Des compromis impliqués dans l'activation d'Intel vPro?

8

L'activation de vPro est-elle désactivée ou en conflit avec d'autres fonctionnalités?

Je configure une station de travail Dell Precision T1600. Il sera ajouté à un petit réseau avec un serveur et deux bureaux:

  • Serveur CentOS utilisé pour le partage de fichiers via Samba et l'hébergement pour le développement Web
  • Windows Vista utilisé pour le développement et les tests
  • Windows XP Pro utilisé pour le développement et les tests
  • Commutateur Gigabit
  • Routeur qui agit comme serveur DHCP, mais tous les ordinateurs utilisent des adresses IP attribuées

Le nouveau poste de travail aura Win 7 Pro avec le mode XP. Il sera utilisé pour le développement web et le traitement graphique: Eclipse, Netbeans, Visual Studio, Photoshop, etc.

Les options hors bande proposées pour la configuration sont les suivantes:

  • Technologie Intel vPro activée
  • Gestion standard Intel
  • Aucune gestion des systèmes hors bande

Je ne m'attends pas à avoir beaucoup besoin de gestion hors bande à ce stade, mais je prévois de continuer à ajouter des postes de travail à l'avenir. Le poste de travail aura une carte graphique discrète, donc Remote KVM ne sera pas disponible.

J'aimerais que les capacités offertes par vPro soient disponibles, mais j'aimerais savoir s'il y a des compromis à faire.

Faut-il ajouter ou modifier des balises pour cette question?


Voici les informations que j'ai mises en signet lors de mes recherches:

J'ai regardé la FAQ sur la technologie Intel vPro

Il a déclaré qu'il n'y avait aucun impact sur les performances:
Q6: Quel est l'impact de la technologie Intel® vPro ™ et de son moteur de gestion sur les performances du PC?
A6: L'impact de la technologie Intel vPro sur les performances du PC n'est pas perceptible par l'utilisateur final.

J'ai regardé l'entrée wikipedia Intel Active Management Technology , elle n'a mentionné aucun inconvénient.

J'ai regardé Remote PC Management avec Intel vPro sur le site matériel de Tom, il n'a pas mentionné de compromis.

Par défaut du serveur, il n'y avait qu'une quinzaine de questions pour amt et vPro combinées. J'ai favorisé celui-ci et j'ai regardé certains des liens suggérés. Comment gérer les PC avec vPro?

Outils et utilitaires pour Intel vPro Technoloy

J'ai regardé des pages supplémentaires, mais celles ci-dessus sont celles que j'ai mises en signet.


Informations fournies dans les réponses et commentaires:

Mon cas spécifique concerne un poste de travail, mais j'utiliserai "client" pour représenter le système dans lequel vPro est activé.

Il semble que l'activation de vPro n'impose aucune limitation, mais qu'elle peut créer des problèmes de sécurité si le client n'est pas correctement provisionné lors de l'installation.

vPro doit être activé à l'achat ou il est définitivement désactivé. Peut temporairement le désactiver dans MEBx (Management Engine BIOS Extension).

vPro entraîne une utilisation accrue de la mémoire, une consommation d'énergie et une baisse des performances réseau.
(Intel déclare que l'impact sur les performances du PC n'est pas perceptible pour l'utilisateur final)

Une petite quantité d'espace disque est utilisée.

Le système est alimenté [dans une certaine mesure] à tout moment. Il est important de déconnecter l'alimentation A / C, plutôt que de simplement éteindre la machine pour effectuer des installations / remplacements de matériel.

Vous avez besoin de l'architecture principale pour la prendre en charge.

Deux adresses IP par machine (une pour le système d'exploitation et une pour vPro).
Si vos machines obtiennent leurs affectations via DHCP, vous pouvez en utiliser une pour les deux.
Si vous avez besoin d'une adresse fixe pour une machine, utilisez plutôt une réservation DHCP.


Conséquences pour la sécurité et la confidentialité:

Vous installez essentiellement une porte dérobée dans votre système.

Il n'y a pas de moyen facile de dire au client si quelqu'un utilise cet outil de gestion OoB sans votre consentement, mais vPro peut être configuré pour fournir une notification aux utilisateurs lorsqu'une session à distance est active (en fonction des politiques de votre entreprise).

Vous devez immédiatement provisionner le client si la gestion hors bande est activée, car par défaut, vPro est pré-provisionné avec les clés d'autorité de certification racine de fournisseurs bien connus (par exemple VeriSign, GoDaddy).
Cela signifie qu'un attaquant ayant accès à votre réseau pourrait acheter un certificat AMT et provisionner vos machines à votre insu.

vPro utilise PKI et un certificat de configuration AMT est requis pour provisionner le client. L'approche la plus simple consiste à acheter un certificat de configuration AMT auprès d'un fournisseur.

Vous pouvez utiliser un certificat auto-signé, mais vous devrez connaître la PKI avant de déployer vPro. Vous devrez soit:
1) demander au fournisseur de précharger le hachage de certificat dans MEBx (Il existe des outils qui vous permettent de créer la configuration de provisioning et d'envoyer le hachage de certificat personnalisé via une clé USB.)
2) configurer manuellement MEBx sur CHAQUE machine avec votre hachage de certificat auto-signé.

Pour le certificat de configuration AMT, vous devez créer le certificat PKI avec un OID de 2.16.840.1.113741.1.2.3.

Si vous utilisez une autorité de certification Windows Server, vous aurez besoin de Windows Server Enterprise ou mieux pour créer des modèles de certificats personnalisés.
Technet a des instructions pour ce faire avec l'autorité de certification Windows (voir le lien ci-dessous).

Si vous utilisez Linux: il peut être possible d'utiliser OpenSSL pour créer le certificat PKI, quelqu'un peut-il le confirmer?

Une fois que le client est correctement provisionné, il est assez sécurisé, car il ne fera confiance qu'à un appelant qui possède la clé privée AMT qui a initialement associé la machine.


Suggestions:
Gérez vPro avec SCCM, ce n'est pas gratuit, mais cela rend la vie avec vPro BEAUCOUP plus facile une fois qu'il est correctement configuré. Vous obtenez également toutes sortes d'autres astuces de gestion de configuration qui sont très utiles.


Liens fournis dans les réponses et commentaires:
Conditions préalables et compromis vPro pour le PC professionnel dc7800p avec technologie de processeur Intel vPro (PDF)

Sécurité vPro (Wikipedia)

Demande, installation et préparation du certificat de configuration AMT (MicroSoft TechNet)

codewaggle
la source
1
Complètement hors sujet à votre question mais concernant la sécurité et personnellement, je vois cela comme un plus grand risque ... vous avez mentionné le partage de fichiers et l'hébergement Web sur le même serveur ... donc, si quelqu'un par exemple piratait votre site Web lui-même par via divers moyens ... il / elle aurait désormais accès à TOUTES vos données sur ces partages potentiellement. Pouvez-vous assumer ce risque pour l'entreprise?
Cold T
Je n'y avais pas pensé parce que les sites Web sont pour le développement et accessibles en attribuant un nom de domaine de test à l'adresse IP réseau du serveur Web dans les hostsfichiers client . Mais le serveur a accès au monde réel via le routeur, je suppose que je devrais bloquer le trafic entrant sur les ports utilisés pour les serveurs Web et de fichiers. Une autre chose à faire, merci beaucoup :)
codewaggle

Réponses:

6

La mise en œuvre de l'OOB n'est pas un exercice trivial par tous les tronçons, et nécessite une quantité importante de planification et d'investissement. Il ne suffit pas d'activer vPro, vous devez également disposer de l'architecture principale pour le prendre en charge. À moins que vous ne soyez prêt à implémenter immédiatement la gestion hors bande, ma recommandation est de laisser vPro désactivé, car par défaut, vPro est pré-provisionné avec des clés d'autorité de certification racine de fournisseurs bien connus (par exemple VeriSign, GoDaddy). Un attaquant ayant accès à votre réseau pourrait acheter un certificat AMT et provisionner vos machines sans que vous le sachiez ...

Étant donné que vPro utilise PKI, une fois correctement provisionnée, l'architecture est en fait assez sécurisée, car les clients ne feront confiance qu'à un appelant qui possède la clé privée AMT qui a initialement associé la machine. vPro peut être configuré pour fournir une notification aux utilisateurs lorsqu'une session à distance est active (en fonction des politiques de votre entreprise).

Cela dit, notre boutique utilise vPro. Nous gérons plusieurs centaines de postes de travail distants sans support informatique sur site. vPro nous donne la possibilité d'effectuer un dépannage au niveau matériel et offre une capacité de mise sous tension à distance, des fonctionnalités qui ne sont pas disponibles via le bureau à distance.

newmanth
la source
La section Dell "Aidez-moi à choisir" indique que si vous n'activez pas la gestion hors bande à l'achat, elle ne peut pas être ajoutée plus tard, c'est pourquoi j'essaie de décider maintenant. Il me semble que le minimum que je devrais faire est de mettre en place un certificat et de provisionner le poste de travail (que je devrai savoir comment faire). Puis-je utiliser un certificat auto-signé?
codewaggle
Vous avez raison, si vous ne le sélectionnez pas lorsque vous commandez votre machine, vous ne pourrez pas l'obtenir plus tard (la fonctionnalité est définitivement désactivée). Alors, allez-y et commandez-le, assurez-vous simplement de le désactiver dans MEBx jusqu'à ce que vous soyez prêt à l'utiliser. - Vous pouvez utiliser un certificat auto-signé, mais vous devrez soit: 1) demander à Dell de précharger l'empreinte numérique dans MEBx ou 2) configurer manuellement MEBx sur CHAQUE machine avec votre empreinte numérique auto-signée (pas vraiment difficile, juste quelque chose à Soyez conscient de). Il existe des outils qui vous permettent de créer la configuration d'approvisionnement et d'envoyer l'empreinte numérique personnalisée via une clé USB.
newmanth
Pour votre information, si vous utilisez des adresses IP statiques pour vos postes de travail, vous en aurez besoin de deux par machine (une pour le système d'exploitation et une pour vPro). Si vos machines obtiennent leurs affectations via DHCP, vous pouvez en utiliser une pour les deux (ce que je recommande personnellement). Si vous avez besoin d'une adresse fixe pour une machine, utilisez plutôt une réservation DHCP. - De plus, nous gérons vPro avec SCCM, quelque chose que je recommande également. Je sais que ce n'est pas gratuit (et je ne travaille pas pour M $), mais cela facilite la vie avec vPro A LOT une fois qu'il est correctement configuré. Vous obtenez également toutes sortes d'autres astuces de gestion de configuration qui sont très utiles.
newmanth
Lorsque vous avez mentionné les clés de l'autorité de certification racine, je pensais à celles utilisées pour les certificats SSL. J'ai créé des certificats auto-signés à utiliser sur les serveurs Web de développement à l'aide de la commande linux openssl, je n'ai pas de lecteur d'empreintes digitales, le certificat openssl serait-il suffisant? J'ai lu que la connexion hors bande utilise sa propre adresse IP, j'utilise des réservations DHCP pour attribuer les adresses IP, il semble donc que cela devrait être correct. Je vais regarder SCCM, mais j'espérais utiliser une application gratuite pour apprendre mon chemin car je n'aurais qu'une seule machine compatible vPro à ce stade.
codewaggle
Désolé, je n'étais pas clair ... quand j'ai fait référence à l'empreinte numérique, je parle du hachage du certificat (pas une empreinte réelle: P). Pour le certificat de configuration AMT, vous devez créer un certificat PKI avec un OID de 2.16.840.1.113741.1.2.3. Je ne l'ai pas fait avec OpenSSL, mais cela devrait être possible. Nous utilisons une autorité de certification Windows Server, c'est ainsi que nous avons fait la nôtre. Technet a des instructions pour le faire avec l'autorité de certification Windows à l' adresse technet.microsoft.com/en-us/library/… . Vous aurez cependant besoin de Windows Server Enterprise ou mieux pour créer des modèles de certificats personnalisés.
newmanth
4

Oui, il y a des compromis à faire, et je soupçonne qu'une recherche rapide sur Google vous aurait déjà dit la plupart de cela, mais cela dit, consultez ce document HP sur les compromis d'activer vpro pour les professionnels de l'informatique . C'est pour ce modèle spécifique de HP, mais le cas général est le même pour tout système sur lequel vous utilisez vpro.

Mis à part l'augmentation attendue de l'utilisation de la mémoire, de la consommation d'énergie et de la baisse des performances réseau (oh, et la petite utilisation de l'espace disque), il convient de noter que l'activation de cette fonction entraînera l'alimentation du système [dans une certaine mesure] à tout moment. Les quelques watts d'énergie gaspillés ne sont pas beaucoup comparés à l'importante mise en garde dont vous aurez besoin pour déconnecter l'alimentation A / C, plutôt que de simplement éteindre la machine pour effectuer des installations / remplacements de matériel. (Bonne pratique de toute façon, mais la plupart des gens ne s'en soucient pas.)

Et puis ce qui serait probablement le plus préoccupant, ce sont les implications en matière de sécurité et de confidentialité. Puisqu'il n'y a pas de moyen facile de savoir à partir du poste de travail si quelqu'un utilise cet outil de gestion OoB sans votre consentement, vous devez vraiment vous assurer que votre sécurité est à la hauteur, et que votre réseau est raisonnablement bien durci contre les intrusions avant de mettre en œuvre quelque chose comme ça.

Wikipedia a plus d'informations sur les implications en matière de sécurité et de confidentialité , mais mon conseil est que si vous n'avez pas besoin ou prévoyez d'utiliser la gestion OoB, vous installez une porte dérobée dans votre système sans raison. Alors ne le fais pas. Vraiment, c'est un poste de travail, quelles applications KVM distantes voyez-vous avoir besoin pour cela que vous ne pouvez pas faire avec Remote Desktop?

HopelessN00b
la source
J'ai fait plus qu'une recherche rapide sur Google et passé des heures à faire des recherches avant de poser la question, malheureusement, je ne connais pas très bien les questions informatiques et je n'ai pas pu déterminer la réponse à ma question en regardant les informations disponibles. J'ajouterai des informations supplémentaires sur ce que j'ai examiné à ma réponse.
codewaggle
Je passe la plupart de mon temps sur stackoverflow et j'ai suggéré aux gens d'inclure des informations sur ce qu'ils ont essayé ou découvert dans leur question. On dirait que je devrais suivre mes propres conseils. Une chose qui a attiré mon attention dans la doc HP était la section "Duplication de disque dur" où il était dit que parce que le contrôleur réseau est virtualisé, vous êtes limité à utiliser le même disque dur lors du clonage via un logiciel. Le doc est de 2007, donc je me demandais si c'était toujours le cas. J'ai passé un peu de temps à le regarder mais je n'ai rien trouvé. Je vais peut-être créer une question à ce sujet.
codewaggle