|
Infineon Solução do Security Platform |
Solução de Problemas
A seção a seguir descreve os procedimentos para a realização das mais prováveis operações de solução de problemas em uma Infineon Security Platform:
Uma plataforma precisa ser configurada, mas o Trusted Platform Module já tem um proprietário.
 |
bservações sobre o EFS não são relevantes para edições Windows Home editions, uma vez que o EFS não é suportado nesses sistemas operacionais. |
Uma plataforma precisa ser configurada, mas o Trusted Platform Module já tem um proprietário.
Neste caso o atual Proprietário da Security Platform será usado para inicializar a Security Platform. Requer o conhecimento da atual Senha do Proprietário ou acesso ao Arquivo de Backup da Senha do Proprietário correspondente.
Esta é uma situação típica em um sistema multi-ambientado, onde há mais de uma instalação do sistema operacional em um computador. O Proprietário da Infineon Security Platform ("Storage Root Key", SRK) não pode sair do Trusted Platform Module e não pode ser introduzido de fora, portanto, a operação de "importação" não é possível.
Dependendo da existência de Chaves de Usuário Básico, uma abordagem diferente durante a Inicialização da Security Platform é necessária.
Se nenhuma Chave de Usuário Básico tiver sido criada na Security Platform, um novo Arquivo de Backup (contendo dados de Recuperação de Emergência) pode ser criado. Então a Infineon Security Platform está pronta para outras operações.
Caso existam Chaves de Usuário Básico e um Arquivo de Backup (contendo dados de Recuperação de Emergência) esteja configurado, é muito importante não substituir este arquivo durante a inicialização da Security Platform.
Em modo servidor, antes de conectar o sistema ao Trust Domain, você primeiro precisa remover o proprietário, caso já exista algum. Então, a Security Platform será automaticamente inscrita no Trust Domain (Consulte Inscrição da Platform).
 |
A Infineon Security Platform foi configurada, mas o Proprietário da Infineon Security Platform foi alterado.
Se a Security Platform tiver sido configurada com Recuperação de Emergência, as credenciais da sua Security Platform podem ser reativadas através do uso do Suporte de Recuperação de Emergência da Solução Security Platform.
Antes da conexão do sistema ao Trust Domain, o Trusted Platform Module, em modo servidor, não deve ter proprietário, ou seja, ele ainda não deve ter sido inicializado (quer pelo Infineon TPM Professional Package em modo independente, pelo servidor Trusted Domain em modo servidor ou por qualquer outro software como o Gerenciamento do Trusted Platform Module (TPM) do Windows Vista.
|
O que deve ser considerado para a Recuperação de Emergência usando o Assistente de Inicialização da Infineon Security Platform?
A Recuperação de Emergência de um sistema pode ser realizada se o seu Trusted Platform Module tiver sido substituído ou redefinido e uma imagem de backup que o habilite a restaurar os seus dados estiver disponível. O backup dos dados específicos de usuário da Security Platform relacionados e os dados de Recuperação de Emergência é realizado automaticamente pelos backups de sistema.
O Administrador da Infineon Security Platform deve ter acesso ao Arquivo de Backup e ao Token de Recuperação de Emergência criado quando o sistema foi configurado, e deve conhecer a senha que protege esse token.
O Administrador da Infineon Security Platform deve restaurar o sistema, iniciando o Assistente de Backup da Infineon Security Platform.
Se a recuperação for realizada em um computador com o nome alterado, o nome anterior do computador ou a ID da plataforma do computador (SID) deve ser conhecida. É possível que haja dados de recuperação de vários computadores no arquivo de backup. Neste caso, você deve selecionar um computador do arquivo de backup a ser restaurado.
No modo de servidor, a Recuperação de Emergência é administrada pelo Trusted Computing Management Server.
|
Um documento armazenado em uma pasta EFS protegida precisa ser restaurado de um backup de sistema. O Usuário da Infineon Security Platform não existe no sistema de destino. Como resolver essa situação?
Se a Chave de Usuário Básico não mais estiver disponível e nenhum certificado de recuperação (para um agente de recuperação) tiver sido configurado, o documento está definitivamente perdido.
Senão, o primeiro passo é restaurar o arquivo do backup. Isso é feito sem tocar nas propriedades relevantes de segurança do arquivo. Em um próximo passo, o certificado de recuperação deve ser usado para habilitar um agente de recuperação para decodificar o arquivo.
|
Um aplicativo geralmente usado cria arquivos temporários fora das pastas temp padrão. Geralmente, todas as pastas temp não são protegidas pelo EFS. Como os arquivos temp deste aplicativo podem ser protegidos, especialmente uma vez que esses arquivos permanecem no disco rígido quando o aplicativo é fechado?
Este é um problema comum para muitos aplicativos. Dependendo do aplicativo, pode ser que arquivos temporários sejam criados fora das pastas EFS configuradas. Quando esta não é a pasta %AppData% comum no perfil do usuário (geralmente nomeada "Dados do Aplicativo"), é uma função específica do aplicativo e nenhuma afirmação geral pode ser feita sobre como lidar com a situação. Uma vez que a localização seja conhecida (e uma configuração da pasta não seja suportada pelo aplicativo), a aplicação da segurança EFS na respectiva pasta pode ser uma solução. Quando esta abordagem não for possível, pelo menos a deleção desses arquivos no fechamento do aplicativo deve ser garantida.
Maiores informações de solução de problemas para o Sistema de Criptografia de Arquivo estão disponíveis na Microsoft Developer Network (MSDN).
|
Quando um Usuário da Infineon Security Platform acessa uma pasta EFS pela primeira vez, a senha da Chave de Usuário Básico é solicitada. Se este diálogo for cancelado e for configurado um agente de recuperação, o usuário ainda poderá acessar os dados na pasta do EFS, desde que a chave particular do agente de recuperação esteja disponível ao usuário. Esse é um erro no sistema?
Este comportamento acontece devido ao projeto do agente de recuperação. Quando um certificado de recuperação é configurado para uma pasta EFS, este certificado é usado pelo agente de recuperação quando a pasta é acessada pela primeira vez. Dependendo do fato do computador ser um domínio ou não, existem soluções diferentes:
O computador é um domínio: Aqui o administrador cuida da atribuição do certificado. Se não houver nenhuma atribuição a um Usuário específico da Infineon Security Platform, o comportamento descrito não ocorrerá.
O computador está executando o Windows 2000 e não é membro de um domínio: Um modo possível é não deixar a chave particular do agente de recuperação disponível para usuários normais da Security Platform.
O computador está executando outro sistema operacional e não é membro de um domínio: Neste caso o certificado de recuperação normalmente não existe, então o comportamento não deve ocorrer.
|
©Infineon Technologies AG