Deaktiviert oder widerspricht das Aktivieren von vPro anderen Funktionen?
Ich konfiguriere eine Dell Precision T1600-Workstation. Es wird einem kleinen Netzwerk mit einem Server und zwei Desktops hinzugefügt:
- CentOS-Server für die gemeinsame Nutzung von Dateien über Samba und das Hosting für die Webentwicklung
- Windows Vista wird zum Entwickeln und Testen verwendet
- Windows XP Pro wird zum Entwickeln und Testen verwendet
- Gigabit-Switch
- Router, der als DHCP-Server fungiert, aber alle Computer zugewiesene IP-Adressen verwenden
Die neue Workstation verfügt über Win 7 Pro mit XP-Modus. Es wird für die Webentwicklung und Grafikverarbeitung verwendet: Eclipse, Netbeans, Visual Studio, Photoshop usw.
Die für die Konfiguration angebotenen Out-of-Band-Optionen sind:
- Intel vPro-Technologie aktiviert
- Intel Standard Verwaltbarkeit
- Kein Out-of-Band-Systemmanagement
Ich erwarte derzeit keinen großen Bedarf an Out-of-Band-Management, plane jedoch, in Zukunft weitere Workstations hinzuzufügen. Die Workstation verfügt über eine diskrete Grafikkarte, sodass Remote KVM nicht verfügbar ist.
Ich möchte die von vPro angebotenen Funktionen zur Verfügung haben, möchte aber wissen, ob es irgendwelche Kompromisse gibt.
Sollten Tags für diese Frage hinzugefügt oder geändert werden?
Hier sind die Informationen, die ich während meiner Recherche mit einem Lesezeichen versehen habe:
Ich habe mir die häufig gestellten Fragen zur Intel vPro-Technologie angesehen
Es gab keine Auswirkungen auf die Leistung:
F6: Welche Auswirkungen hat die Intel® vPro ™ -Technologie und ihre Manageability Engine auf die Leistung des PCs?
A6: Die Auswirkungen der Intel vPro-Technologie auf die PC-Leistung sind für den Endbenutzer nicht erkennbar.
Ich habe mir den Wikipedia-Eintrag Intel Active Management Technology angesehen , in dem keine Nachteile erwähnt wurden.
Ich habe mir Remote PC Management mit Intels vPro auf der Hardware-Site von Tom angesehen und dabei keine Kompromisse erwähnt.
Aufgrund eines Serverfehlers gab es nur etwa 15 Fragen für amt und vPro zusammen. Ich habe diesen favorisiert und mir einige der vorgeschlagenen Links angesehen. Wie verwalte ich PCs mit vPro?
Tools und Dienstprogramme für Intel vPro Technoloy
Ich habe mir zusätzliche Seiten angesehen, aber die oben genannten sind diejenigen, die ich mit einem Lesezeichen versehen habe.
Informationen in Antworten und Kommentaren:
Mein spezieller Fall betrifft eine Workstation, aber ich werde "Client" verwenden, um das System darzustellen, auf dem vPro aktiviert ist.
Es scheint, dass die Aktivierung von vPro keine Einschränkungen mit sich bringt, aber Sicherheitsprobleme verursachen kann, wenn der Client während der Installation nicht ordnungsgemäß bereitgestellt wird.
vPro muss beim Kauf aktiviert sein oder ist dauerhaft deaktiviert. Kann es vorübergehend in MEBx (Management Engine BIOS Extension) deaktivieren.
vPro führt zu einer erhöhten Speichernutzung, einem höheren Stromverbrauch und einer verringerten Netzwerkleistung.
(Intel gibt an, dass die Auswirkungen auf die PC-Leistung für den Endbenutzer nicht spürbar sind.)
Es wird wenig Speicherplatz verwendet.
Das System wird [bis zu einem gewissen Grad] jederzeit mit Strom versorgt. Es ist wichtig, die Klimaanlage zu trennen, anstatt nur die Maschine auszuschalten, um Hardwareinstallationen / -austausch durchzuführen.
Sie benötigen die Back-End-Architektur, um dies zu unterstützen.
Zwei IP-Adressen pro Computer (eine für das Betriebssystem und eine für vPro).
Wenn Ihre Computer ihre Zuweisungen über DHCP erhalten, können Sie eine für beide verwenden.
Wenn Sie eine feste Adresse für einen Computer benötigen, verwenden Sie stattdessen eine DHCP-Reservierung.
Auswirkungen auf Sicherheit und Datenschutz:
Sie installieren im Wesentlichen eine Hintertür in Ihrem System.
Es gibt keine einfache Möglichkeit, dem Kunden zu sagen, ob jemand dieses OoB-Verwaltungstool ohne Ihre Zustimmung verwendet. VPro kann jedoch so konfiguriert werden, dass Benutzer benachrichtigt werden, wenn eine Remotesitzung aktiv ist (abhängig von den Richtlinien Ihres Unternehmens).
Sie sollten den Client sofort bereitstellen, wenn die Out-of-Band-Verwaltung aktiviert ist, da vPro standardmäßig mit Stammzertifizierungsstellenschlüsseln bekannter Anbieter (z. B. VeriSign, GoDaddy) vorab bereitgestellt wird.
Dies bedeutet, dass ein Angreifer mit Zugriff auf Ihr Netzwerk ein AMT-Zertifikat erwerben und Ihre Computer bereitstellen kann, ohne dass Sie es jemals wissen.
vPro verwendet PKI und ein AMT-Bereitstellungszertifikat ist erforderlich, um den Client bereitzustellen. Am einfachsten ist es, ein AMT-Bereitstellungszertifikat von einem Anbieter zu erwerben.
Sie können ein selbstsigniertes Zertifikat verwenden, müssen sich jedoch vor der Bereitstellung von vPro mit PKI auskennen. Sie müssen entweder:
1) den Hersteller den Zertifikat-Hash in MEBx vorladen lassen (Es gibt Tools, mit denen Sie die Bereitstellungskonfiguration erstellen und den benutzerdefinierten Zertifikat-Hash über einen USB-Stick senden können.)
2) MEBx manuell auf JEDEM Computer konfigurieren mit Ihrem selbstsignierten Zertifikat-Hash.
Für das AMT-Bereitstellungszertifikat müssen Sie das PKI-Zertifikat mit einer OID von 2.16.840.1.113741.1.2.3 erstellen.
Wenn Sie eine Windows Server-basierte Zertifizierungsstelle verwenden, benötigen Sie Windows Server Enterprise oder besser, um benutzerdefinierte Zertifikatvorlagen zu erstellen.
Technet verfügt über Anweisungen dazu mit der Windows-Zertifizierungsstelle (siehe Link unten).
Wenn Sie Linux verwenden: Möglicherweise kann OpenSSL zum Erstellen des PKI-Zertifikats verwendet werden. Kann dies jemand bestätigen?
Sobald der Client ordnungsgemäß bereitgestellt wurde, ist er ziemlich sicher, da er nur einem Anrufer vertraut, der über den privaten AMT-Schlüssel verfügt, der dem Computer ursprünglich zugeordnet war.
Vorschläge:
Verwalten Sie vPro mit SCCM, es ist nicht kostenlos, aber es macht das Leben mit vPro VIEL einfacher, wenn es richtig konfiguriert ist. Sie erhalten auch alle Arten anderer Tricks zur Konfigurationsverwaltung, die sehr nützlich sind.
In Antworten und Kommentaren bereitgestellte Links:
vPro-Voraussetzungen und Kompromisse für den dc7800p Business-PC mit Intel vPro-Prozessortechnologie (PDF)
vPro-Sicherheit (Wikipedia)
Anfordern, Installieren und Vorbereiten des AMT-Bereitstellungszertifikats (MicroSoft TechNet)
hosts
Dateien ein Testdomänenname zugewiesen wird. Der Server hat jedoch über den Router Zugriff auf die reale Welt. Ich denke, ich sollte den eingehenden Datenverkehr an den für die Web- und Dateiserver verwendeten Ports blockieren. Eine andere Sache zu tun,