Какие-нибудь компромиссы, связанные с включением Intel vPro?

8

Включение vPro отключает или конфликтует с какой-либо другой функциональностью?

Я настраиваю рабочую станцию ​​Dell Precision T1600. Он будет добавлен в небольшую сеть с одним сервером и двумя рабочими столами:

  • Сервер CentOS используется для обмена файлами через Samba и хостинг для веб-разработки
  • Windows Vista используется для разработки и тестирования
  • Windows XP Pro используется для разработки и тестирования
  • Гигабитный коммутатор
  • Маршрутизатор, который действует как DHCP-сервер, но все компьютеры используют назначенные IP-адреса

Новая рабочая станция будет иметь Win 7 Pro с режимом XP. Он будет использоваться для веб-разработки и обработки графики: Eclipse, Netbeans, Visual Studio, Photoshop и т. Д.

Опции Out-of-Band, предлагаемые для конфигурации:

  • Технология Intel vPro включена
  • Стандартная управляемость Intel
  • Нет управления внешними системами

Я не ожидаю особой необходимости во внешнем управлении, но планирую продолжить добавление рабочих станций в будущем. Рабочая станция будет иметь дискретную видеокарту, поэтому Remote KVM будет недоступен.

Я хотел бы, чтобы возможности, предлагаемые vPro, были доступны, но я хотел бы знать, есть ли какие-то компромиссы.

Должны ли быть добавлены или изменены какие-либо теги для этого вопроса?

Вот информация, которую я добавил в закладки во время моего исследования:

Я посмотрел на FAQ по технологии Intel vPro

В нем говорится, что это никак не повлияло на производительность:
Q6: Какое влияние оказывает технология Intel® vPro ™ и механизм управления ими на производительность ПК?
A6: Влияние технологии Intel vPro на производительность ПК не заметно для конечного пользователя.

Я посмотрел на статью в Википедии Intel Active Management Technology , там не было упоминаний о минусах.

Я посмотрел на Remote PC Management с Intel vPro на аппаратном сайте Тома, он не упомянул никаких компромиссов.

Из-за ошибки сервера было всего около 15 вопросов для amt и vPro вместе взятых. Я одобрил это и посмотрел на некоторые из предложенных ссылок. Как мне управлять ПК с помощью vPro?

Инструменты и утилиты для Intel vPro Technoloy

Я посмотрел на дополнительные страницы, но выше те, которые я добавил в закладки.

Информация предоставлена ​​в ответах и ​​комментариях:

Мой конкретный случай касается рабочей станции, но я буду использовать «клиента» для представления системы, в которой включен vPro.

Похоже, что активация vPro не накладывает каких-либо ограничений, но может создать проблемы с безопасностью, если клиент не был правильно настроен во время установки.

vPro должен быть включен при покупке или постоянно отключен. Можно временно отключить его в MEBx (расширение BIOS Management Engine).

vPro вызывает увеличение использования памяти, энергопотребление и снижение производительности сети.
(Intel заявляет, что влияние на производительность ПК не заметно для конечного пользователя)

Небольшое количество места на диске используется.

Система работает [до некоторой степени] постоянно. Важно отключить питание кондиционера, а не просто выключить питание машины для выполнения каких-либо установок / замен оборудования.

Вам нужна внутренняя архитектура для поддержки.

Два IP-адреса на машину (один для ОС и один для vPro).
Если ваши машины получают свои назначения через DHCP, вы можете использовать один для обоих.
Если вам нужен фиксированный адрес для машины, используйте резервирование DHCP.

Последствия для безопасности и конфиденциальности:

По сути, вы устанавливаете бэкдор в вашу систему.

Нет простого способа узнать от клиента, использует ли кто-то этот инструмент управления OoB без вашего согласия, но vPro может быть настроен на уведомление пользователей, когда активен удаленный сеанс (в зависимости от политик вашей компании).

Вы должны немедленно подготовить клиента, если включено внешнее управление, потому что по умолчанию vPro предварительно обеспечен ключами корневого CA от известных поставщиков (например, VeriSign, GoDaddy).
Это означает, что злоумышленник, имеющий доступ к вашей сети, может приобрести сертификат AMT и подготовить свои машины, даже не подозревая об этом.

vPro использует PKI, и для обеспечения клиента требуется сертификат обеспечения AMT. Самый простой подход заключается в приобретении сертификата обеспечения AMT у поставщика.

Вы можете использовать самоподписанный сертификат, но вы должны быть осведомлены о PKI перед развертыванием vPro. Вам нужно будет либо:
1) попросить поставщика предварительно загрузить хэш сертификата в MEBx (существуют инструменты, позволяющие создать конфигурацию инициализации и отправить пользовательский хэш сертификата через USB-накопитель.)
2) вручную настроить MEBx на КАЖДОМ компьютере с вашим хэшированным сертификатом.

Для сертификата обеспечения AMT необходимо создать сертификат PKI с OID 2.16.840.1.113741.1.2.3.

Если вы используете ЦС на базе Windows Server, вам понадобится Windows Server Enterprise или лучше для создания пользовательских шаблонов сертификатов.
У Technet есть инструкции для этого с Центром сертификации Windows (см. Ссылку ниже).

Если используется Linux: может быть возможно использовать OpenSSL для создания сертификата PKI, кто-нибудь может это подтвердить?

Как только клиент правильно настроен, он становится достаточно безопасным, поскольку доверяет только вызывающей стороне, обладающей закрытым ключом AMT, который изначально связывал машину.

Предложения:
Управляйте vPro с помощью SCCM, это не бесплатно, но это делает жизнь с vPro ОЧЕНЬ проще, если она правильно настроена. Вы также получаете все другие приемы управления конфигурацией, которые очень полезны.

Ссылки в ответах и ​​комментариях:
Предварительные условия vPro и компромиссы для бизнес-ПК dc7800p с процессорной технологией Intel vPro (PDF)

Безопасность vPro (Википедия)

Запрос, установка и подготовка сертификата обеспечения AMT (MicroSoft TechNet)

networking  amt  intel 
codewaggle
источник
1
Совершенно не по теме вашего вопроса, но касающийся безопасности, и я лично вижу в этом больший риск ... вы упомянули обмен файлами и веб-хостинг на одном сервере ... так что, если кто-то, например, взломал ваш сайт сами с помощью различных средств ... он / она теперь будет иметь доступ ко всем вашим данным на эти акции потенциально. Можете ли вы позволить себе такой риск для компании?
Холодный T
Я не думал об этом, потому что веб-сайты предназначены для разработки и доступны путем назначения тестового доменного имени сетевому IP-адресу веб-сервера в клиентских hostsфайлах. Но сервер имеет доступ к реальному миру через маршрутизатор, я думаю, что мне следует заблокировать входящий трафик через порты, используемые для веб и файловых серверов. Еще одна вещь, которую нужно сделать, спасибо
большое

Ответы:

6

Внедрение OOB не является тривиальным упражнением и требует значительных затрат на планирование и инвестиции. Недостаточно просто включить vPro, для его поддержки также необходима серверная архитектура. Если вы не готовы немедленно внедрить внешнее управление, я рекомендую оставить vPro выключенным, потому что по умолчанию vPro предварительно снабжен ключами корневого CA от известных поставщиков (например, VeriSign, GoDaddy). Злоумышленник с доступом к вашей сети может приобрести сертификат AMT и подготовить свои машины, даже не подозревая об этом ...

Поскольку vPro использует PKI, после правильной настройки архитектура становится достаточно безопасной, поскольку клиенты будут доверять только вызывающей стороне, обладающей закрытым ключом AMT, который изначально связывал машину. vPro можно настроить для предоставления пользователям уведомлений об активном удаленном сеансе (в зависимости от политики вашей компании).

При этом наш магазин использует vPro. Мы управляем несколькими сотнями удаленных рабочих станций, которые не имеют ИТ-поддержки на месте. vPro дает нам возможность выполнять поиск и устранение неисправностей на аппаратном уровне и предоставляет возможность удаленного включения, функции, которые недоступны через удаленный рабочий стол.

newmanth
источник
В разделе Dell «Помоги мне выбрать» говорится, что если вы не включите управление Out-of-Band при покупке, его нельзя будет добавить позже, поэтому я пытаюсь принять решение сейчас. Звучит так, как минимум, что мне нужно сделать, это настроить сертификат и подготовить рабочую станцию ​​(что мне нужно выяснить, как это сделать). Могу ли я использовать самоподписанный сертификат?
Codewaggle
Вы правы, если вы не выберете его при заказе машины, вы не сможете получить его позже (функция отключена навсегда). Итак, продолжайте и заказывайте его, просто убедитесь, что вы отключили его в MEBx, пока не будете готовы его использовать. - Вы можете использовать самоподписанный сертификат, но вам потребуется: 1) предварительно загрузить Dell отпечаток большого пальца в MEBx или 2) вручную настроить MEBx на КАЖДОМ компьютере с вашим самозаверяющим отпечатком (не так уж сложно, просто что-то быть в курсе). Существуют инструменты, которые позволяют создавать конфигурацию настройки и отправлять пользовательский отпечаток через USB-накопитель.
newmanth
Просто чтобы вы знали, что если вы используете статические IP-адреса для своих рабочих станций, вам понадобится по два на компьютер (один для ОС и один для vPro). Если ваши машины получают свои назначения через DHCP, вы можете использовать один для обоих (что я лично рекомендую). Если вам нужен фиксированный адрес для машины, используйте резервирование DHCP. - Кроме того, мы управляем vPro с помощью SCCM, что я тоже рекомендую. Я знаю, что это не бесплатно (и я не работаю за M $), но это делает жизнь с vPro ОЧЕНЬ проще, когда она правильно настроена. Вы также получаете все другие приемы управления конфигурацией, которые очень полезны.
newmanth
Когда вы упомянули ключи корневого CA, я думал о ключах, используемых для SSL-сертификатов. Я создал самозаверяющие сертификаты для использования на веб-серверах разработки с помощью команды linux openssl, у меня нет устройства чтения отпечатков пальцев, будет ли достаточно сертификата openssl? Я читал, что внешнее соединение использует свой собственный IP-адрес, я использую DHCP-резервирование для назначения IP-адресов, так что, похоже, все должно быть в порядке. Я посмотрю на SCCM, но надеялся использовать бесплатное приложение, чтобы изучить мой путь, так как на данный момент у меня будет только одна машина с поддержкой vPro.
Codewaggle
Извините, я не понял ... когда я ссылался на отпечаток большого пальца, я имею в виду хэш сертификата (а не настоящий отпечаток: P). Для сертификата обеспечения AMT необходимо создать сертификат PKI с OID 2.16.840.1.113741.1.2.3. Я не делал этого с OpenSSL, но это должно быть возможно. Мы используем ЦС на базе Windows Server, поэтому мы сделали то же самое. У Technet есть инструкции для этого с Центром сертификации Windows по адресу technet.microsoft.com/en-us/library/… . Тем не менее, вам понадобится Windows Server Enterprise или лучше для создания пользовательских шаблонов сертификатов.
newmanth
4

Да, здесь есть компромиссы, и я подозреваю, что быстрый поиск в Google уже сказал бы вам об этом, но, сказав это, проверьте этот документ HP о компромиссах по включению vpro для ИТ-специалистов . Это для этой конкретной модели HP, но общий случай одинаков для любой системы, на которой вы используете vpro.

Помимо ожидаемого увеличения использования памяти, энергопотребления и снижения производительности сети (ах, и крошечного использования дискового пространства), стоит отметить, что включение этого приведет к постоянному включению системы [до некоторой степени]. Несколько ватт энергии, которая тратит впустую, не так уж много по сравнению с важным предупреждением, которое вам потребуется для отключения питания кондиционера, а не просто для выключения машины, чтобы выполнить какие-либо установки / замены оборудования. (В любом случае, хорошая практика, но большинство людей не беспокоятся.)

И затем, что, вероятно, самой большой заботой является последствия для безопасности и конфиденциальности. Поскольку с рабочей станции не существует простого способа определить, использует ли кто-либо этот инструмент управления OoB без вашего согласия, вам действительно нужно убедиться, что ваша система безопасности взломана и ваша сеть достаточно хорошо защищена от вторжений, прежде чем внедрять что-либо подобное.

В Википедии есть еще кое-что о безопасности и конфиденциальности , но мой совет: если вам не нужно или вы планируете использовать управление OoB, вы устанавливаете бэкдор в свою систему без причины. Так что не надо. Действительно, это рабочая станция, какие удаленные приложения KVM, по вашему мнению, нуждаются в этом, чего вы не можете сделать с помощью удаленного рабочего стола?

HopelessN00b
источник
Я сделал больше, чем быстрый поиск в Google, и потратил часы на изучение, прежде чем задавать вопрос, к сожалению, я не настолько разбираюсь в вопросах ИТ и не смог определить ответ на свой вопрос, просмотрев доступную информацию. Я добавлю дополнительную информацию о том, что я посмотрел в мой ответ.
Codewaggle
Я трачу большую часть своего времени на stackoverflow и фактически предложил людям включить информацию о том, что они попробовали или узнали в своем вопросе. Похоже, я должен принять мой собственный совет. Одна вещь, которая попалась на глаза в документе HP, была в разделе «Дублирование жесткого диска», где говорилось, что, поскольку сетевой контроллер виртуализирован, вы можете использовать диск того же размера при клонировании с помощью программного обеспечения. Документ с 2007 года, поэтому мне было интересно, если это все еще так. Я провел некоторое время, изучая это, но ничего не нашел. Может быть, я создам вопрос об этом.
Codewaggle
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.