|
Infineon Security Platform 解决方案 - 策略管理 |
Infineon Security Platform 系统策略
Infineon Security Platform 解决方案软件支持以下计算机策略设置。
 |
在服务器模式下,域管理员通过 Trusted Computing Management Server 在域范围内配置系统策略。请注意,Trusted Computing Management Server 提供的管理模板文件中描述了仅对于服务器模式有效的设置。 |
|
默认值:如果之前没有明确设置策略(即本地组策略编辑器显示为未配置的状态),则 Security Platform 解决方案软件将应用默认值。 |
所有版本设置
对独立模式版本和服务器模式版本都有效的设置。| 策略 | 说明 | 默认值 |
| 准备 TPM 注册 | 启用: 在禁用了 Trusted Platform Module 并支持 Physical Presence Interface (PPI) 的未初始化平台上,Trusted Platform Module 将自动准备启用。系统将指导用户完成启用过程。 禁用: Trusted Platform Module 未准备自动启用。 |
禁用 |
| 允许管理员远程使用平台密钥 | 启用:管理员可以在本地或远程使用平台密钥。 禁用:不允许远程使用平台密钥。对于隐私问题,限制在信任计算组 (TCG) 中讨论的密钥访问。通过这种方式隐藏所有允许标识 Security Platform 的密钥以备远程访问。此策略需要所有相关的计算机属于可信域的成员。它仅与支持域成员资格的操作系统相关。
|
禁用 |
| 允许读取未受保护的 TPM NV 内存 | 确定谁可以读取在 Trusted Platform Module 1.2 中存储的未受保护的非易失性 (NV) 内存。该 NV 内存可能包含敏感数据。 启用: 指定是否仅有本地管理员、本地和远程、所有本地用户还是所有用户可以读取未受保护的 NV 数据。 禁用: 所有用户均不能读取未受保护的 NV 数据。
请注意, Security Platform 管理和操作不受此设置的限制。 |
启用/本地管理员 |
| 配置字典攻击临界值 | 确定采取字典攻击防御措施前,允许的 Trusted Platform Module 鉴权尝试次数。 启用:指定在采取字典攻击防御措施前,密钥(例如用于 Security Platform 用户鉴权)、所有者和对密封数据的访问(例如由 Windows BitLocker 和 PIN 一起使用)允许多少次鉴权尝试。 禁用: 不能配置字典攻击临界值。此默认值是有效的。
|
启用 所有者:3 次 密钥:5 次 数据:10 次 |
| 启用最严格的密码域安全 | 启用:剪切、复制、粘贴以及以明文形式查看密码的功能在密码域不可用。 禁用:粘贴的功能在密码域可用。另外,当密码以明文形式出现时,剪切和复制操作可用。 |
禁用 |
| 从节能状态进入时清除键值 | 启用:计算机进入节能状态待机 (S3) 或休眠 (S4) 前,Security Platform 键值被清除。因此,节能状态过程中安全级别被提升。从节能状态回来后,Security Platform 功能将再次要求进行用户身份验证。 |
启用: |
| 增强验证提供商 | 启用:输入增强鉴权提供商 class ID (CLSID) 或多个以分号分割的 CLSID。 |
在服务器模式下,相同的行为被禁用。 |
| 允许管理员远程取得所有权 | 启用:当拥有计算机时,管理员无需到场。在大型网络中设置客户端时,此功能可能特别有用。 禁用:不允许进行远程访问。
|
禁用 |
| 允许管理员远程检索 SRK 公共密钥 |
确定谁可以读取在 Trusted Platform Module 中存储的 Storage Root Key's(SRK) 公共密钥。SRK 公共密钥需要特定保护,因为可以通过它识别 Security Platform。 启用:管理员不仅可以在本地而且可以远程检索 SRK 公共密钥。 禁用:不允许远程检索 SRK 公共密钥。
|
禁用 |
独立模式版本设置
仅对独立模式版本有效的设置。| 策略 | 说明 | 默认值 |
| 所有者密码 - 最小密码长度 | 启用:输入所需的最短所有者密码长度,例如 6。 最短密码长度对于随后设置或更改的所有者密码有效。 禁用:最小密码长度为 6 个字符。
|
启用,6 个字符 |
| 所有者密码 - 密码必须符合复杂性要求 | 启用:对随后设置或更改的基所有者密码强制执行密码复杂性要求。 禁用:没有执行任何密码复杂性要求。 此设置仅应用于在独立 Security Platform 上设置的所有者密码。通过 Trusted Computing Management Server 设置的所有者密码的复杂要求由相同名称的 Trusted Computing Management Server 设定。
密码复杂性详细信息 |
禁用 |
| 允许平台注册 | 启用或允许管理界面和向导:允许管理员使用 Security Platform 初始化向导以及初始化 Management Provider 程序界面。 只启用或允许 Management Provider :管理员只能调用 Management Provider 程序界面,但不能运行 Security Platform 初始化向导。 禁用:Security Platform 不允许管理员执行任何函数。 |
启用或允许管理界面和向导 |
| 执行包括紧急恢复在内的备份配置 | 启用:自动备份的配置(包括紧急恢复)在 Security Platform 初始化过程中为必填项。 如果已经初始化 Security Platform,且没有配置自动备份,则不会执行自动备份的配置 。 禁用:不执行对自动备份的配置。在 Security Platform 初始化完成后通过此步骤来配置备份:设置工具 - 备份 - 配置... . |
禁用 |
| 备份档案位置 | 启用:输入包含档案文件名的路径,如 \\BackupServer\SecurityPlatformShare\SPSystemBackup.xml。 配置功能备份后将执行此目标路径。将创建由 XML 文件以及相同名称文件夹组成的自动写入的备份档案, 例如,文件 SPSystemBackup.xml 和文件夹 SPSystemBackup。 如果已经配置了功能路径,只要不执行重新配置则保存现有备份路径。
禁用:配置功能备份时可以自由指定备份目标路径。 |
禁用 |
| 强制立即系统备份 | 启用: 在 Security Platform 数据出现重大更改之后立即更新系统备份档案。
禁用: 在 Security Platform 数据出现重大更改之后将不立即更新系统备份档案。如果配置了自动备份,并且允许对系统备份档案的写权限,则该档案将更新为下一个计划的系统备份。 |
启用: |
| 从档案中使用紧急恢复令牌的公共密钥 | 启用:输入包含公共密钥文件名的路径,例如 \\ServerName\FolderName\FileName.xml。 配置紧急恢复后将执行此路径。 如果已经在 Security Platform PC 上配置了紧急恢复,则设置对此 PC 没有任何作用。
禁用:配置紧急恢复时,可以创建或选择紧急恢复令牌。 紧急恢复配置的详细信息如何从令牌文件创建公共密钥档案文件 |
禁用 |
| 执行配置密码重置 | 启用:配置密码重置在 Security Platform 初始化过程中为必填项。 如果 Security Platform 已经初始化并且没有配置密码重置,则不执行配置密码重置。 禁用:不执行对密码重置的配置。Security Platform 初始化完成后通过此步骤来配置密码重置:设置工具 - 密码重置 - 配置... . |
禁用 |
| 从档案中使用密码重置令牌的公共密钥 | 启用:输入包含公共密钥文件名的路径,例如 \\ServerName\FolderName\FileName.xml。 配置密码重置后将执行此目标路径。 如果已经在 Security Platform PC 上配置了密码重置,则设置对此 PC 没有任何作用。
禁用:配置密码重置时,可以创建或选择密码重置令牌。 密码重置配置的详细信息如何从令牌文件创建公共密钥档案文件 |
禁用 |
以前产品版本设置
仅对以前产品版本有效的设置。| 策略 | 说明 | 默认值 |
| 紧急恢复档案的文件位置 | 此设置只与旧版本的 Security Platform 解决方案软件有关。 在旧版本中,在 Security Platform 初始化过程中不能明确设置紧急恢复档案的文件位置。须遵照此策略执行文件位置。 在当前版本中将自动设置文件位置。 |
--- |
| 从证书登录向导启动 URL | 请参阅用户策略。 |
禁用 |
©Infineon Technologies AG