###
  • Programok
  • Biztonság
  • hírek
  • Érdekes
  • Tanácsot
  • hírek
  • Vélemények

    • Intel vPro technológia megvalósítása GIGABYTE UNITED alaplapokon. A BIOS Setup távoli kezelése

    27.03.2020 Érdekes

    Egyszer régen, amikor még nem voltam programozó, de már barátkoztam a számítógépekkel, az olyan technológiák, mint a RAdmin, olyanok voltak számomra, mint a csoda. Csatlakozhatsz egy távoli számítógéphez, akárcsak a hackerekről szóló legmenőbb filmben, nyithatsz egy jegyzettömböt, és írhatsz oda egy fenyegető üzenetet. Igaz, nem volt hol használnom.

    Aztán bejött az ssh az életembe: először elképesztő volt a felismerés, hogy tengerentúlon irányítasz egy szervert, de mára általánossá vált. Amíg véletlenül be nem írja, hogy halt, igen. Ezután elkezdi megnyitni a tárhely adminisztrációs paneljét, és megpróbál bejelentkezni a szerverfelügyeleti konzolba az elindításához. És valamiért ma buta. Aztán írsz, hogy támogasd, és ideges leszel. Nem igazán szeretem. De ezek az én személyes programozási félelmeim.

    Egyszer egy régi munkahelyen, adminisztrátorváltás után egy újonnan érkező úgy döntött, hogy helyreállítja a rendet a számítógépparkban, és ehhez odament a számítógéphez, kirúgta az alkalmazottat, letöltötte az Everestet, lefuttatta a diagnosztikát és az eredményt fájlba mentette. . Így, miután három emeleten mindössze ~60 munkaállomást látogatott meg, megtudta, milyen hardver áll a rendelkezésére. Kényelmetlen.

    És itt jön a képbe az Intel vPro.

    Az Intel vPro egy olyan dolog, amely lehetővé teszi, hogy ne féljen a fent leírt dolgoktól, és még sokkal többet is tegyen. A vPro két összetevőből áll: hardverből és szoftverből, ezekről a vágás alatt mesélek.

    Hardver

    Hardver szinten szükség van egy processzorra és egy alaplapra (a lapkakészlet általában Q-val kezdődik, de meg kell nézni a specifikációkat), amely támogatja a vPro-t. Az alaplap beépített gigabites hálózati kártyával és videó adapterrel rendelkezik, amelyek alacsony szintű munkára képesek. A gyakorlatban ez azt jelenti, hogy nem csak, hanem anélkül is csatlakozhat a számítógéphez a vPro használatával hálózati illesztőprogramok OS, és maga az operációs rendszer nélkül! És igen, távolról is beléphet a BIOS-ba.

    Támogatja a vezetékes és vezetéknélküli kapcsolat. WiFi esetében nincs sok hely a fantáziának - az operációs rendszert fel kell tölteni, és rá kell kötni a hozzáférési pontra, de vezeték segítségével akár kikapcsolt számítógéphez is csatlakoztatható. Nos, ezt mondják a marketingesek: a valóságban a kikapcsolt számítógépet be lehet kapcsolni, és a szokásos módon lehet folytatni.

    Szoftver rész

    A szoftverrész az AMT rövidítésben található - ez az Intel Active Management Technology, amely kapcsolatokat szolgál ki és hatalmas képességekkel rendelkezik.

    Először is, a számítógépet úgy kell konfigurálni, hogy működjön a vPro-val, és ehhez fizikai hozzáférésre lesz szükség. Ezek után, ha szerverről van szó, akkor elveszhet vagy befalazható egy szobában, mint az adminisztrátorokkal kapcsolatos viccekben. Ha az adminisztrátor egy szobában van a pácienssel helyi hálózat, nem merül fel probléma, ha a megfelelő számítógép NAT mögé rejtve - a hozzáféréshez telepítenie kell egy kiszolgálót. Az igazság nem is lehet más – alapvető követelmények hálózati biztonság.

    A kommunikációs munkamenet titkosított, és a szerverhez való hozzáférés a konzolon (soros LAN-on keresztül), webes felületen vagy VNC-n keresztül érhető el. A webes felület feltűnően működő dizájnnal rendelkezik (ami táblagépeken tökéletesen megjelenik), és lehetővé teszi a hardverről, annak állapotáról statisztikák lekérését és a számítógép újraindítását, a hálózati interfész és az AMT hozzáférési házirendek konfigurálását, az események előzményeinek megtekintését - megtudhatja, miért a titkárnő nem indítja el a rendszert anélkül, hogy a számítógépe közelébe menne.

    Ha konzolon és VNC-n keresztül csatlakozik, mindent megtehet: a vPro teljes értékű KVM-et biztosít a helyi géptől a távoliig, támogatja az 1920x1200-ig terjedő képernyőfelbontást, és meg tudja nézni, hogyan indul a rendszer a BIOS inicializálásától a közvetlenig. OS betöltés. Ebben az esetben még a rendszer újraindításakor sincs leállás! Az egyetlen dolog az, hogy a BIOS eléréséhez nem tudja egyszerűen megnyomni a Törlés gombot, amikor a rendszer elindul, és ki kell választania a speciális „Reboot to BIOS” elemet.

    Ezután a BIOS ténylegesen betöltődik.

    Ami különösen jó, hogy VNC-n keresztül csatlakozhat egy távoli géphez, még akkor is, ha a hálózati kártya illesztőprogramjai meghibásodtak (végül is a vPro alacsonyabb szinten működik, mint az operációs rendszer), és az összes illesztőprogramot közvetlenül VNC-n keresztül telepítheti. És ha ez még megoldható az irodán belül, akkor előfordulhat, hogy nem megy az adatközpontba.

    Van egy másik érdekes szolgáltatás, az IDE-R, amely lehetővé teszi a rendszerindítást külső forrás mintha belső lenne HDD. Vagyis csatlakozhat VNC-n keresztül, megadhatja a letölteni kívánt képet, és egy ismert működő rendszerbe indítható. Ez nagyon hasznos funkció lehet mind a diagnosztikában, mind az adminisztrációban. Például elindíthat egy kliensgépet olyan rendszerrel, amelyben referenciavírus-kereső van konfigurálva, átvizsgálhatja a merevlemezt, és észrevétlenül hagyhatja.

    A biztonságról

    A vPro használatával az Intel Anti-Theft technológia működik. Ha a laptopját ellopják, lépjen kapcsolatba az Intellel, és blokkolják. Az Intel blog már rendelkezik ezzel a technológiával. A letiltás után a számítógép új tulajdonosa ezt a képet fogja látni.

    Következtetések és hivatkozások

    Hamarosan, amikor ismét megváltozik a számítógépek generációja, még a legigénytelenebb felhasználóknak, sőt még korábban a progresszív cégeknek is ugyanannyi munkája lesz az adminisztrátoroknak, de sokkal kellemesebb lesz ezt csinálni.

    Feliratkozás a megjegyzésekre a poszthoz – ígérik, sok érdekességet tartalmaznak. Vagy nézd meg a témát pár napon belül – a legérdekesebb kommenteket külön listába teszem a poszt alján.

    vPro - távoli felügyelet a hálózaton

    A szervezeti hálózatokban több tíz vagy akár több száz számítógépet kell kezelni, fenntartva az informatikai infrastruktúra stabil működését, hiszen ez a vállalkozás alapja. Ez a feladat pedig gyakran sok erőfeszítést, időt és pénzt igényel. Számítógépek be kis szervezetek Viszonylag könnyű kezelni, mert nem kell emeletről emeletre vagy különböző épületek között rohanni. Ha rohangálni kell, akkor még az olyan alapvető feladatok is, mint a leltározás, a szoftverfrissítés vagy a hibás alkatrészek cseréje, rengeteg idejét lefoglalhatják az informatikusoknak, ami elég fillérbe kerül.

    A piacon van különböző rendszerek vezérlés, de legtöbbjük működő operációs rendszert igényel egy távoli számítógépen vagy egy speciális modul telepítését, ami szintén pénzbe kerül. Az operációs rendszer-specifikus megoldások általában nem biztosítanak hozzáférést a BIOS-beállításokhoz, és nem teszik lehetővé a rendszerindítási sorrend megváltoztatását, hidegindítást vagy hasonló műveleteket. Ha az operációs rendszer valamilyen okból (például vírustámadás vagy súlyos szoftverhiba miatt) nem indul el, akkor többé nem lehet hozzáférni a távoli rendszerhez, és az adminisztrátornak kell kezelnie a probléma a helyszínen. Bár vannak olyan szabványok, amelyek az operációs rendszer alatti szinten biztosítják a PC vezérlését, hiányzik belőlük a kényelem és a rugalmasság. Ilyenek például az olyan szolgáltatások, mint az ébresztés LAN-on, a modem vagy az RTC. Van egy PXE (Pre-Boot Execution Environment) környezet is, amely lehetővé teszi a számítógép távoli hálózati forrásból történő indítását. Ezzel telepítheti az operációs rendszert vagy frissítheti a BIOS-t anélkül, hogy fizikai adathordozót telepítene a számítógépére. A hálózati kártya egy PXE rendszerindító szervert keres a helyi hálózaton, amely hozzáférést biztosít az NBP-hez (Network Bootstrap Program). Végül az ASF (Alert Standard Format) formátum felelős a hibák és hibák észleléséért. OS független szolgáltatást nyújt. Az ASF azonban korántsem tökéletes, mivel nem támogatja a hitelesítést, a titkosítást, az újraindítási képességeket, a valós idejű távfelügyeletet, a távoli BIOS-frissítéseket és a házirendeket.

    Mi az a vPro?

    A vPro a technológia marketingneve, hasonlóan a Viivhez vagy a Centrino-hoz. A vPro a vállalati környezetet célzó funkciók halmazára utal. Lényegében az Intel portfóliójában található funkciók és technológiák kombinációját kapjuk: a vPro a 965-ös lapkakészlet egy speciális verzióját igényli, nevezetesen a Q965-öt, amely támogatja az Intel AMT-t (Active Management Technology). Végül a vPro webhely felsorolja a Core 2 Duo processzort a vPro részeként, bár a miénk tesztrendszer Az Acertől Pentium D-vel szerelték fel. A VT (Intel Virtualization Technology) processzoroldali támogatása itt fontos, hogy a karbantartó operációs rendszert is futtatni tudja.

    Az Intel vPro leírása a felügyeleti és biztonsági funkciókat hangsúlyozza. A vPro lehetővé teszi a helyszíni hívások számának csökkentését és az informatikai infrastruktúra karbantartásának általános költségeinek csökkentését. Ezenkívül az Intel zökkenőmentes integrációt ígér a meglévő felügyeleti infrastruktúrába. A felügyeleti funkciók alatt az Intel azt a képességet érti, hogy az operációs rendszertől és a rendszer állapotától független hardverkapcsolaton keresztül leltárt készíthet a számítógépről, beleértve az alkatrészeket is. Rendszerinformációkat gyűjthet, vagy a vPro rendszer kis nem felejtő memóriájából szerezheti be. A kliens oldalakra irányuló hívások számának csökkentését a távoli letöltés, diagnosztika és helyreállítás/mentés támogatása biztosítja. A biztonságot a hálózati forgalom szűrése, a fertőzött rendszerek egyszerű elkülönítése és karanténja biztosítja. Az ügyfelekkel kapcsolatos információk mindig a legfrissebbek lesznek, lehetőség nyílik a frissítések távoli telepítésére és opcionálisan virtuális környezetek létrehozására a karbantartáshoz.

    A vPro saját alhálózatát használja a felügyelethez, bár a kommunikáció a meglévő fizikai infrastruktúrán keresztül történik. A BIOS vPro bővítménye lehetővé teszi, hogy dinamikusan szerezzen be IP-címet egy DHCP-kiszolgálóról, de manuálisan is beállíthatja. A vPro beépített Hálózati vezérlő, Egyéb hálózati kártyák nem támogatottak. Az összes vezérlőművelet a számítógép tevékenységi állapotától (hibernált, alvó, bekapcsolt) vagy az operációs rendszer állapotától függetlenül működik.

    Hol jön be az AMT?

    A vPro nagymértékben támaszkodik az Intel Active Management Technology-ra (AMT). Az AMT platformszolgáltatások és szoftverek kombinációja, amelyeket általában külső fejlesztők biztosítanak. A cikkben ismertetett szolgáltatások többsége az AMT része.

    vPro kell?

    Természetesen a vPro támogatás nem ingyenes, de a vPro-val rendelkező platformok nem olyan drágák. Ezt a technológiát nagyvállalati környezetekhez ajánljuk, de a döntés a kisvállalkozások számára nehezebb. A vPro Intel Q965 lapkakészletet igényel, de anya chipkészletek Az ezen a lapkakészleten alapuló üzleti osztályú lapkakészletek általában nem alkalmasak a rajongók számára, mivel nem rendelkeznek további kiegészítők vagy jó túlhajtási támogatás. Igen, a vPro platform lehetőséget ad a számítógépek egészen más szintű kezelésére, de a döntést egyénileg kell meghozni.

    AMT/vPro rendszerbeállítása

    A rendszer beállítása az AMT/vPro-val való együttműködéshez nagyon egyszerű. Be kell lépni a menedzsment BIOS-ba, amit a POST teszt (power-on self test) után a “CTRL+P” megnyomásával tehetünk meg, ott több alapbeállítást is megadhatunk. Ne felejtse el engedélyezni az AMT képességeit.

    Az Intel Management Engine BIOS kiterjesztés főmenüje. A POST teszt után a „CTRL+P” billentyűkombinációval léphet be.

    Általában egy kicsit zavarban voltunk, amikor először megpróbáltuk elindítani az AMT-t és beállítani a technológiát. Kaptunk vPro alaplapot az MSI-től és vPro számítógépet az Acertől, de mindkét esetben nem volt dokumentáció. A BIOS kiterjesztés bekapcsolásához MSI tábla, ki kellett találnunk az előre beállított jelszót (ami egyébként "admin" lett). Ugyanaz az alapértelmezett jelszó volt az Acer PC-n is.

    A további műveletek végrehajtása előtt a BIOS megköveteli a jelszó megváltoztatását. De ismételten, ez a művelet nem nevezhető intuitívnak, mivel a jelszókövetelmények nagyon szigorúak, és kevésbé tapasztalt felhasználók Nem valószínű, hogy azonnal megértik, miért utasítja el a jelszót a rendszer. A jelszónak kis- és nagybetűket, számokat és szimbólumokat kell tartalmaznia. Ezen kívül van még egy pont: meg kell adni a számítógép gazdagépnevét, csak ezután fog működni az AMT/vPro - az IP-cím beállítása (statikus vagy DHCP-n keresztül) nem elegendő. A beírt információ ezután módosítható.

    Több oldalas Intel dokumentációnk volt, de még mindig nem volt gyors útmutató. Végül megkaptuk a 190 oldalas vPro telepítési útmutató dokumentumot. Sok a dokumentáció, ezért próbáljon időt szánni annak tanulmányozására.


    Az AMT beállítási menüje számos fontos lehetőséget tartalmaz.

    vPro for Enterprise: SCS-sel

    A vPro kétféle változatban érhető el, az első a kisvállalkozásoknak, a második a vállalati szektornak szól, és támogatja a kulcshitelesítést és -titkosítást. A vállalati verzióhoz szükség van egy SCS (Setup and Configuration Server) szerverre, amely a titkosításért és a hitelesítésért felel.


    Az AMT Commander egy segédprogram az AMT funkciók kezelésére, de az Intel csak a fejlesztők számára teszi elérhetővé. A vPro környezet általában harmadik féltől származó alkalmazásokra épül.

    Az AMT Commander a két vPro felügyeleti segédprogram egyike. De azért hozták létre, hogy segítse a fejlesztőket, és nem valószínű, hogy valós rendszerekben használják. Ezért a rendszergazdáknak harmadik féltől származó segédprogramokra kell támaszkodniuk. De a függvénykészlet viszont meglehetősen összehasonlítható. A Commander vPro-kompatibilis ügyfélszámítógépekhez csatlakozik. A segédprogram lehetővé teszi a vPro-val rendelkező számítógépek megtalálását, összetevőik megtekintését és teljesítményét alapbeállítások AMT.


    Az AMT Commander lehetővé teszi, hogy megtalálja a vPro/AMT-t támogató számítógépeket, de meg kell adnia egy IP-címtartományt a vizsgálathoz.

    Miután sikeresen megkereste a vPro rendszereket egy adott tartományban, megkezdheti az ügyfelekkel való munkát. Fontos, hogy minden kliensnek legyen meghatározott AMT gazdagépneve, különben az Intel Management Utility nem csatlakozik. Itt engedélyezheti vagy letilthatja az AMT-szolgáltatásokat, például a SOL-t (soros LAN-on keresztül) vagy az IDE-átirányítást (LAN-on keresztüli rendszerindításhoz).


    Az AMT Commander bármely vPro PC-hez csatlakozik, amely megfelelően konfigurált és elérhető a hálózaton keresztül.



    Beállíthat megfigyelőket, amelyek figyelik az ügyfélszámítógépen futó alkalmazásokat.


    Kattintson a képre a nagyításhoz.

    AMT igazgató – második Szoftver csomag, amit tesztelésre kaptunk. Ez ismét egy fejlesztőknek szánt eszköz, így a valós környezetek különböző megoldásokat fognak használni. Az AMT igazgató fő célja a konfiguráció és a kiépítés. A program alapvetően init szerverként működik.


    Ismét először csatlakoznia kell.

    A vállalati környezet kiépítési kiszolgálója biztonsági tanúsítványokat és sablonokat ad ki a vPro-ügyfeleknek. Érdemes megemlíteni, hogy minden ügyfélkapcsolat titkosítva van, kivéve, ha az AMT vállalati módban fut.

    Ha a PC gyártója előre telepítette a vállalati AMT módhoz szükséges úgynevezett szoftverkulcsokat, akkor a vPro kliens első kapcsolatfelvétele a szolgáltató szerverrel elindítja az úgynevezett Zero-Touch Setup eljárást, amely az AMT szolgáltatások teljesen automatizált konfigurációja.


    Kattintson a képre a nagyításhoz.

    Az AMT webes felülete talán a leginkább egyszerű eszközökkel vPro számítógépek kezelése, mert az AMT szolgáltatások inicializálása és konfigurálása után könnyen elérhető. A harmadik féltől származó megoldásoktól függetlenül minden vPro/AMT számítógép felügyelhető a beágyazott webszerver segítségével. A webes felület a kliens rendszer IP címével vagy a kliensekhez beállított gazdagépnévvel érhető el (enélkül az AMT egyáltalán nem működik). A Remote Control funkciót különösen hasznosnak találjuk, mert lehetővé teszi a rendszer ki- és bekapcsolását, különböző meghajtóopciókkal történő rendszerindítást, vagy egyszerűen a gépek alaphelyzetbe állítását. Itt jelentős különbség van a Windows alatti Távoli asztal kapcsolathoz képest: ha alatt Windows leállítás- egy szoftveres folyamat, amelyet az operációs rendszer hajt végre, majd az AMT kikapcsolása áll a legközelebb egy egyszerű tápkapcsolóhoz.


    A rendszerinformációk nagyon részletesek, és sok olyan információt talál itt, amelyet általában csak az operációs rendszeren keresztül futó felügyeleti eszközökön keresztül kap meg.



    Az eseménynapló is részletes.

    A távirányító funkció nagyon hasznos. Képzelje el, hogy az egyik számítógépe nem hajlandó elindulni, és nem fér hozzá a hagyományos eszközökhöz távirányító, mint például a VNC vagy a Remote Desktop. Ebben az esetben az AMT reset funkció a rendszer hardveres alaphelyzetbe állítását eredményezi.

    Az AMT támogatja a virtuális LAN-okat, lehetővé téve két különböző futtatását hálózati kapcsolatok kettőbe logikai hálózatok egy fizikai kábelen keresztül. Általában a VLAN-okkal rendelkező switcheket használják az ilyen hálózatok támogatására, de az AMT VLAN funkciója normál hálózati hardverrel működik anélkül, hogy zavarná a normál adatátvitelt.


    Rendszergazdaként vagyunk bejelentkezve, de az AMT/vPro támogatja a különálló, felügyeleti jogokkal rendelkező felhasználók létrehozását.


    Az AMT firmware ettől függetlenül frissíthető Alaplap BIOS díjakat.


    Kattintson a képre a nagyításhoz

    Az általunk is kipróbált Terminal Tool segédprogrammal SOL-on (Serial-over-LAN) keresztül lehet elérni egy kliens gép BIOS-át. Vagyis a segédprogram teremt soros csatlakozás hálózaton keresztül. A segédprogramot használtuk a BIOS-beállítások eléréséhez, és itt sokkal több lehetőség van, mint a szabványos AMT kezelőfelület. Az összes szükséges változtatást távolról is elvégezheti. A Terminal Tool segítségével átirányíthatja a lemezkérelmeket (tehát a rendszerindításhoz távoli lemez hálózaton keresztül).


    Kattintson a képre a nagyításhoz.

    Megkaptuk az egyik első alaplapot vPro támogatással - MSI Q965MDO. Intel Q965 lapkakészletet használ, amely a G965-re emlékeztetett, hozzáadott ATM/vPro támogatással. Az alaplap tömör kondenzátorokat és négyfázisú feszültségszabályozót használ, amely elég erős egy Core 2 Quad processzor futtatásához. A hűtés passzív, ami véleményünk szerint egy irodai PC-nél fontos, hiszen senkinek nincs szüksége extra zajra.

    A déli híd hat Serial ATA/300 portot támogat, az alaplapon pedig négy DIMM foglalat található, ami teljesen normális a MicroATX formátumban. Sok olcsó modell a piacon csak két DIMM foglalatot kínál. A bővítőhelyeken való megtakarítás nem túl jó, ha később úgy dönt, hogy bővíti a memóriát.

    Van egy HD hangrendszer, egy Gigabit Ethernet vezérlő az Inteltől, egy Trusted Platform Module (TPM), egy integrált grafikus mag és egy sor USB 2.0 interfész. A bővítőkártyákhoz az alaplap két 32 bites PCI foglalattal és egy PCI Express x1 foglalattal rendelkezik. Ha erős grafikus kártyát szeretne telepíteni, akkor van egy PCIe x16 bővítőhely is.

    Az MSI nem tartalmazta a vPro dokumentációt a csomagban. A cég egyértelműen vPro-képes kártyákat szeretne eladni, de a szoftvert, az összeszerelést és a konfigurációt a kivitelező cégekre bízzák.

    Mivel a vPro első futtatása az MSI Q965MDO-n sikertelen volt, úgy döntöttünk, hogy tesztelünk egy teljesen összeszerelt PC-t vPro támogatással. Megkaptuk a megfelelő modellt az Acertől, nevezetesen: Veriton 3900 Pro. Ez egy meglehetősen érdekes rendszer, bár nem a legmodernebb Pentium D processzorral és mindössze 512 MB memóriával (DDR2-533, kétcsatornás módban) van felszerelve. Ezenkívül nem telepíthet szabványos bővítőkártyákat, mivel a forma csak alacsony profilú kártyákat tesz lehetővé. Teljesen egyértelmű, hogy ez egy irodai PC, amely valószínűleg nem lesz vezető a tesztekben, és rugalmassága korlátozott. De a számítógép támogatja a vPro-t, amire először is szükségünk volt. Ezen túlmenően a támogatást a 945G chipkészlet biztosítja, amely egyértelműen a vPro szó marketing gyökereiről beszél. Valójában ez a technológia nincs olyan szorosan a hardverhez kötve, mint azt az Intel szeretné.

    A rendszer nagyszerűen működött, és ténylegesen tesztelni tudtuk a vPro távfelügyeleti funkcióit. Bár van okuk a kritikára is: a ventilátor nagy zajt ad a rendszer indításakor, és akkor is, ha a BIOS-ban letiltja a forgási sebesség szabályozását. A rendszer azonban nem valószínű, hogy túlmelegszik. De ennek ellenére a szomszéd porszívó zaja aligha kellemes.

    Következtetés

    Általában nevezzük vPro-nak nagyszerű új találmány A nyelv nem forog. A technológia tulajdonképpen nem igényli az Intel legfrissebb generációját, és már láttunk hasonló funkciókat (mondjuk az AMT-t). De a vPro egy nagyon intelligens marketing kezdeményezés, amely többfélét is kombinál hasznos funkciókat, amely lehetővé teszi az Intel számára, hogy minél több chipet értékesítsen egy ilyen vonzó márkanév alatt. Ez a megközelítés jól működött a Centrino esetében, és többé-kevésbé működött Viiv esetében is. De ismételten fontos megérteni, hogy a vPro nem igényli a legújabb lapkakészleteket ill Core processzorok 2, hogy élvezze az Intel távfelügyeleti technológia minden előnyét. Bár természetesen érdemes odafigyelni a legújabb hardver beszerzésére, ha valamilyen speciális felügyeleti szolgáltatást szeretnénk használni, vagy a jövőben frissíteni szeretnénk az AMT/vPro-t. Például a közeljövőben lehetőség nyílik a vPro-val való együttműködésre vezetéknélküli kapcsolat, de szintén Hardver kompatibilisnek kell lennie.

    Technológiai szempontból negatív vonatkozással nem találkoztunk. Ha tudja, mire kell figyelnie, percek alatt beállíthatja a kliens PC-ket távoli kezelésre a vPro segítségével. Vállalati környezethez megfelelő rétegre lesz szüksége egy inicializálási szerverrel, amely tanúsítványok kiadásával további biztonsági szintet biztosít. De egy ilyen megoldáshoz képzett rendszergazdákra is szükség van.

    Általában véve a vPro-kompatibilis számítógépek bevezetésének előnyei meglévő hálózat Van. Használhatja a meglévő távoli felügyeleti eszközöket és hozzáadhat vPro/AMT támogatást. Vagyis először a megfelelő felszerelésbe lehet beruházni, később pedig egy távirányító rendszert valósíthat meg.

    A vPro a rajongók és a túlhúzók számára is nagyon érdekes, mivel hozzáteszi új szint a rendszer ellenőrzése és kezelése. A számítógép be-, kikapcsolható és újraindítható a hálózaton keresztül. Még az újratervezett vPro megoldások megjelenését is megjósolhatja, amelyek lehetővé teszik az egyszerű szolgáltatások webes felületen keresztüli nyújtását, még akkor is, ha a számítógép ki van kapcsolva. Ha azonban szereti a nagy teljesítményt, a gazdag szolgáltatáskészletet és a túlhajtási lehetőséget, akkor ezek és a vPro között kell választania, mivel még nem találtunk olyan alaplapot, amely egyszerre támogatná a vPro-t és a rajongók számára kínált lehetőségeket.

    Véleményünk szerint minden számítógépnek tartalmaznia kell valamilyen távirányítót további költségek nélkül. Vállalati ügyfelek valószínűleg pénzt akar majd költeni bonyolultabb vezérlőrendszerekre, de a végfelhasználót ez valószínűleg nem zavarja további funkciókat gyakorlatilag semmiért.

    Konfigurációs táblázat

    I. rendszer
    Aljzat 775 Intel Core 2 Extreme E6300 (Allendale 65 nm, 1,86 GHz, 2 MB L2 gyorsítótár)
    Alaplap MSI Q965MDO, lapkakészlet: Intel Q965, BIOS: 2006-12-19
    memória 2x 1024 MB DDR2-667 (CL 5.0-5-5-15), Corsair CM2X1024-6400C3 XMS6403v1.1
    Videokártya Intel GMA 3000
    HDD 160 GB, 7200 ford./perc, 8 MB gyorsítótár, SATA/300, Western Digital WD1600AAJS
    DVD-ROM Gigabyte GO-D1600C (16x)
    Rendszer II
    Aljzat 775 Intel Pentium D 925 (Presler 65 nm, 3,0 GHz, L2 gyorsítótár 2x2 MB)
    Alaplap Acer FQ965M, lapkakészlet: Intel Q965, BIOS: R01-A3
    memória 1x 512 MB DDR2-533 (CL 5.0-4-4-12), Apacer
    Videokártya Intel GMA 3000
    HDD 80 GB, 7200 rpm, 8 MB gyorsítótár, SATA/150, Western Digital WD800JD
    DVD-ROM Gigabyte GO-D1600C (16x)
    Szoftver
    Intel platform INF 8.1.1.1010
    DirectX Verzió: 9.0c (4.09.0000.0904)
    OS Windows XP, Build 2600 SP2

    CHRIS KASPERSKI

    Távirányítható BIOS beállítások

    Mindannyian életében legalább egyszer szembesültek azzal, hogy be kell lépniük a BIOS-beállításba, és kissé „meg kell változtatniuk” vagy meg kell javítani egy „lefagyott” Windows NT, Linux/FreeBSD rendszert. Hagyományosan ezt a feladatot egér és billentyűzet segítségével oldják meg, de mi van akkor, ha a szerver fizikailag nem elérhető?

    Az IBM PC család számítógépei hosszú ideje olcsó munkaállomásoknak számítottak, és az ezekre épülő szervereket csak a közelmúltban kezdték építeni. A fejlesztők növelték a processzorok számát, hozzáadták a memóriajavítás támogatását, hibatűrőek lemeztömbökés más örömök, de a teljes átalakulás szerverré nem jött össze. Konkrétan a probléma továbbra is fennállt távoli ügyintézés. A Windows NT család operációs rendszerei csak formálisan támogatják a távvezérlést. Még az olyan programok is, mint a Remote Admin, egy korlátozott számú egyszerű műveletet hajtanak végre, és nem képesek teljes körűen kiszolgálni egy szervert a hálózaton keresztül. A UNIX világában a dolgok kicsit jobbak, de még mindig vannak problémák.

    Például a BIOS megtagadja a rendszerindítást, és arra kéri, hogy kattintson a BIOS Setup programba való belépéshez vagy az alapértelmezett paraméterekkel történő rendszerindításhoz (lásd 1. ábra). De a szerver a város másik felén található, sőt egy olyan helyiségben is, amihez a rendszergazda nem rendelkezik kulcsokkal. Ismerős helyzet, nem? Egy másik lehetőség: a következő frissítőcsomag telepítése után az operációs rendszer „meghalt”, áldozattá vált hacker támadás vagy csak lefagyott. Mindezekben az esetekben szabvány azt jelenti távirányító már nem működik, és közel kell kerülnie a szerverhez, ami elég nehéz. Még ha a szerver a következő emeleten található is, sokkal jobb kezelni anélkül, hogy elhagyná kedvenc székét, mint hajlékonylemezekkel (lézerlemezekkel) ide-oda rohangálni.

    És tényleg meg lehet csinálni! Legalább háromféleképpen szeretnék beszélni.

    Távoli BIOS vezérlés

    A BIOS rendszerindítási sorrendje általában így néz ki. Az első, amely megkapja a vezérlést, a BOOT-blokk (boot blokk vagy elsődleges betöltő, nem tévesztendő össze a rendszerindító szektorral!). Elvégzi a fő hardver inicializálását ( RAM, megszakításvezérlő, rendszeridőzítő stb.), átvizsgálja az ISA buszt, és csatlakoztatja az összes észlelt eszköz BIOS-át (például SCSI-vezérlők, videó, hálózati kártyák stb.). A munka befejezése előtt a BOOT-block kicsomagolja a fő BIOS-kódot (az úgynevezett BIOS-bővítményeket vagy másodlagos rendszerbetöltőt), és átadja neki a vezérlést. A másodlagos rendszerbetöltő átvizsgálja a PCI buszt és végrehajtja a végső hardver inicializálást – felismeri az IDE-meghajtókat, szükség esetén megjeleníti az interaktív BIOS-beállító szerkesztőt, elosztja a rendszer erőforrásait a PnP-eszközök között, és végül beolvassa a rendszerindító szektort egy hajlékonylemezről vagy merevlemezről.

    Így a bővítőkártyákra telepített BIOS-ok vezérlése az inicializálás nagyon korai szakaszában történik, jóval azelőtt, hogy a CMOS-ellenőrző összeg számítása vagy a másodlagos rendszerbetöltő kicsomagolása megkezdődne. Egyébként a legtöbb BIOS-író segédprogram nem érinti a BOOT-blokkot, és még ha az írás sikertelen is, az ISA bővítőhelyek továbbra is inicializálva vannak. A PCI bővítőhelyekkel minden sokkal bonyolultabb, és általában csak a másodlagos bootloaderből érhetők el (és elhal, ha az égés nem sikerül). Egyes gyártók, például az ASUS, egy speciális illesztőprogramot tartalmaznak a BOOT-blokkban a PCI busszal való együttműködéshez, hogy az alaplap inicializálhassa a videokártyát, és legalább valamit megjeleníthessen a képernyőn, még akkor is, ha a fő BIOS-kódot legyőzték. De nem tudok olyan BIOS-ról, aminek a BOOT-blokkja működhetne az AGP vagy PCI-express busszal.

    Ezért nem kell más, mint készíteni egy „dummy” ISA vagy PCI kártyát, telepíteni rá a „saját” BIOS-t, és programozni távirányításra. Egyszer "módosítottam" az ősi hálózati kártyákat (amiket egyszerűen kidobtak), és távirányító "panellel" alakítottam őket, amely lehetővé teszi a szerkesztést. BIOS beállítások helyi hálózaton keresztül. Nem nehéz megcsinálni! Elegendő az Assemblyben programozni, és egy kicsit érteni a hardver architektúrához (lásd 2. ábra).

    Egyáltalán nem szükséges azonban a hibakeresővel foglalkozni, minden készen megvásárolható. Az ilyen táblákat (ezeket távoli tábláknak hívják) sok cég gyártja. Általában szabványos VGA-kártyákról van szó, integrált COM-porttal, amelyhez csatlakozik külső modem. Egyes modellek Ethernet porttal rendelkeznek. Csatlakoztatható DSL-modemhez vagy kapcsolóhoz. Ezeken a portokon keresztül a képernyő másolata egy távoli monitorra kerül, és a billentyűzetről érkező parancsok érkeznek, aminek eredményeként az IBM PC valódi „nagyszámítógéppé” válik, és már nincs szükség hozzá fizikai hozzáférésre (lásd 1. . 3)!

    Nagyon népszerű a Hewlett-Packard Remote Insight modellje, amelyet PCI foglalatba helyeznek, és 10/100 Mbit Ethernet porton keresztül vezérelnek. Támogatja mind a szöveges, mind a grafikus módot (1280x1024/256 színig), és külső forrásból táplálja, ami lehetővé teszi a „Bekapcsoló” és a „Visszaállítás” gombok „megnyomását”. A távoli egér és billentyűzet mellett lehetőség van egy távoli lemezmeghajtó és egy CD-ROM meghajtó csatlakoztatására, amelyek nélkül a rendszer újratelepítése nem teljes. Ez egyszerűen fantasztikus! Bármikor indíthat Live CD-ről, és megnézheti, mi történt a szerverrel, és elmentheti a fennmaradt adatokat bármilyen adathordozóra, amely kéznél van. Ez növeli a rendszer biztonságát, mivel előfordulhat, hogy a Remote Insight-tal felszerelt szerver egyáltalán nem rendelkezik cserélhető adathordozóval!

    Egyébként a biztonságról. A Remote Insight támogatja az SSL-t és a 128 bites titkosítást, ami lehetővé teszi, hogy még nem biztonságos csatornákon is működjön (és az átlagos rendszergazdának gyakran egyszerűen nem áll rendelkezésére más csatorna).

    Minden vezérlés telneten vagy webböngészőn keresztül történik. Bármelyik a kényelmesebb az adminisztrátor számára. Szinte bármilyen operációs rendszer telepíthető a szerverre: Windows 2000/2003 (Advanced Server, Data Center, Terminal Server, Standard vagy Enterprise Edition), Novell NetWare 5.1, 6.0, Red Hat Advanced Server2.1, Red Hat Linux 7.3/8.0 , SuSE Linux Enterprise Server V7/V8 és néhány más (lásd: 4. ábra).

    A kártya megvásárolható az üzletben, vagy közvetlenül a Hewlett-Packardtól rendelhető online. 399 dollárba fog kerülni, ami mindenképpen megéri! Elvileg lehet találni olcsóbb gyártót, de ár/funkcionalitás tekintetében ennek a kártyának nincs párja, ennek ellenére messze van az ideálistól. Senki nem adja meg nekünk a firmware forrásszövegeit, és nem fogjuk tudni "fájllal" módosítani, hogy megfeleljen az igényeinknek (elméletileg lehetséges, de nagyon nehéz). Emellett erősen megkérdőjelezhető a titkosítási protokollok megvalósításának minősége. Lehetséges, hogy a kártya hibakereső sraffozásokat vagy túlcsordult puffereket tartalmaz, amelyek lehetővé teszik a támadó számára, hogy átvegye az irányítást a vezérlőkerék felett (lásd 5. ábra)!

    Az azonos nevű cég PC Weasel 2000-je nem rendelkezik ezekkel a hiányosságokkal. Magával a fizetéssel együtt a vevő teljes összeget kap forrás firmware és licenc a módosításához. Ez továbbra is ugyanaz a VGA kártya, csak Ethernet port helyett UART vezérlő van (más néven szabványos 16550 típusú COM port). Sajnos a funkcionalitása sokkal gyengébb. Csak a szöveges videó módok támogatottak, és nincsenek távoli meghajtók, azonban lehetőség van a szerver „Reset” állapotba állítására vagy a POST kódok megtekintésére, hogy azonnal felmérjük a probléma mértékét (lásd 6. ábra).

    Az ISA opció 250 dollárba, a PCI opció pedig 350 dollárba kerül. Nem túl magas az ára egy csökkentett funkcionalitású nyílt licencnek? Ne siesse el a következtetéseket. Forrásszövegek- nagyszerű dolog! Vásárolhat egy táblát, és korlátlan számú gépre telepítheti. Nem kell hardvert klónoznunk. Ha kissé módosítja a firmware-t, akkor a szabványos komponensekkel is boldogulhat, de erről egy kicsit később. Először is ismerkedjünk meg a távirányítók homlokegyenest ellenkező osztályával, amelyek között álmai készüléke is lappanghat (lásd 7. ábra).

    A KVM vagy a távirányító folytatódik

    A módosított BIOS-szal rendelkező VGA-kártyák fő hátránya, hogy fel kell nyitni a szerverházat, ami nem mindig kívánatos. Ráadásul a képelfogás és a billentyűzetbevitel emuláció technológiája távolról sem ideális, és rendkívül ellentmondásos. A KVM switchek teljesen más megközelítést alkalmaznak. Nevüket az első három betűből kapták: Billentyűzet, Video-monitor és Egér. A kapcsoló egy önálló eszköz, amely szabványos PS/2 és DB15 VGA csatlakozókon keresztül csatlakozik a számítógéphez. A jelüket digitális adatfolyammá alakítják, és egy távoli számítógéphez csatlakoztatott közeli KVM-terminálra továbbítják. Nagyjából a billentyűzetet, az egeret és a monitort nagyon hosszú kábelekkel kötjük össze (lásd 8. ábra).

    Konfigurálhatja a BIOS-beállítást, vagy megtekintheti az összeomlott Windowst kék képernyő, de nincs távoli meghajtónk, de még a Reset megnyomására sincs lehetőségünk, vagyis a teljes fizikai hozzáférés illúziójáról kiderül, hogy nem is olyan teljes. De szinte minden videó mód támogatott, és nem történik módosítás a BIOS-kódon, és ez nagyon fontos a kritikus infrastruktúrákban. Egyszerűen nem engedjük meg, hogy harmadik féltől származó emulátort telepítsünk egy bankszámítógépbe, mivel ez a technológia nem rendelkezik tanúsítvánnyal, de a KVM switch-ek általában rendelkeznek az összes szükséges tanúsítvánnyal (lásd 9. ábra).

    A modellek túlnyomó többségét úgy tervezték, hogy több szervert vezéreljenek egy terminálról, miközben a jelet egy árnyékolt, csavart érpárú kábelen továbbítják. maximális hossza több száz méter. Ez egyáltalán nem Ethernet, és nem illeszthető be hálózati hubba! Az interneten vagy modemen keresztül történő valódi távvezérléshez telepítenünk kell további számítógép, amely KVM jelet vesz és speciális szoftver segítségével „emészthető” hálózati formába továbbítja. És ez nem jó! Szerencsére egyes modellek támogatják a modemen vagy helyi hálózaton keresztüli működést. Az ilyen típusú KVM-kapcsolókat „IP-n keresztül” hívják, bár itt vannak eltérések. Nézze csak meg a specifikációt: ha LAN-hoz vagy Dial-Up-hoz hasonlót lát, akkor erre van szükségünk (10. ábra)!

    Elég jól bevált a Minicom, amelynek kínálatában legalább két megfelelő modell található - a Phantom Dial-Up Remote Access és a Smart IP Extender Switch Over IP. Az első körülbelül 800 dollárba kerül, a második... – 3500 dollár. A bankok és más pénzintézetek számára ez az összeg megfelelő lehet, de egy kis irodának ez nem valószínű. Természetesen az üzletekben turkálva találhat olcsóbb KVM-kapcsolót, de jobb, ha saját maga szereli össze a távirányító rendszert.

    Hogyan működik, vagy barkács távirányító!

    Saját távirányító rendszerünk létrehozásához szükségünk lesz bármilyen PCI kártyára és alaplapra, amely támogatja a PCI busszal való együttműködést BOOT-blokkon keresztül (például ASUS). A kártyán kell lennie egy BIOS-os kiságynak. A BIOS legrosszabb esetben egy külön chipben található, amely könnyen eltávolítható az alaplapról és bedugható a programozóba. Sajnos a „külső” BIOS-szal rendelkező hálózati kártyák elavulnak, és egyre nehezebb megtalálni. A modern Ethernet vezérlők a BIOS-t integrálják a chipset chipbe, és már nem tudunk vele mit kezdeni (csak ne keverjük össze a BIOS-t a Boot-ROM panel BIOS-ával, ezek egyáltalán nem ugyanazok!).

    Át kell tehát váltanunk SCSI vezérlőkre, amelyek ára 10-14 dollárra csökkent. Természetesen a legegyszerűbb modellekről beszélünk, de a BIOS-on kívül semmi másra nincs szükségünk! Ezért még egy olcsó modell sem fog rosszabbul működni, mint egy drága. Nem kell aggódnia a vezérlő működőképességének fenntartása miatt. Sokkal egyszerűbb a BIOS átírása tiszta lap mint saját modulokat hozzáadni egy meglévőhöz (de ezt is megteheti, ha akarja) (lásd 11. ábra).

    Nincs szükség további UART vezérlő vásárlására. Jobb az alaplapba építettet használni, és ha szükséges, használhatunk integrált Ethernetet vagy bármilyen más kommunikációs eszközt is.

    A firmware-fejlesztés általában Assembly nyelven történik, de igény esetén magas szintű nyelvek, például C/C++ is használhatók. Csak semmilyen körülmények között ne használjon szabványos I/O könyvtárakat, és mondja meg a linkernek, hogy tiltsa le az indítást. Ehhez egyszerűen nevezze át a fő funkciót olyasmire, mint a MyMain. Mivel a C nem támogatja az alapozást, a lefordított kódnak teljesen áthelyezhetőnek kell lennie (azaz az alapmemória terhelési címétől függetlenül kell végrehajtani). Ezt úgy érhetjük el, hogy kiiktatjuk a globális változókat, és kikapcsoljuk az összes olyan fordítóbeállítást, amely nem is áthelyezhető kódot generálhat, amiről nem is tudunk (mint például a verem összeomlás vezérlése). Ha nem biztos abban, hogy jól ismeri a fordító "hátsóját", ne használja! Program Assembly nyelven. Nem hagy cserben!

    A firmware kód a 16 bites valós módú szegmensben fut le, de senki sem tiltja, hogy védett módba váltsunk és onnan kilépjünk, bár nem teljesen világos, hogy erre miért van szükség. Elfogadhatatlan a BIOS szolgáltatási funkciók használata, mivel a hardverek egy része még nincs inicializálva, és magát a BIOS-t még nem csomagolták ki. Csak az I/O portokon keresztül dolgozzon, de mielőtt ezt megtenné, ne felejtse el, hogy a berendezést kézzel kell inicializálni. Konkrétan az integrált COM portnak még nincs alapcíme vagy IRQ-ja, mert a rendszererőforrásokat elosztó PnP menedzser még nem kapta meg az irányítást! Meg kell nyitni a lapkakészlet déli hídjának dokumentációját, és az összes hardvert a nulláról kell programozni. Ez a legtöbb alacsony szint„kommunikáció” a berendezéssel! Rendkívül összetett, ugyanakkor izgalmasan érdekes! Szerencsére a szerverhíd már részben inicializálva van, így nincs szükség a memóriavezérlő konfigurálására.

    Most beszéljünk az emulációs és elfogási technikákról. Az információk képernyőn való megjelenítéséhez a BIOS saját INT 10h szervizszolgáltatását használja. A Windows és UNIX család operációs rendszereinek kezdeti rendszerindítási szakaszában is használatos. Ha ezt a megszakítást elkapjuk, az összes kimenetet elrabolhatjuk a képernyőre és továbbíthatjuk távoli számítógép(A „rab” egy teljesen legális kifejezés, angolul beszélő mérnököktől kölcsönözve, akik ebben az esetben azt mondják, hogy „grab”, durván hangzik, de őszintén).

    Természetesen ez sem problémamentes. Mivel a megszakítási vektorok sokszor visszaállíthatók a BIOS inicializálási folyamata során, nyilvánvalóan nem elegendő a megszakítási tábla módosítása (vagyis a klasszikus elfogási módszer). Igen, megváltoztathatjuk a távoli mutatót a következő címen: 0000h:10h*sizeof(DWORD) == 0000h:0040h, ha átirányítjuk a saját kezelőjére, de... egy idő után az INT 10h feletti irányítás elveszik. Ennek elkerülése érdekében be kell állítani egy hardveres töréspontot, hogy erre a memóriahelyre írjon. Ebben a segítségünkre lesz a DRx hibakereső regisztercsalád. A Dr0-Dr3 regiszterek tárolják a töréspont lineáris fizikai címét, a Dr7 pedig meghatározza a kiváltás feltételeit, aminek következtében a processzor az INT 01h megszakítást generálja, ahol a kezelőnket kell elhelyezni, hogy újra kisajátítsa az INT 10h-t a rendszerből.

    Az alábbiakban egy példa látható a hibakereső regiszterekkel való munkára.

    Lista 1. Az elfogó átadja az irányítást a kódunknak, amikor a rendszerindító szektor betöltődik

    ; intercept INT 01h

    MOV ax, CS

    XOR bx,bx

    MOV DS,bx

    ; kezelőnk beszámítása

    MOV, eltolja a_vx_kódunkat

    ; 0000h szegmenshez képest

    MOV,bx

    MOV DS, ax

    ; állítson be egy töréspontot a végrehajtáshoz

    MOV eax,302h

    ; lineáris fizikai töréspont cím

    MOV ebx,7С00h

    ; Értékek bevitele a hibakeresési regiszterekbe

    MOV dr7,eax

    mov dr0,ebx

    Az INT 10h megszakítás több mint száz különböző funkciót támogat, amelyek számát az AH regiszterben továbbítják. Pontosabban, a 02h a kurzort vezérli, a 09h pedig a karaktert nyomtatja ki. Természetesen a képernyőkimenet megfosztásához meg kell tudni különböztetni az egyik funkciót a másiktól, és tudnia kell, hogy mindegyik pontosan mit csinál. A funkciók leírása megtalálható egy adott videokártya műszaki dokumentációjában (és ha a kártya az alaplapba van beépítve, akkor a lapkakészlet szerverhídjának dokumentációjában), vagy a híres Ralph megszakítási listában. Barna azonban már régóta nem frissítették, és nagyon elavult. Legújabb verzió 2000 nyarára nyúlik vissza. Azóta sok új kártya jelent meg! Az alapvető videofunkciók azonban nem változtak, és ha elveted a nem szabványos videómódokat, akkor minden nagy lendülettel fog működni.

    A szöveges módokat jól ellopják, de a grafikus módokat áteresztőképesség Az analóg modemek már nem férnek el, és az átvitt információkat valahogy tömöríteni kell. A legegyszerűbb dolog az, hogy csak a változtatásokat vigye át, miután korábban becsomagolta őket a gzip algoritmussal, amelyhez számos kész könyvtár áll rendelkezésre.

    Igaz, az átállással operációs rendszer védett módba kapcsolva minden lehallgatásunkat „elnyomjuk”, és a távoli számítógép tompa, fagyott képernyőt jelenít meg. Ezzel elvileg meg lehet békülni. A lényeg az, hogy a BIOS Setup és a tengely betöltésének kezdeti szakasza felett rendelkezünk, és ott használhatjuk a szabványos telnetet, ha természetesen középen Windows rendszerindítás nem dob kék képernyőt.

    Az első távirányítós modelljeimnél ezt tettem: figyelemmel kísértem a védett módba váltási kísérletet (és ugyanazokkal a hibakereső regiszterekkel nyomon követhető), átváltottam védett módba, telepítettem saját megszakításkezelőimet és átadtam a vezérlést az operációs rendszert, nem engedve, hogy semmit se változtasson. Működött! Bár az is lezuhant. Univerzális elfogót nem lehetett létrehozni, és minden operációs rendszer megvalósítási jellemzőit figyelembe kellett vennünk. Végül feladtam, és írtam egy közönséges szűrőmeghajtót, ami úgy működik, mint egy VGA miniport, és a képernyőkimenetet a „mi” bővítőkártyánkra küldi (12. ábra).

    Egyes távirányító rendszerek (például a már említett PC Weasel 2000 komplexum) az INT 10h elfogása helyett egyszerűen kirabolják a videó puffert, ami első ránézésre jelentősen leegyszerűsíti a megvalósítást. Nincs szükség a hibakereső regiszterekkel való trükközésre, a megszakítási listákban való turkálásra, stb. Valójában még szöveges módban is sok képernyőoldal van, és a grafikus módról általában hallgatunk! Ezenkívül teljesen tisztázatlan, hogyan lehet szinkronizálni a képernyő kimenetét az elfogással. A videomemória 50-60 Hz-es frekvenciájú szkennelése teljesen lehetséges, de nem valószínű, hogy az ellopott adatokat a modemcsatornába tudja tolni. Milyen lassú lesz ez a dolog! Nem csoda, hogy a PC Weasel 2000 csak szöveges módokkal működik!

    Most térjünk át a billentyűzet bevitel emulálására. Nem vesszük figyelembe az egeret, mivel a normál rendszergazdák könnyen megtehetik nélküle. A teljes billentyűzetszolgáltatás az INT 16 órás megszakítására összpontosul, amelyet el kell fognunk. Amikor egy program (és különösen a BIOS Setup) egy billentyű lenyomására vár, törli az AH regisztert és hívja az INT 16h-t. Természetesen vannak más lehetőségek is, de ez a legnépszerűbb. Ebben az esetben a megszakításkezelőnknek a távoli billentyűzeten lenyomott karakter ASCII kódját kell elhelyeznie az AL regiszterbe és a visszatérési vezérlésbe. Mindez természetesen csak addig fog működni, amíg az operációs rendszer védett módba nem vált, utána pedig be kell tölteni a saját illesztőprogramot, amely a szokásos billentyűzet-illesztőprogram tetején ül, és emulálja a bemenetet.

    A távoli lemezek megvalósítása meglehetősen triviális. Az INT 13h megszakítása felelős ezért. A 02h funkció a szektor olvasását, a 03h – az írást biztosítja. A szektorszámot a CX és DX regiszterekben CHS formátumban továbbítják. A távoli CD-ROM megvalósítás egy kicsit bonyolultabb. Ha nem vagy erős a rendszerprogramozásban, eleinte jobb, ha virtuális hajlékonylemezekre korlátozod magad. Egyébként egyáltalán nem szükséges fizikai hajlékonylemezeket használni - a távoli gép képes a merevlemezre rögzített képpel fájlként dolgozni. Távirányítóhoz Windows újratelepítés NT ez a technika nagyon alkalmas. A virtuális hajlékonylemezek cseréjét pedig egyáltalán nem nehéz automatizálni.

    Ennek eredményeként egy meglehetősen erős távirányító komplexumot kapunk, és ami a legfontosabb - nagyon olcsó. Természetesen a mi időnk is ér valamit (és sok időbe telik a fejlesztés és az üzembe helyezés), de ha megrendelésre készülnek az ilyen komplexumok, akkor gyorsan megtérülnek, főleg, hogy folyamatos kereslet van rájuk, mivel a legtöbb nyugati analóg egyszerűen nem megfizethető.

    A kép teljessé tételéhez csak egy apróság marad - egy távoli visszaállítás, amely nélkül az alkotásunk nem lesz teljes. Nos, itt minden egyszerű. Elég, ha a „dédelgetett” gombhoz vezető relét csatlakoztatunk az LPT porthoz, és a probléma megoldódik. Az LPT portot természetesen az SCSI vezérlő firmware-jéből vezérelhetjük, nem felejtve el, hogy ezt megelőzően inicializálni kell.

    Még egy utolsó kis trükk. Ha nincs szüksége teljes értékű távirányító rendszerre, és csak azt szeretné megakadályozni, hogy a BIOS rendszerindításkor egy billentyű lenyomását követelje meg, akkor ezt könnyen megteheti további felszerelés nélkül. Elég, ha betölti a fő BIOS firmware-t a szétszerelőbe, és megtalálja az összes „visszaélésszerű” üzenetet. Kereszthivatkozások elvezet minket ahhoz a gépi kódhoz, amely ezeket a sorokat adja ki. Egy billentyű lenyomására váró kód is lesz, amit el kell távolítanunk. Az INT 16h közvetlen hívását ritkán használják. Valószínűleg valami olyasmit fogunk látni, mint a CALL xxx, ahol az xxx a wrapper függvény címe. Tervünk eléréséhez a CALL xxx-et le kell cserélnünk a „MOV AX,scan-code”-ra, jelezve a kívánt kulcs letapogatási kódját. Például a legtöbb BIOS-ban a kulcs azt jelenti, hogy „boot to default settings”, de bizonyos esetekben előfordulhat, hogy meg kell nyomnia a vagy a gombot.

    A probléma az, hogy a fő BIOS lemezkép csomagolva és ellenőrző összegekkel védett. Szinte az összes BIOS-fejlesztő segédprogramokat oszt ki a kicsomagoláshoz/csomagoláshoz és az újraszámításhoz ellenőrző összegeket, azonban nem garantáljuk, hogy a módosított BIOS megfelelően fog működni. A hibák a legváratlanabb helyeken is megjelenhetnek. A rendszer működése instabillá válik, az alaplap nélkül látható okok elkezd lefagyni stb. Ez persze elfogadhatatlan a szervereknél, ezért más utat kell választani.

    A fő BIOS kód csomagolt képének módosítása helyett veszünk egy kicsomagolt BOOT-blokkot, és egy automatikus patchert adunk hozzá, amely a szükséges bájtokat közvetlenül a memóriában szerkeszti, amikor a kicsomagolás már befejeződött. Mivel a fő BIOS kód ki van csomagolva a RAM-ba, nincs probléma a javítással. A legfontosabb dolog a szükséges címek meghatározása. Ebben segít nekünk, hogy maga a BIOS nem írja felül a képét, és a boot szektor betöltésekor jelen van a memóriában. Elég egy pici összeszerelő programot írni, ami beolvassa az első 640 KB kisebb memóriát és kiírja hajlítható lemez, majd adja be a rendszerindító szektorba. A rendszer újraindítása után mi leszünk a kicsomagolt BIOS tulajdonosai, a „natív” címeken heverve.

    Nincs más hátra, mint a frissített BOOT-blokk beégése, és máris élvezheti a szerver zavartalan működését!

    Következtetés

    A rendszer teljes távvezérlése valóság! Hatótávolság lehetséges megoldások szokatlanul széles: a kész (és nagyon drága!) KVM-eszközöktől az olcsóbb, de egyben funkcionálisabb (!) bővítőkártyákig, amelyeket a legtöbb programozó könnyen elkészíthet önállóan is. Fizikai hozzáférés a szerverhez csak javításkor lesz szükség (enélkül nem lehet, mert nem lehet fogót és csavarhúzót küldeni a modemre), de végzetes meghibásodások nem túl gyakran fordulnak elő.

    1. Remote Insight „Lights Out” táblák – a távirányító rendszerek áttekintése (angolul): http://www.paul.sladen.org/lights-out/riloe.html.
    2. Remote Insight Lights-Out Edition II - a Hewlett-Packard távfelügyeleti kártyájának leírása, amely lehetővé teszi az interneten történő megrendelést (angol nyelven): http://h18004.www1.hp.com/products/servers/management/riloe2 /server-slot -matrix.html .
    3. PC Weasel 2000 - egy alternatív távirányító kártya leírása, mikrokód, amelyet nyílt licenc alatt terjesztenek (angolul): http://www.realweasel.com/intro.html.
    4. Műszaki adatok hatalmas számú távfelügyeleti rendszer (főleg KVM switchek, angolul): http://www.kvms.com.
    5. Raritan IP-Reach TR364 - a TR364 KVM switch leírása (angolul): http://www.42u.com/telereach_bk.htm.
    6. Személyi számítógépek I/O architektúrája IBM PC – elektronikus változat egy IBM PC-eszköznek szentelt könyv, amelyet erősen ajánlott elolvasni, mielőtt saját távirányító rendszert készítene (orosz nyelven): http://redlib.narod.ru/asmdocs/asm_doc_07.zip.
    7. Ralf Brown Interrupt List – elektronikus útmutató minden megszakításhoz, I/O porthoz, "varázslatos" memóriacímhez, beleértve a nem szabványos bővítményeket és a nem dokumentált képességeket (angol nyelven):