公司的商用电脑应该在什么时候换？

过去我们谈Intel酷睿处理器和相关PC的文章，并未着重探讨过有vPro标识的平台，也就是Intel面向商用PC打造的平台。vPro是看作是面向商用PC的某种标准，包括企业客户会用到的PC。所谓的商用，比如各种规模、不同领域的企业IT应用，还有公共与学术机构等。

其实在每年酷睿处理器新品发布列表里，都有一列Intel vPro eligible项目，仅部分型号是支持vPro的；去年Intel将vPro支持切分成了Enterprise和Essentials。比如酷睿i9-13900H满足vPro Enterprise，而酷睿i9-13900HK这一栏为Essentials。一般vPro Essentials为中小型企业准备，有设备管理、增强安全等方面的支持；而vPro Enterprise则有更为完整的商用特性。

借着这次Intel特别就基于13代酷睿处理器的vPro平台召开的媒体会，我们可以来看看现在所谓的“商用”电脑，和一般的PC又有多大差异；以及商用计算的侧重点在哪儿。

理想情况下商用电脑的换机周期大约是3-5年，这应该也是Intel每隔一些年份会做此类市场宣传的依据。所以我们看Intel列出的对比数据，包含了对比3年之前或更早的设备。这应该也表明了13代酷睿恰逢Intel推荐的vPro平台换机时机。

这次的介绍中，Intel将vPro平台的要点分成了“安全”“管理”“焕新”“性能”。这里安全、管理、性能都比较好理解，也是直觉上商用平台普遍在追求的必要属性。“焕新”就Intel的介绍来看应该是指基于13代酷睿的平台，在体验、成本等各方面推荐升级——就我们的理解，这属于前几个组成部分的“结果”。所以我们将“焕新”放到文章最后。

性能部分，本文不会花太多笔墨。其实“性能”主要强调的，就是13代酷睿处理器本身的性能提升。包括自12代酷睿开始采用的P-core、E-core异构核心组成的CPU，以及13代酷睿在部分型号上E-core数量的翻番，加上ITD（Intel Thread Director）用于辅助系统调度的机制，达成了近年来多核性能的显著飞跃。

上面这张图给出了酷睿i9-13900和酷睿i7-1370P，相比于前代产品、竞品的性能对比。主要的对比项目是SYSmark 40和UL Procyon。UL Procyon是我们此前常用的，用于对比Office办公应用的测试项；SYSmark测试也属于高层级的综合性能测试，涵盖生产力、媒体创作、响应方面的项目。

比较值得一提的是，这组数据中，Intel也将13代酷睿（酷睿i7-1370P）和3年前的10代酷睿（酷睿i7-10610U）做了对比。酷睿i7-10610U还是Skylake老架构，且为4核8线程；转头看这一代酷睿i7-1370P，这已经是一颗14核心20线程的处理器了；更不用谈i9-13900是24核心32线程。

所以SYSmark 30和UL Procyon两项对比里，即便抛开架构和工艺层面的改进，规模增大分别达成2.3倍与59%的性能提升也都比较好理解。这一点还是能够明确体现出，这3年来，PC市场的内卷变得比以往任何时候都更加严重；或者说PC处理器性能短期内的显著提升。就这一点也不得不说，几年前的商用电脑大概真的该换了…

在性能对比中，Intel照例有在宣传异构核心在多任务处理场景上的优势，比如说一边召开线上会议，一边做PPT演示、打开Power BI报告，同时将报告导出为PDF等操作；以及一边在后台进行视频渲染，一边在前台召开线上会议，同时还在用Photoshop做照片处理（一边开会、一边工作的好典范）。13代酷睿都比3年前的10代酷睿提升超过2倍的性能，毕竟核心数增加了这么多。

我们倒是认为，性能提升或许对后面要谈的“安全”和“管理”都更有价值。企业IT配备的PC普遍非常着重在安全策略和可管理性上——这两者真正破坏了企业员工使用PC的体验。而性能提升，分派一些核心或者将某些工作offload到加速器，对使用体验价值都很大。

事实上，vPro平台主打的名列前茅要素并不是性能，而是“安全”——毕竟对企业用户而言，安全更像是需要达成的前提。Intel给出了一组安全相关的数字呈现，如下图。包括开箱即用状态下，“有效检测主要勒索软件攻击+93%”；“重大安全漏洞”相比传统PC低26%；“与4年前的旧设备相比，攻击面减少幅度~70%”等；以及Windows虚拟化安全支持等…

其实这些数字还是很抽象的，尤其在谈安全问题的时候。这其中有一些亮点，比如威胁检测TDT技术（Threat Detection Technology）。Intel在宣传中说vPro平台是Windows系统提供的名列前茅个，“也是少数一个基于芯片的AI威胁检测解决方案”，“可以检测这些勒索软件和软件供应链的攻击”。

与此同时，Intel与反病毒软件企业的合作中，又“增加了更多ISV合作伙伴”；让这些反恶意程序应用可以利用核显加速来执行恶意程序扫描工作，相比CPU扫描“提速较高7倍”。

就这两点，我们也特别查阅了Intel公开的TDT技术白皮书。名列前茅点所谓“基于硬件的AI检测“，究竟是怎么回事的问题。PC作为端侧设备，在企业内的安全位置属于端侧安全——在信息安全领域叫EDR（端点检测与响应）。一般软件EDR解决方案就是要发现、定位和移除端侧设备的威胁。Intel TDT的工作如下图，为EDR提供加强。

“Intel TDT并非单独的产品，而是提供源代码，集成到EDR代理，实现CPU辅助能力。”这其中典型的例子是勒索软件一般会执行文件加密操作，以锁定用户数据。而在软件和操作系统层面，并没有有效监测这一行为的telemetry机制；那么CPU级别的telemetry，就能从最低层级追踪到加密行为，与此同时机器学习启发式分析可以明确加密行为是否是勒索软件所为。这就叫“基于硬件的AI检测”，而且CPU所处层级也让绝大部分攻击行为无法绕过。

当然，这些并非全部。还有一些安全检测、防护和恢复特性。比如Intel Hardware Shield的防护特性，即便在勒索软件已经存在于系统中时，仍然基于虚拟容器的硬件隔离、内存防护、安全启动等来限定恶意程序的在内部的扩散等等。

第二点是eGPU加速病毒扫描——主要是因为现有的EDR解决方案普遍会应用AI算法，还有包括内存扫描之类的动作放在CPU上跑都可能损失用户体验。所以TDT将安全负载交给核显去跑，也就提升了效率。

实现这两点，理论上的确都需要软件去调用对应的API，所以Intel说和安全软件企业进行了对应的合作。主流的相关企业都在合作列表中，包括微软Defender，以及各种做端侧安全解决方案的企业，如CrowdStrike、Check Point等——都是企业安全服务供应商。

在安全和性能之外，对于企业来说，IT设备管理也很重要，PC是其中一部分。Intel宣传如今的vPro平台是针对设备“整个生命周期”的完整管理。

主要体现在IT对于PC日常管理的几个部分：设备入网、管理和更新设备、带外设备支持（在发生问题的情况下，可对设备进行远程管理）、EOL设备（设备结束生命周期，对设备做出设定）。

就这几个环节，首先是设备入网，即新设备开始使用：现在的vPro可以藉由VMware的Workspace ONE来远程进行设置，不一定要面对面。设备的管理和更新也类似。

对于带外设备的支持问题，比如在员工电脑的操作系统崩溃时，IT可以远程进行操作系统恢复——在vPro Enterprise版本中，基于终端管理软件，可以远程操作BIOS设置——这些操作不需要操作系统启动。

对于EOL设备，IT可对电脑进行远程重置，远程擦除SSD数据。那么无论是回收设备，还是准备派发给下一个员工，也都会更加容易。“从这台设备进入公司，到日常使用、到出现问题，最后再到从使用状态抽出，整个生命周期，我们都可以进行完整的管理。”Intel表示。

最后一点是“焕新”。应该是前述包含性能、安全、管理在内的元素，加上体验提升和成本的降低。Intel宣传中特别提到“体验”层面的提升：主要是Wi-Fi 6E、雷电4和Evo认证相关组成部分。比如雷电4对于很多商用场景来说，价值还是比较大的，像是同时连接几台显示器，分别用于不同用途。

另外成本降低体现在，就商用属性，vPro平台的SIPP（Stable IT Platform Program）特性“意味着从硬件，到BIOS，到firmware，到整个生命周期确保稳定性”。因为商用PC和消费级个人电脑，一个重要差别就在兼容性和稳定性。“商用平台和家用平台的一大差别在于，只要是英特尔vPro的SIPP，就会支持前几代操作系统；而消费级产品，会支持目前和未来的操作系统版本。”