Lenovo ThinkVantage Client Security Solution 8.21 Deployment Guide [fr]

Guidededéploiement ClientSecuritySolution8.21

Miseàjour:février2012

Remarque:Avantd'utiliserleprésentdocumentetleproduitassocié,prenezconnaissancedes informationsgénéralesgurantàl'AnnexeD«Remarques»àlapage77.

Troisièmeédition(Février2012)

©CopyrightLenovo2008,2012.

REMARQUESURLESDROITSLIMITÉSETRESTREINTS:silesdonnéesouleslogicielssontfournisconformémentà uncontrat«GeneralServicesAdministration»(«GSA»),l'utilisation,lareproductionetladivulgationsontsoumisesaux restrictionsstipuléesdanslecontratn°GS-35F-05925.

Tabledesmatières

Préface................iii

Chapitre1.Présentation........1

ClientSecuritySolution............1

MotdepassecomposéClientSecurity

Solution................2

RécupérationdesmotsdepasseClient

Security................2

ClientSecurityPasswordManager......2

SecurityAdvisor.............3

AssistantCerticateTransfer........4

Réinitialisationdesmotsdepassematériel...4 Priseenchargedessystèmessansmodule

TPM..................4

Logicieldelectured'empreintesdigitales.....4

Chapitre2.Installation.........7

ClientSecuritySolution............7

Congurationrequisepourl'installation....7

Propriétéspubliquespersonnalisées.....8

PriseenchargedumoduleTrustedPlatform

Module.................8

Procéduresd'installationetparamètresde

lignedecommande............9

Propriétéspubliquesstandardduprogramme

d'installationWindows..........12

Fichiersjournauxd'installation.......13

InstallationdeClientSecuritySolution8.21

avecdesversionsexistantes.......14

InstallationdeThinkVantageFingerprint

Software.................14

Installationenmodesilencieux......15

Options................15

InstallationdeLenovoFingerprintSoftware...16

Installationenmodesilencieux......16

Options................16

SystemsManagementServer.........18

Chapitre3.UtilisationdeClient

SecuritySolution...........19

UtilisationdumoduleTPM..........19

UtilisationdumoduleTPM(T rustedPlatform

Module)avecWindowsVista.......19

GestiondeClientSecuritySolutionàclésde

chiffrement................20

TakeOwnership............20

EnrollUser..............21

Emulationdelogiciel..........22

Remplacementdecartemère.......23

UtilitairedeverrouillageEFS.......25

UtilisationduschémaXML..........26

Exemples...............27

UtilisationdejetonsSecurIDRSA.......33

InstallationdujetondulogicielRSASecurID.33

Congurationrequise..........34

Congurationdesoptionsd'accèsdelacarte

àpuce................34

InstallationmanuelledujetondulogicielRSA

SecurID...............34

Priseencharged'ActiveDirectory.....34

Paramètresetrèglespourl'authenticationdu

lecteurd'empreintesdigitales.........35

Optiondecontournementdesempreintes

digitalesappliquée...........35

Résultatdelalectured'empreintesdigitales.35

Outilsdelignedecommande.........35

SecurityAdvisor............36

AssistantdecongurationClientSecurity

Solution...............37

Outildechiffrementoudedéchiffrementdu

chierdedéploiement..........37

Outildetraitementduchierdedéploiement.38

TPMENABLE.EXE...........38

Outildetransfertdecerticat.......39

Outild'activationdumoduleTPM.....39

Priseencharged'ActiveDirectory.......40

FichiersADM(AdministrativeTemplateFile).40

Paramètresdelastratégiedegroupe....41

ActiveUpdate.............46

Chapitre4.Utilisationde ThinkVantageFingerprintSoftware.47

OutilManagementConsole..........47

Commandesspéciquesàl'utilisateur...47 Commandesdesparamètresgénéraux...48

Modesécuriséetmodepratique.......49

Modesécurisé-Administrateur......49

Modesécurisé-Utilisateuravecrestriction..50

Modepratique-Administrateur......50

Modepratique-Utilisateuravecrestriction..51

Paramètrescongurables........52

FingerprintSoftwareetNovellNetwareClient..53

Authentication............53

ServiceThinkVantageFingerprintSoftware...54

Chapitre5.UtilisationdeLenovo

FingerprintSoftware.........55

©CopyrightLenovo2008,2012

OutilManagementConsole..........55

ServiceLenovoFingerprintSoftware......55

Priseencharged'ActiveDirectorypourLenovo

FingerprintSoftware............55

Chapitre6.Pratiques

recommandées............57

Exemplesdedéploiementpourl'installationde

ClientSecuritySolution...........57

Scénario1..............57

Scénario2..............59

PassageauxmodesClientSecuritySolution...61 Déploiementd'ActiveDirectoryauniveaude

l'entreprise................61

InstallationautonomepourlesCDouleschiers

script..................62

SystemUpdate..............62

SystemMigrationAssistant..........62

Générationd'uncerticatàl'aidedelagénération

declésdansTPM.............62

Congurationminimalerequise:......62

Demandedecerticatàpartirduserveur..62 UtilisationdeclaviersUSBàempreintesdigitales

avecdesmodèlesd'ordinateurportableThinkPad 2008(R400/R500/T400/T500/W500/X200/X301).63

ConnexionàWindowsVista.......64

ConnexionàWindowsXP........65

ClientSecuritySolutionetPassword

Manager...............66

Authenticationavantledémarrage-avec

uneempreintedigitaleàlaplacedemotsde

passeBIOS..............67

AnnexeA.Aproposdel'utilisation

d'OmniPass..............69

AnnexeB.Remarquesconcernant l'utilisationduclavierLenovo Fingerprintaveccertainsordinateurs portablesThinkPadRemarques concernantl'utilisationduclavier LenovoFingerprintaveccertains

ThinkPad...............71

Congurationetdénition..........71

Authenticationantérieureàl'afchagedu

bureau..................71

ConnexionàWindows...........72

WindowsXP-Ecrand'accueil........72

WindowsXP-Invitedeconnexionclassique...72

WindowsVista...............73

AuthenticationavecClientSecuritySolution..73

AnnexeC.Synchronisationdumotde passedansCSSunefoisquelemot depasseWindowsestréinitialisé..75

AnnexeD.Remarques.........77

Marques.................78

Glossaire................lxxix

iiGuidededéploiementClientSecuritySolution8.21

Préface

Leprésentguideestconçupourlesadministrateursinformatiquesoulespersonnesresponsablesdu déploiementdeThinkVantage entreprise.Ilfournitlesinformationsnécessairesàl'installationdeClientSecuritySolutionetFingerprint Softwaresurunouplusieursordinateurs,étantentenduqueleslicencesdeceslogicielssoientdisponibles pourchaqueordinateurcible.

ClientSecuritySolutionetFingerprintSoftwareontpourobjectifdeprotégervossystèmesensécurisant lesdonnéesclientetdedétournertoutetentativedeviolationdesécurité.Pourdesquestionset desinformationsconcernantl'utilisationdesdiverscomposantsdeClientSecuritySolutionetde FingerprintSoftware,reportez-vousausystèmed'aideenlignepourlescomposantsàl'adresse http://www.lenovo.com/thinkvantage.

Cesguidessontrégulièrementmisàjour.Pourconnaîtrelespublicationsàvenir,consultezlesiteWeb suivant: http://www.lenovo.com/thinkvantage

Sivousavezdessuggestionsoudescommentaires,communiquez-lesàvotrereprésentantLenovo®agréé.

ClientSecuritySolutionetThinkVantageFingerprintSoftwaredansleur

©CopyrightLenovo2008,2012

iii

ivGuidededéploiementClientSecuritySolution8.21

Chapitre1.Présentation

LeprésentchapitreproposeuneprésentationdeClientSecuritySolutionetdeFingerprintSoftware.Les technologiesprésentéesdansceguidededéploiementpeuventaiderlesinformaticiensdirectementet indirectement,carellespermettentderendrelesordinateurspersonnelsplusconviviauxetplusautonomes. Enoutre,ellesfournissentdesoutilspuissantsquifacilitentetsimplientlesdéploiements.Grâceà ThinkVantageTechnologies,lesinformaticienspassentmoinsdetempsàrésoudredesincidentssurdes ordinateursetconsacrentplusdetempsàleursproprestâches.

ClientSecuritySolution

ClientSecuritySolutionapourbutdevousaideràprotégervotreordinateurcommeunactif,vosdonnées condentiellesetlesconnexionsréseaudevotreordinateur.PourlessystèmesLenovoquicontiennent unmoduleTPM(T rustedPlatformModule)conformeauTGC(TrustedComputingGroup),lasécuritédu systèmemiseenœuvreparlelogicielClientSecuritySolutionestbaséesurlematériel.Silesystèmene contientpasdeprocesseurdesécuritéintégré(oupucedesécuritéintégrée),ClientSecuritySolutionutilise unlogicielbasésurdesclésdechiffrementpourlasécuritédusystème.

LesfonctionsdeClientSecuritySolutionversion8.2sontlessuivantes:

•Authenticationd'utilisateursécuriséeavecunmotdepasseWindows®ouunmotdepasse

composéClientSecuritySolution

ClientSecuritySolutionpeutêtrecongurépouraccepterunmotdepasseWindowsutilisateurouun motdepassecomposéClientSecuritySolutionpourl'authentication.LemotdepasseWindowsest pratiqueetgérabledansWindows,lemotdepassecomposéClientSecuritySolutionfournitunesécurité supplémentaire.L'administrateurpeutchoisirlaméthoded'authenticationàutiliseretceparamètrepeut êtremodiémêmelorsquedesutilisateurssontdéjàinscritsdansClientSecuritySolution.

•Authenticationd'utilisateurparempreintedigitale Optimiselatechnologied'empreintedigitaleintégréeetrattachéeauportUSBpourauthentierdes utilisateursauprèsd'applicationsprotégéespardesmotsdepasse.

•Authenticationd'utilisateursmulti-facteurpourlaconnexionàWindowsetdifférentesopérations

ClientSecuritySolution

Dénitplusieursunitésd'authentication(motdepasseWindows/motdepassecomposéClientSecurity etempreintedigitale)pourdenombreusesopérationsrelativesàlasécurité.

•Gestiondesmotsdepasse GèreetstockedemanièresécuriséelesinformationsdeconnexionsensiblestellesquelesIDutilisateurs etlesmotsdepasse.

•Récupérationdesmotsdepasseetdesmotsdepassecomposés Larécupérationdesmotsdepasseetdesmotsdepassecomposéspermetauxutilisateursdese connecteràWindowsetd'accéderàleursautorisationsd'accèsClientSecuritySolution,mêmeencas d'oubli,enrépondantàdesquestionsdesécuritéprécongurées.

•Auditdesparamètresdesécurité Permetauxutilisateursdevisualiserunelistedétailléedesparamètresdesécuritédupostedetravailet d'effectuerdesmodicationspourrépondreauxstandardsdénis.

•T ransfertdescerticatsnumériques ClientSecuritySolutionprotègelacléprivéedel'utilisateuretlescerticatsdel'ordinateur.UtilisezClient SecuritySolutionpourprotégerlacléprivéedevoscerticatsexistants.

•Gestiondesrèglespourl'authentication Unadministrateurpeutchoisirlesunités(motdepasseWindows,motdepassecomposéClientSecurity

©CopyrightLenovo2008,2012

Solutionouempreintedigitale)quiserontnécessairesàl'authenticationpourlesactionssuivantes: connexionWindows,gestiondesmotsdepasseetopérationsdecertication.

MotdepassecomposéClientSecuritySolution

LemotdepassecomposéClientSecuritySolutionestunefonctionfacultatived'authenticationd'utilisateur quifournitunesécuritéavancéeauxapplicationsClientSecuritySolution.Lesconditionssuivantesdoivent êtreremplies:

•Ildoitêtrecomposéd'aumoinshuitcaractères

•Ilcontientaumoinsunchiffre

•Ildoitêtredifférentdestroismotsdepassecomposésprécédents

•Ilnecontientpasplusdedeuxcaractèresrépétés

•Ilnecommencepasparunchiffre

•Ilneseterminepasparunchiffre

•IlnecontientpasvotreIDutilisateur

•Ilnedoitpasêtrechangés'ilamoinsdetroisjours

•Ilnedoitpascontenirtrois(ouplus)caractèresconsécutifsidentiquesparrapportaumotdepasse composéactuel,quellequesoitleurposition

•IlnedoitpasêtreidentiqueaumotdepasseWindows.

LemotdepassecomposéClientSecuritySolutionestconnuuniquementdel'utilisateur.Laseulefaçon derécupérerunmotdepassecomposéClientSecuritySolutionoubliéconsisteàexécuterlafonction derécupérationdemotdepassedeClientSecuritySolution.Sil'utilisateuraoubliélesréponsesàses questionsderécupération,iln'yaalorsplusaucunesolutionpermettantderécupérerlesdonnéesprotégées parlemotdepassecomposéClientSecuritySolution.

RécupérationdesmotsdepasseClientSecurity

CettefonctionfacultativepermetauxutilisateursinscritsdansClientSecurityderécupérerunmotdepasse WindowsouunmotdepassecomposéClientSecurityoubliéenrépondantcorrectementàtroisquestions. Sicettefonctionestactivée,vousdevrezchoisirtroisréponsesparmidixquestionspré-sélectionnées.Si vousoubliezvotremotdepasseWindowsouvotremotdepassecomposéClientSecurity,vouspourrez soitrépondreàcestroisquestions,soitréinitialiservotremotdepasseouvotremotdepassecomposé.

Remarques:

1.SiunmotdepassecomposéClientSecurityestutilisé,larécupérationdumotdepasseClientSecurity estlaseuleoptionderécupérationd'unmotdepassecomposéoublié.Sivousoubliezlaréponseà vostroisquestions,vousdevrezréexécuterl'assistantd'enregistrementetperdreztouteslesdonnées ClientSecurityprécédemmentprotégées.

2.LorsquevousutilisezClientSecuritypourprotégerlazonePredesktopRescueandRecovery®,l'option derécupérationdesmotsdepasseafcheenréalitévotremotdepassecomposéClientSecurityet/ou lemotdepasseWindowsdel'utilisateur.Lemotdepassecomposéoulemotdepasses'afchecar lazonePredesktopnepermetpasd'exécuterautomatiquementunemodicationdemotdepasse Windows.Lemotdepassecomposéoulemotdepasses'afchelorsqu'unutilisateursansl(placé danslamémoirecachelocalenonrattachéeauréseau)exécutecettefonctionàlaconnexionWindows.

ClientSecurityPasswordManager

ClientSecurityPasswordManagervouspermetdegérerdesinformationsrelativesàdessiteswebouà desapplicationsquisontfacilementoubliées,tellesquelesIDutilisateur,lesmotsdepasseetd'autres informationspersonnelles.ClientSecurityPasswordManagerprotègevosinformationspersonnellesvia

2GuidededéploiementClientSecuritySolution8.21

ClientSecuritySolutionanquel'accèsàvosapplicationsetsiteswebrestententièrementsécurisé. ClientSecurityPasswordManagervouspermetégalementdegagnerdutempsetdel'énergieenvous demandantuniquementdevoussouvenird'unseulmotdepasseoumotdepassecomposé,oudefournir votreempreintedigitale.

ClientSecurityPasswordManagerpermetd'exécuterlesfonctionssuivantes:

•ChiffrementdetouteslesinformationsstockéesviaClientSecuritySolution: ChiffreautomatiquementtoutesvosinformationsviaClientSecuritySolution.Touteslesinformationsde motdepassecondentiellessontainsiprotégéesvial'utilisationdesclésdechiffrementClientSecurity.

•GénérationautomatiquedesIDetmotsdepasse: Automatisevotreprocessusdeconnexionlorsquevousaccédezàuneapplicationouàunsiteweb.Si vosinformationsdeconnexionontétéentréesdansClientSecurityPasswordManager,alorsClient SecurityPasswordManagerremplitautomatiquementleszonesrequisesetlessoumetausiteweb ouàl'application.

•Editiondesentréesàl'aidedel'interfaceClientSecurityPasswordManager: Vouspermetd'éditervosentréesdecompteetdecongurertouteslesfonctionsfacultativesenune seuleinterfacefaciled'utilisation.Cetteinterfaceaccélèreetfacilitelagestiondesmotsdepasseetdes informationspersonnelles.Cependant,laplupartdesmodicationsrelativesauxentréespeuventêtre détectéesautomatiquementparClientSecurityPasswordManager,cequipermetàl'utilisateurde mettreàjoursesentréesencoreplusfacilement.

•Sauvegardedesinformationssansétapessupplémentaires: ClientSecurityPasswordManagerdétecteautomatiquementlesinformationssensiblesquisontenvoyées àunsitewebouàuneapplicationdonné.Lorsqu'illedétecte,ClientSecurityPasswordManagerinvite l'utilisateuràsauvegarderlesinformations,simpliantainsileprocessusdestockagedesinformations sensibles.

•Sauvegardedetouteinformationdansunezonedetravailsécurisée: GrâceàClientSecurityPasswordManager,l'utilisateurpeutsauvegardertouteslesdonnéestextuelles dansdeszonesdetravailsécurisées.Ceszonesdetravailsécuriséespeuventêtreprotégéesavecle mêmeniveaudesécuritéquen'importequelleautreentréedesiteweboud'application.

•Exportationetimportationdesinformationsdeconnexion: Permetd'exportervosinformationspersonnellessensiblesandepouvoirlesdéplacerentoute sécuritéd'unordinateuràunautre.Lorsquevousexportezvosinformationsdeconnexionàpartirde ClientSecurityPasswordManager,unchierd'exportationprotégéparmotdepasseestcréé.Ilpeut êtrestockésurunsupportamovible.Utilisezcechierpouraccéderàvosinformationspersonnelles partoutoùvousvoustrouvezoupourimportervosentréesdansunautreordinateurdisposantdeClient SecurityPasswordManager.

Remarque:Unepriseenchargetotaleestdisponiblepourleschiersd'exportationClientSecurity SolutionVersions7.0et8.x.Unepriseenchargelimitéeestdisponiblepourleschiersd'exportation ClientSecuritySolutionversion6.0(lesentréesd'applicationnesontpasimportées).ClientSecurity SoftwareSolutionversions5.4xetversionsprécédentesn'exécutentpasd'importationdansClient SecuritySolutionVersion8.xPasswordManager.

SecurityAdvisor

L'outilSecurityAdvisorvouspermetd'afcherunrécapitulatifdesparamètresdesécuritédénissur l'ordinateur.Vouspouvezutilisercesparamètrespourconnaîtrel'étatactueldelasécuritédusystèmeou pouraméliorercettesécurité.Lesvaleurspardéfautafchéespourlescatégoriespeuventêtremodiéesà l'aideduregistreWindows.Lescatégoriesdesécuritécomprennentparexemple:

•lesmotsdepassematériel,

•lesmotsdepassedesutilisateursWindows,

•lesrèglessurlesmotsdepasseWindows,

Chapitre1.Présentation3

•ecrandeveilleprotégé,

•lepartagedechiers.

AssistantCerticateTransfer

L'assistantClientSecurityCerticateT ransfervousguidetoutaulongduprocessusdetransfertdesclés privéesassociéesàvoscerticatsàpartirdufournisseurdeservicedechiffrementMicrosoft logiciel(CSP)verslefournisseurdeservicedechiffrementClientSecuritySolutionbasésurlematériel.Une foisletransferteffectué,lesopérationsutilisantlescerticatssontplussécuriséescarlesclésprivéessont protégéesparClientSecuritySolution.

basésurle

Réinitialisationdesmotsdepassematériel

Cetoutilcréeunenvironnementsécuriséquis'exécuteindépendammentdeWindowsetvousaideà recongurerlesmotsdepasseoubliésdemisesoustensionetd'unitédedisquedur.Votreidentitéest établielorsquevousrépondezàdesquestionsquevouscréez.Créezcetenvironnementsécurisédèsque possible,avanttoutoublidemotdepasse.Iln'estpaspossiblederedénirunmotdepassematériel tantquecetenvironnementsécurisén'estpascréésurledisquedurettantquevousnevousêtespas enregistré.Cetoutiln'estdisponiblequesurcertainsordinateurs.

PriseenchargedessystèmessansmoduleTPM

ClientSecuritySolutionVersion8.2prendenchargelessystèmesLenovoquinepossèdentpasde processeurdesécuritéintégrécompatible.Celapermetd'effectueruneinstallationstandarddanstoute l'entreprisepourcréerunenvironnementprotégéhomogène.Lessystèmesdotésdumatérieldesécurité intégrésontmieuxàmêmederépondreauxattaquesmaislesmachinesnedisposantquedulogiciel bénécientégalementd'unesécuritéetd'unefonctionnalitésupplémentaires.

Logicieldelectured'empreintesdigitales

Lestechnologiesd'identicationd'empreintesdigitalesbiométriquesfourniesparLenovosontconçuespour aiderlesclientsàréduirelescoûtsassociésauxmotsdepasse,àaméliorerlasécuritédeleurssystèmes etàseconformerauxréglementations.Grâceauprogrammedelectured'empreintedigitaleLenovo, Fingerprintpermetl'authenticationd'empreintesdigitalessurdesordinateursindividuelsetdesréseaux. FingerprintcombinéàClientSecuritySolutionversion8.2offredesfonctionnalitésétendues.PourClient SecuritySolution8.21,ThinkVantageFingerprintSoftware5.8.2etLenovoFingerprintSoftware2.0sont prisenchargepourdifférentstypesd'ordinateur.Voustrouverezplusd'informationssurlestechnologies d'identicationd'empreintesdigitalesdeLenovoetvouspourreztéléchargerlelogicielàl'adressesuivante: http://www.lenovo.com/support/site.wss/MIGR-59650.html

Fingerprintoffrelesfonctionssuivantes:

•Fonctionsdelogicielclient –RemplacementdumotdepasseMicrosoftWindows:

Remplacevotremotdepasseavecvotreempreintedigitalepourunaccèsausystèmesimple,rapide etsécurisé.

–RemplacementdumotdepasseBIOS(égalementappelémotdepasseàlamisesoustension)

etdumotdepassed'accèsaudisquedur:

Remplacelesmotsdepasseavecvotreempreintedigitalepourétendrelasécuritédeconnexionet ladiffusion.

–Authenticationd'empreintedigitaleavantinitialisationpourlechiffrementcompletdel'unité

SafeGuardEasy:

Utilisel'authenticationparempreintedigitalepourdéchiffrervotredisqueduravantledémarragede Windows.

4GuidededéploiementClientSecuritySolution8.21

–Uniquepassagedanslelecteurpourl'accèsausystèmeBIOSetàWindows:

Vouspermetd'économiserdutempsenpassantvotredoigtaudémarragepouraccéderausystème BIOSetàWindows.

–IntégrationàClientSecuritySolution:

S'utiliseavecClientSecuritySolutionPasswordManagerettirepartidumoduleTPM(TrustedPlatform Module).LesutilisateurspeuventpasserleurdoigtsurlelecteurpouraccéderauxsitesWebet sélectionnerdesapplications.

•Fonctionsadministrateur –Activation/désactivationdumodesécurité:

Permetàunadministrateurdebasculerentrelesmodessécuriséetdegrandediffusionpourmodier lesdroitsd'accèsdecertainsutilisateurs.

•Fonctionsdesécurité –Sécuritédulogiciel:

Protègelesmodèlesutilisateurgrâceàlafonctiondechiffrementfortlorsqueceux-cisontstockéssur unsystèmeoutransférésdulecteurverslelogiciel.

–Sécuritédumatériel:

Fournitunprogrammedelectureaveccoprocesseurquistockeetprotègelesmodèlesd'empreintes digitales,lesmotsdepasseBIOSetlesclésdechiffrement.

Chapitre1.Présentation5

6GuidededéploiementClientSecuritySolution8.21

Chapitre2.Installation

Leprésentchapitrecontientlesinstructionsd'installationdeClientSecuritySolutionetdeFingerprint Software.Avantd'installerClientSecuritySolutionouFingerprintSoftware,vousdevezcomprendre l'architecturedel'applicationquevousinstallez.Leprésentchapitrecontientl'architecturedechaque applicationainsiquelesinformationssupplémentairesdontvousavezbesoinavantd'installerles programmes.

ClientSecuritySolution

Lemoduled'installationdeClientSecuritySolutionaétédéveloppéavecInstallShield10.5Premiercomme unprojetBasicMSI.InstallShieldutiliseleprogrammed'installationWindowspourinstallerdesapplications, cequipermetauxadministrateursdepersonnaliserlesinstallation,endénissantlesvaleursdespropriétés àpartirdelalignedecommande,parexemple.Leprésentchapitredécritplusieursméthodesd'utilisationet d'exécutiondumoduledecongurationdeClientSecuritySolution.Pourunemeilleurecompréhension,lisez latotalitéduchapitreavantd'installercesmodules.

Remarque:Lorsdel'installationdecesmodules,reportez-vousauchierReadmepourClientSecurity Solution.ConsultezlesiteWebLenovosuivant: http://www.lenovo.com/support/site.wss/document.do?sitestyle=lenovo&lndocid=HOME-LENOVO LechierReadmecontientdesinformationsdedernièreminutesurlesversionsdelogiciel,lessystèmes prisencharge,lacongurationsystèmerequiseetd'autresconsidérationsquivousserontutileslorsdu processusd'installation.

Congurationrequisepourl'installation

Lesinformationsdecettesectionindiquentlescongurationsrequisespourl'installationdumodulede ClientSecuritySolution.Pourobtenirdemeilleursrésultats,accédezausiteWebsuivantpourvériersi vousdisposezdeladernièreversiondulogiciel: http://support.lenovo.com/en_US/downloads/detail.page?LegacyDocID=MIGR-61432

Uncertainnombred'ordinateursexistantspeuventprendreenchargeClient SecuritySolutions'ilsrépondentauxconditionsspéciées.ConsultezlesiteWeb http://support.lenovo.com/en_US/downloads/detail.page?LegacyDocID=MIGR-61432pourplus d'informationssurlesordinateursexistantsquiprennentenchargeClientSecuritySolution.

CongurationrequisepourlesordinateursLenovo

LesordinateursLenovodoiventaumoinsavoirlacongurationsuivantepourqueClientSecuritySolution puisseêtreinstallé:

•Systèmed'exploitation:WindowsVista ServicePack3.

•Mémoire:256Mo –Pourlescongurationsdemémoirepartagée,lamémoirepartagéemaximaledéniedansles

paramètresdecongurationduBIOSdoitêtreauminimumde8Mo

–Pourlescongurationsdemémoirenonpartagée,120Modemémoirenonpartagée.

•InternetExplorer5.5ouversionultérieuredoitêtreinstallé.

•300Mod'espacedisponiblesurvotredisquedur.

•UnécranvidéocompatibleVGAprenantenchargeunerésolutionde800x600etlescouleurs24bits.

•L'utilisateurdoitdisposerdesdroitsd'administrationpourinstallerClientSecuritySolution.

•Prescriptionssupplémentairesenmatièrederéinitialisationdesmotsdepassematériel:NTFSet WindowsXP.

,WindowsVistaavecServicePack1ouWindowsXPavec

©CopyrightLenovo2008,2012

Remarque:Ledéploiementdumoduled'installationClientSecuritySolutionsousWindowsServer2003

n'estpasprisencharge.

Propriétéspubliquespersonnalisées

Lemoduled'installationduprogrammeClientSecuritySoftwarecontientunjeudepropriétéspubliques personnaliséesquipeuventêtredéniessurlalignedecommandelorsdel'installation.Letableausuivant proposelespropriétéspubliquespersonnaliséespourWindowsXPetWindows2000:

Tableau1.Propriétéspubliques

PropriétéDescription

EMULATIONMODEForcel'installationenmodeémulationmêmes'ilexiste

unmoduleTPM.IndiquezEMULATIONMODE=1surla lignedecommandepoureffectuerl'installationenmode émulation.

HALTIFTPMDISABLEDSilemoduleTPMestàunétatdésactivéetque

l'installations'exécuteenmodesilencieux,l'installation s'effectuepardéfautenmodeémulation.Utilisezla propriétéHALTIFTPMDISABLED=1lorsquel'installation s'exécuteenmodesilencieuxpourinterrompre l'installationsilemoduleTPMestdésactivé.

NOCSSWIZARDDénissezNOCSSWIZARD=1surlalignedecommande

pourempêcherqueledialogued'enregistrementde ClientSecuritySolutionnes'afcheautomatiquement aprèsl'installationdeClientSecuritySolution.Cette propriétéestconguréepourunadministrateurqui souhaiteinstallerClientSecuritySolutionmaissouhaite utiliserlescriptingultérieurementlorsdelaconguration dusystème.

CSS_CONFIG_SCRIPTIndiquezCSS_CONFIG_SCRIPT=«nom_chier»ou

«nom_chiermot_de_passe»pourqu'unchierde congurations'exécuteunefoisquel'utilisateuraterminé l'installationetréamorcelesystème.

SUPERVISORPWIndiquezSUPERVISORPW=«mot_de_passe»surlaligne

decommandepourfournirlemotdepassesuperviseur and'activerleprocesseurenmoded'installation silencieuxounonsilencieux.Sileprocesseurest désactivéetquel'installations'exécuteenmode silencieux,vousdevezfournirlemotdepassesuperviseur correctpouractiverleprocesseur.Sinon,leprocesseur neserapasactivé.

PWMGRMODEDénissezPWMGRMODE=1danslalignedecommande

pourn'installerquePasswordManager.

NOSTARTMENUDénissezNOSTARTMENU=1danslalignedecommande

pourempêcherlagénérationd'unraccourcidanslemenu Démarrer.

PriseenchargedumoduleTrustedPlatformModule

ClientSecuritySolutionversion8.2inclutlapriseenchargedumatérieldesécuritéintégréedel'ordinateur, lemoduleTPM(TrustedPlatformModule).PourWindows2000etXP,vousdevreztéléchargerdespilotes depériphériquepourlemoduleTPMdevotresystème.SivousexécutezWindowsVista,etquevotre ordinateurcomprendunmoduleTPMprisenchargeparlesystèmed'exploitation,ClientSecuritySolution utiliseralespilotesdepériphériquefournisparlesystèmed'exploitation.

8GuidededéploiementClientSecuritySolution8.21

L'activationdumoduleTPMpeutnécessiterunredémarrage,lemoduleTPMétantactivéparlesystème BIOS.SivousexécutezWindowsVista,vousdevrezconrmerl'intégrationdumoduleTPMpendantle démarragedusystème.

PourquelemoduleTPMpuisseexécuterdesfonctions,l'affectationdel'administrateur,lapropriétédoitêtre initialisée.ChaquesystèmeestassociéàunseuladministrateurClientSecuritySolutionquicontrôleles optionsdeClientSecuritySolution.Cetadministrateurdoitdisposerdedroitsd'administrateurWindows. L'administrateurpeutêtreinitialiséàl'aidedescriptsdedéploiementXML.

Unefoislapropriétédusystèmecongurée,chaqueutilisateurWindowssupplémentairequiseconnecte ausystèmeestautomatiquementinvitéàs'inscrireetàinitialiserlesclésdesécuritéetlesdonnées d'identicationdel'utilisateurdansl'assistantdecongurationClientSecurity.

EmulationdelogicieldumoduleT rustedPlatformModule

ClientSecuritySolutionalapossibilitédes'exécutersansmoduleTrustedPlatformModulesurlessystèmes habilités.Lafonctionnalitéseralamêmesaufqu'elleutiliseradescléslogiciellesaulieudeclésprotégées parlematériel.Lelogicielpeutégalementêtreinstalléavecuncommutateurquileforceàtoujoursutiliser descléslogiciellesaulieudumoduleTPM.L'utilisationdececommutateursedécideaumomentde l'installationetestirréversibleàmoinsdedésinstalleretderéinstallerlelogiciel.

LasyntaxeforçantuneémulationdelogicieldumoduleTPMestlasuivante:

InstallFile.exe“/vEMULATIONMODE=1”

Procéduresd'installationetparamètresdelignedecommande

Leprogrammed'installationMicrosoftWindowsfournitplusieursfonctionsd'administrationparlebiaisde paramètresdelignedecommande.Leprogrammed'installationWindowspeuteffectueruneinstallation administratived'uneapplicationoud'unproduitsurunréseauenvued'uneutilisationparungroupede travailouàdesnsdepersonnalisation.Lesoptionsdelignedecommandenécessitantunparamètre doiventêtreindiquéessansespaceentrel'optionetsonparamètre.Parexemple:

setup.exe/s/v"/qnREBOOT=”R”"

estcorrect,alorsque

setup.exe/s/v"/qnREBOOT=”R”"

nel'estpas.

Remarque:Lecomportementpardéfautdel'installationlorsquecettedernièreestexécutéeseule (exécutiondesetup.exesansparamètre)consisteàinviterl'utilisateuràréamorcerlesystèmeàlande l'installation.Unréamorçageestrequispourqueleprogrammefonctionnecorrectement.Leréamorçage peutêtredifféréàl'aided'unparamètredelignedecommandepouruneinstallationenmodesilencieux commeexpliquédanslasectionprécédenteetlasectiond'exemples.

Pourlemoduled'installationdeClientSecuritySolution,uneinstallationadministrativedécomprimeles chierssourcesd'installationdansunemplacementspécié.

Pourlanceruneinstallationadministrative,exécutezlemoduled'installationàpartirdelalignedecommande enutilisantleparamètre/a:

setup.exe/a

Uneinstallationadministrativeprésenteunassistantquiinvitel'administrateuràindiquerlesemplacements dedécompressiondeschiersd'installation.L'emplacementd'extractionpardéfautestC:\.Vouspouvez choisirunnouvelemplacementautrequel'unitéC:\(parexempleuneunitélocaleouuneunitéréseau mappée).Vouspouvezégalementcréerdenouveauxrépertoiresaucoursdecetteétape.

Pourexécuteruneinstallationadministrativeenmodesilencieux,vouspouvezdénirlapropriétépublique TARGETDIRenlignedecommandepourindiquerl'emplacementd'extraction:

setup.exe/s/v"/qnTARGETDIR=F:\TVTRR"

Chapitre2.Installation9

msiexec.exe/i"ClientSecurity-PasswordManager.msi"/qnTARGERDIR=F:\TVTRR

Remarque:SivotreversiondeWindowsInstallern'estpaslaversionencours,setup.exeestconguré pourmettreàjourlemoteurWindowsInstallersurlaversion3.0.Suiteàcettemiseàjour,laprocédure d'installationvousinviteraàredémarrerlesystème.Utilisezcorrectementleredémarragepourempêcher qu'ilneseproduisedanscettesituation.Sileprogrammed'installationWindowsestaumoinsdeversion

3.0,lechiersetup.exenetentepasdemettreàjourlemoteurduprogrammed'installationWindows.

Unefoisl'installationadministrativeterminée,l'administrateurpeutpersonnaliserleschierssource, parexempleajouterdesparamètresauregistre.Poureffectuerl'installationàpartirduchiersource décompresséunefoislespersonnalisationsterminées,l'utilisateurappellemsiexec.exedepuislalignede commande,entransmettantlenomduchierMSIdécompressé.

LesdescriptionsetlesparamètressuivantssontdocumentésdansInstallShieldDeveloperHelp Documentation.Lesparamètresquines'appliquentpasauxprojetsBasicMSIontétéenlevés.

Tableau2.Paramètres

ParamètreDescription

/a:InstallationadministrativeLecommutateur/ainvitesetup.exeàeffectuerune

installationadministrative.Uneinstallationadministrative copie(etdécompresse)leschiersdedonnéesdansun répertoiredéniparl'utilisateur,maisnecréepasde raccourcis,n'enregistrepaslesserveursCOMetnecrée pasdejournaldedésinstallation.

/x:ModedésinstallationLeparamètre/xforcesetup.exeàdésinstallerunproduit

précédemmentinstallé.

/s:ModesilencieuxLacommandesetup.exe/ssupprimelafenêtre

d'initialisationsetup.exepourunprogrammed'installation BasicMSImaisnelitpasdechierderéponses.Les projetsBasicMSInecréentpasoun'utilisentpasde chierderéponsespourlesinstallationsenmode silencieux.PourexécuterunproduitBasicMSIenmode silencieux,exécutezlalignedecommandesetup.exe/s /v/qn.(Pourdénirlesvaleursdepropriétéspubliques pouruneinstallationdeBasicMSIenmodesilencieux, vouspouvezutiliserunecommandetellequesetup.exe/s /v«/qnINSTALLDIR=D:\Destination».)

/v:TransmetdesargumentsàMsiexecLeparamètre/vpermetdetransmettredesparamètres

delignedecommandeetdesvaleursdepropriétés publiquesàmsiexe.exe.

/L:Langued'installationLesutilisateurspeuventseservirducommutateur/Lavec

l'IDdelanguedécimalpourindiquerlalangueutiliséepar unprogrammed'installationmultilingue.Parexemple,la commandepourdénirl'allemandestsetup.exe/L1031.

/w:AttentePourunprojetBasicMSI,l'argument/wforcesetup.exe

àattendrelandel'installationavantdesefermer.Si vousutilisezl'option/wdansunchierdetraitementpar lots,vouspouvezfaireprécéderl'ensembledel'argument delignedecommandedesetup.exepar/WAIT.Voiciun exempleformatécorrectementdecettesyntaxe:

start/WAITsetup.exe/w

10GuidededéploiementClientSecuritySolution8.21

Utilisationdemsiexec.exe

Poureffectuerl'installationàpartirduchiersourcedécompresséunefoislespersonnalisationsterminées, l'utilisateurappellel'applicationmsiexec.exedepuislalignedecommande,entransmettantlenomduchier *.MSIdécompressé.L'applicationmsiexec.exeestleprogrammeexécutabledeWindowsInstallerquiest utilisépourinterpréterlesmodulesd'installationetinstallerlesproduitssurlessystèmescible.

msiexec/i"C:\WindowsF older\Proles\UserName\ Personal\MySetups\projectname\productconguration\releasename\ DiskImages\Disk1\productname.msi"

Remarque:Entrezlacommandeci-dessussuruneseuleligne,sansespaceaprèslesbarresobliques.

Letableauci-dessouscontientlesparamètresdelignedecommandedisponiblesquipeuventêtreutilisés aveclechiermsiexec.exeetdesexemplesd'utilisation.

Tableau3.Paramètresdelignedecommande

ParamètreDescription

/Imoduleoucodeproduit

/amoduleL'option/apermetauxutilisateursquidisposentdesdroitsd'administrateur

/xmoduleoucodeproduitL'option/xdésinstalleunproduit.

/L[i|w|e|a|r|u|c|m|p|v|+]chier_journal

/q[n|b|r|f]

Utilisezlasyntaxesuivantepourinstallerleproduit:

Othello:msiexec/i"C:\WindowsFolder\Proles\ UserName\Personal\MySetups \Othello\TrialVersion\ Release\DiskImages\Disk1\ OthelloBeta.msi"

Lecodeproduitfaitréférenceàl'identicateurglobalunique(GUID)quiest automatiquementgénérédanslapropriétéproductcodedelavuedesprojets devotreproduit.

d'installerunproduitsurleréseau.

Uneinstallationavecl'option/Lindiquelechemind'accèsduchier journal.Lesindicateurssuivantsdésignentlesinformationsquidoiventêtre consignéesdanslechierjournal:

•iconsignelesmessagesd'état.

•wconsignelesmessagesd'avertissementnoncritique.

•econsignetouslesmessagesd'erreur.

•aconsignelecommencementdesséquencesd'actions.

•rconsignelesenregistrementsspéciquesàuneaction.

•uconsignelesdemandesutilisateur.

•cconsignelesparamètresinitiauxdel'interfaceutilisateur.

•mconsignelesmessagesdesaturationdemémoire.

•pconsignelesparamètresdeterminal.

•vconsignelesparamètresdesortieenmodeprolixe.

•+faitunajoutàunchierexistant.

•*estuncaractèregénériquequivouspermetdeconsignertoutesles informations(àl'exclusiondesparamètresdesortieenmodeprolixe).

L'option/qestutiliséepourdénirleniveaudel'interfaceutilisateur conjointementaveclesindicateurssuivants:

•qouqnnecréeaucuneinterfaceutilisateur.

•qbcréeuneinterfaceutilisateurdebase.

Lesparamètresd'interfaceutilisateursuivantsafchentuneboîtededialogue modaleàlandel'installation:

•qrafcheuneinterfaceutilisateurréduite.

•qfafcheuneinterfaceutilisateurcomplète.

•qn+n'afcheaucuneinterfaceutilisateur.

•qb+afcheuneinterfaceutilisateurdebase.

Chapitre2.Installation11

Tableau3.Paramètresdelignedecommande(suite)

ParamètreDescription

/?ou/hCesdeuxcommandesafchentlesinformationsdecopyrightduprogramme

d'installationWindows.

TRANSFORMSLeparamètredelignedecommandeTRANSFORMSindiqueles

transformationsquevousvoulezappliqueràvotremoduledebase.

msiexec/i"C:\WindowsF older\ Proles\UserName\Personal \MySetups\ YourProjectName\TrialVersion\ MyRelease-1 \DiskImages\Disk1\ ProductName.msi"TRANSFORMS="NewTransf orm1.mst"

Vouspouvezséparerplusieurstransformationsparunpoint-virgule.N'utilisez pasdepoint-virguledanslenomdelatransformationcarleservicedu programmed'installationWindowsrisquedel'interpréterincorrectement.

PropriétésTouteslespropriétéspubliquespeuventêtredéniesoumodiéesàpartirde

lalignedecommande.Lespropriétéspubliquessedistinguentdespropriétés privéesetsontindiquéesenmajuscules.Parexemple,COMPANYNAME estunepropriétépublique.

Pourdénirunepropriétéàpartirdelalignedecommande,utilisezlasyntaxe suivante:

PROPERTY=VALUE

Parexemple,pourmodierlavaleurdelapropriétéCOMPANYNAME,vous devezentrercequisuit:

msiexec/i"C:\WindowsF older\ Proles\UserName\Personal\ MySetups\YourProjectName\ TrialVersion\MyRelease-1\ DiskImages\Disk1\ProductName.msi" COMPANYNAME="InstallShield"

Propriétéspubliquesstandardduprogrammed'installationWindows

Leprogrammed'installationWindowsestdotéd'unensembledepropriétéspubliquesstandardintégrées pouvantêtredéniesdanslalignedecommandepourindiqueruncomportementdonnélorsdel'installation. Letableauci-aprèsfournitlespropriétéspubliqueslespluscourantesutiliséesdanslalignedecommande.

Pourplusd'informations,accédezausiteWebdeMicrosoftàl'adressesuivante: http://msdn2.microsoft.com/en-us/library/aa367437.aspx

Letableauci-dessouscontientlespropriétéscourantesduprogrammed'installationWindows:

Tableau4.Propriétésduprogrammed'installationWindows

PropriétéDescription

TARGETDIRIndiquelerépertoirededestinationprincipalpour

l'installation.Lorsd'uneinstallationadministrative,cette propriétécorrespondàl'emplacementdecopiedu

moduled'installation. ARPAUTHORIZEDCDFPREFIXAdresseURLducanaldemiseàjourpourl'application. ARPCOMMENTSFournitdescommentairespourAjout/Suppressionde

programmessurlePanneaudeconguration.

12GuidededéploiementClientSecuritySolution8.21

Tableau4.Propriétésduprogrammed'installationWindows(suite)

PropriétéDescription

ARPCONTACTFournitdescontactspourAjout/Suppressionde

programmessurlePanneaudeconguration.

ARPINSTALLLOCATIONNomqualiécompletduchemind'accèsversledossier

principaldel'application.

ARPNOMODIFYDésactivelafonctionnalitépermettantdemodierle

produit.

ARPNOREMOVEDésactivelafonctionnalitépermettantdesupprimerle

produit.

ARPNOREPAIRDésactiveleboutonderéparationdansl'assistant

Programs. ARPPRODUCTICONIndiquel'icôneprincipalepourlemoduled'installation. ARPREADME

ARPSIZETailleestiméedel'applicationenkilo-octets. ARPSYSTEMCOMPONENTEmpêchel'afchagedel'applicationdanslaliste

ARPURLINFOABOUT ARPURLUPDATEINFOAdresseURLpourlesinformationsdemiseàjourd'une

REBOOTLapropriétéREBOOTsupprimecertainesinvitespour

FournitunchierReadMepourAjout/Suppressionde

programmessurlePanneaudeconguration.

Ajout/Suppressiondeprogrammes.

AdresseURLdelapaged'accueild'uneapplication.

application.

unréamorçagedusystème.Unadministrateurutilise

généralementcettepropriétéavecuneséried'installations

pourinstallersimultanémentplusieursproduitsavec

unseulréamorçageàl'issuedel'installation.Indiquez

REBOOT=«R»pourdésactivertoutréamorçageàlan

del'installation.

Fichiersjournauxd'installation

Lechierjournald'installationpourClientSecuritySolutionestappelécssinstall82x32.log(pourWindows XPetWindowsVista32)oucss64install82V.log(pourWindowsVista64).Ilestcréédanslerépertoire %temp%silacongurationestlancéeparsetup.exe(cliquezdeuxfoissurlechierinstall.exeprincipal, exécutezlechierexécutableprincipalsansparamètresouextrayezlechierMSIetexécutezsetup.exe).Ce chiercontientdesmessagesjournauxpouvantêtreutiliséspourdéboguerlesproblèmesd'installation. Cechierjournaln'estpascréélorsquelacongurationestexécutéedirectementàpartirdumodule MSI,ilcomprendtouteslesactionseffectuéesàpartird'Ajout/Suppressiondeprogrammes.Pourcréer unchierjournalpourtouteslesactionsMSI,vouspouvezactiverlesstratégiesdeconsignationdansle registre.Pourcefaire,créezlavaleursuivante:

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] "Logging"="voicewarmup"

Exemplesd'installation

Letableausuivantproposedesexemplesd'installationutilisantsetup.exe:

Tableau5.Exemplesd'installationavecsetup.exe

DescriptionExemple

Installationenmodesilencieuxsansréamorçage. Installationadministrative.

setup.exe/s/v”/qnREBOOT=”R””

setup.exe/a

Chapitre2.Installation13

Tableau5.Exemplesd'installationavecsetup.exe(suite)

DescriptionExemple

Installationsilencieuseenmodeadministrationindiquant l'emplacementd'extractionpourlelogicielClientSecurity Software.

Désinstallationenmodesilencieuxavecsetup.exe/s/x /v/qn.

Installationsansréamorçage.Créationd'unjournal d'installationdanslerépertoiretemporairepourClient SecuritySoftware

Installationsansinstallationdel'environnement PreDesktopavecsetup.exe/vPDA=0.

setup.exe/a/s/v”/qnTARGETDIR=”F: \CSS82””

setup.exe/s/x/v/qn

setup.exe/v”REBOOT=”R”/L*v%temp% \cssinstall80.log”

setup.exe/vPDA=0

Letableauci-dessouscontientdesexemplesd'installationavecClientSecuritySolution.msi:

Tableau6.Exemplesd'installationavecClientSecurity-PasswordManager.msi

DescriptionExemple

Installation

Installationenmodesilencieux sansréamorçage

Désinstallationenmode silencieux

msiexec/i“C:\CSS82\ClientSecurity Solution-PasswordManager .msi”

msiexec/i“C:\CSS82\ClientSecurity Solution-PasswordManager.msi”/qnREBOOT=”R”

msiexec/x“C:\CSS82\ClientSecurity Solution-PasswordManager.msi”/qn

InstallationdeClientSecuritySolution8.21avecdesversionsexistantes

ClientSecuritySolutionpeutêtremisàniveauàpartirdeClientSecuritySolution8.0avecSystemUpdate. PourinstallerClientSecuritySolution8.21avecdesversionsexistantesantérieuresàClientSecuritySolution

8.0,commencezparinstallerClientSecuritySolution8.0surlesystème.

ClientSecuritySolution8.0nepeutpasêtreinstallécommeunemiseàniveaud'uneversionprécédente. VousdevezdésinstallervotreversionexistantedeClientSecuritySolutionavantd'installerlaversion8.0. Pourpréserverlesdonnéesetlesparamètresexistants,suivezlesétapesindiquéesci-dessousavantde supprimerlaversionprécédentedeClientSecuritySolution:

1.TéléchargezClientSecuritySolution8.0UpgradeAssistantsurlesiteWebLenovosuivant: http://www.lenovo.com/support/site.wss/document.do?sitestyle=lenovo&lndocid=MIGR-46391

2.Apartirdelalignedecommande,exécutezl'assistantdemiseàniveaudeClientSecuritySolution

8.0enmodesilencieuxavantdesupprimerlaversionprécédente.

LesutilisateursdeClientSecuritySolution7.0doiventégalementeffectuerlamiseàniveauversClient SecuritySolution8.0avantd'installerRescueandRecovery4.0

Remarque:Sivousmettezàniveauunsystèmed'exploitation,vousdevezeffacerlecontenuduprocesseur desécuritépouréviterl'échecdel'enregistrementdeClientSecuritySolution.

InstallationdeThinkVantageFingerprintSoftware

Lechiersetup.exeduprogrammeFingerprintSoftwarepeutêtreinstalléparl'unedesméthodessuivantes:

14GuidededéploiementClientSecuritySolution8.21

Installationenmodesilencieux

PourinstallerFingerprintenmodesilencieux,exécutezlechiersetup.exesituédanslerépertoire d'installationdevotreunitédeCD-ROM.

Utilisezlasyntaxesuivante:

Setup.exePROPERTY=VALUE/q/i

oùqcorrespondàl'installationenmodesilencieuxetipourl'installation.Parexemple:

setup.exeINSTALLDIR="C:\ProgramFiles\ThinkVantagengerprintsoftware"/q/i

Pourdésinstallerlelogiciel,utilisezleparamètre/xàlaplacede/i:

setup.exeINSTALLDIR="C:\ProgramFiles\ThinkVantagengerprintsoftware"/q/x

Options

LesoptionsprisesenchargeparFingerprintSoftwaresontlessuivantes:

Tableau7.OptionsprisesenchargeparFingerprintSoftware

ParamètreDescription

CTRLONCEAfchelecentredecontrôleuneseulefois.Lavaleurpar

défautest0.

CTLCNTRExécutelecentredecontrôleaudémarrage.Lavaleur

pardéfautest1.

DEFFUS•0=n'utilisepaslesparamètresFastUserSwitching

(FUS)

•1=tented'utiliserlesparamètresFUS

Lavaleurpardéfautest0. INSTALLDIRUtilisepardéfautlerépertoired'installationdeFingerprint. OEM

PASSPORTUtilisepardéfautledepasseportdénilorsde

SECURITY•1=installationdelafonctiondemodesécurisé

SHORTCUTFOLDERUtilisepardéfautlenomdudossierderaccourcisdansle

•0=installationdelafonctiondepasseportdeserveur oud'authenticationdeserveur

•1=modeordinateurautonomeuniquementavec passeportslocaux

l'installation.

•1=pardéfaut-passeportlocal

•2=passeportdeserveur

Lavaleurpardéfautest1.

•0=pasd'installation;seullemodepratiqueestmis enoeuvre

menuDémarrer.

Chapitre2.Installation15

Tableau7.OptionsprisesenchargeparFingerprintSoftware(suite)

ParamètreDescription

REBOOTSupprimetouslesréamorçages,notammentlesinvites

lorsdel'installationlorsqu'ilestdéniparlavaleurReally Suppress.

DEVICEBIOCongureletyped'unitéquivaêtreutilisée.Type

d'enregistrement:

•DEVICEBIO=#3-lesecteurd'unitévaêtreutiliséavant lepremierenregistrement.

•DEVICEBIO=#0-l'enregistrementsurledisquedurva êtreutilisé.

•DEVICEBIO=#1-l'enregistrementdans CompanionChipvaêtreutilisé.

InstallationdeLenovoFingerprintSoftware

Lechiersetup32.exeduprogrammeFingerprintSoftwarepeutêtreinstalléenutilisantlaprocédure suivante:

Installationenmodesilencieux

PourinstallerFingerprintSoftwareenmodesilencieux,exécutezlechiersetup32.exequisetrouvedansle répertoired'installationsurleCD-ROM.

Utilisezlasyntaxesuivante:

setup32.exe/s/v"/qnREBOOT="R""

Pourdésinstallerlelogiciel,utilisezlasyntaxesuivante:

setup32.exe/x/s/v"/qnREBOOT="R""

Options

LesoptionsprisesenchargeparFingerprintSoftwaresontlessuivantes:

Tableau8.OptionsprisesenchargeparLenovoFingerprintSoftware

ParamètreDescription

SWAUTOSTART•0=nedémarrepaslelogicielFingerprintaudémarrage

deWindows

•1=nedémarrepaslelogicielFingerprintaudémarrage deWindows

Lavaleurpardéfautest1.

SWFPLOGON

SWPOPP•0=désactivelaprotectionparmotdepasseàlamise

•0=n'utilisepaslaconnexionparempreintedigitale (GINAouCredentialProvider)

•1=utiliselaconnexionparempreintedigitale(GINAou CredentialProvider)

Lavaleurpardéfautest0.

soustension

•1=activelaprotectionparmotdepasseàlamise soustension

Lavaleurpardéfautest0.

16GuidededéploiementClientSecuritySolution8.21

Tableau8.OptionsprisesenchargeparLenovoFingerprintSoftware(suite)

ParamètreDescription

SWSSO•0=désactivelafonctiondeconnexionunique

•1=activelafonctiondeconnexionunique Lavaleurpardéfautest0.

SWALLOWENROLL

•0=nepermetpasl'enregistrementdesempreintes

digitalespourlesutilisateursquinesontpas administrateurs

•1=permetl'enregistrementdesempreintesdigitales

pourlesutilisateursquinesontpasadministrateurs

Lavaleurpardéfautest1.

SWALLOWDELETE

•0=nepermetpaslasuppressiondesempreintes

digitalespourlesutilisateursquinesontpas administrateurs

•1=permetlasuppressiondesempreintesdigitales

pourlesutilisateursquinesontpasadministrateurs

Lavaleurpardéfautest1.

SWALLOWIMEXPORT•0=nepermetpasl'importation/exportationdes

empreintesdigitalespourlesutilisateursquinesont pasadministrateurs

•1=permetl'importation/exportationdesempreintes

digitalespourlesutilisateursquinesontpas administrateurs

Lavaleurpardéfautest1.

SWALLOWSELECT•0=nepermetpaslasélectiondel'utilisationdes

empreintesdigitalespourremplacerlemotdepasseà lamisesoustensionpourlesutilisateursquinesont pasadministrateurs

•1=permetlasélectiondel'utilisationdesempreintes

digitalespourremplacerlemotdepasseàlamise soustensionpourlesutilisateursquinesontpas administrateurs

Lavaleurpardéfautest1.

SWALLOWPWRECOVERY

•0=nepermetpaslarestaurationdumotdepasse

Windows

•1=permetlarestaurationdumotdepasseWindows Lavaleurpardéfautest1.

SWANTIHAMMER•0=désactivelaprotectionanti-martèlement

•1=activelaprotectionanti-martèlement Lavaleurpardéfautest1.

SWANTIHAMMERRETRIES

Indiquelenombremaximaledetentatives.Lavaleurpar défautest5. Remarque:Ceparamètrenefonctionnequelorsque SWANTIHAMMERestactivé.

SWANTIHAMMERTIMEOUTIndiqueladuréed'expiration.Lavaleurpardéfautest120.

Remarque:Ceparamètrenefonctionnequelorsque SWANTIHAMMERestactivé.

Chapitre2.Installation17

Tableau8.OptionsprisesenchargeparLenovoFingerprintSoftware(suite)

ParamètreDescription

SWAUTHTIMEOUT•0=désactiveledélaid'expirationdel'authentication

•1=activeledélaid'expirationdel'authentication

Lavaleurpardéfautest1.

SWAUTHTIMEOUTVALUEIndiqueladuréed'inactivité(ensecondes)avant

l'expirationdel'authentication.Lavaleurpardéfautest

120.

Remarque:Ceparamètrenefonctionnequelorsque SWAUTHTIMEOUTestactivé.

SWNONADMIFPLOGONONLY•0=désactiverlaconnexionparempreintesdigitales

uniquementpourlesutilisateursquinesontpas administrateurs.

•1=activerlaconnexionparempreintesdigitales uniquementpourlesutilisateurquinesontpas administrateurs.

Lavaleurpardéfautest1.

SWSHOWPOWERON•0=n'afchepaslesoptionsdesécuritéàlamisesous

tension

•1=afchetoujourslesoptionsdesécuritéàlamise soustension

Lavaleurpardéfautest0.

CSS•0=considèrequeCSSn'estpasinstallé

•1=considèrequeCSSestinstallé

Lavaleurpardéfautest0.

SystemsManagementServer

LesinstallationsdeSMS(SystemsManagementServer)sontégalementprisesencharge.Ouvrezlaconsole d'administrationSMS.Créezunnouveaumoduleetdénissezsespropriétésdefaçonstandard.Ouvrez lemoduleetsélectionnezNouveauprogrammedansProgrammes.Surlalignedecommande,entrezla commandesuivante:

Setup.exe/myourmiflename/q/i

Vouspouvezutiliserlesmêmesparamètresquepourl'installationenmodesilencieux.

Unréamorçageanormalementlieuàlanduprocessusd'installation.Sivoussouhaitezsupprimertousles réamorçageslorsdel'installationeteffectuerunréamorçageultérieurement(aprèsl'installationd'autres programmes),ajoutezREBOOT=«ReallySuppress»àlalistedespropriétés.

18GuidededéploiementClientSecuritySolution8.21

Chapitre3.UtilisationdeClientSecuritySolution

Avantd'installerClientSecuritySolution,vousdevezprendreconnaissancedesfonctionsdepersonnalisation disponiblespourcecomposant.Leprésentchapitrecontientlesinformationsdepersonnalisationrelativesà ClientSecuritySolutionainsiquedesinformationssurlemoduleTPM(T rustedPlatformModule).Leprésent chapitreutiliselestermesdénisparleTCG(TrustedComputingGroup)concernantlemoduleTPM.Pour plusd'informationssurlemoduleTPM,reportez-vousausiteWebsuivant: http://www.trustedcomputinggroup.org/

UtilisationdumoduleTPM

LemoduleTPM(T rustedPlatformModule)estunprocesseurdesécuritéintégré(oupucedesécurité intégrée)conçupourfournirdesfonctionsdesécuritéauxlogicielsquil'utilisent.Leprocesseurdesécurité intégréestinstallésurlacartemèredusystèmeetcommuniqueviaunbusmatériel.Lessystèmesqui contiennentunmoduleTPMpeuventcréerdesclésdechiffrementetleschiffreranqu'ellesnepuissent êtredéchiffréesqueparlemoduleTPM.Cetteprocédureestsouventappeléeencapsulaged'unecléet permetdeprotégerlaclécontretoutedivulgation.Lorsqu'unsystèmecontientunmoduleTPM,laclé d'encapsulageprincipale,appeléecléSRK(StorageRootKey),eststockéedanslemoduleTPMlui-même. Ainsi,lapartieprivéedelaclén'estjamaisexposée.Leprocesseurdesécuritéintégrépeutégalement contenird'autresclésdestockage,desclésdesignature,desmotsdepasseetd'autrespetitesunitésde données.EnraisondelafaiblecapacitédumoduleTPM,lacléSRKestutiliséepourchiffrerlesautresclés nepouvantêtrestockéessurleprocesseur.LacléSRKnequittejamaisleprocesseurdesécuritéintégréet constituelabasedustockageprotégé.

L'utilisationduprocesseurdesécuritéestfacultativeetrequiertl'interventiond'unadministrateurClient SecuritySolution.Qu'ilsoitutiliséparunutilisateurindividuelouunserviceinformatiqueenentreprise,le moduleTPMdoitêtreinitialisé.Lesopérationsultérieurestellesquelapossibilitéderécupérersuiteàun incidentsurledisquedurousurunecartemèrederemplacementsontégalementlimitéesàl'administrateur ClientSecuritySolution.

Remarque:Sivousmodiezlemoded'authenticationettentezdedéverrouillerleprocesseurdesécurité, vousdevezvousdéconnecter,puisvousreconnecterentantqu'administrateurmaître.Vouspourrezalors déverrouillerleprocesseur.Vouspouvezégalementvousconnecterentantqu'utilisateursecondaireet continueràconvertirlemoded'authentication.Celasefaitautomatiquementlorsquelesecondutilisateur seconnecte.ClientSecuritySolutiondemandeausecondutilisateursonmotdepasseoumotdepasse composé.UnefoisqueClientSecuritySolutionaeffectuélamodication,lesecondutilisateurpeut procéderaudéverrouillageduprocesseur.

UtilisationdumoduleTPM(TrustedPlatformModule)avecWindows Vista

Sil'ouverturedesessionWindowsVistaestactivéeetquelemoduleTPMestdésactivé,vousdevez désactiverlafonctiond'ouverturedesessionWindowsavantdedésactiverlemoduleTPMdanslesystème BIOSF1.Vouséviterezainsil'afchagedumessagedesécuritésuivant:Securitychiphasbeen deactivated,thelogonprocesscannotbeprotected.

Deplus,sivousmettezàniveaulesystèmed'exploitationd'unsystèmeclient,vousdevezeffacerlecontenu duprocesseurdesécuritépouréviterl'échecdel'enregistrementdeClientSecurity.Poureffacerle contenuduprocesseurdanslesystèmeBIOSF1,lesystèmedoitêtredémarréàpartird'unredémarrage. Vousnepourrezpaseffacerlecontenuduprocesseursivoustentezd'effectuerceprocessusaprèsun redémarrageautomatique.

GestiondeClientSecuritySolutionàclésdechiffrement

LestâchesdebasedeClientSecuritySolutionseregroupentautourdedeuxactivitésdedéploiement principales:l'affectationdel'administrateurCSS(commandeTakeOwnership)etl'enregistrement d'utilisateurs(commandeEnrollUser).Lorsdelapremièreexécutiondel'assistantdecongurationClient SecuritySolution,lesprocéduresTakeOwnershipetEnrollUsersonttoutesdeuxexécutéeslorsde l'initialisation.L'IDutilisateurWindowsspéciquequiaexécutél'assistantdecongurationClientSecurity Solutioncorrespondàl'administrateurClientSecuritySolutionetestinscritcommeutilisateuractif.Ilsera automatiquementdemandéàtoutautreutilisateurseconnectantausystèmedes'inscriredansClient SecuritySolution.

•T akeOwnership UnseulIDutilisateuradministratifWindowsestaffectécommeadministrateurClientSecuritySolution exclusifpourlesystème.Lesfonctionsd'administrationdeClientSecuritySolutiondoiventêtre obligatoirementexécutéesviacetIDutilisateur.L'autorisationd'accèsaumoduleTPM(TrustedPlatform Module)estconstituésoitparlemotdepasseWindowsdel'utilisateur,soitparlemotdepassecomposé ClientSecurity.

Remarque:Leseulmoyenderécupérerunmotdepassesimpleoucomposédel'administrateur ClientSecuritySolutionencasd'oubliconsisteàdésinstallerlelogicielavecdesautorisationsWindows valablesouàeffacerleprocesseurdesécuritédansleBIOS.Quelquesoitlemoyenchoisi,lesdonnées protégéesvialesclésassociéesaumoduleTPMserontperdues.ClientSecuritySolutionfournit égalementunmécanismefacultatifquipermetlarécupérationpersonnelled'unmotdepasseoumotde passecomposéoubliébaséesurunequestion-réponse.L'administrateurClientSecuritySolutiondécide d'utiliserounonlafonction.

•EnrollUser UnefoislaprocédureTakeOwnershipterminéeetl'administrateurClientSecuritySolutioncréé,uneclé debaseutilisateurpeutêtrecrééepourstockerlesdonnéesd'identicationdemanièresécuriséepour l'utilisateuractuellementconnectéàWindows.Cettefonctionpermetàplusieursutilisateursdes'inscrire dansClientSecuritySolutionetd'utiliserlemêmemoduleTPM.Lesclésd'utilisateursontprotégéesvia leprocesseurdesécurité,maissontstockéesnonpassurceprocesseurmaissurledisquedur.Cette fonctioncréeunespacesurledisquedurcommefacteurdelimitationdestockageaulieud'utiliserla mémoireréelleprésentedansleprocesseurdesécurité.Celapermetd'augmenterconsidérablement lenombred'utilisateurspouvantutiliserlemêmematérielsécurisé.

TakeOwnership

LasécuritédeClientSecuritySolutionestbaséesurlacléSRK(SystemRootKey).Cettecléasymétriquene pouvantfairel'objetd'aucunemigrationestgénéréeauseindel'environnementsécurisédumoduleTPMet n'estjamaisexposéedanslesystème.L'autorisationderéutiliserlacléprovientducompteadministrateur Windowslorsdel'exécutiondelacommandeTPM_T akeOwnership.Silesystèmeréutiliseunmotde passecomposéClientSecurity,c'estlemotdepassecomposéClientSecurityassociéàl'administrateur ClientSecuritySolutionquiconstituel'autorisationTPM.Autrement,c'estlemotdepasseWindowsde l'administrateurClientSecuritySolution.

OutrelacléSRKcrééepourlesystème,d'autrespairesdecléspeuventêtrecrééesetstockéesendehors dumoduleTPM,maisencapsuléesouprotégéesparlesclésmatérielles.Etantdonnéquelemodule TPM,quicomprendlacléSRK,estunmatérieletquelematérielpeutêtreendommagé,unmécanisme derécupérationestnécessairepourêtresûrqu'unendommagementdusystèmen'empêcherapasla récupérationdesdonnées.

Lorsqu'unerécupérationdusystèmeestnécessaire,uneclédebasesystèmeestcréée.Cettecléde stockageasymétriquepermetàl'administrateurClientSecuritySolutionderécupérerd'unepermutationde cartemèreoud'unemigrationplaniéeversunautresystème.Pourprotégerlaclédebasesystèmemais luipermettrederesteraccessibledurantlefonctionnementnormaldusystèmeoularécupération,deux

20GuidededéploiementClientSecuritySolution8.21

instancesdecetteclésontcrééesetprotégéespardeuxméthodesdistinctes.Lapremièreinstancede

System Level Key Structure - Take Ownership

Trusted Platform Module

Encrypted via derived AES Key

Storage Root Private Key

Storage Root Public Key

System Leaf Private Key

System Base Private Key

System Leaf Public Key

System Base Public Key

System Base Private Key

System Base Public Key

If Passphrase

loop n times

CSS Admin PW/PP

One-Way Hash

System Base AES

Protection Key (derived via output of hash algorithm)

Auth

laclédebasesystèmeestchiffréeavecuneclésymétriqueAESquiestdérivéedumotdepasseoudu motdepassecomposéClientSecuritydel'administrateurClientSecuritySolution.Cettecopiedelaclé derécupérationdeClientSecuritySolutionauniquementpourbutdepermettreunerécupérationencas d'effacementdumoduleTPMouderemplacementdelacartemèrelorsd'unincidentmatériel.

LasecondeinstancedelacléderécupérationdeClientSecuritySolutionestencapsuléeparlacléSRK envuedel'importerdanslahiérarchiedesclés.Cettedoubleinstancedelaclédebasesystèmepermet aumoduleTPMdeprotégerlesdonnéessecrètesquiluisontassociéesencasd'utilisationnormaleetde permettreunerécupérationdelacartemère(aucasoùelleseraitendommagée)vialaclédebasesystème quiestchiffréeavecunecléAESdéverrouilléeparlemotdepasseadministrateurClientSecuritySolutionou lemotdepassecomposéClientSecurity.Ensuite,unecléélémentairesystèmeestcréée.Cettecléest crééepourprotégerlesdonnéescondentiellesauniveaudusystèmetellesquelacléAES.

Lediagrammesuivantfournitlastructurepourlaclésystème:

Figure1.Structuredeclédeniveausystème-Affectationdel'administrateur

EnrollUser

PourquelesdonnéesdechaqueutilisateurpuissentêtreprotégéesparlemêmemoduleTPM,unecléde baseutilisateurestcrééepourchaqueutilisateur.Cetteclédestockageasymétriquepeutfairel'objetd'une migrationetestégalementcrééeendoubleetprotégéeparunecléAESsymétriquegénéréeàpartirdumot depasseWindowsdechaqueutilisateuroudumotdepassecomposéClientSecurity.

LasecondeinstancedelaclédebaseutilisateurestensuiteimportéedanslemoduleTPMetprotégéeparla cléSRKdusystème.Unecléasymétriquesecondaire,appeléecléélémentaire,estcrééenmêmetempsque laclédebaseutilisateur.Lacléélémentaireprotègelesdonnéescondentiellesindividuellestellesquelaclé AESdePasswordManagerutiliséepourprotégerlesinformationsdeconnexionInternet,lemotdepasse utilisépourprotégerdesdonnéesetlacléAESdemotdepasseWindowsutiliséepouraccéderausystème d'exploitation.L'accèsàlacléélémentaireutilisateurestcontrôléparlemotdepasseutilisateurWindowsou lemotdepassecomposéClientSecuritySolutionetestautomatiquementdéverrouillédurantlaconnexion.

Chapitre3.UtilisationdeClientSecuritySolution21

+ 61 hidden pages