PC-Management mit Intel Vpro
In den Tiefen des Clients
Bei neuen Releases betonen CLM-Anbieter (Client-Lifecycle-Management) immer häufiger die Unterstützung von Intel Vpro. Diese hardwarenahe Managementtechnik eröffnet dem Systemmanagement neue Möglichkeiten.
Zu den Funktionen von Intels Chip-Technik Vpro zählen eine erweiterte Unterstützung für das
Systemmanagement, aber auch Virtualisierungsfunktionen und ergänzende Sicherheitsmechanismen. Die
Basis bilden Prozessoren der Baureihe Intel Core 2 Duo sowie die Averill-Chipsätze. Eines der
wichtigsten Elemente der Vpro-Systeme ist Intel AMT (Active Management Technology). Generell geht
es dem Chiphersteller darum, Grundfunktionen für das Systemmanagement, aber auch für die
Systemsicherheit zu integrieren. Geräte lassen sich nun lokalisieren, selbst wenn sie
heruntergefahren sind. Informationen zur Hard- und Software lassen sich sammeln und auf den
Systemen in einem statischen Speicher ablegen. Zudem unterstützt eine Reihe von Funktionen die
Ferndiagnose und Remote-Beseitigung von Problemen auf den Systemen.
Die Intel-Techniken sind in die Hardware integriert. Dies bringt einige Vorteile, darunter einen
ständig verfügbaren Kommunikationskanal selbst zu heruntergefahrenen Systemen. Faktisch befinden
sich diese, wie bei Wake on LAN (WOL, Systemstart über das Netzwerk), in einer Art Standby-Modus.
Damit kann zu jedem Zeitpunkt ein Zugriff und bei Bedarf ein Start des Systems erfolgen. Außerdem
sind, selbst wenn das Betriebssystem nicht mehr arbeitet, viele Informationen noch verfügbar, weil
sie eben über die Hardware bereitgestellt werden. AMT geht dabei deutlich über WOL hinaus. Denn bei
WOL benötigt der Administrator für eine Diagnose ein laufendes Betriebssystem, auf dem
beispielsweise der Agent einer Systemmanagementlösung läuft.
AMT dagegen basiert auf einem nicht-flüchtigen Speicher, der in drei Bereiche untergliedert ist.
Zum einen ist darin die eigentliche Managementsoftware signiert und verschlüsselt abgelegt. Dies
minimiert das Risiko von Modifikationen, während Management-Agents, die im Kontext eines
Betriebssystems laufen, grundsätzlich gefährdeter sind. Der zweite Bereich ist ein Speicher für
Hardware-Asset-Informationen. Diese werden nach jedem Systemstart automatisch aktualisiert.
Drittens gibt es einen Speicher, den die IT-Abteilung für andere Anwendungen freigeben kann,
insbesondere für Agents von CLM- oder Security-Lösungen. Diese Agents speichern beispielsweise
Inventarinformationen zur Software oder Daten zum Sicherheitsstatus des Systems.
Die Informationen, die AMT standardmäßig sammelt, ersetzen natürlich nicht die von CLM-Lösungen
erfassten Inventardaten. In vielen Situationen sind sie aber eine nützliche Ergänzung,
beispielsweise bei Systemen, die erst noch zu installieren sind, bei Problemen mit dem
Betriebssystem oder in Änderungssituationen, in denen unabhängig vom erfolgreichen Abschluss des
Imagings und Systemstarts Inventardaten abrufbar bleiben: Sofern Vpro-Systeme an das Strom- und das
Datennetz angeschlossen sind, sind die gespeicherten Informationen verfügbar. Damit erhält der
Administrator jederzeit einen aktuellen Überblick über die im Netzwerk vorhandenen Systeme.
Remote-Management
An Systemen lokal vorzunehmende Änderungen sind teuer – neben der Standardisierung der
wesentliche Grund für den CLM-Einsatz. Ein weiterer Vpro-Funktionsbereich ist deshalb das
Remote-Management mit den Remote-Boot-Funktionen von Vpro. Dafür kommt IDE-R (Integrated Device
Electronics Redirection) zum Einsatz. Laut Intel-Angaben ist diese Technik leistungsfähiger und
sicherer als WOL oder – für einen anderen Einsatzbereich – PXE (Preboot Execution Environment).
Ereignisprotokolle auf Hardwareebene werden persistent gehalten, sodass der Admin zumindest für
eine Reihe von Problemen die Ursachen einfach identifizieren kann. Weitergehende Ereignisdaten
müsste aber Drittanbietersoftware, die den entsprechenden AMT-Speicher nutzt, ablegen. Auch dies
wäre grundsätzlich denkbar. Eine weitere Funktion ist die Umleitung von Remote-Konsolen, bei denen
serielle Verbindungen über das LAN umgesetzt werden, sodass mit entsprechenden Debuggern und
anderen Lösungen eben keine lokale serielle Verbindung mehr erforderlich ist. Außerdem bietet Vpro
richtlinienbasierende Funktionen für Warnmeldungen über auftretende Systemprobleme. Für das
Remote-Management liefert Vpro also Informationen und verbesserte Schnittstellen. Man benötigt aber
geeignete Tools, die beispielsweise auch bei einem nicht laufenden Betriebssystem für Anpassungen
oder Analysen nutzbar sind. Hier sind die CLM-Anbieter gefordert.
Im Bereich der Sicherheit und der Virtualisierung bietet Vpro interessante Neuerungen, so die
Analyse des Netzwerkverkehrs über programmierbare Filter. Dies schafft einen Schutzmechanismus vor
dem Betriebssystem, der Ansätze wie Personal Firewalls ergänzt. Die Hardware kann automatisch
Meldungen (Heartbeats) an die zentrale Konsole senden, um zum Beispiel die Verfügbarkeit von
Security-Agents anzuzeigen. Sicherheitsprobleme sind damit einfacher identifizierbar.
Durch die Virtualisierungsfunktionalität von Vpro einschließlich der Bereitstellung virtueller
Netzwerkadapter lassen sich Anwendungen in Form virtueller Appliances bereitstellen, bei denen die
Anwendung auf einem Embedded-Betriebssystem läuft. Besonders nützlich ist, dass Anwendungen in
einem Raum ausgeführbar sind, der unterhalb des Betriebssystems liegt und damit besonders gut
geschützt ist. Angriffe auf Betriebssystemebene berühren die Virtualisierungsfunktionen auf
Prozessorebene nicht. Insofern eignen sich virtuelle Appliances insbesondere für Anwendungen, die
besonders sicherheitskritisch sind. Bei den Anbietern von Virtualisierungslösungen besteht
inzwischen zunehmende Bereitschaft, diese Funktionen zu unterstützen und zumindest die eigenen
Lösungen zu ergänzen. In jedem Fall hat man neben gängigen Ansätzen wie der Para-, der
vollständigen und der Anwendungsvirtualisierung eine weitere Umsetzungsoption.
Vpro und AMTsind unverzichtbare Techniken. Sie erweitern die Möglichkeiten eines
Managementsystems deutlich. Für das Client- Management ist Intel Vpro somit eine der wesentlichen
Neuerungen der vergangenen Jahre.
Lesen Sie mehr zum Thema
