Eventuali compromessi con l'abilitazione di Intel vPro?

8

L'abilitazione di vPro disabilita o è in conflitto con altre funzionalità?

Sto configurando una workstation Dell Precision T1600. Verrà aggiunto a una piccola rete con un server e due desktop:

  • Server CentOS utilizzato per la condivisione di file tramite Samba e l'hosting per lo sviluppo Web
  • Windows Vista utilizzato per sviluppo e test
  • Windows XP Pro utilizzato per sviluppo e test
  • Switch Gigabit
  • Router che funge da server DHCP, ma tutti i computer utilizzano indirizzi IP assegnati

La nuova workstation avrà Win 7 Pro con modalità XP. Verrà utilizzato per lo sviluppo Web e l'elaborazione grafica: Eclipse, Netbeans, Visual Studio, Photoshop, ecc.

Le opzioni fuori banda offerte per la configurazione sono:

  • Tecnologia Intel vPro abilitata
  • Gestibilità standard Intel
  • Nessuna gestione di sistemi fuori banda

Non mi aspetto di avere molto bisogno della gestione fuori banda a questo punto, ma ho intenzione di continuare ad aggiungere stazioni di lavoro in futuro. La workstation avrà una scheda grafica discreta, quindi Remote KVM non sarà disponibile.

Mi piacerebbe avere a disposizione le funzionalità offerte da vPro, ma vorrei sapere se ci sono compromessi.

È necessario aggiungere o modificare tag per questa domanda?

Ecco le informazioni che ho aggiunto ai segnalibri durante la mia ricerca:

Ho dato un'occhiata alle FAQ sulla tecnologia Intel vPro

Disse che non vi era alcun impatto sulle prestazioni:
Q6: Qual è l'impatto della tecnologia Intel® vPro ™ e del suo motore di gestibilità sulle prestazioni del PC?
A6: L'impatto della tecnologia Intel vPro sulle prestazioni del PC non è evidente per l'utente finale.

Ho guardato la voce di Wikipedia Intel Active Management Technology , che non menzionava alcun aspetto negativo.

Ho esaminato Gestione remota PC con la vPro di Intel sul sito hardware di Tom, senza menzionare alcun compromesso.

Da un errore del server, sono state combinate solo circa 15 domande per amt e vPro. Ho preferito questo e ho esaminato alcuni dei link suggeriti. Come gestisco i PC con vPro?

Strumenti e utilità per Intel vPro Technoloy

Ho cercato pagine aggiuntive, ma quelle sopra sono quelle che ho aggiunto ai segnalibri.

Informazioni fornite in risposte e commenti:

Il mio caso specifico riguarda una workstation, ma userò "client" per rappresentare il sistema in cui vPro è abilitato.

Sembra che l'attivazione di vPro non imponga alcuna limitazione, ma che può creare problemi di sicurezza se il client non viene fornito correttamente durante l'installazione.

vPro deve essere abilitato al momento dell'acquisto o è permanentemente disabilitato. Può disabilitarlo temporaneamente in MEBx (estensione del BIOS del motore di gestione).

vPro causa un maggiore utilizzo della memoria, un consumo energetico e una riduzione delle prestazioni di rete.
(Intel afferma che l'impatto sulle prestazioni del PC non è evidente per l'utente finale)

Viene utilizzata una piccola quantità di spazio su disco.

Il sistema è alimentato [in una certa misura] in ogni momento. È importante scollegare l'alimentazione A / C, piuttosto che spegnere la macchina per eseguire qualsiasi installazione / sostituzione hardware.

È necessaria l'architettura back-end per supportarla.

Due indirizzi IP per macchina (uno per il sistema operativo e uno per vPro).
Se i tuoi computer ricevono le loro assegnazioni tramite DHCP, puoi usarne uno per entrambi.
Se è necessario un indirizzo fisso per una macchina, utilizzare invece una prenotazione DHCP.

Implicazioni sulla sicurezza e sulla privacy:

Stai essenzialmente installando una backdoor nel tuo sistema.

Non esiste un modo semplice per dire dal client se qualcuno sta usando questo strumento di gestione di OoB senza il tuo consenso, ma vPro può essere configurato per fornire notifica agli utenti quando è attiva una sessione remota (a seconda delle politiche della tua azienda).

È necessario eseguire immediatamente il provisioning del client se la gestione fuori banda è abilitata, poiché per impostazione predefinita, vPro è pre-provisioning con chiavi CA radice di produttori noti (ad esempio VeriSign, GoDaddy).
Ciò significa che un utente malintenzionato con accesso alla tua rete potrebbe acquistare un certificato AMT e fornire i tuoi computer senza che tu lo sappia.

vPro utilizza PKI ed è necessario un certificato di provisioning AMT per il provisioning del client. L'approccio più semplice è l'acquisto di un certificato di provisioning AMT da un fornitore.

È possibile utilizzare un certificato autofirmato, ma è necessario essere informati sulla PKI prima di distribuire vPro. Dovrai:
1) far precaricare dal fornitore l'hash del certificato in MEBx (esistono strumenti che ti consentono di creare la configurazione di provisioning e inviare l'hash del certificato personalizzato tramite chiavetta USB).
2) configurare manualmente MEBx su OGNI computer con l'hash del certificato autofirmato.

Per il certificato di provisioning AMT, è necessario creare il certificato PKI con un OID di 2.16.840.1.113741.1.2.3.

Se si utilizza una CA basata su Windows Server, è necessario Windows Server Enterprise o meglio per creare modelli di certificati personalizzati.
Technet ha le istruzioni per farlo con l'autorità di certificazione di Windows (vedi link sotto).

Se si utilizza Linux: potrebbe essere possibile utilizzare OpenSSL per creare il certificato PKI, qualcuno può confermarlo?

Una volta eseguito correttamente il provisioning del client, è abbastanza sicuro, poiché si fiderà solo di un chiamante che possiede la chiave privata AMT che originariamente associava la macchina.

Suggerimenti:
Gestisci vPro con SCCM, non è gratuito, ma semplifica notevolmente la vita con vPro una volta configurato correttamente. Ottieni anche tutti i tipi di altri trucchi di gestione della configurazione che sono molto utili.

Collegamenti forniti in risposte e commenti:
Prerequisiti e compromessi vPro per il PC aziendale dc7800p con tecnologia di processore Intel vPro (PDF)

sicurezza vPro (Wikipedia)

Richiesta, installazione e preparazione del certificato di provisioning AMT (MicroSoft TechNet)

networking  amt  intel 
codewaggle
fonte
1
Completamente fuori tema per la tua domanda, ma in relazione alla sicurezza e personalmente vedo questo come un rischio maggiore ... hai menzionato la condivisione di file e l'hosting web sullo stesso server ... quindi, se qualcuno solo per esempio ha violato il tuo sito Web da in vari modi ... ora avrebbe accesso a TUTTI i tuoi dati su tali condivisioni potenzialmente. Potete permettervi questo rischio per l'azienda?
Freddo,
Non ci avevo pensato perché i siti Web sono destinati allo sviluppo e vi si accede assegnando un nome di dominio di prova all'indirizzo IP di rete del server Web nei hostsfile client . Ma il server ha accesso al mondo reale attraverso il router, suppongo che dovrei bloccare il traffico in entrata sulle porte utilizzate per il web e i file server. Un'altra cosa da fare, grazie
mille

Risposte:

6

L'implementazione di OOB non è affatto un esercizio banale e richiede una notevole quantità di pianificazione e investimenti. Semplicemente accendere vPro non è abbastanza, devi avere anche l'architettura back-end per supportarla. A meno che tu non sia pronto per implementare immediatamente la gestione fuori banda, la mia raccomandazione è di lasciare vPro disattivato, perché per impostazione predefinita, vPro è pre-provisioning con chiavi CA radice da fornitori noti (ad esempio VeriSign, GoDaddy). Un utente malintenzionato con accesso alla tua rete potrebbe acquistare un certificato AMT e eseguire il provisioning delle tue macchine senza che tu lo sappia ...

Poiché vPro utilizza PKI, una volta eseguito il provisioning corretto l'architettura è in realtà abbastanza sicura, poiché i client si fideranno quindi solo di un chiamante che possiede la chiave privata AMT che originariamente associava la macchina. vPro può essere configurato per fornire notifica agli utenti quando è attiva una sessione remota (a seconda delle politiche della propria azienda).

Detto questo, il nostro negozio utilizza vPro. Gestiamo diverse centinaia di workstation remote che non dispongono di supporto IT in loco. vPro ci offre la possibilità di eseguire la risoluzione dei problemi a livello hardware e fornisce funzionalità di accensione remota, funzionalità che non sono disponibili tramite desktop remoto.

newmanth
fonte
La sezione "Aiutami a scegliere" di Dell dice che se non si abilita la gestione fuori banda al momento dell'acquisto, non può essere aggiunto in seguito, ecco perché sto provando a decidere ora. Sembra che il minimo che dovrei fare è impostare un certificato e predisporre la workstation (che dovrò scoprire come fare). Posso usare un certificato autofirmato?
codewaggle,
Hai ragione, se non lo selezioni quando ordini la tua macchina, non puoi ottenerla in seguito (la funzione è disabilitata in modo permanente). Quindi, vai avanti e ordinalo, assicurati solo di disabilitarlo in MEBx fino a quando non sei pronto per usarlo. - È possibile utilizzare un certificato autofirmato, ma sarà necessario: 1) fare in modo che Dell precarichi l'identificazione personale in MEBx o 2) configurare manualmente MEBx su OGNI macchina con l'identificazione personale autofirmata (non proprio così difficile, solo qualcosa da fare attenzione a). Esistono strumenti che ti consentono di creare la configurazione di provisioning e inviare l'identificazione personale personalizzata tramite chiavetta USB.
newmanth,
Solo per questo sei consapevole, se stai utilizzando indirizzi IP statici per le tue workstation, ne avrai bisogno di due per computer (uno per il sistema operativo e uno per vPro). Se i tuoi computer ricevono le loro assegnazioni tramite DHCP, puoi usarne uno per entrambi (che io personalmente consiglio). Se è necessario un indirizzo fisso per una macchina, utilizzare invece una prenotazione DHCP. - Inoltre, gestiamo vPro con SCCM, cosa che consiglio anche. So che non è gratuito (e non lavoro per M $), ma semplifica la vita con vPro MOLTO una volta configurato correttamente. Ottieni anche tutti i tipi di altri trucchi di gestione della configurazione che sono molto utili.
newmanth,
Quando hai menzionato le chiavi della CA principale, pensavo a quelle utilizzate per i certificati SSL. Ho creato certificati autofirmati per l'utilizzo su server Web di sviluppo usando il comando linux openssl, non ho un lettore di impronte digitali, il certificato openssl sarebbe sufficiente? Ho letto che la connessione fuori banda utilizza il proprio indirizzo IP, uso le prenotazioni DHCP per assegnare gli indirizzi IP, quindi sembra che dovrebbe essere ok. Esaminerò SCCM, ma speravo di usare un'app gratuita per imparare a spostarmi dato che a questo punto avrò solo una macchina abilitata per vPro.
codewaggle
Scusa, non ero chiaro ... quando mi riferivo all'identificazione personale, sto parlando dell'hash del certificato (non di un'effettiva identificazione personale: P). Per il certificato di provisioning AMT, è necessario creare un certificato PKI con un OID di 2.16.840.1.113741.1.2.3. Non l'ho fatto con OpenSSL, ma dovrebbe essere possibile. Usiamo una CA basata su Windows Server, quindi è così che abbiamo fatto la nostra. Technet ha le istruzioni per farlo con l'autorità di certificazione di Windows all'indirizzo technet.microsoft.com/en-us/library/… . Tuttavia, avrai bisogno di Windows Server Enterprise o meglio per creare modelli di certificati personalizzati.
newmanth,
4

Sì, ci sono compromessi coinvolti e sospetto che una rapida ricerca su Google l'avrebbe già detto quasi tutto, ma detto questo, controlla questo documento HP sui compromessi per abilitare vpro per i professionisti IT . È per quel modello specifico di HP, ma il caso generale è lo stesso per qualsiasi sistema su cui usi vpro.

A parte il previsto aumento dell'utilizzo della memoria, il consumo di energia e la riduzione delle prestazioni di rete (oh, e il ridotto utilizzo dello spazio su disco), vale la pena notare che abilitando ciò si accenderà il sistema [in una certa misura] in ogni momento. I pochi watt di energia che sprecano non sono molto rispetto all'importante avvertimento di cui avrai bisogno per scollegare l'alimentazione A / C, piuttosto che semplicemente spegnere la macchina per fare qualsiasi installazione / sostituzione hardware. (Buone pratiche comunque, ma la maggior parte delle persone non si preoccupa.)

E poi ciò che probabilmente sarebbe la maggiore preoccupazione sono le implicazioni di sicurezza e privacy. Dal momento che non esiste un modo semplice per dire dalla workstation se qualcuno sta usando questo strumento di gestione di OoB senza il tuo consenso, devi davvero assicurarti che la tua sicurezza sia all'altezza e che la tua rete sia ragionevolmente ben protetta dalle intrusioni prima di implementare qualcosa del genere.

Wikipedia ha un po 'di più sulle implicazioni di sicurezza e privacy , ma il mio consiglio è se non hai bisogno o prevedi di usare la gestione di OoB, stai installando una backdoor nel tuo sistema senza motivo. Quindi non farlo. Davvero, è una workstation, quali applicazioni KVM remote vedi di cui hai bisogno per questo che non puoi fare con Desktop remoto?

HopelessN00b
fonte
Ho fatto più di una rapida ricerca su Google e ho trascorso ore a fare ricerche prima di porre la domanda, sfortunatamente non sono così ben informato sulle questioni IT e non sono stato in grado di determinare la risposta alla mia domanda guardando le informazioni disponibili. Aggiungerò ulteriori informazioni su ciò che ho visto nella mia risposta.
codewaggle,
Trascorro la maggior parte del mio tempo su StackOverflow e in realtà ho suggerito alle persone di includere informazioni su ciò che hanno provato o scoperto nella loro domanda. Sembra che dovrei seguire il mio consiglio. Una cosa che ha attirato la mia attenzione nel documento HP è stata la sezione "Duplicazione del disco rigido" in cui si diceva che, poiché il controller di rete è virtualizzato, si è limitati a utilizzare la stessa unità di unità durante la clonazione tramite software. Il documento è del 2007, quindi mi chiedevo se fosse ancora così. Ho passato un po 'di tempo a esaminarlo, ma non ho trovato nulla. Forse creerò una domanda al riguardo.
codewaggle,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.