Infineon Security Platform Solution |
Dépannage
La section suivante décrit les procédures pour les opérations de dépannage les plus probables sur un système Infineon Security Platform.
Une plate-forme doit être configurée, mais le Trusted Platform Module a déjà un utilisateur.
Les remarques sur EFS ne s'appliquent pas aux éditions familiales de Windows qui ne le prennent pas en charge. |
Une plate-forme doit être configurée, mais le Trusted Platform Module a déjà un utilisateur.
Dans ce cas, l'utilisateur existant de Security Platform sera utilisé pour initialiser la Security Platform. Cela exige la connaissance du Mot de Passe du Propriétaire existant ou l’accès au Fichier de Sauvegarde du Mot de Passe Propriétaire correspondant.
C'est une situation typique dans un environnement multi-système où plusieurs installations de systèmes d'exploitation coexistent sur le même ordinateur. Le Propriétaire d'Infineon Security Platform ("Storage Root Key",SRK) ne peut pas être effacé dans le Trusted Platform Module, ni ne peut être introduit de l'extérieur, c'est-à-dire qu'une opération 'importation' n'est pas possible.
Selon l'existence ou non de clés utilisateur de base, une approche différente sera nécessaire lors de l'initialisation de la Security Platform.
Si aucune clé utilisateur de base n'a été configurée pour la Security Platform, un nouvel fichier sauvegarde de secours (contenant les données de récupération d'urgence) pourra être créé. L'Infineon Security Platform est alors prêt pour d'autres opérations.
Si des clés utilisateur de base existent et une sauvegarde de secours (contenant les données de récupération d'urgence) est configurée, il est essentiel de ne pas écraser cette sauvegarde de secours lors de l'initialisation de la Security Platform.
Dans le mode serveur, vous devez effacer le propriétaire, lorsqu'un propriétaire existe déjà avant la connexion du système au Trust Domain. La Security Platform sera ensuite inscrite automatiquement dans le Trust Domain (voir Inscription plateforme).
Le système Infineon Security Platform a été configuré, mais l'utilisateur d'Infineon Security Platform a été modifié.
Si la Security Platform a été configurée avec une récupération d'urgence, les informations d'identification de votre Security Platform peuvent être réactivées en utilisant la fonctionnalité de récupération d'urgence de la solution Security Platform.
Dans le mode serveur, le Trusted Platform Module ne devrait pas avoir un propriétaire avant la connexion du système au Trust Domain, voir lorsqu'il n'a pas été initialisé encore (ni par Infineon TPM Professional Package dans le mode autonome, ni par le serveur Trusted Domain dans le mode serveur ou par un autre logiciel comme Windows Vista Trusted Platform Module (TPM) Management).
Quels aspects doivent être pris en compte pour la récupération d'urgence à l'aide de l'Assistant Initialisation d'Infineon Security Platform ?
La récupération d'urgence d'un système peut s'effectuer si votre système est endommagé et une image de sauvegarde est disponible, vous permettant de restaurer vos données. Les données spécifiques à l'utilisateur relatives à la Security Platform et les données de récupération d'urgence sont sauvegardées par les sauvegardes automatiques du système.
L'administrateur d'Infineon Security Platform doit avoir accès à la sauvegarde de secours et au jeton de récupération d’urgence qui a été créé lors de la configuration du système. Il doit également être en possession du mot de passe protégeant ce jeton.
L'administrateur d'Infineon Security Platform doit restaurer le système, en démarrant l'Assistant Sauvegarde d'Infineon Security Platform.
Si la récupération est effectuée sur un ordinateur dont le nom a été modifié, l'ancien nom de l'ordinateur ou le numéro d’identification plateforme (SID) de l’ordinateur doit être connu. Il est possible que la sauvegarde de secours inclut des données de récupération sur plusieurs ordinateurs. Dans ce cas, vous devez sélectionner l’ordinateur à restaurer depuis la sauvegarde de secours.
Trusted Computing Management Server gère la Récupération d'urgence en mode serveur.
Un document enregistré dans un dossier protégé par EFS doit être restauré à partir d'une sauvegarde de système. L'utilisateur Infineon Security Platform n'existe pas sur le système cible. Comment cette situation peut-elle être traitée ?
Si la clé utilisateur de base n'est plus disponible et aucun certificat de récupération (pour un agent de récupération) n'a été configuré, le document est sans aucun doute perdu.
Sinon, la première étape est de restaurer le fichier à partir de la sauvegarde. Cela se fait sans toucher les propriétés se rapportant à la sécurité du fichier. Dans l'étape suivante, le certificat de récupération doit être utilisé pour activer un agent de récupération afin de décrypter le fichier.
Beaucoup d'applications communément utilisées créent des fichiers temporaires en dehors des dossiers "temp" standard. Généralement, tous les dossiers "temp" ne sont pas protégés par l'EFS. Comment les fichiers "temp" de telles applications peuvent-ils être sécurisés, d'autant plus que ces fichiers restent sur le disque dur lorsque l'application est fermée ?
C'est un problème commun à beaucoup d'applications. Selon l'application, il se peut que des fichiers temporaires soient créés à l'extérieur des dossiers EFS configurés. Quand il ne s'agit pas du dossier commun %AppData% dans le profil de l'utilisateur (généralement nommé "Données d'application"), c'est une fonctionnalité spécifique à l'application et aucune règle générale ne peut être établie sur la façon de traiter la situation. Lorsque l'emplacement est connu (et la configuration du dossier n'est pas prise en charge par l'application), il est éventuellement possible d'appliquer la sécurité de l'EFS sur le dossier respectif. Si cette approche n'est pas faisable, la suppression de tels fichiers à la fermeture de l'application peut au moins être garantie.
Plusieurs informations de dépannage sur le système de fichiers de cryptage sont disponibles dans Microsoft Developer Network (MSDN).
Lorsqu'un utilisateur d'Infineon Security Platform accède pour la première fois à un dossier EFS, le mot de passe pour la clé utilisateur de base est demandé. Si cette boîte de dialogue est supprimée et un agent de récupération est configuré, l'utilisateur peut toujours accéder aux données dans le dossier EFS tant que la clé personnelle de l'agent de récupération est disponible à l'utilisateur. Est-ce une erreur du système ?
Ce comportement est correct en raison de la conception de l'agent de récupération. Lorsqu'un certificat de récupération est configuré pour un dossier EFS, ce certificat est utilisé par l'agent de récupération lors du premier accès à ce dossier. Selon que l'ordinateur appartient ou non à un domaine, différentes solutions existent :
L'ordinateur appartient à un domaine : Dans ce cas, l'administrateur s'intéresse à l'affectation du certificat. Si aucune affectation à un utilisateur spécifique d'Infineon Security Platform n'existe, le comportement indiqué ne se produira pas.
L'ordinateur fonctionne sous Windows 2000 et n'est pas membre d'un domaine : Une manière possible est de s'assurer que la clé personnelle de l'agent de récupération ne soit pas disponible pour les utilisateurs habituels de Security Platform.
L'ordinateur fonctionne sous un autre système d'exploitation pris en charge et n'est pas membre d'un domaine : Dans ce cas, le certificat de récupération n'existe généralement pas, si bien que le comportement ne se produira pas.
©Infineon Technologies AG