Налаштування CIRA за допомогою MDTK – підключення AMT-комп’ютера через MPS, Pro vPro
Стаття "Налаштування CIRA за допомогою MDTK - підключення AMT-комп'ютера через MPS" із серії "Підручник з Intel AMT", частина тринадцята.
У попередній частині ми розглянули теоретичну складову CIRA. До цього ми налаштовували та встановлювали сертифікати на АМТ-комп'ютер. Тепер усе це сумісний і підключимося до комп'ютера через MPS, тобто. та реалізуємо схему CIRA.
Установка/налаштування самого MPS-сервера дуже об'ємна і тому буде розглянута окремо в наступній частині.
Створення та встановлення сертифіката MPS-сервера
Так само, як ми це робили для встановлення сертифіката АМТ-комп'ютера (див. "Налаштування TLS-сертифікатів за допомогою Manageability Commander") - створюємо та встановлюємо сертифікат для майбутнього MPS-сервера.
Запускаємо Директора, переходимо на закладку "Сertificate Manager", виділяємо наш рут-сертифікат (у прикладі у нас це був AMT-guide):
Тиснемо кнопку "Issue New Certificate".
Сервер MPS в моєму випадку буде розташований на домені "mps1.vpro.by" - тому виписуємо сертифікат на це ім'я.
Далі за строго аналогічною АМТ-сертифікатом процедурі (див. все ту ж статтю "Налаштування TLS-сертифікатів за допомогою Manageability Commander") поміщаємо його за допомогою Командир в сховище сертифікатів на АМТ-комп'ютері. Тобто. в результаті ми отримаємо наступну картинку:
Бачимо не один, а два сертифікати, напис "(TLS)" доданий у того, за яким з комп'ютером здійснюється шифрований зв'язок (який ми і налаштували у наведеній вище статті).
Налаштування CIRA
Тепер приступимо до налаштування CIRA, в команді це закладка "Management Engine" (як мінімум для версії 0.1.32) і пункт "Remote Access":
Бачимо, що поки що віну стані "Not Setup". Тиснемо його налаштування.
Ставимо в положення "Enabled" пункти:
- "BIOS initiated connection" - це дасть можливість натискати кнопку "Підключення до MPS" (зазвичай називається типу "Запит допомоги у адміністратора", "Enterprise support" тощо) прямо у BIOS, тобто. до завантаження ОС (що дає шанс віддалено вирішити проблему, якщо комп'ютер не завантажується)
- "OS initiated connection" - аналогічна за функціоналом кнопка у Windows
Тепер потрібно додати політику - як спрацьовуватиме зв'язок з MPS-сервером. Зазвичай найпопулярнішим варіантом є "Запит користувача" - "User initiated":
За такої політики АМТ комп'ютера буде відключено для локальної мережі, ніхто до нього не зможе підключитися (через AMT) за визначенням до тих пір, поки користувач сам не "запросить допомоги" - власне реалізувавши принцип CIRA (натиснувши кнопку в BIOS або Windows).
У просунутих випадках (як у мене) такий спосіб не завжди зручний чи взагалі можливий. Наприклад, на аналізованому Lenovo T400 стоїть Windows 8.1, для якої "вже" (т.к. система стара - "офіційно" була розрахована лише на Windows Vista & Windows 7) не реалізували кнопку "виклику підтримки" (хоча все працює, т.к. .к. це апаратна фіча). Тому я для себе в даному випадку використовую "автоматичне підключення" (без запиту користувача):
Тобто. після увімкнення комп'ютера він через п'ять хвилин (300 секунд) намагатиметься підключитися до MPS і більше не відключиться (Tunnel Lifitime = 0).
Зробив такий режим просто для прикладу (насамперед тому, що немає такої кнопки в Windows 8.1) - після окремо розглянемо різні режими підключення, т.к. це дуже складна/проблематична тема.
Далі йде "хитра настройка". Переходимо взакладку "Environment Detection", про яку якось говорили - ось тут її і задіємо.
Перемикаємо її в положення "Enabled" і додаємо якийсь "неіснуючий домен":
Після натискання червоної кнопки ОК - зв'язок із комп'ютером обірветься, т.к. застосовуються правила, які ми щойно поставили. Він порівняє поточний "доменний суфікс", який отримав від DHCP-сервера з прописаним нами ("net.takogo.domena" на зображенні вище). І якщо вони відрізняються (а ми й задавали спеціально неіснуючий – щоб свідомо відрізнявся) – МЕ апаратно закриває всі АМТ-порти і тепер комп'ютер ніяк не доступний AMT (з локальної мережі). Через п'ять хвилин, згідно з заданою мною політикою, він сам "піде" на MPS сервер, який щойно йому прописали і якщо він (MPS-сервер) присутній і коректно налаштований - створить канал зв'язку. Через який тільки буде доступний.
Підключення до АМТ-комп'ютера через MPS за допомогою Командира
Для цього в команді в закладці додавання комп'ютерів ("Network") потрібно додати проміжний MPS-сервер:
У моєму випадку він має такі налаштування:
Тепер на MPS-сервері можна клацнути правою кнопкою "звично" додати вже АМТ-комп'ютер:
Зокрема, з галочкою "Use TLS security" - ми ж налаштували шифрування.
Клацаємо двічі за значком і отримуємо:
В результаті ми підключилися до комп'ютера через проміжний сервер MPS. АМТ-комп'ютер сам створив з'єднання, для цього MPS я використовував 80-й порт, який завжди відкритий (для вихідного з'єднання), тому така схема спрацює скрізь. У цьому є перевага CIRA.