Langsung ke konten

 
 

Intel® Active Management Technology: Pernyataan Privasi Terakhir diperbarui: 5/23/2018

Intel Corporation berkomitmen untuk melindungi privasi Anda. Pernyataan ini menjelaskan fungsi dan kemampuan sensitif privasi yang diaktifkan Intel® Active Management Technology (Intel® AMT), yang mungkin dilakukan Intel® AMT dan tidak mungkin dilakukan administrator TI, serta menunjukkan jenis data yang disimpan Intel AMT pada sistem pengguna. Pernyataan ini melengkapi Pemberitahuan Privasi Online Intel dan hanya berlaku untuk Intel AMT.

Apa yang dimaksud dengan Intel AMT?

Intel AMT memungkinkan dukungan jarak jauh Out-Of-Band (OOB) dan manajemen sistem komputer jaringan, di perusahaan, oleh administrator TI yang berwenang.

Apakah kemungkinan masalah privasi yang diangkat oleh Intel AMT?

Kemampuan manajemen jarak jauh telah tersedia dari vendor perangkat lunak, dan telah digunakan oleh banyak departemen TI perusahaan, selama jangka waktu yang cukup lama.

Namun, Intel AMT memungkinkan administrator TI untuk mendukung dan mengelola komputer pengguna dari jarak jauh, meskipun pengguna tidak hadir atau telah mematikan komputer.

Bagaimana pengguna dapat mengetahui apakah Intel AMT sudah diaktifkan pada sistem?

Intel telah mengembangkan ikon baki sistem untuk menyediakan transparansi dan pemberitahuan kepada pengguna akhir tentang status terkini Intel AMT. Saat ini, perangkat lunak Intel AMT standar meliputi aplikasi dan ikon baki sistem Intel® Management and Security Status (IMSS) yang diinstal bersama dengan driver dan layanan. Ikon baki sistem IMSS menampilkan status terkini Intel AMT pada sistem (aktif atau nonaktif) dan juga memberikan instruksi tentang cara mengaktifkan/menonaktifkan kemampuan Intel AMT. Intel menyarankan agar setiap Original Equipment Manufacturer (OEM) memuat aplikasi IMSS. Namun, OEM dapat memilih untuk tidak mengikuti saran Intel ini, dan manajer TI pelanggan akhir juga dapat memilih untuk menghapus aplikasi IMSS sebelum menyediakan sistem yang diaktifkan Intel AMT kepada pengguna akhir. Tergantung pada penerapan OEM, pengguna juga dapat memeriksa status AMT Intel di BIOS sistem komputer mereka. Namun, penting untuk diperhatikan bahwa beberapa departemen TI perusahaan mungkin tidak memberikan akses kepada pengguna ke BIOS yang diperlukan untuk mengaktifkan/menonaktifkan Intel AMT atau memeriksa status Intel AMT.

Informasi pribadi apakah yang dikumpulkan Intel AMT dari pengguna?

Intel AMT tidak mengumpulkan informasi pribadi apa pun (misalnya, nama, alamat, nomor telepon, dll.) dari pengguna.

Jenis informasi apakah yang dikirim Intel AMT ke Intel Corporation dan bagaimana informasi tersebut digunakan?

Intel AMT tidak mengirimkan data apa pun ke Intel Corporation.

Jenis informasi apakah yang disimpan Intel AMT?

Intel AMT menyimpan informasi dalam memori flash pada motherboard sistem. Informasi ini meliputi kode firmware, data inventaris perangkat keras (misalnya, ukuran memori, tipe CPU, tipe hard disk), log kejadian yang merekam kejadian platform (misalnya, CPU memanas, Kegagalan Kipas, pesan POST BIOS), kejadian keamanan Intel AMT (misalnya, peringatan kejadian serangan kata sandi Intel AMT, atau kesalahan filter Pertahanan Sistem), serta data konfigurasi Intel AMT (misalnya, pengaturan jaringan, daftar kontrol akses, dan pengenal unik universal (UUID), termasuk data penyediaan, alamat MAC LAN, kunci, kata sandi Keyboard-Video-Mouse (KVM), sertifikat Transport Layer Security (TLS), dan profil jaringan nirkabel yang dikonfigurasi TI). Semua data konfigurasi yang dianggap sensitif disimpan dalam bentuk terenkripsi pada flash. Informasi lebih lanjut mengenai UUID dapat ditemukan pada bagian di bawah ini.

Intel AMT versi 11.0 dan yang lebih lama memungkinkan aplikasi Vendor Perangkat Lunak Independen (ISV) yang terdaftar untuk menyimpan data di area repositori memori flash yang disebut sebagai penyimpanan data pihak ketiga (3PDS). Mulai Intel AMT versi 11.6, fitur ini telah digantikan dengan Hosting Aplikasi Web yang memungkinkan Intel AMT untuk menghosting aplikasi web di Non-Volatile Memory (NVM) yang Intel AMT kelola secara lokal pada platform klien.

Sekalipun Intel mengomunikasikan hal-hal yang diyakini sebagai praktik privasi terbaik untuk manajemen data yang bertanggung jawab kepada ISV, pada akhirnya Intel tidak menentukan data yang boleh disimpan di area memori flash ini dan tidak mendukung metode enkripsi untuk data ISV. Oleh karena itu, ISV didorong untuk mengenkripsi data mereka sebelum menyimpannya pada flash jika data tersebut dinilai sensitif. Jika Anda memiliki kekhawatiran tentang potensi risiko privasi yang ditimbulkan oleh data yang disimpan di sini, harap hubungi pengembang perangkat lunak pihak ketiga yang sesuai untuk detail lebih lanjut mengenai jenis informasi dan aplikasi web yang disimpan di NVM dan cara melindunginya.

Bagaimana Intel AMT menggunakan UUID? Fungsionalitas apakah yang diaktifkan dan tidak diaktifkan UUID pada platform yang diaktifkan Intel AMT?

Pengenal unik universal (UUID) merupakan artefak yang digunakan Intel AMT untuk sejumlah tujuan, termasuk proses penyediaan, keamanan sistem (misalnya, kata sandi, kunci, dan sertifikat TLS), dan untuk memastikan bahwa administrator TI dapat secara akurat terhubungkan dan mengelola sistem pengguna tertentu dalam perusahaan.

Intel belum menciptakan UUID tertentu untuk mengaktifkan fungsi Intel AMT, dan UUID juga bukan sesuatu yang baru bagi Intel AMT. UUID ada di hampir semua PC modern, dan umumnya diinstal oleh OEM pada semua platform, tanpa terkait dengan Intel AMT. Memang, saat ini UUID digunakan oleh aplikasi yang ditemukan pada banyak PC untuk mengisolasi informasi sistem unik guna menyediakan fungsionalitas yang diharapkan, seperti pengiriman OS atau pembaruan sistem kontrol virus. Intel AMT menggunakan UUID platform dengan cara serupa - perbedaan utamanya adalah: agar dapat mengaktifkan Intel AMT untuk mengakses OOB UUID, maka UUID disalin ke repositori memori flash.

Penting untuk diperhatikan bahwa UUID pada sistem berkemampuan Intel AMT tidak dapat digunakan Intel untuk melacak pengguna atau PC mereka, dan tidak mengizinkan Intel untuk mengakses sistem pengguna melalui pintu belakang ke platform, serta tidak mengizinkan Intel untuk memaksa firmware diturunkan ke platform tanpa seizin pengguna. UUID apa pun yang disimpan dalam flash oleh Intel AMT hanya dapat diakses administrator TI yang sah untuk platform berkemampuan Intel AMT tertentu. Daftar administrator TI yang sah dikonfigurasi oleh TI pelanggan akhir selama proses yang dilindungi menggunakan sertifikat perusahaan atau keberadaan fisik pada sistem Intel AMT (melalui menu BIOS atau kunci USB) untuk menjamin kepercayaan, sehingga sepenuhnya dijalankan dengan konsol yang terdapat pada server tepercaya yang ditetapkan oleh TI pelanggan akhir. Dengan kata lain, baik UUID maupun informasi lainnya tidak dapat disampaikan kepada atau dari pihak eksternal mana pun kepada pelanggan akhir melalui Intel AMT, kecuali apabila pelanggan akhir mengonfigurasinya dengan jelas. Untuk mengidentifikasi administrator resmi bagi sistem tertentu, lihat dokumentasi Intel AMT Software Developer Kit (SDK) yang tersedia di https://software.intel.com/en-us/business-client/manageability, yang menyediakan API untuk mendapatkan akun resmi ACL atau Kerberos.

Jenis informasi apakah yang dikirimkan Intel® Active Management Technology (Intel® AMT) ke seluruh jaringan?

Intel AMT mengirim dan menerima data melalui port jaringan IANA yang telah ditentukan: port 16992 untuk SOAP/HTTP, port 16993 untuk SOAP/HTTPS, port 16994 untuk Pengalihan/TCP, dan port 16995 untuk Pengalihan/TLS. Sistem kepatuhan DASH akan mengirim dan menerima data melalui port 623 untuk HTTP dan 664 untuk HTTPS. Sesi Keyboard-video-mouse (KVM) dapat berjalan melalui port pengalihan di atas (16994 atau 16995) atau melalui port RFB (Server VNC) khusus - 5900. Jenis informasi yang dikirim melalui jaringan mencakup pesan perintah dan respons Intel AMT, lalu lintas pengalihan, dan peringatan sistem. Data yang ditransmisikan melalui port 16993 dan 16995 dilindungi dengan Transport-Layer Security (TLS) jika opsi ini diaktifkan pada sistem pengguna.

Intel AMT dapat mengirim data melalui jaringan IPV4 atau IPV6 dan sesuai dengan ekstensi privasi RFC 3041.

Jenis informasi yang dapat diidentifikasi apakah yang dikirimkan Intel® Active Management Technology (Intel® AMT) ke seluruh jaringan?

Saat Intel® AMT diaktifkan, port yang terbuka akan menampilkan informasi yang dapat digunakan untuk mengidentifikasi komputer lain pada jaringan. Ini mencakup sertifikat HTTPS, digest realm HTTP, versi Intel AMT, dan informasi lainnya yang dapat digunakan merekam sidik jari komputer. Informasi ini diberikan sebagai bagian dari operasional normal protokol yang didukung oleh Intel® AMT. Firewall sebuah sistem operasi tidak akan memblokir akses ke port Intel® AMT, tetapi administrator dapat menggunakan Deteksi Lingkungan dan Panggil Cepat untuk Bantuan (CIRA) untuk menutup port lokal Intel® AMT dan membatasi akses ke informasi ini.

Apa fungsi yang dimungkinkan Intel AMT untuk dilakukan administrator TI yang sah?

  • Menyalakan, mematikan, dan reboot sistem dari jarak jauh untuk pemecahan masalah dan perbaikan.
  • Memecahkan masalah sistem dari jarak jauh bahkan saat OS host mati atau rusak.
  • Meninjau dan mengubah pengaturan konfigurasi BIOS dari jarak jauh pada sistem. Intel AMT memiliki opsi untuk mengizinkan administrator TI untuk memintas kata sandi BIOS, tetapi tidak semua OEM mengimplementasikan fitur ini.
  • Mengonfigurasi filter lalu lintas jaringan untuk melindungi sistem.
  • Memantau aplikasi terdaftar yang dijalankan pada sistem (misalnya, apakah perangkat lunak antivirus berjalan).
  • Menerima peringatan yang dihasilkan oleh firmware Intel AMT yang melaporkan kejadian pada sistem pengguna yang mungkin memerlukan dukungan teknis, seperti: CPU memanas, Kegagalan Kipas, atau kesalahan filter Pertahanan Sistem. Contoh lebih lanjut tersedia untuk umum di www.intel.com/software/manageability.
  • Memecahkan masalah sistem pengguna dari jarak jauh dengan mengalihkan proses boot ke floppy disk, CD-ROM, atau gambar yang berada pada sistem administrator TI.
  • Memecahkan masalah sistem dari jarak jauh dengan mengalihkan input keyboard dan output video mode teks pada sistem pengguna ke sistem administrator TI.
  • Memecahkan masalah sistem dari jarak jauh dengan mengalihkan keyboard, video, dan mouse ke dan dari sistem pengguna dan sistem administrator TI (pengalihan KVM).
  • Mengonfigurasi di lingkungan jaringan apa fungsi keterkelolaan Intel AMT akan dapat diakses (misalnya, dengan menetapkan domain tepercaya).
  • Menggunakan aplikasi ISV terdaftar untuk menulis/menghapus data pada repositori flash (yaitu area 3PDS)
  • Host aplikasi web di Non-Volatile Memory (NVM) yang Intel AMT kelola secara lokal pada platform klien (Intel AMT 11.6 dan yang lebih baru).
  • Mengidentifikasi sistem pengguna pada jaringan perusahaan melalui UUID.
  • Tidak menyediakan Intel AMT dan menghapus konten Flash.
  • Terhubung ke sistem dari jarak jauh bahkan di luar jaringan Perusahaan menggunakan profil Client-Initiated-Remote-Access (CIRA).

 

Apakah Intel AMT memungkinkan administrator TI yang sah untuk mengakses hard drive lokal pengguna?

Selama sesi manajemen jarak jauh, administrator TI memiliki akses ke hard-drive lokal pengguna. Artinya, administrator TI dapat membaca/menulis file dari hard disk pengguna, misalnya, untuk memperbaiki sistem pengguna dengan memulihkan atau menginstal ulang aplikasi atau OS yang rusak. Intel AMT mendukung dua fitur yang membantu mengurangi potensi risiko privasi yang muncul dengan menyediakan akses ke jenis informasi ini kepada administrator TI: IMSS dan Pencatatan Audit. Kemampuan Pencatatan Audit menyediakan lapisan akuntabilitas administrator dengan mencatat riwayat akses administrator TI ke sistem pengguna melalui Intel AMT. Namun, riwayat yang sebenarnya dicatat ditentukan oleh auditor, yang dalam perusahaan biasanya bukan pengguna. Sekalipun Intel menyarankan kepada pelanggannya bahwa akses jarak jauh ke sistem Intel AMT adalah jenis informasi yang harus dicatat, tidak tertutup kemungkinan bahwa informasi ini tidak akan tersedia bagi pengguna di beberapa lingkungan perusahaan. Informasi mengenai cara IMSS dapat menyediakan pemberitahuan kepada pengguna tentang kejadian ketika administrator TI mengakses sistem mereka, disediakan di bawah ini.

Apakah Pengalihan KVM Intel AMT memungkinkan administrator TI yang sah mengendalikan PC pengguna dari jarak jauh seolah-olah mereka sedang duduk di depan keyboard mereka?

Selama sesi manajemen jarak jauh dengan pengalihan KVM, administrator TI mengendalikan PC pengguna seolah-olah mereka sedang duduk di depan keyboard mereka. Terkait dengan sesi pengalihan KVM, Intel AMT mewajibkan persyaratan bahwa sesi KVM tidak dapat dimulai tanpa persetujuan tertulis dari pengguna, yang disebut dengan persetujuan pengguna KVM. Untuk memberlakukan persetujuan pengguna untuk ikut serta dalam sesi pengalihan, jendela output yang aman ("sprite") akan ditampilkan pada layar pengguna, di atas jendela lain, yang meminta pengguna untuk membacakan nomor yang dibuat secara acak kepada administrator TI. Sesi KVM hanya dapat dimulai jika administrator TI memasukkan nomor sesi yang benar. Setelah sesi KVM yang valid dipanggil, seluruh layar pengguna akan dikelilingi oleh tepi yang menyala merah dan kuning – menunjukkan bahwa administrator TI sedang dalam proses sesi perbaikan KVM. Tepi yang berkedip merah dan kuning ini akan tetap muncul selama sesi aktif. Perhatikan bahwa persetujuan pengguna KVM bersifat wajib apabila sistem Intel AMT berada dalam Mode Kontrol Klien, tetapi bersifat opsional ketika dalam Mode Kontrol Admin.

Menurut pengaturan OEM, fitur SOL/IDER atau KVM dalam Intel AMT diaktifkan atau dinonaktifkan dalam BIOS atau Intel® Management Engine BIOS Extension (Intel® MEBX). Persyaratan untuk keikutsertaan KVM dapat diubah oleh administrator TI melalui pengaturan BIOS atau pengaturan konfigurasi Intel AMT. Intel menyarankan untuk menggunakan kewajiban persetujuan pengguna agar dapat menjaga privasinya.

Bagaimana pengguna dapat mengetahui apakah administrator TI telah mengakses sistem melalui Intel AMT?

Ikon baki sistem IMSS memungkinkan dan mendukung pemberitahuan pengguna untuk beberapa kejadian, termasuk apakah administrator TI sedang mengakses atau telah mengakses sistem melalui pembukaan/penutupan sesi pengalihan jarak jauh (yaitu, SOL/IDER), serta aktivasi Pertahanan Sistem dan Remote Boot sistem pengguna oleh administrator TI. Selain itu, ikon yang berkedip di kanan atas layar akan muncul selama sesi pengalihan jarak jauh aktif. Namun, dalam pengaturan suatu perusahaan, kejadian yang sebenarnya diaktifkan oleh IMSS ditentukan oleh administrator TI, bukan pengguna. Sekalipun Intel menyarankan agar perusahaan yang menerapkan Intel AMT memungkinkan pemberitahuan IMSS yang dirujuk dalam paragraf ini, tidak tertutup kemungkinan bahwa informasi mengenai koneksi jarak jauh ke sistem Intel AMT mungkin tidak tersedia untuk semua pengguna.

Bagaimana cara pengguna menghapus semua konfigurasi dan data pribadi Intel AMT?

Intel AMT menyediakan opsi BIOS untuk tidak menyediakan sistem Intel AMT sebagian/sepenuhnya. Intel menyarankan pengguna akhir untuk tidak menyediakan sistem sepenuhnya sebelum menjual kembali/mendaur ulang dan memastikan bahwa Intel AMT tidak disediakan sepenuhnya jika Anda membeli sistem berkemampuan Intel AMT bekas.

Pembaruan pernyataan privasi

Kami dapat memperbarui pernyataan privasi ini sewaktu-waktu. Apabila kami melakukannya, kami akan merevisi tanggal terakhir diperbarui pada bagian atas pernyataan privasi.

Untuk informasi lebih lanjut

Jika Anda memiliki pertanyaan atau ingin mengetahui informasi lebih lanjut tentang pelengkap privasi ini, harap gunakan formulir ini untuk menghubungi kami.