Belangrijke begrippen
In dit artikel kunt u de belangrijkste termen leren die we gebruiken in verband met de Intel vPro functionaliteit.
- OOB (Out-of-band)
- In de context van out-of-band beheer verwijst dit naar de mogelijkheid om een apparaat te besturen via een besturingsvlak en communicatiekanaal dat onafhankelijk is van de kernhardware, firmware en software van het apparaat. OOB-beheer wordt meestal geïmplementeerd op hardware- en firmwareniveau, met Intel AMT als voorbeeld. Met AMT kan apparaatinformatie worden opgevraagd, zelfs als het apparaat is uitgeschakeld, en kunnen apparaten worden ingeschakeld of geforceerd opnieuw worden opgestart, en met hardwarematige KVM kunnen machines op afstand worden bestuurd, zelfs op BIOS-niveau. Voor in-band beheer is daarentegen een functionerend besturingssysteem nodig met een service of agentsoftware die op het beheerde apparaat draait.
- KVM (Toetsenbord-Video-Muis)
- Scherm delen op afstand en besturing van muis en toetsenbord. In de context van Intel vPro / AMT wordt meestal gesproken over out-of-band (OOB) of hardware-gebaseerde KVM, wat verwijst naar de mogelijkheid om een scherm op afstand te bedienen zonder dat het besturingssysteem of een agentsoftware hoeft te draaien.
- Intel vPro
- Een overkoepelende term voor een verzameling technologieën in Intel PC's, waaronder de Intel AMT technologie voor out-of-band beheer op afstand. De volledige AMT-functieset is alleen beschikbaar voor apparaten met "Intel vPro Enterprise" mogelijkheden, terwijl "Intel vPro Essentials" apparaten belangrijke AMT-functies zoals hardwarematige KVM en draadloze AMT-ondersteuning missen.
- Intel AMT (Intel Active Beheren Technologie)
- Een combinatie van hardware en firmware voor out-of-band beheer op afstand van ingeschakelde Intel PC's. In wezen een kleine computer die in de pc draait en op afstand toegang biedt tot de pc-hardware, zelfs als de pc is uitgeschakeld of het besturingssysteem niet actief is. Hiermee kunt u hardware-informatie opvragen, de pc in- en uitschakelen of hardwarematige KVM gebruiken om wijzigingen in het BIOS aan te brengen. Nieuwere Intel-chipsets / AMT-versies hebben meer functies, zoals het op afstand wissen van schijven. Intel AMT heeft een ingebouwd beveiligingsmodel met verschillende beperkingen, afhankelijk van hoe een apparaat is geprovisioneerd (bijvoorbeeld beveiligde provisioning tegen één vaste infrastructuur, toestemming van de gebruiker vereisen voor bepaalde bewerkingen, versleutelde verbindingen afdwingen voor out-of-band beheer, etc.).
- Intel EMA (Intel Endpoint Management Assistant)
- Een op Windows gebaseerde serversoftware geleverd door Intel om Intel vPro / AMT apparaten te provisionen en te beheren met behulp van de Intel EMA Agent software die op de apparaten is geïnstalleerd. Intel EMA biedt zowel out-of-band beheerfuncties (geïmplementeerd in termen van AMT) als in-band beheerfuncties op afstand (geïmplementeerd met behulp van de Intel EMA Agent die op de apparaten draait). In het kader van AMT dient Intel EMA als een "aanwezigheidsserver", d.w.z. als een vaste infrastructuur waarmee AMT-apparaten worden geprovisioneerd, die de communicatie tussen een beheerconsole (zoals de Rescue Technician Console) en beheerde apparaten verzorgt. De Intel EMA webtoepassing die op de server wordt gehost, biedt een ingebouwde front-end om de apparaten en gebruikersmachtigingen die op de server zijn geïnstalleerd te beheren.
- CIRA (Intel Client Initiated Remote Access)
- Een AMT-communicatieprotocol waarbij beheerde apparaten actief een permanente beveiligde verbinding met hun provisioning presence serverinfrastructuur openen en in stand houden, wat helpt om veelvoorkomende problemen met netwerkscheiding en firewalls op te lossen. Hierdoor kunnen technici AMT-apparaten bereiken, zelfs als ze zich buiten de bedrijfsnetwerken bevinden (bijv. buitendienstmedewerkers, thuiskantoor). CIRA is het superieure alternatief voor AMT TLS-gebaseerde connectiviteit.
- TLS (transportlaagbeveiliging)
- In de context van Intel vPro / AMT: een inferieur alternatief voor de CIRA-apparaatconnectiviteit waarbij het externe apparaat passief blijft en wacht tot een beheerconsole verbinding maakt. De technicus moet weten in welk netwerk een apparaat zich op dat moment bevindt, welk IP-/hostadres het toegewezen heeft gekregen en toegang hebben tot dit netwerk - of vertrouwen op de in-band agentfunctionaliteit van andere apparaten in hetzelfde netwerk om apparaatdetectie en jump-hostfunctionaliteit te bieden. TLS werkt daarom alleen voor goed gecontroleerde netwerken en sluit scenario's uit waarbij draagbare computers tussen verschillende netwerken wisselen, bijv. werknemers in het veld, thuiskantoor.
- CCM / ACM (Client Control Mode / Beheerders Control Mode)
- Twee methoden voor provisioning van AMT die verschillende niveaus van toegangscontrole afdwingen. Het meest opvallende is dat alleen ACM het mogelijk maakt om een KVM-sessie te initiëren en in het BIOS op te starten zonder toestemming van de gebruiker. Dit is een vereiste voor toegang tot onbemande machines. In tegenstelling tot CCM vereist ACM het gebruik van speciale certificaten tijdens de provisioning van AMT, uitgegeven door een van de AMT-gecertificeerde root-certificaatautoriteiten.
Article last updated: 26 October, 2023