启用 Intel vPro 是否涉及任何权衡?

启用 Intel vPro 是否涉及任何权衡?

启用 vPro 是否会禁用或者与任何其他功能冲突?

我正在配置 Dell Precision T1600 工作站。它将被添加到一个具有一台服务器和两台台式机的小型网络中:

  • CentOS 服务器用于通过 Samba 进行文件共享以及托管 Web 开发
  • Windows Vista 用于开发和测试
  • Windows XP Pro 用于开发和测试
  • 千兆交换机
  • 路由器充当 DHCP 服务器,但所有计算机都使用分配的 IP 地址

新工作站将配备带 XP 模式的 Win 7 Pro。它将用于 Web 开发和图形处理:Eclipse、Netbeans、Visual Studio、Photoshop 等。

提供的带外配置选项包括:

  • 启用英特尔博锐技术
  • 英特尔标准可管理性
  • 无带外系统管理

我预计目前不需要太多带外管理,但计划将来继续添加工作站。工作站将配备独立显卡,因此远程 KVM 将不可用。

我希望能够使用 vPro 提供的功能,但我想知道是否需要权衡利弊。

是否应该为该问题添加或更改标签?


以下是我在研究过程中标记的信息:

我看了看英特尔博锐技术常见问题解答

它说对性能没有影响:
Q6:英特尔® vPro™ 技术及其可管理性引擎对 PC 性能有何影响?
A6:英特尔 vPro 技术对 PC 性能的影响对于最终用户来说并不明显。

我看了维基百科条目英特尔主动管理技术,但未提及任何缺点。

我在看使用英特尔 vPro 进行远程 PC 管理在 Tom 的硬件网站上,没有提到任何权衡。

从服务器故障来看,amt 和 vPro 总共只有大约 15 个问题。我收藏了这个,并查看了一些建议的链接。如何管理配备 vPro 的 PC?

适用于英特尔博锐技术的工具和实用程序

我查看了其他页面,但以上是我添加书签的页面。


答案和评论中提供的信息:

我的具体情况涉及工作站,但我将使用“客户端”来表示启用 vPro 的系统。

看起来激活 vPro 不会造成任何限制,但如果在安装过程中客户端未正确配置,则可能会产生安全问题。

必须在购买时启用 vPro,否则将被永久禁用。可以在 MEBx(管理引擎 BIOS 扩展)中暂时禁用它。

vPro 会导致内存使用量增加、功耗增加以及网络性能下降。
(英特尔表示,最终用户不会注意到对 PC 性能的影响)

占用少量的驱动器空间。

系统始终处于 [某种程度上] 通电状态。重要的是断开交流电源,而不是关闭机器电源来进行任何硬件安装/更换。

您需要后端架构来支持它。

每台机器两个 IP 地址(一个用于操作系统,一个用于 vPro)。
如果您的机器通过 DHCP 获得分配,则可以为两者使用一个。
如果您需要为机器分配固定地址,请使用 DHCP 预留。


安全和隐私影响:

您实际上是在系统中安装后门。

从客户端无法轻易判断是否有人在未经您同意的情况下使用此 OoB 管理工具,但可以将 vPro 配置为在远程会话处于活动状态时向用户提供通知(取决于您公司的政策)。

如果启用了带外管理,您应该立即配置客户端,因为默认情况下,vPro 已预先配置了来自知名供应商(例如 VeriSign、GoDaddy)的根 CA 密钥。
这意味着有权访问您网络的攻击者可以购买 AMT 证书并在您不知情的情况下配置您的机器。

vPro 使用 PKI,需要 AMT 配置证书才能配置客户端。最简单的方法是从供应商处购买 AMT 配置证书。

您可以使用自签名证书,但在部署 vPro 之前,您需要了解 PKI。您需要:
1) 让供应商在 MEBx 中预加载证书哈希(有一些工具允许您创建配置并通过 USB 拇指驱动器发送自定义证书哈希。)
2) 使用自签名证书哈希在每台机器上手动配置 MEBx。

对于 AMT 配置证书,您必须创建 OID 为 2.16.840.1.113741.1.2.3 的 PKI 证书。

如果您使用基于 Windows Server 的 CA,则需要 Windows Server Enterprise 或更高版本来执行自定义证书模板。Technet
提供了使用 Windows 证书颁发机构执行此操作的说明(请参阅下面的链接)。

如果使用 Linux:可能可以使用 OpenSSL 创建 PKI 证书,有人可以确认这一点吗?

一旦客户端正确配置,它就非常安全,因为它只会信任拥有最初与机器关联的 AMT 私钥的调用者。


建议:
使用 SCCM 管理 vPro,它不是免费的,但一旦正确配置,它会让 vPro 的使用变得轻松很多。您还可以获得各种其他非常有用的配置管理技巧。


答案和评论中提供的链接:
采用英特尔 vPro 处理器技术的 dc7800p 商用电脑的 vPro 先决条件和权衡(PDF)

vPro 安全性(维基百科)

请求、安装和准备 AMT 配置证书(微软 TechNet)

答案1

实施 OOB 绝非易事,需要大量的规划和投资。仅仅启用 vPro 是不够的,您还必须拥有支持它的后端架构。除非您准备好立即地实施带外管理,我的建议是关闭 vPro,因为默认情况下,vPro 已预先配置了知名供应商(例如 VeriSign、GoDaddy)的根 CA 密钥。有权访问您网络的攻击者可以购买 AMT 证书并在您不知情的情况下配置您的机器……

由于 vPro 使用 PKI,一旦正确配置,架构实际上非常安全,因为客户端只会信任拥有最初与机器关联的 AMT 私钥的呼叫者。可以配置 vPro 在远程会话处于活动状态时向用户提供通知(取决于您公司的政策)。

话虽如此,我们的商店使用的是 vPro。我们管理着数百个没有现场 IT 支持的远程工作站。vPro 使我们能够在硬件级别执行故障排除,并提供远程开机功能,这些功能是远程桌面无法提供的。

答案2

是的,这其中有权衡,我想快速谷歌搜索一下就能告诉你大部分信息,但话虽如此,请查看 HP 文档,了解为 IT 专业人员启用 vpro 的利弊。它适用于 HP 的特定型号,但对于使用 vpro 的任何系统,一般情况都是相同的。

除了内存使用量、功耗和网络性能下降(哦,还有微小的驱动器空间占用)的预期增加之外,值得注意的是,启用此功能将导致系统始终处于通电状态(在一定程度上)。与需要断开交流电源(而不是关闭机器电源进行任何硬件安装/更换)的重要警告相比,浪费的几瓦电能不算什么。(无论如何,这都是很好的做法,但大多数人都懒得这么做。)

然后,可能最大的担忧就是安全和隐私问题。由于没有简单的方法从工作站判断是否有人在未经你同意的情况下使用此 OoB 管理工具,因此在实施任何此类措施之前,你最好确保你的安全性达到标准,并且你的网络对入侵的防御能力相当强。

维基百科有更多关于安全和隐私影响的内容但我的建议是,如果您不需要或不打算使用 OoB 管理,那么您就是在毫无理由地在系统中安装后门。所以不要这样做。实际上,它是一个工作站,您认为需要哪些远程 KVM 应用程序来实现这一点,而远程桌面无法做到这一点?

相关内容