Copyright © 2006 Intel Corporation. All rights reserved. Intel, the Intel logo, Intel. Leap ahead., the Intel. Leap ahead. logo, vPro, the vPro logo, Centrino, the Centrino logo, Intel Core, Core Inside, Intel SpeedStep, Pentium, Pentium Inside and Celeron are trademarks or registered trademarks of Intel Corporation or its subsidiaries in the United States and other countries. *Other names and brands may be claimed as the property of their respective owners. 1 Составные элементы процессорной технологии Intel ® vPro TM Duo Двухъядерный процессор Intel ® Core2 Duo Intel ® Q965 Express Chipset Intel® 82566DM Gigabit Network Connection Прошивка Intel

Copyright © 2006 Intel Corporation. All rights reserved. Intel, the Intel logo, Intel. Leap ahead., the Intel. Leap ahead. logo, vPro, the vPro logo, Centrino, the Centrino logo, Intel Core, Core Inside, Intel SpeedStep, Pentium, Pentium Inside and Celeron are trademarks or registered trademarks of Intel Corporation or its subsidiaries in the United States and other countries. *Other names and brands may be claimed as the property of their respective owners. 2 DDR2 FLASH NVM BIOS GMCH ICH8-DO Sensors Filters MAC Операционная система Программные агенты Intel ® Core 2 Duo Processor DDR2 Manageability agent Intel ® PRO/1000 LAN ME в чипсете Независимость от питания и состояния ОС Использует 16Мб нулевого канала системной памяти Сетевые фильтры в чипсете Контроль Ethernet-трафика Возможность внутреннего отключения сети Ethernet Выделенная флэш-память Хранение прошивки агента управления (ME) Хранение данных инвентаризации ресурсов Хранение данных о независимых поставщиках программного обеспечения Архитектура на базе технологии Intel® vPro TM AMT OOB

Intel Confidential 3 Флэш-память Intel® vPro TM Скрытые данные ME –Ключи безопасности –Данные инвентаризации аппаратных средств Данные третьих сторон ~380 кБ для независимых поставщиков ПО Партнеры: до 84 кБ –4kB приращение Ограничение для не являющихся партнерами 8 кБ Независимые поставщики решают как использовать свое пространство BIOS ME GbE Дескриптор Прошивка ME Скрытые данные ME Данные третьих сторон 380 kB Данные о ресурсах при форматировании или отключении жесткого диска больше не теряются!

Intel Confidential 4 Технология vPro iAMT - Применение

Copyright © 2006 Intel Corporation. All rights reserved. Intel, the Intel logo, Intel. Leap ahead., the Intel. Leap ahead. logo, vPro, the vPro logo, Centrino, the Centrino logo, Intel Core, Core Inside, Intel SpeedStep, Pentium, Pentium Inside and Celeron are trademarks or registered trademarks of Intel Corporation or its subsidiaries in the United States and other countries. *Other names and brands may be claimed as the property of their respective owners. 5 Шифрованное, удаленное включение и обновление Удаленная диагностика и ремонт Intel ® Active Management Technology Применение Удаленная инвентаризация ресурсов Инвентаризация аппаратных и программных средств Проверка наличия агента Изоляция и восстановление на аппаратном уровне

Copyright © 2006 Intel Corporation. All rights reserved. Intel, the Intel logo, Intel. Leap ahead., the Intel. Leap ahead. logo, vPro, the vPro logo, Centrino, the Centrino logo, Intel Core, Core Inside, Intel SpeedStep, Pentium, Pentium Inside and Celeron are trademarks or registered trademarks of Intel Corporation or its subsidiaries in the United States and other countries. *Other names and brands may be claimed as the property of their respective owners. 6 Intel ® Active Management Technology Удаленная инвентаризация ресурсов Подсчет количества ПК в сети, даже если компьютеры выключены или ОС не работает Компании не досчитываются в среднем до 20% своих аппаратных ресурсов 1 Результаты неточной инвентаризации ресурсов: –Приобретение лишнего количества ПК для замены "отсутствующих" –Юридическая ответственность за предоставление неточных отчетных данных –Нарушение безопасности: компания не может обеспечить безопасность компьютера, местоположение которого не получается обнаружить Удаленная инвентаризация помогает сократить количество визитов на рабочие места и снизить расходы –Снижение затрат на кадровые ресурсы –Ускорение инвентаризации –Более точное прогнозирование Способствует выполнению требований государственных постановлений 1 Source: Intel white paper, Reducing Costs with Intel Active Management Technology.

Copyright © 2006 Intel Corporation. All rights reserved. Intel, the Intel logo, Intel. Leap ahead., the Intel. Leap ahead. logo, vPro, the vPro logo, Centrino, the Centrino logo, Intel Core, Core Inside, Intel SpeedStep, Pentium, Pentium Inside and Celeron are trademarks or registered trademarks of Intel Corporation or its subsidiaries in the United States and other countries. *Other names and brands may be claimed as the property of their respective owners. 7 База данных Задача Неточная инвентаризация аппаратных и программных средств может затруднить приведение в соответствие с правилами, привести к ошибочным платежам по лицензиям на ПО, договорам на обслуживание, а также к невозможности идентификации отзываемых или гарантийных аппаратных средств. Точную ревизию сложно провести без влияния на работу внутренних агентов. Решение Шаг 1: Консоль управления запрашивает данные с платформ Шаг 2: Запрос принимается и обрабатывается платформой на базе Intel ® AMT независимо от состояния системы или ОС Шаг 3: Данные отсылаются обратно на консоль управления Шаг 4: Данные передаются в БД Требования Поставщик ПО, поддерживающий Intel ® AMT; клиент на основе технологии Intel ® vPro; клиент, подключенный к сети питания и проводной локальной сети Intel ® Q965 Express Chipset DDR2 FLASH NVM BIOS (G)MCH ICH8-DO Sensors Filters MAC Операционная система Программные агенты Intel ® Core 2 Duo Processor (CPU) DDR2 Manageability Engine Intel ® PRO/1000 LAN = Out-of-band Intel ® Active Management Technology Инвентаризация аппаратных и программных средств Консоль управления Intel 4321 Intel 3600 MHz Vendor ABC XYZ GUID: BIOS Vendor: Intel BIOS Version: 4321 CPU Vendor: Intel CPU Speed: 3600 MHz HDD Mfg: Vendor ABC HDD Model: XYZ BIOS Vendor BIOS Version CPU Vendor CPU Speed HDD Mfg HDD Model GUID

Copyright © 2006 Intel Corporation. All rights reserved. Intel, the Intel logo, Intel. Leap ahead., the Intel. Leap ahead. logo, vPro, the vPro logo, Centrino, the Centrino logo, Intel Core, Core Inside, Intel SpeedStep, Pentium, Pentium Inside and Celeron are trademarks or registered trademarks of Intel Corporation or its subsidiaries in the United States and other countries. *Other names and brands may be claimed as the property of their respective owners. 8 Intel ® Active Management Technology Инвентаризация аппаратных и программных средств Более точная инвентаризация аппаратных и программных средств Отказ от дорогостоящих и трудоемких способов инвентаризации аппаратных и программных средств вручную Проведение более точной инвентаризации аппаратных и программных средств, даже если компьютеры выключены или ОС не работает Снижение расходов на лицензирование ПО и сокращение рисков при точной инвентаризации ПО Удовлетворение требований государственных постановлений –Более точная инвентаризация обеспечивает предоставление реальной информации по основным фондам компании

Copyright © 2006 Intel Corporation. All rights reserved. Intel, the Intel logo, Intel. Leap ahead., the Intel. Leap ahead. logo, vPro, the vPro logo, Centrino, the Centrino logo, Intel Core, Core Inside, Intel SpeedStep, Pentium, Pentium Inside and Celeron are trademarks or registered trademarks of Intel Corporation or its subsidiaries in the United States and other countries. *Other names and brands may be claimed as the property of their respective owners. 9 Инвентаризация аппаратных средств Системная плата – Производитель – Продукт – Версия – Серийный – Метка Процессор – Производитель – Type – Семейство – Скорость ОЗУ – Производитель – Скорость – Объем – Серийный – Метка HDD – Модель – Серийный – Объем Инвентаризация аппаратных средств при каждой загрузке BIOS Доступные данные: USB-устройства и прочая периферия не регистрируются Поставщик BIOS определяет объем данных, записываемых во флэш-память Консоль управления определяет, какие данные используются

Copyright © 2006 Intel Corporation. All rights reserved. Intel, the Intel logo, Intel. Leap ahead., the Intel. Leap ahead. logo, vPro, the vPro logo, Centrino, the Centrino logo, Intel Core, Core Inside, Intel SpeedStep, Pentium, Pentium Inside and Celeron are trademarks or registered trademarks of Intel Corporation or its subsidiaries in the United States and other countries. *Other names and brands may be claimed as the property of their respective owners. 10 Инвентаризация программных средств Инвентаризацию программных средств осуществляют программные агенты независимых поставщиков Независимые поставщики определяют график записи и данные, необходимые для записи

Copyright © 2006 Intel Corporation. All rights reserved. Intel, the Intel logo, Intel. Leap ahead., the Intel. Leap ahead. logo, vPro, the vPro logo, Centrino, the Centrino logo, Intel Core, Core Inside, Intel SpeedStep, Pentium, Pentium Inside and Celeron are trademarks or registered trademarks of Intel Corporation or its subsidiaries in the United States and other countries. *Other names and brands may be claimed as the property of their respective owners. 11 Intel ® Active Management Technology Удаленная диагностика и ремонт Удаленная загрузка, диагностика, ремонт и восстановление ПК, сокращение визитов на рабочие места Удаленная загрузка, поиск неисправности, ремонт и восстановление ПК независимо от его состояния и состояния ОС Удаленная загрузка неработающей системы с помощью образа на сервисном диске, чтобы получить возможность использования программ диагностики и удаленного управления Удаленный ремонт помогает сократить количество визитов на рабочие места и соответственно снизить расходы Удаленный ремонт обеспечивает быстрое восстановление работоспособности компьютера пользователя Информация о конфигурации системы всегда находится в доступе, даже если ОС не работает, таким образом техник получает корректную информацию уже при первом заходе

Copyright © 2006 Intel Corporation. All rights reserved. Intel, the Intel logo, Intel. Leap ahead., the Intel. Leap ahead. logo, vPro, the vPro logo, Centrino, the Centrino logo, Intel Core, Core Inside, Intel SpeedStep, Pentium, Pentium Inside and Celeron are trademarks or registered trademarks of Intel Corporation or its subsidiaries in the United States and other countries. *Other names and brands may be claimed as the property of their respective owners. 12 Задача Ошибки загрузки платформы могут привести к запуску дорогостоящих процессов управления. Простой усугубляется времяемкими визитами техников на рабочие места для диагностики проблемы, что влияет на производительность, и снятием ИТ-ресурсов с других задач. Решение Шаг 1: В службу поддержки поступает извещение о системной проблеме (автоматическая сигнализация или телефонный звонок") Шаг 2a: Служба поддержки использует средства диагностики для удаленной переадресации процесса загрузки системы (IDE-R) Шаг 2b: Одновременно отдается команда системе о переадресации текстовых данных и данных с клавиатуры (SOL) Шаг 3a: Разрешение проблем ПО происходит удаленно Шаг 3b: Разрешение аппаратных проблем требует визита Требования ПО с поддержкой Intel ® AMT; клиент на базе технологии Intel ® vPro с включенной опцией SOL/IDE-R в BIOS; клиент, подключенный к источнику питания и проводной локальной сети; образ в текстовом формате/средства диагностики. Intel ® Q965 Express Chipset DDR2 FLASH NVM BIOS (G)MCH ICH8-DO Sensors Filters MAC Операционная система Программные агенты Intel ® Core 2 Duo Processor (CPU) DDR2 Manageability Engine Intel ® PRO/1000 LAN = Внешнее управление Intel ® Active Management Technology Удаленная диагностика и ремонт Консоль управления Сервер Справ. стол Справ. стол Данные Операционная система Программные агенты ICH8-DO Sensors Filters MAC (G)MCH Manageability Engine Intel ® PRO/1000 LAN Операционная система Программные агенты DDR2 Intel ® Core 2 Duo Processor (CPU) DDR2 Intel ® Core 2 Duo Processor (CPU) Данные = Система вкл. = Система выкл.

Copyright © 2006 Intel Corporation. All rights reserved. Intel, the Intel logo, Intel. Leap ahead., the Intel. Leap ahead. logo, vPro, the vPro logo, Centrino, the Centrino logo, Intel Core, Core Inside, Intel SpeedStep, Pentium, Pentium Inside and Celeron are trademarks or registered trademarks of Intel Corporation or its subsidiaries in the United States and other countries. *Other names and brands may be claimed as the property of their respective owners. 13 Intel ® Active Management Technology Шифрованное, удаленное включение и обновление Установка обновлений, даже если компьютер выключен Более безопасное включение/выключение системы в нерабочее время Оперативное обеспечение соответствия требованиям безопасности Снижение уязвимости –Установка обновлений системы безопасности без вмешательства пользователя Автоматизация процесса обновления ПО и антивирусной защиты –Экономия денег и ресурсов

Copyright © 2006 Intel Corporation. All rights reserved. Intel, the Intel logo, Intel. Leap ahead., the Intel. Leap ahead. logo, vPro, the vPro logo, Centrino, the Centrino logo, Intel Core, Core Inside, Intel SpeedStep, Pentium, Pentium Inside and Celeron are trademarks or registered trademarks of Intel Corporation or its subsidiaries in the United States and other countries. *Other names and brands may be claimed as the property of their respective owners. 14 Задача Обновление ПО и установка "заплаток" может доставлять неудобство и не давать 100%-ного соответствия из-за несоответствия конечного пользователя. Решение Шаг 1: Консоль управления запрашивает данные по ПО в базе данных Шаг 2: Определяются конечные точки, требующие обновления Шаг 3: Платформы, требующие обновления, безопасно включаются по окончании рабочего дня Шаг 4: "Заплатка" устанавливается и система отключается Требования ПО с поддержкой Intel ® AMT ; средства установки "заплатки"; клиент на базе технологии Intel ® vPro ; клиент, подключенный к источнику питания и проводной локальной сети. Intel ® Q965 Express Chipset DDR2 FLASH NVM BIOS (G)MCH ICH8-DO Sensors Filters MAC Операционная система Программные агенты Intel ® Core 2 Duo Processor (CPU) DDR2 Manageability Engine Intel ® PRO/1000 LAN = Внешнее управление Intel ® Active Management Technology Шифрованное, удаленное включение и обновление Корпоративная сеть База данных Консоль управления PC PC1 PC2 PC3 PC4 AV Intel ® Core 2 Duo Processor (CPU) DDR2 Операционная система Программные агенты Intel ® Core 2 Duo Processor (CPU) DDR2 Операционная система Программные агенты 3.2 = Система вкл. = Система выкл.

Copyright © 2006 Intel Corporation. All rights reserved. Intel, the Intel logo, Intel. Leap ahead., the Intel. Leap ahead. logo, vPro, the vPro logo, Centrino, the Centrino logo, Intel Core, Core Inside, Intel SpeedStep, Pentium, Pentium Inside and Celeron are trademarks or registered trademarks of Intel Corporation or its subsidiaries in the United States and other countries. *Other names and brands may be claimed as the property of their respective owners. 15 Intel ® Active Management Technology Проверка агента Контроль корректной работы агента Простое автоматическое слежение за работой агентов ОС Предотвращение вмешательства в работу или отключения уязвимых агентов Обеспечение более точной инвентаризации ресурсов ПК при работе всех агентов управления Контроль конфигурации на консоли с помощью системных данных, хранящихся на аппаратном уровне, доступ к которым имеется даже при выключенной системе

Copyright © 2006 Intel Corporation. All rights reserved. Intel, the Intel logo, Intel. Leap ahead., the Intel. Leap ahead. logo, vPro, the vPro logo, Centrino, the Centrino logo, Intel Core, Core Inside, Intel SpeedStep, Pentium, Pentium Inside and Celeron are trademarks or registered trademarks of Intel Corporation or its subsidiaries in the United States and other countries. *Other names and brands may be claimed as the property of their respective owners. 16 Задача Критически важные программные агенты могут быть незаметно удалены, что делает систему уязвимой для сетевых атак и приводит к бездействию критических функций управления в течение длительного времени. Решение Шаг 1: Консоль управления регистрирует простой и устанавливает политики для критических агентов с помощью технологии Intel ® AMT Шаг 2: Агенты регистрируется через установленные интервалы времени с помощью технологии Intel ® AMT Шаг 3: Если агент пропускает регистрацию, вызывается заданная политика (например, посылается сигнал на консоль) Шаг 4: Консоль может выполнить повторную инициализацию или установку агента Требования ПО с поддержкой Intel ® AMT; клиент на базе технологии Intel ® vPro; клиент, подключенный к источнику питания и проводной локальной сети. Intel ® Active Management Technology Проверка агента Intel ® Q965 Express Chipset DDR2 FLASH NVM BIOS Операционная система DDR2 = Внешнее управление (G)MCH Manageability Engine Agent Watchdog Application ICH8-DO Sensors Filters MAC Intel ® Core 2 Duo Processor (CPU) Программные агенты Intel ® PRO/1000 LAN Корпоративная сеть Консоль управления Watchdog timer settings: ISV Agent Check in: 5 second intervals Policy: Shut off corp Internet traffic and send alert upon timeout Intel ® Core 2 Duo Processor (CPU) Программные агенты Intel ® Core 2 Duo Processor (CPU) = Система вкл. = Система выкл.

Copyright © 2006 Intel Corporation. All rights reserved. Intel, the Intel logo, Intel. Leap ahead., the Intel. Leap ahead. logo, vPro, the vPro logo, Centrino, the Centrino logo, Intel Core, Core Inside, Intel SpeedStep, Pentium, Pentium Inside and Celeron are trademarks or registered trademarks of Intel Corporation or its subsidiaries in the United States and other countries. *Other names and brands may be claimed as the property of their respective owners. 17 Intel ® Active Management Technology Изоляция и восстановление на аппаратном уровне Фильтрация вирусов и изоляция зараженных ПК 64 встроенных программируемых аппаратных фильтра Проверка входящих и исходящих пакетов на вирусы Использование готовых программных продуктов независимых поставщиков для установки политик отдельных фильтров Настройка фильтров в соответствии с потребностями компании Изоляция одного или нескольких зараженных компьютеров в сети с поддержкой защищенного канала восстановления Быстрый возврат компьютера в сеть с использованием более безопасных каналов

Copyright © 2006 Intel Corporation. All rights reserved. Intel, the Intel logo, Intel. Leap ahead., the Intel. Leap ahead. logo, vPro, the vPro logo, Centrino, the Centrino logo, Intel Core, Core Inside, Intel SpeedStep, Pentium, Pentium Inside and Celeron are trademarks or registered trademarks of Intel Corporation or its subsidiaries in the United States and other countries. *Other names and brands may be claimed as the property of their respective owners. 18 Задача Сетевые вирусы, проникнув, могут легко распространиться по сети. В момент распространения вируса еже может не быть той или иной "заплатки" или обновления брандмауэра. Сеть остается уязвимой до полного вывода из строя подсетей. Работа нарушается до тех, пока угроза не будет локализована. Решение Шаг 1: Перед сетевыми фильтрами Intel ® AMT ставится задача контролировать скорость обмена пакетами и данные о заголовках (исходящий адрес и адрес назначения, номера портов, протокол TCP/UDP, сообщения ICMP, флаги TCP) Шаг 2: Фильтры программируются, устанавливаются политики для каждого фильтра (например, остановить передачу пакета, послать сигнал на консоль, ограничить трафик) Шаг 3: Происходит заражение клиента и начинается DOS-атака Шаг 4: Срабатывают фильтры, доступ к корпоративной сети прекращается с отправкой сигнала на консоль Шаг 5: После лечения система восстанавливается в сети Intel ® Active Management Technology Изоляция и восстановление на аппаратном уровне Intel ® Q965 Express Chipset DDR2 FLASH NVM BIOS Операционная система DDR2 = Внешнее управление Intel ® PRO/1000 LAN (G)MCH ICH8-DO Sensors Filters MAC Manageability Engine Программные агенты Intel ® Core 2 Duo Processor (CPU) Корпоративная сеть Консоль управления Filters = Система вкл. = Система выкл. Требования ПО с поддержкой Intel ® AMT и System Defense; клиент на базе технологии Intel ® vPro; клиент, подключенный к источнику питания и проводной локальной сети.

Copyright © 2006 Intel Corporation. All rights reserved. Intel, the Intel logo, Intel. Leap ahead., the Intel. Leap ahead. logo, vPro, the vPro logo, Centrino, the Centrino logo, Intel Core, Core Inside, Intel SpeedStep, Pentium, Pentium Inside and Celeron are trademarks or registered trademarks of Intel Corporation or its subsidiaries in the United States and other countries. *Other names and brands may be claimed as the property of their respective owners. 19 Фильтры системы безопасности Фильтры входящего и исходящего трафика –31 на TX (+ 1 контрольный фильтр) –31 на RX (+ 1 контрольный фильтр) –16 счетчиков статистики Фильтры устанавливаются на: –Тип протокола L2 –Исходящий IP-адрес –IP-адрес назначения –Тип следующего IP-заголовка –Флаги TCP –Исходящий порт UDP/TCP –Порт назначения UDP/TCP Поддержка протокола IPv6 –Поддержку IPv6 можно обеспечить путем объединения 4-х фильтров для работы одним цельным блоком

Copyright © 2006 Intel Corporation. All rights reserved. Intel, the Intel logo, Intel. Leap ahead., the Intel. Leap ahead. logo, vPro, the vPro logo, Centrino, the Centrino logo, Intel Core, Core Inside, Intel SpeedStep, Pentium, Pentium Inside and Celeron are trademarks or registered trademarks of Intel Corporation or its subsidiaries in the United States and other countries. *Other names and brands may be claimed as the property of their respective owners. 20 Безопасность и технология Intel® vPro TM

Copyright © 2006 Intel Corporation. All rights reserved. Intel, the Intel logo, Intel. Leap ahead., the Intel. Leap ahead. logo, vPro, the vPro logo, Centrino, the Centrino logo, Intel Core, Core Inside, Intel SpeedStep, Pentium, Pentium Inside and Celeron are trademarks or registered trademarks of Intel Corporation or its subsidiaries in the United States and other countries. *Other names and brands may be claimed as the property of their respective owners. 21 Аутентификация: подлинность HTTP Digest – для малого бизнеса –Односторонняя аутентификация с хэшированием пароля по алгоритму MD5 HTTP Negotiate Authentication – для предприятий –Эффективное применение инфраструктуры Active Directory и протокола Kerberos Сертификаты хранятся в Active Directory Облегчение регулярных изменений и быстрого отзыва Ограничение прав –Инженеры не могут управлять ПК финансового отдела –Поддерживает взаимную аутентификацию Действительно ли это клиент на базе vPro? Действительно ли это авторизованный IT представитель? Шифрование: целостность и защищенность Для малого бизнеса: нет шифрования Для предприятий: –Предпочтительно: TLS w/AES 128-bit –Опция: TLS w/RC4 128-bit –Опция: нет шифрования Консоль управления Клиент на базе Intel® vPro TM Хакер X Технология Intel® vPro TM обеспечивает защиту клиента с внешней стороны

Copyright © 2006 Intel Corporation. All rights reserved. Intel, the Intel logo, Intel. Leap ahead., the Intel. Leap ahead. logo, vPro, the vPro logo, Centrino, the Centrino logo, Intel Core, Core Inside, Intel SpeedStep, Pentium, Pentium Inside and Celeron are trademarks or registered trademarks of Intel Corporation or its subsidiaries in the United States and other countries. *Other names and brands may be claimed as the property of their respective owners. 22 Intel ® Q965 Express Chipset DDR2 FLASH NVM BIOS GMCH ICH8-DO Sensors Filters MAC Операционная система Программный агент Intel ® Core 2 Duo Processor (CPU) DDR2 Manageability Engine Intel ® PRO/1000 LAN Коммуникационная безопасность ME Шифрование и аутентификация трафика между ME и ISV –Используется та же структура безопасности, что и для внешнего трафика –Предотвращение просматривания защищенного трафика –Без ключа Intel команды игнорируются Коммуникационные пакеты имеют серийные номера –Невозможность повторения старых, разрешенных команд –Невозможность послания старого контрольного сообщения Память AMT изолируется на аппаратном уровне Процессор обычно не имеет доступа к флэш-памяти –Доступ только во время обновления прошивки –Прошивка снабжается цифровой подписью Intel Предотвращение износа флэш-памяти атаками вредоносных программ путем использования памяти от поставщиков, не являющихся партнерами Процессор не имеет доступа к зоне SDRAM AMT X Инородное ПО Технология Intel® vPro TM обеспечивает защиту клиента с внешней стороны

Copyright © 2006 Intel Corporation. All rights reserved. Intel, the Intel logo, Intel. Leap ahead., the Intel. Leap ahead. logo, vPro, the vPro logo, Centrino, the Centrino logo, Intel Core, Core Inside, Intel SpeedStep, Pentium, Pentium Inside and Celeron are trademarks or registered trademarks of Intel Corporation or its subsidiaries in the United States and other countries. *Other names and brands may be claimed as the property of their respective owners. 23 Функции Intel® AMT с контролем доступа Управление безопасностью Списки прав доступа, параметры протокола Kerberos, параметры протокола TLS и т.п. Администрирование сети Опции сети, если не используется DHCP Инвентаризация аппаратных средств Используется для получения данных об аппаратных средствах Удаленное управление Удаленное включение / выключение Память Конфигурирование, запись или считывание из флэш- памяти Администрирование памяти Распределение и использование флэш-памяти Управление событиями Конфигурирование событий, генерирующих предупреждения Переадресация Serial over LAN, IDE Redirection Наличие местного агента Позволяет программе посылать сообщения ME Наличие удаленного агента Конфигурирование ответа при исчезновении агента Отключение Определяет фильтры и политики контроля трафика Сетевое время Настройка и синхронизация часов AMT Общая информация Чтение установочной и статусной информации Обновление прошивки Обновление прошивки AMT Список прав доступа дает/отзывает разрешение

Copyright © 2006 Intel Corporation. All rights reserved. Intel, the Intel logo, Intel. Leap ahead., the Intel. Leap ahead. logo, vPro, the vPro logo, Centrino, the Centrino logo, Intel Core, Core Inside, Intel SpeedStep, Pentium, Pentium Inside and Celeron are trademarks or registered trademarks of Intel Corporation or its subsidiaries in the United States and other countries. *Other names and brands may be claimed as the property of their respective owners. 24 Коммуникационная безопасность

Copyright © 2006 Intel Corporation. All rights reserved. Intel, the Intel logo, Intel. Leap ahead., the Intel. Leap ahead. logo, vPro, the vPro logo, Centrino, the Centrino logo, Intel Core, Core Inside, Intel SpeedStep, Pentium, Pentium Inside and Celeron are trademarks or registered trademarks of Intel Corporation or its subsidiaries in the United States and other countries. *Other names and brands may be claimed as the property of their respective owners. 25 Сетевые интерфейсы ME Гигабитная проводная сеть по протоколу и беспроводная сеть про протоколу a/ b/ g Обеспечение сетевой безопасности протоколом TLS Шифрованные XML сообщения, инкапсулированные в SOAP через HTTP Взаимная аутентификация TLS с использованием следующих наборов кодов –TLS_RSA_WITH_AES_128_CBC_SHA –TLS_RSA_WITH_RC4_128_SHA –TLS_RSA_WITH_NULL_SHA (export/import) –Сертификаты RSA и ключи, сгенерированные в оффлайне и сконфигурированные (2048- битный модуль) Безопасность порта проводной сети обеспечивается протоколом 802.1x (SR) PEAP MSCHAPv2 и EAP TLS EAP FAST и EAP TTLS (EAC) Безопасность порта и соединения беспроводной сети обеспечивается WLAN Si (SR) WEP (legacy support) WPA TKIP с использованием RC i RSN с использованием AES

Copyright © 2006 Intel Corporation. All rights reserved. Intel, the Intel logo, Intel. Leap ahead., the Intel. Leap ahead. logo, vPro, the vPro logo, Centrino, the Centrino logo, Intel Core, Core Inside, Intel SpeedStep, Pentium, Pentium Inside and Celeron are trademarks or registered trademarks of Intel Corporation or its subsidiaries in the United States and other countries. *Other names and brands may be claimed as the property of their respective owners. 26 Intel ® Active Management Technology Intel ® AMT: TLS & HTTP-Digest TLS Client (Management Console) TLS server (PC with Intel ® vPro Technology) Шаг 1 Создание безопасного туннеля с TLS CertificateServerHello, ServerHello DoneClientKeyExchange, ChangeCipher Spec, Finished ChangeCiperSpec, FinishedApplication Data

Copyright © 2006 Intel Corporation. All rights reserved. Intel, the Intel logo, Intel. Leap ahead., the Intel. Leap ahead. logo, vPro, the vPro logo, Centrino, the Centrino logo, Intel Core, Core Inside, Intel SpeedStep, Pentium, Pentium Inside and Celeron are trademarks or registered trademarks of Intel Corporation or its subsidiaries in the United States and other countries. *Other names and brands may be claimed as the property of their respective owners. 27 Шаг 2 Защита данных в туннеле с помощью HTTP-Digest Intel ® Active Management Technology Установка Intel ® AMT: TLS & HTTP-digest HTTP Digest Authentication TLS клиент (Консоль управления) TLS сервер (ПК на базе Intel ® vPro) PC with Intel vPro Technology stores H1, realm name (where H1=MD5 HASH [username, password, Realm]) I want to authenticate Generate random nonce Challenge: realm, nonce Compute H1=MD5 HASH [username, password, realm] From the user-supplied username and password Compute H2=MD5 HASH [H1, nonce] Response: H2 Compute H2=MD5 HASH [H1, nonce] Compare whether H2 (received) = H2 (computed) Authentication succeeded/failed

Copyright © 2006 Intel Corporation. All rights reserved. Intel, the Intel logo, Intel. Leap ahead., the Intel. Leap ahead. logo, vPro, the vPro logo, Centrino, the Centrino logo, Intel Core, Core Inside, Intel SpeedStep, Pentium, Pentium Inside and Celeron are trademarks or registered trademarks of Intel Corporation or its subsidiaries in the United States and other countries. *Other names and brands may be claimed as the property of their respective owners x – Информация Основные характеристики протокола 802.1x: –Схема аутентификации на уровне портов (туннелирование второго уровня) –Заменяет протокол PPP (Peer-to-Peer), что очень полезно при использовании сети не на TCP/IP, обеспечивает простоту и сокращение непроизводительных издержек –Разработка стандарта для передачи пакетов EAP по проводной/беспроводной сети Протокол расширенной аутентификации EAP –Реальный протокол с поддержкой процесса аутентификации (802.1x payload) –Гибкость: возможность выбора метода аутентификации, включая фирменные методы (от базового имени/пароля до PKI) –Три основных компонента (Port Access Entities) Суппликант – клиент, требующий аутентификации Сервер аутентификации – осуществляет фактический процесс аутентификации (например, RADIUS) Аутентификатор – устройство между ними (например, Точка доступа беспроводной сети) Протокол EAP изначально разрабатывался для проводных сетей, но он идеально подходит и для беспроводных сетей, поскольку точка доступа является непрограммируемым устройством (вся логика перемещена на сервер аутентификации) Строгий приемлемый стандарт.

Copyright © 2006 Intel Corporation. All rights reserved. Intel, the Intel logo, Intel. Leap ahead., the Intel. Leap ahead. logo, vPro, the vPro logo, Centrino, the Centrino logo, Intel Core, Core Inside, Intel SpeedStep, Pentium, Pentium Inside and Celeron are trademarks or registered trademarks of Intel Corporation or its subsidiaries in the United States and other countries. *Other names and brands may be claimed as the property of their respective owners. 29 Поддержка протокола 802.1X Протокол 802.1X не поддерживается в Intel® AMT Release 2.0, но будет поддерживаться в Intel AMT 2.5 и последующих версиях Платформа Santa Rosa для поддержки беспроводных сетей требует как минимум протокола 802.1X Протокол также требуется в качестве компоновочного модуля для поддержки контроллеров сетевого доступа (проводные и беспроводные сети). Технология Intel AMT будет поддерживать следующие протоколы EAP: EAP-TLS EAP-TTLS EAP-FAST PEAP CCX: Cisco Client Extensions – поддерживает свой набор в ME Для беспроводных сетей мы также будем поддерживать генерацию WPA ключа, предварительную аутентификацию

Intel Confidential 30 Настройка в «одно касание» (Инициализация)

Intel Confidential 31 Установка и конфигурирование Двухэтапный процесс – Установка и конфигурирование Первый этап: Установка – современный подход к быстроте –Создайте персональный идентификатор клиента –Ключ шифрования одноразового использования (для установления достоверного соединения) –PID (Provisioning ID) и PPS (Provisioning Passphrase) Второй этап: Конфигурирование –Установите достоверное соединение между клиентом и консолью управления –Создайте и обменяйтесь сертификатами и ключами шифрования Поддерживаемые типы: Вариант для малого бизнеса –Простое имя и пароль –Нет шифрования –Предназначен для сетей, где отсутствует инфраструктура безопасности Вариант для предприятий –Требует инфраструктуры цифровой безопасности –Поддерживает шифрование и взаимную аутентификацию –Метод, рекомендованный Intel

Copyright © 2006 Intel Corporation. All rights reserved. Intel, the Intel logo, Intel. Leap ahead., the Intel. Leap ahead. logo, vPro, the vPro logo, Centrino, the Centrino logo, Intel Core, Core Inside, Intel SpeedStep, Pentium, Pentium Inside and Celeron are trademarks or registered trademarks of Intel Corporation or its subsidiaries in the United States and other countries. *Other names and brands may be claimed as the property of their respective owners. 32 Консоль управления 1.Создайте уникальный ключ одноразового использования для каждого клиента PID G PPS GXGE-P2CH-N2SV-QRAC- CGCP-DB46-MQ3T-0UPX Пароль по умолчанию admin Новый пароль5%ji2qx Клиенты на базе Intel ® vPro Установка - 3 простых действия Быстрая установка и конфигурирование

Copyright © 2006 Intel Corporation. All rights reserved. Intel, the Intel logo, Intel. Leap ahead., the Intel. Leap ahead. logo, vPro, the vPro logo, Centrino, the Centrino logo, Intel Core, Core Inside, Intel SpeedStep, Pentium, Pentium Inside and Celeron are trademarks or registered trademarks of Intel Corporation or its subsidiaries in the United States and other countries. *Other names and brands may be claimed as the property of their respective owners. 33 Консоль управления Клиенты на базе Intel ® vPro 2.Передайте ключи клиентам Установка - 3 простых действия Быстрая установка и конфигурирование

Copyright © 2006 Intel Corporation. All rights reserved. Intel, the Intel logo, Intel. Leap ahead., the Intel. Leap ahead. logo, vPro, the vPro logo, Centrino, the Centrino logo, Intel Core, Core Inside, Intel SpeedStep, Pentium, Pentium Inside and Celeron are trademarks or registered trademarks of Intel Corporation or its subsidiaries in the United States and other countries. *Other names and brands may be claimed as the property of their respective owners. 34 Консоль управления 3.Клиент на базе Intel® AMT посылает запрос на конфигурирование Клиенты на базе Intel ® vPro Установка - 3 простых действия Быстрая установка и конфигурирование Сконфигурируй!

Copyright © 2006 Intel Corporation. All rights reserved. Intel, the Intel logo, Intel. Leap ahead., the Intel. Leap ahead. logo, vPro, the vPro logo, Centrino, the Centrino logo, Intel Core, Core Inside, Intel SpeedStep, Pentium, Pentium Inside and Celeron are trademarks or registered trademarks of Intel Corporation or its subsidiaries in the United States and other countries. *Other names and brands may be claimed as the property of their respective owners. 35 Консоль управления Клиенты на базе Intel ® vPro Конфигурирование - 4 простых действия Быстрая установка и конфигурирование 1.Сервер конфигурирования отвечает на запрос клиента. (для установления достоверного соединения используются временные ключи)

Copyright © 2006 Intel Corporation. All rights reserved. Intel, the Intel logo, Intel. Leap ahead., the Intel. Leap ahead. logo, vPro, the vPro logo, Centrino, the Centrino logo, Intel Core, Core Inside, Intel SpeedStep, Pentium, Pentium Inside and Celeron are trademarks or registered trademarks of Intel Corporation or its subsidiaries in the United States and other countries. *Other names and brands may be claimed as the property of their respective owners. 36 Консоль управления 2.Сервер конфигурирования регистрируется на клиенте на базе Intel® AMT client (Используется заводской пароль администратора сети HTTP-Digest, предлагаемый по умолчанию) Клиенты на базе Intel ® vPro Конфигурирование - 4 простых действия Быстрая установка и конфигурирование Имя Пароль

Copyright © 2006 Intel Corporation. All rights reserved. Intel, the Intel logo, Intel. Leap ahead., the Intel. Leap ahead. logo, vPro, the vPro logo, Centrino, the Centrino logo, Intel Core, Core Inside, Intel SpeedStep, Pentium, Pentium Inside and Celeron are trademarks or registered trademarks of Intel Corporation or its subsidiaries in the United States and other countries. *Other names and brands may be claimed as the property of their respective owners. 37 Консоль управления 3.Конфигурирует все необходимые параметры Клиенты на базе Intel ® vPro Конфигурирование - 4 простых действия Быстрая установка и конфигурирование Сертификаты TLS и закрытые ключи Текущая дата и время Параметры доступа HTTP-Digest и параметры доступа HTTP- Negotiate Сертификаты TLS и закрытые ключи Текущая дата и время Параметры доступа HTTP-Digest и параметры доступа HTTP- Negotiate

Copyright © 2006 Intel Corporation. All rights reserved. Intel, the Intel logo, Intel. Leap ahead., the Intel. Leap ahead. logo, vPro, the vPro logo, Centrino, the Centrino logo, Intel Core, Core Inside, Intel SpeedStep, Pentium, Pentium Inside and Celeron are trademarks or registered trademarks of Intel Corporation or its subsidiaries in the United States and other countries. *Other names and brands may be claimed as the property of their respective owners. 38 Консоль управления 4.Клиент на базе Intel® AMT перезагружается и начинает нормальную работу Клиенты на базе Intel ® vPro Конфигурирование - 4 простых действия Быстрая установка и конфигурирование

Intel Confidential 39 Инфраструктура для режима для предприятия Консоль (GUI-устройство) Серверная служба (возможно, ряд серверов) База данных Консоль SCS (GUI-устройство)Сертифицирующий органКлиент на базе AMT Сервер баз данных И база данных Контроллер доменов / Active Directory Служба SCS Windows

Intel Confidential 40 Расконфигурирование (с вмешательством или без вмешательства пользователя)

Intel Confidential 41 Расконфигурирование Частичное расконфигурирование (waterfall internal) Возврат всех заводских установок по умолчанию, за исключением: –Хэш-коды доверенных корневых сертификатов –Хэш-код доверенного корневого сертификата, выбранного для использования в конфигурировании –Режим Слушай или Говори mode –Полное доменное имя сервера установки и конфигурирования –Значение фразы-пароля Это позволяет заказчику переконфигурировать имеющуюся платформу для другого сотрудника без необходимости повторного ввода информации Полное расконфигурирование (waterfall external) Возврат всех заводских установок по умолчанию