Политики пользователей Infineon Security Platform

Infineon Security Platform

Программное решение Infineon Security Platform. Администрирование политик

Политики пользователей Infineon Security Platform

Программное обеспечение решения Infineon Security Platform поддерживает следующие параметров политики пользователя.

В серверном режиме, конфигурирование пользовательских политик осуществляется для всего домена администратором домена с помощью Trusted Computing Management Server. Учтите, что параметры, которые действительны только для режима сервера, описаны в файле административного шаблона, предоставленном Trusted Computing Management Server.
Значение по умолчанию: Если политика не была настроена ранее (например, локальный редактор групповой политики отображает статус Не настроена), тогда Программное обеспечение решения Security Platform автоматически применяет значение по умолчанию.

Настройки для всех версий

Настройки, действительные как для версий автономного режима, так и для версий серверного.
Политика Описание Значение по умолчанию
Основной пароль пользователя - Минимальная длина пароля Включено: Введите минимальную длину основного пароля пользователя, например 6.
Значение минимальной длины пароля распространяется на основные пароли пользователя, установленные или смененные впоследствии.

Отключено: Минимальная длина пароля 6 символов.

Подробно об управлении паролями
Включено, 6 знаков
Основной пароль пользователя - Пароль должен отвечать требованиям к сложности Включено: Требования к сложности пароля распространяется на основные пароли пользователя, установленные или смененные впоследствии.

Отключено: Требования к сложности пароля не применяются.

Подробно о сложности паролей
Отключено
Основной пароль пользователя - Максимальный срок действия основного пароля пользователя Определяет период (в днях) в течение которого можно использовать основной пароль пользователя, прежде чем система потребует его сменить.

Включено:

  • Максимальный срок действия основного пароля пользователя: Введите максимальный срок действия основного пароля пользователя, например 42 дня.
  • Предупреждение об истечении срока действия основного пароля пользователя: Укажите за сколько дней до истечения срока действия основного пароля пользователя следует его уведомить, например 7 дней.

Отключено: Максимального срока действия основного пароля пользователя не существует, т.е. срок действия паролей не истекает.

Отключено
Основная кодовая фраза пользователя - Минимальная длина кодовой фразы Включено: Введите минимальную длину основного кодовой фразы пользователя, например 20.
Значение минимальной длины кодовой фразы распространяется на основные кодовые фразы пользователя, установленные или смененные впоследствии.

Отключено: Минимальная длина кодовой фразы 20 символов.

Эта политика важна, только если используется улучшенная проверка подлинности.

Подробнее об улучшенной проверке подлинности
Включено, 20 знаков
Основная кодовая фраза пользователя - Кодовая фраза должна отвечать требованиям к сложности Включено: Требования к сложности распространяется на основные кодовые фразы пользователя, установленные или смененные впоследствии.

Отключено: Требования к сложности не применяются.

Эта политика важна, только если используется улучшенная проверка подлинности.

Подробно о сложности паролей
Подробно об улучшенной проверке подлинности
Отключено
Контроль быстрой инициализации Включено/Разрешено: Для выполнения инициализации платформ и/или пользователей, следует использовать Мастер быстрой инициализации.

Включено/Принудительно: Мастер быстрой инициализации нельзя использовать для выполнения инициализации платформ и/или пользователей. Кроме того, первоначальное конфигурирование доступных функций (EFS, PSD) необходимо выполнять с помощью Мастера быстрой инициализации.

Отключено: Мастер быстрой инициализации нельзя использовать для выполнения инициализации платформ и пользователей. Вместо этого следует использовать Мастер инициализации Security Platform и Мастер инициализации пользователя.

Включено/Разрешено
Разрешить пользователю временно отключать функцию Security Platform Включено: Пользователь Infineon Security Platform может отключать активные функции Security Platform до следующей перезагрузки компьютера.

Отключено: Возможность временного отключения Infineon Security Platform отсутствует в пользовательском интерфейсе Программного обеспечения решения Security Platform.

Данная политика относится исключительно к Security Platforms с Infineon Trusted Platform Module версии 1.1.
После выхода пользователя из системы и входа нового пользователя, отключенные функции Security Platform остаются отключенными до следующей перезагрузки компьютера.

Включено
Разрешить настройку защищенной электронной почты Включено: Пользователь имеет право настраивать функцию Security Platform Защищенная электронная почта.

Отключено: Пользователь не может настраивать эту функцию, но может использовать предыдущие настройки.

Включено
Разрешить настройку EFS Включено: Пользователь имеет право настраивать функцию Security Platform Шифрование файлов и папок с использованием файловой системы EFS.

Отключено: Пользователь не может настраивать эту функцию, но может использовать предыдущие настройки.

EFS не поддерживается в Windows Home edition.

Включено
Разрешить настройку PSD Включено: Пользователь имеет право настраивать функцию Security Platform Шифрование файлов и папок с использованием Personal Secure Drive (PSD).

Отключено: Пользователь не может настраивать эту функцию, но может использовать предыдущие настройки.

Включено
Выполнять улучшенную проверку подлинности Включено: Пользователи Security Platform должны использовать процесс инициализации пользователя).
Если пользователь Security Platform уже был инициализирован без выбора устройства проверки подлинности, использование улучшенной проверки подлинности не является обязательным.

Отключено: Принудительное включение смены пароля не осуществляется. Включение смены пароля может быть произведено после инициализации пользователя через меню Параметры - Смена пароля - Включить...

Отключено
Включить кэширование основного пароля пользователя Включено: Пользователи Security Platform должны использовать улучшенную проверку подлинности (с основной кодовой фразой пользователя).

Отключено: Пользователи Security Platform могут выбрать между использованием улучшенной проверки подлинности (с основной кодовой фразой пользователя) или проверкой подлинности при помощи пароля (с основным паролем пользователя).

Эта политика важна только если, как минимум одно устройство проверки подлинности, включено для всех пользователей. Если пользователь Security Platform уже был инициализирован без выбора устройства проверки подлинности, использование улучшенной проверки подлинности не является обязательным.

Подробнее об улучшенной проверке подлинности
Отключено
Включить кэширование основного пароля пользователя Включено: Основной пароль пользователя может кэшироваться средствами программного обеспечения Infineon Security Platform, снижая количество требуемых вводов пароля во время текущего рабочего сеанса. Это сводит к минимум количество запросов на ввод пароля пользователем.

Отключено: Диалог Основной пароль пользователя не предлагает возможности временного кэширования основного пароля пользователя.

Включено
Адрес URL для перехода к мастеру подачи заявки на сертификат Включено: В этой настройке указывается веб-адрес, используемый Мастер инициализации пользователя Infineon Security Platform для получения сертификатов, через веб-обозреватель.
Страница получения сертификата, доступна только в рамках мастера инициализации пользователя, если данная настройка включена и, по крайней мере, одна функция Security Platform выбрана для настройки.

Отключено: Страница получения сертификата не доступна в рамках Мастер инициализации пользователя Infineon Security Platform.

Примечания:

  • Данная настройка так же поддерживается как системная политика для обеспечения совместимости с более ранними версиями Программное обеспечение решения Security Platform.
  • Рекомендация: Используйте этот параметр как пользовательскую политику.
  • Хотя этот параметр не зависит от использования сертификата, существует также специальная пользовательская политика для EFS-сертификатов (тип и регистрация EFS-сертификата).
Отключено
Тип и получение EFS-сертификата Включено: Вы можете ограничить тип EFS сертификата. Также вы можете разрешить подачу заявок на внешние EFS сертификаты, указав веб-адрес центра сертификации.

1. Тип EFS сертификата: Укажите, хотите ли вы разрешить все типы сертификатов (доменные, внешние и самозаверяющиеся) или только определенные типы сертификатов. Это ограничение будет применяться к пользователям собирающимся регистрировать на сертификат или выбирать его.

  • Доменный сертификат: Сертификат полученный от центра сертификации внутри вашего домена.
  • Внешний сертификат: Сертификат полученные от внешнего центра сертификации, доступного через Интернет.
  • Самозаверяющийся сертификат: Сертификат созданный на вашем ПК.

2.   URL-адрес запроса сертификата: Введите веб-адрес центра сертификации (CA) для запроса EFS сертификатов, например, https://www.companyname.com/foldername.
Этот конечный путь будет использоваться при запросах EFS сертификата у внешнего центра сертификации (CA).

  • URL-адрес запроса сертификата не является обязательным.
  • Если вы не укажете здесь путь, пользователи не смогут подавать запросы на внешние EFS сертификаты.
  • Если вы хотите разрешить внешние EFS сертификаты, введите допустимый путь, доступный для всех компьютеров Security Platform. В противном случае, получение EFS сертификатов будет невозможно.

Отключено: Тип EFS сертификата не ограничен. Веб-адрес, применяемый для получения EFS сертификатов не задан, следовательно пользователи не могут запрашивать внешние EFS сертификаты.

Примечания:

  • Обратите внимание, что EFS сертификаты используются не только для EFS, но и для PSD.
  • Хотя данная настройка действительна только для EFS сертификатов (можно использовать для EFS или PSD), так же существует пользовательская политика, которая не зависит от использования сертификата (Адрес URL для перехода к мастеру подачи заявки на сертификат).

Как получить и выбрать EFS сертификат

Отключено
Отображение предупреждения об истечении срока действия EFS сертификата Включено: Пользователи Security Platform будут предупреждаться всплывающим сообщением перед истечением срока действия их EFS сертификата. Укажите, когда должно происходить уведомление, например за 14 дней до истечения срока действия сертификата.

Отключено: Уведомление об истечении срока действия сертификата отсутствует.

Пользователи уведомляются за 14 дней до истечения срока действия сертификата.
Срок действия самозаверяющих сертификатов EFS Включено: Укажите необходимый срок действия самозаверяющих сертификатов EFS.

Отключено: Срок действия - 10 лет.

Включен со сроком действия 10 лет.
Расположение файлов Personal Secure Drive Включено/PSD диск по умолчанию: Здесь указывается диск, на котором будут создаваться файлы образа Personal Secure Drive. Введите допустимую букву диска в поле для редактирования - с двоеточием, но без дополнительного пути (например, C:). Если буква диска недопустима, пользователи не смогут создать файл образа Personal Secure Drive.

Отключено: Пользователь может выбрать конечный диск, на котором будут создаваться файлы образа Personal Secure Drive.

Отключено
Минимальное свободное место после создания PSD Включено: Если PSD сохранен на системном диске (там, где расположена текущая операционная система), необходимо оставить определенное количество свободного места после настройки PSD. Укажите сколько свободного мест следует оставить на системном диске после настройки PSD.

Отключено: Ограничения по количеству свободного места на системном разделе диска после создания PSD отсутствуют.

Например:
Политика включена и установлена на 250 Мб.
Минимальный размер PSD-диска — 20 Мб для Windows 7 и Windows Vista и 10 Мб для всех прочих операционных систем.

  • Предположим, что до создания PSD, на диске есть 300 Мб свободного места. В этом случае максимальный размер PSD будет 50 Мб.
  • Предположим, что на диске есть 250 Мб свободного места. В этом случае вы не сможете создать PSD на системном диске.
Политика включена и установлена на 250 Мб.
Разрешить пользователям импортирование ключей Включено: Пользователям Security Platform разрешается импортировать закрытые ключи в Security Platform. Обратите внимание, что закрытые ключи импортируются вместе с сертификатами через функции Просмотр сертификатов и Выбор сертификатов.

Отключено: Пользователям Security Platform запрещено импортировать закрытые ключи в Security Platform.

Включено
Применять усиленную защиту закрытого ключа для ключей подписи MS-CAPI

Включено: Все ключи, монопольно используемые для операции подписи интерфейсом MS-CAPI, защищены усильной частной защитой. В данном случае, ключ защищен своим собственным паролем, который требуется вводить каждый раз, когда ключ используется для операции подписи.

Отключено: Ключи подписи не имеют особой формы защиты.

Данный пароль может быть кэширован, во избежание повторного ввода. Поскольку этот пароль не связан с основным ключом пользователя, механизм кэширования, используемый для основного пароля пользователя, не влияет на этот пароль.
Отключено
Создание Основного ключа пользователя, не подлежащего переносу

Включено/По требованию: От пользователей требуется создать Основной ключ пользователя, не подлежащий переносу, когда они впервые собираются использовать Strong Cryptographic Provider Infineon TPM. Учтите, что Strong Cryptographic Provider требует Основной ключ пользователя, не подлежащий переносу.

Включено/Автоматически: Для новых пользователей, Основной ключ пользователя, не подлежащий переносу, создается автоматически в процессе инициализации пользователя. Для пользователей, инициализированных ранее, Основной ключ пользователя, не подлежащий переносу создается по требованию.

Отключено: Основной ключ пользователя, не подлежащий переносу не создается, то есть использование Strong Cryptographic Provider Infineon TPM невозможно.

 
Включено/По требованию

Настройки версии для автономного режима

Настройки актуальные только для версии автономного режима.
Политика Описание Значение по умолчанию
Отображение предупреждения резервного копирования Включено: Пользователи Security Platform будут уведомляться всплывающим сообщением, в случае сбоя резервного копирования пользовательских учетных данных и ключей (например в случае, если размещение резервного копирования недоступно). Укажите, насколько часто должно производиться данное уведомление, например каждые 2 дня после сбоя резервного копирования, до следующего удачного резервного копирования.

Отключено: Уведомление о сбое резервного копирования отсутствует.

Пользователи уведомляются ежедневно.
Разрешить регистрацию пользователя Включен/Разрешен Management Provider и мастер: Инициализацию пользователей можно выполнить с помощью интерфейса Management Provider, Мастера быстрой инициализации или Мастера инициализации пользователя.

Включен/Разрешен только интерфейс Management Provider: Пользователь может вызвать только интерфейс Management Provider, но не может запустить инструменты программного решения Security Platform.

Отключено: Security Platform не позволяет пользователю выполнять какие-либо функции.

Включен/Разрешен Management Provider и мастер


©Infineon Technologies AG