Часто задаваемые вопросы

Infineon Security Platform

Программное решение Infineon Security Platform

Часто задаваемые вопросы (FAQ)

Как удалить пользователя Infineon Security Platform?

Ставит ли безопасность под угрозу хранение данных аварийного восстановления на удаленном компьютере?

Можно ли удалить Программного обеспечения решения Infineon Security Platform и если да, то как?

Какая информация остается в системе после удачного удаления?

После получения сертификата через Internet Explorer, сертификат невозможно использовать. Отображается сообщение об ошибке.

Функция сжатия папок операционной системы используется для хранения пользовательских данных. Как активировать EFS для данной сжатой папки? Можно ли совмещать эти функции?

Необходимо изменить сертификат, назначенный папке EFS. Можно ли сделать это без риска для данных, содержащихся в этой папке? Можно ли назначить папке произвольный сертификат?

Как подготовить Infineon Security Platform к резервному копированию системы? Какие файлы необходимы для успешного восстановления Infineon Security Platform при помощи системных механизмов?

Как настроить и управлять архивом резервного копирования, особенно с учетом настроек политики?

Как создать архивный файл открытого ключа из файла маркера?

Комментарии об EFS относятся только к версиям Windows, поддерживающим EFS.

Как удалить пользователя Infineon Security Platform?

Существует два типа операций удаления:

  • Полное удаление учетной записи пользователя в операционной  системе это простая операция, поддерживаемая Windows. При удалении учетной записи пользователя необходимо отметить флажок удаления профиля пользователя. Эта операция полностью удаляет информацию учетной записи пользователя из системы.

  • Если необходимо удалить только информацию пользователя Infineon Security Platform, оставив в неприкосновенности информацию учетной записи системы, необходимо удалить пользовательскую папку \%AppData%\Infineon\TPM Software 2.0.

Если вы хотите удалить все данные пользователя Security Platform, смотрите список пользовательских данных в разделе Какая информация остается в системе после удачного удаления? .

Если в системе существуют данные, зашифрованные ключом пользователя Infineon Security Platform, расшифровать эти данные после удаления будет невозможно.


Ставит ли безопасность под угрозу хранение данных аварийного восстановления на удаленном компьютере?

Угрозы безопасности нет. Эти данные защищены маркером аварийного восстановления, который в свою очередь защищен паролем маркера аварийного восстановления.

Проблемы безопасности отсутствуют в серверном режиме, так как аварийное восстановление выполняется Trusted Computing Management Server.


Можно ли удалить Программного обеспечения решения Infineon Security Platform и если да, то как?

Его можно удалить при помощи стандартного процесса удаления программного обеспечения, предоставляемого операционной системой. Перед этим, необходимо сохранить все пользовательские данные, защищенные Security Platform. В противном случае, после удаления Программного обеспечения решения Infineon Security Platform из системы, возможности доступа к этим данным не будет. На последнем этапе удаления необходимо выключить Trusted Platform Module через BIOS компьютера.

Новую версию можно установить поверх старой, не удаляя ее. В этом случае, полное резервное копирование данных необязательно.


Какая информация остается в системе после удачного удаления?

После удаления Программного обеспечения решения Security Platform, в системе остается некоторая информация. Благодаря сохранению настроек и учетных записей платформы и пользователей, после повторной установки, состояние системы полностью восстанавливается. Таким образом, после повторной установки программного обеспечения Infineon Security Platform, ранее зашифрованные данные не будут потеряны.

Однако, если эти данные больше не нужны и требуется полная очистка системы, необходимо удалить следующие данные.

Архивы резервного копирования: Расположение автоматически сохраняемого архива резервного копирования указывается администратором. Обратите внимание на то, что автоматически сохраняемый резервный архив представлен XML-файлом и папкой с тем же именем, например файлом SPSystemBackup.xml и папкой SPSystemBackup. Кроме того, могут существовать резервные архивы сохраненные вручную.

Маркер аварийного восстановления: Его расположение определяется владельцем Security Platform во время инициализации Security Platform.

Архив аварийного восстановления:

i) Windows 7 и Vista: \%ALLUSERSPROFILE%\Infineon\TPM Software 2.0\RestoreData\<Machine SID>\Users\<User SIDs>\SHTempRestore.xml

ii) Windows XP Professional, Windows 2000 и другие поддерживаемые операционные системы: \%ALLUSERSPROFILE%\<Application Data>\Infineon\TPM Software 2.0\RestoreData\<Machine SID>\Users\<User SIDs>\SHTempRestore.xml

Системные данные и файлы системных ключей:

i) Windows 7 и Vista: \%ALLUSERSPROFILE%\Infineon\TPM Software 2.0\PlatformKeyData
IFXConfigSys.xml
IFXFeatureSys.xml
TCSps.xml
TPMCPSys.xml

ii) Windows XP Professional, Windows 2000 и другие поддерживаемые операционные системы: \%ALLUSERSPROFILE%\<Application Data>\Infineon\TPM Software 2.0\PlatformKeyData
IFXConfigSys.xml
IFXFeatureSys.xml
TCSps.xml
TPMCPSys.xml

Локальные файлы теневого копирования:

i) Windows 7 и Vista:
\%ALLUSERSPROFILE%\Infineon\TPM Software 2.0\BackupData\<Machine SID>\System\SHBackupSys.xml
\%ALLUSERSPROFILE%\Infineon\TPM Software 2.0\BackupData\<Machine SID>\Users\<User SIDs\SHBackup.xml

ii) Windows XP Professional, Windows 2000 и другие поддерживаемые операционные системы:
\%ALLUSERSPROFILE%\<Application Data>\Infineon\TPM Software 2.0\BackupData\<Machine SID>\System\SHBackupSys.xml
\%ALLUSERSPROFILE%\<Application Data>\Infineon\TPM Software 2.0\BackupData\<Machine SID>\Users\<User SIDs\SHBackup.xml

Файлы ключа пользователя: \%AppData%\Infineon\TPM Software 2.0\UserKeyData\TSPps.xml

Контейнер Cryptographic Service Provider TPM: \%AppData%\Infineon\TPM Software 2.0\UserKeyData\TPMcp.xml

Файл поставщика PKCS #11 TPM: \%AppData%\Infineon\TPM Software 2.0\UserKeyData\TPMck.xml

Файлы настройки пользователя: \%AppData%\Infineon\TPM Software 2.0\UserKeyData\
IFXConfig.xml
IFXFeature.xml


Записи реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Infineon\TPM Software
HKEY_CURRENT_USER\Software\Infineon\TPM software

Следующие записи реестра Personal Secure Drive необходимо удалить вручную при удалении функции безопасности Personal Secure Drive:
[HKEY_LOCAL_MACHINE\SOFTWARE\Infineon\TPM Software\PSD]
[HKEY_CURRENT_USER\SOFTWARE\Infineon\TPM Software\PSD]
 

Каталоги Personal Secure Drive: Кроме того, необходимо вручную удалить следующие каталоги:
x:\Security Platform\Personal Secure Drive\System Data
где х: это диск, на котором расположены Personal Secure Drives. Этот диск либо выбирается во время создания Personal Secure Drives и, таким образом, может быть любым жестким диском, либо определяется локальной политикой пользователя Personal Secure Drive.

Разное:
Зарегистрированные сертификаты, связанные с Trusted Platform Module
Запланированные задачи резервного копирования (например C:\WINDOWS\Tasks\Security Platform Backup Schedule)


После получения сертификата через Internet Explorer, сертификат невозможно использовать. Отображается сообщение об ошибке.

Сертификат заблокирован Internet Explorer, хотя уже сохранен в хранилище пользовательских сертификатов. Закройте и снова запустите Internet Explorer, чтоб разблокировать сертификат.


Функция сжатия папок операционной системы используется для хранения пользовательских данных. Как активировать EFS для данной сжатой папки? Можно ли совмещать эти функции?

Такое совмещение невозможно, поскольку операционная система не разрешает защищать сжатую папку при помощи EFS. Сначала необходимо отменить сжатие. Затем для этой папки можно активировать функцию EFS.


Необходимо изменить сертификат, назначенный папке EFS. Можно ли сделать это без риска для данных, содержащихся в этой папке? Можно ли назначить папке произвольный сертификат?

Обычно, назначить дополнительный сертификат для папки EFS можно. Основным условием является то, что все сертификаты должны находится под управлением одного Cryptographic Service Provider. Пока существует ранее назначенный сертификат или сертификаты, шифрованные данные можно будет прочитать. После того как сертификат, защищающий файл в папке EFS будет удален из системы, соответствующие файлы будут потеряны.


Как подготовить Infineon Security Platform к резервному копированию системы? Какие файлы необходимы для успешного восстановления Infineon Security Platform при помощи системных механизмов?

В основные файлы Infineon Security Platform не входят приложения Infineon Security Platform. Его можно установить вновь, после восстановления резервной копии системы.

Резервное копирование Программного обеспечения решения Infineon Security Platform выполняется при помощи Мастера резервного копирования Infineon Security Platform.
Мастера резервного копирования Infineon Security Platform не выполняет резервного копирования защищенных данных, таких как ваши зашифрованные файлы или электронная почта, резервные копии которых необходимо делать при помощи других инструментов резервного копирования. Вам необходимо включить резервный архив мастера резервного копирования Infineon Security Platform в процедуру текущего резервного копирования данных.

Если вы не используете Мастера резервного копирования Infineon Security Platform для данных Программного обеспечения решения Infineon Security Platform, обязательно сделайте резервную копию данных, указанных в разделе Какая информация остается в системе после удачного удаления? .


  • Автоматическое резервное копирование системы, настраиваемое администратором Security Platform, включает в себя данные аварийного восстановления.
  • Резервное копирование и восстановление в серверном режиме, выполняется Trusted Computing Management Server.


Как настроить и управлять архивом резервного копирования, особенно с учетом настроек политики?

Вы можете настроить все Security Platforms вашей компании на использование общего Архива резервного копирования, настроив политику Размещение архива резервного копирования.

В случае если необходимо создать новый архив резервного копирования, очень важно не импортировать политики до того, как будет выполнена инициализация первой Infineon Security Platform.

После этого, необходимо начать администрирование политики и политику необходимо корректно настроить, установив расположение ранее созданного архива резервного копирования. В итоге, после того, как будет выполнена инициализация всех Security Platforms компании, сконфигурированный файл будет использоваться автоматически.

Данный раздел не относится к работе в серверном режиме, поскольку Резервное копирование и восстановление выполняется Trusted Computing Management Server.


Как создать архивный файл открытого ключа из файла маркера?

Можно задать параметры политики группы, чтобы открытый ключ существующего маркера аварийного восстановления или маркера смены пароля использовался из архивного файла (см. раздел Системные политики Использовать открытый ключ маркера аварийного восстановления из архива и Использовать открытый ключ маркера смены пароля из архива). Чтобы создать такой архивный файл на основе существующего файла маркера, выполните следующие действия.

  • На первой системе (например, на тестовой системе) выполните полную инициализацию платформы (включая аварийное восстановление и смену пароля) с параметрами политики по умолчанию.
    Мастер быстрой инициализации создает общий файл ключа для аварийного восстановления и смены пароля.
    Мастер инициализации платформы создает файл маркера для аварийного восстановления и еще один файл для смены пароля.
  • В этой же системе запустите приведенный ниже сценарий, чтобы создать необходимый архивный файл открытого ключа на основе соответствующего файла маркера.
  • Скопируйте архивный файл открытого ключа в подходящее место и включите указанные ранее политики.

Сценарий GeneratePubKeyArchive.vbs:
'GeneratePubKeyArchive.vbs <полный путь к маркеру.xml> <путь к PubKeyArchive.xml>
' <полный путь к Token.xml> может быть одним из следующих маркеров:
' - SPPwdResetToken.xml
' - SPEmRecToken.xml
' - SPGenericToken.xml
' <полный путь к PubKeyArchive.xml> — выходной файл, содержащий открытый ключ, извлеченный из исходного маркера:
' - SPPwdResetTokenPubKeyArchive.xml
' - SPEmRecTokenPubKeyArchive.xml
' - SPGenericTokenPubKeyArchive.xml
'Для использования политикой "Использовать открытый ключ маркера аварийного восстановления из архива":
' - SPEmRecTokenPubKeyArchive.xml
' - SPGenericTokenPubKeyArchive.xml
'Для использования политикой "Использовать открытый ключ маркера смены пароля из архива":
' - SPPwdResetTokenPubKeyArchive.xml
' - SPGenericTokenPubKeyArchive.xml
'Обязательно укажите полный путь, например:
' GeneratePubKeyArchive.vbs "c:\tmp\SPGenericToken.xml" "c:\tmp\SPGenericTokenPubKeyArchive.xml"
If WScript.Arguments.Count <> 2 Then
    WScript.Echo "Использование: " & Wscript.ScriptName & " ""<полный путь к Token.xml>"" ""<полный путь к PubKeyArchive.xml>"""
    WScript.Quit
End If
Set MPBase = WScript.CreateObject("IfxSpMgtPrv.MgmtProvider")
Set MPToken = MPBase.GetInterface(10)
' CreationFlags: keep existing file = 0, overwrite existing file = 1
CreationFlags = 0
ReservedFlag = 0
MPToken.CreatePublicKeyFile WScript.Arguments(0), WScript.Arguments(1), CreationFlags, ReservedFlag
'Сюда добавляется обработка ошибок при сбое
WScript.Echo "Готово"

Данный раздел не относится к работе в серверном режиме, поскольку аварийное восстановление и смену пароля выполняет Trusted Computing Management Server.


 


©Infineon Technologies AG