Infineon Security Platform 解决方案 |
故障排除
以下部分描述在 Infineon Security Platform 上执行最常见故障排除操作的过程:
需要设置一个平台,但已经有人拥有 Trusted Platform Module。
已经设置 Infineon Security Platform,但更改了 Infineon Security Platform 的所有者。
使用 Infineon Security Platform 初始化向导进行紧急恢复时要考虑哪些因素?
从系统备份中恢复存储在受 EFS 保护文件中的文件。而 Infineon Security Platform 用户在目标系统中不存在。这种情况如何解决?
常用应用程序在标准临时文件夹外创建临时文件。通常,所有临时文件夹均非 EFS 保护。如何保护此应用程序的临时文件,特别是当关闭应用程序后这些文件仍然保留在硬盘上?
用户首次访问文件夹时,要求输入基本用户密钥的密码。如果此对话框取消并且配置了恢复代理,则用户仍可以访问 EFS 文件夹中的数据,只要恢复代理的私用密钥对用户可用。这是否为系统的一个错误?
有关 EFS 的备注与 Windows Home 版本不相关,因为这些版本不支持 EFS。 |
需要设置一个平台,但已经有人拥有 Trusted Platform Module。
在此情况下,将利用现有 Security Platform 所有者来初始化 Security Platform。这需要知道当前所有者密码或可以访问相应的所有者密码备份文件。
这种情况在许多系统环境中很典型,因为一台机器上存在多个操作系统。Infineon Security Platform 所有者("Storage Root Key", SRK) 不能离开 Trusted Platform Module,并且不能从外面引入,因此不可以进行“导入”操作。
取决于基本用户密钥是否存在,在 Security Platform 初始化过程中可能需要不同的途径。
如果未在 Security Platform 上创建基本用户密钥,则可能创建一个新备份档案(包含紧急恢复数据)。然后 Infineon Security Platform 就可以进行进一步的操作。
如果基本用户密钥存在并且已经设置备份档案(包含紧急恢复数据),则在 Security Platform 初始化过程中很重要的一点是不要覆盖此档案。
在服务器模式下,如果在将系统连接到 Trust Domain 前已经存在所有者,您需要先清除所有者。然后 Security Platform 将自动加入到 Trust Domain(参见平台加入)。
已经设置 Infineon Security Platform,但更改了 Infineon Security Platform 的所有者。
如果 Security Platform 已经使用紧急恢复进行设置,则可以通过 Security Platform 解决方案的紧急恢复支持来重新激活您的 Security Platform 凭证。
在服务器模式下,将系统连接到 Trust Domain 前 Trusted Platform Module 不应有所有者,即尚未初始化(不被独立模式下的 Infineon TPM Professional Package 或服务器模式下的 Trusted Domain Server 或类似 Windows Vista Trusted Platform Module (TPM) Management 的任何其他软件初始化)。
使用 Infineon Security Platform 初始化向导进行紧急恢复时要考虑哪些因素?
如果 Trusted Platform Module 被替换或重置,而提供的备份映像可以恢复您的数据,则可以紧急恢复系统。可以通过自动系统备份来备份 Security Platform 有关用户的具体数据以及紧急恢复数据。
Infineon Security Platform 管理员必须能够访问备份档案以及在设置系统时创建的紧急恢复令牌,并且必须知道保护此令牌的密码。
Infineon Security Platform 管理员必须还原系统,启动 Infineon Security Platform 备份向导。
如果在计算机上进行恢复,并更改名称,则必须知道以前的计算机名称或计算机的平台 ID。在一个备份档案中可能有几台计算机的恢复数据。在此情况下,您需要从备份档案中选择要还原的计算机。
在服务器模式下,由 Trusted Computing Management Server 处理紧急恢复。
从系统备份中恢复存储在受 EFS 保护文件中的文件。而 Infineon Security Platform 用户在目标系统中不存在。这种情况如何解决?
如果无法找到基本用户密钥,并且没有设置恢复证书(用于恢复代理),则文档确定丢失。
否则,第一步是从备份中恢复文件。该操作不触及文件的安全相关属性。下一步必须使用恢复证书来启用恢复代理对文件进行解密。
常用应用程序在标准临时文件夹外创建临时文件。通常,所有临时文件夹均非 EFS 保护。如何保护此应用程序的临时文件,特别是当关闭应用程序后这些文件仍然保留在硬盘上?
这是很多应用程序共同的问题。根据应用程序的不同,可能有创建的临时文件保存在配置的 EFS 文件夹处。如果此文件夹不是在用户配置文件(通常称为“应用程序数据”)内的 %AppData% 文件夹中,则它特定于应用程序中的功能,一般没有如何处理这种情况的说明。一旦知道这个位置(并且应用程序不支持对此文件夹的配置),将 EFS 安全应用到具体的文件夹上可以解决此问题。如果这种方法不可行,至少可以保证在关闭应用程序后将删除这些文件。
在 Microsoft Developer Network (MSDN) 中提供了有关加密文件系统的详细故障排除信息。
用户首次访问文件夹时,要求输入基本用户密钥的密码。如果此对话框取消并且配置了恢复代理,则用户仍可以访问 EFS 文件夹中的数据,只要恢复代理的私用密钥对用户可用。这是否为系统的一个错误?
这种现象是正确的,因为恢复代理的设计用于此目的。当 EFS 文件夹配置了恢复证书后,首次访问文件夹时恢复代理将使用此证书。根据计算机是否在一个域中,会有以下不同的解决方法:
计算机在一个域中:此时管理员要进行证书的分配。如果没有为特定的 Infineon Security Platform 用户进行分配,所述的现象不会出现。
计算机运行的是 Windows 2000,而不是域成员:一个可行的方法是确保恢复代理的私用密钥对普通 Security Platform 用户不可用。
计算机运行的是其他支持的操作系统,并且不是域成员:此情况下,通常不存在恢复证书,因此上述现象不会出现。
©Infineon Technologies AG