Включает ли включение vPro какие-либо другие функции или противоречит им?
Я настраиваю рабочую станцию Dell Precision T1600. Он будет добавлен в небольшую сеть с одним сервером и двумя рабочими столами:
Новая рабочая станция будет иметь Win 7 Pro с режимом XP. Он будет использоваться для веб-разработки и обработки графики: Eclipse, Netbeans, Visual Studio, Photoshop и т. Д.
Для настройки предлагаются следующие варианты внеполосной настройки:
Я не ожидаю, что на данном этапе у меня возникнет особая потребность во внеполосном управлении, но я планирую продолжить добавление рабочих станций в будущем. На рабочей станции будет дискретная видеокарта, поэтому удаленный KVM недоступен.
Я хотел бы, чтобы возможности, предлагаемые vPro, были доступны, но я хотел бы знать, есть ли здесь какие-либо компромиссы.
Следует ли добавлять или изменять какие-либо теги для этого вопроса?
Вот информация, которую я добавил в закладки во время исследования:
Я посмотрел на Часто задаваемые вопросы о технологии Intel vPro
Он сказал, что не повлияло на производительность:
В6: Какое влияние на производительность ПК оказывает технология Intel® vPro ™ и ее механизм управления?
О6: Влияние технологии Intel vPro на производительность ПК не заметно для конечного пользователя.
Я посмотрел запись в википедии Технология активного управления Intel, он не упомянул никаких недостатков.
я смотрел на Удаленное управление ПК с помощью Intel vPro на сайте Tom's Hardware не упоминалось никаких компромиссов.
Из-за ошибки сервера было всего около 15 вопросов по amt и vPro вместе взятым. Я добавил это в избранное и просмотрел некоторые из предложенных ссылок. Как управлять ПК с помощью vPro?
Инструменты и утилиты для Intel vPro Technoloy
Я просмотрел дополнительные страницы, но я добавил их в закладки.
Информация предоставлена в ответах и комментариях:
Мой конкретный случай касается рабочей станции, но я буду использовать термин «клиент» для обозначения системы, в которой включена vPro.
Похоже, что активация vPro не налагает никаких ограничений, но может создать проблемы с безопасностью, если клиент не подготовлен должным образом во время установки.
vPro необходимо включить при покупке, иначе она отключена навсегда. Можно временно отключить его в MEBx (расширение BIOS Management Engine).
vPro вызывает повышенное использование памяти, энергопотребление и снижение производительности сети.
(Intel заявляет, что влияние на производительность ПК не заметно для конечного пользователя)
Используется небольшой объем дискового пространства.
Система находится под напряжением [в некоторой степени] все время. Важно отключать питание кондиционера, а не просто выключать машину для установки / замены оборудования.
Для его поддержки необходима внутренняя архитектура.
Два IP-адреса на машину (один для ОС и один для vPro).
Если ваши машины получают свои назначения через DHCP, вы можете использовать один для обоих.
Если вам нужен фиксированный адрес для машины, используйте вместо этого резервирование DHCP.
Последствия для безопасности и конфиденциальности:
По сути, вы устанавливаете бэкдор в свою систему.
Нет простого способа узнать от клиента, использует ли кто-то этот инструмент управления OoB без вашего согласия, но vPro можно настроить так, чтобы уведомлять пользователей, когда удаленный сеанс активен (в зависимости от политик вашей компании).
Вы должны немедленно подготовить клиента, если включено внеполосное управление, потому что по умолчанию vPro предварительно подготовлен с ключами корневого CA от известных поставщиков (например, VeriSign, GoDaddy).
Это означает, что злоумышленник, имеющий доступ к вашей сети, может приобрести сертификат AMT и подготовить ваши машины без вашего ведома.
vPro использует PKI, и для подготовки клиента требуется сертификат обеспечения AMT. Самый простой способ - приобрести сертификат обеспечения AMT у поставщика.
Вы можете использовать самозаверяющий сертификат, но вам необходимо знать о PKI перед развертыванием vPro. Вам потребуется:
1) попросите поставщика предварительно загрузить хэш сертификата в MEBx (существуют инструменты, которые позволяют вам создать конфигурацию подготовки и отправить пользовательский хеш сертификата через USB-накопитель).
2) вручную сконфигурируйте MEBx на КАЖДОЙ машине с вашим самоподписанным хешем сертификата.
Для сертификата обеспечения AMT необходимо создать сертификат PKI с OID 2.16.840.1.113741.1.2.3.
Если вы используете центр сертификации на базе Windows Server, вам понадобится Windows Server Enterprise или лучше для создания настраиваемых шаблонов сертификатов.
У Technet есть инструкции, как сделать это с помощью центра сертификации Windows (см. Ссылку ниже).
Если вы используете Linux: возможно, можно будет использовать OpenSSL для создания сертификата PKI, может ли кто-нибудь подтвердить это?
После того, как клиент должным образом подготовлен, он становится достаточно безопасным, поскольку он будет доверять только вызывающему абоненту, который обладает закрытым ключом AMT, который изначально был связан с машиной.
Предложения:
Управляйте vPro с помощью SCCM, это не бесплатно, но значительно упрощает жизнь с vPro, если его правильно настроить. Вы также получите множество других очень полезных приемов управления конфигурацией.
Ссылки в ответах и комментариях:
Требования к vPro и компромиссы для бизнес-ПК dc7800p с процессорной технологией Intel vPro (PDF)
vPro безопасность (Википедия)
Запрос, установка и подготовка сертификата обеспечения AMT (MicroSoft TechNet)
Внедрение OOB - нетривиальное занятие, требующее значительных затрат планирования и инвестиций. Недостаточно просто включить vPro, у вас должна быть внутренняя архитектура, которая ее поддерживает. Если вы не готовы немедленно Для реализации внеполосного управления я рекомендую оставить vPro выключенным, потому что по умолчанию vPro предварительно снабжен ключами корневого CA от известных поставщиков (например, VeriSign, GoDaddy). Злоумышленник, имеющий доступ к вашей сети, может приобрести сертификат AMT и подготовить ваши машины без вашего ведома ...
Поскольку vPro использует PKI, после правильной настройки архитектура становится достаточно безопасной, так как клиенты будут доверять только вызывающему абоненту, который обладает закрытым ключом AMT, который изначально был связан с машиной. vPro можно настроить для уведомления пользователей об активном удаленном сеансе (в зависимости от политик вашей компании).
С учетом сказанного, наш магазин использует vPro. Мы управляем несколькими сотнями удаленных рабочих станций, которые не имеют ИТ-поддержки на месте. vPro дает нам возможность устранять неполадки на аппаратном уровне и обеспечивает возможность удаленного включения, функции, которые недоступны через удаленный рабочий стол.
Да, здесь есть компромиссы, и я подозреваю, что быстрый поиск в Google уже сказал бы вам большую часть этого, но, сказав это, ознакомьтесь с этим документом HP о компромиссах включения vpro для ИТ-специалистов. Это для конкретной модели HP, но общий случай одинаков для любой системы, на которой вы используете vpro.
Помимо ожидаемого увеличения использования памяти, энергопотребления и снижения сетевой производительности (ох, и крошечного использования дискового пространства), стоит отметить, что включение этого приведет к постоянному питанию системы [в некоторой степени]. Несколько ватт энергии, которые тратятся впустую, не так уж и много по сравнению с важным предупреждением о том, что вам нужно отключить питание переменного тока, а не просто выключить машину для установки / замены оборудования. (В любом случае хорошая практика, но большинство людей не беспокоит.)
И тогда, что, вероятно, вызывает наибольшую озабоченность, это последствия для безопасности и конфиденциальности. Поскольку нет простого способа узнать с рабочей станции, использует ли кто-то этот инструмент управления OoB без вашего согласия, вам действительно лучше убедиться, что ваша безопасность в порядке, а ваша сеть достаточно защищена от вторжений, прежде чем реализовывать что-либо подобное.
В Википедии есть еще кое-что о последствиях для безопасности и конфиденциальности, но мой совет: если вам не нужно или вы не планируете использовать управление OoB, вы устанавливаете бэкдор в свою систему без причины. Так что не надо. В самом деле, это рабочая станция, какие удаленные KVM-приложения вам нужны для этого, чего нельзя сделать с помощью Remote Desktop?