英特尔® 博锐™ 技术的这些能力与英特尔® 主动管理技术¹（英特尔®AMT）的融入密不可分。英特尔® AMT 包含永久非易失性内存（可安全存储关键的系统信息），以及始终供获权的 IT 人员利用的远程带外（OOB）通信信道。即便个人电脑最初为关机、重装或未运行状态，只要已插入电源并接入网络，管理员仍可访问该电脑，收集信息、安装并运行更新和补丁。

英特尔® 博锐™ 技术，提供多层主动防护体系

借助英特尔® 博锐™ 技术，IT 管理员可采用主动的多层防护方案来维护个人电脑和网络的安全。第一层防护可阻止威胁进入个人电脑的操作系统（OS）。每台个人电脑的硬件过滤器可监控网络流量，识别威胁。通过检查进出软件堆栈的数据包标头内的来源、目的地和端口地址，这些过滤器可在威胁影响计算机之前预先发现潜在威胁。由于过滤器可编程，因而管理员可利用管理软件定义由被禁止的数据包行为（如创建日志条目或向管理员发送告警）所触发的事件。

硬件过滤器可启动威胁遏制（threat-containment）开关，由此断开个人电脑的网络通信，阻止恶意网络流量进入个人电脑。该开关还可阻止病毒由某台个人电脑蔓延至整个网络。在任何情况下，IT 管理员仍可借助英特尔® AMT 远程通信信道与受隔离的个人电脑进行通信。管理员还可从计算机的非易失性内存中获取重要信息，并进行故障诊断。在管理员解决故障，并将个人电脑重新接入网络时，个人电脑用户仍可使用本地应用继续工作。

借助英特尔® 博锐™ 技术，管理员无需到达现场即可安全重启、修复故障个人电脑。英特尔® AMT 专用通信信道支持技术人员从其它设备或 CD 启动受感染的个人电脑，随后建立远程控制台对话并排除故障。如果某应用受损，技术人员可重新映射整个硬盘，从未受感染的文件中恢复用户数据。英特尔® 博锐™ 技术可帮助 IT 团队远程修复故障，大大减少到场维护的次数。

英特尔® AMT 的 OOB 能力可帮助管理员更彻底地部署一组个人电脑的软件补丁和更新。英特尔® 博锐™ 技术和英特尔® AMT 支持管理员甚至无需唤醒电脑，即可查找计算机的 IP 地址，识别已安装软件并确认是否需要更新。第三方应用可将版本信息和.dat 文件存储在非易失性内存中，以便 IT 人员随时检查版本状态。通过了解计算机的 IP 地址和已安装的软件，管理员可确保所有电脑都安装了最新的补丁和更新。

英特尔® 博锐™ 技术还可帮助管理员监控杀毒代理的存在状态。与某些使用串行轮询（serial polling）来验证安全代理存在的应用不同，具备英特尔® 博锐™ 技术的个人电脑可通过定期的可编程“心跳”检测来确保多达 16 个代理的存在。第三方安全软件借助管理引擎来定期检查记录，确定安全代理是否正常工作。若某个代理被查出故障，管理引擎可记录此状况并通知 IT 控制台，或按照管理员选择的其它任意方式进行响应。

需要更新时，管理员可远程启动计算机，完成软件更新后再关闭计算机（或将其恢复到睡眠模式），使其返回到之前的状态。尽管有很多唤醒电脑提供更新的方法，但这些方法可能使网络遭受安全风险。

图 1：具备英特尔® 博锐™ 技术的个人电脑帮助管理员开发多层防护体系来抵御威胁。

虚拟设备，增强个人电脑的保护能力

英特尔® 虚拟化技术² 内建于采用英特尔® 博锐™ 技术的个人电脑中，可为 IT 管理员提供更多的安全层同时还为主流的商用电脑带来经济高效的虚拟技术优势。与其它需要基本操作系统（含大量编码）的虚拟化方案不同，英特尔® 博锐™ 技术基于硬件的虚拟化能力可帮助创建在独立、专用的管理环境中运行的“轻型”解决方案。

目前，数家第三方软件厂商（包括赛门铁克、Altiris 和联想）已着手利用英特尔® 博锐™ 技术的内置虚拟化能力来开发虚拟设备——即专用于某个特定功能（如管理能力或安全性）的独立操作环境。虚拟设备包括专用的应用代码、轻型嵌入式操作系统以及选定的驱动程序。在 IT 管理员的控制下，虚拟设备运行于用户操作系统之外，不被用户所见，可更有效地防止篡改。除上述 ISV 外，两家 IT 外包商——EDS 公司和 Atos-Origin 公司已经采用联想的应急与恢复系统（Lenovo Rescue and Recovery）软件，针对具备英特尔® 博锐™ 技术的个人电脑所提供的英特尔® 虚拟化技术能力进行了广泛的技术评估。（详细信息请参阅联想侧栏）

安全虚拟设备可用于在网络数据包传输至个人电脑操作系统之前，智能地检测网络流量是否存在恶意封包内容（malicious payload）或可疑的入侵尝试。虚拟设备发现安全问题（或背离 IT 政策的情况）时，能够向管理员告警，隔离通信端口，盘点软硬件，重置 BIOS 配置或部署关键更新。如果代理关闭但仍然可用，虚拟设备则无需 IT 干预即可自动重启该代理。

管理员还可在虚拟设备而非用户操作系统内安装代理、业务应用与敏感信息，从而更好地防止它们遭到篡改或被删除。即使黑客在用户操作系统中安装流氓应用，虚拟设备将拒绝该应用访问某些内存区域和敏感文件。

此外，通过创建专用虚拟设备，IT 管理员无需干扰用户操作系统或影响用户工作效率即可完成维护任务。管理员能够秘密、顺利地运行病毒扫描、防间谍软件、更新和备份等任务。

图 2：ISV 的虚拟设备通过识别威胁、生成告警并将虚拟设备隔离于受保护区域来增强安全性能。

总结

通过支持管理员构建多层主动防护体系应对安全威胁，英特尔® 博锐™ 技术可帮助企业保持生产效率并保护敏感信息的安全。英特尔® 博锐™ 技术的远程管理能力还有助于减少现场访问次数，从而节省了时间和金钱。因此，具备英特尔® 博锐™ 技术的个人电脑可帮助 IT 团队全力以赴支撑企业目标的创新项目。

更多信息

您还可访问英特尔网站，了解有关英特尔® 博锐™ 技术的安全性能，以及英特尔® AMT 如何帮助 IT 管理员应对安全事件的更多信息。

• 英特尔® 博锐™ 技术
• 英特尔® 主动管理技术
• 英特尔® 虚拟化技术

1 英特尔® 主动管理技术要求平台采用支持英特尔® 主动管理技术的芯片组、网络硬件和软件。系统必须接通电源并建立网络连接。
2 英特尔_ 虚拟化技术要求计算机系统具备：支持英特尔_ 虚拟化技术的英特尔_ 处理器、基本输入输出系统（BIOS ）、虚拟机监视器（VMM）以及用于某些应用的特定平台软件。实际功能、性能或其它优势会根据软硬件配置的不同而有所差异，并且可能需要对 BIOS 进行更新。软件应用也许不能兼容所有的操作系统。请咨询您的应用厂商以了解具体信息。