By GRL Team on 五月 29, 2023

遠距工作效率指南 - Intel vPro® Platform  介紹及其Thunderbolt測試

Granite River Labs, GRL
Reese Li

McKinsey Global Institute 的《The future of work after COVID-19》 報告指出,在2020年COVID-19肆虐全球期間,擾亂了全球勞工市場,影響了人們一直以來的工作型態。 「遠距辦公」、「分流辦公」成為了新常態。在這樣的情況下,如何讓員在異地辦公的情況下還能保有高效率?公司部門的IT資源,是否還有能力支援軟硬體管理及維修?這些課題將會是未來各大企業面臨的挑戰。 

簡單介紹Intel vPro® Platform

在遠距辦公尚未形成常態的年代,2006年Intel®推出了Intel vPro®。 Intel vPro是什麼?他是一個專為商務與IT需求而打造的平台,標榜四大指標性功能「效能、安全、 管理、穩定」,為遠距離辦公的需求奠定了基礎,並且在 2011 年完成 Intel用戶端電腦上的Intel vPro部署。Intel vPro平台可透過 Intel主動管理技術 (Intel® Active Management Technology,Inet AMT)以提供頻外的 (Out-Of-Band,OOB)管理,可以遠端執行設備修補, 有效的進行PC機群管理及維護。到了去年推出的第12代Alder Lake處理器搭配上Intel vPro平台,藉由第12代處理器的混合架構更加強化了電腦效能並且提高了生產力。 

Intel vPro® Platform所提供的益處

Intel第12代處理器Alder Lake的混合式架構,效能核心(Performance Core,P-Core)與效率核心(Efficient Core,E-Core)在高效能運算與功耗、發熱之間取得一個平衡,讓使用者可以更自由的執行多工協作以及應用在IT上。 

Alder Lake處理器加上Intel vPro platform設計的電腦,整合了Intel Wi-Fi 6/6E及Thunderbolt4技術;除了提升雲端與協作應用的回應能力,Thunderbolt4技術更可以延伸多個4K螢幕及周邊裝置,並能為筆電進行充電,建立簡潔多工的工作環境。

Intel vPro® Processors處理器的種類  

Intel開發了多種處理器,不管是在電源優化、圖形性能、內存以及外型尺寸的需 求上,都有不同的處理器可給企業及使用者做選擇使用,以下以Intel第13代處理器Rapt or Lake在行動裝置上舉例,哪些處理器上有支援Intel vPro設計,其他相關資訊請至Intel 網站查詢

 

  U 15W P 28W PX 45W H 45W HX 55W
Core i9       i9-13900H i9-13950HX
    i9-13905H i9-13900HK i9-13900HX
Core i7 i7-1365U i7-1370P   i7-13800H i7-13850HX
i7-1355U i7-1360P i7-13705H i7-13700H i7-13700HX
Core i5 i5-1345U i5-1350P   i5-13600H i5-13600HX
i5-1335U i5-1340P i5-13505H i5-13500H i5-13500HX

Intel® Active Management Technology概述

Intel主動管理技術(Active Management Technology,AMT)是Intel vPro的一項功能,他是獨立於作業系統之外運行,為管理和安全應用提供了廣泛的內置功能和外掛程式。 他的存在能讓IT人員能夠更好地發現、修復和保護網路計算資產。即使電腦在關機狀態下,只要仍然與電源線和網絡連接,IT人員仍可以存取Intel AMT,行使遠端操作管理的功能。 

1. 充電埠用途

Intel AMT會透過四個預先定義的 IANA 網路連接埠來傳送及接收資料;分別為16992至16995,以下為四個連接埠定義的功能: 

  • 16992 – HTTP traffic 
  • 16993 – TLS secured HTTPS traffic 
  • 16994 – Serial-over-LAN and IDE Redirect
  • 16995 – TLS Secured Serial-over-LAN and IDE Redirect 

在Intel AMT應用中,如果未置安全性憑證(Transport Layer Security,TLS)時,使用連接埠16992/16994來進行資料傳送及接收;如果配置了安全性憑證則使用連接埠16993/ 16995。安全性憑證並不會影響有效網路流量,換句話說,連接埠16992及16993在傳送及接收資料的流量是相同的,差別只在於使用連接埠16993來傳輸資料首先必須先經過安全性憑證協商。同樣的原理也適用在連接埠16994/16995,只是這兩個連接埠使用專有的二進制協議進行資料傳輸,因此必須透過特殊的軟體才能使用。 

OS接受除了連接埠16992至16995之外的所有數據流量_Intel vPro® Platform1: OS接受除了連接埠16992至16995之外的所有數據流量

(來源:Active Platform Management Demystified: Unleashing the Power of Intel VPro (TM) Technology)

2. 身分認證與授權

當Intel AMT設置之後,會開啟其中兩個連接埠並準備接收來自管理控制端的連接 指令,在這兩個連接埠上,傳輸控制協定(Transmission Control Protocol,TCP)可以隨時建立連線。在接受來自管理控制端的指令之前,Intel AMT會先使用HTTP-Digest或Kerbe ros來執行身分認證以及授權,授權階段會決定哪一方是管理端以及是否有合適權限執行操作,確保資料傳輸過程的安全,防止第三方外部攻擊。 

以下簡單介紹Intel AMT驗證及授權的過程,以配置TLS為例: 

  1. 接收來自連接埠16993的連接 
  2. Intel AMT發送認證到控制端(console)進行驗證 (若無配置TLS,則無此步驟)
  3. Intel AMT檢查控制端是否具有有效且可信的證明 (若無配置TLS,則無此步驟)
  4. 使用HTTP-Digest或Kerberos來執行身分認證及授權 
  5. 如果該使用者不在Intel AMT的授權列表中,則拒絕連接 
  6. 如果該使用者沒有執行操作的權限,則拒絕該項操作 
  7. 執行管理操作 

Intel AMT有哪些操作功能 

那麼Intel AMT可允許獲得授權的IT管理員進行哪些遠端操作呢?以下舉例說明幾個身邊最常應用的例子: 

  • 為設備進行Debug和維修,遠端控制設備開啟、關閉電源以及系統重啟。 ● 遠端查看及變更系統上的 BIOS 設定。 
  • 透過設定篩選網路流量以保護系統。 
  • 查看系統上執行的應用程式 (ex: 防毒軟體是否開啟執行)。 
  • 將開機程序重新導向至位於IT 管理員系統內的映象,進行系統的遠端Debug 和維修。 
  • 設定可存取 Intel AMT管理功能的網路環境。 
  • 透過通用唯一辨識碼(UUID)辨識使用者系統。 
  • 當設備在企業網路外,也能透過用戶端啟動遠端存取(CIRA)設定檔遠端連線 至系統。 

更多其他的應用,請參照Intel® Active Management Technology網站

透過 Thunderbolt 4 運行 Intel vPro®

在Intel發布的Thunderbolt3/4 Host Functional Compliance Test Specification 1.4  中也新增了關於主動管理技術的測項 ― 3.5.6 vPro (AMT),此測項為針對支援vPro的機 台所設計,應用Ethernet over Thunderbolt的功能,通過Thunderbolt cable使用Intel 主動管 理技術。

想要透過Thunderbolt interface實現Intel主動管理技術,除了筆電硬體上必須支援Inte l vPro platform之外,我們還需要準備一支援vPro (AMT)的Thunderbolt 4 Dock。以下將介 紹如何透過一條Thunderbolt cable應用Intel vPro平台,進行遠端的軟硬體維護工作。 

A. 環境架設  

  1. 將有TBT interface的vPro platform筆電使用TBT cable連接一支援vPro (AMT)的TBT4  Dock 
  2. 再將TBT4 Dock使用Ethernat Cable連接至另一台支援vPro (AMT)的筆電 

vPro (AMT)測項環境架設示意圖_Intel vPro® Platform

2: vPro (AMT)測項環境架設示意圖 

B. 機台測試設定  

  1. BIOS 安裝
    1. 進入BIOS設定介面,找到MEBx (Intel® Management Engine BIOS Extension)
    2. 啟用Intel AMT功能選項 
    3. 啟用Intel AMT Configuration功能選項 
    4. 將Network Access State選項調整至Network Active 
  2. 設定靜態 IP 位址
    1. 設定IPv4 Address,將TBT Host1與Host2設定為相同網域 (ex: TBT Host1設定為192.168.1.151,Host2設定為192.168.1.150) 
    2. 儲存設定值並回到OS

C. 執行遠端操控

  1. 在TBT Host1與Host2各自打開瀏覽器 
  2. 在TBT Host1瀏覽器上輸入本機IP address,Host2瀏覽器上TBT Host1 IP address  (ex: TBT Host1輸入localhost:16992,Host2輸入192.168.1.151:16993) 
  3. 成功連接上後,網頁上會出現Intel® Active Management Technology頁面,在TB T Host1的System Status介面可查看設定的本機的IP address 
  4. 在Host2的Intel® Active Management Technology頁面上會有Remote Control介面, 可對TBT Host1執行遠端關機、重開機等操作 
  5. 點選任一操作並按下Send Command,倒數20秒之後便會對TBT Host1執行該項操作 

Figure 3: TBT Host1的Intel AMT介面,可查看設定的本機的IP address_Intel vPro® Platform3: TBT Host1的Intel AMT介面,可查看設定的本機的IP address

Figure 4: Host2的Intel AMT介面,可看到Remote Control的選項_Intel vPro® Platform

4: Host2的Intel AMT介面,可看到Remote Control的選項 

參考資料

Published by GRL Team 五月 29, 2023