Políticas de sistema de Infineon Security Platform

Infineon Security Platform

Infineon La Solución Security Platform - Administración de política

Políticas de sistema de Infineon Security Platform

El software solución Infineon Security Platform admite las siguientes configuraciones de política de computadora.

En modo servidor, las Políticas del Sistema se configuran en todo el dominio por un administrador de dominios a través de Trusted Computing Management Server. Tenga en cuenta que las configuraciones que sólo son valídas para el modo de servidor se describen en el archivo de plantilla administrativa suministrado por Trusted Computing Management Server.
Valor predeterminado: Si una política no ha sido explicitamente establecida (e.j. el Editor de política del grupo local muestra el estado No configurado), entonces el software solución Security Platform implícitamente aplica un valor por predeterminado.

Todas las configuraciones de las versiones

Configuraciones que son válidas tanto para la versión en modo servidor como para la versión en modo stand-alone.
Política Explicación Valor predeterminado
Preparar la inscripción de TPM Habilitado: El Trusted Platform Module se prepara automáticamente para habilitarse en las plataformas no inicializadas que tienen un Trusted Platform Module deshabilitado y que soportan la Interfaz de Presencia Física (PPI). Se guiará a los usuarios para que completen la habilitación.

Deshabilitado: El Trusted Platform Module no está preparado para habilitarse automáticamente.

Deshabilitado
Permitir a los administradores el uso remoto de la clave de plataforma Habilitado: Un administrador puede utilizar claves de plataforma no solo de forma local sino también remotamente.

Deshabilitado: No se puede utilizar las claves de plataforma en forma remota. Por problemas de privacidad, el acceso a estas claves está restringido según lo acordado por Trusted Computing Group (TCG). De esta manera todas las claves que permitirian la identificación de su Security Platform estan ocultas para el acceso remoto. Esta política requiere que todas las computadoras sean miembros de dominios confiables. Esto sólo es relevante para los sistemas operativos que soporten la asociación de dominios.

Observe que la administración y operación de Security Platform no está restringida por esta política.

Deshabilitado
Permitir la lectura de la memoria TPM NV no protegida Determina quien puede leer la memoria No-Volátil (NV) no protegida, almacenada en un Trusted Platform Module 1.2. La memoria NV puede contener datos sensitivos.

Habilitado: Especifique si sólo los administradores locales, los administradores locales y remotos, todos los usuarios locales o todos los usuarios pueden leer datos NV no protegidos.

Deshabilitado: Ningún usuario puede leer datos NV no protegidos.

Esta política sólo es válida para Security Platforms con un Trusted Platform Module 1.2.

Observe que la administración y operación de Security Platform no se ve restringida por esta configuración.

Permitido/administradores locales
Configuración del límite para el ataque de diccionario Determina la cantidad de intentos de autentificación permitidos para Trusted Platform Module antes de que se tomen medidas de defensa de ataques por diccionario.

Habilitado: Especificar cuántos intentos de autentificación deben permitirse para las claves (por ejemplo, las utilizadas para la autentificación del usuario de Security Platform), los propietarios y para el acceso a datos sellados (por ejemplo, los utilizados por Windows BitLocker en combinación con PIN) antes de que se tomen medidas de defensa de ataques por diccionario.

Deshabilitado: No se puede configurar el límite para el ataque de diccionario. Se encuentran activos los valores predeterminados.

Esta política sólo es relevante para Security Platforms con un Infineon Trusted Platform Module 1.2. Se debe establecer antes de inicializar Security Platform. Los cambios posteriores a esta política sólo tendrán efecto después de la próxima configuración del nivel de defensa.
Si esta política no está configurada, entonces se pueden establecer los mismos valores de forma separada para cada plataforma en modo independiente mediante Intialization Wizard (ver Configurar Diccionario de valores de defensa contra ataques). En este caso no es necesario redefinir ningún nivel de defensa para que los valores de configuración sean eficaces.
Observe que todos los usuarios de Security Platform comparten la cantidad de intentos de autentificación permitidos. Téngalo presente si existen múltiples usuarios en paralelo en el sistema (por ejemplo, al utilizar Fast User Switching).

Detalles sobre el ataque de diccionario

Habilitado
Propietario: 3 intentos
Clave: 5 intentos
Datos: 10 intentos
Habilitar seguridad severa del campo de contraseña

Habilitado: La posibilidad de cortar, copiar, pegar y ver la contraseña en texto claro no está disponible en los campos de contraseña.

Deshabilitado: La posibilidad de pegar está disponible en los campos de contraseña. Además, la función de cortar y pegar está disponible cuando la contraseña está visible e texto claro.

Deshabilitado
Purgar claves al ingresar en estados de ahorro de energía.

Habilitado: Las claves de Security Platform son purgadas antes de que la computadora entre en uno de los estados de ahorro de energía Stand by (S3) o Hibernación (S4). Por lo tanto, el nivel de seguridad durante el período del estado de ahorro de energía aumenta. Al volver del estado de ahorro de energía, las funciones de Security Platform necesitarán una nueva autentificación de usuario.

Deshabilitado: Las claves de Security Platform no son purgadas.

Habilitado
Proveedores de autentificación avanzados

Habilitado: Ingrese el ID de clase (CLSID) de un proveedor de autentificación avanzada, o múltiples CLSIDs separados por punto y coma.
Sólo los proveedores especificados aquí serán aceptados para utilizar la autentificación avanzada en los sistemas clientes que aun no se han configurado.
Si no conoce ningún ID de clase de un proveedor de autentificación avanzada, contáctese con el fabricante de proveedores de autentificación avanzada.
Ejemplo de ID de clase: {76D8D888-B5AC-49FC-9408-8A45D37F3AC6}

Deshabilitado: No se pueden especificar proveedores de autentificación avanzada. No se puede utilizar la autentificación avanzada en sistemas clientes que no han sido configurados aun.

Comportamiento igual al de deshabilitado.
Permitir a los administradores a tomar dominio remoto Habilitado: No se requiere de la presencia local de un administrador al tomar posesión de una computadora. Esta funcionalidad puede ser particularmente útil cuando se realiza la configuración de clientes en redes grandes.

Deshabilitado: No está permitido tomar dominio remotamente.

Esta política requiere que todas las computadoras sean miembros de dominios confiables. Esto sólo es relevante para los sistemas operativos que soporten la asociación de dominios.

Deshabilitado
Permitir a los administradores la recuperación remota de la clave pública

Determina quien puede leer la clave pública Storage Root Key's(SRK) almacenada en un Trusted Platform Module. La clave pública SRK requiere de protección especial, ya que mediante ella se puede identificar al Security Platform.

Habilitado: Un administrador puede recuperar la clave pública SRK no solo a nivel local sino también remotamente.

Deshabilitado: No esta permitido la recuperación remota de una clave publica SRK.

El paso de migración Autorización y exportación automática requiere que esta opción este habilitada en la computadora destino de la migración.
Esta política requiere que todas las computadoras sean miembros de dominios confiables.
Esta configuración solo es relevante para los sistemas operativos que soportan la asociación de dominios.

Deshabilitado

Configuraciones de la versión en modo Stand-alone

Configuraciones que son válidas sólo para la versión en modo stand-alone.
Política Explicación Valor predeterminado
Contraseñas de propietario - Longitud mínima de contraseña Habilitado: Ingrese la longitud mínima deseada para la contraseña de propietario, por ejemplo, 6.
La longitud mínima de contraseña es válida para las contraseñas de propietario que más tarde se configuran o modifican.

Deshabilitado: La longitud mínima de la contraseña es de 6 caracteres.

Este parámetro se aplica sólo a las contraseñas de propietario configuradas en un Security Platform individual.

Detalles en el manejo de contraseñas
Habilitado, 6 caracteres
Contraseñas de propietario - La contraseña debe reunir los requerimientos de complejidad Habilitado: Se implementan requisitos de complejidad de contraseña para contraseñas de propietario que más tarde se configuren o modifiquen.

Deshabilitado: No se imponen requerimientos de complejidad de contraseña.

Este parámetro se aplica sólo a las contraseñas de propietario configuradas en un Security Platform individual. Los requisitos de complejidad para contraseñas de propietario configuradas por medio de Trusted Computing Management Server los establece la política homónima de Trusted Computing Management Server. Detalles en complejidad de contraseñas
Deshabilitado
Permitir registro de plataforma Habilitar/permitir interfase y asistente para la administración: El administrador esta habilitado para utilizar el asistente de inicialización de Security Platform y la interfase management provider para la inicialización.

Habilitar/permitir la interfase proveedora de la administraciónsolamente: El administrador puede solo invocar la interfase management provider pero no puede ejecutar el asistente para la inicialización de Security Platform.

Deshabilitado: Security Platform no permite que el administrador lleve a cabo ninguna función.

Habilitar/permitir interfase y asistente para la administración
Implementación de la configuración de la copia de seguridad incluyendo restauración de emergencia Habilitado: La configuración de las copias de seguridad automáticas (incluyendo las restauraciones de emergencia) es obligatorio en el proceso de inicialización de Security Platform.
Si Security Platform ha sido inicializado sin configurar las copias de seguridad automáticas, no hay ninguna imposición para configurar las copias de seguridad automáticas.

Deshabilitado: No hay ninguna imposición para configurar las copias de seguridad automáticas. Las copias de seguridad pueden ser configuradas luego de la inicialización de Security Platform por medio de Herramienta de configuración - Copia de seguridad - Configuración... .

Deshabilitado
Localización del archivo de copia de seguridad Habilitado: Ingrese la ruta de acceso incluyendo el nombre de archivo, e.j. \\BackupServer\SecurityPlatformShare\SPSystemBackup.xml.
La ruta de destino será implementada cuando la función de copia de seguridad sea configurada. Se creará un Archivo de copia de seguridad que consta de un archivo XML y de una carpeta con el mismo nombre, por ejemplo: archivo SPSystemBackup.xml y carpeta SPSystemBackup.
Si la función de copia de seguridad ha sido configurada, entonces la ruta de acceso de la copia de seguridad existente se mantiene hasta que no se realice una reconfiguración.

Asegúrese de ingresar una ruta válida que sea accesible por todas las PCs de Security Platform. De otro modo, la configuración de la copia de seguridad fallará.

Deshabilitado: La ruta de destino de la copia de seguridad puede ser libremente especificada cuando se configura la función de copia de seguridad.

Deshabilitado
Implementar copia de seguridad del sistema automáticamente Habilitado: El archivo de copia de seguridad del sistema se actualizará inmediatamente una vez realizados cambios significativos a los datos de Security Platform.

Precondiciones: Se deben configurar las copias de seguridad automáticas. También se debe permitir acceso a escritura del archivo de copia de seguridad del sistema.  

Deshabilitado: El archivo de copia de seguridad del sistema no se actualizará inmediatamente una vez realizados cambios significativos a los datos de Security Platform. Se configuran copias de seguridad automáticas y se permite el acceso a escritura del archivo de copia de seguridad, el archivo se actualizará con próxima copia de seguridad del sistema programada.

Habilitado
Uso de la clave pública de la Tarjeta de Recuperación de emergencia del archivo Habilitado: Ingrese una ruta de acceso que incluya el nombre del archivo público, por ej. \\NombreServidor\NombreCarpeta\NombreArchivo.xml.
Esta ruta será implementada cuando se configure la recuperación de emergencia.
Si la restauración de emergencia ha sido configurada en una computadora de Security Platform, esta configuración no tendrá ningún efecto en esa computadora.

Asegúrese de ingresar una ruta válida que sea accesible por todas las computadoras de Security Platform. De otro modo, la configuración de la restauración de emergencia fallará.

Deshabilitado: La tarjeta de seguridad para la recuperación de emergencia se puede crear o seleccionar al configurar la recuperación de emergencia.

Detalles de la configuración de recuperación de emergencia
¿Cómo se crea un archivo de almacenamiento de clave pública a partir de un archivo de tarjeta de seguridad?
Deshabilitado
Implementación de la configuración del restablecimiento de contraseña Habilitado: La configuración del restablecimiento de contraseña es obligatorio en el proceso de inicialización de Security Platform.
Si Security Platform ha sido inicializado sin configurar el restablecimiento de contraseña, no hay ninguna imposición para configurarlo.

Deshabilitado: No hay ninguna imposición para configurar el restablecimiento de contraseña. El restablecimiento de contraseñas puede ser configurado luego de la inicialización de Security Platform por medio de Herramienta de configuración - Restablecimiento de contrasena - Configurar... .

Deshabilitado
Uso de la clave pública de la Tarjeta de restablecimiento de contraseña del archivo Habilitado: Ingrese una ruta de acceso que incluya el nombre del archivo público, por ej. \\NombreServidor\NombreCarpeta\NombreArchivo.xml.
Esta ruta será implementada cuando se configure el restablecimiento de contraseña.
Si el restablecimiento de contraseña ha sido configurada en una computadora de Security Platform, esta configuración no tendrá ningún efecto en esa computadora.

Asegúrese de ingresar una ruta válida que sea accesible por todas las computadoras de Security Platform. De otro modo, el restablecimiento de contraseña fallará.

Deshabilitado: La tarjeta de seguridad de restablecimiento de la contraseña se puede crear o seleccionar al configurar el restablecimiento de la contraseña.

Detalle del restablecimiento de contraseña
¿Cómo se crea un archivo de almacenamiento de clave pública a partir de un archivo de tarjeta de seguridad?
Deshabilitado

Configuraciones de versiones de productos previos

Configuraciones que son válidas sólo para versiones de productos anteriores.
Política Explicación Valor predeterminado
Localización del archivo de restauración de seguridad Esta configuración es solo relevante para las versiones mas antiguas del software de solución Security Platform.

En las versiones mas antiguas, la ubicación del archivo de recuperación de emergencia puede ser establecido explícitamente durante la inicialización de Security Platform. Con esta política, la ubicación del archivo puede ser implementada.

En la versión actual, la ubicación del archivo es establecido automáticamente .

---
Iniciar URL desde el asistente para registro de certificado Consulte políticas de usuario.
Deshabilitado


©Infineon Technologies AG