ProtectTools Uživatelská příručka
© Copyright 2007 Hewlett-Packard Development Company, L.P. Microsoft a Windows jsou registrované ochranné známky společnosti Microsoft Corporation v USA. Intel je ochranná známka nebo registrovaná ochranná známka společnosti Intel Corporation nebo příslušných poboček v USA a jiných zemích. AMD, logo AMD se šipkou a jejich kombinace jsou obchodní značky společnosti Advanced Micro Devices, Inc. Bluetooth je ochranná známka příslušného vlastníka užívaná společností HewlettPackard Company v souladu s licencí.
Obsah 1 Úvod do zabezpečení Funkce nástroje HP ProtectTools ......................................................................................................... 2 Přístup k nástroji HP ProtectTools Security ......................................................................................... 4 Dosažení klíčových cílů zabezpečení .................................................................................................. 5 Ochrana před cílenou krádeží .........................................
Přidání účtu ....................................................................................................... 19 Odstranění účtu ................................................................................................. 19 Používání funkce Single Sign On (Jednotné přihlášení) ................................................... 20 Registrace nové aplikace .................................................................................. 20 Používání automatické registrace ......................
Migrace klíčů pomocí průvodce Migration Wizard ............................................................. 35 4 Java Card Security for HP ProtectTools Obecné úlohy ..................................................................................................................................... 38 Změna kódu PIN karty Java Card ...................................................................................... 38 Výběr čtečky karet .....................................................................
Obnovení ............................................................................................................................................ 63 8 Řešení potíží Credential Manager for HP ProtectTools ........................................................................................... 66 Embedded Security for HP ProtectTools ............................................................................................ 69 Device Access Manager for HP ProtectTools .................................
1 Úvod do zabezpečení Software HP ProtectTools Security Manager poskytuje funkce zabezpečení, které chrání před neoprávněným přístupem k počítačům, sítím a důležitým datům.
Funkce nástroje HP ProtectTools Následující tabulka uvádí podrobnosti o klíčových funkcích modulů HP ProtectTools. Modul Klíčové funkce Credential Manager for HP ProtectTools ● Modul Credential Manager slouží jako osobní záznamník hesel. ● Funkce Single Sign On (Jednotné přihlášení) uchovává hesla pro různé heslem zabezpečené webové stránky, aplikace a síťové zdroje.
Modul Klíčové funkce Device Access Manager for HP ProtectTools. ● Modul Device Access Manager umožňuje správcům IT kontrolovat přístup k zařízením založeným na uživatelských profilech. ● Modul Device Access Manager brání neoprávněným uživatelům v odstraňování dat pomocí externích paměťových médií a v pronikání virů z externích médií do systému. ● Správce může zakázat přístup k zapisovatelným zařízením pro konkrétní jednotlivce nebo skupiny uživatelů.
Přístup k nástroji HP ProtectTools Security Přístup k nástroji HP ProtectTools Security z ovládacího panelu systému Windows®: ▲ Vyberte položku Start > Všechny programy > HP ProtectTools Security Manager. POZNÁMKA: Po dokončení konfigurace modulu Credential Manager můžete nástroj HP ProtectTools spustit také pomocí přihlášení do modulu Credential Manager na obrazovce pro přihlášení do systému Windows.
Dosažení klíčových cílů zabezpečení Moduly HP ProtectTools mohou vzájemně spolupracovat, a poskytovat tak řešení pro různé problémy zabezpečení, včetně následujících klíčových cílů zabezpečení: ● Ochrana před cílenou krádeží ● Omezení přístupu k citlivým datům ● Zabránění neoprávněnému přístupu z interních či externích umístění ● Vytvoření silných zásad zabezpečení hesly Ochrana před cílenou krádeží Příkladem tohoto typu problému může být cílená krádež počítače, který obsahuje důvěrná data a informa
Zabránění neoprávněnému přístupu z interních či externích umístění Pokud je k počítači, který obsahuje důvěrná data, možný přístup z interního či externího umístění, mohou neoprávnění uživatelé získat přístup ke zdrojům v podnikové síti nebo datům finančních služeb, informacím vedení nebo výzkumu a vývoje nebo soukromým datům, např. záznamům o pacientovi nebo osobním finančním údajům.
zapisovat nebo pamatovat. Další informace naleznete v tématu Embedded Security ”Nastavení na stránce 30.
Další prvky zabezpečení Přidělení bezpečnostních rolí Při správě zabezpečení počítačů (zvláště u velkých organizací) je jedním z důležitých kroků rozdělení odpovědností a práv mezi různé druhy správců a uživatelů. POZNÁMKA: V malých organizacích nebo při soukromém použití, může tyto role zastávat jedna a tatáž osoba.
Heslo nástroje HP ProtectTools Nastavuje se v tomto modulu nástroje HP ProtectTools Funkce Heslo základního uživatelského klíče Modul Embedded Security (Integrované zabezpečení) Používá se k přístupu k funkcím Embedded Security (Integrované zabezpečení), jako je zabezpečené šifrování elektronické pošty, souborů a složek. Pokud se používá pro ověření při spuštění, omezuje současně přístup k obsahu počítače – při jeho zapnutí, restartování a přechodu z režimu spánku.
● Pokud je to možné, používejte zároveň písmena i čísla a speciální znaky a znaménka interpunkce. ● V klíčovém slově nahraďte písmena čísly nebo speciálními znaky. Například můžete číslem 1 nahradit písmena I nebo L. ● Kombinujte slova ze 2 a více jazyků. ● Rozdělte slova nebo fráze uprostřed pomocí čísel nebo speciálních znaků, například ”Mary2-2Cat45.” ● Nepoužívejte jako heslo slovo, které lze najít ve slovníku.
Nastavení možností zálohování 1. Vyberte položku Start > Všechny programy > HP ProtectTools Security Manager. 2. V levém podokně klepněte na možnost HP ProtectTools a klepněte na položku Backup and Restore (Zálohování a obnovení). 3. V pravém panelu klepněte na možnost Backup Options (Možnosti zálohování). Spustí se průvodce zálohováním HP ProtectTools Backup Wizard. 4. Postupujte podle pokynů na obrazovce. 5.
9. Klepněte na položku Settings (Nastavení) a vyberte nastavení pro položky Scheduled Task Completed (Dokončení naplánované úlohy), Idle Time (Časová prodleva) a Power Management (Řízení spotřeby). 10. Klepněte na tlačítko Apply (Použít) a potom na tlačítko OK. Dialogové okno se zavře. Obnovení přihlašovacích údajů 1. Vyberte položku Start > Všechny programy > HP ProtectTools Security Manager. 2.
2 Credential Manager for HP ProtectTools Modul Credential Manager for HP ProtectTools chrání před neoprávněným přístupem k počítači pomocí následujících funkcí zabezpečení: CSWW ● alternativní možnosti k zadávání hesla při přihlašování k operačnímu systému Windows, například použití čtečky karet Java Card nebo biometrické čtečky otisků prstů; další informace naleznete v části ”Registrace přihlašovacích údajů na stránce 15”, ● funkce Single Sign On (Jednotné přihlášení), která automaticky uchovává inf
Nastavení Přihlášení k modulu Credential Manger V závislosti na konfiguraci se můžete přihlásit k modulu Credential Manager pomocí kteréhokoli z následujících způsobů: ● pomocí nástroje Credential Manager Logon Wizard (doporučeno), ● pomocí ikony nástroje HP ProtectTools Security Manager v oznamovací oblasti, ● pomocí nástroje HP ProtectTools Security Manager.
První přihlášení Před jeho vytvořením musíte být přihlášeni do systému Windows pomocí účtu správce, ale nesmíte být zároveň přihlášeni k modulu Credential Manager. 1. Otevřete nástroj HP ProtectTools Security Manager poklepáním na ikonu HP ProtectTools Security Manager v oznamovací oblasti. Otevře se okno nástroje HP ProtectTools Security Manager. 2. V levém podokně klepněte na možnost Credential Manager a poté klepněte na položku Log On (Přihlásit) v pravém horním rohu pravého podokna.
Registrace známky USB eToken 1. Ujistěte se, že jsou nainstalovány ovladače USB eToken. POZNÁMKA: Více informací naleznete v uživatelské příručce USB eToken. 2. Vyberte položku Start > Všechny programy > HP ProtectTools Security Manager. 3. V levém podokně klepněte na možnost Credential Manager. 4. V pravém panelu klepněte na možnost Register Smart Card or Token (Registrovat čipovou kartu nebo známku). Otevře se okno nástroje Credential Manager Registration Wizard. 5.
Obecné úlohy Všichni uživatelé mají přístup ke stránce ”My Identity” (Identita) nástroje Credential Manager. Prostřednictvím stránky ”My Identity” (Identita) můžete provádět následující úlohy: ● Vytvoření virtuální známky ● Změna hesla pro přihlášení do systému Windows ● Správa kódu PIN známky ● Správa identity ● Uzamčení počítače POZNÁMKA: Tato možnost je dostupná pouze tehdy, je-li aktivováno klasické přihlašovací okno nástroje Credential Manager.
Změna kódu PIN tokenu 1. Vyberte položku Start > Všechny programy > HP ProtectTools Security Manager. 2. V levém podokně klepněte na možnost Credential Manager. 3. V pravém podokně klepněte na položku Change Token PIN (Změnit PIN známky). 4. Vyberte známku, u které chcete změnit kód PIN, a klepněte na tlačítko Next (Další). 5. Postupujte podle pokynů na obrazovce a dokončete změnu kódu PIN.
Použití přihlášení k systému Windows K přihlášení do systému Windows můžete použít nástroj Credential Manager na místním počítači nebo v rámci síťové domény. Při prvním přihlášení do nástroje Credential Manager systém automaticky přidá místní uživatelský účet systému Windows mezi síťové účty určené pro použití se službou Network Logon (Přihlášení k síti).
4. Klepněte na účet, který chcete odstranit, a poté klepněte na tlačítko Remove (Odstranit). 5. V dialogovém okně pro potvrzení klepněte na tlačítko Yes (Ano). 6. Klepněte na tlačítko OK (Šifrovat). Používání funkce Single Sign On (Jednotné přihlášení) Nástroj Credential Manager obsahuje funkci Single Sign On (Jednotné přihlášení), která uchovává jména uživatelů a hesla pro různé aplikace sítě Internet i systému Windows a automaticky zadává přihlašovací údaje při přístupu k registrovanému programu.
Používání ruční registrace (pomocí přetažení) 1. Vyberte položku Start > Všechny programy > HP ProtectTools Security Manager. 2. V levém podokně klepněte na možnost Credential Manager a poté klepněte na položku Authentication and Credentials (Ověřování a přihlašovací údaje). 3. V pravém podokně klepněte na možnost Single Sign On (Jednotné přihlášení) a poté klepněte na položku Register New Application (Zaregistrovat novou aplikaci). Spustí se nástroj SSO Application Wizard. 4.
Exportování aplikace: 1. Vyberte položku Start > Všechny programy > HP ProtectTools Security Manager. 2. V levém podokně klepněte na možnost Credential Manager a poté klepněte na položku Authentication and Credentials (Ověřování a přihlašovací údaje). 3. V pravém podokně u položky Single Sign On (Jednotné přihlášení) klepněte na volbu Manage Applications and Credentials (Správa aplikací a přihlašovacích údajů). 4. Klepněte na aplikaci, kterou chcete exportovat.
● ● Skript importu ● Skript exportu Pověření ● ● Vytvořit nové Zobrazit heslo POZNÁMKA: Před zobrazením hesla musíte provést ověření své identity. 6. Postupujte podle pokynů na obrazovce. 7. Klepněte na tlačítko OK (Šifrovat). Použití ochrany aplikací Tato funkce umožňuje provádět konfiguraci přístupu k aplikacím. Přístup můžete omezit na základě následujících kritérií: ● Kategorie uživatele ● Doba používání ● Nečinnost uživatele Omezení přístupu k aplikaci 1.
3. V pravém podokně klepněte v části Application Protection (Ochrana aplikace) na položku Manage Protected Applications (Správa chráněných aplikací). Zobrazí se dialogové okno Application Protection Service (Služba ochrany aplikací). 4. Vyberte kategorii uživatelů, jejichž přístup chcete spravovat. POZNÁMKA: Nejedná-li se o kategorii Everyone (Všichni), může být nutné vybrat možnost Override default settings (Potlačit výchozí nastavení) k potlačení nastavení pro kategorii Everyone. 5.
Pokročilé operace (určeno pouze pro správce) Stránka ”Authentication and Credentials” (Ověřování a přihlašovací údaje) a stránka ”Advanced Settings” (Pokročilá nastavení) nástroje Credential Manager jsou dostupné pouze pro uživatele s oprávněním správce.
8. Vyberte kombinaci způsobů ověření označením jedné z následujících voleb: ● Použijte logický součin ke kombinování způsobů ověřování (Uživatelé se budou muset prokázat pomocí všech způsobů ověření při každém přihlášení.) ● Použijte logický součet k vytvoření požadavku na jeden ze dvou nebo několika způsobů ověřování. (Uživatelé si budou moci zvolit jakýkoliv z vybraných způsobů ověření při každém přihlášení.) 9. Klepněte na tlačítko OK (Šifrovat). 10.
● Security (Zabezpečení) — Umožňuje vybrat software čtečky otisků prstů a nastavit úroveň zabezpečení čtečky. ● Smart Cards and Tokens (Čipové karty a známky) – Umožňuje zobrazovat a upravovat vlastnosti všech dostupných karet Java Card a známek. Úprava nastavení nástroje Credential Manager: 1. Vyberte položku Start > Všechny programy > HP ProtectTools Security Manager. 2. V levém podokně klepněte na možnost Credential Manager a poté klepněte na položku Advanced Settings (Pokročilá nastavení). 3.
28 5. Klepněte na tlačítko Apply (Použít) a poté na tlačítko OK. 6. Restartujte počítač.
3 Embedded Security for HP ProtectTools POZNÁMKA: Pokud chcete používat modul Embedded Security pro ProtectTools, musí být v počítači nainstalován čip integrovaného zabezpečení TPM (Trusted Platform Module). Modul Embedded Security for HP ProtectTools zajišťuje ochranu před neoprávněným přístupem k datům nebo přihlašovacím údajům uživatele.
Nastavení UPOZORNĚNÍ: Aby se snížilo bezpečnostního riziko, doporučuje se, aby správce IT okamžitě inicializoval integrovaný bezpečnostní čip. Pokud nebude inicializován integrovaný bezpečnostní čip, může dojít k tomu, že k počítači získá přístup neoprávněný uživatel nebo počítačový virus, který ovládne procesy vlastníka, mezi nimi například správu archivu pro nouzovou obnovu, nebo bude provádět změny přístupových práv uživatelů.
Inicializace integrovaného bezpečnostního čipu: 1. Klepněte pravým tlačítkem na ikonu nástroje HP ProtectTools Security Manager v oznamovací oblasti v pravé části hlavního panelu a potom klepněte na položku Embedded Security Initialization (Inicializace integrovaného zabezpečení). Spustí se průvodce HP ProtectTools Embedded Security Initialization Wizard. 2. Postupujte podle pokynů na obrazovce.
Obecné úlohy Jakmile vytvoříte základní uživatelský účet, můžete provádět následující operace: ● Šifrování souborů a složek ● Odesílání a přijímání šifrované elektronické pošty Používání osobního zabezpečeného disku Jakmile vytvoříte disk PSD, budete při příštím přihlášení vyzváni k zadání hesla základního uživatelského klíče. Pokud správně zadáte heslo základního uživatelského klíče, můžete přistupovat k disku PSD přímo z aplikace Windows Explorer.
CSWW 3. V pravém panelu u položky Basic User Key password (Heslo základního uživatelského klíče) klepněte na volbu Change (Změnit). 4. Zadejte staré heslo a potom nastavte a potvrďte nové heslo. 5. Klepněte na tlačítko OK (Šifrovat).
Pokročilé operace Zálohování a obnova Funkce zálohování Embedded Security (Integrované zabezpečení) vytváří archív, který obsahuje certifikační údaje, které lze obnovit v případě nouze. Vytvoření souboru zálohy Vytvoření souboru zálohy: 1. Vyberte položku Start > Všechny programy > HP ProtectTools Security Manager. 2. V levém podokně klepněte na možnost Embedded Security (Integrované zabezpečení) a poté klepněte na položku Backup (Zálohování). 3.
Aktivace a deaktivace integrovaného zabezpečení V případě, že nechcete používat bezpečnostní funkce, je možné deaktivovat funkce Embedded Security (Integrované zabezpečení). Funkce Embedded Security (Integrované zabezpečení) lze aktivovat a deaktivovat na 2 různých úrovních: ● Temporary disabling (Dočasná deaktivace) – Při použití této volby se integrované zabezpečení automaticky znovu aktivuje při restartu systému Windows. Tato volba je standardně dostupná všem uživatelům.
36 Kapitola 3 Embedded Security for HP ProtectTools CSWW
4 Java Card Security for HP ProtectTools Modul Java Card Security for HP ProtectTools spravuje nastavení a konfiguraci karty Java Card pro počítače vybavené doplňkovou čtečkou karet.
Obecné úlohy Stránka ”General” (Obecné) umožňuje provést následující operace: ● změna kódu PIN karty Java Card, ● výběr čtečky karet. POZNÁMKA: Čtečka karet používá jak karty Java Card, tak čipové karty. Tato funkce je k dispozici, máte-li v počítači k dispozici více než jednu čtečku karet. Změna kódu PIN karty Java Card Změna kódu PIN karty Java Card POZNÁMKA: Kód PIN karty Java Card musí obsahovat 4 - 8 číselných znaků. 1. Vyberte položku Start > Všechny programy > HP ProtectTools Security Manager.
Pokročilé operace (určeno pouze pro správce) Stránka ”Advanced” (Pokročilé) umožňuje provést následující operace: ● Přiřazení kódu PIN pro kartu Java Card ● Přiřazení názvu kartě Java Card ● Nastavení ověřování po zapnutí ● Záloha a obnovení karet Java Card POZNÁMKA: K zobrazení stránky ”Advanced” (Pokročilé) jsou nutná práva správce systému Windows. Přiřazení kódu PIN kartě Java Card Před použitím karty Java Card v modulu Java Card Security je nutné přidělit kartě název a kód PIN.
6. Zadejte aktuální kód PIN karty Java Card do pole PIN. 7. Klepněte na tlačítko OK (Šifrovat). Nastavení ověřování po zapnutí Pokud je aktivována možnost ověřování po zapnutí, je vyžadováno použití karty Java Card pro spuštění počítače. Proces aktivace ověřování karet Java Card po zapnutí v sobě zahrnuje následující kroky: 1. Aktivujte podporu ověřování karet Java Card po zapnutí v modulu BIOS Configuration nebo pomocí nástroje Computer Setup.
Pokud máte aktivovánu funkci DriveLock: a. Klepněte na položku Make Java card identity unique (Vytvořit identitu karty Java Card jako jedinečnou). – nebo – Klepněte na položku Make the Java card identity the same as the DriveLock password (Vytvořit identitu karty Java Card totožnou s heslem Drivelock).
42 3. Vložte kartu Java Card správce. 4. V pravém podokně v nabídce Power-on authentication (Ověřování po zapnutí) zrušte zaškrtnutí políčka Enable (Povolit). 5. Zadejte kód PIN pro kartu Java Card a klepněte na tlačítko OK.
5 BIOS Configuration for HP ProtectTools Modul BIOS Configuration for HP ProtectTools umožňuje přístup k bezpečnostním a konfiguračním nastavením systému BIOS (Computer Setup). Uživatelům systému Windows tak umožňuje přístup k funkcím zabezpečení sytému, které jsou spravovány modulem Computer Setup.
Obecné úlohy Modul BIOS Configuration umožňuje spravovat různá nastavení počítače, která by jinak byla přístupná pouze po stisknutí klávesy f10 při spuštění počítače a následném spuštění nástroje Computer Setup. Správa možností zavádění Pomocí modulu BIOS Configuration můžete spravovat různá nastavení úloh, které se spouštějí po spuštění nebo restartování počítače. Správa možností zavádění: 1. Vyberte položku Start > Všechny programy > HP ProtectTools Security Manager. 2.
● ● CSWW ● Parallel Port (paralelní port) ● SD Slot (slot SD) ● USB Port (port USB) ● 1394 Port (port 1394) ● Cardbus Slot (slot Cardbus) ● ExpressCard slot (Zásuvka pro karty ExpressCard) Boot options (Možnosti zavádění) ● f9, f10, and f12 Delay (Sec) (Prodleva pro klávesy f9, f10 a f12 /v sekundách/) ● MultiBoot ● Express Boot Popup Delay (Sec) (Délka zobrazení nabídky zavádění programu Express /v sekundách/).
● 5.
Pokročilé operace Správa nastavení doplňkových modulů HP ProtectTools Některé z funkcí nástroje HP ProtectTools Security Manager lze spravovat v modulu BIOS Configuration. Aktivace a deaktivace podpory ověřování při spouštění pomocí čipových karet Zapnutí této volby umožňuje používat čipové karty k ověření uživatele při spuštění počítače.
POZNÁMKA: Chcete-li deaktivovat podporu ověřování při spouštění pomocí integrovaného zabezpečení, klepněte na možnost Disable (Deaktivovat). 6. V okně nástroje HP ProtectTools klepněte na tlačítko Apply (Použít) a poté na tlačítko OK. Aktivace a deaktivace automatické ochrany pevného disku DriveLock Pokud bude tato volba aktivní, budou hesla zámku jednotek DriveLock automaticky generována a nastavena v jednotce pevného disku a budou chráněna integrovaným bezpečnostním čipem TPM.
POZNÁMKA: Potom, co nastavíte heslo vyžadované při spuštění, bude tlačítko Set (Nastavit) na obrazovce ”Passwords” (Hesla) nahrazeno tlačítkem Change (Změnit). Heslo pro nastavení nástroje Computer Setup omezuje přístup k nastavením konfigurace a identifikačním informacím systému v nástroji Computer Setup. Po nastavení bude heslo vyžadováno při přístupu k nástroji Computer Setup.
3. V pravém panelu u položky Setup Password (Heslo správce) klepněte na volbu Set (Nastavit). 4. Zadejte a potvrďte heslo v polích Enter Password (Zadání hesla) a Confirm Password (Potvrzení hesla). 5. Klepněte na tlačítko OK v dialogovém okně Passwords (Hesla). 6. V okně nástroje HP ProtectTools klepněte na tlačítko Apply (Použít) a poté na tlačítko OK. Změna hesla správce Změna hesla nástroje Computer Setup: 1. Vyberte položku Start > Všechny programy > HP ProtectTools Security Manager. 2.
Aktivace a deaktivace ověřování při spuštění při restartování systému Windows Tato volba umožňuje zvýšit bezpečnost tím, že bude po uživateli vyžadováno zadání hesla po zapnutí, hesla TPM nebo hesla čipové karty po restartování systému Windows. Aktivace nebo deaktivace ověřování při spuštění při restartování systému Windows: CSWW 1. Vyberte položku Start > Všechny programy > HP ProtectTools Security Manager. 2.
52 Kapitola 5 BIOS Configuration for HP ProtectTools CSWW
6 Device Access Manager for HP ProtectTools Tento nástroj zabezpečení je dostupný pouze pro správce. Modul Device Access Manager for HP ProtectTools obsahuje následující funkce zabezpečení, které poskytují ochranu před neoprávněným přístupem k zařízením připojeným k počítačovému systému: CSWW ● profily zařízení vytvářené pro každého uživatele, které definují přístup k zařízením, ● přístup k zařízením, který je možno udělovat nebo odepírat na základě členství ve skupinách.
Spouštění služeb na pozadí Pro profily zařízení, které mají být použity, musí být spuštěna služba na pozadí HP ProtectTools Device Locking/Auditing. Pokusíte-li se použít profily zařízení poprvé, otevře nástroj HP ProtectTools Security Manager dialogové okno s dotazem, zda chcete spustit službu na pozadí. Klepnutím na tlačítko Yes (Ano) spusťte službu na pozadí a nastavte ji tak, aby se spouštěla při každém zavádění systému.
Jednoduchá konfigurace Funkce umožňuje odepírat přístup u následujících tříd zařízení: ● zařízení USB pro všechny uživatele, kteří nejsou správci, ● všechna výměnná média (diskety, zásuvné paměťové jednotky atd.) pro všechny uživatele, kteří nejsou správci, ● všechny jednotky DVD/CD-ROM pro všechny uživatele, kteří nejsou správci, ● všechny sériové a paralelní porty pro všechny uživatele, kteří nejsou správci. Odepření přístupu ke třídě zařízení všem uživatelům, kteří nejsou správci: 1.
Konfigurace třídy zařízení (pokročilá) K dispozici je několik možností výběru, které umožňují udělování nebo odepírání přístupu konkrétních uživatelů nebo skupin uživatelů k různým typům zařízení. Přidání uživatele nebo skupiny 1. Vyberte položku Start > Všechny programy > HP ProtectTools Security Manager. 2. V levém podokně klepněte na možnost Device Access Manager a poté klepněte na položku Device Class Configuration (Konfigurace třídy zařízení). 3.
Povolení přístupu ke třídě zařízení jednomu uživateli ze skupiny Přístup ke třídě zařízení můžete povolit jednomu uživateli ze skupiny, zatímco všem ostatním uživatelům z této skupiny bude přístup odepřen. Povolení přístupu jednomu uživateli, nikoli však skupině: 1. Vyberte položku Start > Všechny programy > HP ProtectTools Security Manager. 2. V levém podokně klepněte na možnost Device Access Manager a poté klepněte na položku Device Class Configuration (Konfigurace třídy zařízení). 3.
58 Kapitola 6 Device Access Manager for HP ProtectTools CSWW
7 Drive Encryption for HP ProtectTools UPOZORNĚNÍ: Rozhodnete-li se odinstalovat modul Drive Encryption, musíte nejdříve dešifrovat všechny zašifrované jednotky. Neučiníte-li tak, nebudete mít přístup k datům na zašifrovaných jednotkách, pokud nejste zaregistrováni u služby obnovy modulu Drive Encryption (viz ”Obnovení na stránce 63”). Přeinstalování modulu Drive Encryption nepovoluje přístup k šifrovaným jednotkám.
Správa šifrování Šifrování jednotky 1. Vyberte položku Start > Všechny programy > HP ProtectTools Security Manager. 2. V levém podokně klepněte na položku Drive Encryption a poté klepněte na položku Encryption Management (Správa šifrování). 3. V pravém podokně klepněte na možnost Activate (Aktivovat). Spustí se průvodce modulu Drive Encryption for HP ProtectTools. 4. Aktivujte šifrování podle pokynů na obrazovce.
Správa uživatelů Přidání uživatele 1. Vyberte položku Start > Všechny programy > HP ProtectTools Security Manager. 2. V levém podokně klepněte na položku Drive Encryption a poté klepněte na položku User Management (Správa uživatelů). 3. V pravém podokně klepněte na tlačítko Add (Přidat). V seznamu User Name (Uživatelské jméno) klepnutím vyberte uživatele, nebo jméno uživatele zadejte do pole Username (Uživatelské jméno). Klepněte na tlačítko Next (Další). 4.
62 4. Zadejte heslo systému Windows pro uživatele a klepněte na tlačítko Next (Další). 5. Vyberte nový způsob ověření a klepněte na tlačítko Finish (Dokončit). 6. Vyberete-li způsob ověření pomocí karty Java Card, zadejte po výzvě heslo karty Java Card a klepněte na tlačítko OK.
Obnovení K dispozici jsou následující dvě možnosti bezpečnostních opatření: ● Zapomenete-li heslo, nebudete mít přístup k šifrovaným jednotkám. Můžete se však zaregistrovat u služby obnovy modulu Drive Encryption, která vám umožní přístup k počítači v případě, že zapomenete heslo. ● Klíče modulu Drive Encryption můžete zálohovat na disketě, paměťovém zařízení flash nebo jiném úložišti připojeném přes rozhraní USB. Registrace u služby obnovy modulu Drive Encryption 1.
64 Kapitola 7 Drive Encryption for HP ProtectTools CSWW
8 CSWW Řešení potíží 65
Credential Manager for HP ProtectTools Stručný popis Podrobnosti Řešení Pomocí možnosti síťových účtů modulu Credential Manager může uživatel vybrat, ke kterému doménovému účtu se chce přihlásit. Při použití ověření čipem TPM není tato možnost dostupná. Všechny ostatní způsoby ověření fungují správně. Pomocí ověření TPM se uživatelé přihlásí k místnímu počítači. Nástroje ednotné přihlášení) modulu Credential Manager umožňují uživateli ověření jiných účtů.
Stručný popis Podrobnosti Řešení U modulu Credential Manager dochází k problémům nekompatibility s modulem GINA hesla Corel WordPerfect 12. Pokud se uživatel přihlásí k modulu Credential Manager, vytvoří dokument aplikace WordPerfect a uloží jej s ochranou hesla, nedokáže modul Credential Manager zjistit nebo rozpoznat, ručně ani automaticky, modul GINA hesla. Společnost HP pracuje na řešení budoucích rozšíření produktů. Modul Credential Manager nerozpoznává tlačítko Connect (Připojit) na obrazovce.
Stručný popis Podrobnosti Řešení 4. Pomocí kláves se šipkami vyberte položku Embedded Security Device—Disable (Zařízení integrovaného zabezpečení – zakázat). Pomocí kláves se šipkami změňte nastavení na možnost Embedded Security Device—Enable (Zařízení integrovaného zabezpečení – povolit). 5. Vyberte položku Enable > Save changes and exit (Povolit > Uložit změny a ukončit program). Společnost HP zkoumá možnosti řešení pro budoucí verze zákaznického softwaru.
Embedded Security for HP ProtectTools CSWW Stručný popis Podrobnosti Řešení Šifrování složek, podsložek a souborů u disku PSD zobrazuje chybovou zprávu. Pokud uživatel kopíruje soubory a složky na disk PSD a pokusí se složky a soubory nebo složky a podsložky šifrovat, zobrazí se zpráva Error Applying Attributes (Chyba použití atributů). Uživatel může šifrovat tytéž soubory na jednotce C:\ nebo dodatečně nainstalovaném pevném disku. Tento průběh je v pořádku.
Stručný popis Podrobnosti Řešení Embedded Security (Integrované zabezpečení), zobrazí se chybová zpráva. K chybám dochází po přerušení inicializace modulu Embedded Security (Integrované zabezpečení) z důvodu výpadku napájení.
Stručný popis Podrobnosti Řešení certifikát se po instalaci nestane důvěryhodným. Zobrazuje se přerušovaná chyba šifrování a dešifrování: The process cannot access the file because it is being used by another process. (Proces nemá přístup k souboru, protože soubor je využíván jiným procesem.
Stručný popis Podrobnosti Řešení vyprší a zobrazí se zpráva access denied (přístup odepřen). po přechodu systému z pohotovostního režimu. třicetisekundový hlídač času, který generuje chybovou zprávu. Během nastavení japonštiny dochází v popisech funkcí k drobnému zkrácení. Popisy funkcí jsou při použití možnosti uživatelského nastavení během instalace zkráceny. Společnost HP tuto chybu napraví v příští verzi. Šifrování EFS pracuje, aniž by bylo po výzvě zadáno heslo.
Stručný popis Podrobnosti Řešení the Emergency Recovery Token should be retrieved from. (Žádná známka nouzové obnovy není k dispozici. Vyberte umístění známky, ze kterého chcete známku nouzové obnovy načíst.) Disky PSD pro více uživatelů nefungují v prostředí s rychlým přepínáním uživatelů. K této chybě dochází, bylo-li vytvořeno více uživatelů, kterým byl přidělen disk PSD se stejným písmenem jednotky.
Stručný popis Podrobnosti Řešení Automatické zálohování nefunguje s mapovanou jednotkou. Když správce nastaví v modulu Embedded Security automatické zálohování, dojde k vytvoření položky pod položkou Windows > Tasks > Scheduled Task (Systém Windows > Úlohy > Naplánovaná úloha). Tato naplánovaná úloha systému Windows je nastavena na použití složky NT AUTHORITY\SYSTEM s právy k provedení zálohování. Toto nastavení funguje správně pro všechny místní jednotky. Řešením je změnit nastavení NT AUTHORITY \SYST
Device Access Manager for HP ProtectTools Stručný popis Podrobnosti Řešení Uživatelům je v modulu Device Access Manager odepírán přístup k zařízením, avšak zařízení jsou stále přístupná. V rámci modulu Device Access Manager byly použity konfigurace Simple Configuration (Jednoduchá konfigurace) anebo Device Class Configuration (Konfigurace třídy zařízení) k odepření přístupu uživatelům k zařízením. Přes odepření přístupu mají uživatelé k zařízením stále přístup.
Různé Ovlivněný software – stručný popis Podrobnosti Řešení Security Manager – varovné hlášení: The security application can not be installed until the HP Protect Tools Security Manager is installed (Bezpečnostní aplikaci nelze nainstalovat, dokud nebude nainstalován modul HP Protect Tools Security Manager.). Všechny bezpečnostní aplikace, např. Embedded Security (Integrované zabezpečení), Java Card Security a biometrické údaje jsou rozšiřitelné moduly plug-in pro rozhraní Security Manager.
Ovlivněný software – stručný popis Podrobnosti Řešení 5. Modul HP ProtectTools Security Manager – Přerušovaně se zobrazuje chyba při zavírání rozhraní modulu Security Manager. Přerušovaně (jednou z dvanácti případů) dochází k chybě při použití tlačítka pro uzavření v pravém horním rohu obrazovky k ukončení modulu Security Manager před dokončením načítání všech aplikací plug-in. ● Verze FW = 2.18 (nebo vyšší) ● Verze knihovny ovladače zařízení TPM 2.0.0.
78 Ovlivněný software – stručný popis Podrobnosti Řešení U nastavení Power-on authentication support (Podpora ověření po zapnutí) není nastavena na výchozí hodnotu po použití položky modulu Embedded Security Reset to Factory Settings (Obnovit nastavení výrobce).
Slovníček Archív pro nouzovou obnovu Chráněné úložiště, které umožňuje opětovné šifrování základních uživatelských klíčů z jednoho klíče vlastníka platformy na jiný. Automatická aktivace zámku jednotek Drivelock (Automatic DriveLock) Funkce zabezpečení, která zajišťuje generování hesel pro zámek jednotek DriveLock a jejich ochranu prostřednictvím integrovaného bezpečnostního čipu TPM.
Karta Java Malé hardwarové zařízení, velikostí a tvarem podobné kreditní kartě, které uchovává identifikační informace týkající se vlastníka. Používá se k ověření vlastníka pro práci s počítačem. Klíč USB Bezpečnostní zařízení, které uchovává informace identifikující uživatele. Podobně jako čtečka čipových karet nebo čtečka biometrických údajů se používá pro ověření vlastníka pro práci s počítačem. Osobní zabezpečený disk (Personal secure drive -PSD) Poskytuje chráněné úložiště pro citlivé informace.
Rejstřík A aktivace Aktivace modulu Embedded Security (Integrované zabezpečení) po trvalé deaktivaci 35 Automatická aktivace zámku jednotek Drivelock (Automatic DriveLock) 48 čip TPM 30 Deaktivace ověřování karet Java Card po zapnutí 40 device options (možnosti zařízení) 44 Modul Embedded Security (Integrované zabezpečení) 35 ověření pomocí čipové karty 47 ověření při spuštění 47 silné zabezpečení 50 Automatická aktivace zámku jednotek Drivelock (Automatic DriveLock) 48 B bezpečnostní heslo nástroje Setup
vlastnosti přihlašovacích údajů, konfigurace 26 změna nastavení omezení aplikace 24 Č čip TPM aktivace 30 inicializace 30 D data, omezení přístupu 5 dešifrování jednotky 59 Device Access Manager for HP ProtectTools řešení potíží 75 Device Access Manager for HP ProtectTools.
ověření po zapnutí, nastavení 40 PIN 9 PIN, přiřazení 39 PIN, změna 38 pokročilé operace 39 přiřazení názvu 39 uživatel, vytvoření 41 vytvoření správce 40 Jednotné přihlášení automatická registrace 20 K klíčové cíle zabezpečení 5 Karta Java 39 Modul Embedded Security (Integrované zabezpečení) 34 Přihlášení k systému Windows Credential Manager 19 heslo 9 přístup řízení 53 zabránění neoprávněnému 6 přístup k nástroji HP ProtectTools Security 4 M možnosti zavádění 44 R registrace aplikace 20 přihlašovací úd
84 Rejstřík CSWW
