Mebx setup menu что это

Страница 3: Смена пароля intel me

Назад на страницу содержания

Management Engine BIOS Extension (MEBx)

Руководство администратора по управлению системами

Management Engine BIOS Extension (Расширение BIOS механизма управления) (MEBx) обеспечивает возможность конфигурирования

режима работы механизма управления

(ME) на уровне платформы. В числе параметров настройки можно назвать возможность включения и

отключения отдельных функций

, а также конфигурирование схемы потребления энергии.

В этом разделе содержатся сведения о параметрах конфигурирования утилиты

MEBx и существующих ограничениях (если таковые имеются).

Все изменения в настройках конфигурации

ME не кэшируются в утилите MEBx. Они не записываются в энергонезависимую (NVM) память механизма

ME до выхода из утилиты MEBx. Таким образом, в случае аварийного завершения утилиты MEBx внесенные перед этим изменения НЕ будут

записаны в энергонезависимую память

Briscoe для технологии AMT по умолчанию устанавливается режим работы в условиях корпоративной сети.

Доступ к интерфейсу пользователя для конфигурирования утилиты

Для доступа к интерфейсу пользователя для конфигурирования утилиты

MEBx следует выполнить на компьютере следующие действия:

(или перезагрузите) компьютер.

При появлении синего логотипа DELL™ сразу нажмите клавиши

Если вы не успели это сделать до появления экрана с логотипом операционной системы

, дождитесь появления «рабочего стола» операционной

Microsoft® Windows®. Затем выключите компьютер и повторите попытку.

ME. Нажмите клавишу .

Появится экран утилиты

MEBx, изображенный ниже.

В главном меню представлены три варианта выбора параметров

Intel ME Configuration (Конфигурирование Intel ME)

Intel AMT Configuration (Конфигурирование Intel AMT)

Change Intel ME Password (Смена пароля Intel ME)

Intel ME Configuration (Конфигурирование Intel ME) и Intel AMT Configuration (Конфигурирование Intel AMT) рассматриваются в следующих

. Но сначала, прежде чем переходить к рассмотрению этих меню, необходимо

Пароль по умолчанию

admin используется на всех вновь развертываемых платформах. Необходимо сменить пароль по умолчанию перед тем, как вы

Тип материала Установка и настройка

Идентификатор статьи 000005897

Последняя редакция 30.09.2019

В этом PDF-документе представлено описание расширения BIOS для Intel® Management Engine (Intel® МЕБКС) и настройки для системных плат Intel® для настольных ПК. Программу конфигурации Intel МЕБКС можно использовать для просмотра и изменения установок Intel® Management Engine для компьютера.

Примечание

Intel МЕБКС предназначен для использования опытными пользователями. Внесение изменений в программу конфигурации Intel МЕБКС может привести к возникновению проблем в работе системы. Конфигурацию Intel МЕБКС следует изменить только с помощью настроек по умолчанию, чтобы удовлетворить конкретные потребности.

Чтобы получить доступ к Intel МЕБКС:

1. После начального экрана начальной загрузки отображается следующее сообщение: нажмите «≪ CTRL-P >, чтобы войти в программу настройки мебкс.
2. Нажмите клавиши CTRL + P.

Наличие меню и настроек зависит от модели вашей платы, установленных аппаратных компонентов и версии BIOS.

Настройки Intel мебкс
Имя файла: IntelMEBxSettings_v02. PDF
Размер: 41 КБ
Дата: Ноябрь 2008

Примечание: PDF-файлам требуется Adobe Acrobat Reader*.

Статья "Основные пароли AMT" из серии "Учебник по Intel AMT", часть вторая.

Intel AMT — теория и практика

Для начала и, вообще, просто хорошего понимания "теоретической" составляющей Intel AMT — правильней ознакомиться с тем, откуда и как появилась эта технология. Для этого крайне рекомендуются к ознакомлению:

Небольшое вступление

Данные строки пишутся в 2014-м году, когда должна появиться "юбилейная" десятая версия Intel AMT, а самой технологии исполнится 10 лет в следующем. В среднем раз в год появляется новая версия, в то время как обновление парка компьютеров не столь стремительное. В последние годы Intel делает акцент на том, что для поспевания за прогрессом необходимо обновлять компьютеры каждые три года, в то время как в обычной практике это пять лет, а если учесть "наши реалии", то это 7-10 лет и даже больше. В результате у большинства админов, которые являются одной из главных целевых аудиторий темы Intel AMT, в "подчинении" может быть обычно весь спектр, все версии, как минимум, начиная со второй (что где-то и соответствует 7 годам жизни AMT-систем на данный момент).

Исходя из такой предпосылки, а также просто потому, что самая первая версия Intel AMT была встроена в сетевую карту, что более сложно для понимания (вторая, как и все последующие версии AMT — встроены в чипсет), потому правильней разбираться с темой Intel AMT как раз начиная с версий 2.0 — первой "настольной" версии Intel AMT (первая версия для мобильных систем — Intel AMT 2.5). Поняв, как работает AMT 2, будет понятна основная "база" функционала AMT, т.к. по самому принципу работы в последующих версиях Intel AMT ничего не поменялось.

Intel AMT 2 — терминология

Обновление Intel AMT 2.0->2.1->2.2 было доступно для большинства систем того времени, потому говоря про AMT2 — сейчас (и вообще — ведь обновлений больше не будет) обычно подразумевается Intel AMT2.2 система.

В реальности речь идёт, конечно, про обновление Intel ME 2.0->2.1->2.2, однако для большей простоты здесь и далее будем говорить про AMT (которая по сути лишь модуль МЕ).

Часто используется вариант написания "AMT 2.x", однако в таком случае под него подпадает и мобильная версия AMT 2.5/2.6, потому при важности этого момента — его выделяют отдельно.

Intel AMT 2 система — HP Compaq dc7700p

Чтобы не заниматься одним "теоретизированием", будем отталкиваться от реальной и для многих вполне ещё актуальной техники. В частности, разберём работу AMT2 на примере популярной (2007-2008гг.) системы HP dc7700p.
Как и многие другие, так называемые workstation-системы, предназначенные для "enterprise"-сегмента рынка, она оснащена поддержкой Intel AMT.

Это полезный к учёту момент — многие (возможно — даже большинство) "workstation-системы" от известных брендов (в данном примере — HP) оснащены поддержкой Intel AMT, т.к. это соответствовало (-ет) позиционированию Intel данной технологии на этот сегмент рынка.

Версии AMT 2

Итак, версия AMT 2.0 появилась летом 2006-го года. Это первая версия АМТ, встроенная в чипсет (i965Q/ICH8), первая версия, которая пошла под брендом vPro и предназначалась лишь для "настольного" (desktop) сегмента. Версия для мобильных пошла под номером AMT 2.5 и появилась в 2007-м (PM965/ICH9M).
Вскоре вышло обновление AMT 2.1 и уже позже — 2.2.

Подробности о том, что появилось в каждой из подверсий различных версий AMT — будут рассмотрены в отдельной статье. Частично (сухо-кратко) они описаны в Intel AMT — история появления и развития функционала. Потому здесь и далее исходим из того, что каждая доставшаяся вам AMT-система имеет последнюю доступную версию. Для АМТ2 — это 2.2.

Если вам досталась система с версией AMT 2.0 — качайте обновления до 2.2 с сайта производителя.

Сразу стоит упомянуть и про мобильные (т.е. для ноутбуков) версии AMT 2.5 и AMT 2.6, чтобы в случае упоминания "AMT 2.x" понимать о чём идёт речь. Если утрировать, то AMT2.1 = AMT2.5, AMT2.2 = AMT2.6 с поправкой на отсутствие поддержки WiFi для "десктопных" версий AMT (2.0/2.1/2.2).

System Information & ME

BIOS Setup & настройки AMT

Настройки AMT в биосе есть в меню Advanced:

Однако там "ничего полезного":

Лишь настройки SOL (Serial on LAN) — технологии удалённой работы в BIOS Setup (рассмотрим позже).
Что ещё обычно бывает в BIOS Setup? Не сильно много (будет рассмотрено последовательно в следующих частях учебника по АМТ). Как правило — это включение/выключение АМТ (Intel AMT Enabled/Disabled), а начиная с версии AMT 2.5 — возможность и расконфигурировать AMT (т.е. без ввода MEBx-пароля).
Выключив AMT (в BIOS Setup), перезагрузившись и после вновь включив AMT — можно "сбросить" MEBx (в "дефолтное" состояние, в т.ч. пароль MEBx — в "admin"). И некоторые другие (но это основные) манипуляции с AMT — всё сильно зависит от производителя.

Чаще таких настроек мало (а иногда нет вообще). Речь именно о настройках AMT в BIOS Setup (а не MEBx).

MEBx & CTRL-P

Если в процессе загрузки:

Нажать клавиши CTRL-P (стандартная комбинация для подавляющего большинства AMT-систем), то можно попасть в MEBx Setup:

Версия MEBx и версия AMT

Как видно из примера, сверху указана версия MEBx 2.1, в то время как на скриншоте System Information указана ME2.2 Это важно учитывать в попытках "узнать версию АМТ" — нельзя ориентироваться "напрямую" на то, что пишет MEBx, т.к. это версия именно "биос-модуля для настройки АМТ", а не самой АМТ. Ведь MEBx — всего лишь "клиент", который подключается к "серверу", расположенному в Intel ME (по другому и быть не может, т.к. это два разных процессора, работающих "параллельно" — по сути, это "другой" компьютер в вашем компьютере).

Чаще версия АМТ и MEBx совпадает, однако это точно не правило — она может быть как более свежая/больше, так и более древняя/меньше (что чаще). Дело в том, что это модуль BIOS и он обновляется вместе с прошивкой BIOS, в то время как ME обычно обновляется отдельно (зависит от производителя — может обновляться и прошивка BIOS и прошивка Intel ME одновременно).

Итого, чтобы узнать версию АМТ, нужно учитывать версию МЕ (которая и "равняется" АМТ, если есть её поддержка), а версию MEBx можно использовать для определения "приблизительно" (т.е. с точностью до "мажорной" версии, т.е. без учёта "минорной", которая идёт после точки).

А для версии AMT 2.0 могли отличаться даже и мажорные версии, вот скриншот MEBx HP dc7700p от 2006-го года:

Однако, это, всё же, исключение из правил.

Пароли MEBx

Сразу же при входе в MEBx запрашивается пароль. Многих, кто не знаком с AMT, это сбивает с толку и они банально выходят из "непонятной ерунды". Пароль по умолчанию ("заводской" — в т.ч. который устанавливается после его сброса) — "admin" (без кавычек). После входа, требуется сразу же поменять пароль на новый, без этого не удастся совершить никакого действия:

Пароль задаётся с учётом строгих правил к взлому: 8-32 символа, обязательное наличие как минимум одной латинской буквы верхнего и одной нижнего регистра, цифры и "спецсимвола" (!@#$% и т.п. знаки).

Любые другие "нестрогие" пароли (а-ля "qwerty") будут тупо игнорироваться, безмолвно предлагая задать новый. Именно такое поведение отбивает желание у подавляющего большинства тех, кто всё-таки "взломал" пароль "admin" на первом шаге.

Пример "правильных" (подходящих под "строгие правила") паролей:

• P@ssw0rd
• vPro!by1

Пароли AMT

Мы добрались до объёмной и сложной темы паролей АМТ. Их немало, тема официально практически не раскрывается, а при этом весьма проблематична.

Только не подумайте, что Intel "что-то скрывает". Всё банальней — тематика реально технически очень сложна, находится на стыке различных аппаратных и программных платформ, специалистов, хорошо ориентирующихся сразу во всём этом — не так много (если не дипломатично — их нет).

Потому придётся "с места в карьер" — разобрать сложную тему.

Т.к. эта статья из цикла "учебник", а не "академический труд", то далее информация будет подаваться упрощённо, где-то утрированно, чтобы можно было понять суть и, если потребуется, самостоятельно разобраться глубже.

Основные пароли АМТ

А их три. И частенько используемый термин "админский пароль", обычно подразумевает "все их три сразу".

• MEBx-password — "админский" пароль, который вводите при входе в MEBx. Именно тот, который изначально "admin" и вы "ручками" его меняете на свой-другой.
• Network-password — "админский" пароль, который используется при доступе к АМТ по сети.
• Admin-password — "админский" пароль пользователя с логином admin.

Чтобы было понятней, вот как это можно показать схематически:

Зачем "целых три AMT пароля"?

Intel AMT, как часто написано в документации — есть смесь firmware+software+hardware. Также говорится, что AMT работает даже когда компьютер выключен. Что это значит?

Это значит, что сетевая карта будет работать (привычно моргать лампочками), в то время как BIOS, понятно, не работает (компьютер/процессор выключен — система в состоянии S5), а ME также может быть в "спящем" режиме (ME-Wake-on-LAN). Получается, что сетевой карте нужно хранить пароль "у себя" = Network-password.

Далее. В первый момент, когда AMT ещё не проинициализирована и не сконфигурирована и, вообще, ME может быть отключена = нужен и есть MEBx-пароль, хранящийся "в BIOS".

И, наконец, ME, где происходит "основная авторизация", где хранятся логины-пароли различных пользователей с их политиками на доступ к тому или иному функционалу = Admin-password.

Понятно, что если бы разработчики АМТ предложили своему руководству записывать-вводить сразу три пароля, то завтра бы поехали искать новую работу. Потому они поступили хитрей — эти пароли "синхронизируются", на выходе давая "как бы один", более понятный и привычный админский пароль.

Как это происходит, насколько это логично/удачно/просто и будем разбираться. Всё не так сложно, как может показаться (в реальности — всё намного сложней).

MEBx-пароль

Пароль, который вводится при входе в MEBx.

В случае несконфигурированной АМТ-системы определён только этот пароль. При первом входе в MEBx (или после сброса) этот пароль установлен в "admin".

Теоретически дефолтный пароль ("admin") может быть и другим (как его задаст производитель), но практически мне такие случаи не известны.

После того, как пароль "admin" будет заменён на новый, он копируется в Network-пароль:

Далее вся работа AMT по задумке Intel идёт именно с Network-password, а MEBx-password больше никто не может изменить (в плане — удалённо и/или программно). Это сделано для того, чтобы у того, кто имеет непосредственный физический доступ к компьютеру (и знает MEBx-пароль), всегда была возможность контролировать состояние AMT.

Важный комментарий по ходу. Здесь и далее я буду намеренно упрощать некоторые технические моменты, раскрывая их отдельно позже.
Лучше (как минимум на этом этапе) передать смысл, а не точную техническую реализацию. Например, в случае только что упомянутого MEBx, данный пароль может быть изменён с помощью USB-флешки в процессе так называемого ZeroTouch-конфигурирования (хотя и там есть "ручная составляющая" — вам придётся "лично" нажать клавишу "Y" при подтверждении). Кроме этого в следующих версиях АМТ, вообще, могут последовать изменения, которые всё перевернут наоборот — ведь АМТ развивается.
В то же время попытка разобраться "сразу же и во всём" — больше запутает, чем поможет понять, потому я буду придерживаться линии "как было задумано" и "что хотели при этом получить". И лишь в следующих частях на конкретных примерах разбирать — "что из этого получилось" и "как видоизменилось" в процессе развития АМТ.

Network-password

Это пароль "сетевой карты". В кавычках, т.к., конечно же, это "AMT-пароль". Просто сетевая карта — главный элемент взаимодействия AMT c внешним миром. И, вообще, "выросла" сама технология AMT из первой версии, встроенной как раз в сетевую карту. Потому для всего любого сетевого взаимодействия всегда задействован именно Network-password.
Как было показано выше, впервые он определяется путём копирования свежезаданного MEBx-пароля. И если в настройках "MEBx — AMT configuration — Provision Model".

Тут всегда жмём "N" — режим "совместимости с AMT1.0" нам никогда уже не пригодится.

. выбрать режим "Small Business":

В режиме Small Business (подробно отличия режимов Enterprise/SB будут рассмотрены в последующих частях), непосредственно после применения сделанных MEBx настроек, можно будет сразу же зайти по сети с адресом компьютера в Web-интерфейс управления AMT:

192.168.0.123 — адрес компьютера HP dc7700p (с поддержкой AMT2)

При нажатии "Log On" запрашивается логин-пароль:

Введённый пароль будет сравниваться с Network-password и в случае совпадения попадаем в интерфейс управления АМТ:

И если мы изменим "админский пароль" ("User Accounts — Administrator Account — Change Admin):

. то таким образом будет изменён Network-password, в то время, как MEBx-password останется прежним.

Admin-password

Админ-пароль для АМТ всегда синхронизируется с Network-password, потому в реальности ситуация после первичного измения MEBx-пароля выглядит так:

Соответстсвенно, после изменения "админского" пароля через вебинтерфейс получится следующее:

Как видно из картинки, "админский пароль", который "Network-password/Admin-password" изменяется, а MEBx остаётся прежним.

Обещать — не значит жениться

Возникнет вполне резонный вопрос — зачем я разделил Network-password и Admin-password, если они всегда синхронизируются? Причин несколько.

Смысл первой вынесена в подзаголовок: выражение "всегда синхронизируется" не совсем корректно, правильней "всегда должен синхронизироваться". А в реальности становится очевидным, что к "должен" добавляется оговорка "не всегда". И чтобы можно было понять что происходит как раз в случае "не всегда" — они были разделены.

Вторая причина более очевидна. В случае взаимодействия АМТ с операционной системой, которое осуществляется через драйвер MEI (Manageability Engine Interface), работа идёт именно с Admin-password:

Т.е. когда AMT работает с Windows, то это локальная работа, в ней не участвует сетевая карта и используется лишь Admin-password.

Зачем такие сложности про АМТ-пароли, такие сложные схемы, ведь этого нет в АМТ-документации?

В этом и проблема, что нет. Но работает оно именно так.

Разберём на конкретном примере, прямо-таки с самого начала — замена стандартного пароля MEBx (admin) на новый. В нём может использоваться даже пробел и его примет MEBx, т.к. "верификация правил" на пароль у каждого (MEBx, LAN, ME) своя. Однако когда он скопируется в Admin-password и Network-password — там уже другие правила. Вот строчка из картинки выше по установке admin-пароля:

*Minimum 8 characters with upper and lowercase, 0-9, and one of !@#$%^&*()

В результате, как поведёт себя программа, подключающася к AMT удалённо, где пароль "недопустимый" — предсказать сложно. Точней, как раз, просто — будут проблемы.

Другой пример — попытка обновить ME Firmware из-под Windows, где не установлен MEI-драйвер будет заканчиваться ругательствами (либо, что хуже — тупым игнорированием). Почему? Потому что, как видно из последней схемы, Windows "не умеет" работать с АМТ (МЕ) напрямую — только через MEI-драйвер. И если его нет — ничего не получится.

Итого, как промежуточный результат по теме паролей AMT, мой совет:

Старайтесь использовать 8 (ровно) символьные пароли из букв, цифр и знаков ‘!’, ‘@’ и ‘#’.

Такие правила максимально универсальны ко всем потенциально проблемным участкам работы AMT и при этом сохраняется достаточная надёжность.