İçeriğe geç

 
 

Intel® Active Management Teknolojisi: Gizlilik Bildirimi Son Güncellenme Tarihi: 5/23/2018

Intel Corporation, kişisel bilgilerinizin gizliliğini korumak için gereken her tür çabayı göstermektedir. Bu bildirimde, Intel® Active Management Teknolojisi'nin (Intel® AMT) etkinleştirdiği gizlilik bakımından hassas işlevler ve özellikler, Intel AMT'nin BT yöneticilerinin neleri yapmalarına izin verip vermediği açıklanmakta ve Intel AMT'nin kullanıcının sisteminde hangi tür verileri depoladığı belirtilmektedir. Bu bildirim, Intel'in Çevrimiçi Gizlilik Bildirimi'ne ek niteliğinde olup yalnızca Intel AMT için geçerlidir.

Intel AMT nedir?

Intel AMT, bir kuruluşta yetkili BT yöneticilerinin Bant Dışı (OOB) uzaktan erişim elde etmelerini ve ağa bağlı bilgisayar sistemlerini yönetmelerini mümkün kılar.

Intel AMT'nin neden olabileceği olası gizlilik sorunları nelerdir?

Uzaktan yönetim özellikleri, oldukça uzun bir süredir yazılım tedarikçileri tarafından sağlanmakta ve birçok kuruluşun BT departmanları tarafından kullanılmaktadır.

Bununla birlikte Intel AMT, kullanıcı bilgisayarın başına değilken ya da bilgisayarı kapatmışken bile BT yöneticilerinin kullanıcının bilgisayarına uzaktan destek sağlamasını ve bilgisayarı yönetmesini mümkün kılar.

Kullanıcı, Intel AMT'nin sistemde etkinleştirildiğini nasıl anlar?

Intel, şeffaflık sağlamak ve son kullanıcıya Intel AMT'nin mevcut durumu hakkında bilgi vermek için bir sistem çubuğu simgesi geliştirdi. Standart Intel AMT yazılımı, halihazırda sürücüler ve hizmetlerle birlikte kurulan bir Intel® Yönetim ve Güvenlik Durumu (IMSS) uygulama ve sistem çubuğu simgesi uygulamasını içermektedir. Sistem çubuğunda bulunan IMSS simgesi, sistemdeki Intel AMT'nin mevcut durumunu (etkin veya devre dışı) gösterir ve Intel AMT özelliklerini etkinleştirme/devre dışı bırakma konusunda talimatlar sunar. Intel, her Orijinal ekipman üreticisinin (OEM) IMSS uygulamasını yüklemesini tavsiye eder. Ancak, OEM'lerin Intel'in tavsiyesine uymamayı tercih edebileceği gibi son müşteri BT yöneticileri de Intel AMT'nin etkinleştirildiği sistemleri son kullanıcılara sağlamadan önce IMSS uygulamasını kaldırmayı seçebilirler. OEM’in uygulama durumuna bağlı olarak, kullanıcılar Intel AMT'nin durumunu bilgisayarlarının sistem BIOS’unda kontrol edebilirler. Bununla birlikte, bazı kuruluşların BT departmanlarının Intel AMT'yi etkinleştirmek/devre dışı bırakmak veya Intel AMT'nin durumunu kontrol etmek için gereken sistem BIOS’u erişimini kullanıcılara sağlamayabileceğini belirtmek gerekir.

Intel AMT, kullanıcıdan hangi kişisel bilgileri toplar?

Intel AMT, kullanıcıdan hiçbir kişisel bilgi (örneğin ad soyadı, adres, telefon numarası vb.) toplamaz.

Intel AMT tarafından Intel Corporation'a hangi tür bilgiler gönderilir ve bu bilgiler nasıl kullanılır?

Intel AMT, Intel Corporation'a herhangi bir veri göndermez.

Intel AMT ne tür bilgileri depolar?

Intel AMT, bilgileri sistem anakartındaki flaş bellekte depolar. Bu bilgiler arasında sabit yazılım kodu, donanım envanteri verileri (örneğin bellek boyutu, CPU türü, sabit disk türü), platform etkinliklerini kaydeden bir etkinlik günlüğü (örneğin CPU ısınması, Fan Hatası, BIOS POST mesajı), Intel AMT güvenlik etkinlikleri (örneğin Intel AMT parola saldırısı etkinliği uyarısı veya Sistem Savunması filtreleme hatası) ve Intel AMT yapılandırma verileri (örneğin, ağ ayarları, erişim kontrol listeleri ve yetkilendirme verileri, LAN MAC adresi, anahtarlar, Klavye-Video-Fare (KVM) parolaları, Taşıma Katmanı Güvenliği (TLS) sertifikaları, BT tarafından yapılandırılan kablosuz ağ profilleri gibi evrensel benzersiz tanımlayıcılar (UUID'ler)) bulunur. Yapılandırma verilerinin tümü, şifrelenmiş bir şekilde flaşta depolanır. Aşağıdaki bölümde UUID'ler hakkında daha fazla bilgi bulabilirsiniz.

Intel AMT 11.0 ve daha önceki sürümleri, kayıtlı Bağımsız Yazılım Tedarikçisi (ISV) uygulamalarının üçüncü taraf veri deposu (3PDS) olarak bilinen flaş bellek veri havuzunun bir alanında verileri depolamasına olanak tanır. Intel AMT 11.6 sürümünden itibaren, bu özelliğin yerini Intel AMT’nin istemci platformunda yerel olarak yönettiği Kalıcı Bellek’te (NVM) web uygulamalarını barındırmasına olanak tanıyan Web Uygulaması Barındırma özelliği almıştır.

Intel, sorumlu bir veri yönetimi için en iyi olduğunu düşündüğü gizlilik uygulamalarını ISV'lere bildirse de nihayetinde flaş belleğin bu alanında hangi verilerin depolanacağına ilişkin karar Intel tarafından verilmemektedir ve ISV verilerine yönelik şifreleme yöntemlerini desteklemez. Bu nedenle, verilerin hassas olduğunun düşünülmesi halinde, ISV'lerin verileri flaşta depolamadan önce şifrelemesi tavsiye edilir. Burada depolanan veriler nedeniyle olası gizlilik risklerine ilişkin kaygılarınız varsa, NVM’de depoladıkları bilgilerin türü ve web uygulamaları ve bunları nasıl korudukları hakkında daha fazla bilgi için lütfen ilgili üçüncü taraf yazılım geliştirici ile iletişime geçin.

Intel AMT, UUID'leri nasıl kullanır? UUID'ler Intel AMT'nin etkinleştirildiği platformlarda hangi işlevleri mümkün kılar, hangilerini mümkün kılmaz?

Evrensel benzersiz tanımlayıcılar (UUID'ler), Intel AMT tarafından yetkilendirme süreci ve sistem güvenliği (örneğin parolalar, anahtarlar ve TLS sertifikaları) de dahil olmak üzere birçok amaçla kullanılan ve BT yöneticilerinin bir kuruluştaki belirli bir kullanıcının sistemine doğru bir şekilde bağlanmalarını ve sistemi yönetmelerini sağlayan yapay kodlardır.

Intel, Intel AMT'nin işlevlerini mümkün kılmak amacıyla herhangi bir UUID oluşturmadığı gibi, UUID'ler Intel AMT'ye özel şeyler de değildir. UUID'ler, neredeyse tüm modern bilgisayarlarda bulunur ve OEM'ler tarafından yaygın olarak ve Intel AMT'den bağımsız bir şekilde tüm platformlarda kurulur. Aslında UUID'ler, İşletim Sisteminin sağlanması veya virüs kontrol sistemi güncellemeleri gibi beklenen işlevlerin sunulması amacıyla, benzersiz sistem bilgilerinin izole edilmesi için birçok bilgisayarda bulunan uygulamalar tarafından halihazırda kullanılmaktadır. Intel AMT, platform UUID'lerini buna çok benzer bir şekilde kullanır. En önemli fark ise Intel AMT'nin UUID OOB'ye erişmesini mümkün kılmak için UUID'nin flaş bellek veri havuzuna kopyalanmasıdır.

Intel AMT'nin etkinleştirildiği sistemlerdeki UUID'lerin Intel tarafından kullanıcıları veya bilgisayarlarını izlemek için kullanılamadığını, bunların Intel'in platforma giden bir arka kapıdan kullanıcı sistemlerine erişmesine izin vermediğini ya da Intel'in kullanıcının onayı olmadan sabit yazılımı platforma zorla sokmasına olanak tanımadığını belirtmek gerekir. Intel AMT tarafından flaşta depolanan herhangi bir UUID'ye yalnızca Intel AMT'nin etkinleştirildiği belirli bir platformda yetkili BT yöneticileri erişebilir. Yetkili BT yöneticilerinin listesi, Intel AMT sistemindeki kurumsal sertifikaların veya fiziksel varlığın (BIOS menüsü veya USB anahtarı aracılığıyla) kullanılmasıyla korumalı bir süreç esnasında son müşteri BT'si tarafından güven oluşturmak üzere yapılandırılır. Bu işlem bütünüyle son müşteri BT'si tarafından güvenilir oldukları belirtilen sunucularda yer alan konsollarla gerçekleştirilir. Başka bir deyişle müşterinin açık bir şekilde yapılandırmamış olması koşuluyla, UUID'ler veya diğer herhangi bir bilgi, Intel AMT aracılığıyla son müşteri dışındaki hiçbir tarafa iletilemez. Belirli bir sistemin yetkili yöneticilerini belirlemek için ACL'leri ya da Kerberos yetkili hesaplarını getiren bir API bulabileceğiniz Intel AMT Software Developer Kit (SDK) belgesine https://software.intel.com/en-us/business-client/manageability adresinden ulaşabilirsiniz.

Intel® Active Management Teknolojisi (Intel® AMT) ağ üzerinden ne tür bilgileri gönderir?

Intel AMT, önceden tanımlanan şu IANA ağ bağlantı noktaları üzerinden verileri gönderir ve alır: SOAP/HTTP için bağlantı noktası 16992, SOAP/HTTPS için bağlantı noktası 16993, Yeniden Yönlendirme/TCP için bağlantı noktası 16994 ve Yeniden Yönlendirme/TLS için bağlantı noktası 16995. DASH uyumlu sistemler, HTTP için 623 ve HTTPS için 664 bağlantı noktalarından veri gönderecek ve alacaktır. Klavye-video-fare (KVM) oturumu, yukarıdaki yeniden yönlendirme bağlantı noktaları (16994 veya 16995) üzerinden ya da geleneksel RFB (VNC Sunucusu) bağlantı noktası olan 5900 üzerinden yürütülebilir. Intel AMT komut ve yanıt mesajları, yeniden yönlendirme trafiği ve sistem uyarıları, ağ üzerinden gönderilen bilgi türüne dahildir. 16993 ve 16995 bağlantı noktaları üzerinden iletilen veriler, kullanıcının sisteminde ilgili seçeneğin etkinleştirilmesi halinde Taşıma Katmanı Güvenliği (TLS) ile korunur.

Intel AMT, IPV4 veya IPV6 ağı üzerinden veri gönderebilir ve RFC 3041 gizlilik uzantılarıyla uyumludur.

Intel® Active Management Teknolojisi (Intel® AMT) hangi kimlik tanımlayıcı bilgileri ağ üzerinden ifşa eder?

Intel® AMT etkinleştirildiğinde, açık bağlantı noktaları bilgisayarın ağdaki diğer kullanıcılar tarafından tanınması için kullanılabilecek bilgiler sunabilir. Bunlara HTTPS sertifikası, HTTP digest realm, Intel AMT sürümü ve bilgisayarın parmak izini almak için kullanılabilecek diğer bilgiler dahildir. Bu bilgiler, Intel® AMT tarafından desteklenen protokollerin normal operasyonlarının bir parçası olarak verilir. İşletim sistemi güvenlik duvarı Intel® AMT bağlantı noktalarına erişimi engellemez, ancak yöneticiler Intel® AMT yerel bağlantı noktalarını kapatmak ve bu bilgiye erişimi sınırlamak için Ortam Tespiti ve Hızlı Yardım Çağrısı (CIRA) özelliğini kullanabilir.

Intel AMT kimliği doğrulanan bir BT yöneticisinin neleri yapmasına olanak tanır?

  • Sorun giderme ve onarım amacıyla sistemi uzaktan açma, kapama ve yeniden yükleme.
  • Ana bilgisayar işletim sistemi kapalıyken veya hasar görmüşken bile sistemde uzaktan sorun giderme.
  • Sistemdeki BIOS yapılandırma ayarlarını uzaktan gözden geçirme ve değiştirme. Intel AMT, BT yöneticisinin BIOS parolasını es geçmesine sağlayan bir seçenek sunar, ancak tüm OEM’ler bu özelliği uygulamaz.
  • Sistemi korumak için ağ trafiği filtrelerini yapılandırma.
  • Sistemde yürütülen kayıtlı uygulamaları denetleme (örneğin antivirüs yazılımının çalışıp çalışmadığını).
  • Intel AMT sabit yazılımının ürettiği, kullanıcının sisteminde meydana gelen ve teknik destek gerektirebilecek olan CPU ısınması, FAN Hatası veya Sistem Savunması filtreleme hatası gibi etkinlikleri raporlayan uyarılar alma. www.intel.com/software/manageability adresinde daha fazla örnek bulabilirsiniz.
  • Önyükleme sürecini bir diskete, CD-ROM'a veya BT yöneticisinin sisteminde bulunan bir görüntüye yeniden yönlendirerek kullanıcının sisteminde uzaktan sorun giderme.
  • Kullanıcının sistemindeki klavye girişini ve metin modu video çıkışını BT yöneticisinin ekranına yeniden yönlendirerek sistemde uzaktan sorun giderme.
  • Klavye, video ve fareyi kullanıcı sistemi ve BT yöneticisinin sistemi arasında yeniden yönlendirerek (KVM yeniden yönlendirme) sistemde uzaktan sorun giderme.
  • Hangi ağ ortamlarında Intel AMT yönetilebilirlik işlevlerine erişilebileceğini yapılandırma (örneğin, güvenilir alan adlarını tanımlayarak).
  • Flaş veri havuzunda veri yazmak/silmek için kayıtlı bir ISV uygulaması kullanma (örneğin 3PDS alanı)
  • Intel AMT’nin istemci platformunda yerel olarak yönettiği Kalıcı Bellek’te (NVM) web uygulamalarını barındırma (Intel AMT 11.6 ve daha yeni sürümler).
  • Kullanıcının sistemini kuruluşun ağında bir UUID ile belirleme.
  • Intel AMT'nin yetkisini kaldırma ve Flash içeriklerini silme.
  • Kuruluş ağının dışındayken dâhi önceden yapılandırılan İstemci Tarafından Başlatılan Uzak Erişim (CIRA) profillerini kullanarak sistemlere uzaktan bağlanma.

 

Intel AMT, kimliği doğrulanan bir BT yöneticisinin bir kullanıcıya ait yerel sabit sürücülere erişmesine izin verir mi?

Uzaktan yönetim oturumu sırasında, BT yöneticisi kullanıcının yerel sabit sürücülerine erişebilir. Bu da BT yöneticilerinin hatalı bir uygulamayı veya işletim sistemini onararak veya yeniden kurarak kullanıcının sistemini onarmak gibi bir amaçla kullanıcının sabit diskinden dosyaları okuyabileceği/yazabileceği anlamına gelir. Intel AMT, BT yöneticilerine bu tür bilgilere erişim sağlanmasının neden olabileceği olası gizlilik risklerini azaltmaya yardımcı olacak iki özelliği destekler: IMSS ve Denetim Günlüğü. Denetim Günlüğü özellikleri, BT yöneticisinin Intel AMT aracılığıyla yaptığı kullanıcı sistemlerine erişimlerini günlüğe alarak yöneticiler için bir hesap verme sorumluluğu ortaya koyar. Ancak hangi etkinliklerin günlüğe alınacağı denetleyici tarafından belirlenir ve genellikle kuruluşlarda denetleyici kişi kullanıcı değildir. Intel, müşterilerine Intel AMT sistemine uzaktan erişimin günlüğe alınması gereken bir bilgi olduğunu belirtir, ancak bazı kurumsal ortamlarda bu bilginin kullanıcılara sunulmaması mümkündür. IMSS'nin kullanıcılara BT yöneticilerinin sistemlerine eriştiklerine dair bildirimleri nasıl sağladığına ilişkin bilgiler hemen aşağıda verilmektedir.

Intel AMT KVM Yeniden Yönlendirme özelliği, kimliği doğrulanan bir BT yöneticisinin kullanıcının bilgisayarının uzaktan kontrolünü fiziksel olarak klavye başındaymış gibi ele almasına olanak tanır mı?

KVM yeniden yönlendirme özelliğiyle yapılan bir uzaktan yönetim oturumu sırasında, BT yöneticisi kullanıcının bilgisayarının kontrolünü klavye başında oturuyormuş gibi ele alır. Intel AMT, KVM yeniden yönlendirme oturumunda bir KVM oturumunun kullanıcının açık onayı (KVM kullanıcı onayı olarak bilinen) olmadan başlatılamaması şeklinde bir gereklilik öngörür. Kullanıcının yeniden yönlendirme oturumu için onayını almak üzere kullanıcının ekranında diğer tüm pencerelerin üzerinde güvenli bir çıkış penceresi ("bağımsız görüntü") gösterilir ve bu pencerede kullanıcının BT yöneticisine rastgele üretilen bir numarayı okuması istenir. BT yöneticisinin doğru oturum numarasını girmesi koşuluyla KVM oturumu başlar. Geçerli bir KVM oturumu başlatıldığında, kullanıcının tüm ekranı BT yöneticisinin bir KVM onarımı oturumunda olduğunu gösteren yanıp sönen kırmızı ve sarı bir kenarlık ile kaplanır. Bu yanıp sönen kırmızı ve sarı kenarlık, oturum etkin olduğu sürece ekranda kalır. KVM kullanıcısının onayı, Intel AMT sistemi İstemci Kontrolü Modu’ndayken zorunlu, Yönetici Kontrolü Modu’ndayken ise isteğe bağlıdır.

OEM'in ayarlarına bağlı olarak, Intel AMT'deki SOL/IDER veya KVM özellikleri BIOS'ta veya Intel® Management Engine BIOS Extension (Intel® MEBX) üzerinde etkinleştirilir ya da devre dışı bırakılır. KVM onayı gerekliliği, BT yöneticisi tarafından BIOS ya da Intel AMT yapılandırma ayarlarından değiştirilebilir. Intel, kullanıcının gizliliğinin korunması için kullanıcı onayı yükümlülüğünden faydalanılmasını tavsiye eder.

Kullanıcı bir BT yöneticisinin sisteme Intel AMT ile eriştiğini nasıl anlar?

IMSS sistem çubuğu simgesi, bir BT yöneticisinin kullanıcı sistemine uzaktan yeniden yönlendirme oturumu (örneğin SOL/IDER) açarak/kapatarak erişmesi veya daha önce erişmiş olması, bir BT yöneticisinin kullanıcının sisteminde Sistem Savunması aktivasyonu ve Uzaktan Yükleme işlemci yapması gibi birçok etkinlik için kullanıcı bildirimlerini mümkün kılar ve destekler. Ayrıca, aktif uzaktan yeniden yönlendirme oturumu sırasında ekranın sağ üst köşesindeki yanıp sönen bir simge görünür. Bununla birlikte, bir kuruluş ortamında IMSS'nin mümkün kıldığı etkinlikler, kullanıcı tarafından değil, BT yöneticisi tarafından belirlenir. Intel, Intel AMT sistemlerini devreye alan kuruluşların bu paragrafta bahsedilen IMSS bildirimlerini etkinleştirmelerini tavsiye eder, ancak Intel AMT sistemine uzaktan bağlantı hakkındaki bilgilerin tüm kullanıcılara sağlanmaması mümkündür.

Kullanıcı tüm Intel AMT yapılandırmasını ve özel verileri nasıl temizleyebilir?

Intel AMT, bir Intel AMT sisteminin yetkisinin kısmen/tamamıyla kaldırılması için BIOS seçenekleri sunar. Intel, son kullanıcılara yeniden satış/geri dönüşüm öncesinde bir sistemin yetkisini tamamıyla kaldırmalarını ve kullanılmış bir Intel AMT özellikli sistem satın alırken Intel AMT'nin yetkisinin tamamıyla kaldırıldığını doğrulamalarını tavsiye eder.

Gizlilik bildirimi güncellemeleri

Bu gizlilik bildirimi zaman zaman güncellenebilir. Güncellendiğinde, gizlilik bildiriminin en üst kısmındaki son güncelleme tarihini de değiştirilir.

Daha fazla bilgi

Herhangi bir sorunuz varsa ya da bu gizlilik eki hakkında daha fazla bilgi almak isterseniz, lütfen bize ulaşmak için bu formu kullanın.