Какие-нибудь компромиссы, связанные с включением Intel vPro?

Включение vPro отключает или конфликтует с какой-либо другой функциональностью?

Я настраиваю рабочую станцию ​​Dell Precision T1600. Он будет добавлен в небольшую сеть с одним сервером и двумя рабочими столами:

• Сервер CentOS используется для обмена файлами через Samba и хостинг для веб-разработки
• Windows Vista используется для разработки и тестирования
• Windows XP Pro используется для разработки и тестирования
• Гигабитный коммутатор
• Маршрутизатор, который действует как DHCP-сервер, но все компьютеры используют назначенные IP-адреса

Новая рабочая станция будет иметь Win 7 Pro с режимом XP. Он будет использоваться для веб-разработки и обработки графики: Eclipse, Netbeans, Visual Studio, Photoshop и т. Д.

Опции Out-of-Band, предлагаемые для конфигурации:

• Технология Intel vPro включена
• Стандартная управляемость Intel
• Нет управления внешними системами

Я не ожидаю особой необходимости во внешнем управлении, но планирую продолжить добавление рабочих станций в будущем. Рабочая станция будет иметь дискретную видеокарту, поэтому Remote KVM будет недоступен.

Я хотел бы, чтобы возможности, предлагаемые vPro, были доступны, но я хотел бы знать, есть ли какие-то компромиссы.

Должны ли быть добавлены или изменены какие-либо теги для этого вопроса?

Вот информация, которую я добавил в закладки во время моего исследования:

Я посмотрел на FAQ по технологии Intel vPro

В нем говорится, что это никак не повлияло на производительность:
Q6: Какое влияние оказывает технология Intel® vPro ™ и механизм управления ими на производительность ПК?
A6: Влияние технологии Intel vPro на производительность ПК не заметно для конечного пользователя.

Я посмотрел на статью в Википедии Intel Active Management Technology , там не было упоминаний о минусах.

Я посмотрел на Remote PC Management с Intel vPro на аппаратном сайте Тома, он не упомянул никаких компромиссов.

Из-за ошибки сервера было всего около 15 вопросов для amt и vPro вместе взятых. Я одобрил это и посмотрел на некоторые из предложенных ссылок. Как мне управлять ПК с помощью vPro?

Инструменты и утилиты для Intel vPro Technoloy

Я посмотрел на дополнительные страницы, но выше те, которые я добавил в закладки.

Информация предоставлена ​​в ответах и ​​комментариях:

Мой конкретный случай касается рабочей станции, но я буду использовать «клиента» для представления системы, в которой включен vPro.

Похоже, что активация vPro не накладывает каких-либо ограничений, но может создать проблемы с безопасностью, если клиент не был правильно настроен во время установки.

vPro должен быть включен при покупке или постоянно отключен. Можно временно отключить его в MEBx (расширение BIOS Management Engine).

vPro вызывает увеличение использования памяти, энергопотребление и снижение производительности сети.
(Intel заявляет, что влияние на производительность ПК не заметно для конечного пользователя)

Небольшое количество места на диске используется.

Система работает [до некоторой степени] постоянно. Важно отключить питание кондиционера, а не просто выключить питание машины для выполнения каких-либо установок / замен оборудования.

Вам нужна внутренняя архитектура для поддержки.

Два IP-адреса на машину (один для ОС и один для vPro).
Если ваши машины получают свои назначения через DHCP, вы можете использовать один для обоих.
Если вам нужен фиксированный адрес для машины, используйте резервирование DHCP.

Последствия для безопасности и конфиденциальности:

По сути, вы устанавливаете бэкдор в вашу систему.

Нет простого способа узнать от клиента, использует ли кто-то этот инструмент управления OoB без вашего согласия, но vPro может быть настроен на уведомление пользователей, когда активен удаленный сеанс (в зависимости от политик вашей компании).

Вы должны немедленно подготовить клиента, если включено внешнее управление, потому что по умолчанию vPro предварительно обеспечен ключами корневого CA от известных поставщиков (например, VeriSign, GoDaddy).
Это означает, что злоумышленник, имеющий доступ к вашей сети, может приобрести сертификат AMT и подготовить свои машины, даже не подозревая об этом.

vPro использует PKI, и для обеспечения клиента требуется сертификат обеспечения AMT. Самый простой подход заключается в приобретении сертификата обеспечения AMT у поставщика.

Вы можете использовать самоподписанный сертификат, но вы должны быть осведомлены о PKI перед развертыванием vPro. Вам нужно будет либо:
1) попросить поставщика предварительно загрузить хэш сертификата в MEBx (существуют инструменты, позволяющие создать конфигурацию инициализации и отправить пользовательский хэш сертификата через USB-накопитель.)
2) вручную настроить MEBx на КАЖДОМ компьютере с вашим хэшированным сертификатом.

Для сертификата обеспечения AMT необходимо создать сертификат PKI с OID 2.16.840.1.113741.1.2.3.

Если вы используете ЦС на базе Windows Server, вам понадобится Windows Server Enterprise или лучше для создания пользовательских шаблонов сертификатов.
У Technet есть инструкции для этого с Центром сертификации Windows (см. Ссылку ниже).

Если используется Linux: может быть возможно использовать OpenSSL для создания сертификата PKI, кто-нибудь может это подтвердить?

Как только клиент правильно настроен, он становится достаточно безопасным, поскольку доверяет только вызывающей стороне, обладающей закрытым ключом AMT, который изначально связывал машину.

Предложения:
Управляйте vPro с помощью SCCM, это не бесплатно, но это делает жизнь с vPro ОЧЕНЬ проще, если она правильно настроена. Вы также получаете все другие приемы управления конфигурацией, которые очень полезны.

Ссылки в ответах и ​​комментариях:
Предварительные условия vPro и компромиссы для бизнес-ПК dc7800p с процессорной технологией Intel vPro (PDF)

Безопасность vPro (Википедия)

Запрос, установка и подготовка сертификата обеспечения AMT (MicroSoft TechNet)

Внедрение OOB не является тривиальным упражнением и требует значительных затрат на планирование и инвестиции. Недостаточно просто включить vPro, для его поддержки также необходима серверная архитектура. Если вы не готовы немедленно внедрить внешнее управление, я рекомендую оставить vPro выключенным, потому что по умолчанию vPro предварительно снабжен ключами корневого CA от известных поставщиков (например, VeriSign, GoDaddy). Злоумышленник с доступом к вашей сети может приобрести сертификат AMT и подготовить свои машины, даже не подозревая об этом ...

Поскольку vPro использует PKI, после правильной настройки архитектура становится достаточно безопасной, поскольку клиенты будут доверять только вызывающей стороне, обладающей закрытым ключом AMT, который изначально связывал машину. vPro можно настроить для предоставления пользователям уведомлений об активном удаленном сеансе (в зависимости от политики вашей компании).

При этом наш магазин использует vPro. Мы управляем несколькими сотнями удаленных рабочих станций, которые не имеют ИТ-поддержки на месте. vPro дает нам возможность выполнять поиск и устранение неисправностей на аппаратном уровне и предоставляет возможность удаленного включения, функции, которые недоступны через удаленный рабочий стол.

Да, здесь есть компромиссы, и я подозреваю, что быстрый поиск в Google уже сказал бы вам об этом, но, сказав это, проверьте этот документ HP о компромиссах по включению vpro для ИТ-специалистов . Это для этой конкретной модели HP, но общий случай одинаков для любой системы, на которой вы используете vpro.

Помимо ожидаемого увеличения использования памяти, энергопотребления и снижения производительности сети (ах, и крошечного использования дискового пространства), стоит отметить, что включение этого приведет к постоянному включению системы [до некоторой степени]. Несколько ватт энергии, которая тратит впустую, не так уж много по сравнению с важным предупреждением, которое вам потребуется для отключения питания кондиционера, а не просто для выключения машины, чтобы выполнить какие-либо установки / замены оборудования. (В любом случае, хорошая практика, но большинство людей не беспокоятся.)

И затем, что, вероятно, самой большой заботой является последствия для безопасности и конфиденциальности. Поскольку с рабочей станции не существует простого способа определить, использует ли кто-либо этот инструмент управления OoB без вашего согласия, вам действительно нужно убедиться, что ваша система безопасности взломана и ваша сеть достаточно хорошо защищена от вторжений, прежде чем внедрять что-либо подобное.

В Википедии есть еще кое-что о безопасности и конфиденциальности , но мой совет: если вам не нужно или вы планируете использовать управление OoB, вы устанавливаете бэкдор в свою систему без причины. Так что не надо. Действительно, это рабочая станция, какие удаленные приложения KVM, по вашему мнению, нуждаются в этом, чего вы не можете сделать с помощью удаленного рабочего стола?