Como fazer a ativação do Intel© vPro™ – Modo Enterprise: PSK

Conforme discutido no post anterior, onde examinamos o modo provisionamento de um equipamento vPro usando PKI, agora vamos explorar como fazê-lo usando o modo PSK (Phase-Shift Keying).

Neste modo, o sigilo entre o vPro e o servidor que hospeda as configurações é feito via chaves simétricas, portanto neste modo é necessário que seja trocado a chave simétrica ou o segredo entre o servidor e o cliente. No jargão do vPro chamaremos isso de par PID/PPS, onde o PID é o identificador da chave a ser utilizada e o PPS é de fato a chave usada na cifra.

Essa abordagem do ponto de vista técnico é a mais simples por não haver grande dependência da infra-estrutura de rede em relação ao PKI, porém tem o inconveniente de necessitar que “toquemos” em cada máquina para gravar o PID/PSS no AMT da máquina, diferente do PKI. Apesar de o processo ser otimizado utilizando para isso pen-driver USB, ainda é necessário iniciar a máquina com ele inserido e aguardar alguns segundos para que o AMT leia e grave a chave na sua memória.

vpro.jpg

Vamos ver como seguir com esse modelo…

Utilizando o SCS para realizar o provisionamento via PSK, devemos seguir os passos conforme apresentado:

Para maiores detalhes sobre como instalar o SCS, consulte o manual de instalação aqui

Autenticação

Antes de seguirmos na definição das configurações, é necessário tomar uma decisão a respeito da autenticação que será utilizada com a máquina vPro. Podemos usar digest authentication e/ou kerberos integrado ao Active Directory da Microsoft.

O AMT já vem com uma conta digest authentication que não pode ser apagada chamada “admin”, porém pode ser definida outras contas digest authentication e/ou associação com contas presentes no Active Directory. Dentro do SCS você tem a opção de selecionar como deseja que o SCS se comporte neste caso. Em “Tools” -> “Settings”, na tab “Network Settings” há três opções para “Active Directory Integration”:

Settingsd.JPG

“None” é a opção sem integração e também deverá ser selecionada essa opção caso esteja provisionando o vPro para ser utilizado com o CACIC 2.4;

“Standard” é a opção recomendada para caso deseja utilizar kerberos, pois não demanda extensão do Active Directory e usa uma conta de computador para criar o objeto AMT no AD - ela será criada com o nome “NomeDaMáquina$iME”;

“Schema Extention” essa opção só é utilizada para compatibilidade retroativa com as versões anteriores do SCS onde era necessário o uso de um objeto criado especificamente para o AMT, que não é mais obrigatório;

Pacote de Configuração

O primeiro passo é definir o perfil de configuração que será aplicado a máquina vPro, para tanto dentro do Intel SCS, no lado esquerdo da tela expanda a pasta “Profile”, e clique com o botão direito do mouse em “All Profiles” e selecione “Add Profile”. Será perguntado para inserir um nome que o identificará em relação a outros perfis que possam existir e uma breve descrição do perfil. Quando estiver pronto, clique em “Next”.

Profile-1.JPG

Serão perguntados quais serviços devem ser habilitados (WebUI, Serial Over LAN e IDE Redirection), qual será o comportamento do vPro dependendo dos estados de energia da máquina (o ideal é que permaneça sempre ligado = Always on (S0-S5)).

Na tela seguinte podem-se definir outros atributos de configuração, como autenticação em rede segura (ie. 802.1x wired ou wireless, NAC ou NAP), configurações das redes sem-fio, etc.

Profile-3.JPG

Agora precisamos definir as configurações das contas e sua respectiva autorização:

Profile-4.JPG

Já existe uma conta pré-configurada que é o “admin”, porém podem ser acrescidas outras contas. Nesta tela também definimos quais serão as senhas do “admin” para cada uma das máquinas vPro provisionadas com este perfil:

Profile-6.JPG

Para a conta admin, por exemplo, podemos definir uma que seja igual para todas as máquinas, que é a opção mais utilizada quando se usa uma console de gerencia sem capacidade de integração com o SCS ou selecionar para colocar uma senha aleatória em cada uma das máquinas “Randomize Password”. Algumas consoles utilizam a conta admin para gerenciamento do vPro ou outra de serviço criada especificamente para essa tarefa.

Não havendo mais configurações a serem feitas, terminamos a etapa de configuração do perfil:

Profile-7.JPG

Troca de Segredos

O primeiro passo para a troca de segredos, é a criação do segredo, ou seja, do PID/PPS. No SCS, expanda o nó “Advanced” e com o botão direito em cima de “TLS-PSK Configuration Data” selecione “Add Secutiry Keys…”

PSK-1.JPG

Será perguntado quantas chaves deseja criar (pois o SCS assume que será consumida uma chave por equipamento vPro), selecionando qual é a senha que está configurado na máquina (ie. Os equipamentos saem de fábrica com a senha “admin”, porém se houve alguma configuração depois que obrigou a trocar a senha, deverá ser explicitado aqui) e também qual será a nova senha, que pode ser fixa ou deixar que o SCS escolha uma de forma aleatória.

PSK-2.JPG

Pronto, o segredo está criado, agora pode ser utilizado um pen-driver para armazenar o PID/PPS para ser levado a máquina vPro, para isso, selecione com o botão direito do mouse sobre o par de chaves criados (PID/PPS) e selecione a opção “Export Keys to USB driver…”

PSK-3.JPG

A seguinte tela de boas vindas ao Assistente será apresentada, clique em “Next”

PSK-4.JPG

Selecione qual o pen-driver que deseja utilizar e quantas chaves deseja exportar, e selecione “Next”

(todos os dados no pen-driver serão apagados, pois será formatado em FAT16 para inserir as chaves que ficam em um arquivo chamado setup.bin, e só poderá haver este arquivo no pen-driver)

PSK-5.JPG

Depois de criado o pen-driver, basta ligar o equipamento vPro com o pen-driver conectado e logo será perguntado se deseja inserir o PID/PPS no AMT, responda sim, e reinicie o equipamento novamente sem o pen-driver conectado desta vez.

Neste ponto a troca de segredos foi realizada, falta agora fazer com que o vPro converse com o SCS para receber as configurações de rede.

Configuração do vPro

Para especificar para o vPro que ele precisa estabelecer uma conexão com o SCS, usamos para isso um utilitário que vem com o SCS chamado Activator, rode ele com os seguinte parâmetros:

C:> activator.exe /s http://servidorSCS/amtscs_rcfg /p /h /c

O parâmetro /s diz qual é o endereço do servidor SCS, ele utiliza http pois a chamada é feita via SOAP, e o diretório virtual /amtscs_rcfg é fixo, caso não tenha havia alterado o caminho padrão na instalação do SCS.

O parâmetro /p diz o ID do perfil criado, este espera um número.

O parâmetro /h força o Activator a enviar o “hello package”

O parâmetro /c redireciona o o log para a console.

Conforme pode ser visto no exemplo seguinte:

Activator-1.jpg

Ao final, espera-se que conclua com “Exit with code 0”, que significa que tudo ocorreu bem, caso contrário verifique outros parâmetros e códigos de erro aqui

Activator-2.jpg

Enquanto estiver sendo executado o Activator.exe no vPro, você poderá observar que o estado da máquina no SCS irá mudar de “Not Configured” para “InConfiguration”

Inconfiguration.JPG

E poucos segundos depois de executado o Activator.exe, mudará para “Configured”

Configured.JPG

Neste ponto a máquina está pronta para ser gerenciada, seguindo as políticas de segurança previamente definidas no perfil.

Boa sorte com suas ativações e até a próxima.

Comments (0)

Comments are closed.