L'activation de vPro est-elle désactivée ou en conflit avec d'autres fonctionnalités?
Je configure une station de travail Dell Precision T1600. Il sera ajouté à un petit réseau avec un serveur et deux bureaux:
- Serveur CentOS utilisé pour le partage de fichiers via Samba et l'hébergement pour le développement Web
- Windows Vista utilisé pour le développement et les tests
- Windows XP Pro utilisé pour le développement et les tests
- Commutateur Gigabit
- Routeur qui agit comme serveur DHCP, mais tous les ordinateurs utilisent des adresses IP attribuées
Le nouveau poste de travail aura Win 7 Pro avec le mode XP. Il sera utilisé pour le développement web et le traitement graphique: Eclipse, Netbeans, Visual Studio, Photoshop, etc.
Les options hors bande proposées pour la configuration sont les suivantes:
- Technologie Intel vPro activée
- Gestion standard Intel
- Aucune gestion des systèmes hors bande
Je ne m'attends pas à avoir beaucoup besoin de gestion hors bande à ce stade, mais je prévois de continuer à ajouter des postes de travail à l'avenir. Le poste de travail aura une carte graphique discrète, donc Remote KVM ne sera pas disponible.
J'aimerais que les capacités offertes par vPro soient disponibles, mais j'aimerais savoir s'il y a des compromis à faire.
Faut-il ajouter ou modifier des balises pour cette question?
Voici les informations que j'ai mises en signet lors de mes recherches:
J'ai regardé la FAQ sur la technologie Intel vPro
Il a déclaré qu'il n'y avait aucun impact sur les performances:
Q6: Quel est l'impact de la technologie Intel® vPro ™ et de son moteur de gestion sur les performances du PC?
A6: L'impact de la technologie Intel vPro sur les performances du PC n'est pas perceptible par l'utilisateur final.
J'ai regardé l'entrée wikipedia Intel Active Management Technology , elle n'a mentionné aucun inconvénient.
J'ai regardé Remote PC Management avec Intel vPro sur le site matériel de Tom, il n'a pas mentionné de compromis.
Par défaut du serveur, il n'y avait qu'une quinzaine de questions pour amt et vPro combinées. J'ai favorisé celui-ci et j'ai regardé certains des liens suggérés. Comment gérer les PC avec vPro?
Outils et utilitaires pour Intel vPro Technoloy
J'ai regardé des pages supplémentaires, mais celles ci-dessus sont celles que j'ai mises en signet.
Informations fournies dans les réponses et commentaires:
Mon cas spécifique concerne un poste de travail, mais j'utiliserai "client" pour représenter le système dans lequel vPro est activé.
Il semble que l'activation de vPro n'impose aucune limitation, mais qu'elle peut créer des problèmes de sécurité si le client n'est pas correctement provisionné lors de l'installation.
vPro doit être activé à l'achat ou il est définitivement désactivé. Peut temporairement le désactiver dans MEBx (Management Engine BIOS Extension).
vPro entraîne une utilisation accrue de la mémoire, une consommation d'énergie et une baisse des performances réseau.
(Intel déclare que l'impact sur les performances du PC n'est pas perceptible pour l'utilisateur final)
Une petite quantité d'espace disque est utilisée.
Le système est alimenté [dans une certaine mesure] à tout moment. Il est important de déconnecter l'alimentation A / C, plutôt que de simplement éteindre la machine pour effectuer des installations / remplacements de matériel.
Vous avez besoin de l'architecture principale pour la prendre en charge.
Deux adresses IP par machine (une pour le système d'exploitation et une pour vPro).
Si vos machines obtiennent leurs affectations via DHCP, vous pouvez en utiliser une pour les deux.
Si vous avez besoin d'une adresse fixe pour une machine, utilisez plutôt une réservation DHCP.
Conséquences pour la sécurité et la confidentialité:
Vous installez essentiellement une porte dérobée dans votre système.
Il n'y a pas de moyen facile de dire au client si quelqu'un utilise cet outil de gestion OoB sans votre consentement, mais vPro peut être configuré pour fournir une notification aux utilisateurs lorsqu'une session à distance est active (en fonction des politiques de votre entreprise).
Vous devez immédiatement provisionner le client si la gestion hors bande est activée, car par défaut, vPro est pré-provisionné avec les clés d'autorité de certification racine de fournisseurs bien connus (par exemple VeriSign, GoDaddy).
Cela signifie qu'un attaquant ayant accès à votre réseau pourrait acheter un certificat AMT et provisionner vos machines à votre insu.
vPro utilise PKI et un certificat de configuration AMT est requis pour provisionner le client. L'approche la plus simple consiste à acheter un certificat de configuration AMT auprès d'un fournisseur.
Vous pouvez utiliser un certificat auto-signé, mais vous devrez connaître la PKI avant de déployer vPro. Vous devrez soit:
1) demander au fournisseur de précharger le hachage de certificat dans MEBx (Il existe des outils qui vous permettent de créer la configuration de provisioning et d'envoyer le hachage de certificat personnalisé via une clé USB.)
2) configurer manuellement MEBx sur CHAQUE machine avec votre hachage de certificat auto-signé.
Pour le certificat de configuration AMT, vous devez créer le certificat PKI avec un OID de 2.16.840.1.113741.1.2.3.
Si vous utilisez une autorité de certification Windows Server, vous aurez besoin de Windows Server Enterprise ou mieux pour créer des modèles de certificats personnalisés.
Technet a des instructions pour ce faire avec l'autorité de certification Windows (voir le lien ci-dessous).
Si vous utilisez Linux: il peut être possible d'utiliser OpenSSL pour créer le certificat PKI, quelqu'un peut-il le confirmer?
Une fois que le client est correctement provisionné, il est assez sécurisé, car il ne fera confiance qu'à un appelant qui possède la clé privée AMT qui a initialement associé la machine.
Suggestions:
Gérez vPro avec SCCM, ce n'est pas gratuit, mais cela rend la vie avec vPro BEAUCOUP plus facile une fois qu'il est correctement configuré. Vous obtenez également toutes sortes d'autres astuces de gestion de configuration qui sont très utiles.
Liens fournis dans les réponses et commentaires:
Conditions préalables et compromis vPro pour le PC professionnel dc7800p avec technologie de processeur Intel vPro (PDF)
Sécurité vPro (Wikipedia)
Demande, installation et préparation du certificat de configuration AMT (MicroSoft TechNet)
hosts
fichiers client . Mais le serveur a accès au monde réel via le routeur, je suppose que je devrais bloquer le trafic entrant sur les ports utilisés pour les serveurs Web et de fichiers. Une autre chose à faire, merci beaucoup :)