Gibt es Kompromisse bei der Aktivierung von Intel vPro?

Deaktiviert oder widerspricht das Aktivieren von vPro anderen Funktionen?

Ich konfiguriere eine Dell Precision T1600-Workstation. Es wird einem kleinen Netzwerk mit einem Server und zwei Desktops hinzugefügt:

• CentOS-Server für die gemeinsame Nutzung von Dateien über Samba und das Hosting für die Webentwicklung
• Windows Vista wird zum Entwickeln und Testen verwendet
• Windows XP Pro wird zum Entwickeln und Testen verwendet
• Gigabit-Switch
• Router, der als DHCP-Server fungiert, aber alle Computer zugewiesene IP-Adressen verwenden

Die neue Workstation verfügt über Win 7 Pro mit XP-Modus. Es wird für die Webentwicklung und Grafikverarbeitung verwendet: Eclipse, Netbeans, Visual Studio, Photoshop usw.

Die für die Konfiguration angebotenen Out-of-Band-Optionen sind:

• Intel vPro-Technologie aktiviert
• Intel Standard Verwaltbarkeit
• Kein Out-of-Band-Systemmanagement

Ich erwarte derzeit keinen großen Bedarf an Out-of-Band-Management, plane jedoch, in Zukunft weitere Workstations hinzuzufügen. Die Workstation verfügt über eine diskrete Grafikkarte, sodass Remote KVM nicht verfügbar ist.

Ich möchte die von vPro angebotenen Funktionen zur Verfügung haben, möchte aber wissen, ob es irgendwelche Kompromisse gibt.

Sollten Tags für diese Frage hinzugefügt oder geändert werden?

Hier sind die Informationen, die ich während meiner Recherche mit einem Lesezeichen versehen habe:

Ich habe mir die häufig gestellten Fragen zur Intel vPro-Technologie angesehen

Es gab keine Auswirkungen auf die Leistung:
F6: Welche Auswirkungen hat die Intel® vPro ™ -Technologie und ihre Manageability Engine auf die Leistung des PCs?
A6: Die Auswirkungen der Intel vPro-Technologie auf die PC-Leistung sind für den Endbenutzer nicht erkennbar.

Ich habe mir den Wikipedia-Eintrag Intel Active Management Technology angesehen , in dem keine Nachteile erwähnt wurden.

Ich habe mir Remote PC Management mit Intels vPro auf der Hardware-Site von Tom angesehen und dabei keine Kompromisse erwähnt.

Aufgrund eines Serverfehlers gab es nur etwa 15 Fragen für amt und vPro zusammen. Ich habe diesen favorisiert und mir einige der vorgeschlagenen Links angesehen. Wie verwalte ich PCs mit vPro?

Tools und Dienstprogramme für Intel vPro Technoloy

Ich habe mir zusätzliche Seiten angesehen, aber die oben genannten sind diejenigen, die ich mit einem Lesezeichen versehen habe.

Informationen in Antworten und Kommentaren:

Mein spezieller Fall betrifft eine Workstation, aber ich werde "Client" verwenden, um das System darzustellen, auf dem vPro aktiviert ist.

Es scheint, dass die Aktivierung von vPro keine Einschränkungen mit sich bringt, aber Sicherheitsprobleme verursachen kann, wenn der Client während der Installation nicht ordnungsgemäß bereitgestellt wird.

vPro muss beim Kauf aktiviert sein oder ist dauerhaft deaktiviert. Kann es vorübergehend in MEBx (Management Engine BIOS Extension) deaktivieren.

vPro führt zu einer erhöhten Speichernutzung, einem höheren Stromverbrauch und einer verringerten Netzwerkleistung.
(Intel gibt an, dass die Auswirkungen auf die PC-Leistung für den Endbenutzer nicht spürbar sind.)

Es wird wenig Speicherplatz verwendet.

Das System wird [bis zu einem gewissen Grad] jederzeit mit Strom versorgt. Es ist wichtig, die Klimaanlage zu trennen, anstatt nur die Maschine auszuschalten, um Hardwareinstallationen / -austausch durchzuführen.

Sie benötigen die Back-End-Architektur, um dies zu unterstützen.

Zwei IP-Adressen pro Computer (eine für das Betriebssystem und eine für vPro).
Wenn Ihre Computer ihre Zuweisungen über DHCP erhalten, können Sie eine für beide verwenden.
Wenn Sie eine feste Adresse für einen Computer benötigen, verwenden Sie stattdessen eine DHCP-Reservierung.

Auswirkungen auf Sicherheit und Datenschutz:

Sie installieren im Wesentlichen eine Hintertür in Ihrem System.

Es gibt keine einfache Möglichkeit, dem Kunden zu sagen, ob jemand dieses OoB-Verwaltungstool ohne Ihre Zustimmung verwendet. VPro kann jedoch so konfiguriert werden, dass Benutzer benachrichtigt werden, wenn eine Remotesitzung aktiv ist (abhängig von den Richtlinien Ihres Unternehmens).

Sie sollten den Client sofort bereitstellen, wenn die Out-of-Band-Verwaltung aktiviert ist, da vPro standardmäßig mit Stammzertifizierungsstellenschlüsseln bekannter Anbieter (z. B. VeriSign, GoDaddy) vorab bereitgestellt wird.
Dies bedeutet, dass ein Angreifer mit Zugriff auf Ihr Netzwerk ein AMT-Zertifikat erwerben und Ihre Computer bereitstellen kann, ohne dass Sie es jemals wissen.

vPro verwendet PKI und ein AMT-Bereitstellungszertifikat ist erforderlich, um den Client bereitzustellen. Am einfachsten ist es, ein AMT-Bereitstellungszertifikat von einem Anbieter zu erwerben.

Sie können ein selbstsigniertes Zertifikat verwenden, müssen sich jedoch vor der Bereitstellung von vPro mit PKI auskennen. Sie müssen entweder:
1) den Hersteller den Zertifikat-Hash in MEBx vorladen lassen (Es gibt Tools, mit denen Sie die Bereitstellungskonfiguration erstellen und den benutzerdefinierten Zertifikat-Hash über einen USB-Stick senden können.)
2) MEBx manuell auf JEDEM Computer konfigurieren mit Ihrem selbstsignierten Zertifikat-Hash.

Für das AMT-Bereitstellungszertifikat müssen Sie das PKI-Zertifikat mit einer OID von 2.16.840.1.113741.1.2.3 erstellen.

Wenn Sie eine Windows Server-basierte Zertifizierungsstelle verwenden, benötigen Sie Windows Server Enterprise oder besser, um benutzerdefinierte Zertifikatvorlagen zu erstellen.
Technet verfügt über Anweisungen dazu mit der Windows-Zertifizierungsstelle (siehe Link unten).

Wenn Sie Linux verwenden: Möglicherweise kann OpenSSL zum Erstellen des PKI-Zertifikats verwendet werden. Kann dies jemand bestätigen?

Sobald der Client ordnungsgemäß bereitgestellt wurde, ist er ziemlich sicher, da er nur einem Anrufer vertraut, der über den privaten AMT-Schlüssel verfügt, der dem Computer ursprünglich zugeordnet war.

Vorschläge:
Verwalten Sie vPro mit SCCM, es ist nicht kostenlos, aber es macht das Leben mit vPro VIEL einfacher, wenn es richtig konfiguriert ist. Sie erhalten auch alle Arten anderer Tricks zur Konfigurationsverwaltung, die sehr nützlich sind.

In Antworten und Kommentaren bereitgestellte Links:
vPro-Voraussetzungen und Kompromisse für den dc7800p Business-PC mit Intel vPro-Prozessortechnologie (PDF)

vPro-Sicherheit (Wikipedia)

Anfordern, Installieren und Vorbereiten des AMT-Bereitstellungszertifikats (MicroSoft TechNet)

Die Implementierung von OOB ist keineswegs trivial und erfordert einen erheblichen Planungs- und Investitionsaufwand. Das einfache Einschalten von vPro reicht nicht aus. Sie müssen über die Back-End-Architektur verfügen, um dies ebenfalls zu unterstützen. Sofern Sie nicht bereit sind, die Out-of-Band-Verwaltung sofort zu implementieren, empfehle ich, vPro deaktiviert zu lassen, da vPro standardmäßig mit Stammzertifizierungsstellenschlüsseln bekannter Anbieter (z. B. VeriSign, GoDaddy) ausgestattet ist. Ein Angreifer mit Zugriff auf Ihr Netzwerk kann ein AMT-Zertifikat erwerben und Ihre Computer bereitstellen, ohne dass Sie jemals wissen ...

Da vPro PKI verwendet, ist die Architektur nach ordnungsgemäßer Bereitstellung tatsächlich ziemlich sicher, da Clients nur einem Anrufer vertrauen, der über den privaten AMT-Schlüssel verfügt, der dem Computer ursprünglich zugeordnet war. vPro kann so konfiguriert werden, dass Benutzer benachrichtigt werden, wenn eine Remotesitzung aktiv ist (abhängig von den Richtlinien Ihres Unternehmens).

In unserem Shop wird vPro verwendet. Wir verwalten mehrere hundert Remote-Workstations ohne IT-Unterstützung vor Ort. Mit vPro können wir Fehlerbehebung auf Hardwareebene durchführen und Remote-Einschaltfunktionen bereitstellen, Funktionen, die nicht über Remotedesktop verfügbar sind.

Ja, es gibt Kompromisse, und ich vermute, eine schnelle Google-Suche hätte Ihnen das meiste davon bereits gesagt. Überprüfen Sie jedoch in diesem HP Dokument die Kompromisse bei der Aktivierung von vpro für IT-Experten . Es ist für dieses spezielle HP-Modell, aber der allgemeine Fall ist für jedes System, auf dem Sie vpro verwenden, der gleiche.

Abgesehen von der erwarteten Zunahme der Speichernutzung, des Stromverbrauchs und der verringerten Netzwerkleistung (oh, und der geringen Speicherplatznutzung) ist es erwähnenswert, dass die Aktivierung dies dazu führt, dass das System jederzeit [bis zu einem gewissen Grad] mit Strom versorgt wird. Die wenigen Watt Energie, die verschwendet werden, sind nicht viel im Vergleich zu der wichtigen Einschränkung, dass Sie die Klimaanlage abschalten müssen, anstatt nur die Maschine auszuschalten, um Hardwareinstallationen / -austausch durchzuführen. (Gute Praxis trotzdem, aber die meisten Leute kümmern sich nicht darum.)

Und was dann wahrscheinlich die größte Sorge wäre, sind die Auswirkungen auf Sicherheit und Datenschutz. Da es keine einfache Möglichkeit gibt, von der Workstation aus zu erkennen, ob jemand dieses OoB-Verwaltungstool ohne Ihre Zustimmung verwendet, sollten Sie wirklich sicherstellen, dass Ihre Sicherheit dem Schnupftabak entspricht und Ihr Netzwerk gegen Eingriffe einigermaßen gut abgesichert ist, bevor Sie so etwas implementieren.

Wikipedia hat einige weitere Informationen zu den Auswirkungen auf Sicherheit und Datenschutz. Mein Rat ist jedoch, dass Sie ohne Grund eine Hintertür in Ihr System installieren, wenn Sie die OoB-Verwaltung nicht benötigen oder planen. Also nicht. Wirklich, es ist eine Workstation. Welche Remote-KVM-Anwendungen benötigen Sie dafür, die Sie mit Remote Desktop nicht ausführen können?