¿Habilitar vPro deshabilita o entra en conflicto con alguna otra funcionalidad?
Estoy configurando una estación de trabajo Dell Precision T1600. Se agregará a una red pequeña con un servidor y dos escritorios:
- Servidor CentOS utilizado para compartir archivos a través de Samba y hosting para desarrollo web
- Windows Vista utilizado para desarrollo y pruebas
- Windows XP Pro usado para desarrollo y pruebas
- Switch Gigabit
- Enrutador que actúa como servidor DHCP, pero todas las computadoras usan direcciones IP asignadas
La nueva estación de trabajo tendrá Win 7 Pro con modo XP. Se utilizará para el desarrollo web y el procesamiento de gráficos: Eclipse, Netbeans, Visual Studio, Photoshop, etc.
Las opciones fuera de banda que se ofrecen para la configuración son:
- Tecnología Intel vPro habilitada
- Capacidad de administración estándar de Intel
- Sin gestión de sistemas fuera de banda
No espero tener mucha necesidad de administración fuera de banda en este momento, pero planeo continuar agregando estaciones de trabajo en el futuro. La estación de trabajo tendrá una tarjeta gráfica discreta, por lo que Remote KVM no estará disponible.
Me gustaría tener las capacidades ofrecidas por vPro disponibles, pero me gustaría saber si hay compensaciones involucradas.
¿Se deben agregar o cambiar etiquetas para esta pregunta?
Aquí está la información que marqué como favorita durante mi investigación:
Miré las preguntas frecuentes sobre la tecnología Intel vPro
Dijo que no hubo impacto en el rendimiento:
P6: ¿Cuál es el impacto de la tecnología Intel® vPro ™ y su motor de administración en el rendimiento de la PC?
A6: El impacto de la tecnología Intel vPro en el rendimiento de la PC no es perceptible para el usuario final.
Miré la entrada de Wikipedia de Intel Active Management Technology , no mencionó ningún inconveniente.
Miré a Remote PC Management con Intel vPro en el sitio de hardware de Tom, no mencionó ninguna compensación.
Por culpa del servidor, solo hubo unas 15 preguntas para amt y vPro combinadas. Estuve a favor de este y miré algunos de los enlaces sugeridos. ¿Cómo administro las PC con vPro?
Herramientas y utilidades para Intel vPro Technoloy
Miré páginas adicionales, pero las de arriba son las que marqué.
Información proporcionada en respuestas y comentarios:
Mi caso específico se refiere a una estación de trabajo, pero usaré "cliente" para representar el sistema en el que vPro está habilitado.
Parece que la activación de vPro no impone limitaciones, pero puede crear problemas de seguridad si el cliente no se aprovisiona correctamente durante la instalación.
vPro debe estar habilitado en la compra o está deshabilitado permanentemente. Puede deshabilitarlo temporalmente en MEBx (Management Engine BIOS Extension).
vPro provoca un mayor uso de memoria, consumo de energía y una disminución del rendimiento de la red.
(Intel declara que el impacto en el rendimiento de la PC no es perceptible para el usuario final)
Se utiliza una pequeña cantidad de espacio en el disco.
El sistema está alimentado [hasta cierto punto] en todo momento. Es importante desconectar la alimentación del aire acondicionado, en lugar de simplemente apagar la máquina para realizar cualquier instalación / reemplazo de hardware.
Necesita la arquitectura de fondo para admitirlo.
Dos direcciones IP por máquina (una para el sistema operativo y otra para vPro).
Si sus máquinas obtienen sus asignaciones a través de DHCP, puede usar una para ambas.
Si necesita una dirección fija para una máquina, use una reserva DHCP en su lugar.
Implicaciones de seguridad y privacidad:
Básicamente, está instalando una puerta trasera en su sistema.
No hay una manera fácil de saber desde el cliente si alguien está usando esta herramienta de administración de OoB sin su consentimiento, pero vPro se puede configurar para proporcionar notificaciones a los usuarios cuando una sesión remota está activa (dependiendo de las políticas de su empresa).
Debe aprovisionar al cliente de inmediato si la administración fuera de banda está habilitada, porque de forma predeterminada, vPro está preaprovisionado con claves de CA raíz de proveedores conocidos (por ejemplo, VeriSign, GoDaddy).
Esto significa que un atacante con acceso a su red podría comprar un certificado AMT y aprovisionar sus máquinas sin que usted lo sepa.
vPro usa PKI y se requiere un certificado de aprovisionamiento de AMT para aprovisionar al cliente. El enfoque más fácil es comprar un certificado de aprovisionamiento de AMT de un proveedor.
Puede usar un certificado autofirmado, pero deberá conocer la PKI antes de implementar vPro. Deberá:
1) hacer que el proveedor precargue el hash del certificado en MEBx (Existen herramientas que le permiten crear la configuración de aprovisionamiento y enviar el hash del certificado personalizado a través de una unidad USB).
2) configurar manualmente MEBx en CADA máquina con su hash de certificado autofirmado.
Para el certificado de aprovisionamiento de AMT, debe crear el certificado PKI con un OID de 2.16.840.1.113741.1.2.3.
Si usa una CA basada en Windows Server, necesitará Windows Server Enterprise o superior para hacer plantillas de certificados personalizadas.
Technet tiene instrucciones para hacerlo con la Autoridad de certificación de Windows (consulte el enlace a continuación).
Si usa Linux: puede ser posible usar OpenSSL para crear el certificado PKI, ¿alguien puede confirmar esto?
Una vez que el cliente se aprovisiona adecuadamente, es bastante seguro, ya que solo confiará en una persona que llama que posee la clave privada AMT que originalmente asoció la máquina.
Sugerencias:
Administre vPro con SCCM, no es gratuito, pero hace que la vida con vPro sea MUCHO más fácil una vez que está configurado correctamente. También obtienes todo tipo de trucos de administración de configuración que son muy útiles.
Enlaces proporcionados en respuestas y comentarios:
Requisitos previos de vPro y compensaciones para la PC empresarial dc7800p con tecnología de procesador Intel vPro (PDF)
Seguridad vPro (Wikipedia)
Solicitud, instalación y preparación del certificado de aprovisionamiento de AMT (MicroSoft TechNet)
fuente
hosts
archivos del cliente . Pero el servidor tiene acceso al mundo real a través del enrutador, supongo que debería bloquear el tráfico entrante en los puertos utilizados para la web y los servidores de archivos. Otra cosa que hacer,Respuestas:
La implementación de OOB no es un ejercicio trivial en absoluto, y requiere una gran cantidad de planificación e inversión. Simplemente activar vPro no es suficiente, también debe tener la arquitectura de fondo para admitirlo. A menos que esté listo para implementar inmediatamente la administración fuera de banda, mi recomendación es dejar vPro apagado, porque de forma predeterminada, vPro está preaprovisionado con claves CA raíz de proveedores conocidos (por ejemplo, VeriSign, GoDaddy). Un atacante con acceso a su red podría comprar un certificado AMT y aprovisionar sus máquinas sin que usted lo sepa ...
Dado que vPro usa PKI, una vez aprovisionada correctamente, la arquitectura es realmente bastante segura, ya que los clientes solo confiarán en un llamante que posea la clave privada AMT que originalmente asoció la máquina. vPro se puede configurar para proporcionar notificaciones a los usuarios cuando una sesión remota está activa (según las políticas de su empresa).
Dicho esto, nuestra tienda usa vPro. Gestionamos varios cientos de estaciones de trabajo remotas que no tienen soporte de TI en el sitio. vPro nos brinda la capacidad de realizar la resolución de problemas a nivel de hardware y brinda la capacidad de encendido remoto, características que no están disponibles a través del escritorio remoto.
fuente
Sí, hay compensaciones involucradas, y sospecho que una búsqueda rápida en Google ya le habría dicho la mayor parte de esto, pero habiendo dicho eso, consulte este documento de HP sobre las compensaciones de habilitar vpro para profesionales de TI . Es para ese modelo específico de HP, pero el caso general es el mismo para cualquier sistema en el que use vpro.
Además del aumento esperado en el uso de la memoria, el consumo de energía y la disminución del rendimiento de la red (oh, y el pequeño uso del espacio en el disco), vale la pena señalar que habilitar esto dará como resultado que el sistema se alimente [hasta cierto punto] en todo momento. Los pocos vatios de energía que desperdician no son muy comparados con la advertencia importante de que necesitará desconectar la alimentación del aire acondicionado, en lugar de simplemente apagar la máquina para realizar cualquier instalación / reemplazo de hardware. (Buena práctica de todos modos, pero la mayoría de las personas no se molestan).
Y luego, lo que probablemente sería la mayor preocupación son las implicaciones de seguridad y privacidad. Dado que no hay una manera fácil de saber desde la estación de trabajo si alguien está utilizando esta herramienta de administración de OoB sin su consentimiento, es mejor asegurarse de que su seguridad esté a la altura y que su red esté razonablemente bien protegida contra intrusiones antes de implementar algo como esto.
Wikipedia tiene más información sobre las implicaciones de seguridad y privacidad , pero mi consejo es que si no necesita o planea usar la administración de OoB, está instalando una puerta trasera en su sistema sin ningún motivo. Entonces no lo hagas. Realmente, es una estación de trabajo, ¿qué aplicaciones KVM remotas ve que necesita para esto que no puede hacer con Escritorio remoto?
fuente