Grundlagen: Intel AMT

14.03.2006 von Robert Kerschensteiner
Für IT-Verantwortliche sind eine höchstmögliche Systemsicherheit und -verfügbarkeit von entscheidender Bedeutung. Mit "AMT" will Intel diese Anforderungen nicht nur bei Servern, sondern auch im Desktop- und Notebook-Bereich ausbauen.

Von Robert Kerschensteiner, tecChannel.de

Um diesen Ansprüchen gerecht zu werden, integriert Intel mit der Active-Management-Technologie "Intel AMT" zentrale Überwachungs- und Steuerungsfunktionalitäten bereits in eine Hardware-Plattform. Dieses als "embedded IT" bezeichnete Konzept erstreckt sich auch auf grundlegende Fähigkeiten der Hardware zur Erkennung und gegebenenfalls Reparatur von Systemen im Netzwerk per Remote-Zugriff.

Bisher spielte sich das rein auf Applikationsebene ab. Voraussetzung für die Inventarisierung und Fernwartung der Rechner war stets ein funktionierendes Betriebssystem, auf dem der Agent der Systemmanagement-Lösung als Anwendung installiert wurde.

Mit der Active Management Technology überspringt Intel nun zwei Ebenen, indem Systemmanagement-Fähigkeiten bereits auf dem Chip integriert sind. Über eine von Intel an einige dedizierte Softwarelösungen freigegebene Schnittstelle lassen sich ohne Agenten entscheidende Informationen über den Rechner auch dann auslesen, wenn er abgeschaltet ist oder das Betriebssystem nicht funktioniert.

Grundlagen des Remote-Managements

Um das reibungslose Funktionieren der Systeme im Netzwerk zu gewährleisten, kommt es auf drei Schritte an: die Erkennung der vorhandenen Hard- und Software, die Wiederherstellung der Systeme im Falle eines Fehlers und der Schutz der Systeme vor Gefahren, die insbesondere im Internet lauern. Dieser Dreiklang aus Inventarisierung, Fernwartung und Security-Management muss jederzeit harmonisch sein - egal in welchem Zustand sich das einzelne System aktuell befindet.

Die mittlerweile ausgereiften Tools für diese Aufgaben des IT-Managements litten bis vor kurzem jedoch an einem entscheidenden Mangel: Damit die Management-Tasks ausgeführt werden konnten, musste auf den aus der Ferne zu administrierenden Systemen ein funktionstüchtiges Betriebssystem installiert sein und tatsächlich laufen, weil sonst der Agent nicht arbeiten konnte.

Schwierigkeiten unterhalb dieser Schranke ließen sich nur durch Besuche vor Ort und die komplette Festplattenformatierung und Neuinstallation beheben. Darüber hinaus konnte nicht immer zweifelsfrei festgestellt werden, welche Systeme tatsächlich gerade im Netzwerk im Betrieb sind. Hatte man darüber hinaus ein System identifiziert, dessen Betriebssystem nicht funktionierte und es mittels Re-Imaging wieder zum Laufen gebracht, ließ es sich danach nicht ohne weiteres im Netzwerk korrekt zuordnen, weil der für das System vorgesehene User offiziell noch mit der alten Maschine verknüpft war.

Funktionsprinzip der Active-Management-Technologie

Die vor etwa einem Jahr vorgestellte Intel Active Management Technology ist ein "Building-Block" aus Hard- und Firmware-Lösungen. Sie macht es möglich, einen Rechner unabhängig von dessen Status im Netzwerk mit bestimmten dazu autorisierten Client-Managementsystemen zu erkennen und zu managen. Von den zahlreichen Intel-Partnern auf diesem Gebiet (Altiris, BMC, CA, LANDesk Software, Novell) hat als erster Hersteller LANDesk Software in seiner aktuellen LANDesk Management Suite 8.6 eine Implementierung von AMT vorgestellt und demonstriert.

Auch wenn der Rechner sich im "Bare-Metal-Zustand" befindet, das Betriebssystem abgestürzt oder wenn er heruntergefahren ist - die Management-Software erkennt ihn per Intel AMT im Netzwerk. Sie kann darüber hinaus Informationen von dem "fehlerhaften" System auslesen und Remote-Control-Sessions anstoßen, bereits bevor der eigentliche Management-Agent installiert wurde. Der Clou: Diese Out-of-Band-Funktionalität lässt sich von Dritten nicht abschalten, weil sowohl die Informationen als auch die Ansteuerung direkt im Chip in einem dauerhaften, von Hauptspeicher und Speichermedien völlig unabhängigen Speicherbereich sitzen. Daher kann das Betriebssystem diese Kommunikation nicht beeinflussen. Einzige Voraussetzungen für das Ansteuern eines so genannten AMT-enabled- Rechners sind eine Kabelverbindung zum Netzwerk und eine aktive Stromversorgung.

Architektur

Intel AMT ist seit diesem Sommer erstmals auf dem Chipset Intel 945G in Kombination mit der Netzwerkkarte Intel 82573E der "Lyndon"-Desktop-PC-Plattform implementiert. Auch für die in 2006 erwartete Plattform "Averill" ist sie vorgesehen und dann erstmals für den Nachfolger der aktuellen mobilen Centrino-Plattform "Sonoma" mit dem Codenamen "Napa".

Ein Teil des nicht flüchtigen Flash-Speichers im Chipsatz sammelt bei jedem Bootvorgang über eine interne Schnittstelle, das so genannte Sensor-Effector Interface (SEI), Grundinformationen unter anderem zu Prozessortyp, Speichertyp und BIOS-Einstellungen. Das bedeutet, dass bei einer Abfrage der Systeminformationen durch eine Managementsoftware über das Netzwerk immer der Status nach dem letzten erfolgreichen Booten des Systems zur Verfügung steht.

Der Kommunikation zwischen Rechner und Systemmanagement-Lösung dient eine definierte Schnittstelle auf der Netzwerkkarte, das External Operations Interface (EOI). Auf diese Schnittstelle haben nur von Intel autorisierte Anwendungen Zugriff, nicht aber das Betriebssystem des Rechners selbst und auch keine unautori-sierte Systemmanagement- oder Remote-Control-Software. Die Schnittstelle verwendet die Web Services Description Language (WSDL) für die Maschine-zu-Maschine-Kommunikation. Generell stehen die Schnittstellen als Webservices zur Verfügung, auf die über Simple Object Access Protocol/Extensible Markup Language (SOAP/XML) mittels unterstützter Protokolle wie dem Hypertext Transfer Protocol (HTTP) zugegriffen werden kann.

Hardware identifizieren und Status abfragen

Die autorisierte Systemmanagement-Software kann über die externe Schnittstelle zum Beispiel den Globally Unique Identifier (GUID) auf den dafür definierten Speicherort schreiben. Der GUID ordnet eine Maschine zweifelsfrei einem User zu. Bei nicht Intel-AMT-fähigen Systemen schreibt der Systemmanagement-Agent die GUID auf die Festplatte des Rechners. Ist diese defekt oder wird formatiert, beispielsweise bei einem Re-Imaging nach einem System-Crash, geht die GUID verloren und muss neu erzeugt werden. Das heißt konkret, dass die alte Zuordnung real verloren gegangen ist, im Inventar aber noch abgebildet wird. Parallel dazu ist die neue Zuordnung aber schon aktiv. In diesem Zeitraum bestehen für einen User zwei GUIDs, also laut Verzeichnis zwei PCs, obwohl er nur einen physikalischen Rechner hat. Gleichzeitig bedeutet dies, dass in diesem Zeitraum auch zweifach Lizenzen für diesen User ausgewiesen werden. Dies gilt so lange, bis über einen neuen Inventory-Scan die Echtdaten auf dem System mit den im Verzeichnis gespeicherten Infos zu User und Rechner abgeglichen sind. Bei Intel-AMT-enabled-Rechnern bleibt die ein Mal von der Systemmanagement-Lösung vergebene GUID bestehen. Die Maschine ist also jederzeit eindeutig zu identifizieren und einem User zuzuordnen.

Dieses Verfahren ist von großem Vorteil insbesondere bei Software-Audits, die auch noch aus anderer Sicht eine Herausforderung darstellen. Bisher müssen die IT-Verantwortlichen die Systeminformationen mit hohem Aufwand einholen und mit den gespeicherten Daten abgleichen. Schätzungen einer US-Studie von Intel gehen dahin, dass im Durchschnitt zwischen 15 und 20 Prozent der Clients in einem Netzwerk hinsichtlich ihrer Softwareausstattung nicht automatisiert erfasst werden können. Die Gründe dafür sind vielfältig: Entweder hat der User den Systemmanagement-Agenten irrtümlich oder vorsätzlich entfernt, oder das Betriebssystem funktioniert nicht richtig.

Soft- und Hardware inventarisieren

Ist zum Zeitpunkt des Inventory-Scans der Rechner heruntergefahren, müssen in diesem Fall die Informationen entweder vom Benutzer eingefordert oder aber direkt vor Ort an der Maschine abgefragt werden. Dazu muss der IT-Administrator über die richtigen Passwörter für dieses System verfügen - für das Booten des Rechners und die Anmeldung an die einzelnen Applikationen. Jedes AMT-enabled-System lässt sich dagegen aus der Ferne booten. Dieser Out-of-Band-Zugriff der Managementkonsole auf den mit Intel AMT ausgestatteten Chip und die dort in der Firmware abgelegten Informationen sorgen daher schnell und vor allem aus der Ferne für Klarheit. Die vom Rechner ausgelesenen Softwareinformationen können automatisiert unmittelbar mit den in einer Asset-Datenbank hinterlegten Lizenzinformationen abgeglichen werden. Daraus resultieren präzise Informationen über Unter- oder Überlizenzierungen und die Wartungsverträge. Darüber hinaus gestaltet sich so der Update-Prozess für die einzelnen Applikationen oder die Betriebssysteme deutlich einfacher und effizienter.

Die Komponenteninventur der Rechner betrifft hauptsächlich die Hardware des Systems. Auch hier sorgt der Unsicherheitsfaktor von 15 bis 20 Prozent für ungenaue Planungsunterlagen hinsichtlich der Wartungs- und Garantiefälle, Abschreibungen und Einsatzänderungen. Bislang gab es keine Standard-Asset-ID für jeden Rechner. Bei mit Intel AMT ausgestatteten Maschinen kann die Systemmanagement-Lösung eine solche ID und damit die aktuellen Hardware-Infos bei jedem erfolgreichen Booten des Systems in den nicht flüchtigen Bereich des Speichers auf dem Chip schreiben und wiederum über die interne Schnittstelle in die Firmware. Auch auf diese Informationen hat der IT-Administrator jetzt an der Managementkonsole jederzeit Zugriff. Auf diese Weise lassen sich Konfigurationsänderungen an Hardware-Komponenten nachverfolgen. Außerdem gelingt so für alle Maschinen im Netzwerk eine stets aktuelle Aufstellung darüber, wann welche Komponenten gewartet oder ausgetauscht werden müssen.

Reparatur per Fernwartung

Weil der Status der Hardware sowie der installierten Software des Rechners stets sichtbar ist, lassen sich Fehlfunktionen des Systems jederzeit erkennen. Bootet zum Beispiel das Betriebssystem nicht richtig, weil eine bestimmte DLL fehlt oder korrupt ist, lässt sich genau das aus der Ferne diagnostizieren. Ähnlich verhält es sich, wenn die Festplatte nicht mehr funktioniert: Der Administrator an der Konsole beziehungsweise der Help Desk Agent kennt jederzeit den Status des Rechnersystems. Anschließend kann er sich sofort remote auf die Maschine aufschalten, um das Problem zu lösen - etwa um einen Konfigurationsmangel oder einen Fehler in einer Software beziehungsweise dem Betriebssystem zu beheben. Im Falle eines Hardware-Defekts ist natürlich immer noch der Besuch des Rechners notwendig - aber bereits mit der richtigen Hardwarekomponente im Koffer.

Ein weiterer Fall: Ein Rechner stürzt bei einer bestimmten Operation in einer Anwendung immer wieder ab. In diesem Zustand ist er nicht zu reparieren, ohne dass er vor Ort neu gestartet wird und die Settings angeschaut werden. Das Abstellen eines solchen Problems funktioniert nur, wenn der Benutzer sehr präzise Angaben zum Fehlerhergang machen kann. Unter Umständen muss der Rechner dann zusammen mit dem Nutzer mehrfach neu gebootet werden, bis man das Problem eindeutig analysiert hat und schließlich zur Reparatur schreiten kann. In den meisten Fällen ist ein Besuch vor Ort nicht zu vermeiden. Mit Hilfe von Intel AMT und einer Systemmanagement-Lösung lässt sich dieser kostspielige Support per Remote-Zugriff durchführen, weil ein Reboot aus der Ferne möglich ist. Anschließend kann man ebenfalls per Fernzugriff bestimmen, wo es Anwendungskonflikte oder korrupte Dateien gibt.

Neuinstallation von Rechnern

Mit modernen Systemmanagement-Tools ist es recht komfortabel möglich, Betriebssystemmigrationen durchzuführen. Die betreffenden Rechner können über die Konsole ausgewählt werden. Anschließend lassen sich die Benutzerprofile zentral zwischenspeichern und nach dem eigentlichen Rollout des neuen OS wieder auf den Rechner aufspielen. Dann steht die Arbeitsstation funktionsfähig zur Verfügung.

Was bisher nicht möglich war, ist die Erstausstattung des Rechners mit einem OS, weil die Maschinen erst dann in der Konsole angezeigt wurden, wenn sie über ein funktionierendes Betriebssystem verfügten. Mit Intel AMT erscheinen in der Konsole der Management-Suite auch die Systeme, die noch "nackt" sind. Über die Softwareverteilmechanismen der Systemmanagement-Lösung können diese aus der Ferne mit dem Betriebssystem ausgestattet und zum ersten Mal gebootet werden. Anschließend kann der Administrator wie bisher den Agenten der Systemmanagement-Lösung auf die Plattform bringen. Von nun an verhält sich der Rechner wie jeder andere gemanagte Client im Netzwerk, kann also auf die volle Funktionalität der Systemmanagement-Suite als Inbound-Lösung zugreifen. Gleichzeitig taucht er in der Konsole als AMT-fähiges Gerät auf.

Sicherheit

Gut konfigurierte Systeme sind eine wesentliche Voraussetzung für Sicherheit im Netzwerk. Indem Intel AMT den Zugriff auf aktuelle Systeminformationen beschleunigt und die Möglichkeiten zur Fernwartung erweitert, leistet sie einen wichtigen Sicherheitsbeitrag. Sicherheitsrichtlinien lassen sich so schneller und effektiver durchsetzen.

Konkret legt Intel AMT zum Beispiel im Falle einer DoS-Attacke das System, von dem der Angriff ausgeht, schnell "lahm" und hilft bei der anschließenden Reparatur. Ist nämlich der Übeltäter identifiziert, kann der Administrator unter Umgehung des Betriebssystems den PC vom Netz nehmen und einen sofortigen Reboot veranlassen, bei dem die Soll-Konfiguration wieder hergestellt wird. Anschließend lässt sich der Rechner wieder mit dem Netzwerk verbinden, und der Benutzer ist rasch in der Lage, seinen PC wieder zu nutzen.

Fazit

Viele Tasks, die in der Vergangenheit zwingend einen oder gar mehrere Besuche vor Ort erforderten, lassen sich durch Intel AMT von der Konsole aus erledigen. Das bedeutet einen erheblichen Effizienzgewinn. Voraussetzung dafür ist allerdings der Einsatz einer Systemmanagement-Lösung, die über die externe Schnittstelle die Informationen im Chip auswerten kann.

Dieser Beitrag stammt von tecChannel.de, dem Webzine für technikorientierte Computer- und Kommunikationsprofis. Unter www.tecChannel.de finden Sie weitere Beiträge zu diesem Thema.