Questions fréquentes

Infineon Security Platform

Infineon Security Platform Solution

Questions répétitives

Comment supprimer un utilisateur d'Infineon Security Platform ?

L'enregistrement de la sauvegarde de récupération d'urgence sur un système à distance pose-t-il un problème de sécurité ?

Le logiciel de la solution Infineon Security Platform peut-il être désinstallé et si c'est le cas, comment procéder ?

Quelles informations demeurent sur un système après une désinstallation réussie ?

Après l'inscription d'un certificat à l'aide d'Internet Explorer, le certificat ne peut pas être utilisé. Un message d'erreur est affiché.

La fonction du système d'exploitation pour comprimer les dossiers est utilisée pour la sauvegarde des données utilisateur. Comment activer l'EFS pour ce dossier comprimé ? Les fonctions peuvent-elles être associées ?

Le certificat attribué à un dossier d'EFS doit être modifié. Cela peut-il se faire sans risque pour les données contenues dans ce dossier ? Est-il possible d'assigner un certificat arbitraire au dossier ?

Comment préparer une Infineon Security Platform à une sauvegarde système réussie ? Quels fichiers sont essentiels pour restaurer avec succès une Infineon Security Platform à l'aide des mécanismes de système ?

Comment configurer et traiter la sauvegarde de secours, surtout en connexion avec les paramètres de stratégie ?

Comment créer un fichier archive de clé publique à partir d'un fichier jeton ?

Les remarques sur EFS ne s'appliquent qu'aux éditions Windows prenant en charge EFS.

Comment supprimer un utilisateur d'Infineon Security Platform ?

Il existe deux types différents d'opérations de suppression :

  • La suppression complète d'un compte utilisateur du système d'exploitation est une opération simple, prise en charge par Windows. Lorsqu'un compte utilisateur est supprimé, la case de suppression du profil utilisateur doit être cochée. Cette opération supprime entièrement les données du compte utilisateur du système.

  • Pour ne supprimer que les données utilisateur de l'Infineon Security Platform sans toucher aux données de compte système, le dossier spécifique à l'utilisateur \%AppData%\Infineon\TPM Software 2.0 doit être supprimé.

Lorsque vous désirez supprimer toutes les données liées à un utilisateur de Security Platform, consultez les données spécifiques à l’utilisateur listées dans la section Quelles informations demeurent sur un système après une désinstallation réussie ? .

S'il existe des données sur le système qui ont été cryptées avec une clé Infineon Security Platform spécifique à l'utilisateur, ces données ne pourront plus être décryptées une fois le compte utilisateur supprimé.


L'enregistrement de la sauvegarde de récupération d'urgence sur un système à distance pose-t-il un problème de sécurité ?

Cela ne pose pas de problème de sécurité. Les données sont protégées par le jeton de récupération d'urgence qui, à son tour, est protégé par le mot de passe du jeton de récupération d'urgence.

Aucun problème de sécurité en mode serveur, car Trusted Computing Management Server gère la Récupération d'urgence.


Le logiciel de la solution Infineon Security Platform peut-il être désinstallé et si c'est le cas, comment procéder ?

Il peut être désinstallé à l'aide du processus standard de suppression de logiciel fourni par le système d'exploitation. Toutes les données utilisateur protégées pas Security Platform doivent être auparavant sauvegardées. Sans cette sauvegarde, l’accès aux données ne pourra plus être établi une fois le logiciel de la solution Security Platform supprimé de votre système. La dernière étape consiste à désactiver le Trusted Platform Module du BIOS de l'ordinateur.

Une version nouvelle peut être installée sur une ancienne, sans la désinstaller. Dans ce cas, une sauvegarde complète des données utilisateur n’est pas nécessaire.


Quelles informations demeurent sur un système après une désinstallation réussie ?

Lorsque le logiciel de la solution Security Platform est désinstallé, quelques informations demeurent dans le système. En retenant les paramètres et les informations d’identification d’un utilisateur, après une réinstallation le système aura le même état comme auparavant. Ainsi aucune donnée cryptée auparavant ne sera perdue après une réinstallation du logiciel de la solution Security Platform.

Toutefois, lorsque ces données ne sont plus nécessaires et le système doit être nettoyé complètement, les données suivantes doivent être supprimées.

Sauvegardes de secours : L'emplacement des sauvegardes de récupération d'urgence écrites automatiquement est spécifié par les administrateurs. Un fichier de sauvegarde écrit automatiquement est représenté dans le système par un fichier XML et un dossier avec le même nom, par ex. un fichier SPSystemBackup.xml et un dossier SPSystemBackup. En plus, quelques sauvegardes de récupération d'urgence écrites manuellement peuvent exister.

Jeton de récupération d'urgence : L'emplacement est spécifié par le propriétaire Security Platform lors de l'initialisation de la Security Platform.

Sauvegarde de restauration d'urgence :

i) Windows 7 et Vista : \%ALLUSERSPROFILE%\Infineon\TPM Software 2.0\RestoreData\<Machine SID>\Users\<User SIDs>\SHTempRestore.xml

ii) Windows XP Professional, Windows 2000 et autres systèmes d'exploitation supportés: \%ALLUSERPROFILE%\<Application Data>\Infineon\TPM Software 2.0\RestoreData\<Machine SID>\Users\<User SIDs>\SHTempRestore.xml

Données système et fichiers clés système :

i) Windows 7 et Vista : \%ALLUSERSPROFILE%\Infineon\TPM Software 2.0\PlatformKeyData
IFXConfigSys.xml
IFXFeatureSys.xml
TCSps.xml
TPMCPSys.xml

ii) Windows XP Professional, Windows 2000 et autres systèmes d'exploitation supportés: \%ALLUSERSPROFILE%\<Application Data>\Infineon\TPM Software 2.0\PlatformKeyData
IFXConfigSys.xml
IFXFeatureSys.xml
TCSps.xml
TPMCPSys.xml

Fichiers de sauvegarde clichés instantanés locaux :

i) Windows 7 et Vista :
\%ALLUSERSPROFILE%\Infineon\TPM Software 2.0\BackupData\<Machine SID>\System\SHBackupSys.xml
\%ALLUSERSPROFILE%\Infineon\TPM Software 2.0\BackupData\<Machine SID>\Users\<User SIDs\SHBackup.xml

ii) Windows XP Professional, Windows 2000 et autres systèmes d'exploitation supportés:
\%ALLUSERSPROFILE%\<Application Data>\Infineon\TPM Software 2.0\BackupData\<Machine SID>\System\SHBackupSys.xml
\%ALLUSERSPROFILE%\<Application Data>\Infineon\TPM Software 2.0\BackupData\<Machine SID>\Users\<User SIDs\SHBackup.xml

Fichiers clé utilisateur de base : \%AppData%\Infineon\TPM Software 2.0\UserKeyData\TSPps.xml

TPM Cryptographic Service Provider Container: \%AppData%\Infineon\TPM Software 2.0\UserKeyData\TPMcp.xml

Fichier TPM PKCS #11 Provider : \%AppData%\Infineon\TPM Software 2.0\UserKeyData\TPMck.xml

Fichiers configuration utilisateur : \%AppData%\Infineon\TPM Software 2.0\UserKeyData\
IFXConfig.xml
IFXFeature.xml


Clés de registre :
HKEY_LOCAL_MACHINE\SOFTWARE\Infineon\TPM Software
HKEY_CURRENT_USER\Software\Infineon\TPM software

Les clés Personal Secure Drive de registre suivantes doivent être supprimées manuellement lorsque la fonctionnalité Personal Secure Drive est désinstallée :
[HKEY_LOCAL_MACHINE\SOFTWARE\Infineon\TPM Software\PSD]
[HKEY_CURRENT_USER\SOFTWARE\Infineon\TPM Software\PSD]
 

Personal Secure Drive Répertoires : En outre, les répertoires suivants doivent être supprimés manuellement :
x:\Security Platform\Personal Secure Drive\System Data
ou x: est le lecteur où des Personal Secure Drives sont enregistrés. Ce lecteur est sélectionné pendant la création du Personal Secure Drive (et peut donc être n'importe quel disque dur local) ou bien il est défini par la stratégie d'utilisateur locale du Personal Secure Drive.

Divers :
Pour certificats Trusted Platform Module enregistrés
Tâche de sauvegarde planifiée (par exemple C:\WINDOWS\Tasks\Security Platform Backup Schedule)


Après l'inscription d'un certificat à l'aide d'Internet Explorer, le certificat ne peut pas être utilisé. Un message d'erreur est affiché.

Le certificat est bloqué par Internet Explorer, bien qu'il soit déjà enregistré dans la sauvegarde de certificat de l'utilisateur. Fermez l'Internet Explorer et ouvrez-le à nouveau pour déverrouiller le certificat.


La fonction du système d'exploitation pour comprimer les dossiers est utilisée pour la sauvegarde des données utilisateur. Comment activer l'EFS pour ce dossier comprimé ? Les fonctions peuvent-elles être associées ?

Il n'est pas possible de combiner ces fonctions puisque le système d'exploitation ne permet pas à un dossier comprimé d'être également un dossier protégé d'EFS. La compression du dossier doit être d'abord révoquée. Ensuite la fonction d'EFS peut être activée pour le dossier.


Le certificat attribué à un dossier d'EFS doit être modifié. Cela peut-il se faire sans risque pour les données contenues dans ce dossier ? Est-il possible d'assigner un certificat arbitraire au dossier ?

En général, l'attribution d'un certificat supplémentaire à un dossier EFS ne pose pas de problème. La première condition de limite est que tous les certificats doivent être contrôlés par le même Cryptographic Service Provider. Tant que le(s) certificat(s) précédemment attribué(s) existe(nt), les données cryptées pourront être lues. Dès que le certificat protégeant un fichier EFS est supprimé du système, les fichiers correspondants sont perdus.


Comment préparer une Infineon Security Platform à une sauvegarde système réussie ? Quels fichiers sont essentiels pour restaurer avec succès une Infineon Security Platform à l'aide des mécanismes de système ?

Les fichiers fondamentaux de l'Infineon Security Platform n'incluent pas les applications du logiciel Infineon Security Platform. Il peut être réinstallé après la restauration d'une sauvegarde de système.

Les données spécifiques du logiciel de la solution Infineon Security Platform sont sauvegardées à l'aide de l'Assistant Sauvegarde d'Infineon Security Platform.
L'Assistant Sauvegarde d'Infineon Security Platform ne sauvegarde pas les données protégées telles que vos fichiers et messages électroniques cryptés qui doivent être enregistrés avec d'autres outils de sauvegarde. Nous vous conseillons d'inclure la sauvegarde de secours de l'Assistant Sauvegarde d'Infineon Security Platform à votre sauvegarde de routine de données.

Si vous n'utilisez pas l'Assistant Sauvegarde d'Infineon Security Platform pour les données spécifiques au logiciel de la solution Security Platform, vérifiez la sauvegarde de toutes les données listées dans la section Quelles informations demeurent sur un système après une désinstallation réussie ? .


  • Les sauvegardes automatiques du système configurées par l'administrateur de la Security Platform incluent également les données de récupération d'urgence.
  • Trusted Computing Management Server gère la sauvegarde et restauration en mode serveur.


Comment configurer et traiter la sauvegarde de secours, surtout en connexion avec les paramètres de stratégie ?

Vous pouvez configurer toutes les Security Platforms de votre compagnie à utiliser une sauvegarde de secours commune en configurant la stratégie Emplacement de la sauvegarde de secours.

Si vous devez créer une nouvelle sauvegarde de secours, n'importez pas les stratégies avant l'initialisation de la première Infineon Security Platform


L'administration de la stratégie devra ensuite être lancée et la stratégie correctement configurée en définissant l'emplacement de la sauvegarde de récupération d'urgence précédemment créée. Le fichier configuré sera finalement utilisé automatiquement lorsque les autres Security Platforms sont initialisées.

Cette section ne s'applique pas en mode serveur, car la sauvegarde et la restauration sont gérées par le Trusted Computing Management Server.


Comment créer un fichier archive de clé publique à partir d'un fichier jeton ?

Vous pouvez indiquer dans les paramètres de stratégie de groupe que la clé publique d'un jeton de dépannage d'urgence ou d'un jeton de réinitialisation du mot de passe est utilisée à partir d'un fichier archive (voir les Stratégies système Utilisez la clé publique du Jeton de Dépannage d'Urgence de l'archive et Utilisez la clé publique du Jeton de Réinitialisation de Mot de Passe de l'archive). Pour créer ce fichier archive à partir d'un fichier jeton existant, procédez comme suit :

  • Initialisez complètement la plateforme (notamment Dépannage d'urgence et Réinitialisation du mot de passe) en utilisant les paramètres de stratégie par défaut sur le premier système (par exemple, un système de test).
    L'Assistant Rapide d'Initialisation crée un fichier jeton pour Dépannage d'urgence et Réinitialisation du mot de passe.
    L'Assistant Initialisation de plateforme crée un fichier jeton pour Dépannage d'urgence et un autre pour Réinitialisation du mot de passe.
  • Exécutez le script ci-dessous sur le même système pour créer le fichier archive de clé publique requis à partir du fichier jeton correspondant.
  • Copiez le fichier archive de la clé publique dans un emplacement approprié et activez les stratégies indiquées ci-dessus.

Script GeneratePubKeyArchive.vbs :
'GeneratePubKeyArchive.vbs <Chemin complet vers Token.xml> <Chemin complet vers PubKeyArchive.xml>
'Le <Chemin complet vers Token.xml> peut être l'un des jetons suivants :
' - SPPwdResetToken.xml
' - SPEmRecToken.xml
' - SPGenericToken.xml
'Le <Chemin complet vers PubKeyArchive.xml> est le résultat, qui contient la clé publique extraite du jeton indiqué :
' - SPPwdResetTokenPubKeyArchive.xml
' - SPEmRecTokenPubKeyArchive.xml
' - SPGenericTokenPubKeyArchive.xml
'Pour une utilisation par la stratégie "Utilisez la clé publique du Jeton de Dépannage d'Urgence de l'archive" :
' - SPEmRecTokenPubKeyArchive.xml
' - SPGenericTokenPubKeyArchive.xml
'Pour une utilisation par la stratégie "Utilisez la clé publique du Jeton de Réinitialisation de Mot de Passe de l'archive" :
' - SPPwdResetTokenPubKeyArchive.xml
' - SPGenericTokenPubKeyArchive.xml
'Veillez à indiquer le chemin complet, par exemple :
' GeneratePubKeyArchive.vbs "c:\tmp\SPGenericToken.xml" "c:\tmp\SPGenericTokenPubKeyArchive.xml"
If WScript.Arguments.Count <> 2 Puis
    WScript.Echo "Utilisation : " & Wscript.ScriptName & " ""<Chemin complet vers Token.xml>"" ""<Chemin complet vers PubKeyArchive.xml>"""
    WScript.Quit
End If
Set MPBase = WScript.CreateObject("IfxSpMgtPrv.MgmtProvider")
Set MPToken = MPBase.GetInterface(10)
' CreationFlags: conserver le fichier existant = 0, remplacer le fichier existant = 1
CreationFlags = 0
ReservedFlag = 0
MPToken.CreatePublicKeyFile WScript.Arguments(0), WScript.Arguments(1), CreationFlags, ReservedFlag
'Traitement des erreurs en cas d'échec à ajouter ici
WScript.Echo "Terminé"

Cette section ne s'applique pas en mode serveur, car le Dépannage d'urgence et la Réinitialisation du mot de passe sont gérés par le Trusted Computing Management Server.


 


©Infineon Technologies AG