Intel® AMT

Transkrypt

Intel® AMT

Bezpieczeństwo i zdalne zarządzanie PC
zaszyte w Hardware
Możliwości nowych procesorów
3rd Generation Intel® Core™ vPro™
Dariusz Wittek
Intel EMEA Biz Client Solution Architect
1
Agenda
• Czym jest technologia Intel® vPro™? - 4 Technologie
składowe.
• Na co pozwala Intel® Active Management
Technology?
• Live Demo zdalnego zarządzania z Intel® Active
Management Technology.
• Zabezpieczenie przeciwkradzieżowe - Intel® AntiTheft Technology 4.0 – demo
• Drugi czynnik logowania - Intel® Identity Protection
Technology
Współczesne problemy utrzymania PC
Bezpieczeństwo
Zarządzanie
 Rocznie kradzione jest 2 Miliony
laptopów i 97% z nich nigdy nie zostaje
odzyskanych1
 Rocznie przeciętna firma instaluje 35
poprawek (patch) i uaktualnień aplikacji
na laptopach i 51 na desktopach4
 Średnie koszty związane z utraconym
laptopem - $49,2463
 Ilość awarii w czwartym roku użytkowania
wynosi ok. 24% - 2x więcej niż w
pierwszym roku użytkowania … Koszt
naprawy pogwarancyjnej (laptopa) PC
może wynieść nawet $1,4255
 70% wszystkich zgłoszonych naruszeń
bezpieczeństwa IT jest powodowane
przez pracowników/współpracowników
firmy2
9%
91%
Innovation
PC Support
Incidents
Desk-Side Visit
Maintenance
17%
PC
Support
Costs
46%
Energia el.
 Rosnący koszt energii
elektrycznej zaczyna być znaczącym
składnikiem budzetu IT.
Today, 91% of IT Spending
is to
“Keep the Business
Running”
Source: Gartner
1 Processor, May19,2006
2 CNET News.com, January 2005, from Ponemon Institute Survey (163 F1000 companies)
3 Ponemon Institute April 2009
4 “Using Total Cost of Ownership to Determine Optimal PC Refresh Lifecycles”, Wipro Technologies, November 2009.
Actual results may vary based on the number of use-cases implemented and may not be representative of results that individual businesses may realize.
5 April 2009, J. Gold Associates Research Report, Keeping Notebooks Past Their Prime
83%
Remote Fix
54%
Source: Zenith Infotech
6 Generacji Technologii Intel® vPro™
Management
Wireless
Remote
Management
Processor
Virtualization
HW Support
I/O Devices
Virtualization
HW Support
Enterprise
Remote
Platform HW
root of trust
security
2006
2007
Manage
Remotely
Beyond
Firewall
Remote
KVM
Redirection
Ease of use
and
flexibility
Mature
Robust
Technology
Identity
Protection
- OTP
More
security
features
Antitheft
HW Protection
2008
/2009
2010
2011
Technologia Intel® vPro™ 2012 dalsza ewolucja technologii
z nowymi funkcjami spełniającymi potrzeby firm.
2012
Sprzętowe funkcje platformy niezależne od procesora –
HW Root of Trust, HW Security, HW Remote Management
- 2009
Rozwiązanie 3-chipowe (desktop 95W)
2010 +
Rozwiązanie 2-chipowe (desktop 85W)
Processor
Processor
65W
FSB
Display
iGFX
MC
Display
ME
DDR 2/3
25W
ICH
I/O
IMC
DDR 3
DMI
Intel® 5/6 Series Chipset
Display
Display
Clock
Buffer
DMI
Clocks
iGFX
Intel® Flexible
Display Interface
Intel® 4 Series Chipset
PCIe
Graphics
PCIe
Graphics
79W
5W
ME - Management Engine = niezależny od głównego CPU i OS
µkontroler w chipsecie z własnym firmware + hardware root of trust
ME
I/O
6W
Intel® Core™ i7/i5 vPro™ technologie składowe
Processor
3rd
Sandy
Bridge
Intel®
Gen
Core™ i7/ i5 ™
vPro
Intel®
Virtualization
Technology
•Intel® VT-x
w EPT
• Intel® VT-d
Intel® Anti-Theft
Technology 4.0
Chipset
Intel® Express
QM77/QS77/Q77 series
PC Theft HW based protection
• Data Disable
• PC HW Lock
Network
Intel® Gigabit Intel® Centrino®
with AMT
6000 Series
Intel® Active
Management
Technology 8.0
Intel® Trusted
Execution
Technology
•Hardware based
Root of Trust
•Measured and
Verified boot with
white list stored in
TPM
Intel® Identity Protection
Technology
with PKI
PC HW based Identity protection
• HW generated One Time Password
• Protected Transaction Display
• PEAT –Platform Embeded
Asymetric Token
• HW based Out Of Band Remote
Management
•KVM Remote Control
•TCP/IPv6 & IPv4
•SOL/IDE-R, Boot Control
Technologia Intel® vProTM bezpieczeństwo i
zarządzanie w Hardware!
Właściwy procesor = Intel® Core™ i7/ i5 vPro
ark.intel.com
Zdalne sprzętowe zarządzanie - Intel® AMT™
Zdalna diagnoza i naprawa PCs7
Technologia
Intel® AMT™
Hard Drive
Intel®
Core™
i5 vPro™
Processor
Intel®
Chipset
IT Help Desk
Zdalny dostęp do HW przez port Intel
LAN/WLAN - niezaleznie od OS :
Intel®
Network
Adapter
OS/SW
Failure
on Hard
Drive
 HW Inventory – wyłączonych PC
 Zdalny On/Off/Reset po TCP/IP
 Konsola tekstowa SOL (BIOS setup)
 Zdalna konsola graficzna KVM
(BSD? )
 Zdalne bootowanie IDE-R z obrazu
zastępczego np. WinPE- Diagnostyka
/Naprawa/reinsta-lacja HDD /OS. Zastępczy OS
Business Employees
 Sprzętowy FW + watchdogi sprzętowe
Zdalna diagnostyka i naprawa uszkodzonego i
niestartującego OS/SW
Zdalna izolacja zarażonego PC od sieci LAN/WLAN
7 Intel® vPro™ Technology jest złożonym rozwiązaniem i wymaga odpowiedniej konfiguracji i narzędzi zarządzajacych (konsoli)
Demo
Intel® AMT
Demo
Internet
Infrastructure
(DHCP/DNS/CA)
& Intel SCS
VM
Operating System
SW Agents
Intel® Core™ Processor (CPU)
Intel®
PRO/1000
LAN
Intel® QS77
Express Chipset
PCH
Manageability
Engine
Filters
Sensors
MAC
FLASH
BIOS
NVM
Managed System
Wireless Gateway (w. NAT)
+ 1GbE Switch
Copyright © 2006 Intel Corporation. All rights reserved. Intel, the Intel logo, Intel. Leap ahead., the Intel. Leap ahead. logo, vPro, the vPro
logo, Centrino, the Centrino logo, Intel Core, Core Inside, Intel SpeedStep, Pentium, Pentium Inside and Celeron are trademarks or registered
trademarks of Intel Corporation or its subsidiaries in the United States and other countries. *Other names and brands may be claimed as the
property of their respective owners.
9
Intel® Active Management Technology™ –
µkontroler zarządzający Management Engine
Operating System
SW Diagnostics/Agents/Applications
Network
Driver
Management Engine
Driver
FLASH
Management Engine
System
Defense
BIOS
ME Services
NV Memory
LAN Controller
OOB
Comms
Filter
Intel AMT Firmware
Intel AMT Private
SOAP
TCP/IP
TLS
Confidentiality
Intel AMT Public
HTTP
Authorization
HW Sensors &
AFSC
PHY
Intel® vPro™ Express Chipset
= Out-of-band; Active even when System is turned off or OS is down
W 100% niezależne od głównego procesora:
•pamięć nieulotna Flash
•mikrokontroler Management Engine i
•komunikacja sieciowa TCP/IP
= In Band
Jeśli procesor ≠ Intel® Core™ i7/ i5
vPro ?
• Np. Intel® Core™ i3 ze zintegrowaną grafiką Intel HD Graphics +
chipset Intel Q67?
• To nie będzie platforma Intel® vPro™ = Firmware Intel®
ME w chipsecie rozpozna procesor niezgodny z Intel®
vPro™ i przełączy się w tryb Intel® Standard Manageability
• Intel® Standard Manageability – sprzętowa technologia zdalnego
zarządzania o ograniczonym zbiorze funkcji (podzbiór funkcji
Intel® AMT™)
• Trwała blokada/brak obsługi - KVM Remote Control, i zarządzania
zdalnego poza siecią firmy (beyond Firewall).
Intel® Standard Manageability vs. Intel® AMT™
Intel® AMT Features
Intel Standard Manageability
plus:
KVM Remote Control (Core i5 /i7 vPro with Intel GfX only)
HW based KVM to fix PC in GUI mode
Fast Call for Help
Fast access to fix PC problems inside or outside the firewall
Remote Scheduled Maintenance
Pre-schedule when the PC connects to the IT or service provider console for maintenance
Remote Alerts
Automatically alert IT or service provider if issues arise
Microsoft* NAP* Support
Allows AMT to gain access to a Microsoft NAP enabled 802.1x network regardless of PC health or
power state
Access Monitor
Provides oversight to support security requirements
Intel® Standard Manageability = DASH plus
Asset inventory, HW alerting, SOL/IDE-R, remote configuration, agent presence, and system
defense plus:
DASH 1.0 – continued support of industry standards and profile updates.
Measured Intel® AMT
AMT FW measurements reported to allow AMT to be part of trusted platform
Host VPN
Support for local management VPN tunneling
12
12
Intel® Active Management Technology
Zdalna inwentaryzacja HW i SW : Demo
••Wymagania
Rozwiązanie
Krok 1: Konsola Management
Console
wysyła żądanie
–– Oprogramowanie
obsługujące
technologię
Intel wysłania
AMT; informacji
®
– komputer
Krok 2: Żądanie
przetwarzane
jest przez kontroler Management Engine
oparty
na
SW Agents
GUID
GUID:
123456789
BIOS
Vendor: Intel
BIOS Version: 4321
CPU Vendor: Intel
CPU Speed:
3600 MHz
HDD Mfg:
Vendor ABC
HDD Model: XYZ
Database
123456789
BIOS Vendor
Intel
BIOS Version
4321
CPU Vendor
Intel
CPU Speed
3600 MHz
HDD Mfg
Vendor ABC
HDD Model
XYZ
Intel®
PRO/1000
LAN
Intel® Q77
Express Chipset
–
–
® ®
technologii
technologiiIntel
IntelAMT
vPro, przyłączony do sieci zasilającej i sieci
niezależnie
od
stanu
komputera i systemu operacyjnego
LAN
Krok 3: Informacja wysyłana jest do konsoli zarządzania
Operating System
Krok 4: Raport zapisywany jest do bazy danych
Management
Console
Manageability
Engine
Filters
Sensors
MAC
FLASH
BIOS
NVM
= “Out-of-band”
13
HW Inventory
•HW inventory jest uaktualniane podczas każdego
startu BIOS w czasie procedury POST
– Dane które są zapisywane:
•
•
•
•
•
•
•
•
•
•
•
Motherboard
–
Manufacturer
–
Product
–
Version
–
Serial #
–
Asset Tag
CPU
–
Manufacturer
–
Type
–
Family
–
Speed
•
•
•
•
•
•
Memory
–
Manufacturer
–
Speed
–
Size
–
Serial Number
–
Asset Tag
•
•
•
•
HDD
–
–
–
Model
Serial Number
Size
– Urządzenia USB i inne peryferia nie są sprawdzane/zapisywane
– Producent BIOSs ustala które z tych informacji są faktycznie
zapisywane do Flash
– Konsola zarządzająca ustala których informacji z flash użyć
14
Zdalna diagnostyka i naprawa
Rozwiązanie
Problem
•••Wymagania
Krok
1:nie
Klient
zgłasza
problem zuruchomić
uruchomieniem
systemu
Klient
może
poprawnie
systemu
––– Oprogramowanie
zarządzające
obsługujące
technologię
operacyjnego
do z
działu
IT
®
operacyjnego
powodu
uszkodzenia/usunięcia
Intel
AMT; Komputer
oparty
na technologii Intel® vPro z
– funkcjami
Krok
2a: Dział
IT uruchamia
zdalne
przekierowanie
uruchomienie
krytycznych
–niezbędnych
plików
(np.
brakujacy
SOL/IDE-R
włączonymi
w
iAMT
BIOS;
komputera z diagnostycznego systemu operacyjnego i narzedzi po
NTLDR). Typowo
wymagało
byi to
wysłania
Podłączony
do sieci
zasilającej
LAN
stronie działu IT (IDE-R)
komputera
do serwisu
do reinstalacji
systemu
System
operacyjny
i narzędzia
diagnostyczne
– Krok
b: Jednocześnie przechwytuje zdalny ekran tekstowy Operating System
operacyjnego
i trwało
kilka dni.
działające
w trybie
tekstowym
i klawiature uszkodzonego komputera (SOL)
–
–
Krok 3a: Brakujące lub uszkodzone pliki są zdalnie
kopiowane.
reinstalowane
SW Agents
® Core™ Processor (CPU)
®
® Core™
Intel
Intel
Processor (CPU)
Krok 3b: Problemy ze sprzętem wymagają lokalnej
wizyty serwisu
Help
Desk
Server
Intel®
PRO/1000
LAN
Intel® Q77
Express Chipset
PCH
Management
Console
= System Off
= System On
Manageability
Engine
Filters
Sensors
MAC
FLASH
BIOS
NVM
= “Out-of-band”
15
Przykładowe ekrany sesji SOL& IDE-R
16
Zdalna inwentaryzacja HW i SW : Demo
••Wymagania
Rozwiązanie
Krok 1: Konsola Management
Console
wysyła żądanie
obsługujące
technologię
Intel wysłania
AMT; informacji
®
– komputer
Krok 2: Żądanie
przetwarzane
jest przez kontroler Management Engine
oparty
na
SW Agents
GUID
GUID:
123456789
BIOS
Vendor: Intel
BIOS Version: 4321
CPU Vendor: Intel
CPU Speed:
3600 MHz
HDD Mfg:
Vendor ABC
HDD Model: XYZ
Database
123456789
BIOS Vendor
Intel
BIOS Version
4321
CPU Vendor
Intel
CPU Speed
3600 MHz
HDD Mfg
Vendor ABC
HDD Model
XYZ
(G)MCH
Intel®
PRO/1000
LAN
Intel® Q67
Express Chipset
–
–
® ®
technologii
technologiiIntel
IntelAMT
vPro, przyłączony do sieci zasilającej i sieci
niezależnie
od
stanu
komputera i systemu operacyjnego
LAN
Krok 3: Informacja wysyłana jest do konsoli zarządzania
Operating System
Krok 4: Raport zapisywany jest do bazy danych
Management
Console
Manageability
Engine
ICH8-DO
Filters
Sensors
MAC
FLASH
BIOS
NVM
= “Out-of-band”
17
Zdalna konfiguracja BIOS
18
Jak to się mogło stać?
Dział IT :
“Ale
dlaczego
wyłączyłeś
swój
program
antywiruso
wy?”
Użytkownik:
“Ponieważ nie
pozwalał mi
otworzyć
załącznika z
wiadomości
e-mail!”
• Wyłączyć program antywirusowy?
To bardzo proste –po prostu kliknij ten przycisk!
19
Agent Presence–kontrola pracy programu antywirusowego
Rozwiązanie
•••Wymagania
Problem
Krok 1: Konsola zarządzania
Management
Consoleobsługujące
rejestruje kontrolerze
ME Intel
antywirusowe
lub firewall
technologię
IntelAMT
®
®
– AMT;
Krytyczne
elementy
bezpieczeństwa
takie,
jak czasu
program
abtywirusowy
agentów
programu
antywirusowego
i ustalony
odstęp
w jakim
te programy muszą
komputer
oparty
na technologii
Intel
vPro, Podłączony
do sieci
®
meldować
swoją
prace/obecność
do lokalnego
kontrolera Intel
AMT ME
czy firewall
mogą
być wyłączone
przez użytkownika
(swiadomie
lub w
zasilającej i LAN
– Krok
2: Agent
oprogramowania
AVw
melduje
swoją obecność
wyniku
błędu).
Pozostawiając
ten sposób
komputer bez niezbędnej
/pracę
do
kontrolera
Intel
AMT
ME
w
ustalonym
czasie.
ochrony.
®
®
–
Krok 3: Gdy agent oprogramowania zostanie wyłączony
lub uszkodzony – i nie melduje się na czas - kontroler
Intel® AMT ME wysyła zgłoszenie –alarm do konsoli
zarządzania, może również uruchomić filtr System Defence
Krok 4: Konsola zarządzania może ponownie włączyć
lub zainstalować usunięty program antywirusowy
Watchdog
timer settings:
ISV Agent
Check in:
5 second intervals
Policy: Shut off
corp Internet
traffic and send
alert upon
timeout
Operating System
SW
Agents
SW
Agents
Intel®
PRO/1000
LAN
Corporate
Network
Intel® Q77
Express Chipset
–
Management
Console
= System Off
= System On
Manageability
Engine
Agent Watchdog
Application
Filters
Sensors
MAC
FLASH
BIOS
NVM
= “Out-of-band”
20
Sprzętowy firewall- System Defence
• Wymagania
Rozwiązanie
• Problem
– Oprogramowanie
Krok 1: Konsola Management Console konfiguruje filtry Intel AMT
–
zarządzające
– W przypadku ataku
nowego obsługujące
nieznanego technologię Intel AMT i funkcję System
na bazie informacji w pakiecie TCP/IP:Ethernet header information (Source and Destination
®
®
Defense;
wirusa
antywirusowy
nie jestICMP
jeszcze
address
andprogram
port numbers,
TCP/UDP protocol,
messages, TCP flags)
komputer
oparty
na
technologii
Intel®
vPro,
Podłączony
do sieci
zasilającej i LAN
w
stanie
go
zwalczyć,
wirus
może
się
bardzo
– Krok 2: Dział IT wysyła konfiguracje i działanie filtrów do komputera
zarządzanego
przenosić
na inne
komputery
np.
(np.szybko
kasować
pakiety, wysłać
alarm
do konsoli,lub
ograniczyć
ilość pakietów)
wysyłać
pufne
dokumenty
z
komputera
do
– Krok 3: Komputer zostaje zarażony wirusem, wirus próbuje
Operating System
komputera
rozsyłać
się dalejwłamywacza/hackera.
–
Krok 4: Filtry zadziałały, komputer został odcięty od sieci
alarm wysłany do konsoli
Krok 5: System jest naprawiany i włączany ponownie do
sieci firmy
SW Agents
Intel® Core™ 2 Duo Processor (CPU)
(G)MCH
Intel®
PRO/1000
LAN
Management
Console
Corporate
Network
= System Off
= System On
Intel® Q77
Express Chipset
–
Manageability
Engine
ICH8-DO
Filters
Sensors
MAC
FLASH
BIOS
NVM
= “Out-of-band”
21
Filtry System Defense
• Osobne filtry nadawcze (Out-Boun) i odbiorcze (In-Bound)
> 31 filtrów TX (+ 1 filtr domyślny (else), -1 filtr IP antispoofing)
> 31 filtrów RX (+ 1 filtr domyślny (else),
> 16 liczników dla statystyki zadziałania filtrów
Filtry mogą być zdefiniowane na bazie:
> Ramki Ethernet
> IP Source Address
> IP Destination Address
> IP Next Header Type
> TCP Flags
> UDP/TCP Source Port
> UDP/TCP Destination Port
Obsługa protokołu IPv6:
> Pakiety IPv6 są obsługiwane przez połączenie razem po 4 filtry
jako jeden (ze względu na 4x dłuższe pola adresowe IP)
22
KVM Remote Control
• Nowe możliwości platformy Intel®
Core™ i5 vPro™ z AMT 6 +
– KVM remote control dla pełnej sprzętowej (Out-of
–Band) graficznej kontroli diagnostyki i naprawy
Management Console
Video
displayed at
console
DDR3
Intel®
DMI
FDI
PC supporting KVM
Intel® Q5 or Q6 Series
Chipset
With Manageability Engine and
Firmware
Console keyboard & mouse
remotely controls client
Jak działa KVM Remote Control?
• Zawartość ekranu jest analizowana na
poziomie pamięci ekranu (Frame
Buffer)
• kwadraty 64x64 pixele porównywane z
poprzednią zawartościa i wysyłane są
tylko zmiany
Intel AMT 6.0 - KVM Remote Control
Komputer AMT
użytkownika
Ekran User Consent
wyświetlany przez HW
zintegrowanej grafiki Intel HD
Consent code generowany
losowo przez Intel AMT
Konsola zarządzająca
Użytkownik MUSI podać
kod Consent Code IT
Helpdesk przez telefon
Po wprowadzeniu
6-o cyfrowego
kodu
Ikona połączenia +
1pixelowa czerwona
ramka ekranu generowane przez HW
w czasie trwającej
sesji
Ekrany, ruchy
myszki i tekst z
klawiatury są
synchronizowane
Video Demo
–Preview videos online (YouTube & YouTube)
Access Monitor Operation
Desktop lub Notebook z
technologią Intel® vPro™
Enterprise IT
Console
Wybrane operacje Intel® AMT, zgodnie z
wstępnie skonfigurowaną policy, są
zapisywane w zabezpieczonym “Audit
Logu”
Administrator IT, który nie posiada
uprawnień Auditor nie może przegladać,
modyfikować ani usuwać “Audit Log”
Auditor może się zalogować i przegladać, modyfikować oraz uzuwać
wpisy operacji iAMT w “Audit Log”.
3
Sieć
Access Monitor wspiera wyższy poziom wymagań
bezpieczeństwa
26
Bezpieczny dostęp do sieci w środowisku
Microsoft* NAP
1
Enterprise IT
Console
PC nie uruchamia się i operator konsoli IT
potrzebuje połączyć się zdalnie w celu
diagnozy problemu
2
Ponieważ PC pracuje w sieci z Endpoint Access Controll (EAC), musi się
zautentykować poprzez swoj certyfikat zanim zostanie uaktywniony w sieci
(„logowanie do switcha LAN”– w normalnych warunkach wykonuje to agent
pod kontrolą działającego OS
3
Certyfikat dostępu do sieci jest wysylany przez Intel® ME do
switcha LAN co pozwala na dostęp do sieci i zestawienie zdalnej
sesji diagnostycznej
Sieć
Funkcje technologii Intel® vPro™ dostępne
również w sieci zabezpieczonej NAP
Similar operation in other Endpoint Access Controlled Networks
(such as Cisco* SDN)
27
Jak się tam dostać – sieć i
narzędzia zarządzania
ITO & Management
Console
Management Agent/
Monitoring Agent
Internet
Operating System
SW Agents
AMT/VPN Proxy
® Core™
® Core™
Intel
Intel
2 Duo
2 Processor
Processor
(CPU)
(CPU)
Intel®
PRO/1000
LAN
Intel® Q67
Express Chipset
(G)MCH
Manageability
Engine
ICH8-DO
Filters
Sensors
MAC
Wireless Gateway
/ Switch with VPN
= System Off
= System On
= “Out-of-band”
FLASH
BIOS
NVM
„Fast Call for Help” spoza firmowego Firewalla
(aka.CIRA)
Zdalna konsola
Service Providera
lub Enterprise IT
Console
vPro™ Enabled
Gateway lub
Intel® MPS
Użytkownik uruchamia BIOS i wybiera
sekwencje/ekran "heal initiation” (Control-P & 2)
lub naciska kombinację klawiszy Help hot-key
BIOS/MEBx wysyła komendę do Intel® AMT
FW w celu nawiązania zdalnego połączenia z
vPro Gateway
Lista konsoli
zarządzających jest
zarejestrowana w |
vPro™ Enabled Gateway
vPro™ Enabled Gateway nazwiązuje
szyfrowany tunel - TLS Session
3
DMZ
vPro™ Enabled Gateway
wysyła informację o
nadchodzącym zdalnym
połączeniu do konsoli
zarządzającej
4
Konsola zarządzająca
routuje komendy
SOAP & Redirection do
vPro™ Enabled
Gateway
6
5
Konsola wykonuje diagnostykę i
naprawę systemu klienta poprzez
szyfrowany tunel TLS
Internet/Telco
7
Firewall
Firewall
Intranet
Szybki i skuteczny sposób żądania i otrzymania
pomocy poza siecią firmową
1
Available in Intel AMT SDK
29
Spójne zarządzanie desktopami i
laptopami
Software Vendors
ePO
Deep Command
System Center
Configuration Manager
Intel®
vPro Module
for MS Power Shell
&
Intel vPro UCDR
SP2
Intel®
vPro SDK Tools
Intel®
System Defense Utility
HP Client
Automation
Single Management Console
Real VNC
* Other names and brands may be claimed as the property of their respective owners.
www.vproexpert.com
30
Narzedzia zarządzajace - Small Business
•Intel System
Defence Utility 2.01
•Any VNC Viewer /
Intel AMT SDK –
KVM View
•MS PowerShell
Scripts for Intel vPro
www.vproexpert.com
Czy moj laptop ma Intel® Active Management
Technology – czy to jest dla mnie?
Konsument (PC/laptop
prywatny)
• 99,9% nie posiada Intel® AMT
•
•
•
•
Laptop służbowy
• Dobry PC/laptop służbowy
powienien bazować na Intel®
Model użycia praktycznie nie
istnieje – kto miałby być Waszym Core™ i7/i5 vPro™
• Firmowy dział IT z IT Help Desk
IT (firma, uczelnia, sprzedawca
może zdalnie zarządzać
laptopa)?
komputerem, diagnozować go i
Czy chcielibyście płacić
naprawiać błędy OS/SW
miesięcznie ~ 40zł za taką
• Koszty zdalnego zarządzania są
usługę?
wliczone w koszty IT (ROI)
Jak często jestem Offline albo na
• Dane na dysku są służbowe (są
połączeniu GSM/3G/4G/LTE?
własnościa firmy) i zazwyczaj są
Co z dostępem do moich
zaszyfrowane
prywatnych danych (zdjęcia,
• Typowe użycie- Wake and Patch,
filmy) na dysku?
Remote Drive unlock, Remote OS
reimage, SW repair
Intel® vPro™ Technology – aktywacja (Provision)
Zapewnia sprzętowe zarządzanie i proaktywne bezpieczeństwo dla
komputerów włączonych w sieć korporacyjną
iAMT w stanie fabrycznym (factory default) NIE ma
skonfigurowanych żadnych kont zarządzania i dla zapewnienia
bezpieczeństwa IT NIE reaguje na komendy zarządzania –
interfejs zarządzania iAMT jest zamkniety.
(W AMT do wersji 3.x iAMT ME jest aktywny w sieci - pobiera adres
IP z serwera DHCP)
Wykrywanie komputerów z Intel® AMT ™
• Specyfikacja techniczna i opisy poducenta
• Naklejka z logo vPro na obudowie
• Narzędzia SW do wykrywania AMT
Wykrywanie komputerów z Intel AMT
• Intel ME Driver jest wymagany
(brak żółtych wykrzykników w Device Manager)
• Intel Management and Security Tool (Instalowane z ME
Driver)
ikona „kluczyka” icon na pasku systemowym
• SCS_Discovery Tool (intel SCS 8.1)/ ACU_Configurator
• Narzędzie Intel AMT Diagnostics Tool
(www.vproexpert.com - > tools)
Wiele możliwych sposobów konfiguracji Intel AMT
Komputer Intel® vPro™
1
BIOS
Control-P
Intel® Management Engine BIOS Extension v2.1.4.0000
Copyright© 2003-06, Intel Corporation. All Rights Reserved
Main Menu
Nowy tryb
KONFIGURACJA Z POZIOMU
OS
HOST BASED
CONFIGURATION = CLIENT
CONTROL MODE
Intel® ME Configuration
Intel® AMT Configuration
Change Intel® ME Password
Exit
{ESC}=Exit
4
{↑↓}=Select
Client
Software
{Enter}=Access
Konfiguracja
manualna =
ADMIN CONTROL
MODE
MEBx
AMT
Profile
CLIENT CONTROL
MODE =
USER CONSENT CODE
ZAWSZE WYMAGANY!
ME
Firmware
AMT Self
Signed
Certificate
Intel®
Hello packet
=Configure me!
AMT Remote
configuration
(RCFG)
Certificate
ADMIN CONTROL
MODE =
USER CONSENT
CODE JEST
OPCJONALNY
3
vprodemo.com
AMT
Profile
2
REMOTE CONFIGURATION = ADMIN CONTROL MODE
Bezpieczna (szyfrowana) KONFIGURACJA HW PRZEZ SIEĆ LAN
Configuration Server/Service
np. Intel SCS
www.vproexpert.com
Intel® vPro™ Expert Center
www.vproexpert.com
Miejsce prowadzenia otwartego
dialogu między Intelem a
środowiskiem IT (Experci IT, ISV,
OEM) dot. Przyszłych planów i
produktów Intela.
Mechanizm współpracy, zarządzania
wiedzą i szkoleń pozwalających na
podniesienie poziomu
doswiadczenia całego IT
Community.
Redukcja czasu integracji/wdrożenia
technologii Intel® vPro™ przez
działy IT i małe firmy przez
wymianę doświadczeń (Panele
dyskusyjne i Blogi)
Dostęp do expertów z branży: Intel,
Microsoft, Landesk, Symantec
Narzędzia Intela
www.vproexpert.com
UCDR – Use Case Reference
http://www.intel.pl/content/www/pl/pl/remote-support/vpro-technology-use-case-reference-designs.html
Czy aktywacja Intel® Active Management
Technology własnie tak wygląda?
40
Intel Anti-Theft Technology
This Intel Anti-Theft Technology visual mark is a trademark or
registered trademark of Intel Corporation or its subsidiaries in the
United States and other countries. It can only be used with written
permission.
(1) No computer system can provide absolute security under all conditions. Intel ® Anti-Theft Technology (Intel® AT) requires the computer system
to have an Intel® AT-enabled chipset, BIOS, firmware release, software and an Intel AT-capable Service Provider/ISV application and service
subscription. The detection (triggers), response (actions), and recovery mechanisms only work after the Intel ® AT functionality has been activated
and configured. Certain functionality may not be offered by some ISVs or service providers and may not be available in all countries. Intel assumes
no liability for lost or stolen data and/or systems or any other damages resulting thereof.
Intel® Anti-theft Technology – co jest
potrzebne w laptopie?
Processor
Chipset
OEM AT enabled BIOS
Sandy
Bridge
BIOS
Flash
Intel® Core™ i7 / i5 / i3 lub
i5vPro™ / i7 vPro™
Intel® Express 5/6 series
• Procesor - Intel® Core™ w tym modele Intel® Core™ vPro™
• Chipset:
2010 - HM55, HM57 lub QM57/QS57 (vPro™)
2011 - UM67, HM65, HM 67 lub QM67/QS67 (vPro™)
2012 – wszytkie modele Intel® Express 7 series
Desktop –chipsety Intel® vPro™ Q57, Q67, Q65, Q77
• BIOS producenta obsługujący technologię Intel® AT.
• ... Odpowiedni płatny !!! software/usługa ...
http://antitheft.intel.com
Intel® Anti-Theft Technology
Software i usługi
Absolute SW*
Computrace*
LoJack*
•
Intel®
Anti-Theft Service
Możliwość
zablokowania
zagubionego
lub
skradzionego
laptopa
McAfee
Anti-Theft*
Norton
Anti-Theft*
4 Intel® Anti-Theft Technology requires the computer system to have an Intel® AT-enabled chipset, BIOS, firmware release, software, and an Intel AT-capable Service Provider/ISV application
and service subscription.
Technologia Intel Anti-Theft (Intel-AT):
Blokada skradzionych lub zgubionych komputerów
Konsola zarządzania IT
lub portal
przeciwkradzieżowy
PC może być zablokowany zdalnie:
•tokenem “Poison Pill” (via SMS lub sieć IP)
PC może być zablokowany lokalnie :
• Wygaśnięcie lokalnego timera lub timera
platformy (brak połączenia z serwisem
p.kradzieżowym)
• przekroczenie liczby błędów logowania –
PBA (Pre-Boot Authentication)
•Manipulacja w platformę (BIOS, Memory,
CMOS Battery…)
8. Intel® Core™ vPro™ processor family includes Intel® Anti-Theft Technology—PC Protection (Intel® AT). No computer system can provide
absolute security under all conditions. Intel® Anti-Theft Technology (Intel® AT) requires the computer system to have an Intel® AT-enabled
chipset, BIOS, firmware release, software and an Intel AT-capable Service Provider/ISV application and service subscription. The detection
(triggers), response (actions), and recovery mechanisms only work after the Intel® AT functionality has been activated and configured. Certain
functionality may not be offered by some ISVs or service providers and may not be available in all countries. Intel assumes no liability for lost or
stolen data and/or systems or any other damages resulting thereof.
Zgubiony/
skradziony PC
Blokada skradzionych lub zgubionych komputerów
lub portal
przeciwkradzieżowy
Zablokowany PC NIE może być
uruchomiony :
• Wyświetla ekran logowania PBA
• nie ma możliwości uruchomienia z
innego nośnika (CD, USB, HDD, LAN)
• przekroczenie liczby błędów
logowania
•PBA (Pre-Boot Authentication) wyłącza system
(komputer można co najwyżej rozłożyć
na części i sprzedać je osobno – płyta
główna jest bezużyteczna)
Lost or Stolen PC
Intel® Anti-theft Technology – gdzie to jest umieszczone?
- 2009
Rozwiązanie 3-chipowe
2010 +
Rozwiązanie 2-chipowe
Processor
Processor
PCIe
Graphics
FSB
Display
iGFX
MC
Display
ME
DDR 2/3
DDR 3
DMI
Display
DMI
ICH
Clocks
IMC
Intel® Flexible
Display Interface
PCIe
Graphics
iGFX
I/O
ME - Management Engine = niezależny od głównego CPU i OS
µkontroler w chipsecie z własnym firmware
Display
Clock
Buffer
ME
I/O
Hardware
Root of Trust
Intel® Anti-Theft Technology
Live Demo
Co można zrobić z zablokowanym
laptopem?
=
A co z bezpieczeństwem danych
na dysku HDD/SSD
http://antitheft.intel.com
Akceleracja szyfracji - Intel® AES-NI
 Sprzętowe (częściowe) wsparcie szyfracji AES
przez procesor -7 nowych instrukcji
 Powoduje ze odpowiednie oprogramowanie
szyfrujące może zapewnić szybszą i jednocześnie
mocniejszą i lepszą ochronę danych
 Tworzy „klocki budowlane” dla szyfracji
algorytmem AES jak również innych algorytmów
szyfracji
Obsługiwane przez:
 McAfee Endpoint Encryption for PCs (EEPC) 6.0
package with McAfee ePolicy Orchestrator (ePO)
4.5
Symantec PGP® Whole Disk Encryption 10.1
& Universal Server 3.1
 Microsoft Windows * 2008 R2 &Microsoft
BitLocker *WS2008R2 /Windows 7
 TrueCrypt 7.0




WinZip* 14
OpenSSL patch, Red Hat Enterprise Linux* 6
Fedora Linux* 13
AES-NI dostępne w 32 nm procesorach
Intel® Core™ i5 i i7
Zabezpieczenie danych z zachowaniem
produktywności użytkownika
Intel® AES-NI3
Przyspieszają proces szyfracji
Szyfracja szybsza
17
nawet do
4x
i5-2400 (desktop)
i5-2520M (laptop)
Pomaga przyspieszyć predkość szyfracji
Whole-disk
encryption
Internet
Security
File Storage
Encryption
E6550 (desktop)
T7250 (laptop)
0
1
2
“There's a definite benefit to… AES-NI instructions...
This is huge for corporate desktops/notebooks”30
—Anandtech*
3 Intel ® AES-NI requires a computer system with an AES-NI enabled processor, as well as non-Intel software to execute the instructions in the correct sequen
17 Source: Comparing Intel ® Core™ i5-2520M processor based laptops to theoretical installed base of Intel® Core™2 Duo Processor T7250 . Security workload consists of SiSoftware Sandra*
2010 - AES256 CPU Cryptographic subtest measures CPU performance while executing AES (Advanced Encryption Standard) encryption and decryption algorithm.
30 The Clarkdale Review: Intel's Core i5 661, i3 540 & i3 530, Anand Lal Shimpi, Anandtech, January 2010. http://www.anandtech.com/show/2901/5
3
4
Blokada dostępu do danych na dyskach skradzionych lub
zgubionych komputerów:
lub portal
przeciwkradzieżowy
Przechowywane w HW chipsetu klucze
deszyfrujące mogą być zablokowane lub
całkowicie usunięte w przypadku
blokady:
• tokenem “Poison Pill” (via SMS lub sieć
IP)
•wygaśnięcie lokalnego timera lub
timera platformy (brak połączenia z
serwisem p.kradzieżowym)
• przekroczenie liczby błędów logowania
–PBA (Pre-Boot Authentication)
•Manipulacja w platformę (BIOS,
Memory, CMOS Battery…)
Lost or Stolen PC
Intel® Identity Protection Technology
One Time Password (OTP) Strong Authentication

Helps protect your accounts from identity theft and fraud!
• Make your online e-commerce transactions safer
• Easier, more Secure access to corporate networks, applications and services
• Available with 2nd Generation Intel® Core™ (2011) and
3rd Generation Intel® Core™ Ultrabook ™ & Intel® Core™ vPro™
http://ipt.intel.com
1 Sign to member site
2 Enter Security code
Address Web Sites
and Enterprises which
already support OTP
Something you know
(username and password)
Something you have (OTP algorithms
now integrated in the PC)
https://idprotect.verisign.com/desktop/wheretouse.v
Safer online transactions via Intel® Identity Protection Technology
with One Time Password.
Intel® Identity Protection Technology & Symantec VIP
Access Desktop
• Symantec VIP Access Desktop 2.0.2
available for free download from
public WEB. http://idprotect.verisign.com
(http://idprotect.verisign.com/desktop )
• Works on every PC:
Intel® IPT enabled PCs
standard PCs
SW generated Token
Access Desktop - How does it work?
• First time login
https://pip.verisignlabs.com
Access Desktop - How does it work?
• Any next time login
https://pip.verisignlabs.com
Intel® Identity Protection Technology
Protected Transaction Display
Safer online transactions via Intel® Identity Protection Technology
with Protected Transaction Display
Lepsze Bezpieczeństwo, Zarządzanie i Wydajność PC= wyższe ROI
Rozwiązanie
Problem
Zalety
Więcej koniecznych
aplikacji
bezpieczeństwa
spowalnia PC
Do 2X szybsza
wielozadaniowość dla
aplikacji bezpieczeństwa
wykonywanych w tle1
Szyfracja danych
trwa zbyt długo
Do 4X szybsza
szyfracja danych3
with Intel® AES-NI
Autentykacja dwoma
czynnikami (two-factor)
dla wyższego
bezpieczeństwa 2
Kradzież cyfrowej
tożsamości on-line
Utrata danych na
zagubionych lub
skradzionych
laptopach
Blokada skradzionego
lub zgubioneogo
laptopa i szyfracji
danych na jego HDD 1,2
with Intel® Anti-Theft Technology
Długa naprawa
problemów na
zdalnych komputerach
Skomplikowana
konfiguracja
Host
Based
Configura
tion
Łatwiejsza konfiguracja
Pełny sprzętowy KVM =szybsza
naprawa problemów3
Pytania?
Dziękuje
Hardware-assisted Virtualization* for
Client-side Virtual Containers
Virtual
Machine
Virtual
Machine
Personal
Workspace
Enterprise
workspace
(Locked,
streamed/cached)
Intel® Core™ vPro™
processors: Hardware-Assisted
Virtualization of processor,
graphics, memory and I/O for
isolated, secure, highly
responsive Client-side Virtual
Containers
Provide a flexible computing foundation with built-in
virtualization so you are ready for future compute models
* Intel® Virtualization Technology requires a computer system with an enabled Intel® processor, BIOS, virtual machine monitor (VMM) and, for some
uses, certain computer system software enabled for it.
Citrix Express Client
• Citrix Hypervisor jest ładowany jako pierwszy SW
• Pracuje bezpośrednio na sprzęcie
Citrix Express Client – konsola (CTRL & 0)
Citrix Express Client – konsola tworzenie
nowego VM
Citrix Express Client – Start VM’ów
Citrix Express Client – Start VM’ów
Citrix Express Client –obie maszyny
wirtualne uruchomione
Citrix Express Client –każdy VM
pracuje w trybie pełnoekranowym
Citrix Dazzle –bezpieczne publikowanie
aplikacji między VM
VM Publikujący- to tu pracuje
aplikacja i przechowywane są
dane
VM Subskrubujący
Wiecej informacji
•
White paper: Intel® Centrino® 2 with vPro™ technology and Intel® Core™2 Processor with vPro™ technology
http://download.intel.com/technology/vpro/Whitepaper_AllNew2010IntelCorevProProcessors.pdf
•
vPro technology reference guideline:
http://communities.intel.com/docs/DOC-1370
•
SMB Activation guide - http://communities.intel.com/servlet/JiveServlet/downloadBody/1736-102-2-
•
2162/Vpro%20SMB%20Config%20Guide__Notebook%20and%20Desktop_FINAL.pdf
Activation CheatSheet & Training
http://www.intel.com/content/www/us/en/remote-support/activation-of-intel-vpro-technology.html
•
vPro On-line Training (Flash)
http://www.intel.com/go/vPro101
Deployment guide
Intel Technology Journal
http://www.intel.com/technology/itj/index.htm
•
Free management console –Intel® System Defense Utility
http://support.intel.com/design/motherbd/software/isdu/index.htm
•
Trial management console –HP OV Client Automation Out-of-Band Management Console v7.2
http://h20229.www2.hp.com/uploads/ovrd/ovr_l_ccm_0001.html
Narzędzia
•
Free Intel Tools
http://software.intel.com/en-us/articles/intel-active-management-technology-downloads
•
Free management console –Intel® System Defense Utility
http://support.intel.com/design/motherbd/software/isdu/index.htm
•
Free management console –HP OV Out-of-Band Management Console v7.8
https://h10078.www1.hp.com/cda/hpms/display/main/hpms_content.jsp?zn=bto&cp=1-11-271272%5E9783_4000_100__&jumpid=reg_R1002_USEN
Version 2 of the Intel® Core™ vPro™ processor Management Pack for System Center Service
Manager 2010 (może być zaadoptowany do MS SCCM oraz używany samodzielnie) –
http://software.intel.com/en-us/articles/intel-core-vpro-processor-management-pack-for-systemcenter-service-manager-2010/
Discover Intel® vPro™ Technology
View the results of 10 pilot implementations of Intel vPro technology.
Read the case study.
http://www.intel.com/products/vpro/productbrief/desktopcomputing.pdf
Or Play Online IT manager game
Intel® IT Manager Game 2.0
IT Manager 3: Unseen Forces - Intel - Intel
http://itmanager3.intel.com/

Intel® AMT

Transkrypt

Podobne dokumenty

Mobile Clinical Assistant

kliknij tutaj