Lenovo ThinkVantage Client Security Solution 8.21 Deployment Guide [fr]

Guidededéploiement ClientSecuritySolution8.21

Miseàjour:février2012

Remarque:Avantd'utiliserleprésentdocumentetleproduitassocié,prenezconnaissancedes informationsgénéralesgurantàl'AnnexeD«Remarques»àlapage77.

Troisièmeédition(Février2012)

©CopyrightLenovo2008,2012.

REMARQUESURLESDROITSLIMITÉSETRESTREINTS:silesdonnéesouleslogicielssontfournisconformémentà uncontrat«GeneralServicesAdministration»(«GSA»),l'utilisation,lareproductionetladivulgationsontsoumisesaux restrictionsstipuléesdanslecontratn°GS-35F-05925.

Tabledesmatières

Préface................iii

Chapitre1.Présentation........1

ClientSecuritySolution............1

MotdepassecomposéClientSecurity

Solution................2

RécupérationdesmotsdepasseClient

Security................2

ClientSecurityPasswordManager......2

SecurityAdvisor.............3

AssistantCerticateTransfer........4

Réinitialisationdesmotsdepassematériel...4 Priseenchargedessystèmessansmodule

TPM..................4

Logicieldelectured'empreintesdigitales.....4

Chapitre2.Installation.........7

ClientSecuritySolution............7

Congurationrequisepourl'installation....7

Propriétéspubliquespersonnalisées.....8

PriseenchargedumoduleTrustedPlatform

Module.................8

Procéduresd'installationetparamètresde

lignedecommande............9

Propriétéspubliquesstandardduprogramme

d'installationWindows..........12

Fichiersjournauxd'installation.......13

InstallationdeClientSecuritySolution8.21

avecdesversionsexistantes.......14

InstallationdeThinkVantageFingerprint

Software.................14

Installationenmodesilencieux......15

Options................15

InstallationdeLenovoFingerprintSoftware...16

Installationenmodesilencieux......16

Options................16

SystemsManagementServer.........18

Chapitre3.UtilisationdeClient

SecuritySolution...........19

UtilisationdumoduleTPM..........19

UtilisationdumoduleTPM(T rustedPlatform

Module)avecWindowsVista.......19

GestiondeClientSecuritySolutionàclésde

chiffrement................20

TakeOwnership............20

EnrollUser..............21

Emulationdelogiciel..........22

Remplacementdecartemère.......23

UtilitairedeverrouillageEFS.......25

UtilisationduschémaXML..........26

Exemples...............27

UtilisationdejetonsSecurIDRSA.......33

InstallationdujetondulogicielRSASecurID.33

Congurationrequise..........34

Congurationdesoptionsd'accèsdelacarte

àpuce................34

InstallationmanuelledujetondulogicielRSA

SecurID...............34

Priseencharged'ActiveDirectory.....34

Paramètresetrèglespourl'authenticationdu

lecteurd'empreintesdigitales.........35

Optiondecontournementdesempreintes

digitalesappliquée...........35

Résultatdelalectured'empreintesdigitales.35

Outilsdelignedecommande.........35

SecurityAdvisor............36

AssistantdecongurationClientSecurity

Solution...............37

Outildechiffrementoudedéchiffrementdu

chierdedéploiement..........37

Outildetraitementduchierdedéploiement.38

TPMENABLE.EXE...........38

Outildetransfertdecerticat.......39

Outild'activationdumoduleTPM.....39

Priseencharged'ActiveDirectory.......40

FichiersADM(AdministrativeTemplateFile).40

Paramètresdelastratégiedegroupe....41

ActiveUpdate.............46

Chapitre4.Utilisationde ThinkVantageFingerprintSoftware.47

OutilManagementConsole..........47

Commandesspéciquesàl'utilisateur...47 Commandesdesparamètresgénéraux...48

Modesécuriséetmodepratique.......49

Modesécurisé-Administrateur......49

Modesécurisé-Utilisateuravecrestriction..50

Modepratique-Administrateur......50

Modepratique-Utilisateuravecrestriction..51

Paramètrescongurables........52

FingerprintSoftwareetNovellNetwareClient..53

Authentication............53

ServiceThinkVantageFingerprintSoftware...54

Chapitre5.UtilisationdeLenovo

FingerprintSoftware.........55

©CopyrightLenovo2008,2012

OutilManagementConsole..........55

ServiceLenovoFingerprintSoftware......55

Priseencharged'ActiveDirectorypourLenovo

FingerprintSoftware............55

Chapitre6.Pratiques

recommandées............57

Exemplesdedéploiementpourl'installationde

ClientSecuritySolution...........57

Scénario1..............57

Scénario2..............59

PassageauxmodesClientSecuritySolution...61 Déploiementd'ActiveDirectoryauniveaude

l'entreprise................61

InstallationautonomepourlesCDouleschiers

script..................62

SystemUpdate..............62

SystemMigrationAssistant..........62

Générationd'uncerticatàl'aidedelagénération

declésdansTPM.............62

Congurationminimalerequise:......62

Demandedecerticatàpartirduserveur..62 UtilisationdeclaviersUSBàempreintesdigitales

avecdesmodèlesd'ordinateurportableThinkPad 2008(R400/R500/T400/T500/W500/X200/X301).63

ConnexionàWindowsVista.......64

ConnexionàWindowsXP........65

ClientSecuritySolutionetPassword

Manager...............66

Authenticationavantledémarrage-avec

uneempreintedigitaleàlaplacedemotsde

passeBIOS..............67

AnnexeA.Aproposdel'utilisation

d'OmniPass..............69

AnnexeB.Remarquesconcernant l'utilisationduclavierLenovo Fingerprintaveccertainsordinateurs portablesThinkPadRemarques concernantl'utilisationduclavier LenovoFingerprintaveccertains

ThinkPad...............71

Congurationetdénition..........71

Authenticationantérieureàl'afchagedu

bureau..................71

ConnexionàWindows...........72

WindowsXP-Ecrand'accueil........72

WindowsXP-Invitedeconnexionclassique...72

WindowsVista...............73

AuthenticationavecClientSecuritySolution..73

AnnexeC.Synchronisationdumotde passedansCSSunefoisquelemot depasseWindowsestréinitialisé..75

AnnexeD.Remarques.........77

Marques.................78

Glossaire................lxxix

iiGuidededéploiementClientSecuritySolution8.21

Préface

Leprésentguideestconçupourlesadministrateursinformatiquesoulespersonnesresponsablesdu déploiementdeThinkVantage entreprise.Ilfournitlesinformationsnécessairesàl'installationdeClientSecuritySolutionetFingerprint Softwaresurunouplusieursordinateurs,étantentenduqueleslicencesdeceslogicielssoientdisponibles pourchaqueordinateurcible.

ClientSecuritySolutionetFingerprintSoftwareontpourobjectifdeprotégervossystèmesensécurisant lesdonnéesclientetdedétournertoutetentativedeviolationdesécurité.Pourdesquestionset desinformationsconcernantl'utilisationdesdiverscomposantsdeClientSecuritySolutionetde FingerprintSoftware,reportez-vousausystèmed'aideenlignepourlescomposantsàl'adresse http://www.lenovo.com/thinkvantage.

Cesguidessontrégulièrementmisàjour.Pourconnaîtrelespublicationsàvenir,consultezlesiteWeb suivant: http://www.lenovo.com/thinkvantage

Sivousavezdessuggestionsoudescommentaires,communiquez-lesàvotrereprésentantLenovo®agréé.

ClientSecuritySolutionetThinkVantageFingerprintSoftwaredansleur

©CopyrightLenovo2008,2012

iii

ivGuidededéploiementClientSecuritySolution8.21

Chapitre1.Présentation

LeprésentchapitreproposeuneprésentationdeClientSecuritySolutionetdeFingerprintSoftware.Les technologiesprésentéesdansceguidededéploiementpeuventaiderlesinformaticiensdirectementet indirectement,carellespermettentderendrelesordinateurspersonnelsplusconviviauxetplusautonomes. Enoutre,ellesfournissentdesoutilspuissantsquifacilitentetsimplientlesdéploiements.Grâceà ThinkVantageTechnologies,lesinformaticienspassentmoinsdetempsàrésoudredesincidentssurdes ordinateursetconsacrentplusdetempsàleursproprestâches.

ClientSecuritySolution

ClientSecuritySolutionapourbutdevousaideràprotégervotreordinateurcommeunactif,vosdonnées condentiellesetlesconnexionsréseaudevotreordinateur.PourlessystèmesLenovoquicontiennent unmoduleTPM(T rustedPlatformModule)conformeauTGC(TrustedComputingGroup),lasécuritédu systèmemiseenœuvreparlelogicielClientSecuritySolutionestbaséesurlematériel.Silesystèmene contientpasdeprocesseurdesécuritéintégré(oupucedesécuritéintégrée),ClientSecuritySolutionutilise unlogicielbasésurdesclésdechiffrementpourlasécuritédusystème.

LesfonctionsdeClientSecuritySolutionversion8.2sontlessuivantes:

•Authenticationd'utilisateursécuriséeavecunmotdepasseWindows®ouunmotdepasse

composéClientSecuritySolution

ClientSecuritySolutionpeutêtrecongurépouraccepterunmotdepasseWindowsutilisateurouun motdepassecomposéClientSecuritySolutionpourl'authentication.LemotdepasseWindowsest pratiqueetgérabledansWindows,lemotdepassecomposéClientSecuritySolutionfournitunesécurité supplémentaire.L'administrateurpeutchoisirlaméthoded'authenticationàutiliseretceparamètrepeut êtremodiémêmelorsquedesutilisateurssontdéjàinscritsdansClientSecuritySolution.

•Authenticationd'utilisateurparempreintedigitale Optimiselatechnologied'empreintedigitaleintégréeetrattachéeauportUSBpourauthentierdes utilisateursauprèsd'applicationsprotégéespardesmotsdepasse.

•Authenticationd'utilisateursmulti-facteurpourlaconnexionàWindowsetdifférentesopérations

ClientSecuritySolution

Dénitplusieursunitésd'authentication(motdepasseWindows/motdepassecomposéClientSecurity etempreintedigitale)pourdenombreusesopérationsrelativesàlasécurité.

•Gestiondesmotsdepasse GèreetstockedemanièresécuriséelesinformationsdeconnexionsensiblestellesquelesIDutilisateurs etlesmotsdepasse.

•Récupérationdesmotsdepasseetdesmotsdepassecomposés Larécupérationdesmotsdepasseetdesmotsdepassecomposéspermetauxutilisateursdese connecteràWindowsetd'accéderàleursautorisationsd'accèsClientSecuritySolution,mêmeencas d'oubli,enrépondantàdesquestionsdesécuritéprécongurées.

•Auditdesparamètresdesécurité Permetauxutilisateursdevisualiserunelistedétailléedesparamètresdesécuritédupostedetravailet d'effectuerdesmodicationspourrépondreauxstandardsdénis.

•T ransfertdescerticatsnumériques ClientSecuritySolutionprotègelacléprivéedel'utilisateuretlescerticatsdel'ordinateur.UtilisezClient SecuritySolutionpourprotégerlacléprivéedevoscerticatsexistants.

•Gestiondesrèglespourl'authentication Unadministrateurpeutchoisirlesunités(motdepasseWindows,motdepassecomposéClientSecurity

©CopyrightLenovo2008,2012

Solutionouempreintedigitale)quiserontnécessairesàl'authenticationpourlesactionssuivantes: connexionWindows,gestiondesmotsdepasseetopérationsdecertication.

MotdepassecomposéClientSecuritySolution

LemotdepassecomposéClientSecuritySolutionestunefonctionfacultatived'authenticationd'utilisateur quifournitunesécuritéavancéeauxapplicationsClientSecuritySolution.Lesconditionssuivantesdoivent êtreremplies:

•Ildoitêtrecomposéd'aumoinshuitcaractères

•Ilcontientaumoinsunchiffre

•Ildoitêtredifférentdestroismotsdepassecomposésprécédents

•Ilnecontientpasplusdedeuxcaractèresrépétés

•Ilnecommencepasparunchiffre

•Ilneseterminepasparunchiffre

•IlnecontientpasvotreIDutilisateur

•Ilnedoitpasêtrechangés'ilamoinsdetroisjours

•Ilnedoitpascontenirtrois(ouplus)caractèresconsécutifsidentiquesparrapportaumotdepasse composéactuel,quellequesoitleurposition

•IlnedoitpasêtreidentiqueaumotdepasseWindows.

LemotdepassecomposéClientSecuritySolutionestconnuuniquementdel'utilisateur.Laseulefaçon derécupérerunmotdepassecomposéClientSecuritySolutionoubliéconsisteàexécuterlafonction derécupérationdemotdepassedeClientSecuritySolution.Sil'utilisateuraoubliélesréponsesàses questionsderécupération,iln'yaalorsplusaucunesolutionpermettantderécupérerlesdonnéesprotégées parlemotdepassecomposéClientSecuritySolution.

RécupérationdesmotsdepasseClientSecurity

CettefonctionfacultativepermetauxutilisateursinscritsdansClientSecurityderécupérerunmotdepasse WindowsouunmotdepassecomposéClientSecurityoubliéenrépondantcorrectementàtroisquestions. Sicettefonctionestactivée,vousdevrezchoisirtroisréponsesparmidixquestionspré-sélectionnées.Si vousoubliezvotremotdepasseWindowsouvotremotdepassecomposéClientSecurity,vouspourrez soitrépondreàcestroisquestions,soitréinitialiservotremotdepasseouvotremotdepassecomposé.

Remarques:

1.SiunmotdepassecomposéClientSecurityestutilisé,larécupérationdumotdepasseClientSecurity estlaseuleoptionderécupérationd'unmotdepassecomposéoublié.Sivousoubliezlaréponseà vostroisquestions,vousdevrezréexécuterl'assistantd'enregistrementetperdreztouteslesdonnées ClientSecurityprécédemmentprotégées.

2.LorsquevousutilisezClientSecuritypourprotégerlazonePredesktopRescueandRecovery®,l'option derécupérationdesmotsdepasseafcheenréalitévotremotdepassecomposéClientSecurityet/ou lemotdepasseWindowsdel'utilisateur.Lemotdepassecomposéoulemotdepasses'afchecar lazonePredesktopnepermetpasd'exécuterautomatiquementunemodicationdemotdepasse Windows.Lemotdepassecomposéoulemotdepasses'afchelorsqu'unutilisateursansl(placé danslamémoirecachelocalenonrattachéeauréseau)exécutecettefonctionàlaconnexionWindows.

ClientSecurityPasswordManager

ClientSecurityPasswordManagervouspermetdegérerdesinformationsrelativesàdessiteswebouà desapplicationsquisontfacilementoubliées,tellesquelesIDutilisateur,lesmotsdepasseetd'autres informationspersonnelles.ClientSecurityPasswordManagerprotègevosinformationspersonnellesvia

2GuidededéploiementClientSecuritySolution8.21

ClientSecuritySolutionanquel'accèsàvosapplicationsetsiteswebrestententièrementsécurisé. ClientSecurityPasswordManagervouspermetégalementdegagnerdutempsetdel'énergieenvous demandantuniquementdevoussouvenird'unseulmotdepasseoumotdepassecomposé,oudefournir votreempreintedigitale.

ClientSecurityPasswordManagerpermetd'exécuterlesfonctionssuivantes:

•ChiffrementdetouteslesinformationsstockéesviaClientSecuritySolution: ChiffreautomatiquementtoutesvosinformationsviaClientSecuritySolution.Touteslesinformationsde motdepassecondentiellessontainsiprotégéesvial'utilisationdesclésdechiffrementClientSecurity.

•GénérationautomatiquedesIDetmotsdepasse: Automatisevotreprocessusdeconnexionlorsquevousaccédezàuneapplicationouàunsiteweb.Si vosinformationsdeconnexionontétéentréesdansClientSecurityPasswordManager,alorsClient SecurityPasswordManagerremplitautomatiquementleszonesrequisesetlessoumetausiteweb ouàl'application.

•Editiondesentréesàl'aidedel'interfaceClientSecurityPasswordManager: Vouspermetd'éditervosentréesdecompteetdecongurertouteslesfonctionsfacultativesenune seuleinterfacefaciled'utilisation.Cetteinterfaceaccélèreetfacilitelagestiondesmotsdepasseetdes informationspersonnelles.Cependant,laplupartdesmodicationsrelativesauxentréespeuventêtre détectéesautomatiquementparClientSecurityPasswordManager,cequipermetàl'utilisateurde mettreàjoursesentréesencoreplusfacilement.

•Sauvegardedesinformationssansétapessupplémentaires: ClientSecurityPasswordManagerdétecteautomatiquementlesinformationssensiblesquisontenvoyées àunsitewebouàuneapplicationdonné.Lorsqu'illedétecte,ClientSecurityPasswordManagerinvite l'utilisateuràsauvegarderlesinformations,simpliantainsileprocessusdestockagedesinformations sensibles.

•Sauvegardedetouteinformationdansunezonedetravailsécurisée: GrâceàClientSecurityPasswordManager,l'utilisateurpeutsauvegardertouteslesdonnéestextuelles dansdeszonesdetravailsécurisées.Ceszonesdetravailsécuriséespeuventêtreprotégéesavecle mêmeniveaudesécuritéquen'importequelleautreentréedesiteweboud'application.

•Exportationetimportationdesinformationsdeconnexion: Permetd'exportervosinformationspersonnellessensiblesandepouvoirlesdéplacerentoute sécuritéd'unordinateuràunautre.Lorsquevousexportezvosinformationsdeconnexionàpartirde ClientSecurityPasswordManager,unchierd'exportationprotégéparmotdepasseestcréé.Ilpeut êtrestockésurunsupportamovible.Utilisezcechierpouraccéderàvosinformationspersonnelles partoutoùvousvoustrouvezoupourimportervosentréesdansunautreordinateurdisposantdeClient SecurityPasswordManager.

Remarque:Unepriseenchargetotaleestdisponiblepourleschiersd'exportationClientSecurity SolutionVersions7.0et8.x.Unepriseenchargelimitéeestdisponiblepourleschiersd'exportation ClientSecuritySolutionversion6.0(lesentréesd'applicationnesontpasimportées).ClientSecurity SoftwareSolutionversions5.4xetversionsprécédentesn'exécutentpasd'importationdansClient SecuritySolutionVersion8.xPasswordManager.

SecurityAdvisor

L'outilSecurityAdvisorvouspermetd'afcherunrécapitulatifdesparamètresdesécuritédénissur l'ordinateur.Vouspouvezutilisercesparamètrespourconnaîtrel'étatactueldelasécuritédusystèmeou pouraméliorercettesécurité.Lesvaleurspardéfautafchéespourlescatégoriespeuventêtremodiéesà l'aideduregistreWindows.Lescatégoriesdesécuritécomprennentparexemple:

•lesmotsdepassematériel,

•lesmotsdepassedesutilisateursWindows,

•lesrèglessurlesmotsdepasseWindows,

Chapitre1.Présentation3

•ecrandeveilleprotégé,

•lepartagedechiers.

AssistantCerticateTransfer

L'assistantClientSecurityCerticateT ransfervousguidetoutaulongduprocessusdetransfertdesclés privéesassociéesàvoscerticatsàpartirdufournisseurdeservicedechiffrementMicrosoft logiciel(CSP)verslefournisseurdeservicedechiffrementClientSecuritySolutionbasésurlematériel.Une foisletransferteffectué,lesopérationsutilisantlescerticatssontplussécuriséescarlesclésprivéessont protégéesparClientSecuritySolution.

basésurle

Réinitialisationdesmotsdepassematériel

Cetoutilcréeunenvironnementsécuriséquis'exécuteindépendammentdeWindowsetvousaideà recongurerlesmotsdepasseoubliésdemisesoustensionetd'unitédedisquedur.Votreidentitéest établielorsquevousrépondezàdesquestionsquevouscréez.Créezcetenvironnementsécurisédèsque possible,avanttoutoublidemotdepasse.Iln'estpaspossiblederedénirunmotdepassematériel tantquecetenvironnementsécurisén'estpascréésurledisquedurettantquevousnevousêtespas enregistré.Cetoutiln'estdisponiblequesurcertainsordinateurs.

PriseenchargedessystèmessansmoduleTPM

ClientSecuritySolutionVersion8.2prendenchargelessystèmesLenovoquinepossèdentpasde processeurdesécuritéintégrécompatible.Celapermetd'effectueruneinstallationstandarddanstoute l'entreprisepourcréerunenvironnementprotégéhomogène.Lessystèmesdotésdumatérieldesécurité intégrésontmieuxàmêmederépondreauxattaquesmaislesmachinesnedisposantquedulogiciel bénécientégalementd'unesécuritéetd'unefonctionnalitésupplémentaires.

Logicieldelectured'empreintesdigitales

Lestechnologiesd'identicationd'empreintesdigitalesbiométriquesfourniesparLenovosontconçuespour aiderlesclientsàréduirelescoûtsassociésauxmotsdepasse,àaméliorerlasécuritédeleurssystèmes etàseconformerauxréglementations.Grâceauprogrammedelectured'empreintedigitaleLenovo, Fingerprintpermetl'authenticationd'empreintesdigitalessurdesordinateursindividuelsetdesréseaux. FingerprintcombinéàClientSecuritySolutionversion8.2offredesfonctionnalitésétendues.PourClient SecuritySolution8.21,ThinkVantageFingerprintSoftware5.8.2etLenovoFingerprintSoftware2.0sont prisenchargepourdifférentstypesd'ordinateur.Voustrouverezplusd'informationssurlestechnologies d'identicationd'empreintesdigitalesdeLenovoetvouspourreztéléchargerlelogicielàl'adressesuivante: http://www.lenovo.com/support/site.wss/MIGR-59650.html

Fingerprintoffrelesfonctionssuivantes:

•Fonctionsdelogicielclient –RemplacementdumotdepasseMicrosoftWindows:

Remplacevotremotdepasseavecvotreempreintedigitalepourunaccèsausystèmesimple,rapide etsécurisé.

–RemplacementdumotdepasseBIOS(égalementappelémotdepasseàlamisesoustension)

etdumotdepassed'accèsaudisquedur:

Remplacelesmotsdepasseavecvotreempreintedigitalepourétendrelasécuritédeconnexionet ladiffusion.

–Authenticationd'empreintedigitaleavantinitialisationpourlechiffrementcompletdel'unité

SafeGuardEasy:

Utilisel'authenticationparempreintedigitalepourdéchiffrervotredisqueduravantledémarragede Windows.

4GuidededéploiementClientSecuritySolution8.21

–Uniquepassagedanslelecteurpourl'accèsausystèmeBIOSetàWindows:

Vouspermetd'économiserdutempsenpassantvotredoigtaudémarragepouraccéderausystème BIOSetàWindows.

–IntégrationàClientSecuritySolution:

S'utiliseavecClientSecuritySolutionPasswordManagerettirepartidumoduleTPM(TrustedPlatform Module).LesutilisateurspeuventpasserleurdoigtsurlelecteurpouraccéderauxsitesWebet sélectionnerdesapplications.

•Fonctionsadministrateur –Activation/désactivationdumodesécurité:

Permetàunadministrateurdebasculerentrelesmodessécuriséetdegrandediffusionpourmodier lesdroitsd'accèsdecertainsutilisateurs.

•Fonctionsdesécurité –Sécuritédulogiciel:

Protègelesmodèlesutilisateurgrâceàlafonctiondechiffrementfortlorsqueceux-cisontstockéssur unsystèmeoutransférésdulecteurverslelogiciel.

–Sécuritédumatériel:

Fournitunprogrammedelectureaveccoprocesseurquistockeetprotègelesmodèlesd'empreintes digitales,lesmotsdepasseBIOSetlesclésdechiffrement.

Chapitre1.Présentation5

6GuidededéploiementClientSecuritySolution8.21

Chapitre2.Installation

Leprésentchapitrecontientlesinstructionsd'installationdeClientSecuritySolutionetdeFingerprint Software.Avantd'installerClientSecuritySolutionouFingerprintSoftware,vousdevezcomprendre l'architecturedel'applicationquevousinstallez.Leprésentchapitrecontientl'architecturedechaque applicationainsiquelesinformationssupplémentairesdontvousavezbesoinavantd'installerles programmes.

ClientSecuritySolution

Lemoduled'installationdeClientSecuritySolutionaétédéveloppéavecInstallShield10.5Premiercomme unprojetBasicMSI.InstallShieldutiliseleprogrammed'installationWindowspourinstallerdesapplications, cequipermetauxadministrateursdepersonnaliserlesinstallation,endénissantlesvaleursdespropriétés àpartirdelalignedecommande,parexemple.Leprésentchapitredécritplusieursméthodesd'utilisationet d'exécutiondumoduledecongurationdeClientSecuritySolution.Pourunemeilleurecompréhension,lisez latotalitéduchapitreavantd'installercesmodules.

Remarque:Lorsdel'installationdecesmodules,reportez-vousauchierReadmepourClientSecurity Solution.ConsultezlesiteWebLenovosuivant: http://www.lenovo.com/support/site.wss/document.do?sitestyle=lenovo&lndocid=HOME-LENOVO LechierReadmecontientdesinformationsdedernièreminutesurlesversionsdelogiciel,lessystèmes prisencharge,lacongurationsystèmerequiseetd'autresconsidérationsquivousserontutileslorsdu processusd'installation.

Congurationrequisepourl'installation

Lesinformationsdecettesectionindiquentlescongurationsrequisespourl'installationdumodulede ClientSecuritySolution.Pourobtenirdemeilleursrésultats,accédezausiteWebsuivantpourvériersi vousdisposezdeladernièreversiondulogiciel: http://support.lenovo.com/en_US/downloads/detail.page?LegacyDocID=MIGR-61432

Uncertainnombred'ordinateursexistantspeuventprendreenchargeClient SecuritySolutions'ilsrépondentauxconditionsspéciées.ConsultezlesiteWeb http://support.lenovo.com/en_US/downloads/detail.page?LegacyDocID=MIGR-61432pourplus d'informationssurlesordinateursexistantsquiprennentenchargeClientSecuritySolution.

CongurationrequisepourlesordinateursLenovo

LesordinateursLenovodoiventaumoinsavoirlacongurationsuivantepourqueClientSecuritySolution puisseêtreinstallé:

•Systèmed'exploitation:WindowsVista ServicePack3.

•Mémoire:256Mo –Pourlescongurationsdemémoirepartagée,lamémoirepartagéemaximaledéniedansles

paramètresdecongurationduBIOSdoitêtreauminimumde8Mo

–Pourlescongurationsdemémoirenonpartagée,120Modemémoirenonpartagée.

•InternetExplorer5.5ouversionultérieuredoitêtreinstallé.

•300Mod'espacedisponiblesurvotredisquedur.

•UnécranvidéocompatibleVGAprenantenchargeunerésolutionde800x600etlescouleurs24bits.

•L'utilisateurdoitdisposerdesdroitsd'administrationpourinstallerClientSecuritySolution.

•Prescriptionssupplémentairesenmatièrederéinitialisationdesmotsdepassematériel:NTFSet WindowsXP.

,WindowsVistaavecServicePack1ouWindowsXPavec

©CopyrightLenovo2008,2012

Remarque:Ledéploiementdumoduled'installationClientSecuritySolutionsousWindowsServer2003

n'estpasprisencharge.

Propriétéspubliquespersonnalisées

Lemoduled'installationduprogrammeClientSecuritySoftwarecontientunjeudepropriétéspubliques personnaliséesquipeuventêtredéniessurlalignedecommandelorsdel'installation.Letableausuivant proposelespropriétéspubliquespersonnaliséespourWindowsXPetWindows2000:

Tableau1.Propriétéspubliques

PropriétéDescription

EMULATIONMODEForcel'installationenmodeémulationmêmes'ilexiste

unmoduleTPM.IndiquezEMULATIONMODE=1surla lignedecommandepoureffectuerl'installationenmode émulation.

HALTIFTPMDISABLEDSilemoduleTPMestàunétatdésactivéetque

l'installations'exécuteenmodesilencieux,l'installation s'effectuepardéfautenmodeémulation.Utilisezla propriétéHALTIFTPMDISABLED=1lorsquel'installation s'exécuteenmodesilencieuxpourinterrompre l'installationsilemoduleTPMestdésactivé.

NOCSSWIZARDDénissezNOCSSWIZARD=1surlalignedecommande

pourempêcherqueledialogued'enregistrementde ClientSecuritySolutionnes'afcheautomatiquement aprèsl'installationdeClientSecuritySolution.Cette propriétéestconguréepourunadministrateurqui souhaiteinstallerClientSecuritySolutionmaissouhaite utiliserlescriptingultérieurementlorsdelaconguration dusystème.

CSS_CONFIG_SCRIPTIndiquezCSS_CONFIG_SCRIPT=«nom_chier»ou

«nom_chiermot_de_passe»pourqu'unchierde congurations'exécuteunefoisquel'utilisateuraterminé l'installationetréamorcelesystème.

SUPERVISORPWIndiquezSUPERVISORPW=«mot_de_passe»surlaligne

decommandepourfournirlemotdepassesuperviseur and'activerleprocesseurenmoded'installation silencieuxounonsilencieux.Sileprocesseurest désactivéetquel'installations'exécuteenmode silencieux,vousdevezfournirlemotdepassesuperviseur correctpouractiverleprocesseur.Sinon,leprocesseur neserapasactivé.

PWMGRMODEDénissezPWMGRMODE=1danslalignedecommande

pourn'installerquePasswordManager.

NOSTARTMENUDénissezNOSTARTMENU=1danslalignedecommande

pourempêcherlagénérationd'unraccourcidanslemenu Démarrer.

PriseenchargedumoduleTrustedPlatformModule

ClientSecuritySolutionversion8.2inclutlapriseenchargedumatérieldesécuritéintégréedel'ordinateur, lemoduleTPM(TrustedPlatformModule).PourWindows2000etXP,vousdevreztéléchargerdespilotes depériphériquepourlemoduleTPMdevotresystème.SivousexécutezWindowsVista,etquevotre ordinateurcomprendunmoduleTPMprisenchargeparlesystèmed'exploitation,ClientSecuritySolution utiliseralespilotesdepériphériquefournisparlesystèmed'exploitation.

8GuidededéploiementClientSecuritySolution8.21

L'activationdumoduleTPMpeutnécessiterunredémarrage,lemoduleTPMétantactivéparlesystème BIOS.SivousexécutezWindowsVista,vousdevrezconrmerl'intégrationdumoduleTPMpendantle démarragedusystème.

PourquelemoduleTPMpuisseexécuterdesfonctions,l'affectationdel'administrateur,lapropriétédoitêtre initialisée.ChaquesystèmeestassociéàunseuladministrateurClientSecuritySolutionquicontrôleles optionsdeClientSecuritySolution.Cetadministrateurdoitdisposerdedroitsd'administrateurWindows. L'administrateurpeutêtreinitialiséàl'aidedescriptsdedéploiementXML.

Unefoislapropriétédusystèmecongurée,chaqueutilisateurWindowssupplémentairequiseconnecte ausystèmeestautomatiquementinvitéàs'inscrireetàinitialiserlesclésdesécuritéetlesdonnées d'identicationdel'utilisateurdansl'assistantdecongurationClientSecurity.

EmulationdelogicieldumoduleT rustedPlatformModule

ClientSecuritySolutionalapossibilitédes'exécutersansmoduleTrustedPlatformModulesurlessystèmes habilités.Lafonctionnalitéseralamêmesaufqu'elleutiliseradescléslogiciellesaulieudeclésprotégées parlematériel.Lelogicielpeutégalementêtreinstalléavecuncommutateurquileforceàtoujoursutiliser descléslogiciellesaulieudumoduleTPM.L'utilisationdececommutateursedécideaumomentde l'installationetestirréversibleàmoinsdedésinstalleretderéinstallerlelogiciel.

LasyntaxeforçantuneémulationdelogicieldumoduleTPMestlasuivante:

InstallFile.exe“/vEMULATIONMODE=1”

Procéduresd'installationetparamètresdelignedecommande

Leprogrammed'installationMicrosoftWindowsfournitplusieursfonctionsd'administrationparlebiaisde paramètresdelignedecommande.Leprogrammed'installationWindowspeuteffectueruneinstallation administratived'uneapplicationoud'unproduitsurunréseauenvued'uneutilisationparungroupede travailouàdesnsdepersonnalisation.Lesoptionsdelignedecommandenécessitantunparamètre doiventêtreindiquéessansespaceentrel'optionetsonparamètre.Parexemple:

setup.exe/s/v"/qnREBOOT=”R”"

estcorrect,alorsque

setup.exe/s/v"/qnREBOOT=”R”"

nel'estpas.

Remarque:Lecomportementpardéfautdel'installationlorsquecettedernièreestexécutéeseule (exécutiondesetup.exesansparamètre)consisteàinviterl'utilisateuràréamorcerlesystèmeàlande l'installation.Unréamorçageestrequispourqueleprogrammefonctionnecorrectement.Leréamorçage peutêtredifféréàl'aided'unparamètredelignedecommandepouruneinstallationenmodesilencieux commeexpliquédanslasectionprécédenteetlasectiond'exemples.

Pourlemoduled'installationdeClientSecuritySolution,uneinstallationadministrativedécomprimeles chierssourcesd'installationdansunemplacementspécié.

Pourlanceruneinstallationadministrative,exécutezlemoduled'installationàpartirdelalignedecommande enutilisantleparamètre/a:

setup.exe/a

Uneinstallationadministrativeprésenteunassistantquiinvitel'administrateuràindiquerlesemplacements dedécompressiondeschiersd'installation.L'emplacementd'extractionpardéfautestC:\.Vouspouvez choisirunnouvelemplacementautrequel'unitéC:\(parexempleuneunitélocaleouuneunitéréseau mappée).Vouspouvezégalementcréerdenouveauxrépertoiresaucoursdecetteétape.

Pourexécuteruneinstallationadministrativeenmodesilencieux,vouspouvezdénirlapropriétépublique TARGETDIRenlignedecommandepourindiquerl'emplacementd'extraction:

setup.exe/s/v"/qnTARGETDIR=F:\TVTRR"

Chapitre2.Installation9

msiexec.exe/i"ClientSecurity-PasswordManager.msi"/qnTARGERDIR=F:\TVTRR

Remarque:SivotreversiondeWindowsInstallern'estpaslaversionencours,setup.exeestconguré pourmettreàjourlemoteurWindowsInstallersurlaversion3.0.Suiteàcettemiseàjour,laprocédure d'installationvousinviteraàredémarrerlesystème.Utilisezcorrectementleredémarragepourempêcher qu'ilneseproduisedanscettesituation.Sileprogrammed'installationWindowsestaumoinsdeversion

3.0,lechiersetup.exenetentepasdemettreàjourlemoteurduprogrammed'installationWindows.

Unefoisl'installationadministrativeterminée,l'administrateurpeutpersonnaliserleschierssource, parexempleajouterdesparamètresauregistre.Poureffectuerl'installationàpartirduchiersource décompresséunefoislespersonnalisationsterminées,l'utilisateurappellemsiexec.exedepuislalignede commande,entransmettantlenomduchierMSIdécompressé.

LesdescriptionsetlesparamètressuivantssontdocumentésdansInstallShieldDeveloperHelp Documentation.Lesparamètresquines'appliquentpasauxprojetsBasicMSIontétéenlevés.

Tableau2.Paramètres

ParamètreDescription

/a:InstallationadministrativeLecommutateur/ainvitesetup.exeàeffectuerune

installationadministrative.Uneinstallationadministrative copie(etdécompresse)leschiersdedonnéesdansun répertoiredéniparl'utilisateur,maisnecréepasde raccourcis,n'enregistrepaslesserveursCOMetnecrée pasdejournaldedésinstallation.

/x:ModedésinstallationLeparamètre/xforcesetup.exeàdésinstallerunproduit

précédemmentinstallé.

/s:ModesilencieuxLacommandesetup.exe/ssupprimelafenêtre

d'initialisationsetup.exepourunprogrammed'installation BasicMSImaisnelitpasdechierderéponses.Les projetsBasicMSInecréentpasoun'utilisentpasde chierderéponsespourlesinstallationsenmode silencieux.PourexécuterunproduitBasicMSIenmode silencieux,exécutezlalignedecommandesetup.exe/s /v/qn.(Pourdénirlesvaleursdepropriétéspubliques pouruneinstallationdeBasicMSIenmodesilencieux, vouspouvezutiliserunecommandetellequesetup.exe/s /v«/qnINSTALLDIR=D:\Destination».)

/v:TransmetdesargumentsàMsiexecLeparamètre/vpermetdetransmettredesparamètres

delignedecommandeetdesvaleursdepropriétés publiquesàmsiexe.exe.

/L:Langued'installationLesutilisateurspeuventseservirducommutateur/Lavec

l'IDdelanguedécimalpourindiquerlalangueutiliséepar unprogrammed'installationmultilingue.Parexemple,la commandepourdénirl'allemandestsetup.exe/L1031.

/w:AttentePourunprojetBasicMSI,l'argument/wforcesetup.exe

àattendrelandel'installationavantdesefermer.Si vousutilisezl'option/wdansunchierdetraitementpar lots,vouspouvezfaireprécéderl'ensembledel'argument delignedecommandedesetup.exepar/WAIT.Voiciun exempleformatécorrectementdecettesyntaxe:

start/WAITsetup.exe/w

10GuidededéploiementClientSecuritySolution8.21

Utilisationdemsiexec.exe

Poureffectuerl'installationàpartirduchiersourcedécompresséunefoislespersonnalisationsterminées, l'utilisateurappellel'applicationmsiexec.exedepuislalignedecommande,entransmettantlenomduchier *.MSIdécompressé.L'applicationmsiexec.exeestleprogrammeexécutabledeWindowsInstallerquiest utilisépourinterpréterlesmodulesd'installationetinstallerlesproduitssurlessystèmescible.

msiexec/i"C:\WindowsF older\Proles\UserName\ Personal\MySetups\projectname\productconguration\releasename\ DiskImages\Disk1\productname.msi"

Remarque:Entrezlacommandeci-dessussuruneseuleligne,sansespaceaprèslesbarresobliques.

Letableauci-dessouscontientlesparamètresdelignedecommandedisponiblesquipeuventêtreutilisés aveclechiermsiexec.exeetdesexemplesd'utilisation.

Tableau3.Paramètresdelignedecommande

ParamètreDescription

/Imoduleoucodeproduit

/amoduleL'option/apermetauxutilisateursquidisposentdesdroitsd'administrateur

/xmoduleoucodeproduitL'option/xdésinstalleunproduit.

/L[i|w|e|a|r|u|c|m|p|v|+]chier_journal

/q[n|b|r|f]

Utilisezlasyntaxesuivantepourinstallerleproduit:

Othello:msiexec/i"C:\WindowsFolder\Proles\ UserName\Personal\MySetups \Othello\TrialVersion\ Release\DiskImages\Disk1\ OthelloBeta.msi"

Lecodeproduitfaitréférenceàl'identicateurglobalunique(GUID)quiest automatiquementgénérédanslapropriétéproductcodedelavuedesprojets devotreproduit.

d'installerunproduitsurleréseau.

Uneinstallationavecl'option/Lindiquelechemind'accèsduchier journal.Lesindicateurssuivantsdésignentlesinformationsquidoiventêtre consignéesdanslechierjournal:

•iconsignelesmessagesd'état.

•wconsignelesmessagesd'avertissementnoncritique.

•econsignetouslesmessagesd'erreur.

•aconsignelecommencementdesséquencesd'actions.

•rconsignelesenregistrementsspéciquesàuneaction.

•uconsignelesdemandesutilisateur.

•cconsignelesparamètresinitiauxdel'interfaceutilisateur.

•mconsignelesmessagesdesaturationdemémoire.

•pconsignelesparamètresdeterminal.

•vconsignelesparamètresdesortieenmodeprolixe.

•+faitunajoutàunchierexistant.

•*estuncaractèregénériquequivouspermetdeconsignertoutesles informations(àl'exclusiondesparamètresdesortieenmodeprolixe).

L'option/qestutiliséepourdénirleniveaudel'interfaceutilisateur conjointementaveclesindicateurssuivants:

•qouqnnecréeaucuneinterfaceutilisateur.

•qbcréeuneinterfaceutilisateurdebase.

Lesparamètresd'interfaceutilisateursuivantsafchentuneboîtededialogue modaleàlandel'installation:

•qrafcheuneinterfaceutilisateurréduite.

•qfafcheuneinterfaceutilisateurcomplète.

•qn+n'afcheaucuneinterfaceutilisateur.

•qb+afcheuneinterfaceutilisateurdebase.

Chapitre2.Installation11

Tableau3.Paramètresdelignedecommande(suite)

ParamètreDescription

/?ou/hCesdeuxcommandesafchentlesinformationsdecopyrightduprogramme

d'installationWindows.

TRANSFORMSLeparamètredelignedecommandeTRANSFORMSindiqueles

transformationsquevousvoulezappliqueràvotremoduledebase.

msiexec/i"C:\WindowsF older\ Proles\UserName\Personal \MySetups\ YourProjectName\TrialVersion\ MyRelease-1 \DiskImages\Disk1\ ProductName.msi"TRANSFORMS="NewTransf orm1.mst"

Vouspouvezséparerplusieurstransformationsparunpoint-virgule.N'utilisez pasdepoint-virguledanslenomdelatransformationcarleservicedu programmed'installationWindowsrisquedel'interpréterincorrectement.

PropriétésTouteslespropriétéspubliquespeuventêtredéniesoumodiéesàpartirde

lalignedecommande.Lespropriétéspubliquessedistinguentdespropriétés privéesetsontindiquéesenmajuscules.Parexemple,COMPANYNAME estunepropriétépublique.

Pourdénirunepropriétéàpartirdelalignedecommande,utilisezlasyntaxe suivante:

PROPERTY=VALUE

Parexemple,pourmodierlavaleurdelapropriétéCOMPANYNAME,vous devezentrercequisuit:

msiexec/i"C:\WindowsF older\ Proles\UserName\Personal\ MySetups\YourProjectName\ TrialVersion\MyRelease-1\ DiskImages\Disk1\ProductName.msi" COMPANYNAME="InstallShield"

Propriétéspubliquesstandardduprogrammed'installationWindows

Leprogrammed'installationWindowsestdotéd'unensembledepropriétéspubliquesstandardintégrées pouvantêtredéniesdanslalignedecommandepourindiqueruncomportementdonnélorsdel'installation. Letableauci-aprèsfournitlespropriétéspubliqueslespluscourantesutiliséesdanslalignedecommande.

Pourplusd'informations,accédezausiteWebdeMicrosoftàl'adressesuivante: http://msdn2.microsoft.com/en-us/library/aa367437.aspx

Letableauci-dessouscontientlespropriétéscourantesduprogrammed'installationWindows:

Tableau4.Propriétésduprogrammed'installationWindows

PropriétéDescription

TARGETDIRIndiquelerépertoirededestinationprincipalpour

l'installation.Lorsd'uneinstallationadministrative,cette propriétécorrespondàl'emplacementdecopiedu

moduled'installation. ARPAUTHORIZEDCDFPREFIXAdresseURLducanaldemiseàjourpourl'application. ARPCOMMENTSFournitdescommentairespourAjout/Suppressionde

programmessurlePanneaudeconguration.

12GuidededéploiementClientSecuritySolution8.21

Tableau4.Propriétésduprogrammed'installationWindows(suite)

PropriétéDescription

ARPCONTACTFournitdescontactspourAjout/Suppressionde

programmessurlePanneaudeconguration.

ARPINSTALLLOCATIONNomqualiécompletduchemind'accèsversledossier

principaldel'application.

ARPNOMODIFYDésactivelafonctionnalitépermettantdemodierle

produit.

ARPNOREMOVEDésactivelafonctionnalitépermettantdesupprimerle

produit.

ARPNOREPAIRDésactiveleboutonderéparationdansl'assistant

Programs. ARPPRODUCTICONIndiquel'icôneprincipalepourlemoduled'installation. ARPREADME

ARPSIZETailleestiméedel'applicationenkilo-octets. ARPSYSTEMCOMPONENTEmpêchel'afchagedel'applicationdanslaliste

ARPURLINFOABOUT ARPURLUPDATEINFOAdresseURLpourlesinformationsdemiseàjourd'une

REBOOTLapropriétéREBOOTsupprimecertainesinvitespour

FournitunchierReadMepourAjout/Suppressionde

programmessurlePanneaudeconguration.

Ajout/Suppressiondeprogrammes.

AdresseURLdelapaged'accueild'uneapplication.

application.

unréamorçagedusystème.Unadministrateurutilise

généralementcettepropriétéavecuneséried'installations

pourinstallersimultanémentplusieursproduitsavec

unseulréamorçageàl'issuedel'installation.Indiquez

REBOOT=«R»pourdésactivertoutréamorçageàlan

del'installation.

Fichiersjournauxd'installation

Lechierjournald'installationpourClientSecuritySolutionestappelécssinstall82x32.log(pourWindows XPetWindowsVista32)oucss64install82V.log(pourWindowsVista64).Ilestcréédanslerépertoire %temp%silacongurationestlancéeparsetup.exe(cliquezdeuxfoissurlechierinstall.exeprincipal, exécutezlechierexécutableprincipalsansparamètresouextrayezlechierMSIetexécutezsetup.exe).Ce chiercontientdesmessagesjournauxpouvantêtreutiliséspourdéboguerlesproblèmesd'installation. Cechierjournaln'estpascréélorsquelacongurationestexécutéedirectementàpartirdumodule MSI,ilcomprendtouteslesactionseffectuéesàpartird'Ajout/Suppressiondeprogrammes.Pourcréer unchierjournalpourtouteslesactionsMSI,vouspouvezactiverlesstratégiesdeconsignationdansle registre.Pourcefaire,créezlavaleursuivante:

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] "Logging"="voicewarmup"

Exemplesd'installation

Letableausuivantproposedesexemplesd'installationutilisantsetup.exe:

Tableau5.Exemplesd'installationavecsetup.exe

DescriptionExemple

Installationenmodesilencieuxsansréamorçage. Installationadministrative.

setup.exe/s/v”/qnREBOOT=”R””

setup.exe/a

Chapitre2.Installation13

Tableau5.Exemplesd'installationavecsetup.exe(suite)

DescriptionExemple

Installationsilencieuseenmodeadministrationindiquant l'emplacementd'extractionpourlelogicielClientSecurity Software.

Désinstallationenmodesilencieuxavecsetup.exe/s/x /v/qn.

Installationsansréamorçage.Créationd'unjournal d'installationdanslerépertoiretemporairepourClient SecuritySoftware

Installationsansinstallationdel'environnement PreDesktopavecsetup.exe/vPDA=0.

setup.exe/a/s/v”/qnTARGETDIR=”F: \CSS82””

setup.exe/s/x/v/qn

setup.exe/v”REBOOT=”R”/L*v%temp% \cssinstall80.log”

setup.exe/vPDA=0

Letableauci-dessouscontientdesexemplesd'installationavecClientSecuritySolution.msi:

Tableau6.Exemplesd'installationavecClientSecurity-PasswordManager.msi

DescriptionExemple

Installation

Installationenmodesilencieux sansréamorçage

Désinstallationenmode silencieux

msiexec/i“C:\CSS82\ClientSecurity Solution-PasswordManager .msi”

msiexec/i“C:\CSS82\ClientSecurity Solution-PasswordManager.msi”/qnREBOOT=”R”

msiexec/x“C:\CSS82\ClientSecurity Solution-PasswordManager.msi”/qn

InstallationdeClientSecuritySolution8.21avecdesversionsexistantes

ClientSecuritySolutionpeutêtremisàniveauàpartirdeClientSecuritySolution8.0avecSystemUpdate. PourinstallerClientSecuritySolution8.21avecdesversionsexistantesantérieuresàClientSecuritySolution

8.0,commencezparinstallerClientSecuritySolution8.0surlesystème.

ClientSecuritySolution8.0nepeutpasêtreinstallécommeunemiseàniveaud'uneversionprécédente. VousdevezdésinstallervotreversionexistantedeClientSecuritySolutionavantd'installerlaversion8.0. Pourpréserverlesdonnéesetlesparamètresexistants,suivezlesétapesindiquéesci-dessousavantde supprimerlaversionprécédentedeClientSecuritySolution:

1.TéléchargezClientSecuritySolution8.0UpgradeAssistantsurlesiteWebLenovosuivant: http://www.lenovo.com/support/site.wss/document.do?sitestyle=lenovo&lndocid=MIGR-46391

2.Apartirdelalignedecommande,exécutezl'assistantdemiseàniveaudeClientSecuritySolution

8.0enmodesilencieuxavantdesupprimerlaversionprécédente.

LesutilisateursdeClientSecuritySolution7.0doiventégalementeffectuerlamiseàniveauversClient SecuritySolution8.0avantd'installerRescueandRecovery4.0

Remarque:Sivousmettezàniveauunsystèmed'exploitation,vousdevezeffacerlecontenuduprocesseur desécuritépouréviterl'échecdel'enregistrementdeClientSecuritySolution.

InstallationdeThinkVantageFingerprintSoftware

Lechiersetup.exeduprogrammeFingerprintSoftwarepeutêtreinstalléparl'unedesméthodessuivantes:

14GuidededéploiementClientSecuritySolution8.21

Installationenmodesilencieux

PourinstallerFingerprintenmodesilencieux,exécutezlechiersetup.exesituédanslerépertoire d'installationdevotreunitédeCD-ROM.

Utilisezlasyntaxesuivante:

Setup.exePROPERTY=VALUE/q/i

oùqcorrespondàl'installationenmodesilencieuxetipourl'installation.Parexemple:

setup.exeINSTALLDIR="C:\ProgramFiles\ThinkVantagengerprintsoftware"/q/i

Pourdésinstallerlelogiciel,utilisezleparamètre/xàlaplacede/i:

setup.exeINSTALLDIR="C:\ProgramFiles\ThinkVantagengerprintsoftware"/q/x

Options

LesoptionsprisesenchargeparFingerprintSoftwaresontlessuivantes:

Tableau7.OptionsprisesenchargeparFingerprintSoftware

ParamètreDescription

CTRLONCEAfchelecentredecontrôleuneseulefois.Lavaleurpar

défautest0.

CTLCNTRExécutelecentredecontrôleaudémarrage.Lavaleur

pardéfautest1.

DEFFUS•0=n'utilisepaslesparamètresFastUserSwitching

(FUS)

•1=tented'utiliserlesparamètresFUS

Lavaleurpardéfautest0. INSTALLDIRUtilisepardéfautlerépertoired'installationdeFingerprint. OEM

PASSPORTUtilisepardéfautledepasseportdénilorsde

SECURITY•1=installationdelafonctiondemodesécurisé

SHORTCUTFOLDERUtilisepardéfautlenomdudossierderaccourcisdansle

•0=installationdelafonctiondepasseportdeserveur oud'authenticationdeserveur

•1=modeordinateurautonomeuniquementavec passeportslocaux

l'installation.

•1=pardéfaut-passeportlocal

•2=passeportdeserveur

Lavaleurpardéfautest1.

•0=pasd'installation;seullemodepratiqueestmis enoeuvre

menuDémarrer.

Chapitre2.Installation15

Tableau7.OptionsprisesenchargeparFingerprintSoftware(suite)

ParamètreDescription

REBOOTSupprimetouslesréamorçages,notammentlesinvites

lorsdel'installationlorsqu'ilestdéniparlavaleurReally Suppress.

DEVICEBIOCongureletyped'unitéquivaêtreutilisée.Type

d'enregistrement:

•DEVICEBIO=#3-lesecteurd'unitévaêtreutiliséavant lepremierenregistrement.

•DEVICEBIO=#0-l'enregistrementsurledisquedurva êtreutilisé.

•DEVICEBIO=#1-l'enregistrementdans CompanionChipvaêtreutilisé.

InstallationdeLenovoFingerprintSoftware

Lechiersetup32.exeduprogrammeFingerprintSoftwarepeutêtreinstalléenutilisantlaprocédure suivante:

Installationenmodesilencieux

PourinstallerFingerprintSoftwareenmodesilencieux,exécutezlechiersetup32.exequisetrouvedansle répertoired'installationsurleCD-ROM.

Utilisezlasyntaxesuivante:

setup32.exe/s/v"/qnREBOOT="R""

Pourdésinstallerlelogiciel,utilisezlasyntaxesuivante:

setup32.exe/x/s/v"/qnREBOOT="R""

Options

LesoptionsprisesenchargeparFingerprintSoftwaresontlessuivantes:

Tableau8.OptionsprisesenchargeparLenovoFingerprintSoftware

ParamètreDescription

SWAUTOSTART•0=nedémarrepaslelogicielFingerprintaudémarrage

deWindows

•1=nedémarrepaslelogicielFingerprintaudémarrage deWindows

Lavaleurpardéfautest1.

SWFPLOGON

SWPOPP•0=désactivelaprotectionparmotdepasseàlamise

•0=n'utilisepaslaconnexionparempreintedigitale (GINAouCredentialProvider)

•1=utiliselaconnexionparempreintedigitale(GINAou CredentialProvider)

Lavaleurpardéfautest0.

soustension

•1=activelaprotectionparmotdepasseàlamise soustension

Lavaleurpardéfautest0.

16GuidededéploiementClientSecuritySolution8.21

Tableau8.OptionsprisesenchargeparLenovoFingerprintSoftware(suite)

ParamètreDescription

SWSSO•0=désactivelafonctiondeconnexionunique

•1=activelafonctiondeconnexionunique Lavaleurpardéfautest0.

SWALLOWENROLL

•0=nepermetpasl'enregistrementdesempreintes

digitalespourlesutilisateursquinesontpas administrateurs

•1=permetl'enregistrementdesempreintesdigitales

pourlesutilisateursquinesontpasadministrateurs

Lavaleurpardéfautest1.

SWALLOWDELETE

•0=nepermetpaslasuppressiondesempreintes

digitalespourlesutilisateursquinesontpas administrateurs

•1=permetlasuppressiondesempreintesdigitales

pourlesutilisateursquinesontpasadministrateurs

Lavaleurpardéfautest1.

SWALLOWIMEXPORT•0=nepermetpasl'importation/exportationdes

empreintesdigitalespourlesutilisateursquinesont pasadministrateurs

•1=permetl'importation/exportationdesempreintes

digitalespourlesutilisateursquinesontpas administrateurs

Lavaleurpardéfautest1.

SWALLOWSELECT•0=nepermetpaslasélectiondel'utilisationdes

empreintesdigitalespourremplacerlemotdepasseà lamisesoustensionpourlesutilisateursquinesont pasadministrateurs

•1=permetlasélectiondel'utilisationdesempreintes

digitalespourremplacerlemotdepasseàlamise soustensionpourlesutilisateursquinesontpas administrateurs

Lavaleurpardéfautest1.

SWALLOWPWRECOVERY

•0=nepermetpaslarestaurationdumotdepasse

Windows

•1=permetlarestaurationdumotdepasseWindows Lavaleurpardéfautest1.

SWANTIHAMMER•0=désactivelaprotectionanti-martèlement

•1=activelaprotectionanti-martèlement Lavaleurpardéfautest1.

SWANTIHAMMERRETRIES

Indiquelenombremaximaledetentatives.Lavaleurpar défautest5. Remarque:Ceparamètrenefonctionnequelorsque SWANTIHAMMERestactivé.

SWANTIHAMMERTIMEOUTIndiqueladuréed'expiration.Lavaleurpardéfautest120.

Remarque:Ceparamètrenefonctionnequelorsque SWANTIHAMMERestactivé.

Chapitre2.Installation17

Tableau8.OptionsprisesenchargeparLenovoFingerprintSoftware(suite)

ParamètreDescription

SWAUTHTIMEOUT•0=désactiveledélaid'expirationdel'authentication

•1=activeledélaid'expirationdel'authentication

Lavaleurpardéfautest1.

SWAUTHTIMEOUTVALUEIndiqueladuréed'inactivité(ensecondes)avant

l'expirationdel'authentication.Lavaleurpardéfautest

120.

Remarque:Ceparamètrenefonctionnequelorsque SWAUTHTIMEOUTestactivé.

SWNONADMIFPLOGONONLY•0=désactiverlaconnexionparempreintesdigitales

uniquementpourlesutilisateursquinesontpas administrateurs.

•1=activerlaconnexionparempreintesdigitales uniquementpourlesutilisateurquinesontpas administrateurs.

Lavaleurpardéfautest1.

SWSHOWPOWERON•0=n'afchepaslesoptionsdesécuritéàlamisesous

tension

•1=afchetoujourslesoptionsdesécuritéàlamise soustension

Lavaleurpardéfautest0.

CSS•0=considèrequeCSSn'estpasinstallé

•1=considèrequeCSSestinstallé

Lavaleurpardéfautest0.

SystemsManagementServer

LesinstallationsdeSMS(SystemsManagementServer)sontégalementprisesencharge.Ouvrezlaconsole d'administrationSMS.Créezunnouveaumoduleetdénissezsespropriétésdefaçonstandard.Ouvrez lemoduleetsélectionnezNouveauprogrammedansProgrammes.Surlalignedecommande,entrezla commandesuivante:

Setup.exe/myourmiflename/q/i

Vouspouvezutiliserlesmêmesparamètresquepourl'installationenmodesilencieux.

Unréamorçageanormalementlieuàlanduprocessusd'installation.Sivoussouhaitezsupprimertousles réamorçageslorsdel'installationeteffectuerunréamorçageultérieurement(aprèsl'installationd'autres programmes),ajoutezREBOOT=«ReallySuppress»àlalistedespropriétés.

18GuidededéploiementClientSecuritySolution8.21

Chapitre3.UtilisationdeClientSecuritySolution

Avantd'installerClientSecuritySolution,vousdevezprendreconnaissancedesfonctionsdepersonnalisation disponiblespourcecomposant.Leprésentchapitrecontientlesinformationsdepersonnalisationrelativesà ClientSecuritySolutionainsiquedesinformationssurlemoduleTPM(T rustedPlatformModule).Leprésent chapitreutiliselestermesdénisparleTCG(TrustedComputingGroup)concernantlemoduleTPM.Pour plusd'informationssurlemoduleTPM,reportez-vousausiteWebsuivant: http://www.trustedcomputinggroup.org/

UtilisationdumoduleTPM

LemoduleTPM(T rustedPlatformModule)estunprocesseurdesécuritéintégré(oupucedesécurité intégrée)conçupourfournirdesfonctionsdesécuritéauxlogicielsquil'utilisent.Leprocesseurdesécurité intégréestinstallésurlacartemèredusystèmeetcommuniqueviaunbusmatériel.Lessystèmesqui contiennentunmoduleTPMpeuventcréerdesclésdechiffrementetleschiffreranqu'ellesnepuissent êtredéchiffréesqueparlemoduleTPM.Cetteprocédureestsouventappeléeencapsulaged'unecléet permetdeprotégerlaclécontretoutedivulgation.Lorsqu'unsystèmecontientunmoduleTPM,laclé d'encapsulageprincipale,appeléecléSRK(StorageRootKey),eststockéedanslemoduleTPMlui-même. Ainsi,lapartieprivéedelaclén'estjamaisexposée.Leprocesseurdesécuritéintégrépeutégalement contenird'autresclésdestockage,desclésdesignature,desmotsdepasseetd'autrespetitesunitésde données.EnraisondelafaiblecapacitédumoduleTPM,lacléSRKestutiliséepourchiffrerlesautresclés nepouvantêtrestockéessurleprocesseur.LacléSRKnequittejamaisleprocesseurdesécuritéintégréet constituelabasedustockageprotégé.

L'utilisationduprocesseurdesécuritéestfacultativeetrequiertl'interventiond'unadministrateurClient SecuritySolution.Qu'ilsoitutiliséparunutilisateurindividuelouunserviceinformatiqueenentreprise,le moduleTPMdoitêtreinitialisé.Lesopérationsultérieurestellesquelapossibilitéderécupérersuiteàun incidentsurledisquedurousurunecartemèrederemplacementsontégalementlimitéesàl'administrateur ClientSecuritySolution.

Remarque:Sivousmodiezlemoded'authenticationettentezdedéverrouillerleprocesseurdesécurité, vousdevezvousdéconnecter,puisvousreconnecterentantqu'administrateurmaître.Vouspourrezalors déverrouillerleprocesseur.Vouspouvezégalementvousconnecterentantqu'utilisateursecondaireet continueràconvertirlemoded'authentication.Celasefaitautomatiquementlorsquelesecondutilisateur seconnecte.ClientSecuritySolutiondemandeausecondutilisateursonmotdepasseoumotdepasse composé.UnefoisqueClientSecuritySolutionaeffectuélamodication,lesecondutilisateurpeut procéderaudéverrouillageduprocesseur.

UtilisationdumoduleTPM(TrustedPlatformModule)avecWindows Vista

Sil'ouverturedesessionWindowsVistaestactivéeetquelemoduleTPMestdésactivé,vousdevez désactiverlafonctiond'ouverturedesessionWindowsavantdedésactiverlemoduleTPMdanslesystème BIOSF1.Vouséviterezainsil'afchagedumessagedesécuritésuivant:Securitychiphasbeen deactivated,thelogonprocesscannotbeprotected.

Deplus,sivousmettezàniveaulesystèmed'exploitationd'unsystèmeclient,vousdevezeffacerlecontenu duprocesseurdesécuritépouréviterl'échecdel'enregistrementdeClientSecurity.Poureffacerle contenuduprocesseurdanslesystèmeBIOSF1,lesystèmedoitêtredémarréàpartird'unredémarrage. Vousnepourrezpaseffacerlecontenuduprocesseursivoustentezd'effectuerceprocessusaprèsun redémarrageautomatique.

©CopyrightLenovo2008,2012

GestiondeClientSecuritySolutionàclésdechiffrement

LestâchesdebasedeClientSecuritySolutionseregroupentautourdedeuxactivitésdedéploiement principales:l'affectationdel'administrateurCSS(commandeTakeOwnership)etl'enregistrement d'utilisateurs(commandeEnrollUser).Lorsdelapremièreexécutiondel'assistantdecongurationClient SecuritySolution,lesprocéduresTakeOwnershipetEnrollUsersonttoutesdeuxexécutéeslorsde l'initialisation.L'IDutilisateurWindowsspéciquequiaexécutél'assistantdecongurationClientSecurity Solutioncorrespondàl'administrateurClientSecuritySolutionetestinscritcommeutilisateuractif.Ilsera automatiquementdemandéàtoutautreutilisateurseconnectantausystèmedes'inscriredansClient SecuritySolution.

•T akeOwnership UnseulIDutilisateuradministratifWindowsestaffectécommeadministrateurClientSecuritySolution exclusifpourlesystème.Lesfonctionsd'administrationdeClientSecuritySolutiondoiventêtre obligatoirementexécutéesviacetIDutilisateur.L'autorisationd'accèsaumoduleTPM(TrustedPlatform Module)estconstituésoitparlemotdepasseWindowsdel'utilisateur,soitparlemotdepassecomposé ClientSecurity.

Remarque:Leseulmoyenderécupérerunmotdepassesimpleoucomposédel'administrateur ClientSecuritySolutionencasd'oubliconsisteàdésinstallerlelogicielavecdesautorisationsWindows valablesouàeffacerleprocesseurdesécuritédansleBIOS.Quelquesoitlemoyenchoisi,lesdonnées protégéesvialesclésassociéesaumoduleTPMserontperdues.ClientSecuritySolutionfournit égalementunmécanismefacultatifquipermetlarécupérationpersonnelled'unmotdepasseoumotde passecomposéoubliébaséesurunequestion-réponse.L'administrateurClientSecuritySolutiondécide d'utiliserounonlafonction.

•EnrollUser UnefoislaprocédureTakeOwnershipterminéeetl'administrateurClientSecuritySolutioncréé,uneclé debaseutilisateurpeutêtrecrééepourstockerlesdonnéesd'identicationdemanièresécuriséepour l'utilisateuractuellementconnectéàWindows.Cettefonctionpermetàplusieursutilisateursdes'inscrire dansClientSecuritySolutionetd'utiliserlemêmemoduleTPM.Lesclésd'utilisateursontprotégéesvia leprocesseurdesécurité,maissontstockéesnonpassurceprocesseurmaissurledisquedur.Cette fonctioncréeunespacesurledisquedurcommefacteurdelimitationdestockageaulieud'utiliserla mémoireréelleprésentedansleprocesseurdesécurité.Celapermetd'augmenterconsidérablement lenombred'utilisateurspouvantutiliserlemêmematérielsécurisé.

TakeOwnership

LasécuritédeClientSecuritySolutionestbaséesurlacléSRK(SystemRootKey).Cettecléasymétriquene pouvantfairel'objetd'aucunemigrationestgénéréeauseindel'environnementsécurisédumoduleTPMet n'estjamaisexposéedanslesystème.L'autorisationderéutiliserlacléprovientducompteadministrateur Windowslorsdel'exécutiondelacommandeTPM_T akeOwnership.Silesystèmeréutiliseunmotde passecomposéClientSecurity,c'estlemotdepassecomposéClientSecurityassociéàl'administrateur ClientSecuritySolutionquiconstituel'autorisationTPM.Autrement,c'estlemotdepasseWindowsde l'administrateurClientSecuritySolution.

OutrelacléSRKcrééepourlesystème,d'autrespairesdecléspeuventêtrecrééesetstockéesendehors dumoduleTPM,maisencapsuléesouprotégéesparlesclésmatérielles.Etantdonnéquelemodule TPM,quicomprendlacléSRK,estunmatérieletquelematérielpeutêtreendommagé,unmécanisme derécupérationestnécessairepourêtresûrqu'unendommagementdusystèmen'empêcherapasla récupérationdesdonnées.

Lorsqu'unerécupérationdusystèmeestnécessaire,uneclédebasesystèmeestcréée.Cettecléde stockageasymétriquepermetàl'administrateurClientSecuritySolutionderécupérerd'unepermutationde cartemèreoud'unemigrationplaniéeversunautresystème.Pourprotégerlaclédebasesystèmemais luipermettrederesteraccessibledurantlefonctionnementnormaldusystèmeoularécupération,deux

20GuidededéploiementClientSecuritySolution8.21

instancesdecetteclésontcrééesetprotégéespardeuxméthodesdistinctes.Lapremièreinstancede

System Level Key Structure - Take Ownership

Trusted Platform Module

Encrypted via derived AES Key

Storage Root Private Key

Storage Root Public Key

System Leaf Private Key

System Base Private Key

System Leaf Public Key

System Base Public Key

System Base Private Key

System Base Public Key

If Passphrase

loop n times

CSS Admin PW/PP

One-Way Hash

System Base AES

Protection Key (derived via output of hash algorithm)

Auth

laclédebasesystèmeestchiffréeavecuneclésymétriqueAESquiestdérivéedumotdepasseoudu motdepassecomposéClientSecuritydel'administrateurClientSecuritySolution.Cettecopiedelaclé derécupérationdeClientSecuritySolutionauniquementpourbutdepermettreunerécupérationencas d'effacementdumoduleTPMouderemplacementdelacartemèrelorsd'unincidentmatériel.

LasecondeinstancedelacléderécupérationdeClientSecuritySolutionestencapsuléeparlacléSRK envuedel'importerdanslahiérarchiedesclés.Cettedoubleinstancedelaclédebasesystèmepermet aumoduleTPMdeprotégerlesdonnéessecrètesquiluisontassociéesencasd'utilisationnormaleetde permettreunerécupérationdelacartemère(aucasoùelleseraitendommagée)vialaclédebasesystème quiestchiffréeavecunecléAESdéverrouilléeparlemotdepasseadministrateurClientSecuritySolutionou lemotdepassecomposéClientSecurity.Ensuite,unecléélémentairesystèmeestcréée.Cettecléest crééepourprotégerlesdonnéescondentiellesauniveaudusystèmetellesquelacléAES.

Lediagrammesuivantfournitlastructurepourlaclésystème:

Figure1.Structuredeclédeniveausystème-Affectationdel'administrateur

EnrollUser

PourquelesdonnéesdechaqueutilisateurpuissentêtreprotégéesparlemêmemoduleTPM,unecléde baseutilisateurestcrééepourchaqueutilisateur.Cetteclédestockageasymétriquepeutfairel'objetd'une migrationetestégalementcrééeendoubleetprotégéeparunecléAESsymétriquegénéréeàpartirdumot depasseWindowsdechaqueutilisateuroudumotdepassecomposéClientSecurity.

LasecondeinstancedelaclédebaseutilisateurestensuiteimportéedanslemoduleTPMetprotégéeparla cléSRKdusystème.Unecléasymétriquesecondaire,appeléecléélémentaire,estcrééenmêmetempsque laclédebaseutilisateur.Lacléélémentaireprotègelesdonnéescondentiellesindividuellestellesquelaclé AESdePasswordManagerutiliséepourprotégerlesinformationsdeconnexionInternet,lemotdepasse utilisépourprotégerdesdonnéesetlacléAESdemotdepasseWindowsutiliséepouraccéderausystème d'exploitation.L'accèsàlacléélémentaireutilisateurestcontrôléparlemotdepasseutilisateurWindowsou lemotdepassecomposéClientSecuritySolutionetestautomatiquementdéverrouillédurantlaconnexion.

Chapitre3.UtilisationdeClientSecuritySolution21

Lediagrammesuivantfournitlastructurepourlacléutilisateur:

User Level Key Structure - Enroll User

Trusted Platform Module

Encrypted via derived AES Key

Storage Root Private Key

Storage Root Public Key

User Leaf Private Key

User Base Private Key

User Leaf Public Key

User Base Public Key

Windows PW AES Key

PW Manager AES Key

User Base Private Key

User Base Public Key

If Passphrase

loop n times

User PW/PP

One-Way Hash

User Base AES

Protection Key (derived via output of hash algorithm)

Auth

Figure2.Structuredeclédeniveauutilisateur-Inscriptiondel'utilisateur

Enregistrementenarrière-plan

ClientSecuritySolution8.21prendenchargel'enregistrementd'utilisateursenarrière-plan,quiestdémarrée automatiquement.Leprocessusd'enregistrementestexécutéenarrière-plansansafcherdenotication.

Remarque:L'enregistrementenarrière-plann'estdisponiblequepourl'enregistrementd'utilisateurs démarréeautomatiquement.Pourl'enregistrementd'utilisateursdémarréemanuellement,danslemenu DémarrerouRéinitialiserlesparamètresdesécurité,uneboîtededialogues'afchepourindiquerà l'utilisateurdepatienteravantquel'enregistrementd'utilisateurssoitdisponible.

L'administrateurlocaloul'administrateurdedomainepeutégalementforcerl'afchagedelaboîtede dialogueenmodiantlarègleci-dessouscommesuit:

CSS_GUI_ALWAYS_SHOW_ENROLLMENT_PROCESSING

Ouenmodiantlacléderegistreci-dessouscommesuit:

HKLM\software\policies\lenovo\clientsecuritysolution\GUIoptions\ AlwaysShowEnrollmentProcessing

LavaleurpardéfautdeAlwaysShowEnrollmentProcessingest0.Lorsquelacléderegistreci-dessusest déniesur0,laboîtededialogued'attentenes'afchepaspourl'enregistrementd'utilisateursdémarrée automatiquement.Lorsquecetterègleestdéniesur1,laboîtededialogued'attentes'afchetoujourslors del'enregistrementd'utilisateursquelesoitlemodededémarragedel'enregistrement.

Emulationdelogiciel

Pourproposerunenvironnementcohérentàl'utilisateurdontl'ordinateurn'estpaséquipédumoduleTPM, CSSprendenchargelemoded'émulationTPM.

Lemoded'émulationTPMestuneracined'approbationlogicielle.Lesmêmesfonctionnalitésquedansle moduleTPM,notammentlasignatureélectronique,ledéchiffrementdecléssymétriques,l'importationdeclé

22GuidededéploiementClientSecuritySolution8.21

RSA,laprotectionetlagénérationdenumérosaléatoires,sontdisponibles,maislasécuritéestmoindrecar laracined'approbationtientdansdescléslogicielles.

Lemoded'émulationTPMnepeutpasêtreutilisécommesubstitutsécurisépourlemoduleTPM.Le moduleTPMproposelesdeuxméthodesdeprotectionparcléci-dessous,quisontplussécuriséesquele moded'émulationTPM.

•TouteslesclésutiliséesparlemoduleTPMsontprotégéesparuneclédeniveauracineunique.Cette cléestcrééedanslemoduleTPMetnepeutpasêtreutiliséeendehorsdumoduleTPM.Danslemode d'émulationTPM,laclédeniveauderacineestuneclélogiciellestockéesurledisquedur.

•TouteslesopérationssurlesclésprivéessonteffectuéesdanslemoduleTPM,anqueleséléments declésprivéesnesoientjamaisexposésendehorsdumoduleTPM.Danslemoded'émulationTPM, touteslesopérationssurlesclésprivéessonteffectuéesdanslelogiciel,donciln'yaaucuneprotection desélémentsdeclésprivées.

Lemoded'émulationTPMestprincipalementdestinéauxutilisateurspourlesquelslasécuritéetlavitesse deconnexionausystèmenesontpasvitales.

Remplacementdecartemère

Leremplacementdelacartemèreimpliquequel'anciennecléSRKàlaquellelesclésétaientassociées n'estplusvalableetqu'ilfaututiliseruneautrecléSRK.Celapeutégalementseproduiresilemodule TPMesteffacéduBIOS.

L'administrateurClientSecuritySolutiondoitalorslierlesaccréditationsdusystèmeàunenouvellecléSRK. LaclédebasesystèmedoitêtredéchiffréevialaclédeprotectionAESdebasesystèmedérivéedes accréditationsd'autorisationdel'administrateurClientSecuritySolution.

SiunadministrateurClientSecuritySolutionpossèdeunIDutilisateurdedomaineetquelemotdepasse associéàcetIDaétémodiésuruneautremachine,lemotdepasseutilisélorsdeladernièreconnexion ausystèmenécessitantunerécupérationdevraêtreconnupourqueledéchiffrementdelaclédebase systèmepuisseêtreeffectuédanslecadredelarécupération.Parexemple,durantledéploiement,unID administrateurClientSecuritySolutionetunmotdepasseassociésontcongurés.Silemotdepassede cetutilisateurestmodiésuruneautremachine,lemotdepassed'originedénidurantledéploiement constitueral'autorisationrequisepourpouvoireffectuerlarécupérationdusystème.

Poureffectuerleremplacementd'unecartemère,procédezcommesuit:

1.L'administrateurClientSecuritySolutionseconnecteausystèmed'exploitation.

2.Lecodeexécutélorsdelaconnexion(cssplanarswap.exe)détectequeleprocesseurdesécuritéest désactivéetdemandeunredémarragepourpouvoirl'activer.(Cetteétapepeutêtreévitéeenactivantle processeurdesécuritévialeBIOS.)

3.Lesystèmeestredémarréetleprocesseurdesécuritéestactivé.

4.L'administrateurClientSecuritySolutionseconnecteetlanouvelleprocédureTakeOwnershipest exécutée.

5.Laclédebasesystèmeestdéchiffréeàl'aidedelaclédeprotectionAESdebasesystèmequidécoule del'authenticationdel'administrateurClientSecuritySolution.Laclédebasesystèmeestimportée danslanouvellecléSRKetrétablitlacléélémentaireettouteslesautorisationsd'accèsqu'elleprotège.

6.Larécupérationdusystèmeestterminée.

Remarque:Enmodeémulation,ilestinutilederemplacerlacartemère.

Chapitre3.UtilisationdeClientSecuritySolution23

Lediagrammesuivantfournitlastructurepourleremplacementdelacartemèrelaprisedepropriété:

Motherboard Swap - Take Ownership

Trusted Platform Module

Decrypted via derived AES Key

System Leaf Private Key

Store Leaf Private Key

System Leaf Public Key

Store Leaf Public Key

System Base Private Key

System Base Public Key

If Passphrase

loop n times

CSS Admin PW/PP

One-Way Hash

System Base AES

Protection Key (derived via output of hash algorithm)

Figure3.Remplacementdelacartemère-Affectationdel'administrateur

Lorsdelaconnexiondechaqueutilisateurausystème,laclédebaseutilisateurestautomatiquement déchiffréevialaclédeprotectionAESdebaseutilisateurdécoulantdel'authenticationdel'utilisateuret importéedanslanouvellecléSRKcrééeparl'administrateurClientSecuritySolution.Lediagrammesuivant fournitlastructurepourleremplacementdelacartemère-enregistrementdel'utilisateur:

Pourconnecterunsecondutilisateuraprèsavoireffacélecontenuduprocesseurouaprèsleremplacement delacartemère,vousdevezvousconnecterentantqu'administrateurmaître.L'administrateurmaîtreest invitéàrestaurerlesclés.Unefoislesclésrestaurées,utilisezlegestionnairederèglespourdésactiverla connexionWindowsClientSecurity.Lesutilisateursrestantspeuventrestaurerleursclésrespectives. Lorsquetouslesutilisateurssecondairesontrestauréleursclés,l'administrateurmaîtrepeutactiverla fonctiondeconnexionWindowsdeClientSecuritySolution.

24GuidededéploiementClientSecuritySolution8.21

Lediagrammesuivantfournitlastructurepourleremplacementdelacartemère-enregistrementde

Motherboard Swap - Enroll User

Trusted Platform Module

Decrypted via derived AES Key

Storage Root Private Key

Storage Root Public Key

User Leaf Private Key

User Leaf Public Key

Windows PW AES Key

PW Manager AES Key

User Base Private Key

User Base Public Key

If Passphrase

loop n times

User PW/PP

One-Way Hash

User Base AES

Protection Key

(derived via output

of hash algorithm)

l'utilisateur:

Figure4.Remplacementdelacartemère-Inscriptiondel'utilisateur

UtilitairedeverrouillageEFS

ClientSecuritySolutionfournitunutilitairedelignedecommandequiactiveleverrouillagebasésurle moduleTPMdescerticatsdechiffrementutilisésparEFS(EncryptingFileSystem)pourchiffrerdeschiers etdesdossiers.Cetutilitaireprendenchargeletransfertdescerticatstiers(certicatscréésparune autoritédecertication)ainsiquelagénérationdecerticatssignésindividuellement.

LeverrouillageducerticatEFSparClientSecuritySolutionsigniequelacléprivéeassociéeàcecerticat estprotégéeparlemoduleTPM.L'accèsaucerticatestaccordéunefoisl'utilisateurauthentiéauprèsde ClientSecuritySolution.

SiaucunmoduleTPMn'estdisponible,lecerticatEFSestprotégéàl'aidedel'émulateurTPMfournitpar ClientSecuritySolution.VousdevezêtreinscritauprèsdeClientSecuritySolutionpourquelescerticats EFSsoientprotégés.

ATTENTION: SivousutilisezClientSecuritySolutionetEncryptingFileSystemEFSpourchiffrerdeschierset desdossiers,chaquefoisqueClientSecuritySolutionoulemoduleTPMnesontpasdisponibles vousnepouvezpasaccéderauxchierschiffrés.

SilemoduleTPMnerépondplus,ClientSecuritySolutionrestaurel'accèsauxdonnéeschiffréesune foislacartemèreremplacée.

Utilisationdel'utilitairedelalignedecommandeEFS

LetableausuivantfournitlesparamètresdelalignedecommandeprisenchargepourEFS:

Chapitre3.UtilisationdeClientSecuritySolution25

Tableau9.ParamètresdelignedecommandeprisenchargepourEFS

ParamètreDescription

/generate:<size>Créeuncerticatauto-signéetl'associeàEFS.Si<size>

estspécié,laclécrééeseraendehorsdelatailleenbits spéciée.Lesvaleursvalidescomprennent512,1024 et2048.Siaucunevaleur,ouunevaleurnonvalide,est spéciée,pardéfautdesclésde1024bitsserontcréées.

/sn:xxxxxxSpécielenumérodeséried'uncerticatexistantà

transféreretàassocieravecEFS.

/cn:yyyyyySpécielenom(«émisvers»)d'uncerticatexistantà

transféreretàassocieravecEFS.

/rstavailTransfèrelepremiercerticatEFSexistantdisponibleet

l'associeàEFS.

/silentN'afcheaucunesortie.Codesretourfournisparlavaleur

lorsqueleprogrammequitte.

/?or/hor/help

Afchelesinformationsd'aide.

Lorsquelemodesilencieuxn'estpasutilisélorsdel'exécution,l'utilitaireretournel'unedeserreurssuivantes:

0-"Commandcompletedsuccessfully" 1-"ThisutilityrequiresWindowsXP" 2-"ThisutilityrequiresClientSecuritySolutionversion8 .0" 3-"ThecurrentuserisnotenrolledwithClientSecuritySolution" 4-"Thespeciedcerticatecouldnotbefound" 5-"Unabletogenerateaself-signedcerticate” 6-"NoEFScerticatesweref ound" 7-"UnabletoassociatethecerticatewithEFS”

Lorsquelemodesilencieuxestutilisélorsdel'exécution,lasortieduprogrammeestunniveaud'erreur correspondantauxnumérosd'erreurafchésci-dessus.

UtilisationduschémaXML

LescriptingXMLconsisteàpermettreauxadministrateursinformatiquesdecréerdesscriptspersonnalisés pouvantêtreutiliséspourdéployeretcongurerClientSecuritySolution.Lesscriptspeuventêtreprotégés parl'exécutablexml_crypt_toolavecunmotdepassetelquelechiffrementAES.Unefoiscréée,lamachine virtuelle(vmserver.exe)acceptelesscriptsenentrée.Lamachinevirtuelleappellelesmêmesfonctionsque l'assistantdecongurationClientSecuritySolutionpourcongurerlelogiciel.

Touslesscriptssecomposentd'unebalisepermettantdedénirletypedecodageXML,leschémaXMLet aumoinsunefonctionàexécuter.LeschémaestutilisépourvaliderlechierXMLetcontrôlerlaprésence desparamètresrequis.L'utilisationd'unschéman'estpasactuellementappliquée.Chaquefonctionest inclusedansunebalisedefonction.Chaquefonctionpossèdeunordrequiindiquedansquelordrela commandeseraexécutéeparlamachinevirtuelle(vmserver.exe).Chaquefonctionpossèdeunnuméro deversion:actuellement,touteslesfonctionsensontàlaversion1.0.Chacundesscriptsexemples ci-dessouscontientuneseulefonction.Cependant,unscriptd'entraînementcontientleplussouvent plusieursfonctions.Ilestpossibled'utiliserl'assistantdecongurationClientSecuritySolutionpourcréerce genredescript.Pourplusd'informationsconcernantlacréationdescriptsavecl'assistantdeconguration, voir«AssistantdecongurationClientSecuritySolution»àlapage37.

Remarque:Sileparamètre<DOMAIN_NAME_PARAMETER>estabsentdel'unedesfonctionsnécessitant unnomdedomaine,c'estlenomd'ordinateurpardéfautdusystèmequiestutilisé.

26GuidededéploiementClientSecuritySolution8.21

Exemples

LescommandessuivantessontdesexemplesduschémaXML:

ENABLE_TPM_FUNCTION

CettecommandeactivelemoduleTPMetutilisel'argumentSYSTEM_PAP.Silesystèmepossèdedéjàun motdepassesuperviseur/administrateurBIOSdéni,cetargumentdoitêtrefourni.Sinon,cetargument estfacultatif.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment>

<FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENABLE_TPM_FUNCTION</COMMAND> <VERSION>1.0</VERSION> <SYSTEM_PAP>PASSWORD</SYSTEM_PAP>

</FUNCTION>

</CSSFile>

Remarque:Cettecommanden'estpaspriseenchargedanslemoded'émulation.

DISABLE_TPM_FUNCTION

Cettecommandeutilisel'argumentSYSTEM_PAP .Silesystèmepossèdedéjàunmotdepasse superviseur/administrateurBIOSdéni,cetargumentdoitêtrefourni.Sinon,cetargumentestfacultatif.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment

<FUNCTION> <ORDER>0001</ORDER> <COMMAND>DISABLE_TPM_FUNCTION</COMMAND> <VERSION>1.0</VERSION> <SYSTEM_PAP>password</SYSTEM_PAP>

</FUNCTION>

</CSSFile>

Remarque:Cettecommanden'estpaspriseenchargedanslemoded'émulation.

ENABLE_PWMGR_FUNCTION

CettecommandeactivePasswordManagerpourtouslesutilisateursdeClientSecuritySolution.

<?xmlversion="1.0"encoding="UTF-8"standalone="no"?>

<CSSFilexmlns="www.lenovo.com/security/CSS">

<FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENABLE_PWMGR_FUNCTION</COMMAND> <VERSION>1.0</VERSION>

</FUNCTION>

</CSSFile>

ENABLE_CSS_GINA_FUNCTION

SousWindows2000,XPetVista,cettecommandeactivelaconnexionWindowspourClientSecurity Solution:

-<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

Chapitre3.UtilisationdeClientSecuritySolution27

<registry_settings/> </tvt_deployment

<FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENABLE_CSS_GINA_FUNCTION</COMMAND> <VERSION>1.0</VERSION>

</FUNCTION>

</CSSFile>

ENABLE_UPEK_GINA_FUNCTION

Remarques:

1.Cettecommandenes'appliquequ'àThinkVantageFingerprintSoftware.

2.Cettecommanden'estpaspriseenchargedanslemoded'émulation.

Lacommandeci-dessouspermetlaconnexionWindowspourThinkVantageFingerprintetdésactivela connexionWindowspourClientSecuritySolution.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment>

<ORDER>0001</ORDER> <COMMAND>ENABLE_UPEK_GINA_FUNCTION</COMMAND> <VERSION>1.0</VERSION>

</FUNCTION>

</CSSFile>

ENABLE_UPEK_GINA_WITH_FUS_FUNCTION

Remarques:

1.Cettecommandenes'appliquequ'àThinkVantageFingerprintSoftware.

2.Cettecommanden'estpaspriseenchargedanslemoded'émulation.

Lacommandeci-dessouspermetlaconnexionaveclechangementrapided'utilisateuretdésactivela connexionWindowspourClientSecuritySolution.Lechangementrapided'utilisateurpeutnepasêtre activéselonlesparamètresdusystème.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment

<ORDER>0001</ORDER> <COMMAND>ENABLE_UPEK_GINA_WIH_FUS_FUNCTION</COMMAND> <VERSION>1.0</VERSION>

</FUNCTION>

</CSSFile>

ENABLE_AUTHENTEC_GINA_FUNCTION

Remarques:

1.CettecommandeneconcernequeLenovoFingerprintSoftware.

2.Cettecommanden'estpaspriseenchargedanslemoded'émulation.

Lacommandeci-dessouspermetlaconnexionWindowspourLenovoFingerprintetdésactivelaconnexion WindowspourClientSecuritySolution.

<tvt_deploymentxmlns="http://www.lenovo.com"

28GuidededéploiementClientSecuritySolution8.21

xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment>

<ORDER>0001</ORDER> <COMMAND>ENABLE_AUTHENTEC_GINA_FUNCTION</COMMAND> <VERSION>1.0</VERSION>

</FUNCTION>

</CSSFile>

ENABLE_AUTHENTEC_GINA_WITH_FUS_FUNCTION

Remarques:

1.CettecommandeneconcernequeLenovoFingerprintSoftware.

2.Cettecommanden'estpaspriseenchargedanslemoded'émulation.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment

<ORDER>0001</ORDER> <COMMAND>ENABLE_AUTHENTEC_GINA_WIH_FUS_FUNCTION</COMMAND> <VERSION>1.0</VERSION>

</FUNCTION>

</CSSFile>

ENABLE_NONE_GINA_FUNCTION

Sil'undescomposantsTVTliésàGINA,commelaconnexionThinkVantageFingerprintSoftware,Client SecuritySolutionouAccessConnectionestactivé,cettecommandedésactivelesconnexionsThinkVantage FingerprintSoftwareetClientSecuritySolution.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment

<FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENABLE_CSS_NONE_FUNCTION</COMMAND> <VERSION>1.0</VERSION>

</FUNCTION>

</CSSFile>

Remarque:Cettecommanden'estpaspriseenchargedanslemoded'émulation.

SET_PP_FLAG_FUNCTION

CettecommandeécritunindicateurluparClientSecuritySolutionpourdéterminersic'estlemotdepasse composéClientSecurityoulemotdepasseWindowsquidoitêtreutilisé.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment

Chapitre3.UtilisationdeClientSecuritySolution29

<COMMAND>SET_PP_FLAG_FUNCTION</COMMAND> <PP_FLAG_SETTING_PARAMETER>USE_CSS_PP</PP_FLAG_SETTING_PARAMETER> <VERSION>1.0</VERSION> </FUNCTION>

</CSSFile>

Remarque:Cettecommanden'estpaspriseenchargedanslemoded'émulation.

SET_ADMIN_USER_FUNCTION

CettecommandeposeunebalisequeClientSecuritySolutionlitpourdéterminerquiestl'administrateur. Lesparamètressontlessuivants:

•USER_NAME_PARAMETER Nomd'utilisateurdel'administrateur.

•DOMAIN_NAME_PARAMETER Nomdedomainedel'administrateur.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment

<FUNCTION> <ORDER>0001</ORDER> <COMMAND>SET_ADMIN_USER_FUNCTION</COMMAND> <USER_NAME_PARAMETER>sabedi</USER_NAME_PARAMETER> <DOMAIN_NAME_PARAMETER>IBM-2AA92582C79<DOMAIN_NAME_PARAMETER> <VERSION>1.0</VERSION> <SYSTEM_PAP>PASSWORD</SYSTEM_PAP>

</FUNCTION>

</CSSFile>

Remarque:Cettecommanden'estpaspriseenchargedanslemoded'émulation.

INITIALIZE_SYSTEM_FUNCTION

CettecommandeinitialiselafonctionsystèmedeClientSecuritySolution.Lescléssystèmesontgénérées viacetappeldefonction.Lalistedeparamètressuivanteexpliquechaquefonction:

•NEW_OWNER_AUTH_DA TA_PARAMETER Ceparamètrepermetdedénirlenouveaumotdepassepropriétairepourlesystème.Pourlenouveau motdepassepropriétaire,lavaleurdeceparamètreestcontrôléeparlemotdepassepropriétaireen cours.Silemotdepassepropriétaireencoursn'estpasdéni,lavaleurdeceparamètreesttransmiseet devientlenouveaumotdepassepropriétaire.Silemotdepassepropriétaireencoursestdéjàdéniet quel'administrateurutiliselemêmemotdepassepropriétaireencours,lavaleurdeceparamètreest transmise.Sil'administrateurutiliseunnouveaumotdepassepropriétaire,lenouveaumotdepasse propriétaireseratransmisavecceparamètre.

•CURRENT_OWNER_AUTH_DA TA_PARAMETER Ceparamètreestlemotdepassepropriétaireencoursdusystème.Silesystèmepossèdedéjàunmotde passepropriétaire,ceparamètredoittransmettrelemotdepasseprécédent.Siunnouveaumotdepasse propriétaireestdemandé,lemotdepassepropriétaireencoursesttransmisavecceparamètre.Siaucun changementdemotdepasseestconguré,lavaleurNO_CURRENT_OWNER_AUTHesttransmise.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/>

30GuidededéploiementClientSecuritySolution8.21

</tvt_deployment

<ORDER>0001</ORDER> <COMMAND>INITIALIZE_SYSTEM_FUNCTION</COMMAND> <NEW_OWNER_AUTH_DATA_PARAMETER>pass1word</NEW_OWNER_AUTH_DATA_

PARAMETER>

<CURRENT_OWNER_AUTH_DATA_PARAMETER>No_CURRENT_OWNER_AUTH</CURRENT

_OWNER_AUTH_DATA_PARAMETER>

</FUNCTION>

</CSSFile>

CHANGE_TPM_OWNER_AUTH_FUNCTION

Cettecommandemodiel'autorisationadministrateurClientSecuritySolutionetmetàjourlescléssystème enfonctiondecettemodication.Lescléssystèmesontmisesàjourviacetappeldefonction.Les paramètressontlessuivants:

•NEW_OWNER_AUTH_DA TA_PARAMETER NouveaumotdepassepropriétairedumoduleTPM.

•CURRENT_OWNER_AUTH_DA TA_PARAMETER MotdepassepropriétaireactueldumoduleTPM.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment

<FUNCTION> <ORDER>0001</ORDER> <COMMAND>CHANGE_TPM_OWNER_AUTH_FUNCTION</COMMAND> <NEW_OWNER_AUTH_DATA_PARAMETER>newPassWord</NEW_OWNER_AUTH_DATA_

PARAMETER>

<CURRENT_OWNER_AUTH_DATA_PARAMETER>oldPassWord</CURRENT_OWNER_AUTH

_DATA_PARAMETER>

</FUNCTION>

</CSSFile>

Remarque:Cettecommanden'estpaspriseenchargedanslemoded'émulation.

ENROLL_USER_FUNCTION

CettecommandeenregistreunutilisateurparticulierpourutiliserClientSecuritySolution.Cettefonctioncrée touteslesclésdesécuritépropresàunutilisateurdonné.Lesparamètressontlessuivants:

•USER_NAME_PARAMETER Nomdel'utilisateuràinscrire.

•DOMAIN_NAME_PARAMETER Nomdedomainedel'utilisateuràinscrire.

•USER_AUTH_DA TA_PARAMETER MotdepasseWindowsoumotdepassecomposéTPMaveclequelvontêtrecrééeslesclésdesécurité utilisateur.

•WIN_PW_PARAMETER LemotdepasseWindows.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/>

Chapitre3.UtilisationdeClientSecuritySolution31

</tvt_deployment

<FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENROLL_USER_FUNCTION</COMMAND> <USER_NAME_PARAMETER>sabedi</USER_NAME_PARAMETER> <DOMAIN_NAME_PARAMETER>IBM-2AA92582C79<DOMAIN_NAME_PARAMETER> <USER_AUTH_DATA_PARAMETER>myCssUserPassPhrase</USER_AUTH_DATA_PARAMETER>

<WIN_PW_PARAMETER>myWindowsPassword</WIN_PW_PARAMETER>

</CSSFile>

USER_PW_RECOVERY_FUNCTION

Cettecommandecongureunerécupérationdemotdepasseutilisateurparticulière.Lesparamètres sontlessuivants:

•USER_NAME_PARAMETER Nomdel'utilisateuràinscrire.

•DOMAIN_NAME_PARAMETER Nomdedomainedel'utilisateuràinscrire.

•USER_PW_REC_QUESTION_COUNT Nombredequestionsauxquellesl'utilisateurdoitrépondre.

•USER_PW_REC_ANSWER_DA TA_PARAMETER Réponsestockéepourunequestionparticulière.Lenomréeldeceparamètreestconcaténéavecun nombrecorrespondantàlaquestionàlaquelleilrépond.

•USER_PW_REC_STORED_PASSWORD_PARAMETER Motdepassestockéquiestprésentéàl'utilisateurlorsqu'ilaréponducorrectementàtouteslesquestions.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment

<FUNCTION> <ORDER>0001</ORDER> <COMMAND>USER_PW_RECOVERY_FUNCTION</COMMAND> <USER_NAME_PARAMETER>sabedi</USER_NAME_PARAMETER> <DOMAIN_NAME_PARAMETER>IBM-2AA92582C79<DOMAIN_NAME_PARAMETER> <USER_PW_REC_ANSWER_DATA_PARAMETER>T est1</USER_PW_REC_ANSWER_DATA_PARA

METER>

<USER_PW_REC_ANSWER_DATA_PARAMETER>T est2</USER_PW_REC_ANSWER_DATA_PARA

METER>

<USER_PW_REC_ANSWER_DATA_PARAMETER>T est3</USER_PW_REC_ANSWER_DATA_PARA

METER> <USER_PW_REC_QUESTION_COUNT>3</USER_PW_REC_QUESTION_COUNT> <USER_PW_REC_QUESTION_LIST>20000,20001,20002</USER_PW_REC_QUESTION_LIST>

</USER_PW_REC_STORED_PASSWORD_PARAMETER>Pass1word</USER_PW_REC_STORED_PASS

WORD_PARAMETER> <VERSION>1.0</VERSION>

</FUNCTION>

</CSSFile>

GENERATE_MUL TI_FACTOR_DEVICE_FUNCTION

Cettecommandegénèrelesélémentsmulti-facteurClientSecuritySolutionutiliséespourl'authentication. Lesparamètressontlessuivants:

•USER_NAME_PARAMETER-Nomd'utilisateurdel'administrateur.

32GuidededéploiementClientSecuritySolution8.21

•DOMAIN_NAME_PARAMETER-Nomdedomainedel'administrateur.

•MULTI_FACTOR_DEVICE_USER_AUTH-MotdepassecomposéClientSecurityoumotdepasse Windowspermettantdecréerlesclésdesécuritédel'utilisateur.

<?xmlversion="1.0"encoding="UTF-8"standalone="no"?>

<CSSFile=xmlns="www.ibm.com/security/CSS"> <FUNCTION> <ORDER>0001</ORDER> <COMMAND>GENERATE_MULTI_FACTOR_DEVICE_FUNCTION</COMMAND> <USER_NAME_PARAMETER>myUserName</USER_NAME_PARAMETER> <DOMAIN_NAME_PARAMETER>domainName</DOMAIN_NAME_PARAMETER> <MULTI_FACTOR_DEVICE_USER_AUTH>myCssUserPassPhrase</MUL TI_FACTOR_DEVICE_USER_AUTH> <VERSION>1.0</VERSION> </FUNCTION>

</CSSFile>

SETUP_PDA_FUNCTION

Cettecommandecongurel'environnementPredesktopàutiliseravecClientSecuritySolution:

<?xmlversion="1.0"encoding="UTF-8"standalone="no"?> <CSSFile=xmlns="www.ibm.com/security/CSS"> <FUNCTION> <ORDER>0001</ORDER> <COMMAND>SETUP_PDA_FUNCTION</COMMAND> <VERSION>1.0</VERSION> </FUNCTION>

</CSSFile>

SET_USER_AUTH_FUNCTION

Cettecommandedénitl'authenticationd'utilisateurClientSecuritySolution:

<?xmlversion="1.0"encoding="UTF-8"standalone="no"?> <CSSFile=xmlns="www.ibm.com/security/CSS"> <FUNCTION> <ORDER>0001</ORDER> <COMMAND>SET_USER_AUTH_FUNCTION</COMMAND> <VERSION>1.0</VERSION> </FUNCTION>

</CSSFile>

UtilisationdejetonsSecurIDRSA

Lamiseenplacedelaméthoded'algorithmedechiffrementdedonnéesàl'aidedejetonsSecurIDRSA enplusdeClientSecuritySolutionfourniraàvotreentrepriseunesécuritémulti-facteur.Aveclesjetons SecurIDRSA,lesutilisateurss'authentientauxréseauxetauxlogicielsenutilisantleurIDutilisateurouleur codecondentieletuneunitédejeton.L'unitédejetonafcheunechaînedenumérosquichangetoutes lessoixantesecondes.Cetteméthoded'authenticationfournitunniveaud'authenticationd'utilisateur beaucoupplusablequelesmotsdepasseréutilisables.

InstallationdujetondulogicielRSASecurID

SuivezlesétapessuivantespourinstallerlelogicielRSASecurID:

1.AccédezausiteWebsuivant: http://www.rsasecurity.com/node.asp?id=1156

2.Suivezleprocessusd'enregistrement.

3.TéléchargezetinstallezlelogicielRSASecurID.

Chapitre3.UtilisationdeClientSecuritySolution33

Congurationrequise

1.ChaqueutilisateurWindowsdoitêtreinscritauprèsdeClientSecuritySolutionpourquelelogicielRSA fonctionnecorrectementunfoisassociéàClientSecuritySolution.

2.LelogicielRSAcherche,enboucle,às'authentierauprèsd'unutilisateurWindowsnoninscritauprès deClientSecuritySolution.Inscrivezl'utilisateurauprèsdeClientSecuritySolutionpourrésoudrece problème.

Congurationdesoptionsd'accèsdelacarteàpuce

Pourcongurerlesoptionsd'accèsdelacarteàpuce,suivezlesétapesindiquéesci-dessous:

1.DanslemenuprincipalRSASecurID,cliquezsurT ools,puiscliquezsurSmartCardAccessOptions.

2.DanslepanneauSmartCardCommunication,sélectionnezleboutonradiopourAccesstheSmart CardthroughaPKCS#11module.

3.CliquezsurleboutonBrowseetnaviguezjusqu'aucheminsuivant:

C:\ProgramFiles\LENOVO\ClientSecuritySolution\csspkcs11.dll

4.Cliquezsurlechiercsspkcs11.dllpuiscliquezsurSelect.

5.CliquezsurOK.

InstallationmanuelledujetondulogicielRSASecurID

PouroptimiserlaprotectionClientSecuritySolutionaveclejetondulogicielRSASecurID,procédezcomme suit:

1.DanslemenuprincipaldujetondulogicielRSASecurID,cliquezsurFile,puiscliquezsurImport Tokens.

2.Naviguezversl'emplacementduchierSDTID,puiscliquezsurOpen.

3.DanslepanneauSelectT oken(s)toInstall,mettezenévidencelesnumérosdesériedesjetonsdu logicielchoisis.

4.CliquezsurT ransferSelectedT okensSmartCard.

Remarque:Siunjetonaunmotdepassededistribution,entrez-leàl'invite.

5.CliquezsurOK.

Priseencharged'ActiveDirectory

LecheminsuivantfournitlechemindurépertoirepourlemodulePKCS#11pourClientSecuritySolution:

C:\ProgramFiles\Lenovo\ClientSecuritySolution\csspkcs11.dll

PouroptimiserlemodulePKCS#11deClientSecuritySolution,lesrèglessuivantesdoiventêtredénies pourActiveDirectory:

1.PKCS#11Signature

2.PKCS#11Decryption

LetableausuivantfournitlazonedemodiableetladescriptiondesrèglespourPKCS#11:

34GuidededéploiementClientSecuritySolution8.21

Tableau10.ThinkVantage\ClientSecuritySolution\AuthenticationPolicies\PKCS#11Signature\CustomMode

ZonesCSS.ADM

Zonedemodiable Descriptiondezone

Valeurspossibles

Obligatoire Vériesiunmotdepasseouunmotdepassecomposé

estrequis.

•Actif –Achaquefois

–Unefoisparconnexion

•Inactif

•Nonconguré

Paramètresetrèglespourl'authenticationdulecteurd'empreintes digitales

Optiondecontournementdesempreintesdigitalesappliquée

L'optiondecontournementdesempreintesdigitalespermetàunutilisateurdecontournerl'authentication parlesempreintesdigitalesetd'utiliserunmotdepasseWindowspourseconnecter.L'utilisateurpeut sélectionneroudésélectionnercetteoptiondansl'interfaceutilisateurdePasswordManagerlorsdel'ajout d'unenouvelleentrée.

Cependant,pardéfaut,lecontournementdesempreintesdigitalesestactivémêmesicetteoptionn'est passélectionnée.celapermetàl'utilisateurdeseconnecteràWindowslorsqueledétecteurd'empreintes digitalesnefonctionnepas.Pourdésactiverl'optiondecontournementdesempreintesdigitalesappliquée, modiezlacléderegistresuivante:

[HKEY_LOCAL_MACHINE\SOFTWARE\Lenovo\ClientSecuritySolution\CSSConguration] "GinaDenyLogonDeviceNonEnrolled"=dword:00000001

Lorsquelacléderegistreestdéniecommeci-dessus,l'utilisateurnepeutpascontournerl'authentication parempreintedigitalelorsqueledétecteurd'empreintesdigitalesnefonctionnepas.

Résultatdelalectured'empreintesdigitales

Lorsdel'authenticationparempreintedigitale,larègleci-dessouscontrôlel'afchagedesrésultatsde lalectured'empreintes.

HKLM\Lenovo\TVTCommon\ClientSecuritySolution\FPSwipeResult

•FPSwipeResult=0:afchetouslesmessages.

•FPSwipeResult=1:afcheuniquementlesmessagesd'échec(valeurpardéfaut).

•FPSwipeResult=2:n'afcheaucunmessage.

Outilsdelignedecommande

LesfonctionsThinkVantageTechnologiespeuventégalementêtreimplémentéeslocalementouàdistance parlesadministrateursinformatiquesdel'entrepriseparlebiaisdel'interfacedelignedecommande.Les paramètresdecongurationpeuventêtregérésvialesparamètresd'unchiertextedistant.

ClientSecuritySolutiondisposedesoutilsdelignedecommandesuivants:

•«SecurityAdvisor»àlapage36

•«AssistantdecongurationClientSecuritySolution»àlapage37

Chapitre3.UtilisationdeClientSecuritySolution35

•«Outildechiffrementoudedéchiffrementduchierdedéploiement»àlapage37

•«Outildetraitementduchierdedéploiement»àlapage38

•«TPMENABLE.EXE»àlapage38

•«Outildetransfertdecerticat»àlapage39

•«Outild'activationdumoduleTPM»àlapage39

SecurityAdvisor

PourexécuterSecurityAdvisoràpartirdeClientSecuritySolution,cliquezsur Démarrer->Programmes->ThinkVantage->ClientSecuritySolution.CliquezsurAvancé, puissurAuditdesparamètresdesécurité.C:\ProgramFiles\Lenovo\CommonFiles\WST\wst.exeest exécutépouruneinstallationpardéfaut.

Lesparamètressontlessuivants:

Tableau11.Paramètres

ParamètresDescription

HardwarePasswords

PowerOnPasswordIndiquequ'unmotdepasseàlamisesoustensiondoit

HardDrivePassword

AdministratorPassword

WindowsUsersPasswords

Motdepasse

PasswordAge

PasswordNeverExpiresIndiquequelemotdepasseWindowsn'expirejamais.

WindowsPasswordPolicy

MinimumPasswordLengthIndiquelalongueurdesmotsdepassesurcettemachine.

MaximumPasswordAge

ScreenSaverDénitlavaleurpourl'écrandeveille.1afchecette

ScreenSaverPasswordSetIndiquequ'unmotdepassedoitêtreassociéà

ScreenSaverTimeoutIndiqueledélaiavantl'activationdel'économiseur

Dénitlavaleurpourlemotdepassematériel.1afche cettesection,0lamasque.Lavaleurpardéfautest1.

êtreactivé.Sinonunevaleurestindiquée. Indiquequ'unmotdepassed'accèsaudisquedurdoit

êtreactivé.Sinonunevaleurestindiquée. Indiquequ'unmotdepasseadministrateurdoitêtre

activé.Sinonunevaleurestindiquée. DénitlavaleurpourlemotdepasseutilisateurWindows.

1afchecettesection,0lamasque.Siceparamètreest absent,lasectionestafchéepardéfaut.

Indiquequelesmotsdepasseutilisateurdoiventêtre activés.Sinonunevaleurestindiquée.

DénitladuréedeviedumotdepasseWindowssurcet ordinateur.Autrement,unevaleurestindiquée.

Sinonunevaleurestindiquée. Dénitlavaleurpourlarèglededénitiondemotdepasse

Windows.1afchecettesection,0lamasque.Sice paramètreestabsent,lasectionestafchéepardéfaut.

Sinonunevaleurestindiquée. Indiqueladuréedeviedesmotsdepassesurcette

machine.Sinonunevaleurestindiquée.

section,0lamasque.Siceparamètreestabsent,la sectionestafchéepardéfaut.

l'économiseurd'écran.Sinonunevaleurestindiquée.

d'écransurcettemachine.Sinonunevaleurestindiquée.

36GuidededéploiementClientSecuritySolution8.21

Tableau11.Paramètres(suite)

ParamètresDescription

FileSharingDénitlavaleurpourlepartagedechiers.1afchecette

section,0lamasque.Siceparamètreestabsent,la sectionestafchéepardéfaut.

AuthorizedAccessOnlyIndiquequel'accèsauxchierspartagésdoitêtre

autorisé.Sinonunevaleurestindiquée.

ClientSecurityDénitlavaleurpourClientSecurity.1afchecette

section,0lamasque.Siceparamètreestabsent,la sectionestafchéepardéfaut.

EmbeddedSecurityChipIndiquequeleprocesseurdesécuritédoitêtreactivé.

Sinonunevaleurestindiquée.

ClientSecuritySolutionIndiquelaversiondeClientSecuritySolutionquidoitêtre

installéesurcettemachine.Sinonunevaleurestindiquée.

AssistantdecongurationClientSecuritySolution

L'assistantdecongurationClientSecuritySolutionestutilisépourcréerdesscriptsdedéploiementviades chiersXML.Lacommandesuivanteafchelesdifférentesfonctionsdel'assistant:

"C:\ProgramFiles\Lenovo\ClientSecuritySolution\css_wizard.exe"/?

Letableausuivantfournitlescommandespourl'assistantdecongurationClientSecuritySolution.

Tableau12.Commandespourl'assistantdecongurationClientSecuritySolution

ParamètreRésultat

/hou/? /name:NOMFICHIERPrécèdelecheminqualiécompletetlenomduchierde

/encryptChiffrelechierscriptàl'aideduchiffrementAES.

/pass:Précèdelemotdepassecomposépourlaprotectiondu

/novalidateDésactivelesfonctionsdevéricationdesmotsde

Afchel'aide.

déploiementgénéré.Cechierportel'extension.xml.

L'extension.encestajoutéeaunomdechieraprèsle chiffrement.Silacommande/passn'estpasexécutée, unmotdepassecomposéstatiqueestutilisépour dissimulerlechier.

chierdedéploiementchiffré.

passeetmotsdepassecomposésdel'assistant.Ainsi, unchierscriptpeutêtrecréésurunemachinedéjà congurée.Parexemple,lemotdepasseadministrateur delamachineencoursn'estpasobligatoirement celuiquiestutilisésurl'ensembledel'entreprise.Le paramètre/novalidatevouspermetd'entrerunmotde passeadministrateurdifférentdansl'interfacegraphique css_wizardpendantlacréationduchier.xml.

Exemple:

css_wizard.exe/encrypt/pass:mysecret/name:C:\DeployScript/novalidate

Outildechiffrementoudedéchiffrementduchierdedéploiement

CetoutilpermetdechiffreroudéchiffrerdeschiersdedéploiementXMLdeClientSecurity.Lacommande suivanteafchelesdifférentesfonctionsdel'outil:

"C:\ProgramFiles\Lenovo\ClientSecuritySolution\xml_crypt_tool.exe"/?

Chapitre3.UtilisationdeClientSecuritySolution37

Lesparamètressontafchésdansletableausuivant:

Tableau13.ParamètresdechiffrementoudedéchiffrementpourleschiersdedéploiementXMLdeClientSecurity

ParamètresRésultats

/hou/? NOMFICHIER

encryptoudecrypt

MOTDEPASSECOMPOSEAfcheleparamètrefacultatifquidevientobligatoiresiun

Afchel'aide. Afchelenomdechieretlecheminavecl'extension

.xmlou.enc.

Sélectionne/encryptpourleschiers.xmlet/decrypt pourleschiers.enc.

motdepassecomposéprotègelechier.

Exemples:

xml_crypt_tool.exe"C:\DeployScript.xml"/encrypt"mysecret"

xml_crypt_tool.exe"C:\DeployScript.xml.enc"/decrypt"mysecret"

Outildetraitementduchierdedéploiement

L'outilvmserver.exetraitelesscriptsdedéploiementXMLdeClientSecuritySolution.Lacommande suivanteafchelesdifférentesfonctionsdel'assistant:

"C:\ProgramFiles\Lenovo\ClientSecuritySolution\vmserver.exe"/?

Letableausuivantfournitlesparamètrespourletraitementdechiers.

Tableau14.Paramètresdetraitementdeschiers

ParamètreRésultat

NOMFICHIERCeparamètredoitavoiruneextensionXMLouENC. MOTDEPASSECOMPOSECeparamètreestutilisépourdéchiffrerunchierportant

l'extension.ENC.

Exemple:

Vmserver.exeC:\DeployScript.xml.enc"mysecret"

TPMENABLE.EXE

Lechiertpmenable.exesertàactiverouàdésactiverleprocesseurdesécurité.

Tableau15.Paramètresduchiertpmenable.exe

ParamètreDescription

/enableou/disableActiveoudésactiveleprocesseurdesécurité. /quiet

sp:mot_de_passePourWindows2000etXPuniquement,nepas

Masquelesmessagesconcernantlesmotsdepasseou erreursduBIOS.

utiliserdeguillemetsavantetaprèslemotdepasse superviseur/administrateurBIOS.

Exemple:

tpmenable.exe/enable/quiet/sp:MyBiosPW

38GuidededéploiementClientSecuritySolution8.21

Outildetransfertdecerticat

Letableauci-dessouscontientlescommutateursdelignedecommandedel'outildetransfertdecerticat pourClientSecuritySolution:

Tableau16.css_cert_transfer_tool.exe<cert_store_type><lter_type>:<name|size>|all_access|usage

ParamètreDescription

<cert_store_type>

Exemples:

<lter_type>:<name|size>

Exemples:

Voicideuxcommutateursautonomes,pourlesquelsiln'existepasdesecondargument: all_access usage

cert_store_user

cert_store_machine

cert_store_all

subject_simple_name:<name>

subject_friendly_name:<name>

issuer_simple_name:<name>

ssuer_friendly_name:<name>

key_size:<size>

Transfèretouslescerticats,sansltrage. Nefournitpasd'informationssurlalignedecommande,maislafonctionutiliséepourdéterminer

l'utilisationcorrecterenvoieTrueouFalsesilescommandestransmisessontcorrectesounon.

Ils'agitdupremierparamètreobligatoire.Ildoitêtreutilisécomme premiercommutateuretdoitinclurel'undesexemplessuivants:

Transfèreuniquementlescerticatsutilisateur.Les certicatsutilisateursontaffectésàl'utilisateuractif.

Transfèreuniquementlescerticatsutilisateur.Les certicatsordinateurpeuventêtreutiliséspartousles utilisateursautoriséssurunordinateur.

Transfèrelestypesdecerticatutilisateuretordinateur.

Ils'agitdusecondparamètreobligatoire.Ildoitêtreutiliséaprèsle paramètreobligatoire<cert_store_type>.Chaquetypedeltre(à l'exceptiondesindicationsci-dessous)doitcomporterdeuxpoints«:» aprèsetlenomdel'objetducerticat,del'autoritéoulatailledelaclé recherchéeimmédiatementaprèslesdeuxpoints.Cetutilitairedépend desminuscules/majusculesetsilenomrecherchéestunnomcomposé, comme«Autoritédecertication»,vousdevezplacerlescritèresde rechercheentredesguillemetsdoubles«»(reportez-vousauxexemples).

Transfèretouslescerticatscorrespondantaunompour lequellecerticatestémis.Lenomdel'objetest<name>.

Transfèretouslescerticatscorrespondantaunom d'afchagepourlequellecerticatestémis.Lenom d'afchageest<name>.

Transfèretouslescerticatscorrespondantaunomde l'autoritédecerticationquilesaémis.Lenomdel'autorité decerticationest<name>.

Transfèretouslescerticatscorrespondantaunom d'afchagedel'autoritédecerticationquilesaémis.Le nomd'afchagedel'autoritédecerticationest<name>.

Transfèretouslescerticatschiffrésaveclataillede clé<size>(expriméeenbits).Ils'agitd'uncritèrede correspondanteparfaite.Leprogrammenerecherchepas lescerticatschiffrésavecunetailledeclésupérieureou inférieureàcettetaille.

Outild'activationdumoduleTPM

Lechiertpm_activate_cmd.exeestutilisépouractiveroudésactiverlemoduleTPMsurlesystèmeLenovo.

Remarque:Vousdevezdisposerdedroitsd'administrateurpourexécutercettecommande.

Chapitre3.UtilisationdeClientSecuritySolution39

Tableau17.Paramètresd'activationoudedésactivationdumoduleTPMsurlesystèmeLenovo

ParamètreDescription

/helpor/?Afchelalistedesparamètres. /biospw:mot_de_passeSpécielemotdepassesuperviseurouadministrateur

duBIOS,lecaséchéant.

/deactivateDésactivelemoduleTPM.

Remarque:Sivousexécutezlechier tpm_activate_cmd.exesansleparamètre/deactivate,le moduleTPMestactivépardéfaut.

/verbose

Afcheunesortiedetexte.

Exemple:

tpm_activate_cmd.exe/? tpm_activate_cmd.exe/verbose tpm_activate_cmd.exe/biospw:pass

Priseencharged'ActiveDirectory

ActiveDirectoryestunserviced'annuaire.Lerépertoireestl'endroitoùsontstockéeslesinformations relativesauxutilisateursetauxressources.Leservicederépertoirevousaccordeunaccèspourmanipuler cesressources.

ActiveDirectoryoffreunmécanismequipermetauxadministrateursdegérerdesordinateurs,desgroupes, desutilisateurs,desdomaines,desstratégiesdesécuritéettouttyped'objetsdénisparl'utilisateur. LemécanismeutiliséparActiveDirectorypourréalisercestâchesestlastratégiedegroupe.Celle-ci permetauxadministrateursdedénirlesparamètresquipeuventêtreappliquésauxordinateursouaux utilisateursdudomaine.

LesproduitsThinkVantageutilisentactuellementdiversesméthodespourregrouperlesparamètresutilisés pourlecontrôledesparamètresprogramme,enparticulierlalectured'entréesderegistrespéciques dénisparuneapplication.

Lesexemplessuivantssontdesparamètresqu'ActiveDirectorypeutgérerpourClientSecuritySolution:

•Règlesdesécurité

•Règlesdesécuritépersonnalisées,tellesquel'utilisationd'unmotdepasseWindowsoud'unmotde passecomposéClientSecuritySolution.

FichiersADM(AdministrativeTemplateFile)

Lechiermodèled'administration(ADM)dénitlesparamètresdestratégieutilisésparlesapplications surlesordinateursclient.Cesstratégiessontdesparamètresspéciquesrégissantlecomportement del'application.Lesparamètresdestratégiedénissentaussisil'utilisateurseraautoriséàdénirdes paramètresspéciquesvial'application.

Lesparamètresdénisparunadministrateursurleserveursontdénisentantquestratégies.Parcontre, lesparamètresdénisparunutilisateursurl'ordinateurclientpouruneapplicationsontdénisentant quepréférences.SelonlesstratégiesMicrosoft,lesparamètresdestratégiesontprioritairesparrapport auxpréférences.

Parexemple,unutilisateurpeutplaceruneimaged'arrière-plansursonbureau.Ils'agitlàd'unepréférence utilisateur.Desoncôté,unadministrateurpeutcongurersurleserveurunparamètreobligeantunutilisateur

40GuidededéploiementClientSecuritySolution8.21

àavoiruneimaged'arrière-planspécique.C'estlastratégiedictéeparl'administrateurquiseraprioritaire parrapportàlapréférencedénieparl'utilisateur.

Lorsqu'unproduitThinkVantageTechnologyrechercheunparamètre,illerecherchedansl'ordresuivant:

•Stratégiessystème

•Stratégiesutilisateur

•Stratégiesutilisateurpardéfaut

•Préférencessystème

•Préférencesutilisateur

•Préférencesutilisateurpardéfaut

Commeilaétédécritprécédemment,lesstratégiesdel'ordinateuretdel'utilisateursontdéniespar l'administrateur.CesparamètrespeuventêtreinitialisésvialachierdecongurationXMLouviaune stratégiedegroupedansActiveDirectory.Lespréférencessystèmeetutilisateursontdéniesparl'utilisateur surl'ordinateurclientvialesoptionsdesinterfacesd'application.Lespréférencesutilisateurpardéfaut sontinitialiséesparlescriptdecongurationXML.Lesutilisateursnepeuventpasmodiercesvaleurs directement.Lesmodicationsapportéesàcesparamètresparunutilisateursontensuiterépercutées danslespréférencesutilisateur.

Lesclientsquin'utilisentpasActiveDirectorypeuventcréerunensemblepardéfautdeparamètres destratégiesàdéployersurdessystèmesclient.Lesadministrateurspeuventmodierlesscriptsde congurationXMLetindiquerqu'ilsseronttraitéslorsdel'installationduproduit.

Dénitiondesparamètresd'administration

L'exempleci-dessousafchelesparamètresdansl'éditeurdestratégiesdegroupeenutilisantlahiérarchie suivante:

ComputerConguration>AdministrativeT emplates>ThinkVantageTechnologies> ClientSecuritySolution>AuthenticationPolicies>MaxRetries> Passwordnumberofretries

LeschiersADMindiquentl'emplacementduregistredanslequellesparamètressereéteront.Ces paramètressetrouverontauxemplacementssuivantsdansleregistre:

Computerpolicies: HKLM\Software\Policies\Lenovo\ClientSecuritySolution\ Userpolicies: HKCU\Software\Policies\Lenovo\ClientSecuritySolution\ Def aultuserpolicies: HKLM\Software\Policies\Lenovo\ClientSecuritySolution\Userdef aults Computerpref erences: HKLM\Software\Lenovo\ClientSecuritySolution\ Userpref erences: HKCU\Software\Lenovo\ClientSecuritySolution\ Def aultuserpref erences: HKLM\Software\Lenovo\ClientSecuritySolution\Userdefaults

Paramètresdelastratégiedegroupe

Lestableauxdecettesectionfournissentdesparamètresderèglepourlacongurationdel'ordinateuretla congurationutilisateurdeClientSecuritySolution.

Maxretries

LetableausuivantfournitlesparamètresderèglepourAuthenticationpolicies,Maxretries.

Chapitre3.UtilisationdeClientSecuritySolution41

Tableau18.ComputerConguration➙ThinkVantage➙ClientSecuritySolution➙Authenticationpolicies➙ Maxretries

RègleParamètreactivéDescription

Passwordnumberof retries

Passphrasenumberof retries

Fingerprintnumberof retries

Lenombremaximal denouvelles tentativesestégalà

20. Lenombremaximal

denouvelles tentativesestégalà

20. Lenombremaximal

denouvelles tentativesestégalà

20.

Contrôlelenombremaximaldetentativesd'authenticationqu'un utilisateurpeuteffectueràl'aided'unmotdepasseWindowsavant d'êtresoumisàlarèglederemplacement.

Contrôlelenombremaximaldetentativesd'authenticationqu'un utilisateurpeuteffectueràl'aided'unmotdepassecomposéClient Securityavantd'êtresoumisàlarèglederemplacement.

Contrôlelenombremaximaldetentativesd'authenticationpar empreintedigitalequ'unutilisateurpeuteffectueravantd'êtresoumis àlarèglederemplacement.

SecureMode

LetableausuivantfournitlesparamètresderèglepourAuthenticationpolicies,Securemode.

Tableau19.ComputerConguration➙Administrativetemplates➙ThinkVantage➙ClientSecuritySolution➙ Authenticationpolicies➙Securemode

RègleParamètresactivésDescription

Motdepasse

Passphrase

Empreintedigitale

OverrideDénitleremplacementdumotdepasse,dumot

DénissezlafréquencesurEverytime(àchaque fois)ouOnceperlogon(unefoisparconnexion).

depassecomposéoudel'empreintedigitale.

Contrôlesiunmotdepasseestrequis.

Contrôlesiunmotdepassecomposé estrequis.

Contrôlesiuneempreintedigitaleest requise.

Dénitlesconditionsd'authentication delarétromigrationencasd'échecde l'authenticationnormale.

Defaultmode

LetableausuivantfournitdesparamètresderèglepourAuthenticationpolicies,Defaultmode.

Tableau20.ComputerConguration➙Administrativetemplates➙ThinkVantage➙ClientSecuritySolution➙ Authenticationpolicies➙Defaultmode

RègleParamètresactivésDescription

Motdepasse

Passphrase

Empreintedigitale

OverrideDénitleremplacementdumotdepasse,dumot

42GuidededéploiementClientSecuritySolution8.21

VouspouvezdénirlafréquencesurEverytime (àchaquefois)ouOnceperlogon(unefoispar connexion).

depassecomposéoudel'empreintedigitale.

Contrôlesiunmotdepasseestrequis.

Contrôlesiunmotdepassecomposé estrequis.

Contrôlesiuneempreintedigitaleest requise.

Dénitlesconditionsd'authentication delarétromigrationencasd'échecde l'authenticationnormale.

AuthenticationPolicies

Lalistederèglessuivantecontientdesparamètresactivésquidénissentleniveaud'authentication dechaquerègle.

•Niveaud'authenticationdelaconnexionàWindows

•Niveaud'authenticationdudéverrouillagedusystème

•Niveaud'authenticationdePasswordManager

•Niveaud'authenticationdelasignatureCSP

•Niveaud'authenticationdudéchiffrementCSP

•Niveaud'authenticationdelasignaturePKCS11

•Niveaud'authenticationdudéchiffrementPKCS11

•Niveaud'authenticationdelaconnexionàPKCS11

Letableausuivantfournitdesvaleursetdesparamètrespourlesniveauxd'authenticationprécédents:

Tableau21.ComputerConguration➙Administrativetemplates➙ThinkVantage➙ClientSecuritySolution➙ Authenticationpolicies

RègleParamètresactivésDescription

Motdepasse

Passphrase

Empreintedigitale

OverrideDénitleremplacementdumotdepasse,dumot

DénissezlafréquencesurEverytime(àchaque fois)ouOnceperlogon(unefoisparconnexion).

depassecomposéoudel'empreintedigitale.

Contrôlesiunmotdepasseestrequis.

Contrôlesiunmotdepassecomposé estrequis.

Contrôlesiuneempreintedigitaleest requise.

Dénitlesconditionsd'authentication delarétromigrationencasd'échecde l'authenticationnormale.

PasswordManager

Letableauci-dessousfournitlesparamètresderèglepourPasswordManager.

Tableau22.ComputerConguration➙ThinkVantage➙ClientSecuritySolution➙Passwordmanager

ParamètrederègleDescription

DisablePasswordManager DisableInternetExplorersupport

DisableMozillasupport

DisablesupportforWindows applications

DisableAuto-ll

DisableHotkeysupport

UseDomainltering

ContrôlesiPasswordManagerestlancéaudémarragedusystème. ContrôlesiPasswordManagerpeutstockerdesmotsdepasseàpartir

d'InternetExplorer. ContrôlesiPasswordManagerpeutstockerdesmotsdepasseàpartirdes

navigateursMozilla,ycomprisFirefoxetNetscape. ContrôlesiPasswordManagerpeutstockerdesmotsdepasseàpartir

d'applicationsWindows. ContrôlesiPasswordManagerinsèreautomatiquementdesdonnéesdans

lessitesWebetlesapplicationsWindows. ContrôlesiPasswordManagerprendenchargel'utilisationdetouchesde

raccourcipourinsérerdesdonnéesdanslessitesWebetlesapplications Windows.

ContrôlesiPasswordManagerltrelessitesWebenfonctiondes domaines.

Chapitre3.UtilisationdeClientSecuritySolution43

Tableau22.ComputerConguration➙ThinkVantage➙ClientSecuritySolution➙Passwordmanager(suite)

ParamètrederègleDescription

ProhibitedDomains

ProhibitedURLs

ProhibitedModules

Auto-llHotkey TypeandT ransferHotkey ManageHotkey

ContrôlelesdomainespourlesquelsPasswordManagern'apasledroitde stockerdesmotsdepasse.

ContrôlelesURLpourlesquellesPasswordManagern'apasledroitde stockerdesmotsdepasse.

ContrôlelesapplicationsWindowspourlesquellesPasswordManagern'a pasledroitdestockerdesmotsdepasse.

Contrôlelatouchederaccourcid'insertionautomatiqueCtrl+F2. ContrôlelatouchederaccourcidetypeetdetransfertCtrl+Maj+H. ContrôlelatouchederaccourciCtrl+Maj+B.

UserInterface

Letableauci-dessouscontientlesparamètresderèglepourl'interfaceutilisateur.

Tableau23.ComputerConguration➙ThinkVantage➙ClientSecuritySolution➙Userinterface

ParamètrederègleDescription

OptionFingerprintsoftware

OptionFileencryptionAfche,griseoumasquel'optionFileencryptiondansl'applicationClient

OptionSecuritysettingsauditAfche,griseoumasquel'optionSecuritysettingsauditdansl'application

OptionDigitalcerticatetransfer

OptionChangesecuritychipstatusAfche,griseoumasquel'optionrelativeàl'étatduprocesseurdesécurité

OptionClearsecuritychiplockoutAfche,griseoumasquel'optionrelativeàl'annulationduverrouillagedu

OptionPolicymanagerAfche,griseoumasquel'optionPolicymanagerdansl'applicationClient

OptionReset/ConguresettingsAfche,griseoumasquel'optionCongurationwizarddansl'application

OptionPasswordManager

OptionHardwarePasswordResetAfche,griseoumasquel'optionrelativeàlaréinitialisationdumotde

OptionWindowspasswordrecoveryAfche,griseoumasquel'optionrelativeàlarécupérationdumotde

OptionChangeauthenticationmodeAfche,griseoumasquel'optionChangeauthenticationmodedans

Afche,griseoumasquel'optionFingerprintsoftwaredansl'application ClientSecuritySolution.Pardéfaut:Show(afcher).

SecuritySolution.Pardéfaut:Show(afcher).

ClientSecuritySolution.Pardéfaut:Show(afcher). Afche,griseoumasquel'optionDigitalcerticatetransferdans

l'applicationClientSecuritySolution.Pardéfaut:Show(afcher).

dansl'applicationClientSecuritySolution.Pardéfaut:Show(afcher).

processeurdesécuritédansl'applicationClientSecuritySolution.Par défaut:Show(afcher).

SecuritySolution.Pardéfaut:Show(afcher).

ClientSecuritySolution.Pardéfaut:Show(afcher). Afche,griseoumasquel'optionPasswordManagerdansl'application

ClientSecuritySolution.Pardéfaut:Show(afcher).

passematérieldansl'applicationClientSecuritySolution.Pardéfaut: Show(afcher).

passeWindowsdansl'applicationClientSecuritySolution.Pardéfaut: Show(afcher).

l'applicationClientSecuritySolution.Pardéfaut:Show(afcher).

44GuidededéploiementClientSecuritySolution8.21

Tableau23.ComputerConguration➙ThinkVantage➙ClientSecuritySolution➙Userinterface(suite)

ParamètrederègleDescription

OptionEnable/disableWindows passwordrecovery

OptionEnable/disablePassword Manager

Afche,griseoumasquel'optionpermettantd'activeroudedésactiverla récupérationdemotdepasseWindowsdansl'applicationClientSecurity Solution.Pardéfaut:Show(afcher).

Afche,griseoumasquel'optionpermettantd'activeroudedésactiver PasswordManagerdansl'applicationClientSecuritySolution.Pardéfaut: Show(afcher).

Workstationsecuritytool

LetableausuivantfournitlesparamètresderèglepourWorkstationsecuritytool.

Tableau24.ComputerConguration➙ThinkVantage➙ClientSecuritySolution➙Workstationsecuritytool

StratégieParamètreDescription

MotsdepassematérielMotsdepassematérielActiveoudésactivel'afchagedesinformationsrelatives

auxmotsdepassematériel.

MotsdepassematérielPower-OnPasswordSélectionnezlavaleurrecommandéepourl'activeroule

désactiver,ouchoisissezd'ignorerceparamètre.

Motsdepassematériel

WindowsUsers Passwords

WindowsPassword Policy

ScreenSaverScreenSaverActiveoudésactivel'afchagedesinformationsrelatives

ScreenSaverScreenSaverpasswordsetNombreminimaldecaractèresautoriséspourlemotde

ScreenSaverScreenSavertimeoutDuréedeviemaximaledumotdepasse-nombredejours

FileSharingFileSharingActiveoudésactivel'afchagedesinformationsrelatives

FileSharing

HardDrivePassword

AdministratorPassword

WindowsUsersPasswords

Motdepasse

PasswordAge

Passwordneverexpires

WindowsPasswordPolicy

Minimumnumberof charactersinthepassword

Maximumpasswordage

Authorizedaccess

Sélectionnezlavaleurrecommandéepourl'activeroule désactiver,ouchoisissezd'ignorerceparamètre.

Activeoudésactivel'afchagedesinformationsrelatives auxmotsdepasseutilisateursWindows.

Sélectionnezlavaleurrecommandéepourl'activeroule désactiver,ouchoisissezd'ignorerceparamètre.

Nombremaximaldejoursautoriséspourladuréedevie dumotdepasse.

Lavaleurrecommandéepeutêtre:'True','False'ou 'Ignore'.

Activeoudésactivel'afchagedesinformationsrelatives àladénitiondesrèglesdemotsdepasseutilisateurs Windows.

Nombreminimaldecaractèresautoriséspourlemotde passe,ouignorezcettevaleur.

Duréedeviemaximaledumotdepasse-nombredejours ouignorezcettevaleurdansvosrésultats.

àladénitiondesrèglesdemotsdepasseutilisateurs Windows.

passe,ouignorezcettevaleur.

ouignorezcettevaleurdansvosrésultats.

aupartagedechiers. Lavaleurrecommandéepeutêtre:'True','False'ou

'Ignore'.

Chapitre3.UtilisationdeClientSecuritySolution45

Tableau24.ComputerConguration➙ThinkVantage➙ClientSecuritySolution➙Workstationsecuritytool(suite)

StratégieParamètreDescription

ClientSecurityClientSecurityActiveoudésactivel'afchagedesinformationsrelativesà

ClientSecurity.

ClientSecurityEmbeddedSecurityChipSélectionnezlavaleurrecommandéepourl'activeroule

désactiver,ouchoisissezd'ignorerceparamètre.

ClientSecurityClientSecuritySolution

Version

DénissezlaversionminimalerecommandéedeClient SecuritySolutionouchoisissezd'ignorerceparamètre.

ActiveUpdate

ActiveUpdateestissudelatechnologieeSupportetutiliselesclientsàmettreàjoursurlesystèmelocal pourfournirlesmodulessouhaitéssurleWebsansaucuneinterventiondel'utilisateur.ActiveUpdate recherchelesclientsàmettreàjourdisponiblesetutiliseleclientmisàjourpourinstallerlemodulesouhaité. ActiveUpdatelancelesutilitairesdemiseàjourdusystèmeoud'installationdelogicielsThinkVantagesur lesystème.

Pourdéterminersileprogrammedelancementd'ActiveUpdateestinstallé,vériezl'existencedelacléde registresuivante:

HKLM\software\lenovo\ActiveUpdate

PourappelerActiveUpdate,leprogrammeThinkVantageappelantdoitdémarrerleprogrammedelancement d'ActiveUpdateetetfournirunchierdeparamètres(voirlasectionFichierdeparamètresActiveUpdate pourunedescriptionduchierdeparamètres).

Pourdésactiverl'optiondemenuassociéeauprogrammedelancementd'ActiveUpdatedanslemenu d'aidepourtouslesprogrammesThinkVantage:

1.AccédezàlacléderegistreHKLM\software\lenovo\ActiveUpdate.

2.RenommezousupprimezlacléActiveUpdate.

FichierdeparamètresActiveUpdate

LechierdeparamètresActiveUpdatecontientlesparamètresàfourniràActiveUpdate.Leparamètre TargetAppesttransmiscommeindiquédanscetexemple:

<root>

<TargetApp>ACCESSLENOVO</TargetApp> </root> <root>

46GuidededéploiementClientSecuritySolution8.21

Chapitre4.UtilisationdeThinkVantageFingerprintSoftware

Laconsoled'identicationparempreintedigitaledoitêtreexécutéeàpartirdudossierd'installationde FingerprintSoftware.LasyntaxedebaseestFPRCONSOLE[USER|SETTINGS].LacommandeUSERou SETTINGSspécielemodedefonctionnementàutiliser.Lacommandecomplèteestdonc«fprconsole useraddTestUser».Silacommandeestinconnueousitouslesparamètresnesontpasindiqués,une courtelistedecommandess'afcheaveclesparamètrespossibles.

PourtéléchargerFingerprintSoftwareandManagementConsole,reportez-vousausiteWebLenovosuivant: http://www.lenovo.com/support/site.wss/document.do?sitestyle=lenovo&lndocid=HOME-LENOVO

OutilManagementConsole

Cettesectioncontientdesinformationssurlescommandesspéciquesàl'utilisateuretsurlescommandes desparamètresgénéraux.

Commandesspéciquesàl'utilisateur

LasectionUSERsertàenregistrerouàéditerlesutilisateurs.Sil'utilisateurencoursnedisposepasdes droitsadministrateur,lecomportementdelaconsoledépenddumodedesécuritédeFingerprintSoftware. Modesécurisé:aucunecommanden'estautorisée.Modepratique:lescommandesADD,EDITetDELETE peuventêtreexécutéesparunutilisateurstandard.Toutefois,l'utilisateurpeutuniquementmodierson proprepasseport(enregistréavecsonnomd'utilisateur).Lasyntaxeestlasuivante:

FPRCONSOLEUSERcommand

oùcommandestl'unedescommandessuivantes:ADD,EDIT,DELETE,LIST,IMPORT,EXPORT.

Tableau25.Commandesspéciquesàl'utilisateur

CommandeSyntaxeDescription

Enregistrementd'unnouvel

utilisateur

Example:

fprconsoleuseradd

domain0\testuser

fprconsoleuseradd

testuser

Editiond'unutilisateur

enregistré

Example:

fprconsoleuseredit

domain0\testuser

fprconsoleuseredit

testuser

ADD[username[|domain\ username]]

EDIT[username[|domain\ username]]

Siaucunnomd'utilisateurn'est spécié,lenomd'utilisateurencours estutilisé.

Siaucunnomd'utilisateurn'est spécié,lenomd'utilisateurencours estutilisé. Remarque:L'utilisateurenregistrédoit d'abordvériersonempreintedigitale.

©CopyrightLenovo2008,2012

Tableau25.Commandesspéciquesàl'utilisateur(suite)

CommandeSyntaxeDescription

Suppressiond'unutilisateur

Example:

fprconsoleuserdelete domain0\testuser

fprconsoleuserdelete testuser

fprconsoleuserdelete /ALL

Enumérationdesutilisateurs enregistrés

Exportationd'unutilisateur enregistréversunchier

Importationd'unutilisateur enregistré

DELETE[username[|domain\ username|/ALL]]

List

Syntax:EXPORTusername [|domain\username]le

Syntax:IMPORTleL'utilisateurestimportéàpartirdu

L'option/ALLsupprimetousles utilisateursenregistréssurcet ordinateur.Siaucunnomd'utilisateur n'estspécié,lenomd'utilisateuren coursestutilisé.

Répertorielesutilisateursenregistrés.

Cettecommandeexporteunutilisateur enregistréversunchierdudisquedur. L'utilisateurpeutalorsêtreimportéà l'aidedelacommandeIMPORTsur unautreordinateurousurlemême ordinateur,sil'utilisateurestsupprimé.

chierspécié. Remarque:Sil'utilisateurduchierest déjàenregistrésurlemêmeordinateur aveclesmêmesempreintesdigitales, laprioritéd'unutilisateursurunautre pendantleprocessusd'identication n'estpasgarantie.

Commandesdesparamètresgénéraux

LasectionSETTINGSsertàmodierlesparamètresgénérauxdeFingerprintSoftware.T outesles commandesdecettesectionrequièrentdesdroitsadministrateur.Lasyntaxeestlasuivante:

FPRCONSOLESETTINGScommand

oùcommandeestl'unedescommandessuivantes:SECUREMODE,LOGON,CAD,TBX,SSO.

Tableau26.Commandesdesparamètresgénéraux

CommandeSyntaxeDescription

Modedesécurité

Example:

Tosettoconvenientmode: fprconsolesettings securemode0

Typedeconnexion

MessageCTRL+ALT+SUPPR

SECUREMODE0|1

LOGON0|1[/FUS]

CAD0|1

Ceparamètrepermetdepasserdumode pratiqueaumodesécurisédeFingerprint Software.

Ceparamètreactive(1)oudésactive(0) l'applicationdeconnexion.Sileparamètre /FUSestutilisé,laconnexionestactivéeen modedechangementrapided'utilisateursi lacongurationdel'ordinateurlepermet.

Ceparamètreactive(1)oudésactive(0) letexteAppuyezsurCtrl+Alt+Supprdela fenêtredeconnexion.

48GuidededéploiementClientSecuritySolution8.21

Tableau26.Commandesdesparamètresgénéraux(suite)

CommandeSyntaxeDescription

Sécuritéàlamisesoustension

Connexionuniqueetsécuritéàla

misesoustension

TBX0|1

SSO0|1

Ceparamètremethorstension(0)le supportdesécuritéàlamisesoustension dansFingerprintSoftware.Lorsquele supportdesécuritéàlamisesoustension estdésactivé,aucunassistantniaucune pagedesécuritéàlamisesoustensionne s'afche,quelsquesoientlesparamètres duBIOS.

Ceparamètreactive(1)oudésactive(0) l'utilisationdesempreintesdigitalesdénies dansleBIOSpourquel'utilisateurse connecteautomatiquementunefoisses empreintesvériéesdansleBIOS.

Modesécuriséetmodepratique

FingerprintSoftwarepeuts'exécuterendeuxmodes:unmodesécuriséetunmodepratique.Lemode sécurisépermetd'obtenirunesécuritéaccrue.Desfonctionsspécialessontréservéesauxadministrateurs. Euxseulssontautorisésàseconnecteràl'aided'unmotdepasseetsansautreauthentication.

Lemodepratiqueestconçupourlesordinateurspersonnelssurlesquelsunehautesécuritén'estpas indispensable.Touslesutilisateurspeuventexécutertouteslesopérations,notammentl'éditiondes passeportsd'autresutilisateursetlaconnexionausystèmeàl'aided'unmotdepasse(sansauthentication baséesurlesempreintesdigitales).

Unadministrateurestunmembredugrouped'administrateurslocal.Unefoislemodesécurisédéni,seul l'administrateurpeutréactiverlemodepratique.

Modesécurisé-Administrateur

Pouraméliorerlasécurité,siunnomd'utilisateurouunmotdepasseerronéestentrélorsdelaconnexion, lemodesécuriséafcheunmessagesignalantqueseulunadministrateurpeutseconnecteràcetordinateur avecunnomd'utilisateuretunmotdepasse."

Tableau27.Optionspourlesadministrateursenmodesécurisé

FingerprintDescription

Créationd'unnouveaupasseportLesadministrateurspeuventcréerleurproprepasseport

etceluid'unutilisateuravecrestriction.

Editiondepasseport

Suppressiondepasseport

Lesadministrateurspeuventmodieruniquementleur proprepasseport.

Lesadministrateurspeuventsupprimertousles passeportsdesutilisateursavecrestrictionetdesautres administrateurs.Sid'autresutilisateursontrecoursàla sécuritéàlamisesoustension,l'administrateurpourra supprimerlesmodèlesutilisateurdelasécuritéàlamise soustensionàcemoment-là.

Chapitre4.UtilisationdeThinkVantageFingerprintSoftware49

Tableau27.Optionspourlesadministrateursenmodesécurisé(suite)

FingerprintDescription

Sécuritéàlamisesoustension

Paramètres

ParamètresdeconnexionLesadministrateurspeuventmodiertouslesparamètres

EcrandeveilleprotégéAccèsauxadministrateurs. Typedepasseport

Modedesécurité

ServeursProAccèsauxadministrateurs-Applicableuniquementàun

Lesadministrateurspeuventsupprimerlesempreintes digitalesdesutilisateursavecrestrictionetdes administrateursutiliséesàlamisesoustension. Remarque:Uneempreintedigitaleaumoinsdoitêtre présentelorsquelemodedesécuritéàlamisesous tensionestactivé.

deconnexion.

Accèsauxadministrateurs-Applicableuniquementàun serveur.

Lesadministrateurspeuventbasculerentrelesmodes sécuriséetpratique.

serveur.

Modesécurisé-Utilisateuravecrestriction

Lorsd'uneconnexionWindows,unutilisateurlimitédoitutiliseruneempreintedigitalepourseconnecter.Si lelecteurd'empreintesdigitalesnefonctionnepas,unadministrateurdevramodierleparamètreconcerné pouractiverlemodepratiqueetpermettreainsil'accèsàl'aided'unnomd'utilisateuretd'unmotdepasse.

Tableau28.Optionspourlesutilisateurslimitésenmodesécurisé

ParamètreDescription

Créationd'unnouveaupasseportUnutilisateuravecrestrictionnepeutpasyaccéder. Editiondepasseport

Suppressiondepasseport

SécuritéàlamisesoustensionUnutilisateuravecrestrictionnepeutpasyaccéder. Paramètresdeconnexion

EcrandeveilleprotégéUnutilisateuravecrestrictionpeutyaccéder. Typedepasseport

Modedesécurité

ServeursProUnutilisateuravecrestrictionpeutyaccéder-Applicable

Unutilisateuravecrestrictionnepeutéditerqueson proprepasseport.

Unutilisateuravecrestrictionnepeutsupprimerqueson proprepasseport.

Unutilisateuravecrestrictionnepeutpasmodierles paramètresdeconnexion.

Unutilisateuravecrestrictionnepeutpasyaccéder. Unutilisateuravecrestrictionnepeutpasmodierles

modesdesécurité.

uniquementàunserveur.

Modepratique-Administrateur

Lorsd'uneconnexionWindows,lesadministrateurspeuventseconnecteravecleurnomd'utilisateuretleur motdepasseouavecleurempreinte.

50GuidededéploiementClientSecuritySolution8.21

Tableau29.Optionspourlesadministrateursenmodepratique

ParamètresDescription

Créationd'unnouveaupasseportLesadministrateurspeuventcréeruniquementleurpropre

passeport.

Editiondepasseport

Suppressiondepasseport

Sécuritéàlamisesoustension

ParamètresdeconnexionLesadministrateurspeuventmodiertouslesparamètres

EcrandeveilleprotégéAccèsauxadministrateurs.

Typedepasseport

Modedesécurité

ServeursProAccèsauxadministrateurs-Applicableuniquementàun

Lesadministrateurspeuventmodieruniquementleur proprepasseport.

Lesadministrateurspeuventsupprimeruniquementleur proprepasseport.

deconnexion.

Accèsauxadministrateurs-Applicableuniquementàun serveur.

Lesadministrateurspeuventbasculerentrelesmodes sécuriséetpratique.

serveur.

Modepratique-Utilisateuravecrestriction

Lorsd'uneconnexionWindows,lesutilisateurslimitéspeuventseconnecteravecleurnomd'utilisateuret leurmotdepasseouleurempreinte.

Tableau30.Optionspourlesutilisateurslimitésenmodepratique

ParamètresDescription

Créationd'unnouveaupasseportUnutilisateuravecrestrictionnepeutcréerqueson

proprepasseport.

Editiondepasseport

Suppressiondepasseport

Sécuritéàlamisesoustension

Paramètresdeconnexion

EcrandeveilleprotégéUnutilisateuravecrestrictionpeutyaccéder.

Typedepasseport

Modedesécurité

ServeursProUnutilisateuravecrestrictionpeutyaccéder-Applicable

Unutilisateuravecrestrictionnepeutéditerqueson proprepasseport.

Unutilisateuravecrestrictionnepeutsupprimerqueson proprepasseport.

Unutilisateuravecrestrictionnepeutsupprimerqueses propresempreintesdigitales.

Unutilisateuravecrestrictionnepeutpasmodierles paramètresdeconnexion.

UnutilisateuravecrestrictionnepeutpasyaccéderApplicableuniquementàunserveur.

Unutilisateuravecrestrictionnepeutpasmodierles modesdesécurité.

uniquementàunserveur.

Chapitre4.UtilisationdeThinkVantageFingerprintSoftware51

Paramètrescongurables

CertainesoptionsdeFingerprintSoftwarepeuventêtreconguréesvialesparamètresderegistre.

•Interfacelogicielledepréinitialisation/misesoustension:Lemécanismed'activationdelapriseen

chargedelapréinitialisationoudelamisesoustensionàl'aided'uneempreintedigitaleetdestockage desempreintesdigitalessurleprocesseurassociénes'afchenormalementpasdansFingerprint Software,àmoinsquedesmotsdepasseBIOSoudisquedurnesoientdénissurlesystème.Ande changercecomportementetdeforcerl'afchagedecesoptionssansl'existencedemotsdepasseBIOS oudisquedur,ajoutezl'undesélémentsci-dessous,quis'appliqueàvotretyped'ordinateur,auregistre:

[HKEY_LOCAL_MACHINE\SOFTWARE\ProtectorSuiteQL\1.0]

EG_DWORD"BiosFeatures"=2

[HKEY_LOCAL_MACHINE\SOFTWARE\ProtectorSuiteQL\1.0]

REG_DWORD"BiosFeatures"=4

CeparamètreestutilelorsqueSafeGuardEasyestinstallésurunsystèmesansmotsdepasseBIOSet qu'ilutilisel'authenticationparempreintedigitalepourdéchiffrerledisquedur.

•Sons:FingerprintSoftwarepeutêtrecongurépourproduireunsoncontenudansunchier.wavlorsdu

processusd'authenticationparempreintedigitale,etdanscertainescirconstances.Lesparamètresde registrepourcessonssontlessuivants:

[HKEY_LOCAL_MACHINE\SOFTWARE\ProtectorSuiteQL\1.0\settings]

‘Success ’ REG_SZ“sndSuccess”=[pathtosoundle] Theledesignatedwillplaywheneverasuccessfulswipeisregistered.

Failure’ REG_SZ“sndFailure”=[pathtosoundle] Theledesignatedwillplaywheneveranunsuccessf ulswipeisattempted.

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\ngerprint

Scan’ REG_SZ“sndScan”=[pathtosoundle] Theledesignatedwillplaywheneverthengerprintverication

dialogisdisplayedforClientSecuritySolution-relatedoperations.

Ifthevalueisnotpresentorisemptythennosoundisplayed.

Quality’ REG_SZ“sndQuality”=[pathtosoundle] Theledesignatedwillplaywheneveranunreadableswipehasoccurred. Ifthevalueisnotpresentorisemptythennosoundisplayed.

•Validationdumotdepasselorsdudéverrouillagedusystème:pardéfaut,FingerprintSoftware

validelemotdepassestockélorsdudéverrouillagedusystème.Lavalidationimpliquedecontacterle contrôleurdedomaineetpeutentraînerunretard.Pouréviterlejour,désactivezlavalidationdumotde passelorsdudéverouillagedusystèmeetenmodiantleregistredelamanièresuivante:

[HKEY_LOCAL_MACHINE\SOFTWARE\ProtectorSuiteQL\1.0\settings] REG_DWORD"DoNotTestUnlock"=1

FingerprintSoftwarecontinueàvaliderlemotdepasselorsdelaconnexiondusystème.

Remarque:Lorsquelacléderegistreci-dessusestdéniesur1,sil'administrateurdedomainemodier l'utilisateurlorsquesonsystèmeestverrouillé,FingerprintSoftwarepossèdel'ancienmotdepasse stockéjusqu'àcequel'utilisateursedéconnecteetsereconnecte.

52GuidededéploiementClientSecuritySolution8.21

FingerprintSoftwareetNovellNetwareClient

Pourprévenirtoutconit,lesnomsd'utilisateuretlesmotsdepasseFingerprintSoftwareetNovellNetware Clientdoiventcorrespondre.SivousavezinstalléFingerprintSoftwaresurvotreordinateur,puisNovell NetwareClient,certainsarticlesduregistrepeuventavoirétéécrasés.Sivousrencontrezdesproblèmes aveclaconnexionFingerprintSoftware,allezsurl'écrandesparamètresdeconnexionetréactivezLogon Protector.

SiNovellNetwareClientestinstallésurvotreordinateurmaisquevousnevousêtespasconnectéau clientavantd'installerFingerprintSoftware,l'écranNovellLogons'afchera.Indiquezlesinformations demandéesparcetécran.

Remarque:Lesinformationsdecettesections'appliquentuniquementàThinkVantageFingerprintSoftware.

Pourmodierlesparamètresduprotecteurdeconnexion,procédezcommesuit:

•Démarrezlecentredecontrôle.

•CliquezsurSettings.

•Cliquezsurl'ongletLogonsettings.

•Activezoudésactivezleprotecteurdeconnexion.Sivoussouhaitezutiliserlaconnexionparempreinte digitale,cochezlacaseReplaceWindowslogonwithngerprint-protectedlogon.

Remarque:L'activationetladésactivationduprotecteurdeconnexionnécessiteunréamorçage.

•Activezoudésactivezlechangementrapided'utilisateur,s'ilestprisenchargeparvotresystème.

•(Facultatif)Activezoudésactivezlaconnexionautomatiquepourunutilisateurauthentiéparundispositif desécuritéàlamisesoustension.

•DénissezlesparamètresdeconnexionNovell.Lesparamètressuivantssontdisponibleslorsquevous vousconnectezàunréseauNovell:

–Activé

FingerprintSoftwarefournitautomatiquementlesautorisationsd'accèsconnues.Silaconnexionà Novelléchoue,l'écrandeconnexiondeNovellClients'afcheainsiqu'unmessagevousdemandant d'entrerlesdonnéescorrectes.

–Askduringlogon

FingerprintSoftwareafchel'écrandeconnexiondeNovellClientainsiqu'uneinviteàentrerles donnéesdeconnexion.

–Inactif

FingerprintSoftwarenetentepasdeconnexionNovell.

Authentication

ProcédezcommesuitpourpasserdeNovellàFingerprintSoftware:

1.InstallezFingerprintSoftware.

2.InstallezNovellNetwareClient.

3.Al'invite,cliquezsurY espourvousconnecter.

4.Réamorcez.

5.Al'invite,cliquezsurY espourvousconnecteràFingerprintSoftware.

6.DémarrezNovellNetwareClient.

7.Authentiez-vousauprèsduserveur.

8.Connectez-vousàWindows.

Chapitre4.UtilisationdeThinkVantageFingerprintSoftware53

9.Réamorcez.

Remarque:VotreIDetvotremotdepassed'authenticationpourWindowsetNovelldoiventêtre identiques.

ServiceThinkVantageFingerprintSoftware

Leserviceupeksvr.exeestajoutéausystèmeunefoisqueThinkVantageFingerprintSoftwareestinstallé.Il estexécutéaudémarrageetchaquefoisquel'utilisateurseconnecte.Leserviceupeksvr.exeestl'élément principaldeThinkVantageFingerprintSoftware.Ilexécutetouteslesopérationsaveclepériphériqueet lesdonnéesdel'utilisateur.Ilafcheégalementtoutel'interfaceutilisateurdevéricationbiométriqueet permetunaccèssécuriséauxdonnéesdel'utilisateur.

54GuidededéploiementClientSecuritySolution8.21

Chapitre5.UtilisationdeLenovoFingerprintSoftware

Laconsoled'identicationparempreintedigitaledoitêtreexécutéeàpartirdudossierd'installationde LenovoFingerprintSoftware.LasyntaxedebaseestFPRCONSOLE[USER|SETTINGS].Lacommande USERouSETTINGSpréciselesopérationsquiserontexécutées.Lacommandecomplèteest«fprconsole useraddTestUser».Silacommandeestinconnueousitouslesparamètresnesontpasindiqués,laliste descommandesabrégéess'afcheaveclesparamètrespossibles.

OutilManagementConsole

Pourplusd'informationssurl'outilManagementConsoledeLenovoFingerprintSoftware,voir«Outil ManagementConsole»àlapage47pourréférence.

ServiceLenovoFingerprintSoftware

Remarque:LenovoFingerprintSoftwarenécessiteleservicedeterminalsurlesystème.Sivousdésactivez

leservicedeterminal,desrésultatsinattenduspeuventseproduiredansLenovoFingerprintSoftware.

Lesservicesci-dessoussontajoutésausystèmeunefoisqueLenovoFingerprintSoftwareestinstallé:

•ATService.exe(activépardéfaut) VousdevezactiverleserviceATService.exepourutiliserlesystèmedelectured'empreintesdigitales.Ce servicegèrelesdemandesprovenantd'applicationsavecledétecteurd'empreintesdigitales.

•ADMonitor.exe(désactivépardéfaut) VousdevezactiverleserviceADMonitor.exepourprendreenchargel'administrationd'ActiveDirectory. Ceservicecontrôlelesmodicationsrépercutéesdansleregistreàpartird'ActiveDirectoryetreèteles modicationsenlocal.

Priseencharged'ActiveDirectorypourLenovoFingerprintSoftware

Letableauci-dessousindiquelesparamètresderèglepourLenovoFingerprintSoftware.

Tableau31.Paramètresdestratégie

ParamètreDescription

Enable/disablengerprintlogonSpéciel'utilisationdulecteurd'empreintesdigitalesàla

placedesmotsdepasseWindowspourseconnecter àl'ordinateur.Sivousactivezceparamètre,ilyadeux optionsquevouspouvezactiveroudésactiver:

•DisableCTRL+ALT+DELdialogforlogoninterface Sivoussélectionnezcetteoption,lemessageindiquant àl'utilisateurd'appuyersurCTRL+AL T+SUPPRest désactivé.(DisponibleuniquementdansWindowsXP .)

•Requirenon-administratorusertologonwithngerprint authentication Sivoussélectionnezcetteoption,lesutilisateursqui nesontpasadministrateurspeuventseulementse connecterenutilisantlelecteurd'empreintesdigitales.

Allowusertoretrievepasswordthroughngerprint authentication

Sivousactivezceparamètre,lesutilisateurspeuvent afcherlemotdepasseWindowspourleurcomptedans LenovoFingerprintSoftwareaprèsl'authenticationpar empreintedigitale.

Tableau31.Paramètresdestratégie(suite)

ParamètreDescription

Alwaysshowpower-onsecurityoptions

Usengerprintauthenticationinsteadofpower-onand HDpasswords

SetnumberoffailedattempsbeforelockoutDénitlenombredetentativesdeconnexionn'ayantpas

SetinactivetimeoutDénitladuréed'inactivitédusystème(ensecondes)

Allowuserstoenrollngerprints

Allowuserstodeletengerprints

Allowuserstoimport/exportngerprintsSivousactivezceparamètre,lesutilisateursquinesont

Show/HideelementsinsettingtabofngerprintsoftwareSivousactivezceparamètre,lesadministrateurs

Sivousactivezceparamètre,lesutilisateurspeuvent choisird'utiliserFingerprintReaderàlaplacedes motsdepasseàlamisesoustensionetdedisque durlorsquel'ordinateurestmissoustension.Dansla fenêtred'enregistrementLenovoFingerprintSoftware, l'authenticationparempreintedigitaleàlamisesous tensionpeutêtreactivéeoudésactivéepourchaque empreinteenregistrée.

Sivousactivezceparamètre,l'authenticationpar empreintedigitaleestutiliséeàlaplacedesmotsde passedemisesoustensionetdedisquedur.

aboutiautoriséavantquel'utilisateursoitverrouillé,ainsi queladurée(ensecondes)pendantlaquellel'utilisateur estverrouillé.

autoriséeavantquel'utilisateursedéconnecte. Sivousactivezceparamètre,lesutilisateursquinesont

pasadministrateurspeuvents'enregistrerlesempreintes digitalesavecLenovoFingerprintSoftware.

Sivousactivezceparamètre,lesutilisateursquinesont pasadministrateurspeuventsupprimerdesempreintes digitalesenregistréesprécédemmentavecLenovo FingerprintSoftware.

pasadministrateurspeuventimporteretexporterdes empreintesdigitalesenregistréesprécédemmentavec LenovoFingerprintSoftware.

informatiquespeuventcontrôlerl'interfaceutilisateurde paramétragedeFingerprintSoftware.

56GuidededéploiementClientSecuritySolution8.21

Chapitre6.Pratiquesrecommandées

CechapitrecontientdesscénariosillustrantlesvaleursrecommandéespourClientSecuritySolutionet FingerprintSoftware.Cescénariocommenceparlacongurationdel'unitédedisquedur,continuepar plusieursmisesàjouretsuitlecycledevied'undéploiement.L'installationsurdesordinateursLenovoet nonLenovoestdécrite.

Exemplesdedéploiementpourl'installationdeClientSecuritySolution

Lasectionci-aprèsfournitdesexemplesd'installationdeClientSecuritySolutionsurdesordinateurs debureauetdesordinateursportables.

Scénario1

Voiciunexempled'installationsurunordinateurdebureaurépondantauxexigencesclientci-après:

•Administration –Utilisationducompteadministrateurlocalpourl'administrationdel'ordinateur.

•ClientSecuritySolution –Installationetexécutionenmodeémulation.

–LessystèmesLenovonedisposentpastousd'unmoduleTPM(TrustedPlatformModule)

(processeurdesécurité).

–ActivationdumotdepassecomposéClientSecurity.

–ProtectiondesapplicationsClientSecuritySolutionparunmotdepassecomposé.

–ActivationdelaconnexionWindowsàClientSecurity.

–ConnexionàWindowsaveclemotdepassecomposéClientSecurity.

–Activationdelafonctionderécupérationdumotdepassecomposédel'utilisateurnal.

–Permetauxutilisateursderécupérerleurmotdepassecomposéenrépondantàtroisquestions

déniesparleurssoins.

–ChiffrementduscriptXMLdeClientSecuritySolutionavecunmotdepasse=“XMLscriptPW” .

–ProtectionparmotdepasseduchierdecongurationClientSecuritySolution.

–LelogicielFingerprintpeutêtreinstalléounon.

Surl'ordinateurdepréparation:

1.OuvrezunesessionaveclecompteadministrateurlocalWindows.

2.InstallezlelogicielClientSecuritySolutionaveclesoptionssuivantes:

ClientSecuritySolution:tvtcss82_xxxx.exe/s/v"/qn“EMULATIONMODE=1”

(oùXXXXestl'IDdecompilation)

“NOCSSWIZARD=1””

3.Aprèsleredémarrage,ouvrezunesessionaveclecompteadministrateurlocaletpréparezlescriptXML pourledéploiement.Lancezlacommandesuivanteàpartirdelalignedecommande:

“C:\ProgramFiles\Lenovo\ClientSecuritySolution\css_wizarde.exe” /name:C:\ThinkCentre

Sélectionnezlesoptionssuivantesdansl'assistant:

•CliquezsurMéthodedeconnexionsécurisée➙Suivant.

•EntrezlemotdepasseWindowsducompteadministrateur,puiscliquezsurSuivant.(WPW4Admin, parexemple)

•EntrezlemotdepassecomposéClientSecurity(parexemple,CSPP4Admin)pourlecompte administrateur,cochezlacaseUtiliserlemotdepassecomposéClientSecuritypourprotéger l'espacedetravailRescueandRecoveryetcliquezsurSuivant.

•Sélectionneztroisquestionsettroisréponsespourlecompteadministrateur,puiscliquezsurSuivant. a.Comments'appelaitvotrepremieranimaldomestique?

(Médor,parexemple).

b.Quelestvotrelmpréféré?

(Autantenemportelevent,parexemple).

c.Quelleestvotreéquipepréférée?

(CarolinaHurricanes,parexemple).

•PassezenrevuelerécapitulatifetsélectionnezValiderpourcopierlechierXMLdanslerépertoire C:\ThinkCentre.xml,puiscliquezsurValider.

•CliquezsurT erminerpourfermerl'assistant.

4.Ouvrezlechierci-dessousdansunéditeurdetexte(leséditeursdescriptXMLouMicrosoftWord 2003disposentdefonctionsdeformatXMLintégrées)etmodiezlesparamètressuivants:

•Supprimeztouteslesréférencesauparamètrededomaine(Domain).Celaindiqueraauscriptqu'il

faututiliserlenomdelamachinelocalesurchaquesystème.Enregistrezlechier.

5.Utilisezl'outilprésentdanslerépertoireC:\ProgramFiles\Lenovo\ClientSecurity Solution\xml_crypt_tool.exepourchiffrerlescriptXMLavecunmotdepasse.Pourexécutercechier àpartird'unelignedecommande,utilisezlasyntaxesuivante:

a.xml_crypt_tool.exeC:\ThinkCentre.xml/encryptXMLScriptPW. b.Lechiers'appelleàprésentC:\ThinkCentre.xml.encetestprotégéparlemotdepasse

XMLScriptPW.

LechierC:\ThinkCentre.xml.encestmaintenantprêtàêtreajoutésurl'ordinateurdedéploiement.

Surl'ordinateurdedéploiement:

1.OuvrezunesessionaveclecompteadministrateurlocalWindows.

2.InstallezleslogicielsRescueandRecoveryetClientSecurityaveclesoptionssuivantes:

setup_tvtrnr40_xxxxcc.exe/s/v"/qn“EMULATIONMODE=1”

(oùxxxxestl'IDbuildetcclecodepays).

“NOCSSWIZARD=1””

Remarques:

a.Assurez-vousqueleschiers.tvtcommeZ652ZIXxxxxyy00.tvtpourWindowsXPou

Z633ZISxxxxyy00.tvtpourWindowsVista(oùxxxxestl'IDbuildetyylecodepays)setrouventdans lemêmerépertoirequelechierexécutable.Sicen'estpaslecas,l'installationnepeutpasaboutir.

b.Sivouseffectuezuneinstallationadministrateur,voir«Scénario1»àlapage57.

3.Aprèsleredémarrage,ouvrezunesessionaveclecompteadministrateurlocal.

4.AjoutezlechierThinkCentre.xml.encpréparéprécédemmentdanslerépertoireprincipalC:\.

5.PréparezlacommandeRunOnceExaveclesparamètresci-après.

•AjoutezunenouvellecléàlacléRunonceExappelée0001.Vousdevezobtenir:

HKEY_LOCAL_MACHINE\Sof tware\Microsof t\Windows\CurrentVersion\RunOnceEx\0001

•Danscetteclé,ajoutezunnomdevaleurdechaîneCSSEnrollpossédantlavaleur:

58GuidededéploiementClientSecuritySolution8.21

"C:\ProgramFiles\Lenovo\ClientSecuritySolution\vmserver.exe" C:\ThinkCenter .xml.encXMLscriptPW

6.Exécutez%rr%C:\ProgramFiles\Lenovo\RescueandRecovery\rrcmd.exe"sysprepbackuplocation=L name=”SysprepBackup.Unefoislapréparationterminée,vousobtenezlasortiesystèmesuivante:

***************************************************** **Readytotakesysprepbackup.** **** **PLEASERUNSYSPREPNOWANDSHUTDOWN.** **** **Nexttimethemachineboots,itwillboot** **tothePredesktopAreaandtakeabackup.** *****************************************************

7.ExécutezlamiseenœuvreSysprep.

8.Arrêtez,puisredémarrezl'ordinateur.IllancelaprocéduredesauvegardedansWindowsPE.

Remarque:Unmessageindiquantqu'une«restaurationestencoursmaisqu'ils'agitbiend'une sauvegarde»s'afche.Alandelasauvegarde,mettezl'ordinateurhorstension,maisneleredémarrez pas.

LasauvegardedebaseSysprepestàprésentterminée.

Scénario2

Voiciunexempled'installationsurunordinateurportablerépondantauxexigencesclientci-après:

•Administration –InstallationsurdesordinateurssurlesquelsdesversionsprécédentesdeClientSecuritySolution

sontinstallées. –Utilisationducompteadministrateurdedomainepourl'administrationdel'ordinateur. –TouslesordinateurspossèdentunmotdepassesuperviseurBIOS,BIOSpw.

•ClientSecuritySolution –UtilisationdumoduleTPM(TrustedPlatformModule).

–Touslesordinateurssontéquipésd'unprocesseurdesécurité. –ActivationdePasswordManager. –UtilisationdumotdepasseWindowscommeauthenticationpouraccéderàClientSecuritySolution. –ChiffrementduscriptXMLdeClientSecuritySolutionavecunmotdepasse=«XMLscriptPW».

–LemotdepasseprotègelechierdecongurationClientSecuritySolution.

•ThinkVantageFingerprintSoftware –VousnesouhaitezpasutiliserlesmotsdepasseBIOSetdel'unitédedisquedur.

–ConnexionavecFingerprintSoftware.

–Aprèsunepériodeinitialed'auto-enregistrementdel'utilisateur,cedernierpasseenconnexionen

modesécurisé,celanécessitantl'utilisationdel'empreintedigitalepourlesutilisateursautresque l'administrateuretpermettantuneauthenticationàdoublefacteur.

–Tutorielinclus.

–Lesutilisateursnalspeuventapprendreàpassercorrectementleurdoigtsurlelecteuretobtenir

desinformationsvisuellesenretoursurleserreursqu'ilscommettent.

Surl'ordinateurdepréparation:

Chapitre6.Pratiquesrecommandées59

1.Démarrezl'ordinateuretappuyezsurF1pouraccéderauBIOS,puisnaviguezjusqu'aumenude sécuritépoureffacerleprocesseurdesécurité.SauvegardezetquittezleBIOS.

2.OuvrezunesessionaveclecompteadministrateurdedomaineWindows.

3.InstallezlelogicielThinkVantageFingerprintexécutantlechierf001zpz2001us00.exepourextrairele chiersetup.exedumoduleweb.Lechiersetup.exeestextraitautomatiquementàl'emplacement suivant: C:\SWTOOLS\APPS\TFS5.8.2-Buildxxxx\Application\0409\setup.exe(oùxxxxestl'IDdecompilation).

4.InstallezletutorielThinkVantageFingerprintenexécutantlechierf001zpz7001us00.exepourextrairele chiertutess.exedumoduleweb.Lechiersetup.exeestextraitàl'emplacementsuivant:

C:\SWTOOLS\APPS\tutorial\TFS5.8.2Buildxxxx\Tutorial\0409\tutess.exe

5.InstallezlaconsoleThinkVantageFingerprintenexécutantlechierf001zpz5001us00.exepour extrairelechierfprconsole.exedumoduleweb.L'exécutionduchierf001zpz5001us00.exeextrait automatiquementlechiersetup.exeàl'emplacementsuivant:

C:\SWTOOLS\APPS\fpr_con\APPS\UPEK\FPRConsole\TFS5.8.2-Buildxxx\Fprconsole\fprconsole.exe

6.InstallezlelogicielClientSecuritySolutionaveclesoptionssuivantes:

tvtcss82_xxxxcc.exe/s/v”/qnNOCSSWIZARD=1SUPERVISORPW= ”BIOSpw”"

7.Aprèsleredémarrage,ouvrezunesessionaveclecompteadministrateurdedomaineWindowset préparezlescriptXMLpourledéploiement.Lancezlacommandesuivanteàpartirdelalignede commande:

“C:\ProgramFiles\Lenovo\ClientSecuritySolution\css_wizard.exe” /name:C:\ThinkPad

Sélectionnezlesoptionssuivantesdansl'assistant:

•CliquezsurMéthodedeconnexionsécurisée➙Suivant.

•EntrezlemotdepasseWindows(parexemple,WPW4Admin)pourlecompted'administrateurde

domaineetcliquezsurSuivant.

•EntrezlemotdepassecomposéClientSecuritypourlecomptedel'administrateurdedomaine.

•CochezIgnorePasswordRecoverySetting,puiscliquezsurNext.

•Examinezlerécapitulatif,puiscliquezsurAppliquerpourcopierlechierXMLdans

C:\ThinkPad.xml

•CliquezsurT erminerpourfermerl'assistant.

8.Utilisezl'outilprésentdanslerépertoireC:\ProgramFiles\Lenovo\ClientSecurity Solution\xml_crypt_tool.exepourchiffrerlescriptXMLavecunmotdepasse.Apartird'uneligne decommande,tapezlacommandesuivante:

a.xml_crypt_tool.exeC:\ThinkPad.xml/encryptXMLScriptPW. b.Lechiers'appelleC:\ThinkPad.xml.encetestprotégéparlemotdepasse=XMLScriptPW.

Surl'ordinateurdedéploiement:

1.Al'aidedesoutilsdedéploiementdelogicielsdevotreentreprise,déployezlechierexécutable setup.exedeThinkVantageFingerprintSoftwarequiaétéextraitsurchaqueordinateurdedéploiement àpartirdel'ordinateurdepréparation.Unefoislechiersetup.exeextraitsurl'ordinateur,effectuez l'installationenlançantlacommandesuivante:

setup.exeCTLCNTR=0/q/i

2.Al'aidedesoutilsdedéploiementdelogicielsdevotreentreprise,déployezlechierexécutable (tutess.exe)dututorielThinkVantageFingerprintquiaétéextraitsurchaqueordinateurdedéploiement àpartirdel'ordinateurdepréparation.Unefoislechiertutess.exeextraitsurl'ordinateur,effectuez l'installationenlançantlacommandesuivante:

tutess.exe/q/i

60GuidededéploiementClientSecuritySolution8.21

3.Al'aidedesoutilsdedéploiementdelogicielsdevotreentreprise,déployezlechierexécutable (fprconsole.exe)delaconsoleThinkVantageFingerprintquiaétéextraitsurchaqueordinateurde déploiementàpartirdel'ordinateurdepréparation.

•Placezlechierfprconsole.exedanslerépertoireC:\ProgramFiles\ThinkVantageFingerprint

Software\.

•DésactivezlapriseenchargedelasécuritédemisesoustensionduBIOSenexécutantlacommande

fprconsole.exesettingsTBX0

4.Al'aidedesoutilsdedéploiementdelogicielsdevotreentreprise,déployezlechierexécutable tvtvcss82_xxxx.exedeThinkVantageClientSolution(oùxxxxestl'IDdecompilation).

•Unefoislechiertvtvcss82_xxxx.exeextraitsurl'ordinateur,effectuezl'installationenlançantla

commandesuivante:

tvtvcss83_xxxx.exe/s/v"/qn"NOCSSWIZARD=1""SUPERVISORPW="BIOSpw""

•L'installationdulogicielactiveautomatiquementlemoduleTPM(T rustedPlatformModule).

5.Aprèsavoirredémarrélesystème,congurez-leaveclechierscriptXMLensuivantlaprocédure ci-après:

•CopiezlechierThinkPad.xml.encpréparéaupréalabledanslerépertoireC:\.

•Ouvrezuneinvitedecommandedifférenteetexécutez

"C:\ProgramFiles\Lenovo\ClientSecuritySolution\vmserver.exe"C:\ThinkPad.xml.encXMLScriptPW

6.Unefoisredémarré,lesystèmeestmaintenantprêtpourl'enregistrementdesutilisateursdeClient SecuritySolution.ChaqueutilisateurpeutseconnecterausystèmeavecsonIDutilisateuretsonmot depasseWindows.Chaqueutilisateurquiseconnecteausystèmeestautomatiquementinvitéà s'enregistrerdansClientSecuritySolution,puisalapossibilitéd'enregistrersesempreintesdigitales danslelecteurd'empreintesdigitales.

7.UnefoisquetouslesutilisateursdusystèmesesontinscritsdanslelogicielThinkVantageFingerprint, leparamètremodesécurisépeutêtreactivéand'obligertoututilisateurWindowsautreque l'administrateuràseconnecteràl'aidedesonempreintedigitale.

•Exécutezlacommandesuivante:

"C:\ProgramFiles\ThinkVantageFingerprintSof tware\fprconsole.exe"settingssecuremode1

•Dansl'écrand'ouverturedesession,poursupprimerlemessageinvitantlesutilisateurà«appuyersur

Ctrl+Alt+Supprpourseconnecteravecunmotdepasse»,exécutezlacommandesuivante:

"C:\ProgramFiles\ThinkVantageFingerprintSof tware\fprconsole.exesettings" CAD0

LedéploiementdeClientSecuritySolution8.21etdulogicielThinkVantageFingerprintestmaintenant terminé.

PassageauxmodesClientSecuritySolution

SivousbasculezClientSecuritySolutiondumodepratiqueaumodesécuriséouinversement,etquevous utilisezRescueandRecoverypoursauvegarderlesystème,procédezàunenouvellesauvegardedela basededonnéesaprèslechangementdemode.

Déploiementd'ActiveDirectoryauniveaudel'entreprise

Suivezlaprocédureci-aprèsdanslecasd'undéploiementd'ActiveDirectory:

1.Effectuezl'installationviaActiveDirectoryouLANDesk: a.ExtrayezlessauvegardesetobtenezlesrapportsviaActiveDirectoryetLANDeskconcernant

l'auteuretlemomentdel'extraction.

Chapitre6.Pratiquesrecommandées61

b.Possibilitéd'accorderàcertainsgroupeslapossibilitéd'extrairedessauvegardes,desupprimerdes

sauvegardes,deplanierdesoptionsetdesrestrictionsparmotdepasse,puisdemodierces groupesetdevoirsilesparamétragespersistent.

c.ActivezAntidoteDeliveryManagerviaActiveDirectory.Lancezl'exécutiondemodulesetvériez

lacapturedurapport.

InstallationautonomepourlesCDouleschiersscript

Pouruneinstallationsurunposteautonomed'unCDoud'unchierscript,procédezcommesuit:

1.UtilisezunchierdetraitementparlotspourinstallerClientSecuritySolutionenmodesilencieux ainsiquelatechnologieFingerprint.

2.CongurezlarécupérationdemotdepasseBIOSenmodesilencieux.

SystemUpdate

Pourlamiseàjourdusystème,procédezcommesuit:

1.InstallezClientSecuritySolutionetFingerprintviaunserveurdemiseàjourdesystèmepersonnalisé simulantlacongurationd'unserveurpourunegrandeentrepriseaulieud'utiliserunserveurLenovo pourcontrôlerlecontenu.

2.Sur-installeztroisversionsdifférentesdel'ancienlogiciel(RescueandRecovery1.0/2.0/3.0,Fingerprint, ClientSecuritySolution5.4–6,FFE).Lesparamètresdoiventêtreconservéslorsdel'installationdela nouvelleversionsurl'ancienne.

SystemMigrationAssistant

MigrezdeT40avecClientSecuritySolution7.0versT60avecClientSecuritySolution8.21.

Générationd'uncerticatàl'aidedelagénérationdeclésdansTPM

IlestpossibledegénérerdirectementdescerticatsenutilisantClientSecurityCSPetlesclésprivéesdes certicatssontgénéréesetprotégéesparTPM.PourdemanderuncerticatavecClientSecuritySolution CSP:

Congurationminimalerequise:

•Leserveurdoitcomporterlesélémentssuivants: –Windows2003Enterpriseouversionsupérieure

–ActiveDirectory –ServiceCerticateAuthority

•Leclientdoitrespecterlacongurationsuivante: –TPMactivé

–ClientSecuritySolutiondoitêtreinstallé

Demandedecerticatàpartirduserveur

Créationd'unmodèlepourunutilisateurTPM

PourcréerunmodèlepourunutilisateurTPM:

1.CliquezsurDémarrer➙Exécuter.

2.EntrezmmcetcliquezsurOK.Lafenêtredelaconsoles'afche.

62GuidededéploiementClientSecuritySolution8.21

3.DanslemenuFile,cliquezsurAdd/RemoveSnap-in,puissurAdd.LafenêtreAddStandalone snap-ins'afche.

4.CliquezdeuxfoissurCerticationAuthoritydanslalistedescomplémentsetcliquezsurClose.

5.CliquezsurOKdanslafenêtreAdd/RemoveSnap-in.

6.CliquezsurCerticateT emplatesdansl'arborescencedelaconsole.Touslesmodèlesdecerticat s'afchentdanslevoletdegauche.

7.CliquezsurAction➙DuplicateT emplate.

8.DanslazoneDisplayName,entrezTPMUser.

9.Cliquezsurl'ongletRequestHandlingetcliquezsurCSPs.SélectionnezRequestscanuseanyCSP availableonthesubject'scomputers.

10.Cliquezsurl'ongletGeneral.Assurez-vousquePublishCerticateinActiveDirectoryestsélectionné.

11.Cliquezsurl'ongletSecurity,danslalisteGrouporusernames,cliquezsurAuthenticatedUserset assurez-vousqueEnrollestsélectionnédansPermissionsforAuthenticatedUsers.

Congurationd'uneautoritédecerticationd'entreprise

Pourémettrelecerticationdel'utilisateurTPMencongurantuneautoritédecerticationd'entreprise:

1.OuvrezCerticationAuthority.

2.Dansl'arborescencedelaconsole,cliquezsurCerticateTemplates.

3.DanslemenuAction,cliquezsurNew➙CerticatetoIssue.

4.CliquezsurTPMetsurOK.

Applicationd'uncerticatàpartirduclient

Pourappliqueruncerticatàpartirduclient:

1.Connectez-vousàl'Intranet,démarrezInternetExploreretentrezl'adresseIPduserveursurlequelle serviceCAestinstallé.

2.Entrezlenomd'utilisateuretlemotdepassededomainedanslafenêtred'invite.

3.CliquezsurRequestacerticatesousSelectatask.

4.CliquezsuradvancedcerticaterequestdanslapartieinférieuredelapageWeb.

5.DanslapageAdvancedCerticateRequest,modiezlesparamètressuivants:

•SélectionnezTPMUserdanslalistedéroulanteCerticateTemplate.

•SélectionnezThinkVantageClientSecuritySolutionCSPdanslalistedéroulanteCSP.

•Assurez-vousqueMarkkeysasexportablen'estpassélectionné.

•CliquezsurSubmitetsuivezlaprocédure.

•DanslapageCerticateIssued,cliquezsurInstallthiscerticate.LapageCerticateInstalled

s'afche.

UtilisationdeclaviersUSBàempreintesdigitalesavec desmodèlesd'ordinateurportableThinkPad2008 (R400/R500/T400/T500/W500/X200/X301)

Lenovosous-traiteàdeuxfournisseurslafournituredel'authenticationparempreintesdigitalessurles modèlesd'ordinateurportableThinkPad antérieursà2008(parexemple,T61)utilisentdesdétecteursd'empreintesdigitalesThinkVantage.Les modèlesd'ordinateurportableThinkPaddatantde2008(àcompterdumodèleT400)utilisentdesdétecteurs d'empreintesdigitalesLenovo.TouslesclaviersLenovoutilisentdesdétecteursd'empreintesdigitales

etlesclaviersUSB.Lesmodèlesd'ordinateurportableThinkPad

Chapitre6.Pratiquesrecommandées63

ThinkVantage.Sileclavieràlecteurd'empreintesdigitalesestutilisésurcertainesmodèlesd'ordinateur portableThinkPad(parexemple,ThinkPadT400avecunclavierUSBexterne),desconsidérationsspéciales doiventêtreprisesencompte.

Cettesectiondécritdesscénariosd'utilisationcourantsetdesrèglesdedéploiementpourFingerprint Softwareinstallésurlesderniersmodèlesd'ordinateurportableThinkPad.

Remarque:

•LenovoFingerprintSoftware LenovoFingerprintSoftwareestlelogicielassociéaudétecteurd'empreintesdigitalesAuthenTec(par exemple,ledétecteurd'empreintesdigitalesinternedumodèleT400).

•ThinkVantageFingerprintSoftware ThinkVantageFingerprintSoftwareestlelogicielassociéaudétecteurd'empreintesdigitalesUPEK (parexemple,ledétecteurd'empreintesdigitalesinternedumodèleT61etledétecteurd'empreintes digitalesdetouslesclaviersUSBexternes).

ConnexionàWindowsVista

Pourseconnecterausystèmed'exploitationWindowsVista,vouspouvezutiliser,àtoutmoment,le détecteurd'empreintesdigitalesAuthenTecouUPEK.

1.InstallezLenovoFingerprintSoftwareversion3.2.0.275ouversionsupérieure.

2.InstallezFingerprintSoftwareversion5.8.2.4824ouversionsupérieure.

3.Redémarrezl'ordinateur.L'assistantd'enregistrementd'empreintesdigitalesdémarreautomatiquement.

4.UtilisezFingerprintSoftwarepourenregistrerlesempreintesavecledétecteurd'empreintesdigitales externe.S'ilnedémarrepasautomatiquement,cliquezsurDémarrer➙Programmes➙ThinkVantage ➙ThinkVantageFingerprintSoftwarepourcommencerl'enregistrement.

5.EntrezlemotdepasseWindowslorsquevousyêtesinvité,puischoisissezledoigtàenregistrer.

6.Suivezlesinvitesquis'afchentàl'écranpourenregistrercedoigtavecledétecteurd'empreintes digitalesexterne.

7.CliquezsurParamètresdanslapartiesupérieuredelafenêtre.

8.CochezlacaseUsengerprintscaninsteadofpasswordwhenloggingintoWindows,cliquezsur OK,puiscliquezsurClosepourfermerlafenêtre.

9.Redémarrerl'ordinateuretassurez-vousquelesempreintesdigitalespeuventêtreutiliséespourse connecteràWindowsavecledétecteurd'empreintesdigitalesexterne.

10.Utilisezlafonctiond'enregistrementd'empreintesdigitalespourenregistrervosempreintesdansle détecteurd'empreintesdigitalesinterne.S'ilnedémarrepasautomatiquement,cliquezsurDémarrer➙ Programmes➙ThinkVantage➙LenovoFingerprintSoftwarepourcommencerl'enregistrement.

11.EntrezlemotdepasseWindowslorsquevousyêtesinvité,puischoisissezledoigtàenregistrer.

12.Suivezlesinvitesquis'afchentàl'écranpourenregistrerledoigtavecledétecteurd'empreintes digitalesintégré.

13.CliquezsurParamètresdanslapartiesupérieuredelafenêtre.

14.CochezlacaseUsengerprintscaninsteadofpasswordwhenloggingintoWindows,cliquezsur OK,puiscliquezsurClosepourfermerlafenêtre.

15.Redémarrerl'ordinateuretassurez-vousquelesempreintesdigitalespeuventêtreutiliséespourse connecteràWindowsavecledétecteurd'empreintesdigitalesintégré.

64GuidededéploiementClientSecuritySolution8.21

ConnexionàWindowsXP

Pourseconnecterausystèmed'exploitationWindowsXP,vouspouvezutiliser,àtoutmoment,ledétecteur d'empreintesdigitalesAuthenTecouUPEK.

Scénario1-ThinkPadT400avecclavierUSB(nonassociéaudomaine)

Utilisezl'écrand'accueilWindowsXP .

1.InstallezLenovoFingerprintSoftwareaveclaversion3.2.0.275ouversionsupérieure.

2.InstallezThinkVantageFingerprintSoftwareaveclaversion5.8.2.4824ouversionsupérieure.

3.Activezl'écrand'accueilWindowsXP . a.OuvrezPanneaudeconguration➙Comptesutilisateur. b.CliquezsurModierlamanièredontlesutilisateursouvrentetfermentunesession. c.CochezlacaseUtiliserl'écrandebienvenue. Silacaseàcochern'estpasdisponible,voir«Scénario2-ThinkPadT400avecclavierUSB(associéà

undomaine)»àlapage65.

4.CliquezsurDémarrer➙Programmes➙ThinkVantage➙LenovoFingerprintSoftwarepour commencerl'enregistrement.

5.EntrezlemotdepasseWindowslorsquevousyêtesinvité,puischoisissezledoigtàenregistrer.

6.Suivezlesinvitesquis'afchentàl'écranpourenregistrerledoigtavecledétecteurd'empreintes digitalesintégré.

7.CliquezsurParamètresdanslapartiesupérieuredelafenêtre.

8.CochezlacaseUsengerprintscaninsteadofpasswordwhenloggingintoWindows,décochezla caseDisablefastuserswitchingsupport,cliquezsurOK,puissurClosepourfermerlafenêtre.

9.Redémarrezl'ordinateuretassurez-vousquel'empreintedigitalepeutêtreutiliséepourseconnecterà Windowsavecledétecteurd'empreintesdigitalesinterne.

10.ConnectezleclavierUSBexterne.

11.CliquezsurDémarrer➙Programmes➙ThinkVantage➙ThinkVantageFingerprintSoftwarepour commencerl'enregistrement.

12.CliquezsurFingerprints➙EnrollorEditFingerprints,puiscliquezsurNextpourafcherlafenêtre demotdepasseWindows.

13.EntrezlemotdepasseWindowslorsquevousyêtesinvité,puischoisissezledoigtàenregistrer.

14.Suivezlesinvitesquis'afchentàl'écranpourenregistrerledoigtavecledétecteurd'empreintes digitalesexterneduclavierUSB.

15.Accédezaudernierécrandel'assistantd'enregistrementd'empreintedigitale,puiscliquezsurFinish pourfermerl'assistant.

16.DanslafenêtreThinkVantageFingerprintSoftware,cliquezsurSettings➙SystemSettingspour afcherlafenêtredesparamètresdeThinkVantageFingerprintSoftware.

17.Sousl'ongletLogon,cochezlacaseFastUserSwitching.

18.CliquezsurOK,puisfermezlafenêtreThinkVantageFingerprintSoftware.

19.Redémarrezl'ordinateuretassurez-vousquel'empreintedigitalepeutêtreutiliséepourseconnecterà Windowsavecledétecteurd'empreintesdigitalesinterneouexterne.

Scénario2-ThinkPadT400avecclavierUSB(associéàundomaine)

Utilisateurl'interfacedeconnexionClientSecuritySolution(GINA).

1.InstallezLenovoFingerprintSoftwareversion3.2.0.275ouversionsupérieure.

2.InstallezFingerprintSoftwareversion5.8.2.4824ouversionsupérieure.

Chapitre6.Pratiquesrecommandées65

3.InstallezClientSecuritySolutionversion8.20.0035ouversionsupérieure.

4.Assurez-vousqueleclavierUSBestassociéausystème.

5.Redémarrezl'ordinateur.L'assistantd'enregistrementd'empreintesdigitalesdémarreautomatiquement. S'ilnedémarrepasautomatiquement,cliquezsurDémarrer➙Programmes➙ThinkVantage➙ ThinkVantageFingerprintSoftwarepourcommencerl'enregistrement.

6.EntrezlemotdepasseWindowslorsquevousyêtesinvité,puischoisissezledoigtàenregistrer.

7.Suivezlesinvitesafchésàl'écranpourenregistrercedoigtavecledétecteurd'empreintesdigitales externeduclavierUSB,puiscliquezsurNextpourafcherlafenêtre.

8.CochezlacaseCongureClientSecuritySolution,puiscliquezsurFinishpourfermerlafenêtre.

9.CliquezsurDémarrer➙Programmes➙ThinkVantage➙LenovoFingerprintSoftwarepour commencerl'enregistrement.

10.EntrezlemotdepasseWindowslorsquevousyêtesinvité,puischoisissezledoigtàenregistrer.

11.Suivezlesinvitesquis'afchentàl'écranpourenregistrerledoigtavecledétecteurd'empreintes digitalesintégré.

12.CliquezsurParamètresdanslapartiesupérieuredelafenêtre.

13.DécochezlacaseUsengerprintscaninsteadofpasswordwhenloggingintoWindows,cliquezsur OK,puiscliquezsurClosepourfermerlafenêtre.

14.Redémarrezl'ordinateuretconnectez-vousàWindowsavecvotremotdepasse.

15.CliquezsurDémarrer➙Programmes➙ThinkVantage➙ClientSecuritySolutionpourdémarrer CSS.

16.DanslemenuOptionsavancées,sélectionnezGérerlesrèglesdesécuritépourafcherlafenêtre Gestionnairederègles.

17.DanslepanneauActionsutilisateur,sélectionnezConnexionàWindows.

18.DanslepanneauRègledesécurité,sélectionnezUtiliserunerègledesécuritépardéfautpour cetteactionutilisateur.

19.CliquezsurOK,puiscliquezsurOuipourredémarrerl'ordinateur.

20.Aprèsleredémarrage,assurez-vousquel'empreintedigitalepeutêtreutiliséepourseconnecterà Windowsavecledétecteurd'empreintesdigitalesinterneouexterne.

ClientSecuritySolutionetPasswordManager

ContrairementàlaconnexionWindows,lesdemandesd'authenticationdeClientSecuritySolutionetde PasswordManagernefonctionnentquesurledétecteurd'empreintesdigitalespréféré.Parexemple, lorsqu'unclavieràlecteurd'empreintesdigitalesestconnecté,sondétecteurd'empreintesdigitalesestle périphériquepréféré.Lorsqueaucunclavieràlecteurd'empreintesdigitalesn'estconnecté,ledétecteur d'empreintesdigitalesintégréThinkPadestlepériphériquepréféré.

Pourmodierlepériphériquepréféré,créezuneentréederegistrecommesuit:

[HKLM\Software\Lenovo\TVTCommon\ClientSecuritySolution] REG_DWORD"PreferInternalFPSensor"=1

66GuidededéploiementClientSecuritySolution8.21

Tableau32.Clésderegistre

NomValeurDescription

Pref erInternalFPSensor

0(valeurpardéfaut)Spéciequeledétecteur

d'empreintesdigitalesexterne estpréféréchaquefoisqueleclavier àlecteurd'empreintesdigitalesest connecté.

Spéciequeledétecteur d'empreintesdigitalesintégré estpréféré.

Authenticationavantledémarrage-avecuneempreintedigitaleàla placedemotsdepasseBIOS

ContrairementàlaconnexionWindows,lesdemandesd'authenticationdemotsdepasseBIOSne fonctionnentquesurledétecteurd'empreintesdigitalespréférélorsqueleBIOSestcongurépourl'utiliser. Pardéfaut,leBIOSreconnaîtlespassagesdesdoigtssurleclavieràlecteurd'empreintesdigitalessi celui-ciestconnecté.Sileclavieràlecteurd'empreintesdigitalesn'estpasconnecté,leBIOSreconnaîtles passagesdesdoigtssurlelecteurd'empreintesdigitalesintégrépourl'authentication.

LeparamètreduBIOSReaderPrioritypeutêtremodiépourobligeràutiliserledétecteurd'empreintes digitalesinterne,mêmelorsqueleclavieràlecteurd'empreintesdigitalesexterneestconnecté.Lavaleurpar défautpourReaderPriorityestExterne.LeparamètrepeutêtremodiésurInternalOnlypourobligerà utiliserledétecteurd'empreintesdigitalesintégré.

Remarque:CeparamètreduBIOSnes'appliquequ'auxinvitesd'empreintedigitaleduBIOS.Iln'aaucun effetsurlaconnexionWindowsoulesdemandesd'authenticationparempreintesdigitalesdeClient SecuritySolution.

CongurationdulogicielFingerprintSoftwarepourpermettrel'authenticationavant ledémarrage

Sivousavezdénidesmotsdepassedesupervision,demisesoustensionoudedisquedurdansleBIOS, vouspouvezcongurerFingerprintSoftwarepourl'authenticationaulieud'avoiràentrercesmotsdepasse.

LenovoFingerprintSoftware-pourledétecteurd'empreintesdigitalesintégré

1.CliquezsurDémarrer➙Programmes➙ThinkVantage➙LenovoFingerprintSoftwarepour démarrerFingerprintSoftware.

2.PassezledoigtouentezlemotdepasseWindowslorsquevousyêtesinvité.

3.CliquezsurParamètresdanslapartiesupérieuredelafenêtre.

4.CochezlescasesUsengerprintscaninsteadofpower-onandharddrivepasswordsetAlways showpower-onsecurityoptions,puiscliquezsurOKpourfermerlafenêtre.

5.Sélectionnezl'unedesempreintesdigitalesenregistréespouractiverl'empreintedevotrechoixet remplacerlesmotsdepasseBIOS.

6.CliquezsurClosepourfermerlafenêtre.

ThinkVantageFingerprintSoftware(WindowsXP)-pourledétecteurd'empreintesdigitalesexterne

1.CliquezsurDémarrer➙Programmes➙ThinkVantage➙ThinkVantageFingerprintSoftware pourdémarrerFingerprintSoftware.

2.CliquezsurSettings➙Power-onSecuritydanslapartiesupérieuredelafenêtre.

Remarque:SileparamètrePower-onSecurityn'estpasdisponible,créezuneentréederegistre, commeindiquéci-dessous,pourafcherceparamètre:

[HKEY_LOCAL_MACHINE\SOFTWARE\ProtectorSuiteQL\1.0]

Chapitre6.Pratiquesrecommandées67

REG_DWORD"BiosFeatures"=2

3.CochezlacaseRequirengerprintforcomputerstartup,puiscliquezsurOKpourfermerlafenêtre.

4.CliquezsurFingerprints➙EnrollorEditFingerprintspourafcherlafenêtre.

5.PassezledoigtouentezlemotdepasseWindowslorsquevousyêtesinvité.

6.Sélectionnezl'unedesempreintesdigitalesenregistréespouractiverl'empreintedevotrechoixet remplacerlesmotsdepasseBIOS.

7.CliquezsurFinishpourfermerlafenêtre.

ThinkVantageFingerprintSoftware(WindowsVista)-pourledétecteurd'empreintesdigitalesexterne

1.CliquezsurDémarrer➙Programmes➙ThinkVantage➙ThinkVantageFingerprintSoftware pourdémarrerFingerprintSoftware.

2.PassezledoigtouentezlemotdepasseWindowslorsquevousyêtesinvité.

3.CliquezsurParamètresdanslapartiesupérieuredelafenêtre.

4.CochezlescasesUsengerprintscaninsteadofpower-onandharddrivepasswordsetAlways showpower-onsecurityoptions,puiscliquezsurOKpourfermerlafenêtre.

5.Sélectionnezl'unedesempreintesdigitalesenregistréespouractiverl'empreintedevotrechoixet remplacerlesmotsdepasseBIOS.

6.CliquezsurClosepourfermerlafenêtre.

68GuidededéploiementClientSecuritySolution8.21

AnnexeA.Aproposdel'utilisationd'OmniPass

OmniPassfromSoftex©estunprogrammepermettantuneconnexionsécuriséeauxsiteswebetaux applicationsainsiquelaprotectiondesdonnéesdel'ordinateur.OmniPasssesertdumoduleTPMde l'ordinateurenyaccédantparlebiaisdesinterfacesfourniesparClientSecuritySolution.Pouroptimiser lemoduleTPM,ClientSecuritySolutiondoitêtreinstalléavantOmniPass.Dufaitdelasimilitudedes fonctionsoffertesparlesdeuxproduits,certainesd'entreellessontdésactivéesdansClientSecurity Solutionoumasquéeslorsqu'OmniPassestinstallé.

Deplus,desconitsseproduirontsivousinstallezlesdeuxprogrammes.Consultezlesconitspotentiels quisontrépertoriésdansletableausuivant:

Tableau33.ChevauchementdelafonctionOmnipass

Fonctionchevauchementdefonctionàproposde

Authenticationd'empreintedigitale

GestiondesmotsdepasseClientSecuritySolutionetOmniPass

ConnexionàWindowsClientSecuritySolutionetOmniPass

ChiffrementdechiersClientSecuritySolution8.21

ThinkVantageFingerprintSoftware etOmniPassnécessitentun enregistrementd'empreintedigitale séparé.

fournissenttouslesdeuxun gestionnairedemotsdepasse.

fournissenttouslesdeuxune interfacedeconnexionàWindows.

etOmniPassfournissentdes applicationsdechiffrementdes chiers.

Vousdevezenregistrerlesempreintes digitalesavecThinkVantage FingerprintSoftwarepourprendre enchargel'authenticationde préinitialisationavecledétecteur d'empreintedigitale.Lesempreintes digitalesenregistréesavec ThinkVantageFingerprintSoftware sontindépendantesdecelles enregistréesavecOmniPass. L'installationd'OmniPassmasque lelienversleCentredecontrôlede ThinkVantageFingerprintSoftwareà partirdumenuDémarrer.

ClientSecuritySolutionPassword Managerestautomatiquement désactivéparl'installation d'OmniPass.

L'interfacedeconnexionde ClientSecuritySolutionest automatiquementdésactivée parl'installationd'OmniPass. Remarque:Lorsquel'interfacede connexiondeClientSecuritySolution estdésactivée,larécupérationd'un motdepasseWindowsoubliéàl'aide deClientSecuritySolutionPassword Recoveryn'estplusdisponiblelors delaconnexionàWindows.

Lesdeuxversionspeuventcoexister. Cependant,pourévitertoute confusion,désinstallezPrivateDisk pourClientSecuritySolution7.0et versioninférieure.

Tableau33.ChevauchementdelafonctionOmnipass(suite)

Fonctionchevauchementdefonctionàproposde

Interfacesdechiffrement

Authenticationd'utilisateur

AccèsauxfonctionsClientSecuritySolutionetOmniPass

ClientSecuritySolutionetOmniPass fournissenttouslesdeuxun fournisseurdeservicedechiffrement (CSP)etunmodulePKCS#11. Lesinterfacesdechiffrementde ClientSecuritySolutionutilisentune authenticationindépendantede celled'OmniPass.

ClientSecuritySolutionetOmniPass peuventtouslesdeuxdemanderune authenticationd'utilisateur.

fournissentunaccèsàleursfonctions viauneapplicationdumenuDémarrer quipeut,pourlesutilisateurs,porter àconfusion.

NesélectionnezpasleCSPoule modulePKCS#11deClientSecurity Solutionpourdesopérationsde chiffrement.

SivousutilisezàlafoisClient SecuritySolutionetOmniPass, assurez-vousquelesutilisateurs comprennentbienlesdifférences entrelesinvitesd'authentication etfournissentlesinformations d'authenticationappropriées(y comprislesempreintesdigitales) lorsqu'ellessontdemandées.

Supprimezl'applicationClient SecuritySolutiondumenuDémarrer.

Enplusdesconsidérationsprécédemmentdécrites,vouspourrezégalementrencontrerlesproblèmes suivantsavecOmnipass:

•Siunmessaged'erreurindiquantunmanquedemémoires'afcheàpartirdumoduled'extension d'empreintedigitale,ignorez-leetcontinuezàutiliserOmnipass.

•L'enregistrementdumoduleTPMnefonctionnepaspourlesutilisateursayantunmotdepasseWindows NULL.

70GuidededéploiementClientSecuritySolution8.21

AnnexeB.Remarquesconcernantl'utilisationduclavier LenovoFingerprintaveccertainsordinateursportables ThinkPadRemarquesconcernantl'utilisationduclavierLenovo FingerprintaveccertainsThinkPad

Lepériphériquedelectured'empreintesdigitalesutilisésurcertainsmodèlesd'ordinateurportableThinkPad diffèredeceluiutilisédansLenovoFingerprintKeyboard.Sileclavieràlecteurd'empreintesdigitalesest utilisésurcertainesmodèlesd'ordinateurportableThinkPad,tenezcomptedesremarquessuivantes.

Pourplusd'informations,accédezàlapagedetéléchargementdulogicieldelectured'empreintesdigitales surlesiteWebLenovopourobtenirunelistedesmodèlesd'ordinateurportableThinkPadconcernés.

SeulslesmodèlesrépertoriéspourLenovoFingerprintSoftwareméritentdesconsidérationsspéciales lorsqu'ilssontutilisésavecleclavieràlecteurd'empreintesdigitales.Touslesautresmodèlesd'ordinateur portableThinkPadquiutilisent«ThinkVantageFingerprintSoftware,»seserventd'unlecteurd'empreintes digitalescompatibleaveclepériphériqueinclusdansleclavieràlecteurd'empreintesdigitales.Aucune remarquespécialeneleurestdoncassociée.

Congurationetdénition

LenovoFingerprintSoftware2.0ouversionsupérieuredoitêtreinstallépourutiliserlepériphériquedelecture d'empreintesdigitalesutilisésurl'ordinateurportableThinkPad.Lesutilisateursdoiventenregistrerleurs empreintesdigitalesavecLenovoFingerprintSoftwareaveclelecteurd'empreintesdigitalesintégré.

ThinkVantageFingerprintSoftware5.8ouversionsupérieuredoitêtreinstallépourutiliserLenovoFingerprint Keyboard.LesutilisateursdoiventégalementenregistrerleursempreintesdigitalesavecThinkVantage FingerprintSoftwareavecleclavieràlecteurd'empreintesdigitales.

Remarque:Lesempreintesdigitalesenregistréesavecundispositifnepeuventpasêtreéchangéesavec cellesdel'autredispositif.

Authenticationantérieureàl'afchagedubureau

Lepériphériquedelectured'empreintesdigitalesintégréouleclavieràlecteurd'empreintesdigitalesest utilisépourl'authenticationavantl'afchagedubureau(remplaceledémarragedusystèmeoulemot depassedudisquedurparuneempreintedigitale).LeBIOSdétermineledispositifàutiliserlorsquele systèmeestdémarré.

Pardéfaut,leBIOSnereconnaîtlepassagedesdoigtssurleclavieràlecteurd'empreintesdigitalesquesi celui-ciestconnecté.Lepassagedesdoigtssurlepériphériquedelectured'empreintesdigitalesintégréest ignorépourl'authenticationantérieureàl'afchagedubureausiunclavieràlecteurd'empreintesdigitales estconnecté.Sileclavieràlecteurd'empreintesdigitalesn'estpasconnecté,lelecteurd'empreintes digitalesintégréestutilisépourl'authenticationantérieureàl'afchagedubureau.

LeparamètreduBIOSReaderPrioritypeutêtremodiépourutiliserledétecteurd'empreintesdigitales intégré.SiReaderPriorityestdénisurInternalonly,ledétecteurd'empreintesdigitalesintégrépeutêtre utilisépourl'authenticationantérieureàl'afchagedubureau.Danscecas,lepassagedesdoigtssurle clavieràlecteurd'empreintesdigitalesestignoré.

ConnexionàWindows

LenovoFingerprintKeyboardetlepériphériquedelectured'empreintesdigitalesutiliséssurleThinkPad possèdenttousdeuxleurpropreinterfacedeconnexionàWindowsàl'aided'uneempreintedigitale.

Important:Desproblèmesdecompatibilitépeuvententraînerdeserreursdeconnexionsilesinterfacesde connexionparempreintedigitalenesontpasconguréescorrectement.

WindowsXP-Ecrand'accueil

PourprendreenchargelaconnexionavecLenovoFingerprintKeyboardouledétecteurd'empreintes digitalesintégréThinkPadavecl'écrand'accueilWindowsXP,lesinterfacesdeconnexiondeLenovo FingerprintSoftwareetdeThinkVantageFingerprintSoftwaredoiventêtreactivées.

Lorsdelaconnexionavecl'écrand'accueilWindowsXPactivéetlesdeuxinterfacesdeconnexionpar empreintedigitalesontactivées,lesutilisateurspeuventseconnecterenpassantleursdoigtssurleclavierà lecteurd'empreintesdigitalesousurlepériphériquedelectured'empreintesdigitalesintégré.

Remarque:LeparamètreduBIOSReaderPrioritynes'appliquepasdanscettesituation.L'unoul'autrede cespériphériquespeutêtreutilisépourseconnecters'ilsnesontpasdisponiblestouslesdeux.

L'écrand'accueilWindowsXPpeutêtreactivéensélectionnantComptesd'utilisateursdanslePanneau decongurationWindowsXP.

L'interfacedeconnexionparempreintedigitaledeLenovoFingerprintSoftware(pourledétecteur d'empreintesdigitalesintégré)etdeThinkVantageFingerprintSoftware(pourleclavieràlecteurd'empreintes digitales)peutêtreactivéeparlebiaisdel'optionParamètresdansl'applicationdulogicieldelecture d'empreintesdigitalescorrespondante.

WindowsXP-Invitedeconnexionclassique

Important:LesinterfacesdeconnexionparempreintedigitaledeLenovoFingerprintSoftwareetde

ThinkVantageFingerprintSoftwarenedoiventpasêtreactivéesenmêmetempssil'invitedeconnexion classiquedeWindowsXP(interfacedeconnexionGINA)estactivée.Desrésultatsinattenduspeuventse produiresilesdeuxinterfacesdeconnexionsontactivéesetquel'écrand'accueilWindowsXPn'est pasutilisé.

Sil'invitedeconnexionclassiqueWindowsXPestnécessaire(parexemple,pourprendreenchargela connexionàundomaine)etquelaconnexionparempreintedigitaleavecundétecteurestsélectionnées, l'interfacedeconnexiondeClientSecuritySolutiondoitêtreactivée.Avecl'interfacedeconnexionClient SecuritySolutionactivée,laconnexionàWindowsestpossibleavecleclavieràlecteurd'empreintes digitalesoulepériphériquedelectured'empreintesdigitalesintégré.

Remarque:Cetteoptionn'estdisponiblequedansClientSecuritySolution8.21ouversionsupérieure.

L'interfacedeconnexiondeClientSecuritySolutionpeutêtreactivéeparl'applicationClientSecurity SolutiondanslemenuDémarrer.L'optiondecongurationdel'interfacedeconnexiondeClientSecurity SolutionestdisponibleensélectionnantGérerlesrèglesdesécuritédanslemenuAvancédel'application ClientSecuritySolution.

Assurez-vousquelesinterfacesdeconnexiondeLenovoFingerprintSoftwareetdeThinkVantage FingerprintSoftwaresontdésactivéesàl'aidedel'optionParamètresdel'applicationdulogicieldelecture d'empreintesdigitalescorrespondant.

72GuidededéploiementClientSecuritySolution8.21

WindowsVista

PourprendreenchargelaconnexionavecLenovoFingerprintKeyboardouledétecteurd'empreintes digitalesintégréThinkPadsousWindowsVista,lesinterfacesdeconnexiondeLenovoFingerprintSoftware etdeThinkVantageFingerprintSoftwaredoiventêtreactivées.

LorsquelesinterfacesdeconnexionparempreintedigitalesonttoutesdeuxactivéessousWindowsVista, lesutilisateurspeuventseconnecterenpassantleursdoigtssurleclavieràlecteurd'empreintesdigitalesou surlepériphériquedelectured'empreintesdigitalesintégré.

Remarques:

1.LeparamètreBIOS«ReaderPriority»nes'appliquepasdanscescénario.L'unoul'autredeces périphériquespeutêtreutilisépourseconnecters'ilsnesontpasdisponiblestouslesdeux.

2.L'écrandeconnexionWindowsVistanepeutafcherqu'uneseulemosaïque,ouunseulbouton, pourlaconnexionparempreintedigitale,mêmesiledétecteurd'empreintesdigitalespeutêtreutilisé pourseconnecter.

Parailleurs,pourprendreenchargelaconnexionavecleclavieràlecteurd'empreintesdigitalesoule périphériquedelectured'empreintesdigitalesintégré,l'interfacedeconnexiondeClientSecuritySolution peutêtreutiliséeàlaplacedesinterfacesdeconnexiondulogicieldelectured'empreintesdigitales. Cependant,cettefonctionn'estdisponiblequedansClientSecuritySolution8.21ouversionsupérieure.

Sivousutilisezl'interfacedeconnexiondeClientSecuritySolution,lesinterfacesdeconnexiondulogicielde lectured'empreintesdigitalesdoiventêtredésactivéesdansl'optionParamètresdel'applicationdulogiciel delectured'empreintesdigitalescorrespondante.L'interfacedeconnexiondeClientSecuritySolution peutêtreactivéeparlebiaisdel'applicationClientSecuritySolutiondanslemenuDémarrer.L'optionde congurationdel'interfacedeconnexiondeClientSecuritySolutionestdisponibleensélectionnantGérer

lesrèglesdesécuritédanslemenuAvancédel'applicationClientSecuritySolution.

AuthenticationavecClientSecuritySolution

Remarque:LesinformationsquisuiventneconcernentqueClientSecuritySolution8.21etversion

supérieure.LesversionsprécédentesdeClientSecuritySolutionneprennentpasenchargel'utilisationdu lecteurd'empreintesdigitalesavecleclavieràlecteurd'empreintesdigitales.

Lorsdelaréalisationd'uneopérationavecClientSecuritySolutionetqu'ellenécessiteuneauthentication parempreintedigitale,commeleremplissementautomatiqued'unmotdepassesurunsiteWebavec PasswordManager,lesutilisateursdoiventpasserundoigtsurleclavieràlecteurd'empreintesdigitales,s'il estconnecté,lorsqu'ilsysontinvités.Lepassagedesdoigtssurlepériphériquedelectured'empreintes digitalesintégréestignorésileclavieràlecteurd'empreintesdigitalesestconnecté.Sileclavieràlecteur d'empreintesdigitalesn'estpasconnecté,ledétecteurd'empreintesdigitalesintégrédoitêtreutilisé.

Unparamètrederegistreestdisponiblepourdemanderauxutilisateursd'utiliserledétecteurd'empreintes digitalesintégrépourl'authenticationavecClientSecuritySolution.Sicetteentréederegistreestdénie, l'authenticationparempreintedigitaleavecClientSecuritySolutiondoitêtreeffectuéeavecledétecteur intégré,etlepassagedesdoigtssurleclavieràlecteurd'empreintesdigitalesestignoré.

L'entréederegistreestlasuivante:

[HKLM\Software\Lenovo\TVTCommon\ClientSecuritySolution] REG_DWORD"PreferInternalFPSensor"=1

Lavaleurpardéfautdecetteentréederegistreestdéniesur0lorsquel'authenticationparempreinte digitaleavecClientSecuritySolutiondoitêtreeffectuéeavecleclavieràlecteurd'empreintesdigitales,etle passagedesdoigtssurlelecteurd'empreintesdigitalesestignoré.

AnnexeB.Remarquesconcernantl'utilisationduclavierLenovoFingerprintaveccertainsordinateursportablesThinkPadRemarques

concernantl'utilisationduclavierLenovoFingerprintaveccertainsThinkPad73

Ceparamètrepeutégalementêtremodiéenutilisantlechierdemodèled'administrationdeClientSecurity SolutionaveclesrèglescollectivespourActiveDirectory.

Remarques:

1.LorsqueleparamètreduBIOS«ReaderPriority»estdénisur«Internalonly»,ilestrecommandéde dénirlavaleurdel'entréederegistresur1.Celapermetl'authenticationavecClientSecuritySolution poursimulerleparamètreBIOSdel'authenticationantérieureàl'afchagedubureau.

2.LeparamètreBIOSetceparamètrederegistresontindépendants.

74GuidededéploiementClientSecuritySolution8.21

AnnexeC.SynchronisationdumotdepassedansCSSune foisquelemotdepasseWindowsestréinitialisé

UnefoisquelemotdepasseWindowsestréinitialisé,ClientSecuritySolutionvousinviteencontinuà indiquerunnouveaumotdepasseWindows,puisafcheunmessaged'erreurindiquantquelemotdepasse estincorrect.LasécuritéWindowsestconçueainsianquelesdonnéesd'identicationdesécuritésoient invalidéeslorsquelemotdepasseWindowsestréinitialisé.Windowsafcheunmessaged'avertissementà chaquetentativederéinitialisationdumotdepasse.Demême,nonseulementClientSecuritySolutionest affectéparlaréinitialisationdumotdepasseWindows,maisvousperdezégalementl'accèsauxcerticats etauxchierschiffrésparWindowsEFS.LorsqueClientSecuritySolutionnepeutplusaccéderauxdonnées d'identicationdesécuritéWindows(suiteàlaréinitialisationdumotdepasse),ClientSecuritySolutionvous inviteencontinuàindiquerunnouveaumotdepasse,puisafcheunmessaged'erreurindiquantquele motdepasseentrén'estpasvalide.ClientSecuritySolutionnepeutpasfonctionnerlorsquelesdonnées d'identicationdesécuritéWindowssontinvalidéesdecettemanière.SilemotdepasseWindowsaété modié(parexemple,vousêtesinvitéàindiquerl'ancienmotdepasseetlenouveaumotdepasse),les donnéesd'identicationdesécuritésontconservéesetprotégéesparlenouveaumotdepasse.

PoursynchroniserlemotdepassedansCSSunefoisquelemotdepasseWindowsestréinitialisé:

1.RestaurezunesauvegardedusystèmeavantderéinitialiserlemotdepasseWindows.

2.Restaurezlavaleurd'originedumotdepasseWindows.Celadoitrestaurerl'accèsauxdonnées d'identicationdesécuritéWindows.

3.CréezuncompteWindowsetcommencezàl'utiliseràlaplaceducompteinitialcontenantlesdonnées d'identicationaltérées.

4.Suivezcetteméthodepourrécupérerlesystème: a.LancezPasswordManager. b.CliquezsurImporter/ExporteretsélectionnezExporterunelisted'entrées. c.Spéciezunemplacementd'enregistrementduchieretentrezunnomdechier. d.Entrezunmotdepassepourlechier. e.FermezPasswordManager. f.LancezClientSecuritySolution. g.CliquezsurAvancé➙Réinitialiserlesparamètresdesécurité. h.EntrezlenouveaumotdepasseWindowslorsquevousyêtesinvité. i.ClientSecuritySolutionvousinviteàredémarrerlesystème. j.Aprèsleredémarragedusystème,lancezPasswordManager. k.CliquezsurImporter/ExporteretsélectionnezImporterunelisted'entrées. l.Recherchezlechiersauvegardéprécédemment. m.Entrezlemotdepasselorsquevousyêtesinvité.

76GuidededéploiementClientSecuritySolution8.21

AnnexeD.Remarques

Cedocumentpeutcontenirdesinformationsoudesréférencesconcernantcertainsproduits,logicielsou servicesLenovononannoncésdanscepays.Pourplusdedétails,référez-vousauxdocumentsd'annonce disponiblesdansvotrepays,ouadressez-vousàvotrepartenairecommercialLenovo.Touteréférenceàun produit,logicielouserviceLenovon'impliquepasqueseulceproduit,logicielouservicepuisseêtreutilisé. Toutautreélémentfonctionnellementéquivalentpeutêtreutilisé,s'iln'enfreintaucundroitdeLenovo.Ilest delaresponsabilitédel'utilisateurd'évalueretdevérierlui-mêmelesinstallationsetapplicationsréalisées avecdesproduits,logicielsouservicesnonexpressémentréférencésparLenovo.

Lenovopeutdétenirdesbrevetsoudesdemandesdebrevetcouvrantlesproduitsmentionnésdansce document.Laremisedecedocumentnevousdonneaucundroitdelicencesurcesbrevetsoudemandes debrevet.Sivousdésirezrecevoirdesinformationsconcernantl'acquisitiondelicences,veuillezenfairela demandeparécritàl'adressesuivante:

Lenovo(UnitedStates),Inc. 1009ThinkPlace-BuildingOne Morrisville,NC27560 U.S.A. Attention:LenovoDirectorofLicensing

LEPRESENTDOCUMENTESTLIVRE«ENL'ETAT».LENOVODECLINETOUTERESPONSABILITE, EXPLICITEOUIMPLICITE,RELATIVEAUXINFORMATIONSQUIYSONTCONTENUES,YCOMPRISEN CEQUICONCERNELESGARANTIESDENON-CONTREFACONETD'APTITUDEAL'EXECUTIOND'UN TRAVAILDONNE.Certainesjuridictionsn'autorisentpasl'exclusiondesgarantiesimplicites,auquelcas l'exclusionci-dessusnevousserapasapplicable.

Cedocumentpeutcontenirdesinexactitudesoudescoquilles.Ilestmisàjourpériodiquement.Chaque nouvelleéditioninclutlesmisesàjour.Lenovopeutmodiersanspréavislesproduitsetlogicielsdécrits danscedocument.

Lesproduitsdécritsdanscedocumentnesontpasconçuspourêtreimplantésouutilisésdansun environnementoùundysfonctionnementpourraitentraînerdesdommagescorporelsouledécèsde personnes.Lesinformationscontenuesdanscedocumentn'affectentninemodientlesgarantiesoules spécicationsdesproduitsLenovo.Riendanscedocumentnedoitêtreconsidérécommeunelicence ouunegarantieexpliciteouimpliciteenmatièrededroitsdepropriétéintellectuelledeLenovooude tiers.Touteslesinformationscontenuesdanscedocumentontétéobtenuesdansdesenvironnements spéciquesetsontprésentéesentantqu'illustration.Lesrésultatspeuventvarierselonl'environnement d'exploitationutilisé.

Lenovopourrautiliseroudiffuser,detoutemanièrequ'ellejugeraappropriéeetsansaucuneobligationdesa part,toutoupartiedesinformationsquiluiserontfournies.

LesréférencesàdessitesWebnonLenovosontfourniesàtitred'informationuniquementetn'impliquenten aucuncasuneadhésionauxdonnéesqu'ilscontiennent.LesélémentsgurantsurcessitesWebnefont paspartiedesélémentsdeceproduitLenovoetl'utilisationdecessitesrelèvedevotreseuleresponsabilité.

Lesdonnéesdeperformanceindiquéesdanscedocumentontétédéterminéesdansunenvironnement contrôlé.Parconséquent,lesrésultatspeuventvarierdemanièresignicativeselonl'environnement d'exploitationutilisé.Certainesmesuresévaluéessurdessystèmesencoursdedéveloppementnesont pasgarantiessurtouslessystèmesdisponibles.Enoutre,ellespeuventrésulterd'extrapolations.Les résultatspeuventdoncvarier.Ilincombeauxutilisateursdecedocumentdevériersicesdonnéessont applicablesàleurenvironnementd'exploitation.

Marques

LestermesquisuiventsontdesmarquesdeLenovoauxEtats-Uniset/oudanscertainsautrespays:

Lenovo RescueandRecovery ThinkCentre ThinkPad ThinkVantage

Microsoft,WindowsetWindowsVistasontdesmarquesdeMicrosoftgroup.

Lesautresnomsdesociétés,deproduitsetdeservicespeuventapparteniràdestiers.

78GuidededéploiementClientSecuritySolution8.21

Glossaire

motdepasseBIOSadministrateur (ThinkCentre)/superviseur(ThinkPad)

AdvancedEncryptionStandard(AES)AESestunetechniquedechiffrementdeclé

systèmesdechiffrementLessystèmesdechiffrementutilisentprincipalement

EmbeddedSecurityChipAutrenompourlemoduleTPM(T rustedPlatform

chiffrementdeclépublique/decléasymétriqueLesalgorithmesdeclépubliqueutilisent

Lemotdepasseadministrateurousuperviseur permetdecontrôlerlacapacitéàmodierles paramètresduBIOS.Celaenglobelacapacité àactiveroudésactiverleprocesseurdesécurité intégré(pucedesécuritéintégrée)etàmettreà blanclacléSRK(StorageRootKey)stockéedansle moduleTPM(T rustedPlatformModule).

symétrique.Legouvernementaméricainaadopté cetalgorithmecommetechniquedechiffrementen octobre2000pourremplacerlechiffrementDES auparavantutilisé.LatechnologieAESoffreune sécuritécontrelesattaquesdegrandeenvergure plusélevéequelesclésDES56bitsetpeututiliser desclés128,192et256bitslecaséchéant.

deuxméthodes:lechiffrementdeclésymétrique utilisantunecléuniquequichiffreetdéchiffreles donnéesetlechiffrementdeclépubliqueutilisant deuxclés,uneclépubliqueconnuedetousetune cléprivéeàlaquelleseullepropriétairedesdeux clésaaccès.

Module).

généralementunepairededeuxclésassociéesunecléestprivéeetdoitrestersecrètetandisque l'autreestrenduepubliqueetpeutêtrelargement diffusée;ilnedoitpasêtrepossiblededéduire unecléd'unepaireàpartirdel'autreclé.Onparle de«chiffrementdeclépublique»carunepartie delapairedeclésestaccessibleaupublic.On utiliseégalementleterme«cléasymétrique»car touteslespartiesnedétiennentpaslesmêmes informations.Dansunsens,uneclé«ferme» unverrou(chiffrement)maisuneautrecléest nécessairepourledéverrouiller(déchiffrement).

CléSRK(StorageRootKey)LacléSRKcorrespondàunepairedecléspubliques

de2048bits(ouplus).Elleestinitialementvide etelleestcrééelorsquelepropriétairedumodule TPMestaffecté.Lapairedeclésnequittejamais leprocesseurdesécuritéintégré.Ellepermet dechiffrer(encapsuler)desclésprivéespourun stockageendehorsdumoduleTPMetdeles déchiffrerlorsquecescléssontrechargéesdansle moduleTPM.LacléSRKpeutêtremiseàblancpar toutepersonneayantaccèsauBIOS.

chiffrementdeclésymétriqueLecodedechiffrementdeclésymétriqueutilisela

mêmeclépourlechiffrementetledéchiffrement desdonnées.Cetteméthodeestplussimpleet plusrapidemaiselleapourinconvénientprincipal quelesdeuxpartiesdoiventd'unemanièreou d'uneautres'échangerlaclédemanièresécurisée. Lechiffrementdeclépubliqueéviteceproblème parcequelaclépubliquepeutêtrediffuséed'une manièrenonsécuriséecarlacléprivéen'estjamais transmise.UnecléAES(AdvancedEncryption Standard)constitueunexempledeclésymétrique.

ModuleTPM(T rustedPlatformModule)LesmodulesTPM(T rustedPlatformModule)

sontdescircuitsintégrésspécialisésoffrantdes fonctionspuissantesd'authenticationd'utilisateur etdevéricationdemachine.Lafonctionprincipale dumoduleTPMestd'empêcherunaccèsnon autoriséàdesinformationscondentielleset sensibles.LemoduleTPMoffreunesécuritébasée surlematérielquipeutêtreutiliséepourfournir différentsservicesdechiffrementsurunsystème. Onparleégalementdeprocesseurdesécurité intégré(oupucedesécuritéintégrée).

Lenovo ThinkVantage Client Security Solution 8.21 Deployment Guide [fr]

Specifications and Main Features

Frequently Asked Questions

User Manual

Préface

Chapitre1.Présentation

ClientSecuritySolution

MotdepassecomposéClientSecuritySolution

RécupérationdesmotsdepasseClientSecurity

ClientSecurityPasswordManager

SecurityAdvisor

Réinitialisationdesmotsdepassematériel

PriseenchargedessystèmessansmoduleTPM

Logicieldelectured'empreintesdigitales

Chapitre2.Installation

ClientSecuritySolution

Propriétéspubliquespersonnalisées

PriseenchargedumoduleTrustedPlatformModule

Procéduresd'installationetparamètresdelignedecommande

Propriétéspubliquesstandardduprogrammed'installationWindows

Fichiersjournauxd'installation

InstallationdeClientSecuritySolution8.21avecdesversionsexistantes

InstallationdeThinkVantageFingerprintSoftware

Installationenmodesilencieux

Options

InstallationdeLenovoFingerprintSoftware

Installationenmodesilencieux

Options

SystemsManagementServer

Chapitre3.UtilisationdeClientSecuritySolution

UtilisationdumoduleTPM

UtilisationdumoduleTPM(TrustedPlatformModule)avecWindows Vista

GestiondeClientSecuritySolutionàclésdechiffrement

TakeOwnership

EnrollUser

Emulationdelogiciel

Remplacementdecartemère

UtilitairedeverrouillageEFS

UtilisationduschémaXML

Exemples

UtilisationdejetonsSecurIDRSA

InstallationdujetondulogicielRSASecurID

InstallationmanuelledujetondulogicielRSASecurID

Priseencharged'ActiveDirectory

Optiondecontournementdesempreintesdigitalesappliquée

Résultatdelalectured'empreintesdigitales

Outilsdelignedecommande

SecurityAdvisor

TPMENABLE.EXE

Outild'activationdumoduleTPM

Priseencharged'ActiveDirectory

FichiersADM(AdministrativeTemplateFile)

Paramètresdelastratégiedegroupe

ActiveUpdate

Chapitre4.UtilisationdeThinkVantageFingerprintSoftware

OutilManagementConsole

Commandesdesparamètresgénéraux

Modesécuriséetmodepratique

Modesécurisé-Administrateur

Modesécurisé-Utilisateuravecrestriction

Modepratique-Administrateur

Modepratique-Utilisateuravecrestriction

FingerprintSoftwareetNovellNetwareClient

ServiceThinkVantageFingerprintSoftware

Chapitre5.UtilisationdeLenovoFingerprintSoftware

OutilManagementConsole

ServiceLenovoFingerprintSoftware

Priseencharged'ActiveDirectorypourLenovoFingerprintSoftware

Chapitre6.Pratiquesrecommandées

Exemplesdedéploiementpourl'installationdeClientSecuritySolution

Scénario1

Scénario2

PassageauxmodesClientSecuritySolution

Déploiementd'ActiveDirectoryauniveaudel'entreprise

SystemUpdate

SystemMigrationAssistant

UtilisationdeclaviersUSBàempreintesdigitalesavec desmodèlesd'ordinateurportableThinkPad2008 (R400/R500/T400/T500/W500/X200/X301)

ConnexionàWindowsVista

ConnexionàWindowsXP

ClientSecuritySolutionetPasswordManager