Infineon Security Platform 솔루션 - 정책 관리 |
Infineon Security Platform 시스템 정책
Infineon Security Platform 솔루션 소프트웨어는 다음과 같은 컴퓨터 정책 설정을 지원합니다.
서버 모드에서는 시스템 정책이 Trusted Computing Management Server를 통해 도메인 관리자에 의해 도메인 단위로 구성됩니다. 서버 모드에서만 유효한 설정은 Trusted Computing Management Server에서 제공하는 관리 템플릿 파일에 설명되어 있습니다. |
기본값: 전에 명시적으로 정책을 설정하지 않았으면(즉, 로컬 그룹 정책 편집기에 구성되지 않음 상태가 표시됨) Security Platform 솔루션 소프트웨어가 내부적으로 기본값을 적용합니다. |
모든 버전 설정
독립 모드 버전과 서버 모드 버전에 모두 적용되는 설정.정책 | 설명 | 기본값 |
TPM 등록 준비 | 활성화됨: 비활성화된 Trusted Platform Module이 있고 현실 공간 인터페이스(PPI)를 지원하는 초기화되지 않은 플랫폼에서는 Trusted Platform Module이 활성화되도록 자동으로 준비됩니다. 활성화를 마칠 수 있도록 사용자에게 안내합니다. 비활성화됨: Trusted Platform Module 을 활성화하고 사용할 것인지를 묻는 메시지가 표시되지 않습니다. |
비활성화됨 |
관리자가 원격으로 플랫폼 키를 사용하도록 허용 | 활성화됨: 관리자가 로컬뿐 아니라 원격으로도 플랫폼 키를 사용할 수 있습니다. 비활성화됨: 원격으로 시스템 키를 사용할 수 없습니다. 개인 보 보호를 위하여 Trusted Computing Group(TCG) 내의 논의에 따라 이 키에 대한 액세스가 제한됩니다. 이런 식으로 Security Platform을 식별할 수 있도록 하는 모든 키가 원격 액세스에 대하여 숨겨집니다. 이 정책을 적용하려면 포함된 모든 컴퓨터가 신뢰된 도메인의 구성원이어야 합니다. 이 정책은 도메인 구성원을 지원하는 운영 체제에만 적용됩니다. Security Platform 관리 및 작업이 이 설정에 의해 제한되지는 않습니다. |
비활성화됨 |
보호되지 않은 TPM NV 메모리 읽기 허용 | Trusted Platform Module 1.2에 저장된 보호되지 않은 비휘발성(NV) 메모리를 읽을 수 있는 사용자를 결정합니다. NV 메모리에는 중요한 데이터가 저장되어 있을 수 있습니다. 활성화됨: 보호되지 않은 NV 데이터를 로컬 관리자가만 읽을 수 있게 할 것인지, 로컬 및 원격 관리자가가 읽을 수 있게 할 것인지, 모든 로컬 사용자가 읽을 수 있게 할 것인지 아니면 모든 사용자가 읽을 수 있게 할 것인지를 지정하십시오. 비활성화됨: 보호되지 않은 NV 데이터를 사용자가 읽을 수 없습니다. 이 정책은 Trusted Platform Module 1.2가 설치된 Security Platform에만 적용됩니다. Security Platform 관리 및 작업은 이 설정에 의해 제한되지 않습니다. |
활성화됨/로컬 관리자가 |
암호 공격 임계값 구성 | 암호 공격에 대한 보안 조치를 취하기 전까지 허용되는 Trusted Platform Module 인증 시도 횟수를 결정합니다. 활성화됨: 암호 공격에 대한 보안 조치를 취하기 전까지 키(예: Security Platform 사용자 인증에 사용) 및 소유자에 대하여 그리고 차단된 데이터(예: PIN과 함께 Windows BitLocker에 의해 사용되는) 액세스에 대하여 허용할 인증 시도 횟수를 지정하십시오. 비활성화됨: 암호 공격 임계값을 구성할 수 없습니다. 기본값이 사용됩니다.
이 정책은 Infineon Trusted Platform Module 1.2가 설치된 Security Platform에만 적용됩니다. 이 정책은 Security Platform 초기화 이전에 설정해야 합니다. 이후에 이 정책이 변경되면 다음 보안 레벨이 재설정된후만 적용됩니다. |
활성화됨 소유자: 3 회 시도 키: 5회 시도 데이터: 10회 시도 |
엄격한 암호 입력란 보안 활성화 | 활성화됨: 암호 입력란에서 암호를 잘라내고 복사하고 붙여넣고 눈으로 볼 수 있도록 표시하는 기능을 사용할 수 없습니다. 비활성화됨: 암호 입력란에서 붙여넣기 기능을 사용할 수 있습니다. 또한, 입력란에서 암호를 볼 수 있을 때는 잘라내기와 복사 작업도 할 수 있습니다. |
비활성화됨 |
절전 상태로 들어갈 때 키 제거 | 활성화됨: 컴퓨터가 대기(S3) 또는 최대 절전(S4) 모드의 절전 상태로 들어가기 전에 Security Platform 키가 제거됩니다. 따라서 절전 상태 중에 보안 레벨이 높아집니다. 절전 상태에서 원래 상태로 돌아가면 Security Platform 기능을 사용하기 위해 다시 사용자 인증이 필요합니다. |
활성화됨 |
향상된 인증 제공업체 | 활성화됨: 향상된 인증 제공자 클래스 ID(CLSID)를 입력하고 CLSID가 여러 개인 경우에는 세미콜론으로 구분하십시오. |
비활성화된 것처럼 작동합니다. |
관리자가 원격으로 소유권을 받도록 허용 | 활성화됨: 컴퓨터에 대한 소유권을 받을 때 로컬 관리자가 없어도 됩니다. 대규모 네트워크에서 클라이언트를 설정할 때 이 기능이 특히 유용할 수 있습니다. 비활성화됨: 원격으로 소유권을 받을 수 없습니다. 이 정책을 적용하려면 포함된 모든 컴퓨터가 신뢰된 도메인의 구성원이어야 합니다. 이 정책은 도메인 구성원을 지원하는 운영 체제에만 적용됩니다. |
비활성화됨 |
관리자가 원격으로 SRK 공개 키를 검색하도록 허용 |
Trusted Platform Module에 저장된 Storage Root Key(SRK)의 공개 키를 읽을 수 있는 사용자를 결정합니다. SRK 공개 키를 통해 Security Platform을 식별할 수 있기 때문에 이 키는 특별히 보호해야 합니다. 활성화됨: 관리자가가 로컬뿐 아니라 원격으로도 SRK 공개 키를 검색할 수 있습니다. 비활성화됨: 원격으로 SRK 공개 키를 검색할 수 없습니다.
자동 내보내기 및 인증 마이그레이션 단계를 수행하려면 마이그레이션 대상 컴퓨터에 대하여 이 설정 활성화되어야 합니다. |
비활성화됨 |
독립 모드 버전 설정
독립 모드 버전에만 적용되는 설정.정책 | 설명 | 기본값 |
소유자 암호 - 최소 암호 길이 | 활성화됨: 원하는 최소 소유자 암호 길이를 입력하십시오(예: 이후에 설정되거나 변경되는 소유자 암호에 최소 암호 길이가 적용됩니다. 비활성화됨: 최소 암호 길이는 6자입니다. 이 설정은 독립형 Security Platform 에 설정된 소유자 암호에만 적용됩니다. Trusted Computing Management Server 를 통해 설정된 소유자 암호에 대한 최소 암호 길이가 동일한 이름의 Trusted Computing Management Server 정책에 의해 설정됩니다. 암호 처리에 대한 자세한 설명 |
활성화됨, 6자 |
소유자 암호 - 암호가 복잡성 요구 사항을 충족시켜야 함 | 활성화됨: 이후에 설정되거나 변경되는 소유자 암호에 암호 복잡성 요구 사항이 적용됩니다. 비활성화됨: 암호 복잡성 요구 사항이 적용되 않습니다. 이 설정은 독립형 Security Platform 에 설정된 소유자 암호에만 적용됩니다. Trusted Computing Management Server 를 통해 설정된 소유자 암호에 대한 복잡성 요구 사항이 동일한 이름의 Trusted Computing Management Server 정책에 의해 설정됩니다. 암호 복잡성에 대한 자세한 설명 |
비활성화됨 |
플랫폼 등록 허용 | 활성화됨/관리 인터페이스 및 마법사 허용: 관리자가 초기화를 위하여 Security Platform 초기화 마법사와 management provider 인터페이스를 사용할 수 있습니다. 활성화됨/관리 업체 인터페이스만 허용: 관리자가 management provider 인터페이스만 열 수 있고 Security Platform 초기화 마법사는 실행할 수 없습니다. 비활성화됨: 플랫폼을 초기화할 수 없습니다. |
활성화됨/Management Provider 및 마법사 허용 |
응급 복구를 포함한 백업 강제 구성 | 활성화됨: Security Platform 초화 프로세스에서 반드시 자동 백업을 구성해야 합니다(응급 복구 포함). 자동 백업을 구성하지 않고 이미 Security Platform이 초기화되었으면 자동 백업을 구성하지 않아도 됩니다. 비활성화됨: 반드시 자동 백업을 구성하지 않아도 됩니다. Security Platform 초기화 후에 설정 도구 - 백업 - 구성... 을 통해 백업을 구성할 수 있습니다. . |
비활성화됨 |
백업 보관 파일 위치 | 활성화됨: 파일 이름을 포함한 경로를 입력하십시오(예: \\BackupServer\SecurityPlatformShare\SPSystemBackup.xml). 이 대상 경로는 백업 기능이 구성될 때 강제로 설정됩니다. XML 파일과 동일한 이름의 폴더로 구성된 자동으로 만들어지는 백업 보관 파일이 만들어집니다, 예: SPSystemBackup.xml 파일 및 SPSystemBackup 폴더. 백업 기능이 이미 구성되었으면 재구성하기 전까지 기존의 백업 경로가 그대로 유지됩니다. 모든 Security Platform PC에서 액세스할 수 있는 유효한 경로를 입력하십시오. 그렇지 않으면 백업 구성에 실패하게 됩니다. 비활성화됨: 백업 기능을 구성할 때 백업 대상 경로를 원하는 대로 지정할 수 있습니다. |
비활성화됨 |
바로 시스템 백업 강제 실행 | 활성화됨: 중요한 Security Platform 데이터가 변경된 후에 바로 시스템 백업 보관 파일이 업데이트됩니다. 사전 조건: 자동 백업이 구성되어야 합니다. 또한, 시스템 백업 보관 파일에 대한 쓰기 액세스 권한이 있어야 합니다. 비활성화됨: 중요한 Security Platform 데이터가 변경된 후에 바로 시스템 백업 보관 파일이 업데이트되지 않습니다. 자동 백업이 구성되고 시스템 백업 보관 파일에 대한 쓰기 액세스 권한이 있으면 다음에 예약된 시스템 백업이 실행될 때 보관 파일이 업데이트됩니다. |
활성화됨 |
보관 파일에 포함된 응급 복구 토큰의 공개 키 사용 | 활성화됨: 공개 키 파일 이름을 포함한 경로를 입력하십시오(예: \\ServerName\FolderName\FileName.xml). 응급 복구를 구성할 때 이 경로가 강제로 설정됩니다. Security Platform PC에 이미 응급 복구가 구성되었으면 이 설정이 이 PC에 영향을 주지 않습니다. 모든 Security Platform PC에서 액세스할 수 있는 유효한 경로를 입력하십시오. 그렇지 않으면 응급 복구 구성에 실패하게 됩니다. 비활성화됨: 응급 복구 토큰은 응급 복구가 구성된 경우에만 생성 또는 선택됩니다. 응급 복구 구성에 대한 자세한 설명토큰 파일로부터 어떻게 공개 키 보관 파일을 생성해야 하나요? |
비활성화됨 |
암호 재설정 강제 구성 | 활성화됨: Security Platform 초기화 프로세스에서 반드시 암호 재설정을 구성해야 합니다. 암호 재설정을 구성하지 않고 이미 Security Platform이 초기화되었으면 암호 재설정을 구성하지 않아도 됩니다. 비활성화됨: 반드시 암호 재설정을 구성하지 않아도 됩니다. Security Platform 초기화 후에 설정 도구 - 암호 재설정 - 구성... 을 통해 암호 재설정을 구성할 수 있습니다. . |
비활성화됨 |
보관 파일에 포함된 암호 재설정 토큰의 공개 키 사용 | 활성화됨: 공개 키 파일 이름을 포함한 경로를 입력하십시오(예: \\ServerName\FolderName\FileName.xml). 암호 재설정을 구성할 때 이 경로가 강제로 설정됩니다. Security Platform PC에 이미 암호 재설정이 구성되었으면 이 설정이 이 PC에 영향을 주지 않습니다. 모든 Security Platform PC에서 액세스할 수 있는 유효한 경로를 입력하십시오. 그렇지 않으면 암호 재설정 구성에 실패하게 됩니다. 비활성화됨: 암호 재설정 토큰은 암호 재설정이 구성된 경우에만 생성 또는 선택됩니다. 암호 재설정 구성에 대한 자세한 설명토큰 파일로부터 어떻게 공개 키 보관 파일을 생성해야 하나요? |
비활성화됨 |
이전 제품 버전 설정
이전 제품 버전에만 적용되는 설정.정책 | 설명 | 기본값 |
응급 복구 보관 파일의 위치 | 이 설정은 이전의 Security Platform 솔루션 소프트웨어 버전에만 적용됩니다. 이전 버전에서는 Security Platform 초기화 중에 명시적으로 응급 복구 보관 파일의 위치를 설정할 수 있었습니다. 이 정책을 사용하면 파일 위치를 강제 설정할 수 있었습니다. 현재 버전에서는 파일 위치가 자동으로 설정됩니다. |
--- |
인증서 등록을 위하여 마법사에서 시작할 URL | 사용자 정책을 참조하십시오. |
비활성화됨 |
ⓒInfineon Technologies AG