Alguma troca envolvida na ativação do Intel vPro?

8

A ativação do vPro desativa ou entra em conflito com qualquer outra funcionalidade?

Estou configurando uma estação de trabalho Dell Precision T1600. Ele será adicionado a uma pequena rede com um servidor e dois desktops:

  • Servidor CentOS usado para compartilhamento de arquivos via Samba e hospedagem para desenvolvimento web
  • Windows Vista usado para desenvolvimento e teste
  • Windows XP Pro usado para desenvolvimento e teste
  • Switch Gigabit
  • Roteador que atua como servidor DHCP, mas todos os computadores usam endereços IP atribuídos

A nova estação de trabalho terá o Win 7 Pro no modo XP. Ele será usado para desenvolvimento web e processamento gráfico: Eclipse, Netbeans, Visual Studio, Photoshop, etc.

As opções Out-of-Band oferecidas para configuração são:

  • Tecnologia Intel vPro ativada
  • Gerenciamento padrão da Intel
  • Sem gerenciamento de sistemas fora da banda

Não espero ter muita necessidade de gerenciamento fora de banda neste momento, mas pretendo continuar adicionando estações de trabalho no futuro. A estação de trabalho terá uma placa gráfica discreta, portanto o KVM remoto não estará disponível.

Gostaria de ter os recursos oferecidos pelo vPro disponíveis, mas gostaria de saber se há algum trade-off envolvido.

Alguma tag deve ser adicionada ou alterada para esta pergunta?

Aqui estão as informações que eu marquei durante minha pesquisa:

Eu olhei para as Perguntas frequentes da tecnologia Intel vPro

Ele disse que não havia impacto no desempenho:
Q6: Qual é o impacto da tecnologia Intel® vPro ™ e de seu mecanismo de gerenciamento no desempenho do PC?
R6: O impacto da tecnologia Intel vPro no desempenho do PC não é perceptível para o usuário final.

Olhei para a entrada da Wikipédia Intel Active Management Technology , que não mencionou nenhuma desvantagem.

Eu olhei para o Gerenciamento Remoto de PCs com o vPro da Intel no site de hardware do Tom, que não mencionou nenhum compromisso.

Por falha do servidor, havia apenas 15 perguntas para o amt e o vPro combinados. Favoritei este e olhei para alguns dos links sugeridos. Como gerencio PCs com vPro?

Ferramentas e utilitários para o Intel vPro Technoloy

Eu olhei para páginas adicionais, mas as acima são as que eu marquei.

Informações fornecidas em respostas e comentários:

Meu caso específico diz respeito a uma estação de trabalho, mas usarei "cliente" para representar o sistema no qual o vPro está sendo ativado.

Parece que a ativação do vPro não impõe limitações, mas pode criar problemas de segurança se o cliente não for provisionado corretamente durante a instalação.

O vPro deve estar ativado na compra ou está permanentemente desativado. Pode desativá-lo temporariamente na MEBx (extensão do BIOS do mecanismo de gerenciamento).

O vPro causa aumento no uso de memória, consumo de energia e diminuição do desempenho da rede.
(A Intel afirma que o impacto no desempenho do PC não é perceptível para o usuário final)

É usada uma pequena quantidade de espaço em disco.

O sistema é alimentado [até certo ponto] o tempo todo. É importante desconectar a energia do A / C, em vez de apenas desligar a máquina para fazer quaisquer instalações / substituições de hardware.

Você precisa da arquitetura de back-end para suportá-la.

Dois endereços IP por máquina (um para o sistema operacional e outro para vPro).
Se suas máquinas obtiverem suas atribuições via DHCP, você poderá usar uma para ambas.
Se você precisar de um endereço fixo para uma máquina, use uma reserva DHCP.

Implicações de segurança e privacidade:

Você está essencialmente instalando um backdoor no seu sistema.

Não há uma maneira fácil de dizer ao cliente se alguém está usando essa ferramenta de gerenciamento OoB sem o seu consentimento, mas o vPro pode ser configurado para notificar os usuários quando uma sessão remota estiver ativa (dependendo das políticas da sua empresa).

Você deve provisionar imediatamente o cliente se o gerenciamento fora de banda estiver ativado, porque, por padrão, o vPro é pré-provisionado com chaves CA raiz de fornecedores conhecidos (por exemplo, VeriSign, GoDaddy).
Isso significa que um invasor com acesso à sua rede pode comprar um certificado AMT e provisionar suas máquinas sem que você saiba.

O vPro usa PKI e um certificado de provisionamento AMT é necessário para provisionar o cliente. A abordagem mais fácil é comprar um certificado de provisionamento AMT de um fornecedor.

Você pode usar um certificado autoassinado, mas precisará conhecer a PKI antes de implantar o vPro. Você precisará:
1) solicitar ao fornecedor que pré-carregue o hash do certificado no MEBx (existem ferramentas disponíveis no mercado que permitem criar a configuração de provisionamento e enviar o hash do certificado personalizado via USB thumbdrive.)
2) configurar manualmente o MEBx em TODAS as máquinas com seu hash de certificado autoassinado.

Para o certificado de provisionamento AMT, é necessário criar o certificado PKI com um OID de 2.16.840.1.113741.1.2.3.

Se você usa uma CA baseada no Windows Server, precisará do Windows Server Enterprise ou superior para criar modelos de certificados personalizados.
A Technet tem instruções para fazer isso com a Autoridade de Certificação do Windows (consulte o link abaixo).

Se estiver usando Linux: pode ser possível usar o OpenSSL para criar o certificado PKI, alguém pode confirmar isso?

Uma vez que o cliente é provisionado corretamente, é bastante seguro, pois confiará apenas em um chamador que possua a chave privada AMT que originalmente associou a máquina.

Sugestões:
gerencie o vPro com SCCM, ele não é gratuito, mas facilita muito a vida com o vPro depois de configurado corretamente. Você também recebe todos os outros truques de gerenciamento de configuração que são muito úteis.

Links fornecidos em respostas e comentários:
Pré-requisitos e trade-offs do vPro para o dc7800p Business PC com tecnologia Intel vPro Processor (PDF)

Segurança vPro (Wikipedia)

Solicitando, instalando e preparando o certificado de provisionamento AMT (MicroSoft TechNet)

networking  amt  intel 
codewaggle
fonte
1
Completamente fora de tópico para a sua pergunta, mas relacionado à segurança e, pessoalmente, vejo isso como um risco maior ... você mencionou o compartilhamento de arquivos e a hospedagem na web no mesmo servidor ... portanto, se alguém, por exemplo, invadiu o próprio site por por vários meios ... agora ele / ela teria acesso a TODOS os seus dados sobre esses compartilhamentos potencialmente. Você pode arcar com esse risco para a empresa?
Fria T
Eu não tinha pensado nisso porque os sites são para desenvolvimento e acesso, atribuindo um nome de domínio de teste ao endereço IP de rede do servidor da web nos hostsarquivos do cliente . Mas o servidor tem acesso ao mundo real através do roteador, acho que devo bloquear o tráfego de entrada nas portas usadas para os servidores de arquivos e da web. Outra coisa a fazer, muito obrigado :)
codewaggle

Respostas:

6

A implementação do OOB não é um exercício trivial de forma alguma e requer uma quantidade significativa de planejamento e investimento. Simplesmente ativar o vPro não é suficiente; você também precisa da arquitetura de back-end para suportá-lo. A menos que você esteja pronto para implementar imediatamente o gerenciamento fora de banda, minha recomendação é deixar o vPro desativado, porque, por padrão, o vPro é pré-provisionado com chaves CA raiz de fornecedores conhecidos (por exemplo, VeriSign, GoDaddy). Um invasor com acesso à sua rede pode comprar um certificado AMT e provisionar suas máquinas sem que você saiba ...

Como o vPro usa PKI, uma vez provisionada corretamente, a arquitetura é realmente bastante segura, pois os clientes confiarão apenas em um chamador que possua a chave privada AMT que originalmente associou a máquina. O vPro pode ser configurado para fornecer notificação aos usuários quando uma sessão remota estiver ativa (dependendo das políticas da sua empresa).

Com isso dito, nossa loja usa vPro. Gerenciamos várias centenas de estações de trabalho remotas que não têm suporte de TI no local. O vPro nos permite executar a solução de problemas no nível do hardware e fornece o recurso de inicialização remota, recursos que não estão disponíveis na área de trabalho remota.

newmanth
fonte
A seção "Ajude-me a escolher" da Dell diz que, se você não ativar o gerenciamento fora de banda na compra, ele não poderá ser adicionado posteriormente, é por isso que estou tentando decidir agora. Parece que o mínimo que eu precisaria fazer é configurar um certificado e provisionar a estação de trabalho (que eu precisarei descobrir como fazer). Posso usar um certificado autoassinado?
Codewaggle 24/07/12
Você está correto, se você não selecioná-lo quando encomendar sua máquina, não poderá obtê-lo mais tarde (o recurso está permanentemente desativado). Então, vá em frente e faça o pedido, apenas desative-o na MEBx até estar pronto para usá-lo. - Você pode usar um certificado autoassinado, mas precisará: 1) fazer a Dell pré-carregar a impressão digital na MEBx ou 2) configurar manualmente a MEBx em TODAS as máquinas com sua impressão digital autoassinada (não tão difícil assim, apenas algo para estar ciente de). Existem ferramentas por aí que permitem criar a configuração de provisionamento e enviar a impressão digital personalizada via pen drive USB.
newmanth
Só para você saber, se estiver usando endereços IP estáticos para suas estações de trabalho, precisará de dois por máquina (um para o sistema operacional e outro para o vPro). Se suas máquinas obtiverem suas atribuições via DHCP, você poderá usar uma para ambas (o que eu pessoalmente recomendo). Se você precisar de um endereço fixo para uma máquina, use uma reserva DHCP. - Além disso, gerenciamos o vPro com SCCM, algo que eu também recomendo. Sei que não é gratuito (e não trabalho por M $), mas facilita muito a vida com o vPro quando configurado corretamente. Você também recebe todos os tipos de outros truques de gerenciamento de configuração que são muito úteis.
newmanth
Quando você mencionou as chaves da CA raiz, eu estava pensando naquelas usadas para certificados SSL. Eu criei certificados autoassinados para uso em servidores Web de desenvolvimento usando o comando linux openssl, não tenho um leitor de impressão digital, o certificado openssl seria suficiente? Eu li que a conexão fora de banda usa seu próprio endereço IP, eu uso reservas de DHCP para atribuir os endereços IP, então parece que tudo deve ficar bem. Vou dar uma olhada no SCCM, mas esperava usar um aplicativo gratuito para aprender o caminho, já que neste momento só tenho uma máquina habilitada para vPro.
Codewaggle
Desculpe, eu não estava claro ... quando me referi à impressão digital, estou falando sobre o hash do certificado (não uma impressão digital real: P). Para o certificado de provisionamento AMT, é necessário criar um certificado PKI com um OID de 2.16.840.1.113741.1.2.3. Eu não fiz isso com o OpenSSL, mas deve ser possível. Usamos uma CA baseada no Windows Server, e foi assim que fizemos a nossa. A Technet tem instruções para fazer isso com a Autoridade de Certificação do Windows em technet.microsoft.com/en-us/library/… . Você precisará do Windows Server Enterprise ou superior para criar modelos de certificados personalizados.
Newmanth
4

Sim, existem vantagens e desvantagens, e suspeito que uma rápida pesquisa no Google já tenha lhe contado a maior parte disso, mas, tendo dito isso, verifique este documento da HP sobre as vantagens de ativar o vpro para profissionais de TI . É para esse modelo específico da HP, mas o caso geral é o mesmo para qualquer sistema em que você usa o vpro.

Além do aumento esperado no uso de memória, consumo de energia e desempenho reduzido da rede (oh, e o pequeno uso de espaço em disco), vale a pena notar que ativar isso resultará na alimentação do sistema [em certa medida] o tempo todo. Os poucos watts de energia que são desperdiçados não são muito comparados com a ressalva importante de que você precisará desconectar a energia do A / C, em vez de apenas desligar a máquina para fazer quaisquer instalações / substituições de hardware. (De qualquer forma, boas práticas, mas a maioria das pessoas não se incomoda.)

E então o que provavelmente seria a maior preocupação são as implicações de segurança e privacidade. Como não há uma maneira fácil de dizer a partir da estação de trabalho se alguém está usando esta ferramenta de gerenciamento OoB sem o seu consentimento, é melhor garantir que sua segurança esteja sempre boa e que sua rede esteja razoavelmente bem protegida contra invasões antes de implementar algo assim.

A Wikipedia tem um pouco mais sobre as implicações de segurança e privacidade , mas o meu conselho é que, se você não precisar ou planeja usar o gerenciamento de OoB, está instalando um backdoor no sistema sem motivo. Então não. Realmente, é uma estação de trabalho, quais aplicativos KVM remotos você vê necessitando para isso que não pode fazer com a Área de Trabalho Remota?

HopelessN00b
fonte
Fiz mais do que uma rápida pesquisa no Google e passei horas pesquisando antes de fazer a pergunta. Infelizmente, não tenho conhecimento sobre assuntos de TI e não consegui determinar a resposta para a minha pergunta olhando as informações disponíveis. Adicionarei informações adicionais sobre o que observei na minha resposta.
Codewaggle 24/07/12
Passo a maior parte do tempo no stackoverflow e, na verdade, sugeri às pessoas que incluíssem informações sobre o que tentaram ou descobriram na pergunta. Parece que eu deveria seguir meu próprio conselho. Uma coisa que chamou minha atenção no documento da HP foi a seção "Duplicação do disco rígido", na qual dizia que, como o controlador de rede é virtualizado, você está limitado a usar a mesma unidade de tamanho ao clonar via software. O documento é de 2007, então eu queria saber se esse ainda é o caso. Passei algum tempo pesquisando, mas não encontrei nada. Talvez eu crie uma pergunta sobre isso.
Codebaggle
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.