Intel® AMT
Transkrypt
Intel® AMT
Bezpieczeństwo i zdalne zarządzanie PC zaszyte w Hardware Możliwości nowych procesorów 3rd Generation Intel® Core™ vPro™ Dariusz Wittek Intel EMEA Biz Client Solution Architect 1 Agenda • Czym jest technologia Intel® vPro™? - 4 Technologie składowe. • Na co pozwala Intel® Active Management Technology? • Live Demo zdalnego zarządzania z Intel® Active Management Technology. • Zabezpieczenie przeciwkradzieżowe - Intel® AntiTheft Technology 4.0 – demo • Drugi czynnik logowania - Intel® Identity Protection Technology Współczesne problemy utrzymania PC Bezpieczeństwo Zarządzanie Rocznie kradzione jest 2 Miliony laptopów i 97% z nich nigdy nie zostaje odzyskanych1 Rocznie przeciętna firma instaluje 35 poprawek (patch) i uaktualnień aplikacji na laptopach i 51 na desktopach4 Średnie koszty związane z utraconym laptopem - $49,2463 Ilość awarii w czwartym roku użytkowania wynosi ok. 24% - 2x więcej niż w pierwszym roku użytkowania … Koszt naprawy pogwarancyjnej (laptopa) PC może wynieść nawet $1,4255 70% wszystkich zgłoszonych naruszeń bezpieczeństwa IT jest powodowane przez pracowników/współpracowników firmy2 9% 91% Innovation PC Support Incidents Desk-Side Visit Maintenance 17% PC Support Costs 46% Energia el. Rosnący koszt energii elektrycznej zaczyna być znaczącym składnikiem budzetu IT. Today, 91% of IT Spending is to “Keep the Business Running” Source: Gartner 1 Processor, May19,2006 2 CNET News.com, January 2005, from Ponemon Institute Survey (163 F1000 companies) 3 Ponemon Institute April 2009 4 “Using Total Cost of Ownership to Determine Optimal PC Refresh Lifecycles”, Wipro Technologies, November 2009. Actual results may vary based on the number of use-cases implemented and may not be representative of results that individual businesses may realize. 5 April 2009, J. Gold Associates Research Report, Keeping Notebooks Past Their Prime 83% Remote Fix 54% Source: Zenith Infotech 6 Generacji Technologii Intel® vPro™ Management Wireless Remote Management Processor Virtualization HW Support I/O Devices Virtualization HW Support Enterprise Remote Platform HW root of trust security 2006 2007 Manage Remotely Beyond Firewall Remote KVM Redirection Ease of use and flexibility Mature Robust Technology Identity Protection - OTP More security features Antitheft HW Protection 2008 /2009 2010 2011 Technologia Intel® vPro™ 2012 dalsza ewolucja technologii z nowymi funkcjami spełniającymi potrzeby firm. 2012 Sprzętowe funkcje platformy niezależne od procesora – HW Root of Trust, HW Security, HW Remote Management - 2009 Rozwiązanie 3-chipowe (desktop 95W) 2010 + Rozwiązanie 2-chipowe (desktop 85W) Processor Processor 65W FSB Display iGFX MC Display ME DDR 2/3 25W ICH I/O IMC DDR 3 DMI Intel® 5/6 Series Chipset Display Display Clock Buffer DMI Clocks iGFX Intel® Flexible Display Interface Intel® 4 Series Chipset PCIe Graphics PCIe Graphics 79W 5W ME - Management Engine = niezależny od głównego CPU i OS µkontroler w chipsecie z własnym firmware + hardware root of trust ME I/O 6W Intel® Core™ i7/i5 vPro™ technologie składowe Processor 3rd Sandy Bridge Intel® Gen Core™ i7/ i5 ™ vPro Intel® Virtualization Technology •Intel® VT-x w EPT • Intel® VT-d Intel® Anti-Theft Technology 4.0 Chipset Intel® Express QM77/QS77/Q77 series PC Theft HW based protection • Data Disable • PC HW Lock Network Intel® Gigabit Intel® Centrino® with AMT 6000 Series Intel® Active Management Technology 8.0 Intel® Trusted Execution Technology •Hardware based Root of Trust •Measured and Verified boot with white list stored in TPM Intel® Identity Protection Technology with PKI PC HW based Identity protection • HW generated One Time Password • Protected Transaction Display • PEAT –Platform Embeded Asymetric Token • HW based Out Of Band Remote Management •KVM Remote Control •TCP/IPv6 & IPv4 •SOL/IDE-R, Boot Control Technologia Intel® vProTM bezpieczeństwo i zarządzanie w Hardware! Właściwy procesor = Intel® Core™ i7/ i5 vPro ark.intel.com Zdalne sprzętowe zarządzanie - Intel® AMT™ Zdalna diagnoza i naprawa PCs7 Technologia Intel® AMT™ Hard Drive Intel® Core™ i5 vPro™ Processor Intel® Chipset IT Help Desk Zdalny dostęp do HW przez port Intel LAN/WLAN - niezaleznie od OS : Intel® Network Adapter OS/SW Failure on Hard Drive HW Inventory – wyłączonych PC Zdalny On/Off/Reset po TCP/IP Konsola tekstowa SOL (BIOS setup) Zdalna konsola graficzna KVM (BSD? ) Zdalne bootowanie IDE-R z obrazu zastępczego np. WinPE- Diagnostyka /Naprawa/reinsta-lacja HDD /OS. Zastępczy OS Business Employees Sprzętowy FW + watchdogi sprzętowe Zdalna diagnostyka i naprawa uszkodzonego i niestartującego OS/SW Zdalna izolacja zarażonego PC od sieci LAN/WLAN 7 Intel® vPro™ Technology jest złożonym rozwiązaniem i wymaga odpowiedniej konfiguracji i narzędzi zarządzajacych (konsoli) Demo Intel® AMT Demo Internet Infrastructure (DHCP/DNS/CA) & Intel SCS VM Operating System SW Agents Intel® Core™ Processor (CPU) Intel® PRO/1000 LAN Intel® QS77 Express Chipset PCH Manageability Engine Filters Sensors MAC FLASH BIOS NVM Managed System Wireless Gateway (w. NAT) + 1GbE Switch Copyright © 2006 Intel Corporation. All rights reserved. Intel, the Intel logo, Intel. Leap ahead., the Intel. Leap ahead. logo, vPro, the vPro logo, Centrino, the Centrino logo, Intel Core, Core Inside, Intel SpeedStep, Pentium, Pentium Inside and Celeron are trademarks or registered trademarks of Intel Corporation or its subsidiaries in the United States and other countries. *Other names and brands may be claimed as the property of their respective owners. 9 Intel® Active Management Technology™ – µkontroler zarządzający Management Engine Operating System SW Diagnostics/Agents/Applications Network Driver Management Engine Driver FLASH Management Engine System Defense BIOS ME Services NV Memory LAN Controller OOB Comms Filter Intel AMT Firmware Intel AMT Private SOAP TCP/IP TLS Confidentiality Intel AMT Public HTTP Authorization HW Sensors & AFSC PHY Intel® vPro™ Express Chipset = Out-of-band; Active even when System is turned off or OS is down W 100% niezależne od głównego procesora: •pamięć nieulotna Flash •mikrokontroler Management Engine i •komunikacja sieciowa TCP/IP = In Band Jeśli procesor ≠ Intel® Core™ i7/ i5 vPro ? • Np. Intel® Core™ i3 ze zintegrowaną grafiką Intel HD Graphics + chipset Intel Q67? • To nie będzie platforma Intel® vPro™ = Firmware Intel® ME w chipsecie rozpozna procesor niezgodny z Intel® vPro™ i przełączy się w tryb Intel® Standard Manageability • Intel® Standard Manageability – sprzętowa technologia zdalnego zarządzania o ograniczonym zbiorze funkcji (podzbiór funkcji Intel® AMT™) • Trwała blokada/brak obsługi - KVM Remote Control, i zarządzania zdalnego poza siecią firmy (beyond Firewall). Intel® Standard Manageability vs. Intel® AMT™ Intel® AMT Features Intel Standard Manageability plus: KVM Remote Control (Core i5 /i7 vPro with Intel GfX only) HW based KVM to fix PC in GUI mode Fast Call for Help Fast access to fix PC problems inside or outside the firewall Remote Scheduled Maintenance Pre-schedule when the PC connects to the IT or service provider console for maintenance Remote Alerts Automatically alert IT or service provider if issues arise Microsoft* NAP* Support Allows AMT to gain access to a Microsoft NAP enabled 802.1x network regardless of PC health or power state Access Monitor Provides oversight to support security requirements Intel® Standard Manageability = DASH plus Asset inventory, HW alerting, SOL/IDE-R, remote configuration, agent presence, and system defense plus: DASH 1.0 – continued support of industry standards and profile updates. Measured Intel® AMT AMT FW measurements reported to allow AMT to be part of trusted platform Host VPN Support for local management VPN tunneling 12 12 Intel® Active Management Technology Zdalna inwentaryzacja HW i SW : Demo ••Wymagania Rozwiązanie Krok 1: Konsola Management Console wysyła żądanie –– Oprogramowanie obsługujące technologię Intel wysłania AMT; informacji ® – komputer Krok 2: Żądanie przetwarzane jest przez kontroler Management Engine oparty na SW Agents GUID GUID: 123456789 BIOS Vendor: Intel BIOS Version: 4321 CPU Vendor: Intel CPU Speed: 3600 MHz HDD Mfg: Vendor ABC HDD Model: XYZ Database 123456789 BIOS Vendor Intel BIOS Version 4321 CPU Vendor Intel CPU Speed 3600 MHz HDD Mfg Vendor ABC HDD Model XYZ Intel® Core™ Processor (CPU) Intel® PRO/1000 LAN Intel® Q77 Express Chipset – – ® ® technologii technologiiIntel IntelAMT vPro, przyłączony do sieci zasilającej i sieci niezależnie od stanu komputera i systemu operacyjnego LAN Krok 3: Informacja wysyłana jest do konsoli zarządzania Operating System Krok 4: Raport zapisywany jest do bazy danych Management Console Manageability Engine Filters Sensors MAC FLASH BIOS NVM = “Out-of-band” Copyright © 2006 Intel Corporation. All rights reserved. Intel, the Intel logo, Intel. Leap ahead., the Intel. Leap ahead. logo, vPro, the vPro logo, Centrino, the Centrino logo, Intel Core, Core Inside, Intel SpeedStep, Pentium, Pentium Inside and Celeron are trademarks or registered trademarks of Intel Corporation or its subsidiaries in the United States and other countries. *Other names and brands may be claimed as the property of their respective owners. 13 HW Inventory •HW inventory jest uaktualniane podczas każdego startu BIOS w czasie procedury POST – Dane które są zapisywane: • • • • • • • • • • • Motherboard – Manufacturer – Product – Version – Serial # – Asset Tag CPU – Manufacturer – Type – Family – Speed • • • • • • Memory – Manufacturer – Speed – Size – Serial Number – Asset Tag • • • • HDD – – – Model Serial Number Size – Urządzenia USB i inne peryferia nie są sprawdzane/zapisywane – Producent BIOSs ustala które z tych informacji są faktycznie zapisywane do Flash – Konsola zarządzająca ustala których informacji z flash użyć 14 Intel® Active Management Technology Zdalna diagnostyka i naprawa Rozwiązanie Problem •••Wymagania Krok 1:nie Klient zgłasza problem zuruchomić uruchomieniem systemu Klient może poprawnie systemu ––– Oprogramowanie zarządzające obsługujące technologię operacyjnego do z działu IT ® operacyjnego powodu uszkodzenia/usunięcia Intel AMT; Komputer oparty na technologii Intel® vPro z – funkcjami Krok 2a: Dział IT uruchamia zdalne przekierowanie uruchomienie krytycznych –niezbędnych plików (np. brakujacy SOL/IDE-R włączonymi w iAMT BIOS; komputera z diagnostycznego systemu operacyjnego i narzedzi po NTLDR). Typowo wymagało byi to wysłania Podłączony do sieci zasilającej LAN stronie działu IT (IDE-R) komputera do serwisu do reinstalacji systemu System operacyjny i narzędzia diagnostyczne – Krok b: Jednocześnie przechwytuje zdalny ekran tekstowy Operating System operacyjnego i trwało kilka dni. działające w trybie tekstowym i klawiature uszkodzonego komputera (SOL) – – Krok 3a: Brakujące lub uszkodzone pliki są zdalnie kopiowane. reinstalowane SW Agents ® Core™ Processor (CPU) ® ® Core™ Intel Intel Processor (CPU) Krok 3b: Problemy ze sprzętem wymagają lokalnej wizyty serwisu Help Desk Server Intel® PRO/1000 LAN Intel® Q77 Express Chipset PCH Management Console = System Off = System On Manageability Engine Filters Sensors MAC FLASH BIOS NVM = “Out-of-band” Copyright © 2006 Intel Corporation. All rights reserved. Intel, the Intel logo, Intel. Leap ahead., the Intel. Leap ahead. logo, vPro, the vPro logo, Centrino, the Centrino logo, Intel Core, Core Inside, Intel SpeedStep, Pentium, Pentium Inside and Celeron are trademarks or registered trademarks of Intel Corporation or its subsidiaries in the United States and other countries. *Other names and brands may be claimed as the property of their respective owners. 15 Przykładowe ekrany sesji SOL& IDE-R 16 Intel® Active Management Technology Zdalna inwentaryzacja HW i SW : Demo ••Wymagania Rozwiązanie Krok 1: Konsola Management Console wysyła żądanie –– Oprogramowanie obsługujące technologię Intel wysłania AMT; informacji ® – komputer Krok 2: Żądanie przetwarzane jest przez kontroler Management Engine oparty na SW Agents GUID GUID: 123456789 BIOS Vendor: Intel BIOS Version: 4321 CPU Vendor: Intel CPU Speed: 3600 MHz HDD Mfg: Vendor ABC HDD Model: XYZ Database 123456789 BIOS Vendor Intel BIOS Version 4321 CPU Vendor Intel CPU Speed 3600 MHz HDD Mfg Vendor ABC HDD Model XYZ Intel® Core™ Processor (CPU) (G)MCH Intel® PRO/1000 LAN Intel® Q67 Express Chipset – – ® ® technologii technologiiIntel IntelAMT vPro, przyłączony do sieci zasilającej i sieci niezależnie od stanu komputera i systemu operacyjnego LAN Krok 3: Informacja wysyłana jest do konsoli zarządzania Operating System Krok 4: Raport zapisywany jest do bazy danych Management Console Manageability Engine ICH8-DO Filters Sensors MAC FLASH BIOS NVM = “Out-of-band” Copyright © 2006 Intel Corporation. All rights reserved. Intel, the Intel logo, Intel. Leap ahead., the Intel. Leap ahead. logo, vPro, the vPro logo, Centrino, the Centrino logo, Intel Core, Core Inside, Intel SpeedStep, Pentium, Pentium Inside and Celeron are trademarks or registered trademarks of Intel Corporation or its subsidiaries in the United States and other countries. *Other names and brands may be claimed as the property of their respective owners. 17 Zdalna konfiguracja BIOS 18 Jak to się mogło stać? Dział IT : “Ale dlaczego wyłączyłeś swój program antywiruso wy?” Użytkownik: “Ponieważ nie pozwalał mi otworzyć załącznika z wiadomości e-mail!” • Wyłączyć program antywirusowy? To bardzo proste –po prostu kliknij ten przycisk! 19 Intel® Active Management Technology Agent Presence–kontrola pracy programu antywirusowego Rozwiązanie •••Wymagania Problem Krok 1: Konsola zarządzania Management Consoleobsługujące rejestruje kontrolerze ME Intel –– Oprogramowanie antywirusowe lub firewall technologię IntelAMT ® ® – AMT; Krytyczne elementy bezpieczeństwa takie, jak czasu program abtywirusowy agentów programu antywirusowego i ustalony odstęp w jakim te programy muszą komputer oparty na technologii Intel vPro, Podłączony do sieci ® meldować swoją prace/obecność do lokalnego kontrolera Intel AMT ME czy firewall mogą być wyłączone przez użytkownika (swiadomie lub w zasilającej i LAN – Krok 2: Agent oprogramowania AVw melduje swoją obecność wyniku błędu). Pozostawiając ten sposób komputer bez niezbędnej /pracę do kontrolera Intel AMT ME w ustalonym czasie. ochrony. ® ® – Krok 3: Gdy agent oprogramowania zostanie wyłączony lub uszkodzony – i nie melduje się na czas - kontroler Intel® AMT ME wysyła zgłoszenie –alarm do konsoli zarządzania, może również uruchomić filtr System Defence Krok 4: Konsola zarządzania może ponownie włączyć lub zainstalować usunięty program antywirusowy Watchdog timer settings: ISV Agent Check in: 5 second intervals Policy: Shut off corp Internet traffic and send alert upon timeout Operating System SW Agents SW Agents Intel® Core™ Processor (CPU) Intel® PRO/1000 LAN Corporate Network Intel® Q77 Express Chipset – Management Console = System Off = System On Manageability Engine Agent Watchdog Application Filters Sensors MAC FLASH BIOS NVM = “Out-of-band” Copyright © 2006 Intel Corporation. All rights reserved. Intel, the Intel logo, Intel. Leap ahead., the Intel. Leap ahead. logo, vPro, the vPro logo, Centrino, the Centrino logo, Intel Core, Core Inside, Intel SpeedStep, Pentium, Pentium Inside and Celeron are trademarks or registered trademarks of Intel Corporation or its subsidiaries in the United States and other countries. *Other names and brands may be claimed as the property of their respective owners. 20 Intel® Active Management Technology Sprzętowy firewall- System Defence • Wymagania Rozwiązanie • Problem – Oprogramowanie Krok 1: Konsola Management Console konfiguruje filtry Intel AMT – zarządzające – W przypadku ataku nowego obsługujące nieznanego technologię Intel AMT i funkcję System na bazie informacji w pakiecie TCP/IP:Ethernet header information (Source and Destination ® ® Defense; wirusa antywirusowy nie jestICMP jeszcze address andprogram port numbers, TCP/UDP protocol, messages, TCP flags) komputer oparty na technologii Intel® vPro, Podłączony do sieci zasilającej i LAN w stanie go zwalczyć, wirus może się bardzo – Krok 2: Dział IT wysyła konfiguracje i działanie filtrów do komputera zarządzanego przenosić na inne komputery np. (np.szybko kasować pakiety, wysłać alarm do konsoli,lub ograniczyć ilość pakietów) wysyłać pufne dokumenty z komputera do – Krok 3: Komputer zostaje zarażony wirusem, wirus próbuje Operating System komputera rozsyłać się dalejwłamywacza/hackera. – Krok 4: Filtry zadziałały, komputer został odcięty od sieci alarm wysłany do konsoli Krok 5: System jest naprawiany i włączany ponownie do sieci firmy SW Agents Intel® Core™ 2 Duo Processor (CPU) (G)MCH Intel® PRO/1000 LAN Management Console Corporate Network = System Off = System On Intel® Q77 Express Chipset – Manageability Engine ICH8-DO Filters Sensors MAC FLASH BIOS NVM = “Out-of-band” Copyright © 2006 Intel Corporation. All rights reserved. Intel, the Intel logo, Intel. Leap ahead., the Intel. Leap ahead. logo, vPro, the vPro logo, Centrino, the Centrino logo, Intel Core, Core Inside, Intel SpeedStep, Pentium, Pentium Inside and Celeron are trademarks or registered trademarks of Intel Corporation or its subsidiaries in the United States and other countries. *Other names and brands may be claimed as the property of their respective owners. 21 Filtry System Defense • Osobne filtry nadawcze (Out-Boun) i odbiorcze (In-Bound) > 31 filtrów TX (+ 1 filtr domyślny (else), -1 filtr IP antispoofing) > 31 filtrów RX (+ 1 filtr domyślny (else), > 16 liczników dla statystyki zadziałania filtrów Filtry mogą być zdefiniowane na bazie: > Ramki Ethernet > IP Source Address > IP Destination Address > IP Next Header Type > TCP Flags > UDP/TCP Source Port > UDP/TCP Destination Port Obsługa protokołu IPv6: > Pakiety IPv6 są obsługiwane przez połączenie razem po 4 filtry jako jeden (ze względu na 4x dłuższe pola adresowe IP) 22 KVM Remote Control • Nowe możliwości platformy Intel® Core™ i5 vPro™ z AMT 6 + – KVM remote control dla pełnej sprzętowej (Out-of –Band) graficznej kontroli diagnostyki i naprawy Management Console Video displayed at console DDR3 Intel® DMI FDI PC supporting KVM Intel® Q5 or Q6 Series Chipset With Manageability Engine and Firmware Console keyboard & mouse remotely controls client Jak działa KVM Remote Control? • Zawartość ekranu jest analizowana na poziomie pamięci ekranu (Frame Buffer) • kwadraty 64x64 pixele porównywane z poprzednią zawartościa i wysyłane są tylko zmiany Intel AMT 6.0 - KVM Remote Control Komputer AMT użytkownika Ekran User Consent wyświetlany przez HW zintegrowanej grafiki Intel HD Consent code generowany losowo przez Intel AMT Konsola zarządzająca Użytkownik MUSI podać kod Consent Code IT Helpdesk przez telefon Po wprowadzeniu 6-o cyfrowego kodu Ikona połączenia + 1pixelowa czerwona ramka ekranu generowane przez HW w czasie trwającej sesji Ekrany, ruchy myszki i tekst z klawiatury są synchronizowane Video Demo –Preview videos online (YouTube & YouTube) Access Monitor Operation Desktop lub Notebook z technologią Intel® vPro™ Enterprise IT Console Wybrane operacje Intel® AMT, zgodnie z wstępnie skonfigurowaną policy, są zapisywane w zabezpieczonym “Audit Logu” Administrator IT, który nie posiada uprawnień Auditor nie może przegladać, modyfikować ani usuwać “Audit Log” Auditor może się zalogować i przegladać, modyfikować oraz uzuwać wpisy operacji iAMT w “Audit Log”. 3 Sieć Access Monitor wspiera wyższy poziom wymagań bezpieczeństwa 26 Bezpieczny dostęp do sieci w środowisku Microsoft* NAP Desktop lub Notebook z technologią Intel® vPro™ 1 Enterprise IT Console PC nie uruchamia się i operator konsoli IT potrzebuje połączyć się zdalnie w celu diagnozy problemu 2 Ponieważ PC pracuje w sieci z Endpoint Access Controll (EAC), musi się zautentykować poprzez swoj certyfikat zanim zostanie uaktywniony w sieci („logowanie do switcha LAN”– w normalnych warunkach wykonuje to agent pod kontrolą działającego OS 3 Certyfikat dostępu do sieci jest wysylany przez Intel® ME do switcha LAN co pozwala na dostęp do sieci i zestawienie zdalnej sesji diagnostycznej Sieć Funkcje technologii Intel® vPro™ dostępne również w sieci zabezpieczonej NAP Similar operation in other Endpoint Access Controlled Networks (such as Cisco* SDN) 27 Jak się tam dostać – sieć i narzędzia zarządzania ITO & Management Console Management Agent/ Monitoring Agent Internet Operating System SW Agents AMT/VPN Proxy ® Core™ ® Core™ Intel Intel 2 Duo 2 Processor Processor (CPU) (CPU) Intel® PRO/1000 LAN Intel® Q67 Express Chipset (G)MCH Manageability Engine ICH8-DO Filters Sensors MAC Wireless Gateway / Switch with VPN = System Off = System On = “Out-of-band” Copyright © 2006 Intel Corporation. All rights reserved. Intel, the Intel logo, Intel. Leap ahead., the Intel. Leap ahead. logo, vPro, the vPro logo, Centrino, the Centrino logo, Intel Core, Core Inside, Intel SpeedStep, Pentium, Pentium Inside and Celeron are trademarks or registered trademarks of Intel Corporation or its subsidiaries in the United States and other countries. *Other names and brands may be claimed as the property of their respective owners. FLASH BIOS NVM „Fast Call for Help” spoza firmowego Firewalla (aka.CIRA) Desktop lub Notebook z technologią Intel® vPro™ Zdalna konsola Service Providera lub Enterprise IT Console vPro™ Enabled Gateway lub Intel® MPS Użytkownik uruchamia BIOS i wybiera sekwencje/ekran "heal initiation” (Control-P & 2) lub naciska kombinację klawiszy Help hot-key BIOS/MEBx wysyła komendę do Intel® AMT FW w celu nawiązania zdalnego połączenia z vPro Gateway Lista konsoli zarządzających jest zarejestrowana w | vPro™ Enabled Gateway vPro™ Enabled Gateway nazwiązuje szyfrowany tunel - TLS Session 3 DMZ vPro™ Enabled Gateway wysyła informację o nadchodzącym zdalnym połączeniu do konsoli zarządzającej 4 Konsola zarządzająca routuje komendy SOAP & Redirection do vPro™ Enabled Gateway 6 5 Konsola wykonuje diagnostykę i naprawę systemu klienta poprzez szyfrowany tunel TLS Internet/Telco 7 Firewall Firewall Intranet Szybki i skuteczny sposób żądania i otrzymania pomocy poza siecią firmową 1 Available in Intel AMT SDK 29 Spójne zarządzanie desktopami i laptopami Software Vendors ePO Deep Command System Center Configuration Manager Intel® vPro Module for MS Power Shell & Intel vPro UCDR SP2 Intel® vPro SDK Tools Intel® System Defense Utility HP Client Automation Single Management Console Real VNC * Other names and brands may be claimed as the property of their respective owners. www.vproexpert.com 30 Narzedzia zarządzajace - Small Business •Intel System Defence Utility 2.01 •Any VNC Viewer / Intel AMT SDK – KVM View •MS PowerShell Scripts for Intel vPro www.vproexpert.com Czy moj laptop ma Intel® Active Management Technology – czy to jest dla mnie? Konsument (PC/laptop prywatny) • 99,9% nie posiada Intel® AMT • • • • Laptop służbowy • Dobry PC/laptop służbowy powienien bazować na Intel® Model użycia praktycznie nie istnieje – kto miałby być Waszym Core™ i7/i5 vPro™ • Firmowy dział IT z IT Help Desk IT (firma, uczelnia, sprzedawca może zdalnie zarządzać laptopa)? komputerem, diagnozować go i Czy chcielibyście płacić naprawiać błędy OS/SW miesięcznie ~ 40zł za taką • Koszty zdalnego zarządzania są usługę? wliczone w koszty IT (ROI) Jak często jestem Offline albo na • Dane na dysku są służbowe (są połączeniu GSM/3G/4G/LTE? własnościa firmy) i zazwyczaj są Co z dostępem do moich zaszyfrowane prywatnych danych (zdjęcia, • Typowe użycie- Wake and Patch, filmy) na dysku? Remote Drive unlock, Remote OS reimage, SW repair Intel® vPro™ Technology – aktywacja (Provision) Zapewnia sprzętowe zarządzanie i proaktywne bezpieczeństwo dla komputerów włączonych w sieć korporacyjną iAMT w stanie fabrycznym (factory default) NIE ma skonfigurowanych żadnych kont zarządzania i dla zapewnienia bezpieczeństwa IT NIE reaguje na komendy zarządzania – interfejs zarządzania iAMT jest zamkniety. (W AMT do wersji 3.x iAMT ME jest aktywny w sieci - pobiera adres IP z serwera DHCP) Wykrywanie komputerów z Intel® AMT ™ • Specyfikacja techniczna i opisy poducenta • Naklejka z logo vPro na obudowie • Narzędzia SW do wykrywania AMT Wykrywanie komputerów z Intel AMT • Intel ME Driver jest wymagany (brak żółtych wykrzykników w Device Manager) • Intel Management and Security Tool (Instalowane z ME Driver) ikona „kluczyka” icon na pasku systemowym • SCS_Discovery Tool (intel SCS 8.1)/ ACU_Configurator • Narzędzie Intel AMT Diagnostics Tool (www.vproexpert.com - > tools) Wiele możliwych sposobów konfiguracji Intel AMT Komputer Intel® vPro™ 1 BIOS Control-P Intel® Management Engine BIOS Extension v2.1.4.0000 Copyright© 2003-06, Intel Corporation. All Rights Reserved Main Menu Nowy tryb KONFIGURACJA Z POZIOMU OS HOST BASED CONFIGURATION = CLIENT CONTROL MODE Intel® ME Configuration Intel® AMT Configuration Change Intel® ME Password Exit {ESC}=Exit 4 {↑↓}=Select Client Software {Enter}=Access Konfiguracja manualna = ADMIN CONTROL MODE MEBx AMT Profile CLIENT CONTROL MODE = USER CONSENT CODE ZAWSZE WYMAGANY! ME Firmware AMT Self Signed Certificate Intel® Hello packet =Configure me! AMT Remote configuration (RCFG) Certificate ADMIN CONTROL MODE = USER CONSENT CODE JEST OPCJONALNY 3 vprodemo.com AMT Profile 2 REMOTE CONFIGURATION = ADMIN CONTROL MODE Bezpieczna (szyfrowana) KONFIGURACJA HW PRZEZ SIEĆ LAN Configuration Server/Service np. Intel SCS www.vproexpert.com Intel® vPro™ Expert Center www.vproexpert.com Miejsce prowadzenia otwartego dialogu między Intelem a środowiskiem IT (Experci IT, ISV, OEM) dot. Przyszłych planów i produktów Intela. Mechanizm współpracy, zarządzania wiedzą i szkoleń pozwalających na podniesienie poziomu doswiadczenia całego IT Community. Redukcja czasu integracji/wdrożenia technologii Intel® vPro™ przez działy IT i małe firmy przez wymianę doświadczeń (Panele dyskusyjne i Blogi) Dostęp do expertów z branży: Intel, Microsoft, Landesk, Symantec Narzędzia Intela www.vproexpert.com UCDR – Use Case Reference http://www.intel.pl/content/www/pl/pl/remote-support/vpro-technology-use-case-reference-designs.html Czy aktywacja Intel® Active Management Technology własnie tak wygląda? 40 Intel Anti-Theft Technology This Intel Anti-Theft Technology visual mark is a trademark or registered trademark of Intel Corporation or its subsidiaries in the United States and other countries. It can only be used with written permission. (1) No computer system can provide absolute security under all conditions. Intel ® Anti-Theft Technology (Intel® AT) requires the computer system to have an Intel® AT-enabled chipset, BIOS, firmware release, software and an Intel AT-capable Service Provider/ISV application and service subscription. The detection (triggers), response (actions), and recovery mechanisms only work after the Intel ® AT functionality has been activated and configured. Certain functionality may not be offered by some ISVs or service providers and may not be available in all countries. Intel assumes no liability for lost or stolen data and/or systems or any other damages resulting thereof. Intel® Anti-theft Technology – co jest potrzebne w laptopie? Processor Chipset OEM AT enabled BIOS Sandy Bridge BIOS Flash Intel® Core™ i7 / i5 / i3 lub i5vPro™ / i7 vPro™ Intel® Express 5/6 series • Procesor - Intel® Core™ w tym modele Intel® Core™ vPro™ • Chipset: 2010 - HM55, HM57 lub QM57/QS57 (vPro™) 2011 - UM67, HM65, HM 67 lub QM67/QS67 (vPro™) 2012 – wszytkie modele Intel® Express 7 series Desktop –chipsety Intel® vPro™ Q57, Q67, Q65, Q77 • BIOS producenta obsługujący technologię Intel® AT. • ... Odpowiedni płatny !!! software/usługa ... http://antitheft.intel.com Intel® Anti-Theft Technology Software i usługi Absolute SW* Computrace* LoJack* • Intel® Anti-Theft Service Możliwość zablokowania zagubionego lub skradzionego laptopa McAfee Anti-Theft* Norton Anti-Theft* 4 Intel® Anti-Theft Technology requires the computer system to have an Intel® AT-enabled chipset, BIOS, firmware release, software, and an Intel AT-capable Service Provider/ISV application and service subscription. Technologia Intel Anti-Theft (Intel-AT): Blokada skradzionych lub zgubionych komputerów Konsola zarządzania IT lub portal przeciwkradzieżowy PC może być zablokowany zdalnie: •tokenem “Poison Pill” (via SMS lub sieć IP) PC może być zablokowany lokalnie : • Wygaśnięcie lokalnego timera lub timera platformy (brak połączenia z serwisem p.kradzieżowym) • przekroczenie liczby błędów logowania – PBA (Pre-Boot Authentication) •Manipulacja w platformę (BIOS, Memory, CMOS Battery…) 8. Intel® Core™ vPro™ processor family includes Intel® Anti-Theft Technology—PC Protection (Intel® AT). No computer system can provide absolute security under all conditions. Intel® Anti-Theft Technology (Intel® AT) requires the computer system to have an Intel® AT-enabled chipset, BIOS, firmware release, software and an Intel AT-capable Service Provider/ISV application and service subscription. The detection (triggers), response (actions), and recovery mechanisms only work after the Intel® AT functionality has been activated and configured. Certain functionality may not be offered by some ISVs or service providers and may not be available in all countries. Intel assumes no liability for lost or stolen data and/or systems or any other damages resulting thereof. Zgubiony/ skradziony PC Technologia Intel Anti-Theft (Intel-AT): Blokada skradzionych lub zgubionych komputerów Konsola zarządzania IT lub portal przeciwkradzieżowy Zablokowany PC NIE może być uruchomiony : • Wyświetla ekran logowania PBA • nie ma możliwości uruchomienia z innego nośnika (CD, USB, HDD, LAN) • przekroczenie liczby błędów logowania •PBA (Pre-Boot Authentication) wyłącza system (komputer można co najwyżej rozłożyć na części i sprzedać je osobno – płyta główna jest bezużyteczna) Lost or Stolen PC Intel® Anti-theft Technology – gdzie to jest umieszczone? - 2009 Rozwiązanie 3-chipowe 2010 + Rozwiązanie 2-chipowe Processor Processor PCIe Graphics FSB Display iGFX MC Display ME DDR 2/3 DDR 3 DMI Intel® 5 Series Chipset Display DMI ICH Clocks IMC Intel® Flexible Display Interface Intel® 4 Series Chipset PCIe Graphics iGFX I/O ME - Management Engine = niezależny od głównego CPU i OS µkontroler w chipsecie z własnym firmware Display Clock Buffer ME I/O Hardware Root of Trust Intel® Anti-Theft Technology Live Demo Co można zrobić z zablokowanym laptopem? = A co z bezpieczeństwem danych na dysku HDD/SSD http://antitheft.intel.com Akceleracja szyfracji - Intel® AES-NI Sprzętowe (częściowe) wsparcie szyfracji AES przez procesor -7 nowych instrukcji Powoduje ze odpowiednie oprogramowanie szyfrujące może zapewnić szybszą i jednocześnie mocniejszą i lepszą ochronę danych Tworzy „klocki budowlane” dla szyfracji algorytmem AES jak również innych algorytmów szyfracji Obsługiwane przez: McAfee Endpoint Encryption for PCs (EEPC) 6.0 package with McAfee ePolicy Orchestrator (ePO) 4.5 Symantec PGP® Whole Disk Encryption 10.1 & Universal Server 3.1 Microsoft Windows * 2008 R2 &Microsoft BitLocker *WS2008R2 /Windows 7 TrueCrypt 7.0 WinZip* 14 OpenSSL patch, Red Hat Enterprise Linux* 6 Fedora Linux* 13 AES-NI dostępne w 32 nm procesorach Intel® Core™ i5 i i7 Zabezpieczenie danych z zachowaniem produktywności użytkownika Intel® AES-NI3 Przyspieszają proces szyfracji Szyfracja szybsza 17 nawet do 4x i5-2400 (desktop) i5-2520M (laptop) Pomaga przyspieszyć predkość szyfracji Whole-disk encryption Internet Security File Storage Encryption E6550 (desktop) T7250 (laptop) 0 1 2 “There's a definite benefit to… AES-NI instructions... This is huge for corporate desktops/notebooks”30 —Anandtech* 3 Intel ® AES-NI requires a computer system with an AES-NI enabled processor, as well as non-Intel software to execute the instructions in the correct sequen 17 Source: Comparing Intel ® Core™ i5-2520M processor based laptops to theoretical installed base of Intel® Core™2 Duo Processor T7250 . Security workload consists of SiSoftware Sandra* 2010 - AES256 CPU Cryptographic subtest measures CPU performance while executing AES (Advanced Encryption Standard) encryption and decryption algorithm. 30 The Clarkdale Review: Intel's Core i5 661, i3 540 & i3 530, Anand Lal Shimpi, Anandtech, January 2010. http://www.anandtech.com/show/2901/5 3 4 Technologia Intel Anti-Theft (Intel-AT): Blokada dostępu do danych na dyskach skradzionych lub zgubionych komputerów: Konsola zarządzania IT lub portal przeciwkradzieżowy Przechowywane w HW chipsetu klucze deszyfrujące mogą być zablokowane lub całkowicie usunięte w przypadku blokady: • tokenem “Poison Pill” (via SMS lub sieć IP) •wygaśnięcie lokalnego timera lub timera platformy (brak połączenia z serwisem p.kradzieżowym) • przekroczenie liczby błędów logowania –PBA (Pre-Boot Authentication) •Manipulacja w platformę (BIOS, Memory, CMOS Battery…) Lost or Stolen PC Intel® Identity Protection Technology One Time Password (OTP) Strong Authentication Helps protect your accounts from identity theft and fraud! • Make your online e-commerce transactions safer • Easier, more Secure access to corporate networks, applications and services • Available with 2nd Generation Intel® Core™ (2011) and 3rd Generation Intel® Core™ Ultrabook ™ & Intel® Core™ vPro™ http://ipt.intel.com 1 Sign to member site 2 Enter Security code Address Web Sites and Enterprises which already support OTP Something you know (username and password) Something you have (OTP algorithms now integrated in the PC) https://idprotect.verisign.com/desktop/wheretouse.v Safer online transactions via Intel® Identity Protection Technology with One Time Password. Intel® Identity Protection Technology & Symantec VIP Access Desktop • Symantec VIP Access Desktop 2.0.2 available for free download from public WEB. http://idprotect.verisign.com (http://idprotect.verisign.com/desktop ) • Works on every PC: Intel® IPT enabled PCs standard PCs SW generated Token Intel® Identity Protection Technology & Symantec VIP Access Desktop - How does it work? • First time login https://pip.verisignlabs.com Intel® Identity Protection Technology & Symantec VIP Access Desktop - How does it work? • Any next time login https://pip.verisignlabs.com Intel® Identity Protection Technology Protected Transaction Display Safer online transactions via Intel® Identity Protection Technology with Protected Transaction Display Lepsze Bezpieczeństwo, Zarządzanie i Wydajność PC= wyższe ROI Rozwiązanie Problem Zalety Więcej koniecznych aplikacji bezpieczeństwa spowalnia PC Do 2X szybsza wielozadaniowość dla aplikacji bezpieczeństwa wykonywanych w tle1 Szyfracja danych trwa zbyt długo Do 4X szybsza szyfracja danych3 with Intel® AES-NI Autentykacja dwoma czynnikami (two-factor) dla wyższego bezpieczeństwa 2 Kradzież cyfrowej tożsamości on-line Utrata danych na zagubionych lub skradzionych laptopach Blokada skradzionego lub zgubioneogo laptopa i szyfracji danych na jego HDD 1,2 with Intel® Anti-Theft Technology Długa naprawa problemów na zdalnych komputerach Skomplikowana konfiguracja Host Based Configura tion Łatwiejsza konfiguracja Pełny sprzętowy KVM =szybsza naprawa problemów3 Pytania? Dziękuje Hardware-assisted Virtualization* for Client-side Virtual Containers Virtual Machine Virtual Machine Personal Workspace Enterprise workspace (Locked, streamed/cached) Intel® Core™ vPro™ processors: Hardware-Assisted Virtualization of processor, graphics, memory and I/O for isolated, secure, highly responsive Client-side Virtual Containers Provide a flexible computing foundation with built-in virtualization so you are ready for future compute models * Intel® Virtualization Technology requires a computer system with an enabled Intel® processor, BIOS, virtual machine monitor (VMM) and, for some uses, certain computer system software enabled for it. Citrix Express Client • Citrix Hypervisor jest ładowany jako pierwszy SW • Pracuje bezpośrednio na sprzęcie Citrix Express Client – konsola (CTRL & 0) Citrix Express Client – konsola tworzenie nowego VM Citrix Express Client – Start VM’ów Citrix Express Client – Start VM’ów Citrix Express Client –obie maszyny wirtualne uruchomione Citrix Express Client –każdy VM pracuje w trybie pełnoekranowym Citrix Dazzle –bezpieczne publikowanie aplikacji między VM VM Publikujący- to tu pracuje aplikacja i przechowywane są dane VM Subskrubujący Wiecej informacji • White paper: Intel® Centrino® 2 with vPro™ technology and Intel® Core™2 Processor with vPro™ technology http://download.intel.com/technology/vpro/Whitepaper_AllNew2010IntelCorevProProcessors.pdf • vPro technology reference guideline: http://communities.intel.com/docs/DOC-1370 • SMB Activation guide - http://communities.intel.com/servlet/JiveServlet/downloadBody/1736-102-2- • 2162/Vpro%20SMB%20Config%20Guide__Notebook%20and%20Desktop_FINAL.pdf http://communities.intel.com/docs/DOC-1833 Activation CheatSheet & Training http://communities.intel.com/docs/DOC-1466 http://www.intel.com/content/www/us/en/remote-support/activation-of-intel-vpro-technology.html • vPro On-line Training (Flash) http://communities.intel.com/docs/DOC-4209 http://www.intel.com/go/vPro101 Deployment guide http://communities.intel.com/docs/DOC-1931 http://communities.intel.com/docs/DOC-1933 Intel Technology Journal http://www.intel.com/technology/itj/index.htm http://communities.intel.com/docs/DOC-1932 http://communities.intel.com/docs/DOC-1934 • Free management console –Intel® System Defense Utility http://support.intel.com/design/motherbd/software/isdu/index.htm • Trial management console –HP OV Client Automation Out-of-Band Management Console v7.2 http://h20229.www2.hp.com/uploads/ovrd/ovr_l_ccm_0001.html Narzędzia • Free Intel Tools http://software.intel.com/en-us/articles/intel-active-management-technology-downloads • Free management console –Intel® System Defense Utility http://support.intel.com/design/motherbd/software/isdu/index.htm • Free management console –HP OV Out-of-Band Management Console v7.8 https://h10078.www1.hp.com/cda/hpms/display/main/hpms_content.jsp?zn=bto&cp=1-11-271272%5E9783_4000_100__&jumpid=reg_R1002_USEN Version 2 of the Intel® Core™ vPro™ processor Management Pack for System Center Service Manager 2010 (może być zaadoptowany do MS SCCM oraz używany samodzielnie) – http://software.intel.com/en-us/articles/intel-core-vpro-processor-management-pack-for-systemcenter-service-manager-2010/ Discover Intel® vPro™ Technology View the results of 10 pilot implementations of Intel vPro technology. Read the case study. http://www.intel.com/products/vpro/productbrief/desktopcomputing.pdf Or Play Online IT manager game Intel® IT Manager Game 2.0 http://communities.intel.com/docs/DOC-1221 IT Manager 3: Unseen Forces - Intel - Intel http://itmanager3.intel.com/