--------------------------------------------------------------------------------
		HP ProtectTools Embedded Security-Software V3.0.1
                      Anmerkungen zu dieser Version
--------------------------------------------------------------------------------

Inhalt:

1. Willkommen

2. Installation

3. HP ProtectTools Embedded Security Software
  3.1 HP ProtectTools Security Manager
  3.2 Assistent für die Initialisierung der Embedded Security
  3.3 Assistent für die Benutzerinitialisierung der Embedded Security
  3.4 Assistent für Migration der Embedded Security
  3.5 Backup-Assistent für die Embedded Security
  3.6 Statusanzeige-Applet der Embedded Security
  3.7 Integrationsservices der Embedded Security
  3.8 Embedded Security-Services

4. Falls Sie Fragen haben...

5. Anmerkungen zu dieser Version
  5.1 Info zu dieser Version
  5.2 Hard- und Software-Systemanforderungen
  5.3 Informationen zur Version
  5.4 Firmware-Update für den Embedded Security-Chip
  5.5 Bekannte Probleme und Einschränkungen

================================================================================

1. Willkommen

Willkommen bei der HP ProtectTools Embedded Security-Software.
Für die Verwendung des Embedded Security-Chip benötigen Sie die HP ProtectTools Embedded Security-Software.
Die HP ProtectTools Embedded Security-Software ist eine TCG-kompatible Sicherheitslösung für PCs.

Weitere Informationen über die TCG (Trusted Computing Group) finden Sie hier:
https://www.trustedcomputinggroup.org


2. Installation

Installation der HP ProtectTools Embedded Security-Software - "Setup.exe"
installiert:

- Embedded Security - Online-Dokumentation "Getting Started"
- HP ProtectTools Security Manager
- Assistent für die Initialisierung der Embedded Security
- Assistent für die Benutzerinitialisierung der Embedded Security
- Assistent für Migration der Embedded Security
- Embedded Security Backup Wizard
- Statusanzeige-Applet der Embedded Security
- Integrationsservices der Embedded Security
    * Integration von Microsoft® Outlook®
    * Integration in Netscape®
    * Integration des verschlüsselnden Dateisystems (Encrypted File System, EFS)
    * Personal Secure Drive
    * Richtlinienverwaltung
- Embedded Security Services
    * TCG TSS Service Provider
    * TCG TSS Core Service
    * TCG TSS Device Driver Library

Hinweis:
Zur Installation dieser Software benötigen Sie Administratorrechte.

Unbeaufsichtigte Installation:

Zur unbeaufsichtigten Installation kann der Befehl setup.exe mit den folgenden Kommandozeilen-Parametern ausgeführt werden:
- Installation für alle Benutzer:      setup.exe /s /v"/qn"


3. HP ProtectTools Embedded Security Software

3.1 HP ProtectTools Security Manager

Mit dem HP ProtectTools Security Manager können Sie die Einstellungen einer bereits initialisierten Embedded Security ändern.


3.2 Assistent für die Initialisierung der Embedded Security

Mit Hilfe des Assistenten für die Initialisierung der Embedded Security können Sie die Erstinstallation der Embedded Security ausführen, um Embedded Security-
Besitzer zu werden.


3.3 Assistent für die Benutzerinitialisierung der Embedded Security

Mit Hilfe des Assistenten für die Benutzerinitialisierung der Embedded Security können Sie einen Embedded Security-Benutzer das erste Mal einrichten, um die Integrationsservices der Embedded Security nutzen zu können.


3.4 Assistent für die Migration der Embedded Security

Mit dem Assistenten für Migration der Embedded Security können Sie die Benutzerschlüssel und die Zertifikate von einem System mit Embedded Security in ein anderes übernehmen.


3.5 Backup-Assistent für die Embedded Security

Mit dem Backup-Assistenten für die Embedded Security können Sie plattformspezifische Benutzer-Anmeldeinformationen sichern.


3.6 Statusanzeige-Applet der Embedded Security

Das Statusanzeige-Applet der Embedded Security liefert Ihnen allgemeine Informationen über den aktuellen Status der Embedded Security. Die entsprechenden Informationen werden über ein Symbol im Nachrichtenbereich der Symbolleiste angezeigt.


3.7 Integrationsservices der Embedded Security

Mit Hilfe des Cryptographic Provider können Sie den Embedded Security-Chip durch Applikationen nutzen, die das Microsoft Crypto-API verwenden.

Sie können beispielsweise:
- E-Mails in Microsoft® Outlook® oder Microsoft® Outlook® Express signieren oder verschlüsseln,
- über eine sichere, beidseitig authentifizierte SSL-Verbindung mit Microsoft Internet Explorer auf Websites zugreifen,
- Ihre Dateien verschlüsseln durch Bereitstellung einer nahtlosen Integration in das Encrypted File System (EFS) von Microsoft® Windows® 2000 Professional und Microsoft® Windows® XP Professional.

Mit Hilfe des PKCS#11-Providers können Sie den Embedded Security-Chip mit Applikationen nutzen, die die PKSC#11 Crypto-API verwenden.

Sie können beispielsweise:
- E-Mails mit Netscape® E-Mail-Clients signieren oder verschlüsseln,
- über eine sichere, beidseitig authentifizierte SSL-Verbindung mit den Netscape-Webbrowsern 7.0 und 4.79 auf Websites zugreifen.


3.8 Embedded Security-Services

Die Embedded Security-Services stellen Ihnen ein TCG-kompatibler Software-Stack auf Ihrem System zur Verfügung.
Der TCG Trusted Software-Stack besteht aus den folgenden Modulen:
- TCG TSS Device Driver Library
- TCG TSS Core Service
- TCG TSS Service Provider

Der TCG Software-Stack ist Bestandteil der TCG-kompatiblen Plattform und stellt Funktionen bereit, die von Betriebssystem und Applikationen verwendet werden können.

Wir empfehlen Ihnen nach der Installation zu überprüfen, ob ein Firmware-Update zur Verfügung steht.


4. Falls Sie Fragen haben...

Bitte wenden Sie sich bei Fragen oder Problemen zuerst an Ihren Händler.
Weitere Informationen und technischen Support finden Sie unter http://www.hp.com.


5. Anmerkungen zu dieser Version

5.1 Info zu dieser Version

Diese Version enthält:

- Embedded Security - Online-Dokumentation "Getting Started"
- HP ProtectTools Security Manager
- Assistent für die Initialisierung der Embedded Security
- Assistent für die Benutzerinitialisierung der Embedded Security
- Assistent für Migration der Embedded Security
- Embedded Security Backup Wizard
- Statusanzeige-Applet der Embedded Security
- Integrationsservices der Embedded Security
    * Integration von Microsoft® Outlook®
    * Integration in Netscape®
    * Integration des verschlüsselnden Dateisystems EFS (wird unter Windows® XP Home nicht unterstützt)
    * Personal Secure Drive
    * Richtlinienverwaltung
- Embedded Security Services
    * TCG TSS Service Provider
    * TCG TSS Core Service
    * TCG TSS Device Driver Library
Für den Zugriff auf den Embedded Security-Chip durch Applikationen, die folgende spezifizierten Schnittstellen verwenden:
- TCG
- Microsoft® Crypto-API
- PKCS#11


5.2 Hard- und Software-Systemanforderungen

Betriebssysteme:      - Microsoft® Windows® 2000 Professional Service-Pack 4 mit
			Microsoft® Internet Explorer 5 oder höher
                      - Microsoft® Windows® 2000 Server Service-Pack 4 mit
			Microsoft® Internet Explorer 5 oder höher
                      - Microsoft® Windows® XP Professional
                      - Microsoft® Windows® XP Home

HP:		      - HP ProtectTools Security Manager

Microsoft Office:     - Microsoft® Office 2000 SR-1 oder höher
                      - Microsoft® Office XP oder höher

Netscape:             - Netscape® Webbrowser 7.0 oder 4.79

Hardwareanforderungen: PC mit einem der genannten Betriebssysteme, der mit einem Embedded Security-Chip ausgerüstet ist.


5.3 Informationen zur Version	

HP ProtectTools Embedded Security-Software 3.0.1


5.4 Firmware-Update für den Embedded Security-Chip

Wir empfehlen  Ihnen nach der Installation zu überprüfen, ob ein Firmware-Update zur Verfügung steht (über http://hp.com).


5.5 Bekannte Probleme und Einschränkungen

5.5.1 In der mit dieser Version freigegebenen Firmware sind die Funktionen gemäss der
TCG-Hauptspezifikation 1.1b (22. Februar 2002) implementiert, jedoch ohne:
- Audit (Abschnitt 8.12)
- Maintenance (Abschnitt 7.3)
- Set Redirection (Abschnitt 8.17)


5.5.2 Probleme mit dem Embedded Security-Chip:

Bei Ausfall einer Applikation, die den Embedded Security-Chip verwendet, führt ein Zurücksetzen des Embedded Security-Chips möglicherweise zur Behebung des Fehlers.
Fahren Sie den PC herunter, um den Embedded Security-Chip zurückzusetzen
(schalten Sie den Computer aus, nachdem Sie das System heruntergefahren haben).
Starten Sie dann den PC erneut.


5.5.3 ACHTUNG bei der Verwendung des Cryptographic Provider:

Durch die Besitzübernahme mittels des Assistenten für die Initialisierung der Embedded Security wird ein neuer Speicher-Stammschlüssel ("Storage Root Key") erstellt.
Normalerweise richten Sie einen Embedded Security-Besitzer für einen spezifischen Embedded Security-Chip nur einmal ein.
Da alle Ihre Zertifikate für den öffentlichen Schlüssel an den Speicher-Stammschlüssel des Embedded Security-Chips gebunden sind, sind Sie nicht länger in der Lage diese Zertifikate mit einem neu erstellten Speicher-Stammschlüssel zu verwenden.


5.5.4 Verfügbarkeit des Notfall-Wiederherstellungsarchive:

Wenn der Basis-Benutzerschlüssel ("Basic User Key") nicht geladen werden kann (z.B weil der Besitzer des Embedded Security Chip gelöscht wurde und ein neuer Besitzer eingerichtet wurde), ist es nicht möglich mit dem Assistenten für die Benutzerinitialisierung einen Benutzer neu zu initialisieren. In diesem Fall sollte der Assistent für die Initialisierung der HP ProtectTools Embedded Security mit folgendem Kommandozeilen-Parameter aufgerufen werden, um die Notfall-Wiederherstellung vorzubereiten: "SpTPMWz.exe /restore".

Falls das Notfall-Wiederherstellungsarchive nicht verfügbar ist (z.B. es wurde gelöscht oder wurde zerstört), kann der Basis-Benutzerschlüssel nicht wiederhergestellt werden.
Um in dieser Situation eine neuen Basis-Benutzerschlüssel mit Hilfe des Assistenten für die Benutzerinitialisierung zu erzeugen, muß der Assistent mit dem Kommandozeilen-Parameter "/forceinit" oder "-forceinit" aufgerufen werden:
"SpUserWz.exe /forceinit".

Anmerkung: Da ein neuer Basis-Benutzerschlüssel erzeugt wird, kann auf Daten, welche mit dem ursprünglichen Basis-Benutzerschlüssel geschützt wurden, nicht mehr zugegriffen werden.


5.5.5 Automatische Migrationsautorisierung eines Zielsystemes:

Mit Hilfe der Schaltfläche "Durchsuchen..." im Dialogfenster "Autorisieren..." auf der Registerkarte "Migration" des Verwaltungstools kann die Zielplattform automatisch zur Migration von Benutzerschlüsseln und Zertifikaten autorisiert werden. Diese Funktion unterliegt folgender Einschränkung:
- Um die Autorisierung der Zielplattform mit Erfolg durchzuführen, muss das Benutzerkonto, das versucht, diesen Vorgang auf der Quellplattform durchzuführen, für die Zielplattform Administratorrechte haben (Mitglied einer Administratorgruppe).


5.5.6 EFS-Zertifikate sind immer selbstsigniert:

Während der Konfiguration der Sicherheitsfunktion eines Benutzers wird ein neues Zertifikat für die Benutzung der EFS Datei- und Verzeichnis-Verschlüsselung erzeugt. Dieses Zertifikat wird als ein selbst-signiertes Zertifikat erzeugt, wenn die Einstellung Ihrer Sicherheitsrichtlinien eine Anforderung der EFS-Zertifikate über Online-Zertifizierungsstellen (CA) vorsieht.

Problemumgehung: Zunächst ist das EFS Zertifikat, welches mit Hilfe des Embedded Security Chip geschützt werden soll, manuell von der Zertifizierungsstelle anzufragen und auf Ihrem System zu installieren (Bitte fragen Sie Ihren Administrator, um Details abzuklären).
Danach sollte der Assistent für die Benutzerinitialisierung gestartet werden, um dann auf der Seite "Verschlüsselungs-Zertifikat" mit Hilfe der "Auswählen..." Schalfläche dieses Zertificat für die Benutzung von EFS zu konfigurieren.


5.5.7 Migration der Embedded Security
Der Migrations-Prozess installiert neue Benutzerschlüssel und -zertifikate auf dem Zielsystem.
Um diese neuen Schlüssel und Zertifikate anwenden zu können, müssen die entsprechenden Embedded Security-Funktionen konfiguriert werden.

ACHTUNG:
Bereits auf dem Zielsystem existierende Embedded Security Schlüssel und Zertifikate werden durch eine Migration ungültig. Dadurch kann eventuell auf verschlüsselte Daten auf dem Zielsystem nicht mehr zugegriffen werden.
Bitte entschlüsseln Sie Ihre Daten, bevor Sie eine Migration durchführen, oder fragen Sie Ihren Administrator nach entsprechenden Wiederherstellungsmöglichkeiten im Falle eines Datenverlustes.


5.5.8 Bekannte Fehler in der Online-Hilfe

Es bestehen einige bekannte HTML-Hilfefehler. Zum Beispiel können die Sicherheitsupdates für den Internet Explorer Probleme verursachen
(vgl. Microsoft Sicherheitsbulletin MS03-048). Diese Probleme lassen sich mit einem HTML-Hilfe-Update beseitigen (vgl. Microsoft Knowledge Base, Artikel 811630).
Ebenso ist es möglich, dass Verknüpfungen zu anderen Hilfedateien nur funktionieren, wenn sich alle betroffenen Hilfe-Dateien auf der lokalen Festplatte befinden. Weitere Informationen finden Sie in der Microsoft Knowledge Base, Kategorie "Support & Troubleshooting" für "HTML-Hilfe".


5.5.9 "Delayed Write"-Meldung nach Aktualisierung von Version 1.5

Falls Sie die Software der Embedded Security-Lösung von Version 1.5
aktualisieren und ein Personal Secure Drive aktiviert haben, erhalten Sie unter Umständen die Meldung "Delayed Write". Grund hierfür ist ein Fehler in der Software der Embedded Security-Lösung, Version 1.5.

Problemumgehung: Bevor Sie mit der Aktualisierung beginnen, melden Sie sich im System ab und wieder an, ohne ein Personal Secure Drive bereitzustellen.


5.5.10 Personal Secure Drives werden nach einer Aktualisierung von Version 1.5 nicht freigegeben

Version 3.0.1 der Embedded Security-Lösung bietet keine Unterstützung mehr für die gemeinsame Nutzung von Personal Secure Drives.
Falls Sie unter Version 1.5 einen Personal Secure Drive freigegeben hatten, wird diese Freigabe nach Aktualisierung auf Version 3.0.1 annulliert.


5.5.11 Speicherung des Inhalts eines Personal Secure Drive auf einer Daten-CD wird von Windows XP nicht unterstützt

Unter Windows XP unterstützt der Explorer das direkte Schreiben von Daten-CDs mit den Dateisystemen Joliet und ISO-9660.
Beim Löschen eines Personal Secure Drive wird die Übertragung des Dateninhalts des betreffenden Personal Secure Drive auf eine CD nicht unterstützt.
Falls Sie den Inhalt eines Personal Secure Drive auf einer CD speichern wollen, verwenden Sie direkt den Windows Explorer, bevor Sie den Personal Secure Drive löschen.


5.5.12 EFS: Zeitliche Begrenzung bei der Eingabe des Kennwortes für den Basis-Benutzerschlüssel

Der Dialog zur Eingabe des Kennwortes für den Basis-Benutzerschlüssel ("Basic User Key"), der bei der Arbeit mit EFS angezeigt wird (z.B. beim Öffnen einer verschlüsselten Datei) hat eine zeitliche Begrenzung von 30 Sekunden. 
Wenn das Kennwort nicht innerhalb von 30 Sekunden eingegeben wird, dann wird dieser Dialog automatisch geschlossen. Dadurch kann die Eingabe eines sehr langen Kennwortes beeinträchtigt werden. Als Hilfestellung wird die verbleibende Zeitspanne im Kennwort-Dialog angezeigt.
Diese Einschränkung besteht nicht, wenn andere Anwendungen zur Eingabe des Kennwortes für den Basis-Benutzerschlüssel auffordern.