よく聞かれる質問 (FAQ)

Infineon Security Platform

Infineon Security Platform ソリューション

よく聞かれる質問 (FAQ)

Infineon Security Platform のユーザーを削除する方法を教えてください。

緊急時復元用データをリモート コンピュータ上に保存するのは、セキュリティ上の問題があるからですか。

Infineon Security Platform ソリューション ソフトウェアはアンインストールできますか。アンインストールできる場合、その方法を教えてください。

アンインストールした後はどんな情報がシステムに残りますか。

Internet Explorer を使って証明書を取得しましたが、証明書を使用できません。エラー メッセージが表示されます。

オペレーティング システムの機能を使用してフォルダを圧縮し、ユーザー データを保存しています。この圧縮されたフォルダに対して EFS を適用することはできますか。これらの機能を結合することは可能ですか。

EFS フォルダに割り当てられた証明書を変更する必要が生じました。フォルダ内のデータに影響を与えないで証明書を変更できますか。また、そのフォルダに対して任意の証明書を割り当てることはできますか。

システムをバックアップするためには Infineon Security Platform をどのように準備すればよいですか。システムのメカニズムを使用して Infineon Security Platform を復元するには、どのファイルが必要ですか。

どのようにバックアップ アーカイブを設定して管理するのが適切であるのか、特にポリシー設定の観点から説明してください。

トークン ファイルから公開キー アーカイブ ファイルを作成するにはどうしたらよいですか。

EFS の注釈は、EFS をサポートしている Windows エディションのみに関係します。

Infineon Security Platform のユーザーを削除する方法を教えてください。

ユーザーの削除には、次の2通りの種類があります。

  • Windows オペレーティング システムのユーザー アカウントを完全に削除する場合は、Windows の操作をそのまま実行します。ユーザー アカウントを削除するときは、ユーザー プロファイルの削除を指示するチェック ボックスもオンにしてください。この操作を実行すると、すべてのユーザー アカウント情報がシステムから完全に削除されます。

  • システムのアカウント情報は残して Infineon Security Platform のユーザー情報のみを削除する場合は、そのユーザー専用のフォルダ "\%AppData%\Infineon\TPM Software 2.0" を削除します。

Security Platform ユーザーに関するすべてのデータを削除したい場合は、アンインストールした後はどんな情報がシステムに残りますか。 セクションにリスト表示されている、ユーザー固有データを参照してください。

Infineon Security Platform のユーザー固有キーで暗号化されたデータがシステム上に残っている場合、ユーザー アカウントを削除すると、このデータは復号化できなくなります。


緊急時復元用データをリモート コンピュータ上に保存するのは、セキュリティ上の問題があるからですか。

セキュリティ上の問題は特に関係ありません。データは緊急時復元用トークンによって保護され、緊急時復元用トークンはそのトークン専用のパスワードによって保護されます。

サーバー モード では、緊急時復元が Trusted Compting Management Server によって処理されているので、セキュリティ問題はありません。


Infineon Security Platform ソリューション ソフトウェアはアンインストールできますか。アンインストールできる場合、その方法を教えてください。

このソフトウェアは、オペレーティング システムの標準のソフトウェア削除プロセスを使用してアンインストールすることができます。アンインストールを行う前に、 Security Platform によって保護されているすべてのユーザー データを保存してください。保存しないまま Infineon Security Platform ソリューション ソフトウェアをシステムから削除すると、このデータにアクセスできなくなります。最後のステップとして、コンピュータの BIOS で Trusted Platform Module を無効にする必要があります。

新しいソフトウェア リリースは、古いソフトウェア リリースをアンインストールしなくても上書きインストールすることができます。その場合、ユーザー データの完全なバックアップは不要です。


アンインストールした後はどんな情報がシステムに残りますか。

Security Platform ソリューション ソフトウェアをアンインストールすると、一部の情報がシステムに残ります。プラットフォームとユーザー設定及びユーザーのキーと証明書を残しておくと、再インストールするとシステムは以前と同じ状態に戻ります。よってInfineon Security Platform ソフトウェアを再インストールした後、以前に暗号化されたデータが失われることはありません。

しかし、そのようなデータが不要になってシステムを完全にクリーンアップする場合は、下記のデータを削除する必要があります。

バックアップ アーカイブ: 自動的に書き込まれたバックアップ アーカイブは、管理者が指定した場所にあります。同じ名前の XML ファイル及びフォルダにより、自動保存バックアップ アーカイブはファイル システム上で表示されることに注意ください 例:SPSystemBackup.xml ファイル、SPSystemBackup フォルダ。また、手動で書き込まれたバックアップ アーカイブもあります。

緊急時復元用トークン: Security Platform の初期化時に Security Platform 所有者が指定した場所にあります。

緊急時修復用アーカイブ:

i) Windows 7 と Vista: \%ALLUSERSPROFILE%\Infineon\TPM Software 2.0\RestoreData\<Machine SID>\Users\<User SIDs>\SHTempRestore.xml

ii) Windows XP Professional, Windows 2000 及びその他のサポートされているオペレーティング システム: \%ALLUSERPROFILE%\<Application Data>\Infineon\TPM Software 2.0\RestoreData\<Machine SID>\Users\<User SIDs>\SHTempRestore.xml

システム データ及びシステム キー ファイル:

i) Windows 7 と Vista: \%ALLUSERSPROFILE%\Infineon\TPM Software 2.0\PlatformKeyData
IFXConfigSys.xml
IFXFeatureSys.xml
TCSps.xml
TPMCPSys.xml

ii) Windows XP Professional, Windows 2000 及びその他のサポートされているオペレーティング システム: \%ALLUSERPROFILE%\<Application Data>\Infineon\TPM Software 2.0\PlatformKeyData
IFXConfigSys.xml
IFXFeatureSys.xml
TCSps.xml
TPMCPSys.xml

ローカル シャドウ バックアップ ファイル:

i) Windows 7 と Vista:
\%ALLUSERSPROFILE%\Infineon\TPM Software 2.0\BackupData\<Machine SID>\System\SHBackupSys.xml
\%ALLUSERSPROFILE%\Infineon\TPM Software 2.0\BackupData\<Machine SID>\Users\<User SIDs\SHBackup.xml

ii) Windows XP Professional, Windows 2000 及びその他のサポートされているオペレーティング システム:
\%ALLUSERPROFILE%\<Application Data>\Infineon\TPM Software 2.0\BackupData\<Machine SID>\System\SHBackupSys.xml
\%ALLUSERPROFILE%\<Application Data>\Infineon\TPM Software 2.0\BackupData\<Machine SID>\Users\<User SIDs\SHBackup.xml

ユーザー キー ファイル: \%AppData%\Infineon\TPM Software 2.0\UserKeyData\TSPps.xml

TPM Cryptographic Service Provider のコンテナ ファイル: \%AppData%\Infineon\TPM Software 2.0\UserKeyData\TPMcp.xml

TPM PKCS #11 Provider ファイル: \%AppData%\Infineon\TPM Software 2.0\UserKeyData\TPMck.xml

ユーザー設定ファイル: \%AppData%\Infineon\TPM Software 2.0\UserKeyData\
IFXConfig.xml
IFXFeature.xml


レジストリ キー:
HKEY_LOCAL_MACHINE\SOFTWARE\Infineon\TPM Software
HKEY_CURRENT_USER\Software\Infineon\TPM software

以下の Personal Secure Drive レジストリ キーに関しては、Personal Secure Drive セキュリティ機能をアンインストール後、手動で削除してください。
[HKEY_LOCAL_MACHINE\SOFTWARE\Infineon\TPM Software\PSD]
[HKEY_CURRENT_USER\SOFTWARE\Infineon\TPM Software\PSD]
 

Personal Secure Drive ディレクトリ: 以下のディレクトリは手動で削除してください。
x:\Security Platform\Personal Secure Drive\System Data
ここで x: は Personal Secure Drive が存在するドライブです。このドライブは、Personal Secure Drive の作成時にユーザーが指定したローカル ハードディスク ドライブ、または Personal Secure Drive のローカル ユーザー ポリシーによって定義されるドライブです。

その他:
取得した Trusted Platform Module ベースの証明書
スケジュールされたバック アップ タスク (例: C:\WINDOWS\Tasks\Security Platform Backup Schedule)


Internet Explorer を使って証明書を取得しましたが、証明書を使用できません。エラー メッセージが表示されます。

証明書はすでにユーザーの証明書ストアに保存されていますが、Internet Explorer によってブロックされています。Internet Explorer を閉じてから再度開き、証明書のロックを解除してください。


オペレーティング システムの機能を使用してフォルダを圧縮し、ユーザー データを保存しています。この圧縮されたフォルダに対して EFS を適用することはできますか。これらの機能を同時に使用することは可能ですか。

オペレーティング システムで圧縮されたフォルダは EFS で保護されたフォルダにできないため、これらの機能を同時に使用することはできません。最初に、圧縮を解除し、それから EFS の機能をフォルダに適用してください。


EFS フォルダに割り当てられた証明書を変更する必要が生じました。フォルダ内のデータに影響を与えないで証明書を変更できますか。また、そのフォルダに対して任意の証明書を割り当てることはできますか。

通常、EFS フォルダに追加証明書を割り当てても、特に問題は発生しません。ただし、基本的な前提条件として、すべての証明書を同じ Cryptographic Service Provider の管理下に置く必要があります。以前に割り当てた証明書が存在する限り、暗号化されたデータを復号化することができます。EFS フォルダ内のファイルを保護する証明書をシステムから削除すると、保護対象のファイルが失われます。


システムをバックアップするためには Infineon Security Platform をどのように準備すればよいですか。システムのメカニズムを使用して Infineon Security Platform を復元するには、どのファイルが必要ですか。

Infineon Security Platform の基本ファイルに、Infineon Security Platform ソフトウェアのアプリケーションは含まれていません。これらのアプリケーションは、システム バックアップを復元した後に再インストールすることができます。

Infineon Security Platform ソリューション ソフトウェアに固有のデータは、Infineon Security Platform バックアップ ウィザード を使用してバックアップします。
Infineon Security Platform ウィザード では、暗号化されたファイルや電子メールのような保護されたデータがバックアップされないため、これらのデータは他のバックアップ ツールを使用してバックアップする必要があります。Infineon Security Platform のバックアップ ウィザードのバックアップ アーカイブは、定期的なデータ バックアップによりバックアップしてください。

Security Platform ソリューション ソフトウェアの固有データをバックアップするときに Infineon Security Platform バックアップ ウィザードを使用しない場合は、必ずアンインストールした後はどんな情報がシステムに残りますかセクションにリスト表示されているすべてのデータをバックアップしてください。


  • Security Platform 管理者によりセットアップされた自動システム バックアップには、緊急時復元用データも含まれます。
  • サーバー モードでは、バックアップと復元は、Trusted Compting Management Server によって処理されています。

どのようにバックアップ アーカイブを設定して管理するのが適切であるのか、特にポリシー設定の観点から説明してください。

ポリシー バックアップ アーカイブの場所 の設定により、企業内のすべての Security Platform が、共通のバックアップ アーカイブを使用するように設定することができます。

新しいバックアップ アーカイブを作成するときは、最初の Infineon Security Platform を初期化する前にポリシーをインポートしないようにすることが、きわめて重要です。

その後、ポリシー管理を起動し、その前に作成したバックアップ アーカイブの場所を指定してポリシーを正しく設定する必要があります。 そうすることで、企業内の他の Security Platform を初期化する際に、その前に設定したファイルが自動的に使用されます。

バックアップと復元は、Trusted Computing Management Server によって行われるため、このセクションはサーバー モードには適用されません。


トークン ファイルから公開キー アーカイブ ファイルを作成するにはどうしたらよいですか。

グループ ポリシー設定で、アーカイブ ファイルから、緊急時復元用トークンやパスワード リセット トークンの公開キーを使用するように指定することができます ( コンピュータ ポリシー アーカイブから緊急時復元用トークンの公開キーを使用するアーカイブからパスワード リセット トークンの公開キーを使用する を参照してください)。既にあるトークン ファイルから、そのようなアーカイブ ファイルを作成するには、以下の手順を実行してください:

  • 最初のシステム (例: テスト システム) で、既定のポリシー設定で、(緊急時復元とパスワード リセットを含め) 完全に Platform を初期化します。
    クイック初期化ウィザードは、緊急時復元とパスワード リセットの両方のための一般的なトークン ファイルを作成します。
    Platform 初期化ウィザードは、緊急時復元用のトークン ファイルと、もう一つパスワード リセット用のものを作成します。
  • 同じシステムで以下に添付されているスクリプトを実行し、対応するトークン ファイルから、必要な公開キーアーカイブ ファイルを作成します。
  • 公開キー アーカイブ ファイルを適切な場所にコピーし、上記で説明したポリシーを有効にします。

スクリプト GeneratePubKeyArchive.vbs:
'GeneratePubKeyArchive.vbs <トークン.xml への完全なパス> <公開キー アーカイブ.xml への完全なパス>
'<トークン.xml への完全なパス> は、以下のいずれかのトークン:
' - SPPwdResetToken.xml
' - SPEmRecToken.xml
' - SPGenericToken.xml
'<公開キー アーカイブ.xml への完全なパス> は、入力したトークンから取り出された公開キーを含む出力:
' - SPPwdResetTokenPubKeyArchive.xml
' - SPEmRecTokenPubKeyArchive.xml
' - SPGenericTokenPubKeyArchive.xml
'「アーカイブから緊急時復元用トークンの公開キーを使用する」ポリシーで使用する場合:
' - SPEmRecTokenPubKeyArchive.xml
' - SPGenericTokenPubKeyArchive.xml
'「アーカイブからパスワード リセット トークンの公開鍵を使用する」ポリシーで使用する場合:
' - SPPwdResetTokenPubKeyArchive.xml
' - SPGenericTokenPubKeyArchive.xml
'完全なパスを確実に指定すること。例:
' GeneratePubKeyArchive.vbs "c:\tmp\SPGenericToken.xml" "c:\tmp\SPGenericTokenPubKeyArchive.xml"
If WScript.Arguments.Count <> 2 Then
    WScript.Echo "使用法: " & Wscript.ScriptName & " ""<トークン.xml への完全なパス>"" ""<公開キー アーカイブ.xml への完全なパス>"""
    WScript.Quit
End If
Set MPBase = WScript.CreateObject("IfxSpMgtPrv.MgmtProvider")
Set MPToken = MPBase.GetInterface(10)
' CreationFlags: 既存のファイルを残す = 0, 既存のファイルを上書きする = 1
CreationFlags = 0
ReservedFlag = 0
MPToken.CreatePublicKeyFile WScript.Arguments(0), WScript.Arguments(1), CreationFlags, ReservedFlag
'失敗したときのエラー処理はここに追加
WScript.Echo "完了しました"

緊急時復元とパスワード リセットは、Trusted Computing Management Server によって行われるため、このセクションはサーバー モードには適用されません。


 


©Infineon Technologies AG