Soluzione Infineon Security Platform |
Domande frequenti (FAQ)
Come si elimina un utente di Infineon Security Platform?
È possibile disinstallare Infineon Security Platform Solution? Se sì, qual è la procedura?
Quali dati rimarranno nel sistema dopo la disinstallazione?
Come creare un file di archivio della chiave pubblica da un file token?
I commenti sull'EFS sono rilevanti solo per le edizioni di Windows che supportano EFS. |
Come si elimina un utente di Infineon Security Platform?
Esistono due modi diversi per eseguire l'eliminazione:
L'eliminazione completa di un account utente dal sistema operativo è un'operazione immediata supportata da Windows. Quando si elimina un account utente, è necessario selezionare la casella di controllo per l'eliminazione del profilo corrispondente. Con questa operazione, vengono rimossi dal sistema tutti i dati relativi all'account utente.
Per eliminare soltanto le informazioni di un utente di Infineon Security Platform, lasciando inalterato l'account utente del sistema, occorre eliminare la cartella \%AppData%\Infineon\TPM Software 2.0.
Se si vogliono rimuovere tutti i dati di un utente di Security Platform, fare riferimento alle indicazioni riportate più avanti in questa sezione alla voce Quali dati rimarranno nel sistema dopo la disinstallazione? .
Se nel sistema esistono dati che sono stati crittografati con una chiave utente specifica di Infineon Security Platform, non sarà più possibile decrittografarli una volta eliminato l'account utente.
Esistono problemi di protezione quando si memorizzano i dati di ripristino di emergenza su un computer remoto?
No, nessun problema. I dati sono protetti dal token di ripristino di emergenza, che è a sua volta protetto da una password.
In modalità server non c'è problema di sicurezza, poiché il Recupero di Emergenza è gestito dal Trusted Computing Management Server.
È possibile disinstallare Infineon Security Platform Solution? Se sì, qual è la procedura?
È possibile disinstallare il software seguendo la normale procedura di rimozione dei programmi disponibile nel sistema operativo. Prima di iniziare la disinstallazione, occorre salvare tutti i dati dell'utente protetti da Security Platform. Senza tale operazione, non sarà più possibile accedere ai dati, una volta rimosso il software dal sistema. L'ultima operazione necessaria è la disattivazione di Trusted Platform Module nel BIOS del computer.
La nuova versione del software può essere installata sulla versione precedente, senza doverla rimuovere. In questo caso, non occorre eseguire il backup completo dei dati dell'utente.
Quali dati rimarranno nel sistema dopo la disinstallazione?
Quando il software Security Platform Solution viene disinstallato, alcune informazioni restano archiviate nel sistema. In particolare, vengono mantenute le impostazioni e le credenziali della piattaforma e degli utenti, per permettere di reinstallare il software ripristinando lo stato precedente del sistema. In questo modo, una volta reinstallato Infineon Security Platform, saranno disponibili tutti i dati crittografati in precedenza.
Tuttavia, se tali informazioni non fossero più necessarie e si volesse ripulire il sistema, occorre eliminare i seguenti dati.
Archivi di backup: La posizione degli archivi di backup generati automaticamente viene specificata dagli amministratori del sistema. Si noti che l'archivio di backup generato automaticamente viene rappresentato nel file system da un file XML e da una cartella con lo stesso nome (ad esempio, file SPSystemBackup.xml nella cartella SPSystemBackup). Possono essere presenti anche archivi di backup creati in modalità manuale.
Token di ripristino di emergenza: la posizione di questi file viene specificata dal proprietario di Security Platform in fase di inizializzazione del software.
Archivio di ripristino di emergenza:
i) Windows 7 e Vista: \%ALLUSERSPROFILE%\Infineon\TPM Software 2.0\RestoreData\<Machine SID>\Users\<User SIDs>\SHTempRestore.xmlii) Winwods XP Professional, Windows 2000 e altri sistemi operativi supportati: \%ALLUSERPROFILE%\<Application Data>\Infineon\TPM Software 2.0\RestoreData\<Machine SID>\Users\<User SIDs>\SHTempRestore.xml
File dei dati e delle chiavi di sistema:
i) Windows 7 e Vista: \%ALLUSERSPROFILE%\Infineon\TPM Software 2.0\PlatformKeyData
IFXConfigSys.xml
IFXFeatureSys.xml
TCSps.xml
TPMCPSys.xml
ii) Winwods XP Professional, Windows 2000 e altri sistemi operativi supportati: \%ALLUSERPROFILE%\<Application Data>\Infineon\TPM Software 2.0\ PlatformKeyData
IFXConfigSys.xml
IFXFeatureSys.xml
TCSps.xml
TPMCPSys.xml
File di backup locali replicati:
i) Windows 7 e Vista:
\%ALLUSERSPROFILE%\Infineon\TPM Software 2.0\BackupData\<Machine SID>\System\SHBackupSys.xml
\%ALLUSERSPROFILE%\Infineon\TPM Software 2.0\BackupData\<Machine SID>\Users\<User SIDs\SHBackup.xml
\%ALLUSERPROFILE%\<Application Data>\Infineon\TPM Software 2.0\ BackupData\<Machine SID>\Users\<User SIDs\SHBackup.xml
File delle chiavi utente: \%AppData%\Infineon\TPM Software 2.0\UserKeyData\TSPps.xml
Contenitore di TPM Cryptographic Service Provider: \%AppData%\Infineon\TPM Software 2.0\UserKeyData\TPMcp.xml
File di TPM PKCS #11 Provider: \%AppData%\Infineon\TPM Software 2.0\UserKeyData\TPMck.xml
File di configurazione dell'utente: \%AppData%\Infineon\TPM Software 2.0\UserKeyData\
IFXConfig.xml
IFXFeature.xml
Chiavi del registro di sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Infineon\TPM Software
HKEY_CURRENT_USER\Software\Infineon\TPM software
Le chiavi del registro di Personal Secure Drive indicate di seguito devono essere eliminate manualmente quando si disinstalla la funzionalità di protezione Personal Secure Drive:
[HKEY_LOCAL_MACHINE\SOFTWARE\Infineon\TPM Software\PSD]
[HKEY_CURRENT_USER\SOFTWARE\Infineon\TPM Software\PSD]
Personal Secure Drive Directory: anche le directory indicate di seguito devono essere eliminate manualmente.
x:\Security Platform\Personal Secure Drive\System Data
dove x è l'unità di Personal Secure Drive. L'unità viene selezionata durante la creazione di Personal Secure Drive e può essere un qualsiasi disco rigido locale; in alternativa, l'unità può essere definita dai criteri utente locali di Personal Secure Drive.
Varie:
Certificati registrati basati su Trusted Platform Module
Attività di backup pianificate (es.: C:\WINDOWS\Tasks\Security Platform Backup Schedule)
Non è possibile utilizzare un certificato registrato con Internet Explorer. Viene visualizzato un messaggio di errore.
Il certificato è stato bloccato da Internet Explorer, anche se è già stato memorizzato nell'archivio certificati dell'utente. Chiudere Internet Explorer e quindi riaprirlo per sbloccare il certificato.
La funzionalità di compressione delle cartelle del sistema operativo consente di archiviare i dati degli utenti. È possibile attivare EFS per le cartelle compresse? Le funzioni possono essere combinate tra loro?
La combinazione non è possibile, dal momento che il sistema operativo non consente di proteggere con EFS le cartelle compresse. Innanzitutto, occorre disattivare la funzione di compressione. Successivamente, sarà possibile attivare la funzionalità EFS per la cartella selezionata.
Devo modificare il certificato assegnato a una cartella EFS. È possibile farlo senza rischi per i dati presenti nella cartella? Posso assegnare un certificato arbitrario alla cartella?
Normalmente, l'assegnazione di un certificato aggiuntivo a una cartella EFS non comporta alcun problema. La condizione fondamentale è che tutti i certificati siano controllati dal medesimo Provider del servizio di crittografia. Se esiste un certificato assegnato in precedenza, i dati crittografati saranno ancora leggibili. Se si elimina dal sistema il certificato di protezione di un file posizionato in una cartella EFS, tutti i dati contenuti nel file andranno perduti.
Come si prepara Infineon Security Platform per eseguire correttamente il backup di sistema? Quali file sono necessari per un ripristino corretto del software utilizzando i meccanismi del sistema?
I file principali di Infineon Security Platform non contengono le applicazioni del software. Quindi, è possibile reinstallarlo dopo aver ripristinato un backup di sistema.
I dati specifici del software Infineon Security Platform Solution possono essere salvati utilizzando il Backup guidato di Infineon Security Platform.
Durante il backup guidato, non vengono salvati i dati protetti, come file o messaggi di posta elettronica crittografati. Per farlo, è necessario utilizzare altri strumenti di backup. È consigliabile includere nella routine di backup generale dei dati anche l'archivio di backup ottenuto utilizzando la procedura guidata.
Se si sceglie di non utilizzare il backup guidato per creare una copia dei dati specifici del software Security Platform Solution, si raccomanda di eseguire il backup di tutti i dati elencati nella presente sezione, alla voce Quali dati rimarranno nel sistema dopo la disinstallazione? .
|
Come configurare e gestire l'archivio del backup, in particolare con riferimento alle impostazioni dei criteri?
È possibile configurare tutte le Security Platform aziendali perché utilizzino un archivio comune del backup impostando il criterio posizione archivio del backup.
Qualora debba essere creato un nuovo archivio del backup, è molto importante non importare i criteri prima dell'inizializzazione della Infineon Security Platform.
Successivamente, è necessario accedere all'amministrazione dei criteri e configurarli correttamente specificando la posizione dell'archivio di backup creato in precedenza. Il file configurato sarà infine utilizzato automaticamente dopo l'inizializzazione di tutte le altre Security Platform aziendali.
Questa sezione non si applica in modalità server poiché il backup e il ripristino vengono gestite da Trusted Computing Management Server.
Come creare un file di archivio della chiave pubblica da un file token?
Nelle impostazioni dei criteri di gruppo è possibile specificare che la chiave pubblica di un Token di ripristino di emergenza o un Token di reimpostazione password esistente venga utilizzata da un file di archivio (vedere Criteri di sistema Utilizza la chiave pubblica del token di ripristino di emergenza presente in archivio e Utilizza la chiave pubblica del token di reimpostazione password presente in archivio). Per creare tale file di archivio da un file di token esistente, procedere come segue:
- Inizializzare completamente la piattaforma (incluso il ripristino di emergenza e la reimpostazione della password) con le impostazioni dei criteri predefinite sul primo sistema (ad es. un sistema di test).
Inizializzazione guidata rapida crea un file di token generico sia per il ripristino di emergenza sia per la reimpostazione della password.
Inizializzazione guidata di Security Platform crea un file di token per il ripristino di emergenza e uno per la reimpostazione della password. - Eseguire lo script allegato di seguito sullo stesso sistema per creare il file di archivio della chiave pubblica necessario dal file di token corrispondente.
- Copiare il file di archivio della chiave pubblica in un percorso appropriato e abilitare i criteri indicati in precedenza.
Script GeneratePubKeyArchive.vbs:
'GeneratePubKeyArchive.vbs <percorso completo di Token.xml> <percorso completo di PubKeyArchive.xml>
'Il <percorso completo di Token.xml> può essere uno dei seguenti token:
' - SPPwdResetToken.xml
' - SPEmRecToken.xml
' - SPGenericToken.xml
'Il <percorso completo di PubKeyArchive.xml> è l'output, che contiene la chiave pubblica estratta dal token di input:
' - SPPwdResetTokenPubKeyArchive.xml
' - SPEmRecTokenPubKeyArchive.xml
' - SPGenericTokenPubKeyArchive.xml
'Per l'utilizzo con il criterio "Utilizza la chiave pubblica del token di ripristino di emergenza presente in archivio":
' - SPEmRecTokenPubKeyArchive.xml
' - SPGenericTokenPubKeyArchive.xml
''Per l'utilizzo con il criterio "Utilizza la chiave pubblica del token di reimpostazione password presente in archivio":
' - SPPwdResetTokenPubKeyArchive.xml
' - SPGenericTokenPubKeyArchive.xml
'Specificare il percorso completo, ad es.:
' GeneratePubKeyArchive.vbs "c:\tmp\SPGenericToken.xml" "c:\tmp\SPGenericTokenPubKeyArchive.xml"
If WScript.Arguments.Count <> 2 Then
WScript.Echo "Utilizzo: " & Wscript.ScriptName & " ""<percorso completo di Token.xml>"" ""<percorso completo di PubKeyArchive.xml>"""
WScript.Quit
End If
Set MPBase = WScript.CreateObject("IfxSpMgtPrv.MgmtProvider")
Set MPToken = MPBase.GetInterface(10)
' CreationFlags: mantenere file esistente = 0, sovrascrivere file esistente = 1
CreationFlags = 0
ReservedFlag = 0
MPToken.CreatePublicKeyFile WScript.Arguments(0), WScript.Arguments(1), CreationFlags, ReservedFlag
'gestione errori in caso di problema da aggiungere qui
WScript.Echo "Done"
Questa sezione non si applica in modalità server poiché il ripristino di emergenza e la reimpostazione della password vengono gestiti da Trusted Computing Management Server.
©Infineon Technologies AG