Page 1
HP ProtectTools Security Manager 指南
HP Compaq 商用台式机
Page 2
© Copyright 2006 Hewlett-Packard
Development Company, L.P.。本文档中包含
的信息如有更改,恕不另行通知。
Microsoft 和 Windows 是 Microsoft
Corporation 在美国和其他国家/地区的商标。
Intel 和 SpeedStep 是 Intel Corporation 在美
国和其它国家/地区的商标。
随 HP 产品和服务附带的明示保修声明中阐明
了此类产品和服务的全部保修服务。本文档
中的内容不应视为构成任何附加保修条款。
HP 对本文档中出现的技术错误、编辑错误或
遗漏不承担任何责任。
本文档包含的所有权信息受版权法保护。事
先未经 Hewlett-Packard Company 书面许
可,不得复印、复制本文档的任何部分或将
其翻译成其他语言。
HP ProtectTools Security Manager 指南
HP Compaq 商用台式机
第一版(2006 年 8 月)
文档部件号:431330-AA1
Page 3
关于本手册
本指南提供有关配置和使用 HP ProtectTools Security Manager 软件的说明。
警告! 以这种方式出现的文字表示如果不按照指示操作,可能会造成人身伤害或带来生命危
险。
小心 以这种方式出现的文字表示如果不按照指示操作,可能会损坏设备或丢失信息。
注意 以这种方式出现的文字提供重要的补充信息。
ZHCN iii
Page 4
iv
关于本手册
ZHCN
Page 5
目录
1 简介
HP ProtectTools Security Manager ...................................................................................................... 1
访问 ProtectTools 安全管理器 ............................................................................................. 1
了解安全保护角色 ................................................................................................................................. 2
管理 ProtectTools 密码 ......................................................................................................................... 2
多要素验证凭证管理器登录 .................................................................................................. 4
创建安全的密码 .................................................................................................................... 4
高级任务 ............................................................................................................................................... 6
管理 ProtectTools 设置 ........................................................................................................ 6
启用和禁用 Java 卡开机验证支持 ....................................................................... 6
启用和禁用嵌入式安全保护模块的开机验证支持 ................................................. 6
管理计算机设置实用程序密码 .............................................................................................. 7
设置开机密码(如果有) ..................................................................................... 7
更改开机密码(如果有) ..................................................................................... 7
系统设置 .............................................................................................................. 8
更改开机验证支持 ............................................................................................... 8
更改用户帐户 ....................................................................................................... 8
设置计算机设置实用程序管理员密码 ................................................................... 9
更改计算机设置实用程序管理员密码 ................................................................... 9
利用开机验证的字典攻击行为 ........................................................................... 10
字典攻击防御 .................................................................................... 10
2 HP BIOS Configuration for ProtectTools(HP ProtectTools BIOS 配置)
基本概念 ............................................................................................................................................. 11
更改 BIOS 设置 .................................................................................................................................. 11
3 HP Embedded Security for ProtectTools(HP ProtectTools 嵌入式安全保护)
基本概念 ............................................................................................................................................. 13
设置步骤 ............................................................................................................................................. 14
4 HP Credential Manager for ProtectTools(HP ProtectTools 凭证管理器)
基本概念 ............................................................................................................................................. 15
启动步骤 ............................................................................................................................................. 15
首次登录 ............................................................................................................................ 16
5 HP Java Card Security for ProtectTools(HP ProtectTools Java 卡安全保护)
基本概念 ............................................................................................................................................. 17
ZHCN v
Page 6
6 第三方解决方案
7 HP Client Manager for Remote Deployment(HP 远程部署客户端管理器)
后台 .................................................................................................................................................... 21
初始化 ................................................................................................................................................. 21
维护 .................................................................................................................................................... 21
8 故障排除
ProtectTools 凭证管理器 .................................................................................................................... 23
ProtectTools 嵌入式安全保护 ............................................................................................................. 26
其它 .................................................................................................................................................... 32
术语表 ................................................................................................................................................................. 35
索引 ..................................................................................................................................................................... 39
vi ZHCN
Page 7
1
简介
HP ProtectTools Security Manager
ProtectTools Security Manager(ProtectTools 安全管理器)软件提供安全保护功能,防止他人未经允
许擅自访问计算机、网络和重要数据。以下模块提供增强的安全保护功能:
HP BIOS Configuration for ProtectTools(HP ProtectTools BIOS 配置)
●
HP Embedded Security for ProtectTools(HP ProtectTools 嵌入式安全保护)
●
HP Credential Manager for ProtectTools(HP ProtectTools 凭证管理器)
●
HP Java Card Security for ProtectTools(HP ProtectTools Java 卡安全保护)
●
计算机可使用的模块因机型而异。ProtectTools 模块可能是计算机预装的或计算机附带的 CD 提供的,
也可以从 HP 网站购买获得。有关详细信息,请访问
http://www.hp.com。
注意 请参阅 ProtectTools 帮助屏幕了解有关 ProtectTools 模块的具体说明。
要使用可信平台模块 (TPM),包含 TPM 的平台需要有 TCG 软件堆栈 (TSS) 和嵌入式安全保护软件。
某些机型提供 TSS;如果没有提供 TSS,则可以从 HP 购买。另外,还必须为某些机型单独购买 TPM
启用软件。有关详细信息,请参阅“
访问 ProtectTools 安全管理器
要从 Microsoft Windows 控制面板中访问 ProtectTools 安全管理器,请执行以下操作:
Windows XP:单击 Start(开始) > Control Panel(控制面板) > Security Center(安全中
▲
心) > ProtectTools Security Manager(ProtectTools 安全管理器)。
Windows 2000:单击 Start(开始) > All Programs(所有程序) > HP ProtectTools Security
▲
Manager(HP ProtectTools 安全管理器)。
注意 配置凭证管理器模块后,还可以通过直接从 Windows 登录屏幕登录到凭证管理器。有关
详细信息,请参阅“
器)”。
HP Credential Manager for ProtectTools(HP ProtectTools 凭证管理
第三方解决方案”。
ZHCN HP ProtectTools Security Manager 1
Page 8
了解安全保护角色
管理计算机安全性(尤其是对于大型企业)时,一项很重要的工作就是划分不同类型管理员和用户之间
的责任和权限。
注意 对于小型企业或个人用户,这些角色可能全部为一人拥有。
对于 ProtectTools,安全责任和权限可以按以下角色划分:
安全管理人员 - 定义公司或网络的安全级别,确定要部署的安全功能,如 Java 卡、生物识别器
●
或 USB 身份标记等。
注意 通过与 HP 合作,安全管理人员可以自定义 ProtectTools 中的许多功能。有关详细信
息,请访问
IT 管理员 - 应用并管理安全管理人员定义的安全功能。IT 管理员还可以启用或禁用某些功能。例
●
http://www.hp.com。
如,如果安全管理人员已决定部署 Java 卡,IT 管理员可以启用 Java 卡 BIOS 安全保护模式。
用户 - 使用安全功能。例如,如果安全管理人员和 IT 管理员已经为系统启用了 Java 卡,用户可
●
以设置 Java 卡个人标识号,并使用该卡进行身份验证。
鼓励管理员在限制最终用户特权和提供限制性用户访问权限时执行“最佳做法”。
管理 ProtectTools 密码
ProtectTools 安全管理器的大多数功能都是受密码保护的。下表列出了常用的密码、设置密码所在的软
件模块以及密码的功能。
此表也指明了那些只能由 IT 管理员设置和使用的密码。所有其它密码都可以由普通用户或管理员进行设
置。
表 1-1 密码管理
ProtectTools 密码 在此 ProtectTools 模块中设置 功能
计算机设置实用程序管理员密码
注意 也称为 BIOS 管理员密
码、F10 设置实用程序密码或安
全设置实用程序密码
开机密码 BIOS 配置
BIOS 配置,由 IT 管理员设置并使用 防止他人擅自访问 BIOS 计算机设置实用
程序和安全设置。
HP ProtectTools Power-On
Authentication Support(HP
ProtectTools 开机验证支持)是一个基
于 TPM 安全工具,用于防止他人在开机
时未经授权擅自访问计算机。开机验证支
持使用 HP ProtectTools Embedded
Security(HP ProtectTools 嵌入式安全保
护)的基本用户密码。在计算机设置实用
程序中启用开机验证后,将在初始化第一
个/下一个嵌入式安全基本用户密钥时设
置密码。嵌入式安全保护 TPM 芯片保护
开机验证的密码。
2
第 1 章 简介
Java 卡管理员密码 Java 卡安全保护,由 IT 管理员设置并使用将 Java 卡与计算机关联在一起,以便于
标识。
ZHCN
Page 9
表 1-1 密码管理 (续)
注意 也称为 BIOS 管理员卡密
码
Java 卡个人标识号 Java 卡安全保护 使用 Java 卡和阅读器选件时,防止他人
Java 卡恢复文件密码(如果有) Java 卡安全保护 防止他人擅自访问包含 BIOS 密码的恢复
允许计算机管理员启用或禁用计算机设置
实用程序密码、生成新的管理员卡,以及
创建恢复文件以恢复用户或管理员卡。
擅自访问 Java 卡内容和计算机内容。检
查 Java 卡用户密码是否与个人标识号相
同;它用于注册 Java 卡身份验证。
文件。
Java 卡用户密码(如果有)
注意 也称为 BIOS 用户卡密码
基本用户密码
注意 也称为:嵌入式安全保护
密码,TPM 预引导密码
急救身份标记密码
注意 也称为:急救身份标记密
钥
主人密码 嵌入式安全保护,由 IT 管理员设置并使用保护系统和 TPM 芯片,防止他人擅自访
凭证管理器登录密码 凭证管理器 此密码提供有 2 个选项:
Java 卡安全保护 将 Java 卡与计算机关联在一起,以便于
标识。
允许用户创建恢复文件,以恢复用户卡。
嵌入式安全保护 用于访问嵌入式安全保护模块的功能,例
嵌入式安全保护,由 IT 管理员设置并使用防止他人擅自访问急救身份标记(它是
如,为确保安全而进行的电子邮件、文件
和文件夹加密。在启用作为 BIOS 开机验
证支持密码时,防止他人在计算机开启、
重新启动或从休眠模式恢复时擅自访问计
算机内容。还用于验证个人安全驱动器
(PSD) 和注册 TPM 验证。
TPM 嵌入式安全保护芯片的备份文件)。
问嵌入式安全保护模块的所有主人功能。
用于 Windows 登录过程中,允许同
●
时访问 Windows 和凭证管理器。
用于在登录到 Microsoft Windows 后
●
单独登录,以访问凭证管理器
ZHCN
凭证管理器恢复文件密码 凭证管理器,由 IT 管理员设置并使用 防止他人擅自访问凭证管理器恢复文件。
Windows 登录密码 Windows 控制面板 可用于手动登录,或保存在 Java 卡中。
备份计划程序密码
注意 Windows 用户密码用于配
置嵌入式安全保护的备份计划程
序。
PKCS #12 导入密码
注意 每个导入的证书都有一个
专用于该证书的密码。
密码重置身份标记 嵌入式安全保护,由 IT 管理员设置并使用为用户提供的工具,允许计算机主人在基
嵌入式安全保护,由 IT 管理员设置并使用设置嵌入式安全保护的备份计划程序
嵌入式安全保护,由 IT 管理员设置并使用密码用于其它证书的加密密钥(如果导入
的话)
注意 一般软件操作不需要;用
户在使用嵌入式安全保护功能发
送重要证书时可以选择设置此密
码。
本用户密码丢失时重置密码;密码用于执
行此重置操作
管理 ProtectTools 密码
3
Page 10
表 1-1 密码管理 (续)
Microsoft Recovery Agent 管理员密码
注意 此恢复代理可以是任何本
地计算机管理员。如果创建了此
恢复代理,则用户必须以管理员
的身份进行登录,并且需要密
码。只要打开此恢复代理,就可
以解密所有用户的加密数据(无
需向导)。
Microsoft,由 IT 安全管理员设置并使用 确保可以恢复个人安全驱动器 (PSD) 加
密的数据。有关详细信息,请参阅
http://www.microsoft.com/technet/
prodtechnol/winxppro/support/
dataprot.mspx。
注意 一般软件操作不需要;用
户在使用嵌入式安全保护功能发
送重要证书时可以选择设置此密
码。
虚拟身份标记主个人标识号 凭证管理器 用户选项,用于通过凭证管理器存储主人
虚拟身份标记用户个人标识号 凭证管理器 用户选项,用于通过凭证管理器存储主人
备份标识向导密码 凭证管理器,由 IT 管理员设置并使用 用于在使用凭证管理器时保护对标识备份
虚拟身份标记验证密码 凭证管理器 用于通过凭证管理器注册虚拟身份标记验
TPM 验证别名 凭证管理器 用于根据管理员或用户的选择通过凭证管
指纹登录 凭证管理器 凭证管理器允许用户使用方便安全的指纹
USB 身份标记验证 凭证管理器 通过凭证管理器用作替代密码的一种身份
多要素验证凭证管理器登录
凭证管理器登录启用多要素验证技术来登录到 Windows 操作系统。由于它要求严格的多要素验证,因
此提高了标准 Windows 密码登录的安全性。它还消除了必须记忆用户密码的要求,从而提高了日常登
录的便利性。凭证管理器登录的一个独特功能是它可以将多个帐户凭证汇集成一个用户标识,只要使用
一次多要素验证,就可以利用同一凭证集访问不同的 Windows 帐户。
凭证
凭证
的访问
证
理器替代基本用户密码
登录来代替 Windows 密码登录。与密码
不同的是,指纹凭证不能共享和转让,也
不会被盗窃或猜中。通过凭证管理器使用
标记验证
多要素用户验证支持以下安全措施的任意组合:用户密码、动态或单次使用密码、TPM、Java 卡、
USB 身份标记、虚拟身份标记和生物特征。凭证管理器还支持其它验证方法,为相同应用程序或服务提
供多种用户访问权限。用户可以将所有凭证、应用程序密码和网络密码合并为一个单一数据单元,称为
用户标识。用户标识始终加密,并利用多要素验证进行保护。
创建安全的密码
创建密码时,首先必须遵循程序设置的所有密码规范。不过,一般而言,遵守下列准则有助于创建安全
的密码,减少密码被破解的机率:
使用的密码长度要超过 6 个字符(最好超过 8 个字符)。
●
密码要包含大小写字母组合。
●
如果可能的话,最好混合使用字母数字字符并包含特殊字符和标点符号。
●
用特殊字符或数字代替关键字词中的字母。例如,可以使用数字 1 代替字母 I 或 L。
●
混合使用 2 种或更多种语言的字词。
●
4
第 1 章 简介
ZHCN
Page 11
将数字或特殊字符置于单词或短语的中间,如“Mary22Cat45”。
●
切勿使用可在字典中查到的词作为密码。
●
不要使用姓名或其它个人信息(如生日、宠物名称或母亲的姓氏)作为密码,即使反过来拼写也不
●
可以。
定期更改密码。可以每次只更改几个字符。
●
如果写下密码,请不要将其存放在距计算机很近的明显位置。
●
不要在计算机上的文件(如电子邮件)中保存密码。
●
切勿与他人共用帐户或将密码告诉别人。
●
ZHCN
管理 ProtectTools 密码
5
Page 12
高级任务
管理 ProtectTools 设置
ProtectTools 安全管理器的部分功能可以在 BIOS 配置模块中管理。
启用和禁用 Java 卡开机验证支持
如果此选项可用,则启用它后可在打开计算机时使用 Java 卡进行用户验证。
注意 要完全启用开机验证功能,还必须使用 ProtectTools Java 卡安全保护模块配置 Java 卡。
要启用 Java 卡开机验证支持,请执行以下操作:
1.
选择 Start(开始) > All Programs(所有程序) > HP ProtectTools Security Manager(HP
ProtectTools 安全管理器)。
2.
在左窗格中,选择 BIOS Configuration(BIOS 配置)。
3.
按照 BIOS 管理员密码提示输入计算机设置实用程序的管理员密码,然后单击 OK(确定)。
4.
在左窗格中,选择 Security(安全保护)。
5.
在 Java Card Security(Java 卡安全保护)下,选择 Enable(启用)。
注意 要禁用 Java 卡开机验证功能,请选择 Disable(禁用)。
6.
单击 Apply(应用),然后在 ProtectTools 窗口中单击 OK(确定)以保存所做的更改。
启用和禁用嵌入式安全保护模块的开机验证支持
如果此选项可用,则启用它后系统可以在您打开计算机时使用 TPM 嵌入式安全保护芯片进行用户验证。
注意 要完全启用开机验证功能,还必须使用 ProtectTools 嵌入式安全保护模块配置 TPM 嵌入
式安全保护芯片。
要启用嵌入式安全保护模块的开机验证支持,请执行以下操作:
1.
选择 Start(开始) > All Programs(所有程序) > HP ProtectTools Security Manager(HP
ProtectTools 安全管理器)。
2.
在左窗格中,选择 BIOS Configuration(BIOS 配置)。
3.
按照 BIOS 管理员密码提示输入计算机设置实用程序的管理员密码,然后单击 OK(确定)。
4.
在左窗格中,选择 Security(安全保护)。
5.
在 Embedded Security(嵌入式安全保护功能)下,选择 Enable Power-On Authentication
Support(启用开机验证支持)。
6
第 1 章 简介
注意 要禁用嵌入式安全保护模块的开机验证功能,请选择 Disable(禁用)。
6.
单击 Apply(应用),然后在 ProtectTools 窗口中单击 OK(确定)以保存所做的更改。
ZHCN
Page 13
管理计算机设置实用程序密码
您可以使用 BIOS 配置模块来设置和更改计算机设置实用程序中的开机密码和设置密码,以及管理各种
密码设置。
小心 通过 BIOS 配置模块中的 Passwords(密码)页设置了密码后,单击 ProtectTools 窗口
中的 Apply(应用)或 OK(确定)按钮将立即保存密码。请务必牢记所设的密码,因为必须提
供先前所设的密码方能撤消密码。
开机密码可以阻止他人未经授权擅自使用您的计算机。
注意 设置了开机密码后,Passwords(密码)页上的 Set(设置)按钮将更换成 Change(更
改)按钮。
计算机设置实用程序的管理员密码用于保护计算机设置实用程序中的配置设置和系统标识信息。设置该
密码后,必须输入该密码才能访问计算机设置实用程序。
如果您设置了管理员密码,系统在打开 ProtectTools BIOS 配置模块之前将提示您输入密码。
注意 设置了管理员密码后,Passwords(密码)页上的 Set(设置)按钮将更换成 Change
(更改)按钮。
设置开机密码(如果有)
要设置开机密码,请执行以下操作:
1.
选择 Start(开始) > All Programs(所有程序) > HP ProtectTools Security Manager(HP
ProtectTools 安全管理器)。
2.
在左窗格中,选择 BIOS Configuration(BIOS 配置),然后选择 Security(安全保护)。
3.
在右窗格中,单击 Power-On Password(开机密码)旁边的 Set(设置)。
4.
在 Enter Password(输入密码)和 Verify Password(验证密码)框中键入并确认密码。
5. 在 Passwords(密码)对话框中单击 OK(确定)。
6.
单击 Apply(应用),然后在 ProtectTools 窗口中单击 OK(确定)以保存所做的更改。
更改开机密码(如果有)
要更改开机密码,请执行以下操作:
1.
选择 Start(开始) > All Programs(所有程序) > HP ProtectTools Security Manager(HP
ProtectTools 安全管理器)。
2.
在左窗格中,选择 BIOS Configuration(BIOS 配置),然后选择 Security(安全保护)。
3.
在右窗格中,单击 Power-On Password(开机密码)旁边的 Change(更改)。
4.
在 Old Password(旧密码)框中键入当前的密码。
ZHCN
5.
在 Enter New Password(输入新密码)和 Verify New Password(验证新密码)框中设置并确
认新密码。
高级任务
7
Page 14
6.
在 Passwords(密码)对话框中单击 OK(确定)。
7.
单击 Apply(应用),然后在 ProtectTools 窗口中单击 OK(确定)以保存所做的更改。
系统设置
1.
初始化 HP ProtectTools Embedded Security(HP ProtectTools 嵌入式安全保护)。
2.
初始化基本用户密钥。
设置基本用户密钥并且基本用户密码设置为开机密码时,将立即启动 HP Power-On Authentication
Support(HP 开机验证支持)。在下次重新启动后,将初始化 HP Power-On Authentication Support
(HP 开机验证支持),并且必须使用基本用户密码来启动计算机。一旦开机验证支持开始运行,进入
BIOS 安装程序的选项就不再显示。如果用户在开机验证支持窗口输入设置密码,则用户可以进入
BIOS。
如果已经设置了嵌入式安全保护模块的基本用户密码,则必须更改该密码才能建立使用开机验证支持的
密码保护。
更改开机验证支持
密码开机验证支持功能使用嵌入式基本用户密码。要更改密码,请执行以下操作:
1.
进入 F10 BIOS 设置(必须有在上述设置步骤说明的设置密码),导航到 Security(安全保
护) > Embedded Security Device(嵌入式安全保护设备) > Reset authentication credential
(重置验证凭证)。
2.
3.
4.
5.
6.
更改用户帐户
开机验证一次仅支持一个用户。可以使用以下步骤来更改控制开机验证的用户帐户。
1.
2.
3.
按箭头键将设置从 Do not reset(不重置) 更改为 Reset(重置)
导航到 Security Manager(安全管理器) > Embedded Security(嵌入式安全保护) > User
Settings(用户设置) > Basic User Password(基本用户密码) > Change(更改)。
键入旧密码,然后输入并确认新密码。
重新引导进入开机验证支持。
密码窗口要求用户首先输入旧密码。
键入旧密码,然后输入新密码。(三次输错新密码将弹出一个新窗口,指明该密码无效,开机验证
将还原为原始的嵌入式安全保护密码 F1 = Boot。
此时,密码将不会进行同步,用户必须再次更改嵌入式安全保护密码才能同步密码。)
导航到 F10 BIOS > Security(安全保护) > Embedded Security Device(嵌入式安全保护设
备) > Reset authentication credential(重置验证凭证)。
按箭头键向两旁移动光标,然后按任意键继续。
按 F10 键两次,然后按 Enter 键确认 Save Changes and Exit(保存更改并退出)。
8
第 1 章 简介
4.
创建/登录到某个目标变更 Microsoft Windows 用户。
5.
打开嵌入式安全保护模块,并为新的 Windows 用户帐户初始化基本用户密钥。如果基本用户密钥
已经存在,则更改基本用户密码以控制开机验证。
ZHCN
Page 15
开机验证现在只接受新用户的基本用户密码。
小心 为用户提供的许多产品可以通过软件加密、硬件加密和硬件保护数据。大多数产品都使用
密码进行管理。无法管理这些工具和密码将会导致数据丢失,硬件被锁死,不得不进行更换。在
尝试使用这些工具之前,请阅读所有相关的帮助文件。
设置计算机设置实用程序管理员密码
要设置计算机设置实用程序的管理员密码,请执行以下操作:
1.
选择 Start(开始) > All Programs(所有程序) > HP ProtectTools Security Manager(HP
ProtectTools 安全管理器)。
2.
在左窗格中,选择 BIOS Configuration(BIOS 配置),然后选择 Security(安全保护)。
3.
在右窗格中,单击 Setup Password(设置密码)旁边的 Set(设置)。
4.
在 Enter Password(输入密码)和 Confirm Password(确认密码)框中键入并确认密码。
5.
在 Passwords(密码)对话框中单击 OK(确定)。
6.
单击 Apply(应用),然后在 ProtectTools 窗口中单击 OK(确定)以保存所做的更改。
更改计算机设置实用程序管理员密码
要更改计算机设置实用程序的管理员密码,请执行以下操作:
1.
选择 Start(开始) > All Programs(所有程序) > HP ProtectTools Security Manager(HP
ProtectTools 安全管理器)。
2.
在左窗格中,选择 BIOS Configuration(BIOS 配置),然后选择 Security(安全保护)。
3.
在右窗格中,单击 Setup Password(设置密码)旁边的 Change(更改)。
4.
在 Old Password(旧密码)框中键入当前的密码。
5.
在 Enter New Password(输入新密码)和 Verify New Password(验证新密码)框中设置并确
认新密码。
6.
在 Passwords(密码)对话框中单击 OK(确定)。
7.
单击 Apply(应用),然后在 ProtectTools 窗口中单击 OK(确定)以保存所做的更改。
ZHCN
高级任务
9
Page 16
利用开机验证的字典攻击行为
字典攻击是一种用于通过系统化试验所有可能使用的密码来入侵安全系统的方法。针对嵌入式安全保护
模块的字典攻击会试图侦测主人密码、基本用户密码或保护密码的密钥。嵌入式安全保护模块提供增强
的字典攻击防御功能。
字典攻击防御
嵌入式安全保护模块针对字典密码攻击的防御措施是检测失败的验证尝试,并在失败次数达到某个阈值
时暂时禁用 TPM。一旦达到失败次数阈值,不仅 TPM 被禁用和需要重新启动,还会强制增加锁定超
时。在超时期间,输入正确密码也会被忽略。输入错误密码将会使最后一次超时的时间翻倍。
有关此过程的详细文档说明,请参阅“嵌入式安全保护帮助”。单击 Welcome to the HP Embedded
Security for ProtectTools Solution(欢迎使用 HP ProtectTools 嵌入式安全保护解决方案) >
Advanced Embedded Security Operation(高级嵌入式安全保护操作) > Dictionary Attack
Defense(字典高级防御)。
注意 一般情况下,用户会收到其密码错误的警告。该警告说明 TPM 自动禁用前用户尝试输入
密码的次数。
开机验证过程在加载操作系统之前在 ROM 中进行。字典攻击防御是操作性的,但用户将收到的
唯一警告是 X 键符号。
10
第 1 章 简介
ZHCN
Page 17
2 HP BIOS Configuration for ProtectTools
(HP ProtectTools BIOS 配置)
基本概念
ProtectTools BIOS 配置模块允许用户对计算机设置实用程序安全保护功能和配置设置进行访问。这样
一来,用户就可以通过 Windows 对计算机设置实用程序所管理的系统安全保护功能进行访问。
使用 BIOS 配置模块,您可以执行以下任务:
管理开机密码和管理员密码。
●
配置其它可用开机验证功能,如启用 Java 卡密码和嵌入式安全保护验证支持。
●
启用和禁用硬件功能,如 CD-ROM 引导功能或各个硬件端口。
●
配置引导选项,其中包括启用多重引导功能和改变引导顺序。
●
注意 计算机设置实用程序也具有 ProtectTools BIOS 配置模块中的许多功能。
更改 BIOS 设置
利用 BIOS 配置,您可以管理各种计算机设置,否则这些设置就只能通过在启动时按 F10 键进入计算机
设置实用程序进行访问。有关设置和功能的信息,请参阅计算机附带提供的
CD 上的
Manager(安全管理器) > BIOS Configuration(BIOS 配置) > Help(帮助)。
《计算机设置
注意 请参阅 ProtectTools 帮助屏幕了解有关 ProtectTools BIOS 配置模块的具体说明。
(F10)
实用程序指南》
《说明文档和诊断程序》
。要访问 BIOS 配置模块的帮助文件,请单击 Security
ZHCN
基本概念
11
Page 18
12
第 2 章 HP BIOS Configuration for ProtectTools(HP ProtectTools BIOS 配置)
ZHCN
Page 19
3 HP Embedded Security for ProtectTools
(HP ProtectTools 嵌入式安全保护)
基本概念
如果可用,ProtectTools 嵌入式安全保护模块可以防止他人未经授权擅自访问用户数据或凭证。此模块
提供有以下安全功能:
增强的 Microsoft 加密文件系统 (EFS) 文件和文件夹加密功能
●
创建个人安全驱动器 (PSD) 以对用户数据进行加密
●
数据管理功能,例如备份和恢复密钥层次结构
●
支持使用 MSCAPI(比如 Microsoft Outlook 和 Microsoft Internet Explorer)的第三方应用程序,
●
以及在使用嵌入式安全保护软件时将 PKCS#11(比如 Netscape)用于保护数据证书操作
可信平台模块 (TPM) 嵌入式安全保护芯片可以增强并支持 ProtectTools 安全管理器的其它安全保护功
能。例如,在用户登录 Windows 时,ProtectTools 凭证管理器可以利用 TPM 嵌入式芯片进行验证。在
某些机型上,TPM 嵌入式安全保护芯片还支持增强的 BIOS 安全保护功能,这些功能可通过
ProtectTools BIOS 配置模块进行访问。
此硬件包括一个 TPM 芯片,它符合 TPM 1.2 标准的可信计算组要求。该芯片与主板集成。某些 TPM
方案(取决于所购买的机型)集成 TPM 作为 NIC 的一部分。在这些 NIC 和 TPM 配置中,芯片中内存
和芯片外内存、功能部件和固件都在与主板集成的外接闪存中。所有 TPM 功能都有加密或保护,确保
闪存或通信安全。
此软件还提供一种称为 PSD 的功能。PSD 是一种补充基于 EFS 文件/文件夹加密的功能,它使用高级
加密标准 (AES) 加密算法。值得注意的是,如果没有隐藏 TPM 并启用安装的具有所有权的适当软件,
并且初始化用户配置,否则 HP ProtectTools Personal Secure Drive(HP ProtectTools 个人安全驱动
器)无法运行。
ZHCN
基本概念
13
Page 20
设置步骤
TPM 嵌入式安全保护芯片可以在 BIOS 计算机设置实用程序、ProtectTools BIOS 配置模块或 HP
Client Manager(HP 客户端管理器)中启用。
要启用 TPM 嵌入式安全保护芯片,请执行以下操作:
1.
2.
3.
4.
5.
小心 为降低安全风险,极力建议 IT 管理员立即初始化 TPM 嵌入式安全保护芯片。如果未初始
化 TPM 嵌入式安全保护芯片,非授权用户或计算机蠕虫就会获得计算机访问权限,或者病毒就
会初始化 TPM 嵌入式安全保护芯片,限制对 PC 的访问。
通过打开或重新启动计算机的方式打开计算机设置实用程序。当屏幕的左下角显示 F10 = ROM
Based Setup(F10 = 基于 ROM 的设置)消息时,按 F10 键。
使用箭头键选择 Security(安全保护) > Setup Password(设置密码)。设置密码。
选择 Embedded Security Device(嵌入式安全保护设备)。
使用箭头键选择 Embedded Security Device – Disable(嵌入式安全保护设备 - 禁用)。使用
箭头键将其更改为 Embedded Security Device – Enable(嵌入式安全保护设备 - 启用)。
选择 Enable(启用) > Save changes and exit(保存更改并退出)。
注意 请参阅 ProtectTools 帮助屏幕了解有关 ProtectTools 嵌入式安全保护模块的具体说明。
14
第 3 章 HP Embedded Security for ProtectTools(HP ProtectTools 嵌入式安全保护)
ZHCN
Page 21
4 HP Credential Manager for ProtectTools
(HP ProtectTools 凭证管理器)
基本概念
ProtectTools 凭证管理器的安全保护功能可提供一个安全和便利的计算环境。这些功能包括:
在登录 Microsoft Windows 时替代密码。比如使用 Java 卡或生物识别器。
●
单一登录功能,可自动记住访问网站、应用程序和受保护网络资源所用的凭证(用户 ID 和密码)。
●
支持的安全保护设备选件,如 Java 卡和生物识别器。
●
支持其它安全保护设置,例如要求在解除计算机锁定和访问应用程序前使用安全保护设备选件进行
●
验证。
●
启动步骤
要启动凭证管理器(如果有),请执行以下操作:
1.
2.
可以选择通过以下任一方式登录凭证管理器:
●
●
在使用 TPM 嵌入式安全保护芯片时增强对存储密码的加密
单击 Start (开始) > Control Panel (控制面板) > Security Center (安全中心) >
ProtectTools Security Manager(ProtectTools 安全管理器) > Credential Manager(凭证管
理器)。
单击面板右上角的 Log On(登录)。
凭证管理器登录向导(首选)
ProtectTools 安全管理器
注意 如果您使用 Windows 登录屏幕上的凭证管理器登录提示登录到凭证管理器,您将在同时
登录到 Windows。
ZHCN
基本概念
15
Page 22
首次登录
首次打开凭证管理器时,请使用通常的 Windows 登录密码进行登录。然后系统将基于您的 Windows 登
录身份自动创建一个凭证管理器帐户。
登录到凭证管理器之后,您可以注册其它凭证,例如指纹或 Java 卡。
在下一次登录时,您可以选择登录策略并使用任意组合形式的注册凭证。
注意 请参阅 ProtectTools 帮助屏幕了解有关 ProtectTools 安全管理器的具体说明。
16
第 4 章 HP Credential Manager for ProtectTools(HP ProtectTools 凭证管理器)
ZHCN
Page 23
5 HP Java Card Security for ProtectTools
(HP ProtectTools Java 卡安全保护)
基本概念
利用 ProtectTools Java 卡安全保护,可以对配备 Java 卡阅读器选件的计算机中的 Java 卡设置和配置
进行管理。
使用 ProtectTools Java 卡安全保护,您可以执行以下操作:
使用 Java 卡安全保护功能。
●
对 Java 卡进行初始化,以便与其它 ProtectTools 模块配合使用,例如 ProtectTools 凭证管理器。
●
如果可用,与计算机设置实用程序配合使用可在预引导环境中启用 Java 卡验证功能,并为管理员
●
和用户分别配置 Java 卡。这需要用户在允许装载操作系统之前插入 Java 卡并可能要输入个人标
识号。
如果可用,设置并更改用于验证 Java 卡用户的身份的密码
●
如果可用,备份和恢复 Java 卡中存储的 Java 卡 BIOS 密码
●
如果可用,在 Java 卡上设置 BIOS 密码
●
注意 请参阅 ProtectTools 帮助屏幕了解有关 ProtectTools 安全管理器的具体说明。
ZHCN
基本概念
17
Page 24
18
第 5 章 HP Java Card Security for ProtectTools(HP ProtectTools Java 卡安全保护)
ZHCN
Page 25
6
第三方解决方案
包含 TPM 的平台需要 TCG 软件堆栈 (TSS) 和嵌入式安全保护软件。所有机型均提供 TSS;必须为某
些机型单独购买嵌入式安全保护软件。在这些机型上提供 NTRU TSS,以支持客户购买的第三方嵌入式
安全保护软件。建议使用象 Wave Embassy Trust Suite 这样的第三方解决方案。
ZHCN 19
Page 26
20
第 6 章 第三方解决方案
ZHCN
Page 27
7 HP Client Manager for Remote
Deployment(HP 远程部署客户端管理
器)
后台
配备可信平台模块 (TPM) 的 HP Trustworthy 平台附带提供未激活的 TPM(默认状态)。启用 TPM 是
HP BIOS 执行策略保护的一个管理选项。管理员必须输入 BIOS 配置选项(F10 选项)才能启用 TPM。
此外,可信计算组 (TCG) 规范要求相关人员(亲自)必须明确在场才能激活 TPM。这个强制要求确保
用户隐私权得到尊重(通过提供一个可供使用的决策模型),而且流氓应用程序、病毒或特洛伊木马不
能为恶意用途启用 TPM。人员在场规定和管理员在现场的要求成为尝试在大型企业部署该策略的 IT 经
理面对的一个难题。
初始化
HP Client Manager(HP 客户端管理器,HPCM)提供一种远程启用 TPM 并控制企业环境中的 TPM 的
方法。这种方法虽然不要求 IT 管理员亲自在场,但仍符合 TCG 要求。
HPCM 允许 IT 管理员设置某些 BIOS 选项,然后重新启动系统来启用远程系统上的 TPM。在该重新引
导过程中,默认情况下 BIOS 显示一个提示;作为响应,最终用户必须按照 TCG 的指定按某个键证明
自己在场。远程系统然后继续重新引导,并且脚本通过控制系统上的 TPM 来完成运行。在此过程中,
将在 IT 管理员指定的位置创建急救档案和急救身份标记。
由于必须允许用户选择密码,因此 HPCM 不在远程系统上执行 TPM 用户初始化。TPM 用户初始化必
须由该系统的最终用户执行。
维护
HP Client Manager(HP 客户端管理器)可用于远程重置用户密码,无需让 IT 管理员知道用户密码。
HPCM 还可以远程恢复用户凭证。必须为这两种功能提供适当的管理员密码。
ZHCN
后台
21
Page 28
22
第 7 章 HP Client Manager for Remote Deployment(HP 远程部署客户端管理器)
ZHCN
Page 29
8
故障排除
ProtectTools 凭证管理器
简短说明 详细说明 解决方法
使用 Credential Manager
Network Accounts(凭证
管理器网络帐户)选项,
用户可以选择登录的域帐
户。使用 TPM 验证时,此
选项不可用。所有其它验
证方法都可以正常使用。
登录到 Windows XP
Service Pack 1 时,USB
身份标记凭证不可用。
一些应用程序网页产生错
误,使得用户无法执行或
完成任务。
在登录过程中,没有
Browse for Virtual
Token(浏览虚拟身份标
记)的选项。
使用 TPM 验证时,用户只登录到了本地
计算机。
在安装 USB 身份标记软件、注册 USB 身
份标记凭证并将凭证管理器设置成主登录
之后,USB 身份标记既没有列出,在凭
证管理器/gina 登录中也不可用。
当登录回 Windows,注销凭证管理器,
重新登录凭证管理器并将身份标记重新选
为主登录时,身份标记登录操作恢复正常
运行。
由于禁用了单一登录的功能模式,一些基
于 Web 的应用程序停止运行并报告错
误。例如,在 Internet Explorer 上显示中
间有一个 ! 的黄色三角形,指明出现了错
误。
由于安全风险的原因,此浏览选项已被删
除,因此用户不能在凭证管理器中移动注
册的虚拟身份标记的位置。
用户可以使用凭证管理器的单一登录工具来验证其它帐
户。
这种情况只发生在 Windows XP Service Pack 1 上;要
进行改正,请通过 Windows Update 来将 Windows 版
本升级到 Service Pack 2。
要在保留 Service Pack 1 的情况下继续工作,请使用另
一个凭证(Windows 密码)重新登录 Windows,以便
注销并重新登录到凭证管理器。
凭证管理器的单一登录功能并不支持所有的软件 Web
界面。通过关闭单一登录支持来为特定网页禁用单一登
录支持。请参阅有关单一登录的完整文档说明,该文档
在凭证管理器帮助文件中提供。
如果对于某个应用程序无法禁用特定的单一登录功能,
请致电 HP 服务和支持机构,请求通过 HP 服务代表为
您提供第三级支持。
当前的产品已删除了此浏览选项,因为它允许非用户来
删除文件、重命名文件和控制 Windows。
ZHCN
TPM 验证登录不提供
Network Accounts(网
络帐户)选项。
域管理员即使有授权也不
能修改 Windows 密码。
凭证管理器的单一登录默
认设置应设置为阻止循环
的提示。
使用 Network Accounts(网络帐户)选
项,用户可以选择登录的域帐户。使用
TPM 验证时,此选项不可用。
当域管理员登录到域中,并使用一个具有
域和本地计算机管理员权限的帐户在凭证
管理器中注册了域身份之后,就会发生这
种情况。当域管理员试图从凭证管理器中
修改 Windows 密码时,管理员将得到登
录失败错误:User account restriction
(用户帐户限制)。
单一登录默认情况下设置为自动登录用
户。不过,在创建两个不同的有密码保护
的文档过程中,在创建第二个文档时,凭
HP 正在研究未来产品增强功能的解决之道。
凭证管理器无法通过 Change Windows password
(更改 Windows 密码)来更改域用户的帐户密码。凭证
管理器只能更改本地计算机帐户密码。域用户可以通
过 Windows security(Windows 安全) > Change
password(更改密码)选项来更改其密码,但由于域
用户在本地计算机上没有实际的帐户,因此凭证管理器
只能更改用于登录的密码。
HP 正在研究未来产品增强功能的解决之道。
ProtectTools 凭证管理器
23
Page 30
简短说明 详细说明 解决方法
证管理器使用记录下来的最后一个密码,
即第一个文档的密码。
与 Corel WordPerfect 12
密码 gina 不兼容问题
凭证管理器无法识别屏幕
上的 Connect(连接)按
钮。
ATI Catalyst 配置向导不能
与凭证管理器一起使用。
使用 TPM 验证登录时,屏
幕上的 Back(后退)按钮
跳过选择另一种验证方法
的选项。
凭证管理器在没有响应配
置的情况下从等待模式中
打开。
如果用户登录到凭证管理器,在
WordPerfect 中创建文档并用密码保护进
行保存,则凭证管理器无法手动或自动检
测或识别密码 gina。
如果用于远程桌面连接 (RDP) 的单一登
录凭证设置为 Connect(连接),则在
重新启动后,单一登录始终输入 Save As
(另存为)按钮,而不是 Connect(连
接)按钮。
凭证管理器单一登录功能与 ATI Catalyst
配置向导冲突。
如果使用凭证管理器的 TPM 登录验证的
用户输入其密码,则 Back(后退)按钮
将不正常工作,而是立即显示 Windows
登录屏幕。
当未选择 use Credential Manager log
on to Windows(使用凭证管理器登录
Windows)作为一个选项时,允许系统
进入 S3 挂起然后唤醒系统会导致凭证管
理器登录到 Windows 以便打开。
HP 正在研究未来产品增强功能的解决之道。
HP 正在研究未来产品增强功能的解决之道。
禁用凭证管理器单一登录。
HP 正在研究未来产品增强功能的解决之道。
如果没有设置管理员密码,用户无法通过凭证管理器登
录 Windows,原因在于凭证管理器调用帐户限制。
无需 Java 卡/身份标记,用户可以取消凭证管理器
●
登录,并会看到 Microsoft Windows 登录。此时用
户可以登录。
利用 Java 卡/身份标记,以下方法允许用户启用/禁
●
用在插入 Java 卡时打开凭证管理器。
1.
单击 Advanced Settings(高级设置)。
如果 TPM 模块被删除或损
坏,用户将丢失用它来保
护的凭证管理器的所有凭
证。
凭证管理器未设置作为
Windows 2000 中的主登
录。
无论是否安装或注册指纹
识别器,都会出现指纹登
录消息。
如果 TPM 模块被删除或损坏,用户将丢
失用它来保护的所有凭证。
在安装 Windows 2000 过程中,设置了手
动或自动登录管理的登录策略。如果选择
了自动登录,则 Windows 默认的注册表
设置将默认的自动管理登录值设置为 1,
并且凭证管理器无法覆盖该值。
如果用户选择 Windows 登录,则在凭证
管理器任务栏中出现以下桌面警告:
You can place your finger on the
2.
单击 Service & Applications(服务和应用程
序)。
3. 单击 Java Cards and Tokens(Java 卡和身份标
记)。
4.
在插入 Java 卡和身份标记时单击。
5.
选择 Advise to log-on(建议登录)复选框。
这是有意设计的。
TPM 模块设计用于保护凭证管理器的凭证。HP 建议用
户在删除 TPM 模块之前备份凭证管理器的标识。
这是有意设计的。
如果用户希望修改要绕过的自动管理登录值的操作系统
级别设置,则编辑路径为 HKEY_LOCAL_MACHINE/
Software/Microsoft/ WindowsNT/CurrentVersion/
WinLogon
小心 使用注册表编辑器风险自负!使用注册
表编辑器 (regedit) 不当会造成要求重新安装操
作系统的严重故障。无法担保可以解决因注册
表编辑器使用不当引起的任何问题。
桌面警告的目的是通知用户指纹验证可用(如果已经对
其配置)。
24
第 8 章 故障排除
ZHCN
Page 31
简短说明 详细说明 解决方法
fingerprint reader to log on to
Credential Manager.(可以将手指放在
指纹识别器上登录到凭证管理器。)
没有连接阅读器时,
Windows 2000 的凭证管理
器登录窗口声明 insert
card(插入卡)。
仅在 Windows XP
Service Pack 1 上从睡眠模
式转换到休眠模式后,无
法登录到凭证管理器。
恢复嵌入式安全保护功能
会导致凭证管理器无法运
行。
没有连接 Java 卡阅读器时,Windows 凭
证管理器的欢迎使用屏幕建议用户使用
insert card(插入卡) 选项登录。
允许系统转换到休眠和睡眠模式后,管理
员或用户无法登录到凭证管理器,并且无
论是否选择了登录凭证(密码、指纹或
Java 卡),Windows 登录屏幕一直显示。
将 ROM 恢复到出厂设置后,凭证管理器
将无法注册任何凭证。
该警告的目的是通知用户 Java 卡可用(如果已经对其
配置)。
这个问题看起来要在 Microsoft Service Pack 2 中解
决。有关引起此问题的原因的详细信息,请参阅网站
http://www.microsoft.com 上 Microsoft 知识库文章
813301。
要登录,用户必须先选择凭证管理器,然后再登录。登
录到凭证管理器后,系统将提示用户登录到 Windows
(用户必须选择 Windows 登录选项)以完成登录过程。
如果用户先登录到 Windows,则必须手动登录到凭证管
理器。
如果在安装凭证管理器之后将 ROM 重置为出厂设置,
则 HP Credential Manager for ProtectTools(HP
ProtectTools 凭证管理器)将无法访问 TPM。
TPM 嵌入式安全保护芯片可以在 BIOS 计算机设置实用
程序、ProtectTools BIOS 配置模块或 HP Client
Manager(HP 客户端管理器)中启用。要启用 TPM 嵌
入式安全保护芯片,请执行以下操作:
1.
通过打开或重新启动计算机的方式打开计算机设置
实用程序。当屏幕的左下角显示 F10 = ROM
Based Setup(F10 = 基于 ROM 的设置)消息
时,按 F10 键。
安全保护 Restore Identity
(恢复标识)过程中断与虚
拟身份标记的关联。
当用户恢复标识时,凭证管理器可能会在
登录屏幕上中断与虚拟身份标记的关联。
尽管凭证管理器已经注册虚拟身份标记,
但用户必须注册该身份标记才能恢复关
联。
2. 使用箭头键选择 Security(安全保护) > Setup
Password(设置密码)。设置密码。
3.
选择 Embedded Security Device(嵌入式安全保
护设备)。
4.
使用箭头键选择 Embedded Security Device –
Disable(嵌入式安全保护设备 - 禁用)。使用箭
头键将其更改为 Embedded Security Device –
Enable(嵌入式安全保护设备 - 启用)。
5.
选择 Enable(启用) > Save changes and exit
(保存更改并退出)。
HP 正在调研未来用户软件版本的解决问题方向。
目前是有意这样设计的。
如果在卸载凭证管理器时没有保留标识,则该身份标记
的系统(服务器)部分遭到破坏,因此即使通过标识恢
复恢复了身份标记的客户端部分,也无法再使用该身份
标记进行登录。
HP 正在调研究长远的解决问题方向。
ZHCN
ProtectTools 凭证管理器
25
Page 32
ProtectTools 嵌入式安全保护
简短说明 详细说明 解决方法
加密 PSD 上的文件夹、子
文件夹和文件时出现错误
消息。
在多引导平台上无法控制
其它操作系统。
未授权的管理员可以查
看、删除、重命名或移动
加密的 EFS 文件夹的内
容。
使用 EFS 加密的文件夹
在 Windows 2000 中并没
有用绿色突出显示出来。
在 Windows 2000 中 EFS
不需要密码就可以查看加
密的文件。
如果用户将文件和文件夹复制到 PSD 并
尝试对文件夹/文件或文件夹/子文件夹进
行加密,将出现 Error Applying
Attributes(应用属性时出错)消息。用
户可以在另外安装的硬盘驱动器上的 C:\
驱动器中加密同样的文件。
如果将某个启动器设置成可以从多个操作
系统来引导,则在某一个操作系统中只能
使用平台初始化向导来控制该驱动器。
对文件夹进行加密并不能阻止拥有管理权
限的未授权用户查看、删除或移动该文件
夹的内容。
使用 EFS 加密的文件在 Windows XP 中
用绿色突出显示出来,但在 Windows
2000 中没有同样的显示。
如果用户设置了嵌入式安全保护模块,并
以管理员身份进行登录,然后注销,又再
以管理员身份重新登录,则该用户以后可
以不使用密码即可查看 Windows 2000 中
的文件/文件夹。这种情况只出现在
Windows 2000 中第一个管理员帐户。如
果有第二个管理员帐户登录,就不会出现
这一情况。
这是有意设计的。
将文件/文件夹移到 PSD 时会自动进行加密。因此不需
要对这些文件/文件夹进行“再次加密”。尝试使用
EFS 在 PSD 上再次加密时会产生此错误消息。
这是出于安全考虑有意这样设计的。
这是有意设计的。
它是 EFS 的一个功能,而不是嵌入式安全保护 TPM。
嵌入式安全保护模块使用 Microsoft EFS 软件,并且
EFS 为所有管理员保留对文件/文件夹的访问权限。
这是有意设计的。
这是 EFS 的一个特点,它只在 Windows XP 中突出显
示加密的文件夹,而不在 Windows 2000 中突出显示。
无论是否安装嵌入式安全保护 TPM,都会出现上述情
形。
这是有意设计的。
这是 EFS 在 Windows 2000 中的一个特点。默认情况
下,在 Windows XP 中,EFS 要求用户使用密码来打开
文件/文件夹。
不能将软件安装在使用
FAT32 分区的恢复区。
通过隐藏 ($) 共享,
Windows 2000 用户可以共
享网络上的任何 PSD。
用户可以加密或删除恢复
档案 XML 文件。
HP ProtectTools
Embedded Security(HP
ProtectTools 嵌入式安全
保护)的 EFS 与
Symantec Antivirus 或
Norton Antivirus 的交互导
致加密/解密和扫描时间变
长。
如果用户试图使用 FAT32 恢复硬盘驱动
器,则不能使用 EFS 加密文件/文件夹。
通过隐藏 ($) 共享,Windows 2000 用户
可以共享网络上的任何 PSD。使用隐藏
($) 共享可以在网络上访问该隐藏共享。
有意不设置此文件的 ACL;因此用户可以
无意或有意地加密或删除该文件,使文件
变得不可访问。一旦此文件被加密或删
除,任何人都不能使用 TPM 软件。
加密文件会干扰 Symantec Antivirus 或
Norton Antivirus 2005 的病毒扫描。扫描
过程中,基本用户密码提示每隔大约 10
个文件就要求用户输入密码。如果该用户
没有输入密码,基本用户密码提示将超
时,并允许 NAV2005 继续进行扫描。运
行 Symantec Antivirus 或 Norton
Antivirus 时,使用 HP ProtectTools
Embedded Security(HP ProtectTools
嵌入式安全保护)的 EFS 加密文件将花
费更长时间。
这是有意设计的。
只有 NTFS 支持 Microsoft EFS,FAT32 并不支持它。
这是 Microsoft EFS 的一个特点,与 HP ProtectTools
软件无关。
PSD 在网络上无法正常共享,但可以通过隐藏 ($) 共享
实现共享(仅适用于 Windows 2000)。HP 建议始终
对内置的管理员帐户进行密码保护。
这是有意设计的。
用户拥有对急救档案的访问权限才能保存/更新他们的基
本用户密钥备份。客户应采用“最佳做法”的安全保护
措施,并通知用户永远不要加密或删除该恢复档案文
件。
要减少扫描 HP ProtectTools Embedded Security(HP
ProtectTools 嵌入式安全保护)的 EFS 文件的时间,用
户既可以在扫描之前输入加密密码,也可以在扫描之前
解密。
要缩短使用 HP ProtectTools Embedded Security(HP
ProtectTools 嵌入式安全保护)的 EFS 加密/解密数据
的时间,该用户应禁用 Symantec Antivirus 或 Norton
Antivirus 的 Auto-Protect(自动保护)。
26
第 8 章 故障排除
ZHCN
Page 33
简短说明 详细说明 解决方法
无法将急救档案保存到可
移动介质。
在 Windows 2000 的法语
(法国)环境中,无法加密
任何数据。
在嵌入式安全保护模块初
始化过程中,在控制该模
块时出现掉电后,会产生
错误。
在嵌入式安全保护模块初始化过程中,如
果用户在创建急救档案路径时插入 MMC
或 SD 卡,就会出现错误消息。
右击某个文件图标时,不会出现任何
Encrypt(加密)选项。
如果在初始化嵌入式安全保护芯片时掉
电,将出现以下问题:
当尝试运行嵌入式安全保护模块初
●
始化向导时,将显示以下错误:
The Embedded security cannot
be initialized since the
Embedded Security chip has
already an Embedded Security
owner.(因为嵌入式安全保护芯片
已经有一个嵌入式安全保护模块的
主人,所以无法初始化嵌入式安全
保护模块。)
当尝试运行用户初始化向导时,将
●
显示以下错误:The Embedded
security is not initialized. To use
the wizard, the Embedded
Security must be initialized first.
(嵌入式安全保护模块尚未初始化。
要使用该向导,必须先初始化嵌入
式安全保护模块。)
这是有意设计的。
不支持在可移动介质上存储恢复档案。可以将恢复档案
存储到网络驱动器或除了 C 驱动器之外的其它本地驱动
器。
这是 Microsoft 操作系统的一个局限。如果更改到其它
区域(比如,法语(加拿大)),将出现 Encrypt(加
密)选项。
要解决该问题,请执行如下操作加密文件:右击该文件
图标,并选择 Properties(属性) > Advanced(高
级) > Encrypt Contents(加密内容)。
要从掉电中恢复,请执行以下步骤:
注意 使用箭头键选择不同的菜单和菜单项,
并更改值(除非已使用其它方式指定)。
1.
启动或重新启动计算机。
2. 当屏幕上出现 F10=Setup (F10 = 设置)消息
(或显示器的 LED 指示灯变绿)时,按 F10 键。
3.
选择合适的语言选项。
4.
按 Enter 键。
5.
选择 Security(安全保护) > Embedded
Security(嵌入式安全保护)。
6.
将 Embedded Security Device(嵌入式安全保护
设备) 选项设置为 Enable(启用)。
7.
按 F10 键接受所做的更改。
8.
选择 File(文件) > Save Changes and Exit(保
存更改并退出)。
ZHCN
启用 TPM 模块后,可以删
除计算机设置 (F10) 实用程
序密码。
当系统从等待状态恢复之
后,将不再显示 PSD
password(PSD 密码)
框。
更改 Security Platform
Policies(安全平台策略)
不需要使用密码。
Microsoft EFS 在
Windows 2000 上并不能发
挥其全部功能。
启用 TPM 模块需要使用计算机设置
(F10) 实用程序密码。一旦启用了该模
块,用户即可删除该密码。这允许对系统
有直接访问权限的任何用户重新设置
TPM 模块,但会导致数据丢失。
创建 PSD 后,当用户登录系统时,TPM
会要求输入基本用户密码。如果用户不输
入该密码,系统将进入等待模式,当从等
待模式恢复时将不再显示 Password(密
码)对话框。
系统中拥有管理权限的用户在访问
Security Platform Policies(安全平台策
略)(计算机和用户)时,不需要使用
TPM 密码。
管理员不需知道正确的密码就可以访问系
统中的加密信息。如果管理员输入错误的
密码或取消 password(密码)对话框,
加密的文件也会打开,就像是管理员已经
9.
按 ENTER 键。
10.
按 F10 键保存更改并退出 F10 设置实用程序。
这是有意设计的。
计算机设置 (F10) 实用程序密码只能由知道该密码的用
户删除。然而,HP 极力建议您在任何时候都要对计算
机设置 (F10) 实用程序进行密码保护。
这是设计要求的。
用户必须先注销,然后重新登录,才能再次看到 PSD
password(PSD 密码)框。
这是设计要求的。
任何管理员都有权更改带有或不带有 TPM 用户初始化
的 Security Platform Policies (安全平台策略)。
将自动配置 Data Recovery Policy(数据恢复策略)以
将管理员指派为恢复代理。当无法检索用户密钥时(不
小心输入错误密码或取消 Enter Password(输入密码)
对话框时),将使用恢复密钥自动加密文件。
ProtectTools 嵌入式安全保护
27
Page 34
简短说明 详细说明 解决方法
查看证书时,证书显示为
不可信。
出现间断加密和解密错
误: 由于另一个进程正在
使用文件,此进程无法访
问它。
如果在新数据生成或传输
之前删除存储,则在可移
动存储设备上会出现数据
丢失。
在卸载过程中,如果用户
没有初始化基本用户并打
开管理工具,则 Disable
(禁用)选项不可用,并且
在关闭管理工具之前,卸
载程序将无法继续运行。
输入了正确的密码一样。无论加密数据时
是否使用安全设置,上述情形都会发生。
但这一情况仅出现在 Windows 2000 的第
一个管理员帐户中。
在设置 HP ProtectTools 并运行 User
Initialization Wizard(用户初始化向导)
后,用户可以查看已颁发的证书,但是在
查看证书时,它显示为不可信。尽管此时
可以通过单击 install(安装)按钮来安装
证书,但安装并不会使证书变为可信。
由于其它进程正在使用文件,因此在文件
加密或解密过程中就会出现严重的间断错
误,即使操作系统或其它应用程序不在处
理该文件或文件夹时也会出现。
删除存储介质(比如多功能插槽硬盘驱动
器)仍将显示 PSD 可用,并且不会在向
PSD 添加/修改数据时生成错误。在系统
重新启动后,PSD 没有反映在可移动存
储不可用时出现的文件变化。
用户可以选择在未禁用 TPM 的情况下卸
载或在第一次禁用 TPM 时卸载(通过管
理工具),然后进行卸载。访问管理工具
需要进行基本用户密钥初始化。如果未进
行基本初始化,则用户无法访问所有选
项。
这是由于 Microsoft EFS 引起的。有关详细信息,请参
阅
http://www.microsoft.com 网站上的 Microsoft 知识库
技术文章 Q257705。
非管理员用户无法打开这些文档
自签名证书不受信任。在适当配置的企业环境中,由联
机认证机构颁发的 EFS 证书受信任。
要解决这一错误,请执行以下操作:
1. 重新启动系统。
2.
注销退出。
3.
重新登录。
这个问题只在以下情况中出现:用户访问 PSD,然后在
完成数据生成或传输之前删除硬盘驱动器。如果用户尝
试在没有可移动硬盘驱动器时访问 PSD,就会显示一条
错误消息:the device is not ready(设备未就绪)。
该管理工具用于禁用 TPM 芯片,但除非已经初始化基
本用户密钥,否则该选项不可用。如果还没有初始化,
则选择 OK(确定)或 Cancel(取消)继续进行卸载过
程。
在 2 个用户帐户上创建
PSD 并在 128 MB 系统配
置中使用快速用户切换,
则会发生间歇系统锁定。
EFS 用户验证(密码请
求)超时,显示 access
denied(访问被拒绝)。
在安装日语版程序过程,
在功能描述中出现小截断
EFS 加密在没有提示输入
密码时工作。
由于用户明确选择了打开管理工具(在提
示 Click Yes to open Embedded
Security Administration tool(单
击“是”打开嵌入式安全保护管理工具)
的对话框中单击 Yes(是)),因此在关
闭管理工具后才开始卸载。如果用户在该
对话框中单击 No(否),则不会打开管
理工具,卸载继续进行。
系统锁定后出现黑屏,键盘和鼠标也不响
应,而不会在使用包含最小 RAM 的快速
切换功能时显示 Welcome(登录)屏幕。
在单击 OK(确定)或超时后从等价状态
返回时,EFS 用户验证密码重新打开。
功能描述在自定义设置安装向导选项过程
中被截断。
通过允许提示用户密码超时,加密仍可在
文件或文件夹上进行。
根本原因可能是低内存配置出现定时问题。
集成图形卡使用占用 8 MB 内存的 UMA 体系结构,余
下的 120 MB 内存供用户使用。这 120 MB 内存由登录
的两个用户共享,在出现错误时快速切换用户。
解决方法是重新引导系统,并建议用户增加内存配置
(默认情况下,在 HP 不随安全保护模块提供 128 MB 内
存配置)。
这是有意设计的,以避免 Microsoft EFS 出现问题(创
建一个 30 秒监视程序定时器以生成错误消息)。
HP 将在以后的版本纠正这一问题。
加密功能不需要密码验证,因为这是 Microsoft EFS 加
密的一个特点。解密需要提供用户密码。
28
第 8 章 故障排除
ZHCN
Page 35
简短说明 详细说明 解决方法
即使在 User Initialization
Wizard(用户初始化向
导)中未选中,或者在用
户策略中禁用了安全电子
邮件配置,也支持安全电
子邮件功能。
在同一台计算机或以前初
始化的计算机上第二次运
行 Large Scale
Deployment(大规模部
署)将覆盖急救和急救身
份标记文件。新文件对于
恢复没有什么作用。
自动登录脚本在用户恢复
嵌入式安全保护过程中停
止运行。
嵌入式安全软件和该向导不控制电子邮件
客户端(比如 Outlook、Outlook
Express 或 Netscape)的设置
在任何先前初始化 HP ProtectTools 嵌入
式安全保护模块的系统上运行 Large
Scale Deployment(大规模部署 )将通过
复写 xml 文件使急救档案和恢复身份标记
失去作用。
此错误在用户执行以下操作后发生:
在嵌入式安全保护模块中初始化主
●
人和用户(使用默认位置 – My
Documents(我的文档))。
在 BIOS 中将芯片重置为出厂设置。
●
重新引导计算机。
●
开始恢复嵌入式安全保护功能。在
●
恢复过程中,凭证管理器提示用户
系统是否可以自动登录 Infineon
TPM User Authentication
(Infineon TPM 用户验证)。如果用
户选择 Yes(是),则
SPEmRecToken 的位置自动出现在
文本框中。
此行为是有意设计的。TPM 电子邮件的配置不禁用在电
子邮件客户端中直接编辑加密设置。可以通过第三方应
用程序设置并控制安全电子邮件的使用。HP 向导允许
连接三个参考应用程序以便立即进行自定义。
HP 正在解决 xml 文件复写问题,将在以后的 SoftPaq
包中提供解决方案。
单击屏幕上的 Browse(浏览)按钮选择一个位置,然
后恢复过程继续进行。
多个用户 PSD 在快速用户
切换环境下不工作。
PSD 被禁用,并且无法在
格式化生成 PSD 的硬盘驱
动器后将其删除。
即使该位置正确,也会显示以下错误消
息:No Emergency Recovery Token
is provided. Select the token location
the Emergency Recovery Token
should be retrieved from.(未提供急救
身份标记。请选择检索急救身份标记的位
置。)
当创建多个用户并且为 PSD 指定相同的
驱动器盘符时就会出现这一错误。如果在
加载 PSD 时试图进行快速用户切换,则
第二个用户的 PSD 将不可用。
PSD 被禁用,并且无法在格式化生成
PSD 的辅助硬盘驱动器后将其删除。
PSD 图标仍然显示,但在用户尝试访问
PSD 时出现 drive is not accessible
(驱动器不可访问)错误消息。
用户无法删除 PSD,并出现一条错误消
息:your PSD is still in use, please
ensure that your PSD contains no
open files and is not accessed by
another process(您的 PSD 仍在使
用,请确认您的 PSD 不包含打开的文
件,并且没有被其它进程访问)。用户必
须重新启动系统才能删除 PSD,并且在
重新启动后也不会加载它。
只有在重新配置第二个用户的 PSD 使用其它驱动器盘
符或第一个用户注销的情况下,第二个用户的 PSD 才
可用。
这是有意设计的:如果用户强行删除或从 PSD 数据的
存储位置断开连接,则嵌入式安全保护 PSD 驱动器模
拟继续运行,并根据缺少通信和丢失数据生成错误。
解决方法:在下次重新引导时,仿真将无法加载,用户
可以删除旧的 PSD 仿真,然后创建新的 PSD。
ZHCN
ProtectTools 嵌入式安全保护
29
Page 36
简短说明 详细说明 解决方法
从自动备份档案中恢复时
检测到了内部错误。
安全系统显示多个用户的
恢复错误。
将系统 ROM 重置为默认隐
藏 TPM。
如果用户
单击 HPPTSM 中嵌入式安全保护模
●
块的 Restore under Backup(备
份后恢复)选项,从自动备份档案
进行恢复
选择 SPSystemBackup .xml
●
Restore Wizard(恢复向导)失败,并显
示下列错误消息:The selected
Backup Archive does not match the
restore reason. Please select another
archive and continue.(选择的备份档
案与恢复原因不匹配。请选择另外一个档
案并继续。)
在恢复过程中,如果管理员选择进行恢复
的用户,未选择的用户在稍候尝试恢复
时,则无法恢复密钥。将显示
decryption process failed(解密过程失
败)错误消息。
将系统 ROM 重置为默认设置,即对于
Windows 隐藏 TPM。这样会使安全软件
无法正常运行,并且使 TPM 加密数据无
法访问。
如果需要 SpBackupArchive.xml 时用户选择
SpSystemBackup.xml,则嵌入式安全保护向导失败,
并出现下列错误消息: An internal Embedded
Security error has been detected.(检测到嵌入式安
全内部错误。)
用户必须选择正确的 .xml 文件才能匹配所需的原因。
上述过程按设计需要工作并且运行正常;但是,嵌入式
安全保护模块内部错误消息不是非常清楚,应该显示一
个更准确的消息。HP 正在努力在将来版本中增强此功
能。
通过在下一次默认日常备份运行之前重置 TPM,运行恢
复过程,然后选择所有用户,可以恢复未选择的用户。
如果运行了自动备份,则会覆盖未恢复用户,并且他们
的数据会丢失。如果恢复一个新的系统备份,则无法恢
复以前的未选择用户。
另外,用户必须恢复整个系统备份。档案备份可以单独
恢复。
在 BIOS 中取消隐藏 TPM:
打开计算机设置 (F10) 实用程序,导航至 Security(安
全保护) > Device security(设备安全保护),将该字
段从 Hidden(隐藏)修改为 Available(可用)。
自动备份不能用于映射的
驱动器。
无法在嵌入式安全保护模
块的 GUI 中临时禁用嵌入
式安全保护状态。
当管理员在嵌入式安全保护模块中设置
Automatic Backup(自动备份)时,会
在 Windows > Tasks(任务) >
Scheduled Task(计划任务)中创建一
个条目。此 Windows Scheduled Task
(Windows 计划任务)将设置为使用 NT
AUTHORITY\SYSTEM 来获取执行该备
份的权限。这种情况对于所有本地驱动器
均运行正常。
而当管理员配置 Automatic Backup(自
动备份)使其保存到映射驱动器时,该过
程则会失败,因为 NT AUTHORITY
\SYSTEM 没有使用映射驱动器的权限。
如果 Automatic Backup(自动备份)计
划为在登录时进行,嵌入式安全保护的
TNA 图标则会显示下列消息:The
Backup Archive location is currently
not accessible. Click here if you want
to backup to a temporary archive
until the Backup Archive is
accessible again.(备份档案位置当前不
可访问。如果要在该备份档案可重新访问
之前备份到一个临时档案中,请单击此
处。)如果 Automatic Backup(自动备
份)计划为在某个特定的时间进行,但是
备份失败,并且没有显示任何失败通知。
当前的 4.0 软件是为 HP Notebook 1.1B
实施设计的,也支持 HP Desktop 1.2 实
施。
解决方法为将 NT AUTHORITY\SYSTEM 更改为(计算
机名)\(管理员名称)。这是手动创建 Scheduled
Task(计划任务)情况下的默认设置。
HP 正在努力在将来产品版本中提供包括计算机名\管理
员名称的默认设置。
HP 将在将来版本中解决此问题。
30
第 8 章 故障排除
ZHCN
Page 37
简短说明 详细说明 解决方法
此要禁用的选项在 TPM 1.1 平台的软件
界面中仍然受支持。
ZHCN
ProtectTools 嵌入式安全保护
31
Page 38
其它
受影响的软件 – 简短说明 详细说明 解决方法
收到 HP ProtectTools
Security Manager – 警
告:The security
application can not be
installed until the HP
Protect Tools Security
Manager is installed(必
须首先安装 HP
ProtectTools 安全管理器
然后才能安装该安全应用
程序)。
用于 dc7600 机型和包含启
用 Broadcom 的 TPM 的型
号的 HP ProtectTools
TPM Firmware Update
Utility(HP ProtectTools
TPM 固件更新实用程序)
– 通过 HP 支持网站提供
的工具报告 ownership
required(需要的所有
权)。
所有安全应用程序,如嵌入式安全保护模
块、Java 卡 和生物识别器,都是用于
HP Security Manager(HP 安全管理器)
界面的可扩展插件。必须首先安装安全管
理器,然后才能加载经过 HP 批准的安全
插件。
这是用于 dc7600 机型和包含启用
Broadcom 的 TPM 的型号的 TPM 固件更
新实用程序的预期行为
该固件升级工具使得用户在具有或不具有
授权密钥 (EK) 的情况下都能升级固件。
如果没有 EK,则在完成固件升级时不需
要授权。
如果有 EK,则必须存在 TPM 所有者,
因为升级需要所有者授权。成功升级之
后,必须重新启动平台才能使得新固件生
效。
如果出厂时重置了 BIOS TPM,则会删除
所有权,必须首先配置嵌入式安全保护软
件平台和 User Initialization Wizard(用
户初始化向导)之后才能使用固件更新功
能。
*执行固件更新后,始终建议进行重新引
导。重新引导之后才能正确标识固件版
本。
必须首先安装 HP ProtectTools Security Manager
(HP ProtectTools 安全管理器)软件,然后才能安装任
何安全插件。
1.
重新安装 HP ProtectTools Embedded Security
(HP ProtectTools 嵌入式安全保护)软件。
2.
运行该平台和 User configuration wizard(用户配
置向导)。
3. 确保系统包含 Microsoft .NET framework 1.1 安
装:
a.
单击 Start(开始)。
b.
单击 Control Panel(控制面板)。
c.
单击 Add or remove programs(添加或删
除程序)。
d.
确保列出了 Microsoft .NET Framework 1.
1。
4.
检查硬件和软件配置:
a. 单击 Start(开始)。
b.
单击 All Programs(所有程序)。
32
第 8 章 故障排除
c.
单击 HP ProtectTools Security Manager
(HP ProtectTools 安全管理器)。
d.
在树型菜单中选择 Embedded Security(嵌
入式安全保护)。
e.
单击 More Details(更多详细信息)。系统
应该具有下列配置:
Product version(产品版本)= V4.0.1
●
Embedded Security State(嵌入式安全
●
保护状态):Chip State(芯片状态)
= Enabled(启用),Owner State(主
人状态)= Initialized(已初始化),
User State(用户状态)= Initialized
(已初始化)
Component Info(组件信息):TCG
●
Spec.Version(TCG 规范版本)= 1.2
Vendor(供应商)= Broadcom
●
Corporation
ZHCN
Page 39
受影响的软件 – 简短说明 详细说明 解决方法
5.
如果固件版本与 2.18 不匹配,则下载并更新
TPM 固件。
件 SoftPaq 的下载支持。
FW Version(固件版本)= 2.18(或更
●
高)
TPM Device driver library version
●
(TPM 设备驱动程序库版本)2.0.0.9
(或更高)
http://www.hp.com 网站提供 TPM 固
HP ProtectTools Security
Manager – 关闭安全管理
器界面时偶尔会返回错误
消息。
HP ProtectTools *
General – 不受限制的访
问或不受控制的管理员权
限存在安全风险。
BIOS 和操作系统嵌入式安
全保护密码不同步。
在 BIOS 中启用了 TPM 预
引导验证之后,只有一个
用户可以登录系统。
在没有完成加载所有插件应用程序之前,
使用屏幕右上角的关闭按钮关闭安全管理
器时,偶尔会产生错误(12 个例程中出
现 1 次)。
对于客户 PC 不受限制的访问可能存在很
多风险:
删除 PSD
●
恶意修改用户设置
●
禁用安全策略和功能
●
如果用户不验证新密码是否与 BIOS 嵌入
式安全保护密码相同,嵌入式安全保护密
码则会通过 F10 BIOS 恢复为最初的嵌入
式安全密码。
TPM BIOS 个人标识号与初始化用户设置
的第一个用户相关联。如果某个计算机具
有多个用户,第一个用户实际上就是管理
员。第一个用户必须将其 TPM 用户个人
标识号提供给其它用户才能用于进行登
录。
这与关闭和重新启动安全管理器时与插件服务加载时间
的计时相关性有关。因为 PTHOST.exe 是承载其它应
用程序(插件)的 shell,所以它依赖于插件的能力才能
完成其加载时间(服务)。在插件还没有时间完成加载
时就关闭该 shell,是造成这种情况的根本原因。
等待安全管理器完成服务加载消息(在安全管理器窗口
的上部可以看到),并且所有插件均列在左栏中。要避
免失败,请等待一段合理的时间,使得这些插件完成加
载。
鼓励管理员在限制最终用户特权和提供限制性用户访问
权限时采用“最佳做法”。
对于未授权的用户不应授予管理权限。
这按设计要求运行;通过更改操作系统基本用户密码并
在 BIOS 嵌入式安全保护密码提示符下对其进行验证,
可以重新同步这些密码。
这按设计要求运行;HP 建议客户的 IT 部门按照良好的
安全策略创建安全解决方案,并确保 BIOS 管理员密码
由 IT 管理员进行配置,以获得系统级的保护。
ZHCN
TPM 出厂重置后,用户必
须更改个人标识号才能使
TPM 预引导运行。
使用嵌入式安全保护模块
的 Reset to Factory
Settings(重置为出厂设
置)选项无法将 Power-
on authentication
support(开机验证支持)
设置为默认值
用户必须更改个人标识号或创建另一个用
户来初始化他的用户设置,才能使 TPM
BIOS 验证在重置之后运行。没有任何选
项可使 TPM BIOS 验证运行。
在计算机设置实用程序中,使用嵌入式安
全保护设备的选项 Reset to Factory
Settings(重置为出厂设置),无法将
Power-on authentication support(开
机验证支持)重置为出厂设置。默认情况
下,Power-on authentication support
(开机验证支持)设置为 Disable(禁
用)。
这是有意设计的,出厂重置会清除基本用户密钥。用户
必须更改其用户个人标识号或创建新用户才能重新初始
化 基本用户密钥。
Reset to Factory Settings(重置为出厂设置)选项会
禁用嵌入式安全保护设备,从而隐藏其它嵌入式安全保
护选项(包括 Power-on authentication support(开
机验证支持))。但是,重新启用嵌入式安全保护设备
之后,Power-on authentication support(开机验证
支持)会保持启用状态。
HP 正在努力寻找一种解决方法,将在以后的基于
Web 的 ROM SoftPaq 产品中提供该方法。
其它
33
Page 40
受影响的软件 – 简短说明 详细说明 解决方法
在引导顺序中,Security
Power-On Authentication
(安全开机验证)与 BIOS
密码交迭。
在 Windows 嵌入式安全保
护软件中更改了主人密码
之后,BIOS 会通过计算机
设置实用程序要求输入新
旧两个密码。
开机验证提示用户使用 TPM 密码登录系
统,但是如果用户按 F10 访问 BIOS 的
话,则只授予读权限访问。
在 Windows 嵌入式安全保护软件中更改
了主人密码之后,BIOS 会通过计算机设
置实用程序要求输入新旧两个密码。
为了能够写入 BIOS,用户必须在 Power-On
Authentication(开机验证)窗口中输入 BIOS 密码,而
不是 TPM 密码。
这是有意设计的。这是因为一旦操作系统开始运行,
BIOS 就无法与 TPM 进行通信,也无法根据 TPM 密钥
来验证 TPM 密码短语了。
34
第 8 章 故障排除
ZHCN
Page 41
术语表
BIOS 安全保护模式 (BIOS security mode) Java Card Security for ProtectTools(Java 卡安全保护功能)中的
设置,启用后要求使用 Java 卡和有效的个人标识号进行用户验证。
BIOS 配置文件 (BIOS profile) 一组可以保存并应用于其它帐户的 BIOS 配置设置。
Java 卡 (Java Card) 大小和形状类似信用卡的小型硬件,用于存储主人的身份信息。用于验证计算机主人的身
份。
Java 卡管理员密码 (Java Card administrator password) 在计算机设置实用程序中将管理员 Java 卡与计算机
相关联的密码,以便于在启动或重新启动时验证身份。此密码可由管理员手动设置或随机生成。
Java 卡用户密码 (Java Card user password) 在计算机设置实用程序中将用户 Java 卡与计算机相关联的密
码,以便于在启动或重新启动时验证身份。此密码可由管理员手动设置或随机生成。
Microsoft 加密 API (Microsoft Cryptographic API) 或 CryptoAPI (MSCAPI) Microsoft 的一个 API,它能够为
加密应用程序提供一个 Windows 操作系统接口。
TCG 软件堆栈 (TCG Software Stack, TSS) 能够提供充分利用 TPM 优势的服务,但不需要相同保护。能够提供
用于访问 TPM 功能的标准软件接口。为充分利用密钥备份、密钥迁移、平台验证与证明等 TPM 的功能,应用程
序直接写入 TSS。
USB 身份标记 (USB token) 存储用户身份信息的安全设备。该设备类似于 Java 卡或生物识别器,用于验证计算
机主人的身份。
Windows 用户帐户 (Windows user account) 有权登录到网络或个人计算机的用户的配置文件。
安全多目的 Internet 邮件扩展 (Secure Multipurpose Internet Mail Extensions, S/MIME) 一种使用 PKCS 的
安全电子消息规范。S/MIME 能够通过数据签名实现验证,并通过加密实现私密保护。
标识 (Identity) ProtectTools 凭证管理器中的一组凭证和设置,其用途类似于特定用户的帐户或配置文件。
重新引导 (Reboot) 重新启动计算机的过程。
单一登录功能 (Single Sign On) 存储验证数据并允许您使用凭证管理器来访问需要密码验证的 Internet 和
Windows 应用程序的功能。
低针脚计数 (Low Pin Count, LPC) 用于定义 HP ProtectTools Embedded Security
全保护)设备连接到平台芯片所使用的接口。该总线由 4 位地址/数据针脚构成,具有 33Mhz 时钟和多个控制/状
态针脚。
高级加密标准 (Advanced Encryption Standard, AES) 一种对称式 128 位块数据加密技术。
个人安全驱动器 (Personal Secure Drive,PSD) 为敏感数据提供的受保护的存储区域。该功能是由 HP
ProtectTools Embedded Security(HP ProtectTools 嵌入式安全保护)模块提供的。该应用程序能够在用户的计
算机上创建一个虚拟驱动器,并能够为移动到虚拟驱动器的文件/文件夹自动加密。
(HP ProtectTools 嵌入式安
ZHCN
术语表
35
Page 42
公共密钥基础结构 (Public Key Infrastructure, PKI) 用于定义使用公用密钥/专用密钥加密和解密的安全系统的
实现方式。
公用密钥加密标准 (Public Key Cryptographic Standards, PKCS) 生成的标准用于管制公用密钥/专用密钥的加
密和解密方法的定义和使用。
急救档案 (Emergency recovery archive) 受保护的存储区域,允许重新加密基本用户密钥(从一个平台主人密
钥到另一个平台主人密钥)。
加密 (Encryption) 加密技术中将纯文本转换为密码文本以防止未授权收件人读取数据的过程(例如使用算法加
密)。数据加密有多种类型,它们是网络安全的基础。常用的类型包括 Data Encryption Standard(数据加密标
准)和公用密钥加密。
加密服务提供程序 (Cryptographic service provider, CSP) 可用于适当定义的接口来实现特定加密功能的加密
算法提供程序或库。与 MSCAPI 实现接口的软件组件。
加密技术 (Cryptography) 对数据进行加密和解密以保证只有指定用户才能解码数据的手段。
加密文件系统 (Encrypting File System ,EFS) 对选定文件夹中的所有文件和子文件夹进行加密的系统。由
Microsoft 为 Windows 2000 或更高版本提供的透明文件加密服务。
解密 (Decryption) 在加密技术中用于将加密的数据转换为纯文本的过程。
开机验证 (Power-On Authentication) 打开计算机时要求使用某种验证方式(例如 Java 卡、安全保护芯片或密
码)的安全保护功能。
可信计算平台联盟 (Trusted Computing Platform Alliance, TCPA) 可信计算联盟现在已经被 TCG 替代。
可信计算组 (Trusted Computing Group, TCG) 一个致力于推广“可信 PC”的行业协会。TCG 取代了 TCPA。
可信平台模块 (TPM) 嵌入式安全保护芯片 (Trusted Platform Module (TPM) embedded security chip)(仅限某
些机型) 可保护高度敏感用户信息免受恶意攻击的集成安全保护芯片。这可以根本地决定给定平台是否可信。
TPM 提供的加密算法和运算满足可信计算组 (TCG) 规范。TPM 硬件和软件通过保护 EFS 和个人安全驱动器所使
用的密钥,增强了 EFS 和个人安全驱动器的安全程度。在没有 TPM 的系统中,用于 EFS 和 PSD 的密钥自动存
储在硬盘驱动器上。这种方式会使密钥受到潜在的安全威胁。在具有 TPM 卡的系统中,始终存储在 TPM 芯片中
的 TPM 专用存储根密钥用于“包装”或保护 EFS 和 PSD 使用的密钥。侵入 TPM 提取专用密钥比浸入系统硬盘
获取密钥困难的多。
性。将 TPM 的功能如同加密服务供应商 (CSP)。密钥和证书是由 TPM 硬件生成和提供支持的,它比仅由软件构
成的实现方式提供更优异的安全性。
凭证 (Credentials) 用户在验证过程中证明其有资格执行特定任务的方法。
迁移 (Migration) 允许管理、恢复和传输密钥及证书的任务。
认证机构 (Certification authority) 颁发运行公共密钥所需证书的服务机构。
生物 (Biometric) 使用生理特征(例如指纹)来识别用户的验证凭证类型。
数字签名 (Digital signature) 与文件一同发送的数据,用于证实发件人身份以及文件在签署后没有任何更改。
数字证书 (Digital certificate) 通过使用一对电子密钥签署数字信息,并将密钥与数字证书主人相关联来标识个人
或公司身份的电子凭证。
网络帐户 (Network account) 本地计算机、工作组或域中的 Windows 用户或管理员帐户。
TPM 还能够通过 Microsoft Outlook 和 Outlook Express 的 S/MIME 增强安全电子邮件的安全
虚拟身份标记 (Virtual token) 与 Java 卡和阅读器功能非常相似的安全保护功能。该身份标记保存在计算机硬盘
驱动器或 Windows 注册表中。使用虚拟身份标记登录后,将要求您输入用户个人标识号以完成验证。
36
术语表
ZHCN
Page 43
严格的安全保护功能 (Stringent security) BIOS 配置中的安全保护功能,为开机密码和设置密码以及其它形式
的开机验证提供增强的保护功能。
验证 (Authentication) 确定用户是否有权执行任务的过程,例如访问计算机、修改特定程序的设置或查看安全数
据。
应用程序接口 (Application Programming Interface, API) 可供应用程序用于执行各种任务的一系列内部操作系
统功能。
域 (Domain) 构成网络并共用同一目录数据库的一组计算机。域具有唯一的名称,并且每个域都具有一组通用的
规则和程序。
ZHCN
术语表
37
Page 44
38
术语表
ZHCN
Page 45
索引
A
安全保护
Java 卡 17
ProtectTools 嵌入式 13
角色 2
设置密码 2
安全管理器,ProtectTools 1
安全性恢复代理密码 4
安装,凭证管理器 15
B
BIOS
更改设置 11
管理员密码,定义 2
管理员卡密码,定义 3
用户卡密码,定义 3
备份标识向导密码 4
备份计划程序密码 3
D
第三方解决方案 19
多要素验证凭证管理器登录 4
F
F10 设置实用程序密码 2
G
高级任务 6
故障排除
ProtectTools 凭证管理器 23
ProtectTools 嵌入式安全保
护 26
其它 32
J
Java 卡
ProtectTools 安全保护 17
个人标识号,定义 3
管理员密码,定义 2
恢复文件密码,定义 3
开机验证 (Power-On
Authentication) 6
用户密码,定义 3
基本用户密码,定义 3
急救身份标记密码,定义 3
计算机设置实用程序
管理员密码,定义 2
管理员密码,更改 9
密码,管理 7
设置管理员密码 9
K
开机
更改密码 7
密码定义 2
设置密码 7
字典攻击 10
开机验证
Java 卡 6
嵌入式安全保护 6
客户机管理器
M
密码
Java 卡个人标识号 3
Java 卡管理员 2
Java 卡恢复文件 3
Java 卡用户 3
PKCS #12 导入 3
ProtectTools,管理 2
TPM 验证别名 4
USB 身份标记验证 4
Windows 登录 3
安全性恢复代理 4
备份标识向导 4
备份计划程序 3
定义 2
基本用户 3
急救身份标记 3
21
计算机设置实用程序管理员 2
计算机设置实用程序管理员,更
改 9
计算机设置实用程序管理员,设
置 9
计算机设置实用程序,管理 7
开机 2
开机,更改 7
开机,设置 7
密码重置身份标记 3
凭证管理器登录 3
凭证管理器恢复文件 3
虚拟身份标记验证 4
虚拟身份标记用户个人标识
号 4
虚拟身份标记主个人标识号 4
指纹登录 4
主人 3
准则 4
密码重置身份标记 3
P
PKCS #12 导入密码 3
ProtectTools
Java 卡安全保护 17
安全管理器访问 1
安全管理器模块 1
管理设置 6
密码管理 2
凭证管理器 15
嵌入式安全保护 13
ProtectTools BIOS 配置
ProtectTools 嵌入式安全保护
故障排除 26
开机验证 6
密码 3
设置 14
凭证管理器
安装 15
11
ZHCN
索引
39
Page 46
登录 4, 16
登录密码 3
故障排除 23
恢复文件密码 3
R
软件
ProtectTools 安全管理器 1
T
TCG 软件堆栈 (TCG Software
Stack, TSS) 19
TCG 软件堆栈 (TSS) 1
TPM 验证别名 4
TPM 预引导密码 3
U
USB 身份标记验证 4
W
Windows
登录密码 3
X
虚拟身份标记验证密码 4
虚拟身份标记用户个人标识号 4
虚拟身份标记主个人标识号 4
Y
远程部署,客户端管理器 21
Z
指纹登录 4
主人密码,定义 3
字典攻击 10
40
索引
ZHCN
Loading...