Soluzione Infineon Security Platform |
Risoluzione dei problemi
La sezione seguente descrive le procedure da eseguire per risolvere i problemi più comuni che potrebbero verificarsi durante l'uso di Infineon Security Platform:
È necessario configurare la piattaforma ma esiste già un proprietario di Trusted Platform Module.
Infineon Security Platform è stato configurato ma è cambiato il proprietario della piattaforma.
I commenti sull'EFS non sono rilevanti per le edizioni Home di Windows poiché l'EFS non è supportato in questi sistemi. |
È necessario configurare la piattaforma ma esiste già un proprietario di Trusted Platform Module.
In questi casi, per l'inizializzazione della piattaforma, si utilizza il proprietario attuale di Security Platform. Richiede la conoscenza della Password Proprietario esistente o l’accesso al corrispondente File di Backup della Password Proprietario.
Questa è una situazione tipica degli ambienti multisistema, in cui sullo stesso computer esistono più sistemi operativi. Il Proprietario di Infineon Security Platform ("Chiave Radice di Archiviazione", SRK) non può abbandonare Trusted Platform Module e non può essere introdotto dall’esterno perciò l’operazione di importazione non è possibile.
Quando le chiavi utente di base sono già presenti, occorre adottare approcci diversi durante l'Inizializzazione di Security Platform.
Se non è stata creata nessuna chiave utente di base in Security Platform, è possibile generare un nuovo archivio di backup (contenente i dati di ripristino di emergenza). In questo modo, Infineon Security Platform è pronto per le operazioni successive.
Se le chiavi utente di base sono già presenti ed è stato configurato un archivio di backup (con i dati di ripristino di emergenza), è importante non sovrascriverlo durante l'inizializzazione di Security Platform.
In modalità server, è necessario inizialmente azzerare il proprietario, se già presente, prima di effettuare la connessione del sistema al Trust Domain. La Security Platform sarà successivamente registrata nel Trust Domain (vedere Registrazione Piattaforma).
Infineon Security Platform è stato configurato ma è cambiato il proprietario della piattaforma.
Se Security Platform è stato impostato con il ripristino di emergenza, è possibile riattivare le credenziali della piattaforma utilizzando il Supporto del ripristino di emergenza di Soluzione Security Platform.
In modalità server, il Trusted Platform Module non dovrebbe avere un proprietario prima che venga eseguita la connessione del sistema al Trust Domain, non deve cioè essere già stata eseguita l'inizializzazione (né mediante il TPM Professional Package Infineon in modalità autonoma né dal Server Trusted Domain in modalità server o da qualsiasi altro software quale il Trusted Platform Module (TPM) Management di Windows Vista).
Quali aspetti occorre considerare per eseguire il ripristino di emergenza utilizzando l'Inizializzazione guidata di Infineon Security Platform?
Il ripristino di emergenza del sistema può essere seguito nel caso in cui Trusted Platform Module sia stato sostituito o reimpostato e sia disponibile un'immagine di backup che consenta di ripristinare i dati. I dati specifici degli utenti di Security Platform e i dati di ripristino di emergenza vengono salvati durante il backup automatico del sistema.
L'amministratore di Infineon Security Platform deve poter accedere all'archivio di backup e al token di ripristino di emergenza che viene generato durante l'installazione del sistema; inoltre, l'amministratore deve conoscere la password che protegge il token.
Per ripristinare il sistema, l'amministratore di Infineon Security Platform deve eseguire il Backup guidato di Infineon Security Platform.
Se il ripristino viene eseguito su un computer il cui nome è stato modificato, è necessario conoscere il nome precedente o l'ID della piattaforma (SID). È possibile che l'archivio di backup contenga i dati di ripristino di più computer. In questi casi, occorre selezionare il computer che si desidera ripristinare dall’archivio di backup.
In modalità server il Recupero di Emergenza è gestito dal Trusted Computing Management Server.
È necessario ripristinare da un backup di sistema un documento archiviato in una cartella protetta con EFS. Non esiste nessun utente di Infineon Security Platform nel sistema di destinazione. Come risolvere questa situazione?
Se la chiave utente di base non è più disponibile e non esiste un certificato per l'agente di ripristino, il documento è irrimediabilmente perduto.
In caso contrario, la prima operazione da eseguire è il ripristino del file dal backup. Il ripristino viene eseguito senza alterare in alcun modo le proprietà di protezione del file. Successivamente, occorre utilizzare il certificato di ripristino per abilitare un agente di ripristino a decrittografare il file.
Un'applicazione di uso comune crea dei file temporanei al di fuori delle normali cartelle Temp. In genere, queste cartelle non vengono protette da EFS. È possibile proteggere questi file temporanei, considerando il fatto che restano sul disco rigido anche dopo aver chiuso l'applicazione?
Questo è un problema comune a molte applicazioni. In base al tipo di programma, è possibile che vengano creati dei file temporanei al di fuori delle cartelle EFS configurate. Se la cartella Temp utilizzata non è la tipica cartella %AppData% presente nel profilo utente (di solito si chiama "Application Data"), si tratta di una caratteristica specifica dell'applicazione in uso e quindi non è possibile indicare una soluzione vera e propria a questo problema. In generale, una volta individuata la posizione dei file temporanei (dopo aver verificato che l'applicazione non supporta la configurazione delle cartelle), è possibile impostare la protezione EFS per la cartella corrispondente. Se questa soluzione non è praticabile, si consiglia di eliminare i file alla chiusura dell'applicazione.
Ulteriori informazioni sulla risoluzione dei problemi di Encrypting File System sono disponibili sul sito Microsoft MSDN (Microsoft Developer Network).
Quando un utente di Infineon Security Platform accede per la prima volta a una cartella EFS, viene richiesta la password della chiave utente di base. Se si chiude la finestra di dialogo senza specificare la password ed è configurato un agente di ripristino, si può comunque accedere ai dati contenuti nella cartella. Si tratta di un errore del sistema?
Questo comportamento è corretto, considerando la struttura dell'agente di ripristino. Infatti, se è stato configurato un certificato di ripristino per una cartella EFS, tale certificato verrà utilizzato dall'agente di ripristino la prima volta che si accede a quella cartella. Le soluzioni possono essere diverse, in funzione del fatto che il computer appartenga o meno a un dominio.
Il computer è parte di un dominio: in questo caso, l'amministratore dovrà assegnare il certificato. Se non è stato assegnato nessun certificato a un utente di Infineon Security Platform, il comportamento descritto in precedenza non si verifica.
Il computer utilizza Windows 2000 e non è parte di un dominio: Un modo possibile è accertarsi che la chiave privata dell'agente recupero dati non sia disponibile per i normali utenti Security Platform.
Il computer utilizza un altro sistema operativo supportato e non è parte di un dominio: in questo caso, non esiste un certificato di ripristino e quindi il comportamento descritto non si verifica.
©Infineon Technologies AG