Nejčastější dotazy

Infineon Security Platform

Řešení Infineon Security Platform

Nejčastější dotazy

Jak lze odstranit uživatele platformy Infineon Security Platform?

Přinese uložení dat nouzového obnovení na vzdáleném stroji problémy se zabezpečením?

Lze aplikaci Infineon Security Platform Solution odinstalovat? A pokud ano, jak to lze provést?

Jaké informace zůstanou v systému po úspěšné odinstalaci?

Po zaregistrování certifikátu pomocí aplikace Internet Explorer nelze certifikát použít. Zobrazí se chybová zpráva.

Funkce operačního systému pro kompresi složek se používá k ukládání uživatelských dat. Jak lze pro takto komprimovanou složku aktivovat systém souborů EFS? Lze tyto funkce kombinovat?

Je třeba změnit certifikát přiřazený ke složce EFS. Lze to provést, aniž by tím byla ohrožena data v této složce? Lze složce přiřadit libovolný certifikát?

Jak lze platformu Infineon Security Platform připravit pro úspěšné zálohování systému? Které soubory jsou nezbytné pro úspěšné obnovení platformy Infineon Security Platform pomocí mechanismů systému?

Jak se provádí konfigurace a zpracování záložního archivu, zejména pokud jde o nastavení zásad?

Jak lze vytvořit archivní soubor veřejného klíče ze souboru tokenu?

Poznámky k systému souborů EFS se týkají pouze verzí systému Windows podporujících systém souborů EFS.

Jak lze odstranit uživatele platformy Infineon Security Platform?

Existují dva druhy operací odstranění:

  • Úplné odstranění uživatelského účtu operačního systému je přímočará operace podporovaná systémem Windows. Při odstraňování uživatelského účtu je třeba zaškrtnout políčko pro odstranění uživatelského profilu. Provedením této operace budou ze systému zcela odstraněny informace o uživatelském účtu.

  • Jestliže chcete odstranit pouze informace o uživateli platformy Infineon Security Platform, aniž by se to dotklo informací o účtu systému, je nezbytné odstranit složku \%AppData%\Infineon\TPM Software 2.0 daného uživatele.

Chcete-li odstranit veškerá data týkající se uživatele platformy Security Platform, podívejte se na data určitého uživatele uvedená v části Jaké informace zůstanou v systému po úspěšné odinstalaci? .

Pokud se nějaká data vyskytují v systému zašifrovaném pomocí klíče určitého uživatele platformy Infineon Security Platform, po odstranění uživatelského účtu již nebude možné tato data dešifrovat.


Přinese uložení dat nouzového obnovení na vzdáleném stroji problémy se zabezpečením?

Nevzniknou žádné problémy se zabezpečením. Data jsou chráněna tokenem nouzového obnovení, který je zase chráněn heslem tokenu nouzového obnovení.

V serverovém režimu nedochází k žádným problémům se zabezpečením, neboť nouzové obnovení je zpracováváno serverem Trusted Computing Management Server.


Lze aplikaci Infineon Security Platform Solution odinstalovat? A pokud ano, jak to lze provést?

Lze ji odinstalovat pomocí standardního postupu odstranění programů, který je k dispozici v operačním systému. Než tak učiníte, je třeba uložit veškerá uživatelská data chráněná platformou Security Platform. Nebudou-li uložena, po odstranění aplikace Infineon Security Platform Solution ze systému k nim již nebude možné získat přístup. Posledním krokem je deaktivace čipu Trusted Platform Module v systému BIOS daného počítače.

Novou verzi je možné instalovat na předchozí, aniž by ji bylo nutné odinstalovat. V takovém případě není třeba provádět kompletní zálohu uživatelských dat.


Jaké informace zůstanou v systému po úspěšné odinstalaci?

Bude-li aplikace Security Platform Solution odinstalována, zůstanou v systému některé informace. Díky zachování uživatelského nastavení a pověření platformy a uživatele bude systém po opětné instalaci ve stejném stavu jako předtím. Po opětné instalaci aplikace Infineon Security Platform tak nebudou ztracena žádná dříve zašifrovaná data.

Pokud však již tato data nejsou potřebná a systém je nezbytné kompletně vyčistit, je vhodné odstranit následující data.

Záložní archivy: Umístění automaticky psaných záložních archivů určují správci. V systému souborů představuje automaticky psaný záložní archiv soubor XML a složka se stejným názvem, např. soubor SPSystemBackup.xml a složka SPSystemBackup. Kromě toho mohou existovat ručně psané záložní archivy.

Token nouzového obnovení: Jeho umístění určuje vlastník platformy Security Platform během inicializace platformy Security Platform.

Archiv nouzového obnovení:

i) Windows 7 a Vista: \%ALLUSERSPROFILE%\Infineon\TPM Software 2.0\RestoreData\<Machine SID>\Users\<User SIDs>\SHTempRestore.xml

ii) Windows XP Professional, Windows 2000 a ostatní podporované operační systémy: \%ALLUSERSPROFILE%\Infineon\TPM Software 2.0\RestoreData\<Machine SID>\Users\<User SIDs>\SHTempRestore.xml

Soubory systémových dat a systémových klíčů:

i) Windows 7 a Vista: \%ALLUSERSPROFILE%\Infineon\TPM Software 2.0\PlatformKeyData
IFXConfigSys.xml
IFXFeatureSys.xml
TCSps.xml
TPMCPSys.xml

ii) Windows XP Professional, Windows 2000 a ostatní podporované operační systémy: \%ALLUSERSPROFILE%\<Application Data>\Infineon\TPM Software 2.0\PlatformKeyData
IFXConfigSys.xml
IFXFeatureSys.xml
TCSps.xml
TPMCPSys.xml

Místní stínové záložní soubory:

i) Windows 7 a Vista:
\%ALLUSERSPROFILE%\Infineon\TPM Software 2.0\BackupData\<Machine SID>\System\SHBackupSys.xml
\%ALLUSERSPROFILE%\Infineon\TPM Software 2.0\BackupData\<Machine SID>\Users\<User SIDs>\SHBackup.xml

ii) Windows XP Professional, Windows 2000 a ostatní podporované operační systémy:
\%ALLUSERSPROFILE%\<Application Data>\Infineon\TPM Software 2.0\BackupData\<Machine SID>\System\SHBackupSys.xml
\%ALLUSERSPROFILE%\<Application Data>\Infineon\TPM Software 2.0\BackupData\<Machine SID>\Users\<User SIDs>\SHBackup.xml

Soubory uživatelských klíčů: \%AppData%\Infineon\TPM Software 2.0\UserKeyData\TSPps.xml

Kontejner služby TPM Cryptographic Service Provider: \%AppData%\Infineon\TPM Software 2.0\UserKeyData\TSPps.xml

Soubor služby TPM PKCS #11 Provider: \%AppData%\Infineon\TPM Software 2.0\UserKeyData\TSPps.xml

Soubory konfigurace uživatele: \%AppData%\Infineon\TPM Software 2.0\UserKeyData\
IFXConfig.xml
IFXFeature.xml


Klíče registru:
HKEY_LOCAL_MACHINE\SOFTWARE\Infineon\TPM Software
HKEY_CURRENT_USER\Software\Infineon\TPM software

Následující klíče registru jednotky Personal Secure Drive je třeba odstranit ručně při odinstalaci funkce zabezpečení jednotky Personal Secure Drive:
[HKEY_LOCAL_MACHINE\SOFTWARE\Infineon\TPM Software\PSD]
[HKEY_CURRENT_USER\SOFTWARE\Infineon\TPM Software\PSD]

Adresáře jednotky Personal Secure Drive: Dále je třeba ručně odstranit následující adresáře:
x:\Security Platform\Personal Secure Drive\System Data
, kde x: je jednotka, na níž jsou umístěny jednotky Personal Secure Drives. Tato jednotka je buďto zvolena během vytváření jednotky Personal Secure Drive a může jí tedy být kterýkoliv místní pevný disk, nebo je definována místní uživatelskou zásadou jednotky Personal Secure Drive.

Různé:
Registrované certifikáty založené na čipu Trusted Platform Module
Plánovaná úloha zálohování (např. C:\WINDOWS\Tasks\Security Platform Backup Schedule)


Po zaregistrování certifikátu pomocí aplikace Internet Explorer nelze certifikát použít. Zobrazí se chybová zpráva.

Aplikace Internet Explorer certifikát blokuje, přestože je již uložen v úložišti certifikátů daného uživatele. Zavřete aplikaci Internet Explorer a znovu ji otevřete, aby se certifikát odblokoval.


Funkce operačního systému pro kompresi složek se používá k ukládání uživatelských dat. Jak lze pro takto komprimovanou složku aktivovat systém souborů EFS? Lze tyto funkce kombinovat?

Kombinování těchto funkcí není možné, neboť operační systém nedovoluje, aby komprimovaná složka byla rovněž složkou chráněnou systémem souborů EFS. Nejprve je třeba zrušit kompresi. Pak bude možné u složky aktivovat funkce systému souborů EFS.


Je třeba změnit certifikát přiřazený ke složce EFS. Lze to provést, aniž by tím byla ohrožena data v této složce? Lze složce přiřadit libovolný certifikát?

Obecně platí, že ke složce EFS je možné bez problémů přiřadit další certifikát. Základní omezující podmínkou je, aby všechny certifikáty byly kontrolovány stejným zprostředkovatelem kryptografická služba. Dokud budou existovat dříve přiřazené certifikáty, budou zašifrovaná data stále čitelná. Jakmile bude certifikát chránící soubor ve složce EFS odstraněn ze systému, budou příslušné soubory ztraceny.


Jak lze platformu Infineon Security Platform připravit pro úspěšné zálohování systému? Které soubory jsou nezbytné pro úspěšné obnovení platformy Infineon Security Platform pomocí mechanismů systému?

Soubory platformy Embedded Security for HP ProtectTools nezahrnují všechny aplikace balíku Embedded Security for HP ProtectTools. Po obnovení systémové zálohy je možné je znovu nainstalovat.

Data specifická pro aplikace Infineon Security Platform se zálohují pomocí průvodce zálohováním platformy Infineon Security Platform.
Průvodce zálohováním platformy Infineon Security Platform nezálohuje chráněná data, jako jsou šifrované soubory nebo e-mail, které je třeba zálohovat pomocí jiných zálohovacích nástrojů. Do běžného hromadného zálohování dat je vhodné zahrnout záložní archiv průvodce zálohováním platformy Infineon Security Platform.

Nebudete-li používat průvodce zálohováním platformy Infineon Security Platform pro data specifická pro aplikaci Security Platform Solution, nezapomeňte zálohovat veškerá data uvedená v části Jaké informace zůstanou v systému po úspěšné odinstalaci? .


  • Automatické zálohy systému nastavené správcem platformy Security Platform zahrnují také data nouzového obnovení.
  • V serverovém režimu je zálohování a obnovení zpracováváno serverem Trusted Computing Management Server.


Jak se provádí konfigurace a zpracování záložního archivu, zejména pokud jde o nastavení zásad?

Všechny podnikové platformy Security Platform lze konfigurovat na použití záložního archivu nastavením zásady Umístění záložního archivu.

V případě, že je třeba vytvořit nový záložní archiv, je velmi důležité neprovádět import zásad dříve, než bude inicializována první platforma Infineon Security Platform.

Potom je nutné spustit správu zásad a tuto zásadu správně konfigurovat s nastavením umístění dříve vytvořeného záložního archivu. Nakonec se po inicializaci všech ostatních podnikových platforem Security Platforms automaticky použije nakonfigurovaný soubor.

Tento oddíl neplatí v serverovém režimu, jelikož zálohování a obnovení je zpracováváno serverem Trusted Computing Management Server.


Jak lze vytvořit archivní soubor veřejného klíče ze souboru tokenu?

V nastavení zásad skupiny lze určit, že se má použít veřejný klíč existujícího tokenu nouzového obnovení nebo tokenu obnovení hesla z archivního souboru (viz Systémové zásady Použít veřejný klíč tokenu nouzového obnovení z archivu a Použít veřejný klíč tokenu obnovení hesla z archivu). Chcete-li takový archivní soubor vytvořit z existujícího souboru tokenu, postupujte podle následujících kroků:

  • Proveďte kompletní inicializaci platformy (včetně nouzového obnovení a obnovení hesla) s výchozím nastavením zásad u prvního systému (např. u testovacího systému).
    Průvodce rychlou inicializací vytvoří generický soubor tokenu pro nouzové obnovení i pro obnovení hesla.
    Průvodce inicializací platformy vytvoří jeden soubor tokenu pro nouzové obnovení a druhý pro obnovení hesla.
  • Ve stejném systému spusťte níže uvedený skript, který vytvoří požadovaný archivní soubor veřejného klíče z odpovídajícího souboru tokenu.
  • Zkopírujte archivní soubor veřejného klíče na vhodné místo a zapněte výše uvedené zásady.

Skript GeneratePubKeyArchive.vbs:
'GeneratePubKeyArchive.vbs <Úplná cesta k souboru Token.xml> <Úplná cesta k souboru PubKeyArchive.xml>
'<Úplná cesta k souboru Token.xml> může být jeden z následujících tokenů:
' - SPPwdResetToken.xml
' - SPEmRecToken.xml
' - SPGenericToken.xml
'<Úplná cesta k souboru PubKeyArchive.xml> je výstup obsahující veřejný klíč vyjmutý ze vstupního tokenu:
' - SPPwdResetTokenPubKeyArchive.xml
' - SPEmRecTokenPubKeyArchive.xml
' - SPGenericTokenPubKeyArchive.xml
'K použití pro zásadu „Použít veřejný klíč tokenu nouzového obnovení z archivu“:
' - SPEmRecTokenPubKeyArchive.xml
' - SPGenericTokenPubKeyArchive.xml
'K použití pro zásadu „Použít veřejný klíč tokenu obnovení hesla z archivu“:
' - SPPwdResetTokenPubKeyArchive.xml
' - SPGenericTokenPubKeyArchive.xml
'Nezapomeňte zadat úplnou cestu, např.:
' GeneratePubKeyArchive.vbs "c:\tmp\SPGenericToken.xml" "c:\tmp\SPGenericTokenPubKeyArchive.xml"
If WScript.Arguments.Count
2 Then
    WScript.Echo "Usage: " & Wscript.ScriptName & " ""<Úplná cesta k souboru Token.xml>"" ""<Úplná cesta k souboru PubKeyArchive.xml>"""
    WScript.Quit
End If
Set MPBase = WScript.CreateObject("IfxSpMgtPrv.MgmtProvider")
Set MPToken = MPBase.GetInterface(10)
' CreationFlags: keep existing file = 0, overwrite existing file = 1
CreationFlags = 0
ReservedFlag = 0
MPToken.CreatePublicKeyFile WScript.Arguments(0), WScript.Arguments(1), CreationFlags, ReservedFlag
'Error Handling if failing to be added here
WScript.Echo "Done"

Tento oddíl neplatí v serverovém režimu, jelikož nouzové obnovení a obnovení hesla je zpracováváno serverem Trusted Computing Management Server.


 


©Infineon Technologies AG