其实早在两年前，笔者就耳闻博锐技术基于“软硬兼施”的安全与管理解决方案，碍于无缘体验，一直是扑朔迷离。

2009年4月17日，笔者有幸参与了2009英特尔博锐技术应用宣讲会，期间，英特尔解决方案部中国大区技术部经理梁岩分享了博锐技术的最新应用和成功经验，而来自联想公司的代表更是在现场演示了联想基于博锐平台的创新应用。终于,在了解博锐技术知识的同时，更使笔者享受到一次身心愉悦的博锐应用之旅。

博锐技术应用之旅——商用电脑新高峰

在会上,厂商为我们展示了基于英特尔迅驰2博锐处理器平台和英特尔酷睿2博锐处理器平台关于安全性与可管理性的宣讲和演示。这一基于硬件的技术在重大IT挑战面前，无疑是一个里程碑式的事件。过去，企业诸如系统在关机时难以管理、企业防火墙外的笔记本电脑之间的通信不安全、不断增加的昂贵的现场访问费用支出、未受保护或者难以发现的硬件资产损失、难以实现的配置一致性、耗时耗力的人工盘点等问题给企业造成了很多不便和经营障碍……透过联想基于博锐平台的创新应用的现场演示过程，笔者看到这些难题在博锐技术面前，已不再是难题。

博锐技术应用体验——一个典型的示例

我们知道，诸如Netman、Remote Administrator、PcAnywhere等远程控制软件，已经将远程控制技术发挥得淋漓尽致。随着技术的发展，远程控制从传统的使用NETBEUI、NETBIOS、IPX/SPX、TCP/IP等协议来实现操控，到通过Web页面以Java技术来控制远程电脑；从对等操作系统间到跨越平台的远程控制，技术的发展越见成熟。

但是，基于软件的远程控制技术，其局限性是很明显的。一、在某些情况下，如，当被控端处于关机或系统崩溃状态时，主控端发出的远程控制指令很难得到任何的反馈；二：主控端能够取得控制权的host数量一般都是很有限的，大多数情况下也是不安全的；三：大多数软件，主控端施予被控端的操作是一对一的，很难统一集群操作；四：主控端能够实现的远程操作类别受诸多因素影响，非常有限；五、基于软件的远程控制缺乏主动性。

下面，我们来看一个联想基于博锐平台的应用演示：

如上图，在博锐技术的支持下，演示人员通过图中的IT控制台（VPRO控制台），对一台无法启动系统的客户机进行系统检测和修复，并对其执行开机操作。

如果我们将这个演示过程简单理解成是基于硬件的远程控制，那么，这种远程控制的突破就在于，通过对虚拟技术的支持以及英特尔主动管理技术，它跨越了传统的基于软件的远程控制技术的局限：不受客户机系统因素影响导致操控失败、不受host数量限制、对客户机完整的集群操作、管理台能够完成几乎所有的等同于客户机本机操作的计算机操作、管理台主动操作、基于处理器的内建安全性等等。

这项技术的应用将是企业IT管理的革命。试想，在一个传统的企业办公网络内，一旦某一机子出现系统故障，IT管理人员面对的将是喋喋不休的电话问询，问询无法解决的更是只能亲临现场排查故障。企业规模越大，IT管理人员现场访问的次数也就越多，为此，企业不得不支付高昂的IT管理费用。而当企业部署了计算机群都处于博锐技术的控制之下后，上述问题将迎刃而解。

当然，以上的例子只是博锐技术展示中的一个典型示例。 整个会议过程中 ,笔者都有很深的感慨和体会。 毋庸置疑，博锐技术的应用将会成为企业商务化管理的一个重要体现和趋势性发展的必然结果。 当然这里也很荣幸的被邀请参与到体验的过程中,见证酷睿2博锐时代的发展和辉煌时刻的到来。 今后，我将以使用或体验者的身份，等待真正近距离接触博锐的机会。 拭目以待。

    WebUI，顾名思义，就是通过web的方式提供的操作界面。我们只需要在控制台的机器上，打开常用的网页浏览器，比如IE、FireFox等，输入需要管理的AMT机器的地址和端口，比如： http://192.168.1.61:16992，然后回车，如果输入的AMT的IP地址有效，就可以看到WebUI的第一个界面 – 登陆界面。

    这里需要注意一点的是，AMT的WebUI是不可以通过本机操作系统访问到的，虽然在本机上述的地址也是可以访问的，并且可以打开一个类似如下面的界面，很多人误以为这个界面是AMT FW提供的界面，同时认为AMT这个时候是正常工作的，但是通过SDK的程序访问确实访问不了的，感觉很是奇怪；

    笔者的经验认为，由于这里访问的操作系统的16992端口，其实不管是通过127.0.0.1还是通过系统的其他IP地址访问，都是连接到的本机某个应用程序侦听的16992端口。一般情况下是AMT驱动一起安装的LMS服务侦听在这个端口上，LMS服务可以从Windows的服务列表中查到。如果我们停止这个服务，也就是不让应用监听在16992端口，那么我们再用浏览器本地访问16992端口时，将只能看到无法访问的错误界面。

    点击登陆按钮后，出现提示输入用户名密码的登陆框，如果您了解http digest认证的话，对这个登录框应该是比较熟悉的。输入用户名和密码，认证成功后，就进入到了AMT的WebUI操作界面。

    第一个界面显示的AMT的系统状态，包括：AMT机器的电源状态、有线IP地址、无线IP地址（只有在支持无线的机器上才有）、系统的UUID、AMT的时间。另外这里有个小技巧，只有在这个界面可以看到AMT的固件版本号；在最后一行，带有Intel版权字样的那一行，最后会显示AMT的Firmware Version；在我们需要快速知道某AMT机器版本号时，这个方法非常快捷方便。

    左边的菜单栏提供了多个选项，不同版本的机器提供的菜单可能有不一样，不过差别是很小的，主要是有没有无线设置的区别。菜单栏的第二项是硬件信息，分成四大类：系统、处理器、内存和磁盘。系统内中会显示主机的信息，比如OEM厂商信息、主机型号、机器序列号、主板型号、主板序列号、系统BIOS版本、日期等；处理器页面显示的AMT机器的CPU的信息；内存页面显示的是AMT机器的内存大小、条数等信息；磁盘页面显示的硬盘和光驱的信息。

    接下来的菜单选项是事件记录，记录AMT系统产生的事件，包括硬件产生的事件，AMT产生的事件和系统启动过程的事件等。事件的记录是基于过滤规则的，这些规则有默认的16条，也是可以通过管理程序修改的。事件采用先入先出的方式存储，当事件记录满的时候（目前的AMT系统大概能存500多条），最旧的事件被删除，新的事件被记录。AMT的事件能很方便的让远程控制台知道何时AMT系统出现了什么样的故障，以达到迅速发现问题，迅速解决的目的。

    事件记录菜单下面的选项是远程控制。这个界面除了提供系统电源状态的显示以外，主要是提供远程开关机的功能。发送一个远程开关机命令后，会有一个20秒的自动计时，已确保20秒后到AMT的连接能够重新建立。

    接下来的菜单是电源策略设置，用于设置AMT的自身采用何种电源策略，常用的策略包括：On in S0：AMT只在机器开机的时候有用，使用这种电源策略时，机器关机了，AMT就不工作了，比较少使用，因为AMT的功能强大支出正式在于其关机也能被远程访问；On in S0, S3, S4-5：AMT在任何电源状态都可用，除非物理断电，这是常用的电源策略； On in S0, ME WOL in S3, S4-5：对于耗电比较敏感的用户，一般选用此选项，这种策略下，AMT在系统待机、休眠或关机时自己也自动休眠，然后在下一次有受到请求包时自动唤醒，但是唤醒是需要时间的，也就是远程的第一次访问一般不会成功，需要等待一段时间后再访问才能成功。

   再下一菜单选项是网络设置，通过这个界面可以设置AMT系统的：主机名、域名、是否动态获取IP还是使用静态IP、是否使用VLAN等；另外还可以设置AMT系统是否对ping响应，如果选择是，那么发往AMT IP的ping数据包就会被AMT接收并响应，而不会传给操作系统。

    如果是支持无线的机器，也就是一般是笔记本平台，那么会有一个无线设置的菜单。通过这个菜单可以设置是否允许通过无线来访问AMT，也就是通过无线实现对AMT的远程控制。然后是提供对AMT无线访问的参数配置，可以配置多组参数，分别对应不同AP的SSID。需要注意的一点的是，AMT不提供对非加密或是采用WEP加密方式的无线连接的支持，因为这两种方法都是很不安全的。

    最后一个菜单选项是用户账户，可以通过这个界面修改管理员的密码，也可以为AMT提供增加新的用户，并且可以指定用户的部分访问权限，更详细的访问权限的设置需要用过网络接口来实现。

    随着AMT不断进化，未来的版本笔者相信WebUI会提供越来越多的功能，以方便用户快速的使用AMT的基本远程功能。但是，总的一点来说，WebUI提供的只是点到点的操作，并且很难做到自动且批量化，并且对于AMT的一些关键特性也无法操作，因此要实现更好的利用AMT的功能来为企业IT管理服务，一般还是需要部署一套带完整控制台功能的软件方案。

那到底PID（Provisioning ID）和PPS（Provisioning Pre-Shared Key）有什么不同呢？ 分别又是做什么用途的呢？

在TLS－PSK加密通信过程中，使用的对称密钥加密算法，也就是通信的双方（这里时AMT和配置服务器）需要在通信前知道本地通信所使用的密钥。由于需要双方事先知道，所以我们称之为与共享密钥，也就是我们这里的PPS。为了安全起见，预共享密钥是不能在通信开始之前通过明文的方式来协商的，因为随时可能被窃听。为了能让通信的双方知道要用那个密钥，AMT引入了PID。PID是可以在网络上明文传输，即使被第三方非法获得也是没有关系的，因为PID和PPS之间并没有算法上的任何关系，也就是不可能由PID推算出PPS来。

在AMT的TLS-PSK配置方式中，我们首先需要给AMT预设一对PID/PPS，这种预设可以是通过AMT的MEBX菜单，也可以是通过USB盘的方式。在配置服务器段，一般是预先配置了多对PID/PPS，存储在配置文件中。当AMT的PID/PPS被设置好后，并且AMT的网络连接正常的情况下，AMT会自动开始朝配置服务器发送hello包，其中hello包里面就包含了给AMT配置的PID的值。Hello包的发送规则是，AMT启动后开始是每分钟发送一次，共发送5次；然后在接下来的时间内每十分钟发送一次，也是发送5次；接下来是间隔每1个小时发送一次，也是发送5次；也就是每次AMT启动最多会发送15次hello包，如果中间配置完成，就停止发送hello包。这里需要注意的是，hello包是在AMT重新启动才会重新开始发送，而不是系统重启；AMT的重启取决于AMT的电源设置，如果设置成常开，那么需要断电后再次接上电源才会是AMT重新启动；如果设置的是只在S0有效，那么系统关机再开机就能使AMT重启。

配置服务器在接受到AMT发送过来的hello包后，从包里面解析出PID，然后通过读取配置文件的信息，找到与此PID相匹配的PPS，接着就用此PPS作为加密的密钥，将发往AMT的信息加密再发给AMT；AMT接收到后，自动用已配置的PPS来解密通信信息；这样就实现了AMT和配置服务器的加密通信。我们可以看到，在整个过程中PPS是不会在网络上传输的，传输的只是加密的数据，因此传输的配置信息在安全方面的保证是可靠的。

PID/PPS是不是随便使用一串字符就可以呢？也不是，需要有一定的规则。首先组成PID/PPS的字符只能是大写的A-Z和数字0-9，按每四个字符一组组成，中间用‘－’隔开；其中PID由两组四字符组成，PPS由8组四字符组成。另外，PID和PPS都有校验和检查规则，这里校验和检查是按每个字符对应的ASCII码来校验的；校验和的计算规则是：需要校验的字符的ASCII码的和摸0x24，结果如果是0x0 – 0x09，则结果加上0x30，结果如果是0x0A – 0x23，则结果再加上0x37，得到的结果就是最后一个字符的ASCII码。

对于PID，其最后一个字符是前面7个字符的校验和，比如0000-007M，最后一个字符的计算是： 0x30+0x30+0x30+0x30+0x30+0x30+0x37 = 0x15A；然后模0x24为0x16，大于0x09，则加上0x37得到0x4D，即是ASCII M。

对于PPS，其每组字符最后一个字符是前三个字符的校验和，比如 NKLD-G5DC-RRNQ-E9YZ-ZIJL-7LFL-VJED-69XJ，第一组字符是NKLD，前三个字符相加 0x4E+0x4B+0x4C = 0xE5，模0x24得0xD，加0x37得0x44，即是ASCII D。

为了保证每个AMT客户机使用的PID/PPS都不一样，并且不能由一台机器的PPS猜测出另外一台机器的PPS，因为PID/PPS的生成应该使用比较强的随机算法。Intel® AMT SDK有提供程序来生成PID/PPS，名字应该是USBFile.exe，有源程序可供参考，并且可以自动的将生成的PID/PPS写到U盘上，然后用U盘自动将PID/PPS设置到AMT中。另外，Intel SCS也提供了随即生成PID/PPS的功能，也支持将生成的PID/PPS导出到U盘。

TLS-PSK的加密通信方式为了保证PPS不在网络传输，因此需要管理员至少一次到客户桌面去配置PID/PPS，不管是手动配置还是通过U盘配置，因此我们称之为One-Touch-Configuration。在Intel AMT大规模部署的时候，这样的方法会感觉有些不方便，需要一台一台去设置，确实是一种体力活，因此在Intel AMT 3.0版本开始就引入了Zero-Touch-Configuration，引入了TLS-PKI配置方式，减轻了配置负担的同时，带来了配置过程的复杂性。笔者将会在下一篇博文中继续讲解ZTC的配置过程。

三、 其他的不同
1． 配置(Provision) vs. One-Good-Boot
    为了保证是被授权的管理员管理，Intel AMT需要被配置后才能用，配置的方式有多种：1）通过进入到Intel AMT的Mebx，可以将Intel AMT配置成SMB模式，然后就直接可以被管理控制台管理；2）通过提供预共享密钥（PSK, PID/PPS）的方式，可以安全的通过网络直接将Intel AMT配置好，但需要管理员接触客户机配置一次；3）通过证书（PKI）方式，在无需管理员接触客户机的情况下，安全的通过网络将Intel AMT配置好。上面的三种配置方式都不依赖于操作系统，可以在没有安装操作系统时就将Intel AMT配置好，开始远程管理，很好的体现了OOB管理的概念。
    ASF也不是直接可以使用的，需要配置好IP地址才能通信，此IP地址是通过运行在主机操作系统里面的软件来配置的。ASF标准中有声明：“客户机系统需要一次成功的操作系统启动，在启动的操作系统环境下，配置软件才能将系统特性的信息配置到设备的非易失性存储空间”，这个限制使得ASF只有在操作系统安装且正常启动后才能使用。

2． 传感器： ASF传感器 vs. 传统的传感器
    传感器是为了监控系统各个方面的问题，然后产生指定的报警事件，比如设备问题，温度改变，机箱被打开等等，这些都会触发报警事件，然后发送到IT管理员控制台。这些传感器我们称之为“传统传感器”，在目前ASF和Intel AMT的事件特性中都能支持。
    ASF除了支持上述传统传感器，另外还只是更高级的传感器，称之为“ASF传感器”，能给事件更宽的值，并且更聪明的方式定义事件的发送。Intel AMT只支持传统传感器。

3． Discover －硬件资产和第三方存储空间
    ASF标准并没有定义任何资产控制和查询的功能，而Intel AMT提供了方法用于查询平台的硬件和软件资产列表。Intel AMT在每次开机时，自动存储系统的硬件信息，而系统的软件信息可以存储在Intel AMT提供的第三方可读写的存储空间内。这些存储的软硬件信息都是存在非易失性存储空间中，在关机时仍能被远程获取，并且在系统掉电时也不会丢失。

4． 诊断和保护－系统防御和代理存在
    Intel AMT还提供了用于保护系统安全的特性，系统防御和代理存在，而ASF并没有提供这方面的功能。系统防御特性给予了管理员远程设置客户机系统网络过滤策略的能力，并且这种网络过滤是基于硬件的，不依赖于操作系统；另外系统防御特性还提供了自动抵御蠕虫爆发的能力。代理存在特性使得管理员可以向Intel AMT注册那些需要实时监控是否还在运行的客户端程序，当客户端程序被破坏后，Intel AMT能快速发现，并触发相应的系统防御策略，将客户机从网络中隔离起来。

下图是Shemuel做的总结表，非常专业和全面，供大家参考。

如果您向了解关于本文更详细的信息，可以参考Shemuel的原文：
- ASF and Intel AMT - Spot the differences (part 1)
- ASF vs. Intel AMT part 2 - Technology differences
- More technology distinctions - Intel AMT vs. ASF, part 3
- Between Intel AMT and ASF, part 4
- Feature Advantages - Intel AMT and ASF part 5

2．  远程控制协议：RMCP vs. Soap/WS-Man
    RMCP，全称是Remote Management and Control Protocol，是ASF用来发送远程控制命令的协议，正如前面已经提到的，这个协议是基于UDP的，并且其是一个随ASF标准出现的全新的协议。
    随着计算机通信技术的发展，Web Service技术被研究出来，并越来越多的用于支持网络上机器与机器之间的交互。如果你正在考虑如何实现两个计算机之间的远程通信，那你最好选择Web Service技术。Intel AMT与管理控制台的交互就是两台计算机之间的交互，使用的就是Web Service技术 – SOAP。SOAP其实已经被很多开发者所熟悉，并且已经有多流行的第三方库支持SOAP，以及基于SOAP之上的WS－Man，这一定相比ASF的RMCP，具有很大的优势，更容易被开发者们接受。

3．  远程启动： PXE vs. IDE-R
    远程启动就是要实现将计算机从一个远程的磁盘启动，达到的效果和从本地磁盘或光盘启动效果要基本一样。
    Arvind这样定义PXE的：“为BIOS提供的基本的网络机制，用于发现PXE服务器，然后从服务器获取需要下载的镜像的附加信息”。目前来看，知道PXE的人可能比知道AMT的人要多，尤其是在国内，但PXE已经是一种过时的技术了，并且是不安全的，也不可靠，也不能在不同的子网之间被路由。
    Intel AMT的IDE－R技术相比PXE来说，要安全得多，除了有多种手段将其禁用，还支持多种认证方式外和网络通信的加密（TLS），并且可以在复杂的企业网络环境中使用。
   关于PXE和IDER更深入的对比，这里有几个连接可供参考：Arvind’s “PXE的缺点”；Ylian’s 完整的技术比较；Altiris的对比。 PXE技术已经存活了十几年，并且到现在还有不少人在用，其实这一点正式表明了最终用户的需求，表明了市场的需求，希望Intel AMT的IDE-R能更好的满足这一点。另外，需要注意的是，并不是支持IDE-R就不支持PXE，目前我们看到一些支持AMT的机器，大多数也是同时支持PXE的。

 4．  报警订阅： PET 和 Logs
   在报警事件的标准上，Intel AMT使用的PET格式，这个和ASF的标准是一样。但是，ASF只支持设置一个订阅IP，而Intel AMT可以设置16个不同的地址，也就是同一个事件可以发送到多个管理员控制台；并且Intel AMT对与事件报警的订阅是通过过滤规则来做的，可以做到将什么类型的事件发送到哪些IP地址。
    Intel AMT在事件处理方面另外一个增强的地方是，不仅能将事件发送到指定的IP订阅者，同时也可以将事件记录下来，存在硬件的非易失性存储空间内。事件的存储同样也是通过过滤规则来处理，确保将只将感兴趣的事件记录下来。对于记录在存储空间内的事件记录，远程控制台在能连通Intel AMT的情况下，都可以远程读取。不过由于存储空间大小的限制，事件能存储的条数有一定的限制，当存满时，自动会将最就的事件删除，以留出空间存储新的事件。

5．  安全： RSP vs. TLS和Kerberos
    ASF标准发展到2.0版本时才开始引入RSP安全协议，支持HMAC-SHA1加密和控制台与被管理客户机之间预共享密钥，正如前面已经提到的一样，RSP是ASF私有的协议，开发者实现起来比较费力。
    而Intel AMT在安全认证和通信协议方面支持的都是业界标准的方法，比如认证支持的是HTTP Digest认证和Kerberos认证，使得Intel AMT能很容易的和常见http客户端配合使用，并且能很容易的集成到Windows的域认证环境中，因为Windows域认证采用的就是Kerberos；Intel AMT在通信安全上采用的是TLS，同时支持单方证书和双方证书的模式。因此对开发者而言，不需要在这个上面花太多精力，第三方或开发的实现就能很好满足开发的需求。
    另外，Intel AMT提供了很全面的账户管理功能，可以通过远程接口方便的修改密码，增加用户等；并且还有很完备的访问控制能力，可以针对每个用户设置其可访问的接口。

6．  权威性
    ASF标准是DMTF组织多年前就发布的，得到了业界的广泛支持，我们可以看到目前不仅是Intel网卡，很多其他公司的网卡都能很好的支持ASF标准，同时OEM厂商也在BIOS层面上来支持ASF标准，配合同时只是ASF的网卡来实现ASF所定义的功能。目前笔者看到的是ASF在服务器平台和高端商务机方面支持的比较多。
    正如Intel “leap ahead”所示，Intel AMT正是Intel在没有管理标准可以遵循的情况下研发出来的，虽然目前其大部分功能和特性无标准可循，但是这些功能肯定将对未来可管理性技术发展起很大的促进作用。现在Intel AMT已经可以遵循目前可管理性技术社区知名的标准，比如WS-Man和DASH，并且极大的促进了这两种标准的普及。因此，我们有理由相信，Intel AMT技术将会成为未来可管理性技术先驱。

下篇：ASF vs AMT （下）

    我想，其实很多人都会和我一样有个疑惑，那就是ASF也能提供远程管理能力，那为什么还要有AMT呢？ASF和AMT对比，到底有什么不同？关于这个问题，笔者有幸读到了Intel资深工程师 Shmuel Gershon的系列文章，对比了ASF和Intel AMT的不同，写得非常好。笔者这里翻译出部分内容，并结合自己的经验，与大家一起分享。

一、 历史
    首先，让我们来看一看WOL、ASF和AMT这些远程管理技术的历史。
    WOL，从上世纪90年代中期开始出现（1997），由Intel和IBM工程师开发，目标是让IT管理员能够远程开机。一般和PXE技术结合在一起用，以此提供从远程磁盘启动的能力。很显然，只有等到机器开机后，操作系统引导完成，相应的软件方案运行起来后，才能进行远程管理。据笔者的经验，由于支持WOL的硬件普及比较广，所以目前的大部分管理软件都能支持WOL和PXE实现远程开机，并启动到指定的光盘或磁盘镜像，尤其是在网吧管理软件方面。
    1999年的时候，为了增强上述技术，Intel和IBM定义了AOL2 (Alert-on-LAN-2)，在远程开机的之外提供了报警特性，但是这项技术并未能得到广泛流行。这个名称仍可以在Intel的部分文档中看到，比如Intel网卡的相关文档。
    ASF是在2001开始出现的，其增加了事件报警和除了远程开机以外的更丰富的远程控制命令。ASF是一个公开的标准，由DMTF发布，最新的版本是2003年发布的2.0版，增加了安全协议。
    带外管理技术的下一个主要进展就是Intel AMT，在ASF的标准上做了很大的改进，增加了许多更实用的特性。其实涉及Intel AMT涉及和开发的很多Intel工程师就是以前从事ASF设计和开发的工程师；比如，Shmuel就是其中一位。

二、 技术上的对比
1． 传输协议的不同：UDP vs. TCP
    按照ASF标准，ASF的远程管理是基于UDP通信协议的，比如事件报警遵循的是SNMP的Trap格式，使用的UDP端口162；远程控制是RMCP（Remote Management and Control Protocol）协议，使用的UDP 623和644端口，其中644用于安全协议通信。而Intel AMT使用的是TCP通信协议，对开发者来说，更好操作。由于UDP是面向无连接，并且是无序的，开发人员时刻需要考虑对方是否真的接收到了自己发送过去的数据，并且还得考虑发送和接收包的顺序问题；而TCP则方便很多，开发者只需要把数据发送出去，对方是否接收到了以及顺序问题都是由底层协议考虑的。
    笔者在写程序测试ASF的RMCP功能时，在构建RMCP命令包时候，就需要自己指定UDP的Sequence和RMCP Data的Message Tag，同时还需要检查远程ASF引擎返回的ACK包，对比Message Tag，确保发送的RMCP确实被对方接收到了。而在开发基于Intel AMT技术的远程管理功能时，则简单多了，由于Intel AMT是基于TCP上层协议HTTP的更上层协议Soap，或更上层的WS－Man，开发者只需要把远程命令的参数填充好，由相应的Soap协议发送到AMT引擎，返回的结果就会自动填充到相应的Response结构中，也就无需考虑所谓的顺序和是否接收到的问题了。

下一篇：ASF vs AMT (中)

英特尔® 主动管理技术软件开发套件 (SDK)
http://software.intel.com/zh-cn/articles/download-the-latest-intel-amt-software-development-kit-sdk/

    默认情况下，界面上显示有Intel的Logo，并且有一个链接可以方便用户链接到Intel vPro的官方网站。有人就问我，当他们向最终客户提供管理方案时，因为AMT是由他们软件来管理，所以他们希望用户看到这个界面时，是看到他们自己的Logo，并且点击链接能链接到他们的网站或服务中心，这样用户有问题的时候就能快速的联系到他们，而不是直接联系到Intel。因为很多用户看到这个链接打开的是Intel的网站，并且是英文的，马上就失去了进一步去了解的动力；而如果链接到软件提供商指定的网页，软件提供商就有办法抓住用户的兴趣，让用户能进一步了解Intel® AMT的功能和好处。

    那是否能如软件提供商所愿呢？答案是肯定的。对于AMT 3.x及以前版本的AMT Status应用，可以通过如下方法修改：
        1） 图标的修改：我们只需要在atchk.exe所在的目录增加一个名为oemlogo.bmp的bitmap文件，但是这个文件需要满足四点要求：
            a. 必须是bitmap格式；
            b. 不能大于15KB
            c. 不能超过64象素宽、42象素高；
            d. 必须名为“oemlogo.bmp”
      如果需要回到默认的Intel标志，只需要重命名或删除oemlog.bmp文件。
      atchk.exe目录下默认有一个名为“oemlogo.sam”的文件，直接修改为oemlogo.bmp，然后重启atchk.exe进程，双击右下角的图标，就能看到修改后的效果了，如下图所示：

        2） “Click Here”URL的自定义：我们只需要修改注册表中相应的键值即可：
            Key: [HKEY_LOCAL_MACHINE\SOFTWARE\Intel\Network_Service\atchk]
            String value: “OemUrl”=http://www.yourdomain.com/yourpage
         如果需要回到默认值，只需要删除这个注册表键值。

    对于AMT 4和AMT 5版本的AMT Status应用，可以通过如下方法修改：
        1） 图标的修改：只需要在PrivacyIconClient.exe所在的目录增加一个名位oemlogo.bmp的bitmap文件，要求基本同上。效果如下图：

        2） 主界面“Learn More”按钮点进去后，在弹出的窗口中，有一个“Click here for more details”链接，点击后，默认打开的是http://www.intel.com，通过下面方法可以自定义此URL：注册表中增加相应的键值：
           Key: [HKEY_LOCAL_MACHINE\SOFTWARE\Intel\PIcon\Setting]
           String value: “HelpURL” = http://www.yourdomain.com/yourpage
       同样如需回到默认值，只需删除这个注册表键值。

  关于此AMT本地应用的更多配置，可参考Shmuel Gershon的博客系列文章: Configuring the notification area icon & app. Intel AMT SW Part 3 和 Intel Management and Security Status (IMSS), advanced configurations. Part 9

    考虑到很多用户拿到支持Intel® AMT技术的机器后，第一步就是想着如何体验Intel® AMT的先进功能，那么首先就要讲AMT配置好才能体验，因此第一期我们录制的是关于如何快速配置AMT到SMB模式的视频。

    http://software.intel.com/zh-cn/videos/intel-amt-config-smb-mode/

    用户拿到机器后，如果是支持Intel® AMT的，一般在启动过程中会出现视频里面所示的提示按ctrl + P的界面，有些OEM的机器ctrl+P的提示是和进入BIOS按键提示放在一起的（比如HP的机器）。在提示按ctrl+P的界面中，我们可以看到AMT固件(ME: Manageability Engine)的版本号，以及MEBX（可以称之为AMT本机固件配置程序）的版本号，在本视频中，我们使用的AMT ME v4.0.1.1111的固件版本，以及v4.0.4.0003的MEBX版本。 AMT 4.x版本意味着这是一台笔记本平台，无线接口上也支持基于Intel® AMT的远程管理。

    在按ctrl+P后，进入了MEBX的操作界面。首次进入的默认密码是admin，然后系统要求用户修改密码，新的密码必须是复杂密码，也就是要求1）密码长度必须大于8位；2）密码中必须包含数字；3）密码中必须包含大小写字母； 4）密码中必须包含有特殊字符（Shift+数字键）。在修改完密码后，接下来的界面就可以看到MEBX的主菜单了。

    为了将AMT快速配置到SMB模式，我们选择进入到“Intel® AMT Configuration”菜单，可以看到一系列的配置选项，但是我们并不需要对每个配置选项就配置。快速配置到SMB模式，只需配置如下几项：
        1） Host Name：AMT的主机名，和Windows主机名概念一样，用于在DHCP环境中匹配IP地址；如果是采用静态IP，主机名不配置也没关系；如果是DHCP环境，则需要配置一个，并且最好配置成与操作系统的一样（具体原因可以参考笔者以前的博客）。
        2） TCP/IP: AMT的TCP/IP参数，如果是DHCP环境，这个也无需配置；如果要设置静态IP，则需要选择disable DHCP，然后设置一个IP地址；第一次使用，笔者建议最好是配置一个和此AMT机器联网的其他机器同网段的IP。
        3） Provision Model：AMT的配置模式，AMT默认是Enterprise模式，也就是我们所说的大企业模式，在此模式下AMT需要远程配置服务器的配合才能配置好；另外一种常见模式是SMB模式，也就是中小企业模式，快速配置的话，需要选择到此模式。
    选择Provision Model到SMB后，Setup and Configuration选项就自动消失，这时候AMT已经处于可以远程连接的状态了，也就是AMT开放默认的TCP 16992端口，用于远程连接WEBUI和远程Soap连接。配置完成后，选择退出，配置的参数自动保存。

    接下来我们需要验证一下，刚才的AMT机器是否已经配置可用了。另外找一台机器，最好是与此AMT机器连接在同一个交换机上，或者是另外找一台机器通过网线与AMT机器直连（AMT的网口能够自适应直连线和交叉线，所以直连时候普通的网线就可以）。首先验证到AMT的机器网络是否通畅，在命令行窗口，通过ping命令检查。如果不通，则需要做进一步分析，参考笔者之前的博客文章(link)。如果是通的，再打开网页，输入http://(amt-ip):16992/ ，如果看到如下页面，恭喜您了，您已经快速将AMT配置到了SMB模式。

    在默认情况下，Putty.exe窗口显示的标题是起连接的对方的IP地址，在本文提到的例子中，都是显示127.0.0.1，因为其是连接到127.0.0.1的2000端口。当我们同时需要打开多个Putty.exe连接多台AMT机器时，就出现了一个问题：所有打开的Putty窗口都是现在的127.0.0.1的名称，使得操作者比较迷糊，不知道哪个putty串口对应哪台AMT机器的SOL连接。

      有没有办法使得每个Putty.exe显示对应连接的AMT的IP地址呢？当然有（个人认为所有技术问题都会有解决办法的 J ）。查看了一些Putty官方网站的说明，是可以“Controlling the window title”的，也就是我们只需要在连接上Putty以后发送一段Xterm控制序列，然后Putty就能实时的修改其Windows窗口的名称了。网上查了一下，需要发送的控制序列是 “ESC]2;win_titleBEL”，ESC的八进制代码是33，BEL的八进制代码是07。下面是一段参考代码：

            char htWinTitle[MAX_SOL_MESSAGE];
            memset(htWinTitle, 0, MAX_SOL_MESSAGE);
            sprintf(htWinTitle, "\033]2;abc\007");
            _sendDataToHT((unsigned char*)htWinTitle, 8); 

    上述代码放到MCSOL.cpp的run函数的do循环之前就可以，其中的abc用你需要的名称代替就可以。