Lenovo ThinkVantage Client Security Solution 8.21 Deployment Guide [it]

ClientSecuritySolution8.21 Guidaalladistribuzione

Aggiornamento:febbraio2012

Nota:Primadiutilizzarequesteinformazionieilprodottosupportato,consultareleinformazionigeneraliin AppendiceD“Informazioniparticolari”apagina77.

Terzaedizione(Febbraio2012)

©CopyrightLenovo2008,2012.

NOTASUIDIRITTILIMITA TI:seidatioilsoftwaresonodistribuitiinbasealledisposizionicheregolanoilcontratto “GSA”(GeneralServicesAdministration),l'uso,lariproduzioneoladivulgazioneèsoggettaallelimitazionipreviste dalcontratton.GS-35F-05925.

Contenuto

Prefazione...............iii

Capitolo1.Panoramica.........1

ClientSecuritySolution............1

FrasediaccessodiClientSecuritySolution..2

RecuperopassworddiClientSecurity.....2

ClientSecurityPasswordManager......2

SecurityAdvisor.............3

Proceduraguidataditrasferimentocerticati..3

Ripristinopasswordhardware........4

SupportoperisistemisenzaTPM......4

FingerprintSoftware.............4

Capitolo2.Installazione.........7

ClientSecuritySolution............7

Requisitidiinstallazione..........7

Proprietàpubblichepersonalizzate......8

SupportoTPM(T rustedPlatformModule)...8 Procedurediinstallazioneeparametridella

rigacomandi..............9

ProprietàpubblichestandarddiWindows

Installer................12

Filedilogperl'installazione........13

InstallazionediClientSecuritySolution8.21

conversioniesistenti..........14

InstallazionediThinkVantageFingerprint

Software.................14

Installazionenonpresidiata........14

Opzioni................14

InstallazionediLenovoFingerprintSoftware...15

Installazionenonpresidiata........15

Opzioni................16

SMS(SystemsManagementServer)......17

Capitolo3.GestionediClientSecurity

Solution................19

UtilizzodiTPM(T rustedPlatformModule)....19

UtilizzodiTPM(T rustedPlatformModule)con

WindowsVista.............19

GestionediClientSecuritySolutionconchiavi

crittograche...............19

Acquisizionediproprietà.........20

Registrazioneutente..........21

Emulazionedelsoftware.........22

Cambiodellaschedadisistema......23

UtilitàdiprotezioneEFS.........25

UtilizzodiunoschemaXML.........26

Esempi................26

UtilizzoditokenRSASecurID.........33

InstallazionedeltokendelsoftwareRSA

SecurID...............33

Requisiti...............33

Impostazionidelleopzionidiaccessoalle

smartcard..............33

Installazionemanualedeltokendelsoftware

RSASecurID.............33

SupportoperActiveDirectory.......34

Impostazioniecriteriperl'autenticazionetramite

lettorediimprontedigitali..........34

Opzionedidisabilitazionedelleimpronte

digitali................34

Risultatodellaregistrazionediimpronte

digitali................34

Strumentidellarigacomandi.........35

SecurityAdvisor............35

ProceduraguidatadiinstallazionedellaClient

SecuritySolution............36

Strumentodicodicaodecodicadelledi

distribuzione..............37

Strumentodielaborazionedelledi

distribuzione..............37

TPMENABLE.EXE...........38

StrumentoTrasferimentocerticati.....38

StrumentodiattivazioneTPM.......39

SupportoperActiveDirectory.........39

Filedimodelloamministrativi(ADM)....40

ImpostazionidiCriteriodigruppo.....41

Aggiornamentoattivo..........45

Capitolo4.UtilizzodiThinkVantage

FingerprintSoftware.........47

StrumentoConsoledigestione........47

Comandispecicidell'utente.......47

Comandidiimpostazioniglobali......48

Modalitàsicuraemodalitàutile........49

Modalitàsicura-amministratore......49

Modalitàsicura-utenteconlimitazioni...50

Modalitàutile-amministratore......50

Modalitàutile-utenteconlimitazioni....51

Impostazionicongurabili........51

SoftwareperimprontedigitalieNovellNetware

Client..................52

Autenticazione.............53

ServizioThinkVantageFingerprintSoftware...53

Capitolo5.UtilizzodiLenovo

FingerprintSoftware.........55

©CopyrightLenovo2008,2012

StrumentoConsoledigestione........55

ServizioLenovoFingerprintSoftware......55

SupportoActiveDirectoryperLenovoFingerprint

Software.................55

Capitolo6.Procedureottimali....57

Esempididistribuzioneperl'installazionediClient

SecuritySolution..............57

Scenario1..............57

Scenario2..............59

AlternanzatralemodalitàdiClientSecurity

Solution.................61

RolloutdiActiveDirectoryaziendale......61

InstallazioneautonomaperleCDoscript...61

SystemUpdate..............62

SystemMigrationAssistant..........62

Generazionediuncerticatoutilizzandouna

generazionedichiaviinTPM.........62

Requisiti:...............62

Richiestadiuncerticatodalserver....62

UtilizzoditastiereperimprontedigitaliUSBcon modellidicomputernotebookThinkPad2008

(R400/R500/T400/T500/W500/X200/X301)....63

AccessoaWindowsVista........64

AccessoaWindowsXP.........64

ClientSecuritySolutionePassword

Manager...............66

Autenticazionedipreavvio–Utilizzodelle improntedigitalianzichédellepassword

BIOS.................66

AppendiceA.Considerazioni

sull'utilizzodiOmniPass.......69

AppendiceB.Considerazionispeciali relativeall'utilizzodiLenovo FingerprintKeyboardconalcuni

modellidinotebookThinkPad....71

Congurazioneeinstallazione.........71

Autenticazionepre-desktop.........71

AccessoaWindows............71

WindowsXP-Schermatadibenvenuto.....72

WindowsXP-Promptdiaccessoclassico...72

WindowsVista...............72

AutenticazioneconClientSecuritySolution...73

AppendiceC.Sincronizzazione dipasswordinCSSdopola reimpostazionedellapassworddi

Windows...............75

AppendiceD.Informazioni

particolari...............77

Marchi..................78

Glossario................lxxix

iiClientSecuritySolution8.21Guidaalladistribuzione

Prefazione

QuestaguidaèdestinataagliamministratoriIToairesponsabilidelladistribuzionediThinkVantage SecuritySolutioneThinkVantageFingerprintSoftwareneicomputerdelleloroorganizzazioni.Questo manualefornisceleinformazioninecessarieperl'installazionediClientSecuritySolutioneFingerprint Softwaresuunoopiùcomputer,apattochesuciascuncomputerdidestinazionesianodisponibilile licenzeperilsoftware.

L'obiettivodiClientSecuritySolutioneFingerprintSoftwareèproteggereisistemitramiteprotezionedeidati clientecontrastareitentatividiviolazionedellasicurezza.Perdomandeeinformazionirelativeall'utilizzodei varicomponentidiClientSecuritySolutioneFingerprintSoftware,fareriferimentoalsistemadiguidaonline pericomponenti,disponibileall'indirizzowww.lenovo.com/thinkvantage.

Talimanualivengonoaggiornatiperiodicamente.VisitareilseguentesitoWebperfuturepubblicazioni: http://www.lenovo.com/thinkvantage

Persuggerimentiocommenti,contattareilrappresentanteautorizzatoLenovo®dellapropriazona.

Client

©CopyrightLenovo2008,2012

iii

ivClientSecuritySolution8.21Guidaalladistribuzione

Capitolo1.Panoramica

QuestocapitolofornisceunapanoramicasuClientSecuritySolutionesulsoftwareperimprontedigitali. Letecnologiepresentateinquestaguidaalladistribuzionepossonoaiutaredirettamenteoindirettamentei professionistiITperchérendonol'usodeiPC(personalcomputer)piùfacile,piùautonomoeforniscono strumentiutilichefacilitanoesemplicanoleistruzioni.Conl'aiutodelletecnologieThinkVantage,i professionistiITpossonoimpiegaremenotemponellarisoluzionedeisingoliproblemideicomputere dedicarepiùtempoalleloroattivitàprincipali.

ClientSecuritySolution

L'obiettivoprincipaledelsoftwareClientSecuritySolutionèproteggereilcomputercomerisorsa,idati riservatipresentialsuointernoeleconnessionidireteacuisiaccedetramiteilcomputer.Perisistemi marcatiLenovochecontengonounTrustedComputingGroup(TCG)conformealTrustedPlatformModule (TPM),ilsoftwareClientSecuritySolutionsfruttal'hardwarecomerootoftrustperilsistema.Seilsistema noncontieneunchipdisicurezzaintegrato,ClientSecuritySolutionsfrutteràilsoftwarebasatosuchiavi crittograchecomefontedisicurezzaperilsistema.

TralefunzionidellaClientSecuritySolutionversione8.2visono:

•AutenticazioneutentesicuraconpassworddiWindows®ofrasediaccessodiClientSecurity

Solution

ClientSecuritySolutionpuòessereconguratoperaccettareunapassworddiWindowsounafrasedi accessodiClientSecuritySolutionperl'autenticazione.LapassworddiWindowsforniscepraticitàe facilitàdigestionetramiteWindows,mentrelafrasediaccessodiClientSecuritySolutionfornisce maggioresicurezza.L'amministratorepuòsceglierequalemetododiautenticazioneutilizzareetale impostazionepuòesseremodicataanchedopolaregistrazionedegliutenticonClientSecuritySolution.

•Autenticazionedelleimprontedigitaliutente Sfruttalatecnologiadelleimprontedigitaliintegrataecollegataall'USBperautenticaregliutentiche accedonoalleapplicazioniprotettedapassword.

•Autenticazionemultipladell'utentepergliaccessiaWindowseperlediverseoperazionidella

ClientSecuritySolution

Denisceimolteplicimetodidiautenticazione(passworddiWindows,frasediaccessodiClientSecurity eimprontedigitali)perlediverseoperazionirelativeallasicurezza.

•Gestionepassword Gestisceinmodosicuroememorizzaleinformazionidiaccessoriservate,comeIDutenteepassword.

•Recuperopasswordefrasediaccesso IlrecuperodipasswordefrasediaccessoconsentelaregistrazionedegliutentiaWindowsel'accesso allecredenzialidiClientSecuritySolutionancheincasodidimenticanzadellapassworddiWindowso dellafrasediaccessodiClientSecuritySolution,rispondendoadomandedisicurezzaprecongurate.

•Controllaimpostazionidisicurezza Consenteagliutentidivisualizzareunelencodettagliatodiimpostazionidisicurezzadellastazionedi lavoroedieffettuarelemodicheperconformarleaglistandarddeniti.

•T rasferimentodicerticatidigitali ClientSecuritySolutionproteggelachiaveprivatadeicerticatidiutenteecomputer.UtilizzareClient SecuritySolutionperproteggerelachiaveprivatadeicerticatiesistenti.

•Gestionecriteriperl'autenticazione Unamministratorepuòscegliereimetodi(passwordWindows,frasediaccessoClientSecuritySolution oimprontedigitali)necessaripereseguirel'autenticazioneperleseguentiazioni:accessoaWindows, PasswordManagereoperazionideicerticati.

©CopyrightLenovo2008,2012

FrasediaccessodiClientSecuritySolution

LafrasediaccessodiClientSecuritySolutionèunaformaaggiuntivaefacoltativadiautenticazione dell'utentechefornisceunamaggioresicurezzaalleapplicazionidiClientSecuritySolution.Lafrasedi accessodiClientSecuritySolutiondeverispettareiseguentirequisiti:

•Esserelungaalmenoottocaratteri

•Contenerealmenounnumero

•Esserediversadalleultimetrefrasidiaccesso

•Contenereunmassimodiduecaratteriripetitivi

•Noniniziareconunnumero

•Nonnireconunnumero

•Noncontenerel'IDutente

•Nonesseremodicataselafrasediaccessocorrentehamenoditregiorni

•Nonconteneretreopiùcaratteriidenticiconsecutivicomelafrasediaccessocorrenteinqualsiasi posizione

•NonessereugualeallapasswordWindows

LafrasediaccessodiClientSecuritySolutionèconosciutasolodalsingoloutente.L'unicomodoper ripristinareunafrasediaccessodiClientSecuritySolutiondimenticataètramitelafunzionedirecuperodella passworddiClientSecuritySolution.Sel'utentehadimenticatolerispostealledomandediripristino,non c'èmododirecuperareidatiprotettidallafrasediaccessodiClientSecuritySolution.

RecuperopassworddiClientSecurity

QuestafunzionefacoltativaconsenteagliutentiiscrittiaClientSecuritydirecuperareunapassword WindowsounafrasediaccessoClientSecuritydimenticatarispondendocorrettamenteatredomande. Sequestafunzioneèdisabilitata,ogniutenteselezioneràtrerisposteadiecidomandeprescelte.Sesi dimenticalapasswordWindowsolafrasediaccessodiClientSecurity,èpossibilerispondereaqueste tredomandeperripristinarla.

Note:

1.QuandosiutilizzalafrasediaccessodiClientSecurity,ilripristinodellapassworddiClientSecurity èilsolomodoperrecuperareunafrasediaccessodimenticata.Sesidimenticalarispostaalle tredomande,occorrerieseguirelaproceduraguidatadiiscrizioneesiperderannotuttiiprecedenti datiprotettidiClientSecurity.

2.QuandosiutilizzaClientSecurityperproteggerelaPredesktopAreadiRescueandRecovery®,l'opzione RecuperopasswordvisualizzeràlafrasediaccessodiClientSecuritye/olapassworddiWindows.La frasediaccessoolapasswordvienevisualizzatapoichélaPredesktopAreanonconsentedieseguire automaticamenteunamodicadellapasswordWindows.Lafrasediaccessoolapasswordviene visualizzataquandounutentewireless(dominiomemorizzatonellacachelocalenoncollegatoallarete) eseguequestafunzionedurantel'accessoaWindows.

ClientSecurityPasswordManager

ClientSecurityPasswordManagerconsentedigestireleinformazionifacilidadimenticarerelativead applicazioniesitiWeb,comeIDutente,passwordealtreinformazionipersonali.ClientSecurityPassword ManagerproteggeleinformazionipersonalimedianteClientSecuritySolution,inmodochel'accesso all'applicazioneeaisitiwebrimangacompletamenteprotetto.IlprogrammaClientSecurityPassword Managerconsentedirisparmiaretempoefaticapoichéoccorrericordaresolounapasswordounafrasedi accessoofornireleimprontedigitali.

2ClientSecuritySolution8.21Guidaalladistribuzione

ClientSecurityPasswordManagerconsentedieffettuareleseguentifunzioni:

•CodicaditutteleinformazionimemorizzateattraversoilsoftwareClientSecuritySolution: CodicaautomaticamentetutteleinformazionitramiteClientSecuritySolution.Leinformazioniriservate dellapasswordsonoprotettedallechiavidicodicadiClientSecuritySolution.

•InserimentoautomaticodiIDutenteepassword: Automatizzailprocessodiaccessoaun'applicazioneoaunsitoweb.Seleinformazionidiaccessosono stateimmesseinClientSecurityPasswordManager,ClientSecurityPasswordManagerèingradodi compilareicampinecessariediinoltrareleinformazionialsitoweboall'applicazione.

•Modicarelevociutilizzandol'interfacciadelClientSecurityPasswordManager: consentedimodicarelevocidelproprioaccountediimpostaretuttelecaratteristichefacoltativedella passwordinun'interfacciadifacileuso.Taleinterfacciafacilitaerendepiùrapidalagestionedelle informazionipersonaliedellapassword.Tuttavia,lamaggiorpartedellemodicherelativeallevoci possonoessererilevateautomaticamentedaClientSecurityPasswordManagereconsenteall'utentedi aggiornarelevociinmodopiùsemplice.

•Salvataggiodelleinformazionisenzaprocedureaggiuntive: ClientSecurityPasswordManagerrilevaautomaticamenteilmomentoincuivengonoinviatele informazioniriservateaundeterminatositoWeboapplicazione.Quandovieneeseguitotalerilevamento, ClientSecurityPasswordManagerchiedeall'utentedisalvareleinformazioni,semplicandoinquesto modoilprocessodimemorizzazionedelleinformazioniriservate.

•Salvataggiodelleinformazioniinunoscratchpadsicuro: ConClientSecurityPasswordManager,l'utentepuòsalvareidatiditestoinscratchpadsicuri.Tali scratchpadpossonoessereprotetticonlostessolivellodiprotezionediqualsiasialtravocedelsito Webodell'applicazione.

•Esportazioneeimportazionedelleinformazionidiaccesso: Consentediesportareleinformazionipersonaliimportanti,inmododapoterletrasferirleinsicurezzada uncomputerall'altro.Quandosiesportanoleinformazionidiaccessodalgestorepassworddisicurezza client,vienecreatounlediesportazioneprotettodapasswordsulsupportorimovibile.Utilizzaretalele peraccederealleinformazioniovunquecisitrovioperimportarelevociinunaltrocomputerconClient SecurityPasswordManager.

Nota:IlsupportodiimportazionecompletoèdisponibileperlediesportazionediClientSecuritySolution versioni7.0e8x.IlsupportodiimportazionelimitatoèdisponibileperClientSecuritySolutionVersione

6.0(levocidell'applicazionenonvengonoimportate).NonsaràpossibileimportareClientSecurity SoftwareSolutionversioni5.4xeprecedentiinPasswordManagerdiClientSecuritySolutionversione8x.

SecurityAdvisor

LostrumentoSecurityAdvisorconsentedivisualizzareunriepilogodelleimpostazionidisicurezza attualmenteimpostatesulcomputer.Èpossibileutilizzaretaliimpostazionipervisualizzarelostatodi sicurezzacorrenteopermigliorarelasicurezzadelsistema.Ivaloripredenitidellecategorievisualizzate possonoesseremodicatimedianteilregistrodiWindows.Alcunedellecategoriedisicurezzainclusesono:

•Passwordhardware

•PasswordutentidiWindows

•CriteridellapassworddiWindows

•Screensaverprotetto

•Condivisionele

Proceduraguidataditrasferimentocerticati

IltrasferimentoguidatodicerticatodiClientSecurityguidaattraversoilprocessoditrasferimentodelle chiaviprivateassociateaipropricerticatidalCSP(cryptographicserviceprovider)Microsoft

basatosul

Capitolo1.Panoramica3

software,alCSPClientSecuritySolutionbasatosull'hardware.Dopoiltrasferimento,leoperazioniche utilizzanoicerticatisonopiùsicureperchélechiaviprivatesonoprotettedaClientSecuritySolution.

Ripristinopasswordhardware

QuestostrumentocreaunambientesicurochevieneeseguitoindipendentementedaWindowseconsente diripristinarelepassworddell'unitàdiscossoediaccensionedimenticate.L'identitàvienestabilita rispondendoaunaseriedidomandecreate.Crearetaleambienteprotettoimmediatamente,primache vengadimenticataunapassword.Nonèpossibileripristinareunapasswordhardwaredimenticatanoa quandononvienecreatoilsuddettoambientesudiscossoedopol'iscrizione.Questostrumentoè disponibilesolosudeterminaticomputer.

SupportoperisistemisenzaTPM

ClientSecuritySolutionversione8.2supportaisistemiconmarchioLenovochenonhannounchipdi sicurezzaintegratoeconforme.Talesupportoconsenteun'installazionestandardintuttal'aziendaalne dicreareunambienteprotettoeomogeneo.Isistemidotatidihardwaredisicurezzaintegratisonopiù protetticontrogliattacchi;tuttavia,lemacchineconilsolosoftwarepossonobeneciaredimeccanismi disicurezzaedifunzionalitàaggiuntivi.

FingerprintSoftware

L'obiettivodelletecnologiebiometricheperleimprontedigitalioffertedaLenovoèconsentireagli utentidiridurreicostiassociatiallagestionedellepassword,migliorarelasicurezzadeisistemie agevolarelaconformitàallenormative.GrazieailettoriLenovoperleimprontedigitali,ilsoftwareper improntedigitaliconsentel'autenticazionedelleimprontedigitalisusingolicomputerereti.Ilsoftware perimprontedigitalicombinatoconClientSecuritySolutionversione8.2offremaggiorifunzionalità. PerClientSecuritySolution8.21,sonosupportatisiaThinkVantageFingerprintSoftware5.8.2che LenovoFingerprintSoftware2.0perdifferentitipidimacchine.Ulterioriinformazionisulletecnologie Lenovoperleimprontedigitalieilrelativosoftwaredascaricaresipossonotrovareall'indirizzo: http://www.lenovo.com/support/site.wss/MIGR-59650.html

Ilsoftwareperimprontedigitalioffreleseguentifunzioni:

•Funzionidelsoftwareclient –SostituzionedellapassworddiMicrosoftWindows:

Sostituiscelapasswordconleimprontedigitaliperunaccessoalsistemafacile,rapidoesicuro.

–SostituzionedellapasswordBIOS(anchenotacomepassworddiavvio)edellepasswordperi

dischissi:

Sostituiscelepasswordconleimprontedigitalipermigliorarelasicurezzaelapraticitàdiaccesso.

–Autenticazionedipreavviotramiteimprontedigitalipercodicadell'interaunitàSafeGuardEasy:

Utilizzal'autenticazionetramiteimprontedigitaliperdecodicarel'unitàdiscossoprimadiavviare Windows.

–T occosingoloperl'accessoaBIOSeaWindows:

Consentedirisparmiaretempopreziosolasciandoun'improntadigitaleall'avvioperaccedereaBIOSe aWindows.

–IntegrazioneconClientSecuritySolution:

èpossibileutilizzarloconClientSecuritySolutionPasswordManageresfruttareilTrustedPlatform Module.Conunsolotoccodeldito,gliutentipossonoaccedereaisitiwebeselezionareleapplicazioni.

•Funzionidiamministratore –Attivazionedellamodalitàdisicurezza:

Consenteaunamministratoredipassaredallamodalitàsicuraaquellautileeviceversapermodicare idirittidiaccessodegliutenticonlimitazioni.

4ClientSecuritySolution8.21Guidaalladistribuzione

•Funzionidisicurezza –Sicurezzadelsoftware:

Proteggeimodelliutenteattraversounacodicaquandovengonomemorizzatisuunsistemae trasferitidallettorealsoftware.

–Sicurezzahardware:

Fornisceunlettoredisicurezzadotatodiunco-processorechememorizzaeproteggeimodellidelle improntedigitali,lepasswordBIOSelechiavidicodica.

Capitolo1.Panoramica5

6ClientSecuritySolution8.21Guidaalladistribuzione

Capitolo2.Installazione

Questocapitolocontieneistruzionirelativeall'installazionediClientSecuritySolutionedelsoftwareper improntedigitali.PrimadiinstallareClientSecuritySolutionoilsoftwareperimprontedigitali,occorre comprenderel'architetturadell'applicazionechesivaadinstallare.Questocapitolodescrivel'architetturadi ogniapplicazioneefornisceinformazioniaggiuntivenecessarieperl'installazionedientrambiiprogrammi.

ClientSecuritySolution

IlpacchettodiinstallazionediClientSecuritySolutionèstatosviluppatoconInstallShield10.5Premier comeprogettoMSIdibase.InstallShieldutilizzaWindowsInstallerperinstallareleapplicazioni,ilche offreagliamministratoridiversepossibilitàdipersonalizzarel'installazione,adesempioimpostandovalori diproprietàdallarigacomandi.QuestocapitolodescrivecomeutilizzareedeseguireilpacchettoClient SecuritySolution.Perunamigliorecomprensionedell'argomento,leggeretuttoilcapitoloprimadiiniziare l'installazionedeipacchetti.

Nota:durantel'installazioneditalipacchetti,fareriferimentoalleReadmediClientSecuritySolution. VisitareilseguentesitoWebLenovo: http://www.lenovo.com/support/site.wss/document.do?sitestyle=lenovo&lndocid=HOME-LENOVO IlleReadmecontieneinformazioniaggiornatesuversionisoftware,sistemisupportati,requisitidisistemae altreosservazionichepotrebberorisultareutilinelcorsodelprocessodiinstallazione.

Requisitidiinstallazione

Leinformazionipresentiinquestasezionefornisconoirequisitidisistemaperl'installazionedelpacchetto ClientSecuritySolution.Perottenererisultatiottimali,visitareilseguentesitoWebperaccertarsididisporre dell'ultimaversionedelsoftware: http://support.lenovo.com/en_US/downloads/detail.page?LegacyDocID=MIGR-61432

AlcunicomputerprecedentipossonosupportareClientSecuritySolution,acondizione chevenganosoddisfattiirequisitispecicati.Perinformazionisuicomputer precedentichesupportanoClientSecuritySolution,visitareilsitoWeball'indirizzo http://support.lenovo.com/en_US/downloads/detail.page?LegacyDocID=MIGR-61432

RequisitipercomputerLenovo

IcomputeramarchioLenovodevonorispettareiseguentirequisitiminimiperconsentirel'installazionedi ClientSecuritySolution:

•Sistemaoperativo:WindowsVista Pack3.

•Memoria:256MB –Nellecongurazionidimemoriacondivisa,l'impostazioneBIOSperlamemoriacondivisamassima

deveessereugualeosuperiorea8MB.

–Nellecongurazionedimemorianoncondivisa,120MBdimemorianoncondivisa.

•ÈnecessarioinstallareInternetExplorer5.5oversionesuperiore.

•300MBdispazioliberosuldiscosso.

•VideocompatibileconVGAchesupportiunarisoluzionedi800x600ecoloria24-bit.

•L'utentedevedisporrediprivilegidiamministratoreperinstallareClientSecuritySolution.

•UlteriorirequisitiperHardwarePasswordReset:NTFSeWindowsXP.

,WindowsVistaconServicePack1oWindowsXPconService

Nota:ladistribuzionedelpacchettodiinstallazioneClientSecuritySolutionsuWindowsServer2003 nonèsupportata.

©CopyrightLenovo2008,2012

Proprietàpubblichepersonalizzate

IlpacchettodiinstallazioneperilprogrammaClientSecuritySoftwarecontieneunaseriediproprietà pubblichepersonalizzatechepossonoessereimpostatesullarigacomandiquandosieseguel'installazione. LaseguentetabelladescrivelesuddetteproprietàperWindowsXPeWindows2000:

Tabella1.Proprietàpubbliche

ProprietàDescrizione

EMULATIONMODESpecicaredieseguireinognicasol'installazionein

ModalitàdiemulazioneancheseèpresenteunTPM. ImpostareEMULATIONMODE=1sullarigacomandiper installareinModalitàemulazione.

HALTIFTPMDISABLEDSeilTPMèinunostatodisabilitatoel'installazioneèin

esecuzioneinmodalitànonpresidiata,ilvalorepredenito consistenell'installazioneinmodalitàemulazione. UtilizzarelaproprietàHALTIFTPMDISABLED=1quando sieseguel'installazioneinmodalitànonpresidiataper interromperel'installazioneseilTPMèdisabilito.

NOCSSWIZARDImpostareNOCSSWIZARD=1sullarigacomandiper

evitareche,dopol'installazione,vengavisualizzata automaticamentelanestradidialogoperlaregistrazione diClientSecuritySolution.Questaproprietàè congurataperunamministratorechedesideriinstallare ClientSecuritySolution,mautilizzareloscripting successivamente,nelcorsodellacongurazionedel sistema.

CSS_CONFIG_SCRIPTImpostareCSS_CONFIG_SCRIPT=“nomele”

o“passwordnomele”pereseguireunledi congurazionedopochel'utentecompletal'installazione edesegueilriavvio.

SUPERVISORPWImpostareSUPERVISORPW=“password”sullariga

comandiperfornirelapassworddelsupervisoreper abilitareilchipinmodalitànonpresidiataoininstallazione presidiata.Seilchipèdisabilitatoel'installazioneèin esecuzioneinmodalitànonpresidiata,perabilitareilchip occorrefornirelapassworddelsupervisorecorretta.In casocontrario,ilchipnonverràabilitato.

PWMGRMODEImpostarePWMGRMODE=1sullarigacomandiper

installaresoltantoPasswordManager.

NOSTARTMENUImpostareNOSTARTMENU=1sullarigacomandipernon

generareuncollegamentonelmenuStart.

SupportoTPM(TrustedPlatformModule)

ClientSecuritySolutionversione8.2includeunsupportoperl'hardwaredisicurezzaincorporatodel computer,TPM(TrustedPlatformModule).PerWindows2000eXP,potrebbeesserenecessarioscaricarei driverperilTPMdelsistema.SesiesegueWindowsVistaeilcomputerincludeunTPMsupportatodal sistemaoperativo,ClientSecuritySolutionutilizzeràidriverfornitidalsistemaoperativo.

L'abilitazionediTPMpotrebberichiedereunriavvio,poichéTPMèabilitatodalBIOSdelsistema.Sesi esegueWindowsVista,potrebbeessererichiestodiconfermarel'abilitazionediTPMdurantel'avviodel sistema.

PrimacheTPMpossaeseguirequalsiasifunzione,ènecessarioinizializzarelaproprietàdelsistema.Ogni sistemadisponediunamministratorediClientSecuritySolutionnecontrollaleopzioni.Taleamministratore

8ClientSecuritySolution8.21Guidaalladistribuzione

devedisporredeiprivilegidiamministratoreWindows.L'amministratorepuòessereinizializzatoutilizzando gliscriptdidistribuzioneXML.

Dopoaverconguratolaproprietàdelsistema,perogniutenteWindowsaggiuntivocheaccedeal sistemavienevisualizzataautomaticamentelaproceduraguidatadicongurazionediClientSecurityperla registrazioneel'inizializzazionedellechiavidisicurezzaedellecredenzialidell'utente.

EmulazionedelsoftwareperTPM

ClientSecuritySolutionpuòessereeseguitosenzaTPMsusistemiqualicati.Lafunzionalitàsaràlastessaa parteilfattocheutilizzalechiavebasatesusoftwareinvecediquellebasatesull'hardware.Ilsoftwarepuò essereinstallatoancheutilizzandounoswitchperforzarloautilizzaresemprechiavibasatesulsoftware anzichésfruttareTPM.Lasceltaseutilizzaretaleswitchvaeffettuataalmomentodell'installazioneenon puòesseremodicatasenzadisinstallareereinstallareilsoftware.

Lasintassiperforzareun'emulazionesoftwarediTPMè:

InstallFile.exe“/vEMULATIONMODE=1”

Procedurediinstallazioneeparametridellarigacomandi

MicrosoftWindowsInstallerforniscediversefunzioniamministrativeattraversoiparametridellariga comandi.WindowsInstallerpuòeseguireun'installazioneamministrativadiun'applicazioneounprodottoin unareteperl'utilizzodapartediungruppodilavorooperlapersonalizzazione.Leopzionidellariga comandicherichiedonounparametrodevonoesserespecicateconnessunospaziotral'opzioneeil parametro.Adesempio:

setup.exe/s/v"/qnREBOOT=”R”"

èvalido,mentre

setup.exe/s/v"/qnREBOOT=”R”"

nonloè.

Nota:lafunzionalitàpredenitadell'installazione,quandovieneeseguitadasola,(eseguendosolosetup.exe senzaalcunparametro)èquellodirichiedereall'utentediriavviareilcomputeradinstallazioneultimata.Peril correttofunzionamentodelprogramma,ènecessariounriavvio.Ilriavviopuòessererinviatotramiteun parametrodellarigacomandiperun'installazionenonpresidiata,comeindicatonellaprecedentesezionee nellasezionediesempio.

PerilpacchettodiinstallazioneClientSecuritySolution,un'installazioneamministrativadecomprimeiledi originediinstallazioneinunaposizionespecica.

Pereseguireun'installazioneamministrativa,avviareilpacchettodiimpostazionedallarigacomandi utilizzandoilparametro/a:

setup.exe/a

Un'installazioneamministrativapresentaunaproceduraguidatacherichiedeall'utenteamministrativodi specicareleposizioniperdecomprimereilediinstallazione.IlpercorsodiestrazionepredenitoèC:\.È possibileselezionareunanuovaposizionechepotrebbeincludereunitàdiversedaC:\.Adesempio,altre unitàlocaliounitàdiretemappate.Èinoltrepossibilecrearenuovedirectorydurantequestafase.

Pereseguireun'installazioneamministrativainmodalitànonpresidiata,èpossibileimpostarelaproprietà pubblicaTARGETDIRsullarigacomandiperspecicarelaposizionediestrazione:

setup.exe/s/v"/qnTARGETDIR=F:\TVTRR"

msiexec.exe/i"ClientSecurity-PasswordManager .msi"/qnTARGERDIR=F:\TVTRR

Nota:SelaversionediWindowsInstallernonèaggiornata,setup.exevieneconguratoperaggiornareil motorediWindowsInstallerallaVersione3.0.Questoaggiornamentoprovocheràlavisualizzazionedi

Capitolo2.Installazione9

unarichiestadiriavviodapartedelprogrammadiinstallazioneancheconun'istallazioneamministrativa diestrazione.Utilizzareopportunamenteilriavvioperimpedireoperazioniinutiliinquestasituazione.Se WindowsInstallersitrovaalmenoallaversione3.0,setup.exenontenteràdiaggiornareilmotoreditale programma.

Unavoltacompletatal'installazioneamministrativa,l'amministratorepuòpersonalizzareilesorgente, adesempioaggiungendoimpostazionialregistro.Pereseguirel'installazioneutilizzandoilsorgente decompressodopolapersonalizzazione,èsufcientechiamaremsiexec.exedallarigacomandi,passandoil nomedelleMSIdecompresso.

IseguentiparametriedescrizionisonoespostinellaguidadellosviluppatoreInstallShield.Iparametriche nonsiapplicanoaiprogettiMSIdibasesonostatirimossi.

Tabella2.Parametri

ParametroDescrizione

/a:installazioneamministrativaL'interruttore/afasìchesetup.exeeseguaun'installazione

amministrativa.Un'installazioneamministrativacopia (edecomprime)iledidatiinunadirectoryspecicata dall'utente,manoncreascorciatoie,registraiserverCOM ocreaunregistrodiinstallazione.

/x:ModalitàdidisinstallazioneL'interruttore/xfasìchesetup.exedisinstalliunprodotto

precedentementeinstallato.

/s:ModalitànonpresidiataIlcomandosetup.exe/sannullalanestradi

inizializzazionesetup.exeperunprogrammadi installazioneMSIdibase,manonleggeledirisposta. IprogettiMSIdibasenoncreanooutilizzanounledi rispostaperleinstallazioninonpresidiate.Pereseguire unprodottoMSIdibaseinmodalitànonpresidiata, eseguirelarigacomandisetup.exe/s/v/qn.Per specicareivaloridelleproprietàpubblicherelativead un'installazioneMSIdibasenonpresidiata,èpossibile utilizzare,fraglialtri,ilcomandosetup.exe/s/v“/qn INSTALLDIR=D:\Destination”.

/v:passaregliargomentiaMsiexecL'argomento/vvieneutilizzatoperpassareleopzioni

dellarigacomandieivaloridelleproprietàpubbliche attraversomsiexe.exe.

/L:ImpostazionelinguaGliutentipossonoutilizzarel'opzione/Lconl'IDlingua

decimaleperspecicarelalinguautilizzatadaun programmadiinstallazionemulti-lingua.Adesempio,il comandoperspecicareT edescoèsetup.exe/L1031.

/Aw:AttenderePerunprogettoMSIdibase,l'argomento/wimponea

setup.exediattendereilcompletamentodell'installazione primadiuscire.Sesiutilizzal'opzione/winunledi batch,sipuòfarprecederel'argomentodellarigacomandi setup.exedastart/WAIT.Unesempiocorrettamente formattatodiquestousoèilseguente:

start/WAITsetup.exe/w

Utilizzodimsiexec.exe

Pereseguirel'installazioneutilizzandoilsorgentedecompressodopolapersonalizzazione,èsufciente chiamaremsiexec.exedallarigacomandi,passandoilnomedelle*.MSIdecompresso.msiexec.exeè ilprogrammaeseguibiledell'Installerutilizzatoperinterpretareipacchettidiinstallazioneeperinstallarei prodottisuisistemididestinazione.

msiexec/i"C:\WindowsFolder\Proles\UserName\

10ClientSecuritySolution8.21Guidaalladistribuzione

Personal\MySetups\projectname\productconguration\releasename\ DiskImages\Disk1\productname.msi"

Nota:inserireilcomandoprecedentesuunarigasingolasenzaspazidopolebarre.

Laseguentetabelladescriveiparametridisponibilidellarigacomandicheèpossibileutilizzarecon msiexec.exeeirelativiesempidipossibileutilizzo.

Tabella3.Parametridellarigacomandi

ParametroDescrizione

/Ipacchettoocodiceprodotto

/apacchettoL'opzione/aconsenteagliutenticonprivilegidiamministratorediinstallare

/xpacchettoocodiceprodottoL'opzione/xdisinstallaunprodotto.

/L[i|w|e|a|r|u|c|m|p|v|+]lediregistro

/q[n|b|r|f]

Utilizzarequestoformatoperinstallareilprodotto:

Othello:msiexec/i"C:\WindowsFolder\Proles\ UserName\Personal\MySetups \Othello\TrialVersion\ Release\DiskImages\Disk1\ OthelloBeta.msi"

IlcodicedelprodottosiriferisceallaGUIDchevienegenerataautomaticamente nellaproprietàdelcodiceprodottodellavistadelprogettodelprodotto.

unprodottosullarete.

Lacreazionediun'opzione/Lspecicailpercorsonellediregistro.Questi indicatorimostranoqualiinformazioniregistrarenellediregistro:

•iregistraimessaggidistato

•wregistraimessaggidiavvertenzanonfatali

•eregistraqualsiasimessaggiodierrore

•aregistral'iniziodellesequenzediazione

•rregistrairecordspecicidell'azione

•uregistralerichiestedell'utente

•cregistraiparametridell'interfacciautenteiniziali

•mregistraimessaggifuoridallamemoria

•pregistraleimpostazioniterminali

•vregistral'impostazionedioutputdiemissionedelmessaggio

•+siaggiungeaunleesistente

•*èuncaratterejollycheconsentediregistraretutteleinformazioni (escludendol'impostazionedioutputdiemissionedelmessaggio)

L'opzione/qvieneutilizzataperimpostareillivellodiinterfacciautenteinsieme alleseguentiindicazioni:

•qoqnnoncreainterfacciautente

•qbcreaun'interfacciautentedibase

/?o/h

Leimpostazionidell'interfacciautenteinbassovisualizzanounanestradi dialogomodaleallanedell'installazione:

•qrvisualizzaun'interfacciautenteridotta

•qfvisualizzaun'interfacciautentecompleta

•qn+nonvisualizzaalcunainterfacciautente

•qb+visualizzaun'interfacciautentedibase

IlcomandovisualizzaleinformazionisulcopyrightdiWindowsInstaller

Capitolo2.Installazione11

Tabella3.Parametridellarigacomandi(continua)

ParametroDescrizione

TRANSFORMSIlparametroTRANSFORMSdellarigacomandispecicatutteletrasformazioni

chesidesideraapplicarealpropriopacchettobase.

msiexec/i"C:\WindowsFolder\ Proles\UserName\Personal \MySetups\ YourProjectName\TrialVersion\ MyRelease-1 \DiskImages\Disk1\ ProductName.msi"TRANSFORMS="NewTransf orm1.mst"

Èpossibileseparareletrasformazionimultipleconunpuntoevirgola.Non utilizzareilpuntoevirgolanelnomedellatrasformazione,poichéilservizio WindowsInstallernonliinterpretacorrettamente.

ProprietàTutteleproprietàpubblichepossonoessereimpostateomodicatedallariga

comandi.Leproprietàpubblichesonodiversedalleproprietàprivateesono tutteinmaiuscolo.Adesempio,NOMEAZIENDAèunaproprietàpubblica.

Perimpostareunaproprietàdallarigacomandi,utilizzarelaseguentesintassi:

PROPERTY=VALUE

PermodicareilvalorediNOMEAZIENDA,inserire:

msiexec/i"C:\WindowsFolder\ Proles\UserName\Personal\ MySetups\YourProjectName\ TrialVersion\MyRelease-1\ DiskImages\Disk1\ProductName.msi" COMPANYNAME="InstallShield"

ProprietàpubblichestandarddiWindowsInstaller

WindowsInstallerdisponediunaseriediproprietàpubblicheincorporatestandardchepossonoessere impostatesullarigacomandiperspecicaredeterminaticomportamentidurantel'installazione.Laseguente tabellafornisceleproprietàpubblichepiùcomuniutilizzatenellarigacomandi.

Perulterioriinformazioni,fareriferimentoalsitoWebMicrosoftall'indirizzo: http://msdn2.microsoft.com/en-us/library/aa367437.aspx

LaseguentetabellamostraleproprietàpiùcomunidiWindowsInstaller:

Tabella4.ProprietàdiWindowsInstaller

ProprietàDescrizione

TARGETDIRSpecicaladirectorydidestinazioneprincipale.Durante

un'installazioneamministrativa,questaproprietàindicail

percorsoincuicopiareilpacchettodiinstallazione. ARPAUTHORIZEDCDFPREFIX ARPCOMMENTS

ARPCONTACT

ARPINSTALLLOCATION ARPNOMODIFY

URLdelcanalediaggiornamentoperl'applicazione.

FornisceicommentiperInstallazioneapplicazionisul

pannellodicontrollo.

FornisceilcontattoperInstallazioneapplicazionisul

pannellodicontrollo.

Ilpercorsocompletonellacartellaprimariadiapplicazione.

Disabilitalafunzionechemodicailprodotto.

12ClientSecuritySolution8.21Guidaalladistribuzione

Tabella4.ProprietàdiWindowsInstaller(continua)

ProprietàDescrizione

ARPNOREMOVE ARPNOREPAIR

ARPPRODUCTICONSpecical'iconaprimariaperilpacchettodiinstallazione. ARPREADMEFornisceunReadmeperInstallazioneapplicazionisul

ARPSIZE ARPSYSTEMCOMPONENT

ARPURLINFOABOUT ARPURLUPDATEINFO

REBOOTLaproprietàREBOOTeliminadeterminaterichiesteper

Disabilitalafunzionecherimuoveilprodotto. DisabilitailpulsanteRiparanellaproceduraguidata

Programmi.

pannellodicontrollo. Dimensionestimatadell'applicazioneinkilobyte. Impediscelavisualizzazionedell'applicazionein

Installazioneapplicazioni. URLperlahomepagedell'applicazione.

URLperleinformazionidiaggiornamento dell'applicazione.

unriavviodelsistema.Unamministratoregeneralmente utilizzaquestaproprietàconunaseriediinstallazioni perinstallarecontemporaneamentediversiprodotticon unsoloriavvioallane.ImpostareREBOOT=“R”per disabilitareglieventualiriavviiallanediun'installazione.

Filedilogperl'installazione

Illedilogperl'installazionediClientSecuritySolutionècssinstall82x32.log(perWindowsXPeWindows Vista32)ecss64install82V.log(perWindowsVista64)evienecreatonelladirectory%temp%sela congurazionevieneavviatadasetup.exe(facendodoppioclicsulleinstall.exeprincipale,eseguire l'eseguibileprincipalesenzaparametrioestrarremsiedeseguiresetup.exe).Questolecontieneimessaggi dilogchepossonoessereutilizzatipereseguireildebugdeiproblemidiinstallazione.Illedilognonviene creatoquandosieseguel'installazionedirettamentedalpacchettoMSI.Talepacchettoincludeleazioni effettuatedaInstallazioneapplicazioni.PercreareunledilogpertutteleazioniMSI,èpossibileabilitare ilcriteriodiregistrazionenelregistro.Atalescopo,creareilvalore:

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsof t\Windows\Installer] "Logging"="voicewarmup"

Esempidiinstallazione

Laseguentetabellamostraesempidiinstallazionetramitesetup.exe:

Tabella5.Esempidiinstallazionetramitesetup.exe

DescrizioneEsempio

Installazionenonpresidiatasenzariavvio.

Installazioneamministrativa.

Installazioneamministrativanonpresidiatachespecica laposizionediestrazioneperClientSecuritySoftware.

Disinstallazione“silenziosa”setup.exe/s/x/v/qn.

Installazionesenzariavvio.Creareunregistrodi installazionenelladirectorytempperClientSecurity Software.

InstallazionesenzainstallazionediPredesktopArea setup.exe/vPDA=0.

setup.exe/s/v”/qnREBOOT=”R””

setup.exe/a

setup.exe/a/s/v”/qnTARGETDIR=”F: \CSS82””

setup.exe/s/x/v/qn

setup.exe/v”REBOOT=”R”/L*v%temp% \cssinstall80.log”

setup.exe/vPDA=0

Capitolo2.Installazione13

LaseguentetabellaforniscedegliesempidiinstallazionetramiteClientSecurity-PasswordManager.msi:

Tabella6.EsempidiinstallazionetramiteClientSecurity-PasswordManager.msi

DescrizioneEsempio

Installazione

Installazionenonpresidiata senzariavvio.

Disinstallazionenonpresidiata

msiexec/i“C:\CSS82\ClientSecurity Solution-PasswordManager .msi”

msiexec/i“C:\CSS82\ClientSecurity Solution-PasswordManager.msi”/qnREBOOT=”R”

msiexec/x“C:\CSS82\ClientSecurity Solution-PasswordManager.msi”/qn

InstallazionediClientSecuritySolution8.21conversioniesistenti

ÈpossibileaggiornareClientSecuritySolutiondaClientSecuritySolution8.0tramiteSystemUpdate.Per installareClientSecuritySolution8.21conversioniesistentiprecedentiaClientSecuritySolution8.0, installareinnanzituttoClientSecuritySolution8.0sulsistema.

NonèpossibileinstallareClientSecuritySolution8.0comeaggiornamentodiunaversioneprecedente. Primadiinstallarelaversione8.0,ènecessariodisinstallarelaversioneesistentediClientSecuritySolution. Perconservareimpostazioniedatiesistenti,completarelaseguenteproceduraprimadirimuoverela versioneprecedentediClientSecuritySolution:

1.ScaricareClientSecuritySolution8.0UpgradeAssistantdalseguentesitoWebLenovo: http://www.lenovo.com/support/site.wss/document.do?sitestyle=lenovo&lndocid=MIGR-46391

2.Dallarigacomandi,eseguireinmodalitànonpresidiataClientSecuritySolutionUpgradeAssistant8.0, primadirimuoverelaversioneprecedentediClientSecuritySolution.

Inoltre,sesidisponedellaversione7.0,occorreaggiornareallaversione8.0primadiinstallareRescue andRecovery4.0

Nota:sesiaggiornaunsistemaoperativo,ènecessariodisattivareilchipdisicurezzaperevitareerroridi registrazionediClientSecuritySolution.

InstallazionediThinkVantageFingerprintSoftware

Illesetup.exedelprogrammasoftwareperimprontedigitalipuòessereinstallatoconiseguentimetodi:

Installazionenonpresidiata

Perinstallareinmodalitànonpresidiatailsoftwareperimprontedigitali,eseguiresetup.exesituatonella directorydiinstallazionesull'unitàCD-ROM.

Utilizzarelaseguentesintassi:

Setup.exePROPERTY=VALUE/q/i

incuiqstaperinstallazionenonpresidiataeistaperinstallazione.Adesempio:

setup.exeINSTALLDIR="C:\ProgramFiles\ThinkVantagengerprintsof tware"/q/i

Perdisinstallareilsoftware,utilizzareilparametro/xalpostodi/i:

setup.exeINSTALLDIR="C:\ProgramFiles\ThinkVantagengerprintsof tware"/q/x

Opzioni

Leseguentiopzionisonosupportatedalsoftwareperimprontedigitali:

14ClientSecuritySolution8.21Guidaalladistribuzione

Tabella7.Opzionisupportatedalsoftwareperimprontedigitali

ParametroDescrizione

CTRLONCEVisualizzailControlCenterunavoltasola.Ilvalore

predenitoè0. CTLCNTREsegueilControlCenterall'avvio.Ilvalorepredenitoè1. DEFFUS•0=nonutilizzaleimpostazioniFastUserSwitching

(FUS).

•1=tenteràdiutilizzareleimpostazioniFUS.

Ilvalorepredenitoè0. INSTALLDIRPerimpostazionepredenitaèladirectorydiinstallazione

delsoftwarediimprontedigitali. OEM

PASSPORTPerimpostazionepredenita,èiltipodipassaporto

SECURITY•1=Installailsupportoperlamodalitàsicura

SHORTCUTFOLDERPerimpostazionepredenita,èilnomeperlacartella

REBOOT

DEVICEBIOCongurailtipodidispositivocheverràutilizzato

•0=installailsupportoperipassaportidelservero l'autenticazionedelserver

•1=Solomodalitàdicomputerindipendenteconi passaportilocali

impostatodurantel'installazione.

•1=Predenito-Passaportolocale

•2=Serverpassport

Ilvalorepredenitoè1.

•0=Noninstallare.Esistesololamodalitàutile

collegamentonelmenuStart. Annullatuttiiriavvii,compreselerichieste,nelcorso

dell'installazionesesiimpostasuReallySuppress.

dall'utente.Tipodiregistrazione:

•DEVICEBIO=#3-settoredeldispositivoverràutilizzato primadellaprimaregistrazione.

•DEVICEBIO=#0-verràutilizzatalaregistrazione all'unitàdisco

•DEVICEBIO=#1-verràutilizzatalaregistrazionea CompanionChip

InstallazionediLenovoFingerprintSoftware

Illesetup32.exedelprogrammasoftwareperimprontedigitalipuòessereinstallatoconlaseguente procedura:

Installazionenonpresidiata

PerinstallareinmodalitànonpresidiataFingerprintSoftware,eseguireillesetup32.exesituatonella directorydiinstallazionesull'unitàCD-ROM.

Utilizzarelaseguentesintassi:

setup32.exe/s/v"/qnREBOOT="R""

Perdisinstallareilsoftware,utilizzarelaseguentesintassi:

setup32.exe/x/s/v"/qnREBOOT="R""

Capitolo2.Installazione15

Opzioni

Leseguentiopzionisonosupportatedalsoftwareperimprontedigitali:

Tabella8.OpzionisupportatedaLenovoFingerprintSoftware

ParametroDescrizione

SWAUTOSTART•0=nonavvieràilsoftwaredelleimprontedigitali

all'avviodiWindows.

•1=avvieràilsoftwaredelleimprontedigitaliall'avvio diWindows.

Ilvalorepredenitoè1.

SWFPLOGON•0=nonutilizzeràl'accessotramiteimprontedigitali

(GINAoCredentialProvider).

•1=utilizzeràl'accessotramiteimprontedigitali(GINA oCredentialProvider).

Ilvalorepredenitoè0.

SWPOPP•0=disabiliteràlaprotezionetramitepassworddiavvio.

•1=abiliteràlaprotezionetramitepassworddiavvio.

Ilvalorepredenitoè0.

SWSSO•0=disabiliteràlafunzioneSSO(singlesign-on).

•1=abiliteràlafunzioneSSO(singlesign-on).

Ilvalorepredenitoè0.

SWALLOWENROLL

SWALLOWDELETE

SWALLOWIMEXPORT•0=nonconsentel'importazione/esportazionedelle

SWALLOWSELECT

•0=nonconsentelaregistrazionedelleimprontedigitali perutentinonamministratori.

•1=consentelaregistrazionedelleimprontedigitaliper utentinonamministratori.

Ilvalorepredenitoè1.

•0=nonconsentel'eliminazionedelleimprontedigitali perutentinonamministratori.

•1=consentel'eliminazionedelleimprontedigitaliper utentinonamministratori.

Ilvalorepredenitoè1.

improntedigitaliperutentinonamministratori.

•1=consentel'importazione/esportazionedelle improntedigitaliperutentinonamministratori.

Ilvalorepredenitoè1.

•0=nonconsentelaselezionedell'utilizzodelle improntedigitalipersostituirelapassworddiavvioper utentinonamministratori.

•1=consentelaselezionedell'utilizzodelleimpronte digitalipersostituirelapassworddiavvioperutenti nonamministratori.

Ilvalorepredenitoè1.

16ClientSecuritySolution8.21Guidaalladistribuzione

Tabella8.OpzionisupportatedaLenovoFingerprintSoftware(continua)

ParametroDescrizione

SWALLOWPWRECOVERY

SWANTIHAMMER

SWANTIHAMMERRETRIESSpecicailnumeromassimoditentativi.Ilvalore

SWANTIHAMMERTIMEOUTSpecicaladurataditimeoutinsecondi.Ilvalore

SWAUTHTIMEOUT

SWAUTHTIMEOUTVALUESpecicailperiododiinattivitàprimadeltimeoutdi

SWNONADMIFPLOGONONLY

SWSHOWPOWERON

CSS•0=supponecheCSSnonsiainstallato.

•0=nonconsenteilripristinodellapassworddi

Windows.

•1=consenteilripristinodellapassworddiWindows. Ilvalorepredenitoè1.

•0=disabilitalaprotezioneanti-hammering.

•1=abilitalaprotezioneanti-hammering. Ilvalorepredenitoè1.

predenitoè5. Nota:questaimpostazionefunzionasoltantoquando SWANTIHAMMERèabilitato.

predenitoè120. Nota:questaimpostazionefunzionasoltantoquando SWANTIHAMMERèabilitato.

•0=disabilitailtimeoutdiautenticazione.

•1=abilitailtimeoutdiautenticazione. Ilvalorepredenitoè1.

autenticazioneinsecondi.Ilvalorepredenitoè120. Nota:questaimpostazionefunzionasoltantoquando SWAUTHTIMEOUTèabilitato.

•0=disabilital'accessoesclusivotramiteimpronte

digitaliperutentinonamministratori.

•1=abilital'accessoesclusivotramiteimprontedigitali

perutentinonamministratori.

Ilvalorepredenitoè1.

•0=nonmostraleopzionidisicurezzarelativeall'avvio.

•1=mostraleopzionidisicurezzarelativeall'avvio. Ilvalorepredenitoè0.

•1=supponecheCSSsiainstallato. Ilvalorepredenitoè0.

SMS(SystemsManagementServer)

AncheleinstallazionidiSystemsmanagementserver(SMS)sonosupportate.Aprirelaconsoledi amministrazionediSMS.Creareunnuovopacchettoeimpostareleproprietàdelpacchettoinmaniera standard.AprireilpacchettoeselezionareNuovoprogrammanellavoceProgrammi.Altiporigacomandi:

Setup.exe/myourmiflename/q/i

E'possibileutilizzareglistessiparametriutilizzatiperl'installazionenonpresidiata.

L'impostazionesiriavvianormalmenteallanedelprocessodiinstallazione.Sesidesiderasopprimeretuttii riavviidurantel'installazioneeilriavviosuccessivo(dopol'installazionedialtriprogrammi),aggiungere REBOOT=“ReallySuppress”all'elencodelleproprietà.

Capitolo2.Installazione17

18ClientSecuritySolution8.21Guidaalladistribuzione

Capitolo3.GestionediClientSecuritySolution

PrimadiinstallareClientSecuritySolution,ènecessariocomprenderelepersonalizzazionidisponibiliper ClientSecuritySolution.QuestocapitolofornisceinformazionisullapersonalizzazionediClientSecurity SolutionesuTPM(TrustedPlatformModule).IterminiutilizzatiinquestocapitoloerelativialTPMsonostati denitidal(TCG)(TrustedComputingGroup).PerulterioriinformazionirelativealTPM,fareriferimentoal seguentesitoWeb: http://www.trustedcomputinggroup.org/

UtilizzodiTPM(TrustedPlatformModule)

TPMèunchipdisicurezzaintegrato,progettatoperoffrirefunzionirelativeallasicurezzadelsoftwarechene fauso.Ilchipdisicurezzaintegratovieneinstallatosullaschedamadrediunsistemaecomunicaattraverso unbushardware.IsistemicheincorporanoTPMpossonocrearechiavicrittogracheecodicarleinmododa consentirneladecodicatramitelostessoTPM.Questoprocesso,chevienespessodenitowrappingdiuna chiave,consentediproteggerelasegretezzadiunachiave.SuunsistemaconTPM,lachiavediwrapping principale,denominata(SRK)(StorageRootKey),èmemorizzataall'internodiTPM,inmodochelaparte privatadellachiavenonvengamaiesposta.Ilchipdisicurezzaintegratopuòanchememorizzarealtrechiavi dimemorizzazione,chiavidirma,passwordealtrepiccoleunitàdidati.Acausadellalimitatacapacitàdi memorizzazioneinTPM,SRKvieneutilizzatopercodicarealtrechiaviperlamemorizzazioneesternaalchip. SRKnonabbandonamaiilchipdisicurezzaintegratoecostituiscelabaseperlamemorizzazioneprotetta.

L'utilizzodelchipdiprotezioneincorporatoèfacoltativoerichiedeunamministratorediClientSecurity Solution.AprescinderedalfattochevengautilizzatodalsingoloutenteodarepartoIPaziendale,è necessarioinizializzareTPM.Leoperazionisuccessive,comelapossibilitàdieseguireilripristinodaun erroredell'unitàdiscossoodaunaschedadisistemasostituita,sonovietateancheall'amministratoredi ClientSecuritySolution.

Nota:sesimodicalamodalitàdiautenticazioneesitentadisbloccareilchipdisicurezza,ènecessario scollegarsiericollegarsicomeamministratoreprincipale.Inquestomodosaràpossibilesbloccareilchip.È inoltrepossibileaccederecomeutentesecondarioecontinuareaconvertirelamodalitàdiautenticazione. Taleoperazionevieneeseguitaautomaticamentequandol'utentesecondariosicollega.ClientSecurity Solutionrichiederàlapasswordofrasediaccessodell'utentesecondario.Unavoltaterminatal'elaborazione dellamodicadapartediClientSecuritySolution,l'utentesecondariopuòpassareasbloccareilchip.

UtilizzodiTPM(TrustedPlatformModule)conWindowsVista

Sel'accessodiWindowsVistaèabilitatoeTPMèdisabilitato,occorredisabilitarelafunzionediaccessodi WindowsprimadidisabilitareTPMinF1BIOS.Taleoperazioneimpediràlavisualizzazionedelseguente messaggiodisicurezza:Chipdisicurezzadisattivato.Impossibileproteggereilprocessodiaccesso.

Inoltre,sesiaggiornailsistemaoperativodiunsistemaclient,ènecessariodisattivareilchipdisicurezzaper evitareerroridiregistrazionediClientSecuritySolution.PerdisattivareilchipinF1BIOS,occorreavviareil sistemaafreddo.Nonsaràpossibiledisattivareilchipsesitentaquestoprocessodopounriavvioacaldo.

GestionediClientSecuritySolutionconchiavicrittograche

ClientSecuritySolutionèdescrittodalledueattivitàprincipalididistribuzione:Acquisizionediproprietà eRegistrazioneutente.Durantelaprimaesecuzionedellaproceduraguidataperlacongurazionedi ClientSecuritySolution,entrambiiprocessidiAcquisizionediproprietàeRegistrazioneutentevengono eseguitidurantel'inizializzazione.IlparticolareIDutentediWindowschehacompletatolaprocedura guidatadicongurazionediClientSecuritySolutionèl'amministratorediClientSecuritySolutioneviene

©CopyrightLenovo2008,2012

registratocomeutenteattivo.Aognialtroutentecheaccedealsistemavienerichiestodiiscriversiin ClientSecuritySolution.

•Acquisizionediproprietà VieneassegnatounsingoloIDutenteamministratorediWindows,inqualitàdiunicoamministratoredi ClientSecuritySolutiondelsistema.LefunzioniamministrativediClientSecuritySolutiondevonoessere eseguitetramitequestoIDutente.L'autorizzazioneTrustedPlatformModulecorrispondeallapassword WindowsditaleutenteoallafrasediaccessodiClientSecurity.

Nota:l'unicomodoperrecuperareunapasswordounafrasediaccessodegliamministratoriClient SecuritySolutionèquellodidisinstallareilsoftwareconautorizzazioniWindowsvalideodicancellareil chipdisicurezzanelBIOS.Inognicaso,idatiprotettiattraversolechiaviassociateaTPMandrannopersi. ClientSecuritySolutionfornisceancheunmeccanismofacoltativocheconsenteilrecuperoautomaticodi unapassworddimenticataodiunafrasediaccessoinbaseallarispostadiverica.L'amministratore diClientSecuritySolutiondecideseutilizzareomenolafunzione.

•Registrazioneutente UnavoltacheilprocessoDiventaproprietariovienecompletatoevienecreatounamministratorediClient SecuritySolution,èpossibilecreareunachiavedibasedell'utentepermemorizzareinmodosicuro lecredenzialiperl'utenteWindowsattualmenteconnesso.Questoprogettoconsenteapiùutentidi iscriversiaClientSecuritySolutionediaggiornareTPM.Lechiaviutentesonoprotetteattraversoilchipdi sicurezza,mainrealtàsonomemorizzateesternamentealchip,suldiscosso.Questaorganizzazione creaspazioneldiscosso,comefattorelimitativodellamemorizzazione,anzichédellamemoriaeffettiva costruitanelchipdisicurezza.Inquestomodoaumentailnumerodiutentichepossonosfruttarelo stessohardwaresicuro.

Acquisizionediproprietà

LarootoftrustperClientSecuritySolutionè(SRK)(SystemRootKey).Questachiaveasimmetricanon migrabileègeneratanell'ambientesicurodiTPMenonvienemaiespostaalsistema.L'autorizzazione all'utilizzodellachiavesiottienedall'accountAmministratorediWindowsdurantel'esecuzionedelcomando TPM_TakeOwnership.SeilsistemautilizzaunafrasediaccessodiClientSecurity,perl'amministratore diClientSecuritySolutioncorrisponderàall'autorizzazioneT rustedPlatformModule.Incasocontrario, corrisponderàallapassworddiWindowsdell'amministratorediClientSecuritySolution.

ConlaSRKcreataperilsistema,èpossibilecrearealtrecoppiedichiaveememorizzarleesternamentea TPM,matalichiavesonosottoposteawrappingeprotettedallechiavibasatesull'hardware.Datocheil TPMchecomprendeSRKèl'hardware,el'hardwarepuòsubiredanni,èindispensabileunmeccanismodi recuperoperassicurarechedannialsistemanonimpediscanoilrecuperodidati.

Perrecuperareunsistema,vienecreataunachiavedibasedelsistema.Questachiavedimemorizzazione asimmetricaconsenteall'amministratorediClientSecuritySolutiondieseguireunrecuperodaun cambiamentodellaschedadisistemaodaunamigrazionepianicataaunaltrosistema.Perproteggere SystemBaseKey,marenderloaccessibilenelcorsodellanormaleoperativitàonelripristino,vengono createdueistanzedellachiave,chevengonoprotetteinduediversimodi.Innanzitutto,lachiavedibase delsistemaècodicataconunachiavesimmetricaAES,derivantedallaconoscenzadellapassword dell'amministratorediClientSecuritySolutionodellafrasediaccessodiClientSecurity.Questacopiadella chiavediripristinoClientSecuritySolutionserveesclusivamenteperilrecuperodaunTPMcancellatooda unaschedadisistemasostituitaperguastohardware.

LasecondaistanzadellachiavediripristinoClientSecuritySolutionvienesottopostaawrappingdaSRK perl'importazionenellagerarchiadellachiave.Questadoppiaistanzadellachiavedibasedelsistema consentealTPMdiproteggereisegretiadessoconnessiduranteilnormaleutilizzoeconsenteilripristinodi unaschedadisistemadanneggiataattraversolachiavedibasedelsistema,codicataconchiaveAES, sbloccabiletramitelapassworddell'amministratorediClientSecuritySolutionolafrasediaccessodiClient

20ClientSecuritySolution8.21Guidaalladistribuzione

Security.Successivamente,vienecreataunaChiavefogliadelsistema.Questachiaveèstatacreataper

System Level Key Structure - Take Ownership

Trusted Platform Module

Encrypted via derived AES Key

Storage Root Private Key

Storage Root Public Key

System Leaf Private Key

System Base Private Key

System Leaf Public Key

System Base Public Key

System Base Private Key

System Base Public Key

If Passphrase

loop n times

CSS Admin PW/PP

One-Way Hash

System Base AES

Protection Key (derived via output of hash algorithm)

Auth

proteggereisegretialivellodisistema,comelachiaveAES.

Ilseguentediagrammaforniscelastrutturadellachiavealivellodelsistema:

Figura1.Strutturadellachiavealivellodelsistema-Acquisizionediproprietà

Registrazioneutente

PerproteggereidatidiciascunutenteattraversolostessoTPM,occorrecreareunachiavedibase codicataperogniutente.Talechiavedimemoriaasimmetricapuòesseremigrataevienecreataduevoltee protettadaunachiaveAESsimmetricageneratadallapasswordWindowsdiciascunutenteodallafrase diaccessodiClientSecurity.

LasecondaistanzadellaChiavedibasedell'utentevienequindiimportatanelTPM,eprotettadalSRK disistema.ConlaUserBaseKeycheèstatacreata,vienecreataunachiaveasimmetricasecondaria, denominataUserLeafKey.ConlaUserLeafKey,èpossibileproteggeresingolisegreti,qualiadesempiola chiaveAESdiPasswordManagerutilizzataperproteggereleinformazionidiaccessoaInternetolapassword utilizzataperproteggeredatielachiaveAESdellapassworddiWindowsutilizzataperproteggerel'accesso alsistemaoperativo.L'accessoallaUserLeafKeyècontrollatodallapasswordWindowsdell'utenteodalla frasediaccessoClientSecuritySolutionevienesbloccataautomaticamentedurantel'accesso.

Capitolo3.GestionediClientSecuritySolution21

Ilseguentediagrammaforniscelastrutturadellachiavealivellodell'utente:

User Level Key Structure - Enroll User

Trusted Platform Module

Encrypted via derived AES Key

Storage Root Private Key

Storage Root Public Key

User Leaf Private Key

User Base Private Key

User Leaf Public Key

User Base Public Key

Windows PW AES Key

PW Manager AES Key

User Base Private Key

User Base Public Key

If Passphrase

loop n times

User PW/PP

One-Way Hash

User Base AES

Protection Key (derived via output of hash algorithm)

Auth

Figura2.Strutturadellachiavealivellodell'utente-Registrazioneutente

Registrazioneinbackground

ClientSecuritySolution8.21supportalaregistrazioneinbackgroundperunaregistrazioneutenteavviata automaticamente.Ilprocessodiregistrazionevieneeseguitoinbackgroundsenzavisualizzarealcuna notica.

Nota:laregistrazioneinbackgroundèdisponibilesoltantoperunaregistrazioneutenteavviata automaticamente.Perunaregistrazioneutenteavviatamanualmente,dalmenuStartodaRipristina impostazionidisicurezza,vienevisualizzataunanestradidialogocheindicaall'utentediattendereil completamentodellaregistrazione.

Lasuddettanestradidialogopuòesserevisualizzataforzatamentedall'amministratorelocaleodidominio modicandoilseguentecriterio:

CSS_GUI_ALWAYS_SHOW_ENROLLMENT_PROCESSING

Oppuremodicandolaseguentechiavediregistrocomeindicato:

HKLM\software\policies\lenovo\clientsecuritysolution\GUIoptions\ AlwaysShowEnrollmentProcessing

IlvalorepredenitodiAlwaysShowEnrollmentProcessingè0.Quandolasuddettachiavediregistroè impostatasu0,lanestradidialogodiattesanonvienevisualizzataperunaregistrazioneutenteavviata automaticamente.Quandotalepoliticaèimpostatasu1,lanestradidialogodiattesaverràvisualizzata sempredurantelaregistrazioneutente,indipendentementedallamodalitàconcuivieneavviatatale registrazione.

Emulazionedelsoftware

Perfornireun'esperienzacoerenteperl'utenteilcuicomputernondisponediunTPM,CSSsupportala modalitàdiemulazioneTPM.

22ClientSecuritySolution8.21Guidaalladistribuzione

Talemodalitàèunarootoftrustbasatasuunsoftware.LestessefunzionalitàfornitedaTPM,ovverola rmadigitale,ladecrittograadellachiavesimmetrica,l'importazionedellachiaveRSA,laprotezioneela generazionedinumericasuali,sonodisponibiliperl'utente,mavisaràunaminoresicurezzadovutaalfatto chelarootoftrustècostituitadachiavibasatesusoftware.

LamodalitàdiemulazioneTPMnonpuòessereutilizzatacomesostitutosicuroperTPM.TPMfornisceidue metodidiprotezionechiaveseguenti,piùsicuririspettoallamodalitàdiemulazioneTPM.

•T uttelechiaviutilizzatedaTPMsonoprotettedaunachiavedilivellorootunivoca.Talechiaveviene creataall'internodiTPMenonpuòesserevisualizzataoutilizzataall'esternodiTPM.Nellamodalitàdi emulazioneTPM,lachiavedilivellorootèunachiavebasatasusoftwarememorizzatasull'unitàdisco sso.

•T utteleoperazionidichiaviprivatevengonoeseguiteall'internodiTPM,quindiilmaterialedellachiave privataperqualsiasichiavenonvienemaiespostoaldifuoridiTPM.NellamodalitàdiemulazioneTPM, tutteleoperazionidichiaviprivatevengonoeseguitenelsoftware,quindinonvièalcunaprotezione delmaterialedichiaviprivate.

LamodalitàdiemulazioneTPMèriservataprincipalmenteall'utentemenopreoccupatodellasicurezza epiùdellavelocitàdicollegamentodelsistema.

Cambiodellaschedadisistema

UncambiodellaschedadisistemacomportachelavecchiaSRKallaqualelechiavisonolegatenonèpiù validaeun'altraSRKènecessaria.QuestopuòsuccedereancheseilTPMvienecancellatoattraversoil BIOS.

All'amministratoreClientSecuritySolutionvienerichiestodicollegarelecredenzialidelsistemaauna nuovaSRK.Lachiavedibasedelsistemadovràesserenecessariamentedecodicataattraversolachiave diprotezioneAESdibasedelsistemaderivatadallecredenzialidiautorizzazionedell'amministratoredi ClientSecuritySolution.

SeunamministratoreClientSecuritySolutionèunIDutentedeldominioelapasswordpertaleIDutenteè statamodicatasuundiversocomputer,lapasswordutilizzataperultimadurantel'accessoalsistemaeche deveessererecuperatadovràesserenotaperdecodicarelachiavedibasedelsistemaperilrecupero. Adesempio,duranteladistribuzionel'IDutenteelapassworddiamministratoreClientSecuritySolution sarannocongurate,selapasswordperquestoutentecambiasuundiversocomputer,ladistribuzionedel gruppodipasswordoriginalisaràl'autorizzazionenecessariaperilrecuperodelsistema.

Seguirequesteprocedurepereffettuareilcambiodellaschedadisistema:

1.L'amministratoredelClientSecuritySolutionaccedealsistemaoperativo

2.Ilcodiceeseguitoperl'accesso(cssplanarswap.exe)riconoscecheilchipdisicurezzaèdisabilitatoe richiedeunriavvioperabilitarsi.Questaprocedurapuòessereevitataabilitandoilchipdisicurezza attraversoilBIOS.

3.Ilsistemavieneriavviatoeilchipdisicurezzaabilitato.

4.L'amministratoreClientSecuritySolutionaccede.IlnuovoprocessoPrendiproprietàvienecompletato.

5.LachiavedibasedelsistemavienedecodicatautilizzandolachiavediprotezioneAESdibasedel sistema,chederivadall'autenticazionedell'amministratorediClientSecuritySolution.Lachiavedi basedelsistemavieneimportatanellanuovaSRKeristabiliscelachiavefogliadelsistemaetutte lecredenzialiprotettedatalechiave.

6.Ilsistemaadessovienerecuperato.

Nota:Nonènecessarialasostituzionedellaschedadisistemadurantel'utilizzodellamodalitàdiemulazione.

Capitolo3.GestionediClientSecuritySolution23

Ilseguentediagrammaforniscelastrutturadell'alternanzadischedemadre-acquisizionediproprietà:

Motherboard Swap - Take Ownership

Trusted Platform Module

Decrypted via derived AES Key

System Leaf Private Key

Store Leaf Private Key

System Leaf Public Key

Store Leaf Public Key

System Base Private Key

System Base Public Key

If Passphrase

loop n times

CSS Admin PW/PP

One-Way Hash

System Base AES

Protection Key (derived via output of hash algorithm)

Motherboard Swap - Enroll User

Trusted Platform Module

Decrypted via derived AES Key

Storage Root Private Key

Storage Root Public Key

User Leaf Private Key

User Leaf Public Key

Windows PW AES Key

PW Manager AES Key

User Base Private Key

User Base Public Key

If Passphrase

loop n times

User PW/PP

One-Way Hash

User Base AES

Protection Key

(derived via output

of hash algorithm)

Figura3.Alternanzadischedemadre-Acquisizionediproprietà

Quandoogniutenteaccedealsistema,lachiavedibasedell'utentevieneautomaticamentedecodicata attraversolachiavediprotezioneAESdibasedell'utentederivatadall'autenticazioneutenteeimportata inunanuovaSRKcreatadall'amministratorediClientSecuritySolution.Ilseguentediagrammafornisce lastrutturaperl'alternanzadischedemadre-registrazioneutente:

Perregistrareunsecondoutentedopoladisattivazionedelchipolasostituzionedellaschedamadre,è necessarioaccederecomeamministratoreprincipale.Ataleamministratoreverràrichiestodiripristinare lechiavi.Unavoltacompletatoilripristinodellechiavi,utilizzarePolicyManagerperdisabilitarel'accesso aClientSecurityWindows.Gliutentirestantipotrannoripristinarelelorochiavi.Unavoltachetuttigli utentisecondarihannoripristinatolepropriechiavi,l'amministratoreprincipalepuòabilitarelafunzionedi accessodiWindowsaClientSecuritySolution.

Ilseguentediagrammaforniscelastrutturaperl'alternanzadischedemadre-registrazioneutente:

Figura4.Alternanzadischedemadre-Registrazioneutente

24ClientSecuritySolution8.21Guidaalladistribuzione

UtilitàdiprotezioneEFS

ClientSecuritySolutionfornisceun'utilitàdellarigacomandicheconsentelaprotezionebasatasuTPM deicerticatidicodicautilizzatidaEFS(EncryptingFileSystem)percodicareleecartelle.Taleutilità supportailtrasferimentodicerticatiditerzeparti(certicatigeneratidaunaCA,ovveroCerticateAuthority) elagenerazionedicerticatiautormati.

LaprotezionedelcerticatoEFStramiteClientSecuritySolutionsignicachelachiaveprivataassociataal certicatoEFSèprotettadaTPM.L'accessoalcerticatoèconcessodopol'autenticazionedell'utentea ClientSecuritySolution.

SenonèdisponibilealcunTPM,ilcerticatoEFSvieneprotettoutilizzandol'emulatoreTPMfornitoda ClientSecuritySolution.PerproteggereicerticatiEFStramiteClientSecuritySolution,occorreessere registraticonClientSecuritySolution.

ATTENZIONE: SesiutilizzaClientSecuritySolutionedEFS(EncryptingFileSystem)percodicareleecartelle,ogni voltacheClientSecuritySolutionoTPMnonèdisponibile,nonèpossibileaccedereailecodicati.

SeTPMnonrisponde,ClientSecuritySolutionripristineràl'accessoaidaticodicatidopolasostituzione dellaschedamadre.

Utilizzodell'utilitàdellarigacomandiEFS

LaseguentetabellafornisceiparametridellarigacomandisupportatiperEFS:

Tabella9.ParametridellarigacomandisupportatiperEFS

ParametroDescrizione

/generate:<size>GenerauncerticatoautormatoeloassociaaEFS.Sesi

specica<size>,lachiavegeneratasaràdelladimensione dibitspecicata.Ivalorivalidiincludono512,1024e

2048.Inassenzadivalorioinpresenzadivalorinon validi,verrannogeneratechiavida1024bit.

/sn:xxxxxxSpecicailnumerodiseriediuncerticatoesistenteda

trasferireeassociareaEFS.

/cn:yyyyyySpecicailnome(“immessoin”)diuncerticatoesistente

datrasferireeassociareaEFS.

/rstavailTrasferisceilprimocerticatoEFSesistentedisponibilee

loassociaaEFS.

/silent

/?o/ho/help

Nonvisualizzaalcunoutput.Icodicidirestituzioneforniti dalvalorealterminedelprogramma.

Visualizzaleinformazionidiaiuto.

Quandononvieneeseguitoinmodalitànonpresidiata,l'utilitàrestituiràunodeiseguentierrori:

0-"Commandcompletedsuccessf ully" 1-"ThisutilityrequiresWindowsXP" 2-"ThisutilityrequiresClientSecuritySolutionversion8.0" 3-"ThecurrentuserisnotenrolledwithClientSecuritySolution" 4-"Thespeciedcerticatecouldnotbefound" 5-"Unabletogenerateaself-signedcerticate” 6-"NoEFScerticatesweref ound" 7-"UnabletoassociatethecerticatewithEFS”

Quandovieneeseguitoinmodalitànonpresidiata,l'outputdelprogrammasaràunlivellodierrore corrispondenteainumeridierrorimostratiinprecedenza.

Capitolo3.GestionediClientSecuritySolution25

UtilizzodiunoschemaXML

LoscopodelloscriptingXMLèconsentireagliamministratoriITdicrearescriptpersonalizzatida poterutilizzareperdistribuireecongurareClientSecuritySolution.Gliscriptpossonoessereprotetti dall'eseguibilexml_crypt_toolconunapassword,adesempiotramitecodicaAES.Unavoltacreata,il computervirtuale(vmserver.exe)accettagliscriptcomeimmissioni.Lamacchinavirtualechiamalestesse funzionidelClientSecuritySolutionSetupWizardpercongurareilsoftware.

TuttigliscriptsonocostituitidauntagchespecicailtipodicodicaXML,loschemaXML,edalmenouna funzionedalsvolgere.LoschemavieneutilizzatoperconvalidareilleXMLepervericarelapresenzadei parametririchiesti.L'utilizzodelloschemanonèattualmenteobbligatorio.Ognifunzioneèracchiusainin unatagdifunzione.Ognifunzionecontieneunordine,questospecicainqualeordineilcomandosarà eseguitodalcomputervirtuale(vmserver.exe).Ognifunzionehaunnumerodiversioneanche.Attualmente tuttelefunzionisononellaversione1.0.Ognunodegliscriptdiesempioinbassocontieneunasolafunzione. Tuttavia,nellapratica,unoscriptpotrebbecontenereilpiùdellevoltefunzionimultiple.ClientSecurity SolutionSetupWizardpuòessereutilizzatoperlacreazionediunoscriptdiquestogenere.Perulteriori informazionisullacreazionediscriptconlaproceduraguidatadicongurazione,vedere“Proceduraguidata diinstallazionedellaClientSecuritySolution”apagina36

Nota:seilparametro<DOMAIN_NAME_PARAMETER>vienelasciatosenzafunzionicherichiedonoun nomedidominio,vieneutilizzatoilnomecomputerpredenitodelsistema.

Esempi

IcomandiseguentisonoesempidischemaXML:

ENABLE_TPM_FUNCTION

QuestocomandoabilitailModulodipiattaformaafdabileeutilizzal'argomentoSYSTEM_PAP .Seilsistema disponegiàdiunapassworddiamministratoreBIOSosupervisore,ènecessariofornirequestoargomento. Altrimentiquestocomandoèfacoltativo.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment>

<FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENABLE_TPM_FUNCTION</COMMAND> <VERSION>1.0</VERSION> <SYSTEM_PAP>PASSWORD</SYSTEM_PAP>

</FUNCTION>

</CSSFile>

Nota:Questocomandononèsupportatonellamodalitàdiemulazione.

DISABLE_TPM_FUNCTION

Questocomandoutilizzal'argomentoSYSTEM_PAP .Seilsistemadisponegiàdiunapassworddi amministratoreBIOSosupervisore,ènecessariofornirequestoargomento.Altrimentiquestocomandoè facoltativo.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment

26ClientSecuritySolution8.21Guidaalladistribuzione

<COMMAND>DISABLE_TPM_FUNCTION</COMMAND> <VERSION>1.0</VERSION> <SYSTEM_PAP>password</SYSTEM_PAP>

</FUNCTION>

</CSSFile>

Nota:Questocomandononèsupportatonellamodalitàdiemulazione.

ENABLE_PWMGR_FUNCTION

QuestocomandoabilitaPasswordManagerpertuttigliutentiClientSecuritySolution.

<?xmlversion="1.0"encoding="UTF-8"standalone="no"?>

<CSSFilexmlns="www.lenovo.com/security/CSS">

<FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENABLE_PWMGR_FUNCTION</COMMAND> <VERSION>1.0</VERSION>

</FUNCTION>

</CSSFile>

ENABLE_CSS_GINA_FUNCTION

PerWindows2000,XPeVista,questocomandoconsentel'accessoaClientSecuritySolution:

-<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment

<FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENABLE_CSS_GINA_FUNCTION</COMMAND> <VERSION>1.0</VERSION>

</FUNCTION>

</CSSFile>

ENABLE_UPEK_GINA_FUNCTION

Note:

1.QuestocomandosiapplicasoltantoaThinkVantageFingerprintSoftware.

2.Questocomandononèsupportatonellamodalitàdiemulazione.

Ilseguentecomandoconsentel'accessoWindowstramiteThinkVantageFingerprintSoftwareedisabilita l'accessoaWindowsdiClientSecuritySolution.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment>

<ORDER>0001</ORDER> <COMMAND>ENABLE_UPEK_GINA_FUNCTION</COMMAND> <VERSION>1.0</VERSION>

</FUNCTION>

</CSSFile>

ENABLE_UPEK_GINA_WITH_FUS_FUNCTION

Note:

1.QuestocomandosiapplicasoltantoaThinkVantageFingerprintSoftware.

2.Questocomandononèsupportatonellamodalitàdiemulazione.

Capitolo3.GestionediClientSecuritySolution27

Ilseguentecomandoconsentel'accessoconilsupportodiCambiorapidoutenteedisabilital'accessoa WindowsdiClientSecuritySolution.Ilcambiorapidoutentepotrebbenonessereabilitatoinbasealle impostazionidisistema.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment

<ORDER>0001</ORDER> <COMMAND>ENABLE_UPEK_GINA_WIH_FUS_FUNCTION</COMMAND> <VERSION>1.0</VERSION>

</FUNCTION>

</CSSFile>

ENABLE_AUTHENTEC_GINA_FUNCTION

Note:

1.QuestocomandosiapplicasoltantoaLenovoFingerprintSoftware.

2.Questocomandononèsupportatonellamodalitàdiemulazione.

Ilseguentecomandoconsentel'accessoWindowstramiteLenovoFingerprintSoftwareedisabilital'accesso aWindowsdiClientSecuritySolution.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment>

<ORDER>0001</ORDER> <COMMAND>ENABLE_AUTHENTEC_GINA_FUNCTION</COMMAND> <VERSION>1.0</VERSION>

</FUNCTION>

</CSSFile>

ENABLE_AUTHENTEC_GINA_WITH_FUS_FUNCTION

Note:

1.QuestocomandosiapplicasoltantoaLenovoFingerprintSoftware.

2.Questocomandononèsupportatonellamodalitàdiemulazione.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment

<ORDER>0001</ORDER> <COMMAND>ENABLE_AUTHENTEC_GINA_WIH_FUS_FUNCTION</COMMAND> <VERSION>1.0</VERSION>

</FUNCTION>

</CSSFile>

28ClientSecuritySolution8.21Guidaalladistribuzione

ENABLE_NONE_GINA_FUNCTION

SeunodeicomponentiTVTconnessiaGINA,comeThinkVantageFingerprintSoftware,ClientSecurity Solutionol'accessoadAccessConnectionsèabilitato;questocomandodisabilitasial'accessoa ThinkVantageFingerprintSoftwarecheaClientSecuritySolution.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment

<FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENABLE_CSS_NONE_FUNCTION</COMMAND> <VERSION>1.0</VERSION>

</FUNCTION>

</CSSFile>

Nota:Questocomandononèsupportatonellamodalitàdiemulazione.

SET_PP_FLAG_FUNCTION

QuestocomandoscriveunindicatorecheClientSecuritySolutionleggeperdeterminareseutilizzarelafrase diaccessodiClientSecurityounapassworddiWindows.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment

<COMMAND>SET_PP_FLAG_FUNCTION</COMMAND> <PP_FLAG_SETTING_PARAMETER>USE_CSS_PP</PP_FLAG_SETTING_PARAMETER> <VERSION>1.0</VERSION> </FUNCTION>

</CSSFile>

Nota:Questocomandononèsupportatonellamodalitàdiemulazione.

SET_ADMIN_USER_FUNCTION

QuestocomandoscriveunindicatorechevienelettodaClientSecuritySolutionperdeterminarechiè l'amministratore.Iparametrisono:

•USER_NAME_P ARAMETER Ilnomeutentedell'amministratore.

•DOMAIN_NAME_P ARAMETER Ilnomedominiodell'amministratore.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment

<FUNCTION> <ORDER>0001</ORDER> <COMMAND>SET_ADMIN_USER_FUNCTION</COMMAND> <USER_NAME_PARAMETER>sabedi</USER_NAME_PARAMETER> <DOMAIN_NAME_PARAMETER>IBM-2AA92582C79<DOMAIN_NAME_PARAMETER> <VERSION>1.0</VERSION> <SYSTEM_PAP>PASSWORD</SYSTEM_PAP>

</FUNCTION>

</CSSFile>

Capitolo3.GestionediClientSecuritySolution29

Nota:Questocomandononèsupportatonellamodalitàdiemulazione.

INITIALIZE_SYSTEM_FUNCTION

QuestocomandoinizializzalafunzionedisistemaClientSecuritySolution.Lechiavidituttoilsistema vengonogenerateattraversoquestachiamatadifunzione.Ilseguenteelencodiparametrispiegaciascuna funzione:

•NEW_OWNER_AUTH_DATA_PARAMETER Questoparametroèutilizzatoperimpostarelanuovapasswordproprietarioperilsistema.Perlanuova passwordproprietario,ilvaloreperquestoparametroècontrollatodall'attualepasswordproprietario.Se l'attualepasswordproprietariononèimpostata,ilvalorediquestoparametrovieneaccolto,ediventa lanuovapasswordproprietario.Sel'attualepasswordproprietarioègiàimpostata,el'amministratore usalastessapasswordproprietarioattuale,alloraverràaccoltoquelvaloreinquestoparametro.Se l'amministratoreusaunanuovapasswordproprietario,verràaccoltalanuovapasswordproprietario inquestoparametro.

•CURRENT_OWNER_AUTH_DATA_PARAMETER Questoparametroèl'attualepasswordproprietariodelsistema.Seilsistemadisponegiàdiuna passwordproprietarioesistente,questoparametroaccoglieràlapasswordprecedente.Sevienerichiesta unanuovapasswordproprietario,l'attualepasswordproprietariovieneaccoltainquestoparametro.Se nonècongurataalcunamodicadipassword,vieneaccoltoilvaloreNO_CURRENT_OWNER_AUTH.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment

<ORDER>0001</ORDER> <COMMAND>INITIALIZE_SYSTEM_FUNCTION</COMMAND> <NEW_OWNER_AUTH_DATA_PARAMETER>pass1word</NEW_OWNER_AUTH_DATA_

PARAMETER>

<CURRENT_OWNER_AUTH_DATA_PARAMETER>No_CURRENT_OWNER_AUTH</CURRENT

_OWNER_AUTH_DATA_PARAMETER>

</FUNCTION>

</CSSFile>

CHANGE_TPM_OWNER_AUTH_FUNCTION

Questocomandomodical'autorizzazionedell'amministratorediClientSecuritySolutioneaggiornadi conseguenzalechiavidisistema.Lechiavidituttoilsistemavengonorigenerateattraversoquestachiamata difunzione.Iparametrisono:

•NEW_OWNER_AUTH_DATA_PARAMETER LanuovapassworddiproprietariodelTPM.

•CURRENT_OWNER_AUTH_DATA_PARAMETER LapassworddiproprietariocorrentedelTPM.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment

<FUNCTION> <ORDER>0001</ORDER> <COMMAND>CHANGE_TPM_OWNER_AUTH_FUNCTION</COMMAND> <NEW_OWNER_AUTH_DATA_PARAMETER>newPassWord</NEW_OWNER_AUTH_DATA_

PARAMETER>

<CURRENT_OWNER_AUTH_DATA_PARAMETER>oldPassWord</CURRENT_OWNER_AUTH

30ClientSecuritySolution8.21Guidaalladistribuzione

_DATA_PARAMETER>

</FUNCTION>

</CSSFile>

Nota:Questocomandononèsupportatonellamodalitàdiemulazione.

ENROLL_USER_FUNCTION

Questocomandoiscriveunparticolareutenteall'utilizzodiClientSecuritySolution.Questafunzionecrea tuttelechiavidisicurezzaspecichedell'utenteperundatoutente.Iparametrisono:

•USER_NAME_P ARAMETER Ilnomeutentedell'utentedaiscrivere.

•DOMAIN_NAME_P ARAMETER Ilnomedidominiodell'utentedaiscrivere.

•USER_AUTH_DATA_PARAMETER LafrasediaccessodiTPMelapasswordWindowssononecessariepercrearelechiavidisicurezza dell'utente.

•WIN_PW_P ARAMETER LapassworddiWindows.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment

<FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENROLL_USER_FUNCTION</COMMAND> <USER_NAME_PARAMETER>sabedi</USER_NAME_PARAMETER> <DOMAIN_NAME_PARAMETER>IBM-2AA92582C79<DOMAIN_NAME_PARAMETER> <USER_AUTH_DATA_PARAMETER>myCssUserPassPhrase</USER_AUTH_DATA_PARAMETER>

<WIN_PW_PARAMETER>myWindowsPassword</WIN_PW_PARAMETER>

</CSSFile>

USER_PW_RECOVERY_FUNCTION

Questocomandoimpostaunparticolareripristinodipassworddell'utente.Iparametrisono:

•USER_NAME_P ARAMETER Ilnomeutentedell'utentedaiscrivere.

•DOMAIN_NAME_P ARAMETER Ilnomedidominiodell'utentedaiscrivere.

•USER_PW_REC_QUESTION_COUNT Ilnumerodidomandeacuil'utentedeverispondere.

•USER_PW_REC_ANSWER_DATA_PARAMETER Larispostamemorizzatainunaparticolaredomanda.Ilnomeeffettivodiquestoparametroèconnesso adunnumerocorrispondentealladomandaacuiquestorisponde.

•USER_PW_REC_STORED_PASSWORD_PARAMETER Lapasswordsalvatachevienepresentataall'utentequandoatutteledomandevengonodaterisposte corrette.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation="

Capitolo3.GestionediClientSecuritySolution31

http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment

<FUNCTION> <ORDER>0001</ORDER> <COMMAND>USER_PW_RECOVERY_FUNCTION</COMMAND> <USER_NAME_PARAMETER>sabedi</USER_NAME_PARAMETER> <DOMAIN_NAME_PARAMETER>IBM-2AA92582C79<DOMAIN_NAME_PARAMETER> <USER_PW_REC_ANSWER_DATA_PARAMETER>Test1</USER_PW_REC_ANSWER_DATA_PARA

METER>

<USER_PW_REC_ANSWER_DATA_PARAMETER>Test2</USER_PW_REC_ANSWER_DATA_PARA

METER>

<USER_PW_REC_ANSWER_DATA_PARAMETER>Test3</USER_PW_REC_ANSWER_DATA_PARA

METER> <USER_PW_REC_QUESTION_COUNT>3</USER_PW_REC_QUESTION_COUNT> <USER_PW_REC_QUESTION_LIST>20000,20001,20002</USER_PW_REC_QUESTION_LIST>

</USER_PW_REC_STORED_PASSWORD_PARAMETER>Pass1word</USER_PW_REC_STORED_PASS

WORD_PARAMETER> <VERSION>1.0</VERSION>

</FUNCTION>

</CSSFile>

GENERATE_MUL TI_FACTOR_DEVICE_FUNCTION

Questocomandogeneraidispositivimulti-fattorediClientSecuritySolutionutilizzatiperl'autenticazione.I parametrisono:

•USER_NAME_PARAMETER-Ilnomeutentedell'amministratore.

•DOMAIN_NAME_PARAMETER-Ilnomedominiodell'amministratore.

•MUL TI_FACTOR_DEVICE_USER_AUTH-LafrasediaccessodiClientSecurityolapassworddiWindows percrearelechiavidisicurezzadell'utente.

<?xmlversion="1.0"encoding="UTF-8"standalone="no"?>

<CSSFile=xmlns="www.ibm.com/security/CSS"> <FUNCTION> <ORDER>0001</ORDER> <COMMAND>GENERATE_MULTI_FACTOR_DEVICE_FUNCTION</COMMAND> <USER_NAME_PARAMETER>myUserName</USER_NAME_PARAMETER> <DOMAIN_NAME_PARAMETER>domainName</DOMAIN_NAME_PARAMETER> <MULTI_FACTOR_DEVICE_USER_AUTH>myCssUserPassPhrase</MUL TI_FACTOR_DEVICE_USER_AUTH> <VERSION>1.0</VERSION> </FUNCTION>

</CSSFile>

SETUP_PDA_FUNCTION

QuestocomandoimpostalaPredesktopAreaperessereutilizzataconClientSecuritySolution:

<?xmlversion="1.0"encoding="UTF-8"standalone="no"?> <CSSFile=xmlns="www.ibm.com/security/CSS"> <FUNCTION> <ORDER>0001</ORDER> <COMMAND>SETUP_PDA_FUNCTION</COMMAND> <VERSION>1.0</VERSION> </FUNCTION>

</CSSFile>

SET_USER_AUTH_FUNCTION

Questocomandoimpostal'autenticazioneutentediClientSecuritySolution:

<?xmlversion="1.0"encoding="UTF-8"standalone="no"?> <CSSFile=xmlns="www.ibm.com/security/CSS">

32ClientSecuritySolution8.21Guidaalladistribuzione

<FUNCTION> <ORDER>0001</ORDER> <COMMAND>SET_USER_AUTH_FUNCTION</COMMAND> <VERSION>1.0</VERSION> </FUNCTION>

</CSSFile>

UtilizzoditokenRSASecurID

L'utilizzodelmetododialgoritmodicodicadati,tramitetokenRSASecurIDinsiemeaClientSecurity Solutionforniràunaulterioresicurezzamulti-fattoreall'azienda.Tramitetalitoken,gliutentieseguono l'autenticazionenelleretienelsoftwareutilizzandoilproprioIDutenteoPINeundispositivotoken.Il dispositivotokenvisualizzaunastringadinumerichecambiaogni60secondi.Talemetododiautenticazione fornisceunlivellodiautenticazioneutentemoltopiùafdabiledellepasswordriutilizzabili.

InstallazionedeltokendelsoftwareRSASecurID

CompletareleseguentiprocedureperinstallareilsoftwareRSASecurID:

1.VisitareilseguentesitoWeb: http://www.rsasecurity.com/node.asp?id=1156

2.Completareilprocessodiregistrazione.

3.ScaricareeinstallareilsoftwareRSASecurID.

Requisiti

1.OgniutentediWindowsdeveessereregistratoconClientSecuritySolutionperconsentireilcorretto funzionamentodelsoftwareRSAdopocheèstatoassociatoaClientSecuritySolution.

2.IlsoftwareRSAnonesegueun'autenticazioneinnita(inunloop)conunutentediWindowsnon registratoconClientSecuritySolution.Perrisolveretaleproblema,registrarel'utenteconClient SecuritySolution.

Impostazionidelleopzionidiaccessoallesmartcard

Perimpostareleopzionidiaccessodellesmartcard,completarelaseguenteprocedura:

1.DalmenuprincipalediRSASecurID,fareclicsuStrumentiequindiOpzionidiaccessosmartcard.

2.Dalpannellodicomunicazionesmartcard,selezionareilpulsantediopzionerelativoaAccessoalla smartcardtramiteunmoduloPKCS#11.

3.FareclicsulpulsanteSfogliaeaccederealseguentepercorso:

C:\ProgramFiles\LENOVO\ClientSecuritySolution\csspkcs11.dll

4.Fareclicsullecsspkcs11.dllequindisuSeleziona.

5.FareclicsuOK.

InstallazionemanualedeltokendelsoftwareRSASecurID

PerutilizzarelaprotezionediClientSecuritySolutionconiltokendelsoftwareRSASecurID,completare laproceduraseguente:

1.DalmenuprincipaledeltokendelsoftwareRSASecurID,fareclicsuFileequindiImportatoken.

2.AndarenelpercorsodelleSDTIDefareclicsuApri.

3.DalpannelloSelezionatokendainstallare,evidenziareinumeridiseriedeitokendelsoftware desiderati.

4.FareclicsuTrasferiscismartcarddeltokenselezionato.

Capitolo3.GestionediClientSecuritySolution33

Nota:seuntokendisponediunapassworddidistribuzione,immetterlaquandovienerichiesto.

5.FareclicsuOK.

SupportoperActiveDirectory

IlseguentepercorsoindicaladirectoryperilmoduloPKCS#11perClientSecuritySolution:

C:\ProgramFiles\Lenovo\ClientSecuritySolution\csspkcs11.dll

PerutilizzareilmoduloPKCS#11diClientSecuritySolution,impostareiseguenticriteriperActiveDirectory:

1.FirmaPKCS#11

2.DecodicaPKCS#11

LaseguentetabellafornisceilcampomodicabileeladescrizionedeicriteriperPKCS#11:

Tabella10.ThinkVantage\ClientSecuritySolution\AuthenticationPolicies\PKCS#11Signature\CustomMode

CampiCSS.ADM

CampomodicabileObbligatorio Descrizionecampo

Possibilivalori•Abilitato

Controllaseènecessariaunapasswordounafrasedi accesso.

–Sempre –Unavoltaperogniaccesso

•Disabilitata

•Noncongurato

Impostazioniecriteriperl'autenticazionetramitelettorediimpronte digitali

Opzionedidisabilitazionedelleimprontedigitali

L'opzionedidisabilitazionedelleimprontedigitaliconsenteadunutentedidisabilitarel'autenticazione tramiteimprontedigitaliediutilizzareunapasswordWindowsperl'accesso.L'utentepuòselezionareo deselezionarequestaopzionenell'interfacciautentediPasswordManagerdurantel'aggiuntadiunanuova voce.

Tuttavia,perimpostazionepredenita,ladisabilitazionedelleimprontedigitalièabilitataanchesequesta opzionenonèselezionata.Ciòconsenteall'utentediaccedereaWindowsquandoilsensoreperimpronte digitalinonèinfunzione.Perdisabilitarel'opzionedidisabilitazionedelleimprontedigitali,modicare laseguentechiavediregistro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Lenovo\ClientSecuritySolution\CSSConguration] "GinaDenyLogonDeviceNonEnrolled"=dword:00000001

Quandolachiavediregistroèimpostatacomeriportatosopra,l'utentenonpuòdisabilitarel'autenticazione tramiteimprontedigitaliquandoilsensoreperimprontedigitalinonfunziona.

Risultatodellaregistrazionediimprontedigitali

Durantel'autenticazionetramiteimprontedigitali,ilsuddettocriteriocontrollalavisualizzazionedeirisultati dellaregistrazioneditaliimpronte.

HKLM\Lenovo\TVTCommon\ClientSecuritySolution\FPSwipeResult

•FPSwipeResult=0:Showallmessages.

34ClientSecuritySolution8.21Guidaalladistribuzione

•FPSwipeResult=1:Showfailuremessagesonly(defaultvalue).

•FPSwipeResult=2:Donotshowanymessages.

Strumentidellarigacomandi

LefunzionidiThinkVantageTechnologiespossonoancheessereimplementateinlocaleoinremotodagli amministratoriITdell'aziendatramitelaCLI(command-lineinterface).Leimpostazionidicongurazione possonoesseremantenutemedianteleimpostazionileditestoremoto.

ClientSecuritySolutiondisponedeiseguentistrumentidellarigacomandi:

•“SecurityAdvisor”apagina35

•“ProceduraguidatadiinstallazionedellaClientSecuritySolution”apagina36

•“Strumentodicodicaodecodicadelledidistribuzione”apagina37

•“Strumentodielaborazionedelledidistribuzione”apagina37

•“TPMENABLE.EXE”apagina38

•“StrumentoTrasferimentocerticati”apagina38

•“StrumentodiattivazioneTPM”apagina39

SecurityAdvisor

PereseguireSecurityAdvisordallaClientSecuritySolution,fareclicsu

Start->Programmi->ThinkVantage->ClientSecuritySolution.FareclicsuAvanzataescegliere Controllaimpostazionidisicurezza.EsegueC:\ProgramFiles\Lenovo\CommonFiles\WST\wst.exeper

un'installazionepredenita.

Iparametrisono:

Tabella11.Parametri

ParametriDescrizione

HardwarePasswords

PowerOnPassword

HardDrivePasswordImpostailvalorepercuideveessereabilitatauna

AdministratorPasswordImpostailvalorepercuideveessereabilitatauna

WindowsUsersPasswordsImpostailvaloreperlapasswordutentediWindows.

PasswordImpostailvaloresecondocuilapassworddegli

PasswordAge

Impostailvaloreperlapasswordhardware.1mostrerà questasezione,0lanasconderà.Ilvalorepredenitoè1.

Impostailvalorepercuideveessereabilitatauna passwordPowerOnol'impostazionesaràcontrassegnata.

passworddell'unitàdiscool'impostazionesarà contrassegnata.

passwordamministratoreol'impostazionesarà contrassegnata.

1mostreràquestasezione,0lanasconderà.Senon presente,vienemostrataperimpostazionepredenita.

utentideveessereabilitataol'impostazioneverrà contrassegnata.

Impostailvaloredell'etàdellapasswordWindows richiestasuquestocomputerol'impostazioneviene contrassegnata.

Capitolo3.GestionediClientSecuritySolution35

Tabella11.Parametri(continua)

ParametriDescrizione

PasswordNeverExpiresImpostailvaloresecondocuilapassworddiWindowsnon

puòmaiscadereol'impostazionevienecontrassegnata.

WindowsPasswordPolicyImpostailvaloreperilcriteriodellapasswordWindows.

1mostreràquestasezione,0lanasconderà.Senon presente,vienemostrataperimpostazionepredenita.

MinimumPasswordLengthImpostailvaloredaassegnareallalunghezzadella

passwordsuquestocomputerol'impostazioneverrà contrassegnata.

MaximumPasswordAgeImpostailvalorechelapassworddeveaveresuquesto

computerol'impostazionedeveesserecontrassegnata

ScreenSaverImpostailvaloreperilsalvaschermo.1mostreràquesta

sezione,0lanasconderà.Senonpresente,viene mostrataperimpostazionepredenita.

ScreenSaverPasswordSet

ScreenSaverTimeout

FileSharingImpostailvaloreperlacondivisionedeile.1mostrerà

AuthorizedAccessOnly

ClientSecurityImpostailvaloreperlaClientSecurity.1mostrerà

EmbeddedSecurityChip

ClientSecuritySolutionImpostailvaloredellaversionedellaClientSecurity

Impostailvaloredellapasswordperilsalvaschermoo l'impostazionevienecontrassegnata.

Impostailvaloredeltime-outdelsalvaschermoche dovrebbeesserepresentesuquestocomputero l'impostazionesaràcontrassegnata.

questasezione,0lanasconderà.Senonpresente,viene mostrataperimpostazionepredenita.

Impostailvaloreinbasealqualedovrebbeessere impostatol'accessoautorizzatoperlacondivisionedei leol'impostazionevienecontrassegnata.

questasezione,0lanasconderà.Senonpresente,viene mostrataperimpostazionepredenita.

Impostailvaloresecondocuiilchipdisicurezzadeve essereabilitatool'impostazionesaràcontrassegnata.

Solutionchedovrebbeesserepresentesulcomputero l'impostazionevienecontrassegnata.

ProceduraguidatadiinstallazionedellaClientSecuritySolution

LaproceduraguidatadicongurazionediClientSecuritySolutionvieneutilizzataanchepergenerarescriptdi distribuzionemedianteleXML.Ilcomandoseguentevisualizzalediversefunzionidellaproceduraguidata:

"C:\ProgramFiles\Lenovo\ClientSecuritySolution\css_wizard.exe"/?

LatabellaseguentefornisceicomandidellaproceduraguidatadiinstallazionediClientSecuritySolution.

Tabella12.ComandiperlaproceduraguidatadicongurazionediClientSecuritySolution

ParametroRisultato

/ho/? /name:FILENAME

/encryptCodicaillediscriptutilizzandolacodicaAES.Ilnome

36ClientSecuritySolution8.21Guidaalladistribuzione

Visualizzalacaselladelmessaggiodiaiuto

Precedeilpercorsocompletoeilnomedelledi distribuzionegenerato.Illehaun'estensione.xml.

levieneaggiuntocon.encsevienecodicato.Seil comando/passnonvieneutilizzato,unafrasediaccesso staticavieneutilizzataperoscurareille.

Tabella12.ComandiperlaproceduraguidatadicongurazionediClientSecuritySolution(continua)

ParametroRisultato

/pass:

/novalidate

Precedelafrasediaccessoperlaprotezionedelledi distribuzionecodicato.

Disabilitalefunzionidivericadellapasswordedella frasediaccessodellaproceduraguidatainmodocheil lediscriptpossaesserecreatosolosuuncomputergià congurato.Adesempio,lapassworddell'amministratore sulcomputerattualepotrebbenonesserelapassword dell'amministratoredesideratadall'azienda.Utilizzare ilcomando/novalidateperconsentirediinserirenella GUIcss_wizardunadiversapassworddiamministratore durantelacreazionedellexml.

Esempio:

css_wizard.exe/encrypt/pass:mysecret/name:C:\DeployScript/novalidate

Strumentodicodicaodecodicadelledidistribuzione

QuestostrumentoèutilizzatopercodicareodecodicareiledidistribuzioneXMLdellaClientSecurity. Ilcomandoseguentevisualizzalediversefunzionidellostrumento:

"C:\ProgramFiles\Lenovo\ClientSecuritySolution\xml_crypt_tool.exe"/?

Iparametrivengonomostratinellaseguentetabella:

Tabella13.ParametriperlacrittograaoladecrittograadeiledidistribuzioneXMLdiClientSecurity

ParametriRisultati

/ho/? FILENAME

codicaodecodica

PASSPHRASEVisualizzailparametrofacoltativocheèrichiestosesi

Visualizzailmessaggiodiaiuto

Visualizzailnomedelpercorsoedelleconestensione .xmlo.enc

Seleziona/encryptperile.xmle/decryptperile.enc

utilizzaunafrasediaccessoperproteggereille.

Esempi:

xml_crypt_tool.exe"C:\DeployScript.xml"/encrypt"mysecret"

xml_crypt_tool.exe"C:\DeployScript.xml.enc"/decrypt"mysecret"

Strumentodielaborazionedelledidistribuzione

Lostrumentovmserver.exeelaboragliscriptdidistribuzioneXMLdiClientSecuritySolution.Ilcomando seguentevisualizzalediversefunzionidellaproceduraguidata:

"C:\ProgramFiles\Lenovo\ClientSecuritySolution\vmserver.exe"/?

Latabellaseguentefornisceiparametriperl'elaborazionedelle.

Tabella14.Parametriperl'elaborazionele

ParametroRisultato

FILENAME

PASSPHRASEIlparametroPASSPHRASEvieneutilizzatoper

IlparametroFILENAMEdeveavereun'estensionele XMLoENC

decodicareunleconl'estensioneENC

Capitolo3.GestionediClientSecuritySolution37

Esempio:

Vmserver.exeC:\DeployScript.xml.enc"mysecret"

TPMENABLE.EXE

Illetpmenable.exeèutilizzatoperattivareodisattivareilchipdisicurezza.

Tabella15.Parametriperilletpmenable.exe

ParametroDescrizione

/enableo/disable /quietNascondelerichiesteperlapasswordoglierroriBIOS. sp:password

Abilitaodisabilitailchipdisicurezza.

SoloperWindows2000eXP,passworddi amministratore/supervisore,noninserirelapasswordtra apici.

Esempio:

tpmenable.exe/enable/quiet/sp:MyBiosPW

StrumentoTrasferimentocerticati

LaseguentetabellafornisceleopzionidellarigacomandidellostrumentoT rasferimentocerticatiper ClientSecuritySolution:

Tabella16.css_cert_transfer_tool.exe<cert_store_type><lter_type>:<name|size>|all_access|usage

ParametroDescrizione

<cert_store_type>

Esempi:

<lter_type>:<name|size>

cert_store_user

cert_store_machine

cert_store_all

Questoèilprimoparametrorichiesto.Deveessereutilizzatocomeprima opzioneedeveincludereunodeiseguentiesempi:

Trasferiscesoltantoicerticatiutente.Talicerticati vengonoassegnatiall'utentecorrente.

Trasferiscesoltantoicerticatimacchina.Talicerticati possonoessereutilizzatidatuttigliutentiautorizzatisuuna macchina.

Trasferiscesiatipidicerticatiutentechemacchina.

Questoèilsecondoparametrorichiesto.Deveessereutilizzatodopoil parametro<cert_store_type>richiesto.Ognitipodiltro,adeccezione diquantoriportatodiseguito,deveincludereiduepunti“:”allanee devecontenereimmediatamentedopoiduepuntiilnomedell'oggetto, l'autoritàoladimensionechiavedelcerticatodaricercare.Questo programmadiutilitàrispettaladistinzionetramaiuscole/minuscolee,se ilnomechesistaricercandoèunnomecompostocome“AutoritàCA”, ènecessarioinserireilpropriocriteriodiricercatralevirgolettedoppie (“”).Perinformazioni,vederegliesempi.

38ClientSecuritySolution8.21Guidaalladistribuzione

Tabella16.css_cert_transfer_tool.exe<cert_store_type><lter_type>:<name|size>|all_access|usage(continua)

ParametroDescrizione Esempi:

Ledueopzioniseguentisonoautonome;nondispongonodiunsecondoargomentoassociato: all_access usage

subject_simple_name:<name>

subject_friendly_name:<name>Trasferiscetuttiicerticatichecorrispondonoalnome

issuer_simple_name:<name>

ssuer_friendly_name:<name>Trasferiscetuttiicerticatichecorrispondonoalnome

key_size:<size>

Trasferiscetuttiicerticati,senzaltro. Nonfornisceinformazionicorrettesullarigacomandi,malafunzioneutilizzataperdeterminareun

correttoutilizzorestituiràvaloritrueofalseasecondaseicomandiinviatisonocorrettiomeno.

Trasferiscetuttiicerticatichecorrispondonoalnomecon cuivieneemessoilcerticato,dovetalenomeè<name>.

sempliceconcuivieneemessoilcerticato,dovetalenome è<name>.

Trasferiscetuttiicerticatichecorrispondonoalnome dell'autoritàdicerticazionechelihaemessi,dovetale nomeè<name>.

semplicedell'autoritàdicerticazionechelihaemessi, dovetalenomeè<name>.

Trasferiscetuttiicerticaticrittografaticonladimensione chiave<size>inbit.Tenerepresentechequestoèuncriterio dicorrispondenzaesatta;ilprogrammanonricercherà certicaticrittografaticonunadimensionechiaveinferioreo pariataledimensione.

StrumentodiattivazioneTPM

Illetpm_activate_cmd.exevieneutilizzatoperattivareodisattivareilTPMsulsistemaLenovo.

Nota:pereseguirequestocomando,sonorichiestiprivilegidiamministratore.

Tabella17.Parametriperl'attivazioneoladisattivazionediTPMsulsistemaLenovo

ParametroDescrizione

/helpo/? /biospw:passwordSpecicalapassworddiamministratoreodisupervisore

/deactivate

/verbose

Visualizzal'elencodiparametri.

delBIOS,seimpostata. DisattivailTPM.

Nota:sesieseguetpm_activate_cmd.exesenzail parametro/deactivate,attiveràilTPMperimpostazione predenita.

Visualizzaunoutputditesto.

Esempio:

tpm_activate_cmd.exe/? tpm_activate_cmd.exe/verbose tpm_activate_cmd.exe/biospw:pass

SupportoperActiveDirectory

ActiveDirectoryèunserviziodidirectory.Ladirectoryèilluogoincuivengonomemorizzateleinformazioni relativeagliutentieallerisorse.Ilserviziodidirectorypermettel'accessoinmododapotergestiretalirisorse.

Capitolo3.GestionediClientSecuritySolution39

ActiveDirectoryfornisceunmeccanismocheoffreagliamministratorilapossibilitàdigestirecomputer, gruppi,utenti,domini,criteridisicurezzaequalsiasialtrooggettodenitodall'utente.Ilmeccanismo utilizzatodaActiveDirectoryperrealizzareciò,vieneindicatoconilnomediCriteriodigruppo.ConCriterio digruppo,gliamministratoridenisconoleimpostazionichepossonoessereapplicateaicomputero agliutentipresentineldominio.

Attualmente,iprodottidellatecnologiaThinkVantageutilizzanounaseriedimetodiperlaraccoltadelle impostazioninecessariepercontrollareleimpostazionideiprogrammitracuilaletturadivocidiregistro specichedenitedalleapplicazioni.

Gliesempiseguentisonoimpostazionichel'ActiveDirectoryèingradodigestirerelativamenteaClient SecuritySolution:

•Criteridisicurezza.

•Criteridisicurezzapersonalizzati,adesempiol'utilizzodiunapasswordWindowsounafrasediaccesso diClientSecuritySolution.

Filedimodelloamministrativi(ADM)

IlledimodelloADM(Amministrativo)denisceleimpostazionidellepoliticheutilizzatedalleapplicazioni suicomputerclient.Lepolitichesonoimpostazionispecichechegovernanoilcomportamento dell'applicazione.Inoltre,stabilisconosel'utentepotràdenireomenodeterminateimpostazioniattraverso l'applicazione.

Leimpostazionidenitedaunamministratoresulservervengonodenitecomepolitiche.Leimpostazioni stabilitedaunutentesulcomputerclientperun'applicazionesonodenitepreferenze.Comestabilitoda Microsoft,icriterihannolaprecedenzarispettoallepreferenze.

Adesempio,unutentepotrebbeinserireun'immaginedisfondosuldesktop.Questaèl'impostazione dellepreferenzedell'utente.Unamministratorepotrebbedenireun'impostazionesulservercheimpone aunutentediutilizzareunaspecicaimmaginedisfondo.L'impostazionedeicriteridegliamministratori sovrascrivelepreferenzeimpostatedagliutenti.

QuandounprodottoThinkVantageTechnologyricercaun'impostazione,lofarànelseguenteordine:

•Criteridicomputer

•Criteriutente

•Criteriutentepredeniti

•Preferenzedicomputer

•Preferenzeutente

•Preferenzeutentepredenite

Comedescrittoinprecedenza,lepolitichedicomputereutentevengonodenitedall'amministratore.Tali impostazionipossonoessereinizializzatemedianteilledicongurazioneXMLouncriteriodigruppoin ActiveDirectory.Lepreferenzecomputereutentevengonoimpostatedall'utentesuuncomputerclient attraversoleopzionidell'interfacciaapplicazioni.Lepreferenzeutentepredenitesonoinizializzatedallo scriptdicongurazioneXML.Gliutentinonmodicanodirettamenteivalori.Lemodicheapportateaqueste impostazionidaunutenteverrannoaggiornatenellepreferenzeutente.

IclientichenonutilizzanoActiveDirectorypossonocreareuninsiemepredenitodiimpostazionidicriteri dadistribuireaisistemiclient.GliamministratoripossonomodicaregliscriptdicongurazioneXMLe specicarechedevonoessereelaboratidurantel'installazionedelprodotto.

40ClientSecuritySolution8.21Guidaalladistribuzione

Denizionedelleimpostazionigestibili

L'esempiosuccessivomostraleimpostazioninell'editordelCriteriodigruppoutilizzandolaseguente gerarchia:

ComputerConguration>AdministrativeTemplates>ThinkVantageTechnologies> ClientSecuritySolution>AuthenticationPolicies>MaxRetries> Passwordnumberofretries

IleADMindicanoinchepuntodelregistroverrannoriesseleimpostazioni.Taliimpostazionisarannonelle seguentiposizionidelregistro:

Computerpolicies: HKLM\Software\Policies\Lenovo\ClientSecuritySolution\ Userpolicies: HKCU\Software\Policies\Lenovo\ClientSecuritySolution\ Def aultuserpolicies: HKLM\Software\Policies\Lenovo\ClientSecuritySolution\Userdefaults Computerpreferences: HKLM\Software\Lenovo\ClientSecuritySolution\ Userpreferences: HKCU\Software\Lenovo\ClientSecuritySolution\ Def aultuserpreferences: HKLM\Software\Lenovo\ClientSecuritySolution\Userdefaults

ImpostazionidiCriteriodigruppo

Letabellediquestasezionefornisconoleimpostazionideicriteriperlacongurazionedelcomputereperla congurazionedell'utenteperClientSecuritySolution.

Massimonumeroditentativi

Latabellaseguentefornisceleimpostazionideicriteridiautenticazione,numeromassimoditentativi.

Tabella18.Congurazionecomputer➙ThinkVantage➙ClientSecuritySolution➙Criteridiautenticazione ➙Numeromassimotentativi

Impostazione

Criterio

Numerotentativi password

Numerotentativifrase diaccesso

Numerotentativi improntedigitali

abilitataDescrizione

Ilmassimonumero ditentativiè20.

Controllailnumeromassimodivoltecheunutentepuòtentaredi autenticarsiconunapasswordWindowsprimachevisiailfallback allasovrascritturadelcriterio.

Controllailnumeromassimodivoltecheunutentepuòtentaredi autenticarsiconunafrasediaccessodiClientSecurityprimachevi siailfallbackallasovrascritturadelcriterio.

Controllailnumeromassimodivoltecheunutentepuòtentaredi autenticarsiconleimprontedigitaliprimachevisiailfallbackalla sovrascritturadelcriterio.

Modalitàsicura

Latabellaseguentefornisceleimpostazionideicriteridiautenticazione,Modalitàsicura.

Capitolo3.GestionediClientSecuritySolution41

Tabella19.Congurazionecomputer➙Modelliamministrativi➙ThinkVantage➙ClientSecuritySolution➙ Criteridiautenticazione➙Modalitàsicura

CriterioImpostazioniabilitateDescrizione

Password

Passphrase

Improntadigitale

Sovrascrittura

ÈpossibileimpostarelafrequenzasuSempreo Unavoltaadaccesso.

Impostalasovrascritturadellapassword,dellafrase diaccessoodelleimprontedigitali.

Controllaseèrichiestalapassword.

Controllaseèrichiestalafrasedi accesso.

Controllasesonorichiesteleimpronte digitali.

Denisceirequisitidifallback dell'autenticazionesel'autenticazione normalefallisce.

Modalitàpredenita

Latabellaseguentefornisceleimpostazionideicriteridiautenticazione,Modalitàpredenita.

Tabella20.Congurazionecomputer➙Modelliamministrativi➙ThinkVantage➙ClientSecuritySolution➙ Criteridiautenticazione➙Modalitàpredenita

CriterioImpostazioniabilitateDescrizione

Password

Passphrase

Improntadigitale

Sovrascrittura

ÈpossibileimpostarelafrequenzasuSempreo Unavoltaadaccesso.

Impostalasovrascritturadellapassword,dellafrase diaccessoodelleimprontedigitali.

Controllaseèrichiestalapassword.

Controllaseèrichiestalafrasedi accesso.

Controllasesonorichiesteleimpronte digitali.

Denisceirequisitidifallback dell'autenticazionesel'autenticazione normalefallisce.

Criteridiautenticazione

L'elencoseguentedicritericontieneleimpostazioniabilitatechedenisconoillivellodiautenticazionedi ognicriterio:

•LivellodiautenticazioneaccessoaWindows

•Livellodiautenticazionesbloccodelsistema

•Livellodiautenticazionegestionepassword

•LivellodiautenticazionermaCSP

•LivellodiautenticazionedecodicaCSP

•LivellodiautenticazionermaPKCS#11

•LivellodiautenticazionedecodicaPKCS#11

•LivellodiautenticazioneaccessoPKCS#11

Latabellaseguentefornisceleimpostazionieivaloriperilivellidiautenticazioneprecedenti:

42ClientSecuritySolution8.21Guidaalladistribuzione

Tabella21.Congurazionecomputer➙Modelliamministrativi➙ThinkVantage➙ClientSecuritySolution➙ Criteridiautenticazione

CriterioImpostazioniabilitateDescrizione

Password

Passphrase

Improntadigitale

Sovrascrittura

ÈpossibileimpostarelafrequenzasuSempreo Unavoltaadaccesso.

Impostalasovrascritturadellapassword,dellafrase diaccessoodelleimprontedigitali.

Controllaseèrichiestalapassword.

Controllaseèrichiestalafrasedi accesso.

Controllasesonorichiesteleimpronte digitali.

Denisceirequisitidifallback dell'autenticazionesel'autenticazione normalefallisce.

PasswordManager

LatabellaseguentefornisceleimpostazionideicriteriperilPasswordmanager.

Tabella22.Congurazionecomputer➙ThinkVantage➙ClientSecuritySolution➙PasswordManager

ImpostazionecriterioDescrizione

DisabilitailPasswordmanager DisabilitasupportoInternetExplorer

DisabilitasupportoMozilla

Disabilitailsupportoperleapplicazioni Windows

Disabilitariempimentoautomatico

Disabilitasupportotastidisceltarapida

Utilizzaltraggiodominio Dominiproibiti

URLproibiti

Moduliproibiti

Tastidisceltarapidadiriempimento automatico

TastodisceltarapidaDigitaetrasferisci

GestiscitastodisceltarapidaControllailtastodisceltarapidaCtrl+Shift+B.

ControllaseilPasswordmanagersiavviaall'avviodelsistema. ControllaseilPasswordmanagersaràingradodimemorizzarelepassword

daInternetExplorer. ControllaseilPasswordmanagersaràingradodimemorizzarelepassword

daibrowserbasatisuMozilla,compresiFirefoxeNetscape. ControllaseilPasswordmanagersaràingradodimemorizzarelepassword

dalleapplicazioniWindows. ControllaseilPasswordmanagerinseriràinautomaticoidatineisitiwebe

nelleapplicazioniWindows. ControllaseilPasswordmanagersupporteràl'usodeitastidisceltarapida

perinserireidatineisitiwebenelleapplicazioniWindows. ControllaseilPasswordmanagerltreràisitiwebinbaseaidomini. ControllaidominidaiqualiilPasswordmanagernondevememorizzare

lepassword. ControllagliURLdaiqualiilPasswordmanagernondevememorizzare

lepassword. ControllaleapplicazioniWindowsdallequaliilPasswordmanagernon

devememorizzarelepassword. ControllailtastodisceltarapidaCtrl+F2perilriempimentoautomatico.

ControllailtastodisceltarapidaCtrl+Shift+HperDigitaeTrasferisci.

Interfacciautente

Laseguentetabellafornisceleimpostazionideicriteriperl'interfacciautente.

Capitolo3.GestionediClientSecuritySolution43

Tabella23.Congurazionecomputer➙ThinkVantage➙ClientSecuritySolution➙Interfacciautente

ImpostazionecriterioDescrizione

OpzionesoftwareFingerprint

OpzioneCodicaleMostra,disabilitaonascondel'opzioneCodicalenell'applicazioneClient

OpzioneControlloimpostazionidi sicurezza

OpzioneT rasferimentocerticato digitale

OpzioneModicastatochipdisicurezza

OpzioneCancellabloccochipdi sicurezza

OpzionePolicymanager

OpzioneRipristino/Congurazione impostazioni

OpzionePasswordmanager

OpzioneRipristinopasswordhardware

OpzioneRecuperopasswordWindows

OpzioneModicadellemodalitàdi autenticazione

OpzioneAbilitazione/Disabilitazione recuperopasswordWindows

OpzioneAbilitazione/Disabilitazione PasswordManager

Mostra,disabilitaonascondel'opzionesoftwareFingerprint nell'applicazioneClientSecuritySolution.Predenito:Mostra.

SecuritySolution.Predenito:Mostra. Mostra,disabilitaonascondel'opzioneControlloimpostazionidisicurezza

nell'applicazioneClientSecuritySolution.Predenito:Mostra. Mostra,disabilitaonascondel'opzioneTrasferimentocerticatodigitale

nell'applicazioneClientSecuritySolution.Predenito:Mostra. Mostra,disabilitaonascondel'opzioneModicastatochipdisicurezza

nell'applicazioneClientSecuritySolution.Predenito:Mostra. Mostra,disabilitaonascondel'opzioneCancellabloccochipdisicurezza

nell'applicazioneClientSecuritySolution.Predenito:Mostra. Mostra,disabilitaonascondel'opzionePolicymanagernell'applicazione

ClientSecuritySolution.Predenito:Mostra. Mostrare,disabilitareonasconderel'opzioneProceduraguidatadi

congurazionenell'applicazioneClientSecuritySolution.Predenito: Mostra.

Mostra,disabilitaonascondel'opzionePasswordmanager nell'applicazioneClientSecuritySolution.Predenito:Mostra.

Mostra,disabilitaonasconderel'opzioneRipristinopasswordhardware nell'applicazioneClientSecuritySolution.Predenito:Mostra.

Mostra,disabilitaonascondel'opzioneRecuperopasswordWindows nell'applicazioneClientSecuritySolution.Predenito:Mostra.

Mostra,disabilitaonascondel'opzioneModicamodalitàdiautenticazione nell'applicazioneClientSecuritySolution.Predenito:Mostra.

Mostra,disabilitaonascondel'opzioneperabilitareodisabilitareil recuperopasswordWindowsnell'applicazioneClientSecuritySolution. Predenito:Mostra.

Mostra,disabilitaonascondel'opzioneperabilitareodisabilitarePassword Managernell'applicazioneClientSecuritySolution.Predenito:Mostra.

Strumentoperlasicurezzadellastazionedilavoro

Laseguentetabellafornisceleimpostazionideicriteriperlostrumentoperlasicurezzadellastazionedi lavoro.

Tabella24.Congurazionecomputer➙ThinkVantage➙ClientSecuritySolution➙Strumentodiprotezione workstation

CriterioImpostazioneDescrizione

PasswordhardwarePasswordhardware

PasswordhardwarePassworddiaccensione

Passwordhardware

PasswordhardwarePasswordamministratore

Passworddiscosso

44ClientSecuritySolution8.21Guidaalladistribuzione

Abilitaodisabilitalavisualizzazionedelleinformazioni relativeallepasswordhardware.

Selezionare,asecondadelcaso,seabilitare,disabilitareo ignorarequestaimpostazione.

Tabella24.Congurazionecomputer➙ThinkVantage➙ClientSecuritySolution➙Strumentodiprotezione workstation(continua)

CriterioImpostazioneDescrizione

Passwordutenti Windows

Criteriopassword Windows

SalvaschermoSalvaschermo

Salvaschermo

SalvaschermoTimeoutSalvaschermoImpostazionedell'etàmassimadellapassword-numerodi

CondivisioneleCondivisionele

Condivisionele ClientSecurityClientSecurity

ClientSecurityChipdisicurezzaintegratoSelezionare,asecondadelcaso,seabilitare,disabilitareo

ClientSecurityVersionedellaClientSecurity

PasswordutentiWindows

Password

Duratapassword

Nessunascadenza password

CriteriopasswordWindows

Numerominimodicaratteri presentinellapassword

EtàmassimapasswordImpostazionedell'etàmassimadellapassword-numerodi

Impostazionepassword salvaschermo

AccessoautorizzatoIvaloripossibiliconsigliatisono'Vero','Falso'o'Ignora'.

Solution

Abilitaodisabilitalavisualizzazionedelleinformazioni relativeallepassworddegliutentiWindows.

Selezionare,asecondadelcaso,seabilitare,disabilitareo ignorarequestaimpostazione.

Numeromassimodigiornipercuièvalidalapassword.

Ivaloripossibiliconsigliatisono'Vero','Falso'o'Ignora'.

Abilitaodisabilitalavisualizzazionedelleinformazioni relativeaicriteridellapasswordWindows.

Numerominimodicaratteridicuipuòesserecompostala passwordoutilizzareilvalore'Ignora'.

giornioutilizzare'Ignora'neipropririsultati. Abilitaodisabilitalavisualizzazionedelleinformazioni

relativeaicriteridellapasswordWindows. Numerominimodicaratteridicuipuòesserecompostala

passwordoutilizzareilvalore'Ignora'.

giornioutilizzare'Ignora'neipropririsultati. Abilitaodisabilitalavisualizzazionedelleinformazioni

relativeallacondivisionele.

Abilitaodisabilitalavisualizzazionedelleinformazioni relativeallaClientSecurity.

ignorarequestaimpostazione. ImpostarelaversioneminimaconsigliatadellaClient

SecuritySolutionoimpostare'Ignora'.

Aggiornamentoattivo

ActiveUpdateèunatecnologiaeSupportcheutilizzaiclientdiaggiornamentosulsistemalocaleper distribuireipacchettidesideratisulwebsenzaalcunainterazionedapartedell'utente.ActiveUpdate interrogaiclientdiaggiornamentodisponibilieutilizzailclienteaggiornatoperinstallareilpacchetto desiderato.ActiveUpdateavvieràThinkVantageSystemUpdateoSoftwareInstallersulsistema.

PerdeterminareseilProgrammadilanciodiaggiornamentoattivovieneinstallato,controllarel'esistenza dellaseguentechiavediregistro:

HKLM\software\lenovo\ActiveUpdate

PerchiamareActiveUpdate,ilThinkVantagechiamantedevelanciareilprogrammaActiveUpdateLauncher epassareunlediparametri.(ConsultareFilediparametriActiveUpdateperunadescrizionedelledei parametri).

PerdisabilitarelavocedimenuActiveUpdateLauncherdalmenuGuidapertuttiiprogrammiThinkVantage:

1.AccedereallachiavediregistroHKLM\software\lenovo\ActiveUpdate.

Capitolo3.GestionediClientSecuritySolution45

2.RidenominareoeliminarelachiaveActiveUpdate.

Filediparametrodiaggiornamentoattivo

IllediparametrodiAggiornamentoattivocontieneleimpostazionidapassareadAggiornamentoattivo.Il parametroTargetAppvienetrasmessocomemostratoinquestoesempio:

<root>

<TargetApp>ACCESSLENOVO</T argetApp> </root> <root>

46ClientSecuritySolution8.21Guidaalladistribuzione

Capitolo4.UtilizzodiThinkVantageFingerprintSoftware

Laconsoleperimprontedigitalideveessereeseguitadallacartelladiinstallazionedelsoftwareper improntedigitali.LasintassidibaseèFPRCONSOLE[USER|SETTINGS].IlcomandoUSERoSETTINGS specicalamodalitàoperativacheverràutilizzata.Ilcomandocompletoè“fprconsoleuseraddTestUser”. Quandoilcomandononènotooppurenontuttiiparametrisonospecicati,l'elencodicomandibrevi vienevisualizzatoassiemeaiparametri.

PerscaricareFingerprintSoftwareelaconsoledigestione,visitareilsitoWebLenovo: http://www.lenovo.com/support/site.wss/document.do?sitestyle=lenovo&lndocid=HOME-LENOVO

StrumentoConsoledigestione

Questasezionefornisceinformazionisucomandispecicidell'utenteecomandidiimpostazioniglobali.

Comandispecicidell'utente

Peraggiungereomodicaregliutenti,siutilizzalasezioneUSER.Quandol'utentecorrentenondispone deidirittidiamministratore,lafunzionalitàdellaconsoledipendedallamodalitàdisicurezzadelsoftware perimprontedigitali.Modalitàsicura:nonèconsentitoalcuncomando.Modalitàpratica:sonoconsentitii comandiADD,EDITeDELETEperl'utentestandard.Tuttavia,l'utentepuòmodicaresoloilproprioaccount Passport(seiscrittoconilproprionomeutente).Lasintassièlaseguente:

FPRCONSOLEUSERcommand

dovecomandoèunodeiseguenticomandi:ADD,EDIT,DELETE,LIST,IMPORT,EXPORT.

Tabella25.Comandispecicidell'utente

ComandoSintassiDescrizione

Iscrivinuovoutente

Example:

fprconsoleuseradd

domain0\testuser

fprconsoleuseradd

testuser

Modicautenteiscritto

Example:

fprconsoleuseredit

domain0\testuser

fprconsoleuseredit

testuser

Eliminaunutente

Example:

fprconsoleuserdelete

domain0\testuser

fprconsoleuserdelete

testuser

fprconsoleuserdelete

/ALL

ADD[username[|domain\ username]]

EDIT[username[|domain\ username]]

DELETE[username[|domain\ username|/ALL]]

Seilnomeutentenonèspecicato, vieneutilizzatoilnomeutentecorrente.

Seilnomeutentenonèspecicato, vieneutilizzatoilnomeutentecorrente. Nota:L'utenteiscrittodovrà innanzituttovericarelapropria impronta.

L'indicatore/ALLeliminatuttigliutenti registratisuquestocomputer.Seil nomeutentenonèspecicato,viene allorautilizzatoilnomeutentecorrente.

©CopyrightLenovo2008,2012

Tabella25.Comandispecicidell'utente(continua)

ComandoSintassiDescrizione

NumeraregliutentiregistratiListElencagliutentiiscritti. Esportarel'utenteiscrittoinun

le

Importautenteiscritto

Syntax:EXPORTusername [|domain\username]le

Syntax:IMPORTle

Questocomandoesportaunutente iscrittoinunlepresentesull'HDD. L'utentepotràpoiessereimportato tramiteilcomandoIMPORTsudiun altrocomputerosullostessocomputer, sel'utentevienecancellato.

Ilcomandoimportal'utentedalle specicato. Nota:sel'utentenelleègiàiscritto sullostessocomputerutilizzandole stesseimpronte,nonsigarantisce qualeutenteavràlaprecedenza nell'operazionediidenticazione.

Comandidiimpostazioniglobali

LeimpostazioniglobalidelSoftwareFingerprintpossonoesseremodicatedallasezioneIMPOSTAZIONI. Tuttiicomandicontenutiinquestasezionenecessitanodeidirittidiamministratore.Lasintassiè:

FPRCONSOLESETTINGScommand

dovecommandèunodeiseguenticomandi:SECUREMODE,LOGON,CAD,TBX,SSO.

Tabella26.Comandidiimpostazioniglobali

ComandoSintassiDescrizione

Modalitàdisicurezza

Example:

Tosettoconvenientmode: fprconsolesettings securemode0

Tipodiaccesso

MessaggioCTRL+ALT+DEL

Sicurezzaattiva

Collegamentosingolodisicurezza attivo

SECUREMODE0|1

LOGON0|1[/FUS]

CAD0|1

TBX0|1

SSO0|1

Questaimpostazionepassadallamodalità utileesicuradelsoftwareperimpronte digitali.

Questaimpostazioneabilita(1)odisabilita (0)l'applicazionediaccesso.Seil parametro/FUSvieneutilizzato,l'accesso vieneabilitatonellamodalitàPassaggio utenterapidoselacongurazionedel computerloconsente.

Questaimpostazioneabilita(1)odisabilita(0) iltestoPremereCtrl+Alt+Cancall'accesso.

Questaimpostazionedisattivaglobalmente (0)ilsupportodisicurezzaattivonel softwareperimprontedigitali.Quandoil supportodisicurezzaattivovienedisattivato nessunaproceduraguidatadisicurezza attivaopaginavienemostrataenonimporta qualisonoleimpostazioniBIOS.

Questaimpostazioneabilita(1)odisabilita(0) l'utilizzodiimpronteutilizzateinBIOS all'accessoperfarautomaticamente accederel'utentequandoèstatovericato inBIOS.

48ClientSecuritySolution8.21Guidaalladistribuzione

Modalitàsicuraemodalitàutile

Ilsoftwareperimprontedigitalipuòessereeseguitoinduemodalitàdisicurezza,unamodalitàsicuraeuna modalitàutile.Lamodalitàsicuraèpensatapersituazioniincuisidesideraottenereunlivellodisicurezzapiù alto.Lefunzionispecialisonoriservatesoloagliamministratori.Sologliamministratoripossonoaccedere tramitepasswordsenzaulterioriautenticazioni.

Lamodalitàutilepericomputerdicasaincuiunaltolivellodisicurezzanonècosìimportante.Tuttigliutenti effettuanotutteleoperazioni,compresalamodicadiaccountPassportdialtriutentielapossibilitàdi accederealsistemautilizzandolapassword(senzaautenticazionediimpronta).

Peramministratoresiintendeunqualsiasimembrodiungruppolocalediamministratori.Dopoaver impostatolamodalitàsicurasolol'amministratorepotràriportarlaallamodalitàutile.

Modalitàsicura-amministratore

Perunamaggioresicurezza,seduranteleoperazionidiaccessovengonodigitatinomeutenteopassword errati,lamodalitàsicuramostreràilseguentemessaggio:“Sologliamministratoripossonoaccederea questocomputerconnomeutenteepassword.”

Tabella27.Opzioniperamministratorinellamodalitàsicura

ImpronteDescrizione

CreaunnuovoaccountPassportGliamministratoripossonocreareilproprioaccount

Passportecreareilpassaportodiunutentecon limitazioni.

ModicaaccountPassport

EliminaaccountPassport

SicurezzaattivaGliamministratoripossonocancellareleimpronte

Impostazioni

Impostazionidiaccesso

ScreensaverprotettoGliamministratoripossonoaccedere

TipodiaccountPassport

ModalitàdisicurezzaGliamministratoripossonopassaredallamodalitàsicura

ServeravanzatiGliamministratoripossonoaccedere-solorelativial

Gliamministratoripossonomodicaresoloilproprio accountPassport.

Gliamministratoripossonoeliminaretuttigliaccount Passportdiutenteconlimitazioniealtriamministratori. Seglialtriutentiutilizzanounasicurezzaattiva, l'amministratorepotràrimuovereimodellidell'utentedalla sicurezzaattivaallostessotempo.

utilizzatedall'utenteconlimitazioniedall'amministratore all'attivazione. Nota:quandolamodalitàdiattivazioneèoperativa,deve esserepresentealmenoun'impronta.

Gliamministratoripossonoapportaremodicheatutte leimpostazionidiaccesso

Gliamministratoripossonoaccedere-solorelativial server.

aquellautileeviceversa.

server.

Capitolo4.UtilizzodiThinkVantageFingerprintSoftware49

Modalitàsicura-utenteconlimitazioni

NelcorsodiunaccessoaWindows,unutenteconlimitazionideveutilizzareun'improntadigitaleper accedere.Seillettorediimprontedigitalidell'utenteconlimitazioninonfunziona,sarànecessariocheun amministratoremodichileimpostazionidelsoftwarediimprontedigitalicongurandolamodalitàutile,per consentirel'accessotramitenomeutenteepassword.

Tabella28.Opzioniperutenticonlimitazioninellamodalitàsicura

ImpostazioneDescrizione

CreaunnuovoaccountPassportL'utenteconlimitazioninonpuòaccedere ModicaaccountPassport

EliminaaccountPassport

SicurezzaattivaL'utenteconlimitazioninonpuòaccedere Impostazionidiaccesso

ScreensaverprotettoL'utenteconlimitazionipuòaccedere TipodiaccountPassport

ModalitàdisicurezzaL'utenteconlimitazioninonpuòmodicarelemodalità

ServeravanzatiL'utenteconlimitazionipuòaccedere.Siapplicasolo

L'utenteconlimitazionipuòmodicaresoloilproprio accountPassport

L'utenteconlimitazionipuòeliminaresoloilproprio accountPassport

L'utenteconlimitazioninonpuòmodicareleimpostazioni diaccesso

L'utenteconlimitazioninonpuòaccedere

disicurezza

alserver.

Modalitàutile-amministratore

DuranteunaccessoaWindows,gliamministratoripossonoaccedereutilizzandoilnomeutenteela passwordol'improntadigitale.

Tabella29.Opzioniperamministratorinellamodalitàconveniente

ImpostazioniDescrizione

CreaunnuovoaccountPassportGliamministratoripossonocrearesoloilproprioaccount

Passport.

ModicaaccountPassport

EliminaaccountPassport

SicurezzaattivaGliamministratoripossonocancellareleimpronte

Impostazionidiaccesso

ScreensaverprotettoGliamministratoripossonoaccedere TipodiaccountPassport

Gliamministratoripossonomodicaresoloilproprio accountPassport.

Gliamministratoripossonocancellaresoloilproprio accountPassport.

utilizzatedall'utenteconlimitazioniedall'amministratore all'attivazione. Nota:deveessercialmenoun'improntapresentequando èattivatalamodalitàattiva.

Gliamministratoripossonoapportaremodicheatutte leimpostazionidiaccesso

Gliamministratoripossonoaccedere-solorelativial server.

50ClientSecuritySolution8.21Guidaalladistribuzione

Tabella29.Opzioniperamministratorinellamodalitàconveniente(continua)

ImpostazioniDescrizione

ModalitàdisicurezzaGliamministratoripossonopassaredallamodalitàsicura

aquellautileeviceversa.

ServeravanzatiGliamministratoripossonoaccedere-solorelativial

server.

Modalitàutile-utenteconlimitazioni

DuranteunaccessoaWindows,gliutenticonlimitazionipossonoaccedereutilizzandoilproprionome utenteepasswordoppurelapropriaimprontadigitale.

Tabella30.Opzioniperutenticonlimitazioninellamodalitàconveniente

ImpostazioniDescrizione

CreaunnuovoaccountPassportGliutenticonlimitazionipossonocrearesololapropria

password.

ModicaaccountPassport

EliminaaccountPassport

SicurezzaattivaGliutenticonlimitazionipossonoeliminaresololeproprie

Impostazionidiaccesso

ScreensaverprotettoGliutenticonlimitazionipossonoaccedere

TipodiaccountPassport

ModalitàdisicurezzaGliutenticonlimitazioninonpossonomodicarele

ServeravanzatiGliutenticonlimitazionipossonoaccedere-solorelativi

Gliutenticonlimitazionipossonomodicaresoloil proprioaccountPassport

Gliutenticonlimitazionipossonocancellaresoloilproprio accountPassport.

impronte. Gliutenticonlimitazioninonpossonomodicarele

proprieimpostazionidiaccesso.

Gliutenticonlimitazioninonpossonoaccedere-solo relativialserver

modalitàdisicurezza

alserver

Impostazionicongurabili

Alcuneopzionidelsoftwarediimprontedigitalipossonoessereconguratetramiteleimpostazionidiregistro.

•Interfacciasoftwaredipreavvio/accensione:ilmeccanismoperl'abilitazionedelsupportodi accensioneodipreavvioconimprontedigitaliedimemorizzazioneditaliimprontesulchipassociato generalmentenonvienevisualizzatonelsoftwareperimprontedigitali,amenochesulsistemanon sianostateimpostatepassworddelBIOSodeldiscosso.Persovrascriveretalefunzionalitàeforzare lavisualizzazioneditaliopzionisenzal'esistenzadellepassworddelBIOSodell'unitàdiscosso, aggiungereunadelleseguentistringhealregistro(asecondadeltipodicomputerinuso):

[HKEY_LOCAL_MACHINE\SOFTWARE\ProtectorSuiteQL\1.0]

EG_DWORD"BiosFeatures"=2

[HKEY_LOCAL_MACHINE\SOFTWARE\ProtectorSuiteQL\1.0]

REG_DWORD"BiosFeatures"=4

Capitolo4.UtilizzodiThinkVantageFingerprintSoftware51

QuestaimpostazioneèutilequandoSafeGuardEasyèinstallatosuunsistemasenzapasswordBIOSe utilizzal'autenticazionetramiteimprontedigitaliperdecodicareildiscosso.

•Segnalisonori:ilsoftwarediimprontedigitalipuòessereconguratoperriprodurreunsuonocontenuto inunle.wavinvariecircostanzeduranteilprocessodiautenticazioneimprontedigitali.Leimpostazioni diregistropertalisegnalisonorisonoleseguenti:

[HKEY_LOCAL_MACHINE\SOFTWARE\ProtectorSuiteQL\1.0\settings]

‘Success ’ REG_SZ“sndSuccess”=[pathtosoundle] Theledesignatedwillplaywheneverasuccessfulswipeisregistered.

Failure’ REG_SZ“sndFailure”=[pathtosoundle] Theledesignatedwillplaywheneveranunsuccessfulswipeisattempted.

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\ngerprint

Scan’ REG_SZ“sndScan”=[pathtosoundle] Theledesignatedwillplaywheneverthengerprintverication

dialogisdisplayedf orClientSecuritySolution-relatedoperations.

Ifthevalueisnotpresentorisemptythennosoundisplayed.

Quality’ REG_SZ“sndQuality”=[pathtosoundle] Theledesignatedwillplaywheneveranunreadableswipehasoccurred. Ifthevalueisnotpresentorisemptythennosoundisplayed.

•Convalidadellapassworddurantelosbloccodelsistema:perimpostazionepredenita,ilsoftware perimprontedigitaliconvalidalapasswordmemorizzatadurantelosbloccodelsistema.Pereseguirela convalida,ènecessariocontattareilcontrollerdidominioepotrebbevericarsiunritardo.Perevitare talesituazione,disabilitarelaconvalidadellepassworddurantelosbloccodelsistemaemodicandoil registronelmodoseguente:

[HKEY_LOCAL_MACHINE\SOFTWARE\ProtectorSuiteQL\1.0\settings] REG_DWORD"DoNotT estUnlock"=1

Ilsoftwareperimprontedigitalicontinueràaconvalidarelapasswordall'accessodelsistema.

Nota:quandolasuddettachiavediregistroèimpostatasu1,sel'amministratoredidominiomodicala passworddell'utentequandoilsistemadell'utenteèbloccato,ilsoftwareperimprontedigitalidisporrà dellaprecedentepasswordmemorizzatanoalloscollegamentoealnuovocollegamentodell'utente.

SoftwareperimprontedigitalieNovellNetwareClient

PerevitareconittiènecessariocheinomiutenteelepassworddelsoftwareperimprontedigitalieNovell NetwareClientcorrispondano.Sesidisponediunsoftwareperimprontedigitaliinstallatosulcomputer installareNovellNetwareClient,alcunevocinelregistropotrebberoesseresovrascritte.Sesiincontrano problemidiaccessoalsoftwareperimprontedigitali,andarenelpannellodelleimpostazionidiAccessoe riabilitareilProtettorediaccesso.

SesidisponediNovellNetwareClientinstallatosulpropriocomputermanoncisièregistratinelclientprima diinstallareilsoftwareperimprontedigitali,verràvisualizzatalaschermatadiaccessodiNovell.Fornirele informazionirichiestedallaschermata.

Nota:leinformazioniriportateinquestasezionesiapplicanosoltantoaThinkVantageFingerprintSoftware.

PercambiareleImpostazionidelProtettorediaccesso:

•Avviareilcentrodicontrollo.

52ClientSecuritySolution8.21Guidaalladistribuzione

•FareclicsuImpostazioni.

•FareclicsuImpostazionidiaccesso.

•AbilitareodisabilitareilProtettorediaccesso.Sesidesiderautilizzarel'accessotramiteimprontedigitali, selezionarelacaselladicontrolloSostituisciaccessoWindowsconaccessoprotettodaimprontedigitali.

Nota:perabilitareedisabilitareLogonProtectorènecessariounriavvio.

•Abilitareodisabilitareilpassaggioutenterapido,quandosupportatodalsistema.

•(Funzioneopzionale)Abilitareodisabilitarel'accessoautomaticoperunutenteautenticatodallasicurezza dell'avvioattivo.

•ImpostareleimpostazionidiaccessoaNovell.Leseguentiimpostazionisonodisponibiliquandosi accedeallareteNovell:

–Attivata

FingerprintSoftwarefornisceautomaticamentelecredenzialinote.Sel'accessoaNovellnonriesce, laschermatadiaccessoalclientNovellvienevisualizzatainsiemeaunarichiestadiinserimentodi daticorretti.

–Chiedidurantel'accesso

IlsoftwareperimprontedigitalivisualizzalaschermatadiaccessoaNovellClienterichiedediinserirei datidiaccesso.

–Disabilitata

Ilsoftwareperimprontedigitalinoneffettual'accessoaNovell.

Autenticazione

CompletareleseguentiprocedureperpassareNovellalsoftwareperimprontedigitali:

1.Installareilsoftwareperimprontedigitali.

2.InstallareNovellNetwareClient.

3.Quandovienerichiesto,fareclicsuSìperaccedere.

4.Riavviare.

5.Quandovienerichiesto,fareclicsuSìperaccederealsoftwareperimprontedigitali.

6.AvviareNovellNetwareClient.

7.Autenticareilserver.

8.AccedereaWindows.

9.Riavviare.

Nota:l'IDdiautenticazioneelapassworddiWindowseNovelldevonoessereidentici.

ServizioThinkVantageFingerprintSoftware

Ilservizioupeksvr.exevieneaggiuntoalsistemadopol'installazionediThinkVantageFingerprintSoftware.Il serviziovieneeseguitoall'avvioesuccessivamenteadogniaccessodell'utente.Ilservizioupeksvr.exeè l'elementocentralediThinkVantageFingerprintSoftwareedeseguetutteleoperazioniconildispositivoei datidell'utente.MostrainoltrelaGUIdivericabiometricaefornisceaccessosicuroaidatidell'utente.

Capitolo4.UtilizzodiThinkVantageFingerprintSoftware53

54ClientSecuritySolution8.21Guidaalladistribuzione

Capitolo5.UtilizzodiLenovoFingerprintSoftware

LaconsoleperimprontedigitalideveessereeseguitadallacartelladiinstallazionediLenovoFingerprint Software.LasintassidibaseèFPRCONSOLE[USER|SETTINGS].IlcomandoUSERoSETTINGSspecica qualegruppodioperazioneverràutilizzato.Ilcomandocompletoè“fprconsoleuseraddTestUser”. Quandoilcomandononènotooppurenontuttiiparametrisonospecicati,l'elencodicomandibrevi vienevisualizzatoassiemeaiparametri.

StrumentoConsoledigestione

PerinformazionisullostrumentoConsoledigestionediLenovoFingerprintSoftware,consultare“Strumento Consoledigestione”apagina47perriferimento.

ServizioLenovoFingerprintSoftware

Nota:LenovoFingerprintSoftwarerichiedeilservizioterminalesulsistema.Sesidisattivailservizio

terminale,èpossibilechesiverichinodeirisultatiimprevistiinLenovoFingerprintSoftware.

Dopol'installazionediLenovoFingerprintSoftware,vengonoaggiuntiiseguentiservizialsistema:

•ATService.exe(attivoperimpostazionepredenita) Perutilizzareilsistemadiimprontedigitali,ènecessarioattivareilservizioATService.exe.Taleservizio gestiscelerichiestedaapplicazionicheutilizzanoilsensoreperimprontedigitali.

•ADMonitor.exe(disattivoperimpostazionepredenita) PersupportarelagestionediActiveDirectory,ènecessarioattivareilservizioADMonitor.exe.T ale serviziomonitorailregistroallaricercadieventualimodichepropagatedaActiveDirectoryeriporta lemodichealivellolocale.

SupportoActiveDirectoryperLenovoFingerprintSoftware

LaseguentetabellamostraleimpostazionidipoliticaperLenovoFingerprintSoftware.

Tabella31.Impostazionicriterio

ImpostazioneDescrizione

Abilita/disabilitaaccessotramiteimprontedigitaliConsentedispecicarel'utilizzodellettorediimpronte

digitalianzichédellepassworddiWindowsperaccedere alcomputer.Sesiabilitataleimpostazione,èpossibile abilitareodisabilitarealtredueopzioni:

•DisabilitanestradidialogoCTRL+AL T+CANCper interfacciadiaccesso Sesiselezionaquestaopzione,ilmessaggiocheindica all'utentedipremereCTRL+ALT+CANCperaccedereè disabilitato.(DisponibilesoltantoinWindowsXP).

•Richiediall'utentenonamministratorediaccederecon autenticazionedelleimprontedigitali Sesiselezionaquestaopzione,gliutentinon amministratoripotrannoaccederesoltantotramiteil lettoredelleimprontedigitali.

Consentiall'utentedirichiamarelapasswordtramite autenticazionedelleimprontedigitali

Sesiabilitataleimpostazione,gliutentipotranno visualizzarelapassworddiWindowsperilloroaccountin LenovoFingerprintSoftwaredopol'autenticazionetramite improntedigitali.

Tabella31.Impostazionicriterio(continua)

ImpostazioneDescrizione

Mostrasempreopzionidiprotezioneaccesso

Utilizzaautenticazionetramiteimprontedigitalianziché passworddiaccensioneedell'unitàdiscosso

Impostanumeroditentativinonriuscitiprimadieseguire unblocco

ImpostatimeoutinattivitàImpostaladuratadell'inattivitàdelsistema,insecondi,

ConsentiagliutentidiregistrareleimprontedigitaliSesiabilitataleimpostazione,gliutentinonamministratori

ConsentiagliutentidicancellareleimprontedigitaliSesiabilitataleimpostazione,gliutentinonamministratori

Consentiagliutentidiimportare/esportareleimpronte digitali

Mostra/NascondielementinellaschedaImpostazionidel softwareperimprontedigitali

Sesiabilitaquestaimpostazione,gliutentipotranno selezionarel'utilizzodellettoreperimprontedigitali anzichédellepassworddiaccensioneedell'unitàdisco ssoquandoilcomputerèacceso.Nellanestradi registrazionediLenovoFingerprintSoftware,èpossibile abilitareodisabilitarel'autenticazionetramiteimpronte digitalidiaccensioneperciascunaimprontaregistrata.

Sesiabilitataleimpostazione,verràutilizzata l'autenticazionetramiteimprontedigitalianzichéle passworddiaccensioneedell'unitàdiscosso.

Impostailnumeroditentativinonriusciticonsentitiprima chel'utentevengabloccatoemostraladurataditale blocco,insecondi.

consentitoprimachel'utentevengascollegato.

potrannoregistrareleloroimprontedigitalitramiteLenovo FingerprintSoftware.

potrannocancellareleimprontedigitaliprecedentemente registratetramiteLenovoFingerprintSoftware.

Sesiabilitataleimpostazione,gliutentinon amministratoripotrannoimportare/esportareleimpronte digitaliprecedentementeregistratetramiteLenovo FingerprintSoftware.

Sesiabilitataleimpostazione,gliamministratoriIT potrannocontrollarelaGUIdiimpostazionidelsoftware perimprontedigitali.

56ClientSecuritySolution8.21Guidaalladistribuzione

Capitolo6.Procedureottimali

InquestocapitolovengonopresentatiscenaricheillustranoleprocedureottimalidiClientSecuritySolution ediFingerprintSoftware.Questasituazioneiniziaconlacongurazionedell'unitàdeldiscosso,continua condiversiaggiornamentiesegueilciclodiduratadiunadistribuzione.Vienedescrittal'installazionesu computerLenovoenon.

Esempididistribuzioneperl'installazionediClientSecuritySolution

LaseguentesezionefornisceesempidiinstallazionediClientSecuritySolutionsucomputerdesktope notebook.

Scenario1

Questoèunesempiodiinstallazionesuuncomputerdesktop,cheutilizzaiseguentirequisitiipotetici delcliente:

•Amministrazione –Utilizzarel'accountdiamministratorelocaleperlagestionedelcomputer.

•ClientSecuritySolution –InstallareedeseguireinModalitàemulazione.

–NontuttiisistemiLenovodispongonodiunTrustedPlatformModule(chipdisicurezza).

–AbilitarelafrasediaccessodiClientSecurity.

–ProteggereleapplicazioniClientSecuritySolutionconunafrasediaccesso.

–Abilitarel'accessodiClientSecurityaWindows.

–AccedereaWindowsconlafrasediaccessoClientSecurity.

–Abilitarelafunzionalitàdiripristinodellafrasediaccessodell'utentenale.

–Consentireagliutentidirecuperarelapropriafrasediaccessorispondendoatredomandedenite

dallostessoutente.

–CodicareloscriptXMLdiClientSecuritySolutionconpassword=“XMLscriptPW”.

–LapasswordproteggeilledicongurazionediClientSecuritySolution.

–L'installazionedelsoftwareperimprontedigitalièfacoltativa.

Sulcomputerdipreparazione:

1.Accedereconl'accountdiamministratorelocalediWindows.

2.InstallareilprogrammaClientSecuritySolutionconleseguentiopzioni:

ClientSecuritySolution:tvtcss82_xxxx.exe/s/v"/qn“EMULATIONMODE=1”

(doveXXXXèl'IDbuild)

“NOCSSWIZARD=1””

3.Dopoilriavvio,accedereconl'accountdiamministratorelocalediWindowsepreparareloscriptXML perladistribuzione.Dallarigacomandi,eseguirequestocomando:

“C:\ProgramFiles\Lenovo\ClientSecuritySolution\css_wizarde.exe” /name:C:\ThinkCentre

Selezionareleseguentiopzioninellaproceduraguidata:

•FareclicsuMetododiaccessosicuro➙Avanti.

•DigitarelapassworddiWindowsperl'accountdiamministratoreefareclicsuAvanti.(WPW4Admin adesempio)

•DigitarelafrasediaccessodiClientSecurity(adesempio,CSPP4Admin)perl'accountdi amministratore,selezionarelacasellaUtilizzarelafrasediaccessodiClientSecurityper proteggerel'accessoall'areadilavoroRescueandRecoveryefareclicsuAvanti.

•Selezionaretredomandeerisposteperl'accountdiamministratoreefareclicsuAvanti. a.Qualerailnomedeltuoprimoanimaledomestico?

(Adesempio,Fido).

b.Qualèiltuolmpreferito?

(Adesempio,Viacolvento).

c.Qualèlatuasquadrapreferita?

(Adesempio,Inter).

•VericareilriepilogoeselezionareApplicaperscrivereilleXMLnellaseguenteposizione C:\ThinkCentre.xmlefareclicsuApplica.

•FareclicsuFineperchiuderelaproceduraguidata.

4.Aprireilseguenteleinuneditorditesto(glieditordiscriptXMLoMicrosoftWord2003hanno funzionalitàdiformatoXMLintegrate)emodicareleseguentiimpostazioni:

•Rimuoveretuttiiriferimentinell'impostazioneDominio.Questaoperazioneindicaalloscriptdi

utilizzareilnomedelcomputerlocalesuognisistema.Salvareille.

5.UtilizzarelostrumentodisponibileinC:\ProgramFiles\Lenovo\ClientSecurity Solution\xml_crypt_tool.exepercodicareloscriptXMLconunapassword.Pereseguireilledaun promptdeicomandi,utilizzarelaseguentesintassi:

a.xml_crypt_tool.exeC:\ThinkCentre.xml/encryptXMLScriptPW. b.IllesichiameràoraC:\ThinkCentre.xml.enceverràprotettodallapassword=XMLScriptPW.

IlleC:\ThinkCentre.xml.encadessoèprontoperessereaggiuntoalcomputerdidistribuzione.

Sulcomputerdidistribuzione:

1.Accedereconl'accountdiamministratorelocalediWindows.

2.InstallareiprogrammiRescueandRecoveryeClientSecuritySolutionconleseguentiopzioni:

setup_tvtrnr40_xxxxcc.exe/s/v"/qn“EMULATIONMODE=1”

(dovexxxxèl'IDdicreazioneeccèilcodicepaese).

“NOCSSWIZARD=1””

Note:

a.Assicurarsicheile.tvt,comeZ652ZIXxxxxyy00.tvtperWindowsXPoZ633ZISxxxxyy00.tvtper

WindowsVista,(dovexxxxèl'IDdicreazioneeyyèl'IDpaese)sitrovinonellastessadirectorydelle eseguibile,altrimentil'installazionenonverràcompletatacorrettamente.

b.Sesiesegueun'installazionedigestione,vedere“Scenario1”apagina57.

3.Dopoilriavvio,accedereconl'accountdiamministratorelocalediWindows.

4.AggiungereilleThinkCentre.xml.encpreparatoinprecedenzaalladirectoryC:\root.

5.PreparareilcomandoRunOnceExconiseguentiparametri.

•AggiungereunanuovachiaveallachiaveRunonceExdenominata0001.Deveessere:

HKEY_LOCAL_MACHINE\Sof tware\Microsoft\Windows\CurrentVersion\RunOnceEx\0001

•InquellachiaveaggiungereunnomevalorestringaCSSEnrollconilvalore:

"C:\ProgramFiles\Lenovo\ClientSecuritySolution\vmserver.exe" C:\ThinkCenter .xml.encXMLscriptPW

58ClientSecuritySolution8.21Guidaalladistribuzione

6.Eseguire%rr%C:\ProgramFiles\Lenovo\RescueandRecovery\rrcmd.exe“sysprepbackuplocation=L name=”SysprepBackup.Dopoaverpreparatoilsistema,vienevisualizzatoilseguenteoutput:

***************************************************** **Readytotakesysprepbackup.** **** **PLEASERUNSYSPREPNOWANDSHUTDOWN.** **** **Nexttimethemachineboot s,itwillboot** **tothePredesktopAreaandtakeabackup.** *****************************************************

7.Eseguirel'implementazioneSysprep.

8.Arrestareeriavviareilcomputer.IlprocessodibackupvieneavviatoinWindowsPE.

Nota:vienevisualizzatoilmessaggio:“Ripristinoincorsomasivericaunbackup”.Dopoilbackup, spegnereenonriavviareilcomputer.

IlbackupdibasediSysprepècompleto.

Scenario2

Questoèunesempiodiinstallazionesuuncomputerportatile,cheutilizzaiseguentiipoteticirequisiti delcliente:

•Amministrazione –InstallaresumacchinesucuisonoinstallateversioniprecedentidiClientSecuritySolution.

–Utilizzarel'accountdiamministratoredeldominioperlagestionedelcomputer. –T uttiicomputerhannounapassworddisupervisoreBIOS,BIOSpw.

•ClientSecuritySolution –UtilizzareT rustedPlatformModule.

–T uttelemacchinedispongonodelchipdisicurezza. –AbilitareGestorepassword. –UtilizzarelapassworddiWindowsdell'utentecomeautenticazioneperClientSecuritySolution. –CodicareloscriptXMLdiClientSecuritySolutionconpassword=“XMLscriptPW”.

–LapasswordproteggeilledicongurazionediClientSecuritySolution.

•ThinkVantageFingerprintSoftware –NonsidesiderautilizzarepasswordBIOSediscosso.

–Accedereconilsoftwareperimprontedigitali.

–Dopounperiodoinizialediiscrizioneautomaticadell'utente,l'utentepasseràall'accessoinModalità

sicura,cherichiederàun'improntaperutentinonamministratori,mettendodunqueinattounduplice metododiautenticazione.

–Comprendel'EsercitazioneFingerprint.

–Gliutentinalipossonoapprenderecomeeffettuareinmanieracorrettalaletturadell'impronta

digitaleericevereosservazionisueventualierrori.

Sulcomputerdipreparazione:

1.Quandoilcomputerèspento,accenderloepremereF1perentrareinBIOS,andarealmenudella sicurezza,ecancellareilchipdisicurezza.SalvareeusciredaBIOS.

2.Accedereconl'accountdiamministratoredidominiodiWindows.

Capitolo6.Procedureottimali59

3.InstallareThinkVantageFingerprintSoftware,eseguendof001zpz2001us00.exeperestrarreille setup.exedalpacchettoweb.Inquestomodoillesetup.exeverràautomaticamenteestrattonella seguenteposizione: C:\SWTOOLS\APPS\TFS5.8 .2-Buildxxxx\Application\0409\setup.exe(dovexxxxèl'IDdicreazione).

4.Installarel'esercitazionediThinkVantageFingerprinteseguendof001zpz7001us00.exeperestrarreille tutess.exedalpacchettoweb.Inquestomodoillesetup.exeverràautomaticamenteestrattonella seguenteposizione:

C:\SWTOOLS\APPS\tutorial\TFS5.8.2Buildxxxx\Tutorial\0409\tutess.exe

5.InstallarelaconsoleThinkVantageFingerprinteseguendof001zpz5001us00.exeperestrarreil lefprconsole.exedalpacchettoweb.Eseguendof001zpz5001us00.exe,illesetup.exeverrà automaticamenteestrattonellaseguenteposizione:

C:\SWTOOLS\APPS\fpr_con\APPS\UPEK\FPRConsole\TFS5.8.2-Buildxxx\Fprconsole\fprconsole.exe

6.InstallareilprogrammaClientSecuritySolutionconleseguentiopzioni:

tvtcss82_xxxxcc.exe/s/v”/qnNOCSSWIZARD=1SUPERVISORPW= ”BIOSpw”"

7.Dopoilriavvio,accedereconl'accountdiamministratoredidominioWindowsepreparareloscriptXML perladistribuzione.Eseguireilcomandodallarigacomandi

“C:\ProgramFiles\Lenovo\ClientSecuritySolution\css_wizard.exe” /name:C:\ThinkPad

Selezionareleopzioniseguentinellaproceduraguidata,inmodochecorrispondanoall'esempiodiscript:

•FareclicsuMetododiaccessosicuro➙Avanti.

•DigitarelapassworddiWindowsperl'accountdiamministratoredidominio(adesempio,WPW4Admin)

efareclicsuAvanti.

•DigitarelapassphrasediClientSecurityperl'accountdell'Amministratoredidominio.

•SelezionareIgnoraimpostazionidirecuperopasswordefareclicsuAvanti.

•VericareilriepilogoefareclicsuApplicaperscrivereilleXMLnellaseguenteposizione

C:\ThinkPad.xml

•FareclicsuFineperchiuderelaproceduraguidata.

8.UtilizzarelostrumentodisponibileinC:\ProgramFiles\Lenovo\ClientSecurity Solution\xml_crypt_tool.exepercodicareloscriptXMLconunapassword.Dalpromptdeicomandi, utilizzarelaseguentesintassi:

a.xml_crypt_tool.exeC:\ThinkPad.xml/encryptXML ScriptPW. b.IlleverràdenominatoC:\ThinkPad.xml.enceverràprotettodallapassword=XMLScriptPW.

Sulcomputerdidistribuzione:

1.Utilizzandoglistrumentididistribuzionesoftwaredellapropriaazienda,distribuirel'eseguibilesetup.exe diThinkVantageFingerprintSoftwarecheèstatoestrattodalcomputerdipreparazioneaciascun computerdidistribuzione.Quandosetup.exevienetrasmessosulcomputer,eseguirel'installazione utilizzandoilseguentecomando:

setup.exeCTL CNTR=0/q/i

2.Utilizzandoglistrumentididistribuzionesoftwaredellapropriaazienda,distribuirel'eseguibile (tutess.exe)dell'esercitazionediThinkVantageFingerprintestrattodalcomputerdipreparazione aciascuncomputerdidistribuzione.Quandotutess.exevienetrasmessosulcomputer,installare utilizzandoilseguentecomando:

tutess.exe/q/i

3.Utilizzandoglistrumentididistribuzionesoftwaredellapropriaazienda,distribuirel'eseguibile (fprconsole.exe)dellaconsolediThinkVantageFingerprintestrattodalcomputerdipreparazione aciascuncomputerdidistribuzione.

•Inserireillefprconsole.exenelladirectoryC:\ProgramFiles\ThinkVantageFingerprintSof tware\.

60ClientSecuritySolution8.21Guidaalladistribuzione

•DisattivareilsupportodisicurezzadiaccensionediBIOS,immettendoilseguentecomando:

fprconsole.exesettingsTBX0

4.Utilizzandoglistrumentididistribuzionesoftwaredellapropriaazienda,distribuirel'eseguibile tvtvcss82_xxxx.exediThinkVantageClientSolution(dovexxxxèl'IDdicreazione).

•Quandotvtvcss82_xxxx.exevienetrasmessosulcomputer,eseguirel'installazioneutilizzandoil

seguentecomando:

tvtvcss83_xxxx.exe/s/v"/qn"NOCSSWIZARD=1""SUPERVISORPW="BIOSpw""

•L'installazionedelsoftwareabilitaautomaticamentel'hardwaredelModulodellapiattaforma

afdabile.

5.Dopoaverriavviatoilsistema,congurareilsistemaconillescriptXMLattraversolaprocedura seguente:

•CopiareilleThinkPad.xml.encprecedentementepreparatonelladirectoryC:\.

•Aprireunpromptdicomandidiversoedeseguire

"C:\ProgramFiles\Lenovo\ClientSecuritySolution\vmserver.exe"C:\ThinkPad.xml.encXMLScriptPW

6.Dopoilriavvio,ilsistemaèprontoperlaregistrazionedell'utentediClientSecuritySolution.Ciascun utentepuòaccederealsistemaconilproprioIDutenteelapassworddiWindows.Aogniutente cheaccedealsistemavienerichiestoautomaticamentediregistrarsiaClientSecuritySolutionedi registrarsinellettorediimprontedigitali.

7.DopochetuttigliutentidelsistemasonostatiregistratiinThinkVantageFingerprintSoftware,èpossibile abilitarel'impostazionedellamodalitàsicuraperfarsìchetuttigliutentinonamministratoridiWindows accedanotramiteimprontadigitale.

•Immettereilseguentecomando:

"C:\ProgramFiles\ThinkVantageFingerprintSoftware\fprconsole.exe"settingssecuremode1

•Perrimuovereilmessaggio“PremereCtrl+Alt+Cancperaccederetramitepassword”dallaschermata

diaccesso,immettereilseguentecomando:

"C:\ProgramFiles\ThinkVantageFingerprintSoftware\fprconsole.exesettings" CAD0

LadistribuzionediClientSecuritySolution8.21eThinkVantageFingerprintSoftwareècompleta.

AlternanzatralemodalitàdiClientSecuritySolution

SesipassadallamodalitàutileallamodalitàsicuradiClientSecuritySolutionoviceversaesiutilizza RescueandRecoverypereffettuarebackupdelsistema,eseguireunnuovobackupdibasedopoilcambio dimodalità.

RolloutdiActiveDirectoryaziendale

PerunrolloutdiActiveDirectoryaziendale,attenersiaiseguentipassaggi:

1.Eseguirel'installazionetramiteActiveDirectoryoLANDesk: a.EffettuarebackupeottenerenotichetramiteActiveDirectoryeLANDeskrelativeachiequandoli

haeseguiti.

b.Autorizzarealcunigruppiaeseguirebackup,aeliminarli,nonchéastabilireopzionielimitazioni

password,quindicambiaregruppipervericareseleimpostazionirimangonoinvariateomeno.

c.AttraversoActiveDirectory,abilitareAntidoteDeliveryManager.Impostareipacchettidaeseguiree

vericarel'acquisizionedellenotiche.

InstallazioneautonomaperleCDoscript

Perun'installazioneautonomaperCDolescript,eseguireiseguentipassaggi:

Capitolo6.Procedureottimali61

1.UtilizzareunlebatchperinstallareinmodalitànonpresidiataClientSecuritySolutionelatecnologia Fingerprint.

2.CongurareilripristinodellapasswordBIOSinmodalitànonpresidiata.

SystemUpdate

Perl'aggiornamentodelsistema,procederenelmodoseguente:

1.InstallareClientSecuritySolutionelatecnologiadelsoftwareperimprontedigitalimedianteunserverdi aggiornamentodelsistemapersonalizzatoche,anzichéutilizzareilserverLenovo,simulal'impostazione delserverdiunagrandeazienda,perpotercontrollareilcontenuto.

2.Eseguireunasovrainstallazionedelletrediverseversionidisoftwareprecedenti(RescueandRecovery

1.0/2.0/3.0,Fingerprint,ClientSecuritySolution5.4–6,FFE).Èpreferibilemantenereleimpostazioni quandosiinstallaunanuovaversionesuquellavecchia.

SystemMigrationAssistant

MigraredaT40conClientSecuritySolution7.0aT60conClientSecuritySolution8.21.

Generazionediuncerticatoutilizzandounagenerazionedichiaviin TPM

IcerticatipossonoesseregeneratidirettamentetramiteClientSecurityCSP,mentrelechiaviprivatenei certicativengonogenerateeprotettedaTPM.PerrichiedereuncerticatotramiteClientSecuritySolution CSP,completarelaseguenteprocedura:

Requisiti:

•Sullamacchinaserverènecessarioinstallareiseguenticomponenti: –Windows2003Enterpriseosuccessivo

–ActiveDirectory –Serviziodiun'autoritàdicerticazione

•Lamacchinaclientdevesoddisfareiseguentirequisiti: –TPMabilitata

–ClientSecuritySolutioninstallato

Richiestadiuncerticatodalserver

Creazionediunmodelloperl'utenteTPM

Percreareunmodelloperl'utenteTPM,completarelaseguenteprocedura:

1.FareclicsuStart➙Esegui.

2.ImmetteremmcefareclicsuOK.Vienevisualizzatalanestradellaconsole.

3.DalmenuFilescegliereAggiungi/Rimuovisnap-inefareclicsuAggiungi.Vienevisualizzatala nestraAggiungisnap-inautonomo.

4.FaredoppioclicsuAutoritàdicerticazionenell'elencodisnap-inefareclicsuChiudi.

5.FareclicsuOKnellanestraAggiungi/Rimuovisnap-in.

6.FareclicsuModellidicerticatonellastrutturaadalberodellaconsole.Tuttiimodellidicerticato vengonovisualizzatinelriquadrodisinistra.

62ClientSecuritySolution8.21Guidaalladistribuzione

7.FareclicsuAzione➙Duplicamodello.

8.NelcampoNomevisualizzato,immettereUtenteTPM.

9.FareclicsullaschedaGestionerichiestaefareclicsuCSP.AccertarsidiselezionareLerichieste utilizzanoqualsiasiCSPdisponibilesulcomputerdelsoggetto.

10.FareclicsullaschedaGenerali.Accertarsichel'opzionePubblicacerticatoinActiveDirectory siaselezionata.

11.FareclicsullaschedaSicurezzanell'elencoUtentiegruppi,quindifareclicsuUtentiautenticatie vericarechel'opzioneRegistrasiaselezionatanelcampoAutorizzazioniperutentiautenticati.

Congurazionediun'autoritàdicerticazioneaziendale

PerimmettereilcerticatoutenteTPMcongurandoun'autoritàdicerticazioneaziendale,completare laseguenteproceduracomeriportatodiseguito:

1.AprireAutoritàdicerticazione.

2.Nellastrutturaadalberodellaconsole,fareclicsuModellidicerticato.

3.DalmenuAzionescegliereNuovo➙Certicatodaemettere.

4.FareclicsuTPMequindifareclicsuOK.

Applicazionediuncerticatodalclient

Perapplicareuncerticatodaclient,completarelaseguenteprocedura:

1.ConnettersiadIntranet,avviareInternetExplorereimmetterel'indirizzoIPdelserverincuièinstallatoil servizioCA.

2.Immettereilnomeutenteelapassworddidominionellanestradelprompt.

3.FareclicsuRichiediuncerticatoinSelezionaun'attività.

4.FareclicsuRichiestaavanzatadicerticatiinbassoallapaginaWeb.

5.NellapaginaRichiestaavanzatadicerticati,modicareleseguentiimpostazioni:

•SelezionareUtenteTPMnell'elencoadiscesaModellodicerticato.

•SelezionareThinkVantageClientSecuritySolutionCSPnell'elencoadiscesaCSP.

•Vericarechel'opzioneContrassegnalechiavicomeesportabilinonsiaselezionata.

•FareclicsuInoltraeseguireilprocesso.

•NellapaginaCerticatoemessofareclicsuInstallaquestocerticato.Vienevisualizzatalapagina

Certicatoinstallato.

UtilizzoditastiereperimprontedigitaliUSBconmodellidicomputer notebookThinkPad2008(R400/R500/T400/T500/W500/X200/X301)

Lenovoharmatouncontrattoconduefornitoriperfornirel'autenticazionetramiteimprontedigitaliin tastiereUSBemodellidicomputernotebookThinkPad precedentiaimodellidel2008(adesempio,T61)utilizzanosensoriperimprontedigitaliThinkVantage.I modellidicomputernotebookThinkPad2008(apartiredalT400)utilizzanosensoriperimprontedigitali Lenovo.TutteletastiereUSBperimprontedigitaliLenovoutilizzanosensoriThinkVantage.Undiscorsoa partevafattonelcasoincuilatastieraperimprontedigitalivengautilizzatasualcunimodellidinotebook ThinkPad(adesempio,ThinkPadT400conunatastieraUSBesterna).

Questasezionedescrivegliscenaridiutilizzoelestrategiedidistribuzionecomuniperilsoftwareper improntedigitaliinstallatosuimodellidicomputernotebookThinkPadpiùrecenti.

Nota:

.ImodellidicomputernotebookThinkPad

Capitolo6.Procedureottimali63

•LenovoFingerprintSoftware LenovoFingerprintSoftwareèilsoftwareperilsensoreAuthenTec(adesempio,ilsensoreinternoinT400).

•ThinkVantageFingerprintSoftware ThinkVantageFingerprintSoftwareèilsoftwareperilsensoreUPEK(adesempio,ilsensoreinternoin T61eilsensoreperimprontedigitaliintutteletastiereUSBesterne).

AccessoaWindowsVista

PeraccederealsistemaoperativoWindowsVista,èpossibileutilizzareilsensoreperimprontedigitali AuthenTecoUPEKinqualsiasimomento.

1.InstallareLenovoFingerprintSoftwareversione3.2.0.275osuccessivo.

2.InstallareThinkVantageFingerprintSoftwareversione5.8.2.4824osuccessiva.

3.Riavviareilcomputer.Vieneavviataautomaticamentelaproceduraguidatadiregistrazionedelle improntedigitali.

4.UtilizzareThinkVantageFingerprintSoftwareperregistrareleproprieimprontedigitaliconilsensore esterno.Senonvieneavviatoautomaticamente,fareclicsuStart➙Programmi➙ThinkVantage➙ ThinkVantageFingerprintSoftwareperavviarelaregistrazione.

5.ImmetterelapassworddiWindowsquandovienerichiestoeselezionareunditodaregistrare.

6.Seguireipromptsullaschermatadelcomputerperregistrarelapropriaimprontautilizzandoilsensore perimprontedigitaliesterno.

7.FareclicsuImpostazioniincimaallanestra.

8.SelezionarelacaselladicontrolloUtilizzascansioneimprontedigitalianzichélapasswordper l'accessoaWindows,fareclicsuOKeinnesuChiudiperchiuderelanestra.

9.RiavviareilcomputerevericarechesiapossibileutilizzareleimprontedigitaliperaccedereaWindows conilsensoreesterno.

10.Utilizzarelaregistrazionedelleimprontedigitaliperregistrareleproprieimprontedigitaliconilsensore interno.Senonvieneavviatoautomaticamente,fareclicsuStart➙Programmi➙ThinkVantage➙ LenovoFingerprintSoftwareperavviarelaregistrazione.

11.ImmetterelapassworddiWindowsquandovienerichiestoeselezionareunditodaregistrare.

12.Seguireipromptsullaschermatadelcomputerperregistrarelapropriaimprontautilizzandoilsensore perimprontedigitaliinterno.

13.FareclicsuImpostazioniincimaallanestra.

14.SelezionarelacaselladicontrolloUtilizzascansioneimprontedigitalianzichélapasswordper l'accessoaWindows,fareclicsuOKeinnesuChiudiperchiuderelanestra.

15.RiavviareilcomputerevericarechesiapossibileutilizzareleimprontedigitaliperaccedereaWindows conilsensoreinterno.

AccessoaWindowsXP

PeraccederealsistemaoperativoWindowsXP ,èpossibileutilizzareilsensoreperimprontedigitali AuthenTecoUPEKinqualsiasimomento.

Scenario1–ThinkPadT400contastieraUSB(noncollegataaundominio)

UtilizzarelaschermatadibenvenutodiWindowsXP.

1.InstallareLenovoFingerprintSoftwareversione3.2.0.275osuccessivo.

2.InstallareThinkVantageFingerprintSoftwareversione5.8.2.4824osuccessivo.

3.AbilitarelaschermatadibevenutodiWindowsXP. a.AprirePannellodicontrollo➙Accountutente.

64ClientSecuritySolution8.21Guidaalladistribuzione

b.FareclicsuCambiamodalitàdiaccessoedisconnessione. c.SelezionarelacaselladicontrolloUsalaschermatainiziale. Selacaselladicontrollononèdisponibile,fareriferimentoa“Scenario2–ThinkPadT400contastiera

USB(collegataaundominio)”apagina65

4.FareclicsuStart➙Programmi➙ThinkVantage➙LenovoFingerprintSoftwareperavviare laregistrazione.

5.ImmetterelapassworddiWindowsquandovienerichiestoeselezionareunditodaregistrare.

6.Seguireipromptsullaschermatadelcomputerperregistrarelapropriaimprontautilizzandoilsensore perimprontedigitaliinterno.

7.FareclicsuImpostazioniincimaallanestra.

8.SelezionarelacaselladicontrolloUtilizzascansioneimprontedigitalianzichélapasswordper l'accessoaWindows,deselezionarelacaselladicontrolloDisabilitasupportocambioutenterapido, fareclicsuOKeinnesuChiudiperchiuderelanestra.

9.RiavviareilcomputerevericarechesiapossibileutilizzareleimprontedigitaliperaccedereaWindows conilsensoreinterno.

10.CollegarelatastieraUSBesterna.

11.FareclicsuStart➙Programmi➙ThinkVantage➙ThinkVantageFingerprintSoftwareperavviare laregistrazione.

12.FareclicsuImprontedigitali➙RegistraoModicaimprontedigitalieinnesuAvantiper visualizzarelanestradellapassworddiWindows.

13.ImmetterelapassworddiWindowsquandovienerichiestoeselezionareunditodaregistrare.

14.Seguireipromptsulloschermoperregistrarelapropriaimprontautilizzandoilsensoreperimpronte digitaliesterno.

15.CompletarelaproceduraguidatadiregistrazionedelleimprontedigitaliequindifareclicsuFineper chiuderelaproceduraguidata.

16.NellanestradiThinkVantageFingerprintSoftware,fareclicsuImpostazioni➙Impostazionidi sistemapervisualizzarelanestraImpostazioniThinkVantageFingerprintSoftware.

17.NellaschedaAccesso,selezionarelacaselladicontrolloCambioutenterapido.

18.FareclicsuOKechiuderelanestraThinkVantageFingerprintSoftware.

19.RiavviareilcomputerevericarechesiapossibileutilizzareleimprontedigitaliperaccedereaWindows conilsensoreinternooesterno.

Scenario2–ThinkPadT400contastieraUSB(collegataaundominio)

Utilizzarel'interfacciadiaccessodiClientSecuritySolution(GINA).

1.InstallareLenovoFingerprintSoftwareversione3.2.0.275osuccessivo.

2.InstallareThinkVantageFingerprintSoftwareversione5.8.2.4824osuccessiva.

3.InstallareClientSecuritySolutionconlaversione8.20.0035osuccessiva.

4.VericarechelatastieraUSBsiacollegataalsistema.

5.Riavviareilcomputer.Vieneavviataautomaticamentelaproceduraguidatadiregistrazionedelle improntedigitali.Senonvieneavviatoautomaticamente,fareclicsuStart➙Programmi➙ ThinkVantage➙ThinkVantageFingerprintSoftwareperavviarelaregistrazione.

6.ImmetterelapassworddiWindowsquandovienerichiestoeselezionareunditodaregistrare.

7.Seguireipromptsullaschermatadelcomputerperregistrarelapropriaimprontautilizzandoilsensore perimprontedigitaliesternonellatastieraUSBequindifareclicsuAvantipervisualizzarelanestra.

Capitolo6.Procedureottimali65

8.SelezionarelacaselladicontrolloConguraClientSecuritySolutionequindifareclicsuFineper chiuderelanestra.

9.FareclicsuStart➙Programmi➙ThinkVantage➙LenovoFingerprintSoftwareperavviare laregistrazione.

10.ImmetterelapassworddiWindowsquandovienerichiestoeselezionareunditodaregistrare.

11.Seguireipromptsullaschermatadelcomputerperregistrarelapropriaimprontautilizzandoilsensore perimprontedigitaliinterno.

12.FareclicsuImpostazioniincimaallanestra.

13.DeselezionarelacaselladicontrolloUtilizzascansioneimprontedigitalianzichélapasswordper l'accessoaWindows,fareclicsuOKeinnesuChiudiperchiuderelanestra.

14.RiavviareilcomputereaccedereaWindowsconlapropriapassword.

15.FareclicsuStart➙Programmi➙ThinkVantage➙ClientSecuritySolutionperavviareCSS.

16.DalmenuAvanzate,selezionareGestiscipolitichedisicurezzapervisualizzarelanestraPolicy Manager.

17.NelpannelloAzioniutente,selezionareAccediaWindows.

18.NelpannelloPoliticadisicurezza,selezionareUtilizzaunapoliticadisicurezzapredenitaper questaazioneutente.

19.FareclicsuOKequindisuSìperriavviareilcomputer.

20.Dopoilriavvio,vericarechesiapossibileutilizzareleimprontedigitaliperaccedereaWindowscon ilsensoreinternooesterno.

ClientSecuritySolutionePasswordManager

Differentedall'accessoaWindows,lerichiestediautenticazionedaClientSecuritySolutionePassword Managerfunzionanosoltantosulsensoreperimprontedigitalipreferito.Adesempio,quandoèconnessa unatastieraperimprontedigitali,ilrelativosensoreèildispositivopreferito.Quandolasuddettatastieranon èconnessa,ilsensoreinternoThinkPadperimprontedigitalièildispositivopreferito.

Permodicareilsensorepredenito,crearelaseguentevocediregistro:

[HKLM\Software\Lenovo\TVTCommon\ClientSecuritySolution] REG_DWORD"PreferInternalFPSensor"=1

Tabella32.Chiavidiregistro

NomeValoreDescrizione

Pref erInternalFPSensor

0(predenito)Specicacheilsensoreperimpronte

digitalièilpreferitoognivoltache èconnessalatastieraperimpronte digitali.

Specicacheilsensoreperimpronte digitalièilpreferito.

Autenticazionedipreavvio–Utilizzodelleimprontedigitalianzichédelle passwordBIOS

Differentedall'accessoaWindows,lerichiestediautenticazioneperpasswordBIOSfunzionanosulsensore perimprontedigitalisoltantoquandoilBIOSèconguratoperutilizzaretalemodalità.Perimpostazione predenita,ilBIOSriconosceleimpronteregistratesullatastieraperimprontedigitalisoltantosetale tastieraècollegata.Selatastieranonècollegata,ilBIOSriconosceleimpronteregistratesuldispositivo internoperimprontedigitali.

66ClientSecuritySolution8.21Guidaalladistribuzione

L'impostazioneBIOSReaderPrioritypuòesseremodicataperforzarel'utilizzodelsensoreinternoper improntedigitalianchequandoècollegatalatastieraperimprontedigitaliesterna.Ilvalorepredenitoper ReaderPriorityèExternal.L'impostazionepuòesseremodicatainInternalOnlyperforzarel'utilizzo delsensoreinternoperimprontedigitali.

Nota:questaimpostazioneBIOSsiapplicasoltantoaipromptdiimprontedigitaliBIOS.Nonhaalcuneffetto sull'accessoaWindowsosullerichiestediautenticazionetramiteimprontedigitalidiClientSecuritySolution.

Congurazionedelsoftwareperimprontedigitaliperabilitarel'autenticazionedi preavvio

Sesonostateimpostatepassworddelsupervisore,diaccensioneodell'unitàdiscossoinBIOS,èpossibile congurareilsoftwareperimprontedigitaliperl'autenticazioneanzichéimmetteretalipassword.

LenovoFingerprintSoftware–Perilsensoreinternoperimprontedigitali

1.FareclicsuStart➙Programmi➙ThinkVantage➙LenovoFingerprintSoftwareperavviareil softwareperimprontedigitali.

2.FarpassareilditosullettorediimprontedigitalioimmetterelapassworddiWindowsquandoviene richiesto.

3.FareclicsuImpostazioniincimaallanestra.

4.SelezionarelecaselledicontrolloUtilizzascansioneimprontedigitalianzichélepassworddi accensioneedell'unitàdiscossoeMostrasempreopzionidiprotezioneaccensioneequindi fareclicsuOKperchiuderelanestra.

5.ScegliereunadelleimprontedigitaliregistrateperabilitarlaesostituirelepassworddelBIOS.

6.FareclicsuChiudiperchiuderelanestra.

ThinkVantageFingerprintSoftware(WindowsXP)–perilsensoreperimprontedigitaliesterno

1.FareclicsuStart➙Programmi➙ThinkVantage➙ThinkVantageFingerprintSoftwareperavviareil softwareperimprontedigitali.

2.FareclicsuImpostazioni➙Sicurezzadiaccensionenellapartesuperioredellanestra.

Nota:sel'impostazioneProtezioneaccensionenonèdisponibile,crearelaseguentevocediregistro pervisualizzarla:

[HKEY_LOCAL_MACHINE\SOFTWARE\ProtectorSuiteQL\1.0] REG_DWORD"BiosFeatures"=2

3.SelezionarelacaselladicontrolloRichiediimprontedigitaliperl'avviodelcomputerequindifareclic suOKperchiuderelanestra.

4.FareclicsuImprontedigitali➙Registraomodicaimprontedigitalipervisualizzarelanestra.

5.FarpassareilditosullettorediimprontedigitalioimmetterelapassworddiWindowsquandoviene richiesto.

6.ScegliereunadelleimprontedigitaliregistrateperabilitarlaesostituirelepassworddelBIOS.

7.FareclicsuFineperchiuderelanestra.

ThinkVantageFingerprintSoftware(WindowsVista)–perilsensoreperimprontedigitaliesterno

1.FareclicsuStart➙Programmi➙ThinkVantage➙ThinkVantageFingerprintSoftwareperavviareil softwareperimprontedigitali.

2.FarpassareilditosullettorediimprontedigitalioimmetterelapassworddiWindowsquandoviene richiesto.

3.FareclicsuImpostazioniincimaallanestra.

5.ScegliereunadelleimprontedigitaliregistrateperabilitarlaesostituirelepassworddelBIOS.

Capitolo6.Procedureottimali67

6.FareclicsuChiudiperchiuderelanestra.

68ClientSecuritySolution8.21Guidaalladistribuzione

AppendiceA.Considerazionisull'utilizzodiOmniPass

OmniPassdiSoftex©èunprogrammacheèpossibileutilizzareperaccedereinmodosicuroadapplicazioni esitiWeb,oltrecheperproteggereidatisuuncomputer.OmniPasspuòutilizzareilTPMdelcomputer accedendovitramiteleinterfaccefornitedaClientSecuritySolution.PerutilizzareTPM,occorreinstallare ClientSecuritySolutionprimadiOmniPass.Acausadellesomiglianzedellefunzionioffertedaentrambii prodotti,alcunefunzionidiClientSecuritySolutionsonodisabilitateonascostequandosiinstallaOmniPass.

Inoltre,sesiinstallanoentrambiiprogrammi,sivericherannodeiconitti.Considerareipossibiliconitti elencatinellaseguentetabella:

Tabella33.SovrapposizionedifunzioniOmnipass

FunzioneSovrapposizionedifunzioniConsiderazioni

Autenticazionetramiteimpronte digitali

GestionepasswordSiaClientSecuritySolutionche

AccessoaWindows

CodicaleSiaClientSecuritySolution8.21che

Interfaccecrittograche

ThinkVantageFingerprintSoftware eOmniPassrichiedonouna registrazioneseparatadelleimpronte digitali.

OmniPassfornisconounPassword Manager.

SiaClientSecuritySolutionche OmniPassfornisconoun'interfaccia diaccessoaWindows.

OmniPassfornisconoapplicazionidi codicale.

SiaClientSecuritySolutionche OmniPassfornisconounmodulo CSPePKCS#11.Leinterfacce crittograchediClientSecurity Solutionutilizzanol'autenticazione indipendentediOmniPass.

Occorreregistrareleimpronte digitaliconThinkVantage FingerprintSoftwarepersupportare l'autenticazionedipreavvioconil sensoreditaliimpronte.Leimpronte registrateconThinkVantage FingerprintSoftwaresono indipendentidaquelleregistratecon OmniPass.LaconvalidaOmniPass nasconderàilcollegamentoalControl CenterdiThinkVantageFingerprint SoftwaredalmenuAvvio.

PasswordManagerdiClient SecuritySolutionverràdisabilitato automaticamentedall'installazionedi OmniPass.

L'interfacciadiaccessodiClient SecuritySolutionverràdisabilitata automaticamentedall'installazionedi OmniPass. Nota:quandol'interfacciadi accessodiClientSecuritySolution èdisabilitata,ilripristinodiuna passwordWindowsdimenticata tramiteRecuperoPassworddiClient SecuritySolutionnonsaràdisponibile durantel'accessoaWindows.

Entrambeleversionipossono coesistere.Tuttavia,perevitare confusione,disinstallarePrivateDisk perClientSecuritySolution7.0e versioniprecedenti.

NonselezionareilmoduloCSPe PKCS#11diClientSecuritySolution peroperazionicrittograche.

Tabella33.SovrapposizionedifunzioniOmnipass(continua)

FunzioneSovrapposizionedifunzioniConsiderazioni

Autenticazioneutente

Accessoallefunzioni

SiaClientSecuritySolutionche OmniPasspotrebberorichiedere l'autenticazioneutente.

ClientSecuritySolutioneOmniPass fornisconol'accessoallefunzioni tramiteun'applicazionedelmenu Start,chepotrebbeconfonderegli utenti.

SesiutilizzasiaClientSecurity SolutioncheOmniPass,vericareche gliutenticomprendanoladifferenza tralerichiestediautenticazionee forniscanoleinformazioniadeguate (incluseleimprontedigitali),quando vienerichiesto.

Rimuoverel'applicazioneClient SecuritySolutiondalmenuStart.

Oltreaiproblemiillustratidalleprecedenticonsiderazioni,potrebberovericarsialtriproblemiconOmnipass:

•Sevienevisualizzatounmessaggiodimemoriaesauritadalplugindiimprontedigitali,ignorareil messaggioecontinuareautilizzareOmnipass.

•LaregistrazioneTPMnonfunzionapergliutenticonunapasswordWindowsNULL.

70ClientSecuritySolution8.21Guidaalladistribuzione

AppendiceB.Considerazionispecialirelativeall'utilizzodi LenovoFingerprintKeyboardconalcunimodellidinotebook ThinkPad

IldispositivoperimprontedigitaliutilizzatoinalcunimodellidinotebookThinkPadèdiversodaldispositivo perimprontedigitaliutilizzatoinLenovoFingerprintKeyboard.Undiscorsoapartevafattonelcasoincuila tastieraperimprontedigitalivengautilizzatasualcunimodellidinotebookThinkPad.

Perulterioriinformazioni,consultarelapaginadidownloaddelsoftwareperimprontedigitalisulsitoWeb Lenovo.QuestapaginacontieneunelencoditalimodellidinotebookThinkPad.

SoltantoimodellielencatiperLenovoFingerprintSoftwarerichiedonounaconsiderazionespecialequando utilizzaticonlatastieraperimprontedigitali.TuttiglialtrimodellidinotebookThinkPadcheutilizzano “ThinkVantageFingerprintSoftware”utilizzanoundispositivoperimprontedigitalicompatibileconil dispositivoinclusonellatastieraperimprontedigitalienonrichiedonoalcunaconsiderazionespeciale.

Congurazioneeinstallazione

PerutilizzareildispositivoperimprontedigitalipresentenelnotebookThinkPad,ènecessarioinstallare LenovoFingerprintSoftware2.0osuccessivo.Laregistrazionedelleimprontedigitalideveessereeseguita tramiteLenovoFingerprintSoftwareeildispositivoperimprontedigitaliintegrato.

PerutilizzarelaLenovoFingerprintKeyboard,ènecessarioinstallareThinkVantageFingerprintSoftware

5.8osuccessivo.LaregistrazionedelleimprontedigitalideveinoltreessereeseguitatramiteThinkVantage FingerprintSoftwareelatastieraperimprontedigitali.

Nota:leimprontedigitaliregistrateconundispositivononsonointercambiabiliconl'altrodispositivo.

Autenticazionepre-desktop

Ildispositivointegratoperimprontedigitaliolatastieraperimprontedigitaliverrannoutilizzatiper l'autenticazionepre-desktop(sostituendolapassworddiaccensioneolapassworddell'unitàdiscossocon un'improntadigitale).IlBIOSdetermineràildispositivodautilizzareall'accensionedelsistema.

Perimpostazionepredenita,ilBIOSsupportaleletturedelleimprontesullatastieraperimprontedigitali soltantosetaletastieraècollegata.Laletturadelleimprontesuldispositivointegratoperimprontedigitali verràignorataperl'autenticazionepre-desktopseècollegataunatastieraperimprontedigitali.Sela suddettatastieranonècollegata,verràutilizzatoildispositivointegratoperl'autenticazionepre-desktop.

L'impostazioneBIOSperReaderPrioritypuòesseremodicataperutilizzareilsensoreintegratoper improntedigitali.Sel'opzioneReaderPriorityèimpostatasuInternalonly,èpossibileutilizzareilsensore integratoperimprontedigitaliperl'autenticazionepre-desktop.Laletturadell'improntadigitalesullatastiera perimprontedigitaliverràignoratainquestocaso.

AccessoaWindows

LenovoFingerprintKeyboardeildispositivoperimprontedigitaliutilizzatiinciascunThinkPadforniscono ognunoun'interfacciaperaccedereaWindowsconun'improntadigitale.

Importante:iproblemidicompatibilitàpotrebberoprovocarealtriproblemilegatiall'accessoseleinterfacce diaccessotramiteimprontedigitalinonsonoconguratecorrettamente.

WindowsXP-Schermatadibenvenuto

Persupportarel'accessoconLenovoFingerprintKeyboardoilsensoreperimprontedigitaliThinkPad integratoconlaschermatadibenvenutodiWindowsXP,ènecessariocheleinterfaccediaccessoper LenovoFingerprintSoftwareeThinkVantageFingerprintSoftwaresianoabilitate.

Durantel'accessoconlaschermatadibenvenutodiWindowsXPabilitataedentrambeleinterfaccedi accessotramiteimprontedigitaliabilitate,gliutentipossonoregistrareleproprieimprontesullatastieraper improntedigitaliosuldispositivointegratoperimprontedigitalipereseguirel'accesso.

Nota:L'impostazioneBIOSReaderPrioritynonsiapplicainquestasituazione.Èpossibileutilizzare qualsiasidispositivoperl'accessoseentrambiidispositivisonodisponibili.

LaschermatadibenvenutodiWindowsXPpuòessereabilitatatramiteAccountutentenelPannellodi controllodiWindowsXP.

L'interfacciadiaccessotramiteimprontedigitaliperLenovoFingerprintSoftware(perilsensoreintegratoper improntedigitali)eperThinkVantageFingerprintSoftware(perlatastieraperimprontedigitali)puòessere abilitatatramitel'opzioneImpostazioninellarispettivaapplicazionedelsoftwareperimprontedigitali.

WindowsXP-Promptdiaccessoclassico

Importante:leinterfaccediaccessotramiteimprontedigitaliperLenovoFingerprintSoftwaree

ThinkVantageFingerprintSoftwarenondevonoessereabilitatecontemporaneamenteseèabilitatoilprompt diaccessoclassicodiWindowsXP(interfacciadiaccessoGINA).Seentrambeleinterfaccevengono abilitateenonsiutilizzalaschermatadibenvenutodiWindowsXP ,potrebberovericarsirisultatiimprevisti.

SeèrichiestounpromptdiaccessoclassicodiWindowsXP(adesempio,persupportarel'accessoadun dominio)el'accessotramiteimprontedigitaliconsensoreèselezionato,ènecessarioabilitarel'interfacciadi accessodiClientSecuritySolution.Contaleinterfacciaabilitata,l'accessoaWindowsèpossibilesoltanto conlatastieraperimprontedigitalioildispositivoperimprontedigitaliintegrato.

Nota:questaopzioneèdisponibilesoltantoinClientSecuritySolution8.21osuccessivo.

L'interfacciadiaccessodiClientSecuritySolutionpuòessereabilitatadall'applicazioneClientSecurity SolutionnelmenuStart.L'opzioneperlacongurazionedell'interfacciadiaccessodiClientSecurity SolutionvienevisualizzataselezionandoGestiscipolitichedisicurezzanelmenuAvanzatedell'applicazione ClientSecuritySolution.

AccertarsicheleinterfaccediaccessoperLenovoFingerprintSoftwareeperThinkVantageFingerprint Softwaresianodisabilitatedall'opzioneImpostazioninellarispettivaapplicazionedelsoftwareperimpronte digitali.

WindowsVista

Persupportarel'accessoconLenovoFingerprintKeyboardoconilsensoreperimprontedigitaliThinkPad integratosuWindowsVista,ènecessariocheleinterfaccediaccessoperLenovoFingerprintSoftwaree ThinkVantageFingerprintSoftwaresianoabilitate.

QuandoentrambeleinterfaccesonoabilitateinWindowsVista,gliutentipossonoregistrareleproprie improntesullatastieraperimprontedigitaliosuldispositivointegratoperimprontedigitalipereseguire l'accesso.

Note:

72ClientSecuritySolution8.21Guidaalladistribuzione

1.L'impostazioneBIOS“ReaderPriority”nonsiapplicainquestoscenario.Èpossibileutilizzarequalsiasi dispositivoperl'accessoseentrambiidispositivisonodisponibili.

2.LaschermatadiaccessodiWindowsVistapuòvisualizzaresoltantounacorniceounpulsanteper l'accessotramiteimprontedigitali,sebbenesiapossibileutilizzarequalsiasisensoreatalescopo.

Inalternativa,persupportarel'accessoconlatastieraperimprontedigitalioildispositivointegratoper improntedigitali,èpossibileutilizzarel'interfacciadiaccessodiClientSecuritySolutionanzichéleinterfacce diaccessodelsoftwareperimprontedigitali.Tuttavia,questafunzionalitàèdisponibilesoltantoinClient SecuritySolution8.21osuccessivo.

Sesiutilizzal'interfacciadiaccessodiClientSecuritySolution,èconsigliabiledisabilitareleinterfacce diaccessodelsoftwareperimprontedigitalitramitel'opzioneImpostazioninellarispettivaapplicazione delsuddettosoftware.L'interfacciadiaccessodiClientSecuritySolutionpuòessereabilitatatramite l'applicazioneClientSecuritySolutionnelmenuStart.L'opzioneperlacongurazionedell'interfacciadi accessodiClientSecuritySolutionvienevisualizzataselezionandoGestiscipolitichedisicurezzanelmenu

Avanzatedell'applicazioneClientSecuritySolution.

AutenticazioneconClientSecuritySolution

Nota:leseguentiinformazionisiapplicanosoltantoaClientSecuritySolution8.21esuccessivo.Precedenti

versionidiClientSecuritySolutionnonsupportanol'usodeldispositivointegratoperimprontedigitaliconla tastieraperimprontedigitali.

Quandosiesegueun'azioneconClientSecuritySolutionetaleazionerichiedel'autenticazionetramite improntedigitali,adesempiol'inserimentodiunapasswordinunsitoWebconGestionepassword,gliutenti devonoregistrareun'improntasullatastieraperimprontedigitali,seècollegata,quandovienerichiesto. Laletturadelleimprontesuldispositivointegratoperimprontedigitaliverràignorataselatastieraper improntedigitaliècollegata.Selasuddettatastieranonècollegata,ènecessarioutilizzareilsensore integratoperimprontedigitali.

Èdisponibileun'impostazionediregistroperrichiedereagliutentidiutilizzareilsensoreperimpronte digitaliintegratoperl'autenticazioneconClientSecuritySolution.Setalevocediregistroèimpostata, l'autenticazionedelleimprontedigitaliconClientSecuritySolutiondeveessereeseguitaconilsensore integratoeleimpronteregistratedallatastieraperimprontedigitaliverrannoignorate.

Lavocediregistroèlaseguente:

[HKLM\Software\Lenovo\TVTCommon\ClientSecuritySolution] REG_DWORD"PreferInternalFPSensor"=1

Ilvalorepredenitodellasuddettavoceè0quandol'autenticazionedelleimprontedigitaliconClientSecurity Solutiondeveessereeseguitaconlatastieraperimprontedigitalieleimpronteregistratesuldispositivo perimprontedigitaliverrannoignorate.

QuestaimpostazionepuòesseremodicataanchetramiteilledelmodellodigestionediClientSecurity SolutionconicriteridigruppoperActiveDirectory.

Note:

1.Quandol'impostazioneBIOSper“ReaderPriority”èimpostatasu“Internalonly”,siconsigliadi impostarelavocediregistrosu1.Inquestomodo,siabiliteràl'autenticazioneconClientSecurity Solutionpersimularel'impostazioneperl'autenticazionepre-desktopdelBIOS.

2.L'impostazioneBIOSetaleimpostazionediregistrosonoindipendenti.

AppendiceB.Considerazionispecialirelativeall'utilizzodiLenovoFingerprintKeyboardconalcunimodellidinotebookThinkPad73

74ClientSecuritySolution8.21Guidaalladistribuzione

AppendiceC.SincronizzazionedipasswordinCSSdopola reimpostazionedellapassworddiWindows

DopolareimpostazionedellapassworddiWindows,ClientSecuritySolutionrichiedecontinuamenteuna nuovapassworddiWindows,masuccessivamentevisualizzaunmessaggiodierroreindicandochela passwordnonècorretta.LasicurezzadiWindowsèconcepitainmodoche,incasodireimpostazionedella passworddiWindows,lecredenzialidisicurezzavengonoinvalidate.Windowsvisualizzeràunmessaggiodi avvertenzaadognitentativodireimpostazionedellapassword.Inoltre,lareimpostazionedellapassworddi WindowsnonsoloinuiràsuClientSecuritySolution,masiperderàanchel'accessoaipropricerticatie lecrittografatidaWindowsEFS.QuandoClientSecuritySolutionnonpuòpiùaccedereallecredenziali disicurezzaWindows(comeconseguenzadellareimpostazionedellepassword),ClientSecuritySolution chiederàcontinuamentelanuovapasswordevisualizzeràpoiunmessaggiodierroreindicandochela passwordimmessanonèvalida.ClientSecuritySolutionnonfunzionaquandolecredenzialidiprotezionedi Windowsvengonoinvalidateinquestomodo.SelapassworddiWindowsèstatamodicata(adesempio, vienerichiestodispecicaresialavecchiachelanuovapassword),lecredenzialidiprotezionevengono preservateeprotettedallanuovapassword.

PersincronizzarelapasswordinCSSdopolareimpostazionedellapassworddiWindows,procederenel modoseguente:

1.RipristinareunbackupdelsistemaprimadireimpostarelapassworddiWindows.

2.ReimpostarelapassworddiWindowsoriginale.Taleoperazionehaloscopodiripristinarel'accessoalle credenzialidiprotezionediWindows.

3.CreareunnuovoaccountWindowseiniziareadutilizzarloalpostodell'accountoriginaleconle credenzialidanneggiate.

4.Seguirequestometodoperripristinareilsistema: a.AvviareilGestorepassword. b.FareclicsuImporta/EsportaeselezionareEsportaelencodivoci. c.Specicareunpercorsoincuisalvareilleeimmettereunnomele. d.ImmettereunapasswordperilleVoci. e.ChiudereilGestorepassword. f.AvviareClientSecuritySolution. g.FareclicsuAvanzate➙Ripristinaimpostazionidiprotezione. h.ImmetterelanuovapassworddiWindowsquandovienerichiesto. i.ClientSecuritySolutionchiederàdiavviareilsistema. j.Unavoltariavviatoilsistema,avviareilGestorepassword. k.FareclicsuImporta/EsportaeselezionareImportaelencodivoci. l.Ricercareillesalvatoprecedentemente. m.Immetterelapasswordquandovienerichiesto.

76ClientSecuritySolution8.21Guidaalladistribuzione

AppendiceD.Informazioniparticolari

ÈpossibilecheLenovononoffraiprodotti,iserviziolefunzioniillustrateinquestodocumentointuttiipaesi. ConsultareilrappresentanteLenovolocaleperinformazionisuiprodottiesuiservizidisponibilinelproprio paese.Qualsiasiriferimentoaprogrammi,prodottioserviziLenovoivicontenutononsignicachesoltanto taliprodotti,programmioservizipossanoessereusati.InsostituzioneaquellifornitidallaLenovo,possono essereusatiprodotti,programmioservizifunzionalmenteequivalentichenoncomportinoviolazionedidiritti diproprietàintellettualeodialtridirittidellaLenovo.Ècomunqueresponsabilitàdell'utentevalutaree vericarelapossibilitàdiutilizzarealtriprodotti,programmioservizi.

LaLenovopuòaverebrevettiodomandedibrevettoincorsorelativiaquantotrattatonellapresente pubblicazione.Lafornituradiquestapubblicazionenonimplicalaconcessionedialcunalicenzasudiessi. Chidesiderassericevereinformazioniolicenze,puòrivolgersia:

Lenovo(UnitedStates),Inc. 1009ThinkPlace-BuildingOne Morrisville,NC27560 U.S.A. Attention:LenovoDirectorofLicensing

LENOVOFORNISCEQUESTAPUBBLICAZIONE“COSÌCOM'È”SENZAALCUNTIPODIGARANZIA,SIA ESPRESSACHEIMPLICITA,INCLUSEEVENTUALIGARANZIEDICOMMERCIABILITÀEDIDONEITÀAUNO SCOPOPARTICOLARE.Alcunegiurisdizioninonescludonolegaranzieimplicite;diconseguenzalasuddetta esclusionepotrebbe,inquestocaso,nonessereapplicabile.

Questapubblicazionepotrebbecontenereimprecisionitecnicheoerroritipograci.Lecorrezionirelative sarannoinclusenellenuoveedizionidellapubblicazione.LaLenovosiriservaildirittodiapportare miglioramentie/omodichealprodottooalprogrammadescrittonelmanualeinqualsiasimomentoe senzapreavviso.

Iprodottidescrittiinquestadocumentazionenonsonodestinatiall'utilizzodiapplicazionichepotrebbero causaredanniapersone.Leinformazionicontenuteinquestadocumentazionenonmodicanoonon inuisconosullespecichedeiprodottiLenovoosullagaranzia.Nessunapartediquestadocumentazione rappresental'espressioneounalicenzaimplicitafornitanelrispettodeidirittidiproprietàintellettualeodi altridirittiLenovo.Tutteleinformazioniinessacontenutesonostateottenuteinambientispecicievengono presentatecomeillustrazioni.Ilrisultatoottenutoinaltriambientioperativipuòvariare.

LaLenovopuòutilizzareodivulgareleinformazioniricevutedagliutentisecondolemodalitàritenute appropriate,senzaalcunobbligoneiloroconfronti.

TuttiiriferimentiaisitiWebnonLenovocontenutiinquestapubblicazionesonofornitiperconsultazione;per essinonvienefornitaalcunaapprovazione.IlmaterialerelativoatalisitiWebnonfapartedelmateriale fornitoconquestoprodottoLenovoel'utilizzoèavostrorischioepericolo.

Qualsiasiesecuzionedidati,contenutainquestomanuale,èstatadeterminatainunambientecontrollato. Quindi,èpossibilecheilrisultatoottenutoinaltriambientioperativivarisignicativamente.Èpossibileche alcunemisuresianostateeseguitesusistemidisviluppoenonvienegarantitochetalimisuresianolestesse suisistemidisponibili.Inoltre,alcunemisurepotrebberoesserestatestimatemedianteestrapolazione.I risultaticorrentipossonovariare.Ènecessariochegliutentidiquestodocumentoverichinoidatiapplicabili perl'ambientespecico.

Marchi

IseguentiterminisonomarchidellaLenovonegliStatiUnitie/oinaltripaesi:

Lenovo RescueandRecovery ThinkCentre ThinkPad ThinkVantage

Microsoft,WindowseWindowsVistasonomarchidelgruppodisocietàMicrosoft.

Altrinomidiservizi,prodottiosocietàsonomarchidialtresocietà.

78ClientSecuritySolution8.21Guidaalladistribuzione

Glossario

PasswordBIOSdiamministratore (ThinkCentre)/supervisore

AdvancedEncryptionStandard(AES)AdvancedEncryptionStandardèuntecnicadi

Sistemidicrittograa

ChipdisicurezzaintegratoIlchipdisicurezzaintegratoèunaltronomeperil

Codicadichiavepubblica/chiaveasimmetricaGlialgoritmidichiavepubblicageneralmente

Lapasswordamministratoreosupervisoreviene usatapercontrollarelapossibilitàdimodicarele impostazionidelBIOS.Comprendelapossibilitàdi abilitareodisabilitareilchipdisicurezzaincorporato edicancellarelaStorageRootKeymemorizzata all'internodelTrustedPlatformModule.

codicadellachiavesimmetrica.Nell'ottobre del2000ilGovernodegliStatiUnitihaadottato l'algoritmocometecnicadicodica,sostituendo lacodicaDESusatainprecedenza.AESoffre maggioresicurezzacontrol'attaccodiforzebrutali rispettoaitastiDESda56-biteAESpuòutilizzarei tastida128,192e256bit,senecessario.

Isistemidicrittograapossonoessereampiamente classicatiincodicadichiavesimmetricache utilizzanounachiavesingolachecodicanoo decodicanoidatielacodicadichiavepubblica cheutilizzaduetasti,unachiavepubblicanotaa tuttieunachiaveprivataacuisoloilproprietario dellacoppiadichiavihaaccesso.

TPM.

utilizzanounacoppiadiduechiavicorrelate:una chiaveèprivataedeveesseretenutasegreta, mentrel'altravieneresapubblicaepuòessere ampiamentedistribuita.Nondeveesserepossibile dedurreunachiavediunacoppiadata.La terminologiadi“crittograadichiavepubblica” derivadall'ideadirendereleinformazionipartedella chiavepubblica.Ilterminecrittograadichiave simmetricavieneutilizzatoancheperchénontutte leparticonservanolestesseinformazioni.Inun senso,unachiave“blocca”unblocco(codica); maunadiversachiaveènecessariapersbloccarla (decodica).

StorageRootKey(SRK)La(SRK)(StorageRootKey)èunacoppiadi

chiavepubblicada2048bit(odidimensione superiore).Èinizialmentevuotaevienecreata quandoilproprietarioTPMvieneassegnato.Questa coppiadichiavinonabbandonamaiilchipdi sicurezzaintegrato.Vieneutilizzatopercodicare (avvolgere)lechiaviprivateperlamemorizzazione all'esternodelModulodellapiattaformaafdabile eperdecodicarliquandovengonoricaricatinel Modulodipiattaformaafdabile.L'SRKpuòessere cancellatodachiunqueaccedaalBIOS.

Codicadichiavesimmetrica

Lacodicadichiavesimmetricacalcolal'utilizzo dellastessachiaveperlacodicaedecodicadei dati.Icalcolidichiavesimmetricasonopiùsemplici erapidi,malosvantaggioprincipaleècheledue partidevonoinqualchemodoscambiarsilachiave inmodosicuro.Lacodicadichiavepubblicaevita questoproblemaperchélachiavepubblicapuò esseredistribuitainmodononsicuroelachiave privatanonvienemaitrasmessa.L'Advanced EncryptionStandardèunesempiodiunachiave simmetrica.

TrustedPlatformModule(TPM)

ITrustedPlatformModulesonocircuitiintegratiper piùscopiincorporatineisistemiperconsentireuna validaautenticazionedell'utenteelavericadel computer.LoscopoprincipaledelTPMèquellodi evitareunaccessononappropriatoalleinformazioni riservateesensibili.IlTPMèunafontedisicurezza basatasull'hardwarechepuòesserepotenziata perfornireunavarietàdiservizicrittogracisuun sistema.UnaltronomeperTPMèchipdisicurezza integrato.

Lenovo ThinkVantage Client Security Solution 8.21 Deployment Guide [it]

Specifications and Main Features

Frequently Asked Questions

User Manual

Prefazione

Capitolo1.Panoramica

ClientSecuritySolution

FrasediaccessodiClientSecuritySolution

RecuperopassworddiClientSecurity

ClientSecurityPasswordManager

SecurityAdvisor

Ripristinopasswordhardware

SupportoperisistemisenzaTPM

FingerprintSoftware

Capitolo2.Installazione

ClientSecuritySolution

Requisitidiinstallazione

Proprietàpubblichepersonalizzate

SupportoTPM(TrustedPlatformModule)

Procedurediinstallazioneeparametridellarigacomandi

ProprietàpubblichestandarddiWindowsInstaller

Filedilogperl'installazione

InstallazionediClientSecuritySolution8.21conversioniesistenti

InstallazionediThinkVantageFingerprintSoftware

Installazionenonpresidiata

Opzioni

InstallazionediLenovoFingerprintSoftware

Installazionenonpresidiata

Opzioni

SMS(SystemsManagementServer)

Capitolo3.GestionediClientSecuritySolution

UtilizzodiTPM(TrustedPlatformModule)

UtilizzodiTPM(TrustedPlatformModule)conWindowsVista

Acquisizionediproprietà

Registrazioneutente

Emulazionedelsoftware

Cambiodellaschedadisistema

UtilitàdiprotezioneEFS

UtilizzodiunoschemaXML

Esempi

UtilizzoditokenRSASecurID

InstallazionedeltokendelsoftwareRSASecurID

Requisiti

Impostazionidelleopzionidiaccessoallesmartcard

InstallazionemanualedeltokendelsoftwareRSASecurID

SupportoperActiveDirectory

Impostazioniecriteriperl'autenticazionetramitelettorediimpronte digitali

Opzionedidisabilitazionedelleimprontedigitali

Risultatodellaregistrazionediimprontedigitali

Strumentidellarigacomandi

SecurityAdvisor

ProceduraguidatadiinstallazionedellaClientSecuritySolution

TPMENABLE.EXE

StrumentodiattivazioneTPM

SupportoperActiveDirectory

Filedimodelloamministrativi(ADM)

ImpostazionidiCriteriodigruppo

Aggiornamentoattivo

Capitolo4.UtilizzodiThinkVantageFingerprintSoftware

StrumentoConsoledigestione

Comandidiimpostazioniglobali

Modalitàsicuraemodalitàutile

Modalitàsicura-amministratore

Modalitàsicura-utenteconlimitazioni

Modalitàutile-amministratore

Modalitàutile-utenteconlimitazioni

SoftwareperimprontedigitalieNovellNetwareClient

Autenticazione

ServizioThinkVantageFingerprintSoftware

Capitolo5.UtilizzodiLenovoFingerprintSoftware

StrumentoConsoledigestione

ServizioLenovoFingerprintSoftware

SupportoActiveDirectoryperLenovoFingerprintSoftware

Capitolo6.Procedureottimali

Esempididistribuzioneperl'installazionediClientSecuritySolution

Scenario1

Scenario2

AlternanzatralemodalitàdiClientSecuritySolution

RolloutdiActiveDirectoryaziendale

SystemUpdate