Desktop Management Guide
若系統隨附嵌入式安全性裝置,請參閱位於 http://www.hp.com 的《HP ProtectTools Security
Manager 指南》。
磁碟機鎖
DriveLock 是符合產業標準的安全功能,可以防止未經授權存取 ATA 硬碟機中資料的行為。磁碟機鎖已
經是「電腦設定 (Computer Setup)」的一個擴充選項。只有在偵測到支援 ATA 安全命令的硬碟機時,
才能使用這項功能。磁碟機鎖是專為重視資料安全性的 HP 客戶而提供。對這些客戶而言,未經授權而
存取硬碟機內容所造成的損害,遠比硬碟機的花費和遺失資料重要多。為了在這個安全性等級與可能遺
忘密碼的實際狀況之間取得平衡,HP 的磁碟機鎖使用了雙重密碼安全架構。一個密碼是由系統管理員
設定與使用,另一個則是由一般使用者設定及使用。如果這兩個密碼都已遺失,就沒有任何「取巧」的
方法能夠解除鎖定的磁碟機。因此,最安全的磁碟機鎖使用方式,就是將磁碟機上的資料複寫到公司的
系統資訊系統,或是經常備份。當兩個磁碟機鎖的密碼都遺失時,硬碟機將無法使用。對於不屬於上述
客戶類型的使用者而言,這可能是他們無法接受的風險。而對於屬於上述客戶類型的使用者而言,由於
資料的安全性極為重要,這種風險是可以接受的。
使用磁碟機鎖
當偵測到一或多部支援 ATA 安全性指令集的硬碟機時,DriveLock 選項會在「電腦設定 (Computer
Setup)」的「安全性 (Security)」功能表下出現。使用者可以使用選項來設定主要密碼或啟用磁碟機
鎖。使用者必須使用密碼,才能啟用磁碟機鎖。因為磁碟機鎖的初始組態通常由系統管理員執行,所以
應先設定主要密碼。無論要啟動還是關閉磁碟機鎖,HP 建議系統管理員應先設定主要密碼。日後若磁
碟機被鎖定,系統管理員才能修改 DriveLock 的設定。一旦設定主要密碼後,系統管理員便可選擇啟用
或停用磁碟機鎖。
若某個硬碟機被鎖定,POST 將需要密碼才能解除裝置鎖定。若開機密碼已設定,且此密碼符合該裝置
的使用者密碼,POST 便不會要求使用者重新輸入密碼。否則,便會出現提示,要求使用者輸入磁碟機
鎖密碼。冷開機時,可以使用主要或使用者密碼。暖開機時,請輸入先前在冷開機時用來解除鎖定磁碟
機的同一個密碼。使用者有兩次機會輸入正確密碼。冷開機時,如果兩次輸入都失敗,POST 會繼續進
行,但是磁碟機仍然無法存取。當暖開機或重新啟動 Windows 時,如果兩次輸入都失敗,POST 將會
暫停,並指示使用者斷電重開機。
磁碟機鎖的應用
DriveLock 安全性功能最適合在企業環境中使用。系統管理員負責設定硬碟機,其中一項工作是設定磁
碟機鎖 DriveLock 的主要密碼及暫時使用者密碼。萬一使用者遺忘了使用者密碼或該設備已轉交給另一
個員工使用,則可使用主要密碼來重設使用者密碼及重獲硬碟機的存取權限。
HP 建議選擇啟用磁碟機鎖的公司系統管理員,也建立一個用於設定和維護主要密碼的公司政策。這可
避免員工離開公司前,蓄意或不慎設定兩個磁碟機鎖密碼的情況發生。若發生這種情況,則會導致硬碟
機無法使用,必須更換。同樣地,若未設定主要密碼,系統管理員可能會碰到無法解除鎖定的硬碟機,
而無法執行未經授權軟體的例行檢查,其他資源控制功能和支援。
對於安全性需求不高的使用者,HP 不建議啟用磁碟機鎖。這類使用者包括個人使用者,或平常不會將
機密資料儲存在硬碟機上的使用者。對這些使用者而言,遺忘兩個密碼而造成硬碟機無法使用的損失,
比使用磁碟機鎖來保護資料更重要。「電腦設定 (Computer Setup)」與磁碟機鎖的存取權,可透過設定
密碼來加以限制。若指定設定密碼,但不將它提供給一般使用者,系統管理員就能夠限制使用者啟用
DriveLock。
ZHTW
磁碟機鎖
29