ProtectTools Benutzerhandbuch
© Copyright 2007 Hewlett-Packard Development Company, L.P. Microsoft und Windows sind in den USA eingetragene Marken der Microsoft Corporation. Intel ist eine Marke oder eingetragene Marke der Intel Corporation oder seiner Tochterunternehmen in den USA und anderen Ländern. AMD, das AMD Arrow-Logo und Kombinationen davon sind Marken von Advanced Micro Devices, Inc. Bluetooth ist eine Marke, die ihrem Eigentümer gehört und von der HewlettPackard Company unter Lizenz verwendet wird.
Inhaltsverzeichnis 1 Einführung in die Sicherheitsfunktionen HP ProtectTools Funktionen ................................................................................................................ 2 Öffnen von HP ProtectTools Security ................................................................................................... 4 Realisierung grundlegender Sicherheitsaufgaben ............................................................................... 5 Schutz gegen Diebstahl ..................
Anmelden bei Windows mit dem Credential Manager ...................................... 20 Hinzufügen eines Kontos .................................................................................. 21 Entfernen eines Kontos ..................................................................................... 21 Verwenden von Single Sign On (Einmaliges Anmelden) ................................................... 21 Registrieren einer neuen Anwendung ...........................................................
Allgemeine Aufgaben ......................................................................................................................... 44 Ändern der Java Card-PIN ................................................................................................ 44 Auswählen des Card Readers ........................................................................................... 44 Erweiterte Aufgaben (nur für Administratoren) ..........................................................................
8 Fehlerbeseitigung Credential Manager for HP ProtectTools ........................................................................................... 71 Embedded Security for HP ProtectTools ............................................................................................ 74 Device Access Manager for HP ProtectTools .................................................................................... 81 Sonstiges ....................................................................................
1 Einführung in die Sicherheitsfunktionen Die HP ProtectTools Security Manager Software enthält Sicherheitsfunktionen, die vor unberechtigtem Zugriff auf den Computer, Netzwerke und kritische Daten schützen.
HP ProtectTools Funktionen Die folgende Tabelle nennt die wichtigsten Funktionen der HP ProtectTools Module: Modul Funktionen Credential Manager for HP ProtectTools ● Credential Manager dient zur Kennwortarchivierung. ● Die SSO-Funktion (Single Sign On; Einmaliges Anmelden) speichert die Kennwörter für eine Reihe von kennwortgeschützten Websites, Anwendungen und Ressourcen im Netzwerk.
Modul Funktionen Device Access Manager for HP ProtectTools ● Device Access Manager ermöglicht IT-Experten die Kontrolle des Gerätezugriffs auf Basis von Benutzerprofilen. ● Device Access Manager verhindert, dass unbefugte Benutzer unter Verwendung externer Speichermedien Daten kopieren oder Viren über externe Medien in das System einschleppen. ● Der Administrator kann Einzelpersonen oder Benutzergruppen den Zugriff auf beschreibbare Geräte untersagen.
Öffnen von HP ProtectTools Security So öffnen Sie HP ProtectTools Security über die Windows®-Systemsteuerung: ▲ Wählen Sie Start > Alle Programme > HP ProtectTools Security Manager. HINWEIS: Nachdem Sie das Credential Manager Modul konfiguriert haben, können Sie HP ProtectTools auch öffnen, indem Sie sich direkt mithilfe des Windows-Anmeldebildschirms bei Credential Manager anmelden. Weitere Informationen finden Sie unter „Anmelden bei Windows mit dem Credential Manager“ auf Seite 20.
Realisierung grundlegender Sicherheitsaufgaben Die HP ProtectTools Module bieten zusammengenommen Lösungen für eine Vielzahl von Sicherheitsthemen, zu denen auch die folgenden grundlegenden Aufgaben gehören: ● Schutz gegen Diebstahl ● Einschränken des Zugriffs auf sensible Daten ● Verhindern des unbefugten Zugriffs von internen oder externen Standorten ● Erstellen leistungsfähiger Richtlinien für den Kennwortschutz Schutz gegen Diebstahl Ein Beispiel für ein derartiges Ereignis ist der Diebstahl ein
ausdrucken oder auf einem beschreibbaren Datenträger, wie beispielsweise einer CD, speichern kann. Mit den folgenden Funktionen kann der Datenzugriff beschränkt werden: ● Device Access Manager for HP ProtectTools ermöglicht IT-Leitern die Beschränkung des Zugriffs auf beschreibbare Geräte, so dass sensible Daten nicht ausgedruckt oder von der Festplatte auf ein Wechselmedium kopiert werden können. Siehe „Geräteklassen-Konfiguration (erweitert)“ auf Seite 62.
● Device Access Manager for HP ProtectTools ermöglicht IT-Leitern die Beschränkung des Zugriffs auf beschreibbare Geräte, so dass sensible Daten nicht von der Festplatte auf ein Wechselmedium kopiert werden können. Siehe „Einfache Konfiguration“ auf Seite 61. ● Die Personal Secure Drive Funktion verschlüsselt sensible Daten und sorgt so dafür, dass der Zugriff darauf nur nach erfolgreicher Authentifizierung möglich ist.
Weitere Sicherheitselemente Zuweisen von Sicherheitsrollen Bei der Verwaltung der Computersicherheit (besonders für große Unternehmen) besteht ein wichtiger Faktor darin, die Zuständigkeiten und Berechtigungen auf verschiedene Typen von Administratoren und Benutzern zu verteilen. HINWEIS: In einem kleinen Unternehmen oder für die individuelle Benutzung können diese Rollen von derselben Person verwaltet werden.
HP ProtectTools Kennwort In diesem HP ProtectTools Modul eingerichtet Funktion Kennwort für Wiederherstellungsdatei von Credential Manager Credential Manager, vom ITAdministrator Schützt den Zugriff auf die Wiederherstellungsdatei von Credential Manager. Kennwort für allgemeinen Benutzerschlüssel Embedded Security Ermöglicht den Zugriff auf die Embedded Security Funktionen, wie sichere E-Mail, Datei- und Ordnerverschlüsselung.
Erstellen eines sicheren Kennworts Das Erstellen von Kennwörtern ist nur möglich, wenn Sie die vom Programm festgelegten Anforderungen erfüllen. Beachten Sie im Allgemeinen folgende Richtlinien für das Erstellen von sicheren Kennwörtern, um die Risiken in Bezug auf Kennwörter zu verringern: ● Verwenden Sie Kennwörter mit mehr als 6 Zeichen, vorzugsweise mehr als 8 Zeichen. ● Verwenden Sie Groß- und Kleinschreibung innerhalb des Kennworts.
Auswählen und Sichern von HP ProtectTools Modulen mit dem HP ProtectTools BackupAssistenten 1. Wählen Sie Start > Alle Programme > HP ProtectTools Security Manager. 2. Wählen Sie im linken Fensterausschnitt die Option HP ProtectTools und anschließend Backup and Restore (Sichern und Wiederherstellen). 3. Klicken Sie im rechten Fensterausschnitt auf Backup Options (Backup-Optionen). Der BackupAssistent für HP ProtectTools wird geöffnet.
5. Klicken Sie auf Set Password (Kennwort festlegen), geben Sie das Kennwort im Dialogfeld Set Password (Kennwort festlegen) ein, und bestätigen Sie es anschließend durch eine erneute Eingabe. Klicken Sie auf OK. 6. Klicken Sie auf Übernehmen. Klicken Sie auf die Registerkarte Schedule (Zeitplan). Klicken Sie auf den Pfeil neben Schedule Task (Aufgabe planen), und wählen Sie aus, in welchen Zeitabständen das automatische Backup durchgeführt werden soll. 7.
2 Credential Manager for HP ProtectTools Credential Manager for HP ProtectTools enthält die folgenden Sicherheitsfunktionen, um Sie vor einem unberechtigten Zugriff auf Ihren Computer zu schützen. DEWW ● Alternativen zu Kennwörtern für die Anmeldung bei Windows, z. B. die Verwendung einer Java Card oder eines biometrischen Lesegeräts. Weitere Informationen finden Sie unter „Registrieren von Anmeldeinformationen“ auf Seite 15.
Setup Anmelden beim Credential Manager Je nach Konfiguration haben Sie die folgenden Möglichkeiten, um sich beim Credential Manager anzumelden: ● Über den Anmeldeassistenten für den Credential Manager (bevorzugte Methode) ● Symbol für HP ProtectTools Security Manager im Infobereich ● HP ProtectTools Security Manager HINWEIS: Wenn Sie die Eingabeaufforderung für die Credential Manager-Anmeldung im Windows-Anmeldebildschirm verwenden, um sich beim Credential Manager anzumelden, werden Sie gleichzeitig au
Erste Anmeldung Zunächst müssen Sie sich jedoch bei Windows als Administrator anmelden. Melden Sie sich aber noch nicht beim Credential Manager an. 1. Öffnen Sie HP ProtectTools Security Manager, indem Sie im Infobereich auf das HP ProtectTools Security Manager-Symbol doppelklicken. Daraufhin wird das Fenster „HP ProtectTools Security Manager“ geöffnet. 2.
Einrichten des Fingerabdruck-Lesegeräts 1. Nachdem Sie sich bei Credential Manager angemeldet haben, wischen Sie mit Ihrem Finger über das Fingerabdruck-Lesegerät. Der Registrierungsassistent für den Credential Manager wird aufgerufen. 2. Befolgen Sie die Anleitungen auf dem Bildschirm, um die Registrierung Ihres Fingerabdrucks abzuschließen und das Fingerabdruck-Lesegerät einzurichten. 3.
DEWW 3. Klicken Sie im rechten Fensterausschnitt auf Register Credentials (Anmeldeinformationen registrieren). Der Registrierungsassistent für den Credential Manager wird aufgerufen. 4. Folgen Sie den Anleitungen auf dem Bildschirm.
Allgemeine Aufgaben Alle Benutzer haben Zugriff auf die Seite „My Identity“ (Meine Identität) im Credential Manager. Auf der Seite „My Identity“ (Meine Identität) können Sie die folgenden Aufgaben ausführen: ● Erstellen eines virtuellen Token ● Ändern des Windows-Anmeldekennworts ● Verwalten einer Token-PIN ● Verwalten der Identität ● Sperren des Computers HINWEIS: Diese Option ist nur dann verfügbar, wenn die klassische Anmeldeaufforderung des Credential Manager aktiviert ist.
Ändern einer Token-PIN 1. Wählen Sie Start > Alle Programme > HP ProtectTools Security Manager. 2. Klicken Sie im linken Fensterausschnitt auf Credential Manager. 3. Klicken Sie im rechten Fensterausschnitt auf Change Token PIN (Token-PIN ändern). 4. Wählen Sie das Token aus, für das Sie die PIN ändern wollen, und klicken Sie auf Weiter. 5. Befolgen Sie die Anleitungen auf dem Bildschirm, um die Änderung der PIN durchzuführen.
Sperren des Computers Diese Funktion ist verfügbar, wenn Sie sich über Credential Manager bei Windows anmelden. Sichern Sie Ihren Computer während Ihrer Abwesenheit mithilfe der Funktion „Arbeitsstation sperren“. Dadurch verhindern Sie, dass unbefugte Benutzer auf Ihren Computer zugreifen. Nur Sie und die Administratoren auf Ihrem Computer können die Sperre wieder aufheben. HINWEIS: Diese Option ist nur dann verfügbar, wenn die klassische Anmeldeaufforderung des Credential Manager aktiviert ist.
5. 6. Wählen Sie More > Wizard Options (Mehr > Assistentenoptionen). a. Wenn Sie möchten, dass dieser Name als Standardanmeldename für die nächste Anmeldung beim Computer verwendet wird, aktivieren Sie das Kontrollkästchen Use last user name on next logon (Letzten Benutzernamen bei nächster Anmeldung verwenden). b. Wenn Sie diese Anmeldemethode als Standard einrichten möchten, aktivieren Sie die Option Use this policy next time you log on (Diese Methode bei der nächsten Anmeldung verwenden).
HINWEIS: Sie können Single Sign On auch so konfigurieren, dass Ihre Authentifizierungsinformationen vor der Anmeldung bei einer sicheren Website oder Anwendung mithilfe einer Java Card, eines Fingerabdruck-Lesegeräts oder eines Token überprüft werden. Diese Funktion ist besonders nützlich für die Anmeldung bei Programmen oder Websites, die persönliche Informationen wie Kontonummern enthalten. Weitere Informationen finden Sie unter „Konfigurieren der Einstellungen des Credential Manager“ auf Seite 29.
3. Klicken Sie im rechten Fensterausschnitt unter Single Sign On (Einmaliges Anmelden) auf Manage Applications and Credentials (Anwendungen und Anmeldeinformationen verwalten). 4. Klicken Sie auf den Eintrag, den Sie ändern möchten, und anschließend auf Eigenschaften. 5. Klicken Sie auf die Registerkarte Allgemein, um den Namen und die Beschreibung der Anwendung zu ändern. Nehmen Sie die gewünschten Änderungen vor, indem Sie die Optionen neben den entsprechenden Einstellungen aktivieren bzw.
3. Klicken Sie im rechten Fensterausschnitt unter Single Sign On (Einmaliges Anmelden) auf Manage Applications and Credentials (Anwendungen und Anmeldeinformationen verwalten). 4. Klicken Sie auf den Eintrag, den Sie importieren möchten. Klicken Sie dann auf More > Applications > Export Script (Mehr > Anwendungen > Skript importieren). 5. Befolgen Sie die Anleitungen auf dem Bildschirm, um den Import durchzuführen. 6. Klicken Sie auf OK. Ändern der Anmeldeinformationen 1.
Einschränken des Zugriffs auf eine Anwendung 1. Wählen Sie Start > Alle Programme > HP ProtectTools Security Manager. 2. Wählen Sie im linken Fensterausschnitt die Option Credential Manager und anschließend Dienste und Anwendungen. 3. Klicken Sie im rechten Fensterausschnitt unter Application Protection (Anwendungsschutz) auf Manage Protected Applications (Geschützte Anwendungen verwalten). Das Dialogfeld Application Protection Service (Dienst zum Anwendungsschutz) wird geöffnet. 4.
HINWEIS: Wenn die Kategorie nicht „Jeder“ lautet, müssen Sie unter Umständen auf die Option Override default settings (Standardeinstellungen überschreiben) klicken, um die Einstellungen für die Kategorie „Jeder“ zu überschreiben. 5. Klicken Sie auf die Anwendung, die Sie ändern möchten, und klicken Sie anschließend auf Eigenschaften. Das Dialogfeld Eigenschaften für diese Anwendung wird geöffnet. 6. Klicken Sie auf die Registerkarte Allgemein. Wählen Sie eine der folgenden Einstellungen: 7.
Erweiterte Aufgaben (nur für Administratoren) Die Seiten „Authentication and Credentials“ (Authentifizierung und Anmeldeinformationen) und „Erweiterte Einstellungen“ im Credential Manager stehen nur Benutzern mit Administratorrechten zur Verfügung.
Konfigurieren benutzerdefinierter Authentifizierungsanforderungen Wenn die gewünschten Authentifizierungsinformationen nicht auf der Registerkarte „Authentifizierung“ auf der Seite „Authentication and Credentials“ (Authentifizierung und Anmeldeinformationen) aufgeführt sind, können Sie benutzerdefinierte Anforderungen erstellen. So konfigurieren Sie benutzerdefinierte Anforderungen: 1. Wählen Sie Start > Alle Programme > HP ProtectTools Security Manager. 2.
4. 5. Klicken Sie auf die Anmeldeart, die Sie ändern möchten. Sie haben dabei die folgenden Optionen: ● Klicken Sie auf Registrieren, um die Anmeldeinformationen zu registrieren, und befolgen Sie anschließend die Anleitungen auf dem Bildschirm. ● Klicken Sie auf Löschen und anschließend im Bestätigungsdialogfeld auf Ja, um die Anmeldeinformationen zu löschen. ● Klicken Sie auf Eigenschaften, um die Anmeldeeigenschaften zu ändern, und befolgen Sie anschließend die Anleitungen auf dem Bildschirm.
5. Klicken Sie auf Übernehmen und dann auf OK. 6. Starten Sie den Computer neu. HINWEIS: Durch Aktivieren des Kontrollkästchens Use Credential Manager with classic logon prompt (Credential Manager mit klassischer Anmeldeaufforderung verwenden) können Sie Ihren Computer sperren. Siehe „Sperren des Computers“ auf Seite 20.
Beispiel 2 – Verwenden der Seite „Erweiterte Einstellungen“, um vor der einmaligen Anmeldung eine Benutzerüberprüfung durchzuführen DEWW 1. Wählen Sie Start > Alle Programme > HP ProtectTools Security Manager. 2. Klicken Sie im linken Fensterausschnitt auf Credential Manager und dann auf Einstellungen. 3. Klicken Sie im rechten Fensterausschnitt auf die Registerkarte Single Sign On. 4.
32 Kapitel 2 Credential Manager for HP ProtectTools DEWW
3 Embedded Security for HP ProtectTools HINWEIS: Der integrierte TPM-Sicherheits-Chip (Trusted Platform Module) muss im Computer installiert sein, um Embedded Security for HP ProtectTools zu verwenden. Embedded Security for HP ProtectTools schützt vor unberechtigtem Zugriff auf Benutzerdaten oder Berechtigungen.
Setup ACHTUNG: Es wird dringend empfohlen, dass der IT-Administrator den integrierten Sicherheits-Chip unverzüglich initialisiert, um das Sicherheitsrisiko zu verringern. Andernfalls kann ein unberechtigter Benutzer, ein Computerwurm oder ein Virus den Computer übernehmen und Eigentümeraufgaben, wie Verwalten des Archivs für Notfallwiederherstellung und Konfigurieren der Benutzerzugriffseinstellungen, ausführen.
Initialisieren des integrierten Sicherheits-Chips Während des Initialisierungsvorgangs für Embedded Security führen Sie Folgendes aus: ● Richten Sie ein Eigentümerkennwort für den integrierten Sicherheits-Chip ein, um den Zugriff auf alle Eigentümerfunktionen auf dem integrierten Sicherheits-Chip zu schützen. ● Richten Sie das Archiv für die Notfallwiederherstellung ein.
Einrichten von allgemeinen Benutzerkonten Die Einrichtung eines allgemeinen Benutzerkontos in Embedded Security führt Folgendes aus: ● Erstellt einen allgemeinen Benutzerschlüssel, der die verschlüsselten Informationen schützt, und richtet ein Kennwort für den allgemeinen Benutzerschlüssel ein, um diesen zu schützen. ● Richtet ein PSD (Personal Secure Drive, persönliches Sicherheitslaufwerk) zum Speichern verschlüsselter Dateien und Ordner ein.
Allgemeine Aufgaben Nachdem das allgemeine Benutzerkonto eingerichtet wurde, können Sie folgende Aufgaben ausführen: ● Verschlüsseln von Dateien und Ordnern ● Senden und Empfangen verschlüsselter E-Mails PSD (Personal Secure Drive, Persönliches Sicherheitslaufwerk) Nachdem Sie das PSD eingerichtet haben, werden Sie aufgefordert, das Kennwort für den allgemeinen Benutzerschlüssel bei der nächsten Anmeldung einzugeben.
Ändern des Kennworts für den allgemeinen Benutzerschlüssel So ändern Sie das Kennwort für den allgemeinen Benutzerschlüssel: 38 1. Wählen Sie Start > Alle Programme > HP ProtectTools Security Manager. 2. Klicken Sie im linken Fensterausschnitt auf Embedded Security und dann auf Benutzereinstellungen. 3. Klicken Sie im rechten Fensterausschnitt unter Basic User Key password (Kennwort für allgemeinen Benutzerschlüssel) auf Ändern. 4. Geben Sie zuerst das alte Kennwort ein.
Erweiterte Aufgaben Sichern und Wiederherstellen Mit der Sicherungsfunktion von Embedded Security erstellen Sie ein Archiv, das Zertifizierungsinformationen enthält, die bei einem Notfall wiederhergestellt werden. Erstellen einer Sicherungsdatei So erstellen Sie eine Sicherungsdatei: 1. Wählen Sie Start > Alle Programme > HP ProtectTools Security Manager. 2. Klicken Sie im linken Fensterausschnitt auf Embedded Security und dann auf Sicherung. 3. Klicken Sie im rechten Fensterausschnitt auf Sicherung.
Ändern des Eigentümerkennworts So ändern Sie das Eigentümerkennwort: 1. Wählen Sie Start > Alle Programme > HP ProtectTools Security Manager. 2. Klicken Sie im linken Fensterausschnitt auf Embedded Security und dann auf Erweitert. 3. Klicken Sie im rechten Fensterausschnitt unter Owner Password (Besitzerkennwort) auf Ändern. 4. Geben Sie zuerst das alte Eigentümerkennwort ein. Geben Sie dann das neue Eigentümerkennwort ein, und bestätigen Sie das neue Kennwort. 5. Klicken Sie auf OK.
DEWW 3. Klicken Sie im rechten Fensterausschnitt unter Embedded Security auf Aktivieren. 4. Geben Sie an der Eingabeaufforderung das Eigentümerkennwort ein, und klicken Sie dann auf OK.
Migrieren von Schlüsseln mithilfe des Migrationsassistenten Bei der Migration handelt es sich um eine erweiterte Administratoraufgabe. Sie ermöglicht das Verwalten, Wiederherstellen und Übertragen von Schlüsseln und Zertifikaten. Weitere Informationen zur Migration erhalten Sie in der Online-Hilfe zu Embedded Security.
4 Java Card Security for HP ProtectTools Mit Java Card Security for HP ProtectTools verwalten Sie das Java Card-Setup und die Konfiguration für Computer mit einem optionalen Card Reader.
Allgemeine Aufgaben Auf der Seite „Allgemein“ können Sie folgende Aufgaben ausführen: ● Ändern der Java Card-PIN ● Auswählen des Card Readers HINWEIS: Der Card Reader kann sowohl für Java Cards als auch für Smart Cards verwendet werden. Diese Funktion steht zur Verfügung, wenn mehrere Lesegeräte an den Computer angeschlossen sind. Ändern der Java Card-PIN So ändern Sie die Java Card-PIN: HINWEIS: Die Java Card-PIN muss zwischen 4 und 8 numerische Zeichen enthalten. 1.
Erweiterte Aufgaben (nur für Administratoren) Auf der Seite „Erweitert“ können Sie folgende Aufgaben ausführen: ● Zuordnen einer Java Card-PIN; ● Zuordnen eines Namens zu einer Java Card-PIN; ● Einrichten der Authentifizierung beim Systemstart; ● Sichern und Wiederherstellen der Java Cards. HINWEIS: Zur Anzeige der Seite „Advanced“ müssen Sie über Windows-Administratorrechte verfügen.
Zuordnen eines Namens zu einer Java Card-PIN Sie müssen einer Java Card einen Namen zuordnen, bevor Sie die Java Card für die Authentifizierung beim Systemstart verwenden können. So ordnen Sie einer Java Card einen Namen zu: 1. Wählen Sie Start > Alle Programme > HP ProtectTools Security Manager. 2. Klicken Sie im linken Fensterausschnitt auf Java Card Security (Java Card-Sicherheit) und dann auf Erweitert. 3. Legen Sie die Java Card in das Karten-Lesegerät ein.
Aktivieren der Java Card-Authentifizierung beim Systemstart und Erstellen der Administrator-Java Card So aktivieren Sie die Java Card-Authentifizierung beim Systemstart: 1. Wählen Sie Start > Alle Programme > HP ProtectTools Security Manager. 2. Klicken Sie im linken Fensterausschnitt auf Java Card Security (Java Card-Sicherheit) und dann auf Erweitert. 3. Legen Sie die Java Card in das Karten-Lesegerät ein.
Erstellen einer Java Card-PIN HINWEIS: Um eine Benutzer-Java Card zu erstellen, müssen die Authentifizierung beim Systemstart und eine Administratorkarte eingerichtet sein. So erstellen Sie eine Java Card: 1. Wählen Sie Start > Alle Programme > HP ProtectTools Security Manager. 2. Klicken Sie im linken Fensterausschnitt auf Java Card Security (Java Card-Sicherheit) und dann auf Erweitert. 3. Legen Sie eine Java Card ein, die als Benutzerkarte verwendet wird. 4.
5 BIOS Configuration for HP ProtectTools BIOS Configuration for HP ProtectTools bietet Zugriff auf die Sicherheits- und Konfigurationseinstellungen des Computer Setup Utility. Die Benutzer können so komfortabel in Windows auf die Systemsicherheitsfunktionen zugreifen, die vom Computer Setup verwaltet werden. Mit BIO Configuration können Sie die folgenden Aufgaben ausführen: ● Windows Systemstart-Kennwörter und Administratorkennwörter verwalten.
Allgemeine Aufgaben Mit BIOS Configuration können Sie verschiedene Computereinstellungen verwalten, auf die Sie ansonsten nur durch Drücken der Taste f10 während des Starts und Aufrufen des Computer Setup zugreifen könnten. Verwalten von Bootoptionen Mit BIOS Configuration verwalten Sie verschiedene Einstellungen für Aufgaben, die beim Einschalten oder Neustart des Computers ausgeführt werden. So verwalten Sie Bootoptionen: 1. Wählen Sie Start > Alle Programme > HP ProtectTools Security Manager. 2.
Aktivieren und Deaktivieren von Systemkonfigurationsoptionen HINWEIS: Möglicherweise werden nicht alle der nachstehend aufgeführten Optionen von Ihrem Computer unterstützt. So aktivieren bzw. deaktivieren Sie Geräte oder Sicherheitsoptionen: 1. Wählen Sie Start > Alle Programme > HP ProtectTools Security Manager. 2. Klicken Sie im linken Fensterausschnitt auf BIOS Configuration (BIOS-Konfiguration). 3.
● 5.
Erweiterte Aufgaben Verwalten der Einstellungen für die HP ProtectTools Zusatzmodule Einige der Funktionen des HP ProtectTools Security Manager können in BIOS Configuration (BIOSKonfiguration) verwaltet werden. Aktivieren und Deaktivieren der Unterstützung für die Smart Card-Authentifizierung beim Systemstart Nach dem Aktivieren dieser Option können Sie eine Smart Card für die Benutzerauthentifizierung beim Systemstart verwenden.
Aktivieren und Deaktivieren der Unterstützung für die Authentifizierung beim Systemstart für Embedded Security Nach dem Aktivieren dieser Option kann das System den integrierten Sicherheits-Chip (TPM) (falls vorhanden) für die Benutzerauthentifizierung beim Systemstart verwenden. HINWEIS: Zur uneingeschränkten Aktivierung der Authentifizierung beim Systemstart müssen Sie darüber hinaus den integrierten Sicherheits-Chip (TPM) mit Embedded Security for HP ProtectTools konfigurieren.
Aktivieren und Deaktivieren des automatischen DriveLock-Festplattenschutzes Wenn diese Option aktiviert ist, werden die DriveLock-Kennwörter automatisch erzeugt, im Laufwerk eingerichtet und durch den integrierten Sicherheits-Chip (TPM) geschützt. HINWEIS: Die automatisch erzeugten Kennwörter werden erst im Laufwerk eingerichtet, nachdem der Computer neu gestartet und das Kennwort für den integrierten Sicherheits-Chip (TPM) erfolgreich an der Kennworteingabeaufforderung eingegeben wurde.
Das Kennwort für Computer Setup schützt die Konfigurationseinstellungen und die Informationen zur Systemidentifikation in Computer Setup vor unbefugtem Zugriff. Dieses Kennwort muss eingegeben werden, um Computer Setup aufrufen zu können. Wenn Sie ein Setup-Kennwort eingerichtet haben, werden Sie zur Kennworteingabe aufgefordert, bevor der Bereich „BIOS Configuration“ (BIOSKonfiguration) von HP ProtectTools geöffnet wird.
3. Klicken Sie im rechten Fensterausschnitt neben Setup Password (Setup-Kennwort) auf Festlegen. 4. Geben Sie das Kennwort in das Feld Kennwort eingeben und anschließend zur Bestätigung nochmals in das Feld Kennwort bestätigen ein. 5. Klicken Sie im Dialogfeld Kennwörter auf OK. 6. Klicken Sie im HP ProtectTools Fenster auf Übernehmen und anschließend auf OK. Ändern des Setup-Kennworts So ändern Sie das Kennwort für Computer Setup: 1.
HINWEIS: Um diese Option zu deaktivieren, entfernen Sie einfach die Markierung im Kontrollkästchen Enable Stringent Security (Strenge Sicherheit aktivieren). 4. Klicken Sie im HP ProtectTools Fenster auf Übernehmen und anschließend auf OK.
6 Device Access Manager for HP ProtectTools Dieses Sicherheitstool steht nur den Administratoren zur Verfügung.
Starten des Hintergrunddienstes Damit Geräteprofile angewendet werden können, muss der Hintergrunddienst von HP ProtectTools zum Sperren/Überprüfen aktiviert sein. Wenn Sie erstmalig versuchen, Geräteprofile anzuwenden, öffnet HP ProtectTools Security Manager ein Dialogfeld, in dem Sie gefragt werden, ob Sie den Hintergrunddienst starten möchten. Klicken Sie auf Ja, um den Hintergrunddienst zu starten und stellen Sie ihn so ein, dass er bei jedem Systemstart automatisch aktiviert wird.
Einfache Konfiguration Mit dieser Funktion können Sie folgenden Geräteklassen den Zugriff verweigern: ● USB-Geräte für alle Nicht-Administratoren ● Alle Wechselmedien (Disketten, Pen Drives usw.) für alle Nicht-Administratoren ● Alle DVD/CD-ROM-Laufwerke für Nicht-Administratoren ● Alle seriellen und parallelen Anschlüsse für Nicht-Administratoren Gehen Sie folgendermaßen vor, um den Zugriff auf eine Geräteklasse für alle Nicht-Administratoren zu verweigern: 1.
Geräteklassen-Konfiguration (erweitert) Es stehen weitere Auswahlmöglichkeiten zur Verfügung, um bestimmten Benutzern oder Benutzergruppen den Zugriff auf bestimmte Gerätetypen zu gewähren oder zu verweigern. Hinzufügen eines Benutzers oder einer Gruppe 1. Wählen Sie Start > Alle Programme > HP ProtectTools Security Manager. 2. Klicken Sie im linken Fensterausschnitt auf Device Access Manager und anschließend auf Geräteklassen-Konfiguration. 3.
Zulassen des Zugriffs auf eine Geräteklasse für einen Benutzer einer Gruppe Sie können einem Benutzer den Zugriff auf eine Geräteklasse erlauben, während Sie allen anderen Mitgliedern dieser Benutzergruppe den Zugriff verweigern. So erlauben Sie den Zugriff für einen Benutzer, jedoch nicht für die Gruppe: 1. Wählen Sie Start > Alle Programme > HP ProtectTools Security Manager. 2. Klicken Sie im linken Fensterausschnitt auf Device Access Manager und anschließend auf Geräteklassen-Konfiguration. 3.
10. Klicken Sie auf Zulassen, um diesem Benutzer den Zugriff zu gewähren. 11. Klicken Sie auf Übernehmen und dann auf OK.
7 Drive Encryption for HP ProtectTools ACHTUNG: Wenn Sie das Modul Drive Encryption deinstallieren möchten, müssen zunächst alle verschlüsselten Laufwerke entschlüsselt werden. Wenn Sie die Entschlüsselung nicht vornehmen, können Sie nur dann auf die Daten der verschlüsselten Laufwerke zugreifen, wenn Sie beim Drive Encryption Wiederherstellungsdienst registriert sind (siehe „Wiederherstellung“ auf Seite 69).
Verschlüsselungsverwaltung Verschlüsseln eines Laufwerks 1. Wählen Sie Start > Alle Programme > HP ProtectTools Security Manager. 2. Wählen Sie im linken Fensterausschnitt die Option Drive Encryption und anschließend Encryption Management (Verschlüsselungsverwaltung). 3. Klicken Sie im rechten Fensterausschnitt auf Activate (Aktivieren). Der Assistent für das Modul Drive Encryption for HP ProtectTools wird geöffnet. 4.
Benutzerverwaltung Hinzufügen eines Benutzers 1. Wählen Sie Start > Alle Programme > HP ProtectTools Security Manager. 2. Wählen Sie im linken Fensterausschnitt die Option Drive Encryption und anschließend User Management (Benutzerverwaltung). 3. Klicken Sie im rechten Fensterausschnitt auf Hinzufügen. Klicken Sie in der Liste User Name (Benutzername) auf einen Benutzernamen, oder geben Sie in das Feld Username (Benutzername) einen Benutzernamen ein. Klicken Sie auf Weiter. 4.
68 3. Wählen Sie im rechten Fensterausschnitt den Benutzernamen aus der Liste User Name (Benutzername) und anschließend Set Password (Kennwort einrichten). 4. Geben Sie das Windows-Kennwort des Benutzers ein, und klicken Sie dann auf Weiter. 5. Wählen Sie die neue Authentifizierungsmethode, und klicken Sie anschließend auf Fertig stellen. 6.
Wiederherstellung Die folgenden beiden Optionen stehen zur Auswahl: ● Wenn Sie Ihr Kennwort vergessen haben, können Sie auf Ihre verschlüsselten Laufwerke nicht zugreifen. Durch eine Registrierung beim Drive Encryption Wiederherstellungsdienst erhalten Sie jedoch die Möglichkeit, auch dann auf Ihren Computer zuzugreifen, wenn Sie das Kennwort vergessen haben. ● Sie können die Drive Encryption Schlüssel auf einer Diskette, einem Flash-Datenträger oder einem anderweitigen USB-Speichermedium sichern.
70 Kapitel 7 Drive Encryption for HP ProtectTools DEWW
8 Fehlerbeseitigung Credential Manager for HP ProtectTools Kurzbeschreibung Einzelheiten Lösung Mit der Option „Network Accounts“ von Credential Manager kann ein Benutzer auswählen, bei welchem Domänenkonto er sich anmelden möchte. Wenn die TPMAuthentifizierung verwendet wird, steht diese Option nicht zur Verfügung. Alle übrigen Authentifizierungsmethod en stehen in vollem Umfang zur Auswahl. Bei der TPM-Authentifizierung ist der Benutzer nur auf dem lokalen Computer angemeldet.
Kurzbeschreibung Einzelheiten Lösung virtuellem Token suchen) nicht angezeigt. Durchsuchen-Option aus Sicherheitsgründen entfernt wurde. löschen oder umbenennen bzw. Windows nutzen können. Domänenadministratoren können das WindowsKennwort selbst mit Autorisation nicht ändern.
Kurzbeschreibung Einzelheiten Lösung schlägt Credential Manager fehl. nachdem die Werkseinstellungen des ROM wiederhergestellt wurden. Credential Manager auf die Werkseinstellungen zurückgesetzt wird. Der integrierte Sicherheits-Chip (TPM) kann mit f10 Computer Setup, BIOS Configuration oder HP Client Manager aktiviert werden. Zur Aktivierung des integrierten Sicherheits-Chips mittels Computer Setup gehen Sie folgendermaßen vor: 1.
Embedded Security for HP ProtectTools 74 Kurzbeschreibung Einzelheiten Lösung Die Verschlüsselung von Ordnern, Unterordnern und Dateien auf einem PSD führt zur Anzeige einer Fehlermeldung. Wenn der Benutzer Dateien und Ordner auf das PSD kopiert und versucht, Ordner/Dateien oder Ordner/ Unterordner zu verschlüsseln, wird die Meldung Error Applying Attributes (Fehler bei der Attribut-Übernahme) angezeigt. Der Benutzer kann diese Dateien auf Laufwerk C:\ oder auf einer zusätzlich installierten Festplatt
Kurzbeschreibung Einzelheiten Lösung wenn Symantec Antivirus oder Norton Antivirus ausgeführt werden. Das Archiv für die Notfallwiederherstellung kann nicht auf einem Wechselmedium gesichert werden. Wenn der Benutzer eine MultiMediaCard oder eine Secure Digital (SD) Memory Card einlegt, wenn er während der Initialisierung von Embedded Security den Pfad für das Notfallarchiv angibt, wird eine Fehlermeldung angezeigt. Dies ist das beabsichtigte Standardverhalten der Anwendung.
Kurzbeschreibung Einzelheiten Lösung wird das Dialogfeld zur Kennworteingabe auch dann nicht mehr angezeigt, wenn der Benutzer fortfahren möchte und das System wieder in den Normalbetrieb wechselt. 76 Zur Änderung der Richtlinien für die Sicherheitsplattform ist kein Kennwort erforderlich. Für den Zugriff auf Sicherheitsplattformrichtlinien (Computer und Benutzer) benötigen Benutzer mit administrativen Rechten für das System kein TPM-Kennwort. Dies entspricht dem Standardverhalten der Anwendung.
Kurzbeschreibung Einzelheiten Lösung entschieden hat (indem er im Dialogfeld Click Yes to open Embedded Security Administration tool (Auf „Ja“ klicken, um das Embedded Security Administration-Tool zu öffnen) auf Ja geklickt hat), wird die Deinstallation so lange ausgesetzt, bis das Tool geschlossen wurde. Wenn der Benutzer in dem Dialogfeld auf Nein klickt, wird das Tool nicht geöffnet und der Deinstallationsvorgang fährt fort.
Kurzbeschreibung Einzelheiten wird, werden die Wiederherstellungs- und Token-Dateien überschrieben. Die neuen Dateien können nicht für eine Wiederherstellung verwendet werden. werden, da die betreffenden XMLDateien überschrieben werden. Automatisierte Anmeldeskripte funktionieren nicht, wenn eine Benutzerwiederherstellun g in Embedded Security durchgeführt wird.
Kurzbeschreibung Ein interner Fehler tritt auf, wenn der Benutzer eine Wiederherstellung anhand des automatischen Wiederherstellungsarchiv s vornimmt. Bei Vorhandensein von mehreren Benutzern zeigt das Embedded Security System einen Fehler an.
Kurzbeschreibung Einzelheiten Lösung nicht für das abgebildete Laufwerk. Scheduled Task (Geplanter Task) ein entsprechender Eintrag erzeugt. Der geplante Windows-Task verwendet NT AUTHORITY\SYSTEM, um die notwendigen Rechte für die BackupAusführung zu erhalten. Dieser Vorgang funktioniert für jedes lokale Laufwerk. ändern. Dies ist die Standardeinstellung, wenn der geplante Task manuell erstellt wird. HP wird in zukünftigen Produktversionen Standardeinstellungen bereitstellen, die (Computername\Adminis
Device Access Manager for HP ProtectTools Kurzbeschreibung Details Lösung Die Benutzer erhalten keinen Zugriff auf Geräte in Device Access Manager, obwohl die Geräte grundsätzlich verfügbar sind. Device Access Manager wurde für Einfache Konfiguration und/oder Geräteklassen-Konfiguration eingerichtet, so dass den Benutzern der Zugriff auf Geräte verwehrt wird. Die Benutzer können jedoch trotzdem auf die Geräte zugreifen.
Sonstiges Betroffene Software – Kurzbeschreibung Einzelheiten Lösung Security Manager — Warnmeldung: The security application can not be installed until the HP Protect Tools Security Manager is installed. (Die Sicherheitsanwendung kann erst installiert werden, nachdem HP Protect Tools Security Manager installiert wurde.) Alle Sicherheitsanwendungen wie Embedded Security, Java Card Security und biometrische Lesegeräte sind erweiterbare Plug-In-Module für die Security Manager Schnittstelle.
Betroffene Software – Kurzbeschreibung Einzelheiten Lösung 5. HP ProtectTools Security Manager – Beim Schließen der Security Manager-Schnittstelle wird zeitweilig ein Fehler zurückgegeben. Wenn der Benutzer Security Manager über die Schließen-Schaltfläche in der oberen rechten Ecke des Bildschirms schließt, bevor alle Plug-InAnwendungen vollständig geladen wurden, tritt zeitweilig (in einem von 12 Fällen) ein Fehler auf. ● Component Info (Komponenteninformation): TCG Spec. Version (Version TCG-Spez.
84 Betroffene Software – Kurzbeschreibung Einzelheiten Lösung kann sich nur ein Benutzer am System anmelden. ein Computer über mehrere Benutzer verfügt, hat der erste Benutzer die Funktion eines Administrators. Der erste Benutzer muss seine TPM-BenutzerPIN den anderen Benutzern mitteilen, damit diese sich ebenfalls anmelden können. Sicherheitslösung bereitzustellen und zu gewährleisten, dass das BIOS-Administratorkennwort von IT-Administratoren für den Schutz auf Systemebene konfiguriert wird.
Glossar Anmeldeinformationen Methode, mit der ein Benutzer seine Berechtigung für ein bestimmtes Vorhaben im Authentifizierungsvorgang beweist. Authentifizierung In diesem Vorgang wird überprüft, ob ein Benutzer autorisiert ist, ein bestimmtes Vorhaben durchzuführen, wie z. B. auf einen Computer zuzugreifen, Einstellungen für ein bestimmtes Programm zu ändern oder sichere Daten einzusehen. Authentifizierung beim Systemstart Sicherheitsfunktion, die beim Starten eine Form der Authentifizierung, wie z. B.
Java Card Kleines Hardware-Gerät, das in etwa die Größe und Form einer Kreditkarte aufweist und auf dem Identifizierungsinformationen über den Besitzer gespeichert werden. Wird zur Authentifizierung des Besitzers an einem Computer verwendet. Kryptografie Verschlüsseln und Entschlüsseln von Daten mit dem Ergebnis, dass sie nur von bestimmten Personen decodiert werden können.
Windows-Benutzerkonto Profil für eine Person mit der Berechtigung, sich in einem Netzwerk oder an einem bestimmten Computer anzumelden. Zertifizierungsstelle Dienst, der die erforderlichen Zertifikate zur Ausführung einer Infrastruktur mit öffentlichen Schlüsseln ausstellt.
88 Glossar DEWW
Index A Administrator-Aufgaben Credential Manager 27 Java Card 45 aktivieren Authentifizierung beim Systemstart 53 Automatisches DriveLock 55 Embedded Security 40 Embedded Security nach permanenter Deaktivierung 40 Geräteoptionen 51 Java Card-Authentifizierung beim Systemstart 47 Smart CardAuthentifizierung 53 Strenge Sicherheit 57 Aktivieren TPM-Chip 34 Allgemeines Benutzerkonto 36 Aufgaben, Sicherheit 5 Authentifizierung beim Systemstart Aktivieren und Deaktivieren 53 Wenn Windows neu gestartet wird 58 A
SSO-Anmeldeinformationen ändern 24 SSO-Anwendung, Eigenschaften ändern 22 SSO-Anwendung entfernen 23 SSO-Anwendungen und Anmeldeinformationen 22 SSO-Anwendung exportieren 23 SSO-Anwendung importieren 23 Token-PIN ändern 19 USB eToken registrieren 16 Virtuelles Token erstellen 18 Windows-Anmeldekennwort ändern 18 Windows-Anmeldung 20 Windows-Anmeldung zulassen 29 D Datenzugriff einschränken 5 Deaktivieren Authentifizierung beim Systemstart 53 Automatisches DriveLock 55 Embedded Security 40 Embedded Security,
HP ProtectTools Security öffnen 4 I Identität entfernen Credential Manager 19 Identität verwalten Credential Manager 19 Initialisieren des integrierten Sicherheits-Chips 35 J Java Card Security for HP ProtectTools Administrator-Aufgaben 45 Benutzer erstellen 48 Credential Manager 16 Erstellen für Administrator 47 Erweiterte Aufgaben 45 Lesegerät auswählen 44 PIN 9 PIN ändern 44 PIN zuordnen 45 Systemstart-Authentifizierung aktivieren 47 Systemstart-Authentifizierung deaktivieren 48 Systemstart-Authentifizie
Z Zugriff Steuern 59 Verhindern von unbefugtem 92 Index 6 DEWW
