Ir para o conteúdo

 
 

Intel® Active Management Technology: Data da última atualização da Declaração de privacidade: 13/04/2010

A Intel Corporation tem o compromisso de proteger sua privacidade. Esta declaração descreve quais funções e recursos confidenciais são possíveis com a Intel® Active Management Technology (Intel® AMT), o que a Intel® AMT permite e não permite que os administradores de TI façam, além de indicar os tipos de dados que a Intel AMT armazena no sistema do usuário. Esta declaração é complementar ao Aviso sobre privacidade online da Intel e aplica-se apenas à Intel AMT.

O que é a Intel AMT?

A Intel AMT possibilita o suporte remoto fora da faixa (OOB) e o gerenciamento de sistemas de computadores em rede, na empresa, por administradores de TI autorizados.

Quais são as possíveis questões de privacidade levantadas pela Intel AMT?

Os recursos de gerenciamento remoto já foram disponibilizados por fornecedores de software e têm sido usados por departamentos de TI em muitas organizações por um tempo considerável.

No entanto, a Intel AMT permite que os administradores de TI ofereçam suporte e gerenciem remotamente o computador de um usuário, mesmo que o usuário não esteja presente ou tenha desligado o computador.

Como o usuário pode dizer se a Intel AMT está ativada no sistema?

A Intel desenvolveu um ícone de status para esclarecer e notificar o usuário final sobre o status atual da Intel AMT. Atualmente, o software padrão da Intel AMT inclui um aplicativo de ícone do Intel® Management and Security Status (IMSS) instalado junto com drivers e serviços. O ícone IMSS (localizado na bandeja do sistema S/O) exibe o status atual da Intel AMT no sistema (ativa ou inativa) e também fornece instruções sobre como ativar/desativar os recursos da Intel AMT. A Intel recomenda veementemente que os OEMs carreguem o aplicativo de ícone do IMSS e, atualmente, todos os OEMs estão fazendo isso. No entanto, no futuro, os OEMs poderão optar por não seguir esta recomendação da Intel e, além disso, os gerentes de TI dos clientes finais poderão optar por remover o aplicativo antes de fornecerem sistemas compatíveis com Intel AMT aos usuários finais. Os usuários também podem verificar o status da Intel AMT nas configurações de BIOS do computador. No entanto, é importante observar que os departamentos de TI de algumas empresas não podem conceder aos usuários o acesso exigido ao BIOS que é necessário para ativar/desativar a Intel AMT ou verificar o status da Intel AMT.

Que informações pessoais a Intel AMT coleta do usuário?

A Intel AMT não coleta informações pessoais (por exemplo: nome, endereço, número de telefone, etc.) do usuário.

Que tipo de informação é enviada pela Intel AMT à Intel Corporation e como essa informação é usada?

A Intel AMT não envia dados para a Intel Corporation.

Que tipo de informações a Intel AMT armazena?

A Intel AMT armazena informações na memória flash na motherboard do sistema. Estas informações incluem o código do firmware, dados de inventário de hardware (por exemplo, tamanho da memória, tipo de CPU, tipo de disco rígido), um log de eventos que registra eventos da plataforma (por exemplo, aquecimento da CPU, falha da ventoinha, mensagem POST do BIOS), eventos de segurança da Intel AMT (por exemplo, um aviso evento de ataque à senha da Intel AMT ou disparo de filtro de Defesa do Sistema), bem como dados de configuração da Intel AMT (por exemplo, configurações de rede, listas de controle de acesso e identificadores exclusivos universais (UUIDs), incluindo dados de provisionamento, endereço MAC da LAN, chaves, senhas KVM, certificados TLS e perfis de rede sem fio configurados pelo TI). Todos os dados de configuração considerados sigilosos são armazenados em um formato criptografado na memória flash. Mais informações sobre UUIDs podem ser encontradas na seção abaixo.

Além disso, a Intel AMT permite que aplicativos de fornecedores independentes de software (ISV) registrados armazenem dados em uma área do repositório de memória flash que é conhecida como armazenamento de dados de terceiros (3PDS). Embora a Intel divulgue as práticas recomendadas de privacidade que confia para o gerenciamento responsável de dados para seus ISVs, em última análise, a Intel não determina quais dados podem ser armazenados nesta área de memória flash e não apoia métodos de criptografia para dados ISV. Portanto, orienta-se que os ISVs criptografem seus dados antes de armazená-los na memória flash se considerarem que seus dados são sigilosos. Se você tiver dúvidas sobre possíveis riscos de privacidade devido aos dados armazenados aqui, entre em contato com o desenvolvedor de software de terceiros apropriado para ter mais detalhes sobre o tipo de informações que estão armazenando na área 3PDS e como ele são protegidas.

Como a Intel AMT usa UUIDs? Quais funcionalidades os UUIDs permitem e não permitem em plataformas compatíveis com Intel AMT?

Os identificadores exclusivos universais (UUIDs) são artefatos usados pela Intel AMT para vários propósitos, inclusive o processo de provisionamento, para a segurança do sistema (por exemplo, senhas, chaves e certificados TLS) e para garantir que os administradores de TI possam se conectar e gerenciar com precisão um determinado sistema de usuário dentro de uma empresa.

A Intel não criou UUIDs para habilitar o funcionamento da Intel AMT, nem os UUIDs são novidade para a Intel AMT. Os UUIDs estão presentes em praticamente todos os PCs modernos e são comumente instalados por OEMs em todas as plataformas, sem relação com a Intel AMT. De fato, os UUIDs são atualmente utilizados por aplicativos encontrados em muitos PCs para isolar informações exclusivas do sistema, a fim de fornecer a funcionalidade esperada, como a viabilização do sistema operacional ou atualizações do sistema de controle de vírus. A Intel AMT usa UUIDs de plataforma de uma forma muito semelhante - a principal diferença é que, para permitir que a Intel AMT acesse o OOB do UOID, o UUID é copiado para o repositório de memória flash.

É importante notar que os UUIDs em sistemas habilitados para Intel AMT não podem ser usados pela Intel para rastrear usuários ou seus PCs, nem permitem que a Intel acesse sistemas de usuários por meio de uma porta traseira na plataforma, nem permitem que a Intel force o firmware até a plataforma sem o consentimento do usuário. Qualquer UUID armazenado na memória flash pela Intel AMT só é acessível aos administradores de TI autorizados para uma determinada plataforma habilitada para Intel AMT. A lista de administradores de TI autorizados é configurada pelo TI do cliente final durante um processo protegido usando certificados corporativos ou pela presença física no sistema da Intel AMT (via menu do BIOS ou unidade USB) para estabelecer confiança e, portanto, ocorre inteiramente com consoles que residem em servidores confiáveis designados como tal pelo TI do cliente final. Em outras palavras, nem UUIDs nem qualquer outra informação pode ser comunicada à ou de qualquer parte externa ao cliente final via Intel AMT, a menos que o cliente final configure expressamente isso. Para identificar administradores autorizados para um sistema específico, consulte a documentação do Kit de desenvolvimento de software da Intel AMT (SDK) disponível em softwarecommunity.intel.com/communities/manageability, que fornece uma API para recuperar as ACLs ou as contas autorizadas do Kerberos.

Que tipo de informações a Intel® Active Management Technology (Intel® AMT) envia através da rede?

A Intel AMT envia e recebe dados através de portas de rede IANA predefinidas: porta 16992 para SOAP/HTTP, porta 16993 para SOAP/HTTPS, porta 16994 para Redirecionamento/TCP e porta 16995 para Redirecionamento/TLS. Os sistemas compatíveis com DASH enviarão e receberão dados através das portas 623 para HTTP e 664 para HTTPS. A sessão de teclado-vídeo-mouse (KVM) pode ser executada através das portas de redirecionamento acima (16994 ou 16995) ou sobre a porta RFB (Servidor VNC) usual - 5900. O tipo de informação enviada através da rede inclui mensagens de comando e resposta da Intel AMT, tráfego de redirecionamento e alertas do sistema. Os dados transmitidos através das portas 16993 e 16995 são protegidos com segurança da camada de transporte (TLS), caso esta opção esteja ativada no sistema do usuário.

A Intel AMT pode enviar dados através de uma rede IPV4 ou IPV6 e é compatível com as extensões de privacidade RFC 3041.

O que a Intel AMT permite que um administrador de TI autenticado faça?

  • Ligar, desligar e reiniciar remotamente o sistema para solução de problemas e reparo.
  • Solucionar problemas do sistema remotamente mesmo quando o sistema operacional host estiver desligado ou danificado.
  • Analisar e alterar remotamente as definições de configuração do BIOS no sistema. Se a tela do BIOS estiver protegida por senha, o administrador de TI terá que recuperar e digitar essa senha primeiro. (a Intel AMT não fornece uma substituição para a senha do BIOS).
  • Configurar filtros de tráfego de rede para proteger o sistema.
  • Monitorar aplicativos registrados em execução no sistema (por exemplo, se o software antivírus estiver em execução).
  • Receber alertas gerados pelos eventos de relatórios de firmware da Intel AMT no sistema do usuário que possam exigir suporte técnico, como: aquecimento da CPU, falha da ventoinha ou disparo do filtro de defesa do sistema. Outros exemplos estão disponíveis ao público em www.intel.com/software/manageability.
  • Solucionar problemas remotamente no sistema do usuário redirecionando o processo de inicialização para um disquete, CD-ROM ou uma imagem localizada no sistema do administrador de TI.
  • Solucionar problemas remotamente no sistema redirecionando a entrada de teclado e a saída de vídeo em modo de texto nos sistemas do usuário para o sistema do administrador de TI.
  • Solucionar problemas remotamente no sistema redirecionando o teclado, o vídeo e o mouse para e do sistema do usuário e do sistema do administrador de TI (redirecionamento de KVM).
  • Configurar em quais ambientes de rede a funcionalidade de gerenciamento da Intel AMT será acessível (por exemplo, definindo domínios confiáveis).
  • Usar um aplicativo ISV registrado para gravar/excluir dados no repositório de memória flash (ou seja, a área 3PDS).
  • Identificar o sistema do usuário na rede corporativa por meio de um UUID.
  • Remover o AMT e excluir o conteúdo da memória flash.
  • Conectar-se remotamente a sistemas mesmo fora da rede corporativa usando perfis pré-configurados de acesso remoto iniciado pelo cliente (CIRA).
 

A Intel AMT permite que um administrador de TI autenticado acesse as unidades de disco rígido locais do um usuário?

Durante uma sessão de gerenciamento remoto, o administrador de TI tem acesso aos discos rígidos locais do usuário. Isto significa que o administrador de TI pode ler/gravar arquivos do disco rígido do usuário, por exemplo, para reparar o sistema do usuário recuperando ou reinstalando um aplicativo ou sistema operacional com defeito. A Intel AMT conta com dois recursos que ajudam a mitigar os potenciais riscos de privacidade mencionados, fornecendo aos administradores de TI acesso a esse tipo de informação: IMSS e Registro de log de auditoria. Os recursos do Registro de log de auditoria fornecem uma camada de responsabilidade do administrador registrando as instâncias de acesso do administrador de TI aos sistemas do usuário por meio da Intel AMT. No entanto, quais eventos são de fato registrados são definidos pelo auditor, que normalmente não é o usuário na empresa. Embora a Intel recomende a seus clientes que o acesso remoto ao sistema da Intel AMT seja o tipo de informação que deve ser registrado, é possível que esta informação não esteja disponível para os usuários em alguns ambientes empresariais. São fornecidas imediatamente abaixo as informações sobre como o IMSS pode fornecer aos usuários notificações de instâncias em que os administradores de TI acessaram o sistema deles.

O Redirecionamento de KVM da Intel AMT permite a um administrador de TI autenticado tomar o controle do PC de um usuário remotamente como se estivesse usando o teclado fisicamente?

Durante uma sessão de gerenciamento remoto com o redirecionamento de KVM, o administrador de TI tem controle do PC do usuário como se estivesse usando seu teclado. Em relação à sessão de redirecionamento de KVM, a Intel AMT permite exigir que uma sessão de KVM não possa ser iniciada sem o consentimento explícito do usuário (aceitar KVM). Para impor o consentimento do usuário para aceitar a sessão de redirecionamento, uma janela de saída segura ("desenho") é exibida na tela do usuário, em cima de qualquer outra janela, em que solicita ao usuário ler para o administrador de TI um número gerado aleatoriamente. Somente se o administrador de TI digitar o número de sessão correto, a sessão de KVM será iniciada. Uma vez que uma sessão válida de KVM foi invocada, toda a tela do usuário será cercada por uma barra vermelha - indicando que um administrador de TI está no processo de uma sessão de KVM para reparo. Essa barra vermelha continuará enquanto a sessão estiver ativa.

De acordo com as configurações de OEM, os recursos SOL/IDER ou KVM da Intel AMT são habilitados ou desabilitados no BIOS. O requisito para aceitar o KVM pode ser alterado pelo administrador de TI por meio das configurações do BIOS. A Intel recomenda utilizar a obrigação de consentimento do usuário para manter a privacidade dele.

Como o usuário pode saber se um administrador de TI acessou o sistema por meio da Intel AMT?

O ícone IMSS permite e suporta notificações ao usuário para vários eventos, inclusive se um administrador de TI estiver acessando ou acessou seu sistema através da abertura/fechamento de uma sessão remota de redirecionamento (ou seja, SOL/IDER), bem como a ativação da defesa do sistema e a inicialização remota do sistema do usuário por um administrador de TI. No entanto, os eventos que são realmente habilitados pelo IMSS, em uma configuração corporativa, são definidos por um administrador de TI e não pelo usuário. Embora a Intel recomende que as empresas que implantam sistemas da Intel AMT habilitem as notificações de IMSS referidas neste parágrafo, é possível que as informações sobre conexões remotas para o sistema da Intel AMT não estejam necessariamente disponíveis para todos os usuários.

Como um usuário pode apagar toda a configuração da Intel AMT e os dados privados?

A Intel AMT oferece opções de BIOS para remover parcialmente/totalmente um sistema de AMT. A Intel recomenda que os usuários finais removam totalmente um sistema antes da revenda/reciclagem e verifiquem se a AMT foi totalmente removida se comprar um sistema compatível com a AMT.

Atualizações da declaração de privacidade

Podemos ocasionalmente atualizar esta declaração de privacidade. Sempre que o fizermos, revisamos a data da última atualização na parte superior da declaração de privacidade.

Para ver mais informações

Se você tiver alguma dúvida ou quiser mais informações sobre este suplemento de privacidade, use este formulário para entrar em contato conosco.