|
Программное решение Infineon Security Platform |
Разрешение вопросов
Следующий раздел описывает процедуры для разрешения наиболее вероятных вопросов, возникающих при работе с Infineon Security Platform:
Необходимо настроить платформу, но у Trusted Platform Module уже есть владелец.
Infineon Security Platform была настроена, но владелец Infineon Security Platform изменился.
 |
Комментарии о EFS не относятся к Windows Home edition, так как в этих операционных системах отсутствует поддержка EFS. |
Необходимо настроить платформу, но у Trusted Platform Module уже есть владелец.
В этом случае, для инициализации Security Platform должен быть использован существующий владелец Security Platform. Это требует знания существующего Пароля владельца или доступа к соответствующему файлу резервной копии Пароля владельца.
Такая ситуация часто случается в мультисистемном окружении, когда на компьютере установлено несколько операционных систем. Ключ владельца Infineon Security Platform ("Storage Root Key", SRK) не может выходить за пределы Trusted Platform Module и не может быть введен извне, таким образом, операция "импортирования" невозможна.
В зависимости от наличия или отсутствия основных ключей пользователя, во время инициализации Security Platform требуется разный подход.
Если на Security Platform не создан основной ключ пользователя, можно создать новый резервный архив (содержащий данные аварийного восстановления). После этого Infineon Security Platform будет готова к дальнейшим действиям.
Если основной ключ пользователя существует и резервный архив (содержащий данные аварийного восстановления) настроен, очень важно не перезаписать данный архив во время инициализации Security Platform.
В серверном режиме, перед подключением системы к Trust Domain, вам сначала необходимо удалить владельца, если он уже существует. После этого Security Platform будет автоматически зарегистрирована в Trust Domain (См. Регистрирование платформы).
 |
Infineon Security Platform была настроена, но владелец Infineon Security Platform изменился.
Если на Security Platform было настроено аварийное восстановление, учетные данные Security Platform могут быть вновь активированы при помощи поддержки аварийного восстановления Программного решения Security Platform.
В серверном режиме, Trusted Platform Module перед подключением системы к Trust Domain не должен иметь владельца, то есть он ещё не должен быть инициализирован (ни Infineon TPM Professional Package в изолированном режиме, ни сервер Trusted Domain, ни другим программным обеспечением, например, Управление Trusted Platform Module (TPM) в Windows Vista).
|
Что необходимо учесть при аварийном восстановлении при помощи Мастера инициализации Infineon Security Platform?
Аварийное восстановление можно провести, если ваш Trusted Platform Module заменен или обнулен, в случае наличия резервного образа, позволяющего восстановить данные. Пользовательские данные и данные аварийного восстановления, связанные с Security Platform, копируются в процессе автоматического резервного копирования системы.
Администратор Infineon Security Platform должен иметь доступ к резервному архиву и маркеру аварийного восстановления, который был создан при настройке системы. Он также должен знать пароль, защищающий маркер.
Администратор Infineon Security Platform должен восстановить систему, запустив Мастера резервного копирования Infineon Security Platform.
Если восстановление производится на компьютере с измененным именем, должно быть известно старое имя компьютера или ID платформы (SID) компьютера. В резервном архиве могут присутствовать данные восстановления с нескольких компьютеров. В этом случае, вам надо выбрать из резервного архива компьютер для восстановления.
Аварийное восстановление в серверном режиме, выполняется Trusted Computing Management Server.
|
Документ, сохраненный в защищенной папке EFS, необходимо восстановить из резервного архива системы. В конечной системе пользователь Infineon Security Platform не существует. Как разрешить подобную ситуацию?
Если основной ключ пользователя более недоступен и сертификат восстановления (для агента восстановления) не настроен, документ утрачен.
В ином случае, первым шагом будет восстановление файла из резервного архива. Это делается без изменения свойств безопасности файла. На следующем этапе, используйте сертификат восстановления, чтобы позволить агенту восстановления расшифровать файл.
|
Часто используемое приложение создает временные файлы вне стандартных временных папок. Обычно все временные папки не защищены EFS. Как защитить временные папки этого приложения, в особенности файлы, остающиеся на жестком диске после его закрытия?
Это распространенная проблема многих приложений. При использовании некоторых приложений, может возникнуть ситуация, когда временные файлы будут созданы вне защищенных папок EFS. Если в пользовательском профиле указана не стандартная папка %AppData% (обычно называющаяся "Application Data"), тогда это особенность приложения и каких то общих указаний по разрешению данной ситуации дать невозможно. После того, как расположение установлено (и если приложение не поддерживает настройку папки), решением может стать применение к соответствующей папке защиты EFS. Если такое решение невыполнимо, необходимо как минимум гарантировать удаление таких файлов после закрытия приложения.
Дальнейшую информацию по разрешению вопросов связанных с шифрованной файловой системой EFS можно найти в Microsoft Developer Network (MSDN).
|
Когда пользователь Infineon Security Platform впервые заходит в папку EFS, запрашивается пароль основного ключа пользователя. Если этот диалог отменяется и настроен агент восстановления, пользователь все равно может получить доступ к данным в папке EFS при условии, что у него есть закрытый ключ агента восстановления. Это ошибка системы?
Это нормальное поведение, связанное с особенностями агента восстановления. Когда для папки, защищенной EFS настраивается сертификат восстановления, этот сертификат используется агентом восстановления при первой попытке доступа к папке. В зависимости от того, находится компьютер в домене или нет, существуют различные решения.
Компьютер входит в домен: Здесь, назначением сертификатов занимается администратор. Если сертификат не назначен определенному пользователю Infineon Security Platform, вышеописанная ситуация не возникнет.
Компьютер работает под управлением Windows 2000 и не входит в домен: В качестве решения, можно обеспечить отсутствие доступа к закрытому ключу агента восстановления для обычных пользователей Security Platform.
Компьютер работает под управлением другой поддерживаемой операционной системы и не входит в домен: В этом случае сертификат восстановления обычно не существует, поэтому вышеописанная ситуация не возникнет.
|
©Infineon Technologies AG