根據Gartner研究小組的調查,企業用於日常IT設備的維護費用,占IT部門預算的91%以上。而讓維修成本提高的主因,便是人員移動及人事費用支出。利用Intel vPro AMT技術,可解決超過90%的軟體問題,同時將網路安全延伸至個人電腦,填補資安防護的「最後一哩」。
英特爾商用電腦新平臺vPro
英特爾在2006年9月推出vPro這個針對商用個人電腦設計的平臺,它就像是英特爾的筆記型電腦平臺Centrino一樣,由多個硬體元件與技術所組成的一個電腦平臺,它可以讓電腦資產盤點及遠端管理電腦做得更好。
AMT強化資訊安全管理
AMT中包括許多功能,例如硬體盤點、電源管理及系統警示等,從維護個人電腦後續問題的角度出發,解決個人電腦問題,與資產管理的概念相同,因此資產管理更能將AMT技術發揚光大。
哪些產品支援vPro
AMT 2.1版主要能提升遠端管理的便利性,以及網路控管的安全性,因此支援AMT技術的軟體供應商,也以資產管理與資安廠商為主。
Intel vPro AMT遠端控管功能實測
我們以HP Compaq dc7700p SFF和宏碁Veriton 6900兩臺vPro電腦,搭配Intel DTK管理工具,以及旭辰SmartIT資產管理軟體,實際測試AMT 2.1版的各種功能,同時藉此了解目前市面上在應用vPro時,可能遭遇的問題。「Intel vPro電腦,可以將死的資產,變成活的資產。」臺北市政府捷運工程局技術發展處幫工程司簡維德,在測試過vPro電腦後這麼說。對於必須管理50多個據點的臺北捷運局而言,他認為,vPro電腦可以讓電腦資產盤點及遠端管理電腦做得更好。
臺北捷運局總共有50多個散布在大臺北地區的工務據點,要管轄的電腦總計超過1,700臺,然而臺北捷運局卻只有2位管理人員,於是臺北捷運局採用遠端管理與資產管理軟體,讓2位IT人員擁有完成這艱鉅管理任務的利器,不必親臨電腦事故現場,即可在遠端管理維護。
目前臺北捷運局的上千臺電腦都有安裝資產管理程式,IT人員透過資產管理系統,就可以掌握已經開機連線電腦的狀態。當員工發現電腦有問題時,只需要啟動回報程式,IT人員就會接獲通知,由遠端登入該電腦,為使用者排除問題。
但是,如果電腦沒有開機,那麼IT人員就無法由遠端控制電腦。例如作業系統無法開啟,則IT人員仍然必須到現場排除狀況,因為資產管理軟體及遠端管理軟體都必須依賴作業系統來運作。如果電腦長時間不用,資產管理軟體也就無法詳細掌握該電腦的動態。
長久下來,資產管理軟體所掌握到的資訊充其量也只是「死的資訊」罷了;試想臺北捷運局所擁有的1,700臺電腦,其中一定有許多不常開機的「死資產」,若要徹底盤點,仍然必須依賴這2位IT人員跑遍50多個據點逐一清查,如此資產管理軟體的價值未免大打折扣。
目前有些電腦已經內建網路開機的功能(需要主機板、網路卡、電源供應器、BIOS與軟體的配合),搭配現今常用的遠端管理軟體,如VNC、Symantec pcAnywhere,只要網路連線正常,而電腦也接上了電源線,就可以做到由遠端直接開啟電腦,待作業系統啟動後,即可由遠端管控整臺電腦。
然而,目前這個架構仍有一個難以解決的致命點,若電腦故障以至於無法正常開機,作業系統不能啟動,則遠端管理也是英雄無用武之地。臺北捷運局所面臨的狀況即是如此,這個致命點直指個人電腦遠端管理長久以來缺乏獨立於主系統的Out-of-Band管理機制。
在伺服器產品上,已經不乏Out-of-Band管理機制,不過大部分的廠商都有自己的一套作法,各自採行不同的管理軟體。而英特爾的vPro平臺,最重要的就是將Out-of-Band管理機制帶到個人電腦。
英特爾商用電腦新平臺vPro
英特爾在2006年9月推出vPro這個針對商用個人電腦設計的平臺,它就像是英特爾的筆記型電腦平臺Centrino一樣,由多個硬體元件與技術所組成的一個電腦平臺。
在硬體架構上,vPro平臺需要5個專屬硬體元件的配合,才能發揮完整功能。其中,處理器必須支援64位元及Intel VT虛擬化技術,而北橋晶片組必須內建vPro核心元件──Intel ME(Management Engine),南橋晶片則必須是ICH8 DO,而為了能夠在不開機狀態下管控電腦,還必須搭配特定的網路卡,目前英特爾採用Intel 82566DN GbE網路晶片組。在軟體架構上,管理軟體也必須要支援vPro,英特爾針對開發人員提供了vPro開發套件──Intel AMT DTK(Developer Tool Kit )。
在現階段的vPro平臺應用中,最重要的就是Intel AMT(Active Management Technology,主動管理技術),這也是遠端管理vPro電腦的最主要訴求。Intel AMT必須搭配北橋晶片Q965(內建Intel ME)與南橋晶片ICH8 DO。
Intel ME類似主機板上另一個BIOS,而AMT則可控制Intel ME的運作方式,軟體供應商也能依據AMT的技術規範開發管理軟體,藉由透過網路控制個人電腦中的Intel ME,就能遠端管理個人電腦。在這個獨立於作業系統之外的管理架構下,個人電腦甚至不需要安裝任何代理程式。
為了確保遠端管理的安全性,管理軟體與vPro電腦的通訊過程,全程採用TLS(Transport Layer Security)加密,類似在中間建立VPN通道,而且此通道只有符合AMT規範的管理軟體才能存取,一般網路軟體並無法察覺,讓駭客不易利用此管道登入電腦。此外,更重要的是,Intel ME是由硬體處理,並非作業系統上的應用服務,獨立於作業系統運作之外,也不會影響使用者操作電腦。
vPro目前主要應用於資產盤點
AMT中包括許多功能,例如硬體盤點、電源管理及系統警示等,從維護個人電腦後續問題的角度出發,解決個人電腦問題,與資產管理的概念相同,因此資產管理更能將AMT技術發揚光大。
在vPro的設計概念下,從設備盤點、到資產使用年限管理、甚至包括安全防護、及遠端遙控維護等,英特爾希望能在資產管理系統中,同時解決所有用戶端電腦發生的問題,因此能應用的範圍就很廣,較能發揮AMT的效益。
一般資產管理軟體需要在電腦安裝代理程式,藉此程式收集電腦軟、硬體資訊,再回報給管理軟體分析。但若個人電腦長時間沒有連上網路,則管理軟體很難辨識該電腦的狀況,是沒有開機?還是已遭竊?然而,由於AMT是透過硬體來掌握設備資訊,即便vPro電腦沒開機,只要接上電源線,網路線能通,AMT就能運作。
在電腦開機的情況下,當資產管理系統在收集vPro電腦硬體資料時,南橋晶片ICH8 DO會將收集到的電腦I/O輸出入設備的資訊(例如設備名稱、型號),透過網路回傳至資產管理系統。不過AMT只能收集硬體的資料,並無法收集軟體的資料。對於軟體資產,還是需要透過資產管理軟體代理程式來收集資訊。
開發支援vPro的資產管理軟體廠商旭辰資訊,其軟體研發部總監陳欣玄亦認為,AMT最佳功能就是SOL(Serial over LAN)及IDE-R(IDE Redirection)。
目前資產管理系統最難克服的就是,在電腦開機初期進行的系統自我測試(POST)及BIOS設定過程中,難以取得相關資訊。SOL則能從電腦一開機就開始管理,甚至可以操作BIOS設定,而IDE-R則能將本機光碟機或影像檔掛載到遠端的vPro電腦中,讓vPro電腦直接從像影檔開機,甚至遠端安裝作業系統,就像IT人員親自到現場使用一般,在此同時,電腦使用者也能在螢幕上看到IT人員操作電腦的過程,只是此時電腦的操作主導權掌握在遠端遙控的IT人員手上。AMT強化資訊安全管理
AMT與Intel 82566DN GbE網路晶片的搭配,還有一項技術是與資訊安全關係密切,就是網路中斷(System Defense)功能,主要是ICH8 DO內建有過濾器,能處理輸出入各32組資料,當網路晶片察覺流量異常時,就能自動中斷連線,避免安全威脅擴大,進而影響到其他正常運作的電腦。
AMT的網路中斷技術能避免電腦間相互感染病毒。類似Cisco NAC、Microsoft NAP的概念,只是AMT直接從硬體下手,只要個人電腦遭受像網路蠕蟲攻擊,而造成異常流量時,網路晶片就能由網路實體層直接封鎖連線,不過,管理系統依然能透過AMT與vPro電腦連線,並不影響管理人員操作行為。
另一方面,安裝在個人電腦的代理程式,也會透過AMT定時發送訊息,通知代理程式最新的狀態,一旦這個固定發報訊息中斷,也就代表電腦可能遭受到惡意程式攻擊,vPro電腦也會因而自動中斷網路連線。當然,所有行為都會被記錄下來,一旦某一個行為被判定為危險,AMT也會發出警示訊息,通知管理人員注意。
管理軟體擴充AMT模組,就能管理vPro電腦
使用vPro AMT的前提是,企業要採用支援vPro的個人電腦及管理軟體。然而,企業或許不會為了個人電腦,而更換目前使用良好的管理系統。為解決此問題,Intel也與國際軟體開發商合作,將AMT技術應用到各種企業管理軟體中(例如Microsoft、CA及HP等),這些管理軟體涵蓋了系統、資產及資安等不同層面。只要在這些管理系統上新增支援AMT的模組,就能直接將vPro電腦納入管轄範圍內。
以Microsoft Systems Management Server 2003為例,只要再安裝微軟網站所提供的SMSAMTAdd-onInstaller.exe程式,不需要更新管理軟體,就能遠端管理vPro電腦。
目前搭配vPro的軟體多為資產管理系統,不過未來支援的種類會更多,例如,資訊安全廠商趨勢科技就預計2007年底推出的Office Scan新版本,將增加支援AMT 3.0的模組,未來只需要在新版Office Scan伺服器端安裝AMT模組,就能遠端管理vPro電腦。
AMT技術更新快,軟體廠商苦追在後
雖然我們談了許多vPro AMT技術的特點,然而以臺灣軟硬體供應商目前的情況來看,現在vPro電腦不一定能順利使用AMT的功能,因為英特爾的AMT版本仍持續更新,而軟體廠商就必須也得保持跟英特爾一樣的步調來更新,否則AMT功能可能不會有作用。
在我們實測vPro電腦的過程中,就需要更新Intel ME,以及BIOS的最新版本,如此才能正常運作,而這就必須要依賴英特爾、BIOS廠商及主機板廠商的相互配合。然而,若英特爾的AMT版本更新太快,主機板及BIOS廠商跟不上,使用AMT就會困難重重。
英特爾行銷部專案經理莊蓓瑜表示,AMT是韌體,總是會不斷改版推新功能,因此AMT版本會一直更新,而現在vPro電腦多數搭載的AMT 2.1版,在功能上是較為穩定的。
至於BIOS,則端視電腦而定,甚至同一家廠商的電腦也都不盡相同,因而必須要認定機種型號。以我們測試的HP Compaq dc7700p SFF及宏碁Veriton 6900為例,一開始無法順利執行AMT的問題,都是BIOS及AMT版本較舊,最後只需要到官方網站更新最新版本,就可以解決。
管理軟體的部分,目前管理軟體大多會相容AMT的各個版本,但因為AMT的功能需要軟硬體配合,若多臺vPro電腦的AMT版本不同,可能有些電腦就無法落實特定AMT管理功能。
現階段不論軟硬體,都在持續改進調校的過程中,以旭辰SmartIT為例,例如嚴重事件的警示資訊,只有出現WatchDog 2,指出問題類型,但未描述問題的狀況。旭辰表示,這個問題關係到英特爾的支援程度,目前已在處理,未來新版本就會解決這個問題。
目前旭辰、亞仕及淩群都已經推出支援vPro的相關管理軟體,而CA、Symantec及趨勢等,大多要到今年的下半年。
vPro的下一步:強化無線網路及安全憑證
英特爾預計在今年年中發表的AMT 3.0版,將增加憑證(Certification)及CSC(Setup and Configuration Server),將來管理軟體可直接在vPro電腦的硬體層級加入憑證,利用憑證確保管理者身分,而CSC最好的效果,就是能一次派送所有設定資料給每臺vPro電腦,不用像現在一次只能設定單臺電腦。
AMT 3.0的推出後,開始有廠商打算支援Intel VT(Virtualization Technology)虛擬化技術,例如趨勢科技計畫將Intel VT載入防毒引擎,以避免像Rootkit之類的攻擊。對於能寄居在系統核心層級的Rootkit,現在的防毒軟體無法完全清除,但在VT內的防毒引擎則能在作業系統啟動前,先阻止Rootkit在系統核心執行,再交給電腦的防毒軟體清除,更能有效防護。
此外,具備AMT技術的vPro電腦,也讓桌面委外服務商有更多的空間,例如EDS,企業可以將個人電腦委外給EDS服務,而IT部門除了減少人力及時間處理複雜的個人電腦問題,更能專注於開發新服務。
對於無IT人員的企業,雖然可能已經將IT委外給經銷商處理,但當員工的電腦無法順利啟動時,經銷商還是必須派人親自到場處理,然而在vPro平臺下,經銷商可先透過網路,遠端初步診斷vPro電腦問題,再提供進階處理,也能讓企業營運不中斷。文⊙蘇碩鈞哪些產品支援vPro
雖然Intel vPro平臺主要包含了虛擬化技術(Virtualization Technology,VT)、主動式遠端管理技術(Intel Active Management Technology,AMT),以及Q965晶片組三個主要元件,但由於AMT 3.0版才有較多應用VT技術的功能,因此目前臺灣的軟體供應商,仍以整合AMT 2.1版為大宗。
根據Intel提供的合作廠商名冊,以及我們實際走訪的結果,AMT 2.1版主要能提升遠端管理的便利性,以及網路控管的安全性,因此支援AMT技術的軟體供應商,也以資產管理與資安廠商為主。其中資產軟體供應商包含CA、HP、Microsoft、Symantec Altiris、旭辰資訊、以及凌群電腦 等6家。大多應用AMT的Power Management、SOL(Serial-over-LAN)、IDE-R(Integrated Drive Electronics Redirect)、Inventory,以及System Alert等功能,以滿足隨時隨地皆可執行資產盤點的需求,同時也能更彈性地安排軟體派送或部署的時間,進而提升工作效率。
推出資安相關產品的則有Check Point、亞仕資訊和趨勢科技。主要整合AMT的System Defense主動截斷技術,使得企業網路安全性的保護機制,從路由器或防火牆等中介設備,延伸至網路末端的個人電腦上,不但減少危機處理所需的反應時間,也能降低一旦區域網路內有電腦遭受攻擊,其他使用者也一併受害的風險。
有別於資產管理與資安廠商,CA和東石資訊也分別推出了採用AMT技術的系統管理工具,以及備份還原軟體。藉由AMT的System Alert及Power Management等技術,擴展產品的應用範圍。
此外由於vPro平臺採用的Q965晶片,以及Core 2 Duo雙核心處理器,能提升畫面顯示、音源輸出及網路傳輸等效能。因此許多未使用AMT技術的廠商,也利用vPro平臺在性能上的改進,推出與多媒體有關的產品更新版。如Adobe的通訊軟體Connect、Microsoft的作業系統Windows Vista、Skype,以及EDS的企業流程委外服務等。
至於硬體廠商方面,由於主機板晶片組要能符合vPro認証,就必須使用北橋Q965與南橋ICH8DO晶片組的搭配,因此產品差異性就不如軟體來得明顯。目前市面上的個人電腦品牌中,有推出vPro平臺產品的計有Dell、HP、Lenovo、大眾、宏碁、聯強及捷元等7家廠商,分別推出至少一款vPro電腦供企業選擇。但由於各品牌vPro電腦搭配的管理軟體不盡相同,因此用戶也應盡量選購同一品牌的vPro電腦,以利日後統一控管。
除了個人電腦外,主機板供應商也推出搭載Q965晶片組的產品,如Foxconn Q9657MC-8KRS2H、技喜GA-965QM-DS2、華碩P5B-VM DO、微星Q965MDO,以及精英電腦的OEM/ODM產品。用戶若有測試或研究需求,須自行組裝vPro電腦時,亦可選擇上述相關主機板型號。文⊙李世平
|
vPro必備的5個硬體組件 |
||||||||||||||||||||
個人電腦的硬體要有5個條件才能稱為vPro平臺,首先是處理器要支援虛擬技術,第二則是要具備Intel ME的北橋晶片,第三是南橋晶片要支援Intel AMT(主動管理技術),第四是能透過AMT寫入的Flash ROM,最後網路晶片要支援OOB(Out Of Band),能載入2祖IP Address。上述條件缺一不可,目前要取得vPro平臺認證,只能使用Intel Core 2 Duo處理器、Intel Q965及ICH8 DO晶片、及Intel 82566DN GbE網路晶片。
|
||||||||||||||||||||
Intel vPro AMT遠端控管功能實測
為了瞭解Intel vPro AMT(Active Management Technology)功能實際應用的情況,我們以HP Compaq dc7700p SFF和宏碁Veriton 6900兩臺vPro電腦,搭配Intel DTK管理工具,以及旭辰SmartIT資產管理軟體,實際測試AMT 2.1版的各種功能,同時藉此了解目前市面上在應用vPro時,可能遭遇的問題。
根據我們實測的結果,Intel vPro AMT 2.1版提供的功能已相當實用,ME和BIOS的相容性問題,也僅需更新韌體後便能解決。此外使用者自行設定ME及AMT的過程原本就不困難,透過Zero-Touch大量部署亦更能符合企業需求。因此我們可以推論,在硬體及韌體的支援性方面,未來會漸趨穩定。
然而以目前軟體供應商的策略,大多仍只使用Power Management等少部分功能。且由於支援的軟體數量仍嫌不足,因此許多已建置資產管理系統的企業,對於需導入新軟體才能使用vPro的完整功能,也抱持觀望態度。未來若軟體商能提供更多支援vPro的產品,從企業及IT管理人員的角度來看,應該會是節省維修時間與成本的一大利器。
開啟AMT功能前應先確定BIOS與ME版本
我們這次借測的HP Compaq dc7700p SFF和宏碁Veriton 6900,皆為桌上型電腦,因此我們測試的AMT版本為2.1版,並未使用專為筆記型電腦新增無線網路控管的2.5版。在一般企業採購vPro電腦的情況下,出廠時供應商會先將AMT設定都調校至可運行狀態再出貨,免除自行手動設定的麻煩。但我們借測時並未要求HP及宏碁提供調校服務,以完整了解AMT的設定過程,以及其中會遇到的問題。
要管理AMT,就必須透過Intel的管理引擎(Management Engine,ME),目前ME的版本為2.1.22,已可管理AMT 2.5版,並向下相容至AMT 2.0版。此外在AMT 2.0版推出時,曾大幅翻新許多設定與程式碼,因此ME 2.1並無法控管AMT 1.0。以我們使用的dc7700p和Veriton 6900為例,由於出廠時間較早,而當時的BIOS版本和ME之間仍存在相容性的問題,所以剛開始我們並不能從遠端找到Veriton 6900。此外在使用AMT遠端操控dc7700p時,也發生部分功能無法使用,且一旦以遠端登入管理,本地端的鍵盤及滑鼠等設備便無法運作等情形。
在詢問相關技術人員後,我們將Veriton 6900寄回宏碁要求更新BIOS及ME版本,同時自行至HP網站下載BIOS與ME韌體更新檔,以解決相容性問題。未來宏碁也會將更新BIOS的版本置於官方網站,使用者便可自行下載更新。更新ME時用戶從遠端以瀏覽器登入更新即可,而BIOS則可在Windows作業系統下,利用原廠提供的軟體更新。
ME設定須注意密碼與主機名稱
BIOS更新成功後,接下來還得要設定ME的各項參數,才能使用AMT。欲進入ME的設定畫面,用戶必須在開機自我測試(Power-On Self Test,POST)結束後,快速按下Ctrl+P。首次進入ME設定畫面,系統會要求變更ME管理密碼(預設密碼為「admin」),此時用戶設定的新密碼須符合Strong Password原則,否則系統會要求重新設定。
設定畫面包含ME設定(ME Configuration)、AMT設定(AMT Configuration)及密碼變更三個項目。ME設定主要提供管理員調整電源管理、遠端韌體更新權限等,變更ME設定完成後,系統需重新開機後才會套用新設定。AMT設定則是AMT各項功能的管理,也是我們主要需設定的部分。進入AMT設定後,首先要決定主機名稱(Host Name),以便遠端管理主機控管。接著就是要決定受控端電腦的IP位置,管理員可選擇手動設定固定IP,或以DHCP自動指派,而無論使用何種IP設定方式,都要先建立一個名稱給受控端電腦,屆時管理端將依據主機名稱與電腦名稱,判斷該管理哪臺電腦,這也表示,若沒有設定名稱是無法使用AMT功能的。
此外我們也必須在AMT設定中,將ME的版本從預設的企業模式(Enterprise Mode,EM),切換至中小型商務模式(Small/Medium Business Mode,SMB)。企業模式與中小型商務模式主要的差異在於,企業模式提供TLS(Transport Layer Security)安全性加密,以及大量部暑vPro電腦所需的快速設定功能(Zero-Touch)。用戶或供應商可利用Zero-Touch,自動完成多臺vPro電腦的ME及AMT設定,以節省IT人員的時間。但因我們使用的AMT 2.1版並不具備此功能,且受控端電腦數量較少,所以選擇不需架設管理伺服器(Setup and Configuration Server,SCS)的SMB模式,設定過程較為簡便。
依EM及SMB模式的功能差異選擇不同管理工具
受控端電腦設定完成後,管理端電腦安裝Intel DTK即可使用AMT的各項功能。Intel DTK包含5個小程式,其中以AMT Commander和AMT Director兩套管理工具最為重要。AMT Director需在裝設有SCS的EM模式真實環境中使用,才能完整發揮如Zero-Touch等功能,而AMT Commander則允許測試人員直接與vPro電腦連線。
開啟AMT Commander後,首先要指定欲搜尋的電腦所屬網路區段,但因搜尋速度並非十分快速,因此若區段設定範圍過於龐大,會產生類似程式沒有回應的現象,此時僅需耐心等候即可恢復正常。找到vPro電腦輸入密碼連線後,便能在左側樹狀欄位看到硬體資訊、網路設定、資料儲存及事件記錄等項目。硬體資訊欄位即為AMT的Inventory功能,會顯示包含廠牌、型號、處理器、記憶體、硬碟或光碟機名稱等電腦資料,且由於資料是儲存於NVRAM中,因此即使電腦未開機,遠端管理程式一樣能取得這些硬體資料。
網路設定即System Defense功能,允許網管人員自訂條件(Filter)與規則(Policy),以監控遠端電腦的網路狀態。在建立規則前需先設定條件,網管人員可依遠端電腦的上、下傳,或是封包傳輸量等不同情況建立Filter,也可指定封包型態,如所有網路封包、IPv4或IPv6封包等。至於Policy則分成上、下傳,以及完整控管,網管可依不同型態事件,自訂各種Policy需套用的Filter,以在用戶端電腦遭受攻擊時,即時將網路切斷。以我們實際使用網路設定建定Filter及Policy的經驗,發現從管理端套用設定到受控端電腦發生效果,之間僅間隔約10秒。而一旦受控端電腦的網路流量,達到Policy設定的情況,網路便會立刻中斷,此時除了管理端電腦可透過AMT管理工具,與受控端電腦連線外,其餘所有網路活動皆無法正常運作。
此外網路設定也提供WatchDog回報機制,也就是AMT的Agent Presence,讓管理端電腦能隨時偵測受控端電腦的健康狀態,並在發生問題時傳送警告訊息通知管理人員。但回報間隔時間設定不宜太短,以免造成誤判或網路頻寬負擔。
資料儲存對應的是AMT的Storage功能,顯示所有儲存在NVRAM的資料。與Intel合作的軟體供應商,會預先在NVRAM中各占據48KB的空間,其他軟體商則使用剩下的空間。這些廠商及相關軟體的名稱,都會在資料儲存項目中顯示出來, IT人員可自由檢視或重新分配使用空間大小。
至於事件記錄器則是AMT的Syatem Alert功能,會顯示遠端電腦回傳的訊息,包括訊息產生時間、來源、種類及嚴重性等。但由於回傳的訊息資料相當少,有些亦無法直接了解類型所代表的意義,因此會造成管理人員在判讀上的困難,或增加自行查詢程式碼對照手冊的麻煩。以目前AMT 2.1版的情況,事件記錄器的功效並不顯著。
Power Management、IDE-R與SOL功能使用方便
在所有AMT功能中,使用率最高的便是Power Management、IDE-R,以及SOL功能了。透過DTK工具的遠端控管(Remote Control)頁面,便能啟動SOL功能,直接顯示受控端電腦的螢幕畫面,使IT人員在遠端電腦進入作業系統之前,也能更改ME或BIOS等設定。
此外在Power Management方面,管理人員可選擇從遠端執行開機、關機、正常重新啟動(管理端無法控管)、在遠端監控下重新啟動、在遠端監控下重新啟動並進入BIOS設定,以及使用IDE-R功能重新啟動等。而所有選項執行的過程,管理人員都能透過SOL的顯示視窗,了解目前的進度。
IDE-R則提供管理人員指定遠端電腦開機系統檔的功能,如此即使電腦因中毒或遭受攻擊導致資料損毀,管理人員也能透過本機或伺服器中乾淨的作業系統,將受損電腦啟動到正常的環境中。管理人員可自由指定系統檔的來源,包含軟碟機、光碟機或映像檔等。
在我們測試的過程中,亦利用IDE-R功能修復一臺已無法正常開機的遠端電腦。我們先將受控端電腦的開機系統檔刪除,使電腦無法順利進入Windows作業系統。再透過IDE-R將電腦重新啟動於Dos環境下,並將位於管理端本機的開機系統檔,複製到遠端電腦中,重新開機後遠端電腦即可正常進入Windows。不過執行IDE-R時需注意,因一切資料皆透過網路傳輸,所以選擇映像檔時也應避免過大的檔案,以節省維修的時間。
以資產管理軟體才能掌握軟體資訊
AMT的Inventory功能,是直接抓取主機板BIOS內儲存的資料,因此僅能顯示硬體規格,作業系統或系統管理工具等軟體資訊,是無法透過Intel DTK查詢的。欲完整盤點遠端電腦的軟、硬體資產,則必須另外安裝資產管理軟體。旭辰資訊SmartIT 5.1版,便是一套完整支援AMT 2.1的資產管理軟體,因此我們選擇這套軟體,以測試資產管理軟體與AMT的整合效果。
SmartIT支援Microsoft SQL Server,以及Windows NT Workstation。主程式包含SmartIT out-of-box Console及SmartIT Console兩個不同的管理介面。其中SmartIT out-of-box Console功能與Intel DTK相同,但使用者介面經重新設計,使用上較直觀,同時也新增軟體統計視窗。
SmartIT Console則提供完整的資產管理功能,包含資產管理視窗、資產安全管理及報表檢視中心等。IT人員可透過資產管理視窗,檢視遠端電腦的硬體規格、軟體版本,以及周邊安裝情形,管理員也可建立系統警示設定,如硬碟或記憶體等設備被拔除、登入名稱與原使用者不符,或IP位置變更時通知管理員。
資產安全管理提供多種軟、硬體管理方案。儲存裝置管理可建立遠端用戶對於磁碟機、光碟、隨身碟及網路磁碟等儲存設備的存取權限,同時對於印表機連接埠、藍牙或紅外線連接裝置等周邊元件,亦能依不同使用者或使用時段,建立控管規則。此外包含應用程式、網站瀏覽,以及螢幕擷取等功能,也都可以分別管理。
報表檢視中心提供完整的記錄歷程,包含軟、硬體變更、漏洞待修補清單、網頁瀏覽歷史、印表機使用狀態、應用程式執行率、資產報廢記錄、螢幕擷取及管理端操作記錄等。IT人員可自由檢視、修改及列印報表記錄檔,亦可選擇匯出成Excel、HTML或純文字格式,以便日後覆查檢閱。文⊙李世平
熱門新聞
2024-04-17
2024-04-18
2024-04-17
2024-04-15
2024-04-15
2024-04-15