Granite River Labs, GRL
Reese Li
McKinsey Global Institute 的《The future of work after COVID-19》 報告指出,在2020年COVID-19肆虐全球期間,擾亂了全球勞工市場,影響了人們一直以來的工作型態。 「遠距辦公」、「分流辦公」成為了新常態。在這樣的情況下,如何讓員在異地辦公的情況下還能保有高效率?公司部門的IT資源,是否還有能力支援軟硬體管理及維修?這些課題將會是未來各大企業面臨的挑戰。
簡單介紹Intel vPro® Platform
在遠距辦公尚未形成常態的年代,2006年Intel®推出了Intel vPro®。 Intel vPro是什麼?他是一個專為商務與IT需求而打造的平台,標榜四大指標性功能「效能、安全、 管理、穩定」,為遠距離辦公的需求奠定了基礎,並且在 2011 年完成 Intel用戶端電腦上的Intel vPro部署。Intel vPro平台可透過 Intel主動管理技術 (Intel® Active Management Technology,Inet AMT)以提供頻外的 (Out-Of-Band,OOB)管理,可以遠端執行設備修補, 有效的進行PC機群管理及維護。到了去年推出的第12代Alder Lake處理器搭配上Intel vPro平台,藉由第12代處理器的混合架構更加強化了電腦效能並且提高了生產力。
Intel vPro® Platform所提供的益處
Intel第12代處理器Alder Lake的混合式架構,效能核心(Performance Core,P-Core)與效率核心(Efficient Core,E-Core)在高效能運算與功耗、發熱之間取得一個平衡,讓使用者可以更自由的執行多工協作以及應用在IT上。
Alder Lake處理器加上Intel vPro platform設計的電腦,整合了Intel Wi-Fi 6/6E及Thunderbolt™4技術;除了提升雲端與協作應用的回應能力,Thunderbolt™4技術更可以延伸多個4K螢幕及周邊裝置,並能為筆電進行充電,建立簡潔多工的工作環境。
Intel vPro® Processors處理器的種類
Intel開發了多種處理器,不管是在電源優化、圖形性能、內存以及外型尺寸的需 求上,都有不同的處理器可給企業及使用者做選擇使用,以下以Intel第13代處理器Rapt or Lake在行動裝置上舉例,哪些處理器上有支援Intel vPro設計,其他相關資訊請至Intel 網站查詢。
U 15W | P 28W | PX 45W | H 45W | HX 55W | |
Core i9 | i9-13900H | i9-13950HX | |||
i9-13905H | i9-13900HK | i9-13900HX | |||
Core i7 | i7-1365U | i7-1370P | i7-13800H | i7-13850HX | |
i7-1355U | i7-1360P | i7-13705H | i7-13700H | i7-13700HX | |
Core i5 | i5-1345U | i5-1350P | i5-13600H | i5-13600HX | |
i5-1335U | i5-1340P | i5-13505H | i5-13500H | i5-13500HX |
Intel® Active Management Technology概述表
Intel主動管理技術(Active Management Technology,AMT)是Intel vPro的一項功能,他是獨立於作業系統之外運行,為管理和安全應用提供了廣泛的內置功能和外掛程式。 他的存在能讓IT人員能夠更好地發現、修復和保護網路計算資產。即使電腦在關機狀態下,只要仍然與電源線和網絡連接,IT人員仍可以存取Intel AMT,行使遠端操作管理的功能。
1. 充電埠用途
Intel AMT會透過四個預先定義的 IANA 網路連接埠來傳送及接收資料;分別為16992至16995,以下為四個連接埠定義的功能:
- 16992 – HTTP traffic
- 16993 – TLS secured HTTPS traffic
- 16994 – Serial-over-LAN and IDE Redirect
- 16995 – TLS Secured Serial-over-LAN and IDE Redirect
在Intel AMT應用中,如果未置安全性憑證(Transport Layer Security,TLS)時,使用連接埠16992/16994來進行資料傳送及接收;如果配置了安全性憑證則使用連接埠16993/ 16995。安全性憑證並不會影響有效網路流量,換句話說,連接埠16992及16993在傳送及接收資料的流量是相同的,差別只在於使用連接埠16993來傳輸資料首先必須先經過安全性憑證協商。同樣的原理也適用在連接埠16994/16995,只是這兩個連接埠使用專有的二進制協議進行資料傳輸,因此必須透過特殊的軟體才能使用。
圖1: OS接受除了連接埠16992至16995之外的所有數據流量
(來源:Active Platform Management Demystified: Unleashing the Power of Intel VPro (TM) Technology)
2. 身分認證與授權
當Intel AMT設置之後,會開啟其中兩個連接埠並準備接收來自管理控制端的連接 指令,在這兩個連接埠上,傳輸控制協定(Transmission Control Protocol,TCP)可以隨時建立連線。在接受來自管理控制端的指令之前,Intel AMT會先使用HTTP-Digest或Kerbe ros來執行身分認證以及授權,授權階段會決定哪一方是管理端以及是否有合適權限執行操作,確保資料傳輸過程的安全,防止第三方外部攻擊。
以下簡單介紹Intel AMT驗證及授權的過程,以配置TLS為例:
- 接收來自連接埠16993的連接
- Intel AMT發送認證到控制端(console)進行驗證 (若無配置TLS,則無此步驟)
- Intel AMT檢查控制端是否具有有效且可信的證明 (若無配置TLS,則無此步驟)
- 使用HTTP-Digest或Kerberos來執行身分認證及授權
- 如果該使用者不在Intel AMT的授權列表中,則拒絕連接
- 如果該使用者沒有執行操作的權限,則拒絕該項操作
- 執行管理操作
Intel AMT有哪些操作功能
那麼Intel AMT可允許獲得授權的IT管理員進行哪些遠端操作呢?以下舉例說明幾個身邊最常應用的例子:
- 為設備進行Debug和維修,遠端控制設備開啟、關閉電源以及系統重啟。 ● 遠端查看及變更系統上的 BIOS 設定。
- 透過設定篩選網路流量以保護系統。
- 查看系統上執行的應用程式 (ex: 防毒軟體是否開啟執行)。
- 將開機程序重新導向至位於IT 管理員系統內的映象,進行系統的遠端Debug 和維修。
- 設定可存取 Intel AMT管理功能的網路環境。
- 透過通用唯一辨識碼(UUID)辨識使用者系統。
- 當設備在企業網路外,也能透過用戶端啟動遠端存取(CIRA)設定檔遠端連線 至系統。
更多其他的應用,請參照Intel® Active Management Technology網站。
透過 Thunderbolt 4 運行 Intel vPro®
在Intel發布的Thunderbolt3/4 Host Functional Compliance Test Specification 1.4 中也新增了關於主動管理技術的測項 ― 3.5.6 vPro (AMT),此測項為針對支援vPro的機 台所設計,應用Ethernet over Thunderbolt的功能,通過Thunderbolt cable使用Intel 主動管 理技術。
想要透過Thunderbolt interface實現Intel主動管理技術,除了筆電硬體上必須支援Inte l vPro platform之外,我們還需要準備一支援vPro (AMT)的Thunderbolt 4 Dock。以下將介 紹如何透過一條Thunderbolt cable應用Intel vPro平台,進行遠端的軟硬體維護工作。
A. 環境架設
- 將有TBT interface的vPro platform筆電使用TBT cable連接一支援vPro (AMT)的TBT4 Dock
- 再將TBT4 Dock使用Ethernat Cable連接至另一台支援vPro (AMT)的筆電
圖2: vPro (AMT)測項環境架設示意圖
B. 機台測試設定
- BIOS 安裝
- 進入BIOS設定介面,找到MEBx (Intel® Management Engine BIOS Extension)
- 啟用Intel AMT功能選項
- 啟用Intel AMT Configuration功能選項
- 將Network Access State選項調整至Network Active
- 設定靜態 IP 位址
- 設定IPv4 Address,將TBT Host1與Host2設定為相同網域 (ex: TBT Host1設定為192.168.1.151,Host2設定為192.168.1.150)
- 儲存設定值並回到OS
C. 執行遠端操控
- 在TBT Host1與Host2各自打開瀏覽器
- 在TBT Host1瀏覽器上輸入本機IP address,Host2瀏覽器上TBT Host1 IP address (ex: TBT Host1輸入localhost:16992,Host2輸入192.168.1.151:16993)
- 成功連接上後,網頁上會出現Intel® Active Management Technology頁面,在TB T Host1的System Status介面可查看設定的本機的IP address
- 在Host2的Intel® Active Management Technology頁面上會有Remote Control介面, 可對TBT Host1執行遠端關機、重開機等操作
- 點選任一操作並按下Send Command,倒數20秒之後便會對TBT Host1執行該項操作
圖3: TBT Host1的Intel AMT介面,可查看設定的本機的IP address
圖4: Host2的Intel AMT介面,可看到Remote Control的選項
參考資料
- Active Platform Management Demystified - Chapter 11: Connecting and Communicating with Intel® Active Management Technology
- Top 8 Reasons the Intel vPro® Platform Is Great for the Remote Workplace
- What Is the Intel vPro® Platform?
- Intel® Active Management Technology
- 618475_Thunderbolt3_4 host certification collateral rev2.7.3