英特尔博锐技术：从四个使用案例中验证其价值

1、英特尔® 博锐 技术：从四个使用案例中 验证其价值 在每个使用案例中，英特尔® 博锐 技术都能降低管理成本并减少员工的停机时间 从而提高员工工作效率。Omer Livne博锐主动管理技术产品经理，英特尔 ITSteve Taylor资深解决方案架构师，业务客户端平台事业部Avi ZarfatyIT 战略财务分析师，英特尔 IT要点综述为提高我们维护、管理和保护电脑的能力，同时降低管理成本，英特尔 IT 在 2011 年完成了在英特尔客户端电脑上部署英特尔® 博锐 技术。英特尔博锐技术通过实施英特尔® 主动管理技术（Intel® Active M

2、anagement Technology，以下简称英特尔® AMT）提供企业内网以外（out-of-band ，以下简称 OOB）的管理功能。英特尔® AMT 的 OOB 在固件层次运作， 键盘-显示器-鼠标（Keyboard-Video-并提供以下优势：Mouse ，以下简称 KVM）远程控制。即 不论操作系统的状态如何，即使在其启使操作系统不在运行，服务台技术人员动前，亦能允许对客户端电脑的控制也可使用基于硬件的 KVM 远程控制来 使客户端管理过程不易受到操作系统的诊断和修复电脑。问题所影响 ISO 挂接。服务台技术人员可以使用 允许远程访问电脑（包括 BIOS 设置

3、），IDER 从 ISO 映像启动电脑系统，执行操不论系统的电源状态或操作系统状况作系统安装，远程共享驱动器，或者访如何问 Microsoft Windows* 预安装环境。从部署在英特尔、基于英特尔® 博锐技术的在每个使用案例中，我们都发现英特尔四个使用案例中，我们对其商业价值进行博锐技术能降低管理成本并减少员工的停了评估：机时间 从而提高员工工作效率。例如，英特尔博锐技术使解决密码短语重置 企业规模的自加密驱动器远程管理解问题所需时间减少 80%。而使用 KVM 远程 决方案。使用英特尔 AMT 远程访问 控制和 ISO 挂接来解决问题的话，单单在BIOS ，使我们能够创建管理基

4、于硬件的运费方面就为远程员工节省 100 多美元，全磁盘加密的端到端解决方案。且平均停机时间减少 10 多小时。 远程密码短语 (passphrase。服务台技术人员可以远程访问 OOB 电脑的用户界面，包括屏幕上的错误信息，让他们能够直接修复系统，而无需通过电话指导员工执行诊断和修复过程。ITIntel 白皮书 英特尔® 博锐 技术：从四个使用案例中 验证其价值目录要点综述 .1背景 .2分析英特尔® 博锐 技术的业务价值 .2安全使用案例 .2支持使用案例 .4未来计划 .5总结 . . 5了解更多信息 .6缩略语. . 6ITINTEL背景英特尔遍布全球的计算环境包括

5、分布在 63 个国家（ 地区）的 100,000 多台电脑。在这些设备当中，80% 以上是无线连接到公司网络的移动电脑。在英特尔，与在大多数公司一样，管理并保护这些电脑，尤其是高度移动员工的电脑，是 IT 部门一项重要的工作。在 2011 年，英特尔 IT 对在英特尔使用 的所有客户端电脑启用了英特尔® 博锐 技术。英特尔博锐技术既降低了管理成本，又提高了维护、管理和保护电脑的 能力。我们当前的环境由基于第四代智能英特尔® 酷睿 i5 博锐 和第四代智能英特尔® 酷睿 i7 博锐 处理器的系统组成，这些处理器均搭载作为英特尔博锐 技术组件的英特尔® AM

6、T。在这些系统中， 80% 以上使用英特尔 AMT 版本 6 或更高版本；其余系统使用较早版本的英特尔 AMT 。英特尔博锐技术是内置于电脑的基于硬件的能力，该技术使我们能远程完成以前必须到现场才能处理的多项任务。我们使用此基本功能来改进事件解决方法和资产查找，并提高企业信息安全。英特尔使用的每一台电脑，包括台式机、便携电脑、笔记本电脑和业务超极本 设备，均配备英特尔博锐技术，而其中的 75,000 台亦配置了英特尔 AMT。通过持续的电脑更新，此数字不断增加。为提高远程管理电脑的能力并使用英特尔 主动管理技术的某些功能，英特尔 IT 与 英特尔的业务客户端平台事业部（Business Cli

7、ent Platform Division，以下简称 BCPD）结成合作伙伴，测试和评估英特尔® 安装和配置软件（Intel® Setup and Configuration Software ，以下简称英特尔® SCS），并对其改进提出建议，来为我们的移动系统建立一个高度可用、灵活配置和维护的环境。英特尔 SCS设置并规定英特尔 AMT 的功能，以及控制这些功能在客户端上的行为。目前，我们的环境中使用英特尔 SCS 8.1 版，英特尔 IT 和 BCPD 协作，不断引入有利于为 IT 运作的新功能。分析英特尔® 博锐 技术的业务价值英特尔博锐技术功能的

8、一个关键是通过英特尔 AMT 实现企业内网以外 (out-of-band, OOB 管理。英特尔 AMT 的 OOB 功能的操作从固件开始，并建立安全的通信通道，实现无需使用客户机软件而远程控制客户端电脑，即使其处于预安装环境。不论客户端系统的电源状态或操作系统的状态如何，该功能使客户端管理不易受到操作系统的问题所影响，并允许远程访问电脑，而这在许多方面（如信息安全、IT 支持和 eDiscovery 活动）均大有裨益。我们对目前在企业中部署的四个与英特尔博锐技术相关的使用案例分析了投资回报 （return on investment，以下简称 ROI）： 企业规模的自加密驱动器远程管理解决方

9、案 远程重置密码短语 基于硬件的键盘-显示器-鼠标 (KVM 远程控制 ISO 挂接在每个使用案例中，如图 1 所示，我们都发现英特尔博锐技术显著降低管理成本并减少员工的停机时间。安全使用案例随着工作人员的移动工作需要不断增多，若不采取适当的保护措施，机密的企业数据和知识产权面临日益严重的风险。与多数公司一样，在英特尔的信息安全至关重要。我们有两个与信息安全有关的英特尔博锐技术的使用案例，其投资回报相当不俗。这些使用案例利用英特尔 AMT 的功能远程管理在自加密驱动器上的数据安全设置及远程解锁加密驱动器。密驱动器创建企业规模的端到端管理解决方案。作为解决方案的一部分，我们开发了密码管理实用程序

10、、互联网服务管理功能和安全的数据库。1我们的基于硬件的 WDE 为最终用户、IT 支持人员及从事信息安全和 eDiscovery 的人员带来效益。该解决方案提高了已在我们环境中使用的英特尔® 技术的 ROI，并降低了日常的维护成本。我们也不需要为基于软件的加密解决方案而购买额外的许可证。在我们企业，英特尔 SSD 是默认客户端配置的一部分，2 因此，我们将 WDE 的许可证和维护成本的节省算作为净成本节约。1有关基于硬件的 WDE 的更多信息，参阅白皮书“使用英特尔® 博锐 技术管理英特尔® 固态硬盘”， 2012 年 6 月。it-management/inte

11、l-it-best-practices/managing-intel-solid-state-drives-using-intel-vpro-technology.html 参阅“加速英特尔固态硬盘在企业中的部署”， 2010 年 10 月。enterprise-reliability/enterprise-reliability-accelerating-deployment-of-intel-ssds-paper.html2 自加密型英特尔® 固态硬盘 （英特尔® SSD）自加密驱动器 (Self-encryption drives, 白皮书 英特尔® 博锐

12、技术：从四个使用案例中 验证其价值ITIntel SED ，如英特尔® SSD 320 系列和英特尔® SSD 520 系列，配备一个驱动器控制器，在写入和读取所有驱动器数据时，自动对其加密和解密。磁盘加密密钥永远不会出现在可能被黑客访问的计算机处理器或内存中。用于加密和解密的密钥仅安全地存储在驱动器上。由于磁盘加密密钥使用高级技术附件 (Advanced Technology Attachment, ATA 密码进行加密，驱动器只有在用户身份成功验证后才可访问该密钥；因为没有该密钥，媒体上的数据仍保持加密。用户身份验证通过提供 ATA 用户密码而在 SED 内完成，该密码

13、与操作系统隔离。因此，任何对操作系统漏洞的攻击不能影响 SED 启动前的过程。SED 提供坚实可靠、迅速响应的性能、 更长久的电脑电池续航时间，以及所有英特尔 SSD 的灵活和可扩展特性，并有保护数据安全的附加利益。其内置的加密电路减轻了在性能方面与基于软件的全磁盘加密 (whole disk encryption, WDE 解决方案相关的的影响。英特尔 SSD 320 系列和英特尔 SSD 520 系列均使用英特尔® 高级加密标准新指令 (Intel® Advanced Encryption Standard New Instructions, Intel® A

14、ES-NI 的 128 位加密，这相当于大部分基于软件的 WDE 解决方案的加密强度，并符合广泛接受的 FIPS197 业界标准。远程密码短语重置WDE 解决方案的部署涉及设置密码短语。我们的服务台技术人员每年收到成千上万与密码短语相关的请求。通常我们使用的其中一个 WDE 软件解决方案能经由回答安全问题而帮助用户自行重置其密码短语。但是，在其他情况下，当英特尔 AMT 不存在或未启用时，服务台技术人员需使用电话来指导员工完成一组相当复杂的任务来重置密码短语。当对话时有语言差别（如口音或方言）时，此过程可能特别困难。为解决与密码短语有关的服务请求，我们 开发了一个基于互联网的、使用英特尔 AM

15、T 其中一项功能的应用程序 英特尔® 通用重定向工具 (Intel® Generic Redirection Tool, Intel® GRT。在这些情况下，英特尔博锐技术可将诊断过程自动化，因此服务台技术人员不需要通过电话指导员工完成该过程。在我们的分析中，使用英特尔博锐技术来重置密码短语，解决第一级支持事件所需时间缩短了 80%，每单这样的支持事件费用降低了 70%。支持使用案例远程服务台协助的时间效率和成本效率都高于亲临现场的协助。英特尔博锐技术使服务台技术人员能远程支持员工，为远离服务台中心的员工提供额外价值。采用 英特尔 AMT 的客户端允许服务台员工迅

16、速控制远程计算机，排除故障并修复许多硬件和软件问题，并能使用集成驱动器电子设备重定向 (Integrated Drive Electronics Redirection, IDER 功能从一个 ISO 镜像启动，执行操作系统安装，远程共享驱动器，或访问 Microsoft Windows* 预安装环境。从分析中我们发现当员工身置于不易接触到电脑服务中心的英特尔园区时，英特尔博锐技术的 KVM 远程控制和 ISO 挂接支持，平均为每一个事例单单在运费方面 就节省 100 多美元，员工工作效率节省 10 多小时。键盘-显示器-鼠标 (KVM 远程控制不同于基于软件的 KVM 解决方案，基于硬件的

17、KVM 远程控制不限于操作系统运行的情况。带 KVM 远程控制的第四代 英特尔® 酷睿 博锐 处理器，即使在操作系统不运行的情况（此种情况占服务台请求的很大比例）下，仍允许服务台技术人员诊断和修复电脑。例如，在 2012 年下半年，我们的服务台技术人员收到约 4,000 起与电脑启动有关的问题。KVM 远程控制使他们得以不需进行费用昂贵的现场造访，也不需员工将电脑送到一个服务台中心，即能解决这类问题。英特尔® 博锐 技术：从四个使用案例中 验证其价值 ITIntel 白皮书下面是最近两个由英特尔博锐技术帮助解决的的服务台请求的实例： 一名员工因配置的损坏而无法从家中登录至操

18、作系统。使用英特尔 AMT 和 KVM 远程控制，尽管该员工的配置已损坏，服务台技术人员能以管理员特权登录。问题在 30 分钟内远程解决，避免了该员工花一整天将受影响的电脑送往服务台修复。 一名员工联系服务台，因为她忘记了磁盘加密密码，但是她不知道系统使用的是基于软件还是硬件的加密。服务台技术人员使用 KVM 远程控制连接到该系统，从启动屏幕上发现一个自加密的固态硬盘，成功地帮助该员工更改了她的加密密码。ISO 挂接员工经常在电脑启动时遇到问题。英特尔博锐技术为服务台技术人员提供了使用位于网络驱动器或在技术人员电脑上的一个映像文件远程将崩溃系统启动的能力。这种能力与 KVM 远程控制相结合，使

19、服务台技术人员不需现场造访，也不需员工将电脑送到一个服务台中心便能恢复计算机的功能，例如，员工遇到了与磁盘加密有关的引导故障。使用与 ISO 挂接相结合的 KVM 远程控制，一名服务台技术人员能够在 30 分钟左右的时间内修复受影响的电脑。该员工位于没有现场支持的办公楼；如果通过电话来指导员工使用同事的电脑构建一个启动光盘的过程，所花时间要长得多。我们估计至少节省了一个小时的停机时间，以及减少了该员工的不满。未来计划我们目前正在努力实施基于英特尔博锐技术的其它几项功能。其中一项是客户端发起的远程访问 (client-initiated remote access, CIRA，通常称为快速请求帮助 (Fast Call For Help, FCFH。3 FCFH 允许在防火墙外通过互联网使用 KVM 远程控制和其它英特尔博锐技术的功能。FCFH 支持我们的首要目标 提高 IT 对高度移动员工的支持。英特尔 AMT 的 FCFH 功能允许基于英特尔博锐技术的平台发起安全连接至驻留在企业隔离区 (DMZ 的网关服务器上。使用 FCFH ，即使客户端系统位于企业网络之外，IT 管理员可以远程管理基于英特尔博锐技术的客户端。我们打算在