Infineon Security Platform ユーザー ポリシー

Infineon Security Platform

Infineon Security Platform ソリューション - ポリシー管理

Infineon Security Platform ユーザー ポリシー

Infineon Security Platform ソリューション ソフトウェアは、以下のユーザー ポリシー設定をサポートしています。

サーバー モードでは、ユーザー ポリシーは、ドメイン管理者によって Trusted Computing Management Server を通じてドメイン全体に対して設定されます。サーバー モードでのみ有効な設定は、Trusted Computing Management Server により提供される、管理テンプレート ファイルに記述されていることにご注意ください。

既定値: ポリシーがまだ設定されていない (つまり、ローカル グループ ポリシー エディタが未構成状態を表示している) 場合、Security Platform ソリューション ソフトウェアは既定値を適用します。

すべてのバージョンの設定

スタンドアロン モード バージョンとサーバー モード バージョンの両方に有効な設定。

ポリシー 説明 既定値
基本ユーザー パスワード - パスワードの最小長さ 有効: 基本ユーザー パスワードに対して要求する最小の長さを指定します。例: 6。
パスワードの最小の長さは、これから設定または変更する基本ユーザー パスワードに適用されます。

無効: パスワードの最小の長さは 6 文字です。

パスワード処理に関する詳細
有効、6 文字
基本ユーザー パスワード - パスワードは複雑さ要件を満たす必要がある 有効: パスワードの複雑さ要件が、これから設定または変更される基本ユーザー パスワードに適用されます。

無効: パスワードの複雑さ要件は適用されません。

パスワードの複雑さに関する詳細
無効
基本ユーザー パスワード - 基本ユーザー パスワードの有効期間 システムがユーザーに基本ユーザー パスワードの変更を求めるまで、基本ユーザー パスワードを使用できる期間 (日数)を指定します。

有効:

  • 基本ユーザー パスワードの有効期間: 基本ユーザー パスワードの有効期間を、例えば 42 日というように入力してください。
  • 基本ユーザー パスワードの有効期限警告: 基本ユーザー パスワードが無効になることを何日前からユーザーが通知するかを、例えば 7 日というように指定してください。

無効: 基本ユーザー パスワードに有効期限がない、つまりパスワードは失効しません。

無効
基本ユーザー パスフレーズ - パスフレーズの最小長さ 有効: 基本ユーザー パスフレーズに対して要求する最小の長さをを指定します。例: 20
パスフレーズの最小の長さは、これから設定または変更する基本ユーザー パスフレーズに適用されます。

無効: パスフレーズの最小の長さは 20 文字です。

このポリシーは、拡張認証を使用する場合にのみ適用されます。

拡張認証に関する詳細
有効、20 文字
基本ユーザー パスフレーズ - パスフレーズは複雑さ要件を満たす必要がある 有効: 基本ユーザー パスフレーズは、パスフレーズの複雑さ要件を満たさなければなりません。パスフレーズの複雑さ要件は、これから設定または変更する基本ユーザー パスフレーズに適用されます。

無効: パスフレーズの複雑さ要件を適用しません。

このポリシーは、拡張認証を使用する場合にのみ適用されます。

パスワードの複雑さに関する詳細
拡張認証に関する詳細
無効
クイック初期化の制御 有効/許可: クイック初期化ウィザード か、Security Platform 初期化ウィザード 及び ユーザー初期化ウィザード を、プラットフォームとユーザーの初期化に使用できます。

有効/強制: プラットフォームとユーザーを初期化するために、クイック初期化ウィザード を使用しなければなりません。また、EFS や PSD などの使用可能な機能は、最初に クイック初期化ウィザードで 設定しなければなりません。

無効: クイック初期化ウィザードでは、プラットフォームとユーザーを初期化できません。

有効/許可 ユーザーが Security Platform の機能を一時的に無効にすることを許可する 有効: Infineon Security Platform ユーザーは、次回コンピュータが再起動するまで、有効な Security Platform 機能をオフにすることができます。

無効: Security Platform ソリューション ソフトウェアのユーザー インターフェースでは、Infineon Security Platform を一時的に無効にする機能を利用できません。

このポリシーは、Security Platform と Infineon Trusted Module 1.1 の組み合わせ時のみ適用されます。
ユーザーがログオフし、別のユーザーがログオンした場合、無効にされた Security Platform は、コンピュータを再起動するまで無効のままになっています。

有効 電子メールの保護設定を許可する 有効: ユーザーは、Security Platform の電子メールの保護機能を設定できます。

無効: ユーザーはこの機能を設定できませんが、前の設定を使用できます。

有効 EFS の設定を許可する 有効: ユーザーは Security Platform の暗号化ファイル システム (EFS) によるファイルとフォルダの暗号化機能を設定できます。

無効: ユーザーはこの機能を設定できませんが、前の設定を使用できます。

Windows Home エディションは、EFS をサポートしていません。

有効 PSD の設定を許可する 有効: ユーザーは Security Platform の Personal Secure Drive (PSD) によるファイルとフォルダの暗号化機能を設定できます。

無効: ユーザーはこの機能を設定できませんが、前の設定を使用できます。

有効 拡張認証を強制する 有効: Security Platform ユーザーは、(基本ユーザー パスフレーズと共に) 拡張認証を使用しなければなりません。

無効: Security Platform ユーザーは、(基本ユーザー パスフレーズと共に) 拡張認証を使うか、または (基本ユーザー パスワードとともに) パスワード認証を使うかを選択できます。

このポリシーは、少なくとも 1 つの認証デバイスがすべてのユーザーに対して有効になっている場合に限り適用されます。認証デバイスを指定しないまま Security Platform ユーザーをすでに初期化している場合、拡張認証の使用は強制されません。

拡張認証に関する詳細 無効 基本ユーザー パスワードのキャッシュを有効にする 有効: 基本ユーザー パスワードを Infineon Security Platform ソフトウェアでキャッシュし、ログオンしている間のパスワードの入力回数を減らすことができます。これによりユーザーに対するパスワード要求回数が最小になります。

無効: 基本ユーザー パスワード ダイアログは、基本ユーザー パスワードを一時的にキャッシュする機能を提供しません。

有効 パスワード リセットを有効にするよう強制する 有効: パスワード リセットを有効にすることが、ユーザー初期化の際に必須となります。
Security Platform が、パスワード リセットを有効にしないで、すでに初期化されている場合は、パスワード リセットを有効にすることは強制されません。

無効: パスワード リセットを有効にすることは強制されません。パスワード リセットは、ユーザーの初期化を実行した後で、設定ツール - パスワード リセット - 有効にする... によって設定できます。

無効 証明書を取得するためにウィザードが起動する URL 有効: Infineon Security Platform ユーザー初期化ウィザード が、ウェブ ブラウザを使って証明書を取得する際に使用するウェブアドレスを指定します。
証明書を取得するページは、この設定が有効になっていて、少なくともセキュリティの機能 1 つが選択されている場合に、ユーザー初期化ウィザードで利用できます。

無効: 証明書を取得するためのページを、Infineon Security Platform 初期化ウィザード に対して指定しません。

メモ:

  • この設定は、Security Platform ソリューション ソフトウェアの以前のバーションとの互換性を保つために、コンピュータ ポリシーとして提供されます。
  • 推奨: この設定をユーザー ポリシーとして使用してください。
  • この設定が証明書の使用目的とは無関係のため、EFS 証明書用のユーザー ポリシーを提供しています(EFS 証明書の種類と取得)。

無効 EFS 証明書の種類と取得 有効: EFS 証明書の種類を制限することができます。CA (認証局) のウェブアドレスを指定することで、外部からの EFS 証明書の取得を有効にすることもできます。

1. EFS 証明書の種類: すべての証明書の種類 (ドメイン、外部及び自己署名証明書) を許可するか、または特定の証明書の種類のみを許可するかを指定します。この制限は、ユーザーが証明書を取得または選択する際に適用されます。

  • ドメイン証明書: ドメイン内の CA (認証局) より取得した証明書。
  • 外部証明書: WWW によってアクセス可能な外部 CA より取得した証明書。
  • 自己署名付き証明書: ユーザー自身の PC で作成した証明書。

2. 証明書を要求する URL: EFS 証明書を取得する CA の証明書要求ウェブアドレスを指定します。例えば、https://www.companyname.com/foldername
この対象パスは、EFS 証明書を外部の CA に要求する場合に使用します。

  • 証明書を要求する URL はオプションです。
  • ここでパスを指定しない場合、ユーザーは、外部 EFS 証明書を要求することはできません。
  • 外部 EFS 証明書を有効にする場合、すべての Security Platform PC がアクセスできる有効なパスを指定してください。パスが有効でない場合は、EFS 証明書の取得に失敗します。

無効: EFS 証明書の種類に制限はありません。EFS 証明書を取得するウェブ アドレスは設定されません。つまり、ユーザーは、外部 EFS 証明書を要求できません。

メモ:

  • EFS 証明書は EFS に対してだけではなく、PSD にも使用されることに注意してください。
  • この設定は (EFS または PSD に使用する) EFS 証明書に対して適用されるため、証明書の目的に無関係なユーザー ポリシー (証明書を取得するためにウィザードから起動する URL) もあります。

EFS 証明書の取得と選択方法

無効 EFS 証明書の有効期限警告の発生 有効: Security Platform ユーザーは、EFS 証明書の有効期限が切れる前に、バルーンによって通知を受けます。この通知が発生する時期を指定します。例: 証明書の有効期限切れの 14 日前

無効: 証明書の有効期限切れに対する通知をしません。

ユーザーは、証明書の有効期限が切れる 14 日前に通知を受けます。 EFSの自己署名証明書の有効期間 有効: 自己署名した EFS 証明書の有効期間を指定してください。

無効: 有効期間は 10 年です。

有効 期間10年で有効。 Personal Secure Drive のファイルの場所 有効/PSD 既定ドライブ: Personal Secure Drive イメージ ファイルを作成するドライブを指定します。編集欄に、コロンは含めますがパスを追加しないで、有効なドライブ文字を入力してください (例: C:)。ドライブ文字が無効な場合、ユーザーは Personal Secure Drive イメージ ファイルを作成することができません。

無効: ユーザーは、Personal Secure Drive イメージ ファイルを作成する対象ドライブを選択できます。

無効 PSD 作成後の最小空き領域 有効: PSD を (現在のオペレーティング システムがある) システムドライブに保存する場合、設定した空き領域が、PSD 設定後にも残っていなければなりません。PSD 設定後に、システム ドライブにどの程度空き領域がなければいけないかを指定します。

無効: PSD 作成後の、システム パーティション上の空きスペースに関する制限はありません。

例:
ポリシーを有効にし 5000MB に設定した場合。
Windows 7 と Windows Vista の最小 PSD ドライブ容量は 20MBで、他のすべてのオペレーティング システムの最小 PSD ドライブ容量は 10MB です。

  • PSD 作成前の空きスペースが 5050MB である場合、PSD 最大容量は 50MB になります。
  • 空き領域が 5000MB である場合、システム ドライブ上に PSD を作成することはできません。

有効、5000MB ユーザーにキーのインポートを許可する 有効: Security Platform ユーザーは、Security Platform に秘密キーをインポートできます。秘密キーは 証明書ビューアと証明書選択 を通じて、証明書と合わせてインポートされることに注意してください。

無効: Security Platform ユーザーは、Security Platform に秘密キーをインポートできません。

有効 MS-CAPI 署名キーの強力な秘密キーの保護を強制する

有効: MS-CAPI インターフェースが署名に使用するキーだけが、"強力な秘密キーの保護"によって保護されます。この場合、キーは署名の際に常に入力が必要な専用のパスワードで保護されます。

無効: 署名キーは特別には保護されません。

この専用パスワードは、繰り返し入力が必要ないようにキャッシュされます。この専用パスワードは、基本ユーザー キーに関係ないため、基本ユーザー パスワードが使用するキャッシュ システムは、このパスワードには影響を与えません。 無効 移行不可能な基本ユーザー キーを生成する

有効/オンデマンド: ユーザーが Infineon TPM Strong Cryptographic Provider を初めて使用するときに、ユーザーは移行不可能な基本ユーザー キーを生成することを要求されます。Infineon TPM Strong Cryptographic Provider を使用するには、移行不可能な基本ユーザー キーが必要です。\n\n有効/自動: 新しいユーザーに対して、移行不可能な基本ユーザー キーが、ユーザー初期化の時に自動的に生成されます。既に初期化されたユーザーに対しては、移行不可能な基本ユーザー キーは、要求に応じて生成されます。

無効: 移行不可能な基本ユーザー キーは生成されません。そのため、Infineon TPM Strong Cryptographic Provider は使用できません。

  有効/オンデマンド

スタンドアロン モード バージョン設定

スタンドアロン モード バージョンのみに有効な設定。
ポリシー 説明 既定値
バックアップ警告の発生 有効: Security Platform ユーザーは、ユーザー個別の証明書とキーのバックアップに失敗した場合 (例えば、バックアップの場所にアクセスできない場合)、バルーンによって通知を受けます。次のバックアップ成功までの間の、この通知の発生頻度を指定します。例: バックアップに失敗した後 2 日ごと。

無効: バックアップ失敗の際に通知はありません。

ユーザーは毎日通知を受けます。
ユーザーの設定を許可する 有効/Management Provider とウィザードを許可: ユーザーを、Management Provider インタフェース、クイック初期化ウィザードあるいはユーザー初期化ウィザードを使って初期化することができます。

有効/Management Provider のみ許可: ユーザーは、Management Provider インターフェイスを使ってのみ初期化できます。

無効: ユーザーは初期化できません。

有効/Management Provider とウィザードを許可


©Infineon Technologies AG