Řešení Infineon Security Platform |
Odstraňování problémů
V následující části jsou popsány postupy při provádění nejpravděpodobnějších operací při odstraňování problémů v platformě Infineon Security Platform:
Je třeba provést nastavení platformy, ale čip Trusted Platform Module již má vlastníka.
Poznámky k systému souborů EFS se netýkají verzí systému Windows Home, jelikož ty systém souborů EFS nepodporují. |
Je třeba provést nastavení platformy, ale čip Trusted Platform Module již má vlastníka.
V takovém případě se při inicializaci platformy Security Platform použije stávající vlastník platformy Security Platform. K tomu je třeba znát stávající heslo vlastníka nebo mít přístup k odpovídajícímu záložnímu souboru hesla vlastníka.
Tato situace je typická pro prostředí kombinovaných systémů, kde se v jednom počítači vyskytuje více instalací jediného operačního systému. Vlastník platformy Infineon Security Platform („Storage Root Key“, SRK) nemůže opustit čip Trusted Platform Module a nemůže být zaveden zvenčí, takže není možné provést operaci „import“.
V závislosti na existenci základních uživatelských klíčů vyžaduje inicializace platformy Security Platform odlišný přístup.
Pokud v platformě Security Platform nebyl vytvořen žádný základní uživatelský klíč, lze vytvořit nový záložní archiv (obsahující data nouzového obnovení). Pak bude platforma Infineon Security Platform připravena k provádění dalších operací.
Jestliže základní uživatelské klíče existují a záložní archiv (obsahující data nouzového obnovení) je nastaven, je velmi důležité tento archiv během inicializace platformy Security Platform nepřepisovat.
V serverovém režimu je před připojením systému k doméně Trust Domain nejprve třeba vymazat vlastníka, pokud již nějaký existuje. Platforma Security Platform pak bude automaticky zaregistrována do domény Trust Domain (viz Registrace platformy).
Platforma Infineon Security Platform byla nastavena, ale vlastník platformy Infineon Security Platform se změnil.
Jestliže byla platforma Security Platform nastavena s nouzovým obnovením, lze pověření platformy Security Platform znovu aktivovat pomocí podpory nouzového obnovení řešení Security Platform Solution.
V serverovém režimu by čip Trusted Platform Module neměl mít vlastníka před připojením systému k doméně Trust Domain, tzn. dosud nebyl inicializován (ani aplikací Infineon TPM Professional Package v samostatném režimu, ani serverem Trusted Domain Server v serverovém režimu či jakoukoli jinou aplikací jako je Správa čipu TPM systému Windows Vista).
Co je třeba vzít v úvahu při nouzovém obnovení pomocí průvodce inicializací platformy Infineon Security Platform?
Nouzové obnovení systému lze provést, pokud došlo k výměně nebo resetování čipu Trusted Platform Module a pokud je k dispozici záložní bitová kopie umožňující obnovu dat. Data určitého uživatele vztahující se k platformě Security Platform a data nouzového obnovení se zálohují prostřednictvím automatických záloh systému.
Správce platformy Infineon Security Platform musí mít přístup k záložnímu archivu a k tokenu nouzového obnovení, který byl vytvořen při nastavení systému, a také musí znát heslo chránící tento token.
Správce platformy Infineon Security Platform musí systém obnovit spuštěním průvodce zálohováním platformy Infineon Security Platform.
Pokud se obnovení provádí na počítači, jehož název se změnil, je třeba znát předchozí název počítače nebo ID platformy tohoto počítače (SID). Je možné, že se v záložním archivu nacházejí data obnovení několika počítačů. V takovém případě je třeba vybrat v záložním archivu počítač, který má být obnoven.
V serverovém režimu je nouzové obnovení zpracováváno serverem Trusted Computing Management Server.
Ze zálohy systému je třeba obnovit dokument uložený ve složce chráněné systémem souborů EFS. Uživatel platformy Infineon Security Platform neexistuje v cílovém systému. Jak lze tuto situaci vyřešit?
Pokud již není k dispozici základní uživatelský klíč a nebyl nastaven žádný certifikát obnovení (pro agenta obnovení), je dokument nenávratně ztracen.
V opačném případě bude prvním krokem obnovení souboru ze zálohy. To se provádí bez toho, aby se to dotklo vlastností souboru týkajících se zabezpečení. V dalším kroku je třeba použít certifikát obnovení, aby mohl agent obnovení soubor dešifrovat.
Běžně používaná aplikace vytváří dočasné soubory mimo standardní složky dočasných souborů. Všechny složky dočasných souborů obvykle nejsou chráněny systémem souborů EFS. Jak lze dočasné soubory této aplikace zabezpečit, zejména když tyto soubory zůstávají po zavření aplikace na pevném disku?
Tento problém je běžný u mnoha aplikací. V závislosti na dané aplikaci se může stát, že dočasné soubory budou vytvářeny mimo nakonfigurované složky EFS. Jestliže se nejedná o běžnou složku %AppData% v uživatelském profilu (obvykle nazvaném „Data aplikace“), jde o funkci určité aplikace a k řešení této situace nelze dát obecné doporučení. Když je známo umístění (a aplikace nepodporuje konfiguraci této složky), může být řešením použití zabezpečení EFS u dané složky. Není-li tento přístup možný, mělo by být alespoň zaručeno odstranění těchto souborů po zavření aplikace.
Další informace týkající se odstraňování problémů se systémem souborů EFS naleznete na webu MSDN (Microsoft Developer Network).
Při prvním vstupu uživatele platformy Infineon Security Platform do složky EFS je vyžadováno heslo k základnímu uživatelskému klíči. Po zrušení tohoto dialogového okna a nakonfigurování agenta obnovení může uživatel získat přístup k datům ve složce EFS jen tehdy, když má k dispozici soukromý klíč agenta obnovení. Jedná se o chybu v systému?
Toto chování je správné vzhledem k vlastnostem agenta obnovení. Když je pro složku EFS konfigurován certifikát obnovení, agent obnovení použije tento certifikát při prvním vstupu do složky. V závislosti na tom, zda je počítač v doméně či nikoliv, jsou k dispozici různá řešení:
Počítač je v doméně: Zde se o přiřazení certifikátu stará správce. Není-li provedeno žádné přiřazení k určitému uživateli platformy Infineon Security Platform, k tomuto chování nedochází.
Počítač používá systém Windows 2000 a není členem domény: Možným řešením by mohlo být, aby soukromý klíč agenta obnovení nebyl k dispozici běžným uživatelům platformy Security Platform.
Počítač používá jiný podporovaný operační systém a není členem domény: V takovém případě certifikát obnovení obvykle neexistuje, takže by k tomuto chování nemělo docházet.
©Infineon Technologies AG