L'activation de vPro est-elle désactivée ou en conflit avec d'autres fonctionnalités?
Je configure une station de travail Dell Precision T1600. Il sera ajouté à un petit réseau avec un serveur et deux bureaux:
- Serveur CentOS utilisé pour le partage de fichiers via Samba et l'hébergement pour le développement Web
- Windows Vista utilisé pour le développement et les tests
- Windows XP Pro utilisé pour le développement et les tests
- Commutateur Gigabit
- Routeur qui agit comme serveur DHCP, mais tous les ordinateurs utilisent des adresses IP attribuées
Le nouveau poste de travail aura Win 7 Pro avec le mode XP. Il sera utilisé pour le développement web et le traitement graphique: Eclipse, Netbeans, Visual Studio, Photoshop, etc.
Les options hors bande proposées pour la configuration sont les suivantes:
- Technologie Intel vPro activée
- Gestion standard Intel
- Aucune gestion des systèmes hors bande
Je ne m'attends pas à avoir beaucoup besoin de gestion hors bande à ce stade, mais je prévois de continuer à ajouter des postes de travail à l'avenir. Le poste de travail aura une carte graphique discrète, donc Remote KVM ne sera pas disponible.
J'aimerais que les capacités offertes par vPro soient disponibles, mais j'aimerais savoir s'il y a des compromis à faire.
Faut-il ajouter ou modifier des balises pour cette question?
Voici les informations que j'ai mises en signet lors de mes recherches:
J'ai regardé la FAQ sur la technologie Intel vPro
Il a déclaré qu'il n'y avait aucun impact sur les performances:
Q6: Quel est l'impact de la technologie Intel® vPro ™ et de son moteur de gestion sur les performances du PC?
A6: L'impact de la technologie Intel vPro sur les performances du PC n'est pas perceptible par l'utilisateur final.
J'ai regardé l'entrée wikipedia Intel Active Management Technology , elle n'a mentionné aucun inconvénient.
J'ai regardé Remote PC Management avec Intel vPro sur le site matériel de Tom, il n'a pas mentionné de compromis.
Par défaut du serveur, il n'y avait qu'une quinzaine de questions pour amt et vPro combinées. J'ai favorisé celui-ci et j'ai regardé certains des liens suggérés. Comment gérer les PC avec vPro?
Outils et utilitaires pour Intel vPro Technoloy
J'ai regardé des pages supplémentaires, mais celles ci-dessus sont celles que j'ai mises en signet.
Informations fournies dans les réponses et commentaires:
Mon cas spécifique concerne un poste de travail, mais j'utiliserai "client" pour représenter le système dans lequel vPro est activé.
Il semble que l'activation de vPro n'impose aucune limitation, mais qu'elle peut créer des problèmes de sécurité si le client n'est pas correctement provisionné lors de l'installation.
vPro doit être activé à l'achat ou il est définitivement désactivé. Peut temporairement le désactiver dans MEBx (Management Engine BIOS Extension).
vPro entraîne une utilisation accrue de la mémoire, une consommation d'énergie et une baisse des performances réseau.
(Intel déclare que l'impact sur les performances du PC n'est pas perceptible pour l'utilisateur final)
Une petite quantité d'espace disque est utilisée.
Le système est alimenté [dans une certaine mesure] à tout moment. Il est important de déconnecter l'alimentation A / C, plutôt que de simplement éteindre la machine pour effectuer des installations / remplacements de matériel.
Vous avez besoin de l'architecture principale pour la prendre en charge.
Deux adresses IP par machine (une pour le système d'exploitation et une pour vPro).
Si vos machines obtiennent leurs affectations via DHCP, vous pouvez en utiliser une pour les deux.
Si vous avez besoin d'une adresse fixe pour une machine, utilisez plutôt une réservation DHCP.
Conséquences pour la sécurité et la confidentialité:
Vous installez essentiellement une porte dérobée dans votre système.
Il n'y a pas de moyen facile de dire au client si quelqu'un utilise cet outil de gestion OoB sans votre consentement, mais vPro peut être configuré pour fournir une notification aux utilisateurs lorsqu'une session à distance est active (en fonction des politiques de votre entreprise).
Vous devez immédiatement provisionner le client si la gestion hors bande est activée, car par défaut, vPro est pré-provisionné avec les clés d'autorité de certification racine de fournisseurs bien connus (par exemple VeriSign, GoDaddy).
Cela signifie qu'un attaquant ayant accès à votre réseau pourrait acheter un certificat AMT et provisionner vos machines à votre insu.
vPro utilise PKI et un certificat de configuration AMT est requis pour provisionner le client. L'approche la plus simple consiste à acheter un certificat de configuration AMT auprès d'un fournisseur.
Vous pouvez utiliser un certificat auto-signé, mais vous devrez connaître la PKI avant de déployer vPro. Vous devrez soit:
1) demander au fournisseur de précharger le hachage de certificat dans MEBx (Il existe des outils qui vous permettent de créer la configuration de provisioning et d'envoyer le hachage de certificat personnalisé via une clé USB.)
2) configurer manuellement MEBx sur CHAQUE machine avec votre hachage de certificat auto-signé.
Pour le certificat de configuration AMT, vous devez créer le certificat PKI avec un OID de 2.16.840.1.113741.1.2.3.
Si vous utilisez une autorité de certification Windows Server, vous aurez besoin de Windows Server Enterprise ou mieux pour créer des modèles de certificats personnalisés.
Technet a des instructions pour ce faire avec l'autorité de certification Windows (voir le lien ci-dessous).
Si vous utilisez Linux: il peut être possible d'utiliser OpenSSL pour créer le certificat PKI, quelqu'un peut-il le confirmer?
Une fois que le client est correctement provisionné, il est assez sécurisé, car il ne fera confiance qu'à un appelant qui possède la clé privée AMT qui a initialement associé la machine.
Suggestions:
Gérez vPro avec SCCM, ce n'est pas gratuit, mais cela rend la vie avec vPro BEAUCOUP plus facile une fois qu'il est correctement configuré. Vous obtenez également toutes sortes d'autres astuces de gestion de configuration qui sont très utiles.
Liens fournis dans les réponses et commentaires:
Conditions préalables et compromis vPro pour le PC professionnel dc7800p avec technologie de processeur Intel vPro (PDF)
Sécurité vPro (Wikipedia)
Demande, installation et préparation du certificat de configuration AMT (MicroSoft TechNet)
la source
hosts
fichiers client . Mais le serveur a accès au monde réel via le routeur, je suppose que je devrais bloquer le trafic entrant sur les ports utilisés pour les serveurs Web et de fichiers. Une autre chose à faire, merci beaucoup :)Réponses:
La mise en œuvre de l'OOB n'est pas un exercice trivial par tous les tronçons, et nécessite une quantité importante de planification et d'investissement. Il ne suffit pas d'activer vPro, vous devez également disposer de l'architecture principale pour le prendre en charge. À moins que vous ne soyez prêt à implémenter immédiatement la gestion hors bande, ma recommandation est de laisser vPro désactivé, car par défaut, vPro est pré-provisionné avec des clés d'autorité de certification racine de fournisseurs bien connus (par exemple VeriSign, GoDaddy). Un attaquant ayant accès à votre réseau pourrait acheter un certificat AMT et provisionner vos machines sans que vous le sachiez ...
Étant donné que vPro utilise PKI, une fois correctement provisionnée, l'architecture est en fait assez sécurisée, car les clients ne feront confiance qu'à un appelant qui possède la clé privée AMT qui a initialement associé la machine. vPro peut être configuré pour fournir une notification aux utilisateurs lorsqu'une session à distance est active (en fonction des politiques de votre entreprise).
Cela dit, notre boutique utilise vPro. Nous gérons plusieurs centaines de postes de travail distants sans support informatique sur site. vPro nous donne la possibilité d'effectuer un dépannage au niveau matériel et offre une capacité de mise sous tension à distance, des fonctionnalités qui ne sont pas disponibles via le bureau à distance.
la source
Oui, il y a des compromis à faire, et je soupçonne qu'une recherche rapide sur Google vous aurait déjà dit la plupart de cela, mais cela dit, consultez ce document HP sur les compromis d'activer vpro pour les professionnels de l'informatique . C'est pour ce modèle spécifique de HP, mais le cas général est le même pour tout système sur lequel vous utilisez vpro.
Mis à part l'augmentation attendue de l'utilisation de la mémoire, de la consommation d'énergie et de la baisse des performances réseau (oh, et la petite utilisation de l'espace disque), il convient de noter que l'activation de cette fonction entraînera l'alimentation du système [dans une certaine mesure] à tout moment. Les quelques watts d'énergie gaspillés ne sont pas beaucoup comparés à l'importante mise en garde dont vous aurez besoin pour déconnecter l'alimentation A / C, plutôt que de simplement éteindre la machine pour effectuer des installations / remplacements de matériel. (Bonne pratique de toute façon, mais la plupart des gens ne s'en soucient pas.)
Et puis ce qui serait probablement le plus préoccupant, ce sont les implications en matière de sécurité et de confidentialité. Puisqu'il n'y a pas de moyen facile de savoir à partir du poste de travail si quelqu'un utilise cet outil de gestion OoB sans votre consentement, vous devez vraiment vous assurer que votre sécurité est à la hauteur, et que votre réseau est raisonnablement bien durci contre les intrusions avant de mettre en œuvre quelque chose comme ça.
Wikipedia a plus d'informations sur les implications en matière de sécurité et de confidentialité , mais mon conseil est que si vous n'avez pas besoin ou prévoyez d'utiliser la gestion OoB, vous installez une porte dérobée dans votre système sans raison. Alors ne le fais pas. Vraiment, c'est un poste de travail, quelles applications KVM distantes voyez-vous avoir besoin pour cela que vous ne pouvez pas faire avec Remote Desktop?
la source