正在阅读：隔离主机抑制爆发 英特尔博锐平台防毒应用隔离主机抑制爆发 英特尔博锐平台防毒应用

　　老酒，我们公司的资深IT工程师，此时他正在与小陈通电话，为她解决一个棘手的CASE。然而，“好事”总是成双成对，老酒的手机又响了起来，来电显示的是“设计部二号问题人物”。这个电话不能不接，一定是因为座机占线，“二号人物”才打了老酒的手机。“陈同学，你稍等。”老酒说，“我接个电话，设计部那边可能出事了……”

　　老酒所在的是一家装饰装潢公司，公司规模不大，但事情不少。设计部是整个公司的业务重地，每名设计师们每天要接待大量客户。最让老酒头痛的是客户的U盘，虽然电脑上有防病毒软件，但设计师们的电脑还是常常中招。为了防止病毒扩散至整个公司，老酒为设计部划分了单独的VLAN，但是，一台电脑中招导致整个设计部病毒爆发的事情还是时有发生。

什么？！除了你之外又有两个人的CAD打不开了？看来病毒又爆发了

　　如果你在办公室找不到老酒，那么打电话到设计部寻人准没错，此时老酒多半是在那里鏖战中。整个设计部的电脑数量约在30台左右，数量并不是很多，但病毒爆发，主机间的交叉感染着实让老酒感到异常头疼，而且往往是顾客越多越容易出事。为了能即时处理病毒问题，老酒还常常要和设计师们“抢”电脑。而且，有时还会有多名设计师同时向他求助，老酒深知此时病毒已经扩散，可惜分身无术。

　　以往，如果设计师向老酒反应电脑上的杀毒软件异常，他总是一路小跑赶往现场，一是顾客等不急，二是早一分钟赶到现场，也许就能赶在病毒扩散之前采取措施。不过这次，老酒虽然着急接听“设计部二号问题人物”打来的电话，但他却不着急起身赶往用户现场了。为什么？因为现在，老酒远程就可以将问题主机“踢出”网络，第一时间阻止病毒扩散，同时，他还能看到这台断网主机的桌面，并远程对主机进行杀毒维护等操作，待确认主机不存在风险之后，再将其“接入”网络。是的，一切都可以通过远程方式实现，就算主机被“踢出”了网络。

　　“何姐，找我啥事啊？又是顾客的U盘？”老酒接起了电话。

　　“猜对了，顾客用U盘带来了平面图，不过我可能点了不该点的东西，杀毒软件报警了。”小何说，“现在我不敢乱动了，不过客户还在等着，能赶紧来一下我这吗？”

　　“你的主机名是什么？公司新购置的这批英特尔酷睿平台的电脑，机箱上都贴了标签，你念一下。”老酒说。

　　“AMTHOST，是这个吗？”小何说。

　　“对，就是这个，稍等……现在你看一下你的屏幕上是不是提示网络已被禁用？”老酒说。

　　“是的，弹出来一个提示框，我的QQ也提示掉线了。”小何说。

　　“你先跟客户聊方案吧，现在你的电脑已经被踢出了网络，不会影响到其他人。等客户走了，你再打我电话。”老酒说。

　　防止病毒扩散，首先要做的就是将问题主机从网络中隔离出去，并且从发现问题到隔离主机这个期间的时间越短越好，因为早一分钟赶到现场，就可能赶在病毒扩散之前采取补救措施，这也是为什么以前老酒总是小跑着去设计部的原因。不过，现在老酒不需要再这样做了，他只需在自己的电脑上点击几下鼠标，就可以对问题主机进行隔离，并即时对断网主机进行远程诊断。当然，如果设计师正忙着接待顾客，也可以先将主机隔离，事后再进行杀毒等操作。所以，老酒已经不像从前那样，接到关于病毒的电话就神经紧张了，他现在要做的仅仅是等着小何打电话给他。

　　你可能会觉得，这一切听起来有些不可思议，将主机隔离，也就是将主机的网络断开，既然已经断网，怎么还能对其进行远程诊断呢？没错，这在以前确实不太可能，然而，现在在英特尔博锐平台上，这一切都变得异乎寻常的简单。在与小何简短的通话中，老酒做了什么操作就隔离了小何的电脑？下面我们就来详细探索一下这“1分钟”背后的秘密。>>

分享·进步 欢迎加入PConline IT社区

　　在老酒向小何询问主机名的同时，打开了江民杀毒软件的控制中心，通过主机名，他立刻找到了相应主机。企业级防病毒方案基本都是C/S架构，通过管理中心就可完成客户端的参数设置、杀毒、状态收集等操作，自然定位一台主机更不在话下。

　　模拟环境中共有2台主机，其中，AMTHOST为英特尔博锐平台机型，支持AMT主动管理技术；NONAMTHOST为一般机型，不支持英特尔AMT技术。

首先选中AMTHOST这台主机，然后在远程操作中点击“断开网络”

　　切断主机的网络时需要输入一个密码，这个密码可以任意设置，仅在恢复目标主机网络连接时使用。为便于记忆，我们使用主机名作为密码。当老酒点击“断开网络”后，小何的电脑立刻就有了反应。

 
主机被隔离过程

　　老酒通过江民控制中心向小何的机器发送出断网指令后，注意上面两张图中网络连接图标的变化，最终主机被“踢出”网络。

Ping一下网关，输出信息显示主机确实已被“踢出”了网络

　　隔离主机实际上是禁用主机上的所有网络连接，而且无法手工恢复。如上图，我们试图手动启用 "Local Area Connection"，但系统提示启用失败。这不仅可以防止用户，还可以防止病毒恢复网络连接。>>

　　看到这里，也许你感到奇怪，为什么小何的电脑已经被“踢出”了网络，但是老酒依然可以看到她的桌面？答案是——带外管理，所使用的工具是KVM（Keyboard-Video-Mouse），也许你在服务器上使用KVM进行过类似操作，没错，就是它。Intel AMT KVM Server 内置于英特尔博锐平台中，其有效性与操作系统及操作系统的网络连通状态无关，KVM Server 端与标准的VNC 兼容，因此可以通过标准的 VNC 客户端软件连接。

　　带外管理、AMT、KVM、VNC，它们都是什么？搞清它们很容易，因为在英特尔博锐平台中，它们之间相互关联。所谓带外管理，是指一种管理方式，我们可以简单理解为，管理工具与被管理主体之间没有任何依存关系，所以带外管理非常可靠，可以完全忽视被管理主体的状态；AMT（Active Management Technology）正是内置在英特尔博锐平台中的带外管理技术，AMT集成了许多实用的管理工具，而其中一项“精英”级的工具是KVM，使用KVM可以随时看到目标主机的桌面并进行各种操作，与现场拜访完全相同，而VNC正是连接KVM Server所使用的工具，它是一款远程控制软件。

采用英特尔博锐平台的笔记本，即使蓝屏依然可以进行远程维护

　　所有这些加在一起，也就是为什么老酒可以在主机被断网的情况下，依然可以看到小何电脑桌面并进行操作的原因。虽然电脑上只插着一根网线，但它却同时共享给了两个系统使用—— WINDOWS 和英特尔博锐平台的管理引擎。老酒将小何的主机“踢出”网络，其实是逻辑上禁用了WINDOWS的网络连接，而管理引擎的网络连接依然是有效的。在隔离了小何的电脑后，老酒现在有两个选择：一是等着小何接待完顾客打电脑给他；二是起身去现场拜访一下小何。不过，有什么理由必须现场拜访呢？

　　十多分钟以后，小何打来了电话。“老酒，顾客这边的装修方案我们已经聊完了，有时间来给我看看电脑呗。另外，顾客问，如果不麻烦的话，能不能顺便给他们的U盘杀杀病毒？”小何说。

　　“好的，看看你的电脑没问题，帮顾客清清U盘也没有问题，我这就现身。”老酒说，“把你电脑上显示的那串数字念一下给我。”

出于安全性考虑，在连接KVM Server时，目标主机会生成一次性验证密码

　　“801019，是这个吗？”小何说。

　　“对，就是这个，我这就“现身”。你现在不要动鼠标和键盘。”老酒说。出于安全性考虑，目标主机会生成一次性验证密码，老酒需要这个密码才能与KVM Server建立连接。上图在 WINDOWS 中使用 Print Screen 键是无法截取的，这一提示信息在主机任何状态下都可以显示，其来自英特尔博锐平台的 ME 管理引擎。

首先使用江民杀毒软件清除U盘中的病毒，杀毒完毕，小何送走了顾客>>

确定电脑是否中毒，最快捷的方法是扫描一下内存，看来小何的电脑并没有中毒

整个诊断过程，小何的电脑一直处于被隔离状态

查毒完毕，输入之前设置的密码启用网络

网络连接已恢复正常

江民控制中心统计显示，在小何的电脑上发现了23个病毒（顾客U盘中的病毒）

　　在控制中心查询日志记录，是老酒了解内网病毒状况最快捷的途径。哪台电脑经常中毒，中什么毒，内网最新发现的病毒是什么，感染频率最高的病毒是什么等，这些以往无法统计的数据，通过日志工具都可以轻易得到。

　　结语：传统的带内远程管理方式可不可以对病毒主机进行诊断维护呢？当然也是可以的，但这样做将面临极大的风险。带内管理要求操作系统的网络必须处于联通状态，而此时病毒正在试图“冲出”当前主机，进到网络中继而感染其它主机。就像是一场赛跑，IT或病毒谁会赢得比赛？往往可能是后者。

　　在文章开篇时我们有提到，模拟环境中共有2台主机，其中一台为英特尔博锐平台机型，而另一台为普通机型。如果小何的电脑是一台非英特尔博锐平台机型会如何？老酒同样也可以远程隔离这台电脑，但是接下来，他就要起身现场拜访一下小何了。而在英特尔博锐平台上，ME管理引擎的网络连接独立于操作系统，这就使真正意义上安全的远程诊断成为现实。[返回频道首页]