英特尔® 主动管理技术概述
发布日期: 2007年7月17日 |
最后修改日期: 2008年6月30日
简介
英特尔® 主动管理技术(英特尔® AMT)是内嵌于英特尔架构平台的一项功能,能够增强 IT 组织管理企业计算设施的能力。英特尔® AMT 可独立于平台处理器和操作系统运行。此外,即使平台已经关闭,只要平台仍与电源线和网络相连,远程平台管理应用仍可安全地访问英特尔® AMT。独立软件开发商(ISV)可利用应用编程接口(API)来构建充分利用英特尔® AMT 特性的各种应用。
使用案例
以下使用例展示了英特尔® AMT 作为平台管理与保护工具的部分强大功能。
发现所有计算资产
英特尔® AMT 在非易失性内存中存储硬件和软件信息(英特尔® AMT 自动存储硬件信息。需要运行于主机平台的软件代理来捕获和存储软件资产信息。)借助英特尔® AMT 的内置可管理性,IT 人员便能轻松发现软硬件资产,即使电脑关机也不例外。
无论系统处于何种状态,均可进行远程修复
英特尔® AMT 的内置可管理性具有带外管理功能,可支持 IT 人员在操作系统瘫痪的情况下远程修复系统。此外,告警与事件日志功能还能帮助 IT 人员快速检测问题,缩短停机时间。这样,系统便能远程诊断及重启,极大降低了现场访问的需要。
保护系统免遭恶意软件的攻击
借助英特尔® AMT,您可轻松保持整个企业网络中的软件和病毒防护程序前后一致、及时更新,从而确保企业的网络安全。第三方软件能够在非易失性内存中存储版本号或政策数据,以便在非工作时间进行恢复或更新。
遏制恶意软件与平台滥用的影响
英特尔® AMT 具有系统防御功能,可通过遏制管理客户端上的病毒爆发和软件篡改,将受感染的网元与其它网元隔离,从而降低病毒感染的几率。此外,代理存在功能还可检测防毒软件或软件库存程序等关键应用是否正在运行。如果未运行,英特尔® AMT 可立即向 IT 控制台发送报告,在必要时还会隔离该平台,直至 IT 技术人员解决此问题。
这些使用案例只是英特尔® AMT 引领最新企业计算管理方式的部分示例。
架构
英特尔® AMT 架构包括实现产品功能的固件,以及固件执行所处的硬件环境。此外,它还包括安全和网络环境,以及英特尔® AMT 软件开发套件(SDK)中的众多元素。
硬件/平台构架
英特尔® AMT 中包含一个基本架构,可根据不同的软件版本实施各种全新功能。
英特尔® AMT 2.0 版是英特尔® 博锐工作站平台的一个组件。它使用英特尔® 博锐平台构架中的众多元素。图 1 显示了这些元素之间的关系。
图 1 英特尔® AMT 2.0 版架构
英特尔® AMT 的功能包含于固件
(ME FW)之中。
- 固件图像存储在闪存中。
- 根据 OEM 平台提供商的实施方案,英特尔® AMT 功能将通过英特尔® 管理引擎(英特尔® ME)BIOS 扩展加以支持。同时企业设置与配置通过远程应用来执行(请参阅下面的身份验证与授权)。
- 在开机时,固件图像会被复制到双倍数据速率(DDR)随机存储器(RAM)中。
- 固件在英特尔® ME ARC 处理器上执行,并在执行期间将一小部分 DDR RAM(插槽 0)用于存储。必须填充并开启 RAM 插槽 0,固件才能运行。
英特尔® AMT 将以下信息存储于闪存
(ME 数据)之中:
- OEM 可配置参数
- 设置与配置参数,如密码、网络配置、证书和访问控制列表(ACL)
- 其它配置信息,如告警列表和系统防御功能政策
- 启动时 BIOS 捕获的硬件配置
英特尔® AMT 还可管理第三方数据存储
(3PDS),独立软件开发商(ISV)可将其用于本地存储对其应用而言至关重要的信息。
闪存中还包含 BIOS 可执行代码
(BIOS),以及英特尔® 82566DM 千兆位网络连接
(GbE Ntwk FW)的可执行代码。
OEM 在制造过程中激活了一种硬件机制,可保护闪存免遭未授权主机的访问。
ICH8 接口控制器中保存有过滤器定义,可应用于入站及出站的带内网络流量(出入处理器的讯息流量)。其中包括内部定义的过滤器,以及利用系统防御功能与代理存在功能定义的应用过滤器。
英特尔® 82566 千兆位
网络连接可识别带外(OOB)网络流量(通往英特尔® AMT 的流量),并将其路由到英特尔® ME,而非处理器。经过 IANA 注册的专用端口号将被标注到英特尔® AMT 流量。
与英特尔® AMT 交互的元素如下:
- BIOS 可用于初始化英特尔® AMT 或将其重置为初始状态。它可捕获平台硬件配置信息,并将其存储在 NVM 中,以便英特尔® AMT 在带外提供这些信息。
- ICH8 传感器功能可检测各种平台传感器状态,如温度、风扇状态以及机箱完整性。您可对英特尔® AMT 进行配置,使其在任何选定传感器的状态发生变化时或超过阈值时存储并/或转发告警。
- 运行于处理器上的软件代理(通常由管理 ISV 编写)可在英特尔® AMT 中注册,并利用“心跳”向英特尔® AMT 和管理控制台报告其存在情况。英特尔® AMT 可监视心跳,并在代理执行出现问题时采取行动。
- 处理器中的 ISV 应用可利用兼容主机操作系统的专用驱动程序与英特尔® AMT 进行本地通信。
英特尔® AMT 2.1 可在设备处于 Sx 电源状态进入睡眠时,收到相应的网络接口讯息,从而唤醒英特尔® AMT 设备,显著增强英特尔® AMT 的节能选项。
英特尔® AMT 2.2 新增了远程配置功能(又称“零接触”配置,简称 ZTC),大幅简化了英特尔® AMT 设备在安全维护时的设置与配置流程。
英特尔® AMT 2.5 版架构
英特尔® AMT 2.5 将主动管理能力拓展到了企业移动计算之中。如图 2 所示,该架构包含一个移动版 ICH8、Crestline MCH 和一个无线网卡。
图 2 英特尔® AMT 2.5 版架构
英特尔® AMT 2.5 在 2.0/2.1 版的基础上新增了以下特性:
- 支持两个无线网络接口。英特尔® AMT 带外管理可通过此接口实现。系统防御数据包过滤也可通过此接口完成流量收发。
- 支持 802.1x EAP 选项,因此,即使主机操作系统无法运行,英特尔® AMT 仍可继续处理带内及带外无线流量。
- 检测无线连接处于公司网络内部还是外部。
- 用户通知能力,支持在本地处理器上注册告警接收。英特尔® AMT 2.5 还包含用户通知服务(UNS),该 Windows 服务定义了一组英特尔® AMT 告警(如系统防御告警)。收到英特尔® AMT 告警后,UNS 会将信息记录在 Windows 事件日志中,用于一般性浏览。
- 支持思科网络准入控制(NAC)标准。该版本包含一个用于捕获状态信息并将其转发到思科 NAC 设备的插件。
英特尔® AMT 2.6 为移动平台添加了远程配置功能和一些其它特性。
英特尔® AMT 3.0 版架构
英特尔® AMT 3.0 版架构与 2.0 版相似。其中 Broadwater 内存控制器中枢已更新为 Bear Lake,ICH8 也升级到了 ICH9。这些变动与新版固件一起,有力支持了英特尔® AMT 2.5 的所有特性(无线与移动特性除外),同时还提供了如下功能(详情请见“网络接口指南”):
- 启发式系统防御:一项基本防御功能,可在威胁广泛扩散到公司网络前捕捉和阻止来自于主机平台的蠕虫攻击。
- 支持 WS 管理:这一新兴标准可用于管理英特尔® AMT 平台以及之前版本中基于 SOAP 的 API。如欲了解更多相关信息,请参阅“文档”文件夹中的“WS-Management_Classes”目录。
- 远程配置:不仅简化了安装和配置流程,还保持了英特尔® AMT 设备的安全性。
远程访问
英特尔® AMT 具有两类接口:远程接口(英特尔® AMT 2.5 版支持无线、有线与远程接口)与本地接口。远程接口可通过局域网络连接收发流量。英特尔® AMT 固件功能只能通过远程接口进行配置,因此本地用户或应用无法更改关键设置。
远程应用可使用三种方法来与英特尔® AMT 进行通信:
简单对象访问协议(SOAP)讯息
SOAP 是一种用于在非集中、分布式环境中交换信息的轻量级网络协议。它是一种基于 XML 的协议,由三部分组成:
- 一个定义框架的封套,用于描述讯息内容以及处理方式
- 一组编码规则,用于表示应用定义的数据类型实例
- 一个用于表示远程流程调用和响应的规则
英特尔® AMT 编程接口是一个 基于 SOAP 的 API,可支持英特尔® AMT 固件与运行于远程主机上的 ISV 管理控制台软件进行通信。如欲了解该 API 的详细介绍,请见 Web 服务描述语言(WSDL)。每个固件
服务(也称为
接口)都有一个 WSDL 文件。
专用重新定向协议
借助英特尔® AMT 功能,ISV 应用可对平台进行配置,从而将控制台文本发送到远程目标,并从远程来源接收键击。这就是 LAN 串行功能。此外,通过重新定向平台 IDE 接口,您还可将平台配置为从远程软盘或 CD 中读取或写入数据。这些功能都需要使用专用协议。SDK 中的重新定向库便可实施该协议。
英特尔® AMT SDK 中具有很多展示远程接口功能用法的示例代码。
WS 管理
“用于管理的 Web 服务”是一项新兴的 DMTF 标准,可通过一种对象导向型方法对网络上的设备进行管理。该标准基于通用信息模型(CIM),现已经过扩展,可支持英特尔® AMT 的全部特性。3.0 版支持利用 CIM 对象的全部管理功能。请注意,WS 管理是 SOAP 上的另一层。如欲了解详细信息,请参阅“SDK WS 管理”文档。
本地访问
以本地方式运行于平台上的应用将以完全相同于远程应用的方式,同英特尔® AMT 2.0 修订版及以上版本的英特尔® AMT 进行通信(通过 HTTP 协议的 SOAP 或该 SOAP 上的 WS 管理)。如图 3 所示,本地应用向本地英特尔® AMT 主机名称发送 SOAP/HTTP 讯息时,侦听指向该主机名的流量的本地管理服务(LMS)便会截获讯息,并将讯息路由到英特尔® 管理引擎接口。
LMS 具有以下优势:
- 它可将本地接口和远程接口统一为基于 SOAP/WSDL 的接口,从而简化了 API。
- 它可利用所有的 HTTP 内置优势,包括用户名和密码身份验证,以及利用 HTTPS 添加基于证书的身份验证和加密的可能性。
该接口具有一个基于连接的多线程驱动程序,用于与英特尔® ME 进行通信。同时,并行驱动程序可接收信息并将其传递到英特尔® AMT 嵌入式 IP 堆栈。
图 3:将本地讯息路由到英特尔® AMT
本地应用可以利用存储库将信息(例如,软件库存)保存到非易失性内存中,以供远程管理控制台日后检索。
用户通知服务
用户通知服务(UNS)是一个安装在平台(已安装英特尔® AMT 或更高版本)主机上的 Windows 服务。UNS 会注册到英特尔® AMT 设备,以便接收告警。当 UNS 收到告警时,会将其记入 Windows“应用”事件日志中。如欲浏览告警记录,请右击“My Computer(我的电脑)”,选择“Manage(管理)/System Tools(系统工具)/Event Viewer(事件查看器)/ Application(应用)”。
事件来源将为“英特尔® AMT”。下表显示了所有已定义告警的类别事件 ID 与事件描述。
类别
| 事件 ID
| 用户讯息
|
系统防御
| 1001
| 已调用安全政策。已停止部分或全部网络流量(TX)。
|
系统防御
| 1002
| 已调用安全政策。已减少 TX 网络连接。
|
系统防御
| 1003
| 已调用安全政策。已停止部分或全部网络流量(RX)。
|
系统防御
| 1004
| 已调用安全政策。已减少 RX 网络连接。
|
远程诊断
| 1201
| 已建立远程局域网串行(Serial Over LAN)会话。
|
远程诊断
| 1202
| 远程局域网串行会话结束。已恢复用户控制。
|
远程诊断
| 1203
| 已建立远程 IDE 重新定向会话。
|
远程诊断
| 1204
| 远程 IDE 重新定向会话结束。已恢复用户控制。
|
无线局域网(WLAN)
| 1102
| 无线局域网资料不足,无法实现无线局域网接口上的管理会话。
|
无线局域网(WLAN)
| 1104
| 已在无线局域网接口上建立管理会话。
|
无线局域网(WLAN)
| 1103
| 安全参数不足,无法实现无线局域网接口上的管理会话。
|
无线局域网(WLAN)
| 1105
| 已完成无线局域网接口上的管理会话。
|
传统结构
英特尔® AMT 1.0 版架构与 2.0 版及之后版本相似,但是它并不具备之后版本的所有功能。此外,英特尔® AMT 1.0 版本地接口还使用同步、单线程方案(基于 KCS/WMI)进行本地通信。为了支持使用英特尔® AMT 1.0 版 SDK 创建的应用,您可将 2.0 及以上版本配置为“传统模式(Legacy Mode)”。该模式可提供必要的向后兼容性。如欲了解有关英特尔® AMT 1.0 版及之后版本间的特性差异,以及传统模式的详细信息,请参阅“网络接口指南”。
特性概览
上文第 2 节中描述的每个使用案例都取决于部分固件功能。这里我们将对所有使用案例进行简要描述,并介绍 ISV 实施这些案例需要使用的固件服务。下文列出了所有英特尔® AMT 固件服务或接口。
发现
硬件资产接口可用于检索最新的平台硬件库存。本地运行于平台上的软件应用可使用
存储接口和
存储库在非易失性第三方数据存储中存储信息。
修复
除了使用“发现”使用案例来确定平台的当前硬件和软件配置外,IT 技术人员还能使用
事件管理接口来创建事件过滤器并记录事件和发送关键情况告警,从而远程监视平台的性能。此外,技术人员还可使用
重新定向接口和
远程控制接口来远程接管和启动平台。
保护
本地应用可使用
存储接口来保存防火墙和防病毒应用的版本信息。远程应用可以读取这些信息,以确定防火墙和防病毒程序是否已经更新。如果没有更新,远程应用可以使用
重新定向接口和
远程控制对其进行更新,即使在平台关机的情况下也可实现。
系统防御(断路器)接口则可限制平台的网络访问,直到更新完成为止。远程应用还可以借助存储接口在主机关机时将信息保存在平台中。一旦平台开机,本地应用便可读取保存的数据并按照指示完成更新。
遏制
IT 管理员可使用
远程代理存在接口注册 IT 政策要求在客户端平台上运行的应用,如防病毒、防火墙或软件安装跟踪程序。ISV 在开发这些应用时,加入了对
本地代理存在接口的调用。应用开始执行时,会向英特尔® AMT 发送“心跳”讯息。如果由于病毒中断操作或者用户人为关闭,致使应用无法启动或停止运行,那么英特尔® AMT 将检测问题并使用
事件管理接口向管理控制台发送告警。使用
断路器接口创建的系统防御政策可以限制工作站访问网络,直到中断的应用恢复运行。
基础设施
安全管理接口、
网络管理接口和
网络时间接口可用于配置访问控制列表、网络设置和安全参数。大多数相关功能都可用于安装和配置流程。
服务
英特尔® AMT 功能分为服务和接口。正如“网络接口指南”所述,每项服务都可通过远程网络接口和/或本地接口进行访问。用户必须具备相应域的访问权限,才能使用服务中的各项功能。如欲了解有关英特尔® AMT 访问控制列表内各组成部分的信息,请参阅下面的“
访问控制列表和域”。表 1 列出了英特尔® AMT 服务。其中两项服务具有特殊的状态:
- 作为 SDK 的一部分,存储库对存储接口提供了支持。存储库中的各项功能可管理用户与英特尔® AMT 之间的连接、存储分配流程,以及面向第三方数据存储模块的数据读写。虽然存储命令和响应使用一个 SOAP 连接,但只存在一种二进制讯息格式,由存储库创建并解释。存储管理接口位于单独的域中,以供 IT 管理员指定哪些 ISV 应用具有面向第三方数据存储的读写权限。如欲了解有关存储库功能的更多信息,请参阅“存储设计指南” [img]http://cache-
[/img] 。 - 重新定向库使用专用的讯息格式传送数据,以支持重新定向功能。如欲了解更多信息,请参阅“重新定向库设计指南” [img]http://cache-[/img] 。
表 1 英特尔® AMT 服务
服务
| 域
| 功能
| 本地
| 远程
| 版本
|
安全管理接口
| PTAdministrationRealm
| 管理安全控制数据,如访问控制列表、Kerberos 参数、传输层安全性、配置参数、节能选项以及电源组。
|
| √
| 1.0 及以上版本
|
网络管理接口
| PTAdministrationRealm
| 配置本地网络选项。通常由 DHCP 服务器进行配置,但也可以使用这一接口直接配置。
|
| √
| 1.0 及以上版本
|
硬件资产接口
| HardwareAssetRealm
| 用于检索平台内的硬件资产信息。
|
| √
| 1.0 及以上版本
|
远程控制接口
| RemoteControlRealm
| 实现平台的远程开关机。用于配合重新定向功能实现远程启动。
|
| √
| 1.0 及以上版本
|
存储接口
Interface
| StorageRealm
| 用于在非易失性用户存储中实现配置与读写。实际命令格式存储于存储库内。
| √
| √
| 1.0 及以上版本
|
事件管理接口
| EventManagerRealm
| 支持配置软硬件事件,以便生成和发送告警至远程控制台并/或将告警日志保存在本地。
|
| √
| 1.0 及以上版本
|
EventLogReader
| 支持对用户进行定义,使其获得读取英特尔® AMT 系统日志的优先权限。
| √
| √
| 2.6 及以上版本
|
存储管理接口
| StorageAdminRealm
| 用于配置管理和使用非易失性存储的全局参数。
|
| √
| 1.0 及以上版本
|
重新定向接口
| RedirectionRealm
| 开启和禁用重新定向功能,检索重新定向日志。重新定向接口本身属于独立的属性接口,不需要依赖 HTTP/SOAP。更多信息请参阅“重新定向库设计指南”。
|
| √
| 1.0 及以上版本
|
本地代理存在接口
| AgentPresenceLocal
Realm
| 用于专门在本地平台上运行的应用,以报告其正在运行,并定期发送“心跳”讯息。
| √
|
| 2.0 及以上版本
|
远程代理存在接口
| AgentPresenceRemote
Realm
| 用于注册本地代理应用,并在应用运行或意外停止时详述英特尔® AMT 的行为。
|
| √
| 2.0 及以上版本
|
断路器接口
| CircuitBreakerRealm
| 用于定义过滤器、计数器与政策,以便监控出站/入站网络流量,并在检测到可疑行为时阻止网络流量(系统防御特性)。
|
| √
| 2.0 及以上版本
|
Network 接口
| NetworkTimeRealm
| 用于设置英特尔® AMT 设备的时钟,实现与网络时间的同步。
|
| √
| 2.0 及以上版本
|
GeneralInfo 接口
| GeneralInfoRealm
| 返回一般设置与状态信息。该接口可授权用户在无需更改参数的情况下,读取与其它接口相关的参数。
| √
| √
| 2.0 及以上版本
|
FirmwareUpdate 接口
| FirmwareUpdateRealm
| 仅供 OEM 借助英特尔工具更新英特尔® AMT 固件之用。这些函数不面向一般 ISV 开放。
| √
| √
| 2.0 及以上版本
|
EIT
| Admin
| 实施嵌入式 IT 服务(不面向 ISV)。
| √
| −
| 2.1 及以上版本
|
无线配置接口
| Admin
| 管理无线接口设置。
| −
| √
| 仅 2.5 版
|
端点访问控制接口
| EndpointAccessControl
| 返回 NAC 状态相关信息。
| √
| −
| 2.5 及以上版本
|
端点访问控制管理接口
| EndpointAccessControl
Admin
| 配置并开启 NAC 状态
| −
| √
| 2.5 及以上版本
|
本地用户通知接口
| LocalUN
| 为本地接口上的用户提供告警
| √
| −
| 2.5 及以上版本
|
身份验证与授权
我们应确保以最安全的手段来与英特尔® AMT 平台进行网络通信。IT 管理员可以配置基于证书的身份验证,也可选择相互身份验证。英特尔® AMT 的访问控制列表可用于授权所有访问请求。此外,英特尔® AMT 还可使用 Microsoft Active Directory 的 Kerberos 选项简化授权流程。远程设置与配置服务器是英特尔® AMT 能够安全运行的前提条件。
配置英特尔® AMT 安全模型
英特尔® AMT 平台和安装与配置(S&C)服务器启动时都带有两条共享信息——平台 ID 和预共享密钥(PSK)。英特尔® AMT 和设置与配置服务器之间的首次通信内容是一条未加密的“hello”讯息,它从英特尔® AMT 发往带有平台标识符的服务器。之后,S&C 服务器使用 PSK 和 TLS-PSK 协议对配置流量进行身份验证和加密,从而执行设置与配置流程。S&C 服务器将证书下载到英特尔® AMT 平台,该平台将证书存储于非易失性内存之中。证书可追踪到某个企业证书颁发机构,英特尔® AMT 则可使用这些证书来对管理控制台应用进行身份验证。如果将英特尔® AMT 配置为相互身份验证,那么 S&C 服务器必须为每个与英特尔® AMT 通信的应用提供客户端证书。
S&C 服务器还可建立一份访问控制列表,启用特定的英特尔® AMT 功能,并配置设备设置。设置与配置流程结束后,该流程中生成和使用的密钥将被删除。所有后续通信均将证书和传输层安全(TLS)用于身份验证、保密性(加密)和完整性(相互身份验证)。如下文所述,英特尔® AMT 利用访问控制列表来执行授权。HTTP 摘要身份验证用于 HTTP 通信上的 SOAP。重新定向特性利用安全套接字层(SSL)在远程控制台和英特尔® AMT 平台之间建立安全连接。如欲了解更多信息,请参阅“设置与配置示例应用开发人员指南”。
访问控制列表和域
英特尔® AMT 访问控制列表(ACL)用于管理用户对设备中各种功能的访问。ACL 条目包括用户 ID 和用户可以访问的域列表。如欲使用与某个域相关的功能,必须具有相应的访问权限。在上表中,我们为每个接口和服务都列出了其所属域。用户有权访问一个或多个域。
单个默认用户将被命名为“admin”,并拥有“PTAdministrationRealm”特权,它包括英特尔® AMT 域内的所有权限。admin 用户可使用安全管理接口中的命令为其他用户创建其它 ACL 条目。为 ISV 应用创建所需用户是设置与配置流程的一部分,但创建的用户数不能超过可用 ACL 条目数量的限制。
ACL 条目共分两类:Kerberos 和非 Kerberos。两者的主要区别是:Kerberos 条目拥有一个活动目录(Active Directory)SID,可识别用户或用户组;而非 Kerberos 条目拥有一个用于用户识别的用户名和密码。如欲了解有关条目之间差异的更多信息,请参阅“英特尔® AMT 与活动目录的集成”。
更多信息 [img]http://cache-
[/img]
SDK 用户指南涉及了英特尔® AMT 软件开发套件的所有信息。其中列出了各种文档、系统要求以及展示了英特尔® AMT 功能的示例代码概要。
网络接口指南是 SOAP 接口的重要参考文件。
存储设计指南描述了 ISV 存储库的结构、功能和使用方法。
重新定向库用户指南描述了重新定向接口的功能以及支持它的示例应用。
如欲了解有关英特尔® AMT WS 管理接口的更多信息,请见 SDK 文档目录中的“WS-Management_Classes”文件夹,或参阅“英特尔® AMT WS 管理流程”文档。
SDK 内的所有示例都附带有自述文件。启动示例前,请仔细阅读这些自述文件。
我们邀请您在本页
发表评论 (不受客服控制),或直接向我们的支持中心
提问.
本文参考:
http://softwarecommunity-zho.intel.com/articles/zho/1004.htm
