Bất kỳ sự đánh đổi nào liên quan đến việc kích hoạt Intel vPro?


8

Có cho phép vPro vô hiệu hóa hoặc xung đột với bất kỳ chức năng nào khác không?

Tôi đang cấu hình máy trạm Dell Precision T1600. Nó sẽ được thêm vào một mạng nhỏ với một máy chủ và hai máy tính để bàn:

  • Máy chủ CentOS được sử dụng để chia sẻ tệp qua Samba và lưu trữ để phát triển web
  • Windows Vista được sử dụng để phát triển và thử nghiệm
  • Windows XP Pro được sử dụng để phát triển và thử nghiệm
  • Chuyển mạch Gigabit
  • Bộ định tuyến hoạt động như máy chủ DHCP, nhưng tất cả các máy tính đều sử dụng địa chỉ IP được gán

Máy trạm mới sẽ có Win 7 Pro với chế độ XP. Nó sẽ được sử dụng để phát triển web và xử lý đồ họa: Eclipse, Netbeans, Visual Studio, Photoshop, v.v.

Các tùy chọn Out-of-Band được cung cấp cho cấu hình là:

  • Công nghệ Intel vPro được kích hoạt
  • Khả năng quản lý tiêu chuẩn của Intel
  • Không quản lý hệ thống ngoài băng

Tôi không hy vọng sẽ có nhiều nhu cầu về quản lý Out-of Band vào thời điểm này, nhưng dự định sẽ tiếp tục thêm các máy trạm trong tương lai. Máy trạm sẽ có card đồ họa rời, do đó, KVM từ xa sẽ không khả dụng.

Tôi muốn có các khả năng do vPro cung cấp, nhưng tôi muốn biết liệu có bất kỳ sự đánh đổi nào liên quan hay không.

Có nên thêm hoặc thay đổi thẻ cho câu hỏi này không?


Đây là thông tin tôi đã đánh dấu trong quá trình nghiên cứu của mình:

Tôi đã xem Câu hỏi thường gặp về Công nghệ Intel vPro

Họ nói rằng không có tác động đến hiệu suất:
Q6: Tác động của công nghệ Intel® vPro ™ và Công cụ quản lý của nó đối với hiệu suất của PC là gì?
A6: Tác động của công nghệ Intel vPro đến hiệu suất của PC không đáng chú ý đối với người dùng cuối.

Tôi đã xem mục wikipedia Intel Active Management Technology , nó không đề cập đến bất kỳ nhược điểm nào.

Tôi đã xem Quản lý PC từ xa với vPro của Intel trên trang web phần cứng của Tom, nó không đề cập đến bất kỳ sự đánh đổi nào.

Từ lỗi máy chủ, chỉ có khoảng 15 câu hỏi cho amt và vPro kết hợp. Tôi thích cái này và xem xét một số liên kết được đề xuất. Làm cách nào để quản lý PC với vPro?

Các công cụ và tiện ích cho Intel vPro Technoloy

Tôi đã xem các trang bổ sung, nhưng trên đây là những trang tôi đã đánh dấu.


Thông tin được cung cấp trong câu trả lời và ý kiến:

Trường hợp cụ thể của tôi liên quan đến máy trạm, nhưng tôi sẽ sử dụng "máy khách" để thể hiện hệ thống mà vPro đang được bật.

Có vẻ như kích hoạt vPro không áp đặt bất kỳ giới hạn nào, nhưng nó có thể tạo ra các vấn đề bảo mật nếu máy khách không được cung cấp đúng cách trong khi cài đặt.

vPro phải được kích hoạt khi mua hoặc nó bị vô hiệu hóa vĩnh viễn. Có thể tạm thời vô hiệu hóa nó trong MEBx (Phần mở rộng BIOS quản lý).

vPro gây tăng sử dụng bộ nhớ, tiêu thụ năng lượng và giảm hiệu suất mạng.
(Intel tuyên bố rằng tác động đến hiệu suất của PC không đáng chú ý đối với người dùng cuối)

Một lượng nhỏ dung lượng ổ đĩa được sử dụng.

Hệ thống được cung cấp [đến một mức độ nào đó] mọi lúc. Điều quan trọng là ngắt kết nối nguồn A / C, thay vì chỉ tắt nguồn máy để thực hiện bất kỳ cài đặt / thay thế phần cứng nào.

Bạn cần kiến ​​trúc back-end để hỗ trợ nó.

Hai địa chỉ IP trên mỗi máy (một cho HĐH và một cho vPro).
Nếu máy của bạn nhận bài tập qua DHCP, bạn có thể sử dụng một cho cả hai.
Nếu bạn cần một địa chỉ cố định cho máy, hãy sử dụng đặt chỗ DHCP thay thế.


Ý nghĩa bảo mật và quyền riêng tư:

Về cơ bản, bạn đang cài đặt một cửa hậu vào hệ thống của bạn.

Không có cách nào dễ dàng để nói với khách hàng nếu ai đó sử dụng công cụ quản lý OoB này mà không có sự đồng ý của bạn, nhưng vPro có thể được cấu hình để cung cấp thông báo cho người dùng khi phiên từ xa hoạt động (tùy thuộc vào chính sách của công ty bạn).

Bạn nên cung cấp ngay cho khách hàng nếu bật quản lý ngoài băng tần, bởi vì theo mặc định, vPro được cung cấp trước với các khóa CA gốc từ các nhà cung cấp nổi tiếng (ví dụ: VeriSign, GoDaddy).
Điều này có nghĩa là kẻ tấn công có quyền truy cập vào mạng của bạn có thể mua chứng chỉ AMT và cung cấp máy của bạn mà bạn không hề biết.

vPro sử dụng PKI và cần có chứng chỉ cung cấp AMT để cung cấp cho khách hàng. Cách tiếp cận đơn giản nhất là mua chứng chỉ cung cấp AMT từ nhà cung cấp.

Bạn có thể sử dụng chứng chỉ tự ký, nhưng bạn sẽ cần phải hiểu biết về PKI trước khi triển khai vPro. Bạn sẽ cần:
1) yêu cầu nhà cung cấp tải trước băm chứng chỉ trong MEBx (Có các công cụ cho phép bạn tạo cấu hình cung cấp và gửi băm chứng chỉ tùy chỉnh qua USB Thumbdrive.)
2) tự cấu hình MEBx trên máy MERYI với băm chứng chỉ tự ký của bạn.

Đối với chứng chỉ cung cấp AMT, bạn phải tạo chứng chỉ PKI với OID là 2.16.840.1.113741.1.2.3.

Nếu bạn sử dụng CA dựa trên Windows Server, bạn sẽ cần Windows Server Enterprise hoặc tốt hơn để thực hiện các mẫu chứng chỉ tùy chỉnh.
Technet có hướng dẫn để làm điều này với Cơ quan chứng nhận Windows (xem liên kết bên dưới).

Nếu sử dụng Linux: có thể sử dụng OpenSSL để tạo chứng chỉ PKI, bất cứ ai cũng có thể xác nhận điều này?

Khi khách hàng được cung cấp đúng cách, nó khá an toàn, vì nó sẽ chỉ tin tưởng một người gọi sở hữu khóa riêng AMT ban đầu liên kết với máy.


Gợi ý:
Quản lý vPro bằng SCCM, nó không miễn phí, nhưng nó giúp cuộc sống với vPro A RẤT dễ dàng hơn khi được cấu hình đúng. Bạn cũng nhận được tất cả các loại thủ thuật quản lý cấu hình khác rất hữu ích.


Liên kết được cung cấp trong câu trả lời và nhận xét:
Điều kiện tiên quyết và đánh đổi vPro cho PC doanh nghiệp dc7800p với Công nghệ xử lý Intel vPro (PDF)

bảo mật vPro (Wikipedia)

Yêu cầu, cài đặt và chuẩn bị chứng chỉ cung cấp AMT (MicroSoft TechNet)


1
Hoàn toàn lạc đề với câu hỏi của bạn nhưng liên quan đến bảo mật và cá nhân tôi thấy đây là một rủi ro lớn hơn ... bạn đã đề cập đến việc chia sẻ tệp và lưu trữ web trên cùng một máy chủ ... vì vậy, nếu ai đó chỉ lấy ví dụ như hack vào trang web của bạn thông qua nhiều phương tiện khác nhau ... giờ đây anh ấy / cô ấy sẽ có quyền truy cập TẤT CẢ dữ liệu của bạn trên các chia sẻ đó. Bạn có thể chấp nhận rủi ro đó cho công ty?
Lạnh T

Tôi đã không nghĩ về điều này bởi vì các trang web được phát triển và truy cập bằng cách gán một tên miền thử nghiệm cho địa chỉ IP mạng của máy chủ web trong các hoststệp khách hàng . Nhưng máy chủ có quyền truy cập vào thế giới thực thông qua bộ định tuyến, tôi đoán rằng tôi nên chặn lưu lượng truy cập đến trên các cổng được sử dụng cho máy chủ web và tệp. Một việc khác để làm, Cảm ơn rất nhiều :)
codewaggle

Câu trả lời:


6

Việc thực hiện OOB không phải là một bài tập tầm thường bởi bất kỳ sự kéo dài nào, và cần một lượng kế hoạch và đầu tư đáng kể. Đơn giản chỉ cần bật vPro là không đủ, bạn phải có kiến ​​trúc back-end để hỗ trợ nó. Trừ khi bạn sẵn sàng thực hiện ngay việc quản lý ngoài băng tần, tôi khuyên bạn nên tắt vPro, vì theo mặc định, vPro được cung cấp trước các khóa CA gốc từ các nhà cung cấp nổi tiếng (ví dụ VeriSign, GoDaddy). Kẻ tấn công có quyền truy cập vào mạng của bạn có thể mua chứng chỉ AMT và cung cấp máy của bạn mà bạn không bao giờ biết ...

Vì vPro sử dụng PKI, nên khi được cung cấp đúng cách, kiến ​​trúc thực sự khá an toàn, vì khi đó khách hàng sẽ chỉ tin tưởng một người gọi sở hữu khóa riêng AMT liên kết ban đầu với máy. vPro có thể được cấu hình để cung cấp thông báo cho người dùng khi phiên từ xa được kích hoạt (tùy thuộc vào chính sách của công ty bạn).

Như đã nói, cửa hàng của chúng tôi sử dụng vPro. Chúng tôi quản lý hàng trăm máy trạm từ xa không có hỗ trợ CNTT tại chỗ. vPro cung cấp cho chúng tôi khả năng thực hiện khắc phục sự cố ở cấp phần cứng và cung cấp khả năng bật nguồn từ xa, các tính năng không khả dụng qua máy tính để bàn từ xa.


Phần "Giúp tôi chọn" của Dell nói rằng nếu bạn không kích hoạt quản lý Ngoài băng khi mua, thì không thể thêm vào sau, đó là lý do tại sao tôi đang cố gắng quyết định ngay bây giờ. Có vẻ như điều tối thiểu tôi cần làm là thiết lập một chứng chỉ và cung cấp máy trạm (mà tôi sẽ cần tìm hiểu cách làm). Tôi có thể sử dụng chứng chỉ tự ký không?
mã hóa

Bạn đã đúng, nếu bạn không chọn nó khi bạn đặt hàng máy, bạn không thể lấy lại sau (tính năng này bị tắt vĩnh viễn). Vì vậy, hãy tiếp tục và đặt hàng, chỉ cần đảm bảo rằng bạn vô hiệu hóa nó trong MEBx cho đến khi bạn sẵn sàng sử dụng nó. - Bạn có thể sử dụng chứng chỉ tự ký, nhưng sẽ cần: 1) Dell tải trước dấu vân tay trong MEBx hoặc 2) tự cấu hình MEBx trên máy MERYI bằng dấu vân tay tự ký của bạn (không khó lắm, chỉ cần một cái gì đó để coi chừng). Có những công cụ hiện có cho phép bạn tạo cấu hình cung cấp và gửi dấu vân tay tùy chỉnh qua ngón tay cái USB.
newmanth

Để bạn biết, nếu bạn đang sử dụng địa chỉ IP tĩnh cho máy trạm của mình, bạn sẽ cần hai địa chỉ cho mỗi máy (một cho HĐH và một cho vPro). Nếu máy của bạn nhận được bài tập của mình qua DHCP, bạn có thể sử dụng một cho cả hai (mà cá nhân tôi khuyên dùng). Nếu bạn cần một địa chỉ cố định cho máy, hãy sử dụng đặt chỗ DHCP thay thế. - Ngoài ra, chúng tôi quản lý vPro bằng SCCM, một điều tôi cũng khuyên dùng. Tôi biết nó không miễn phí (và tôi không làm việc cho M $), nhưng nó giúp cuộc sống với vPro A RẤT dễ dàng hơn khi được cấu hình đúng. Bạn cũng nhận được tất cả các loại thủ thuật quản lý cấu hình khác rất hữu ích.
newmanth

Khi bạn đề cập đến các khóa CA gốc, tôi đã nghĩ đến những khóa được sử dụng cho chứng chỉ SSL. Tôi đã tạo các certs tự ký để sử dụng trên các máy chủ web phát triển bằng lệnh openssl linux, tôi không có đầu đọc dấu vân tay, chứng chỉ openssl có đủ không? Tôi đã đọc được rằng kết nối ngoài băng tần sử dụng địa chỉ IP của chính nó, tôi sử dụng các đặt chỗ DHCP để gán địa chỉ IP, vì vậy nghe có vẻ như vậy là ổn. Tôi sẽ xem xét SCCM, nhưng hy vọng sẽ sử dụng một ứng dụng miễn phí để tìm hiểu theo cách của mình vì tôi sẽ chỉ có một máy kích hoạt vPro vào thời điểm này.
mã hóa

Xin lỗi, tôi không rõ ... khi tôi nói đến dấu vân tay, tôi đang nói về hàm băm chứng chỉ (không phải là dấu vân tay thực tế: P). Đối với chứng chỉ cung cấp AMT, bạn phải tạo chứng chỉ PKI với OID là 2.16.840.1.113741.1.2.3. Tôi đã không làm điều này với OpenSSL, nhưng nó có thể. Chúng tôi sử dụng CA dựa trên Windows Server, vì vậy đó là cách chúng tôi đã làm. Technet có hướng dẫn để thực hiện việc này với Cơ quan chứng nhận Windows tại technet.microsoft.com/en-us/l Library / . Tuy nhiên, bạn sẽ cần Windows Server Enterprise hoặc tốt hơn để làm các mẫu chứng chỉ tùy chỉnh.
newmanth

4

Vâng, có sự đánh đổi liên quan và tôi nghi ngờ một tìm kiếm nhanh của Google đã cho bạn biết hầu hết những điều này rồi, nhưng đã nói rằng, hãy kiểm tra tài liệu HP này về sự đánh đổi cho phép các chuyên gia CNTT . Đó là mô hình cụ thể của HP, nhưng trường hợp chung là giống nhau cho bất kỳ hệ thống nào bạn sử dụng vpro.

Ngoài sự gia tăng dự kiến ​​về mức sử dụng bộ nhớ, mức tiêu thụ năng lượng và hiệu suất mạng giảm (ồ, và mức sử dụng dung lượng ổ đĩa nhỏ), đáng chú ý là việc cho phép điều này sẽ dẫn đến việc hệ thống luôn được cung cấp năng lượng [ở một mức độ nào đó]. Một vài watt năng lượng lãng phí không nhiều so với cảnh báo quan trọng mà bạn sẽ cần ngắt kết nối nguồn A / C, thay vì chỉ tắt nguồn máy để thực hiện bất kỳ cài đặt / thay thế phần cứng nào. (Dù sao thì cũng tốt, nhưng hầu hết mọi người không bận tâm.)

Và sau đó, những gì có lẽ bởi mối quan tâm lớn nhất là ý nghĩa bảo mật và quyền riêng tư. Vì không có cách nào dễ dàng để nói với máy trạm nếu ai đó sử dụng công cụ quản lý OoB này mà không có sự đồng ý của bạn, bạn thực sự chắc chắn rằng bảo mật của mình sẽ bị chặn, và mạng của bạn được tăng cường hợp lý chống lại sự xâm nhập trước khi thực hiện bất cứ điều gì như thế này.

Wikipedia có thêm một số ý nghĩa về bảo mật và quyền riêng tư , nhưng lời khuyên của tôi là nếu bạn không cần hoặc có kế hoạch sử dụng quản lý OoB, bạn sẽ cài đặt một cửa hậu vào hệ thống của bạn mà không có lý do. Vì vậy, không. Thực sự, đó là một máy trạm, những ứng dụng KVM từ xa nào bạn thấy cần cho việc này mà bạn không thể làm với Remote Desktop?


Tôi đã làm nhiều hơn một tìm kiếm nhanh trên Google và dành hàng giờ để nghiên cứu trước khi đặt câu hỏi, thật không may, tôi không am hiểu về các vấn đề CNTT và không thể xác định câu trả lời cho câu hỏi của mình bằng cách xem thông tin có sẵn. Tôi sẽ thêm thông tin bổ sung về những gì tôi đã xem vào câu trả lời của mình.
mã hóa

Tôi dành phần lớn thời gian của mình cho stackoverflow và thực sự đã gợi ý cho mọi người rằng họ bao gồm thông tin về những gì họ đã thử hoặc tìm ra trong câu hỏi của họ. Có vẻ như tôi nên có lời khuyên của riêng tôi. Một điều khiến tôi chú ý trong tài liệu HP là phần "Sao chép ổ cứng" trong đó nói rằng vì bộ điều khiển mạng được ảo hóa, bạn bị hạn chế sử dụng ổ đĩa có cùng kích thước khi sao chép qua phần mềm. Tài liệu là từ năm 2007, vì vậy tôi đã tự hỏi nếu đó vẫn là trường hợp. Tôi đã dành một chút thời gian để xem xét nó nhưng không tìm thấy gì. Có lẽ tôi sẽ tạo một câu hỏi về nó.
mã hóa
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.