Перейти к содержанию

 
 

Технология Intel® Active Management: положение о конфиденциальности. Последнее обновление: 5/23/2018

Корпорация Intel прилагает все усилия для обеспечения защиты ваших конфиденциальных данных. В данном положении описаны функции и возможности, которые могут иметь отношение к конфиденциальным данным и которые обеспечивает технология Intel® Active Management (Intel® AMT). Кроме того, в нем указано, какие действия ИТ-администраторов разрешает или запрещает технология Intel® AMT, а также перечислены типы данных, которые Intel® AMT хранит в системе пользователя. Данное положение является дополнением к Уведомлению Intel о конфиденциальности персональных данных, размещаемых в Интернете, и применимо только для технологии Intel® AMT.

Что представляет собой технология Intel AMT?

Технология Intel AMT позволяет авторизованным ИТ-администраторам осуществлять внеполосную (OOB) удаленную поддержку и администрирование компьютеров сети предприятия.

Какие потенциальные проблемы с соблюдением конфиденциальности данных связаны с технологией Intel AMT?

Ранее возможности удаленного управления предоставлялись поставщиками программного обеспечения и в течение довольно долгого времени использовались ИТ-отделами многих компаний.

В противовес таким решениям технология Intel AMT позволяет ИТ-администраторам осуществлять удаленную поддержку и управлять компьютером, даже если пользователь не находится на своем рабочем месте или выключил свой компьютер.

Как узнать, включена ли технология Intel AMT на компьютере?

Специалисты Intel создали значок с уведомлениями, отображаемый на панели задач. Этот значок позволяет узнать текущий статус работы технологии Intel® AMT в системе. В настоящее время в стандартный пакет программного обеспечения Intel® AMT входит приложение и значок панели задач Intel® Management and Security Status (IMSS), которые устанавливаются вместе с драйверами и службами. Значок IMSS, расположенный на панели задач, показывает текущий статус технологии Intel® AMT в системе (включена или отключена) и предоставляет инструкции по включению или отключению функций Intel® AMT. Intel рекомендует каждому производителю оригинального оборудования (OEM) загрузить приложение IMSS. Однако OEM-производители могут не следовать этой рекомендации, а ИТ-руководители конечных заказчиков могут удалить приложение IMSS из систем с поддержкой технологии Intel® AMT, прежде чем передавать их конечным пользователям. В зависимости от варианта внедрения OEM-системы пользователям также может быть доступна возможность проверки статуса Intel® AMT в BIOS системы. Важно отметить, что ИТ-специалисты некоторых компаний не предоставляют пользователям доступ к BIOS, поэтому пользователи не смогут включить или отключить технологию Intel ®AMT или проверить ее статус самостоятельно.

Какую личную информацию пользователей собирает технология Intel AMT?

Технология Intel AMT не собирает никакой личной информации пользователя, в том числе имя, адрес, номер телефона и т. д.

Какая информация отправляются технологией Intel AMT в корпорацию Intel и как она используются?

Технология Intel AMT не передает никаких данных в корпорацию Intel.

Какого рода данные хранит технология Intel AMT?

Технология Intel AMT хранит информацию во флэш-памяти системной платы. Сюда входят код встроенного ПО, данные об аппаратных компонентах (например, емкость памяти, тип процессора и тип жесткого диска), журнал событий с записями событий платформы (например, о нагревании процессора, сбое вентилятора и сообщении об ошибке POST в BIOS), события безопасности в Intel® AMT (например, предупреждение Intel® AMT о взломе пароля или некорректная работа фильтра системы безопасности), а также конфигурационные данные Intel® AMT (параметры сети, списки контроля доступа и универсальные уникальные идентификаторы UUID, включая данные о подготовке, MAC-адрес локальной сети, ключи, пароли KVM (клавиатура, видео, мышь), сертификаты TLS (протокол защиты транспортного уровня) и профили беспроводных сетей, созданные ИТ-специалистами). Все данные конфигурации, считающиеся конфиденциальными, хранятся в зашифрованном виде во флэш-памяти. Подробнее об универсальных уникальных идентификаторах UUID читайте в разделе ниже.

Технология Intel® AMT 11.0 и более ранних версий позволяет зарегистрированным приложениям независимых поставщиков ПО хранить данные в разделе флэш-памяти под названием 3PDS (стороннее хранилище данных). Начиная с версии 11.6 эта функция заменена хостингом веб-приложений, который позволяет технологии Intel® AMT размещать веб-приложения в энергонезависимой памяти (NVM), локально управляемой технологией Intel® AMT на клиентской платформе.

Несмотря на то что корпорация Intel передает независимым поставщикам ПО рекомендации по ответственному управлению конфиденциальными данными, в конечном итоге Intel не устанавливает строгих ограничений на типы данных, которые можно хранить в данном разделе флэш-памяти, и не поддерживает методы шифрования данных сторонних поставщиков ПО. Таким образом, независимые поставщики ПО заинтересованы в том, чтобы зашифровывать конфиденциальные данные перед их сохранением во флэш-памяти. Если у вас есть какие-либо опасения в отношении потенциальных рисков хранения данных в этом разделе, обратитесь к независимым разработчикам ПО за разъяснениями о типах данных и веб-приложений, которые хранятся в памяти NVM, и об уровне их защиты.

Как технология Intel AMT использует универсальные уникальные идентификаторы? Какие возможности обеспечивают и какие не обеспечивают универсальные уникальные идентификаторы на платформах с поддержкой Intel AMT?

Универсальные уникальные идентификаторы или UUID — это средства, используемые технологией Intel AMT в самых разнообразных целях, в том числе для процессов выделения ресурсов, обеспечения безопасности системы (например, пароли, ключи и сертификаты TLS), а также для того, чтобы ИТ-администраторы могли корректно подключиться и выполнять задачи управления на компьютерах пользователей в корпоративной сети.

Корпорация Intel никогда не создавала UUID для активации технологии Intel AMT, и UUID, в свою очередь, также не разрабатываются специально для технологии Intel AMT. UUID присутствуют практически на всех современных ПК и устанавливаются многими независимыми поставщиками ПО на всех платформах, даже если они не поддерживают технологию Intel AMT. Разумеется, в настоящее время UUID используются приложениями на многих ПК для изоляции уникальной информации о системе с целью обеспечения ожидаемых функций, например обновлений ОС или системы обнаружения вирусов. Технология Intel AMT использует UUID платформы примерно аналогичным образом. Основным отличием является то, что для включения Intel AMT и получения внеполосного доступа к UUID эти идентификаторы копируются во флэш-память.

Важно отметить, что корпорация Intel не может использовать UUID в системах с поддержкой Intel AMT для отслеживания пользователей или их ПК. С их помощью также невозможно получить доступ к системе пользователя «обходным путем» и установить на платформе встроенное ПО без согласия пользователя. Доступ к идентификаторам, сохраненным во флэш-памяти технологией Intel AMT, есть только у ИТ-администраторов определенной платформы с поддержкой Intel AMT. Список авторизованных ИТ-администраторов задается ИТ-отделом конечного заказчика с использованием защищенной процедуры. Для обеспечения безопасности и настройки доверенных связей можно использовать корпоративные сертификаты или самостоятельно задать этот список в системе Intel AMT (в меню BIOS или с помощью USB-ключа). При этом консоли должны находиться на доверенных серверах ИТ-отдела компании-клиента. Иными словами, технология Intel AMT не пропускает ни сведений об универсальных уникальных идентификаторах, ни любой другой информации третьим сторонам и от третьих сторон, если только конечный заказчик не разрешит это явным образом. Информация о конфигурации списка авторизованных администраторов приведена в документации комплекта для разработки ПО технологии Intel® AMT по адресу: https://software.intel.com/ru-ru/business-client/manageability. Здесь представлены API для получения ACL (списков контроля доступа) и авторизованных учетных записей Kerberos.

Какой тип данных передает по сети технология Intel® Active Management (Intel® AMT)?

Технология Intel AMT отправляет и принимает данные по следующим предварительно определенным сетевым портам IANA: порт 16992 для SOAP/HTTP, порт 16993 для SOAP/HTTPS, порт 16994 для перенаправления/TCP и порт 16995 для перенаправления/TLS. В системах с поддержкой DASH данные отправляются и принимаются по портам 623 для HTTP и 664 для HTTPS. Сеансы KVM (клавиатура, экран и мышь) можно включать либо по вышеперечисленным портам для перенаправления (16994 или 16995), либо по стандартному порту RFB 5900 при наличии сервера VNC Server. По сети передаются такие данные, как команды и ответы технологии Intel AMT, а также трафик перенаправления и системные предупреждения. Данные, передаваемые по портам 16993 и 16995, защищены с помощью метода аутентификации TLS (Transport-Layer Security), если он доступен в системе пользователя.

Intel AMT может отправлять данные как по сети IPV4, так и по IPV6. Технология соответствует спецификациям конфиденциальности RFC 3041.

Какие персональные данные передает по сети технология Intel® Active Management (Intel® AMT)?

Когда технология Intel® AMT включена, открытые порты предоставляют информацию, которая может быть использована для идентификации компьютера на других системах в сети. Эта информация включает сертификат HTTPS, дайджест-аутентификацию HTTP, версию Intel® AMT и другую информацию, которая может быть использована для определения компьютера. Эта информация предоставляется в процессе нормальной работы протоколов, поддерживаемых технологией Intel® AMT. Брандмауэр ОС не блокирует доступ к портам Intel® AMT, однако администраторы могут использовать Environment Detection и Fast Call for Help (функции CIRA) для закрытия локальных портов Intel® AMT и ограничения доступа к этой информации.

Какие действия может совершать ИТ-администратор после аутентификации в Intel AMT?

  • В удаленном режиме включать, отключать и перезапускать систему пользователя для устранения неполадок и обслуживания.
  • Выполнять удаленный поиск и устранение неполадок в системе, даже если ОС узла выключена или неисправна.
  • Удаленно просматривать и изменять конфигурацию параметров BIOS системы пользователя. В технологии Intel® AMT реализована функция, которая позволяет ИТ-администраторам обходить пароль BIOS, однако не все OEM-производители внедряют такую функцию.
  • Настраивать фильтры сетевого трафика для защиты системы.
  • Отслеживать выполняемые в системе приложения (например, статус антивирусного ПО).
  • Получать предупреждения, создаваемые встроенным ПО Intel® AMT, о событиях в системе пользователя, при которых может потребоваться вмешательство специалиста: перегрев процессора, сбой вентилятора или некорректная работа фильтра системы безопасности. Полный список действий приведен на веб-странице www.intel.com/software/manageability.
  • Выполнять удаленный поиск и устранение неполадок в системе пользователя путем перенаправления процесса загрузки на дискету, диск CD-ROM или образ в системе ИТ-администратора.
  • Выполнять удаленный поиск и устранение неполадок в системе путем перенаправления ввода с клавиатуры и видеовыхода в текстовом режиме из системы пользователя в систему ИТ-администратора.
  • Выполнять удаленный поиск и устранение неполадок в системе путем перенаправления ввода с клавиатуры, мыши и вывода на экран между системами пользователя и ИТ-администратора (перенаправление KVM).
  • Настраивать сетевые среды, в которых будут доступны функции управления Intel AMT (например, путем определения доверенных доменов).
  • Использовать зарегистрированные приложения независимых поставщиков ПО для записи/удаления данных во флэш-памяти (в том числе, в разделе 3PDS).
  • Размещать веб-приложения в энергонезависимой памяти (NVM), которой локально управляет технология Intel® AMT на клиентской платформе (Intel® AMT 11.6 и более поздней версии).
  • Добавлять систему пользователя в корпоративную сеть с помощью универсального уникального идентификатора.
  • Удалять настройки подготовки Intel® AMT и содержимое флэш-памяти.
  • Выполнять удаленное подключение к системам даже за пределами корпоративной сети с помощью предварительно настроенных профилей CIRA (Client-Initiated-Remote-Access).

 

Может ли ИТ-администратор получить доступ к жесткому диску пользователя после аутентификации в Intel AMT?

Во время сеанса удаленного управления у ИТ-администратора есть доступ к локальным жестким дискам пользователя. Таким образом, ИТ-администратор может выполнять чтение и запись файлов на жестком диске, например, для устранения неполадок в системе путем восстановления или переустановки неработающего приложения или операционной системы. Технология Intel AMT поддерживает две функции для сокращения потенциальных рисков нарушения конфиденциальности, предоставляя ИТ-администраторам доступ к данным IMSS и журналам аудита. Возможности, связанные с записью данных для аудита, позволяют вести учет сеансов доступа ИТ-администратора к системам пользователей с помощью Intel AMT. Стоит отметить, что типы событий, вносимых в журнал, определяет аудитор, который обычно не является пользователем корпоративной сети. Корпорация Intel рекомендует своим клиентам регистрировать в журналах сеансы удаленного доступа с помощью Intel AMT. Тем не менее, в некоторых корпоративных средах эти сведения могут быть недоступны пользователям. Информация об уведомлениях IMSS о получении доступа к системе пользователей ИТ-администраторами приведена ниже.

Позволяет ли функция перенаправления KVM технологии Intel AMT ИТ-администратору осуществлять удаленное управление ПК пользователя так, будто он физически находится за клавиатурой пользователя?

Во время сеанса удаленного управления с помощью перенаправления KVM ИТ-администратор получает полный контроль над ПК пользователя, будто он сам находится за клавиатурой сотрудника. Для таких ситуаций в Intel® AMT предусмотрено требование явного согласия пользователя на запуск сеанса KVM (согласие на сеанс KVM), без получения которого сеанс не может быть запущен. На экране пользователя поверх других окон отображается окно защищенного вывода (так называемый «спрайт») с просьбой сообщить ИТ-администратору случайно сгенерированное число. ИТ-администратор сможет начать сеанс KVM, только если введет правильное число. После начала авторизованного сеанса KVM вокруг экрана пользователя появится мигающая желто-красная рамка, свидетельствующая о том, что ИТ-администратор получил доступ к системе и выполняет восстановление с использованием KVM. Эта мигающая желто-красная рамка будет отображаться на протяжении всего сеанса. Обратите внимание, что согласие на сеанс KVM является обязательным, если система Intel® AMT находится в режиме «Client Control Mode», и необязательным в режиме «Admin Control Mode».

В соответствии с настройками, заданными OEM-производителем, функции SOL/IDER и KVM технологии Intel AMT включаются и выключаются в параметрах BIOS или Intel® Management Engine BIOS Extension (Intel® MEBX). ИТ-администратор также может задать или отменить необходимость явного согласия пользователя на сеанс KVM в параметрах BIOS или в настройках Intel® AMT. Корпорация Intel рекомендует запрашивать согласие пользователя на удаленный доступ к его системе для соблюдения его конфиденциальности.

Как пользователь может узнать, что ИТ-администратор подключился к его системе с помощью технологии Intel AMT?

Значок IMSS на панели задач отображает уведомления о нескольких типах событий, включая ситуации, когда ИТ-администратор подключен или подключался к системе пользователя, запустив сеанс удаленного перенаправления (SOL/IDER), при активации системы безопасности и при удаленном запуске системы пользователя ИТ-администратором. Кроме того, во время активного сеанса удаленного перенаправления в верхнем правом углу экрана отобразится мигающий значок. Впрочем, типы событий, о которых можно узнать с помощью IMSS, определяются в корпоративной среде ИТ-администратором, а не пользователями. Корпорация Intel рекомендует компаниям, которые используют технологию Intel AMT, включать описанные выше уведомления IMSS. Тем не менее, сведения об удаленном доступе к системе с помощью Intel AMT необязательно раскрывать всем пользователям.

Как пользователь может удалить все данные конфигурации и конфиденциальные данные Intel AMT?

Intel® AMT обеспечивает доступ к параметрам BIOS, с помощью которых можно частично или полностью удалить настройки подготовки системы Intel® AMT. Корпорация Intel рекомендует конечным пользователям полностью удалять настройки подготовки системы перед перепродажей или утилизацией компьютера и проверять полное удаление настроек подготовки Intel® AMT при покупке бывшего в употреблении компьютера с поддержкой Intel® AMT.

Обновления положения о конфиденциальности

Корпорация Intel может периодически изменять настоящее положение о конфиденциальности. При внесении изменений изменяется дата последнего обновления в верхней части положения.

Дополнительная информация

Если у вас возникнут вопросы по настоящему дополнению к положению о конфиденциальности, используйте эту форму для связи с нами.