cod*_*gle 8 networking intel amt
启用 vPro 是否会禁用任何其他功能或与任何其他功能发生冲突?
我正在配置 Dell Precision T1600 工作站。它将被添加到一个带有一台服务器和两台桌面的小型网络中:
新工作站将配备 XP 模式的 Win 7 Pro。它将用于 Web 开发和图形处理:Eclipse、Netbeans、Visual Studio、Photoshop 等。
为配置提供的带外选项包括:
我不认为此时对带外管理有太多需求,但计划在未来继续添加工作站。工作站将配备独立显卡,因此远程 KVM 将不可用。
我想使用 vPro 提供的功能,但我想知道是否涉及任何权衡。
是否应该为此问题添加或更改任何标签?
以下是我在研究过程中标记的信息:
我查看了英特尔博锐技术常见问题解答
它表示对性能没有影响:
Q6:英特尔® 博锐™ 技术及其可管理性引擎对 PC 的性能有什么影响?
A6:最终用户不会注意到英特尔博锐技术对 PC 性能的影响。
我查看了维基百科条目Intel Active Management Technology,它没有提到任何缺点。
我在Tom 的硬件站点上查看了使用英特尔 vPro 的远程 PC 管理,它没有提到任何权衡。
从服务器故障来看,amt 和 vPro 加起来只有大约 15 个问题。我最喜欢这个,并查看了一些建议的链接。如何使用博锐管理 PC?
我查看了其他页面,但以上是我添加书签的页面。
答案和评论中提供的信息:
我的具体案例涉及工作站,但我将使用“客户端”来表示启用 vPro 的系统。
似乎激活 vPro 不会施加任何限制,但如果在安装过程中未正确配置客户端,则可能会产生安全问题。
vPro 必须在购买时启用或永久禁用。可以在 MEBx(管理引擎 BIOS 扩展)中暂时禁用它。
vPro 会导致内存使用量增加、功耗增加和网络性能下降。
(英特尔表示最终用户不会注意到对 PC 性能的影响)
使用少量驱动器空间。
系统始终[在某种程度上]供电。重要的是断开 A/C 电源,而不仅仅是关闭机器电源以进行任何硬件安装/更换。
您需要后端架构来支持它。
每台机器两个 IP 地址(一个用于操作系统,一个用于 vPro)。
如果您的机器通过 DHCP 获得它们的分配,您可以为两者使用一个。
如果您需要一台机器的固定地址,请改用 DHCP 预留。
安全和隐私影响:
你实际上是在你的系统中安装了一个后门。
没有简单的方法可以从客户端判断是否有人在未经您同意的情况下使用此 OoB 管理工具,但可以将博锐配置为在远程会话处于活动状态时向用户提供通知(取决于您公司的政策)。
如果启用了带外管理,您应该立即配置客户端,因为默认情况下,vPro 预先配置了来自知名供应商(例如 VeriSign、GoDaddy)的根 CA 密钥。
这意味着可以访问您网络的攻击者可以购买 AMT 证书并在您不知情的情况下配置您的机器。
vPro 使用 PKI,并且需要 AMT 供应证书来供应客户端。最简单的方法是从供应商处购买 AMT 配置证书。
您可以使用自签名证书,但在部署 vPro 之前,您需要了解 PKI。您需要:
1)让供应商在 MEBx 中预加载证书哈希(有一些工具允许您创建配置并通过 USB 拇指驱动器发送自定义证书哈希。)
2)在每台机器上手动配置 MEBx使用您的自签名证书哈希。
对于 AMT 配置证书,您必须创建 OID 为 2.16.840.1.113741.1.2.3 的 PKI 证书。
如果您使用基于 Windows Server 的 CA,您将需要 Windows Server Enterprise 或更好的版本来执行自定义证书模板。
Technet 有使用 Windows 证书颁发机构执行此操作的说明(请参阅下面的链接)。
如果使用 Linux:可以使用 OpenSSL 创建 PKI 证书,有人可以确认吗?
一旦正确配置了客户端,它就非常安全,因为它只会信任拥有最初关联机器的 AMT 私钥的调用者。
建议:
使用 SCCM 管理 vPro,它不是免费的,但一旦正确配置,它会使 vPro 的生活变得更轻松。您还可以获得各种其他非常有用的配置管理技巧。
答案和评论中提供的链接:
采用英特尔博锐处理器技术的 dc7800p 商用 PC 的博锐先决条件和权衡(PDF)
博锐安全(维基百科)
请求、安装和准备 AMT 供应证书(MicroSoft TechNet)
无论如何,OOB 的实施都不是一项微不足道的工作,需要大量的规划和投资。简单地打开 vPro 是不够的,您还必须有后端架构来支持它。除非您准备立即实施带外管理,否则我的建议是关闭 vPro,因为默认情况下,vPro 预配置了来自知名供应商(例如 VeriSign、GoDaddy)的根 CA 密钥。可以访问您的网络的攻击者可以购买 AMT 证书并在您不知道的情况下配置您的机器......
由于 vPro 使用 PKI,一旦正确配置架构实际上是非常安全的,因为客户端将只信任拥有最初关联机器的 AMT 私钥的调用者。vPro 可以配置为在远程会话处于活动状态时向用户提供通知(取决于您公司的策略)。
话虽如此,我们的商店使用 vPro。我们管理着数百个没有现场 IT 支持的远程工作站。vPro 使我们能够在硬件级别执行故障排除,并提供远程开机功能,这是远程桌面无法提供的功能。
| 归档时间: |
|
| 查看次数: |
6920 次 |
| 最近记录: |