Usb provisioning of amt что это в биосе
Вы включили компьютер, появляется текстовый экран загрузки на котором быстро мелькают цифры и буквы. Обычно, компьютер работает нормально, и Вы не обращаете внимание на них. Но это важная часть работы компьютера в процессе которой работают микропрограммы встроенные в BIOS . Но вот случилось что-то непонятное и все остановилось, на экран выводится код ошибки, а иногда вообще ничего не выводится - мигает курсор и все застыло в непонятном сне.
Как это работает
После включения компьютера в его оперативной памяти нет операционной системы. А без операционной системы, аппаратное обеспечение компьютера не может выполнять сложные действия, такие как, например, загрузку программы в память. Таким образом возникает парадокс, который кажется неразрешимым: для того, чтобы загрузить операционную систему в память, мы уже должны иметь операционную систему в памяти.
Решением данного парадокса является использование нескольких микропрограмм размещаемых в одной или нескольких микросхемах, BIOS (Basic Input/Output System). Процесс загрузки начинается с автоматического выполнения процессором команд, расположенных в постоянной (или перезаписываемой) памяти ( EEPROM или Flash ROM ), начиная с заданного адреса. Эти микропрограммы не обладает всей функциональностью операционной системы, но её (функциональности) достаточно для того, чтобы чтобы выполнить последовательную загрузку других программ, которые выполняются друг за другом до тех пор, пока последняя из них не загрузит операционную систему.
Последовательность основных блоков функций BIOS в PC -совместимых компьютерах:
1. - POST - самотестирование при включении питания процессора, памяти, набора микросхем системной логики, видеоадаптера, контроллера дисков, клавиатуры, мыши и других контроллеров и устройств;
2. - Setup BIOS ( программа установки параметров BIOS) - конфигурирование параметров системы. Она может быть запущена во время выполнения процедуры POST при нажатии определенной комбинации клавиш. Если она не была вызвана пользователем, загружаются параметры установленные и сохраненные в постоянной памяти в о время последнего конфигурирования Setup BIOS .
3. - Загрузчик операционной системы - подпрограмма, выполняющая поиск действующего основного загрузочного сектора на дисковом устройстве.
4. - BIOS - набор драйверов, предназначенных для взаимодействия операционной системы и аппаратного обеспечения при загрузке системы.
В процессе загрузки BIOS осуществляется, кроме перечисленного, подключение, отключение, установка режима работы контроллеров устройств системной платы в соответствии с настройками записанными в постоянную память.
Зачем это нужно?
- проверки исправности и поэтому готовности к работе аппаратного обеспечения системной платы;
- проверки готовности работы внешнего аппаратного обеспечения, в том числе его параметров и исправности, а так же соответствие его необходимому минимуму, который позволит управлять компьютером до и после загрузки;
- проверки возможности загрузки операционной системы.
В процессе его выполнения проверяется наличие загрузочных устройств которые должны быть проинициализировано до загрузки операционной системы.
К ним относятся:
- устройства ввода (клавиатура, мышь),
- базовое устройство вывода (дисплей),
- устройство, с которого будет произведена загрузка ОС — дисковод, жесткий диск, CD-ROM, флэш-диск, SCSI-устройство, сетевая карта (при загрузке по сети)
В случае жесткого диска, начальный загрузчик называется главной загрузочной записью (MBR) и часто не зависит от операционной системы. Обычно он ищет активный раздел жесткого диска, загружает загрузочный сектор данного раздела и передает ему управление. Этот загрузочный сектор, как правило, зависит от операционной системы. Он должен загрузить в память ядро операционной системы и передать ему управление.
Если активного раздела не существует, или загрузочный сектор активного раздела некорректен, MBR может загрузить резервный начальный загрузчик и передать управление ему. Резервный начальный загрузчик должен выбрать раздел (зачастую с помощью пользователя), загрузить его загрузочный сектор и передать ему управление.
Последовательность загрузки стандартного IBM-совместимого персонального компьютера
После включения персонального компьютера его процессор еще не начинает работу.
Первое устройство, которое запускается после нажатия кнопки включения компьютера, — блок питания. Если все питающие напряжения окажутся в наличии и будут соответствовать норме, на системную плату будет подан специальный сигнал Power Good, свидетельствующий об успешном тестировании блока питания и разрешающий запуск компонентов системной платы.
После этого чипсет формирует сигнал сброса центрального процессора, по которому очищаются регистры процессора, и он запускается.
Первая выполняемая команда расположена по адресу FFFF0h и принадлежит пространству адресов BIOS. Данная команда просто передает управление программе инициализации BIOS и выполняет следующую команду (микропрограмму BIOS ).
Программа инициализации BIOS с помощью программы POST проверяет, что все необходимые для работы BIOS и последующей загрузки основной операционной системы, устройства компьютера работают корректно и инициализирует их.
Таким образом, его работа — последовательно читать и выполнять команды из памяти.
Системная память сконфигурирована так, что первая команда, которую считает процессор после сброса, будет находиться в микросхеме BIOS.
Последовательно выбирая команды из BIOS, процессор начнет выполнять процедуру самотестирования, или POST.
Процедура самотестирования POST состоит из нескольких этапов.
- Первоначальная инициализация основных системных компонентов;
- Детектирование оперативной памяти, копирование кода BIOS в оперативную память и проверка контрольных сумм BIOS;
- Первоначальная настройка чипсета;
- Поиск и инициализация видеоадаптера. Современные видеоадаптеры имеют собственную BIOS, которую системная BIOS пытается обнаружить в специально отведенном сегменте адресов. В ходе инициализации видеоадаптера на экране появляется первое изображение, сформированное с помощью BIOS видео адаптера ;
- Проверка контрольной суммы CMOS и состояния батарейки. Если контрольная сумма CMOS ошибочна, будут загружены значения по умолчанию ;
- Тестирование процессора и оперативной памяти. Результаты тестирования обычно выводятся на экран ;
- Подключение клавиатуры, тестирование портов ввода/вывода и других устройств.
- Инициализация дисковых накопителей. Сведения об обнаруженных устройствах обычно выводятся на экран ;
- Распределение ресурсов между устройствами и вывод таблицы с обнаруженными устройствами и назначенными для них ресурсами;
- Поиск и инициализация устройств, имеющих собственную BIOS;
- Вызов программного прерывания BIOS INT 19h, который ищет загрузочный сектор на устройствах, указанных в списке загрузки.
В зависимости от конкретной версии BIOS порядок процедуры POST может немного раз отличаться, но приведенные выше основные этапы выполняются при загрузке любого компьютера.
Что такое POST-коды?
После включения питания компьютера, если исправны блок питания и основные узлы материнской платы (генератор тактовых частот, компоненты, отвечающие за работу системной шины и шины памяти), процессор начинает выполнение кода BIOS.
Если быть совсем точным, во многих современных чипсетах перед передачей команд процессору системным контроллером предварительно конфигурируется «умная» системная шина. Но это не меняет сути дела.
Основная задача BIOS на данном этапе — проверка исправности и инициализация основных аппаратных компонентов компьютера. Вначале конфигурируются внутренние регистры чипсета и процессора, проверяется целостность кода BIOS. Затем происходит определение типа и размера оперативной памяти, поиск и инициализация видеокарты (интегрированной в чипсет или внешней). Следом конфигурируются порты ввода-вывода, контроллер дисковода, IDE/SATA-контроллер и подключенные к нему накопители. И, наконец, осуществляется поиск и инициализация интегрированных на материнскую плату дополнительных контроллеров и установленных карт расширения. Всего получается около ста промежуточных шагов, после чего управление передается загрузчику BOOTStrap, отвечающему за старт операционной системы.
Каждый из шагов POST-тестов имеет свой уникальный номер, называемый POST-кодом. Перед началом выполнения очередной процедуры ее POST-код записывается в специальный порт, именуемый Manufacturing Test Port. При успешной инициализации устройства в Manufacturing Test Port записывается POST-код следующей процедуры и так далее, до полного прохождения всех тестов. Если сконфигурировать устройство не удалось, дальнейшее выполнение POST-тестов прекращается, а в Manufacturing Test Port остается POST-код процедуры, вызывавшей сбой. Прочитав его можно однозначно идентифицировать проблемное устройство.
Имейте в виду, после перезагрузки компьютера средствами операционной системы («мягкая» или «горячая» перезагрузка) или при выходе из энергосберегающего режима обычно выполняются не все шаги по тестированию и конфигурированию аппаратных компонентов, а только необходимый минимум — так быстрее. При поиске неисправности необходимо всегда выполнять «жесткую» («холодную») перезагрузку — клавишей RESET или отключением питания компьютера. Только так гарантируется, что все этапы инициализации будут выполнены в полном объеме.
Award BIOS 6.0: вариант полной загрузки
Данную таблицу можно использовать не только как список POST-кодов, но и как последовательность действий, которые выполняются при включении компьютера. Она содержит POST-коды, которые отображаются при полной процедуре POST.
Невыполнение или сбой выполнения любого шага в последовательности тестов приводит к остановке тестирования и выдаче POST - кода соответствующего данному шагу сбоя.
POST - коды других производителей можно найти на сайтах производителя Вашей системной платы или производителя DIOS или в Internet .
В мастерских или у занимающихся ремонтом специалистов контроль выполнения микропрограмм BIOS осуществляется с помощью специальной карты расширения. Она вставляется в свободный слот (большинство современных моделей рассчитано на шину PCI) и по мере загрузки отображает на своем индикаторе код выполняемой в текущий момент процедуры.
Примером может быть Post карта PCI BM9222 .
Однако POST-карта это не широко распространенное средство. Скорее, это инструмент профессионального ремонтника компьютеров. Осознавая данный факт, производители материнских плат стали оснащать модели, рассчитанные на энтузиастов экспериментирующих с настройками и разгоном компьютера, встроенными индикаторами POST-кодов.
Примером может быть системная плата ECS H67H2-M , или модели X58 Extreme3, P55 Deluxe3 и 890GX Extreme3 .
Встречается и более дешевое решение — во время начальной инициализации компонентов POST-коды могут отображаться на экране наряду с другой служебной информацией. Правда у этого решения есть существенный недостаток: если проблема связана с видеокартой, вы, скорее всего, ничего не увидите.
Но для этого необходимо, чтобы в корпусе ПК имел системный динамик и он был подключен к системной платы.
Звуковые сигналы особенно ценны на начальном этапе, когда видеокарта еще не проинициализирована и, как следствие, не в состоянии отобразить что-либо на экране. Уникальная комбинация длинных и коротких сигналов укажет на проблемный компонент.
Процедура Setup
Для этого необходимо нажать определенную клавишу или сочетание клавиш.
Обычно на экранной заставке при тестировании отображается надпись типа «Press DEL to enter Setup» — это означает, что для входа в BIOS Setup необходимо нажать клавишу DEL. Узнать, за которой клавишей закреплен вход в BIOS, можно из инструкции к материнской плате. Если инструкции нет, а экранная заставка не отображает подсказки, можно опробовать наиболее известные варианты комбинаций:
Delete
Esc
Ctrl + Shift + S или Ctrl + Alt + S
Ctrl + Alt + Esc
Ctrl + Alt + Delete
Безопасная работа с BIOS Setup
Работа с BIOS Setup связана с определенным риском, поскольку при неправильном или неосторожном изменении параметра система может функционировать нестабильно либо не функционировать вообще. Есть несколько простых советов, которые позволяют свести возможный риск к минимуму:
- Экспериментировать с настройками BIOS Setup лучше всего на новом не заполненном информацией компьютере;
- Старайтесь вообще не экспериментировать с BIOS на компьютерах, обрабатывающих или хранящих важную или объемную информацию. Перед настройкой системы с помощью BIOS позаботьтесь о резервном копировании важных данных. Главное в таких компьютерах — стабильность. Подвисший разогнанный компьютер через несколько часов обработки видео — это потеря времени, электроэнергии и результата работы. Неразогнанный справится с данной задачей гораздо эффективнее и сохранит ваши нервы;
- Прежде, чем изменить важные параметры, всегда фиксируйте выставленное и измененное значение. Это позволит вам в случае нестабильной работы системы вернуть ее в рабочее состояние;
- Не изменяйте значения параметров, которые вам неизвестны. Уточните их значение либо в инструкции к материнской плате, либо в сети Internet на ресурсе разработчика платы;
- Не редактируйте за раз несколько важных не связанных между собой параметров. При нестабильной работе системы гораздо сложнее определить, какой параметр вызвал нестабильную работу;
- Не разгоняйте компьютер без соответствующей изучения работы разгоняемой системы и подготовки;
- Не используйте раздел Hard Disk Utility, который предназначен для низкоуровневого форматирования устаревших моделей жестких дисков и встречается в старых версиях BIOS, т.к. может вывести из строя современный жесткий диск;
- Если после выставления параметров и выхода из BIOS компьютер перестает запускаться вообще, вернуть систему в рабочее состояние можно несколькими способами:
- Если после перезагрузки компьютера возможно войти в BIOS Setup, нужно установить прежние значения отредактированных параметров. Некоторые версии BIOS сами осуществляют откат изменений за последнюю сессию.
- Если сделанные изменения неизвестны, то лучше воспользоваться параметрами по умолчанию, использовав команду Load Fail-Safe Defaults. После этого придется настраивать систему на оптимальную работу.
- Если компьютер вовсе не запускается из-за неправильных настроек BIOS, то в таком случае необходимо обнулить содержимое CMOS. При этом все значения включая дату/время будут изменены. Для этого сбросить неправильные установки, для этого просто переместить перемычку Flash Recovery ( IBM ) или джампер Clearing CMOS в положение "очистка CMOS ". В последнем случае нужно просто замкнуть перемычкой на несколько минут контакты соответствующего джампера.
- В случае неудачных результатов настройки Setup BIOS , необходимо после сброса неудачной конфигурации с помощью джампера в процедуре Setup BIOS продублировать возвращение загрузку значений BIOS по умолчанию с помощью команды "Load Fail-Safe Defaults ". Ваша система вернется в исходное состояние.
В Award BIOS 6.0 это строка меню Setup BIOS - " Load Optimized Defaults " или "Load Fail-Safe Defaults " в этом случае загружается исходная настройки Setup BIOS .
Собственный BIOS имеется и на других платах устанавливаемых в компьютер, например:
- видеоадаптерах;
- SCSI адаптеры;
- сетевые адаптеры и других.
Сборка А. Сорокин
2. Модернизация и ремонт ПК, 15-е издание, Пер. с англ, М, изд. дом "Вильямс" 2005
Этот документ содержит информацию о том, как приступить к работе с технологией Intel Active Management (Intel AMT). Здесь содержится обзор возможностей этой технологии, информация о требованиях к системе, конфигурации клиента Intel AMT, а также средства разработки, доступные для создания приложений, поддерживающих Intel AMT.
Intel AMT поддерживает удаленные приложения, работающие под управлением Microsoft Windows * или Linux *. Intel AMT 2.0 или более поздней версии поддерживает только локальные приложения для Windows. Полный перечень требований к системе см. в руководстве по внедрению и справочном руководстве Intel AMT.Как работает инициализация AMT через интернет
Результатом "запуска инициализации AMT" становится специальный так называемый Hello -пакет, который AMT-компьютер отсылает на " Provision Server ". Адрес "инициализационного сервера" он "высчитывает" как "provisionserver" + " Parent Domain ", т.е. в нашем случае это provisionserver.vpro.by. Данный сервер имеет специальный сертификат, предназначенный для инициализации vPro-систем, выданный авторизированным Intel для этих целей регистратором, root-хэш которого присутствует в хранилище сертификатов АМТ-компьютера.
Проверив все эти параметры (сертификаты для АМТ3+, PID/PSK -ключи для АМТ2) на валидность, AMT-компьютер "соглашается" на свою инициализацию и принимает конфигурационные данные с сервера, расположенного в интернете (в частности, это облачный сервис от Amazon). Т.к. такое соединение для роутера входящее (на 16993-й порт для инициализации и 16992 для конфигурирования) - требуется пробросить данные порты на АМТ-компьютер в вашей подсети.
При выполнении всех этих условий - АМТ-компьютер благополучно проинициализируется где-то в течении минуты (зависит от соединения). Если попытка проинициализироваться по какой-то причине не получится - Hello -пакет будет слаться с некоторой периодичностью в течении некоторого времени (варьируется, обычно это 6 часов, но у некоторых ОЕМ-вариантов от 255 часов до бесконечности). При чём это время обычно исчисляется от подачи питания (почему один из способов "запустить" - просто выключить-включить компьютер).
Что делать, если не получилось (проинициализировать AMT)?
Следите за обновлениями, продолжение следует. Также можно задавать вопросы в комментариях.
В роутере нет Parent Domain
Второй шаг для инициализации через интернет (" Parent Domain " и другие вариации его названия в разных роутерах) требует наличия возможности задать так называемое значение DHCP Option 15 . Некоторые роутеры (обычно старые и/или дешёвые) такого не могут (хотя это не нечто "необычное", а весьма примитивное и часто "появляется" после обновления прошивки роутера). В таком случае придётся внести данное значение "вручную". Это можно сделать многими способами:
- с помощью USB -флешки (так называемый USB-provisioning )
- вручную, зайдя в MEBx и введя в поле PKI DNS-suffix : "vpro.by" (без кавычек)
Инициализация флешкой заслуживает отдельной статьи (и не одной), потому пока остановлюсь на рекомендации "поработать ручками".
Intel Active Management Technology Software Development Kit (SDK)
В пакете Intel AMT Software Development Kit (SDK) доступны низкоуровневые возможности программирования, поэтому разработчики могут создавать приложения для управления, наиболее полно использующие Intel AMT.
Пакет средств для разработки ПО на основе Intel AMT представляет собой образец кода и набор API-интерфейсов, позволяющих разработчикам просто и быстро добавить в приложения поддержку Intel AMT. В состав SDK также входит полный комплект документации в формате HTML.
Пакет SDK представляет собой набор папок, которые можно скопировать в любое расположение. При этом следует копировать всю структуру папок, это обусловлено взаимной зависимостью между компонентами. На верхнем уровне находятся три папки: DOCS (содержит документацию для SDK), а также папки с примерами кода для Linux и Windows. Дополнительные сведения о том, как приступить к работе и использовать SDK, см. в руководстве по внедрению и справочном руководстве Intel AMT.
Дополнительные сведения о требованиях к системе и о сборке примеров кода можно получить, ознакомившись с разделом «Использование Intel AMT SDK» в руководстве по внедрению и справочном руководстве Intel AMT. Документация представлена в сети Intel Software Network: Пакет средств для разработки ПО на основе Intel AMT (последний выпуск).
Статья "Автоматизация процесса инициализации AMT - OneTouch Configuration" из серии "Учебник по Intel AMT", часть четвёртая.
- Часть первая: "Источники информации по Intel AMT".
- Часть вторая: "Основные пароли AMT".
- Часть третья: "PID/PPS инициализация AMT".
Доступ к Intel AMT через веб-интерфейс
Администратор с правами пользователя может устанавливать удаленное подключение к устройству Intel AMT через веб-интерфейс. Для этого нужно ввести URL-адрес устройства. URL-адрес будет различаться в зависимости от того, включен ли протокол TLS.
Подготовка клиента Intel AMT к использованию
На рис. 2 показаны этапы настройки устройства Intel AMT перед его использованием.
Рисунок 2. Ход настройки
Перед настройкой устройства Intel AMT в приложении Setup and Configuration Application (SCA) его необходимо подготовить, получив начальную информацию, и перевести в режим установки. Начальная информация будет различаться в зависимости от доступных компонентов выпуска Intel AMT и от настроек платформы, примененных ОЕМ-производителем. В таблице 1 приведены методики установки и настройки для разных версий Intel AMT.
Методика установки Применимость к версиям Intel AMT Дополнительные сведения Традиционный режим 1.0; версии 2.x и 3.x в традиционном режиме Установка и настройка в традиционном режиме SMB 2.x, 3.x, 4.x, 5.x Установка и настройка в режиме SMB PSK С версии 2.0 до Intel AMT 10, упразднено в Intel AMT 11 Установка и настройка с помощью PSK PKI 2.2, 2.6, 3.0 и более поздних версий Установка и настройка с помощью PKI (удаленная настройка) Вручную 6.0 и более поздних версий Установка и настройка вручную (с версии 6.0) CCM, ACM 7.0 и более поздних версий Режим управления клиента и режим управления администратора
Настройка клиентов вручную для Intel AMT 7.0 и более поздних версийПрограммное обеспечение Intel Setup and Configuration Software (Intel SCS) 11 можно использовать для подготовки систем ранних версий вплоть до Intel AMT 2.x. Дополнительные сведения о программе Intel SCS и уровнях подготовки, доступных для разных версий Intel AMT, см. на сайте Загрузить последнюю версию службы Intel Setup and Configuration Service (Intel SCS).
Требования для поддержки Intel AMT
Помимо правильной настройки BIOS и CSME, требуется совместимый с Intel AMT адаптер беспроводной сети. Для управления ОС хоста с помощью Intel AMT требуются определенные драйверы и службы.
Чтобы убедиться в правильности загрузки драйверов и служб Intel AMT, найдите их в диспетчере устройств и в разделе «Службы» в ОС хоста. Регулярно заходите на сайт ОЕМ-производителя для получения обновленных версий BIOS, микропрограмм и драйверов.
Вот драйверы и службы, которые должны отображаться в ОС хоста.
Примечание. Уровень версии драйверов должен совпадать с уровнем версий микропрограммы и BIOS. Если установлены несовместимые версии, Intel AMT не будет работать с компонентами, которым требуются эти интерфейсы.
Физическое устройство — беспроводное подключение Ethernet
Служба — Intel Active Management Technology LMS Service
Служба Local Manageability Service (LMS) работает локально на устройстве Intel AMT и дает возможность локальным приложениям управления отправлять запросы и получать ответы. Служба LMS отвечает на запросы, отправленные локальному хосту Intel AMT, и отправляет их в Intel ME с помощью драйвера Intel MEI. Установщик службы находится в одном пакете с драйверами Intel MEI на веб-сайтах ОЕМ-производителей.
Обратите внимание, что при установке ОС Windows служба Центра обновления Windows устанавливает только драйвер Intel MEI. Службы IMSS и LMS не устанавливаются. Служба LMS обменивается данными из приложения ОС с драйвером Intel MEI. Если служба LMS не установлена, перейдите на веб-сайт ОЕМ-производителя и загрузите драйвер Intel MEI, который обычно находится в категории драйверов для наборов микросхем.
Рисунок 4. Драйвер интерфейса Intel Management Engine
LMS — это служба Windows, устанавливающаяся на платформу Intel AMT 9.0 или более поздней версии. Ранее, в версиях Intel AMT с 2.5 до 8.1, служба LMS называлась User Notification Service (UNS).
LMS получает набор оповещений от устройства Intel AMT. LMS записывает оповещение в журнал событий приложения Windows. Для просмотра оповещений щелкните правой кнопкой мыши Компьютер и выберите Управление компьютером > Системные программы > Просмотр событий > Приложение.
Настройка клиентов Intel AMT 11.0 вручную с подключением только по Wi-Fi
У многих систем уже нет физического разъема для подключения к проводной локальной сети. Можно настроить и активировать Intel ME, затем использовать веб-интерфейс или какой-нибудь другой способ для настройки параметров беспроводного подключения.
-
Измените пароль по умолчанию, задав новое значение (это требуется для продолжения). Новое значение должно быть стойким паролем. Оно должно содержать по крайней мере одну заглавную букву, одну строчную букву, одну цифру и один специальный символ, а его длина должна составлять не менее восьми символов.
- Войдите в CSME при запуске.
- Введите пароль по умолчанию (admin).
- Введите и подтвердите новый пароль.
- Введите имя узла.
- Введите имя домена.
-
По умолчанию задано «Только KVM». Можно выбрать «Нет» или «Все».
Приступая к работе
Для удаленного управления клиентом Intel AMT или для запуска примеров из SDK следует использовать отдельную систему для удаленного управления устройством Intel AMT. Дополнительные сведения см. в руководстве по внедрению и в справочном руководстве Intel AMT, находящемся в папке Docs в пакете Intel AMT SDK.
Ограничения режима управления клиента
По завершении простой настройки на основе хоста платформа переходит в режим управления клиента, в котором действуют следующие ограничения.
- Функция защиты системы недоступна.
- Действия перенаправления (IDE-R и KVM, исключая запуск сеанса SOL) и изменения параметров загрузки (включая загрузку SOL) требуют дополнительного согласия пользователя. В этом режиме сотрудники удаленной службы ИТ-поддержки по-прежнему могут устранять неполадки в системах конечных пользователей с помощью Intel AMT.
- Если назначен аудитор, то права аудитора не требуются для отмены подготовки.
- Ряд функций заблокирован, чтобы предотвратить доступ недоверенного пользователя к платформе.
Драйверы устройств — драйвер последовательной передачи по локальной сети
Драйвер SOL используется в операции перенаправления IDE при подключении удаленного накопителя для компакт-дисков.
Драйвер SOL отображается в диспетчере устройств в разделе «Порты» под названием «Intel Active Management Technology — SOL (COM3)».
Рисунок 3. Драйвер последовательной передачи по локальной сети
Вкладка «Расширенные»
На вкладке «Расширенные» в Intel MSS отображается более подробная информация о конфигурации и компонентах Intel AMT. На снимке экрана, показанном на рис. 8, видно, что в этой системе настроена технология Intel AMT.
Рисунок 8. Вкладка «Расширенные» в Intel Management and Security Status
Новые возможности SDK Intel Active Management Technology версии 11.0
Способы инициализации Intel AMT
Их не мало. И это всё путает, пугает даже подготовленного админа, что уж говорить про неподготовленного юзера. Не вникая в исторические особенности (почему этих способов столько расплодилось - читайте в отдельной статье) далее будет описан универсальный способ инициализации через интернет, работающий на всех версиях Intel AMT 2+ (т.е. от Intel AMT 2.0 и выше, включая Intel AMT 9.0/9.5).
Настройка клиентов Intel AMT 11.0 вручную с подключением по локальной сети
Введите пароль CSME по умолчанию (admin).
Измените пароль по умолчанию (требуется для продолжения). Новое значение должно быть стойким паролем. Оно должно содержать по крайней мере одну заглавную букву, одну строчную букву, одну цифру и один специальный символ, а его длина должна составлять не менее восьми символов. С помощью консоли управления можно изменить пароль Intel AMT, не меняя пароль CSME.
- Выберите «Настройка Intel AMT».
- Убедитесь, что установлен флажок «Выбор компонентов управления».
- Выберите «Включить доступ к сети».
- Выберите «Y», чтобы подтвердить включение интерфейса.
- Выберите «Настройка сети».
- Выберите настройку сетевых имен Intel ME.
- Введите имя узла.
- Введите имя домена.
-
По умолчанию задано «Только KVM». Можно выбрать «Нет» или «Все».
"One-Touch" или по-простому
"One-Touch" или по-простому "через флешку" - был и остаётся важным вариантом "полуавтоматизации" инициализации для всех версий AMT. В том числе для самой последней (на момент написания комментария - Intel AMT 9.x). Мало того, в статье упомянуто, что формат 4-й версии файла setup.bin - поддерживается лишь с AMT 7 и новей. А данная статья ориентирована на "старенькие" версии AMT и демонстрировала работу с setup.bin первой версии. Далее будут освещены все другие, но уже с использованием не "пионерского" PID/PPS, а с сертификатами.
В "двух-трёх абзацах" не получится, слишком всё завязано, слишком много тонкостей и толстостей. Не только вас - всех (даже себя) - "запутал Интел". Именно потому последовательно пишу, чтобы раз и навсегда распутать.
Intel AMT ( Active Management Technology ) есть важная составляющая Intel vPro и предназначена для удалённого управления компьютером. Однако для работы данной действительно полезной технологии требуется её первоначальная инициализация. Из-за того, что над развитием AMT работали разные команды, вышло много версий (на момент написания статьи уже заканчиваются работы над "юбилейной" десятой версией AMT 10), а также имеется серьёзная специфика её OEM-ной реализации (разные производители делают этот зоопарк весёлым до беспредела) - всё это крайне усложняет процесс реальной эксплуатации сией фичи. Настолько (усложнений), что сама компания Intel не только не в состоянии популярно объяснить, как же пользоваться Intel AMT, но и постоянно ошибается в документации по ней, окончательно запутывая даже искренне желающих разобраться и получить профит с того, за что уже заплатили (ведь известно, что все системы, имеющие наклейку Intel vPro дороже своих собратьев).
Итак, данной статьёй открывается серия мануалов и реальных кейсов, показывающих, как же задействовать Intel AMT - просто, понятно и доступно (насколько, конечно, это возможно).
Настройка клиента Intel AMT 11.0 вручную
При использовании эталонной платформы Intel AMT (SDS или SDP) на экране появляется приглашение нажать клавиши . После этого управление переходит в главное меню CSME.
В системах ОЕМ-производителей можно использовать меню однократной загрузки, а вход в CSME обычно является одним из вариантов загрузки в этом меню. Конкретные сочетания клавиш могут различаться в зависимости от ОЕМ-производителя, типа BIOS и модели.
Что такое Intel Active Management?
Intel AMT входит в состав пакета решений Intel vPro. Если платформа поддерживает Intel AMT, то такими платформами можно удаленно управлять вне зависимости от состояния электропитания и от наличия или отсутствия действующей ОС.
В основе системы Intel AMT находится ядро Converged Security and Manageability Engine (CSME). Intel AMT является компонентом Intel vPro и использует ряд элементов архитектуры платформы Intel vPro. На рис. 1 показаны взаимоотношения между этими элементами.Рисунок 1. Архитектура технологии Intel Active Management 11
Обратите внимание на сетевое подключение, связанное с Intel Management Engine (Intel ME). Используемый адаптер различается в зависимости от используемой версии Intel AMT.
- Микропрограмма CSME содержит функциональность Intel AMT.
- Во флеш-памяти хранится образ микропрограммы.
- Для поддержки возможностей Intel AMT можно использовать ядро CSME, реализованное ОЕМ-производителем платформы. Удаленное приложение осуществляет установку и настройку корпоративной системы.
- После включения микропрограмма копируется в оперативную память.
- Микропрограмма выполняется на процессоре Intel с Intel ME и использует небольшую часть оперативной памяти (разъем 0) для хранения данных при выполнении. Поэтому для работы микропрограммы необходимо, чтобы в разъеме 0 был установлен модуль оперативной памяти и чтобы этот разъем был включен.
-
Параметры, настраиваемые OEM-производителем:
- Параметры настройки, например пароли, конфигурация сети, сертификаты и списки управления доступом.
- Прочие данные конфигурации, например списки оповещений и политики защиты системы Intel AMT.
- Конфигурация оборудования, определенная в BIOS при запуске компьютера.
- Технологический процесс 14-нм
- Платформа (мобильные устройства и настольные компьютеры)
- Процессор Intel Core 6-го поколения
- ЦП: SkyLake
- Узел контроллера платформы: Sunrise Point
OneTouch Configuration
Итак, попробуем повторить рассмотренный в предыдущей части процесс, но с использованием USB-flash. Отформатировав флешку в FAT, а точней - сделав на флешке раздел FAT16 любого объёма до 2ГБ (т.е. хоть 50МБ - можно сделать различными утитами) - копируем туда полученный в результате работы утилиты USBfile файл setup.bin. Объём setup.bin обычно 1024 байта, однако если копировать много ключей (что также возможно - чтобы, например, делать разные для большого кол-ва систем), то объём может быть большим.
По документации на USB-флешке должен быть лишь только файл setup.bin, но на практике нет проблем, если вы после пользуетесь такой флешкой и там занято место и куча других файлов. Главное, чтобы setup.bin был в корневой директории.
Перед применением лучше открыть-просмотреть файл, в котором легко определить сделанные настройки:
Главное, что нужно запомнить - текущий MEBx-пароль admin (это значит, что в MEBx ещё не входили). Тут, забегая вперёд, нужно отметить неприятную характеристику конкретной рассматриваемой системы HP dc7700, которая при попытке использовать "изменённый пароль MEBx" - будет ругаться:
Поэтому, раз в прошлый раз мы пароль изменили, придётся его "сбросить в дефолтный". Эта процедура реализуется на разных системах по-разному, а в случае нашей HP dc7700 для этого нужно сделать Clear CMOS (только используйте для этого специальную кнопку ClearCMOS на плате - "народное" вынимание батарейки на время для сброса AMT может не помочь).
Так у нас получился случай, когда пароль "admin" и AMT-система, которую как бы ещё никто "не трогал" (в MEBx не входили и не начинали конфигурировать). Теперь вставляем флешку в любой USB-разъём (но не через USB-хаб) и включаем/перезагружаем AMT-компьютер. Если всё сделано правильно, то после отработки POST (перед загрузкой ОС) получим картинку:
При нажатии клавиши "Y" настройки из "setup.bin" попадают в MEBx.
Именно это действие - одно нажатие клавиши "Y" - и есть смысл названия подобного типа инициализации "OneTouch Configuration".
Спустя некоторое время получаем:
Такой незамысловатый способ "автоматизации" - посылкой Hello-packet после включения - был улучшен в следующих версиях. Однако об этом - в следующих частях.
Вкладка Intel AMT
Здесь локальный пользователь может проводить операции KVM и перенаправления носителей, использовать запрос справки и просматривать состояние защиты системы.
Рисунок 7. Вкладка Intel AMT в Intel Management and Security Status
Советы по настройке вручную
При настройке платформы вручную, начиная с версии 6.0, нет ограничений по компонентам, но следует учитывать определенные особенности поведения системы.
- Методы API не возвратят состояние PT_STATUS_INVALID_MODE, поскольку доступен только один режим.
- По умолчанию протокол TLS отключен, его необходимо включить при настройке. Так будет всегда при настройке вручную, поскольку невозможно задать параметры TLS локально.
- Локальные часы платформы будут использоваться до тех пор, пока не будет удаленно задано время по сети. Автоматическая настройка не будет успешно выполнена, если не задано сетевое время (а это можно сделать только после настройки TLS или Kerberos *). Включение TLS или Kerberos после настройки не будет работать, если не было задано сетевое время.
- Пользовательский веб-интерфейс включен в системе по умолчанию.
- Система по умолчанию включает SOL и IDE-R.
- Система отключает прослушиватель перенаправления по умолчанию в Intel AMT, начиная с версии 10.
- Если включить KVM локально через CSME, оно все равно не будет работать, пока администратор не активирует его удаленно.
Комментарии
One-Touch Provisioning
Как я понимаю, этот метод тоже не актуален начиная с версии AMT 6.0?
Не могли бы вы вкратце посоветовать как мне можно провести provisioning АМТ в enterprise режиме с USBkey?
Есть Intel RCS сервер в домене, создал root сертификат с помощью AMT SDK по этой статье, но не залил его через WSMAN. Хотелось бы создать USB с помощью которого я смогу ввести систему в pre-provisioning режим, чтобы потом при включении комп мог обратиться к Intel RCS серверу используя сертификат, и чтоб сервер пересылал Secure Profile (xml) с интеграцией машины в Active Directory.
Если не ошибаюсь сейчас этот вышеописанный метод называется Remote Configuration using PKI. Уже несколько раз читал статью по в Intel AMT SDK по нему, но так и не понимаю, что конкретно нужно делать. В SDK почему-то говорится о том, что нужно купить для сервера нужно покупать сертификат. Что-то меня интел уже вконец запутал.
Пожалуйста объясните в двух трех абзацах, как внедрить эту технологию на больших предприятиях.
Драйверы устройств — интерфейс Intel Management Engine Interface
Для подключения к микропрограмме требуется Intel MEI. По умолчанию драйвер Intel MEI автоматически устанавливается из Центра обновления Windows. Уровень версии драйвера Intel MEI должен быть таким же, как у Intel MEBX.
Драйвер Intel MEI отображается в диспетчере устройств в разделе «Системные устройства» под названием Intel Management Engine Interface.
Инициализация AMT
Любая версия Intel AMT требует трёх вещей:
- Intel AMT "должна быть" (на плате, в компьютере-ноутбуке-планшете-итп), т.е. чипсет должен иметь её поддержку вообще (см. список здесь на сайте).
- Intel AMT должна быть включена (не запрещена в BIOS, перемычками и пр.)
- Intel AMT должна быть проинициализирована.
Первые два пункта достаточно очевидны, но про них нужно помнить и не путать Intel MEI и Intel AMT - первое есть на всех современных чипсетах, а второе, лишь на тех, что "vPro supported".
Что касается инициализации, то в терминологии Intel с этим тоже путаница. Обычно это подразумевает термин Provisioning, а последующая "настройка" обозначается как Configuring. Однако есть ещё и Setup и, собственно Initialization и прочие вариации на данную тему - всё это имеет неоднозначную трактовку и в разных документах (самой же Intel) подразумевает разные вещи. Потому остановимся на двух достаточно понятных "русских" :) словах - инициализация и (последующая) конфигурация (конфигурирование).
И в данной статье мы рассмотрим первое - инициализацию, то бишь перевод компьютера с поддержкой Intel AMT из состояния "не сконфигурирован" (так пишется в интеловском агенте, показывающем состояние AMT в Windows - что как раз хорошо отражает упомянутую выше путаницу) в состояние "сконфигурирован".
Установка вручную
При включении платформа Intel AMT отображает экран запуска BIOS, затем обрабатывает MEBx. В ходе этого процесса можно получить доступ к Intel MEBX, но такой подход зависит от производителя BIOS. Некоторые возможные методы:
- Большинство производителей BIOS добавляют возможность входа в CSME в меню однократной загрузки. Нажмите соответствующие клавиши (обычно используется сочетание клавиш Ctrl + P) и следуйте подсказкам на экране.
- На некоторых ОЕМ-платформах на экране появляется предложение нажать клавиши после процедуры пусковой самопроверки. При нажатии сочетания клавиш управление переходит в главное меню Intel MEBx (CSME).
- Некоторые ОЕМ-производители встраивают настройку CSME в BIOS (но такой подход применяется относительно редко).
- Некоторые ОЕМ-производители предусматривают в BIOS возможность отобразить или скрыть предложение, нажав , поэтому. если в меню однократной загрузки соответствующая команда отсутствует, проверьте наличие в BIOS возможности включить подсказку.
Требования для инициализации AMT через интернет (или "cloud bare metal provisioning")
- Компьютер с поддержкой Intel AMT (и она не запрещена в BIOS)
- Доступ к роутеру - для возможности пробросить порты; если у вас тот случай, что вы имеете "direct internet connection" (без NAT - редкие провайдеры дают такое соединение), то вам порты пробрасывать не нужно
- И, собственно (внезапно!) - наличие интернета
Всё выше было вступление. Далее непосредственно само описание инициализации Intel AMT через интернет.
Настройка клиента Intel AMT
Вкладка «Общие»
На вкладке «Общие» в Intel MSS отображаются состояние компонентов Intel vPro, доступных на данной платформе, и журнал событий. На каждой вкладке приводятся дополнительные сведения.
Рисунок 6. Вкладка «Общие» в Intel Management and Security Status
Автоматизация процесса инициализации AMT
Кто внимательно читал предыдущую часть, сразу мог для себя отметить много неудобных вещей для админа, который потенциально может обслуживать тысячи компьютеров - это и первый заход в MEBx, и задание пароля, который после должен попасть на сервер, и задание PID/PPS, тоже нужных серверу для инициализации.
Понятно, что это не дюже удобно, даже для самих разработчиков. Потому ещё и в первой версии AMT для облегчения жизни админа AMT привлекли вполне очевидный вариант с использованием USB-флешки, на которую удобно закинуть из ОС нужные настройки и которые после бы "подхватил" MEBx и ME/AMT.
Реализация
Так появилась утилита USBFile, которая позволяет сформировать файл "setup.bin", который будучи закинутым в корень USB-накопителя, отформатированного в FAT16 - автоматически обнаруживается MEBx при загрузке непроинициализированного AMT-компьютера и позволяет автоматически запустить процесс инициализации/конфигурации плюс задать некоторые важные настройки.
Подробней остановимся на каждом моменте вышесказанного, т.к. каждая часть имеет особенности, тонкости, проблемы и подводные камни.
FAT (FAT16)
Первое и самое важное: файловая система USB-флешки, для того, чтобы она могла использоваться для "автопровизионинга" - должна быть отформатирована только в FAT. При чём именно "старая досовская" FAT16, а не "новая виндовая" FAT32. Почему? Всё просто: FAT16 - "открытая" (свободная к использованию), а FAT32 - "закрытая" (проприетарная - микрософтовская). Плюс разработчики в 2004-м году особо не учитывали тот факт, что когда-то найти USB-флешку объёмом меньше 8GB, будет проблематично. Потому "там внутри" (MEBx) любой другой формат не будет идентифицирован и потому даже правильно сформированный файл настроек "setup.bin" - будет проигнорирован, т.к. просто не прочитается.
Как же быть, если нет такой маленькой флешки? Ничего страшного - просто форматируем в FAT ("просто" - не FAT32), что приведёт к сокращению объёма (до 2GB).
Несмотря на то, что при FAT-форматировании с 64КБ-сектором можно получить и 4ГБ, такой вариант не подойдёт, т.к. 64КБ-сектор не является стандартным и такую USB-флешку MEBx не распознает для автоконфигурирования. Потому лучше принудительно выбрать 32КБ в пункте "Размер кластера".
Требуемое программное обеспечение для Windows
Для удаленного управления драйвера устройств не требуются, но они необходимы для локального обмена данными с микропрограммой. Для функций обнаружения и настройки с помощью ОС требуются драйвер Intel MEI, драйвер SOL, служба LMS и приложение Intel Management and Security Status (Intel MSS).
Режим управления клиента и режим управления администратора
После установки устройства с Intel AMT 7.0 или более поздней версии переходят в один из двух режимов управления.
-
Режим управления клиента. Intel AMT входит в этот режим после проведения простой настройки на базе хоста (см. «Настройка на базе хостов (локальная)»). В этом режиме функциональность Intel AMT ограничена, поскольку для настройки на базе хоста достаточно более низкого уровня доверия.
В режиме управления администратора функциональность Intel AMT не имеет ограничений. Это связано с более высоким уровнем доверия при таком методе установки.
Инициализация Intel AMT через интернет
- Пробрасываем порты (достаточно лишь протокол TCP): 16992-16993
- Прописываем Parent Domain (в настройках DHCP): vpro.by
Всё. Серьёзно, в некоторых случаях, лишь сделав эти два шага (конечно, у вас должна быть возможность их сделать + знания, как это сделать) просто перезагрузив роутер (обычно требуется для активации этих шагов), уже через минуту ваш AMT-компьютер будет проинициализирован и вы сможете получить к нему доступ по адресу http://ваш_IP:16992 (это может быть как и локальный IP, так и "интернетный" вариант), пароль - vPro.by1
В большинстве других случаев нужно запустить процесс инициализации AMT. Далее варианты в порядке "простоты осуществления".
Компьютерам с поддержкой AMT 3+ (для AMT 2 не прокатит) для запуска инициализации AMT может хватить просто:
- Выключить компьютер (совсем, и розетки) и включить. В случае ноутбука - придётся вынимать на время батарею.
- Для некоторых компьютеров (обычно "брендовые" десктопы HP, Dell и т.п.) - может сработать Clear CMOS.
- Возможно ваш AMT-компьютер уже был когда-то/кем-то/как-то проинициализирован. Потому можно попробовать его "отинициализировать" (расконфигурировать). Для этого выключите поддержку AMT в BIOS и, перезагрузившись, снова зайдите в BIOS и включите AMT.
- В случае отсутствия выключения AMT в BIOS - придётся зайти MEBx и запустить процесс Unconfigure AMT ("Full") .
Для старичков Intel AMT 2 не доступна bare metal инициализация (появившаяся в АМТ 3), однако это не помешает им проинизиализироваться через интернет, лишь потребует дополнительных действий (для реализации не TLS-PKI инициализации как выше, а старенькой TLS-PSK версии):
- Заходим в MEBx и вводим PID-PPS :
PID : 0000-00EX
PPS : 0000-0000-0000-0000-0000-0000-0000-0369
Всё, нажав ввод по окончании, таким образом в них запускается процесс инициализации AMT (только через PSK , а не с помощью сертификатов, как выше). Примерно через минуту AMT-компьютер будет проинициализирован, пароль будет тот же - vPro.by1 , после рекомендуется провести аналогичные вышеописанным мероприятия (сменить/закрыть порты, поменять пароль).
update: Сделал (и проверил) специальный файлик (для АМТ2), который нужно записать на флешку, отформатированную в FAT (не путать с FAT32 - в винде так просто можно сделать лишь со старыми, т.е. до 2Гб, подробности в будущей статье) и тогда вышеприведённый набор буквоцифр заменится просто на нажатие Y при запросе на автоконфигурирование.
USBFile.exe
Утилита USBFile запускается в командной строке и имеет следующие параметры:
*** Intel® AMT USB file writer and viewer sample v4.0***
syntax:
To create a USB file:
USBfile -create
[-v 1|2|2.1|3|4] [-amt] [-rpsk]
[-v1file ]
[-dns ] [-fqdn ]
[-consume 0|1]
[-ztc 0|1]
[-dhcp 0|1]
[-sfwu 0|1]
[-fwu 0|1|2]
[-pm 0|1]
[-fwuq 0|1|2]
[-pp ]
[-pspo ]
[-psadd ]
[-ito ]
[-nrec ]
[-gen ]
[-xml ]
[-pid -pps ]
[-uHash 0|1|2]
[-oHash 0|1]
[-hash [sha1|sha256|sha384]]
[-redir ]
[-s4p ]
[-hostname ]
[-domname ]
[-vlan <0|1-VlanTag>]
[-passPolicyFlag <0|1|2>]
[-ipv6 ]
[-sdFqdn 0|1]
[-dDnsUpdate 0|1]
[-kvm 0|1]
[-userConsentOption 0|1|255]
[-userConsentPolicy 0|1]
[-prov 0|1]
[-conf 0|1]
[-scIden ]
[-scDesc ]
[-sano ]
[-enrPass ]
[-servType 1|2|4]
[-spIden ]To view the valid records of a USB file:
USBfile -viewTo view a summary of a USB file:
USBfile -summary-v 1|2|2.1|3|4: the setup file version, 4 by default
-v1file : creates a version 1 setup file
-amt: this will set the manageability selection value to AMT
-rpsk: this will generate a random psk pair
-dns : sets the PKI dns suffix name (up to length 255)
-fqdn : string up to length 255
-consume 0|1: generate inconsumable record or consumable record(s),
0 (inconsumable) by default
-ztc 0|1: disable/enable PKI Configuration
-dhcp 0|1: disable/enable DHCP
-sfwu 0|1: disable/enable secure firmware update
(Supported in versions 2.1 - 3)
-fwu 0|1|2: disable/enable/enable password protected Firmware local
update (Password protected mode is supported starting from version 4)
-pm 0|1: Enterprise/SMB provisining mode, 0 (Enterprise) by default
Note: this option is deprecated in version 3(+) file format
-fwuq 0|1|2: Always|Never|Restricted Firmware Update Qualifier
(Supported in versions 2.1 - 3)
-pp : set the power packege ,GUID should be in network order
-pspo provision server port number
-psadd :ip address for provision server
ipv4 example: 123.222.222.121
ipv6 example: fe80:ffff:0012::212
Note: ipv6 address supported only in version 3(+) file format
-ito : idle time out (valid values: 1-65535)
-nrec : number of records to create
-gen : number of records with a random psk pair to create
Note: this option is deprecated, use -nrec and -rpsk
options to generate multiple records with random psk pair
-xml : configuration xml file
-pid -pps : a psk pair
-oHash 0|1: disable/enable all preinstalled certs
-uHash 0|1|2: disable/enable all user defined certs/delete all
-hash [sha1|sha256|sha384]: to
compute and add the hash of the given root certificate file according
to the given hash algorithm. Up to three certificates hashes may be
specified.
Notes: 1. The hash algorithm is optional, if no hash algorithm
is given, the tool uses as default sha1
2. The sha256 and sha384 hash algorithms supported only in
version 3(+) file format
3. In order to compute sha256 and sha384 hash algorithms the
tool uses the OpenSSL dll file: libeay32.dll
-redir :
This is an integer that is calculated as follows:
bit 0 : 1 (Enable) or 0 (Disable) - SOL feature
bit 1 : 1 (Enable) or 0 (Disable) - IDER feature
bit 2 : 1 (Enable) or 0 (Disable) - Username/password
authentication type of the SOL/IDER in the ME FW
-s4p
:e.g 10.0.0.1:255.255.255.0:10.0.0.2:10.0.0.3:10.0.0.4
Notes: This option is not valid when generating an inconsumable record,
DHCP flag must be disabled
-hostname :ASCII reprasentation of host name max length 63
Note: This option is not valid when generating an inconsumable record
-domname : max length of domain name is 255
-vlan : VlanStatus disable/enable e.g. 0-4011
Note: for a non supporting VLAN platforms,the MEBx ignores this setting
-passPolicyFlag <0|1|2>: Default/block in post/always open
-ipv6 : an XML file which holds the IPv6
configuration data
-sdFqdn 0|1: dedicated (0)/shared (1) FQDN
Note: This option is valid only if configuring the hostname as well
-dDnsUpdate 0|1: disable/enable dynamic DNS update
-kvm 0|1: disable/enable KVM
-userConsentOption 0|1|255: user consent disabled/enabled for kvm
only/enabled for all features ('255'-enabled for all features
option is supported starting from version 4)
-userConsentPolicy 0|1: user consent policy configurable remotely
-scramble : specify this flag in order to scramble the setup file
records.
-prov 0|1: stop/start configuration
Notes:
1. Sending the ME provisioning Halt/Activate value of 0, stop,
configuration will cause a global reset after all the USB key
settings have been applied.
2. To guaranty success of this command it is recommended to configure
either -dns or -fqdn, otherwise the success depends on the DHCP
state of the FW.
-conf 0|1: automated/manual configuration
Automatic configuration will provision the system through
communication with the setup and configuration servers.
Manual configuration will provision the system immediately
to the POST provision state after all other settings have
been applied.
-scIden : support channel identifier
(valid values: 1-65535)
-scDesc : friendly name used to describe
the party representedby the support channel identifier.
60 character max.
-sano : unique string identifier given to the
end user by the service provider. 32 character max
-enrPass : unique string that allows access to the
service to complete enrolment. 32 character max.
-servType 1|2|4: reactive/proactive/one time session
-spIden : set the service provider identifier
GUID should be 32 hexadecimal chars in network order without spaces
For example: -spIden 0102030405060708090a0b0c0d0e0f00
represents the GUID: 04030201-0605-0807-090a-0b0c0d0e0f00
-scramble: specify this flag in order to scramble the setup file recordsExamples:
USBfile -create setup.bin admin Admin22@ -rpsk -v 1 -nrec 10
-xml setup.xml -consume 1
USBfile -create setup.bin admin Admin22@ -pid AAAA-AAAN
-pps AAAF-AAAF-AAAF-AAAF-AAAF-AAAF-AAAF-AAAF
USBfile -view setup.binNotes:
1. The BIOS requires a binary file with the name "setup.bin".
2. If a certificate hash is added, all default hashes will be disabled
and all existing user defined hashes will be deleted.
3. If -pid option was selected the -pps option must come with it and vice versa.
4. If -rpsk or -gen option was selected along with -pid and -pps options,
the psk pair that will be used is the one supplied using -pid and -pps.
5. If -pspo option was selected the -psadd option must come with it and vice
versa.Из длинного списка возможностей нас на данном этапе интересует скромный набор ключиков, а если конкретно, то это следующая строчка:
- USBfile -create setup.bin admin vPro.by1 -pid 0000-00EX -pps 0000-0000-0000-0000-0000-0000-0000-0369 -v 1
-create setup.bin — главный ключик, который задаёт имя выходного файла. "Setup.bin" (большие-маленькие буквы называния - не важно, чтобы не было проблем - лучше маленькие ) - стандартное название, которое и будет по умолчанию искать на USB-флешке MEBx в попытке найти настройки для "автопровизионинга".
admin vPro.by1 - далее идут текущий MEBx пароль (обычно admin - если AMT-система не трогалась или тот, на который вы изменили, если уже заходили в MEBx) и новый пароль MEBx (который вы хотите поставить). Пароль должен быть удовлетворять "строгим правилам безопасности" (ранее рассмотренным в части про пароли AMT).
Внимание! Новый MEBx-пароль применится сразу же (даже если "автопровизионинг" не закончится), а содержимое файла setup.bin будет очищено (по соображениям безопасности) самим MEBx. Потому если вы не сохранили и не запомнили данный пароль (надеясь, что он у вас "останется на флешке") - можете пострадать.
-pid 0000-00EX -pps 0000-0000-0000-0000-0000-0000-0000-0369 — эти вполне понятные два ключика (-pid и -pps – должны присутствовать оба сразу) задают PID и PPS ключи, которые прописываются в MEBx.
-v 1 — очень важный ключик, который задаёт версию файла setup.bin. В нашем случае это 1, которая поддерживается всеми версиями AMT, начиная с первой. Другие версии setup.bin это:Если поставить версию выше той, которую поддерживает MEBx - setup.bin будет молча проигнорирован (отдельные реализации правда могут про это ругнуться на экран, но часто это пролетает и всё равно не заметить). Потому лучше "перебдить" и использовать минимальную.
С другой стороны, если вас интересуют какие-то дополнительные параметры, то древние версии могут их не поддерживать и даже их задав в USBFile - они просто не попадут в setup.bin.
Приложение — Intel Management and Security Status
Открыть приложение Intel MSS можно с помощью значка в виде синего ключа в области уведомлений Windows.
Рисунок 5. Значок программы Intel Management and Security Status в области уведомлений
Читайте также: