Dell Data Protection Security Tools 安装指南 v1.12 版 February 2017 Rev.
注意、小心和警告 注: “注意”表示帮助您更好地使用该产品的重要信息。 小心: “小心”表示可能会损坏硬件或导致数据丢失,并告诉您如何避免此类问题。 警告: “警告”表示可能会导致财产损失、人身伤害甚至死亡。 © 2017 Dell Inc. All rights reserved.Dell、EMC 和其他商标均为 Dell Inc. 或其附属公司的商标。其他商标均为其各自所有者的商标。 Registered trademarks and trademarks used in the Dell Data Protection Encryption, Endpoint Security Suite, Endpoint Security Suite Enterprise, and Dell Data Guardian suite of documents: DellTM and the Dell logo, Dell PrecisionTM, OptiPlexTM, ControlVaultTM, LatitudeTM, XPS®, and KACETM are trademarks of Dell Inc.
目录 章 1: 简介........................................................................................................................................ 5 概览......................................................................................................................................................................................... 5 章 2: 要求....................................................................................................................................... 6 驱动程序........................
章 6: 恢复......................................................................................................................................36 自恢复,Windows 登录恢复问题.................................................................................................................................... 36 自恢复,PBA 恢复问题..................................................................................................................................................... 36 自恢复,一次性密码........................................
1 简介 Dell Data Protection | Security Tools 为 Dell 计算机管理员和用户提供安全与身份保护。DDP | Security Tools 预装在所有 Dell Latitude、 Optiplex、Precision 计算机以及精选的 Dell XPS 笔记本电脑上。如需重新安装 DDP|Security Tools,请按照本指南中的说明执行操 作。有关更多支持信息,请访问 www.dell.
2 要求 • • • • • • • DDP | Security Tools 预装在所有 Dell Latitude、Optiplex、Precision 计算机以及精选的 Dell XPS 笔记本电脑上,并且满足以下最低 要求。如果您需要重新安装 DDP | Security Tools,请确保您的计算机仍满足这些要求。有关更多信息,请参阅 www.dell.com/ support > Endpoint Security Solutions。 Windows 8.1 不应安装在自加密驱动器的驱动器 1 上。此操作系统配置不受支持,因为,Windows 8.1 会创建恢复分区驱动器 0, 这继而会破坏预引导身份验证。正确的做法是,在配置为驱动器 0 的驱动器上安装 Windows 8.1,或者将 Windows 8.
软件 Windows 操作系统 下表详细介绍了受支持的软件。 Windows 操作系统(32 位和 64 位) • Microsoft Windows 7 SP0-SP1 - 企业版 - 专业版 注: 在 Windows 7 上支持传统引导模式。在 Windows 7 上不支持 UEFI。 • Microsoft Windows 8 - 企业版 - 专业版 Windows 8(消费者) 注: 在使用 Opal 兼容 SED 和 Dell 计算机型号(支持 UEFI)的情况下,Windows 8 支持 UEFI 模式。 • Microsoft Windows 8.1 - 8.1 Update 1 - 企业版 - 专业版 注: 在使用 Opal 兼容 SED 和 Dell 计算机型号(支持 UEFI)的情况下,Windows 8.
移动设备操作系统 • • Windows Phone 8.1 Windows 10 Mobile 硬件 身份验证 下表详细介绍支持的身份验证硬件。 身份验证 指纹读取器 • Validity VFS495 in Secure Mode • Broadcom Control Vault Swipe Reader • UPEK TCS1 FIPS 201 Secure Reader 1.6.3.
下表详细说明支持 UEFI 的 Dell 计算机型号。 Dell 计算机型号 - UEFI 支持 • • • • • • • • • • • • • • • • • • • Latitude 7370 Latitude E5270 Latitude E5470 Latitude E5570 Latitude E7240 Latitude E7250 Latitude E7260 Latitude E7265 Latitude E7270 Latitude E7275 Latitude E7350 Latitude E7440 Latitude E7450 Latitude E7460 Latitude E7470 Latitude 12 Rugged Extreme Latitude 12 Rugged Tablet (型号 7202) Latitude 14 Rugged Extreme Latitude 14 Rugged • • • • • • • • • Precision M3510 Precision M4800 Precision M5510 Precision M6800 Precisi
国际键盘支持 - UEFI ○ DE-FR - 瑞士法语 国际键盘支持 - 非 UEFI ○ AR - 阿拉伯语(使用拉丁字母) ○ DE-CH - 瑞士德语 ○ DE-FR - 瑞士法语 语言支持 DDP | Security Tools 是一种多语言用户界面 (MUI),兼容和支持以下语言。 注: 俄语、繁体中文或简体中文不支持 UEFI 计算机中的 PBA 本地化。 语言支持 • EN - 英语 • KO - 韩文 • FR - 法语 • ZH-CN - 简体中文 • IT - 意大利语 • ZH-TW - 繁体/中国台湾中文 • DE - 德语 • PT-BR - 巴西葡萄牙语 • ES - 西班牙语 • PT-PT - 葡萄牙(伊比利亚)葡萄牙语 • JA - 日语 • RU - 俄语 身份验证选项 以下身份验证选项要求具备特定硬件:指纹、智能卡、非接触式卡和 B 类/ SIPR Net 卡,并在 UEFI 计算机上进行身份验证。 一次性密码功能要求 TPM 已存在、已启用且已有归属。有关更多信息,请参阅清除所有权并激活 TPM。TPM 2.
非 UEFI Windows 身份验证 PBA 密码 指纹 接触式 智能卡 OTP SIPR 卡 密码 指纹 智能卡 OTP SIPR 卡 1. 在受支持的 Opal SED 上可用。 UEFI PBA - 在受支持的 Dell 计算机上 密码 指纹 接触式 智能卡 Windows 身份验证 OTP SIPR 卡 密码 指纹 智能卡 OTP SIPR 卡 Windows 7 Windows 8 X2 X X X X X Windows 8.1Windows 8.1 Update 1 X2 X X X X X Windows 10 X2 X X X X X 2.
2. 选择重设系统。这将要求您输入任意已配置凭据来验证身份。在 DDP|A 验证凭据后,DDP|A 将执行以下操作: • • • • • • 从 Dell ControlVault 移除所有已配置凭据(如果存在) 移除 Dell ControlVault 所有者密码(如果存在) 从集成指纹读取器中移除所有已配置指纹(如果存在) 移除所有 BIOS 密码(BIOS 系统、BIOS 管理员和 HDD 密码) 清除可信平台模块 移除 DDP|A 凭据提供程序 解除配置计算机后,DDP|A 重新启动计算机以还原 Windows 默认凭据提供程序。 卸载 DDP|A 在解除配置身份验证硬件后,卸载 DDP|A。 1. 启动 DDP|A 并重设系统。 此操作将移除 DDP|A 管理的所有凭据和密码,并清除可信平台模块 (TPM)。 2. 单击卸载以启动安装程序。 3.
3 安装和激活 本节详细介绍了如何在本地计算机上安装 DDP | Security Tools。要安装并激活 DDP | Security Tools,必须以管理员的身份登录计算 机。 注: 在安装期间,请勿对计算机做出任何更改,包括插入或卸下外部 (USB) 驱动器。 安装 DDP | Security Tools 要安装 Security Tools: 1. 找到 DDP | Security Tools 安装介质的安装文件。将其复制到本地计算机上。 注: 安装介质可在以下位置找到:www.dell.com/support > Endpoint Security Solutions。 2. 双击该文件以启动安装程序。 3. 选择适当的语言,然后单击确定。 4. 显示“欢迎”屏幕时,单击下一步。 5. 阅读许可协议,同意其中的条款,然后单击下一步。 6. 单击下一步,在如下默认位置安装 Security Tools:C:\Program Files\Dell\Dell Data Protection。选择 安装和激活 13
7. 单击安装开始安装。 8. 完成安装后,需要重新启动计算机。选择是以重新启动,然后单击完成。 安装完成。 激活 DDP | Security Tools 第一次运行 DDP Security Console 并且选择了“管理员设置”时,激活向导将引导您完成激活过程。 如果 DDP Security Console 尚未激活,最终用户仍可运行此工具。如果该最终用户是管理员激活 DDP | Security Tools 并自定义设置 前首个使用 DDP Security Console 的人,此人将使用默认值。 要激活 Security Tools: 1. 以管理员的身份从桌面快捷方式启动 Security Tools。 注: 如果是作为普通用户登录(使用标准 Windows 帐户),必须提升 UAC 权限才能启动管理员设置工具。普通用户先要输 入管理员凭据以登录此工具,然后根据提示再次输入管理员密码(即存储在管理员设置中的密码)。 2. 单击管理员设置磁贴。 3.
4. 创建 DDP | Security Tools 密码,然后单击下一步。 必须先创建 DDP | Security Tools 管理员密码,然后才能配置 Security Tools。任何时候运行管理员设置工具均需提供此密码。密 码必须为 8-32 个字符,其中至少包含一个字母、一个数字和一个特殊字符。 5.
6.
4 管理员配置任务 在激活 Security Tools 后,管理员和用户可在不进行其他配置的情况下,立即以默认设置使用 Security Tools。当用户使用其 Windows 密码登录到计算机时,用户将自动添加为 Security Tools 用户,但默认为不启用多重 Windows 身份验证。默认情况下也不会启用加密 和预引导身份验证。 要配置 Security Tools 功能,必须在该计算机上具有管理员身份。 更改管理员密码和备份位置 激活 Security Tools 后,如有需要可更改管理员密码和备份位置。 1. 以管理员的身份从桌面快捷方式启动 Security Tools。 2. 单击管理员设置磁贴。 3. 在“身份验证”对话框中,输入激活过程中设置的管理员密码,然后单击确定。 4. 单击管理员设置选项卡。 5.
6. 再次输入此密码进行确认,然后单击应用。 7. 要更改恢复密钥的存储位置,请在左侧窗格中选择更改备份位置。 8.
配置加密和预引导身份验证 加密和预引导身份验证 (PBA) 在配备有自加密驱动器 (SED) 的计算机上可用。加密和预引导身份验证二者均通过“加密”选项卡配 置,只有计算机配备有自加密驱动器 (SED) 时“加密”选项卡方可见。启用加密或 PBA 二者之一时,另一个也随之启用。 在启用加密和 PBA 前,Dell 建议您注册并启用“恢复问题作为恢复选项”,以便在丢失密码后恢复密码。有关更多信息,请参阅配 置登录选项。 要配置加密和预引导身份验证: 1. 在 DDP Security Console 中,单击管理员设置磁贴。 2. 确保从该计算机可访问备份位置。 注: 如果启用加密时显示消息“找不到备份位置”,而备份位置位于 USB 驱动器上,则表明驱动器未连接或者连接到的不是 备份过程中使用的插槽。如果显示此消息,并且备份位置在网络驱动器上,表明从该计算机无法访问此网络驱动器。如果需 要更改备份位置,请从管理员设置选项卡选择更改备份位置,以将位置更改为当前插槽或可访问的驱动器。重新指派位置后 数秒,启用加密过程将继续。 3. 单击加密选项卡,然后单击加密。 4. 在“欢迎”页面上,单击下一步。 5.
6.
7. 在“摘要”页面,单击应用。 8. 显示提示时,单击关机。 在开始加密前,需要进行一次完全关机。 9.
• 更改预引导策略或自定义 - 单击预引导设置选项卡,然后选择预引导自定义或预引导登录策略。 有关卸载说明,请参阅卸载任务。 配置身份验证选项 管理员设置“身份验证”选项卡上的控件可用于设置用户登录选项及自定义每种选项的设置。 注: 如果 TPM 不存在、无归属或未启用,则“恢复选项”下将不会显示“一次性密码”选项。 配置登录选项 在“登录选项”页面,您可以配置登录策略。默认情况下,所有支持的凭据列示在“可用选项”中。 要配置登录选项: 1. 在左侧窗格中的“身份验证”下,选择登录选项。 2. 要选择您想设置的角色,请在登录选项应用至列表中选择角色:用户或管理员。您在此页面上进行的所有更改将仅应用于您选择 的角色。 3.
• 要允许每种身份验证方法单独使用,在“可用选项”对话框中,将第二种身份验证方法设置为无,然后单击确定。 • 要移除登录选项,在“登录选项”页面上的“可用选项”下,单击 X 以移除此方法。 • 要添加新的身份验证方法组合,请单击添加选项。 4.
宽限期期间的功能 在指定的宽限期内,每次登录后,当用户尚未注册更改的“登录选项”中所需的最低数量的凭据时,便会显示“附加凭据”通 知。此消息的内容为:有可用于注册的附加凭据。 如有附加凭据可用但并不需要再提供凭据,当策略更改后,此消息只显示一次。 单击此通知可引起以下结果,具体取决于背景情况: • • 如果尚未注册任何凭据,屏幕上将显示设置向导,供管理员用户配置与计算机有关的设置,供用户注册最常用的凭据。 完成初始凭据注册之后,单击此通知将在 DDP 安全控制台中显示“安装向导”。 宽限期到期后的功能 在任何情况下,一旦宽限期到期,用户若不注册“登录选项”所要求的凭据,则无法登录。如果用户尝试使用不符合登录选项要 求的凭据或凭据组合登录,在 Windows 登录屏幕顶部将显示设置向导。 • • 如果用户成功注册所需凭据,则可登录到 Windows。 如果用户未成功注册所需凭据或是取消了向导,则将返回 Windows 登录屏幕。 6.
4. 设置身份验证的可用选项。 默认情况下,每种身份验证方法配置为单独使用,不与其他身份验证方法结合使用。您可以按以下方式更改默认设置: • 要设置身份验证选项的组合,在“可用选项”下单击 图标,以选择第一种身份验证方法。在“可用选项”对话框中,选择第 二种身份验证方法,然后单击确定。 例如,您可以要求同时将指纹和密码作为登录凭据。在对话框中,选择必须与指纹身份验证结合使用的第二种身份验证方 法。 • 要允许每种身份验证方法单独使用,在“可用选项”对话框中,将第二种身份验证方法设置为无,然后单击确定。 • 要移除登录选项,在“登录选项”页面上的“可用选项”下,单击 X 以移除此方法。 • 要添加新的身份验证方法组合,请单击添加选项。 5.
注: 选择“默认值”按钮将使设置恢复为初始值。 配置恢复问题 在“恢复问题”页面,您可以选择用户定义个人恢复问题及回答时要向其展示的问题。恢复问题能够让用户在密码过期或忘记密码 时恢复对其计算机的访问。 要配置恢复问题: 1. 2. 3. 4. 在左侧窗格中的“身份验证”下,选择恢复问题。 在“恢复问题”页面,选择至少三个预定义的恢复问题。 您也可以向用户要从中选择的列表中添加多达三个自定义问题。 要保存恢复问题,请单击应用。 配置指纹扫描身份验证 要配置指纹扫描身份验证: 1. 在左侧窗格中的身份验证下,选择指纹。 2.
3. 设置指纹扫描灵敏度。 灵敏度越低,容许的变化越大,接受错误扫描的可能性越高。采用最高设置时,系统可能会拒绝合格的指纹。灵敏度设置越高, 容错率越低(低至万分之一)。 4. 要移除指纹读取器缓冲区中的所有指纹扫描和凭据注册,请单击清除读取器。此操作仅移除当前添加的数据,不会删除以前会话 中存储的扫描和注册。 5. 要保存设置,请单击应用。 配置一次性密码身份验证 要使用一次性密码功能,用户应在其移动设备上使用 Security Tools Mobile 应用程序生成一次性密码,然后在计算机中输入此密码。 此密码只能使用一次,并且只在有限的时段内有效。 为进一步增强安全性,管理员可以要求提供密码以确保此移动应用的安全。 在“移动设备”页面,您可以配置设置以进一步增强移动设备和一次性密码的安全性。 要配置一次性密码身份验证: 1. 在左侧窗格中的“身份验证”下,选择移动设备。 2.
3. 要选择一次性密码 (OTP) 的长度,请为一次性密码长度选择需要的密码字符数。 4.
配置高级权限 1. 单击高级以修改高级最终用户选项。在高级下,您可以允许用户自行注册凭据(可选),或允许用户修改其注册的凭据(可 选),并启用一步登录。 2. 选中或清除复选框: 允许用户注册凭据 - 此复选框默认为选中。允许用户在没有管理员介入的情况下注册凭据。如果清除此复选框,则必须由管理员 注册凭据。 允许用户修改注册的凭据 - 此复选框默认为选中。在选中的情况下,允许用户在没有管理员介入的情况下修改或删除其注册的凭 据。如果清除此复选框,普通用户将无法修改或删除凭据,必须由管理员修改或删除。 注: 要注册用户凭据,请转至管理员设置工具的用户页面,然后选择一个用户并单击注册。 允许一步登录 - 一步登录即单点登录 (SSO)。此复选框默认为选中。启用此功能时,用户只能在“预引导身份验证”屏幕输入其 凭据。用户将自动登录 Windows。如果清除此复选框,则用户可能需要多次登录。 注: 除非同时选择允许用户注册凭据设置,否则此选项不能选择。 3.
智能卡和生物识别服务(可选) 如果您不希望 Security Tools 将智能卡和生物识别设备相关的服务更改为“自动”启动类型,可禁用服务启动功能。 在服务启动功能被禁用的情况下,Security Tools 不会尝试启动这三项服务: • • • SCardSvr - 管理计算机对智能卡的读取访问。如果此服务停止,则此计算机将无法读取智能卡。如果此服务被禁用,则显式依赖 此服务的所有服务将无法启动。 SCPolicySvc - 允许将系统配置为在移除智能卡时锁定用户桌面。 WbioSrvc - Windows 生物识别服务使客户端应用程序能够采集、比较、处理和存储生物识别数据,而不必直接访问任何生物识别 硬件或样本。此服务托管在特权 SVCHOST 进程中。 禁用此功能也将取消与所需服务未运行相关的警告。 禁用自动启动服务 默认情况下,如果注册表项不存在或者其值设为 0,则此功能将启用。 1. 运行 Regedit。 2. 找到以下注册表项: [HKEY_LOCAL_MACHINE\SOFTWARE\DELL\Dell Data Protection] SmartCardServiceCheck=REG
注: 登录和会话显示用户的注册状态。 登录状态为正常,表明该用户需要登录的所有注册均已完成。会话状态为正常,表明该用户需要使用 Password Manager 的所有注册均已完成。 如果状态为否,表明该用户需要完成其他注册。要查找还需要进行哪些注册,请选择管理员设置工具,然后打开用户选 项卡。灰色的复选标记框表示未完成的注册。或者单击注册磁贴,并查看状态选项卡的策略列,此列列示了需要进行的 注册。 添加新用户 注: 当新 Windows 用户登录到 Windows 或注册凭据时,将自动进行添加。 1. 单击添加用户,开始完成现有 Windows 用户的注册过程。 2. 在选择用户对话框显示时,选择对象类型。 3. 在文本框中输入用户的对象名称,然后单击检查名称。 4. 完成时单击确定。 注册向导随即打开。 继续按照注册或更改用户凭据中的说明执行操作。 注册或更改用户凭据 管理员可以用户名义注册或更改用户凭据,但有些注册活动要求用户亲自执行,例如回答恢复问题和扫描用户指纹。 要注册或更改用户凭据: 1. 在“管理员设置”中,单击用户选项卡。 2.
3. 在“欢迎”页面中,单击下一步。 4.
5. 在“密码”页面,如要更改用户的 Windows 密码,请输入新密码并进行确认,然后单击下一步。 要跳过更改密码,请单击跳过。如果您不想注册凭据,向导将允许您跳过。要返回到一个页面,则单击后退。 6. 按照每个页面上的说明执行操作,并单击相应的按钮:下一步、跳过或返回。 7. 在“摘要”页面,确认注册的凭据,并在完成注册时单击应用。 要返回凭据注册页面进行更改,请单击后退直至到达您要更改的页面。 有关注册凭据或更改凭据的详细信息,请参阅控制台用户指南。 移除一个已注册的凭据 1. 单击管理员设置磁贴。 2. 单击用户选项卡,查找您要更改的用户。 3. 将鼠标悬停在要移除的凭据的绿色复选标记上,它将变为 4. 单击 。 标记,然后单击是以确认删除。 注: 如果这是用户唯一注册的凭据,则不能按这种方法移除此凭据。而且,这种方法不能移除密码。使用“移除”命令可完 全移除用户对该计算机的访问。 移除用户所有已注册的凭据 1. 单击管理员设置磁贴。 2. 单击用户选项卡,查找您要移除的用户。 3.
5 卸载任务 必须至少具备本地管理员权限,才能安装 DDP | Security Tools。 卸载 DDP | Security Tools 必须按此顺序卸载应用程序: 1. DDP | Client Security Framework 2. DDP | Security Tools Authentication 3. DDP | Security Tools 如果您的计算机配备有自加密驱动器,请按照以下说明进行卸载: 1. 解除配置 SED: a. 从管理员设置 > 单击加密选项卡。 b. 单击解密以禁用加密。 c. SED 取消加密后,重新启动计算机。 2. 在 Windows 控制面板中,转至卸载程序。 注: 开始 > 控制面板 > 程序和功能 > 卸载程序。 3. 卸载 Client Security Framework 并重新启动计算机。 4.
5. 从 Windows 控制面板卸载 Security Tools。 随即将显示一条消息,提示您是否要完全卸载此应用程序及其组件。 单击是。 随即将显示卸载完成对话框。 6. 单击是,我想现在重新启动计算机,然后单击完成。 7.
6 恢复 用户凭据过期或丢失时可使用恢复选项: • 一次性密码 (OTP):用户在注册的移动设备上使用 Security Tools Mobile 应用生成 OTP,然后在 Windows 登录屏幕中输入该 OTP 以重新获取访问。此选项仅适用于用户在计算机上使用 Security Tools 注册了移动设备的情况。要使用 OTP 功能进行恢复, 用户必须从未使用 OTP 登录计算机。 注: 一次性密码 (OTP) 功能要求 TPM 已存在、已启用且已有归属。按照清除所有权并激活 TPM 中的说明执行操作。OTP 功能可用于身份验证或用于恢复,但不能同时用于这两项用途。有关详细信息,请参阅配置登录选项。 • 恢复问题:用户正确回答一组个人问题以重新获取对该计算机的访问。此选项仅适用于管理员配置并启用了恢复问题,并且用户 注册了恢复问题的情况。在“预引导身份验证”屏幕和“Windows 登录”屏幕使用此选项可重新获取对计算机的访问。 这两种恢复方法都要求您进行恢复准备,即通过注册恢复问题,或通过在计算机上使用 Security Tools 注册移动设备。 自恢复,Windows 登录恢复问题 要在 W
1. 输入您的用户名。 2. 在屏幕左下方,单击选项>登录时出错。 3.
自恢复,一次性密码 此过程叙述在 Windows 密码过期、忘记 Windows 密码或超过允许的最大登录尝试次数等情况时,如何使用一次性密码 (OTP) 功能 恢复对计算机的访问。一次性密码 (OTP) 选项仅适用于用户已注册了移动设备并且上次未使用 OTP 登录 Windows 的情况。 注: 一次性密码功能要求 TPM 已存在、已启用且已有归属。OTP 功能可用于 Windows 身份验证或用于恢复,但不能同时用于 这两项用途。管理员可设置策略,以允许 OTP 用于恢复或身份验证的二者之一,或者禁用此功能。 要使用 OTP 恢复对计算机的访问: 1. 在 Windows 登录屏幕中,选择 OTP 图标 。 2. 在移动设备上,打开 Security Tools Mobile 应用并输入密码。 3.
此时移动设备屏幕上将显示一个密码。 注: 如果需要,可单击“刷新”符号 以获取新代码。刷新前两个 OTP 后,将延迟三十秒才生成另一个 OTP。计算机和 移动设备必须同步,二者才能同时识别同一个密码。如尝试快速相继生成密码,将导致计算机和移动设备不同步以及 OTP 功能失效。如发生该问题,请等待三十秒以使两个设备恢复同步,然后再重试。 5. 在计算机的 Windows 登录屏幕上,键入移动设备上显示的密码并按 Enter 键。 6.
7 词汇表 解除配置 - 解除配置操作将移除 PBA 数据库并停用 PBA。解除配置需要执行关机操作才能生效。 一次性密码 (OTP) - 一次性密码是仅可使用一次并且只在有限的时段内有效的密码。OTP 要求 TPM 已存在、已启用且已有归属。要 启用 OTP,需要使用 Security Console 和 Security Tools Mobile 应用,将移动设备与计算机配对。Security Tools Mobile 应用在移动设 备上生成密码,此密码用于从 Windows 登录屏幕登录到计算机。根据策略,如果 OTP 尚未用于登录该计算机,则在密码过期或忘记 密码时可使用 OTP 功能恢复对该计算机的访问。OTP 功能可用于身份验证或用于恢复,但不能同时用于这两项用途。OTP 的安全性 超过其他一些身份验证方法,因为所生成的密码只能使用一次并且会在短时间内过期。 预引导身份验证 (PBA) - 预引导身份验证是对 BIOS 或引导固件的扩展,在操作系统之外作为可信身份验证层,保证安全且防篡改的 环境。PBA 防止读取硬盘中的任何内容(如操作系统),直至用户确认其具备正确凭据。 单点登录 (SSO) -