ProtectTools 用户指南
© 版权所有 2007 Hewlett-Packard Development Company, L.P. Microsoft 和 Windows 是 Microsoft Corporation 在美国的注册商标。 Intel 是 Intel Corporation 或其子公司在美国和其它国 家/地区的商标或注册商标。 AMD、AMD 箭 头徽标及其组合是 Advanced Micro Devices, Inc. 的商标。Bluetooth 是其所有者 拥有的商标,Hewlett-Packard Company 经 授权得以使用。 Java 是 Sun Microsystems, Inc.
目录 1 安全保护简介 HP ProtectTools 功能 ........................................................................................................................... 2 访问 HP ProtectTools Security ............................................................................................................. 3 实现关键的安全保护目标 ...................................................................................................................... 4 防范有目的的盗窃行为 ......................................................................
删除帐户 ............................................................................................................ 18 使用单次登录 ..................................................................................................................... 18 注册新应用程序 ................................................................................................. 18 使用自动注册功能 ............................................................................. 18 使用手动(拖放)注册功能 .......................................................
选择读卡器 ......................................................................................................................... 38 高级任务(仅供管理员使用) ............................................................................................................. 39 指定 Java 卡个人标识号 .................................................................................................... 39 为 Java 卡指定名称 ............................................................................................................ 40 设置开机验证 ...
术语表 ................................................................................................................................................................. 75 索引 .....................................................................................................................................................................
1 安全保护简介 HP ProtectTools Security Manager 软件提供的安全保护功能有助于防止他人未经授权擅自访问计算 机、网络和重要的数据。 以下软件模块提供了增强的安全保护功能: ● Credential Manager for HP ProtectTools ● Embedded Security for HP ProtectTools ● Java Card Security for HP ProtectTools ● BIOS Configuration for HP ProtectTools ● Device Access Manager for HP ProtectTools ● Drive Encryption for HP ProtectTools 笔记本计算机中可用的软件模块因机型而异。 例如,Embedded Security for HP ProtectTools 软件模块 只能用于安装了可信平台模块 (TPM) 嵌入式安全保护芯片的计算机。 您可以从 HP 网站预安装、预装载或下载 HP ProtectTools 软件模块。 有关详细
HP ProtectTools 功能 下表详细介绍 HP ProtectTools 模块的重要功能: 模块 重要功能 Credential Manager for HP ProtectTools ● Credential Manager 可用作个人密码保护屏障。 ● 单次登录可记住多个用于访问各种有密码保护的网站、应用程序和 网络资源的密码。 ● 单次登录还提供额外的保护,要求使用不同安全技术的组合(比 如 Java™ 卡和生物识别器)进行用户身份验证。 ● 密码存储通过加密进行保护,并可以利用 TPM 嵌入式安全保护芯 片和/或安全设备验证(比如 Java 卡和生物识别器)来加强保护。 ● Embedded Security 模块使用可信平台模块 (TPM) 嵌入式安全保 护芯片来帮助防止他人未经授权擅自访问在计算机本地存储的敏感 用户数据或凭证。 ● Embedded Security 模块允许创建个人安全驱动器 (PSD) 以保护 用户数据。 ● Embedded Security 模块支持第三方应用程序(如 Microsoft Outlook 和 Internet Ex
访问 HP ProtectTools Security 要从 Windows® 控制面板中访问 HP ProtectTools Security,请执行以下操作: ▲ 选择 Start(开始)> All Programs(所有程序)> HP ProtectTools Security Manager。 注: 如果已经配置了 Credential Manager 模块,您还可以通过直接从 Windows 登录屏幕登录 到 Credential Manager 来打开 HP ProtectTools。 有关详细信息,请参阅“第 17 页的使用 Credential Manager 登录到 Windows”。 ZHCN 访问 HP ProtectTools Security 3
实现关键的安全保护目标 HP ProtectTools 模块可以组合起来为多种安全问题提供解决方案,包括实现以下关键的安全保护目 标: ● 防范有目的的盗窃行为 ● 限制访问敏感数据 ● 防止来自内部或外部的未授权访问 ● 创建强大可靠的密码策略 防范有目的的盗窃行为 有目的地在机场安检处盗窃保存机密数据和客户信息的笔记本计算机就是这种类型的案例。 下列功能有 助于防范有目的的盗窃行为: ● 启用预引导验证功能有助于防止他人未经授权擅自访问操作系统。 请参阅以下步骤: ● “第 47 页的启用和禁用智能卡开机验证支持” ● “第 48 页的启用和禁用 Embedded Security 的开机验证支持” ● “第 40 页的为 Java 卡指定名称” ● “第 59 页的 Drive Encryption for HP ProtectTools” ● 即使卸下硬盘驱动器,然后将其安装到没有保护的系统,驱动器锁功能也可帮助确保硬盘驱动器上 的数据不被未授权用户访问。 请参阅“第 49 页的启用和禁用驱动器锁自动保护硬盘驱动器功 能”。 ● Embedded Securit
防止来自内部或外部的未授权访问 如果可以从内部或外部访问包含机密数据和客户信息的 PC,那么未授权的用户就可能能够查看公司网 络资源或财务部门、执行官或研发团队的数据,或者诸如病历或个人财务数据等私密信息。 以下功能可 帮助防止未经授权的访问: ● ● 启用预引导验证功能有助于防止他人未经授权擅自访问操作系统。 请参阅以下步骤: ● “第 47 页的启用和禁用智能卡开机验证支持” ● “第 48 页的启用和禁用 Embedded Security 的开机验证支持” ● “第 40 页的为 Java 卡指定名称” ● “第 59 页的 Drive Encryption for HP ProtectTools” Embedded Security for HP ProtectTools 模块利用以下步骤来帮助保护在 PC 上本地存储的敏感用 户数据或凭证: ● ● ● Embedded Security “第 28 页的设置步骤” “第 31 页的使用个人安全驱动器” 利用以下步骤,Credential Manager for HP ProtectTools 模块帮助确保未经授权的用户不
其它安全保护要素 指定安全保护角色 在管理计算机安全性(尤其是对于大型企业)的方面,一项很重要的工作就是划分不同类型管理员和用 户之间的责任和权限。 注: 对于小型企业或个人用户,这些角色可能全部由一人担任。 对于 HP ProtectTools,安全责任和权限可以按以下角色划分: ● 安全管理人员 - 定义公司或网络的安全级别,确定要部署的安全功能,如 Java™ 卡、生物识别器 或 USB 身份标记等。 注: 通过与 HP 合作,安全管理人员可以自定义 HP ProtectTools 中的许多功能。 有关详 细信息,请访问 HP 网站:http://www.hp.com.
HP ProtectTools 密码 在以下 HP ProtectTools 模 块中设置 功能 主人密码 Embedded Security,由 IT 管理员设置并使用 保护系统和 TPM 芯片,防止他人未经授权擅 自访问 Embedded Security 模块的所有主人 功能。 Java™ 卡个人标识号 Java Card Security 防止他人未经授权擅自访问 Java 卡内容并验 证 Java 卡用户的身份。 用于开机验证时, Java 卡个人标识号还可以防止他人未经授权 擅自访问计算机设置实用程序和计算机内容。 如果选择了 Java 卡身份标记,则验证 Drive Encryption 模块的用户。 BIOS Configuration,由 IT 管理员设置并使用 防止他人未经授权擅自访问计算机设置实用 程序。 开机密码 BIOS Configuration 在笔记本计算机开启、重新启动或从休眠模 式恢复时,防止他人未经授权擅自对笔记本 计算机内容进行访问。 Windows 登录密码 Windows 控制面板 可用于手动登录,或保存在 Java 卡中。 计算机
创建安全的密码 创建密码时,您首先必须遵循程序设置的所有密码规范。 不过,一般来说,应遵守下列准则以便创建安 全可靠的密码,降低密码被破解的几率: ● 使用的密码要多于 6 个字符(最好超过 8 个字符)。 ● 密码要包含大小写字母。 ● 尽可能混合使用字母数字字符并包含特殊字符和标点符号。 ● 用特殊字符或数字代替关键字词中的字母。 例如,可以使用数字 1 代替字母 I 或 L。 ● 混合使用 2 种或更多种语言的字词。 ● 将数字或特殊字符置于单词或短语的中间,如“Mary2-2Cat45”。 ● 不要使用可在字典中查到的词作为密码。 ● 不要使用姓名或其它个人信息(如生日、宠物名称或母亲的姓氏)作为密码,即使反过来拼写也不 可以。 ● 定期更改密码。 您可以只递增地更改几个字符。 ● 如果您写下了密码,请不要将其存放在距离计算机很近的显眼位置。 ● 不要在计算机上的文件(如电子邮件)中保存密码。 ● 不要与他人共享帐户或将密码告诉别人。 HP ProtectTools Backup and Restore HP ProtectTools Backup an
设置备份选项 1. 选择 Start(开始)> All Programs(所有程序)> HP ProtectTools Security Manager。 2. 在左窗格中,单击 HP ProtectTools,然后单击 Backup and Restore(备份和恢复)。 3. 在右窗格中,单击 Backup Options(备份选项)。 随即打开 HP ProtectTools 备份向导。 4. 按照屏幕上的指示进行操作。 5. 在设置和确认 Storage File Password(存储文件密码)后,选择 Remember all passwords and authentication values for future automated backups(记住所有密码和验证值以便将来自 动备份)。 6. 单击 Save Settings(保存设置),然后单击 Finish(完成)。 备份预先选定的 HP ProtectTools 模块 注: 在使用该方法前,您必须先设置备份选项。 1.
恢复凭证 1. 选择 Start(开始)> All Programs(所有程序)> HP ProtectTools Security Manager。 2. 在左窗格中,单击 HP ProtectTools,然后单击 Backup and Restore(备份和恢复)。 3. 在右窗格中,单击 Restore(恢复)。 随即打开 HP ProtectTools 恢复向导。 按照屏幕上的指示 进行操作。 配置设置 10 1. 选择 Start(开始)> All Programs(所有程序)> HP ProtectTools Security Manager。 2. 在左窗格中,单击 HP ProtectTools,然后单击 Settings(设置)。 3.
2 Credential Manager for HP ProtectTools Credential Manager for HP ProtectTools 使用以下安全保护功能防止他人未经允许擅自访问您的计算 机: ZHCN ● 登录 Windows 时不输入密码而使用其它方法,例如使用 Java 卡或生物识别器登录 Windows。 有 关详细信息,请参阅“第 13 页的注册凭证”。 ● 单次登录功能,可自动记住访问网站、应用程序和受保护网络资源所用的凭证。 ● 支持安全保护设备选件,如 Java 卡和生物识别器。 ● 支持其它安全保护设置,例如要求在解除计算机锁定前使用安全保护设备选件进行验证。 11
设置步骤 登录到 Credential Manger 根据配置情况,您可采用以下任意方式登录到 Credential Manger: ● Credential Manager 登录向导(首选) ● 在通知区域中的 HP ProtectTools Security Manager 图标 ● HP ProtectTools Security Manager 注: 如果您使用 Windows 登录屏幕上的 Credential Manger 登录提示登录到 Credential Manger,您将同时登录到 Windows。 首次打开 Credential Manger 时,请使用通常的 Windows 登录密码进行登录。 然后系统将基于您的 Windows 登录凭证自动创建一个 Credential Manger 帐户。 登录到 Credential Manger 之后,您可以注册其他凭证,例如指纹或 Java 卡。 有关详细信息,请参 阅“第 13 页的注册凭证”。 在下一次登录时,您可以选择登录策略并使用任意组合形式的注册凭证。 使用 Credential Manager 登录向导 要使用 Cr
首次登录 在您开始以前,必须使用管理员帐户登录到 Windows,但不要登录到 Credential Manager。 1. 通过双击通知区域中的 HP ProtectTools Security Manager 图标将其打开。 随即打开 HP ProtectTools Security Manager 窗口。 2. 在左窗格中,单击 Credential Manager(凭证管理器),然后在右窗格右上角中单击 Log On (登录)。 随即打开 Credential Manager 登录向导。 3.
设置指纹识别器 1. 登录 Credential Manager 后,在指纹识别器上扫描您的手指。 随即打开 Credential Manager 注册 向导。 2. 按照屏幕上的指示完成指纹注册和指纹识别器设置的过程。 3. 要对其他 Windows 用户设置指纹识别器,请以该用户的身份登录到 Windows 中,然后重复步骤 1 和 2。 使用已注册的指纹登录到 Windows 1. 注册完您的指纹后,请立即重新启动 Windows。 2. 出现 Windows Welcome(Windows 欢迎使用)屏幕时,通过扫描您已经注册过的任何手指登录 到 Windows。 注册 Java 卡、USB eToken 或虚拟身份标记 注: 您必须在此步骤中配置读卡器。 如果还没有安装读卡器,您可以按照“第 15 页的创建 虚拟身份标记”中的说明注册虚拟身份标记。 1. 选择 Start(开始)> All Programs(所有程序)> HP ProtectTools Security Manager。 2. 在左窗格中,单击 Credential Manager(凭证管理器)。 3.
常规任务 所 有 用 户 都 可 以 访 问 Credential Manager 中 的 “ My Identity ” ( 我 的 标 识 ) 页 。 使 用 “ My Identity”(我的标识)页,您可以执行以下任务: ● 创建虚拟身份标记 ● 更改 Windows 登录密码 ● 管理身份标记个人标识号 ● 管理标识 ● 锁定笔记本计算机 注: 此选项仅在启用 Credential Manager 经典登录提示时才可用。 请参阅“第 25 页的 示例 1 - 使用“Advanced Settings”(高级设置)页允许从 Credential Manager 进行 Windows 登录”。 创建虚拟身份标记 虚拟身份标记的工作原理非常类似于 Java 卡或 USB eToken。 该身份标记保存在计算机硬盘驱动器或 Windows 注册表中。 使用虚拟身份标记登录后,将要求您输入用户个人标识号以完成验证。 要创建新的虚拟身份标记,请执行以下操作: 1.
3. 在右窗格中,单击 Change Token PIN(更改身份标记个人标识号)。 4. 选择要更改个人标识号的身份标记,然后单击 Next(下一步)。 5. 按照屏幕上的指示完成对个人标识号的更改。 管理标识 从系统中清除标识 注: 16 这不会影响您的 Windows 用户帐户。 1. 选择 Start(开始)> All Programs(所有程序)> HP ProtectTools Security Manager。 2. 在左窗格中,单击 Credential Manager(凭证管理器)。 3. 在右窗格中,单击 Clear Identity for this Account(清除此帐户的标识)。 4.
锁定笔记本计算机 如果您使用 Credential Manager 登录到 Windows,则可以使用此功能。 要在您离开办公桌时保证您的 笔记本计算机的安全,请使用 Lock Workstation(锁定工作站)功能。 这可防止他人擅自使用您的计算 机。 只有您和计算机管理员组的成员可以解除计算机的锁定。 注: 此选项仅在启用 Credential Manager 经典登录提示时才可用。 请参阅“第 25 页的示 例 1 - 使用“Advanced Settings”(高级设置)页允许从 Credential Manager 进行 Windows 登录”。 为了进一步提高安全性,您可以配置 Lock Workstation(锁定工作站)功能,以要求必须使用 Java 卡、生物识别器或身份标记才可解除计算机的锁定。 有关详细信息,请参阅“第 25 页的 配置 Credential Manager 设置”。 要锁定计算机,请执行以下操作: 1. 选择 Start(开始)> All Programs(所有程序)> HP ProtectTools Security Manager。 2.
添加帐户 1. 选择 Start(开始)> All Programs(所有程序)> HP ProtectTools Security Manager。 2. 在左窗格中,单击 Credential Manager(凭证管理器),然后单击 Services and Applications (服务和应用程序)。 3. 在右窗格中,单击 Windows Logon(Windows 登录),然后单击 Add a Network Account(添 加网络帐户)。 随即打开 Add Network Account Wizard(添加网络帐户向导)。 4. 按照屏幕上的指示进行操作。 删除帐户 1. 选择 Start(开始)> All Programs(所有程序)> HP ProtectTools Security Manager。 2. 在左窗格中,单击 Credential Manager(凭证管理器),然后单击 Services and Applications (服务和应用程序)。 3.
4. 5. 单击 More(更多),并从以下选项中选择: ● Do not use SSO for this site or application.(不要对此网站或应用程序使用单次登录。) ● Prompt to select account for this application.(提示选择此应用程序的帐户。) ● Fill in credentials but do not submit.(填写凭证但不提交。) ● Authenticate user before submitting credentials.(提交凭证之前验证用户。) ● Show SSO shortcut for this application.(显示此应用程序的单次登录快捷方式。) 单击 Yes(是)完成注册。 使用手动(拖放)注册功能 1. 选择 Start(开始)> All Programs(所有程序)> HP ProtectTools Security Manager。 2.
5. 在确认对话框中单击 Yes(是)。 6. 单击 OK(确定)。 导出应用程序 您可以导出应用程序来创建单次登录应用程序脚本的备份副本。 此文件随后可用于恢复单次登录数 据。 该文件是标识备份文件的一个补充,后者仅包含凭证信息。 要导出应用程序,请执行以下操作: 1. 选择 Start(开始)> All Programs(所有程序)> HP ProtectTools Security Manager。 2. 在左窗格中,单击 Credential Manager(凭证管理器),然后单击 Services and Applications (服务和应用程序)。 3. 在右窗格中的 Single Sign On(单次登录)下,单击 Manage Applications and Credentials (管理应用程序和凭证)。 4. 单击要导出的应用程序项。 然后单击 More(更多)> Applications(应用程序)> Export Script (导出脚本)。 5. 按照屏幕上的指示完成导出操作。 6. 单击 OK(确定)。 导入应用程序 1.
5. 选择以下任意选项: ● ● Applications(应用程序) ● Add New(新添) ● Remove(删除) ● Properties(属性) ● Import Script(导入脚本) ● Export Script(导出脚本) Credentials(凭证) ● ● Create New(新建) View Password(查看密码) 注: 您必须先验证您的标识才能查看密码。 6. 按照屏幕上的指示进行操作。 7. 单击 OK(确定)。 使用应用程序保护 您可以使用此功能配置对应用程序的访问。 您可以根据以下标准限制访问: ● 用户类别 ● 使用时间 ● 用户非活动状态 限制对应用程序的访问 1. 选择 Start(开始)> All Programs(所有程序)> HP ProtectTools Security Manager。 2. 在左窗格中,单击 Credential Manager(凭证管理器),然后单击 Services and Applications (服务和应用程序)。 3.
删除应用程序的保护 要删除应用程序的保护,请执行以下操作: 1. 选择 Start(开始)> All Programs(所有程序)> HP ProtectTools Security Manager。 2. 在左窗格中,单击 Credential Manager(凭证管理器),然后单击 Services and Applications (服务和应用程序)。 3. 在 右 窗 格 中 的 Application Protection ( 应 用 程 序 保 护 ) 下 , 单 击 Manage Protected Applications(管理受保护的应用程序)。 随即打开 Application Protection Service(应用程序 保护服务)对话框。 4. 选择您要管理其访问权限的用户类别。 注: 如果用户类别不是 Everyone(所有人),您可能需要单击 Override default settings(覆盖默认设置)来覆盖 Everyone(所有人)类别的设置。 5. 单击要删除的应用程序项,然后单击 Remove(删除)。 6.
高级任务(仅供管理员使用) Credential Manager 的 “ Authentication and Credentials ” ( 验 证 和 凭 证 ) 页 和 “ Advanced Settings”(高级设置)页仅供具有管理员权限的用户使用。 在这些页面中,您可以执行以下任务: ● 指定用户和管理员的登录方式 ● 配置自定义验证需求 ● 配置凭证属性 ● 配置 Credential Manager 设置 指定用户和管理员的登录方式 在“Authentication and Credentials”(验证和凭证)页,您可以指定用户或管理员需要何种类型的 (一种或多种)凭证。 要指定用户和管理员的登录方式,请执行以下操作: ZHCN 1. 选择 Start(开始)> All Programs(所有程序)> HP ProtectTools Security Manager。 2.
配置自定义验证需求 如果“Authentication and Credentials”(验证和凭证)页的 Authentication(验证)标签上未列出您所 需的一组验证凭证,那么您可以创建自定义需求。 要配置自定义需求,请执行以下操作: 1. 选择 Start(开始)> All Programs(所有程序)> HP ProtectTools Security Manager。 2. 在 左 窗 格 中 , 单 击 Credential Manager ( 凭 证 管 理 器 ) , 然 后 单 击 Authentication and Credentials(验证和凭证)。 3. 在右窗格中,单击 Authentication(验证)标签。 4. 在类别列表中单击类别(Users(用户)或 Administrators(管理员))。 5. 在验证方法列表中单击 Custom(自定义)。 6. 单击 Configure(配置)。 7. 选择要使用的验证方法。 8.
配置 Credential Manager 设置 在“Settings”(设置)页中,您可以利用以下标签访问并修改多种设置: ● General(常规)- 允许您修改基本配置设置。 ● Single Sign On(单次登录)- 允许您修改当前用户的单次登录设置,例如检测登录屏幕、自动登 录到注册登录对话框以及显示密码等操作的处理方式。 ● Services and Applications(服务和应用程序)- 允许您查看可用的服务并修改这些服务的相关设 置。 ● Security(安全保护)- 允许您选择指纹识别器软件并调整指纹识别器的安全级别。 ● Smart Cards and Tokens(智能卡和身份标记)- 允许您查看并修改所有可用的 Java 卡和身份标 记的属性。 要修改 Credential Manager 设置,请执行以下操作: 1. 选择 Start(开始)> All Programs(所有程序)> HP ProtectTools Security Manager。 2.
示例 2 - 使用“Advanced Settings”(高级设置)页要求在单次登录前进行用户验证 26 1. 选择 Start(开始)> All Programs(所有程序)> HP ProtectTools Security Manager。 2. 在左窗格中,单击 Credential Manager(凭证管理器),然后单击 Settings(设置)。 3. 在右窗格中,单击 Single Sign On(单次登录)标签。 4. 在 When registered logon dialog or Web page is visited(访问注册登录对话框或 Web 页时) 下,选中 Authenticate user before submitting credentials(提交凭证之前验证用户)复选框。 5. 单击 Apply(应用),然后单击 OK(确定)。 6.
3 Embedded Security for HP ProtectTools 注: 计算机必须安装了集成的可信平台模块 (TPM) 嵌入式安全保护芯片,才能使用 Embedded Security for HP ProtectTools 模块。 Embedded Security for HP ProtectTools 可以防止他人未经授权擅自访问用户数据或凭证。 此软件模块 提供以下安全功能: ● 增强的 Microsoft® 加密文件系统 (EFS) 文件和文件夹加密功能 ● 创建个人安全驱动器 (PSD) 以保护用户数据的功能 ● 数据管理功能,例如备份和恢复密钥层次结构 ● 在使用 Embedded Security 软件时,支持第三方应用程序(如 Microsoft Outlook 和 Internet Explorer)采用数字证书保护措施 TPM 嵌入式安全保护芯片可以增强并支持 Embedded Security for HP ProtectTools 模块的其他安全保 护功能。 例如,在用户登录 Windows 时,Credential Manager for HP P
设置步骤 注意: 为降低安全风险,极力建议 IT 管理员立即初始化嵌入式安全保护芯片。 如果未初始化 嵌入式安全保护芯片,将可能导致未经授权的用户擅自使用、计算机蠕虫或病毒入侵计算机并控 制计算机主人的任务,例如处理急救档案以及配置用户访问设置。 按照下面两节中的步骤操作可以启用并初始化嵌入式安全保护芯片。 启用嵌入式安全保护芯片 必须在计算机设置实用程序中启用嵌入式安全保护芯片。 在 BIOS Configuration for HP ProtectTools 中 无法执行此步骤。 要启用嵌入式安全保护芯片,请执行以下操作: 28 1. 打开或重新启动笔记本计算机,当屏幕的左下角显示“f10 = ROM Based Setup”(f10 = 基于 ROM 的设置)消息时,按 f10 键以打开计算机设置实用程序。 2. 如果尚未设置管理员密码,请使用箭头键选择 Security(安全保护)> Setup password(设置密 码),然后按 enter 键。 3.
初始化嵌入式安全保护芯片 在 Embedded Security 模块的初始化过程中,您将执行以下任务: ● 为嵌入式安全保护芯片设置一个主人密码,以防止他人未经授权擅自访问嵌入式安全保护芯片的所 有主人功能。 ● 建立急救档案。该档案是一个受保护的存储区域,允许为所有用户的基本用户密钥重新进行加密。 要初始化嵌入式安全保护芯片,请执行以下操作: 1. 在 任 务 栏 最 右 侧 的 通 知 区 域 中 右 击 HP ProtectTools Security Manager 图 标 , 然 后 选 择 Embedded Security Initialization(嵌入式安全保护功能初始化)。 随即打开 HP ProtectTools Embedded Security 初始化向导。 2.
建立基本用户帐户 在 Embedded Security 模块中设置基本用户帐户时,需要执行以下任务: ● 生成一个保护加密信息的基本用户密钥,并设置一个保护该基本用户密钥的基本用户密钥密码。 ● 建立一个个人安全驱动器 (PSD),用于存储加密文件和文件夹。 注意: 保护基本用户密钥密码。 没有此密码将无法访问或恢复加密信息。 要建立基本用户帐户并启用用户安全保护功能,请执行以下操作: 1. 如果 Embedded Security 用户初始化向导没有打开,请选择 Start(开始)> All Programs(所有 程序)> HP ProtectTools Security Manager。 2. 在左窗格中,单击 Embedded Security(嵌入式安全保护),然后单击 User Settings(用户设 置)。 3. 在右窗格中的 Embedded Security Features(嵌入式安全保护功能)下,单击 Configure(配 置)。 随即打开 Embedded Security 用户初始化向导。 4.
常规任务 在建立基本用户帐户后,您可以执行以下任务: ● 对文件和文件夹进行加密 ● 发送和接收加密的电子邮件 使用个人安全驱动器 在建立 PSD 后,下次登录时系统将提示您输入基本用户密钥密码。 如果正确输入了基本用户密钥密 码,就可以直接通过 Windows 资源管理器访问 PSD。 对文件和文件夹进行加密 处理加密文件时,请注意以下规则: ● 只能加密 NTFS 分区上的文件和文件夹。 不能加密 FAT 分区上的文件和文件夹。 ● 不能加密系统文件和压缩的文件,也不能压缩加密的文件。 ● 应当加密临时文件夹,因为黑客们可能会对这些内容感兴趣。 ● 第一次加密文件或文件夹时,将自动建立恢复策略。 在您丢失加密证书和私钥的情况下,此策略 可确保您能够使用恢复代理来解密信息。 要对文件和文件夹进行加密,请执行以下操作: 1. 右击要加密的文件或文件夹。 2. 单击 Encrypt(加密)。 3. 单击以下选项之一: 4.
更改基本用户密钥密码 要更改基本用户密钥密码,请执行以下操作: 32 1. 选择 Start(开始)> All Programs(所有程序)> HP ProtectTools Security Manager。 2. 在左窗格中,单击 Embedded Security(嵌入式安全保护),然后单击 User Settings(用户设 置)。 3. 在右窗格中的 Basic User Key password(基本用户密钥密码)下,单击 Change(更改)。 4. 键入原密码,然后设置并确认新密码。 5.
高级任务 备份和恢复 Embedded Security 模块的备份功能可以创建一个档案,其中包含出现紧急情况时要恢复的认证信息。 创建备份文件 要创建备份文件,请执行以下操作: 1. 选择 Start(开始)> All Programs(所有程序)> HP ProtectTools Security Manager。 2. 在左窗格中,单击 Embedded Security(嵌入式安全保护),然后单击 Backup(备份)。 3. 在右窗格中,单击 Backup(备份)。 随即打开 HP Embedded Security for ProtectTools 备份向 导。 4. 按照屏幕上的指示进行操作。 通过备份文件恢复认证数据 要通过备份文件恢复数据,请执行以下操作: ZHCN 1. 选择 Start(开始)> All Programs(所有程序)> HP ProtectTools Security Manager。 2. 在左窗格中,单击 Embedded Security(嵌入式安全保护),然后单击 Backup(备份)。 3.
更改主人密码 要更改主人密码,请执行以下操作: 1. 选择 Start(开始)> All Programs(所有程序)> HP ProtectTools Security Manager。 2. 在左窗格中,单击 Embedded Security(嵌入式安全保护),然后单击 Advanced(高级)。 3. 在右窗格中的 Owner Password(主人密码)下,单击 Change(更改)。 4. 键入原来的主人密码,然后设置并确认新的主人密码。 5.
使用迁移向导迁移密钥 迁移是一种高级的管理员任务,允许管理、恢复和传输密钥及证书。 有关迁移的详细信息,请参阅 Embedded Security 联机帮助。 ZHCN 高级任务 35
36 第 3 章 Embedded Security for HP ProtectTools ZHCN
4 Java Card Security for HP ProtectTools 利用 Java Card Security for HP ProtectTools,可以对配备读卡器选件的笔记本计算机中的 Java 卡进行 设置和配置。 利用 Java Card Security,您可以执行以下任务: ZHCN ● 使用 Java Card Security 功能 ● 与计算机设置实用程序一起使用,在开机环境中启用 Java 卡验证 ● 为管理员和用户配置不同的 Java 卡。 在加载操作系统之前,用户必须插入 Java 卡并键入个人标 识号 ● 设置和更改用于验证 Java 卡用户的个人标识号 37
常规任务 您可以通过“General”(常规)页执行以下任务: ● 更改 Java 卡个人标识号 ● 选择读卡器 注: 读卡器可以使用 Java 卡和智能卡。 如果您的笔记本计算机上有多个读卡器,就可以 使用此功能。 更改 Java 卡个人标识号 要更改 Java 卡个人标识号,请执行以下操作: 注: Java 卡个人标识号必须介于 4 到 8 位数字字符之间。 1. 选择 Start(开始)> All Programs(所有程序)> HP ProtectTools Security Manager。 2. 在左窗格中,单击 Java Card Security(Java 卡安全保护),然后单击 General(常规)。 3. 将 Java 卡(使用现有的个人标识号)插入读卡器中。 4. 在右窗格中,单击 Change(更改)。 5. 在 Change PIN(更改个人标识号)对话框中,将当前的个人标识号键入 Current PIN(当前个人 标识号)框。 6.
高级任务(仅供管理员使用) 您可以通过“Advanced”(高级)页执行以下任务: ● 指定 Java 卡个人标识号 ● 为 Java 卡指定名称 ● 设置开机验证 ● 备份和恢复 Java 卡 注: 您必须拥有 Windows 管理员权限才能显示“Advanced”(高级)页。 指定 Java 卡个人标识号 您必须为 Java 卡指定名称和个人标识号之后,才能将其用于 Java Card Security。 要指定 Java 卡个人标识号,请执行以下操作: 注: ZHCN Java 卡个人标识号必须介于 4 到 8 位数字字符之间。 1. 选择 Start(开始)> All Programs(所有程序)> HP ProtectTools Security Manager。 2. 在左窗格中,单击 Java Card Security(Java 卡安全保护),然后单击 Advanced(高级)。 3. 将新的 Java 卡插入读卡器中。 4.
为 Java 卡指定名称 您必须为 Java 卡指定名称之后,才能将其用于开机验证。 要为 Java 卡指定名称,请执行以下操作: 1. 选择 Start(开始)> All Programs(所有程序)> HP ProtectTools Security Manager。 2. 在左窗格中,单击 Java Card Security(Java 卡安全保护),然后单击 Advanced(高级)。 3. 将 Java 卡插入读卡器中。 注: 如果您还没有为此卡指定个人标识号,则会打开 New Card(新卡)对话框,您可以 在此键入新的名称和个人标识号。 4. 在右窗格中的 Display name(显示名)下,单击 Change(更改)。 5. 在 Name(名称)框中键入 Java 卡的名称。 6. 在 PIN(个人标识号)框中键入当前的 Java 卡个人标识号。 7. 单击 OK(确定)。 设置开机验证 启用开机验证功能后,您需要使用 Java 卡才能启动计算机。 启用 Java 卡开机验证功能的过程包括以下步骤: 40 1.
启用 Java 卡开机验证并创建管理员 Java 卡 要启用 Java 卡开机验证,请执行以下操作: 1. 选择 Start(开始)> All Programs(所有程序)> HP ProtectTools Security Manager。 2. 在左窗格中,单击 Java Card Security(Java 卡安全保护),然后单击 Advanced(高级)。 3. 将 Java 卡插入读卡器中。 注: 如果您还没有为此卡指定名称和个人标识号,则会打开 New Card(新卡)对话框, 您可以在此键入新的名称和个人标识号。 4. 在右窗格中的 Power-on authentication(开机验证)下,选中 Enable(启用)复选框。 5. 在 Computer Setup Password(计算机设置实用程序密码)对话框中键入您的计算机设置实用程 序密码,然后单击 OK(确定)。 6. 如果您没有启用驱动器锁保护功能,请键入 Java 卡个人标识号,然后单击 OK(确定)。 –或– 如果您启用了驱动器锁保护功能,请执行以下操作: a.
创建用户 Java 卡 注: 必须设置开机验证和管理员卡才能创建用户 Java 卡。 要创建用户 Java 卡,请执行以下操作: 1. 选择 Start(开始)> All Programs(所有程序)> HP ProtectTools Security Manager。 2. 在左窗格中,单击 Java Card Security(Java 卡安全保护),然后单击 Advanced(高级)。 3. 插入将作为用户卡使用的 Java 卡。 4. 在右窗格中的 Power-on authentication(开机验证)下,单击 User card identity(用户卡标 识)旁边的 Create(创建)。 5. 为用户 Java 卡键入个人标识号,然后单击 OK(确定)。 禁用 Java 卡开机验证 禁用 Java 卡开机验证后,访问计算机便无需再使用 Java 卡。 42 1. 选择 Start(开始)> All Programs(所有程序)> HP ProtectTools Security Manager。 2.
5 BIOS Configuration for HP ProtectTools BIOS Configuration for HP ProtectTools 模块允许用户对计算机设置实用程序安全保护功能和配置设置 进行访问。 这样一来,用户就可以通过 Windows 对计算机设置实用程序所管理的系统安全保护功能进 行访问。 利用 BIOS Configuration 模块,您可以实现以下目标: ● 管理开机密码和管理员密码。 ● 配置其他开机验证功能,如启用嵌入式安全保护验证支持。 ● 启用和禁用硬件功能,如 CD-ROM 引导功能或各个硬件端口。 ● 配置引导选项,其中包括启用多重引导功能和改变引导顺序。 注: ZHCN BIOS Configuration for HP ProtectTools 模块的许多功能在计算机设置实用程序中亦可用。 43
常规任务 利用 BIOS Configuration,您可以管理各种计算机设置,否则这些设置就只能通过在启动时按 f10 键进 入计算机设置实用程序进行访问。 管理引导选项 对于在打开或重新启动计算机时运行的任务,您可以使用 BIOS Configuration 来管理多种设置。 要管理引导选项,请执行以下操作: 1. 选择 Start(开始)> All Programs(所有程序)> HP ProtectTools Security Manager。 2. 在左窗格中,单击 BIOS Configuration(BIOS 配置)。 3. 按照 BIOS 管理员密码提示键入计算机设置实用程序的管理员密码,然后单击 OK(确定)。 注: 您必须首先设置计算机设置实用程序密码,才会显示 BIOS 管理员密码提示。 有关设 置计算机设置实用程序密码的详细信息,请参阅“第 50 页的设定设置密码”一节。 4. 5.
启用和禁用系统配置选项 注: 您的计算机有可能不支持下面所列的某些项目。 要启用或禁用设备或安全保护选项,请执行以下操作: 1. 选择 Start(开始)> All Programs(所有程序)> HP ProtectTools Security Manager。 2. 在左窗格中,单击 BIOS Configuration(BIOS 配置)。 3. 按照 BIOS 管理员密码提示键入计算机设置实用程序的管理员密码,然后单击 OK(确定)。 4.
● 5.
高级任务 管理 HP ProtectTools 附加模块设置 HP ProtectTools Security Manager 的部分功能可以在 BIOS Configuration 模块中进行管理。 启用和禁用智能卡开机验证支持 启用此选项后,可以在开启计算机时使用智能卡进行用户验证。 注: 要完全启用开机验证功能,还必须使用 Java Card Security for HP ProtectTools 模块配置 智能卡。 要启用智能卡开机验证支持,请执行以下操作: 1. 选择 Start(开始)> All Programs(所有程序)> HP ProtectTools Security Manager。 2. 在左窗格中,单击 BIOS Configuration(BIOS 配置)。 3. 按照 BIOS 管理员密码提示键入计算机设置实用程序的管理员密码,然后单击 OK(确定)。 4. 在左窗格中,单击 Security(安全保护)。 5. 在 Smart Card Security(智能卡安全保护功能)下,单击 Enable(启用)。 注: 6.
启用和禁用 Embedded Security 的开机验证支持 启用此选项后,系统可以在您打开计算机时使用 TPM 嵌入式安全保护芯片(如果可用的话)进行用户 验证。 注: 要完全启用开机验证功能,还必须使用 Embedded Security for HP ProtectTools 模块配 置 TPM 嵌入式安全保护芯片。 要启用嵌入式安全保护功能的开机验证支持,请执行以下操作: 1. 选择 Start(开始)> All Programs(所有程序)> HP ProtectTools Security Manager。 2. 在左窗格中,单击 BIOS Configuration(BIOS 配置)。 3. 按照 BIOS 管理员密码提示键入计算机设置实用程序的管理员密码,然后单击 OK(确定)。 4. 在左窗格中,单击 Security(安全保护)。 5.
启用和禁用驱动器锁自动保护硬盘驱动器功能 启用此选项后,便会在驱动器中自动生成和设置驱动器锁密码,并会利用 TPM 嵌入式安全保护芯片保 护该密码。 注: 必须重新启动计算机且在系统提示输入密码时成功键入 TPM 嵌入式安全保护密码,自动 生成的密码才会设置到驱动器中。 仅当计算机已安装并初始化了 TPM 安全保护芯片,而且没有启用任何驱动器锁密码时,启用驱动器锁 自动保护功能的选项才可用。 有关如何启用并初始化 TPM 安全保护芯片的说明,请参阅“第 28 页的 启用嵌入式安全保护芯片”和“第 29 页的初始化嵌入式安全保护芯片”。 注: 如果您已在计算机上手动设置驱动器锁密码,则必须首先将其禁用,才能设置驱动器锁自 动保护功能。 要启用或禁用驱动器锁自动保护功能,请执行以下操作: 1. 选择 Start(开始)> All Programs(所有程序)> HP ProtectTools Security Manager。 2. 在左窗格中,单击 BIOS Configuration(BIOS 配置)。 3.
设置开机密码 要设置开机密码,请执行以下操作: 1. 选择 Start(开始)> All Programs(所有程序)> HP ProtectTools Security Manager。 2. 在左窗格中,单击 BIOS Configuration(BIOS 配置),然后单击 Security(安全保护)。 3. 在右窗格中,单击 Power-On Password(开机密码)旁边的 Set(设置)。 4. 在 Enter Password(输入密码)和 Verify Password(验证密码)框中键入并确认密码。 5. 在 Passwords(密码)对话框中单击 OK(确定)。 6. 单击 Apply(应用),然后在 HP ProtectTools 窗口中单击 OK(确定)。 更改开机密码 要更改开机密码,请执行以下操作: 1. 选择 Start(开始)> All Programs(所有程序)> HP ProtectTools Security Manager。 2.
5. 在 Enter New Password(输入新密码)和 Verify New Password(验证新密码)框中键入并确 认新密码。 6. 在 Passwords(密码)对话框中单击 OK(确定)。 7. 单击 Apply(应用),然后在 HP ProtectTools 窗口中单击 OK(确定)。 设置密码选项 您可以使用 BIOS Configuration for HP ProtectTools 模块来设置密码选项,以增强系统的安全性。 启用和禁用严格的安全保护功能 注意: 为了防止计算机永久不能使用,请记录所配置的设置密码、开机密码或智能卡的个人标 识号,并将其存放到远离计算机的安全地点。 不输入上述密码或个人标识号,就无法从计算机上 解除锁定。 启用严格的安全保护功能后,可以在开机密码和管理员密码以及其他形式的开机验证功能的基础上,进 一步强化安全保护性能。 要启用或禁用严格的安全保护功能,请执行以下操作: 1. 选择 Start(开始)> All Programs(所有程序)> HP ProtectTools Security Manager。 2.
52 第 5 章 BIOS Configuration for HP ProtectTools ZHCN
6 Device Access Manager for HP ProtectTools 此安全保护工具仅供管理员使用。 Device Access Manager for HP ProtectTools 具有以下安全保护功 能,可防止他人未经授权擅自访问连接到您的计算机系统的设备: ZHCN ● 为每个用户创建设备配置文件以定义设备访问权限 ● 可以根据组成员资格授予或拒绝设备访问权限 53
启动后台服务 要应用设备配置文件,必须运行 HP ProtectTools Device Locking/Auditing 后台服务。 当您第一次尝试 应用设备配置文件时,HP ProtectTools Security Manager 会打开一个对话框,询问您是否要启动后台 服务。 单击 Yes(是)启动后台服务,并将其设置为每次系统启动时自动启动。 54 第 6 章 Device Access Manager for HP ProtectTools ZHCN
简单配置 您可以使用此功能来拒绝对下类设备的访问: ● 所有非管理员用户对 USB 设备的访问 ● 所有非管理员用户对所有可移动介质(软盘、随身驱动盘)的访问 ● 所有非管理员用户对所有 DVD/CD-ROM 驱动器的访问 ● 所有非管理员用户对所有串行和并行端口的访问 要拒绝所有非管理员用户访问某类设备,请执行以下操作: 1. 选择 Start(开始)> All Programs(所有程序)> HP ProtectTools Security Manager。 2. 在 左 窗 格 中 , 单 击 Device Access Manager ( 设 备 访 问 管 理 器 ) , 然 后 单 击 Simple Configuration(简单配置)。 3. 在右窗格中,选中表示要拒绝访问的设备的复选框。 4. 单击 Apply(应用)。 注: 5.
设备类别配置(高级) 还有更多选项可用来授予或者拒绝特定用户或用户组对多个设备类型的访问。 添加用户或组 1. 选择 Start(开始)> All Programs(所有程序)> HP ProtectTools Security Manager。 2. 在左窗格中,单击 Device Access Manager(设备访问管理器),然后单击 Device Class Configuration(设备类别配置)。 3. 在设备列表中,单击您想要配置的设备类别。 4. 单击 Add(添加)。 随即打开 Select Users or Groups(选择用户或组)对话框。 5. 选择 Advanced(高级)> Find Now(立即查找)搜索要添加的用户或组。 6. 单击要添加到有效用户和组列表中的用户或组,然后单击 OK(确定)。 7. 单击 OK(确定)。 删除用户或组 1. 选择 Start(开始)> All Programs(所有程序)> HP ProtectTools Security Manager。 2.
要允许一个用户访问而不允许组访问,请执行以下操作: 1. 选择 Start(开始)> All Programs(所有程序)> HP ProtectTools Security Manager。 2. 在左窗格中,单击 Device Access Manager(设备访问管理器),然后单击 Device Class Configuration(设备类别配置)。 3. 在设备列表中,单击您想要配置的设备类别。 4. 在 User/Groups(用户/组)中,添加要拒绝其访问的组。 5. 单击要拒绝其访问的组旁边的 Deny(拒绝)。 6. 找到所需设备类别下的文件夹,然后添加指定用户。 单击 Allow(允许)授予该用户访问权限。 7. 单击 Apply(应用),然后单击 OK(确定)。 允许组中一个用户访问特定设备 您可以允许一个用户访问特定设备,同时拒绝该用户所在组中的其他所有成员访问该设备类别中的所有 设备。 要允许一个用户访问而不允许组访问特定设备,请执行以下操作: 1.
58 第 6 章 Device Access Manager for HP ProtectTools ZHCN
7 Drive Encryption for HP ProtectTools 注意: 如果您决定卸载 Drive Encryption 模块,则必须先对所有已加密的驱动器进行解密。 如 果您没有解密,则无法访问加密驱动器上的数据,除非您注册了 Drive Encryption 恢复服务(请 参阅“第 62 页的恢复”)。 重新安装 Drive Encryption 模块也无法使您能够访问已加密的驱 动器。 ZHCN 59
加密管理 加密驱动器 1. 选择 Start(开始)> All Programs(所有程序)> HP ProtectTools Security Manager。 2. 在左窗格中,单击 Drive Encryption(驱动器加密),然后单击 Encryption Management(加密 管理)。 3. 在右窗格中,单击 Activate(激活)。 打开 Drive Encryption for HP ProtectTools 向导。 4. 按照屏幕上的指示激活加密。 注: 您需要指定用于存储恢复信息的软盘、闪存设备或其他 USB 连接存储介质。 更改加密 1. 选择 Start(开始)> All Programs(所有程序)> HP ProtectTools Security Manager。 2. 在左窗格中,单击 Drive Encryption(驱动器加密),然后单击 Encryption Management(加密 管理)。 3.
用户管理 添加用户 1. 选择 Start(开始)> All Programs(所有程序)> HP ProtectTools Security Manager。 2. 在左窗格中,单击 Drive Encryption(驱动器加密),然后单击 User Management(用户管 理)。 3. 在右窗格中,单击 Add(添加)。 单击 User Name(用户名)列表中的用户名,或在 Username (用户名)框中键入用户名。 单击 Next(下一步)。 4. 键入选定用户的 Windows 密码,然后单击 Next(下一步)。 5. 选择新用户的验证方法,然后单击 Finish(完成)。 删除用户 1. 选择 Start(开始)> All Programs(所有程序)> HP ProtectTools Security Manager。 2. 在左窗格中,单击 Drive Encryption(驱动器加密),然后单击 User Management(用户管 理)。 3.
恢复 您可以使用以下两种安全措施: ● 如果您忘记了密码,则无法访问已加密的驱动器。 不过,您可以注册驱动器加密恢复服务,以便 您在忘记密码的时候访问计算机。 ● 您可以在软盘、闪存设备或其他 USB 连接存储介质上存储驱动器加密密钥。 注册驱动器加密恢复服务 1. 选择 Start(开始)> All Programs(所有程序)> HP ProtectTools Security Manager。 2. 在左窗格中,单击 Drive Encryption(驱动器加密),然后单击 Recovery(恢复)。 3. 在右窗格中,单击 Click here to register(单击此处进行注册)。 键入必要的信息以完成安全保 护备份过程。 备份驱动器加密密钥 1. 选择 Start(开始)> All Programs(所有程序)> HP ProtectTools Security Manager。 2. 在左窗格中,单击 Drive Encryption(驱动器加密),然后单击 Recovery(恢复)。 3.
8 故障排除 Credential Manager for HP ProtectTools 简短说明 详细说明 使用 Credential Manager 使用 TPM 验证,用户只能登录本地计算 Network Accounts 机。 (Credential Manager 网络 帐户)选项,用户可以选 择要登录的域帐户。 使用 TPM 验证时,此选项不可 用。 所有其他验证方法可 以正常使用。 USB 身份标记凭证不可用 于登录 Windows XP Service Pack 1。 解决方法 用户可以使用 Credential Manager 的单次登录工具验证 其他帐户。 安装 USB 身份标记软件、注册 USB 身份 通过 Windows Update 将 Windows 更新到 Service 标记凭证并设置 Credential Manager 作 Pack 2。 为主登录后,则 USB 身份标记既不被列 如果保留 Service Pack 1,则使用其他凭证 出,也不可用于 Credential Manager/ (Windows 密码)登录回 Windows,以便注销并重新登 GI
简短说明 详细说明 解决方法 Credential Manager 都无法检测或识别密 码 GINA。 Credential Manager 无法 识别屏幕上的 Connect (连接)按钮。 如果将远程桌面连接 (RDP) 的单次登录 HP 正在研究未来产品增强功能的解决之道。 凭证设置为 Connect(连接),则在重 新启动单次登录时,它总是进入 Save As (另存为),而不是 Connect(连接)。 用户可能会丢失受 TPM 保 护的所有 Credential Manager 凭证。 如果 TPM 模块被删除或损坏,用户将丢 失用它来保护的所有凭证。 仅在 Windows XP Service Pack 1 上,当从 睡眠模式转换到休眠模式 后,用户无法登录 Credential Manager。 在允许系统切换进入休眠和睡眠模式后, 管理员或用户无法登录到 Credential Manager,并且无论选择了哪一种登录凭 证(密码、指纹或 Java 卡),都一直显 示 Windows 登录屏幕。 这是有意设计的。 TPM 模块设计用于保护 Credential Manager
Embedded Security for HP ProtectTools 简短说明 加密 PSD 上的文件夹、子 文件夹和文件时出现错误 消息。 详细说明 解决方法 如果用户将文件和文件夹复制到 PSD 并 尝试加密文件夹/文件或文件夹/子文件 夹,则显示 Error Applying Attributes (应用属性时出错)消息。 用户可以加 密 C:\ 驱动器和额外安装的硬盘驱动器上 的相同文件。 这是有意设计的。 将文件/文件夹移动到 PSD 时会自动对它们进行加密。 没有必要对文件/文件夹进行“双重加密”。 试图使用 EFS 在 PSD 上对文件/文件夹进行“双重加密”会导致 出现此错误消息。 在多引导平台上无法控制 其他操作系统。 如果将某个驱动器设置成可以从多个操作 这是出于安全考虑有意这样设计的。 系统来引导,则在某一个操作系统中只能 使用平台初始化向导来控制该驱动器。 未授权的管理员可以查 看、删除、重命名或移动 已加密的 EFS 文件夹的内 容。 对文件夹进行加密并不能阻止拥有管理权 限的未授权用户查看、删除或移动该文件 夹的内容。 如果用户试图使用 FAT32 恢复硬盘
简短说明 详细说明 解决方法 the wizard, the Embedded 6. Security must be initialized first. (未初始化嵌入式安全保护。要使用 向导,必须首先初始化嵌入式安全 7. 保护)。 8. 9. 将 Embedded Security Device(嵌入式安全保护 设备)选项设置为 Enable(启用)。 按 f10 键接受更改。 选择 File(文件)> Save Changes and Exit(保 存更改并退出)。 按 enter 键。 10.
简短说明 详细说明 解决方法 果用户在该对话框中单击 No(否),则 管理工具不会打开,并且卸载继续进行。 在用两个用户帐户创建 PSD 并在 128 MB 系统配 置中使用快速用户切换 后,会出现间断性系统锁 定。 在最小内存模式下使用快速用户切换时, 根本原因可能是低内存配置中的定时问题。 系统锁定后会出现黑屏,并且键盘和鼠标 集成图形使用的 UMA 体系结构占用 8 MB 内存,这使 都没有响应,而不会显示欢迎使用(登 得用户只能使用剩余的 120 MB 内存。 当两个登录的用 录)屏幕。 户共享这 120 MB 内存并进行快速用户切换时,就会出 现此错误。 解决方法是重新引导系统并增加内存配置(HP 没有提 供带安全模块的 128 MB 配置)。 EFS 用户验证(密码请 求)超时,显示 access denied(访问被拒绝)。 当用户单击 OK(确定)或系统退出等待 这是有意设计的,以避免 Microsoft EFS 出现问题(创 模式后,会重新打开 EFS 用户验证密码。 建一个 30 秒监视程序定时器以生成错误消息)。 在安装日文版过程中,在 功能描述中出现小截断。 功能描述在
简短说明 详细说明 解决方法 多用户 PSD 在快速用户切 换环境中不能运行。 当创建多个用户并对 PSD 使用相同的驱 动器盘符时就会出现此错误。 如果在加 载 PSD 时试图在用户之间进行快速用户 切换,则第二个用户的 PSD 不可用。 只有在重新配置使用其他驱动器盘符或注销第一个用户 后,第二个用户的 PSD 才能使用。 在格式化生成 PSD 所在的 PSD 图标仍然显示,但在用户尝试访问 硬盘驱动器后,将禁用 该 PSD 时显示一条错误消息:drive is PSD,并且无法将其删除。 not accessible(驱动器不可访问)。 当用户从 Automatic Backup Archive(自动备 份档案)恢复时检测出内 部错误。 安全系统在多用户情况下 出现恢复错误。 这是有意设计的:如果用户强行删除或从 PSD 数据的 存储位置断开连接,则嵌入式安全保护 PSD 驱动器模 拟继续运行,并根据缺少通信和丢失数据生成错误。 用户无法删除 PSD 并显示以下消息: your PSD is still in use, please be sure that your PSD con
简短说明 详细说明 解决方法 Backup Archive location is currently not accessible. Click here if you want to backup to a temporary archive until the Backup Archive is accessible again(备份档案位置当前不 可访问。如果您要在再次访问备份档案之 前备份到临时档案,请单击此处)。但 是,如果 Automatic Backup(自动备 份)安排在特定时间执行,则备份将会失 败,并且不显示失败的通知消息。 在 Embedded Security GUI 中不能暂时禁用 Embedded Security。 当前的 4.0 软件是为 HP Notebook 1.1B 实施设计的,也支持 HP Desktop 1.2 实 施。 HP 将在将来版本中解决此问题。 此要禁用的选项在 TPM 1.
Device Access Manager for HP ProtectTools 简短说明 详细说明 解决方法 虽然在 Device Access Manager 中已经拒绝用户 访问设备,但用户仍可以 访问设备。 已经在 Device Access Manager 中使用 Simple Configuration(简单配置)和/或 Device Class Configuration(设备类别配 置)来拒绝用户访问设备。 尽管已经拒 绝访问,但用户仍可以访问设备。 验证是否启动了 HP ProtectTools Device Locking 服务。 用户意外能够访问设备, 或者用户被意外拒绝访问 设备。 已经使用 Device Access Manager 拒绝 用户访问某些设备,并允许用户访问其他 设备。 当用户正在使用系统时,他可以 访问其确信 Device Access Manager 已 经拒绝其访问的设备,而拒绝其访问确 信 Device Access Manager 应当允许其 访问的设备。 允许或拒绝 — 哪一个优先 级更高? 作为管理用户,浏览到 Control Pane
其他 受影响的软件 – 简短说明 详细说明 解决方法 收到 Security Manager 警 告消息:The security application can not be installed until the HP Protect Tools Security Manager is installed(安 装 HP Protect Tools Security Manager 后才能 安装安全保护应用程序)。 必须先安装 Security Manager 后才能安装任何安全插 件。 用于包含支持 Broadcom 的 TPM 的型号的 TPM Firmware Update Utility (TPM 固件更新实用程序) — 通过 HP 支持网站提供 的工具报告 ownership required(需要所有权)。 所有安全保护应用程序,比如 Embedded Security、Java Card Security 和生物识别器是 Security Manager 界面的可扩展插件。 必须先安 装 Security Manager 后,才能装载 HP 认可的安全插件。 对于包含支持 Broa
受影响的软件 – 简短说明 详细说明 解决方法 ● ● 5. HP ProtectTools Security 在没有完成加载所有插件应用程序之前, Manager – 关闭 Security 使用屏幕右上角的关闭按钮关闭 Manager 界面时偶尔会返 Security Manager 时,偶尔会产生错误 (12 个例程中出现 1 次)。 回错误消息。 FW Version(固件版本)= 2.18(或更 高) TPM Device driver library version (TPM 设备驱动程序库版本)2.0.0.9 (或更高) 如果固件版本与 2.18 版不匹配,请下载并更新 TPM 固件。 TPM 固件 SoftPaq 是可从 HP 网站下 载的支持软件包:http://www.hp.com。 这与关闭和重新启动 Security Manager 时与插件服务加 载时间的计时相关性有关。因为 PTHOST.
受影响的软件 – 简短说明 详细说明 ZHCN 解决方法 在引导顺序中,Security Power-On Authentication (安全开机验证)覆盖 BIOS 密码。 Power-On Authentication(开机验证) 提示用户使用 TPM 密码登录到系统,但 是,如果用户按 f10 键访问 BIOS,则仅 授予用户只读访问权限。 为了能够写入 BIOS,用户必须在 Power-On Authentication(开机验证)窗口输入 BIOS 密码来代 替 TPM 密码。 在更改主人密码后,BIOS 通过计算机设置实用程序 要求同时提供新旧密码。 在 Embedded Security Windows 软件中 更改主人密码后,BIOS 通过计算机设置 实用程序要求同时提供新旧密码。 这是有意设计的。 这是因为在操作系统启动并运行后, BIOS 无法与 TPM 通信,并且无法验证 TPM 密码。 其他 73
74 第 8 章 故障排除 ZHCN
术语表 BIOS 安全保护模式 (BIOS security mode) Java Card Security 模块中的设置,启用后要求使用 Java 卡和有效 的个人标识号进行用户验证。 BIOS 配置文件 (BIOS profile) 一组可以保存并应用于其他帐户的 BIOS 配置设置。 Java 卡 (Java Card) 大小和形状类似信用卡的小型硬件,用于存储主人的身份信息。 用于验证计算机主人的身 份。 USB 身份标记 (USB token) 存储用户身份信息的安全设备。 该设备类似于 Java 卡或生物识别器,用于验证计 算机主人的身份。 Windows 用户帐户 (Windows user account) 有权登录到网络或个人计算机的用户的配置文件。 标识 (Identity) HP ProtectTools Credential Manager 中的一组凭证和设置,其用途类似于特定用户的帐户或配 置文件。 重新引导 (Reboot) 重新启动计算机的过程。 单次登录 (Single Sign On) 存储验证信息并允许您使用 Credential Manager 来访问需要密码验证的
可信平台模块 (TPM) 嵌入式安全保护芯片 (Trusted Platform Module (TPM) embedded security chip)(仅限某 些机型) 可保护高度敏感用户信息免受恶意攻击的集成安全保护芯片。 这可以根本地决定给定平台是否可信。 TPM 提供的加密算法和运算满足 Trusted Computing Group (TCG) 规范。 凭证 (Credentials) 用户在验证过程中证明其有资格执行特定任务的方法。 迁移 (Migration) 允许管理、恢复和传输密钥及证书的任务。 驱动器锁 (DriveLock) 将硬盘驱动器与用户相关联,并要求用户在计算机启动时正确键入驱动器锁密码的安全保 护功能。 驱动器锁自动保护功能 (Automatic DriveLock) 生成驱动器锁密码并由 TPM 嵌入式安全保护芯片进行保护的安 全保护功能。 当用户在启动时输入正确的 TPM 基本用户密钥密码,并由 TPM 嵌入式安全保护芯片完成对用户的 验证后,BIOS 会为用户解除硬盘驱动器锁定。 认证机构 (Certification authority) 颁发运行公共密钥所需证书的
索引 A 安全保护 关键目标 4 角色 6 安全保护角色 6 安全设置实用程序密码 7 B BIOS Configuration for HP ProtectTools Windows 重新启动时的开机验 证 51 附加模块设置,管理 47 开机密码,更改 50 开机密码,设置 50 开机验证 48 密码选项,设置 51 驱动器锁自动保护功能 49 设置密码,更改 50 设置密码,设置 50 系统配置选项 45 严格的安全保护功能 51 引导选项 44 智能卡开机验证 47 BIOS 管理员密码 7 BIOS 设置密码 更改 50 设置 50 备份和恢复 Embedded Security 33 HP ProtectTools 模块 8 单次登录数据 20 认证信息 33 标识,管理 Credential Manager 16 标识,删除 Credential Manager 16 ZHCN C Credential Manager for HP ProtectTools USB eToken,注册 14 Windows 登录 17 Windows 登录密码,更改 15 Windows 登录,允许 25
单次登录 导出应用程序 20 删除应用程序 19 手动注册 19 修改应用程序属性 19 自动注册 18 对文件和文件夹进行加密 31 E Embedded Security for HP ProtectTools 备份文件,创建 33 重置用户密码 34 初始化芯片 29 对文件和文件夹进行加密 31 个人安全驱动器 31 故障排除 65 基本用户密钥 30 基本用户密钥密码,更改 32 基本用户帐户 30 加密的电子邮件 31 密码 6 启用 TPM 芯片 28 启用和禁用 34 迁移密钥 35 认证数据,恢复 33 设置步骤 28 永久禁用 34 在永久禁用后启用 34 主人密码,更改 34 F f10 设置实用程序密码 7 访问 防止未授权 5 控制 53 访问 HP ProtectTools Security 3 G 高级任务 BIOS Configuration 47 Credential Manager 23 Device Access Manager 56 Embedded Security 33 Java 卡 39 个人安全驱动器 (PSD) 31 功能,HP ProtectTools 2
严格的安全保护功能 51 在永久禁用后启用 Embedded Security 34 智能卡验证 47 驱动器锁自动保护功能 49 S 设备选项 45 身份标记,Credential Manager 14 生物识别器 14 属性 凭证 24 验证 23 应用程序 19 数据,限制访问 4 锁定笔记本计算机 17 Z 帐户 Credential Manager 13 基本用户 30 指纹,Credential Manager 13 主人密码 定义 7 更改 34 设置 29 注册 凭证 13 应用程序 18 T TPM 芯片 初始化 29 启用 28 U USB eToken,Credential Manager 14 W Windows 登录 Credential Manager 17 密码 7 Windows 网络帐户 18 网络帐户 18 未授权的访问,防止 5 X 限制 访问敏感数据 4 设备访问 53 虚拟身份标记 15 虚拟身份标记,Credential Manager 14, 15 Y 严格的安全保护功能 51 引导选项 44 有目的的盗窃行为,防范 4 ZHCN 索引 79
80 索引 ZHCN
