密码软件卸载不了怎么办

HPProtectToolsSecurityManager指南HPCompaq商用台式机Copyright2006Hewlett-PackardDevelopmentCompany,L.
P.
.
本文档中包含的信息如有更改,恕不另行通知.
Microsoft和Windows是MicrosoftCorporation在美国和其他国家/地区的商标.
Intel和SpeedStep是IntelCorporation在美国和其它国家/地区的商标.
随HP产品和服务附带的明示保修声明中阐明了此类产品和服务的全部保修服务.
本文档中的内容不应视为构成任何附加保修条款.
HP对本文档中出现的技术错误、编辑错误或遗漏不承担任何责任.
本文档包含的所有权信息受版权法保护.
事先未经Hewlett-PackardCompany书面许可,不得复印、复制本文档的任何部分或将其翻译成其他语言.
HPProtectToolsSecurityManager指南HPCompaq商用台式机第一版(2006年8月)文档部件号:431330-AA1关于本手册本指南提供有关配置和使用HPProtectToolsSecurityManager软件的说明.
警告!
以这种方式出现的文字表示如果不按照指示操作,可能会造成人身伤害或带来生命危险.
小心以这种方式出现的文字表示如果不按照指示操作,可能会损坏设备或丢失信息.

注意以这种方式出现的文字提供重要的补充信息.
ZHCNiiiiv关于本手册ZHCN目录1简介HPProtectToolsSecurityManager1访问ProtectTools安全管理器1了解安全保护角色2管理ProtectTools密码2多要素验证凭证管理器登录4创建安全的密码4高级任务6管理ProtectTools设置6启用和禁用Java卡开机验证支持6启用和禁用嵌入式安全保护模块的开机验证支持6管理计算机设置实用程序密码7设置开机密码(如果有)7更改开机密码(如果有)7系统设置8更改开机验证支持8更改用户帐户8设置计算机设置实用程序管理员密码9更改计算机设置实用程序管理员密码9利用开机验证的字典攻击行为10字典攻击防御102HPBIOSConfigurationforProtectTools(HPProtectToolsBIOS配置)基本概念11更改BIOS设置113HPEmbeddedSecurityforProtectTools(HPProtectTools嵌入式安全保护)基本概念13设置步骤144HPCredentialManagerforProtectTools(HPProtectTools凭证管理器)基本概念15启动步骤15首次登录165HPJavaCardSecurityforProtectTools(HPProtectToolsJava卡安全保护)基本概念17ZHCNv6第三方解决方案7HPClientManagerforRemoteDeployment(HP远程部署客户端管理器)后台21初始化21维护218故障排除ProtectTools凭证管理器23ProtectTools嵌入式安全保护26其它32术语表35索引39viZHCN1简介HPProtectToolsSecurityManagerProtectToolsSecurityManager(ProtectTools安全管理器)软件提供安全保护功能,防止他人未经允许擅自访问计算机、网络和重要数据.
以下模块提供增强的安全保护功能:HPBIOSConfigurationforProtectTools(HPProtectToolsBIOS配置)HPEmbeddedSecurityforProtectTools(HPProtectTools嵌入式安全保护)HPCredentialManagerforProtectTools(HPProtectTools凭证管理器)HPJavaCardSecurityforProtectTools(HPProtectToolsJava卡安全保护)计算机可使用的模块因机型而异.
ProtectTools模块可能是计算机预装的或计算机附带的CD提供的,也可以从HP网站购买获得.
有关详细信息,请访问http://www.
hp.
com.
注意请参阅ProtectTools帮助屏幕了解有关ProtectTools模块的具体说明.
要使用可信平台模块(TPM),包含TPM的平台需要有TCG软件堆栈(TSS)和嵌入式安全保护软件.
某些机型提供TSS;如果没有提供TSS,则可以从HP购买.
另外,还必须为某些机型单独购买TPM启用软件.
有关详细信息,请参阅"第三方解决方案".
访问ProtectTools安全管理器要从MicrosoftWindows控制面板中访问ProtectTools安全管理器,请执行以下操作:WindowsXP:单击Start(开始)>ControlPanel(控制面板)>SecurityCenter(安全中心)>ProtectToolsSecurityManager(ProtectTools安全管理器).
Windows2000:单击Start(开始)>AllPrograms(所有程序)>HPProtectToolsSecurityManager(HPProtectTools安全管理器).
注意配置凭证管理器模块后,还可以通过直接从Windows登录屏幕登录到凭证管理器.
有关详细信息,请参阅"HPCredentialManagerforProtectTools(HPProtectTools凭证管理器)".
ZHCNHPProtectToolsSecurityManager1了解安全保护角色管理计算机安全性(尤其是对于大型企业)时,一项很重要的工作就是划分不同类型管理员和用户之间的责任和权限.
注意对于小型企业或个人用户,这些角色可能全部为一人拥有.
对于ProtectTools,安全责任和权限可以按以下角色划分:安全管理人员-定义公司或网络的安全级别,确定要部署的安全功能,如Java卡、生物识别器或USB身份标记等.
注意通过与HP合作,安全管理人员可以自定义ProtectTools中的许多功能.
有关详细信息,请访问http://www.
hp.
com.
IT管理员-应用并管理安全管理人员定义的安全功能.
IT管理员还可以启用或禁用某些功能.
例如,如果安全管理人员已决定部署Java卡,IT管理员可以启用Java卡BIOS安全保护模式.
用户-使用安全功能.
例如,如果安全管理人员和IT管理员已经为系统启用了Java卡,用户可以设置Java卡个人标识号,并使用该卡进行身份验证.
鼓励管理员在限制最终用户特权和提供限制性用户访问权限时执行"最佳做法".

管理ProtectTools密码ProtectTools安全管理器的大多数功能都是受密码保护的.
下表列出了常用的密码、设置密码所在的软件模块以及密码的功能.
此表也指明了那些只能由IT管理员设置和使用的密码.
所有其它密码都可以由普通用户或管理员进行设置.
表1-1密码管理ProtectTools密码在此ProtectTools模块中设置功能计算机设置实用程序管理员密码注意也称为BIOS管理员密码、F10设置实用程序密码或安全设置实用程序密码BIOS配置,由IT管理员设置并使用防止他人擅自访问BIOS计算机设置实用程序和安全设置.
开机密码BIOS配置HPProtectToolsPower-OnAuthenticationSupport(HPProtectTools开机验证支持)是一个基于TPM安全工具,用于防止他人在开机时未经授权擅自访问计算机.
开机验证支持使用HPProtectToolsEmbeddedSecurity(HPProtectTools嵌入式安全保护)的基本用户密码.
在计算机设置实用程序中启用开机验证后,将在初始化第一个/下一个嵌入式安全基本用户密钥时设置密码.
嵌入式安全保护TPM芯片保护开机验证的密码.
Java卡管理员密码Java卡安全保护,由IT管理员设置并使用将Java卡与计算机关联在一起,以便于标识.
2第1章简介ZHCN注意也称为BIOS管理员卡密码允许计算机管理员启用或禁用计算机设置实用程序密码、生成新的管理员卡,以及创建恢复文件以恢复用户或管理员卡.
Java卡个人标识号Java卡安全保护使用Java卡和阅读器选件时,防止他人擅自访问Java卡内容和计算机内容.
检查Java卡用户密码是否与个人标识号相同;它用于注册Java卡身份验证.
Java卡恢复文件密码(如果有)Java卡安全保护防止他人擅自访问包含BIOS密码的恢复文件.
Java卡用户密码(如果有)注意也称为BIOS用户卡密码Java卡安全保护将Java卡与计算机关联在一起,以便于标识.
允许用户创建恢复文件,以恢复用户卡.
基本用户密码注意也称为:嵌入式安全保护密码,TPM预引导密码嵌入式安全保护用于访问嵌入式安全保护模块的功能,例如,为确保安全而进行的电子邮件、文件和文件夹加密.
在启用作为BIOS开机验证支持密码时,防止他人在计算机开启、重新启动或从休眠模式恢复时擅自访问计算机内容.
还用于验证个人安全驱动器(PSD)和注册TPM验证.
急救身份标记密码注意也称为:急救身份标记密钥嵌入式安全保护,由IT管理员设置并使用防止他人擅自访问急救身份标记(它是TPM嵌入式安全保护芯片的备份文件).
主人密码嵌入式安全保护,由IT管理员设置并使用保护系统和TPM芯片,防止他人擅自访问嵌入式安全保护模块的所有主人功能.
凭证管理器登录密码凭证管理器此密码提供有2个选项:用于Windows登录过程中,允许同时访问Windows和凭证管理器.
用于在登录到MicrosoftWindows后单独登录,以访问凭证管理器凭证管理器恢复文件密码凭证管理器,由IT管理员设置并使用防止他人擅自访问凭证管理器恢复文件.
Windows登录密码Windows控制面板可用于手动登录,或保存在Java卡中.
备份计划程序密码注意Windows用户密码用于配置嵌入式安全保护的备份计划程序.
嵌入式安全保护,由IT管理员设置并使用设置嵌入式安全保护的备份计划程序PKCS#12导入密码注意每个导入的证书都有一个专用于该证书的密码.
嵌入式安全保护,由IT管理员设置并使用密码用于其它证书的加密密钥(如果导入的话)注意一般软件操作不需要;用户在使用嵌入式安全保护功能发送重要证书时可以选择设置此密码.
密码重置身份标记嵌入式安全保护,由IT管理员设置并使用为用户提供的工具,允许计算机主人在基本用户密码丢失时重置密码;密码用于执行此重置操作表1-1密码管理(续)ZHCN管理ProtectTools密码3MicrosoftRecoveryAgent管理员密码注意此恢复代理可以是任何本地计算机管理员.
如果创建了此恢复代理,则用户必须以管理员的身份进行登录,并且需要密码.
只要打开此恢复代理,就可以解密所有用户的加密数据(无需向导).
Microsoft,由IT安全管理员设置并使用确保可以恢复个人安全驱动器(PSD)加密的数据.
有关详细信息,请参阅http://www.
microsoft.
com/technet/prodtechnol/winxppro/support/dataprot.
mspx.
注意一般软件操作不需要;用户在使用嵌入式安全保护功能发送重要证书时可以选择设置此密码.
虚拟身份标记主个人标识号凭证管理器用户选项,用于通过凭证管理器存储主人凭证虚拟身份标记用户个人标识号凭证管理器用户选项,用于通过凭证管理器存储主人凭证备份标识向导密码凭证管理器,由IT管理员设置并使用用于在使用凭证管理器时保护对标识备份的访问虚拟身份标记验证密码凭证管理器用于通过凭证管理器注册虚拟身份标记验证TPM验证别名凭证管理器用于根据管理员或用户的选择通过凭证管理器替代基本用户密码指纹登录凭证管理器凭证管理器允许用户使用方便安全的指纹登录来代替Windows密码登录.
与密码不同的是,指纹凭证不能共享和转让,也不会被盗窃或猜中.
通过凭证管理器使用USB身份标记验证凭证管理器通过凭证管理器用作替代密码的一种身份标记验证多要素验证凭证管理器登录凭证管理器登录启用多要素验证技术来登录到Windows操作系统.
由于它要求严格的多要素验证,因此提高了标准Windows密码登录的安全性.
它还消除了必须记忆用户密码的要求,从而提高了日常登录的便利性.
凭证管理器登录的一个独特功能是它可以将多个帐户凭证汇集成一个用户标识,只要使用一次多要素验证,就可以利用同一凭证集访问不同的Windows帐户.
多要素用户验证支持以下安全措施的任意组合:用户密码、动态或单次使用密码、TPM、Java卡、USB身份标记、虚拟身份标记和生物特征.
凭证管理器还支持其它验证方法,为相同应用程序或服务提供多种用户访问权限.
用户可以将所有凭证、应用程序密码和网络密码合并为一个单一数据单元,称为用户标识.
用户标识始终加密,并利用多要素验证进行保护.
创建安全的密码创建密码时,首先必须遵循程序设置的所有密码规范.
不过,一般而言,遵守下列准则有助于创建安全的密码,减少密码被破解的机率:使用的密码长度要超过6个字符(最好超过8个字符).
密码要包含大小写字母组合.
如果可能的话,最好混合使用字母数字字符并包含特殊字符和标点符号.

用特殊字符或数字代替关键字词中的字母.
例如,可以使用数字1代替字母I或L.
混合使用2种或更多种语言的字词.
表1-1密码管理(续)4第1章简介ZHCN将数字或特殊字符置于单词或短语的中间,如"Mary22Cat45".
切勿使用可在字典中查到的词作为密码.
不要使用姓名或其它个人信息(如生日、宠物名称或母亲的姓氏)作为密码,即使反过来拼写也不可以.
定期更改密码.
可以每次只更改几个字符.
如果写下密码,请不要将其存放在距计算机很近的明显位置.
不要在计算机上的文件(如电子邮件)中保存密码.
切勿与他人共用帐户或将密码告诉别人.
ZHCN管理ProtectTools密码5高级任务管理ProtectTools设置ProtectTools安全管理器的部分功能可以在BIOS配置模块中管理.
启用和禁用Java卡开机验证支持如果此选项可用,则启用它后可在打开计算机时使用Java卡进行用户验证.
注意要完全启用开机验证功能,还必须使用ProtectToolsJava卡安全保护模块配置Java卡.
要启用Java卡开机验证支持,请执行以下操作:1.
选择Start(开始)>AllPrograms(所有程序)>HPProtectToolsSecurityManager(HPProtectTools安全管理器).
2.
在左窗格中,选择BIOSConfiguration(BIOS配置).
3.
按照BIOS管理员密码提示输入计算机设置实用程序的管理员密码,然后单击OK(确定).
4.
在左窗格中,选择Security(安全保护).
5.
在JavaCardSecurity(Java卡安全保护)下,选择Enable(启用).
注意要禁用Java卡开机验证功能,请选择Disable(禁用).
6.
单击Apply(应用),然后在ProtectTools窗口中单击OK(确定)以保存所做的更改.
启用和禁用嵌入式安全保护模块的开机验证支持如果此选项可用,则启用它后系统可以在您打开计算机时使用TPM嵌入式安全保护芯片进行用户验证.
注意要完全启用开机验证功能,还必须使用ProtectTools嵌入式安全保护模块配置TPM嵌入式安全保护芯片.
要启用嵌入式安全保护模块的开机验证支持,请执行以下操作:1.
选择Start(开始)>AllPrograms(所有程序)>HPProtectToolsSecurityManager(HPProtectTools安全管理器).
2.
在左窗格中,选择BIOSConfiguration(BIOS配置).
3.
按照BIOS管理员密码提示输入计算机设置实用程序的管理员密码,然后单击OK(确定).
4.
在左窗格中,选择Security(安全保护).
5.
在EmbeddedSecurity(嵌入式安全保护功能)下,选择EnablePower-OnAuthenticationSupport(启用开机验证支持).
注意要禁用嵌入式安全保护模块的开机验证功能,请选择Disable(禁用).
6.
单击Apply(应用),然后在ProtectTools窗口中单击OK(确定)以保存所做的更改.
6第1章简介ZHCN管理计算机设置实用程序密码您可以使用BIOS配置模块来设置和更改计算机设置实用程序中的开机密码和设置密码,以及管理各种密码设置.
小心通过BIOS配置模块中的Passwords(密码)页设置了密码后,单击ProtectTools窗口中的Apply(应用)或OK(确定)按钮将立即保存密码.
请务必牢记所设的密码,因为必须提供先前所设的密码方能撤消密码.
开机密码可以阻止他人未经授权擅自使用您的计算机.
注意设置了开机密码后,Passwords(密码)页上的Set(设置)按钮将更换成Change(更改)按钮.
计算机设置实用程序的管理员密码用于保护计算机设置实用程序中的配置设置和系统标识信息.
设置该密码后,必须输入该密码才能访问计算机设置实用程序.
如果您设置了管理员密码,系统在打开ProtectToolsBIOS配置模块之前将提示您输入密码.
注意设置了管理员密码后,Passwords(密码)页上的Set(设置)按钮将更换成Change(更改)按钮.
设置开机密码(如果有)要设置开机密码,请执行以下操作:1.
选择Start(开始)>AllPrograms(所有程序)>HPProtectToolsSecurityManager(HPProtectTools安全管理器).
2.
在左窗格中,选择BIOSConfiguration(BIOS配置),然后选择Security(安全保护).
3.
在右窗格中,单击Power-OnPassword(开机密码)旁边的Set(设置).
4.
在EnterPassword(输入密码)和VerifyPassword(验证密码)框中键入并确认密码.
5.
在Passwords(密码)对话框中单击OK(确定).
6.
单击Apply(应用),然后在ProtectTools窗口中单击OK(确定)以保存所做的更改.
更改开机密码(如果有)要更改开机密码,请执行以下操作:1.
选择Start(开始)>AllPrograms(所有程序)>HPProtectToolsSecurityManager(HPProtectTools安全管理器).
2.
在左窗格中,选择BIOSConfiguration(BIOS配置),然后选择Security(安全保护).
3.
在右窗格中,单击Power-OnPassword(开机密码)旁边的Change(更改).
4.
在OldPassword(旧密码)框中键入当前的密码.
5.
在EnterNewPassword(输入新密码)和VerifyNewPassword(验证新密码)框中设置并确认新密码.
ZHCN高级任务76.
在Passwords(密码)对话框中单击OK(确定).
7.
单击Apply(应用),然后在ProtectTools窗口中单击OK(确定)以保存所做的更改.
系统设置1.
初始化HPProtectToolsEmbeddedSecurity(HPProtectTools嵌入式安全保护).
2.
初始化基本用户密钥.
设置基本用户密钥并且基本用户密码设置为开机密码时,将立即启动HPPower-OnAuthenticationSupport(HP开机验证支持).
在下次重新启动后,将初始化HPPower-OnAuthenticationSupport(HP开机验证支持),并且必须使用基本用户密码来启动计算机.
一旦开机验证支持开始运行,进入BIOS安装程序的选项就不再显示.
如果用户在开机验证支持窗口输入设置密码,则用户可以进入BIOS.
如果已经设置了嵌入式安全保护模块的基本用户密码,则必须更改该密码才能建立使用开机验证支持的密码保护.
更改开机验证支持密码开机验证支持功能使用嵌入式基本用户密码.
要更改密码,请执行以下操作:1.
进入F10BIOS设置(必须有在上述设置步骤说明的设置密码),导航到Security(安全保护)>EmbeddedSecurityDevice(嵌入式安全保护设备)>Resetauthenticationcredential(重置验证凭证).
2.
按箭头键将设置从Donotreset(不重置)更改为Reset(重置)3.
导航到SecurityManager(安全管理器)>EmbeddedSecurity(嵌入式安全保护)>UserSettings(用户设置)>BasicUserPassword(基本用户密码)>Change(更改).
4.
键入旧密码,然后输入并确认新密码.
5.
重新引导进入开机验证支持.
密码窗口要求用户首先输入旧密码.
6.
键入旧密码,然后输入新密码.
(三次输错新密码将弹出一个新窗口,指明该密码无效,开机验证将还原为原始的嵌入式安全保护密码F1=Boot.
此时,密码将不会进行同步,用户必须再次更改嵌入式安全保护密码才能同步密码.
)更改用户帐户开机验证一次仅支持一个用户.
可以使用以下步骤来更改控制开机验证的用户帐户.

1.
导航到F10BIOS>Security(安全保护)>EmbeddedSecurityDevice(嵌入式安全保护设备)>Resetauthenticationcredential(重置验证凭证).
2.
按箭头键向两旁移动光标,然后按任意键继续.
3.
按F10键两次,然后按Enter键确认SaveChangesandExit(保存更改并退出).
4.
创建/登录到某个目标变更MicrosoftWindows用户.
5.
打开嵌入式安全保护模块,并为新的Windows用户帐户初始化基本用户密钥.
如果基本用户密钥已经存在,则更改基本用户密码以控制开机验证.
8第1章简介ZHCN开机验证现在只接受新用户的基本用户密码.
小心为用户提供的许多产品可以通过软件加密、硬件加密和硬件保护数据.
大多数产品都使用密码进行管理.
无法管理这些工具和密码将会导致数据丢失,硬件被锁死,不得不进行更换.
在尝试使用这些工具之前,请阅读所有相关的帮助文件.
设置计算机设置实用程序管理员密码要设置计算机设置实用程序的管理员密码,请执行以下操作:1.
选择Start(开始)>AllPrograms(所有程序)>HPProtectToolsSecurityManager(HPProtectTools安全管理器).
2.
在左窗格中,选择BIOSConfiguration(BIOS配置),然后选择Security(安全保护).
3.
在右窗格中,单击SetupPassword(设置密码)旁边的Set(设置).
4.
在EnterPassword(输入密码)和ConfirmPassword(确认密码)框中键入并确认密码.
5.
在Passwords(密码)对话框中单击OK(确定).
6.
单击Apply(应用),然后在ProtectTools窗口中单击OK(确定)以保存所做的更改.
更改计算机设置实用程序管理员密码要更改计算机设置实用程序的管理员密码,请执行以下操作:1.
选择Start(开始)>AllPrograms(所有程序)>HPProtectToolsSecurityManager(HPProtectTools安全管理器).
2.
在左窗格中,选择BIOSConfiguration(BIOS配置),然后选择Security(安全保护).
3.
在右窗格中,单击SetupPassword(设置密码)旁边的Change(更改).
4.
在OldPassword(旧密码)框中键入当前的密码.
5.
在EnterNewPassword(输入新密码)和VerifyNewPassword(验证新密码)框中设置并确认新密码.
6.
在Passwords(密码)对话框中单击OK(确定).
7.
单击Apply(应用),然后在ProtectTools窗口中单击OK(确定)以保存所做的更改.
ZHCN高级任务9利用开机验证的字典攻击行为字典攻击是一种用于通过系统化试验所有可能使用的密码来入侵安全系统的方法.
针对嵌入式安全保护模块的字典攻击会试图侦测主人密码、基本用户密码或保护密码的密钥.
嵌入式安全保护模块提供增强的字典攻击防御功能.
字典攻击防御嵌入式安全保护模块针对字典密码攻击的防御措施是检测失败的验证尝试,并在失败次数达到某个阈值时暂时禁用TPM.
一旦达到失败次数阈值,不仅TPM被禁用和需要重新启动,还会强制增加锁定超时.
在超时期间,输入正确密码也会被忽略.
输入错误密码将会使最后一次超时的时间翻倍.

有关此过程的详细文档说明,请参阅"嵌入式安全保护帮助".
单击WelcometotheHPEmbeddedSecurityforProtectToolsSolution(欢迎使用HPProtectTools嵌入式安全保护解决方案)>AdvancedEmbeddedSecurityOperation(高级嵌入式安全保护操作)>DictionaryAttackDefense(字典高级防御).
注意一般情况下,用户会收到其密码错误的警告.
该警告说明TPM自动禁用前用户尝试输入密码的次数.
开机验证过程在加载操作系统之前在ROM中进行.
字典攻击防御是操作性的,但用户将收到的唯一警告是X键符号.
10第1章简介ZHCN2HPBIOSConfigurationforProtectTools(HPProtectToolsBIOS配置)基本概念ProtectToolsBIOS配置模块允许用户对计算机设置实用程序安全保护功能和配置设置进行访问.
这样一来,用户就可以通过Windows对计算机设置实用程序所管理的系统安全保护功能进行访问.
使用BIOS配置模块,您可以执行以下任务:管理开机密码和管理员密码.
配置其它可用开机验证功能,如启用Java卡密码和嵌入式安全保护验证支持.
启用和禁用硬件功能,如CD-ROM引导功能或各个硬件端口.
配置引导选项,其中包括启用多重引导功能和改变引导顺序.
注意计算机设置实用程序也具有ProtectToolsBIOS配置模块中的许多功能.
更改BIOS设置利用BIOS配置,您可以管理各种计算机设置,否则这些设置就只能通过在启动时按F10键进入计算机设置实用程序进行访问.
有关设置和功能的信息,请参阅计算机附带提供的《说明文档和诊断程序》CD上的《计算机设置(F10)实用程序指南》.
要访问BIOS配置模块的帮助文件,请单击SecurityManager(安全管理器)>BIOSConfiguration(BIOS配置)>Help(帮助).
注意请参阅ProtectTools帮助屏幕了解有关ProtectToolsBIOS配置模块的具体说明.
ZHCN基本概念1112第2章HPBIOSConfigurationforProtectTools(HPProtectToolsBIOS配置)ZHCN3HPEmbeddedSecurityforProtectTools(HPProtectTools嵌入式安全保护)基本概念如果可用,ProtectTools嵌入式安全保护模块可以防止他人未经授权擅自访问用户数据或凭证.
此模块提供有以下安全功能:增强的Microsoft加密文件系统(EFS)文件和文件夹加密功能创建个人安全驱动器(PSD)以对用户数据进行加密数据管理功能,例如备份和恢复密钥层次结构支持使用MSCAPI(比如MicrosoftOutlook和MicrosoftInternetExplorer)的第三方应用程序,以及在使用嵌入式安全保护软件时将PKCS#11(比如Netscape)用于保护数据证书操作可信平台模块(TPM)嵌入式安全保护芯片可以增强并支持ProtectTools安全管理器的其它安全保护功能.
例如,在用户登录Windows时,ProtectTools凭证管理器可以利用TPM嵌入式芯片进行验证.
在某些机型上,TPM嵌入式安全保护芯片还支持增强的BIOS安全保护功能,这些功能可通过ProtectToolsBIOS配置模块进行访问.
此硬件包括一个TPM芯片,它符合TPM1.
2标准的可信计算组要求.
该芯片与主板集成.
某些TPM方案(取决于所购买的机型)集成TPM作为NIC的一部分.
在这些NIC和TPM配置中,芯片中内存和芯片外内存、功能部件和固件都在与主板集成的外接闪存中.
所有TPM功能都有加密或保护,确保闪存或通信安全.
此软件还提供一种称为PSD的功能.
PSD是一种补充基于EFS文件/文件夹加密的功能,它使用高级加密标准(AES)加密算法.
值得注意的是,如果没有隐藏TPM并启用安装的具有所有权的适当软件,并且初始化用户配置,否则HPProtectToolsPersonalSecureDrive(HPProtectTools个人安全驱动器)无法运行.
ZHCN基本概念13设置步骤小心为降低安全风险,极力建议IT管理员立即初始化TPM嵌入式安全保护芯片.
如果未初始化TPM嵌入式安全保护芯片,非授权用户或计算机蠕虫就会获得计算机访问权限,或者病毒就会初始化TPM嵌入式安全保护芯片,限制对PC的访问.
TPM嵌入式安全保护芯片可以在BIOS计算机设置实用程序、ProtectToolsBIOS配置模块或HPClientManager(HP客户端管理器)中启用.
要启用TPM嵌入式安全保护芯片,请执行以下操作:1.
通过打开或重新启动计算机的方式打开计算机设置实用程序.
当屏幕的左下角显示F10=ROMBasedSetup(F10=基于ROM的设置)消息时,按F10键.
2.
使用箭头键选择Security(安全保护)>SetupPassword(设置密码).
设置密码.
3.
选择EmbeddedSecurityDevice(嵌入式安全保护设备).
4.
使用箭头键选择EmbeddedSecurityDevice–Disable(嵌入式安全保护设备-禁用).
使用箭头键将其更改为EmbeddedSecurityDevice–Enable(嵌入式安全保护设备-启用).
5.
选择Enable(启用)>Savechangesandexit(保存更改并退出).
注意请参阅ProtectTools帮助屏幕了解有关ProtectTools嵌入式安全保护模块的具体说明.
14第3章HPEmbeddedSecurityforProtectTools(HPProtectTools嵌入式安全保护)ZHCN4HPCredentialManagerforProtectTools(HPProtectTools凭证管理器)基本概念ProtectTools凭证管理器的安全保护功能可提供一个安全和便利的计算环境.
这些功能包括:在登录MicrosoftWindows时替代密码.
比如使用Java卡或生物识别器.
单一登录功能,可自动记住访问网站、应用程序和受保护网络资源所用的凭证(用户ID和密码).
支持的安全保护设备选件,如Java卡和生物识别器.
支持其它安全保护设置,例如要求在解除计算机锁定和访问应用程序前使用安全保护设备选件进行验证.
在使用TPM嵌入式安全保护芯片时增强对存储密码的加密启动步骤要启动凭证管理器(如果有),请执行以下操作:1.
单击Start(开始)>ControlPanel(控制面板)>SecurityCenter(安全中心)>ProtectToolsSecurityManager(ProtectTools安全管理器)>CredentialManager(凭证管理器).
2.
单击面板右上角的LogOn(登录).
可以选择通过以下任一方式登录凭证管理器:凭证管理器登录向导(首选)ProtectTools安全管理器注意如果您使用Windows登录屏幕上的凭证管理器登录提示登录到凭证管理器,您将在同时登录到Windows.
ZHCN基本概念15首次登录首次打开凭证管理器时,请使用通常的Windows登录密码进行登录.
然后系统将基于您的Windows登录身份自动创建一个凭证管理器帐户.
登录到凭证管理器之后,您可以注册其它凭证,例如指纹或Java卡.
在下一次登录时,您可以选择登录策略并使用任意组合形式的注册凭证.

注意请参阅ProtectTools帮助屏幕了解有关ProtectTools安全管理器的具体说明.
16第4章HPCredentialManagerforProtectTools(HPProtectTools凭证管理器)ZHCN5HPJavaCardSecurityforProtectTools(HPProtectToolsJava卡安全保护)基本概念利用ProtectToolsJava卡安全保护,可以对配备Java卡阅读器选件的计算机中的Java卡设置和配置进行管理.
使用ProtectToolsJava卡安全保护,您可以执行以下操作:使用Java卡安全保护功能.
对Java卡进行初始化,以便与其它ProtectTools模块配合使用,例如ProtectTools凭证管理器.
如果可用,与计算机设置实用程序配合使用可在预引导环境中启用Java卡验证功能,并为管理员和用户分别配置Java卡.
这需要用户在允许装载操作系统之前插入Java卡并可能要输入个人标识号.
如果可用,设置并更改用于验证Java卡用户的身份的密码如果可用,备份和恢复Java卡中存储的Java卡BIOS密码如果可用,在Java卡上设置BIOS密码注意请参阅ProtectTools帮助屏幕了解有关ProtectTools安全管理器的具体说明.
ZHCN基本概念1718第5章HPJavaCardSecurityforProtectTools(HPProtectToolsJava卡安全保护)ZHCN6第三方解决方案包含TPM的平台需要TCG软件堆栈(TSS)和嵌入式安全保护软件.
所有机型均提供TSS;必须为某些机型单独购买嵌入式安全保护软件.
在这些机型上提供NTRUTSS,以支持客户购买的第三方嵌入式安全保护软件.
建议使用象WaveEmbassyTrustSuite这样的第三方解决方案.
ZHCN1920第6章第三方解决方案ZHCN7HPClientManagerforRemoteDeployment(HP远程部署客户端管理器)后台配备可信平台模块(TPM)的HPTrustworthy平台附带提供未激活的TPM(默认状态).
启用TPM是HPBIOS执行策略保护的一个管理选项.
管理员必须输入BIOS配置选项(F10选项)才能启用TPM.
此外,可信计算组(TCG)规范要求相关人员(亲自)必须明确在场才能激活TPM.
这个强制要求确保用户隐私权得到尊重(通过提供一个可供使用的决策模型),而且流氓应用程序、病毒或特洛伊木马不能为恶意用途启用TPM.
人员在场规定和管理员在现场的要求成为尝试在大型企业部署该策略的IT经理面对的一个难题.
初始化HPClientManager(HP客户端管理器,HPCM)提供一种远程启用TPM并控制企业环境中的TPM的方法.
这种方法虽然不要求IT管理员亲自在场,但仍符合TCG要求.
HPCM允许IT管理员设置某些BIOS选项,然后重新启动系统来启用远程系统上的TPM.
在该重新引导过程中,默认情况下BIOS显示一个提示;作为响应,最终用户必须按照TCG的指定按某个键证明自己在场.
远程系统然后继续重新引导,并且脚本通过控制系统上的TPM来完成运行.
在此过程中,将在IT管理员指定的位置创建急救档案和急救身份标记.
由于必须允许用户选择密码,因此HPCM不在远程系统上执行TPM用户初始化.
TPM用户初始化必须由该系统的最终用户执行.
维护HPClientManager(HP客户端管理器)可用于远程重置用户密码,无需让IT管理员知道用户密码.
HPCM还可以远程恢复用户凭证.
必须为这两种功能提供适当的管理员密码.
ZHCN后台2122第7章HPClientManagerforRemoteDeployment(HP远程部署客户端管理器)ZHCN8故障排除ProtectTools凭证管理器简短说明详细说明解决方法使用CredentialManagerNetworkAccounts(凭证管理器网络帐户)选项,用户可以选择登录的域帐户.
使用TPM验证时,此选项不可用.
所有其它验证方法都可以正常使用.
使用TPM验证时,用户只登录到了本地计算机.
用户可以使用凭证管理器的单一登录工具来验证其它帐户.
登录到WindowsXPServicePack1时,USB身份标记凭证不可用.
在安装USB身份标记软件、注册USB身份标记凭证并将凭证管理器设置成主登录之后,USB身份标记既没有列出,在凭证管理器/gina登录中也不可用.
当登录回Windows,注销凭证管理器,重新登录凭证管理器并将身份标记重新选为主登录时,身份标记登录操作恢复正常运行.
这种情况只发生在WindowsXPServicePack1上;要进行改正,请通过WindowsUpdate来将Windows版本升级到ServicePack2.
要在保留ServicePack1的情况下继续工作,请使用另一个凭证(Windows密码)重新登录Windows,以便注销并重新登录到凭证管理器.
一些应用程序网页产生错误,使得用户无法执行或完成任务.
由于禁用了单一登录的功能模式,一些基于Web的应用程序停止运行并报告错误.
例如,在InternetExplorer上显示中间有一个!
的黄色三角形,指明出现了错误.
凭证管理器的单一登录功能并不支持所有的软件Web界面.
通过关闭单一登录支持来为特定网页禁用单一登录支持.
请参阅有关单一登录的完整文档说明,该文档在凭证管理器帮助文件中提供.
如果对于某个应用程序无法禁用特定的单一登录功能,请致电HP服务和支持机构,请求通过HP服务代表为您提供第三级支持.
在登录过程中,没有BrowseforVirtualToken(浏览虚拟身份标记)的选项.
由于安全风险的原因,此浏览选项已被删除,因此用户不能在凭证管理器中移动注册的虚拟身份标记的位置.
当前的产品已删除了此浏览选项,因为它允许非用户来删除文件、重命名文件和控制Windows.
TPM验证登录不提供NetworkAccounts(网络帐户)选项.
使用NetworkAccounts(网络帐户)选项,用户可以选择登录的域帐户.
使用TPM验证时,此选项不可用.
HP正在研究未来产品增强功能的解决之道.
域管理员即使有授权也不能修改Windows密码.
当域管理员登录到域中,并使用一个具有域和本地计算机管理员权限的帐户在凭证管理器中注册了域身份之后,就会发生这种情况.
当域管理员试图从凭证管理器中修改Windows密码时,管理员将得到登录失败错误:Useraccountrestriction(用户帐户限制).
凭证管理器无法通过ChangeWindowspassword(更改Windows密码)来更改域用户的帐户密码.
凭证管理器只能更改本地计算机帐户密码.
域用户可以通过Windowssecurity(Windows安全)>Changepassword(更改密码)选项来更改其密码,但由于域用户在本地计算机上没有实际的帐户,因此凭证管理器只能更改用于登录的密码.
凭证管理器的单一登录默认设置应设置为阻止循环的提示.
单一登录默认情况下设置为自动登录用户.
不过,在创建两个不同的有密码保护的文档过程中,在创建第二个文档时,凭HP正在研究未来产品增强功能的解决之道.
ZHCNProtectTools凭证管理器23简短说明详细说明解决方法证管理器使用记录下来的最后一个密码,即第一个文档的密码.
与CorelWordPerfect12密码gina不兼容问题如果用户登录到凭证管理器,在WordPerfect中创建文档并用密码保护进行保存,则凭证管理器无法手动或自动检测或识别密码gina.
HP正在研究未来产品增强功能的解决之道.
凭证管理器无法识别屏幕上的Connect(连接)按钮.
如果用于远程桌面连接(RDP)的单一登录凭证设置为Connect(连接),则在重新启动后,单一登录始终输入SaveAs(另存为)按钮,而不是Connect(连接)按钮.
HP正在研究未来产品增强功能的解决之道.
ATICatalyst配置向导不能与凭证管理器一起使用.
凭证管理器单一登录功能与ATICatalyst配置向导冲突.
禁用凭证管理器单一登录.
使用TPM验证登录时,屏幕上的Back(后退)按钮跳过选择另一种验证方法的选项.
如果使用凭证管理器的TPM登录验证的用户输入其密码,则Back(后退)按钮将不正常工作,而是立即显示Windows登录屏幕.
HP正在研究未来产品增强功能的解决之道.
凭证管理器在没有响应配置的情况下从等待模式中打开.
当未选择useCredentialManagerlogontoWindows(使用凭证管理器登录Windows)作为一个选项时,允许系统进入S3挂起然后唤醒系统会导致凭证管理器登录到Windows以便打开.
如果没有设置管理员密码,用户无法通过凭证管理器登录Windows,原因在于凭证管理器调用帐户限制.
无需Java卡/身份标记,用户可以取消凭证管理器登录,并会看到MicrosoftWindows登录.
此时用户可以登录.
利用Java卡/身份标记,以下方法允许用户启用/禁用在插入Java卡时打开凭证管理器.
1.
单击AdvancedSettings(高级设置).
2.
单击Service&Applications(服务和应用程序).
3.
单击JavaCardsandTokens(Java卡和身份标记).
4.
在插入Java卡和身份标记时单击.
5.
选择Advisetolog-on(建议登录)复选框.
如果TPM模块被删除或损坏,用户将丢失用它来保护的凭证管理器的所有凭证.
如果TPM模块被删除或损坏,用户将丢失用它来保护的所有凭证.
这是有意设计的.
TPM模块设计用于保护凭证管理器的凭证.
HP建议用户在删除TPM模块之前备份凭证管理器的标识.
凭证管理器未设置作为Windows2000中的主登录.
在安装Windows2000过程中,设置了手动或自动登录管理的登录策略.
如果选择了自动登录,则Windows默认的注册表设置将默认的自动管理登录值设置为1,并且凭证管理器无法覆盖该值.
这是有意设计的.
如果用户希望修改要绕过的自动管理登录值的操作系统级别设置,则编辑路径为HKEY_LOCAL_MACHINE/Software/Microsoft/WindowsNT/CurrentVersion/WinLogon小心使用注册表编辑器风险自负!
使用注册表编辑器(regedit)不当会造成要求重新安装操作系统的严重故障.
无法担保可以解决因注册表编辑器使用不当引起的任何问题.
无论是否安装或注册指纹识别器,都会出现指纹登录消息.
如果用户选择Windows登录,则在凭证管理器任务栏中出现以下桌面警告:Youcanplaceyourfingeronthe桌面警告的目的是通知用户指纹验证可用(如果已经对其配置).
24第8章故障排除ZHCN简短说明详细说明解决方法fingerprintreadertologontoCredentialManager.
(可以将手指放在指纹识别器上登录到凭证管理器.
)没有连接阅读器时,Windows2000的凭证管理器登录窗口声明insertcard(插入卡).
没有连接Java卡阅读器时,Windows凭证管理器的欢迎使用屏幕建议用户使用insertcard(插入卡)选项登录.
该警告的目的是通知用户Java卡可用(如果已经对其配置).
仅在WindowsXPServicePack1上从睡眠模式转换到休眠模式后,无法登录到凭证管理器.
允许系统转换到休眠和睡眠模式后,管理员或用户无法登录到凭证管理器,并且无论是否选择了登录凭证(密码、指纹或Java卡),Windows登录屏幕一直显示.
这个问题看起来要在MicrosoftServicePack2中解决.
有关引起此问题的原因的详细信息,请参阅网站http://www.
microsoft.
com上Microsoft知识库文章813301.
要登录,用户必须先选择凭证管理器,然后再登录.
登录到凭证管理器后,系统将提示用户登录到Windows(用户必须选择Windows登录选项)以完成登录过程.
如果用户先登录到Windows,则必须手动登录到凭证管理器.
恢复嵌入式安全保护功能会导致凭证管理器无法运行.
将ROM恢复到出厂设置后,凭证管理器将无法注册任何凭证.
如果在安装凭证管理器之后将ROM重置为出厂设置,则HPCredentialManagerforProtectTools(HPProtectTools凭证管理器)将无法访问TPM.
TPM嵌入式安全保护芯片可以在BIOS计算机设置实用程序、ProtectToolsBIOS配置模块或HPClientManager(HP客户端管理器)中启用.
要启用TPM嵌入式安全保护芯片,请执行以下操作:1.
通过打开或重新启动计算机的方式打开计算机设置实用程序.
当屏幕的左下角显示F10=ROMBasedSetup(F10=基于ROM的设置)消息时,按F10键.
2.
使用箭头键选择Security(安全保护)>SetupPassword(设置密码).
设置密码.
3.
选择EmbeddedSecurityDevice(嵌入式安全保护设备).
4.
使用箭头键选择EmbeddedSecurityDevice–Disable(嵌入式安全保护设备-禁用).
使用箭头键将其更改为EmbeddedSecurityDevice–Enable(嵌入式安全保护设备-启用).
5.
选择Enable(启用)>Savechangesandexit(保存更改并退出).
HP正在调研未来用户软件版本的解决问题方向.
安全保护RestoreIdentity(恢复标识)过程中断与虚拟身份标记的关联.
当用户恢复标识时,凭证管理器可能会在登录屏幕上中断与虚拟身份标记的关联.
尽管凭证管理器已经注册虚拟身份标记,但用户必须注册该身份标记才能恢复关联.
目前是有意这样设计的.
如果在卸载凭证管理器时没有保留标识,则该身份标记的系统(服务器)部分遭到破坏,因此即使通过标识恢复恢复了身份标记的客户端部分,也无法再使用该身份标记进行登录.
HP正在调研究长远的解决问题方向.
ZHCNProtectTools凭证管理器25ProtectTools嵌入式安全保护简短说明详细说明解决方法加密PSD上的文件夹、子文件夹和文件时出现错误消息.
如果用户将文件和文件夹复制到PSD并尝试对文件夹/文件或文件夹/子文件夹进行加密,将出现ErrorApplyingAttributes(应用属性时出错)消息.
用户可以在另外安装的硬盘驱动器上的C:\驱动器中加密同样的文件.
这是有意设计的.
将文件/文件夹移到PSD时会自动进行加密.
因此不需要对这些文件/文件夹进行"再次加密".
尝试使用EFS在PSD上再次加密时会产生此错误消息.
在多引导平台上无法控制其它操作系统.
如果将某个启动器设置成可以从多个操作系统来引导,则在某一个操作系统中只能使用平台初始化向导来控制该驱动器.
这是出于安全考虑有意这样设计的.
未授权的管理员可以查看、删除、重命名或移动加密的EFS文件夹的内容.
对文件夹进行加密并不能阻止拥有管理权限的未授权用户查看、删除或移动该文件夹的内容.
这是有意设计的.
它是EFS的一个功能,而不是嵌入式安全保护TPM.
嵌入式安全保护模块使用MicrosoftEFS软件,并且EFS为所有管理员保留对文件/文件夹的访问权限.
使用EFS加密的文件夹在Windows2000中并没有用绿色突出显示出来.
使用EFS加密的文件在WindowsXP中用绿色突出显示出来,但在Windows2000中没有同样的显示.
这是有意设计的.
这是EFS的一个特点,它只在WindowsXP中突出显示加密的文件夹,而不在Windows2000中突出显示.
无论是否安装嵌入式安全保护TPM,都会出现上述情形.
在Windows2000中EFS不需要密码就可以查看加密的文件.
如果用户设置了嵌入式安全保护模块,并以管理员身份进行登录,然后注销,又再以管理员身份重新登录,则该用户以后可以不使用密码即可查看Windows2000中的文件/文件夹.
这种情况只出现在Windows2000中第一个管理员帐户.
如果有第二个管理员帐户登录,就不会出现这一情况.
这是有意设计的.
这是EFS在Windows2000中的一个特点.
默认情况下,在WindowsXP中,EFS要求用户使用密码来打开文件/文件夹.
不能将软件安装在使用FAT32分区的恢复区.
如果用户试图使用FAT32恢复硬盘驱动器,则不能使用EFS加密文件/文件夹.
这是有意设计的.
只有NTFS支持MicrosoftEFS,FAT32并不支持它.
这是MicrosoftEFS的一个特点,与HPProtectTools软件无关.
通过隐藏($)共享,Windows2000用户可以共享网络上的任何PSD.
通过隐藏($)共享,Windows2000用户可以共享网络上的任何PSD.
使用隐藏($)共享可以在网络上访问该隐藏共享.
PSD在网络上无法正常共享,但可以通过隐藏($)共享实现共享(仅适用于Windows2000).
HP建议始终对内置的管理员帐户进行密码保护.
用户可以加密或删除恢复档案XML文件.
有意不设置此文件的ACL;因此用户可以无意或有意地加密或删除该文件,使文件变得不可访问.
一旦此文件被加密或删除,任何人都不能使用TPM软件.
这是有意设计的.
用户拥有对急救档案的访问权限才能保存/更新他们的基本用户密钥备份.
客户应采用"最佳做法"的安全保护措施,并通知用户永远不要加密或删除该恢复档案文件.
HPProtectToolsEmbeddedSecurity(HPProtectTools嵌入式安全保护)的EFS与SymantecAntivirus或NortonAntivirus的交互导致加密/解密和扫描时间变长.
加密文件会干扰SymantecAntivirus或NortonAntivirus2005的病毒扫描.
扫描过程中,基本用户密码提示每隔大约10个文件就要求用户输入密码.
如果该用户没有输入密码,基本用户密码提示将超时,并允许NAV2005继续进行扫描.
运行SymantecAntivirus或NortonAntivirus时,使用HPProtectToolsEmbeddedSecurity(HPProtectTools嵌入式安全保护)的EFS加密文件将花费更长时间.
要减少扫描HPProtectToolsEmbeddedSecurity(HPProtectTools嵌入式安全保护)的EFS文件的时间,用户既可以在扫描之前输入加密密码,也可以在扫描之前解密.
要缩短使用HPProtectToolsEmbeddedSecurity(HPProtectTools嵌入式安全保护)的EFS加密/解密数据的时间,该用户应禁用SymantecAntivirus或NortonAntivirus的Auto-Protect(自动保护).
26第8章故障排除ZHCN简短说明详细说明解决方法无法将急救档案保存到可移动介质.
在嵌入式安全保护模块初始化过程中,如果用户在创建急救档案路径时插入MMC或SD卡,就会出现错误消息.
这是有意设计的.
不支持在可移动介质上存储恢复档案.
可以将恢复档案存储到网络驱动器或除了C驱动器之外的其它本地驱动器.
在Windows2000的法语(法国)环境中,无法加密任何数据.
右击某个文件图标时,不会出现任何Encrypt(加密)选项.
这是Microsoft操作系统的一个局限.
如果更改到其它区域(比如,法语(加拿大)),将出现Encrypt(加密)选项.
要解决该问题,请执行如下操作加密文件:右击该文件图标,并选择Properties(属性)>Advanced(高级)>EncryptContents(加密内容).
在嵌入式安全保护模块初始化过程中,在控制该模块时出现掉电后,会产生错误.
如果在初始化嵌入式安全保护芯片时掉电,将出现以下问题:当尝试运行嵌入式安全保护模块初始化向导时,将显示以下错误:TheEmbeddedsecuritycannotbeinitializedsincetheEmbeddedSecuritychiphasalreadyanEmbeddedSecurityowner.
(因为嵌入式安全保护芯片已经有一个嵌入式安全保护模块的主人,所以无法初始化嵌入式安全保护模块.
)当尝试运行用户初始化向导时,将显示以下错误:TheEmbeddedsecurityisnotinitialized.
Tousethewizard,theEmbeddedSecuritymustbeinitializedfirst.
(嵌入式安全保护模块尚未初始化.
要使用该向导,必须先初始化嵌入式安全保护模块.
)要从掉电中恢复,请执行以下步骤:注意使用箭头键选择不同的菜单和菜单项,并更改值(除非已使用其它方式指定).
1.
启动或重新启动计算机.
2.
当屏幕上出现F10=Setup(F10=设置)消息(或显示器的LED指示灯变绿)时,按F10键.
3.
选择合适的语言选项.
4.
按Enter键.
5.
选择Security(安全保护)>EmbeddedSecurity(嵌入式安全保护).
6.
将EmbeddedSecurityDevice(嵌入式安全保护设备)选项设置为Enable(启用).
7.
按F10键接受所做的更改.
8.
选择File(文件)>SaveChangesandExit(保存更改并退出).
9.
按ENTER键.
10.
按F10键保存更改并退出F10设置实用程序.
启用TPM模块后,可以删除计算机设置(F10)实用程序密码.
启用TPM模块需要使用计算机设置(F10)实用程序密码.
一旦启用了该模块,用户即可删除该密码.
这允许对系统有直接访问权限的任何用户重新设置TPM模块,但会导致数据丢失.
这是有意设计的.
计算机设置(F10)实用程序密码只能由知道该密码的用户删除.
然而,HP极力建议您在任何时候都要对计算机设置(F10)实用程序进行密码保护.
当系统从等待状态恢复之后,将不再显示PSDpassword(PSD密码)框.
创建PSD后,当用户登录系统时,TPM会要求输入基本用户密码.
如果用户不输入该密码,系统将进入等待模式,当从等待模式恢复时将不再显示Password(密码)对话框.
这是设计要求的.
用户必须先注销,然后重新登录,才能再次看到PSDpassword(PSD密码)框.
更改SecurityPlatformPolicies(安全平台策略)不需要使用密码.
系统中拥有管理权限的用户在访问SecurityPlatformPolicies(安全平台策略)(计算机和用户)时,不需要使用TPM密码.
这是设计要求的.
任何管理员都有权更改带有或不带有TPM用户初始化的SecurityPlatformPolicies(安全平台策略).
MicrosoftEFS在Windows2000上并不能发挥其全部功能.
管理员不需知道正确的密码就可以访问系统中的加密信息.
如果管理员输入错误的密码或取消password(密码)对话框,加密的文件也会打开,就像是管理员已经将自动配置DataRecoveryPolicy(数据恢复策略)以将管理员指派为恢复代理.
当无法检索用户密钥时(不小心输入错误密码或取消EnterPassword(输入密码)对话框时),将使用恢复密钥自动加密文件.
ZHCNProtectTools嵌入式安全保护27简短说明详细说明解决方法输入了正确的密码一样.
无论加密数据时是否使用安全设置,上述情形都会发生.
但这一情况仅出现在Windows2000的第一个管理员帐户中.
这是由于MicrosoftEFS引起的.
有关详细信息,请参阅http://www.
microsoft.
com网站上的Microsoft知识库技术文章Q257705.
非管理员用户无法打开这些文档查看证书时,证书显示为不可信.
在设置HPProtectTools并运行UserInitializationWizard(用户初始化向导)后,用户可以查看已颁发的证书,但是在查看证书时,它显示为不可信.
尽管此时可以通过单击install(安装)按钮来安装证书,但安装并不会使证书变为可信.
自签名证书不受信任.
在适当配置的企业环境中,由联机认证机构颁发的EFS证书受信任.
出现间断加密和解密错误:由于另一个进程正在使用文件,此进程无法访问它.
由于其它进程正在使用文件,因此在文件加密或解密过程中就会出现严重的间断错误,即使操作系统或其它应用程序不在处理该文件或文件夹时也会出现.
要解决这一错误,请执行以下操作:1.
重新启动系统.
2.
注销退出.
3.
重新登录.
如果在新数据生成或传输之前删除存储,则在可移动存储设备上会出现数据丢失.
删除存储介质(比如多功能插槽硬盘驱动器)仍将显示PSD可用,并且不会在向PSD添加/修改数据时生成错误.
在系统重新启动后,PSD没有反映在可移动存储不可用时出现的文件变化.
这个问题只在以下情况中出现:用户访问PSD,然后在完成数据生成或传输之前删除硬盘驱动器.
如果用户尝试在没有可移动硬盘驱动器时访问PSD,就会显示一条错误消息:thedeviceisnotready(设备未就绪).
在卸载过程中,如果用户没有初始化基本用户并打开管理工具,则Disable(禁用)选项不可用,并且在关闭管理工具之前,卸载程序将无法继续运行.
用户可以选择在未禁用TPM的情况下卸载或在第一次禁用TPM时卸载(通过管理工具),然后进行卸载.
访问管理工具需要进行基本用户密钥初始化.
如果未进行基本初始化,则用户无法访问所有选项.
由于用户明确选择了打开管理工具(在提示ClickYestoopenEmbeddedSecurityAdministrationtool(单击"是"打开嵌入式安全保护管理工具)的对话框中单击Yes(是)),因此在关闭管理工具后才开始卸载.
如果用户在该对话框中单击No(否),则不会打开管理工具,卸载继续进行.
该管理工具用于禁用TPM芯片,但除非已经初始化基本用户密钥,否则该选项不可用.
如果还没有初始化,则选择OK(确定)或Cancel(取消)继续进行卸载过程.
在2个用户帐户上创建PSD并在128MB系统配置中使用快速用户切换,则会发生间歇系统锁定.
系统锁定后出现黑屏,键盘和鼠标也不响应,而不会在使用包含最小RAM的快速切换功能时显示Welcome(登录)屏幕.
根本原因可能是低内存配置出现定时问题.
集成图形卡使用占用8MB内存的UMA体系结构,余下的120MB内存供用户使用.
这120MB内存由登录的两个用户共享,在出现错误时快速切换用户.
解决方法是重新引导系统,并建议用户增加内存配置(默认情况下,在HP不随安全保护模块提供128MB内存配置).
EFS用户验证(密码请求)超时,显示accessdenied(访问被拒绝).
在单击OK(确定)或超时后从等价状态返回时,EFS用户验证密码重新打开.
这是有意设计的,以避免MicrosoftEFS出现问题(创建一个30秒监视程序定时器以生成错误消息).
在安装日语版程序过程,在功能描述中出现小截断功能描述在自定义设置安装向导选项过程中被截断.
HP将在以后的版本纠正这一问题.
EFS加密在没有提示输入密码时工作.
通过允许提示用户密码超时,加密仍可在文件或文件夹上进行.
加密功能不需要密码验证,因为这是MicrosoftEFS加密的一个特点.
解密需要提供用户密码.
28第8章故障排除ZHCN简短说明详细说明解决方法即使在UserInitializationWizard(用户初始化向导)中未选中,或者在用户策略中禁用了安全电子邮件配置,也支持安全电子邮件功能.
嵌入式安全软件和该向导不控制电子邮件客户端(比如Outlook、OutlookExpress或Netscape)的设置此行为是有意设计的.
TPM电子邮件的配置不禁用在电子邮件客户端中直接编辑加密设置.
可以通过第三方应用程序设置并控制安全电子邮件的使用.
HP向导允许连接三个参考应用程序以便立即进行自定义.
在同一台计算机或以前初始化的计算机上第二次运行LargeScaleDeployment(大规模部署)将覆盖急救和急救身份标记文件.
新文件对于恢复没有什么作用.
在任何先前初始化HPProtectTools嵌入式安全保护模块的系统上运行LargeScaleDeployment(大规模部署)将通过复写xml文件使急救档案和恢复身份标记失去作用.
HP正在解决xml文件复写问题,将在以后的SoftPaq包中提供解决方案.
自动登录脚本在用户恢复嵌入式安全保护过程中停止运行.
此错误在用户执行以下操作后发生:在嵌入式安全保护模块中初始化主人和用户(使用默认位置–MyDocuments(我的文档)).
在BIOS中将芯片重置为出厂设置.
重新引导计算机.
开始恢复嵌入式安全保护功能.
在恢复过程中,凭证管理器提示用户系统是否可以自动登录InfineonTPMUserAuthentication(InfineonTPM用户验证).
如果用户选择Yes(是),则SPEmRecToken的位置自动出现在文本框中.
即使该位置正确,也会显示以下错误消息:NoEmergencyRecoveryTokenisprovided.
SelectthetokenlocationtheEmergencyRecoveryTokenshouldberetrievedfrom.
(未提供急救身份标记.
请选择检索急救身份标记的位置.
)单击屏幕上的Browse(浏览)按钮选择一个位置,然后恢复过程继续进行.
多个用户PSD在快速用户切换环境下不工作.
当创建多个用户并且为PSD指定相同的驱动器盘符时就会出现这一错误.
如果在加载PSD时试图进行快速用户切换,则第二个用户的PSD将不可用.
只有在重新配置第二个用户的PSD使用其它驱动器盘符或第一个用户注销的情况下,第二个用户的PSD才可用.
PSD被禁用,并且无法在格式化生成PSD的硬盘驱动器后将其删除.
PSD被禁用,并且无法在格式化生成PSD的辅助硬盘驱动器后将其删除.
PSD图标仍然显示,但在用户尝试访问PSD时出现driveisnotaccessible(驱动器不可访问)错误消息.
用户无法删除PSD,并出现一条错误消息:yourPSDisstillinuse,pleaseensurethatyourPSDcontainsnoopenfilesandisnotaccessedbyanotherprocess(您的PSD仍在使用,请确认您的PSD不包含打开的文件,并且没有被其它进程访问).
用户必须重新启动系统才能删除PSD,并且在重新启动后也不会加载它.
这是有意设计的:如果用户强行删除或从PSD数据的存储位置断开连接,则嵌入式安全保护PSD驱动器模拟继续运行,并根据缺少通信和丢失数据生成错误.
解决方法:在下次重新引导时,仿真将无法加载,用户可以删除旧的PSD仿真,然后创建新的PSD.
ZHCNProtectTools嵌入式安全保护29简短说明详细说明解决方法从自动备份档案中恢复时检测到了内部错误.
如果用户单击HPPTSM中嵌入式安全保护模块的RestoreunderBackup(备份后恢复)选项,从自动备份档案进行恢复选择SPSystemBackup.
xmlRestoreWizard(恢复向导)失败,并显示下列错误消息:TheselectedBackupArchivedoesnotmatchtherestorereason.
Pleaseselectanotherarchiveandcontinue.
(选择的备份档案与恢复原因不匹配.
请选择另外一个档案并继续.
)如果需要SpBackupArchive.
xml时用户选择SpSystemBackup.
xml,则嵌入式安全保护向导失败,并出现下列错误消息:AninternalEmbeddedSecurityerrorhasbeendetected.
(检测到嵌入式安全内部错误.
)用户必须选择正确的.
xml文件才能匹配所需的原因.
上述过程按设计需要工作并且运行正常;但是,嵌入式安全保护模块内部错误消息不是非常清楚,应该显示一个更准确的消息.
HP正在努力在将来版本中增强此功能.
安全系统显示多个用户的恢复错误.
在恢复过程中,如果管理员选择进行恢复的用户,未选择的用户在稍候尝试恢复时,则无法恢复密钥.
将显示decryptionprocessfailed(解密过程失败)错误消息.
通过在下一次默认日常备份运行之前重置TPM,运行恢复过程,然后选择所有用户,可以恢复未选择的用户.
如果运行了自动备份,则会覆盖未恢复用户,并且他们的数据会丢失.
如果恢复一个新的系统备份,则无法恢复以前的未选择用户.
另外,用户必须恢复整个系统备份.
档案备份可以单独恢复.
将系统ROM重置为默认隐藏TPM.
将系统ROM重置为默认设置,即对于Windows隐藏TPM.
这样会使安全软件无法正常运行,并且使TPM加密数据无法访问.
在BIOS中取消隐藏TPM:打开计算机设置(F10)实用程序,导航至Security(安全保护)>Devicesecurity(设备安全保护),将该字段从Hidden(隐藏)修改为Available(可用).
自动备份不能用于映射的驱动器.
当管理员在嵌入式安全保护模块中设置AutomaticBackup(自动备份)时,会在Windows>Tasks(任务)>ScheduledTask(计划任务)中创建一个条目.
此WindowsScheduledTask(Windows计划任务)将设置为使用NTAUTHORITY\SYSTEM来获取执行该备份的权限.
这种情况对于所有本地驱动器均运行正常.
而当管理员配置AutomaticBackup(自动备份)使其保存到映射驱动器时,该过程则会失败,因为NTAUTHORITY\SYSTEM没有使用映射驱动器的权限.
如果AutomaticBackup(自动备份)计划为在登录时进行,嵌入式安全保护的TNA图标则会显示下列消息:TheBackupArchivelocationiscurrentlynotaccessible.
ClickhereifyouwanttobackuptoatemporaryarchiveuntiltheBackupArchiveisaccessibleagain.
(备份档案位置当前不可访问.
如果要在该备份档案可重新访问之前备份到一个临时档案中,请单击此处.
)如果AutomaticBackup(自动备份)计划为在某个特定的时间进行,但是备份失败,并且没有显示任何失败通知.
解决方法为将NTAUTHORITY\SYSTEM更改为(计算机名)\(管理员名称).
这是手动创建ScheduledTask(计划任务)情况下的默认设置.
HP正在努力在将来产品版本中提供包括计算机名\管理员名称的默认设置.
无法在嵌入式安全保护模块的GUI中临时禁用嵌入式安全保护状态.
当前的4.
0软件是为HPNotebook1.
1B实施设计的,也支持HPDesktop1.
2实施.
HP将在将来版本中解决此问题.
30第8章故障排除ZHCN简短说明详细说明解决方法此要禁用的选项在TPM1.
1平台的软件界面中仍然受支持.
ZHCNProtectTools嵌入式安全保护31其它受影响的软件–简短说明详细说明解决方法收到HPProtectToolsSecurityManager–警告:ThesecurityapplicationcannotbeinstalleduntiltheHPProtectToolsSecurityManagerisinstalled(必须首先安装HPProtectTools安全管理器然后才能安装该安全应用程序).
所有安全应用程序,如嵌入式安全保护模块、Java卡和生物识别器,都是用于HPSecurityManager(HP安全管理器)界面的可扩展插件.
必须首先安装安全管理器,然后才能加载经过HP批准的安全插件.
必须首先安装HPProtectToolsSecurityManager(HPProtectTools安全管理器)软件,然后才能安装任何安全插件.
用于dc7600机型和包含启用Broadcom的TPM的型号的HPProtectToolsTPMFirmwareUpdateUtility(HPProtectToolsTPM固件更新实用程序)–通过HP支持网站提供的工具报告ownershiprequired(需要的所有权).
这是用于dc7600机型和包含启用Broadcom的TPM的型号的TPM固件更新实用程序的预期行为该固件升级工具使得用户在具有或不具有授权密钥(EK)的情况下都能升级固件.
如果没有EK,则在完成固件升级时不需要授权.
如果有EK,则必须存在TPM所有者,因为升级需要所有者授权.
成功升级之后,必须重新启动平台才能使得新固件生效.
如果出厂时重置了BIOSTPM,则会删除所有权,必须首先配置嵌入式安全保护软件平台和UserInitializationWizard(用户初始化向导)之后才能使用固件更新功能.
*执行固件更新后,始终建议进行重新引导.
重新引导之后才能正确标识固件版本.
1.
重新安装HPProtectToolsEmbeddedSecurity(HPProtectTools嵌入式安全保护)软件.
2.
运行该平台和Userconfigurationwizard(用户配置向导).
3.
确保系统包含Microsoft.
NETframework1.
1安装:a.
单击Start(开始).
b.
单击ControlPanel(控制面板).
c.
单击Addorremoveprograms(添加或删除程序).
d.
确保列出了Microsoft.
NETFramework1.
1.
4.
检查硬件和软件配置:a.
单击Start(开始).
b.
单击AllPrograms(所有程序).
c.
单击HPProtectToolsSecurityManager(HPProtectTools安全管理器).
d.
在树型菜单中选择EmbeddedSecurity(嵌入式安全保护).
e.
单击MoreDetails(更多详细信息).
系统应该具有下列配置:Productversion(产品版本)=V4.
0.
1EmbeddedSecurityState(嵌入式安全保护状态):ChipState(芯片状态)=Enabled(启用),OwnerState(主人状态)=Initialized(已初始化),UserState(用户状态)=Initialized(已初始化)ComponentInfo(组件信息):TCGSpec.
Version(TCG规范版本)=1.
2Vendor(供应商)=BroadcomCorporation32第8章故障排除ZHCN受影响的软件–简短说明详细说明解决方法FWVersion(固件版本)=2.
18(或更高)TPMDevicedriverlibraryversion(TPM设备驱动程序库版本)2.
0.
0.
9(或更高)5.
如果固件版本与2.
18不匹配,则下载并更新TPM固件.
http://www.
hp.
com网站提供TPM固件SoftPaq的下载支持.
HPProtectToolsSecurityManager–关闭安全管理器界面时偶尔会返回错误消息.
在没有完成加载所有插件应用程序之前,使用屏幕右上角的关闭按钮关闭安全管理器时,偶尔会产生错误(12个例程中出现1次).
这与关闭和重新启动安全管理器时与插件服务加载时间的计时相关性有关.
因为PTHOST.
exe是承载其它应用程序(插件)的shell,所以它依赖于插件的能力才能完成其加载时间(服务).
在插件还没有时间完成加载时就关闭该shell,是造成这种情况的根本原因.
等待安全管理器完成服务加载消息(在安全管理器窗口的上部可以看到),并且所有插件均列在左栏中.
要避免失败,请等待一段合理的时间,使得这些插件完成加载.
HPProtectTools*General–不受限制的访问或不受控制的管理员权限存在安全风险.
对于客户PC不受限制的访问可能存在很多风险:删除PSD恶意修改用户设置禁用安全策略和功能鼓励管理员在限制最终用户特权和提供限制性用户访问权限时采用"最佳做法".
对于未授权的用户不应授予管理权限.
BIOS和操作系统嵌入式安全保护密码不同步.
如果用户不验证新密码是否与BIOS嵌入式安全保护密码相同,嵌入式安全保护密码则会通过F10BIOS恢复为最初的嵌入式安全密码.
这按设计要求运行;通过更改操作系统基本用户密码并在BIOS嵌入式安全保护密码提示符下对其进行验证,可以重新同步这些密码.
在BIOS中启用了TPM预引导验证之后,只有一个用户可以登录系统.
TPMBIOS个人标识号与初始化用户设置的第一个用户相关联.
如果某个计算机具有多个用户,第一个用户实际上就是管理员.
第一个用户必须将其TPM用户个人标识号提供给其它用户才能用于进行登录.
这按设计要求运行;HP建议客户的IT部门按照良好的安全策略创建安全解决方案,并确保BIOS管理员密码由IT管理员进行配置,以获得系统级的保护.
TPM出厂重置后,用户必须更改个人标识号才能使TPM预引导运行.
用户必须更改个人标识号或创建另一个用户来初始化他的用户设置,才能使TPMBIOS验证在重置之后运行.
没有任何选项可使TPMBIOS验证运行.
这是有意设计的,出厂重置会清除基本用户密钥.
用户必须更改其用户个人标识号或创建新用户才能重新初始化基本用户密钥.
使用嵌入式安全保护模块的ResettoFactorySettings(重置为出厂设置)选项无法将Power-onauthenticationsupport(开机验证支持)设置为默认值在计算机设置实用程序中,使用嵌入式安全保护设备的选项ResettoFactorySettings(重置为出厂设置),无法将Power-onauthenticationsupport(开机验证支持)重置为出厂设置.
默认情况下,Power-onauthenticationsupport(开机验证支持)设置为Disable(禁用).
ResettoFactorySettings(重置为出厂设置)选项会禁用嵌入式安全保护设备,从而隐藏其它嵌入式安全保护选项(包括Power-onauthenticationsupport(开机验证支持)).
但是,重新启用嵌入式安全保护设备之后,Power-onauthenticationsupport(开机验证支持)会保持启用状态.
HP正在努力寻找一种解决方法,将在以后的基于Web的ROMSoftPaq产品中提供该方法.
ZHCN其它33受影响的软件–简短说明详细说明解决方法在引导顺序中,SecurityPower-OnAuthentication(安全开机验证)与BIOS密码交迭.
开机验证提示用户使用TPM密码登录系统,但是如果用户按F10访问BIOS的话,则只授予读权限访问.
为了能够写入BIOS,用户必须在Power-OnAuthentication(开机验证)窗口中输入BIOS密码,而不是TPM密码.
在Windows嵌入式安全保护软件中更改了主人密码之后,BIOS会通过计算机设置实用程序要求输入新旧两个密码.
在Windows嵌入式安全保护软件中更改了主人密码之后,BIOS会通过计算机设置实用程序要求输入新旧两个密码.
这是有意设计的.
这是因为一旦操作系统开始运行,BIOS就无法与TPM进行通信,也无法根据TPM密钥来验证TPM密码短语了.
34第8章故障排除ZHCN术语表BIOS安全保护模式(BIOSsecuritymode)JavaCardSecurityforProtectTools(Java卡安全保护功能)中的设置,启用后要求使用Java卡和有效的个人标识号进行用户验证.
BIOS配置文件(BIOSprofile)一组可以保存并应用于其它帐户的BIOS配置设置.
Java卡(JavaCard)大小和形状类似信用卡的小型硬件,用于存储主人的身份信息.
用于验证计算机主人的身份.
Java卡管理员密码(JavaCardadministratorpassword)在计算机设置实用程序中将管理员Java卡与计算机相关联的密码,以便于在启动或重新启动时验证身份.
此密码可由管理员手动设置或随机生成.

Java卡用户密码(JavaCarduserpassword)在计算机设置实用程序中将用户Java卡与计算机相关联的密码,以便于在启动或重新启动时验证身份.
此密码可由管理员手动设置或随机生成.

Microsoft加密API(MicrosoftCryptographicAPI)或CryptoAPI(MSCAPI)Microsoft的一个API,它能够为加密应用程序提供一个Windows操作系统接口.
TCG软件堆栈(TCGSoftwareStack,TSS)能够提供充分利用TPM优势的服务,但不需要相同保护.
能够提供用于访问TPM功能的标准软件接口.
为充分利用密钥备份、密钥迁移、平台验证与证明等TPM的功能,应用程序直接写入TSS.
USB身份标记(USBtoken)存储用户身份信息的安全设备.
该设备类似于Java卡或生物识别器,用于验证计算机主人的身份.
Windows用户帐户(Windowsuseraccount)有权登录到网络或个人计算机的用户的配置文件.
安全多目的Internet邮件扩展(SecureMultipurposeInternetMailExtensions,S/MIME)一种使用PKCS的安全电子消息规范.
S/MIME能够通过数据签名实现验证,并通过加密实现私密保护.
标识(Identity)ProtectTools凭证管理器中的一组凭证和设置,其用途类似于特定用户的帐户或配置文件.

重新引导(Reboot)重新启动计算机的过程.
单一登录功能(SingleSignOn)存储验证数据并允许您使用凭证管理器来访问需要密码验证的Internet和Windows应用程序的功能.
低针脚计数(LowPinCount,LPC)用于定义HPProtectToolsEmbeddedSecurity(HPProtectTools嵌入式安全保护)设备连接到平台芯片所使用的接口.
该总线由4位地址/数据针脚构成,具有33Mhz时钟和多个控制/状态针脚.
高级加密标准(AdvancedEncryptionStandard,AES)一种对称式128位块数据加密技术.
个人安全驱动器(PersonalSecureDrive,PSD)为敏感数据提供的受保护的存储区域.
该功能是由HPProtectToolsEmbeddedSecurity(HPProtectTools嵌入式安全保护)模块提供的.
该应用程序能够在用户的计算机上创建一个虚拟驱动器,并能够为移动到虚拟驱动器的文件/文件夹自动加密.

ZHCN术语表35公共密钥基础结构(PublicKeyInfrastructure,PKI)用于定义使用公用密钥/专用密钥加密和解密的安全系统的实现方式.
公用密钥加密标准(PublicKeyCryptographicStandards,PKCS)生成的标准用于管制公用密钥/专用密钥的加密和解密方法的定义和使用.
急救档案(Emergencyrecoveryarchive)受保护的存储区域,允许重新加密基本用户密钥(从一个平台主人密钥到另一个平台主人密钥).
加密(Encryption)加密技术中将纯文本转换为密码文本以防止未授权收件人读取数据的过程(例如使用算法加密).
数据加密有多种类型,它们是网络安全的基础.
常用的类型包括DataEncryptionStandard(数据加密标准)和公用密钥加密.
加密服务提供程序(Cryptographicserviceprovider,CSP)可用于适当定义的接口来实现特定加密功能的加密算法提供程序或库.
与MSCAPI实现接口的软件组件.
加密技术(Cryptography)对数据进行加密和解密以保证只有指定用户才能解码数据的手段.
加密文件系统(EncryptingFileSystem,EFS)对选定文件夹中的所有文件和子文件夹进行加密的系统.
由Microsoft为Windows2000或更高版本提供的透明文件加密服务.
解密(Decryption)在加密技术中用于将加密的数据转换为纯文本的过程.
开机验证(Power-OnAuthentication)打开计算机时要求使用某种验证方式(例如Java卡、安全保护芯片或密码)的安全保护功能.
可信计算平台联盟(TrustedComputingPlatformAlliance,TCPA)可信计算联盟现在已经被TCG替代.
可信计算组(TrustedComputingGroup,TCG)一个致力于推广"可信PC"的行业协会.
TCG取代了TCPA.
可信平台模块(TPM)嵌入式安全保护芯片(TrustedPlatformModule(TPM)embeddedsecuritychip)(仅限某些机型)可保护高度敏感用户信息免受恶意攻击的集成安全保护芯片.
这可以根本地决定给定平台是否可信.

TPM提供的加密算法和运算满足可信计算组(TCG)规范.
TPM硬件和软件通过保护EFS和个人安全驱动器所使用的密钥,增强了EFS和个人安全驱动器的安全程度.
在没有TPM的系统中,用于EFS和PSD的密钥自动存储在硬盘驱动器上.
这种方式会使密钥受到潜在的安全威胁.
在具有TPM卡的系统中,始终存储在TPM芯片中的TPM专用存储根密钥用于"包装"或保护EFS和PSD使用的密钥.
侵入TPM提取专用密钥比浸入系统硬盘获取密钥困难的多.
TPM还能够通过MicrosoftOutlook和OutlookExpress的S/MIME增强安全电子邮件的安全性.
将TPM的功能如同加密服务供应商(CSP).
密钥和证书是由TPM硬件生成和提供支持的,它比仅由软件构成的实现方式提供更优异的安全性.
凭证(Credentials)用户在验证过程中证明其有资格执行特定任务的方法.
迁移(Migration)允许管理、恢复和传输密钥及证书的任务.
认证机构(Certificationauthority)颁发运行公共密钥所需证书的服务机构.
生物(Biometric)使用生理特征(例如指纹)来识别用户的验证凭证类型.
数字签名(Digitalsignature)与文件一同发送的数据,用于证实发件人身份以及文件在签署后没有任何更改.

数字证书(Digitalcertificate)通过使用一对电子密钥签署数字信息,并将密钥与数字证书主人相关联来标识个人或公司身份的电子凭证.
网络帐户(Networkaccount)本地计算机、工作组或域中的Windows用户或管理员帐户.
虚拟身份标记(Virtualtoken)与Java卡和阅读器功能非常相似的安全保护功能.
该身份标记保存在计算机硬盘驱动器或Windows注册表中.
使用虚拟身份标记登录后,将要求您输入用户个人标识号以完成验证.