---------------------------------------------------------------------------- Note di rilascio del software HP ProtectTools Embedded Security V3.0.1 ---------------------------------------------------------------------------- Indice del contenuto: 1. Premessa 2. Installazione 3. Software HP ProtectTools Embedded Security 3.1 Gestore sicurezza HP ProtectTools 3.2 Inizializzazione guidata di Embedded Security 3.3 Inizializzazione utenti guidata di Embedded Security 3.4 Migrazione guidata di Embedded Security 3.5 Backup guidato di Embedded Security 3.6 Applet di indicazione dello stato di Embedded Security 3.7 Servizi di integrazione di Embedded Security 3.8 Servizi di Embedded Security 4. Domande 5. Informazioni sul rilascio 5.1 Informazioni su questo rilascio 5.2 Requisiti delle piattaforme hardware e software 5.3 Informazioni sulla versione 5.4 Aggiornamento del firmware di Embedded Security Chip 5.5 Errori e limiti noti ================================================================================ 1. Premessa Benvenuti nel software HP ProtectTools Embedded Security. Il software HP ProtectTools Embedded Security è necessario per usare Embedded Security Chip. Il software HP ProtectTools Embedded Security è una soluzione di sicurezza per PC conformi allo standard TCG. Per maggiori informazioni sullo standard TCG (Trusted Computing Group), visitare il sito Web: https://www.trustedcomputinggroup.org 2. Installazione Installazione del software HP ProtectTools Embedded Security - "Setup.exe" installa le seguenti applicazioni: - Embedded Security - Guida introduttiva - Gestore sicurezza HP ProtectTools - Inizializzazione guidata di Embedded Security - Inizializzazione utenti guidata di Embedded Security - Migrazione guidata di Embedded Security - Embedded Security Backup Wizard - Applet di indicazione di stato di Embedded Security - Servizi di integrazione di Embedded Security * Integrazione di Microsoft(r) Outlook(r) * Integrazione di Netscape(r) * Integrazione di EFS (Encrypted File System) * Personal Secure Drive * Amministrazione criteri - Servizi Embedded Security * Fornitore servizio TCG TSS * Servizio principale TCG TSS * Libreria driver dispositivi TCG TSS Nota: per installare questo software, occorre possedere diritti di amministrazione. Installazione senza assistenza: Un'installazione senza assistenza può essere eseguita richiamando il setup.exe tramite i parametri della seguente riga di comando: - Installazione per tutti gli utenti: setup.exe /s /v"/qn" 3. Software HP ProtectTools Embedded Security 3.1 Gestore sicurezza HP ProtectTools Il Gestore sicurezza HP ProtectTools permette di modificare le impostazioni di Embedded Security una volta che è stato inizializzato. 3.2 Inizializzazione guidata di Embedded Security L'Inizializzazione guidata di Embedded Security permette all'utente di effettuare la configurazione iniziale di Embedded Security per poter diventare un proprietario di Embedded Security. 3.3 Inizializzazione utenti guidata di Embedded Security L'Inizializzazione utenti guidata di Embedded Security permette all'utente di effettuare la configurazione iniziale di Embedded Security per poter beneficiare dei servizi di integrazione di Embedded Security. 3.4 Migrazione guidata di Embedded Security La Migrazione guidata di Embedded Security permette all'utente di effettuare la migrazione di chiavi utente e certificati da un sistema Embedded Security a un altro. 3.5 Backup guidato di Embedded Security Il backup guidato di Embedded Security permette di eseguire il backup delle credenziali relative a Embedded Security. 3.6 Applet di indicazione di stato di Embedded Security L'applet di indicazione di stato di Embedded Security fornisce informazioni generali sullo stato attuale di Embedded Security visualizzando i dati appropriati tramite un'icona dell'area di notifica task. 3.7 Servizi di integrazione di Embedded Security Cryptographic Provider permette di utilizzare Embedded Security Chip con applicazioni che eseguono Microsoft Crypto-API. Si può ad esempio - firmare e crittografare la posta elettronica usando Microsoft(r) Outlook(r) o Microsoft(r) Outlook(r) Express - accedere a siti Web tramite una connessione SLL sicura con autenticazione bilaterale usando Microsoft Internet Explorer. - crittografare i file grazie a un'integrazione completa nell'Encrypted File System (EFS) di Microsoft(r) Windows(r) 2000 Professional e Microsoft(r) Windows(r) XP Professional. 3.8 Servizi di Embedded Security I servizi di Embedded Security forniscono uno stack software, conforme allo standard TCG, che viene eseguito sul sistema. Lo stack software TCG Trusted è costituito dai seguenti moduli: - Libreria driver dispositivi TCG TSS - Servizio principale TCG TSS - Fornitore servizio TCG TSS Lo stack software TCG è parte integrante di una piattaforma conforme allo standard TCG e fornisce funzioni che possono essere usate da sistemi operativi e applicazioni avanzati. Dopo l'installazione si consiglia di verificare se è disponibile un aggiornamento del firmware. 4. Domande Per qualsiasi dubbio o quesito, si prega di contattare il rivenditore. Per maggiori informazioni e supporto si può visitare il sito Web http://hp.com 5. Informazioni sul rilascio 5.1 Informazioni su questo rilascio Questo rilascio contiene - Embedded Security - Guida introduttiva - Gestore sicurezza HP ProtectTools - Inizializzazione guidata di Embedded Security - Inizializzazione utenti guidata di Embedded Security - Migrazione guidata di Embedded Security - Embedded Security Backup Wizard - Applet di indicazione di stato di Embedded Security - Servizi di integrazione di Embedded Security * Integrazione di Microsoft(r) Outlook(r) * Integrazione EFS (Encrypted File System) - EFS non è supportata in XP Home Edition * Personal Secure Drive * Amministrazione criteri - Servizi Embedded Security * Fornitore servizio TCG TSS * Servizio principale TCG TSS * Libreria driver dispositivi TCG TSS per consentire l'accesso a Embedded Security Chip mediante un'applicazione che utilizza le interfacce come specificato da - TCG - Microsoft(r) Crypto-API - PKCS#11 5.2 Requisiti delle piattaforme hardware e software Sistemi operativi: - Microsoft Windows 2000 Professional ServicePack4 con Microsoft Internet Explorer 5 o versione successiva - Microsoft Windows 2000 Server ServicePack4 con Microsoft Internet Explorer 5 o versione successiva - Microsoft Windows XP Professional - Microsoft Windows XP Home HP: - Gestore sicurezza HP ProtectTools Microsoft Office: - Microsoft Office 2000 SR-1 o versione successiva - Microsoft Office XP o versione successiva Requisiti hardware: Un PC in grado di eseguire uno dei sistemi operativi menzionati ed equipaggiato con un Embedded Security Chip. 5.3 Informazioni sulla versione Software HP ProtectTools Embedded Security 3.0.1 5.4 Aggiornamento del firmware di Embedded Security Chip Dopo l'installazione si consiglia di verificare se è disponibile un aggiornamento del firmware sul sito Web http://hp.com. 5.5 Errori e limiti noti 5.5.1 Il firmware rilasciato con questa versione ha implementato la funzionalità conformemente al documento TCG Main Specification 1.1b (22 febbraio 2002) con le seguenti esclusioni: - Audit (sezione 8.12) - Maintenance (sezione 7.3) - Set Redirection (sezione 8.17) 5.5.2 Problemi relativi a Embedded Security Chip: Se un'applicazione che usa Embedded Security Chip si interrompe con un errore, un reset di Embedded Security Chip può risolvere il problema. Per effettuare un reset di Embedded Security Chip, spegnere il PC (disattivare il computer dopo la chiusura del sistema) e riavviarlo. 5.5.3 ATTENZIONE con Cryptographic Provider: Se si assume il possesso tramite l'Inizializzazione guidata di Embedded Security, viene creata una nuova chiave radice di memorizzazione. Generalmente si configura un proprietario di Embedded Security una sola volta per uno specifico Embedded Security Chip. Dato che tutti i certificati di chiavi pubbliche sono legati alla chiave radice di memorizzazione di Embedded Security Chip, non sarà più possibile usare questi certificati con una chiave radice di memorizzazione appena creata. 5.5.4 Disponibilità dell'archivio del ripristino di emergenza: Se la chiave utente di base non può essere caricata (per esempio a causa della cancellazione del possesso di Embedded Security Chip e della riassunzione del possesso), l'nizializzazione utenti guidata di Embedded Security non permette di proseguire con l'inizializzazione utenti. In questo caso si deve eseguire l'inizializzazione utenti guidata di Embedded Security ed effettuare il rispristino di emergenza richiamando il wizard tramite l'opzione della linea di comando: "SpTPMWz.exe /restore". Se per un qualsiasi motivo, l'archivio del ripristino di emergenza non dovesse essere disponibile (per esempio è andato perso oppure è stato danneggiato) non è possibile recuperare la chiave utente di base. In questo caso, per proseguire con la creazione di una nuova chiave utente di base è necessario avviare l'inizializzazione utenti guidata di Embedded Security tramite "/forceinit" oppure l'opzione della linea di comando "-forceinit" : "SpUserWz.exe /forceinit". Nota: la nuova chiave utente di base verrà creata e successivamente tutti i dati protetti precedentemente salvati andranno persi. 5.5.5 Autorizzazione automatica del computer di destinazione per la migrazione: Le piattaforme di destinazione possono essere autorizzate automaticamente per la migrazione di chiavi utente e certificati con l'ausilio del pulsante "Sfoglia..." della finestra di dialogo "Autorizza..." situata nella scheda "Migrazione" del tool di amministrazione. Questa funzionalità ha le seguenti limitazioni: - per poter autorizzare la piattaforma di destinazione, l'account utente che esegue questa operazione sulla piattaforma sorgente deve disporre dei privilegi di amministratore (ossia essere un membro del gruppo di amministratori) per la piattaforma di destinazione. 5.5.6 I certificati EFS sono sempre auto-firmati: Durante la configurazione utente delle caratteristiche di sicurezza, il software Embedded Security Solution crea un nuovo certificato per l'uso della crittografia di file EFS e di cartelle. Attualmente questo certificato viene sempre creato come certificato con auto-firma, anche se i propri criteri di sicurezza sono stati configurati per richiedere certificati EFS dall'autorità di certificazione in linea (CA). Soluzione: richiedere manualmente un certificato EFS protetto da Cryptographic Provider e installarlo nella propria piattaforma (per una procedura specifica contattare il proprio amministratore di sistema). Successivamente eseguire l'inizializzazione utenti guidata di Embedded Security e selezionare "Seleziona..." sulla pagina Certificato Crittografia. Selezionare il certificato EFS rilasciato dal prorio CA e proseguire per concludere le caratteristiche di sicurezza. 5.5.7 Migrazione di Embedded Security Il processo di migrazione installerà sul sistema di destinazione nuove chiavi utente e nuovi certificati. Sarà necessario configurare le funzioni di Embedded Security da utilizzare con queste nuove chiavi e certificati. AVVERTENZA: Il processo di migrazione invaliderà le chiavi e i certificati di Embedded Security già installati sul sistema di destinazione. In seguito a questa operazione i dati crittografati potrebbero andare persi. Decrittografare i dati prima di proseguire con la migrazione o contattare l'amministratore di sistema per mettere in atto una procedura di ripristino dei dati. 5.5.8 Errori noti della Guida in linea Vi sono alcuni errori noti nella Guida HTML. Ad esempio, gli aggiornamenti sulla sicurezza per Internet Explorer possono causare dei problemi (vedere Microsoft Security Bulletin MS03-048). Tali problemi sono risolvibili tramite un aggiornamento della Guida HTML (vedere Microsoft Knowledge Base Article 811630). Inoltre, i collegamenti ad altri file della guida possono funzionare solo se tutti i file della Guida interessati si trovano sul disco rigido locale. Per maggiori informazioni, ricercare in Microsoft Knowledge Base la categoria "Support & Troubleshooting" per "HTML Help". 5.5.9 Messaggio di scrittura ritardata all'aggiornamento dalla versione 1.5 Se si aggiorna il software Embedded Security Solution dalla versione 1.5 ed è attivato un Personal Secure Drive, può comparire un messaggio "Delayed Write". Questo è dovuto a un errore della versione 1.5 del software Embedded Security Solution. Soluzione: prima di effettuare l'aggiornamento, chiudere la sessione e riconnettersi senza montare un Personal Secure Drive. 5.5.10 Mancata condivisione dei Personal Secure Drive dopo l'aggiornamento dalla versione 1.5 La versione 3.0.1 del software Embedded Security Solution non supporta più la condivisione dei Personal Secure Drive. Se si usa la versione 1.5 avendo condiviso il Personal Secure Drive, la condivisione non sarà più disponibile dopo l'aggiornamento alla versione 3.0.1. 5.5.11 Mancato supporto del salvataggio del contenuto di un Personal Secure Drive su un CD dati sotto Windows XP Da Esplora risorse di Windows XP si possono scrivere dati direttamente su un disco CD tramite i file system Joliet e ISO-9660. Quando si cancella un Personal Secure Drive non è però possibile selezionare un CD dati per salvarne il contenuto. Per salvare il contenuto di un Personal Secure Drive su un CD dati occorre pertanto farlo direttamente da Esplora risorse di Windows prima di cancellare il Personal Secure Drive. 5.5.12 La richiesta della password per la Chiave utente di base per le operazioni EFS ha una limitazione temporale Quando si richiede una password della Chiave utente di base per operazioni associate ad EFS (ad es. l'apertura di un file crittografato EFS), la finestra di dialogo della password resta visualizzata solo per 30 secondi. Se non viene immessa una password nell'arco di 30 secondi, la finestra si chiude automaticamente. Ciò può costituire un ostacolo per un utente che deve immettere una password molto lunga. Per agevolare l'operazione, nella finestra di dialogo della password viene visualizzato con precisione il tempo residuo. Questa limitazione non esiste per le finestra di richiesta password della Chiave utente di base.