Перейти к содержанию

 
 

Технология Intel® Active Management: положение о конфиденциальности Последнее обновление: 13 апреля 2010 г.

Корпорация Intel прилагает все усилия для обеспечения защиты ваших конфиденциальных данных. В данном положении описаны функции и возможности, которые могут иметь отношение к конфиденциальным данным и которые обеспечивает технология Intel® Active Management (Intel® AMT). Кроме того, в нем указано, на какие действия ИТ-администраторов технология Intel® AMT дает и не дает разрешение, а также перечислены типы данных, которые Intel AMT хранит в системе пользователя. Данное положение является дополнением к Уведомлению Intel о конфиденциальности персональных данных, размещаемых в Интернете и применимо только для технологии Intel AMT.

Что представляет собой технология Intel AMT?

Технология Intel AMT позволяет авторизованным ИТ-администраторам осуществлять внеполосную (OOB) удаленную поддержку и администрирование компьютеров сети предприятия.

Какие потенциальные проблемы с соблюдением конфиденциальности данных связаны с технологией Intel AMT?

Ранее возможности удаленного управления предоставлялись поставщиками программного обеспечения и в течение довольно долгого времени использовались ИТ-отделами многих компаний.

В противовес таким решениям технология Intel AMT позволяет ИТ-администраторам осуществлять удаленную поддержку и управлять компьютером, даже если пользователь не находится на своем рабочем месте или выключил свой компьютер.

Как узнать, включена ли технология Intel AMT на компьютере?

Специалисты Intel создали значок состояния с уведомлениями, по которому можно узнать текущий статус работы технологии Intel AMT в системе. В настоящее время в стандартный пакет программного обеспечения Intel AMT входит приложение значка Intel® Management and Security Status (IMSS), которое устанавливается вместе с драйверами и службами. Значок IMSS расположен на панели задач. Он показывает текущий статус технологии Intel AMT в системе (включена или выключена) и предоставляет инструкции по включению или выключению функций Intel AMT. Корпорация Intel настоятельно рекомендует OEM-поставщикам устанавливать приложение значка IMSS. В настоящее время все OEM-поставщики следуют этой рекомендации. Однако в будущем OEM-поставщики могут отказаться от этого, а ИТ-руководители конечных заказчиков могут удалить приложение из систем с поддержкой технологии Intel AMT. Статус технологии Intel AMT также можно узнать в параметрах BIOS. Важно отметить, что ИТ-специалисты некоторых компаний не предоставляют пользователям доступ к BIOS, поэтому пользователи не смогут включить или выключить технологию Intel AMT или проверить ее статус самостоятельно.

Какую личную информацию пользователей собирает технология Intel AMT?

Технология Intel AMT не собирает никакой личной информации пользователя, в том числе имя, адрес, номер телефона и т. д.

Какая информация отправляются технологией Intel AMT в корпорацию Intel и как она используются?

Технология Intel AMT не передает никаких данных в корпорацию Intel.

Какого рода данные хранит технология Intel AMT?

Технология Intel AMT хранит информацию во флэш-памяти системной платы. Сюда входят код встроенного ПО, данные об аппаратных компонентах (например, емкость памяти, тип процессора и тип жесткого диска), журнал событий с записями событий платформы (к примеру, о нагревании процессора, сбое вентилятора и сообщении об ошибке POST в BIOS), события безопасности в Intel AMT (например, предупреждение Intel AMT о взломе пароля или некорректная работа фильтра системы безопасности), а также конфигурационные данные Intel AMT (параметры сети, списки контроля доступа и универсальные уникальные идентификаторы UUID, включая данные о подготовке, MAC-адрес локальной сети, ключи, пароли KVM, сертификаты TLS и профили беспроводных сетей, созданные ИТ-специалистами). Все данные конфигурации, считающиеся конфиденциальными, хранятся в зашифрованном виде во флэш-памяти. Подробнее об универсальных уникальных идентификаторах UUID читайте в разделе ниже.

Кроме того, технология Intel AMT позволяет зарегистрированным приложениям независимых поставщиков ПО хранить данные в разделе флэш-памяти, называемом 3PDS (стороннее хранилище данных). Несмотря на то что корпорация Intel передает независимым поставщикам ПО рекомендации по ответственному управлению конфиденциальными данными, в конечном итоге Intel не устанавливает строгих ограничений на типы данных, которые можно хранить в данном разделе флэш-памяти, и не поддерживает методы шифрования данных сторонних поставщиков ПО. Таким образом, независимые поставщики ПО заинтересованы в том, чтобы зашифровывать конфиденциальные данные перед их сохранением во флэш-памяти. Если у вас есть какие-либо опасения в отношении потенциальных рисков хранения данных в этом разделе, обратитесь к независимым разработчикам ПО за разъяснениями о типах данных, которые хранятся в разделе 3PDS, и об уровне их защиты.

Как технология Intel AMT использует универсальные уникальные идентификаторы? Какие возможности обеспечивают и какие не обеспечивают универсальные уникальные идентификаторы на платформах с поддержкой Intel AMT?

Универсальные уникальные идентификаторы или UUID — это средства, используемые технологией Intel AMT в самых разнообразных целях, в том числе для процессов выделения ресурсов, обеспечения безопасности системы (например, пароли, ключи и сертификаты TLS), а также для того, чтобы ИТ-администраторы могли корректно подключиться и выполнять задачи управления на компьютерах пользователей в корпоративной сети.

Корпорация Intel никогда не создавала UUID для активации технологии Intel AMT, и UUID, в свою очередь, также не разрабатываются специально для технологии Intel AMT. UUID присутствуют практически на всех современных ПК и устанавливаются многими независимыми поставщиками ПО на всех платформах, даже если они не поддерживают технологию Intel AMT. Разумеется, в настоящее время UUID используются приложениями на многих ПК для изоляции уникальной информации о системе и обеспечения гарантированных функций, например обновлений операционной системы или системы обнаружения вирусов. Технология Intel AMT использует UUID платформы примерно аналогичным образом. Основным отличием является то, что для включения Intel AMT и получения внеполосного доступа к UUID эти идентификаторы копируются во флэш-память.

Важно отметить, что корпорация Intel не может использовать UUID в системах с поддержкой Intel AMT для отслеживания пользователей или их ПК. С их помощью также невозможно получить доступ к системе пользователя «обходным путем» и установить на платформе встроенное ПО без согласия пользователя. Доступ к идентификаторам, сохраненным во флэш-памяти технологией Intel AMT, есть только у ИТ-администраторов определенной платформы с поддержкой Intel AMT. Список авторизованных ИТ-администраторов задается ИТ-отделом конечного заказчика с использованием защищенной процедуры. Для обеспечения безопасности и настройки доверенных связей можно использовать корпоративные сертификаты или самостоятельно задать этот список в системе Intel AMT (в меню BIOS или с помощью USB-ключа). При этом консоли должны находиться на доверенных серверах ИТ-отдела компании-клиента. Иными словами, технология Intel AMT не пропускает ни сведений об универсальных уникальных идентификаторах, ни любой другой информации третьим сторонам и от третьих сторон, если только конечный заказчик не разрешит это явным образом. Информация о конфигурации списка авторизованных администраторов приведена в документации комплекта для разработки ПО технологии Intel AMT по адресу: softwarecommunity.intel.com/communities/manageability. Здесь вы найдете API для получения ACL (списков контроля доступа) и авторизованных учетных записей Kerberos.

Какой тип данных передает по сети технология Intel® Active Management (Intel® AMT)?

Технология Intel AMT отправляет и принимает данные по следующим предварительно определенным сетевым портам IANA: порт 16992 для SOAP/HTTP, порт 16993 для SOAP/HTTPS, порт 16994 для перенаправления/TCP и порт 16995 для перенаправления/TLS. В системах с поддержкой DASH данные отправляются и принимаются по портам 623 для HTTP и 664 для HTTPS. Сеансы KVM (клавиатура, экран и мышь) можно включать либо по вышеперечисленным портам для перенаправления (16994 или 16995), либо по стандартному порту RFB 5900 при наличии сервера VNC Server. По сети передаются такие данные, как команды и ответы технологии Intel AMT, а также трафик перенаправления и системные предупреждения. Данные, передаваемые по портам 16993 и 16995, защищены с помощью метода аутентификации TLS (Transport-Layer Security), если он доступен в системе пользователя.

Intel AMT может отправлять данные как по сети IPV4, так и по IPV6. Технология соответствует спецификациям конфиденциальности RFC 3041.

Какие действия может совершать ИТ-администратор после аутентификации в Intel AMT?

  • В удаленном режиме включать, отключать и перезапускать систему пользователя для устранения неполадок и обслуживания.
  • Выполнять удаленный поиск и устранение неполадок в системе, даже если операционная система узла выключена или неисправна.
  • Удаленно просматривать и изменять конфигурацию параметров BIOS системы пользователя. Если экран BIOS защищен паролем, сначала ИТ-администратору необходимо извлечь и ввести этот пароль. В Intel AMT нет возможности сброса пароля BIOS.
  • Настраивать фильтры сетевого трафика для защиты системы.
  • Отслеживать выполняемые в системе приложения (например, статус антивирусного ПО).
  • Получать предупреждения, создаваемые встроенным ПО Intel AMT о событиях в системе пользователя, при которых может потребоваться вмешательство специалиста: перегрев процессора, сбой вентилятора или некорректная работа фильтра системы безопасности Полный список действий приведен на веб-странице www.intel.com/software/manageability.
  • Выполнять удаленный поиск и устранение неполадок в системе пользователя путем перенаправления процесса загрузки на дискету, диск CD-ROM или образ в системе ИТ-администратора.
  • Выполнять удаленный поиск и устранение неполадок в системе путем перенаправления ввода с клавиатуры и видеовыхода в текстовом режиме из системы пользователя в систему ИТ-администратора.
  • Выполнять удаленный поиск и устранение неполадок в системе путем перенаправления ввода с клавиатуры, мыши и вывода на экран между системами пользователя и ИТ-администратора (перенаправление KVM).
  • Настраивать сетевые среды, в которых будут доступны функции управления Intel AMT (например, путем определения доверенных доменов).
  • Использовать зарегистрированные приложения независимых поставщиков ПО для записи/удаления данных во флэш-памяти (в том числе, в разделе 3PDS).
  • Добавлять систему пользователя в корпоративную сеть с помощью универсального уникального идентификатора.
  • Удалять настройки подготовки AMT и содержимое флэш-памяти.
  • Выполнять удаленное подключение к системам даже за пределами корпоративной сети с помощью предварительно настроенных профилей CIRA (Client-Initiated-Remote-Access).
 

Может ли ИТ-администратор получить доступ к жесткому диску пользователя после аутентификации в Intel AMT?

Во время сеанса удаленного управления у ИТ-администратора есть доступ к локальным жестким дискам пользователя. Таким образом, ИТ-администратор может выполнять чтение и запись файлов на жестком диске, например, для устранения неполадок в системе путем восстановления или переустановки неработающего приложения или операционной системы. Технология Intel AMT поддерживает две функции для сокращения потенциальных рисков нарушения конфиденциальности, предоставляя ИТ-администраторам доступ к данным IMSS и журналам аудита. Возможности, связанные с записью данных для аудита, позволяют вести учет сеансов доступа ИТ-администратора к системам пользователей с помощью Intel AMT. Стоит отметить, что типы событий, вносимых в журнал, определяет аудитор, который обычно не является пользователем корпоративной сети. Корпорация Intel рекомендует своим клиентам регистрировать в журналах сеансы удаленного доступа с помощью Intel AMT. Тем не менее, в некоторых корпоративных средах эти сведения могут быть недоступны пользователям. Информация об уведомлениях IMSS о получении доступа к системе пользователей ИТ-администраторами приведена ниже.

Позволяет ли функция перенаправления KVM технологии Intel AMT ИТ-администратору осуществлять удаленное управление ПК пользователя так, будто он физически находится за клавиатурой пользователя?

Во время сеанса удаленного управления с помощью перенаправления KVM ИТ-администратор получает полный контроль над ПК пользователя, будто он сам находится за клавиатурой сотрудника. Для таких ситуаций в Intel AMT предусмотрено требование явного согласия пользователя на запуск сеанса KVM (согласие на KVM). На экране пользователя поверх других окон отображается окно защищенного вывода (так называемый «спрайт») с просьбой сообщить ИТ-администратору случайно сгенерированное число. ИТ-администратор сможет начать сеанс KVM, только если введет правильное число. После начала авторизованного сеанса KVM вокруг экрана пользователя появится красная рамка, свидетельствующая о том, что ИТ-администратор получил доступ к системе и выполняет восстановление с использованием KVM. Красная рамка будет отображаться на протяжении всего сеанса.

В соответствии с настройками, заданными OEM-производителем, функции SOL/IDER и KVM технологии Intel AMT включаются и выключаются в параметрах BIOS. ИТ-администратор также может задать или отменить необходимость явного согласия пользователя на сеанс KVM в параметрах BIOS. Корпорация Intel рекомендует запрашивать согласие пользователя на удаленный доступ к его системе для соблюдения его конфиденциальности.

Как пользователь может узнать, что ИТ-администратор подключился к его системе с помощью технологии Intel AMT?

Значок IMSS отображает уведомления о нескольких типах событий, включая ситуации, когда ИТ-администратор подключен или подключался к системе пользователя, запустив сеанс удаленного перенаправления (SOL/IDER), при активации системы безопасности системы и при удаленном запуске системы пользователя ИТ-администратором. Впрочем, типы событий, о которых можно узнать с помощью IMSS, определяются в корпоративной среде ИТ-администратором, а не пользователями. Корпорация Intel рекомендует компаниям, которые используют технологию Intel AMT, включать описанные выше уведомления IMSS. Тем не менее, сведения об удаленном доступе к системе с помощью Intel AMT необязательно раскрывать всем пользователям.

Как пользователь может удалить все данные конфигурации и конфиденциальные данные Intel AMT?

Intel AMT обеспечивает доступ к параметрам BIOS, с помощью которых можно частично или полностью удалить настройки подготовки системы AMT. Корпорация Intel рекомендует конечным пользователям полностью удалять настройки подготовки системы перед перепродажей или утилизацией компьютера и проверять полное удаление настроек подготовки AMT при покупке бывший в употреблении компьютер с поддержкой AMT.

Обновления положения о конфиденциальности

Корпорация Intel может периодически изменять настоящее положение о конфиденциальности. При внесении изменений изменяется дата последнего обновления в верхней части положения.

Дополнительная информация

Если у вас возникнут вопросы по настоящему дополнению к положению о конфиденциальности, используйте эту форму для связи с нами.