Perguntas Freqüentes

Infineon Security Platform

previous page next page

Solução Infineon Security Platform

Perguntas Freqüentes (FAQ)

Como um Usuário da Infineon Security Platform pode ser removido?

Armazenar os dados de Recuperação de Emergência em um aparelho remoto é um problema de segurança?

O Software Solução Infineon Security Platform pode ser desinstalado e, se puder, como fazê-lo?

Que informações permanecem no sistema após uma desinstalação bem sucedida?

Após o registro de um certificado usando o Internet Explorer, o certificado não pode ser usado. Uma mensagem de erro é exibida.

A função do sistema operacional para compressão de pasta é usada para armazenar os dados do usuário. Como o EFS pode ser ativado para esta pasta comprimida? É possível combinar funções?

O certificado atribuído a uma pasta EFS precisa ser alterado. É possível fazê-lo sem risco para os dados desta? É possível atribuir um certificado arbitrário à pasta?

Como uma Infineon Security Platform pode ser preparada para um backup de sistema bem sucedido? Que arquivos são essenciais para uma restauração bem sucedida de uma Infineon Security Platform usando mecanismos de sistema?

Como configurar e lidar com o arquivo de backup no que se refere às configurações de política?

Como criar um arquivo de chave pública a partir de um arquivo de token?

Os comentários no EFS são relevantes apenas para edições do Windows com suporte a EFS.

Como um Usuário da Infineon Security Platform pode ser removido?

Há dois tipos diferentes de operações de remoção:

  • A remoção completa de uma conta de usuário do sistema operacional é uma operação direta suportada pelo Windows. Quando uma conta de usuário é removida, caixa de seleção para remoção do perfil do usuário deve ser marcada. Esta operação remove completamente as informações da conta do usuário do sistema.

  • Para remover apenas as informações do Usuário da Infineon Security Platform sem tocar nas informações de conta do sistema, a pasta específica do usuário \%AppData%\Infineon\TPM Software 2.0 deve ser deletada.

Se você deseja remover todos os dados relacionados a um Usuário da Security Platform, por favor, consulte os dados específicos de usuário listados na seção Que informações permanecem no sistema após uma desinstalação bem sucedida. .

Caso haja algum dado no sistema que tenha sido criptografado com uma chave específica de Usuário da Infineon Security Platform, este dado não pode ser decodificado depois que a conta do usuário tiver sido removida.

Armazenar os dados de Recuperação de Emergência em um aparelho remoto é um problema de segurança?

Não há problema de segurança. O dado é protegido pelo Token de Recuperação de Emergência, o qual, por sua vez, é protegido pela senha do Token de Recuperação de Emergência.

No modo de servidor, não há problema de segurança, pois a Recuperação de Emergência é administrada pelo Trusted Computing Management Server.

O Software Solução Infineon Security Platform pode ser desinstalado e, se puder, como fazê-lo?

Ele pode ser desinstalado através do processo de remoção padrão oferecido pelo sistema operacional. Antes de fazê-lo, todos os dados de usuário protegidos pela Security Platform devem ser salvos. Sem salvar, não haverá oportunidade de acessar esses dados após a remoção do Software Solução Security Platform do sistema. A última etapa é desativar o Trusted Platform Module no BIOS do computador.

Uma nova versão pode ser instalada em uma mais antiga, sem necessidade de desinstalação da mesma. Neste caso, um backup completo dos dados do usuário não é necessário.

Que informações permanecem no sistema após uma desinstalação bem sucedida?

Se o Software Solução Security Platform é desinstalado, algumas informações são mantidas no sistema. Com a manutenção das configurações e credenciais da plataforma e do usuário, após uma reinstalação o sistema terá o mesmo estado de antes. Desta forma, nenhum dado criptografado anteriormente será perdido após uma reinstalação do Software Infineon Security Platform.

Entretanto, caso esses dados não sejam mais necessários e o sistema deva ser completamente limpo, os dados a seguir devem ser deletados.

Arquivos de Backup: A localização de Arquivos de Backup gravados automaticamente é especificada pelos administradores. Por favor, note que um Arquivo de Backup gravado automaticamente é representado no sistema de arquivos por um arquivo XML e uma pasta com o mesmo nome, por exemplo, arquivo SPSystemBackup.xml e pasta SPSystemBackup. Além disso, pode haver alguns Arquivos de Backup gravados manualmente.

Token de Recuperação de Emergência: A localização é especificada pelo Proprietário da Security Platform durante a inicialização da Security Platform.

Arquivo de Restauração de Emergência:

i) Windows 7 e Vista: \%ALLUSERSPROFILE%\Infineon\TPM Software 2.0\RestoreData\<Machine SID>\Users\<User SIDs>\SHTempRestore.xml

ii) Windows XP Professional, Windows 2000 e outros sistemas operacionais suportados: \%ALLUSERPROFILE%\<Application Data>\Infineon\TPM Software 2.0\RestoreData\<Machine SID>\Users\<User SIDs>\SHTempRestore.xml

Dados de Sistema e Arquivos de Chaves de Sistema:

i) Windows 7 e Vista: \%ALLUSERSPROFILE%\Infineon\TPM Software 2.0\PlatformKeyData
IFXConfigSys.xml
IFXFeatureSys.xml
TCSps.xml
TPMCPSys.xml

ii) Windows XP Professional, Windows 2000 e outros sistemas operacionais suportados: \%ALLUSERPROFILE%\<Application Data>\Infineon\TPM Software 2.0\PlatformKeyData
IFXConfigSys.xml
IFXFeatureSys.xml
TCSps.xml
TPMCPSys.xml

Arquivos de Backup de Sombra Locais:

i) Windows 7 e Vista:
\%ALLUSERSPROFILE%\Infineon\TPM Software 2.0\BackupData\<Machine SID>\System\SHBackupSys.xml
\%ALLUSERSPROFILE%\Infineon\TPM Software 2.0\BackupData\<Machine SID>\Users\<User SIDs\SHBackup.xml

ii) Windows XP Professional, Windows 2000 e outros sistemas operacionais suportados:
\%ALLUSERPROFILE%\<Application Data>\Infineon\TPM Software 2.0\BackupData\<Machine SID>\System\SHBackupSys.xml
\%ALLUSERPROFILE%\<Application Data>\Infineon\TPM Software 2.0\BackupData\<Machine SID>\Users\<User SIDs\SHBackup.xml

Arquivos de Chave de Usuário: \%AppData%\Infineon\TPM Software 2.0\UserKeyData\TSPps.xml

Recipiente do TPM Cryptographic Service Provider: \%AppData%\Infineon\TPM Software 2.0\UserKeyData\TPMcp.xml

Arquivo TPM PKCS #11 Provider: \%AppData%\Infineon\TPM Software 2.0\UserKeyData\TPMck.xml

Arquivos de Configuração de Usuário: \%AppData%\Infineon\TPM Software 2.0\UserKeyData\
IFXConfig.xml
IFXFeature.xml

Chaves de registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Infineon\TPM Software
HKEY_CURRENT_USER\Software\Infineon\TPM software

As seguintes chaves de registro da Personal Secure Drive devem ser deletadas manualmente quando a função de segurança da Personal Secure Drive é desinstalada:
[HKEY_LOCAL_MACHINE\SOFTWARE\Infineon\TPM Software\PSD]
[HKEY_CURRENT_USER\SOFTWARE\Infineon\TPM Software\PSD]
 

Diretórios da Personal Secure Drive: Além disso, os seguintes diretórios devem ser deletados manualmente:
x:\Security Platform\Personal Secure Drive\System Data
onde x: é a unidade onde as Personal Secure Drives estão localizadas. Esta unidade ou é selecionada durante a criação da Personal Secure Drive e pode, portanto, ser qualquer disco rígido local ou então é definida pela política de usuário local da Personal Secure Drive.

Miscelânea:
Certificados registrados baseados no Trusted Platform Module
Tarefa Agendada de Backup (por exemplo, C:\WINDOWS\Tasks\Security Platform Backup Schedule)

Após o registro de um certificado usando o Internet Explorer, o certificado não pode ser usado. Uma mensagem de erro é exibida.

O certificado é bloqueado pelo Internet Explorer, embora já esteja armazenado no local de armazenagem de certificados do usuário. Feche o Internet Explorer e o abra novamente para desbloquear o certificado.

A função do sistema operacional para compressão de pasta é usada para armazenar os dados do usuário. Como o EFS pode ser ativado para esta pasta comprimida? É possível combinar funções?

Uma combinação não é possível, uma vez que o sistema operacional não permite que uma comprimida também seja uma pasta protegida pelo EFS. Primeiro, a compressão deve ser revogada. Então a funcionalidade EFS pode ser ativada para a pasta.

O certificado atribuído a uma pasta EFS precisa ser alterado. É possível fazê-lo sem risco para os dados desta? É possível atribuir um certificado arbitrário à pasta?

Geralmente, atribuir um certificado adicional a uma pasta EFS não é problema. A principal condição limitante é que todos os certificados devem estar sob o controle do mesmo Cryptographic Service Provider. Contanto que o(s) certificado(s) atribuídos anteriormente exista(m), os dados criptografados ainda serão legíveis. Uma vez que um certificado de proteção de um arquivo em uma pasta EFS é removido do sistema, os respectivos arquivos são perdidos.

Como uma Infineon Security Platform pode ser preparada para um backup de sistema bem sucedido? Que arquivos são essenciais para uma restauração bem sucedida de uma Infineon Security Platform usando mecanismos de sistema?

Os arquivos centrais da Infineon Security Platform não incluem os aplicativos do Software Infineon Security Platform. Ele pode ser reinstalado após a restauração de um backup do sistema.

O backup dos dados específicos do Software Solução Infineon Security Platform é realizado usando o Assistente de Backup da Infineon Security Platform.
O Assistente de Backup da Infineon Security Platform não realiza o backup de dados ou e-mail protegidos, cujo backup deve ser feito com o uso de outras ferramentas de backup. Você deve incluir o Arquivo de Backup do Assistente de Backup da Infineon Security Platform no seu backup rotineiro de dados massivos.

Se você não usar o Assistente de Backup da Infineon Security Platform para os dados específicos do Software Solução Security Platform, por favor, certifique-se de fazer o backup de todos os dados listados na seção Que informações permanecem no sistema após uma desinstalação bem sucedida permanecem no sistema após uma desinstalação bem sucedida? .


  • Os backups automáticos de sistema configurados pelo Security Platform Administrador também incluem dados de Recuperação de Emergência.
  • No modo de servidor, o Backup e Restauração é administrado pelo Trusted Computing Management Server.

Como configurar e lidar com o arquivo de backup no que se refere às configurações de política?

É possível configurar todas as Security Platforms da empresa para que usem um arquivo de backup comum definindo a política Local do Arquivo de Backup.

Caso seja necessário criar um novo arquivo de backup, é muito importante não importar as políticas antes da primeira Infineon Security Platform ter sido inicializada.

Depois disso, a administração da política deve ser iniciada e a política dever ser configurada corretamente determinando a localização do Arquivo de Backup criado anteriormente. No final, quando as outras Security Platforms da empresa forem inicializadas, o arquivo configurado será usado automaticamente.

Esta seção não se aplica ao modo servidor, pois o backup e a recuperação ficarão serão feitos pelo Trusted Computing Management Server.

Como criar um arquivo de chave pública a partir de um arquivo de token?

Você pode especificar na configurações de política de grupo que a chave pública de um Token de Recuperação de Emergência ou Token de Renovação de Senha seja usada a partir de um arquivo (consulte Políticas do Sistema Usar a chave pública de Token de Recuperação de Emergência do arquivo e Usar a chave pública de Token de Renovação da Senha a partir do arquivo). Para criar esse arquivo a partir de um arquivo de token, execute os seguintes passos:

  • Inicialize completamente a plataforma (incluindo Recuperação de Emergência e Renovação da Senha) com configurações de políticas no primeiro sistema (por exemplo, em um sistema de teste).
    O Assistente de Inicialização Rápida cria um arquivo de token genérico para Recuperação de Emergência e Renovação da Senha.
    O Assistente de Inicialização da Platform cria um arquivo de token para Recuperação de Emergência e um para Renovação de Senha.
  • Execute o script anexado abaixo no mesmo sistema para criar o arquivo de chave pública requerido a partir do arquivo de token correspondente.
  • Copie o arquivo de chave pública para um local adequado e habilite as políticas mencionadas acima.

Script GeneratePubKeyArchive.vbs:
'GeneratePubKeyArchive.vbs <Caminho completo para Token.xml> <Caminho completo para PubKeyArchive.xml>
'O <Caminho completo para Token.xml> pode ser um dos seguintes tokens:
' - SPPwdResetToken.xml
' - SPEmRecToken.xml
' - SPGenericToken.xml
'O <Caminho completo para PubKeyArchive.xml> é a saída, que contém a chave pública extraída do token de entrada:
' - SPPwdResetTokenPubKeyArchive.xml
' - SPEmRecTokenPubKeyArchive.xml
' - SPGenericTokenPubKeyArchive.xml
'Para uso pela política "Usar chave pública para Token de Recuperação de Emergência de arquivo":
' - SPEmRecTokenPubKeyArchive.xml
' - SPGenericTokenPubKeyArchive.xml
'Para uso pela política "Usar chave pública de Token de Renovação de Senha de arquivo":
' - SPPwdResetTokenPubKeyArchive.xml
' - SPGenericTokenPubKeyArchive.xml
'Certifique-se de especificar o caminho completo, por exemplo:
' GeneratePubKeyArchive.vbs "c:\tmp\SPGenericToken.xml" "c:\tmp\SPGenericTokenPubKeyArchive.xml"
If WScript.Arguments.Count <> 2 Then
    WScript.Echo "Uso: " & Wscript.ScriptName & " ""<Caminho completo para Token.xml>"" ""<Caminho completo para PubKeyArchive.xml>"""
    WScript.Quit
End If
Set MPBase = WScript.CreateObject("IfxSpMgtPrv.MgmtProvider")
Set MPToken = MPBase.GetInterface(10)
' CreationFlags: keep existing file = 0, overwrite existing file = 1
CreationFlags = 0
ReservedFlag = 0
MPToken.CreatePublicKeyFile WScript.Arguments(0), WScript.Arguments(1), CreationFlags, ReservedFlag
'Error Handling if failing to be added here
WScript.Echo "Concluído"

Esta seção não se aplica ao modo servidor, pois a Recuperação de Emergência e a Renovação de Senha são manipuladas pelo Trusted Computing Management Server.

 


©Infineon Technologies AG

previous page start next page