ProtectTools - Hewlett Packardh10032.Packard Company unter Lizenz verwendet wird. Java ist eine Marke von Sun Microsystems, Inc. in den USA. Das SD-Logo ist eine Marke seines Eigentümers

ProtectTools

Benutzerhandbuch

© Copyright 2007 Hewlett-PackardDevelopment Company, L.P.

Microsoft und Windows sind in den USAeingetragene Marken der MicrosoftCorporation. Intel ist eine Marke odereingetragene Marke der Intel Corporationoder seiner Tochterunternehmen in den USAund anderen Ländern. AMD, das AMDArrow-Logo und Kombinationen davon sindMarken von Advanced Micro Devices, Inc.Bluetooth ist eine Marke, die ihremEigentümer gehört und von der Hewlett-Packard Company unter Lizenz verwendetwird. Java ist eine Marke von SunMicrosystems, Inc. in den USA. Das SD-Logo ist eine Marke seines Eigentümers.

Hewlett-Packard („HP“) haftet –ausgenommen für die Verletzung desLebens, des Körpers, der Gesundheit odernach dem Produkthaftungsgesetz – nicht fürSchäden, die fahrlässig von HP, einemgesetzlichen Vertreter oder einemErfüllungsgehilfen verursacht wurden. DieHaftung für grobe Fahrlässigkeit und Vorsatzbleibt hiervon unberührt. InhaltlicheÄnderungen dieses Dokuments behalten wiruns ohne Ankündigung vor. DieInformationen in dieser Veröffentlichungwerden ohne Gewähr für ihre Richtigkeit zurVerfügung gestellt. Insbesondere enthaltendiese Informationen keinerlei zugesicherteEigenschaften. Alle sich aus derVerwendung dieser Informationenergebenden Risiken trägt der Benutzer. DieGarantien für HP Produkte und Serviceswerden ausschließlich in derentsprechenden, zum Produkt bzw. Servicegehörigen Garantieerklärung beschrieben.Aus dem vorliegenden Dokument sind keineweiter reichenden Garantieansprücheabzuleiten.

Erste Ausgabe: Januar 2007

Teilenummer des Dokuments: 438371-041

Inhaltsverzeichnis

1 Einführung in die SicherheitsfunktionenHP ProtectTools Funktionen ................................................................................................................ 2Öffnen von HP ProtectTools Security ................................................................................................... 4Realisierung grundlegender Sicherheitsaufgaben ............................................................................... 5

Schutz gegen Diebstahl ....................................................................................................... 5Einschränken des Zugriffs auf sensible Daten .................................................................... 5Verhindern des unbefugten Zugriffs von internen oder externen Standorten ...................... 6Erstellen leistungsfähiger Richtlinien für den Kennwortschutz ............................................ 7

Weitere Sicherheitselemente ............................................................................................................... 8Zuweisen von Sicherheitsrollen ........................................................................................... 8Verwalten der Kennwörter für HP ProtectTools ................................................................... 8

Erstellen eines sicheren Kennworts .................................................................. 10HP ProtectTools Backup and Restore ............................................................................... 10

Sichern von Zugangsdaten und Einstellungen .................................................. 10Wiederherstellen von Anmeldeinformationen ................................................... 12Konfigurieren der Einstellungen ........................................................................ 12

2 Credential Manager for HP ProtectToolsSetup .................................................................................................................................................. 14

Anmelden beim Credential Manager ................................................................................. 14Verwenden des Anmeldeassistenten für den Credential Manager ................... 14Erste Anmeldung ............................................................................................... 15

Registrieren von Anmeldeinformationen ............................................................................ 15Registrieren von Fingerabdrücken .................................................................... 15

Einrichten des Fingerabdruck-Lesegeräts ........................................ 16Verwenden des registrierten Fingerabdrucks zur Anmeldung beiWindows. .......................................................................................... 16

Registrieren einer Java Card, eines USB eToken oder eines virtuellenToken ................................................................................................................ 16Registrieren eines USB eToken ........................................................................ 16Registrieren weiterer Anmeldeinformationen .................................................... 16

Allgemeine Aufgaben ......................................................................................................................... 18Erstellen eines virtuellen Token ......................................................................................... 18Ändern des Windows-Anmeldekennworts ......................................................................... 18Ändern einer Token-PIN .................................................................................................... 19Verwalten der Identität ....................................................................................................... 19

Entfernen einer Identität aus dem System ........................................................ 19Sperren des Computers ..................................................................................................... 20Verwenden der Windows-Anmeldung ............................................................................... 20

DEWW iii

Anmelden bei Windows mit dem Credential Manager ...................................... 20Hinzufügen eines Kontos .................................................................................. 21Entfernen eines Kontos ..................................................................................... 21

Verwenden von Single Sign On (Einmaliges Anmelden) ................................................... 21Registrieren einer neuen Anwendung ............................................................... 22

Verwenden der automatischen Registrierung .................................. 22Verwenden der manuellen Registrierung (Drag & Drop) .................. 22

Verwalten von Anwendungen und Anmeldeinformationen ............................... 22Ändern der Anwendungseigenschaften ............................................ 22Entfernen einer Anwendung aus Single Sign On ............................. 23Exportieren einer Anwendung .......................................................... 23Importieren einer Anwendung .......................................................... 23Ändern der Anmeldeinformationen ................................................... 24

Verwenden des Anwendungsschutzes .............................................................................. 24Einschränken des Zugriffs auf eine Anwendung ............................................... 25Entfernen des Schutzes für eine Anwendung ................................................... 25Ändern der Einschränkungseinstellungen für eine geschützteAnwendung ....................................................................................................... 25

Erweiterte Aufgaben (nur für Administratoren) ................................................................................... 27Festlegen der Anmeldung für Benutzer und Administratoren ............................................ 27Konfigurieren benutzerdefinierter Authentifizierungsanforderungen ................................. 28Konfigurieren der Anmeldeeigenschaften .......................................................................... 28Konfigurieren der Einstellungen des Credential Manager ................................................. 29

Beispiel 1 – Verwenden der Seite „Erweiterte Einstellungen“, um dieAnmeldung bei Windows im Credential Manager zu ermöglichen .................... 29Beispiel 2 – Verwenden der Seite „Erweiterte Einstellungen“, um vor dereinmaligen Anmeldung eine Benutzerüberprüfung durchzuführen ................... 31

3 Embedded Security for HP ProtectToolsSetup .................................................................................................................................................. 34

Aktivieren des integrierten Sicherheits-Chips .................................................................... 34Initialisieren des integrierten Sicherheits-Chips ................................................................. 35Einrichten von allgemeinen Benutzerkonten ..................................................................... 36

Allgemeine Aufgaben ......................................................................................................................... 37PSD (Personal Secure Drive, Persönliches Sicherheitslaufwerk) ..................................... 37Verschlüsseln von Dateien und Ordnern ........................................................................... 37Senden und Empfangen verschlüsselter E-Mails .............................................................. 37Ändern des Kennworts für den allgemeinen Benutzerschlüssel ........................................ 38

Erweiterte Aufgaben ........................................................................................................................... 39Sichern und Wiederherstellen ............................................................................................ 39

Erstellen einer Sicherungsdatei ........................................................................ 39Wiederherstellen von Daten aus der Sicherungsdatei ...................................... 39

Ändern des Eigentümerkennworts ..................................................................................... 40Erneutes Einrichten eines Benutzerkennworts .................................................................. 40Aktivieren und Deaktivieren von Embedded Security ........................................................ 40

Permanentes Deaktivieren von Embedded Security ......................................... 40Aktivieren von Embedded Security nach der permanenten Deaktivierung ....... 40

Migrieren von Schlüsseln mithilfe des Migrationsassistenten ............................................ 42

4 Java Card Security for HP ProtectTools

iv DEWW

Allgemeine Aufgaben ......................................................................................................................... 44Ändern der Java Card-PIN ................................................................................................ 44Auswählen des Card Readers ........................................................................................... 44

Erweiterte Aufgaben (nur für Administratoren) ................................................................................... 45Zuordnen einer Java Card-PIN .......................................................................................... 45Zuordnen eines Namens zu einer Java Card-PIN ............................................................. 46Einrichten der Authentifizierung beim Systemstart ............................................................ 46

Aktivieren der Java Card-Authentifizierung beim Systemstart und Erstellender Administrator-Java Card ............................................................................. 47Erstellen einer Java Card-PIN ........................................................................... 48Deaktivieren der Java Card-Authentifizierung beim Systemstart ...................... 48

5 BIOS Configuration for HP ProtectToolsAllgemeine Aufgaben ......................................................................................................................... 50

Verwalten von Bootoptionen .............................................................................................. 50Aktivieren und Deaktivieren von Systemkonfigurationsoptionen ....................................... 51

Erweiterte Aufgaben ........................................................................................................................... 53Verwalten der Einstellungen für die HP ProtectTools Zusatzmodule ................................ 53

Aktivieren und Deaktivieren der Unterstützung für die Smart Card-Authentifizierung beim Systemstart ................................................................... 53Aktivieren und Deaktivieren der Unterstützung für die Authentifizierung beimSystemstart für Embedded Security .................................................................. 54Aktivieren und Deaktivieren des automatischen DriveLock-Festplattenschutzes .......................................................................................... 55

Verwalten von Computer Setup-Kennwörtern ................................................................... 55Festlegen des Systemstart-Kennworts ............................................................. 56Ändern des Systemstart-Kennworts .................................................................. 56Einrichten des Setup-Kennworts ....................................................................... 56Ändern des Setup-Kennworts ........................................................................... 57Einstellen der Kennwortoptionen ...................................................................... 57

Aktivieren und Deaktivieren der strengen Sicherheit ........................ 57Aktivieren und Deaktivieren der Authentifizierung beimSystemstart, wenn Windows neu gestartet wird ............................... 58

6 Device Access Manager for HP ProtectToolsStarten des Hintergrunddienstes ........................................................................................................ 60Einfache Konfiguration ....................................................................................................................... 61Geräteklassen-Konfiguration (erweitert) ............................................................................................. 62

Hinzufügen eines Benutzers oder einer Gruppe ................................................................ 62Entfernen eines Benutzers oder einer Gruppe .................................................................. 62Verweigern des Zugriffs für einen Benutzer oder eine Gruppe ......................................... 62Zulassen des Zugriffs auf eine Geräteklasse für einen Benutzer einer Gruppe ................ 63Zulassen des Zugriffs auf ein bestimmtes Gerät für einen Benutzer einer Gruppe ........... 63

7 Drive Encryption for HP ProtectToolsVerschlüsselungsverwaltung .............................................................................................................. 66Benutzerverwaltung ............................................................................................................................ 67Wiederherstellung .............................................................................................................................. 69

DEWW v

8 FehlerbeseitigungCredential Manager for HP ProtectTools ........................................................................................... 71Embedded Security for HP ProtectTools ............................................................................................ 74Device Access Manager for HP ProtectTools .................................................................................... 81Sonstiges ............................................................................................................................................ 82

Glossar ............................................................................................................................................................... 85

Index ................................................................................................................................................................... 89

vi DEWW

1 Einführung in die Sicherheitsfunktionen

Die HP ProtectTools Security Manager Software enthält Sicherheitsfunktionen, die vor unberechtigtemZugriff auf den Computer, Netzwerke und kritische Daten schützen. Folgende Softwaremoduleenthalten erweiterte Sicherheitsfunktionen:

● Credential Manager for HP ProtectTools

● Embedded Security for HP ProtectTools

● Java Card Security for HP ProtectTools

● BIOS Configuration for HP ProtectTools

● Device Access Manager for HP ProtectTools

● Drive Encryption for HP ProtectTools

Die für Ihren Computer erhältlichen Softwaremodule hängen vom Computermodell ab. So steht dasSoftwaremodul Embedded Security for HP ProtectTools beispielsweise nur auf Computern zurVerfügung, auf denen der integrierte TPM-Sicherheits-Chip (Trusted Platform Module) installiert ist.

Die Module der HP ProtectTools Software sind möglicherweise bereits installiert, geladen oder stehenauf der HP Website zum Download bereit. Besuchen Sie http://www.hp.com, um weitere Informationenzu erhalten.

HINWEIS: Bei den Anleitungen in diesem Handbuch wird davon ausgegangen, dass die HPProtectTools Softwaremodule bereits installiert sind.

DEWW 1

http://www.hp.com

HP ProtectTools FunktionenDie folgende Tabelle nennt die wichtigsten Funktionen der HP ProtectTools Module:

Modul Funktionen

Credential Manager for HP ProtectTools ● Credential Manager dient zur Kennwortarchivierung.

● Die SSO-Funktion (Single Sign On; Einmaliges Anmelden)speichert die Kennwörter für eine Reihe von kennwortgeschütztenWebsites, Anwendungen und Ressourcen im Netzwerk.

● SSO bietet zusätzlichen Schutz, indem für dieBenutzerauthentifizierung eine Kombination verschiedenerSicherheitstechnologien wie Java™ Card und biometrischeLesegeräte notwendig ist.

● Der Schutz der gespeicherten Kennwörter wird mittelsVerschlüsselung erzielt und kann durch die Verwendung einesintegrierten Sicherheits-Chips und/oder die Authentifizierungunter Abfrage eines Sicherheitsgeräts noch weiter verstärktwerden, wobei Java Cards oder biometrische Lesegeräte zumEinsatz kommen können.

Embedded Security for HP ProtectTools ● Embedded Security verwendet einen Trusted Platform Module(TPM) integrierten Sicherheits-Chip, um lokal auf einem PCgespeicherte sensible Benutzerdaten oderAnmeldeinformationen vor unbefugtem Zugriff zu schützen.

● Embedded Security ermöglicht außerdem die Erstellung einesPSD (Personal Secure Drive, persönliches Sicherheitslaufwerk)zum Schutz der Benutzerdaten.

● Darüber hinaus unterstützt die Embedded Security SoftwareAnwendungen von Fremdherstellern wie Microsoft® Outlook undInternet Explorer für geschützte digitale Zertifikatoperationen.

Java Card Security for HP ProtectTools ● Java Card Security konfiguriert die HP ProtectTools Java Card,so dass vor dem Laden des Betriebssystems eineBenutzerauthentifizierung durchgeführt wird.

● Java Card Security konfiguriert separate Java Cards fürAdministrator und Benutzer.

BIOS Configuration for HP ProtectTools ● BIOS Configuration ermöglicht den Zugriff auf die Systemstart-und Administratorkennwörter.

● BIOS Configuration bietet eine Alternative zum Dienstprogrammfür die BIOS-Konfiguration (f10 Setup), das vor dem Systemstartausgeführt wird.

● In Kombination mit dem integrierten Sicherheitschip schütztDriveLock Festplatten vor unbefugtem Zugriff. Dies gilt auchdann, wenn die Festplatte aus dem System entfernt wurde, underfordert mit Ausnahme des Kennworts für den Sicherheitschipkeine weiteren Kennwörter.

2 Kapitel 1 Einführung in die Sicherheitsfunktionen DEWW

Modul Funktionen

Device Access Manager for HP ProtectTools ● Device Access Manager ermöglicht IT-Experten die Kontrolle desGerätezugriffs auf Basis von Benutzerprofilen.

● Device Access Manager verhindert, dass unbefugte Benutzerunter Verwendung externer Speichermedien Daten kopieren oderViren über externe Medien in das System einschleppen.

● Der Administrator kann Einzelpersonen oder Benutzergruppenden Zugriff auf beschreibbare Geräte untersagen.

Drive Encryption for HP ProtectTools ● Drive Encryption ermöglicht eine umfassende Verschlüsselungder gesamten Festplatte.

● Drive Encryption erfordert die Authentifizierung vor demSystemstart, um die Festplatte zu entschlüsseln und denDatenzugriff zu gewähren.

DEWW HP ProtectTools Funktionen 3

Öffnen von HP ProtectTools SecuritySo öffnen Sie HP ProtectTools Security über die Windows®-Systemsteuerung:

▲ Wählen Sie Start > Alle Programme > HP ProtectTools Security Manager.

HINWEIS: Nachdem Sie das Credential Manager Modul konfiguriert haben, können Sie HPProtectTools auch öffnen, indem Sie sich direkt mithilfe des Windows-Anmeldebildschirms beiCredential Manager anmelden. Weitere Informationen finden Sie unter „Anmelden bei Windowsmit dem Credential Manager“ auf Seite 20.


Realisierung grundlegender SicherheitsaufgabenDie HP ProtectTools Module bieten zusammengenommen Lösungen für eine Vielzahl vonSicherheitsthemen, zu denen auch die folgenden grundlegenden Aufgaben gehören:

● Schutz gegen Diebstahl

● Einschränken des Zugriffs auf sensible Daten

● Verhindern des unbefugten Zugriffs von internen oder externen Standorten

● Erstellen leistungsfähiger Richtlinien für den Kennwortschutz

Schutz gegen DiebstahlEin Beispiel für ein derartiges Ereignis ist der Diebstahl eines Computers mit vertraulichen Daten undKundeninformationen beim Sicherheits-Check am Flughafen. Die folgenden Funktionen bieten einenwirksamen Schutz gegen Diebstahl:

● Wenn die Funktion für eine Authentifizierung vor dem Systemstart aktiviert ist, kann ein unbefugterBenutzer nicht auf das Betriebssystem zugreifen. Siehe auch die folgenden Vorgehensweisen:

● „Aktivieren und Deaktivieren der Unterstützung für die Smart Card-Authentifizierung beimSystemstart“ auf Seite 53

● „Aktivieren und Deaktivieren der Unterstützung für die Authentifizierung beim Systemstart fürEmbedded Security“ auf Seite 54

● „Zuordnen eines Namens zu einer Java Card-PIN“ auf Seite 46

● „Drive Encryption for HP ProtectTools“ auf Seite 65

● DriveLock verhindert den Zugriff auf die Daten auch dann, wenn die Festplatte entfernt und in einungesichertes System eingebaut wird. Siehe „Aktivieren und Deaktivieren des automatischenDriveLock-Festplattenschutzes“ auf Seite 55.

● Die Personal Secure Drive Funktion des Moduls Embedded Security for HP ProtectToolsverschlüsselt sensible Daten und sorgt so dafür, dass der Zugriff darauf nur nach einererfolgreichen Authentifizierung möglich ist. Siehe auch die folgenden Vorgehensweisen:

● Embedded Security „Setup“ auf Seite 34

● „PSD (Personal Secure Drive, Persönliches Sicherheitslaufwerk)“ auf Seite 37

Einschränken des Zugriffs auf sensible DatenWenn ein Wirtschaftsprüfer im Unternehmen die notwendigen Berechtigungen für den Zugriff aufsensible Finanzdaten erhält, soll aus Sicherheitsgründen verhindert werden, dass er diese Daten

DEWW Realisierung grundlegender Sicherheitsaufgaben 5

ausdrucken oder auf einem beschreibbaren Datenträger, wie beispielsweise einer CD, speichern kann.Mit den folgenden Funktionen kann der Datenzugriff beschränkt werden:

● Device Access Manager for HP ProtectTools ermöglicht IT-Leitern die Beschränkung des Zugriffsauf beschreibbare Geräte, so dass sensible Daten nicht ausgedruckt oder von der Festplatte aufein Wechselmedium kopiert werden können. Siehe „Geräteklassen-Konfiguration (erweitert)“auf Seite 62.

● DriveLock verhindert den Zugriff auf die Daten auch dann, wenn die Festplatte entfernt und in einungesichertes System eingebaut wird. Siehe „Aktivieren und Deaktivieren des automatischenDriveLock-Festplattenschutzes“ auf Seite 55.

Verhindern des unbefugten Zugriffs von internen oder externenStandorten

Wenn von einem internen oder externen Standort aus auf einen PC mit vertraulichen Daten undKundeninformationen zugegriffen wird, besteht die Gefahr, dass unbefugte Benutzer Zugang zuRessourcen des Unternehmensnetzes oder der Finanzabteilung, zu Management- oder F&E-Datenoder aber zu personengebundenen Informationen wie Krankenakten oder persönlichen Finanzdatenerhalten. Mit den folgenden Funktionen kann der unbefugte Datenzugriff verhindert werden:

● Wenn die Funktion für eine Authentifizierung vor dem Systemstart aktiviert ist, kann ein unbefugterBenutzer nicht auf das Betriebssystem zugreifen. Siehe auch die folgenden Vorgehensweisen:

● „Aktivieren und Deaktivieren der Unterstützung für die Smart Card-Authentifizierung beimSystemstart“ auf Seite 53

● „Aktivieren und Deaktivieren der Unterstützung für die Authentifizierung beim Systemstart fürEmbedded Security“ auf Seite 54

● „Zuordnen eines Namens zu einer Java Card-PIN“ auf Seite 46

● „Drive Encryption for HP ProtectTools“ auf Seite 65

● Embedded Security for HP ProtectTools schützt sensible Benutzerdaten oderAnmeldeinformationen, die lokal auf einem PC gespeichert sind, folgendermaßen vor unbefugtemZugriff:



● Mit den folgenden Vorgehensweisen sorgt Credential Manager for HP ProtectTools dafür, dassunbefugte Benutzer nicht an Kennwörter gelangen bzw. auf kennwortgeschützte Anwendungenzugreifen können:

● Credential Manager „Setup“ auf Seite 14

● „Verwenden von Single Sign On (Einmaliges Anmelden)“ auf Seite 21


● Device Access Manager for HP ProtectTools ermöglicht IT-Leitern die Beschränkung des Zugriffsauf beschreibbare Geräte, so dass sensible Daten nicht von der Festplatte auf ein Wechselmediumkopiert werden können. Siehe „Einfache Konfiguration“ auf Seite 61.

● Die Personal Secure Drive Funktion verschlüsselt sensible Daten und sorgt so dafür, dass derZugriff darauf nur nach erfolgreicher Authentifizierung möglich ist. Dabei kommen die folgendenVorgehensweisen zum Einsatz:



Erstellen leistungsfähiger Richtlinien für den KennwortschutzWenn für eine größere Zahl von webbasierten Anwendungen und Datenbanken ein besonders strikterKennwortschutz benötigt wird, kann mit Credential Manager for HP ProtectTools ein geschütztesRepository für Kennwörter eingerichtet und die SSO-Funktionalität aktiviert werden. Die hierfürrelevanten Vorgehensweisen lauten:

● Credential Manager „Setup“ auf Seite 14

● „Verwenden von Single Sign On (Einmaliges Anmelden)“ auf Seite 21

Für eine optimale Sicherheit übernimmt Embedded Security for HP ProtectTools dann denzuverlässigen Schutz des Repository, in dem die Benutzernamen und Kennwörter abgelegt werden.Auf diese Weise lassen sich mehrere sichere Kennwörter verwalten, ohne dass die Benutzer sienotieren oder auswendig lernen müssen. Siehe Embedded Security „Setup“ auf Seite 34.

DEWW Realisierung grundlegender Sicherheitsaufgaben 7

Weitere SicherheitselementeZuweisen von Sicherheitsrollen

Bei der Verwaltung der Computersicherheit (besonders für große Unternehmen) besteht ein wichtigerFaktor darin, die Zuständigkeiten und Berechtigungen auf verschiedene Typen von Administratoren undBenutzern zu verteilen.

HINWEIS: In einem kleinen Unternehmen oder für die individuelle Benutzung können dieseRollen von derselben Person verwaltet werden.

Bei HP ProtectTools können die Pflichten und Berechtigungen in folgende Rollen unterteilt werden:

● Sicherheitsmitarbeiter – Definiert die Sicherheitsstandards für das Unternehmen oder dasNetzwerk und legt die anwendbaren Sicherheitsfunktionen fest, wie z. B. Java™ Cards,biometrische Lesegeräte oder USB-Tokens.

HINWEIS: Viele der Funktionen in HP ProtectTools können vom Sicherheitsmitarbeiter inZusammenarbeit mit HP angepasst werden. Weitere Informationen finden Sie auf der HPWebsite unter http://www.hp.com.

● IT-Administrator – Wendet die vom Sicherheitsmitarbeiter definierten Sicherheitsfunktionen an undverwaltet diese. Der IT-Administrator kann manche Funktionen auch aktivieren und deaktivieren.Wenn sich der Sicherheitsmitarbeiter z. B. für den Einsatz von Java Cards entscheidet, kann derIT-Administrator den Java Card BIOS-Sicherheitsmodus aktivieren.

● Benutzer – Verwendet die Sicherheitsfunktionen. Wenn der Sicherheitsmitarbeiter und der IT-Administrator z. B. Java Cards für das System aktiviert haben, kann der Benutzer die PIN für dieJava Card festlegen und die Karte zur Authentifizierung verwenden.

Verwalten der Kennwörter für HP ProtectToolsDie meisten HP ProtectTools Security Manager Funktionen sind durch Kennwörter geschützt. Diefolgende Tabelle enthält die gängigsten Kennwörter, die Softwaremodule, für welche die Kennwörtereingerichtet wurden, sowie die Kennwortfunktion.

Die Kennwörter, die nur vom IT-Administrator eingerichtet und verwendet werden können, werdenebenfalls in dieser Tabelle angegeben. Alle anderen Kennwörter können von normalen Benutzern oderAdministratoren eingerichtet werden.

HP ProtectTools Kennwort In diesem HP ProtectToolsModul eingerichtet

Funktion

Credential ManagerAnmeldekennwort

Credential Manager Dieses Kennwort bietet 2 Optionen:

● Es kann zur separaten Anmeldung fürden Zugriff auf Credential Managerverwendet werden, nachdem Sie sichbei Windows angemeldet haben.

● Es kann an Stelle des Windows-Anmeldevorgangs verwendet werden,um den Zugriff auf Windows undCredential Manager gleichzeitig zuermöglichen.


http://www.hp.com

HP ProtectTools Kennwort In diesem HP ProtectToolsModul eingerichtet

Funktion

Kennwort fürWiederherstellungsdatei vonCredential Manager

Credential Manager, vom IT-Administrator

Schützt den Zugriff auf dieWiederherstellungsdatei von CredentialManager.

Kennwort für allgemeinenBenutzerschlüssel

HINWEIS: Auchbekannt als: EmbeddedSecurity Kennwort

Embedded Security Ermöglicht den Zugriff auf die EmbeddedSecurity Funktionen, wie sichere E-Mail,Datei- und Ordnerverschlüsselung. Wenndieses Kennwort für die Authentifizierungbeim Einschalten verwendet wird,ermöglicht es auch den Zugriff auf die Datenim Computer, wenn der Computereingeschaltet, neu gestartet oder derRuhezustand beendet wird.

Kennwort für dasNotfallwiederherstellungs-Token

HINWEIS: Auchbekannt als: Kennwort fürdenNotfallwiederherstellungs-Token-Schlüssel

Embedded Security, vom IT-Administrator

Schützt den Zugriff auf dasNotfallwiederherstellungs-Token. Hierbeihandelt es sich um eine Sicherungsdatei fürden integrierten Sicherheits-Chip.

Eigentümerkennwort Embedded Security, vom IT-Administrator

Schützt das System und den TPM-Chip vorunberechtigtem Zugriff auf alleEigentümerfunktionen von EmbeddedSecurity.

Java™ Card-PIN Java Card Security Schützt den Zugriff auf die Daten der JavaCard und authentifiziert Benutzer der JavaCard. Wenn die Java Card-PIN für dieAuthentifizierung beim Einschaltenverwendet wird, schützt sie auch den Zugriffauf Computer Setup Utility und auf die Datenim Computer.

Authentifiziert Benutzer von DriveEncryption, wenn das Java Card Tokenausgewählt wird.

Kennwort für Computer Setup

HINWEIS: Auchbekannt als BIOS-Administrator-, f10-Setup- oder Sicherheits-Setup-Kennwort

BIOS Configuration, vom IT-Administrator

Schützt den Zugriff auf Computer SetupUtility.

Systemstart-Kennwort BIOS Configuration Schützt den Zugriff auf die Daten auf demComputer, wenn der Computereingeschaltet oder neu gestartet wird bzw.wenn der Ruhezustand beendet wird.

Windows-Anmeldekennwort Windows-Systemsteuerung Kann für die manuelle Anmeldungverwendet oder auf der Java Cardgespeichert werden.

DEWW Weitere Sicherheitselemente 9

Erstellen eines sicheren KennwortsDas Erstellen von Kennwörtern ist nur möglich, wenn Sie die vom Programm festgelegtenAnforderungen erfüllen. Beachten Sie im Allgemeinen folgende Richtlinien für das Erstellen vonsicheren Kennwörtern, um die Risiken in Bezug auf Kennwörter zu verringern:

● Verwenden Sie Kennwörter mit mehr als 6 Zeichen, vorzugsweise mehr als 8 Zeichen.

● Verwenden Sie Groß- und Kleinschreibung innerhalb des Kennworts.

● Verwenden Sie nach Möglichkeit alphanumerische als auch Sonderzeichen undInterpunktionszeichen.

● Ersetzen Sie Buchstaben in einem Kennwort durch Sonderzeichen oder Zahlen. Sie können z. B.die Zahl 1 für den Buchstaben I oder L verwenden.

● Erstellen Sie Wörter aus 2 oder mehreren Sprachen.

● Trennen Sie ein Wort oder einen Begriff durch Zahlen oder Sonderzeichen in der Mitte, z. B.„Mary2-2Cat45“.

● Verwenden Sie kein Kennwort, das in einem Wörterbuch vorkommt.

● Verwenden Sie nicht Ihren Namen oder andere persönliche Informationen, wie Geburtstage,Namen von Haustieren oder den Mädchennamen der Mutter, selbst dann nicht, wenn Sie dieserückwärts buchstabieren.

● Ändern Sie das Kennwort regelmäßig. Es genügt, wenn Sie nur einige Zeichen ändern.

● Wenn Sie Ihr Kennwort aufschreiben, bewahren Sie es auf keinen Fall sichtbar in der Nähe desComputers auf.

● Speichern Sie das Kennwort nicht in einer Datei, wie z. B. einer E-Mail, auf dem Computer.

● Nutzen Sie das Konto nicht gemeinsam mit anderen Benutzern, und geben Sie Ihr Kennwort nichtweiter.

HP ProtectTools Backup and RestoreDie Funktionen zum Sichern und Wiederherstellen von HP ProtectTools Backup and Restoreermöglichen die schnelle und einfache Sicherung und Wiederherstellung der Zugangsdaten für alleinstallierten HP ProtectTools Module.

Sichern von Zugangsdaten und EinstellungenSie können Zugangsdaten auf folgende Arten sichern:

● Indem Sie den HP ProtectTools Backup-Assistenten aufrufen, um HP ProtectTools Moduleauszuwählen und zu sichern.

● Indem Sie vorausgewählte HP ProtectTools Module sichern.

HINWEIS: Hierfür müssen Sie zunächst Sicherungsoptionen festlegen.

● Indem Sie Sicherungen planen.



Auswählen und Sichern von HP ProtectTools Modulen mit dem HP ProtectTools Backup-Assistenten

1. Wählen Sie Start > Alle Programme > HP ProtectTools Security Manager.

2. Wählen Sie im linken Fensterausschnitt die Option HP ProtectTools und anschließend Backupand Restore (Sichern und Wiederherstellen).

3. Klicken Sie im rechten Fensterausschnitt auf Backup Options (Backup-Optionen). Der Backup-Assistent für HP ProtectTools wird geöffnet. Befolgen Sie die Anleitungen auf dem Bildschirm, umdie Zugangsdaten zu sichern.

Einstellen der Sicherungsoptionen



3. Klicken Sie im rechten Fensterausschnitt auf Backup Options (Backup-Optionen). Das Fenster„HP ProtectTools Backup Wizard“ wird geöffnet.

4. Folgen Sie den Anleitungen auf dem Bildschirm.

5. Nachdem Sie das Storage File Password (Kennwort für die Speicherdatei) definiert und bestätigthaben, klicken Sie auf Remember all passwords and authentication values for futureautomated backups (Alle Kennwörter und Authentifizierungswerte für künftige automatischeSicherungen speichern).

6. Klicken Sie auf Save Settings (Einstellungen speichern) und anschließend auf Fertig stellen.

Sichern von vorausgewählten HP ProtectTools Modulen




3. Klicken Sie im rechten Fensterausschnitt auf Sicherung.

Planen von Sicherungen




3. Klicken Sie im rechten Fensterausschnitt auf Schedule Backups (Backup-Zeitplan).

4. Klicken Sie auf der Registerkarte Task (Aufgabe) auf die Schaltfläche Aktiviert, um geplanteSicherungen zu aktivieren.

DEWW Weitere Sicherheitselemente 11

5. Klicken Sie auf Set Password (Kennwort festlegen), geben Sie das Kennwort im Dialogfeld SetPassword (Kennwort festlegen) ein, und bestätigen Sie es anschließend durch eine erneuteEingabe. Klicken Sie auf OK.

6. Klicken Sie auf Übernehmen. Klicken Sie auf die Registerkarte Schedule (Zeitplan). Klicken Sieauf den Pfeil neben Schedule Task (Aufgabe planen), und wählen Sie aus, in welchenZeitabständen das automatische Backup durchgeführt werden soll.

7. Wählen Sie unter Start time (Startzeit) mit den entsprechenden Pfeiltasten den genauen Zeitpunktaus, zu dem das Backup beginnen soll.

8. Klicken Sie auf Erweitert, um ein Startdatum, ein Enddatum und andere Standardeinstellungenfür die Aufgabe festzulegen. Klicken Sie auf Übernehmen.

9. Klicken Sie auf Einstellungen, und legen Sie die Einstellungen für Scheduled TaskCompleted (Abschluss der geplanten Aufgabe), Idle Time (Leerlaufzeit) undEnergieverwaltung fest.

10. Klicken Sie auf Übernehmen und anschließend auf OK.

Wiederherstellen von Anmeldeinformationen1. Wählen Sie Start > Alle Programme > HP ProtectTools Security Manager.


3. Klicken Sie im rechten Fensterausschnitt auf Wiederherstellen. Das Fenster „HP ProtectToolsRestore Wizard“ wird geöffnet. Folgen Sie den Anleitungen auf dem Bildschirm.

Konfigurieren der Einstellungen1. Wählen Sie Start > Alle Programme > HP ProtectTools Security Manager.

2. Klicken Sie im linken Fensterausschnitt auf HP ProtectTools und dann auf Einstellungen.

3. Wählen Sie im rechten Fensterausschnitt Ihre Einstellungen aus, und klicken Sie dann auf OK.


2 Credential Manager for HPProtectTools

Credential Manager for HP ProtectTools enthält die folgenden Sicherheitsfunktionen, um Sie vor einemunberechtigten Zugriff auf Ihren Computer zu schützen.

● Alternativen zu Kennwörtern für die Anmeldung bei Windows, z. B. die Verwendung einer JavaCard oder eines biometrischen Lesegeräts. Weitere Informationen finden Sie unter „Registrierenvon Anmeldeinformationen“ auf Seite 15.

● SSO-Funktion (Single Sign On; Einmaliges Anmelden), die automatisch die Berechtigungen fürden Zugriff auf Websites, Anwendungen und geschützte Ressourcen im Netzwerk speichert.

● Unterstützung für optionale Sicherheitsgeräte wie Java Cards und biometrische Lesegeräte.

● Unterstützung für zusätzliche Sicherheitseinstellungen, z. B. Authentifizierungsabfrage unterVerwendung eines optionalen Sicherheitsgeräts, um den Computerschutz aufzuheben.

DEWW 13

SetupAnmelden beim Credential Manager

Je nach Konfiguration haben Sie die folgenden Möglichkeiten, um sich beim Credential Manageranzumelden:

● Über den Anmeldeassistenten für den Credential Manager (bevorzugte Methode)

● Symbol für HP ProtectTools Security Manager im Infobereich

● HP ProtectTools Security Manager

HINWEIS: Wenn Sie die Eingabeaufforderung für die Credential Manager-Anmeldung imWindows-Anmeldebildschirm verwenden, um sich beim Credential Manager anzumelden,werden Sie gleichzeitig auch bei Windows angemeldet.

Melden Sie sich mit Ihrem normalen Windows-Anmeldekennwort an, wenn Sie den Credential Managerzum ersten Mal öffnen. Bei dieser Gelegenheit wird anhand Ihrer Windows-Anmeldeinformationenautomatisch ein Credential Manager-Konto erstellt.

Nachdem Sie beim Credential Manager angemeldet sind, können Sie zusätzlicheAnmeldeinformationen, z. B. einen Fingerabdruck oder eine Java Card, registrieren. WeitereInformationen finden Sie unter „Registrieren von Anmeldeinformationen“ auf Seite 15.

Bei der nächsten Anmeldung können Sie die Anmeldeart wählen und eine beliebige Kombination derregistrierten Anmeldeinformationen verwenden.

Verwenden des Anmeldeassistenten für den Credential ManagerGehen Sie folgendermaßen vor, um sich mithilfe des Anmeldeassistenten beim Credential Manageranzumelden:

1. Öffnen Sie den Anmeldeassistenten für den Credential Manager mit einem der folgendenVorgehensweisen:

● über den Windows-Anmeldebildschirm.

● über den Infobereich mit einem Doppelklick auf das HP ProtectTools Security Manager-Symbol.

● über die Seite „Credential Manager“ des ProtectTools Security Manager, indem Sie auf denLink Anmelden in der rechten oberen Ecke des Fensters klicken.

2. Befolgen Sie die Anleitungen auf dem Bildschirm, um sich bei Credential Manager anzumelden.

14 Kapitel 2 Credential Manager for HP ProtectTools DEWW

Erste AnmeldungZunächst müssen Sie sich jedoch bei Windows als Administrator anmelden. Melden Sie sich aber nochnicht beim Credential Manager an.

1. Öffnen Sie HP ProtectTools Security Manager, indem Sie im Infobereich auf das HP ProtectToolsSecurity Manager-Symbol doppelklicken. Daraufhin wird das Fenster „HP ProtectTools SecurityManager“ geöffnet.

2. Klicken Sie im linken Fensterausschnitt auf Credential Manager, und klicken Sie dann in deroberen rechten Ecke des rechten Fensterausschnitts auf Anmelden. Der Anmeldeassistent fürden Credential Manager wird aufgerufen.

3. Geben Sie in das Feld Kennwort Ihr Windows-Kennwort ein, und klicken Sie auf Weiter.

Registrieren von AnmeldeinformationenAuf der Seite „My Identity“ (Meine Identität) können Sie Ihre verschiedenen Authentifizierungsmethodenoder Anmeldeinformationen registrieren. Nach der Registrierung können Sie sich mit diesen Methodenbeim Credential Manager anmelden.

Registrieren von FingerabdrückenMit einem Fingerabdruck-Lesegerät können Sie sich bei Windows anmelden, indem Sie ihrenFingerabdruck anstatt eines Windows-Kennworts zur Authentifizierung verwenden.

DEWW Setup 15

Einrichten des Fingerabdruck-Lesegeräts

1. Nachdem Sie sich bei Credential Manager angemeldet haben, wischen Sie mit Ihrem Finger überdas Fingerabdruck-Lesegerät. Der Registrierungsassistent für den Credential Manager wirdaufgerufen.

2. Befolgen Sie die Anleitungen auf dem Bildschirm, um die Registrierung Ihres Fingerabdrucksabzuschließen und das Fingerabdruck-Lesegerät einzurichten.

3. Um das Fingerabdruck-Lesegerät für einen anderen Windows-Benutzer einzurichten, melden Siediesen Benutzer bei Windows an und wiederholen die Schritte 1 und 2.

Verwenden des registrierten Fingerabdrucks zur Anmeldung bei Windows.

1. Starten Sie Windows neu, sobald Sie Ihre Fingerabdrücke registriert haben.

2. Streichen Sie beim Windows-Willkommensbildschirm mit einem Ihrer registrierten Finger, um sichbei Windows anzumelden.

Registrieren einer Java Card, eines USB eToken oder eines virtuellen Token

HINWEIS: Für diese Vorgehensweise benötigen Sie einen konfigurierten Card Reader. WennSie kein Lesegerät installiert haben, können Sie ein virtuelles Token registrieren, wie unter„Erstellen eines virtuellen Token“ auf Seite 18 beschrieben.


2. Klicken Sie im linken Fensterausschnitt auf Credential Manager.

3. Klicken Sie im rechten Fensterausschnitt auf Register Smart Card or Token (SmartCard oderToken registrieren). Der Registrierungsassistent für den Credential Manager wird aufgerufen.


Registrieren eines USB eToken1. Stellen Sie sicher, dass die USB eToken-Treiber installiert sind.

HINWEIS: Weitere Informationen finden Sie im Benutzerhandbuch zum USB eToken.



4. Klicken Sie im rechten Fensterausschnitt auf Register Smart Card or Token (SmartCard oderToken registrieren). Der Registrierungsassistent für den Credential Manager wird aufgerufen.


Registrieren weiterer Anmeldeinformationen1. Wählen Sie Start > Alle Programme > HP ProtectTools Security Manager.



3. Klicken Sie im rechten Fensterausschnitt auf Register Credentials (Anmeldeinformationenregistrieren). Der Registrierungsassistent für den Credential Manager wird aufgerufen.


DEWW Setup 17

Allgemeine AufgabenAlle Benutzer haben Zugriff auf die Seite „My Identity“ (Meine Identität) im Credential Manager. Auf derSeite „My Identity“ (Meine Identität) können Sie die folgenden Aufgaben ausführen:

● Erstellen eines virtuellen Token

● Ändern des Windows-Anmeldekennworts

● Verwalten einer Token-PIN

● Verwalten der Identität

● Sperren des Computers

HINWEIS: Diese Option ist nur dann verfügbar, wenn die klassischeAnmeldeaufforderung des Credential Manager aktiviert ist. Siehe „Beispiel 1 – Verwendender Seite „Erweiterte Einstellungen“, um die Anmeldung bei Windows im CredentialManager zu ermöglichen“ auf Seite 29.

Erstellen eines virtuellen TokenEin virtuelles Token funktioniert im Wesentlichen wie eine Java Card oder ein USB eToken. Das Tokenwird entweder auf der Festplatte des Computers oder in der Registrierungsdatei von Windowsgespeichert. Wenn Sie sich mit einem virtuellen Token anmelden, werden Sie aufgefordert, eineBenutzer-PIN einzugeben, um die Authentifizierung durchzuführen.

So erstellen Sie ein neues virtuelles Token:



3. Klicken Sie im rechten Fensterausschnitt auf Virtual Token (Virtuelles Token). DerRegistrierungsassistent für den Credential Manager wird aufgerufen.

HINWEIS: Wenn es keine Option Virtual Token (Virtuelles Token) gibt, verwenden Siedie Vorgehensweise für „Registrieren weiterer Anmeldeinformationen“ auf Seite 16.


Ändern des Windows-Anmeldekennworts1. Wählen Sie Start > Alle Programme > HP ProtectTools Security Manager.


3. Klicken Sie im rechten Fensterausschnitt auf Change Windows Password (Windows-Kennwortändern).

4. Geben Sie das alte Kennwort in das Feld Altes Kennwort ein.

5. Geben Sie Ihr neues Kennwort in die Felder Neues Kennwort und Kennwort bestätigen ein.

6. Klicken Sie auf Fertig stellen.


Ändern einer Token-PIN1. Wählen Sie Start > Alle Programme > HP ProtectTools Security Manager.


3. Klicken Sie im rechten Fensterausschnitt auf Change Token PIN (Token-PIN ändern).

4. Wählen Sie das Token aus, für das Sie die PIN ändern wollen, und klicken Sie auf Weiter.

5. Befolgen Sie die Anleitungen auf dem Bildschirm, um die Änderung der PIN durchzuführen.

Verwalten der Identität

Entfernen einer Identität aus dem System

HINWEIS: Ihr Windows-Benutzerkonto bleibt von diesem Löschvorgang unberührt.



3. Klicken Sie im rechten Fensterausschnitt auf Clear Identity for this Account (Identität für diesesKonto löschen).

4. Klicken Sie im Bestätigungsdialogfeld auf Ja. Ihre Identität wird abgemeldet und aus dem Systementfernt.

DEWW Allgemeine Aufgaben 19

Sperren des ComputersDiese Funktion ist verfügbar, wenn Sie sich über Credential Manager bei Windows anmelden. SichernSie Ihren Computer während Ihrer Abwesenheit mithilfe der Funktion „Arbeitsstation sperren“. Dadurchverhindern Sie, dass unbefugte Benutzer auf Ihren Computer zugreifen. Nur Sie und die Administratorenauf Ihrem Computer können die Sperre wieder aufheben.

HINWEIS: Diese Option ist nur dann verfügbar, wenn die klassische Anmeldeaufforderung desCredential Manager aktiviert ist. Siehe „Beispiel 1 – Verwenden der Seite „ErweiterteEinstellungen“, um die Anmeldung bei Windows im Credential Manager zu ermöglichen“auf Seite 29.

Ein zusätzliches Maß an Sicherheit erhalten Sie, wenn Sie die Funktion zum Sperren derArbeitsstation so konfigurieren, dass der Schutz des Computers nur mithilfe einer Java Card,eines biometrischen Lesegeräts oder eines Token aufgehoben werden kann. WeitereInformationen finden Sie unter „Konfigurieren der Einstellungen des Credential Manager“auf Seite 29.

So sperren Sie den Computer:



3. Klicken Sie im rechten Fensterausschnitt auf Arbeitsstation sperren. Der Windows-Anmeldebildschirm wird angezeigt. Sie müssen ein Windows-Kennwort oder denAnmeldeassistenten für den Credential Manager verwenden, um den Schutz für den Computeraufzuheben.

Verwenden der Windows-AnmeldungSie können sich im Credential Manager entweder auf einem lokalen Computer oder in einerNetzwerkdomäne bei Windows anmelden. Wenn Sie sich zum ersten Mal beim Credential Manageranmelden, fügt das System automatisch Ihr lokales Windows-Benutzerkonto als Konto für denWindows-Anmeldedienst hinzu.

Anmelden bei Windows mit dem Credential ManagerSie können sich im Credential Manager bei einem Windows-Netzwerk oder einem lokalen Kontoanmelden.

1. Wenn Sie Ihren Fingerabdruck für die Anmeldung bei Windows registriert haben, streichen Sie mitIhrem Finger, um sich anzumelden.

2. Wenn Sie nicht Ihren Fingerabdruck für die Anmeldung bei Windows registriert haben, klicken Siein der oberen linken Ecke des Bildschirms auf das Tastatursymbol neben demFingerabdrucksymbol. Der Anmeldeassistent für den Credential Manager wird aufgerufen.

3. Klicken Sie auf den Pfeil neben Benutzername und anschließend auf Ihren Namen.

4. Geben Sie in das Feld Kennwort Ihr Kennwort ein, und klicken Sie dann auf Weiter.


5. Wählen Sie More > Wizard Options (Mehr > Assistentenoptionen).

a. Wenn Sie möchten, dass dieser Name als Standardanmeldename für die nächste Anmeldungbeim Computer verwendet wird, aktivieren Sie das Kontrollkästchen Use last user name onnext logon (Letzten Benutzernamen bei nächster Anmeldung verwenden).

b. Wenn Sie diese Anmeldemethode als Standard einrichten möchten, aktivieren Sie dieOption Use this policy next time you log on (Diese Methode bei der nächsten Anmeldungverwenden).

6. Folgen Sie den Anleitungen auf dem Bildschirm. Wenn die Authentifizierungsinformationen korrektsind, werden Sie bei Ihrem Windows-Konto und beim Credential Manager angemeldet.

Hinzufügen eines Kontos1. Wählen Sie Start > Alle Programme > HP ProtectTools Security Manager.

2. Wählen Sie im linken Fensterausschnitt die Option Credential Manager und anschließendDienste und Anwendungen.

3. Klicken Sie im rechten Fensterausschnitt auf Windows-Anmeldung, und klicken Sie dann aufAdd a Network Account (Netzwerkkonto hinzufügen). Daraufhin wird der Assistent zumHinzufügen eines Netzwerkkontos geöffnet.


Entfernen eines Kontos1. Wählen Sie Start > Alle Programme > HP ProtectTools Security Manager.


3. Klicken Sie im rechten Fensterausschnitt auf Windows-Anmeldung, und klicken Sie dann aufManage Network Accounts (Netzwerkkonten verwalten). Daraufhin wird das Dialogfeld ManageNetwork Accounts (Netzwerkkonten verwalten) geöffnet.

4. Klicken Sie auf das Konto, das entfernt werden soll, und anschließend auf Entfernen.

5. Klicken Sie im Bestätigungsdialogfeld auf Ja.

6. Klicken Sie auf OK.

Verwenden von Single Sign On (Einmaliges Anmelden)Der Credential Manager besitzt eine Funktion zur einmaligen Anmeldung (Single Sign On, SSO), dieBenutzernamen und Kennwörter für mehrere Internet- und Windows-Programme speichert undautomatisch die Anmeldeinformationen einfügt, wenn Sie auf ein registriertes Programm zugreifen.

HINWEIS: Sicherheit und Datenschutz sind wichtige Funktionen von Single Sign On. SämtlicheAnmeldeinformationen werden verschlüsselt und sind erst nach erfolgreicher Anmeldung beimCredential Manager verfügbar.


HINWEIS: Sie können Single Sign On auch so konfigurieren, dass IhreAuthentifizierungsinformationen vor der Anmeldung bei einer sicheren Website oder Anwendungmithilfe einer Java Card, eines Fingerabdruck-Lesegeräts oder eines Token überprüft werden.Diese Funktion ist besonders nützlich für die Anmeldung bei Programmen oder Websites, diepersönliche Informationen wie Kontonummern enthalten. Weitere Informationen finden Sieunter „Konfigurieren der Einstellungen des Credential Manager“ auf Seite 29.

Registrieren einer neuen AnwendungDer Credential Manager fordert Sie auf, jede Anwendung zu registrieren, die Sie aufrufen, während Siebeim Credential Manager angemeldet sind. Sie können Anwendungen auch manuell registrieren.

Verwenden der automatischen Registrierung

1. Öffnen Sie eine Anwendung, für die Sie sich anmelden müssen.

2. Klicken Sie im Kennwortdialogfeld des Programms oder der Website auf das Credential ManagerSSO-Symbol.

3. Geben Sie Ihr Kennwort für die Anwendung oder Website ein, und klicken Sie dann auf OK. DasDialogfeld Credential Manager Single Sign On (Einmaliges Anmelden bei Credential Manager)wird geöffnet.

4. Klicken Sie auf More (Mehr), und wählen Sie eine der folgenden Optionen:

● Verwenden Sie SSO nicht für diese Website oder Anwendung.

● Fordern Sie zur Auswahl eines Kontos für diese Anwendung auf.

● Geben Sie die Anmeldeinformationen ein, aber senden Sie sie nicht ab.

● Authentifizieren Sie den Benutzer, bevor Sie die Anmeldeinformationen absenden.

● Zeigen Sie die SSO-Verknüpfung für diese Anwendung an.

5. Klicken Sie auf Ja, um die Registrierung durchzuführen.

Verwenden der manuellen Registrierung (Drag & Drop)



3. Klicken Sie im rechten Fensterausschnitt auf Single Sign On (Einmaliges Anmelden) undanschließend auf Register New Application (Neue Anwendung registrieren). Daraufhin wird derSSO-Anwendungsassistent geöffnet.


Verwalten von Anwendungen und Anmeldeinformationen

Ändern der Anwendungseigenschaften




3. Klicken Sie im rechten Fensterausschnitt unter Single Sign On (Einmaliges Anmelden) aufManage Applications and Credentials (Anwendungen und Anmeldeinformationen verwalten).

4. Klicken Sie auf den Eintrag, den Sie ändern möchten, und anschließend auf Eigenschaften.

5. Klicken Sie auf die Registerkarte Allgemein, um den Namen und die Beschreibung derAnwendung zu ändern. Nehmen Sie die gewünschten Änderungen vor, indem Sie die Optionenneben den entsprechenden Einstellungen aktivieren bzw. deaktivieren.

6. Klicken Sie auf die Registerkarte Skript, um das SSO-Anwendungsskript anzuzeigen und zubearbeiten.


Entfernen einer Anwendung aus Single Sign On




4. Klicken Sie auf den Eintrag, den Sie entfernen möchten, und anschließend auf Entfernen.

5. Klicken Sie im Bestätigungsdialogfeld auf Ja.


Exportieren einer Anwendung

Sie können Anwendungen exportieren, um eine Sicherungskopie des SSO-Anwendungsskripts zuerstellen. Diese Datei kann dann zur Wiederherstellung der SSO-Daten verwendet werden. Es handeltsich hierbei um eine Ergänzung der Identitätssicherungsdatei, die nur die Anmeldeinformationenenthält.

So exportieren Sie eine Anwendung:




4. Klicken Sie auf den Eintrag, den Sie exportieren möchten. Klicken Sie dann auf More >Applications > Export Script (Mehr > Anwendungen > Skript exportieren).

5. Befolgen Sie die Anleitungen auf dem Bildschirm, um den Export durchzuführen.


Importieren einer Anwendung





4. Klicken Sie auf den Eintrag, den Sie importieren möchten. Klicken Sie dann auf More >Applications > Export Script (Mehr > Anwendungen > Skript importieren).

5. Befolgen Sie die Anleitungen auf dem Bildschirm, um den Import durchzuführen.


Ändern der Anmeldeinformationen




4. Klicken Sie auf den Eintrag, den Sie ändern möchten, und anschließend auf More (Mehr).

5. Wählen Sie eine der folgenden Optionen:

● Anwendungen

● Neue hinzufügen

● Entfernen

● Eigenschaften

● Import Script (Skript importieren)

● Export Script (Skript exportieren)

● Anmeldeinformationen

● Neu erstellen

● View Password (Kennwort anzeigen)

HINWEIS: Sie müssen Ihre Identität authentifizieren, bevor Sie das Kennwortanzeigen können.



Verwenden des AnwendungsschutzesMit dieser Funktion können Sie den Zugriff auf Anwendungen konfigurieren. Sie können den Zugriff aufder Grundlage folgender Kriterien begrenzen:

● Benutzerkategorie

● Verwendungszeitpunkt

● Benutzerinaktivität


Einschränken des Zugriffs auf eine Anwendung1. Wählen Sie Start > Alle Programme > HP ProtectTools Security Manager.


3. Klicken Sie im rechten Fensterausschnitt unter Application Protection (Anwendungsschutz)auf Manage Protected Applications (Geschützte Anwendungen verwalten). Das DialogfeldApplication Protection Service (Dienst zum Anwendungsschutz) wird geöffnet.

4. Wählen Sie eine Benutzerkategorie, deren Zugriff Sie verwalten möchten.

HINWEIS: Wenn die Kategorie nicht „Jeder“ lautet, müssen Sie unter Umständen dieOption Override default settings (Standardeinstellungen überschreiben) auswählen, umdie Einstellungen für die Kategorie „Jeder“ zu überschreiben.

5. Klicken Sie auf Hinzufügen. Daraufhin wird der Assistent zum Hinzufügen eines Programmsgeöffnet.


Entfernen des Schutzes für eine AnwendungSo entfernen Sie Einschränkungen von einer Anwendung:





HINWEIS: Wenn die Kategorie nicht „Jeder“ lautet, müssen Sie unter Umständen auf dieOption Override default settings (Standardeinstellungen überschreiben) klicken, um dieEinstellungen für die Kategorie „Jeder“ zu überschreiben.

5. Klicken Sie auf den Eintrag, den Sie entfernen möchten, und anschließend auf Entfernen.


Ändern der Einschränkungseinstellungen für eine geschützte Anwendung1. Wählen Sie Start > Alle Programme > HP ProtectTools Security Manager.





HINWEIS: Wenn die Kategorie nicht „Jeder“ lautet, müssen Sie unter Umständen auf dieOption Override default settings (Standardeinstellungen überschreiben) klicken, um dieEinstellungen für die Kategorie „Jeder“ zu überschreiben.

5. Klicken Sie auf die Anwendung, die Sie ändern möchten, und klicken Sie anschließend aufEigenschaften. Das Dialogfeld Eigenschaften für diese Anwendung wird geöffnet.

6. Klicken Sie auf die Registerkarte Allgemein. Wählen Sie eine der folgenden Einstellungen:

● Disabled (Cannot be used) (Deaktiviert (kann nicht verwendet werden))

● Enabled (Can be used without restrictions) (Aktiviert (kann ohne Einschränkung verwendetwerden))

● Restricted (Usage depends on settings) (Eingeschränkt (Verwendung hängt vonEinstellungen ab))

7. Wenn Sie „Eingeschränkt“ wählen, sind die folgenden Einstellungen verfügbar:

a. Wenn Sie die Nutzung nach Uhrzeit, Tag oder Datum einschränken möchten, klicken Sie aufdie Registerkarte Zeitplan, und konfigurieren Sie die Einstellungen.

b. Wenn Sie die Nutzung auf Grundlage der Inaktivität einschränken möchten, klicken Sie aufErweitert, und wählen Sie die Zeitspanne für die Inaktivität.

8. Klicken Sie auf OK, um das Dialogfeld Eigenschaften für die Anwendung zu schließen.



Erweiterte Aufgaben (nur für Administratoren)Die Seiten „Authentication and Credentials“ (Authentifizierung und Anmeldeinformationen) und„Erweiterte Einstellungen“ im Credential Manager stehen nur Benutzern mit Administratorrechten zurVerfügung. Auf der Seite „My Identity“ (Meine Identität) können Sie die folgenden Aufgaben ausführen:

● Festlegen der Anmeldung für Benutzer und Administratoren

● Konfigurieren benutzerdefinierter Authentifizierungsanforderungen

● Konfigurieren der Anmeldeeigenschaften

● Konfigurieren der Einstellungen des Credential Manager

Festlegen der Anmeldung für Benutzer und AdministratorenAuf der Seite „Authentication and Credentials“ (Authentifizierung und Anmeldeinformationen) könnenSie die Art oder Kombination der Anmeldeinformationen für Benutzer oder Administratoren festlegen.

So legen Sie die Anmeldung für Benutzer und Administratoren fest:


2. Klicken Sie im linken Fensterausschnitt auf Credential Manager und anschließend aufAuthentication and Credentials (Authentifizierung und Anmeldeinformationen).

3. Klicken Sie im rechten Fensterausschnitt auf die Registerkarte Authentifizierung.

4. Klicken Sie in der Kategorieliste auf die gewünschte Kategorie (Benutzer oderAdministratoren).

5. Klicken Sie in der Liste auf die Art oder Kombination der zu verwendendenAuthentifizierungsmethoden.

6. Klicken Sie auf Übernehmen und dann auf OK.

DEWW Erweiterte Aufgaben (nur für Administratoren) 27

Konfigurieren benutzerdefinierter AuthentifizierungsanforderungenWenn die gewünschten Authentifizierungsinformationen nicht auf der Registerkarte „Authentifizierung“auf der Seite „Authentication and Credentials“ (Authentifizierung und Anmeldeinformationen) aufgeführtsind, können Sie benutzerdefinierte Anforderungen erstellen.

So konfigurieren Sie benutzerdefinierte Anforderungen:



3. Klicken Sie im rechten Fensterausschnitt auf die Registerkarte Authentifizierung.

4. Klicken Sie in der Kategorieliste auf die gewünschte Kategorie (Benutzer oderAdministratoren.

5. Klicken Sie in der Liste der Authentifizierungsmethoden auf Benutzerdefiniert.

6. Klicken Sie auf Konfigurieren.

7. Wählen Sie die zu verwendenden Authentifizierungsmethoden.

8. Legen Sie die Kombination der Methoden fest, indem Sie auf eine der folgenden Optionen klicken:

● Verwenden Sie AND, um die Authentifizierungsmethoden zu kombinieren.

(Die Benutzer müssen sich bei jeder Anmeldung mit allen ausgewählten Methodenauthentifizieren.)

● Verwenden Sie OR, um zwei oder mehr Authentifizierungsmethoden anzufordern.

(Die Benutzer können bei jeder Anmeldung wählen, mit welcher der ausgewählten Methodensie sich authentifizieren.)



Konfigurieren der AnmeldeeigenschaftenAuf der Registerkarte „Anmeldeinformationen“ auf der Seite „Authentication andCredentials“ (Authentifizierung und Anmeldeinformationen) können Sie die Liste der verfügbarenAuthentifizierungsmethoden anzeigen und die Einstellungen ändern.

So konfigurieren Sie die Anmeldeinformationen:



3. Klicken Sie im rechten Fensterausschnitt auf die Registerkarte Anmeldeinformationen.


4. Klicken Sie auf die Anmeldeart, die Sie ändern möchten. Sie haben dabei die folgenden Optionen:

● Klicken Sie auf Registrieren, um die Anmeldeinformationen zu registrieren, und befolgen Sieanschließend die Anleitungen auf dem Bildschirm.

● Klicken Sie auf Löschen und anschließend im Bestätigungsdialogfeld auf Ja, um dieAnmeldeinformationen zu löschen.

● Klicken Sie auf Eigenschaften, um die Anmeldeeigenschaften zu ändern, und befolgen Sieanschließend die Anleitungen auf dem Bildschirm.


Konfigurieren der Einstellungen des Credential ManagerAuf der Seite „Erweiterte Einstellungen“ haben Sie Zugriff auf verschiedene Einstellungen, die Sie überdie folgenden Registerkarten ändern können:

● Allgemein – Hier können Sie die Einstellungen für die Grundkonfiguration ändern.

● Single Sign On – Hier können Sie die Einstellungen von Single Sign On für den aktuellen Benutzerändern, z. B. Behandlung bei der Erkennung von Anmeldebildschirmen, automatische Anmeldungbei registrierten Anmeldedialogfeldern und Anzeige von Kennwörtern.

● Dienste und Anwendungen – Hier können Sie die verfügbaren Dienste anzeigen und derenEinstellungen ändern.

● Sicherheit – Hier können Sie die Software für das Fingerabdruck-Lesegerät auswählen und seineSicherheitsstufe anpassen.

● Smart Cards and Tokens (Smart Cards und Tokens) – Hier können Sie die Eigenschaften allerverfügbaren Java Cards und Tokens anzeigen und ändern.

So ändern Sie die Einstellungen des Credential Manager:


2. Klicken Sie im linken Fensterausschnitt auf Credential Manager und dann auf Einstellungen.

3. Klicken Sie im rechten Fensterausschnitt auf die entsprechende Registerkarte für dieEinstellungen, die Sie ändern möchten.

4. Befolgen Sie die Anleitungen auf dem Bildschirm, um die Einstellungen zu ändern.


Beispiel 1 – Verwenden der Seite „Erweiterte Einstellungen“, um die Anmeldung beiWindows im Credential Manager zu ermöglichen



3. Klicken Sie im rechten Fensterausschnitt auf die Registerkarte Allgemein.

4. Aktivieren Sie unter Select the way users log on to Windows (requires restart) (Art derBenutzeranmeldung bei Windows wählen (Neustart erforderlich)) das Kontrollkästchen UseCredential Manager with classic logon prompt (Credential Manager mit klassischerAnmeldeaufforderung verwenden).



6. Starten Sie den Computer neu.

HINWEIS: Durch Aktivieren des Kontrollkästchens Use Credential Manager with classiclogon prompt (Credential Manager mit klassischer Anmeldeaufforderung verwenden) könnenSie Ihren Computer sperren. Siehe „Sperren des Computers“ auf Seite 20.


Beispiel 2 – Verwenden der Seite „Erweiterte Einstellungen“, um vor der einmaligenAnmeldung eine Benutzerüberprüfung durchzuführen



3. Klicken Sie im rechten Fensterausschnitt auf die Registerkarte Single Sign On.

4. Aktivieren Sie unter When registered logon dialog or Web page is visited (Bei Aufruf desregistrierten Anmeldedialogfelds oder der registrierten Webseite) die Option Validate user beforesubmitting credentials (Benutzer vor Senden der Anmeldeinformationen authentifizieren).


6. Starten Sie den Computer neu.



3 Embedded Security for HPProtectTools

HINWEIS: Der integrierte TPM-Sicherheits-Chip (Trusted Platform Module) muss im Computerinstalliert sein, um Embedded Security for HP ProtectTools zu verwenden.

Embedded Security for HP ProtectTools schützt vor unberechtigtem Zugriff auf Benutzerdaten oderBerechtigungen. Dieses Softwaremodul enthält folgende Sicherheitsfunktionen:

● Enhanced Microsoft® Encryption File System (EFS)-Datei und Ordnerverschlüsselung

● Erstellen eines PSD (Personal Secure Drive, Persönliches Sicherheitslaufwerk) zum Schutz derBenutzerdaten

● Datenverwaltungsfunktionen, wie Sichern und Wiederherstellen der Haupthierarchie

● Unterstützung für Anwendungen von Fremdherstellern (wie Microsoft Outlook und InternetExplorer) für geschützte digitale Zertifikatoperationen bei der Verwendung der Embedded SecuritySoftware

Der integrierte TMP-Sicherheits-Chip erweitert und aktiviert andere Sicherheitsfunktionen des HPProtectTools Security Manager. Beispielsweise wird der integrierte Chip von Credential Manager for HPProtectTools für die Authentifizierung von Benutzern verwendet, die sich bei Windows anmelden. Beiausgewählten Modellen aktiviert der integrierte TPM-Sicherheits-Chip auch die erweiterten BIOS-Sicherheitsfunktionen, die über BIOS Configuration for HP ProtectTools aufgerufen werden können.

DEWW 33

SetupACHTUNG: Es wird dringend empfohlen, dass der IT-Administrator den integriertenSicherheits-Chip unverzüglich initialisiert, um das Sicherheitsrisiko zu verringern. Andernfallskann ein unberechtigter Benutzer, ein Computerwurm oder ein Virus den Computer übernehmenund Eigentümeraufgaben, wie Verwalten des Archivs für Notfallwiederherstellung undKonfigurieren der Benutzerzugriffseinstellungen, ausführen.

Führen Sie die in den folgenden beiden Abschnitten aufgeführten Schritte aus, und initialisieren Sie denintegrierten Sicherheits-Chip.

Aktivieren des integrierten Sicherheits-ChipsDer Embedded Security-Chip muss im Computer Setup Utility aktiviert werden. Dieser Vorgang kannnicht in BIOS Configuration for HP ProtectTools ausgeführt werden.

So aktivieren Sie den integrierten Sicherheits-Chip:

1. Öffnen Sie Computer Setup, indem Sie den Computer einschalten oder neu starten und dieTaste f10 drücken, während die Meldung „f10 = ROM Based Setup“ unten links auf dem Bildschirmangezeigt wird.

2. Wenn Sie noch kein Administratorkennwort eingerichtet haben, wählen Sie mit den PfeiltastenSicherheit > Setup password (Kennwort einrichten), und drücken Sie die Eingabetaste.

3. Geben Sie ein Kennwort in die Felder Neues Kennwort und Neues Kennwort bestätigen ein,und drücken Sie anschließend f10.

4. Wählen Sie im Menü Sicherheit mit den Pfeiltasten TPM Embedded Security aus, und drückenSie die Eingabetaste.

5. Wählen Sie unter Embedded Security die Option Verfügbar aus, wenn das Gerät ausgeblendetist.

6. Wählen Sie Embedded security device state (Gerätestatus für Embedded Security), und ändernSie die Option in Aktivieren.

7. Drücken Sie f10, um die Änderungen an der Embedded Security-Konfiguration zu akzeptieren.

8. Um die Einstellungen zu speichern und Computer Setup zu verlassen, wählen Sie mithilfe derPfeiltasten Datei > Änderungen speichern und beenden. Folgen Sie anschließend denAnleitungen auf dem Bildschirm.

34 Kapitel 3 Embedded Security for HP ProtectTools DEWW

Initialisieren des integrierten Sicherheits-ChipsWährend des Initialisierungsvorgangs für Embedded Security führen Sie Folgendes aus:

● Richten Sie ein Eigentümerkennwort für den integrierten Sicherheits-Chip ein, um den Zugriff aufalle Eigentümerfunktionen auf dem integrierten Sicherheits-Chip zu schützen.

● Richten Sie das Archiv für die Notfallwiederherstellung ein. Hierbei handelt es sich um einengeschützten Speicherbereich, der die erneute Verschlüsselung der allgemeinenBenutzerschlüssel für alle Benutzer ermöglicht.

So initialisieren Sie den integrierten Sicherheits-Chip:

1. Klicken Sie mit der rechten Maustaste auf das Symbol „HP ProtectTools Security Manager“ imInfobereich (außen rechts in der Taskleiste), und wählen Sie dann Embedded SecurityInitialization (Embedded Security-Initialisierung).

Der Assistent für die Initialisierung der HP ProtectTools Embedded Security wird geöffnet.


DEWW Setup 35

Einrichten von allgemeinen BenutzerkontenDie Einrichtung eines allgemeinen Benutzerkontos in Embedded Security führt Folgendes aus:

● Erstellt einen allgemeinen Benutzerschlüssel, der die verschlüsselten Informationen schützt, undrichtet ein Kennwort für den allgemeinen Benutzerschlüssel ein, um diesen zu schützen.

● Richtet ein PSD (Personal Secure Drive, persönliches Sicherheitslaufwerk) zum Speichernverschlüsselter Dateien und Ordner ein.

ACHTUNG: Bewahren Sie das Kennwort für den allgemeinen Benutzerschlüssel sorgfältig auf.Der Zugriff auf oder die Wiederherstellung von verschlüsselten Informationen ist ohne diesesKennwort nicht möglich.

So richten Sie ein allgemeines Benutzerkonto ein und aktivieren die Sicherheitsfunktionen für denBenutzer:

1. Wenn der Assistent für die Benutzerinitialisierung der Embedded Security nicht geöffnet ist, wählenSie Start > Alle Programme > HP ProtectTools Security Manager.

2. Klicken Sie im linken Fensterausschnitt auf Embedded Security und dann aufBenutzereinstellungen.

3. Klicken Sie im rechten Fensterausschnitt unter Embedded Security Features (EmbeddedSecurity-Funktionen) auf Konfigurieren.

Der Assistent für die Benutzerinitialisierung der Embedded Security wird geöffnet.


HINWEIS: Um die E-Mail sicher zu verwenden, müssen Sie zuerst den E-Mail-Client sokonfigurieren, dass ein digitales Zertifikat, das mit Embedded Security erstellt wurde,verwendet wird. Wenn kein digitales Zertifikat verfügbar ist, müssen Sie ein digitalesZertifikat von der Zertifizierungsstelle anfordern. Anleitungen zum Konfigurieren der E-Mailund Anfordern eines digitalen Zertifikats finden Sie in der Online-Hilfe des E-Mail-Clients.


Allgemeine AufgabenNachdem das allgemeine Benutzerkonto eingerichtet wurde, können Sie folgende Aufgaben ausführen:

● Verschlüsseln von Dateien und Ordnern

● Senden und Empfangen verschlüsselter E-Mails

PSD (Personal Secure Drive, Persönliches Sicherheitslaufwerk)Nachdem Sie das PSD eingerichtet haben, werden Sie aufgefordert, das Kennwort für den allgemeinenBenutzerschlüssel bei der nächsten Anmeldung einzugeben. Wenn Sie das Kennwort für denallgemeinen Benutzerschlüssel richtig eingegeben haben, können Sie im Windows Explorer direkt aufdas PSD zugreifen.

Verschlüsseln von Dateien und OrdnernBeachten Sie bei der Arbeit mit verschlüsselten Dateien die folgenden Regeln:

● Sie können nur Dateien und Ordner in NTFS-Partitionen verschlüsseln. Dateien und Ordner inFAT-Partitionen können nicht verschlüsselt werden.

● Systemdateien und komprimierte Dateien können nicht verschlüsselt werden. VerschlüsselteDateien können nicht komprimiert werden.

● Temporäre Ordner müssen verschlüsselt werden, weil sich Hacker für diese interessieren.

● Wenn Sie eine Datei oder einen Ordner erstmals verschlüsseln, wird automatisch eine Richtliniefür die Wiederherstellung eingerichtet. Diese Richtlinie gewährleistet, dass Sie bei Verlust derVerschlüsselungszertifikate und privaten Schlüssel einen Wiederherstellungs-Agent zumEntschlüsseln Ihrer Informationen verwenden können.

So verschlüsseln Sie Dateien und Ordner:

1. Klicken Sie mit der rechten Maustaste auf die Datei oder den Ordner, die bzw. den Sieverschlüsseln möchten.

2. Klicken Sie auf Verschlüsseln.

3. Klicken Sie auf eine der folgenden Optionen:

● Änderungen nur für diesen Ordner übernehmen.

● Änderungen für diesen Ordner, untergeordnete Ordner und Dateien übernehmen.


Senden und Empfangen verschlüsselter E-MailsEmbedded Security ermöglicht Ihnen, verschlüsselte E-Mails zu senden und zu empfangen. DieVerfahrensweise hängt jedoch vom Programm ab, das Sie für den Zugriff auf E-Mails verwenden.Weitere Informationen hierzu finden Sie in der Online-Hilfe zu Embedded Security und der Online-Hilfezu Ihrem E-Mail-Programm.


Ändern des Kennworts für den allgemeinen BenutzerschlüsselSo ändern Sie das Kennwort für den allgemeinen Benutzerschlüssel:


2. Klicken Sie im linken Fensterausschnitt auf Embedded Security und dann aufBenutzereinstellungen.

3. Klicken Sie im rechten Fensterausschnitt unter Basic User Key password (Kennwort fürallgemeinen Benutzerschlüssel) auf Ändern.

4. Geben Sie zuerst das alte Kennwort ein. Geben Sie dann das neue Kennwort ein, und bestätigenSie das neue Kennwort.



Erweiterte AufgabenSichern und Wiederherstellen

Mit der Sicherungsfunktion von Embedded Security erstellen Sie ein Archiv, dasZertifizierungsinformationen enthält, die bei einem Notfall wiederhergestellt werden.

Erstellen einer SicherungsdateiSo erstellen Sie eine Sicherungsdatei:


2. Klicken Sie im linken Fensterausschnitt auf Embedded Security und dann auf Sicherung.

3. Klicken Sie im rechten Fensterausschnitt auf Sicherung. Der HP Embedded Security forProtectTools Backup-Assistent wird geöffnet.


Wiederherstellen von Daten aus der SicherungsdateiSo stellen Sie die Daten aus der Sicherungsdatei wieder her:


2. Klicken Sie im linken Fensterausschnitt auf Embedded Security und dann auf Sicherung.

3. Klicken Sie im rechten Fensterausschnitt auf Wiederherstellen. Der HP Embedded Security forProtectTools Backup-Assistent wird geöffnet.


DEWW Erweiterte Aufgaben 39

Ändern des EigentümerkennwortsSo ändern Sie das Eigentümerkennwort:


2. Klicken Sie im linken Fensterausschnitt auf Embedded Security und dann auf Erweitert.

3. Klicken Sie im rechten Fensterausschnitt unter Owner Password (Besitzerkennwort) aufÄndern.

4. Geben Sie zuerst das alte Eigentümerkennwort ein. Geben Sie dann das neueEigentümerkennwort ein, und bestätigen Sie das neue Kennwort.


Erneutes Einrichten eines BenutzerkennwortsEin Administrator kann einem Benutzer helfen, ein vergessenes Kennwort erneut einzurichten. WeitereInformationen hierzu finden Sie in der Online-Hilfe.

Aktivieren und Deaktivieren von Embedded SecuritySie können die Embedded Security-Funktionen deaktivieren, wenn Sie ohne die Sicherheitsfunktionenarbeiten möchten.

Sie können die Embedded Security-Funktionen auf 2 verschiedenen Stufen aktivieren oderdeaktivieren:

● Temporary disabling (Vorübergehend deaktivieren) – Mit dieser Option wird Embedded Securityautomatisch reaktiviert, sobald Sie Windows erneut starten. Diese Option steht standardmäßigallen Benutzern zur Verfügung.

● Permanent disabling (Permanent deaktivieren) – Mit dieser Option wird Embedded Security erstreaktiviert, nachdem Sie das Eigentümerkennwort eingegeben haben. Diese Option steht nur denAdministratoren zur Verfügung.

Permanentes Deaktivieren von Embedded SecuritySo deaktivieren Sie Embedded Security permanent:



3. Klicken Sie im rechten Fensterausschnitt unter Embedded Security auf Deaktivieren.

4. Geben Sie an der Eingabeaufforderung das Eigentümerkennwort ein, und klicken Sie dann aufOK.

Aktivieren von Embedded Security nach der permanenten DeaktivierungSo aktivieren Sie Embedded Security nach der permanenten Deaktivierung:




3. Klicken Sie im rechten Fensterausschnitt unter Embedded Security auf Aktivieren.

4. Geben Sie an der Eingabeaufforderung das Eigentümerkennwort ein, und klicken Sie dann aufOK.


Migrieren von Schlüsseln mithilfe des MigrationsassistentenBei der Migration handelt es sich um eine erweiterte Administratoraufgabe. Sie ermöglicht dasVerwalten, Wiederherstellen und Übertragen von Schlüsseln und Zertifikaten.

Weitere Informationen zur Migration erhalten Sie in der Online-Hilfe zu Embedded Security.


4 Java Card Security for HP ProtectTools

Mit Java Card Security for HP ProtectTools verwalten Sie das Java Card-Setup und die Konfigurationfür Computer mit einem optionalen Card Reader.

Mit Java Card Security können Sie die folgenden Aufgaben ausführen:

● Zugriff auf Java Card-Sicherheitsfunktionen

● Aktivieren der Unterstützung für die Java Card-Authentifizierung beim Systemstart mit Hilfe vonComputer Setup Utility

● Konfigurieren separater Java Cards für Administrator und Benutzer; damit das Betriebssystemgeladen werden kann, muss der Benutzer die Java Card einlegen und eine PIN eingeben.

● Einstellen und Ändern der PIN zur Authentifizierung von Benutzern der Java Card

DEWW 43

Allgemeine AufgabenAuf der Seite „Allgemein“ können Sie folgende Aufgaben ausführen:

● Ändern der Java Card-PIN

● Auswählen des Card Readers

HINWEIS: Der Card Reader kann sowohl für Java Cards als auch für Smart Cardsverwendet werden. Diese Funktion steht zur Verfügung, wenn mehrere Lesegeräte an denComputer angeschlossen sind.

Ändern der Java Card-PINSo ändern Sie die Java Card-PIN:

HINWEIS: Die Java Card-PIN muss zwischen 4 und 8 numerische Zeichen enthalten.


2. Klicken Sie im linken Fensterausschnitt auf Java Card Security (Java Card-Sicherheit) und dannauf Allgemein.

3. Legen Sie eine Java Card (mit einer vorhandenen PIN) in den Card Reader ein.

4. Klicken Sie im rechten Fensterausschnitt auf Ändern.

5. Geben Sie im Dialogfeld PIN ändern die aktuelle PIN in das Dialogfeld Current PIN (Aktuelle PIN)ein.

6. Geben Sie eine neue PIN in das Feld Neue PIN ein, und bestätigen Sie die PIN im Feld Neue Pinbestätigen.


Auswählen des Card ReadersVergewissern Sie sich, dass in Java Card Security der richtige Card Reader ausgewählt wurde, bevorSie die Java Card verwenden. Wenn das falsche Lesegerät ausgewählt wurde, stehen einigeFunktionen möglicherweise nicht zur Verfügung oder werden falsch angezeigt. Außerdem müssen dieTreiber für das Lesegerät korrekt installiert worden sein. Dies kann im Windows Geräte-Managerüberprüft werden.

So wählen Sie den Card Reader aus:


2. Klicken Sie im linken Fensterausschnitt auf Java Card Security (Java Card-Sicherheit) und dannauf Allgemein.

3. Legen Sie die Java Card in den Card Reader ein.

4. Klicken Sie im rechten Fensterausschnitt unter Selected Card Reader (Ausgewählter CardReader) auf das richtige Lesegerät.

44 Kapitel 4 Java Card Security for HP ProtectTools DEWW

Erweiterte Aufgaben (nur für Administratoren)Auf der Seite „Erweitert“ können Sie folgende Aufgaben ausführen:

● Zuordnen einer Java Card-PIN;

● Zuordnen eines Namens zu einer Java Card-PIN;

● Einrichten der Authentifizierung beim Systemstart;

● Sichern und Wiederherstellen der Java Cards.

HINWEIS: Zur Anzeige der Seite „Advanced“ müssen Sie über Windows-Administratorrechteverfügen.

Zuordnen einer Java Card-PINSie müssen einer Java Card eine PIN zuordnen, bevor Sie die Java Card für die Authentifizierung beimSystemstart verwenden können.

So ordnen Sie einer Java Card eine PIN zu:

HINWEIS: Die Java Card-PIN muss zwischen 4 und 8 numerische Zeichen enthalten.


2. Klicken Sie im linken Fensterausschnitt auf Java Card Security (Java Card-Sicherheit) und dannauf Erweitert.

3. Legen Sie eine neue Java Card in den Card Reader ein.

4. Wenn das Dialogfeld Neue Karte angezeigt wird, geben Sie einen neuen Namen in das Feld NeuerAnzeigename ein. Geben Sie anschließend in das Feld Neue PIN eine neue PIN ein, undbestätigen Sie die Eingabe in Neue PIN bestätigen.



Zuordnen eines Namens zu einer Java Card-PINSie müssen einer Java Card einen Namen zuordnen, bevor Sie die Java Card für die Authentifizierungbeim Systemstart verwenden können.

So ordnen Sie einer Java Card einen Namen zu:



3. Legen Sie die Java Card in das Karten-Lesegerät ein.

HINWEIS: Wenn Sie dieser Karte keine PIN zugeordnet haben, wird das Dialogfeld NeueKarte angezeigt, in das Sie einen neuen Namen und eine neue PIN eingeben können.

4. Klicken Sie im rechten Fensterausschnitt unter Anzeigename auf Ändern.

5. Geben Sie einen Namen für die Java Card in das Feld Name ein.

6. Geben Sie die aktuelle Java Card-PIN in das Feld PIN ein.


Einrichten der Authentifizierung beim SystemstartWenn die Authentifizierung beim Systemstart aktiviert ist, benötigen Sie eine Java Card, um denComputer zu starten.

Für das Aktivieren der Authentifizierung beim Systemstart müssen Sie folgende Schritte ausführen:

1. Aktivieren Sie die Unterstützung für die Java Card-Authentifizierung beim Systemstart in BIOSConfiguration oder Computer Setup. Weitere Informationen finden Sie unter „Aktivieren undDeaktivieren der Unterstützung für die Smart Card-Authentifizierung beim Systemstart“auf Seite 53.

2. Aktivieren Sie die Java Card-Authentifizierung beim Systemstart in Java Card Security.

3. Erstellen und aktivieren Sie die Administrator-Java Card.


Aktivieren der Java Card-Authentifizierung beim Systemstart und Erstellen derAdministrator-Java Card

So aktivieren Sie die Java Card-Authentifizierung beim Systemstart:



3. Legen Sie die Java Card in das Karten-Lesegerät ein.

HINWEIS: Wenn Sie dieser Karte keinen Namen und keine PIN zugeordnet haben, wirddas Dialogfeld Neue Karte angezeigt, in das Sie einen neuen Namen und eine neue PINeingeben können.

4. Aktivieren Sie im rechten Fensterausschnitt unter Power-on authentication (Authentifizierungbeim Systemstart) das Kontrollkästchen Aktivieren.

5. Geben Sie das Kennwort für Computer Setup in das Dialogfeld Computer Setup Kennwort ein.Klicken Sie anschließend auf OK.

6. Wenn Sie DriveLock nicht aktiviert haben, geben Sie die Java Card-PIN ein. Klicken Sieanschließend auf OK.

– ODER –

Wenn DriveLock aktiviert ist:

a. Klicken Sie auf Eindeutige Java Card-Identität festlegen.

– ODER –

Klicken Sie auf Java Card-Identität an DriveLock Kennwort angleichen.

HINWEIS: Wenn DriveLock auf dem Computer aktiviert ist, können Sie die JavaCard-Identität mit dem DriveLock Benutzerkennwort gleichsetzen. Somit können SieDriveLock und die Java Card nur mit der Java Card validieren, wenn Sie den Computerstarten.

b. Falls zutreffend, geben Sie das Benutzerkennwort für DriveLock in das Feld DriveLockPassword (DriveLock Kennwort) ein. Geben Sie es anschließend erneut in das FeldKennwort bestätigen ein.

c. Geben Sie die Java Card-PIN ein.

d. Klicken Sie auf OK.

7. Wenn Sie zum Erstellen einer Wiederherstellungsdatei aufgefordert werden, klicken Sie aufAbbrechen, falls Sie die Wiederherstellungsdatei zu einem späteren Zeitpunkt erstellen möchten.Alternativ klicken Sie auf OK und befolgen die Bildschirmanweisungen des HP ProtectToolsBackup-Assistenten, um die Datei jetzt zu erstellen.

HINWEIS: Weitere Informationen finden Sie unter „HP ProtectTools Backup andRestore“ auf Seite 10.


Erstellen einer Java Card-PIN

HINWEIS: Um eine Benutzer-Java Card zu erstellen, müssen die Authentifizierung beimSystemstart und eine Administratorkarte eingerichtet sein.

So erstellen Sie eine Java Card:



3. Legen Sie eine Java Card ein, die als Benutzerkarte verwendet wird.

4. Klicken Sie im rechten Fensterausschnitt unter Power-on authentication (Authentifizierung beimSystemstart) auf Erstellen neben User card identity (Benutzerkarten-ID).

5. Geben Sie eine PIN für die Benutzer-Java Card ein, und klicken Sie auf OK.

Deaktivieren der Java Card-Authentifizierung beim SystemstartWenn Sie die Java Card-Authentifizierung beim Systemstart deaktivieren, benötigen Sie keine JavaCard, um den Computer zu starten.



3. Legen Sie die Administrator-Java Card ein.

4. Deaktivieren Sie im rechten Fensterausschnitt unter Power-on authentication (Authentifizierungbeim Systemstart) das Kontrollkästchen Aktivieren.

5. Geben Sie eine PIN für die Java Card ein, und klicken Sie auf OK.


5 BIOS Configuration for HPProtectTools

BIOS Configuration for HP ProtectTools bietet Zugriff auf die Sicherheits- undKonfigurationseinstellungen des Computer Setup Utility. Die Benutzer können so komfortabel inWindows auf die Systemsicherheitsfunktionen zugreifen, die vom Computer Setup verwaltet werden.

Mit BIO Configuration können Sie die folgenden Aufgaben ausführen:

● Windows Systemstart-Kennwörter und Administratorkennwörter verwalten.

● Sonstige Authentifizierungsfunktionen für den Systemstart konfigurieren, z. B. Aktivieren derEmbedded Security-Authentifizierung.

● Hardwarefunktionen aktivieren und deaktivieren, z. B. Booten von CD-ROM oder verschiedeneHardwareanschlüsse.

● Bootoptionen konfigurieren, z. B. Aktivieren von MultiBoot und Ändern der Bootreihenfolge.

HINWEIS: Viele der Funktionen in BIOS Configuration for HP ProtectTools stehen darüberhinaus in Computer Setup zur Verfügung.

DEWW 49

Allgemeine AufgabenMit BIOS Configuration können Sie verschiedene Computereinstellungen verwalten, auf die Sieansonsten nur durch Drücken der Taste f10 während des Starts und Aufrufen des Computer Setupzugreifen könnten.

Verwalten von BootoptionenMit BIOS Configuration verwalten Sie verschiedene Einstellungen für Aufgaben, die beim Einschaltenoder Neustart des Computers ausgeführt werden.

So verwalten Sie Bootoptionen:


2. Klicken Sie im linken Fensterausschnitt auf BIOS Configuration (BIOS-Konfiguration).

3. Geben Sie Ihr Administratorkennwort für Computer Setup an der Eingabeaufforderung für dasBIOS-Administratorkennwort ein, und klicken Sie anschließend auf OK.

HINWEIS: Die Eingabeaufforderung für das BIOS-Administratorkennwort wird nurangezeigt, wenn bereits ein Kennwort für Computer Setup eingerichtet wurde. NähereInformationen zur Einrichtung des Kennworts für Computer Setup finden Sie unter„Einrichten des Setup-Kennworts“ auf Seite 56.

4. Klicken Sie im linken Fensterausschnitt auf Systemkonfiguration.

5. Wählen Sie im rechten Fensterausschnitt die Verzögerungen (in Sekunden) für f9, f10 und f12sowie die Verzögerung für Express-Boot-Popup (Sek.).

6. Aktivieren bzw. deaktivieren Sie MultiBoot.

7. Legen Sie bei aktiviertem MultiBoot die Bootreihenfolge fest, indem Sie ein Bootgerät auswählenund anschließend auf den Pfeil nach oben bzw. nach unten klicken, um die Position desbetreffenden Geräts in der Liste anzupassen.

8. Klicken Sie im HP ProtectTools Fenster auf Übernehmen und anschließend auf OK.

50 Kapitel 5 BIOS Configuration for HP ProtectTools DEWW

Aktivieren und Deaktivieren von Systemkonfigurationsoptionen

HINWEIS: Möglicherweise werden nicht alle der nachstehend aufgeführten Optionen vonIhrem Computer unterstützt.

So aktivieren bzw. deaktivieren Sie Geräte oder Sicherheitsoptionen:




4. Klicken Sie im linken Fensterausschnitt auf Systemkonfiguration, und aktivieren bzw.deaktivieren Sie eine Systemkonfigurationsoption, oder konfigurieren Sie eine der folgendenSystemkonfigurationsoptionen im rechten Fensterausschnitt:

● Anschlussoptionen

● Serial Port (Serieller Anschluss)

● Infrared Port (Infrarot-Anschluss)

● Parallel Port (Paralleler Anschluss)

● SD Slot (SD-Steckplatz)

● USB Port (USB-Anschluss)

● 1394 Port (1394-Anschluss)

● Cardbus Slot (Cardbus-Steckplatz)

● ExpressCard-Steckplatz

● Boot-Optionen

● f9, f10, and f12 Delay (Sec) (Verzögerung für f9, f10 und f12 in Sek.)

● MultiBoot

● Verzögerung für Express-Boot-Popup (Sek.)

● CD-ROM Boot (Booten von CD-ROM)

● Floppy Boot (Booten von Diskette)

● Internal Network Adapter Boot (Booten von internem Netzwerkadapter)

● Internal Network Adapter Boot Mode (PXE or RPL) (Bootmodus des internemNetzwerkadapters: PXE oder RPL)

● Bootreihenfolge

● Device configurations (Gerätekonfigurationen)

● NumLock at Boot (num-Taste beim Start)

● Swapping fn/ctrl Keys (fn-/strg-Tasten vertauschen)


● Multiple Pointing Devices (Mehrere Zeigegeräte)

● USB Legacy Support (USB, betriebssystemunabhängige Unterstützung)

● Parallel port mode (standard, bidirectional, EPP, or ECP) (Paralleler Anschlussmodus:Standard, bidirektional, EPP oder ECP)

● Data Execution Prevention (Datenausführungsverhinderung, DEP)

● SATA Native Mode (Betriebssystemunabhängiger SATA-Modus)

● Dual Core CPU (Prozessor mit zwei Kernen)

● Automatic Intel® SpeedStep Functionality Support (Unterstützung der automatischenIntel® SpeedStep-Funktion)

● Fan Always on While on AC Power (Ständiger Lüfterbetrieb bei Netzstromversorgung)

● BIOS DMA Data Transfers (BIOS-DMA-Datenübertragungen)

● Intel or AMD PSAE Execution Disable (Intel oder AMD PSA-Ausführung deaktivieren)

● Optionen für integrierte Geräte

● Integriertes Funk-WLAN-Gerät

● Embedded WWAN Device Radio (Integriertes Funk-WWAN-Gerät)

● Embedded Bluetooth® Device Radio (Integriertes Bluetooth®-Funkgerät)

● LAN/WLAN Switching (LAN-/WLAN-Umschaltung)

● Wake on LAN from Off (Wake-on-LAN aus ausgeschaltetem Zustand heraus)

5. Klicken Sie im HP ProtectTools-Fenster auf Übernehmen und anschließend auf OK, um dieÄnderungen zu speichern, und beenden Sie das Programm.


Erweiterte AufgabenVerwalten der Einstellungen für die HP ProtectTools Zusatzmodule

Einige der Funktionen des HP ProtectTools Security Manager können in BIOS Configuration (BIOS-Konfiguration) verwaltet werden.

Aktivieren und Deaktivieren der Unterstützung für die Smart Card-Authentifizierungbeim Systemstart

Nach dem Aktivieren dieser Option können Sie eine Smart Card für die Benutzerauthentifizierung beimSystemstart verwenden.

HINWEIS: Zur uneingeschränkten Aktivierung der Authentifizierung beim Systemstart müssenSie darüber hinaus mit dem Modul Java Card Security for HP ProtectTools eine Smart Cardkonfigurieren.

So aktivieren Sie die Unterstützung für die Smart Card-Authentifizierung beim Systemstart:




4. Klicken Sie im linken Fensterausschnitt auf Sicherheit.

5. Klicken Sie unter Smart Card Security (Smart Card-Sicherheit) auf die Option Aktivieren.

HINWEIS: Um die Unterstützung für die Smart Card-Authentifizierung beim Systemstartzu deaktivieren, klicken Sie auf Deaktivieren.



Aktivieren und Deaktivieren der Unterstützung für die Authentifizierung beimSystemstart für Embedded Security

Nach dem Aktivieren dieser Option kann das System den integrierten Sicherheits-Chip (TPM) (fallsvorhanden) für die Benutzerauthentifizierung beim Systemstart verwenden.

HINWEIS: Zur uneingeschränkten Aktivierung der Authentifizierung beim Systemstart müssenSie darüber hinaus den integrierten Sicherheits-Chip (TPM) mit Embedded Security for HPProtectTools konfigurieren.

So aktivieren Sie die Unterstützung für die Authentifizierung beim Systemstart für Embedded Security:





5. Klicken Sie unter Embedded Security auf die Option Enable Power-on AuthenticationSupport (Unterstützung für Authentifizierung beim Systemstart aktivieren).

HINWEIS: Um die Unterstützung für die Authentifizierung beim Systemstart für EmbeddedSecurity zu deaktivieren, klicken Sie auf Deaktivieren.



Aktivieren und Deaktivieren des automatischen DriveLock-FestplattenschutzesWenn diese Option aktiviert ist, werden die DriveLock-Kennwörter automatisch erzeugt, im Laufwerkeingerichtet und durch den integrierten Sicherheits-Chip (TPM) geschützt.

HINWEIS: Die automatisch erzeugten Kennwörter werden erst im Laufwerk eingerichtet,nachdem der Computer neu gestartet und das Kennwort für den integrierten Sicherheits-Chip(TPM) erfolgreich an der Kennworteingabeaufforderung eingegeben wurde.

Die Option für die Aktivierung des automatischen DriveLock-Schutzes steht nur dann zur Verfügung,wenn der Computer mit einem Sicherheits-Chip (TPM) ausgestattet ist und dieser initialisiert wurde.Darüber hinaus dürfen keine DriveLock Kennwörter aktiviert sein. Anleitungen zur Aktivierung undInitialisierung des Sicherheits-Chips (TPM) finden Sie unter „Aktivieren des integrierten Sicherheits-Chips“ auf Seite 34 und „Initialisieren des integrierten Sicherheits-Chips“ auf Seite 35.

HINWEIS: Wenn Sie bereits manuell DriveLock-Kennwörter auf dem Computer eingerichtethaben, müssen Sie diese deaktivieren, bevor Sie den automatischen DriveLock-Schutzeinrichten können.

So aktivieren bzw. deaktivieren Sie den automatischen DriveLock-Schutz:





5. Klicken Sie unter Embedded Security auf die Option Aktivieren neben Automatic DriveLockSupport (Unterstützung für automatisches DriveLock).

HINWEIS: Um den automatischen DriveLock-Schutz für Embedded Security zudeaktivieren, klicken Sie auf Deaktivieren.


Verwalten von Computer Setup-KennwörternIn BIOS Configuration (BIOS-Konfiguration) können Sie das Kennwort für den Systemstart und dasSetup-Kennwort in Computer Setup festlegen und ändern und auch verschiedeneKennworteinstellungen verwalten.

ACHTUNG: Die Kennwörter, die Sie auf der Kennwörter-Seite in der BIOS-Konfigurationerstellt haben, werden sofort gespeichert, nachdem Sie auf die Schaltfläche Übernehmenoder OK im HP ProtectTools-Fenster geklickt haben. Sie dürfen Ihr Kennwort keinesfallsvergessen, da eine Kennworteinstellung sonst nicht rückgängig gemacht werden kann.

Das Systemstart-Kennwort kann Ihr Notebook vor unbefugtem Zugriff schützen.

HINWEIS: Nachdem Sie ein Systemstart-Kennwort eingerichtet haben, wird die Schaltfläche„Festlegen“ auf der Seite „Kennwörter“ durch die Schaltfläche „Ändern“ ersetzt.


Das Kennwort für Computer Setup schützt die Konfigurationseinstellungen und die Informationen zurSystemidentifikation in Computer Setup vor unbefugtem Zugriff. Dieses Kennwort muss eingegebenwerden, um Computer Setup aufrufen zu können. Wenn Sie ein Setup-Kennwort eingerichtet haben,werden Sie zur Kennworteingabe aufgefordert, bevor der Bereich „BIOS Configuration“ (BIOS-Konfiguration) von HP ProtectTools geöffnet wird.

HINWEIS: Nachdem Sie ein Setup-Kennwort eingerichtet haben, wird die Schaltfläche„Festlegen“ auf der Seite „Kennwörter“ durch die Schaltfläche „Ändern“ ersetzt.

Festlegen des Systemstart-KennwortsSo legen Sie das Systemstart-Kennwort fest:


2. Klicken Sie im linken Fensterausschnitt auf BIOS Configuration (BIOS-Konfiguration) undanschließend auf Sicherheit.

3. Klicken Sie im rechten Fensterausschnitt neben Power-On Password (Systemstart-Kennwort)auf Festlegen.

4. Geben Sie das Kennwort in das Feld Kennwort eingeben und anschließend zur Bestätigungnochmals in das Feld Verify Password (Kennwort bestätigen) ein.

5. Klicken Sie im Dialogfeld Kennwörter auf OK.


Ändern des Systemstart-KennwortsSo ändern Sie das Systemstart-Kennwort:



3. Klicken Sie im rechten Fensterausschnitt neben Power-On Password (Systemstart-Kennwort)auf Ändern.

4. Geben Sie das aktuelle Kennwort in das Feld Altes Kennwort ein.

5. Geben Sie das neue Kennwort in das Feld Enter New Password (Neues Kennwort eingeben) ein,und bestätigen Sie es.



Einrichten des Setup-KennwortsSo richten Sie das Kennwort für Computer Setup ein:




3. Klicken Sie im rechten Fensterausschnitt neben Setup Password (Setup-Kennwort) aufFestlegen.

4. Geben Sie das Kennwort in das Feld Kennwort eingeben und anschließend zur Bestätigungnochmals in das Feld Kennwort bestätigen ein.



Ändern des Setup-KennwortsSo ändern Sie das Kennwort für Computer Setup:



3. Klicken Sie im rechten Fensterausschnitt neben Setup Password (Setup-Kennwort) aufÄndern.

4. Geben Sie das aktuelle Kennwort in das Feld Altes Kennwort ein.

5. Geben Sie das neue Kennwort in das Feld Enter New Password (Neues Kennwort eingeben) undanschließend zur Bestätigung nochmals in das Feld Verify New Password (Neues Kennwortbestätigen) ein.



Einstellen der KennwortoptionenIn BIOS Configuration for HP ProtectTools können Sie Kennwortoptionen einstellen, um die Sicherheitfür Ihr System zu erhöhen.

Aktivieren und Deaktivieren der strengen Sicherheit

ACHTUNG: Um zu verhindern, dass der geschützte Computer auf Dauer unbrauchbar wird,notieren Sie das konfigurierte Kennwort, das Systemstart-Kennwort oder die Smart Card-PIN,und bewahren Sie diese Daten an einem sicheren Ort separat vom Computer auf. Ohne dieseKennwörter oder PIN kann der Computerschutz nicht aufgehoben werden.

Mit der Aktivierung der strengen Sicherheit erhöhen Sie den Schutz für das Kennwort beim Systemstartund das Administratorkennwort sowie für die weiteren Möglichkeiten zur Authentifizierung beimEinschalten.

So aktivieren bzw. deaktivieren Sie die strenge Sicherheit:



3. Aktivieren oder deaktivieren Sie im rechten Fensterausschnitt unter Password Options(Kennwortoptionen) die Option Stringent Security (Strenge Sicherheit).


HINWEIS: Um diese Option zu deaktivieren, entfernen Sie einfach die Markierung imKontrollkästchen Enable Stringent Security (Strenge Sicherheit aktivieren).


Aktivieren und Deaktivieren der Authentifizierung beim Systemstart, wenn Windows neu gestartet wird

Mit dieser Option können Sie die Sicherheit erhöhen, indem die Benutzer ein Kennwort beimSystemstart, ein TPM-Kennwort oder ein Smart Card-Kennwort eingeben müssen, wenn Windows neugestartet wird.

So aktivieren oder deaktivieren Sie die Authentifizierung beim Systemstart, wenn Windows neugestartet wird:



3. Aktivieren oder deaktivieren Sie im rechten Fensterausschnitt unter Password Options(Kennwortoptionen) die Option Require password on restart (Kennwort bei Neustart abfragen).



6 Device Access Manager for HPProtectTools

Dieses Sicherheitstool steht nur den Administratoren zur Verfügung. Device Access Manager for HPProtectTools bietet die folgenden Sicherheitsfunktionen, mit denen die am Computersystemangeschlossenen Geräte vor einem unbefugten Zugriff geschützt werden:

● Geräteprofile für jeden Benutzer, um den Gerätezugriff zu definieren

● Gerätezugriff, der auf der Grundlage der Gruppenmitgliedschaft gewährt oder verweigert werdenkann

DEWW 59

Starten des HintergrunddienstesDamit Geräteprofile angewendet werden können, muss der Hintergrunddienst von HP ProtectTools zumSperren/Überprüfen aktiviert sein. Wenn Sie erstmalig versuchen, Geräteprofile anzuwenden, öffnet HPProtectTools Security Manager ein Dialogfeld, in dem Sie gefragt werden, ob Sie den Hintergrunddienststarten möchten. Klicken Sie auf Ja, um den Hintergrunddienst zu starten und stellen Sie ihn so ein,dass er bei jedem Systemstart automatisch aktiviert wird.

60 Kapitel 6 Device Access Manager for HP ProtectTools DEWW

Einfache KonfigurationMit dieser Funktion können Sie folgenden Geräteklassen den Zugriff verweigern:

● USB-Geräte für alle Nicht-Administratoren

● Alle Wechselmedien (Disketten, Pen Drives usw.) für alle Nicht-Administratoren

● Alle DVD/CD-ROM-Laufwerke für Nicht-Administratoren

● Alle seriellen und parallelen Anschlüsse für Nicht-Administratoren

Gehen Sie folgendermaßen vor, um den Zugriff auf eine Geräteklasse für alle Nicht-Administratoren zuverweigern:


2. Klicken Sie im linken Fensterausschnitt auf Device Access Manager und anschließend aufSimple Configuration (Einfache Konfiguration).

3. Aktivieren Sie im rechten Fensterausschnitt das Kontrollkästchen eines Geräts, dem Sie denZugriff verweigern möchten.

4. Klicken Sie auf Übernehmen.

HINWEIS: Wenn der Hintergrunddienst noch nicht aktiv ist, versucht er jetzt, zu starten.Klicken Sie auf Ja, um dies zuzulassen.


DEWW Einfache Konfiguration 61

Geräteklassen-Konfiguration (erweitert)Es stehen weitere Auswahlmöglichkeiten zur Verfügung, um bestimmten Benutzern oderBenutzergruppen den Zugriff auf bestimmte Gerätetypen zu gewähren oder zu verweigern.

Hinzufügen eines Benutzers oder einer Gruppe1. Wählen Sie Start > Alle Programme > HP ProtectTools Security Manager.

2. Klicken Sie im linken Fensterausschnitt auf Device Access Manager und anschließend aufGeräteklassen-Konfiguration.

3. Klicken Sie in der Geräteliste auf die Geräteklasse, die Sie konfigurieren möchten.

4. Klicken Sie auf Hinzufügen. Das Dialogfeld Select Users or Groups (Benutzer oder Gruppenauswählen) wird geöffnet.

5. Wählen Sie Erweitert > Jetzt suchen, um nach Benutzern oder Gruppen zu suchen, die Siehinzufügen möchten.

6. Klicken Sie auf einen Benutzer oder eine Gruppe, den/die Sie in die Liste der verfügbaren Benutzerbzw. Gruppen aufnehmen möchten. Klicken Sie dann auf OK.


Entfernen eines Benutzers oder einer Gruppe1. Wählen Sie Start > Alle Programme > HP ProtectTools Security Manager.



4. Klicken Sie auf den Benutzer oder die Gruppe, der bzw. die entfernt werden soll, und klicken Sieanschließend auf Entfernen.


Verweigern des Zugriffs für einen Benutzer oder eine Gruppe1. Wählen Sie Start > Alle Programme > HP ProtectTools Security Manager.



4. Klicken Sie unter User/Groups (Benutzer/Gruppen) auf den Benutzer oder die Gruppe, dem/derSie den Zugriff verweigern möchten.

5. Klicken Sie neben dem Benutzer oder der Gruppe, welchem/welcher der Zugriff verweigert werdensoll, auf Verweigern.



Zulassen des Zugriffs auf eine Geräteklasse für einen Benutzer einerGruppe

Sie können einem Benutzer den Zugriff auf eine Geräteklasse erlauben, während Sie allen anderenMitgliedern dieser Benutzergruppe den Zugriff verweigern.

So erlauben Sie den Zugriff für einen Benutzer, jedoch nicht für die Gruppe:




4. Fügen Sie unter User/Groups (Benutzer/Gruppen) die Gruppe hinzu, welcher der Zugriffverweigert werden soll.

5. Klicken Sie neben der Gruppe, welcher der Zugriff verweigert werden soll, auf Verweigern.

6. Navigieren Sie zu dem Ordner unterhalb des Ordners für die erforderliche Klasse, und fügen Sieden bestimmten Benutzer hinzu. Klicken Sie auf Zulassen, um diesem Benutzer den Zugriff zugewähren.


Zulassen des Zugriffs auf ein bestimmtes Gerät für einen Benutzer einerGruppe

Sie können einem Benutzer den Zugriff auf ein bestimmtes Gerät erlauben, während Sie allen anderenMitgliedern dieser Benutzergruppe den Zugriff auf alle Geräte in der Klasse verweigern.

So erlauben Sie den Zugriff auf ein bestimmtes Gerät für einen Benutzer, jedoch nicht für die Gruppe:



3. Klicken Sie in der Geräteliste auf die Geräteklasse, die Sie konfigurieren möchten, und navigierenSie dann zu dem untergeordneten Ordner.

4. Fügen Sie unter User/Groups (Benutzer/Gruppen) die Gruppe hinzu, welcher der Zugriffverweigert werden soll.

5. Klicken Sie neben der Gruppe, welcher der Zugriff verweigert werden soll, auf Verweigern.

6. Navigieren Sie in der Geräteliste zu dem bestimmten Gerät, das für den Benutzer zugelassenwerden soll.

7. Klicken Sie auf Hinzufügen. Das Dialogfeld Select Users or Groups (Benutzer oder Gruppenauswählen) wird geöffnet.

8. Wählen Sie Erweitert > Jetzt suchen, um nach Benutzern oder Gruppen zu suchen, die Siehinzufügen möchten.

9. Klicken Sie auf einen Benutzer, dem der Zugriff gewährt werden soll, und klicken Sie dann aufOK.

DEWW Geräteklassen-Konfiguration (erweitert) 63

10. Klicken Sie auf Zulassen, um diesem Benutzer den Zugriff zu gewähren.



7 Drive Encryption for HP ProtectTools

ACHTUNG: Wenn Sie das Modul Drive Encryption deinstallieren möchten, müssen zunächstalle verschlüsselten Laufwerke entschlüsselt werden. Wenn Sie die Entschlüsselung nichtvornehmen, können Sie nur dann auf die Daten der verschlüsselten Laufwerke zugreifen, wennSie beim Drive Encryption Wiederherstellungsdienst registriert sind (siehe „Wiederherstellung“auf Seite 69). Auch nach einer Neuinstallation von Drive Encryption ist der Zugriff auf dieverschlüsselten Laufwerke nicht möglich.

DEWW 65

VerschlüsselungsverwaltungVerschlüsseln eines Laufwerks


2. Wählen Sie im linken Fensterausschnitt die Option Drive Encryption und anschließendEncryption Management (Verschlüsselungsverwaltung).

3. Klicken Sie im rechten Fensterausschnitt auf Activate (Aktivieren). Der Assistent für das ModulDrive Encryption for HP ProtectTools wird geöffnet.

4. Befolgen Sie die Anleitungen auf dem Bildschirm, um die Verschlüsselung zu aktivieren.

HINWEIS: Sie müssen eine Diskette, einen Flash-Datenträger oder ein anderes USB-Speichermedium angeben, auf der/dem die Wiederherstellungsdaten gespeichert werdensollen.

Ändern der Verschlüsselung



3. Klicken Sie im rechten Fensterausschnitt auf Change encryption (Verschlüsselung ändern).Wählen Sie im Dialogfeld Change Encryption (Verschlüsselung ändern) die zu verschlüsselndenLaufwerke aus, und klicken Sie dann auf OK.

4. Klicken Sie auf OK, um die Verschlüsselung zu starten.

Entschlüsseln eines Laufwerks



3. Klicken Sie im rechten Fensterausschnitt auf Deactivate (Deaktivieren).

66 Kapitel 7 Drive Encryption for HP ProtectTools DEWW

BenutzerverwaltungHinzufügen eines Benutzers


2. Wählen Sie im linken Fensterausschnitt die Option Drive Encryption und anschließend UserManagement (Benutzerverwaltung).

3. Klicken Sie im rechten Fensterausschnitt auf Hinzufügen. Klicken Sie in der Liste User Name(Benutzername) auf einen Benutzernamen, oder geben Sie in das Feld Username(Benutzername) einen Benutzernamen ein. Klicken Sie auf Weiter.

4. Geben Sie das Windows-Kennwort für den ausgewählten Benutzer ein, und klicken Sie dannauf Weiter.

5. Wählen Sie eine Authentifizierungsmethode für den neuen Benutzer, und klicken Sie anschließendauf Fertig stellen.

Entfernen eines Benutzers



3. Klicken Sie im rechten Fensterausschnitt auf den Benutzernamen, der aus der Liste User Name(Benutzername) entfernt werden soll. Klicken Sie auf Entfernen.

4. Klicken Sie auf Ja, um zu bestätigen, dass der Benutzer entfernt werden soll.

Ändern eines Token

So ändern Sie die Authentifizierungsmethode für einen Benutzer:



3. Klicken Sie im rechten Fensterausschnitt auf einen Benutzernamen in der Liste User Name(Benutzername) und anschließend auf Change Token (Token ändern).

4. Geben Sie das Windows-Kennwort des Benutzers ein, und klicken Sie dann auf Weiter.

5. Wählen Sie eine neue Authentifizierungsmethode, und klicken Sie anschließend auf Fertigstellen.

6. Wenn Sie eine Java Card als Authentifizierungsmethode gewählt haben, geben Sie bei derentsprechenden Aufforderung das Java Card-Kennwort ein und klicken anschließend auf OK.

Einrichten eines Kennworts

So können Sie ein Kennwort für die Authentifizierungsmethode eines Benutzers einrichten bzw. ändern:



DEWW Benutzerverwaltung 67

3. Wählen Sie im rechten Fensterausschnitt den Benutzernamen aus der Liste User Name(Benutzername) und anschließend Set Password (Kennwort einrichten).

4. Geben Sie das Windows-Kennwort des Benutzers ein, und klicken Sie dann auf Weiter.

5. Wählen Sie die neue Authentifizierungsmethode, und klicken Sie anschließend auf Fertigstellen.

6. Wenn Sie eine Java Card als Authentifizierungsmethode gewählt haben, geben Sie bei derentsprechenden Aufforderung das Java Card-Kennwort ein und klicken anschließend auf OK.


WiederherstellungDie folgenden beiden Optionen stehen zur Auswahl:

● Wenn Sie Ihr Kennwort vergessen haben, können Sie auf Ihre verschlüsselten Laufwerke nichtzugreifen. Durch eine Registrierung beim Drive Encryption Wiederherstellungsdienst erhalten Siejedoch die Möglichkeit, auch dann auf Ihren Computer zuzugreifen, wenn Sie das Kennwortvergessen haben.

● Sie können die Drive Encryption Schlüssel auf einer Diskette, einem Flash-Datenträger oder einemanderweitigen USB-Speichermedium sichern.

Registrieren beim Drive Encryption Wiederherstellungsdienst


2. Wählen Sie im linken Fensterausschnitt die Option Drive Encryption und anschließendWiederherstellen.

3. Klicken Sie im rechten Fensterausschnitt auf Click here to register (Für Registrierung hierklicken). Geben Sie die erforderlichen Informationen ein, um die Registrierung abzuschließen.

Sichern der Drive Encryption Schlüssel


2. Wählen Sie im linken Fensterausschnitt die Option Drive Encryption und anschließendWiederherstellen.

3. Klicken Sie im rechten Fensterausschnitt auf Click here to backup your keys (FürSchlüsselsicherung hier klicken).

4. Wählen Sie eine Diskette, einen Flash-Datenträger oder ein anderes USB-Speichermedium aus,auf der/dem die Wiederstellungsdaten gespeichert werden sollen, und klicken Sie dann aufWeiter. Der Assistent für das Modul Drive Encryption for HP ProtectTools wird geöffnet.

5. Befolgen Sie die Anleitungen auf dem Bildschirm, um die Schlüssel für Drive Encryption zu sichern.

HINWEIS: Sie müssen eine Diskette, einen Flash-Datenträger oder ein anderes USB-Speichermedium angeben, auf der/dem die Wiederstellungsdaten gespeichert werdensollen.

DEWW Wiederherstellung 69


8 Fehlerbeseitigung

Credential Manager for HP ProtectToolsKurzbeschreibung Einzelheiten Lösung

Mit der Option „NetworkAccounts“ von CredentialManager kann einBenutzer auswählen, beiwelchem Domänenkontoer sich anmelden möchte.Wenn die TPM-Authentifizierungverwendet wird, stehtdiese Option nicht zurVerfügung. Alle übrigenAuthentifizierungsmethoden stehen in vollemUmfang zur Auswahl.

Bei der TPM-Authentifizierung ist derBenutzer nur auf dem lokalen Computerangemeldet.

Die SSO-Tools von Credential Manager ermöglichendem Benutzer auch die Authentifizierung andererKonten.

Die USB-Token-Informationen stehennach der Anmeldung beieinem System mitWindows XP Service Pack1 nicht zur Verfügung.

Nach der Installation der USB-Token-Software, der Registrierung der Token-Informationen und dem Festlegen vonCredential Manager für die primäreAnmeldung wird das USB-Token wederaufgeführt noch steht es bei derCredential Manager/GINA-Anmeldungzur Auswahl.

Nach der erneuten Anmeldung beiWindows, der Abmeldung undNeuanmeldung bei Credential Managersowie der erneuten Auswahl des Tokenfür die primäre Anmeldung funktioniertdie Token-Anmeldung einwandfrei.

Führen Sie anhand der Windows-Updatefunktion einUpdate auf Service Pack 2 durch.

Falls dies nicht möglich ist/gewünscht wird, melden Siesich unter anderen Zugangsdaten (Windows-Kennwort) erneut bei Windows an, um sich so beiCredential Manager ab- und wieder anzumelden.

Bestimmte Webseiten vonAnwendungen erzeugenFehler, infolge derer derBenutzer diegewünschten Aufgabennicht durchführen oderabschließen kann.

Aufgrund der Single Sign On-Funktionwird die Ausführung bestimmterwebbasierter Anwendungen beendet,und es werden Fehlermeldungenangezeigt. So weist im Internet Explorerein ! in einem gelben Dreieck z. B. daraufhin, dass ein Fehler aufgetreten ist.

Die Single Sign On-Funktion von Credential Managerunterstützt nicht alle Software-Weboberflächen.Deaktivieren Sie die Unterstützung von Single Sign Onfür die betreffende Webseite, indem Sie Single Sign Onausschalten. Weitere Informationen zu Single Sign Onfinden Sie in der Credential Manager Online-Hilfe.

Wenn sich Single Sign On für eine konkreteAnwendung nicht deaktivieren lässt, wenden Sie sichan den HP Techniksupport und bitten um Third-Level-Support über Ihren HP Service-Ansprechpartner.

Bei der Anmeldung wirddie Option Browse forVirtual Token (Nach

Der Benutzer kann den Speicherorteines registrierten virtuellen Token inCredential Manager nicht ändern, da die

Durch die Entfernung der Durchsuchen-Option sollverhindert werden, dass unbefugte Benutzer Dateien

DEWW Credential Manager for HP ProtectTools 71

Kurzbeschreibung Einzelheiten Lösung

virtuellem Token suchen)nicht angezeigt.

Durchsuchen-Option ausSicherheitsgründen entfernt wurde.

löschen oder umbenennen bzw. Windows nutzenkönnen.

Domänenadministratorenkönnen das Windows-Kennwort selbst mitAutorisation nicht ändern.

Das Problem tritt auf, nachdem sich einDomänenadministrator an einerDomäne angemeldet und dieDomänenidentität unter Verwendungeines Kontos mit Administratorrechtenfür die Domäne und den lokalenComputer mit Credential Managerregistriert hat. Wenn derDomänenadministrator versucht, dasWindows-Kennwort über CredentialManager zu ändern, wird folgenderAnmeldungsfehler zurückgegeben:User account restriction(Benutzerkontenbeschränkung).

In Credential Manager kann das Konto-Kennwort einesDomänenbenutzers über die Option Change Windowspassword (Windows-Kennwort ändern) nicht geändertwerden. Lediglich die Kennwörter für das lokale PC-Konto können geändert werden. DerDomänenbenutzer kann sein Kennwort über Windowssecurity > Change password (Windows-Sicherheit >Kennwort ändern) ändern; da er jedoch nicht über einphysikalisches Konto auf dem lokalen PC verfügt, kannCredential Manager lediglich das Kennwort für dieAnmeldung ändern.

Credential Manager ist mitdem GINA-Kennwortschutz in CorelWordPerfect 12 nichtkompatibel.

Wenn sich der Benutzer bei CredentialManager anmeldet, ein Dokument inWordPerfect erstellt und es mitKennwortschutz speichert, kannCredential Manager weder einemanuelle noch eine automatischeErkennung des GINA-Kennwortsdurchführen.

HP untersucht mögliche Behelfslösungen, die inzukünftigen Produkten bereitgestellt werden könnten.

Credential Managererkennt die SchaltflächeConnect (Verbinden) aufdem Bildschirm nicht.

Wenn für die SSO-Zugangsdaten fürRemote Desktop Connection (RDP)beim erneuten Starten von Single SignOn Connect (Verbinden) festgelegtwurde, wird jedes Mal Save As(Speichern unter) anstelle von Connect(Verbinden) angezeigt.

HP untersucht mögliche Behelfslösungen, die inzukünftigen Produkten bereitgestellt werden könnten.

Die Benutzer können alledurch das TPMgeschütztenZugangsdaten fürCredential Managerverlieren.

Wenn das TPM-Modul entfernt oderbeschädigt wird, verlieren die Benutzeralle durch das TPM geschütztenZugangsdaten.

Dies ist das beabsichtigte Standardverhalten derAnwendung.

Das TPM-Modul wurde für den Schutz der CredentialManager Zugangsdaten konzipiert. HP empfiehlt denBenutzern daher die Sicherung ihrer CredentialManager Identität, bevor sie das TPM-Modul entfernen.

Nach dem Wechsel vomEnergiesparmodus(Sleep) in denRuhezustand(Hibernation) kann sichder Benutzer nicht beiCredential Manageranmelden. Dies betrifftausschließlich Systememit Windows XP ServicePack 1.

Nach dem Wechsel in den Ruhezustandoder den Energiesparmodus kann sichder Administrator oder Benutzer nicht beiCredential Manager anmelden, und derWindows-Anmeldebildschirm wirdangezeigt, unabhängig davon, welcheZugangsmethode (Kennwort,Fingerabdruck oder Java Card)ausgewählt werden.

Führen Sie anhand der Windows-Updatefunktion einUpdate auf Service Pack 2 durch. WeitereInformationen zur Fehlerursache finden Sie in Artikel813301 der Microsoft-Wissensdatenbank unterhttp://www.microsoft.com.

Für die Anmeldung muss der Benutzer CredentialManager auswählen und sich dann anmelden. Nachder Anmeldung bei Credential Manager wird derBenutzer aufgefordert, sich bei Windows anzumelden(hierfür muss er unter Umständen die Windows-Anmeldeoption auswählen), um den Anmeldevorgangabzuschließen.

Wenn sich der Benutzer zuerst bei Windows anmeldet,muss er sich im Anschluss daran manuell beiCredential Manager anmelden.

Bei der Wiederherstellungvon Embedded Security

Die Registrierung der Zugangsdaten inCredential Manager schlägt fehl,

Der Zugriff von Credential Manager auf den TPM-Chipschlägt fehl, wenn der ROM nach der Installation von

72 Kapitel 8 Fehlerbeseitigung DEWW

http://www.microsoft.com


schlägt CredentialManager fehl.

nachdem die Werkseinstellungen desROM wiederhergestellt wurden.

Credential Manager auf die Werkseinstellungenzurückgesetzt wird.

Der integrierte Sicherheits-Chip (TPM) kann mit f10Computer Setup, BIOS Configuration oder HP ClientManager aktiviert werden. Zur Aktivierung desintegrierten Sicherheits-Chips mittels Computer Setupgehen Sie folgendermaßen vor:

1. Öffnen Sie Computer Setup, indem Sie denComputer einschalten oder neu starten und dieTaste f10 drücken, während die Meldung f10 =ROM Based Setup unten links auf demBildschirm angezeigt wird.

2. Wählen Sie mithilfe der Pfeiltasten die OptionSicherheit > Kennwort einrichten. Legen Sie einKennwort fest.

3. Wählen Sie Embedded Security Device(Embedded Security-Chip).

4. Wählen Sie mit den Pfeiltasten EmbeddedSecurity Device – Disable (Embedded Security-Chip – Deaktivieren). Ändern Sie die Einstellungmit den Pfeiltasten auf Embedded SecurityDevice – Enable (Embedded Security-Chip –Aktivieren).

5. Wählen Sie Aktivieren> Änderungen speichernund beenden.

HP arbeitet derzeitig an Lösungsmöglichkeiten fürzukünftige Software-Versionen.

Beim SicherheitsprozessRestore Identity(Identitätwiederherstellen) geht dieVerknüpfung mit demvirtuellen Token verloren.

Wenn der Benutzer die Identitätwiederherstellt, kann es geschehen,dass Credential Manager dieVerknüpfung mit dem Speicherort desvirtuellen Token auf demAnmeldebildschirm verliert. ObwohlCredential Manager das virtuelle Tokenregistriert hat, muss der Benutzer es indiesem Fall erneut registrieren, um dieVerknüpfung wiederherzustellen.

Dies ist zurzeit das beabsichtigte Standardverhaltender Anwendung.

Wenn bei der Deinstallation von Credential Managerdie Identitäten nicht beibehalten werden, wird derSystem- (bzw. Server-) Teil des Token eliminiert, sodass das Token nicht mehr für die Anmeldungverwendet werden kann. Dies gilt auch dann, wenn derClient-Teil des Token mittelsIdentitätswiederherstellung wiederhergestellt wird.

HP untersucht langfristige Optionen zur Behebung desProblems.

DEWW Credential Manager for HP ProtectTools 73

Embedded Security for HP ProtectToolsKurzbeschreibung Einzelheiten Lösung

Die Verschlüsselung vonOrdnern, Unterordnernund Dateien auf einemPSD führt zur Anzeigeeiner Fehlermeldung.

Wenn der Benutzer Dateien und Ordnerauf das PSD kopiert und versucht,Ordner/Dateien oder Ordner/Unterordner zu verschlüsseln, wird dieMeldung Error Applying Attributes(Fehler bei der Attribut-Übernahme)angezeigt. Der Benutzer kann dieseDateien auf Laufwerk C:\ oder auf einerzusätzlich installierten Festplatteverschlüsseln.


Wenn die Dateien/Ordner auf das PSD verschobenwerden, werden sie automatisch verschlüsselt. Einedoppelte Verschlüsselung ist überflüssig. Wenn derBenutzer auf dem PSD mittels EFS eine derartigedoppelte Verschlüsselung versucht, wird die obigeFehlermeldung angezeigt.

Die Eigentumsrechtekönnen auf einerMehrfachboot-Plattformnicht in ein anderesBetriebssystemübernommen werden.

Wenn ein Laufwerk für den Startmehrerer Betriebssysteme eingerichtetist, können die Eigentumsrechte nur vomAssistenten für diePlattforminitialisierung einesBetriebssystems übernommen werden.

Dies ist das aus Sicherheitsgründen vorgeseheneStandardverhalten.

Ein unbefugterAdministrator kann denInhalt verschlüsselterEFS-Ordner anzeigenlassen, löschen,umbenennen undverschieben.

Inhalte verschlüsselter Ordner könnenvon unbefugten Benutzern mitadministrativen Rechten angezeigt,gelöscht oder verschoben werden.


Hierbei handelt es sich um eine Funktion von EFS undnicht des Embedded Security-TPM. EmbeddedSecurity verwendet Microsoft EFS-Software, die allenAdministratoren Zugriffsrechte für Dateien und Ordnerzuweist.

Dem Benutzer stehenkeineVerschlüsselungsoptionen zur Verfügung, wenn erdie Festplatte unterVerwendung des FAT32-Dateisystemsverschlüsseln möchte.

Wenn der Benutzer versucht, dieFestplatte unter Verwendung desFAT32-Dateisystemswiederherzustellen, stehen keine EFS-Verschlüsselungsoptionen für Dateienund Ordner zur Verfügung.

Dies ist das beabsichtigte Standardverhalten derAnwendung. Software sollte nicht auf einemwiederhergestellten Laufwerk mit einer FAT32-Partition installiert werden.

Microsoft EFS wird nur für NTFS- und nicht für FAT32-Partitionen unterstützt. Dies ist eine Funktion vonMicrosoft EFS und steht nicht mit der HP ProtectToolsSoftware in Zusammenhang.

Der Benutzer kann dieXML-Datei desWiederherstellungsarchivs verschlüsseln bzw.löschen.

Die ACLs für diesen Ordner sindstandardmäßig nicht definiert; somitkann ein Benutzer die Datei absichtlichoder nicht absichtlich verschlüsseln oderlöschen, so dass kein Zugriff daraufmehr möglich ist. Nach derVerschlüsselung bzw. dem Löschen derDatei, kann die TPM-Software nichtmehr genutzt werden.


Die Benutzer sind zum Zugriff auf ein Notfallarchivberechtigt, in dem sie die Sicherungskopie ihresallgemeinen Benutzerschlüssels sichern/aktualisierenzu können. Sie sollten darauf hingewiesen werden,dass die Dateien des Wiederherstellungsarchivs inkeinem Fall verschlüsselt oder gelöscht werden dürfen.

Bei der Verwendung vonEmbedded Security EFSmit Symantec Antivirusoder Norton Antiviruskommt es zuungewöhnlich langenVerschlüsselungs-/Entschlüsselungs- undScan-Zeiten.

Verschlüsselte Dateien beeinträchtigenden Virenscanvorgang von SymantecAntivirus oder Norton Antivirus 2005.Während des Scannens wird ungefähralle 10 Sekunden eine Aufforderung zurEingabe des allgemeinenBenutzerkennworts angezeigt. Wennder Benutzer kein Kennwort eingibt, wirddie Eingabeaufforderung nach demZeitablauf ausgeblendet, und NAV2005fährt mit dem Scan-Vorgang fort. DieVerschlüsselung von Dateien mittelsEmbedded Security EFS dauert länger,

Um die Scan-Dauer für Embedded Security EFS-Dateien zu verkürzen, kann der Benutzer entweder vordem Scannen das Verschlüsselungskennworteingeben oder die Dateien entschlüsseln.

Um die Dauer für die Verschlüsselung/Entschlüsselungvon Daten mittels Embedded Security EFS zuverkürzen, sollte der Benutzer die automatischeSchutzfunktion (Auto-Protect) von Symantec Antivirusbzw. Norton Antivirus deaktivieren.



wenn Symantec Antivirus oder NortonAntivirus ausgeführt werden.

Das Archiv für dieNotfallwiederherstellungkann nicht auf einemWechselmediumgesichert werden.

Wenn der Benutzer eine MultiMediaCardoder eine Secure Digital (SD) MemoryCard einlegt, wenn er während derInitialisierung von Embedded Securityden Pfad für das Notfallarchiv angibt,wird eine Fehlermeldung angezeigt.


Das Wiederherstellungsarchiv kann nicht aufWechselmedien gespeichert werden. EineSpeicherung ist lediglich auf einem Netzlaufwerk odereinem anderen lokalen Laufwerk (nicht Laufwerk C:\)möglich.

Nachdem dieInitialisierung vonEmbedded Security durcheinen Stromausfallunterbrochen wurde,treten Fehler auf.

Nachdem es bei der Initialisierung desintegrierten Sicherheits-Chips zu einemStromausfall gekommen ist, treten diefolgenden Fehler auf:

● Beim Versuch, den Assistenten fürdie Initialisierung von EmbeddedSecurity zu starten, wird diefolgende Fehlermeldungangezeigt: The Embeddedsecurity cannot be initializedsince the Embedded Securitychip already has an EmbeddedSecurity owner. (EmbeddedSecurity kann nicht initialisiertwerden, da für den integriertenSicherheits-Chip bereits einEmbedded Security Eigentümerdefiniert wurde.)

● Beim Versuch, den Assistenten fürdie Benutzerinitialisierung zustarten, wird die folgendeFehlermeldung angezeigt: TheEmbedded security is notinitialized. To use the wizard, theEmbedded Security must beinitialized first. (EmbeddedSecurity wurde nicht initialisiert. Siekönnen den Assistenten erst nachder Initialisierung von EmbeddedSecurity verwenden.)

Führen Sie nach einem Stromausfall folgende Aktionendurch:

HINWEIS: Verwenden Sie die Pfeiltasten,um verschiedene Menüs und Menüoptionenauszuwählen und Werte zu ändern (sofernnicht anderweitig vorgegeben).

1. Starten Sie den Computer, oder führen Sie einenNeustart durch.

2. Drücken Sie f10, sobald die Meldung f10=Setupauf dem Bildschirm erscheint.

3. Wählen Sie die entsprechende Option aus.

4. Drücken Sie die Eingabetaste.

5. Wählen Sie Sicherheit > Embedded Security.

6. Setzen Sie die Option Embedded SecurityDevice (Embedded Security-Chip) auf Enable(Aktivieren).

7. Drücken Sie f10, um die Änderung zuübernehmen.

8. Wählen Sie Datei > Änderungen speichern undbeenden.

9. Drücken Sie die Eingabetaste.

10. Drücken Sie f10, um die Änderungen zu speichernund das Dienstprogramm zu verlassen.

Das Kennwort fürComputer Setup (f10)Utility kann entferntwerden, nachdem dasTPM-Modul aktiviertwurde.

Zur Aktivierung des TPM-Moduls wirdein Kennwort für Computer Setup (f10)Utility benötigt. Nachdem das Modulaktiviert wurde, kann der Benutzer dasKennwort entfernen. Auf diese Weisekann allerdings jeder Benutzer mitdirektem Zugriff auf das System dasTPM-Modul zurücksetzen und somiteinen Datenverlust verursachen.


Das Kennwort für Computer Setup (f10) Utility kann nurvon einem Benutzer entfernt werden, der dasbetreffende Kennwort kennt. HP empfiehlt jedochunbedingt, jederzeit einen optimalen Schutz desKennworts für Computer Setup (f10) Utilitysicherzustellen.

Das Feld für das PSD-Kennwort wird nicht mehrangezeigt, nachdem dasSystem aus dem Standby-in den Normalbetriebgewechselt ist.

Wenn sich ein Benutzer nach demErstellen eines PSD beim Systemanmeldet, fragt der Sicherheits-Chipnach dem allgemeinenBenutzerkennwort. Wenn der Benutzerdas Kennwort nicht eingibt und dasSystem in den Standby-Modus wechselt,

Dies entspricht dem Standardverhalten derAnwendung.

Der Benutzer muss sich abmelden und dann erneutanmelden, um das Dialogfeld für das PSD-Kennwortwieder anzeigen zu lassen.

DEWW Embedded Security for HP ProtectTools 75


wird das Dialogfeld zurKennworteingabe auch dann nicht mehrangezeigt, wenn der Benutzer fortfahrenmöchte und das System wieder in denNormalbetrieb wechselt.

Zur Änderung derRichtlinien für dieSicherheitsplattform istkein Kennworterforderlich.

Für den Zugriff aufSicherheitsplattformrichtlinien(Computer und Benutzer) benötigenBenutzer mit administrativen Rechten fürdas System kein TPM-Kennwort.

Dies entspricht dem Standardverhalten derAnwendung.

Alle Administratoren können mit oder ohneBenutzerinitialisierung des TPM dieSicherheitsplattformrichtlinien ändern.

Bei der Anzeige einesZertifikats wird dieses als„nicht vertrauenswürdig“gekennzeichnet.

Nachdem HP ProtectTools eingerichtetund der Assistent für dieBenutzerinitialisierung ausgeführtwurde, kann der Benutzer dasbetreffende Zertifikat anzeigen lassen.Dabei wird das Zertifikat jedoch als „nichtvertrauenswürdig“ eingestuft. Dasausgestellte Zertifikat kann nun zwardurch Klicken auf dieInstallationsschaltfläche installiertwerden, es wird dadurch aber nichtautomatisch als vertrauenswürdigeingestuft.

Selbst signierte Zertifikate sind nicht vertrauenswürdig.In einer ordnungsgemäß konfiguriertenUnternehmensumgebung werden EFS-Zertifikate vonOnline-Zertifizierungsstellen ausgestellt und werdendann als vertrauenswürdig eingestuft.

Ein intermittierenderVerschlüsselungs- undEntschlüsselungsfehlertritt auf: The processcannot access the filebecause it is being usedby another process. (DerProzess kann auf dieDatei nicht zugreifen, dasie von einem anderenProzess verwendet wird.)

Hierbei handelt es sich um einen immerwieder vorkommenden Fehler, der beider Verschlüsselung undEntschlüsselung von Dateien vorkommtund auftritt, da die Datei von einemanderen Prozess verwendet wird,obwohl die Datei bzw. der Ordner wedervom Betriebssystem noch von anderenAnwendungen verwendet wird.

So beseitigen Sie den Fehler:

1. Starten Sie das System neu.

2. Melden Sie sich ab.

3. Melden Sie sich wieder an.

Bei einemWechselmedium kommtes zu Datenverlust, wenndas Medium entfernt wird,bevor die Datenvollständig erzeugt oderübertragen wurden.

Wenn dagegen ein Speichermedium(z. B. eine MultiBay-Festplatte) entferntwird, ist das PSD dennoch verfügbar,und beim Hinzufügen/Ändern von Datenauf dem PSD treten keine Fehler auf.Nach dem Neustart des Systems sindDateiänderungen, die vorgenommenwurden, während das Wechselmediumnicht verfügbar war, auf dem PSD nichtenthalten.

Entfernen Sie ein PSD erst dann, wenn die Datenvollständig erzeugt bzw. übertragen wurden. DiesesProblem tritt nur dann auf, wenn der Benutzer auf dasPSD zugreift und dann die Festplatte entfernt, bevor diebetreffenden Daten vollständig erzeugt oderübertragen wurden. Wenn der Benutzer auf das PSDzugreifen möchte und kein Wechselmedium vorhandenist, wird eine Fehlermeldung angezeigt, die besagt,dass das Gerät nicht bereit ist.

Wenn der Benutzer denallgemeinenBenutzerschlüssel nichtinitialisiert hat und dasAdministration-Toolöffnet, steht bei derDeinstallation die OptionDeaktivieren nicht zurVerfügung. Uninstallerfährt erst dann mit derDeinstallation fort, wenndas Tool geschlossenwurde.

Der Benutzer kann die Deinstallationentweder ohne Deaktivierung des TPM-Chips durchführen, oder er kann zuerstden TPM-Chip (mit dem Administrator-Tool) deaktivieren und anschließend dieDeinstallation vornehmen. Für denZugriff auf das Administration-Tool mussder allgemeine Benutzerschlüsselinitialisiert werden. Wenn dies nicht derFall ist, steht dem Benutzer keine derOptionen zur Verfügung.

Da sich der Benutzer explizit für dieAusführung des Administration-Tools

Das Administration-Tool dient zur Deaktivierung desTPM-Chips, wobei diese Option jedoch nur verfügbarist, wenn der allgemeine Benutzerschlüssel initialisiertwurde. Wenn dies noch nicht der Fall ist, wählen SieOK oder Abbrechen, um mit der Deinstallationfortzufahren.



entschieden hat (indem er imDialogfeld Click Yes to openEmbedded Security Administrationtool (Auf „Ja“ klicken, um das EmbeddedSecurity Administration-Tool zu öffnen)auf Ja geklickt hat), wird dieDeinstallation so lange ausgesetzt, bisdas Tool geschlossen wurde. Wenn derBenutzer in dem Dialogfeld auf Neinklickt, wird das Tool nicht geöffnet undder Deinstallationsvorgang fährt fort.

Wenn bei einer 128-MB-Systemkonfiguration einPSD mit zweiBenutzerkonten erstelltund die Fast-User-Switching-Funktionverwendet wird, kommt eszu intermittierendenSystemabstürzen.

Wenn Fast-User-Switching mit einerminimalen RAM-Konfigurationverwendet wird, kann ein Fehlerauftreten, bei dem anstelle desBegrüßungs- bzw. Anmeldebildschirmsein schwarzer Bildschirm angezeigt wirdund weder Tastatur noch Maus aufEingaben reagieren.

Die Ursache für diesen Fehler liegt vermutlich in derZeitsteuerung bei Konfigurationen mit einem geringenArbeitsspeicher.

Die eingebaute Grafik arbeitet mit der UMA-Architekturund benötigt 8 MB RAM, so dass dem Benutzerlediglich 120 MB zur Verfügung stehen. Der Fehler trittdann auf, wenn diese 120 MB von beidenangemeldeten Benutzern genutzt werden und dieBenutzer die Fast-User-Switching-Funktionverwenden.

Die Lösung für dieses Problem besteht darin, dasSystem neu zu starten und das System mit mehr RAMzu konfigurieren (HP liefert keine 128-MB-Konfigurationen mit Sicherheitsmodulen aus).

Zeitüberschreitung bei derEFS-Benutzerauthentifizierung(Kennwortanforderung):Access denied (Zugriffverweigert).

Die Meldung bei der EFS-Benutzerauthentifizierung(Kennwortanforderung) wird erneutangezeigt, wenn der Benutzer auf OKklickt oder das System den Standby-Modus verlässt.

Dies entspricht dem Standardverhalten derAnwendung. Um Probleme mit Microsoft EFS zuverhindern, wurde zum Generieren dieserFehlermeldung ein 30-Sekunden-Watchdog-Timererstellt.

Bei der Einrichtung fürJapanisch werdenFunktionsbeschreibungenteilweise abgeschnitten.

Im Installationsassistenten sind bei derbenutzerdefinierten InstallationFunktionsbeschreibungen teilweiseabgeschnitten.

HP wird dieses Problem in zukünftigen Versionenbeheben.

Die EFS-Verschlüsselungfunktioniert auch ohneKennworteingabe.

Durch die Zeitüberschreitung bei derEingabe eines Benutzerkennworts, lässtsich eine Datei oder ein Ordner auchohne Kennworteingabe verschlüsseln.

Für die Verschlüsselung ist keineKennwortauthentifizierung erforderlich, da es sichhierbei um eine Funktion der Microsoft EFS-Verschlüsselt handelt. Für die Entschlüsselung mussdagegen ein Benutzerkennwort eingegeben werden.

Sichere E-Mail wird auchdann unterstützt, wenndies im Assistenten für dieBenutzerinitialisierunganderweitig festgelegtwurde oder wenn einesichere E-Mail-Konfiguration in denBenutzerrichtliniendeaktiviert ist.

Die Einstellungen eines E-Mail-Clientswie Outlook, Outlook Express oderNetscape werden nicht durch dieEmbedded Security Software oder denAssistenten gesteuert.

Dies ist das beabsichtigte Standardverhalten derAnwendung. Die Konfiguration von TPM-E-Mail-Einstellungen schließt nicht aus, dass dieVerschlüsselungseinstellungen auch direkt in einem E-Mail-Client vorgenommen werden können. DieVerwendung von sicherer E-Mail wird in Anwendungenvon Drittherstellern festgelegt und durch diesegesteuert. Der HP Assistent sieht die Verknüpfung zuden drei Referenzanwendungen vor, um so eineunmittelbare individuelle Anpassung zu ermöglichen.

Wenn eine umfangreicheInstallation ein zweitesMal auf dem gleichenComputer oder auf einembereits initialisiertenComputer durchgeführt

Wenn Large Scale Deployment aufeinem bereits initialisierten HPProtectTools Embedded SecuritySystem ausgeführt wird, könnenbestehende Wiederherstellungsarchiveund -Tokens nicht mehr verwendet

HP arbeitet daran, die Überschreibung der XML-Dateien zu verhindern, und wird in einem zukünftigenSoftPaq eine Lösung anbieten.



wird, werden dieWiederherstellungs- undToken-Dateienüberschrieben. Die neuenDateien können nicht füreine Wiederherstellungverwendet werden.

werden, da die betreffenden XML-Dateien überschrieben werden.

AutomatisierteAnmeldeskriptefunktionieren nicht, wenneineBenutzerwiederherstellung in Embedded Securitydurchgeführt wird.

Dieser Fehler tritt auf, wenn derBenutzer:

● Eigentümer und Benutzer inEmbedded Security unterVerwendung desStandardspeicherorts EigeneDokumente initialisiert hat.

● den Chip im BIOS auf dieWerkseinstellungen zurückgesetzthat.

● den Computer neu startet.

● mit der Wiederherstellung vonEmbedded Security beginnt;während desWiederherstellungsvorgangs fragtCredential Manager, ob dasSystem die Anmeldung bei derInfineon TPM-Benutzerauthentifizierungautomatisch ausführen kann. Wennder Benutzer Ja auswählt, wird imTextfeld automatisch derSpeicherort von SPEmRecTokenangezeigt.

Obwohl der Speicherort korrekt ist, wirddie folgende Fehlermeldung angezeigt:No Emergency Recovery Token isprovided. Select the token locationthe Emergency Recovery Tokenshould be retrieved from. (KeinWiederherstellungs-Token vorhanden.Wählen Sie den Speicherort desWiederherstellungs-Token aus.).

Klicken Sie auf die Schaltfläche Browse(Durchsuchen), um den Speicherort auszuwählen. DerWiederherstellungsvorgang wird dann fortgesetzt.

PSDs für mehrereBenutzer funktionierennicht in einer Fast-User-Switching-Umgebung.

Dieser Fehler tritt auf, wenn mehrereBenutzer angelegt wurden und ihnen einPSD mit demselbenLaufwerksbuchstaben zugewiesenwurde. Wenn bei geladenem PSD einFast-User-Switching zwischen denBenutzern versucht wird, steht das PSDdes zweiten Benutzers nicht zurVerfügung.

Das PSD des zweiten Benutzers steht nur dann zurVerfügung, wenn es mit einem anderenLaufwerksbuchstaben neu konfiguriert wird oder wennder erste Benutzer abgemeldet ist.

Das PSD ist deaktiviertund kann nach derFormatierung derFestplatte, auf der esangelegt wurde, nichtgelöscht werden.

Das PSD-Symbol wird immer nochangezeigt, obwohl beim Versuch desZugriffs auf das PSD dieFehlermeldung drive is not accessible(Laufwerk nicht verfügbar) erscheint.

Dies entspricht dem Standardverhalten derAnwendung: Wenn ein Kunde den Speicherort derPSD-Daten bewusst löscht oder die Verbindung trennt,funktioniert die PSD-Laufwerksemulation vonEmbedded Security weiterhin und gibt auf Grund derfehlenden Kommunikation mit den zuvor gelöschtenDaten Fehlermeldungen aus.



Der Benutzer kann das PSD nichtlöschen, und die folgende Meldung wirdangezeigt: your PSD is still in use,please be sure that your PSD containsno open files and is not accessed byanother process (Ihr PSD wird nochgenutzt; bitte vergewissern Sie sich,dass Ihr PSD keine geöffneten Dateienenthält und dass kein anderer Prozessdarauf zugreift). Der Benutzer muss dasSystem neu starten, um das PSD zulöschen. Nach dem Neustart wird dasPSD nicht mehr geladen.

Lösung: Nach dem nächsten Neustart werden dieEmulationen nicht geladen. Der Benutzer kann die altePSD-Emulation löschen und ein neues PSD erstellen.

Ein interner Fehler tritt auf,wenn der Benutzer eineWiederherstellunganhand desautomatischenWiederherstellungsarchivs vornimmt.

Wenn der Benutzer in EmbeddedSecurity auf die Option Restore underBackup (Aus Sicherungwiederherstellen) klickt, um Datenanhand des automatischenWiederherstellungsarchivswiederherzustellen, und dann die DateiSPSystemBackup.xml auswählt, trittein Fehler bei der Ausführung desWiederherstellungsassistenten auf, unddie folgende Fehlermeldung wirdangezeigt: The selected BackupArchive does not match the restorereason. Please select another archiveand continue. (Das ausgewählteWiederherstellungsarchiv passt nichtzum angegebenenWiederherstellungsgrund. Bitte wählenSie ein anderes Archiv aus, und fahrenSie dann mit der Wiederherstellung fort.)

Wenn der Benutzer SpSystemBackup.xml auswählt,obwohl die Datei SpBackupArchive.xml benötigt wird,tritt bei der Ausführung des Embedded SecurityAssistenten ein Fehler auf, und die folgende Meldungwird angezeigt: An internal Embedded Security errorhas been detected. (Ein interner Embedded SecurityFehler ist aufgetreten.)

Der Benutzer muss die korrekte XML-Datei für denjeweiligen Wiederherstellungsgrund auswählen.

Die Prozesse entsprechen dem Standardverhalten undwerden ordnungsgemäß ausgeführt. Die interneEmbedded Security Fehlermeldung ist jedoch unklarund sollte präziser sein. HP arbeitet daran, die Meldungfür zukünftige Produkte zu verbessern.

Bei Vorhandensein vonmehreren Benutzern zeigtdas Embedded SecuritySystem einen Fehler an.

Wenn der Administrator beimWiederherstellungsprozess Benutzerauswählt, können nicht ausgewählteBenutzer die Schlüssel bei einemspäteren Wiederherstellungsversuchnicht wiederherstellen. Es wird eineFehlermeldung darüber angezeigt, dassder Verschlüsselungsprozessfehlgeschlagen ist (decryption processfailed).

Die nicht ausgewählten Benutzer könnenwiederhergestellt werden, indem vor der nächstentäglichen Standardsicherung der TPM-Chipzurückgesetzt wird, der Wiederherstellungsvorgangdurchgeführt wird und alle Benutzer ausgewähltwerden. Wenn die automatische Sicherungdurchgeführt wird, werden die nichtwiederhergestellten Benutzer überschrieben, und eskommt zu einem Datenverlust. Wenn ein neuesSystem-Backup gespeichert wird, können die zuvornicht ausgewählten Benutzer dann nichtwiederhergestellt werden.

Außerdem muss der Benutzer das gesamte System-Backup wiederherstellen. Ein Archiv-Backup kanndagegen separat wiederhergestellt werden.

Wenn der System-ROMauf die Standardwertezurückgesetzt wird, ist derTPM-Chip nicht mehrsichtbar.

Durch das Zurücksetzen des System-ROM auf die Standardeinstellungen istder TPM-Chip für Windows nicht mehrsichtbar. Dadurch ist die Funktionsweiseder Sicherheitssoftware beeinträchtigt,und auf TPM-verschlüsselte Daten kannnicht mehr zugegriffen werden.

So blenden Sie den TPM-Chip im BIOS wieder ein:

Öffnen Sie Computer Setup (f10) Utility, navigieren Siezu Sicherheit > Gerätesicherheit, und ändern Siedann die Einstellung von Hidden (Verborgen) zuAvailable (Verfügbar).

Die automatischeSicherung funktioniert

Wenn ein Administrator EmbeddedSecurity für die automatische Sicherungeinrichtet, wird in Windows > Tasks >

Als Behelfslösung können Sie NT AUTHORITY\SYSTEM in (Computername)\(Administratorname)



nicht für das abgebildeteLaufwerk.

Scheduled Task (Geplanter Task) einentsprechender Eintrag erzeugt. Dergeplante Windows-Task verwendet NTAUTHORITY\SYSTEM, um dienotwendigen Rechte für die Backup-Ausführung zu erhalten. Dieser Vorgangfunktioniert für jedes lokale Laufwerk.

Wenn der Administrator denautomatischen Sicherungsvorgangstattdessen so konfiguriert, dass Datenauf einem zugeordneten Laufwerkgespeichert werden, schlägt der Prozessfehl, da NT AUTHORITY\SYSTEM nichtüber die entsprechenden Rechte zumVerwenden des zugeordnetenLaufwerks verfügt.

Wenn die automatische Sicherung beimAnmelden erfolgen soll, zeigt dasEmbedded Security TNA (TaskbarNotification Area)-Symbol die folgendeMeldung an: The Backup Archivelocation is currently not accessible.Click here if you want to backup to atemporary archive until the BackupArchive is accessible again. (DasBackup-Archiv ist derzeit nichtverfügbar. Klicken Sie hier, um die Datenso lange in einem temporären Archiv zusichern, bis das Archiv wieder zurVerfügung steht.) Wenn dieautomatische Sicherung jedoch für einenbestimmten Zeitpunkt geplant ist, schlägtdas Backup fehl, ohne dass eineentsprechende Meldung erscheint.

ändern. Dies ist die Standardeinstellung, wenn dergeplante Task manuell erstellt wird.

HP wird in zukünftigen ProduktversionenStandardeinstellungen bereitstellen, die(Computername\Administratorname) enthalten.

Embedded Security lässtsich in der EmbeddedSecurity GUI nichtvorübergehenddeaktivieren.

Die aktuelle Software-Version 4.0 wurdefür HP Notebook 1.1BImplementierungen sowie HP Desktop1.2 Implementierungen entworfen.

Die Deaktivierungsoption wird weiterhinvon der Software-Schnittstelle für TPM1.1-Plattformen unterstützt.

HP wird dieses Problem in zukünftigen Versionenbeheben.


Device Access Manager for HP ProtectToolsKurzbeschreibung Details Lösung

Die Benutzer erhaltenkeinen Zugriff auf Gerätein Device AccessManager, obwohl dieGeräte grundsätzlichverfügbar sind.

Device Access Manager wurde fürEinfache Konfiguration und/oderGeräteklassen-Konfigurationeingerichtet, so dass den Benutzern derZugriff auf Geräte verwehrt wird. DieBenutzer können jedoch trotzdem auf dieGeräte zugreifen.

Vergewissern Sie sich, dass der Dienst HPProtectTools Device Locking gestartet wurde.

Gehen Sie zu Systemsteuerung > Verwaltung >Dienste, wobei Sie über Administratorrechte verfügenmüssen. Lokalisieren Sie im Fenster Dienste denDienst HP ProtectTools Device Locking/Auditing.Vergewissern Sie sich, dass der Dienst gestartet wurdeund der Starttyp Automatisch lautet.

Ein Benutzer erhält Zugriffauf ein Gerät bzw. ihmwird der Zugriffverweigert, ohne dass derGrund hierfüroffensichtlich ist.

In Device Access Manager wurde denBenutzern der Zugriff auf bestimmteGeräte gestattet bzw. untersagt. Bei derArbeit mit dem System stellen dieBenutzer fest, dass sieunerwarteterweise auf einige Gerätezugreifen können, während dies beianderen Geräten nicht der Fall ist,obwohl sie ihrer Meinung nach daraufZugriff haben müssten.

Die Geräteeinstellungen für die einzelnen Benutzersollte anhand der Geräteklassen-Konfiguration inDevice Access Manager überprüft werden.

Wählen Sie Security Manager > Device AccessManager > Geräteklassen-Konfiguration. ErweiternSie die Ebenen der Geräteklassen-Hierarchie, undüberprüfen Sie die Einstellungen für die betreffendenBenutzer. Überprüfen Sie die Einstellungen aufeventuelle Zugriffsverweigerungen für die Benutzeroder für die Windows-Gruppen, denen die Benutzerangehören (z. B. Benutzer, Administratoren).

Was hat Vorrang – dieZugriffserteilung oder dieZugriffsverweigerung?

Innerhalb der Geräteklassen-Konfiguration lauten die Einstellungenwie folgt:

● Einer bestimmten Windows-Gruppe (z. B. BUILTIN\Administrators) wurde der Zugrifferteilt, während einer andereWindows-Gruppe (z. B. BUILTIN\Users) auf der gleichen Ebene derGeräteklassen-Hierarchie (z. B.DVD/CD-ROM Drives) der Zugriffverweigert wurde.

Was hat Vorrang, wenn ein Benutzerbeiden Gruppen angehört (z. B. beieinem Administrator)?

Der Benutzer erhält keinen Zugriff auf das Gerät. DieZugriffsverweigerung hat stets Vorrang vor derZugriffserteilung.

Dies liegt in der Art und Weise begründet, wie Windowsdie jeweils gültige Berechtigung für das Gerät ermittelt.In dem beschriebenen Fall wird einer Gruppe derZugriff erteilt, während er der anderen Gruppeverweigert wird. Der Benutzer gehört beiden Gruppenan. In diesem Fall wird dem Benutzer der Zugriffinsgesamt verweigert, da die ZugriffsverweigerungVorrang vor der Zugriffserteilung hat.

Eine Lösungsmöglichkeit besteht darin, der Benutzer-Gruppe auf der DVD/CD-ROM-Laufwerksebene denZugriff zu verweigern und ihn gleichzeitig derAdministrator-Gruppe unterhalb der DVD/CD-ROM-Laufwerksebene zu gewähren.

Alternativ können spezifische Windows-Gruppenangelegt werden, wobei einer Gruppe der DVD/CD-Zugriff gewährt und der anderen dieser Zugriffverweigert wird. Diesen Gruppen können dann diegewünschten Benutzer zugewiesen werden.

DEWW Device Access Manager for HP ProtectTools 81

SonstigesBetroffene Software –Kurzbeschreibung

Einzelheiten Lösung

Security Manager —Warnmeldung: Thesecurity application cannot be installed until theHP Protect ToolsSecurity Manager isinstalled. (DieSicherheitsanwendungkann erst installiertwerden, nachdem HPProtect Tools SecurityManager installiertwurde.)

Alle Sicherheitsanwendungen wieEmbedded Security, Java Card Securityund biometrische Lesegeräte sinderweiterbare Plug-In-Module für dieSecurity Manager Schnittstelle. SecurityManager muss daher installiert sein,bevor ein von HP genehmigtesSicherheits-Plug-In geladen werdenkann.

Die Security Manager Software muss installiert sein,bevor ein Sicherheits-Plug-In installiert werden kann.

TPM Firmware-Aktualisierungsprogrammfür Modelle mit Broadcom-fähigen TPM-Chips – Dasüber die HP Support-Website erhältliche Toolzeigt die Meldungownership required(Eigentumsrechteerforderlich) an.

Dies ist das Standardverhalten des TPM-Firmware-Aktualisierungsprogramms fürModelle mit Broadcom-fähigen TPM-Chips.

Mit dem Firmware-Aktualisierungsprogramm kann derBenutzer die Firmware aktualisieren,unabhängig davon, ob ein so genannterBestätigungsschlüssel (EndorsementKey, EK) vorhanden ist. Wenn keinBestätigungsschlüssel verfügbar ist, istfür das Durchführen der Firmware-Aktualisierung keine Autorisierungerforderlich.

Wenn ein Bestätigungsschlüsselvorhanden ist, muss auch ein TPM-Eigentümer vorhanden sein, da für denAktualisierungsvorgang dann eineBenutzerautorisierung benötigt wird.Nach einer erfolgreichen Aktualisierungmuss die Plattform neu gestartet werden,damit die neue Firmware wirksam wird.

Wenn das BIOS-TPM auf dieWerkseinstellungen zurückgesetzt wird,werden Eigentümerrechte entfernt, unddie Firmware kann erst dann aktualisiertwerden, wenn die Embedded Security-Softwareplattform und der Assistent fürdie Benutzerinitialisierung (UserInitialization Wizard) konfiguriert wurden.

HINWEIS: Nach derAusführung der Firmware-Aktualisierung sollte stets einNeustart erfolgen. DieFirmware-Version wird erstnach einem Neustart korrekterkannt.

1. Führen Sie eine Neueinstallation von EmbeddedSecurity durch.

2. Führen Sie die Plattform und den Assistenten fürdie Benutzerkonfiguration aus.

3. Vergewissern Sie sich, dass auf dem SystemMicrosoft .NET Framework 1.1 installiert ist:

a. Klicken Sie auf Start.

b. Klicken Sie auf Systemsteuerung.

c. Klicken Sie auf Software.

d. Überprüfen Sie, ob Microsoft .NETFramework 1.1 in der Liste aufgeführt ist.

4. Überprüfen Sie die Hardware- undSoftwarekonfiguration:

a. Klicken Sie auf Start.

b. Klicken Sie auf Alle Programme.

c. Klicken Sie auf HP ProtectTools SecurityManager.

d. Wählen Sie im Baummenü den EintragEmbedded Security.

e. Klicken Sie auf More Details (WeitereDetails). Das System sollte folgendeKonfiguration aufweisen:

● Product version (Produktversion) =V4.0.1

● Embedded Security State (EmbeddedSecurity-Status): Chip State (Chip-Status) = Enabled (Aktiviert), OwnerState (Eigentümerstatus) = Initialized(Initialisiert), User State(Benutzerstatus) = Initialized(Initialisiert)


Betroffene Software –Kurzbeschreibung


● Component Info(Komponenteninformation): TCG Spec.Version (Version TCG-Spez.) = 1.2

● Vendor (Anbieter) = BroadcomCorporation

● FW Version (Firmware-Version) = 2.18(oder höher)

● TPM Device driver library version2.0.0.9 (or greater) (TPM-Gerätetreiberbibliothek Version 2.0.0.9(oder höher)

5. Wenn die Firmware-Version nicht 2.18 oder höherlautet, laden Sie die entsprechende Versionherunter und aktualisieren die Firmware des TPC-Chips. Das TPM Firmware SoftPaq kann von derHP Website unter http://www.hp.comheruntergeladen werden.

HP ProtectTools SecurityManager – BeimSchließen der SecurityManager-Schnittstellewird zeitweilig ein Fehlerzurückgegeben.

Wenn der Benutzer Security Managerüber die Schließen-Schaltfläche in deroberen rechten Ecke des Bildschirmsschließt, bevor alle Plug-In-Anwendungen vollständig geladenwurden, tritt zeitweilig (in einem von 12Fällen) ein Fehler auf.

Dies ist auf eine Zeitsteuerungsabhängigkeit vonLadezeiten für Plug-In-Dienste beim Schließen undNeustarten von Security Manager zurückzuführen. Dadie Datei PTHOST.exe die Shell für die anderenAnwendungen (Plug-Ins) bildet, ist sie davon abhängig,dass Plug-Ins ihre Ladezeiten (Dienste) regulärabschließen. Das Problem tritt dann auf, wenn die Shellgeschlossen wird, bevor ein Plug-In erfolgreich geladenwerden konnte.

Warten Sie, bis Security Manager die Meldung überdas Laden der Dienste (oben im Security ManagerFenster) abgeschlossen hat und alle in der linkenSpalte aufgeführten Plug-Ins geladen sind. Um einenFehler zu vermeiden warten Sie einige Sekunden, bissämtliche Plug-Ins geladen wurden.

HP ProtectTools – Durchunbeschränkten Zugriffoder unkontrollierteAdministratorrechtekommt es zu einemSicherheitsrisiko.

Ein unbeschränkter Zugriff auf denClient-PC kann eine Vielzahl vonSicherheitsrisiken mit sich bringen, z. B.:

● Löschen eines PSD

● Unbefugte Änderungen vonBenutzereinstellungen

● Deaktivieren vonSicherheitsrichtlinien und -funktionen

Administratoren sollten empfohlene Verfahrensweisenanwenden, um Endbenutzerrechte und denBenutzerzugriff zu beschränken.

Unautorisierte Benutzer sollten keineAdministratorrechte erhalten.

Die Embedded SecurityKennwörter für BIOS undBetriebssystem sind nichtsynchronisiert.

Wenn ein Benutzer ein neues Kennwortnicht als das Embedded SecurityKennwort für das BIOS validiert, wird dasEmbedded Security Kennwort für dasBIOS über f10 BIOS auf dasursprüngliche Embedded SecurityKennwort zurückgesetzt.

Dies entspricht dem Standardverhalten. DieseKennwörter können erneut synchronisiert werden,indem das Basisbenutzerkennwort für dasBetriebssystem geändert und an der Aufforderung zurEingabe des Embedded Security-Kennworts für dasBIOS authentifiziert wird.

Nach der Aktivierung derTPM-Preboot-Authentifizierung im BIOS

Die TPM-BIOS-PIN ist dem erstenBenutzer zugewiesen, der dieBenutzereinstellung initialisiert. Wenn

Dies entspricht dem Standardverhalten. HP empfiehlt,dass die IT-Abteilung des Kunden sinnvolleSicherheitsrichtlinien anwenden sollte, um die

DEWW Sonstiges 83

http://www.hp.com

Betroffene Software –Kurzbeschreibung


kann sich nur ein Benutzeram System anmelden.

ein Computer über mehrere Benutzerverfügt, hat der erste Benutzer dieFunktion eines Administrators. Der ersteBenutzer muss seine TPM-Benutzer-PIN den anderen Benutzern mitteilen,damit diese sich ebenfalls anmeldenkönnen.

Sicherheitslösung bereitzustellen und zugewährleisten, dass das BIOS-Administratorkennwortvon IT-Administratoren für den Schutz aufSystemebene konfiguriert wird.

Der Benutzer muss seinePIN ändern, damit dieTPM-Preboot-Funktionnach einer TPM-Rücksetzung auf dieWerkseinstellungenausgeführt werden kann.

Der Benutzer muss seine PIN ändernoder einen anderen Benutzer anlegen,um seine Benutzereinstellung zuinitialisieren und zu erreichen, dass dieTPM-BIOS-Authentifizierung nach demRücksetzen funktioniert. Es steht keineOption zur Verfügung, mit der dieFunktionsfähigkeit der TPM-BIOS-Authentifizierung realisiert werden kann.

Dies entspricht dem Standardverhalten. Durch dasZurücksetzen auf die Werkseinstellungen wird derallgemeine Benutzerschlüssel gelöscht. In der Folgemuss der Benutzer seine Benutzer-PIN ändern odereinen neuen Benutzer anlegen, um den allgemeinenBenutzerschlüssel neu zu initialisieren.

Power-onauthentication(Systemstart-Authentifizierung) wird beiVerwendung derEmbedded SecurityOption Reset to FactorySettings (AufWerkseinstellungenzurücksetzen) nicht aufden Standardwertzurückgesetzt.

In Computer Setup wird die OptionPower-on authentication support(Systemstart-Authentifizierung) mit derEmbedded Security-Chip-Option Resetto Factory Settings (AufWerkseinstellungen zurücksetzen) nichtauf die Werkseinstellungenzurückgesetzt. Standardmäßig wirdPower-on authentication support(Systemstart-Authentifizierung) aufDisable (Deaktivieren) eingestellt.

Die Option Reset to Factory Settings (AufWerkseinstellungen zurücksetzen) deaktiviertEmbedded Security Device (Embedded Security-Chip), wodurch auch die anderen Optionen vonEmbedded Security (einschließlich Power-onauthentication support (Systemstart-Authentifizierung)) nicht sichtbar sind. Nach dererneuten Aktivierung von Embedded Security Devicebleibt Power-on authentication support(Systemstart-Authentifizierung) jedoch aktiviert.

HP arbeitet an einer Lösung, die in zukünftigenwebbasierten ROM-SoftPaqs bereitgestellt wird.

Beim Startvorgang kommtes zu einerÜberschneidung derEmbedded SecuritySystemstart-Authentifizierung mit demBIOS-Kennwort.

Bei der Systemstart-Authentifizierungwird der Benutzer aufgefordert, sich mitdem TPM-Kennwort beim Systemanzumelden. Wenn der Benutzer f10drückt, um zum BIOS Setup zugelangen, erhält er lediglich Lese-Rechte.

Um die BIOS-Einstellungen ändern zu können, mussder Benutzer im Fenster der Systemstart-Authentifizierung anstelle des TPM-Kennworts dasBIOS-Kennwort eingeben.

Nach der Änderung desEigentümerkennwortswird der Benutzer vomBIOS zur Eingabe desalten und des neuenKennworts über ComputerSetup Utility aufgefordert.

Nachdem in Embedded SecurityWindows-Software dasEigentümerkennwort geändert wurde,wird der Benutzer vom BIOS zur Eingabedes alten und des neuen Kennworts überComputer Setup aufgefordert.

Dies ist das beabsichtigte Standardverhalten derAnwendung. Die Ursache für dieses Problem liegtdarin, dass das BIOS nach dem Starten desBetriebssystems nicht in der Lage ist, mit dem TPM-Chip zu kommunizieren und das TPM-Kennwort zuverifizieren.


Glossar

Anmeldeinformationen Methode, mit der ein Benutzer seine Berechtigung für ein bestimmtes Vorhaben imAuthentifizierungsvorgang beweist.

Authentifizierung In diesem Vorgang wird überprüft, ob ein Benutzer autorisiert ist, ein bestimmtes Vorhabendurchzuführen, wie z. B. auf einen Computer zuzugreifen, Einstellungen für ein bestimmtes Programm zu ändernoder sichere Daten einzusehen.

Authentifizierung beim Systemstart Sicherheitsfunktion, die beim Starten eine Form der Authentifizierung, wiez. B. eine Java Card, einen Sicherheits-Chip oder ein Kennwort, erfordert.

Automatisches DriveLock Sicherheitsmerkmal, aufgrund dessen die DriveLock-Kennwörter automatischerzeugt und durch den integrierten Sicherheits-Chip (TPM) geschützt werden. Wenn der Benutzer durch Eingabedes korrekten Kennworts für den allgemeinen Benutzerschlüssel beim Starten vom integrierten Sicherheits-Chip(TPM) authentifiziert wird, gibt das BIOS die Festplatte für den Benutzer frei.

Biometrisch Kategorie der Authentifizierungsinformationen, die eine physische Komponente, wie z. B. einenFingerabdruck, beinhalten, um den Benutzer zu identifizieren.

BIOS-Profil Gruppe von BIOS-Konfigurationseinstellungen, die gespeichert und auf andere Konten angewendetwerden können.

BIOS-Sicherheitsmodus Einstellung in Java Card Security, die bei Aktivierung die Verwendung einer Java Cardund einer gültigen PIN zur Benutzerauthentifizierung erfordert.

Digitales Zertifikat Elektronische Anmeldeinformationen, die die Identität einer Person oder einesUnternehmens durch Verknüpfung der Identität des Besitzers des digitalen Zertifikats mit zwei elektronischenKennwörtern, die zum Unterschreiben digitaler Informationen verwendet werden, bestätigen.

Digitale Unterschrift Mit einer Datei gesendete Daten, die den Absender des Materials verifizieren undüberprüfen, ob die Datei nach der Unterschrift geändert wurde.

Domäne Gruppe von Computern, die Teil eines Netzwerks sind und auf eine gemeinsameVerzeichnisdatenbank zugreifen. Domänen tragen eindeutige Namen, wobei jede über einen Satz gemeinsamerRegeln und Vorgänge verfügt.

DriveLock Sicherheitsmerkmal, das die Festplatte mit einem Benutzer verbindet und vom Benutzer verlangt,das DriveLock-Kennwort beim Starten des Computers korrekt einzugeben.

Encryption File System (EFS) System zur Verschlüsselung aller Dateien und Unterordner innerhalb desausgewählten Ordners.

Entschlüsselung In der Kryptografie verwendeter Vorgang zur Konvertierung verschlüsselter Daten in reinenText.

Identität Im HP ProtectTools Credential Manager ist das eine Gruppe von Anmeldeinformationen undEinstellungen, die wie ein Konto oder Profil für einen bestimmten Benutzer behandelt wird.

DEWW Glossar 85

Java Card Kleines Hardware-Gerät, das in etwa die Größe und Form einer Kreditkarte aufweist und auf demIdentifizierungsinformationen über den Besitzer gespeichert werden. Wird zur Authentifizierung des Besitzers aneinem Computer verwendet.

Kryptografie Verschlüsseln und Entschlüsseln von Daten mit dem Ergebnis, dass sie nur von bestimmtenPersonen decodiert werden können.

Kryptografiedienstanbieter (CSP) Provider oder Bibliothek kryptografischer Algorithmen, die auf einer klardefinierten Oberfläche verwendet werden können, um bestimmte kryptografische Funktionen auszuführen.

Migration Eine Aufgabe, die das Verwalten, Wiederherstellen und Übertragen von Schlüsseln und Zertifikatenermöglicht.

Netzwerkkonto Windows-Benutzer- oder Administratorkonto auf einem lokalen Computer, in einerArbeitsgruppe oder auf einer Domäne.

Neustart Neustarten des Computers.

Notfallwiederherstellungsarchiv Geschützter Speicherbereich, der die erneute Verschlüsselung derallgemeinen Benutzerschlüssel aus dem Schlüssel eines Plattformeigentümers für eine andere ermöglicht.

PSD (Personal Secure Drive, Persönliches Sicherheitslaufwerk) Bietet einen geschützten Speicherbereichfür empfindliche Daten.

Public Key-Infrastruktur (PKI) Standard, der die Oberflächen zum Erstellen, Verwenden und Verwalten vonZertifikaten und kryptografischen Schlüsseln definiert.

Single Sign On (Einmalanmeldung) Funktion, die die Authentifizierungsinformationen speichert und es Ihnenermöglicht, den Credential Manager für den Zugang zum Internet und zu Windows-Anwendungen zu verwenden,die eine Kennwortauthentifizierung erfordern.

Smart Card Kleines Hardware-Gerät, das in etwa die Größe und Form einer Kreditkarte aufweist und auf demIdentifizierungsinformationen über den Besitzer gespeichert werden. Wird zur Authentifizierung des Besitzers aneinem Computer verwendet.

Strenge Sicherheit Sicherheitsfunktion in BIOS Configuration, mit der der Schutz für das Kennwort beimSystemstart und das Administratorkennwort sowie für die weiteren Möglichkeiten zur Authentifizierung beimEinschalten erhöht wird.

Trusted Platform Module (TPM) integrierter Sicherheits-Chip (bestimmte Modelle) Integrierter Sicherheits-Chip, der streng vertrauliche Benutzerdaten vor böswilligen Angriffen schützen kann. Er bildet die Sicherheitsbasisin einer Plattform. Das TPM liefert kryptografische Algorithmen und Vorgänge, die die Vorgaben der TrustedComputing Group (TCG) erfüllen.

USB-Token Sicherheitsgerät, das Identifizierungsinformationen zu einem Benutzer speichert. Genau wie eineJava Card oder ein biometrisches Lesegerät wird es zur Authentifizierung eines Benutzers auf einem Computerverwendet.

Verschlüsselung Vorgang, wie z. B. die Verwendung eines Algorithmus, der in der Kryptografie zurKonvertierung reinen Texts in Zifferntext verwendet wird, um zu vermeiden, dass unberechtigte Empfänger dieseDaten lesen. Es gibt viele Arten der Datenverschlüsselung. Sie bilden die Basis der Netzwerksicherheit. Zu denbekannten Arten gehören der Verschlüsselungsalgorithmus DES (Data Encryption Standard) und dieVerschlüsselung mit öffentlichen Schlüsseln.

Virtuelles Token Sicherheitsfunktion, deren Funktionsweise weitgehend der einer Java Card oder einesLesegerätes entspricht. Das Token wird entweder auf der Festplatte des Computers oder in derRegistrierungsdatei von Windows gespeichert. Wenn Sie sich mit einem virtuellen Token anmelden, werden Sieaufgefordert, eine Benutzer-PIN einzugeben, um die Authentifizierung durchzuführen.

86 Glossar DEWW

Windows-Benutzerkonto Profil für eine Person mit der Berechtigung, sich in einem Netzwerk oder an einembestimmten Computer anzumelden.

Zertifizierungsstelle Dienst, der die erforderlichen Zertifikate zur Ausführung einer Infrastruktur mit öffentlichenSchlüsseln ausstellt.

DEWW Glossar 87

88 Glossar DEWW

Index

AAdministrator-Aufgaben

Credential Manager 27Java Card 45

aktivierenAuthentifizierung beim

Systemstart 53Automatisches DriveLock 55Embedded Security 40Embedded Security nach

permanenterDeaktivierung 40

Geräteoptionen 51Java Card-Authentifizierung

beim Systemstart 47Smart Card-

Authentifizierung 53Strenge Sicherheit 57

AktivierenTPM-Chip 34

Allgemeines Benutzerkonto 36Aufgaben, Sicherheit 5Authentifizierung beim Systemstart

Aktivieren undDeaktivieren 53

Wenn Windows neu gestartetwird 58

Automatisches DriveLock 55

BBiometrische Lesegeräte 16BIOS-Administratorkennwort 9BIOS Configuration for HP

ProtectToolsAuthentifizierung beim

Systemstart 54Automatisches DriveLock 55Einstellungen der Zusatzmodule

verwalten 53

Kennwortoptioneneinstellen 57

Setup-Kennwort ändern 57Setup-Kennwort einrichten 56SmartCard-Authentifizierung

beim Systemstart 53Start-Optionen 50Strenge Sicherheit 57Systemkonfigurationsoptione

n 51Systemstart-Authentifizierung

beim Neustart vonWindows 58

Systemstart-Kennwortändern 56

Systemstart-Kennwortfestlegen 56

BIOS-Setup-KennwortÄndern 57Einrichten 56

CCredential Manager for HP

ProtectToolsAdministrator-Aufgaben 27Ändern der Anwendungsschutz-

Einstellung 25Anmeldeassistent 14Anmeldeinformationen

registrieren 15Anmeldekennwort 8Anmelden 14Anmeldespezifikationen 27Anmeldung per

Fingerabdruck 16Anwendungsschutz 24Anwendungsschutz

entfernen 25

BenutzerdefinierteAuthentifizierungsanforderungen 28

Benutzerüberprüfung 31Eigenschaften von

Anmeldeinformationenkonfigurieren 28

Einschränkung desAnwendungszugriffs 25

Einstellungenkonfigurieren 29

Fehlerbeseitigung 71Fingerabdruck-Lesegerät 16Identität 19Identität entfernen 19Identität löschen 19Kennwort für

Wiederherstellungsdatei 9Konto entfernen 21Konto hinzufügen 21Manualle SSO-

Registrierung 22Neues Konto erstellen 15Registrieren einer Java

Card 16Registrieren eines Token 16Registrieren eines virtuellen

Token 16Registrieren von

Fingerabdrücken 15Registrieren weiterer

Anmeldeinformationen 16Setup 14Single Sign On (SSO,

Einmaliges Anmelden) 21Sperren des Computers 20SSO, automatische

Registrierung 22SSO, neue Anwendung 22

DEWW Index 89

SSO-Anmeldeinformationenändern 24

SSO-Anwendung,Eigenschaften ändern 22

SSO-Anwendungentfernen 23

SSO-Anwendungen und -Anmeldeinformationen 22

SSO-Anwendungexportieren 23

SSO-Anwendungimportieren 23

Token-PIN ändern 19USB eToken registrieren 16Virtuelles Token erstellen 18Windows-Anmeldekennwort

ändern 18Windows-Anmeldung 20Windows-Anmeldung

zulassen 29

DDatenzugriff einschränken 5Deaktivieren

Authentifizierung beimSystemstart 53

Automatisches DriveLock 55Embedded Security 40Embedded Security,

permanent 40Geräteoptionen 51Java Card-Authentifizierung

beim Systemstart 48Smart Card-

Authentifizierung 53Strenge Sicherheit 57

Device Access Manager for HPProtectTools

Benutzer oder Gruppe, Zugriffverweigern für 62

Benutzer oder Gruppeentfernen 62

Benutzer oder Gruppehinzufügen 62

Einfache Konfiguration 61Fehlerbeseitigung 81Gerät, Zugriff zulassen 63Geräteklasse, Zugriff

zulassen 63

Geräteklassen-Konfiguration 62

Hintergrunddienst 60Diebstahl, Schutz gegen 5Drive Encryption for HP

ProtectToolsÄndern der

Authentifizierung 67Ändern der

Verschlüsselung 66Ändern eines Token 67Drive Encryption Schlüssel 69Drive Encryption

Wiederherstellungsdienst 69Einrichten eines

Kennworts 67Entfernen eines Benutzers 67Entschlüsseln eines

Laufwerks 66Hinzufügen eines

Benutzers 67Verschlüsseln eines

Laufwerks 66

EEigenschaften

Anmeldeinformationen 28Anwendung 22Authentifizierung 27

EigentümerkennwortÄndern 40Definition 9Einrichten 35

EinschränkenGerätezugriff 59Zugriff auf sensible Daten 5

Embedded Security for HPProtectTools

Aktivieren des TPM-Chips 34Aktivieren nach permanenter

Deaktivierung 40Aktivieren und

Deaktivieren 40Allgemeiner

Benutzerschlüssel 36Allgemeines

Benutzerkonto 36Eigentümerkennwort

ändern 40

Erneutes Einrichten einesBenutzerkennworts 40

Fehlerbeseitigung 74Initialisieren des Chips 35Kennwort 9Kennwort für allgemeinen

Benutzerschlüsseländern 38

Migrieren von Schlüsseln 42Permanent deaktivieren 40Personal Secure Drive

(PersönlichesSicherheitslaufwerk) 37

Setup 34Sicherungsdatei erstellen 39Verschlüsseln von Dateien und

Ordnern 37Verschlüsselte E-Mail 37Zertifizierungsdaten

wiederherstellen 39Entschlüsseln eines

Laufwerks 65Erweiterte Aufgaben

BIOS Configuration 53Credential Manager 27Device Access Manager 62Embedded Security 39Java Card 45

Ff10-Setup-Kennwort 9Fehlerbeseitigung

Credential Manager 71Device Access Manager 81Embedded Security 74Sonstiges 82

Fingerabdrücke, CredentialManager 15

Funktionen, HP ProtectTools 2

GGeräteoptionen 51Grundlegende

Sicherheitsaufgaben 5

HHintergrunddienst, Device Access

Manager 60HP ProtectTools Backup and

Restore 10HP ProtectTools Funktionen 2

90 Index DEWW

HP ProtectTools Securityöffnen 4

IIdentität entfernen

Credential Manager 19Identität verwalten

Credential Manager 19Initialisieren des integrierten

Sicherheits-Chips 35

JJava Card Security for HP

ProtectToolsAdministrator-Aufgaben 45Benutzer erstellen 48Credential Manager 16Erstellen für Administrator 47Erweiterte Aufgaben 45Lesegerät auswählen 44PIN 9PIN ändern 44PIN zuordnen 45Systemstart-Authentifizierung

aktivieren 47Systemstart-Authentifizierung

deaktivieren 48Systemstart-Authentifizierung

festlegen 46Zuordnen eines Namens 46

KKennwort

AllgemeinerBenutzerschlüssel 38

Ändern für Eigentümer 40Ändern für Setup 57Ändern für Systemstart 56Computer Setup verwalten 55Eigentümer 35Einrichten für Setup 56Einstellen von Optionen 57Erneut einrichten für

Benutzer 40Festlegen für Systemstart 56HP ProtectTools 8Notfallwiederherstellungs-

Token 35Richtlinien 10Richtlinien erstellen 7Sicher erstellen 10

Verwalten 8Windows-Anmeldung 18

Kennwort für allgemeinenBenutzerschlüssel

Ändern 38Einrichten 36

Kennwort für dasNotfallwiederherstellungs-Token

Definition 9Einrichten 35

KontoAllgemeiner Benutzer

Benutzer 36Credential Manager 15

NNetzwerkkonto 21Notfallwiederherstellung 35

OÖffnen von HP ProtectTools

Security 4

PPSD (Personal Secure Drive,

PersönlichesSicherheitslaufwerk) 37

RRegistrieren

Anmeldeinformationen 15Anwendung 22

SSicherheit

Grundlegende Aufgaben 5Rollen 8

Sicherheitsrollen 8Sicherheits-Setup-Kennwort 9Sichern und Wiederherstellen

Embedded Security 39HP ProtectTools Module 10SSO-Daten 23Zertifizierungsinformatione

n 39Single Sign On (Einmalanmeldung)

Anwendungen entfernen 23Anwendungen exportieren 23Anwendungseigenschaften

ändern 22

AutomatischeRegistrierung 22

Manuelle Registrierung 22Sperren des Computers 20Start-Optionen 50Steuern des Gerätezugriffs 59Strenge Sicherheit 57System-IDs in Computer Setup

Administratorkennwort 9Kennwort ändern 57Kennwort einrichten 56Kennwörter verwalten 55

Systemstart-KennwortDefinition 9Festlegen und Ändern 56

TToken, Credential Manager 16TPM-Chip

Aktivieren 34Initialisieren 35

UUnbefugten Zugriff verhindern 6USB eToken, Credential

Manager 16

VVerschlüsseln eines

Laufwerks 65Verschlüsseln von Dateien und

Ordnern 37Verschlüsselung

Benutzer 67Benutzerauthentifizierung 67Methoden 66

Virtuelles Token 18Virtuelles Token, Credential

Manager 16, 18

WWiederherstellen von

verschlüsselten Daten 69Windows-Anmeldung

Credential Manager 20Kennwort 9

Windows-Netzwerkkonto 21

DEWW Index 91

ZZugriff

Steuern 59Verhindern von unbefugtem 6

92 Index DEWW

Documents

ProtectTools - Hewlett Packardh10032.Packard Company unter Lizenz verwendet wird. Java ist eine Marke von Sun Microsystems, Inc. in den USA. Das SD-Logo ist eine Marke seines Eigentümers