Intel vPro - Intel vPro

La tecnología Intel vPro es un término de marketing general utilizado por Intel para una gran colección de tecnologías de hardware informático, incluidas VT-x , VT-d , Trusted Execution Technology (TXT) e Intel Active Management Technology (AMT). Cuando se lanzó la marca vPro (alrededor de 2007), se identificó principalmente con AMT, por lo que algunos periodistas todavía consideran que AMT es la esencia de vPro.

Funciones de vPro

Intel vPro es una marca para un conjunto de características de hardware de PC. Las PC que admiten vPro tienen un procesador habilitado para vPro, un chipset habilitado para vPro y un BIOS habilitado para vPro como sus elementos principales.

Una PC vPro incluye:

• Procesadores Xeon o Core de varios núcleos y subprocesos múltiples.
• La tecnología Intel Active Management (Intel AMT), un conjunto de características basadas en hardware dirigidas a las empresas, permite el acceso remoto a la PC para tareas de administración y seguridad, cuando un sistema operativo está inactivo o la PC está apagada. Tenga en cuenta que AMT no es lo mismo que Intel vPro; AMT es solo un elemento de una PC vPro.
• Tecnología de configuración remota para AMT, con seguridad basada en certificados . La configuración remota se puede realizar en sistemas "básicos", antes de que se instalen el SO y / o los agentes de administración de software.
• Conexión de red cableada e inalámbrica (computadora portátil).
• Intel Trusted Execution Technology (Intel TXT), que verifica un entorno de lanzamiento y establece la raíz de la confianza, lo que a su vez permite que el software cree una cadena de confianza para los entornos virtualizados . Intel TXT también protege secretos durante las transiciones de energía para apagados ordenados y desordenados (un período tradicionalmente vulnerable para las credenciales de seguridad).
• Soporte para IEEE 802.1X , Cisco Self Defending Network (SDN) y Microsoft Network Access Protection (NAP) en laptops, y soporte para 802.1xy Cisco SDN en PC de escritorio. La compatibilidad con estas tecnologías de seguridad permite a Intel vPro almacenar la postura de seguridad de una PC para que la red pueda autenticar el sistema antes de que se carguen el sistema operativo y las aplicaciones, y antes de que la PC tenga acceso a la red.
• Tecnología de virtualización Intel, que incluye Intel VT-x para CPU y memoria, e Intel VT-d para E / S , para admitir entornos virtualizados . Intel VT-x acelera la virtualización de hardware, lo que permite crear regiones de memoria aisladas para ejecutar aplicaciones críticas en máquinas virtuales de hardware con el fin de mejorar la integridad de la aplicación en ejecución y la confidencialidad de los datos confidenciales. Intel VT-d expone espacios de direcciones de memoria virtual protegidos a periféricos DMA conectados a la computadora a través de buses DMA , mitigando la amenaza que representan los periféricos maliciosos.
• Ejecute el bit de deshabilitación que, cuando es compatible con el sistema operativo, puede ayudar a prevenir algunos tipos de ataques de desbordamiento de búfer.

Gestión remota

Intel AMT es el conjunto de funciones de administración y seguridad integradas en las PC vPro que facilitan al administrador del sistema la supervisión, el mantenimiento, la protección y el servicio de las PC. Intel AMT (la tecnología de administración) a veces se confunde con lo mismo que Intel vPro (la "plataforma" de PC), porque AMT es una de las tecnologías más visibles de una PC basada en Intel vPro.

Intel AMT incluye:

• Encendido / apagado / reinicio remoto cifrado (a través de Wake-on-LAN o WOL)
• Arranque remoto / redirigido (a través de redireccionamiento de dispositivos electrónicos integrados, o IDE-R)
• Redirección de la consola (a través de serie a través de LAN o SOL)
• Acceso previo al arranque a la configuración del BIOS
• Filtrado programable para el tráfico de red entrante y saliente
• Comprobación de presencia de agentes
• Alertas basadas en políticas fuera de banda
• Acceso a la información del sistema, como el identificador único universal (UUID) de la PC , información de activos de hardware, registros de eventos persistentes y otra información que se almacena en la memoria dedicada (no en el disco duro) donde es accesible incluso si el sistema operativo está inactivo. o la PC está apagada.

La administración basada en hardware ha estado disponible en el pasado, pero se ha limitado a la configuración automática (de las computadoras que la solicitan) usando DHCP o BOOTP para la asignación dinámica de direcciones IP y estaciones de trabajo sin disco, así como también para activación en LAN. para encender sistemas de forma remota.

Control remoto KVM basado en VNC

Comenzando con vPro con AMT 6.0, las PC con procesadores i5 o i7 y gráficos Intel integrados, ahora contienen un servidor VNC integrado patentado por Intel . Puede conectarse fuera de banda utilizando tecnología de visor compatible con VNC dedicada y tener la capacidad completa de KVM (teclado, video, mouse) durante todo el ciclo de energía, incluido el control ininterrumpido del escritorio cuando se carga un sistema operativo. Los clientes como VNC Viewer Plus de RealVNC también brindan funcionalidad adicional que podría facilitar la realización (y la observación) de ciertas operaciones de Intel AMT, como apagar y encender la computadora, configurar el BIOS y montar una imagen remota (IDER).

No todos los procesadores i5 e i7 con vPro pueden admitir la capacidad KVM. Esto depende de la configuración del BIOS del OEM, así como de la presencia de una tarjeta gráfica discreta. Solo los gráficos HD integrados de Intel admiten la capacidad KVM.

Comunicación inalámbrica

Intel vPro admite la comunicación inalámbrica LAN inalámbrica y por cable cifrada para todas las funciones de administración remota para PC dentro del firewall corporativo . Intel vPro admite la comunicación encriptada para algunas funciones de administración remota para PC con LAN inalámbrica y cableada fuera del firewall corporativo .

Comunicación inalámbrica para computadora portátil vPro

Las computadoras portátiles con vPro incluyen una conexión de red gigabit y son compatibles con los protocolos inalámbricos IEEE 802.11 a / g / n .

Comunicación inalámbrica AMT

Las PC Intel vPro admiten la comunicación inalámbrica con las funciones de AMT.

Para las computadoras portátiles inalámbricas que funcionan con batería , la comunicación con las funciones AMT puede ocurrir cuando el sistema está activo y conectado a la red corporativa . Esta comunicación está disponible si el sistema operativo está inactivo o si faltan agentes de administración .

La comunicación fuera de banda de AMT y algunas funciones de AMT están disponibles para portátiles inalámbricos o con cable conectados a la red corporativa a través de una red privada virtual (VPN) basada en el sistema operativo host cuando los portátiles están activos y funcionando correctamente.

Una conexión inalámbrica funciona en dos niveles: la interfaz de red inalámbrica (WLAN) y el controlador de interfaz que se ejecuta en el host de la plataforma. La interfaz de red gestiona la conexión de comunicaciones de RF.

Si el usuario apaga el transmisor / receptor inalámbrico usando un interruptor de hardware o software, Intel AMT no puede usar la interfaz inalámbrica bajo ninguna condición hasta que el usuario encienda el transmisor / receptor inalámbrico.

Intel AMT versión 2.5 / 2.6 puede enviar y recibir tráfico de administración a través de la WLAN solo cuando la plataforma está en el estado de energía S0 (la computadora está encendida y funcionando). No recibe tráfico inalámbrico cuando el host está inactivo o apagado. Si el estado de energía lo permite, Intel AMT versión 2.5 / 2.6 puede continuar enviando y recibiendo tráfico fuera de banda cuando la plataforma está en un estado Sx, pero solo a través de una conexión LAN cableada, si existe.

La versión 4.0 y las versiones posteriores admiten la capacidad de administración inalámbrica fuera de banda en los estados Sx, según la configuración de energía y otros parámetros de configuración.

La versión 7.0 admite la capacidad de administración inalámbrica en plataformas de escritorio.

Cuando se establece una conexión inalámbrica en una plataforma de host, se basa en un perfil inalámbrico que configura nombres, contraseñas y otros elementos de seguridad que se utilizan para autenticar la plataforma en el punto de acceso inalámbrico. El usuario o la organización de TI define uno o más perfiles utilizando una herramienta como Intel PROSet / Wireless Software. En la versión 2.5 / 6, Intel AMT debe tener un perfil inalámbrico correspondiente para recibir tráfico fuera de banda a través del mismo enlace inalámbrico. La API de interfaz de red permite definir uno o más perfiles inalámbricos utilizando los mismos parámetros que el software Intel PROSet / Wireless. Consulte Parámetros de perfil inalámbrico. Al encender el host, Intel AMT se comunica con el controlador de LAN inalámbrica en el host. Cuando el controlador e Intel AMT encuentran perfiles coincidentes, el controlador enruta el tráfico dirigido al dispositivo Intel AMT para el procesamiento de capacidad de administración. Con ciertas limitaciones, Intel AMT versión 4.0 / 1 puede enviar y recibir tráfico fuera de banda sin un perfil inalámbrico configurado de Intel AMT, siempre que el controlador de host esté activo y la plataforma esté dentro de la empresa.

En la versión 4.2 y en las plataformas inalámbricas de la versión 6.0, la WLAN está habilitada de forma predeterminada antes y después de la configuración. Eso significa que es posible configurar Intel AMT a través de la WLAN, siempre que el controlador WLAN del host tenga una conexión activa. Intel AMT se sincroniza con el perfil de host activo. Se asume que un servidor de configuración configura un perfil inalámbrico que Intel AMT utiliza en estados de energía distintos de S0.

Cuando hay un problema con el controlador inalámbrico y el host aún está encendido (solo en un estado de energía S0), Intel AMT puede continuar recibiendo tráfico de capacidad de administración fuera de banda directamente desde la interfaz de red inalámbrica.

Para que Intel AMT funcione con una LAN inalámbrica, debe compartir direcciones IP con el host. Esto requiere la presencia de un servidor DHCP para asignar direcciones IP e Intel AMT debe estar configurado para usar DHCP.

Comunicación cifrada en itinerancia

Las PC Intel vPro admiten la comunicación cifrada en itinerancia .

Las PC vPro versión 4.0 o superior son compatibles con la seguridad de las comunicaciones móviles al establecer un túnel seguro para la comunicación AMT cifrada con el proveedor de servicios administrados en itinerancia (operando en una LAN abierta y cableada fuera del firewall corporativo ). Se puede establecer una comunicación segura con AMT si la computadora portátil está apagada o el sistema operativo está desactivado. El túnel de comunicación encriptado AMT está diseñado para permitir que los administradores de sistemas accedan a una computadora portátil o de escritorio en las oficinas satélite donde no hay un servidor proxy en el sitio o un dispositivo de servidor de administración .

Las comunicaciones seguras fuera del firewall corporativo dependen de agregar un nuevo elemento, un servidor de presencia de administración (Intel lo llama una "puerta de enlace habilitada para vPro"), a la infraestructura de red. Esto requiere la integración con los fabricantes de conmutadores de red , los proveedores de firewall y los proveedores que diseñan consolas de administración para crear una infraestructura que admita la comunicación de itinerancia cifrada . Por lo tanto, aunque la comunicación de itinerancia cifrada está habilitada como una característica en las PC vPro versión 4.0 y superior, la característica no se podrá utilizar por completo hasta que la infraestructura esté en su lugar y sea funcional.

seguridad vPro

Las tecnologías y metodologías de seguridad vPro están diseñadas en el chipset de la PC y en otro hardware del sistema. Durante la implementación de las PC vPro, las credenciales de seguridad, las claves y otra información crítica se almacenan en la memoria protegida (no en la unidad de disco duro ) y se borran cuando ya no se necesitan.

Preocupaciones de seguridad y privacidad

Según Intel, es posible deshabilitar AMT a través de la configuración del BIOS, sin embargo, aparentemente no hay forma de que la mayoría de los usuarios detecten el acceso externo a su PC a través de la tecnología basada en hardware vPro. Además, Sandy Bridge y los chips futuros tendrán, "... la capacidad de matar y restaurar remotamente una PC perdida o robada a través de 3G ... si esa computadora portátil tiene una conexión 3G".

El 1 de mayo de [2017] Intel publicó un aviso de seguridad sobre una vulnerabilidad de firmware en ciertos sistemas que utilizan Intel Active Management Technology (Intel AMT), Intel Standard Manageability (Intel ISM) o Intel Small Business Technology (Intel SBT). La vulnerabilidad es potencialmente muy grave y podría permitir que un atacante de red obtenga acceso de forma remota a las PC y estaciones de trabajo de las empresas que utilizan estas tecnologías. Instamos a las personas y empresas que utilizan equipos y dispositivos comerciales que incorporan Intel AMT, Intel ISM o Intel SBT a aplicar una actualización de firmware del fabricante de su equipo cuando esté disponible, o seguir los pasos detallados en la guía de mitigación.

Muchas funciones de vPro, incluida AMT, se implementan en Intel Management Engine (ME), un procesador distinto en el chipset que ejecuta MINIX 3 , que se ha encontrado que tiene numerosas vulnerabilidades de seguridad . A diferencia de AMT, generalmente no existe una forma oficial y documentada de desactivar Management Engine (ME); siempre está encendido a menos que el OEM no lo habilite en absoluto.

Características de seguridad

Intel vPro admite metodologías y protocolos estándar de la industria , así como funciones de seguridad de otros proveedores:

• Tecnología Intel Trusted Execution (Intel TXT)
• Módulo de plataforma confiable (TPM) estándar de la industria
• Tecnología Intel Platform Trust (Intel PTT), un fTPM TPM 2.0 que se introdujo en Skylake
• Compatibilidad con IEEE 802.1x , entorno de ejecución de prearranque (PXE) y Cisco Self Defending Network (SDN) en equipos de escritorio y, además, Microsoft Network Access Protection (NAP) en equipos portátiles.
• Ejecutar bit de desactivación
• Tecnología de virtualización Intel (Intel VT-x y VT-d)
• Sombreado de la estructura de control de la máquina virtual Intel VMCS-Intel
• Tecnología de protección de datos de Intel
• Tecnología Intel Identity Protection
• Intel Secure key ( RDRAND )
• Tecnología Intel Anti-Theft
• Protector de arranque Intel
• Guardia del sistema operativo Intel
• Tecnología de gestión activa Intel ( Intel AMT )
• Programa de plataforma de imagen estable de Intel (SIPP)
• Ventaja Intel para pequeñas empresas (Intel SBA)

Protector de arranque Intel

Intel Boot Guard es una función del procesador que evita que la computadora ejecute imágenes de firmware ( UEFI ) no publicadas por el fabricante del sistema ( OEM u ODM ). Cuando se encienden, los procesadores verifican una firma digital contenida en la imagen del firmware antes de ejecutarla, utilizando la clave pública del par de claves , la clave pública OEM / ODM se fusiona en el concentrador de controlador de plataforma (PCH) del sistema por el fabricante del sistema (no por Intel). Como resultado, Intel Boot Guard, cuando se activa, hace imposible que los usuarios finales instalen firmware de reemplazo (como Coreboot ) o BIOS modificada .

Tecnologías y metodologías

Intel vPro utiliza varias tecnologías y metodologías de seguridad estándar de la industria para proteger el canal de comunicación vPro remoto . Estas tecnologías y metodologías también mejoran la seguridad para acceder a los datos críticos del sistema de la PC, la configuración del BIOS , las funciones de administración de Intel AMT y otras funciones o datos confidenciales; y proteger las credenciales de seguridad y otra información crítica durante la implementación (instalación y configuración de Intel AMT) y el uso de vPro.

• Protocolo de seguridad de la capa de transporte (TLS), que incluye TLS de clave previamente compartida ( TLS-PSK ) para proteger las comunicaciones a través de la interfaz de red fuera de banda. La implementación de TLS utiliza cifrado AES de 128 bits y claves RSA con longitudes de módulo de 2048 bits.
• Protocolo de autenticación HTTP implícito como se define en RFC 2617. La consola de administración autentica a los administradores de TI que administran PC con Intel AMT.
• Inicio de sesión único en Intel AMT con autenticación de dominio de Microsoft Windows , basado en los protocolos Microsoft Active Directory y Kerberos .
• Un generador de números pseudoaleatorios (PRNG) en el firmware de la PC AMT, que genera claves de sesión de alta calidad para una comunicación segura.
• Solo se permite cargar y ejecutar imágenes de firmware firmadas digitalmente (firmadas por Intel).
• Almacenamiento resistente a la manipulación y el acceso controlado de los datos de gestión crítica, a través de una persistente (no volátil), protegido de almacenamiento de datos (un área de memoria no en el disco duro ) en el hardware de Intel AMT.
• Listas de control de acceso para dominios Intel AMT y otras funciones de administración.

Requisitos de hardware vPro

La primera versión de Intel vPro se creó con un procesador Intel Core 2 Duo. Las versiones actuales de Intel vPro están integradas en sistemas con procesadores Intel 10th Generation Core i5 e i7 de 10 nm .

Las PC con Intel vPro requieren conjuntos de chips específicos . Las versiones de Intel vPro generalmente se identifican por su versión AMT.

Requisitos de la computadora portátil

Las computadoras portátiles con Intel vPro requieren:

• Para Intel AMT versión 9.0 (Intel Core i5 y Core i7 de cuarta generación):
  • Procesadores móviles Intel Core i7 de cuarta generación de 22 nm
  • Procesadores móviles Intel Core i5 de cuarta generación de 22 nm
  • Conjuntos de chips móviles QM87
• Para Intel AMT versión 8.0 (Intel Core i5 y Core i7 de tercera generación):
  • Procesadores móviles Intel Core i7 de tercera generación de 32 y 45 nm
  • Procesadores móviles Intel Core i5 de tercera generación de 32 y 45 nm
  • Conjuntos de chips móviles QM77 y Q77
• Para Intel AMT versión 4.1 (Intel Centrino 2 con tecnología vPro):
  • Procesador Intel Core2 Duo de 45 nm T, secuencia P 8400, 8600, 9400, 9500, 9600; factor de forma pequeño P, L, secuencia U 9300 y 9400, y procesador Quad Q9100
  • Chipsets móviles Intel GS45, GM47, GM45 y PM45 Express de 45 nm (Montevina con tecnología Intel Anti-Theft ) con 1066 FSB, 6 MB de caché L2, ICH10M mejorado
• Para Intel AMT versión 4.0 (Intel Centrino 2 con tecnología vPro):
  • Procesador Intel Core2 Duo de 45 nm T, secuencia P 8400, 8600, 9400, 9500, 9600; factor de forma pequeño P, L, secuencia U 9300 y 9400, y procesador Quad Q9100
  • Chipsets Intel GS45, GM47, GM45 y PM45 Express móviles de 45 nm (Montevina) con 1066 FSB, 6 MB de caché L2, ICH9M mejorado
• Para Intel AMT versión 2.5 y 2.6 (Intel Centrino con tecnología vPro):
  • Procesador Intel Core2 Duo T, L y U 7000 secuencia3, procesador Intel Core2 Duo de 45 nm T8000 y T9000
  • Chipset móvil Intel 965 (Broadwater-Q) Express con ICH8M mejorado

Tenga en cuenta que la versión 2.5 de AMT para portátiles con cable / inalámbricos y la versión 3.0 de AMT para PC de escritorio son versiones simultáneas.

Requisitos de la computadora de escritorio

Las computadoras de escritorio con vPro (llamadas "Intel Core 2 con tecnología vPro") requieren:

• Para la versión 5.0 de AMT:
  • Procesador Intel Core2 Duo E8600, E8500 y E8400; Procesador Intel Core2 Quad de 45 nm Q9650, Q9550 y Q9400
  • Conjunto de chips Intel Q45 (Eaglelake-Q) Express con ICH10DO
• Para las versiones 3.0, 3.1 y 3.2 de AMT:
  • Procesador Intel Core2 Duo E6550, E6750 y E6850; Procesador Intel Core2 Duo de 45 nm E8500, E8400, E8300 y E8200; Procesador Intel Core2 Quad de 45 nm Q9550, Q9450 y Q9300
  • Conjunto de chips Intel Q35 (Bearlake-Q) Express con ICH9DO

Tenga en cuenta que la versión 2.5 de AMT para portátiles con cable / inalámbricos y la versión 3.0 de AMT para PC de escritorio son versiones simultáneas.

• Para las versiones 2.0, 2.1 y 2.2 de AMT:
  • Procesador Intel Core 2 Duo E6300, E6400, E6600 y E6700
  • Conjunto de chips Intel Q965 (Averill) Express con ICH8DO

Relaciones vPro, AMT, Core i

Existen numerosas marcas de Intel. Sin embargo, las diferencias clave entre vPro (un término de marketing general), AMT (una tecnología bajo la marca vPro), Intel Core i5 e Intel Core i7 (una marca de un paquete de tecnologías) y Core i5 y Core i7 (un procesador ) son como sigue:

El Core i7, el primer modelo de la serie i se lanzó en 2008, y los modelos i5 e i3 menos potentes se introdujeron en 2009 y 2010, respectivamente. La microarquitectura de la serie Core i se denominó en código Nehalem, y la segunda generación de la línea se denominó en código Sandy Bridge.

Intel Centrino 2 era una marca de un paquete de tecnologías que incluía Wi-Fi y, originalmente, Intel Core 2 Duo. La marca Intel Centrino 2 se aplicó a PC móviles, como portátiles y otros dispositivos pequeños. Core 2 y Centrino 2 han evolucionado para utilizar los últimos procesos de fabricación de 45 nm de Intel, tienen procesamiento de múltiples núcleos y están diseñados para múltiples subprocesos .

Intel vPro es una marca para un conjunto de características de tecnología Intel que se pueden integrar en el hardware de la computadora portátil o de escritorio. El conjunto de tecnologías está dirigido a empresas, no a consumidores. Una PC con la marca vPro a menudo incluye Intel AMT , Intel Virtualization Technology (Intel VT), Intel Trusted Execution Technology (Intel TXT), una conexión de red gigabit , etc. Puede haber una PC con un procesador Core 2, sin funciones vPro integradas. Sin embargo, las funciones vPro requieren una PC con al menos un procesador Core 2. Las tecnologías de las versiones actuales de vPro están integradas en las PC con algunas versiones de los procesadores Core 2 Duo o Core 2 Quad (45 nm) y, más recientemente, con algunas versiones de los procesadores Core i5 y Core i7.

Intel AMT es parte del motor de administración de Intel que está integrado en las PC con la marca Intel vPro. Intel AMT es un conjunto de funciones de hardware de seguridad y administración remota que permiten a un administrador de sistemas con privilegios de seguridad AMT acceder a la información del sistema y realizar operaciones remotas específicas en la PC. Estas operaciones incluyen encendido / apagado remoto (a través de Wake on LAN ), arranque remoto / redirigido (a través de redireccionamiento de dispositivos electrónicos integrados, o IDE-R ), redireccionamiento de consola (vía serial a través de LAN ) y otras funciones de seguridad y administración remota.

Ver también

Notas

Referencias

enlaces externos