Intel VPro, AMT, ME, MEBx

13 mayo 2011 at 13:30 by Adrián Pérez

Intel VPRO
Cuando te pones a investigar sobre VPro, aparecen muchos otros términos relacionados, y no acabas (por lo menos yo) de entender exactamente a qué hace referencia cada uno de ellos. Por esta razón, he decidido escribir este post, a ver si así me aclaro un poco los conceptos con lo que voy recogiendo de Internet.

Primero, ¿de qué estamos hablando?

Hablamos de una tecnología que permite maximizar la seguridad y mejorar la gestión del PC, recopilando información de inventario, diagnosticando problemas y ofreciendo diversos servicios de forma remota (encendido y apagado del PC, acceso a la BIOS, protección frente a amenazas, etc.).

Fuente: http://download.lenovo.com/ibmdl/pub/pc/pccbbs/thinkservers/00685mst_sp.pdf

Tal y como se lee en la página oficial de Vpro, ésta tecnología ofrece las siguientes funcionalidades:

  • Permitir a los técnicos de IT, desplegar rápidamente parches de seguridad, desbloquear remotamente discos cifrados, y gestionar configuraciones de seguridad de los datos.
  • Proporcionar al personal de Helpdesk, control completo sobre un PC, con funcionalidades como el KVM Remote Control.
  • Permitir de forma remota, solucionar problemas y reparar PCs.
  • Acelerar el cifrado/descifrado de datos, mejorando la productividad del usuario, mediante Intel® AES New Instructions (Intel® AES-NI).
  • Reducir significativamente, el acceso no autorizado a datos sensibles en portátiles extraviados usando Intel® Anti-Theft Technology (Intel® AT).

Fuente: http://www.intel.com/technology/vpro/index.htm

Glosario

Intel VPro

Intel VPro, es una tecnología que ofrece una serie de opciones de seguridad y gestión, que se incorporan en la segunda generación de procesadores Intel Core, Intel® chipsets, y adaptadores de red. Así pues, es una tecnología que depende del hardware de la máquina (el PC deberá contar con estos elementos VPro).

Una des las funcionalidades de Intel VPro, es Intel AMT.

Intel AMT

Intel AMT permite descubrir, reparar y proteger las máquinas de la red.

  • Descubrir máquinas de la red, incluso apagadas, accediendo a la información del hardware y software almacenada en la memoria no volátil de la máquina.
  • Reparar sistemas a distancia tras fallos del sistema operativo. Incorpora, además, de un sistema de avisos y registro de eventos.
  • Proteger la red, conteniendo a las máquinas infectadas antes de que el problema se extienda. Permite además, mantener actualizado el sistema, así como la protección contra virus.

Intel Management Engine (ME) es un recurso informático, aislado y protegido que se ejecuta en un servidor Intel AMT.

Fuente: http://www.intel.com/espanol/technology/platform-technology/intel-amt/index.htm

Intel ME / MEBx

Intel® Management Engine BIOS Extension (MEBx) proporciona opciones de configuración a nivel de plataforma para poder configurar el Management Engine (ME). Las opciones incluyen la activación y desactivación de funciones individuales y el ajuste de las configuraciones de energía.

Fuente: http://support.dell.com/support/edocs/systems/latd630/sp/AMT/MEBX.htm

 

Tengo Vpro, ¿qué tengo que hacer?

Lo primero de todo, es activar iAMT. En mi caso, he entrado en la interfaz de usuario de configuración de la MEBx, pulsando <Ctrl> + p durante el arranque del equipo. También se puede acceder mediante la correspondiente opción en el menú “Boot options“ al que se puede llegar también durante el proceso de arranque del sistema.

Una vez dentro, he seguido los pasos descritos a continuación:

  1. Introducir la contraseña por defecto “admin”.
  2. Cambiar el password, por uno que tenga una combinación de mayúsculas, minúsculas, caracteres especiales y números, así como un mínimo de 8 caracteres de longitud. De otra forma, podría aparecer el mensaje de error “Error - Intel(R) ME password change rejected” impidiéndonos el cambio de password.
  3. Posteriormente, en el menú principal de MEBx, seleccionar Intel(R) Standard Manegeability Configurator, con los valores necesarios, que dependerán de si la IP se asignará por DHCP o tendrá una IP fija. Si se mantienen los valores por defecto (DHCP), únicamente se necesitará definir
    1. Host Name: Deberá ser el mismo que el nombre de equipo del sistema operativo
    2. TCP/IP: Donde se deberá pulsar “N” para no cambiar el DHCP, y posteriormente definir el dominio al que pertenece la máquina.

NOTA: Dependiendo del tipo de gestión que se desee realizar, se deberá seleccionar “Small Business” o “Enterprise”, bajo la opción “Provision Model”. En mi caso, he cambiado a “Small Business”, lo cual también habilita la página web de administración, por defecto.

Con esto, se habrá definido la máquina para funcionar con iAMT.

¿Qué pasa si no funciona?

  1. Se deberá repasar la configuración de MEBx, siguiendo estos dos documentos (según la versión de MEBx de que se disponga):
    1. ME v2.5 → http://support.dell.com/support/edocs/systems/latd630/sp/AMT/MEBX.htm#state
    2. ME v.4 → http://support.dell.com/support/edocs/systems/xlob/iamt/en/procedure_smb.htm
  2. También se deberá repasar la configuración del Intel(R) Standard Manegeability Configurator, tanto si se quiere usar DHCP como si se quiere definir una IP estática para la máquina.

DHCP

  • Host Name: IntelAMT (Este es el mismo que el nombre de equipo del sistema operativo)
  • TCP/IP:
    • DCHP: Enabled
    • Domain name: domain.com
  • Provission model: Small business
  • SOL/IDE-R: Enabled
  • Secure FW Update: Enabled

 

IP Estática

  • Host Name: IntelAMT (Este es el mismo que el nombre de equipo del sistema operativo)
  • TCP/IP:
    • DCHP: Disabled
    • IP Address: 192.168.1.94
    • Mask: 255.255.255.0
    • Default gateway: 192.168.1.1
    • DNS primary: 192.168.1.2
    • DNS seconday: 192.168.1.3
    • Domain name: domain.com
  • Provission model: Small business
  • SOL/IDE-R: Enabled
  • Secure FW Update: Enabled

 

Creo que está habilitado, ¿cómo lo compruebo?

Buena pregunta. Si hemos seleccionado “small business” en “provission model”, bastará con abrir un navegador desde otro PC de la red, y acceder a http://ipmaquinavpro:16992

FUENTE: http://support.dell.com/support/edocs/systems/xlob/iAMT/sp/webgui.htm

Si todo va bien, aparecerá la página de bienvenida de Intel® Management & Security Application, a la que podremos loguearnos introduciéndo como usuario “admin” y como password, la contraseña definida para entrar al MEBx.

Otra opción, es utilizar algún programa de gestión, que permita aprovechar las características de Vpro, como encender o apagar remotamente una máquina, o entrar en la BIOS de la misma.

 

¿Qué hay en la web?

En la web Intel® Management & Security Application de la máquina con Vpro, se mostrará la siguiente información (datos sacados de la versión 5 de MEBx):

  • Estado del sistema:
    • Máquina encendida o apagada
    • Direcicón IP
    • System ID
    • Fecha y hora
  • Información de Hardware
    • Sistema
      • Información sobre la plataforma (modelo del PC, fabricante, número de serie, etc.)
      • Información sobre la placa base (fabricante, versión, número de serie, etc.)
      • Información sobre la BIOS (versión, funciones soportadas, etc.)
    • Procesador
      • Mostrando los diferentes procesadores
      • Fabricante, familia, velocidad, etc.
    • Memoria
      • Dividido por módulos
      • Velocidad, tipo, tamaño, fabricante, etc.
    • Disco
      • Mostrando los diferentes discos
      • Modelo, número de serie y tamaño.
  • Event Log
    • Contiene eventos importantes, como fallos de autenticación en la máquina
  • Control remoto
    • Permite,
      • Apagar la máquina,
      • Apagarla, y después encenderla
      • Reiniciarla
  • Políticas de energía
    • Permite seleccionar la política de energía para configurar cuando se enciende el ME cuando la máquina está en estados de reposo. Esto es especialmente importante si se quieren tener las funciones de:
      • Encendido
      • Iniciar con BIOS (si el PC está apagado / en reposo)
      • Iniciar desde red, imagen, cd, etc. (si el PC está apagado / en reposo)
    • Las opciones de energía son las siguientes:
      • ON in S0: ME y iAMT estarán disponibles cuando la máquina esté encendida (incluso si la máquina es un portátil no conectado a la corriente, funcionando con la batería).
      • ON in S0, S3/AC: además, estarán disponibles en modo reposo (S3), siempre que la máquina esté conectada a la corriente.
      • ON in S0, S3/AC, S4-5/AC: incluye disponibilidad con la máquina apagada, siempre que esta esté conectada a la corriente.
      • WoL (Wake on Lan): añade la opción de poder encender la máquina cuando está apagada o en reposo, mediante un paquete ARP, ICMP o de gestión.
    • Fuente: http://software.intel.com/sites/manageability/AMT_Implementation_and_Reference_Guide/default.htm?turl=WordDocuments%2Fsupportformultiplepowerpolicies.htm
  • Network settings
    • Muestra y permite gestionar el nombre de la máquina, dominio, y parámetros de red (IP, máscara, etc.).
    • También permite introducir el TAG ID de la VLAN a la que pertenece la máquina (si pertenece a alguna).
  • User accounts
    • Permite añadir y gestionar cuentas de usuario con acceso a esta información.

 

Más información

Guía del administrador AMT (online) http://support.dell.com/support/edocs/systems/xlob/iAMT/sp/index.htm

Página oficial de Intel VPro http://www.intel.com/technology/vpro/index.ht m