Infineon Security Platform 用户策略

Infineon Security Platform

Infineon Security Platform 解决方案 - 策略管理

Infineon Security Platform 用户策略

Infineon Security Platform 解决方案软件支持以下用户策略设置。

服务器模式下,域管理员通过 Trusted Computing Management Server 在域范围内配置用户策略。请注意,Trusted Computing Management Server 提供的管理模板文件中描述了仅对于服务器模式有效的设置。
默认值:如果之前没有明确设置策略(即本地组策略编辑器显示为未配置的状态),则 Security Platform 解决方案软件将应用默认值。

所有版本设置

对独立模式版本和服务器模式版本都有效的设置。
策略 说明 默认值
基本用户密码 - 最小密码长度 启用:输入所需的最小基本用户密码长度,例如 6。
最小密码长度对可以连续设置或更改的基本用户密码有效。

禁用:最小密码长度为 6 个字符。

密码处理详细信息
启用,6 个字符
基本用户密码 - 密码必须符合复杂性要求 启用:对可以连续设置或更改的基本用户密码执行密码复杂性要求。

禁用:没有执行任何密码复杂性要求。

密码复杂性详细信息
禁用
基本用户密码 - 基本用户密码有效期 确定基本用户密码的有效期(天),有效期过后系统将要求用户更改密码。

启用:

  • 基本用户密码有效期:输入所需的基本用户密码有效期,例如,42 天。
  • 基本用户密码过期警告:指定在基本用户密码过期之前提前几天向用户发出通知,例如,7 天。

禁用: 未指定基本用户密码有效期,即,密码不会过期。

禁用
基本用户密钥片语 - 最小密钥片语长度 启用:输入所需的最小基本用户密钥片语长度,例如 20。
最小密钥片语长度对可以连续设置或更改的基本用户密钥片语有效。

禁用:最小密钥片语长度为 20 个字符。

只在使用增强鉴权时与策略相关。

增强鉴权详细信息
启用,20 个字符
基本用户密钥片语 - 密钥片语必须符合复杂性要求 启用:对可以连续设置或更改的基本用户密钥片语执行复杂性要求。

禁用:没有执行任何复杂性要求。

只在使用增强鉴权时与策略相关。

密码复杂性详细信息
增强鉴权详细信息
禁用
控制快速初始化 启动/允许:快速初始化向导或安全平台初始化向导以及用戶初始化向导将可进行平台及用戶之初始化作业。

启动/强制:快速初始化向导将被用来初始化平台及用戶.而且相关之功能(EFS,PSD)也必需透过快速初始化向导进行配置。

禁用:快速初始化向导不能用来初始化平台及用戶.相关设定需透过安全 平台初始化向导以用戶之初始化向导来完成。

启动/允许
允许用户暂时禁用 Security Platform 功能 启用:Infineon Security Platform 用户可以关闭活动 Security Platform 功能,直到下次重新启动计算机。

禁用:在 Security Platform 解决方案软件的用户界面中无法暂时禁用 Infineon Security Platform。

此策略仅对 Security Platforms 与 Infineon Trusted Platform Module 1.1 相关。
当用户注销和其他用户登录时,停用的 Security Platform 功能仍然保持停用,直到重新启动计算机。

启用:
允许安全电子邮件配置 启用:允许用户配置 Security Platform 功能安全电子邮件

禁用:用户不能配置此功能,但可以使用以前的配置。

启用:
允许 EFS 配置 启用:允许用户配置 Security Platform 功能用加密文件系统 (EFS) 加密文件夹

禁用:用户不能配置此功能,但可以使用以前的配置。

Windows Home 版本不支持 EFS。

启用:
允许 PSD 配置 启用:允许用户配置 Security Platform 功能使用 Personal Secure Drive (PSD) 对文件和文件夹进行加密

禁用:用户不能配置此功能,但可以使用以前的配置。

启用:
强制启用密码重置 启用:启用密码重置在用户初始化过程中为必填项。
如果 Security Platform 用户已经初始化并且没有启用密码重置,则不执行启用密码重置。

禁用:不执行对密码重置的启用。在用户初始化以后通过此步骤来启用密码重置:设置工具 - 密码重置 - 启用...

禁用
强制增强型鉴权 启用:Security Platform 用户必须使用增强型鉴权(使用基本用户密钥片语)

禁用: Security Platform 用户可以决定是否要使用增强型鉴权(使用基本用户密钥片语)或密码鉴权(使用基本用户密码)。

只有为所有用户至少启用一个鉴权设备时,此策略才相关。如果已经初始化 Security Platform 用户,但未选择鉴权设备,则不会强制使用增强鉴权。

增强鉴权详细信息
禁用
启用基本用户密码缓存 启用:基本用户密码可以缓存在 Infineon Security Platform 软件中,因此要减少在当前登录对话中要求输入的密码数量。这可以最小化用户提示密码的数量。

禁用:基本用户密码对话框不提供暂时缓存基本用户密码的能力。

启用:
从证书登录向导启动 URL 启用:此设置指定 Infineon Security Platform 用户初始化向导使用 web 浏览器重新获得证书的 web 地址。
只有启用此设置,并且已经为配置选择了至少一个 Security Platform 功能时,才会在用户初始化向导中提供获取证书的页面。

禁用:不可使用 Infineon Security Platform 用户初始化向导中的该页来获得证书。

注意:

  • 此设置受系统策略支持,与 Security Platform 解决方案软件以前的版本相兼容。
  • 建议:将此设置用作用户策略。
  • 当此设置不依赖于证书的使用时,则 EFS 证书将会有特殊用户策略(EFS 证书类型和登录)。
禁用
EFS 证书类型和登录 启用:您可以限制 EFS 证书类型。您还可以通过指定证书颁发机构的 web 地址来启用外部 EFS 证书注册。

1. EFS 证书类型:指定您是否允许所有证书类型(域、外部以及自我签名的证书)或只指定某些特定的证书类型。当用户要登录或选择证书时将应用此限制。

  • 域证书:通过证书颁发机构在您的域中注册证书。
  • 外部证书:利用 WWW. 可以访问的证书颁发机构来注册证书。
  • 自我签名证书:在您自己的 PC 上创建证书。

2. 证书申请 URL:输入用作 EFS 证书登录的 CA 证书申请 web 地址,例如 https://www.companyname.com/foldername。
从外部证书颁发机构 (CA) 申请 EFS 证书时将会使用此目标路径。

  • 可以选择用该证书申请 URL。
  • 如果未在此处指定路径,用户将不能申请外部 EFS 证书。
  • 如果您要启用外部 EFS 证书,请输入所有 Security Platform PC 都可以访问的有效路径。 否则 EFS 证书登录将失败。

禁用:EFS 证书类型不受限制。未设置用于检索 EFS 证书的 web 地址,即,用户不能申请外部 EFS 证书。

注意:

  • 注意 EFS 证书不仅用于 EFS,也用于 PSD。
  • 如果此设置仅对 EFS 证书有效 (用于 EFS 或 PSD),将会有不依赖域证书使用的用户策略(从证书登录向导启动 URL)出现。

如何注册和选择 EFS 证书

禁用
在 EFS 证书到期时间发生警告 启用:在 EFS 证书过期前将有提示框通知 Security Platform 用户。指定此通知何时发出,例如,在证书到期前 14 天。

禁用:没有证书到期的通知。

证书到期前 14 天将通知用户。
EFS 自签名证书有效期 启用: 指定自签名 EFS 证书的有效期。

禁用: 有效期为 10 年。

启用有效期为 10 年。
Personal Secure Drive 的文件位置 启用或 PSD 默认驱动器:这将会设置创建 Personal Secure Drive 图像文件的驱动器。在编辑字段输入有效的磁盘名称,包括冒号,但不含其他路径(例如,C:)。如果驱动器盘符无效,用户将不能创建 Personal Secure Drive 图像文件。

禁用:用户可以选择创建 Personal Secure Drive 图像文件的目标驱动器。

禁用
创建 PSD 后的最小自由空间 启用:如果 PSD 保存在系统驱动器上(当前操作系统位于其中),则在 PSD 配置后将留下定义的自由空间量。指定在 PSD 配置完成后要留下多少自由空间。

禁用:在创建 PSD 以后在系统分区中没有限制自由空间。

示例:
启用策略并将其设置为 5000 MB。
对于 Windows 7 和 Windows Vista 最小 PSD 驱动器大小为 20 MB,其他操作系统为 10 MB。

  • 假设在 PSD 创建之前自由空间是 5050 MB,则最大的 PSD 大小将会是 50 MB。
  • 假设自由空间是 5000 MB,则您不能在系统驱动器上创建 PSD。
启用策略并将其设置为 5000 MB。
允许为用户导入密钥 启用:允许 Security Platform 用户将私用密钥导入至 Security Platform。注意,私用密钥将跟随证书通过证书查看器和证书选择一起导入。

禁用:不允许 Security Platform 用户将私用密钥导入至 Security Platform。

启用:
为 MS-CAPI 签名密钥执行强大的私用密钥保护

启用:MS-CAPI 界面用于排他性签名操作的所有密钥均受强大的私用保护。在此情况下,密钥受它本身的密码所保护,每次使用密钥签名操作时都要求输入密码。

禁用:没有以特殊形式保护签名密钥。

可以缓存此特殊密码以防止重复输入。因为此密码与基本用户密钥无关,所以用于基本用户密码的缓存机制不会影响密码。
禁用
创建不可移植的基本用戶密钥

启用/依需求: 用戶在第一次使用Infineon TPM加强型之密码函式时将被要求建立不可移植的基本用戶密钥。加强型密码函式只允许用戶建立不可移植之基本用戶密钥。

启用/自动: 新建立之用戶将在用戶初始化的过程中自动建立不可移植的基本用戶密钥。而已经初始化之用戶, 将在使用的过程中建立不可移植的基本用戶密钥。

禁用: 不可移植之用戶密钥不会建立。 而且加强 型密码函式也不可以使用。

 
启动/依需求

独立模式版本设置

仅对独立模式版本有效的设置。
策略 说明 默认值
发生备份警告 启用:如果特定于用户的凭证和密钥备份失败(例如,因为备份位置不可访问),将有提示框通知 Security Platform 用户。指定发送此通知的频率,例如,在备份失败后每两天发送一次,直到下次成功备份。

禁用:没有备份失败的通知。

每天通知用户。
允许用户登录 启用或允许管理界面和向导:用户可以通过 Management Provider 界面、快速初始化向导或用户初始化向导进行初始化。

启用或允许 Management Provider 管理员只能调用管理提供界面,但不能运行 Security Platform 解决方案工具。

禁用:Security Platform 不允许用户执行任何函数。

启用或允许管理界面和向导


©Infineon Technologies AG