Infineon Security Platform Solution - Administration stratégie |
Stratégies système d'Infineon Security Platform
Les paramètres de stratégie ordinateur suivants sont pris en charge par le logiciel de la solution Infineon Security Platform.
Dans le mode serveur, les stratégies système sont configurées au niveau du domaine par un administrateur de domaine via Trusted Computing Management Server. Notez que les paramètres autorisés uniquement pour le mode serveur sont décrits dans le fichier modèle administratif fourni par Trusted Computing Management Server. |
Valeur par défaut: Lorsqu'une stratégie n'a pas été encore configurée explicitement (par exemple l'éditeur de Stratégie de groupe parent affiche l'état Non configuré), alors le logiciel de la solution Security Platform applique implicitement une valeur par défaut. |
Paramètres pour toutes les versions
Paramètre valables pour la version en mode autonome ET pour la version en mode serveur.Stratégie | Explication | Valeur par défaut |
Préparer l'inscription TPM | Activé : Pour les plates-formes non initialisées avec un Trusted Platform Module désactivé prenant en charge l'Interface de présence physique (Physical Presence Interface, PPI), Trusted Platform Module est préparé automatiquement pour activation. Les utilisateurs seront guidés pour finaliser l'activation. Désactivé : Trusted Platform Module n'est pas préparé pour activation automatique. |
Désactivé |
Autorisation donnée aux administrateurs d’utiliser les clés de la plate-forme à distance | Activé : Un administrateur peut utiliser les clés de la plate-forme non seulement localement, mais également à distance. Désactivé : L’utilisation des clés plate-forme à distance n’est pas permise. Pour des raisons de sécurité, l’accès à ces clés est limité comme établi par le Trusted Computing Group (TCG). Ainsi toutes les clés pouvant permettre l’identification de votre Security Platform ne sont pas disponibles pour accès à distance. Cette stratégie demande que tous les ordinateurs impliqués soient membres des domaines autorisés. S'applique seulement pour les systèmes d'exploitation prenant en charge la propriété des domaines. L’administration et l’opération de la Security Platform ne sont pas limitées par ce paramètre. |
Désactivé |
Permettre la lecture de la mémoire NV TPM non protégée | Détermine qui peut lire la mémoire non-volatile (NV) non protégée stockée dans un Trusted Platform Module 1.2. La mémoire NV peut contenir des données confidentielles. Activé : Spécifie lorsque seulement les administrateurs locaux, ou les administrateurs locaux et les administrateurs à distance, ou tous les utilisateurs locaux, ou tous les utilisateurs peuvent lire les données NV non protégées. Désactivé : Aucun utilisateur ne peut lire les données NV non protégées. Cette stratégie est valable pour les Security Platform avec un Trusted Platform Module 1.2. L'administration et l'opération de Security Platform ne sont pas restrictionnées par ce paramètre. |
Activée/Administrateurs locaux |
Configurer le seuil pour les attaques de type dictionnaire | Détermine le nombre d'essais d'authentification de Trusted Platform Module autorisés avant que des mesures de défense d'attaque par dictionnaire ne soient prises. Activé : Déterminez combien d'essais d'authentification devraient être autorisés pour les clés (par ex. utilisé pour l'authentification de l'Utilisateur de Security Platform), le propriétaire, et pour l'accès aux données verrouillées (par ex. utilisé par Windows BitLocker en combinaison avec PIN), avant que des mesures de défense d'attaque par dictionnaire ne soient prises. Désactivé : Le seuil pour les attaques de type dictionnaire ne peut pas être configuré. Les valeurs par défaut sont appliquées.
Cette stratégie s’applique uniquement aux Security Platforms équipée d'un Infineon Trusted Platform Module 1.2. Elle doit être configurée avant l'initialisation de Security Platform. Les changements ultérieurs de cette stratégie ne seront appliqués qu'après la suivante réinitialisation du niveau de défense. |
Activé Propriétaire : 3 essais Clé : 5 essais Données : 10 essais |
Activez la sécurité du champ de mot de passe obligatoire | Activé : La possibilité de couper, copier, coller et visualiser le mot de passe dans un texte en clair n'est pas disponible dans les champs des mots de passe. Désactivé : La possibilité de coller est disponible dans les champs des mots de passe. En plus, l'opération de coupe et copie est disponible lorsque le mot de passe est visible dans un texte en clair. |
Désactivé |
Purge des clés lorsqu'on passe aux états d'économie d'énergie | Activé : Les clés de Security Platform sont purgées avant que l'ordinateur passe dans un des états d'économie d'énergie mise en veille (S3) ou veille prolongée (S4). Par conséquent, le niveau de sécurité pendant l'état d'économie d'énergie sera augmenté. Après avoir revenu de l'état d'économie d'énergie, les Fonctions Security Platform vont redemander une autre authentification. |
Activé |
Fournisseurs d'authentification étendue | Activé : Saisissez un class ID fournisseur d'authentification étendue (CLSID) ou plusieurs CLSID séparés par points-virgules. |
Le même comportement comme si désactivée. En mode autonome, le comportement est identique à celui des versions antérieures du produit, c'est-à-dire que les fournisseurs installés peuvent être utilisés. |
Autorisation donnée aux administrateurs de devenir propriétaire à distance | Activé : La présence locale d'un administrateur n'est pas exigée pour prendre la propriété d'un ordinateur. Cette fonctionnalité peut s’avérer très utile pour l'installation des clients dans les réseaux étendus. Désactivé : La prise à distance de la propriété n’est pas permise. Cette stratégie demande que tous les ordinateurs impliqués soient membres des domaines autorisés. S'applique seulement pour les systèmes d'exploitation prenant en charge la propriété des domaines. |
Désactivé |
Autorisation donnée aux administrateurs de récupérer la clé publique SRK à distance |
Détermine qui peut lire la clé publique SRK stockée dans un Trusted Platform Module. La clé publique SRK nécessite une protection spéciale, lorsqu'elle peut identifier la Security Platform. Activé : Un administrateur peut récupérer la clé publique SRK localement, mais également à distance. Désactivé : La récupération à distance de la clé publique SRK n’est pas permise.
Le pas Exportation et autorisation automatiques de la migration exige l’activation de ce paramètre sur l’ordinateur cible de la migration. |
Désactivé |
Paramètres pour la version en mode autonome
Paramètres valides seulement pour la version en mode autonome.Stratégie | Explication | Valeur par défaut |
Mot de passe du propriétaire - Longueur minimale du mot de passe | Activé : Saisissez la longueur minimal du Mot de passe utilisateur, par exemple 6. La longueur minimale des mots de passe est valable pour les Mots de passe du propriétaire qui sont configurées ou changées ultérieurement. Désactivé : La longueur minimale du mot de passe est 6 caractères. Ce paramètre s'applique uniquement aux mots de passe du propriétaire configurés sur une Security Platform autonome. La longueur minimale du mot de passe pour les mots de passe du propriétaire configurés en utilisant Trusted Computing Management Server est configurée pas la stratégie Trusted Computing Management Server avec le même nom. Détails sur la gestion du mot de passe |
Activé, 6 caractères |
Mot de passe du propriétaire - Le mot de passe doit correspondre aux exigences de complexité | Activé : Les exigences de complexité du mot de passe sont imposées pour les Mots de passe du propriétaire qui sont configurés ou changés ultérieurement. Désactivé : Aucune demande concernant la complexité du mot de passe n'est pas appliquée. Ce paramètre s'applique uniquement aux mots de passe du propriétaire configurés sur une Security Platform autonome. La demandes de complexité pour les mots de passe du propriétaire configurés en utilisant Trusted Computing Management Server sont configurées pas la stratégie Trusted Computing Management Server avec le même nom. Détails sur la complexité du mot de passe |
Désactivé |
Permettre l’inscription de la plate-forme | Activé/Autorisation pour l'interface et l'assistant de gestion : L’administrateur peut utiliser l’assistant d’initialisation de la Security Platform et l’interface de management provider pour initialisation. Activer/Autoriser Management Provider uniquement : Les plateformes ne peuvent être initialisées qu'à l'aide de l'interface Management Provider. Désactivé : Les plates-formes ne peuvent pas être initialisées. |
Activé/Autorisation pour l'interface et l'assistant de gestion |
Application de la configuration de sauvegarde incluant la récupération d’urgence | Activé : La configuration des sauvegardes automatiques (y compris la récupération d’urgence) est obligatoire dans le processus d’initialisation de la Security Platform. Lorsque la Security Platform a été déjà initialisée sans configurer les sauvegardes automatiques, il n’y a aucune obligation pour la configuration des sauvegardes automatiques. Désactivé : Il n’y a aucune obligation pour la configuration des sauvegardes automatiques. La sauvegarde peut être configurée après l'initialisation de la Security Platform via Outil de paramétrage - Sauvegarde - Configurer... . |
Désactivé |
Emplacement de la sauvegarde de secours | Activé : Saisissez un chemin, y compris un nom de fichier, par exemple \\BackupServer\SecurityPlatformShare\SPSystemBackup.xml. Ce chemin cible sera appliqué lorsque la fonction Sauvegarde est configurée. Un fichier de sauvegarde écrit automatiquement, représenté par un fichier XML et un dossier avec le même nom, sera créé, par ex. un fichier SPSystemBackup.xml et un dossier SPSystemBackup. Lorsque la fonction Sauvegarde est déjà configurée, le chemin de sauvegarde existant est gardé tant qu’une reconfiguration n’est pas exécutée. Vérifiez l’entrée d’un chemin valide, accessible pour tous les ordinateurs Security Platform, autrement la configuration de la sauvegarde échouera. Désactivé : Le chemin cible de sauvegarde peut être spécifié librement lorsque la fonction Sauvegarde est configurée. |
Désactivé |
Appliquer la sauvegarde système immédiate | Activé : La sauvegarde secours du système sera mise à jour immédiatement après les changements significatifs des données Security Platform. Conditions préalables : Les sauvegardes automatiques doivent être configurées. L'accès à la sauvegarde de secours du système doit être accordé. Désactivé : La sauvegarde secours du système ne sera pas mise à jour immédiatement après les changements significatifs des données Security Platform. Lorsque des sauvegardes automatiques sont configurées et l'accès en écriture à la sauvegarde de secours du système est permis, la sauvegarde sera mise à jour à la prochaine sauvegarde planifiée du système. |
Activé |
Utilisation de la clé publique du jeton de récupération d’urgence depuis l’archive | Activé : Entrez un chemin incluant le nom du fichier de clé publique, par exemple \\NomServeur\NomDossier\NomFichier.xml. Ce chemin cible sera appliqué lorsque la fonction Sauvegarde est configurée. Lorsque la fonction Sauvegarde est déjà configurée, ce paramètre n'aura aucun effet pour cet ordinateur. Vérifiez l’entrée d’un chemin valide, accessible pour tous les ordinateurs Security Platform, autrement la configuration de la récupération d'urgence échouera. Désactivé : Le jeton de récupération d’urgence peut être créé ou sélectionné lorsque la fonction Récupération d’urgence est configurée. Détails sur la configuration de la récupération d'urgenceComment créer un fichier archive de clé publique à partir d'un fichier jeton ? |
Désactivé |
Application de la configuration de réinitialisation mot de passe | Activé : La configuration de la réinitialisation du mot de passe est obligatoire dans le processus d’initialisation de la Security Platform. Lorsque la Security Platform a été déjà initialisée sans configurer la réinitialisation du mot de passe, il n’y a aucune obligation pour la configuration de la réinitialisation du mot de passe. Désactivé : Aucune obligation pour la configuration de la réinitialisation du mot de passe. La réinitialisation du mot de passe peut être configurée après l'initialisation de la Security Platform via Outil de paramétrage - Réinitialisation mot de passe - Configurer... . |
Désactivé |
Utilisation de la clé publique du jeton de réinitialisation du mot de passe depuis l’archive | Activé : Entrez un chemin incluant le nom du fichier de clé publique, par exemple \\NomServeur\NomDossier\NomFichier.xml. Ce chemin sera appliqué lorsque la fonction Réinitialisation mot de passe est configurée. Lorsque la fonction Réinitialisation mot de passe est déjà configurée, ce paramètre n'aura aucun effet pour cet ordinateur. Vérifiez l’entrée d’un chemin valide, accessible pour tous les ordinateurs Security Platform, autrement la configuration de la réinitialisation mot de passe échouera. Désactivé : Le jeton de réinitialisation du mot de passe peut être créé ou sélectionné lorsque la fonction Réinitialisation du mot de passe est configurée. Détails sur la configuration de la réinitialisation du mot de passeComment créer un fichier archive de clé publique à partir d'un fichier jeton ? |
Désactivé |
Paramètres versions antérieures produit
Paramètres valides seulement pour les versions antérieures du produit.Stratégie | Explication | Valeur par défaut |
Emplacement de fichier pour la sauvegarde de récupération d’urgence | Ce paramètre est applicable seulement pour les versions précédentes du logiciel de la solution Security Platform. Pour les versions précédentes, l’emplacement de fichier pour la sauvegarde de récupération d’urgence peut être configuré explicitement au cours de l’initialisation de la Security Platform. Avec cette stratégie, l’emplacement de fichier peut être appliqué obligatoirement. Pour la version actuelle, l’emplacement de fichier est configuré automatiquement. |
--- |
URL à lancer à partir de l'assistant pour l'inscription de certificats | Voir stratégies utilisateur. |
Désactivé |
©Infineon Technologies AG