Infineon Security Platform Lösung |
Problembeseitigung
Im folgenden Kapitel werden die wichtigsten Funktionen zur Problembeseitigung der Infineon Security Platform beschrieben.
Die Security Platform wurde eingerichtet, aber der Besitzer der Security Platform hat sich geändert.
Bemerkungen zu EFS sind für Windows Home-Editionen nicht relevant, da EFS unter diesen Editionen nicht unterstützt wird. |
Eine Plattform muss eingerichtet werden, aber der Trusted Platform Module hat bereits einen Besitzer.
In diesem Fall wird der existierende Security Platform Besitzer zur Initialisierung der Security Platform verwendet. Dieses erfordert Kenntnis über das existierende Besitzer-Kennwort oder Zugriff auf die zugehörige Besitzer-Kennwort Sicherungsdatei.
Dies ist ein typisches Problem in einer Mehrfach-Systemumgebung, wenn mehrere Betriebssysteme auf einem Rechner installiert sind. Der Infineon Security Platform Besitzer ("Storage Root Key", SRK) kann der Trusted Platform Module nicht verlassen und kann auch nicht von draußen eingeführt werden, so dass eine 'Importieren' Operation nicht möglich ist.
Abhängig von der Existenz der Basis-Benutzerschlüssel, sind unterschiedliche Wege bei der Initialisierung der Security Platform erforderlich.
Wurde für die Security Platform kein Basis-Benutzerschlüssel erstellt, kann ein neues Sicherungs-Archiv (mit Notfall-Wiederherstellungsdaten) erzeugt werden. Danach ist die Infineon Security Platform für weitere Funktionen bereit.
Existiert der Basis-Benutzerschlüssel und ist ein Sicherungs-Archiv (mit Notfall-Wiederherstellungsdaten) eingerichtet, darf dieses Archiv bei der Initialisierung der Security Platform nicht überschrieben werden.
Im Server-Modus müssen Sie zuerst den Besitzer löschen, wenn bereits ein Besitzer vor dem Verbinden des Systems zur Trust Domain existiert. Die Security Platform wird dann automatisch bei der Trust Domain registriert (siehe Plattformregistrierung).
Die Security Platform wurde eingerichtet, aber der Besitzer der Security Platform hat sich geändert.
Wurde die Security Platform mit Notfall-Wiederherstellung eingerichtet, können Ihre Security Platform Schlüssel durch die Notfall-Wiederherstellungsunterstützung der Security Platform Lösung reaktiviert werden.
Der Trusted Platform Module sollte im Server-Modus keinen Besitzer vor dem Verbinden des System mit der Trust Domain haben, d. h. es sollte noch nicht initialisiert worden sein (weder durch das Infineon TPM Professional Package im eigenständigen Modus noch durch den Trusted Domain Server im Server-Modus oder durch andere Software wie Windows Vista Trusted Platform Module (TPM) Management).
Was muss bei der Notfall-Wiederherstellung durch den Assistenten für die Initialisierung der Infineon Security Platform beachtet werden?
Eine Notfall-Wiederherstellung eines Systems kann dann erfolgen, wenn Ihr Trusted Platform Module ausgetauscht oder zurückgesetzt wurde und ein Image für die Sicherung verfügbar ist, das die Wiederherstellung Ihrer Daten ermöglicht. Die benutzerspezifischen Daten der Security Platform und die Notfall-Wiederherstellungsdaten werden über die System-Sicherung automatisch gesichert.
Der Infineon Security Platform Administrator muss hierzu Zugriff auf das Sicherungs-Archiv und das Notfall-Wiederherstellungs-Token, das bei der Systemeinrichtung erzeugt wurde, haben und das Kennwort für das Token kennen.
Der Infineon Security Platform Administrator stellt das System mit Hilfe des Assistenten für die Sicherung der Infineon Security Platform wieder her.
Erfolgt die Wiederherstellung auf einem Rechner mit einem geänderten Namen, muss der alte Name des Rechners oder dessen Plattform-ID (SID) bekannt sein. Es besteht die Möglichkeit, dass in einem Sicherungs-Archiv Wiederherstellungsdaten mehrerer Rechner vorhanden sind. In diesem Fall müssen Sie einen Computer auswählen, der aus dem Sicherungs-Archiv wiederhergestellt werden soll.
Die Notfall-Wiederherstellung wird im Server-Modus vom Trusted Computing Management Server ausgeführt.
Ein Dokument aus einem EFS-geschützten Verzeichnis soll aus der System-Sicherung wiederhergestellt werden. Der Infineon Security Platform Benutzer existiert auf dem Zielsystem nicht. Wie kann dieses Problem gelöst werden?
Ist kein Basis-Benutzerschlüssel mehr verfügbar und war kein Wiederherstellungs-Zertifikat (für einen Wiederherstellungs-Agenten) eingerichtet, ist das Dokument endgültig verloren.
Im anderen Fall wird die Datei zuerst aus der Sicherung wiederhergestellt. Dies geschieht, ohne irgend etwas an den sicherheitsrelevanten Eigenschaften der Datei zu ändern. Im nächsten Schritt gibt dann das Wiederherstellungs-Zertifikat einem Wiederherstellungs-Agenten die Möglichkeit die Datei zu entschlüsseln.
Eine häufig verwendete Applikation erzeugt temporäre Dateien außerhalb des temporären Verzeichnisses. Generell sind alle temporären Verzeichnisse nicht durch EFS geschützt. Wie können die temporären Dateien dieser Applikation geschützt werden, besonders da diese Dateien nicht gelöscht werden, wenn die Applikation geschlossen wird?
Die ist bei vielen Applikationen ein gängiges Problem. Abhängig von der Applikation können diese temporären Dateien auch außerhalb des geschützten EFS-Verzeichnisses gespeichert werden. Ist dies nicht das %AppData% Verzeichnis des Benutzerprofils (allgemein mit "Anwendungsdaten" bezeichnet), handelt es sich um eine anwendungsspezifische Funktion und es kann keine allgemein gültige Lösung angeboten werden. Ist das Verzeichnis bekannt (und kann dieses in der Applikation nicht geändert werden) kann das Verzeichnis eventuell durch EFS geschützt werden. Ist dies nicht möglich, muss sicher gestellt werden, dass die Dateien nach Schließen der Applikation gelöscht werden.
Weitere Informationen zur Problembehebung des Encrypting File System finden Sie im Microsoft Developer Network (MSDN).
Wenn ein Infineon Security Platform Benutzer das erste Mal auf das EFS-Verzeichnis zugreift, ist das Kennwort für den Basis-Benutzerschlüssel erforderlich. Wenn dieser Dialog abgebrochen wird und ein Wiederherstellungs-Agent konfiguriert wurde, kann der Benutzer immer noch auf die Daten im EFS-Ordner zugreifen, solang der private Schlüssel des Wiederherstellungs-Agenten für den Benutzer verfügbar ist. Ist das ein Fehler?
Dieses Verhalten entspricht dem Design des Wiederherstellungs-Agenten. Wurde für ein EFS-Verzeichnis ein Wiederherstellungs-Zertifikat konfiguriert, wird dieses Zertifikat vom Wiederherstellungs-Agenten verwendet, wenn das erste Mal auf das Verzeichnis zugegriffen wird. Abhängig davon, ob der Rechner eine Domäne ist oder nicht, existieren verschiedene Lösungen:
Der Rechner ist eine Domäne: Hier ist der Administrator für die Zertifikatszuweisung verantwortlich. Bezieht sich die Zuweisung nicht auf einen bestimmten Infineon Security Platform Benutzer, tritt der beschriebene Fall nicht auf.
Der Rechner arbeitet mit Windows 2000 und ist kein Mitglied einer Domäne: Eine Möglichkeit ist, sicherzustellen, dass der private Schlüssel des Wiederherstellungs-Agenten nicht für normale Security Platform Benutzer verfügbar ist.
Auf dem Computer wird ein anderes unterstütztes Betriebssystem ausgeführt, und er ist kein Mitglied einer Domäne: In diesem Fall existiert normalerweise kein Wiederherstellungs-Zertifikat und der beschriebene Fall tritt nicht auf.
©Infineon Technologies AG