Infineon Security Platform Benutzerrichtlinien

Infineon Security Platform

Infineon Security Platform Lösung - Richtlinien-Verwaltung

Infineon Security Platform Benutzerrichtlinien

Von der Infineon Security Platform Lösung werden die folgenden Benutzerrichtlinien unterstützt.

Im Servermodus werden die Benutzerrichtlinien für die gesamte Domäne durch einen Domänenadministrator über den Trusted Computing Management Server konfiguriert. Beachten Sie, dass die nur für den Servermodus gültigen Einstellungen in der administrativen Vorlagendatei beschrieben werden, die vom Trusted Computing Management Server bereitgestellt wird.
Standardwert: Wurde eine Richtlinie noch nicht explizit eingerichtet (d.h. der Richtlinie-Editor der lokalen Gruppe zeigt den Status Nicht konfiguriert), verwendet die Security Platform Lösung einen Standardwert.

Die Einstellungen für alle Versionen

Einstellungen, die sowohl für die Einzelmodusversion als auch für die Servermodusversion gültig sind.
Richtlinien Erklärung Standardwert
Basis-Benutzer-Passphrase - Mindest-Kennwortlänge Aktiviert: Geben Sie die Mindestlänge der Basis-Benutzer-Passphrasen ein, beispielsweise 6.
Diese Mindest-Kennwortlänge gilt für Benutzerkennwörter, die danach eingerichtet oder geändert werden.

Deaktiviert: Die Mindest-Kennwortlänge beträgt 6 Zeichen.

Details zur Kennwort-Behandlung
Aktiviert, 6 Zeichen
Basis-Benutzerkennwort - Kennwort muss den Komplexitätsanforderungen entsprechen Aktiviert: Die Kennwort-Komplexitätsanforderungen werden für Basis-Benutzerkennwörter, die nachträglich eingerichtet oder geändert werden, erzwungen.

Deaktiviert: Es werden keine Komplexitätsanforderungen für das Kennwort erzwungen.

Details zur Kennwort-Komplexität
Deaktiviert
Basis-Benutzer-Passphrase - Maximales Alter der Basis-Benutzer-Passphrasen Bestimmt den Zeitraum (in Tagen), den eine Basis-Benutzer-Passphrase verwendet werden kann, bevor das System den Benutzer zur Kennwortänderung auffordert.

Aktiviert:

  • Maximales Alter der Basis-Benutzer-Passphrasen: Geben Sie das maximale Alter für die Basis-Benutzer-Passphrasen ein, z.B. 42 Tage.
  • Ablauf-Warnung für Basis-Benutzerkennwort: Geben Sie an, wie viele Tage vor Ablauf des Basis-Benutzerkennworts der Benutzer benachrichtigt werden soll, z.B. 7 Tage.

Deaktiviert: Es gibt kein maximales Alter für das Basis-Benutzerkennwort, d.h., das Kennwort verfällt nicht.

Deaktiviert
Basis-Benutzer-Passphrase - Mindest-Kennwortlänge Aktiviert: Geben Sie die Mindestlänge der Basis-Benutzer-Passphrasen, beispielsweise 20.
Diese Mindest-Kennwortlänge gilt für Basis-Benutzerkennwörter, die danach eingerichtet oder geändert werden.

Deaktiviert: Die Mindest-Kennwortlänge beträgt 20 Zeichen.

Diese Richtlinie wird nur dann verwendet, wenn eine erweiterte Authentifizierung eingesetzt wird.

Details zur erweiterten Authentifizierung
Aktiviert, 20 Zeichen
Basis-Benutzerkennwort - Kennwort muss den Komplexitätsanforderungen entsprechen Aktiviert: Die Komplexitätsanforderungen werden für Basis-Benutzer-Passphrasen die nachträglich eingerichtet oder geändert werden, erzwungen.

Deaktiviert: Es werden keine Komplexitätsanforderungen erzwungen.

Diese Richtlinie wird nur dann verwendet, wenn eine erweiterte Authentifizierung eingesetzt wird.

Details zur Kennwort-Komplexität
Details zur Erweiterten Authentifizierung
Deaktiviert
Schnelle Initialisierung kontrollieren Aktiviert/Zulassen: Der Assistent für die schnelle Initialisierung oder der Assistent für die Initialisierung der Security Platform und der Assistent für die Benutzerinitialisierung können verwendet werden, um die Plattformen und Benutzer zu initialisieren.

Aktiviert/Erzwingen: Der Assistent für die schnelle Initialisierung muss zur Initialisierung von Plattformen bzw. Benutzern verwendet werden. Zudem müssen verfügbare Funktionen (EFS, PSD) zuerst mit dem Assistenten für die schnelle Initialisierung konfiguriert werden.

Deaktiviert: Der Assistent für die schnelle Initialisierung kann nicht zum Initialisieren von Plattformen und Benutzern verwendet werden. Der Assistent für die Initialisierung der Security Platform und der Assistent für die Benutzerinitialisierung müssen stattdessen verwendet werden.

Aktiviert/Zulassen
Vorübergehende Deaktivierung der Security Platform Funktionen durch den Benutzer erlauben Aktiviert: Der Infineon Security Platform Benutzer kann aktive Security Platform Funktionen abschalten, bis der Rechner neu gestartet wird.

Deaktiviert: Die Möglichkeit, die Infineon Security Platform vorübergehend zu deaktivieren, ist in der Benutzeroberfläche der Security Platform Lösung nicht verfügbar.

Diese Richtlinie gilt nur für Security Platforms mit einem Infineon Trusted Platform Module der Version 1.1.
Meldet sich der Benutzer ab und meldet sich ein neuer Benutzer an, bleiben die deaktivierten Security Platform Funktionen deaktiviert, bis der Computer neu gestartet wird.

Aktiviert
Konfiguration von sicherer E-Mail erlauben Aktiviert: Der aktuelle Benutzer hat das Recht die Security Platform Funktion Sichere E-Mail zu aktivieren.

Deaktiviert: Der Benutzer kann diese Funktion nicht konfigurieren, es kann aber die vorherige Konfiguration benutzt werden.

Aktiviert
EFS-Konfiguration erlauben Aktiviert: Der aktuelle Benutzer hat das Recht die Security Platform Funktion Datei und Ordnerverschlüsselung mit Encrypting File System (EFS, Verschlüsselndes Dateisystem)

Deaktiviert: Der Benutzer kann diese Funktion nicht konfigurieren, es kann aber die vorherige Konfiguration benutzt werden.

EFS wird unter Windows Home-Editionen nicht unterstützt.

Aktiviert
PSD-Konfiguration erlauben Aktiviert: Der aktuelle Benutzer hat das Recht die Security Platform Funktion Datei und Verzeichnisverschlüsselung mit Personal Secure Drive (PSD) zu konfigurieren.

Deaktiviert: Der Benutzer kann diese Funktion nicht konfigurieren, es kann aber die vorherige Konfiguration benutzt werden.

Aktiviert
Kennwort-Reset-Aktivierung erzwingen Aktiviert: Die Aktivierung des Kennwort-Resets ist bei der Benutzerinitialiserung obligatorisch.
Wurde der Security Platform Benutzer bereits ohne Aktivierung des Kennwort-Resets initialisiert, wird die Aktivierung des Kennwort-Resets nicht erzwungen.

Deaktiviert: Kein Erzwingen der Kennwort-Reset-Aktivierung. Der Kennwort-Reset kann nach der Benutzerinitialisierung über Parametrierungstool - Kennwort-Reset - Aktivieren... aktiviert werden.

Deaktiviert
Erweiterte Authentifizierung erzwingen Aktiviert: Security Platform Benutzer müssen die erweiterte Authentifizierung verwenden (mit Basis-Benutzer-Passphrase).

Deaktiviert: Die Security Platform Benutzer können entscheiden, ob sie die erweiterte Authentifizierung (mit Basis-Benutzer-Passphrase) oder die Kennwort-Authentifizierung (mit Basis-Benutzerkennwort) verwenden wollen.

Diese Richtlinie ist nur dann relevant, wenn wenigstens ein Authentifizierungs-Gerät für alle Benutzer aktiviert wurde. Wurde ein Security Platform Benutzer bereits initialisiert, ohne ein Authentifizierungs-Gerät auszuwählen, wird eine erweiterte Authentifizierung nicht erzwungen.

Details zur erweiterten Authentifizierung
Deaktiviert
Zwischenspeicherung des Basis-Benutzerkennworts aktivieren Aktiviert: Das Basis-Benutzerkennwort kann in der Infineon Security Platform Software gespeichert werden, damit sich die Anzahl der erforderlichen Kennworteingaben beim Anmelden reduziert. Hierdurch wird die Anzahl der Eingabeaufforderungen des Kennworts reduziert.

Deaktiviert: Der Basis-Benutzerkennwort-Dialog bietet die Möglichkeit der vorübergehenden Speicherung des Basis-Benutzerkennworts nicht.

Aktiviert
Start-URL des Assistenten für die Zertifikatsanforderung Aktiviert: Mithilfe dieser Einstellung wird die Webadresse angegeben, die vom Assistenten für die Benutzerinitialiserung der Infineon Security Platform verwendet wird, um Zertifikate über einen Webbrowser anzufordern.
Die Seite zur Anforderung der Zertifikate ist im Assistenten für die Benutzerinitialiserung nur verfügbar, wenn diese Einstellung aktiviert und mindestens eine Security Platform Funktion zur Konfiguration ausgewählt ist.

Deaktiviert: Die Seite zur Anforderung eines Zertifikats ist im Assistenten für die Benutzerinitialiserung der Infineon Security Platform nicht verfügbar.

Hinweise:

  • Diese Einstellung wird auch als Systemrichtlinie unterstützt, um für eine Kompatibilität zu älteren Versionen der Security Platform Lösung zu sorgen.
  • Empfehlung: Verwenden Sie diese Einstellung als Benutzerrichtlinie.
  • Während diese Einstellung unabhängig von der Zertifikatsverwendung ist, existiert außerdem eine spezielle Benutzerrichtlinie für EFS-Zertifikate (EFS-Zertifikatstyp und Anforderung).
Deaktiviert
EFS-Zertifikatstyp und Anforderung Aktiviert: Sie können die EFS-Zertifikatstypen einschränken. Sie können auch die Anforderung externer EFS-Zertifikate durch die Angabe der Zertifizierungsstellen-Web-Seite aktivieren.

1. EFS-Zertifikatstyp: Legen Sie fest, ob sie alle Arten von Zertifikaten (Domäne, extern oder selbst-signierte Zertifikate) oder spezielle Zertifikatsarten erlauben wollen. Die Beschränkung erfolgt wenn sich Benutzer anmelden oder Zertifikate wählen.

  • Domäne-Zertifikat: Ein Zertifikat, das über eine Zertifizierungsstelle innerhalb Ihrer Domäne angemeldet wird.
  • Externes Zertifikat: Ein Zertifikat, das über eine Zertifizierungsstelle im Internet angemeldet wird.
  • Selbst-signiertes Zertifikat: Ein Zertifikat, das auf Ihrem eigenen PC erzeugt wird.

2. Zertifikatsanforderung-URL: Geben Sie eine Webadresse zur CA-Zertifikatsanforderung ein, die für die EFS-Zertifikatsregistrierung verwendet werden soll, z. B. https://www.firmenname.com/ordnername.
Dieser Pfad wird bei der EFS-Zertifikatsanforderung über eine externe Zertifizierungsstelle (CA) verwendet.

  • Die URL für die Zertifikatsanforderung ist optional.
  • Geben Sie hier keinen Pfad an, können die Benutzer keine externen EFS-Zertifikate anfordern.
  • Wollen Sie die externen EFS-Zertifikate aktivieren, geben Sie einen gültigen Pfad, auf den von allen PCs mit Security Platform zugegriffen werden kann, ein. Anderenfalls schlägt die EFS-Zertifikatsanforderung fehl.

Deaktiviert: Die Art des EFS-Zertifikats ist nicht eingeschränkt. Die Web-Adresse, die zur Anforderung des EFS-Zertifikats verwendet werden soll, ist nicht gesetzt, d.h. Benutzer können keine externen Zertifikate anfordern.

Hinweise:

  • Beachten Sie, dass EFS-Zertifikate sowohl für EFS als auch für PSD benutzt werden.
  • Während diese Einstellung nur für EFS-Zertifikate (zur Verwendung mit EFS oder PSD) gültig ist existiert eine andere Benutzerrichtlinie, die unabhängig von der Zertifikatsverwendung ist (URL zum Start über den Assistenten für Zertifikatsanforderung).

EFS-Zertifikat anfordern und auswählen

Deaktiviert
Warnung vor Ablauf des EFS-Zertifikats Aktiviert: Security Platform Benutzer werden durch eine Sprechblase darüber informiert, dass das EFS-Zertifikat ausläuft. Geben Sie an, wann die Benachrichtigung erfolgen soll, z.B. 14 Tage vor Ablauf des Zertifikats.

Deaktiviert: Es wird keine Benachrichtigung über den Ablauf des Zertifikats ausgegeben.

Benutzer werden 14 Tage vor dem Ablauf des Zertifikats benachrichtigt.
Gültigkeitszeitraum EFS selbst-signierte Zertifikate Aktiviert: Geben Sie die Zeit an, die selbst-signierte EFS-Zertifikate gültig sein sollen.

Deaktiviert: Der Gültigkeitszeitraum beträgt 10 Jahre.

Aktiviert mit einem Gültigkeitszeitraum von 10 Jahren.
Speicherort des Personal Secure Drive Aktiviert/PSD-Standardlaufwerk: Gibt das Laufwerk vor, auf dem die Image-Datei des Personal Secure Drives erstellt wird. Geben Sie in das Bearbeitungsfeld einen gültigen Laufwerksbuchstaben sowie einen Doppelpunkt aber keinen zusätzlichen Pfad ein (z.B. C:). Ist der Laufwerksbuchstabe ungültig, sind Benutzer nicht in der Lage, eine Image-Datei Ihres Personal Secure Drive zu erstellen.

Deaktiviert: Der Benutzer kann das Laufwerk, auf dem die Image-Datei des Personal Secure Drives erstellt wird, auswählen.

Deaktiviert
Mindestspeicherplatz nach PSD-Erstellung Aktiviert: Wird ein PSD auf das Systemlaufwerk gespeichert (Laufwerk mit dem aktuellen Betriebssystem), muss nach der PSD-Konfiguration der angegebene Speicherplatz frei sein. Geben Sie an, wie viel Speicherplatz nach der PSD-Konfiguration auf dem Systemlaufwerk frei bleiben soll.

Deaktiviert: Für den freien Speicherplatz auf der System-Partition nach der PSD-Konfiguration gibt es keine Einschränkungen.

Beispiel:
Die Richtlinie ist aktiviert und 5000 MB wurden eingestellt.
Die Mindestgröße des PSD-Laufwerks beträgt 20 MB für Windows 7 und Windows Vista und 10 MB für alle anderen Betriebssysteme.

  • Gehen wir davon aus, das der Speicherplatz vor der Erstellung des PSD 5050 MB beträgt, liegt die maximale Größe des PSD bei 50 MB.
  • Bei einem Speicherplatz von 5000 MB kann kein PSD auf dem Systemlaufwerk erstellt werden.
Die Richtlinie ist aktiviert und 5000 MB wurden eingestellt.
Schlüsselimport für Benutzer erlauben Aktiviert: Security Platform Benutzer haben die Erlaubnis, private Schlüssel in die Security Platform zu importieren. Beachten Sie, dass private Schlüssel zusammen mit Zertifikaten über die Zertifikat-Ansicht und Zertifikat-Auswahl importiert werden.

Deaktiviert: Security Platform Benutzer haben nicht die Erlaubnis, private Schlüssel in die Security Platform zu importieren.

Aktiviert
Verstärkte Sicherheit für den privaten Schlüssel von MS-CAPI-Signaturschlüsseln erzwingen

Aktiviert: Alle Schlüssel, die exklusiv für Signaturvorgänge durch die MS-CAPI-Schnittstelle benutzt werden, sind durch strengen privaten Schutz geschützt. In diesem Fall wird der Schlüssel durch sein eigenes Kennwort geschützt, dass jedes Mal, wenn der Schlüssel für einen Signaturvorgang verwendet wird, eingegeben werden muss.

Deaktiviert: Signaturschlüssel werden nicht in einer speziellen Form geschützt.

Das spezifische Kennwort kann zwischengespeichert werden, um eine ständige Eingabewiederholung zu vermeiden. Da dieses Kennwort in keiner Beziehung zum Basis-Benutzerkennwort steht, hat das Caching des Basis-Benutzerkennworts keinen Einfluss auf dieses Kennwort.
Deaktiviert
Erstellung des nichtmigrierbaren Basis-Benutzerschlüssels

Aktiviert/Auf Anforderung: Benutzer werden aufgefordert, ihren nichtmigrierbaren Basis-Benutzerschlüssel zu erstellen, wenn sie den Infineon TPM Strong Cryptographic Provider zum ersten Mal verwenden. Beachten Sie, dass der Strong Cryptographic Provider einen nichtmigrierbaren Basis-Benutzerschlüssel erfordert.

Aktiviert/Automatisch: Für neue Benutzer wird der nichtmigrierbare Basis-Benutzerschlüssel automatisch während der Benutzerinitialisierung erstellt. Für Benutzer, die bereits initialisiert sind, wird der nichtmigrierbare Basis-Benutzerschlüssel auf Anforderung erstellt.

Deaktiviert: Kein nichtmigrierbarer Basis-Benutzerschlüssel wird erstellt, d. h. TPM Strong Cryptographic Provider kann nicht verwendet werden.

 
Aktiviert/Auf Anforderung

Einstellungen für die Einzelmodusversion

Einstellungen, die nur für die Einzelmodusversion gültig sind.
Richtlinien Erklärung Standardwert
Häufigkeit der Sicherungs-Warnung Aktiviert: Security Platform Benutzer werden durch eine Sprechblase informiert, wenn die Sicherung der benutzerspezifischen Zertifikate und Schlüssel fehlgeschlagen ist (beispielsweise wenn auf den Speicherort der Sicherung nicht zugegriffen werden kann). Geben Sie, wie oft die Benachrichtigung erfolgen soll, z.B. alle 2 Tage nach dem Sicherungs-Fehler bis zum nächsten erfolgreiche Sicherung.

Deaktiviert: Es wird keine Benachrichtigung über einen Sicherungs-Fehler ausgegeben.

Benutzer werden täglich benachrichtigt.
Benutzerregistrierung erlauben Verwaltungsschnittstelle und Assistent aktivieren/erlauben: Benutzer können durch die Management Provider Schnittstelle, den Assistenten für die schnelle Initialisierung oder durch den Assistenten für die Initialisierung von Benutzern initialisiert werden.

Management Provider nur Interface aktivieren/erlauben: Der Benutzer kann nur das Management Provider Interface aber nicht die Tools der Security Platform Lösung benutzen.

Deaktiviert: Der Benutzer kann keine Funktionen der Security Platform ausführen.

Verwaltungsschnittstelle und Assistent aktivieren/erlauben


©Infineon Technologies AG