Управление устройствами Intel vPro

Обзор поддержки Intel vPro

Management Suite поддерживает устройства, в которых используется технология Inte vPro — аппаратная и микропрограммная технология, обеспечивающая дистанционное управление и защиту устройств. Технология Intel vPro предполагает использование внеполосного (OOB) взаимодействия для доступа к устройствам независимо от состояния операционной системы и режима подачи питания устройства.

В этом продукте термин "Intel vPro" относится к технологиям, используемым на настольных и мобильных компьютерах с поддержкой Intel vPro. Этот продукт также поддерживает устройства с более ранними версиями технологии Intel Active Management Technology (Intel AMT). Процесс комплексной обработки устройств с различными версиями Intel vPro различается в зависимости от номеров версий. Информация, предлагаемая в этом разделе, применима ко всем версиям, за некоторыми указанными исключениями.

В приведенной ниже таблице перечислены функции Intel vPro, поддерживаемые в данном продукте в различных версиях Intel vPro.

*Профиль беспроводного доступа необходим для беспроводного управления портативными компьютерами с поддержкой Intel Centrino 2.5. Для портативных компьютеров с поддержкой Intel Centrino 2.6 профиль беспроводного доступа требуется только для использования функций последовательного интерфейса через ЛС и перенаправления IDE; другие функции беспроводного управления могут использоваться независимо от наличия или отсутствия профиля беспроводного доступа на портативном компьютере.

В этой главе приведена информация по следующим темам:

• Конфигурация устройств Intel vPro
• Изменение пароля для устройств Intel vPro
• Конфигурация политик системной защиты
• Настройка параметров присутствия агента Intel vPro
• Поддержка беспроводного доступа Intel vPro
• Управление устройствами Intel vPro
• Удаленный доступ для устройств Intel vPro

Управление устройствами с агентами управления и без них

Если устройство поддерживает технологию Intel vPro, то некоторые функции управления доступны даже в том случае, если в устройстве не установлен агент LANDesk. Если устройства подключены к сети и находятся в режиме ожидания, то их можно обнаружить и включить в базу данных для того, чтобы ими можно было управлять из других устройств сети.

Если устройство поддерживает Intel vPro, но в нем не установлен агент управления, то его можно обнаружить, добавить в базу данных инвентаризации и отобразить в папке "Устройства" вида сети. Для устройств с поддержкой Intel vPro доступны следующие функции управления:

• Сводка инвентаризации: Часть базы данных инвентаризации, которую можно просматривать в реальном времени и в которой можно запрашивать данные об устройстве, даже если оно отключено.
• Журнал событий: Журнал событий Intel vPro, содержащий описание и степень важности событий. Может просматриваться в реальном времени.
• Менеджер удаленной загрузки: Операции включения и выключения устройства, а также некоторые команды загрузки можно запустить с консоли удаленного управления независимо от состояния операционной системы и питания устройства. Доступные команды зависят от того, поддерживает ли их конкретное устройство. Некоторые устройства поддерживают не все команды загрузки.
• System Defense: Функция защиты системы Intel vPro System Defense реализует политики сетевой защиты на управляемых устройствах. Функция расширенной сетевой защиты (начиная с версии 3.0) добавляет эвристические правила фильтрации для предотвращения атак вредоносного программного обеспечения в сети.

Другие функции управления Management Suite доступны только при наличии на устройстве установленного агента управления. Для получения дополнительной информации о функциях управления см. раздел Управление устройствами Intel vPro.

Требования аутентификации Intel AMT версии 1.0

Обнаружение устройств в качестве устройств с поддержкой Intel AMT 1.0 возможно только после доступа к BIOS устройства с помощью экрана настройки Intel AMT и изменения установленного производителем пароля по умолчанию на надежный пароль (для получения информации о доступе к экрану настройки Intel AMT см. документацию к устройству). Если этого не сделать, поиск устройств будет выполняться, но они не будут идентифицироваться в качестве устройств с поддержкой Intel AMT, и нельзя будет просмотреть сводку инвентаризации в полном объеме.

Для успешной аутентификации обнаруженных устройств Intel AMT в главном сервере необходимо, чтобы идентификационная информация для имени пользователя и пароля, введенная в BIOS устройства, соответствовала идентификационной информации, введенной в диалоговом окне Общая конфигурация Intel vPro (Intel vPro general configuration) (щелкните Конфигурация > Параметры Intel vPro > Общая конфигурация (Configure > Intel vPro options > General configuration)).

При добавлении устройства Intel AMT, которым необходимо управлять, в базу данных главного сервера, Management Suite выполняет его автоматическую идентификацию независимо от того, было ли это устройство уже идентифицировано или нет. Режим малого бизнеса позволяет использовать основные функции управления без служб сети infrastructure и незащищенной сети, а корпоративный режим разработан для больших предприятий и обеспечивает безопасную работу на основе таких сетевых служб, как DHCP, DNS и служб центров сертификации TLS для обеспечения безопасного взаимодействия между управляемым устройством и главным сервером.

Во время аутентификации устройства Intel AMT в корпоративном режиме (Enterprise) главный сервер устанавливает в устройстве сертификат, необходимый для защиты коммуникаций. Если другой компьютер попытается использовать функцию Intel AMT устройства, это будет невозможно из-за отсутствия соответствующего сертификата.

Конфигурация устройств Intel vPro

Для включения функций Intel vPro на устройствах, оборудованных средствами Intel vPro, необходимо выполнить настройку этих устройств при их первой установке и включении питания. Этот процесс включает несколько оценок защиты, позволяющих гарантировать доступ к функциям управления Intel vPro только для авторизованных пользователей.

Устройства Intel vPro взаимодействуют в сети с сервером комплексной обработки. Этот сервер комплексной обработки принимает в сети сообщения от устройств Intel vPro и позволяет ИТ-специалистам управлять серверами через внеполосные каналы связи независимо от состояния операционной системы устройства. Главный сервер LANDesk работает в качестве сервера комплексной обработки для устройств Intel vPro и включает функции, которые помогают осуществлять идентификацию устройств во время их установки. После этого можно начать управление устройствами с установленными дополнительными агентами управления или без них.

В этом разделе представлен процесс, рекомендуемый для настройки новых устройств Intel vPro. Во время этого процесса будет использоваться Management Suite для создания набора идентификаторов комплексной обработки (PID и PPS). Эти идентификаторы вводятся в настройки BIOS устройства, что позволяет гарантировать безопасное подключение к серверу комплексной обработки во время начального процесса комплексной обработки. В версии 2.0 и более поздних имеются функции конфигурирования устройств "одним нажатием".

При использовании версий 2.2/2.6 и более поздних можно также настраивать устройства с использованием функции удаленной конфигурации (также называется комплексной обработкой без участия пользователя). Этот процесс не требует передачи идентификаторов PID/PPS, а начинается автоматически после получения сервером комплексной обработки (главным сервером) пакета приветствия от устройства или после развертывания агента управления LANDesk на устройстве Intel vPro. Для использования удаленной конфигурации на главном сервере необходимо установить сертификат настройки клиента Intel Client Setup, полученный от надежного поставщика сертификатов.

Для устройств с Intel vPro версии 3.0 и более поздних возможно использование конфигурации "только оборудование" или удаленной конфигурации без агента.

Устройства с функцией Intel AMT версии 1.0 используют похожий процесс, но без идентификатора PID и ключа PPS. Для получения подробной информации см. раздел Поиск устройств Intel AMT 1.0 .

ПРИМЕЧАНИЕ: Обратите внимание, что в настоящем разделе приведено общее описание процесса конфигурирования Intel vPro. Однако средства Intel vPro реализуются различными производителями по-разному, поэтому могут существовать различия в таких функциях, как доступ к экранам Intel AMT или ME BIOS, сброс устройства и его перевод в заводской режим (отмена комплексной обработки), а также в способе ввода пар идентификатор PID/ключ PPS. Перед началом процесса конфигурирования изучите документацию и сопутствующую информацию, поставляемую вместе с устройством.

В этом разделе приведена следующая информация:

• Комплексная обработка устройств Intel vPro одним нажатием клавиши
• Импорт и экспорт файлов ключей с использованием устройства USB
• Использование статических IP-адресов с устройствами Intel vPro
• Удаленная конфигурация (комплексная обработка без участия пользователя)
• Поиск устройств Intel AMT 1.0

Комплексная обработка устройств Intel vPro одним нажатием клавиши

В этом разделе описан процесс упрощенной комплексной обработки устройств Intel vPro версии 2.0 и более поздних.

Когда получено устройство Intel vPro, ИТ-специалист собирает компьютер и включает его. После включения устройства инженер входит на экран конфигурации BIOS Intel ME (Management Engine) и меняет пароль по умолчанию (admin) на более надежный пароль. Это открывает доступ к экрану конфигурации Intel AMT Configuration Screen.

На экране конфигурации вводится следующая предварительная информация для комплексной обработки Intel AMT:

• Идентификатор комплексной обработки (PID)
• Предварительный ключ-пароль (PPS) также называемый предварительно опубликованным ключом (PSK)
• IP-адрес сервера комплексной обработки
• Порт 9971 в качестве порта для взаимодействия и сервером комплексной обработки
• Нужно выбрать корпоративный режим (Enterprise)
• Имя узла устройства Intel vPro

Ключ PPS используется совместно сервером комплексной обработки и управляемым устройством, но в целях безопасности не может быть передан по сети. Он должен быть введен вручную на устройстве (на экране конфигурации Intel AMT Configuration Screen). Пары "идентификатор PID/ключ PPS" генерируются приложением Management Suite и хранятся в базе данных. Пользователь может распечатать список сгенерированных пар идентификаторов для использования в процессе комплексной обработки или экспортировать их в файл ключей с помощью устройства USB.

ИТ-специалист должен ввести IP-адрес главного сервера Management Suite в качестве сервера комплексной обработки и указать порт 9971. Иначе по умолчанию устройство Intel vPro будет отправлять общие широковещательные сообщения, которые могут быть получены сервером конфигурации только через порт 9971.

Имя пользователя и пароль по умолчанию для доступа к экрану конфигурации Intel AMT - "admin" и "admin". Имя пользователя остается неизменным, но пароль нужно заменить в процессе аутентификации на более надежный. Новый пароль вводится в диалоговом окне Общая конфигурация Intel vPro (Intel vPro general configuration), как описано ниже. После конфигурирования каждого из устройств можно изменить пароль отдельно для каждого устройства, но в целях безопасности комплексной обработки нужно использовать пароль, указанный в диалоговом окне общей конфигурации.

После того как указанная ранее информация введена на экране конфигурации Intel AMT, устройство во время первого подключения к сети отправляет сообщения приветствия, пытаясь взаимодействовать с сервером комплексной обработки. Если сервер комплексной обработки получит эти сообщения, то после установления сервером соединения с устройством начинается процесс комплексной обработки.

После того как главный сервер получает сообщения приветствия и сверяет их с ключом PID, он выполняет комплексную обработку устройства Intel vPro в режиме TLS. Режим TLS (Transport Layer Security) устанавливает защищенный коммуникационный канал между главным и управляемым сервером для процесса комплексной обработки. Этот процесс включает создание записи в базе данных с идентификатором устройства UUID и шифрованными идентификационными данными. После того как данные устройства занесены в базу данных, устройство появляется в списке неуправляемых устройств.

После выполнения главным сервером комплексной обработки устройства Intel vPro им можно управлять только с использованием функции Intel vPro. Для этого можно выбрать устройство из списка неуправляемых устройств и переместить его в базу данных инвентаризации. Можно также развернуть на устройстве агенты управления для использования дополнительных функций управления.

Ниже приведен рекомендуемый процесс комплексной обработки устройств Intel vPro. Особые инструкции для элементов 1 и 2 приводятся в следующих процедурах. Если необходимо выполнить комплексную обработку устройств с использованием файла ключей на устройстве USB, то описанные ниже действия с 3 по 5 заменяются действиями, описанными в разделе Импорт и экспорт файлов ключей с использованием устройства USB.

1. Укажите новый надежный пароль для комплексной обработки устройств Intel vPro (подробное описание действий приведено ниже).
2. Сгенерируйте набор идентификаторов комплексной обработки Intel vPro (PID и PPS). Распечатайте список ключей или экспортируйте их на устройство USB (подробное описание действий приведено ниже).
3. Войдите в экран конфигурации Intel ME из программы BIOS и измените пароль по умолчанию на более надежный пароль.
4. Войдите в экран конфигурации Intel AMT. Введите пару идентификатор PID/ключ PPS из списка распечатанных идентификаторов комплексной обработки. Введите IP-адрес главного сервера (сервер комплексной обработки) и укажите порт 9971. Убедитесь, что для комплексной обработки выбран корпоративный режим (Enterprise). Введите имя узла устройства Intel vPro.
5. Закройте экран BIOS. Устройство начнет передачу сообщений приветствия "hello".
6. Главный сервер получает сообщение "hello" и проверяет идентификатор PID на соответствие списку сгенерированных ключей. Если они совпадают, выполняется комплексная обработка устройства.
7. Устройство добавляется в список обнаруженных неуправляемых устройств (в папке Intel vPro).
8. Переместите устройство в базу данных инвентаризации (в списке обнаруженных неуправляемых устройств щелкните правой кнопкой мыши и выберите Переместить в базу данных инвентаризации (Move to inventory database)). Можно осуществлять управление устройством без агента или развернуть на нем агенты управления, что позволяет использовать дополнительные функции управления.

Для установки пароля Intel vPro выполните следующие действия:

1. В главном сервере щелкните Конфигурация > Параметры Intel vPro > Общая конфигурация (Configure > Intel vPro options > General configuration).
2. В разделе Настройка и конфигурация (Setup and Configuration) введите надежный пароль и подтвердите его.
3. Если у вас уже имеются управляемые устройства Intel vPro и вы хотите использовать тот же самый пароль конфигурации для этих устройств, выберите функцию Синхронизировать пароль (Synchronize this password).
4. Если у вас имеется среда конфигурации с высокой степенью безопасности и вы предпочитаете не использовать режим TLS при настройке новых устройств, выберите функцию Использовать режим связи без TLS (Use non-TLS communications) (рекомендуется использовать режим TLS).
5. Нажмите OK.

Этот новый пароль необходимо ввести перед созданием набора идентификаторов комплексной обработки.

Для генерации набора идентификаторов комплексной обработки Intel vPro выполните следующие действия:

1. Щелкните Конфигурация > Параметры Intel vPro > Генерация идентификаторов (Configure > Intel vPro options > ID Generation).
2. Введите число генерируемых идентификаторов (обычно это число устройств, планируемых для комплексной обработки).
3. Если для идентификаторов нужно использование другого префикса, введите его в поле Префикс PID (PID prefix). Этот префикс может содержать только символы алфавита, введенные на верхнем регистре, и цифры из кодовой таблицы ASCII. Длина префикса не может превышать 7 символов.
4. Введите имя набора для идентификации группы сгенерированных идентификаторов (необязательно).
5. Щелкните Сгенерировать идентификаторы (Generate IDs).
6. После создания идентификаторов выберите параметр Печать списка идентификаторов (Print ID list) для распечатки списка идентификаторов. (Будут распечатаны только отображенные в настоящий момент идентификаторы). Откроется диалоговое окно печати Windows. Выберите принтер и нажмите кнопку Печать.
7. Для просмотра всех ранее созданных идентификаторов выберите Показать все (Show all) в списке Просмотр идентификаторов набора (View batch IDs).
8. Для просмотра одного набора сгенерированных идентификаторов выберите имя набора в списке Просмотр идентификаторов набора (View batch IDs).

Ключи комплексной обработки хранятся в базе данных для дальнейшего использования при комплексной обработке других устройств Intel vPro. После выполнения комплексной обработки устройств и использования ключей комплексной обработки отображается страница Генерация идентификаторов Intel vPro (Generate Intel vPro IDs), на которой использованные идентификаторы показаны с затенением, что упрощает контроль их использования.

Префикс идентификатора PID добавляется для удобства определения идентификаторов, но его использование необязательно. Рекомендуется использовать от 0 до 4 символов; максимальная длина префикса — 7 символов.

Необходимо указать имя для идентификации набора ключей аутентификации. Это должно быть описательное имя, которое указывает на принадлежность идентификаторов к устройствам. Например, можно сгенерировать наборы для каждого подразделения внутри компании и назвать их: "Производство", "Маркетинг", "Финансы" и т. д. Если вы в дальнейшем хотите просмотреть сгенерированные идентификаторы, введите имя набора и щелкните Просмотр идентификаторов набора (View batch IDs) для просмотра идентификаторов только из этого набора.

Ошибки процесса комплексной обработки 

Если будет введен идентификатор PID, не соответствующий ключу PPS (например, ключ PPS сопоставлен не с тем идентификатором PID), в журнале предупреждений появится сообщение об ошибке, а процесс комплексной обработки данного устройства будет прекращен. Необходимо перезапустить устройство и ввести правильную пару идентификатора и ключа PPS на экране конфигурации Intel AMT.

Если при вводе идентификатора PID или ключа PPS на экране конфигурации Intel AMT отображается сообщение об ошибке, значит ввод выполнен неверно. Для обеспечения правильности ввода идентификатора PID и ключа PPS проводится проверка контрольной суммы.

Импорт и экспорт файлов ключей с использованием устройства USB

Пользователь может создавать идентификаторы комплексной обработки и экспортировать их в файл ключей для использования при комплексной обработке устройств Intel vPro с применением устройства USB. Экспортированные идентификаторы сохраняются в файле setup.bin, который можно скопировать на устройство USB. Используя устройство USB, пользователь может автоматически заполнить поля PID/PPS в настройках BIOS устройства Intel AMT, если необходимо осуществить комплексную обработку новых устройств Intel vPro перед их обнаружением и управлением ими.

Если производитель устройства предоставил вам набор идентификаторов комплексной обработки для приобретенных устройств Intel vPro, то можно импортировать эти идентификаторы в базу данных главного сервера, что позволит главному серверу распознать эти устройства в качестве устройств Intel vPro и автоматически их обнаружить.

Ниже приведено описание этих двух процессов.

Экспорт идентификаторов комплексной обработки для использования с устройством USB

Management Suite генерирует идентификаторы комплексной обработки (пары идентификатор PID/ ключ PPS), которые используются для комплексной обработки новых устройств Intel vPro. Можно напечатать список сгенерированных идентификаторов и ввести их вручную при комплексной обработке каждого устройства. Кроме того, можно экспортировать идентификаторы в файл ключей setup.bin, сохранить этот файл на устройстве USB, а затем использовать это устройство USB для комплексной обработки устройств. Это снижает количество ошибок при комплексной обработке, поскольку пользователю не нужно вводить идентификаторы для каждого устройства вручную.

Для нормального выполнения этого процесса необходимо использовать устройство USB с форматом FAT-16.

Создается файл setup.bin, имеющий специальный формат файла ключей, разработанный компанией Intel. При осуществлении комплексной обработки нового устройства Intel vPro пользователь подключает к нему устройство USB и выполняет перезагрузку. Во время перезагрузки пара идентификаторов комплексной обработки (PID и PPS) из файла setup.bin записывается в BIOS Intel AMT устройства. При передаче устройством сообщения приветствия в сеть главный сервер распознает его и сможет безопасно взаимодействовать с этим устройством, поскольку идентификаторы комплексной обработки найдены в базе данных главного сервера.

Экспорт набора идентификаторов комплексной обработки для использования с устройством USB

1. Щелкните Конфигурация > Параметры Intel vPro > Импорт и экспорт (Configure > Intel vPro options > Import/Export).
2. Выберите Экспорт идентификаторов AMT в файл setup.bin (Export AMT IDs to setup.bin file).
3. Для устройств Intel vPro 2.5 или более поздних версий введите пароль, который используется для доступа к экрану конфигурации Intel ME.
4. В текстовом поле Количество идентификаторов (Number of IDs) введите количество экспортируемых идентификаторов.
   Необходимо ввести в этом поле, как минимум "1". Максимально возможно число — это количество доступных идентификаторов, указанное рядом с функцией Экспорт идентификаторов AMT в файл setup.bin (Export AMT IDs to setup.bin file).
5. Укажите местоположение файла setup.bin. Нажмите кнопку Обзор (Browse) и выберите устройство и путь для сохранения файла.
   Можно сохранить файл на любое устройство, а затем скопировать его на устройство USB, или просто указать местоположение устройства USB, если оно подключено к главному серверу. Чтобы файл setup.bin можно было использовать для комплексной обработки, его необходимо сохранить в корневой каталог устройства USB.
6. Нажмите Применить (Apply).
   Нажмите кнопку Применить (Apply). Диалоговое окно остается открытым, пока не будет нажата кнопка Закрыть (Close).

ПРИМЕЧАНИЕ: Создаваемые идентификаторы отображаются на странице Генерация идентификаторов Intel vPro (Generate Intel vPro IDs) вместе с другими созданными ранее идентификаторами. Использованные идентификаторы будут отображаться с затенением, что означает невозможность их использования для комплексной обработки других устройств.

Использование экспортированных идентификаторов комплексной обработки на новых устройствах Intel vPro

1. Выполните экспорт набора идентификаторов комплексной обработки (как описано выше) и сохраните файл setup.bin в корневой каталог устройства USB.
2. Подключите устройство USB к каждому новому устройству Intel vPro и перезагрузите его.

После загрузки устройства выполняется обращение к файлу setup.bin и получение доступной пары идентификаторов комплексной обработки (PID и PPS), которые будут использоваться в процессе комплексной обработки. Использованная пара идентификаторов комплексной обработки помечается, поэтому ее нельзя будет использовать для другого устройства. Следующее устройство, которое проходит комплексную обработку, получает следующую доступную пару идентификаторов.

Обратите внимание, что для правильной работы этого процесса необходимо оставить без изменения заданные по умолчанию имя пользователя и пароль для доступа к Intel AMT BIOS (обычно это сочетание "admin/admin"). На устройстве не должны быть введены идентификаторы комплексной обработки.

Импорт идентификаторов комплексной обработки из файла ключей в базу данных главного сервера

Если производитель устройства предоставил вам набор идентификаторов комплексной обработки для приобретенных устройств Intel vPro, то можно импортировать эти идентификаторы в базу данных главного сервера, что позволит главному серверу распознать эти устройства в качестве устройств Intel vPro и автоматически их обнаружить. Эти идентификаторы комплексной обработки поставляются производителем в файле ключей setup.bin в комплекте с приобретаемым устройством.

Чтобы импортировать идентификаторы в базу данных главного сервера, определите местоположение предоставленного производителем файла setup.bin (он может находиться на компакт-диске или DVD-диске, и пользователь может скопировать этот файл на любое устройство). Если сохранить идентификаторы в базе данных, то при запуске устройств Intel vPro и передаче ими в сеть сообщений приветствия главный сервер сможет распознать эти устройства и обнаружить их.

Импорт идентификаторов комплексной обработки из файла ключей в базу данных главного сервера

1. Щелкните Конфигурация > Параметры Intel vPro > Импорт и экспорт (Configure > Intel vPro options > Import/Export).
2. Выберите Импорт из файла на устройстве USB (Import from USB key file).
3. В поле Местоположение файла setup.bin (Specify the location for setup.bin) укажите путь или найдите папку, в которой находится файл setup.bin.
4. Нажмите Применить (Apply).

Выполняется добавление идентификаторов комплексной обработки в базу данных главного сервера и их отображение на странице Генерация идентификаторов Intel vPro (Generate Intel vPro IDs).

Использование статических IP-адресов с устройствами Intel vPro

Поскольку устройства Intel vPro состоят из двух компонентов, каждому из которых назначается IP-адрес (микросхема Intel vPro и операционная система устройства), в списке обнаруженных устройств могут потенциально присутствовать две записи для одного устройства Intel vPro. Это происходит только в том случае, если пользователь использует статический IP-адрес вместо службы DHCP.

Для использования статических IP-адресов с устройствами Intel vPro необходимо настроить микропрограмму устройства Intel vPro на использование ее собственного MAC-адреса. (Для получения инструкций по повторной установке микропрограммы и ее правильной настройке обратитесь к представителю компании Intel.)

После выполнения настройки MAC-адрес, IP-адрес и имя узла устройства Intel vPro будут отличаться от аналогичных параметров операционной системы устройства. Для правильного управления устройствами Intel vPro необходимо использовать следующие настройки для DHCP и статических IP-адресов:

• DHCP: Служба DHCP используется как операционной системой, так и Intel vPro, и имена узлов совпадают.
• Статический IP-адрес (Static IP): Операционная система и Intel vPro настроены на использование статических адресов, которые отличаются друг от друга. Также используются различные MAC-адреса и имена узлов.

Если комплексная обработка машины Intel vPro 2.x осуществляется в корпоративном режиме, то единственная возможность связи с ней — это передача пакета приветствия "hello" на сервер настройки и конфигурирования. При управлении машиной с помощью программного обеспечения LANDesk функции Intel vPro могут работать на этой машине как обычные операции. Что пользователю не следует делать, так это пытаться обнаружить и управлять IP-адресом операционной системы, так как в этом случае у него будет две записи, представляющие один и тот же компьютер. Поскольку единственным общим идентификатором между двумя устройствами является GUID AMT, а его нельзя найти дистанционно, то две записи невозможно объединить.

Если необходимо установить агенты LANDesk, нельзя выполнить их принудительную отправку, поскольку единственным IP-адресом в базе данных является IP-адрес Intel vPro, а утилите принудительной отправки необходим адрес операционной системы. Вместо этого необходимо извлечь агенты (из управляемого устройства Intel vPro) путем назначения устройства в общую папку ldlogon на главном сервере и запуска программы ServerConfig.exe.

Перед тем как выполнить извлечение агентов, рекомендуется изменить настройку утилиты службы конфигурации.

1. Выберите Пуск > Все программы > LANDesk > Служба конфигурации LANDesk.
2. На вкладке Инвентаризация выберите Идентификаторы устройств для управления повторяющимися записями.
3. В списке атрибутов разверните элемент Информация AMT (AMT Information).
4. Перейдите к атрибуту AMT GUID в списке Атрибуты идентификации (Identity Attributes).
   
   Это позволит использовать AMT GUID в качестве одного из атрибутов, который может быть использован для уникальной идентификации компьютера.

Если после изменения этой настройки результаты сканирования инвентаризации управляемого устройства Intel vPro импортируются в базу данных, служба инвентаризации сопоставляет Intel AMT GUID устройства, который уже присутствует в базе данных, с информацией операционной системы в файле сканирования.

Удаленная конфигурация (комплексная обработка без участия пользователя)

В этом разделе описан процесс удаленной настройки устройств с Intel vPro 2.2/2.6 и более поздними версиями.

Удаленная конфигурация позволяет настраивать устройство, имеющее заводские параметры, во время установки, а затем добавлять профиль Intel AMT, чтобы подготовить устройство к внеполосному управлению. При первом включении устройства и его подключении к сети оно начинает передавать сообщения приветствия на сервер настройки и конфигурации (при управлении устройствами посредством продуктов LANDesk в роли сервера настройки и конфигурации выступает главный сервер). При запуске сервера настройки и конфигурации он устанавливает безопасное соединение с устройством Intel vPro и начинает процесс настройки.

После успешного завершения этого процесса устройство добавляется в список обнаруженных устройств, и им можно управлять с главного сервера. При использовании только функций Intel vPro доступны не все функции управления. Для использования полного набора функций управления необходимо развернуть агента управления.

Для удаленной конфигурации необходимо выполнить два условия:

• В сети необходима служба DHCP с записью DNS, идентифицирующей главный сервер как "сервер комплексной обработки".
• Необходимо установить на главном сервере сертификат настройки клиента Intel Client Setup для домена, в котором установлен главный сервер (инструкции по приобретению и установке сертификата приведены ниже).

Отложенная комплексная обработка

Если устройство Intel vPro включено, но не получает ответ от сервера настройки и конфигурации в течение определенного периода времени (обычно от 6 до 12 часов, в зависимости от заданных производителем настроек), оно прекращает передачу пакетов приветствия и ждет. В это время функция Intel vPro на устройстве не работает.

Для выполнения комплексной обработки устройства в этом состоянии можно установить на нем стандартный агент управления LANDesk. Когда агент обнаруживает на устройстве средства Intel vPro, он активизирует на нем функцию Intel vPro и передает вызов на веб-службу главного сервера для получения пакета приветствия. Затем с главного сервера начинается процесс комплексной обработки.

Комплексная обработка типа "только оборудование"

Устройства Intel vPro 3.0 и более поздних версий поддерживают удаленную конфигурацию типа "только оборудование" (без агента). При правильной настройке сервера настройки и конфигурации и записи DNS, а также при установке на главном сервере нужного сертификата процесс конфигурирования выполняется без использования агентов.

ПРИМЕЧАНИЕ: Если устройство Intel vPro включено, но не начинает передачу сообщений приветствия, как это описано выше, то на этом устройстве, возможно, не включена конфигурация дистанционного управления. Это зависит от того, установил ли производитель режим управляемости "AMT", включив тем самым на устройстве функцию удаленной конфигурации. Если это так, то пользователь может развернуть на устройстве агента управления LANDesk, что позволит активизировать функцию Intel vPro и начать комплексную обработку устройства, как описано в приведенном выше разделе "Отложенная комплексная обработка".

Получение и установка сертификата настройки клиента Intel

На каждом сервере настройки и конфигурации необходим сертификат настройки клиента Intel. Сертификат действителен для одного пространства имен в одном домене, поэтому, если главный сервер используется в нескольких пространствах имен внутри домена, то необходимо приобрести отдельный сертификат для каждого пространства имен.

Приобретать сертификат следует у надежного поставщика сертификатов. Сертификат должен иметь поддерживаемый класс. Ниже приведены поставщики сертификатов для продуктов LANDesk на следующих устройствах.

ПРИМЕЧАНИЕ: Перед покупкой сертификата проверьте документацию поставщика, а также информацию о том, какие сертификаты поддерживаются вашим устройством.

При покупке сертификата необходимо предоставить файл CSR (certificate signing request — запрос на подпись сертификата). Этот файл генерируется для вашего продукта LANDesk вместе с файлом закрытого ключа. После получения от поставщика файлов сертификата необходимо сохранить файл закрытого ключа в каталоге, где находятся файл общего открытого ключа и полученный от поставщика файл сертификата. Ниже приведено описание этой процедуры.

Для получения сертификата настройки клиента Intel выполните следующие действия:

1. Выберите поставщика и перейдите на его web-сайт.
2. Сформируйте файл CSR и закрытый ключ: В каталоге \Program Files\LANDesk\ManagementSuite\amtprov запустите программу AMTProvMgr2.exe со следующими аргументами:
   AMTProvMgr2.exe -domainName name.domain.com -country [2-буквенный код страны] -state [название штата] -city [название города] -organization [название организации]
   Требуемые аргументы могут в значительной степени зависеть от поставщика сертификата. Указанное имя домена должно включать пространство имен. Для получения справочной информации о программе и ее аргументах запустите исполняемый модуль из командной строки с аргументом -h.
   
   Этот исполняемый модуль выполняет сохранение двух файлов в каталоге amtprov: certreq.csr (запрос на подпись сертификата) и corecakey.pem (файл закрытого ключа).
   
3. Откройте файл certreq.csr в текстовом редакторе и скопируйте его содержимое.
4. Скопируйте содержимое файла certreq.csr в нужное поле на web-сайте поставщика и завершите заполнение заявки на сертификат.
   
   После обработки запроса на сертификат поставщик передаст вам два файла: файл корневого сертификата (общий или открытый файл) и файл сертификата для указанного домена.
5. Скопируйте предоставленный поставщиком файл корневого сертификата и переименуйте копию, присвоив ей имя trusted_cert.pem.
6. Скопируйте предоставленный поставщиком файл сертификата для вашего домена и переименуйте копию, присвоив ей имя corecacert.pem.
7. Сохраните оба этих файла вместе с файлом corecakey.pem (создан в описанном выше действии 2) в папку Ldmain\amtprov\certStore\cert_1. Можно сохранить до восьми сертификатов во вложенных папках с именами cert_1, cert_2 и т. д.
8. Если у вас имеются дополнительные консоли, скопируйте эти три файла в один и тот же путь папки на каждой дополнительной консоли.

Поиск устройств Intel AMT 1.0

После запуска программы поиска устройств выполняется обнаружение устройств Intel AMT версии 1.0 и добавление их в папку Intel vPro списка неуправляемых устройств. Устройства распознаются в качестве устройств Intel AMT, если они были сконфигурированы с использованием защищенного пароля, заменившего настройки по умолчанию, которые были установлены производителем устройства.

При добавлении защищенного пароля на экране конфигурации Intel AMT пользователь может также ввести IP-адрес сервера комплексной обработки и указать номер порта 9971, как это выполняется для устройств Intel vPro 2.x. Однако для комплексной обработки устройств Intel AMT 1.0 не используется пара - идентификатор и ключ PPS. Если был указан IP-адрес комплексной обработки, главный сервер будет работать в качестве сервера комплексной обработки, и вы сможете управлять устройствами без установленных агентов управления.

Обратите внимание, что устройства Intel AMT версии 1.0 не используют тот же уровень защиты, что и устройства vPro версии 2.x. Компания Intel рекомендует выполнять настройки устройств версии 1 в изолированной, защищенной сети. После конфигурации их можно переместить для управления в менее защищенную сеть.

Изменение пароля для устройств Intel vPro

Для взаимодействия с устройствами Intel vPro и комплексной обработки новых устройств необходим надежный пароль. Для устройств, которыми вы планируете управлять, пароль, введенный на экране конфигурации Intel AMT (в BIOS устройства), должен совпадать с паролем, введенным в диалоговом окне общей конфигурации Intel vPro. Этот пароль хранится в базе данных и применяется для комплексной обработки всех устройств Intel vPro.

Для повышения безопасности сетевых коммуникаций Intel vPro требует использования надежного пароля. Пароли должны удовлетворять следующим требованиям:

• Длина пароля должна быть не менее 8 символов
• Пароль должен содержать не менее одной цифры (0-9)
• Пароль должен включать один не алфавитно-цифровой символ ASCII (например, !, &, %)
• Пароль должен содержать латинские символы, введенные на верхнем и нижнем регистре, или символы не ASCII (UTF+00800 и далее)

После аутентификации устройств необходимо периодически менять пароли для поддержания ИТ-безопасности. Можно использовать отдельные пароли для каждого устройства Intel vPro или применить новый пароль к нескольким устройствам. Новые введенные пароли сохраняются в базе данных и используются приложением Management Suite для безопасного взаимодействия с управляемыми устройствами Intel vPro.

Для изменения пароля для устройства Intel vPro выполните следующие действия:

1. В списке Все устройства (All devices) щелкните правой кнопкой мыши управляемое устройство Intel vPro и выберите Изменение пароля для устройства Intel vPro (Intel vPro Change Password).
2. Введите и подтвердите новый пароль.
3. Нажмите OK.

Для изменения пароля для всех устройств Intel vPro выполните следующие действия:

1. В главном сервере щелкните Конфигурация > Параметры Intel vPro > Общая конфигурация (Configure > Intel vPro options > General configuration).
2. В разделе Настройка и конфигурация (Setup and Configuration) введите надежный пароль и подтвердите его.
3. Чтобы применить пароль ко всем управляющим устройствам Intel vPro, установите флажок Синхронизировать пароль (Synchronize this password).
4. Нажмите OK.

Конфигурация политик системной защиты

Intel vPro (версии 2.0 и более поздних) включает функцию системной защиты (System Defense), которая реализует политики сетевой защиты на управляемых устройствах. Можно выбрать и применить политики системной защиты на управляемых устройствах.

При применении политики системной защиты на устройстве Intel vPro устройство фильтрует входящие и исходящие сетевые пакеты в соответствии с определенными политиками. При совпадении сетевого трафика с условиями предупреждения, определенными для фильтра, генерируется предупреждение, и сетевой доступ к устройству блокируется. Устройство будет изолировано от сети до тех пор, пока вы не завершите процесс исправления для соответствия данной политике.

LANDesk Management Suite содержит предопределенные политики системной защиты, которые можно применить для устройств Intel vPro. Каждая политика содержит набор фильтров, определяющий, какой вид сетевого трафика недопустим и какие действия нужно выполнить в результате, когда трафик снова станет соответствовать критериям фильтра.

Когда политика System Defense активна на управляемом устройстве, устройство осуществляет мониторинг всего входящего и исходящего сетевого трафика. При обнаружении условий фильтрации происходит следующее:

1. Управляемое устройство посылает предупреждение ASF на главный сервер, и в журнал предупреждений добавляется соответствующая запись.
2. Главный сервер определяет, какая политика была нарушена, и отключает сетевой доступ к управляемому устройству.
3. Устройство появляется в очереди исправлений системной защиты.
4. Для восстановления сетевого доступа к устройству администратор выполняет необходимые исправления и затем удаляет устройство из очереди исправлений. Таким образом, восстанавливается первоначальная политика системной защиты на устройстве.

В следующем разделе этот процесс описан более детально.

Выбор и применение политик System Defense

Management Suite содержит следующие предопределенные политики системной защиты, которые можно применить для устройств Intel vPro. Политики определяются с помощью следующих параметров: номер порта, тип пакета и количество пакетов за определенное время. При включении политики она регистрируется с Intel vPro на выбранных устройствах. Политики сохраняются в виде файлов XML на управляемом устройстве в папке CircuitBreakerConfig.

• BlockFTPSrvr: Эта политика запрещает трафик через порт FTP. При посылке и получении пакетов через порт FTP 21 пакеты отбрасываются, и сетевой доступ приостанавливается.

• LDCBKillNics: Эта политика блокирует трафик через все сетевые порты, кроме следующих портов управления:
  
  

  Описание портов	Диапазон номеров	Направление трафика	Протокол
  Управление LANDesk	9593-9595	Отправка/получение	TCP, UDP
  Управление Intel vPro	16992-16993	Отправка/получение	Только TCP
  DNS	53	Отправка/получение	Только UDP
  DHCP	67-68	Отправка/получение	Только UDP

  
  Когда главный сервер прекращает сетевой доступ к управляемому устройству, он практически применяет данную политику к этому устройству. После удаления устройства из очереди исправления на устройстве восстанавливается первоначальная политика.

• LDCBSYNFlood: Эта политика обнаруживает dos-атаку в виде синхронной лавины пакетов; происходит отказ от обслуживания: при включенном флажке SYN за одну минуту пропускаются не более 10000 пакетов TCP. При превышении этого количества пакетов сетевой доступ приостанавливается.

• UDPFloodPolicy: Эта политика обнаруживает dos-атаку в виде потока UDP-пакетов; происходит отказ от обслуживания: пропускаются не более 20,000 UDP пакетов в минуту на портах, пронумерованных от 0 до 1023. При превышении этого количества пакетов сетевой доступ приостанавливается.

• RemoveAllPolicy: Позволяет удалить все политики, отменяя их регистрацию с Intel vPro на выбранных устройствах.

Для выбора политики системной защиты для всех устройств Intel vPro выполните следующие действия:

1. В главном сервере щелкните Конфигурация > Параметры Intel vPro > Общая конфигурация (Configure > Intel vPro options > General configuration).
2. В разделе Настройка системной защиты по умолчанию (Default System Defense setting) выберите политику из списка.
3. Нажмите OK.

Для выбора политики системной защиты для одного устройства Intel vPro выполните следующие действия:

1. В списке Все устройства щелкните правой кнопкой мыши устройство, управляемое Intel vPro, и выберите Intel vPro System Defense Policies.
2. Выберите политику из списка.
3. Щелкните Установить политику (Set Policy).

Включение функции расширенной системной защиты

Для устройств, оснащенных Intel vPro 3.0 или более поздней версии, можно включить функцию Enhanced System Defense (Улучшенная защита системы). Эта функция предотвращает атаки вредоносного программного обеспечения, осуществляя непрерывную проверку сетевого трафика и оценивая его с помощью эвристических правил фильтрации. Она определяет и блокирует подозрительные действия, например, повторяющиеся действия, генерируемые вирусами.

Если обнаружены подозрительные действия, проблемное устройство изолируется от дальнейшего взаимодействия с сетью, за исключением порта исправления, через который Management Suite может переустановить политику System Defense и восстановить сетевое подключение после устранения проблемы.

Для включения функции расширенной системной защиты для всех устройств Intel vPro выполните следующие действия:

1. В главном сервере щелкните Конфигурация > Параметры Intel vPro > Общая конфигурация (Configure > Intel vPro options > General configuration).
2. В разделе Настройка расширенной системной защиты по умолчанию (Default Enhanced System Defense setting) выберите Включить (Turn on).
3. Нажмите OK.

Для включения функции расширенной системной защиты для одного устройства Intel vPro выполните следующие действия:

1. В списке Все устройства (All devices) щелкните правой кнопкой мыши управляемое устройство Intel vPro и выберите Расширенная системная защита Intel vPro (Intel vPro Enhanced System Defense).
2. Щелкните Turn on Enhanced System Defense (Включить расширенную системную защиту), а затем Set Configuration (Настройка конфигурации).

Восстановление сетевого доступа к устройствам в очереди исправлений

Если сетевой доступ к устройству приостановлен в результате применения политики системной защиты, устройство появляется в очереди исправлений. Оно остается там до тех пор, пока вы не удалите его из списка, после чего восстанавливается активная политика на данном устройстве. Перед тем, как это сделать, вы должны решить проблему, в результате которой устройство было помещено в очередь. Например, если был обнаружен трафик FTP, вы должны подтвердить, что были предприняты необходимые действия для предупреждения дальнейшего нежелательного трафика FTP на устройстве.

Для удаления устройства из очереди исправлений выполните следующие действия:

1. Щелкните Конфигурация > Параметры Intel vPro > Исправление системной защиты (Configure > Intel vPro options > System Defense Remediation).
2. Выберите устройства, на которых можно восстановить первоначальную политику системной защиты, и нажмите Исправить (Remediate).

Для исправления устройств с помощью функции расширенной системы защиты выберите Конфигурация > Параметры Intel vPro > Исправление расширенной системной защиты (Configure > Intel vPro options > Enhanced System Defense Remediation), как описано ранее в действии 1.

Настройка параметров присутствия агента Intel vPro

Intel vPro (версии 2.0 или более поздних) включает программу Agent Presence, которая может осуществлять мониторинг присутствия агентов программного обеспечения на управляемых устройствах. Можно включить мониторинг Agent Presence, чтобы убедиться, что агенты управления на ваших устройствах постоянно работают, а также для получения предупреждения об остановке агента даже в том случае, если другие агенты, работающие на базе ПО, не могут обнаружить проблему.

LANDesk Management Suite использует Intel vPro Agent Presence для мониторинга двух агентов: стандартного агента управления и службы мониторинга. Это очень полезно в ситуациях, когда взаимодействие, необходимое для нормального мониторинга, отсутствует. Например, уровень взаимодействия устройства не функционирует или сам агент мониторинга перестал работать. По умолчанию Agent Presence также следит за своим собственным процессом мониторинга, в случае его остановки вы будете предупреждены.

Мониторинг Agent Presence осуществляется с помощью конфигурации таймера, который "слушает" сообщения о тактовых импульсах от агентов управления на устройстве для получения подтверждения о работе агентов. Если таймер прекращает работу из-за отсутствия сообщения о тактовых импульсах, Intel vPro посылает предупреждение на главный сервер.

Когда вы настраиваете конфигурацию Agent Presence, агент устройства регистрируется в Intel vPro для отправки тактовых импульсов прямо на Intel vPro; если получение тактовых импульсов прекращается, Intel vPro может послать предупреждение на главный сервер с помощью внеполосного взаимодействия о том, что агент устройства не отвечает. Intel vPro посылает на главный сервер предупреждение о событии прерывания на конкретной платформе (PET) с описанием изменившегося состояния. По умолчанию это предупреждение записывается в журнале с сообщением о состоянии устройства. Можно сконфигурировать инициализацию других действий предупреждений при получении данного предупреждения (информацию о конфигурации действий предупреждений см. в разделе Настройка наборов правил предупреждений).

При настройке мониторинга Agent Presence можно включить или отключить мониторинг для двух агентов и установить следующие значения:

• Тактовый импульс (Heartbeat): Максимальный интервал времени (в секундах) между импульсами. Если новый импульс не был получен в течение заданного интервала времени, считается, что агент не отвечает. По умолчанию это значение равно 120 сек для стандартного агента управления и 180 сек для службы мониторинга; минимальное значение для обоих - 30 сек.

• Время запуска (Startup time): Максимальный интервал времени (в секундах), допустимый после начала работы операционной системы до момента, когда должен быть получен тактовый импульс от агента. Если заданный интервал времени превышен, считается, что агент не отвечает. Функция присутствия агента, Agent Presence, конфигурируется на Intel vPro при установке агента. Этого времени должно быть достаточно, чтобы агент начал работать и мог послать свой первый тактовый импульс. Значение по умолчанию 360 сек; минимальное значение - 30 сек.

Изменение конфигурации Intel vPro Agent Presence

1. Щелкните Конфигурация | Параметры Intel vPro | Присутствие агента (Configure > Intel vPro options > Agent Presence).
2. Для отключения мониторинга службы Agent Presence на устройствах Intel vPro сбросьте флажок Включить мониторинг присутствия агента (Enable Agent Presence monitoring).
3. Для отключения мониторинга отдельного агента сбросьте флажок, находящийся рядом с именем агента.
   
   Даже после сброса обоих флажков служба Agent Presence будет продолжать следить за своим собственным процессом мониторинга, пока он включен.
4. В текстовом окне введите новое значение для параметра Тактовый импульс (Heartbeat), чтобы изменить максимальный интервал времени между импульсами (минимум 30 секунд).
5. В текстовом окне введите новое значение для параметра Запуск (Startup) для изменения максимального интервала времени, допустимого после начала работы операционной системы устройства до момента, когда должен быть получен тактовый импульс от агента (минимум 30 секунд; рекомендуется 120 секунд).

Поддержка беспроводного доступа Intel vPro

Для устройств Intel vPro (версии 2.5 и более поздних) с поддержкой беспроводного доступа возможно внеполосное управление через подключение к беспроводной локальной сети, когда они включены, а интерфейс беспроводного доступа активен. Если портативный компьютер находится в спящем режиме, внеполосное управление для него возможно только в том случае, если он подключен к проводной локальной сети и источнику питания переменного тока.

Когда портативный компьютер включен, содержащаяся в нем микросхема поддержки технологии Intel Active Management Technology (Intel AMT) взаимодействует с драйвером беспроводной локальной сети. Если Intel AMT находит соответствующий профиль, драйвер осуществляет маршрутизацию трафика, адресованного устройству Intel AMT. Даже в случае проблемы с драйвером Intel AMT может получать трафик внеполосного управления из интерфейса беспроводной сети.

Для беспроводного управления портативному компьютеру с Intel vPro 2.5 необходим профиль беспроводного доступа, правильно настроенный администратором сети, в целях обеспечения безопасного взаимодействия Intel AMT с портативным компьютером. В портативных компьютерах с Intel vPro 2.6 и более поздними версиями профиль беспроводного доступа не требуется для большинства функций управления, но необходим для использования функций последовательного интерфейса через локальную сеть (SOL) и переназначения IDE (IDE-R).

ВАЖНО: Для работы Intel AMT с подключением к беспроводной локальной сети необходимо обеспечить совместный с портативным компьютером доступ к IP-адресам. Для этого необходимо настроить Intel AMT на использование DHCP, а также необходим сервер DHCP, доступный для распределения IP-адресов. Если настройка Intel AMT предполагает использование статических IP-адресов, беспроводная связь будет отключена.

LANDesk Management Suite позволяет определить профиль беспроводного доступа для портативных компьютеров Intel Centrino Pro, обеспечивающий возможность внеполосного управления (как описано ранее). После определения профиля можно развернуть его на одно или несколько устройств.

Создание и развертывание профиля беспроводного доступа Intel vPro

1. В списке Все устройства (All devices) щелкните правой кнопкой мыши управляемое устройство Intel vPro и выберите Беспроводные профили Intel vPro (Intel vPro Wireless Profiles).
2. Щелкните Создать профиль (Create Profile).
3. В области Конфигурация профиля введите следующую информацию:
   
   Имя профиля (Profile name): Введите описательное имя, которое будет отображаться в списке Профиль (Profile).
   SSID: Введите имя беспроводной сети
   Authentication (Authentication): Выберите метод аутентификации для управления беспроводной сетью: Wi-Fi Protected Access (WPA-PSK) или Robust Secure Network (RSN-PSK).
   Шифрование (Encryption): Выберите алгоритм шифрования для взаимодействия с беспроводной сетью: Temporal Key Integrity Protocol (TKIP) или Counter Mode CBC MAC Protocol (CCMP).
   Контрольная фраза (Passphrase): Введите и подтвердите контрольную фразу или профиль 802.1x для аутентификации.
   
   
4. Нажмите OK.
5. Для изменения или удаления профиля выберите его и щелкните Изменить профиль (Modify profile) или Удалить профиль (Delete profile).
6. Для применения беспроводного профиля к устройству выберите профиль в списке и щелкните Установить профиль (Set profile).
7. Для применения того же профиля к другому устройству Intel vPro щелкните это устройство правой кнопкой мыши, выберите Беспроводные профили Intel vPro (Intel vPro Wireless Profiles), выберите профиль из списка и щелкните Установить профиль (Set profile).
8. Чтобы выбрать профиль беспроводного доступа по умолчанию для всех новых управляемых мобильных устройств Intel vPro, щелкните Конфигурация > Параметры Intel vPro > Общая конфигурация (Configure > Intel vPro options > General configuration) и выберите профиль из списка Профиль беспроводного доступа по умолчанию (Default wireless profile).

ПРИМЕЧАНИЕ: После того, как при подключении к беспроводной сети ноутбук будет обнаружен и идентифицирован, он немедленно станет доступен для управления через кабельное подключение. Однако после переключения его на беспроводную связь может возникнуть задержка перед активизацией его службы управления Intel vPro. Это происходит вследствие процедуры определения имени компьютера в сети службой DNS. IP-адрес ноутбука в беспроводной сети отличается от IP-адреса в кабельной сети, что приводит к задержке, связанной с сопоставлением его нового IP-адреса с существующим именем.

Управление устройствами Intel vPro

Когда устройство Intel vPro добавлено в базу данных главного сервера, им можно управлять несколькими способами, даже если в устройстве не установлен агент LANDesk. (Для получения информации об обнаружении устройств и их добавлении в базу данных главного сервера см. раздел Поиск устройств Intel AMT).

В следующей таблице перечислены параметры управления, доступные для устройств, на которых имеется только Intel vPro, в сравнении с устройствами, на которых имеется Intel vPro и установленный агент управления Management Suite.

Просмотр сводки инвентаризации Intel vPro для устройства

1. В списке Все устройства (All devices) щелкните правой кнопкой мыши устройство Intel vPro.
2. Выберите Параметры Intel vPro > Сводка Intel vPro (Intel vPro options > Intel vPro summary).

Сводка содержит общие сведения об устройстве, например имя и IP-адрес устройства, а также информацию о микросхеме Intel AMT и аппаратных средствах устройства Intel vPro, в том числе номер версии AMT, BIOS, сведения об изготовителе и серийный номер.

Доступ к устройствам, вошедшим в систему в корпоративном режиме (Enterprise)

Во время аутентификации устройства Intel vPro в корпоративном режиме (Enterprise) главный сервер устанавливает в устройстве сертификат, необходимый для защиты коммуникаций. Если необходимо, чтобы устройством управлял другой главный сервер, то необходимо отменить идентификацию устройства, а затем снова идентифицировать его другим главным сервером. Если этого не сделать, функция Intel vPro устройства не будет отвечать, так как у нового главного сервера нет соответствующего сертификата. Если другой компьютер попытается использовать функцию Intel vPro устройства, это будет невозможно из-за отсутствия соответствующего сертификата.

Журнал событий Intel vPro

Management Suite обеспечивает возможность просмотра журнала событий, генерируемых устройствами Intel vPro. В настройках параметров указывается, какие события отражаются в журнале. Можно посмотреть дату и время события, источник события (столбец, в котором указан объект), описание и степень важности в соответствии с настройками Intel vPro (критическое или некритическое состояние). Можно экспортировать данные журнала в файл формата CSV (текст с разделителями-запятыми).

Просмотр журнала событий Intel vPro

1. В списке Все устройства (All devices) щелкните правой кнопкой мыши устройство Intel vPro и выберите Параметры Intel vPro > Журнал событий Intel vPro (Intel vPro Options > Intel vPro Event Log).
2. Для экспорта данных в файл формате данных, разделенных запятыми (CSV), нажмите кнопку Экспорт на панели инструментов и укажите имя файла.
3. Для очистки данных журнала щелкните кнопку Очистить журнал на панели инструментов.
4. Для обновления записей журнала нажмите на панели кнопку Обновить.

Параметры управления питанием Intel vPro

Management Suite содержит команды управления энергопотреблением устройств Intel vPro. Эти параметры можно использовать даже в случае отсутствия реакции операционной системы устройства, если устройство подключено к сети и находится в режиме ожидания.

Когда приложение Management Suite инициирует такую команду, в некоторых случаях не представляется возможным проверить поддержку такой команды оборудованием. Некоторые устройства с Intel vPro могут не поддерживать все функции управления питанием (например, устройство может поддерживать перезагрузку IDE-R с компакт-диска, но не поддерживать эту команду с дискеты). Если команда управления питанием не работает на каком-либо устройстве, см. документацию к этому устройству. Если команды управления питанием работают неправильно, попробуйте использовать обновления встроенного программного обеспечения и BIOS, предоставляемые компанией Intel.

При выдаче команды включения питания устройства Intel vPro приложение Management Suite сначала отправляет команду пробуждения Intel vPro. Если эта команда не выполнена, приложение отправляет устройству обычную команду "Wake on LAN".

Можно просто включать или выключать питание устройства, а можно перезагружать его, указав при этом параметры перезагрузки. Параметры описаны в приведенной ниже таблице.

Использование команд управления питанием Intel vPro

1. В списке Все устройства (All devices) щелкните правой кнопкой мыши устройство Intel vPro и выберите Параметры Intel vPro > Диспетчер удаленной загрузки Intel vPro (Intel vPro Options > Intel vPro Remote Boot Manager).
2. Выберите команду управления питанием.
3. Если выбрана команда Перезагрузка (Reboot), выберите параметр загрузки.
4. Если вы выбираете метод загрузки с переназначением IDE, укажите дисковод для дискет или компакт-дисков или файл образа.
5. Если сеанс IDE-R все еще открыт, и вам нужно закрыть его, щелкните Закрыть сеанс IDE-R (Close IDE-R session).
6. Щелкните Отправить для выдачи команды управления питанием или выберите Закрыть.

Замечания по использованию параметров переназначения IDE

При использовании параметров переназначения IDE файлы образа дискеты должны иметь формат .img, а файлы образа компакт-диска — формат .iso. Для некоторых BIOS необходимо, чтобы образ компакт-диска находился на жестком диске.

Intel vPro обычно хранит все последние настройки IDE-R, но приложение Management Suite очищает их через 45 секунд, поэтому при следующей загрузке функция IDE-R не будет запущена. Сеанс IDE-R на устройстве Intel vPro длится 6 часов или до тех пор, пока он не будет закрыт с консоли Management Suite. Все операции IDE-R, продолжающиеся более 6 часов, будут прерваны.

ПРИМЕЧАНИЕ: В некоторых ситуациях процесс загрузки IDE-R может превысить время ожидания на консоли последовательного интерфейса через локальную сеть (SOL), в то время как процесс загрузки по-прежнему продолжается. Если инициализация загрузочного образа и отправка данных на консоль SOL занимают слишком много времени, то консоль SOL прекращает взаимодействие, и связь с клавиатурой теряется. Это происходит, когда используемые для загрузки носители имеют большое время ответа, и инициализация занимает более 60 секунд (это максимальное значение времени ожидания). Если такая проблема возникает при загрузке с дискеты или других носителей, рекомендуется выполнять загрузку из файла загрузочного образа (.img), а не со сменных носителей.

Удаленный доступ для устройств Intel vPro

Возможно дистанционное управление устройствами Intel vPro (версии 4.0 и более поздних) с консоли LANDesk Management Suite. Если устройство Intel vPro находится за пределами сети, в которой расположена консоль Management Suite, то взаимодействие с главным сервером — через брандмауэр и демилитаризованную зону сети — обеспечивается средствами удаленного доступа.

Средства удаленного доступа для устройств Intel vPro обеспечивают связь между консолью управления в защищенной сети и устройствами Intel vPro, расположенными вне сети. Эта связь осуществляется через туннель TLS, соединяющий расположенное вне сети устройство с сервером (называемым сервером шлюза Intel vPro), который обычно располагается в демилитаризованной зоне сети. Затем данные направляются от сервера шлюза Intel vPro на главный сервер Management Suite через защищенные HTTP-соединения с использованием доверенных корневых и серверных сертификатов.

Чтобы использовать удаленный доступ для управляемого устройства, к его микропрограмме необходимо применить политику удаленного доступа. Оно также должно иметь два сертификата: доверенный корневой сертификат и сертификат клиента, которые соответствовали бы сертификатам главного сервера Management Suite. (Это те же сертификаты, которые используются в продуктах LANDesk.) Средства удаленного доступа позволяют создать политику удаленного доступа и применить ее к микропрограмме управляемых устройств.

После настройки устройства и установки сервера шлюза Intel vPro сеансы дистанционного управления управляемым устройством открываются в соответствии с заданным расписанием (обычно один раз в день). После инициализации сеанса дистанционного управления устройство появляется в списке "Открытый сеанс" (Open Session) в диалоговом окне конфигурации удаленного доступа Intel vPro. Кроме того, на странице состояния клиента приложения Management Suite указывается, что сеанс открыт.

ПРИМЕЧАНИЕ: Обратите внимание, что в процессе разработки функции удаленного доступа она получила название "Удаленный доступ по инициативе клиента" или CIRA (Client-Initiated Remote Access). Если вам встретилась ссылка на CIRA, это означает удаленный доступ. Сервер шлюза Intel vPro ранее назывался сервером управления присутствием (Management Presence Server — MPS), поэтому вам могут встретиться ссылки на MPS, которые теперь относятся к серверу шлюза. Кроме того, в документации Intel могут быть ссылки на функцию "Fast Call for Help", которые относятся к функции удаленного доступа, инициированной клиентским устройством.

Можно включить функцию удаленного доступа, используя сервер в вашей сети в качестве сервера шлюза Intel. Для этого необходимо выполнить две основные задачи:

• Запустить программу установки на сервере и конфигурировать сервер в качестве сервера шлюза Intel vPro.
• Настроить параметры "Конфигурация удаленного доступа" (Remote Access Configuration) и "Обнаружение сетевого окружения" (Network Environment Detection) на главном сервере Management Suite.

Документация о настройке функции удаленного доступа находится в папке \Programs Files\LANDesk\Management Suite\Install\vpro\remoteaccess на главном сервере. (В этой папке находится исполнимый файл).

Настройка удаленного доступа KVM для устройств Intel vPro

Устройствами Intel vPro (AMT версии 6 или более поздних) можно дистанционно управлять, используя доступ KVM. Это позволяет ИТ-администратору просматривать устройство клиента в полноэкранном режиме и полностью управлять клавиатурой, мышью и видео данного устройства.

Функция KVM поддерживает два режима соединения: прямой и через шлюз (известен как MPS). Она также поддерживает два типа связи: TLS (по умолчанию) и без TLS. При комплексной обработке устройства AMT функция KVM по умолчанию отключается. Работа функции KVM ограничена лицензией главного сервера или консоли. Она доступна в меню, которое отображается при щелчке правой кнопкой мыши на управляемых устройствах AMT. Автономная программа просмотра дистанционного управления не использует функцию KVM.

1. Чтобы включить функцию KVM, в окне KVM щелкните Включить функцию KVM (Enable KVM function).
2. В окне политики допуска пользователя нажмите кнопку Включить тайм-аут допуска пользователя через (Enable user consent timeout after) и введите время (в секундах), по истечении которого пользователь должен сообщить оператору консоли одноразовый пароль.
3. В окне "Тайм-аут сеанса" (Session timeout) введите время (в минутах), в течение которого сеанс дистанционного управления TCP может оставаться неактивным до закрытия сеанса. Этот параметр отключается, если отключен параметр допуска пользователя (предыдущий шаг).
4. Нажмите OK.

Ограничения KVM

• KVM не поддерживает тип безопасности для дистанционного управления.
• Тип безопасности для дистанционного управления хранится на машине клиента. Сервер аутентификации запрашивает у клиента тип безопасности, а затем решает, может ли удаленный пользователь осуществлять дистанционное управление машиной клиента. При соединении с ME данные о безопасности не возвращаются серверу аутентификации (главному серверу).
• KVM не поддерживает тип настройки применимой политики дистанционного управления.
• Для соединения KVM нельзя применить политику дистанционного управления "только просмотр" или "необходимо разрешение". Параметр "необходимо разрешение" используется аналогично параметру "необходим код допуска пользователя" в конфигурации AMT и должен устанавливаться в параметрах AMT, а не в "RCViewer".
• KVM не поддерживает параметры дистанционного управления в конфигурации агента.
• KVM не поддерживает функции "передача файлов", "удаленное выполнение", "чат" и "рисование" через соединение KVM.
• KVM не поддерживает функцию гашения экрана RC.