模拟人生视频解说:不能不说的秘密 Intel vPro全解析

    Intel的Centrino迅驰技术大家并不陌生，甚至已经成为了Intel笔记本的代名词，其实，迅驰技术最初是为商业应用而生，借助酷睿2双核处理器的出色性能和高效节能优势，移动办公人士可随时随地地获得更耐久的电池使用时间和更高效的工作效率。同时，在商用台式机领域，Intel推出了具备出色安全性和可管理性的vPro博锐技术，它是Intel稳定形象平台（Stable Image Platform）的一部分，为商业应用提供完美解决方案。     

    除了在更低功耗下达到更高的性能，vPro技术在管理方面的精髓在于通过远程控制避免常见故障的发生，在电脑关闭或系统发生故障的情况下完成更多的任务，降低所消耗的人力和时间成本，变被动为主动。其主要特点在于：

    ●远程自动配置电脑

    ●用于远程维护的硬件特性

    ●硬件资产管理时间锐减98%，软件管理时间锐减94%

    ●最新增强的软硬件过滤器

    ●安全补丁部署速度提升94%

    ●通过VT虚拟技术执行隔离安全任务

    一套完整的vPro平台，包括软件和硬件两大部分。硬件包含基于酷睿2技术的Intel双核处理器、Q35/Q33高速芯片组和Intel Pro/1000千兆网络，而软件主要是指第三方合作商（如HP、LANDesk、Microsoft、Symantec……）开发的具有行业针对性的管理系统，Intel主动管理技术（AMT）和虚拟化技术（VT）通过嵌入式芯片和第三方软件发挥作用。     

    从需求说起

    很显然，vPro平台的出炉是基于企业对安全性和可管理性问题的日益重视。以前，高成本、长时间的人工维护让企业的办公效率大大降低，尤其当个别计算机瘫痪时，管理人员需要一对一地进行处理，出现较大范围的系统故障便会产生严重问题。根据“二八原则”，企业20%的电脑需要占用80%的管理时间进行维护。     

    于是，增强安全性和建立易维护、易管理的操作环境就显得尤为重要。对IT企业来说，管理PC的成本已经占据了企业TCO（Total Cost of Ownership）的一大部分，很多情况下，远程管理各种笔记本和台式机已经成为日常工作需要，不管这些机器是否联网，操作系统是否一致。     

    相比简单低效的软件管理，vPro为管理人员提供了基于硬件的保护措施，即使操作系统崩溃，也能够解决问题，为系统设置了底层防线。并且它具有独特的硬件辅助前瞻安全性，可在威胁发生之前提早察觉，从而对系统进行定位，有效防止威胁入侵。这一芯片安全技术可有效避免数据丢失，确保您的业务安全。     

    vPro六脉神剑

    Intel中文官方网站用IT六脉神剑来归纳vPro的特色功能，形象生动并富有中国特色。     

    1.双核剑——节能高效     

    高性价比的Pentium双核处理器    

    这个很好理解，采用英特尔酷睿2技术的双核处理器，令速度提升，能耗节省，轻松实现多任务处理。最典型的例子就是采用Core微架构的Pentium双核处理器，通过修改CPU步进值（从L2到M0），使TDP大大降低，大幅提升了“每瓦性能”。目前vPro平台常用的处理器包括E2000系列、E4000系列和E6000系列，老奔腾和四核产品由于功耗过高而排斥在外，而45nm时代将有更多高能耗比的处理器现身市场。

    2.自御剑——代理监控

    单位计算机一般都会安装统一的杀毒软件和防火墙，即便如此，还是难免遭受病毒入侵和黑客攻击，并感染其他正在使用的电脑。vPro平台将防毒软件的代理程序与硬件结合，当代理程序遭攻击破坏时，自动报警切断网络连接，阻止病毒扩散，提供双倍安全保护。     

    保证每台电脑的代理程序都能正常运行    

    而当用户误删除代理程序或计算机遭受袭击导致代理被破坏时，vPro的“代理存在检查功能”会让电脑向控制台发出报警，或通过编程进行自动代理重安装程序，以保护并管理电脑。     

    全通剑——改善IT服务      

    减少人工维护时间    

    当用户电脑遭受病毒侵袭而无法正常工作时，往往需要管理人员逐一进行修复，效率低下。而基于vPro技术的PC能够自动向服务器报警，不论系统是否关机或宕机，IT人员借助网络即可远程修复，方便快捷，可使现场支持时间平均减少达95%。

    随心剑——随时更新     

    更新程序方便快捷    

    安全政策一致性是保护公司电脑免受威胁的最佳途径。过去，当管理员向计算机输入统一更新指令时，关闭或开启防火墙的机器就无法接收，于是很容易感染病毒。vPro平台可远程管理任一终端电脑，对关闭的PC实现远程加密开机，随时进行软件升级和部署。管理员甚至可以检查无线网络连接的笔记本中的软件版本，随时随地更新电脑。

    传魂剑——时时救援 过滤隔离     

    迅速解决出现的问题    

    死机、蓝屏、系统崩溃是电脑使用者经常遇到的问题，vPro可使出现问题的电脑自动向服务器发送信号，IT人员可以远程显示用户电脑桌面并及时诊断修复。并且，采用vPro处理器技术的电脑含有32个进站和32个出站硬件过滤器，可以持续检查网络流量以识别可疑行为。硬件能自动将电脑与网络隔离，以防进一步扩散；然后向管理台发送带外告警，管理员可以远程删除威胁。

    神算剑——资产管理更轻松     

    轻松进行企业资产盘点    

    从所有客户端系统搜集资产数据，对于改进生命周期管理、降低软件授权费和确保政策一致性至关重要。具有内建可管理性的电脑可使人工资产盘点减少达90%，无论台式机或插着网线的笔记本在开启或关闭状态，运行还是宕机，以及开机的无线笔记本是否在企业防火墙中或通过VPN进行连接，我们都可以获得完整、准确的企业资产状况。

    VPN的英文全称是“Virtual Private Network”（ “虚拟专用网络”）。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路。     

    技术白皮书（Intel Centrino Pro and Intel vPro Processor Technology）     

    图1：无论是台式机还是笔记本，无论开机与否，无论系统是否出现问题，IT管理人员都可以对远程计算机进行监控。     

    图2：在正常状态、关机状态和问题状态，联网计算机都可以接收服务器发出的指令。     

    图3：基于硬件的安全管理特性使您远离大多数威胁。包括对802.1x和Cisco NAC的支持、可编程过滤系统、第三方安全程序、内存保护和硬件辅助虚拟化等。     

    图4：基于AMT系统的安全隔离技术，当检测到危险存在时，服务器会自动终止受感染计算机的网络通道，以保护其他机器不受伤害。     

    Virtualization 虚拟化     

    虚拟化技术是商用领域中不可或缺的应用工具。在虚拟环境中，可以存在多个操作系统，每个系统都包含相同而独立的软件，形成“虚拟计算机”。每个独立系统是通过在操作系统中加入虚拟层来实现的，被称为VMM（Virtual Machine Monitor），VMM让每个虚拟主机从物理硬件中脱离出来，管理内存分区，谐调共享硬件资源，如显卡、硬盘和网络带宽等。     

    一般虚拟和特殊虚拟    

    Intel虚拟化技术可以分为：一般虚拟（General-purpose Virtualization）和特殊虚拟（Special-purpose Virtual Appliance）两类。一般虚拟允许用户在多个独立环境中使用完整功能的系统程序，适用于软件开发者和那些需要同时操作多个系统而又不想添加电脑的用户。而特殊虚拟针对不同目的（如入侵防护和病毒监测）而实现，计算机只有一个完整功能的OS，同时安装一个用于处理特殊任务的虚拟系统，从而不用分享过多的硬件资源。     

 VT工作流程    

    目前，Intel已经与市场上领先的方案提供商（如Lenovo和Symantec）进行合作，让虚拟化技术得到更多第三方管理程序的支持。     

    Intel TXT（Trusted Execution Technology）

    虚拟化技术的一大问题就是：一般的杀毒软件和防火墙只能在操作系统中运行，而对处于操作系统之下的VMM无能为力，因此VMM经常游离于安全保护之外。Intel TXT由此诞生，基于硬件建立起对VMM的监控系统，TXT将检测VMM的运行状况，保证虚拟设备的正常运行。     

    TXT工作示意图    

    在正常关机时，VMM将储存在内存里的信息删除，而当非正常关机或系统崩溃时，VMM来不及进行这项工作，就要依靠Intel TXT完成，这样就可以显著减少重要信息（如用户密码）的泄露几率。

    虚拟化技术展望

    直接作用于系统I/O的Intel TXT和Intel VT在2007年末开始支持软件程序，主要集中在提供一般虚拟的VMM技术的第三方合作商，如Parallels，在2008年也将应用于特殊虚拟领域。基于软硬件的虚拟化技术将成为Intel主动管理技术等其他先进安全技术的有益补充。     

    AMT（Active Management Technology）英特尔主动管理技术    

    主要ISV都在自己的产品中加入对AMT的支持

    vPro强大的安全管理功能需要通过主动管理技术来实现，这就是AMT。目前，全球主要的独立软件开发商（ISV）都开始或已经在产品上增加对AMT特性的支持，原始设备制造商（OEM）也都在平台上开始实施AMT。

AMT特性

    针对众多 IT 机构的广泛调查显示的三大最主要IT需求是：更好的资产管理、更少的停机时间以及最低限度的现场维修量。英特尔设计团队认为解决这些问题的最好办法是改进平台架构，由此诞生了以下特性：

    ●带外（OOB,Out-Of-Band）系统管理（随时随地管理平台）

    ●远程故障排除与恢复（提高IT人员的工作效率）

    ●主动报警（减少停机和维修时间）

    ●远程硬件与软件追踪（降低成本并提高准确性）

    ●非易失性存储器（避免停电或系统重建的影响）

    ●防篡改代理程序（放置用户清楚关键字库、遥控或防病毒代理程序）     

    修复计算机资产    

    英特尔AMT 提供带外管理能力，可支持 IT 人员在操作系统出现故障后远程修复系统。告警与事件日志可帮助 IT 人员快速检测问题以减少停机时间。此外，第三方软件能够在非易失性存储器中存储版本号或政策数据，以便能够在工作时间以外实现恢复或更新。     

    AMT实际应用   

    AMT资产评估

    Intel官方网站提供了一个资源损耗评估工具，可以清晰地看到没有采用AMT技术和采用AMT技术的企业在年度资产管理方面之间的巨大差异。并且随着年数的增加，成本的节约效果越明显。     

    大名鼎鼎的ThinkCentre就在采用vPro平台的机型上提供了AMT管理功能，并可在不进入系统的情况下完成操作。其中还加入了Intel ME（Management Engine）管理程序，包括状态检测、固件升级、特殊功能和电源管理等。     

    而AMT平台主要是通过管理局域网进行数据加密更新和入侵预警等安全功能，不过ThinkCentre在这里展示的AMT功能并不全面，在进行大规模管理时，企业需要采用更专业且易操作的应用程序。    

    应用案例：通用软件 智能网全与采用Intel博锐技术的电脑

    公司简介：通用软件公司（ GSC）是由具有多年海外管理、研发经验的软件行业专家组建的，以多名留美博士和硕士为核心的高科技软件公司。

    业务挑战：远程对数量众多的网络终端实施管理策略，并从安全、管理和维护三大方面为各种规模的局域网提供全面有效的解决方案。即使在电脑关机或操作系统发生故障的情况下仍可适用。

    技术解决方案：通用软件智能网全（SmartConfig）

    增强措施：采用英特尔博锐技术的电脑

    当智能网全应用于采用英特尔博锐技术的电脑时，网管人员能够安全远程开启、关闭计算机。在进行软件分发、补丁升级、远程运行程序、批量网络配置、远程注册表操作时，即使电脑关机，网管人员也能够将更新推送到采用英特尔博锐技术的电脑。网管人员仅需使用智能网全触发这些电脑内部的开机功能，即可远程唤醒系统。维护完成后，网管人员可再次远程关机，并返回至用户离开时电脑所处的状态。而且智能网全还提供计算机状态预警机制，当计算机切断电源或拨掉网线时，可及时通报网管人员。

    流量、带宽管理

    采用英特尔博锐技术的电脑内置可编程硬件过滤器，可用于检查进入和发送的网络流量。这些过滤器在数据包进入操作系统前和数据包发送到网络前对其进行检查。使用智能网全可定义某些数据包的行为触发策略，从而使管理员能够在网络流量离开硬件之前进行管理。

    例如：

    有效的带宽管理：网管人员统一分配带宽，或在给定时间内可使用的总流量。并可合理区分内网和外网，有效地杜绝了占用大量带宽做与工作无关的事情。监控网络流量：网络管理员在制定带宽管理策略后，可实时查询客户机流量记录和状况。跟踪各个客户端流量水平，测量性能，监控主要用户，将网络上每个用户的流量加以设定并使网络传输达到最佳化的境界。同时可按小时/天/月设置最大带宽访问量，当超过最大值时，阻断其与公网的通信，实现局域网和互联网网络资源的整体优化。

    及时进行定点阻断：当查明某台计算机出现病毒爆发或人为非法访问、破坏局域网时，网管人员可以通过立即切断该台客户机与网络的通信，避免病毒蔓延或恶意攻击及复制等，将损失降到最低程度。上网权限管理对于管理需求众多的网管人员来说，采用英特尔?博锐技术的电脑内置可编程硬件过滤器，类似的应用还有上网权限管理。为了使网管人员可以根据各个客户机工作需要的差异，方便灵活的设置上网权限，智能网全?可对客户机进行有针对性的设置。禁止或允许客户机访问网页、FTP 及邮件服务中的一种或几种。将单纯的是否可以上网，划分为多种可选择的上网方式。同时还可对计算机的端口进行开启或禁用管理，有效地降低潜在的安全威胁。

    资产管理

    借助于博锐内嵌的Intel 第二代主动管理技术，只要博锐电脑接通电源并连接网络，企业的IT 管理人员即可以随时对电脑进行远程访问，由于这项技术基于硬件通道实现，也就免除了操作系统的影响。通过远程管理，网管人员进行资产统计时，轻松摆脱了关机障碍。在任何电源状态下，IT 控制台都能实现轮询电脑，以获取硬件ID 和软件版本。从而智能网全可保证时时获取电脑资产信息，为网管人员进行计算机升级和维护提供可靠依据。

    防范网络攻击

    基于博锐硬件平台的强大安全性，网管人员可借助包括虚拟化在内的两个全新安全层来保护系统，从而在必要时，随时使用第三方安全软件，并快速识别和有效阻止病毒、蠕虫以及其他网络威胁。当智能网全应用于采用英特尔博锐技术的电脑时，可以有效降低蠕虫等恶

    意软件对系统带来的危害，阻止恶意扫描行为的发生。同时，还可以在感染了病毒的计算机影响系统网络前将其发现、找到并且隔离，帮助企业和网管人员削减了硬件维护成本和降低了安全威胁。

    远程故障诊断

    智能网全?应用于采用博锐技术的商用电脑即使在电脑关机或操作系统出现故障时，也可以通过网络的方式提供可管理能力。“始终可用”事件日志及永久保存的硬件资产信息有助于网管人员更迅速地确定硬件故障。智能网全通过接收来自系统和计算机底层硬件的工作情况并主动向控制台传送事件日志信息。网管人员随时掌握计算机运行日志，为故障诊断和日常维护提供有力依据，大大提高工作效率。

    远程修复

    当智能网全?应用于采用英特尔博锐技术的电脑时，通过整合远程控制与远程重启功能，网管人员可对客户机系统进行远程启动、诊断和修复，即使系统无法通过本地驱动器启动仍可进行。

    当客户机操作系统出现故障，网管人员可对其进行更新或修复，并可建立一个到故障平台的远程控制会话，将其远程引导至带有操作系统和故障排除介质的远程驱动器。在重启平台之后，即可远程诊断并修复出现故障的操作系统和应用软件。此方案可大量减少昂贵的现场访问次数，并延长用户的正常工作时间。

    总结

    目前大部分单位局域网的运行情况处于相当大的随机状态。也就是说，网络中众多的网络节点的实时状态，网络设备和服务器的运行情况，对于网管人员而言，即不便于了解，又无法实施控制，其结果必然是在安全和管理上留有很多隐患。一旦问题爆发，网管人员不得不以救火的方式去解决问题。与英特尔博锐技术紧密结合的智能网全需要远程对数量众多的网络终端实施管理策略，并从安全、管理和维护三大方面为各种规模的局域网提供全面有效的解决方案。本系统利用英特尔博锐技术可以深入底层对计算机系统进行控制，特别是针对计算机的网络安全、系统状态、资产管理、远程维护等多方面提供了更加强大的管理方案。