דלג לתוכן

 
 

טכנולוגיית ניהול אקטיבי של Intel®‎‏: הצהרת פרטיות עדכון אחרון: 23 במאי 2018

חברת Intel Corporation מחויבת להגן על פרטיותך. הצהרה זו מתארת את הפונקציות והיכולות הקשורות לפרטיות שמאפשרת טכנולוגיית הניהול האקטיבי של Intel®‎‏ (Intel® AMT) ואת מה ש-Intel AMT מאפשרת או לא מאפשרת למנהלי IT לעשות, ומציינת את סוגי הנתונים ש-Intel AMT מאחסנת במערכת של המשתמש. הצהרה זו היא תוספת להודעת הפרטיות המקוונת של Intel ומתייחסת ל-Intel AMT בלבד.

מהי Intel AMT?

Intel AMT מאפשרת ניהול ותמיכה מרחוק מחוץ לרוחב הפס (OOB) של מערכות מחשב המחוברות ברשת, בארגון, באמצעות מנהלי IT מורשים.

מהן בעיות הפרטיות האפשריות שמתעוררות ב-Intel AMT?

ספקי תוכנה מציעים יכולות ניהול מרחוק, שמזה זמן רב נמצאות בשימוש במחלקות IT של ארגונים רבים.

עם זאת, Intel AMT מאפשרת למנהלי ה-IT לנהל מחשב של משתמש ולתמוך בו מרחוק גם כאשר המשתמש אינו נוכח או שכיבה את המחשב.

כיצד יכול המשתמש לדעת אם Intel AMT זמין במערכת?

Intel פיתחה סמל מגש מערכת כדי לספק גמישות וליידע את משתמש הקצה על מצבה העדכני של Intel AMT. בשלב זה, תוכנת Intel AMT הסטנדרטית כוללת סמל מגש מערכת ויישום Intel® Management and Security Status ‏(IMSS) אשר מותקן עם מנהלי ההתקנים והשירותים. סמל מגש המערכת IMSS מציג את המצב הנוכחי של Intel AMT במערכת (זמינה או לא זמינה), וכן מספק הוראות כיצד להפוך את היכולות של Intel AMT לזמינות או לבלתי זמינות. Intel ממליצה שכל יצרן ציוד מקורי (OEM) יטען את היישום IMSS. עם זאת, יצרני ציוד מקורי עשויים לבחור לא לקבל המלצה זו של Intel, ובנוסף, מנהלי ה-IT של לקוח הקצה עשויים לבחור להסיר את היישום IMSS לפני שיספקו מערכות הנתמכות על-ידי Intel AMT למשתמשי הקצה. בתלות באופן המימוש של יצרן הציוד המקורי, המשתמשים יכולים גם לבדוק את המצב של Intel AMT ב-BIOS של מערכת המחשב שלהם. עם זאת, חשוב לציין שייתכן שמחלקות IT ארגוניות מסוימות לא יעניקו למשתמשים את הגישה הנדרשת ל-BIOS של המערכת, אשר מאפשרת להפוך את Intel AMT לזמינה/בלתי זמינה או לבדוק את המצב של Intel AMT.

איזה פרטים אישיים אוספת Intel AMT מהמשתמש?

Intel AMT לא אוספת פרטים אישיים (למשל שם, כתובת, מספר טלפון וכו') כלשהם מהמשתמש.

איזה סוג של מידע שולחת Intel AMT אל Intel Corporation ואיזה שימוש נעשה במידע זה?

Intel AMT לא שולחת נתונים כלשהם אל Intel Corporation.

איזה סוג מידע מאחסנת Intel AMT?

Intel AMT מאחסנת מידע בזיכרון פלאש בלוח האם של המערכת. מידע זה כולל קוד קושחה, סיכום נתוני חומרה (לדוגמה גודל הזיכרון, סוג המעבד, סוג הדיסק הקשיח), יומן אירועים המתעד אירועים בפלטפורמה (לדוגמה התחממות של המעבד, כשל במאוורר, הודעת POST של BIOS), אירועי אבטחה של Intel AMT (לדוגמה אזהרה על אירוע התקפת סיסמה של Intel AMT, או שגיאה במסנן ההגנה על המערכת), וכן נתוני תצורה של Intel AMT (לדוגמה הגדרות רשת, רשימות בקרת גישה, ומזהים ייחודיים אוניברסליים (UUID), לרבות נתוני הקצאת משאבים, כתובת LAN MAC, מפתחות, סיסמאות מקלדת-וידאו-עכבר (KVM), אישורים של אבטחת שכבת תעבורה (TLS), ופרופילי רשת אלחוטית המוגדרים על-ידי ה-IT). כל נתוני התצורה שנחשבים כרגישים מאוחסנים בצורה מוצפנת בזיכרון הפלאש. מידע נוסף על מזהי UUID מופיע בסעיף שלהלן.

גרסאות 11.0 ואילך של Intel AMT מאפשרות ליישומי ספק תוכנה עצמאי (ISV) רשומים לאחסן נתונים באזור במאגר זיכרון הפלאש המכונה אחסון נתוני צד שלישי (3PDS). החל מגרסה 11.6 של Intel AMT, תכונה זו הוחלפה באירוח יישום אינטרנט, אשר מאפשר ל-Intel AMT לארח יישומי אינטרנט בזיכרון הלא נדיף (NVM) שמנהלת Intel AMT באופן מקומי בפלטפורמה של הלקוח.

Intel אמנם מיידעת את ספקי תוכנה העצמאיים שלה מהן לדעתה שיטות השמירה על פרטיות המומלצות לניהול נתונים אחראי, אולם בסופו של דבר היא אינה קובעת אילו נתונים ניתן לאחסן באזור זה של זיכרון הפלאש והיא אינה תומכת בשיטות הצפנה לנתונים של ספקי התוכנה העצמאיים. לפיכך, אנו ממליצים לספקי התוכנה העצמאיים להצפין את נתוניהם לפני שיאחסנו אותם בזיכרון הפלאש, אם יחליטו שנתוניהם רגישים. אם יש לך חששות כלשהם בנוגע לסיכוני פרטיות אפשריים הנגרמה כתוצאה מאחסון הנתונים כאן, אנא פנה לצד השלישי המתאים המפתח את התוכנה כדי לקבל פרטים נוספים על סוג המידע ועל יישומי האינטרנט שהוא מאחסן ב-NVM ועל האופן ההגנה עליהם.

כיצד Intel AMT משתמשת במזהי UUID? איזו פונקציונליות הופכים מזהי ה-UUID לזמינה או לבלתי זמינה בפלטפורמות תומכות-Intel AMT?

מזהים ייחודיים אוניברסליים (UUID) הם כלים ש-Intel AMT משתמשת בהם למספר מטרות, לרבות תהליך הקצאת המשאבים, אבטחת המערכת (למשל סיסמאות, מפתחות ואישורי TLS), וכדי לוודא שמנהלי ה-IT מסוגלים לחבר למערכת מסוימת של משתמש ולנהל אותה בצורה מדויקת בתוך הארגון.

Intel לא יצרה מזהי UUID כלשהם כדי לאפשר פעילות של Intel AMT, ומזהי ה-UUID אינם דבר חדש ל-Intel AMT. מזהי UUID נמצאים כמעט בכל המחשבים המודרניים, ולרוב מותקנים על-ידי יצרני ציוד מקורי בכל הפלטפורמות, ללא קשר ל-Intel AMT. ואכן, מזהי UUID משמשים כעת יישומים שנמצאים במחשבים רבים לצורך בידוד מידע ייחודי של המערכת שיאפשר לספק את הפונקציונליות הצפויה, למשל אספקת עדכונים של מערכת ההפעלה או של מערכת לבקרת וירוסים. Intel AMT משתמשת במזהי UUID של הפלטפורמה באופן דומה מאוד – ההבדל העיקרי הוא שכדי לאפשר ל-Intel AMT לגשת ל-UUID מחוץ לרוחב הפס, ה-UUID מועתק למאגר זיכרון הפלאש.

חשוב לציין ש-Intel אינה יכולה להשתמש במזהי ה-UUID במערכות תומכות-Intel AMT לצורך מעקב אחר משתמשים או אחר המחשבים שלהם, וכן שמזהי ה-UUID אינם מאפשרים ל-Intel לגשת למערכות המשתמשים דרך דלת אחורית לפלטפורמה, ולא שהם מאפשרים ל-Intel להוריד את הקושחה לפלטפורמה ללא הסכמה של המשתמש. כל UUID ש-Intel AMT מאחסנת בפלאש נגיש רק למנהלי IT מורשים עבור פלטפורמה תומכת-Intel AMT מסוימת. רשימת מנהלי ה-IT המורשים מוגדרת על-ידי ה-IT של לקוח הקצה בתהליך מוגן באמצעות אישורים ארגוניים או נוכחות פיסית במערכת Intel AMT (דרך תפריט BIOS או מפתח USB) ליצירת אמון, ובכך מתבצעת במלואה עם מסופים הממוקמים בשרתים מהימנים שיועדו לתפקידם על-ידי ה-IT של לקוח הקצה. במילים אחרות, Intel AMT אינה מאפשרת להעביר את מזהי ה-UUID או כל מידע אחר לצד כלשהו או מצד כלשהו שחיצוניים ללקוח הקצה, אלא אם לקוח הקצה מגדיר אפשרות זו במפורש. כדי לזהות מנהלי מערכת מורשים למערכת ספציפית, עיין בתיעוד הערכה למפתח התוכנה (SDK) של Intel AMT, אשר זמין בכתובת  https://software.intel.com/en-us/business-client/manageability ומספק ממשק API לאחזור רשימות ה-ACL או חשבונות ה-Kerberos המורשים.

איזה סוג מידע שולחת טכנולוגיית הניהול האקטיבי של Intel®‎ (Intel® AMT) ברשת?

Intel AMT שולחת ומקבלת נתונים ביציאות רשת IANA מוגדרות מראש: יציאה 16992 עבור SOAP/HTTP, יציאה 16993 עבור SOAP/HTTPS, יציאה 16994 עבור ניתוב מחדש/TCP, ויציאה 16995 עבור ניתוב מחדש/TLS. מערכות תואמות-DASH ישלחו ויקבלו נתונים ביציאות 623 עבור HTTP וביציאות 664 עבור HTTPS. הפעלת המקלדת-וידאו-עכבר (KVM) מסוגלת לפעול ביציאות הניתוב מחדש שלעיל (16994 או 16995) או ביציאת ה-RFB (שרת VNC) - 5900. סוג המידע הנשלח ברשת כולל הודעות פקודה ותגובה של Intel AMT, תעבורת ניתוב מחדש, והתראות מערכת. נתונים המשודרים ביציאות 16993 ו-16995 מוגנים באבטחת שכבת תעבורה (TLS) כאשר אפשרות זו זמינה במערכת של המשתמש.

Intel AMT עשויה לשלוח נתונים ברשת IPV4 או IPV6 ותואמת להרחבות הפרטיות של RFC 3041.

איזה מידע מזהה חושפת טכנולוגיית הניהול האקטיבי של Intel®‎ (Intel® AMT) ברשת?

כאשר Intel® AMT זמינה, היציאות הפתוחות מציגות מידע שעשוי לשמש כדי לזהות את המחשב בפני גורמים אחרים ברשת. כלולים בכך אישור HTTPS, תחום תקציר HTTP, הגרסה של Intel AMT ומידע אחר שניתן להשתמש בו כדי ליצור טביעת אצבע של המחשב. מידע זה ניתן כחלק מהתפעול הרגיל של הפרוטוקולים הנתמכים על-ידי Intel® AMT. חומת אש של מערכת הפעלה לא תחסום את הגישה ליציאות של Intel® AMT, אולם מנהלי המערכת יכולים להשתמש בזיהוי סביבה ובקריאה מהירה לעזרה (CIRA) כדי לסגור יציאות מקומיות של Intel® AMT ולהגביל את הגישה למידע זה.

מה Intel AMT מאפשרת למנהל IT מאומת לעשות?

  • לבצע מרחוק פעולות של הפעלת המערכת, כיבוי המערכת ואתחול שלה מחדש לצורך פתרון בעיות ותיקון.
  • לפתור בעיות במערכת מרחוק גם כאשר מערכת ההפעלה המארחת כבויה או פגומה.
  • לסקור ולשנות מרחוק את הגדרות תצורת ה-BIOS במערכת. Intel AMT מסוגלת לאפשר למנהל IT לעקוב את סיסמת ה-BIOS, אולם לא כל יצרני הציוד המקורי מממשים תכונה זו.
  • לקבוע את התצורה של מסנני תעבורת רשת כדי להגן על המערכת.
  • לנטר יישומים רשומים בעת הפעלת המערכת (למשל, לברר אם מופעלת תוכנת אנטי-וירוס).
  • לקבל התראות שנוצרו על-ידי הקושחה של Intel AMT אשר מדווחת על אירועים במערכת של המשתמש שעשויים להצריך תמיכה טכנית, כגון התחממות של המעבד, כשל במאוורר או שגיאה במסנן ההגנה על המערכת. דוגמאות אחרות זמינות באופן פומבי בכתובת www.intel.com/software/manageability.
  • לפתור מרחוק בעיות במערכת של המשתמש על-ידי הפניית תהליך האתחול לתקליטון, לתקליטור CD-ROM או לתמונה הממוקמת במערכת של מנהל ה-IT.
  • לפתור מרחוק בעיות במערכת על-ידי הפניית קלט המקלדת ופלט הווידאו במצב טקסט מהמערכת של המשתמש אל המערכת של מנהל ה-IT.
  • לפתור מרחוק בעיות במערכת על-ידי הפניית המקלדת, הווידאו והעכבר אל המערכת של המשתמש והמערכת של מנהל ה-IT ומהן (ניתוב מחדש של KVM).
  • להגדיר באילו סביבות רשת ניתן יהיה לגשת לפונקציונליות הניהול של Intel AMT (לדוגמה על-ידי הגדרת תחומים מהימנים).
  • להשתמש ביישום ISV רשום כדי לכתוב/למחוק נתונים במאגר הפלאש (כלומר בתחום ה-3PDS)
  • לאחר יישומי אינטרנט בזיכרון הלא נדיף (NVM) ש-Intel AMT מנהלת באופן מקומי בפלטפורמה של הלקוח (Intel AMT גרסאות 11.6 ואילך).
  • לזהות את המערכת של המשתמש ברשת הארגונית דרך UUID.
  • לבטל הקצאה של Intel AMT ולמחוק את תכולת הפלאש.
  • להתחבר מרחוק למערכות גם מחוץ לרשת הארגונית באמצעות פרופילים מוגדרים מראש של גישה מרחוק ביוזמת המשתמש (CIRA).

 

האם Intel AMT מאפשרת למנהל IT שלא אומת לגשת לכוננים קשיחים מקומיים של משתמש?

במהלך הפעלת ניהול מרחוק, למנהל ה-IT אין גישה לכוננים הקשיחים המקומיים של המשתמש. המשמעות היא שמנהל ה-IT מסוגל לקרוא/לכתוב קבצים מהדיסק הקשיח של המשתמ, למשל, כדי לתקן את המערכת של המשתמש על-ידי שחזור או התקנה מחדש של יישום או מערכת הפעלה פגומים. Intel AMT תומכת בשתי תכונות שמסייעות למתן סיכוני פרטיות אפשריים שמתעוררים בכך שמספקת למנהלי IT גישה לסוג המידע הזה: IMSS ורישום ביקורת. יכולות רישום הביקורת מספקות שכבה של אחריות מנהל מערכת על-ידי רישום מופעי הגישה של מנהל ה-IT למערכות המשתמש דרך Intel AMT. עם זאת, הגדרת האירועים שיירשמו בפועל מתבצעת על-ידי המבקר, שבארגון לרוב לא יהיה המשתמש. Intel אמנם ממליצה ללקוחותיה שיירשם מידע מסוג הגישה מרחוק למערכת Intel AMT, אולם ייתכן שבסביבות ארגוניות שונות מידע זה לא יהיה זמין למשתמשים. מידע על האופן שבו מסוגל IMSS ליידע את המשתמשים על המקרים שבהם מנהלי ה-IT ניגשו למערכות שלהם מופיע מיד בהמשך.

האם ניתוב מחדש של KVM ב-Intel AMT מאפשר למנהל IT מאומת לקחת שליטה מרחוק על מחשב של משתמש, כאילו המנהל נמצא פיסית ליד המקלדת שלו?

במהלך הפעלת ניהול מרחוק עם ניתוב מחדש של KVM, למנהל ה-IT יש שליטה במחשב של המשתמש כאילו הוא עצמו נמצא ליד המקלדת. בהקשר של הפעלת הניתוב מחדש של KVM‏, Intel AMT מאפשרת את הדרישה שלא ניתן יהיה להתחיל הפעלת KVM ללא הסכמה מפורשת מהמשתמש, אשר מכונה הסכמת משתמש KVM. כדי לאכוף את ההסכמה של המשתמש להפעלת הניתוב מחדש, במסך המשתמש מוצג חלון פלט מאובטח ("ספרייט"), בחלק העליון של כל חלון שני, ובו המשתמש מונחה להקריא למנהל ה-IT מספר המופק אוטומטית. הפעלת ה-KVM תתחיל רק בתנאי שמנהל ה-IT יקליד את מספר ההפעלה הנכון. ברגע שנוצרה הפעלת KVM חוקית, המסך של המשתמש מוקף במלואו בגבול מהבהב בצבעי אדום וצהוב – כדי לציין שהפעלת תיקון KVM מבוצעת כעת על-ידי מנהל IT. גבול מהבהב זה בצבעי אדום וצהוב ימשיך להופיע כל עוד ההפעלה מתבצעת. שים לב שהסכמה של משתמש ה-KVM היא הכרחית כאשר מערכת Intel AMT נתונה במצב בקרת לקוח, ואופציונלית כאשר המערכת במצב בקרת מנהל.

על-פי ההגדרות של יצרן הציוד המקורי, תכונות ה-SOL/IDER או ה-KVM ב-Intel AMT זמינות או לא זמינות ב-BIOS או בהרחבת ה-BIOS של מנוע הניהול של Intel®‎‏ (Intel® MEBX). מנהל ה-IT יכול לשנות את הדרישה להסכמת KVM דרך הגדרות ה-BIOS או דרך הגדרות התצורה של Intel AMT. Intel ממליצה לחייב את הסכמת המשתמש כדי לשמור על פרטיותו.

כיצד יכול המשתמש לדעת אם מנהל IT ניגש למערכת דרך Intel AMT?

סמל מגש המערכת IMSS מאפשר הפעלה של התראות למשתמש ותמיכה בהן עבור אירועים שונים, ביניהם גישה של מנהל IT (כעת או בעבר) למערכת של המשתמש על-ידי פתיחה/סגירה של פעולת ניתוב מחדש מרחוק (SOL/IDER), וכן הפעלת הגנה על המערכת ואתחול מרחוק של מערכת המשתמש על-ידי מנהל IT. בנוסף, במהלך כאשר הפעלת ניתוב מחדש מרחוק פעילה, יופיע סמל מהבהב בחלקו העליון של המסך. עם זאת, האירועים שמופעלים כעת על-ידי ה-IMSS, בהגדרה ארגונית, מוגדרים על-ידי מנהל IT ולא על-ידי המשתמש. Intel אמנם ממליצה שהארגונים הפורסים מערכות Intel AMT יאפשרו את התראות ה-IMSS שמוזכרות בפסקה זו, אולם ייתכן שמידע על החיבור מרחוק למערכת Intel AMT לא בהכרח יהיה זמין לכל המשתמשים.

כיצד יכול משתמש לנקות את כל הנתונים הפרטיים והגדרת התצורה של Intel AMT?

Intel AMT מספקת אפשרויות BIOS כדי לבטל הקצאה של מערכת Intel AMT באופן חלקי/מלא. Intel ממליצה למשתמשי קצה לבטל הקצאה של מערכת באופן מלא לפני מכירה חוזרת/מיחזור, ולוודא שההקצאה של Intel AMT לא זמינה באופן מוחלט במקרה של קניית מערכת משומשת המסוגלת לפעול אם Intel AMT.

עדכונים בהצהרת הפרטיות

אנו עשויים לעדכן הצהרת פרטיות זו מעת לעת. כאשר נעשה זאת, נשנה את תאריך העדכון האחרון בחלקה העליון של הצהרת הפרטיות.

לקבלת מידע נוסף

אם יש לך שאלות כלשהן או אם אתה מעוניין במידע נוסף על השלמת פרטיות זו, אנא השתמש בטופס זה כדי ליצור עמנו קשר.