Системные политики Infineon Security Platform

Infineon Security Platform

Программное решение Infineon Security Platform. Администрирование политик

Системные политики Infineon Security Platform

Программное обеспечение решения Infineon Security Platform поддерживает следующие параметров политики компьютера.

В серверном режиме конфигурирование системных политик осуществляется для всего домена администратором домена с помощью Trusted Computing Management Server. Учтите, что параметры, которые действительны только для режима сервера, описаны в файле административного шаблона, предоставленном Trusted Computing Management Server.
Значение по умолчанию: Если политика не была настроена ранее (например, локальный редактор групповой политики отображает статус Не настроена), тогда Программное обеспечение решения Security Platform автоматически применяет значение по умолчанию.

Настройки для всех версий

Настройки, действительные как для версий автономного режима, так и для версий серверного.
Политика Описание Значение по умолчанию
Подготовьте регистрацию TPM Включено: На неинициализированных платформах с отключенными Trusted Platform Module и поддержкой физического интерфейса (PPI), Trusted Platform Module автоматически подготавливается к включению. Пользователь получит инструкции для завершения включения.

Отключено: Trusted Platform Module не подготовлен к автоматическому включению.

Отключено
Разрешить администратору удаленное использование ключей платформы Включено: Администратор может использовать ключ платформы не только локально, но и удаленно.

Отключено: Удаленное использование ключей платформы запрещено. Для конфиденциальности, доступ к этим ключам ограничен в соответствие с решениями принятыми совместно с Trusted Computing Group (TCG). Таким образом, все ключи, которые могли бы позволить идентификацию Security Platform, скрыты от удаленного доступа. Эта политика требует, чтобы все используемые компьютеры были членами доверяемых доменов. Это касается только операционных систем поддерживающих членство в доменах.

Обратите внимание, что администрирования и операция Security Platform не ограничивается данной политикой.

Отключено
Разрешить чтение незащищенной NV-памяти TPM Определяет, кто может читать незащищенную постоянную (NV) память, хранящуюся в Trusted Platform Module 1.2. NV-память может содержать уязвимые данные.

Включено: Укажите, может ли только локальный администратор, локальный и удаленный администратор, все локальные пользователи или все пользователи считывать содержимое незащищенной данные NV.

Отключено: Ни один пользователь не может считывать незащищенные данные NV.

Данная политика касается только Security Platform c Trusted Platform Module 1.2.

Обратите внимание, что администрирования и операция Security Platform не ограничивается данной политикой.

Включено/Локальные администраторы
Настройка пороговых значений словарных атак Определяет количество разрешенных попыток проверки подлинности Trusted Platform Module, прежде, чем будут приняты меры по отражению словарной атаки.

Включено: Укажите сколько попыток проверки подлинности для ключей (например, используемых для проверки подлинности пользователя Security Platform), владельца, и доступа к защищенным данным (например, используемых Windows BitLocker совместно с PIN-кодом), должно быть разрешено, прежде, чем будут приняты меры по отражению словарной атаки.

Отключено: Невозможно настроить порог словарной атаки. Действуют значения по умолчанию.

Данная политика относится исключительно к Security Platforms с компонентом Infineon Trusted Platform Module версии 1.2. Ее необходимо настроить до инициализации Security Platform. Последующие изменения этой политики вступят в действие только после следующей смены уровня защиты.
Если данная политика не настроена, те же самые настройки можно задать индивидуально для каждой платформы в изолированном режиме с помощью Мастера инициализации (см. Выполнить конфигурирование настроек защиты от словарных атак). В этом случае для того, чтобы настройки вступили в силу, смена уровня защиты не требуется.
Обратите внимание, что количество разрешенных попыток проверки подлинности, распределяется на всех пользователей Security Platform. Имейте это ввиду, если в системе параллельно работает несколько пользователей (например, при использовании Быстрого переключения пользователей).

Подробная информация о словарных атаках

Включено
Владелец: 3 попытки
Ключ: 5 попыток
Данные: 10 попыток
Включить повышенный уровень безопасности поля ввода пароля

Включено: Возможность вырезать, копировать, вставлять и видеть текст секретных данных (например, пароли или секреты) отсутствует.

Отключено: Есть возможность выполнять вставку текста. Кроме того, операции вырезать и копировать доступны, когда секретные данные (например, пароли или секреты) видимы пользователю.

Отключено
Очищать ключи при входе в режимы энергосбережения

Включено: Ключи Security Platform очищаются перед входом компьютера в один из режимов энергосбережения: ждущий режим (S3) или режим сна (S4). Таким образом, уровень безопасности в режиме энергосбережения повышается. После выхода из режима энергосбережения, функции Security Platform вновь потребуют проверки подлинности пользователя.

Отключено: Ключи Security Platform не очищаются.

Включено
Поставщики улучшенной проверки подлинности

Включено: Введите ID класса системы улучшенной проверки подлинности (CLSID) или несколько CLSID разделенных точкой с запятой.
Только поставщики указанные здесь, будут применяться при проведении улучшенной проверки подлинности на клиентских системах, не настроенных ранее.
IЕсли вам не известен ID класса вашей системы улучшенной проверки подлинности, пожалуйста, обратитесь к поставщику вашей системы улучшенной проверки подлинности.
Пример: {76D8D888-B5AC-49FC-9408-8A45D37F3AC6}.

Отключено: Невозможно указать поставщики улучшенной проверки подлинности. Улучшенная проверка подлинности не может применяться на ещё не настроенных клиентских системах.

В серверном режиме, то же самое поведение, как отключено.
Разрешить администратору получение прав владельца удаленно Включено: Локальное присутствие администратора не требуется для получения прав владельца компьютера. Эта функция может быть особенно полезной при выполнении настройки клиентов в больших сетях.

Отключено: Получение прав владельца удаленно - запрещено.

Эта политика требует, чтобы все используемые компьютеры были членами доверяемых доменов. Это касается только операционных систем поддерживающих членство в доменах.

Отключено
Разрешить администратору удаленную загрузку открытых ключей SRK

Определяет, кто может читать открытые ключи Storage Root Key (SRK), хранящиеся в Trusted Platform Module. Открытый ключ SRK требует особой защиты, поскольку с помощью него может быть определена Security Platform.

Включено: Администратор может загрузить открытый ключ SRK не только локально, но и удаленно.

Отключено: Удаленная загрузка открытого ключа SRK запрещена.

Этап переноса Автоматическое экспортирование и авторизация требует, чтобы этот параметр был включен на конечном компьютере переноса.
Эта политика требует, чтобы все используемые компьютеры были членами доверяемых доменов.
Эта настройка относится только к операционным системам, поддерживающим членство в доменах.

Отключено

Настройки версии для автономного режима

Настройки актуальные только для версии автономного режима.
Политика Описание Значение по умолчанию
Пароль владельца - Минимальная длина пароля Включено: Введите желаемую минимальную длину пароля владельца, например 6.
Минимальная длина пароля вступит в действие для паролей владельца, заданных или измененных впоследствии.

Отключено: Минимальная длина пароля 6 символов.

Данная настройка относится только к паролю владельца, установленному на изолированной Security Platform. Минимальная длина пароля для паролей владельца настраивается через Trusted Computing Management Server посредством одноименной политики Trusted Computing Management Server.

Подробно об управлении паролями
Включено, 6 знаков
Пароль владельца - Пароль должен отвечать требованиям к сложности Включено: Требования сложности пароля вступают в силу для паролей владельца, заданных или измененных впоследствии.

Отключено: Требования к сложности пароля не применяются.

Данная настройка относится только к паролю владельца, установленному на изолированной Security Platform. Требования к сложности паролей владельца настраиваются через Trusted Computing Management Server посредством одноименной политики Trusted Computing Management Server. Подробно о сложности паролей
Отключено
Разрешить регистрацию платформы Включен/Разрешен Management Provider и мастер: Администратор может использовать Мастер инициализации Security Platform и интерфейс Management Provider для инициализации.

Включен/Разрешен только интерфейс Management Provider: Администратор может только вызвать интерфейс Management Provider, но не может запустить Мастер инициализации Security Platform .

Отключено: Security Platform не позволяет администратору выполнять какие-либо функции.

Включен/Разрешен Management Provider и мастер
Принудительная настройка резервного копирования, в том числе аварийного восстановления Включено: Настройка автоматического резервного копирования (включая аварийное восстановление) обязательно в процессе инициализации Security Platform.
Если инициализация Security Platform уже была проведена без настройки автоматического резервного копирования, настройка автоматического резервного копирования не обязательно.

Отключено: Принудительная настройка автоматического резервного копирования не осуществляется. После инициализации Security Platform, настроить резервное копирование можно через меню Параметры - Резервное копирование - Настройка... .

Отключено
Размещение архива резервного копирования Включено: Введите путь, включая имя файла, например: \\BackupServer\SecurityPlatformShare\SPSystemBackup.xml.
Этот конечный путь будет автоматически использован как место сохранения, когда функция резервного копирования будет настроена. Будет создан автоматически сохраняемый резервный архив, состоящий из XML-файла и папки с тем же именем (например, файл SPSystemBackup.xml и папка SPSystemBackup).
Если функция резервного копирования уже настроена, существующий путь резервного копирования сохранена пока никакая перенастройка не выполнена.

Убедитесь, что введенный путь доступен для всех ПК Security Platform. В противном случае, настройку резервного копирования выполнить не удастся.

Отключено: Конечный путь для резервного копирования можно всегда указать при настройке функции резервного копирования.

Отключено
Выполнить немедленное резервное копирование системы Включено: Резервный архив системы будет немедленно обновляться после значительных изменений данных Security Platform.

Предварительные условия: Должно быть настроено автоматическое резервное копирование. Кроме того, должна быть разрешена запись в резервный архив системы.  

Отключено: Системный архив резервного копирования не будет немедленно обновляться после значительных изменений данных Security Platform. Если автоматическое резервное копирование настроено и запись в резервный архив системы разрешена, архив будет обновлен во время следующего резервного копирования системы по расписанию.

Включено
Использовать открытый ключ маркера аварийного восстановления из архива Включено: Введите путь, включая имя файла открытого ключа, например: \\ServerName\FolderName\FileName.xml.
Это путь будет использован при настройке аварийного восстановления.
Если на ПК Security Platform аварийное восстановление уже настроено, данная настройка не окажет никакого влияния на данный ПК.

Убедитесь, что введенный путь доступен для всех ПК Security Platform. В противном случае, настройку аварийного восстановления выполнить не удастся.

Отключено: Маркер аварийного восстановления может быть создан или выбран при настройке аварийного восстановления.

Подробности настройки аварийного восстановления
Как создать архивный файл открытого ключа из файла маркера
Отключено
Принудительная настройка смены пароля Включено: Настройка смены пароля обязательна в процессе инициализации Security Platform.
Если инициализация Security Platform уже была проведена без настройки смены пароля, настройка смены пароля не обязательна.

Отключено: Производить настройку смены пароля не обязательно. Настройка смены пароля может быть произведена после инициализации Security Platform через меню Параметры - Смена пароля - Настройка... .

Отключено
Использовать открытый ключ маркера смены пароля из архива Включено: Введите путь, включая имя файла открытого ключа, например: \\ServerName\FolderName\FileName.xml.
Это путь будет использован при настройке смены пароля.
Если на ПК Security Platform смена пароля уже настроена, данная настройка не окажет никакого влияния на данный ПК.

Убедитесь, что введенный путь доступен для всех ПК Security Platform. В противном случае, настройку смены пароля выполнить не удастся.

Отключено: Маркер смены пароля может быть создан или выбран при настройке смены пароля.

Подробности настройки смены пароля
Как создать архивный файл открытого ключа из файла маркера
Отключено

Настройки предыдущих версий программного продукта

Настройки актуальные только для предыдущих версий программного продукта.
Политика Описание Значение по умолчанию
Размещение Файла архива аварийного восстановления Эти настройки относятся только к более старым версиям Программного обеспечения решения Security Platform.

В более старых версиях, расположение файла архива аварийного восстановления, можно было назначить в процессе инициализации Security Platform. Благодаря этой политике, была возможность принудительно указывать расположение файла.

В текущей версии, расположение файла задается автоматически.

---
Адрес URL для перехода к мастеру подачи заявки на сертификат См. политики пользователей.
Отключено


©Infineon Technologies AG