跳至内容

 
 

英特尔® 主动管理技术:隐私声明最后更新时间:8/12/2021

英特尔公司承诺保护您的个人隐私。此声明介绍英特尔® 主动管理技术(英特尔® AMT)实现了哪些隐私敏感功能,英特尔 AMT 允许和不允许 IT 管理员执行哪些操作,以及英特尔 AMT 在用户的系统上存储的数据的类型。此声明是对英特尔在线隐私声明的补充,仅适用于英特尔 AMT。

什么是英特尔 AMT?

英特尔 AMT 使授权的 IT 管理员能够对企业中联网的计算机系统进行带外 (OOB) 远程支持和管理。

英特尔 AMT 引发的潜在隐私问题有哪些?

远程管理功能已经可以从软件供应商那里获得,并且在许多组织的 IT 部门已使用了相当长的时间。

但是,有了英特尔 AMT,即使用户不在或者关闭了计算机,IT 管理员也能够远程支持和管理用户的计算机。

用户如何判断是否在系统上启用了英特尔 AMT?

英特尔开发了一个系统托盘图标,为最终用户提供有关英特尔 AMT 当前状态的透明性和通知。目前,标准英特尔 AMT 软件包含随驱动程序和服务安装的英特尔® 管理和安全状态 (IMSS) 应用程序和系统托盘图标。IMSS 系统托盘图标显示英特尔 AMT 当前在系统上的状态(已启用或已禁用),还提供了有关如何启用/禁用英特尔 AMT 功能的说明。英特尔建议每家原始设备制造商 (OEM) 都加载 IMSS 应用程序。但是,OEM 可选择不遵照英特尔的这一建议,而且最终客户 IT 经理也可以在为最终用户提供已启用英特尔 AMT 的系统前,先删除该 IMSS 应用程序。根据 OEM 实施情况,用户还可以在计算机的系统 BIOS 中检查英特尔 AMT 的状态。但是,值得注意的是,有些企业 IT 部门可能未授予用户对系统 BIOS 的必要访问权限,使得用户无法启用/禁用英特尔 AMT 或检查英特尔 AMT 的状态。

英特尔 AMT 从用户那里收集哪些个人信息?

英特尔 AMT 不会从用户那里收集任何个人信息(例如,姓名、地址、电话号码等)。

英特尔 AMT 向英特尔公司发送哪种类型的信息,将如何使用该信息?

英特尔 AMT 不向英特尔公司发送任何数据。

英特尔 AMT 存储哪种类型的信息?

英特尔 AMT 在系统主板上的闪存中存储信息。此信息包括固件代码、硬件库存数据(例如内存大小、CPU 类型、硬盘类型)、记录平台事件(例如 CPU 高温、风扇故障、BISO POST 消息)的事件日志、英特尔 AMT 安全事件(例如,英特尔 AMT 密码攻击事件或系统防御过滤器激活的警告),以及英特尔 AMT 配置数据(例如网络设置、访问控制列表和通用唯一标识符 (UUID),包括调配数据、LAN MAC 地址、密钥、键盘-视频-鼠标 (KVM) 密码、传输层安全性 (TLS) 证书以及 IT 配置的无线网络配置)。所有应视为敏感的配置数据都以加密形式存储在闪存中。在以下部分可以找到有关 UUID 的更多信息。

英特尔 AMT 11.0 版及更早的版本允许注册的独立软件供应商 (ISV) 应用程序在称为第三方数据存储区 (3PDS) 的闪存存储库区域存储数据。从英特尔 AMT 11.6 版开始,此功能被 Web 应用程序托管所取代,它允许英特尔 AMT 在客户端平台上本地管理的非易失性存储器 (NVM) 中,对 Web 应用程序进行托管。

虽然英特尔向它的 ISV 宣传其采取了它认为最佳的隐私实践来实现负责任的数据管理,但是最终英特尔仍无法判定哪些数据可以存储在闪存的这一区域,也不支持对 ISV 数据使用加密方法。因此,当 ISV 认为他们的数据敏感时,鼓励他们先对这些数据进行加密,然后再将其存储到闪存上。如果您对此处存储的数据可能导致的潜在隐私风险存有疑虑,请联系相应的第三方软件开发人员,深入了解与他们在 NVM 中存储的信息类型和 web 应用程序,以及其保护方式相关的详细信息。

英特尔 AMT 如何使用 UUID?在已启用英特尔 AMT 的平台上,UUID 应支持和不支持哪些功能?

通用唯一标识符 (UUID) 是英特尔 AMT 用于众多用途的构件,包括调配流程、系统安全(例如,密码、密钥和 TLS 证书),以确保 IT 管理员能够准确连接和管理企业内特定用户的系统。

英特尔 VPRO 平台随附了一个称为英特尔 Unique Platform ID (UPID) 的持久性 UUID,以支持需要持久性 UUID 的用例,例如零接触配置。UPID 功能取决于 OEM 实施。几乎所有现代 PC 中都存在 UUID,通常由 OEM 安装在所有平台上,与英特尔 AMT 无关。事实上,当前很多 PC 上都有应用程序在利用 UUID 来隔离唯一的系统信息,以便提供期望的功能,如交付操作系统或病毒控制系统更新。英特尔 AMT 以非常类似的方式使用平台 UUID – 主要区别在于为了使英特尔 AMT 能够带外 (OOB) 访问 UUID,UUID 将复制到闪存存储库。

值得注意的是,已启用英特尔 AMT 的系统上的 UUID,包括 UPID 不能被英特尔用来跟踪用户或他们的 PC,不能允许英特尔通过平台后门来访问用户系统,也不能允许英特尔未经用户同意强制下载固件到平台上。英特尔 AMT 在闪存中存储的任何 UUID 仅供已启用英特尔 AMT 的特定平台的授权 IT 管理员访问。授权 IT 管理员的列表由最终客户 IT 在一个受保护的过程中配置,在此过程中将利用企业认证或英特尔 AMT 系统处的有形存在(通过 BIOS 菜单或加密 U 盘)建立信任,进而与最终客户 IT 指定的受信任服务器上驻留的全部控制台建立信任。换句话说,除非最终客户明确配置,否则不得通过英特尔 AMT 与最终客户外部的任何一方之间传输 UUID 以及其他任何信息。为识别特定系统的授权管理员,请参阅 https://software.intel.com/zh-cn/business-client/manageability 上的英特尔 AMT 软件开发人员套件 (SDK) 文档,其中提供了一个 API,可用于检索 ACL 或 Kerberos 授权帐户。

英特尔® 主动管理技术(英特尔® AMT)通过网络发送哪种类型的信息?

英特尔 AMT 通过预定义的 IANA 网络端口发送和接收数据:端口 16992 用于 SOAP/HTTP,端口 16993 用于 SOAP/HTTPS,端口 16994 用于重定向/TCP,端口 16995 用于重定向/TLS。DASH 兼容系统将通过端口 623(用于 HTTP)和端口 664(用于 HTTPS)发送和接收数据。键盘-视频-鼠标 (KVM) 会话可在重定向端口(16994 或 16995)或惯用的 RFB(VNC 服务器)端口 (5900) 上运行。通过网络发送的信息类型包括英特尔 AMT 命令和响应消息、重定向流量以及系统警报。通过端口 16993 和 16995 传输的数据使用传输层安全性 (TLS) 保护,前提是在用户的系统上启用了该选项。

英特尔 AMT 可通过 IPV4 或 IPV6 网络发送数据,符合 RFC 3041 隐私扩展。

英特尔® 主动管理技术(英特尔® AMT)会在网络上公开哪些可识别信息?

启用 Intel® AMT 时,开放端口会将可用于识别计算机的信息提供给网络上的其他人。其中包括 HTTPS 证书、HTTP 摘要领域、英特尔 AMT 版本,以及可用于对计算机进行指纹识别的其他信息。提供此信息是英特尔® AMT 支持的协议的常规操作的一部分。操作系统防火墙不会阻止对英特尔® AMT 端口的访问,但是管理员可以使用环境检测和快速求助呼叫 (CIRA),以关闭英特尔® AMT 本地端口并限制对该信息的访问。

英特尔 AMT 允许经身份验证的 IT 管理员执行什么操作?

  • 远程开机、关机并重新启动系统进行故障排除和修复。
  • 即使在主机操作系统关闭或损坏时也能远程排除系统故障。
  • 远程查看和更改系统上的 BIOS 配置设置。英特尔 AMT 有一个选项,可以让 IT 管理员绕过 BIOS 密码,但并非所有 OEM 都会实施此功能。
  • 配置网络流量过滤器以保护系统。
  • 监视系统上正在执行的注册应用程序(例如,防病毒软件是否在运行)。
  • 接收英特尔 AMT 固件生成的警报,报告有关用户系统上可能需要技术支持的事件,如:CPU 高温、风扇故障或系统防御过滤器激活。更多公开示例请访问以下网址:www.intel.com/software/manageability
  • 通过将启动过程重定向到软盘、CD-ROM 或 IT 管理员系统上的映像,远程排除用户系统的故障。
  • 通过将用户系统上的键盘输入和文本模式视频输出重定向到 IT 管理员的系统,远程排除系统的故障。
  • 通过将键盘、视频和鼠标重定向到用户的系统和 IT 管理员的系统或者反过来重定向(KVM 重定向),远程排除系统的故障。
  • 配置在什么网络环境中可访问英特尔 AMT 易管理性功能(例如,通过定义受信任域)。
  • 使用注册的 ISV 应用程序在闪存存储库(也就是 3PDS 区域)中写入/删除数据
  • 在 Intel AMT 于客户端平台上本地管理的非易失性存储器 (NVM) 中,对 Web 应用程序进行托管(英特尔 AMT 11.6 及更新版本)。
  • 通过 UUID 识别企业网络上用户的系统。
  • 取消配置英特尔 AMT 并删除闪存内容。
  • 使用预配置的 Client-Initiated-Remote-Access(CIRA,客户端发起的远程访问)配置文件,即使在企业网络之外也能远程连接到系统。

 

英特尔 AMT 是否允许经过身份验证的 IT 管理员访问用户的本地硬盘驱动器?

在远程管理会话期间,IT 管理员确实可以访问用户的本地硬盘驱动器。这意味着,IT 管理员可以在用户的硬盘中读取/写入文件,例如,通过恢复或重新安装故障应用程序或操作系统来修复用户的系统。英特尔 AMT 提供两种功能来帮助缓解由于为 IT 管理员提供了此类信息的访问权限而引发的潜在隐私风险:IMSS 和审核日志记录。审核日志记录功能通过记录 IT 管理员经由英特尔 AMT 访问用户系统的实例,提供了一层管理员问责机制。但是,实际记录哪些事件由审核人员定义,在企业中通常不是用户。虽然英特尔向它的客户推荐对英特尔 AMT 系统的远程访问是应该记录的信息类型,但是可能此信息对于某些企业环境中的用户不可用。下面将提供有关 IMSS 如何在 IT 管理员访问了用户的系统时为用户提供实例通知的信息。

英特尔 AMT KVM 重定向功能会允许经过身份验证的 IT 管理员像实际坐在用户的键盘旁边一样远程控制用户的 PC 吗?

在通过 KVM 重定向功能进行的远程管理会话中,IT 管理员确实能够像坐在用户的键盘旁边一样控制用户的 PC。对于 KVM 重定向会话,英特尔 AMT 支持与未经用户明确同意不得启动 KVM 会话相关的要求(称为 KVM 用户同意)。要强制用户同意加入重定向会话,将在用户屏幕中的其他所有窗口上面显示一个安全输出窗口 ("sprite"),其中提示用户向 IT 管理员读出随机生成的号码。只有当 IT 管理员键入正确的会话号码后,KVM 会话才会开始。在调用有效的 KVM 会话后,用户的整个屏幕将有闪烁的红色和黄色边框环绕,这表示 IT 管理员正在进行 KVM 修复会话。只要会话处于活动状态,闪烁的红色和黄色边框将持续存在。请注意,当英特尔 AMT 系统处于客户端控制模式时,KVM 用户同意是必须的,但当处于管理员控制模式时,KVM 用户同意则是可选的。

根据 OEM 的设置,可在 BIOS 或英特尔® 管理引擎 BIOS 扩展 (Intel® MEBX) 中启用或禁用英特尔 AMT 中的 SOL/IDER 或 KVM 功能。KVM 选择加入的要求可由 IT 管理员通过 BIOS 设置或英特尔 AMT 配置设置来更改。英特尔推荐利用用户同意的义务,以便维护用户的隐私。

用户如何分辨 IT 管理员是否通过英特尔 AMT 访问了系统?

IMSS 系统托盘图标将启用和支持多个事件的用户通知,包括 IT 管理员是否通过打开/关闭远程重定向会话(也就是 SOL/IDER)正在访问或已经访问过用户的系统,以及系统防御激活和 IT 管理员对用户系统的远程启动。此外,在远程重定向会话激活期间,屏幕右上方将显示一个闪烁图标。但是,在企业环境中实际由 IMSS 启用的事件由 IT 管理员而非用户定义。虽然英特尔推荐部署英特尔 AMT 系统的那些企业启用本段落中所提到的 IMSS 通知,但是有关与英特尔 AMT 系统的远程连接的信息不一定会提供给所有用户。

用户如何清除所有英特尔 AMT 配置和私有数据?

英特尔 AMT 提供了可部分/全部取消配置英特尔 AMT 系统的 BIOS 选项。英特尔建议最终用户在转卖/回收利用系统前先完全取消配置英特尔 AMT 系统;如果您购买了支持英特尔 AMT 功能的二手系统,请先验证其是否已完全取消配置英特尔 AMT。

隐私声明更新

我们可能偶尔会更新此隐私声明。当我们更新时,我们会修改隐私声明顶部的最后更新日期。

了解更多信息

如果您有任何疑问或需要有关此隐私声明的更多信息,请使用此表单联系我们。