###
  • Programe
  • Siguranță
  • Știri
  • Interesant
  • Sfat
  • Știri
  • Recenzii

    • Implementarea tehnologiei Intel vPro pe placile de baza GIGABYTE UNITED. Gestionarea de la distanță a configurației BIOS

    27.03.2020 Interesant

    Pe vremuri, când nu eram încă programator, dar eram deja prieten cu computerele, tehnologii precum RAdmin erau ca un miracol pentru mine. Ai putea să te conectezi la un computer la distanță, la fel ca în cel mai tare film despre hackeri, să deschizi un bloc de note și să scrii acolo un mesaj de amenințare. Adevărat, nu am avut de unde să-l folosesc.

    Apoi a intrat în viața mea ssh: să-mi dau seama că gestionați un server în străinătate a fost la început uimitor, dar acum a devenit obișnuit. Până când tastați accidental stop, da. Și apoi începeți să deschideți panoul de administrare al hosterului și să încercați să vă conectați la consola de gestionare a serverului pentru a o porni. Și din anumite motive e proastă astăzi. Apoi scrii pentru a susține și a deveni nervos. Nu prea îmi place. Dar acestea sunt temerile mele personale de programare.

    Odată ajuns la o slujbă veche, după o schimbare de administrator, un nou venit a decis să restabilească ordinea în parcul de calculatoare și pentru a face acest lucru s-a dus la computer, a dat afară angajatul, a descărcat Everest, a rulat diagnostice și a salvat rezultatul într-un fișier. . Așa că, după ce a vizitat doar ~60 de stații de lucru pe trei etaje, a aflat ce fel de hardware avea la dispoziție. Incomod.

    Și aici intervine Intel vPro.

    Intel vPro este un lucru care vă permite să nu vă fie frică de lucrurile descrise mai sus și chiar să faceți mult mai mult. vPro constă din două componente: hardware și software și vă voi spune despre ele sub tăietură.

    Hardware

    La nivel hardware, aveți nevoie de un procesor și de o placă de bază (chipset, de regulă, începe cu Q, dar trebuie să vă uitați la specificații) care acceptă vPro. Placa de bază are o placă de rețea gigabit încorporată și un adaptor video care sunt capabile să funcționeze la nivel scăzut. În practică, aceasta înseamnă că vă puteți conecta la un computer folosind vPro fără a utiliza, nu numai drivere de rețea OS și fără sistemul de operare în sine! Și da, poți intra în BIOS de la distanță.

    Suportă atât cu fir, cât și conexiune fără fir. În cazul WiFi, nu prea este loc pentru imaginație - sistemul de operare trebuie să fie încărcat și conectat la punctul de acces, dar atunci când utilizați un fir, vă puteți conecta chiar și la un computer oprit. Ei bine, asta spun specialiștii în marketing: în realitate, un computer oprit poate fi pornit și poate continua ca de obicei.

    Partea software

    Partea software este conținută în abrevierea AMT - aceasta este Intel Active Management Technology, care deservește conexiunile și are capabilități enorme.

    În primul rând, computerul trebuie configurat să funcționeze cu vPro și acest lucru va necesita acces fizic. După aceasta, dacă este un server, poate fi pierdut sau blocat într-o cameră, ca în glumele despre administratori. Dacă administratorul se află în aceeași cameră cu pacientul retea locala, nu apar probleme dacă calculatorul potrivit ascuns în spatele NAT - va trebui să instalați un server în interior pentru acces. Adevărul nu poate fi altfel - cerințe de bază securitatea retelei.

    Sesiunea de comunicare este criptată, iar accesul la server poate fi obținut prin consolă (serial over LAN), interfață web sau VNC. Interfața web are un design de lucru discret (care este afișat perfect pe tablete) și vă permite să obțineți statistici despre hardware, starea acestuia și reporniți computerul, configurați interfața de rețea și politicile de acces AMT, vizualizați istoricul evenimentelor - aflați de ce secretara nu pornește sistemul fără să se apropie de computerul ei.

    Când vă conectați prin consolă și VNC, puteți face absolut totul: vPro oferă KVM complet de la o mașină locală la una la distanță, cu suport pentru rezoluții de ecran de până la 1920x1200 și posibilitatea de a vedea cum pornește sistemul de la inițializarea BIOS la direct. Încărcarea sistemului de operare. În acest caz, chiar și atunci când sistemul este repornit, nu există oprire! Singurul lucru este că, pentru a accesa BIOS-ul, nu veți putea apăsa pur și simplu Delete când sistemul pornește și va trebui să selectați elementul special „Reboot to BIOS”.

    După care se încarcă de fapt BIOS-ul.

    Ceea ce este deosebit de frumos este că vă puteți conecta la o mașină la distanță prin VNC, chiar dacă driverele plăcii de rețea au eșuat (la urma urmei, vPro funcționează la un nivel mai scăzut decât sistemul de operare) și să instalați toate driverele direct prin VNC. Și dacă acest lucru poate fi încă rezolvat în cadrul biroului, atunci mergerea la centrul de date ar putea să nu fie posibilă.

    Există o altă caracteristică interesantă numită IDE-R, care vă permite să porniți de la sursă externă parca ar fi intern HDD. Adică, puteți să vă conectați prin VNC, să specificați imaginea de descărcat și să porniți într-un sistem de lucru cunoscut. Aceasta poate fi o funcție foarte utilă atât pentru diagnosticare, cât și pentru administrare. De exemplu, puteți porni o mașină client cu un sistem în care este configurat un antivirus de referință, puteți scana hard disk-ul și lăsați neobservat.

    Despre siguranta

    Folosind vPro, tehnologia Intel Anti-Theft funcționează. Dacă laptopul tău este furat, poți contacta Intel și îl vor bloca. Blogul Intel are deja această tehnologie. După blocare, noul proprietar al computerului va vedea această imagine.

    Concluzie și referințe

    Foarte curând, când generația de calculatoare se va schimba din nou, chiar și pentru cei mai nepretențioși utilizatori, și chiar mai devreme pentru companiile progresiste, administratorii vor avea în continuare aceeași cantitate de muncă, dar să o facă va fi mult mai plăcut.

    Abonați-vă la comentarii la postare - promit că vor conține o mulțime de lucruri interesante. Sau verificați subiectul în câteva zile - voi pune toate comentariile cele mai interesante într-o listă separată în partea de jos a postării.

    vPro - management de la distanță în rețeaua dvs

    În rețelele organizaționale, trebuie să gestionați zeci sau chiar sute de computere, menținând funcționarea stabilă a infrastructurii IT, deoarece aceasta este fundamentul afacerii. Și această sarcină poate necesita adesea mult efort, timp și bani. Calculatoare în organizatii mici Este relativ ușor de gestionat, deoarece nu trebuie să alergi de la etaj la etaj sau între diferite clădiri. Dacă trebuie să alergi, atunci chiar și sarcinile de bază, cum ar fi inventarierea, actualizarea software-ului sau înlocuirea componentelor defecte, pot ocupa mult timp personalului IT, ceea ce costă un ban.

    Pe piata exista sisteme diferite control, dar majoritatea necesită un sistem de operare funcțional pe un computer la distanță sau instalarea unui modul special, care, din nou, costă bani. Soluțiile specifice sistemului de operare nu oferă de obicei acces la setările BIOS sau vă permit să schimbați secvența de pornire, să efectuați o pornire la rece sau acțiuni similare. Dacă sistemul de operare nu pornește dintr-un motiv oarecare (de exemplu, ca urmare a unui atac de viruși sau a unei erori software grave), nu va mai fi posibil să obțineți acces la sistemul de la distanță, iar administratorul va trebui să se ocupe de problema la fata locului. Deși există standarde care oferă controlul unui PC la un nivel sub sistemul de operare, le lipsește confortul și flexibilitatea. Exemplele includ funcții precum wake on LAN, modem sau RTC. Există, de asemenea, un mediu PXE (Pre-Boot Execution Environment), care vă permite să porniți computerul de la o sursă de rețea la distanță. Cu acesta, puteți instala sistemul de operare sau puteți actualiza BIOS-ul fără a instala medii fizice pe computer. Placa de rețea caută un server de boot PXE în rețeaua locală care oferă acces la NBP (Network Bootstrap Program). În cele din urmă, formatul ASF (Alert Standard Format) este responsabil pentru detectarea erorilor și defecțiunilor. Oferă servicii independente de OS. Dar ASF este departe de a fi perfect, deoarece nu acceptă autentificare, criptare, capabilități de repornire, management de la distanță în timp real, actualizări și politici BIOS la distanță.

    Ce este vPro?

    vPro este un nume de marketing pentru tehnologie, similar cu Viiv sau Centrino. vPro se referă la un set de funcții care vizează mediul corporativ. În esență, obținem o combinație de caracteristici și tehnologii găsite în portofoliul Intel: vPro necesită o versiune specifică a chipset-ului 965, și anume Q965 cu suport pentru Intel AMT (Active Management Technology). În cele din urmă, site-ul web vPro listează procesorul Core 2 Duo ca parte a vPro, deși nostru sistem de testare de la Acer a fost echipat cu un Pentium D. Suportul pentru VT (Intel Virtualization Technology) pe partea procesorului este important aici pentru ca acesta să poată rula secțiunea OS de întreținere.

    Descrierea Intel pentru vPro pune accent pe funcțiile de management și securitate. vPro vă permite să reduceți numărul de apeluri pe teren și să reduceți costurile generale ale întreținerii infrastructurii IT. Mai mult, Intel promite o integrare perfectă în infrastructura de management existentă. Prin funcții de management, Intel înseamnă capacitatea de a inventaria un PC, inclusiv componente, printr-o conexiune hardware care este independentă de sistemul de operare și starea sistemului. Puteți fie să colectați informații despre sistem, fie să le obțineți din memoria mică nevolatilă a sistemului vPro. Reducerea numărului de apeluri către site-urile clienților este asigurată de suport pentru descărcarea de la distanță, diagnosticare și recuperare/backup. Securitatea este asigurată prin filtrarea traficului de rețea, izolarea ușoară și punerea în carantină a sistemelor infectate. Informațiile despre clienți vor fi întotdeauna cele mai recente, se va putea instala actualizări de la distanță și, opțional, se vor crea medii virtuale pentru întreținere.

    vPro folosește propria subrețea pentru management, deși comunicarea are loc prin infrastructura fizică existentă. Extensia vPro din BIOS vă permite să obțineți în mod dinamic o adresă IP de la un server DHCP, dar o puteți seta manual. vPro folosește încorporat Controlor de rețea, alte plăci de rețea nu sunt suportate. Toate operațiunile de control vor funcționa indiferent de starea de activitate a computerului (hibernare, repaus, pornit) sau starea sistemului de operare.

    Unde intervine AMT?

    vPro se bazează în mare măsură pe Intel Active Management Technology (AMT). AMT este o combinație de caracteristici ale platformei și software care este de obicei furnizat de dezvoltatori terți. Majoritatea caracteristicilor descrise în acest articol sunt incluse în AMT.

    Ai nevoie de vPro?

    Desigur, suportul vPro nu este gratuit, dar platformele cu vPro nu sunt atât de scumpe. Recomandăm această tehnologie pentru mediile de întreprinderi mari, dar decizia este mai dificilă pentru întreprinderile mici. vPro necesită chipset-ul Intel Q965, dar chipset-uri mamă Chipseturile de clasă business bazate pe acest chipset nu sunt de obicei potrivite pentru entuziaști, deoarece nu au accesorii suplimentare sau suport bun pentru overclocking. Da, platforma vPro va oferi posibilitatea de a gestiona computere la un nivel complet diferit, dar decizia trebuie luată individual.

    Configurarea sistemului pentru AMT/vPro

    Configurarea unui sistem pentru a funcționa cu AMT/vPro este foarte simplă. Trebuie să intrați în BIOS-ul de gestionare, care se poate face apăsând „CTRL+P” după testul POST (autotest la pornire), acolo puteți specifica mai multe setări de bază. Nu uitați să activați capabilitățile AMT.

    Meniul principal al extensiei BIOS Intel Management Engine. Intră în el apăsând „CTRL+P” după testul POST.

    În general, am fost puțin confuzi când am încercat prima dată să lansăm AMT și să setăm tehnologia. Am primit o placă de bază vPro de la MSI și un computer vPro de la Acer, dar în ambele cazuri nu a existat nicio documentație. Pentru a introduce extensia BIOS activată Placa MSI, a trebuit să ghicim parola prestabilită (care, de altfel, s-a dovedit a fi „admin”). Aceeași parolă implicită a fost pe computerul Acer.

    Înainte de a efectua alte operațiuni, BIOS-ul vă solicită să schimbați parola. Dar, din nou, această operațiune nu poate fi numită intuitivă, deoarece cerințele de parolă sunt foarte stricte și mai puține utilizatori experimentați Este puțin probabil ca aceștia să înțeleagă imediat de ce parola este respinsă de sistem. Parola trebuie să conțină litere mari și mici, numere și simboluri. În plus, mai există un punct: trebuie să introduceți numele de gazdă al computerului, numai după aceea AMT/vPro va funcționa - setarea unei adrese IP (statică sau prin DHCP) nu este suficientă. Informațiile introduse pot fi apoi modificate.

    Aveam câteva pagini de documentație Intel, dar încă nu exista un ghid de pornire rapidă. În cele din urmă, am primit documentul Ghid de implementare vPro de 190 de pagini. Există multă documentație, așa că încercați să vă faceți timp pentru a o studia.


    Meniul de configurare AMT conține o serie de opțiuni importante.

    vPro pentru Enterprise: cu SCS

    vPro vine în două variante, prima este destinată întreprinderilor mici, a doua este destinată sectorului întreprinderilor și acceptă autentificarea și criptarea cheilor. Versiunea corporativă necesită un server SCS (Server de configurare și configurare), care este responsabil pentru criptare și autentificare.


    AMT Commander este un utilitar pentru gestionarea funcțiilor AMT, dar Intel îl pune la dispoziție doar dezvoltatorilor. De obicei, un mediu vPro este construit pe aplicații terțe.

    AMT Commander este unul dintre cele două utilitare de management vPro. Dar a fost creat pentru a ajuta dezvoltatorii și este puțin probabil să fie folosit în sisteme reale. Prin urmare, administratorii vor trebui să se bazeze pe utilități terțe. Dar setul de funcții, pe de altă parte, este destul de comparabil. Commander se conectează la computerele client compatibile cu vPro. Utilitarul vă permite să găsiți computere cu vPro, să le vizualizați componentele și să performați setări de bază AMT.


    AMT Commander vă permite să găsiți computere care acceptă vPro/AMT, dar trebuie să specificați o serie de adrese IP de scanat.

    După ce ați căutat cu succes sisteme vPro într-un interval dat, puteți începe să lucrați cu clienții. Este important să vă asigurați că fiecare client are un nume de gazdă AMT specificat, altfel Intel Management Utility nu se va conecta. Aici puteți activa sau dezactiva funcțiile AMT, cum ar fi SOL (Serial-over-LAN) sau IDE Redirect (pentru pornirea prin LAN).


    AMT Commander se conectează la orice PC vPro care a fost configurat corespunzător și accesibil prin rețea.



    Puteți configura watchdog-uri care vor monitoriza aplicațiile care rulează pe computerul client.


    Click pe poza pentru marire.

    Director AMT - al doilea pachete software, pe care l-am primit pentru testare. Acesta este, din nou, un instrument destinat dezvoltatorilor, astfel încât mediile din lumea reală vor folosi soluții diferite. Scopul principal al AMT Director este configurarea și furnizarea. Practic, programul funcționează ca un server init.


    Din nou, trebuie să vă conectați mai întâi.

    Serverul de aprovizionare pentru un mediu de întreprindere emite certificate de securitate și șabloane clienților vPro. Merită menționat faptul că toate conexiunile cu clienții sunt criptate, cu excepția cazului în care AMT rulează în modul întreprindere.

    Dacă producătorul PC-ului a preinstalat așa-numitele chei software necesare pentru modul Enterprise AMT, primul contact al clientului vPro cu serverul de furnizare va iniția așa-numita procedură Zero-Touch Setup, care este o configurație complet automatizată a serviciilor AMT.


    Click pe poza pentru marire.

    Interfața web AMT este probabil cea mai mare mijloace simple gestionarea computerelor vPro, deoarece este ușor accesibil odată ce serviciile AMT sunt inițializate și configurate. Indiferent de soluțiile de la terți, fiecare computer vPro/AMT poate fi gestionat folosind serverul web încorporat. Interfața web poate fi accesată prin adresa IP a sistemului client sau prin numele gazdă care este setat pentru clienți (fără aceasta, AMT nu va funcționa deloc). Găsim funcția de control de la distanță deosebit de utilă, deoarece vă permite să opriți și să porniți sistemul, să porniți cu diferite opțiuni de unitate sau pur și simplu să resetați mașinile. Există o diferență semnificativă aici față de conexiunea Desktop la distanță sub Windows: dacă este sub Închiderea Windows- un proces software pe care sistemul de operare îl efectuează, apoi oprirea AMT este cel mai aproape de un simplu comutator de alimentare.


    Informațiile despre sistem sunt foarte detaliate și puteți găsi aici o mulțime de informații pe care, de obicei, le obțineți doar prin instrumentele de management care rulează prin sistemul de operare.



    Jurnalul de evenimente este de asemenea detaliat.

    Funcția de telecomandă este foarte utilă. Imaginează-ți că unul dintre computerele tale refuză să pornească și nu poți accesa instrumentele tradiționale telecomandă, cum ar fi VNC sau Desktop la distanță. În acest caz, funcția de resetare AMT va avea ca rezultat o resetare hardware a sistemului.

    AMT acceptă rețele LAN virtuale, permițându-vă să rulați două rețele diferite conexiuni de retea in doi rețele logice peste un cablu fizic. În mod obișnuit, comutatoarele cu VLAN sunt utilizate pentru a susține astfel de rețele, dar funcția VLAN a AMT funcționează cu hardware-ul de rețea obișnuit, fără a interfera cu transferul de date normale.


    Suntem autentificati ca administrator, dar AMT/vPro acceptă crearea de utilizatori separati cu drepturi de gestionare.


    Firmware-ul AMT poate fi actualizat indiferent de BIOS placii de baza taxe.


    Click pe poza pentru marire

    Utilitarul Terminal Tool, pe care l-am încercat și noi, poate fi folosit pentru a accesa BIOS-ul unei mașini client prin SOL (Serial-over-LAN). Adică utilitatea creează conexiune serială prin rețea. Am folosit utilitarul pentru a accesa setările BIOS și există mult mai multe opțiuni aici decât interfața standard de management AMT. Puteți face toate modificările necesare de la distanță. Puteți utiliza Instrumentul Terminal pentru a redirecționa solicitările de disc (astfel încât să puteți porni de la disc la distanță prin rețea).


    Click pe poza pentru marire.

    Am primit una dintre primele plăci de bază cu suport vPro - MSI Q965MDO. Utilizează chipsetul Intel Q965, care ne-a amintit de G965 cu suport suplimentar pentru ATM/vPro. Placa folosește condensatoare solide și un regulator de tensiune cu patru faze, care este suficient de puternic pentru a rula un procesor Core 2 Quad. Răcirea este pasivă, ceea ce, în opinia noastră, este important pentru un PC de birou, deoarece nimeni nu are nevoie de zgomot suplimentar.

    Southbridge-ul acceptă șase porturi Serial ATA/300, iar placa are patru sloturi DIMM, ceea ce este destul de normal pentru factorul de formă MicroATX. Multe modele ieftine de pe piață oferă doar două sloturi DIMM. Salvarea pe sloturi nu este foarte bună dacă decideți să actualizați memoria mai târziu.

    Există un sistem de sunet HD, un controler Gigabit Ethernet de la Intel, un Trusted Platform Module (TPM), un nucleu grafic integrat și un set de interfețe USB 2.0. Pentru plăcile de expansiune, placa are două sloturi PCI pe 32 de biți și un slot PCI Express x1. Dacă doriți să instalați o placă grafică puternică, există și un slot PCIe x16.

    MSI nu a inclus documentația vPro în pachet. Compania dorește în mod clar să vândă plăci compatibile cu vPro, dar software-ul, asamblarea și configurarea sunt lăsate în seama companiilor de implementare.

    Deoarece prima experiență de rulare a vPro pe MSI Q965MDO nu a avut succes, am decis să testăm un computer complet asamblat cu suport vPro. Am primit modelul corespunzător de la Acer și anume: Veriton 3900 Pro. Acesta este un sistem destul de interesant, deși este echipat cu un procesor Pentium D nu cel mai modern și doar 512 MB de memorie (DDR2-533, în modul dual-channel). În plus, nu veți putea instala plăci de expansiune standard, deoarece factorul de formă permite doar carduri cu profil redus. Este destul de clar că acesta este un PC de birou, care este puțin probabil să devină lider în teste, iar flexibilitatea acestuia este limitată. Dar computerul acceptă vPro, care este ceea ce aveam nevoie în primul rând. Mai mult, suportul este oferit folosind chipsetul 945G, care vorbește clar despre rădăcinile de marketing ale cuvântului vPro. De fapt, această tehnologie nu este legată de hardware atât de strâns pe cât și-ar dori Intel.

    Sistemul a funcționat excelent și am putut testa efectiv toate funcțiile de gestionare la distanță vPro. Deși există și un motiv de critică: ventilatorul face mult zgomot în timpul pornirii sistemului și, de asemenea, dacă dezactivați controlul vitezei de rotație în BIOS. Cu toate acestea, este puțin probabil ca sistemul să se supraîncălzească. Dar totuși, zgomotul unui aspirator alăturat nu este deloc plăcut.

    Concluzie

    În general, numiți-o vPro mare noua inventie Limba nu se întoarce. Tehnologia de fapt nu necesită ultima generație de hardware Intel și am mai văzut funcții similare (să zicem, AMT). Dar vPro este o inițiativă de marketing foarte inteligentă care combină mai multe funcții utile, ceea ce permite Intel să vândă cât mai multe cipuri sub un brand atât de atractiv. Această abordare a funcționat bine cu Centrino și a funcționat mai mult sau mai puțin în cazul lui Viiv. Dar, din nou, este important să înțelegeți că vPro nu necesită cele mai recente chipset-uri sau Procesoare de bază 2 pentru a vă bucura de toate beneficiile tehnologiei Intel de gestionare la distanță. Deși, desigur, ar trebui să acordați atenție pentru a obține cel mai recent hardware dacă doriți să utilizați anumite caracteristici de gestionare sau doriți să faceți upgrade AMT/vPro în viitor. De exemplu, în viitorul apropiat, capacitatea de a lucra cu vPro prin conexiune fără fir, dar de asemenea Hardware trebuie să fie compatibil.

    Din punct de vedere tehnologic, nu am întâlnit niciun aspect negativ. Dacă știți la ce să acordați atenție, puteți configura computerele client pentru gestionarea de la distanță folosind vPro în câteva minute. Pentru un mediu corporativ, veți avea nevoie de un strat adecvat cu un server de inițializare, care oferă un nivel suplimentar de securitate prin emiterea de certificate. Dar o astfel de soluție necesită și administratori instruiți.

    În general, beneficiile implementării computerelor compatibile cu vPro în reteaua existenta Există. Puteți utiliza atât instrumentele existente de gestionare la distanță și puteți adăuga suport vPro/AMT. Adică, puteți investi mai întâi în echipamentul corespunzător, iar ulterior să implementați un sistem de control de la distanță.

    vPro este, de asemenea, foarte interesant pentru entuziaști și overclockeri, deoarece adaugă nou nivel controlul si managementul sistemului. Computerul poate fi pornit, oprit și repornit prin rețea. Puteți chiar să preziceți apariția soluțiilor vPro reproiectate care permit furnizarea de servicii simple printr-o interfață web chiar și atunci când computerul este oprit. Cu toate acestea, dacă vă plac performanța înaltă, un set bogat de caracteristici și capacitatea de overclock, atunci va trebui să alegeți între ele și vPro, deoarece nu am găsit încă plăci de bază care să suporte simultan vPro și opțiuni pentru entuziaști.

    În opinia noastră, fiecare PC ar trebui să conțină o formă de telecomandă fără costuri suplimentare. Clienți corporativi probabil că va dori să cheltuiască bani pe sisteme de control mai complexe, dar este puțin probabil ca utilizatorul final să fie deranjat funcții suplimentare practic degeaba.

    Tabel de configurare

    Sistemul I
    Priza 775 Intel Core 2 Extreme E6300 (Allendale 65 nm, 1,86 GHz, 2 MB cache L2)
    Placa de baza MSI Q965MDO, chipset: Intel Q965, BIOS: 2006-12-19
    Memorie 2x 1024 MB DDR2-667 (CL 5.0-5-5-15), Corsair CM2X1024-6400C3 XMS6403v1.1
    Placa video Intel GMA 3000
    HDD 160 GB, 7.200 rpm, 8 MB cache, SATA/300, Western Digital WD1600AAJS
    DVD-ROM Gigabyte GO-D1600C (16x)
    Sistemul II
    Priza 775 Intel Pentium D 925 (Presler 65 nm, 3,0 GHz, cache L2 2x2 MB)
    Placa de baza Acer FQ965M, chipset: Intel Q965, BIOS: R01-A3
    Memorie 1x 512 MB DDR2-533 (CL 5.0-4-4-12), Apacer
    Placa video Intel GMA 3000
    HDD 80 GB, 7.200 rpm, 8 MB cache, SATA/150, Western Digital WD800JD
    DVD-ROM Gigabyte GO-D1600C (16x)
    Software
    Platforma Intel INF 8.1.1.1010
    DirectX Versiune: 9.0c (4.09.0000.0904)
    OS Windows XP, Build 2600 SP2

    CHRIS KASPERSKI

    Controlat de la distanță Configurarea BIOS-ului

    Fiecare dintre voi, cel puțin o dată în viață, a fost confruntat cu nevoia de a intra în configurarea BIOS și de a „ajusta” ușor sau de a remedia un Windows NT, Linux/FreeBSD „defectat”. În mod tradițional, această sarcină este rezolvată folosind un mouse și o tastatură, dar ce se întâmplă dacă serverul nu este accesibil fizic?

    Calculatoare din familia IBM PC pentru o lungă perioadă de timp au fost considerate stații de lucru ieftine, iar serverele bazate pe acestea au început să fie construite abia recent. Dezvoltatorii au crescut numărul de procesoare, au adăugat suport pentru corecția memoriei, tolerante la erori matrice de discuriși alte delicii, dar transformarea completă într-un server nu a venit niciodată. În special, problema a persistat administrare la distanță. Sistemele de operare ale familiei Windows NT acceptă controlul de la distanță doar formal. Chiar și programe precum Remote Admin efectuează o gamă limitată de operațiuni simple și nu sunt capabile să deservească pe deplin un server printr-o rețea. În lumea UNIX lucrurile stau puțin mai bine, dar există încă probleme.

    De exemplu, BIOS-ul refuză să pornească, solicitându-vă să faceți clic pentru a intra în BIOS Setup sau să porniți cu parametrii impliciti (vezi Fig. 1). Dar serverul este situat de cealaltă parte a orașului și chiar și într-o cameră la care administratorul nu are cheile. O situație familiară, nu-i așa? O altă opțiune: după instalarea următorului pachet de actualizare, sistemul de operare „a murit” și a devenit victimă atac de hacker sau doar înghețat. În toate aceste cazuri mijloace standard telecomandă nu mai merge si trebuie sa te apropii de server, ceea ce este destul de greu. Chiar dacă serverul este situat la etajul următor, este mult de preferat să îl gestionați fără a părăsi scaunul preferat decât să alergați cu dischete (discuri laser) înainte și înapoi.

    Și chiar se poate! Sunt cel puțin trei moduri despre care vreau să vorbesc.

    Control BIOS de la distanță

    Ordinea de pornire a BIOS-ului arată, în general, așa. Primul care primește controlul este BOOT-block (blocul de pornire sau încărcătorul primar, a nu fi confundat cu sectorul de boot!). Efectuează inițializarea hardware-ului principal ( RAM, controler de întrerupere, temporizator de sistem etc.), scanează magistrala ISA și conectează BIOS-ul tuturor dispozitivelor detectate (de exemplu, controlere SCSI, video, plăci de rețea etc.). Înainte de a-și finaliza activitatea, BOOT-block despachetează codul principal BIOS (așa-numitele extensii BIOS sau bootloader secundar) și îi transferă controlul. Bootloader-ul secundar scanează magistrala PCI și efectuează inițializarea hardware finală - recunoaște unitățile IDE, afișează editorul interactiv BIOS Setup dacă este necesar, distribuie resursele de sistem între dispozitivele PnP și, în final, citește sectorul de pornire de pe o dischetă sau un hard disk.

    Astfel, BIOS-urile instalate pe plăcile de expansiune sunt controlate într-o etapă foarte timpurie a inițializării, cu mult înainte de a începe calculul sumei de control CMOS sau dezambalarea bootloader-ului secundar. Apropo, majoritatea utilităților de ardere a BIOS-ului nu ating blocul BOOT și, chiar dacă arderea nu reușește, sloturile de expansiune ISA sunt încă inițializate. Cu sloturile PCI, totul este mult mai complicat și, în general, acestea sunt accesibile doar din bootloader-ul secundar (și moare dacă arderea eșuează). Unii producători, de exemplu ASUS, includ un driver special în BOOT-block pentru lucrul cu magistrala PCI, astfel încât placa de bază să poată inițializa placa video și să afișeze măcar ceva pe ecran, chiar dacă codul BIOS principal este învins. Dar nu cunosc niciun BIOS al cărui bloc de pornire ar putea funcționa cu magistrala AGP sau PCI-express.

    Prin urmare, tot ce avem nevoie este să facem o placă ISA sau PCI „fachinică”, să instalăm „propriul nostru” BIOS pe ea și să o programăm pentru control de la distanță. Am „modificat” odată plăci de rețea antice (care au fost pur și simplu aruncate), transformându-le într-un „panou” de telecomandă care vă permite să editați setări BIOS prin rețeaua locală. Nu este greu de făcut! Este suficient să poți programa în Assembly și să înțelegi puțin despre arhitectura hardware (vezi Fig. 2).

    Cu toate acestea, nu este deloc necesar să examinați cu atenție depanatorul; totul poate fi cumpărat gata făcut. Astfel de plăci (se numesc Remote Boards) sunt produse de multe companii. De obicei, acestea sunt o placă VGA standard cu un port COM integrat la care vă conectați modem extern. Unele modele au un port Ethernet. Poate fi conectat la un modem DSL sau conectat la un Switch. Prin aceste porturi, o copie a ecranului este transmisă către un monitor de la distanță și sunt primite comenzi de la tastatură, în urma cărora PC-ul IBM se transformă într-un adevărat „mainframe” și nu mai este necesar accesul fizic la acesta (vezi Fig. .3)!

    Modelul Remote Insight de la Hewlett-Packard, care este introdus într-un slot PCI și controlat printr-un port Ethernet de 10/100 Mbit, este foarte popular. Acceptă atât modurile text, cât și cele grafice (până la 1280x1024/256 culori) și este alimentat de la o sursă externă, ceea ce îi permite să „apăseze” butoanele „Power” și „Reset”. Pe lângă un mouse și o tastatură la distanță, este posibil să conectați o unitate de disc la distanță și o unitate CD-ROM, fără de care nicio reinstalare a sistemului nu este completă. Acesta este pur și simplu fantastic! Puteți oricând să porniți de pe un Live CD și să vedeți ce s-a întâmplat cu serverul și să salvați datele care au supraviețuit pe orice suport media care este la îndemână. Acest lucru îmbunătățește securitatea sistemului, deoarece un server echipat cu Remote Insight este posibil să nu aibă deloc medii amovibile!

    Apropo, despre siguranță. Remote Insight acceptă SSL și criptarea pe 128 de biți, ceea ce îi permite să funcționeze chiar și pe canale nesecurizate (și administratorul obișnuit, de multe ori, pur și simplu nu are alte canale la dispoziție).

    Toate controlurile au loc fie prin telnet, fie printr-un browser web. Orice este mai convenabil pentru administrator. Aproape orice sistem de operare poate fi instalat pe server: Windows 2000/2003 (Advanced Server, Data Center, Terminal Server, Standard sau Enterprise Edition), Novell NetWare 5.1, 6.0, Red Hat Advanced Server2.1, Red Hat Linux 7.3/8.0 , SuSE Linux Enterprise Server V7/V8 și altele (vezi Fig. 4).

    Cardul poate fi achiziționat dintr-un magazin sau comandat online direct de la Hewlett-Packard. Va costa 399 USD, ceea ce merită cu siguranță! În principiu, puteți găsi un producător mai ieftin, dar din punct de vedere preț/funcționalitate acest card nu are egal, cu toate acestea este departe de a fi ideal. Nimeni nu ne va oferi textele sursă ale firmware-ului și nu îl vom putea modifica cu un „fișier” pentru a se potrivi nevoilor noastre specifice (teoretic, acest lucru este posibil, dar foarte dificil). În plus, calitatea implementării protocoalelor de criptare este foarte discutabilă. Poate că cardul conține trape de depanare sau tampoane care debordează, care vor permite unui atacator să preia controlul asupra roții de control (vezi Fig. 5)!

    PC Weasel 2000 de la compania cu același nume nu are aceste neajunsuri. Împreună cu plata în sine, cumpărătorul primește un întreg sursă firmware și o licență pentru a-l schimba. Aceasta este în continuare aceeași placă VGA, doar că în loc de un port Ethernet are un controler UART (cunoscut și ca port COM standard de tip 16550). Din păcate, funcționalitatea sa este mult mai slabă. Sunt acceptate doar modurile video text și nu există unități la distanță, cu toate acestea, este posibil să „împingeți” serverul la „Resetare” sau să vă uitați la codurile POST pentru a evalua imediat amploarea problemei (vezi Fig. 6).

    Opțiunea ISA vă va costa 250 USD, iar opțiunea PCI vă va costa toți 350 USD. Nu este prețul prea mare pentru o licență deschisă cu funcționalitate redusă? Nu te grăbi să tragi concluzii. Texte sursă- Mare lucru! Puteți cumpăra o singură placă și o puteți instala pe un număr nelimitat de mașini. Nu trebuie să clonăm hardware-ul. Dacă modificați ușor firmware-ul, vă puteți descurca cu componente standard, dar mai multe despre asta puțin mai târziu. În primul rând, să facem cunoștință cu clasa diametral opusă de dispozitive de control la distanță, printre care dispozitivul de vis poate fi pândit (vezi Fig. 7).

    KVM sau telecomanda continuă

    Principalul dezavantaj al plăcilor VGA cu un BIOS modificat este că necesită deschiderea carcasei serverului, ceea ce nu este întotdeauna de dorit. În plus, tehnologia de interceptare a imaginii și de emulare a intrării de la tastatură este departe de a fi ideală și extrem de conflictuală. Switch-urile KVM adoptă o abordare complet diferită. Și-au primit numele de la primele trei litere: tastatură, video-monitor și mouse. Comutatorul este un dispozitiv autonom care se conectează la un computer prin conectori standard PS/2 și DB15 VGA. Semnalul lor este convertit într-un flux digital și transmis la un terminal KVM din apropiere conectat la un computer la distanță. În linii mari, conectăm tastatura, mouse-ul și monitorul cu cabluri foarte lungi (vezi Fig. 8).

    Puteți configura configurarea BIOS sau puteți vizualiza Windows care s-a prăbușit ecran albastru, dar nu avem unități la distanță sau nici măcar capacitatea de a apăsa Resetare, adică iluzia accesului fizic complet se dovedește a nu fi atât de completă. Dar aproape toate modurile video sunt acceptate și nu se fac modificări codului BIOS, iar acest lucru este foarte important în infrastructurile critice. Pur și simplu nu ni se va permite să instalăm un emulator terță parte într-un computer bancar, deoarece această tehnologie nu este certificată, dar comutatoarele KVM, de regulă, au toate certificatele necesare (vezi Fig. 9).

    Marea majoritate a modelelor sunt concepute pentru a controla mai multe servere de la un terminal, în timp ce semnalul este trimis printr-un cablu ecranat în pereche răsucită cu lungime maxima câteva sute de metri. Acesta nu este deloc Ethernet și nu poate fi introdus într-un hub de rețea! Pentru control real de la distanță prin Internet sau modem, va trebui să instalăm computer suplimentar, care primește un semnal KVM și, folosind un software special, îl transmite într-o formă de rețea „digerabilă”. Și asta nu este bine! Din fericire, unele modele acceptă operarea prin modem sau rețea locală. Acest tip de comutatoare KVM se numește „over IP”, deși există variații aici. Uită-te doar la specificație: dacă vezi ceva similar cu LAN sau Dial-Up, de asta avem nevoie (Fig. 10)!

    Minicom s-a dovedit destul de bine, iar în sortimentul său puteți găsi cel puțin două modele potrivite - Phantom Dial-Up Remote Access și Smart IP Extender Switch Over IP. Primul costă în jur de 800 de dolari, al doilea... – 3500 de dolari. Pentru bănci și alte instituții financiare, această sumă poate fi potrivită, dar pentru un birou mic este puțin probabil. Desigur, scotocind prin magazine, puteți găsi un comutator KVM mai ieftin, dar este mai bine să asamblați singur un sistem de control de la distanță.

    Cum funcționează sau telecomandă DIY!

    Pentru a ne crea propriul sistem de control de la distanță, vom avea nevoie de orice placă PCI și placă de bază care acceptă lucrul cu magistrala PCI prin intermediul BOOT-block (de exemplu, ASUS). Trebuie să existe un „pătuț” cu BIOS la bordul cardului. În cel mai rău caz, BIOS-ul poate fi localizat într-un cip separat, care poate fi îndepărtat cu ușurință de pe placă și conectat la programator. Din păcate, plăcile de rețea cu BIOS „extern” devin învechite și devin din ce în ce mai greu de găsit. Controlerele Ethernet moderne integrează BIOS-ul în chipset-ul și nu mai putem face nimic cu el (doar să nu confundați BIOS-ul cu panoul BIOS pentru Boot-ROM, nu sunt deloc același lucru!).

    Așa că trebuie să trecem la controlere SCSI, ale căror prețuri au scăzut la 10-14 USD. Desigur, vorbim despre cele mai simple modele, dar nu avem nevoie de altceva decât de BIOS! Prin urmare, chiar și un model ieftin nu va funcționa mai rău decât unul scump. Nu este necesar să vă faceți griji cu privire la menținerea funcționalității controlerului. Este mult mai ușor să rescrieți BIOS-ul din tabula rasa decât să adăugați propriile module la unul existent (totuși, puteți face acest lucru dacă doriți) (vezi Fig. 11).

    Nu este nevoie să achiziționați un controler UART suplimentar. Este mai bine să utilizați ceea ce este încorporat în placa de bază și, dacă doriți, puteți utiliza și Ethernet integrat sau orice alt mijloc de comunicare.

    Dezvoltarea firmware-ului se realizează de obicei în limbaj de asamblare, dar dacă se dorește, pot fi utilizate și limbaje de nivel înalt, cum ar fi C/C++. Doar nu utilizați biblioteci I/O standard în nicio circumstanță și spuneți linkerului să dezactiveze Start-Up. Pentru a face acest lucru, pur și simplu redenumiți funcția principală în ceva de genul MyMain. Deoarece C nu acceptă bazarea, codul compilat trebuie să fie complet relocabil (adică executat indiferent de adresa de încărcare a memoriei de bază). Acest lucru poate fi realizat prin eliminarea variabilelor globale și dezactivarea tuturor opțiunilor compilatorului care ar putea genera cod nerelocabil despre care nici măcar nu știm (cum ar fi controlul blocării stivei). Dacă nu ești sigur că cunoști bine „curtea din spate” a compilatorului, nu-l folosi! Program în limbaj de asamblare. Nu te va dezamăgi!

    Codul de firmware este executat în segmentul de mod real pe 16 biți, dar nimeni nu ne interzice să trecem în modul protejat și să ieșim de acolo, deși nu este complet clar de ce este necesar acest lucru. Este inacceptabil să folosiți funcțiile de serviciu BIOS, deoarece o parte din hardware nu a fost încă inițializată, iar BIOS-ul în sine nu a fost încă dezambalat. Lucrați numai prin porturile I/O, dar înainte de a face acest lucru, nu uitați că echipamentul trebuie inițializat manual. În special, portul COM integrat nu are încă o adresă de bază sau IRQ, deoarece managerul PnP care distribuie resursele sistemului nu a primit încă controlul! Trebuie să deschideți documentația pentru podul de sud al chipset-ului și să programați tot hardware-ul de la zero. Acesta este cel mai mult nivel scăzut„comunicare” cu echipamentul! Extraordinar de complex, dar în același timp captivant de interesant! Din fericire, puntea serverului este deja parțial inițializată, așa că nu este nevoie să configurați controlerul de memorie.

    Acum să vorbim despre tehnicile de emulare și interceptare. Pentru a afișa informații pe ecran, BIOS-ul folosește propriul serviciu de service INT 10h. Este, de asemenea, utilizat în stadiul inițial de pornire a sistemelor de operare din familia Windows și UNIX. Prin capturarea acestei întreruperi, putem jefui toată ieșirea pe ecran și îi putem transmite computer la distanță(„rob” este un termen complet legal, împrumutat de la inginerii vorbitori de limbă engleză, care în acest caz spun „apucă”, sună nepoliticos, dar sincer).

    Desigur, acest lucru nu este fără dificultăți. Deoarece vectorii de întrerupere pot fi resetati de multe ori în timpul procesului de inițializare a BIOS, doar modificarea tabelului de întreruperi (adică metoda clasică de interceptare) nu va fi în mod clar suficientă. Da, putem schimba indicatorul de departe la adresa: 0000h:10h*sizeof(DWORD) == 0000h:0040h prin redirecționarea către propriul său handler, dar... după un timp controlul INT 10h va fi pierdut. Pentru a evita acest lucru, trebuie să setați un punct de întrerupere hardware pentru a scrie în această locație de memorie. Familia DRx de registre de depanare ne va ajuta în acest sens. Registrele Dr0-Dr3 stochează adresa fizică liniară a punctului de întrerupere, iar Dr7 determină condițiile în care este declanșat, determinând procesorul să genereze întrerupere INT 01h, unde ar trebui să fie localizat handlerul nostru pentru a reexpropria INT 10h din sistem.

    Un exemplu de lucru cu registrele de depanare este dat mai jos.

    Listare 1. Interceptorul transferă controlul către codul nostru atunci când sectorul Boot este încărcat

    ; interceptare INT 01h

    MOV ax, CS

    XOR bx,bx

    MOV DS, cutie

    ; compensare a operatorului nostru

    MOV, compensați our_vx_code

    ; raportat la segmentul 0000h

    MOV, cutie

    MOV DS, topor

    ; setați un punct de întrerupere pentru execuție

    MOV eax, 302h

    ; adresa punctului de întrerupere fizică liniară

    MOV ebx, 7С00h

    ; Introducerea valorilor în registrele de depanare

    MOV dr7, eax

    mov dr0,ebx

    Întreruperea INT 10h acceptă peste o sută de funcții diferite, al căror număr este transmis în registrul AH. Mai exact, 02h controlează cursorul, iar 09h tipărește caracterul. Desigur, pentru a jefui ieșirea ecranului, trebuie să fiți capabil să distingeți o funcție de alta și să știți exact ce face fiecare dintre ele. O descriere a funcțiilor poate fi găsită fie în documentația tehnică pentru o anumită placă video (și dacă placa este încorporată în placa de bază, atunci în documentația pentru puntea de server a chipset-ului), fie în celebra Lista de întreruperi a lui Ralph Brown, însă, nu a fost actualizat de mult timp și este foarte depășit. Ultima versiune datează din vara anului 2000. De atunci, au fost lansate multe cărți noi! Cu toate acestea, funcțiile video de bază nu au suferit modificări și, dacă renunțați la modurile video non-standard, totul va funcționa fără probleme.

    Modurile text sunt jefuite foarte bine, dar modurile grafice debitului modemurile analogice nu se mai potrivesc, iar informația transmisă trebuie comprimată cumva. Cel mai simplu lucru este să transferați doar modificările, împachetându-le anterior folosind algoritmul gzip, pentru care există multe biblioteci gata făcute pentru a lucra.

    Adevărat, odată cu tranziția sistem de operareîn modul protejat, toate interceptările noastre vor fi „suprimate”, iar computerul de la distanță va afișa un ecran plictisitor, înghețat. În principiu, poți să te împaci cu asta. Principalul lucru este că avem control asupra setării BIOS și a fazei inițiale de încărcare a axei și acolo putem folosi telnet standard, dacă, desigur, la mijloc pornire Windows nu va arunca un ecran albastru.

    În primele mele modele de sisteme de control de la distanță, am făcut acest lucru: am monitorizat o încercare de a comuta în modul protejat (și o puteți urmări folosind aceleași registre de depanare), am trecut eu în modul protejat, am instalat propriile mele handlere de întrerupere și am dat controlul sistemul de operare, nepermițându-i să schimbe nimic. A mers! Deși s-a prăbușit și. Nu a fost posibil să creăm un interceptor universal și a trebuit să luăm în considerare caracteristicile de implementare ale tuturor sistemelor de operare. În cele din urmă, am renunțat și am scris un driver de filtru obișnuit care funcționează ca un miniport VGA și trimite ieșirea ecranului către placa de expansiune „noastră” (Fig. 12).

    Unele sisteme de control de la distanță (de exemplu, complexul PC Weasel 2000 deja menționat) în loc să intercepteze INT 10h pur și simplu fură tamponul video, ceea ce la prima vedere simplifică semnificativ implementarea. Nu este nevoie să te chinui cu registrele de depanare, să scotoci prin Lista de întreruperi etc. De fapt, chiar și în modul text există multe pagini de ecran și, în general, tăcem despre modul grafic! Mai mult, este complet neclar cum să sincronizezi ieșirea ecranului cu interceptarea acestuia. Scanarea memoriei video cu o frecvență de 50-60 Hz este destul de posibilă, dar este puțin probabil să poată împinge datele furate în canalul modemului. Ce lent va fi chestia asta! Nu e de mirare că PC Weasel 2000 funcționează doar cu moduri text!

    Acum să trecem la emularea introducerii de la tastatură. Nu vom lua în considerare mouse-ul, deoarece administratorii normali se pot descurca cu ușurință fără el. Întregul serviciu de tastatură este concentrat în întreruperea INT 16h, pe care trebuie să o interceptăm. Când un program (și în special BIOS Setup) așteaptă apăsarea unei taste, șterge registrul AH și apelează INT 16h. Desigur, există și alte opțiuni, dar aceasta este cea mai populară. În acest caz, operatorul nostru de întrerupere trebuie să plaseze codul ASCII al caracterului apăsat pe tastatura de la distanță în registrul AL și să returneze controlul. Desigur, toate acestea vor funcționa numai până când sistemul de operare va trece în modul protejat, iar după aceea va trebui să vă încărcați propriul driver, care se află deasupra driverului standard de tastatură și emulează intrarea.

    Discurile la distanță sunt implementate destul de banal. Întreruperea INT 13h este responsabilă pentru acest lucru. Funcția 02h oferă citirea sectorului, 03h – scrierea acestuia. Numărul sectorului este transmis în registrele CX și DX în format CHS. Implementarea CD-ROM-ului de la distanță este puțin mai complicată. Dacă nu sunteți puternic în programarea sistemului, la început este mai bine să vă limitați la dischetele virtuale. Apropo, nu este deloc necesar să folosiți dischete fizice - mașina de la distanță poate lucra cu imaginea lor înregistrată pe hard disk ca fișier. Pentru telecomandă Reinstalare Windows NT această tehnică este destul de potrivită. Iar schimbarea dischetelor virtuale nu este deloc dificil de automatizat.

    Ca rezultat, vom obține un complex de telecomandă destul de puternic și, cel mai important, foarte ieftin. Desigur, timpul nostru merită și el ceva (și va dura mult timp pentru dezvoltare și punere în funcțiune), dar dacă astfel de complexe sunt făcute la comandă, se vor plăti rapid, mai ales că există o cerere constantă pentru ele, deoarece majoritatea analogilor occidentali pur și simplu nu sunt accesibile.

    Pentru a finaliza imaginea, rămâne un simplu fleac - o resetare de la distanță, fără de care creația noastră va fi incompletă. Ei bine, totul este simplu aici. Este suficient să conectați un releu care duce la butonul „prețuit” la portul LPT, iar problema va fi rezolvată. Putem controla portul LPT din firmware-ul controlerului SCSI, desigur, fără a uita că trebuie inițializat înainte de a face acest lucru.

    Un ultim mic truc. Dacă nu aveți nevoie de un sistem complet de control de la distanță și doriți doar să împiedicați BIOS-ul să vă solicite să apăsați o tastă la pornire, atunci este ușor să faceți fără echipamente suplimentare. Este suficient să încărcați firmware-ul principal BIOS în dezasamblator și să găsiți toate mesajele „abuzive”. Referințe încrucișate ne va conduce la codul mașină care scoate aceste linii. De asemenea, va exista un cod care așteaptă apăsarea unei taste, pe care trebuie să-l scoatem. Apelarea directă a INT 16h este rar folosită. Cel mai probabil vom vedea ceva de genul CALL xxx, unde xxx este adresa funcției wrapper. Pentru a realiza planul nostru, trebuie să înlocuim CALL xxx cu „MOV AX,scan-code”, indicând codul de scanare al cheii necesare. De exemplu, tasta din majoritatea BIOS-urilor înseamnă „pornire la setările implicite”, dar în unele cazuri poate fi necesar să apăsați sau.

    Problema este că imaginea principală a BIOS-ului este ambalată și protejată cu sume de control. Aproape toți dezvoltatorii de BIOS distribuie utilitare pentru despachetare/împachetare și recalculare sume de control, cu toate acestea, nu avem nicio garanție că BIOS-ul modificat va funcționa corect. Erorile pot apărea în cele mai neașteptate locuri. Funcționarea sistemului devine instabilă, placa de bază fără niciuna motive vizibileîncepe să înghețe, etc. Desigur, acest lucru este inacceptabil pentru servere, așa că trebuie să mergi pe altă cale.

    În loc să modificăm imaginea împachetată a codului principal BIOS, vom lua un BOOT-block despachetat și vom adăuga un pacher automat, editând octeții necesari direct în memorie când dezambalarea este deja finalizată. Deoarece codul BIOS principal este dezambalat în RAM, nu există probleme cu corecția acestuia. Principalul lucru este să determinați adresele necesare. Faptul că BIOS-ul în sine nu își suprascrie imaginea ne va ajuta în acest sens și în momentul în care sectorul de boot este încărcat acesta este prezent în memorie. Este suficient să scrieți un program mic de asamblare care citește primii 640 KB de memorie mai mică și îl scrie în floppy disk, apoi injectați-l în sectorul de pornire. După repornirea sistemului, vom deveni proprietarii BIOS-ului dezambalat, aflat în adresele sale „native”.

    Tot ce rămâne este să ardeți prin BOOT-block actualizat și vă puteți bucura de funcționarea neîntreruptă a serverului!

    Concluzie

    Controlul complet de la distanță al sistemului este o realitate! Gamă solutii posibile este neobișnuit de largă: de la dispozitive KVM gata făcute (și foarte scumpe!) la plăci de expansiune mai ieftine, dar în același timp mai funcționale (!), pe care majoritatea programatorilor le pot realiza cu ușurință singuri. Accesul fizic la server va fi necesar doar atunci când acesta este reparat (nu există nicio modalitate de a face fără el, deoarece nu puteți trimite clești și șurubelnițe peste modem), dar defecțiunile fatale nu apar foarte des.

    1. Plăci Remote Insight „Lights Out” – prezentare generală a sistemelor de control de la distanță (în engleză): http://www.paul.sladen.org/lights-out/riloe.html.
    2. Remote Insight Lights-Out Edition II - descrierea cardului de gestionare la distanță de la Hewlett-Packard cu posibilitatea de a comanda pe Internet (în engleză): http://h18004.www1.hp.com/products/servers/management/riloe2 /server-slot -matrix.html .
    3. PC Weasel 2000 - descrierea unei plăci alternative de telecomandă, microcod, care este distribuită sub o licență deschisă (în engleză): http://www.realweasel.com/intro.html.
    4. Specificații un număr mare de sisteme de management la distanță (în principal switch-uri KVM, în limba engleză): http://www.kvms.com.
    5. Raritan IP-Reach TR364 - descrierea comutatorului KVM TR364 (în engleză): http://www.42u.com/telereach_bk.htm.
    6. Arhitectura I/O a computerelor personale IBM PC – versiune electronica o carte dedicată dispozitivului IBM PC, pe care este foarte recomandat să o citiți înainte de a vă dezvolta propriul sistem de control la distanță (în rusă): http://redlib.narod.ru/asmdocs/asm_doc_07.zip.
    7. Lista de întreruperi Ralf Brown - un ghid electronic pentru toate întreruperile, porturile I/O, adresele de memorie „magice”, inclusiv extensiile non-standard și capabilitățile nedocumentate (în engleză):