|
Infineon Security Platform ソリューション |
トラブルシューティング
次のセクションでは、Infineon Security Platform で発生する可能性の高い一般的な問題を解決する手順を説明します。
プラットフォームを設定する必要がありますが、Trusted Platform Module にすでに所有者が割り当てられています。
Infineon Security Platform を設定しましたが、その後で、Security Platform の所有者が変わりました。
Infineon Security Platform 初期化ウィザードを使用して緊急時復元プロセスを実行するときに考慮すべき点を教えてください。
 |
Windows Home エディションは EFS をサポートしていないため、EFS の注釈は Windows Home エディションには関係ありません。 |
プラットフォームを設定する必要がありますが、Trusted Platform Module にすでに所有者が割り当てられています。
この場合、既存の Security Platform 所有者が Security Platform を初期化するために使用されます。これには、既存の所有者パスワードあるいは対応する所有者パスワード バックアップ ファイルへのアクセス情報が必要です。
複数のオペレーティング システムがコンピュータにインストールされているマルチ システム環境では、この問題が発生します。Infineon Security Platform 所有者 ("Storage Root Key"、SRK) は Trusted Platform Module モジュールを離れることも、ここから外部に導入することもできません。従って「インポート」オペレーションが可能ではありません。
基本ユーザー キーが存在するかどうかに応じて、Security Platform 初期化の際に異なる手順が必要となります。
Security Platform で基本ユーザー キーが生成されていない場合は、新しいバックアップ アーカイブ (緊急時復元用データを含む) を作成することができます。こうすると、Infineon Security Platform を使用して移行の操作を実行できる状態になります。
基本ユーザー キーがすでに存在し、バックアップ アーカイブ (緊急時復元用データを含む) が設定されている場合は、Security Platform の初期化プロセスでこのアーカイブを上書きしないように十分注意してください。
サーバー モードでは、所有者が既に存在する場合、システムを Trust Domain に接続する前に、最初に所有者をクリアする必要があります。そのうえで、Security Platform は自動的に Trust Domain に設定されます (プラットフォームの設定を参照してください)。
 |
Infineon Security Platform を設定しましたが、その後に Security Platform の所有者が変わりました。
Security Platform に緊急時復元機能が設定されている場合は、Security Platform ソリューションの緊急時復元を利用して、Security Platform のキーと証明書を再び使用することができます。
サーバー モードでは、システムを Trust Domain に接続する前に、Trusted Platform Module に所有者を設定しないでください。つまり、(スタンドアロン モードでは Infineon TPM Professional Package によって、サーバー モードでは Trusted Domain Server によって、あるいは Windows Vista の トラステッド プラットフォーム モジュール (TPM) の管理 等の他のソフトウェアによって) 初期化をしないでください。
|
Infineon Security Platform 初期化ウィザードを使用して、緊急時復元プロセスを実行する前に、考慮して実行おくべき点を教えてください。
Trusted Platform Module が置き換えられまたはリセットされた場合、データを復元するためのバックアップ イメージが存在する場合は、システムの緊急時復元プロセスを実行することができます。Security Platform に関連するユーザー固有のデータと、緊急時復元データは、自動システム バックアップによりバックアップされます。
Infineon Security Platform の管理者は、システムの設定時に作成されたバックアップ アーカイブ及び緊急時復元用トークンへのアクセス権を持ち、かつこのトークンを保護するパスワードを知っている必要があります。
Infineon Security Platform の管理者は、Infineon Security Platform バックアップ ウィザードを起動して、システムの復元を行う必要があります。
コンピュータ名が変更されたコンピュータ上で復元を行う場合、変更前のコンピュータ名またはコンピュータ ID を知っておく必要があります。バックアップ アーカイブには、複数のコンピュータの復元データが保存されている可能性があります。このような場合はバックアップ アーカイブから復元するコンピュータを選択してください。
サーバー モード
では、緊急時復元は Trusted Computing Management Server によって処理されています。
|
EFS で保護されたフォルダに保存された文書をバックアップ データから復元する必要があります。復元先のシステムに Infineon Security Platform ユーザーが存在しません。どのような方法でこの問題を解決できますか。
基本ユーザー キーが利用できず、(回復エージェント用の) 回復証明書が設定されていない場合は、どのような方法でも文書を復元できません。
それ以外の場合は、最初に、バックアップからファイルを復元します。この復元処理では、ファイルのセキュリティ関連属性はまったく変更されません。次に、回復証明書を使用し、回復エージェントを通じてファイルを復号化します。
|
広く使用されているアプリケーションによって、標準の一時フォルダ以外の場所で一時ファイルが作成されます。通常、すべての一時フォルダは EFS で保護されていません。このアプリケーションによって作成される一時ファイルがどのように保護されるか教えてください。特に、アプリケーションを閉じた後にこれらの一時ファイルがハード ディスクに残りますが、その場合について教えてください。
このような問題は、さまざまなアプリケーションで発生する可能性があります。アプリケーションによっては、EFS に設定されたフォルダ以外の場所に一時ファイルが作成されます。一時ファイルの作成場所がユーザー プロファイルで指定された標準の %AppData% フォルダ (通常は "Application Data") でない場合、それはアプリケーション固有の問題であり、一般的な解決方法はありません。フォルダの設定がアプリケーションによってサポートされない場合は、フォルダの場所を調べて、それぞれのフォルダに EFS による保護を適用することによって問題を解決できる場合があります。以上の方法によっても解決できない場合は、アプリケーションの終了時に少なくともそのようなファイルが削除されるように設定する必要があります。
暗号化ファイル システム (EFS) の更に詳しいトラブルシューティングについては、 Microsoft Developer Network (MSDN) を参照してください。
|
Infineon Security Platform のユーザーが最初に EFS フォルダにアクセスすると、基本ユーザー キーのパスワードを要求されます。キャンセルし、回復エージェントを構成すると、回復エージェントの秘密キーがユーザーで利用できる限り、ユーザーは EFS フォルダでデータにまだアクセスすることができます。これは、システムにおけるエラーですか?
回復エージェントの設計から判断すると、この動作は正しいことになります。EFS フォルダ用の回復証明書が作成されている場合は、フォルダに最初にアクセスしたときに、その回復証明書が回復エージェントによって使用されます。コンピュータがドメインのメンバーかどうかに応じて、問題の解決方法は異なります。
コンピュータがドメインのメンバーである場合: システム管理者が回復証明書の割り当てを調整します。Infineon Security Platform のユーザーのうち、証明書が割り当てられていないユーザーについては、上記のような問題は発生しません。
Windows 2000 で動作するコンピュータがドメインのメンバーでない場合: 考えられる方法は、復帰エージェントの秘密キーが通常の Security Platform ユーザーに利用できないことを確認することです。
コンピュータが他のサポートしているオペレーティング システムで動作している場合、またはドメインのメンバーでない場合: この場合、通常回復証明書が存在しないため、上記のような問題は発生しません。
|
©Infineon Technologies AG