|
Řešení Infineon Security Platform – správa zásad |
Systémové zásady platformy Infineon Security Platform
Aplikace Infineon Security Platform Solution podporuje následující nastavení zásad počítače.
 |
V serverovém režimu konfiguruje správce domény systémové zásady pro celou doménu prostřednictvím serveru Trusted Computing Management Server. Nastavení platná pouze pro serverový režim jsou popsána v souboru šablony správy, který poskytuje server Trusted Computing Management Server. |
|
Výchozí hodnota: Jestliže zásada dosud nebyla výslovně stanovena (tj. Editor místních zásad skupiny zobrazuje stav Nekonfigurováno), aplikace Security Platform Solution standardně použije výchozí hodnotu. |
Nastavení všech verzí
Nastavení, která jsou platná jak pro verzi samostatného režimu, tak i pro verzi serverového režimu.| Zásady | Vysvětlení | Výchozí hodnota |
| Příprava registrace čipu TPM | Zapnuto: Na neinicializovaných platformách, které mají vypnutý čip Trusted Platform Module a podporují rozhraní Physical Presence Interface (PPI), je čip Trusted Platform Module automaticky připraven k zapnutí. Uživatelé budou navedeni k dokončení zapnutí. Vypnuto: Čip Trusted Platform Module není připraven k automatickému zapnutí. |
Vypnuto |
| Povolit správcům používat vzdáleně klíče platformy | Zapnuto: Správce může používat klíče platformy nejen místně, ale také vzdáleně. Vypnuto: Vzdálené použití klíčů platformy není povoleno. Pro soukromé záležitosti je přístup k těmto klíčům omezený jako kdyby byl v rámci skupiny Trusted Computing Group (TCG). Tímto způsobem jsou všechny klíče, které by umožnili identifikaci platformy Security Platform, skryté pro vzdálený přístup. Tato zásada vyžaduje, aby byly všechny zúčastněné počítače členy důvěryhodných domén. Je platná pouze pro operační systémy, které podporují členství domény.
|
Vypnuto |
| Povolit čtení nechráněné paměti TPM NV | Stanovuje, kdo může číst z nechráněné energeticky nezávislé paměti (NV) uložené v čipu Trusted Platform Module 1.2. Energeticky nezávislá paměť může obsahovat citlivá data. Zapnuto: Určete, zda mohou nechráněná energeticky nezávislá data číst pouze místní správci, místní a vzdálení správci, všichni místní uživatelé nebo všichni uživatelé. Vypnuto: Žádný uživatel nesmí číst nechráněná energeticky nezávislá data.
Správa a činnost platformy Security Platform není omezena tímto nastavením. |
Zapnuto/Místní správci |
| Konfigurace prahu slovníkového útoku | Stanovuje počet povolených pokusů ověření čipu Trusted Platform Module před provedením opatření k ochraně před slovníkovým útokem. Zapnuto: Určete počet povolených pokusů ověření klíčů (použitých například k ověření uživatele Security Platform), vlastníka a přístupu k izolovaným datům (použitým například aplikací Windows BitLocker v kombinaci s kódem PIN) před provedením opatření k ochraně před slovníkovým útokem. Vypnuto: Práh slovníkového útoku nelze konfigurovat. Použijí se výchozí hodnoty.
|
Zapnuto Vlastník: 3 pokusy Klíč: 5 pokusů Data: 10 pokusů |
| Povolit striktní zabezpečení pole hesla | Zapnuto: V nekódovaném textu není možné vyjímat, kopírovat, vkládat a vidět tajná data (například hesla nebo tajné klíče). Vypnuto: Data je možné vkládat. Navíc jsou k dispozici operace vyjmutí a kopírování, když jsou tajná data (například hesla nebo tajné klíče) v nekódovaném textu viditelná. |
Vypnuto |
| Uvolnění klíčů při přechodu do energeticky úsporných stavů | Zapnuto: Než počítač přejde do jednoho z energeticky úsporných stavů, buď úsporného režimu (S3) nebo režimu spánku (S4), klíče platformy Security Platform budou uvolněny. Zvýší se tak úroveň zabezpečení během energeticky úsporného stavu. Po návratu z úsporného stavu budou funkce platformy Security Platform opět vyžadovat ověření uživatele. |
Zapnuto |
| Poskytovatelé rozšířeného ověření | Zapnuto: Zadejte ID třídy poskytovatele rozšířeného ověření (identifikátor CLSID) nebo několik identifikátorů CLSID oddělených středníky. |
V serverovém režimu stejné chování jako kdyby byla zásada vypnuta. V samostatném režimu stejné chování jako v předchozích verzích produktu, tzn. lze použít pouze instalované poskytovatele. |
| Povolit správcům vzdálené převzetí vlastnictví | Zapnuto: Není vyžadováno, aby byl správce při přebírání vlastnictví na počítači přítomen místně. Tato funkce může být zvláště užitečná při nastavování klientů v rozsáhlých sítích. Vypnuto: Převzetí vlastnictví vzdáleně není povoleno.
|
Vypnuto |
| Povolit správcům vzdálené načtení veřejného klíče SRK |
Stanovuje, kdo může v čipu Trusted Platform Module číst veřejný klíč SRK (Storage Root Key). Veřejný klíč SRK vyžaduje konkrétní ochranu, protože platforma Security Platform podle něj může být identifikována. Zapnuto: Správce může načíst veřejný klíč SRK nejen místně, ale také vzdáleně. Vypnuto: Vzdálené načtení veřejného klíče SRK není povoleno.
|
Vypnuto |
Nastavení pro verzi samostatného režimu
Nastavení, která jsou platná jen pro verzi samostatného režimu.| Zásady | Vysvětlení | Výchozí hodnota |
| Heslo vlastníka – minimální délka hesla | Zapnuto: Zadejte požadovanou minimální délku hesla vlastníka, např. 6. Minimální délka hesla bude platit pro hesla vlastníka, která budou následně nastavena nebo změněna. Vypnuto: Minimální délka hesla je 6 znaků.
|
Zapnuto, 6 znaků |
| Heslo vlastníka – heslo musí splňovat požadavky na složitost | Zapnuto: Pro následně nastavená nebo změněná hesla vlastníka musí být splněny požadavky na složitost hesla. Vypnuto: Žádné požadavky na složitost hesla nemusí být splněny. Toto nastavení platí pouze pro hesla vlastníka nastavená na samostatné platformě Security Platform. Požadavky na složitost hesel vlastníka nastavených prostřednictvím serveru Trusted Computing Management Server se řídí zásadami serveru Trusted Computing Management Server se stejným názvem.
Podrobnosti o složitosti hesla |
Vypnuto |
| Povolit registraci platformy | Zapnuto/Povolit rozhraní Management Provider a průvodce: Platformy mohou být inicializovány prostřednictvím rozhraní Management Provider, průvodce rychlou inicializací nebo průvodce inicializací. Zapnuto/Povolit pouze rozhraní Management Provider: Platformy mohou být inicializovány pouze prostřednictvím rozhraní Management Provider. Vypnuto: Platformy nemohou být inicializovány. |
Zapnuto/Povolit rozhraní Management Provider a průvodce |
| Vynutit konfiguraci zálohy včetně nouzového obnovení | Zapnuto: Konfigurace automatických záloh (včetně nouzového obnovení) je v procesu inicializace platformy Security Platform povinná. Pokud platforma Security Platform byla již inicializována bez konfigurace automatických záloh, není konfigurace automatických záloh vynucena. Vypnuto: Konfigurace automatických záloh není vynucena. Konfiguraci záloh můžete provést po inicializaci platformy Security Platform prostřednictvím nástroje Nastavení – Záloha – Konfigurovat... . |
Vypnuto |
| Umístění záložního archivu | Zapnuto: Zadejte cestu včetně názvu souboru záložního archivu, např. \\BackupServer\SecurityPlatformShare\SPSystemBackup.xml. Tato cílová cesta se uplatní při konfiguraci funkce Záloha. Bude vytvořen automaticky psaný záložní archiv skládající se ze souboru XML a složky se stejným názvem, např. soubor SPSystemBackup.xml a složka SPSystemBackup. Je-li funkce Záloha již konfigurována, stávající cesta zálohy se ponechá, dokud nebude provedena opětovná konfigurace.
Vypnuto: Cílovou cestu zálohy můžete volně určit při konfiguraci funkce Záloha. |
Vypnuto |
| Vynutit okamžitou zálohu systému | Zapnuto: Archiv záloh systému bude okamžitě po provedení významných změn dat platformy Security Platform aktualizován.
Vypnuto: Archiv záloh systému nebude aktualizován okamžitě po provedení významných změn dat platformy Security Platform. Jsou-li konfigurovány automatické zálohy a je povolen přístup pro zápis do archivu záloh systému, archiv bude aktualizován při další plánované záloze systému. |
Zapnuto |
| Použít veřejný klíč tokenu nouzového obnovení z archivu | Zapnuto: Zadejte cestu včetně názvu souboru veřejného klíče, např. \\ServerName\FolderName\FileName.xml. Tato cesta se uplatní při konfiguraci funkce Nouzové obnovení. Pokud již byla funkce Nouzové obnovení na osobním počítači s platformou Security Platform konfigurována, toto nastavení nebude mít na daný počítač žádný vliv.
Vypnuto: Token nouzového obnovení může být vytvořen nebo vybrán při konfiguraci funkce Nouzové obnovení. Podrobnosti o konfiguraci funkce Nouzové obnoveníJak vytvořit archivní soubor veřejného klíče ze souboru tokenu |
Vypnuto |
| Vynutit konfiguraci obnovení hesla | Zapnuto: Konfigurace obnovení hesla je v procesu inicializace platformy Security Platform povinná. Pokud již byla platforma Security Platform inicializována bez konfigurace obnovení hesla, obnovení hesla není vynuceno. Vypnuto: Konfigurace obnovení hesla není vynucena. Obnovení hesla může být konfigurováno po inicializaci platformy Security Platform prostřednictvím nástroje Nastavení – Obnovení hesla – Konfigurovat... . |
Vypnuto |
| Použít veřejný klíč tokenu obnovení hesla z archivu | Zapnuto: Zadejte cestu včetně názvu souboru veřejného klíče, např. \\ServerName\FolderName\FileName.xml. Tato cesta se uplatní při konfiguraci obnovení hesla. Je-li obnovení hesla na počítači s platformou Security Platform již konfigurováno, toto nastavení nebude mít na tento počítač žádný vliv.
Vypnuto: Token obnovení hesla může být vytvořen nebo vybrán při konfiguraci obnovení hesla. Podrobnosti o konfiguraci obnovení heslaJak vytvořit archivní soubor veřejného klíče ze souboru tokenu |
Vypnuto |
Nastavení předchozích verzí produktu
Nastavení, která jsou platná pouze pro předchozí verze produktu.| Zásady | Vysvětlení | Výchozí hodnota |
| Umístění souboru pro archiv nouzového obnovení | Toto nastavení je platné pouze pro starší verze aplikace Security Platform Solution. Ve starších verzích mohlo být umístění souboru pro archiv nouzového obnovení nastaveno explicitně během inicializace platformy Security Platform. Pomocí této zásady mohlo být uplatněno umístění souboru. V současné verzi je umístění souboru nastaveno automaticky. |
--- |
| Adresa URL, ze které průvodce začne registraci certifikátu | Viz uživatelské zásady. |
Vypnuto |
©Infineon Technologies AG