인텔 v 프로 활성화와 관련된 트레이드 오프가 있습니까?


8

vPro를 활성화하면 다른 기능이 비활성화되거나 다른 기능과 충돌합니까?

Dell Precision T1600 워크 스테이션을 구성하고 있습니다. 하나의 서버와 두 개의 데스크탑이있는 소규모 네트워크에 추가됩니다.

  • Samba를 통한 파일 공유 및 웹 개발 호스팅에 사용되는 CentOS 서버
  • 개발 및 테스트에 사용되는 Windows Vista
  • 개발 및 테스트에 사용되는 Windows XP Pro
  • 기가비트 스위치
  • DHCP 서버로 작동하지만 모든 컴퓨터가 할당 된 IP 주소를 사용하는 라우터

새 워크 스테이션에는 XP 모드의 Win 7 Pro가 있습니다. 웹 개발 및 그래픽 처리에 사용됩니다 : Eclipse, Netbeans, Visual Studio, Photoshop 등

구성을 위해 제공되는 대역 외 옵션은 다음과 같습니다.

  • 인텔 v 프로 기술 활성화
  • 인텔 표준 관리 성
  • 대역 외 시스템 관리 불필요

현재로서는 대역 외 관리가 많이 필요하지는 않지만 앞으로 워크 스테이션을 계속 추가 할 계획입니다. 워크 스테이션에는 별도의 그래픽 카드가 있으므로 원격 KVM을 사용할 수 없습니다.

vPro에서 제공하는 기능을 사용할 수 있기를 원하지만 관련된 상충 관계가 있는지 알고 싶습니다.

이 질문에 태그를 추가하거나 변경해야합니까?


연구 중에 북마크 한 정보는 다음과 같습니다.

인텔 v 프로 기술 FAQ를 살펴 보았습니다.

그것은 성능에 아무런 영향이 없었다 말했다 :
Q6 : PC의 성능에 인텔 ® v 프로 ™ 기술과 관리 용이성 엔진의 영향은 무엇인가?
A6 : PC 성능에 대한 Intel vPro 기술의 영향은 최종 사용자에게 눈에 띄지 않습니다.

나는 Wikipedia 항목 Intel Active Management Technology를 보았지만 단점은 언급하지 않았습니다.

Tom의 하드웨어 사이트에서 Intel의 vPro사용한 원격 PC 관리를 살펴 보았지만 이에 대한 트레이드 오프는 언급하지 않았습니다.

서버 결함으로 인해 amt 및 vPro에 대해 약 15 개의 질문 만있었습니다. 나는 이것을 좋아했고 제안 된 링크 중 일부를 보았습니다. vPro로 PC를 관리하려면 어떻게합니까?

Intel vPro Technoloy 용 도구 및 유틸리티

추가 페이지를 보았지만 위는 내가 북마크 한 페이지입니다.


답변과 의견에 제공된 정보 :

구체적인 사례는 워크 스테이션과 관련이 있지만 "클라이언트"를 사용하여 vPro가 활성화 된 시스템을 나타냅니다.

vPro를 활성화해도 아무런 제한이 없지만 설치 중에 클라이언트가 제대로 프로비저닝되지 않으면 보안 문제가 발생할 수 있습니다.

구매시 vPro를 활성화해야하거나 영구적으로 비활성화해야합니다. MEBx (Management Engine BIOS Extension)에서 일시적으로 비활성화 할 수 있습니다.

vPro는 메모리 사용량 증가, 전력 소비 및 네트워킹 성능 저하를 유발합니다.
(인텔은 PC 성능에 대한 영향은 최종 사용자에게 눈에 띄지 않는다고 말합니다)

적은 양의 드라이브 공간이 사용됩니다.

시스템은 항상 어느 정도 전원이 공급됩니다. 하드웨어 설치 / 교체를 위해 기계의 전원을 끄는 것보다는 A / C 전원을 분리하는 것이 중요합니다.

이를 지원하려면 백엔드 아키텍처가 필요합니다.

시스템 당 2 개의 IP 주소 (하나는 OS 용이고 다른 하나는 vPro 용).
컴퓨터가 DHCP를 통해 할당을 받으면 둘 다 사용할 수 있습니다.
컴퓨터에 고정 주소가 필요한 경우 DHCP 예약을 대신 사용하십시오.


보안 및 개인 정보 보호 관련 사항 :

기본적으로 시스템에 백도어를 설치하고 있습니다.

다른 사람이 귀하의 동의없이이 OoB 관리 도구를 사용하고 있는지 클라이언트로부터 쉽게 알 수있는 방법은 없지만 원격 정책이 활성화되어있을 때 (회사 정책에 따라) 사용자에게 알림을 제공하도록 vPro를 구성 할 수 있습니다.

vPro는 기본적으로 잘 알려진 공급 업체 (예 : VeriSign, GoDaddy)의 루트 CA 키로 사전 프로비저닝되므로 대역 외 관리가 활성화 된 경우 즉시 클라이언트를 프로비저닝해야합니다.
즉, 네트워크에 액세스 할 수있는 공격자는 AMT 인증서를 구입하고 사용자 모르게 컴퓨터를 프로비저닝 할 수 있습니다.

vPro는 PKI를 사용하며 클라이언트를 프로비저닝하려면 AMT 프로비저닝 인증서가 필요합니다. 가장 쉬운 방법은 공급 업체로부터 AMT 프로비저닝 인증서를 구매하는 것입니다.

자체 서명 된 인증서를 사용할 수 있지만 vPro를 배포하기 전에 PKI에 대해 알고 있어야합니다. 당신이 중 하나를해야합니다
. 공급 업체의 MEBx에 인증서 해시를 미리로드가) 1 (당신은 프로비저닝 설정을 생성 및 USB 썸 드라이브를 통해 사용자 정의 인증서 해시를 전송) 할 수 거기 도구가 있습니다
2) 수동으로 구성 MEBx에의 모든 기계는 자체 서명 된 인증서 해시

AMT 프로비저닝 인증서의 경우 OID가 2.16.840.1.113741.1.2.3 인 PKI 인증서를 만들어야합니다.

Windows Server 기반 CA를 사용하는 경우 사용자 지정 인증서 템플릿을 수행하려면 Windows Server Enterprise 이상이 필요합니다.
Technet에는 Windows 인증 기관 (아래 링크 참조)을 사용하여이를 수행하는 지침이 있습니다.

Linux를 사용하는 경우 : OpenSSL을 사용하여 PKI 인증서를 생성 할 수 있습니다. 누구나 이것을 확인할 수 있습니까?

클라이언트가 올바르게 프로비저닝되면 원래 컴퓨터와 연결된 AMT 개인 키를 소유 한 발신자 만 신뢰하므로 보안이 매우 안전합니다.


제안 :
SCCM을 사용하여 vPro를 관리하십시오 . 무료는 아니지만 vPro A LOT을 올바르게 구성하면보다 쉽게 ​​사용할 수 있습니다. 또한 매우 유용한 모든 종류의 다른 구성 관리 트릭을 얻습니다.


답변과 의견으로 제공되는 링크 :
인텔 v 프로 프로세서 기술이 적용된 dc7800p 비즈니스 PC의 vPro 필수 구성 요소 및 절충 (PDF)

vPro 보안 (Wikipedia)

AMT 프로비저닝 인증서 요청, 설치 및 준비 (MicroSoft TechNet)


1
귀하의 질문에 대한 주제에서 완전히 벗어난 주제이지만 보안과 관련이 있으며 개인적 으로이 문제를 더 큰 위험으로 간주합니다 ... 동일한 서버에서 파일 공유 및 웹 호스팅을 언급했습니다 ... 예를 들어 누군가가 웹 사이트 자체를 해킹 한 경우 다양한 수단을 통해 ... 이제 해당 공유에있는 모든 데이터에 액세스 할 수 있습니다. 회사에 그 위험을 감수 할 수 있습니까?
Cold T

웹 사이트는 개발 용이며 클라이언트 hosts파일 에서 웹 서버의 네트워크 IP 주소에 테스트 도메인 이름을 할당하여 액세스 할 수 있기 때문에 이에 대해 생각하지 못했습니다 . 그러나 서버는 라우터를 통해 실제 세계에 액세스 할 수 있으므로 웹 및 파일 서버에 사용되는 포트에서 들어오는 트래픽을 차단해야한다고 생각합니다. 해야 할 또 다른 일, Thanks A Lot :)
codewaggle

답변:


6

OOB를 구현하는 것은 쉬운 일이 아니며 많은 계획과 투자가 필요합니다. vPro를 켜는 것만으로는 충분하지 않으므로이를 지원하려면 백엔드 아키텍처가 있어야합니다. 대역 외 관리 를 즉시 구현할 준비가되지 않은 경우 기본적으로 vPro는 잘 알려진 공급 업체 (예 : VeriSign, GoDaddy)의 루트 CA 키로 사전 프로비저닝되므로 vPro를 끄는 것이 좋습니다. 네트워크에 액세스 할 수있는 공격자는 사용자 모르게 AMT 인증서를 구매하고 컴퓨터를 프로비저닝 할 수 있습니다.

vPro는 PKI를 사용하기 때문에 일단 제대로 프로비저닝되면 아키텍처는 실제로 매우 안전합니다. 클라이언트는 원래 시스템과 연결된 AMT 개인 키를 소유 한 발신자 만 신뢰하기 때문입니다. vPro는 회사 정책에 따라 원격 세션이 활성화 될 때 사용자에게 알림을 제공하도록 구성 할 수 있습니다.

우리 상점은 vPro를 사용합니다. 현장 IT 지원이없는 수백 개의 원격 워크 스테이션을 관리합니다. vPro는 하드웨어 수준에서 문제 해결을 수행 할 수있는 기능을 제공하고 원격 데스크톱을 통해 사용할 수없는 기능인 원격 전원 공급 기능을 제공합니다.


Dell "선택 지원" 섹션에 구매시 대역 외 관리를 활성화하지 않으면 나중에 추가 할 수 없으므로 지금 결정하려고하는 이유가 있습니다. 내가해야 할 최소한 인증서를 설정하고 워크 스테이션을 프로비저닝하는 것 같습니다 (방법을 찾아야 함). 자체 서명 인증서를 사용할 수 있습니까?
codewaggle

기계를 주문할 때 선택하지 않으면 나중에 얻을 수 없습니다 (기능이 영구적으로 비활성화되어 있음). 계속해서 주문하십시오. 사용 준비가 될 때까지 MEBx에서 사용 중지해야합니다. -자체 서명 된 인증서를 사용할 수 있지만 1) Dell에서 지문을 MEBx로 미리로드하거나 2) 자체 서명 된 지문을 사용하여 모든 시스템에서 MEBx를 수동으로 구성해야합니다 (실제로 그렇게 어렵지는 않습니다. 알고). 프로비저닝 구성을 만들고 USB 썸 드라이브를 통해 사용자 지정 지문을 보낼 수있는 도구가 있습니다.
newmanth

워크 스테이션에 고정 IP 주소를 사용하는 경우 시스템 당 2 개 (OS 용 1 개와 vPro 용 1 개)가 필요합니다. 컴퓨터가 DHCP를 통해 할당을 받으면 둘 다 사용할 수 있습니다 (개인적으로 권장). 컴퓨터에 고정 주소가 필요한 경우 DHCP 예약을 대신 사용하십시오. -또한 권장하는 SCCM을 사용하여 vPro를 관리합니다. 무료가 아니며 M $에서는 작동하지 않는다는 것을 알고 있지만 vPro A LOT을 올바르게 구성하면 더 쉽게 사용할 수 있습니다. 또한 매우 유용한 모든 종류의 다른 구성 관리 트릭을 얻습니다.
newmanth

루트 CA 키를 언급했을 때 SSL 인증서에 사용 된 키를 생각하고있었습니다. linux openssl 명령을 사용하여 개발 웹 서버에서 사용할 자체 서명 인증서를 만들었습니다. 지문 인식기가 없어도 openssl 인증서로 충분합니까? 대역 외 연결에서 자체 IP 주소를 사용하고 DHCP 예약을 사용하여 IP 주소를 할당한다는 내용을 읽었으므로 괜찮습니다. SCCM을 살펴볼 것이지만 지금은 하나의 vPro 지원 시스템 만 있으므로 무료 앱을 사용하여 내 방식을 배우고 싶었습니다.
codewaggle

죄송합니다, 확실하지 않습니다 ... 지문을 언급했을 때 인증서 해시에 대해 이야기하고 있습니다 (실제 지문은 아닙니다 : P). AMT 프로비저닝 인증서의 경우 OID가 2.16.840.1.113741.1.2.3 인 PKI 인증서를 만들어야합니다. OpenSSL 로이 작업을 수행하지 않았지만 가능해야합니다. 우리는 Windows Server 기반 CA를 사용하기 때문에 그렇게했습니다. Technet에는 technet.microsoft.com/en-us/library/…의 Windows 인증 기관에이 작업을 수행하기위한 지침이 있습니다. 그러나 사용자 지정 인증서 템플릿을 수행하려면 Windows Server Enterprise 이상이 필요합니다.
newmanth

4

그렇습니다. 트레이드 오프가 관련되어 있으며 빠른 Google 검색으로 이미 대부분의 정보를 제공했을 것으로 생각되지만 IT 전문가에게 vpro를 사용하는 데 대한 트레이드 오프에 대한 HP 문서를 확인하십시오 . 특정 HP 모델 용이지만 일반적인 경우는 vpro를 사용하는 모든 시스템에서 동일합니다.

예상되는 메모리 사용량 증가, 전력 소비 및 감소 된 네트워킹 성능 (아주 작은 드라이브 공간 사용량) 외에도이를 가능하게하면 시스템에 어느 정도 전원이 공급된다는 점에 주목할 가치가 있습니다. 낭비되는 몇 와트의 에너지는 하드웨어 설치 / 교체를 위해 기계의 전원을 끄는 것보다 A / C 전원을 분리해야하는 중요한 경고와 크게 비교되지 않습니다. (어쨌든 좋은 연습이지만 대부분의 사람들은 귀찮게하지 않습니다.)

그리고 아마도 가장 큰 관심사는 보안 및 개인 정보 보호에 영향을 줄 것입니다. 다른 사람이 귀하의 동의없이이 OoB 관리 도구를 사용하고 있는지 워크 스테이션에서 쉽게 알 수있는 방법이 없기 때문에, 보안을 강화하고 네트워크가 이와 같은 것을 구현하기 전에 침입에 대해 합리적으로 강화되도록하는 것이 좋습니다.

Wikipedia에는 ​​보안 및 개인 정보 보호에 대한 자세한 내용이 있지만 OoB 관리를 사용할 필요가 없거나 계획 할 경우 아무런 이유없이 백도어를 시스템에 설치하는 것이 좋습니다. 그러지 마 실제로, 그것은 워크 스테이션입니다. 원격 데스크톱으로는 할 수없는 원격 KVM 응용 프로그램이 무엇입니까?


질문을하기 전에 빠른 Google 검색을 수행하고 조사하는 데 많은 시간을 보냈습니다. 불행히도, IT 문제에 대해 잘 모르고 있으며 사용 가능한 정보를보고 내 질문에 대한 답변을 결정할 수 없었습니다. 내가 본 내용에 대한 추가 정보를 답변에 추가하겠습니다.
codewaggle

나는 대부분의 시간을 stackoverflow에 보내고 실제로 사람들이 질문에서 시도하거나 찾은 것에 대한 정보를 포함하도록 제안했습니다. 나는 내 자신의 조언을 해야하는 것 같습니다. HP 문서에서 내 눈을 사로 잡은 한 가지는 "하드 드라이브 복제"섹션에서 네트워크 컨트롤러가 가상화되었으므로 소프트웨어를 통해 복제 할 때 동일한 크기의 드라이브를 사용하는 것으로 제한됩니다. 이 문서는 2007 년부터 작성되었으므로 여전히 그런지 궁금합니다. 나는 그것을 조사하는 데 시간을 보냈지 만 아무것도 찾지 못했습니다. 어쩌면 나는 그것에 대해 질문을 할 것입니다.
codewaggle
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.