英特尔® 主动管理技术使用案例1：平台审核(发现)

英特尔® 主动管理技术（英特尔® AMT）可弥补传统平台审核能力的不足，大幅降低 IT 机构的成本。该技术采用先进的带外（OOB）远程发现技术来取代传统方式，从而避免了 IT 人员对审核系统进行昂贵的现场访问。

本使用案例主要侧重于流程改进，不仅可大幅降低平台审核成本，以支持软硬件合同的维护，还能确保审核过程遵守相关的规章制度。

传统平台审核的局限性

传统工具一般只适用于带内的资产发现工作，也就是说，这些工具要求目标系统的操作系统正在运行。如果平台断电或操作系统出现故障，则发现工作就不能完成。此外，用户还可有意或无意地移除审核工具所依赖的软件代理。这样的话，IT 机构就必须依靠用户报告其 IT 资产，或者必须派遣 IT 员工对资产进行手动审核。鉴于缺乏标准稳定的资产ID，因而也就没有可靠的线下方式来发现未使用或未充分利用的软硬件资产。上述种种局限结合起来，就会使软件授权、IT 人员和硬件维护等方面遭遇极大浪费。此外，由于笔记本电脑在任何时候都需通过无线网络或 VPN（远程模式下）连接到公司局域网，再加之它可能未接交流电源，因此无线环境和笔记本电脑就使这一挑战更加严峻。

利用英特尔® 主动管理技术克服In-Band 方式的局限

利用支持英特尔® 主动管理技术的资产管理应用，IT 专业人员便可在以下场景中远程线下发现并评估所有基于英特尔® 主动管理技术的平台：

台式机模式——平台采用交流电源，并通过有线局域网（而非 VPN）连接到公司局域网。
笔记本电脑模式——处于 S0 模式的笔记本电脑采用交流电源或电池电源，并与公司无线网络连接（不通过 VPN 连接）。
远程模式——处于 S0/H0 模式的笔记本电脑通过 VPN 连接到公司网络。

英特尔® 主动管理技术还可通过 OOB 方式远程访问稳定、防篡改的平台资产 ID（这通常是最终用户所不能访问或修改的），来实现上述工作。

IT 专业人员可将远程获得的资产 ID，与保存在第三方管理应用中的资产管理数据库进行比较，以检验存储资产数据。对于笔记本电脑而言，由于并非所有电脑都连接到公司网络（笔记本电脑模式）或是通过VPN（远程模式）连接到公司局域网，因此为了使所有笔记本电脑实现正当连接，您有必要采用手动检查，或者花费数天进行资产管理。现在，有了管理控制台和 IT 政策支持的英特尔® 主动管理技术特性，人们便可从协助 IT 评估流程的平台中获得更多信息。英特尔® 主动管理技术支持的远程平台审核不仅比传统手动审核更加全面，而且无需繁琐的现场访问便可轻松实现资产审核。

英特尔® 主动管理技术支持的主要功能为本使用案例提供了前提

下表总结了本案例中使用的各种特性和功能，它们均由英特尔® 主动管理技术提供，或由第三方软件支持：

特性	功能
Out-of-band (OOB) access	Accessing the persistent asset ID when the operating system is unavailable or the platform is powered off
Remote Platform Inventory	Utilizing the persistent asset ID to discover the platform
Intel® AMT Flash	Allows storage of persistent unique asset ID
Tamper-Resistant Agent	Allows for access to the asset ID with little risk of tampering by a user

英特尔® 主动管理技术的优势

通过英特尔® 主动管理技术平台，IT 部门可通过远程线下访问平台来减少或避免手动平台审核，同时无需顾及操作系统状态——无论是台式机模式（交流供电（但并不一定打开）并通过有线方式（而非 VPN）连接到公司网络）、笔记本电脑模式（处于公司环境，采用无线或电池连接（而非VPN）），还是远程模式（通过VPN连接，直流或交流供电，有线或无线连接）。这一功能能够灵活应对计划与应急的双重情况，从而支持更加快速、准确、及时的平台审核。此外，有了这一远程线下发现功能，无需耗费大量人力完成审核进度，便可轻松符合规章制度。此外，远程资产信息访问还可优化维护合同、担保和配置，并对未充分利用的平台规划重新分配任务。

英特尔® 主动管理技术解决方案的商业价值§

本使用案例可帮助 IT 机构大幅节省审核及维护成本：

节省评估成本： 鉴于平台无需人工操作，因此可带来比手动审核更高的成本节省
节省软件维护费用： 通过更有效地利用软件合同，来大幅降低软件维护合同的成本。
节省硬件维护费用： 通过了解每个平台所需的具体维护等级（而不是一律配以最高的维护费用），节约总体硬件维护合同开支（包括平台和硬件）。

平台审核使用案例的实施

英特尔® 主动管理技术可在系统启动时将软硬件资产信息从 BIOS 和操作系统中下载到非易失性内存，从而支持 IT 人员随时进行访问，即使电脑关闭也不例外。

以下工作流程显示了具体的实施步骤：

Step

Action

API Call

Is this an AMT Device?

GetCoreVersion()
ISVS_GetAPIVersion() or

ISVS_GetAPIVersionEx()

If so, get inventory from Intel AMT

EnumerateAssetTypes()
GetAssetData()

下表提供了平台评估 API 的概述：

GeneralInfo APIs:

Generalinfo API 可为各种（本地或网络访问）管理应用提供基本（只读）信息。

Method	Description & Compatibility
GetCoreVersion()	Reads the firmware version information from the Intel AMT Supported in Intel AMT Release 1.0 and later
GetCodeVersions()	Reads the BIOS and firmware information from the Intel AMT Supported by Intel AMT Release 2.0 and later
GetProvisioningMode()	Gets the current provisioning mode (Enterprise or Small Business) from the Intel AMT device Supported in Intel AMT Release 1.0 and later
GetProvisioningState()	Gets the current provisioning (configuration) state from Intel AMT Supported by Intel AMT Release 2.0 and later
GetVlanParameters()	Gets the VLAN mode and ID used by the Intel AMT device Supported by Intel AMT Release 1.0 and later
GetHostName()	Gets the host name currently used by the Intel AMT device Supported by Intel AMT Release 1.0 and later
GetConfigServerInfo()	Gets Configuration Server Information from Intel AMT Supported by Intel AMT Release 2.0 and later
GetAdminAclEntryStatus()	Reads Admin ACL entry status from Intel AMT Supported by Intel AMT Release 2.0 and later
GetAdminNetAclEntryStatus()	Reads remote Network Admin ACL entry status from Intel AMT Supported by Intel AMT Release 2.0 and later
GetPasswordModel()	Gets the BIOS password mode of work from Intel AMT Supported by Intel AMT Release 2.0 and later
GetEnabledInterfaces()	Gets enabled interfaces information of Intel AMT device Supported by Intel AMT Release 2.0 and later
GetNetworkState()	Reads Network State information from Intel AMT Supported by Intel AMT Release 2.0 and later
GetSecurityParameters()	Reads local interface security parameters Supported by Intel AMT Release 2.0 and later
GetIderSessionLog()	Reads the IDER session log Supported by Intel AMT Release 2.0 and later

HardwareAsset APIs:

The HardwareAsset APIs perform operations that return hardware asset data.

Method

Description & Compatibility

EnumerateAssetTypes()

Enumerates the names of hardware asset types supported by the Intel AMT device

Supported in Intel AMT Release 1.0 and later

GetAssetData()

Returns hardware asset data of Intel AMT device

Supported by Intel AMT Release 1.0 and later

Remote Control APIs:

The Remote Control APIs managing the power and booting state of the Intel AMT managed system.

Method

Description & Compatibility

GetRemoteControlCapabilities ()

Gets the remote control capabilities supported by the Intel AMT device

Supported in Intel AMT Release 1.0 and later

GetSystemPowerState()

Returns the power state of the Intel AMT-managed PC system

Supported by Intel AMT Release 1.0 and later

ISV Storage APIs:

The ISV storage APIs are used by ISVs to access the Intel AMT non-volatile storage feature

Method

Description & Compatibility

ISVS_GetAPIVersion()

Gets the ISVS API version supported by the Intel AMT device (deprecated since AMT 2.0)

ISVS_GetAPIVersionEx()

Gets the ISVS API version supported by the Intel AMT device

Extended version of ISVS_GetAPIVersion.

以下 SDK 样本源代码提供了平台审核的示例：

GeneralInfo
AssetDisplay

阅读以下 SDK 文档了解更多信息：

§ 以下假设为本使用案例的分析提供了前提：

无需使用英特尔® 主动管理技术的 OOB 特性，即可通过in-band方式发现一些平台。
不借助英特尔® 主动管理技术进行平台评估，不仅会耗费大量人力财力，而且浪费时间，容易出错。
资产ID在部署之前便已存储在平台的英特尔® 主动管理技术固件之中。
所有研究数据均来自全球的 IT 机构（总部位于美国）。
利用英特尔® 主动管理技术进行评估的平台需与电源连接（插座、电池等），但并不一定通电。
平台与交流电源连接（台式机模式）或者处于 S0（笔记本电脑模式）或 S0/H0 模式（远程模式），并接通直流或交流电源。
平台实际上不通过 VPN（台式机模式），而是处于工作状态的以太网连接到公司局域网；或是不通过 VPN（笔记本电脑模式）连接到公司无线网络；或是通过 VPN 以有线/无线（远程模式）方式连接局域网，来进行 OOB 访问。
鉴于有些笔记本电脑可能当时并不处于台式机、笔记本电脑或者远程模式，因而它们并非全部都能同时被发现并进行资产审核。

RESOURCES: