vProを有効にすると、他の機能が無効になったり競合したりしますか?
Dell Precision T1600ワークステーションを構成しています。1台のサーバーと2台のデスクトップを持つ小規模ネットワークに追加されます。
- Sambaを介したファイル共有とWeb開発のホスティングに使用されるCentOSサーバー
- 開発とテストに使用されたWindows Vista
- 開発とテストに使用されたWindows XP Pro
- ギガビットスイッチ
- DHCPサーバーとして機能するルーターですが、すべてのコンピューターは割り当てられたIPアドレスを使用します
新しいワークステーションには、XPモードのWin 7 Proが搭載されます。Web開発およびグラフィックス処理に使用されます:Eclipse、Netbeans、Visual Studio、Photoshopなど。
構成用に提供されるアウトオブバンドオプションは次のとおりです。
- Intel vProテクノロジー対応
- インテルの標準管理機能
- アウトオブバンドシステム管理なし
現時点では、帯域外管理の必要性はそれほど高くないと思いますが、今後もワークステーションを追加していく予定です。ワークステーションには個別のグラフィックカードが搭載されるため、リモートKVMは使用できません。
vProが提供する機能を利用できるようにしたいのですが、トレードオフがあるかどうか知りたいのですが。
この質問に対してタグを追加または変更する必要がありますか?
これが私の研究中にブックマークした情報です:
パフォーマンスへの影響はなかったと述べています:
Q6:PCのパフォーマンスに対するIntel®vPro™テクノロジーとその管理エンジンの影響は何ですか?
A6:Intel vProテクノロジーがPCのパフォーマンスに与える影響は、エンドユーザーにはわかりません。
ウィキペディアのIntel Active Management Technologyを調べたところ、マイナス面については何も触れられていませんでした。
私が見て、インテルのvProテクノロジーでリモートPCの管理トムのハードウェアサイトに、それは任意のトレードオフについては言及しませんでした。
サーバー障害から、amtとvProを組み合わせた質問は約15しかありませんでした。私はこれを気に入って、提案されたリンクのいくつかを見ました。vProでPCを管理するにはどうすればよいですか?
他のページも見ましたが、上記はブックマークしたものです。
回答とコメントで提供される情報:
私の特定のケースはワークステーションに関するものですが、vProが有効になっているシステムを表すために「クライアント」を使用します。
vProをアクティブ化しても制限はないようですが、インストール中にクライアントが適切にプロビジョニングされていないと、セキュリティの問題が発生する可能性があります。
vProは購入時に有効にするか、永続的に無効にする必要があります。MEBx(Management Engine BIOS Extension)で一時的に無効にできます。
vProを使用すると、メモリ使用量、電力消費が増加し、ネットワークパフォーマンスが低下します。
(インテルは、PCパフォーマンスへの影響はエンドユーザーには気づかないと述べています)
少量のドライブ領域が使用されます。
システムは常に[ある程度]電力が供給されています。ハードウェアの取り付け/交換を行うためにマシンの電源を切るだけでなく、A / C電源を切断することが重要です。
それをサポートするには、バックエンドアーキテクチャが必要です。
マシンごとに2つのIPアドレス(1つはOS用、もう1つはvPro用)。
マシンがDHCP経由で割り当てを取得している場合、両方に1つを使用できます。
マシンの固定アドレスが必要な場合は、代わりにDHCP予約を使用してください。
セキュリティとプライバシーの影響:
基本的に、システムにバックドアをインストールしています。
誰かがあなたの同意なしにこのOoB管理ツールを使用しているかどうかをクライアントから簡単に知る方法はありませんが、リモートセッションがアクティブなときにユーザーに通知を提供するようにvProを構成できます(会社のポリシーによって異なります)。
アウトオブバンド管理が有効になっている場合は、すぐにクライアントをプロビジョニングする必要があります。デフォルトでは、vProは有名ベンダー(VeriSign、GoDaddyなど)からのルートCAキーで事前プロビジョニングされています。
つまり、ネットワークにアクセスできる攻撃者は、知らないうちにAMT証明書を購入し、マシンをプロビジョニングできる可能性があります。
vProはPKIを使用し、クライアントのプロビジョニングにはAMTプロビジョニング証明書が必要です。最も簡単な方法は、ベンダーからAMTプロビジョニング証明書を購入することです。
自己署名証明書を使用できますが、vProを展開する前にPKIについて理解している必要があります。次のいずれかを行う必要があります:
1)ベンダーにMEBxで証明書ハッシュをプリロードさせる(プロビジョニング構成を作成し、USBサムドライブを介してカスタム証明書ハッシュを送信できるツールがあります)
2)すべてのマシンでMEBxを手動で構成する自己署名証明書ハッシュ。
AMTプロビジョニング証明書の場合、OIDが2.16.840.1.113741.1.2.3のPKI証明書を作成する必要があります。
Windows ServerベースのCAを使用する場合、カスタム証明書テンプレートを実行するにはWindows Server Enterprise以上が必要です。
Technetには、Windows証明機関でこれを行うための指示があります(下のリンクを参照)。
Linuxを使用している場合:OpenSSLを使用してPKI証明書を作成することが可能かもしれませんが、誰でもこれを確認できますか?
クライアントが適切にプロビジョニングされると、元々マシンに関連付けられていたAMT秘密キーを所有する呼び出し元のみを信頼するため、クライアントは非常に安全です。
提案:
SCCMでvProを管理します。これは無料ではありませんが、適切に構成されていれば、vPro A LOTの使用が簡単になります。また、非常に役立つ他のすべての種類の構成管理トリックも入手できます。
回答とコメントで提供されるリンク:
インテルvProプロセッサーテクノロジーを搭載したdc7800pビジネスPCのvProの前提条件とトレードオフ(PDF)
vProセキュリティ(Wikipedia)
AMTプロビジョニング証明書の要求、インストール、および準備(MicroSoft TechNet)
hostsファイルでWebサーバーのネットワークIPアドレスにテストドメイン名を割り当てることによってアクセスされるため、これについては考えていませんでした。しかし、サーバーはルーターを介して実世界にアクセスできます。Webサーバーとファイルサーバーに使用されるポートで着信トラフィックをブロックする必要があると思います。やるべきことはもうたくさんあります:)