Lenovo ThinkVantage Client Security Solution 8.21 Deployment Guide [it]

ClientSecuritySolution8.21 Guidaalladistribuzione

Aggiornamento:febbraio2012

Nota:Primadiutilizzarequesteinformazionieilprodottosupportato,consultareleinformazionigeneraliin AppendiceD“Informazioniparticolari”apagina77.

Terzaedizione(Febbraio2012)

©CopyrightLenovo2008,2012.

NOTASUIDIRITTILIMITA TI:seidatioilsoftwaresonodistribuitiinbasealledisposizionicheregolanoilcontratto “GSA”(GeneralServicesAdministration),l'uso,lariproduzioneoladivulgazioneèsoggettaallelimitazionipreviste dalcontratton.GS-35F-05925.

Contenuto

Prefazione...............iii

Capitolo1.Panoramica.........1

ClientSecuritySolution............1

FrasediaccessodiClientSecuritySolution..2

RecuperopassworddiClientSecurity.....2

ClientSecurityPasswordManager......2

SecurityAdvisor.............3

Proceduraguidataditrasferimentocerticati..3

Ripristinopasswordhardware........4

SupportoperisistemisenzaTPM......4

FingerprintSoftware.............4

Capitolo2.Installazione.........7

ClientSecuritySolution............7

Requisitidiinstallazione..........7

Proprietàpubblichepersonalizzate......8

SupportoTPM(T rustedPlatformModule)...8 Procedurediinstallazioneeparametridella

rigacomandi..............9

ProprietàpubblichestandarddiWindows

Installer................12

Filedilogperl'installazione........13

InstallazionediClientSecuritySolution8.21

conversioniesistenti..........14

InstallazionediThinkVantageFingerprint

Software.................14

Installazionenonpresidiata........14

Opzioni................14

InstallazionediLenovoFingerprintSoftware...15

Installazionenonpresidiata........15

Opzioni................16

SMS(SystemsManagementServer)......17

Capitolo3.GestionediClientSecurity

Solution................19

UtilizzodiTPM(T rustedPlatformModule)....19

UtilizzodiTPM(T rustedPlatformModule)con

WindowsVista.............19

GestionediClientSecuritySolutionconchiavi

crittograche...............19

Acquisizionediproprietà.........20

Registrazioneutente..........21

Emulazionedelsoftware.........22

Cambiodellaschedadisistema......23

UtilitàdiprotezioneEFS.........25

UtilizzodiunoschemaXML.........26

Esempi................26

UtilizzoditokenRSASecurID.........33

InstallazionedeltokendelsoftwareRSA

SecurID...............33

Requisiti...............33

Impostazionidelleopzionidiaccessoalle

smartcard..............33

Installazionemanualedeltokendelsoftware

RSASecurID.............33

SupportoperActiveDirectory.......34

Impostazioniecriteriperl'autenticazionetramite

lettorediimprontedigitali..........34

Opzionedidisabilitazionedelleimpronte

digitali................34

Risultatodellaregistrazionediimpronte

digitali................34

Strumentidellarigacomandi.........35

SecurityAdvisor............35

ProceduraguidatadiinstallazionedellaClient

SecuritySolution............36

Strumentodicodicaodecodicadelledi

distribuzione..............37

Strumentodielaborazionedelledi

distribuzione..............37

TPMENABLE.EXE...........38

StrumentoTrasferimentocerticati.....38

StrumentodiattivazioneTPM.......39

SupportoperActiveDirectory.........39

Filedimodelloamministrativi(ADM)....40

ImpostazionidiCriteriodigruppo.....41

Aggiornamentoattivo..........45

Capitolo4.UtilizzodiThinkVantage

FingerprintSoftware.........47

StrumentoConsoledigestione........47

Comandispecicidell'utente.......47

Comandidiimpostazioniglobali......48

Modalitàsicuraemodalitàutile........49

Modalitàsicura-amministratore......49

Modalitàsicura-utenteconlimitazioni...50

Modalitàutile-amministratore......50

Modalitàutile-utenteconlimitazioni....51

Impostazionicongurabili........51

SoftwareperimprontedigitalieNovellNetware

Client..................52

Autenticazione.............53

ServizioThinkVantageFingerprintSoftware...53

Capitolo5.UtilizzodiLenovo

FingerprintSoftware.........55

©CopyrightLenovo2008,2012

StrumentoConsoledigestione........55

ServizioLenovoFingerprintSoftware......55

SupportoActiveDirectoryperLenovoFingerprint

Software.................55

Capitolo6.Procedureottimali....57

Esempididistribuzioneperl'installazionediClient

SecuritySolution..............57

Scenario1..............57

Scenario2..............59

AlternanzatralemodalitàdiClientSecurity

Solution.................61

RolloutdiActiveDirectoryaziendale......61

InstallazioneautonomaperleCDoscript...61

SystemUpdate..............62

SystemMigrationAssistant..........62

Generazionediuncerticatoutilizzandouna

generazionedichiaviinTPM.........62

Requisiti:...............62

Richiestadiuncerticatodalserver....62

UtilizzoditastiereperimprontedigitaliUSBcon modellidicomputernotebookThinkPad2008

(R400/R500/T400/T500/W500/X200/X301)....63

AccessoaWindowsVista........64

AccessoaWindowsXP.........64

ClientSecuritySolutionePassword

Manager...............66

Autenticazionedipreavvio–Utilizzodelle improntedigitalianzichédellepassword

BIOS.................66

AppendiceA.Considerazioni

sull'utilizzodiOmniPass.......69

AppendiceB.Considerazionispeciali relativeall'utilizzodiLenovo FingerprintKeyboardconalcuni

modellidinotebookThinkPad....71

Congurazioneeinstallazione.........71

Autenticazionepre-desktop.........71

AccessoaWindows............71

WindowsXP-Schermatadibenvenuto.....72

WindowsXP-Promptdiaccessoclassico...72

WindowsVista...............72

AutenticazioneconClientSecuritySolution...73

AppendiceC.Sincronizzazione dipasswordinCSSdopola reimpostazionedellapassworddi

Windows...............75

AppendiceD.Informazioni

particolari...............77

Marchi..................78

Glossario................lxxix

iiClientSecuritySolution8.21Guidaalladistribuzione

Prefazione

QuestaguidaèdestinataagliamministratoriIToairesponsabilidelladistribuzionediThinkVantage SecuritySolutioneThinkVantageFingerprintSoftwareneicomputerdelleloroorganizzazioni.Questo manualefornisceleinformazioninecessarieperl'installazionediClientSecuritySolutioneFingerprint Softwaresuunoopiùcomputer,apattochesuciascuncomputerdidestinazionesianodisponibilile licenzeperilsoftware.

L'obiettivodiClientSecuritySolutioneFingerprintSoftwareèproteggereisistemitramiteprotezionedeidati clientecontrastareitentatividiviolazionedellasicurezza.Perdomandeeinformazionirelativeall'utilizzodei varicomponentidiClientSecuritySolutioneFingerprintSoftware,fareriferimentoalsistemadiguidaonline pericomponenti,disponibileall'indirizzowww.lenovo.com/thinkvantage.

Talimanualivengonoaggiornatiperiodicamente.VisitareilseguentesitoWebperfuturepubblicazioni: http://www.lenovo.com/thinkvantage

Persuggerimentiocommenti,contattareilrappresentanteautorizzatoLenovo®dellapropriazona.

Client

©CopyrightLenovo2008,2012

iii

ivClientSecuritySolution8.21Guidaalladistribuzione

Capitolo1.Panoramica

QuestocapitolofornisceunapanoramicasuClientSecuritySolutionesulsoftwareperimprontedigitali. Letecnologiepresentateinquestaguidaalladistribuzionepossonoaiutaredirettamenteoindirettamentei professionistiITperchérendonol'usodeiPC(personalcomputer)piùfacile,piùautonomoeforniscono strumentiutilichefacilitanoesemplicanoleistruzioni.Conl'aiutodelletecnologieThinkVantage,i professionistiITpossonoimpiegaremenotemponellarisoluzionedeisingoliproblemideicomputere dedicarepiùtempoalleloroattivitàprincipali.

ClientSecuritySolution

L'obiettivoprincipaledelsoftwareClientSecuritySolutionèproteggereilcomputercomerisorsa,idati riservatipresentialsuointernoeleconnessionidireteacuisiaccedetramiteilcomputer.Perisistemi marcatiLenovochecontengonounTrustedComputingGroup(TCG)conformealTrustedPlatformModule (TPM),ilsoftwareClientSecuritySolutionsfruttal'hardwarecomerootoftrustperilsistema.Seilsistema noncontieneunchipdisicurezzaintegrato,ClientSecuritySolutionsfrutteràilsoftwarebasatosuchiavi crittograchecomefontedisicurezzaperilsistema.

TralefunzionidellaClientSecuritySolutionversione8.2visono:

•AutenticazioneutentesicuraconpassworddiWindows®ofrasediaccessodiClientSecurity

Solution

ClientSecuritySolutionpuòessereconguratoperaccettareunapassworddiWindowsounafrasedi accessodiClientSecuritySolutionperl'autenticazione.LapassworddiWindowsforniscepraticitàe facilitàdigestionetramiteWindows,mentrelafrasediaccessodiClientSecuritySolutionfornisce maggioresicurezza.L'amministratorepuòsceglierequalemetododiautenticazioneutilizzareetale impostazionepuòesseremodicataanchedopolaregistrazionedegliutenticonClientSecuritySolution.

•Autenticazionedelleimprontedigitaliutente Sfruttalatecnologiadelleimprontedigitaliintegrataecollegataall'USBperautenticaregliutentiche accedonoalleapplicazioniprotettedapassword.

•Autenticazionemultipladell'utentepergliaccessiaWindowseperlediverseoperazionidella

ClientSecuritySolution

Denisceimolteplicimetodidiautenticazione(passworddiWindows,frasediaccessodiClientSecurity eimprontedigitali)perlediverseoperazionirelativeallasicurezza.

•Gestionepassword Gestisceinmodosicuroememorizzaleinformazionidiaccessoriservate,comeIDutenteepassword.

•Recuperopasswordefrasediaccesso IlrecuperodipasswordefrasediaccessoconsentelaregistrazionedegliutentiaWindowsel'accesso allecredenzialidiClientSecuritySolutionancheincasodidimenticanzadellapassworddiWindowso dellafrasediaccessodiClientSecuritySolution,rispondendoadomandedisicurezzaprecongurate.

•Controllaimpostazionidisicurezza Consenteagliutentidivisualizzareunelencodettagliatodiimpostazionidisicurezzadellastazionedi lavoroedieffettuarelemodicheperconformarleaglistandarddeniti.

•T rasferimentodicerticatidigitali ClientSecuritySolutionproteggelachiaveprivatadeicerticatidiutenteecomputer.UtilizzareClient SecuritySolutionperproteggerelachiaveprivatadeicerticatiesistenti.

•Gestionecriteriperl'autenticazione Unamministratorepuòscegliereimetodi(passwordWindows,frasediaccessoClientSecuritySolution oimprontedigitali)necessaripereseguirel'autenticazioneperleseguentiazioni:accessoaWindows, PasswordManagereoperazionideicerticati.

©CopyrightLenovo2008,2012

FrasediaccessodiClientSecuritySolution

LafrasediaccessodiClientSecuritySolutionèunaformaaggiuntivaefacoltativadiautenticazione dell'utentechefornisceunamaggioresicurezzaalleapplicazionidiClientSecuritySolution.Lafrasedi accessodiClientSecuritySolutiondeverispettareiseguentirequisiti:

•Esserelungaalmenoottocaratteri

•Contenerealmenounnumero

•Esserediversadalleultimetrefrasidiaccesso

•Contenereunmassimodiduecaratteriripetitivi

•Noniniziareconunnumero

•Nonnireconunnumero

•Noncontenerel'IDutente

•Nonesseremodicataselafrasediaccessocorrentehamenoditregiorni

•Nonconteneretreopiùcaratteriidenticiconsecutivicomelafrasediaccessocorrenteinqualsiasi posizione

•NonessereugualeallapasswordWindows

LafrasediaccessodiClientSecuritySolutionèconosciutasolodalsingoloutente.L'unicomodoper ripristinareunafrasediaccessodiClientSecuritySolutiondimenticataètramitelafunzionedirecuperodella passworddiClientSecuritySolution.Sel'utentehadimenticatolerispostealledomandediripristino,non c'èmododirecuperareidatiprotettidallafrasediaccessodiClientSecuritySolution.

RecuperopassworddiClientSecurity

QuestafunzionefacoltativaconsenteagliutentiiscrittiaClientSecuritydirecuperareunapassword WindowsounafrasediaccessoClientSecuritydimenticatarispondendocorrettamenteatredomande. Sequestafunzioneèdisabilitata,ogniutenteselezioneràtrerisposteadiecidomandeprescelte.Sesi dimenticalapasswordWindowsolafrasediaccessodiClientSecurity,èpossibilerispondereaqueste tredomandeperripristinarla.

Note:

1.QuandosiutilizzalafrasediaccessodiClientSecurity,ilripristinodellapassworddiClientSecurity èilsolomodoperrecuperareunafrasediaccessodimenticata.Sesidimenticalarispostaalle tredomande,occorrerieseguirelaproceduraguidatadiiscrizioneesiperderannotuttiiprecedenti datiprotettidiClientSecurity.

2.QuandosiutilizzaClientSecurityperproteggerelaPredesktopAreadiRescueandRecovery®,l'opzione RecuperopasswordvisualizzeràlafrasediaccessodiClientSecuritye/olapassworddiWindows.La frasediaccessoolapasswordvienevisualizzatapoichélaPredesktopAreanonconsentedieseguire automaticamenteunamodicadellapasswordWindows.Lafrasediaccessoolapasswordviene visualizzataquandounutentewireless(dominiomemorizzatonellacachelocalenoncollegatoallarete) eseguequestafunzionedurantel'accessoaWindows.

ClientSecurityPasswordManager

ClientSecurityPasswordManagerconsentedigestireleinformazionifacilidadimenticarerelativead applicazioniesitiWeb,comeIDutente,passwordealtreinformazionipersonali.ClientSecurityPassword ManagerproteggeleinformazionipersonalimedianteClientSecuritySolution,inmodochel'accesso all'applicazioneeaisitiwebrimangacompletamenteprotetto.IlprogrammaClientSecurityPassword Managerconsentedirisparmiaretempoefaticapoichéoccorrericordaresolounapasswordounafrasedi accessoofornireleimprontedigitali.

2ClientSecuritySolution8.21Guidaalladistribuzione

ClientSecurityPasswordManagerconsentedieffettuareleseguentifunzioni:

•CodicaditutteleinformazionimemorizzateattraversoilsoftwareClientSecuritySolution: CodicaautomaticamentetutteleinformazionitramiteClientSecuritySolution.Leinformazioniriservate dellapasswordsonoprotettedallechiavidicodicadiClientSecuritySolution.

•InserimentoautomaticodiIDutenteepassword: Automatizzailprocessodiaccessoaun'applicazioneoaunsitoweb.Seleinformazionidiaccessosono stateimmesseinClientSecurityPasswordManager,ClientSecurityPasswordManagerèingradodi compilareicampinecessariediinoltrareleinformazionialsitoweboall'applicazione.

•Modicarelevociutilizzandol'interfacciadelClientSecurityPasswordManager: consentedimodicarelevocidelproprioaccountediimpostaretuttelecaratteristichefacoltativedella passwordinun'interfacciadifacileuso.Taleinterfacciafacilitaerendepiùrapidalagestionedelle informazionipersonaliedellapassword.Tuttavia,lamaggiorpartedellemodicherelativeallevoci possonoessererilevateautomaticamentedaClientSecurityPasswordManagereconsenteall'utentedi aggiornarelevociinmodopiùsemplice.

•Salvataggiodelleinformazionisenzaprocedureaggiuntive: ClientSecurityPasswordManagerrilevaautomaticamenteilmomentoincuivengonoinviatele informazioniriservateaundeterminatositoWeboapplicazione.Quandovieneeseguitotalerilevamento, ClientSecurityPasswordManagerchiedeall'utentedisalvareleinformazioni,semplicandoinquesto modoilprocessodimemorizzazionedelleinformazioniriservate.

•Salvataggiodelleinformazioniinunoscratchpadsicuro: ConClientSecurityPasswordManager,l'utentepuòsalvareidatiditestoinscratchpadsicuri.Tali scratchpadpossonoessereprotetticonlostessolivellodiprotezionediqualsiasialtravocedelsito Webodell'applicazione.

•Esportazioneeimportazionedelleinformazionidiaccesso: Consentediesportareleinformazionipersonaliimportanti,inmododapoterletrasferirleinsicurezzada uncomputerall'altro.Quandosiesportanoleinformazionidiaccessodalgestorepassworddisicurezza client,vienecreatounlediesportazioneprotettodapasswordsulsupportorimovibile.Utilizzaretalele peraccederealleinformazioniovunquecisitrovioperimportarelevociinunaltrocomputerconClient SecurityPasswordManager.

Nota:IlsupportodiimportazionecompletoèdisponibileperlediesportazionediClientSecuritySolution versioni7.0e8x.IlsupportodiimportazionelimitatoèdisponibileperClientSecuritySolutionVersione

6.0(levocidell'applicazionenonvengonoimportate).NonsaràpossibileimportareClientSecurity SoftwareSolutionversioni5.4xeprecedentiinPasswordManagerdiClientSecuritySolutionversione8x.

SecurityAdvisor

LostrumentoSecurityAdvisorconsentedivisualizzareunriepilogodelleimpostazionidisicurezza attualmenteimpostatesulcomputer.Èpossibileutilizzaretaliimpostazionipervisualizzarelostatodi sicurezzacorrenteopermigliorarelasicurezzadelsistema.Ivaloripredenitidellecategorievisualizzate possonoesseremodicatimedianteilregistrodiWindows.Alcunedellecategoriedisicurezzainclusesono:

•Passwordhardware

•PasswordutentidiWindows

•CriteridellapassworddiWindows

•Screensaverprotetto

•Condivisionele

Proceduraguidataditrasferimentocerticati

IltrasferimentoguidatodicerticatodiClientSecurityguidaattraversoilprocessoditrasferimentodelle chiaviprivateassociateaipropricerticatidalCSP(cryptographicserviceprovider)Microsoft

basatosul

Capitolo1.Panoramica3

software,alCSPClientSecuritySolutionbasatosull'hardware.Dopoiltrasferimento,leoperazioniche utilizzanoicerticatisonopiùsicureperchélechiaviprivatesonoprotettedaClientSecuritySolution.

Ripristinopasswordhardware

QuestostrumentocreaunambientesicurochevieneeseguitoindipendentementedaWindowseconsente diripristinarelepassworddell'unitàdiscossoediaccensionedimenticate.L'identitàvienestabilita rispondendoaunaseriedidomandecreate.Crearetaleambienteprotettoimmediatamente,primache vengadimenticataunapassword.Nonèpossibileripristinareunapasswordhardwaredimenticatanoa quandononvienecreatoilsuddettoambientesudiscossoedopol'iscrizione.Questostrumentoè disponibilesolosudeterminaticomputer.

SupportoperisistemisenzaTPM

ClientSecuritySolutionversione8.2supportaisistemiconmarchioLenovochenonhannounchipdi sicurezzaintegratoeconforme.Talesupportoconsenteun'installazionestandardintuttal'aziendaalne dicreareunambienteprotettoeomogeneo.Isistemidotatidihardwaredisicurezzaintegratisonopiù protetticontrogliattacchi;tuttavia,lemacchineconilsolosoftwarepossonobeneciaredimeccanismi disicurezzaedifunzionalitàaggiuntivi.

FingerprintSoftware

L'obiettivodelletecnologiebiometricheperleimprontedigitalioffertedaLenovoèconsentireagli utentidiridurreicostiassociatiallagestionedellepassword,migliorarelasicurezzadeisistemie agevolarelaconformitàallenormative.GrazieailettoriLenovoperleimprontedigitali,ilsoftwareper improntedigitaliconsentel'autenticazionedelleimprontedigitalisusingolicomputerereti.Ilsoftware perimprontedigitalicombinatoconClientSecuritySolutionversione8.2offremaggiorifunzionalità. PerClientSecuritySolution8.21,sonosupportatisiaThinkVantageFingerprintSoftware5.8.2che LenovoFingerprintSoftware2.0perdifferentitipidimacchine.Ulterioriinformazionisulletecnologie Lenovoperleimprontedigitalieilrelativosoftwaredascaricaresipossonotrovareall'indirizzo: http://www.lenovo.com/support/site.wss/MIGR-59650.html

Ilsoftwareperimprontedigitalioffreleseguentifunzioni:

•Funzionidelsoftwareclient –SostituzionedellapassworddiMicrosoftWindows:

Sostituiscelapasswordconleimprontedigitaliperunaccessoalsistemafacile,rapidoesicuro.

–SostituzionedellapasswordBIOS(anchenotacomepassworddiavvio)edellepasswordperi

dischissi:

Sostituiscelepasswordconleimprontedigitalipermigliorarelasicurezzaelapraticitàdiaccesso.

–Autenticazionedipreavviotramiteimprontedigitalipercodicadell'interaunitàSafeGuardEasy:

Utilizzal'autenticazionetramiteimprontedigitaliperdecodicarel'unitàdiscossoprimadiavviare Windows.

–T occosingoloperl'accessoaBIOSeaWindows:

Consentedirisparmiaretempopreziosolasciandoun'improntadigitaleall'avvioperaccedereaBIOSe aWindows.

–IntegrazioneconClientSecuritySolution:

èpossibileutilizzarloconClientSecuritySolutionPasswordManageresfruttareilTrustedPlatform Module.Conunsolotoccodeldito,gliutentipossonoaccedereaisitiwebeselezionareleapplicazioni.

•Funzionidiamministratore –Attivazionedellamodalitàdisicurezza:

Consenteaunamministratoredipassaredallamodalitàsicuraaquellautileeviceversapermodicare idirittidiaccessodegliutenticonlimitazioni.

4ClientSecuritySolution8.21Guidaalladistribuzione

•Funzionidisicurezza –Sicurezzadelsoftware:

Proteggeimodelliutenteattraversounacodicaquandovengonomemorizzatisuunsistemae trasferitidallettorealsoftware.

–Sicurezzahardware:

Fornisceunlettoredisicurezzadotatodiunco-processorechememorizzaeproteggeimodellidelle improntedigitali,lepasswordBIOSelechiavidicodica.

Capitolo1.Panoramica5

6ClientSecuritySolution8.21Guidaalladistribuzione

Capitolo2.Installazione

Questocapitolocontieneistruzionirelativeall'installazionediClientSecuritySolutionedelsoftwareper improntedigitali.PrimadiinstallareClientSecuritySolutionoilsoftwareperimprontedigitali,occorre comprenderel'architetturadell'applicazionechesivaadinstallare.Questocapitolodescrivel'architetturadi ogniapplicazioneefornisceinformazioniaggiuntivenecessarieperl'installazionedientrambiiprogrammi.

ClientSecuritySolution

IlpacchettodiinstallazionediClientSecuritySolutionèstatosviluppatoconInstallShield10.5Premier comeprogettoMSIdibase.InstallShieldutilizzaWindowsInstallerperinstallareleapplicazioni,ilche offreagliamministratoridiversepossibilitàdipersonalizzarel'installazione,adesempioimpostandovalori diproprietàdallarigacomandi.QuestocapitolodescrivecomeutilizzareedeseguireilpacchettoClient SecuritySolution.Perunamigliorecomprensionedell'argomento,leggeretuttoilcapitoloprimadiiniziare l'installazionedeipacchetti.

Nota:durantel'installazioneditalipacchetti,fareriferimentoalleReadmediClientSecuritySolution. VisitareilseguentesitoWebLenovo: http://www.lenovo.com/support/site.wss/document.do?sitestyle=lenovo&lndocid=HOME-LENOVO IlleReadmecontieneinformazioniaggiornatesuversionisoftware,sistemisupportati,requisitidisistemae altreosservazionichepotrebberorisultareutilinelcorsodelprocessodiinstallazione.

Requisitidiinstallazione

Leinformazionipresentiinquestasezionefornisconoirequisitidisistemaperl'installazionedelpacchetto ClientSecuritySolution.Perottenererisultatiottimali,visitareilseguentesitoWebperaccertarsididisporre dell'ultimaversionedelsoftware: http://support.lenovo.com/en_US/downloads/detail.page?LegacyDocID=MIGR-61432

AlcunicomputerprecedentipossonosupportareClientSecuritySolution,acondizione chevenganosoddisfattiirequisitispecicati.Perinformazionisuicomputer precedentichesupportanoClientSecuritySolution,visitareilsitoWeball'indirizzo http://support.lenovo.com/en_US/downloads/detail.page?LegacyDocID=MIGR-61432

RequisitipercomputerLenovo

IcomputeramarchioLenovodevonorispettareiseguentirequisitiminimiperconsentirel'installazionedi ClientSecuritySolution:

•Sistemaoperativo:WindowsVista Pack3.

•Memoria:256MB –Nellecongurazionidimemoriacondivisa,l'impostazioneBIOSperlamemoriacondivisamassima

deveessereugualeosuperiorea8MB.

–Nellecongurazionedimemorianoncondivisa,120MBdimemorianoncondivisa.

•ÈnecessarioinstallareInternetExplorer5.5oversionesuperiore.

•300MBdispazioliberosuldiscosso.

•VideocompatibileconVGAchesupportiunarisoluzionedi800x600ecoloria24-bit.

•L'utentedevedisporrediprivilegidiamministratoreperinstallareClientSecuritySolution.

•UlteriorirequisitiperHardwarePasswordReset:NTFSeWindowsXP.

,WindowsVistaconServicePack1oWindowsXPconService

Nota:ladistribuzionedelpacchettodiinstallazioneClientSecuritySolutionsuWindowsServer2003 nonèsupportata.

©CopyrightLenovo2008,2012

Proprietàpubblichepersonalizzate

IlpacchettodiinstallazioneperilprogrammaClientSecuritySoftwarecontieneunaseriediproprietà pubblichepersonalizzatechepossonoessereimpostatesullarigacomandiquandosieseguel'installazione. LaseguentetabelladescrivelesuddetteproprietàperWindowsXPeWindows2000:

Tabella1.Proprietàpubbliche

ProprietàDescrizione

EMULATIONMODESpecicaredieseguireinognicasol'installazionein

ModalitàdiemulazioneancheseèpresenteunTPM. ImpostareEMULATIONMODE=1sullarigacomandiper installareinModalitàemulazione.

HALTIFTPMDISABLEDSeilTPMèinunostatodisabilitatoel'installazioneèin

esecuzioneinmodalitànonpresidiata,ilvalorepredenito consistenell'installazioneinmodalitàemulazione. UtilizzarelaproprietàHALTIFTPMDISABLED=1quando sieseguel'installazioneinmodalitànonpresidiataper interromperel'installazioneseilTPMèdisabilito.

NOCSSWIZARDImpostareNOCSSWIZARD=1sullarigacomandiper

evitareche,dopol'installazione,vengavisualizzata automaticamentelanestradidialogoperlaregistrazione diClientSecuritySolution.Questaproprietàè congurataperunamministratorechedesideriinstallare ClientSecuritySolution,mautilizzareloscripting successivamente,nelcorsodellacongurazionedel sistema.

CSS_CONFIG_SCRIPTImpostareCSS_CONFIG_SCRIPT=“nomele”

o“passwordnomele”pereseguireunledi congurazionedopochel'utentecompletal'installazione edesegueilriavvio.

SUPERVISORPWImpostareSUPERVISORPW=“password”sullariga

comandiperfornirelapassworddelsupervisoreper abilitareilchipinmodalitànonpresidiataoininstallazione presidiata.Seilchipèdisabilitatoel'installazioneèin esecuzioneinmodalitànonpresidiata,perabilitareilchip occorrefornirelapassworddelsupervisorecorretta.In casocontrario,ilchipnonverràabilitato.

PWMGRMODEImpostarePWMGRMODE=1sullarigacomandiper

installaresoltantoPasswordManager.

NOSTARTMENUImpostareNOSTARTMENU=1sullarigacomandipernon

generareuncollegamentonelmenuStart.

SupportoTPM(TrustedPlatformModule)

ClientSecuritySolutionversione8.2includeunsupportoperl'hardwaredisicurezzaincorporatodel computer,TPM(TrustedPlatformModule).PerWindows2000eXP,potrebbeesserenecessarioscaricarei driverperilTPMdelsistema.SesiesegueWindowsVistaeilcomputerincludeunTPMsupportatodal sistemaoperativo,ClientSecuritySolutionutilizzeràidriverfornitidalsistemaoperativo.

L'abilitazionediTPMpotrebberichiedereunriavvio,poichéTPMèabilitatodalBIOSdelsistema.Sesi esegueWindowsVista,potrebbeessererichiestodiconfermarel'abilitazionediTPMdurantel'avviodel sistema.

PrimacheTPMpossaeseguirequalsiasifunzione,ènecessarioinizializzarelaproprietàdelsistema.Ogni sistemadisponediunamministratorediClientSecuritySolutionnecontrollaleopzioni.Taleamministratore

8ClientSecuritySolution8.21Guidaalladistribuzione

devedisporredeiprivilegidiamministratoreWindows.L'amministratorepuòessereinizializzatoutilizzando gliscriptdidistribuzioneXML.

Dopoaverconguratolaproprietàdelsistema,perogniutenteWindowsaggiuntivocheaccedeal sistemavienevisualizzataautomaticamentelaproceduraguidatadicongurazionediClientSecurityperla registrazioneel'inizializzazionedellechiavidisicurezzaedellecredenzialidell'utente.

EmulazionedelsoftwareperTPM

ClientSecuritySolutionpuòessereeseguitosenzaTPMsusistemiqualicati.Lafunzionalitàsaràlastessaa parteilfattocheutilizzalechiavebasatesusoftwareinvecediquellebasatesull'hardware.Ilsoftwarepuò essereinstallatoancheutilizzandounoswitchperforzarloautilizzaresemprechiavibasatesulsoftware anzichésfruttareTPM.Lasceltaseutilizzaretaleswitchvaeffettuataalmomentodell'installazioneenon puòesseremodicatasenzadisinstallareereinstallareilsoftware.

Lasintassiperforzareun'emulazionesoftwarediTPMè:

InstallFile.exe“/vEMULATIONMODE=1”

Procedurediinstallazioneeparametridellarigacomandi

MicrosoftWindowsInstallerforniscediversefunzioniamministrativeattraversoiparametridellariga comandi.WindowsInstallerpuòeseguireun'installazioneamministrativadiun'applicazioneounprodottoin unareteperl'utilizzodapartediungruppodilavorooperlapersonalizzazione.Leopzionidellariga comandicherichiedonounparametrodevonoesserespecicateconnessunospaziotral'opzioneeil parametro.Adesempio:

setup.exe/s/v"/qnREBOOT=”R”"

èvalido,mentre

setup.exe/s/v"/qnREBOOT=”R”"

nonloè.

Nota:lafunzionalitàpredenitadell'installazione,quandovieneeseguitadasola,(eseguendosolosetup.exe senzaalcunparametro)èquellodirichiedereall'utentediriavviareilcomputeradinstallazioneultimata.Peril correttofunzionamentodelprogramma,ènecessariounriavvio.Ilriavviopuòessererinviatotramiteun parametrodellarigacomandiperun'installazionenonpresidiata,comeindicatonellaprecedentesezionee nellasezionediesempio.

PerilpacchettodiinstallazioneClientSecuritySolution,un'installazioneamministrativadecomprimeiledi originediinstallazioneinunaposizionespecica.

Pereseguireun'installazioneamministrativa,avviareilpacchettodiimpostazionedallarigacomandi utilizzandoilparametro/a:

setup.exe/a

Un'installazioneamministrativapresentaunaproceduraguidatacherichiedeall'utenteamministrativodi specicareleposizioniperdecomprimereilediinstallazione.IlpercorsodiestrazionepredenitoèC:\.È possibileselezionareunanuovaposizionechepotrebbeincludereunitàdiversedaC:\.Adesempio,altre unitàlocaliounitàdiretemappate.Èinoltrepossibilecrearenuovedirectorydurantequestafase.

Pereseguireun'installazioneamministrativainmodalitànonpresidiata,èpossibileimpostarelaproprietà pubblicaTARGETDIRsullarigacomandiperspecicarelaposizionediestrazione:

setup.exe/s/v"/qnTARGETDIR=F:\TVTRR"

msiexec.exe/i"ClientSecurity-PasswordManager .msi"/qnTARGERDIR=F:\TVTRR

Nota:SelaversionediWindowsInstallernonèaggiornata,setup.exevieneconguratoperaggiornareil motorediWindowsInstallerallaVersione3.0.Questoaggiornamentoprovocheràlavisualizzazionedi

Capitolo2.Installazione9

unarichiestadiriavviodapartedelprogrammadiinstallazioneancheconun'istallazioneamministrativa diestrazione.Utilizzareopportunamenteilriavvioperimpedireoperazioniinutiliinquestasituazione.Se WindowsInstallersitrovaalmenoallaversione3.0,setup.exenontenteràdiaggiornareilmotoreditale programma.

Unavoltacompletatal'installazioneamministrativa,l'amministratorepuòpersonalizzareilesorgente, adesempioaggiungendoimpostazionialregistro.Pereseguirel'installazioneutilizzandoilsorgente decompressodopolapersonalizzazione,èsufcientechiamaremsiexec.exedallarigacomandi,passandoil nomedelleMSIdecompresso.

IseguentiparametriedescrizionisonoespostinellaguidadellosviluppatoreInstallShield.Iparametriche nonsiapplicanoaiprogettiMSIdibasesonostatirimossi.

Tabella2.Parametri

ParametroDescrizione

/a:installazioneamministrativaL'interruttore/afasìchesetup.exeeseguaun'installazione

amministrativa.Un'installazioneamministrativacopia (edecomprime)iledidatiinunadirectoryspecicata dall'utente,manoncreascorciatoie,registraiserverCOM ocreaunregistrodiinstallazione.

/x:ModalitàdidisinstallazioneL'interruttore/xfasìchesetup.exedisinstalliunprodotto

precedentementeinstallato.

/s:ModalitànonpresidiataIlcomandosetup.exe/sannullalanestradi

inizializzazionesetup.exeperunprogrammadi installazioneMSIdibase,manonleggeledirisposta. IprogettiMSIdibasenoncreanooutilizzanounledi rispostaperleinstallazioninonpresidiate.Pereseguire unprodottoMSIdibaseinmodalitànonpresidiata, eseguirelarigacomandisetup.exe/s/v/qn.Per specicareivaloridelleproprietàpubblicherelativead un'installazioneMSIdibasenonpresidiata,èpossibile utilizzare,fraglialtri,ilcomandosetup.exe/s/v“/qn INSTALLDIR=D:\Destination”.

/v:passaregliargomentiaMsiexecL'argomento/vvieneutilizzatoperpassareleopzioni

dellarigacomandieivaloridelleproprietàpubbliche attraversomsiexe.exe.

/L:ImpostazionelinguaGliutentipossonoutilizzarel'opzione/Lconl'IDlingua

decimaleperspecicarelalinguautilizzatadaun programmadiinstallazionemulti-lingua.Adesempio,il comandoperspecicareT edescoèsetup.exe/L1031.

/Aw:AttenderePerunprogettoMSIdibase,l'argomento/wimponea

setup.exediattendereilcompletamentodell'installazione primadiuscire.Sesiutilizzal'opzione/winunledi batch,sipuòfarprecederel'argomentodellarigacomandi setup.exedastart/WAIT.Unesempiocorrettamente formattatodiquestousoèilseguente:

start/WAITsetup.exe/w

Utilizzodimsiexec.exe

Pereseguirel'installazioneutilizzandoilsorgentedecompressodopolapersonalizzazione,èsufciente chiamaremsiexec.exedallarigacomandi,passandoilnomedelle*.MSIdecompresso.msiexec.exeè ilprogrammaeseguibiledell'Installerutilizzatoperinterpretareipacchettidiinstallazioneeperinstallarei prodottisuisistemididestinazione.

msiexec/i"C:\WindowsFolder\Proles\UserName\

10ClientSecuritySolution8.21Guidaalladistribuzione

Personal\MySetups\projectname\productconguration\releasename\ DiskImages\Disk1\productname.msi"

Nota:inserireilcomandoprecedentesuunarigasingolasenzaspazidopolebarre.

Laseguentetabelladescriveiparametridisponibilidellarigacomandicheèpossibileutilizzarecon msiexec.exeeirelativiesempidipossibileutilizzo.

Tabella3.Parametridellarigacomandi

ParametroDescrizione

/Ipacchettoocodiceprodotto

/apacchettoL'opzione/aconsenteagliutenticonprivilegidiamministratorediinstallare

/xpacchettoocodiceprodottoL'opzione/xdisinstallaunprodotto.

/L[i|w|e|a|r|u|c|m|p|v|+]lediregistro

/q[n|b|r|f]

Utilizzarequestoformatoperinstallareilprodotto:

Othello:msiexec/i"C:\WindowsFolder\Proles\ UserName\Personal\MySetups \Othello\TrialVersion\ Release\DiskImages\Disk1\ OthelloBeta.msi"

IlcodicedelprodottosiriferisceallaGUIDchevienegenerataautomaticamente nellaproprietàdelcodiceprodottodellavistadelprogettodelprodotto.

unprodottosullarete.

Lacreazionediun'opzione/Lspecicailpercorsonellediregistro.Questi indicatorimostranoqualiinformazioniregistrarenellediregistro:

•iregistraimessaggidistato

•wregistraimessaggidiavvertenzanonfatali

•eregistraqualsiasimessaggiodierrore

•aregistral'iniziodellesequenzediazione

•rregistrairecordspecicidell'azione

•uregistralerichiestedell'utente

•cregistraiparametridell'interfacciautenteiniziali

•mregistraimessaggifuoridallamemoria

•pregistraleimpostazioniterminali

•vregistral'impostazionedioutputdiemissionedelmessaggio

•+siaggiungeaunleesistente

•*èuncaratterejollycheconsentediregistraretutteleinformazioni (escludendol'impostazionedioutputdiemissionedelmessaggio)

L'opzione/qvieneutilizzataperimpostareillivellodiinterfacciautenteinsieme alleseguentiindicazioni:

•qoqnnoncreainterfacciautente

•qbcreaun'interfacciautentedibase

/?o/h

Leimpostazionidell'interfacciautenteinbassovisualizzanounanestradi dialogomodaleallanedell'installazione:

•qrvisualizzaun'interfacciautenteridotta

•qfvisualizzaun'interfacciautentecompleta

•qn+nonvisualizzaalcunainterfacciautente

•qb+visualizzaun'interfacciautentedibase

IlcomandovisualizzaleinformazionisulcopyrightdiWindowsInstaller

Capitolo2.Installazione11

Tabella3.Parametridellarigacomandi(continua)

ParametroDescrizione

TRANSFORMSIlparametroTRANSFORMSdellarigacomandispecicatutteletrasformazioni

chesidesideraapplicarealpropriopacchettobase.

msiexec/i"C:\WindowsFolder\ Proles\UserName\Personal \MySetups\ YourProjectName\TrialVersion\ MyRelease-1 \DiskImages\Disk1\ ProductName.msi"TRANSFORMS="NewTransf orm1.mst"

Èpossibileseparareletrasformazionimultipleconunpuntoevirgola.Non utilizzareilpuntoevirgolanelnomedellatrasformazione,poichéilservizio WindowsInstallernonliinterpretacorrettamente.

ProprietàTutteleproprietàpubblichepossonoessereimpostateomodicatedallariga

comandi.Leproprietàpubblichesonodiversedalleproprietàprivateesono tutteinmaiuscolo.Adesempio,NOMEAZIENDAèunaproprietàpubblica.

Perimpostareunaproprietàdallarigacomandi,utilizzarelaseguentesintassi:

PROPERTY=VALUE

PermodicareilvalorediNOMEAZIENDA,inserire:

msiexec/i"C:\WindowsFolder\ Proles\UserName\Personal\ MySetups\YourProjectName\ TrialVersion\MyRelease-1\ DiskImages\Disk1\ProductName.msi" COMPANYNAME="InstallShield"

ProprietàpubblichestandarddiWindowsInstaller

WindowsInstallerdisponediunaseriediproprietàpubblicheincorporatestandardchepossonoessere impostatesullarigacomandiperspecicaredeterminaticomportamentidurantel'installazione.Laseguente tabellafornisceleproprietàpubblichepiùcomuniutilizzatenellarigacomandi.

Perulterioriinformazioni,fareriferimentoalsitoWebMicrosoftall'indirizzo: http://msdn2.microsoft.com/en-us/library/aa367437.aspx

LaseguentetabellamostraleproprietàpiùcomunidiWindowsInstaller:

Tabella4.ProprietàdiWindowsInstaller

ProprietàDescrizione

TARGETDIRSpecicaladirectorydidestinazioneprincipale.Durante

un'installazioneamministrativa,questaproprietàindicail

percorsoincuicopiareilpacchettodiinstallazione. ARPAUTHORIZEDCDFPREFIX ARPCOMMENTS

ARPCONTACT

ARPINSTALLLOCATION ARPNOMODIFY

URLdelcanalediaggiornamentoperl'applicazione.

FornisceicommentiperInstallazioneapplicazionisul

pannellodicontrollo.

FornisceilcontattoperInstallazioneapplicazionisul

pannellodicontrollo.

Ilpercorsocompletonellacartellaprimariadiapplicazione.

Disabilitalafunzionechemodicailprodotto.

12ClientSecuritySolution8.21Guidaalladistribuzione

Tabella4.ProprietàdiWindowsInstaller(continua)

ProprietàDescrizione

ARPNOREMOVE ARPNOREPAIR

ARPPRODUCTICONSpecical'iconaprimariaperilpacchettodiinstallazione. ARPREADMEFornisceunReadmeperInstallazioneapplicazionisul

ARPSIZE ARPSYSTEMCOMPONENT

ARPURLINFOABOUT ARPURLUPDATEINFO

REBOOTLaproprietàREBOOTeliminadeterminaterichiesteper

Disabilitalafunzionecherimuoveilprodotto. DisabilitailpulsanteRiparanellaproceduraguidata

Programmi.

pannellodicontrollo. Dimensionestimatadell'applicazioneinkilobyte. Impediscelavisualizzazionedell'applicazionein

Installazioneapplicazioni. URLperlahomepagedell'applicazione.

URLperleinformazionidiaggiornamento dell'applicazione.

unriavviodelsistema.Unamministratoregeneralmente utilizzaquestaproprietàconunaseriediinstallazioni perinstallarecontemporaneamentediversiprodotticon unsoloriavvioallane.ImpostareREBOOT=“R”per disabilitareglieventualiriavviiallanediun'installazione.

Filedilogperl'installazione

Illedilogperl'installazionediClientSecuritySolutionècssinstall82x32.log(perWindowsXPeWindows Vista32)ecss64install82V.log(perWindowsVista64)evienecreatonelladirectory%temp%sela congurazionevieneavviatadasetup.exe(facendodoppioclicsulleinstall.exeprincipale,eseguire l'eseguibileprincipalesenzaparametrioestrarremsiedeseguiresetup.exe).Questolecontieneimessaggi dilogchepossonoessereutilizzatipereseguireildebugdeiproblemidiinstallazione.Illedilognonviene creatoquandosieseguel'installazionedirettamentedalpacchettoMSI.Talepacchettoincludeleazioni effettuatedaInstallazioneapplicazioni.PercreareunledilogpertutteleazioniMSI,èpossibileabilitare ilcriteriodiregistrazionenelregistro.Atalescopo,creareilvalore:

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsof t\Windows\Installer] "Logging"="voicewarmup"

Esempidiinstallazione

Laseguentetabellamostraesempidiinstallazionetramitesetup.exe:

Tabella5.Esempidiinstallazionetramitesetup.exe

DescrizioneEsempio

Installazionenonpresidiatasenzariavvio.

Installazioneamministrativa.

Installazioneamministrativanonpresidiatachespecica laposizionediestrazioneperClientSecuritySoftware.

Disinstallazione“silenziosa”setup.exe/s/x/v/qn.

Installazionesenzariavvio.Creareunregistrodi installazionenelladirectorytempperClientSecurity Software.

InstallazionesenzainstallazionediPredesktopArea setup.exe/vPDA=0.

setup.exe/s/v”/qnREBOOT=”R””

setup.exe/a

setup.exe/a/s/v”/qnTARGETDIR=”F: \CSS82””

setup.exe/s/x/v/qn

setup.exe/v”REBOOT=”R”/L*v%temp% \cssinstall80.log”

setup.exe/vPDA=0

Capitolo2.Installazione13

LaseguentetabellaforniscedegliesempidiinstallazionetramiteClientSecurity-PasswordManager.msi:

Tabella6.EsempidiinstallazionetramiteClientSecurity-PasswordManager.msi

DescrizioneEsempio

Installazione

Installazionenonpresidiata senzariavvio.

Disinstallazionenonpresidiata

msiexec/i“C:\CSS82\ClientSecurity Solution-PasswordManager .msi”

msiexec/i“C:\CSS82\ClientSecurity Solution-PasswordManager.msi”/qnREBOOT=”R”

msiexec/x“C:\CSS82\ClientSecurity Solution-PasswordManager.msi”/qn

InstallazionediClientSecuritySolution8.21conversioniesistenti

ÈpossibileaggiornareClientSecuritySolutiondaClientSecuritySolution8.0tramiteSystemUpdate.Per installareClientSecuritySolution8.21conversioniesistentiprecedentiaClientSecuritySolution8.0, installareinnanzituttoClientSecuritySolution8.0sulsistema.

NonèpossibileinstallareClientSecuritySolution8.0comeaggiornamentodiunaversioneprecedente. Primadiinstallarelaversione8.0,ènecessariodisinstallarelaversioneesistentediClientSecuritySolution. Perconservareimpostazioniedatiesistenti,completarelaseguenteproceduraprimadirimuoverela versioneprecedentediClientSecuritySolution:

1.ScaricareClientSecuritySolution8.0UpgradeAssistantdalseguentesitoWebLenovo: http://www.lenovo.com/support/site.wss/document.do?sitestyle=lenovo&lndocid=MIGR-46391

2.Dallarigacomandi,eseguireinmodalitànonpresidiataClientSecuritySolutionUpgradeAssistant8.0, primadirimuoverelaversioneprecedentediClientSecuritySolution.

Inoltre,sesidisponedellaversione7.0,occorreaggiornareallaversione8.0primadiinstallareRescue andRecovery4.0

Nota:sesiaggiornaunsistemaoperativo,ènecessariodisattivareilchipdisicurezzaperevitareerroridi registrazionediClientSecuritySolution.

InstallazionediThinkVantageFingerprintSoftware

Illesetup.exedelprogrammasoftwareperimprontedigitalipuòessereinstallatoconiseguentimetodi:

Installazionenonpresidiata

Perinstallareinmodalitànonpresidiatailsoftwareperimprontedigitali,eseguiresetup.exesituatonella directorydiinstallazionesull'unitàCD-ROM.

Utilizzarelaseguentesintassi:

Setup.exePROPERTY=VALUE/q/i

incuiqstaperinstallazionenonpresidiataeistaperinstallazione.Adesempio:

setup.exeINSTALLDIR="C:\ProgramFiles\ThinkVantagengerprintsof tware"/q/i

Perdisinstallareilsoftware,utilizzareilparametro/xalpostodi/i:

setup.exeINSTALLDIR="C:\ProgramFiles\ThinkVantagengerprintsof tware"/q/x

Opzioni

Leseguentiopzionisonosupportatedalsoftwareperimprontedigitali:

14ClientSecuritySolution8.21Guidaalladistribuzione

Tabella7.Opzionisupportatedalsoftwareperimprontedigitali

ParametroDescrizione

CTRLONCEVisualizzailControlCenterunavoltasola.Ilvalore

predenitoè0. CTLCNTREsegueilControlCenterall'avvio.Ilvalorepredenitoè1. DEFFUS•0=nonutilizzaleimpostazioniFastUserSwitching

(FUS).

•1=tenteràdiutilizzareleimpostazioniFUS.

Ilvalorepredenitoè0. INSTALLDIRPerimpostazionepredenitaèladirectorydiinstallazione

delsoftwarediimprontedigitali. OEM

PASSPORTPerimpostazionepredenita,èiltipodipassaporto

SECURITY•1=Installailsupportoperlamodalitàsicura

SHORTCUTFOLDERPerimpostazionepredenita,èilnomeperlacartella

REBOOT

DEVICEBIOCongurailtipodidispositivocheverràutilizzato

•0=installailsupportoperipassaportidelservero l'autenticazionedelserver

•1=Solomodalitàdicomputerindipendenteconi passaportilocali

impostatodurantel'installazione.

•1=Predenito-Passaportolocale

•2=Serverpassport

Ilvalorepredenitoè1.

•0=Noninstallare.Esistesololamodalitàutile

collegamentonelmenuStart. Annullatuttiiriavvii,compreselerichieste,nelcorso

dell'installazionesesiimpostasuReallySuppress.

dall'utente.Tipodiregistrazione:

•DEVICEBIO=#3-settoredeldispositivoverràutilizzato primadellaprimaregistrazione.

•DEVICEBIO=#0-verràutilizzatalaregistrazione all'unitàdisco

•DEVICEBIO=#1-verràutilizzatalaregistrazionea CompanionChip

InstallazionediLenovoFingerprintSoftware

Illesetup32.exedelprogrammasoftwareperimprontedigitalipuòessereinstallatoconlaseguente procedura:

Installazionenonpresidiata

PerinstallareinmodalitànonpresidiataFingerprintSoftware,eseguireillesetup32.exesituatonella directorydiinstallazionesull'unitàCD-ROM.

Utilizzarelaseguentesintassi:

setup32.exe/s/v"/qnREBOOT="R""

Perdisinstallareilsoftware,utilizzarelaseguentesintassi:

setup32.exe/x/s/v"/qnREBOOT="R""

Capitolo2.Installazione15

Opzioni

Leseguentiopzionisonosupportatedalsoftwareperimprontedigitali:

Tabella8.OpzionisupportatedaLenovoFingerprintSoftware

ParametroDescrizione

SWAUTOSTART•0=nonavvieràilsoftwaredelleimprontedigitali

all'avviodiWindows.

•1=avvieràilsoftwaredelleimprontedigitaliall'avvio diWindows.

Ilvalorepredenitoè1.

SWFPLOGON•0=nonutilizzeràl'accessotramiteimprontedigitali

(GINAoCredentialProvider).

•1=utilizzeràl'accessotramiteimprontedigitali(GINA oCredentialProvider).

Ilvalorepredenitoè0.

SWPOPP•0=disabiliteràlaprotezionetramitepassworddiavvio.

•1=abiliteràlaprotezionetramitepassworddiavvio.

Ilvalorepredenitoè0.

SWSSO•0=disabiliteràlafunzioneSSO(singlesign-on).

•1=abiliteràlafunzioneSSO(singlesign-on).

Ilvalorepredenitoè0.

SWALLOWENROLL

SWALLOWDELETE

SWALLOWIMEXPORT•0=nonconsentel'importazione/esportazionedelle

SWALLOWSELECT

•0=nonconsentelaregistrazionedelleimprontedigitali perutentinonamministratori.

•1=consentelaregistrazionedelleimprontedigitaliper utentinonamministratori.

Ilvalorepredenitoè1.

•0=nonconsentel'eliminazionedelleimprontedigitali perutentinonamministratori.

•1=consentel'eliminazionedelleimprontedigitaliper utentinonamministratori.

Ilvalorepredenitoè1.

improntedigitaliperutentinonamministratori.

•1=consentel'importazione/esportazionedelle improntedigitaliperutentinonamministratori.

Ilvalorepredenitoè1.

•0=nonconsentelaselezionedell'utilizzodelle improntedigitalipersostituirelapassworddiavvioper utentinonamministratori.

•1=consentelaselezionedell'utilizzodelleimpronte digitalipersostituirelapassworddiavvioperutenti nonamministratori.

Ilvalorepredenitoè1.

16ClientSecuritySolution8.21Guidaalladistribuzione

Tabella8.OpzionisupportatedaLenovoFingerprintSoftware(continua)

ParametroDescrizione

SWALLOWPWRECOVERY

SWANTIHAMMER

SWANTIHAMMERRETRIESSpecicailnumeromassimoditentativi.Ilvalore

SWANTIHAMMERTIMEOUTSpecicaladurataditimeoutinsecondi.Ilvalore

SWAUTHTIMEOUT

SWAUTHTIMEOUTVALUESpecicailperiododiinattivitàprimadeltimeoutdi

SWNONADMIFPLOGONONLY

SWSHOWPOWERON

CSS•0=supponecheCSSnonsiainstallato.

•0=nonconsenteilripristinodellapassworddi

Windows.

•1=consenteilripristinodellapassworddiWindows. Ilvalorepredenitoè1.

•0=disabilitalaprotezioneanti-hammering.

•1=abilitalaprotezioneanti-hammering. Ilvalorepredenitoè1.

predenitoè5. Nota:questaimpostazionefunzionasoltantoquando SWANTIHAMMERèabilitato.

predenitoè120. Nota:questaimpostazionefunzionasoltantoquando SWANTIHAMMERèabilitato.

•0=disabilitailtimeoutdiautenticazione.

•1=abilitailtimeoutdiautenticazione. Ilvalorepredenitoè1.

autenticazioneinsecondi.Ilvalorepredenitoè120. Nota:questaimpostazionefunzionasoltantoquando SWAUTHTIMEOUTèabilitato.

•0=disabilital'accessoesclusivotramiteimpronte

digitaliperutentinonamministratori.

•1=abilital'accessoesclusivotramiteimprontedigitali

perutentinonamministratori.

Ilvalorepredenitoè1.

•0=nonmostraleopzionidisicurezzarelativeall'avvio.

•1=mostraleopzionidisicurezzarelativeall'avvio. Ilvalorepredenitoè0.

•1=supponecheCSSsiainstallato. Ilvalorepredenitoè0.

SMS(SystemsManagementServer)

AncheleinstallazionidiSystemsmanagementserver(SMS)sonosupportate.Aprirelaconsoledi amministrazionediSMS.Creareunnuovopacchettoeimpostareleproprietàdelpacchettoinmaniera standard.AprireilpacchettoeselezionareNuovoprogrammanellavoceProgrammi.Altiporigacomandi:

Setup.exe/myourmiflename/q/i

E'possibileutilizzareglistessiparametriutilizzatiperl'installazionenonpresidiata.

L'impostazionesiriavvianormalmenteallanedelprocessodiinstallazione.Sesidesiderasopprimeretuttii riavviidurantel'installazioneeilriavviosuccessivo(dopol'installazionedialtriprogrammi),aggiungere REBOOT=“ReallySuppress”all'elencodelleproprietà.

Capitolo2.Installazione17

18ClientSecuritySolution8.21Guidaalladistribuzione

Capitolo3.GestionediClientSecuritySolution

PrimadiinstallareClientSecuritySolution,ènecessariocomprenderelepersonalizzazionidisponibiliper ClientSecuritySolution.QuestocapitolofornisceinformazionisullapersonalizzazionediClientSecurity SolutionesuTPM(TrustedPlatformModule).IterminiutilizzatiinquestocapitoloerelativialTPMsonostati denitidal(TCG)(TrustedComputingGroup).PerulterioriinformazionirelativealTPM,fareriferimentoal seguentesitoWeb: http://www.trustedcomputinggroup.org/

UtilizzodiTPM(TrustedPlatformModule)

TPMèunchipdisicurezzaintegrato,progettatoperoffrirefunzionirelativeallasicurezzadelsoftwarechene fauso.Ilchipdisicurezzaintegratovieneinstallatosullaschedamadrediunsistemaecomunicaattraverso unbushardware.IsistemicheincorporanoTPMpossonocrearechiavicrittogracheecodicarleinmododa consentirneladecodicatramitelostessoTPM.Questoprocesso,chevienespessodenitowrappingdiuna chiave,consentediproteggerelasegretezzadiunachiave.SuunsistemaconTPM,lachiavediwrapping principale,denominata(SRK)(StorageRootKey),èmemorizzataall'internodiTPM,inmodochelaparte privatadellachiavenonvengamaiesposta.Ilchipdisicurezzaintegratopuòanchememorizzarealtrechiavi dimemorizzazione,chiavidirma,passwordealtrepiccoleunitàdidati.Acausadellalimitatacapacitàdi memorizzazioneinTPM,SRKvieneutilizzatopercodicarealtrechiaviperlamemorizzazioneesternaalchip. SRKnonabbandonamaiilchipdisicurezzaintegratoecostituiscelabaseperlamemorizzazioneprotetta.

L'utilizzodelchipdiprotezioneincorporatoèfacoltativoerichiedeunamministratorediClientSecurity Solution.AprescinderedalfattochevengautilizzatodalsingoloutenteodarepartoIPaziendale,è necessarioinizializzareTPM.Leoperazionisuccessive,comelapossibilitàdieseguireilripristinodaun erroredell'unitàdiscossoodaunaschedadisistemasostituita,sonovietateancheall'amministratoredi ClientSecuritySolution.

Nota:sesimodicalamodalitàdiautenticazioneesitentadisbloccareilchipdisicurezza,ènecessario scollegarsiericollegarsicomeamministratoreprincipale.Inquestomodosaràpossibilesbloccareilchip.È inoltrepossibileaccederecomeutentesecondarioecontinuareaconvertirelamodalitàdiautenticazione. Taleoperazionevieneeseguitaautomaticamentequandol'utentesecondariosicollega.ClientSecurity Solutionrichiederàlapasswordofrasediaccessodell'utentesecondario.Unavoltaterminatal'elaborazione dellamodicadapartediClientSecuritySolution,l'utentesecondariopuòpassareasbloccareilchip.

UtilizzodiTPM(TrustedPlatformModule)conWindowsVista

Sel'accessodiWindowsVistaèabilitatoeTPMèdisabilitato,occorredisabilitarelafunzionediaccessodi WindowsprimadidisabilitareTPMinF1BIOS.Taleoperazioneimpediràlavisualizzazionedelseguente messaggiodisicurezza:Chipdisicurezzadisattivato.Impossibileproteggereilprocessodiaccesso.

Inoltre,sesiaggiornailsistemaoperativodiunsistemaclient,ènecessariodisattivareilchipdisicurezzaper evitareerroridiregistrazionediClientSecuritySolution.PerdisattivareilchipinF1BIOS,occorreavviareil sistemaafreddo.Nonsaràpossibiledisattivareilchipsesitentaquestoprocessodopounriavvioacaldo.

GestionediClientSecuritySolutionconchiavicrittograche

ClientSecuritySolutionèdescrittodalledueattivitàprincipalididistribuzione:Acquisizionediproprietà eRegistrazioneutente.Durantelaprimaesecuzionedellaproceduraguidataperlacongurazionedi ClientSecuritySolution,entrambiiprocessidiAcquisizionediproprietàeRegistrazioneutentevengono eseguitidurantel'inizializzazione.IlparticolareIDutentediWindowschehacompletatolaprocedura guidatadicongurazionediClientSecuritySolutionèl'amministratorediClientSecuritySolutioneviene

registratocomeutenteattivo.Aognialtroutentecheaccedealsistemavienerichiestodiiscriversiin ClientSecuritySolution.

•Acquisizionediproprietà VieneassegnatounsingoloIDutenteamministratorediWindows,inqualitàdiunicoamministratoredi ClientSecuritySolutiondelsistema.LefunzioniamministrativediClientSecuritySolutiondevonoessere eseguitetramitequestoIDutente.L'autorizzazioneTrustedPlatformModulecorrispondeallapassword WindowsditaleutenteoallafrasediaccessodiClientSecurity.

Nota:l'unicomodoperrecuperareunapasswordounafrasediaccessodegliamministratoriClient SecuritySolutionèquellodidisinstallareilsoftwareconautorizzazioniWindowsvalideodicancellareil chipdisicurezzanelBIOS.Inognicaso,idatiprotettiattraversolechiaviassociateaTPMandrannopersi. ClientSecuritySolutionfornisceancheunmeccanismofacoltativocheconsenteilrecuperoautomaticodi unapassworddimenticataodiunafrasediaccessoinbaseallarispostadiverica.L'amministratore diClientSecuritySolutiondecideseutilizzareomenolafunzione.

•Registrazioneutente UnavoltacheilprocessoDiventaproprietariovienecompletatoevienecreatounamministratorediClient SecuritySolution,èpossibilecreareunachiavedibasedell'utentepermemorizzareinmodosicuro lecredenzialiperl'utenteWindowsattualmenteconnesso.Questoprogettoconsenteapiùutentidi iscriversiaClientSecuritySolutionediaggiornareTPM.Lechiaviutentesonoprotetteattraversoilchipdi sicurezza,mainrealtàsonomemorizzateesternamentealchip,suldiscosso.Questaorganizzazione creaspazioneldiscosso,comefattorelimitativodellamemorizzazione,anzichédellamemoriaeffettiva costruitanelchipdisicurezza.Inquestomodoaumentailnumerodiutentichepossonosfruttarelo stessohardwaresicuro.

Acquisizionediproprietà

LarootoftrustperClientSecuritySolutionè(SRK)(SystemRootKey).Questachiaveasimmetricanon migrabileègeneratanell'ambientesicurodiTPMenonvienemaiespostaalsistema.L'autorizzazione all'utilizzodellachiavesiottienedall'accountAmministratorediWindowsdurantel'esecuzionedelcomando TPM_TakeOwnership.SeilsistemautilizzaunafrasediaccessodiClientSecurity,perl'amministratore diClientSecuritySolutioncorrisponderàall'autorizzazioneT rustedPlatformModule.Incasocontrario, corrisponderàallapassworddiWindowsdell'amministratorediClientSecuritySolution.

ConlaSRKcreataperilsistema,èpossibilecrearealtrecoppiedichiaveememorizzarleesternamentea TPM,matalichiavesonosottoposteawrappingeprotettedallechiavibasatesull'hardware.Datocheil TPMchecomprendeSRKèl'hardware,el'hardwarepuòsubiredanni,èindispensabileunmeccanismodi recuperoperassicurarechedannialsistemanonimpediscanoilrecuperodidati.

Perrecuperareunsistema,vienecreataunachiavedibasedelsistema.Questachiavedimemorizzazione asimmetricaconsenteall'amministratorediClientSecuritySolutiondieseguireunrecuperodaun cambiamentodellaschedadisistemaodaunamigrazionepianicataaunaltrosistema.Perproteggere SystemBaseKey,marenderloaccessibilenelcorsodellanormaleoperativitàonelripristino,vengono createdueistanzedellachiave,chevengonoprotetteinduediversimodi.Innanzitutto,lachiavedibase delsistemaècodicataconunachiavesimmetricaAES,derivantedallaconoscenzadellapassword dell'amministratorediClientSecuritySolutionodellafrasediaccessodiClientSecurity.Questacopiadella chiavediripristinoClientSecuritySolutionserveesclusivamenteperilrecuperodaunTPMcancellatooda unaschedadisistemasostituitaperguastohardware.

LasecondaistanzadellachiavediripristinoClientSecuritySolutionvienesottopostaawrappingdaSRK perl'importazionenellagerarchiadellachiave.Questadoppiaistanzadellachiavedibasedelsistema consentealTPMdiproteggereisegretiadessoconnessiduranteilnormaleutilizzoeconsenteilripristinodi unaschedadisistemadanneggiataattraversolachiavedibasedelsistema,codicataconchiaveAES, sbloccabiletramitelapassworddell'amministratorediClientSecuritySolutionolafrasediaccessodiClient

20ClientSecuritySolution8.21Guidaalladistribuzione

Security.Successivamente,vienecreataunaChiavefogliadelsistema.Questachiaveèstatacreataper

System Level Key Structure - Take Ownership

Trusted Platform Module

Encrypted via derived AES Key

Storage Root Private Key

Storage Root Public Key

System Leaf Private Key

System Base Private Key

System Leaf Public Key

System Base Public Key

System Base Private Key

System Base Public Key

If Passphrase

loop n times

CSS Admin PW/PP

One-Way Hash

System Base AES

Protection Key (derived via output of hash algorithm)

Auth

proteggereisegretialivellodisistema,comelachiaveAES.

Ilseguentediagrammaforniscelastrutturadellachiavealivellodelsistema:

Figura1.Strutturadellachiavealivellodelsistema-Acquisizionediproprietà

Registrazioneutente

PerproteggereidatidiciascunutenteattraversolostessoTPM,occorrecreareunachiavedibase codicataperogniutente.Talechiavedimemoriaasimmetricapuòesseremigrataevienecreataduevoltee protettadaunachiaveAESsimmetricageneratadallapasswordWindowsdiciascunutenteodallafrase diaccessodiClientSecurity.

LasecondaistanzadellaChiavedibasedell'utentevienequindiimportatanelTPM,eprotettadalSRK disistema.ConlaUserBaseKeycheèstatacreata,vienecreataunachiaveasimmetricasecondaria, denominataUserLeafKey.ConlaUserLeafKey,èpossibileproteggeresingolisegreti,qualiadesempiola chiaveAESdiPasswordManagerutilizzataperproteggereleinformazionidiaccessoaInternetolapassword utilizzataperproteggeredatielachiaveAESdellapassworddiWindowsutilizzataperproteggerel'accesso alsistemaoperativo.L'accessoallaUserLeafKeyècontrollatodallapasswordWindowsdell'utenteodalla frasediaccessoClientSecuritySolutionevienesbloccataautomaticamentedurantel'accesso.

Capitolo3.GestionediClientSecuritySolution21

+ 61 hidden pages