Infineon Security Platform Lösung - Richtlinien-Verwaltung |
Infineon Security Platform Systemrichtlinien
Von der Infineon Security Platform Lösung werden die folgenden Richtlinien-Verwaltung unterstützt.
Im Servermodus werden die Systemrichtlinien über alle Domänen durch einen Domänenadministrator über den Trusted Computing Management Server konfiguriert. Beachten Sie, dass die nur für den Servermodus gültigen Einstellungen in der administrativen Vorlagendatei beschrieben werden, die vom Trusted Computing Management Server bereitgestellt wird. |
Standardwert: Wurde eine Richtlinie noch nicht explizit eingerichtet (d.h. der Richtlinie-Editor der lokalen Gruppe zeigt den Status Nicht konfiguriert), verwendet die Security Platform Lösung einen Standardwert. |
Die Einstellungen für alle Versionen
Einstellungen, die sowohl für die Einzelmodusversion als auch für die Servermodusversion gültig sind.Richtlinien | Erklärung | Standardwert |
TPM-Registrierung vorbereiten | Aktiviert: Bei nicht initialisierten Plattformen, die ein deaktiviertes Trusted Platform Module besitzen und Physical Presence Interface (PPI) unterstützen, ist der Trusted Platform Module automatisch bereit, aktiviert zu werden. Der Benutzer wird durch die Aktivierung geführt. Deaktiviert: Der Trusted Platform Module kann nicht automatisch aktiviert werden. |
Deaktiviert |
Remote-Nutzung von Plattformschlüsseln durch Administratoren erlauben | Aktiviert: Ein Administrator kann Plattformschlüssel sowohl lokal als auch remote abrufen. Deaktiviert: Eine Remote-Nutzung von Systemschlüsseln ist nicht erlaubt. Aus Privatgründen ist der Zugriff auf diese Schlüssel eingeschränkt, wie in der Trusted Computing Group (TCG) diskutiert. Auf diese Weise sind alle Schlüssel, die eine Identifizierung Ihrer Security Platform erlauben, vor Remote-Zugriffen geschützt. Diese Richtlinie erfordert, dass alle beteiligten Computer Mitglieder von vertrauten Domänen sind. Das gilt nur für Betriebssysteme, die Domänenmitgliedschaft unterstützen. Beachten Sie, dass die Administration und der Betrieb der Security Platform durch diese Richtlinie nicht eingeschränkt ist. |
Deaktiviert |
Lesen ungeschützten Inhalts eines nicht flüchtigen TPM-Speichers erlauben | Legt fest, wer ungeschützte Daten eines nicht flüchtigen Speicher (NV), wie sie in einem Trusted Platform Module 1.2, lesen darf. Der nicht flüchtige Speicher kann sensible Daten enthalten. Aktiviert: Legt fest, ob nur lokale Administratoren, lokale und Fern-Administratoren, alle lokalen Benutzer oder alle Benutzer ungeschützte, nicht flüchtige Daten lesen dürfen. Deaktiviert: Kein Benutzer darf ungeschützte, nicht flüchtige Daten lesen. Diese Systemrichtlinie gilt nur für Security Platforms mit Trusted Platform Module 1.2. Beachten Sie, dass Verwaltung und Funktion der Security Platform durch diese Einstellung nicht eingeschränkt werden. |
Aktiviert/Lokale Administratoren |
Schwellenwert für Wörterbuchangriffe konfigurieren | Bestimmt die Anzahl der erlaubten Trusted Platform Module Authentifizierungsversuche, bevor Schutzmaßnahmen gegen einen Wörterbuchangriff unternommen werden. Aktiviert: Bestimmen Sie, wie viele Authentifizierungsversuche für Schlüssel zugelassen sind (z. B. für Security Platform Benutzerauthentifizierung verwendet), Besitzer und für den Zugriff auf versiegelte Daten (z. B. von Windows BitLocker in Kombination mit einer PIN verwendet), bevor Schutzmaßnahmen gegen einen Wörterbuchangriff vorgenommen werden. Deaktiviert: Der Schwellenwert für Wörterbuchangriffe kann nicht eingestellt werden. Die Standardwerte sind aktiv.
Diese Richtlinie gilt nur für Security Platforms mit einem Infineon Trusted Platform Module der Version 1.2. Sie muss vor der Initialisierung der Security Platform eingestellt werden. Spätere Änderungen dieser Richtlinie wirken sich erst nach dem nächsten Zurücksetzen der Abwehrstufe aus. |
Aktivierte Besitzer: 3 Versuche Schlüssel: 5 Versuche Daten: 10 Versuche |
Stringente Kennwortsicherheit aktivieren | Aktiviert: Die Möglichkeit das Kennwort zu kopieren, auszuschneiden, einzufügen und als Klartext zu sehen steht nicht zur Verfügung. Deaktiviert: Kennworte können über die Einfügefunktion in Kennwortfelder eingegeben werden. Ist das Kennwort als Klartext sichtbar, stehen die Funktionen Ausschneiden und Kopieren zur Verfügung. |
Deaktiviert |
Schlüssel beim Wechsel in den Energiesparmodus löschen | Aktiviert: Security Platform-Schlüssel werden gelöscht, wenn der Rechner in den Energiesparmodus (S3) oder den Schlafmodus (S4) wechselt. Hierdurch wird die Sicherheit im Energiesparmodus erhöht. Nach dem Wechsel zurück aus dem Energiesparmodus ist für die Security Platform Funktionen eine neue Benutzer-Authentifizierung erforderlich. |
Aktiviert |
Erweiterte Authentifizierungs-Provider | Aktiviert: Geben Sie eine Erweiterte Authentifizierung-Anbieter-Klassen-ID (CLSID) oder mehrere CLSIDs durch Semikola getrennt ein. |
Im Servermodus gleiches Verhalten
wie wenn deaktiviert. Im eigenständigen Modus gleiches Verhalten wie in früheren Produktversionen, d.h. installierte Anbieter können genutzt werden. |
Remote-Besitzübernahme durch Administratoren erlauben | Aktiviert: Die physische Präsenz eines Administrators ist nicht erforderlich, wenn der Besitz eines Computers übernommen wird. Diese Funktionalität kann besonders dann nützlich sein, wenn die Clients in großen Netzwerken eingerichtet werden. Deaktiviert: Eine Remote-Besitzübernahme ist nicht erlaubt. Diese Richtlinie erfordert, dass alle beteiligten Computer Mitglieder von vertrauten Domänen sind. Das gilt nur für Betriebssysteme, die Domänenmitgliedschaft unterstützen. |
Deaktiviert |
Administratoren den Remote-Abruf öffentlicher SRK-Schlüssel erlauben |
Legt fest, wer den Public Key Storage Root Key (SRK) eines Trusted Platform Module lesen darf. Der SRK benötigt einen besonderen Schutz, da sich durch ihn die Security Platform identifizieren lässt. Aktiviert: Ein Administrator kann den Storage Root Key sowohl lokal als auch remote abrufen. Deaktiviert: Der Abruf des öffentlichen SRK-Schlüssels ist nicht erlaubt.
Der Migrations-Schritt Automatischer Export und Autorisierung setzt voraus, dass diese Einstellung auf dem Zielrechner der Migration aktiviert ist. |
Deaktiviert |
Einstellungen für die Einzelmodusversion
Einstellungen, die nur für die Einzelmodusversion gültig sind.Richtlinien | Erklärung | Standardwert |
Besitzer-Kennwort -Mindest-Kennwortlänge | Aktiviert: Geben Sie die gewünschte Mindestlänge für das Besitzerkennwort ein, z.B. 6. Die Mindest-Kennwortlänge gilt für Besitzerkennwörter, die nachfolgend eingerichtet oder geändert werden. Deaktiviert: Die Mindest-Kennwortlänge beträgt 6 Zeichen. Diese Einstellung gilt nur für Besitzerkennwörter, die auf einer eigenständigen Security Platform festgelegt werden. Die Mindestkennwortlänge für vom Trusted Computing Management Server gesetzten Besitzerkennwörter wird über die gleichnamige Richtlinie des Trusted Computing Management Server eingestellt. Details zur Kennwort-Behandlung |
Aktiviert, 6 Zeichen |
Besitzer-Kennwort - Das Kennwort muss den Komplexitätsanforderungen entsprechen | Aktiviert: Die Kennwort-Komplexitätsanforderungen werden für Basis-Benutzerkennworte, die nachträglich eingerichtet oder geändert werden, erzwungen. Deaktiviert: Es werden keine Komplexitätsanforderungen für das Kennwort erzwungen. Diese Einstellung gilt nur für Besitzerkennwörter, die auf einer eigenständigen Security Platform festgelegt werden. Die Komplexitätsanforderungen für das Besitzer-Kennwort, gesetzt über den Trusted Computing Management Server, werden von der Trusted Computing Management Server Richtlinie mit der gleichen Bezeichnung festgelegt. Details zur Kennwort-Komplexität |
Deaktiviert |
Plattforminitialisierung erlauben | Verwaltungsschnittstelle und Assistent aktivieren/erlauben: Der Administrator kann den Assistenten für die Initialisierung der Security Platform und die Management Provider Interface zur Initialisierung benutzen. Management Provider nur Interface aktivieren/erlauben: Der Administrator kann nur das Management Provider Interface aber nicht den Assistenten für die Initialisierung der Security Platform benutzen. Deaktiviert: Der Administrator kann keine Funktionen der Security Platform ausführen. |
Verwaltungsschnittstelle und Assistent aktivieren/erlauben |
Konfiguration von Sicherung einschließlich Notfall-Wiederherstellung erzwingen | Aktiviert: Die Konfiguration der automatischen Sicherung (einschl. Notfall-Wiederherstellung) ist bei der Initialisierung der Security Platform obligatorisch. Wurde die Security Platform bereits ohne Konfiguration der automatischen Sicherung initialisiert, wird die Konfiguration der Sicherung nicht erzwungen. Deaktiviert: Kein Erzwingen der Konfiguration der automatischen Sicherung. Die Sicherung kann nach der Initialisierung der Security Platform über Parametrierungstool - Sicherung - Konfigurieren... konfiguriert werden. . |
Deaktiviert |
Speicherort des Sicherungs-Archivs | Aktiviert: Geben Sie einen Pfad und den Namen der Datei ein, z.B. \\BackupServer\SecurityPlatformShare\SPSystemSicherung.xml. Dieser Pfad wird erzwungen, wenn die Sicherungs-Funktion konfiguriert wird. Es wird ein automatisch geschriebenes Sicherungs-Archiv bestehend aus einer XML-Datei und einem Ordner mit dem gleichen Namen erzeugt, z.B. Datei SPSystemSicherung.xml und Ordner SPSystemSicherung. Dieser Zielpfad wird erzwungen, wenn die Sicherungs-Funktion konfiguriert ist. Wurde die Sicherungs-Funktion bereits konfiguriert, bleibt der existierende Pfad erhalten, bis die Konfiguration der Funktion geändert wird. Geben Sie unbedingt einen gültigen Pfad, auf den alle Security Platform PCs zugreifen können, ein. Anderenfalls schlägt die Sicherungs-Konfiguration fehl. Deaktiviert: Der Sicherungs-Zielpfad kann bei der Konfiguration der Sicherung frei spezifiziert werden. |
Deaktiviert |
Sofortige Systemsicherung erzwingen | Aktiviert: Wenn wichtige Änderungen an den Security Platform-Daten durchgeführt wurden, wird das Systemsicherungs-Verzeichnis sofort entsprechend aktualisiert. Voraussetzungen: Automatische Datensicherungen müssen konfiguriert werden. Außerdem muss Schreibzugriff auf das Systemsicherungs-Verzeichnis gewährt sein. Deaktiviert: Das Systemsicherungs-Verzeichnis wird nach wichtigen Änderungen an den Security Platform-Daten nicht automatisch aktualisiert. Sofern automatische Datensicherung konfiguriert ist und Schreibzugriff auf das Systemsicherungs-Verzeichnis besteht, wird das Verzeichnis bei der nächsten voreingestellten Systemsicherung aktualisiert. |
Aktiviert |
Verwenden des öffentlichen Schlüssels des Notfall-Wiederherstellungs-Tokens aus einem Archiv | Aktiviert: Geben Sie einen Pfad mit dem Dateinamen des öffentlichen Schlüssels ein, z.B.
\\Servername\Ordnername\Dateiname.xml. Dieser Pfad wird bei der Konfiguration der Notfall-Wiederherstellung erzwungen. Wurde die Notfall-Wiederherstellung bereits auf einem PC mit Security Platform PC konfiguriert, haben diese Einstellungen für diesen PC keine Gültigkeit. Geben Sie einen gültigen Pfad ein, auf den alle PCs mit Security Platform zugreifen können. Andernfalls treten bei der Konfiguration der Notfall-Wiederherstellung Fehler auf. Deaktiviert: Das Notfall-Wiederherstellungs-Token kann bei der Konfiguration der Notfall-Wiederherstellung erstellt oder ausgewählt werden. Details zur Konfiguration der NotfallwiederherstellungErstellen einer Archivdatei für den öffentlichen Schlüssel aus einer Token-Datei |
Deaktiviert |
Kennwort-Reset-Konfiguration erzwingen | Aktiviert: Die Konfiguration des Kennwort-Resets ist bei der Initialisierung der Security Platform obligatorisch. Wurde die Security Platform bereits ohne Konfiguration des Kennwort-Resets initialisiert, wird die Konfiguration des Kennwort-Resets nicht erzwungen. Deaktiviert: Kein Erzwingen der Kennwort-Reset-Konfiguration. Der Kennwort-Reset kann nach der Initialisierung der Security Platform über Parametrierungstool - Kennwort-Reset - Konfigurieren... konfiguriert werden. . |
Deaktiviert |
Verwenden des öffentlichen Schlüssels des Kennwort-Reset-Tokens aus dem Archiv |
Aktiviert: Geben Sie einen Pfad mit dem Dateinamen des öffentlichen Schlüssels ein, z.B.
\\Servername\Ordnername\Dateiname.xml. Dieser Pfad wird bei der Konfiguration des Kennwort-Resets erzwungen. Wurde der Kennwort-Reset bereits auf einem PC mit Security Platform PC konfiguriert, haben diese Einstellungen für diesen PC keine Gültigkeit. Geben Sie einen gültigen Pfad ein, auf den alle PCs mit Security Platform zugreifen können. Andernfalls treten bei der Konfiguration Konfiguration des Kennwort-Resets Fehler auf. Deaktiviert: Das Kennwort-Reset-Token kann bei der Konfiguration des Kennwort-Resets erstellt oder ausgewählt werden. Details zur Konfiguration des Zurücksetzens von KennwörternErstellen einer Archivdatei für den öffentlichen Schlüssel aus einer Token-Datei |
Deaktiviert |
Einstellungen vorheriger Produktversionen
Einstellungen, die nur für vorherige Produktversionen gültig sind.Richtlinien | Erklärung | Standardwert |
Speicherort für Notfall-Wiederherstellungs-Archiv | Diese Einstellung gilt nur für ältere Versionen der Security Platform Lösung. Bei älteren Versionen kann der Speicherort des Notfall-Wiederherstellungsarchiv explizit während der Initialisierung der Security Platform vorgegeben werden. Durch diese Richtlinie kann der Speicherort erzwungen werden. In der aktuellen Version wird der Speicherort automatisch gesetzt. |
--- |
Start-URL des Assistenten für die Zertifikatsanforderung | Siehe Benutzerrichtlinien. |
Deaktiviert |
©Infineon Technologies AG