By GRL Team on May 30, 2023

远距工作效率指南 – Intel vPro® Platform Introduction及其Thunderbolt测试

   

2022/12/18 Reese Li  McKinsey Global Institute 的《The future of work after COVID-19》 报告指出,在2020年COVID-19肆虐全球期间,扰乱了全球劳工市场,影响了人们一直以来的工作型态。 「远距办公」、「分流办公」成为了新常态。 在这样的情况下,如何让员在异地办公的情况下还能保有高效率? 公司部门的IT资源,是否还有能力支持软硬件管理及维修? 这些课题将会是未来各大企业面临的挑战。 

简单介绍Intel vPro® Platform

在远距办公尚未形成常态的年代,2006年Intel®推出了Intel vPro®。 Intel vPro是什么? 他是一个专为商务与IT需求而打造的平台,标榜四大指标性功能「效能、安全、 管理、稳定」,为远距离办公的需求奠定了基础,并且在 2011 年完成 Intel客户端电脑上的Intel vPro部署。 Intel vPro平台可通过Intel主动管理技术 (Intel® Active Management Technology,Inet AMT)以提供频外的 (Out-Of-Band,OOB)管理,可以远程执行设备修补, 有效的进行PC机群管理及维护。 到了去年推出的第12代Alder Lake处理器搭配上Intel vPro平台,借由第12代处理器的混合架构更加强化了计算机效能并且提高了生产力。 

Intel vPro® Platform所提供的益处

Intel第12代处理器Alder Lake的混合式架构,效能核心(Performance Core,P-Core)与效率核心(Efficient Core,E-Core)在高效能运算与功耗、发热之间取得一个平衡,让使用者可以更自由的执行多任务协作以及应用在IT上。 Alder Lake处理器加上Intel vPro platform设计的电脑,整合了Intel Wi-Fi 6/6E及Thunderbolt™4技术; 除了提升云端与协作应用的响应能力,Thunderbolt™4技术更可以延伸多个4K屏幕及周边装置,并能为笔电进行充电,建立简洁多工的工作环境。  

Intel vPro® Processors处理器的种类  

Intel开发了多种处理器,不管是在电源优化、图形性能、内存以及外型尺寸的需 求上,都有不同的处理器可给企业及用户做选择使用,以下以Intel第13代处理器Rapt or Lake在行动装置上举例,哪些处理器上有支持Intel vPro设计,其他相关资讯请至Intel 网站查询。 

Intel® Active Management Technology概述表

Intel® Active Management Technology概述

Intel主动管理技术(Active Management Technology,AMT)是Intel vPro的一项功能,他是独立于操作系统之外运行,为管理和安全应用提供了广泛的内置功能和插件。 他的存在能让IT人员能够更好地发现、修复和保护网络计算资产。 即使电脑在关机状态下,只要仍然与电源线和网络连接,IT人员仍可以存取Intel AMT,行使远程操作管理的功能。 
  1. 充电端口用途
Intel AMT会通过四个预定义的 IANA 网络端口来传送及接收数据; 分别为16992至16995,以下为四个接口定义的功能: 
  • 16992 – HTTP traffic 
  • 16993 – TLS secured HTTPS traffic 
  • 16994 – Serial-over-LAN and IDE Redirect
  • 16995 – TLS Secured Serial-over-LAN and IDE Redirect 
在Intel AMT应用中,如果未置安全性凭证(Transport Layer Security,TLS)时,使用端口16992/16994来进行资料传送及接收; 如果配置了安全性凭证则使用端口16993/ 16995。 安全性凭证并不会影响有效网络流量,换句话说,接口16992及16993在传送及接收数据的流量是相同的,差别只在于使用端口16993来传输数据首先必须先经过安全性凭证协商。 同样的原理也适用在端口16994/16995,只是这两个端口使用专有的二进制协议进行数据传输,因此必须透过特殊的软件才能使用。 

OS接受除了接口16992至16995之外的所有数据流量 

图片1: OS接受除了接口16992至16995之外的所有数据流量 

  1. 身份认证与授权
当Intel AMT设置之后,会开启其中两个接口并准备接收来自管理控制端的连接指令,在这两个端口上,传输控制协议(Transmission Control Protocol,TCP)可以随时建立连线。 在接受来自管理控制端的指令之前,Intel AMT会先使用HTTP-Digest或Kerbe ros来执行身份认证以及授权,授权阶段会决定哪一方是管理端以及是否有合适权限执行操作,确保数据传输过程的安全,防止第三方外部攻击。  以下简单介绍Intel AMT验证及授权的过程,以配置TLS为例: 
  1. 接收来自端口16993的连接 
  2. Intel AMT发送认证到控制端(console)进行验证 (若无配置TLS,则无此步骤)
  3. Intel AMT检查控制端是否具有有效且可信的证明 (若无配置TLS,则无此步骤)
  4. 使用HTTP-Digest或Kerberos来执行身份认证及授权 
  5. 如果该用户不在Intel AMT的授权列表中,则拒绝连接 
  6. 如果该用户没有执行操作的权限,则拒绝该项操作 
  7. 执行管理操作 

Intel AMT有哪些操作功能

那么Intel AMT可允许获得授权的IT管理员进行哪些远程操作呢? 以下举例说明几个身边最常应用的例子: 
  • 为设备进行Debug和维修,远程控制设备开启、关闭电源以及系统重启。
  • 远程查看及变更系统上的 BIOS 设定。
  • 透过设定筛选网络流量以保护系统。 
  • 查看系统上执行的应用程序 (ex: 防毒软件是否开启执行)。 
  • 将开机程序重新导向至位于IT 管理员系统内的映象,进行系统的远程Debug 和维修。 
  • 设置可访问Intel AMT管理功能的网络环境。 
  • 透过通用唯一识别码(UUID)辨识用户系统。
  • 当设备在企业网络外,也能通过客户端启动远程访问(CIRA)设定文件远程连接至系统。 
  更多其他的应用,请参照Intel® Active Management Technology网站

透过 Thunderbolt 4 运行 Intel vPro®

在Intel发布的Thunderbolt3/4 Host Functional Compliance Test Specification 1.4 中也新增了关于主动管理技术的测项 ― 3.5.6 vPro (AMT),此测项为针对支持vPro的机 台所设计,应用Ethernet over Thunderbolt的功能,通过Thunderbolt cable使用Intel 主动管 理技术。 想要通过Thunderbolt interface实现Intel主动管理技术,除了笔记本电脑硬件上必须支持Inte l vPro platform之外,我们还需要准备一支持vPro (AMT)的Thunderbolt 4 Dock。 以下将介 绍如何通过一条Thunderbolt cable应用Intel vPro平台,进行远程的软硬件维护工作。 
  1. 环境架设  
    1. 将有TBT interface的vPro platform笔电使用TBT cable连接一支持vPro (AMT)的TBT4 Dock 
    2. 再将TBT4 Dock使用Ethernat Cable连接至另一台支持vPro (AMT)的笔电 

vPro (AMT) 测项环境架设示意图

图片 2: vPro (AMT) 测项环境架设示意图

  1. 机台测试设定
    1. BIOS 安装
      1. 进入BIOS配置界面,找到MEBx (Intel® Management Engine BIOS Extension)
      2. 启用Intel AMT功能选项 
      3. 启用Intel AMT Configuration功能选项 
      4. 将Network Access State选项调整至Network Active
  2. 设定静态 IP 地址
    1. 设定IPv4 Address,将TBT Host1与Host2设定为相同域 (ex:TBT Host1设定为192.168.1.151,Host2设定为192.168.1.150)
    2. 存储设置并回到OS
  3. 执行远程操控
    1. 在TBT Host1与Host2各自打开浏览器 
    2. 在TBT Host1浏览器上输入本机IP address,Host2浏览器上TBT Host1 IP address (ex: TBT Host1输入localhost:16992,Host2输入192.168.1.151:16993) 
    3. 成功连接上后,网页上会出现Intel® Active Management Technology页面,在TB T Host1的System Status接口可查看设置的本机的IP address 
    4. 在Host2的Intel® Active Management Technology页面上会有Remote Control接口, 可对TBT Host1执行远程关机、重开机等操作
    5. 点击任一操作并按下Send Command,倒数20秒之后便会对TBT Host1执行该项操作 

Figure 3: TBT Host1的Intel AMT接口,可查看设定的本机的IP address

图片3: TBT Host1的Intel AMT接口,可查看设定的本机的IP address

Host2的Intel AMT接口,可看到Remote Control的选项 

图片4: Host2的Intel AMT接口,可看到Remote Control的选项 

参考资料

  • Active Platform Management Demystified – Chapter 11: Connecting and Communicating with Intel® Active Management Technology  
  • Top 8 Reasons the Intel vPro® Platform Is Great for the Remote Workplace: https://www.intel.com/content/www/us/en/architecture-and-technology/vpro/resources/vpro-top-8-reasons-remote-workplace-solution-brief.html 
  • What Is the Intel vPro® Platform?: https://www.intel.com/content/www/us/en/architecture-and-technology/vpro/what-is-vpro.html?wapkw=vpro
  • Intel® Active Management Technology: https://www.intel.com/content/www/us/en/privacy/intel-active-technology-vpro.html 
  • 618475_Thunderbolt3_4 host certification collateral rev2.7.3 

Published by GRL Team May 30, 2023

Related Post