Przejdź do treści

 
 

Technologia Intel® Active Management: Oświadczenie o ochronie prywatności – ostatnia aktualizacja: 13.04.2010

Firma Intel Corporation jest zobowiązana do ochrony poufności danych. W niniejszym oświadczeniu opisano funkcje i możliwości związane z informacjami poufnymi, jakie udostępnia technologia Intel® Active Management (Intel® AMT), wskazano, na co pozwala i na co nie pozwala technologia Intel® AMT administratorom IT, oraz określono typy danych, które Intel AMT przechowuje w systemie użytkownika. Niniejsze oświadczenie stanowi uzupełnienie Informacji o prywatności online firmy Intel i ma zastosowanie wyłącznie w odniesieniu do technologii Intel AMT.

Co to jest Intel AMT?

Intel AMT to technologia, która umożliwia zdalną (poza pasmem — OOB) obsługę systemów komputerowych połączonych z siecią przedsiębiorstwa oraz zarządzanie nimi przez autoryzowanych administratorów IT.

Jakie potencjalne problemy z prywatnością rodzi korzystanie z technologii Intel AMT?

Funkcje zdalnego zarządzania są oferowane przez dostawców oprogramowania i stosowane przez działy IT wielu organizacji już od jakiegoś czasu.

Mimo to technologia Intel AMT pozwala administratorom IT na zdalne wspieranie i zarządzanie komputerami użytkowników, nawet gdy ci są nieobecni lub ich urządzenia są wyłączone.

Jak użytkownik może sprawdzić, czy technologia Intel AMT jest włączona w jego systemie?

Firma Intel przygotowała ikonę statusu zapewniającą użytkownikom końcowym należytą widoczność i wyświetlającą powiadomienia na temat aktualnego statusu technologii Intel AMT. Aktualna wersja oprogramowania technologii Intel AMT obejmuje wyświetlającą ikonę aplikację Intel® Management Security Status (IMSS), instalowaną wraz ze sterownikami i usługami. Ikona IMSS (umieszczona w zasobniku systemu operacyjnego) wyświetla bieżący status technologii Intel AMT w systemie (włączona lub wyłączona) oraz udostępnia instrukcje na temat sposobu włączania/wyłączania funkcji technologii Intel AMT. Firma Intel zdecydowanie zaleca producentom OEM ładowanie aplikacji IMSS, co robią obecnie wszyscy producenci. W przyszłości producenci OEM mogą zdecydować się na pominięcie tego zalecenia, a menedżerowie ds. IT będą mogli usunąć aplikację przed udostępnieniem użytkownikom końcowym systemu obsługującego technologię Intel AMT. Użytkownicy mogą również sprawdzać status technologii Intel AMT w ustawieniach systemu BIOS komputera. Należy jednak zwrócić uwagę, że niektóre działy IT w przedsiębiorstwach mogą nie zezwalać użytkownikom na dostęp do systemu BIOS, co jest wymagane do włączania/wyłączania technologii Intel AMT oraz sprawdzania jej statusu.

Jakie informacje osobiste użytkownika gromadzi technologia Intel AMT?

Technologia Intel AMT nie gromadzi żadnych informacji osobistych użytkownika (takich jak imię i nazwisko, adres, numer telefonu i inne).

Jakiego typu informacje technologia Intel AMT wysyła firmie Intel Corporation i w jaki sposób informacje te są wykorzystywane?

Technologia Intel AMT nie przesyła żadnych danych do firmy Intel Corporation.

Jakiego typu informacje przechowuje technologia Intel AMT?

Technologia Intel AMT przechowuje informacje w pamięci flash na płycie głównej systemu. Informacje te obejmują kod oprogramowania układowego, dane ewidencjonujące sprzęt (np. ilość pamięci, typ procesora, typ dysku twardego), dziennik zdarzeń rejestrujący wszystkie zdarzenia platformy (np. wzrost temperatury procesora, awarie wentylatora i komunikaty BIOS POST), zdarzenia zabezpieczeń technologii Intel AMT (np. ostrzeżenie o ataku na hasło technologii Intel AMT lub zadziałaniu filtra zabezpieczeń systemu), a także dane konfiguracyjne technologii Intel AMT (np. ustawienia sieciowe, listy kontroli dostępu i unikatowe identyfikatory uniwersalne – UUID, w tym dane na temat udostępniania, adres MAC karty sieci LAN, klucze, hasła KVM, certyfikaty TLS oraz profile sieci bezprzewodowej skonfigurowane przez dział IT). Wszystkie dane konfiguracyjne uważane za wrażliwe są przechowywane w pamięci flash w postaci zaszyfrowanej. Więcej informacji na temat identyfikatorów UUID można znaleźć niżej.

Technologia Intel AMT pozwala także aplikacjom niezależnych dostawców oprogramowania (ISV) na przechowywanie danych w obszarze repozytorium pamięci flash zwanym 3PDS (ang. third-party data store — magazyn danych podmiotów zewnętrznych). Firma Intel przekazuje niezależnym dostawcom oprogramowania najlepsze praktyki dotyczące prywatności (według swojej najlepszej wiedzy), jednak nie określa, jakie dane mogą być przechowywane w tym obszarze pamięci oraz nie udostępnia metod szyfrowania na potrzeby danych przechowywanych przez takich dostawców. Z uwagi na ten fakt niezależnych dostawców oprogramowania zachęca się do szyfrowania danych przed ich umieszczeniem w pamięci flash, jeśli uważają takie dane za wrażliwe. W przypadku obaw związanych z potencjalnymi zagrożeniami dla prywatności, jakie mogą rodzić dane przechowywane w tym miejscu, prosimy o kontakt z odpowiednim zewnętrznym dostawcą oprogramowania w celu otrzymania szczegółowych informacji na temat typu danych przechowywanych przez niego w obszarze 3PDS oraz sposobu ich ochrony.

Jak technologia Intel AMT wykorzystuje identyfikatory UUID? Jaką funkcjonalność zapewniają, a jakiej nie zapewniają identyfikatory UUID w platformach obsługujących technologię Intel AMT?

Unikatowe identyfikatory uniwersalne (UUID) to elementy wykorzystywane przez technologię Intel AMT do różnych celów, w tym w procesie udostępniania, w celu zabezpieczenia systemu (np. za pomocą haseł, kluczy i certyfikatów TLS) oraz w celu zapewniania administratorom IT możliwości sprawnego nawiązywania połączeń i zarządzania ściśle określonymi systemami użytkowników w obrębie przedsiębiorstwa.

Firma Intel nie utworzyła żadnych identyfikatorów UUID na potrzeby obsługi i funkcjonowania technologii Intel AMT. Identyfikatory UUID nie są też nową funkcją technologii Intel AMT. Identyfikatory UUID są obecne w praktycznie każdym współczesnym komputerze klasy PC oraz są powszechnie instalowane przez producentów OEM na wszystkich platformach bez związku z technologią Intel AMT. Identyfikatory UUID są wykorzystywane przez aplikacje pracujące na wielu komputerach PC w celu izolowania unikalnych informacji systemowych, a co za tym idzie — dla zapewnienia oczekiwanej funkcjonalności, takiej jak dostarczanie aktualizacji systemów kontroli antywirusowej lub systemu operacyjnego. Technologia Intel AMT wykorzystuje identyfikatory UUID platformy w podobny sposób — główną różnicę w jej przypadku stanowi fakt, że identyfikator UUID jest kopiowany do repozytorium pamięci flash w celu zapewnienia dostępu technologii Intel AMT do UUID poza pasmem.

Należy pamiętać, że identyfikatory UUID w systemach z włączoną technologią Intel AMT nie mogą być wykorzystywane przez firmę Intel do śledzenia użytkowników lub ich komputerów, nie zapewniają firmie Intel dostępu do systemów użytkowników za pomocą rozwiązań backdoor ani nie pozwalają firmie Intel na wymuszone przesyłanie oprogramowania układowego do platformy bez zgody użytkownika. Wszelkie identyfikatory UUID przechowywane przez technologię Intel AMT w pamięci flash są dostępne wyłącznie dla autoryzowanych administratorów IT oraz wyłącznie w odniesieniu do ściśle określonych platform z włączoną technologią Intel AMT. Listę autoryzowanych administratorów IT konfiguruje dział IT po stronie klienta końcowego podczas chronionego procesu, za pośrednictwem certyfikatów przedsiębiorstwa lub fizycznej obecności przy systemie z technologią Intel AMT (za pomocą systemu BIOS lub klucza USB). Takie rozwiązanie umożliwia zbudowanie zaufania i przeprowadzenie całego procesu wyłącznie z poziomu konsoli przechowywanych na zaufanych serwerach wyznaczonych przez dział IT po stronie klienta końcowego. Innymi słowy, ani identyfikatory UUID, ani żadne inne informacje nie mogą być przesyłane do/z jakiegokolwiek podmiotu zewnętrznego względem klienta końcowego za pośrednictwem technologii Intel AMT, o ile klient końcowy nie zezwoli na to w wyraźny sposób poprzez przeprowadzenie odpowiedniej konfiguracji. Informacje na temat identyfikowania autoryzowanych administratorów dla poszczególnych systemów można znaleźć w dokumentacji Intel AMT Software Developer Kit (SDK) dostępnej pod adresem softwarecommunity.intel.com/communities/manageability, zawierającej interfejs API do pobierania list kontroli dostępu (ACL) lub autoryzowanych kont Kerberos.

Jakiego typu informacje technologia Intel® Active Management (Intel® AMT) przesyła w obrębie sieci?

Technologia Intel AMT wysyła i odbiera dane za pośrednictwem uprzednio zdefiniowanych portów sieci IANA: 16992 dla SOAP/HTTP, 16993 dla SOAP/HTTPS, 16994 dla Redirection/TCP oraz 16995 dla Redirection/TLS. Systemy zgodne z DASH będą wysyłać i odbierać dane za pośrednictwem portów 623 dla HTTP i 664 dla HTTPS. Sesja KVM (Keyboard Video Mouse) może być przeprowadzona za pośrednictwem powyższych portów przekierowań (16994 lub 16995) albo za pośrednictwem stosowanego zwyczajowo portu protokołu RFB (serwer VNC) 5900. Typy informacji przesyłanych w obrębie sieci obejmują komendy technologii Intel AMT oraz komunikaty zwrotne, ruch przekierowań i alerty systemowe. Dane przesyłane za pośrednictwem portów 16993 i 16995 są chronione za pomocą standardu TLS (Transport-Layer Security), jeśli stosowna opcja została włączona w systemie użytkownika.

Technologia Intel AMT może przesyłać dane za pomocą sieci IPV4 lub IPV6 oraz jest zgodna z rozszerzeniami prywatności RFC 3041.

Jakie możliwości technologia Intel AMT udostępnia autoryzowanemu administratorowi IT?

  • Zdalne włączanie, wyłączanie i ponowne uruchamianie systemu na potrzeby napraw i rozwiązywania problemów.
  • Zdalne rozwiązywanie problemów z systemem — nawet po wyłączeniu lub uszkodzeniu systemu operacyjnego hosta.
  • Zdalne sprawdzanie i modyfikowanie ustawień konfiguracji BIOS systemu. Jeśli ekran systemu BIOS jest chroniony hasłem, administrator IT musi najpierw pozyskać i wprowadzić takie hasło. (Technologia Intel AMT nie pozwala na obejście hasła systemu BIOS).
  • Konfigurowanie filtrów ruchu sieciowego w celu ochrony systemu.
  • Monitorowanie zarejestrowanych aplikacji pracujących w systemie (np. sprawdzanie, czy oprogramowanie antywirusowe pracuje).
  • Otrzymywanie alertów generowanych przez oprogramowanie układowe technologii Intel AMT, informujących o zdarzeniach w systemie użytkownika, które mogą wymagać wsparcia technicznego, takich jak: wzrost temperatury procesora, awaria wentylatora lub zadziałanie filtra zabezpieczeń systemu; dodatkowe przykłady są publicznie dostępne na stronie www.intel.com/software/manageability.
  • Zdalne rozwiązywanie problemów z systemem użytkownika poprzez przekierowywanie procesu rozruchu do dyskietki, płyty CD-ROM lub obrazu umieszczonego w systemie administratora.
  • Zdalne rozwiązywanie problemów z systemem poprzez przekierowywanie wejściowych informacji z klawiatury i wyjściowych informacji wideo w trybie tekstowym z systemu użytkownika do systemu administratora IT.
  • Zdalne rozwiązywanie problemów z systemem poprzez przekierowywanie wejściowych informacji z klawiatury, myszy i wideo pomiędzy systemami użytkownika i administratora IT (przekierowywanie KVM).
  • Konfigurowanie, w których środowiskach sieciowych funkcje zarządzania technologii Intel AMT będą dostępne (np. poprzez definiowanie zaufanych domen).
  • Korzystanie z zarejestrowanych aplikacji niezależnych dostawców oprogramowania w celu zapisywania/usuwania danych z repozytorium pamięci flash (tj. z obszaru 3PDS).
  • Identyfikowanie systemu użytkownika w sieci przedsiębiorstwa za pomocą identyfikatora UUID.
  • Wyłączanie technologii Intel AMT i usuwanie zawartości pamięci flash.
  • Zdalne nawiązywanie połączeń z systemami (nawet spoza sieci przedsiębiorstwa) za pomocą uprzednio skonfigurowanych profilów CIRA (Client-Initiated-Remote-Access).
 

Czy technologia Intel AMT pozwala autoryzowanym administratorom IT uzyskiwać dostęp do lokalnych dysków twardych użytkowników?

W czasie sesji zdalnego zarządzania administrator IT ma dostęp do lokalnych dysków twardych użytkownika. Oznacza to, że administrator IT może odczytywać/zapisywać pliki na dysku twardym użytkownika, np. w celu dokonania naprawy systemu poprzez odzyskiwanie i ponowne instalowanie wadliwych aplikacji lub systemu operacyjnego. Technologia Intel AMT obsługuje dwie funkcje pozwalające łagodzić potencjalne zagrożenia wynikające z dostępu administratorów IT do takich informacji: IMSS oraz Audit Logging. Funkcja Audit Logging dostarcza warstwę odpowiedzialności administratora, rejestrując zdarzenia jego dostępu do systemów użytkowników za pośrednictwem technologii Intel AMT. Należy jednak pamiętać, że o tym, jakie zdarzenia są rejestrowane, decyduje audytor, którym w przedsiębiorstwie nie jest zwykle użytkownik. Firma Intel zaleca swoim klientom umieszczenie zdalnego dostępu do systemów z technologią Intel AMT na liście rejestrowanych zdarzeń, jednak w niektórych środowiskach przedsiębiorstw informacje te mogą być niedostępne dla użytkowników. Poniżej znajdują się informacje na temat sposobu, w jaki aplikacja IMSS może dostarczać użytkownikom powiadomienia o przypadkach, w których administratorzy IT uzyskują dostęp do ich systemów.

Czy funkcja przekierowania KVM technologii Intel AMT pozwala uwierzytelnionemu administratorowi IT przejąć zdalną kontrolę nad komputerem użytkownika w sposób tożsamy z jego fizyczną obsługą?

Podczas sesji zdalnego przekierowania KVM administrator IT dysponuje pełną kontrolą nad komputerem użytkownika — tak jak podczas fizycznej obecności przy urządzeniu. Rozpoczęcie sesji przekierowania KVM wymaga jednak wyraźnej zgody użytkownika (zgoda KVM). Aby uzyskać zgodę użytkownika na rozpoczęcie sesji przekierowania, na jego ekranie wyświetlane jest bezpieczne okno („sprite”) umieszczane nad wszystkimi innymi otwartymi oknami. Za jego pomocą użytkownik jest proszony o odczytanie administratorowi IT wygenerowanego w sposób losowy numeru. Sesja KVM może się rozpocząć wyłącznie po wprowadzeniu przez administratora IT poprawnego numeru sesji. Po wywołaniu poprawnej sesji KVM cały ekran użytkownika jest otaczany czerwonym obramowaniem, informującym o trwającej sesji KVM. Obramowanie to będzie wyświetlane przez cały czas trwania sesji.

Zgodnie z ustawieniami producenta OEM funkcje SOL/IDER lub KVM dostępne w technologii Intel AMT mogą być włączone lub wyłączone w systemie BIOS. Wymóg udzielenia zgody KVM może zostać zmieniony przez administratora w ustawieniach systemu BIOS. Firma Intel zaleca korzystanie z obowiązku wyrażania zgody przez użytkownika w celu ochrony jego prywatności.

Jak użytkownik może dowiedzieć się, że administrator IT uzyskiwał dostęp do jego systemu za pomocą technologii Intel AMT?

Ikona aplikacji IMSS przekazuje użytkownikowi powiadomienia o różnych zdarzeniach, informując o trwającym lub wcześniejszym dostępie administratora IT do systemu poprzez otwarcie/zamknięcie zdalnej sekcji przekierowania (SOL/IDER), a także o aktywacji ochrony systemy i zdalnym rozruchu systemu użytkownika przez administratora IT. Należy jednak pamiętać, że zdarzenia dostępne w aplikacji IMSS w środowisku przedsiębiorstwa są definiowane przez administratora IT, a nie przez użytkownika. Firma Intel zaleca przedsiębiorstwom wdrażającym technologię Intel AMT włączanie powiadomień aplikacji IMSS opisywanych w tym akapicie, jednak informacje o zdalnych połączeniach z systemem obsługującym Intel AMT mogą nie być dostępne dla wszystkich użytkowników.

W jaki sposób użytkownik może wyczyścić wszystkie dane prywatne i dane konfiguracyjne technologii Intel AMT?

Technologia Intel AMT udostępnia opcje systemu BIOS pozwalające na całkowite lub częściowe wyłączenie AMT. Firma Intel zaleca użytkownikom końcowym pełne wyłączanie technologii AMT przed odsprzedażą/utylizacją systemu oraz sprawdzanie, czy technologia AMT została w pełni wyłączona, w przypadku zakupu używanego systemu zdolnego do jej obsługi.

Aktualizacje oświadczenia o ochronie prywatności

Firma Intel może od czasu do czasu aktualizować niniejsze informacje na temat poufności danych. W takich przypadkach zmieniona zostanie data ostatniej aktualizacji, umieszczona u góry oświadczenia.

Więcej informacji

W przypadku jakichkolwiek pytań lub w razie konieczności uzyskania dodatkowych informacji na temat niniejszego uzupełnienia informacji dotyczących prywatności prosimy o użycie tego formularza w celu skontaktowania się z nami.