Stratégies utilisateur d'Infineon Security Platform

Infineon Security Platform

Infineon Security Platform Solution - Administration stratégie

Stratégies utilisateur d'Infineon Security Platform

Les paramètres de stratégie utilisateur suivants sont pris en charge par le logiciel de la solution Infineon Security Platform.

Dans le mode serveur, les stratégies utilisateur sont configurées au niveau du domaine par un administrateur de domaine via Trusted Computing Management Server. Notez que les paramètres autorisés uniquement pour le mode serveur sont décrits dans le fichier modèle administratif fourni par Trusted Computing Management Server.
Valeur par défaut: Lorsqu'une stratégie n'a pas été encore configurée explicitement (par exemple l'éditeur de Stratégie de groupe parent affiche l'état Non configuré), alors le logiciel de la solution Security Platform applique implicitement une valeur par défaut.

Paramètres pour toutes les versions

Paramètre valables pour la version en mode autonome ET pour la version en mode serveur.
Stratégie Explication Valeur par défaut
Mot de passe utilisateur de base - Longueur minimale du mot de passe Activé : Entrez la longueur minimale désirée pour le mot de passe utilisateur de base, par exemple 6.
La longueur minimale du mot de passe est valide pour les mots de passe utilisateur de base configurés ou modifiés ultérieurement.

Désactivé : La longueur minimale du mot de passe est 6 caractères.

Détails sur la gestion du mot de passe
Activé, 6 caractères
Mot de passe utilisateur de base - Le mot de passe doit correspondre aux exigences de complexité Activé : Les demandes concernant la complexité du mot de passe sont appliquées pour les mots de passe utilisateur de base configurées ou modifiées ultérieurement.

Désactivé : Aucune demande concernant la complexité du mot de passe n'est pas appliquée.

Détails sur la complexité du mot de passe
Désactivé
Mot de passe utilisateur de base - Age maximal mot de passe utilisateur de base Détermine l’intervalle (en jours) d’utilisation d’un mot de passe utilisateur de base avant que le système exige son changement à l’utilisateur.

Activé :

  • Age maximal mot de passe utilisateur de base: Saisissez l’âge maximal désiré pour le mot de passe utilisateur de base, par ex. 42 jours.
  • Avertissement expiration mot de passe utilisateur de base : Spécifiez avec combien jours avant l’expiration du mot de passe utilisateur de base doit-on notifier les utilisateurs, par ex. 7 jours.

Désactivé : Pas d’âge maximal mot de passe utilisateur de base, c.à.d les mots de passe n’expirent pas.

Désactivé
Phrase de passe utilisateur de base - Longueur minimale de la phrase de passe Activé : Entrez la longueur minimale désirée pour la phrase de passe utilisateur de base, par exemple 20.
La longueur minimale de la phrase de passe est valide pour les phrases de passe utilisateur de base configurés ou modifiés ultérieurement.

Désactivé : La longueur minimale de la phrase de passe est 20 caractères.

Cette stratégie est relevante seulement lorsque l'authentification étendue est utilisée.

Détails sur l'authentification étendue
Activé, 20 caractères
Phrase de passe utilisateur de base - La phrase de passe doit correspondre aux exigences de complexité Activé : Les demandes concernant la complexité sont appliquées pour les phrases de passe utilisateur de base configurées ou modifiées ultérieurement.

Désactivé : Aucune demande concernant la complexité n'est pas appliquée

Cette stratégie est relevante seulement lorsque l'authentification étendue est utilisée.

Détails sur la complexité du mot de passe
Détails sur l'authentification étendue
Désactivé
Initialisation Rapide de Contrôle Activé/Autoriser : Assistant Rapide d'Initialisation ou Assistant d'Initialisation de Security Platform et Assistant d'Initialisation Utilisateur peuvent être utilisés pour initialiser les plates-formes et utilisateurs.

Activée / Renforcer : Assistant Rapide d'Initialisation doit être utilisé pour initialiser les plates-formes et / ou utilisateurs. Les fonctions disponibles (EFS, PSD) doivent également être configurées initialement avec l'Assistant Rapide d'Initialisation.

Désactivé : Assistant Rapide d'Initialisation ne peut pas être utilisé pour initialiser les plates-formes et utilisateurs. L'Assistant d'Initialisation de Security Platform et l'Assistant Rapide Utilisateur doivent être utilisés à la place.

Activée / Autoriser
Désactivation temporaire de la fonction Security Platform par l'utilisateur Activé : L'utilisateur d'Infineon Security Platform peut désactiver les fonctions de sécurité activées jusqu'au prochain redémarrage de l'ordinateur.

Désactivé : L'option de désactiver temporairement Infineon Security Platform n'est pas disponible dans l'interface utilisateur du logiciel de la solution Security Platform.

Cette stratégie s’applique uniquement aux Security Platforms équipée d'un Infineon Trusted Platform Module 1,1.
Lorsque l'utilisateur se déconnecte et qu'un autre utilisateur se connecte à son tour, les fonctions de sécurité désactivées restent dans cet état jusqu'au redémarrage de l'ordinateur.

Activé
Autorisation de la configuration de la messagerie électronique sécurisée Activé : L'utilisateur peut configurer le fonction Messagerie électronique sécurisée de la Security Platform.

Désactivé : L'utilisateur ne peut pas configurer cette fonction, mais une configuration antérieure peut être utilisée.

Activé
Autorisation de la configuration de l'EFS Activé : L'utilisateur peut configurer la fonction Cryptage de fichiers et de dossiers avec le système de fichiers de cryptage (EFS) de la Security Platform.

Désactivé : L'utilisateur ne peut pas configurer cette fonction, mais une configuration antérieure peut être utilisée.

EFS n'est pas pris en charge dans les éditions familiales de Windows.

Activé
Autorisation de la configuration du PSD Activé : L'utilisateur peut configurer le fonction Cryptage de fichiers et de dossiers (EFS) avec le Personal Secure Drive (PSD) de la Security Platform.

Désactivé : L'utilisateur ne peut pas configurer cette fonction, mais une configuration antérieure peut être utilisée.

Activé
Application de l'activation de la réinitialisation mot de passe Activé : L'activation de la réinitialisation du mot de passe est obligatoire dans le processus d'initialisation de l'utilisateur.
Lorsqu'un utilisateur de la Security Platform a été déjà initialisé sans activer la réinitialisation du mot de passe, il n'y a aucune application pour activer la réinitialisation du mot de passe.

Désactivé : Aucune application pour l'activation de la réinitialisation du mot de passe. La réinitialisation du mot de passe peut être activée après l'initialisation de l'utilisateur via Outil de paramétrage - Réinitialisation mot de passe - Activer...

Désactivé
Application de l'authentification étendue Activé : Les utilisateurs de la Security Platform doivent utiliser l'authentification étendue (avec la phrase de passe utilisateur de base).

Désactivé : Les utilisateurs de la Security Platform peuvent décider lorsqu'ils désirent utiliser l'authentification étendue (avec la phrase de passe utilisateur de base) ou authentification mot de passe (avec mot de passe utilisateur de base).

Cette stratégie est relevante seulement lorsqu'au moins un dispositif d'authentification a été activé; pour tous les utilisateurs. Lorsqu'un utilisateur de Security Platform a été déjà initialisé sans sélectionner un dispositif d'authentification, il n'y a aucune obligation d'utiliser l'authentification étendue.

Détails sur l'authentification étendue
Désactivé
Permettre la mise en cache du mot de passe utilisateur de base Activé : Le mot de passe utilisateur de base peut être mis en cache dans le logiciel Infineon Security Platform, en diminuant le numéro d'entrées du mot de passe au cours de la session ouverte actuellement. Ceci réduit le numéro d'entrées du mot de passe pour l'utilisateur.

Désactivé : Le dialogue Mot de passe utilisateur de base n'offre pas la possibilité de mettre en cache le mot de passe utilisateur de base.

Activé
URL à lancer à partir de l'assistant pour l'inscription de certificats Activé : Ce paramètre spécifie l'adresse web qui est utilisée par l'Assistant Initialisation de l'utilisateur d'Infineon Security Platform pour récupérer des certificats à l'aide d'un navigateur web.
Cette page d'obtention d'un certificat est disponible seulement dans l'Assistant d'initialisation de l'utilisateur lorsque ce paramètre est activé et au moins une fonction de sécurité a été sélectionnée pour configuration.

Désactivé : La page pour l'obtention d'un certificat n'est pas disponible dans l'assistant d'initialisation de l'utilisateur de l'Infineon Security Platform.

Remarques:

  • Ce paramètre est pris en charge également comme stratégie système pour être compatible avec les versions précédentes du logiciel de la solution Security Platform.
  • Recommandation: Utilisez ce paramètre comme stratégie utilisateur.
  • Lorsque ce paramètre est indépendant de l'utilisation du certificat, il y a également une stratégie d'utilisateur spéciale pour les certificats EFS (Type et inscription des certificats EFS).
Désactivé
Type et inscription des certificats EFS Activé : Vous pouvez limiter le type de certificat EFS. Vous pouvez activer également l'inscription des certificats EFS externes en spécifiant l'adresse web de l'autorité de certification.

1. Type certificat EFS : Indiquez si vous voulez permettre tous les types des certificats (certificats domaine, externes et auto-signés) ou seulement quelques types de certificats. Cette limitation est valide seulement lorsque les utilisateurs vont inscrire ou sélectionner les certificats.

  • Certificat domaine : Un certificat inscrit via une autorité de certification dans votre domaine.
  • Certificat externe : Un certificat inscrit via une autorité de certification accessible via le web.
  • Certificat auto-signé : Un certificat créé sur votre ordinateur.

2.   URL demande certificat : Entrez l'adresse web de demande certificat d'une autorité de certification à utiliser pour l'inscription du certificat EFS, par exemple https://www.companyname.com/foldername.
Ce chemin cible sera utilisé lorsqu'un certificat EFS est demandé depuis une autorité de certification externe.

  • L'URL de demande certificat est optionnel.
  • Lorsque vous ne spécifiez pas un chemin ici, les utilisateurs ne pourront pas demander des certificats EFS externes.
  • Lorsque vous désirez activer les certificats EFS externes, entrez un chemin valide, accessible pour tous les ordinateurs Security Platform, autrement l'inscription du certificat EFS échouera.

Désactivé : Le type de certificat EFS n'est pas limité. L'adresse web à utiliser pour récupérer les certificats EFS n'est pas configurée, par exemple les utilisateurs ne peuvent pas demander des certificats EFS externes.

Remarques:

  • Les certificats EFS ne sont pas utilisés seulement pour l'EFS, mais également pour le PSD.
  • Lorsque ce paramètre est valable seulement pour les certificats EFS (à utiliser pour l'EFS ou le PSD), il y a également une stratégie utilisateur indépendant de l'utilisation du certificat (URL à lancer à partir de l'assistant pour l'inscription de certificats).

Comment inscrire et sélectionner un certificat EFS

Désactivé
Apparition de l'avertissement expiration du certificat EFS Activé : Les utilisateurs de Security Platform seront avertis par une info-bulle avant l'expiration de leur certificat EFS. Spécifiez quand l'avertissement doit se produire, par exemple 14 jours avant l'expiration du certificat EFS.

Désactivé : Aucun avertissement sur l'expiration du certificat.

Les utilisateurs sont avertis 14 jours avant l'expiration du certificat.
Intervalle de validité pour les certificats EFS autosignés Activé : Spécifiez la durée pour laquelle les certificats EFS auto-signés doivent être valides.

Désactivé : La période de validité est de 10 ans.

Activée avec une période de validité de 10 ans.
Emplacement fichier pour Personal Secure Drive Activée/Lecteur PSD par défaut : Ce paramètre définit le lecteur par défaut dans lequel les fichiers image du Personal Secure Drive seront créés. Saisissez une lettre de lecteur valide dans le champ d'édition avec un deux-points sans spécifier de chemin supplémentaire (p.ex. C:). Si la lettre de lecteur n'est pas valide, l'utilisateur ne pourra pas créer le fichier image du Personal Secure Drive.

Désactivé : L'utilisateur peut sélectionner le lecteur cible dans lequel les fichiers image du Personal Secure Drive seront créées.

Désactivé
Espace minimale disponible après la création du PSD Activé : Lorsqu'un PSD est sauvegardé sur le lecteur système (sur lequel est localisé le système d'exploitation actuel), alors une quantité d'espace disponible doit être laissée après la configuration du PSD. Spécifiez combien d'espace disponible doit être laissé sur le lecteur système après la configuration du PSD.

Désactivé : Il n'y a aucune exigence concernant l'espace disponible sur la partition système après la création du PSD.

Exemple :
La stratégie est activée et configurée à 5000 Mo.
La taille minimale de l'unité PSD est de 20 Mo pour Windows 7 et Windows Vista et 10 Mo pour tous les autres systèmes d'exploitation.

  • Si l'espace disponible avant la création du PSD est 5050 Mo, alors la taille maximale du PSD sera 50 Mo.
  • Si l'espace libre est 5000 Mo, vous ne pourrez pas créer un PSD sur le lecteur système.
La stratégie est activée et configurée à 5000 Mo.
Autorisation de l'importation de la clé pour l'utilisateur Activé : Les utilisateurs de la Security Platform peuvent importer les clés privées dans la Security Platform. Les clés privées sont importées avec les certificats par le Visualisateur du certificat et sélection du certificat.

Désactivé : Les utilisateurs de la Security Platform ne peuvent pas importer les clés privées dans la Security Platform.

Activé
Application du niveau élevé de protection de clé privée pour les clés de signature MS-CAPI

Activé : Toutes les clés utilisées exclusivement pour la signature d'opérations par l'interface MS-CAPI sont protégées par une protection de clé privée renforcée. Dans ce cas, la clé est protégée par son propre mot de passe, que soit être saisie chaque fois la clé est utilisée pour une opération de signature.

Désactivé : Il n'y a pas de protection particulière pour les clés de signature.

Ce mot de passe spécifique peut être mis en cache pour éviter des saisies répétées. Puisque le mot de passe n'est pas lié à la clé utilisateur de base, le mécanisme de mise en cache utilisé pour le mot de passe de cette clé n'affecte pas ce mot de passe.
Désactivé
Création de Clé Utilisateur de Base non migrable

Activé/ Sur demande : Les utilisateurs sont invités à créer leur Clé Utilisateur de Base non migrable, lorsqu'ils vont utiliser Infineon TPM Strong Cryptographic Provider pour la première fois. Notez que Strong Cryptographic Provider exige une Clé Utilisateur de Base non migrable.

Activé / Automatique : Pour les nouveaux utilisateurs, la Clé Utilisateur de Base non migrable est automatiquement créée pendant l'initialisation de l'utilisateur. Pour les utilisateurs qui sont déjà initialisés, la Clé Utilisateur de Base non migrable est créée sur demande.

Désactivé : Aucune Clé Utilisateur de Base non migrable n'est créée, c'est-à-dire qu'Infineon TPM Strong Cryptographic Provider ne peut pas être utilisé.

 
Activé/ Sur demande

Paramètres pour la version en mode autonome

Paramètres valides seulement pour la version en mode autonome.
Stratégie Explication Valeur par défaut
Apparition avertissement sauvegarde Activé : Les utilisateurs de la Security Platform seront informés par une info-bulle lorsque la sauvegarde des informations d'identification et clés spécifiques à l'utilisateur a échoué (par exemple parce que le répertoire de sauvegarde n'est pas disponible). Spécifiez tous les combien doit-on exécuter cette notification, par exemple tous les 2 jours après l'échec de la sauvegarde, jusqu'une sauvegarde est réussie.

Désactivé : Aucune notification pour l'échec de la sauvegarde.

Les utilisateurs sont notifiés quotidiennement.
Permettre l'inscription de l'utilisateur Activé/Autorisation pour l'interface et l'assistant de gestion : Les utilisateurs peuvent être initialisés via l’interface Management Provider, l’Assistant Initialisation rapide ou l’Assistant Initialisation utilisateur.

Activer/Autoriser Management Provider uniquement : L'utilisateur peut seulement invoquer l'interface Management Provider, mais il ne peut pas exécuter les outils de la solution Security Platform.

Désactivé : La Security Platform ne permet pas l'exécution d'aucune fonction.

Activé/Autorisation pour l'interface et l'assistant de gestion


©Infineon Technologies AG