老酒,我们公司的资深IT工程师,此时他正在与小陈通电话,为她解决一个棘手的CASE。然而,“好事”总是成双成对,老酒的手机又响了起来,来电显示的是“设计部二号问题人物”。这个电话不能不接,一定是因为座机占线,“二号人物”才打了老酒的手机。“陈同学,你稍等。”老酒说,“我接个电话,设计部那边可能出事了……” 老酒所在的是一家装饰装潢公司,公司规模不大,但事情不少。设计部是整个公司的业务重地,每名设计师们每天要接待大量客户。最让老酒头痛的是客户的U盘,虽然电脑上有防病毒软件,但设计师们的电脑还是常常中招。为了防止病毒扩散至整个公司,老酒为设计部划分了单独的VLAN,但是,一台电脑中招导致整个设计部病毒爆发的事情还是时有发生。
如果你在办公室找不到老酒,那么打电话到设计部寻人准没错,此时老酒多半是在那里鏖战中。整个设计部的电脑数量约在30台左右,数量并不是很多,但病毒爆发,主机间的交叉感染着实让老酒感到异常头疼,而且往往是顾客越多越容易出事。为了能即时处理病毒问题,老酒还常常要和设计师们“抢”电脑。而且,有时还会有多名设计师同时向他求助,老酒深知此时病毒已经扩散,可惜分身无术。 以往,如果设计师向老酒反应电脑上的杀毒软件异常,他总是一路小跑赶往现场,一是顾客等不急,二是早一分钟赶到现场,也许就能赶在病毒扩散之前采取措施。不过这次,老酒虽然着急接听“设计部二号问题人物”打来的电话,但他却不着急起身赶往用户现场了。为什么?因为现在,老酒远程就可以将问题主机“踢出”网络,第一时间阻止病毒扩散,同时,他还能看到这台断网主机的桌面,并远程对主机进行杀毒维护等操作,待确认主机不存在风险之后,再将其“接入”网络。是的,一切都可以通过远程方式实现,就算主机被“踢出”了网络。 “何姐,找我啥事啊?又是顾客的U盘?”老酒接起了电话。 “猜对了,顾客用U盘带来了平面图,不过我可能点了不该点的东西,杀毒软件报警了。”小何说,“现在我不敢乱动了,不过客户还在等着,能赶紧来一下我这吗?” “你的主机名是什么?公司新购置的这批英特尔酷睿平台的电脑,机箱上都贴了标签,你念一下。”老酒说。 “AMTHOST,是这个吗?”小何说。 “对,就是这个,稍等……现在你看一下你的屏幕上是不是提示网络已被禁用?”老酒说。 “是的,弹出来一个提示框,我的QQ也提示掉线了。”小何说。 “你先跟客户聊方案吧,现在你的电脑已经被踢出了网络,不会影响到其他人。等客户走了,你再打我电话。”老酒说。 防止病毒扩散,首先要做的就是将问题主机从网络中隔离出去,并且从发现问题到隔离主机这个期间的时间越短越好,因为早一分钟赶到现场,就可能赶在病毒扩散之前采取补救措施,这也是为什么以前老酒总是小跑着去设计部的原因。不过,现在老酒不需要再这样做了,他只需在自己的电脑上点击几下鼠标,就可以对问题主机进行隔离,并即时对断网主机进行远程诊断。当然,如果设计师正忙着接待顾客,也可以先将主机隔离,事后再进行杀毒等操作。所以,老酒已经不像从前那样,接到关于病毒的电话就神经紧张了,他现在要做的仅仅是等着小何打电话给他。 你可能会觉得,这一切听起来有些不可思议,将主机隔离,也就是将主机的网络断开,既然已经断网,怎么还能对其进行远程诊断呢?没错,这在以前确实不太可能,然而,现在在英特尔博锐平台上,这一切都变得异乎寻常的简单。在与小何简短的通话中,老酒做了什么操作就隔离了小何的电脑?下面我们就来详细探索一下这“1分钟”背后的秘密。>> 在老酒向小何询问主机名的同时,打开了江民杀毒软件的控制中心,通过主机名,他立刻找到了相应主机。企业级防病毒方案基本都是C/S架构,通过管理中心就可完成客户端的参数设置、杀毒、状态收集等操作,自然定位一台主机更不在话下。 模拟环境中共有2台主机,其中,AMTHOST为英特尔博锐平台机型,支持AMT主动管理技术;NONAMTHOST为一般机型,不支持英特尔AMT技术。
切断主机的网络时需要输入一个密码,这个密码可以任意设置,仅在恢复目标主机网络连接时使用。为便于记忆,我们使用主机名作为密码。当老酒点击“断开网络”后,小何的电脑立刻就有了反应。 老酒通过江民控制中心向小何的机器发送出断网指令后,注意上面两张图中网络连接图标的变化,最终主机被“踢出”网络。
隔离主机实际上是禁用主机上的所有网络连接,而且无法手工恢复。如上图,我们试图手动启用 "Local Area Connection",但系统提示启用失败。这不仅可以防止用户,还可以防止病毒恢复网络连接。>> 看到这里,也许你感到奇怪,为什么小何的电脑已经被“踢出”了网络,但是老酒依然可以看到她的桌面?答案是——带外管理,所使用的工具是KVM(Keyboard-Video-Mouse),也许你在服务器上使用KVM进行过类似操作,没错,就是它。Intel AMT KVM Server 内置于英特尔博锐平台中,其有效性与操作系统及操作系统的网络连通状态无关,KVM Server 端与标准的VNC 兼容,因此可以通过标准的 VNC 客户端软件连接。 带外管理、AMT、KVM、VNC,它们都是什么?搞清它们很容易,因为在英特尔博锐平台中,它们之间相互关联。所谓带外管理,是指一种管理方式,我们可以简单理解为,管理工具与被管理主体之间没有任何依存关系,所以带外管理非常可靠,可以完全忽视被管理主体的状态;AMT(Active Management Technology)正是内置在英特尔博锐平台中的带外管理技术,AMT集成了许多实用的管理工具,而其中一项“精英”级的工具是KVM,使用KVM可以随时看到目标主机的桌面并进行各种操作,与现场拜访完全相同,而VNC正是连接KVM Server所使用的工具,它是一款远程控制软件。
所有这些加在一起,也就是为什么老酒可以在主机被断网的情况下,依然可以看到小何电脑桌面并进行操作的原因。虽然电脑上只插着一根网线,但它却同时共享给了两个系统使用—— WINDOWS 和英特尔博锐平台的管理引擎。老酒将小何的主机“踢出”网络,其实是逻辑上禁用了WINDOWS的网络连接,而管理引擎的网络连接依然是有效的。在隔离了小何的电脑后,老酒现在有两个选择:一是等着小何接待完顾客打电脑给他;二是起身去现场拜访一下小何。不过,有什么理由必须现场拜访呢? 十多分钟以后,小何打来了电话。“老酒,顾客这边的装修方案我们已经聊完了,有时间来给我看看电脑呗。另外,顾客问,如果不麻烦的话,能不能顺便给他们的U盘杀杀病毒?”小何说。 “好的,看看你的电脑没问题,帮顾客清清U盘也没有问题,我这就现身。”老酒说,“把你电脑上显示的那串数字念一下给我。”
“801019,是这个吗?”小何说。 “对,就是这个,我这就“现身”。你现在不要动鼠标和键盘。”老酒说。出于安全性考虑,目标主机会生成一次性验证密码,老酒需要这个密码才能与KVM Server建立连接。上图在 WINDOWS 中使用 Print Screen 键是无法截取的,这一提示信息在主机任何状态下都可以显示,其来自英特尔博锐平台的 ME 管理引擎。
在控制中心查询日志记录,是老酒了解内网病毒状况最快捷的途径。哪台电脑经常中毒,中什么毒,内网最新发现的病毒是什么,感染频率最高的病毒是什么等,这些以往无法统计的数据,通过日志工具都可以轻易得到。 结语:传统的带内远程管理方式可不可以对病毒主机进行诊断维护呢?当然也是可以的,但这样做将面临极大的风险。带内管理要求操作系统的网络必须处于联通状态,而此时病毒正在试图“冲出”当前主机,进到网络中继而感染其它主机。就像是一场赛跑,IT或病毒谁会赢得比赛?往往可能是后者。 在文章开篇时我们有提到,模拟环境中共有2台主机,其中一台为英特尔博锐平台机型,而另一台为普通机型。如果小何的电脑是一台非英特尔博锐平台机型会如何?老酒同样也可以远程隔离这台电脑,但是接下来,他就要起身现场拜访一下小何了。而在英特尔博锐平台上,ME管理引擎的网络连接独立于操作系统,这就使真正意义上安全的远程诊断成为现实。[返回频道首页] |
正在阅读:隔离主机抑制爆发 英特尔博锐平台防毒应用隔离主机抑制爆发 英特尔博锐平台防毒应用
2010-09-20 02:52
出处:PConline原创
责任编辑:gaohongjun
热门排行
IT百科
热门专题
网络设备论坛帖子排行
最高点击
最高回复
最新
-
37次
GoDaddy美国虚拟主机让智能建站更简单
1 -
25次
香港服务器10M独享,16G,2T,仅700元
2 -
23次
LOLS9皎月女神-黛安娜符文出装攻略 另类玩法征服者流皎月的玩法教学
3 -
20次
数字经济推动安防市场发展,安防企业应如何立足?
4 -
18次
王者荣耀GK.鹏鹏云中君KPL首秀铭文及出装 暴击穿透两不误?
5 -
17次
“户外液晶广告机”,新一代公园景区观光体验黑科技!
6 -
16次
首次揭秘:阿里巴巴中间件在 Serverless 技术领域的探索
7 -
14次
首次揭秘:阿里巴巴中间件在 Serverless 技术领域的探索
8 -
14次
自从有了佳能喷墨打印机G2810,再也不用担心墨盒太贵啦
9 -
13次
一分钟了解千兆与万兆光模块的那些事儿
10
汽车资讯
最新资讯离线随时看
聊天吐槽赢奖品