web-dev-qa-db-ja.com

Intel vProの有効化に伴うトレードオフはありますか?

vProを有効にすると、他の機能が無効になったり、競合したりしますか?

Dell Precision T1600ワークステーションを構成しています。 1台のサーバーと2台のデスクトップを持つ小規模ネットワークに追加されます。

  • Sambaを介したファイル共有とWeb開発のホスティングに使用されるCentOSサーバー
  • 開発とテストに使用されるWindows Vista
  • Windows XP Proは開発とテストに使用されます
  • ギガビットスイッチ
  • DHCPサーバーとして機能するルーターですが、すべてのコンピューターは割り当てられたIPアドレスを使用します

新しいワークステーションには、XPモードのWin 7 Proが搭載されています。Eclipse、Netbeans、Visual Studio、PhotoshopなどのWeb開発およびグラフィックス処理に使用されます。

構成用に提供されるアウトオブバンドオプションは次のとおりです。

  • Intel vProテクノロジー対応
  • インテルの標準管理機能
  • アウトオブバンドシステム管理なし

現時点では、帯域外管理の必要性はそれほど高くないと思いますが、今後もワークステーションを追加していく予定です。ワークステーションには個別のグラフィックカードが搭載されているため、リモートKVM=は使用できません。

VProが提供する機能を利用できるようにしたいのですが、トレードオフがあるかどうか知りたいのですが。

この質問に対してタグを追加または変更する必要がありますか?


これが私の研究中にブックマークした情報です:

Intel vPro Technology FAQ を見ました

パフォーマンスへの影響はないと述べた。
Q6:PCのパフォーマンスに対するインテル®vPro™テクノロジーとその管理エンジンの影響は何ですか?
A6:PCパフォーマンスに対するIntel vProテクノロジーの影響は、エンドユーザーには気づかれません。

ウィキペディアのエントリ Intel Active Management Technology を調べたところ、マイナス面については触れられていませんでした。

トムのハードウェアサイトで IntelのvProによるリモートPC管理 を確認しましたが、トレードオフについては触れられていませんでした。

サーバー障害から、amtとvProを合わせた質問は約15しかありませんでした。私はこれを好きで、提案されたリンクのいくつかを見ました。 vProでPCを管理するにはどうすればよいですか?

Intel vPro Technoloyのツールとユーティリティ

追加のページを見ましたが、上記はブックマークしたものです。


回答とコメントで提供される情報:

私の特定のケースはワークステーションに関するものですが、vProが有効になっているシステムを表すために「クライアント」を使用します。

VProをアクティブ化しても制限はないようですが、インストール中にクライアントが適切にプロビジョニングされていないと、セキュリティの問題が発生する可能性があります。

vProは購入時に有効にするか、永続的に無効にする必要があります。 MEBx(Management Engine BIOS Extension)で一時的に無効にできます。

vProを使用すると、メモリ使用量、電力消費が増加し、ネットワークパフォーマンスが低下します。
(インテルは、PCパフォーマンスへの影響はエンドユーザーには気づかないと述べています)

少量のドライブ領域が使用されます。

システムは常に[ある程度]電力が供給されています。ハードウェアの取り付け/交換を行うためにマシンの電源を切るだけでなく、A/C電源を切断することが重要です。

それをサポートするには、バックエンドアーキテクチャが必要です。

マシンごとに2つのIPアドレス(1つはOS用、もう1つはvPro用)。
ご使用のマシンがDHCP経由で割り当てを取得している場合、両方に1つを使用できます。
マシンの固定アドレスが必要な場合は、代わりにDHCP予約を使用してください。


セキュリティとプライバシーの影響:

基本的に、システムにバックドアをインストールしています。

誰かがあなたの同意なしにこのOoB管理ツールを使用しているかどうかをクライアントから簡単に知る方法はありませんが、リモートセッションがアクティブなときにユーザーに通知を提供するようにvProを構成できます(会社のポリシーによって異なります)。

アウトオブバンド管理が有効になっている場合は、クライアントをすぐにプロビジョニングする必要があります。デフォルトでは、vProは有名ベンダー(VeriSign、GoDaddyなど)からのルートCAキーで事前にプロビジョニングされています。
これは、ネットワークにアクセスできる攻撃者が、知らないうちにAMT証明書を購入してマシンをプロビジョニングできることを意味します。

vProはPKIを使用し、クライアントのプロビジョニングにはAMTプロビジョニング証明書が必要です。最も簡単な方法は、ベンダーからAMTプロビジョニング証明書を購入することです。

自己署名証明書を使用できますが、vProを展開する前にPKIについて理解している必要があります。次のいずれかを行う必要があります。
1)ベンダーにMEBxで証明書ハッシュをプリロードしてもらいます(プロビジョニング構成を作成し、USBサムドライブを介してカスタム証明書ハッシュを送信できるツールがあります)。
2)自己署名証明書ハッシュを使用して、すべてのマシンでMEBxを手動で構成します。

AMTプロビジョニング証明書の場合、OID 2.16.840.1.113741.1.2.3のPKI証明書を作成する必要があります。

Windows ServerベースのCAを使用する場合、カスタム証明書テンプレートを実行するにはWindows Server Enterprise以上が必要です。
Technetには、Windows証明機関でこれを行うための指示があります(下のリンクを参照)。

Linuxを使用している場合:OpenSSLを使用してPKI証明書を作成することは可能かもしれませんが、誰でもこれを確認できますか?

クライアントが適切にプロビジョニングされると、元々マシンに関連付けられていたAMT秘密キーを所有する呼び出し元のみを信頼するため、クライアントは非常に安全です。


提案:
SCCMを使用してvProを管理します。無料ではありませんが、適切に構成されていれば、vPro A LOTを使いやすくなります。また、非常に役立つ他のすべての種類の構成管理トリックも入手できます。


回答とコメントで提供されるリンク:
インテルvProプロセッサーテクノロジーを搭載したdc7800pビジネスPCのvProの前提条件とトレードオフ (PDF)

vProセキュリティ (ウィキペディア)

AMTプロビジョニング証明書の要求、インストール、および準備 (Microsoft TechNet)

8
codewaggle

OOBの実装は、一筋縄ではいきません。かなりの量の計画と投資が必要です。 vProをオンにするだけでは十分ではありません。それをサポートするには、バックエンドアーキテクチャも必要です。 即時帯域外管理を実装する準備ができていない限り、vProはオフにしておくことをお勧めします。デフォルトでは、vProは有名ベンダー(例: VeriSign、GoDaddy)。ネットワークにアクセスできる攻撃者は、知らないうちにAMT証明書を購入してマシンをプロビジョニングする可能性があります...

VProはPKIを使用するため、クライアントが信頼できるのは、最初にマシンに関連付けられていたAMT秘密鍵を所有する呼び出し元のみであるため、適切にプロビジョニングされたアーキテクチャは実際には非常に安全です。 vProは、リモートセッションがアクティブなときにユーザーに通知するように構成できます(会社のポリシーによって異なります)。

とはいえ、当店ではvProを使用しています。オンサイトITサポートのない数百のリモートワークステーションを管理しています。 vProは、ハードウェアレベルでトラブルシューティングを実行する機能を提供し、リモートデスクトップでは使用できない機能であるリモートパワーオン機能を提供します。

6
newmanth

はい、関連するトレードオフがあり、Googleのクイック検索でこれのほとんどがすでに伝えられていると思われますが、そうは言っても ITプロフェッショナル向けにvproを有効にするトレードオフについては、このHPドキュメントを確認してください 。 HPの特定のモデル用ですが、vproを使用するどのシステムでも一般的なケースは同じです。

予想されるメモリ使用量、電力消費量、およびネットワークパフォーマンスの低下(ああ、小さなドライブ領域の使用量)のほかに、これを有効にすると、システムに常に(ある程度)電力が供給されることに注意してください。無駄になるエネルギーの数ワットは、ハードウェアのインストール/交換を行うためにマシンの電源を切るだけでなく、A/C電源を切断する必要があるという重要な警告に比べるとそれほど多くありません。 (とにかく良い習慣ですが、ほとんどの人は気にしません。)

そして、おそらく最大の懸念は、セキュリティとプライバシーへの影響です。誰かがあなたの同意なしにこのOoB管理ツールを使用しているかどうかをワークステーションから簡単に確認する方法はないので、このようなものを実装する前に、セキュリティが完全に侵害されていないことを確認し、侵入に対してネットワークが適度に強化されていることを確認してください。

ウィキペディアには、セキュリティとプライバシーへの影響についての詳細がいくつかあります ですが、OoB管理を使用する必要がない、または使用する予定がない場合は、理由なくシステムにバックドアをインストールすることをお勧めします。そうしないでください。本当に、これはワークステーションです。リモートデスクトップでは実行できないリモートKVM=アプリケーションがこれに必要だと思いますか?

4
HopelessN00b