开发 Intel® 主动管理技术 (AMT)

Intel

1.00/5 (1投票)

2017年9月19日

CPOL

15分钟阅读

8504

本文将介绍 Intel® AMT 的一些功能和能力，以及可用的配置和管理工具的概述。

引言

管理计算机群可能是一项复杂的任务，尤其是在计算机难以触及、已关机或其物理位置未知的情况下。这些只是现场管理面临的一些挑战，而管理服务提供商 (MSP) 还面临着远程服务计算机的额外挑战，并且常常发现自己需要派遣技术人员来处理问题。Intel® 主动管理技术 (AMT) 旨在通过从任何地方完全访问来简化远程计算机管理，从而减少现场服务次数、节省时间和精力，并实现主动管理。即使计算机已关机或蓝屏，Intel® AMT 也可以指示其开机或为其提供新的 ISO 映像。本文将介绍 Intel® AMT 的一些功能和能力，以及可用的配置和管理工具的概述。此外，还将讨论 Intel® AMT 生态系统组件，以及如何规划部署和开始配置系统。

芯片

Intel® AMT 可在基于 Intel® Core™ 处理器或部分 Intel® Xeon® 处理器版本的 Intel® vPro™ 品牌芯片上使用。在此处查找列表。但是，即使芯片兼容 Intel® vPro™ 平台，并不意味着 Intel® AMT 已启用：请咨询系统或硬件供应商，查看芯片上的 Intel® vPro™ 名称，或重新启动计算机并按 CTRL+P 进入 *Intel*® MEBx (Intel® 管理引擎 BIOS 扩展)。Intel® ME BIOS 是一个单独的 BIOS 屏幕，用于启用 Intel® AMT 功能。有关如何配置的更多详细信息将在“配置工具”部分进一步讨论。

图 1：vPro™ 芯片

Intel®AMT

Intel® AMT 位于操作系统之下，在硬件层面运行，并使用带外 (OOB) 通信。本质上，它内置于设备本身，但与操作系统和其他软件应用程序分离。Intel® AMT 不是一个独立的管理系统，而是旨在集成到管理系统中并被其利用，以增强和扩展系统的能力，而不是取代它们。只要设备已连接到电源并通过 LAN 电缆或无线连接到网络，就可以从远程完全访问设备，而无需进行现场维修。这将有助于监控设备、缩短停机时间并减少现场服务次数。

无线连接有一些额外的要求和区别，更多详细信息可以在本文此处找到。

值得注意的功能和用例

KVM

Intel® AMT 允许远程 KVM（键盘、视频和鼠标）控制 PC。因此，现场访问和干预的需求几乎变得不必要。请注意，根据设计，PC 必须连接到显示器或物理 KVM 开关才能通过 Intel® AMT 显示屏幕。

远程电源控制

如果尝试 KVM 到设备或推送关键补丁却发现 PC 已关机，可以使用 Intel® AMT 来打开设备进行服务。Intel® AMT 为设备提供完全的电源控制，例如开机、关机、重启、睡眠、启动到 BIOS 等。此外，“闹钟”功能允许安排在特定时间开机。因此，可以在非工作时间设置闹钟，以打开所有 PC 以便远程推送更新或补丁。

裸机恢复和磁盘重新映像

还存在访问发生严重错误或没有运行操作系统的 PC 的情况。由于 Intel® AMT 位于操作系统之下，它仍然可以访问 PC，并可以通过 IDE 重定向（AMT 11.0 中的 USB 重定向）向设备发送新的 ISO 或 IMG。这使得在操作系统故障或病毒感染的情况下可以轻松进行远程修复。

硬件和软件库存

Intel® AMT 还可用于跟踪硬件和软件库存，两者都存储在非易失性内存中，以便在设备关机时访问。默认情况下，Intel® AMT 可以远程访问计算机的硬件规格。对于软件，应用程序必须使用第三方数据存储 (3PDS) 来存储应用程序名称、供应商和版本信息（Intel® AMT 11.5 中的 Web 存储）。

远程警报

Intel® AMT 的远程警报除了审计和事件日志记录外，还支持自动错误消息。在客户使用机器并需要帮助的情况下，有 Intel® AMT 快速呼叫帮助功能，允许他们请求 IT 支持。这可以设置为远程访问或本地访问（例如，在企业网络内），使用客户端发起的远程访问 (CIRA) 或客户端发起的本地访问 (CILA)。有关 CIRA 的更多信息将在“远程连接”部分进一步讨论。

借助这些功能，Intel® AMT 可以提高客户满意度，减少对需要复杂持续维护和管理的系统的干扰，从而节省时间和金钱。

工具

Intel® AMT 生态系统所需的三个基本组件是管理控制台计算机、配置方法和 Intel® AMT 客户端计算机。管理控制台计算机不需要具备 Intel® AMT 功能。对于远程配置，所需的其他组件是远程配置服务 (RCS) 服务器和签名证书。根据 AMT 的配置和设置方式，还有其他可选和必需的组件，以上仅概述了开始所需的最少组件。

图 2：Intel® AMT 设置的基本组件

配置工具

有多种方法可以配置和预配设备以使用 Intel® AMT，本文将介绍主要方法。

Intel® AMT 可以在机器上手动配置，通过 MEBx（一个 BIOS 扩展）。可以通过在机器启动时按键盘上的 CTRL+P 来访问它。对于基本配置，需要设置 MEBx 密码以用于 Intel® AMT，如果需要，请更改 KVM 访问的用户同意，并激活“网络访问”。

Intel 还为 Intel® AMT 配置提供了 Intel® 设置和配置软件 (Intel® SCS)，该软件可用于多种方式。随附的 ACU 向导（Intel® AMT 配置实用程序）应用程序可用于在本地系统上直接配置 Intel® AMT，或将 XML 配置配置文件保存到 USB 以部署到多个系统。

现在暂停讨论客户端控制模式和管理员控制模式很重要，因为它们与配置方法紧密相关。基于主机的配置（本地操作系统级别配置）是客户端控制模式的一个示例，而远程配置（使用 Intel® AMT）是管理员控制模式的一个示例。两者之间的区别在图 3 中进行了概述，主要区别在于客户端控制模式需要用户同意，并且不支持系统防御功能。Intel® AMT 还可以支持企业网络和公共域网络。企业模式可以与 Active Directory 集成，并为公司域内的内部系统提供安全认证（使用证书）。

图 3：客户端控制模式与管理员控制模式

因此，使用 ACU 向导配置本地系统是基于主机的，因为它使用操作系统层来配置系统。也可以使用 XML 配置配置文件通过 ACUConfig.exe（随 Intel®SCS 提供）通过软件部署工具远程进行基于主机的配置。

Intel® SCS 还允许通过 Intel® AMT 进行远程配置，需要一个远程配置服务 (RCS) 服务器和一个来自公共证书颁发机构 (CA) 的签名证书。如果需要更安全的 Intel® AMT 设置，则远程配置提供了使用 TLS-PKI（传输层安全 - 公钥基础设施）配置的选项。它使用前面提到的相同 XML 配置配置文件，然后与它预配的 Intel® AMT 客户端执行握手。握手通过运行 ACU 配置器 (ACUConfig.exe) 与基于主机的配置相同，然后 ACU 配置器将从 RCS 请求预配证书。然后，RCS 将其配置证书发回供本地客户端的 Intel® AMT 验证。然后，RCS 将 XML 配置配置文件应用于客户端。有关如何设置 RCS 和使用证书的更多详细信息，请参阅“SCS 下载包”中的“Intel(R)_SCS_User_Guide.pdf”此处。

图 4：兼容 Intel® AMT 版本的配置方法

管理工具

现在 Intel® AMT 客户端已配置好，需要一个管理控制台来维护和管理计算机或计算机群。

Intel 提供了 Intel® Manageability Commander，这是一个轻量级控制台，用于利用 Intel® AMT 的一些功能。它可在此处下载。它可在 Windows* 上使用。它使用户能够进行 KVM、控制电源、查看硬件信息等。

图 5：Intel® Manageability Commander 设备视图

与 Intel® Manageability Commander 类似的是 MeshCommander*，它具有更多功能，如订阅、唤醒闹钟等。它是完全开源的，并根据 Apache 2.0 许可证发布。开发人员可以自由下载 MeshCommander 的源代码和示例，以开发自己的管理工具。MeshCommander 的创建者有一个很好的视频教程和概述，介绍了如何使用源代码并创建新版本。

图 6：MeshCommander 系统状态视图

MeshCentral（图 7）也来自 MeshCommander 的创建者。MeshCentral 可在 MeshCentral.com 获得，或作为 MeshCentral 2（测试版）提供下载，以便在域内运行独立实例。MeshCentral 可在各种设备上使用，这些设备不一定需要是 Intel® AMT 设备。它可以利用这些 Intel® AMT 功能设备的 OOB AMT 通信，并以带内方式与其他设备通信。设备可以分组到 Mesh 中，这些 Mesh 可以配置为控制允许访问设备的内容（图 8）。要将设备添加到 Mesh，需要 Mesh Agent 安装程序，该安装程序适用于许多操作系统和设备。Mesh Agent 安装程序还可以配置为在客户端控制模式下进行 Intel® AMT 的自动预配。

图 7：MeshCentral

图 8：在 MeshCentral 中创建新 Mesh

还提供了 Intel® 主动管理技术 SDK，它为开发人员提供了 API（应用程序编程接口）和示例代码。它旨在帮助公司构建自己的 Intel® AMT 管理软件。它支持 Microsoft Windows* 和 Linux* 操作系统的 C++ 和 C#。开箱即用，它需要使用 Microsoft Visual Studio* 2013 编译示例，因此如果您刚开始想尝试 Intel® AMT，您可能想先尝试其他管理控制台。

最后但并非最不重要的是，还有各种托管服务提供商 (MSP) 提供的其他第三方管理控制台：https://msp.intel.com/management-consoles

远程连接到远程站点

默认情况下，Intel®AMT 在与管理控制台位于同一本地网络中的客户端上运行。为了在不同的网络上远程访问客户端，需要代理或虚拟专用网络 (VPN)。访问公司网络外部的 Intel® AMT 客户端的一种方法是使用 DMZ（非军事区）来处理从内部公司网络的管理控制台到远程客户端计算机的流量路由。这可以通过 DMZ 中的另一个启用了 Intel® AMT 的网关（称为管理存在服务器 (MPS)）来完成，该服务器将充当管理控制台和 Intel® AMT 客户端之间的代理。MeshCentral 可用作 MPS，并且还有其他第三方解决方案可供购买。MPS 如何创建连接的关键是通过客户端发起的远程访问 (CIRA)（之前已提及其快速呼叫帮助功能），还可以从客户端发起连接。然后，MPS 验证客户端并通知管理控制台可用的连接。然后，管理控制台可以通过 MPS 使用安全隧道连接到客户端。

图 9：Intel® AMT 远程环境

安全

Intel® AMT 系统和管理系统之间的通信可以配置为使用传输层安全 (TLS) 和来自证书颁发机构 (CA) 的数字证书。TLS 可在配置期间用于远程设置，在配置后用于安全通信。

可以使用基于时间的过滤器在硬件级别监控入站和出站网络流量是否存在威胁。这可以监控威胁并检测可疑网络流量。如果检测到威胁，网络可以被阻止或限制数据包在它们到达操作系统之前。

Intel® AMT 在操作系统之下添加了一个基于硬件的安全性级别，使设备即使在操作系统被破坏的情况下也可以通过远程修复（部署新的操作系统映像）进行恢复。

规划部署

首先评估 Intel® AMT 的功能和能力非常重要。本文介绍了一些关键功能和用例，但并非全部。将 Intel® AMT 集成到解决方案中的最佳起点是查看日常维护和修复中的当前痛点。然后，根据 Intel® AMT 的功能确定用例，以及它如何解决问题。请记住，Intel® AMT 可以与第三方或其他非 Intel® AMT 功能相结合，或者由您自己开发，以创建更强大、更完整的解决方案来解决问题。此外，评估 Intel® AMT 的工具和配置方法以获得实践经验。然后，可以盘点 Intel® AMT 功能的设备，或者在需要时购买以用于小型试点部署阶段。试点应独立于生产环境，或与非关键系统一起进行。确保网络基础设施按需设置，并识别用户组和角色。如果需要为 IT 服务台使用企业模式和快速呼叫帮助，请在试点中也进行设置，因为还需要其他配置和证书。任何第三方软件和管理工具也可以包含在内。一旦试点开始，还应考虑更新、升级和维护任务的规划。

入门

让我们以使用 LAN 连接的 Intel® NUC Kit NUC5i5MYHE 为例，介绍如何设置 Intel® AMT，假设它已经安装了内存和硬盘驱动器，并安装了 Windows 10。

由于 Intel® SCS 工具的本地配置需要用户同意，因为它是客户端控制配置方法，我们将使用 MEBx 来配置 AMT。如果您自己安装了 Windows® 10 在 Intel® NUC 上，您将需要安装 Intel® 管理引擎驱动程序。此 NUC 的驱动程序可以在此处找到，否则搜索与您的 Intel® AMT 功能设备相关的驱动程序。

使用 CTRL+P 启动进入 MEBx 屏幕。首先更改管理引擎 (ME) 密码。默认管理员密码是“admin”，设置一个新强密码并记住它。稍后从管理控制台访问 Intel® AMT 功能时将需要此密码。接下来，通过导航到“Intel® AMT 配置”选项来编辑配置。将用户同意更改为禁用，并激活网络访问。通过在机器上的浏览器中访问 localhost:16992 来测试 Intel® AMT 是否已激活。如果您忘记了 MEBx 密码，您需要断开设备内的 RTC CMOS 电池。这将把 MEBx 重置为出厂默认设置（密码 admin），并且需要重新配置 Intel® AMT。