Intel vPro/AMT или аппаратный антивирус

Введение

Приблизительно два года назад мы разместили на своих страницах материал, описывающий применение Adder IPEPS в качестве аппаратного решения, помогающего системным администраторам производить антивирусную проверку и даже переустановку операционной системы. Стоит особо подчеркнуть, что речь шла об антивирусной проверке и настройке BIOS в случае частичной неработоспособности операционной системы, когда использование стандартных средств удалённого доступа, таких как RDP, RAdmin и RealVNC, не представляется возможным. Сегодня мы представляем нашим читателям ещё один способ управления рабочими станциями без использования внешних устройств.

Удалённое управление

Технология удалённого управления рабочей станцией Intel AMT существует уже достаточно давно, однако аппаратная поддержка данной технологии реализована далеко не во всех современных материнских платах и процессорах. Перед использованием описываемого в данной статье метода подключения к удалённому узлу необходимо убедиться, что процессор поддерживает технологию vPro, а материнская плата построена на чипсете серии Q, например, Q67 или Q77. Мы не будем вдаваться в детали реализации vPro и AMT, а также в требования к оборудованию, но приведём пример, возможно, не совсем стандартного использования обсуждаемых механизмов удалённого доступа.

Итак, в нашем распоряжении был персональный компьютер на базе материнской платы ASUS P8Q77-M (BIOS версии 0303) и процессора Intel i7 3770, который мы считаем обычным ПК рядового пользователя дома или в офисе. Проблема удалённого управления серверами имеет множество успешных решений, к числу которых относятся технологии IPMI, iLO и другие, однако подобные методы не применимы к стандартным ПК. Внедрение решений на основе Adder IPEPS нельзя назвать беспроблемным, так как подключение такой аппаратуры к каждому узлу требует приобретения большого количества дополнительных устройств, а также приводит к занятию ещё одного порта на сетевом оборудовании. Временное же подключение IP KVM к проблемному ПК требует наличия технического персонала на удалённом объекте, к тому же сам по себе Adder IPEPS не позволяет справиться с ситуацией, когда управляемый ПК завис или находится в состоянии BSOD. Мы упоминали об одном из методов удалённого управления питанием, однако он также может оказаться весьма затратным. Использование технологии Intel AMT не приводит к дополнительным затратам на покупку дорогостоящего оборудования, так как её поддержка реализована в некоторых широко распространённых комплектующих.

На момент написания статьи нам были известны две утилиты, поддерживающие подключение к удалённым узлам с использованием Intel AMT: RAdmin и VNC. К сожалению, нам так и не удалось подключиться к тестовому ПК с помощью утилиты RAdmin, к тому же данная утилита поддерживает подключения только к узлам, работающим в текстовом видеорежиме. Мы без проблем выполняли включение, выключение и перезагрузку машины, но получить доступ к BIOS или операционной системе не могли из-за разнообразных ошибок. Конечно, это решает проблему удалённого включения ПК для домашних пользователей в том случае, когда их маршрутизатор не поддерживает функцию WOL (Wake on LAN) – требуется выполнить лишь перенаправление портов – но в нашем случае этого явно не достаточно. При использовании VNC Viewer Plus администратору необходимо указать IP-адрес управляющего AMT-модуля, который, естественно, отличается от собственного адреса узла, указать тип шифрования, а также выбрать режим подключения. Здесь мы опускаем вопросы предварительной настройки самой рабочей станции, необходимой для разрешения удалённых подключений.

После успешного подключения администратору необходимо ввести логин и пароль, заданные в настройках AMT на удалённом узле.

Хотелось бы отдельно отметить, что изменение параметров доступа по технологии Intel AMT на удалённой машине с помощью VNC Viewer Plus невозможно.

Как мы отметили в названии статьи, мы собираемся использовать технологию Intel AMT для антивирусной проверки удалённых узлов. Конечно, такая проверка имеет смысл лишь в том случае, когда операционная система и установленное в ней антивирусное программное обеспечение не могут справиться самостоятельно. Как и в случае с локальной проверкой нам потребуется образ загрузочного диска, содержащий собственную операционную систему и антивирус. Подобные образы доступны от разных производителей антивирусного программного обеспечения, к числу которых относятся «Лаборатория Касперского» и «Доктор Веб». Последний предлагает загрузить полностью готовый образ с сайта, тогда как диск для Касперского может быть создан с помощью установленной на узле администратора программы.

Скачанный или подготовленный образ необходимо смонтировать в программу VNC Viewer Plus.

После того, как диск будет монтирован, можно производить включение удалённого ПК с выбором загрузки с диска.

Дальнейшее управление происходит так же, как если бы администратор загрузился с этого диска и находился в непосредственной близости от проблемного компьютера.

Стоит, однако, отметить, что нам не удалось таким образом осуществить удалённую проверку с помощью Доктора Веб из-за «отсутствия» загрузочного устройства, тогда как работа с антивирусным продуктом Лаборатории Касперского не вызвала затруднений.

В случае если операционная система на удалённом узле полностью испорчена и не подлежит восстановлению, администратор может произвести её переустановку с использованием подключения по всё той же технологии Intel AMT. Правда, время, затрачиваемое на эту операцию, может неприятно удивить, так как сетевое подключение в этом режиме у нас заработало лишь на скорости 10 Мбит/с, а дистрибутивы современных операционных систем едва помещаются на DVD-диски. После переустановки системы администратор может столкнуться с отсутствием ряда драйверов, необходимых для подключения к сети. К счастью, эта проблема может быть легко решена путём добавления нужных файлов в образ диска. Имеется в виду простое добавление файлов в файл ISO, а не внедрение драйверов непосредственно в сам дистрибутив. Такое добавление можно произвести, например, с помощью утилиты UltraISO.

На этом мы завершаем наш краткий экскурс в проблему антивирусных проверок удалённых узлов.

Заключение

Подводя итоги, хочется отметить, что компания Intel предлагает администраторам чрезвычайно мощный инструментарий по удалённому решению проблем с операционной системой, лечению вирусов и настройке BIOS, не требуя при этом приобретения дорогостоящего оборудования, - весь функционал заложен в чипсет и процессор. Доступ к узлу возможен как во включённом, так и в выключенном состоянии. Стоит также отметить, что для выполнения ряда простых функций (включение, выключение, просмотр состояния, получение информации об оборудовании и так далее) не требуется никакого специализированного программного обеспечения – достаточно современного браузера, подключающегося к управляемому узлу по протоколу HTTP на порт 16992.

И хотя Intel AMT является чрезвычайно полезной технологией для администраторов, для простых пользователей она может оказаться очередным чёрным ходом в их систему, оставленным разработчиками для удобства администрирования.

You have no rights to post comments

Если заметили ошибку, выделите фрагмент текста и нажмите Ctrl+Enter