Знаете ли Вы, что дистанционно подключиться к вашему компьютеру можно без использования не только сетевых драйверов операционной системы, но и вообще без самой ОС ? Даже можно зайти в BIOS удалённо, и вообще сделать с компьютером всё, что угодно - в том числе скачать содержимое винчестеров, стереть их, и наглухо отключить компьютер навсегда, превратив его в бесполезный кусок железа.

Технология эта вполне официальна, она называется Intel vPro и реализована аппаратно в процессорах Intel Sandy Bridge и Ivy Bridge. На самом деле кроме процессора требуется еще и соответствующий чипсет - но в этом нет проблемы, ибо чипсеты давно поставляет сам Интел, ха-ха. В идеале в материнскую плату должна быть встроена гигабитная сетевая карта и видеоадаптер, которые способны на низкоуровневую работу (а еще более в идеале - и такой же WiFi). И опять же не волнуйтесь - Intel всё это реализовал и сделал стандартом де-факто. Наиболее дальновидных ребят давно удивляло, зачем в десктопной материнке встроен WiFi интерфейс, не нужный в 99% десктопов - так вот он встроен для дела, чтобы можно было получить доступ к компьютеру, даже не подключаясь к локальной сети, и даже к компьютеру, который стоит в отдельной комнате ни к какой сети не подключенный.

Разумеется, то, что вы там в БИОСе выключили этот вайфай - никак доступу не помешает. Для Intel vPro все интерфейсы всегда работают. Более того - "выключенный" компьютер для Intel vPro тоже работает (хоть и не светит лампочками об этом). Единственный способ отрубить компьютер от Intel vPro - это обесточить его, удалив шнур питания из розетки (но по понятным причинам этот номер не пройдет с ноутбуками - батареи-то на большинстве современных аппаратов несъемные, и это не просто так сделано).

Сеанс связи шифруется, а доступ к компьютеру можно получить через консоль (serial over LAN), web-интерфейс или VNC. Web-интерфейс обладает неприметным рабочим дизайном (который при этом отлично отображается на планшетах) и позволяет получать статистику о железе, его состоянии и перезапускать компьютер, настраивать сетевой интерфейс и политики доступа к AMT, смотреть историю событий - например, узнать, почему же у секретарши не грузится система, не подходя к её компьютеру:

При подключении через консоль и VNC можно делать уже совсем всё: vPro предоставляет полноценный KVM с локальной машины на удалённую с поддержкой разрешения экрана до 1920х1200 и возможностью посмотреть, как загружается система от инициализации BIOS до непосредственной загрузки ОС. При этом даже при перезагрузке системы не происходит отключения! Единственное что для доступа в BIOS не получится просто зажать Delete при старте системы и надо будет выбрать специальный пункт «boot to BIOS». После чего в самом деле загружается BIOS:

Можно подключиться к удалённой машине по VNC даже в том случае, если там слетели драйвера сетевой карты (ведь vPro работает на более низком уровне чем ОС) и прямо через VNC поставить все драйверы.

Еще одна интересная возможность под название IDE-R позволяет загружаться с внешнего источника - как будто это внутренний жёсткий диск. То есть можно подключиться по VNC, указать образ для загрузки, и загрузиться в собственной операционной системе - так что владелец компьютера и не узнает, что его включали.

При помощи vPro работает технология Intel Anti-Theft. Если у вас украли компьютер или ноутбук, то вы можете связаться с Intel и они заброкируют его. Компьютер просто перестанет загружаться, показывая черный экран с надписью - мол, заблокировано Intel Anti-Theft, верните компьютер владельцу.

Совсем скоро, когда поколение компьютеров в очередной раз сменится даже у самых нетребовательных пользователей, а у прогрессивных компаний и того раньше - дивный новый мир абсолютной прозрачности для спецслужб придет повсюду.

PS. Тут товарищ спросил - мол получается, что выключенные компы можно пинговать ?

Объясняю: в рамках Intel vPro cетевая карта слушает линию всегда, даже если компьютер "выключен". Но не всегда отвечает. То есть на вопрос «можно ли пинговать» — ответ да, можно, если это разрешить в настройках BIOS. Если не разрешить, то выключенный комп на пинг отзываться не будет, но свой порт (в общем случае это 16992) слушать будет и с Intel vPro работать будет.

Проверялось на чипсете Q45 - работает.

PPS. Cтарые чипсеты Intel и их CPU без GPU поддерживают только Serial-over-LAN часть технологии Intel vPro (то есть текстовая консоль управления работает, файлы можно скачивать, работает дистанционная загрузка операционки с удаленного диска и так далее, но не работает слежение за экраном пользователя и графическая консоль).

Для любопытных - IDE-R/SOL over TCP порт = 16994, IDE-R/SOL over TLS порт = 16995. Можете поснифить трафик в линии и посмотреть.

Ну и помните, что AMT fireware аппаратно перехватывает трафик с сетевой карты и не передает в ОС то, что касается работы vPro (порты 16992, 16993, 16994, 16995). То есть на компе с этой технологией никакие пакеты на порты 16992, 16993 и так далее вы из ОС не получите и не обнаружите. Чтобы их надежно найти - нужен старый комп со старыми сетевухами, реализующий прозрачный повторитель Stay-In-Middle и снифящий трафик.

И да, разумеется:

(а) Интел хранит возможность доступа к любой машине
(б) Может узнать, где она, и может с ней связаться в любой момент
(в) Может полностью ее заблокировать (при этом она будет продолжать подавать сигналы с координатами)

Ну и чтобы не было лишних иллюзий - про Интел я говорю только потому, что у него эта технология совершенно открыта и официально описана. Intel повел себя очень грамотно - бэкдор для спецуры не скрывается и не отрицается, а выдается за дополнительный сервис для пользователя и администратора. Аналогичные решения есть и у AMD, и у всех остальных крупных игроков на рынке микропроцессоров - просто они не столь честны, как Intel, и предпочитают играть в умолчание.

vPro - удалённое управление в вашей сети

В сетях организаций приходится управлять десятками или даже сотнями компьютеров, поддерживая стабильную работу ИТ-инфраструктуры, поскольку она является фундаментом бизнеса. И на эту задачу часто может уходить немало сил, времени и денег. Компьютерами в небольших организациях управлять относительно легко, поскольку не нужно бегать с этажа на этаж и между разными корпусами. Если же бегать приходится, то даже элементарные задачи, такие, как инвентаризация, обновление ПО или замена сбойных комплектующих, могут отнимать немало времени ИТ-персонала, что влетает в копеечку.

На рынке есть разные системы управления, но большинство из них требует для своей работы функционирующей ОС на удалённом ПК или установки специального модуля, который, опять же, стоит денег. Решения, зависящие от ОС, обычно не обеспечивают доступ к настройкам BIOS или не позволяют изменять последовательность загрузки, выполнять "холодную" перезагрузку или схожие действия. Если ОС по каким-то причинам не загружается (например, в результате атаки вируса или серьёзной программной ошибки), получить доступ к удалённой системе уже не получится, и администратору придётся разбираться с проблемой на месте. Хотя есть стандарты, обеспечивающее управление ПК на уровне ниже ОС, им не хватает удобства и гибкости. В качестве примеров можно привести такие функции, как пробуждение по сети, модему или RTC. Есть и окружение PXE (Pre-Boot Execution Environment), которое позволяет загружать компьютер с удалённого сетевого источника. С его помощью можно установить ОС или выполнить обновление BIOS без установки в ПК физического носителя. Сетевая карта ищет сервер загрузки PXE в локальной сети, который обеспечивает доступ к NBP (Network Bootstrap Program). Наконец, формат ASF (Alert Standard Format) отвечает за определение ошибок и сбоев. Он обеспечивает обслуживание независимо от ОС. Но ASF далёк от совершенства, поскольку он не поддерживает аутентификацию, шифрование, возможности перезагрузки, удалённое управление в реальном времени, удалённое обновление BIOS и политики.

Что такое vPro?

vPro - маркетинговое название технологии, аналогично Viiv или Centrino. Под vPro подразумевается набор функций, нацеленных на корпоративное окружение. По сути, мы получаем комбинацию функций и технологий, имеющихся в портфолио Intel: vPro требует определённую версию чипсета 965, а именно, Q965 с поддержкой Intel AMT (Active Management Technology). Наконец, на сайте vPro указан процессор Core 2 Duo как часть vPro, хотя наша тестовая система от Acer была оснащена Pentium D. Здесь важна поддержка VT (Intel Virtualization Technology) со стороны процессора, чтобы он смог запустить раздел ОС обслуживания.

Описание vPro со стороны Intel подчёркивает функции управления и безопасности. vPro позволяет сократить число вызовов специалистов на места и снизить накладные затраты на обслуживание ИТ-инфраструктуры. Причём Intel обещает беспроблемную интеграцию в существующую инфраструктуру управления. Под функциями управления Intel подразумевает возможность инвентаризации ПК, включая комплектующие, через аппаратное соединение, не зависящее от ОС и состояния системы. Можно как собрать системную информацию, так и получить её из небольшой энергонезависимой памяти системы vPro. Уменьшение числа вызовов на клиентские места обеспечивается поддержкой удалённой загрузки, диагностики и восстановления/резервирования. Безопасность обеспечивается с помощью фильтрации сетевого трафика, лёгкой изоляцией и карантином инфицированных систем. Информация о клиентах будет всегда самая свежая, можно будет удалённо устанавливать обновления и опционально создавать виртуальные окружения для обслуживания.

vPro использует собственную подсеть для управления, хотя связь производится по существующей физической инфраструктуре. Расширение vPro в BIOS позволяет динамически получать IP-адрес с DHCP-сервера, но можно выставлять его вручную. Для vPro используется встроенный сетевой контроллер, другие сетевые карты не поддерживаются. Все операции управления будут работать независимо от состояния активности компьютера (гибернация, сон, включён) или состояния ОС.

Куда входит AMT?

vPro по большей части опирается на технологию Intel Active Management Technology (AMT). AMT - комбинация функций платформ и программного обеспечения, которое обычно предоставляется сторонними разработчиками. Большинство из функций, описанных в этой статье, входит в состав AMT.

Нужна ли вам vPro?

Конечно, поддержка vPro не бесплатна, но платформы с vPro стоят не так и дорого. Мы рекомендуем эту технологию для больших корпоративных окружений, но в сфере малого бизнеса принять решение сложнее. vPro требует чипсет Intel Q965, но материнские чипсеты на основе этого чипсета бизнес-класса обычно не подходят для энтузиастов, поскольку на них нет дополнительных аксессуаров или хорошей поддержки разгона. Да, платформа vPro даст возможность управлять компьютерами на совершенно ином уровне, но принимать решение нужно индивидуально.

Настройка системы для AMT/vPro

Настраивать систему для работы с AMT/vPro весьма просто. Нужно войти в BIOS управления, что можно сделать нажатием "CTRL+P" после теста POST (power-on self test), там можно будет указать несколько основных настроек. Не забудьте включить возможности AMT.

Главное меню Intel Management Engine BIOS Extension. В него попадаешь, нажав "CTRL+P" после теста POST.

Вообще, мы были немного растеряны, когда впервые попытались запустить AMT и настроить технологию. Мы получили материнскую плату с поддержкой vPro от MSI и компьютер vPro от Acer, но в обоих случаях никакой документации не было. Чтобы войти в расширение BIOS на плате MSI, нам пришлось угадывать предварительно заданный пароль (который, кстати, оказался "admin"). Тот же самый пароль по умолчанию был и на ПК Acer.

Перед выполнением дальнейших операций BIOS требует сменить пароль. Но, опять же, эту операцию нельзя назвать интуитивной, поскольку требования к паролю очень строгие, и менее опытные пользователи вряд ли сразу поймут, почему пароль отвергается системой. Пароль должен содержать большие и маленькие буквы, цифры и символы. Кроме того, есть ещё один момент: вы должны ввести host-имя компьютера, только после этого AMT/vPro заработает - настройки IP-адреса (статического или через DHCP) недостаточно. Введённую информацию можно затем изменить.

У нас была документация Intel на нескольких страницах, но там всё же не было инструкции по быстрому старту. Наконец, мы получили 190-страничный документ vPro Deployment Guide. Немалый объём для документации, так что постарайтесь выделить время на её изучение.

Меню настройки AMT содержит ряд важных опций.

vPro для предприятий: с SCS

vPro может работать в двух вариантах, первый предназначен для малого бизнеса, второй нацелен на корпоративную сферу и поддерживает аутентификацию с помощью ключей и шифрование. Корпоративная версия требует наличия сервера SCS (Setup and Configuration Server), отвечающего за шифрование и аутентификацию.

AMT Commander - утилита управления функциями AMT, но Intel поставляет её только разработчикам. Обычно окружение vPro строится на приложениях сторонних компаний.

AMT Commander - одна из двух утилит управления vPro. Но она была создана в помощь разработчикам, и в реальных системах вряд ли будет использоваться. Поэтому администраторам придётся опираться на утилиты сторонних разработчиков. Но набор функций, с другой стороны, вполне сравним. Commander подключается к клиентским ПК с поддержкой vPro. Утилита позволяет находить ПК с vPro, просматривать их комплектующие и выполнять базовые настройки AMT.

AMT Commander позволяет находить компьютеры с поддержкой vPro/AMT, но надо указать диапазон IP-адресов для сканирования.

После успешного поиска систем vPro в заданном диапазоне можно начинать работу с клиентами. Важно проследить, чтобы у каждого клиента было заданное host-имя AMT, иначе утилита управления Intel не подключится. Здесь можно включать или отключать такие функции AMT, как SOL (Serial-over-LAN) или IDE Redirect (для загрузки через LAN).

AMT Commander подключается к любому ПК с vPro, который был правильно настроен и доступен по сети.

Можно настроить сторожевые схемы (Watchdogs), которые будут отслеживать приложения, работающие на клиентском ПК.

Нажмите на картинку для увеличения.

AMT Director - второй программный пакет, который мы получили для тестирования. Это, опять же, инструмент, предназначенный для разработчиков, поэтому реальные окружения будут использовать другие решения. Основная цель AMT Director заключается в настройке и инициализации. В принципе, программа работает как сервер инициализации.

Опять же, сначала нужно подключиться.

Сервер инициализации (Provisioning Server) для корпоративного окружения выдаёт сертификаты безопасности и шаблоны клиентам vPro. Следует упомянуть, что все подключения с клиентами шифруются, если только AMT работает в корпоративном режиме.

Если производитель ПК предустановил так называемые программные ключи (software keys), необходимые для корпоративного режима AMT, первый контакт клиента vPro с сервером инициализации запустит так называемую процедуру Zero-Touch Setup, представляющую собой полностью автоматизированную настройку служб AMT.

Нажмите на картинку для увеличения.

Web-интерфейс AMT является, наверное, самым простым средством управления компьютерами vPro, поскольку он легко доступен после инициализации и настройки служб AMT. Независимо от решений сторонних разработчиков, каждым компьютером vPro/AMT можно управлять с помощью встроенного web-сервера. К web-интерфейсу можно обратиться по IP-адресу клиентской системы или по host-имени, которое задаётся у клиентов (без него AMT вообще не будет работать). Функция удалённого управления (Remote Control) кажется нам особенно полезной, поскольку она позволяет выключать и включать систему, загружаться с разными опциями накопителей или просто "сбросить" машины. Здесь есть существенное отличие от соединения "Удалённый рабочий стол" (Remote Desktop) под Windows: если под Windows выключение - процесс программный, который выполняет ОС, то выключение AMT ближе всего к простому тумблеру питания.

Информация о системе весьма детальна, здесь можно найти немало информации, которую обычно получаешь только через средства управления, работающие через ОС.

Журнал событий тоже подробен.

Функция удалённого управления весьма полезна. Представьте, что один из ваших компьютеров отказался загружаться, и вы не можете получить доступ к традиционным средствам дистанционного управления, таким, как VNC или Remote Desktop. В таком случае функция сброса AMT приведёт к аппаратному сбросу системы (reset).

AMT поддерживает виртуальные LAN, позволяющие запускать два разных сетевых соединения через две логические сети по одному физическому кабелю. Обычно для поддержки таких сетей используются коммутаторы с VLAN, но функция VLAN у AMT работает с обычным сетевым "железом", не мешая передаче обычных данных.

Мы вошли в качестве администратора, но AMT/vPro поддерживает создание отдельных пользователей с правами управления.

Прошивку AMT можно обновлять независимо от BIOS материнской платы.

Нажмите на картинку для увеличения

Утилиту Terminal Tool, которую мы тоже попробовали, можно использовать для доступа к BIOS клиентской машины через SOL (Serial-over-LAN). То есть утилита создаёт последовательное соединение по сети. Мы использовали утилиту для доступа к настройкам BIOS, причём опций здесь намного больше, чем у стандартного интерфейса управления AMT. Можно выполнять все необходимые изменения удалённо. Можно использовать Terminal Tool для перенаправления дисковых запросов (чтобы можно было загружаться с удалённого диска по сети).

Нажмите на картинку для увеличения.

Мы получили одну из первых материнских плат с поддержкой vPro - MSI Q965MDO. Она использует чипсет Intel Q965, который напомнил нам G965 с добавленной поддержкой ATM/vPro. Плата использует твёрдотельные конденсаторы и четырёхфазный стабилизатор напряжения, который достаточно мощный, чтобы с платой заработал процессор Core 2 Quad. Охлаждение пассивное, что, как нам кажется, немаловажно для офисного ПК, поскольку лишний шум никому не нужен.

Южный мост поддерживает шесть портов Serial ATA/300, на плате есть четыре слота DIMM, что вполне нормально для форм-фактора MicroATX. Многие недорогие модели на рынке предлагают всего два слота DIMM. Экономия на слотах не очень хороша, если позднее вы решите увеличить объём памяти.

Есть звуковая система HD, гигабитный контроллер Ethernet от Intel, модуль Trusted Platform Module (TPM), встроенное графическое ядро и набор интерфейсов USB 2.0. Для карт расширения на плате предусмотрено два 32-битных слота PCI и слот PCI Express x1. Если вы пожелаете установить мощную видеокарту, есть и слот PCIe x16.

MSI не вложила в комплект поставки документацию vPro. Компания явно желает продавать платы с поддержкой vPro, но программное обеспечение, сборка и настройка переложены на компании, занимающиеся внедрением.

Поскольку первый опыт запуска vPro на MSI Q965MDO оказался неудачным, мы решили протестировать полностью собранный ПК с поддержкой vPro. Мы получили соответствующую модель от Acer, а именно: Veriton 3900 Pro. Это довольно любопытная система, хотя она оснащена уже не самым современным процессором Pentium D и всего 512 Мбайт памяти (DDR2-533, в двухканальном режиме). Кроме того, вы не сможете устанавливать стандартные карты расширения, поскольку форм-фактор предусматривает только карты с низким профилем. Вполне понятно, что перед нами офисный ПК, который вряд ли станет лидером в тестах, да и гибкость ограниченная. Но компьютер поддерживает vPro, что нам требовалось в первую очередь. Причём поддержка осуществляется с помощью чипсета 945G, что наглядно говорит о маркетинговых корнях слова vPro. На самом деле эта технология к "железу" привязана не так сильно, как хотелось бы Intel.

Система прекрасно работала, мы смогли на деле проверить все функции удалённого управления vPro. Хотя повод для критики тоже есть: вентилятор очень сильно шумит во время старта системы, а также, если отключить управление скоростью вращения в BIOS. Впрочем, система вряд ли перегреется. Но всё же шум пылесоса по соседству вряд ли приятен.

Заключение

Вообще, называть vPro новым великим изобретением язык не поворачивается. Технология и в самом деле не требует последнего поколения "железа" Intel, да и подобные функции мы встречали раньше (скажем, AMT). Но vPro - очень умная маркетинговая инициатива, которая сочетает несколько полезных функций, что позволяет Intel продавать как можно больше чипов под столь привлекательной маркой. Подобный подход хорошо зарекомендовал себя с Centrino, он более-менее сработал и в случае с Viiv. Но, опять же, важно понимать, что vPro не требует последние чипсеты или процессоры Core 2, чтобы насладиться всеми прелестями технологии удалённого управления Intel. Хотя, конечно, следует уделить внимание тому, чтобы получить самое последнее "железо", если вы хотите использовать какие-либо специфические функции управления, либо желаете в будущем обновлять AMT/vPro. Например, в ближайшем будущем будет добавлена возможность работы vPro через беспроводное соединение, но и аппаратное обеспечение должно быть совместимо.

С технологической точки зрения негативных моментов у нас не возникло. Если вы знаете, чему уделить внимание, то сможете за считанные минуты настроить клиентские ПК для удалённого управления с помощью vPro. Для корпоративного окружения понадобится соответствующий уровень с сервером инициализации, который обеспечивает дополнительный уровень безопасности путём выдачи сертификатов. Но подобное решение требует и подготовленных администраторов.

В общем, польза от внедрения компьютеров с поддержкой vPro в существующую сеть есть. Вы сможете пользоваться на них как существующими средствами удалённого управления, так и добавить поддержку vPro/AMT. То есть сначала можно вложить деньги в соответствующее оборудование, а позднее внедрить систему дистанционного управления.

vPro весьма любопытна и для энтузиастов и оверклокеров, поскольку добавляет новый уровень контроля и управления системой. Компьютер можно включать, выключать и перезагружать по сети. Можно даже предсказать появление переделанных решений vPro, которые позволяют через web-интерфейс предоставлять простые сервисы даже при выключенном компьютере. Впрочем, если вам по душе высокая производительность, богатый набор функций и возможность разгона, то придётся выбирать между ними и vPro, поскольку мы пока так и не обнаружили материнских плат, на которых была бы одновременная поддержка vPro и опций для энтузиастов.

По нашему мнению, каждый ПК должен содержать те или иные средства удалённого управления без дополнительных затрат. Корпоративные клиенты наверняка захотят потратить деньги на более сложные системы управления, но конечному пользователю вряд ли помешают дополнительные функции практически задаром.

Таблица конфигураций

Когда-то давно, когда я ещё не был программистом, но с компьютерами уже дружил, технологии по типу RAdmin для меня были подобны чуду. Можно было подключиться к удалённому компьютеру, прямо как в самом крутом фильме про хакеров, открыть блокнот и написать там угрожающую надпись. Правда, пользоваться мне этим было негде.

Потом в мою жизнь пришёл ssh: осознание, что управляешь сервером за океаном сначала восхищало, а теперь уже стало обыденностью. Пока не наберешь случайно halt, ага. А потом начинаешь открывать админку хостера и пытаться зайти в консоль управления сервером, чтобы его запустить. А она почему-то сегодня тупит. Тогда пишешь в саппорт и нерничаешь. Не очень нравится. Но это мои личные программерские страхи.

Как-то на старой работе после смены администратора вновь пришедший решил навести порядок в компьютерном парке и для этого подходил к компьютеру, выгонял работника, скачивал Everest, запускал диагностику и сохранял результат в файл. Так, обойдя всего лишь ~60 рабочих мест на трёх этажах, он узнал, какое железо есть в его распоряжении. Неудобно.

И тут на сцену выходит Intel vPro.

Intel vPro – это такая штука, которая позволяет не бояться вещей, описанных выше и даже делать намного больше. Состоит vPro из двух компонентов: аппаратного и программного и про них я расскажу под катом.

Аппаратная часть

На аппаратном уровне нужен процессор и материнская плата (чипсет, как правило, начинается на Q, но нужно смотреть спецификации), поддерживающая vPro. В материнскую плату встроена гигабитная сетевая карта и видеоадаптер, которые способны на низкоуровневую работу. На практике это значит, что подключиться к компьютеру при помощи vPro можно без использования, мало того, что сетевых драйверов ОС, так и без самой ОС! И да, можно зайти в BIOS удалённо.

Поддерживается как проводное, так и беспроводное подключение. В случае WiFi полёта для фантазии не очень много – операционная система должна быть загружена и подключена к точке доступа, зато вот при использовании провода подключиться можно даже к выключенному компьютеру. Ну, так говорят маркетологи: на деле же выключенный компьютер можно включить и – далее как обычно.

Программная часть

Программная часть заключена в аббревиатуре AMT – это Intel Active Management Technology, которая обслуживает подключения и обладает огромными возможностями.

Сначала компьютер надо сконфигурировать для работы с vPro и для этого понадобится физический доступ. После этого его, если это сервер, можно потерять или замуровать в комнате, как в анекдотах про администраторов. В случае, если администратор находится с пациентом в одной локальной сети, проблем не возникает, если же нужный компьютер спрятан за NAT – придётся ставить сервер внутри для доступа. Правда иначе и быть не может – базовые требования сетевой безопасности.

Сеанс связи шифруется, а доступ к серверу можно получить через консоль (serial over LAN), web-интерфейс или VNC. Web-интерфейс обладает неприметным рабочим дизайном (который при этом отлично отображается на планшетах) и позволяет получать статистику о железе, его состоянии и перезапускать компьютер, настраивать сетевой интерфейс и политики доступа к AMT, смотреть историю событий – узнать, почему же у секретарши не грузится система, не подходя к её компьютеру.

При подключении через консоль и VNC можно делать уже совсем всё: vPro предоставляет полноценный KVM с локальной машины на удалённую с поддержкой разрешения экрана до 1920х1200 и возможностью посмотреть, как загружается система от инициализации BIOS до непосредственной загрузки ОС. При этом даже при перезагрузке системы не происходит отключения! Единственное что для доступа в BIOS не получится просто зажать Delete при старте системы и надо будет выбрать специальный пункт «Reboot to BIOS».

После чего в самом деле загружается BIOS.

Особенно приятно то, что можно подключиться к удалённой машине по VNC даже в том случае если там слетели драйвера сетевой карты (ведь vPro работает на более низком уровне чем ОС) и прямо через VNC поставить все драйверы. И если в пределах офиса это ещё решаемо, то вот ехать в дата-центр может быть не с руки.

Есть еще одна интересная возможность под название IDE-R которая позволяет загружаться с внешнего источника как будто это внутренний жёсткий диск. То есть можно подключиться по VNC, указать образ для загрузки и загрузиться в заведоморабочей системе. Очень может быть полезная функция как для диагностики, так и для администрирования. Например можно загружать клиентскую машину с системой в которой настроен эталонный антивирус, проверять жетский диск и незаметно уходить.

Про безопасность

При помощи vPro работает технология Intel Anti-Theft. Если у вас украли ноутбук, то вы можете связаться с Intel и они заброкируют его. В блоге Intel есть уже данной технологии. После блокировки новый обладатель компьютера увидит такую картинку.

Заключение и ссылки

Совсем скоро, когда поколение компьютеров в очередной раз сменится даже у самых нетребовательных пользователей, а у прогрессивных компаний и того раньше, работы у администраторов останется столько же, но вот делать её будет куда приятнее.

Подпишитесь на комментарии к посту - в них обещает быть много интересного. Или проверьте топик через пару дней - я вынесу все самые интересные комментарии отдельным списком внизу поста.

Современные чипсеты позволяют создавать на материнских платах формата Mini-ITX вполне полноценные универсальные и даже игровые системы. Но есть еще один редкий вариант - Thin Mini-ITX, который ставит даже более жесткие условия на размеры материнской платы, ограничивая не только ее проекцию, но и высоту. Согласно этому стандарту, все элементы платы не должны быть выше 25 мм. Официальное позиционирование подобных устройств - HTPC, AIO и прочие варианты, требующие ультракомпактных решений.

Вполне логично, что чем у́же специализация, тем меньше есть предложений на рынке. Но конечно, такой производитель, как Intel, который старается задавать тон всей индустрии и сам создает новые направления, не может позволить себе пропустить даже этот относительно небольшой сегмент универсальных решений.

Рассматриваемая сегодня материнская плата DQ77KB входит в серию Executive, отличающуюся расширенными возможностями управления, безопасности и энергосбережения. Как уже понятно по этому описанию, наиболее подходящим вариантом в данном случае будет использование бизнес-чипсета Intel Q77, который поддерживает vPro и другие соответствующие технологии.

Комплектация и фирменные утилиты

Представленный на тестирование семпл платы был упакован в стандартную универсальную коробку и имел минимальный комплект поставки - плата, две заглушки на заднюю панель (стандартная и «низкая»), пара кабелей SATA, кабель питания SATA, компакт-диск с драйверами и руководство по установке.

Маловероятно, что подобный продукт будет массово поставляться в формате «box», поскольку он явно ориентирован на сборщиков, а не на конечных пользователей. Судя по описанию на сайте, кроме описанных компонентов, в официальных поставках также можно будет найти переходник HDMI-DVI, а на компакт-диске дополнительно будут записаны утилиты Intel для системных интеграторов, антивирусы и программы удаленного управления. В частности, на этой плате также работает программа мониторинга Intel Desktop Utilities и утилита кастомизации BIOS Intel Intergrator Toolkit.

Особенности платы

Про платы формата Thin Mini-ITX уже сложнее говорить, что они позволяют создавать универсальные системы. Ограничение высоты заметно влияет на возможности производителей - не поставить вертикально miniPCIe-плату Wi-Fi или схему питания, да и с радиаторами особо не разгуляешься. Так что максимальная производительность явно будет ограничена. В частности, рассматриваемая DQ77KB поддерживает только процессоры для LGA1155 с TDP до 65 Вт. Хотя надо признать, что с переходом на новый техпроцесс у Intel в эту категорию попадают такие модели, как i7-3770S и i5-3570S, с частотой более 3 ГГц, а из прошлого поколения поддерживаются i7-2600S и i5-2500S. В тестировании мы использовали процессоры Intel Core i3-2120T, i5-2400S и i5-3450S.

Ограничения на устанавливаемую систему охлаждения будут диктоваться скорее требуемым корпусом, чем материнской платой, поскольку самый высокий и близкий ее элемент - разъем для вентилятора процессора, который, при необходимости, можно не использовать.

Для установки модулей оперативной памяти предусмотрено два слота SO-DIMM. Поддерживаются модули DDR3-1333/1600, максимальный объем составляет 16 ГБ. Слоты расположены параллельно печатной плате. В нашем случае использовалась пара планок по 4 ГБ DDR3-1333 на чипах Hynix.

Формат накладывает существенные ограничения и на использование плат расширения. Понятно, что любая стандартная карта расширения, установленная в слот без «углового» адаптера, будет выше, чем 25 мм. Но учитывая потенциальное применение для специальных проектов, иметь возможность конфигурации дополнительного оборудования было бы очень желательно. Так что в DQ77KB было решено установить один слот PCIe 2.0/3.0 формата x4, подключенный к контроллеру в процессоре. Жаль только, что он именно x4: места явно хватает и на x16, а установка именно «большого» слота позволила бы немного увеличить возможности продукта. При необходимости, конечно, можно воспользоваться подручными инструментами и сделать прорезь в задней стенке разъема, но не всех этот вариант устроит. Кроме того, в этом случае даже простейшей видеокартой начального уровня будет перекрыт разъем процессорного вентилятора.

Если же требуются более простые контроллеры, например Wi-Fi, то на плате есть еще два слота расширения - полный и половинный miniPCIe. Причем первый поддерживает также флэш-диски mSATA, что позволяет еще больше сократить занимаемый платформой объем. В документации указано, что в этих разъемах также присутствуют выходы USB 2.0. Для тестирования мы использовали модуль Lite-On LMT-32L3M на 32 ГБ. Кроме того, напротив этого разъема на заглушке для задней панели предусмотрено отверстие, что может позволить устанавливать специализированные карты расширения.

Из стандартных разъемов ввода-вывода на плате присутствует пять портов USB 2.0 (два порта на двух разъемах и один на третьем), последовательный COM-порт и разъем для аудио. Конечно, не забыли про традиционные индикаторы и кнопки корпуса. Для использования в системах AIO также есть коннекторы для цифровой панели, LVDS, управления питанием, отладки и прочее. Конечному пользователю может быть интересен встроенный стереоусилитель на 3 Вт, позволяющий подключить пассивную АС.

В целом компоновка неплохая, большинство разъемов находятся на краях платы и легко доступны. Сама печатная плата зеленого цвета, на ней есть пара светодиодных индикаторов (дежурное питание и статус ME), крепление к корпусу - стандартным для Mini-ITX вариантом на четыре винта. Учитывая позиционирование продукта, никаких существенных замечаний к дизайну платы нет.

Схемы питания и охлаждения

В этом разделе особо рассказывать нечего - продукт будет эксплуатироваться исключительно в штатных режимах, если даже не в специально «замедленной» конфигурации. Практический интерес представляет только подключение питания к плате. Для этого используется внешний блок питания с выходом 19 В, как и у большинства ноутбуков. Разъем аналогичен устанавливаемому на корпоративных моделях HP. Второй вариант - двухконтактный коннектор на печатной плате. Максимальное потребление заявлено на уровне 12 А, большинство реальных конфигураций, конечно, будут потреблять гораздо меньше. В случае внешнего блока питания возникает вопрос о подключении периферийных устройств, в частности накопителей. Для этого плата имеет выходной разъем питания формата SATA, обеспечивающий подачу 12, 5 и 3,3 В от встроенного преобразователя. Максимальная допустимая мощность на нем - около 25 Вт, чего вполне хватит на жесткий диск и оптический привод, не говоря уже о SSD. Чипсет закрыт небольшим радиатором, на элементах цепей питания ничего подобного нет.

Подключение вентиляторов системы охлаждения осуществляется через два 4-контактных разъема. Оба поддерживают автоматическую регулировку оборотов в зависимости от температуры, которая настраивается в BIOS Setup. При этом можно «привязать» контроль к одному или двум из датчиков температуры: процессор, чипсет, оперативная память, система питания. Что касается аппаратного мониторинга, то упомянем также наличие датчиков семи напряжений.

Проверка эффективности системы питания и охлаждения проводилась совместно с процессором Intel Core i5-2400S и стандартным кулером Intel с медным сердечником для этого сокета. При нагрузке программой LinX максимальная температура процессора составила 63, чипсета - 45, а системы питания - 40 градусов соответственно. Никакого опасения данные цифры не вызывают. Напомним, что стенд был открытый, а штатный кулер, тихо работая на 1800 об/мин, также частично направляет потоки воздуха и на радиатор чипсета и на схемы питания.

BIOS

Настройки BIOS вполне стандартны для систем Intel. Реализована поддержка интерфейса EFI и использование мыши для навигации.

Всего в меню есть семь знакомых про прошлой статье разделов:

• Main: информация о плате, процессоре и памяти, установка даты и времени;
• Configuration: настройка периферийных контроллеров, портов накопителей, встроенного графического ядра, управление вентиляторами, контроль аппаратных датчиков;
• Performance: изменение некоторых из параметров работы процессора, графического ядра и оперативной памяти;
• Security: установка паролей системы и жесткого диска;
• Power: управление режимами системы питания;
• Boot: выбор устройств, порядка и опций загрузки системы;

Обновление BIOS проще всего осуществить с использованием встроенной утилиты, но можно использовать программы для Windows или MS-DOS. Отметим наличие специального дополнения Intel Management Engine, которое используется для работы технологий Intel AMT, vPro и других.

В тестировании использовалась версия BIOS 0042.