних) с поддержкой беспроводного доступа возможно внеполосное управление через подключение к беспроводной локальной сети, когда они включены, а интерфейс беспроводного доступа активен. Если портативный компьютер находится в спящем режиме, внеполосное управление для него возможно только в том случае, если он подключен к проводной локальной сети и источнику питания переменного тока.
Когда портативный компьютер включен, содержащаяся в нем микросхема поддержки технологии Intel Active Management Technology (Intel AMT) взаимодействует с драйвером беспроводной локальной сети. Если Intel AMT находит соответствующий профиль, драйвер осуществляет маршрутизацию трафика, адресованного устройству Intel AMT. Даже в случае проблемы с драйвером Intel AMT может получать трафик внеполосного управления из интерфейса беспроводной сети.
Для беспроводного управления портативному компьютеру с Intel vPro 2.5 необходим профиль беспроводного доступа, правильно настроенный администратором сети, в целях обеспечения безопасного взаимодействия Intel AMT с портативным компьютером. В портативных компьютерах с Intel vPro 2.6 и более поздними версиями профиль беспроводного доступа не требуется для большинства функций управления, но необходим для использования функций последовательного интерфейса через локальную сеть (SOL) и переназначения IDE (IDE-R).
ВАЖНО: Для работы Intel AMT с подключением к беспроводной локальной сети необходимо обеспечить совместный с портативным компьютером доступ к IP-адресам. Для этого необходимо настроить Intel AMT на использование DHCP, а также необходим сервер DHCP, доступный для распределения IP-адресов. Если настройка Intel AMT предполагает использование статических IP-адресов, беспроводная связь будет отключена.
LANDesk Management Suite позволяет определить профиль беспроводного доступа для портативных компьютеров Intel Centrino Pro, обеспечивающий возможность внеполосного управления (как описано ранее). После определения профиля можно развернуть его на одно или несколько устройств.
ПРИМЕЧАНИЕ: После того, как при подключении к беспроводной сети ноутбук будет обнаружен и идентифицирован, он немедленно станет доступен для управления через кабельное подключение. Однако после переключения его на беспроводную связь может возникнуть задержка перед активизацией его службы управления Intel vPro. Это происходит вследствие процедуры определения имени компьютера в сети службой DNS. IP-адрес ноутбука в беспроводной сети отличается от IP-адреса в кабельной сети, что приводит к задержке, связанной с сопоставлением его нового IP-адреса с существующим именем.
Когда устройство Intel vPro добавлено в базу данных главного сервера, им можно управлять несколькими способами, даже если в устройстве не установлен агент LANDesk. (Для получения информации об обнаружении устройств и их добавлении в базу данных главного сервера см. раздел Поиск устройств Intel AMT).
В следующей таблице перечислены параметры управления, доступные для устройств, на которых имеется только Intel vPro, в сравнении с устройствами, на которых имеется Intel vPro и установленный агент управления Management Suite.
Только Intel vPro | Intel vPro и агент | Только агент | |
---|---|---|---|
Сводка инвентаризации |
сводка |
X |
X |
Журнал событий |
X |
X |
X |
Менеджер удаленной загрузки |
X |
X |
|
История инвентаризации |
|
X |
X |
Дистанционное управление |
|
X |
X |
Чат |
|
X |
X |
Передача файла |
|
X |
X |
Удаленное выполнение |
|
X |
X |
Активизация |
|
X |
X |
Завершение работы |
|
X |
X |
Перезагрузка |
|
X |
X |
Сканирование инвентаризации |
|
X |
X |
Запланированные задачи и политики |
ограничено |
X |
X |
Параметры группы |
|
X |
X |
Запуск отчета об инвентаризации |
|
X |
X |
Предупреждения Intel vPro |
|
X |
X |
Обнаружение сетевого окружения |
X |
X |
|
Удаленный доступ по инициативе клиента |
X |
X |
Сводка содержит общие сведения об устройстве, например имя и IP-адрес устройства, а также информацию о микросхеме Intel AMT и аппаратных средствах устройства Intel vPro, в том числе номер версии AMT, BIOS, сведения об изготовителе и серийный номер.
Во время аутентификации устройства Intel vPro в корпоративном режиме (Enterprise) главный сервер устанавливает в устройстве сертификат, необходимый для защиты коммуникаций. Если необходимо, чтобы устройством управлял другой главный сервер, то необходимо отменить идентификацию устройства, а затем снова идентифицировать его другим главным сервером. Если этого не сделать, функция Intel vPro устройства не будет отвечать, так как у нового главного сервера нет соответствующего сертификата. Если другой компьютер попытается использовать функцию Intel vPro устройства, это будет невозможно из-за отсутствия соответствующего сертификата.
Management Suite обеспечивает возможность просмотра журнала событий, генерируемых устройствами Intel vPro. В настройках параметров указывается, какие события отражаются в журнале. Можно посмотреть дату и время события, источник события (столбец, в котором указан объект), описание и степень важности в соответствии с настройками Intel vPro (критическое или некритическое состояние). Можно экспортировать данные журнала в файл формата CSV (текст с разделителями-запятыми).
Management Suite содержит команды управления энергопотреблением устройств Intel vPro. Эти параметры можно использовать даже в случае отсутствия реакции операционной системы устройства, если устройство подключено к сети и находится в режиме ожидания.
Когда приложение Management Suite инициирует такую команду, в некоторых случаях не представляется возможным проверить поддержку такой команды оборудованием. Некоторые устройства с Intel vPro могут не поддерживать все функции управления питанием (например, устройство может поддерживать перезагрузку IDE-R с компакт-диска, но не поддерживать эту команду с дискеты). Если команда управления питанием не работает на каком-либо устройстве, см. документацию к этому устройству. Если команды управления питанием работают неправильно, попробуйте использовать обновления встроенного программного обеспечения и BIOS, предоставляемые компанией Intel.
При выдаче команды включения питания устройства Intel vPro приложение Management Suite сначала отправляет команду пробуждения Intel vPro. Если эта команда не выполнена, приложение отправляет устройству обычную команду "Wake on LAN".
Можно просто включать или выключать питание устройства, а можно перезагружать его, указав при этом параметры перезагрузки. Параметры описаны в приведенной ниже таблице.
Параметр | Описание |
---|---|
Выключение питания |
Завершение подачи питания на устройство |
Включение питания |
Включение питания на устройстве |
Перезагрузка |
Выключение питания устройства, а затем его включение |
Нормальная загрузка |
Запуск устройства с использованием любой последовательности загрузки, установленной по умолчанию для данного устройства |
Загрузка с локального жесткого диска |
Принудительная загрузка с жесткого диска устройства независимо от режима загрузки по умолчанию на устройстве |
Загрузка с локального устройства CD/DVD |
Принудительная загрузка с компакт-диска или DVD-диска устройства независимо от режима загрузки по умолчанию для данного устройства |
Загрузка PXE |
При перезапуске устройство с поддержкой PXE выполняет поиск в сети сервера PXE; если он найден, на устройстве начинается сеанс загрузки PXE |
Загрузка IDE-R |
Перезагрузка устройства с помощью выбранного параметра переназначения IDE (см. ниже) |
Вход в настройку BIOS при включении питания |
При загрузке устройства пользователю предоставляется возможность войти в программу настройки BIOS |
Показать окно переназначения консоли |
Перезагрузка устройства запускается последовательно в режиме локальной сети и отображает окно переназначения консоли |
Переназначение IDE: перезагрузка с гибкого диска |
Загрузка устройства начинается с указанного дисковода для гибких дисков |
Переназначение IDE: Перезагрузка с компакт-диска или DVD-диска |
Загрузка устройства начинается с указанного дисковода для компакт-дисков |
Переназначение IDE: Перезагрузка из указанного файла образа |
Загрузка устройства начинается с указанного файла образа (файлы образа дискеты должны иметь формат .img, а файлы образа компакт-диска формат .iso; см. замечания ниже) |
При использовании параметров переназначения IDE файлы образа дискеты должны иметь формат .img, а файлы образа компакт-диска — формат .iso. Для некоторых BIOS необходимо, чтобы образ компакт-диска находился на жестком диске.
Intel vPro обычно хранит все последние настройки IDE-R, но приложение Management Suite очищает их через 45 секунд, поэтому при следующей загрузке функция IDE-R не будет запущена. Сеанс IDE-R на устройстве Intel vPro длится 6 часов или до тех пор, пока он не будет закрыт с консоли Management Suite. Все операции IDE-R, продолжающиеся более 6 часов, будут прерваны.
ПРИМЕЧАНИЕ: В некоторых ситуациях процесс загрузки IDE-R может превысить время ожидания на консоли последовательного интерфейса через локальную сеть (SOL), в то время как процесс загрузки по-прежнему продолжается. Если инициализация загрузочного образа и отправка данных на консоль SOL занимают слишком много времени, то консоль SOL прекращает взаимодействие, и связь с клавиатурой теряется. Это происходит, когда используемые для загрузки носители имеют большое время ответа, и инициализация занимает более 60 секунд (это максимальное значение времени ожидания). Если такая проблема возникает при загрузке с дискеты или других носителей, рекомендуется выполнять загрузку из файла загрузочного образа (.img), а не со сменных носителей.
Возможно дистанционное управление устройствами Intel vPro (версии 4.0 и более поздних) с консоли LANDesk Management Suite. Если устройство Intel vPro находится за пределами сети, в которой расположена консоль Management Suite, то взаимодействие с главным сервером — через брандмауэр и демилитаризованную зону сети — обеспечивается средствами удаленного доступа.
Средства удаленного доступа для устройств Intel vPro обеспечивают связь между консолью управления в защищенной сети и устройствами Intel vPro, расположенными вне сети. Эта связь осуществляется через туннель TLS, соединяющий расположенное вне сети устройство с сервером (называемым сервером шлюза Intel vPro), который обычно располагается в демилитаризованной зоне сети. Затем данные направляются от сервера шлюза Intel vPro на главный сервер Management Suite через защищенные HTTP-соединения с использованием доверенных корневых и серверных сертификатов.
Чтобы использовать удаленный доступ для управляемого устройства, к его микропрограмме необходимо применить политику удаленного доступа. Оно также должно иметь два сертификата: доверенный корневой сертификат и сертификат клиента, которые соответствовали бы сертификатам главного сервера Management Suite. (Это те же сертификаты, которые используются в продуктах LANDesk.) Средства удаленного доступа позволяют создать политику удаленного доступа и применить ее к микропрограмме управляемых устройств.
После настройки устройства и установки сервера шлюза Intel vPro сеансы дистанционного управления управляемым устройством открываются в соответствии с заданным расписанием (обычно один раз в день). После инициализации сеанса дистанционного управления устройство появляется в списке "Открытый сеанс" (Open Session) в диалоговом окне конфигурации удаленного доступа Intel vPro. Кроме того, на странице состояния клиента приложения Management Suite указывается, что сеанс открыт.
ПРИМЕЧАНИЕ: Обратите внимание, что в процессе разработки функции удаленного доступа она получила название "Удаленный доступ по инициативе клиента" или CIRA (Client-Initiated Remote Access). Если вам встретилась ссылка на CIRA, это означает удаленный доступ. Сервер шлюза Intel vPro ранее назывался сервером управления присутствием (Management Presence Server — MPS), поэтому вам могут встретиться ссылки на MPS, которые теперь относятся к серверу шлюза. Кроме того, в документации Intel могут быть ссылки на функцию "Fast Call for Help", которые относятся к функции удаленного доступа, инициированной клиентским устройством.
Можно включить функцию удаленного доступа, используя сервер в вашей сети в качестве сервера шлюза Intel. Для этого необходимо выполнить две основные задачи:
Документация о настройке функции удаленного доступа находится в папке \Programs Files\LANDesk\Management Suite\Install\vpro\remoteaccess на главном сервере. (В этой папке находится исполнимый файл).
Устройствами Intel vPro (AMT версии 6 или более поздних) можно дистанционно управлять, используя доступ KVM. Это позволяет ИТ-администратору просматривать устройство клиента в полноэкранном режиме и полностью управлять клавиатурой, мышью и видео данного устройства.
Функция KVM поддерживает два режима соединения: прямой и через шлюз (известен как MPS). Она также поддерживает два типа связи: TLS (по умолчанию) и без TLS. При комплексной обработке устройства AMT функция KVM по умолчанию отключается. Работа функции KVM ограничена лицензией главного сервера или консоли. Она доступна в меню, которое отображается при щелчке правой кнопкой мыши на управляемых устройствах AMT. Автономная программа просмотра дистанционного управления не использует функцию KVM.