|
Infineon Security Platform ソリューション - ポリシー管理 |
Infineon Security Platform コンピュータ ポリシー
Infineon Security Platform ソリューション ソフトウェアは、以下のコンピュータ ポリシー設定をサポートしています。
 |
サーバー モードでは、コンピュータ ポリシーは、ドメイン管理者によって Trusted Computing Management Server を通じてドメイン全体に対して設定されます。 サーバー モードでのみ有効な設定は、Trusted Computing Management Server により提供される、管理テンプレート ファイルに記述されていることにご注意ください。 |
|
既定値: ポリシーがまだ設定されていない (つまり、ローカル グループ ポリシー エディタが未構成状態を表示している) 場合、Security Platform ソリューション ソフトウェアは既定値を適用します。 |
すべてのバージョン設定
スタンドアロン モード バージョンとサーバー モード バージョンの両方に有効な設定。
| ポリシー | 説明 | 既定値 |
| TPM 設定の準備 | 有効: Trusted Platform Module が無効で、Physical Presence Interface(PPI) をサポートしている初期化未了のプラットフォームでは、Trusted Platform Module は自動的に有効になるよう準備されます。ユーザーは有効化を完了するよう案内されます。 無効: Trusted Platform Module は自動的に有効になるよう準備されません。 |
無効 |
| リモート コンピュータ上の管理者が、プラットフォーム キーを使用できるようにする | 有効: 管理者は、プラットフォーム キーをローカルでもリモート コンピュータからでも使用できます。 無効: プラットフォーム キーを遠隔で使用することは許可されていません。Trusted Computing Group (TCG) での議論では、プライバシーの観点から、これらのキーへのアクセスは制限されます。Security Platform の特定ができるすべてのキーは、リモート アクセスから見えなくなります。このポリシーは、全ての関係しているコンピューターが Trusted Domain のメンバーである事を必要とします。これは、ドメイン メンバーシップをサポートしているオペレーティング システムにのみ関係します。
|
無効 |
| 保護されていない TPM NV メモリの読み出しを許可する | Trusted Platform Module 1.2 に格納されている不揮発性 (NV)
メモリを誰が読み出し可能か指定します。NV メモリには機密データが含まれている場合もあります。 有効: ローカル管理者だけか、ローカル及びリモート管理者か、すべてのローカル ユーザーか、あるいはすべてのユーザーが、保護されていない NV データを読み出し可能かのいずれかを指定します。 無効: どのユーザーも、保護されていない NV データを読み出しできません。
Security Platform の管理及び動作は、この設定によって制限されません。 |
有効/ローカル管理者 |
| 辞書攻撃のしきい値 | TPM の辞書攻撃防御機能が作動するまでの認証試行回数を指定します。 有効: キー (例: Security Platform ユーザー認証に使用)、所有者、およびシールされたデータ(例: PIN との組み合わせで Windows BitLocker に使用) へのアクセスに対して、辞書攻撃防御が作動するまでの認証試行可能な回数を指定します。 無効: 辞書攻撃防御しきい値を設定することはできません。既定値が適用されます。
|
有効 所有者: 3 回 キー: 5 回 データ: 10 回 |
| 厳重なパスワード フィールド セキュリティを有効にする | 有効: シークレット データ (例: パスワードまたはシークレット) をクリア テキストで切り取り、コピー、貼り付け、表示することはできません。 無効: 貼り付けることはできます。シークレット データ (例: パスワード、シークレット) がクリア テキストで見える場合、切り取りとコピーが可能です。 |
無効 |
| 省電力状態に入った場合はキーを消去する | 有効: コンピューターが省電力状態のスタンバイ (S3) または休止状態 (S4) どちらかに入る前に、Security Platform キーは消去されます。そのため省電力状態でのセキュリティ レベルが上がります。省電力状態から戻った後は、Security Platform 機能が再度ユーザー認証を要求します。 |
有効 |
| 拡張認証プロバイダ | 有効: 拡張認証プロバイダのクラスID (CLSID)、または複数の CLSID をセミコロンで区切って入力します。 |
サーバー モードでは、無効にしたのと同様の動作。 スタンドアロン モードでは、以前のプロダクト バージョンと同じ動作、すなわちインストールされているプロバイダは使用可能。 |
| リモート コンピュータ上の管理者が、所有者権限を取得することを許可する | 有効: コンピュータ上で所有者権限を取得するときに、管理者はローカルにいる必要はありません。大きなネットワークのクライアントの設定を実行する場合、この機能は特に有用です。 無効: リモート コンピュータから所有者権限を取得することはできません。
|
無効 |
| リモート コンピュータ上の管理者が、SRK 公開キーを取り出すことを許可する | Trusted Platform Module に保管された Storage Root Key (SRK) の公開キーの情報を誰が読み出すことができるか指定します。SRK 公開キーから Security Platform を識別することができるので、SRK 公開キーには特別な保護が必要です。 有効: 管理者は SRK の公開キーをローカルだけではなくリモート コンピュータからでも取得できます。 |
無効: SRK SRK 公開キーをリモート コンピュータから取得することはできません。
移行ステップの自動エクスポートと承認では、移行先コンピュータでこの設定を有効にする必要があります。
このポリシーは、全ての関係しているコンピュータが Trusted Domain のメンバーである事を必要とします。
これは、ドメイン メンバーをサポートしているオペレーティング システムにだけ関係します。
スタンドアロンモード バージョン設定
スタンドアロン モード バージョンのみに有効な設定。
| ポリシー | 説明 | 既定値 |
| 所有者パスワード - パスワードの最小の長さ | 有効:
所有者パスワードに対して要求する最小の長さを指定します。例: 6。 パスワードの最小の長さは、これから設定または変更する所有者パスワードに適用されます。 無効: パスワードの最小の長さは 6 文字です。 この設定は、スタンドアロンの Security Platform で設定される所有者パスワードにのみ適用されます。Trusted Computing Management Server を介して設定される所有者パスワードの最小パスワード長は、同じ名称の Trusted Computing Management Server ポリシーによって設定されます。 |
無効: パスワードの複雑さ要件は適用されません。
この設定は、スタンドアロンの Security Platform で設定される所有者パスワードにのみ適用されます。Trusted Computing Management Server を介して設定される所有者パスワードの複雑さ要件は、同じ名称の Trusted Computing Management Server ポリシーによって設定されます。
パスワードの複雑さに関する詳細有効/Management Provider のみ許可: プラットフォームは、Management Provider インターフェイスを使ってのみ初期化できます。
無効: プラットフォームは初期化できません。
自動バックアップの設定なしで Security Platform がすでに初期化されている場合は、自動バックアップの設定を強制しません。
無効: 自動バックアップの設定を強制しません。バックアップは Security Platform の初期化を実行した後で、設定ツール - バックアップ - 設定... で設定できます。
\\BackupServer\SecurityPlatformShare\SPSystemBackup.xml
この宛先パスを、バックアップ機能を設定する際に強制します。同じ名前の XML ファイル及びフォルダから成る自動保存バックアップ アーカイブが作成されます。例:
SPSystemBackup.xml ファイルと SPSystemBackup フォルダ。
すでにバックアップ機能を設定している場合は、再設定されない限り、既存のバックアップ パスを保持します。
必ずすべての Security Platform がアクセスできる有効なパスを入力してください。有効なパスでない場合は、バックアップの設定に失敗します。
無効: バックアップ宛先パスは、バックアップ機能を設定する際に、自由に指定できます。
前提条件: 自動バックアップが設定されている必要があります。システム バックアップ アーカイブへの書き込みアクセスも可能である必要があります。
無効: Security Platform データの重要な変更後でも、システム バックアップ アーカイブは即時に更新されません。自動バックアップが設定されており、システム バックアップ アーカイブへの書き込みアクセスが可能な場合は、次回のスケジュールされたシステム バックアップ時にそのアーカイブが更新されます。
\\ServerName\FolderName\ArchiveName.xml
このパスは、緊急時復元を設定する際に強制されます。
すでに緊急時復元が Security Platform PC で設定されている場合、この設定はこの PC には影響がありません。
必ずすべての Security Platform PC がアクセスできる有効なパスを入力してください。有効なパスでない場合は、緊急時復元の設定に失敗します。
無効: 緊急時復元用トークンは、緊急時復元を設定する際に作成または指定できます。
緊急時復元設定の詳細トークン ファイルから公開キー アーカイブ ファイルを作成するにはどうしたらよいですか。
Security Platform が、パスワード リセットの設定をせずにすでに初期化されている場合は、パスワード リセットの設定は強制されません。
無効: パスワード リセットの設定は強制されません。パスワード リセットは Security Platform の初期化を実行した後で、設定ツール - パスワード リセット - 設定... によって設定できます。
\\ServerName\FolderName\ArchiveName.xml
このパスは、パスワード リセットを設定する際に強制されます。
パスワード リセットが Security Platform PC 上にすでに設定されている場合、この設定はこの PC には影響ありません。
必ずすべての Security Platform PC がアクセスできる有効なパスを入力してください。パスが有効でない場合は、パスワード リセットの設定に失敗します。
無効: パスワード リセット トークンは、パスワード リセットを設定する際に作成または指定できます。
パスワード リセット設定の詳細トークン ファイルから公開キー アーカイブ ファイルを作成するにはどうしたらよいですか。
以前の製品バージョン設定
以前の製品バージョンのみに有効な設定。
| ポリシー | 説明 | 既定値 |
| 緊急時復元用アーカイブ ファイルの場所 | この設定は、Security Platform ソリューション ソフトウェアの以前のバージョンでのみ有効です。 以前のバージョンでは、緊急時復元用アーカイブ ファイルの場所は、Security Platform の初期化中に指定できました。このポリシーによりファイルの場所を強制できました。 現行のバージョンでは、ファイルの場所は自動的に設定されます。 |
--- |
| 証明書を取得するためにウィザードが起動する URL | ユーザー ポリシーをご覧ください。 |
無効 |
©Infineon Technologies AG