Erst kürzlich habe ich mich mit der Intel vPro Plattform genauer beschäftigt. Was sie Unternehmen bringt, wie sie für mehr Sicherheit sorgt und wie sich Endgeräte wie Notebooks und Workstations damit einfacher verwalten und warten lassen. Wie genau das funktioniert, steht in diesem Beitrag.
Mit der Intel Active Management Technologie (Intel AMT) fing im Grunde alles an, und noch heute zählt diese Fernwartungstechnik zu einer der Kernelemente der Intel vPro Plattform. Damit lassen sich von jedem beliebigen Ort aus jedwede Endgeräte überwachen, steuern, mit Updates versorgen und sogar remote reparieren. Das funktioniert auch dann, wenn ein Rechner mit kompatiblem Prozessor (wie zum Beispiel die Intel Core i9 CPU der 13. Generation) derart beschädigt ist, dass er sich auf herkömmlichen Weg nicht mehr starten lässt (da beispielsweise das Windows-System defekt ist).
Damit lässt sich dann so ziemlich alles reparieren, was einen Schaden genommen hat: Treiber, Anwendungssoftware oder eben das Betriebssystem selbst. Damit lassen sich übrigens nicht nur Notebook & Co. mit Intel vPro-Unterstützung wieder instand setzen, sondern auch sogenannte Headless-Geräte. Dazu gehören unter anderem Verkaufsautomaten und Werbetafeln, in denen ebenfalls Intel vPro-taugliche Prozessoren zum Einsatz kommen.
Doch Intel AMT geht noch einen Schritt weiter, indem es in Kombination mit dem Intel Endpoint Management Assistant (Intel EMA) die Voraussetzungen für ein Remote-Management von Endgeräten schafft, die sich außerhalb der eigenen Firewall befinden. Dies ermöglicht einen Cloud-basierten Fernzugriff mithilfe bekannter WLAN-Hotspots.
Die Beispiele für die Fernwartung mithilfe von Intel AMT und Intel vPro sind unerschöpflich. So setzt die Stadt Frankfurt diese Technik für das Verwalten von etwa 170 Schulen ein. Damit werden neue PCs in den Schulalltag remote in die jeweiligen Netzwerke integriert und genauso verwaltet, was die Ausfallzeiten der betroffenen Rechner insgesamt reduziert und die Software-Updates deutlich erleichtert hat.
Intel vPro für mehr Sicherheit und mehr Stabilität
Neben den Möglichkeiten, Intel vPro-basierte Endgeräte aus der Ferne zu warten und zu reparieren, sorgen die zugrunde liegenden Techniken auch für die Sicherheit, die gerade im Geschäftsumfeld unabdingbar ist. Hierfür kommen diverse Mechanismen zum Einsatz, die jeweils einen ganz bestimmten Zweck verfolgen:
Intel Hardware Shield nennt der Chiphersteller auch „Sicherheit unterhalb des Betriebssystems“, was es schon ziemlich gut trifft. So dreht es sich hierbei um diverse Funktionen der Intel vPro Plattform, die Endgeräte vor möglichen Malware-Angriffen schützen sollen. Hierfür wird der Arbeitsspeicher während des Ausführens von Software derart geschützt, dass eingeschleuste Schadsoftware daran gehindert wird, das Betriebssystem zu kompromittieren. Darüber hinaus beherrscht Intel Hardware Shield bestimmte Sicherheitsmechanismen, mit deren Hilfe Rechnersysteme sicher und unangreifbar gestartet werden können. Damit lassen sich übrigens auch virtualisierte Maschinen vor Angriffen von außen schützen.
Neben den eher hardware-basierten Schutzmaßnahmen lässt sich auch die Software-Infrastruktur eines Endgerätes mit den passenden Funktionen absichern. Dazu gehört beispielsweise die Intel Control-Flow Enforcement Technologie (Intel CET). Diese wird unter anderem von Google und Adobe für die Abwehr von Angriffen auf den Systemspeicher genutzt. Aber auch die Intel Threat Detection Technologie (Intel TDT) sei hier zu erwähnen: Damit lassen sich Ransomware- und andere Attacken in Verbindung mit Sicherheitslösungen bekannter Anbieter erkennen und abwehren. Dazu gehören Securitytools von CrowdStrike, ESET, Microsoft, Sequretek und anderen Sicherheitsexperten.
Stabile Hardware für stabile Investitionen
Was nützen all die schönen Fernwartungs- und Sicherheitsmechanismen, wenn der betroffene Rechner kurz nach dessen Anschaffung aufgrund neuer, nicht validierter Komponenten oder unvorhergesehener Software-Updates nicht mehr die Zuverlässigkeit bietet, die man von dem Gerät erwarten kann? Um dies bestmöglich zu vermeiden (was gerade im geschäftlich genutzten Umfeld wichtig ist), steht ein Validierungsprogramm namens Intel Stable IT Platform Program (Intel SIPP) zur Verfügung.
Die Idee dahinter: Für einen Zeitraum von mindestens 15 Monaten garantiert der Intel-OEM-Partner, keinerlei Veränderungen an den validierten Geräten vorzunehmen. Das betrifft zum einen den Prozessor selbst (zum Beispiel aus der Intel Core U- und S-Reihe), aber auch den verbauten Grafikchip, die Ethernet-Komponenten und anderes mehr. Damit können Unternehmen über den garantierten Zeitraum sicher sein, bei Neuanschaffungen desselben Endgerätetyps die identische Konfiguration zu erwerben. Das ist für die Ersteinrichtung genauso entscheidend wie für die Wartung der Maschinen und das Bereitstellen von PC-Images.
Darum wird der Einsatz von Intel vPro in Unternehmen immer wichtiger
Heiner Genzken von Intel über die Vorzüge der Intel vPro Plattform
Disclaimer: Für das Verfassen und Veröffentlichen dieses Blogbeitrags hat mich die Firma Intel beauftragt. Bei der Ausgestaltung der Inhalte hatte ich nahezu freie Hand.