Gibt es Kompromisse bei der Aktivierung von Intel vPro?

8

Deaktiviert oder widerspricht das Aktivieren von vPro anderen Funktionen?

Ich konfiguriere eine Dell Precision T1600-Workstation. Es wird einem kleinen Netzwerk mit einem Server und zwei Desktops hinzugefügt:

  • CentOS-Server für die gemeinsame Nutzung von Dateien über Samba und das Hosting für die Webentwicklung
  • Windows Vista wird zum Entwickeln und Testen verwendet
  • Windows XP Pro wird zum Entwickeln und Testen verwendet
  • Gigabit-Switch
  • Router, der als DHCP-Server fungiert, aber alle Computer zugewiesene IP-Adressen verwenden

Die neue Workstation verfügt über Win 7 Pro mit XP-Modus. Es wird für die Webentwicklung und Grafikverarbeitung verwendet: Eclipse, Netbeans, Visual Studio, Photoshop usw.

Die für die Konfiguration angebotenen Out-of-Band-Optionen sind:

  • Intel vPro-Technologie aktiviert
  • Intel Standard Verwaltbarkeit
  • Kein Out-of-Band-Systemmanagement

Ich erwarte derzeit keinen großen Bedarf an Out-of-Band-Management, plane jedoch, in Zukunft weitere Workstations hinzuzufügen. Die Workstation verfügt über eine diskrete Grafikkarte, sodass Remote KVM nicht verfügbar ist.

Ich möchte die von vPro angebotenen Funktionen zur Verfügung haben, möchte aber wissen, ob es irgendwelche Kompromisse gibt.

Sollten Tags für diese Frage hinzugefügt oder geändert werden?


Hier sind die Informationen, die ich während meiner Recherche mit einem Lesezeichen versehen habe:

Ich habe mir die häufig gestellten Fragen zur Intel vPro-Technologie angesehen

Es gab keine Auswirkungen auf die Leistung:
F6: Welche Auswirkungen hat die Intel® vPro ™ -Technologie und ihre Manageability Engine auf die Leistung des PCs?
A6: Die Auswirkungen der Intel vPro-Technologie auf die PC-Leistung sind für den Endbenutzer nicht erkennbar.

Ich habe mir den Wikipedia-Eintrag Intel Active Management Technology angesehen , in dem keine Nachteile erwähnt wurden.

Ich habe mir Remote PC Management mit Intels vPro auf der Hardware-Site von Tom angesehen und dabei keine Kompromisse erwähnt.

Aufgrund eines Serverfehlers gab es nur etwa 15 Fragen für amt und vPro zusammen. Ich habe diesen favorisiert und mir einige der vorgeschlagenen Links angesehen. Wie verwalte ich PCs mit vPro?

Tools und Dienstprogramme für Intel vPro Technoloy

Ich habe mir zusätzliche Seiten angesehen, aber die oben genannten sind diejenigen, die ich mit einem Lesezeichen versehen habe.


Informationen in Antworten und Kommentaren:

Mein spezieller Fall betrifft eine Workstation, aber ich werde "Client" verwenden, um das System darzustellen, auf dem vPro aktiviert ist.

Es scheint, dass die Aktivierung von vPro keine Einschränkungen mit sich bringt, aber Sicherheitsprobleme verursachen kann, wenn der Client während der Installation nicht ordnungsgemäß bereitgestellt wird.

vPro muss beim Kauf aktiviert sein oder ist dauerhaft deaktiviert. Kann es vorübergehend in MEBx (Management Engine BIOS Extension) deaktivieren.

vPro führt zu einer erhöhten Speichernutzung, einem höheren Stromverbrauch und einer verringerten Netzwerkleistung.
(Intel gibt an, dass die Auswirkungen auf die PC-Leistung für den Endbenutzer nicht spürbar sind.)

Es wird wenig Speicherplatz verwendet.

Das System wird [bis zu einem gewissen Grad] jederzeit mit Strom versorgt. Es ist wichtig, die Klimaanlage zu trennen, anstatt nur die Maschine auszuschalten, um Hardwareinstallationen / -austausch durchzuführen.

Sie benötigen die Back-End-Architektur, um dies zu unterstützen.

Zwei IP-Adressen pro Computer (eine für das Betriebssystem und eine für vPro).
Wenn Ihre Computer ihre Zuweisungen über DHCP erhalten, können Sie eine für beide verwenden.
Wenn Sie eine feste Adresse für einen Computer benötigen, verwenden Sie stattdessen eine DHCP-Reservierung.


Auswirkungen auf Sicherheit und Datenschutz:

Sie installieren im Wesentlichen eine Hintertür in Ihrem System.

Es gibt keine einfache Möglichkeit, dem Kunden zu sagen, ob jemand dieses OoB-Verwaltungstool ohne Ihre Zustimmung verwendet. VPro kann jedoch so konfiguriert werden, dass Benutzer benachrichtigt werden, wenn eine Remotesitzung aktiv ist (abhängig von den Richtlinien Ihres Unternehmens).

Sie sollten den Client sofort bereitstellen, wenn die Out-of-Band-Verwaltung aktiviert ist, da vPro standardmäßig mit Stammzertifizierungsstellenschlüsseln bekannter Anbieter (z. B. VeriSign, GoDaddy) vorab bereitgestellt wird.
Dies bedeutet, dass ein Angreifer mit Zugriff auf Ihr Netzwerk ein AMT-Zertifikat erwerben und Ihre Computer bereitstellen kann, ohne dass Sie es jemals wissen.

vPro verwendet PKI und ein AMT-Bereitstellungszertifikat ist erforderlich, um den Client bereitzustellen. Am einfachsten ist es, ein AMT-Bereitstellungszertifikat von einem Anbieter zu erwerben.

Sie können ein selbstsigniertes Zertifikat verwenden, müssen sich jedoch vor der Bereitstellung von vPro mit PKI auskennen. Sie müssen entweder:
1) den Hersteller den Zertifikat-Hash in MEBx vorladen lassen (Es gibt Tools, mit denen Sie die Bereitstellungskonfiguration erstellen und den benutzerdefinierten Zertifikat-Hash über einen USB-Stick senden können.)
2) MEBx manuell auf JEDEM Computer konfigurieren mit Ihrem selbstsignierten Zertifikat-Hash.

Für das AMT-Bereitstellungszertifikat müssen Sie das PKI-Zertifikat mit einer OID von 2.16.840.1.113741.1.2.3 erstellen.

Wenn Sie eine Windows Server-basierte Zertifizierungsstelle verwenden, benötigen Sie Windows Server Enterprise oder besser, um benutzerdefinierte Zertifikatvorlagen zu erstellen.
Technet verfügt über Anweisungen dazu mit der Windows-Zertifizierungsstelle (siehe Link unten).

Wenn Sie Linux verwenden: Möglicherweise kann OpenSSL zum Erstellen des PKI-Zertifikats verwendet werden. Kann dies jemand bestätigen?

Sobald der Client ordnungsgemäß bereitgestellt wurde, ist er ziemlich sicher, da er nur einem Anrufer vertraut, der über den privaten AMT-Schlüssel verfügt, der dem Computer ursprünglich zugeordnet war.


Vorschläge:
Verwalten Sie vPro mit SCCM, es ist nicht kostenlos, aber es macht das Leben mit vPro VIEL einfacher, wenn es richtig konfiguriert ist. Sie erhalten auch alle Arten anderer Tricks zur Konfigurationsverwaltung, die sehr nützlich sind.


In Antworten und Kommentaren bereitgestellte Links:
vPro-Voraussetzungen und Kompromisse für den dc7800p Business-PC mit Intel vPro-Prozessortechnologie (PDF)

vPro-Sicherheit (Wikipedia)

Anfordern, Installieren und Vorbereiten des AMT-Bereitstellungszertifikats (MicroSoft TechNet)

Codewaggle
quelle
1
Völlig außerhalb des Themas Ihrer Frage, aber in Bezug auf die Sicherheit, und ich persönlich sehe dies als ein größeres Risiko an ... Sie haben die gemeinsame Nutzung von Dateien und das Webhosting auf demselben Server erwähnt ... also, wenn sich zum Beispiel jemand von Ihnen in Ihre Website selbst gehackt hat über verschiedene Mittel ... er / sie hätte jetzt möglicherweise Zugriff auf ALLE Ihre Daten auf diesen Freigaben. Können Sie sich dieses Risiko für das Unternehmen leisten?
Cold T
Ich hatte nicht darüber nachgedacht, da die Websites für die Entwicklung und den Zugriff vorgesehen sind, indem der Netzwerk-IP-Adresse des Webservers in den Client- hostsDateien ein Testdomänenname zugewiesen wird. Der Server hat jedoch über den Router Zugriff auf die reale Welt. Ich denke, ich sollte den eingehenden Datenverkehr an den für die Web- und Dateiserver verwendeten Ports blockieren. Eine andere Sache zu tun,
vielen

Antworten:

6

Die Implementierung von OOB ist keineswegs trivial und erfordert einen erheblichen Planungs- und Investitionsaufwand. Das einfache Einschalten von vPro reicht nicht aus. Sie müssen über die Back-End-Architektur verfügen, um dies ebenfalls zu unterstützen. Sofern Sie nicht bereit sind, die Out-of-Band-Verwaltung sofort zu implementieren, empfehle ich, vPro deaktiviert zu lassen, da vPro standardmäßig mit Stammzertifizierungsstellenschlüsseln bekannter Anbieter (z. B. VeriSign, GoDaddy) ausgestattet ist. Ein Angreifer mit Zugriff auf Ihr Netzwerk kann ein AMT-Zertifikat erwerben und Ihre Computer bereitstellen, ohne dass Sie jemals wissen ...

Da vPro PKI verwendet, ist die Architektur nach ordnungsgemäßer Bereitstellung tatsächlich ziemlich sicher, da Clients nur einem Anrufer vertrauen, der über den privaten AMT-Schlüssel verfügt, der dem Computer ursprünglich zugeordnet war. vPro kann so konfiguriert werden, dass Benutzer benachrichtigt werden, wenn eine Remotesitzung aktiv ist (abhängig von den Richtlinien Ihres Unternehmens).

In unserem Shop wird vPro verwendet. Wir verwalten mehrere hundert Remote-Workstations ohne IT-Unterstützung vor Ort. Mit vPro können wir Fehlerbehebung auf Hardwareebene durchführen und Remote-Einschaltfunktionen bereitstellen, Funktionen, die nicht über Remotedesktop verfügbar sind.

Newmanth
quelle
Im Dell- Abschnitt "Hilfe bei der Auswahl" heißt es, dass die Out-of-Band-Verwaltung beim Kauf nicht später hinzugefügt werden kann. Deshalb versuche ich jetzt zu entscheiden. Es klingt so, als müsste ich mindestens ein Zertifikat einrichten und die Workstation bereitstellen (was ich tun muss, um herauszufinden, wie es geht). Kann ich ein selbstsigniertes Zertifikat verwenden?
Codewaggle
Sie haben Recht, wenn Sie es bei der Bestellung Ihres Geräts nicht auswählen, können Sie es später nicht mehr erhalten (die Funktion ist dauerhaft deaktiviert). Bestellen Sie es also, stellen Sie einfach sicher, dass Sie es in MEBx deaktivieren, bis Sie bereit sind, es zu verwenden. - Sie können ein selbstsigniertes Zertifikat verwenden, müssen jedoch entweder: 1) Dell den Fingerabdruck in MEBx vorladen lassen oder 2) MEBx auf JEDEM Computer manuell mit Ihrem selbstsignierten Fingerabdruck konfigurieren (nicht wirklich so schwer, nur etwas zu tun) beachten). Es gibt Tools, mit denen Sie die Bereitstellungskonfiguration erstellen und den benutzerdefinierten Fingerabdruck über einen USB-Stick senden können.
Newmanth
Wenn Sie statische IP-Adressen für Ihre Workstations verwenden, benötigen Sie zwei pro Computer (eine für das Betriebssystem und eine für vPro). Wenn Ihre Maschinen ihre Aufgaben über DHCP erhalten, können Sie eine für beide verwenden (was ich persönlich empfehle). Wenn Sie eine feste Adresse für einen Computer benötigen, verwenden Sie stattdessen eine DHCP-Reservierung. - Außerdem verwalten wir vPro mit SCCM, was ich ebenfalls empfehle. Ich weiß, dass es nicht kostenlos ist (und ich arbeite nicht für M $), aber es macht das Leben mit vPro VIEL einfacher, wenn es richtig konfiguriert ist. Sie erhalten auch alle Arten anderer Tricks zur Konfigurationsverwaltung, die sehr nützlich sind.
Newmanth
Als Sie die CA-Schlüssel erwähnten, dachte ich an die für SSL-Zertifikate verwendeten. Ich habe selbstsignierte Zertifikate für die Verwendung auf Entwicklungswebservern mit dem Linux-Befehl openssl erstellt. Ich habe keinen Fingerabdruckleser. Würde das openssl-Zertifikat ausreichen? Ich habe gelesen, dass die Out-of-Band-Verbindung ihre eigene IP-Adresse verwendet. Ich verwende DHCP-Reservierungen, um die IP-Adressen zuzuweisen. Es klingt also so, als ob dies in Ordnung sein sollte. Ich werde mir SCCM ansehen, hatte aber gehofft, eine kostenlose App zu verwenden, um mich zurechtzufinden, da ich zu diesem Zeitpunkt nur einen vPro-fähigen Computer haben werde.
Codewaggle
Entschuldigung, ich war mir nicht sicher ... als ich mich auf den Fingerabdruck bezog, spreche ich über den Zertifikat-Hash (kein tatsächlicher Fingerabdruck: P). Für das AMT-Bereitstellungszertifikat müssen Sie ein PKI-Zertifikat mit einer OID von 2.16.840.1.113741.1.2.3 erstellen. Ich habe dies nicht mit OpenSSL gemacht, aber es sollte möglich sein. Wir verwenden eine Windows Server-basierte Zertifizierungsstelle. Technet hat Anweisungen dazu bei der Windows-Zertifizierungsstelle unter technet.microsoft.com/en-us/library/… . Sie benötigen jedoch Windows Server Enterprise oder besser, um benutzerdefinierte Zertifikatvorlagen zu erstellen.
Newmanth
4

Ja, es gibt Kompromisse, und ich vermute, eine schnelle Google-Suche hätte Ihnen das meiste davon bereits gesagt. Überprüfen Sie jedoch in diesem HP Dokument die Kompromisse bei der Aktivierung von vpro für IT-Experten . Es ist für dieses spezielle HP-Modell, aber der allgemeine Fall ist für jedes System, auf dem Sie vpro verwenden, der gleiche.

Abgesehen von der erwarteten Zunahme der Speichernutzung, des Stromverbrauchs und der verringerten Netzwerkleistung (oh, und der geringen Speicherplatznutzung) ist es erwähnenswert, dass die Aktivierung dies dazu führt, dass das System jederzeit [bis zu einem gewissen Grad] mit Strom versorgt wird. Die wenigen Watt Energie, die verschwendet werden, sind nicht viel im Vergleich zu der wichtigen Einschränkung, dass Sie die Klimaanlage abschalten müssen, anstatt nur die Maschine auszuschalten, um Hardwareinstallationen / -austausch durchzuführen. (Gute Praxis trotzdem, aber die meisten Leute kümmern sich nicht darum.)

Und was dann wahrscheinlich die größte Sorge wäre, sind die Auswirkungen auf Sicherheit und Datenschutz. Da es keine einfache Möglichkeit gibt, von der Workstation aus zu erkennen, ob jemand dieses OoB-Verwaltungstool ohne Ihre Zustimmung verwendet, sollten Sie wirklich sicherstellen, dass Ihre Sicherheit dem Schnupftabak entspricht und Ihr Netzwerk gegen Eingriffe einigermaßen gut abgesichert ist, bevor Sie so etwas implementieren.

Wikipedia hat einige weitere Informationen zu den Auswirkungen auf Sicherheit und Datenschutz. Mein Rat ist jedoch, dass Sie ohne Grund eine Hintertür in Ihr System installieren, wenn Sie die OoB-Verwaltung nicht benötigen oder planen. Also nicht. Wirklich, es ist eine Workstation. Welche Remote-KVM-Anwendungen benötigen Sie dafür, die Sie mit Remote Desktop nicht ausführen können?

HopelessN00b
quelle
Ich habe mehr als eine schnelle Google-Suche durchgeführt und stundenlang recherchiert, bevor ich die Frage gestellt habe. Leider kenne ich mich mit IT-Fragen nicht so gut aus und konnte die Antwort auf meine Frage nicht anhand der verfügbaren Informationen ermitteln. Ich werde meiner Antwort zusätzliche Informationen zu dem hinzufügen, was ich mir angesehen habe.
Codewaggle
Ich verbringe die meiste Zeit mit Stackoverflow und habe den Leuten tatsächlich vorgeschlagen, Informationen darüber aufzunehmen, was sie in ihrer Frage versucht oder herausgefunden haben. Scheint, als sollte ich meinen eigenen Rat befolgen. Eine Sache, die mir im HP Dokument aufgefallen ist, war der Abschnitt "Festplatten-Duplizierung", in dem es heißt, dass Sie beim Klonen über Software nur Laufwerke derselben Größe verwenden dürfen, da der Netzwerkcontroller virtualisiert ist. Das Dokument stammt aus dem Jahr 2007, also habe ich mich gefragt, ob das noch der Fall ist. Ich habe einige Zeit damit verbracht, mich damit zu beschäftigen, aber nichts gefunden. Vielleicht stelle ich eine Frage dazu.
Codewaggle