Page 1
ClientSecuritySolution8.21
デプロイメント・ガイド
更新:2012年2月
Page 2
:
注
:
注
:本書および本書で紹介する製品をご使用になる前に、77
注:
注
されている情報をお読みください。
ページの付録D『特記事項』に記載
第
三
版
第
三
版
第
第三
三版
版(2012年
©CopyrightLenovo2008,2012.
制限付き権利に関する通知:データまたはソフトウェアが米国一般調達局(GSA:GeneralServicesAdministration)契約に
準じて提供される場合、使用、複製、または開示は契約番号GS-35F-05925に規定された制限に従うものとします。
年
年
年2月
月
月
月)
Page 3
目
次
目
次
目
目次
次
序
文
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
序
文
.
.
.
.
.
.
.
.
.
.
.
.
.
序
序文
文.
..
..
..
..
..
..
..
..
..
..
第
1
章
.
概
要
.
.
.
.
.
第
1
章
.
概
要
.
第
第1
1章
章.
.概
概要
ClientSecuritySolution.............1
ClientSecuritySolutionパスフレーズ.....2
ClientSecurityパスワードの復元.......2
ClientSecurityPasswordManager.......2
SecurityAdvisor..............3
証明書転送ウィザード..........3
ハードウェア・パスワードのリセット....4
TPMのないシステムのサポート......4
FingerprintSoftware..............4
第
2
章
.
第
第
第2
ClientSecuritySolution.............7
ThinkVantage指紋認証ソフトウェアのインストー
ル....................14
LenovoFingerprintSoftwareのインストール...15
SystemsManagementServer(SMS).......17
第
第
第
第3
業
業
業
業.
TPMの使用................19
ClientSecuritySolutionの暗号鍵の管理.....19
XMLスキーマの使用............26
RSASecurIDトークンの使用.........33
イ
2
章
.
イ
2章
章.
.イ
イン
インストール要件............7
カスタム・パブリック・プロパティ.....8
TPM(TrustedPlatformModule)のサポート...8
インストール手順およびコマンド・ライン・
パラメーター..............9
標準Windowsインストーラーのパブリック・
プロパティ..............12
ログ・ファイルのインストール......13
既存のバージョンがある場合のClientSecurity
Solution8.21のインストール.......14
サイレント・インストール........14
Options................15
サイレント・インストール........16
Options................16
3
章
.
3
3章
Client
章
.
Client
章.
.Client
ClientSecurity
.
.
.
.
.
.
..
..
..
WindowsVistaでのTPMの使用......19
所有権の取得.............20
ユーザー登録.............21
ソフトウェア・エミュレーション.....22
システム・ボードの交換........23
EFS保護ユーティリティー........25
例..................26
.
要.
..
..
ン
ス
ト
ン
ス
ト
ンス
スト
トー
Security
Security
SecuritySolution
.
.
.
.
.
.
.
.
..
..
..
..
.
.
.
.
.
..
..
..
..
ー
ル
.
ー
ル
.
ール
ル.
..
Solution
Solution
Solutionで
.
.
.
.
.
.
.
.
..
..
..
..
.
..
..
..
..
.
.
.
.
.
.
.
.
..
..
..
..
.
.
.
.
.
.
.
.
..
..
..
..
で
で
での
.
.
.
.
.
.
.
.
..
..
..
..
.
.
.
.
.
..
..
..
.iii
.
.
.
.
.
.
.
.
..
..
..
..
.
.
.
.
.
.
.
.
..
..
..
..
の
作
の
作
の作
作
.
.
.
.
.
.
.
.
..
..
..
.19
iii
iii
iii
.
1
.
1
.1
1
.
7
.
7
.7
7
19
19
19
RSASecurIDソフトウェア・トークンのイン
ストール...............33
要件.................33
スマート・カード・アクセス・オプションの
設定.................33
RSASecurIDソフトウェア・トークンの手動
インストール.............33
ActiveDirectoryのサポート........34
指紋センサー認証の設定とポリシー......34
強制的な指紋バイパス・オプション....34
指紋の読み取り結果..........35
コマンド・ライン・ツール.........35
SecurityAdvisor.............35
ClientSecuritySolutionセットアップ・ウィ
ザード................36
デプロイメント・ファイルの暗号化または暗
号化解除ツール............37
デプロイメント・ファイル処理ツール...37
TPMENABLE.EXE...........38
証明書転送ツール...........38
TPM有効化ツール...........39
ActiveDirectoryのサポート..........40
管理用(ADM)テンプレート・ファイル...40
グループ・ポリシーの設定........41
ActiveUpdate.............45
第
4
章
.
第
4
第
第4
4章
ウ
ェ
ウ
ェ
ウ
ウェ
ェア
管理コンソール・ツール..........47
保護モードおよび簡易モード........49
指紋認証ソフトウェアおよびNovellNetware
Client..................52
ThinkVantage指紋認証ソフトウェアのサービス.53
第
5
第
5
第
第5
5章
作
業
作
業
作
作業
業.
管理コンソール・ツール..........55
LenovoFingerprintSoftwareのサービス.....55
LenovoFingerprintSoftwareのActiveDirectoryサ
ポート..................55
ThinkVantage
章
.
ThinkVantage
章.
.ThinkVantage
ThinkVantage指
ア
で
の
作
ア
で
アで
での
ユーザー固有コマンド.........47
グローバル設定のコマンド........48
保護モード-管理者...........49
保護モード-制限ユーザー........50
簡易モード-管理者...........50
簡易モード-制限ユーザー........51
構成可能な設定............51
認証.................53
章
.
章
.
章.
.Lenovo
.
.
.
.
..
..
業
の
作
業
の作
作業
業.
Lenovo
Lenovo
LenovoFingerprint
.
.
..
Fingerprint
Fingerprint
FingerprintSoftware
.
.
.
.
.
.
..
..
..
指
紋
認
証
ソ
フ
指
紋
認
紋認
.
.
..
.
.
..
認証
.
.
.
.
..
..
Software
Software
Softwareで
.
.
.
.
..
..
証
証ソ
.
.
..
.
.
..
指紋
.
.
.
.
.
.
..
..
..
.
.
.
.
.
.
..
..
..
ト
ソ
フ
ト
ソフ
フト
ト
.
.
.
.
.
..
.
.
..
.
.
.
.
.
..
..
..
.47
で
の
で
の
での
の
.
.
.
.
.
.
.
.
..
..
..
.55
47
47
47
55
55
55
©CopyrightLenovo2008,2012
i
Page 4
第
6
章
.
ベ
ス
ト
・
プ
ラ
ク
テ
ィ
ス
.
.
.
第
6
章
.
ベ
ス
ト
・
プ
ラ
ク
テ
ィ
第
第6
6章
章.
.ベ
ベス
スト
ト・
・プ
プラ
ラク
クテ
ClientSecuritySolutionをインストールする場合の
デプロイメント例.............57
シナリオ1..............57
シナリオ2..............59
ClientSecuritySolutionモードの切り替え....61
企業用ActiveDirectoryの展開........61
CDまたはスクリプト・ファイルのスタンドアロ
ン・インストール.............61
SystemUpdate...............62
SystemMigrationAssistant..........62
TPMでの鍵生成を使用した証明書の生成....62
要件:.................62
サーバーからの証明書の要求.......62
2008ThinkPadノートブック・コンピューター・
モデル(R400/R500/T400/T500/W500/X200/X301)で
のUSB指紋センサー付きキーボードの使用...63
WindowsVistaのログオン........64
WindowsXPのログオン.........64
ClientSecuritySolutionとPasswordManager..66
プリブート認証-BIOSパスワードの代わり
に指紋を使用する...........66
ス
ティ
ィス
ス.
.
.
.
.
.
..
..
..
.57
付
録
A.
57
57
57
付
付
付録
事
事
事
事項
付
付
付
付録
で
で
で
でLenovo
ド
ド
ド
ドを
設定とセットアップ............71
ワークスペース認証............71
Windowsログオン.............71
WindowsXP-ようこそ画面.........72
WindowsXP-クラシック・ログオン・プロンプ
ト....................72
WindowsVista...............72
ClientSecuritySolutionでの認証........73
付
付
付
付録
後
後
後
後に
付
付
付
付録
商標...................77
用語集.................lxxix
録
録A.
項
項
項.
録
B.
録
B.
録B.
B.ThinkPad
Lenovo
Lenovo
Lenovo指
を
使
を
使
を使
使用
録
C.
録
C.
録C.
C.Windows
に
CSS
に
CSS
にCSS
CSSで
録
D.
録
D.
録D.
D.特
OmniPass
A.
OmniPass
A.OmniPass
OmniPassを
.
.
.
.
..
..
ThinkPad
ThinkPad
ThinkPadノ
用
用
用す
Windows
Windows
Windowsパ
特
特
特記
.
.
.
.
..
..
指
指
指紋
す
る
す
る
する
る際
で
で
でパ
記
記
記事
を
使
用
す
る
際
の
考
を
使
用
す
る
を使
使用
用す
.
.
.
.
.
.
.
..
..
ノ
ノ
ノー
紋
セ
ン
紋
セ
ン
紋セ
セン
ンサ
際
の
際
の
際の
の特
パ
パ
パス
パ
ス
ワ
パ
ス
ワ
パス
スワ
ワー
事
項
事
項
事項
項.
.
.
.
.
.
..
..
..
..
ー
ト
ー
ト
ート
トブ
サ
ー
サ
ー
サー
ー付
特
別
な
特
別
な
特別
別な
な考
ス
ワ
ス
ワ
スワ
ワー
ー
ド
を
ー
ド
ード
ドを
.
.
.
.
.
.
.
.
..
..
..
..
際
する
る際
際の
.
.
.
.
.
.
..
..
..
ブ
ッ
ク
ブ
ッ
ク
ブッ
ック
ク・
付
き
キ
付
き
キ
付き
きキ
キー
考
慮
事
考
慮
事
考慮
慮事
事項
ー
ド
の
ー
ド
の
ード
ドの
のリ
同
期
を
同
期
を同
同期
期化
.
.
.
.
.
.
..
..
..
慮
の
考
慮
の考
考慮
慮
.
.
.
.
.
.
.
.
..
..
..
・
モ
デ
・
モ
デ
・モ
モデ
デル
ー
ボ
ー
ー
ボ
ー
ーボ
ボー
ー
項
.
項
.
項.
..
リ
セ
ッ
リ
セ
ッ
リセ
セッ
ット
化
す
る
化
す
る
化す
する
る.
.
.
.
.
.
.
..
..
..
69
.
.
69
..
.69
69
ル
ル
ル
.
.
71
.
.
71
..
.71
71
ト
ト
ト
.
75
.
75
.75
75
.
.
77
.
.
77
..
.77
77
iiClientSecuritySolution8.21デプロイメント・ガイド
Page 5
序
文
序
文
序
序文
文
本書は、IT管理者、またはThinkVantage
組織内のPCにデプロイする担当者を対象としています。本書は、ClientSecuritySolutionおよび指紋認証
ソフトウェアを1台以上のPCにインストールするために必要な情報を提供します。各ターゲットPCで同
ソフトウェアのライセンスが有効であることが条件となります。
ClientSecuritySolutionと指紋認証ソフトウェアの目的は、クライアント・データを保護することによっ
てお客様のシステムを保護し、セキュリティー・ブリーチ(抜け穴)を犯そうとする試みを食い止める
ことです。ClientSecuritySolutionおよび指紋認証ソフトウェアに組み込まれているさまざまなコン
ポーネントの使用に関する質問および情報は、そのコンポーネントのオンライン・ヘルプ・システム
(http://www.lenovo.com/thinkvantage)を参照してください。
本書は定期的に更新されるため、以下のWebサイトにアクセスして新しい資料を確認してください。
http://www.lenovo.com/thinkvantage
ご提案またはコメントは、Lenovo®認定担当者にご連絡ください。
®
ClientSecuritySolutionおよびThinkVantageFingerprintSoftwareを
©CopyrightLenovo2008,2012
iii
Page 6
ivClientSecuritySolution8.21デプロイメント・ガイド
Page 7
第
1
章
概
第
1
第
第1
本章では、ClientSecuritySolutionおよび指紋認証ソフトウェアの概要を示します。本デプロイメント・ガ
イドで説明されているテクノロジーは、PCの使い勝手と自己完結性を向上させ、展開を促進し単純
化する強力なツールを提供するので、ITプロフェッショナルの方に大きなメリットをもたらします。
ThinkVantageテクノロジーの支援により、ITプロフェッショナルの方は、個別のPCの問題を解決する時
間を短縮できるので、本来の作業に多くの時間を費やすことができるようになります。
章
1章
章概
要
概
要
概要
要
Client
Client
Client
ClientSecurity
ClientSecuritySolutionソフトウェアの第一の目的は、お客様が資産としてのPCを保護し、PC上の機密
データを保護し、さらにPCがアクセスするネットワーク接続を保護することを補助することです。
(TCG(TrustedComputingGroup)という業界団体が仕様を定めているTPM(TrustedPlatformModule)を含
むLenovoシステムの場合、ClientSecuritySolutionソフトウェアは、システムのトラステッド・ルート
としてハードウェアを活用します。システムにエンベデッド・セキュリティー・チップが含まれてい
ない場合、ClientSecuritySolutionは、システムのトラステッド・ルートとしてソフトウェア・ベース
の暗号化鍵を活用します。)
ClientSecuritySolutionバージョン8.2には、以下の機能が含まれています。
•Windows®
•指
•多
•パ
•パ
•セ
•デ
•認
Security
Security
SecuritySolution
Windows®
Windows®
Windows®パ
ClientSecuritySolutionは、認証の際にユーザーのWindowsパスワードまたはClientSecuritySolutionパス
フレーズを受け入れるように構成できます。Windowsパスワードの場合はWindowsを使用するため、
便利で管理が容易です。ClientSecuritySolutionパスフレーズではセキュリティーが強化されます。
どちらの認証方式を使用するかは管理者が選択でき、この設定はユーザーがClientSecuritySolution
に登録した後でも変更することが可能です。
紋
指
紋
指
紋に
指紋
内蔵、またはUSB接続の指紋センサーを活用し、パスワードで保護されたアプリケーションに対し
てユーザーを認証します。
層
多
層
多
層の
多層
さまざまなセキュリティー関連操作に対して複数の認証装置(Windowsパスワード/ClientSecurityパスフ
レーズ、および指紋)を定義します。
ス
パ
ス
パ
スワ
パス
ユーザーIDやパスワードなどの重要なログオン情報を安全に管理し、保存します。
ス
パ
ス
パ
スワ
パス
パスワードおよびパスフレーズの復元を利用して、WindowsパスワードまたはClientSecuritySolutionパ
スフレーズを忘れた場合でも、事前に構成されたセキュリティーの質問に答えることにより、Windows
にログインし、ClientSecuritySolutionクレデンシャルにアクセスすることができます。
キ
セ
キ
セ
キュ
セキ
ユーザーが、詳細なワークステーション・セキュリティー設定のリストを表示し、定義された規格
に準拠するように変更できるようにします。
ィ
デ
ィ
デ
ィジ
ディ
ClientSecuritySolutionは、ユーザーとPCの証明書の秘密鍵を保護します。ClientSecuritySolutionを
使用することにより、既存の証明書の秘密鍵が保護されます。
証
認
証
認
証の
認証
管理者は、Windowsログオン、PasswordManager、および証明書の操作といったアクションの場合、認
証にどの装置(Windowsパスワード、ClientSecuritySolutionパスフレーズ、または指紋)が必要かを
選択することができます。
パ
パ
パス
る
よ
に
る
よ
に
るユ
よる
によ
ー
ユ
の
ー
ユ
の
ーザ
ユー
のユ
ド
ー
ワ
ド
ー
ワ
ド管
ード
ワー
ド
ー
ワ
ド
ー
ワ
ド/
ード
ワー
テ
リ
ュ
テ
リ
ュ
ティ
リテ
ュリ
ル
タ
ジ
ル
タ
ジ
ル証
タル
ジタ
リ
ポ
の
リ
ポ
の
リシ
ポリ
のポ
Solution
Solution
Solution
護
保
の
証
認
ー
ザ
ー
ユ
る
よ
に
ズ
ー
レ
フ
ス
ス
ス
スワ
ユ
ユ
ユー
ザ
ザ
ザー
管
管
管理
パ
/
パ
/
パス
/パ
ィ
ィ
ィー
証
証
証明
シ
シ
シー
ド
ー
ワ
ドま
ード
ワー
ー
ザ
ー
ー
ザ
ー
ー認
ザー
ーザ
証
認
ー
証
認
ー
証に
認証
ー認
理
理
理
レ
フ
ス
レ
フ
ス
レー
フレ
スフ
定
設
ー
定
設
ー
定の
設定
ー設
の
書
明
の
書
明
の転
書の
明書
理
管
ー
理
管
ー
理
管理
ー管
は
た
ま
はClient
たは
また
証
認
証
認
証
認証
Windows
る
よ
に
に
によ
の
の
の監
転
転
転送
Windows
る
よ
Windowsロ
るWindows
よる
復
の
ズ
ー
ー
ーズ
復
の
ズ
復元
の復
ズの
査
監
査
監
査
監査
送
送
送
Security
Client
SecuritySolution
ClientSecurity
元
元
元
Security
Client
は
た
ま
ド
ー
ワ
Solution
Solution
Solutionパ
ン
オ
グ
ロ
ロ
ログ
ン
オ
グ
ンお
オン
グオ
パ
フ
ス
パ
フレ
スフ
パス
ま
さ
び
よ
お
よ
お
よび
およ
ま
さ
び
まざ
さま
びさ
ズ
ー
レ
ズに
ーズ
レー
な
ま
ざ
な
ま
ざ
なClient
まな
ざま
る
よ
に
るユ
よる
によ
Client
Client
ClientSecurity
ザ
ー
ユ
ザー
ーザ
ユー
Security
Security
SecuritySolution
認
ー
認証
ー認
Solution
Solution
Solution操
証
証の
護
保
の
護
保護
の保
作
操
作
操
作
操作
©CopyrightLenovo2008,2012
1
Page 8
Client
Client
Client
ClientSecurity
ClientSecuritySolutionパスフレーズは、ClientSecuritySolutionに拡張セキュリティーを提供する、ユー
ザー認証のオプション機能です。ClientSecuritySolutionパスフレーズの要件は、以下のとおりです。
•8文字以上の長さ
•数字が1文字以上入っていること
•最近の3回のパスフレーズと異なること
•反復文字は2文字以内
•先頭に数字を使用しない
•末尾に数字を使用しない
•ユーザーIDを含めない
•現在のパスフレーズを設定してから3日以内は変更しない
•現在のパスフレーズと同一の文字を連続して3文字以上使用しない
•Windowsパスワードと異なる
ClientSecuritySolutionパスフレーズを知っているのは個々のユーザーだけです。ClientSecuritySolutionパ
スフレーズを忘れた場合に復元する唯一の方法は、ClientSecuritySolutionパスワード復元機能を実行する
ことです。ユーザーが復元のための質問に対する回答を忘れてしまった場合、ClientSecuritySolution
パスフレーズで保護されたデータを復元する方法はありません。
Security
Security
SecuritySolution
Solution
Solution
Solutionパ
パ
ス
フ
レ
ー
パ
ス
フ
パス
スフ
フレ
ズ
レ
ー
ズ
レー
ーズ
ズ
Client
Client
Client
ClientSecurity
このオプション機能を使用すると、登録されたClientSecurityユーザーは、WindowsパスワードやClient
Securityパスフレーズを忘れた場合に、3つの質問に正しく答えることにより、復元することができま
す。この機能が有効である場合、ユーザーは、10の質問の中から3つを選択し、それぞれの質問に対
する回答を入力します。ユーザーがWindowsパスワードやClientSecurityパスフレーズを忘れた場合
は、これら3つの質問に回答して、そのパスワードやパスフレーズを自分でリセットするというオプ
ションが用意されています。
注
注
注:
注
1.ClientSecurityパスフレーズを使用する場合、ClientSecurityパスワードの復元機能は忘れたパスフレー
2.ClientSecurityを使用してRescueandRecovery
Client
Client
Client
ClientSecurity
ClientSecurityPasswordManagerを使用すると、ユーザーID、パスワード、およびその他の個人情報など
の、忘れやすいアプリケーションやWebサイトの情報を管理することができます。ClientSecurity
PasswordManagerは、ユーザーのアプリケーションやWebサイトへのアクセス全体がセキュアに保た
れるように、ClientSecuritySolutionによってユーザーの個人情報を保護します。また、ClientSecurity
PasswordManagerプログラムでは、1つのパスワードまたはパスフレーズを覚えておくか、指紋を使用
すればよいため、時間と労力が節約されます。
Security
Security
Securityパ
:
:
:
ズを復元するための唯一のオプションです。ユーザーは、それら3つの質問に対する回答を忘れた場
合、登録ウィザードを再実行しなくてはならず、前のClientSecurity保護データはすべて失われます。
オプションによって、ユーザーのClientSecurityパスフレーズおよび/またはWindowsパスワードが実
際に表示されます。パスフレーズまたはパスワードが表示されるのは、RescueandRecoveryワークス
ペースがWindowsパスワードの変更を自動的に実行する機能を持たないためです。ワイヤレス(ネッ
トワークに接続されていないローカル・キャッシュ・ドメイン)ユーザーがWindowsログオンでこの
機能を実行する場合にも、パスフレーズまたはパスワードが表示されます。
Security
Security
SecurityPassword
パ
ス
ワ
ー
ド
の
復
パ
ス
ワ
ー
パス
スワ
Password
Password
PasswordManager
ド
ワー
ード
ドの
Manager
Manager
Manager
元
の
復
元
の復
復元
元
®
ワークスペースを保護する場合、『パスワード復元』
ClientSecurityPasswordManagerを使用すると、以下の機能を実行できます。
2ClientSecuritySolution8.21デプロイメント・ガイド
Page 9
Security
Client
Security
Client
SecuritySolution
ClientSecurity
•Client
ClientSecuritySolutionによってユーザーのすべての情報が自動的に暗号化されます。これにより、重要
なパスワード情報が、ClientSecuritySolution暗号化鍵によって保護されます。
ー
ザ
ー
ユ
ユ
ユー
•ユ
アプリケーションまたはWebサイトにアクセスする際に、ログイン・プロセスを自動化します。ログ
オン情報がClientSecurityPasswordManagerに入力されている場合は、ClientSecurityPasswordManagerが
自動的に必須フィールドへの記入を行い、Webサイトまたはアプリケーションに実行依頼します。
Client
Client
ClientSecurity
•Client
アカウント項目を編集し、すべてのオプション機能を1つの使いやすいインターフェースにセットアッ
プすることができます。このインターフェースにより、パスワードと個人情報の管理を迅速かつ容易に
行えるようになります。ただし、変更に関連する項目のほとんどはClientSecurityPasswordManagerが自
動的に検出できるため、ユーザーはさらに簡単に項目を更新できます。
追
追
追加
•追
ClientSecurityPasswordManagerは、重要情報が特定のWebサイトまたはアプリケーションに送信され
ると、それを自動的に検出できます。重要情報を検出すると、ClientSecurityPasswordManagerはユー
ザーにプロンプトを出して情報を保存するように促し、重要情報の保存プロセスを単純化します。
セ
セ
セキ
•セ
ClientSecurityPasswordManagerを使用して、ユーザーはテキスト・データをセキュア・スクラッチ・
パッドに保存することができます。ユーザーのセキュア・スクラッチ・パッドは、他のWebサイトや
アプリケーションの項目と同じレベルのセキュリティーで保護できます。
ロ
ロ
ログ
•ロ
重要な個人情報をエクスポートして、その情報をPC間で安全に移動させることができます。Client
SecurityPasswordManagerからログイン情報をエクスポートすると、パスワードで保護されたエクス
ポート・ファイルが作成されます。このファイルは、リムーバブル・メディアに保存することができ
ます。このファイルを使用して、あらゆる場所でユーザーの個人情報にアクセスしたり、ClientSecurity
PasswordManagerを使用して項目を別のPCにインポートします。
ー
ザ
ー
ーID
ザー
ーザ
Security
Security
SecurityPassword
テ
ス
加
テ
ス
加
テッ
ステ
加ス
ア
ュ
キ
ア
ュ
キ
ア・
ュア
キュ
ン
イ
グ
ン
イ
グ
ン情
イン
グイ
Solution
Solution
Solutionソ
パ
と
ID
パ
と
ID
パス
とパ
IDと
Password
Password
PasswordManager
を
プ
ッ
を
プ
ッ
を必
プを
ップ
ク
ス
・
ク
ス
・
クラ
スク
・ス
の
報
情
の
報
情
のエ
報の
情報
ソ
ト
フ
ソ
トウ
フト
ソフ
の
ド
ー
ワ
ス
ワ
ス
ワー
スワ
要
必
要
必
要と
必要
ッ
ラ
ッ
ラ
ッチ
ラッ
ク
エ
ク
エ
クス
エク
ー
ード
と
と
とし
チ
チ
チ・
ス
ス
スポ
の
ド
の自
ドの
Manager
Manager
Managerイ
な
し
な
し
ない
しな
パ
・
パ
・
パッ
・パ
ー
ポ
ー
ポ
ート
ポー
ア
ェ
ウ
アに
ェア
ウェ
入
動
自
入
動
自
入力
動入
自動
イ
イ
イン
報
情
い
報
情
い
報の
情報
い情
へ
ド
ッ
へ
ド
ッ
への
ドへ
ッド
イ
と
ト
イ
と
ト
イン
とイ
トと
る
よ
に
るす
よる
によ
力
力
力
ー
タ
ン
ー
タ
ン
ーフ
ター
ンタ
存
保
の
存
保
の
存
保存
の保
報
情
の
報
情
の
報の
情報
の情
ー
ポ
ン
ー
ポ
ン
ート
ポー
ンポ
て
べ
す
ての
べて
すべ
ー
ェ
フ
ー
ェ
フ
ース
ェー
フェ
存
保
の
存
保
の
存
保存
の保
:
ト
:
ト
:
ト:
存
保
の
存情
保存
の保
用
使
を
ス
使
を
ス
使用
を使
スを
の
報
情
の暗
報の
情報
た
し
た
し
用
た項
した
用し
化
号
暗
化
号化
暗号
集
編
の
目
項
目
項
目の
項目
集
編
の
集
編集
の編
化
号
暗
の
報
情
存
保
の
て
べ
す
る
よ
に
ア
ェ
ウ
ト
フ
:
注
:
注
:ClientSecuritySolutionバージョン7.0および8.
注:
注
にサポートされています。ClientSecuritySolutionバージョン6.0の場合は、インポートが限定的に
サポートされています(アプリケーション項目はインポートされません)。ClientSecuritySoftware
x
Solutionバージョン5.4
Managerにインポートされません。
Security
Security
Security
SecurityAdvisor
SecurityAdvisorを使用すると、現在PCに設定されているセキュリティー設定の要約を表示できます。こ
れらの設定値を使用して、現在のセキュリティー状況を表示したり、システム・セキュリティーを強化す
ることができます。表示されるカテゴリーのデフォルト値は、Windowsレジストリーによって変更でき
ます。以下に、セキュリティー・カテゴリーの一例を示します。
•ハードウェア・パスワード
•Windowsユーザー・パスワード
•Windowsパスワード・ポリシー
•保護スクリーン・セーバー
•ファイル共有
証
明
証
明
証
証明
明書
ClientSecurityの証明書転送ウィザードは、ソフトウェア・ベースのMicrosoft
ダー(CSP)からハードウェア・ベースのClientSecuritySolutionCSPに、証明書に関連した秘密鍵を転送す
るすべてのプロセスをガイドします。転送が行われた後は、秘密鍵がClientSecuritySolutionによって保護
されるため、証明書を使用する操作はよりセキュアになります。
Advisor
Advisor
Advisor
書
転
送
ウ
書
転
書転
転送
ィ
送
ウ
ィ
送ウ
ウィ
ィザ
およびこれ以前のバージョンは、ClientSecuritySolutionバージョン8.
ザ
ー
ド
ザ
ー
ド
ザー
ード
ド
x
のエクスポート・ファイルのインポートは完全
®
暗号サービス・プロバイ
x
Password
第1章.概要3
Page 10
ハ
ー
ド
ウ
ェ
ア
・
パ
ス
ワ
ー
ド
の
リ
セ
ッ
ハ
ー
ド
ウ
ェ
ア
・
パ
ス
ワ
ー
ド
の
ハ
ハー
ード
ドウ
ウェ
ェア
ア・
・パ
パス
スワ
ワー
ード
このツールは、Windowsから独立して稼動するセキュアな環境を作成し、忘れてしまったパワーオン・
パスワードやハードディスク・パスワードをリセットする際に役立ちます。IDは、自分で作成した一
連の質問に回答することによって設定されます。パスワードを忘れる前に、このセキュアな環境をで
きるだけ早く作成してください。登録後、ハードディスク上にこのセキュアな環境を作成するまで
は、忘れてしまったハードウェア・パスワードをリセットすることはできません。このツールは、一
部のPCを選択した場合のみ、使用可能です。
リ
ドの
のリ
リセ
ト
セ
ッ
ト
セッ
ット
ト
TPM
TPM
TPM
TPMの
ClientSecuritySolutionバージョン8.2は現在、対応するエンベデッド・セキュリティー・チップのない
Lenovoシステムをサポートしています。このサポートにより、一貫したセキュアな環境を作成するため
に、全社的な標準インストールを行うことが可能になります。組み込みセキュリティー・ハードウェ
アを持つシステムは、アタックに対して、より堅固ですが、追加のセキュリティーと機能性もソフ
トウェア専用PCにとって有益です。
Fingerprint
Fingerprint
Fingerprint
FingerprintSoftware
Lenovoが提案する指紋センサーの目的は、パスワードの管理に関連したコストの削減やシステムに対する
セキュリティーの強化においてお客様を補助し、お客様が規制に対応できるようにすることです。Lenovo
社の指紋センサーとともに、指紋認証ソフトウェアを使用すると、個々のPCおよびネットワークで
の指紋認証が可能になります。ClientSecuritySolutionバージョン8.2と結合された指紋認証ソフトウェ
アは、拡張機能を提供します。ClientSecuritySolution8.21の場合は、マシン・タイプが異なっても、
ThinkVantage指紋認証ソフトウェア5.8.2とLenovoFingerprintSoftware2.0の両方がサポートされます。
Webサイトhttp://www.lenovo.com/support/site.wss/MIGR-59650.htmlにはLenovo指紋センサーについての
詳細があり、ソフトウェアをダウンロードすることができます。
指紋認証ソフトウェアは、以下の機能を提供します。
•Client
•管
の
な
い
シ
ス
テ
ム
の
サ
ポ
ー
の
な
い
シ
ス
テ
ム
の
のな
ない
いシ
シス
ステ
テム
Software
Software
Software
パ
パ
パス
お
お
およ
Security
Security
SecuritySolution
能
Windows
Windows
Windowsパ
ス
ス
スワ
よ
よ
よび
能
能
Software
Software
Softwareの
ー
ワ
ー
ワ
ード
ワー
Easy
Easy
Easyで
Windows
び
Windows
び
Windowsへ
びWindows
Security
Client
Security
Client
SecuritySoftware
ClientSecurity
Microsoft
Microsoft
MicrosoftWindows
–Microsoft
パスワードをお客様の指紋に置き換えて、容易で高速、かつ安全なシステム・アクセスを提供
します。
BIOS
BIOS
BIOSパ
–BIOS
:
換
:
換
:
換:
換
パスワードをお客様の指紋と置き換えて、ログオン・セキュリティーと利便性を高めます。
SafeGuard
SafeGuard
SafeGuardEasy
–SafeGuard
指紋認証を使用して、Windowsの起動前にハードディスクを暗号化解除します。
BIOS
BIOS
BIOSお
–BIOS
起動時に指紋をセンサーに読み込ませるだけで、BIOSとWindowsにアクセスすることができるの
で、貴重な時間を節約することができます。
Client
Client
ClientSecurity
–Client
ClientSecuritySolutionPasswordManagerと併用して、TPMを活用します。ユーザーは、指紋センサー
に読み込ませてWebサイトにアクセスし、アプリケーションを選択します。
機
者
理
管
管
管理
機
者
理
機能
者機
理者
(
ド
(
ド
(パ
ド(
ド
で
ド
で
ドラ
でド
Solution
Solution
Solutionと
の
の
の機
ス
パ
ス
パ
スワ
パス
ワ
パ
ワ
パ
ワー
パワ
ラ
ラ
ライ
サ
ムの
のサ
サポ
能
機
能
機
能
機能
の
ド
ー
ワ
ワ
ワー
ー
ー
ーオ
イ
イ
イブ
へ
へ
への
と
と
との
の
ド
ー
の置
ドの
ード
・
ン
オ
・
ン
オ
・パ
ン・
オン
体
全
ブ
体
全
ブ
体を
全体
ブ全
ン
シ
の
ン
シ
の
ング
シン
のシ
合
統
の
合
統
の
合:
統合
の統
ト
ポ
ー
ト
ポー
ート
ト
:
換
置
:
換
置
:
換:
置換
ス
パ
・
ク
ス
ィ
デ
ド
ー
ハ
び
よ
お
)
す
ま
れ
ば
呼
も
と
ド
ー
ワ
ス
パ
パ
パス
を
を
を暗
グ
グ
グル
:
:
:
ー
ワ
ス
ード
ワー
スワ
化
号
暗
化
号
暗
化す
号化
暗号
ス
・
ル
ス
・
ル
スワ
・ス
ル・
も
と
ド
も呼
とも
ドと
た
る
す
た
る
す
ため
るた
する
プ
イ
ワ
プ
イ
ワ
プ・
イプ
ワイ
れ
ば
呼
れま
ばれ
呼ば
動
起
の
め
め
めの
動
起
の
動前
起動
の起
ク
ア
・
ク
ア
・
クセ
アク
・ア
お
)
す
ま
およ
)お
す)
ます
紋
指
前
紋
指
前
紋認
指紋
前指
:
ス
セ
:
ス
セ
:
ス:
セス
ハ
び
よ
ハー
びハ
よび
:
証
認
:
証
認
:
証:
認証
デ
ド
ー
ディ
ドデ
ード
ク
ス
ィ
ク・
スク
ィス
ス
パ
・
スワ
パス
・パ
ド
ー
ワ
ド
ー
ワ
ドの
ード
ワー
置
の
置
の
置
の置
セ
キ
セ
キュ
セキ
–セ
管理者は、保護モードと簡易モードを切り替えて、制限ユーザーのアクセス権限を変更するこ
とができます。
ュ
キ
セ
ュ
キ
セ
ュリ
キュ
セキ
•セ
4ClientSecuritySolution8.21デプロイメント・ガイド
テ
リ
ュ
ティ
リテ
ュリ
ィ
テ
リ
ィ
テ
リ
ィー
ティ
リテ
・
ー
ィ
・モ
ー・
ィー
能
機
ー
能
機
ー
能
機能
ー機
ド
ー
モ
ドの
ード
モー
り
切
の
り替
切り
の切
:
え
替
:
え:
替え
:
え
替
り
切
の
ド
ー
モ
・
ー
ィ
テ
リ
ュ
キ
Page 11
ソ
ト
フ
ソ
トウ
フト
ソフ
–ソ
ア
ェ
ウ
ア・
ェア
ウェ
キ
セ
・
キュ
セキ
・セ
テ
リ
ュ
ティ
リテ
ュリ
:
ー
ィ
:
ー:
ィー
:
ー
ィ
テ
リ
ュ
キ
セ
・
ア
ェ
ウ
ト
フ
システムに保存する際や、読み取り装置からソフトウェアに転送する際に、強い暗号化によ
り、ユーザー・テンプレートを保護します。
ハ
ド
ー
ハ
ドウ
ード
ハー
–ハ
ア
ェ
ウ
ア・
ェア
ウェ
キ
セ
・
キュ
セキ
・セ
テ
リ
ュ
ティ
リテ
ュリ
:
ー
ィ
:
ー:
ィー
:
ー
ィ
テ
リ
ュ
キ
セ
・
ア
ェ
ウ
ド
ー
セキュリティー読み取り装置には、指紋テンプレート、BIOSパスワード、および暗号鍵を保存し保
護するコプロセッサーがあります。
第1章.概要5
Page 12
6ClientSecuritySolution8.21デプロイメント・ガイド
Page 13
第
2
章
イ
ン
ス
ト
ー
第
2
章
イ
ン
ス
第
第2
2章
章イ
イン
ンス
本章では、ClientSecuritySolutionおよび指紋認証ソフトウェアをインストールする手順について説明しま
す。ClientSecuritySolutionまたは指紋認証ソフトウェアをインストールする前に、インストールするアプ
リケーションのアーキテクチャーを理解する必要があります。本章では、各アプリケーションのアーキテ
クチャー、およびすべてのプログラムをインストールする前に必要な追加情報について説明します。
ト
スト
トー
ル
ー
ル
ール
ル
Client
Client
Client
ClientSecurity
ClientSecuritySolutionのインストール・パッケージは、InstallShield10.5PremierによってBasicMSIプロ
ジェクトとして開発されました。InstallShieldは、Windowsインストーラーを使用してアプリケーションを
インストールします。これにより、管理者には、コマンド・ラインからのプロパティ値の設定などの、イ
ンストールをカスタマイズする多くの機能が提供されます。この章では、ClientSecuritySolutionセット
アップ・パッケージの使用および実行方法について説明します。より正しく理解するために、パッケー
ジのインストールを開始するために、章全体をお読みください。
注
注
注:
注
てください。次のLenovoWebサイトを参照してください。
http://www.lenovo.com/support/site.wss/document.do?sitestyle=lenovo&lndocid=HOME-LENOVO
READMEファイルには、ソフトウェア・バージョン、サポートされるシステム、システム要件、および
インストール・プロセスに役立つその他の考慮事項に関する最新の情報が含まれています。
イ
イ
イ
イン
このセクションでは、ClientSecuritySolutionパッケージをインストールするためのシステム要件を説明し
ます。最良の結果を得るために、次のWebサイトにアクセスして、ソフトウェアが最新版であることを
確認してください。
http://support.lenovo.com/en_US/downloads/detail.page?LegacyDocID=MIGR-61432
以前に販売されたPCでも、指定された要件を満たしていれば、ClientSecuritySolutionがサポートされま
す。以前に販売されたPCで、ClientSecuritySolutionがサポートされるものについて詳しくは、Webサイ
トhttp://support.lenovo.com/en_US/downloads/detail.page?LegacyDocID=MIGR-61432を参照してください。
Security
Security
SecuritySolution
:
:
:これらのパッケージをインストールするときは、ClientSecuritySolutionのREADMEファイルを参照し
ン
ス
ト
ン
ンス
ー
ス
ト
ー
スト
トー
ール
Solution
Solution
Solution
ル
要
件
ル
要
件
ル要
要件
件
Lenovo
Lenovo
LenovoPC
Lenovo
ClientSecuritySolutionをインストールするには、LenovoPCが次の要件を満たしているか、それ以上で
あることが必要です。
•オペレーティング・システム:WindowsVista
•メモリー:256MB以上推奨
•InternetExplorer5.5以上がインストールされていなければなりません。
•ハードディスク空き容量300MB。
•解像度800x600および24ビット・カラーをサポートするVGA対応ビデオ。
•ユーザーはClientSecuritySolutionをインストールするための管理特権を持っている必要があります。
•ハードウェア・パスワードをリセットする場合の追加要件:NTFSおよびWindowsXP。
:
注
:
注
:WindowsServer2003へのClientSecuritySolutionインストール・パッケージのデプロイはサポートさ
注:
注
れていません。
©CopyrightLenovo2008,2012
PC
PC
PCの
WindowsXP(ServicePack3適用済み)。
–共用メモリー設定の場合、共用メモリーのBIOS設定を8MB以上に設定する必要があります。
–非共用メモリー設定の場合、非共用メモリーは120MB以上です。
件
要
の
件
要件
の要
®
、WindowsVista(ServicePack1適用済み)、または
件
要
の
7
Page 14
カ
ス
タ
ム
・
パ
ブ
リ
ッ
ク
・
プ
ロ
パ
テ
カ
ス
タ
ム
・
パ
ブ
リ
ッ
ク
・
プ
カ
カス
スタ
タム
ム・
・パ
パブ
ブリ
リッ
ック
ク・
ClientSecuritySoftwareプログラムのインストール・パッケージには、インストールの実行時にコマンド・
ラインで設定できる、一連のカスタムパブリック・プロパティが含まれています。次の表に、WindowsXP
およびWindows2000のカスタム・パブリック・プロパティを示します。
表 1. パ ブ リ ッ ク ・ プ ロ パ テ ィ
プ
ロ
パ
テ
プ
プ
プロ
EMULATIONMODE
HALTIFTPMDISABLED
NOCSSWIZARD
CSS_CONFIG_SCRIPT
SUPERVISORPW
PWMGRMODE
NOSTARTMENU
ィ
ロ
パ
テ
ィ
ロパ
パテ
ティ
ィ説
ロ
・プ
プロ
ロパ
ィ
パ
テ
ィ
パテ
ティ
ィ
説
明
説
明
説明
明
TPMが存在する場合でも、強制的にエミュレーション・
モードでインストールを実行するように指定します。エ
ミュレーション・モードでインストールするには、コ
マンド・ラインでEMULATIONMODE=1と設定します。
TPMが使用不可状態で、インストールがサイレント・
モードで実行されている場合、デフォルトではイン
ストールをエミュレーション・モードで進めます。イ
ンストールをサイレント・モードで実行するときは、
HALTIFTPMDISABLED=1プロパティを使用して、TPM
が使用不可の場合にインストールを停止します。
ClientSecuritySolutionのインストール後にClientSecurity
Solution登録ダイアログが自動的に表示されないように
するには、コマンド・ラインでNOCSSWIZARD=1を設
定します。このプロパティは、ClientSecuritySolutionは
インストールしても、システムの構成は後でスクリプ
トを使用して行う管理者のために構成されています。
ユーザーがインストールを完了し、再起動した後に構
成ファイルを実行するには、CSS_CONFIG_SCRIPT=
『filename』または『filenamepassword』を設定します。
コマンド・ラインでSUPERVISORPW=『password』と
設定すると、スーパーバイザー・パスワードが提供さ
れ、サイレント・インストール・モードでも非サイレン
ト・インストール・モードでも、チップが使用可能に
なります。チップが使用不可で、インストールをサイレ
ント・モードで実行する場合、チップを使用可能にする
には正しいスーパーバイザー・パスワードを入力する必
要があります。パスワードが正しくないと、チップは
使用可能になりません。
PasswordManagerのみをインストールするには、コマン
ド・ラインでPWMGRMODE=1と設定します。
『スタート』メニューにショートカットが生成
されないようにするには、コマンド・ラインで
NOSTARTMENU=1と設定します。
TPM
TPM
TPM
TPM(Trusted
ClientSecuritySolutionバージョン8.2では、PCのエンベデッド・セキュリティー・ハードウェアである
TPM(TrustedPlatformModule)がサポートされています。Windows2000およびXPでは、ご使用のシステム
のTPM用ドライバーのダウンロードが必要になる場合があります。WindowsVistaが稼働しているPCに
このオペレーティング・システムがサポートするTPMが組み込まれている場合、ClientSecuritySolutionは
オペレーティング・システムが提供するドライバーを使用します。
TPMはシステムのBIOSによって有効になるため、TPMを使用できるようにするために再起動が必要
になる場合があります。WindowsVistaが稼働している場合、システムの起動時にTPMを有効にす
るかどうかの確認が求められます。
8ClientSecuritySolution8.21デプロイメント・ガイド
(Trusted
(Trusted
(TrustedPlatform
Platform
Platform
PlatformModule)
Module)
Module)
Module)の
の
サ
ポ
ー
の
サ
のサ
サポ
ト
ポ
ー
ト
ポー
ート
ト
Page 15
TPMによっていずれかの機能が実施される前に、最初に所有権を初期化する必要があります。各システム
は、ClientSecuritySolutionオプションを制御する1人のClientSecuritySolution管理者を持ちます。この
管理者は、Windows管理者権限を持っている必要があります。管理者はXMLデプロイメント・スク
リプトを使用して初期化することができます。
システムの所有権が構成された後は、このシステムにログインする追加の各Windowsユーザーに、ユー
ザーのセキュリティー・キーおよびクレデンシャルを登録し初期化するためのプロンプトがClientSecurity
セットアップ・ウィザードによって自動的に出されます。
ン
ョ
シ
ー
レ
ュ
ミ
エ
・
ア
ェ
ウ
ト
フ
ソ
の
TPM
の
TPM
のソ
TPMの
TPM
ClientSecuritySolutionには、限定されたシステム上でTPMを使用せずに実行するオプションが用意さ
れています。この機能は、ハードウェア保護キーを使用する代わりにソフトウェア・ベースのキーを
使用する以外は同じです。ソフトウェアは、TPMに効力を与える代わりに、常にソフトウェア・ベー
スのキーを使用するように強制するスイッチでインストールすることが可能です。このスイッチを使
用するかどうかはインストール時の決定で、ソフトウェアのアンインストールおよび再インストー
ルをせずに戻すことはできません。
TPMのソフトウェア・エミュレーションを強制する構文は以下の通りです。
InstallFile.exe“/vEMULATIONMODE=1”
イ
ン
ス
イ
ン
ス
イ
イン
ンス
スト
MicrosoftWindowsインストーラーは、コマンド・ライン・パラメーターによって、複数の管理機能を提供
します。Windowsインストーラーは、ワークグループによる使用またはカスタマイズのために、アプリ
ケーションまたは製品のネットワークへの管理用インストールを実行できます。コマンド・ライン・オ
プションには、パラメーターを指定することが必要です。この場合、オプションとパラメーターの間
にスペースは入れません。次に例を示します。
setup.exe/s/v"/qnREBOOT=”R”"
ト
フ
ソ
トウ
フト
ソフ
ト
ー
ト
ー
トー
ール
ア
ェ
ウ
ア・
ェア
ウェ
ル
手
順
ル
手
順
ル手
手順
順お
ミ
エ
・
ミュ
エミ
・エ
お
よ
び
お
よ
び
およ
よび
びコ
ー
レ
ュ
ーシ
レー
ュレ
コ
マ
コ
マ
コマ
マン
ン
ョ
シ
ン
ョン
ショ
ン
ド
・
ラ
イ
ン
・
パ
ラ
メ
ー
タ
ン
ド
・
ラ
イ
ン
・
パ
ラ
ンド
ド・
・ラ
ライ
イン
ン・
・パ
メ
パラ
ラメ
メー
ー
ー
タ
ー
ータ
ター
ー
は有効ですが、
setup.exe/s/v"/qnREBOOT=”R”"
は無効です。
:
注
:
注
:インストールを単独で実行すると(パラメーターを指定せずにsetup.exeを実行すると)、デフォルトで
注:
注
は、インストール終了時にユーザーに再起動を促すプロンプトが出されます。プログラムを正しく機能さ
せるには、再起動する必要があります。上記のセクションおよび例のセクションで示すように、サイレン
ト・インストールではコマンド・ライン・パラメーターを使用して再起動を遅らせることができます。
ClientSecuritySolutionインストール・パッケージの場合、管理用インストールによりインストール・ソー
ス・ファイルが指定された場所に解凍されます。
管理用インストールを実行するには、セットアップ・パッケージをコマンド・ラインから/aパラメー
ターを使用して実行します。
setup.exe/a
管理用インストールは、管理ユーザーにセットアップ・ファイルの解凍先を指定するようプロンプトを出
すウィザードを表示します。デフォルトの解凍先はC:¥です。C:¥以外のドライブ(その他のローカル・ド
ライブ、または割り当てられたネットワーク・ドライブなど)の新しい場所を選択することもできます。
新しいフォルダーも、この手順で作成できます。
管理用インストールをサイレント・インストールで実行する場合、解凍先の場所を指定するために、コマ
ンド・ラインで次のようにパブリック・プロパティTARGETDIRを設定することができます。
setup.exe/s/v"/qnTARGETDIR=F:TVTRR"
または
msiexec.exe/i"ClientSecurity-PasswordManager.msi"/qnTARGERDIR=F:¥TVTRR
第2章.インストール9
Page 16
:
注
:
注
:setup.exeは、Windowsインストーラーのバージョンが最新ではない場合にWindowsインストーラー・
注:
注
エンジンをバージョン3.0に更新するように構成されています。この更新が行われると、管理用の解凍イ
ンストールの場合でも、インストール・アクションによって再起動のプロンプトが出されます。この状態
での再起動を防止するために、再起動を適切に行ってください。Windowsインストーラーがバージョン
3.0以上である場合、setup.exeはWindowsインストーラー・エンジンの更新を試行しません。
管理用インストールが完了した後、管理者はソース・ファイルをカスタマイズ(たとえば、レジストリーに
設定値を追加)することができます。カスタマイズした後に解凍したソースからインストールするには、
ユーザーはコマンド・ラインでmsiexec.exeを実行し、解凍されたMSIファイルの名前を引き渡します。
以下のパラメーターと説明は、InstallShieldDeveloperのヘルプ文書に記載されています。基本MSIプロ
ジェクトに適用されないパラメーターは、除かれています。
表 2. パ ラ メ ー タ ー
パ
ラ
メ
ー
タ
パ
ラ
パ
パラ
ラメ
/a:管理用インストール/aスイッチを指定すると、setup.exeで管理用インストー
ー
メ
ー
タ
ー
メー
ータ
ター
ー説
説
明
説
明
説明
明
ルが実行されます。管理用インストールは、データ・
ファイルをユーザーが指定したディレクトリーにコピー
(および解凍)しますが、ショートカットの作成、COM
サーバーの登録、アンインストール・ログの作成は行
いません。
/x:アンインストール・モード
/s:サイレント・モード
/v:Msiexecへの引数の受け渡し
/L:言語のセットアップ
/w:待機
/xスイッチを指定すると、setup.exeは以前にインストー
ルした製品をアンインストールします。
コマンドsetup.exe/sを実行すると、基本MSIインストー
ル・プログラム用のsetup.exe初期設定ウィンドウは表示
されず、応答ファイルは読み取られません。基本MSIプ
ロジェクトでは、サイレント・インストールの場合、応
答ファイルは作成も使用もされません。基本MSI製品を
サイレントで実行するには、コマンド・ラインsetup.exe
/s/v/qnを実行します。(基本MSIのサイレント・インス
トールのパブリック・プロパティ値を指定する場合は、
setup.exe/s/v"/qnINSTALLDIR=D:¥Destination"などのコ
マンドを使用できます。)
/v引数を使用して、msiexe.exeにコマンド・ライン・ス
イッチとパブリック・プロパティの値を渡します。
ユーザーは、/Lスイッチと10進言語IDを使用して、
複数言語インストール・プログラムで使用する言語を
指定します。たとえば、ドイツ語を指定するコマンド
はsetup.exe/L1031です。
基本MSIプロジェクトで引数/wを指定すると、setup.exe
は、インストールが完了するのを待ってから終了しま
す。バッチ・ファイルで/wオプションを使用すると、
setup.exeのコマンド・ライン引数全体をstart/WAITで開
始することができます。正しくフォーマットされたコマ
ンドの使用例は、次のとおりです。
start/WAITsetup.exe/w
用
使
msiexec.exe
msiexec.exe
msiexec.exeの
msiexec.exe
の
用
使
の
用
使用
の使
カスタマイズした後に解凍したソースからインストールするには、コマンド・ラインでmsiexec.exeを実行
し、解凍された*.MSIファイルの名前を渡します。msiexec.exeは、インストール・パッケージを解釈し、
製品をターゲットPCにインストールするために使用するインストーラーの実行可能プログラムです。
msiexec/i"C:¥WindowsFolder¥Proles¥UserName¥
Personal¥MySetups¥projectname¥productconguration¥releasename¥
DiskImages¥Disk1¥productname.msi"
10ClientSecuritySolution8.21デプロイメント・ガイド
Page 17
:
注
:
注
:上記のコマンドを、円記号の後にスペースを入れずに1行として入力します。
注:
注
次の表では、msiexec.exeで有効なコマンド・ライン・パラメーターと、その使用方法を説明します。
表 3. コ マ ン ド ・ ラ イ ン ・ パ ラ メ ー タ ー
パ
ラ
メ
ー
タ
パ
ラ
パ
パラ
ラメ
ー
メ
ー
タ
ー
メー
ータ
ター
ー説
説
明
説
明
説明
明
/Ipackageまたはproductcode
/apackage
/xpackageまたはproductcode
/L[i|w|e|a|r|u|c|m|p|v|+]logfile
/q[n|b|r|f]
このフォーマットは製品のインストールに使用します。
Othello:msiexec/i"C:¥WindowsF older¥Proles¥
UserName¥Personal¥MySetups
¥Othello¥TrialVersion¥
Release¥DiskImages¥Disk1¥
OthelloBeta.msi"
製品コードとは、製品のプロジェクト・ビューの製品コード・プロパティで
自動的に生成されるグローバル一意識別子(GUID)のことです。
/aオプションにより、管理者権限を持つユーザーは製品をネットワーク上
にインストールできます。
/xオプションは、製品をアンインストールします。
/Lオプションを使用して作成すると、ログ・ファイルへのパスが指定され
ます。以下のフラグは、ログ・ファイルに記録する情報を示しています。
•iは、状況メッセージをログに記録します
•wは、致命的でない警告メッセージをログに記録します
•eは、すべてのエラー・メッセージをログに記録します
•aは、アクション・シーケンスの開始をログに記録します
•rは、アクション固有のレコードをログに記録します
•uは、ユーザー要求をログに記録します
•cは、初期ユーザー・インターフェース・パラメーターをログに記録
します
•mは、メモリー不足メッセージをログに記録します
•pは、端末設定をログに記録します
•vは、冗長出力設定をログに記録します
•+は、既存ファイルに付加します
•*は、すべての情報を(冗長出力設定を除いて)ログに記録できるワイ
ルドカード文字です
/qオプションを以下のフラグと併用して、ユーザー・インターフェー
ス・レベルを設定します。
•qまたはqnは、ユーザー・インターフェースを作成しません。
•qbは、基本ユーザー・インターフェースを作成します。
/?または/h
下記のユーザー・インターフェース設定により、インストール終了時にモー
ダル・ダイアログ・ボックスが表示されます。
•qrは、縮小ユーザー・インターフェースを表示します。
•qfは、完全なユーザー・インターフェースを表示します。
•qn+は、ユーザー・インターフェースを表示しません。
•qb+は、基本ユーザー・インターフェースを表示します。
いずれかのコマンドにより、Windowsインストーラーの著作権情報が表示
されます。
第2章.インストール11
Page 18
表 3. コ マ ン ド ・ ラ イ ン ・ パ ラ メ ー タ ー ( 続 き )
パ
ラ
メ
ー
タ
パ
ラ
パ
パラ
ラメ
TRANSFORMS
Properties
ー
メ
ー
タ
ー
メー
ータ
ター
ー説
説
明
説
明
説明
明
TRANSFORMS
TRANSFORMS
TRANSFORMS
TRANSFORMSコマンド・ライン・パラメーターを使用して、基本パッケー
ジに適用する変換を指定します。
msiexec/i"C:¥WindowsFolder¥
Proles¥UserName¥Personal
¥MySetups¥
YourProjectName¥TrialVersion¥
MyRelease-1
¥DiskImages¥Disk1¥
ProductName.msi"TRANSFORMS="NewTransf orm1.mst"
複数の変換をセミコロンで分離できます。Windowsインストーラー・サービ
スが誤って解釈しないように、変換の名前にセミコロンを使用しないで
ください。
すべてのパブリック・プロパティはコマンド・ラインで設定または変更
できます。パブリック・プロパティはプライベート・プロパティと区別さ
れ、すべて大文字です。たとえば、COMPANYNAMEはパブリック・プ
ロパティです。
コマンド・ラインからプロパティを設定するには、次の構文を使用します。
PROPERTY=VALUE
COMPANYNAMEの値を変更するには、次のように入力します。
msiexec/i"C:¥WindowsFolder¥
Proles¥UserName¥Personal¥
MySetups¥YourProjectName¥
TrialVersion¥MyRelease-1¥
DiskImages¥Disk1¥ProductName.msi"
COMPANYNAME="InstallShield"
標
準
プ
プ
プ
プロ
TARGETDIR
ARPAUTHORIZEDCDFPREFIX
ARPCOMMENTS
ARPCONTACT
ARPINSTALLLOCATION
Windows
準
Windows
準Windows
Windowsイ
ロ
パ
テ
ィ
ロ
パ
テ
ィ
ロパ
パテ
ティ
ィ説
標
標
標準
Windowsインストーラーには、一連の標準組み込みパブリック・プロパティがあります。これらのプロパ
ティをコマンド・ラインで設定して、インストール時の特定の動作を指定することができます。下表に、
コマンド・ラインで使用される最も一般的なパブリック・プロパティについて説明します。
追加情報については、次のMicrosoftWebサイトを参照してください。
http://msdn2.microsoft.com/en-us/library/aa367437.aspx
次の表に、一般的に使用されるWindowsインストーラーのプロパティを示します。
表 4. Windows イ ン ス ト ー ラ ー の プ ロ パ テ ィ
イ
ン
ス
ト
ー
ラ
ー
の
パ
ブ
リ
ッ
ク
・
プ
ロ
パ
テ
イ
ン
ス
ト
ー
ラ
ー
の
パ
ブ
リ
ッ
ク
・
プ
イン
ンス
スト
トー
ーラ
ラー
ーの
のパ
パブ
ブリ
リッ
ック
ク・
説
明
説
明
説明
明
インストール用の宛先のルート・ディレクトリーを指定
します。管理者用インストールの場合、このプロパティ
は、インストール・パッケージのコピー先です。
アプリケーションの更新チャネルのURL。
『コントロールパネル』の『プログラムの追加と削
除』に『コメント』を提供します。
『コントロールパネル』の『プログラムの追加と削除』
に『連絡先』を提供します。
アプリケーションの1次フォルダーへの完全修飾パス。
ロ
・プ
プロ
ロパ
ィ
パ
テ
ィ
パテ
ティ
ィ
12ClientSecuritySolution8.21デプロイメント・ガイド
Page 19
表 4. Windows イ ン ス ト ー ラ ー の プ ロ パ テ ィ ( 続 き )
プ
ロ
パ
テ
プ
プ
プロ
ARPNOMODIFY
ARPNOREMOVE
ARPNOREPAIR
ARPPRODUCTICON
ARPREADME
ARPSIZE
ARPSYSTEMCOMPONENT
ARPURLINFOABOUT
ARPURLUPDATEINFO
REBOOT
ィ
ロ
パ
テ
ィ
ロパ
パテ
ティ
ィ説
説
明
説
明
説明
明
製品を変更する機能を使用不可にします。
製品を削除する機能を使用不可にします。
『プログラム』ウィザードの『修復』ボタンを使用
不可にします。
インストール・パッケージの基本アイコンを指定し
ます。
『コントロールパネル』の『プログラムの追加と削除』
にREADMEを提供します。
アプリケーションの推定サイズ(KB)。
『プログラムの追加と削除』のリストにアプリケーショ
ンを表示しないようにします。
アプリケーションのホーム・ページのURL。
アプリケーション更新情報のURL。
REBOOTプロパティにより、システムの再起動を促す特
定のプロンプトが抑止されます。管理者は通常、一連の
インストールを行う際にこのプロパティを使用して、
複数の製品を同時にインストールし、最後に一度だけ再
起動します。インストール終了時の再起動を使用不可に
するには、REBOOT=『R』と設定します。
ロ
グ
・
フ
ァ
イ
ル
の
イ
ン
ス
ト
ー
ロ
グ
・
フ
ァ
イ
ル
の
イ
ン
ロ
ログ
グ・
・フ
ファ
ァイ
イル
ルの
のイ
ClientSecuritySolutionのインストール・ログ・ファイルcssinstall82x32.log(WindowsXPおよびWindows
Vista32の場合)またはcss64install82V.log(WindowsVista64の場合)は、setup.exeでセットアップが起動す
ると(メインのinstall.exeをダブルクリックするか、パラメーターなしでメインの実行可能ファイルを実行
するか、msiを解凍してsetup.exeを実行します)、%temp%ディレクトリーに作成されます。このファイ
ルには、インストール問題のデバッグに使用できるログ・メッセージが含まれています。このログ・
ファイルは、MSIパッケージからセットアップを直接実行している場合には作成されません。このロ
グ・ファイルには、『プログラムの追加と削除』から実行されるアクションが含まれています。すべて
のMSIアクションのログ・ファイルを作成するには、レジストリー内のログ・ポリシーを使用可能
にすることができます。これを行うには、次の値を作成します。
[HKEY_LOCAL_MACHINE¥SOFTWARE¥Policies¥Microsof t¥Windows¥Installer]"Logging"="voicewarmup"
例
の
ル
ー
ト
ス
ン
イ
ン
イ
ンス
イン
イ
次の表は、setup.exeを使用したインストールの例です。
表 5. setup.exe を 使 用 し た イ ン ス ト ー ル の 例
説
明
説
明
説
説明
明例
サイレント・インストール(再起動なし)。
管理用インストール。
管理用のサイレント・インストール(ClientSecurity
Softwareの解凍先を指定)。
サイレント・アンインストールsetup.exe/s/x/v/qn。
ー
ト
ス
ール
トー
スト
例
の
ル
例
の例
ルの
ス
イン
ンス
スト
ル
ト
ー
ル
トー
ール
ル
例
例
例
setup.exe/s/v”/qnREBOOT=”R””
setup.exe/a
setup.exe/a/s/v”/qnTARGETDIR=”F:
¥CSS82””
setup.exe/s/x/v/qn
第2章.インストール13
Page 20
表 5. setup.exe を 使 用 し た イ ン ス ト ー ル の 例 ( 続 き )
説
明
説
明
説
説明
明例
再起動なしのインストール(ClientSecuritySoftwareの
tempディレクトリーにインストール・ログを作成)
ワークスペースをインストールしないインストール
setup.exe/vPDA=0。
次の表は、ClientSecurity-PasswordManager.msiを使用したインストールの例です。
表 6. Client Security - Password Manager.msi を 使 用 し た イ ン ス ト ー ル の 例
説
明
説
明
説
説明
明例
インストール
サイレント・インストール
(再起動なし)
サイレント・アンインストー
ル
既
存
の
バ
ー
ジ
ョ
既
存
の
バ
既
既存
存の
ClientSecuritySolutionは、SystemUpdateを使用して、ClientSecuritySolution8.0からアップグレードできま
す。ClientSecuritySolution8.21をClientSecuritySolution8.0より前の既存のバージョンと共にインストール
するには、まず、ClientSecuritySolution8.0をシステムにインストールします。
ー
のバ
バー
ージ
ン
ジ
ョ
ン
ジョ
ョン
ンが
例
例
例
msiexec/i“C:¥CSS82¥ClientSecurity
Solution-PasswordManager .msi”
msiexec/i“C:¥CSS82¥ClientSecurity
Solution-PasswordManager .msi”/qnREBOOT=”R”
msiexec/x“C:¥CSS82¥ClientSecurity
Solution-PasswordManager.msi”/qn
が
あ
る
場
合
の
が
あ
る
場
があ
ある
合
る場
場合
合の
Client
の
Client
のClient
ClientSecurity
例
例
例
setup.exe/v”REBOOT=”R”/L*v%temp%¥cssinstall80.log”
setup.exe/vPDA=0
Security
Security
SecuritySolution
Solution
Solution
Solution8.21
8.21
8.21
8.21の
の
イ
ン
の
のイ
ス
イ
ン
ス
イン
ンス
スト
ト
ー
ト
ー
トー
ール
ル
ル
ル
ClientSecuritySolution8.0は、前のバージョンからのアップグレードとしてインストールすることはで
きません。ClientSecuritySolutionバージョン8.0は既存のバージョンをアンインストールしてからイン
ストールする必要があります。既存のデータおよび設定を保存するには、次のステップを実行してか
ら、前のバージョンのClientSecuritySolutionを削除してください。
1.次のLenovoWebサイトからClientSecuritySolution8.0UpgradeAssistantをダウンロードする。
http://www.lenovo.com/support/site.wss/document.do?sitestyle=lenovo&lndocid=MIGR-46391
2.コマンド・ラインから、ClientSecuritySolution8.0UpgradeAssistantをサイレントで実行し、その後に
前のバージョンのClientSecuritySolutionを削除する。
ClientSecuritySolution7.0ユーザーの場合は、追加として、RescueandRecovery4.0をインストールする前に
ClientSecuritySolution8.0にアップグレードする必要があります。
:
注
:
注
:オペレーティング・システムをアップグレードする場合、ClientSecuritySolutionの登録に失敗しない
注:
注
ため、セキュリティー・チップのクリアが必要です。
ThinkVantage
ThinkVantage
ThinkVantage
ThinkVantage指
指紋認証ソフトウェア・プログラムのsetup.exeファイルは、以下の方法でインストールできます。
サ
イ
レ
サ
サ
サイ
指紋認証ソフトウェアをサイレント・インストールするには、CD-ROMドライブのインストール・
ディレクトリーにあるsetup.exeを実行します。
このときの構文は次のようになります。
Setup.exePROPERTY=VALUE/q/i
ここで、qはサイレント・インストール、iはインストールを表します。次に例を示します。
setup.exeINSTALLDIR="C:¥ProgramFiles¥ThinkVantagengerprintsoftware"/q/i
ン
イ
レ
ン
イレ
レン
ント
指
紋
認
証
ソ
フ
ト
ウ
ェ
ア
の
イ
ン
ス
ト
ー
指
紋
認
証
ソ
フ
ト
ウ
ェ
ア
の
イ
ン
指紋
紋認
認証
証ソ
ソフ
フト
トウ
ウェ
ェア
アの
のイ
ト
・
イ
ン
ス
ト
ー
ト
・
イ
ン
ト・
・イ
イン
ス
ンス
スト
ル
ト
ー
ル
トー
ール
ル
ス
イン
ンス
スト
ル
ト
ー
ル
トー
ール
ル
14ClientSecuritySolution8.21デプロイメント・ガイド
Page 21
このソフトウェアをアンインストールするには、/iの代わりに/xパラメーターを使用します。
setup.exeINSTALLDIR="C:¥ProgramFiles¥ThinkVantagengerprintsoftware"/q/x
Options
Options
Options
Options
指紋認証ソフトウェアでは以下のオプションがサポートされています。
表 7. 指 紋 認 証 ソ フ ト ウ ェ ア で サ ポ ー ト さ れ る オ プ シ ョ ン
パ
ラ
メ
ー
タ
パ
ラ
パ
パラ
ラメ
CTRLONCE
CTLCNTR
DEFFUS
INSTALLDIR
OEM
PASSPORT
SECURITY
SHORTCUTFOLDER
REBOOT
DEVICEBIO
ー
メ
ー
タ
ー
メー
ータ
ター
ー説
説
明
説
明
説明
明
コントロール・センターを一度だけ表示します。デ
フォルト値は0です。
始動時にコントロール・センターを実行します。デ
フォルト値は1です。
•0=FastUserSwitching(FUS)設定を使用しません。
•1=FUS設定の使用を試みます。
デフォルト値は0です。
指紋認証ソフトウェアのデフォルトのインストール・
ディレクトリーに入ります。
•0=サーバー・パスポートまたはサーバー認証のイン
ストールをサポート
•1=スタンドアロンPCモードのみ(ローカル・パス
ポート)
インストール時に設定されるデフォルトのパスポー
ト・タイプになります
•1=デフォルト-ローカル・パスポート
•2=サーバー・パスポート
デフォルト値は1です。
•1=セキュア・モードのインストールをサポート
•0=インストールしない。便利モードのみ存在
『スタート』メニューのショートカット・フォルダーの
デフォルト名になります。
ReallySuppressに設定すると、インストール中は、プロ
ンプトを含むすべての再起動を行わないようにします。
ユーザーにより使用されるデバイス・タイプを構成
します。登録タイプ:
•DEVICEBIO=#3-デバイス・セクターは最初に登録
する前に使用されます。
•DEVICEBIO=#0-ハードディスクへの登録が使用さ
れます
•DEVICEBIO=#1-CompanionChipへの登録が使用さ
れます
Lenovo
Lenovo
Lenovo
LenovoFingerprint
指紋認証ソフトウェア・プログラムのsetup32.exeファイルは、以下の手順を使用してインストール
できます。
Fingerprint
Fingerprint
FingerprintSoftware
Software
Software
Softwareの
の
イ
ン
ス
ト
ー
の
イ
ン
のイ
ス
イン
ンス
スト
ル
ト
ー
ル
トー
ール
ル
第2章.インストール15
Page 22
サ
イ
レ
ン
ト
・
イ
ン
ス
ト
ー
サ
イ
レ
ン
ト
・
イ
ン
サ
サイ
イレ
レン
ント
ト・
・イ
イン
指紋認証ソフトウェアをサイレント・インストールするには、CD-ROMドライブのインストール・ディレ
クトリーにあるsetup32.exeファイルを実行します。
このときの構文は次のようになります。
setup32.exe/s/v"/qnREBOOT="R""
ソフトウェアをアンインストールするには、次の構文を実行します。
setup32.exe/x/s/v"/qnREBOOT="R""
Options
Options
Options
Options
指紋認証ソフトウェアでは以下のオプションがサポートされています。
表 8. Lenovo Fingerprint Software で サ ポ ー ト さ れ る オ プ シ ョ ン
パ
ラ
メ
ー
タ
パ
ラ
パ
パラ
ラメ
SWAUTOSTART
SWFPLOGON
SWPOPP
SWSSO
SWALLOWENROLL
SWALLOWDELETE
SWALLOWIMEXPORT
ー
メ
ー
タ
ー
メー
ータ
ター
ー説
ス
ンス
スト
ル
ト
ー
ル
トー
ール
ル
説
明
説
明
説明
明
•0=Windows起動時に指紋認証ソフトウェアを開始
しません。
•1=Windows起動時に指紋認証ソフトウェアを開始
します。
デフォルト値は1です。
•0=指紋ログオン(GINAまたはクレデンシャル・プロ
バイダー)を使用しません。
•1=指紋ログオン(GINAまたはクレデンシャル・プロ
バイダー)を使用します。
デフォルト値は0です。
•0=パワーオン・パスワードの保護を無効にします。
•1=パワーオン・パスワードの保護を有効にします。
デフォルト値は0です。
•0=シングル・サインオン機能を無効にします。
•1=シングル・サインオン機能を有効にします。
デフォルト値は0です。
•0=管理者以外のユーザーによる指紋登録を許可し
ません。
•1=管理者以外のユーザーによる指紋登録を許可し
ます。
デフォルト値は1です。
•0=管理者以外のユーザーによる指紋削除を許可し
ません。
•1=管理者以外のユーザーによる指紋削除を許可し
ます。
デフォルト値は1です。
•0=管理者以外のユーザーによる指紋のインポート/エ
クスポートを許可しません。
•1=管理者以外のユーザーによる指紋のインポート/エ
クスポートを許可します。
デフォルト値は1です。
16ClientSecuritySolution8.21デプロイメント・ガイド
Page 23
表 8. Lenovo Fingerprint Software で サ ポ ー ト さ れ る オ プ シ ョ ン ( 続 き )
パ
ラ
メ
ー
タ
パ
ラ
パ
パラ
ラメ
SWALLOWSELECT
SWALLOWPWRECOVERY
SWANTIHAMMER
SWANTIHAMMERRETRIES
SWANTIHAMMERTIMEOUT
SWAUTHTIMEOUT
SWAUTHTIMEOUTVALUE
SWNONADMIFPLOGONONLY
SWSHOWPOWERON
CSS
ー
メ
ー
タ
ー
メー
ータ
ター
ー説
説
明
説
明
説明
明
•0=管理者以外のユーザーが指紋を使用してパワーオ
ン・パスワードを置換する操作を許可しません。
•1=管理者以外のユーザーが指紋を使用してパワーオ
ン・パスワードを置換する操作を許可します。
デフォルト値は1です。
•0=Windowsパスワードの復元を許可しません。
•1=Windowsパスワードの復元を許可します。
デフォルト値は1です。
•0=連続再試行に対する保護を無効にします。
•1=連続再試行に対する保護を有効にします。
デフォルト値は1です。
最大再試行回数を指定します。デフォルト値は5です。
注
:
注
:
注
注:
:この設定は、SWANTIHAMMERが有効になっていると
きにのみ、機能します。
タイムアウト期間(秒単位)を指定します。デフォルト
値は120です。
注
:
注
:
注
注:
:この設定は、SWANTIHAMMERが有効になっていると
きにのみ、機能します。
•0=認証タイムアウトを無効にします。
•1=認証タイムアウトを有効にします。
デフォルト値は1です。
認証がタイムアウトになるまでの非アクティブ期間(秒
単位)を指定します。デフォルト値は120です。
注
:
注
:
注
注:
:この設定は、SWAUTHTIMEOUTが有効になっていると
きにのみ、機能します。
•0=管理者以外のユーザーによる指紋認証のみのロ
グオンを無効にします。
•1=管理者以外のユーザーによる指紋認証のみのロ
グオンを有効にします。
デフォルト値は1です。
•0=パワーオン・セキュリティー・オプションを表示
しません。
•1=パワーオン・セキュリティー・オプションを常
に表示します。
デフォルト値は0です。
•0=CSSが未インストールであると想定します。
•1=CSSがインストール済みであると想定します。
デフォルト値は0です。
Systems
Systems
Systems
SystemsManagement
Management
Management
ManagementServer
Server
Server
Server(SMS)
(SMS)
(SMS)
(SMS)
SystemManagementServer(SMS)のインストールもサポートされています。SMS管理者コンソールを開きま
す。新規パッケージを作成して標準的なパッケージ・プロパティを設定します。そのパッケージを開き、
『プログラム』項目で『新規プログラム』を選択します。コマンド・ラインに次のように入力します。
第2章.インストール17
Page 24
Setup.exe/myourmiflename/q/i
サイレント・インストールの場合と同じパラメーターが使用できます。
Setupでは、通常はインストール・プロセス終了時に再起動します。インストール中は再起動せず、
後で(さらにいくつかのプログラムをインストールしてから)再起動する場合は、プロパティ・リスト
にREBOOT=『ReallySuppress』を追加します。
18ClientSecuritySolution8.21デプロイメント・ガイド
Page 25
第
3
章
第
3
第
第3
3章
ClientSecuritySolutionをインストールする前に、ClientSecuritySolutionで選択可能なカスタマイズについ
て理解する必要があります。この章には、ClientSecuritySolutionのカスタマイズに関する情報およびTPM
(TrustedPlatformModule)に関する情報が記載されています。この章では、TPMについてTrustedComputing
Group(TCG)によって定義された用語を使用します。TPMについて詳しくは、次のWebサイトを参照して
ください。
http://www.trustedcomputinggroup.org/
Client
章
Client
章Client
ClientSecurity
Security
Security
SecuritySolution
Solution
Solution
Solutionで
で
の
作
で
の
での
の作
業
作
業
作業
業
TPM
TPM
TPM
TPMの
TPMは、TPMを利用するソフトウェアにセキュリティー関連の機能を提供するために設計されたエンベ
デッド・セキュリティー・チップです。エンベデッド・セキュリティー・チップは、システムのマザー
ボードに搭載され、ハードウェア・バスを介して通信します。TPMを導入しているシステムは、暗号鍵を
作成して暗号化することができ、同じTPMのみが暗号化を解除することができます。このプロセスは、
しばしば鍵の
スター・ラッピング鍵は、ストレージ・ルート鍵(SRK)と呼ばれ、TPM自体の内部に保存されるので、鍵
の秘密(private)部分は決して公開されません。エンベデッド・セキュリティー・チップは、他のストレー
ジ・キー、署名鍵、パスワード、およびデータの他の小ユニットも保存できます。TPMには記憶容量の
制限があるので、SRKはチップ外に記憶するその他の鍵の暗号化に使用されます。SRKはエンベデッ
ド・セキュリティー・チップに残されることは決してないので、保護ストレージの基本になっています。
エンベデッド・セキュリティー・チップの使用はオプションであり、ClientSecuritySolution管理者を
必要とします。個人ユーザーでも企業のIT部門でも、TPMは初期設定する必要があります。ハード
ディスク故障からのリカバリーやシステム・ボードの交換など、その後の操作を行うのはClientSecurity
Solution管理者に限定されます。
注
注
注:
注
トしてから、マスター管理者としてログインし直す必要があります。これで、セキュリティー・チッ
プをアンロックすることができます。2次ユーザーとしてログオンして、認証モードの変換を続ける
こともできます。この操作は2次ユーザーがログオンすると自動的に行われます。この場合、Client
SecuritySolutionによって2次ユーザーのパスワードまたはパスフレーズのプロンプトが出されます。
ClientSecuritySolutionが変更の処理を完了すると、2次ユーザーはセキュリティー・チップのアン
ロック操作に進むことができます。
の
使
用
の
使
用
の使
使用
用
ラ ッ ピ ン グ
:
:
:認証モードを変更するときにセキュリティー・チップをアンロックしようとする場合、ログアウ
と呼ばれ、鍵の開示を防止するのに役立ちます。TPMを備えたシステムでは、マ
Windows
Windows
Windows
WindowsVista
WindowsVistaログオンが有効で、TPMが無効の場合、Windowsログオン機能を無効にしてから、F1BIOS
でTPMを無効にする必要があります。この操作を行うと、『セ
ま
り
な
ま
り
な
まし
りま
なり
な
cannot
cannot
cannotbe
cannot
さらに、クライアント・システムのオペレーティング・システムをアップグレードする場合、Client
Securityの登録に失敗しないためにセキュリティー・チップのクリアが必要です。F1BIOSでセキュリ
ティー・チップをクリアするには、システムをコールド起動する必要があります。ウォームリブートの後
にこのプロセスを実行しようとすると、セキュリティー・チップをクリアできなくなります。
Client
Client
Client
ClientSecurity
ClientSecuritySolutionについては、2つの主なデプロイメント・アクティビティーである『所有権の取
得』と『ユーザー登録』で説明します。ClientSecuritySolutionセットアップ・ウィザードを初めて実行す
る際に、所有権の取得プロセスとユーザー登録プロセスが、どちらも初期設定時に実行されます。Client
©CopyrightLenovo2008,2012
Vista
Vista
Vistaで
ロ
。
た
し
し
した
be
be
beprotected)
ロ
。
た
ログ
。ロ
た。
protected)
protected)
protected)』というセキュリティー・メッセージが表示されなくなります。
Security
Security
SecuritySolution
オ
グ
オ
グ
オン
グオ
で
の
で
の
での
のTPM
プ
・
ン
プ
・
ン
プロ
・プ
ン・
Solution
Solution
Solutionの
TPM
TPM
TPMの
ロ
ロ
ロセ
の
使
用
の
使
用
の使
使用
用
テ
リ
ュ
キ
セ
キ
セ
キュ
セキ
セ
を
ス
セ
を保
スを
セス
の
の
の暗
で
護
保
でき
護で
保護
暗
号
暗
号
暗号
号鍵
せ
ま
き
せん
ませ
きま
鍵
の
管
鍵
の
管
鍵の
の管
管理
(Security
。
ん
(Securitychip
。(Security
ん。
理
理
理
(Security
。
ん
せ
ま
き
で
護
保
を
ス
chip
chip
chiphas
テ
リ
ュ
ティ
リテ
ュリ
been
has
been
has
beendeactivated,
hasbeen
ー
ィ
ー
ィ
ー・
ィー
deactivated,
deactivated,
deactivated,the
・
・
・チ
プ
ッ
チ
プが
ップ
チッ
ア
非
が
アク
非ア
が非
logon
the
logon
the
logonprocess
thelogon
ィ
テ
ク
ィブ
ティ
クテ
process
process
process
ィ
テ
ク
ア
非
が
プ
ッ
チ
に
ブ
に
ブ
に
ブに
19
Page 26
SecuritySolutionセットアップ・ウィザードを完了した特定のWindowsユーザーIDは、ClientSecurity
Solution管理者で、アクティブ・ユーザーとして登録されます。システムにログインするその他のユー
ザーは、すべてClientSecuritySolutionに登録するように自動的に要求されます。
得
取
の
権
有
所
権
有
所
権の
有権
所有
•所
単一のWindows管理者のユーザーIDは、唯一のClientSecuritySolution管理者としてシステムに割り当
てられます。ClientSecuritySolutionの管理機能は、このユーザーIDにより実行される必要があります。
TPMの許可は、このユーザーのWindowsパスワードか、ClientSecurityパスフレーズのいずれかです。
:
注
:
注
:忘れてしまったClientSecuritySolution管理者パスワードまたはパスフレーズからリカバリーする唯
注:
注
一の方法は、有効なWindowsのアクセス権を使用してこのソフトウェアをアンインストールするか、
BIOS内のセキュリティー・チップをクリアするかのいずれかです。いずれの方法でも、TPMに関連し
た鍵を介して保護されたデータは、消失します。ClientSecuritySolutionは、忘れてしまったパスワー
ドまたはパスフレーズを自分で復元できるようにするオプション機構も提供します。このため、パス
ワードまたはパスフレーズは、ユーザー確認のための質問への応答を基にしています。ClientSecurity
Solution管理者は、この機能を使用するかしないかを決定します。
ザ
ー
ユ
ザ
ー
ユ
ザー
ーザ
ユー
•ユ
所有権の取得プロセスが完了し、ClientSecuritySolution管理者が作成されると、ユーザー・ベース鍵を
作成して、現在ログオンしているWindowsユーザーのクレデンシャルを安全に保存することができま
す。この設計により、複数のユーザーがClientSecuritySolutionに登録し、単一のTPMを利用すること
ができます。ユーザー鍵は、セキュリティー・チップを介して保護されますが、実際にはチップ外の
ハードディスクに保存されます。この設計では、セキュリティー・チップに構築された実際のメモリー
の代わりに、制限のあるストレージ要素としてハードディスク・スペースを作成します。同じセキュ
ア・ハードウェアを利用できるユーザーの数が飛躍的に増大します。
得
取
の
得
取得
の取
録
登
ー
録
登
ー
録
登録
ー登
所
有
権
の
取
所
有
所
ClientSecuritySolutionのトラステッド・ルートは、システム・ルート・キー(SRK)です。この移動で
きない非対称鍵は、TPMのセキュア環境内に生成され、システムに公開されることは決してありま
せん。この鍵を利用する許可は、Windows管理者アカウントによりTPM_TakeOwnershipコマンドの実
行中に得られます。ClientSecurityパスフレーズを利用している場合、ClientSecuritySolution管理者
のClientSecurityパスフレーズは、TPM許可になり、それ以外の場合はClientSecuritySolution管理者
のWindowsパスワードになります。
システム用に作成されたSRKでは、その他の鍵ペアは、作成してTPMの外部に保存できますが、ハード
ウェア・ベースの鍵によってラップまたは保護されます。TPMはSRKを内蔵するハードウェアであり、
ハードウェアは損傷することがあるので、システムへの損傷によりデータ・リカバリーが妨げられない
ようにするためにリカバリー機構が必要です。
システムをリカバリーするために、システム・ベース鍵(SystemBaseKey)が作成されます。この非対称ス
トレージ・キーにより、ClientSecuritySolution管理者は、システム・ボード交換や別システムへの計画的
移行からリカバリーすることができます。システム・ベース鍵を保護しながら、通常の操作またはリカバ
リー時にアクセスできるようにするために、このキーの2つのインスタンスが作成され、異なる2つの方
法によって保護されます。最初に、システム・ベース鍵は、AES対称鍵を使用して暗号化されます。この
鍵は、ClientSecuritySolution管理者のパスワードまたはClientSecurityパスフレーズを知っていれば得るこ
とができます。ClientSecuritySolutionリカバリー・キーのこのコピーは、クリアされたTPMまたはハード
ウェア障害により交換されたシステム・ボードからのリカバリー専用です。
ClientSecuritySolutionリカバリー・キーの2番目のインスタンスは、SRKによってラップされてキー階層
にインポートされます。システム・ベース鍵のこの2つのインスタンスにより、TPMは自身にバインドさ
れた秘密を通常の使用状態で保護することができ、さらにAES鍵を使用して暗号化されているシステ
ム・ベース鍵を介して、障害のあるシステム・ボードをリカバリーすることができます。AES鍵は、
ClientSecuritySolution管理者パスワードまたはClientSecurityパスフレーズによってアンロックされます。
次に、システム・リーフ鍵(SystemLeafKey)が作成されます。このキーは、AES鍵など、システム・レベ
ルの機密事項を保護するために作成されます。
権
所有
有権
権の
得
の
取
得
の取
取得
得
20ClientSecuritySolution8.21デプロイメント・ガイド
Page 27
次の図に、システム・レベルのキー構造を示します。
System Level Key Structure - Take Ownership
Trusted Platform Module
Encrypted via derived AES Key
Storage Root Private Key
Storage Root Public Key
System Leaf Private Key
System Base Private Key
System Leaf Public Key
System Base Public Key
System Base Private Key
System Base Public Key
If Passphrase
loop n times
CSS Admin PW/PP
One-Way Hash
One-Way Hash
System Base AES
Protection Key
(derived via output
of hash algorithm)
Auth
図 1. シ ス テ ム ・ レ ベ ル の キ ー 構 造 - 所 有 権 取 得
ユ
ー
ザ
ー
登
ユ
ー
ザ
ユ
ユー
ーザ
ザー
録
ー
登
録
ー登
登録
録
各ユーザーのデータを同じTPMによって保護するため、各ユーザーは独自のユーザー・ベース鍵を作成
します。この移動可能な非対称ストレージ・キーは、2回作成され、各ユーザーのWindowsパスワードま
たはClientSecurityパスフレーズから生成された対称AES鍵によって保護されます。
次に、ユーザー・ベース鍵の2番目のインスタンスは、TPMにインポートされ、システムSRKによって
保護されます。作成されたユーザー・ベース鍵では、ユーザー・リーフ鍵(UserLeafKey)と呼ばれる第2
非対称鍵が作成されます。ユーザー・リーフ鍵は、インターネット・ログオン情報の保護に使用される
PasswordManagerAES鍵、データの保護に使用されるパスワード、およびオペレーティング・システムへ
のアクセスを防護するWindowsパスワードAES鍵など、個別の秘密事項を保護します。ユーザー・
リーフ鍵へのアクセスは、ユーザーのWindowsパスワードまたはClientSecuritySolutionパスフレーズに
よって制御され、ログオン時には自動的にロックが解除されます。
第3章.ClientSecuritySolutionでの作業21
Page 28
次の図に、ユーザー・レベルのキー構造を示します。
User Level Key Structure - Enroll User
Trusted Platform Module
Encrypted via derived AES Key
Storage Root Private Key
Storage Root Public Key
User Leaf Private Key
User Base Private Key
User Leaf Public Key
User Base Public Key
Windows PW AES Key
PW Manager AES Key
User Base Private Key
User Base Public Key
If Passphrase
loop n times
User PW/PP
One-Way Hash
One-Way Hash
User Base AES
Protection Key
(derived via output
of hash algorithm)
Auth
図 2. ユ ー ザ ー ・ レ ベ ル の キ ー 構 造 - ユ ー ザ ー 登 録
録
登
ド
ン
ウ
ラ
グ
ク
ッ
バ
バ
バッ
バ
ClientSecuritySolution8.21は、自動的に開始されるユーザー登録のバックグラウンド登録をサポートしま
す。登録プロセスは、通知を表示せずにバックグラウンドで実行されます。
注
注
注:
注
ト』メニューまたは『セ
ユーザーがユーザー登録を待機することを示すダイアログが今までどおり表示されます。
ローカル管理者またはドメイン管理者も、次のようにポリシーを編集することで、待機ダイアログを強
制的に表示させることができます。
CSS_GUI_ALWAYS_SHOW_ENROLLMENT_PROCESSING
あるいは、次のようにレジストリー・キーを編集します。
HKLM¥software¥policies¥lenovo¥clientsecuritysolution¥GUIoptions¥
AlwaysShowEnrollmentProcessing
AlwaysShowEnrollmentProcessingのデフォルト値は0です。上記のレジストリー・キーが0に設定された場
合は、自動的に開始されるユーザー登録の待機ダイアログは表示されません。このポリシーが1に設定さ
れた場合は、登録が開始される方法に関係なく、ユーザー登録中に必ず待機ダイアログが表示されます。
ソ
ソ
ソ
ソフ
TPMを備えていないコンピューターを使用するユーザーの経験レベルを一貫して高めるため、CSSは
TPMエミュレーション・モードをサポートしています。
グ
ク
ッ
グラ
クグ
ック
:
:
:バックグラウンド登録は、自動的に開始されるユーザー登録の場合にのみ、使用できます。『スター
フ
ト
ウ
フ
ト
ウ
フト
トウ
ウェ
ン
ウ
ラ
ンド
ウン
ラウ
ェ
ア
ェ
ア
ェア
ア・
録
登
ド
録
登録
ド登
ュ
キ
セ
ュ
キ
セ
ュリ
キュ
セキ
・
エ
ミ
・
エ
ミ
・エ
エミ
ミュ
リ
リ
リテ
ュ
ュ
ュレ
テ
テ
ティ
設
ー
ィ
設定
ー設
ィー
レ
ー
シ
レ
ー
シ
レー
ーシ
ショ
リ
の
定
リセ
のリ
定の
ョ
ン
ョ
ン
ョン
ン
ト
ッ
セ
ト』から手動で開始されるユーザー登録の場合は、
ット
セッ
ト
ッ
セ
リ
の
定
設
ー
ィ
TPMエミュレーション・モードは、トラステッド・ソフトウェア・ベース・ルートです。ユーザーは、
TPMによって提供されるのと同じ機能(デジタル署名、対称鍵暗号化解除、RSA鍵のインポート、保護、
および乱数生成など)を使用可能ですが、トラステッド・ルートはソフトウェア・ベースの鍵であるの
で、セキュリティーは低下します。
22ClientSecuritySolution8.21デプロイメント・ガイド
Page 29
TPMエミュレーション・モードを、TPMのセキュアな代替として使用することはできません。TPMは、
TPMエミュレーション・モードよりセキュアな、次の2つの鍵保護方法を提供します。
•TPMによって使用されるすべての鍵が、固有のルート・レベル鍵によって保護されます。固有の
ルート・レベル鍵は、TPM内部に作成され、TPM外部で表示したり使用したりすることはできま
せん。TPMエミュレーション・モードでは、ルート・レベル鍵は、ハードディスク・ドライブ
に保存されたソフトウェア・ベース鍵です。
•すべての秘密鍵操作はTPM内部で実行されるので、鍵の秘密鍵の材料が、TPM外部に露出することは
ありません。TPMエミュレーション・モードでは、すべての秘密鍵操作がソフトウェア内で実行さ
れるので、秘密鍵の材料は保護されません。
TPMエミュレーション・モードは主に、セキュリティーにはあまり関心がなく、システムのログオン速度
に強い関心を持つユーザー向けです。
シ
ス
テ
ム
・
ボ
ー
ド
の
交
シ
ス
テ
ム
・
ボ
ー
シ
シス
ステ
テム
ム・
・ボ
システム・ボードを交換するということは、鍵がバインドされていた旧SRKがもはや無効になり、別の
SRKが必要とされていることが推測されます。これはTPMがBIOSによりクリアされても起こります。
ClientSecuritySolution管理者は、システムのクレデンシャルを新規SRKにバインドすることを要求されま
す。システム・ベース鍵は、ClientSecuritySolution管理者クレデンシャルから得たシステム・ベースAES
保護鍵により暗号化を解除する必要があります。
ClientSecuritySolution管理者がドメイン・ユーザーIDであり、そのユーザーIDのパスワードが別のPC
上で変更されていた場合、リカバリーを必要とするシステムにログオンするときに最後に使用されたパ
スワードが、リカバリーのためにシステム・ベース鍵の暗号化を解除するために既知である必要がありま
す。たとえば、デプロイメント中に、ClientSecuritySolution管理者のユーザーIDとパスワードが構成さ
れており、このユーザーのパスワードが別のマシン上で変更されている場合は、デプロイメント中に設
定された元のパスワードは、このシステムをリカバリーするための必須権限になります。
ド
ボー
ード
ドの
換
の
交
換
の交
交換
換
以下のステップに従って、システム・ボードの交換を実施してください。
1.ClientSecuritySolution管理者は、オペレーティング・システムにログオンする。
2.ログオン実行コード(cssplanarswap.exe)は、セキュリティー・チップが使用不可になっていることを
認識し、使用可能にするために再起動を要求する(このステップは、BIOSによりセキュリティー・
チップを使用可能にすることで回避できます)。
3.システムが再起動され、セキュリティー・チップが使用可能になる。
4.ClientSecuritySolution管理者がログオンし、次に、新規TakeOwnershipプロセスが完了する。
5.システム・ベース鍵は、ClientSecuritySolution管理者の認証によって得られるシステム基本AES保護
鍵を使用して暗号化を解除される。システム・ベース鍵は、新規SRKにインポートされて、システ
ム・リーフ鍵とそれによって保護されているすべてのクレデンシャルを再設定します。
6.これで、システムはリカバリーされます。
:
注
:
注
:システム・ボードの交換は、エミュレーション・モードの使用時は必要ありません。
注:
注
第3章.ClientSecuritySolutionでの作業23
Page 30
次の図に、マザーボード・スワップ(所有権取得)の構造を示します。
Motherboard Swap - Take Ownership
Trusted Platform Module
Decrypted via derived AES Key
System Leaf Private Key
Store Leaf Private Key
System Leaf Public Key
Store Leaf Public Key
System Base Private Key
System Base Public Key
If Passphrase
loop n times
CSS Admin PW/PP
One-Way Hash
System Base AES
Protection Key
(derived via output
of hash algorithm)
Motherboard Swap - Enroll User
Trusted Platform Module
Decrypted via derived AES Key
Storage Root Private Key
Storage Root Public Key
User Leaf Private Key
User Leaf Public Key
Windows PW AES Key
PW Manager AES Key
User Base Private Key
User Base Public Key
If Passphrase
loop n times
User PW/PP
One-Way Hash
User Base AES
Protection Key
(derived via output
of hash algorithm)
図 3. シ ス テ ム ・ ボ ー ド の 交 換 - 所 有 権 取 得
各ユーザーがシステムにログオンする度に、ユーザー・ベース鍵がユーザー認証から得られるユーザー・
ベースAES保護鍵により自動的に暗号化を解除され、ClientSecuritySolution管理者により作成された新規
SRKにインポートされます。次の図に、マザーボード・スワップ(ユーザー登録)の構造を示します。
セキュリティー・チップのクリア後、またはマザーボードの交換後に2次ユーザーをログインさせるに
は、マスター管理者としてログインする必要があります。マスター管理者には鍵を復元するためのプ
ロンプトが出されます。鍵の復元が完了したら、PolicyManagerを使用してClientSecurityのWindows
ログオンを無効にします。残りのユーザーはそれぞれの鍵を復元できます。すべての2次ユーザーが
それぞれの鍵を復元したら、マスター管理者はClientSecuritySolutionのWindowsログオン機能を有
効にすることができます。
次の図に、マザーボード・スワップ(ユーザー登録)の構造を示します。
図 4. マ ザ ー ボ ー ド ・ ス ワ ッ プ - ユ ー ザ ー 登 録
24ClientSecuritySolution8.21デプロイメント・ガイド
Page 31
EFS
保
護
ユ
ー
テ
ィ
リ
テ
ィ
EFS
保
護
ユ
ー
テ
ィ
EFS
EFS保
保護
護ユ
ユー
ーテ
ClientSecuritySolutionは、ファイルおよびフォルダーを暗号化するためにEncryptingFileSystem(EFS)が使
用する暗号化証明書を、TPMに基づいて保護できるようにするコマンド・ライン・ユーティリティーを
提供します。このユーティリティーは、サード・パーティー証明書(認証局が生成する証明書)の転送
をサポートし、さらに自己署名証明書の生成もサポートします。
ClientSecuritySolutionによるEFS証明書の保護とは、EFS証明書に関連する秘密鍵がTPMによって保
護されることを意味します。この証明書へのアクセスは、ユーザーがClientSecuritySolutionで認証
された後に認可されます。
TPMが有効でない場合、EFS証明書はClientSecuritySolutionが提供するTPMエミュレーターを使用
して保護されます。EFS証明書がClientSecuritySolutionによって保護されるようにするには、Client
SecuritySolutionへの登録が必要です。
:
告
警
:
告
警
:
告:
警告
警
Security
Client
Security
Client
SecuritySolution
ClientSecurity
Client
、
合
場
た
た
た場
た
ス
ス
スで
ス
TPMが反応しなくなった場合、ClientSecuritySolutionはマザーボードを交換した後に暗号化された
データへ再びアクセスできるようになります。
EFS
EFS
EFSコ
EFS
次の表に、EFSでサポートされるコマンド・ライン・パラメーターを示します。
、
合
場
、Client
合、
場合
ま
き
で
ま
き
で
ませ
きま
でき
コ
コ
コマ
Solution
Solution
Solutionと
Security
Client
Security
Client
SecuritySolution
ClientSecurity
。
ん
せ
。
ん
せ
。
ん。
せん
・
ド
ン
マ
マ
マン
・
ド
ン
・ラ
ド・
ンド
リ
ティ
ィリ
リテ
Encrypting
と
Encrypting
と
EncryptingFile
とEncrypting
Solution
Solution
Solutionま
・
ン
イ
ラ
ラ
ライ
・
ン
イ
・ユ
ン・
イン
ー
テ
ィ
ー
ティ
ィー
ー
化
号
暗
を
ー
ダ
ル
ォ
フ
び
よ
お
ル
イ
ァ
フ
て
し
用
使
を
System
File
System
File
System(EFS)
FileSystem
TPM
は
た
ま
ま
また
ユ
ユ
ユー
TPM
は
た
TPMが
はTPM
たは
ィ
テ
ー
ィ
テ
ー
ィリ
ティ
ーテ
(EFS)
(EFS)
(EFS)を
用
使
が
用
使
が
用で
使用
が使
ー
ィ
テ
リ
リ
リテ
ー
ィ
テ
ーの
ィー
ティ
用
使
を
用し
使用
を使
な
き
で
な
き
で
ない
きな
でき
使
の
使
の
使用
の使
フ
て
し
ファ
てフ
して
合
場
い
合
場
い
合に
場合
い場
用
用
用
ル
イ
ァ
ルお
イル
ァイ
暗
は
に
暗
は
に
暗号
は暗
には
び
よ
お
びフ
よび
およ
さ
化
号
さ
化
号
され
化さ
号化
ル
ォ
フ
ルダ
ォル
フォ
フ
た
れ
フ
た
れ
ファ
たフ
れた
を
ー
ダ
を暗
ーを
ダー
ル
イ
ァ
ル
イ
ァ
ルに
イル
ァイ
化
号
暗
化し
号化
暗号
セ
ク
ア
に
に
にア
セ
ク
ア
セ
クセ
アク
し
し
し
表 9. EFS で サ ポ ー ト さ れ る コ マ ン ド ・ ラ イ ン ・ パ ラ メ ー タ ー
パ
ラ
メ
ー
タ
パ
ラ
パ
パラ
ラメ
/generate:<size>
/sn:xxxxxx
/cn:yyyyyy
/firstavail
/silent
/?または/hまたは/help
サイレント・モードで実行されていない場合、このユーティリティーは以下のいずれかのエラーを
戻します。
0-"Commandcompletedsuccessfully"
1-"ThisutilityrequiresWindowsXP"
2-"ThisutilityrequiresClientSecuritySolutionversion8 .0"
3-"ThecurrentuserisnotenrolledwithClientSecuritySolution"
4-"Thespeciedcerticatecouldnotbefound"
5-"Unabletogenerateaself-signedcerticate”
6-"NoEFScerticateswerefound"
ー
メ
ー
タ
ー
メー
ータ
ター
ー説
説
明
説
明
説明
明
自己署名証明書を生成し、その証明書をEFSに関連付
けます。<size>を指定すると、生成される鍵は指定さ
れたビット・サイズのものになります。有効な値は、
512、1024、および2048です。値を指定しない場合、
または無効値を指定すると、デフォルトで1024ビッ
トの鍵が生成されます。
転送してEFSと関連付ける既存の証明書のシリアル
番号を指定します。
転送してEFSと関連付ける既存の証明書の名前(『発行
先』)を指定します。
最初に使用可能な既存のEFS証明書を転送してEFSと
関連付けます。
出力を表示しません。プログラム終了時に値によって
提供される戻りコード。
ヘルプ情報を表示します。
第3章.ClientSecuritySolutionでの作業25
Page 32
7-"UnabletoassociatethecerticatewithEFS”
サイレント・モードで実行されている場合、プログラムの出力は、上記に示すエラー番号に対応するエ
ラー・レベルになります。
XML
XML
XML
XMLス
XMLスクリプト記述の目的は、IT管理者がClientSecuritySolutionのデプロイおよび構成に使用できるカ
スタム・スクリプトを作成できるようにすることです。スクリプトはxml_crypt_tool実行可能モジュー
ルによって保護できます(AES暗号化などのパスワードを使用)。いったん作成されると、仮想PC
(vmserver.exe)は、入力としてスクリプトを受け入れます。仮想マシンは、ClientSecuritySolutionセット
アップ・ウィザードと同一のファンクションを呼び出して、ソフトウェアを構成します。
すべてのスクリプトは、XMLエンコード・タイプ、XMLスキーマ、および実行する1つ以上の機能を指
定する1つのタグより構成されています。スキーマは、XMLファイルを検証し、必須パラメーターがそ
ろっていることを確認するために使用されます。スキーマの使用は、現在、推奨されていません。各ファ
ンクションは、ファンクション・タグで囲まれています。各ファンクションにはORDERが含まれてい
ます。これは、コマンドが仮想PC(vmserver.exe)によって実行される順番を指定します。各ファンク
ションには、バージョン番号も含まれます。現在、すべてのファンクションはバージョン1.0です。
以下のスクリプト例には、それぞれ1つのファンクションのみが含まれています。しかし、実際のス
クリプトには複数のファンクションが含まれる可能性が高くなります。ClientSecuritySolutionセット
アップ・ウィザードを使用すれば、このようなスクリプトを作成できます。セットアップ・ウィザー
ドによるスクリプト作成の追加情報については、36
ウィザード』を参照してください。
注
注
注:
注
が残されている場合は、システムのデフォルトのPC名が使用されます。
例
例
ス
キ
ー
マ
の
使
ス
キ
ー
スキ
:
:
:ドメイン名を必要とするファンクションのいずれかに、パラメーター<DOMAIN_NAME_PARAMETER>
例
例
マ
キー
ーマ
マの
用
の
使
用
の使
使用
用
ページの『ClientSecuritySolutionセットアップ・
以下のコマンドは、XMLスキーマの例です。
ENABLE_TPM_FUNCTION
ENABLE_TPM_FUNCTION
ENABLE_TPM_FUNCTION
ENABLE_TPM_FUNCTION
このコマンドは、TPMを使用可能にし、引数SYSTEM_PAPを使用します。システムに既にBIOS管理者
またはスーパーバイザー・パスワードが設定されている場合は、この引数を指定する必要があります。そ
れ以外の場合、このコマンドはオプションです。
<tvt_deploymentxmlns="http://www.lenovo.com"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation="
http://www.lenovo.comcssDeploy.xsd">
<registry_settings/>
</tvt_deployment>
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>ENABLE_TPM_FUNCTION</COMMAND>
<VERSION>1.0</VERSION>
<SYSTEM_PAP>PASSWORD</SYSTEM_PAP>
</FUNCTION>
</CSSFile>
:
注
:
注
:このコマンドは、エミュレーション・モードではサポートされていません。
注:
注
DISABLE_TPM_FUNCTION
DISABLE_TPM_FUNCTION
DISABLE_TPM_FUNCTION
DISABLE_TPM_FUNCTION
このコマンドは引数SYSTEM_PAPを使用します。システムに既にBIOS管理者またはスーパーバイザー・
パスワードが設定されている場合は、この引数を指定する必要があります。それ以外の場合、このコ
マンドはオプションです。
<tvt_deploymentxmlns="http://www.lenovo.com"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation="
26ClientSecuritySolution8.21デプロイメント・ガイド
Page 33
http://www.lenovo.comcssDeploy.xsd">
<registry_settings/>
</tvt_deployment
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>DISABLE_TPM_FUNCTION</COMMAND>
<VERSION>1.0</VERSION>
<SYSTEM_PAP>password</SYSTEM_PAP>
</FUNCTION>
</CSSFile>
:
注
:
注
:このコマンドは、エミュレーション・モードではサポートされていません。
注:
注
ENABLE_PWMGR_FUNCTION
ENABLE_PWMGR_FUNCTION
ENABLE_PWMGR_FUNCTION
ENABLE_PWMGR_FUNCTION
このコマンドは、すべてのClientSecuritySolutionユーザーに対してPasswordManagerを使用可能にします。
<?xmlversion="1.0"encoding="UTF-8"standalone="no"?>
<CSSFilexmlns="www.lenovo.com/security/CSS">
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>ENABLE_PWMGR_FUNCTION</COMMAND>
<VERSION>1.0</VERSION>
</FUNCTION>
</CSSFile>
ENABLE_CSS_GINA_FUNCTION
ENABLE_CSS_GINA_FUNCTION
ENABLE_CSS_GINA_FUNCTION
ENABLE_CSS_GINA_FUNCTION
Windows2000、XP、およびVistaの場合、次のコマンドでClientSecuritySolutionログオンが可能に
なります。
-<tvt_deploymentxmlns="http://www.lenovo.com"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation="
http://www.lenovo.comcssDeploy.xsd">
<registry_settings/>
</tvt_deployment
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>ENABLE_CSS_GINA_FUNCTION</COMMAND>
<VERSION>1.0</VERSION>
</FUNCTION>
</CSSFile>
ENABLE_UPEK_GINA_FUNCTION
ENABLE_UPEK_GINA_FUNCTION
ENABLE_UPEK_GINA_FUNCTION
ENABLE_UPEK_GINA_FUNCTION
:
注
:
注
:
注:
注
1.このコマンドはThinkVantage指紋認証ソフトウェア専用です。
2.このコマンドは、エミュレーション・モードではサポートされていません。
次のコマンドでは、ThinkVantage指紋認証によるWindowsログオンが有効になり、ClientSecuritySolution
によるWindowsログオンが無効になります。
<tvt_deploymentxmlns="http://www.lenovo.com"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation="
http://www.lenovo.comcssDeploy.xsd">
<registry_settings/>
</tvt_deployment>
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>ENABLE_UPEK_GINA_FUNCTION</COMMAND>
<VERSION>1.0</VERSION>
</FUNCTION>
</CSSFile>
第3章.ClientSecuritySolutionでの作業27
Page 34
ENABLE_UPEK_GINA_WITH_FUS_FUNCTION
ENABLE_UPEK_GINA_WITH_FUS_FUNCTION
ENABLE_UPEK_GINA_WITH_FUS_FUNCTION
ENABLE_UPEK_GINA_WITH_FUS_FUNCTION
:
注
:
注
:
注:
注
1.このコマンドはThinkVantage指紋認証ソフトウェア専用です。
2.このコマンドは、エミュレーション・モードではサポートされていません。
次のコマンドでは、ユーザーの簡易切り替えがサポートされるログオンが有効になり、ClientSecurity
SolutionによるWindowsログオンが無効になります。システム設定に従って、ユーザーの簡易切り替え
は有効にならないことがあります。
<tvt_deploymentxmlns="http://www.lenovo.com"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation="
http://www.lenovo.comcssDeploy.xsd">
<registry_settings/>
</tvt_deployment
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>ENABLE_UPEK_GINA_WIH_FUS_FUNCTION</COMMAND>
<VERSION>1.0</VERSION>
</FUNCTION>
</CSSFile>
ENABLE_AUTHENTEC_GINA_FUNCTION
ENABLE_AUTHENTEC_GINA_FUNCTION
ENABLE_AUTHENTEC_GINA_FUNCTION
ENABLE_AUTHENTEC_GINA_FUNCTION
:
注
:
注
:
注:
注
1.このコマンドはLenovoFingerprintSoftware専用です。
2.このコマンドは、エミュレーション・モードではサポートされていません。
次のコマンドでは、LenovoFingerprintによるWindowsログオンが有効になり、ClientSecuritySolutionによ
るWindowsログオンが無効になります。
<tvt_deploymentxmlns="http://www.lenovo.com"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation="
http://www.lenovo.comcssDeploy.xsd">
<registry_settings/>
</tvt_deployment>
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>ENABLE_AUTHENTEC_GINA_FUNCTION</COMMAND>
<VERSION>1.0</VERSION>
</FUNCTION>
</CSSFile>
ENABLE_AUTHENTEC_GINA_WITH_FUS_FUNCTION
ENABLE_AUTHENTEC_GINA_WITH_FUS_FUNCTION
ENABLE_AUTHENTEC_GINA_WITH_FUS_FUNCTION
ENABLE_AUTHENTEC_GINA_WITH_FUS_FUNCTION
:
注
:
注
:
注:
注
1.このコマンドはLenovoFingerprintSoftware専用です。
2.このコマンドは、エミュレーション・モードではサポートされていません。
次のコマンドでは、ユーザーの簡易切り替えがサポートされるログオンが有効になり、ClientSecurity
SolutionによるWindowsログオンが無効になります。システム設定に従って、ユーザーの簡易切り替え
は有効にならないことがあります。
<tvt_deploymentxmlns="http://www.lenovo.com"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation="
http://www.lenovo.comcssDeploy.xsd">
<registry_settings/>
</tvt_deployment
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>ENABLE_AUTHENTEC_GINA_WIH_FUS_FUNCTION</COMMAND>
<VERSION>1.0</VERSION>
28ClientSecuritySolution8.21デプロイメント・ガイド
Page 35
</FUNCTION>
</CSSFile>
ENABLE_NONE_GINA_FUNCTION
ENABLE_NONE_GINA_FUNCTION
ENABLE_NONE_GINA_FUNCTION
ENABLE_NONE_GINA_FUNCTION
ThinkVantage指紋認証ソフトウェア、ClientSecuritySolution、またはAccessConnectionsなどのGINA関連
TVTコンポーネントのいずれかのログオンが使用可能な場合は、このコマンドはThinkVantage指紋認証ソ
フトウェアとClientSecuritySolutionの両方のログオンを使用不可にします。
<tvt_deploymentxmlns="http://www.lenovo.com"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation="
http://www.lenovo.comcssDeploy.xsd">
<registry_settings/>
</tvt_deployment
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>ENABLE_CSS_NONE_FUNCTION</COMMAND>
<VERSION>1.0</VERSION>
</FUNCTION>
</CSSFile>
:
注
:
注
:このコマンドは、エミュレーション・モードではサポートされていません。
注:
注
SET_PP_FLAG_FUNCTION
SET_PP_FLAG_FUNCTION
SET_PP_FLAG_FUNCTION
SET_PP_FLAG_FUNCTION
このコマンドは、ClientSecurityパスフレーズを使用するか、Windowsパスワードを使用するかを確認する
ために、ClientSecuritySolutionが読み取るフラグを書き込みます。
<tvt_deploymentxmlns="http://www.lenovo.com"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation="
http://www.lenovo.comcssDeploy.xsd">
<registry_settings/>
</tvt_deployment
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>SET_PP_FLAG_FUNCTION</COMMAND>
<PP_FLAG_SETTING_PARAMETER>USE_CSS_PP</PP_FLAG_SETTING_PARAMETER>
<VERSION>1.0</VERSION>
</FUNCTION>
</CSSFile>
:
注
:
注
:このコマンドは、エミュレーション・モードではサポートされていません。
注:
注
SET_ADMIN_USER_FUNCTION
SET_ADMIN_USER_FUNCTION
SET_ADMIN_USER_FUNCTION
SET_ADMIN_USER_FUNCTION
このコマンドは、管理者を確認するためにClientSecuritySolutionが読み取るフラグを書き込みます。パラ
メーターは次のとおりです。
USER_NAME_PARAMETER
USER_NAME_PARAMETER
USER_NAME_PARAMETER
•USER_NAME_PARAMETER
管理者のユーザー名。
DOMAIN_NAME_PARAMETER
DOMAIN_NAME_PARAMETER
DOMAIN_NAME_PARAMETER
•DOMAIN_NAME_PARAMETER
管理者のドメイン名。
<tvt_deploymentxmlns="http://www.lenovo.com"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation="
http://www.lenovo.comcssDeploy.xsd">
<registry_settings/>
</tvt_deployment
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>SET_ADMIN_USER_FUNCTION</COMMAND>
<USER_NAME_PARAMETER>sabedi</USER_NAME_PARAMETER>
<DOMAIN_NAME_PARAMETER>IBM-2AA92582C79<DOMAIN_NAME_PARAMETER>
第3章.ClientSecuritySolutionでの作業29
Page 36
<VERSION>1.0</VERSION>
<SYSTEM_PAP>PASSWORD</SYSTEM_PAP>
</FUNCTION>
</CSSFile>
:
注
:
注
:このコマンドは、エミュレーション・モードではサポートされていません。
注:
注
INITIALIZE_SYSTEM_FUNCTION
INITIALIZE_SYSTEM_FUNCTION
INITIALIZE_SYSTEM_FUNCTION
INITIALIZE_SYSTEM_FUNCTION
このコマンドは、ClientSecuritySolutionシステム機能を初期設定します。システム全体の鍵は、この
ファンクション呼び出しにより生成されます。次のパラメーター・リストで、各ファンクションについ
て説明します。
NEW_OWNER_AUTH_DATA_PARAMETER
NEW_OWNER_AUTH_DATA_PARAMETER
NEW_OWNER_AUTH_DATA_PARAMETER
•NEW_OWNER_AUTH_DATA_PARAMETER
このパラメーターは、システムの新規所有者パスワードを設定するために使用されます。新規所有者パ
スワードの場合、このパラメーターの値は現行所有者パスワードにより制御されます。現行所有者パス
ワードが設定されていない場合、このパラメーターの値が渡されて新規所有者パスワードになります。
現行所有者パスワードが既に設定され、管理者が同じ現行の所有者パスワードを使用する場合は、こ
のパラメーターの値が渡されます。管理者が新規所有者パスワードを使用する場合、新規所有者パ
スワードがこのパラメーターに渡されます。
CURRENT_OWNER_AUTH_DATA_PARAMETER
CURRENT_OWNER_AUTH_DATA_PARAMETER
CURRENT_OWNER_AUTH_DATA_PARAMETER
•CURRENT_OWNER_AUTH_DATA_PARAMETER
このパラメーターは、システムの現行所有者パスワードです。既にシステムに既存の所有者パスワード
がある場合は、このパラメーターは前のパスワードを渡す必要があります。新規所有者パスワードが要
求される場合、現行所有者パスワードがこのパラメーターに渡されます。パスワード変更が構成されて
いない場合は、値NO_CURRENT_OWNER_AUTHが渡されます。
<tvt_deploymentxmlns="http://www.lenovo.com"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation="
http://www.lenovo.comcssDeploy.xsd">
<registry_settings/>
</tvt_deployment
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>INITIALIZE_SYSTEM_FUNCTION</COMMAND>
<NEW_OWNER_AUTH_DATA_PARAMETER>pass1word</NEW_OWNER_AUTH_DATA_
PARAMETER>
<CURRENT_OWNER_AUTH_DATA_PARAMETER>No_CURRENT_OWNER_AUTH</CURRENT
_OWNER_AUTH_DATA_PARAMETER>
<VERSION>1.0</VERSION>
</FUNCTION>
</CSSFile>
CHANGE_TPM_OWNER_AUTH_FUNCTION
CHANGE_TPM_OWNER_AUTH_FUNCTION
CHANGE_TPM_OWNER_AUTH_FUNCTION
CHANGE_TPM_OWNER_AUTH_FUNCTION
このコマンドは、ClientSecuritySolution管理者権限を変更し、それに応じてシステム鍵を更新します。シス
テム全体の鍵は、このファンクション呼び出しにより再生成されます。パラメーターは次のとおりです。
•NEW_OWNER_AUTH_DATA_PARAMETER
TPMの新規所有者パスワード
•CURRENT_OWNER_AUTH_DATA_PARAMETER
TPMの現行所有者パスワード
<tvt_deploymentxmlns="http://www.lenovo.com"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation="
http://www.lenovo.comcssDeploy.xsd">
<registry_settings/>
</tvt_deployment
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>CHANGE_TPM_OWNER_AUTH_FUNCTION</COMMAND>
30ClientSecuritySolution8.21デプロイメント・ガイド
Page 37
<NEW_OWNER_AUTH_DATA_PARAMETER>newPassWord</NEW_OWNER_AUTH_DATA_
PARAMETER>
<CURRENT_OWNER_AUTH_DATA_PARAMETER>oldPassWord</CURRENT_OWNER_AUTH
_DATA_PARAMETER>
<VERSION>1.0</VERSION>
</FUNCTION>
</CSSFile>
:
注
:
注
:このコマンドは、エミュレーション・モードではサポートされていません。
注:
注
ENROLL_USER_FUNCTION
ENROLL_USER_FUNCTION
ENROLL_USER_FUNCTION
ENROLL_USER_FUNCTION
このコマンドは、ClientSecuritySolutionを使用する特定のユーザーを登録します。このファンクション
は、ユーザー固有のセキュリティー・キーのすべてを所定のユーザーに作成します。パラメーターは次
のとおりです。
USER_NAME_PARAMETER
USER_NAME_PARAMETER
USER_NAME_PARAMETER
•USER_NAME_PARAMETER
登録するユーザーのユーザー名
DOMAIN_NAME_PARAMETER
DOMAIN_NAME_PARAMETER
DOMAIN_NAME_PARAMETER
•DOMAIN_NAME_PARAMETER
登録するユーザーのドメイン名
USER_AUTH_DATA_PARAMETER
USER_AUTH_DATA_PARAMETER
USER_AUTH_DATA_PARAMETER
•USER_AUTH_DATA_PARAMETER
ユーザーのセキュリティー・キーを作成するためのTPMパスフレーズまたはWindowsパスワード
WIN_PW_PARAMETER
WIN_PW_PARAMETER
WIN_PW_PARAMETER
•WIN_PW_PARAMETER
Windowsパスワード
<tvt_deploymentxmlns="http://www.lenovo.com"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation="
http://www.lenovo.comcssDeploy.xsd">
<registry_settings/>
</tvt_deployment
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>ENROLL_USER_FUNCTION</COMMAND>
<USER_NAME_PARAMETER>sabedi</USER_NAME_PARAMETER>
<DOMAIN_NAME_PARAMETER>IBM-2AA92582C79<DOMAIN_NAME_PARAMETER>
<USER_AUTH_DATA_PARAMETER>myCssUserPassPhrase</USER_AUTH_DATA_PARAMETER>
<WIN_PW_PARAMETER>myWindowsPassword</WIN_PW_PARAMETER>
<VERSION>1.0</VERSION>
</FUNCTION>
</CSSFile>
USER_PW_RECOVERY_FUNCTION
USER_PW_RECOVERY_FUNCTION
USER_PW_RECOVERY_FUNCTION
USER_PW_RECOVERY_FUNCTION
このコマンドは、特定ユーザーのパスワード・リカバリーをセットアップします。パラメーターは次
のとおりです。
USER_NAME_PARAMETER
USER_NAME_PARAMETER
USER_NAME_PARAMETER
•USER_NAME_PARAMETER
登録するユーザーのユーザー名
DOMAIN_NAME_PARAMETER
DOMAIN_NAME_PARAMETER
DOMAIN_NAME_PARAMETER
•DOMAIN_NAME_PARAMETER
登録するユーザーのドメイン名
USER_PW_REC_QUESTION_COUNT
USER_PW_REC_QUESTION_COUNT
USER_PW_REC_QUESTION_COUNT
•USER_PW_REC_QUESTION_COUNT
ユーザーが応答しなければならない質問の数
USER_PW_REC_ANSWER_DATA_PARAMETER
USER_PW_REC_ANSWER_DATA_PARAMETER
USER_PW_REC_ANSWER_DATA_PARAMETER
•USER_PW_REC_ANSWER_DATA_PARAMETER
特定の質問に対する、保存されている応答。このパラメーターの実名には、応答される質問に対応す
る番号が連結しています。
USER_PW_REC_STORED_PASSWORD_PARAMETER
USER_PW_REC_STORED_PASSWORD_PARAMETER
USER_PW_REC_STORED_PASSWORD_PARAMETER
•USER_PW_REC_STORED_PASSWORD_PARAMETER
質問のすべてが正確に応答されると、ユーザーに示される保存されたパスワード。
第3章.ClientSecuritySolutionでの作業31
Page 38
<tvt_deploymentxmlns="http://www.lenovo.com"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation="
http://www.lenovo.comcssDeploy.xsd">
<registry_settings/>
</tvt_deployment
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>USER_PW_RECOVERY_FUNCTION</COMMAND>
<USER_NAME_PARAMETER>sabedi</USER_NAME_PARAMETER>
<DOMAIN_NAME_PARAMETER>IBM-2AA92582C79<DOMAIN_NAME_PARAMETER>
<USER_PW_REC_ANSWER_DATA_PARAMETER>Test1</USER_PW_REC_ANSWER_DATA_PARA
METER>
<USER_PW_REC_ANSWER_DATA_PARAMETER>Test2</USER_PW_REC_ANSWER_DATA_PARA
METER>
<USER_PW_REC_ANSWER_DATA_PARAMETER>Test3</USER_PW_REC_ANSWER_DATA_PARA
METER>
<USER_PW_REC_QUESTION_COUNT>3</USER_PW_REC_QUESTION_COUNT>
<USER_PW_REC_QUESTION_LIST>20000,20001,20002</USER_PW_REC_QUESTION_LIST>
</USER_PW_REC_STORED_PASSWORD_PARAMETER>Pass1word</USER_PW_REC_STORED_PASS
WORD_PARAMETER>
<VERSION>1.0</VERSION>
</FUNCTION>
</CSSFile>
GENERATE_MULTI_FACTOR_DEVICE_FUNCTION
GENERATE_MULTI_FACTOR_DEVICE_FUNCTION
GENERATE_MULTI_FACTOR_DEVICE_FUNCTION
GENERATE_MULTI_FACTOR_DEVICE_FUNCTION
このコマンドは、認証に使用されるClientSecuritySolutionの多層デバイスを生成します。パラメー
ターは次のとおりです。
•USER_NAME_PARAMETER-管理者のユーザー名。
•DOMAIN_NAME_PARAMETER-管理者のドメイン名。
•MULTI_FACTOR_DEVICE_USER_AUTH-ユーザーのセキュリティー・キーを作成するためのClient
SecurityパスフレーズまたはWindowsパスワード。
<?xmlversion="1.0"encoding="UTF-8"standalone="no"?>
<CSSFile=xmlns="www.ibm.com/security/CSS">
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>GENERATE_MULTI_FACTOR_DEVICE_FUNCTION</COMMAND>
<USER_NAME_PARAMETER>myUserName</USER_NAME_PARAMETER>
<DOMAIN_NAME_PARAMETER>domainName</DOMAIN_NAME_PARAMETER>
<MULTI_FACTOR_DEVICE_USER_AUTH>myCssUserPassPhrase</MULTI_FACTOR_DEVICE_USER_AUTH>
<VERSION>1.0</VERSION>
</FUNCTION>
</CSSFile>
SETUP_PDA_FUNCTION
SETUP_PDA_FUNCTION
SETUP_PDA_FUNCTION
SETUP_PDA_FUNCTION
このコマンドは、ClientSecuritySolutionと使用するためにRescueandRecoveryワークスペースをセット
アップします。
<?xmlversion="1.0"encoding="UTF-8"standalone="no"?>
<CSSFile=xmlns="www.ibm.com/security/CSS">
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>SETUP_PDA_FUNCTION</COMMAND>
<VERSION>1.0</VERSION>
</FUNCTION>
</CSSFile>
32ClientSecuritySolution8.21デプロイメント・ガイド
Page 39
SET_USER_AUTH_FUNCTION
SET_USER_AUTH_FUNCTION
SET_USER_AUTH_FUNCTION
SET_USER_AUTH_FUNCTION
このコマンドは、ClientSecuritySolutionのユーザー認証を設定します。
<?xmlversion="1.0"encoding="UTF-8"standalone="no"?>
<CSSFile=xmlns="www.ibm.com/security/CSS">
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>SET_USER_AUTH_FUNCTION</COMMAND>
<VERSION>1.0</VERSION>
</FUNCTION>
</CSSFile>
RSA
SecurID
RSA
SecurID
RSA
RSASecurID
SecurIDト
データ暗号化の暗号化アルゴリズム方式を利用すると、ClientSecuritySolutionに加えてRSASecurIDトー
クンを使用することにより、お客様の企業に多層セキュリティーが提供されます。RSASecurIDトーク
ンを使用して、ユーザーはユーザーIDまたはPIN、およびトークン・デバイスを使用してネットワー
クやソフトウェアで認証され、ログインすることができます。トークン・デバイスは、60秒ごとに変
わる数字のストリングを表示します。この認証方式では、再使用可能なパスワードと比較して格段に
信頼性の高いユーザー認証が可能になります。
RSA
SecurID
RSA
SecurID
RSA
RSASecurID
SecurIDソ
RSASecurIDソフトウェアをインストールするには、次のステップを実行します。
1.次のWebサイトに移動します。
http://www.rsasecurity.com/node.asp?id=1156
2.登録プロセスを完了します。
3.RSASecurIDソフトウェアをダウンロードおよびインストールします。
ト
ー
ク
ン
の
使
ト
ー
ク
トー
ソ
ソ
ソフ
ン
ーク
クン
ンの
フ
ト
ウ
フ
フト
ェ
ト
ウ
トウ
ウェ
用
の
使
用
の使
使用
用
ア
・
ト
ー
ク
ン
の
イ
ン
ス
ト
ー
ェ
ア
・
ト
ー
ク
ン
の
イ
ン
ェア
ア・
・ト
トー
ーク
クン
ンの
のイ
ス
イン
ンス
スト
ル
ト
ー
ル
トー
ール
ル
要
件
要
件
要
要件
件
1.RSAソフトウェアがClientSecuritySolutionと関連付けられた後に正しく動作するには、各Windows
ユーザーがClientSecuritySolutionに登録する必要があります。
2.WindowsユーザーがClientSecuritySolutionに登録していないと、そのユーザーを認証しようとし
て、RSAソフトウェアはエンドレス・ループに陥ります。ユーザーをClientSecuritySolutionに
登録するとこの問題は解決します。
ス
マ
ー
ト
・
カ
ー
ド
・
ア
ク
セ
ス
・
オ
プ
シ
ョ
ン
の
設
ス
マ
ー
ト
・
カ
ー
ド
・
ア
ク
セ
ス
・
オ
プ
シ
ョ
ス
スマ
マー
ート
ト・
・カ
カー
ード
ド・
・ア
アク
クセ
セス
ス・
・オ
オプ
プシ
スマート・カード・アクセス・オプションを設定するには、次のステップを実行します。
ー
ツ
(
Tools
Tools
1.RSASecurIDメインメニューから、『Tools
)
ン
ョ
シ
プ
オ
・
ス
セ
ク
ア
・
ド
ド
ド・
ド
2.『SmartCardCommunication(スマート・カード通信)』パネルから、『Access
PKCS
PKCS
PKCS#11
PKCS
タンを選択します。
3.『Browse
C:¥ProgramFiles¥LENOVO¥ClientSecuritySolution¥csspkcs11.dll
csspkcs11.dll
csspkcs11.dll
csspkcs11.dllファイルをクリックし、『Select
4.csspkcs11.dll
5.『OK
RSA
RSA
RSA
RSASecurID
ク
ア
・
クセ
アク
・ア
#11
#11
#11module
Browse
Browse
Browse(
OK
OK
OK』をクリックします。
SecurID
SecurID
SecurIDソ
・
ス
セ
・オ
ス・
セス
module
module
module(PKCS
照
参
(
照
参
(
照)
参照
(参
ソ
ソ
ソフ
シ
プ
オ
ショ
プシ
オプ
(PKCS
(PKCS
(PKCS#11
)
)
)』ボタンをクリックして、次のパスまでナビゲートします。
フ
ト
フ
ト
フト
トウ
)
ン
ョ
)』の順にクリックします。
ン)
ョン
ジ
モ
#11
ジ
モ
#11
ジュ
モジ
#11モ
ウ
ェ
ア
ウ
ェ
ア
ウェ
ェア
ア・
Tools(
を
ル
ー
ュ
ュ
ュー
・
・
・ト
を
ル
ー
を使
ルを
ール
Select
Select
Select(
ト
ー
ト
ー
トー
ーク
ー
ツ
(
ール
ツー
(ツ
し
用
使
し
用
使
して
用し
使用
選
(
選
(
選択
(選
ク
ン
ク
ン
クン
ンの
ン
ショ
ョン
ンの
)
ル
)
ル
)』、『Smart
ル)
ー
マ
ス
て
て
てス
択
択
択)
の
の
の手
ー
マ
ス
ート
マー
スマ
)
)
)』をクリックします。
手
動
手
動
手動
動イ
定
の
設
定
の設
設定
定
マ
ス
(
(
(ス
Smart
the
Smart
the
SmartCard
theSmart
)
ス
)
ス
)』のラジオ・ボ
ス)
マ
ス
マー
スマ
Card
Card
Cardthrough
Access
Access
Accessthe
ア
ア
アク
ー
ー
ール
Options
Options
Options(
セ
ク
セ
ク
セス
クセ
ル
ル
ル
Smart
Smart
SmartCard
カ
・
ト
カ
・
ト
カー
・カ
ト・
イ
ン
イ
ン
イン
ンス
Access
Card
AccessOptions
CardAccess
に
ド
ー
に
ド
ー
にア
ドに
ード
ス
ト
ス
ト
スト
トー
Access
Card
ト
ー
ー
ート
through
through
カ
・
カ
・
ト
カー
・カ
ト・
througha
ー
ー
ー
a
a
a
RSASecurIDソフトウェア・トークンによるClientSecuritySolution保護を利用するには、次のステップ
を実行します。
第3章.ClientSecuritySolutionでの作業33
Page 40
File
File
1.RSASecurIDソフトウェア・トークンのメインメニューから、『File
)
ト
ー
ポ
ン
イ
の
ン
ク
ー
ト
(
ー
ト
(
ーク
トー
(ト
(
2.SDTIDファイルの場所までナビゲートし、『Open
Select
Select
SelectToken(s)
3.『Select
トウェア・トークンのシリアル番号を強調表示します。
Transfer
Transfer
TransferSelected
4.『Transfer
クします。
:
注
:
注
:トークンに配布パスワードがある場合、プロンプトが出されたらそのパスワードを入力します。
注:
注
OK
OK
OK』をクリックします。
5.『OK
ク
クン
の
ン
のイ
ンの
Token(s)
Token(s)
Token(s)to
ポ
ン
イ
ポー
ンポ
イン
to
to
toInstall
Selected
Selected
SelectedTokens
)
ト
ー
)』の順にクリックします。
ト)
ート
ー
ト
ス
ン
イ
(
Install
Install
Install(
Tokens
Tokens
TokensSmart
ン
イ
(
ンス
イン
(イ
Smart
Smart
SmartCard
ス
スト
Card
Card
Card(
ー
ト
ール
トー
Open
Open
Open(
ク
ー
ト
る
す
ル
る
す
ル
るト
する
ルす
し
択
選
(
し
択
選
(
した
択し
選択
(選
ク
ー
ト
クン
ーク
トー
ー
ト
た
ー
ト
た
ーク
トー
たト
)
く
開
(
)』をクリックします。
く)
開く
(開
択
選
の
ン
ン
ンの
択
選
の
択)
選択
の選
ス
の
ン
ク
ク
クン
ス
の
ン
スマ
のス
ンの
)
く
開
(
File(
)
)
)』パネルから、インストールしたいソフ
ト
ー
マ
ト
ー
マ
ト・
ート
マー
ァ
フ
(
ァイ
ファ
(フ
ー
カ
・
ー
カ
・
ード
カー
・カ
)
ル
イ
)』、『Import
ル)
イル
)
送
転
を
ド
を
ド
を転
ドを
転
転送
)
送
)』をクリッ
送)
)
ル
イ
ァ
フ
(
Tokens
Import
Tokens
Import
Tokens
ImportTokens
Active
Active
Active
ActiveDirectory
次のパスはClientSecuritySolutionのPKCS#11モジュールがあるディレクトリー・パスを示します。
C:¥ProgramFiles¥Lenovo¥ClientSecuritySolution¥csspkcs11.dll
ClientSecuritySolutionのPKCS#11モジュールを利用するには、ActiveDirectoryに以下のポリシーを
設定する必要があります。
1.PKCS#11署名
2.PKCS#11暗号化解除
次の表に、PKCS#11のポリシーの変更可能フィールドと説明を示します。
表 10. ThinkVantage¥Client Security Solution¥Authentication Policies¥PKCS# 11 Signature¥Custom Mode
フ
フ
フ
フィ
変更可能フィールド
フィールドの説明
可能な値
Directory
Directory
Directoryの
ィ
ー
ル
ド
ィ
ー
ル
ド
ィー
ール
ルド
ドCSS.ADM
の
サ
ポ
の
サ
ポ
のサ
サポ
ポー
ー
ト
ー
ト
ート
ト
CSS.ADM
CSS.ADM
CSS.ADM
必須
パスワードまたはパスフレーズが必要であるかどうか
を制御します。
•Enabled(有効)
–Everytime(毎回)
–Onceperlogon(ログオンごと)
•Disabled(無効)
•Notconfigured(構成しない)
指
紋
セ
ン
サ
ー
認
証
の
設
定
と
ポ
リ
シ
指
紋
セ
ン
サ
ー
認
証
の
設
定
と
指
指紋
紋セ
セン
ンサ
サー
ー認
認証
証の
の設
設定
強
制
的
な
指
紋
バ
イ
パ
強
制
的
な
指
紋
強
強制
制的
的な
な指
指紋バイパス・オプションを使用すると、ユーザーは、指紋認証をバイパスでき、Windowsパスワードを
使用してログオンできます。ユーザーは、新しい登録を追加するときに、PasswordManagerのユーザー・
インターフェースでこのオプションを選択または選択解除できます。
ただし、デフォルトでは、このオプションが選択されていない場合でも、指紋バイパスは有効になりま
す。これは、指紋センサーが機能しなくても、ユーザーがWindowsにログオンできるようにするためで
す。強制的な指紋バイパス・オプションを無効にするには、次のレジストリー・キーを編集します。
[HKEY_LOCAL_MACHINE¥SOFTWARE¥Lenovo¥ClientSecuritySolution¥CSSConguration]
"GinaDenyLogonDeviceNonEnrolled"=dword:00000001
レジストリー・キーが上記のように設定されると、ユーザーは、指紋センサーが機能しないときに
も指紋認証をバイパスできません。
34ClientSecuritySolution8.21デプロイメント・ガイド
バ
指紋
紋バ
バイ
ス
イ
パ
ス
イパ
パス
ス・
ポ
定と
とポ
ポリ
・
オ
プ
・
オ
プ
・オ
オプ
プシ
ー
リ
シ
ー
リシ
シー
ー
シ
ョ
ン
シ
ョ
ン
ショ
ョン
ン
Page 41
指
紋
の
読
み
取
り
結
指
紋
の
読
み
指
指紋
紋の
の読
指紋認証中は、下記のポリシーによって、指紋の読み取り結果の表示が制御されます。
HKLM¥Lenovo¥TVTCommon¥ClientSecuritySolution¥FPSwipeResult
•FPSwipeResult=0:すべてのメッセージを表示します。
•FPSwipeResult=1:失敗のメッセージのみを表示します(デフォルト値)。
•FPSwipeResult=2:メッセージを表示しません。
コ
マ
ン
コ
コ
コマ
企業のIT管理者はコマンドライン・インターフェースを使用して、ローカルまたはリモートから
ThinkVantageテクノロジーの機能を実装することもできます。設定情報は、リモートのテキスト・
ファイル設定を介して保守することができます。
ClientSecuritySolutionには次のコマンド・ライン・ツールがあります。
•35
•36ページの『ClientSecuritySolutionセットアップ・ウィザード』
•37ページの『デプロイメント・ファイルの暗号化または暗号化解除ツール』
•37
•38ページの『TPMENABLE.EXE』
•38ページの『証明書転送ツール』
•39ページの『TPM有効化ツール』
ド
マ
ン
マン
ンド
ページの『SecurityAdvisor』
ページの『デプロイメント・ファイル処理ツール』
取
読み
み取
取り
・
ラ
ド
・
ラ
ド・
・ラ
ライ
果
り
結
果
り結
結果
果
イ
ン
・
ツ
ー
イ
ン
・
イン
ン・
・ツ
ル
ツ
ー
ル
ツー
ール
ル
Security
Security
Security
SecurityAdvisor
ClientSecuritySolutionからSecurityAdvisorを実行するには、『
ロ
プ
の
ロ
プ
の
ログ
プロ
のプ
の
して、『セ
Files¥WST¥wst.exeがデフォルトでインストールされます。
パラメーターは次のとおりです。
表 11. パ ラ メ ー タ ー
パ
ラ
パ
ラ
パ
パラ
ラメ
HardwarePasswords
PowerOnPassword
HardDrivePassword
AdministratorPassword
WindowsUsersPasswords
Password
Advisor
Advisor
Advisor
『
→
グ
ム
ラ
グ
ム』
ラム
グラ
キ
セ
キ
セ
キュ
セキ
メ
ー
タ
ー
メ
ー
タ
ー
メー
ータ
ター
ー説
→
』
→『
』→
リ
ュ
リ
ュ
リテ
ュリ
ThinkVantage
『
ThinkVantage』
『ThinkVantage
ー
ィ
テ
ー
ィ
テ
ー設
ィー
ティ
設
設
設定
ThinkVantage
『
→
』
ム
ラ
』
『
→
』
『Client
→『
』→
査
監
の
定
定
定の
査
監
の
査』を選択します。これにより、C:¥ProgramFiles¥Lenovo¥Common
監査
の監
Security
Client
Security
Client
SecuritySolution
ClientSecurity
Solution
Solution
Solution』
説
明
説
明
説明
明
ハードウェア・パスワードの値を設定します。1はこ
のセクションを表示し、0は隠します。デフォルト値
は1です。
パワーオン・パスワードを使用可能にする値か、設定
にフラグを立てる値を設定します。
ハードディスクのパスワードを使用可能にする値か、設
定にフラグを立てる値を設定します。
管理者パスワードを使用可能にする値か、設定にフラグ
を立てる値を設定します。
Windowsユーザー・パスワードの値を設定します。1
はこのセクションを表示し、0は隠します。このパラ
メーターが表示されていない場合は、デフォルトで表示
されます。
ユーザー・パスワードを使用可能にする値か、設定にフ
ラグを立てる値を設定します。
『
タ
ス
『
ター
スタ
『ス
』
』
』とクリックします。『拡
』
ト
ー
』→
ト』
ート
ロ
プ
『
→
ログ
プロ
『プ
→『
ロ
プ
『
→
』
ト
ー
タ
ス
ム
ラ
グ
ム
ラ
グ
ム』
ラム
グラ
張
拡
張
拡
張』をクリック
拡張
』
『
→
』
『す
→『
』→
て
べ
す
て
べて
すべ
て
べ
す
『
→
第3章.ClientSecuritySolutionでの作業35
Page 42
表 11. パ ラ メ ー タ ー ( 続 き )
パ
ラ
メ
ー
タ
パ
ラ
パ
パラ
ラメ
PasswordAge
PasswordNeverExpires
WindowsPasswordPolicy
MinimumPasswordLength
MaximumPasswordAge
ScreenSaver
ScreenSaverPasswordSet
ScreenSaverTimeout
FileSharing
AuthorizedAccessOnly
ClientSecurity
EmbeddedSecurityChip
ClientSecuritySolution
ー
メ
ー
タ
ー
メー
ータ
ター
ー説
説
明
説
明
説明
明
このマシン上での、Windowsパスワードの使用日数の値
を設定するか、設定にフラグを立てる値を設定します。
Windowsのパスワードが期限切れにならない値を設定す
るか、設定にフラグを立てる値を設定します。
Windowsパスワード・ポリシーの値を設定します。1
はこのセクションを表示し、0は隠します。このパラ
メーターが表示されていない場合は、デフォルトで表示
されます。
このマシン上でのパスワードの長さの値を設定するか、
設定にフラグを立てる値を設定します。
このマシン上でのパスワードの使用日数の値を設定する
か、設定にフラグを立てる値を設定します。
スクリーン・セーバーの値を設定します。1はこのセク
ションを表示し、0は隠します。このパラメーターが表
示されていない場合は、デフォルトで表示されます。
スクリーン・セーバーにパスワードを要求する値を設定
するか、設定にフラグを立てる値を設定します。
このマシン上でのスクリーン・セーバーのタイムア
ウトの値を設定するか、設定にフラグを立てる値を設
定します。
ファイル共有の値を設定します。1はこのセクションを
表示し、0は隠します。このパラメーターが表示されて
いない場合は、デフォルトで表示されます。
ファイル共有のための許可されたアクセスを設定する値
を設定するか、設定にフラグを立てる値を設定します。
ClientSecurityの値を設定します。1はこのセクションを
表示し、0は隠します。このパラメーターが表示されて
いない場合は、デフォルトで表示されます。
セキュリティー・チップを使用可能にする値を設定する
か、設定にフラグを立てる値を設定します。
このマシン上で使用するClientSecuritySolutionのバー
ジョンの値を設定するか、設定にフラグを立てる値を設
定します。
Client
Client
Client
ClientSecurity
ClientSecuritySolutionセットアップ・ウィザードは、XMLファイルを介してデプロイメント・スクリプト
を生成する際に使用します。次のコマンドを実行すると、ウィザードのさまざまな機能が表示されます。
"C:¥ProgramFiles¥Lenovo¥ClientSecuritySolution¥css_wizard.exe"/?
次の表に、ClientSecuritySolutionセットアップ・ウィザードのコマンドを示します。
表 12. Client Security Solution セ ッ ト ア ッ プ ・ ウ ィ ザ ー ド の コ マ ン ド
パ
パ
パ
パラ
/hまたは/?
/name:FILENAME
36ClientSecuritySolution8.21デプロイメント・ガイド
Security
Security
SecuritySolution
ラ
メ
ー
タ
ラ
ラメ
ー
メ
ー
タ
ー
メー
ータ
ター
ー結
Solution
Solution
Solutionセ
セ
ッ
ト
ア
ッ
プ
・
ウ
ィ
ザ
ー
セ
ッ
ト
ア
ッ
プ
・
ウ
セッ
ット
トア
アッ
ップ
プ・
ィ
・ウ
ウィ
ィザ
結
果
結
果
結果
果
ヘルプ・メッセージ・ボックスを表示します
生成されたデプロイメント・ファイルの完全修飾パス
およびファイル名の前に付けます。このファイルには
拡張子.xmlが付きます。
ド
ザ
ー
ド
ザー
ード
ド
Page 43
表 12. Client Security Solution セ ッ ト ア ッ プ ・ ウ ィ ザ ー ド の コ マ ン ド ( 続 き )
パ
ラ
メ
ー
タ
パ
ラ
パ
パラ
ラメ
/encrypt
/pass:
/novalidate
:
例
:
例
:
例:
例
css_wizard.exe/encrypt/pass:mysecret/name:C:¥DeployScript/novalidate
デ
プ
デ
プ
デ
デプ
プロ
このツールはClientSecurityXMLデプロイメント・ファイルの暗号化または暗号化解除に使用します。次
のコマンドを実行すると、ツールのさまざまな機能が表示されます。
"C:¥ProgramFiles¥Lenovo¥ClientSecuritySolution¥xml_crypt_tool.exe"/?
ー
メ
ー
タ
ー
メー
ータ
ター
ー結
ロ
イ
メ
ン
ト
・
フ
ァ
イ
ロ
イ
メ
ン
ト
・
ロイ
イメ
メン
ント
フ
ト・
・フ
ファ
ル
ァ
イ
ル
ァイ
イル
ルの
の
暗
号
の
暗
号
の暗
暗号
号化
結
果
結
果
結果
果
AES暗号化を使用してスクリプト・ファイルを暗号化し
ます。暗号化される場合、そのファイル名には.encが付
加されます。/passコマンドを使用しない場合は、静的パ
スフレーズを使用して、ファイルを隠します。
暗号化されたデプロイメント・ファイルを保護するため
に、パスフレーズの前に付けます。
ウィザードのパスワードとパスフレーズのチェック機能
を使用不可にして、すでに構成済みのPC上でスクリプ
ト・ファイルを作成できるようにします。たとえば、
現行PCの管理者パスワードは、社内で要求される管
理者パスワードではないことがあります。/novalidateコ
マンドを使用するとユーザーはxmlファイル作成中に
css_wizardGUIに別の管理者パスワードを入力できます。
化
ま
た
は
暗
号
化
解
除
ツ
ー
化
ま
た
は
暗
号
化
解
化ま
また
たは
は暗
暗号
号化
除
化解
解除
除ツ
ル
ツ
ー
ル
ツー
ール
ル
パラメーターを次の表に示します。
表 13. Client Security XML デ プ ロ イ メ ン ト ・ フ ァ イ ル を 暗 号 化 ま た は 暗 号 化 解 除 す る た め の パ ラ メ ー タ ー
パ
ラ
メ
ー
タ
パ
ラ
パ
パラ
ラメ
/hまたは/?
FILENAME
encryptまたはdecrypt
PASSPHRASE
:
例
:
例
:
例:
例
xml_crypt_tool.exe"C:¥DeployScript.xml"/encrypt"mysecret"
および
xml_crypt_tool.exe"C:¥DeployScript.xml.enc"/decrypt"mysecret"
デ
プ
デ
プ
デ
デプ
プロ
ツールvmserver.exeはClientSecuritySolutionXMLデプロイメント・スクリプトを処理します。次のコマン
ドを実行すると、ウィザードのさまざまな機能が表示されます。
"C:¥ProgramFiles¥Lenovo¥ClientSecuritySolution¥vmserver.exe"/?
次の表に、ファイルを処理するためのパラメーターを示します。
ー
メ
ー
タ
ー
メー
ータ
ター
ー結
ロ
イ
メ
ン
ト
・
フ
ァ
イ
ロ
イ
メ
ン
ト
・
ロイ
イメ
メン
ント
フ
ト・
・フ
ファ
ル
ァ
イ
ル
ァイ
イル
ル処
処
理
ツ
処
理
ツ
処理
理ツ
ツー
結
果
結
果
結果
果
ヘルプ・メッセージを表示します
.xmlまたは.encの拡張子を持つパス名およびファイル名
を表示します。
.xmlファイルには/encrypt、.encファイルには/decrypt
を選択します。
ファイルを保護するためにパスフレーズを使用する場合
に必要なオプション・パラメーターを表示します。
ー
ル
ー
ル
ール
ル
第3章.ClientSecuritySolutionでの作業37
Page 44
表 14. フ ァ イ ル 処 理 の パ ラ メ ー タ ー
パ
ラ
メ
ー
タ
パ
ラ
パ
パラ
ラメ
FILENAME
PASSPHRASE
:
例
:
例
:
例:
例
Vmserver.exeC:¥DeployScript.xml.enc"mysecret"
TPMENABLE.EXE
TPMENABLE.EXE
TPMENABLE.EXE
TPMENABLE.EXE
ー
メ
ー
タ
ー
メー
ータ
ター
ー結
結
果
結
果
結果
果
FILENAMEパラメーターにはファイル拡張子XMLま
たはENCがなければなりません。
PASSPHRASEパラメーターは、拡張子ENCを持つファ
イルの暗号化解除に使用します。
tpmenable.exeファイルはセキュリティー・チップをオンにしたりオフにするために使用します。
表 15. tpmenable.exe フ ァ イ ル の パ ラ メ ー タ ー
パ
ラ
メ
ー
タ
パ
ラ
パ
パラ
ラメ
ー
メ
ー
タ
ー
メー
ータ
ター
ー説
説
明
説
明
説明
明
/enableまたは/disable
/quiet
sp:password
:
例
:
例
:
例:
例
tpmenable.exe/enable/quiet/sp:MyBiosPW
証
明
書
転
送
ツ
ー
証
明
書
転
証
証明
明書
送
書転
転送
送ツ
ル
ツ
ー
ル
ツー
ール
ル
セキュリティー・チップをオンにしたりオフにした
りします。
BIOSパスワードまたはエラーのプロンプトを隠します。
Windows2000およびXPの場合に限っては、BIOS管理者
/スーパーバイザー・パスワードは引用符で囲みません。
次の表に、ClientSecuritySolutionの証明書転送ツールのコマンド・ライン・スイッチを示します。
表 16. css_cert_transfer_tool.exe <cert_store_type> <lter_type>:<name | size> | all_access | usage
パ
ラ
メ
ー
タ
パ
ラ
パ
パラ
ラメ
<cert_store_type>
例
例
例
例:
<filter_type>:<name|size>
ー
メ
ー
タ
ー
メー
ータ
ター
ー説
cert_store_user
cert_store_machine
cert_store_all
説
明
説
明
説明
明
これは最初の必須パラメーターです。最初のスイッチとして使用し、
次の例のいずれか1つを組み込む必要があります。
ユーザー証明書のみを転送します。ユーザー証明書は、現
在のユーザーに割り当てられます。
マシン証明書のみを転送します。マシン証明書は、マシン
上で許可されたすべてのユーザーが使用できます。
ユーザー証明書タイプとマシン証明書タイプの両方を
転送します。
これは2番目の必須パラメーターです。必須の<cert_store_type>パラ
メーターの後に使用する必要があります。各フィルター・タイプ(下記
を除く)の後にはコロン『:』が必要で、コロンの直後には、検索対象
の証明書所有者の名前、権限、または鍵サイズを指定する必要があり
ます。このユーティリティーは大/小文字の区別があり、検索対象の名
前が複合名(たとえば、CAAuthorityなど)である場合は、検索条件の
前後に二重引用符“”を使用する必要があります(例を参照)。
38ClientSecuritySolution8.21デプロイメント・ガイド
Page 45
表 16. css_cert_transfer_tool.exe <cert_store_type> <lter_type>:<name | size> | all_access | usage ( 続 き )
パ
ラ
メ
ー
タ
パ
ラ
パ
パラ
ラメ
例
例
例
例:
次の2つのスイッチはスタンドアロンです。これらには2番目の引数はありません。
all_access
usage
ー
メ
ー
タ
ー
メー
ータ
ター
ー説
subject_simple_name:<name>
subject_friendly_name:<name>
issuer_simple_name:<name>
ssuer_friendly_name:<name>
key_size:<size>
すべての証明書を転送します。フィルターに掛けないでください。
コマンド・ラインに関する情報は提供しませんが、正しい使用法を判別するために使用される関数
によって、受け渡されたコマンドが正しいかどうかに応じて、trueまたはfalseが返されます。
説
明
説
明
説明
明
証明書の発行先の名前と一致するすべての証明書を転送し
ます。所有者の名前は<name>に指定します。
証明書の発行先のフレンドリー名と一致するすべての
証明書を転送します。フレンドリー名は<name>に指定
します。
証明書を発行した証明機関の名前と一致するすべての
証明書を転送します。証明機関の名前は<name>に指定
します。
証明書を発行した証明機関のフレンドリー名と一致するす
べての証明書を転送します。証明機関のフレンドリー名
は<name>に指定します。
鍵サイズ<size>(ビット単位)で暗号化されたすべての証明
書を転送します。これは完全一致突き合わせ基準である
ことに注意してください。プログラムは、そのサイズ以
上またはそのサイズ以下の鍵サイズで暗号化された証明
書を検索しません。
TPM
TPM
TPM
TPM有
有
効
化
ツ
ー
有
効
化
有効
ツ
効化
化ツ
ツー
ル
ー
ル
ール
ル
tpm_activate_cmd.exeファイルは、Lenovoシステム上でTPMを有効化または無効化するために使用
されます。
:
注
:
注
:このコマンドを実行するためには、管理者権限が必要です。
注:
注
表 17. Lenovo シ ス テ ム で TPM を 有 効 化 ま た は 無 効 化 す る た め の パ ラ メ ー タ ー
パ
ラ
メ
ー
タ
パ
ラ
パ
パラ
ラメ
/helpまたは/?
/biospw:password
/deactivate
/verbose
:
例
:
例
:
例:
例
tpm_activate_cmd.exe/?
tpm_activate_cmd.exe/verbose
tpm_activate_cmd.exe/biospw:pass
ー
メ
ー
タ
ー
メー
ータ
ター
ー説
説
明
説
明
説明
明
パラメーターのリストを表示します。
BIOSスーパーバイザーまたは管理者のパスワードが設
定されている場合は、それを指定します。
TPMを無効化します。
注
:
注
:
注
注:
:パラメーター/deactivateを指定して
tpm_activate_cmd.exeを実行すると、デフォルトでTPM
が有効化されます。
テキスト出力を表示します。
第3章.ClientSecuritySolutionでの作業39
Page 46
Active
Active
Active
ActiveDirectory
ActiveDirectoryはディレクトリー・サービスです。ディレクトリーは、ユーザーおよびリソースに関
する情報が保存されている場所です。ディレクトリー・サービスによりアクセスが許可されるため、
これらのリソースを操作することができます。
ActiveDirectoryが提供する機構により、管理者はPC、グループ、ユーザー、ドメイン、セキュリティー・
ポリシー、およびすべてのタイプのユーザー定義オブジェクトを管理する機能を得られます。Active
Directoryがこの機能を付与するために使用するメカニズムのことを、グループポリシーといいます。管理
者は、グループポリシーを使用して、PCやユーザーに適用できる設定をドメインの中に定義します。
現在ThinkVantageTechnology製品が使用している、プログラム設定の制御に使用する設定値を収集する方
式には、特定のアプリケーション定義レジストリー項目からの読み取りなど、さまざまな方式があります。
以下に、ActiveDirectoryが管理できるClientSecuritySolutionの設定の例を示します。
•セキュリティー・ポリシー
•カスタム・セキュリティー・ポリシー(WindowsパスワードまたはClientSecuritySolutionパスフ
管
管
管
管理
ADM(管理用)テンプレート・ファイルは、クライアントPC上のアプリケーションで使用されるポリシー
設定を定義します。ポリシーとは、アプリケーションの動作を管理する特定の設定のことです。ポリシー
設定は、ユーザーがアプリケーションを使用して特定の設定値を設定できるかどうかも定義します。
Directory
Directory
Directoryの
レーズを使用するかどうか、など)
理
用
理
用
理用
用(ADM)テ
の
サ
ポ
の
のサ
テ
ン
テ
ン
テン
ンプ
ー
サ
ポ
ー
サポ
ポー
ート
プ
レ
ー
プ
レ
ー
プレ
レー
ート
ト
ト
ト
ト
・
フ
ァ
イ
ト
・
フ
ト・
・フ
ファ
ル
ァ
イ
ル
ァイ
イル
ル
サーバー上の管理者が定義する設定は、ポリシーとして定義されます。クライアントPC上のユーザーが
定義する、アプリケーションに関する設定は、プリファレンスとして定義されます。Microsoft社による定
義のとおりに、ポリシー設定はプリファレンスより優先します。
例えば、ユーザーは自分のデスクトップ上に背景イメージを表示することができます。これは、ユーザー
のプリファレンス設定です。管理者は、ユーザーが特定の背景イメージを使用しなければならないこと
を決定する設定をサーバー上で定義できます。管理者のポリシー設定は、ユーザーによるプリファレ
ンス設定をオーバーライドします。
ThinkVantageTechnology製品が設定を確認する際に、次の順序で設定を検索します。
•コンピューター・ポリシー
•ユーザー・ポリシー
•デフォルトのユーザー・ポリシー
•PCプリファレンス
•ユーザー・プリファレンス
•デフォルトのユーザー・プリファレンス
前述のように、コンピューター・ポリシーとユーザー・ポリシーは、管理者によって定義されます。XML
構成ファイルかActiveDirectoryのグループ・ポリシーを使用してこれらの設定値を初期化できます。PC
プリファレンスとユーザー・プリファレンスは、クライアントPC上のユーザーによって、アプリケー
ション・インターフェース内のオプションを使用して設定されます。デフォルトのユーザー・プリファレ
ンスは、XML構成スクリプトによって初期化されます。ユーザーは値を直接には変更しません。ユー
ザーがこれらの設定値に変更を加えるには、ユーザー・プリファレンスを更新します。
40ClientSecuritySolution8.21デプロイメント・ガイド
Page 47
ActiveDirectoryを使用していないお客様は、クライアント・システムにデプロイされるポリシー設定のデ
フォルト・セットを作成することができます。管理者は、XML構成スクリプトを変更して、製品のイン
ストール時にそれらが処理されるように指定することができます。
管
可
理
管
可能
理可
管理
管
定
設
能
定の
設定
能設
義
定
の
義
定義
の定
義
定
の
定
設
能
可
理
この例では、次の階層を使用して、グループポリシーエディター内に設定を表示します。
ComputerConguration>AdministrativeT emplates>ThinkVantageTechnologies>
ClientSecuritySolution>AuthenticationPolicies>MaxRetries>
Passwordnumberofretries
ADMファイルは、レジストリー内の、設定が反映される場所を示します。これらの設定は、レジ
ストリー内の次の場所になければなりません。
Computerpolicies:
HKLM¥Software¥Policies¥Lenovo¥ClientSecuritySolution¥
Userpolicies:
HKCU¥Software¥Policies¥Lenovo¥ClientSecuritySolution¥
Def aultuserpolicies:
HKLM¥Software¥Policies¥Lenovo¥ClientSecuritySolution¥Userdefaults
Computerpreferences:
HKLM¥Software¥Lenovo¥ClientSecuritySolution¥
Userpref erences:
HKCU¥Software¥Lenovo¥ClientSecuritySolution¥
Def aultuserpref erences:
HKLM¥Software¥Lenovo¥ClientSecuritySolution¥Userdefaults
グ
ル
ー
プ
・
ポ
リ
シ
ー
の
設
グ
ル
ー
プ
・
ポ
リ
シ
グ
グル
ルー
ープ
プ・
・ポ
ポリ
ー
リシ
シー
ーの
定
の
設
定
の設
設定
定
このセクションの表には、ClientSecuritySolutionのPC構成およびユーザー構成のポリシー設定が記載
されています。
再
試
再
試行
再試
再
最
の
行
最大
の最
行の
数
回
大
数
回数
大回
数
回
大
最
の
行
試
次の表に、『認証ポリシー』の『再試行の最大回数』のポリシー設定を示します。
コ
ン
ピ
ュ
ー
タ
の
構
成
➙
コ
ン
表 18. コ
ポ
リ
ポ
リ
ポ
ポリ
リシ
Passwordnumberof
retries
Passphrasenumberof
retries
Fingerprintnumberof
retries
り
よ
り
よ
り安
より
よ
ピ
コ ン
ン ピ
ピ ュ
シ
ー
シ
ー
シー
ー有
全
安
全
安
全
安全
ュ
ー
タ
の
ュ ー
構
ー タ
タ の
の 構
構 成
ThinkVantage
成
➙
ThinkVantage
成 ➙
➙ ThinkVantage
ThinkVantage ➙
有
効
有
効
有効
効な
再試行の最大回数
は20です。
再試行の最大回数
は20です。
再試行の最大回数
は20です。
な
な
な設
➙
Client
➙
➙ Client
設
定
設
定
設定
定説
Security
Client
Security
Client Security
Security Solution
ユーザーがポリシーをオーバーライドする前にWindowsパスワード
を使用して認証を試行できる最大回数を制御します。
ユーザーがポリシーをオーバーライドする前にClientSecurityパス
フレーズを使用して認証を試行できる最大回数を制御します。
ユーザーがポリシーをオーバーライドする前に指紋を使用して認証
を試行できる最大回数を制御します。
Solution
Solution
Solution ➙
➙
➙
➙ 認
認
証
ポ
リ
シ
ー
➙
再
試
行
の
最
大
回
認
証
ポ
リ
シ
ー
➙
再
試
行
認 証
証 ポ
ポ リ
リ シ
シ ー
ー ➙
➙ 再
説
明
説
明
説明
明
の
再 試
試 行
行 の
の 最
数
最
大
回
数
最 大
大 回
回 数
数
次の表に、『認証ポリシー』の『より安全』のポリシー設定を示します。
コ
ン
ピ
ュ
ー
タ
の
構
成
➙
管
理
用
テ
ン
プ
レ
ー
ト
➙
表 19. コ
保
護
保
保
保 護
コ
ン
ピ
ュ
ー
タ
の
構
成
➙
管
理
用
テ
ン
プ
レ
コ ン
ン ピ
ピ ュ
ュ ー
ー タ
タ の
の 構
構 成
成 ➙
➙ 管
管 理
理 用
用 テ
テ ン
モ
ー
ド
護
モ
ー
ド
護 モ
モ ー
ー ド
ド
ー
ン プ
プ レ
レ ー
ー ト
ト
➙
ト ➙
➙ ThinkVantage
ThinkVantage
ThinkVantage
ThinkVantage ➙
➙
Client
➙
➙ Client
Security
Client
Security
Client Security
Security Solution
Solution
Solution
Solution ➙
➙
認
証
ポ
リ
➙
認
➙ 認
認 証
シ
証
ポ
リ
シ
証 ポ
ポ リ
リ シ
シ ー
ー
➙
ー
➙
ー ➙
➙
ポ
リ
シ
ポ
リ
シ
ポ
ポリ
リシ
シー
パスワード
Passphrase
ー
ー
ー有
有
有
有効
頻度を『Every
(
ロ
(
ロ
(
(ロ
ログ
頻度を『Every
(
ロ
(
ロ
(
(ロ
ログ
効
な
設
定
効
な
設
定
効な
な設
設定
定説
Every
time
(
毎
回
Every
time
Everytime
time(
グ
オ
ン
の
度
に
グ
オ
ン
グオ
オン
ンの
Every
Every
Everytime
グ
オ
ン
グ
オ
ン
グオ
オン
ンの
1
の
度
に
の度
度に
に1
time
time
time(
の
度
に
1
の
度
に
の度
度に
に1
)
(
毎
回
)
(毎
毎回
回)
)』または『Once
回
)
1
回
)
1回
回)
)』に設定します。
(
毎
回
)
(
毎
回
)
(毎
毎回
回)
)』または『Once
回
)
1
回
)
1回
回)
)』に設定します。
Once
Once
Onceper
Once
Once
Onceper
説
明
説
明
説明
明
per
logon
per
logon
perlogon
logon
per
logon
per
logon
perlogon
logon
パスワードが必要であるかどうかを
制御します。
パスフレーズが必要であるかどうかを
制御します。
第3章.ClientSecuritySolutionでの作業41
Page 48
表 19. コ
保
護
保
護
保
保 護
護 モ
ポ
ポ
ポ
ポリ
指紋
コ
ン
コ
ン
コ ン
ン ピ
モ
ー
ド
モ
ー
ド
モ ー
ー ド
ド ( 続 き )
リ
シ
ー
リ
シ
ー
リシ
シー
ー有
ピ
ュ
ー
タ
の
構
成
➙
管
理
用
テ
ン
プ
レ
ー
ト
➙
ピ
ュ
ー
タ
の
構
成
➙
管
理
用
テ
ン
プ
レ
ピ ュ
ュ ー
ー タ
タ の
の 構
構 成
成 ➙
➙ 管
管 理
理 用
用 テ
テ ン
有
効
な
設
有
有効
頻度を『Every
(
ロ
(
ロ
(
(ロ
ログ
定
効
な
設
定
効な
な設
設定
定説
Every
time
Every
time
Everytime
time(
グ
オ
ン
の
度
グ
オ
グオ
オン
に
ン
の
度
に
ンの
の度
度に
に1
ー
ン プ
プ レ
レ ー
ー ト
(
毎
回
(
毎
回
(毎
毎回
回)
1
回
)
1
回
)
1回
回)
)』に設定します。
ト
➙
ト ➙
➙ ThinkVantage
)
)
)』または『Once
ThinkVantage
ThinkVantage
ThinkVantage ➙
Once
Once
Onceper
➙
Client
➙
➙ Client
per
per
perlogon
Security
Client
Security
Client Security
Security Solution
説
説
説明
logon
logon
logon
指紋が必要であるかどうかを制御し
ます。
Solution
Solution
Solution ➙
明
明
明
➙
認
証
ポ
リ
シ
ー
➙
認
証
ポ
➙ 認
認 証
証 ポ
ポ リ
➙
リ
シ
ー
リ シ
➙
シ ー
ー ➙
➙
無効にするパスワード、パスフレーズ、または指紋をオー
バーライドするように設定します。
ド
ー
モ
・
ト
ル
ォ
フ
デ
ォ
フ
デ
ォル
フォ
デフ
デ
・
ト
ル
・モ
ト・
ルト
ド
ー
モ
ド
ード
モー
通常の認証が失敗した場合の『フォー
ルバック』認証の要件を定義します。
次の表に、『認証ポリシー』の『デフォルト・モード』のポリシー設定を示します。
コ
ン
ピ
ュ
ー
タ
の
構
成
➙
管
理
用
テ
ン
プ
レ
ー
ト
➙
コ
ン
ピ
ュ
ー
タ
の
構
成
➙
管
理
用
テ
ン
プ
レ
表 20. コ
コ ン
ン ピ
ピ ュ
ュ ー
ー タ
タ の
の 構
構 成
成 ➙
➙ 管
管 理
理 用
用 テ
テ ン
➙
デ
フ
ォ
ル
ト
・
モ
ー
➙
デ
フ
ォ
ル
➙
➙ デ
デ フ
ポ
リ
ポ
リ
ポ
ポリ
リシ
パスワード
Passphrase
指紋
無効にするパスワード、パスフレーズ、または指紋をオー
証
認
証
認
証ポ
認証
認
ト
フ ォ
ォ ル
ル ト
ト ・
シ
ー
シ
ー
シー
ー有
シ
リ
ポ
シ
リ
ポ
シー
リシ
ポリ
ド
・
モ
ー
ド
・ モ
モ ー
ー ド
ド
有
効
な
設
有
有効
頻度を『Every
(
ロ
(
ロ
(
(ロ
ログ
頻度を『Every
(
ロ
(
ロ
(
(ロ
ログ
頻度を『Every
(
ロ
(
ロ
(
(ロ
ログ
バーライドするように設定します。
ー
ー
ー
定
効
な
設
定
効な
な設
設定
定説
Every
time
Every
time
Everytime
time(
グ
オ
ン
の
度
グ
オ
グオ
オン
グ
オ
グ
オ
グオ
オン
グ
オ
グ
オ
グオ
オン
に
ン
の
度
に
ンの
の度
度に
に1
Every
time
Every
time
Everytime
time(
ン
の
度
に
ン
の
度
に
ンの
の度
度に
に1
Every
time
Every
time
Everytime
time(
ン
の
度
に
ン
の
度
に
ンの
の度
度に
に1
ー
ン プ
プ レ
レ ー
ー ト
(
毎
回
(
毎
回
(毎
毎回
回)
1
回
)
1
回
)
1回
回)
)』に設定できます。
(
毎
回
(
毎
回
(毎
毎回
回)
1
回
)
1
回
)
1回
回)
)』に設定できます。
(
毎
回
(
毎
回
(毎
毎回
回)
1
回
)
1
回
)
1回
回)
)』に設定できます。
ト
➙
ト ➙
➙ ThinkVantage
)
)
)』または『Once
)
)
)』または『Once
)
)
)』または『Once
ThinkVantage
ThinkVantage
ThinkVantage ➙
Once
Once
Onceper
Once
Once
Onceper
Once
Once
Onceper
➙
Client
➙
➙ Client
per
logon
per
logon
perlogon
logon
per
logon
per
logon
perlogon
logon
per
logon
per
logon
perlogon
logon
Security
Client
Security
Client Security
Security Solution
説
説
説明
パスワードが必要であるかどうかを制
御します。
パスフレーズが必要であるかどうかを
制御します。
指紋が必要であるかどうかを制御しま
す。
通常の認証が失敗した場合の『フォー
ルバック』認証の要件を定義します。
Solution
Solution
Solution ➙
明
明
明
➙
認
証
ポ
➙
➙ 認
リ
認
証
ポ
リ
認 証
証 ポ
ポ リ
リ シ
次のポリシーのリストには、各ポリシーの認証レベルを定義する有効な設定が記載されています。
•Windowslogon(Windowsへのログオン)
•Systemunlock(PCのロック解除)
•Passwordmanager(PasswordManagerを開く)
•CSPsignature(CSPシグニチャー)
•CSPdecryption(CSP暗号化解除)
•PKCS#11signature(PKCS#11シグニチャー)
•PKCS#11decryption(PKCS#11暗号化解除)
•PKCS#11logon(PKCS#11ログオン)
シ
ー
シ
ー
シ ー
ー
次の表に、上記の認証レベルに対する値および設定を示します。
コ
ン
ピ
ュ
ー
タ
の
構
成
➙
管
理
用
テ
ン
プ
レ
ー
ト
➙
コ
ン
ピ
ュ
ー
タ
の
構
成
➙
管
理
用
テ
ン
プ
レ
表 21. コ
コ ン
ン ピ
ピ ュ
ュ ー
ー タ
タ の
の 構
構 成
成 ➙
➙ 管
管 理
理 用
用 テ
テ ン
ポ
リ
シ
ー
ポ
リ
シ
ー
ポ
ポリ
リシ
シー
ー有
パスワード
Passphrase
指紋
無効にするパスワード、パスフレーズ、または指紋をオー
有
効
な
設
有
有効
頻度を『Every
(
ロ
(
ロ
(
(ロ
ログ
頻度を『Every
(
ロ
(
ロ
(
(ロ
ログ
頻度を『Every
(
ロ
(
ロ
(
(ロ
ログ
バーライドするように設定します。
定
効
な
設
定
効な
な設
設定
定説
Every
Every
Everytime
グ
オ
ン
の
度
グ
オ
グオ
オン
グ
オ
グ
オ
グオ
オン
グ
オ
グ
オ
グオ
オン
に
ン
の
度
に
ンの
の度
度に
に1
Every
Every
Everytime
ン
の
度
に
ン
の
度
に
ンの
の度
度に
に1
Every
Every
Everytime
ン
の
度
に
ン
の
度
に
ンの
の度
度に
に1
ン プ
time
time
time(
time
time
time(
time
time
time(
プ レ
レ ー
(
毎
(
毎
(毎
毎回
1
回
1
回
1回
回)
(
毎
(
毎
(毎
毎回
1
回
1
回
1回
回)
(
毎
(
毎
(毎
毎回
1
回
1
回
1回
回)
ー
ー ト
)
)
)』に設定します。
)
)
)』に設定します。
)
)
)』に設定します。
ト
ト ➙
回
)
回
)
回)
)』または『Once
回
)
回
)
回)
)』または『Once
回
)
回
)
回)
)』または『Once
ThinkVantage
➙
ThinkVantage
➙ ThinkVantage
ThinkVantage ➙
Once
Once
Onceper
Once
Once
Onceper
Once
Once
Onceper
per
per
perlogon
per
per
perlogon
per
per
perlogon
42ClientSecuritySolution8.21デプロイメント・ガイド
➙
Client
➙
➙ Client
Security
Client
Security
Client Security
Security Solution
logon
logon
logon
logon
logon
logon
logon
logon
logon
Solution
Solution
Solution ➙
説
明
説
明
説明
明
パスワードが必要であるかどうかを
制御します。
パスフレーズが必要であるかどうかを
制御します。
指紋が必要であるかどうかを制御し
ます。
通常の認証が失敗した場合の『フォー
ルバック』認証の要件を定義します。
➙
認
証
ポ
リ
シ
➙
認
証
➙ 認
認 証
証 ポ
ー
ポ
リ
シ
ー
ポ リ
リ シ
シ ー
ー
Page 49
Password
Password
PasswordManager
Password
Manager
Manager
Manager
次の表に、PasswordManagerのポリシー設定を示します。
コ
ン
ピ
ュ
ー
タ
の
構
成
➙
コ
ン
表 22. コ
ポ
リ
ポ
リ
ポ
ポリ
リシ
DisablePasswordmanager
DisableInternetExplorersupport
DisableMozillasupport
DisablesupportforWindowsapplications
DisableAuto-fill
DisableHotkeysupport
UseDomainfiltering
ProhibitedDomains
ProhibitedURLs
ProhibitedModules
Auto-fillHotkey
TypeandTransferHotkey
ManageHotkey
ピ
コ ン
ン ピ
ピ ュ
シ
ー
設
定
シ
ー
設
定
シー
ー設
設定
定説
ュ
ー
タ
の
ュ ー
構
ー タ
タ の
の 構
構 成
成
➙
成 ➙
➙ ThinkVantage
ThinkVantage
ThinkVantage
ThinkVantage ➙
➙
Client
➙
➙ Client
説
説
説明
システム始動時にPasswordManagerが開始するかどうかを制御します。
PasswordManagerがInternetExplorerからパスワードを保存できるかど
うかを制御します。
PasswordManagerがMozillaベース・ブラウザー(FirefoxおよびNetscape
など)からパスワードを保存できるかどうかを制御します。
PasswordManagerがWindowsアプリケーションからパスワードを保存で
きるかどうかを制御します。
PasswordManagerがWebサイトおよびWindowsアプリケーションへの
データのAuto-fillを行うかどうかを制御します。
PasswordManagerがWebサイトおよびWindowsアプリケーションに
データを入力するためのホット・キーの使用をサポートするかどうか
を制御します。
PasswordManagerがドメインに基づいてWebサイトをフィルタリングす
るかどうかを制御します。
PasswordManagerがパスワードの保存を禁止されているドメインを制
御します。
PasswordManagerがパスワードの保存を禁止されているURLを制御し
ます。
PasswordManagerがパスワードの保存を禁止されているWindowsアプリ
ケーションを制御します。
Auto-fillHotkeyのCtrl+F2を制御します。
TypeandTransferHotkeyのCtrl+Shift+Hを制御します。
ホット・キーのCtrl+Shift+Bを制御します。
Security
Client
Security
Client Security
Security Solution
明
明
明
Solution
Solution
Solution ➙
➙
Password
➙
Password
➙ Password
Password Manager
Manager
Manager
Manager
Interface
User
Interface
User
Interface
UserInterface
User
次の表に、『ユーザー・インターフェース』のポリシー設定を示します。
コ
ン
ピ
ュ
ー
タ
の
構
成
➙
コ
ン
ピ
ュ
表 23. コ
コ ン
ポ
リ
シ
ー
ポ
リ
シ
ー
ポ
ポリ
リシ
シー
ー設
Fingerprintsoftwareoption
Fileencryptionoption
Securitysettingsauditoption
Digitalcertificatetransferoption
Changesecuritychipstatusoption
ー
ン ピ
ピ ュ
ュ ー
ー タ
設
定
設
定
設定
定説
成
➙
成 ➙
➙ ThinkVantage
ThinkVantage
ThinkVantage
ThinkVantage ➙
タ
の
構
タ の
の 構
構 成
➙
Client
➙
➙ Client
説
説
説明
ClientSecuritySolutionの指紋認証ソフトウェアのオプションを表示する
か、ぼかすか、非表示にします。デフォルト:表示。
ClientSecuritySolutionのファイル暗号化オプションを表示するか、ぼかす
か、非表示にします。デフォルト:表示。
ClientSecuritySolutionのセキュリティー設定の監査オプションを表示する
か、ぼかすか、非表示にします。デフォルト:表示。
ClientSecuritySolutionのディジタル証明書の転送オプションを表示する
か、ぼかすか、非表示にします。デフォルト:表示。
ClientSecuritySolutionのセキュリティー・チップの状態オプションを表示
するか、ぼかすか、非表示にします。デフォルト:表示。
Security
Client
Security
Client Security
Security Solution
明
明
明
Solution
Solution
Solution ➙
➙
ユ
ー
ザ
➙
ユ
ー
➙ ユ
ザ
ユ ー
ー ザ
ザ ー
第3章.ClientSecuritySolutionでの作業43
ー
・
イ
ン
タ
ー
フ
ェ
ー
ー
・
イ
ン
タ
ー ・
・ イ
ー
イ ン
ン タ
タ ー
ー フ
ス
フ
ェ
ー
ス
フ ェ
ェ ー
ー ス
ス
Page 50
コ
ン
ピ
ュ
ー
タ
コ
ン
表 23. コ
ポ
リ
ポ
リ
ポ
ポリ
リシ
Clearsecuritychiplockoutoption
Policymanageroption
Reset/Configuresettingsoption
Passwordmanageroption
HardwarePasswordResetoption
Windowspasswordrecoveryoption
Changeauthenticationmodeoption
Enable/disableWindowspasswordrecovery
option
Enable/disablePasswordManageroption
ピ
コ ン
ン ピ
ピ ュ
シ
ー
設
シ
ー
設
シー
ー設
設定
の
ュ
ー
タ
の
ュ ー
ー タ
タ の
の 構
定
定
定説
構
成
➙
成
➙
成 ➙
➙ ThinkVantage
ThinkVantage
ThinkVantage
ThinkVantage ➙
構
構 成
➙
Client
➙
➙ Client
説
説
説明
ClientSecuritySolutionのセキュリティー・チップのロック解除オプション
を表示するか、ぼかすか、非表示にします。デフォルト:表示。
ClientSecuritySolutionのPolicymanagerオプションを表示するか、ぼかす
か、非表示にします。デフォルト:表示。
ClientSecuritySolutionアプリケーションの『構成ウィザード』オプション
を表示するか、ぼかすか、非表示にします。デフォルト:表示。
ClientSecuritySolutionのPasswordmanagerオプションを表示するか、ぼ
かすか、非表示にします。デフォルト:表示。
ClientSecuritySolutionのハードウェア・パスワードのリセット・オプショ
ンを表示するか、ぼかすか、非表示にします。デフォルト:表示。
ClientSecuritySolutionのWindowsパスワードの復元オプションを表示す
るか、ぼかすか、非表示にします。デフォルト:表示。
ClientSecuritySolutionアプリケーションの『認証モードの変更』オプショ
ンを表示するか、ぼかすか、非表示にします。デフォルト:表示。
ClientSecuritySolutionの、Windowsパスワードの復元を有効/無効にす
るためのオプションを表示するか、ぼかすか、非表示にします。デ
フォルト:表示。
ClientSecuritySolutionの、PasswordManagerを有効/無効にするためのオプ
ションを表示するか、ぼかすか、非表示にします。デフォルト:表示。
Security
Client
Security
Client Security
Security Solution
明
明
明
Solution
Solution
Solution ➙
➙
ユ
ー
ザ
ー
・
イ
ン
タ
ー
フ
ェ
ー
➙
ユ
ー
ザ
ー
・
イ
ン
タ
➙ ユ
ユ ー
ー ザ
ザ ー
ー ・
・ イ
ー
イ ン
ン タ
タ ー
ー フ
ス
フ
ェ
ー
ス
フ ェ
ェ ー
ー ス
ス ( 続 き )
ワ
ク
ー
ワ
クス
ーク
ワー
ワ
ー
テ
ス
ーシ
テー
ステ
ン
ョ
シ
ン・
ョン
ショ
キ
セ
・
キュ
セキ
・セ
テ
リ
ュ
ティ
リテ
ュリ
・
ー
ィ
・ツ
ー・
ィー
ル
ー
ツ
ル
ール
ツー
ル
ー
ツ
・
ー
ィ
テ
リ
ュ
キ
セ
・
ン
ョ
シ
ー
テ
ス
ク
ー
次の表に、『ワークステーション・セキュリティー・ツール』のポリシー設定を示します。
コ
ン
ピ
ュ
ー
タ
の
構
成
➙
コ
ン
ピ
ュ
ー
タ
の
表 24. コ
コ ン
ン ピ
ピ ュ
ュ ー
ポ
リ
シ
ー
ポ
リ
シ
ー
ポ
ポリ
リシ
シー
ー設
ハードウェア・パスワー
ド
ハードウェア・パスワー
ド
ハードウェア・パスワー
ド
ハードウェア・パスワー
ド
WindowsUsersPasswordsWindowsUsersPasswords
WindowsUsersPasswordsPassword
WindowsUsersPasswordsPasswordAge
WindowsUsersPasswordsPasswordneverexpires
WindowsPasswordPolicyWindowsPasswordPolicy
WindowsPasswordPolicyMinimumnumberofcharacters
構
ー タ
タ の
の 構
構 成
ThinkVantage
成
➙
ThinkVantage
成 ➙
➙ ThinkVantage
ThinkVantage ➙
設
定
設
定
設定
定説
ハードウェア・パスワード
Power-OnPassword
HardDrivePassword
AdministratorPassword
inthepassword
➙
Client
➙
➙ Client
Security
Client
Security
Client Security
Security Solution
Solution
Solution
Solution ➙
説
説
説明
ハードウェア・パスワード情報の表示を有効または無効
にします。
推奨値を有効または無効として選択するか、この設定を
無視することを選択します。
推奨値を有効または無効として選択するか、この設定を
無視することを選択します。
推奨値を有効または無効として選択するか、この設定を
無視することを選択します。
Windowsユーザー・パスワード情報の表示を有効または
無効にします。
推奨値を有効または無効として選択するか、この設定を
無視することを選択します。
パスワードが許可される最大日数。
推奨値を『True』、『False』、または『無視(Ignore)』に
設定することができます。
Windowsパスワード・ポリシー情報の表示を有効または
無効にします。
パスワードの最小文字数を指定するか、この値を『無
視』します。
➙
ワ
ー
ク
ス
テ
ー
シ
ョ
ン
・
セ
➙
ワ
ー
ク
ス
テ
ー
シ
➙ ワ
ワ ー
ー ク
ク ス
ス テ
明
明
明
ョ
テ ー
ー シ
シ ョ
ョ ン
キ
ン
・
セ
キ
ン ・
・ セ
セ キ
キ ュ
ュ
リ
テ
ィ
ー
・
ツ
ー
ュ
リ
テ
ィ
ュ リ
ー
リ テ
テ ィ
ィ ー
ー ・
ル
・
ツ
ー
ル
・ ツ
ツ ー
ー ル
ル
44ClientSecuritySolution8.21デプロイメント・ガイド
Page 51
コ
ン
ピ
ュ
ー
タ
の
構
成
➙
コ
ン
ピ
ュ
ー
タ
の
表 24. コ
コ ン
ン ピ
ピ ュ
ュ ー
ツ
ー
ル
ツ
ー
ル
ツ
ツ ー
ー ル
ル ( 続 き )
ポ
リ
シ
ー
ポ
リ
シ
ー
ポ
ポリ
リシ
シー
ー設
WindowsPasswordPolicyMaximumpasswordage
ScreenSaverScreenSaver
ScreenSaver
ScreenSaver
FileSharingFileSharing
FileSharingAuthorizedaccess
ClientSecurityClientSecurity
ClientSecurityEmbeddedSecurityChip
ClientSecurityClientSecuritySolutionVersion
構
ー タ
タ の
の 構
構 成
ThinkVantage
成
➙
ThinkVantage
成 ➙
➙ ThinkVantage
ThinkVantage ➙
設
定
設
定
設定
定説
ScreenSaverpasswordset
ScreenSavertimeout
➙
Client
➙
➙ Client
Security
Client
Security
Client Security
Security Solution
Solution
Solution
Solution ➙
説
明
説
明
説明
明
パスワードの最大使用日数(日数)を設定するか、結果で
この値を『無視』します。
Windowsパスワード・ポリシー情報の表示を有効または
無効にします。
パスワードの最小文字数を指定するか、この値を『無
視』します。
パスワードの最大使用日数(日数)を設定するか、結果で
この値を『無視』します。
ファイル共有情報の表示を有効または無効にします。
推奨値を『True』、『False』、または『無視(Ignore)』に
設定することができます。
ClientSecurity情報の表示を有効または無効にします。
推奨値を有効または無効として選択するか、この設定を
無視することを設定します。
ClientSecuritySolutionの最小推奨バージョンを設定する
か、『無視(Ignore)』を設定します。
➙
ワ
ー
ク
ス
テ
ー
シ
ョ
ン
・
セ
キ
ュ
リ
テ
ィ
➙
ワ
ー
ク
ス
テ
ー
シ
ョ
ン
・
セ
キ
➙ ワ
ワ ー
ー ク
ク ス
ス テ
テ ー
ー シ
シ ョ
ョ ン
ン ・
ュ
・ セ
セ キ
キ ュ
ュ リ
ー
リ
テ
ィ
ー
リ テ
テ ィ
ィ ー
ー ・
・
・
・
Active
Active
Active
ActiveUpdate
Update
Update
Update
SystemUpdateはローカル・システム上の更新クライアントPCを使用して、ユーザーとの対話を行わずに
Web上の希望するパッケージを配信します。SystemUpdateは更新されたクライアントPCを照会し、使用
可能な更新クライアントPCを使用して希望するパッケージをインストールします。SystemUpdateは
ThinkVantageSystemUpdateか、システム上のソフトウェア導入支援を起動します。
SystemUpdateLauncherがインストール済みかどうかを判別するには、次のレジストリー・キーの存在
を確認します。
HKLM¥software¥lenovo¥ActiveUpdate
SystemUpdateを呼び出すには、呼び出し側ThinkVantageテクノロジー・プログラムがSystemUpdateラン
チャー・プログラムを起動して、パラメーター・ファイルを渡す必要があります。(パラメーター・ファ
イルの説明については、『SystemUpdateパラメーター・ファイル』を参照してください。)
すべてのThinkVantageテクノロジー・プログラムのヘルプ・メニューからSystemUpdateLauncherのメ
ニュー項目を無効にするには、次の手順に従います。
1.HKLM¥software¥lenovo¥ActiveUpdateレジストリー・キーに進む。
2.ActiveUpdateキーの名前を変更するか削除する。
System
System
SystemUpdate
System
Update
Update
Updateパ
パ
ラ
パ
ラメ
パラ
タ
ー
メ
ター
ータ
メー
フ
・
ー
ファ
・フ
ー・
ル
イ
ァ
ル
イル
ァイ
ル
イ
ァ
フ
・
ー
タ
ー
メ
ラ
SystemUpdateパラメーター・ファイルには、SystemUpdateに渡される設定が含まれています。次の例で
示すようにTargetAppパラメーターが渡されます。
<root>
<TargetApp>ACCESSLENOVO</T argetApp>
</root>
<root>
<TargetApp>1EA5A8D5-7E33-11D2-B802-00104B21678D</T argetApp>
</root>
第3章.ClientSecuritySolutionでの作業45
Page 52
46ClientSecuritySolution8.21デプロイメント・ガイド
Page 53
第
4
章
第
4
第
第4
4章
指紋コンソールは指紋認証ソフトウェア・インストール・フォルダーから実行する必要がありま
す。基本的な構文はFPRCONSOLE[USER|SETTINGS]です。USERコマンドまたはSETTINGSコマン
ドは、使用する操作モードを指定します。完全なコマンドは『fprconsoleuseraddTestUser』のようにな
ります。コマンドがわからない場合やすべてのパラメーターが指定されていない場合は、短いコマン
ド・リストがパラメーターと共に表示されます。
FingerprintSoftwareおよびManagementConsoleをダウンロードするには、次のLenovoWebサイトを参照し
てください。
http://www.lenovo.com/support/site.wss/document.do?sitestyle=lenovo&lndocid=HOME-LENOVO
管
理
コ
管
理
コ
管
管理
理コ
コン
このセクションでは、ユーザー固有コマンドとグローバル設定のコマンドに関する情報を提供します。
ユ
ー
ザ
ユ
ー
ザ
ユ
ユー
ーザ
ザー
ユーザーの登録や編集を行う場合は、USERセクションを使用します。現行ユーザーが管理者権限を持っ
ていない場合、コンソールの振る舞いは指紋認証ソフトウェアのセキュリティー・モードによって異なり
ます。保護モード:どのコマンドも許可されません。簡易モード:標準ユーザーでは、ADD、EDIT、
およびDELETEコマンドが使用できます。ただし、ユーザーは自分のパスポート(ユーザー名で登録)
しか変更できません。構文は次のとおりです。
FPRCONSOLEUSERcommand
ThinkVantage
章
ThinkVantage
章ThinkVantage
ThinkVantage指
ン
ソ
ー
ン
ソ
ー
ンソ
ソー
ール
ー
固
有
ー
固
有
ー固
固有
有コ
ル
・
ツ
ル
・
ツ
ル・
・ツ
ツー
コ
マ
ン
コ
マ
ン
コマ
マン
ンド
指
紋
認
証
ソ
フ
ト
ウ
ェ
ア
で
の
作
指
紋
認
証
ソ
フ
ト
ウ
ェ
ア
で
指紋
紋認
認証
証ソ
ソフ
フト
トウ
ウェ
ェア
アで
ー
ル
ー
ル
ール
ル
ド
ド
ド
の
での
の作
業
作
業
作業
業
ここで、commandはADD、EDIT、DELETE、LIST、IMPORT、EXPORTのいずれかのコマンドです。
表 25. ユ ー ザ ー 固 有 コ マ ン ド
コ
マ
ン
ド
コ
マ
ン
ド
コ
コマ
マン
ンド
ド構
新規ユーザーの登録
例
:
例
例
例: :
fprconsoleuseradd
domain0¥testuser
fprconsoleuseradd
testuser
登録ユーザーの編集
例
:
例
例
例: :
fprconsoleuseredit
domain0¥testuser
fprconsoleuseredit
testuser
構
文
構
文
構文
文説
ADD[username[|domain¥
username]]
EDIT[username[|domain¥
username]]
説
明
説
明
説明
明
ユーザー名が指定されない場合は、現
行ユーザー名が使用されます。
ユーザー名が指定されない場合は、現
行ユーザー名が使用されます。
注
:
注
:
注
注:
:登録されるユーザーはまず自分の
指紋を検査する必要があります。
©CopyrightLenovo2008,2012
47
Page 54
表 25. ユ ー ザ ー 固 有 コ マ ン ド ( 続 き )
コ
マ
ン
ド
コ
マ
ン
ド
コ
コマ
マン
ンド
ド構
ユーザーの削除
例
:
例
例
例: :
fprconsoleuserdelete
domain0¥testuser
fprconsoleuserdelete
testuser
fprconsoleuserdelete
/ALL
登録ユーザーの列挙
構
文
構
文
構文
文説
DELETE[username[|domain¥
username|/ALL]]
List
説
明
説
明
説明
明
/ALLフラグは、このPCに登録され
ているすべてのユーザーを削除しま
す。ユーザー名が指定されない場合
は、現行ユーザー名が使用されます。
登録されたユーザーをリストします。
登録ユーザーのファイルへの
エクスポート
登録ユーザーのインポート
グ
ロ
ー
バ
ル
設
定
グ
ロ
ー
バ
グ
グロ
ロー
指紋認証ソフトウェアのグローバル設定は、SETTINGSセクションによって変更できます。このセクショ
ンのすべてのコマンドには、管理者権限が必要です。構文は次のとおりです。
FPRCONSOLESETTINGScommand
ここで、commandはSECUREMODE、LOGON、CAD、TBX、SSOのいずれかのコマンドです。
表 26. グ ロ ー バ ル 設 定 の コ マ ン ド
コ
マ
ン
コ
マ
ン
コ
コマ
マン
ンド
セキュリティー・モード
例
:
例
例
例: :
Tosettoconvenientmode:
fprconsolesettings
securemode0
ログオン・タイプ
CTRL+ALT+DELメッセージ
ル
ーバ
バル
ル設
ド
ド
ド構
の
設
定
の
設定
定の
のコ
構文:EXPORTusername
[|domain¥username]le
Syntax:IMPORTle
コ
マ
ン
コ
コマ
ド
マ
ン
ド
マン
ンド
ド
構
文
構
文
構文
文説
SECUREMODE0|1
LOGON0|1[/FUS]
CAD0|1
このコマンドは、登録ユーザーをハー
ドディスクのファイルにエクスポー
トします。ユーザーは次に、別のPC
上、またはユーザーが削除されてい
る場合は同じPC上のIMPORTコマン
ドを使用してインポートできます。
このコマンドは指定したファイルから
ユーザーをインポートします。
注
:
注
:
注
注:
:ファイル上のユーザーが同じ指紋
を使用してすでに同じPCに登録され
ている場合は、識別操作でどちらの
ユーザーが優先順位を持つかは保証
されません。
説
明
説
明
説明
明
この設定は、指紋認証ソフトウェアの簡易
モードと保護モードを切り替えます。
この設定は、ログオン・アプリケーション
を使用可能(1)、または使用不可(0)にしま
す。/FUSパラメーターを使用する場合、
PCの構成上可能であれば、ユーザーの簡
易切り替えモードでログオンが可能です。
この設定は、ログオンでの『Ctrl+Alt+Delete
を押す』テキストを使用可能(1)、または
使用不可(0)にします。
48ClientSecuritySolution8.21デプロイメント・ガイド
Page 55
表 26. グ ロ ー バ ル 設 定 の コ マ ン ド ( 続 き )
コ
マ
ン
ド
コ
マ
ン
ド
コ
コマ
マン
ンド
ド構
パワーオン・セキュリティー
パワーオン・セキュリティー・シン
グル・サインオン
保
護
モ
ー
ド
お
よ
び
簡
保
護
モ
ー
ド
お
保
保護
護モ
モー
ード
指紋認証ソフトウェアは、保護モードと簡易モードの2つのセキュリティー・モードで実行すること
ができます。保護モードは、より高レベルのセキュリティーが必要な状況を対象としています。特定
の機能は管理者にのみ、確保されています。追加認証をせず、パスワードを使用してログオンできる
のは管理者だけです。
簡易モードは高レベルのセキュリティーをそれほど重要視しない、家庭用PCを対象にしています。すべ
てのユーザーは、他のユーザーのパスポートの編集およびパスワードを使用して(指紋認証は行わない)
システムにログオンするなどの、すべての操作を実行できます。
よ
ドお
およ
よび
易
び
簡
易
び簡
簡易
易モ
構
文
構
文
構文
文説
TBX0|1
SSO0|1
モ
ー
ド
モ
ー
ド
モー
ード
ド
説
明
説
明
説明
明
この設定は、FingerprintSoftwareのパワー
オン・セキュリティー・サポートをグロー
バルにオフ(0)にします。パワーオン・
セキュリティー・サポートがオフになっ
ている場合は、BIOS設定に関係なく、パ
ワーオン・セキュリティー・ウィザード
やパワーオン・セキュリティー・ページ
は表示されません。
この設定は、ユーザーがBIOSで検査され
た際に、自動的にユーザーをログオンさ
せるためのlogonで、BIOSで使用される
指紋を使用可能(1)、または使用不可(0)
にします。
管 理 者
けが簡易モードに切り替えることができます。
保
保
保
保護
セキュリティーを強化するために、ログオンのとき、誤ったユーザー名やパスワードが入力された場
合は、保護モードでは次のメッセージが表示されます。『ユーザー名とパスワードでこのPCにログ
オンできるのは管理者だけです。』
表 27. 保 護 モ ー ド で の 管 理 者 用 オ プ シ ョ ン
は、ローカル管理者グループの任意のメンバーです。保護モードを設定した後は、管理者だ
護
モ
ー
ド
-
管
理
護
モ
ー
ド
-
護モ
モー
ード
指
紋
指
紋
指
指紋
紋説
新規パスポートの作成管理者は自分のパスポートを作成することができ、
パスポートの編集管理者は自分のパスポート
パスポートの削除管理者はすべての制限ユーザーとその他の管理者のパス
パワーオン・セキュリティー
ド-
管
-管
管理
者
理
者
理者
者
説
明
説
明
説明
明
また、制限ユーザーのパスポートも作成することがで
きます。
だ け
を編集できます。
ポートを削除できます。他のユーザーがパワーオン・セ
キュリティーを使用している場合、管理者はパワーオ
ン・セキュリティーからユーザー・テンプレートをオプ
ションで削除することができます。
管理者は、パワーオンで使用される制限ユーザーおよび
管理者の指紋を削除することができます。
注
:
注
:
注
注:
:パワーオン・モードが使用可能な場合は、少なくと
も1つの指紋がなければなりません。
設
定
設
定
設
設定
定
第4章.ThinkV antage指紋認証ソフトウェアでの作業49
Page 56
表 27. 保 護 モ ー ド で の 管 理 者 用 オ プ シ ョ ン ( 続 き )
指
紋
指
紋
指
指紋
紋説
ログオン設定管理者はすべてのログオン設定を変更できます。
保護スクリーン・セーバー管理者はアクセスできます。
説
明
説
明
説明
明
パスポート・タイプ
セキュリティー・モード
Proサーバー
保
護
モ
ー
ド
-
制
限
ユ
ー
ザ
保
護
モ
ー
ド
-
制
限
保
保護
護モ
モー
ード
ド-
-制
Windowsにログオン中は、制限ユーザーはログオンに指紋を使用する必要があります。制限ユーザーの指
紋センサーが作動していない場合は、管理者は指紋認証ソフトウェアの設定を簡易モードに変更して、
ユーザー名とパスワードによるアクセスを可能にする必要があります。
表 28. 保 護 モ ー ド で の 制 限 ユ ー ザ ー 用 オ プ シ ョ ン
設
定
設
定
設
設定
定説
新規パスポートの作成制限ユーザーはアクセスできません。
パスポートの編集制限ユーザーは自分のパスポートだけを編集できます。
パスポートの削除制限ユーザーは自分のパスポートだけを削除できます。
パワーオン・セキュリティー
ログオン設定
保護スクリーン・セーバー
ユ
制限
限ユ
ユー
ー
ー
ザ
ー
ーザ
ザー
ー
管理者はアクセスできます-サーバーと関連ある場合
のみです。
管理者は保護モードと簡易モードを切り替えることが
できます。
管理者はアクセスできます-サーバーと関連ある場合
のみです。
説
明
説
明
説明
明
制限ユーザーはアクセスできません。
制限ユーザーはログオン設定を変更できません。
制限ユーザーはアクセスできます。
パスポート・タイプ
セキュリティー・モード
Proサーバー
簡
易
モ
ー
ド
-
管
理
簡
易
モ
ー
ド
簡
簡易
易モ
モー
ード
Windowsへのログオン中は、管理者はユーザー名とパスワードを使用しても、指紋を使用してもログ
オンできます。
表 29. 簡 易 モ ー ド で の 管 理 者 用 オ プ シ ョ ン
設
定
設
定
設
設定
定説
新規パスポートの作成管理者は自分のパスポート
パスポートの編集管理者は自分のパスポート
パスポートの削除管理者は自分のパスポート
パワーオン・セキュリティー
ド-
-
-管
者
管
理
者
管理
理者
者
制限ユーザーはアクセスできません。
制限ユーザーはセキュリティー・モードを変更でき
ません。
制限ユーザーはアクセスできます-サーバーと関連ある
場合のみです。
説
明
説
明
説明
明
だ け
を作成できます。
だ け
を編集できます。
だ け
を削除できます。
管理者は、パワーオンで使用される制限ユーザーおよび
管理者の指紋を削除することができます。
注
:
注
:
注
注:
:パワーオン・モードが使用可能な場合は、少なく
とも1つの指紋がなければなりません。
50ClientSecuritySolution8.21デプロイメント・ガイド
Page 57
表 29. 簡 易 モ ー ド で の 管 理 者 用 オ プ シ ョ ン ( 続 き )
設
定
設
定
設
設定
定説
ログオン設定管理者はすべてのログオン設定を変更できます。
保護スクリーン・セーバー管理者はアクセスできます。
説
明
説
明
説明
明
パスポート・タイプ
セキュリティー・モード
Proサーバー
簡
易
モ
ー
ド
-
制
限
ユ
ー
ザ
簡
易
モ
ー
ド
-
制
限
簡
簡易
易モ
モー
ード
ド-
-制
Windowsへのログオン中は、制限ユーザーはユーザー名とパスワードを使用しても、指紋を使用して
もログオンできます。
表 30. 簡 易 モ ー ド で の 制 限 ユ ー ザ ー 用 オ プ シ ョ ン
設
定
設
定
設
設定
定説
新規パスポートの作成制限ユーザーは自分のパスワードだけを作成できます。
パスポートの編集制限ユーザーは自分のパスポートだけを編集できます。
パスポートの削除制限ユーザーは自分のパスポートだけを削除できます。
パワーオン・セキュリティー
ログオン設定
保護スクリーン・セーバー
ユ
制限
限ユ
ユー
ー
ー
ザ
ー
ーザ
ザー
ー
管理者はアクセスできます-サーバーと関連ある場合
のみです。
管理者は保護モードと簡易モードを切り替えることが
できます。
管理者はアクセスできます-サーバーと関連ある場合
のみです。
説
明
説
明
説明
明
制限ユーザーは自分の指紋だけを削除できます。
制限ユーザーはログオン設定を変更できません。
制限ユーザーはアクセスできます。
パスポート・タイプ
セキュリティー・モード
Proサーバー
構
成
可
能
な
設
構
成
可
構
構成
指紋認証ソフトウェアの一部のオプションはレジストリー設定で構成することができます。
起
起
起動
•起
有効にし、指紋をコンパニオン・チップに格納するための機構は、システムにBIOSまたはハード
ディスク・パスワードが設定されていない限り、通常は指紋認証ソフトウェアに表示されません。こ
の動作をオーバーライドし、BIOSまたはハードディスク・パスワードが設定されていなくてもこ
れらのオプションを強制的に表示させるには、レジストリーに以下のいずれか(使用しているコン
ピューター・マシン・タイプに適用されるもの)を追加します。
[HKEY_LOCAL_MACHINE¥SOFTWARE¥ProtectorSuiteQL¥1.0]
EG_DWORD"BiosFeatures"=2
または
[HKEY_LOCAL_MACHINE¥SOFTWARE¥ProtectorSuiteQL¥1.0]
能
成可
可能
能な
ワ
パ
/
前
動
動
動前
ワ
パ
/
前
ワー
パワ
/パ
前/
定
な
設
定
な設
設定
定
ー
タ
ン
イ
・
ア
ェ
ウ
ト
フ
ソ
時
ン
オ
ー
ン
オ
ー
ン時
オン
ーオ
フ
ソ
時
ソフ
時ソ
ェ
ウ
ト
ェア
ウェ
トウ
フト
イ
・
ア
イン
・イ
ア・
ー
タ
ン
ーフ
ター
ンタ
制限ユーザーはアクセスできません-サーバーと関連
ある場合のみです。
制限ユーザーはセキュリティー・モードを変更でき
ません。
制限ユーザーはアクセスできます-サーバーと関連ある
場合のみです。
ス
ー
ェ
フ
ス
ー
ェ
フ
ス:指紋の起動前またはパワーオン時サポートを
ース
ェー
フェ
第4章.ThinkV antage指紋認証ソフトウェアでの作業51
Page 58
REG_DWORD"BiosFeatures"=4
この設定は、BIOSパスワードが設定されていないシステムにSafeGuardEasyがインストールされ、そ
のSafeGuardEasyがハードディスクを暗号化解除するのに指紋認証を利用している場合に役立ちます。
音
音
音:指紋認証ソフトウェアは、指紋認証プロセスの実行中のさまざまな状況下において、.wavファイル
•音
に含まれる音を再生するように構成できます。これらの音のレジストリー設定は次のとおりです。
[HKEY_L
OCAL_MACHINE¥SOFTWARE¥Pr
[HKEY_L [HKEY_L
OCAL_MACHINE¥SOFTWARE¥Pr OCAL_MACHINE¥SOFTWARE¥Pr
‘Success ’
REG_SZ“sndSuccess”=[pathtosoundle]
スワイプが正常に登録されると、指定のファイルが再生されます。
Failure’
REG_SZ“sndF ailure”=[pathtosoundle]
スワイプの試行に失敗すると、指定のファイルが再生されます。
HKEY_L
OCAL_MACHINESOFTWAREP
HKEY_L HKEY_L
OCAL_MACHINESOFTWAREP OCAL_MACHINESOFTWAREP
Scan’
REG_SZ“sndScan”=[pathtosoundle]
ClientSecuritySolution関連の操作を行って指紋検証の
ダイアログが表示されると、指定のファイルが再生されます。
値が指定されていないか、空であると、サウンドは再生されません。
Quality’
REG_SZ“sndQuality”=[pathtosoundle]
読み取り不可能なスワイプが発生すると、指定のファイルが再生されます。
値が指定されていないか、空であると、サウンドは再生されません。
中
除
解
ク
ッ
ロ
・
ム
テ
ス
シ
ス
シ
ステ
シス
•シ
は、保存されているパスワードが指紋認証ソフトウェアによって有効性が検証されます。有効性検証
では、ドメイン・コントローラーと連絡を取る必要があり、遅延が生じる可能性があります。遅延
を回避するには、システム・ロック解除中に次のようにレジストリーを編集して、パスワードの有
効性検証を無効にします。
[HKEY_LOCAL_MACHINE¥SOFTWARE¥ProtectorSuiteQL¥1.0¥settings]
REG_DWORD"DoNotTestUnlock"=1
・
ム
テ
・ロ
ム・
テム
ク
ッ
ロ
ク解
ック
ロッ
中
除
解
中の
除中
解除
o oot tte eec cct ttor ororSuit Suit
ol ololic icicie ieies ssngerpr ngerpr
ス
パ
の
ス
パ
の
スワ
パス
のパ
Suit
QL¥1
.0¥se
e eeQL¥1 QL¥1
ngerpr
ー
ワ
ー
ワ
ワー
t
in inint t
性
効
有
の
ド
の
ド
の有
ドの
ード
性
効
有
性検
効性
有効
ings]
.0¥se .0¥se
t ttt ttings] ings]
証
検
証
検
証:デフォルトでは、システム・ロック解除中に
検証
FingerprintSoftwareはシステム・ログオン時には、引き続きパスワードの有効性を検証します。
:
注
:
注
:上記のレジストリー・キーを1に設定すると、ドメイン管理者がユーザーのシステムをロックす
注:
注
る時期を変更した場合は、ユーザーがログオフして再度ログオンするまで、指紋認証ソフトウェア
には旧パスワードが保存されます。
指
紋
認
証
ソ
フ
ト
ウ
ェ
ア
お
よ
び
指
紋
認
証
ソ
フ
ト
ウ
ェ
ア
お
指
指紋
紋認
認証
証ソ
ソフ
フト
トウ
ウェ
ェア
競合を防止するために、指紋認証ソフトウェアおよびNovellNetWareClientのユーザー名とパスワー
ドは一致する必要があります。お使いのPCに指紋認証ソフトウェアがインストールしてあり、Novell
NetwareClientをインストールする場合は、レジストリーの一部の項目が上書きされることがあります。指
紋認証ソフトウェアのログオンで問題が発生した場合は、ログオン設定画面に移動して、ログオン・
プロテクターを再度使用可能にしてください。
お使いのPCにNovellNetwareClientがインストールされていても、指紋認証ソフトウェアのインストール
前にクライアントPCにログオンしていなかった場合、Novellのログオン画面が表示されます。画面
で、必要な情報を入力してください。
:
注
:
注
:このセクションの情報はThinkVantage指紋認証ソフトウェア専用です。
注:
注
ログオン・プロテクター設定を変更するには、次のようにします。
52ClientSecuritySolution8.21デプロイメント・ガイド
よ
アお
およ
よび
Novell
び
Novell
びNovell
NovellNetware
Netware
Netware
NetwareClient
Client
Client
Client
Page 59
•『コントロールセンター』を開始する。
定
設
定
設
定』をクリックする。
設定
•『設
定
設
ン
オ
グ
ロ
オ
グ
ロ
オン
グオ
ログ
•『ロ
•ログオン・プロテクターを使用可能または使用不可にする。指紋ログオンを使用したい場合は、
『Windowsログオン認証を通常のパスワード認証から指紋認証に置き換える』チェック・ボック
スにチェック・マークを付けます。
:
注
:
注
:ログオン・プロテクターを使用可能、または使用不可にするには、再起動が必要です。
注:
注
•お使いのシステムでユーザーの簡易切り替えがサポートされている場合は、これを使用可能また
は使用不可にする。
•(オプション機能)パワーオン・セキュリティーによって認証されたユーザーの自動ログオンを使用可
能または使用不可にする。
•Novellログオン設定を設定する。Novellネットワークにログオンする場合は、次の設定が使用可能です。
化
動
活
化
動
活
化
動化
活動
–活
指紋認証ソフトウェアは自動的に既知のクレデンシャルを提供します。Novellのログオンが失敗する
と、NovellClientログオン画面が表示され、正しいデータの入力を要求するプロンプトが出されます。
オ
グ
ロ
オ
グ
ロ
オン
グオ
ログ
–ロ
指紋認証ソフトウェアはNovellClientログオン画面を表示して、ログオン・データの入力を要求す
るプロンプトを出します。
Disabled
Disabled
Disabled
–Disabled
指紋認証ソフトウェアはNovellログオンを試行しません。
定
設
ン
定』をクリックする。
設定
ン設
問
質
の
中
ン
中
ン
中の
ン中
問
質
の
問
質問
の質
認
証
認
証
認
認証
証
Novellを指紋認証ソフトウェアに引き渡すには、次のステップを実行します。
1.指紋認証ソフトウェアをインストールする。
2.NovellNetwareClientをインストールする。
い
は
い
は
い』をクリックしてログオンする。
3.プロンプトが出されたら、『は
4.再起動する。
5.プロンプトが出されたら、『はい』をクリックして指紋認証ソフトウェアにログオンする。
6.NovellNetwareClientを起動する。
7.サーバーに対して認証を行う。
8.Windowsにログオンする。
9.再起動する。
:
注
:
注
:WindowsとNovellの認証IDおよびパスワードは同じでなければなりません。
注:
注
ThinkVantage
ThinkVantage
ThinkVantage
ThinkVantage指
ThinkVantage指紋認証ソフトウェアのインストール後、upeksvr.exeサービスがシステムに追加されます。
起動中に実行が開始されて、ユーザーがログオンしている間中、実行が続けられます。upeksvr.exeサー
ビスは、ThinkVantage指紋認証ソフトウェアのコアで、デバイスとユーザーのデータに対してすべて
の操作を実行します。また、すべての生体測定検査のGUIを提供し、ユーザーのデータに対するアク
セスをセキュアにします。
指
紋
認
指
紋
認
指紋
紋認
認証
はい
証
ソ
フ
ト
ウ
ェ
ア
の
サ
ー
ビ
証
ソ
フ
ト
ウ
ェ
ア
の
証ソ
ソフ
フト
トウ
ウェ
ェア
サ
アの
のサ
サー
ス
ー
ビ
ス
ービ
ビス
ス
第4章.ThinkV antage指紋認証ソフトウェアでの作業53
Page 60
54ClientSecuritySolution8.21デプロイメント・ガイド
Page 61
第
5
章
第
5
第
第5
5章
指紋コンソールは、LenovoFingerprintSoftwareインストール・フォルダーから実行する必要があります。
基本的な構文はFPRCONSOLE[USER|SETTINGS]です。USERコマンドまたはSETTINGSコマンドは、ど
の操作セットを使用するかを指定します。完全なコマンドは『fprconsoleuseraddTestUser』のようにな
ります。コマンドがわからない場合やすべてのパラメーターが指定されていない場合は、短いコマン
ド・リストがパラメーターと共に表示されます。
管
理
コ
管
理
コ
管
管理
理コ
コン
LenovoFingerprintSoftwareの管理コンソール・ツールについては、47ページの『管理コンソール・ツー
ル』を参照してください。
Lenovo
章
Lenovo
章Lenovo
LenovoFingerprint
ン
ソ
ー
ン
ソ
ー
ンソ
ソー
ール
Fingerprint
Fingerprint
FingerprintSoftware
ル
・
ツ
ー
ル
・
ル・
・ツ
ル
ツ
ー
ル
ツー
ール
ル
Software
Software
Softwareで
で
の
作
で
の
での
の作
業
作
業
作業
業
Lenovo
Lenovo
Lenovo
LenovoFingerprint
:
注
:
注
:LenovoFingerprintSoftwareは、システム上のターミナル・サービスを必要とします。ターミナル・
注:
注
サービスをオフにすると、LenovoFingerprintSoftwareで予期しない結果が生じる可能性があります。
LenovoFingerprintSoftwareのインストール後、以下のサービスがシステムに追加されます。
•ATService.exe(デフォルトでオン)
指紋認証システムを使用するには、ATService.exeサービスをオンにする必要があります。このサービ
スは、指紋センサーを使用してアプリケーションからの要求を管理します。
•ADMonitor.exe(デフォルトでオフ)
ActiveDirectory管理をサポートするには、ADMonitor.exeサービスをオンにする必要があります。この
サービスは、ActiveDirectoryから伝搬された変更がないかレジストリーをモニターし、ローカルで
その変更を反映させます。
Lenovo
Lenovo
Lenovo
LenovoFingerprint
次の表に、LenovoFingerprintSoftwareのポリシー設定を示します。
表 31. ポ リ シ ー 設 定
設
定
設
定
設
設定
定説
指紋ログオンを有効にする/無効にするコンピューターにログインするためにWindowsパス
Fingerprint
Fingerprint
FingerprintSoftware
Fingerprint
Fingerprint
FingerprintSoftware
Software
Software
Softwareの
Software
Software
Softwareの
の
サ
ー
ビ
ー
ービ
ス
ビ
ス
ビス
ス
Directory
Directory
Directoryサ
説
明
説
明
説明
明
ワードではなく、指紋センサーを使用するように指定
します。これを使用可能に設定した場合、さらに使用
可能または使用不可に設定できる2つのオプションが
あります。
•DisableCTRL+ALT+DELdialogforlogoninterface
このオプションを選択すると、ユーザーに
Ctrl+Alt+Deleteを押してログオンするように指示す
るメッセージがオフになります。(WindowsXPでの
み使用可能です。)
•Requirenon-administratorusertologonwithfingerprint
authentication
このオプションを選択した場合、管理者以外のユー
サ
ポ
ー
サ
サポ
ト
ポ
ー
ト
ポー
ート
ト
の
サ
のサ
サー
の
Active
の
Active
のActive
ActiveDirectory
©CopyrightLenovo2008,2012
55
Page 62
表 31. ポ リ シ ー 設 定 ( 続 き )
設
定
設
定
設
設定
定説
説
明
説
明
説明
明
ザーは、指紋センサーを使用したログオンのみが
可能になります。
指紋認証後のパスワードの取得を許可する
パワーオン・セキュリティ・オプションを常に表示する
パワーオン・パスワードとHDパスワードの代わりに
指紋認証を使用する
ロックアウトされる前に許可するログオン試行回数
を設定する
非活動期間を設定する
ユーザーの指紋登録を許可する
ユーザーによる指紋削除を許可するこれを使用可能に設定した場合、管理者以外のユーザー
Allowuserstoimport/exportfingerprints
これを使用可能に設定した場合、ユーザーは、指紋認証
後に、LenovoFingerprintSoftwareでユーザーのアカウン
トのWindowsパスワードを表示できます。
これを使用可能に設定した場合、コンピューターがオ
ンになったとき、ユーザーは、パワーオン・パスワー
ドとハードディスク・ドライブ・パスワードではなく
指紋センサーを使用するように選択できます。Lenovo
FingerprintSoftwareの登録ウィンドウで、登録する各指
ごとに、パワーオン指紋認証を使用可能または使用不
可に設定できます。
これを使用可能に設定すると、パワーオンおよびハー
ドディスク・ドライブのパスワードではなく、指紋認
証が使用されます。
ユーザーがロックアウトされる前に許可するログオン試
行失敗の数を設定し、ユーザーがロックアウトされる期
間(秒単位)も設定します。
ユーザーがログオフするまでに許可されるシステムの
非活動期間(秒単位)を設定します。
これを使用可能に設定した場合、管理者以外のユー
ザーは、LenovoFingerprintSoftwareを使用して指紋を
登録できます。
は、LenovoFingerprintSoftwareを使用して、以前に登録
した指紋を削除できます。
これを使用可能に設定した場合、管理者以外のユーザー
は、LenovoFingerprintSoftwareを使用して、以前に登録
した指紋をインポートおよびエクスポートできます。
指紋認証ソフトウェアの『設定』タブの要素を表示
する/隠す
56ClientSecuritySolution8.21デプロイメント・ガイド
これを使用可能に設定した場合、IT管理者は、指紋認証
ソフトウェアの設定GUIを制御できます。
Page 63
第
6
章
ベ
ス
ト
・
プ
ラ
ク
テ
ィ
第
6
章
ベ
ス
ト
・
プ
ラ
ク
第
第6
6章
章ベ
ベス
スト
ト・
・プ
プラ
ラク
この章では、ClientSecuritySolutionおよびFingerprintSoftwareのベスト・プラクティスを示すシナリオ
を提示します。このシナリオでは、ハードディスク・ドライブの設定から始まり、何回かの更新を行
い、デプロイメントまでの手順を説明しています。Lenovoおよび他社製の両方のPCでのインストール
を説明します。
テ
クテ
ティ
ス
ィ
ス
ィス
ス
Client
Client
Client
ClientSecurity
次のセクションでは、ClientSecuritySolutionをデスクトップ・コンピューターとノートブック・コン
ピューターの両方にインストールする場合の例をいくつか挙げます。
シ
シ
シ
シナ
これは、各製品を次のような仮定のカスタマー要件でデスクトップPCにインストールする場合の例です。
•Administration
•Client
Security
Security
SecuritySolution
ナ
リ
オ
ナ
リ
オ
ナリ
リオ
オ1
Administration
Administration
Administration
–PCの管理にローカル管理者アカウントを使用
Security
Client
Security
Client
SecuritySolution
ClientSecurity
–エミュレーション・モードでのインストールおよび実行
–LenovoのPCすべてがTPM(セキュリティー・チップ)を備えているわけではありません。
–ClientSecurityパスフレーズを使用可能に設定
–パスフレーズによってClientSecuritySolutionアプリケーションを保護します。
–ClientSecurityWindowsログオンを使用可能に設定
–ClientSecurityパスフレーズでWindowsにログインします。
–エンド・ユーザー・パスフレーズのリカバリー機能を使用可能に設定
–ユーザーが、自分で決めた3つの質問に答えることによって、パスフレーズをリカバリーで
きるようにします。
–パスワード="XMLscriptPW"を使用したClientSecuritySolutionXMLスクリプトを暗号化します。
1
1
1
Solution
Solution
Solutionを
Solution
Solution
Solution
を
イ
ン
ス
ト
ー
ル
す
る
場
合
の
デ
プ
ロ
イ
メ
ン
ト
を
イ
ン
ス
ト
ー
ル
す
る
場
合
の
デ
プ
ロ
イ
をイ
イン
ンス
スト
トー
ール
ルす
する
る場
場合
合の
のデ
デプ
プロ
メ
ロイ
イメ
メン
例
ン
ト
例
ント
ト例
例
–ClientSecuritySolution構成ファイルをパスワードで保護します。
–指紋認証ソフトウェアのインストールはオプション
。
す
ま
し
行
実
を
下
以
で
ン
シ
マ
備
準
マ
備
準
マシ
備マ
準備
準
1.Windowsの『ローカル管理者』アカウントでログインします。
2.ClientSecuritySolutionプログラムを、次のオプションを指定してインストールします。
ClientSecuritySolution:tvtcss82_xxxx.exe/s/v"/qn“EMULATIONMODE=1”
(where
“NOCSSWIZARD=1””
3.再起動後、ローカル管理者アカウントでWindowsにログインし、デプロイメント用のXMLスクリプ
トを作成します。コマンド・ラインから次のコマンドを実行してください。
“C:¥ProgramFiles¥Lenovo¥ClientSecuritySolution¥css_wizarde.exe”
/name:C:¥ThinkCentre
ウィザードで、次のオプションを選択します。
•セ
©CopyrightLenovo2008,2012
で
ン
シ
で以
ンで
シン
XXXX
ュ
キ
セ
ュ
キ
セ
ュア
キュ
セキ
以
以下
ア
ア
ア・
を
下
を実
下を
isthebuildID)
ロ
・
ロ
・
ログ
・ロ
し
行
実
しま
行し
実行
ン
オ
グ
ン
オ
グ
ン・
オン
グオ
。
す
ま
。
す。
ます
へ
次
➙
ド
ッ
ソ
メ
・
メ
・
メソ
・メ
ド
ッ
ソ
ド➙
ッド
ソッ
へ
次
➙
へをクリックします。
次へ
➙次
57
Page 64
へ
次
へ
次
へ』をクリックします。(たとえ
•管理者アカウント用のWindowsパスワードを入力し、『次
次へ
ばWPW4Admin)
Client
Client
•管理者アカウント用のClientSecurityパスフレーズ(CSPP4Adminなど)を入力して、『Client
を
ス
セ
ク
ア
の
へ
ス
ー
ペ
ス
ク
ー
Recovery
パ
パ
パス
パ
レ
フ
ス
レー
フレ
スフ
を
ズ
ー
を使
ズを
ーズ
し
用
使
して
用し
使用
Rescue
、
て
Rescueand
、Rescue
て、
Rescue
、
て
し
用
使
を
ズ
ー
レ
フ
ス
and
and
andRecovery
Recovery
Recoveryワ
ク・ボックスにチェック・マークを付けてから、『次
•管理者アカウント用の3つの質問と回答を選択してから、『次
ワ
ー
ワ
ーク
ワー
ペ
ス
ク
ペー
スペ
クス
へ
次
へ
次
へ』をクリックします。
次へ
へ
ス
ー
への
スへ
ース
次
次
次へ
ク
ア
の
クセ
アク
のア
へ
へ
へ』をクリックします。
を
ス
セ
を保
スを
セス
ClientSecurity
る
す
護
保
保
保護
護
護す
る
す
る』チェッ
する
a.初めて飼ったペットの名前は?
(たとえばSnowball)
b.好きな映画は?
(たとえば『風と共に去りぬ』)
c.好きなスポーツ・チームは?
(たとえば、CarolinaHurricanes)
用
適
用
適
用』を選択してXMLファイルをC:¥ThinkCentre.xmlに書き込み、もう
•『要約』を確認し、『適
用
適
用
適
用』をクリックします。
一度『適
•『完
適用
了
完
了
完
了』をクリックしてウィザードを閉じる
完了
適用
4.テキスト・エディターで次のファイルを開き(XMLスクリプト・エディターまたはMicrosoftWord
2003にはXMLフォーマット機能が組み込まれています)、以下の設定を変更します。
•ドメイン設定への参照をすべて削除します。これにより、スクリプトには、各システムで代わり
にローカルPC名を使用するように通知されます。ファイルを保存します。
5.C:¥ProgramFiles¥Lenovo¥ClientSecuritySolution¥xml_crypt_tool.exeのツールを使用して、XMLスク
リプトをパスワードで暗号化します。コマンド・プロンプトからファイルを実行するには、次の
構文を使用します。
a.xml_crypt_tool.exeC:¥ThinkCentre.xml/encryptXMLScriptPW.
b.これでファイルはC:¥ThinkCentre.xml.encとなり、パスワード=XMLScriptPWで保護されます。
これで、ファイルC:¥ThinkCentre.xml.encをデプロイメントPCに追加する準備ができました。
Security
Security
Security
デ
ロ
プ
デ
ロイ
プロ
デプ
デ
ン
メ
イ
ント
メン
イメ
マ
・
ト
マシ
・マ
ト・
で
ン
シ
で以
ンで
シン
を
下
以
を実
下を
以下
し
行
実
しま
行し
実行
。
す
ま
。
す。
ます
。
す
ま
し
行
実
を
下
以
で
ン
シ
マ
・
ト
ン
メ
イ
ロ
プ
1.ローカル管理者アカウントでWindowsにログインします。
2.RescueandRecoveryおよびClientSecuritySolutionプログラムを、次のオプションを指定してインス
トールします。
setup_tvtrnr40_xxxxcc.exe/s/v"/qn“EMULATIONMODE=1”
(ここで
“NOCSSWIZARD=1””
注
注
注:
注
xxxx
はビルドIDで、
:
:
:
cc
は国別コードです。)
a.WindowsXPではZ652ZIXxxxxyy00.tvt、WindowsVistaではZ633ZISxxxxyy00.tvt(xxxxはビルドID、
yyは国IDです)などの.tvtファイルが実行可能ファイルと同じフォルダーにあることを確認しま
す。同じフォルダーにない場合、インストールは失敗します。
b.管理者用インストールを実行する場合は、57ページの『シナリオ1』を参照してください。
3.再起動後、ローカル管理者アカウントでWindowsにログインします。
4.先に作成したThinkCentre.xml.encファイルをC:¥のルート・ディレクトリーに追加します。
5.RunOnceExコマンドを、以下のパラメーターを指定して作成します。
•RunonceExキーに0001という新規キーを追加します。次のようになります。
HKEY_LOCAL_MACHINE¥Software¥Microsof t¥Windows¥CurrentVersion¥RunOnceEx¥0001
•そのキーに、ストリング値の名前CSSEnrollを次の値で追加します。
58ClientSecuritySolution8.21デプロイメント・ガイド
Page 65
"C:¥ProgramFiles¥Lenovo¥ClientSecuritySolution¥vmserver.exe"
C:¥ThinkCenter .xml.encXMLscriptPW
6.%rr%C:¥ProgramFiles¥Lenovo¥RescueandRecovery¥rrcmd.exe"sysprepbackuplocation=Lname=”Sysprep
Backupを実行します。システムの準備ができたら、次のように出力されます。
*****************************************************
**Readytotakesysprepbackup.**
****
**PLEASERUNSYSPREPNOWANDSHUTDOWN.**
****
**Nexttimethemachineboots,itwillboot**
**tothePredesktopAreaandtakeabackup.**
*****************************************************
7.Sysprepを実行します。
8.PCをシャットダウンしてから再起動します。RescueandRecoveryワークスペースで、バックアップ処
理が開始されます。
:
注
:
注
:メッセージ『復元が進行中ですが、バックアップが行われています』が表示されます。バック
注:
注
アップ後は、電源をオフにします。再起動はしないでください。
これで、Sysprepの基本バックアップが完了しました。
シ
ナ
リ
オ
シ
ナ
リ
シ
シナ
ナリ
リオ
これは、各製品を次のような仮定のカスタマー要件でノートブックにインストールする場合の例です。
オ
オ2
2
2
2
Administration
Administration
Administration
•Administration
–以前のバージョンのClientSecuritySolutionがインストールされているPCにインストール
–PCの管理にドメイン管理者アカウントを使用
–すべてのコンピューターに、BIOSスーパーバイザー・パスワードBIOSpwを割り当て
Security
Client
Security
Client
SecuritySolution
ClientSecurity
•Client
–TPMを活用
–すべてのPCにセキュリティー・チップを搭載
–PasswordManagerを使用可能に設定
–ClientSecuritySolutionに対する認証として、ユーザーのWindowsパスワードを活用
–パスワード="XMLscriptPW"を使用したClientSecuritySolutionXMLスクリプトの暗号化
–ClientSecuritySolution構成ファイルをパスワードで保護します。
ThinkVantage
ThinkVantage
ThinkVantage指
•ThinkVantage
–BIOSとハードディスクのパスワードを使用しない
–指紋認証ソフトウェアによるログオン
–一定のセルフ・ユーザー登録期間後、ユーザーは、管理者以外のユーザーの場合は指紋を必
要とするセキュア・モード・ログオンに切り替えるため、デュアル・ファクター認証方式を
効果的に実行できます。
–指紋チュートリアルの組み込み
Solution
Solution
Solution
ア
ェ
ウ
ト
フ
ソ
証
認
紋
指
指
指紋
証
認
紋
証ソ
認証
紋認
ト
フ
ソ
トウ
フト
ソフ
ア
ェ
ウ
ア
ェア
ウェ
–エンド・ユーザーが、指紋を正しく読み取らせる方法や、操作を間違った場合は視覚的なフィー
ドバックを得る方法を知ることができます。
。
す
ま
し
行
実
を
下
以
で
ン
シ
マ
備
準
マ
備
準
マシ
備マ
準備
準
1.電源オフの状態からPCを始動し、F1
SecurityChip』を『Yes』にします。保存してからBIOSを終了します。
で
ン
シ
で以
ンで
シン
を
下
以
を実
下を
以下
し
行
実
しま
行し
実行
。
す
ま
。
す。
ます
F1
F1
F1を押してBIOSに入り、『Security』メニューに移動して『Clear
第6章.ベスト・プラクティス59
Page 66
2.ドメイン管理者アカウントでWindowsにログインします。
3.ThinkVantage指紋認証ソフトウェアをインストールします。f001zpz2001us00.exeを実行して、Web
パッケージからsetup.exeファイルを解凍します。setup.exeは、自動的に次の場所に解凍されます。
C:¥SWTOOLS¥APPS¥TFS5.8 .2-Buildxxxx¥Application¥0409¥setup.exe(ここで、xxxxはビルドIDです)。
4.f001zpz7001us00.exeを実行してWebパッケージからtutess.exeファイルを解凍し、ThinkVantage指紋
チュートリアルをインストールします。setup.exeは、自動的に次の場所に解凍されます。
C:¥SWTOOLS¥APPS¥tutorial¥TFS5.8.2Buildxxxx¥Tutorial¥0409¥tutess.exe
5.f001zpz5001us00.exeを実行してWebパッケージからfprconsole.exeを解凍し、ThinkVantage指紋コン
ソールをインストールします。f001zpz5001us00.exeを実行すると、setup.exeは自動的に次の場所に解
凍されます。
C:¥SWTOOLS¥APPS¥fpr_con¥APPS¥UPEK¥FPRConsole¥TFS5.8.2-Buildxxx¥Fprconsole¥fprconsole.exe
6.ClientSecuritySolutionプログラムを、次のオプションを指定してインストールします。
tvtcss82_xxxxcc.exe/s/v”/qnNOCSSWIZARD=1SUPERVISORPW=
”BIOSpw”"
7.再起動後はドメイン管理者アカウントでWindowsにログインし、デプロイメント用のXMLスクリプ
トを作成します。コマンド・ラインから次のコマンドを実行してください。
“C:¥ProgramFiles¥Lenovo¥ClientSecuritySolution¥css_wizard.exe”
/name:C:¥ThinkPad
ウィザードで、スクリプト例に合わせて次のオプションを選択します。
セ
キ
セ
キュ
セキ
•セ
・
ア
ュ
・ロ
ア・
ュア
オ
グ
ロ
オン
グオ
ログ
メ
・
ン
メソ
・メ
ン・
ド
ッ
ソ
ド➙
ッド
ソッ
•ドメイン管理者アカウント用のWindowsパスワード(WPW4Adminなど)を入力して、『次
へ
次
➙
へをクリックします。
次へ
➙次
へ
次
へ
次
へ』
次へ
へ
次
➙
ド
ッ
ソ
メ
・
ン
オ
グ
ロ
・
ア
ュ
キ
をクリックします。
•ドメイン管理者アカウントのClientSecurityパスフレーズを入力
へ
•『パ
パ
ワ
ス
パ
ワー
スワ
パス
の
ド
ー
の復
ドの
ード
の
ド
ー
ワ
ス
•要約を確認し、『適
復
復
復元
定
設
元
定を
設定
元設
用
適
用
適
用』をクリックして、XMLファイルを次の場所に書き込みます。
適用
視
無
を
視』にチェック・マークを付け、『次
無視
を無
視
無
を
定
設
元
次
へ
次
へ』をクリックします。
次へ
C:¥ThinkPad.xml
了
完
了
完
了』をクリックしてウィザードを閉じます。
完了
•『完
8.C:¥ProgramFiles¥Lenovo¥ClientSecuritySolution¥xml_crypt_tool.exeのツールを使用して、XMLスク
リプトをパスワードで暗号化します。コマンド・プロンプトから、次の構文を実行します。
a.xml_crypt_tool.exeC:¥ThinkPad.xml/encryptXMLScriptPW
b.これでファイルはC:¥ThinkPad.xml.encとなり、パスワード=XML ScriptPWで保護されます。
デ
ロ
プ
デ
ロイ
プロ
デプ
デ
ン
メ
イ
ント
メン
イメ
マ
・
ト
マシ
・マ
ト・
で
ン
シ
で以
ンで
シン
を
下
以
を実
下を
以下
し
行
実
しま
行し
実行
。
す
ま
。
す。
ます
。
す
ま
し
行
実
を
下
以
で
ン
シ
マ
・
ト
ン
メ
イ
ロ
プ
1.自社のソフトウェア配布ツールを使用して、ThinkVantageFingerprintSoftwareの実行可能ファイル
setup.exe(準備PCから各デプロイメントPCに解凍されたもの)をデプロイします。setup.exeがPCに
配信されたら、次のコマンドを実行してインストールを行います。
setup.exeCTLCNTR=0/q/i
2.自社のソフトウェア配布ツールを使用して、ThinkVantageFingerprintチュートリアルの実行可能ファ
イルtutess.exe(準備PCから各デプロイメントPCに解凍されたもの)をデプロイします。tutess.exeが
PCに配信されたら、次のコマンドを実行してインストールを行います。
tutess.exe/q/i
3.自社のソフトウェア配布ツールを使用して、ThinkVantageFingerprintConsoleの実行可能ファイル
fprconsole.exe(準備PCから各デプロイメントPCに解凍されたもの)をデプロイします。
•fprconsole.exeファイルをC:¥ProgramFiles¥ThinkVantageFingerprintSoftware¥ディレクトリーに入
れます。
•次のコマンドを実行して、BIOSパワーオン・セキュリティー・サポートをオフにします。
fprconsole.exesettingsTBX0
60ClientSecuritySolution8.21デプロイメント・ガイド
Page 67
4.自社のソフトウェア配布ツールを使用して、ThinkVantageClientSolution実行可能ファイル
tvtvcss82_xxxx.exe(ここで
•tvtvcss82_xxxx.exeがPCに配信されたら、次のコマンドを実行してインストールを行います。
tvtvcss83_xxxx.exe/s/v"/qn"NOCSSWIZARD=1""SUPERVISORPW="BIOSpw""
•ソフトウェアをインストールすると、TPMハードウェアが自動的に使用可能になります。
5.システムの再起動後、次の手順で、XMLスクリプト・ファイルによるシステム構成を行います。
•先に作成したThinkPad.xml.encファイルを、C:¥ディレクトリーにコピーします。
•別のコマンド・プロンプトを開き、以下を実行します。
"C:¥ProgramFiles¥Lenovo¥ClientSecuritySolution¥vmserver.exe"C:¥ThinkPad.xml.encXMLScriptPW
6.再起動すると、システムでClientSecuritySolutionユーザー登録の準備ができています。各ユーザー
は、それぞれのユーザーIDとWindowsパスワードでシステムにログインできます。システムにロ
グインする各ユーザーに、ClientSecuritySolutionへの登録を促すプロンプトが自動的に出され、
登録すると、指紋センサーへの登録ができるようになります。
7.システムのすべてのユーザーがThinkVantage指紋認証ソフトウェアに登録されたら、セキュア・モー
ド設定を使用可能にして、Windowsのすべての管理者以外のユーザーに、各自の指紋でログオン
させるようにすることができます。
•次のコマンドを実行します。
"C:¥ProgramFiles¥ThinkVantageFingerprintSof tware¥fprconsole.exe"settingssecuremode1
•『パスワードを使用してログインするにはCtrl+Alt+Deleteを押してください(PressCtrl+Alt+Delete
tologinusingapassword)』というメッセージをログオン画面から削除するには、次のコマンドを
実行してください。
"C:¥ProgramFiles¥ThinkVantageFingerprintSof tware¥fprconsole.exesettings"
CAD0
xxxx
はビルドID)をデプロイします。
これで、ClientSecuritySolution8.21とThinkVantage指紋認証ソフトウェアのデプロイメントが完了
しました。
Client
Client
Client
ClientSecurity
ClientSecuritySolutionモードを『便利なログオン・メソッド』から『セキュア・ログオン・メソッド』に
切り替えるか、『セキュア・ログオン・メソッド』から『便利なログオン・メソッド』に切り替える
場合で、システムのバックアップにRescueandRecoveryを使用している場合、モードを切り替えた後
に新しい基本バックアップをとってください。
企
企
企
企業
企業用ActiveDirectoryを展開する場合、次のステップを実行します。
1.ActiveDirectoryまたはLANDeskを使用してインストールします。
CD
CD
CD
CDま
Security
Security
SecuritySolution
業
用
業
業用
Active
用
Active
用Active
ActiveDirectory
a.ActiveDirectoryおよびLANDeskを使用してバックアップを取り、バックアップを取った人
物と時点について報告を得ます。
b.バックアップの作成、バックアップの削除、スケジュール・オプション、およびパスワードの
制約事項に関する機能を特定のグループに付与してから、グループを変更し、設定が存続する
かどうかを参照します。
c.ActiveDirectoryからAntidoteDeliveryManagerを有効にします。実行するパッケージを提供し、報
告が取り込まれることを確認します。
ま
た
は
ま
た
は
また
たは
はス
ス
ス
スク
Solution
Solution
Solutionモ
Directory
Directory
Directoryの
ク
リ
ク
リ
クリ
リプ
モ
ー
ド
の
切
り
替
モ
ー
ド
の
モー
ード
の
展
の
展
の展
展開
プ
ト
・
フ
プ
ト
プト
ト・
ァ
・
フ
ァ
・フ
ファ
ァイ
切
ドの
の切
切り
開
開
開
イ
ル
の
イ
ル
の
イル
ルの
のス
え
り
替
え
り替
替え
え
ス
タ
ン
ド
ア
ロ
ン
・
イ
ン
ス
ト
ー
ス
タ
ン
ド
ア
ロ
ン
・
イ
ン
スタ
タン
ンド
ドア
アロ
ロン
ン・
・イ
ス
イン
ンス
スト
ル
ト
ー
ル
トー
ール
ル
CDまたはスクリプト・ファイルのスタンドアロン・インストールの場合、次のステップを実行します。
第6章.ベスト・プラクティス61
Page 68
1.バッチ・ファイルを使用してClientSecuritySolutionおよび指紋認証ソフトウェア・テクノロジーを
サイレント・インストールします。
2.BIOSパスワード・リカバリーをサイレント構成します。
System
System
System
SystemUpdate
SystemUpdateをするには、次のステップを実行します。
1.内容を制御するために、Lenovoサーバーに移動する代わりに、大企業がサーバーをセットアップする
2.3種類のバージョンの古いソフトウェア(RescueandRecovery1.0/2.0/3.0、指紋認証、ClientSecurity
System
System
System
SystemMigration
ClientSecuritySolution7.0のあるT40からClientSecuritySolution8.21のあるT60にマイグレーションします。
TPM
TPM
TPM
TPMで
証明書はClientSecurityCSPを使用して直接生成でき、証明書内の秘密鍵はTPMによって生成され、保護
されます。ClientSecuritySolutionCSPを使用して証明書を要求するには、次のようにします。
要
件
要
件
要
要件
件:
•サーバー・マシンに以下がインストールされている必要があります。
–Windows2003Enterprise以上
–ActiveDirectory
–証明機関サービス
•クライアント・マシンは以下の要件に適合している必要があります。
Update
Update
Update
方法をシミュレートして、カスタマイズ済みのシステム更新サーバーを使ってClientSecuritySolution
および指紋認証ソフトウェア・テクノロジーをインストールします。
Solution5.4~6、FFE)を上書きインストールします。古いバージョンに上書きして新しいバージョン
をインストールする際には、設定を保持する必要があります。
Migration
Migration
MigrationAssistant
で
の
鍵
で
での
:
:
:
生
の
鍵
生
の鍵
鍵生
生成
Assistant
Assistant
Assistant
成
を
使
用
し
た
証
明
書
の
生
成
を
使
用
し
た
証
明
成を
を使
使用
用し
した
た証
書
証明
明書
書の
成
の
生
成
の生
生成
成
–TPMが使用可能になっている
–ClientSecuritySolutionがインストールされている
サ
ー
バ
ー
か
ら
の
証
明
書
の
要
サ
ー
バ
ー
か
ら
の
証
明
サ
サー
ーバ
バー
ーか
から
らの
の証
ン
テ
の
ー
ザ
ー
ユ
TPM
ユ
TPM
ユー
TPMユ
TPM
TMPユーザーのテンプレートを作成するには、以下の手順をすべて実行します。
ス
『
ス
『
スタ
『ス
1.『
2.mmcと入力し、『OK
フ
フ
ファ
3.『フ
ます。『スタンドアロンスナップインの追加』ウィンドウが表示されます。
4.スナップイン・リストで『証
5.『スナップインの追加と削除』ウィンドウで『OK
6.コンソール・ツリーから『証
トが左側のペインに表示されます。
作
操
作
操
作➙
操作
7.操
表
表
表示
8.『表
62ClientSecuritySolution8.21デプロイメント・ガイド
ー
ザ
ー
ーの
ザー
ーザ
ト
ー
タ
ト
ー
タ
ト』
ート
ター
ル
イ
ァ
ル
イ
ァ
ル』メニューの『ス
イル
ァイ
ン
テ
➙
ン
テ
➙
ンプ
テン
➙テ
名
示
名
示
名』フィールドにTPMUserと入力します。
示名
ン
テ
の
ンプ
テン
のテ
『
➙
』
『
➙
』
『フ
➙『
』➙
OK
ー
レ
プ
ー
レ
プ
ート
レー
プレ
書
証明
明書
書の
ー
レ
プ
ー
レ
プ
ート
レー
プレ
ル
イ
ァ
フ
フ
ファ
OK
OK』をクリックします。コンソール・ウィンドウが表示されます。
ト
ト
トの
ル
イ
ァ
ル名
イル
ァイ
ス
ス
スナ
証
証
証明
証
証
証明
製
複
の
製
複
の
製の順にクリックします。
複製
の複
求
の
要
求
の要
要求
求
成
作
の
ト
ト
トの
を
名
を
名
を指
名を
ナ
ナ
ナッ
明
明
明機
明
明
明書
成
作
の
成
作成
の作
』
行
実
て
し
定
指
指
指定
ッ
ッ
ップ
機
機
機関
書
書
書テ
て
し
定
て実
して
定し
ン
イ
プ
ン
イ
プ
ンの
イン
プイ
関
関
関』をダブルクリックし、『閉
プ
ン
テ
プ
ン
テ
プレ
ンプ
テン
』
行
実
』をクリックします。
行』
実行
と
加
追
の
の
の追
と
加
追
と削
加と
追加
ト
ー
レ
ト
ー
レ
ト』をクリックします。すべての証明書テンプレー
ート
レー
除
削
除
削
除』をクリックしてから、『追
削除
る
じ
閉
る
じ
閉
る』をクリックします。
じる
閉じ
OK
OK
OK』をクリックします。
加
追
加
追
加』をクリックし
追加
Page 69
要
要
要求
9.『要
CSP
CSP
CSP』が選択されていることを確認します。
CSP
一
一
一般
10.『一
を確認します。
グ
グ
グル
11.『グ
Users
Users
Users』をクリックして、『Authenticated
Users
を確認します。
タ
ン
エ
タ
ン
エ
ター
ンタ
エン
エ
エンタープライズ証明機関を構成してTPMユーザー証明書を発行するには、以下の手順をすべて実
行します。
1.証明機関を開きます。
2.コンソール・ツリーで、『証
操
操
操作
3.『操
TPM
TPM
TPM』をクリックし、『OK
4.『TPM
イ
ラ
ク
イ
ラ
ク
イア
ライ
クラ
ク
クライアントから証明書を適用するには、以下の手順をすべて実行します。
1.イントラネットへ接続し、InternetExplorerを開始して、CAサービスがインストールされているサー
バーのIPアドレスを入力します。
2.プロンプト・ウィンドウにドメイン・ユーザー名とパスワードを入力します。
タ
タ
タス
3.『タ
4.Webページの下部にある『証
5.『証明書の要求の詳細設定』ページで、以下の設定を変更します。
理
処
求
理』タブで『CSP
処理
求処
般
般
般』タブをクリックします。『Active
ま
名
プ
ー
ル
ー
ル
ープ
ルー
プ
ー
プ
ー
プラ
ープ
作
作
作』メニューから新
ン
ア
ン
ア
ント
アン
ク
ス
ク
ス
クの
スク
プ
プ名
ラ
ラ
ライ
ト
ト
トか
の
の
の選
ま
名
また
名ま
イ
イ
イズ
か
か
から
択
選
択
選
択』の『証
選択
ズ
ズ
ズ証
ら
ら
らの
理
処
求
CSP
CSP
CSP』をクリックします。『サ
名
ー
ザ
ー
ユ
は
た
た
たは
ー
ユ
は
ーザ
ユー
はユ
明
証
明
証
明機
証明
新
新
新規
証
の
証
の
証明
の証
証
証
証明
名
ー
ザ
名』リストの『セ
ー名
ザー
Authenticated
Authenticated
AuthenticatedUsers
成
構
の
関
機
関
機
関の
機関
証
証
証明
規
規
規➙
OK
OK
OK』をクリックします。
書
明
書
明
書の
明書
書
明
書
明
書の
明書
証
証
証明
成
構
の
成
構成
の構
テ
書
明
テ
書
明
テン
書テ
明書
行
発
➙
行
発
➙
行す
発行
➙発
用
適
の
用
適
の
用
適用
の適
求
要
の
求
要
の
求』をクリックします。
要求
の要
の
書
明
の
書
明
の要
書の
明書
Directory
Active
Directory
Active
Directoryの
ActiveDirectory
Users
Users
Usersの
ー
レ
プ
ン
ン
ンプ
す
す
する
要
要
要求
ー
レ
プ
ート
レー
プレ
書
明
証
る
る
る証
書
明
証
書をクリックします。
明書
証明
詳
の
求
詳
の
求
詳細
の詳
求の
サ
ジ
ブ
サ
ジェ
ブジ
サブ
証
の
証
の
証明
の証
テ
リ
ュ
キ
セ
キ
セ
キュ
セキ
の
の
のア
ト
ト
ト』をクリックします。
設
細
設
細
設定
細設
テ
リ
ュ
ティ
リテ
ュリ
ス
セ
ク
ア
ア
アク
ス
セ
ク
ス許
セス
クセ
定
定
定』をクリックします。
ト
ク
ェ
トの
クト
ェク
発
を
書
明
明
明書
発
を
書
発行
を発
書を
ィ
ィ
ィ』タブをクリックし、『Authenticated
可
許
可
許
可』で『登
許可
の
コン
のコ
行
行
行す
ュー
ピュ
ンピ
る
す
る
す
る』が選択されていること
する
録
登
録
登
録』が選択されていること
登録
で利
タで
ータ
で
タ
ー
ュ
ピ
ン
コ
利
利用
能な
可能
用可
Authenticated
Authenticated
Authenticated
能
可
用
能
可
用
利
で
タ
ー
ュ
ピ
ン
コ
の
ト
ク
ェ
ジ
ブ
な
な
な任
の
意
任
の
意の
任意
の
意
任
証
書
明
証
書テ
明書
証明
•『証
CSP
CSP
CSP』ドロップダウン・リストから『ThinkVantage
•『CSP
ク
エ
ク
エ
クス
エク
•『エ
信
送
信
送
信』をクリックし、プロセスに従います。
送信
•『送
•『証明書は発行されました』ページで『こ
トールされた証明書』ページが表示されます。
2008
2008
2008
2008ThinkPad
(R400/R500/T400/T500/W500/X200/X301)
(R400/R500/T400/T500/W500/X200/X301)
(R400/R500/T400/T500/W500/X200/X301)
(R400/R500/T400/T500/W500/X200/X301)で
ボ
ボ
ボ
ボー
Lenovoは、ThinkPad
する2つのベンダーと契約しています。2008より前のThinkPadノートブック・コンピューター・モデル
(例えば、T61など)では、ThinkVantage指紋センサーを使用します。2008ThinkPadノートブック・コ
ンピューター・モデル(T400以降)では、Lenovo指紋センサーを使用します。LenovoのUSB指紋セン
サー付きキーボードではすべて、ThinkVantage指紋センサーを使用します。一部のThinkPadノートブッ
ク・モデル(例えば、外部USBキーボードを備えたThinkPadT400など)で指紋センサー付きキーボード
を使用するときには、特別な考慮が必要です。
このセクションでは、最新のThinkPadノートブック・コンピューター・モデルにインストールされた指紋
認証ソフトウェアの一般的な使用法のシナリオとデプロイメントの戦略について説明します。
注
注
注:
注
ー
ー
ード
:
:
:
ThinkPad
ThinkPad
ThinkPadノ
ド
の
使
ド
の
使
ドの
の使
使用
プ
ン
テ
プレ
ンプ
テン
ト
ー
ポ
ス
ー
ポ
ス
ート
ポー
スポ
用
用
用
®
ト
ー
レ
ト』ドロップダウン・リストから『TPM
ート
レー
ThinkVantage
ThinkVantage
ThinkVantageClient
る
す
ク
ー
マ
て
し
と
ー
キ
な
能
可
可
ト
可能
ト可
ノ
ノ
ノー
ノートブック・コンピューター・モデルとUSBキーボードにおける指紋認証を提供
キ
な
能
キー
なキ
能な
ー
ト
ー
ト
ート
トブ
し
と
ー
して
とし
ーと
ブ
ッ
ブ
ッ
ブッ
ック
ー
マ
て
ーク
マー
てマ
ク
・
ク
・
ク・
・コ
る
す
ク
る』が選択されていないことを確認します。
する
クす
明
証
の
こ
こ
この
コ
コ
コン
明
証
の
明書
証明
の証
ン
ピ
ン
ンピ
ュ
ピ
ュ
ピュ
ュー
ト
ー
レ
プ
ン
テ
書
明
TPM
ユ
TPM
ユー
TPMユ
Security
Client
Security
Client
SecuritySolution
ClientSecurity
ト
ス
ン
イ
の
書
イ
の
書
イン
のイ
書の
ー
ー
ータ
で
の
で
の
での
のUSB
ト
ス
ン
トー
スト
ンス
タ
ー
ー
ー・
USB
USB
USB指
・
・
・モ
タ
ター
ー
ザ
ー
ー(TPM
ザー
ーザ
Solution
Solution
SolutionCSP
ル
ー
ル
ー
ル』をクリックします。『インス
ール
モ
デ
モ
デ
モデ
デル
指
紋
セ
指
紋
セ
指紋
紋セ
セン
User)
(TPM
User)』を選択します。
(TPMUser)
CSP
CSP
CSP』を選択します。
ル
ル
ル
ン
サ
ー
ン
サ
ー
ンサ
サー
ー付
付
き
キ
付
付き
ー
き
キ
ー
きキ
キー
ー
User)
(TPM
ー
ザ
ー
ユ
第6章.ベスト・プラクティス63
Page 70
•LenovoFingerprintSoftware
LenovoFingerprintSoftwareは、AuthenTec指紋センサー(例えば、T400内蔵の指紋センサーなど)の
ソフトウェアです。
•ThinkVantageFingerprintSoftware
ThinkVantage指紋認証ソフトウェアは、UPEK指紋センサー(例えば、T61内蔵の指紋センサー、すべて
の外部USBキーボードの指紋センサーなど)のソフトウェアです。
Windows
Windows
Windows
WindowsVista
WindowsVistaオペレーティング・システムにログオンするときには、随時、AuthenTec指紋センサーも
UPEK指紋センサーも使用できます。
1.LenovoFingerprintSoftwareバージョン3.2.0.275以降をインストールします。
2.ThinkVantage指紋認証ソフトウェアバージョン5.8.2.4824以降をインストールします。
3.PCを再起動します。指紋登録ウィザードが自動的に開始されます。
4.ThinkVantage指紋認証ソフトウェアを使用して、外部指紋センサーに指紋を登録します。自動的に
開始されない場合は、『
Software
Software
Softwareの順にクリックして、登録を開始します。
Software
5.Windowsパスワードを入力するように求められたら入力し、登録する指を選択します。
6.コンピューター画面のプロンプトに従い、外部指紋センサーを使用して指を登録します。
7.ウィンドウの上部にある『設
8.『Windows
を選択し、『OK
9.コンピューターを再起動し、外部指紋センサーでWindowsにログオンするために指紋を使用できる
ことを確認します。
10.指紋の登録を使用して、内蔵指紋センサーで指紋を登録します。自動的に開始されない場合は、『
タ
タ
ター
タ
して、登録を開始します。
11.Windowsパスワードを入力するように求められたら入力し、登録する指を選択します。
12.コンピューター画面のプロンプトに従い、内蔵指紋センサーを使用して指を登録します。
13.ウィンドウの上部にある『設
14.『Windows
を選択し、『OK
15.コンピューターを再起動し、内蔵指紋センサーでWindowsにログオンするために指紋を使用できる
ことを確認します。
Windows
Windows
Windowsに
』
ト
ー
』
ト
ー
』➙
ト』
ート
Windows
Windows
Windowsに
Vista
Vista
Vistaの
の
ロ
グ
オ
の
ロ
のロ
ログ
ン
イ
グ
ロ
に
ロ
に
ログ
にロ
OK
OK
OK』をクリックしてから、『閉
『
➙
『
➙
『プ
➙『
ロ
に
ロ
に
ログ
にロ
OK
OK
OK』をクリックしてから、『閉
ン
イ
グ
ンす
イン
グイ
ラ
グ
ロ
プ
プ
プロ
ラ
グ
ロ
ラム
グラ
ログ
ン
イ
グ
ン
イ
グ
ンす
イン
グイ
ン
グ
オ
ン
グオ
オン
ン
ー
タ
ス
『
『
『ス
す
す
する
す
す
する
ー
タ
ス
ート
ター
スタ
定
設
定
設
定』をクリックします。
設定
き
と
る
き
と
る
き、
とき
ると
➙
』
ム
➙
』
ム
➙『
』➙
ム』
定
設
定
設
定』をクリックします。
設定
き
と
る
き
と
る
き、
とき
ると
➙
』
ト
➙
』
ト
➙プ
』➙
ト』
ス
パ
、
ス
パ
、
スワ
パス
、パ
ThinkVantage
『
ThinkVantage
『
ThinkVantage』
『ThinkVantage
ス
パ
、
ス
パ
、
スワ
パス
、パ
ThinkVantage
➙
プ
ロ
プ
ログ
プロ
ー
ワ
ー
ワ
ード
ワー
ー
ワ
ー
ワ
ード
ワー
ム
ラ
グ
ム➙
ラム
グラ
な
は
で
ド
ド
ドで
ド
ド
ドで
な
は
で
なく
はな
では
る
じ
閉
る
じ
閉
る』をクリックしてウィンドウを閉じます。
じる
閉じ
➙
』
➙
』
➙『
』➙
な
は
で
な
は
で
なく
はな
では
る
じ
閉
る
じ
閉
る』をクリックしてウィンドウを閉じます。
じる
閉じ
『
➙
『ThinkVantage
➙『
指
く
指
く
指紋
く指
Lenovo
『
Lenovo
『
LenovoFingerprint
『Lenovo
指
く
指
く
指紋
く指
ThinkVantage
ThinkVantage』
キ
ス
紋
キ
ス
紋
キャ
スキ
紋ス
Fingerprint
Fingerprint
FingerprintSoftware
キ
ス
紋
キ
ス
紋
キャ
スキ
紋ス
ThinkVantage
『
➙
ム
ラ
グ
ロ
』
ThinkVantage
➙
』
ThinkVantageFingerprint
➙ThinkVantage
』➙
る
す
用
使
を
ン
ャ
ャ
ャン
ャ
ャ
ャン
使
を
ン
使用
を使
ンを
使
を
ン
使
を
ン
使用
を使
ンを
る
す
用
る』チェック・ボックス
する
用す
Software
Software
Software』
用
用
用す
』
』
』の順にクリック
る
す
る
す
る』チェック・ボックス
する
Fingerprint
Fingerprint
Fingerprint
ス
『
ス
『
ス
『ス
Windows
Windows
Windows
WindowsXP
WindowsXPオペレーティング・システムにログオンするときには、随時、AuthenTec指紋センサーも
UPEK指紋センサーも使用できます。
リ
ナ
シ
リ
ナ
シ
リオ
ナリ
シナ
シ
WindowsXPのようこそ画面を使用します。
1.LenovoFingerprintSoftwareバージョン3.2.0.275以降をインストールします。
2.ThinkVantage指紋認証ソフトウェアバージョン5.8.2.4824以降をインストールします。
3.WindowsXPのようこそ画面を使用可能にします。
a.『
b.『ユ
64ClientSecuritySolution8.21デプロイメント・ガイド
XP
の
ロ
グ
オ
XP
の
XPの
-
1
オ
-
1
オ
-USB
1-
オ1
ン
コ
『
ン
コ
『
ント
コン
『コ
ー
ユ
ー
ユ
ーザ
ユー
ロ
のロ
ログ
キ
USB
キ
USB
キー
USBキ
ル
ー
ロ
ト
ト
トロ
ザ
ザ
ザー
ル
ー
ロ
ルパ
ール
ロー
ロ
の
ー
ロ
の
ー
ログ
のロ
ーの
ン
グ
オ
ン
グオ
オン
ン
な
い
て
れ
さ
続
接
に
ン
イ
メ
ド
(
ー
ー
ボ
ー
ード
ボー
ーボ
ル
ネ
パ
ル
ネ
パ
ル』
ネル
パネ
や
ン
オ
グ
ン
オ
グ
ンや
オン
グオ
備
を
ド
備え
を備
ドを
ユ
『
➙
』
』
』➙
や
やロ
ユ
『
➙
ユー
『ユ
➙『
オ
グ
ロ
オ
グ
ロ
オフ
グオ
ログ
ThinkPad
た
え
ThinkPadT400
たThinkPad
えた
ア
ー
ザ
ー
ー
ーザ
フ
フ
フの
ア
ー
ザ
アカ
ーア
ザー
を
法
方
の
の
の方
を
法
方
を変
法を
方法
ThinkPad
た
え
備
を
ド
ー
ボ
T400
T400
T400(
』
ト
ン
ウ
カ
ウ
カ
ウン
カウ
更
変
更
変
更す
変更
』
ト
ン
』を開きます。
ト』
ント
る
す
る
す
る』をクリックします。
する
イ
メ
ド
(
イン
メイ
ドメ
(ド
接
に
ン
接続
に接
ンに
れ
さ
続
れて
され
続さ
な
い
て
ない
いな
てい
)
い
)
い
)
い)
Page 71
よ
う
よ
うこ
よう
c.『よ
このチェック・ボックスが選択不可の場合は、65ページの『シナリオ2-USBキーボードを備えた
ThinkPadT400(ドメインに接続されている)』を参照してください。
ー
タ
ス
『
『
『ス
4.『
して、登録を開始します。
5.Windowsパスワードを入力するように求められたら入力し、登録する指を選択します。
6.コンピューター画面のプロンプトに従い、内蔵指紋センサーを使用して指を登録します。
7.ウィンドウの上部にある『設
8.『Windows
を選択し、『ユ
『OK
9.コンピューターを再起動し、内蔵指紋センサーでWindowsにログオンするために指紋を使用できる
ことを確認します。
10.外部USBキーボードを接続します。
『
『
『ス
11.『
クリックして、登録を開始します。
『
『
『指
12.『
ワード』ウィンドウを表示します。
13.Windowsパスワードを入力するように求められたら入力し、登録する指を選択します。
14.画面のプロンプトに従い、USBキーボードの外部指紋センサーを使用して指を登録します。
15.指紋登録ウィザードを完了してから、『完
16.『ThinkVantageFingerprintSoftware』ウィンドウで、『
『ThinkVantageFingerprintSoftware設定』ウィンドウを表示します。
17.『ロ
18.『OK
19.コンピューターを再起動し、内蔵または外部指紋センサーでWindowsにログオンするために指
紋を使用できることを確認します。
ー
タ
ス
ート
ター
スタ
Windows
Windows
Windowsに
OK
OK
OK』をクリックしてから、『閉
ー
タ
ス
ー
タ
ス
ート
ター
スタ
』
紋
指
』
紋
指
』➙
紋』
指紋
オ
グ
ロ
オ
グ
ロ
オン
グオ
ログ
OK
OK
OK』をクリックしてから、『ThinkVantage指紋認証ソフトウェア』ウィンドウを閉じます。
画
そ
こ
画面
そ画
こそ
➙
』
ト
➙
』
ト
➙『
』➙
ト』
ロ
に
ロ
に
ログ
にロ
ユ
ユ
ユー
➙
』
ト
➙
』
ト
➙『
』➙
ト』
指
『
➙
指
『
➙
指紋
『指
➙『
ン
ン
ン』タブで、『ユ
使
を
面
使用
を使
面を
ロ
プ
『
ロ
プ
『
ログ
プロ
『プ
ン
イ
グ
ン
イ
グ
ンす
イン
グイ
ー
ザ
ー
ー
ザ
ー
ーの
ザー
ーザ
ロ
プ
『
ロ
プ
『
ログ
プロ
『プ
登
を
紋
登
を
紋
登録
を登
紋を
る
す
用
る』チェック・ボックスを選択します。
する
用す
グ
グ
す
す
する
の
の
の簡
』
ム
ラ
』➙
ム』
ラム
グラ
定
設
定
設
定』をクリックします。
設定
き
と
る
き
と
る
き、
とき
ると
切
易
簡
切
易
簡
切り
易切
簡易
』
ム
ラ
グ
グ
グラ
録
録
録/
』
ム
ラ
』➙
ム』
ラム
』
集
編
/
集
編
/
集』
編集
/編
ザ
ー
ユ
ザ
ー
ユ
ザー
ーザ
ユー
ThinkVantage
『
➙
ThinkVantage』
『ThinkVantage
➙『
ド
ー
ワ
ス
パ
、
ス
パ
、
スワ
パス
、パ
替
り
替
り
替え
り替
じ
閉
じ
閉
じる
閉じ
『
➙
『
➙
『ThinkVantage
➙『
』
』をクリックしてから、『次
の
ー
の
ー
の簡
ーの
ド
ー
ワ
ドで
ード
ワー
ー
ポ
サ
え
え
えサ
簡
簡
簡易
ー
ポ
サ
ート
ポー
サポ
る
る
る』をクリックしてウィンドウを閉じます。
ThinkVantage
ThinkVantage
ThinkVantage』
了
完
了
完
了』をクリックしてウィザードを閉じます。
完了
り
切
易
り
切
易
り替
切り
易切
ThinkVantage
『
➙
』
ム
ラ
』
』
』➙
な
は
で
な
は
で
なく
はな
では
無
を
ト
無
を
ト
無効
を無
トを
』
』
』➙
え
替
え
替
え』チェック・ボックスを選択します。
替え
Lenovo
『
➙
Lenovo
『
➙
LenovoFingerprint
『Lenovo
➙『
ス
紋
指
く
紋
指
く
紋ス
指紋
く指
す
に
効
す
に
効
する
にす
効に
『
➙
『
➙
『ThinkVantage
➙『
次
次
次へ
定
設
『
定
設
『
定』
設定
『設
Fingerprint
Fingerprint
FingerprintSoftware
を
ン
ャ
キ
キ
ス
キャ
スキ
る
る
る』チェック・ボックスをクリアし、
ThinkVantage
ThinkVantage
ThinkVantageFingerprint
へ
へ
へ』をクリックして、『Windowsパス
』
』
』➙
を
ン
ャ
を使
ンを
ャン
ス
シ
『
➙
➙
➙『
ス
シ
『
ステ
シス
『シ
Software
Software
Software』
る
す
用
使
使
使用
る
す
用
る』チェック・ボックス
する
用す
Fingerprint
Fingerprint
FingerprintSoftware
設
ム
テ
設
ム
テ
設定
ム設
テム
』
』
』の順にクリック
Software
Software
Software』
』
定
』
定
』をクリックして、
定』
』
』
』の順に
る
す
用
使
を
面
画
そ
こ
う
シ
リ
ナ
シ
リオ
ナリ
シナ
シ
ClientSecuritySolutionのログオン・インターフェース(GINA)を使用します。
1.LenovoFingerprintSoftwareバージョン3.2.0.275以降をインストールします。
2.ThinkVantage指紋認証ソフトウェアバージョン5.8.2.4824以降をインストールします。
3.ClientSecuritySolutionバージョン8.20.0035以降をインストールします。
4.USBキーボードがシステムに接続されていることを確認します。
5.PCを再起動します。指紋登録ウィザードが自動的に開始されます。自動的に開始されない場合は、
ス
『
ス
『
スタ
『ス
『
クリックして、登録を開始します。
6.Windowsパスワードを入力するように求められたら入力し、登録する指を選択します。
7.コンピューター画面のプロンプトに従い、USBキーボードの外部指紋センサーを使用して指を登録
してから、『次
Client
Client
ClientSecurity
8.『Client
てウィンドウを閉じます。
ス
『
ス
『
スタ
『ス
9.『
登録を開始します。
10.Windowsパスワードを入力するように求められたら入力し、登録する指を選択します。
オ
オ2
-
2
-USB
2-
ト
ー
タ
ト
ー
タ
ト』
ート
ター
Security
Security
SecuritySolution
ト
ー
タ
ト
ー
タ
ト』
ート
ター
キ
USB
キー
USBキ
『
➙
』
『
➙
』
『プ
➙『
』➙
へ
次
へ
次
へ』をクリックしてウィンドウを表示します。
次へ
Solution
Solution
Solutionを
プ
➙
』
プ
➙
』
プロ
➙プ
』➙
ー
ボ
ー
ード
ボー
ーボ
ラ
グ
ロ
プ
プ
プロ
ロ
ロ
ログ
ラ
グ
ロ
ラム
グラ
ログ
を
を
を構
ム
ラ
グ
ム
ラ
グ
ム➙
ラム
グラ
備
を
ド
備え
を備
ドを
➙
』
ム
➙
』
ム
➙『
』➙
ム』
る
す
成
構
構
構成
る
す
成
る』チェック・ボックスを選択してから、『完
する
成す
ThinkVantage
『
➙
ThinkVantage
『
➙
ThinkVantage』
『ThinkVantage
➙『
た
え
たThinkPad
えた
ThinkVantage
『
ThinkVantage
『
ThinkVantage』
『ThinkVantage
ThinkPad
ThinkPadT400
ThinkPad
た
え
備
を
ド
ー
ボ
ー
キ
USB
-
2
オ
リ
ナ
T400
T400
T400(
ThinkVantage
『
➙
』
』
』➙
Lenovo
➙
』
Lenovo
➙
』
LenovoFingerprint
➙Lenovo
』➙
ThinkVantage
『
➙
ThinkVantageFingerprint
『ThinkVantage
➙『
Fingerprint
Fingerprint
FingerprintSoftware
イ
メ
ド
(
イン
メイ
ドメ
(ド
接
に
ン
接続
に接
ンに
Fingerprint
Fingerprint
FingerprintSoftware
Software
Software
Softwareの順にクリックして、
第6章.ベスト・プラクティス65
れ
さ
続
れて
され
続さ
Software
Software
Software』
了
完
了
完
了』をクリックし
完了
る
い
て
る)
いる
てい
』
』
』の順に
る
い
て
れ
さ
続
接
に
ン
イ
メ
ド
(
)
)
)
Page 72
11.コンピューター画面のプロンプトに従い、内蔵指紋センサーを使用して指を登録します。
定
設
定
設
定』をクリックします。
12.ウィンドウの上部にある『設
ン
イ
グ
ロ
Windows
Windows
Windowsに
13.『Windows
をクリアし、『OK
14.コンピューターを再起動し、ご自分のパスワードを使用してWindowsにログオンします。
ス
『
ス
『
スタ
『ス
15.『
を開始します。
拡
拡
拡張
16.『拡
ドウを表示します。
ユ
ユ
ユー
17.『ユ
セ
セ
セキ
18.『セ
ー
シ
ー
シ
ーを
シー
シ
OK
OK
OK』をクリックしてから、『は
19.『OK
20.再起動後に、内蔵または外部指紋センサーでWindowsにログオンするために指紋を使用できる
ことを確認します。
に
ロ
に
ログ
にロ
』
ト
ー
タ
タ
ター
張
張
張』メニューから『セ
ー
ー
ーザ
キ
キ
キュ
を
を
を使
』
ト
ー
』➙
ト』
ート
置
処
ー
ザ
ザ
ザー
ュ
ュ
ュリ
使
使
使用
ー
ー処
リ
リ
リテ
用
用
用し
置
処
置』パネルで『Windows
処置
ィ
テ
ィ
テ
ィー
ティ
ま
し
し
しま
ン
イ
グ
ンす
イン
グイ
OK
OK
OK』をクリックしてから、『閉
ロ
プ
➙
ロ
プ
➙
ログ
プロ
➙プ
ポ
・
ー
ポ
・
ー
ポリ
・ポ
ー・
す
す
ま
す』を選択します。
ます
設定
と
る
す
と
る
す
とき
ると
する
ム
ラ
グ
ム
ラ
グ
ム➙
ラム
グラ
キ
セ
キ
セ
キュ
セキ
ー
シ
リ
ー
シ
リ
ー』パネルで『こ
シー
リシ
き
、
き
、パ
き、
➙
➙
➙『
ュ
ュ
ュリ
Windows
Windows
Windowsへ
ワ
ス
パ
ワー
スワ
パス
ThinkVantage
『
ThinkVantage
『
ThinkVantage』
『ThinkVantage
ー
ィ
テ
リ
ィ
テ
リ
ィー
ティ
リテ
い
は
い
は
い』をクリックして、コンピューターを再起動します。
はい
で
ド
ー
では
ドで
ード
ポ
・
ポ
・
ー
ポリ
・ポ
ー・
ロ
の
へ
ロ
の
へ
ログ
のロ
への
こ
こ
この
く
な
は
く指
なく
はな
る
じ
閉
る
じ
閉
る』をクリックしてウィンドウを閉じます。
じる
閉じ
➙
』
➙
』
➙Client
』➙
ー
シ
リ
ー
シ
リ
ーの
シー
リシ
ン
オ
グ
ン
オ
グ
ン』を選択します。
オン
グオ
ー
ユ
の
ー
ユ
の
ーザ
ユー
のユ
ス
紋
指
スキ
紋ス
指紋
Security
Client
Security
Client
SecuritySolution
ClientSecurity
理
管
の
理
管
の
理』を選択して、『PolicyManager』ウィン
管理
の管
処
ー
ザ
処
ー
ザ
処置
ー処
ザー
ン
ャ
キ
ンを
ャン
キャ
デ
に
置
デ
に
置
デフ
にデ
置に
用
使
を
用す
使用
を使
Solution
Solution
Solutionをクリックして、CSS
ト
ル
ォ
フ
フ
フォ
ト
ル
ォ
トの
ルト
ォル
用
使
を
ン
ャ
キ
ス
紋
指
く
な
は
で
ド
ー
ワ
ス
パ
、
る
す
る
す
る』チェック・ボックス
する
ィ
テ
リ
ュ
キ
セ
の
の
のセ
ュ
キ
セ
ュリ
キュ
セキ
ィ
テ
リ
ィー
ティ
リテ
ー
ー
ー・
リ
ポ
・
リ
ポリ
・ポ
リ
ポ
・
Client
Client
Client
ClientSecurity
Windowsログオンとは異なり、ClientSecuritySolutionとPasswordManagerからの認証要求は、優先指紋セ
ンサーでのみ機能します。例えば、指紋センサー付きキーボードが接続されている場合、その指紋セン
サーが優先デバイスになります。指紋センサー付きキーボードが接続されていない場合は、ThinkPad
内蔵指紋センサーが優先デバイスになります。
優先デバイスを変更するには、次のようなレジストリー項目を作成します。
[HKLM¥Software¥Lenovo¥TVTCommon¥ClientSecuritySolution]
REG_DWORD"PreferInternalFPSensor"=1
表 32. レ ジ ス ト リ ー ・ キ ー
名
名
名
名前
Pref erInternalFPSensor
プ
プ
プ
プリ
Windowsログオンとは異なり、BIOSパスワードの認証要求は、BIOSが使用されるように構成されている
ときにのみ、指紋センサーで機能します。デフォルトでは、BIOSは、指紋センサー付きキーボードが接
続されている場合、そのキーボードによる指紋の読み取りを認識します。指紋センサー付きキーボードが
接続されていない場合、BIOSは、内蔵指紋センサー・デバイスでの指紋読み取りを認証に使用します。
Security
Security
SecuritySolution
前
前
前値
リ
ブ
ー
リ
リブ
ト
ブ
ー
ト
ブー
ート
ト認
認
認
認証
Solution
Solution
Solutionと
証
-
BIOS
証
-
BIOS
証-
-BIOS
BIOSパ
と
と
とPassword
パ
パ
パス
Password
Password
PasswordManager
値
値
値説
0(デフォルト)
1
ス
ワ
ー
ス
ワ
ー
スワ
ワー
ード
Manager
Manager
Manager
ド
の
代
わ
り
に
ド
の
代
ドの
わ
の代
代わ
わり
指
り
に
指
りに
に指
指紋
説
明
説
明
説明
明
指紋センサー付きキーボードが接続
されているときには必ず、外部指紋
センサーが優先されるように指定し
ます。
内蔵指紋センサーが優先されるよう
に指定します。
紋
を
使
用
す
紋
を
使
紋を
を使
使用
る
用
す
る
用す
する
る
Reader
Reader
外部指紋センサー付きキーボードが接続されているときでも、Reader
Reader
Reader
ンサーを強制的に使用するように変更できます。Reader
Internal
Internal
InternalOnly
を『Internal
:
注
:
注
:このBIOS設定は、BIOS上の指紋プロンプトのみに適用されます。WindowsログオンやClient
注:
注
SecuritySolutionの指紋認証要求には影響しません。
66ClientSecuritySolution8.21デプロイメント・ガイド
Only
Only
Only』に変更して、内蔵指紋センサーを強制的に使用することができます。
ReaderPriority
Priority
Priority
Priorityのデフォルト値は『External
ReaderPriority
Priority
Priority
PriorityのBIOS設定を、内蔵指紋セ
External
External
External』です。設定
Page 73
成
構
プ
プ
プリ
プ
BIOSでスーパーバイザー、パワーオン、またはハードディスク・ドライブ・パスワードを設定した
場合は、これらのパスワードを入力する代わりに、認証に指紋認証ソフトウェアを使用するように
構成できます。
Lenovo
Lenovo
LenovoFingerprint
Lenovo
1.『
2.指紋を読み取らせるか、またはWindowsパスワードを入力するように求められたら、パスワード
3.ウィンドウの上部にある『設
4.『パ
5.登録された指紋の1つを選択して、指紋を使用可能に設定し、BIOSパスワードを置き換えます。
6.『閉
ThinkVantage
ThinkVantage
ThinkVantageFingerprint
ThinkVantage
1.『
2.ウィンドウの上部にある『
3.『コ
4.『
5.指紋を読み取らせるか、またはWindowsパスワードを入力するように求められたら、パスワード
6.登録された指紋の1つを選択して、指紋を使用可能に設定し、BIOSパスワードを置き換えます。
7.『終
ー
ブ
リ
ート
ブー
リブ
Fingerprint
Fingerprint
FingerprintSoftware
タ
ス
『
タ
ス
『
ター
スタ
『ス
リックして、FingerprintSoftwareを開始します。
を入力します。
ワ
パ
ワ
パ
ワー
パワ
ク・ボックスと『パ
択してから、『OK
じ
閉
じ
閉
じる
閉じ
タ
ス
『
タ
ス
『
ター
スタ
『ス
て、FingerprintSoftwareを開始します。
:
注
:
注
:『パ
注:
注
作成して、この設定を表示します。
[HKEY_LOCAL_MACHINE¥SOFTWARE¥ProtectorSuiteQL¥1.0]
REG_DWORD"BiosFeatures"=2
ン
コ
ン
コ
ンピ
コン
リックしてウィンドウを閉じます。
紋
指
『
紋
指
『
紋』
指紋
『指
を入力します。
了
終
了
終
了』をクリックして、ウィンドウを閉じます。
終了
証
認
ト
証を
認証
ト認
』
ト
ー
』
ト
ー
』➙
ト』
ート
セ
ン
オ
ー
ー
ーオ
る
る
る』をクリックして、ウィンドウを閉じます。
ー
ー
ート
パ
パ
パワ
ピ
ピ
ピュ
』
』
』➙
オ
オン
Fingerprint
Fingerprint
FingerprintSoftware
ト
ト
ト』
ワ
ワ
ワー
ュ
ュ
ュー
セ
ン
セキ
ンセ
』
』
』➙
ー
ー
ーオ
ー
ー
ータ
『
➙
『
➙
『指
➙『
用
使
を
用可
使用
を使
Software
Software
Software-
ロ
プ
『
➙
➙
➙『
➙
➙
➙プ
オ
オ
オン
タ
タ
ター
指
指
指紋
ロ
プ
『
ログ
プロ
『プ
リ
ュ
キ
リ
ュ
キ
リテ
ュリ
キュ
ワ
パ
ワ
パ
ワー
パワ
OK
OK
OK』をクリックしてウィンドウを閉じます。
Software
Software
Software(Windows
グ
ロ
プ
グ
ロ
プ
グラ
ログ
プロ
セ
・
ン
セ
・
ン
セキ
・セ
ン・
起
の
ー
起
の
ー
起動
の起
ーの
登
を
紋
登
を
紋
登録
を登
紋を
に
能
可
にす
能に
可能
指
蔵
内
-
指
蔵
内
-
指紋
蔵指
内蔵
-内
ム
ラ
グ
ム
ラ
グ
ム』
ラム
グラ
定
設
定
設
定』をクリックします。
設定
ハ
と
ィ
テ
テ
ティ
ー
ー
ーオ
ハ
と
ィ
ハー
とハ
ィと
セ
ン
オ
セ
ン
オ
セキ
ンセ
オン
(Windows
(Windows
(WindowsXP)
➙
ム
ラ
➙
ム
ラ
➙『
ム➙
ラム
定
設
『
定
設
『
定』
設定
『設
テ
リ
ュ
キ
キ
キュ
動
動
動に
テ
リ
ュ
ティ
リテ
ュリ
紋
指
に
紋
指
に
紋を
指紋
に指
集
編
/
録
集
編
/
録
集』
編集
/編
録/
た
る
す
ため
るた
する
サ
ン
セ
紋
紋
紋セ
』
』
』➙
ー
ー
ード
キ
キ
キュ
『
『
『ThinkVantage
』
』
』➙
』
』
』をクリックして、ウィンドウを表示します。
サ
ン
セ
サー
ンサ
セン
ThinkVantage
『
➙
ThinkVantage
『
➙
ThinkVantage』
『ThinkVantage
➙『
ラ
ド
ド
ラ
ド
ド
ライ
ドラ
ドド
テ
リ
ュ
テ
リ
ュ
ティ
リテ
ュリ
ThinkVantage
ThinkVantage
ThinkVantage』
『
➙
『
➙
『パ
➙『
ー
ィ
ー
ィ
ー』設定が選択不可の場合は、次のようなレジストリー項目を
ィー
す
用
使
を
用
使
を
用す
使用
を使
Fingerprint
の
め
FingerprintSoftware
のFingerprint
めの
合
場
の
XP)
XP)
XP)-
パ
パ
パワ
す
する
ー
ー
ーの
イ
イ
イブ
ィ
ィ
ィの
合
場
の
合
場合
の場
』
』
』➙
ワ
ス
パ
の
ブ
の
ブ
のパ
ブの
の
の
のオ
外
-
外
-
外部
-外
ー
ワ
ー
ワ
ーオ
ワー
る
る
る』チェック・ボックスを選択してから、『OK
ワ
ス
パ
ワー
スワ
パス
シ
プ
オ
シ
プ
オ
ショ
プシ
オプ
紋
指
部
紋
指
部
紋セ
指紋
部指
ThinkVantage
➙
』
ThinkVantage
➙
』
ThinkVantageFingerprint
➙ThinkVantage
』➙
・
ン
オ
・
ン
オ
・セ
ン・
オン
Fingerprint
の
め
た
る
す
に
能
可
用
使
を
証
認
ト
ー
ブ
リ
Software
Software
Softwareの
Lenovo
『
➙
Lenovo
『
➙
LenovoFingerprint
『Lenovo
➙『
は
で
ド
ー
ー
ード
ョ
ョ
ョン
セ
セ
セン
セ
セ
セキ
は
で
ド
はな
では
ドで
に
常
を
ン
ン
ンを
に
常
を
に表
常に
を常
の
ー
サ
ン
ン
ンサ
キ
キ
キュ
の
ー
サ
の場
ーの
サー
テ
リ
ュ
テ
リ
ュ
ティ
リテ
ュリ
の
構
の
構成
の構
Fingerprint
Fingerprint
FingerprintSoftware
ス
紋
指
く
な
く
な
く指
なく
表
表
表示
場
場
場合
Fingerprint
Fingerprint
FingerprintSoftware
ィ
ィ
ィー
ス
紋
指
スキ
紋ス
指紋
る
す
示
る
す
示
る』チェック・ボックスを選
する
示す
合
合
合
』
ー
』
ー
』をクリックします。
ー』
成
成
Software
Software
Software』
ャ
キ
ャ
キ
ャン
キャ
Software
Software
Softwareの順にクリックし
』
』
』の順にク
る
す
用
使
を
ン
使
を
ン
使用
を使
ンを
す
用
する
用す
OK
OK
OK』をク
る
る』チェッ
合
場
の
ー
サ
ン
セ
紋
指
部
外
-
『
➙
『
➙
『ThinkVantage
➙『
ド
ド
ド
ド
ドラ
ドド
リ
ュ
リ
ュ
リテ
ュリ
Vista)
Vista)
Vista)-
ThinkVantage
ThinkVantage
ThinkVantage』
ラ
ラ
ライ
テ
テ
ティ
外
-
外部
-外
の
ブ
イ
の
ブ
イ
のパ
ブの
イブ
オ
の
ィ
オ
の
ィ
オプ
のオ
ィの
部
部指
パ
パ
パス
プ
プ
プシ
セン
紋セ
指紋
『
➙
』
➙
』
➙『
』➙
ー
ワ
ス
ー
ワ
ス
ード
ワー
スワ
ン
ョ
シ
ン
ョ
シ
ンを
ョン
ショ
ーの
サー
ンサ
ThinkVantage
ThinkVantage
『
ThinkVantageFingerprint
『ThinkVantage
は
で
ド
は
で
ド
はな
では
ドで
に
常
を
に
常
を
に表
常に
を常
合
場合
の場
Fingerprint
Fingerprint
FingerprintSoftware
キ
ス
紋
指
く
な
指
く
な
指紋
く指
なく
示
表
示
表
示す
表示
キ
ス
紋
キャ
スキ
紋ス
る
す
る
す
る』チェック・ボックスを選
する
第6章.ベスト・プラクティス67
Software
Software
Software』
す
用
使
を
ン
ャ
を
ン
ャ
を使
ンを
ャン
す
用
使
する
用す
使用
合
場
の
ー
サ
ン
セ
紋
指
ThinkVantage
ThinkVantage
ThinkVantageFingerprint
ThinkVantage
ス
『
ス
『
スタ
『ス
1.『
リックして、FingerprintSoftwareを開始します。
2.指紋を読み取らせるか、またはWindowsパスワードを入力するように求められたら、パスワード
を入力します。
3.ウィンドウの上部にある『設
パ
パ
パワ
4.『パ
ク・ボックスと『パ
択してから、『OK
5.登録された指紋の1つを選択して、指紋を使用可能に設定し、BIOSパスワードを置き換えます。
閉
6.『閉
Fingerprint
Fingerprint
FingerprintSoftware
』
ト
ー
タ
タ
ター
ワ
ワ
ワー
じ
じ
閉
じる
閉じ
』
ト
ー
』➙
ト』
ート
ン
オ
ー
ン
オ
ー
ンセ
オン
ーオ
る
る
る』をクリックして、ウィンドウを閉じます。
Software
Software
Software(Windows
ロ
プ
『
➙
➙
➙『
セ
セ
セキ
ロ
プ
『
ログ
プロ
『プ
リ
ュ
キ
リ
ュ
キ
リテ
ュリ
キュ
ワ
パ
ワ
パ
ワー
パワ
OK
OK
OK』をクリックしてウィンドウを閉じます。
(Windows
(Windows
(WindowsVista)
』
ム
ラ
グ
グ
グラ
テ
テ
ティ
ー
ー
ーオ
』
ム
ラ
』➙
ム』
ラム
定
設
定
設
定』をクリックします。
設定
ー
ハ
と
ィ
ィ
ィと
オ
オ
オン
ー
ハ
と
ード
ハー
とハ
キ
セ
ン
キ
セ
ン
キュ
セキ
ンセ
』
』
』の順にク
る
る
る』チェッ
Page 74
68ClientSecuritySolution8.21デプロイメント・ガイド
Page 75
付
録
A
付
録
付
付録
録A
©
Softex
タを保護するプログラムです。OmniPassは、ClientSecuritySolutionが提供するインターフェースを通
じてPCのTPMにアクセスし、利用することができます。TPMを利用するには、OmniPassをインス
トールする前にClientSecuritySolutionをインストールする必要があります。両方の製品が提供する機
能が類似しているため、OmniPassをインストールするとClientSecuritySolutionの機能の一部が無効に
なったり、隠される場合があります。
さらに、両方のプログラムをインストールすると競合が発生します。次の表に発生しうる競合をリスト
しています。これらをよく検討してください。
表 33. Omnipass と の 機 能 の オ ー バ ー ラ ッ プ
のOmniPassは、Webサイトやアプリケーションに安全にログインできるようにし、PC上のデー
機
能
機
能
機
機能
能機
A
AOmniPass
OmniPass
OmniPass
OmniPassを
を
使
用
す
る
際
の
考
慮
事
を
使
用
す
る
際
の
考
を使
使用
用す
する
る際
際の
の考
機
能
の
オ
ー
バ
ー
機
能
の
オ
機能
能の
のオ
オー
ラ
ー
バ
ー
ラ
ーバ
バー
ーラ
ラッ
慮
考慮
慮事
ッ
プ
ッ
プ
ップ
プ考
項
事
項
事項
項
考
慮
事
項
考
慮
事
項
考慮
慮事
事項
項
指紋認証ThinkVantage指紋認証ソフトウェア
とOmniPassは、それぞれ別個に指紋
登録を必要とします。
パスワード管理
Windowsログオン
ファイルの暗号化
暗号インターフェース
ClientSecuritySolutionとOmniPassは
両方ともPasswordManagerを提供し
ます。
ClientSecuritySolutionとOmniPassは
両方ともWindowsログオン・イン
ターフェースを提供します。
ClientSecuritySolution8.21と
OmniPassは両方ともファイルの暗号
化アプリケーションを提供します。
ClientSecuritySolutionとOmniPass
は両方ともCSPおよびPKCS#11
モジュールを提供します。Client
SecuritySolution暗号インターフェー
スでは、OmniPassから独立した認証
が使用されます。
ThinkVantage指紋認証ソフトウェア
への指紋登録は、指紋を使用する
起動前認証をサポートするために
必要です。ThinkVantage指紋認証ソ
フトウェアに登録された指紋は、
OmniPassに登録された指紋から独立
しています。OmniPassをインストー
ルすると、『スタート』メニューか
らThinkVantage指紋認証ソフトウェ
アのコントロール・センターのリン
クが隠されます。
ClientSecuritySolutionのPassword
ManagerはOmniPassをインストール
すると自動的に無効になります。
ClientSecuritySolutionのログオン・
インターフェースはOmniPassをイ
ンストールすると自動的に無効にな
ります。
注
:
注
:
注
注:
:ClientSecuritySolutionログオ
ン・インターフェースが無効になる
と、Windowsログオン中は、忘れ
てしまったWindowsパスワードを
ClientSecuritySolutionのパスワード
の復元機能を使用して復元すること
はできません。
これら両方のバージョンを共存させ
ることはできますが、混乱を避ける
ため、ClientSecuritySolution7.0およ
びそれ以前のPrivateDiskはアンイン
ストールしてください。
暗号操作ではClientSecuritySolution
のCSPまたはPKCS#11モジュール
を選択しないでください。
©CopyrightLenovo2008,2012
69
Page 76
表 33. Omnipass と の 機 能 の オ ー バ ー ラ ッ プ ( 続 き )
機
能
機
能
機
機能
能機
ユーザー認証
機
能
の
オ
機
能
の
オ
機能
能の
のオ
オー
ClientSecuritySolutionとOmniPassの
両方がユーザー認証のプロンプトを
出す場合があります。
ー
バ
ー
ラ
ッ
ー
バ
ーバ
バー
プ
ー
ラ
ッ
プ
ーラ
ラッ
ップ
プ考
考
慮
事
項
考
慮
事
項
考慮
慮事
事項
項
ClientSecuritySolutionとOmniPassの
両方を使用している場合、ユーザー
がそれらの認証プロンプトの違いを
理解し、それぞれのプロンプトに
(指紋を含む)適切な認証情報を入力
することが必要です。
機能へのアクセス
ClientSecuritySolutionおよび
OmniPassは『スタート』メニュー
にあるアプリケーションからそれぞ
れの機能にアクセスするため、ユー
ザーが混乱する可能性があります。
このため、『スタート』メニューか
らClientSecuritySolutionを削除して
ください。
上記の考慮事項に加え、Omnipassでは以下のような問題が検出される場合があります。
•指紋プラグインからメモリー不足のエラー・メッセージが表示された場合は、このエラー・メッセージ
を無視して、Omnipassの使用を続行してください。
•WindowsパスワードがNULLのユーザーの場合は、TPMの登録は機能しません。
70ClientSecuritySolution8.21デプロイメント・ガイド
Page 77
付
録
B
付
録
付
付録
録B
き
キ
き
キ
き
きキ
キー
一部のThinkPadノートブック・モデルで使用する指紋センサー・デバイスは、Lenovo指紋センサー付き
キーボードで使用する指紋センサー・デバイスと異なります。一部のThinkPadノートブック・モデルで指
紋センサー付きキーボードを使用するときには、特別な考慮が必要となる可能性があります。
詳細については、LenovoWebサイトにある指紋認証ソフトウェア・ダウンロード・ページにアクセスし
てください。該当するThinkPadノートブック・モデルがリストされています。
指紋センサー付きキーボードと共に使用するときに特別な考慮が必要なのは、『LenovoFingerprint
Software』の欄にリストされているモデルのみです。『ThinkVantageFingerprintSoftware』を使用する他の
すべてのThinkPadノートブック・モデルは、指紋センサー付きキーボードに組み込まれているデバイスと
互換性のある指紋センサー・デバイスを使用し、特別な考慮は必要ありません。
設
定
と
設
定
と
設
設定
定と
とセ
LenovoFingerprintSoftware2.0以降は、ThinkPadノートブックで使用する指紋センサー・デバイスと共に使
用できるようにインストールする必要があります。ユーザーは、内蔵されている指紋センサー・デバイス
を使用して、LenovoFingerprintSoftwareに指紋を登録する必要があります。
ThinkVantage指紋認証ソフトウェア5.8以降は、LenovoFingerprintKeyboardと共に使用できるようにイン
ストールする必要があります。ユーザーは、その指紋センサー付きキーボードを使用して、ThinkVantage
指紋認証ソフトウェアに指紋を登録する必要があります。
B
BThinkPad
ー
ー
ーボ
セ
セ
セッ
ThinkPad
ThinkPad
ThinkPadノ
ボ
ー
ボ
ー
ボー
ード
ッ
ト
ッ
ト
ット
トア
ド
ド
ドを
ア
ア
アッ
ノ
ー
ト
ブ
ッ
ク
・
モ
デ
ル
で
ノ
ー
ト
ブ
ッ
ク
・
モ
デ
ノー
ート
トブ
ブッ
ック
ク・
・モ
モデ
を
使
用
す
る
際
の
特
を
使
用
す
る
際
を使
使用
用す
する
る際
ッ
プ
ッ
プ
ップ
プ
の
際の
の特
別
特
別
特別
別な
ル
デル
ルで
な
考
な
な考
慮
考
慮
考慮
慮事
で
でLenovo
事
事
事項
Lenovo
Lenovo
Lenovo指
項
項
項
指
紋
セ
ン
サ
指
紋
セ
指紋
紋セ
ン
セン
ンサ
ー
サ
ー
サー
ー付
付
付
付
:
注
:
注
:1つのデバイスに登録された指紋を、他のデバイスと交換することはできません。
注:
注
ワ
ー
ク
ス
ペ
ー
ス
認
ワ
ー
ク
ス
ペ
ワ
ワー
ーク
クス
ワークスペース認証には、標準装備の指紋センサー・デバイスまたは指紋センサー付きキーボードが
使用されます(システム電源をオンにする際のパスワードまたはハードディスク・ドライブのパス
ワードが指紋認証に置き換わります)。システムの電源がオンになると、使用するデバイスがBIOSに
よって決定されます。
デフォルトでは、BIOSは、指紋センサー付きキーボードが接続されている場合、そのキーボードによ
る指紋の読み取りのみを受け入れます。ワークスペース認証の場合、指紋センサー付きキーボードが
接続されているときには、内蔵されている指紋センサー・デバイスによる指紋の読み取りは無視され
ます。指紋センサー付きキーボードが接続されていない場合は、ワークスペース認証に、内蔵されて
いる指紋センサー・デバイスが使用されます。
『ReaderPriority』のBIOS設定を、標準装備の指紋センサーを使用するように変更できます。『Reader
Priority』が『Internalonly』に設定されている場合は、ワークスペース認証に、内蔵されている指紋セン
サーを使用できます。この場合は、指紋センサー付きキーボードによる指紋の読み取りは無視されます。
Windows
Windows
Windows
Windowsロ
LenovoFingerprintKeyboardおよびThinkPadで使用される指紋センサー・デバイスは、指紋認証でWindows
にログオンするためのインターフェースをそれぞれ独自に備えています。
ー
スペ
ペー
ース
ロ
グ
ロ
グ
ログ
グオ
証
ス
認
証
ス認
認証
証
オ
ン
オ
ン
オン
ン
:
要
重
:
要
重
:指紋ログオン・インターフェースが正しく構成されていない場合は、互換性の問題により、ログオ
要:
重要
重
ンに問題が生じる可能性があります。
©CopyrightLenovo2008,2012
71
Page 78
Windows
Windows
Windows
WindowsXP
WindowsXPのようこそ画面でのLenovoFingerprintKeyboardまたは標準装備のThinkPad指紋センサーを使
用したログオンをサポートするために、LenovoFingerprintSoftwareとThinkVantage指紋認証ソフトウェア
の両方のログオン・インターフェースを使用可能にしておく必要があります。
WindowsXPのようこそ画面が使用可能になっている状態でログオンするときに、両方の指紋ログオン・
インターフェースが使用可能になっている場合は、ユーザーが、指紋センサー付きキーボードと内蔵され
ている指紋センサー・デバイスのどちらかで指紋を読み取らせて、ログオンできます。
:
注
:
注
:BIOSの『ReaderPriority』設定は、この状態では適用されません。両方のデバイスが使用可能になっ
注:
注
ているときには、どちらかのデバイスをログオンに使用できます。
WindowsXPのようこそ画面を使用可能にするには、WindowsXPの『コントロールパネル』の『ユーザー
アカウント』を使用します。
LenovoFingerprintSoftware(内蔵された指紋センサーの場合)およびThinkVantageFingerprintSoftware(指紋セ
ンサー付きキーボードの場合)の指紋ログオン・インターフェースを使用可能にするには、それぞれの
FingerprintSoftwareアプリケーションの『設定』オプションを使用します。
XP
XP
XP-
-
よ
う
こ
そ
画
-
よ
う
-よ
こ
よう
うこ
こそ
面
そ
画
面
そ画
画面
面
Windows
Windows
Windows
WindowsXP
:
要
重
:
要
重
:WindowsXPのクラシック・ログオン・プロンプト(GINAログオン・インターフェース)が使用可能
要:
重要
重
になっている場合は、LenovoFingerprintSoftwareとThinkVantage指紋認証ソフトウェアの指紋ログオン・
インターフェースを同時に使用可能にしてはなりません。両方のログオン・インターフェースを使用可能
にして、WindowsXPのようこそ画面を使用しない場合は、予期しない結果が生じる可能性があります。
WindowsXPのクラシック・ログオン・プロンプトが必要で(例えば、ドメインへのログオンをサポートす
る場合など)、いずれかのセンサーによる指紋認証ログオンを選択した場合は、ClientSecuritySolutionログ
オン・インターフェースを使用可能にする必要があります。ClientSecuritySolutionログオン・インター
フェースが使用可能になっているときには、指紋センサー付きキーボードと内蔵されている指紋セン
サー・デバイスのどちらを使用しても、Windowsにログオンできます。
:
注
:
注
:このオプションは、ClientSecuritySolution8.21以降でのみ、使用できます。
注:
注
ClientSecuritySolutionのログオン・インターフェースは、『スタート』メニューの『ClientSecurity
Solution』から使用可能にすることができます。ClientSecuritySolutionのログオン・インターフェースを
構成するためのオプションは、ClientSecuritySolutionの『拡張』メニューから『セキュリティー・ポ
リシーの管理』を選択すると、表示できます。
LenovoFingerprintSoftwareおよびThinkVantageFingerprintSoftwareのログオン・インターフェースが、
それぞれのFingerprintSoftwareアプリケーションの『設定』オプションで使用不可になっていること
を確認してください。
Windows
Windows
Windows
WindowsVista
XP
XP
XP-
Vista
Vista
Vista
-
ク
ラ
シ
ッ
ク
・
ロ
グ
オ
ン
・
プ
ロ
ン
プ
-
ク
ラ
シ
ッ
ク
・
ロ
グ
オ
ン
・
プ
-ク
クラ
ラシ
シッ
ック
ク・
・ロ
ログ
グオ
オン
ン・
ロ
・プ
プロ
ロン
ト
ン
プ
ト
ンプ
プト
ト
WindowsVistaでのLenovoFingerprintKeyboardまたは標準装備のThinkPad指紋センサーを使用したログオ
ンをサポートするために、LenovoFingerprintSoftwareとThinkVantage指紋認証ソフトウェアの両方のログ
オン・インターフェースを使用可能にしておく必要があります。
WindowsVistaで両方の指紋ログオン・インターフェースが使用可能になっている場合は、ユーザーが、
指紋センサー付きキーボードと内蔵されている指紋センサー・デバイスのどちらかで指紋を読み取ら
せて、ログオンできます。
72ClientSecuritySolution8.21デプロイメント・ガイド
Page 79
:
注
:
注
:
注:
注
1.BIOSの『ReaderPriority』設定は、このシナリオでは適用されません。両方のデバイスが使用可能に
なっているときには、どちらかのデバイスをログオンに使用できます。
2.どちらの指紋センサーもログオンに使用できますが、指紋ログオンの場合は、WindowsVistaのログオ
ン画面に1つのタイルまたはボタンしか表示されない可能性があります。
また、指紋センサー付きキーボードまたは内蔵されている指紋センサー・デバイスを使用したログオ
ンをサポートするために、指紋認証ソフトウェアのログオン・インターフェースではなく、Client
SecuritySolutionのログオン・インターフェースを使用できます。ただし、この機能は、ClientSecurity
Solution8.21以降でのみ使用できます。
ClientSecuritySolutionのログオン・インターフェースを使用する場合は、それぞれのFingerprintSoftwareア
プリケーションの『設定』オプションから、FingerprintSoftwareのログオン・インターフェースを使用不
可にする必要があります。ClientSecuritySolutionのログオン・インターフェースは、『スタート』メ
ニューの『ClientSecuritySolution』から使用可能にすることができます。ClientSecuritySolutionのログオ
張
拡
張
拡
張』メニューから
ン・インターフェースを構成するためのオプションは、ClientSecuritySolutionの『拡
理
管
の
ー
シ
リ
ポ
・
ー
ィ
テ
リ
ュ
キ
セ
ュ
キ
セ
ュリ
キュ
セキ
『セ
ィ
テ
リ
ィー
ティ
リテ
ポ
・
ー
ポリ
・ポ
ー・
ー
シ
リ
ーの
シー
リシ
理
管
の
理』を選択すると、表示できます。
管理
の管
拡張
Client
Client
Client
ClientSecurity
注
注
注:
注
バージョンでは、内蔵されている指紋センサー・デバイスと指紋センサー付きキーボードとの併用
はサポートされていませんでした。
ClientSecuritySolutionを使用して指紋認証が必要なアクションを実行するときには(例えば、Password
Managerを使用してWebサイトにパスワードを自動入力する場合など)、ユーザーは、指紋センサー付
きキーボードが接続されていたら、指紋を求められたときに指紋を読み取らせる必要があります。指
紋センサー付きキーボードが接続されているときには、標準装備の指紋センサー・デバイスによる指
紋の読み取りは無視されます。指紋センサー付きキーボードが接続されていない場合は、内蔵されて
いる指紋センサーを使用する必要があります。
ClientSecuritySolutionでの認証に標準装備の指紋センサーを使用するようにユーザーに求めるには、レ
ジストリー設定を使用できます。このレジストリー項目が設定された場合は、ClientSecuritySolution
での指紋認証を標準装備のセンサーで行なう必要があり、指紋センサー付きキーボードからの指紋の
読み取りは無視されます。
レジストリー項目は次のとおりです。
[HKLM¥Software¥Lenovo¥TVTCommon¥ClientSecuritySolution]
REG_DWORD"PreferInternalFPSensor"=1
ClientSecuritySolutionでの指紋認証を標準装備のセンサーで行なう必要があるとき、上記のレジストリー
項目のデフォルト値は0で、指紋センサー付きキーボードからの指紋の読み取りは無視されます。
この設定は、ClientSecuritySolutionのAdministrativeTemplateファイルをActiveDirectoryのグループ・ポリ
シーと共に使用して、変更することもできます。
Security
Security
SecuritySolution
:
:
:次の情報は、ClientSecuritySolution8.21以降のみに適用されます。ClientSecuritySolutionの従来の
Solution
Solution
Solutionで
で
の
認
で
での
証
の
認
証
の認
認証
証
:
注
:
注
:
注:
注
1.BIOSの『ReaderPriority』設定が『Internalonly』に設定されている場合、レジストリー項目値を1に
設定することをお勧めします。これにより、ClientSecuritySolutionでの認証で、BIOSワークスペース
認証の設定をシミュレートできるようになります。
2.BIOS設定とこのレジストリー設定は独立しています。
付録B.ThinkPadノートブック・モデルでLenovo指紋センサー付きキーボードを使用する際の特別な考慮事項73
Page 80
74ClientSecuritySolution8.21デプロイメント・ガイド
Page 81
付
録
C
付
録
付
付録
録C
を
同
を
を
を同
Windowsパスワードがリセットされた後、ClientSecuritySolutionによって、新しいWindowsパスワードを
入力するように連続して求められますが、パスワードが誤っていることを示すエラー・メッセージが表
示されます。Windowsセキュリティーはこのような方法で設計されているので、Windowsパスワード
がリセットされると、セキュリティー・クレデンシャルが無効になります。パスワードをリセットし
ようとするたびに、Windowsから警告メッセージが出されます。また、Windowsパスワードのリセッ
トの影響を受けるのはClientSecuritySolutionのみではなく、WindowsEFSによって暗号化された証明
書とファイルへのアクセスも失われます。ClientSecuritySolutionが(パスワードをリセットした結果と
して)Windowsセキュリティー・クレデンシャルにアクセスできなくなると、ClientSecuritySolutionは
新しいパスワードを入力するように連続して求め、入力されたパスワードが無効であることを示すエ
ラー・メッセージを表示します。Windowsセキュリティー・クレデンシャルがこの方法で無効になる
と、ClientSecuritySolutionは機能できなくなります。Windowsパスワードが変更されたら(例えば、旧
パスワードと新パスワードの両方を指定するように求められた場合など)、新しいパスワードによっ
てセキュリティー・クレデンシャルが保存され、保護されます。
Windowsパスワードのリセット後にCSSでパスワードを同期化するには、次のようにします。
期
同
期
同期
期化
1.Windowsパスワードをリセットする前にシステムのバックアップを復元します。
2.Windowsパスワードを元のパスワードにリセットします。これにより、Windowsセキュリティー・ク
レデンシャルへのアクセスが復元されます。
3.新規Windowsアカウントを作成し、破損したクレデンシャルを使用した元のアカウントではなく、新
規アカウントの使用を開始します。
4.次の方法に従って、システムをリカバリーします。
a.PasswordManagerを起動します。
b.『イ
c.ファイルを保存する場所を指定し、ファイル名を入力します。
d.項目ファイルのパスワードを入力します。
e.PasswordManagerを閉じます。
f.ClientSecuritySolutionを起動します。
g.拡
h.新しいWindowsパスワードを入力するように求められたら、パスワードを入力します。
i.ClientSecuritySolutionから、システムを再起動するように求められます。
j.システムが再起動したら、PasswordManagerを起動します。
k.『イ
l.以前に保存したファイルを参照します。
m.パスワードを入力するように求められたら、入力します。
C
CWindows
イ
イ
イン
張
拡
張
拡
張➙
拡張
イ
イ
イン
Windows
Windows
Windowsパ
化
す
化
す
化す
する
ー
ポ
ン
ー
ポ
ン
ート
ポー
ンポ
セ
➙
セ
➙
セキ
➙セ
ー
ポ
ン
ー
ポ
ン
ート
ポー
ンポ
る
る
る
エ
/
ト
エ
/
ト
エク
/エ
ト/
ュ
キ
ュ
キ
ュリ
キュ
エ
/
ト
エ
/
ト
エク
/エ
ト/
パ
ス
ワ
ー
ド
の
リ
セ
ッ
ト
後
に
CSS
で
パ
ス
ワ
ー
パ
ス
ワ
ー
ド
の
リ
セ
ッ
ト
後
に
CSS
で
パ
ス
パス
スワ
ワー
ード
ドの
のリ
リセ
セッ
ット
ト後
後に
にCSS
CSSで
ク
エ
の
ト
ス
リ
目
ク
ス
ク
スポ
クス
テ
リ
テ
リ
ティ
リテ
ス
ク
ス
ク
スポ
クス
ト
ー
ポ
ト』をクリックし、『項
ート
ポー
再
の
定
設
ー
ィ
設
ー
ィ
設定
ー設
ィー
ー
ポ
ー
ポ
ート
ポー
再
の
定
再構
の再
定の
ト
ト
ト』をクリックし、『項
成
構
成
構
成の順にクリックします。
構成
ト
ー
ポ
ス
項
目
項
目リ
項目
目
項
目
項
目リ
項目
ト
ス
リ
トの
スト
リス
ト
ス
リ
ト
ス
リ
トの
スト
リス
ク
エ
の
クス
エク
のエ
ン
イ
の
ン
イ
の
ンポ
イン
のイ
でパ
ト
ー
ポ
ス
ス
スポ
ポ
ト
ー
ポ
ト』を選択します。
ート
ポー
ト
ー
ト
ー
ポ
ト』を選択します。
ート
ポー
パス
ワ
スワ
ワー
ド
ー
ド
ード
ド
©CopyrightLenovo2008,2012
75
Page 82
76ClientSecuritySolution8.21デプロイメント・ガイド
Page 83
付
録
D
特
記
事
付
録
D
特
付
付録
録D
D特
本書に記載の製品、サービス、または機能が日本においては提供されていない場合があります。日本で
利用可能な製品、サービス、および機能については、レノボ・ジャパンの営業担当員にお尋ねくださ
い。本書でLenovo製品、プログラム、またはサービスに言及していても、そのLenovo製品、プログ
ラム、またはサービスのみが使用可能であることを意味するものではありません。これらに代えて、
Lenovoの知的所有権を侵害することのない、機能的に同等の製品、プログラム、またはサービスを
使用することができます。ただし、Lenovo以外の製品、プログラム、またはサービスの動作・運用に
関する評価および検証は、お客様の責任で行っていただきます。
Lenovoは、本書に記載されている内容に関して特許権(特許出願中のものを含む)を保有している場合が
あります。本書の提供は、お客様にこれらの特許権について実施権を許諾することを意味するものではあ
りません。実施権についてのお問い合わせは、書面にて下記宛先にお送りください。
L enovo (Unit ed S tat es), Inc.
1009 Think Place - Building One
Morrisville, NC 27560
U .S.A.
A tt ention: L enovo Dir ect or of Licensing
Lenovoおよびその直接または間接の子会社は、本書を特定物として現存するままの状態で提供し、商品性
の保証、特定目的適合性の保証および法律上の瑕疵担保責任を含むすべての明示もしくは黙示の保証責任
を負わないものとします。国または地域によっては、法律の強行規定により、保証責任の制限が禁じられ
る場合、強行規定の制限を受けるものとします。
記
特記
記事
項
事
項
事項
項
この情報には、技術的に不適切な記述や誤植を含む場合があります。本書は定期的に見直され、必要な変
更は本書の次版に組み込まれます。Lenovoは予告なしに、随時、この文書に記載されている製品また
はプログラムに対して、改良または変更を行うことがあります。
本書で説明される製品は、誤動作により人的な傷害または死亡を招く可能性のある移植またはその他の生
命維持アプリケーションで使用されることを意図していません。本書に記載される情報が、Lenovo製品仕
様または保証に影響を与える、またはこれらを変更することはありません。本書におけるいかなる記述
も、Lenovoあるいは第三者の知的所有権に基づく明示または黙示の使用許諾と補償を意味するものではあ
りません。本書に記載されている情報はすべて特定の環境で得られたものであり、例として提示され
るものです。他の稼働環境では、結果が異なる場合があります。
Lenovoは、お客様が提供するいかなる情報も、お客様に対してなんら義務も負うことのない、自ら適切と
信ずる方法で、使用もしくは配布することができるものとします。
本書においてLenovo以外のWebサイトに言及している場合がありますが、便宜のため記載しただけであ
り、決してそれらのWebサイトを推奨するものではありません。それらのWebサイトにある資料は、こ
のLenovo製品の資料の一部ではありません。それらのWebサイトは、お客様の責任でご使用ください。
この文書に含まれるいかなるパフォーマンス・データも、管理環境下で決定されたものです。そのため、
他の操作環境で得られた結果は、異なる可能性があります。一部の測定が、開発レベルのシステムで行わ
れた可能性がありますが、その測定値が、一般に利用可能なシステムのものと同じである保証はありませ
ん。さらに、一部の測定値が、推定値である可能性があります。実際の結果は、異なる可能性がありま
す。お客様は、お客様の特定の環境に適したデータを確かめる必要があります。
商
標
商
標
商
商標
標
以下は、LenovoCorporationの米国およびその他の国における商標です。
©CopyrightLenovo2008,2012
77
Page 84
Lenovo
RescueandRecovery
ThinkCentre
ThinkPad
ThinkVantage
Microsoft、WindowsおよびWindowsVistaは、Microsoftグループの商標です。
他の会社名、製品名およびサービス名等はそれぞれ各社の商標です。
78ClientSecuritySolution8.21デプロイメント・ガイド
Page 85
用
語
集
用
語
集
用
用語
語集
集
管理者(ThinkCentre)/スーパーバイザー(ThinkPad)
BIOSパスワード
AdvancedEncryptionStandard(AES)
暗号化システム(Cryptographysystem)
EmbeddedSecurityChip
公開鍵/非対称鍵暗号化(Public-key/Asymmetric-key
encryption)
管理者パスワードまたはスーパーバイザー・パス
ワードは、BIOS設定を変更する能力を制御する
ために使用される。これには、エンベデッド・セ
キュリティー・チップを使用可能または使用不可
にして、TPM内に保存されたストレージ・ルート
鍵をクリアする機能が含まれる。
Advanced Encryption Standard
アメリカ政府は、それまで使用していたDES暗
号化に置き換えて、このアルゴリズムをその暗号
化技法として2000年10月に採用。AESは、凶
暴なアタックに対して56ビットDESキーよりも
高度のセキュリティーを提供する。またAESで
は、必要に応じて128、192および256ビット・
キーの使用が可能。
暗号化システムは、データの暗号化と復号の両方
を行う単一の鍵を使用する対称鍵暗号化と、2つ
の鍵(全員に知られている公開鍵と鍵ペアの所有者
のみがアクセス権を持つ秘密鍵)を使用する公開鍵
暗号化に、大きく分類される。
エンベデッド・セキュリティー・チップは、TPM
の別名。
公開鍵アルゴリズムは通常、2つの関連した鍵の
ペアを使用する。1つは秘密に保持されなければな
らない秘密鍵で、もう一方は公開される鍵で広く
配布される。鍵が1つあった場合、ペアのもう一
方が推測できるようであってはならない。『公開
鍵暗号化』という用語は、鍵の一部を公開情報に
するというアイデアから得られる。すべてのパー
ティーが同じ情報を保持しないことから、非対称鍵
暗号化という用語も使用される。ある意味では、1
つの鍵がロック(暗号)を『ロック』し、別の鍵は
それをアンロック(復号)することを要求される。
は
対 称 鍵
暗号化技法。
ストレージ・ルート鍵(SRK)ストレージ・ルート鍵(SRK)は2,048ビット(ある
いはそれ以上)の公開鍵ペア。これは最初は空で、
TPM所有者が割り当てられたときに作成される。
この鍵ペアは、エンベデッド・セキュリティー・
チップをそのままでは放置しない。TPMの外部に
あるストレージの秘密鍵を暗号化(ラップ)し、
TPMにロード・バックされたときにそれらを復号
する。SRKは、BIOSにアクセスのある人なら誰
でもクリアすることができる。
Page 86
対称鍵暗号化(Symmetric-keyencryption)
TPM(TrustedPlatformModule)
対称鍵暗号化暗号はデータの暗号化と復号に同じ
鍵を使用する。対称鍵暗号は簡単で高速だが、主
な欠点は、2つのパーティーが何らかのセキュアな
方法で鍵を交換しなければならないことにある。
公開鍵暗号化は、公開鍵は非セキュアな方法で配
布可能であり、秘密鍵は転送されることがないの
で、この問題を回避している。AdvancedEncryption
Standardは対称鍵の一例。
TPMは特別な目的を持ってシステム内にビルドさ
れた集積回路で、強力なユーザー認証とPC検査
を可能にする。TPMの主な目的は、機密情報への
不適切なアクセスを防止することにある。TPMは
ハードウェア・ベースの信頼の基幹機能で、シス
テム上のさまざまな暗号サービスを提供するよう
に活用することができる。TPMの別名はエンベ
デッド・セキュリティー・チップ。
Page 87
Page 88
Loading...