Solución Infineon Security Platform |
Solución de problemas
La siguiente sección describe los procedimientos para a llevar a cabo las operaciones más habituales de solución de problemas en un Infineon Security Platform:
Debe configurarse una plataforma, pero el Trusted Platform Module ya tiene un propietario.
Se configuró el Infineon Security Platform, pero cambió su propietario.
Los comentarios sobre EFS no son importantes para las ediciones Windows Home porque no admiten EFS. |
Debe configurarse una plataforma, pero el Trusted Platform Module ya tiene un propietario.
En este caso se utilizará el Propietario de Security Platform existente para inicializar Security Platform. Para esto se requiere conocimiento de la Contraseña de propietario existente o acceso al correspondiente Archivo de copia de seguridad de contraseña de propietario.
Esta es una situación típica en un entorno multisistema, donde existe más de un sistema operativo en una computadora. El Propietario de Infineon Security Platform ("Storage Root Key", SRK por sus siglas en inglés) no puede salir del Trusted Platform Module, y no se puede introducir desde el exterior. Por lo tanto, no es posible realizar una operación de "importación".
Dependiendo de la existencia de las claves de usuario básico, se requiere una metodología diferente durante la inicialización de Security Platform.
Si no se creó una clave de usuario básico para el Security Platform, se puede crear un nuevo paquete de archivos de la copia de seguridad (que contiene datos de recuperación de emergencia). Una vez hecho esto, el Infineon Security Platform está listo para las demás operaciones.
Si se configura una clave de usuario básico y un paquete de archivos de la copia de seguridad (que contiene los datos de recuperación de emergencia), es muy importante no sobrescribir el paquete de archivos durante la inicialización de Security Platform.
En modo servidor, primero tiene que limpiar el propietario si ya existe un propietario antes de conectar el sistema al Trust Domain. La Security Platform será entonces incorporada automáticamente en el Trust Domain (Vea la inscripción de la plataforma).
Se configuró el Infineon Security Platform, pero cambió su propietario.
Si se configuró el Security Platform con la recuperación de emergencia, sus credenciales de Security Platform se pueden reactivar por medio de la Asistencia para la recuperación de emergencia de la solución de Security Platform.
En modo servidor, el Trusted Platform Module no deberá tener un Propietario antes de conectar el sistema al Trust Domain, es decir, no se ha inicializado aún (ni por Infineon TPM Professional Package en modo independiente ni por Trusted Domain Server en modo servidor, o por cualquier otro software como Windows Vista Trusted Platform Module (TPM) Management).
¿Qué debe tenerse en cuenta para la recuperación de emergencia al utilizar el asistente para la inicialización de Infineon Security Platform?
Se puede realizar una recuperación de emergencia de un sistema si su Trusted Platform Module se ha reemplazado o restablecido, y si se encuentra disponible una imagen de la copia de seguridad la cual permita restaurar sus datos. Los datos específicos del usuario relacionado a Security Platform y los datos de la recuperación de emergencia se resguardan en copias de seguridad automáticas del sistema.
El administrador de Infineon Security Platform debe tener acceso al paquete de archivos de la copia de seguridad y a la tarjeta de seguridad de la recuperación de emergencia que se creó al configurar el sistema, y debe conocer la contraseña que protege esta tarjeta.
El administrador del Infineon Security Platform debe restaurar el sistema, ejecutando el asistente para copia de seguridad de Infineon Security Platform.
Si la recuperación se hace en una computadora cuyo nombre se ha modificado, se debe conocer el antiguo nombre de la misma o el ID de la plataforma de la computadora (SID). Es posible que el paquete de archivos de copia de seguridad contenga datos de recuperación de varias computadoras. En este caso necesita seleccionar la computadora a restaurar del paquete de archivos de la copia de seguridad.
En el modo servidor, la recuperación de emergencia es llevada a cabo por Trusted Computing Management Server.
Los documentos que se encuentran en una carpeta protegida EFS deben restaurarse desde una copia de seguridad del sistema. El usuario de Infineon Security Platform no existe en el sistema de destino. ¿Cómo se puede resolver esta situación?
Si la clave de usuario básico ya no está disponible y no se configuró un certificado de recuperación (para un agente de recuperación), el documento se pierde definitivamente.
Caso contrario, el primer paso es restaurar el archivo desde la copia de seguridad. Esto se lleva a cabo sin alterar las propiedades relevantes de seguridad del archivo. Como próximo paso se debe utilizar el certificado de recuperación para habilitar el agente de recuperación para desencriptar el archivo.
Una aplicación utilizada con frecuencia genera archivos temporales fuera de las carpetas temporales estándar. Generalmente, ninguna carpeta temporal está protegida por EFS. ¿Cómo se pueden resguardar los archivos temporales de esta aplicación, en especial ya que estos archivos permanecen en el disco duro cuando la misma se cierra?
Este es un problema común para muchas aplicaciones. Dependiendo de la aplicación, puede que los archivos temporales se creen fuera de las carpetas EFS que se configuraron. Cuando esta no es la carpeta %AppData% común en el perfil del usuario (comúnmente llamada "Application data"), se trata de una función específica de la aplicación y no se puede llevar a cabo ninguna orden para manejar la situación. Una vez que se conoce la ubicación (y la aplicación no permite la configuración de la carpeta), aplicar la seguridad EFS en la carpeta especificada puede ser una solución. Cuando esto no es factible, debe asegurarse de borrar esos archivos al cerrar la aplicación.
En Microsoft Developer Network (MSDN) encontrará más información con respecto a la solución de problemas para el Encrypting File System.
Cuando el usuario de Infineon Security Platform accede por primera vez a una carpeta EFS, se le solicita la contraseña para la clave de usuario básico. Si se cancela este diálogo y se configura un agente de recuperación, el usuario aún puede acceder a los datos en la carpeta EFS siempre y cuando la clave privada del agente de recuperación esté disponible para el usuario. ¿Esto es un error del sistema?
Este comportamiento es correcto debido al diseño del agente de recuperación. Al configurar un certificado de recuperación para una carpeta EFS, el agente de recuperación lo utiliza cuando se accede por primera vez a la carpeta. Dependiendo de si la computadora se encuentra o no en un dominio, existen diferentes soluciones:
La computadora se encuentra en un dominio: Aquí el administrador debe encargarse de la asignación del certificado. Si no existe ninguna asignación a un usuario específico de Infineon Security Platform, el comportamiento descripto no ocurre.
La computadora corre bajo Windows 2000 y no es miembro de un dominio: Una de las posibilidades es asegurarse de que la clave privada del agente de recuperación no esté disponible para los usuarios comunes de Security Platform.
El equipo se ejecuta con otro sistema operativo admitido y no es miembro de un dominio: En este caso el certificado de recuperación normalmente no existe, por lo que el comportamiento no debe ocurrir.
©Infineon Technologies AG