Alle Desktops unter Kontrolle: Client-Verwaltung mit Intel vPro

Die vPro-Funktionen ermöglichen einen entfernten Zugriff auf einen Rechner, beispielsweise auf die BIOS-Einstellungen, auch wenn der PC nicht eingeschaltet ist. Dadurch lassen sich Konfigurationseinstellungen noch vor dem Start eines Betriebssystems vornehmen. Dazu gehört auch das Ändern des Boot Device auf ein Netzwerklaufwerk.

So lässt sich beispielsweise eine Diagnosesoftware booten oder die Neuinstallation eines Betriebssystem automatisieren. Funktionen dieser Art sind bis dato in der Desktopumgebung mit vertretbarem Aufwand nicht realisierbar. Zum weiteren Funktionsumfang von vPro gehören umfassende Sicherheitseinstellungen, die den Desktop und all seine Netzwerkaktivitäten überwachen und analysieren.

Dieser bereits in der Hardware eingebaute Fernzugriff stellt den zentralen Mehrwert von vPro dar. Ein Nutzen entsteht insbesondere für große Unternehmen. Kleine Unternehmen mit wenigen Büros profitieren weniger, da es meist nur wenige Schritte bis zum physikalischen Zugang zu einem Rechner sind.

In Verbindung mit einem vPro-Chipsatz wird ein eigener Speicheradressbereich bereitgestellt, der ausschließlich für vPro reserviert und als Flashspeicher realisiert ist. Der Flashspeicher ist in drei Bereiche unterteilt: Ein Teil beinhaltet vPro/AMT und dessen Verwaltungsfunktionen. Der zweite Bereich dient zum Abspeichern der Ergebnisse des Power-on-self-Tests (POST), so dass man sie später auslesen kann. Ein dritter Block dient spezifischen Erweiterungen, etwa Client-Management-Tools.

Durch seine Konfigurationseinstellungen erweitert vPro die bestehenden Parameter, die jeder Anwender von den gängigen BIOS-Implementierungen kennt. Der Zugriff darauf erfolgt allerdings aus der Ferne. Um diese Einstellungen gegen Missbrauch zu schützen, sind die Parameter durch Access Control Lists abgesichert und lassen sich außerdem verschlüsseln.

Der Netzwerkschnittstelle kommt in vPro eine besondere Bedeutung zu. vPro implementiert über das gleiche physische Interface einen zweiten Kanal mit einer eigenen MAC-Adresse. Er ist nur für den vPro-Datenverkehr reserviert. Das hat den Vorteil, dass der Rechner für die vPro/AMT-Funktion weiterhin erreichbar ist – sogar bei einer Überlastung oder Störung des regulären Datenkanals. Andernfalls könnte schadhafter Code die vPro-Schnittstelle blockieren. Darüber hinaus wird der separate vPro-Kanal ständig überwacht. Über ihn gelangen die Steuerkommandos, beispielsweise ein Wake-Up für einen ausgeschalteten Rechner, zum Gerät.

Unter einem „ausgeschalteten Rechner“ ist bei einem vPro-Chipsatz allerdings ein Sleep-Modus zu verstehen. In diesem Sleep-Modus sind alle Rechnerkomponenten mit Ausnahme des Netzwerkinterfaces abgeschaltet. Einen PC, den man verwalten möchte, muss daher zum einen mit Strom versorgt sein, zum anderen muss eine Verbindung zum Netzwerk bestehen. Wird eine der beiden Verbindungen getrennt, ist eine Verwaltung mit vPro nicht möglich.

Damit unterscheidet sich vPro von vielen KVM-Lösungen in Servern, die mit einer separaten seriellen Schnittstelle arbeiten. Moderne Server-KVM-Lösungen bieten allerdings auch direkten Zugang über das Netzwerkinterface an. Meist wird dabei das Protokoll Serial over LAN (SOL) genutzt, das auch vPro verwendet.

Themenseiten: Intel, Server, Servers, Storage, Storage & Server

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Alle Desktops unter Kontrolle: Client-Verwaltung mit Intel vPro

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *