Apakah mengaktifkan vPro menonaktifkan atau konflik dengan fungsionalitas lain?
Saya mengonfigurasi workstation Dell Precision T1600. Ini akan ditambahkan ke jaringan kecil dengan satu server dan dua desktop:
- Server CentOS digunakan untuk berbagi file melalui Samba dan hosting untuk pengembangan web
- Windows Vista digunakan untuk pengembangan dan pengujian
- Windows XP Pro digunakan untuk pengembangan dan pengujian
- Sakelar Gigabit
- Router yang bertindak sebagai server DHCP, tetapi semua komputer menggunakan alamat IP yang ditetapkan
Workstation baru akan memiliki Win 7 Pro dengan mode XP. Ini akan digunakan untuk pengembangan web dan pemrosesan grafik: Eclipse, Netbeans, Visual Studio, Photoshop, dll.
Opsi Out-of-Band yang ditawarkan untuk konfigurasi adalah:
- Teknologi Intel vPro Diaktifkan
- Intel Standard Manageability
- Tidak Ada Manajemen Sistem Out-of-Band
Saya tidak berharap memiliki banyak kebutuhan untuk manajemen Out-of Band pada saat ini, tetapi berencana untuk terus menambahkan workstation di masa depan. Workstation akan memiliki kartu grafis diskrit, sehingga Remote KVM tidak akan tersedia.
Saya ingin memiliki kapabilitas yang ditawarkan oleh vPro, tetapi saya ingin tahu apakah ada trade-off yang terlibat.
Haruskah ada tag yang ditambahkan atau diubah untuk pertanyaan ini?
Berikut adalah informasi yang saya tandai selama penelitian:
Saya melihat FAQ Teknologi Intel vPro
Dikatakan tidak ada dampak pada kinerja:
P6: Apa dampak dari teknologi Intel® vPro ™ dan Manageability Engine pada kinerja PC?
A6: Dampak teknologi Intel vPro pada kinerja PC tidak terlihat oleh pengguna akhir.
Saya melihat entri wikipedia Intel Active Management Technology , itu tidak menyebutkan kerugian.
Saya melihat Remote PC Management dengan Intel vPro di situs perangkat keras Tom, tidak menyebutkan trade-off.
Dari kesalahan server, hanya ada sekitar 15 pertanyaan untuk gabungan amt dan vPro. Saya menyukai yang ini dan melihat beberapa tautan yang disarankan. Bagaimana cara saya mengelola PC dengan vPro?
Alat dan Utilitas untuk Intel vPro Technoloy
Saya melihat halaman tambahan, tetapi di atas adalah yang saya bookmark.
Informasi diberikan dalam jawaban dan komentar:
Kasus spesifik saya menyangkut workstation, tetapi saya akan menggunakan "klien" untuk mewakili sistem di mana vPro sedang diaktifkan.
Tampaknya mengaktifkan vPro tidak memaksakan batasan apa pun, tetapi itu dapat membuat masalah keamanan jika klien tidak disediakan dengan benar selama instalasi.
vPro harus diaktifkan saat pembelian atau dinonaktifkan secara permanen. Dapat menonaktifkannya sementara di MEBx (Management BIOS Engine Extension).
vPro menyebabkan peningkatan penggunaan memori, konsumsi daya, dan penurunan kinerja jaringan.
(Intel menyatakan bahwa dampak pada kinerja PC tidak terlihat oleh pengguna akhir)
Sejumlah kecil ruang drive digunakan.
Sistem diberi daya [sampai batas tertentu] setiap saat. Penting untuk memutuskan daya A / C, bukan hanya mematikan mesin untuk melakukan instalasi / penggantian perangkat keras apa pun.
Anda memerlukan arsitektur back-end untuk mendukungnya.
Dua alamat IP per mesin (satu untuk OS dan satu untuk vPro).
Jika mesin Anda mendapatkan penugasan melalui DHCP, Anda dapat menggunakannya untuk keduanya.
Jika Anda memerlukan alamat tetap untuk mesin, gunakan reservasi DHCP sebagai gantinya.
Implikasi Keamanan dan Privasi:
Anda pada dasarnya memasang pintu belakang ke sistem Anda.
Tidak ada cara mudah untuk mengetahui dari klien jika seseorang menggunakan alat manajemen OoB ini tanpa persetujuan Anda, tetapi vPro dapat dikonfigurasi untuk memberikan notifikasi kepada pengguna ketika sesi jarak jauh aktif (tergantung pada kebijakan perusahaan Anda).
Anda harus segera menyediakan klien jika manajemen out-of-band diaktifkan, karena secara default, vPro disediakan sebelumnya dengan kunci CA root dari vendor terkenal (mis. VeriSign, GoDaddy).
Ini berarti bahwa penyerang dengan akses ke jaringan Anda dapat membeli sertifikat AMT dan menyediakan mesin Anda tanpa sepengetahuan Anda.
vPro menggunakan PKI dan sertifikat penyediaan AMT diperlukan untuk menyediakan klien. Pendekatan termudah adalah dengan membeli sertifikat penyediaan AMT dari vendor.
Anda dapat menggunakan sertifikat yang ditandatangani sendiri, tetapi Anda harus memiliki pengetahuan tentang PKI sebelum menggunakan vPro. Anda perlu:
1) meminta vendor memuat hash sertifikat di MEBx (Ada alat di luar sana yang memungkinkan Anda membuat
konfigurasi bawaan dan mengirim hash sertifikat kustom melalui USB thumbdrive.) 2) mengkonfigurasi MEBx secara manual di setiap mesin SETIAP dengan hash sertifikat yang Anda tandatangani sendiri.
Untuk sertifikat penyediaan AMT, Anda harus membuat sertifikat PKI dengan OID 2.16.840.1.113741.1.2.3.
Jika Anda menggunakan CA berbasis Windows Server, Anda akan memerlukan Windows Server Enterprise atau lebih baik untuk melakukan templat sertifikat kustom.
Technet memiliki instruksi untuk melakukan ini dengan Otoritas Sertifikasi Windows (lihat tautan di bawah).
Jika menggunakan Linux: OpenSSL dimungkinkan untuk membuat sertifikat PKI, adakah yang bisa mengonfirmasi hal ini?
Setelah klien ditetapkan dengan benar, itu cukup aman, karena hanya akan mempercayai penelepon yang memiliki kunci pribadi AMT yang awalnya terkait dengan mesin.
Saran:
Kelola vPro dengan SCCM, ini tidak gratis, tetapi membuat hidup dengan vPro A LOT menjadi lebih mudah setelah dikonfigurasi dengan benar. Anda juga mendapatkan semua jenis trik manajemen konfigurasi lainnya yang sangat berguna.
Tautan yang disediakan dalam jawaban dan komentar:
Prasyarat dan Pengorbanan vPro untuk PC Bisnis dc7800p dengan Teknologi Prosesor Intel vPro (PDF)
Keamanan vPro (Wikipedia)
Meminta, Menginstal, dan Menyiapkan Sertifikat Penyediaan AMT (MicroSoft TechNet)
sumber
hosts
file klien . Tetapi server memang memiliki akses ke dunia nyata melalui router, saya kira saya harus memblokir lalu lintas masuk pada port yang digunakan untuk web dan server file. Hal lain yang harus dilakukan, Terima Kasih Banyak :)Jawaban:
Implementasi OOB bukan latihan sepele oleh hamparan, dan membutuhkan sejumlah besar perencanaan dan investasi. Cukup menyalakan vPro saja tidak cukup, Anda harus memiliki arsitektur back-end untuk mendukungnya juga. Kecuali jika Anda siap untuk segera menerapkan manajemen out-of-band, rekomendasi saya adalah membiarkan vPro dimatikan, karena secara default, vPro disediakan sebelumnya dengan kunci CA root dari vendor terkenal (mis. VeriSign, GoDaddy). Penyerang dengan akses dengan jaringan Anda dapat membeli sertifikat AMT dan menyediakan mesin Anda tanpa Anda sadari ...
Karena vPro menggunakan PKI, arsitektur yang disediakan dengan benar sebenarnya cukup aman, karena klien kemudian hanya akan mempercayai penelepon yang memiliki kunci pribadi AMT yang awalnya terkait dengan mesin. vPro dapat dikonfigurasi untuk memberikan pemberitahuan kepada pengguna ketika sesi jarak jauh aktif (tergantung pada kebijakan perusahaan Anda).
Dengan demikian, toko kami menggunakan vPro. Kami mengelola beberapa ratus stasiun kerja jarak jauh yang tidak memiliki dukungan TI di tempat. vPro memberi kami kemampuan untuk melakukan pemecahan masalah di tingkat perangkat keras dan memberikan kemampuan pengaktifan jarak jauh, fitur yang tidak tersedia melalui desktop jarak jauh.
sumber
Ya, ada pengorbanan yang terlibat, dan saya curiga pencarian Google cepat akan memberi tahu Anda sebagian besar sudah, tetapi setelah mengatakan itu, periksa dokumen HP ini pada pengorbanan mengaktifkan vpro untuk profesional TI . Ini untuk model HP tertentu, tetapi kasus umumnya sama untuk semua sistem yang Anda gunakan vpro.
Selain dari peningkatan yang diharapkan dalam penggunaan memori, konsumsi daya dan penurunan kinerja jaringan (oh, dan penggunaan ruang drive yang kecil), perlu dicatat bahwa mengaktifkan ini akan menghasilkan sistem yang bertenaga [sampai batas tertentu] setiap saat. Beberapa watt energi yang terbuang tidak seberapa dibandingkan dengan peringatan penting yang Anda perlukan untuk memutuskan daya A / C, daripada hanya mematikan mesin untuk melakukan instalasi / penggantian perangkat keras apa pun. (Latihan yang bagus, tetapi kebanyakan orang tidak peduli.)
Dan kemudian apa yang mungkin menjadi perhatian terbesar adalah implikasi keamanan dan privasi. Karena tidak ada cara mudah untuk mengetahui dari workstation jika seseorang menggunakan alat manajemen OOB ini tanpa persetujuan Anda, Anda benar-benar memastikan keamanan Anda siap untuk dimusnahkan, dan jaringan Anda cukup tangguh terhadap intrusi sebelum menerapkan hal seperti ini.
Wikipedia memiliki lebih banyak tentang implikasi keamanan dan privasi , tetapi saran saya adalah jika Anda tidak perlu atau berencana untuk menggunakan manajemen OoB, Anda menginstal pintu belakang ke sistem Anda tanpa alasan. Jadi jangan. Sungguh, ini adalah workstation, aplikasi KVM jarak jauh apa yang perlu Anda lihat untuk hal ini yang tidak dapat Anda lakukan dengan Remote Desktop?
sumber