Solución Infineon Security Platform |
Preguntas más frecuentes (FAQ)
¿Cómo se puede quitar un usuario de Infineon Security Platform?
¿Es un problema de seguridad almacenar datos de recuperación de emergencia en una máquina remota?
¿Qué información permanece en el sistema luego de una desinstalación exitosa?
Los comentarios sobre EFS sólo son importantes para las ediciones de Windows que admiten EFS. |
¿Cómo se puede quitar un usuario de Infineon Security Platform?
Existen dos tipos diferentes de operaciones de remoción:
La eliminación total de una cuenta de usuario del sistema operativo es una operación directa permitida por Windows. Al quitar una cuenta de usuario, debe tildar la casilla de verificación para la eliminación del perfil de usuario. Esta operación elimina completamente del sistema la información de la cuenta del usuario.
Para eliminar solamente la información del usuario de Infineon Security Platform sin alterar la información de la cuenta del sistema, debe borrar la carpeta específica del usuario \%AppData%\Infineon\TPM Software 2.0.
Si desea eliminar todos los datos relacionados a un Usuario de Security Platform, consulte los datos específicos del usuario enumerados en esta sección ¿Qué información permanece en el sistema luego de una desinstalación exitosa? .
Nota: Si existen datos en el sistema que fueron encriptados con una clave específica de usuario de Infineon Security Platform, una vez eliminado el usuario dichos datos no se podrán desencriptar.
¿Es un problema de seguridad almacenar datos de recuperación de emergencia en una máquina remota?
No hay ningún problema de seguridad. Los datos están protegidos por la tarjeta de seguridad para la recuperación de emergencia, la cual se protege a su vez por medio de una contraseña.
En el modo servidor no hay problemas de seguridad ya que la recuperación de emergencia es llevada a cabo por el Trusted Computing Management Server.
¿Se puede desinstalar el software de la solución Infineon Security Platform, y de ser así, cómo se hace?
Se puede desinstalar utilizando el proceso estándar de eliminación de software que ofrece el sistema operativo. Antes de hacerlo, debe guardar todos los datos del usuario protegidos por Security Platform. Si no lo hace, no se podrá acceder a estos datos una vez que el Software de la Solución Infineon Security Platform se eliminó del sistema. El último paso es desactivar el Trusted Platform Module en la BIOS de la computadora.
Se puede instalar una nueva versión sobre una anterior, sin desinstalarla. En este caso no se requiere una copia de seguridad de los datos completos del usuario.
¿Qué información permanece en el sistema luego de una desinstalación exitosa?
Si se desinstala el Software de la Solución Security Platform, queda algo de información en el sistema. Al guardar las configuraciones y credenciales del usuario y la plataforma, el sistema volverá al mismo estado anterior una vez reinstalado. De esta manera no se perderán los datos encriptados previamente luego de una reinstalación del Software de Infineon Security Platform.
Sin embargo, si estos datos ya no fueran necesarios y se debiera limpiar el sistema completamente, deberán borrarse los siguientes datos.
Paquete de archivos de la copia de seguridad: Los administradores especifican la ubicación de los paquete de archivos de la copia de seguridad escritos automáticamente. Observe que los Archivos de copia de seguridad creados automáticamente se representan en el sistema como un archivo XML y una carpeta con el mismo nombre, por ejemplo: archivo SPSystemBackup.xml y carpeta SPSystemBackup. Además, puede haber los paquete de archivos de la copia de seguridad escritos manualmente.
Tarjeta de seguridad para la recuperación de emergencia: La ubicación la especifica el propietario de Security Platform durante la inicialización del mismo.
paquete de archivos de la restauración de emergencia:
i) Windows 7 y Vista: \%ALLUSERSPROFILE%\Infineon\TPM Software 2.0\RestoreData\<Machine SID>\Users\<User SIDs>\SHTempRestore.xmlii) Windows XP Professional, Windows 2000 y otros sistemas operativos habilitados: \%ALLUSERPROFILE%\<Application Data>\Infineon\TPM Software 2.0\RestoreData\<Machine SID>\Users\<User SIDs>\SHTempRestore.xml
Archivos de claves del sistema y datos del sistema:
i) Windows 7 y Vista: \%ALLUSERSPROFILE%\Infineon\TPM Software 2.0\PlatformKeyData
IFXConfigSys.xml
IFXFeatureSys.xml
TCSps.xml
TPMCPSys.xml
ii) Windows XP Professional, Windows 2000 y otros sistemas operativos habilitados: \%ALLUSERPROFILE%\<Application Data>\Infineon\TPM Software 2.0\ PlatformKeyData
IFXConfigSys.xml
IFXFeatureSys.xml
TCSps.xml
TPMCPSys.xml
Archivos locales de la copia de seguridad sombra:
i) Windows 7 y Vista:
\%ALLUSERSPROFILE%\Infineon\TPM Software 2.0\BackupData\<Machine SID>\System\SHBackupSys.xml
\%ALLUSERSPROFILE%\Infineon\TPM Software 2.0\BackupData\<Machine SID>\Users\<User SIDs\SHBackup.xml
\%ALLUSERPROFILE%\<Application Data>\Infineon\TPM Software 2.0\ BackupData\<Machine SID>\System\SHBackupSys.xml
\%ALLUSERPROFILE%\<Application Data>\Infineon\TPM Software 2.0\ BackupData\<Machine SID>\Users\<User SIDs\SHBackup.xml
Archivos de claves de usuario: \%AppData%\Infineon\TPM Software 2.0\UserKeyData\TSPps.xml
Contenedor del TPM Cryptographic Service Provider: \%AppData%\Infineon\TPM Software 2.0\UserKeyData\TSPps.xml
Archivo del proveedor de TPM PKCS #11: \%AppData%\Infineon\TPM Software 2.0\UserKeyData\TSMck.xml
Archivos de configuración de usuario: \%AppData%\Infineon\TPM Software 2.0\UserKeyData\
IFXConfig.xml
IFXFeature.xml
Claves del registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Infineon\TPM Software
HKEY_CURRENT_USER\Software\Infineon\TPM software
Las siguientes claves de registro de Personal Secure Drive deben borrarse manualmente cuando se desinstala la función de seguridad del Personal Secure Drive:
[HKEY_LOCAL_MACHINE\SOFTWARE\Infineon\TPM Software\PSD]
[HKEY_CURRENT_USER\SOFTWARE\Infineon\TPM Software\PSD]
Personal Secure Drive Directorios: Los siguientes directorios también se deben borrar manualmente:
x:\Security Platform\Personal Secure Drive\System Data
donde x: es la unidad de disco donde se encuentran los Personal Secure Drives. Esta unidad de disco puede seleccionarse durante la creación del Personal Secure Drive y por lo tanto puede ser cualquier disco duro local, o se puede definir por la política de usuario local del Personal Secure Drive.
Misceláneos:
Tarea de copia de seguridad programada
de certificados registrados basados en Trusted Platform Module (por ejemplo: C:\WINDOWS\Tasks\Security Platform Backup Schedule)
Después de inscribir un certificado por medio de Internet Explorer, el certificado no se puede utilizar. Aparece un mensaje de error.
Internet Explorer bloqueó el certificado, a pesar de encontrarse almacenado en el depósito de certificados del usuario. Cierre Internet Explorer y vuelva a abrirlo para desbloquear el certificado.
La función de compresión de carpetas del sistema operativo se utiliza para almacenar datos del usuario. ¿Cómo se puede activar EFS para esta carpeta comprimida? ¿Pueden combinarse las funciones?
No es posible una combinación, ya que el sistema operativo no permite que una carpeta comprimida sea también una carpeta protegida de EFS. Primero, se debe cancelar la compresión. Luego puede activarse la funcionalidad de EFS para la carpeta.
El certificado asignado a una carpeta EFS debe cambiarse. ¿Se puede realizar sin arriesgar los datos de esta carpeta? ¿Es posible asignar un certificado arbitrario a la carpeta?
Por lo general, no hay problemas en asignar un certificado adicional a una carpeta EFS. La condición límite primordial es que todos los certificados deben estar bajo el control del mismo Cryptographic Service Provider. Mientras exista uno o más certificados asignados previamente, los datos encriptados todavía podrán leerse. Una vez que se borra el certificado que protege un archivo en una carpeta EFS, se pierden los archivos respectivos.
¿Cómo se puede preparar un Infineon Security Platform para una copia de seguridad exitosa? ¿Qué archivos son esenciales para una restauración exitosa de un Infineon Security Platform que utiliza mecanismos del sistema?
Los archivos del núcleo del Infineon Security Platform no incluyen las aplicaciones del software de Infineon Security Platform. Se puede reinstalar después de restaurada una copia de seguridad del sistema.
Mediante el asistente para copia de seguridad de Infineon Security Platform se resguardan los datos específicos del software de la solución Infineon Security Platform.
El asistente para la copia de seguridad de Infineon Security Platform no realiza copias de seguridad de datos protegidos, como son sus archivos encriptados o correo electrónico, que deben resguardarse por medio de otras herramientas de copia de seguridad. Debe incluir el paquete de archivos de copia de seguridad del asistente para la copia de seguridad de Infineon Security Platform en su rutina de copia de seguridad de datos en masa.
Si no utiliza el asistente para la copia de seguridad de Infineon Security Platform para los datos específicos del Software de la Solución Security Platform, asegúrese de realizar una copia de seguridad de todos los datos enumerados en la sección ¿Qué información queda en el sistema luego de una desinstalación exitosa? .
|
¿Cómo configurar y administrar el Archivo de Copia de Seguridad, especialmente con relación a los valores de la política?
Puede configurar todas las Security Platforms de su empresa para usar un Archivo de Copia de Seguridad común ajustando la Ubicación del Archivo de Copia de Seguridad de la política.
En el caso de que se tenga que crear un nuevo Archivo de Copia de Seguridad, es muy importante no importar las políticas antes de que se haya inicializándola primera de Infineon Security Platform.
Luego debe ejecutarse el administrador de políticas y configurar correctamente la política estableciendo la ubicación del paquete de archivos de la copia de seguridad que se creó previamente. Finalmente el archivo configurado será usado automáticamente cuando se hayan inicializado el resto de las Security Platforms de la empresa.
Esta sección no es aplicable en modo servidor, ya que las Copias de Seguridad y la Recuperación están administrados por el Trusted Computing Management Server.
¿Cómo se crea un archivo de almacenamiento de clave pública a partir de un archivo de tarjeta de seguridad?
En la configuración de política de grupo, puede especificar que se utilice desde un archivo de almacenamiento la clave pública de una tarjeta de seguridad para la recuperación de emergencia existente o la tarjeta de seguridad de restablecimiento de la contraseña (consulte Uso de la clave pública de la Tarjeta de Recuperación de emergencia del archivo y Uso de la clave pública de la Tarjeta de restablecimiento de contraseña del archivo en Políticas del Sistema). Para crear dicho archivo de almacenamiento a partir del archivo de tarjeta de seguridad existente, realice los siguientes pasos:
- Inicialice por completo la plataforma (incluida la recuperación de emergencia y el restablecimiento de la contraseña) con configuración de políticas predeterminadas en el primer sistema (p. ej. en un sistema de prueba).
El Asistente para la inicialización rápida crea un archivo de tarjeta de seguridad genérico tanto para la recuperación de emergencia como para el restablecimiento de la contraseña.
El Asistente para la inicialización rápida crea un archivo de tarjeta de seguridad para la recuperación de emergencia y otro para el restablecimiento de la contraseña. - Ejecute la secuencia de comandos que se adjunta a continuación en el mismo sistema para crear el archivo de almacenamiento de clave pública necesario a partir del archivo de tarjeta de seguridad correspondiente.
- Copie el archivo de almacenamiento de clave pública en una ubicación adecuada y habilite las directivas anteriormente mencionadas.
Secuencia de comandos GeneratePubKeyArchive.vbs:
'GeneratePubKeyArchive.vbs <Ruta completa a tarjeta.xml> <Ruta completa a PubKeyArchive.xml>
'La <Ruta completa a tarjeta.xml> puede ser una de las siguientes tarjetas:
' - SPPwdResetToken.xml
' - SPEmRecToken.xml
' - SPGenericToken.xml
'La <Ruta completa a PubKeyArchive.xml> es la salida, que contiene la clave pública extraída de la tarjeta de entrada:
' - SPPwdResetTokenPubKeyArchive.xml
' - SPEmRecTokenPubKeyArchive.xml
' - SPGenericTokenPubKeyArchive.xml
'Para que lo utilice la política "Uso de la clave pública de la Tarjeta de Recuperación de emergencia del archivo":
' - SPEmRecTokenPubKeyArchive.xml
' - SPGenericTokenPubKeyArchive.xml
'Para que lo utilice la política "Uso de la clave pública de la Tarjeta de restablecimiento de contraseña del archivo":
' - SPPwdResetTokenPubKeyArchive.xml
' - SPGenericTokenPubKeyArchive.xml
'Asegúrese de especificar la ruta completa, p. ej.:
' GeneratePubKeyArchive.vbs "c:\tmp\SPGenericToken.xml" "c:\tmp\SPGenericTokenPubKeyArchive.xml"
Si WScript.Arguments.Count <> 2 Entonces
WScript.Echo "Usage: " & Wscript.ScriptName & " ""<Ruta completa a tarjeta.xml>"" ""<Ruta completa a PubKeyArchive.xml>"""
WScript.Quit
End If
Set MPBase = WScript.CreateObject("IfxSpMgtPrv.MgmtProvider")
Set MPToken = MPBase.GetInterface(10)
' CreationFlags: keep existing file = 0, overwrite existing file = 1
CreationFlags = 0
ReservedFlag = 0
MPToken.CreatePublicKeyFile WScript.Arguments(0), WScript.Arguments(1), CreationFlags, ReservedFlag
'Error Handling if failing to be added here
WScript.Echo "Done"
Esta sección no es aplicable en modo servidor, ya que la recuperación de emergencia y el restablecimiento de la contraseña están administrados por el Trusted Computing Management Server.
©Infineon Technologies AG