¿Alguna compensación relacionada con la habilitación de Intel vPro?

8

¿Habilitar vPro deshabilita o entra en conflicto con alguna otra funcionalidad?

Estoy configurando una estación de trabajo Dell Precision T1600. Se agregará a una red pequeña con un servidor y dos escritorios:

  • Servidor CentOS utilizado para compartir archivos a través de Samba y hosting para desarrollo web
  • Windows Vista utilizado para desarrollo y pruebas
  • Windows XP Pro usado para desarrollo y pruebas
  • Switch Gigabit
  • Enrutador que actúa como servidor DHCP, pero todas las computadoras usan direcciones IP asignadas

La nueva estación de trabajo tendrá Win 7 Pro con modo XP. Se utilizará para el desarrollo web y el procesamiento de gráficos: Eclipse, Netbeans, Visual Studio, Photoshop, etc.

Las opciones fuera de banda que se ofrecen para la configuración son:

  • Tecnología Intel vPro habilitada
  • Capacidad de administración estándar de Intel
  • Sin gestión de sistemas fuera de banda

No espero tener mucha necesidad de administración fuera de banda en este momento, pero planeo continuar agregando estaciones de trabajo en el futuro. La estación de trabajo tendrá una tarjeta gráfica discreta, por lo que Remote KVM no estará disponible.

Me gustaría tener las capacidades ofrecidas por vPro disponibles, pero me gustaría saber si hay compensaciones involucradas.

¿Se deben agregar o cambiar etiquetas para esta pregunta?


Aquí está la información que marqué como favorita durante mi investigación:

Miré las preguntas frecuentes sobre la tecnología Intel vPro

Dijo que no hubo impacto en el rendimiento:
P6: ¿Cuál es el impacto de la tecnología Intel® vPro ™ y su motor de administración en el rendimiento de la PC?
A6: El impacto de la tecnología Intel vPro en el rendimiento de la PC no es perceptible para el usuario final.

Miré la entrada de Wikipedia de Intel Active Management Technology , no mencionó ningún inconveniente.

Miré a Remote PC Management con Intel vPro en el sitio de hardware de Tom, no mencionó ninguna compensación.

Por culpa del servidor, solo hubo unas 15 preguntas para amt y vPro combinadas. Estuve a favor de este y miré algunos de los enlaces sugeridos. ¿Cómo administro las PC con vPro?

Herramientas y utilidades para Intel vPro Technoloy

Miré páginas adicionales, pero las de arriba son las que marqué.


Información proporcionada en respuestas y comentarios:

Mi caso específico se refiere a una estación de trabajo, pero usaré "cliente" para representar el sistema en el que vPro está habilitado.

Parece que la activación de vPro no impone limitaciones, pero puede crear problemas de seguridad si el cliente no se aprovisiona correctamente durante la instalación.

vPro debe estar habilitado en la compra o está deshabilitado permanentemente. Puede deshabilitarlo temporalmente en MEBx (Management Engine BIOS Extension).

vPro provoca un mayor uso de memoria, consumo de energía y una disminución del rendimiento de la red.
(Intel declara que el impacto en el rendimiento de la PC no es perceptible para el usuario final)

Se utiliza una pequeña cantidad de espacio en el disco.

El sistema está alimentado [hasta cierto punto] en todo momento. Es importante desconectar la alimentación del aire acondicionado, en lugar de simplemente apagar la máquina para realizar cualquier instalación / reemplazo de hardware.

Necesita la arquitectura de fondo para admitirlo.

Dos direcciones IP por máquina (una para el sistema operativo y otra para vPro).
Si sus máquinas obtienen sus asignaciones a través de DHCP, puede usar una para ambas.
Si necesita una dirección fija para una máquina, use una reserva DHCP en su lugar.


Implicaciones de seguridad y privacidad:

Básicamente, está instalando una puerta trasera en su sistema.

No hay una manera fácil de saber desde el cliente si alguien está usando esta herramienta de administración de OoB sin su consentimiento, pero vPro se puede configurar para proporcionar notificaciones a los usuarios cuando una sesión remota está activa (dependiendo de las políticas de su empresa).

Debe aprovisionar al cliente de inmediato si la administración fuera de banda está habilitada, porque de forma predeterminada, vPro está preaprovisionado con claves de CA raíz de proveedores conocidos (por ejemplo, VeriSign, GoDaddy).
Esto significa que un atacante con acceso a su red podría comprar un certificado AMT y aprovisionar sus máquinas sin que usted lo sepa.

vPro usa PKI y se requiere un certificado de aprovisionamiento de AMT para aprovisionar al cliente. El enfoque más fácil es comprar un certificado de aprovisionamiento de AMT de un proveedor.

Puede usar un certificado autofirmado, pero deberá conocer la PKI antes de implementar vPro. Deberá:
1) hacer que el proveedor precargue el hash del certificado en MEBx (Existen herramientas que le permiten crear la configuración de aprovisionamiento y enviar el hash del certificado personalizado a través de una unidad USB).
2) configurar manualmente MEBx en CADA máquina con su hash de certificado autofirmado.

Para el certificado de aprovisionamiento de AMT, debe crear el certificado PKI con un OID de 2.16.840.1.113741.1.2.3.

Si usa una CA basada en Windows Server, necesitará Windows Server Enterprise o superior para hacer plantillas de certificados personalizadas.
Technet tiene instrucciones para hacerlo con la Autoridad de certificación de Windows (consulte el enlace a continuación).

Si usa Linux: puede ser posible usar OpenSSL para crear el certificado PKI, ¿alguien puede confirmar esto?

Una vez que el cliente se aprovisiona adecuadamente, es bastante seguro, ya que solo confiará en una persona que llama que posee la clave privada AMT que originalmente asoció la máquina.


Sugerencias:
Administre vPro con SCCM, no es gratuito, pero hace que la vida con vPro sea MUCHO más fácil una vez que está configurado correctamente. También obtienes todo tipo de trucos de administración de configuración que son muy útiles.


Enlaces proporcionados en respuestas y comentarios:
Requisitos previos de vPro y compensaciones para la PC empresarial dc7800p con tecnología de procesador Intel vPro (PDF)

Seguridad vPro (Wikipedia)

Solicitud, instalación y preparación del certificado de aprovisionamiento de AMT (MicroSoft TechNet)

codewaggle
fuente
1
Completamente fuera de tema para su pregunta, pero relacionado con la seguridad y personalmente considero que esto es un riesgo mayor ... usted mencionó el intercambio de archivos y el alojamiento web en el mismo servidor ... así, si alguien, por ejemplo, hackeó su sitio web por a través de varios medios ... él / ella ahora tendría acceso a TODOS sus datos sobre esos recursos compartidos potencialmente. ¿Puede permitirse ese riesgo para la empresa?
Cold T
No había pensado en esto porque los sitios web son para desarrollo y se accede mediante la asignación de un nombre de dominio de prueba a la dirección IP de red del servidor web en los hostsarchivos del cliente . Pero el servidor tiene acceso al mundo real a través del enrutador, supongo que debería bloquear el tráfico entrante en los puertos utilizados para la web y los servidores de archivos. Otra cosa que hacer,
muchas

Respuestas:

6

La implementación de OOB no es un ejercicio trivial en absoluto, y requiere una gran cantidad de planificación e inversión. Simplemente activar vPro no es suficiente, también debe tener la arquitectura de fondo para admitirlo. A menos que esté listo para implementar inmediatamente la administración fuera de banda, mi recomendación es dejar vPro apagado, porque de forma predeterminada, vPro está preaprovisionado con claves CA raíz de proveedores conocidos (por ejemplo, VeriSign, GoDaddy). Un atacante con acceso a su red podría comprar un certificado AMT y aprovisionar sus máquinas sin que usted lo sepa ...

Dado que vPro usa PKI, una vez aprovisionada correctamente, la arquitectura es realmente bastante segura, ya que los clientes solo confiarán en un llamante que posea la clave privada AMT que originalmente asoció la máquina. vPro se puede configurar para proporcionar notificaciones a los usuarios cuando una sesión remota está activa (según las políticas de su empresa).

Dicho esto, nuestra tienda usa vPro. Gestionamos varios cientos de estaciones de trabajo remotas que no tienen soporte de TI en el sitio. vPro nos brinda la capacidad de realizar la resolución de problemas a nivel de hardware y brinda la capacidad de encendido remoto, características que no están disponibles a través del escritorio remoto.

newmanth
fuente
La sección "Ayúdame a elegir" de Dell dice que si no habilitas la administración fuera de banda en la compra, no se puede agregar más tarde, es por eso que estoy tratando de decidir ahora. Parece que lo mínimo que tendría que hacer es configurar un certificado y aprovisionar la estación de trabajo (que tendré que averiguar cómo hacerlo). ¿Puedo usar un certificado autofirmado?
codewaggle
Tiene razón, si no lo selecciona cuando ordena su máquina, no puede obtenerlo más tarde (la función está desactivada permanentemente). Entonces, adelante y ordénelo, solo asegúrese de deshabilitarlo en MEBx hasta que esté listo para usarlo. - Puede usar un certificado autofirmado, pero deberá: 1) hacer que Dell cargue previamente la huella digital en MEBx o 2) configurar manualmente MEBx en CADA máquina con su huella digital autofirmada (no es tan difícil, solo algo para ser consciente de). Existen herramientas que le permiten crear la configuración de aprovisionamiento y enviar la huella digital personalizada a través de una unidad USB.
recién nacido el
Solo para que sepa, si está utilizando direcciones IP estáticas para sus estaciones de trabajo, necesitará dos por máquina (una para el sistema operativo y otra para vPro). Si sus máquinas obtienen sus asignaciones a través de DHCP, puede usar una para ambas (que personalmente recomiendo). Si necesita una dirección fija para una máquina, use una reserva DHCP en su lugar. - Además, gestionamos vPro con SCCM, algo que también recomiendo. Sé que no es gratis (y no trabajo por M $), pero hace que la vida con vPro MUCHO sea más fácil una vez que está configurada correctamente. También obtienes todo tipo de trucos de administración de configuración que son muy útiles.
newmanth
Cuando mencionó las claves de CA raíz, estaba pensando en las utilizadas para los certificados SSL. He creado certificados autofirmados para usar en servidores web de desarrollo utilizando el comando linux openssl, no tengo un lector de huellas digitales, ¿sería suficiente el certificado openssl? Leí que la conexión fuera de banda usa su propia dirección IP, uso las reservas DHCP para asignar las direcciones IP, por lo que parece que debería estar bien. Veré SCCM, pero esperaba usar una aplicación gratuita para aprender a manejar, ya que solo tendré una máquina habilitada para vPro en este momento.
codewaggle
Lo siento, no estaba claro ... cuando me referí a la huella digital, estoy hablando del hash del certificado (no una huella digital real: P). Para el certificado de aprovisionamiento de AMT, debe crear un certificado PKI con un OID de 2.16.840.1.113741.1.2.3. No he hecho esto con OpenSSL, pero debería ser posible. Utilizamos una CA basada en Windows Server, así que así es como hicimos la nuestra. Technet tiene instrucciones para hacerlo con la Autoridad de certificación de Windows en technet.microsoft.com/en-us/library/… . Sin embargo, necesitará Windows Server Enterprise o mejor para hacer plantillas de certificados personalizadas.
newmanth
4

Sí, hay compensaciones involucradas, y sospecho que una búsqueda rápida en Google ya le habría dicho la mayor parte de esto, pero habiendo dicho eso, consulte este documento de HP sobre las compensaciones de habilitar vpro para profesionales de TI . Es para ese modelo específico de HP, pero el caso general es el mismo para cualquier sistema en el que use vpro.

Además del aumento esperado en el uso de la memoria, el consumo de energía y la disminución del rendimiento de la red (oh, y el pequeño uso del espacio en el disco), vale la pena señalar que habilitar esto dará como resultado que el sistema se alimente [hasta cierto punto] en todo momento. Los pocos vatios de energía que desperdician no son muy comparados con la advertencia importante de que necesitará desconectar la alimentación del aire acondicionado, en lugar de simplemente apagar la máquina para realizar cualquier instalación / reemplazo de hardware. (Buena práctica de todos modos, pero la mayoría de las personas no se molestan).

Y luego, lo que probablemente sería la mayor preocupación son las implicaciones de seguridad y privacidad. Dado que no hay una manera fácil de saber desde la estación de trabajo si alguien está utilizando esta herramienta de administración de OoB sin su consentimiento, es mejor asegurarse de que su seguridad esté a la altura y que su red esté razonablemente bien protegida contra intrusiones antes de implementar algo como esto.

Wikipedia tiene más información sobre las implicaciones de seguridad y privacidad , pero mi consejo es que si no necesita o planea usar la administración de OoB, está instalando una puerta trasera en su sistema sin ningún motivo. Entonces no lo hagas. Realmente, es una estación de trabajo, ¿qué aplicaciones KVM remotas ve que necesita para esto que no puede hacer con Escritorio remoto?

HopelessN00b
fuente
Hice más de una búsqueda rápida en Google y pasé horas investigando antes de hacer la pregunta, desafortunadamente, no estoy tan bien informado sobre asuntos de TI y no pude determinar la respuesta a mi pregunta mirando la información disponible. Agregaré información adicional sobre lo que he visto a mi respuesta.
codewaggle
Paso la mayor parte de mi tiempo en stackoverflow y, de hecho, he sugerido a las personas que incluyan información sobre lo que han intentado o descubierto en su pregunta. Parece que debería seguir mi propio consejo. Una cosa que me llamó la atención en el documento de HP fue la sección "Duplicación del disco duro" donde decía que debido a que el controlador de red está virtualizado, está limitado a usar el mismo tamaño de disco cuando clona a través de un software. El documento es de 2007, así que me preguntaba si ese sigue siendo el caso. He pasado un tiempo buscándolo, pero no he encontrado nada. Tal vez crearé una pregunta al respecto.
codewaggle