FORSIS Wissen: vPRO CPU Varianten

---

Intel Core Ultra 235UA – High End Variante für FORSIS Industrie PCs mit vPro Support

Als Ergänzung zu unseren CPU Varianten werden wir auch noch eine vPro fähige CPU-Variante aufnehmen. Diese werden besonders gekennzeichnet.

• Sie gehört zu Intel-Core i5/i7/i9, Intel Core Ultra oder Xeon
• und ist explizit als „vPro Enterprise“ oder „vPro Essentials“ gelabelt.
• Zusätzlich muss auch der passende vPro-Chipsatz auf dem Mainboard vorhanden sein (z. B. Q-Serie oder W-Serie bzw. Industrial-Pendant).

Feature	Funktion
Intel AMT	Fernsteuerung selbst wenn das OS nicht läuft (Out-of-Band)
ME / Management Engine	Eigener Mikrocontroller im Chipsatz für OOB-Kommunikation
Hardware-Security	z. B. TPM, Boot-Guard, Trusted Execution, Memory Encryption
Virtualization Support	VT-x/VT-d mit erweiterten Schutzfunktionen
Langzeit-Stabilität	Validierte Plattformen, länger verfügbare Treiber/Firmware
Zuverlässige OT-Eignung	EMV-optimierte, zertifizierte Business/Industrial-Plattformen

vPRO – Varianten

Variante	Ziel	Enthält AMT?
vPro Enterprise	Große IT/OT-Flotten, professionelles Management	Ja
vPro Essentials	KMU, Basis-Security ohne komplettes OOB	Nein (kein AMT)
vPro for Xeon (Workstations/Server)	CAD, Edge-Workstations, hohe I/O-Stabilität	Ja

Abgrenzung zu klassischen CPUs

Ohne vPro	Mit vPro
Management nur über OS/Software	Management auch ohne OS (AMT/ME)
Keine OOB-Konsole	Remote Power + KVM + ISO-Boot
Security abhängig von Software	Security im Hardware-Root-of-Trust
OT-Eignung nur je Plattform	validierte Business/Industrial Plattform

Eine vPRO fähige CPU allein reicht nicht aus – es braucht auch:

• vPro-fähiges Mainboard/Chipset
• BIOS-AMT Aktivierung
• AMT Provisioning im Netzwerk

---

Intel AMT (Active Management Technology)

Intel AMT ist eine Hardware-basierte Fernwartungs- und Verwaltungsfunktion in vielen Intel-vPro-CPUs/Chipsätzen.
Sie ermöglicht es, Geräte unabhängig vom Zustand des Betriebssystems über das Netzwerk zu administrieren.

Kernfunktionen:

• Out-of-Band-Management (OOB): Zugriff selbst wenn Windows/Linux nicht läuft, abgestürzt ist oder die Festplatte defekt ist.
• Remote Power Control: Ein-/Ausschalten, Reboot, BIOS-Start aus der Ferne.
• KVM-Remote-Steuerung: Bildschirm, Tastatur, Maus fern bedienen vor dem OS-Boot.
• Remote Diagnose & Recovery: Event-Logs, Speicher, Prozesse, Hardware-Status auslesen.
• Netzwerk-Provisioning: Systeme automatisiert in IT-Infrastruktur aufnehmen.
• IDE-R / ISO-Mounting: Virtuelle Installations-Medien (ISO) über das Netzwerk einbinden, um z. B. das OS remote neu zu installieren.

Technische Eigenschaften

• Läuft über eine Management Engine (ME) im Chipsatz bzw. in der CPU – also nicht über Software alleine.
• Erreichbar via Ethernet (Wake-on-LAN kombiniert mit AMT), oft auch mit TLS-Verschlüsselung.
• Standard-Ports/Protokolle:
  – 16992/16993 (HTTP/HTTPS) für AMT-Webinterface
  – 5900 (VNC/KVM) je nach Setup
  – MDNS, WS-MAN, DHCP, DNS für Discovery/Provisioning

Vorteile von AMT

– OS-unabhängig
– Wartung ohne Vor-Ort-Zugriff – perfekt für Industrie-PCs, Edge-Devices, verteilte Systeme
– Reduziert Stillstandszeiten, weil Systeme auch im Failure-State erreichbar bleiben
– Keine Zusatz-Management-Karte (IPMI-Module etc.) nötig bei vPro-Systemen

Einschränkungen und Risiko von AMT

– Muss im BIOS/UEFI aktiviert und provisioniert werden
– Getrenntes Management-Netzwerk empfohlen (Security)
– Falsch konfiguriert = Angriffsfläche, daher sichere Passwörter + TLS + Netzsegmentierung zwingend

Praxisbeispiel

Ein Industrie-PC im Außenwerk: Gerät reagiert nicht mehr, Windows hängt

• Dank AMT: Remote Reboot → BIOS → ISO-Mount → Windows-Neuinstallation, ohne Techniker vor Ort