Intel vPro

INTEL vPro
Upgrade IT!

22.10.2007 Upgrade IT! str. 22 Upgrade
Martin Zikmund

Spravujte své počítače na dálku!

Vyzkoušeli jsme fungování Intelu vPro na počítači AutoCont OfficePro 3700 Mini

Je tomu již více než rok, kdy Intel představil první generaci své technologie vPro - tedy spojení dvoujádrového procesoru s podporou virtualizace, čipsetu, čipu s Intel Active Management Technology (iAMT) a síťové karty. Letos přišla inovovaná verze, která spolu s novým čipsetem Q35 Express přinesla technologii Intel TXT (Trusted Execution Technology) pro vyšší bezpečnost. K čemu je tedy Intel vPro a jak vypadá v praxi? Intel vPro tvoří vlastně několik technologií najednou, spojených ve funkční celek. Tato technologie je určena pro firmy, pro něž má "kouzlo" v tom, že umožňuje spravovat počítače na dálku, a to i když jsou vypnuté. V počítači s technologií vPro je totiž mimo jiné přítomen také integrovaný webový server, takže pokud znáte IP adresu počítače a heslo pro přístup k informacím z iAMT, je možné zobrazit všechny důležité informace o jeho hardwarovém vybavení a aktuálním stavu. Pokud pak máte k dispozici příslušný komerční nástroj (např. z produkce SyAM či LANdesk), můžete přistupovat i k pokročilým funkcím, včetně změny všech nastavení BIOSu na dálku.

Nová generace přidává další funkce

Nová generace Intelu vPro je spjatá s novým čipsetem Q35 Express a přináší některá menší vylepšení spolu s jednou důležitou novinkou - Intelem TXT (Trusted Execution Technology). Jde o technologii, která se stará o ochranu ve virtualizovaném prostředí a zajišťuje důslednou izolaci jednotlivých hardwarových prostředků vyhrazených pro konkrétní virtuální stroje. Data v paměti jsou tedy výlučně svázána s daným virtuálním strojem a jsou plně izolována v jednotlivých oddílech a chráněna proti přístupu z jiných oddílů (virtuálních strojů). To je výhodné zejména tehdy, když na klientské stanici používáte specializovaný operační systém pro vzdálenou správu počítače, který se spustí ve virtualizačním režimu. V takovém případě nemá uživatel ani žádný škodlivý software šanci zasáhnout do toho, co se na tomto virtuálním stroji děje.

Intel vpro v praxi

Pro testování technologie Intel vPro jsme měli k dispozici počítač AutoCont OfficePro 3700 Mini, vybavený 2 GB RAM, 160GB SATA diskem a procesorem Intel Core 2 Duo E6320. Vzhledem k tomu, že jsme dostali počítač v "surovém" stavu, mohli jsme si vyzkoušet, jak vypadá aktivace a konfigurace technologie vPro v praxi. Vše začíná v BIOSu u celkem nenápadné položky Intel ME (Management Engine). Napoprvé se u ní musí zadat heslo "admin". Uživatel je následně vyzván k zadání nového hesla, jeho zopakování a poté se může pokračovat. Klíčovou je položka Intel Active Management Technology Configuration neboli konfigurace iAMT, která z pohledu vzdálené správy počítače tvoří jádro celého vPro. Zde si uživatel nastaví jméno, pod kterým se má počítač hlásit při vzdálené administraci, hodnoty TCP/IP (tj. pevnou IP adresu nebo DHCP) a další parametry týkající se chování počítače v rámci domény apod. Možná vás zarazilo nastavování parametrů TCP/IP. Nenechte se ale zmást. Jak bylo řečeno výše, iAMT totiž s využitím integrované síťové karty a vestavěného webového serveru umožňuje prostřednictvím protokolu TCP/IP přístup k informacím o počítači a správu jeho základních funkcí. Přístup k těmto funkcím je možný na IP portu 16 992, IP adresa může být fixní nebo přidělená pomocí DHCP. Je přitom možné nastavit, že adresa, kterou bude mít počítač přidělenu po nabootování operačního systému, bude zcela jiná než je IP adresa přidělená řídicímu čipu iAMT. To slouží k lepšímu zabezpečení a ochraně proti některým typům útoků.

Správa počítače pomocí vpro

Pro efektivní správu počítačů s technologií vPro je třeba mít k dispozici speciální software, za který se platí zvlášť. Na výběr jsou nástroje např. od společností LANdesk, Altiris, Microsoft, SyAM či Zenith, přičemž u některých je k dispozici zkušební verze. Některé nástroje pro plnou funkčnost vyžadují, aby na klientské stanici běžela klientská část celého řešení, což umožní například také ovládat počítač v prostředí Windows. I bez těchto nástrojů lze však vPro využívat. Každý počítač totiž zdarma disponuje webovým serverem na portu 16 992, který vedle základních informací nabízí také restart či vypnutí počítače. Vše se však děje na úrovni BIOSu, tedy nekorektně vůči operačnímu systému. Může se ovšem jednat o účinný nástroj, jak si například poradit s počítačem, který nemá tlačítko reset, nebo s přístrojem, jehož uživatel začal provádět činnost, kterou by dělat neměl.

Vývojové nástroje volně ke stažení

Zájemci si mohou stáhnout sadu vývojových nástrojů Intelu (SDK), kde lze mimo jiné nalézt nástroj pro vzdálený přístup do BIOSu počítače. Získáte tak některé nástroje, které mohou přijít vhod. Zejména když uvážíme, že počítače s technologií vPro stojí v podstatě stejně jako počítače, které ji nemají. Nyní se ale dostáváme ke klíčové otázce: k čemu vlastně v praxi technologie Intel vPro je a pro koho je určena. Intel na svých stránkách slibuje pokročilé funkce zabezpečení a správy, vysoký výkon, nižší náklady a spolehlivost. Zejména to poslední slovní spojení může pro někoho znít až úsměvně, ale patrně bylo myšleno to, že náklady jsou nižší, ale spolehlivost vyšší. Nyní se ale od obecných proklamací podíváme trochu do praxe.

Zabezpečení

Pokročilé funkce zabezpečení - to platí zejména pro novou generaci vPro, která obsahuje Intel TXT a některé další úpravy. Jedná se však o zvýšení bezpečnosti jen ve specifických případech (zejména při využívání virtualizace). Rozhodně to však neznamená, že by se mohly snížit některé výdaje firmy na zabezpečení infrastruktury IT. Jedním z oněch specifických případů je také monitorování uživatelů a správa počítačů. S Intelem vPro již de facto není možné (neboť je to ošetřeno na hardwarové úrovni), aby uživatel či malware (škodlivý software) nějakým způsobem zamezil monitorovat činnost, zejména v případě, kdy je pro správu pomocí iAMT vyhrazena zcela jiná IP adresa.

Vychytávky pro správu

Pokročilé funkce správy - ano, to je jednoznačné pozitivum, které spočívá zejména v možnosti snadného získání přehledu o stavu a vybavení počítačů ve firmě, což ocení hlavně velké společnosti a firmy, které mají více poboček. Bohužel je totiž občas dobré mít přehled o tom, zda všechna vámi zakoupená paměť/procesor/disk/optická mechanika jsou skutečně přítomné v daném počítači a zda se náhodou nepřemístily například do pracovníkova domácího počítače. Také se hodí vědět, jestli je daný počítač připojen do sítě, i když je vypnutý. Tuto funkci ocení zejména firmy z některých specifických oblastí, kupříkladu bankovnictví. Jistou třešničkou na dortu představuje funkce, kterou podporovala již první generace Intelu vPro, a to možnost přesměrování IDE či floppy disků na ISO obraz umístěný na disku správce sítě. Pokud administrátor potřebuje na počítač například něco nainstalovat z instalačního CD, může tak učinit z pohodlí své kanceláře na dálku tím, že přesměruje daný port IDE na ISO obraz instalačního CD na svém disku. To je přelomový moment v případech, kdy je potřeba hromadně instalovat nějaký software na více počítačů, které se navíc mohou nacházet v různých budovách/městech/státech světa.

Výkonný a spolehlivý?

Vysoký výkon - ano, v tom má Intel nepochybně pravdu, ale to souvisí spíše s vlastnostmi danými procesorem a čipsetem samotným. Označení "vPro" a přítomnost iAMT vám počet instrukcí vykonaných za sekundu nezvýší. Vyšší spolehlivost - to se dá těžko posuzovat, neboť jde o poměrně ošemetnou věc, kterou ovlivňuje řada faktorů. U současné výpočetní techniky lze se spolehlivostí počítače jako celku už jen velmi těžko počítat. Slušnou míru určování spolehlivosti nabízejí prakticky jen pevné disky, které díky technologii SMART poskytují některé dílčí informace, včetně střední doby mezi chybami (MTBF). Mimochodem, právě na spolehlivost systémového disku, který je pro bezproblémové užívání počítače klíčový, nemá vPro naprosto žádný vliv, stejně jako na spolehlivost zdroje, větráků atd.

Intel vpro ano, či ne?

Pokud se týká firem, zní odpověď jednoznačně ano. Technologie Intel vPro totiž umožňuje podstatným způsobem zjednodušit správu a monitorování počítačů v síti. Její funkce však neocení pouze velké podniky, zejména možnost přesměrovat IDE a floppy disky na ISO obraz na administrátorově počítači přivítají i menší firmy. Tato vlastnost se navíc nemusí využívat pouze při instalaci nějakého softwaru. Uplatní se například i tehdy, když se u počítače porouchá optická či disketová mechanika (nebo tam ani disketová mechanika není) a je nutné s ní pracovat. Typickým příkladem může být obnovení Windows či jiného softwaru ze záchranné diskety. Pro vPro lze navíc zakoupit i řadu komerčních aplikací, které umožňují plně využívat jeho potenciál nebo které doplňují některé další funkce. Díky volně dostupným vývojovým nástrojům lze také vyvinout vlastní programy. Intel vPro podstatným způsobem snižuje náklady na inventarizaci počítačů, což se hodí zejména větším firmám. Naprostou nezbytností je pak vPro pro firmy, které outsourcují IT infrastrukturu a potřebují vzdáleně spravovat počítače, a to včetně přístupu do BIOSu. Právě toto odvětví by mohlo být v blízké budoucnosti jednou z nejvýznamnějších oblastí využití technologie vPro. K outsourcingu infrastruktury IT přistupují v Česku dokonce i telekomunikační operátoři a je to trend, který bude hrát v budoucnu důležitou roli. Intel vPro má ve firemním prostředí své opodstatnění. Jeho plný potenciál ovšem zatím asi nebudou umět všechny firmy využít. Do budoucna se však tato situace pravděpodobně výrazně změní. Intel vPro už nebude zajímat jen správce sítí, ale stane se také něčím, co budou žádat i uživatelé. Díky této technologii se jim dostane plnohodnotných služeb vzdálené podpory IT.

Plusy a minusy

+ pokročilé funkce správy
+ monitorování počítačů v síti
- software pro správu není zdarma
- nemá vliv na spolehlivost disku

Intel vPro podstatným způsobem usnadňuje správu a monitorování počítačů v síti.