\%ALLUSERSPROFILE%\<Application Data>\Infineon\TPM Software 2.0\BackupData\<Machine SID>\System\SHBackupSys.xml
\%ALLUSERSPROFILE%\<Application Data>\Infineon\TPM Software 2.0\BackupData\<Machine SID>\Users\<User SIDs\SHBackup.xml

Файлы ключа пользователя: \%AppData%\Infineon\TPM Software 2.0\UserKeyData\TSPps.xml

Контейнер Cryptographic Service Provider TPM: \%AppData%\Infineon\TPM Software 2.0\UserKeyData\TPMcp.xml

Файл поставщика PKCS #11 TPM: \%AppData%\Infineon\TPM Software 2.0\UserKeyData\TPMck.xml

Файлы настройки пользователя: \%AppData%\Infineon\TPM Software 2.0\UserKeyData\
IFXConfig.xml
IFXFeature.xml

Записи реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Infineon\TPM Software
HKEY_CURRENT_USER\Software\Infineon\TPM software

Следующие записи реестра Personal Secure Drive необходимо удалить вручную при удалении функции безопасности Personal Secure Drive:
[HKEY_LOCAL_MACHINE\SOFTWARE\Infineon\TPM Software\PSD]
[HKEY_CURRENT_USER\SOFTWARE\Infineon\TPM Software\PSD]
 

Каталоги Personal Secure Drive: Кроме того, необходимо вручную удалить следующие каталоги:
x:\Security Platform\Personal Secure Drive\System Data
где х: это диск, на котором расположены Personal Secure Drives. Этот диск либо выбирается во время создания Personal Secure Drives и, таким образом, может быть любым жестким диском, либо определяется локальной политикой пользователя Personal Secure Drive.

Разное:
Зарегистрированные сертификаты, связанные с Trusted Platform Module
Запланированные задачи резервного копирования (например C:\WINDOWS\Tasks\Security Platform Backup Schedule)

После получения сертификата через Internet Explorer, сертификат невозможно использовать. Отображается сообщение об ошибке.

Сертификат заблокирован Internet Explorer, хотя уже сохранен в хранилище пользовательских сертификатов. Закройте и снова запустите Internet Explorer, чтоб разблокировать сертификат.

Функция сжатия папок операционной системы используется для хранения пользовательских данных. Как активировать EFS для данной сжатой папки? Можно ли совмещать эти функции?

Такое совмещение невозможно, поскольку операционная система не разрешает защищать сжатую папку при помощи EFS. Сначала необходимо отменить сжатие. Затем для этой папки можно активировать функцию EFS.

Необходимо изменить сертификат, назначенный папке EFS. Можно ли сделать это без риска для данных, содержащихся в этой папке? Можно ли назначить папке произвольный сертификат?

Обычно, назначить дополнительный сертификат для папки EFS можно. Основным условием является то, что все сертификаты должны находится под управлением одного Cryptographic Service Provider. Пока существует ранее назначенный сертификат или сертификаты, шифрованные данные можно будет прочитать. После того как сертификат, защищающий файл в папке EFS будет удален из системы, соответствующие файлы будут потеряны.

Как подготовить Infineon Security Platform к резервному копированию системы? Какие файлы необходимы для успешного восстановления Infineon Security Platform при помощи системных механизмов?

В основные файлы Infineon Security Platform не входят приложения Infineon Security Platform. Его можно установить вновь, после восстановления резервной копии системы.

Резервное копирование Программного обеспечения решения Infineon Security Platform выполняется при помощи Мастера резервного копирования Infineon Security Platform.
Мастера резервного копирования Infineon Security Platform не выполняет резервного копирования защищенных данных, таких как ваши зашифрованные файлы или электронная почта, резервные копии которых необходимо делать при помощи других инструментов резервного копирования. Вам необходимо включить резервный архив мастера резервного копирования Infineon Security Platform в процедуру текущего резервного копирования данных.

Если вы не используете Мастера резервного копирования Infineon Security Platform для данных Программного обеспечения решения Infineon Security Platform, обязательно сделайте резервную копию данных, указанных в разделе Какая информация остается в системе после удачного удаления? .

Автоматическое резервное копирование системы, настраиваемое администратором Security Platform, включает в себя данные аварийного восстановления. Резервное копирование и восстановление в серверном режиме, выполняется Trusted Computing Management Server.

Как настроить и управлять архивом резервного копирования, особенно с учетом настроек политики?

Вы можете настроить все Security Platforms вашей компании на использование общего Архива резервного копирования, настроив политику Размещение архива резервного копирования.

В случае если необходимо создать новый архив резервного копирования, очень важно не импортировать политики до того, как будет выполнена инициализация первой Infineon Security Platform.

После этого, необходимо начать администрирование политики и политику необходимо корректно настроить, установив расположение ранее созданного архива резервного копирования. В итоге, после того, как будет выполнена инициализация всех Security Platforms компании, сконфигурированный файл будет использоваться автоматически.

Данный раздел не относится к работе в серверном режиме, поскольку Резервное копирование и восстановление выполняется Trusted Computing Management Server.

Как создать архивный файл открытого ключа из файла маркера?

Можно задать параметры политики группы, чтобы открытый ключ существующего маркера аварийного восстановления или маркера смены пароля использовался из архивного файла (см. раздел Системные политики Использовать открытый ключ маркера аварийного восстановления из архива и Использовать открытый ключ маркера смены пароля из архива). Чтобы создать такой архивный файл на основе существующего файла маркера, выполните следующие действия.

• На первой системе (например, на тестовой системе) выполните полную инициализацию платформы (включая аварийное восстановление и смену пароля) с параметрами политики по умолчанию.
  Мастер быстрой инициализации создает общий файл ключа для аварийного восстановления и смены пароля.
  Мастер инициализации платформы создает файл маркера для аварийного восстановления и еще один файл для смены пароля.
• В этой же системе запустите приведенный ниже сценарий, чтобы создать необходимый архивный файл открытого ключа на основе соответствующего файла маркера.
• Скопируйте архивный файл открытого ключа в подходящее место и включите указанные ранее политики.

Сценарий GeneratePubKeyArchive.vbs:
'GeneratePubKeyArchive.vbs <полный путь к маркеру.xml> <путь к PubKeyArchive.xml>
' <полный путь к Token.xml> может быть одним из следующих маркеров:
' - SPPwdResetToken.xml
' - SPEmRecToken.xml
' - SPGenericToken.xml
' <полный путь к PubKeyArchive.xml> — выходной файл, содержащий открытый ключ, извлеченный из исходного маркера:
' - SPPwdResetTokenPubKeyArchive.xml
' - SPEmRecTokenPubKeyArchive.xml
' - SPGenericTokenPubKeyArchive.xml
'Для использования политикой "Использовать открытый ключ маркера аварийного восстановления из архива":
' - SPEmRecTokenPubKeyArchive.xml
' - SPGenericTokenPubKeyArchive.xml
'Для использования политикой "Использовать открытый ключ маркера смены пароля из архива":
' - SPPwdResetTokenPubKeyArchive.xml
' - SPGenericTokenPubKeyArchive.xml
'Обязательно укажите полный путь, например:
' GeneratePubKeyArchive.vbs "c:\tmp\SPGenericToken.xml" "c:\tmp\SPGenericTokenPubKeyArchive.xml"
If WScript.Arguments.Count <> 2 Then
    WScript.Echo "Использование: " & Wscript.ScriptName & " ""<полный путь к Token.xml>"" ""<полный путь к PubKeyArchive.xml>"""
    WScript.Quit
End If
Set MPBase = WScript.CreateObject("IfxSpMgtPrv.MgmtProvider")
Set MPToken = MPBase.GetInterface(10)
' CreationFlags: keep existing file = 0, overwrite existing file = 1
CreationFlags = 0
ReservedFlag = 0
MPToken.CreatePublicKeyFile WScript.Arguments(0), WScript.Arguments(1), CreationFlags, ReservedFlag
'Сюда добавляется обработка ошибок при сбое
WScript.Echo "Готово"

Данный раздел не относится к работе в серверном режиме, поскольку аварийное восстановление и смену пароля выполняет Trusted Computing Management Server.

 

©Infineon Technologies AG