Hi, <br><br><br><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
At the end of the day, if you need to really be secure, you need to have<br>
some kind of state on the client machine (Kerberos password, 802.1x<br>
credentials, etc.)--which generally doesn't exist on a clean image.<br>
<br>
<br>
</blockquote></div><br>'Clean image' runs on a particular machine which, it seems to me, can be fingerprinted before. For some machines there will be the vendor serial/service tag available, for some <br>there will be e.g. memory module serial or disk serial number. <br>

<br>Combination of e.g. service tag, disk serial number and memory module serials seems reasonably close to being unique and immutable.<br><br><br>Regards<br>Michal<br>Michal<br>