HP ThinPro 7.0-Administrator Guide
● 第 49 页的本地帐户
● 第 49 页的加密
● 第 49 页的选项
本地帐户
“本地帐户”选项卡可用于更改本地根和用户帐户密码,或禁用使用这些帐户的身份验证。
注意:禁用根和/或用户帐户可能会使系统处于不可用状态,除非启用了 Active Directory 身份验证。 例
如,如果根帐户被禁用,您只能使用管理员的域凭据更改为管理员模式。 但是,禁用本地帐户可能会
在启用 Active Directory 身份验证时提高安全性,因为您不再需要维护和更新共享密钥(如瘦客户端的根
密码)。
如果已使用 Active Directory 身份验证,并且瘦客户端上的域用户存在缓存的数据,您还可以从此选项卡
删除用户的缓存数据。
注:如果用户使用域帐户登录,则无法删除自己的帐户数据,因为它会使系统处于不确定状态。
加密
Active Directory 凭据和其他密码可通过哈希处理实现屏幕解锁等功能,也可以对其加密并存储在系统上
供单一登录。
可以从此菜单选择用于创建密码哈希的哈希算法。 默认的 scrypt 是一个被广泛接受的密钥派生函数。
还可使用另一个密钥派生函数 Argon2,以及传统哈希 SHA-256 和 SHA-512。密钥派生函数的优势在
于,在计算将明文密码与预先计算的哈希值相匹配的彩虹表时计算量巨大,而传统哈希只会尽可能快
地执行。 所有哈希均采用 128 或更多位随机加密盐进行存储,每次计算和存储密码哈希时加密盐都会
变化。
加密密码用于在连接启动时(单一登录)可被反转并提供给连接的情况。 可在此处从 OpenSSL 支持的
各种类型中选择加密算法。 除非有充分理由选择不同的值,否则 HP 建议使用默认加密算法,这通常被
安全社区视为现代安全的算法。 加密盐位数和密钥位数因算法而异,您可以通过按算法选择器旁边的
信息按钮获得详细信息。 每个瘦客户端的加密密钥是唯一的,并且存储在只有管理员可以读取的地
方。 此外,只有系统上某些授权的应用程序可以进行解密。
哈希密码和加密密码均可设置生存时间。 如果对密钥进行哈希处理或加密与使用或解密密钥之间的时
间量超过生存时间,则哈希匹配或解密将失败。
默认情况下,单点登录密码仅可使用一天,但使用连接或网络设置存储的任何密码都可以无限期使
用。
选项
本地用户必须登录: 如果禁用 Active Directory 身份验证时选择此选项,登录屏幕在启动和注销时仍会
出现。 在这种情况下,必须使用本地用户或根凭据来获取系统的访问权限。
启用密钥速览: 如果启用,系统上的大多数密码和密钥输入字段将在右侧显示一个小眼球图标。 当通
过按住鼠标左键选择该眼球图标时,只要按住鼠标按钮,密钥就以纯文本形式显示。 松开按钮后,密
钥再次被遮蔽。
使用域文本输入: 如果启用,则在适用的情况下为域名提供单独的域输入字段。 如果禁用,则会通过
“用户”字段中输入的值来确定域。 例如,如果用户字段包含“mike@mycorp”,则该域被假定为
“mycorp”。 如果用户字段为“graycorp\mary”,则该域被假定为“graycorp”。
允许管理员忽略屏幕锁定: 如果启用,您可以覆盖锁定的屏幕,并将其返回到登录屏幕或 ThinPro 桌
面,就像用户已手动注销瘦客户端一样。
安全
49