啟用 Intel vPro 時需要權衡取捨嗎?
啟用 vPro 是否會禁用或與任何其他功能發生衝突?
我正在配置 Dell Precision T1600 工作站。它將被添加到具有一台伺服器和兩台桌面的小型網路中:
- CentOS 伺服器用於通過 Samba 進行文件共享和託管以進行 Web 開發
- 用於開發和測試的 Windows Vista
- 用於開發和測試的 Windows XP Pro
- 千兆交換機
- 充當 DHCP 伺服器的路由器,但所有電腦都使用分配的 IP 地址
新工作站將配備帶 XP 模式的 Win 7 Pro。它將用於 Web 開發和圖形處理:Eclipse、Netbeans、Visual Studio、Photoshop 等。
為配置提供的帶外選項包括:
- 啟用英特爾博銳技術
- 英特爾標準可管理性
- 沒有帶外系統管理
我預計目前對帶外管理的需求不大,但計劃在未來繼續添加工作站。工作站將配備獨立顯卡,因此遠端 KVM 將不可用。
我希望 vPro 提供的功能可用,但我想知道是否有任何權衡。
是否應該為此問題添加或更改任何標籤?
以下是我在研究期間收藏的資訊:
我查看了英特爾博銳技術常見問題解答
它表示對性能沒有影響:
Q6:英特爾® 博銳™ 技術及其可管理引擎對 PC 性能有何影響?
A6:英特爾博銳技術對 PC 性能的影響對於最終使用者來說並不明顯。
我查看了維基百科條目Intel Active Management Technology,它沒有提到任何缺點。
我在Tom 的硬體網站上查看了使用 Intel 的 vPro 進行遠端 PC 管理,它沒有提到任何取捨。
從伺服器故障來看,amt 和 vPro 總共只有大約 15 個問題。我最喜歡這個,並查看了一些建議的連結。如何使用 vPro 管理 PC?
我查看了其他頁面,但以上是我收藏的頁面。
答案和評論中提供的資訊:
我的具體案例涉及工作站,但我將使用“客戶端”來表示啟用 vPro 的系統。
啟動 vPro 似乎不會施加任何限制,但如果在安裝期間未正確配置客戶端,它可能會產生安全問題。
vPro 必須在購買時啟用,否則將永久禁用。可以在 MEBx(管理引擎 BIOS 擴展)中暫時禁用它。
vPro 會導致記憶體使用量、功耗和網路性能下降。
(英特爾表示最終使用者不會注意到對 PC 性能的影響)
使用少量驅動器空間。
系統通電
$$ to some extent $$每時每刻。重要的是斷開 A/C 電源,而不是僅僅關閉機器電源以進行任何硬體安裝/更換。 您需要後端架構來支持它。
每台機器兩個 IP 地址(一個用於作業系統,一個用於 vPro)。
如果您的機器通過 DHCP 獲得分配,您可以同時使用一個。
如果您需要機器的固定地址,請改用 DHCP 保留。
安全和隱私影響:
您實際上是在系統中安裝後門。
如果有人在未經您同意的情況下使用此 OoB 管理工具,沒有簡單的方法可以從客戶端判斷,但 vPro 可以配置為在遠端會話處於活動狀態時向使用者提供通知(取決於您公司的政策)。
如果啟用了帶外管理,您應該立即配置客戶端,因為預設情況下,vPro 預先配置了來自知名供應商(例如 VeriSign、GoDaddy)的根 CA 密鑰。
這意味著可以訪問您的網路的攻擊者可以在您不知道的情況下購買 AMT 證書並配置您的機器。
vPro 使用 PKI,並且需要 AMT 配置證書來配置客戶端。最簡單的方法是從供應商處購買 AMT 配置證書。
您可以使用自簽名證書,但在部署 vPro 之前,您需要了解 PKI。您將需要:
讓供應商在 MEBx 中預載入證書雜湊(有一些工具可讓您創建配置配置並通過 USB 拇指驅動器發送自定義證書雜湊。)
在每台機器上手動配置 MEBx使用您的自簽名證書雜湊。
對於 AMT 配置證書,您必須創建 OID 為 2.16.840.1.113741.1.2.3 的 PKI 證書。
如果您使用基於 Windows Server 的 CA,則需要 Windows Server Enterprise 或更好的版本來執行自定義證書模板。
Technet 有使用 Windows 證書頒發機構執行此操作的說明(請參閱下面的連結)。
如果使用 Linux:可能可以使用 OpenSSL 創建 PKI 證書,有人可以確認嗎?
一旦正確配置了客戶端,它就非常安全,因為它只會信任擁有最初關聯機器的 AMT 私鑰的呼叫者。
建議:
使用 SCCM 管理 vPro,它不是免費的,但是一旦正確配置,它會使 vPro 的生活變得更加輕鬆。您還可以獲得非常有用的各種其他配置管理技巧。
答案和評論中提供的連結:
採用英特爾博銳處理器技術的 dc7800p 商務 PC 的博銳先決條件和權衡(PDF)
博銳安全(維基百科)
請求、安裝和準備 AMT 配置證書(MicroSoft TechNet)
無論如何,OOB 的實施都不是一件容易的事,並且需要大量的規劃和投資。僅僅打開 vPro 是不夠的,您還必須有後端架構來支持它。除非您準備好立即實施帶外管理,否則我的建議是關閉 vPro,因為預設情況下,vPro 預先配置了來自知名供應商(例如 VeriSign、GoDaddy)的根 CA 密鑰。可以訪問您的網路的攻擊者可以購買 AMT 證書並在您不知道的情況下配置您的機器…
由於 vPro 使用 PKI,一旦正確配置架構實際上是非常安全的,因為客戶端將只信任擁有最初關聯機器的 AMT 私鑰的呼叫者。vPro 可以配置為在遠端會話處於活動狀態時向使用者提供通知(取決於您公司的策略)。
話雖如此,我們的商店使用 vPro。我們管理著數百個沒有現場 IT 支持的遠端工作站。vPro 使我們能夠在硬體級別執行故障排除,並提供遠端開機功能,這些功能無法通過遠端桌面獲得。