常见问题解答

Infineon Security Platform

Infineon Security Platform 解决方案

常见问题解答 (FAQ)

如何删除 Infineon Security Platform 用户?

将紧急恢复数据保存在远程计算机上是否会出现安全问题?

能否卸载 Infineon Security Platform 解决方案软件?如果能,如何进行?

成功卸载后,系统上会留下什么信息?

在使用 Internet Explorer 注册证书后,证书仍不能用。并显示错误信息。

利用操作系统的软件压缩功能来存储用户数据。如何激活 EFS 用于此压缩文件夹?这些功能是否可以组合?

需要更改分配给某个 EFS 文件夹的证书。是否能够这样操作并且不会对此文件夹中的数据带来危险?是否可以为文件夹任意分配一个证书?

如何准备 Infineon Security Platform 进行成功的系统备份?有哪些文件对于使用系统机制成功恢复 Infineon Security Platform 是非常必要的?

如何配置和处理备份档案,尤其是对于策略设置?

如何从令牌文件创建公共密钥档案文件?

有关 EFS 的备注只与支持 EFS 的 Windows 版本相关。

如何删除 Infineon Security Platform 用户?

可以用两种不同的方法来删除操作:

  • 完全删除操作系统用户的帐户是 Windows 支持的一种直接操作。删除用户帐户后,必须打勾选取用于删除用户简介的复选框。此操作将用户帐户信息从系统中完全删除。

  • 如果要只删除 Infineon Security Platform 的用户信息而不触及系统帐户的信息,必须删除特定于用户的 \%AppData%\Infineon\TPM Software 2.0 文件夹。

如果要删除与 Security Platform 用户相关的所有数据,请参考该部分中所列的特定于用户的数据 .

如果使用特定于 Infineon Security Platform 用户的密钥加密的系统上存在任何数据,则一旦删除用户帐户,将无法解密此数据。


将紧急恢复数据保存在远程计算机上是否会出现安全问题?

不会出现安全问题。紧急恢复存档文件中的内容受到紧急恢复令牌的保护,而令牌又受到紧急恢复令牌密码的保护。

服务器模式下,由 Trusted Computing Management Server 处理紧急恢复,因此不存在安全问题。


能否卸载 Infineon Security Platform 解决方案软件?如果能,如何进行?

可以通过操作系统提供的标准软件删除进程进行卸载。在执行此操作之前,需保存受 Security Platform 保护的所有用户数据。如果不保存,则一旦从系统中删除 Infineon Security Platform 解决方案软件,将无法访问此数据。最后一步是在计算机 BIOS 中停用 Trusted Platform Module。

新版本可以安装在旧版本上,无需卸载旧版本。在此情况下,无需完整的用户数据备份。


成功卸载后,系统上会留下什么信息?

如果卸载 Security Platform 解决方案软件,系统上会留下一些信息。保留平台和用户设置及凭证,重新安装之后,系统将恢复以前的状态。因此,重新安装 Infineon Security Platform 软件后,以前加密的数据不会丢失。

但是,如果不再需要此数据,并将完全清理系统,则应删除以下数据。

备份档案:自动写入的备份档案的位置由管理员指定。请注意,在文件系统中以 XML 文件和相同名称的文件夹表示自动写入的备份档案,例如,文件 SPSystemBackup.xml 和文件夹 SPSystemBackup。此外,可能还有一些手动写入的备份档案。

紧急恢复令牌:其位置由 Security Platform 所有者在 Security Platform 初始化过程中指定。

紧急还原档案:

i) Windows 7 和 Vista: \%ALLUSERSPROFILE%\Infineon\TPM Software 2.0\RestoreData\<Machine SID>\Users\<User SIDs>\SHTempRestore.xml

ii) Windows XP Professional、Windows 2000 以及其他支持操作系统: \%ALLUSERPROFILE%\<Application Data>\Infineon\TPM Software 2.0\RestoreData\<Machine SID>\Users\<User SIDs>\SHTempRestore.xml

系统数据和系统密钥文件:

i) Windows 7 和 Vista:\%ALLUSERSPROFILE%\Infineon\TPM Software 2.0\PlatformKeyData
IFXConfigSys.xml
IFXFeatureSys.xml
TCSps.xml
TPMCPSys.xml

ii) Windows XP Professional、Windows 2000 以及其他支持操作系统:\%ALLUSERPROFILE%\<Application Data>\Infineon\TPM Software 2.0\ PlatformKeyData
IFXConfigSys.xml
IFXFeatureSys.xml
TCSps.xml
TPMCPSys.xml

本地阴影备份文件:

i) Windows 7 和 Vista:
\%ALLUSERSPROFILE%\Infineon\TPM Software 2.0\BackupData\<Machine SID>\System\SHBackupSys.xml
\%ALLUSERSPROFILE%\Infineon\TPM Software 2.0\BackupData\<Machine SID>\Users\<User SIDs\SHBackup.xml

ii) Windows XP Professional、Windows 2000 以及其他支持操作系统:
\%ALLUSERPROFILE%\<Application Data>\Infineon\TPM Software 2.0\ BackupData\<Machine SID>\System\SHBackupSys.xml
\%ALLUSERPROFILE%\<Application Data>\Infineon\TPM Software 2.0\ BackupData\<Machine SID>\Users\<User SIDs\SHBackup.xml

用户密钥文件: \%AppData%\Infineon\TPM Software 2.0\UserKeyData\TSPps.xml

TPM Cryptographic Service Provider 容器: \%AppData%\Infineon\TPM Software 2.0\UserKeyData\TPMcp.xml

TPM PKCS #11 Provider 文件: \%AppData%\Infineon\TPM Software 2.0\UserKeyData\TPMck.xml

用户配置文件:\%AppData%\Infineon\TPM Software 2.0\UserKeyData\
IFXConfig.xml
IFXFeature.xml


注册表键值:
HKEY_LOCAL_MACHINE\SOFTWARE\Infineon\TPM Software
HKEY_CURRENT_USER\Software\Infineon\TPM software

在卸载 Personal Secure Drive 安全功能时,必须手动删除以下 Personal Secure Drive 注册表键值:
[HKEY_LOCAL_MACHINE\SOFTWARE\Infineon\TPM Software\PSD]
[HKEY_CURRENT_USER\SOFTWARE\Infineon\TPM Software\PSD]

Personal Secure Drive 目录:此外,必须以手动方式删除以下目录:
x:\Security Platform\Personal Secure Drive\System Data
其中 x:为 Personal Secure Drives 的位置。在创建 Personal Secure Drive 时选择此驱动器或某个本地硬盘,或由 Personal Secure Drive 本地用户策略所定义。

杂项:
基于证书的注册 Trusted Platform Module
计划备份任务(例如 C:\WINDOWS\Tasks\Security Platform Backup Schedule)


在使用 Internet Explorer 注册证书后,证书仍不能用。并显示错误信息。

尽管已经将证书存储在用户证书存储中,但还是被 Internet Explorer 阻塞。关闭 Internet Explorer 然后再将其重新打开,即可解除证书的锁定。


利用操作系统的软件压缩功能来存储用户数据。如何激活 EFS 用于此压缩文件夹?这些功能是否可以组合?

不能进行组合,因为操作系统不允许压缩文件作为 EFS 保护的文件夹。首先,必须撤消压缩。然后才可以为此文件激活 EFS 功能。


需要更改分配给某个 EFS 文件夹的证书。是否能够这样操作并且不会对此文件夹中的数据带来危险?是否可以为文件夹任意分配一个证书?

通常情况下可以为 EFS 文件夹分配附加证书。主要的限制条件是,所有的证书必须为同一 Cryptographic Service Provider 所控制。只要以前分配的证书还在,仍然能够读取加密数据。一旦将 EFS 文件夹中文件的保护证书从系统中删除,有关文件将会丢失。


如何准备 Infineon Security Platform 进行成功的系统备份?有哪些文件对于使用系统机制成功恢复 Infineon Security Platform 是非常必要的?

Infineon Security Platform 的核心文件没有包含在 Infineon Security Platform 软件的应用程序中。系统备份恢复后,可以进行重新安装。

通过 Infineon Security Platform 备份向导备份 Infineon Security Platform 解决方案软件中的特定数据。
Infineon Security Platform 备份向导不会备份受保护的数据,例如,您的加密文件或者电子邮件是使用其它备份工具进行备份的。您应该将 Infineon Security Platform 备份向导的备份存档文件包含在日常数据备份中。

如果您不使用 Infineon Security Platform 备份向导来备份 Security Platform 解决方案软件的特定数据,则请确保在“成功卸载后系统上会留下什么信息?”部分中列出的所有数据。 .


  • 由 Security Platform 管理员设置的自动系统备份也包括紧急恢复数据。
  • 服务器模式下,由 Trusted Computing Management Server 处理备份和还原。


如何配置和处理备份档案,尤其是对于策略设置?

您可以通过设置策略 备份档案位置配置所有企业 Security Platform 使用公共备份档案。

如果必须创建新备份档案,在导入首个 Infineon Security Platform 前不要导入策略这一点非常重要。

然后,必须启动策略管理并正确配置策略,方法是为以前创建的备份档案设置正确的位置。最后,配置的文件将在所有其他企业 Security Platform 初始化后自动使用。

本部分不适用于服务器模式,因为备份和还原由 Trusted Computing Management Server 处理。


如何从令牌文件创建公共密钥档案文件?

您可以在组策略设置中指定,从档案文件中使用现有紧急恢复令牌或密码重置令牌的公共密钥(参见系统策略 从档案中使用紧急恢复令牌的公共密钥从档案中使用密码重置令牌的公共密钥)。要从现有令牌文件创建这样一个档案文件,请执行以下步骤:

  • 使用第一个系统上(例如测试系统上)的默认策略设置完全初始化平台(包括紧急恢复和密码重置)。
    快速初始化向导会为紧急恢复和密码重置创建一个通用令牌文件。
    Platform 初始化向导会分别为紧急恢复和密码重置创建一个令牌文件。
  • 在同一个系统上运行下面附上的脚本,以从相应的令牌文件创建所需的公共密钥档案文件。
  • 将公共密钥档案文件复制到适当的位置,并启用上面提到的策略。

脚本 GeneratePubKeyArchive.vbs:
'GeneratePubKeyArchive.vbs <Full path to Token.xml> <Full path to PubKeyArchive.xml>
'The <Full path to Token.xml> can be one of the following tokens:
' - SPPwdResetToken.xml
' - SPEmRecToken.xml
' - SPGenericToken.xml
'The <Full path to PubKeyArchive.xml> is the output, which contains the public key extracted from the input token:
' - SPPwdResetTokenPubKeyArchive.xml
' - SPEmRecTokenPubKeyArchive.xml
' - SPGenericTokenPubKeyArchive.xml
'For usage by the "Use public key of Emergency Recovery Token from archive" policy:
' - SPEmRecTokenPubKeyArchive.xml
' - SPGenericTokenPubKeyArchive.xml
'For usage by the "Use public key of Password Reset Token from archive" policy:
' - SPPwdResetTokenPubKeyArchive.xml
' - SPGenericTokenPubKeyArchive.xml
'Be sure to specify the full path e.g.:
' GeneratePubKeyArchive.vbs "c:\tmp\SPGenericToken.xml" "c:\tmp\SPGenericTokenPubKeyArchive.xml"
If WScript.Arguments.Count <> 2 Then
    WScript.Echo "Usage:" & Wscript.ScriptName & " ""<Full path to Token.xml>"" ""<Full path to PubKeyArchive.xml>"""
    WScript.Quit
End If
Set MPBase = WScript.CreateObject("IfxSpMgtPrv.MgmtProvider")
Set MPToken = MPBase.GetInterface(10)
' CreationFlags:keep existing file = 0, overwrite existing file = 1
CreationFlags = 0
ReservedFlag = 0
MPToken.CreatePublicKeyFile WScript.Arguments(0), WScript.Arguments(1), CreationFlags, ReservedFlag
'Error Handling if failing to be added here
WScript.Echo "Done"

本部分不适用于服务器模式,因为紧急恢复和密码重置由 Trusted Computing Management Server 处理。


 


©Infineon Technologies AG