Ir para o conteúdo

Intel® Active Management Technology: última atualização da Declaração de privacidade: 2023

A Intel Corporation tem o compromisso de proteger sua privacidade. Esta declaração descreve quais funções e recursos confidenciais são possíveis com a Intel® Active Management Technology (Intel® AMT), o que a Intel AMT permite e não permite que os administradores de TI façam, além de indicar os tipos de dados que a Intel AMT armazena no sistema do usuário. Esta declaração é complementar ao Aviso sobre privacidade on-line da Intel e aplica-se apenas à Intel AMT.

O que é a Intel AMT?

A Intel AMT possibilita o suporte remoto fora da faixa (OOB) e o gerenciamento de sistemas de computadores em rede, na empresa, por administradores de TI autorizados.

Quais são as possíveis questões de privacidade levantadas pela Intel AMT?

Os recursos de gerenciamento remoto já foram disponibilizados por fornecedores de software e têm sido usados por departamentos de TI em muitas organizações por um tempo considerável.

No entanto, a Intel AMT permite que os administradores de TI ofereçam suporte e gerenciem remotamente o computador de um usuário, mesmo que o usuário não esteja presente ou tenha desligado o computador.

Como o usuário pode dizer se a Intel AMT está ativada no sistema?

A Intel desenvolveu um ícone de bandeja do sistema para esclarecer e notificar o usuário final sobre o status atual da Intel AMT. Atualmente, o software padrão da Intel AMT inclui um aplicativo e um ícone de bandeja do sistema do Intel® Management and Security Status (IMSS) instalado com drivers e serviços. O ícone de bandeja do sistema do IMSS exibe o status atual da Intel AMT no sistema (ativada ou desativada) e também fornece instruções sobre como ativar/desativar os recursos da Intel AMT. A Intel recomenda que cada fabricante de equipamentos originais (OEM) carregue o aplicativo IMSS. No entanto, os OEMs poderão optar por não seguir esta recomendação da Intel e, além disso, os gerentes de TI dos clientes finais poderão optar por remover o aplicativo IMSS antes de fornecerem sistemas compatíveis com Intel AMT aos usuários finais. Dependendo da implementação do OEM, os usuários podem também verificar o status da Intel AMT no BIOS do sistema do computador. No entanto, é importante observar que os departamentos de TI de algumas empresas podem não conceder aos usuários o acesso exigido ao BIOS do sistema que é necessário para ativar/desativar a Intel AMT ou verificar o status da Intel AMT.

Quais informações pessoais a Intel AMT coleta do usuário?

A Intel AMT não coleta informações pessoais (por exemplo, nome, endereço, número de telefone etc.) do usuário.

Quais tipos de informações são enviados pela Intel AMT à Intel Corporation e como essas informações são usadas?

A Intel AMT não envia dados para a Intel Corporation.

Que tipo de informações a Intel AMT armazena?

A Intel AMT armazena informações na memória flash na motherboard do sistema. Estas informações incluem o código do firmware, dados de inventário de hardware (por exemplo, tamanho da memória, tipo de CPU, tipo de disco rígido), um log de eventos que registra eventos da plataforma (por exemplo, aquecimento da CPU, falha da ventoinha, mensagem POST do BIOS), eventos de segurança da Intel AMT (por exemplo, um aviso evento de ataque à senha da Intel AMT ou disparo de filtro de Defesa do Sistema), bem como dados de configuração da Intel AMT (por exemplo, configurações de rede, listas de controle de acesso e identificadores exclusivos universais (UUIDs), incluindo dados de provisionamento, endereço MAC da LAN, chaves, senhas de KVM (teclado-vídeo-mouse), certificados TLS (Transport Layer Security) e perfis de rede sem fio configurados pelo TI). Todos os dados de configuração considerados sigilosos são armazenados em um formato criptografado na memória flash. Mais informações sobre UUIDs podem ser encontradas na seção abaixo.

As versões da Intel AMT 11.0 e anteriores permitem que aplicativos de fornecedores independentes de software (ISVs) registrados armazenem dados em uma área do repositório de memória flash que é conhecida como armazenamento de dados de terceiros (3PDS). A partir da versão da Intel AMT 11.6, esse recurso foi substituído pelo Web Application Hosting, que permite à Intel AMT hospedar aplicativos web na NVM (memória não volátil) que a Intel AMT gerencia localmente na plataforma do cliente.

Embora a Intel divulgue as práticas recomendadas de privacidade que confia para o gerenciamento responsável de dados para seus ISVs, em última análise, a Intel não determina quais dados podem ser armazenados nesta área de memória flash e não apoia métodos de criptografia para dados ISV. Portanto, orienta-se que os ISVs criptografem seus dados antes de armazená-los na memória flash se considerarem que seus dados são sigilosos. Se você tiver dúvidas sobre possíveis riscos de privacidade devido aos dados armazenados aqui, entre em contato com o desenvolvedor de software de terceiros apropriado para ter mais detalhes sobre os tipos de informações e os aplicativos web que estão armazenando na NVM e como eles são protegidos.

Como a Intel AMT usa UUIDs? Quais funcionalidades os UUIDs permitem e não permitem em plataformas compatíveis com Intel AMT?

Os identificadores exclusivos universais (UUIDs) são artefatos usados pela Intel AMT para vários propósitos, inclusive o processo de provisionamento, a segurança do sistema (por exemplo, senhas, chaves e certificados TLS) e para garantir que os administradores de TI possam se conectar e gerenciar com precisão um determinado sistema de usuário dentro de uma empresa.

As plataformas Intel VPRO são fornecidas com um UUID persistente chamado Intel® Unique Platform ID (UPID) para permitir casos de uso que requerem um UUID persistente, como provisionamento “zero-touch”. A funcionalidade UPID depende da implementação do OEM. Os UUIDs estão presentes em praticamente todos os PCs modernos e são comumente instalados por OEMs em todas as plataformas, sem relação com a Intel AMT. De fato, os UUIDs são atualmente utilizados por aplicativos encontrados em muitos PCs para isolar informações exclusivas do sistema, a fim de fornecer a funcionalidade esperada, como a viabilização do sistema operacional ou atualizações do sistema de controle de vírus. A Intel AMT usa UUIDs de plataforma de uma forma muito semelhante, a principal diferença é que, para permitir que a Intel AMT acesse o OOB do UOID, o UUID é copiado para o repositório de memória flash.

É importante observar que os UUIDs em sistemas habilitados para Intel AMT, incluindo UPID, não podem ser usados pela Intel para rastrear usuários ou seus PCs, nem permitem que a Intel acesse sistemas de usuários por meio de uma porta traseira na plataforma, nem permitem que a Intel force o firmware até a plataforma sem o consentimento do usuário. Qualquer UUID armazenado na memória flash pela Intel AMT só é acessível aos administradores de TI autorizados para uma determinada plataforma habilitada para Intel AMT. A lista de administradores de TI autorizados é configurada pelo TI do cliente final durante um processo protegido usando certificados corporativos ou pela presença física no sistema da Intel AMT (via menu do BIOS ou unidade USB) para estabelecer confiança e, portanto, ocorre inteiramente com consoles que residem em servidores confiáveis designados como tal pelo TI do cliente final. Em outras palavras, nem UUIDs nem qualquer outra informação pode ser comunicada para ou de qualquer parte externa ao cliente final via Intel AMT, a menos que o cliente final configure expressamente isso. Para identificar administradores autorizados para um sistema específico, consulte a documentação do Kit de desenvolvedor de software (SDK) da Intel AMT disponível em https://software.intel.com/en-us/business-client/manageability que fornece uma API para recuperar os ACLs ou as contas autorizadas da Kerberos.

Qual tipo de informações a Intel® Active Management Technology (Intel® AMT) envia através da rede?

A Intel AMT envia e recebe dados através de portas de rede IANA predefinidas: porta 16992 para SOAP/HTTP, porta 16993 para SOAP/HTTPS, porta 16994 para Redirecionamento/TCP e porta 16995 para Redirecionamento/TLS. Os sistemas compatíveis com DASH enviarão e receberão dados através das portas 623 para HTTP e 664 para HTTPS. A sessão de teclado-vídeo-mouse (KVM) pode ser executada através das portas de redirecionamento acima (16994 ou 16995) ou sobre a porta RFB (Servidor VNC) usual - 5900. O tipo de informação enviada através da rede inclui mensagens de comando e resposta da Intel AMT, tráfego de redirecionamento e alertas do sistema. Os dados transmitidos através das portas 16993 e 16995 são protegidos com segurança da camada de transporte (TLS), caso esta opção esteja ativada no sistema do usuário.

A Intel AMT pode enviar dados através de uma rede IPV4 ou IPV6 e é compatível com as extensões de privacidade RFC 3041.

Quais informações identificáveis a Intel® Active Management Technology (Intel® AMT) expõe na rede?

Embora a Intel® AMT esteja ativada, as portas abertas apresentarão informações que podem ser usadas para identificar o computador para outros na rede. Isso inclui certificado HTTPS, realm de resumo HTTP, versão de Intel AMT e outras informações que podem ser usadas para fazer a impressão digital do computador. Essas informações são fornecidas como parte das operações normais dos protocolos suportados pela Intel® AMT. Um firewall de sistema operacional não bloqueará o acesso às portas da Intel® AMT, no entanto, os administradores podem usar CIRA (Environment Detection and Fast Call for Help) para fechar as portas locais da Intel® AMT e limitar o acesso a essas informações.

O que a Intel AMT permite que um administrador de TI autenticado faça?

  • Ligar, desligar e reiniciar remotamente o sistema para solução de problemas e reparo.
  • Solucionar problemas do sistema remotamente, mesmo quando o sistema operacional host estiver desligado ou danificado.
  • Analisar e alterar remotamente as definições de configuração do BIOS no sistema. A Intel AMT tem uma opção para permitir que um administrador de TI ignore a senha de BIOS, mas nem todos os OEMs implementam esse recurso.
  • Configurar filtros de tráfego de rede para proteger o sistema.
  • Monitorar aplicações registradas em execução no sistema (por exemplo, se o software antivírus estiver em execução).
  • Receber alertas gerados pelos eventos de relatórios de firmware da Intel AMT no sistema do usuário que possam exigir suporte técnico, como: aquecimento da CPU, falha da ventoinha ou disparo do filtro de defesa do sistema. Outros exemplos estão disponíveis ao público em www.intel.com/software/manageability.
  • Solucionar problemas remotamente no sistema do usuário redirecionando o processo de inicialização para um disquete, CD-ROM ou uma imagem localizada no sistema do administrador de TI.
  • Solucionar problemas remotamente no sistema redirecionando a entrada de teclado e a saída de vídeo em modo de texto nos sistemas do usuário para o sistema do administrador de TI.
  • Solucionar problemas remotamente no sistema redirecionando o teclado, o vídeo e o mouse para e do sistema do usuário e do sistema do administrador de TI (redirecionamento de KVM).
  • Configurar em quais ambientes de rede a funcionalidade de gerenciamento da Intel AMT será acessível (por exemplo, definindo domínios confiáveis).
  • Usar um aplicativo ISV registrado para gravar/excluir dados no repositório de memória flash (ou seja, a área 3PDS)
  • Hospedar aplicativos web na NVM (memória não volátil) que a Intel AMT gerencia localmente na plataforma do cliente (Intel AMT 11.6 e mais recentes).
  • Identificar o sistema do usuário na rede corporativa por meio de um UUID.
  • Remover a Intel AMT e excluir o conteúdo da memória flash.
  • Conectar-se remotamente a sistemas mesmo fora da rede corporativa usando perfis pré-configurados de acesso remoto iniciado pelo cliente (CIRA).

A Intel AMT permite que um administrador de TI autenticado acesse as unidades de disco rígido locais de um usuário?

Durante uma sessão de gerenciamento remoto, o administrador de TI tem acesso aos discos rígidos locais do usuário. Isto significa que o administrador de TI pode ler/gravar arquivos do disco rígido do usuário, por exemplo, para reparar o sistema do usuário recuperando ou reinstalando um aplicativo ou sistema operacional com defeito. A Intel AMT conta com dois recursos que ajudam a mitigar os potenciais riscos de privacidade mencionados, fornecendo aos administradores de TI acesso a esse tipo de informação: IMSS e Registro de log de auditoria. Os recursos do Registro de log de auditoria fornecem uma camada de responsabilidade do administrador registrando as instâncias de acesso do administrador de TI aos sistemas do usuário por meio da Intel AMT. No entanto, quais eventos são de fato registrados são definidos pelo auditor, que normalmente não é o usuário na empresa. Embora a Intel recomende a seus clientes que o acesso remoto ao sistema da Intel AMT seja o tipo de informação que deve ser registrado, é possível que esta informação não esteja disponível para os usuários em alguns ambientes empresariais. São fornecidas, imediatamente abaixo, as informações sobre como o IMSS pode fornecer aos usuários notificações de instâncias em que os administradores de TI acessaram o sistema deles.

O Redirecionamento de KVM da Intel AMT permite a um administrador de TI autenticado tomar o controle do PC de um usuário remotamente como se estivesse usando o teclado fisicamente?

Durante uma sessão de gerenciamento remoto com o redirecionamento de KVM, o administrador de TI tem controle do PC do usuário como se estivesse usando seu teclado. Em relação à sessão de redirecionamento de KVM, a Intel AMT permite exigir que uma sessão de KVM não possa ser iniciada sem o consentimento explícito do usuário, o que é conhecido como consentimento do usuário de KVM. Para impor o consentimento do usuário para aceitar a sessão de redirecionamento, uma janela de saída segura ("desenho") é exibida na tela do usuário, em cima de qualquer outra janela, em que solicita ao usuário ler para o administrador de TI um número gerado aleatoriamente. Somente se o administrador de TI digitar o número de sessão correto, a sessão de KVM será iniciada. Uma vez que uma sessão válida de KVM foi invocada, toda a tela do usuário será cercada por uma borda vermelha e amarela que pisca, indicando que um administrador de TI está no processo de uma sessão de KVM para reparo. Essa borda vermelha e amarela piscante persistirá enquanto a sessão estiver ativa. Observe que o consentimento do usuário de KVM é obrigatório quando o sistema da Intel AMT está no Modo de controle de cliente, mas é opcional quando está no Modo de controle de administrador.

De acordo com as configurações do OEM, os recursos SOL/IDER ou KVM na Intel AMT são ativados ou desativados na BIOS ou na Extensão de BIOS do Mecanismo de gerenciamento Intel® (Intel® MEBX). O requisito para aceitar o KVM pode ser alterado pelo administrador de TI por meio das configurações do BIOS ou da Intel AMT. A Intel recomenda utilizar a obrigação de consentimento do usuário para manter a privacidade dele.

Como o usuário pode saber se um administrador de TI acessou o sistema por meio da Intel AMT?

O ícone da bandeja do sistema do IMSS permite e suporta notificações de usuário para vários eventos, inclusive se um administrador de TI estiver acessando ou acessou seu sistema através da abertura/fechamento de uma sessão remota de redirecionamento (ou seja, SOL/IDER), bem como a ativação da defesa do sistema e a inicialização remota do sistema do usuário por um administrador de TI. Além disso, um ícone que pisca no canto superior direito da tela aparecerá durante uma sessão ativa de redirecionamento remoto. No entanto, os eventos que são realmente habilitados pelo IMSS, em uma configuração corporativa, são definidos por um administrador de TI e não pelo usuário. Embora a Intel recomende que as empresas que implantam sistemas da Intel AMT habilitem as notificações de IMSS referidas neste parágrafo, é possível que as informações sobre conexões remotas para o sistema da Intel AMT não estejam necessariamente disponíveis para todos os usuários.

Como um usuário pode apagar toda a configuração da Intel AMT e os dados privados?

A Intel AMT oferece opções de BIOS para remover parcialmente/totalmente um sistema da Intel AMT. A Intel recomenda que os usuários finais removam totalmente um sistema antes da revenda/reciclagem e verifiquem se a Intel AMT foi totalmente removida caso você adquira um sistema compatível com a Intel AMT.

Atualizações da declaração de privacidade

Podemos, ocasionalmente, atualizar esta declaração de privacidade. Sempre que o fizermos, revisaremos a data da última atualização na parte superior da declaração de privacidade.

Para obter mais informações

Se você tiver alguma dúvida ou quiser mais informações sobre este suplemento de privacidade, use este formulário para entrar em contato conosco.