ProtectTools 使用指南
© Copyright 2007 Hewlett-Packard Development Company, L.P. Microsoft 及 Windows 是 Microsoft Corporation 在美國的註冊商標。 Intel 是 Intel Corporation 或其子公司在美國和其他國 家/地區的商標或註冊商標。 AMD、AMD Arrow 標誌及其組合是 Advanced Micro Devices, Inc 的商標。Bluetooth 是其持有人 所擁有的商標,並供 Hewlett-Packard Company 依授權規範使用。 Java 是 Sun Microsystems, Inc.
目錄 1 安全性簡介 HP ProtectTools 功能 ........................................................................................................................... 2 存取 HP ProtectTools 安全性 ............................................................................................................... 3 達成重要的安全性目標 ......................................................................................................................... 4 防止發生針對性偷竊事件 .......................................................................
新增帳戶 ............................................................................................................ 19 移除帳戶 ............................................................................................................ 19 使用單一登入 (Single Sign On) .......................................................................................... 19 註冊新應用程式 ................................................................................................. 19 使用自動註冊 ............................................
一般工作 ............................................................................................................................................. 42 變更 Java 卡 PIN 碼 ........................................................................................................... 42 選取讀取器 ......................................................................................................................... 42 進階工作(僅適用於管理員) ..........................................................................................
HP ProtectTools 的裝置存取管理員 (Device Access Manager for HP ProtectTools) ......................... 77 其他事項 ............................................................................................................................................. 78 辭彙 ..................................................................................................................................................................... 81 索引 .........................................................................................
1 安全性簡介 HP ProtectTools 安全管理員 (ProtectTools Security Manager) 軟體提供了安全性功能,有助於防止未 授權者存取電腦、網路及重要資料。 進階安全性功能由下列軟體模組提供: ● HP ProtectTools 的認證管理員 (Credential Manager for HP ProtectTools) ● HP ProtectTools 的嵌入式安全性 (Embedded Security for HP ProtectTools) ● HP ProtectTools 的 Java 卡安全性 (Java Card Security for HP ProtectTools) ● HP ProtectTools 的 BIOS 組態 (BIOS Configuration for HP ProtectTools) ● HP ProtectTools 的裝置存取管理員 (Device Access Manager for HP ProtectTools) ● HP ProtectTools 的磁碟機加密 (Drive Encryptio
HP ProtectTools 功能 下表將詳細說明 HP ProtectTools 模組的重要功能: 模組 重要功能 HP ProtectTools 的認證管理員 (Credential Manager for HP ProtectTools) ● 認證管理員 (Credential Manager) 可作為個人密碼資料庫。 ● 單一登入 (Single Sign On) 功能可記憶多個受密碼保護之網站、應 用程式及網路資源的密碼。 ● 單一登入 (Single Sign On) 功能會在進行使用者驗證時,要求使用 者提供各種不同的安全性技術之認證組合,例如 Java™ 卡與生物 測定,以提供進一步的防護措施。 ● 密碼在儲存時將先進行加密,並透過 TPM 嵌入式安全晶片與/或安 全性裝置驗證,例如 Java 卡或生物測定,來強化防護等級。 ● 嵌入式安全性 (Embedded Security) 是透過信任平台模組 (TPM) 的嵌入式安全晶片來保護儲存在本機電腦的敏感性使用者資料或機 密,使其不受到未獲授權的使用者存取。 ● 嵌入式安全性 (Embedded Security
存取 HP ProtectTools 安全性 若要從 Windows® 的「控制台」存取 HP ProtectTools 安全性: ▲ 請選擇「開始」>「所有程式」>「HP ProtectTools 安全管理員 (HP ProtectTools Security Manager)」。 附註: 設定認證管理員 (Credential Manager) 模組後,您也可以從 Windows 登入螢幕中,直 接登入認證管理員 (Credential Manager),以開啟 HP ProtectTools。 如需詳細資訊,請參閱 「18 頁的使用認證管理員 (Credential Manager) 登入 Windows」。 ZHTW 存取 HP ProtectTools 安全性 3
達成重要的安全性目標 各個 HP ProtectTools 模組可以協同運作以針對各種安全性問題提供解決方案,包括下列重要的安全性 目標: ● 防止發生針對性偷竊事件 ● 限制存取敏感性資料 ● 防止未獲授權的使用者從內部或外部位置進行存取 ● 建立不易破解的密碼政策 防止發生針對性偷竊事件 這類意外事件很可能會發生在某處機場安全檢查站,針對某部電腦竊取其中的機密資料與客戶資訊。 下 列功能可協助防止發生針對性偷竊事件: ● 預先開機驗證功能一旦啟用,就可以協助預防存取作業系統。 請參閱下列程序: ● “51 頁的啟用與停用智慧卡開機驗證支援” ● “52 頁的為嵌入式安全性 (Embedded Security) 啟用及停用開機驗證支援” ● “44 頁的指定 Java 卡的名稱” ● “63 頁的 HP ProtectTools 的磁碟機加密 (Drive Encryption for HP ProtectTools)” ● 磁碟機/光碟機鎖 (DriveLock) 可在硬碟遭到移除並安裝到不安全的系統中時,確保他人無法存取其 中的資料。 請參閱「53 頁的啟用及停用自
防止未獲授權的使用者從內部或外部位置進行存取 如果有部內含機密資料與客戶資訊的電腦可從內部或外部位置進行存取,未獲授權的使用者就可能藉此 進入並存取企業網路資源或是來自財務部門、某位主管或是 R&D 小組的資料,或是存取諸如病歷或個 人財務資料的私密資訊。 下列功能可協助您防止未獲授權的存取: ● ● 預先開機驗證功能一旦啟用,就可以協助預防存取作業系統。 請參閱下列程序: ● “51 頁的啟用與停用智慧卡開機驗證支援” ● “52 頁的為嵌入式安全性 (Embedded Security) 啟用及停用開機驗證支援” ● “44 頁的指定 Java 卡的名稱” ● “63 頁的 HP ProtectTools 的磁碟機加密 (Drive Encryption for HP ProtectTools)” HP ProtectTools 的嵌入式安全性 (Embedded Security for HP ProtectTools) 可經由下列程序,協 助保護儲存在本機電腦上的敏感性使用者資料或認證: ● ● ● 嵌入式安全性 (Embedded Security)「32 頁的設定程序」 “
其他的安全性要素 指定安全性角色 管理電腦安全性(特別是大型組織時)時,在各種管理員和使用者類型之間分割責任和權利,是實務中 很重要的一環。 附註: 在小型的組織或個人用戶中,同一個人可能會兼具不同角色。 對於 HP ProtectTools,可將安全性責任和權限分割成下列角色: ● 安全性主管 — 定義公司或網路的安全性等級,並決定要部署的安全性功能,例如 Java™ 卡、生物 測定讀取器或 USB Token 等裝置。 附註: 安全性主管可與 HP 合作,自訂 HP ProtectTools 的許多功能。 如需詳細資訊,請 參閱 HP 網站,網址是 http://www.hp.
HP ProtectTools 密碼 在此 HP ProtectTools 模組 中設定 功能 擁有者密碼 嵌入式安全性 (Embedded Security),由 IT 管理員設定 保護系統和 TPM 晶片,防止他人在未獲授權 的情況下,存取嵌入式安全性 (Embedded Security) 的全部擁有者功能。 Java™ 卡 PIN 碼 Java 卡安全性 (Java Card Security) 保護對 Java 卡內容的存取,並驗證 Java 卡 使用者。 當用於開機驗證時,Java 卡 PIN 碼也可以保護對電腦設定 (Computer Setup) 公用程式和電腦內容的存取。 如果選擇使用 Java 卡 Token 的話,就會驗 證磁碟機加密 (Drive Encryption) 機制的使用 者。 電腦設定 (Computer Setup) 密碼 BIOS 組態 (BIOS Configuration),由 IT 管理員 設定 保護對電腦設定 (Computer Setup) 公用程式 的存取。 開機密碼 (Power-On Password) BIOS 組態 (BIO
建立安全密碼 建立密碼時,您必須先遵循程式設定的所有規格。 不過,您通常應該考慮使用下列指導方針,以協助您 建立不易破解的密碼,並降低密碼被竊取的機會: ● 使用超過 6 個字元的密碼,最好有 8 個以上。 ● 請在密碼中混用大小寫字母。 ● 可能的話,請混用英數字元並加入特殊字元和驚嘆號。 ● 替代關鍵字中的特殊字元或數字。 例如,您可以使用數字 1 代表字母 I 或 L。 ● 組合使用 2 或多種語言的字。 ● 以數字或特殊字元分割字或詞的中央,例如 "Mary2-2Cat45"。 ● 請勿使用字典裏有的字做為密碼。 ● 請勿使用您的名稱當做密碼,或其他任何個人資訊,如生日、寵物名稱或母親的本姓,即使是倒著 用也一樣。 ● 定期變更密碼。 您只能變更增加的一組字元。 ● 如果您記下密碼,請不要將它放在電腦旁很容易看到的地方。 ● 請不要將密碼儲存在電腦的檔案中,如電子郵件。 ● 請勿與他人共用帳戶,或將帳戶告訴他人。 HP ProtectTools 備份和還原 (HP ProtectTools Backup and Restore) HP ProtectTo
使用 HP ProtectTools 備份精靈 (HP ProtectTools Backup Wizard) 來選取並備份 HP ProtectTools 模組 1. 請選擇「開始」>「所有程式」>「HP ProtectTools 安全管理員 (HP ProtectTools Security Manager)」。 2. 在 左 側 窗 格 中 , 按 一 下 「 HP ProtectTools 」 , 然 後 再 按 一 下 「 備 份 和 還 原 (Backup and Restore)」。 3. 在右側窗格中,按一下「備份選項 (Backup Options)」。 「HP ProtectTools 備份精靈 (HP ProtectTools Backup Wizard)」視窗便會開啟。 請依照螢幕上的指示,做好認證的備份作業。 設定備份選項 1. 請選擇「開始」>「所有程式」>「HP ProtectTools 安全管理員 (HP ProtectTools Security Manager)」。 2.
5. 按一下「設定密碼 (Set Password)」並在「設定密碼 (Set Password)」對話方塊中,鍵入和確認 密碼。 按一下「確定 (OK)」。 6. 按一下「套用 (Apply)」。 按一下「排程 (Schedule)」標籤。 按一下「排定工作 (Schedule Task)」方向鍵,然後選取自動備份頻率。 7. 在「開始時間 (Start time)」底下,使用「開始時間 (Start time)」方向鍵來選取要開始備份工作的 確實時間。 8. 按一下「進階 (Advanced)」,選取開始時間、結束時間以及重複執行的工作設定。 按一下「套 用 (Apply)」。 9. 按 一 下 「 設 定 (Settings) 」 , 然 後 分 別 選 取 「 已 完 成 排 定 的 工 作 (Scheduled Task Completed)」、「閒置時間 (Idle Time)」以及「電源管理 (Power Management)」中的設定。 10. 按一下「套用 (Apply)」,再按一下「確定 (OK)」關閉對話方塊。 還原認證 1.
2 HP ProtectTools 的認證管理員 (Credential Manager for HP ProtectTools) HP ProtectTools 的認證管理員 (Credential Manager for HP ProtectTools) 可透過下列安全性功能,防 止未獲授權的使用者存取您的電腦: ZHTW ● 不使用密碼登入 Windows 的替代方案,如使用 Java 卡或生物測定讀取器登入 Windows。 如需其 他資訊,請參閱「13 頁的註冊認證」。 ● 單一登入功能 (Single Sign On) 可自動記憶網站、應用程式及受保護的網路資源之認證。 ● 支援選購的安全性裝置,如 Java 卡和生物測定讀取器。 ● 支援其他安全性設定,如要求使用選購的安全性裝置進行驗證以解除電腦的鎖定。 11
設定程序 登入認證管理員 (Credential Manger) 視組態而定,您可以使用下列任一方式登入認證管理員 (Credential Manager): ● 認證管理員登入精靈 (Credential Manager Logon Wizard)(建議使用) ● 通知區中的 HP ProtectTools 安全管理員 (HP ProtectTools Security Manager) 圖示 ● HP ProtectTools 安全管理員 (HP ProtectTools Security Manager) 附註: 如果您使用「Windows 登入」畫面上的「認證管理員登入 (Credential Manager Logon)」提示,來登入認證管理員 (Credential Manager),則您同時也會登入 Windows。 當您首次開啟認證管理員 (Credential Manager) 時,請使用一般的 Windows 登入密碼登入。 然後系統 會自動以您的 Windows 登入認證,建立認證管理員 (Credential Manager) 帳戶。 登入「認證管理員」(Credentia
首次登入 開始之前,您必須以管理員帳戶登入 Windows,但不能登入認證管理員 (Credential Manager)。 1. 在通知區中按兩下「HP ProtectTools 安全管理員 (HP ProtectTools Security Manager)」圖示,開 啟 HP ProtectTools 安全管理員 (HP ProtectTools Security Manager)。 「HP ProtectTools 安全管 理員 (HP ProtectTools Security Manager)」視窗便會開啟。 2. 在左側窗格中,按一下「認證管理員 (Credential Manager)」,然後在右側窗格中按一下右上角的 「登入 (Log On)」。 認證管理員登入精靈 (Credential Manager Logon Wizard) 便會開啟。 3.
設定指紋讀取器 1. 登入認證管理員 (Credential Manager) 之後,請將手指掃過指紋讀取器。 認證管理員註冊精靈 (Credential Manager Registration Wizard) 便會開啟。 2. 請依照螢幕上的指示,完成指紋註冊並設定好指紋讀取器。 3. 若要在指紋讀取器上對其他 Windows 使用者進行設定,請以該使用者的身份登入 Windows,再重 複步驟 1 與 2。 使用您的註冊指紋登入 Windows 1. 在註冊指紋後,立即重新啟動 Windows。 2. 在 Windows 歡迎畫面中,將任一隻已註冊的手指掃過指紋感應器,以登入 Windows。 註冊 Java 卡、USB eToken 或虛擬 Token 附註: 您必須設定讀取器才能執行這個程序。 如果您尚未安裝讀取器,可以依照「16 頁的 建立虛擬 Token」的說明註冊虛擬 Token。 1. 請選擇「開始」>「所有程式」>「HP ProtectTools 安全管理員 (HP ProtectTools Security Manager)」。 2.
ZHTW 3. 在右側窗格中,按一下「註冊認證 (Register Credentials)」。 認證管理員註冊精靈 (Credential Manager Registration Wizard) 便會開啟。 4.
一般工作 所有使用者都可以存取認證管理員 (Credential Manager) 的「我的身份 (My Identity)」頁面。 從「我的 身份 (My Identity)」頁面,您可以 ● 建立虛擬 Token ● 變更 Windows 登入密碼 ● 管理 Token PIN 碼 ● 管理身份識別 ● 鎖定電腦 附註: 只有在已啟用認證管理員 (Credential Manager) 的傳統登入提示時,才能使用這個 選項。 請參閱「27 頁的範例 1 — 使用「進階設定 (Advanced Settings)」頁面,允許從認 證管理員 (Credential Manager) 登入 Windows」。 建立虛擬 Token 虛擬 Token 的運作方式很類似 Java 卡或 USB eToken。 Token 是儲存在電腦硬碟或 Windows 登錄 中。 當您以虛擬 Token 登入時,系統會要求您提供使用者 PIN 碼,來完成驗證。 若要建立新的虛擬 Token: 1.
變更 Token PIN 碼 1. 請選擇「開始」>「所有程式」>「HP ProtectTools 安全管理員 (HP ProtectTools Security Manager)」。 2. 在左側窗格中,按一下「認證管理員 (Credential Manager)」。 3. 在右側窗格中,按一下「變更 Token PIN (Change Token PIN)」。 4. 選擇要變更 PIN 碼的 Token,然後按一下「下一步 (Next)」。 5. 請依照螢幕上的指示完成 PIN 碼變更。 管理身份識別 從系統清除身份識別 附註: 這不會影響您的 Windows 使用者帳戶。 ZHTW 1. 請選擇「開始」>「所有程式」>「HP ProtectTools 安全管理員 (HP ProtectTools Security Manager)」。 2. 在左側窗格中,按一下「認證管理員 (Credential Manager)」。 3. 在右側窗格中,按一下「清除這個帳戶的身份識別 (Clear Identity for this Account)。 4.
鎖定電腦 如果您使用認證管理員 (Credential Manager) 登入 Windows,便會提供這項功能。 當您離開桌面時, 若要保護您的電腦,請使用「鎖定工作站 (Lock Workstation)」功能。 這能防止未授權的使用者存取您 的電腦。 只有您和您電腦上的管理員群組成員可解除它的鎖定。 附註: 只有在已啟用認證管理員 (Credential Manager) 的傳統登入提示時,才能使用這個選 項。 請參閱「27 頁的範例 1 — 使用「進階設定 (Advanced Settings)」頁面,允許從認證管理 員 (Credential Manager) 登入 Windows」。 為了加強安全性,可以設定「鎖定工作站 (Lock Workstation)」功能,如此必須取得 Java 卡、生 物測定讀取器或 Token 才能解除電腦的鎖定。 如需詳細資訊,請參閱「27 頁的設定認證管理 員 (Credential Manager) 設定」。 若要鎖定電腦: 1.
新增帳戶 1. 請選擇「開始」>「所有程式」>「HP ProtectTools 安全管理員 (HP ProtectTools Security Manager)」。 2. 在左側窗格中,按一下「認證管理員 (Credential Manager)」,然後再按一下「服務及應用程式 (Services and Applications)」。 3. 在右側窗格中,按一下「Windows 登入 (Windows Logon)」,然後再按一下「新增網路帳戶 (Add a Network Account)」。 新增網路帳戶精靈 (Add Network Account Wizard) 便會開啟。 4. 請依照螢幕上的說明繼續執行。 移除帳戶 1. 請選擇「開始」>「所有程式」>「HP ProtectTools 安全管理員 (HP ProtectTools Security Manager)」。 2. 在左側窗格中,按一下「認證管理員 (Credential Manager)」,然後再按一下「服務及應用程式 (Services and Applications)」。 3.
4. 5. 按一下「更多 (More)」,並選擇下列選項: ● 不要使用這個網站或應用程式的 SSO (Do not use SSO for this site or application)。 ● 提示選擇這個應用程式的帳戶 (Prompt to select account for this application)。 ● 填寫認證但不提交 (Fill in credentials but do not submit)。 ● 先驗證使用者再提交認證 (Authenticate user before submitting credentials)。 ● 顯示這個應用程式的 SSO 捷徑 (Show SSO shortcut for this application)。 按一下「是 (Yes)」,完成註冊。 使用手動(拖放)註冊 1. 請選擇「開始」>「所有程式」>「HP ProtectTools 安全管理員 (HP ProtectTools Security Manager)」。 2.
3. 在右側窗格中,於「單一登入 (Single Sign On)」下,按一下「管理應用程式和認證 (Manage Applications and Credentials)」。 4. 按一下要移除的應用程式項目,再按一下「移除 (Remove)」。 5. 在確認對話方塊中,按一下「是 (Yes)」。 6. 按一下「確定 (OK)」。 匯出應用程式 您可以匯出應用程式來建立「單一登入 (Single Sign On)」應用程式指令檔的備份。 接下來可使用此檔 案以復原「單一登入 (Single Sign On)」資料。 這個動作可彌補身份識別備份檔的不足,因其僅包含認 證資訊。 若要匯出應用程式: 1. 請選擇「開始」>「所有程式」>「HP ProtectTools 安全管理員 (HP ProtectTools Security Manager)」。 2. 在左側窗格中,按一下「認證管理員 (Credential Manager)」,然後再按一下「服務及應用程式 (Services and Applications)」。 3.
3. 在右側窗格中,於「單一登入 (Single Sign On)」下,按一下「管理應用程式和認證 (Manage Applications and Credentials)」。 4. 按一下要修改的應用程式項目,再按一下「更多 (More)」。 5. 請選擇以下任一個選項: ● ● 應用程式 (Applications) ● 新增 (Add New) ● 移除 (Remove) ● 內容 (Properties) ● 匯入指令檔 (Import Script) ● 匯出指令檔 (Export Script) 認證 (Credentials) ● ● 新建 (Create New) 檢視密碼 (View Password) 附註: 在檢視密碼之前,必須先驗證您的身份識別。 6. 請依照螢幕上的說明繼續執行。 7. 按一下「確定 (OK)」。 使用應用程式保護 這項功能可以讓您設定對應用程式的存取。 您可以依據下列準則來限制存取: ● 使用者類別 ● 使用時間 ● 使用者無活動 限制存取應用程式 1.
5. 按一下「新增 (Add)」。 新增程式精靈 (Add a Program Wizard) 便會開啟。 6. 請依照螢幕上的說明繼續執行。 從應用程式移除保護 若要從應用程式移除保護: 1. 請選擇「開始」>「所有程式」>「HP ProtectTools 安全管理員 (HP ProtectTools Security Manager)」。 2. 在左側窗格中,按一下「認證管理員 (Credential Manager)」,然後再按一下「服務及應用程式 (Services and Applications)」。 3. 在右側窗格中,於「應用程式保護 (Application Protection)」下,按一下「管理保護的應用程式 (Manage Protected Applications)」。 「應用程式保護服務 (Application Protection Service)」 對話方塊便會開啟。 4.
7. 24 選擇「受限 (Restricted)」時,可以指定下列設定: a. 如果要依據時間、星期或日期來限制使用,請按一下「排程 (Schedule)」標籤,並設定組態。 b. 如果要依據無活動的狀態來限制使用,請按一下「進階 (Advanced)」標籤,並選擇無活動的 期間。 8. 按一下「確定 (OK)」,關閉應用程式的「內容 (Properties)」對話方塊。 9.
進階工作(僅適用於管理員) 認證管理員 (Credential Manager) 的「驗證及認證 (Authentication and Credentials)」頁面和「進階設 定 (Advanced Settings)」頁面,僅適用於具有管理員權限的使用者。 您可以從這些頁面執行下列工 作: ● 指定使用者和管理員如何登入 ● 確認自訂驗證需求 ● 設定認證內容 ● 設定認證管理員 (Credential Manager) 設定 指定使用者和管理員如何登入 在「驗證及認證 (Authentication and Credentials)」頁面中,您可以指定使用者或管理員需要哪一種認 證類型或認證組合。 若要指定使用者或管理員的登入方式: ZHTW 1. 請選擇「開始」>「所有程式」>「HP ProtectTools 安全管理員 (HP ProtectTools Security Manager)」。 2.
確認自訂驗證需求 如 果 所 要 的 驗 證 認 證 組 未 列 在 「 驗 證 及 認 證 (Authentication and Credentials) 」 頁 面 的 「 驗 證 (Authentication)」標籤中,您可以建立自訂需求。 若要設定自訂需求: 1. 請選擇「開始」>「所有程式」>「HP ProtectTools 安全管理員 (HP ProtectTools Security Manager)」。 2. 在左側窗格中,按一下「認證管理員 (Credential Manager)」,然後再按一下「驗證及認證 (Authentication and Credentials)」。 3. 在右側窗格中,請按一下「驗證 (Authentication)」標籤。 4. 按一下類別清單中的類別(「使用者 (Users)」或「管理員 (Administrators)」)。 5. 按一下驗證方法清單中的「自訂 (Custom)」。 6. 按一下「設定 (Configure)」。 7. 選擇要使用的驗證方法。 8.
4. 5.
附註: 選擇「使用含傳統登入提示的認證管理員 (Use Credential Manager with classic logon prompt)」核取方塊可讓您鎖定電腦。 請參閱「18 頁的鎖定電腦」。 28 第 2 章 HP ProtectTools 的認證管理員 (Credential Manager for HP ProtectTools) ZHTW
範例 2 — 使用「進階設定 (Advanced Settings)」頁面,在單一登入 (Single Sign On) 之前驗 證使用者 ZHTW 1. 請選擇「開始」>「所有程式」>「HP ProtectTools 安全管理員 (HP ProtectTools Security Manager)」。 2. 在 左 側 窗 格 中 , 按 一 下 「 認 證 管 理 員 (Credential Manager) 」 , 然 後 再 按 一 下 「 設 定 (Settings)」。 3. 在右側窗格中,請按一下「單一登入 (Single Sign On)」標籤。 4. 在「造訪註冊的登入對話方塊或網頁時 (When Registered Logon Dialog or Web Page is Visited) 」 下 , 選 擇 「 先 驗 證 使 用 者 再 提 交 認 證 (Authenticate user before submitting credentials)」核取方塊。 5. 請按一下「套用 (Apply)」,然後按一下「確定 (OK)」。 6.
30 第 2 章 HP ProtectTools 的認證管理員 (Credential Manager for HP ProtectTools) ZHTW
3 HP ProtectTools 的嵌入式安全性 (Embedded Security for HP ProtectTools) 附註: 您必須在電腦中安裝整合的信任平台模組 (TPM) 嵌入式安全晶片,才能使用 HP ProtectTools 的嵌入式安全性 (Embedded Security for ProtectTools)。 HP ProtectTools 的嵌入式安全性 (Embedded Security for HP ProtectTools) 可防止他人未獲授權地存 取使用者資料或認證。 這個軟體模組提供下列安全性功能: ● 增強的 Microsoft® 加密檔案系統 (EFS) 檔案和資料夾加密 ● 建立 Personal Secure Drive (PSD) 來保護使用者資料 ● 資料管理功能,例如備份與還原重要的階層 ● 使用嵌入式安全性 (Embedded Security) 軟體時,針對受保護的數位憑證作業,提供支援協力廠商 應用程式(例如 Microsoft Outlook 與 Internet Explorer)的支援 TPM 嵌入式安全晶片可增強並啟用
設定程序 注意: 為了降低安全性風險,強烈建議您的 IT 管理員立即初始化嵌入式安全晶片。 沒有初始 化嵌入式安全晶片可能會使得未獲授權的使用者、電腦病毒或病毒取得電腦的控制權,並控制擁 有者的工作,如處理緊急復原封存,以及設定使用者的存取設定。 遵循以下兩節的步驟來啟用和初始化嵌入式安全晶片。 啟用嵌入式安全晶片 必 須 在 電 腦 設 定 (Computer Setup) 公 用 程 式 中 啟 用 嵌 入 式 安 全 晶 片 。 這 個 程 序 無 法 在 HP ProtectTools 的 BIOS 組態 (BIOS Configuration for HP ProtectTools) 中執行。 若要啟用嵌入式安全晶片: 1. 啟動或重新啟動電腦以開啟電腦設定 (Computer Setup),然後在螢幕左下角顯示 "F10 = ROM Based Setup" 訊息時,按下 f10 鍵。 2.
初始化嵌入式安全晶片 在嵌入式安全性 (Embedded Security) 的初始化過程中,您將執行下列工作: ● 設定嵌入式安全晶片的擁有者密碼,以保護嵌入式安全晶片全部的擁有者功能之存取。 ● 設定緊急復原封存,它是保護的儲存區域,允許重新加密所有使用者的基本使用者金鑰。 若要初始化嵌入式安全晶片: 1. 在 工 作 列 最 右 邊 的 通 知 區 中 , 在 HP ProtectTools 安 全 管 理 員 (HP ProtectTools Security Manager) 圖 示 上 按 一 下 滑 鼠 右 鍵 , 再 選 擇 「 嵌 入 式 安 全 性 初 始 化 (Embedded Security Initialization)」。 HP ProtectTools 嵌入式安全性初始化精靈 (HP ProtectTools Embedded Security Initialization Wizard) 將會開啟。 2.
設定基本使用者帳戶 設定嵌入式安全性 (Embedded Security) 的基本使用者帳戶,以完成下列工作: ● 產生基本使用者金鑰來保護加密的資料,以及設定基本使用者金鑰密碼來保護基本使用者金鑰。 ● 設定 Personal Secure Drive (PSD) 來儲存加密的檔案和資料夾。 注意: 保護基本使用者金鑰密碼。 必須使用這個密碼,才能存取或復原加密的資料。 若要設定基本使用者帳戶和啟用使用者安全性功能: 1. 若嵌入式安全性使用者初始化精靈 (Embedded Security User Initialization Wizard) 未開啟,請選擇 「 開 始 」 > 「 所 有 程 式 」 > 「 HP ProtectTools 安 全 管 理 員 (HP ProtectTools Security Manager)」。 2. 在左側窗格中,按一下「嵌入式安全性 (Embedded Security)」,然後再按一下「使用者設定 (User Settings)」。 3.
一般工作 設定基本使用者帳戶後,可執行下列工作: ● 加密檔案和資料夾 ● 傳送與接收加密的電子郵件 使用 Personal Secure Drive 設定 PSD 後,系統會提示您在下次登入時鍵入基本使用者金鑰密碼。 若正確輸入基本使用者金鑰密 碼,即可從「Windows 檔案總管」直接存取 PSD。 加密檔案和資料夾 使用加密的檔案時,請考慮下列規則: ● 只能加密 NTFS 磁碟分割上的檔案和資料夾。 不能加密 FAT 磁碟分割上的檔案和資料夾。 ● 無法加密系統檔案和壓縮檔,也無法壓縮加密的檔案。 ● 必須加密暫存資料夾,因為這些資料夾可能是駭客的攻擊目標。 ● 當您首次加密檔案或資料夾時,會自動設定復原原則。 當您遺失您的加密憑證和私密金鑰時,這 個原則就能讓您使用復原代理程式以解密資料。 若要加密檔案和資料夾: 1. 在要加密的檔案或資料夾上按一下滑鼠右鍵。 2. 按一下「加密 (Encrypt)」。 3. 按一下下列其中一個選項: 4.
變更基本使用者金鑰密碼 若要變更基本使用者金鑰密碼: 36 1. 請選擇「開始」>「所有程式」>「HP ProtectTools 安全管理員 (HP ProtectTools Security Manager)」。 2. 在左側窗格中,按一下「嵌入式安全性 (Embedded Security)」,然後再按一下「使用者設定 (User Settings)」。 3. 在右側窗格中,於「基本使用者金鑰密碼 (Basic User Key Password)」下,按一下「變更 (Change)。」 4. 鍵入舊密碼,然後設定和確認新密碼。 5.
進階工作 備份和還原 嵌入式安全性 (Embedded Security) 備份功能可建立一個封存,其中包含可在緊急狀況下還原的憑證資 訊。 建立備份檔 若要建立備份檔: 1. 請選擇「開始」>「所有程式」>「HP ProtectTools 安全管理員 (HP ProtectTools Security Manager)」。 2. 在 左 側 窗 格 中 , 按 一 下 「 嵌 入 式 安 全 性 (Embedded Security) 」 , 然 後 再 按 一 下 「 備 份 (Backup)」。 3. 在右側窗格中,請按一下「備份 (Backup)」。 「HP ProtectTools 嵌入式安全性備份精靈 (HP Embedded Security for ProtectTools Backup Wizard)」將會開啟。 4. 請依照螢幕上的說明繼續執行。 從備份檔還原憑證資料 若要從備份檔還原資料: ZHTW 1. 請選擇「開始」>「所有程式」>「HP ProtectTools 安全管理員 (HP ProtectTools Security Manager)」。 2.
變更擁有者密碼 若要變更擁有者密碼: 1. 請選擇「開始」>「所有程式」>「HP ProtectTools 安全管理員 (HP ProtectTools Security Manager)」。 2. 在 左 側 窗 格 中 , 按 一 下 「 嵌 入 式 安 全 性 (Embedded Security) 」 , 然 後 再 按 一 下 「 進 階 (Advanced)」。 3. 在右側窗格中,於「擁有者密碼 (Owner Password)」下,按一下「變更 (Change)」。 4. 鍵入舊的擁有者密碼,然後設定和確認新的擁有者密碼。 5.
ZHTW 3. 在右側窗格中,於「嵌入式安全性 (Embedded Security)」下,按一下「啟用 (Enable)」。 4.
以轉移精靈 (Migration Wizard) 轉移金鑰 轉移是一項進階的管理員工作,可管理、還原和轉移金鑰和憑證。 如需轉移的詳細資訊,請參閱嵌入式安全性 (Embedded Security) 的線上說明。 40 第 3 章 HP ProtectTools 的嵌入式安全性 (Embedded Security for HP ProtectTools) ZHTW
4 HP ProtectTools 的 Java 卡安全性 (Java Card Security for HP ProtectTools) HP ProtectTools 的 Java 卡安全性 (Java Card Security for HP ProtectTools) 可管理具選購讀取器的電 腦之 Java 卡設定和組態。 使用 Java 卡安全性 (Java Card Security),您就可以完成下列工作: ZHTW ● 存取 Java 卡安全性 (Java Card Security) 功能 ● 在開機環境下,可以運用電腦設定 (Computer Setup) 公用程式來啟用 Java 卡驗證。 ● 分別為管理員與使用者設定不同的 Java 卡。 使用者必須插入 Java 卡,並輸入 PIN 碼,作業系統 才會載入 ● 設定及變更密碼,以便使用該 PIN 碼來驗證 Java 卡之使用者 41
一般工作 「一般 (General)」頁面可讓您執行下列工作: ● 變更 Java 卡 PIN 碼 ● 選取讀取器 附註: 讀取器能夠同時使用 Java 卡和智慧卡。 如果您的電腦有多個讀取器時,就能使用 這項功能。 變更 Java 卡 PIN 碼 若要變更 Java 卡 PIN 碼: 附註: Java 卡 PIN 碼必須有 4 到 8 個數字字元。 1. 請選擇「開始」>「所有程式」>「HP ProtectTools 安全管理員 (HP ProtectTools Security Manager)」。 2. 在 左 側 窗 格 中 , 按 一 下 「 Java 卡 安 全 性 (Java Card Security) 」 , 然 後 再 按 一 下 「 一 般 (General)」。 3. 將已具有 PIN 碼的 Java 卡,插入讀取器中。 4. 在右側窗格中,請按一下「變更 (Change)」。 5. 在「變更 PIN 碼 (Change PIN)」對話方塊中,將目前的 PIN 碼鍵入「目前 PIN 碼 (Current PIN)」 方塊中。 6.
進階工作(僅適用於管理員) 「進階 (Advanced)」頁面可讓您執行下列工作: ● 指定 Java 卡 PIN 碼 ● 指定 Java 卡的名稱 ● 設定開機驗證 ● 備份和還原 Java 卡 附註: 您必須具備 Windows 管理員權限,才看得到「進階 (Advanced)」頁面。 指定 Java 卡 PIN 碼 您必須先指定 Java 卡的名稱與 PIN 碼後,才能將它們用於 Java 卡安全性 (Java Card Security)。 若要指定 Java 卡 PIN 碼: 附註: Java 卡 PIN 碼必須有 4 到 8 個數字字元。 ZHTW 1. 請選擇「開始」>「所有程式」>「HP ProtectTools 安全管理員 (HP ProtectTools Security Manager)」。 2. 在 左 側 窗 格 中 , 按 一 下 「 Java 卡 安 全 性 (Java Card Security) 」 , 然 後 再 按 一 下 「 進 階 (Advanced)」。 3. 將新的 Java 卡插入讀取器。 4.
指定 Java 卡的名稱 您必須先對 Java 卡指定名稱後,才能將它用於開機驗證中。 若要指定 Java 卡的名稱: 1. 請選擇「開始」>「所有程式」>「HP ProtectTools 安全管理員 (HP ProtectTools Security Manager)」。 2. 在 左 側 窗 格 中 , 按 一 下 「 Java 卡 安 全 性 (Java Card Security) 」 , 然 後 再 按 一 下 「 進 階 (Advanced)」。 3. 將 Java 卡插入讀取器。 附註: 如果您尚未對此卡指定 PIN 碼,則會開啟「新卡 (New Card)」對話方塊,讓您鍵 入新的名稱與 PIN 碼。 4. 在右側窗格中,於「顯示名稱 (Display name)」下,按一下「變更 (Change)」。 5. 在「名稱 (Name)」方塊中,鍵入 Java 卡名稱。 6. 在「PIN 碼 (PIN)」方塊中,鍵入目前的 Java 卡 PIN 碼。 7.
啟用 Java 卡開機驗證及建立管理員 Java 卡 若要啟用 Java 卡開機驗證: 1. 請選擇「開始」>「所有程式」>「HP ProtectTools 安全管理員 (HP ProtectTools Security Manager)」。 2. 在 左 側 窗 格 中 , 按 一 下 「 Java 卡 安 全 性 (Java Card Security) 」 , 然 後 再 按 一 下 「 進 階 (Advanced)」。 3. 將 Java 卡插入讀取器。 附註: 如果您尚未指定此卡的名稱與 PIN 碼,則會開啟「新卡 (New Card)」對話方塊, 讓您鍵入新的名稱與 PIN 碼。 4. 在右側窗格中,於「開機驗證 (Power-on Authentication)」之下,選擇「啟用 (Enable)」核取方 塊。 5. 在「電腦設定密碼 (Computer Setup Password)」對話方塊中鍵入您電腦設定 (Computer Setup) 的密碼,然後再按一下「確定 (OK)」。 6.
建立使用者 Java 卡 附註: 您必須設定開機驗證和管理員卡,才能建立使用者 Java 卡。 若要建立使用者 Java 卡: 1. 請選擇「開始」>「所有程式」>「HP ProtectTools 安全管理員 (HP ProtectTools Security Manager)」。 2. 在 左 側 窗 格 中 , 按 一 下 「 Java 卡 安 全 性 (Java Card Security) 」 , 然 後 再 按 一 下 「 進 階 (Advanced)」。 3. 插入要做為使用者卡的 Java 卡。 4. 在右側窗格中,於「開機驗證 (Power-on Authentication)」之下,按一下「使用者卡身份識別 (User Card Identity)」旁的「建立 (Create)」。 5. 為使用者 Java 卡鍵入 PIN 碼,然後按一下「確定 (OK)」。 停用 Java 卡開機驗證 當您停用 Java 卡開機驗證後,存取電腦時就不再需要使用 Java 卡。 46 1.
5 HP ProtectTools 的 BIOS 組態 (BIOS Configuration for HP ProtectTools) HP ProtectTools 的 BIOS 組態 (BIOS Configuration for HP ProtectTools) 可存取電腦設定 (Computer Setup) 公用程式的安全性和組態設定。 它能讓使用者利用 Windows 存取電腦設定 (Computer Setup) 所管理的系統安全性功能。 使用 BIOS 組態 (BIOS Configuration) 功能,您就可以完成下列目標: ● 管理開機密碼和管理員密碼。 ● 設定其他開機驗證功能,例如啟用嵌入式安全性驗證支援。 ● 啟用和停用硬體功能,例如光碟開機功能或不同的硬體埠。 ● 設定開機選項 (Boot Options),包括啟用多重開機 (MultiBoot) 和變更開機順序 (Boot Order)。 附註: 您也能在電腦設定 (Computer Setup) 中,使用 HP ProtectTools 的 BIOS 組態 (BIOS Configuration for
一般工作 BIOS 組態 (BIOS Configuration) 可讓您管理只有在啟動時,按下 f10 鍵後進入電腦設定 (Computer Setup) 中,才能存取的各項電腦設定。 管理開機選項 (Boot Options) 您可以使用 BIOS 組態 (BIOS Configuration),來管理在啟動或重新啟動電腦時,所執行的各項工作設 定。 若要管理開機選項 (Boot Options): 1. 請選擇「開始」>「所有程式」>「HP ProtectTools 安全管理員 (HP ProtectTools Security Manager)」。 2. 在左側窗格中,按一下「BIOS 組態 (BIOS Configuration)」。 3.
啟用和停用系統組態選項 附註: 您的電腦可能不支援部份列出的項目。 若要啟用或停用裝置或安全性選項: 1. 請選擇「開始」>「所有程式」>「HP ProtectTools 安全管理員 (HP ProtectTools Security Manager)」。 2. 在左側窗格中,按一下「BIOS 組態 (BIOS Configuration)」。 3. 在 BIOS 管理員密碼提示下,鍵入電腦設定 (Computer Setup) 的管理員密碼,再按一下「確定 (OK)」。 4.
● 5.
進階工作 管理 HP ProtectTools 附加模組設定 可 在 「 BIOS 組 態 (BIOS Configuration) 」 中 , 管理 HP ProtectTools 安 全管 理 員 (ProtectTools Security Manager) 的部份功能。 啟用與停用智慧卡開機驗證支援 啟用此選項可讓您在啟動電腦時,使用智慧卡進行使用者驗證。 附註: 若要完整啟用開機驗證功能,您還必須使用 HP ProtectTools 的 Java 卡安全性 (Java Card Security for HP ProtectTools) 模組,來設定智慧卡。 若要啟用智慧卡開機驗證支援: 1. 請選擇「開始」>「所有程式」>「HP ProtectTools 安全管理員 (HP ProtectTools Security Manager)」。 2. 在左側窗格中,按一下「BIOS 組態 (BIOS Configuration)」。 3. 在 BIOS 管理員密碼提示下,鍵入電腦設定 (Computer Setup) 的管理員密碼,再按一下「確定 (OK)」。 4.
為嵌入式安全性 (Embedded Security) 啟用及停用開機驗證支援 啟用此選項可讓系統使用 TPM 嵌入式安全晶片(可用的話),以便在啟動電腦時進行使用者驗證。 附註: 若要完整啟用開機驗證功能,您還必須使用 HP ProtectTools 的嵌入式安全性 (Embedded Security for HP ProtectTools) 模組,來設定 TPM 嵌入式安全晶片。 若要啟用嵌入式安全性的開機驗證支援: 1. 請選擇「開始」>「所有程式」>「HP ProtectTools 安全管理員 (HP ProtectTools Security Manager)」。 2. 在左側窗格中,按一下「BIOS 組態 (BIOS Configuration)」。 3. 在 BIOS 管理員密碼提示下,鍵入電腦設定 (Computer Setup) 的管理員密碼,再按一下「確定 (OK)」。 4. 在左側窗格中,按一下「安全性 (Security)」。 5.
啟用及停用自動磁碟機/光碟機鎖硬碟保護 在啟用此選項後,TPM 嵌入式安全晶片就會自動在磁碟機/光碟機中,產生並設定磁碟機/光碟機鎖密 碼,而且會保護磁碟機/光碟機鎖密碼。 附註: 這些自動產生的密碼要等到電腦重新啟動,而且當您在密碼提示下,成功鍵入 TPM 嵌 入式安全性密碼後,才會設定在磁碟機/光碟機中。 自動磁碟機/光碟機鎖的啟用選項只有在電腦已安裝了 TPM 安全晶片並完成初始化,而且尚未啟用任何 磁碟機/光碟機鎖的密碼時才能使用。 有關如何啟用和初始化 TPM 安全晶片的說明,請參閱「32 頁的 啟用嵌入式安全晶片」與「33 頁的初始化嵌入式安全晶片」。 附註: 如果您已在電腦上手動設定磁碟機/光碟機鎖密碼,您必須先停用它們,才能設定自動磁 碟機/光碟機鎖保護。 若要啟用或停用自動磁碟機/光碟機鎖保護: 1. 請選擇「開始」>「所有程式」>「HP ProtectTools 安全管理員 (HP ProtectTools Security Manager)」。 2. 在左側窗格中,按一下「BIOS 組態 (BIOS Configuration)」。 3.
附註: 在設定好設定密碼後,「密碼 (Passwords)」頁面上的「設定 (Set)」按鈕,將會被「變 更 (Change)」按鈕取代。 設定開機密碼 若要設定開機密碼 (Power-On Password): 1. 請選擇「開始」>「所有程式」>「HP ProtectTools 安全管理員 (HP ProtectTools Security Manager)」。 2. 在 左 側 窗 格 中 , 按 一 下 「 BIOS 組 態 (BIOS Configuration) 」 , 然 後 再 按 一 下 「 安 全 性 (Security)」。 3. 在右側窗格中,在「開機密碼 (Power-On Password)」旁,按一下「設定 (Set)」。 4. 在「輸入密碼 (Enter Password)」和「確認密碼 (Verify Password)」方塊中,鍵入和確認密碼。 5. 在「密碼 (Passwords)」對話方塊中,按一下「確定 (OK)」。 6.
5. 在「密碼 (Passwords)」對話方塊中,按一下「確定 (OK)」。 6. 在 HP ProtectTools 視窗中,按一下「套用 (Apply)」,然後再按一下「確定 (OK)」。 變更設定密碼 變更電腦設定 (Computer Setup) 密碼: 1. 請選擇「開始」>「所有程式」>「HP ProtectTools 安全管理員 (HP ProtectTools Security Manager)」。 2. 在 左 側 窗 格 中 , 按 一 下 「 BIOS 組 態 (BIOS Configuration) 」 , 然 後 再 按 一 下 「 安 全 性 (Security)」。 3. 在右側窗格中,在「設定密碼 (Setup Password)」旁,按一下「變更 (Change)」。 4. 在「舊密碼 (Old Password)」方塊中,鍵入目前的密碼。 5. 在「輸入新密碼 (Enter New Password)」和「確認新密碼 (Verify New Password)」方塊中,鍵 入和確認新密碼。 6.
若要在 Windows 重新啟動時,啟用或停用開機驗證: 56 1. 請選擇「開始」>「所有程式」>「HP ProtectTools 安全管理員 (HP ProtectTools Security Manager)」。 2. 在 左 側 窗 格 中 , 按 一 下 「 BIOS 組 態 (BIOS Configuration) 」 , 然 後 再 按 一 下 「 安 全 性 (Security)」。 3. 在右側窗格中,在「密碼選項 (Password Options)」之下,啟用或停用「重新啟動時需要密碼 (Require Password on Restart)」。 4.
6 HP ProtectTools 的裝置存取管理員 (Device Access Manager for HP ProtectTools) 這個安全性工具僅適用於管理員。 HP ProtectTools 裝置存取管理員 (Device Access Manager for HP ProtectTools) 具有下列安全性功能,可防止未獲授權者存取電腦系統附加的裝置: ZHTW ● 裝置設定檔是針對每個使用者所建立,以定義裝置存取權 ● 裝置存取權可以依據群組成員資格來授與或拒絕 57
啟動背景服務 必須執行 HP ProtectTools 裝置鎖定/稽核 (HP ProtectTools Device Locking/Auditing) 背景服務,才能 套用裝置設定檔。 第一次嘗試套用裝置設定檔時,HP ProtectTools 安全管理員 (HP ProtectTools Security Manager) 會開啟對話方塊,詢問您是否要啟動此背景服務。 請按一下「是 (Yes)」,啟動此背 景服務,並將它設定成在每次系統啟動時自動啟動。 58 第 6 章 HP ProtectTools 的裝置存取管理員 (Device Access Manager for HP ProtectTools) ZHTW
簡易組態 這項功能可以讓您拒絕下列裝置類別的存取: ● 所有非管理員的 USB 裝置 ● 所有非管理員的所有可抽換式媒體(磁片、隨身碟等) ● 所有非管理員的所有 DVD/CD-ROM 光碟機 ● 所有非管理員的所有序列埠和並列埠 若要拒絕存取所有非管理員的某種裝置類別: 1. 請選擇「開始」>「所有程式」>「HP ProtectTools 安全管理員 (HP ProtectTools Security Manager)」。 2. 在左側窗格中,按一下「裝置存取管理員 (Device Access Manager)」,然後再按一下「簡易組 態 (Simple Configuration)」。 3. 在右側窗格中,選擇要拒絕存取之裝置的核取方塊。 4. 按一下「套用 (Apply)」。 附註: 如果背景服務並未執行,便會在此時嘗試啟動。 按一下「是 (Yes)」允許啟動背景 服務。 5.
裝置類別組態(進階) 您還可以使用其他選項,准許或拒絕特定使用者或使用者群組存取裝置類型。 新增使用者或群組 1. 請選擇「開始」>「所有程式」>「HP ProtectTools 安全管理員 (HP ProtectTools Security Manager)」。 2. 在左側窗格中,按一下「裝置存取管理員 (Device Access Manager)」,然後再按一下「裝置類 別組態 (Device Class Configuration)」。 3. 在裝置清單中,按一下您要設定的裝置類別。 4. 按一下「新增 (Add)」。 「選擇使用者或群組 (Select Users or Groups)」對話方塊便會開啟。 5. 選擇「進階 (Advanced)」>「立即尋找 (Find Now)」,尋找要新增的使用者或群組。 6. 按一下使用者或群組以便新增至可用的使用者與群組清單中,然後按一下「確定 (OK)」。 7. 按一下「確定 (OK)」。 移除使用者或群組 1.
若要允許一個使用者,而非群組進行存取: 1. 請選擇「開始」>「所有程式」>「HP ProtectTools 安全管理員 (HP ProtectTools Security Manager)」。 2. 在左側窗格中,按一下「裝置存取管理員 (Device Access Manager)」,然後再按一下「裝置類 別組態 (Device Class Configuration)」。 3. 在裝置清單中,按一下您要設定的裝置類別。 4. 在「使用者/群組 (User/Groups)」之下,新增要拒絕存取的群組。 5. 按一下要拒絕存取之群組旁邊的「拒絕 (Deny)」。 6. 瀏覽到必要類別和特定使用者資料夾下方的資料夾。 按一下「允許 (Allow)」,將存取權授與給這 個使用者。 7. 請按一下「套用 (Apply)」,然後按一下「確定 (OK)」。 允許一個群組使用者存取特定裝置 您可以允許某個使用者存取特定的裝置,但拒絕該使用者群組的其他成員存取該類別中的所有裝置。 若要允許一個使用者,而非群組存取特定裝置: 1.
62 第 6 章 HP ProtectTools 的裝置存取管理員 (Device Access Manager for HP ProtectTools) ZHTW
7 HP ProtectTools 的磁碟機加密 (Drive Encryption for HP ProtectTools) 注意: 如果您決定解除安裝磁碟機加密 (Drive Encryption) 模組,就必須先解密所有已加密的 磁碟機。 如果您不這麼做,將無法存取已加密磁碟機上的資料,除非您已經註冊使用磁碟機加 密 (Drive Encryption) 復原服務(請參閱「67 頁的復原」)。 重新安裝磁碟機加密 (Drive Encryption) 模組無法讓您存取已加密的磁碟機。 ZHTW 63
加密管理 (Encryption Management) 磁碟機加密 1. 請選擇「開始」>「所有程式」>「HP ProtectTools 安全管理員 (HP ProtectTools Security Manager)」。 2. 在 左 側 窗 格 中 , 按 一 下 「 磁 碟 機 加 密 (Drive Encryption) 」 , 然 後 再 按 一 下 「 加 密 管 理 (Encryption Management)」。 3. 在右側窗格中,按一下「啟動 (Activate)」。 「HP ProtectTools 的磁碟機加密精靈 (Drive Encryption for HP ProtectTools Wizard)」將會開啟。 4. 請依照螢幕上的指示啟動加密。 附註: 您需要指定磁片、快閃儲存裝置,或是其他一些透過 USB 連接的儲存媒體以便存 放復原資訊。 變更加密 (Change encryption) 1. 請選擇「開始」>「所有程式」>「HP ProtectTools 安全管理員 (HP ProtectTools Security Manager)」。 2.
使用者管理 新增使用者 1. 請選擇「開始」>「所有程式」>「HP ProtectTools 安全管理員 (HP ProtectTools Security Manager)」。 2. 在左側窗格中,按一下「磁碟機加密 (Drive Encryption)」,然後再按一下「使用者管理 (User Management)」。 3. 在右側窗格中,按一下「新增 (Add)」。 在「使用者名稱 (User name)」清單中按一下使用者名 稱,或在「使用者 (Username)」方塊中鍵入使用者名稱。 按一下「下一步 (Next)」。 4. 鍵入特定使用者的 Windows 密碼,再按一下「下一步 (Next)」。 5. 選取新使用者的驗證方法,然後按一下「完成 (Finish)」。 移除使用者 1. 請選擇「開始」>「所有程式」>「HP ProtectTools 安全管理員 (HP ProtectTools Security Manager)」。 2.
66 3. 在右側窗格的「使用者名稱 (User Name)」清單中,選取使用者,然後按一下「設定密碼 (Set Password)」。 4. 鍵入使用者的 Windows 密碼,再按一下「下一步 (Next)」。 5. 選取新的驗證方法,然後按一下「完成 (Finish)」。 6.
復原 您可以採用下列兩種安全措施: ● 如果您忘記密碼,就無法存取加密的磁碟機。 然而,就算您忘記了密碼,還是可以註冊使用磁碟 機加密 (Drive Encryption) 復原服務來存取自己的電腦。 ● 您可以將磁碟機加密 (Drive Encryption) 金鑰備份到磁片、快閃儲存裝置,或是其他一些透過 USB 連接的儲存媒體上。 註冊使用磁碟機加密 (Drive Encryption) 復原服務 1. 請選擇「開始」>「所有程式」>「HP ProtectTools 安全管理員 (HP ProtectTools Security Manager)」。 2. 在左側窗格中,按一下「磁碟機加密 (Drive Encryption)」,然後再按一下「復原 (Recovery)」。 3. 在右側窗格中,按一下「按一下這裡以註冊 (Click here to register)」。 鍵入要求的資訊,完成安 全性備份程序。 備份磁碟機加密 (Drive Encryption) 金鑰 1.
68 第 7 章 HP ProtectTools 的磁碟機加密 (Drive Encryption for HP ProtectTools) ZHTW
8 疑難排解 HP ProtectTools 的認證管理員 (Credential Manager for HP ProtectTools) 簡短說明 細節 解決方式 您可以使用認證管理員網 路帳戶 (Credential Manager Network Accounts) 選項,選取要登 入的網域帳戶。 當您使用 TPM 驗證時,就無法使用 這個選項。 所有其它的驗 證方法都能正確運作。 當您使用 TPM 驗證,只能登入到本機電 腦中。 您可以使用認證管理員單一登入 (Credential Manager Single Sign On) 工具來驗證其他帳戶。 如果您登入的是 Windows XP Service Pack 1 的系 統,將無法使用 USB Token 認證。 一旦您安裝好 USB Token 軟體,註冊了 透過 Windows Update 更新 Windows 至 Service Pack USB Token 認證,並將認證管理員 2。 (Credential Manager) 設為主要登入帳戶 時,USB Token 將不會列在或是顯示於 如果您要繼續使用 Servic
簡短說明 細節 解決方式 Windows 密碼時,系統管理員便會收到 自己的密碼,但是由於網域使用者實際上並未在本機電 錯誤登入失敗的訊息:使用者帳戶限制。 腦上擁有帳戶,認證管理員 (Credential Manager) 只能 變更登入時使用的密碼。 認證管理員 (Credential Manager) 與 Corel WordPerfect 12 密碼 GINA 之間有不相容的問題 存在。 假設使用者登入認證管理員 (Credential HP 正在尋找做為未來產品增強的方法。 Manager),然後使用 WordPerfect 建立 一個文件並加上密碼進行儲存,則認證管 理員將無法自動地偵測或經由使用者手動 來識別密碼 GINA。 Credential Manager 無法 辨認螢幕上的「連線」按 鈕。 如果遠端桌面連線 (RDP) 的單一登入 HP 正在尋找做為未來產品增強的方法。 (Single Sign On) 認證設為「連線 (Connect)」,在重新啟動單一登入時, 則一律進入「另存為 (Save As)」模式, 而不是「連線 (Connect)」模式。 使用者可能會遺失所有
簡短說明 細節 解決方式 HP 正在調查未來客戶軟體版本的解決方法選項。 安全性功能的「還原身份 識別 (Restore Identity)」 程序會失去與虛擬 Token 的關聯性。 在使用者還原身份識別時,認證管理員 (Credential Manager) 會在登入畫面時失 去與虛擬 Token 位置的關聯性。 就算認 證管理員 (Credential Manager) 已經註冊 使用了虛擬 Token,使用者還是需要重新 註冊 Token 以還原關聯性。 目前這是依照設計而發生的結果。 如果在解除安裝認證管理員 (Credential Manager) 時沒 有保存身份識別,則 Token 的系統(伺服器)部分就會 損毀,導致登入時無法繼續使用。就算 Token 的用戶端 部分已經透過身份識別還原方法還原回來,也還是一樣 無法使用。 HP 正在調查解決方法的長期選項。 ZHTW HP ProtectTools 的認證管理員 (Credential Manager for HP ProtectTools) 71
HP ProtectTools 的嵌入式安全性 (Embedded Security for HP ProtectTools) 簡短說明 細節 對 PSD 上的資料夾、子資 如果使用者將檔案與資料夾複製到 PSD 料夾與檔案進行加密處理 並嘗試對資料夾/檔案或資料夾/子資料夾 會導致錯誤訊息的出現。 進行加密處理,則會顯示「套用屬性錯 誤 (Error Applying Attributes)」的訊 息。 使用者可以在 C:\ 磁碟或是額外安裝 的硬碟上加密相同的檔案。 解決方式 這是依照設計而發生的結果。 加到 PSD 的檔案/資料夾會自動加密處理。 您無須「重 複加密」檔案/資料夾。 如果您嘗試使用 EFS 對 PSD 上的這些檔案/資料夾重複進行加密的話,就會出現這個 錯誤訊息。 無法在多重開機平台上以 如果設定磁碟機為多重作業系統開機,那 基於安全理由,這是依照設計而發生的結果。 其他作業系統取得所有權。 麼所有權就只能以一個作業系統的平台初 始化精靈取得。 72 未獲授權的系統管理員可 以檢視、刪除、重新命 名,或是移除加密 EFS 資 料夾中的內容。 對於具有系統管理員權限而未經授權
簡短說明 細節 解決方式 如果因為電源中斷而影響 嵌入式安全性 (Embedded Security) 初始化作業,則 會出現錯誤。 如果嵌入式安全 (Embedded Security) 化 作業中出現電源中斷狀況,就會發生下列 問題: 執行下列程序以從電源中斷進行修復: ● ● 當您嘗試啟動嵌入式安全性初始化 精靈 (Embedded Security Initialization Wizard) 時,就會顯示 下列錯誤訊息: 「由於嵌入式安全 晶片已有嵌入式安全性擁有者,因 此無法進行初始化。(The Embedded security cannot be initialized since the Embedded Security chip already has an Embedded Security owner.
簡短說明 細節 解決方式 如果在產生新資料或轉移 過程中移除可抽換式儲存 媒體的話,則存放在其上 的資料就會遺失。 移除諸如 MultiBay 硬碟之類的儲存媒體 之後,仍舊會顯示 PSD 為可用,而且在 新增/修改 PSD 的資料時,也不會出現錯 誤。 系統重新啟動後,PSD 不會將當可 抽換式儲存媒體無法使用時所發生的檔案 變更情況反映出來。 請勿在資料產生或轉移過程中移除 PSD。 只有當使用 者存取 PSD,並在新資料的產生或轉移過程中移除硬 碟,才會出現這個問題。 如果使用者在可抽換式硬碟已 經被移除的情況下嘗試存取 PSD,則會出現「裝置尚未 就緒 (the device is not ready)」的錯誤訊息。 在解除安裝的過程中,如 果使用者沒有初始化基本 使用者 (Basic User) 就逕 行開啟管理工具 (Administration tool),則 必須等到管理工具已經關 閉才能使用「停用 (Disable)」選項並繼續執 行解除安裝程式。 使用者可以選擇在不停用 TPM 的情況下 解除安裝,或是透過管理工具 (Administration tool) 先停用 TPM,
簡短說明 細節 解決方式 存 (Recovery Archive) 與復原 Token (Recovery Token) 失效。 當嵌入式安全性 (Embedded Security) 進行 使用者還原作業時,自動 化登入指令檔無法運作。 當使用者執行下列動作時,就會發生這個 錯誤: ● 在嵌入式安全性中初始化所有者和 使用者(使用預設位置 -「我的文 件」)後。 ● 在 BIOS 中重設晶片為原廠設定後。 ● 重新啟動電腦後。 ● 開始還原嵌入式安全性 (Embedded Security)。 在還原過程中,認證管 理員 (Credential Manager) 會詢問 系統是否能自動化 Infineon TPM 使 用者驗證 (Infineon TPM User Authentication) 的登入作業。 如果 使用者選取「是 (Yes)」,則 SPEmRecToken 的位置就會自動顯 示在文字方塊中。 按一下螢幕上的「瀏覽」按鈕以選擇位置,還原處理程 序便會繼續。 雖然此位置正確,但仍會顯示下列錯誤訊 息:沒有提供緊急復原權杖。選取抓取緊 急復原權杖的權仗位置 (No Em
簡短說明 安全性系統出現多重使用 者的還原錯誤。 細節 在還原處理程序中,如果系統管理員選取 要還原的使用者,那麼未選取的使用者就 無法在稍後試著還原時還原金鑰。將顯示 「解碼處理程序失敗 (Decryption process failed)」錯誤訊息。 解決方式 您可藉由重新設定 TPM、執行還原程序,並在執行下一 個預設的每日備份作業之前選好所有的使用者,來還原 非選取的使用者。 如果自動化備份開始執行,會覆寫非 還原的使用者,導致這些使用者的資料遺失。 如果還原 了新系統備份,則先前未選取的使用者就無法還原。 使用者同時必須還原整個系統備份。 封存備份 (Archive Backup) 可以個別還原。 將系統 ROM (System ROM) 重設為預設值會將 TPM 隱藏起來。 重新設定系統 ROM 為預設值,會使 TPM 隱藏至 Windows。這使安全性軟體 不能正常作業,且讓 TPM 加密的資料無 法存取。 在 BIOS 中解除隱藏 TPM: 自動化備份作業無法與對 應磁碟一同運作。 在系統管理員設定嵌入式安全性的自動備 份 (Automatic Backup in Embedd
HP ProtectTools 的裝置存取管理員 (Device Access Manager for HP ProtectTools) 簡短說明 細節 解決方案 使用者已經被拒絕存取裝 置存取管理員 (Device Access Manager) 中的裝 置,但是仍舊可以存取裝 置。 已經使用裝置存取管理員 (Device Access Manager) 中的簡易組態 (Simple Configuration) 與/或裝置類別組態 (Device Class Configuration) 來拒絕使用 者存取裝置。 儘管已經被拒絕存取,使 用者仍舊可以存取裝置。 確定 HP ProtectTools 裝置鎖定 (HP ProtectTools Device Locking) 服務已經啟動。 使用者意外存取某個裝 置,或使用者意外被拒絕 存取某個裝置。 裝置存取管理員 (Device Access Manager) 用來拒絕使用者存取某些裝 置,並允許使用者存取其他裝置。 在使 用者使用系統時,可以存取他們認為已經 遭到裝置存取管理員 (Device Access Manager) 拒絕的裝置,
其他事項 受影響的軟體 - 簡短說明 安全管理員 (Security Manager) — 收到警告: 「安全性應用程式必須等 到 HP Protect Tools 的安 全管理員已經安裝完畢, 才能開始安裝 (The security application can not be installed until the HP Protect Tools Security Manager is installed)」。 TPM 韌體升級工具 (TPM Firmware Update Utility) 用於包含 Broadcom 技術 的 TPM 機型上 — 這項透 過 HP 支援網站提供的工具 會回應「需要擁有權 (ownership required)」 的訊息。 細節 解決方式 所有的安全性應用程式,例如嵌入式安全 安全管理員 (Security Manager) 軟體必須先安裝完畢, 性 (Embedded Security)、Java 卡安全 才能安裝任何的安全性外掛程式。 性 (Java Card Security),以及生物測定 都是安全管理員 (Security Manager) 介面 的
受影響的軟體 - 簡短說明 細節 解決方式 ● ● 5. HP ProtectTools Security Manager - 關閉 Security Manager 介面時會間歇傳 回錯誤。 在所有插件應用程式完成載入前使用螢幕 右上方的關閉按鈕,會產生間歇性(1/ 12 的機會)的錯誤。 FW 版本 = 2.18(或更新) TPM 裝置驅動程式程式庫版本 2.0.0.9 (或更新) 如果韌體版本不是 2.18,請下載並更新 TPM 韌 體。 您可透過 HP 網站 http://www.hp.com,下載 所需的 TPM 韌體 SoftPaq。 這與在關閉並重新啟動 Security Manager 時的插件服務 載入時間計時依存性相關。由於 PTHOST.
受影響的軟體 - 簡短說明 細節 解決方式 一旦嵌入式安全性 Windows (Embedded Security Windows) 軟體中的 擁有者 (Owner) 密碼變更,BIOS 就會藉 由電腦設定 (Computer Setup) 要求同時 鍵入新舊密碼。 這是依照設計而發生的結果。 這是因為一旦作業系統啟 動而且正常運作後,為了確認 TPM 驗證字串 (pass phrase),但是 BIOS 又無法與 TPM 溝通而導致的結 果。 BIOS 密碼 (BIOS Password) 同時發生。 一旦擁有者 (Owner) 的密 碼變更,BIOS 就會藉由電 腦設定 (Computer Setup) 要求同時鍵入新舊密碼。 80 第 8 章 疑難排解 ZHTW
辭彙 BIOS 安全性模式 (BIOS Security Mode) Java 卡安全性 (Java Card Security) 的設定,啟用時,需要使用 Java 卡和有效的 PIN 碼進行使用者驗證。 BIOS 設定檔 (BIOS profile) BIOS 組態設定的群組,可儲存和套用到其他帳戶。 Java 卡 一小片硬體,大小和形狀類似信用卡,可儲存擁有者的身份識別資訊。 它可用來驗證電腦的擁有者。 Personal secure drive (PSD) 提供受保護的儲存區以儲存敏感性資料。 USB token 儲存使用者相關身份識別資訊的安全性裝置。 如同 Java 卡或生物測定讀取器,它能用來驗證電腦的 擁有者。 Windows 使用者帳戶 (Windows User Account) 有權登入網路或個人電腦的個人設定檔。 公開金鑰基礎架構 (Public Key Infrastructure, PKI) 一種可用來定義介面以建立、使用和管理憑證及密碼編譯金 鑰的標準。 加密 (Encryption) 密碼編譯所使用的程序(如使用演譯法),可將純文字轉換成加密文字,防止未授權的收件
智慧卡 (Smart card) 的擁有者。 一小片硬體,大小和形狀類似信用卡,可儲存擁有者的身份識別資訊。 它可用來驗證電腦 虛擬 Token (Virtual token) 運作方式很像 Java 卡和讀取器的安全性功能。 Token 是儲存在電腦硬碟或 Windows 登錄中。 當您以虛擬 Token 登入時,系統會要求您提供使用者 PIN 碼,來完成驗證。 開機驗證 (Power-on authentication) 當電腦開機時,需要進行某些驗證形式的安全性功能,如 Java 卡、安全 晶片或密碼。 解密 (Decryption) 密碼編譯所使用的程序,可將加密的資料轉換成純文字。 磁碟機/光碟機鎖 (DriveLock) 安全性功能會將硬碟與使用者連結,而且當電腦啟動時,會要求使用者鍵入正確的 磁碟機/光碟機鎖 (DriveLock) 密碼。 緊急復原封存 (Emergency Recovery Archive) 受保護的儲存區,可將某個平台擁有者金鑰的基本使用者金鑰重 新加密成另一個。 網域 (Domain) 為一個網路的電腦群組,並會共用公用的目錄資料庫。 網域的名稱是唯一的,且每個網域都
索引 B BIOS 設定密碼 (BIOS Setup Password) 設定 54 變更 55 BIOS 管理員 (administrator) 密 碼 7 F f10 設定 (Setup) 密碼 7 H HP ProtectTools 功能 2 HP ProtectTools 安全性,存取 3 HP ProtectTools 的 BIOS 組態 (BIOS Configuration for HP ProtectTools) 在 Windows 重新啟動時進行開機 驗證 55 自動磁碟機/光碟機鎖 53 系統組態選項 49 附加模組設定,管理 51 密碼選項,設定 55 設定密碼 (Setup Password),設 定 54 設定密碼 (Setup Password),變 更 55 智慧卡開機驗證 51 開機密碼 (Power-On Password),設定 54 開機密碼 (Power-On Password),變更 54 開機選項 (Boot Options) 48 開機驗證 52 嚴密安全性 (Stringent Security) 55 ZHTW HP ProtectTools 的 Jav
SSO 應用程式,匯入 21 SSO 應用程式,匯出 21 SSO 應用程式和認證 20 Token PIN 碼,變更 17 USB eToken,註冊 14 Windows 登入 18 Windows 登入,允許 27 Windows 登入密碼,變更 16 自訂驗證需求 26 身份識別 17 身份識別,清除 17 身份識別,移除 17 使用者驗證 29 指紋登入 14 指紋讀取器 14 限制應用程式存取 22 帳戶,移除 19 帳戶,新增 19 設定,設定 27 設定程序 12 單一登入 (SSO) 19 復原檔密碼 6 登入 12 登入指定 25 登入密碼 6 登入精靈 12 虛擬 Token,建立 16 註冊 Java 卡 14 註冊 Token 14 註冊其他認證 14 註冊指紋 13 註冊虛擬 Token 14 新帳戶,建立 13 疑難排解 69 管理員工作 25 認證,註冊 13 認證內容,設定 26 應用程式保護 22 應用程式保護,移除 23 鎖定電腦 18 變更應用程式限制設定 23 HP ProtectTools 備份和還原 (HP ProtectTools Backup and Rest
設定設定 54 設定開機 54 設定選項 55 電腦設定 (Computer Setup),管 理 53 管理 6 緊急復原 Token 33 擁有者 33 變更設定 55 變更開機 54 變更擁有者 38 帳戶 基本使用者 34 認證管理員 (Credential Manager) 13 控制裝置存取 57 啟用 Java 卡開機驗證 45 TPM 晶片 32 永遠停用後啟用嵌入式安全性 (Embedded Security) 38 自動磁碟機/光碟機鎖 53 嵌入式安全性 (Embedded Security) 38 智慧卡驗證 51 開機驗證 51 裝置選項 (Device Options) 49 嚴密安全性 (Stringent Security) 55 註冊 認證 13 應用程式 19 進階工作 BIOS 組態 (BIOS Configuration) 51 Java 卡 43 嵌入式安全性 (Embedded Security) 37 裝置存取管理員 (Device Access Manager) 60 認證管理員 (Credential Manager) 25 開機密碼 (Power-On P
86 索引 ZHTW
