Adakah trade-off yang terlibat dengan mengaktifkan Intel vPro?

8

Apakah mengaktifkan vPro menonaktifkan atau konflik dengan fungsionalitas lain?

Saya mengonfigurasi workstation Dell Precision T1600. Ini akan ditambahkan ke jaringan kecil dengan satu server dan dua desktop:

  • Server CentOS digunakan untuk berbagi file melalui Samba dan hosting untuk pengembangan web
  • Windows Vista digunakan untuk pengembangan dan pengujian
  • Windows XP Pro digunakan untuk pengembangan dan pengujian
  • Sakelar Gigabit
  • Router yang bertindak sebagai server DHCP, tetapi semua komputer menggunakan alamat IP yang ditetapkan

Workstation baru akan memiliki Win 7 Pro dengan mode XP. Ini akan digunakan untuk pengembangan web dan pemrosesan grafik: Eclipse, Netbeans, Visual Studio, Photoshop, dll.

Opsi Out-of-Band yang ditawarkan untuk konfigurasi adalah:

  • Teknologi Intel vPro Diaktifkan
  • Intel Standard Manageability
  • Tidak Ada Manajemen Sistem Out-of-Band

Saya tidak berharap memiliki banyak kebutuhan untuk manajemen Out-of Band pada saat ini, tetapi berencana untuk terus menambahkan workstation di masa depan. Workstation akan memiliki kartu grafis diskrit, sehingga Remote KVM tidak akan tersedia.

Saya ingin memiliki kapabilitas yang ditawarkan oleh vPro, tetapi saya ingin tahu apakah ada trade-off yang terlibat.

Haruskah ada tag yang ditambahkan atau diubah untuk pertanyaan ini?


Berikut adalah informasi yang saya tandai selama penelitian:

Saya melihat FAQ Teknologi Intel vPro

Dikatakan tidak ada dampak pada kinerja:
P6: Apa dampak dari teknologi Intel® vPro ™ dan Manageability Engine pada kinerja PC?
A6: Dampak teknologi Intel vPro pada kinerja PC tidak terlihat oleh pengguna akhir.

Saya melihat entri wikipedia Intel Active Management Technology , itu tidak menyebutkan kerugian.

Saya melihat Remote PC Management dengan Intel vPro di situs perangkat keras Tom, tidak menyebutkan trade-off.

Dari kesalahan server, hanya ada sekitar 15 pertanyaan untuk gabungan amt dan vPro. Saya menyukai yang ini dan melihat beberapa tautan yang disarankan. Bagaimana cara saya mengelola PC dengan vPro?

Alat dan Utilitas untuk Intel vPro Technoloy

Saya melihat halaman tambahan, tetapi di atas adalah yang saya bookmark.


Informasi diberikan dalam jawaban dan komentar:

Kasus spesifik saya menyangkut workstation, tetapi saya akan menggunakan "klien" untuk mewakili sistem di mana vPro sedang diaktifkan.

Tampaknya mengaktifkan vPro tidak memaksakan batasan apa pun, tetapi itu dapat membuat masalah keamanan jika klien tidak disediakan dengan benar selama instalasi.

vPro harus diaktifkan saat pembelian atau dinonaktifkan secara permanen. Dapat menonaktifkannya sementara di MEBx (Management BIOS Engine Extension).

vPro menyebabkan peningkatan penggunaan memori, konsumsi daya, dan penurunan kinerja jaringan.
(Intel menyatakan bahwa dampak pada kinerja PC tidak terlihat oleh pengguna akhir)

Sejumlah kecil ruang drive digunakan.

Sistem diberi daya [sampai batas tertentu] setiap saat. Penting untuk memutuskan daya A / C, bukan hanya mematikan mesin untuk melakukan instalasi / penggantian perangkat keras apa pun.

Anda memerlukan arsitektur back-end untuk mendukungnya.

Dua alamat IP per mesin (satu untuk OS dan satu untuk vPro).
Jika mesin Anda mendapatkan penugasan melalui DHCP, Anda dapat menggunakannya untuk keduanya.
Jika Anda memerlukan alamat tetap untuk mesin, gunakan reservasi DHCP sebagai gantinya.


Implikasi Keamanan dan Privasi:

Anda pada dasarnya memasang pintu belakang ke sistem Anda.

Tidak ada cara mudah untuk mengetahui dari klien jika seseorang menggunakan alat manajemen OoB ini tanpa persetujuan Anda, tetapi vPro dapat dikonfigurasi untuk memberikan notifikasi kepada pengguna ketika sesi jarak jauh aktif (tergantung pada kebijakan perusahaan Anda).

Anda harus segera menyediakan klien jika manajemen out-of-band diaktifkan, karena secara default, vPro disediakan sebelumnya dengan kunci CA root dari vendor terkenal (mis. VeriSign, GoDaddy).
Ini berarti bahwa penyerang dengan akses ke jaringan Anda dapat membeli sertifikat AMT dan menyediakan mesin Anda tanpa sepengetahuan Anda.

vPro menggunakan PKI dan sertifikat penyediaan AMT diperlukan untuk menyediakan klien. Pendekatan termudah adalah dengan membeli sertifikat penyediaan AMT dari vendor.

Anda dapat menggunakan sertifikat yang ditandatangani sendiri, tetapi Anda harus memiliki pengetahuan tentang PKI sebelum menggunakan vPro. Anda perlu:
1) meminta vendor memuat hash sertifikat di MEBx (Ada alat di luar sana yang memungkinkan Anda membuat
konfigurasi bawaan dan mengirim hash sertifikat kustom melalui USB thumbdrive.) 2) mengkonfigurasi MEBx secara manual di setiap mesin SETIAP dengan hash sertifikat yang Anda tandatangani sendiri.

Untuk sertifikat penyediaan AMT, Anda harus membuat sertifikat PKI dengan OID 2.16.840.1.113741.1.2.3.

Jika Anda menggunakan CA berbasis Windows Server, Anda akan memerlukan Windows Server Enterprise atau lebih baik untuk melakukan templat sertifikat kustom.
Technet memiliki instruksi untuk melakukan ini dengan Otoritas Sertifikasi Windows (lihat tautan di bawah).

Jika menggunakan Linux: OpenSSL dimungkinkan untuk membuat sertifikat PKI, adakah yang bisa mengonfirmasi hal ini?

Setelah klien ditetapkan dengan benar, itu cukup aman, karena hanya akan mempercayai penelepon yang memiliki kunci pribadi AMT yang awalnya terkait dengan mesin.


Saran:
Kelola vPro dengan SCCM, ini tidak gratis, tetapi membuat hidup dengan vPro A LOT menjadi lebih mudah setelah dikonfigurasi dengan benar. Anda juga mendapatkan semua jenis trik manajemen konfigurasi lainnya yang sangat berguna.


Tautan yang disediakan dalam jawaban dan komentar:
Prasyarat dan Pengorbanan vPro untuk PC Bisnis dc7800p dengan Teknologi Prosesor Intel vPro (PDF)

Keamanan vPro (Wikipedia)

Meminta, Menginstal, dan Menyiapkan Sertifikat Penyediaan AMT (MicroSoft TechNet)

codewaggle
sumber
1
Benar-benar di luar topik untuk pertanyaan Anda tetapi yang berkaitan dengan keamanan dan saya pribadi melihat ini sebagai risiko yang lebih besar ... Anda menyebutkan berbagi file dan hosting web di server yang sama ... jadi, jika seseorang misalnya meretas ke situs web Anda sendiri dengan melalui berbagai cara ... dia sekarang akan memiliki akses ke SEMUA data Anda pada saham yang berpotensi. Bisakah Anda menanggung risiko itu kepada perusahaan?
Cold T
Saya belum memikirkan hal ini karena situs web untuk pengembangan dan diakses dengan menetapkan nama domain uji coba ke alamat IP jaringan server web dalam hostsfile klien . Tetapi server memang memiliki akses ke dunia nyata melalui router, saya kira saya harus memblokir lalu lintas masuk pada port yang digunakan untuk web dan server file. Hal lain yang harus dilakukan, Terima Kasih Banyak :)
codewaggle

Jawaban:

6

Implementasi OOB bukan latihan sepele oleh hamparan, dan membutuhkan sejumlah besar perencanaan dan investasi. Cukup menyalakan vPro saja tidak cukup, Anda harus memiliki arsitektur back-end untuk mendukungnya juga. Kecuali jika Anda siap untuk segera menerapkan manajemen out-of-band, rekomendasi saya adalah membiarkan vPro dimatikan, karena secara default, vPro disediakan sebelumnya dengan kunci CA root dari vendor terkenal (mis. VeriSign, GoDaddy). Penyerang dengan akses dengan jaringan Anda dapat membeli sertifikat AMT dan menyediakan mesin Anda tanpa Anda sadari ...

Karena vPro menggunakan PKI, arsitektur yang disediakan dengan benar sebenarnya cukup aman, karena klien kemudian hanya akan mempercayai penelepon yang memiliki kunci pribadi AMT yang awalnya terkait dengan mesin. vPro dapat dikonfigurasi untuk memberikan pemberitahuan kepada pengguna ketika sesi jarak jauh aktif (tergantung pada kebijakan perusahaan Anda).

Dengan demikian, toko kami menggunakan vPro. Kami mengelola beberapa ratus stasiun kerja jarak jauh yang tidak memiliki dukungan TI di tempat. vPro memberi kami kemampuan untuk melakukan pemecahan masalah di tingkat perangkat keras dan memberikan kemampuan pengaktifan jarak jauh, fitur yang tidak tersedia melalui desktop jarak jauh.

newmanth
sumber
Bagian "Bantu saya memilih" Dell mengatakan bahwa jika Anda tidak mengaktifkan manajemen Out-of-Band saat pembelian, itu tidak dapat ditambahkan kemudian, itulah sebabnya saya mencoba untuk memutuskan sekarang. Kedengarannya seperti minimum yang perlu saya lakukan adalah menyiapkan sertifikat dan ketentuan workstation (yang saya harus mencari tahu bagaimana melakukannya). Bisakah saya menggunakan sertifikat yang ditandatangani sendiri?
codewaggle
Anda benar, jika Anda tidak memilihnya saat memesan mesin, Anda tidak bisa mendapatkannya nanti (fitur ini dinonaktifkan secara permanen). Jadi, silakan memesan, pastikan bahwa Anda menonaktifkannya di MEBx sampai Anda siap menggunakannya. - Anda dapat menggunakan sertifikat yang ditandatangani sendiri, tetapi harus: 1) meminta Dell memuatkan cap jempol di MEBx atau 2) secara manual mengkonfigurasi MEBx di setiap mesin dengan cap jempol yang ditandatangani sendiri (tidak terlalu sulit, hanya sesuatu untuk hati-hati terhadap). Ada alat di luar sana yang memungkinkan Anda untuk membuat konfigurasi bawaan dan mengirim sidik jari kustom melalui USB thumbdrive.
newmanth
Asal tahu saja, jika Anda menggunakan alamat IP statis untuk workstation Anda, Anda akan membutuhkan dua per mesin (satu untuk OS dan satu untuk vPro). Jika mesin Anda mendapatkan penugasannya melalui DHCP, Anda dapat menggunakannya untuk keduanya (yang saya sarankan secara pribadi). Jika Anda memerlukan alamat tetap untuk mesin, gunakan reservasi DHCP sebagai gantinya. - Juga, kami mengelola vPro dengan SCCM, sesuatu yang juga saya rekomendasikan. Saya tahu ini tidak gratis (dan saya tidak bekerja untuk M $), tetapi itu membuat hidup dengan vPro BANYAK lebih mudah setelah dikonfigurasi dengan benar. Anda juga mendapatkan semua jenis trik manajemen konfigurasi lainnya yang sangat berguna.
newmanth
Ketika Anda menyebutkan kunci CA root, saya memikirkan yang digunakan untuk sertifikat SSL. Saya telah membuat sertifikat yang ditandatangani sendiri untuk digunakan pada server web pengembangan menggunakan perintah linux openssl, saya tidak memiliki pembaca sidik jari, apakah sertifikat openssl sudah cukup? Saya memang membaca bahwa koneksi out-of-band menggunakan alamat IP-nya sendiri, saya menggunakan reservasi DHCP untuk menetapkan alamat IP, jadi sepertinya itu tidak masalah. Saya akan melihat SCCM, tetapi berharap untuk menggunakan aplikasi gratis untuk mempelajari jalan saya karena saya hanya akan memiliki satu mesin yang diaktifkan vPro pada saat ini.
codewaggle
Maaf, saya tidak jelas ... ketika saya merujuk ke cap jempol, saya berbicara tentang hash sertifikat (bukan cap jempol yang sebenarnya: P). Untuk sertifikat penyediaan AMT, Anda harus membuat sertifikat PKI dengan OID 2.16.840.1.113741.1.2.3. Saya belum melakukan ini dengan OpenSSL, tetapi itu harus mungkin. Kami menggunakan CA berbasis Windows Server, jadi itulah yang kami lakukan. Technet memiliki instruksi untuk melakukan ini dengan Otoritas Sertifikasi Windows di technet.microsoft.com/en-us/library/… . Anda akan memerlukan Windows Server Enterprise atau lebih baik untuk melakukan templat sertifikat kustom.
newmanth
4

Ya, ada pengorbanan yang terlibat, dan saya curiga pencarian Google cepat akan memberi tahu Anda sebagian besar sudah, tetapi setelah mengatakan itu, periksa dokumen HP ini pada pengorbanan mengaktifkan vpro untuk profesional TI . Ini untuk model HP tertentu, tetapi kasus umumnya sama untuk semua sistem yang Anda gunakan vpro.

Selain dari peningkatan yang diharapkan dalam penggunaan memori, konsumsi daya dan penurunan kinerja jaringan (oh, dan penggunaan ruang drive yang kecil), perlu dicatat bahwa mengaktifkan ini akan menghasilkan sistem yang bertenaga [sampai batas tertentu] setiap saat. Beberapa watt energi yang terbuang tidak seberapa dibandingkan dengan peringatan penting yang Anda perlukan untuk memutuskan daya A / C, daripada hanya mematikan mesin untuk melakukan instalasi / penggantian perangkat keras apa pun. (Latihan yang bagus, tetapi kebanyakan orang tidak peduli.)

Dan kemudian apa yang mungkin menjadi perhatian terbesar adalah implikasi keamanan dan privasi. Karena tidak ada cara mudah untuk mengetahui dari workstation jika seseorang menggunakan alat manajemen OOB ini tanpa persetujuan Anda, Anda benar-benar memastikan keamanan Anda siap untuk dimusnahkan, dan jaringan Anda cukup tangguh terhadap intrusi sebelum menerapkan hal seperti ini.

Wikipedia memiliki lebih banyak tentang implikasi keamanan dan privasi , tetapi saran saya adalah jika Anda tidak perlu atau berencana untuk menggunakan manajemen OoB, Anda menginstal pintu belakang ke sistem Anda tanpa alasan. Jadi jangan. Sungguh, ini adalah workstation, aplikasi KVM jarak jauh apa yang perlu Anda lihat untuk hal ini yang tidak dapat Anda lakukan dengan Remote Desktop?

HopelessN00b
sumber
Saya melakukan lebih dari pencarian Google cepat dan menghabiskan berjam-jam meneliti sebelum mengajukan pertanyaan, sayangnya, saya tidak tahu tentang masalah IT dan tidak dapat menentukan jawaban atas pertanyaan saya dengan melihat informasi yang tersedia. Saya akan menambahkan informasi tambahan tentang apa yang saya lihat pada jawaban saya.
codewaggle
Saya menghabiskan sebagian besar waktu saya di stackoverflow dan telah benar-benar menyarankan kepada orang-orang bahwa mereka memasukkan info tentang apa yang telah mereka coba atau temukan dalam pertanyaan mereka. Sepertinya saya harus mengikuti saran saya sendiri. Satu hal yang menarik perhatian saya dalam dokumen HP adalah bagian "Duplikasi Hard Drive" di mana dikatakan bahwa karena pengontrol jaringan divirtualisasi, Anda dibatasi untuk menggunakan drive ukuran yang sama ketika kloning melalui perangkat lunak. Dokumen ini dari 2007, jadi saya bertanya-tanya apakah itu masih terjadi. Saya telah meluangkan waktu untuk melihatnya tetapi belum menemukan apa pun. Mungkin saya akan membuat pertanyaan tentang itu.
codewaggle