Uživatelské zásady platformy Infineon Security Platform

Infineon Security Platform

Řešení Infineon Security Platform – správa zásad

Uživatelské zásady platformy Infineon Security Platform

Aplikace Infineon Security Platform Solution podporuje následující nastavení uživatelských zásad.

V serverovém režimu konfiguruje správce domény uživatelské zásady pro celou doménu prostřednictvím serveru Trusted Computing Management Server. Nastavení platná pouze pro serverový režim jsou popsána v souboru šablony správy, který poskytuje server Trusted Computing Management Server.
Výchozí hodnota: Jestliže zásada dosud nebyla výslovně stanovena (tj. Editor místních zásad skupiny zobrazuje stav Nekonfigurováno), aplikace Security Platform Solution standardně použije výchozí hodnotu.

Nastavení všech verzí

Nastavení, která jsou platná jak pro verzi samostatného režimu, tak i pro verzi serverového režimu.
Zásady Vysvětlení Výchozí hodnota
Základní uživatelské heslo – minimální délka hesla Zapnuto: Zadejte požadovanou minimální délku hesla vlastníka, např. 6.
Minimální délka hesla bude platit pro základní uživatelská hesla, která budou následně nastavena nebo změněna.

Vypnuto: Minimální délka hesla je 6 znaků.

Podrobnosti o zpracování hesla
Zapnuto, 6 znaků
Základní uživatelské heslo – heslo musí splňovat požadavky na složitost Zapnuto: Pro následně nastavená nebo změněná základní uživatelská hesla musí být splněny požadavky na složitost hesla.

Vypnuto: Žádné požadavky na složitost hesla nemusí být splněny.

Podrobnosti o složitosti hesla
Vypnuto
Základní uživatelské heslo – maximální stáří základního uživatelského hesla Stanovuje časové období (dny), ve kterém může být základní uživatelské heslo používáno, než bude systém vyžadovat, aby ho uživatel změnil.

Zapnuto:

  • Maximální stáří základního uživatelského hesla: Zadejte požadované maximální stáří základního uživatelského hesla, například 42 dní.
  • Upozornění na vypršení platnosti základního uživatelského hesla: Zadejte, kolik dní před vypršením platnosti základního uživatelského hesla budou uživatelé upozorněni, například 7 dní.

Vypnuto: Není stanoveno maximální stáří základního uživatelského hesla, to znamená, že jeho platnost nikdy nevyprší.

Vypnuto
Základní uživatelské přístupové heslo – minimální délka přístupového hesla Zapnuto: Zadejte požadovanou minimální délku základního uživatelského přístupového hesla, např. 20.
Minimální délka přístupového hesla bude platit pro základní uživatelská přístupová hesla, která budou následně nastavena nebo změněna.

Vypnuto: Minimální délka přístupového hesla je 20 znaků.

Tato zásada je platná pouze při použití rozšířeného ověření.

Podrobnosti o rozšířeném ověření
Zapnuto, 20 znaků
Základní uživatelské přístupové heslo – přístupové heslo musí splňovat požadavky na složitost Zapnuto: Pro následně změněná základní uživatelská přístupová hesla musí být splněny požadavky na složitost hesla.

Vypnuto: Žádné požadavky na složitost nemusí být splněny.

Tato zásada je platná pouze při použití rozšířeného ověření.

Podrobnosti o složitosti hesla
Podrobnosti o rozšířeném ověření
Vypnuto
Řízení rychlé inicializace Zapnuto/Povolit: K inicializaci platforem a uživatelů lze použít průvodce rychlou inicializací nebo průvodce inicializací platformy Security Platform a průvodce inicializací uživatele.

Zapnuto/Vynutit: K inicializaci platforem nebo uživatelů je nutné použít průvodce rychlou inicializací. Také dostupné funkce (EFS, PSD) musí být na začátku konfigurovány pomocí průvodce rychlou inicializací.

Vypnuto: Průvodce rychlou inicializací nelze použít k inicializaci platforem a uživatelů. Namísto něj je nutné použít průvodce inicializací platformy Security Platform.

Zapnuto/Povolit
Povolit uživateli dočasné vypnutí funkce platformy Security Platform Zapnuto: Uživatel platformy Infineon Security Platform může vypnout aktivní funkce platformy Security Platform, dokud nedojde k restartování počítače.

Vypnuto: Možnost dočasně vypnout platformu Infineon Security Platform není v uživatelském rozhraní aplikace Security Platform Solution k dispozici.

Tato zásada je platná pouze pro platformy Security Platform s čipem Infineon Trusted Platform Module 1,1.
Když se uživatel odhlásí a jiný uživatel se přihlásí, vypnuté funkce platformy Security Platform zůstanou vypnuté, dokud nebude počítač restartován.

Zapnuto
Povolit konfiguraci zabezpečení e-mailu Zapnuto: Uživatel může konfigurovat funkci platformy Security Platform Zabezpečení e-mailu.

Vypnuto: Uživatel nemůže tuto funkci konfigurovat, lze však použít předchozí konfiguraci.

Zapnuto
Povolit konfiguraci EFS Zapnuto: Uživatel může konfigurovat funkci platformy Security Platform Šifrování souborů a složek pomocí systému souborů EFS (Encrypting File System).

Vypnuto: Uživatel nemůže tuto funkci konfigurovat, lze však použít předchozí konfiguraci.

Systém souborů EFS není podporován verzemi systému Windows Home.

Zapnuto
Povolit konfiguraci PSD Zapnuto: Uživatel může konfigurovat funkci platformy Security Platform Šifrování souborů a složek pomocí jednotky PSD (Personal Secure Drive).

Vypnuto: Uživatel nemůže tuto funkci konfigurovat, lze však použít předchozí konfiguraci.

Zapnuto
Vynutit povolení obnovení hesla Zapnuto: Povolení obnovení hesla je v procesu inicializace uživatele povinné.
Pokud již byl uživatel platformy Security Platform inicializován bez povolení obnovení hesla, povolení obnovení hesla není vynuceno.

Vypnuto: Povolení obnovení hesla není vynuceno. Obnovení hesla lze povolit po inicializaci uživatele prostřednictvím nástroje Nastavení – Obnovení hesla – Povolit...

Vypnuto
Vynutit rozšířené ověření Zapnuto: Uživatelé platformy Security Platform musí používat rozšířené ověření (pomocí základního uživatelského přístupového hesla).

Vypnuto: Uživatelé platformy Security Platform mohou rozhodnout, zda chtějí použít rozšířené ověření (pomocí základního uživatelského přístupového hesla) nebo ověření heslem (pomocí základního uživatelského hesla).

Tato zásada platí jen v případě, že je pro všechny uživatele zapnuto alespoň jedno ověřovací zařízení. Pokud již byl uživatel platformy Security Platform inicializován, aniž byl proveden výběr ověřovacího zařízení, použití rozšířeného ověření není vynuceno.

Podrobnosti o rozšířeném ověření
Vypnuto
Povolit ukládání základního uživatelského hesla do paměti Zapnuto: Základní uživatelské heslo může být v aplikaci Infineon Security Platform uloženo do paměti, čímž se sníží počet vyžadovaného zadávání hesla během aktuální přihlašovací relace. Minimalizuje se tak počet vyzvání uživatele k zadání hesla.

Vypnuto: Dialogové okno Základní uživatelské heslo nenabídne možnost dočasně uložit základní uživatelské heslo do paměti.

Zapnuto
Adresa URL, ze které průvodce začne registraci certifikátu Zapnuto: Toto nastavení určuje webovou adresu, kterou použije průvodce inicializací uživatele platformy Infineon Security Platform k načtení certifikátů pomocí webového prohlížeče.
Stánka k získání certifikátu je dostupná v průvodci inicializace, pouze pokud je toto nastavení zapnuto a při konfiguraci je vybrána minimálně jedna funkce platformy Security Platform.

Vypnuto: Stránka k získání certifikátu není v průvodci inicializací uživatele platformy Infineon Security Platform k dispozici.

Poznámky:

  • Toto nastavení je rovněž podporováno jako systémová zásada, aby byla zajištěna kompatibilita se staršími verzemi aplikace Security Platform Solution.
  • Doporučení: Používejte toto nastavení jako uživatelskou zásadu.
  • Zatímco toto nastavení je nezávislé na použití certifikátu, existuje rovněž speciální uživatelská zásada pro certifikáty EFS (Typ certifikátu EFS a registrace).
Vypnuto
Typ certifikátu EFS a registrace Zapnuto: Typ certifikátu EFS lze omezit. Rovněž je možné zapnout registraci externích certifikátů EFS určením webové adresy certifikační autority.

1. Typ certifikátu EFS: Určete, zda chcete povolit všechny typy certifikátů (domény, externí a automaticky podepsaný), nebo jen určité typy certifikátů. Toto omezení se použije, když se uživatel chystá registrovat nebo vybrat certifikáty.

  • Doménový certifikát: Certifikát registrovaný prostřednictvím certifikační autority v rámci vlastní domény.
  • Externí certifikát: Certifikát registrovaný prostřednictvím externí certifikační autority dostupné přes web.
  • Certifikát podepsaný svým držitelem: Certifikát vytvořený na vlastním počítači.

2.   Adresa URL dotazu na certifikát: Zadejte webovou adresu certifikační autority pro dotaz na certifikát, která se použije pro registraci certifikátu EFS, např. https://www.companyname.com/foldername.
Tato cílová cesta se použije, když je certifikát EFS vyžádán od externí certifikační autority.

  • Adresa URL dotazu na certifikát je volitelná.
  • Jestliže zde nezadáte cestu, uživatelé nebudou moci vyžadovat externí certifikáty EFS.
  • Chcete-li externí certifikáty EFS povolit, zadejte platnou cestu, která bude přístupná pro všechny počítače s platformou Security Platform. V opačném případě se registrace certifikátu EFS nezdaří.

Vypnuto: Typ certifikátu EFS není omezen. Webová adresa, která se má použít k načtení certifikátů EFS není nastavena, to znamená, že uživatelé nemohou vyžadovat externí certifikáty EFS.

Poznámky:

  • Certifikáty EFS se nepoužívají jen pro EFS, ale také pro jednotky PSD.
  • Zatímco toto nastavení je platné pouze pro certifikáty EFS (které se mají použít pro EFS nebo PSD), existuje rovněž uživatelská zásada, která je nezávislá na použití certifikátu (Adresa URL, ze které průvodce začne registraci certifikátu).

Postup při registraci a výběru certifikátu EFS

Vypnuto
Výskyt upozornění na vypršení platnosti certifikátu EFS Zapnuto: Uživatelé platformy Security Platform budou před vypršením platnosti certifikátu EFS informováni bublinovou nápovědou. Určete, kdy má upozornění proběhnout, například 14 dní před vypršením platnosti certifikátu.

Vypnuto: K žádnému oznámení o vypršení certifikátu nedojde.

Uživatelé budou upozornění 14 dní před vypršením platnosti certifikátu.
Období platnosti automaticky podepsaných certifikátů EFS Zapnuto: Určete dobu, po kterou budou automaticky podepsané certifikáty EFS platné.

Vypnuto: Platnost je 10 let.

Zapnuto s dobou platnosti 10 let.
Umístění souboru pro jednotku Personal Secure Drive Zapnuto/Výchozí jednotka PSD: Tímto se nastaví jednotka, na které budou vytvořeny soubory obrazu jednotky Personal Secure Drive. Zadejte do pole úprav platné písmeno jednotky bez další cesty. Je-li písmeno jednotky neplatné, uživatelé nebudou moci vytvořit obraz souboru jednotky Personal Secure Drive.

Vypnuto: Uživatel může vybrat cílovou jednotku, na které budou vytvořeny soubory obrazu jednotky Personal Secure Drive.

Vypnuto
Minimální volné místo po vytvoření jednotky PSD Zapnuto: Je-li jednotka PSD uložena na systémovou jednotku (kde se nachází aktuální operační systém), potom musí po konfiguraci jednotky PSD zůstat definovaná velikost volného místa. Určete, kolik volného místa musí zůstat na systémové jednotce po konfiguraci PSD.

Vypnuto: Neexistuje žádné omezení, které se týká volného místa na systémovém oddílu po vytvoření jednotky PSD.

Příklad:
Tato zásada je zapnutá a je nastavena hodnotu 5 000 MB.
Minimální velikost jednotky PSD je 20 MB pro operační systémy Windows 7 a Windows Vista a 10 MB pro všechny ostatní operační systémy.

  • Za předpokladu, že by volný prostor před vytvořením jednotky PSD byl 5 050 MB, pak by maximální velikost jednotky PSD byla 50 MB.
  • Za předpokladu, že by volný prostor byl 5 000 MB, pak by na systémové jednotce nebylo možné vytvořit jednotku PSD.
Tato zásada je zapnutá a je nastavena hodnotu 5 000 MB.
Povolit uživateli import klíče Zapnuto: Uživatelé platformy Security Platform mají povoleno importovat soukromé klíče do platformy Security Platform. Soukromé klíče se importují spolu s certifikáty prostřednictvím aplikace Prohlížeč certifikátu a Výběr certifikátu.

Vypnuto: Uživatelé platformy Security Platform nemohou importovat soukromé klíče do platformy Security Platform.

Zapnuto
Vynutit přísnou ochranu soukromých podpisových klíčů rozhraní MS-CAPI

Zapnuto: Všechny klíče použité výhradně pro podpisové operace rozhraním MS-CAPI jsou chráněny silnou ochranou soukromí. V tomto případě je klíč chráněn svým vlastním heslem, které je potřeba zadat, kdykoliv je klíč použit pro podpisové operace.

Vypnuto: Podpisové klíče nejsou chráněny žádným zvláštním způsobem.

Toto konkrétní heslo lze uložit do paměti, aby se zabránilo opakovanému zadávání. Protože se nevztahuje k základnímu uživatelskému klíči, mechanismus mezipaměti použitý pro základní uživatelské heslo toto heslo neovlivní.
Vypnuto
Vytvoření nemigrovatelného základního uživatelského klíče

Zapnuto/Na vyžádání: Když se uživatel chystá poprvé použít aplikaci Infineon TPM Strong Cryptographic Provider, bude vyzván k vytvoření nemigrovatelného základního uživatelského klíče. Aplikace Strong Cryptographic Provider vyžaduje nemigrovatelný základní uživatelský klíč.

Zapnuto/Automaticky: U nových uživatelů se během inicializace automaticky vytvoří nemigrovatelný základní uživatelský klíč. U uživatelů, kteří již jsou inicializováni, je nemigrovatelný základní uživatelský klíč vytvořen na vyžádání.

Vypnuto: Žádný nemigrovatelný základní uživatelský klíč nebude vytvořen, to znamená, že aplikaci Infineon TPM Strong Cryptographic Provider nelze použít.

 
Zapnuto/Na vyžádání

Nastavení pro verzi samostatného režimu

Nastavení, která jsou platná jen pro verzi samostatného režimu.
Zásady Vysvětlení Výchozí hodnota
Zobrazení upozornění zálohy Zapnuto: Uživatelé platformy Security Platform budou upozornění bublinovou nápovědou, pokud se zálohování pověření a klíčů určitého uživatele nezdařilo (například protože umístění pro zálohování není přístupné). Určete, jak často se oznámení má objevovat, například každé 2 dny po neúspěšném zálohování, dokud nebude úspěšné.

Vypnuto: Žádné oznámení o neúspěšném zálohování se nezobrazí.

Upozornění se uživatelům zobrazuje denně.
Povolit registraci uživatele Zapnuto/Povolit rozhraní Management Provider a průvodce: Uživatelé mohou být inicializováni prostřednictvím rozhraní Management Provider, průvodce rychlou inicializací nebo průvodce inicializací uživatele.

Zapnuto/Povolit pouze rozhraní Management Provider: Uživatelé mohou být inicializováni pouze prostřednictvím rozhraní Management Provider.

Vypnuto: Uživatelé nemohou být inicializováni.

Zapnuto/Povolit rozhraní Management Provider a průvodce


©Infineon Technologies AG