Lenovo ThinkVantage Client Security Solution 8.21 Deployment Guide [zc]

ClientSecuritySolution8.21 部署指南

更新时间：2012年2月

：

注

：

注

：在使用本资料及其支持的产品之前，请阅读第65

注：

注

页附录D“声明”中的一般信息。

第

三

版

(2012

年

月

第

三

版

三版

CopyrightLenovo

(2012

版(2012

(2012年

Lenovo

Lenovo2008,

第

第三

©Copyright

有限权利声明：如果数据或软件依照通用服务管理（GSA）合同提供，则其使用、复制或披露将受到GS-35F-05925号合同的约束。

)

年

月

)

年2

2月

月)

)

2008,

2012.

2008,

2012.

2008,2012.

2012.

前

言

前

言

前

前言

言.

第

章

概

述

第

章

概

述

第

第1

1章

章概

概述

ClientSecuritySolution.............1

ClientSecuritySolution口令.........1

ClientSecurity密码恢复..........2

ClientSecurity密码管理器.........2

安全顾问程序..............3

证书转移向导..............3

硬件密码重置..............3

支持无可信平台模块的系统.........3

FingerprintSoftware..............3

第

章

第

第2

ClientSecuritySolution.............5

安装ThinkVantage指纹软件.........11

安装Lenovo指纹软件............12

SystemsManagementServer..........14

第

第3

使用可信平台模块.............15

使用密钥管理ClientSecuritySolution......15

使用XML模式..............20

使用RSASecurID令牌...........27

安

章

安

2章

章安

安装

安装需求................5

定制公共属性..............5

可信平台模块支持............6

安装过程和命令行参数..........7

标准的WindowsInstaller公共属性......9

安装日志文件.............10

在现有版本基础上安装ClientSecuritySolution

8.21.................11

静默安装...............11

选项.................11

静默安装...............12

选项.................12

章

使

章

使

3章

章使

使用

在WindowsVista中使用可信平台模块...15

获取所有权..............16

注册用户...............17

软件仿真...............18

主板更换...............18

EFS保护实用程序...........20

示例.................21

安装RSASecurID软件令牌.......27

要求.................27

设置智能卡访问选项..........27

手动安装RSASecurID软件令牌......28

述.

装

装.

用

用Client

Client

ClientSecurity

Security

SecuritySolution

Solution

Solution.

.iii

.15

iii

ActiveDirectory支持...........28

指纹识别器认证的设置和策略........28

强制跳过指纹认证选项.........28

指纹扫描结果.............29

命令行工具................29

安全顾问程序.............29

ClientSecuritySolution设置向导......30

部署文件加密或解密工具........31

部署文件处理工具...........31

TPMENABLE.EXE...........31

证书转移工具.............32

TPM激活工具.............32

ActiveDirectory支持............33

管理（ADM）模板文件.........33

组策略设置..............34

ActiveUpdate.............38

第

章

使

用

第

章

第

第4

4章

章使

管理控制台工具..............39

特定于用户的命令...........39

全局设置命令.............40

安全方式与便捷方式............40

安全方式－管理员...........41

安全方式－受限用户..........41

便捷方式－管理员...........41

便捷方式－受限用户..........42

可配置的设置.............42

指纹软件和NovellNetwareClient.......43

正在认证...............44

ThinkVantage指纹软件服务.........44

第

章

第

章

第

第5

5章

章使

管理控制台工具..............45

Lenovo指纹软件服务............45

Lenovo指纹软件的ActiveDirectory支持....45

第

章

第

章

第

第6

6章

章最

安装ClientSecuritySolution的部署示例.....47

方案1................47

方案2................49

切换ClientSecuritySolution方式.......51

公司ActiveDirectory推广..........51

单机安装CD或脚本文件..........51

SystemUpdate...............51

SystemMigrationAssistant...........51

使用TPM中的密钥生成功能生成证书.....51

要求：................51

使

用

使用

用ThinkVantage

使

用

使

用

使用

用Lenovo

最

佳

实

最

佳

实

最佳

佳实

实践

ThinkVantage

ThinkVantage指

Lenovo

Lenovo指

践

践.

指

指纹

指

纹

软

件

指

纹

软

指纹

纹软

软件

纹

软

件

纹

纹软

软

件

软件

件.

件

件.

.39

.45

.47

©CopyrightLenovo2008,2012

从服务器请求证书...........52

将USB指纹键盘用于2008年的ThinkPad笔记本计算机型号（R400/R500/T400/T500/W500/X200/X301）..52

WindowsVista登录...........53

WindowsXP登录............53

ClientSecuritySolution和密码管理器....55

引导前认证-使用指纹而非BIOS密码...55

附

录

使

用

附

录

附

附录

录A

A使

附

录

附

录

附

附录

录B

B将

ThinkPad

ThinkPad笔项

项

项.

配置和设置................59

使

使用

将

将Lenovo

用

用OmniPass

Lenovo

Lenovo指

笔

记

笔

记

笔记

记本

OmniPass

OmniPass时

本

型

本

型

本型

型号

时

的

注

意

事

项

时

的

注

意

时的

的注

指

纹

键

指

指纹

号

号时

盘

纹

键

盘

纹键

键盘

盘用

时

的

特

时

的

特

时的

的特

特别

事

注意

意事

事项

用

于

某

用

于

某

用于

于某

某些

别

注

别

注

别注

注意

项

项.

.57

些

意

事

意

事

意事

事

.59

Predesktop认证..............59

Windows登录...............59

WindowsXP－欢迎屏幕..........59

WindowsXP－经典登录提示.........60

WindowsVista...............60

通过ClientSecuritySolution认证.......60

附

录

重

置

附

录

附

附录

录C

C重

同

步

密

同

同步

附

附录

商标...................65

词汇表..................lxvii

码

步

密

码

步密

密码

码.

录

录D

D声

Windows

重

置

Windows

重置

置Windows

Windows密

声

明

明.

声

声明

密

码

后

在

CSS

密

码

后

密码

在

码后

后在

在CSS

中

CSS

中

CSS中

中

.63

.65

iiClientSecuritySolution8.21部署指南

前言

本指南适用于IT管理员，即负责向其组织内的计算机部署ThinkVantage ThinkVantageFingerprintSoftware的人员。本指南提供在一台或多台计算机上安装ClientSecuritySolution和指纹软件所需的信息，但每台目标计算机都应具备相应软件的许可证。

ClientSecuritySolution和指纹软件的目标是通过保护客户端数据来保护您的系统并且使破坏安全性的尝试无法成功。有关使用ClientSecuritySolution和指纹软件的各种组件的问题和信息，请参阅以下站点中有关组件的联机帮助系统：http://www.lenovo.com/thinkvantage。

这些指南将定期更新。有关后续出版物，请访问以下Web站点： http://www.lenovo.com/thinkvantage

如果有任何建议或意见，请与您的Lenovo®授权代表联系。

ClientSecuritySolution和

©CopyrightLenovo2008,2012

iii

ivClientSecuritySolution8.21部署指南

第1章概述

本章概述了ClientSecuritySolution和指纹软件。本部署指南中描述的技术可以简化个人计算机的使用、提高个人计算机的工作效率并提供功能强大的工具来加速并简化执行过程，因而可以为IT专业人员提供直接或间接的帮助。借助ThinkVantageTechnologies，IT专业人员可以减少用于解决个人计算机问题的时间，从而将更多的时间用于执行核心任务。

ClientSecuritySolution

ClientSecuritySolution软件的主要用途是帮助您将计算机作为资产进行保护，同时保护计算机上的保密数据和计算机访问的网络连接。（如果Lenovo品牌的系统中含有符合可信计算组织（TCG）标准的可信平台模块（TPM），则ClientSecuritySolution软件将利用硬件作为系统的信任根。如果系统不包含嵌入式安全芯片，ClientSecuritySolution会将基于软件的密钥用作系统的信任根。）

ClientSecuritySolutionV8.2的功能包括：

证

认

户

用

护

保

令

Solution

Solution操

口

令

口

令保

口令

用

护

保

用户

护用

保护

的

作

操

的

作

操

的多

作的

操作

证

认

户

证

认证

户认

证

认

户

用

子

因

多

多因

用

子

因

用户

子用

因子

证

认

户

证

认证

户认

Windows

用

使

Windows

用

使

Windows®

用Windows

使用

•使

可以对ClientSecuritySolution进行配置使其接受用于认证的用户Windows密码或ClientSecuritySolution 口令。使用Windows密码比较方便且易于管理，而使用ClientSecuritySolution口令更加安全。管理员可以选择使用哪种认证方式，并且即使用户已经注册ClientSecuritySolution，仍然可以更改此设置。

用

纹

指

用

纹

指

用户

纹用

指纹

•指

利用USB连接的集成指纹技术对用户进行认证，使其可使用受密码保护的应用程序。

Windows

于

用

Windows

于

用

Windows登

于Windows

用于

•用

为各种安全性相关操作定义多个认证方式（Windows密码/ClientSecurity口令和指纹）。

管

码

密

管

码

密

管理

码管

密码

•密

安全地管理和存储敏感的登录信息，例如用户标识和密码。

和

码

密

和

码

密

和口

码和

密码

•密

即使用户忘记了他们的Windows密码或ClientSecuritySolution口令，通过使用密码和口令恢复，用户只要回答预配置的安全性问题，就可以登录到Windows并访问他们的ClientSecuritySolution凭证。

安

计

审

安

计

审

安全

计安

审计

•审

使用户能够查看工作站安全性设置的详细列表，并可以更改设置使其符合定义的标准。

证

字

数

证

字

数

证书

字证

数字

•数

ClientSecuritySolution保护用户证书和机器证书的密钥。使用ClientSecuritySolution保护您现有证书的专用密钥。

认

于

用

认

于

用

认证

于认

用于

•用

管理员可选择需要哪些设备（Windows密码、ClientSecuritySolution口令或指纹）对以下操作进行认证： Windows登录、PasswordManager和证书操作。

®密

证

认

户

证

认

户

证

认证

户认

理

复

恢

令

口

复

恢

令

口

复

恢复

令恢

口令

置

设

性

全

置

设

性

全

置

设置

性设

全性

送

传

书

送

传

书

送

传送

书传

略

策

的

证

略

策

的

证

略管

策略

的策

证的

或

码

密

或Client

码或

密码

各

和

录

登

各

和

录

各种

和各

录和

理

管

理

管

理

管理

Security

Client

SecuritySolution

ClientSecurity

Client

种

Client

种

ClientSecurity

种Client

Security

Client

或

码

密

Solution

Solution口

Security

SecuritySolution

ClientSecuritySolution口令

ClientSecuritySolution口令是用户认证的一种可选功能，可以进一步保护ClientSecuritySolution应用程序的安全性。ClientSecuritySolution口令具有以下要求：

•长度至少为八个字符

•至少包含一个数字

•不同于最近的三个口令

•包含的重复字符不超过两个

•不以数字开头

•不以数字结尾

©CopyrightLenovo2008,2012

•不包含用户标识

•不能更改使用时间不足三天的当前口令

•当前口令在任何位置都不包含三个或三个以上连续相同的字符

•与Windows密码不同

只有个人用户才知道ClientSecuritySolution口令。如果忘记了ClientSecuritySolution口令，则进行恢复的唯一方法是执行ClientSecuritySolution的密码恢复功能。如果用户忘记了其恢复问题的答案，便无法恢复由 ClientSecuritySolution口令保护的数据。

ClientSecurity密码恢复

此可选功能使注册的ClientSecurity用户能通过正确回答三个问题来恢复忘记的Windows密码或ClientSecurity 口令。如果启用了此功能，您将需要为十个预选问题选择三个答案。如果用户忘记了Windows密码或Client Security口令，通过回答这三个问题即可重新设置他们的密码或口令。

：

注

：

注

：

注：

注

1.使用ClientSecurity口令时，ClientSecurity密码恢复是恢复忘记的口令的唯一方法。如果您忘记了这三个问题的答案，就必须重新运行注册向导并且先前受到ClientSecurity保护的所有数据将丢失。

2.当使用ClientSecurity保护RescueandRecovery ClientSecurity口令和/或Windows密码。因为Predesktop区域不能自动更改Windows密码，所以将显示口令或密码。如果无线（未连接网络的本地高速缓存域）用户在登录Windows时执行此功能，也将显示口令或密码。

Predesktop区域时，“密码恢复”选项将显示您的真实

ClientSecurity密码管理器

ClientSecurity密码管理器可用于管理易忘记的应用程序和web站点信息，如用户标识、密码和其他个人信息。ClientSecurity密码管理器通过ClientSecuritySolution保护您的个人信息，以保证对应用程序和web站点的访问绝对安全。由于只需记住一个密码或口令或提供指纹，因此ClientSecurityPasswordManager程序还可节省时间和精力。

ClientSecurity密码管理器使您能够执行以下功能：

：

密

加

行

进

息

信

的

储

存

已

有

所

对

件

通

过

通

过Client

通过

•通

通过ClientSecuritySolution对您的所有信息自动进行加密。用户的敏感密码信息由ClientSecuritySolution 加密密钥进行保护。

填

动

自

填

动

自

填充

动填

自动

•自

当您访问应用程序或web站点时，就会自动登录。如果先前将登录信息输入了ClientSecurity密码管理器中，则ClientSecurity密码管理器会自动填充所要求的字段并提交web站点或应用程序。

用

使

用

使

用Client

使用

•使

让您可以在易于使用的界面中编辑帐户条目并设置所有可选功能。使用此界面，可以快速方便地管理密码和个人信息。但是，ClientSecurity密码管理器会自动检测到大多数与条目相关的更改并使用户能够轻松地更新他们的条目。

其

需

无

其

需

无

其他

需其

无需

•无

将敏感信息发送给指定的web站点或应用程序时，ClientSecurity密码管理器会自动检测到此过程。当检测到时，ClientSecurity密码管理器会提示用户保存信息，从而简化了存储敏感信息的过程。

有

所

将

有

所

将

有信

所有

将所

•将

使用ClientSecurity密码管理器，用户可以将任何文本数据保存在安全的便笺本中。用户的安全便笺本受保护的安全级别可等同于用户的任何其他Web站点或应用程序条目。

和

出

导

和

出

导

和导

出和

导出

•导

使您能够导出敏感的个人信息，以便在计算机之间安全地传递这些信息。从ClientSecurity密码管理器导出登录信息时，会创建一个受密码保护的导出文件，该文件可以存储在可移动介质上。无论您身在何处都可以使用此文件访问您的个人信息，或使用ClientSecurity密码管理器将条目导入另一台计算机中。

Security

Client

SecuritySolution

ClientSecurity

户

用

充

户

用

充

户标

用户

充用

Security

Client

Security

Client

Security密

ClientSecurity

骤

步

他

骤

步

他

骤便

步骤

他步

保

息

信

保

息

信

保存

息保

信息

登

入

导

登

入

导

入登

导入

Security

Client

过

Solution

Solution软

密

和

识

标

标识

便

便可

存

存到

录

录信

密

和

识

密码

和密

识和

密

密码

存

保

可

存

保

可

存信

保存

可保

全

安

到

全

安

到

全便

安全

到安

：

息

信

：

息

信

：

息：

信息

软

软件

：

码

：

码

：

码：

理

管

码

理

管

码

理器

管理

码管

：

息

信

：

息

信

：

息：

信息

本

笺

便

本

笺

便

本中

笺本

便笺

所

对

件

所有

对所

件对

面

界

器

面

界

器

面编

界面

器界

：

中

：

中

：

中：

存

已

有

存储

已存

有已

条

辑

编

条

辑

编

条目

辑条

编辑

信

的

储

信息

的信

储的

：

目

：

目

：

目：

行

进

息

行加

进行

息进

：

密

加

：

密：

加密

2ClientSecuritySolution8.21部署指南

：

注

：

注

：支持完整导入ClientSecuritySolution7.0和8.

注：

注

入（不导入应用程序条目）。ClientSecuritySoftwareSolution5.4 Solution8.

版PasswordManager。

版的导出文件。ClientSecuritySolutionV6.0支持有限导

版及更早版本无法导入到ClientSecurity

安全顾问程序

SecurityAdvisor工具可用于查看计算机上当前安全性设置的摘要。您可以使用这些设置查看当前的安全性状态或者增强系统安全性。可通过Windows注册表更改所显示的类别缺省值。安全性类别的示例包含：

•硬件密码

•Windows用户密码

•Windows密码策略

•受保护的屏幕保护程序

•文件共享

证书转移向导

ClientSecurity证书转移向导可指导您完成将与证书关联的私钥从基于软件的Microsoft （CSP）转移到基于硬件的ClientSecuritySolutionCSP的整个过程。转移后，由于专用密钥受到Client SecuritySolution的保护，所以使用证书的操作将更安全。

加密服务提供程序

硬件密码重置

此工具创建一个独立于Windows运行的安全环境并帮助您重新设置忘记的开机密码和硬盘驱动器密码。您的身份会通过回答您创建的一组问题来进行确定。在忘记密码之前，请尽快创建这个安全环境。仅当已在硬盘驱动器上创建此安全环境并注册后，才能重新设置忘记的硬件密码。只有某些计算机上提供此工具。

支持无可信平台模块的系统

ClientSecuritySolutionV8.2支持未配备合规嵌入式安全芯片的Lenovo品牌系统。这种支持使客户能够在整个企业范围内实施标准安装，从而创建一致的安全环境。具有嵌入式安全硬件的系统抵御攻击的能力更强；然而，只有安全软件的机器也能从额外的安全性和功能获益。

FingerprintSoftware

Lenovo提供的生物识别指纹技术旨在帮助客户降低与密码管理相关的成本、增强系统的安全性并满足合规性。指纹软件通过Lenovo指纹识别器支持在个别计算机和网络上进行指纹认证。如果结合使用指纹软件和ClientSecuritySolutionV8.2，可以提供扩展的功能。ClientSecuritySolution8.21 支持在不同的机器类型上与ThinkVantage指纹软件5.8.2和Lenovo指纹软件2.0一起使用。可在 http://www.lenovo.com/support/site.wss/MIGR-59650.html找到有关Lenovo指纹技术的更多信息并下载相应软件

指纹软件提供以下功能：

能

功

件

软

端

户

客

客户

•客

–Microsoft

–BIOS

–用

–只

软

端

户

软件

端软

户端

Microsoft

MicrosoftWindows

用指纹替换密码以便快速、方便且安全地访问系统。

BIOS

BIOS密

用指纹替换这些密码，使登录更加安全方便。

于

用

于

用

于SafeGuard

用于

启动Windows之前，利用指纹认证来对硬盘驱动器进行解密。

滑

需

只

滑

需

只

滑动

需滑

只需

在启动时只需滑动手指即可访问BIOS和Windows，节省了宝贵的时间。

功

件

功能

件功

Windows

Windows密

码

密

码

密

码（

密码

SafeGuard

SafeGuardEasy

手

动

手

动

手指

动手

能

：

换

替

码

密

码

密

码替

密码

开

为

称

也

（

也

（

也称

（也

指

指即

开

为

称

开机

为开

称为

全

Easy

全

Easy

全盘

Easy全

问

访

可

即

即可

问

访

可

问BIOS

访问

可访

机

机密

替

替换

密

密码

盘

盘加

BIOS

BIOS和

：

换

：

换：

：

换

替

码

密

器

动

驱

盘

硬

和

）

码

码）

加

加密

硬

和

）

硬盘

和硬

）和

引

的

密

引

的

密

引导

的引

密的

Windows

和

Windows

和

Windows：

和Windows

动

驱

盘

动器

驱动

盘驱

指

前

导

指

前

导

指纹

前指

导前

码

密

器

码替

密码

器密

证

认

纹

证

认

纹

证：

认证

纹认

：

换

替

：

换：

替换

：

第1章.概述3

：

成

与

与Client

–与

Security

Client

SecuritySolution

ClientSecurity

Security

Client

Solution

Solution集

集

：

成

集

：

成：

集成

与ClientSecuritySolutionPasswordManager一起使用，并利用可信平台模块。用户可以通过划过手指

来访问Web站点并选择应用程序。

管

理

管

理员

管理

•管

安

安全

–安

能

功

员

能

功能

员功

：

换

切

式

方

全

式

方

全

式切

方式

全方

：

换

切

：

换：

切换

能

功

员

理

让管理员可以在安全方式与便捷方式之间切换以修改受限用户的访问权。

安

全

安

全性

安全

•安

软

软件

–软

能

功

性

能

功能

性功

：

性

全

安

件

安

件

安全

件安

：

性

全

：

性：

全性

能

功

性

全

将用户模板存储在系统中或将它们从识别器传送到软件时，通过强加密来保护它们。

硬

安

件

硬

安全

件安

硬件

–硬

：

性

全

：

性：

全性

：

性

全

安

件

为安全性识别器提供协处理器，该处理器存储并保护指纹模板、BIOS密码和加密密钥。

4ClientSecuritySolution8.21部署指南

第2章安装

本章包含安装ClientSecuritySolution和指纹软件的说明。在安装ClientSecuritySolution或指纹软件之前，您应该了解要安装的应用程序的体系结构。本章提供每个应用程序的体系结构和安装每个程序前需要了解的其他信息。

ClientSecuritySolution

ClientSecuritySolution安装软件包是使用InstallShield10.5Premier并作为基本MSI项目开发的。InstallShield 使用WindowsInstaller安装应用程序，这为管理员提供了多种定制安装的功能，例如在命令行设置属性值。本章描述了使用和执行ClientSecuritySolution安装软件包的方式。为了更深入了解这些方法，请阅读整章后再开始安装这些软件包。

：

注

：

注

：安装这些软件包时，请参阅ClientSecuritySolution的自述文件。请访问以下LenovoWeb站点：

注：

注

http://www.lenovo.com/support/site.wss/document.do?sitestyle=lenovo&lndocid=HOME-LENOVO

该自述文件包含有关软件版本、所支持的系统、系统要求和其他注意事项的最新信息，可帮助您完成安装过程。

安装需求

本部分中的信息描述了安装ClientSecuritySolution软件包的系统要求。为获得最佳结果，请访问以下Web 站点以确保软件为最新版本：

http://support.lenovo.com/en_US/downloads/detail.page?LegacyDocID=MIGR-61432

许多老式计算机只要满足指定要求，即可支持ClientSecuritySolution。有关支持ClientSecuritySolution 的老式计算机的信息，请访问Web站点http://support.lenovo.com/en_US/downloads/detail.page?Legacy DocID=MIGR-61432。

对Lenovo计算机的要求

Lenovo品牌计算机必须满足或超出以下要求，才能安装ClientSecuritySolution：

•操作系统：WindowsVista

•内存：256MB

–在共享内存配置中，最大共享内存的BIOS设置必须设置为不小于8MB。 –在非共享内存配置中，非共享内存为120MB。

•必须安装InternetExplorer5.5或更高版本。

•硬盘驱动器上有300MB的可用空间。

•支持800x600分辨率和24位真彩色的VGA兼容视频。

•用户必须具有管理员权限才能安装ClientSecuritySolution。

•用于硬件密码重置功能的额外需求：NTFS和WindowsXP。

：

注

：

注

：不支持在WindowsServer2003上部署ClientSecuritySolution安装包。

注：

注

、WindowsVistaServicePack1或WindowsXPServicePack3。

定制公共属性

ClientSecurity软件程序的安装软件包中包含一组定制公共属性，运行安装时可以在命令行上设置这些属性。下表提供了用于WindowsXP和Windows2000的定制公共属性：

©CopyrightLenovo2008,2012

表 1. 公共属性

属

性

属

性

属

属性

性描

EMULATIONMODE

HALTIFTPMDISABLED

NOCSSWIZARD

CSS_CONFIG_SCRIPT

SUPERVISORPW

PWMGRMODE

NOSTARTMENU

描

述

描

述

描述

述

指定即使TPM存在，仍强制以仿真方式进行安装。在命令行上设置EMULATIONMODE=1以仿真方式进行安装。

如果TPM处于禁用状态并且正以静默方式运行安装，那么缺省值是以仿真方式执行安装。如果已禁用TPM，则以静默方式运行安装时，使用HALTIFTPMDISABLED=1 属性停止安装。

在命令行上设置NOCSSWIZARD=1以防止在安装Client SecuritySolution后自动显示ClientSecuritySolution注册对话框。该属性为那些要安装ClientSecuritySolution但是稍后配置系统时会使用脚本编制的管理员配置。

设置CSS_CONFIG_SCRIPT=“文件名”或“文件名密码”，可在用户完成安装和重新引导后运行配置文件。

在命令行上设置SUPERVISORPW=“密码”可提供超级用户密码，以便在静默或非静默安装方式中启用芯片。如果已禁用芯片且安装以静默方式运行，则必须提供正确的超级用户密码以启用芯片，否则无法启用芯片。

在命令行上设置PWMGRMODE=1以只安装密码管理器。

在命令行上设置NOSTARTMENU=1以防止在“开始” 菜单中生成快捷方式。

可信平台模块支持

ClientSecuritySolutionV8.2支持嵌入计算机的安全硬件“可信平台模块”（TPM）。对于Windows2000和 XP，您可以需要为系统的TPM下载驱动程序。运行WindowsVista时，如果您的计算机包含操作系统所支持的TPM，则ClientSecuritySolution将使用此操作系统提供的驱动程序。

启用TPM时，可能会要求重新引导，正如由系统的BIOS启用TPM一样。运行WindowsVista时，可能会要求您在系统启动的过程中确认TPM的支持。

必须先初始化所有权，可信平台模块才可以执行功能。每个系统将拥有一个控制ClientSecuritySolution选项的ClientSecuritySolution管理员。该管理员必须具有Windows管理员特权。可以使用XML部署脚本初始化管理员。

配置系统所有权后，在每个其他Windows用户登录系统时均会出现ClientSecurity设置向导，提示其注册和初始化用户的安全密钥和凭证。

可信平台模块的软件仿真

ClientSecuritySolution可以选择不使用可信平台模块在限定的系统上运行。除使用基于软件的密钥而不是使用受硬件保护的密钥外，其他功能均与使用可信平台模块相同。该软件还可以安装一个开关，以强制始终使用基于软件的密钥而不使用可信平台模块。是否使用此开关要在安装时作出决定，并且不卸载并重新安装软件就无法撤销该决定。

下面是强制可信平台模块进行软件仿真的语法：

InstallFile.exe“/vEMULATIONMODE=1”

6ClientSecuritySolution8.21部署指南

安装过程和命令行参数

MicrosoftWindowsInstaller通过命令行参数提供多种管理功能。WindowsInstaller可以针对网络执行应用程序或产品的管理安装，以供工作组使用或用于定制。在指定需要参数的命令行选项时，选项与参数之间不得有空格。例如：

setup.exe/s/v"/qnREBOOT=”R”"

有效，而

setup.exe/s/v"/qnREBOOT=”R”"

无效。

：

注

：

注

：单独执行安装（在不使用任何参数的情况下运行setup.exe）时，它的缺省行为是在安装结束时提示用户

注：

注

重新引导。重新引导是确保程序正确运行所必需的。如前文及示例部分所述，可以通过静默安装中的命令行参数延迟重新引导。

对于ClientSecuritySolution安装包，管理安装将安装源文件解压缩到指定的位置。

要运行管理安装，请使用/a参数在命令行执行安装软件包：

setup.exe/a

管理安装会显示一个向导，提示管理用户指定安装文件的解压位置。缺省解压位置是C:\。所选择的新位置可包含C:\以外的驱动器。例如，其他本地驱动器或映射网络驱动器。也可以在该步骤中创建新目录。

要静默运行管理安装，则可以在命令行上设置公共属性TARGETDIR以指定解压位置：

setup.exe/s/v"/qnTARGETDIR=F:\TVTRR"

或

msiexec.exe/i"ClientSecurity-PasswordManager .msi"/qnTARGERDIR=F:\TVTRR

：

注

：

注

：如果WindowsInstaller不是最新版本，则setup.exe配置为将WindowsInstaller引擎更新为V3.0。即使使

注：

注

用管理解压安装，该更新也将引起安装操作提示重新引导。正确使用重新引导可防止在这种情况中进行重新引导。如果WindowsInstaller的版本不低于V3.0，那么setup.exe将不会尝试更新WindowsInstaller引擎。

完成管理安装后，管理用户就可定制源文件（例如，向注册表添加设置）。要在定制后使用解压的源文件进行安装，用户需要在命令行调用msiexec.exe，以传递解压的MSI文件的名称。

以下参数和描述记录在InstallShield开发者帮助文档中。凡不适用于BasicMSI项目的参数均已删除。

表 2. 参数

参

数

参

数

参

参数

数描

/a：管理安装

/x：卸载方式

/s：静默方式

/v：将参数传递到Msiexec

描

述

描

述

描述

述

/a开关使setup.exe执行管理安装。管理安装将您的数据文件复制（并解压）到用户指定的目录，但不创建快捷方式、注册COM服务器或创建卸载日志。

/x开关使setup.exe卸载先前安装的产品。

命令setup.exe/s禁止BasicMSI安装程序的setup.exe初始化窗口，但不会读取响应文件。BasicMSI项目不创建或使用静默安装的响应文件。要静默运行BasicMSI产品，请运行命令行setup.exe/s/v/qn。（要指定Basic MSI静默安装的公共属性的值，可以使用命令setup.exe/s /v"/qnINSTALLDIR=D:\Destination"。）

/v参数用于将命令行开关和公共属性的值传递到 msiexec.exe。

第2章.安装7

表 2. 参数（续）

参

数

参

数

参

参数

数描

描

述

描

述

描述

述

/L：安装语言

/w：等待对于BasicMSI项目，/w参数强制setup.exe等待，直至

用户可以使用带十进制语言标识的/L开关指定多语言安装程序使用的语言。例如，指定德语的命令为setup.exe /L1031。

安装完成后才退出。如果在批处理文件中使用/w选项，您可能需要在整个setup.exe命令行参数之前添加start /WAIT。该用法的正确格式示例如下：

start/WAITsetup.exe/w

使用msiexec.exe

要在进行定制后通过已解压的源文件进行安装，用户要从命令行中调用msiexec.exe，同时传递已解压的*.MSI 文件的名称。msiexec.exe是Installer的可执行程序，用于解释安装包和将产品安装到目标系统。

msiexec/i"C:\WindowsF older\Proles\UserName\ Personal\MySetups\projectname\productconguration\releasename\ DiskImages\Disk1\productname.msi"

：

注

：

注

：在一行中输入上述命令，斜杠后不能有空格。

注：

注

下表描述了可用于msiexec.exe的命令行参数以及使用方法的示例。

表 3. 命令行参数

参

数

参

数

参

参数

数描

/Ipackage或productcode

描

述

描

述

描述

述

使用以下格式安装产品：

Othello:msiexec/i"C:\WindowsFolder\Proles\ UserName\Personal\MySetups \Othello\TrialVersion\ Release\DiskImages\Disk1\ OthelloBeta.msi"

/apackage

/xpackage或productcode

/L[i|w|e|a|r|u|c|m|p|v|+]logfile

ProductCode指在产品的项目视图里，ProductCode属性中自动生成的全局唯一标记符（GUID）。

/a选项允许具备管理员权限的用户将产品安装到网络。

/x选项卸载产品。

使用/L选项进行构建会指定到日志文件的路径；这些标志表明要记录到日志文件中的信息：

•i记录状态消息

•w记录非致命警告消息

•e记录任何错误消息

•a记录操作序列的起始点

•r记录特定于操作的记录

•u记录用户请求

•c记录初始用户界面参数

•m记录内存不足消息

•p记录终端设置

•v记录详细输出设置

•+追加到现有文件

•*是通配符，它允许您记录所有信息（详细输出设置除外）

8ClientSecuritySolution8.21部署指南

表 3. 命令行参数（续）

参

数

参

数

参

参数

数描

/q[n|b|r|f]

描

述

描

述

描述

述

/q选项与以下标志相结合以用于设置用户界面级别：

•q或qn不创建用户界面

•qb创建基本用户界面

以下的用户界面设置在安装结束时显示模态对话框：

•qr显示精简的用户界面

•qf显示完整的用户界面

•qn+不显示用户界面

•qb+显示基本用户界面

/?或/h

TRANSFORMS

属性

这两个命令都显示WindowsInstaller版权信息

TRANSFORMS

TRANSFORMS命令行参数指定要应用于基础软件包的任何转换。

msiexec/i"C:\WindowsFolder\ Proles\UserName\Personal \MySetups\ YourProjectName\TrialVersion\ MyRelease-1 \DiskImages\Disk1\ ProductName.msi"TRANSFORMS="NewTransform1.mst"

可以使用分号分隔多个转换。但在转换的名称中请勿使用分号，因为Windows Installer服务无法正确解释这些分号。

所有公共属性都可以在命令行进行设置或修改。公共属性全部采用大写字母，以与专用属性区别。例如，COMPANYNAME为公共属性。

要在命令行设置属性，请使用以下语法：

PROPERTY=VALUE

如果要更改COMPANYNAME的值，则输入以下语句：

msiexec/i"C:\WindowsFolder\ Proles\UserName\Personal\ MySetups\YourProjectName\ TrialVersion\MyRelease-1\ DiskImages\Disk1\ProductName.msi" COMPANYNAME="InstallShield"

标准的WindowsInstaller公共属性

WindowsInstaller有一组标准的内置公共属性，可以在命令行中设置这些属性以指定安装期间的特定行为。下表提供命令行中最常用的公共属性。

有关其他信息，请访问MicrosoftWeb站点：

http://msdn2.microsoft.com/en-us/library/aa367437.aspx

下表显示了常用的WindowsInstaller属性：

表 4. Windows Installer 属性

属

性

属

性

属

属性

性描

TARGETDIR

ARPAUTHORIZEDCDFPREFIX

ARPCOMMENTS

描

述

描

述

描述

述

指定安装的根目标目录。在管理安装期间，该属性是复制安装包的位置。

应用程序的更新通道的URL。

为“控制面板”上的“添加或删除程序”提供注释。

第2章.安装9

表 4. Windows Installer 属性（续）

属

性

属

性

属

属性

性描

ARPCONTACT

ARPINSTALLLOCATION

ARPNOMODIFY

ARPNOREMOVE

ARPNOREPAIR

ARPPRODUCTICON

ARPREADME

ARPSIZE

ARPSYSTEMCOMPONENT

ARPURLINFOABOUT

ARPURLUPDATEINFO

REBOOT

描

述

描

述

描述

述

为“控制面板”上的“添加或删除程序”提供联系。

应用程序主文件夹的标准路径。

禁用修改产品的功能。

禁用删除产品的功能。

禁用程序向导中的“修复”按钮。

指定安装包的主图标。

为“控制面板”上的“添加或删除程序”提供自述文件。

应用程序的估计大小（以千字节为单位）。

阻止在“添加或删除程序”列表中显示应用程序。

应用程序主页的URL。

应用程序更新信息的URL。

REBOOT属性禁止某些重新引导系统的提示。管理员通常在同时安装多个产品的一系列安装中使用该属性，这样只需在所有安装结束时执行一次重新引导即可。设置REBOOT=“R”以禁用一个安装结束时的任何重新引导。

安装日志文件

如果用setup.exe启动安装（双击主install.exe，运行不带参数的主可执行文件，或者解压msi并执行 setup.exe），那么将在%temp%目录中创建名为cssinstall82x32.log（针对WindowsXP和WindowsVista32）或css64install82V.log（针对WindowsVista64）的ClientSecuritySolution安装日志文件。此文件包含可用于调试安装问题的日志消息。直接从MSI软件包运行安装时不会创建这些日志文件；这包括从“添加/删除程序”执行的所有操作。要创建一个日志文件用于所有MSI操作，您可以启用注册表中的记录策略。要执行该操作，请创建以下值：

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsof t\Windows\Installer] "Logging"="voicewarmup"

安装示例

下表提供了使用setup.exe的安装示例：

表 5. 使用 setup.exe 的安装示例

描

述

描

述

描

描述

述示

不重新引导的静默安装。

管理安装。

指定ClientSecurity软件解压位置的静默管理安装。

静默卸载setup.exe/s/x/v/qn。

不重新引导的安装。在temp目录中创建ClientSecurity软件的安装日志。

不安装Predesktop区域的安装。

示

例

示

例

示例

例

setup.exe/s/v”/qnREBOOT=”R””

setup.exe/a

setup.exe/a/s/v”/qnTARGETDIR=”F: \CSS82””

setup.exe/s/x/v/qn

setup.exe/v”REBOOT=”R”/L*v%temp% \cssinstall80.log”

setup.exe/vPDA=0

下表提供了使用ClientSecurity-PasswordManager.msi的安装示例：

10ClientSecuritySolution8.21部署指南

表 6. 使用 Client Security - Password Manager.msi 的安装示例

描

述

描

述

描

描述

述示

安装

无需重新引导的静默安装

静默卸载

示

例

示

例

示例

例

msiexec/i“C:\CSS82\ClientSecurity Solution-PasswordManager.msi”

msiexec/i“C:\CSS82\ClientSecurity Solution-PasswordManager .msi”/qnREBOOT=”R”

msiexec/x“C:\CSS82\ClientSecurity Solution-PasswordManager.msi”/qn

在现有版本基础上安装ClientSecuritySolution8.21

可以使用SystemUpdate从ClientSecuritySolution8.0升级ClientSecuritySolution。如果要在早于ClientSecurity Solution8.0的现有版本基础上安装ClientSecuritySolution8.21，请先将ClientSecuritySolution8.0安装到系统。

无法将ClientSecuritySolution8.0作为升级版本安装在先前的版本之上。您必须在安装V8.0之前，卸载Client SecuritySolution的现有版本。要保存现有的数据和设置，请在卸载ClientSecuritySolution的先前版本之前完成以下步骤：

1.从以下LenovoWeb站点下载ClientSecuritySolution8.0UpgradeAssistant： http://www.lenovo.com/support/site.wss/document.do?sitestyle=lenovo&lndocid=MIGR-46391

2.卸载ClientSecuritySolution的先前版本之前，从命令行静默运行ClientSecuritySolution8.0Upgrade

Assistant。

除此之外，ClientSecuritySolution7.0用户必须在安装RescueandRecovery4.0之前将其升级到ClientSecurity

Solution8.0。

：

注

：

注

：升级操作系统时，必须清除安全芯片以避免ClientSecuritySolution注册失败。

注：

注

安装ThinkVantage指纹软件

可以使用以下方法执行指纹软件程序的setup.exe文件：

静默安装

要静默安装指纹软件，请从CD-ROM驱动器上的安装目录中运行setup.exe。

使用以下语法：

Setup.exePROPERTY=VALUE/q/i

其中q用于静默安装，i用于安装。例如：

setup.exeINSTALLDIR="C:\ProgramFiles\ThinkVantagengerprintsoftware"/q/i

要卸载软件，请使用/x参数代替/i参数：

setup.exeINSTALLDIR="C:\ProgramFiles\ThinkVantagengerprintsoftware"/q/x

选项

指纹软件支持以下选项：

表 7. 指纹软件支持的选项

参

数

参

数

参

参数

数描

CTRLONCE

CTLCNTR

描

述

描

述

描述

述

只显示一次“控制中心”。缺省值为0。

在启动时运行“控制中心”。缺省值为1。

第2章.安装11

表 7. 指纹软件支持的选项（续）

参

数

参

数

参

参数

数描

DEFFUS

INSTALLDIR

OEM

PASSPORT

SECURITY

SHORTCUTFOLDER

REBOOT

DEVICEBIO

描

述

描

述

描述

述

•0=不使用快速用户切换（FUS）设置。

•1=尝试使用FUS设置。

缺省值为0。

缺省值是指纹软件安装目录。

•0=安装服务器通行证或服务器认证支持

•1=仅带有本地通行证的独立计算机方式

缺省值是安装期间设置的通行证类型。

•1=缺省－本地通行证

•2=服务器通行证

缺省值为1。

•1=安装安全方式支持

•0=不安装；只存在便捷方式

缺省值是“开始”菜单中快捷方式文件夹的名称

通过设置为ReallySupress禁止安装期间的所有重新引导（包括提示）。

配置将由用户使用的设备类型。注册类型：

•DEVICEBIO=#3－第一次注册时使用的设备扇区。

•DEVICEBIO=#0－注册到将使用的硬盘驱动器

•DEVICEBIO=#1－注册到将使用的CompanionChip

安装Lenovo指纹软件

可以使用以下过程执行指纹软件程序的setup32.exe文件：

静默安装

要静默安装指纹软件，请在CD-ROM驱动器的安装目录中运行setup32.exe文件。

使用以下语法：

setup32.exe/s/v"/qnREBOOT="R""

要卸载该软件，请使用以下语法：

setup32.exe/x/s/v"/qnREBOOT="R""

选项

指纹软件支持以下选项：

12ClientSecuritySolution8.21部署指南

表 8. Lenovo 指纹软件支持的选项

参

数

参

数

参

参数

数描

SWAUTOSTART

SWFPLOGON

SWPOPP

SWSSO

SWALLOWENROLL

SWALLOWDELETE

SWALLOWIMEXPORT

SWALLOWSELECT

SWALLOWPWRECOVERY

SWANTIHAMMER

SWANTIHAMMERRETRIES

SWANTIHAMMERTIMEOUT

SWAUTHTIMEOUT

描

述

描

述

描述

述

•0=在Windows启动时不启动指纹软件。

•1=在Windows启动时启动指纹软件。

缺省值为1。

•0=不使用指纹登录（GINA或凭证提供者）。

•1=使用指纹登录（GINA或凭证提供者）。

缺省值为0。

•0=禁用开机密码保护。

•1=启用开机密码保护。

缺省值为0。

•0=禁用单点登录功能。

•1=启用单点登录功能。

缺省值为0。

•0=不允许非管理员用户进行指纹注册。

•1=允许非管理员用户进行指纹注册。

缺省值为1。

•0=不允许非管理员用户进行指纹删除。

•1=允许非管理员用户进行指纹删除。

缺省值为1。

•0=不允许非管理员用户进行指纹导入/导出。

•1=允许非管理员用户进行指纹导入/导出。

缺省值为1。

•0=不允许非管理员用户选择使用指纹来取代开机密码。

•1=允许非管理员用户选择使用指纹来取代开机密码。

缺省值为1。

•0=不允许Windows密码恢复。

•1=允许Windows密码恢复。

缺省值为1。

•0=禁用反恶意攻击保护。

•1=启用反恶意攻击保护。

缺省值为1。

指定最大重试次数。缺省值为5。

注

：

注

：

注

注：

：仅当启用SWANTIHAMMER时，该设置才有效。

指定超时持续时间（秒）。缺省值为120。

注

：

注

：

注

注：

：仅当启用SWANTIHAMMER时，该设置才有效。

•0=禁用认证超时。

•1=启用认证超时。

缺省值为1。

第2章.安装13

表 8. Lenovo 指纹软件支持的选项（续）

参

数

参

数

参

参数

数描

SWAUTHTIMEOUTVALUE

SWNONADMIFPLOGONONLY

SWSHOWPOWERON

CSS

描

述

描

述

描述

述

指定认证超时前处于不活动状态的持续时间（秒）。缺省值为120。

注

：

注

：

注

注：

：仅当启用SWAUTHTIMEOUT时，该设置才有效。

•0=禁止非管理员用户仅用指纹进行登录。

•1=允许非管理员用户仅用指纹进行登录。

缺省值为1。

•0=不显示开机安全性选项。

•1=始终显示开机安全性选项。

缺省值为0。

•0=假定未安装CSS。

•1=假定已安装CSS。

缺省值为0。

SystemsManagementServer

也支持SystemsManagementServer（SMS）的安装。打开SMS管理员控制台。以标准方式创建一个新的软件包并设置软件包属性。打开该软件包并在“程序”项中选择“新建程序”。在命令行中输入：

Setup.exe/myourmiflename/q/i

您可以使用静默安装使用的参数。

安装程序通常在安装过程结束时重新引导。如果不想在安装期间重新引导，而想以后再重新引导（在安装更多程序后），请向属性列表添加REBOOT=“ReallySuppress”。

14ClientSecuritySolution8.21部署指南

第3章使用ClientSecuritySolution

在安装ClientSecuritySolution前，您应该先了解可用于该软件的定制。本章提供有关ClientSecuritySolution 的定制信息，以及有关可信平台模块的信息。本章中涉及可信平台模块的术语由可信计算组织（TCG）定义。有关可信平台模块的更多信息，请访问以下Web站点：

http://www.trustedcomputinggroup.org/

使用可信平台模块

可信平台模块是一个嵌入式安全芯片，旨在为使用该模块的软件提供安全性功能。这个嵌入式安全芯片安装在系统的主板上，通过硬件总线进行通信。采用可信平台模块的系统可以创建密钥并对它们进行加密，只有相同的可信平台模块才能对这些密钥进行解密。该过程通常称为在使用可信平台模块的系统上，称为存储根密钥（SRK）的主包装密钥存储在可信平台模块自身内，因此密钥的私有部分决不会泄露。嵌入式安全芯片还可以存储其他存储密钥、签字密钥、密码以及其他小数据单元。由于可信平台模块的存储容量有限，因此使用SRK对其他密钥进行加密以实现芯片外的存储。SRK始终位于嵌入式安全芯片中，构成了受保护存储区的基础。

也可使用嵌入式安全芯片，但此操作需要ClientSecuritySolution管理员。无论是用于个别用户还是公司的 IT部门，都必须初始化可信平台模块。后续操作（如从硬盘驱动器故障或更换主板的情况下进行恢复）也仅限ClientSecuritySolution管理员才能执行。

：

注

：

注

：如果要更改认证方式并且尝试对安全芯片进行解锁，必须先注销再以主管理员身份登录。这样才可以对

注：

注

芯片进行解锁。您也可以以二级用户身份登录来转换认证方式。当以二级用户身份登录时，将自动执行此操作。ClientSecuritySolution将会提示二级用户输入密码或口令。ClientSecuritySolution处理完更改后，二级用户便可继续对芯片进行解锁。

包装

密钥，这有助于防止密钥泄露。

在WindowsVista中使用可信平台模块

如果要启用WindowsVista登录同时禁用可信平台模块，则在F1BIOS中禁用可信平台模块之前必须先禁用

程

过

录

登

护

保

法

无

，

片

芯

全

安

用

停

经

已

经

已

经停

Windows登录功能。此操作可以防止出现以下安全消息：已

另外，如果要升级客户机系统的操作系统，必须清除安全芯片以避免ClientSecurity注册失败。要清除F1 BIOS中的芯片，必须对系统进行冷启动。如果在热启动之后尝试清除芯片，会无法清除此芯片。

已经

安

用

停

安全

用安

停用

片

芯

全

片，

芯片

全芯

法

无

，

法保

无法

，无

登

护

保

护登

保护

程

过

录

程。

过程

录过

使用密钥管理ClientSecuritySolution

ClientSecuritySolution主要有两个标志性的部署活动：“获取所有权”和“注册用户”。首次运行Client SecuritySolution设置向导时，初始化期间会执行“获取所有权”和“注册用户”过程。完成ClientSecurity Solution设置向导的特定Windows用户ID是ClientSecuritySolution管理员，并且注册为活动用户。此外，将自动要求登录到系统的所有其他用户在ClientSecuritySolution中注册。

权

有

所

取

获

取

获

取所

获取

•获

分配一个Windows管理员用户ID作为系统的唯一一个ClientSecuritySolution管理员。必须通过此用户 ID才能执行ClientSecuritySolution的各项管理功能。通过此用户的Windows密码或ClientSecurity口令为可信平台模块授权。

：

注

：

注

：忘记ClientSecuritySolution管理员密码或口令后，只有通过有效的Windows权限卸载该软件或清除

注：

注

BIOS中安全芯片的设置才能恢复。无论选择何种方法，通过与可信平台模块关联的密钥进行保护的数据都将丢失。ClientSecuritySolution还提供一个可选机制，它允许用户根据问答式提问应答自行恢复忘记的密码或口令。由ClientSecuritySolution管理员决定是否使用此项功能。

册

注

册

注

册用

•注

完成“获取所有权”过程并创建ClientSecuritySolution管理员后，即可创建用户基本密钥，以安全地存

权

有

所

权

有权

所有

户

用

户

用

户

用户

储当前登录的Windows用户的凭证。这种设计允许多个用户在ClientSecuritySolution中注册并使用单个

System Level Key Structure - Take Ownership

Trusted Platform Module

Encrypted via derived AES Key

Storage Root Private Key

Storage Root Public Key

System Leaf Private Key

System Base Private Key

System Leaf Public Key

System Base Public Key

System Base Private Key

System Base Public Key

If Passphrase

loop n times

CSS Admin PW/PP

One-Way Hash

System Base AES

Protection Key

(derived via output

of hash algorithm)

Auth

可信平台模块。用户密钥通过安全芯片保护，但它们实际存储在硬盘驱动器而非芯片中。这种设计创建硬盘驱动器空间以作为限制存储因子，而非使用安全芯片中内置的实际内存。因而大幅增加了可利用相同安全硬件的用户数量。

获取所有权

ClientSecuritySolution的信任根是系统根密钥（SRK）。该不可迁移的非对称密钥在可信平台模块的安全环境中生成，并且始终不会向系统公开。利用该密钥的权限是在执行TPM_TakeOwnership命令期间通过 Windows管理员帐户产生的。如果系统利用ClientSecurity口令，则ClientSecuritySolution管理员的Client Security口令将使用可信平台模块授权，否则将使用ClientSecuritySolution管理员的Windows密码。

为系统创建SRK后，就可创建其他密钥对并将它们存储到可信平台模块之外，但这些密钥对将由基于硬件的密钥包装或保护。由于包含SRK的可信平台模块是硬件，而硬件可能会损坏，所以需要恢复机制来确保系统受损不会防碍数据恢复。

为恢复系统，将创建一个系统基本密钥。这种非对称的存储密钥使ClientSecuritySolution管理员可通过更换主板或按计划迁移到其他系统进行恢复。为了保护系统基本密钥，同时允许在常规操作或恢复期间访问该密钥，将为密钥创建两个实例并采用两种不同的方法对它们进行保护。首先，用AES对称密钥加密系统基本密钥，而了解ClientSecuritySolution管理员的密码或ClientSecurity口令才能得到AES对称密钥。Client SecuritySolution恢复密钥的这个副本仅用于在清除可信平台模块或因硬件故障而更换主板后进行恢复。

SRK包装ClientSecuritySolution恢复密钥的第二个实例以将其导入密钥层次结构中。系统基本密钥的这两个实例允许可信平台模块保护在正常使用的情况下与其绑定的机密，同时允许通过系统基本密钥恢复发生故障的主板，该系统基本密钥使用由ClientSecuritySolution管理员密码或ClientSecurity口令解锁的AES密钥进行加密。然后创建系统叶密钥。该密钥用于保护系统级别的机密，如AES密钥。

下图显示了系统级别密钥的结构：

图 1. 系统级密钥结构－获取所有权

16ClientSecuritySolution8.21部署指南

注册用户

User Level Key Structure - Enroll User

Trusted Platform Module

Encrypted via derived AES Key

Storage Root Private Key

Storage Root Public Key

User Leaf Private Key

User Base Private Key

User Leaf Public Key

User Base Public Key

Windows PW AES Key

PW Manager AES Key

User Base Private Key

User Base Public Key

If Passphrase

loop n times

User PW/PP

One-Way Hash

User Base AES

Protection Key (derived via output of hash algorithm)

Auth

为了使用同一可信平台模块保护每个用户的数据，每个用户需要创建自己的用户基本密钥。这种非对称的存储密钥是可迁移的，而且会创建两次，并由通过每个用户的Windows密码或ClientSecurity口令生成的对称 AES密钥保护。

然后将用户基本密钥的第二个实例导入可信平台模块，并由系统SRK进行保护。创建用户基本密钥后，将创建一个称为用户叶密钥的辅助非对称密钥。用户叶密钥保护个人机密，例如用于保护因特网登录信息的密码管理器AES密钥、用于保护数据的密码以及用于保护对操作系统访问的Windows密码AES密钥。由用户的Windows密码或ClientSecuritySolution口令控制对用户叶密钥的访问，并在登录期间自动允许访问。

下图显示了用户级别密钥的结构：

图 2. 用户级密钥结构－注册用户

后台注册

ClientSecuritySolution8.21支持用于自动启动的用户注册的后台注册。这种注册过程在后台运行，不显示任何通知。

：

注

：

注

：后台注册只可用于自动启动的用户注册。对于从“开始”菜单或重

注：

注

会显示一个指示用户等待用户注册的对话框。

本地管理员或域管理员也可以通过如下方法编辑策略来强制显示等待对话框：

CSS_GUI_ALWAYS_SHOW_ENROLLMENT_PROCESSING

或通过如下方法编辑注册表键：

HKLM\software\policies\lenovo\clientsecuritysolution\GUIoptions\ AlwaysShowEnrollmentProcessing

AlwaysShowEnrollmentProcessing的缺省值是0。如果将以上注册表键设置为0，将不会对自动启用的用户注

册显示等待对话框。如果将该策略设置为1，那么不论注册是如何启动的，都将在用户注册期间显示等待对话框。

重

安

置

重

安全

置安

重置

第3章.使用ClientSecuritySolution17

置

设

全

置手工启动的用户注册，仍

设置

全设

置

设

全

安

置

+ 53 hidden pages