启用vPro是否会禁用或与任何其他功能冲突?
我正在配置Dell Precision T1600工作站。它将被添加到具有一台服务器和两个台式机的小型网络中:
- CentOS服务器用于通过Samba共享文件并托管用于Web开发
- Windows Vista用于开发和测试
- Windows XP Pro用于开发和测试
- 千兆交换机
- 充当DHCP服务器的路由器,但是所有计算机都使用分配的IP地址
新的工作站将具有Windows XP模式的Win 7 Pro。它将用于Web开发和图形处理:Eclipse,Netbeans,Visual Studio,Photoshop等。
提供的用于配置的带外选项包括:
- 启用Intel vPro技术
- 英特尔标准可管理性
- 没有带外系统管理
我预计目前对带外管理没有太大的需求,但计划将来继续添加工作站。该工作站将具有独立的图形卡,因此远程KVM将不可用。
我想获得vPro提供的功能,但是我想知道是否涉及任何权衡。
是否应该为此问题添加或更改任何标签?
这是我在研究过程中收藏的信息:
它说对性能没有影响:问题
6:英特尔®博锐™技术及其可管理性引擎对PC的性能有何影响?
解答6:最终用户不会注意到英特尔®博锐™处理器技术对PC性能的影响。
我看了维基百科条目“ 英特尔主动管理技术”,但没有提及任何缺点。
我在Tom的硬件站点上查看了使用Intel vPro进行的远程PC管理,但没有提及任何取舍。
由于服务器故障,关于amt和vPro的合并问题只有大约15个。我喜欢这个,并查看了一些建议的链接。如何使用vPro管理PC?
我查看了其他页面,但是以上是我添加书签的页面。
答案和评论中提供的信息:
我的具体情况与工作站有关,但是我将使用“客户端”来表示启用了vPro的系统。
似乎激活vPro并没有施加任何限制,但是如果在安装过程中未正确配置客户端,则可能会引发安全问题。
购买时必须启用vPro或将其永久禁用。可以在MEBx(管理引擎BIOS扩展)中暂时禁用它。
vPro会导致内存使用量增加,功耗降低以及网络性能下降。
(英特尔指出,对PC性能的影响对于最终用户而言并不明显)。
使用少量驱动器空间。
系统一直(在某种程度上)通电。重要的是断开空调电源,而不仅仅是关闭机器电源进行任何硬件安装/更换。
您需要后端架构来支持它。
每台计算机两个IP地址(一个用于OS,一个用于vPro)。
如果您的计算机通过DHCP获得其分配,则可以将两者都使用。
如果您需要机器的固定地址,请使用DHCP保留。
安全和隐私含义:
您实际上是在系统中安装后门。
没有一种简单的方法可以从客户端得知是否有人未经您的同意使用此OoB管理工具,但是可以将vPro配置为在远程会话处于活动状态时向用户提供通知(取决于您公司的政策)。
如果启用了带外管理,则应立即配置客户端,因为默认情况下,vPro预先配置了知名厂商(例如VeriSign,GoDaddy)的根CA密钥。
这意味着可以访问您的网络的攻击者可以在您不知情的情况下购买AMT证书并置备您的计算机。
vPro使用PKI,并且需要AMT设置证书来设置客户端。最简单的方法是从供应商处购买AMT设置证书。
您可以使用自签名证书,但是在部署vPro之前需要了解PKI。您将需要:
1)让供应商在MEBx中预加载证书哈希(那里有工具可以让您创建配置配置并通过USB拇指驱动器发送自定义证书哈希。)
2)在每台计算机上手动配置MEBx与您的自签名证书哈希。
对于AMT设置证书,您必须创建OID为2.16.840.1.113741.1.2.3。的PKI证书。
如果使用基于Windows Server的CA,则需要Windows Server Enterprise或更高版本来执行自定义证书模板。
Technet指示使用Windows证书颁发机构执行此操作(请参阅下面的链接)。
如果使用Linux:可以使用OpenSSL创建PKI证书,有人可以确认吗?
一旦正确配置了客户端,它就非常安全,因为它将仅信任拥有最初与计算机相关联的AMT私钥的呼叫者。
建议:
使用SCCM管理vPro,它不是免费的,但是一旦正确配置,它会使使用vPro的生活变得更加轻松。您还将获得各种其他非常有用的配置管理技巧。
答案和评论中提供的链接:
采用英特尔®博锐™处理器技术的dc7800p商用PC的vPro前提条件和取舍(PDF)
vPro安全性(Wikipedia)
申请,安装和准备AMT设置证书(MicroSoft TechNet)
hosts文件中为Web服务器的网络IP地址分配测试域名来访问的。但是服务器确实可以通过路由器访问现实世界,我想我应该阻止用于Web和文件服务器的端口上的传入流量。另一件事,非常感谢:)