|
Infineon Security Platform ソリューション - ポリシー管理 |
Infineon Security Platform ユーザー ポリシー
Infineon Security Platform ソリューション ソフトウェアは、以下のユーザー ポリシー設定をサポートしています。
 |
サーバー モードでは、ユーザー ポリシーは、ドメイン管理者によって Trusted Computing Management Server を通じてドメイン全体に対して設定されます。サーバー モードでのみ有効な設定は、Trusted Computing Management Server により提供される、管理テンプレート ファイルに記述されていることにご注意ください。 |
既定値: ポリシーがまだ設定されていない (つまり、ローカル グループ ポリシー エディタが未構成状態を表示している) 場合、Security Platform ソリューション ソフトウェアは既定値を適用します。
すべてのバージョンの設定
スタンドアロン モード バージョンとサーバー モード バージョンの両方に有効な設定。
| ポリシー | 説明 | 既定値 |
| 基本ユーザー パスワード - パスワードの最小長さ | 有効: 基本ユーザー パスワードに対して要求する最小の長さを指定します。例: 6。 パスワードの最小の長さは、これから設定または変更する基本ユーザー パスワードに適用されます。 無効: パスワードの最小の長さは 6 文字です。 パスワード処理に関する詳細 |
有効、6 文字 |
| 基本ユーザー パスワード - パスワードは複雑さ要件を満たす必要がある | 有効: パスワードの複雑さ要件が、これから設定または変更される基本ユーザー パスワードに適用されます。 無効: パスワードの複雑さ要件は適用されません。 パスワードの複雑さに関する詳細 |
無効 |
| 基本ユーザー パスワード - 基本ユーザー パスワードの有効期間 | システムがユーザーに基本ユーザー パスワードの変更を求めるまで、基本ユーザー パスワードを使用できる期間 (日数)を指定します。 有効:
無効: 基本ユーザー パスワードに有効期限がない、つまりパスワードは失効しません。 |
無効 |
| 基本ユーザー パスフレーズ - パスフレーズの最小長さ | 有効: 基本ユーザー パスフレーズに対して要求する最小の長さをを指定します。例: 20 パスフレーズの最小の長さは、これから設定または変更する基本ユーザー パスフレーズに適用されます。 無効: パスフレーズの最小の長さは 20 文字です。
|
有効、20 文字 |
| 基本ユーザー パスフレーズ - パスフレーズは複雑さ要件を満たす必要がある | 有効: 基本ユーザー パスフレーズは、パスフレーズの複雑さ要件を満たさなければなりません。パスフレーズの複雑さ要件は、これから設定または変更する基本ユーザー パスフレーズに適用されます。 無効: パスフレーズの複雑さ要件を適用しません。
拡張認証に関する詳細 |
無効 |
| クイック初期化の制御 | 有効/許可: クイック初期化ウィザード か、Security Platform 初期化ウィザード 及び ユーザー初期化ウィザード を、プラットフォームとユーザーの初期化に使用できます。 |
有効/強制: プラットフォームとユーザーを初期化するために、クイック初期化ウィザード を使用しなければなりません。また、EFS や PSD などの使用可能な機能は、最初に クイック初期化ウィザードで 設定しなければなりません。
無効: クイック初期化ウィザードでは、プラットフォームとユーザーを初期化できません。
無効: Security Platform ソリューション ソフトウェアのユーザー インターフェースでは、Infineon Security Platform を一時的に無効にする機能を利用できません。
このポリシーは、Security Platform と Infineon Trusted Module 1.1 の組み合わせ時のみ適用されます。
ユーザーがログオフし、別のユーザーがログオンした場合、無効にされた Security Platform は、コンピュータを再起動するまで無効のままになっています。
無効: ユーザーはこの機能を設定できませんが、前の設定を使用できます。
無効: ユーザーはこの機能を設定できませんが、前の設定を使用できます。
Windows Home エディションは、EFS をサポートしていません。
無効: ユーザーはこの機能を設定できませんが、前の設定を使用できます。
無効: Security Platform ユーザーは、(基本ユーザー パスフレーズと共に) 拡張認証を使うか、または (基本ユーザー パスワードとともに) パスワード認証を使うかを選択できます。
このポリシーは、少なくとも 1 つの認証デバイスがすべてのユーザーに対して有効になっている場合に限り適用されます。認証デバイスを指定しないまま Security Platform ユーザーをすでに初期化している場合、拡張認証の使用は強制されません。
無効: 基本ユーザー パスワード ダイアログは、基本ユーザー パスワードを一時的にキャッシュする機能を提供しません。
Security Platform が、パスワード リセットを有効にしないで、すでに初期化されている場合は、パスワード リセットを有効にすることは強制されません。
無効: パスワード リセットを有効にすることは強制されません。パスワード リセットは、ユーザーの初期化を実行した後で、設定ツール - パスワード リセット - 有効にする... によって設定できます。
証明書を取得するページは、この設定が有効になっていて、少なくともセキュリティの機能 1 つが選択されている場合に、ユーザー初期化ウィザードで利用できます。
無効: 証明書を取得するためのページを、Infineon Security Platform 初期化ウィザード に対して指定しません。
メモ:
- この設定は、Security Platform ソリューション ソフトウェアの以前のバーションとの互換性を保つために、コンピュータ ポリシーとして提供されます。
- 推奨: この設定をユーザー ポリシーとして使用してください。
- この設定が証明書の使用目的とは無関係のため、EFS 証明書用のユーザー ポリシーを提供しています(EFS 証明書の種類と取得)。
1. EFS 証明書の種類: すべての証明書の種類 (ドメイン、外部及び自己署名証明書) を許可するか、または特定の証明書の種類のみを許可するかを指定します。この制限は、ユーザーが証明書を取得または選択する際に適用されます。
- ドメイン証明書: ドメイン内の CA (認証局) より取得した証明書。
- 外部証明書: WWW によってアクセス可能な外部 CA より取得した証明書。
- 自己署名付き証明書: ユーザー自身の PC で作成した証明書。
2. 証明書を要求する URL: EFS 証明書を取得する CA の証明書要求ウェブアドレスを指定します。例えば、https://www.companyname.com/foldername
この対象パスは、EFS 証明書を外部の CA に要求する場合に使用します。
- 証明書を要求する URL はオプションです。
- ここでパスを指定しない場合、ユーザーは、外部 EFS 証明書を要求することはできません。
- 外部 EFS 証明書を有効にする場合、すべての Security Platform PC がアクセスできる有効なパスを指定してください。パスが有効でない場合は、EFS 証明書の取得に失敗します。
無効: EFS 証明書の種類に制限はありません。EFS 証明書を取得するウェブ アドレスは設定されません。つまり、ユーザーは、外部 EFS 証明書を要求できません。
メモ:
- EFS 証明書は EFS に対してだけではなく、PSD にも使用されることに注意してください。
- この設定は (EFS または PSD に使用する) EFS 証明書に対して適用されるため、証明書の目的に無関係なユーザー ポリシー (証明書を取得するためにウィザードから起動する URL) もあります。
無効: 証明書の有効期限切れに対する通知をしません。
無効: 有効期間は 10 年です。
無効: ユーザーは、Personal Secure Drive イメージ ファイルを作成する対象ドライブを選択できます。
無効: PSD 作成後の、システム パーティション上の空きスペースに関する制限はありません。
例:
ポリシーを有効にし
5000MB に設定した場合。
Windows 7 と Windows Vista の最小 PSD ドライブ容量は 20MBで、他のすべてのオペレーティング システムの最小 PSD ドライブ容量は 10MB です。
- PSD 作成前の空きスペースが 5050MB である場合、PSD 最大容量は 50MB になります。
- 空き領域が 5000MB である場合、システム ドライブ上に PSD を作成することはできません。
無効: Security Platform ユーザーは、Security Platform に秘密キーをインポートできません。
有効: MS-CAPI インターフェースが署名に使用するキーだけが、"強力な秘密キーの保護"によって保護されます。この場合、キーは署名の際に常に入力が必要な専用のパスワードで保護されます。
無効: 署名キーは特別には保護されません。
この専用パスワードは、繰り返し入力が必要ないようにキャッシュされます。この専用パスワードは、基本ユーザー キーに関係ないため、基本ユーザー パスワードが使用するキャッシュ システムは、このパスワードには影響を与えません。有効/オンデマンド: ユーザーが Infineon TPM Strong Cryptographic Provider を初めて使用するときに、ユーザーは移行不可能な基本ユーザー キーを生成することを要求されます。Infineon TPM Strong Cryptographic Provider を使用するには、移行不可能な基本ユーザー キーが必要です。\n\n有効/自動: 新しいユーザーに対して、移行不可能な基本ユーザー キーが、ユーザー初期化の時に自動的に生成されます。既に初期化されたユーザーに対しては、移行不可能な基本ユーザー キーは、要求に応じて生成されます。
無効: 移行不可能な基本ユーザー キーは生成されません。そのため、Infineon TPM Strong Cryptographic Provider は使用できません。
スタンドアロン モード バージョン設定
スタンドアロン モード バージョンのみに有効な設定。| ポリシー | 説明 | 既定値 |
| バックアップ警告の発生 |
有効: Security Platform ユーザーは、ユーザー個別の証明書とキーのバックアップに失敗した場合 (例えば、バックアップの場所にアクセスできない場合)、バルーンによって通知を受けます。次のバックアップ成功までの間の、この通知の発生頻度を指定します。例: バックアップに失敗した後 2 日ごと。
無効: バックアップ失敗の際に通知はありません。 |
ユーザーは毎日通知を受けます。 |
| ユーザーの設定を許可する |
有効/Management Provider とウィザードを許可: ユーザーを、Management Provider インタフェース、クイック初期化ウィザードあるいはユーザー初期化ウィザードを使って初期化することができます。
有効/Management Provider のみ許可: ユーザーは、Management Provider インターフェイスを使ってのみ初期化できます。 無効: ユーザーは初期化できません。 |
有効/Management Provider とウィザードを許可 |
©Infineon Technologies AG