Snadná a rychlá aktivace technologie Intel® vPro™

František Fait, 11. červen 2015 12:00 10 komentářů
Rubriky: Hardware
Snadná a rychlá aktivace technologie Intel® vPro™

První verze technologie Intel® vPro™ byla uvedena na trh již v roce 2006. Od té doby dospěla v robustní a ucelenou sadu funkcí majících za cíl snížení nákladů na správu podnikových klientských počítačů.

Základní komponentou této technologie je Intel ®AMT (Advanced management Technology) která umožnuje vzdáleně ovládat počítače s nefunkčním operačním systémem, nebo i počítače ve vypnutém stavu. Úspory se dosahuje jednak automatizováním procesů a jejich plánováním mimo pracovní dobu, kdy lze počítače bezpečně probouzet pro provedení bezpečnostních updatů či scanů a hlavně řešením závažných poruch vzdáleně bez nutnosti vysílat na místo servisního technika.

Zásadního pokroku bylo dosaženo i v rozšíření možností jak tuto technologii aktivovat. Nově přibyla jednoduchá metoda aktivace z operačního systému, kterou popisuji níže.

Podmínky nastavení vPro

Každý kdo umí spustit program pod Windows, dokáže na svém počítači aktivovat pokročilou technologii vzdálené správy Intel® vPro™, pokud je touto technologií počítač od výrobce vybaven. Abych byl přesný, je potřeba splnit ještě několik dalších podmínek:

1. Předně počítač musí podporovat tento typ aktivace nazvaný host based, nebo client control mode. Tuto podmínku splní počítače s verzí AMT (Advanced Management Technology) 7 a vyšší. To znamená vyrobené od počátku roku 2011 (obsahují čipovou sadu Intel Q(M)67 nebo novější).
2. Další podmínkou je existence operačního systému Microsoft a oprávnění správce. V poslední řadě musíte mít nainstalované drivery síťového rozhraní, Intel Management Engine rozhraní spolu s LMS službou a Intel ® Management and Security Status službou, která se presentuje stavovou ikonou ve tvaru modrého klíče.

Většinou jsou všechny tyto komponenty (MEI, SOL, LMS a IMSS) součástí jednoho instalačního souboru poskytnutého výrobcem počítače či Intelem. Pokud tyto podmínky splníte, můžete pokračovat ke stažení potřebného aktivačního programu.

Aktivační program

Ten je k dispozici jako součást balíku Intel® SCS (Intel® Setup and Configuration Software), který získáte zdarma na adrese http://www.intel.com/go/scs . Aktuální verze je 9.0 a pro její stažení je nutná jednoduchá registrace. Rozbalením zazipovaných souborů obdržíte v adresáři IntelSCS anglickou dokumentaci, jejímž centrálním bodem je soubor Intel(R)_SCS_Start_Here.htm. Kompletní dokumentace detailně popisuje veškeré obsažené součásti tohoto balíčku. Pro účely rychlé aktivace z operačního systému si vystačíme s programem ACUWizard ze stejnojmenného adresáře.

Test připravenosti

Než začneme s konfigurací tak se můžeme přesvědčit jakou verzi AMT náš počítač obsahuje a zdali je podporována host based aktivace. K tomu nám poslouží buď uvedený ACUWizard nebo jednodušší nástroj ACUConfig z adresáře Configurator spuštěný z příkazové řádky.

ACUWizard je potřeba pravým tlačítkem myši Spustit jako správce. Přivítá nás úvodní obrazovka s možnostmi konfigurovat/odkonfigurovat daný počítač a volbou připravit profil pro konfiguraci více počítačů.

Zvolíme tedy Configure/Unconfigure this system a další obrazovka nám nabídne konfigurační možnosti a v pravém dolním rohu tlačítko System Info, které stiskneme.

Pokud máte v ruce správný model počítače splňující všechny podmínky za začátku textu a dosud nedošlo k aktivaci, bude výsledný report vypadat nějak takto:

Podstatné pro nás je, že host based neboli Client Control Mode je podporován a můžeme tedy pokračovat s aktivací. Alternativně získáme stejné informace spuštěním programu ACUConfig v příkazovém řádku s parametrem status. Příkaz s vypsáním výsledků na obrazovku bude: >ACUConfig /output console status

I zde vidíme, že host-based configurace je podporována. Všimněte si použití dvojího názvosloví pro stejný typ konfigurace.

Jednoduchá konfigurace

Záměrně popíši tu nejjednodušší možnou variantu konfigurace, která spočívá ve vyplnění dvou hesel a několik kliknutí na tlačítko Next. Celá konfigurace zabere maximálně minutu či dvě.

První tlačítko Next čeká na obrazovce s konfiguračními možnostmi, neboť je již zvolená možnost konfigurace z Windows. Následující obrazovka:

vyžaduje zadání hesla uživatele admin, který je přítomen vždy a není možné jej odstranit. Heslo musí být kombinací malých, velkých písmen, číslic a speciálních znaků. Pro testovací účely používám heslo P@ssw0rd. Pokud se spokojíme s přednastavenou konfigurací, tak pokračujeme opět tlačítkem Next k obrazovce kde jsme požádáni o zadání hesla k zašifrování souboru s profilem. Jedná se o XML soubor Profile.xml.

Tlačítkem Configure spustíme vlastní konfiguraci. Po chvíli se objeví informace, že systém byl úspěšně nakonfigorován a my si můžeme tuto skutečnost ověřit jak pomocí opětovného spuštění ACUWizard, ACUConfig nebo prohlédnutím informací presentovaných na informační liště ikonou Intel ® Management and Security Status.

Rozšířená konfigurace

Možností konfigurace je celá řada. Začít můžeme s nastavení sítě, kde standardem je získání IP adresy dynamicky z DHCP serveru, ale je možné byť nedoporučené použítí i statické IP adresy. Další volby se skrývají pod tlačítkem Edit Configuration ... a obsahují následující možnosti. Integraci do AD, rozšíření počtu administrátorů a definování jejich práv, definování vzdáleného přístupu, možnost šifrování komunikace pomocí TLS nebo nastavení WiFi sítě či bezpečnostních protokolů. Podrobnosti jsou opět obsaženy v dokumentaci.

Pokud budeme konfigurovat větší množství počítačů, tak doporučuji pomocí ACUConfig připravit profil a na jednotlivých počítačích jej aplikovat pomocí ACUConfig spoštěném v příkazové řádce nebo dávkou. Syntaxi lze zjistit z dokumentace nebo pomocí zabudované nápovědy.

Vzdálené ovládání aktivovaného počítače

K ovládání nakonfigurovaného počítače je k dispozici nepřeberné množství programů. Počínaje free nástroji až po profesionální konzole jako Microsoft System Center 2012 Configuration Manager se zabudovanou podporou technologie Intel® vPro™. Úplně nejjednodušší je pro test použít webový prohlížeč, zadat adresu počítače s portem 16992 pro nešifrované spojení a přihlásit se jako uživatel admin. Toto mohu odzkoušet i na daném počítači s adresou localhost. Výsledkem bude jednoduché webové rozhraní.

Další nástroje poskytované zdarma jsou Intel® vPro™ Platform Solution Manager, nebo velmi výkonný modul Intel® vPro™ Technology Module for Microsoft Windows PowerShell, vhodný také pro skriptování úloh. Zapomenout nesmím na program pro převzetí klávesnice, videa a myši VNC viewer. Pro základní ovládání stačí free verze, Verze Plus poskytne pokročilejší AMT funkce.

František Fait, Intel

Tento návod můžete stáhnout v PDF


Komentáře

Franta #0
Franta 01. červen 2015 21:13

Tahle technologie může být dobrý sluha, ale zlý pán, pokud je využita ke sledování uživatelů a zásahům do jejich soukromí -- viz https://fsf.org/blogs/community/active-management-technology

Franta #1
Franta 01. červen 2015 21:15

Neškodilo by trochu víc otevřenosti a transparentnosti…
http://fsf.org/blogs/community/active-management-technology

pepa #2
pepa 05. červen 2015 13:18

pokud se bavíme o firemní sféře, tak firemní notebook a jeho je majetkem firmy, která je za něj i právně odpovědná, takže nerozumím moc o co jde v té připomínce? soukromý uživatel nechť si to vypne (k čemu by mu to bylo pro 1 PC), ale pokud firma sezná, že to má přínosy (finance, čas, efektivita, správa, dohled), tak se není o čem bavit... IMHO je to nástroj, který bude používat stále více firem kvůli těm přínosům v souvislosti s "mobilizací" pracovní síly. když máte pracovníka v terénu, který je stovky kilometrů daleko (ne každá země je tak prťavá jako ta naše) který do firmy dochází nepravidelně a málo, tak jak mu chcete jinak něco udělat s počítačem? že by ho poslal poštovním holubem?

matlafous #3
matlafous 05. červen 2015 19:14

Sorry, ale tohle je zcestny argument. Kazda solidni firma ma svou VPN pres kterou lze PC vzdalene spravovat. Samozrejme ho nemohou vzdalene zapnout, proc taky. Kdyz je neco se SW, mily uzivatel o chybe informuje zpravidla _pres telefon_ (protoze ho nebavi klikat do dementnich formularu a cekat hodiny a dny na odpoved) a pres VPN se k tomu dostane i technicka podpora firmy a pokud je neco s HW, zadny idiotsky AMT koprocesor s tim nic neudela.

Pokud jsou ve firme idioti, co instaluji uzivatelum Okna s administratorskymi ucty, nemuzou se pak divit, ze jim jiny idiot uzivatel Okna zaviruje a oni pak budou muset revokovat klice.

A pokud jsou ve firme jeste vetsi idioti, co si potrpi na buzzwordy a mysli si ze oproti normalni firemni VPN neco ziskaji koupenim AMT-enabled sracky, tak splacou nad vydelkem az zjisti ze jim to krome omezeneho vzdaleneho monitoringu v dobe kdy je masina vypnuta a pritom pripojena do site (!) nic neprinese. Jo, mozna kdyby v tom byla i satelitni antena a neustale pripojeni na onu firemni VPN...ale to jsme s cenou (a vlastnostmi vysledneho reseni) trochu nekde jinde.

franta #6
franta 08. červen 2015 23:10

stejně jako může mít služební telefon (či auto s GPS) zapnuté sledování polohy, jako se sleduje příchod/odchod do práce nebo u firemní kreditky evidence plateb, tak může mít firemní notebook zapnutý vzdálený přístup pro potřeby jeho majitele, vůbec nechápu, proč by s tím normální zaměstnanec měl mít problém, není to jeho problém a není to jeho starost, je to úplně stejný pracovní nástroj jako cokoliv jiného

Lol Phirae 05. červen 2015 19:57

Tak určitě. Není nad pořádný a nevypnutelný backdoor ve firemním počítači...

Franta #5
Franta 05. červen 2015 22:14

O tohle až tak nešlo – firma si se svým hardwarem samozřejmě může dělat, co chce*. Problém je v tom, že k takovému HW backdooru může mít přístup kde kdo a ani ta firma neví, kdo v její síti slídí. Politika, průmyslová špionáž, kyberterorismus… Nebylo by to poprvé, co by americké firmy ve spolupráci s tajnými službami špehovaly svoje evropské a asijské konkurenty.

*) nicméně zaměstnanci by měli minimálně vědět, že jsou pod „dohledem“ (pak je bohužel takový počítač nepoužitelný/nedůvěryhodný pro jakékoli soukromé použití – člověk se pak ani nemůže podívat na účet, jestli mu už přišla výplata, nebo si cestou ze služebky přečíst soukromou poštu – musí na to mít další notebook/mobil)

poiuyt #7
poiuyt 09. červen 2015 10:47

Haha, frantíku, tys tomu dal! To jako myslíš, že asijské firmy ty evropské a americké nešpehují? HAHAHA!

Honza Jaroš 11. červen 2015 16:28

Proč se tu tenhle článek objevuje znovu a znovu? Aktuální datum vydání je poledne 11.6.2015, ale už jsem ho tu jako nový viděl několikrát a první příspěvek v diskusi je z 1.6.2015.

To je nějaká nová móda, točit články pořád dokola?

Lol Phirae 12. červen 2015 00:17

Jistě, móda to je u neoznačené reklamy.


RSS 

Komentujeme

Chatbot mluví za mrtvého – od nápadu k realizaci

Pavel Houser , 30. listopad 2016 13:00
Pavel Houser

Na webu The Verge popsala Casey Newton příběh dvou přátel (Eugenia Kuyda a Roman Mazurenko). Peripet...

Více





Kalendář


RSS 

Zprávičky

Vodafone zvýšil do září počet zákazníků na 3,54 milionu

ČTK , 04. prosinec 2016 18:00

Mobilní operátor Vodafone zvýšil do konce září počet zákazníků na českém trhu meziročně o 146.000 na...

Více 0 komentářů

Nový škodlivý program ukradl údaje k milionu účtů Google

ČTK , 02. prosinec 2016 14:00

Nový škodlivý program Goolian narušil bezpečnost více než jednoho milionu účtů Google. Šíří se na za...

Více 0 komentářů

Telefony Nokia se příští rok vrátí na trh

ČTK , 02. prosinec 2016 10:30

Chytré telefony se značkou Nokia se objeví zpátky na trhu v příštím roce. Finská společnost Nokia dn...

Více 2 komentářů

Starší zprávičky

CETIN nabídne příští rok operátorům připojení až 250 Mbit/s

ČTK , 01. prosinec 2016 17:00

Společnost Česká telekomunikační infrastruktura (CETIN) zvýší od května příštího roku rychlost inter...

Více 0 komentářů

Akcie Samsungu stouply na nový rekord

ČTK , 01. prosinec 2016 12:00

Akcie jihokorejské společnosti Samsung Electronics dnes stouply o více než čtyři procenta na nový re...

Více 0 komentářů

FBI bude moci s povolením soudu pronikat do jakýchkoli počítačů

ČTK , 01. prosinec 2016 10:30

V americkém Senátu dnes selhal poslední pokus o zablokování rozšířených policejních pravomocí, které...

Více 2 komentářů

Gartner: Prodej tabletů v ČR letos klesne o osm procent na 1,1 mil

ČTK , 30. listopad 2016 14:00

Zájem o tablety letos dále klesá. Prodej tabletů a hybridních notebooků na českém trhu se letos sníž...

Více 0 komentářů