|
Infineon Security Platform Lösung |
Häufig gestellte Fragen
Wie kann ich einen Infineon Security Platform Benutzer entfernen?
Welche Informationen bleiben nach einer erfolgreichen Deinstallation auf dem System zurück?
Wie wird eine Archivdatei für öffentliche Schlüssel aus einer Tokendatei erstellt?
 |
Bemerkungen zu EFS sind nur für Windows-Editionen mit EFS-Unterstützung relevant. |
Wie kann ich einen Infineon Security Platform Benutzer entfernen?
Es gibt zwei Arten, einen Benutzer zu entfernen:
Die Löschung eines Betriebssystem-Benutzerkontos unter Windows ist ein einfacher Vorgang. Soll ein Benutzerkonto entfernt werden, muss das Kontrollkästchen für die Löschung des Benutzerprofils aktiviert werden. Die Funktion entfernt die Informationen zum Benutzerkonto vollständig vom System.
Wenn nur die Benutzerinformationen der Infineon Security Platform entfern werden sollen, ohne die Systemkonto-Informationen anzutasten, muss das benutzerspezifische Verzeichnis \%AppData%\Infineon\TPM Software 2.0 gelöscht werden.
Wollen Sie alle Daten, die in Bezug zu einem Security Platform Benutzer stehen, entfernen, beachten Sie die benutzerspezifischen Daten, die in dem Absatz aufgelistet sind. Welche Informationen bleiben nach einer erfolgreichen Deinstallation auf dem System zurück? .
Wenn auf dem System Daten existieren, die über einen Benutzerschlüssel der Infineon Security Platform verschlüsselt wurden, können sie nicht mehr entschlüsselt werden, nachdem das Benutzerkonto entfernt wurde.
 |
Ist es ein Sicherheitsproblem, wenn Notfall-Wiederherstellungsdaten auf einem Remote-Rechner gespeichert werden?
Es besteht kein Sicherheitsproblem. Die Daten werden durch das Notfall-Wiederherstellungs-Token geschützt, das wiederum durch das Notfall-Wiederherstellungs-Token-Kennwort geschützt wird.
Im Server-Modus gibt es kein Sicherheitsproblem, da die Notfall-Wiederherstellung vom Trusted Computing Management Server ausgeführt wird.
|
Kann die Infineon Security Platform Lösung deinstalliert werden und falls möglich, wie geschieht dies?
Sie kann über die Deinstallationsfunktion des Betriebssystems entfernt werden. Bevor Sie so fortfahren, müssen alle Benutzerdaten, die durch die Security Platform geschützt werden, gespeichert werden. Geschieht dies nicht, besteht keine Möglichkeit mehr, auf diese Daten zuzugreifen, nachdem die Infineon Security Platform Lösung vom System entfernt wurde. Als letzter Schritt wird der Trusted Platform Module im BIOS des Rechners deaktiviert.
Eine neue Version kann installiert werden, ohne dass die vorherige deinstalliert wird. In diesem Fall ist eine Sicherung aller Benutzerdaten nicht erforderlich.
|
Welche Informationen bleiben nach einer erfolgreichen Deinstallation auf dem System zurück?
Wird die Security Platform Lösung deinstalliert, verbleiben einige Informationen auf dem System. Bleiben die Plattform- und Benutzereinstellungen und Zertifikate erhalten, befindet sich das System nach einer Neuinstallation im alten Status. So gehen nach einer Neuinstallation der Infineon Security Platform Software keine vorher verschlüsselten Daten verloren.
Werden jedoch die Daten nicht länger benötigt und soll das System komplett bereinigt werden, müssen die folgenden Daten gelöscht werden.
Sicherungs-Archiv: Der Speicherort der automatisch gespeicherten Sicherungs-Archiven wird vom Administrator festgelegt. Bitte beachten Sie, dass ein automatisch geschriebenes Sicherungs-Archiv im Dateisystem einer XML-Datei und einem Ordner mit dem gleichen Namen entspricht, z.B. Datei SPSystemSicherung.xml und Ordner SPSystemSicherung. Zusätzlich können auch manuell gespeicherte Sicherungs-Archive existieren.
Notfall-Wiederherstellungs-Token: Der Speicherort wird durch den Security Platform Besitzer bei der Initialisierung der Security Platform festgelegt.
Notfall-Wiederherstellungs-Archiv:
i) Windows 7 und Windows Vista: \%ALLUSERSPROFILE%\Infineon\TPM Software 2.0\RestoreData\<Machine SID>\Users\<User SIDs>\SHTempRestore.xmlii) Windows XP Professional, Windows 2000 und andere unterstützte Betriebssysteme: \%ALLUSERPROFILE%\<Application Data>\Infineon\TPM Software 2.0\RestoreData\<Machine SID>\Users\<User SIDs>\SHTempRestore.xml
Systemdaten und System-Schlüsseldateien:
i) Windows 7 und Windows Vista: \%ALLUSERSPROFILE%\Infineon\TPM Software 2.0\PlatformKeyData
IFXConfigSys.xml
IFXFeatureSys.xml
TCSps.xml
TPMCPSys.xml
ii) Windows XP Professional, Windows 2000 und andere unterstützte Betriebssysteme: \%ALLUSERPROFILE%\<Application Data>\Infineon\TPM Software 2.0\ PlatformKeyData
IFXConfigSys.xml
IFXFeatureSys.xml
TCSps.xml
TPMCPSys.xml
Lokale Shadow-Sicherungs-Dateien:
i) Windows 7 und Windows Vista:
\%ALLUSERSPROFILE%\Infineon\TPM Software 2.0\BackupData\<Machine SID>\System\SHBackupSys.xml
\%ALLUSERSPROFILE%\Infineon\TPM Software 2.0\BackupData\<Machine SID>\Users\<User SIDs\SHBackup.xml
\%ALLUSERPROFILE%\<Application Data>\Infineon\TPM Software 2.0\ BackupData\<Machine SID>\System\SHBackupSys.xml
\%ALLUSERPROFILE%\<Application Data>\Infineon\TPM Software 2.0\ BackupData\<Machine SID>\Users\<User SIDs\SHBackup.xml
Benutzerschlüssel-Dateien: \%AppData%\Infineon\TPM Software 2.0\UserKeyData\TSPps.xml
TPM Cryptographic Service Provider Container: \%AppData%\Infineon\TPM Software 2.0\UserKeyData\TPMcp.xml
TPM PKCS #11 Provider-Dateien: \%AppData%\Infineon\TPM Software 2.0\UserKeyData\TPMck.xml
Benutzerkonfigurations-Dateien: \%AppData%\Infineon\TPM Software 2.0\UserKeyData\
IFXConfig.xml
IFXFeature.xml
Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Infineon\TPM Software
HKEY_CURRENT_USER\Software\Infineon\TPM software
Die folgenden Registrierungs-Schlüssel des Personal Secure Drive müssen manuell gelöscht werden, wenn die Sicherheitsfunktionen des Personal Secure Drives deinstalliert werden:
[HKEY_LOCAL_MACHINE\SOFTWARE\Infineon\TPM Software\PSD]
[HKEY_CURRENT_USER\SOFTWARE\Infineon\TPM Software\PSD]
Personal Secure Drive Verzeichnisse: Zusätzlich müssen die folgenden Verzeichnisse manuell gelöscht werden:
x:\Security Platform\Personal Secure Drive\System Data
wobei x: das Laufwerk des Personal Secure Drives ist. Dieses Laufwerk wird entweder bei der Erstellung des Personal Secure Drives ausgewählt und kann daher jedes lokale Laufwerk sein, oder es wird durch die lokale Benutzerrichtlinie für das Personal Secure Drive festgelegt.
Verschiedenes:
Regelmäßige Sicherungs-Funktion registrierter Trusted Platform Module-basierender Zertifikate
(z.B. C:\WINDOWS\Tasks\Security Platform Backup Schedule
|
Nach der Anforderung eines Zertifikats über den Internet Explorer kann das Zertifikat nicht benutzt werden. Eine Fehlermeldung wird angezeigt.
Das Zertifikat ist durch den Internet Explorer gesperrt, obwohl es bereits in das Zertifikatsverzeichnis des Benutzers gespeichert wurde. Schließen Sie den Internet Explorer und öffnen Sie ihn neu, damit das Zertifikat freigegeben wird.
|
Die Betriebssystem-Funktion zur Verzeichniskomprimierung wird verwendet, um Benutzerdaten zu speichern. Wie kann EFS für dieses komprimierte Verzeichnis aktiviert werden? Können diese Funktionen kombiniert werden?
Eine Kombination ist nicht möglich, da das Betriebssystem keinen Schutz von komprimierten Verzeichnissen durch EFS zulässt. Die Komprimierung muss vorher aufgehoben werden. Danach kann die EFS-Funktion für das Verzeichnis aktiviert werden.
|
Das Zertifikat, das dem EFS-Verzeichnis zugewiesen wurde, muss geändert werden. Kann dies ohne Gefahr für die Daten des Verzeichnisses geschehen? Ist es möglich, dem Verzeichnis ein willkürliches Zertifikat zuzuordnen?
Allgemein ist es kein Problem einem EFS-Verzeichnis ein weiteres Zertifikat zuzuweisen. Eine Hauptbedingung ist jedoch, dass alle Zertifikate durch den gleichen Cryptographic Service Provider verwaltet werden müssen. Solange das(die) vorher zugewiesene(n) Zertifikat(e) existiert(en), bleiben die verschlüsselten Daten lesbar. Wird ein Zertifikat, das eine Datei im EFS-Verzeichnis schützt, vom System entfernt, geht diese spezifische Datei verloren.
|
Wie kann eine Infineon Security Platform für eine erfolgreichen System-Sicherung vorbereitet werden? Welche Dateien sind für eine erfolgreiche Wiederherstellung einer Infineon Security Platform über Systemfunktionen wichtig?
Die Grunddateien der Infineon Security Platform schließen nicht die Applikationen der Infineon Security Platform Software ein. Sie können nach einer Wiederherstellung eines System-Sicherungs reinstalliert werden.
Spezifische Daten der Infineon Security Platform werden mit dem Assistenten für die Sicherung der Security Platform gesichert.
Der Assistent für die Sicherung der Security Platform sichert keine geschützten Daten, wie Ihre verschlüsselten Dateien oder E-Mails. Diese müssen mit einem anderen Sicherungs-Programm gesichert werden. Sie sollten das Sicherungs-Archiv des Assistenten für die Sicherung der Infineon Security Platform in Ihre regelmäßige Datensicherung integrieren.
Wenn Sie den Assistenten für die Sicherung der Infineon Security Platform nicht verwenden, um die spezifischen Daten der Security Platform Lösung zu sichern, stellen Sie sicher, dass alle in diesem Absatz aufgeführten Daten gesichert werden. Welche Informationen bleiben nach einer erfolgreichen Deinstallation auf dem System erhalten? .
|
|
|
Das Sicherungs-Archiv insbesondere im Hinblick auf die Richtlinieneinstellungen konfigurieren und bearbeiten?
Sie können Ihre gesamten Unternehmens-Security Platforms so konfigurieren, dass sie ein gemeinsames Sicherungs-Archiv nutzen, indem Sie die Richtlinie Speicherort des Sicherungs-Archivs einstellen.
Falls ein neues Sicherungs-Archiv erstellt werden muss, ist es sehr wichtig, dass die Richtlinien nicht vor der Infineon Security Platform Initialisierung importiert werden.
Danach muss die Richtlinien-Verwaltung gestartet werden und die Richtlinie korrekt durch die Vorgabe des Speicherorts des zuvor erstellten Sicherungs-Archivs konfiguriert werden. Die konfigurierte Datei wird schließlich automatisch verwendet, wenn alle anderen Unternehmens-Security Platforms initialisiert werden.
Dieser Abschnitt bezieht sich nicht auf den Server-Modus, da die Sicherung und Wiederherstellung vom Trusted Computing Management Server durchgeführt werden.
|
Wie wird eine Archivdatei für öffentliche Schlüssel aus einer Tokendatei erstellt?
Sie können in den Gruppenrichtlinieneinstellungen angeben, dass der öffentliche Schlüssel eines vorhandenen Notfall-Wiederherstellungs-Tokens oder eines Kennwort-Reset-Tokens aus einer Archivdatei verwendet wird (siehe Systemrichtlinien Verwenden des öffentlichen Schlüssels des Notfall-Wiederherstellungs-Tokens aus einem Archiv und Verwenden des öffentlichen Schlüssels des Kennwort-Reset-Tokens aus dem Archiv). Führen Sie zum Erstellen einer solchen Archivdatei aus der vorhandenen Token-Datei die folgenden Schritte aus:
- Führen Sie auf dem ersten System (beispielsweise auf einem Testsystem) eine vollständige Initialisierung der Plattform (einschließlich Notfallwiederherstellung und Kennwort-Reset) mit den Standardrichtlinieneinstellungen aus.
Vom Assistenten für die schnelle Initialisierung wird eine generische Token-Datei für die Notfallwiederherstellung und den Kennwort-Reset-Vorgang erstellt.
Vom Assistenten für die Plattforminitialisierung wird eine Token-Datei für die Notfallwiederherstellung und eine Token-Datei für den Kennwort-Reset-Vorgang erstellt. - Führen Sie das nachstehend aufgeführte Skript auf demselben System aus, um die erforderliche Archivdatei für den öffentlichen Schlüssel aus der entsprechenden Token-Datei zu erstellen.
- Kopieren Sie die Archivdatei für den öffentlichen Schlüssel in ein geeignetes Verzeichnis, und aktivieren Sie die zuvor erwähnten Richtlinien.
Skript GeneratePubKeyArchive.vbs:
'GeneratePubKeyArchive.vbs <Vollständiger Pfad zu Token.xml> <Vollständiger Pfad zu PubKeyArchive.xml>
' <Vollständiger Pfad zu Token.xml> kann einem der folgenden Token entsprechen:
' - SPPwdResetToken.xml
' - SPEmRecToken.xml
' - SPGenericToken.xml
' <Vollständiger Pfad zu PubKeyArchive.xml> entspricht der Ausgabe, die den aus dem Eingabe-Token extrahierten öffentlichen Schlüssel enthält:
' - SPPwdResetTokenPubKeyArchive.xml
' - SPEmRecTokenPubKeyArchive.xml
' - SPGenericTokenPubKeyArchive.xml
' Für die Verwendung durch die Richtlinie "Verwenden des öffentlichen Schlüssels des Notfall-Wiederherstellungs-Tokens aus einem Archiv":
' - SPEmRecTokenPubKeyArchive.xml
' - SPGenericTokenPubKeyArchive.xml
' Für die Verwendung durch die Richtlinie "Verwenden des öffentlichen Schlüssels des Kennwort-Reset-Tokens aus dem Archiv":
' - SPPwdResetTokenPubKeyArchive.xml
' - SPGenericTokenPubKeyArchive.xml
' Stellen Sie sicher, dass Sie den vollständigen Pfad angeben. Beispiel:
' GeneratePubKeyArchive.vbs "c:\tmp\SPGenericToken.xml" "c:\tmp\SPGenericTokenPubKeyArchive.xml"
If WScript.Arguments.Count <> 2 Then
WScript.Echo "Usage: " & Wscript.ScriptName & "
""<Vollständiger Pfad zu Token.xml>"" ""<Vollständiger Pfad zu PubKeyArchive.xml>"""
WScript.Quit
End If
Set MPBase = WScript.CreateObject("IfxSpMgtPrv.MgmtProvider")
Set MPToken = MPBase.GetInterface(10)
' CreationFlags: vorhandene Datei beibehalten = 0, vorhandene Datei überschreiben = 1
CreationFlags = 0
ReservedFlag = 0
MPToken.CreatePublicKeyFile WScript.Arguments(0), WScript.Arguments(1), CreationFlags, ReservedFlag
'Hier bei Fehlern Fehlerbehandlung einfügen
WScript.Echo "Done"
Dieser Abschnitt gilt nicht für den Server-Modus, da die Notfallwiederherstellung und der Kennwort-Reset-Vorgang vom Trusted Computing Management Server ausgeführt werden.
|
©Infineon Technologies AG