Получить информацию о том, что это такое

Обновлено: 21.11.2024

MeshCentral2 — режимы WAN/LAN и Intel AMT CIRA

  • Получить ссылку
  • Фейсбук
  • Твиттер
  • Pinterest
  • Электронная почта
  • Другие приложения
  • Добавлена ​​поддержка режимов LAN и WAN. Это одно из больших нововведений, которое привлечет внимание к MeshCentral2. Исторически сложилось так, что для настройки MeshCentral всегда требовался фиксированный IP-адрес/хост, что усложняло задачу для небольших развертываний. Теперь у MeshCentral2 есть новый «режим LAN», в котором агенты сетки обнаруживают местоположение сервера с помощью многоадресной рассылки. Для небольших развертываний проще, чем когда-либо, настроить решение для управления. Давайте посмотрим на различия между двумя режимами, отметив, что MeshCentral2 можно запускать в обоих режимах одновременно, предлагая оба набора функций одновременно:
  1. Mesh-агенты настраиваются без IP/DNS-имени сервера. Обнаружение агентов/серверов с помощью многоадресной рассылки.
  2. Компьютеры Intel® AMT можно добавить вручную с помощью IP/Host. CIRA не поддерживается в этом режиме.
  3. Вы можете сканировать локальную сеть на наличие компьютеров Intel® AMT с помощью RMCP.
    1. Сервер должен иметь фиксированный IP-адрес или DNS-имя.
    2. Агенты сетки используют фиксированное имя для подключения к серверу.
    3. Intel® AMT должен подключаться к серверу с использованием удаленного доступа, инициируемого клиентом (CIRA).
    • Добавлена ​​поддержка соединений CIRA с аутентификацией по паролю. MeshCentral2 теперь может принимать подключения к удаленному доступу, инициированному клиентом (CIRA), которые аутентифицированы как по сертификату, так и по имени пользователя/паролю. Используя имя пользователя в качестве учетных данных, нам не нужно выдавать сертификат CIRA для компьютеров Intel® AMT, что значительно упрощает процесс.
    • Новые сценарии конфигурации MeshCommander CIRA. Одним из больших нововведений в MeshCommander является редактор сценариев и способ быстрого создания сценариев, которые будут выполнять действия на Intel® AMT. Теперь MeshCentral2 использует эту функцию, предлагая ссылку, по которой вы можете загрузить конфигурацию CIRA и сценарии очистки. Подключиться к CIRA теперь так же просто, как перетащить мышью.
    • Видео YouTube, демонстрирующее простую настройку CIRA. В этом новом учебном видео на YouTube мы показываем 3 различных способа настройки CIRA на компьютере и демонстрируем, как можно использовать сценарии MeshCommander для быстрой настройки CIRA. Это займет несколько минут, и вы сможете управлять своим компьютером с веб-сайта с помощью Intel® AMT.

    MeshCentral2 теперь поддерживает режимы WAN и LAN или может работать в обоих режимах одновременно.
    Makes легко развернуть как в качестве облачного сервера, так и для управления компьютерами в локальной сети.

    MeshCentral2 новая поддержка аутентификации по имени пользователя/паролю CIRA вместе со сценарием настройки
    MeshCommander CIRA. Облегчает настройку CIRA.

    Теперь все новые видеоролики YouTube позволяют настроить CIRA быстрее и проще,
    чем когда-либо прежде. Просто перетащите сценарий установки.

    • Получить ссылку
    • Фейсбук
    • Твиттер
    • Pinterest
    • Электронная почта
    • Другие приложения

    Комментарии

    Оставить комментарий

    Популярные записи из этого блога

    MeshCentral — агент Android, Google Play, Arctic Vault

    Начиная с этой недели MeshCentral может начать управлять совершенно новым классом устройств. Несколько дней назад Google Play Store принял и опубликовал MeshCentral Agent для Android. Это знаменует собой первые шаги по добавлению базового управления мобильными устройствами в MeshCentral и открывает множество возможностей на будущее. Вы можете соединить устройства Android со своим собственным сервером MeshCentral и начать видеть устройство на веб-сайте. Кроме того, MeshCentral включен в GitHub Arctic Code Vault, что действительно здорово. Подробнее: MeshCentral Android Agent. Посмотрите демонстрационное видео здесь. В прошлом сообщество запрашивало управление мобильными устройствами, и несколько недель назад с использованием Android Studio и языка программирования Kotlin началась работа по созданию базового агента MeshCentral для Android. Большая часть работы была связана с сопряжением агента с сервером и открытием защищенного доверенного соединения с сервером. В настоящее время агент Android использует встроенный считыватель QR-кода для сопряжения приложения с вашим собственным s

    MeshCentral — веб-клиент RDP, многоязычный маршрутизатор, индивидуальное согласие, 7 000 загрузок

    На этой неделе у нас появилась новая функция, которую член сообщества GitHub назвал «мини-приложением-убийцей». После объявления о том, что веб-клиент noVNC был добавлен в MeshCentral на прошлой неделе, мы также добавили встроенный веб-клиент RDP. Теперь вы можете подключиться к компьютеру с Windows через RDP из любого современного веб-браузера через Интернет. Для операционных систем Windows, которые поддерживают несколько сеансов RDP, это также поддерживается, позволяя многим пользователям одновременно входить на один сервер. Кроме того, на этой неделе у нас есть MeshCentral Router, интернационализированный для многих языков, дополнительные настройки и забавный факт о загрузках MeshCentral. Подробно: Встроенный RDP-клиент. Главной новой функцией на этой неделе является добавление веб-клиента RDP в MeshCentral. Это благодаря проектам с открытым исходным кодом MSTSC.js и node-rdp.js, которые являются основой для этой функции. После активации в файле конфигурации MeshCentral пользователи могут щелкнуть устройство и щелкнуть ссылку «Web RDP», чтобы перейти к

    MeshCentral — помощник MeshCentral и удаленная помощь

    Функция удаленного доступа позволяет консоли управления безопасно получать доступ к платформам Intel AMT, даже если они расположены за пределами корпоративной сети. Это достигается за счет создания безопасного туннеля на основе TLS через шлюз Intel vPro, также известный как Management Presence Server (MPS).

    Примечание:

    Для функции удаленного доступа необходимо настроить обнаружение среды (см. Настройка обнаружения среды).

    Используя определение среды, Intel AMT определяет, где находится платформа внутри или за пределами предприятия.

    Когда пользователь устанавливает соединение (быстрый вызов помощи),

    • Если платформа находится за пределами предприятия, инициируются два события. Intel AMT подключается к MPS, инициируя событие MPS, и выполняет удаленный быстрый вызов помощи (также называемый удаленным доступом, инициированным клиентом, или CIRA). Кроме того, платформа отправляет событие WS-Eventing.

    • Если это происходит внутри предприятия, Intel AMT отправляет событие WS-Eventing на консоль подписки без необходимости подключения к MPS. Это позволяет выполнять быстрый вызов помощи локально (также называемый локальным доступом, инициированным клиентом, или CILA).

    Для получения дополнительной информации о функции удаленного доступа см. следующее:

    CIRA через прокси-сервер

    Intel AMT подключается к MPS через прокси-сервер, указанный в конфигурации прокси, в следующих случаях:

    • Когда запрос на подключение CIRA получен Intel AMT в среде, где полное доменное имя MPS не находится в том же сетевом домене, что и текущая сеть, а текущий сетевой домен находится в одной из разрешенных конфигураций прокси-сервера.

    • Когда Intel AMT получает запрос на подключение CIRA в среде, где полное доменное имя MPS находится в текущем сетевом домене, но прямое подключение к серверу MPS не удается, а текущий сетевой домен находится в одной из разрешенных конфигураций прокси.

    Тип UINT8

    Указывает, был ли этот прокси-сервер установлен ИТ-специалистом или с помощью Proxy Sync. Примечание. В настоящее время функция Proxy Sync отключена по умолчанию и будет включена в будущем выпуске.

    0: прокси-сервер ИТ-типа
    1: прокси-сервер типа синхронизации

    Информация о доступе к символу [MAX_FQDN_LENGTH]

    Информационный формат UINT16

    Целое число, описывающее формат и интерпретацию свойства AccessInfo (будь то IPv4, IPv6 или FQDN)

    Порт UINT16

    Char NetworkDnsSuffix [MAX_DNS_SUFFIX_LENGTH]

    Доменное имя сети, к которой принадлежит этот прокси. MAX_DNS_SUFFIX_LENGTH=192

    Приоритет UINT

    Инициализируется текущим значением счетчика приоритета при добавлении прокси-сервера и повышается до наивысшего приоритета при каждом использовании прокси-сервера. Приоритет также можно повысить вручную до наивысшего с помощью функции UpdatePriority.

    Дополнительная функция обновления приоритета до наивысшего, UpdatePriority, доступна как локально, так и удаленно.

    Этот класс реализует следующие методы: Get и Put .

    Функция AddProxyAccessPoint добавляет прокси-точку доступа, которая будет использоваться, когда микропрограмме потребуется открыть соединение, инициированное пользователем:

    Удаленный доступ, инициируемый клиентом

    Чтобы просмотреть сводку инвентаризации Intel vPro для устройства

    В списке Все устройства щелкните правой кнопкой мыши устройство Intel vPro и выберите Параметры Intel vPro > Сводка Intel vPro.

    Сводка показывает общую информацию об устройстве, такую ​​как имя устройства и IP-адрес, а также информацию, относящуюся к микросхеме Intel AMT и аппаратному обеспечению устройства Intel vPro, такую ​​как номер версии AMT, BIOS, производитель и серийный номер. .

    Доступ к устройствам, для которых настроен корпоративный режим

    При инициализации устройства Intel vPro в режиме предприятия главный сервер устанавливает сертификат на устройстве для безопасного обмена данными. Если устройство должно управляться другим главным сервером, оно должно быть деинициализировано, а затем повторно инициализировано новым главным сервером. В противном случае доступ Intel vPro устройства не будет отвечать, поскольку новый главный сервер не имеет соответствующего сертификата. Точно так же, если какой-либо другой компьютер попытается получить доступ к функциям Intel vPro на устройстве, это не удастся, поскольку у него нет соответствующего сертификата.

    Журнал событий Intel vPro

    Management Suite позволяет просматривать журнал событий, создаваемый устройствами Intel vPro. Настройки определяют, какие события фиксируются в этом журнале. Вы можете просмотреть дату/время события, источник события (столбец «Объект»), описание и серьезность в соответствии с настройками Intel vPro (критическое или некритическое). Вы также можете экспортировать данные журнала в формате, разделенном запятыми (в формате CSV).

    Просмотр журнала событий Intel vPro
    1. В списке «Все устройства» щелкните правой кнопкой мыши устройство Intel vPro и выберите «Параметры Intel vPro» > «Журнал событий Intel vPro».
    2. Чтобы экспортировать данные в файл со значениями, разделенными запятыми (CSV), нажмите кнопку «Экспорт» на панели инструментов и укажите имя файла.
    3. Чтобы удалить все данные из журнала, нажмите кнопку "Очистить журнал" на панели инструментов.
    4. Чтобы обновить записи журнала, нажмите кнопку "Обновить" на панели инструментов.

    Параметры электропитания Intel vPro

    Management Suite включает параметры для включения и выключения устройств Intel vPro. Эти параметры можно использовать, даже если операционная система устройства не отвечает, если устройство подключено к сети и имеет резервное питание.

    Когда Management Suite инициирует команды параметров питания, в некоторых случаях невозможно проверить, поддерживаются ли команды на оборудовании, получающем команду. Некоторые устройства с Intel vPro могут не поддерживать все функции параметров питания (например, устройство может поддерживать перезагрузку IDE-R с компакт-диска, но не с дискеты). Обратитесь к документации поставщика оборудования, если окажется, что параметр питания не работает с конкретным устройством. Вы также можете проверить наличие обновлений микропрограммы или BIOS от Intel для устройства, если параметры питания не работают должным образом.

    Для устройств Intel vPro: когда вы вводите команду включения, Management Suite сначала отправляет команду пробуждения Intel vPro. Если эта команда не выполнена, на устройство будет отправлена ​​обычная команда Wake on LAN.

    Вы можете просто включить или выключить питание устройства или перезагрузить устройство и указать, как оно будет перезагружено. Параметры описаны в таблице ниже.

    Отключает питание устройства

    Включает питание устройства

    Выключает и снова включает питание устройства

    Запускает устройство, используя любую последовательность загрузки, установленную на устройстве по умолчанию

    Загрузка с локального жесткого диска

    Принудительная загрузка с жесткого диска устройства независимо от режима загрузки по умолчанию на устройстве

    Загрузка с локального привода CD/DVD

    Принудительная загрузка с CD- или DVD-привода устройства независимо от режима загрузки по умолчанию на устройстве

    При перезапуске устройство с поддержкой PXE ищет PXE-сервер в сети; при обнаружении на устройстве инициируется сеанс загрузки PXE

    Перезагружает устройство, используя выбранный параметр перенаправления IDE (см. ниже)

    Вход в настройки BIOS при включении питания

    Когда устройство загружается, оно позволяет пользователю войти в настройки BIOS

    Показать окно перенаправления консоли

    Когда устройство загружается, оно запускается в последовательном режиме через локальную сеть, чтобы отобразить окно перенаправления консоли

    Перенаправление IDE: перезагрузка с дискеты

    При загрузке устройства оно запускается с указанного дисковода гибких дисков

    Перенаправление IDE: перезагрузка с CD/DVD

    При загрузке устройства оно запускается с указанного дисковода компакт-дисков

    Перенаправление IDE: перезагрузка с указанного файла образа

    Когда устройство загружается, оно запускается с указанного файла образа (файлы образов дискет должны быть в формате .img, а файлы образов компакт-дисков должны быть в формате .iso; см. примечание ниже)

    Чтобы использовать параметры питания Intel vPro
    1. В списке «Все устройства» щелкните правой кнопкой мыши устройство Intel vPro и выберите «Параметры Intel vPro» > «Диспетчер удаленной загрузки Intel vPro».
    2. Выберите команду питания.
    3. Если вы выберете «Перезагрузить», выберите вариант загрузки.
    4. Если вы выберете метод загрузки с перенаправлением IDE, укажите дисковод для гибких дисков или компакт-дисков или файл образа.
    5. Если сеанс IDE-R все еще открыт и вы хотите закрыть его, нажмите «Закрыть сеанс IDE-R».
    6. Нажмите «Отправить», чтобы инициировать команду питания, или нажмите «Закрыть».

    Примечания по использованию параметров перенаправления IDE

    При использовании параметров перенаправления IDE файлы образов дискет должны быть в формате .img, а файлы образов компакт-дисков должны быть в формате .iso. Для некоторых BIOS может потребоваться, чтобы образ компакт-диска располагался на жестком диске.

    Intel vPro обычно запоминает последние настройки IDE-R, но Management Suite очищает настройки через 45 секунд, поэтому при последующих загрузках функция IDE-R не перезапускается. Сеанс IDE-R на устройстве Intel vPro длится 6 часов или до отключения консоли Management Suite. Любая операция IDE-R, продолжающаяся по прошествии 6 часов, будет прекращена.

    ПРИМЕЧАНИЕ. В некоторых случаях может показаться, что процесс загрузки IDE-R истекает по тайм-ауту на консоли Serial-over-LAN (SOL), хотя на самом деле процесс загрузки все еще продолжается. Если инициализация загрузочного образа и отправка данных на консоль SOL занимает слишком много времени, консоль SOL перестанет обмениваться данными, и связь с клавиатурой будет потеряна. Это происходит, когда носитель, используемый для загрузки, имеет медленное время отклика и для инициализации требуется более 60 секунд (что является максимально допустимым значением тайм-аута). Если вы столкнулись с этой проблемой при загрузке с гибкого диска или другого носителя, мы рекомендуем выполнять загрузку с файла загрузочного образа (.img), а не со съемного носителя.

    Удаленный доступ для устройств Intel vPro

    Устройствами Intel vPro (версия 4.0 и выше) можно управлять удаленно из консоли LANDesk Management Suite. Когда устройство Intel vPro находится за пределами сети, в которой находится консоль Management Suite, связь с главным сервером — через сетевой брандмауэр и демилитаризованную зону — обеспечивается функцией удаленного доступа.

    Чтобы управляемое устройство могло использовать удаленный доступ, в его прошивке должна быть применена политика удаленного доступа. Он также должен иметь два сертификата, доверенный корневой сертификат и сертификат клиента, которые соответствуют сертификатам главного сервера Management Suite. (Это те же сертификаты, которые используются в продуктах LANDesk.) Функции удаленного доступа позволяют создавать политику удаленного доступа и применять ее к микропрограмме управляемых устройств.

    После того как вы сконфигурировали устройство и настроили сервер шлюза Intel vPro, удаленные сеансы с управляемого устройства открываются по регулярному расписанию, которое вы укажете (обычно один раз в день). Когда удаленный сеанс инициирован, устройство отображается в списке открытых сеансов в диалоговом окне конфигурации удаленного доступа Intel vPro. Кроме того, страница состояния клиента в Management Suite указывает, что сеанс открыт.

    ПРИМЕЧАНИЕ. Обратите внимание, что в процессе разработки удаленный доступ получил название Client-Initiated Remote Access или CIRA. Если вы видите ссылки на CIRA, они относятся к удаленному доступу. Сервер шлюза Intel vPro ранее назывался Management Presence Server (MPS), поэтому вы можете увидеть ссылки на MPS, связанные с сервером шлюза. Кроме того, в документации Intel может упоминаться функция «Быстрый вызов помощи», которая является опцией удаленного доступа, инициируемой клиентским устройством.

    Вы можете включить удаленный доступ, используя сервер в своей сети, который будет действовать как сервер шлюза Intel. Для этого требуются следующие две общие задачи:

    • Запустите исполняемый файл установки на сервере и настройте сервер для использования в качестве сервера шлюза Intel vPro
    • Настройте параметры конфигурации удаленного доступа и обнаружения сетевой среды на главном сервере Management Suite

    Документация по настройке удаленного доступа находится на главном сервере в папке \Programs Files\LANDesk\Management Suite\Install\vpro\remoteaccess. (Это папка, в которой находится исполняемый файл.)

    Недавно Intel выпустила очень важное обновление, предназначенное для устранения девяти отдельных недостатков безопасности в их наборах микросхем в рамках обновления платформы за сентябрь 2020 г.

    Из недостатков, устраненных этим исправлением, один из них — серьезная проблема, связанная с технологией Active Management Technology (AMT) и платформами Intel Standard Manageability.

    Это важно, поскольку технология AMT используется во многих процессорах Intel, и исправление этого недостатка, в частности, помогает обеспечить безопасность большого количества машин.

    Эта уязвимость, отслеживаемая как CVE-2020-8758, имеет оценку серьезности 9,8 и особенно опасна, поскольку позволяет удаленно повысить привилегии при успешном выполнении. В корне уязвимость существует из-за неправильных ограничений буфера в сетевой подсистеме.

    Джерри Брайант, директор Intel по коммуникациям, сказал об этой проблеме следующее:

    "Для клиентов, использующих системы Intel vPro, в которых не настроен AMT, аутентифицированный пользователь с локальным доступом к системе может по-прежнему иметь возможность повышать привилегии. Если платформа настроена на использование удаленного доступа, инициированного клиентом (CIRA ) и обнаружение среды настроено на то, чтобы указать, что платформа всегда находится вне корпоративной сети, система работает только в режиме CIRA и не подвергается воздействию сетевого вектора."

    Основной вопрос: уязвимы ли вы и нужно ли вам обновление? Простой ответ заключается в том, что вы уязвимы, если у вас есть одна из следующих версий AMT и ISM (или более ранних):

    • 11.8.79
    • 11.12.79
    • 22.11.79
    • 12.0.68
    • 14.0.39

    Если и есть утешение, так это то, что в настоящее время нет доказательств того, что хакеры активно используют эту уязвимость.

    Естественно, со временем это изменится, так что часы тикают, чтобы обновить ваши системы.

    Полный список недостатков, устраненных в последнем обновлении, доступен на веб-сайте Intel, но если вы давно не применяли какое-либо обновление, стоит сделать его приоритетным.

    Читайте также: