声明:本人是业余的,纯粹折腾而已,说的不对之处还请指正。这帖子是针对玩家的,不是能用于生产环境或企业环境。
远程管理大体上分为两类:
带外管理(Out-of-band management,OOB):使用独立管理通道进行设备维护。无论被管理设备是否处于开机状态,只要已经通电并联网,就可以远程监控和管理设备,包括远程关机、远程开机、远程重启、远程更改BIOS设置、远程安装操作系统等。带内管理(In-Band Network Access,IBN):是指使用常规数据通道来管理设备。这种管理要求被管理设备不仅要通电、联网,而且必须已经开机、运行了客户端程序等。
直白的解释:
惠普iLO、戴尔DRAC、超微和永擎的IPMI都属于OOB:这些管理工具不依赖于操作系统,只要主板通电并联网,配置好之后,可以远程修改BIOS,远程安装操作系统,甚至Windows系统蓝屏、ESXi紫屏崩溃时,可以远程查看错误崩溃的错误信息。
Windows远程桌面、Linux SSH属于常见的IBN:只有当操作系统启动后,且远程桌面服务正常运行时,才能连接并管理远程主机。如果Windows已经蓝屏,远程是没办看到蓝屏信息的;当然也没法远程修改BIOS、安装操作系统等操作。
可见,OOB对于远程折腾是非常好用的一个功能。比如,组装一个NAS扔到角落里,万一需要维护时无需连接键、盘鼠、标显示器(Keyborad Video Mouse,KVM),直接用OOB远程管理就行。一般玩家在家里使用OOB远程管理的目的很简单:比如墙角有一个自己组装的NAS,系统挂掉了,需要重启或排除一下故障,或者改下BIOS,通过OOB会更方便,不用连接显示器、键盘和鼠标,就可以远程完成这些操作,需求就这么简单。
完整的OOB远程管理主要包括三个方面发:最基本远程连接,读取一些温度信息、日志之类的。比如通过网页方式访问惠普iLO可以看到温度、日志等信息。远程控制台或者叫KVM。惠普iLO中叫做Remote Console,连接后是一个增强版的远程桌面,可以直接操控远程电脑。远程介质。惠普iLO中叫做Virtual Media。可以加载本地文件为远程主机安装操作系统。
随着当年大量工包戴尔主机遍布大江南北,玩家体验到了DRAC;
随着MicroServer Gen8的海淘热,玩家体验到了iLO;
随着大船,玩家体验到了超微IPMI。
其实iLO、DRAC、IPMI这几个技术从根本上讲都是IPMI,只是各家叫法不同而已。
除了上述这些OOB远程管理,Intel也有自家的远程管理技术:Intel vPro。
其中,一个技术叫AMT(Active Management Technology),类似于IPMI,用于远程连接、管理(比如获取远程主机的电源状态,内存配置,硬盘信息等);
另一个技术叫做Intel KVM Remote Control,用于通过网络连接实现键盘、显示和鼠标的功能,类似于iLO的iLO Integrated Remote Console功能。
不严谨的说,AMT是Intel vPro的一部分。
下面是带有vPro和不带vPro的CPU的徽标:
00.png (81.67 KB, 下载次数: 7)
基本上,如果是品牌机的话,看到带有vPro的徽标,就表示可以使用vPro的AMT远程管理技术。
当然,vPro很复杂,除了远程管理,还有很多其他的东西。这里仅折腾vPro的远程管理。
AMT作为Intel的OOB远程管理方案,类似于IPMI,但属于不同的技术。
Intel以及各大厂家的白皮书写的非常详细、严谨,但是对于新手可能有点不友好——比较晦涩难懂。
简单地说:
支持vPro技术的电脑,在BIOS中会有一个叫做AMT或ME(Management Engine)的设置菜单,用于开启和关闭AMT功能。
然后还有一个Management Engine固件,一般是开机时按F6进入,主要用于设置远程管理的密码、IP地址等信息。
名词术语:
“被管理设备”:这个设备稍候会被远程管理,比如NAS。“电脑”:就是个普通电脑,用来访问和管理远程的“被管理设备”。
开启步骤简述:
在“被管理设备”上进入BIOS开启AMT;在“被管理设备”上进入ME设置AMT;在“电脑”上运行MDTK软件连接“被管理设备”的IP地址;在“电脑”上的MDTK中使用UltraVNC作为KVM工具访问“被管理设备”。
硬件环境:
支持Intel vPro技术的主板、BIOS(含远程管理固件)、CPU、网卡(无线网卡)等。注意,是这些东西都要支持vPro才行。新手建议使用惠普、戴尔等品牌机学习和体验vPro技术。自己DIY的电脑有可能体验vPro会失败。
本帖使用的是HP EliteBook 820 G3 i7-6600U版。
注意:i7-6500U不支持vPro。
软件环境:
个人玩玩,不需要下述正规白皮中提及的软件,这些是给企业级部属用的,个人用太折腾,不好用:
Intel® Setup and Configuration Software (Intel® SCS),
VNC Viewer Plus。
个人玩,用下两个述软件足以。这两个都是完全免费的软件,无需破解,也没有功能限制:
Open MDTK(Manageability Developer Tool Kit) - 支持Intel AMT技术的开源免费工具集;下载地址http://www.meshcommander.com/open-manageability,下载Open MDTK installer。UltraVNC - 配合MDTK,实现KVM功能,下载地址http://www.uvnc.com/downloads/ultravnc.html。
补充Open MDTK的百度云盘下载链接:https://pan.baidu.com/s/1uHQhEKKZQCAws6VdUcDJ7g 提取码:oo2h
具体配置AMT方法大体有三种:
直接在“被管理设备”上手工设置IP地址等信息,必要时还要生成密钥等——推荐个人玩家使用这种方法,最简单,最可控。其“电脑”上用企业级工具制作n个U盘,然后将U插入需要设置的“被管理设备”中,用于企业级部署几十台甚至上百台电脑——家里就一两台的话就别这么折腾了。Intel “天网”法,具体手册没看懂,大体意思是“电脑”无需通过U盘等与“被管理设备”交互,直接将分布在各地的“被管理设备”进行设置——听起来像黑客后门一样神奇的技术,完全不懂。
关键步骤和实现效果;
被管理设备通电,开机,设置开启AMT并设置AMT的IP地址(相当于iLO的地址)。
HP EliteBook 820 G3按下ESC键开机,会显示主板的开机菜单,选择并进入:
ME Setup (F6)
注:也可以开机时直接按F6进入。
21.PNG (477.81 KB, 下载次数: 5)
按下F10进入BIOS,浏览到Advanced菜单,会有一项叫做Remote Management Options
22.PNG (492.64 KB, 下载次数: 2)
进入Remote Management Options会看到如下信息:
23.PNG (523.5 KB, 下载次数: 1)
其中USB Key Provisioning Support就是用于被U盘设置的选项。咱们是手工设置,无需勾选这个。
USB Redirection Support需要勾选。
Uconfigure AMT on next boot表示在下次启动时彻底清除AMT设置。如果设置乱了,可以选中Apply保存并从其即可清空AMT设置。
其他保持默认即可。
抱存BIOS设置后重启,按F6键进入ME/AMT设置菜单
31.jpg (83.46 KB, 下载次数: 0)
首次登录时需要设置密码,注意密码需要大写字母+小写字母+阿拉伯数字+符号,四种字符都要包含,长度似乎至少8位。
进入Intel AMT Configuration菜单
32.jpg (96.27 KB, 下载次数: 0)
开启Manageability功能。
进入SOL/Storage Redirection/KVM菜单
33.jpg (89.45 KB, 下载次数: 0)
四个选项都开启:访问时需要密码,SOL开启,存储重定向,KVM开启。
返回后,进入User Consent菜单
34.jpg (108.08 KB, 下载次数: 0)
将User Opt-in改为NONE。这个的意思是在任何时候,都不需要“被管理设备”同意,你就可以直接从远程访问被管理设备。
如果选择其他,比如KVM,则会在KVM连接时,“被管理设备”的屏幕上显示六位数字的授权码,需要在”电脑”上输入授权码才能进行KVM控制,这显然不是我们需要的效果,因为NAS已经扔到墙角了,没有屏幕,也无法看到授权码。所以这个选项一定要选择NONE。
返回后,进入Network Setup,TCP/IP Settings,Wired LAN IPV4 Configuration
35.jpg (102.92 KB, 下载次数: 0)
36.jpg (92.11 KB, 下载次数: 0)
有的电脑还可以通过无线网卡远程管理,这里还有有Wireless选项。
37.jpg (98.25 KB, 下载次数: 1)
设置好IP地址,子网掩码,网关及DNS。
至此,“被管理设备”设置完毕。
这些设置是独立于操作系统的,与安装什么操作系统无关。
下面开始在“电脑”上操作。下载Open MDTK,地址http://www.meshcommander.com/open-manageability,下载Open MDTK installer。
10.PNG (390.31 KB, 下载次数: 0)
下载UltraVNC,地址http://www.uvnc.com/downloads/ultravnc.html。下载1.2.1.2版本即可。
11.PNG (118.33 KB, 下载次数: 1)
MDTK需要安装,安装后有很多图标,运行Manageability Automation Tool。
右键空白处添加“被管理设备”,需要输入IP地址和刚刚设置的那个复杂的密码。用户名填写admin即可。
40.PNG (73.91 KB, 下载次数: 1)
添加后,右键点击刚刚添加的那行,选择Manage Computer。
软件会自动开始连接,当那个按钮变成Disconnnect时表示已经连接了,点击按钮会断开连接。
41.PNG (125.49 KB, 下载次数: 0)
此时左侧已经可以查看“被管理设备”的很多信息了。
右侧有几个tab,比较有用的是Remote Control,这就是KVM了。
42.PNG (127.24 KB, 下载次数: 1)
点击Remote Desktop Settings
43.PNG (44.68 KB, 下载次数: 0)
开启Redirection Port (16993/16995)。
点击Remote Desktop Viewer
44.PNG (25.09 KB, 下载次数: 0)
这是KVM使用的工具。将刚刚下载的UltraVNC解压缩,按照“电脑”操作系统的版本,选择vncviewer.exe即可。
这样设置后,Launch Viewer就可以点击了。
通过UltraVNC看到“被管理电脑”的图像了,试一下键盘和鼠标,都是管用的。
下面是UltraVNC显示的“被管理电脑”BIOS界面,
50.PNG (517.28 KB, 下载次数: 0)
下面是“被管理设备”屏幕的显示效果,屏幕四周有一圈红黄两色交替的线,提醒用户此时电脑已被远程管理。
51.jpg (96.75 KB, 下载次数: 1)
再回到MDTK,点击那个Take Control按钮。
52.PNG (140.55 KB, 下载次数: 1)
会显示出下面这个窗口
53.PNG (47.65 KB, 下载次数: 0)
这个窗口有很多菜单,很有意思。
比如,Remote Command可以关机、强制关机、重启、强制重启等。蓝屏死机时可以使用。
还有Remote Command菜单里的Remote Reboot to BIOS Setup,这个是远程BIOS,
54.PNG (64.06 KB, 下载次数: 0)
这里也可以修改BIOS设置,不过不是通过KVM,而是通过Remote BIOS功能修改。
当然,也可以加载虚拟介质用于安装操作系统了。
参考:
Intel官方Management Engine BIOS Extension (Intel®MEBX)手册:http://www.intel.com/content/dam ... ide_for_7series.pdfIntel官方AMT快速指南:https://communities.intel.com/ex ... yment_Guide_1.1.pdf
小结一下:
带有vPro技术的电脑非常普遍,无论是DIY主板还是品牌台式机、笔记本非常多,
至少比带有IPMI技术的主板和电脑多,也更便宜,更容易买到。
这些设备都是可以远程管理的,用这些设备折腾Home Server,NAS,虚拟化软路由之类的非常方便,不一定死守IPMI。
评论
高大上啊,不过身为一般用户什么都不懂的我,我觉得更多的用户只是想电脑可以分担一些手机等成本受限平台的硬件负担。比如手机的微信,我搞懂了怎么在电脑上用模拟器运行,那么如果手机上有一款软件可以省资源省流量的访问我电脑上的系统界面和掌控我电脑上的鼠标键盘操作权,那么我只需要配一个一般的电脑和一台很垃圾的手机,就能尽可能不占内存和后台地玩微信。同理如果我玩3A级游戏(主机游戏除外),我可能连显示器、或笔记本、或平板都不必配太好的,垃圾配置就行,整一台配置说的过去的台式,然后我就能随时随地享受流畅的游戏,前提得交得起网费和电费。。。。
评论
在Intel官网看了一下,1151支持博锐的CPU,最便宜的也得192美刀。。。而且,主板怎么挑呢?
评论
我觉得,你需要的是和“远程管理”相对的另一个技术,叫做“RemoteApp“,模拟器甚至大型3D电脑游戏实际是运行在远程主机上的,然后拥有和本地程序一样的体验。
评论
买个几百元的二手笔记本,Thinkpad或戴尔都行,基本都支持vPro。
还有就是各种洋垃圾的戴尔准系统,量大价格便宜。
最后就是1155的各种妖板也行的。
目前1151还是太贵了,与其买1151还不如买志强D。
评论
买个几百元的二手笔记本,Thinkpad或戴尔都行,基本都支持vPro。
还有就是各种洋垃圾的戴尔准系统,量大价格便宜。
最后就是1155的各种妖板也行的。
目前1151还是太贵了,与其买1151还不如买志强D。
评论
这玩意就是在机器上预置一套微型操作系统~~
评论
是的。超微植入的是BMC芯片。Intel直接植入了通用VNC。
评论
Q和B都支持Vpro
评论
前些年好像听通软的人讲过,但是真没动手自己操作过。。
评论
先收藏再看,正有这方面需要,学习前辈经验
评论
VNC Viewer Plus其实好用不少
另外这玩意儿只支持Intel CPU + Intel GPU + Intel 网卡...局限挺大的
评论
好贴,又学到新知识了。
评论
实际用过就会发现这简直是噩梦
评论
年前入了一台i7-6600U的YOGA460,实际应该是P40刷号来的,刷成i7-6500U的型号,结果就是一直想试试的vPro弄没了,平板模式下触摸板不能禁用
评论
看完感觉iLO的操作真的够傻瓜化。
评论
VNC Viewer Plus需要购买,破解版连接Intel AMT协议时会出现莫名其妙的错误。
因为vPro是Intel的技术,实际是在CPU中实现的,当然必须是Intel的CPU而且还必须是vPro的CPU。然后网卡和显卡也是同样的道理。
IPMI一样的限制,无论是否有显卡,在使用IPMI连接时只能使用IPMI的显卡,不能使用PCIe显卡查看KVM信号。
评论
商业环境不讨论。
家用的话,其实还是将U盘插到主机上,然后通过KVM控制系统安装过程。
iLO的远程介质也是一样的噩梦。
评论
因为惠普花了很大心思包装IPMI,所以在各个远程控制方案中,iLO是最贵的。
评论
欢迎一起研究
评论
好帖!赞!看了一眼我这本上的贴的是“Intel Centrino vPro inside”没准也能折腾试试。
评论
IPMI是DVD速度 AMT是4x CD速度...
不过有条件的话可以弄双步启动 但这不是AMT的使用场景可以搞定的
评论
VNC很多个版本我都用过,好奇具体是什么错误
上面这个Open MDTK是自己改的版本,毕竟Intel的版本只支持serial over lan
不过这个版本的坑也很多,有些机器会死活连不上,你多试试就会发现了...
另外AMT的一个大坑是...非常非常容易死掉,必须完全冷关机拔电才能恢复
评论
目前除了UltraVNC,其他的都是破解版。
VNC Plus之类免费试用版均不支持AMT协议。
有好用的输入序列号就可以使用的VNC Plus的话,还请分享一下。
感觉那些错误应该是破解导致的,未必是VNC的问题。
评论
什么时候ilo这种能直接调用核显就好了
评论
基本上从第一代VPRO开始就玩过,VPRO某些方面远没有ILO之类强大,且也遇到主机死机VPRO也死机的问题,我觉得主要原因还是ILO之类都有独立的芯片管理,而VPRO没有独立的管理芯片。远程安装系统VPRO也是慢的几乎无法忍受。
总体来说有点鸡肋。
评论
必须要Intel显卡是最大局限,E5平台没有核显,也就没intel显卡,用不了vpro,还有e3,大部分也用不带核显的,也不能用
搞到最后,由于显卡限制,使得专业平台的机器用不了,而只能在i7之类的平台上用
评论
Ipmi 你可以插专用显卡,AMT你要换带核显的CPU ,至于E5 或者HeDT的i7, 整个平台都不行,因为目前intel 已经不再做主板上集成的集显了
评论
讽刺的是E5和不带核显的E3这种专业机器反而用不了。Intel AMT定位就是鸡肋
评论
AMT是我用过的最难配置+不好用+不稳定+没文档的方案了跟intel双路板子上的ipmi2.0是一回事吗
评论
目前来说,专业大型服务器肯定是IPMI方案。
vPro主要是给低功耗,小体积的环境准备的,比如E3-1265L v2就是支持vPro的。
评论
这是因为vPro的定位是方便企业管理,主要针对客户端远程管理,而不是大型服务器管理。低功耗E3基本都支持vPro,65W以上的志强基本上都不支持。大型服务器肯定不会用E3-1265L v2这种志强,家用也不太可能用165W的E5,各自定位不同而已。
评论
AMT官方文档相当完整,只不过针对的是几千台甚至上万台客户端写的,所以非常复杂晦涩。
评论
完全没有可比性,一个是用于专业大型服务器管理,另一个用于客户端管理,目的和定位都不相同。
评论
最尴尬的是E3+独显和单路E5的工作站,一般都没有服务器那样的专业IPMI,指望着用intel AMT远程管理一下,然后发现被intel显卡这个要求给挡住了,还完全无法解决
而且E5工作站intel还好意思贴着支持vpro的标签,实际由于没有intel显卡,不能远程KVM,只能在操作一个极其简陋的监控网页,只能远程操控开关机和启动设备。intel应该出一个简单的主板上集显解决这个问题
评论
这些机器一般都集成有BMC吧
评论
我说的各种版本都是指各种渠道来的VNC Viewer Plus 很多时候别人机器上装的乱七八糟的版本我们也决定不了 不过都没有碰到过AMT连接的问题...
也许是设置的问题吧
评论
用UltraVNC默认设置搞定。
VNC Plus怎么设置都搞不定,关键是二进制破解版,高度怀疑是破解导致的问题;正版试用版不支持AMT。
评论
在用HP的Gen8 微型服务器,iLO 普通的使用还是挺方便的。可是有些高级功能不太会用
评论
转发:
http://lzlutao.blog.51cto.com/102948/1218077/
买过技嘉的MSQ77DI,照上面博客配置过一下,还行
评论
我是惠普本子的拥趸自己的840G1 就有AMT ,我记得很久以前论坛另一位大手 王老板(@colourwp)也发过AMT的普及帖子,没记错就是一个Q77 Intel原厂thin-ITX
评论
xuexixuexi
评论
服务器才集成,工作站一般都不集成这个,然后vpro却由于显卡局限用不了
评论
好文章。
评论
我定了一块DQ77KB,在路上。
评论
标题是“带有Intel vPro技术的电脑贵的原因之一”,结尾是“带有vPro技术的电脑非常普遍,无论是DIY主板还是品牌台式机、笔记本非常多,至少比带有IPMI技术的主板和电脑多,也更便宜,更容易买到。”
我怎么感觉很难找到啊,DIY容易买到的是那个主板?
评论
我的事b85 pro gamer的单路普通主办,不知道买一个ipmi模块能接上去的不
评论
Q系主板就行
评论
不管是vPro、iLO、IPMI,如果想高效率的远程安装系统,WDS(Windows Deployment Services)是最佳选择,启动远程主机后,选择从网络引导。而且WDS上可以实现部署各种类型的引导镜像、安装镜像、驱动程序,全程自动无需干涉。
评论
果然好折腾啊……如果只是为了装个系统,还不如布个更通用些的pxe
评论
IPMI模块和主板是配套的,在购买IPMI时注意购买与主板型号对应的模块。
即使品牌相同,主板型号不同,IPMI模块也是不能通用的。
比如同样是超微的主板,每一个具体的主板型号对应的IPMI模块不同,不能通用。不同厂家的更是无法通用。
如果B85 Pro Gamer有可选购的IPMI模块,则100%可以用;否则100%不能用。
当然,可以购买那种非常昂贵的与主板无关的通用IPMI模块,一般价格在1000美元以上甚至更贵,不值得。
评论
WDS能用于安装Arch Linux等小众Linux操作系统吗,还是只能用于安装比较新的Windows系统?
评论
PXE比AMT更折腾。
评论
http://www.syslinux.org/wiki/index.php?title=WDSLINUX
评论
这种方式以前试过,需要相应的Linux支持才行。
如果Linux发行版不支持(比如Arch Liux)是没法安装的。
评论
mark以后需要时用
评论
虽然定位不同是确实存在的 但是企业用户很多时候是需要折中的 一家的硬件设计闹腾出2套完全不同的系统来显得太傻了一点 哪怕弄个简化版都比这样显得思路正常很多 打个比方我一个ipmi一个amt为了远程应用我是要再买个amt还是再买个ipmi?
评论
http://netsecurity.51cto.com/art/201705/538810.htm?from=timeline&isappinstalled=0
5月1日,英特尔(Intel)公司官方公布了一个严重高危(Critical)级别安全漏洞,据Intel声称,该漏洞主要存在英特尔管理引擎(ME)的主动管理(AMT)、服务器管理组件(ISM)、以及英特尔小企业技术(SBT)中,攻击者可以利用该漏洞进行Intel产品系统的远程控制提权。
漏洞影响所有Intel企业版服务器和综合利用技术,涉及版本号为6.x、7.x、8.x、9.x、10.x、11.5、以及 11.6系列的所有固件产品,基于Intel硬件的普通个人电脑PC不受影响。这意味着Intel近十年来的固件芯片都会受到影响!就在Intel的漏洞通告之后,国外科技曝料网站Semiaccurate也及时发声称,他们近年来一直以近乎卑躬屈膝的态度恳求Intel尽快修复该漏洞,现在,Intel自己才后知后觉地反应过来。Semiaccurate称,该漏洞至少影响Intel自2008年到2017年从Nehalem到Kaby Lake的所有处理器架构。
漏洞危害
普通的网络攻击者可以通过Intel的AMT和ISM技术框架远程获得系统权限,进一步对Intel产品实行管理配置;普通的本地攻击者可以利用Intel的AMT、ISM和SBT技术框架,获得对网络设备和本地系统的一定权限。
漏洞影响产品
企业级服务器的以下芯片固件:
第一代Core系列:6.2.61.3535第二代Core系列:7.1.91.3272第三代Core系列:8.1.71.3608第四代Core系列:9.1.41.3024和9.5.61.3012第五代Core系列:10.0.55.3000第六代Core系列:11.0.25.3001第七代Core系列:11.6.27.3264
反映了多年的漏洞,Intel现在才修复!
我们一起来看看Semiaccurate对该漏洞与Intel之间的一些纠葛:
1. Intel最早知晓该漏洞的态度和反应
该漏洞主要存在于Intel 芯片中部署有AMT、SBT和ISM技术的英特尔管理引擎Intel Management Engine(ME)。该漏洞严重点来说,即使Intel服务器中未安装有AMT、SBT和ISM技术,可能仍然存在一些不具远程攻击威胁的安全隐患。Intel这10年来,对该漏洞不屑一顾,选择现在进行公布修复,可能是的确受到一些重大影响而不得不承认的举措。
早在5年多以前,SemiAccurate专家Charlie Demerjian在研究硬件后门时就知晓了该漏洞,当时我们对该漏洞非常震惊,但出于某些原因,我们没有公布具体漏洞细节。后期,我们通过网络发文,在关于Intel的发表文章中,曾给出了一些暗示,希望“某些人”看到后能尽快解决该漏洞问题。并且,在我们积极与“某些人”解释该漏洞问题之后,也陷入无果状态。
很多Intel厂商代表一直以来,认为我们和我们的专家Charlie Demerjian是无理取闹,他们拒绝承认这个问题的存在,并试图找出各种滑稽的技术理由证明我们的观点是错的。但作为回应,我们仅只是微笑地,很礼貌地和他们对这个漏洞就事论事,然而有些时候,他们对待我们的态度可以算是非常傲慢无礼。
2. SemiAccurate对该漏洞原因的解释
该漏洞问题是这样的:管理引擎(ME)控制了系统的网络端口和DMA访问权限,它可以向系统内存或存储中进行任意读写操作。并且,可以不需要登录权限绕过系统非锁闭状态下的磁盘加密(目前关于这点,我们还没有进行完整证明)、读写调用屏幕画面,甚至还可以通过网络发送和存取一些加密数据。可以说,ME是个有别于CPU的独立系统,可在不受CPU的管控下通过搭配AMT等技术用来远程管理企业计算机。
英特尔管理引擎Intel Management Engine(ME):Intel芯片中独立于CPU和操作系统的一个微处理器,多种技术都基于ME,包括代码处理、媒体DRM、可信平台模块TPM等。其中,AMT就是一个利用了ME性能的典型技术。尽管Intel对ME有着很多官方说明,但ME技术架构一直是Intel不愿谈及的话题,因为没人真正知晓该技术的真正目的,以及是否可以做到完全禁用等。
Intel AMT:全称为INTEL Active Management Technology(英特尔主动管理技术),是一种集成在芯片组中的嵌入式系统,不依赖特定操作系统。 该技术允许IT技术员远程管理和修复联网的计算机系统,AMT能够自动执行一个独立于操作系统的子系统,使得在操作系统出现故障的时候,管理员能够在远程监视和管理客户端、进行远程管理和系统检测、软硬件检查、远端更新BIOS和病毒码及操作系统,甚至在系统关机的时候,也可以通过网络对服务器进行管理操作。某种程度和层面上来说,AMT可以完全控制企业计算机,相当于一个后门。虽然这些功能听起来近乎疯狂,但貌似对Intel来说,这些都是合法的理由。比如,如果一个企业需要重新镜像磁盘,这就得需要远程磁盘写入功能。查杀病毒呢?一样需要扫描和写入。用户行为监控呢?同样需要这些功能。反正这些所有你需要管理服务器的功能,都存在漏洞利用的风险。当我们向Intel解释说,这里存在漏洞风险,而Intel却礼貌地告诉我们,AMT技术像细胞连接一样能盘活裸机服务器管理,这没有问题,当时,我们脸都气白了。而现在,他们估计很难堪吧。
另外,我们也怀疑Intel是否在它们生产的每一种设备中都融合配置了AMT技术,因为即使现在看来在普通用户PC端不存在,但这种技术并不容易发现。这也是我们和Intel长期争论的焦点之一,我们曾经让Intel提供一个非AMT技术配置的硬件库存编号,但它们从来没有对此作出任何回应。
漏洞缓解措施
总体来说,如果你的服务器开启了AMT功能,则肯定存在该漏洞,但即使该功能是关闭的,一样可以进行本地漏洞利用。所有ME6.0-11.6版本的管理引擎都受影响。
目前,Intel官方还没有完成对固件补丁的开发制作,对于该漏洞,他们已经发布了一个检测指导和一个用户缓解措施指南。相关用户可以下载进行对照测试。但强烈建议,如果你的服务器系统配置有AMT、SBT或ISM功能,请尽快在Management Engine BIOS Extension模式中进行禁用关闭。如果你的服务器中安装有AMT\ISM\SBT功能模块,请及时卸载或禁用相关本地管理服务Local Manageability Service (LMS)。
Intel给出的具体缓解步骤:
step 1:参照这里检测你的系统中是否配置有Intel AMT、SBA或ISM技术架构;step 2:如果有,则参照这里检测你的系统固件是否受到影响;step 3:及时与系统OEM厂商对更新固件进行核实,更新固件一般为四部分数位的版本号,如X.X.XX.3XXX;step 4:如果OEM厂商还未发布更新固件,请及时参照这里对系统进行缓解操作。
漏洞补丁
据Intel发言人透露,该漏洞编号为CVE-2017-5689,在3月底由安全研究者Maksim Malyutin发现并提交。目前,固件升级补丁正在由Intel开发中,但后期补丁的推送和分配必须由制造商加密签名和其它配合。Intel希望与设备制造商积极合作,在接下来几周能尽快向终端用户提供固件升级补丁。目前,普通个人使用PC不受该漏洞影响,Intel方面也未发现有该漏洞的野生利用案例。
但SemiAccurate专家Charlie Demerjian指出,这也就是说,如果硬件供应商是戴尔、HP或联想这样的大公司,固件升级可能会很快发布。但如果供应商是一些小规模企业,客户想要及时更新补丁可能会存在问题。
当下影响
据黑客大牛、Atredis Partners研发副总HD Moore透露,“针对该漏洞情况,如果Intel本地管理服务LMS正在运行,则可以通过知晓系统服务器IP形成远程漏洞利用和入侵攻击。另外,开启的AMT服务和其暴露在互联网上的端口16992和16993,也会成为攻击者进行漏洞利用的突破口。攻击者首先会结合端口开放信息和漏洞利用技术,获得相当于AMT管理页面的访问控制权,之后,可以藉此向操作系统中远程执行任意代码。”,Moore还说,目前通过Shodan来看,互联网上至少有7000多台开放了16992和16993端口的服务器,这些服务器数量就是一种潜在威胁的真实说明,因为可能还有成千上万的主机与它们互联。
评论
这玩意各种漏洞
服务器的话肯定是IPMI,实际上很多服务器都是集成了IPMI的。
只要集成了IPMI的服务器绝对没法使用vPro AMT。
评论
所以这种人为割裂产品系列的做法看起来真的很傻啊 (当然后面真赚没赚黑心钱我真不知道.)
评论
IPMI和AMT的目的以及目标用户不同。
大型服务器都是IPMI的,只不过各家叫法不同,iLO、DRAC都是IPMI。但是IPMI不适合桌面电脑和笔记本,原因有很多,不一一列举。
AMT主要用于商用桌面主机和商用笔记本,以便管理员可以远程维护员工的设备。
评论
教程很棒,DQ77MK已经成功,另外一台T400可能AMT版本低,看了ME配置里面有enterprise和small business模式,small business模式配置好通过教程的Open MDTK可以连接上,但是UltraVNC无法连接,remote desktop viewer这项显示不支持,enterprise模式要配置服务器证书之类不会弄,所以也连不上。不知道有什么教程可分享下吗,谢谢!
评论
发个T400的本机用热键进入AMT的界面照片看看,主要是看看AMT及ME的详细版本信息。
评论
老的X58有没有这功能?
评论
AMT是4.0.4版本,回去拍好发上来,谢谢啊
评论
要看主板上有否标志支持vPro。
评论
工作站的确比较尴尬,只能用的第三方的方案。大致有两类:
1. 内置KVM卡(如ATEN IP8000 KVM)
---------------
优点出了内置,还可以控制机器电源的开关和重启;缺点则是貌似只找到支持老式PCI插槽的(如ATEN IP8000),DELL的工作站一般还都留有PCI槽,我有台T7810上就用了这卡。
15-802-012-TS.jpg (96.83 KB, 下载次数: 2)
2. 外置KVM(如Lantronix Spider SLSLP400USB-01 IP KVM)
---------------
优点是兼容性好,不需要赵勇PCI或者PCIe槽位;缺点是本身无法控制机器开关,另外挂在机器外面也不是太利索,我的Z840由于没有PCI槽,就只能采用这个方案了,好在工作站上的AMT虽然没有KVM但本身还是可以控制机器开关。
85063892-df41-4122-ace8-6233b16aebee_1.203d0b3601b23626cee0ab15b77cca7f.jpg (40.69 KB, 下载次数: 3)
评论
这种远程管理是不是要路由也支持的?我们公司用teamview一定要代理....
评论
请问为什么是噩梦?提供这个功能不就是为了方便吗?
评论
大型企业环境、高端专业服务器就不讨论了。
目前只玩过HP MicroServer Gen8的iLO远程介质,不是不能用,是不如弄个USB光驱直接插到主机上好用。
各种技术都是操作一下就有体会了,能用和好用是不同的概念。
评论
赞啊 目前最详尽的帖子 感谢!!!
评论
Open MDTK好像无法打开了
评论
小白表示以为还能折腾AMT变速箱
评论
原来是笔记本的比较好搞
评论
路过学习了。
评论
写了那么详细,为什么不投稿呢?
评论
有个疑问,外网能使用AMT么。
评论
跟HP iLo、Dell RAC、Supermicro IPMI一样,官方强烈不建议映射端口到外网直接访问。
无论IPMI还是AMT,都可以使用官方或第三方的“天网”访问;但更简单的方法是使用VXN拨入之后访问。
不过这不是IPMI和AMT需要考虑的问题,这属于网络技术,和远程控无关系。
评论
了解 谢谢
评论
楼主我看 联想thinkpad X1C 有 vPro的 选项价格 一样要选吗?
评论
QQ图片20170823195204.png (58.24 KB, 下载次数: 3)
T大 按照你的教程 然后用ISO装esxi 出现这个错误提示 好像IDE什么没有打开 英文白痴求解答
评论
如果想玩玩vPro就可以选。
评论
这个不是vPro或AMT的问题;
是MDTK的问题,MDTK加载远程镜像,需要同时在软盘和光盘处选中同一个iso,然后点击加载就可以了,MDTK是免费软件,bug还很多……如果不能忍受这些bug,就花钱买商业软件吧。
评论
vPro对于科研党有什么现实意义吗?
评论
不懂科研。
本人既不是学计算机的,也不在计算机行业工作。我只是玩玩而已。
评论
谢谢T大指点
评论
另外请教那个商业软件比好好使 有中文版
评论
没有软件名字更不提供下载。
需要直接致电Intel中国购买整体商业解决方案,而不是一个单纯的exe。
那算了 买不起
评论
您说的是B150和Q170系列的主板么?
评论
open mdtk来一发,下不了
评论
这个还得CPU支持?
评论
lz大人 Open MTDK installer已经不能下载了 请问你有源文件吗?
评论
楼主文章写的很详实...不过看到有个概念我一头雾水,最近也在学虚拟化,楼主确定这里的KVM是keyboard, Video, Mouse而不是kernel-based VM这个概念么?虽然从语境上理解没问题,不过Intel的vPro所用的ME是一个小型linux,前一段爆出的好多漏洞也是因为这个minix权限太高,还存在各种漏洞导致。
从这个KVM操纵的表现来看,也是典型的kernel-based VM的一种应用,minix作为一个底层系统,直接随开机启动,在启动guest OS之前便可以调用各种硬件资源执行接收的命令,这个应该也是vPro的工作原理之一,像是一个hypervisor的存在,这也是为什么guest OS挂了,还能通过KVM看到各种报错的原因,因为这个minix是一直存在的。
楼主看看是不是这个情况,我也没细看截图有没有出现具体的keyboard video mouse,要是的确是这个KVM而非kernel-based VM的话,我也算是学到些。
评论
好吧,看了下wiki,还真的是KVM over LAN这个说法
VNC-based KVM remote control[edit]
Starting with vPro with AMT 6.0, PCs with i5 or i7 processors and embedded Intel graphics, now contains an Intel proprietary embedded VNC server. You can connect out-of-band using dedicated VNC-compatible viewer technology, and have full KVM (keyboard, video, mouse) capability throughout the power cycle—including uninterrupted control of the desktop when an operating system loads. Clients such as VNC Viewer Plus from RealVNC also provide additional functionality that might make it easier to perform (and watch) certain Intel AMT operations, such as powering the computer off and on, configuring the BIOS, and mounting a remote image (IDER).
Not all i5 & i7 Processors with vPro may support KVM capability. This depends on the OEM's BIOS settings as well as if a discrete graphics card is present. Only Intel Integrated HD graphics support KVM ability.
评论
非常感谢T大的教程!
更新:“被管理设备”进入系统后,UltraVNC可以正常使用了。之前的拒绝访问估计是停留在ME界面所致。
----更新分割线-----
我近日组装了一台DQ77KB+1265L的HomeLab,根据您的教程,Open MDTK已经连接完成,但是用UltraVNC无法连接。点击“Launch Viewer”之后,VNC出来的连接对象是Local Host(127.0.0.1)。是我漏掉了什么VNC配置的东西吗?
kvm.png (171.04 KB, 下载次数: 0)
另外借本贴问一下T大,DQ77KB升级Bios的时候发生了FwUpdateFullBuffer的错误,当前版本是51,打算升级到最新的59。已经尝试了Intel Support Communities中的一些方法(Win下用exe升级;拔除BIOS configuration Jumper等)均无果。不止T大是否能提示一些思路?
非常感谢您~
评论
是的,最好用的还是VNC Viewer Plus.
评论
最近买了个dell 9020sff(I7 4765t的配置)ME ctrl+p照lz的设置好了,最后也可以用MDTK找到9020并且进入webgui,但是始终无法在MDTK中connect 9020主机,然后也用不上kvm,不知道是什么问题?
评论
Intel Xeon E3-1265L v2 倒是集成显卡。但是貌似并不支持这个vpro技术啊。。。
评论
求问您搞掂了没有?
评论
评论
楼主,在吗?
这里提到的工具你这里还有备份吗?原链接已经没有资源了,墙内墙外找半天,好的文章都是照搬这篇,也是给了个链接,自己谷歌还只找了个低版本的,远程连接连上了但在MDTK右侧remote control选项卡下remote desktop setting后面一直是disable不可选,机器bios和amt固件已经升级为最新还是无法解决,网页ip加端口可以练上去看到信息和开关机操作,现在唯一怀疑的就是MDTK版本低了,求分享资源
评论
接上面再问一个:
open MDTK是开源的,intel自家的工具有吗?
我看到intel官网上下载open MDTK是跳转到 http://opentools.homeip.net/open-manageability ,不是 http://www.meshcommander.com/open-manageability 了,当然,两个都下载不了
评论
顶楼有更新的下载地址。
也可以从这个链接下载:https://pan.baidu.com/s/1uHQhEKKZQCAws6VdUcDJ7g
提取码:oo2h
评论
感谢楼主补充资源,有心了。已经在下载,非常感谢
评论
再求助一下:
Snipaste_2019-03-05_21-43-27.png (125.14 KB, 下载次数: 0)
硬件配置:
HP compaq 6200 pro MT
主板芯片组:Q65
处理器:i5-2400(查ark支持vPro)
网卡是:intel 82579LM
BIOS和AMT已经都更新到了最新固件,MEBx里面按上面设置的,MDTK也是用的1.35版本的。
现在的情况是能连上,但是现在无法使用VNC,远程控制选项卡下面的remote desktop setting后面是disable,而且是灰色状态不可更改,点进去也无法更改,后面一个选项卡看到remote access状态是unsupported。不知道是不是不支持,还是哪里没设置好。
评论
Q65太老了,那时候的vPro很多都不支持远程控制(KVM)。
就算可以支持,也需要完成下述步骤:BIOS中开启AMT/vPro。然后重启时按热键,通常是CTRL+P进入AMT设置,开启KVM等功能,设置固定IP、掩码、网关等。然后才能用软件连接。
评论
nuc上好像有这个东西 我装了一个intel的app不是很好用
评论
果然,在MEBx设置菜单下SOL\IDER\KVM下没见KVM设置菜单,所有设置项都检查了,就是没见KVM设置项 。。。
评论
嗯,Q65带的AMT、MEBx都是没有KVM的。
基本上,最早带有KVM的AMT是Q77。
评论
笔记本怎么连啊,笔记本是用无线的
评论
教程种草成功
评论
之前设想了一个场景,软路由+NAS主机放在吃灰角落里,局域网中的电脑通过AMT远程控制这台NAS,可是实际用了AMT才知道,主机必须要有显示器,才能远程连接,卧槽,这不是脱裤子放屁吗?我还以为和微软的远程桌面一样的
评论
5G 网络使这些想法的民用化成为可能,期待一下吧
评论
自己本本logo上的 vpro 原来是这个功能呀,终于明白了。
评论
很不错的学习贴
评论
学习下
评论
不是吧,被连接的主机一般都只有一根网线吧。
我的实践结果是:不接显示器是不行的。不知道有没有高手可以不接显示器实现
评论
我的M920x就没有接显示器,通过远程AMT管理的呀。只有网线。
评论
请教一下,amt远程管理你用的是什么软件?lz给的软件是没法用在q370这种新的芯片组上的
评论
就是LZ发的那个,meshcommander,完全没问题呀。M920x就是Q370主板。
评论
哦,那就奇怪了,我用这个软件不行,后来用的intel软件
我是在m920x上连接另外一台q370主板的台式机,你是在什么机子上控制m920x的?
评论
就是一台毫无特殊的外星人M15.
评论
谢谢提醒,我也搞定了,没有屏幕可以amt
评论
intel哪个软件可以远程amt?除了meshcommander,还有什么其他软件吗?
评论
刚换了自己软路由dq77kb的u为1265l v2,测试了楼主的办法。可以实现,和不错了
评论
来自未来的评论···魔改i7 4870HQ+洋垃圾华硕Q87成功搞定···加起来600多吧
评论
+10000000
评论
mark一下,过两天折腾下试试
评论
请问下hpz840 如何开启amt
评论
向日葵不香吗
评论
谢谢lz分享
评论
标记下,学习
评论
请教
按照前面的做了,远程开关机,通过web页面查看设备信息都没有问题。但是remote control那个"launch viewer"按钮无法点击。上面的"take control"可以使用,也能使用文字版BIOS,UltraVNC路径也配置好了,但是那个remote desktop settings页面的disabled按钮总是灰色,无法点击
屏幕截图 2021-07-06 234059.png (100.33 KB, 下载次数: 0)
评论
我也是折騰了半天才知道開啟kvm是需要cpu支持博銳技術的。為了能用kvm我又換了個cpu 可以去Intel官網查詢確認一下。如果確認支持的話看看amt設置kvm功能開啟了沒有
评论
知道原因了,没有Intel集成显卡,工作站插的一块AMD FirePro。只有核显才能Remote Desktop 电路 电子 维修 我现在把定影部分拆出来了。想换下滚,因为卡纸。但是我发现灯管挡住了。拆不了。不会拆。论坛里的高手拆解过吗? 评论 认真看,认真瞧。果然有收 电路 电子 维修 求创维42c08RD电路图 评论 电视的图纸很少见 评论 电视的图纸很少见 评论 创维的图纸你要说 版号,不然无能为力 评论 板号5800-p42ALM-0050 168P-P42CLM-01
·日本留学生活 求个大阪合租
·日本留学生活 自家房招租求
·日本留学生活 东京地区出9成新lv钱包
·日本育儿教育 孩子从国内过来如何学习日语
·日本育儿教育 明年四月横滨招月嫂
·日本育儿教育 请问咋让娃突破识字关?感谢分享中文共读和学习经验的妈妈
·中文新闻 东区明星迈克尔·格列柯,53 岁,将在第一次出生两年后第二次
·中文新闻 《爱情岛》明星卡米拉·瑟洛和杰米·朱维特在透露即将迎来第三