Infineon Security Platform Lösung - Richtlinien-Verwaltung |
Infineon Security Platform Benutzerrichtlinien
Von der Infineon Security Platform Lösung werden die folgenden Benutzerrichtlinien unterstützt.
Im Servermodus werden die Benutzerrichtlinien für die gesamte Domäne durch einen Domänenadministrator über den Trusted Computing Management Server konfiguriert. Beachten Sie, dass die nur für den Servermodus gültigen Einstellungen in der administrativen Vorlagendatei beschrieben werden, die vom Trusted Computing Management Server bereitgestellt wird. |
Standardwert: Wurde eine Richtlinie noch nicht explizit eingerichtet (d.h. der Richtlinie-Editor der lokalen Gruppe zeigt den Status Nicht konfiguriert), verwendet die Security Platform Lösung einen Standardwert. |
Die Einstellungen für alle Versionen
Einstellungen, die sowohl für die Einzelmodusversion als auch für die Servermodusversion gültig sind.Richtlinien | Erklärung | Standardwert |
Basis-Benutzer-Passphrase - Mindest-Kennwortlänge |
Aktiviert: Geben Sie die Mindestlänge der Basis-Benutzer-Passphrasen ein, beispielsweise 6. Diese Mindest-Kennwortlänge gilt für Benutzerkennwörter, die danach eingerichtet oder geändert werden. Deaktiviert: Die Mindest-Kennwortlänge beträgt 6 Zeichen. Details zur Kennwort-Behandlung |
Aktiviert, 6 Zeichen |
Basis-Benutzerkennwort - Kennwort muss den Komplexitätsanforderungen entsprechen |
Aktiviert: Die Kennwort-Komplexitätsanforderungen werden für Basis-Benutzerkennwörter, die nachträglich eingerichtet oder geändert werden, erzwungen.
Deaktiviert: Es werden keine Komplexitätsanforderungen für das Kennwort erzwungen. Details zur Kennwort-Komplexität |
Deaktiviert |
Basis-Benutzer-Passphrase - Maximales Alter der Basis-Benutzer-Passphrasen |
Bestimmt den Zeitraum (in Tagen), den eine Basis-Benutzer-Passphrase verwendet werden kann, bevor das System den Benutzer zur Kennwortänderung auffordert.
Aktiviert:
Deaktiviert: Es gibt kein maximales Alter für das Basis-Benutzerkennwort, d.h., das Kennwort verfällt nicht. |
Deaktiviert |
Basis-Benutzer-Passphrase - Mindest-Kennwortlänge |
Aktiviert: Geben Sie die Mindestlänge der Basis-Benutzer-Passphrasen, beispielsweise 20. Diese Mindest-Kennwortlänge gilt für Basis-Benutzerkennwörter, die danach eingerichtet oder geändert werden. Deaktiviert: Die Mindest-Kennwortlänge beträgt 20 Zeichen. Diese Richtlinie wird nur dann verwendet, wenn eine erweiterte Authentifizierung eingesetzt wird. Details zur erweiterten Authentifizierung |
Aktiviert, 20 Zeichen |
Basis-Benutzerkennwort - Kennwort muss den Komplexitätsanforderungen entsprechen |
Aktiviert: Die Komplexitätsanforderungen werden für Basis-Benutzer-Passphrasen die nachträglich eingerichtet oder geändert werden, erzwungen.
Deaktiviert: Es werden keine Komplexitätsanforderungen erzwungen. Diese Richtlinie wird nur dann verwendet, wenn eine erweiterte Authentifizierung eingesetzt wird. Details zur Kennwort-KomplexitätDetails zur Erweiterten Authentifizierung |
Deaktiviert |
Schnelle Initialisierung kontrollieren |
Aktiviert/Zulassen: Der Assistent für die schnelle Initialisierung oder der Assistent für die Initialisierung der Security Platform und der Assistent für die Benutzerinitialisierung können verwendet werden, um die Plattformen und Benutzer zu initialisieren.
Aktiviert/Erzwingen: Der Assistent für die schnelle Initialisierung muss zur Initialisierung von Plattformen bzw. Benutzern verwendet werden. Zudem müssen verfügbare Funktionen (EFS, PSD) zuerst mit dem Assistenten für die schnelle Initialisierung konfiguriert werden. Deaktiviert: Der Assistent für die schnelle Initialisierung kann nicht zum Initialisieren von Plattformen und Benutzern verwendet werden. Der Assistent für die Initialisierung der Security Platform und der Assistent für die Benutzerinitialisierung müssen stattdessen verwendet werden. |
Aktiviert/Zulassen |
Vorübergehende Deaktivierung der Security Platform Funktionen durch den Benutzer erlauben |
Aktiviert: Der Infineon Security Platform Benutzer kann aktive Security Platform Funktionen abschalten, bis der Rechner neu gestartet wird.
Deaktiviert: Die Möglichkeit, die Infineon Security Platform vorübergehend zu deaktivieren, ist in der Benutzeroberfläche der Security Platform Lösung nicht verfügbar. Diese Richtlinie gilt nur für Security Platforms mit einem Infineon Trusted Platform Module der Version 1.1. |
Aktiviert |
Konfiguration von sicherer E-Mail erlauben |
Aktiviert: Der aktuelle Benutzer hat das Recht die Security Platform Funktion Sichere E-Mail zu aktivieren.
Deaktiviert: Der Benutzer kann diese Funktion nicht konfigurieren, es kann aber die vorherige Konfiguration benutzt werden. |
Aktiviert |
EFS-Konfiguration erlauben |
Aktiviert: Der aktuelle Benutzer hat das Recht die Security Platform Funktion Datei und Ordnerverschlüsselung mit Encrypting File System (EFS, Verschlüsselndes Dateisystem)
Deaktiviert: Der Benutzer kann diese Funktion nicht konfigurieren, es kann aber die vorherige Konfiguration benutzt werden. EFS wird unter Windows Home-Editionen nicht unterstützt. |
Aktiviert |
PSD-Konfiguration erlauben |
Aktiviert: Der aktuelle Benutzer hat das Recht die Security Platform Funktion Datei und Verzeichnisverschlüsselung mit Personal Secure Drive (PSD) zu konfigurieren.
Deaktiviert: Der Benutzer kann diese Funktion nicht konfigurieren, es kann aber die vorherige Konfiguration benutzt werden. |
Aktiviert |
Kennwort-Reset-Aktivierung erzwingen |
Aktiviert: Die Aktivierung des Kennwort-Resets ist bei der Benutzerinitialiserung obligatorisch. Wurde der Security Platform Benutzer bereits ohne Aktivierung des Kennwort-Resets initialisiert, wird die Aktivierung des Kennwort-Resets nicht erzwungen. Deaktiviert: Kein Erzwingen der Kennwort-Reset-Aktivierung. Der Kennwort-Reset kann nach der Benutzerinitialisierung über Parametrierungstool - Kennwort-Reset - Aktivieren... aktiviert werden. . |
Deaktiviert |
Erweiterte Authentifizierung erzwingen |
Aktiviert: Security Platform Benutzer müssen die erweiterte Authentifizierung verwenden (mit Basis-Benutzer-Passphrase).
Deaktiviert: Die Security Platform Benutzer können entscheiden, ob sie die erweiterte Authentifizierung (mit Basis-Benutzer-Passphrase) oder die Kennwort-Authentifizierung (mit Basis-Benutzerkennwort) verwenden wollen. Diese Richtlinie ist nur dann relevant, wenn wenigstens ein Authentifizierungs-Gerät für alle Benutzer aktiviert wurde. Wurde ein Security Platform Benutzer bereits initialisiert, ohne ein Authentifizierungs-Gerät auszuwählen, wird eine erweiterte Authentifizierung nicht erzwungen. Details zur erweiterten Authentifizierung |
Deaktiviert |
Zwischenspeicherung des Basis-Benutzerkennworts aktivieren |
Aktiviert: Das Basis-Benutzerkennwort kann in der Infineon Security Platform Software gespeichert werden, damit sich die Anzahl der erforderlichen Kennworteingaben beim Anmelden reduziert. Hierdurch wird die Anzahl der Eingabeaufforderungen des Kennworts reduziert.
Deaktiviert: Der Basis-Benutzerkennwort-Dialog bietet die Möglichkeit der vorübergehenden Speicherung des Basis-Benutzerkennworts nicht. |
Aktiviert |
Start-URL des Assistenten für die Zertifikatsanforderung |
Aktiviert: Mithilfe dieser Einstellung wird die Webadresse angegeben, die vom Assistenten für die Benutzerinitialiserung der Infineon Security Platform verwendet wird, um Zertifikate über einen Webbrowser anzufordern. Die Seite zur Anforderung der Zertifikate ist im Assistenten für die Benutzerinitialiserung nur verfügbar, wenn diese Einstellung aktiviert und mindestens eine Security Platform Funktion zur Konfiguration ausgewählt ist. Deaktiviert: Die Seite zur Anforderung eines Zertifikats ist im Assistenten für die Benutzerinitialiserung der Infineon Security Platform nicht verfügbar. Hinweise:
|
Deaktiviert |
EFS-Zertifikatstyp und Anforderung |
Aktiviert: Sie können die EFS-Zertifikatstypen einschränken. Sie können auch die Anforderung externer EFS-Zertifikate durch die Angabe der Zertifizierungsstellen-Web-Seite aktivieren.
Deaktiviert: Die Art des EFS-Zertifikats ist nicht eingeschränkt. Die Web-Adresse, die zur Anforderung des EFS-Zertifikats verwendet werden soll, ist nicht gesetzt, d.h. Benutzer können keine externen Zertifikate anfordern. Hinweise:
|
Deaktiviert |
Warnung vor Ablauf des EFS-Zertifikats |
Aktiviert: Security Platform Benutzer werden durch eine Sprechblase darüber informiert, dass das EFS-Zertifikat ausläuft. Geben Sie an, wann die Benachrichtigung erfolgen soll, z.B. 14 Tage vor Ablauf des Zertifikats.
Deaktiviert: Es wird keine Benachrichtigung über den Ablauf des Zertifikats ausgegeben. |
Benutzer werden 14 Tage vor dem Ablauf des Zertifikats benachrichtigt. |
Gültigkeitszeitraum EFS selbst-signierte Zertifikate |
Aktiviert: Geben Sie die Zeit an, die selbst-signierte EFS-Zertifikate gültig sein sollen.
Deaktiviert: Der Gültigkeitszeitraum beträgt 10 Jahre. |
Aktiviert mit einem Gültigkeitszeitraum von 10 Jahren. |
Speicherort des Personal Secure Drive |
Aktiviert/PSD-Standardlaufwerk: Gibt das Laufwerk vor, auf dem die Image-Datei des Personal Secure Drives erstellt wird. Geben Sie in das Bearbeitungsfeld einen gültigen Laufwerksbuchstaben sowie einen Doppelpunkt aber keinen zusätzlichen Pfad ein (z.B. C:). Ist der Laufwerksbuchstabe ungültig, sind Benutzer nicht in der Lage, eine Image-Datei Ihres Personal Secure Drive zu erstellen.
Deaktiviert: Der Benutzer kann das Laufwerk, auf dem die Image-Datei des Personal Secure Drives erstellt wird, auswählen. |
Deaktiviert |
Mindestspeicherplatz nach PSD-Erstellung |
Aktiviert: Wird ein PSD auf das Systemlaufwerk gespeichert (Laufwerk mit dem aktuellen Betriebssystem), muss nach der PSD-Konfiguration der angegebene Speicherplatz frei sein. Geben Sie an, wie viel Speicherplatz nach der PSD-Konfiguration auf dem Systemlaufwerk frei bleiben soll.
Deaktiviert: Für den freien Speicherplatz auf der System-Partition nach der PSD-Konfiguration gibt es keine Einschränkungen. Beispiel:
|
Die Richtlinie ist aktiviert und 5000 MB wurden eingestellt. |
Schlüsselimport für Benutzer erlauben |
Aktiviert: Security Platform Benutzer haben die Erlaubnis, private Schlüssel in die Security Platform zu importieren. Beachten Sie, dass private Schlüssel zusammen mit Zertifikaten über die Zertifikat-Ansicht und Zertifikat-Auswahl importiert werden.
Deaktiviert: Security Platform Benutzer haben nicht die Erlaubnis, private Schlüssel in die Security Platform zu importieren. |
Aktiviert |
Verstärkte Sicherheit für den privaten Schlüssel von MS-CAPI-Signaturschlüsseln erzwingen |
Aktiviert: Alle Schlüssel, die exklusiv für Signaturvorgänge durch die MS-CAPI-Schnittstelle benutzt werden, sind durch strengen privaten Schutz geschützt. In diesem Fall wird der Schlüssel durch sein eigenes Kennwort geschützt, dass jedes Mal, wenn der Schlüssel für einen Signaturvorgang verwendet wird, eingegeben werden muss. Deaktiviert: Signaturschlüssel werden nicht in einer speziellen Form geschützt. Das spezifische Kennwort kann zwischengespeichert werden, um eine ständige Eingabewiederholung zu vermeiden. Da dieses Kennwort in keiner Beziehung zum Basis-Benutzerkennwort steht, hat das Caching des Basis-Benutzerkennworts keinen Einfluss auf dieses Kennwort. |
Deaktiviert |
Erstellung des nichtmigrierbaren Basis-Benutzerschlüssels |
Aktiviert/Auf Anforderung: Benutzer werden aufgefordert, ihren nichtmigrierbaren Basis-Benutzerschlüssel zu erstellen, wenn sie den Infineon TPM Strong Cryptographic Provider zum ersten Mal verwenden. Beachten Sie, dass der Strong Cryptographic Provider einen nichtmigrierbaren Basis-Benutzerschlüssel erfordert. Aktiviert/Automatisch: Für neue Benutzer wird der nichtmigrierbare Basis-Benutzerschlüssel automatisch während der Benutzerinitialisierung erstellt. Für Benutzer, die bereits initialisiert sind, wird der nichtmigrierbare Basis-Benutzerschlüssel auf Anforderung erstellt. Deaktiviert: Kein nichtmigrierbarer Basis-Benutzerschlüssel wird erstellt, d. h. TPM Strong Cryptographic Provider kann nicht verwendet werden. |
Aktiviert/Auf Anforderung |
Einstellungen für die Einzelmodusversion
Einstellungen, die nur für die Einzelmodusversion gültig sind.Richtlinien | Erklärung | Standardwert |
Häufigkeit der Sicherungs-Warnung |
Aktiviert: Security Platform Benutzer werden durch eine Sprechblase informiert, wenn die Sicherung der benutzerspezifischen Zertifikate und Schlüssel fehlgeschlagen ist (beispielsweise wenn auf den Speicherort der Sicherung nicht zugegriffen werden kann). Geben Sie, wie oft die Benachrichtigung erfolgen soll, z.B. alle 2 Tage nach dem Sicherungs-Fehler bis zum nächsten erfolgreiche Sicherung.
Deaktiviert: Es wird keine Benachrichtigung über einen Sicherungs-Fehler ausgegeben. |
Benutzer werden täglich benachrichtigt. |
Benutzerregistrierung erlauben |
Verwaltungsschnittstelle und Assistent aktivieren/erlauben: Benutzer können durch die Management Provider Schnittstelle, den Assistenten für die schnelle Initialisierung oder durch den Assistenten für die Initialisierung von Benutzern initialisiert werden.
Management Provider nur Interface aktivieren/erlauben: Der Benutzer kann nur das Management Provider Interface aber nicht die Tools der Security Platform Lösung benutzen. Deaktiviert: Der Benutzer kann keine Funktionen der Security Platform ausführen. |
Verwaltungsschnittstelle und Assistent aktivieren/erlauben |
©Infineon Technologies AG