Lenovo ThinkVantage Client Security Solution 8.21 Deployment Guide [de]

ClientSecuritySolution8.21 Implementierungshandbuch

Aktualisiert:ImFebruar2012

Anmerkung:VorVerwendungdieserInformationenunddesdarinbeschriebenenProduktssolltendie allgemeinenHinweiseinAnhangD„Bemerkungen“aufSeite83gelesenwerden.

DritteAusgabe(Februar2012) ©CopyrightLenovo2008,2012.

HINWEISZUEINGESCHRÄNKTENRECHTEN(LIMITEDANDRESTRICTEDRIGHTSNOTICE):WerdenDatenoder SoftwaregemäßeinemGSA-Vertrag(GeneralServicesAdministration)ausgeliefert,unterliegtdieVerwendung, VervielfältigungoderOffenlegungdeninVertragNr.GS-35F-05925festgelegtenEinschränkungen.

Inhaltsverzeichnis

Einleitung...............iii

Kapitel1.Übersicht...........1

ClientSecuritySolution............1

ClientSecuritySolution-Verschlüsselungstext..2 ClientSecurity-Kennwortwiederherstellung...2

PasswordManagervonClientSecurity....3

SecurityAdvisor.............3

AssistentzurÜbertragungvonZertikaten...4 FunktionzumZurücksetzenvon

Hardwarekennwörtern...........4

UnterstützungfürSystemeohneTPM.....4

FingerprintSoftware.............4

Kapitel2.Installation..........7

ClientSecuritySolution............7

Installationsvoraussetzungen........7

AngepassteöffentlicheMerkmale......8

TPM-Unterstützung(TrustedPlatform

Module)................8

Installationsverfahrenund

Befehlszeilenparameter..........9

ÖffentlicheStandardeigenschaftenvon

WindowsInstaller............13

Installationsprotokolldateien.......14

ClientSecuritySolution8.21installieren,wenn

frühereVersionenvorhandensind.....15

ThinkVantageFingerprintSoftwareinstallieren..15

UnbeaufsichtigteInstallation.......15

Optionen...............15

LenovoFingerprintSoftwareinstallieren.....16

UnbeaufsichtigteInstallation.......17

Optionen...............17

SystemsManagementServer.........19

Kapitel3.MitClientSecuritySolution

arbeiten................21

TPMverwenden..............21

TPM(T rustedPlatformModule)unterWindows

Vistaverwenden............21

ClientSecuritySolutionmitChiffrierschlüsseln

verwalten.................22

Eigentumsrechtübernehmen.......22

Benutzerregistrieren..........23

Softwareemulation...........25

AustauschderSystemplatine.......25

Schutzdienstprogramm„EFS“.......27

XML-Schemaverwenden..........28

Beispiele...............29

RSASecurID-Tokenverwenden........35

RSASecurID-Software-Tokeninstallieren..36

Anforderungen.............36

Smart-Card-Zugriffsoptionenfestlegen...36 RSASecurID-Software-T okenmanuell

installieren..............36

ActiveDirectory-Unterstützung......36

EinstellungenundRichtlinienfürdie AuthentizierungüberdasLesegerätfür

Fingerabdrücke..............37

ErzwungeneOptionenzumUmgehendes

Fingerabdrucks............37

ErgebnisderÜberprüfungdes

Fingerabdrucks............37

Befehlszeilentools.............38

SecurityAdvisor............38

InstallationsassistentfürClientSecurity

Solution...............39

ToolzurVerschlüsselungundEntschlüsselung

derImplementierungsdatei........40

ToolzurVerarbeitungder

Implementierungsdatei..........41

TPMENABLE.EXE...........41

ToolzurÜbertragungvonZertikaten....41

ToolzumAktivierendesTPM.......42

ActiveDirectory-Unterstützung........43

ADM-Schablonendateien.........43

EinstellungenfürGruppenrichtlinien....44

ActiveUpdate.............49

Kapitel4.MitThinkVantage

FingerprintSoftwarearbeiten....51

Managementkonsolentool..........51

BenutzerspezischeBefehle.......51

BefehlefürglobaleEinstellungen......52

SichererModusundkomfortablerModus....53

SichererModus–Administrator......53

SichererModus-Benutzermiteingeschränkter

Berechtigung.............54

KomfortablerModus-Administrator....55

KomfortablerModus-Benutzermit

eingeschränkterBerechtigung.......55

KongurierbareEinstellungen.......56

FingerprintSoftwareundNovellNetwareClient..57

Authentizierung............58

DienstefürThinkVantageFingerprintSoftware..58

©CopyrightLenovo2008,2012

Kapitel5.MitLenovoFingerprint

Softwarearbeiten...........59

Managementkonsolentool..........59

DienstefürdieLenovoFingerprintSoftware...59 ActiveDirectory-UnterstützungfürLenovo

FingerprintSoftware............59

Kapitel6.BewährteVerfahren....61

ImplementierungsbeispielefürdieInstallationvon

ClientSecuritySolution...........61

Szenario1..............61

Szenario2..............63

ZwischenModivonClientSecuritySolution

wechseln.................66

ActiveDirectory-Implementierungfür

Unternehmen...............66

Standalone-InstallationfürCDoder

Scriptdateien...............66

SystemUpdate..............66

SystemMigrationAssistant..........66

ZertikatunterVerwendungdurch

SchlüsselerstellunginTPMgenerieren.....66

Voraussetzungen:............66

ZertikatbeimServeranfordern......67

USB-TastaturmitLesegerätfür Fingerabdrückezusammenmit ThinkPad-Notebook-Computernvon2008 (R400/R500/T400/T500/W500/X200/X301)

verwenden................68

WindowsVista-Anmeldung........68

WindowsXP-Anmeldung.........69

ClientSecuritySolutionundPassword

Manager...............71

AuthentizierungvordemStarten– FingerabdruckanstellederBIOS-Kennwörter

verwenden..............71

AnhangA.HinweisezurVerwendung

vonOmniPass.............75

AnhangB.HinweisezurVerwendung desLenovoFingerprint Keyboardzusammenmiteinigen

Thinkpad-Notebookmodellen.....77

KongurationundEinrichtung.........77

Predesktop-Authentizierung.........77

Windows-Anmeldung............78

WindowsXP-Eingangsanzeige........78

WindowsXP-KlassischeAnmeldeaufforderung.78

WindowsVista...............79

AuthentizierungmitClientSecuritySolution...79

AnhangC.Windows-Kennwort nachdemZurücksetzenmitCSS

abgleichen..............81

AnhangD.Bemerkungen.......83

Marken.................84

Glossar................lxxxv

iiClientSecuritySolution8.21Implementierungshandbuch

Einleitung

DiesesHandbuchrichtetsichanIT-Administratorenbzw.anPersonen,diefürdieImplementierungvon ThinkVantage Unternehmenverantwortlichsind.DiesesHandbuchenthältdieInformationen,diezurInstallationvonClient SecuritySolutionundFingerprintSoftwareaufeinemodermehrerenComputernerforderlichsind.Dabei wirdvorausgesetzt,dassfürdieeinzelnenZielcomputerLizenzenfürdieSoftwareverfügbarsind.

DasZielvonClientSecuritySolutionundFingerprintSoftwarebestehtdarin,IhreSystemedurchdas SichernvonDatenunddurchdieAbwehrvonSicherheitsangriffenzuschützen.WennSieFragenzur VerwendungderverschiedenenKomponentenvonClientSecuritySolutionundFingerprintSoftwarehaben oderweitereInformationendazuwünschen,schlagenSieimOnlinehilfesystemzudenKomponentenunter www.lenovo.com/thinkvantagenach.

DieseHandbücherwerdeninregelmäßigenAbständenaktualisiert.KünftigeVeröffentlichungenndenSie aufderfolgendenWebsite: http://www.lenovo.com/thinkvantage

BeiVorschlägenoderBemerkungenIhrerseitswendenSiesichanIhrenautorisiertenLenovo® Ansprechpartner.

ClientSecuritySolutionundThinkVantageFingerprintSoftwareaufComputerninihren

©CopyrightLenovo2008,2012

iii

ivClientSecuritySolution8.21Implementierungshandbuch

Kapitel1.Übersicht

DiesesKapitelenthälteineÜbersichtzuClientSecuritySolutionundzurFingerprintSoftware.IT-Spezialisten protierendirektundindirektvondenimvorliegendenImplementierungshandbuchbeschriebenen Technologien,weilsiePCsbedienerfreundlicherundunabhängigermachenundleistungsfähigeTools bieten,dieImplementierungenvereinfachenunderleichtern.ThinkVantageTechnologiesermöglichenes IT-Spezialisten,wenigerZeitfüreinzelneComputerfehlerzuverwendenundsichmehraufihreKernaufgaben zukonzentrieren.

ClientSecuritySolution

DieSoftware„ClientSecuritySolution“hatvorallemdenZweck,Benutzerndabeizuhelfen,den ComputeralsRessource,vertraulicheDatenaufdemComputersowiedievomComputeraufgebauten Netzverbindungenzuschützen.(BeiLenovoSystemen,dieeinTCG-konformes(TCG-T rustedComputing Group)TPM(TrustedPlatformModule)enthalten,verwendetdieSoftware„ClientSecuritySolution“die HardwarealsSicherheitsbasisdesSystems.WenndasSystemkeinenintegriertenSicherheitschipenthält, verwendetClientSecuritySolutionChiffrierschlüsselaufSoftwarebasisalsSicherheitsbasisdesSystems.)

ClientSecuritySolutionVersion8.2bietetdiefolgendenFunktionen:

•SichereBenutzerauthentizierungmitWindows®-KennwortoderClientSecurity

Solution-Verschlüsselungstext

ClientSecuritySolutionkannsokonguriertwerden,dasseinWindows-KennwortodereinClient SecuritySolution-VerschlüsselungstextfürdieAuthentizierungakzeptiertwird.DasWindows-Kennwort istbenutzerfreundlichundüberWindowsleichtzuverwalten,währendderClientSecurity Solution-VerschlüsselungstextzusätzlicheSicherheitbietet.DerAdministratorkannauswählen,welche Authentizierungsmethodeverwendetwird,unddieseEinstellungkanngeändertwerden,auchwenn bereitsBenutzerbeiClientSecuritySolutionregistriertsind.

•BenutzerauthentizierungüberFingerabdruck

NutztdieintegrierteunddieüberUSBangeschlosseneFingerabdrucktechnologiezurAuthentizierung vonBenutzernfürkennwortgeschützteAnwendungen.

•MehrfacheBenutzerauthentizierungfürdieWindows-AnmeldungundverschiedeneVorgängein

ClientSecuritySolution

FestlegungmehrererAuthentizierungsfunktionen(Windows-Kennwort,Client Security-VerschlüsselungstextundFingerabdruck)fürverschiedeneSicherheitsoperationen.

•Kennwortmanagement

SichereVerwaltungundSpeicherungvonkritischenAnmeldedaten,wiez.B.Benutzer-IDsund Kennwörtern.

•WiederherstellungvonKennwortundVerschlüsselungstext

DieWiederherstellungvonKennwortundVerschlüsselungstextermöglichtesBenutzern,sichbei WindowsanzumeldenundaufihreClientSecuritySolution-Berechtigungsnachweisezuzugreifen,auch wennsiedasWindows-KennwortoderdenClientSecuritySolution-Verschlüsselungstextvergessen haben,indemsieaufvorkongurierteSicherheitsfragenantworten.

•Sicherheitseinstellungenüberprüfen

BenutzererhaltendieMöglichkeit,eineausführlicheListederSicherheitseinstellungenfürdieWorkstation anzuzeigenundÄnderungenvorzunehmen,umfestgelegteStandardseinzuhalten

•ÜbertragungdigitalerZertikate

ClientSecuritySolutionschütztdenprivatenSchlüsselvonBenutzer-undMaschinenzertikaten. VerwendenSieClientSecuritySolution,umdenprivatenSchlüsselIhrerbereitsvorhandenenZertikate zuschützen.

©CopyrightLenovo2008,2012

•RichtlinienverwaltungfürAuthentizierung

EinAdministratorkannauswählen,welcheEinheiten(Windows-Kennwort,ClientSecurity Solution-VerschlüsselungstextoderFingerabdruck)fürdieAuthentizierungfürfolgendeAktionen erforderlichsind:Windows-Anmeldung,PasswordManager-undZertikatoperationen.

ClientSecuritySolution-Verschlüsselungstext

DerClientSecurity-VerschlüsselungstextisteineoptionaleFunktionderBenutzerauthentizierung, dieerhöhteSicherheitfürClientSecuritySolution-Anwendungenbietet.DerClientSecurity Solution-VerschlüsselungstextmussfolgendeBedingungenerfüllen:

•ErmussausmindestensachtZeichenbestehen

•ErmussmindestenseineZifferenthalten

•ErmusssichvondenletztendreiVerschlüsselungstextenunterscheiden

•ErdarfhöchstenszweiwiederholteZeichenenthalten

•ErdarfnichtmiteinerZifferbeginnen

•ErdarfnichtmiteinerZifferenden

•ErdarfnichtdieBenutzer-IDenthalten

•Erdarfnichtgeändertwerden,wennderaktuelleVerschlüsselungstextwenigeralsdreiTagealtist

•ErdarfnichtdreiaufeinanderfolgendeZeichenenthalten,dieauchindemaktuellenVerschlüsselungstext enthaltensind,unabhängigvonihrerPosition

•ErdarfnichtmitdemWindows-Kennwortübereinstimmen.

DerClientSecuritySolution-VerschlüsselungstextistnurdembetreffendenBenutzerbekannt.Dieeinzige Möglichkeit,einenvergessenenClientSecuritySolution-Verschlüsselungstextwiederherzustellen,besteht darin,dieClientSecuritySolution-Kennwortwiederherstellungzuverwenden.WennderBenutzerdie AntwortenaufdieWiederherstellungsfragenvergisst,gibteskeineMöglichkeitmehr,diedurchdenClient SecuritySolution-VerschlüsselungstextgeschütztenDatenwiederherzustellen.

ClientSecurity-Kennwortwiederherstellung

DieseoptionaleFunktionermöglichtesregistriertenBenutzern,einvergessenesWindows-Kennwortoder einenvergessenenClientSecuritySolution-VerschlüsselungstextdurchdasBeantwortendreierFragen wiederherzustellen.WenndieseFunktionaktiviertist,wählenSiedreiAntwortenaufzehnvorausgewählte Fragenaus.WennSieIhrWindows-KennwortoderIhrenClientSecurity-Verschlüsselungstext vergessen,habenSiedieMöglichkeit,diesedreiFragenzubeantworten,umIhrKennwortoderIhren Verschlüsselungstextzurückzusetzen.

Anmerkungen:

1.BeiVerwendungdesClientSecurity-VerschlüsselungstextesistdiesdieeinzigeMöglichkeit,einen vergessenenVerschlüsselungstextwiederherzustellen.WennSiedieAntwortenaufdiedreiFragen vergessen,müssenSiedenRegistrierungsassistentenerneutausführenundverlierenallezuvorvon ClientSecuritygesichertenDaten.

2.BeiderVerwendungvonClientSecurityzumSchützenderRescueandRecovery®Predesktop AreazeigtdieOption„PasswordRecovery“IhrenClientSecurity-Verschlüsselungstextund/oder dasWindows-Kennwortan.DerVerschlüsselungstextoderdasKennwortwirdangezeigt,weildas Windows-KennwortvonderPredesktop-Umgebungnichtautomatischgeändertwerdenkann.Der VerschlüsselungstextoderdasKennwortwirdauchdannangezeigt,wenneinmobilerBenutzer (nichtmitdemNetzverbundene,lokalzwischengespeicherteDomäne)dieseFunktionbeider Windows-Anmeldungausführt.

2ClientSecuritySolution8.21Implementierungshandbuch

PasswordManagervonClientSecurity

MitdemPasswordManagervonClientSecuritySoftwarekönnenSieleichtzuvergessendeDatenfür AnwendungenundWebsites,wiez.B.Benutzer-IDs,KennwörterundanderepersönlicheDaten,verwalten. DerPasswordManagervonClientSecurityschütztIhrepersönlichenDatenüberClientSecuritySolution, sodassderZugriffaufIhreAnwendungenundIhreWebsitesvollkommensicherbleiben.DerPassword ManagervonClientSecurityverringertIhrenZeit-undArbeitsaufwand,daSiesichnureinKennwortoder einenVerschlüsselungstextmerkenbzw.nureinmalIhrenFingerabdruckbereitstellenmüssen.

DerPasswordManagervonClientSecuritySoftwarebietetdiefolgendenFunktionen:

•VerschlüsselnallergespeichertenDatenüberdieClientSecuritySolution-Software:

VerschlüsseltautomatischalleIhreDatenüberClientSecuritySolution.Ihrekritischen KennwortinformationenwerdendurchdieVerschlüsselungsschlüsselvonClientSecuritySolution gesichert.

•AutomatischesAusfüllenvonBenutzer-IDsundKennwörtern:

AutomatisiertIhrenAnmeldeprozess,wennSieaufeineAnwendungodereineWebsitezugreifen.Wenn IhreAnmeldedatenindenPasswordManagervonClientSecurityeingegebenwurden,kannderPassword ManagervonClientSecurityautomatischdieerforderlichenFelderausfüllenundandieWebsiteoderan dieAnwendungübergeben.

•BearbeitungvonEinträgenüberdieSchnittstelledesPasswordManagersvonClientSecurity:

SiekönnendieBearbeitungallerIhrerBenutzerkontoeinträgeunddieKongurationalleroptionalen FunktionenübereineeinzigebenutzerfreundlicheSchnittstellevornehmen.DieVerwaltungIhrer KennwörterundIhrerpersönlichenDatenerfolgtüberdieseSchnittstelleschnellundeinfach.Diemeisten eingabebezogenenÄnderungenkönnenautomatischvomPasswordManagervonClientSecurityerkannt werden,sodassderBenutzerdieEingabensogarmitnochgeringeremAufwandaktualisierenkann.

•SpeichernderDatenohnezusätzlicheSchritte:

DerPasswordManagervonClientSecuritykannautomatischerkennen,wennkritischeDatenaneine bestimmteWebsiteoderAnwendunggesendetwerden.WenneinesolcheErkennungstattndet,fordert derPasswordManagervonClientSecuritydenBenutzerauf,dieDatenzuspeichern,wodurchder ProzessdesSpeichernskritischerDatenvereinfachtwird.

•SpeichernallerDatenineinemsicherenArbeitspuffer:

MitdemPasswordManagervonClientSecuritykannderBenutzeralleTextdateninsicheren Arbeitspuffernspeichern.DiesicherenArbeitspufferdesBenutzerskönnenmitderselbenSicherheitsstufe wiealleanderenEinträgefürWebsitesoderAnwendungengeschütztwerden.

•ExportierenundImportierenvonAnmeldedaten:

SiekönnenIhrekritischenpersönlichenDatenexportieren,umsiesichervoneinemComputerzueinem anderenzuübertragen.WennSieIhreAnmeldedatenausdemPasswordManagervonClientSecurity Softwareexportieren,wirdeinekennwortgeschützteExportdateierstellt,dieaufeinemaustauschbaren Datenträgergespeichertwerdenkann.MitdieserDateikönnenSieüberallaufIhrepersönlichenDaten zugreifenoderIhreEinträgeaufeinemanderenComputermitdemPasswordManagerimportieren.

Anmerkung:VollständigeImportunterstützungistfürExportdateienfürdieVersionen7.0und8.x vonClientSecuritySolutionverfügbar.FürClientSecuritySolutionVersion6.0isteingeschränkte Unterstützungverfügbar(Anwendungseinträgewerdennichtimportiert).VersionenvonClientSecurity SoftwarebiseinschließlichVersion5.4xwerdennichtindenPasswordManagervonClientSecurity SolutionVersion8.ximportiert.

SecurityAdvisor

MitdemT ool„SecurityAdvisor“könnenSieeineZusammenfassungderSicherheitseinstellungenanzeigen, diezurzeitaufIhremComputerfestgelegtsind.SiekönnendieseEinstellungenverwenden,umIhren aktuellenSicherheitsstatusanzuzeigenoderumIhreSystemsicherheitzuverbessern.Dieangezeigten

Kapitel1.Übersicht3

KategoriestandardwertekönnenüberdieWindows-Registrierungsdatenbankgeändertwerden.Zuden Sicherheitskategoriengehörenz.B.:

•Hardwarekennwörter

•Windows-Benutzerkennwörter

•RichtliniefürWindows-Kennwörter

•GeschützterBildschirmschoner

•GemeinsamerDateizugriff

AssistentzurÜbertragungvonZertikaten

DerCSS-AssistentzurÜbertragungvonZertikatenführtSiedurchdieeinzelnenSchrittezurÜbertragung derIhrenZertikatenzugeordnetenprivatenSchlüsselvomsoftwarebasiertenMicrosoftCryptographicServiceProvider)zumhardwarebasiertenCSS-CSP(ClientSecuritySolutionCSP).Nach dieserÜbertragungsindOperationen,beidenendieZertikateverwendetwerden,sicherer,dadieprivaten SchlüsseldurchClientSecuritySolutiongeschütztsind.

CSP(CSP-

FunktionzumZurücksetzenvonHardwarekennwörtern

MitdiesemToolkönnenSieeinesichereUmgebungeinrichten,dieunabhängigvonWindowsausgeführt wirdunddieIhnenhilft,einvergessenesStart-oderFestplattenkennwortzurückzusetzen.IhreIdentitätwird überprüft,indemSieeineReihevonFragenbeantworten,dieSievorherselbstfestlegen.ErstellenSiediese sichereUmgebungmöglichst,bevorSieeinKennwortvergessen.SiekönneneinvergessenesKennworterst zurücksetzen,wenndiesesichereUmgebungaufIhremFestplattenlaufwerkeingerichtetistundSiesich registrierthaben.DiesesToolstehtnuraufausgewähltenComputernzurVerfügung.

UnterstützungfürSystemeohneTPM

ClientSecuritySolutionVersion8.2unterstütztLenovoSysteme,dieüberkeinenkompatiblenintegrierten Sicherheitschipverfügen.DieseUnterstützungermöglichteineStandardinstallationimgesamten UnternehmenzurErstellungeinerkonsistentenSicherheitsumgebung.DieSysteme,dieüberdie integrierteSicherheitshardwareverfügen,sindgegenAngriffebessergeschützt.Aberauchdienurmitder SicherheitssoftwareausgestattetenSystemeprotierenvoneinerhöherenSicherheitundeinerbesseren Funktionalität.

FingerprintSoftware

DiebiometrischenFingerabdrucktechnologienvonLenovosollenKundenhelfen,dieKostenfürdie VerwaltungvonKennwörternzusenken,dieSicherheitihrerSystemezuerhöhenundgesetzliche Bestimmungeneinzuhalten.ZusammenmitdenLesegerätenfürFingerabdrückevonLenovoermöglicht FingerprintSoftwaredieAuthentizierungperFingerabdruckbeiPCsundNetzwerken.InKombinationmit ClientSecuritySolutionVersion8.2bietetFingerprintSoftwareerweiterteFunktionalität.FürClientSecurity Solution8.21werdensowohlThinkVantageFingerprintSoftware5.8.2alsauchLenovoFingerprintSoftware

2.0fürverschiedeneMaschinentypenunterstützt.SiekönnendieFingerprintSoftwarevonderLenovo WebsiteherunterladenoderweitereInformationenzuLenovoFingerabdrucktechnologienaufderfolgenden Websitenden:http://www.lenovo.com/support/site.wss/MIGR-59650.html

FingerprintSoftwarebietetdiefolgendenFunktionen:

•Client-Software-Funktionen –ErsetzendesMicrosoftWindows-Kennworts:

Ersetztfüreineneinfachen,schnellenundsicherenSystemzugriffIhrKennwortdurchIhren Fingerabdruck.

4ClientSecuritySolution8.21Implementierungshandbuch

–ErsetzendesBIOS-Kennworts(desStartkennworts)unddesKennwortsfürdas

Festplattenlaufwerk:

ErsetztdieseKennwörterdurchIhrenFingerabdruck,wodurchdieSicherheitundderKomfortbeider Anmeldungerhöhtwerden.

–AuthentizierungüberFingerabdruckvordemBootenfürVerschlüsselungdesgesamten

LaufwerksmitSafeGuardEasy:

VerwendetdieAuthentizierungüberFingerabdruckzumVerschlüsselndesFestplattenlaufwerksvor demStartenvonWindows.

–ZugriffaufdasBIOSundaufWindowsmiteinereinzigenÜberprüfung:

SiemüssenIhrenFingerabdrucknureineinzigesMalüberprüfenlassen,umZugriffaufdasBIOSund aufWindowszuerhalten,undsparendadurchwertvolleZeit.

–IntegrationinClientSecuritySolution:

GemeinsameVerwendungmitdemPasswordManagervonClientSecuritySolutionundNutzungdes TPMs(T rustedPlatformModule).NacheinerÜberprüfungdesFingerabdruckskönnenBenutzerauf WebsiteszugreifenundAnwendungenauswählen.

•Administratorfunktionen –WechselzwischenSicherheitsmodi:

EinAdministratorkannzwischeneinemsicherenundeinemkomfortablerenModushin-und herschalten,umdieZugriffsberechtigungenvonBenutzernmiteingeschränkterBerechtigungzu ändern.

•Sicherheitsfunktionen –Softwaresicherheit:

ZumSchutzvonBenutzerschablonendurcheinestarkeVerschlüsselung,wennsieineinemSystem gespeichertsindundwennsievomLesegerätzurSoftwareübertragenwerden.

–Hardwaresicherheit:

VerwendenSieeinSicherheitslesegerätmiteinemKoprozessor,derFingerabdruckmuster, BIOS-KennwörterundVerschlüsselungsschlüsselspeichertundschützt.

Kapitel1.Übersicht5

6ClientSecuritySolution8.21Implementierungshandbuch

Kapitel2.Installation

DiesesKapitelenthältAnweisungenzumInstallierenvonClientSecuritySolutionundFingerprintSoftware. BevorSieClientSecuritySolutionoderFingerprintSoftwareinstallieren,solltenSiedieArchitekturder betreffendenAnwendungkennen.DiesesKapitelenthältInformationenzurArchitekturdereinzelnen AnwendungenundweitereInformationen,dieSievorderInstallationderProgrammebenötigen.

ClientSecuritySolution

DasInstallationspaketfürClientSecuritySolutionwurdemitInstallShield10.5PremieralsBasic-MSI-Projekt entwickelt.InstallShieldverwendetWindowsInstallerzumInstallierenvonAnwendungen,wodurch AdministratorenzahlreicheMöglichkeitenerhalten,Installationenanzupassen,wiez.B.durchdasFestlegen vonEigenschaftswertenüberdieBefehlszeile.IndiesemKapitelwerdenMöglichkeitenzumVerwenden undAusführendesInstallationspaketsfürClientSecuritySolutionbeschrieben.LesenSiezumbesseren VerständniszunächstdasganzeKapitel,bevorSiemitderInstallationderPaketebeginnen.

Anmerkung:LesenSiefürdieInstallationdieserPaketedieReadme-DateifürClientSecuritySolution. WeitereInformationenerhaltenSieaufderfolgendenLenovoWebsite: http://www.lenovo.com/support/site.wss/document.do?sitestyle=lenovo&lndocid=HOME-LENOVO DieReadme-DateienthältEchtzeitdatenzuThemenwieSoftwareversionen,unterstütztenSystemenund SystemvoraussetzungensowieweitereHinweise,diefürSiebeimInstallationsprozesshilfreichsind.

Installationsvoraussetzungen

DieInformationenindiesemAbschnittenthaltendieSystemvoraussetzungenfürdasInstallierendesClient SecuritySolution-Pakets.RufenSiediefolgendeWebsiteauf,umzuprüfen,obSieüberdieneueste Softwareversionverfügen: http://support.lenovo.com/en_US/downloads/detail.page?LegacyDocID=MIGR-61432

EinigeherkömmlicheComputerkönnenClientSecuritySolutionunterstützen,sofernsiedie angegebenenSystemvoraussetzungenerfüllen.InformationendazundenSieaufderWebsiteunter http://support.lenovo.com/en_US/downloads/detail.page?LegacyDocID=MIGR-61432Informationenzu LegacyComputeran,dieClientSecuritySolutionunterstützen.

VoraussetzungenfürLenovoComputer

LenovoComputermüssenmindestensdiefolgendenVoraussetzungenerfüllen,damitClientSecurity Solutioninstalliertwerdenkann:

•Betriebssystem:WindowsVista

•Speicher:256MB –BeiKongurationenmitgemeinsamgenutztemSpeichermussdieBIOS-Einstellungfürdenmaximal

gemeinsamgenutztenSpeichermindestens8MBbetragen.

–BeiKongurationenmitnichtgemeinsamgenutztemSpeicherbeträgtdieseEinstellung120MBan

nichtgemeinsamgenutztemSpeicher.

•InternetExplorerabVersion5.5mussinstalliertsein.

•300MBfreierSpeicherbereichaufdemFestplattenlaufwerk.

•VGA-kompatiblerBildschirm,dereineAuösungvon800x600und24-Bit-Farbmodusunterstützt.

•DerBenutzermussüberdieentsprechendenVerwaltungsberechtigungenverfügen,umClientSecurity Solutionzuinstallieren.

•ZusätzlicheVoraussetzungenfürdieFunktionzumZurücksetzenvonHardwarekennwörtern:NTFS undWindowsXP .

,WindowsVistamitService-Pack1oderWindowsXPmitService-Pack

©CopyrightLenovo2008,2012

Anmerkung:DasImplementierendesClientSecuritySolution-InstallationspaketsunterWindowsServer

2003wirdnichtunterstützt.

AngepassteöffentlicheMerkmale

DasInstallationspaketfürdasProgramm„ClientSecuritySoftware“verfügtübereineReihevonangepassten öffentlichenMerkmalen,diebeiderAusführungderInstallationüberdieBefehlszeilefestgelegtwerden können.DiefolgendeTabelleenthältdieangepasstenöffentlichenMerkmalefürWindowsXPundWindows 2000:

Tabelle1.ÖffentlicheMerkmale

EigenschaftBeschreibung

EMULATIONMODEGibtan,dassdieInstallationimEmulationsmodus

erzwungenwird,auchwennbereitseinTPMvorhandenist. GebenSieinderBefehlszeileEMULATIONMODE=1ein, umdieInstallationimEmulationsmodusvorzunehmen.

HALTIFTPMDISABLEDWennsichdasTPMiminaktiviertenStatusbendetund

dieInstallationimBefehlszeilenmodusausgeführtwird, lautetdieStandardeinstellungfürdieInstallation,dass sieimEmulationsmodusfortgesetztwird.Verwenden SiedasMerkmalHALTIFTPMDISABLED=1,wenndie InstallationimBefehlszeilenmodusausgeführtwird,um dieInstallationanzuhalten,wenndasTPMinaktiviertist.

NOCSSWIZARDLegenSieinderBefehlszeile„NOCSSWIZARD=1“

fest,umzuverhindern,dassdasClientSecurity Solution-DialogfensterfürdieRegistrierungautomatisch angezeigtwird,nachdemClientSecuritySolution installiertwurde.DiesesMerkmalistfüreinen Administratorkonguriert,derClientSecuritySolution installieren,dasSystemjedocherstspätermitHilfevon Scriptskongurierenmöchte.

CSS_CONFIG_SCRIPTLegenSieCSS_CONFIG_SCRIPT=„Dateiname“oder

„Dateiname_Kennwort“fest,umeineKongurationsdatei auszuführen,nachdemeinBenutzerdieInstallation abgeschlossenundeinenNeustartdurchgeführthat.

SUPERVISORPWLegenSieinderBefehlszeile

SUPERVISORPW=„Kennwort“fest,umein Administratorkennwortbereitzustellen,umdenChip fürdieInstallationimBefehlszeilenmodusoderin einemanderenModuszuaktivieren.WennderChip inaktiviertistunddieInstallationimBefehlszeilenmodus ausgeführtwird,mussdasrichtigeAdministratorkennwort eingegebenwerden,umdenChipzuaktivieren. AndernfallswirdderChipnichtaktiviert.

PWMGRMODEGebenSieinderBefehlszeilePWMGRMODE=1ein,um

nurPasswordManagerzuinstallieren.

NOSTARTMENUGebenSieinderBefehlszeileNOSTARTMENU=1ein,

umzuverhindern,dassimStartmenüeinDirektaufruf generiertwird.

TPM-Unterstützung(TrustedPlatformModule)

ClientSecuritySolutionVersion8.2unterstütztdieintegrierteSicherheitshardwaredesComputers,dassog. TPM(T rustedPlatformModule)(TPM).UnterWindows2000undXPmüssenSiemöglicherweiseTreiber fürdasTPMIhresSystemsherunterladen.WennSieWindowsVistaausführenundIhrComputereinvom

8ClientSecuritySolution8.21Implementierungshandbuch

BetriebssystemunterstütztesTPMenthält,verwendetClientSecuritySolutiondievomBetriebssystem bereitgestelltenTreiber.

FürdasAktivierendesTMPistmöglicherweiseeinWarmstarterforderlich,dadasTPMdurchdas System-BIOSaktiviertwird.WennSieWindowsVistaausführen,werdenSiemöglicherweisebeim Systemstartdazuaufgefordert,dieAktivierungdesTPMSzubestätigen.

BevordasTPMirgendwelcheFunktionenausführenkann,mussdasEigentumsrechtinitialisiertwerden. JedesSystemerhälteinenClientSecuritySolution-Administrator,derdieClientSecuritySolution-Optionen verwaltet.DieserAdminstratormussübereineWindows-Administratorberechtigungverfügen.Der AdministratorkannmitHilfevonXML-Implementierungsscriptsinitialisiertwerden.

NachdemdasEigentumsrechtfürdasSystemkonguriertist,wirdfürjedenweiterenWindows-Benutzer, dersichamSystemanmeldet,automatischderKongurationsassistentvonClientSecuritySoftware aufgerufen,damitderBenutzersichregistrierenkannunddieentsprechendenSicherheitsschlüsselund BerechtigungsnachweisedesBenutzersinitialisiertwerden.

Software-EmulationfürTPM

ClientSecuritySolutionkannaufbestimmtenSystemenohnedasTPMausgeführtwerden.DieFunktionalität istdabeidieselbe,außerdassanstellevonhardwaregeschütztenSchlüsselnSchlüsselaufSoftwarebasis verwendetwerden.DieSoftwarekannauchmiteinemSchalterinstalliertwerden,dersiezwingt,immer SchlüsselaufSoftwarebasisanstelledesTPMszuverwenden.DieEntscheidung,obdieserSchalter verwendetwerdensoll,mussbeiderInstallationgetroffenwerden.SiekannohneeineDeinstallationund eineerneuteInstallationderSoftwarenichtrückgängiggemachtwerden.

DieSyntaxzumErzwingeneinerSoftware-EmulationdesTPMslautetwiefolgt:

InstallFile.exe“/vEMULATIONMODE=1”

InstallationsverfahrenundBefehlszeilenparameter

MicrosoftWindowsInstallerstelltverschiedeneVerwaltungsfunktionenüberBefehlszeilenparameterbereit. WindowsInstallerkanneineadministrativeInstallationeinerAnwendungodereinesProduktsineinem NetzwerkzurVerwendungdurchArbeitsgruppenoderzurkundenspezischenAnpassungdurchführen. Befehlszeilenoptionen,fürdieeinParametererforderlichist,müssenohneLeerzeichenzwischenderOption unddemzugehörigenParameterangegebenwerden.Beispiele:

setup.exe/s/v"/qnREBOOT=”R”"

istgültig,aber

setup.exe/s/v"/qnREBOOT=”R”"

ungültig.

Anmerkung:DasStandardverhaltenbeieineralleinausgeführtenInstallation(AusführungderDatei „setup.exe“ohneParameter)bestehtdarin,dassderBenutzernachAbschlussderInstallationdazu aufgefordertwird,denComputererneutzustarten.EinNeustartistfürdasordnungsgemäßeFunktionieren desProgrammserforderlich.DerNeustartkanndurcheinenBefehlszeilenparameterfüreineunbeaufsichtigte Installationverzögertwerden(eineBeschreibungdazundenSieimvorherigenAbschnittundimAbschnitt mitdenBeispielen).

BeimClientSecuritySolution-InstallationspaketentpackteineadministrativeInstallationdie InstallationsquellendateienaneineangegebenePosition.

UmeineadministrativeInstallationauszuführen,führenSiedasInstallationspaketüberdieBefehlszeilemit demParameter/aaus:

setup.exe/a

Kapitel2.Installation9

EineadministrativeInstallationstellteinenAssistentenbereit,derdenAdministratorauffordert,die SpeicherpositionenzumEntpackenderInstallationsdateienanzugeben.InderStandardeinstellungwerden dieDateienaufLaufwerkC:\extrahiert.SiekönneneineanderePositionaufanderenLaufwerkenalsC:\ auswählen,z.B.anderelokaleLaufwerkeoderzugeordneteNetzlaufwerke.SiekönnenindiesemSchritt auchneueVerzeichnisseerstellen.

UmeineadministrativeInstallationunbeaufsichtigtauszuführen,könnenSiedasöffentlicheMerkmal TARGETDIRinderBefehlszeilefestlegen,umdiePositionfürdieExtraktionanzugeben:

setup.exe/s/v"/qnTARGETDIR=F:\TVTRR"

oder

msiexec.exe/i"ClientSecurity-PasswordManager.msi"/qnTARGERDIR=F:\TVTRR

Anmerkung:WennIhreVersionvonWindowsInstallernichtaktuellist,wirddurchdieDatei„setup.exe“, diesokonguriertist,dassWindowsInstalleraktualisiertwird,dieWindowsInstaller-Steuerkomponente aufVersion3.0aktualisiert.DurchdieseAktualisierungwirdvonderInstallationsaktioneineAufforderung zumDurchführeneinesWarmstartsausgegeben,auchwenneineadministrativeInstallationmit selbstextrahierendemInstallationspaketdurchgeführtwird.VerwendenSiedieFunktionfürden ordnungsgemäßenWarmstart,umindieserSituationeinenWarmstartzuverhindern.WennWindows InstallermindestensinVersion3.0vorliegt,versuchtdieDatei„setup.exe“nicht,dieWindows Installer-Steuerkomponentezuaktualisieren.

WenneineadministrativeInstallationabgeschlossenist,kannderAdministratordieQuellendateienanpassen, indemerbeispielsweiseEinstellungenzurRegistrierungsdatenbankhinzufügt.ZumStartenderInstallation ausdenextrahiertenQuellendateienmussderBenutzernachAbschlussderAnpassungendieDatei „msiexec.exe“übereineBefehlszeileaufrufenunddabeidenNamenderextrahiertenMSI-Dateiangeben.

DiefolgendenParameterundBeschreibungensindinderHilfedokumentationfürInstallShieldDeveloper enthalten.Parameter,dienichtfürBasicMSI-Projektegelten,wurdenentfernt.

Tabelle2.Parameter

ParameterBeschreibung

/a:AdministrativeInstallationDurchdenSchalter/aführtsetup.exeeineadministrative

Installationaus.BeieineradministrativenInstallation werdenIhreDatendateienineindurchdenBenutzer angegebenesVerzeichniskopiert(undentpackt),aberes werdenkeineVerknüpfungenerstellt,keineCOM-Server registriertundkeinProtokollzurDeinstallationerstellt.

/x:DeinstallationsmodusDurchdenSchalter/xdeinstalliertsetup.exeeinzuvor

installiertesProdukt.

/s:UnbeaufsichtigterModusDurchdenBefehlsetup.exe/swirddas

Initialisierungsfenstervonsetup.exefüreinBasic MSI-Installationsprogrammunterdrückt,abereswird keineAntwortdateigelesen.BeiBasicMSI-Projekten werdenkeineAntwortdateienfürunbeaufsichtigte Installationenerstelltoderverwendet.UmeinBasic MSI-Produktunbeaufsichtigtauszuführen,führen SiedieBefehlszeilesetup.exe/s/v/qnaus.(Zur AngabederWertevonöffentlichenMerkmalenfüreine unbeaufsichtigteBasicMSI-InstallationkönnenSieeinen Befehlwiez.B.setup.exe/s/v„/qnINST ALLDIR=D:\Ziel“ verwenden.)

/v:ArgumenteanMsiexecübergebenDasArgument/vwirdverwendet,umBefehlszeilenschalter

undWertevonöffentlichenMerkmalenanmsiexec.exezu übergeben.

10ClientSecuritySolution8.21Implementierungshandbuch

Tabelle2.Parameter(Forts.)

ParameterBeschreibung

/L:SprachebeiderInstallationBenutzerkönnendenSchalter/Lmitderdezimalen

Sprachen-IDverwenden,umdieSpracheanzugeben, dieineinemmehrsprachigenInstallationsprogramm verwendetwerdensoll.DerBefehl,umDeutschals Spracheanzugeben,lautetbeispielsweisesetup.exe /L1031.

/w:WartenBeieinemBasicMSI-Projektwirdsetup.exedurchdas

Argument/wgezwungen,mitdemBeendenbiszum AbschlussderInstallationzuwarten.WennSiedie Option/wineinerBatchdateiverwenden,solltenSiedem Befehlszeilenparametervonsetup.exemöglicherweise start/WAITvoranstellen.EinBeispielimrichtigenFormat hierzusiehtwiefolgtaus:

start/WAITsetup.exe/w

Programm„msiexec.exe“verwenden

UmnachdemVornehmenvonAnpassungeneineInstallationmithilfederentpacktenQuellendatei auszuführen,mussderBenutzerdasProgramm„msiexec.exe“überdieBefehlszeileaufrufenunddabeiden Namenderentpackten*.MSI-Dateiangeben.DasProgramm„msiexec.exe“istdieausführbareDateides Installationsprogramms,daszurInterpretationderInstallationspaketeundzurInstallationderProdukteauf Zielsystemenverwendetwird.

msiexec/i"C:\WindowsFolder\Proles\UserName\ Personal\MySetups\projectname\productconguration\releasename\ DiskImages\Disk1\productname.msi"

Anmerkung:GebenSiedenobenangegebenenBefehlineineeinzigeZeileein,ohneLeerzeichennachden Schrägstrichen.

InderfolgendenTabellesinddieverfügbarenBefehlszeilenparameterbeschrieben,diezusammenmitder Datei„msiexec.exe“verwendetwerdenkönnen.ZudementhältsieVerwendungsbeispiele.

Tabelle3.Befehlszeilenparameter

ParameterBeschreibung

/IPaketoderProduktcodeVerwendenSiezurInstallationdesProduktsfolgendesFormat:

Othello:msiexec/i"C:\WindowsF older\Proles\ UserName\Personal\MySetups \Othello\TrialVersion\ Release\DiskImages\Disk1\ OthelloBeta.msi"

DerProduktcodeverweistaufdieGUID(GloballyUniqueIdentier),dieim ProduktcodemerkmalinderProjektansichtfürdasProduktautomatisch generiertwird.

/aPaketMitdemParameter/akönnenBenutzermitAdministratorrechteneinProdukt

imNetzwerkinstallieren.

/xPaketoderProduktcodeMitdemParameter/xwirdeinProduktdeinstalliert.

Kapitel2.Installation11

Tabelle3.Befehlszeilenparameter(Forts.)

ParameterBeschreibung

/L[i|w|e|a|r|u|c|m|p|v|+]Protokolldatei

/q[n|b|r|f]

/?oder/hBeideBefehlezeigendenCopyrightvermerkfürWindowsInstalleran.

TRANSFORMSMitdemBefehlszeilenparameterTRANSFORMSkönnenSieUmsetzungen

MitdemParameter/LwirdderPfadzurProtokolldateiangegeben.Die folgendenFlagsgebenan,welcheInformationeninderProtokolldatei gespeichertwerdensollen:

•iprotokolliertStatusnachrichten

•wprotokolliertnichtschwerwiegendeWarnungen

•eprotokolliertFehlernachrichten

•aprotokolliertdenBeginnvonAktionsfolgen

•rprotokolliertaktionsspezischeAufzeichnungen

•uprotokolliertBenutzeranforderungen

•cprotokolliertdieSchnittstellenparameterfürdenErstbenutzer

•mprotokolliertNachrichtenzurÜberschreitungderSpeicherkapazität

•pprotokolliertTerminaleinstellungen

•vprotokolliertdieEinstellungfürausführlicheAusgabe

•+wirdeinervorhandenenDateihinzugefügt

•*isteinPlatzhalterzeichen,mitdemSiealleInformationenprotokollieren können(außerderEinstellungfürausführlicheAusgabe)

MitdemParameter/qwirddieStufederBenutzerschnittstelleinVerbindung mitdenfolgendenFlagsangegeben:

•mitqoderqnwirdkeineBenutzerschnittstelleerstellt

•mitqbwirdeineBasisbenutzerschnittstelleerstellt

DiefolgendenEinstellungenfürdieBenutzerschnittstellebewirkendieAnzeige einesModaldialogfenstersamEndederInstallation:

•mitqrwirddieBenutzerschnittstelleverkleinertangezeigt

•mitqfwirddieBenutzerschnittstelleinVollgrößeangezeigt

•mitqn+wirddieBenutzerschnittstellenichtangezeigt

•mitqb+wirdeineBasisbenutzerschnittstelleangezeigt

angeben,dieSiefürIhrBasispaketanwendenmöchten.

msiexec/i"C:\WindowsFolder\ Proles\UserName\Personal \MySetups\ YourProjectName\TrialVersion\ MyRelease-1 \DiskImages\Disk1\ ProductName.msi"TRANSFORMS="NewTransform1.mst"

Merkmale

12ClientSecuritySolution8.21Implementierungshandbuch

MehrereUmsetzungenkönnendurchSemikolonsvoneinandergetrennt werden.VerwendenSiekeineSemikolonsimNamen,denSieumsetzen,da diesersonstvomWindowsInstaller-Servicefalschinterpretiertwird.

AlleöffentlichenMerkmalekönnenüberdieBefehlszeilefestgelegtoder geändertwerden.DieöffentlichenMerkmaleunterscheidensichvon denprivatenMerkmalendurchdieausschließlicheVerwendungvon Großbuchstaben.FIRMENNAMEistzumBeispieleinöffentlichesMerkmal.

ZumFestlegeneinesMerkmalsüberdieBefehlszeileverwendenSiedie folgendeSyntax:

PROPERTY=VALUE

WennSiedenWertvonFIRMENNAMEändernmöchten,gebenSieFolgendes ein:

msiexec/i"C:\WindowsFolder\ Proles\UserName\Personal\ MySetups\YourProjectName\ TrialVersion\MyRelease-1\

Tabelle3.Befehlszeilenparameter(Forts.)

ParameterBeschreibung

DiskImages\Disk1\ProductName.msi" COMPANYNAME="InstallShield"

ÖffentlicheStandardeigenschaftenvonWindowsInstaller

WindowsInstallerverfügtübereineReihevonstandardmäßigintegriertenöffentlichenEigenschaften,die überdieBefehlszeilefestgelegtwerdenkönnen,umeinbestimmtesVerhaltenbeiderInstallationanzugeben. InderfolgendenTabellesinddieüblichstenöffentlichenMerkmale,dieinderBefehlszeileverwendet werden,beschrieben.

WeitereInformationenndenSieaufderMicrosoft-Websiteunter: http://msdn2.microsoft.com/en-us/library/aa367437.aspx

InderfolgendenT abellewerdendieallgemeinverwendetenEigenschaftenvonWindowsInstallerangezeigt:

Tabelle4.EigenschaftenvonWindowsInstaller

EigenschaftBeschreibung

TARGETDIRGibtdasStammzielverzeichnisfürdieInstallationan.Bei

eineradministrativenInstallationgibtdiesesMerkmaldie Positionan,andiedasInstallationspaketkopiertwird.

ARPAUTHORIZEDCDFPREFIX

ARPCOMMENTSStelltKommentarezumHinzufügenoderEntfernenvon

ARPCONTACTStelltdenKontaktzumHinzufügenoderEntfernenvon

ARPINSTALLLOCA TION

ARPNOMODIFY

ARPNOREMOVE

ARPNOREPAIRInaktiviertdieSchaltächezumReparierenim

ARPPRODUCTICONGibtdasprimäreSymbolfürdasInstallationspaketan.

ARPREADME

ARPSIZEDiegeschätzteGrößederAnwendunginKilobytes.

ARPSYSTEMCOMPONENT

ARPURLINFOABOUT

DerURLdesAktualisierungskanalsderAnwendung.

ProgrammeninderSystemsteuerungbereit.

ProgrammeninderSystemsteuerungher.

DervollständigqualiziertePfadzumPrimärordnerder Anwendung.

InaktiviertdieFunktionen,durchdiedasProduktgeändert werdenkönnte.

InaktiviertdieFunktionen,durchdiedasProduktentfernt werdenkönnte.

Programmassistenten.

StellteineReadme-DateizumHinzufügenoderEntfernen vonProgrammeninderSystemsteuerungbereit.

VerhindertdasAnzeigenvonAnwendungeninderListe zumHinzufügenundEntfernenvonProgrammen.

URLderHomepageeinerAnwendung.

Kapitel2.Installation13

Tabelle4.EigenschaftenvonWindowsInstaller(Forts.)

EigenschaftBeschreibung

ARPURLUPDATEINFO

REBOOTDasMerkmalREBOOTunterdrücktbestimmte

URLfürInformationenzurAnwendungsaktualisierung.

AufforderungenfüreinenNeustartdesSystems.Ein AdministratorverwendetdiesesMerkmalnormalerweise beieinerReihevongleichzeitigenInstallationen verschiedenerProdukte,beidenenamEndenurein Neustartdurchgeführtwird.LegenSieREBOOT=„R“fest, umalleNeustartsamEndedereinzelnenInstallationen zuinaktivieren.

Installationsprotokolldateien

DieInstallationsprotokolldateifürClientSecuritySolutionheißt„cssinstall82x32.log“(unterWindowsXPund WindowsVista32)oder„css64install82V.log“(unterWindowsVista64)undwirdimVerzeichnis„%temp%“ erstellt,wenndieKongurationüberdieDatei„setup.exe“gestartetwird(durchDoppelklickenaufdieDatei fürdieHauptinstallation„install.exe“,durchAusführenderausführbarenDateifürdieHauptinstallation ohneParameteroderdurchExtrahierenderDateimitderErweiterung„.msi“undAusführenderDatei „setup.exe“).DieseDateienthältProtokollnachrichten,diezumBehebenvonInstallationsfehlernverwendet werdenkönnen.DieseProtokolldateiwirdnichterstellt,wenndieInstallationdirektüberdasMSI-Paket ausgeführtwird.DazugehörenauchdieAktionen,dieüberdieOptionzumHinzufügenundEntfernenvon Programmen(„Software“)ausgeführtwerden.UmeineProtokolldateifüralleMSI-Aktionenzuerstellen, könnenSiedieRichtliniefürdieProtokollierunginderRegistrierungsdatenbankaktivieren.ErstellenSie hierfürdenfolgendenWert:

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] "Logging"="voicewarmup"

Installationsbeispiele

DiefolgendeTabelleenthältBeispielefürdieInstallationmitHilfederDatei„setup.exe“:

Tabelle5.BeispielefürdieInstallationmitHilfederDatei„setup.exe“

BeschreibungBeispiel

UnbeaufsichtigteInstallationohneNeustart

AdministrativeInstallation

UnbeaufsichtigteadministrativeInstallation,beiderdie PositionzumEntpackenfürClientSecuritySoftware angegebenwird

UnbeaufsichtigteDeinstallation

InstallationohneNeustart.Installationsprotokollsfür ClientSecuritySoftwareimtemporärenUnterverzeichnis erstellen.

InstallationohneInstallierenderPredesktop-Umgebung

DiefolgendeTabelleenthältInstallationsbeispielefürdieVerwendungvonClientSecurity-Password Manager.msi:

setup.exe/s/v”/qnREBOOT=”R””

setup.exe/a

setup.exe/a/s/v”/qnTARGETDIR=”F: \CSS82””

setup.exe/s/x/v/qn

setup.exe/v”REBOOT=”R”/L*v%temp% \cssinstall80.log”

setup.exe/vPDA=0

14ClientSecuritySolution8.21Implementierungshandbuch

Tabelle6.InstallationsbeispielefürdieVerwendungvonClientSecurity-PasswordManager.msi

BeschreibungBeispiel

Installation

UnbeaufsichtigteInstallation ohneNeustart

Unbeaufsichtigte Deinstallation

msiexec/i“C:\CSS82\ClientSecurity Solution-PasswordManager.msi”

msiexec/i“C:\CSS82\ClientSecurity Solution-PasswordManager.msi”/qnREBOOT=”R”

msiexec/x“C:\CSS82\ClientSecurity Solution-PasswordManager.msi”/qn

ClientSecuritySolution8.21installieren,wennfrühereVersionen vorhandensind

FürClientSecuritySolutionkannunterVerwendungvonSystemUpdateeinUpgradeaufClientSecurity Solution8.0durchgeführtwerden.WennSieClientSecuritySolution8.21installierenmöchtenundfrühere VersionenalsClientSecuritySolution8.0vorhandensind,installierenSiezuerstClientSecuritySolution8.0 aufdemSystem.

ClientSecuritySolution8.0kannnichtalsUpgradevoneinerälterenVersioninstalliertwerden.Siemüssen eineältereVersionvonClientSecuritySolutiondeinstallieren,bevorsieVersion8.0installieren.Um vorhandeneDatenundEinstellungenbeizubehalten,führenSiediefolgendenSchritteaus,bevorSiedie ältereVersionvonClientSecuritySolutionentfernen:

1.LadenSieClientSecuritySolution8.0UpgradeAssistantvonderfolgendenLenovoWebsiteherunter: http://www.lenovo.com/support/site.wss/document.do?sitestyle=lenovo&lndocid=MIGR-46391

2.FührenSievonderBefehlszeileausClientSecuritySolution8.0UpgradeAssistantimHintergrundaus, bevorSiedieältereVersionvonClientSecuritySolutionentfernen.

ZudemmüssenBenutzervonClientSecuritySolution7.0einUpgradeaufClientSecuritySolution8.0 durchführen,bevorSieRescueandRecovery4.0installieren.

Anmerkung:WennSieeinUpgradefüreinBetriebssystemdurchführen,müssenSiedenInhaltdes Sicherheitschipslöschen,umeinenRegistrierungsfehlerbeiClientSecuritySolutionzuverhindern.

ThinkVantageFingerprintSoftwareinstallieren

DieDatei„setup.exe“desProgramms„FingerprintSoftware“kannmithilfederfolgendenMethodeninstalliert werden:

UnbeaufsichtigteInstallation

UmFingerprintSoftwareimHintergrundzuinstallieren,führenSiedieDatei„setup.exe“aus,diesichim InstallationsverzeichnisdesCD-ROM-Laufwerksbendet.

VerwendenSiediefolgendeSyntax:

Setup.exePROPERTY=VALUE/q/i

wobeiqfürdieunbeaufsichtigteInstallationundifürdieInstallationsteht.Beispiele:

setup.exeINSTALLDIR="C:\ProgramFiles\ThinkVantagengerprintsof tware"/q/i

VerwendenSiezumDeinstallierenderSoftwaredenParameter/xstatt/i:

setup.exeINSTALLDIR="C:\ProgramFiles\ThinkVantagengerprintsof tware"/q/x

Optionen

DiefolgendenParameterwerdenvonderFingerprintSoftwareunterstützt:

Kapitel2.Installation15

Tabelle7.VonderFingerprintSoftwareunterstützteOptionen

ParameterBeschreibung

CTRLONCEZeigtdieSteuerzentrale(ControlCenter)nureinmalan.

DerStandardwertist0.

CTLCNTRFührtdieSteuerzentrale(ControlCenter)beimSystemstart

aus.DerStandardwertist1.

DEFFUS

INSTALLDIRNimmtstandardmäßigdenWertdes

OEM•0=UnterstützungfürServerberechtigungsnachweise

PASSPORTNimmtstandardmäßigdenWertdes

SECURITY

SHORTCUTFOLDERNimmtstandardmäßigdenNamenfürden

REBOOTUnterdrücktalleNeustartseinschließlichder

DEVICEBIO

•0=EinstellungenfürschnelleBenutzerumschaltung (FUS,FastUserSwitching)werdennichtverwendet

•1=EinstellungenfürFUSwerdenverwendet

DerStandardwertist0.

InstallationsverzeichnissesfürdieFingerabdrucksoftware (FingerprintSoftware)an.

oderServerauthentizierunginstallieren

•1=NurModusfürStandalone-Computermitlokalen Berechtigungsnachweisen

Berechtigungsnachweistypsan,derwährendder Installationfestgelegtwird.

•1=Standardeinstellung-Lokaler Berechtigungsnachweis

•2=Serverberechtigungsnachweis

DerStandardwertist1.

•1=UnterstützungfürdensicherenModusinstallieren

•0=Nichtinstallieren;nurkomfortablerModus vorhanden

VerknüpfungsordnerimStartmenüan.

AufforderungenwährendderInstallation,wenn„Really Suppress“festgelegtwird.

KonguriertdenEinheitentyp,dervomBenutzer verwendetwird.Registrierungsart:

•DEVICEBIO=#3-Einheitensektorwirdvorderersten Registrierungverwendet.

•DEVICEBIO=#0-Registrierungaufdem Festplattenlaufwerkwirdverwendet.

•DEVICEBIO=#1-Registrierungaufdem CompanionChipwirdverwendet.

LenovoFingerprintSoftwareinstallieren

DieDatei„setup32.exe“desProgramms„FingerprintSoftware“kannmithilfederfolgendenProzedur installiertwerden:

16ClientSecuritySolution8.21Implementierungshandbuch

UnbeaufsichtigteInstallation

UmdieFingerprintSoftwareunbeaufsichtigtzuinstallieren,führenSiedieDatei„setup32.exe“aus,diesich aufderCD-ROMimInstallationsverzeichnisbendet.

VerwendenSiediefolgendeSyntax:

setup32.exe/s/v"/qnREBOOT="R""

VerwendenSiezumDeinstallierenderSoftwarediefolgendeSyntax:

setup32.exe/x/s/v"/qnREBOOT="R""

Optionen

DiefolgendenParameterwerdenvonderFingerprintSoftwareunterstützt:

Tabelle8.VonderLenovoFingerprintSoftwareunterstützteOptionen

ParameterBeschreibung

SWAUTOSTART•0=FingerprintSoftwarewirdbeimStartenvon

Windowsnichtgestartet.

•1=FingerprintSoftwarewirdbeimStartenvon

Windowsgestartet.

DerStandardwertist1.

SWFPLOGON•0=AnmeldungüberFingerabdruck(GINAoder

BereitstellervonBerechtigungsnachweis)wirdnicht verwendet.

•1=AnmeldungüberFingerabdruck(GINAoder

BereitstellervonBerechtigungsnachweis)wird verwendet.

DerStandardwertist0.

SWPOPP•0=SchutzdurchStartkennwortwirdinaktiviert.

•1=SchutzdurchStartkennwortwirdaktiviert.

DerStandardwertist0.

SWSSO•0=Funktion„SingleSign-on“wirdinaktiviert.

•1=Funktion„SingleSign-on“wirdaktiviert.

DerStandardwertist0.

SWALLOWENROLL

SWALLOWDELETE

•0=RegistrierungüberFingerabdruckfürBenutzer

ohneAdministratorberechtigungistnichtzulässig.

•1=RegistrierungüberFingerabdruckfürBenutzer

ohneAdministratorberechtigungistzulässig.

DerStandardwertist1.

•0=LöschendesFingerabdrucksdurchBenutzerohne

Administratorberechtigungistnichtzulässig.

•1=LöschendesFingerabdrucksdurchBenutzerohne

Administratorberechtigungistzulässig.

DerStandardwertist1.

Kapitel2.Installation17

Tabelle8.VonderLenovoFingerprintSoftwareunterstützteOptionen(Forts.)

ParameterBeschreibung

SWALLOWIMEXPORT•0=DasImportieren/ExportierenvonFingerabdrücken

istfürBenutzerohneAdministratorberechtigungnicht zulässig.

•1=DasImportieren/ExportierenvonFingerabdrücken istfürBenutzerohneAdministratorberechtigung zulässig.

DerStandardwertist1.

SWALLOWSELECT

SWALLOWPWRECOVERY

SWANTIHAMMER•0=Anti-Hammering-Schutzinaktivieren.

SWANTIHAMMERRETRIESGibtdiemaximaleWiederholungsanzahlan.Der

SWANTIHAMMERTIMEOUTGibtdieDauerderZeitlimitüberschreitunginSekunden

SWAUTHTIMEOUT

SWAUTHTIMEOUTVALUEGibtdenInaktivitätszeitraumvordemZeitlimitfürdie

SWNONADMIFPLOGONONLY•0=AusschließlicheAnmeldungüberFingerabdruckfür

•0=DieAuswahlderVerwendungdesFingerabdrucks anstelledesStartkennwortsistfürBenutzerohne Administratorberechtigungnichtzulässig.

•1=DieAuswahlderVerwendungdesFingerabdrucks anstelledesStartkennwortsistfürBenutzerohne Administratorberechtigungzulässig.

DerStandardwertist1.

•0=DieWiederherstellungdesWindows-Kennwortsist nichtzulässig.

•1=DieWiederherstellungdesWindows-Kennworts istzulässig.

DerStandardwertist1.

•1=Anti-Hammering-Schutzaktivieren.

DerStandardwertist1.

Standardwertist5. Anmerkung:DieseEinstellungfunktioniertnur,wenn SWANTIHAMMERaktiviertist.

an.DerStandardwertist120. Anmerkung:DieseEinstellungfunktioniertnur,wenn SWANTIHAMMERaktiviertist.

•0=ZeitlimitfürAuthentizierunginaktivieren.

•1=ZeitlimitfürAuthentizierungaktivieren.

DerStandardwertist1.

AuthentizierunginSekundenan.DerStandardwertist

120.

Anmerkung:DieseEinstellungfunktioniertnur,wenn SWAUTHTIMEOUTaktiviertist.

BenutzerohneAdministratorberechtigungdeaktivieren.

•1=AusschließlicheAnmeldungüberFingerabdruckfür BenutzerohneAdministratorberechtigungaktivieren.

DerStandardwertist1.

18ClientSecuritySolution8.21Implementierungshandbuch

Tabelle8.VonderLenovoFingerprintSoftwareunterstützteOptionen(Forts.)

ParameterBeschreibung

SWSHOWPOWERON•0=DieStartsicherheitsoptionenwerdennicht

angezeigt.

•1=DieStartsicherheitsoptionenwerdenimmer

angezeigt.

DerStandardwertist0.

CSS•0=Eswirdvorausgesetzt,dassCSSnichtinstalliertist.

•1=Eswirdvorausgesetzt,dassCSSinstalliertist.

DerStandardwertist0.

SystemsManagementServer

SMS-Installationen(SystemsManagementServer)werdenebenfallsunterstützt.ÖffnenSiedie SMS-Administratorkonsole.ErstellenSieeinneuesPaket,undlegenalsPaketmerkmaledieStandardwerte fest.ÖffnenSiedasPaket,undwählenSieinderProgrammauswahldieOptionfürneueProgramme aus.GebenSieineinerBefehlszeileFolgendesein:

Setup.exe/myourmiflename/q/i

SiekönnendieselbenParameterwiebeiderunbeaufsichtigtenInstallationverwenden.

BeiderKongurationwirdinderRegelamEndedesInstallationsprozesseseinNeustartdurchgeführt.Wenn SiealleNeustartswährendderInstallationunterdrückenmöchtenunddenNeustartspäterdurchführen möchten(nachderInstallationweitererProgramme),fügenSieREBOOT=„ReallySuppress“zurListemit denMerkmalenhinzu.

Kapitel2.Installation19

20ClientSecuritySolution8.21Implementierungshandbuch

Kapitel3.MitClientSecuritySolutionarbeiten

VorderInstallationvonClientSecuritySolutionsolltenSiesichüberdieverfügbarenOptionenzurAnpassung vonClientSecuritySolutioninformieren.DasvorliegendeKapitelenthältInformationenzurAnpassungvon ClientSecuritySolutionsowieInformationenzumTPM(TrustedPlatformModule).DieindiesemKapitel verwendetenTPM-BegriffesinddurchdieTrustedComputingGroup(TCG)deniert.WeitereInformationen zumTPMndenSieaufderfolgendenWebsite: http://www.trustedcomputinggroup.org/

TPMverwenden

BeimTPM(T rustedPlatformModule)handeltessichumeinenintegriertenSicherheitschip,derfürSoftware sicherheitsrelevanteFunktionenzurVerfügungstellt.DerintegrierteSicherheitschipistindieSteuerplatine integriertundkommuniziertübereinenHardwarebus.SystememiteinemTPMkönnenChiffrierschlüssel erstellenundverschlüsseln,sodassdiesenurvondemselbenTPMwiederentschlüsseltwerdenkönnen. DieserProzesswirdoftalsVerpackeneinesSchlüsselsbezeichnet.MitHilfediesesProzesseswirdder SchlüsselvorderOffenlegunggeschützt.AufeinemSystemmitTPMwirdderMaster-Verpackungsschlüssel, derauchSpeicher-Rootschlüssel(SRK,StorageRootKey)genanntwird,imTPMselbstgespeichert,so dassderprivateBestandteildesSchlüsselsnieungeschütztist.ImintegriertenSicherheitschipkönnenauch andereSpeicherschlüssel,Signierschlüssel,KennwörterundanderekleineDateneinheitengespeichert werden.AufgrundderbegrenztenSpeicherkapazitätimTPMwirdderSRKzumVerschlüsselnvonanderen SchlüsselnfürdieSpeicherungaußerhalbdesChipsverwendet.DerSRKverbleibtimmerimintegrierten SicherheitschipundbildetdieBasisfürgeschützteSpeicher.

DieVerwendungdesSicherheitschipsistoptionalunderforderteinenClientSecuritySolution-Administrator. SowohlfürEinzelpersonenalsauchfürIT-AbteilungeneinesUnternehmensmussdasTPMinitialisiert werden.SpätereOperationenwiedieMöglichkeitzurWiederherstellungnacheinemFestplattenausfalloder nachdemAustauschenderSystemplatinemüssenebenfallsvomClientSecuritySolution-Administrator ausgeführtwerden.

Anmerkung:WennSiedenAuthentizierungsmodusändernundversuchen,denSicherheitschipzu entsperren,müssenSiesichabmeldenunddannalsMaster-Administratorwiederanmelden.Dann könnenSiedenChipentsperren.SiekönnensichauchalsSekundärbenutzeranmeldenundfortfahren, denAuthentizierungsmoduszukonvertieren.DieKonvertierungerfolgtautomatischmitderAnmeldung desSekundärbenutzers.ClientSecuritySolutionfordertSiezumEingebendesKennwortsoderdes VerschlüsselungstextesdesSekundärbenutzersauf.WennClientSecuritySolutionmitdemVerarbeitender Änderungfertigist,kannderSekundärbenutzermitdemEntsperrendesChipsfortfahren.

TPM(TrustedPlatformModule)unterWindowsVistaverwenden

WenndieWindowsVista-AnmeldungaktiviertistunddasTPMinaktiviertist,müssenSiedie Windows-Anmeldefunktioninaktivieren,bevorSiedasTPMimBIOSüberdieTasteF1inaktivieren.Dadurch verhindernSiedasAnzeigeneinerSicherheitsnachrichtwiederfolgenden:DerintegrierteSicherheitschip

wurdeinaktiviert.DerAnmeldeprozesskannnurbeiaktiviertemChipgeschütztwerden.

ZudemmüssenSie,wennSiefürdasBetriebssystemeinesClientsystemseinUpgradedurchführen,den InhaltdesSicherheitschipslöschen,umeinenRegistrierungsfehlerbeiClientSecurityzuvermeiden.Um denInhaltdesChipsimBIOSüberdieTasteF1zulöschen,mussdasSystemkaltgestartetwerden.Sie könnendenInhaltdesChipsnichtnacheinemWarmstartlöschen.

©CopyrightLenovo2008,2012

ClientSecuritySolutionmitChiffrierschlüsselnverwalten

ClientSecuritySolutionwirddurchdiebeidenwichtigstenImplementierungsaktivitätenbeschrieben: „Eigentumsrechtübernehmen“und„Benutzerregistrieren“.BeidererstenAusführungdes KongurationsassistentenvonClientSecuritySolutionwerdendiesebeidenProzessewährendder Initialisierungausgeführt.DieWindows-Benutzer-ID,diedenInstallationsassistentenfürClientSecurity Solutionausgeführthat,istderClientSecuritySolution-AdministratorundistalsaktiverBenutzerregistriert. JederandereBenutzer,dersichamSystemanmeldet,wirdautomatischaufgefordert,sichbeiClient SecuritySolutionzuregistrieren.

•Eigentumsrechtübernehmen

EineeinzigeWindows-Administrator-IDistalseinzigerClientSecuritySolution-Administratorfürdas Systemzugeordnet.VerwaltungsfunktionenvonClientSecuritySolutionmüssenüberdieseBenutzer-ID ausgeführtwerden.DieBerechtigungfürdasTPM(TrustedPlatformModule)istentwederdas Windows-KennwortdiesesBenutzersoderderClientSecurity-Verschlüsselungstext.

Anmerkung:DieeinzigeMöglichkeiteinerWiederherstellung,wenndasClientSecurity Solution-Administratorkennwortoderder-Verschlüsselungstextvergessenwurde,besteht darin,dieSoftwaremitgültigenWindows-BerechtigungenzudeinstallierenoderdenInhaltdes SicherheitschipsimBIOSzulöschen.BeibeidenMöglichkeitengehendieDaten,dieüberdiedem TPMzugeordnetenSchlüsselgeschütztwerden,verloren.ClientSecuritySolutionbietetaußerdem einenoptionalenMechanismus,mitdessenHilfeSieeinvergessenesKennwortodereinenvergessenen Verschlüsselungstextselbstwiederherstellenkönnen.DieserMechanismusbasiertaufFragenund AntwortenzurIdentizierung.DerClientSecuritySolution-Administratorentscheidet,obdieseFunktion verwendetwird.

•Benutzerregistrieren

NachdemderProzess„Eigentumsrechtübernehmen“abgeschlossenundeinClientSecurity Solution-Administratorerstelltwurde,kanneinBenutzerbasisschlüsselerstelltwerden,umdie BerechtigungsnachweisefürdengeradeangemeldetenWindows-Benutzersicherzuspeichern.Dadurch könnensichmehrereBenutzerbeiClientSecuritySolutionregistrierenunddaseinzelneTPMnutzen. BenutzerschlüsselwerdenüberdenSicherheitschipgesichert,abertatsächlichaußerhalbdesChipsauf derFestplattegespeichert.DieseTechnologieerstelltFestplattenspeicherplatzalsdeneinschränkenden SpeicherfaktoranstelledestatsächlichenindenSicherheitschipintegriertenSpeichers.Damitwirddie AnzahlderBenutzer,diedieselbesichereHardwarenutzenkönnen,deutlicherhöht.

Eigentumsrechtübernehmen

DieSicherheitsbasisfürClientSecuritySolutionistderSystem-Rootschlüssel(SRK,SystemRootKey). DiesernichtmigrierbareasymmetrischeSchlüsselwirdindersicherenUmgebungdesTPMs(Trusted PlatformModule)generiertundgegenüberdemSystemnieoffengelegt.DieBerechtigungzurNutzungdes SchlüsselswirdbeimAusführendesBefehls„TPM_TakeOwnership“überdasWindows-Administratorkonto abgeleitet.WenndasSystemeinenClientSecurity-Verschlüsselungstextnutzt,istderClient Security-VerschlüsselungstextfürdenClientSecuritySolution-AdministratordieTPM-Berechtigung. AndernfallswirddasWindows-KennwortdesClientSecuritySolution-Administratorsverwendet.

MitHilfedesfürdasSystemerstelltenSRKkönnenandereSchlüsselpaareerstelltundverpacktoder geschütztdurchdieaufHardwarebasierendenSchlüsselaußerhalbdesTPMsgespeichertwerden.Daes sichbeimTPM,dasdenSRKenthält,umHardwarehandeltundHardwarebeschädigtwerdenkann,ist einWiederherstellungsmechanismuserforderlich,umsicherzustellen,dassbeieinerBeschädigungdes SystemseineDatenwiederherstellungmöglichist.

UmeinSystemwiederherzustellen,wirdeinSystembasisschlüsselerstellt.Mitdiesemasymmetrischen SpeicherschlüsselkannderClientSecuritySolution-AdministratordasSystemnachdemAustauschen derSystemplatineoderdergeplantenMigrationaufeinanderesSystemwiederherstellen.Damit derSystembasisschlüsselgeschütztistundgleichzeitigbeinormalemBetrieboderbeieiner

22ClientSecuritySolution8.21Implementierungshandbuch

Wiederherstellungaufihnzugegriffenwerdenkann,werdenzweiInstanzendesSchlüsselserstellt

System Level Key Structure - Take Ownership

Trusted Platform Module

Encrypted via derived AES Key

Storage Root Private Key

Storage Root Public Key

System Leaf Private Key

System Base Private Key

System Leaf Public Key

System Base Public Key

System Base Private Key

System Base Public Key

If Passphrase

loop n times

CSS Admin PW/PP

One-Way Hash

System Base AES

Protection Key (derived via output of hash algorithm)

Auth

undaufzweiverschiedeneArtengeschützt.ZumeinenwirdderSystembasisschlüsselmiteinem symmetrischenAES-Schlüsselverschlüsselt,dervomClientSecuritySolution-Administratorkennwort odervomClientSecurity-Verschlüsselungstextabgeleitetwird.DieseKopiedesClientSecurity Solution-WiederherstellungsschlüsselsdientausschließlichzurWiederherstellungvoneinemgelöschten TPModereinerausgetauschtenSystemplatineaufgrundeinesHardwareausfalls.

DiezweiteInstanzdesClientSecuritySolution-WiederherstellungsschlüsselswirddurchdenSRKfür denImportindieSchlüsselhierarchieverpackt.DurchdiesedoppelteInstanzdesSystembasisschlüssels kanndasTPMmitihmverbundenegeheimeDatenbeinormalemBetriebschützen.Außerdemisteine WiederherstellungeinerfehlerhaftenSystemplatinedurchdenSystembasisschlüsselmöglich,dermiteinem AES-Schlüsselverschlüsseltist,derüberdasClientSecuritySolution-AdministratorkennwortoderdenClient Security-Verschlüsselungstextentschlüsseltwird.AnschließendwirdeinSystemblattschlüsselerstellt.Dieser Schlüsselwirderstellt,umgeheimeSchlüsselaufSystemebene,wiez.B.denAES-Schlüssel,zuschützen.

DasfolgendeDiagrammstelltdieStrukturfürdenSchlüsselaufSystemebenedar:

Abbildung1.Systemebenenschlüsselstruktur-Eigentumsrechtübernehmen

Benutzerregistrieren

DamitdieDatenvonallenBenutzerndurchdasselbeTPM(TrustedPlatformModule)geschütztwerden können,mussjederBenutzerseineneigenenBenutzerbasisschlüsselerstellen.Dieserasymmetrische Speicherschlüsselkannmigriertwerdenundwirdebenfallszweimalerstelltunddurcheinensymmetrischen AES-Schlüsselgeschützt,derüberdasWindows-KennwortoderdenClientSecurity-Verschlüsselungstext dereinzelnenBenutzergeneriertwird.

DiezweiteInstanzdesBenutzerbasisschlüsselswirddannindasTPMimportiertunddurchdenSystem-SRK geschützt.BeiderErstellungdesBenutzerbasisschlüsselswirdeinzweiterasymmetrischerSchlüssel erstellt,deralsBenutzerblattschlüsselbezeichnetwird.MitdemBenutzerblattschlüsselwerdengeheime DatendereinzelnenBenutzergeschützt.HierzuzählenderAES-SchlüsselfürPasswordManager,der zumSchutzvonInternetanmeldedatendient,dasKennwort,mitdemDatengeschütztwerden,undder AES-SchlüsselfürdasWindows-Kennwort,derdenZugriffaufdasBetriebssystemschützt.DerZugriff aufdenBenutzerblattschlüsselwirdüberdasWindows-BenutzerkennwortoderdenClientSecurity

Kapitel3.MitClientSecuritySolutionarbeiten23

Solution-Verschlüsselungstextgesteuert.DerBenutzerblattschlüsselwirdbeiderAnmeldungautomatisch

User Level Key Structure - Enroll User

Trusted Platform Module

Encrypted via derived AES Key

Storage Root Private Key

Storage Root Public Key

User Leaf Private Key

User Base Private Key

User Leaf Public Key

User Base Public Key

Windows PW AES Key

PW Manager AES Key

User Base Private Key

User Base Public Key

If Passphrase

loop n times

User PW/PP

One-Way Hash

User Base AES

Protection Key (derived via output of hash algorithm)

Auth

entsperrt.

DasfolgendeDiagrammstelltdieStrukturfürdenSchlüsselaufBenutzerebenedar:

Abbildung2.SchlüsselstrukturaufBenutzerebene-Benutzerregistrieren

RegistrierungimHintergrund

ClientSecuritySolution8.21unterstütztdieRegistrierungimHintergrundfürdieautomatisch gestarteteBenutzerregistrierung.DerRegistrierungsprozesswirdimHintergrundohnedieAnzeigevon Benachrichtigungenausgeführt.

Anmerkung:DieRegistrierungimHintergrundistnurfürdieautomatischgestarteteBenutzerregistrierung verfügbar.FürdiemanuellüberdasStartmenüoderüberdieOptionSicherheitseinstellungen zurücksetzengestarteteBenutzerregistrierungwirdweiterhineinDialogfenstermitderNachricht,dassder BenutzeraufdieBenutzerregistrierungwartensoll,angezeigt.

DerlokaleoderDomänenadministratorkannauchdasAnzeigendesDialogfensterszumWartenerzwingen, indemerdiefolgendeRichtliniewiefolgtbearbeitet:

CSS_GUI_ALWAYS_SHOW_ENROLLMENT_PROCESSING

ErkannauchdenfolgendenRegistrierungsschlüsselwiefolgtbearbeiten:

HKLM\software\policies\lenovo\clientsecuritysolution\GUIoptions\ AlwaysShowEnrollmentProcessing

DerStandardwertfürAlwaysShowEnrollmentProcessingist0.WennfürdenobigenRegistrierungsschlüssel0 festgelegtist,wirddasDialogfenstermitderAufforderungzumWartenfürdieautomatischgestartete Benutzerregistrierungnichtangezeigt.WennfürdieseRichtlinie1festgelegtist,wirddasDialogfenstermit derAufforderungzumWartenbeiderBenutzerregistrierungimmerangezeigt,unabhängigdavon,wie diesegestartetwird.

24ClientSecuritySolution8.21Implementierungshandbuch

Softwareemulation

DamitBenutzer,derenComputerüberkeinTPMverfügt,eineähnlicheAnsichterhalten,unterstütztCSS denTMP-Emulationsmodus.

DerTPM-EmulationsmodusisteinesoftwarebasierteSicherheitsbasis.DemBenutzerstehendieselben Funktionen,dievomTPMbereitgestelltwerden,wiez.B.digitaleSignatur,dieEntschlüsselung symmetrischerSchlüssel,RSA-Schlüsselimport,SchutzundGenerierungvonzufallsgeneriertenNummern, zurVerfügung.AllerdingsistdieSicherheitgeringer,daessichbeiderSicherheitsbasisumsoftwarebasierte Schlüsselhandelt.

DerTPM-EmulationsmoduskannnichtalssichererErsatzfürdasTPMverwendetwerden.DasTPMbietet diefolgendenbeidenSchlüsselschutzmethoden,diesicherersindalsderTPM-Emulationsmodus.

•AllevomTPMverwendetenSchlüsselsinddurcheineneindeutigenSchlüsselaufStammverzeichnisebene geschützt.DereindeutigeSchlüsselaufStammverzeichnisebenewirdinnerhalbdesTPMerstelltund kannaußerhalbdavonwederangezeigtnochverwendetwerden.ImTPM-Emulationsmodusistder SchlüsselaufStammverzeichnisebeneeinsoftwarebasierterSchlüssel,deraufdemFestplattenlaufwerk gespeichertist.

•AlleOperationenmitprivatemSchlüsselwerdenimTPMdurchgeführt,sodassdasprivate SchlüsselmaterialfürkeinenSchlüsseljemalsaußerhalbdesTPMangezeigtwird.Im TPM-EmulationsmoduswerdenalleOperationenmitprivatemSchlüsselinderSoftwaredurchgeführt,so dasskeinSchutzdesprivatenSchlüsselmaterialsbesteht.

DerTPM-EmulationsmodusistinersterLiniefürBenutzergedacht,denenSicherheitkeinsogroßesAnliegen istunddeneneseherumdieGeschwindigkeitbeiderSystemanmeldunggeht.

AustauschderSystemplatine

EinAustauschderSystemplatinebedeutet,dassderalteSRK,andendieSchlüsselgebundenwaren,nicht mehrgilt,unddasseinandererSRKerforderlichist.DieserFallkannaucheintreten,wenndasTPM(Trusted PlatformModule)überdasBIOSgelöschtwird.

DerClientSecuritySolution-AdministratormussdieBerechtigungsnachweisedesSystems aneinenneuenSRKbinden.Esisterforderlich,dassderSystembasisschlüsselüberden Systembasis-AES-Sicherungsschlüsselentschlüsseltwird,dervondenBerechtigungsnachweisenzur AutorisierungdesClientSecuritySolution-Administratorsabgeleitetwird.

WennessichbeimClientSecuritySolution-AdministratorumeineDomänenbenutzer-IDhandeltund dasKennwortfürdieseBenutzer-IDaufeineranderenMaschinegeändertwurde,mussdasKennwort bekanntsein,dasbeiderletztenAnmeldungaufdemSystem,daswiederhergestelltwerdensoll,verwendet wurde,umdenSystembasisschlüsselfürdieWiederherstellungzuentschlüsseln.EinBespiel:Beider ImplementierungwirdeineBenutzer-IDundeinKennwortdesClientSecuritySolution-Administrators konguriert.ÄndertsichdasKennwortvondiesemBenutzeraufeineranderenMaschine,istdas ursprüngliche,beiderImplementierungfestgelegteKennwortfürdieAutorisierungerforderlich,umdas Systemwiederherzustellen.

GehenSiewiefolgtvor,umdieSystemplatineauszutauschen:

1.MeldenSiesichalsClientSecuritySolution-AdministratoramBetriebssysteman.

2.DerbeiderAnmeldungausgeführteCode(cssplanarswap.exe)erkennt,dassderSicherheitschipnicht aktiviertistundforderteinenNeustartfürdieAktivierungan.(DieserSchrittkanndurchdieAktivierung desSicherheitschipsimBIOSumgangenwerden.)

3.DasSystemwirderneutgestartetundderSicherheitschipaktiviert.

Kapitel3.MitClientSecuritySolutionarbeiten25

4.MeldenSiesichalsClientSecuritySolution-Administratoran.DerneueProzess„Eigentumsrecht

Motherboard Swap - Take Ownership

Trusted Platform Module

Decrypted via derived AES Key

System Leaf Private Key

Store Leaf Private Key

System Leaf Public Key

Store Leaf Public Key

System Base Private Key

System Base Public Key

If Passphrase

loop n times

CSS Admin PW/PP

One-Way Hash

System Base AES

Protection Key (derived via output of hash algorithm)

übernehmen“istabgeschlossen.

5.DerSystembasisschlüsselwirdüberdenSystembasis-AES-Sicherungsschlüsselentschlüsselt, dervonderAuthentizierungdesClientSecuritySolution-Administratorsabgeleitetwird.Der SystembasisschlüsselwirdindenneuenSRKimportiertunderstelltdenSystemblattschlüsselundalle durchihngeschütztenBerechtigungsnachweiseerneut.

6.DasSystemistnunwiederhergestellt.

Anmerkung:EinAustauschderSystemplatineistnichtnotwendig,wennderEmulationsmodusverwendet wird.

DasfolgendeDiagrammstelltdieStrukturfürdenAustauschderSystemplatineunddieÜbernahmedes Eigentumsrechtsdar:

Abbildung3.AustauschderSystemplatine-Eigentumsrechtübernehmen

BeiderAnmeldungdereinzelnenBenutzeramSystemwirdderjeweiligeBenutzerbasisschlüsselautomatisch überdenBenutzerbasis-AES-Sicherungsschlüsselentschlüsselt,dervonderBenutzerauthentizierung abgeleitetundindenneuenvomClientSecuritySolution-AdministratorerstelltenSRKimportiertwird.Das folgendeDiagrammstelltdieStrukturfürdenAustauschderSystemplatineunddieBenutzerregistrierungdar:

UmeinenSekundärbenutzeranzumelden,nachdemderInhaltdesChipsgelöschtwurdeoder nachdemSiedieSystemplatineausgetauschthaben,müssenSiesichalsMaster-Administrator anmelden.DerMaster-AdministratorwirdzumWiederherstellenderSchlüsselaufgefordert.Sobalddie WiederherstellungderSchlüsselabgeschlossenist,verwendenSiedenPolicyManager,umdieClient Security-Windows-Anmeldungzuinaktivieren.DieverbleibendenBenutzerkönnenihrejeweiligenSchlüssel wiederherstellen.SobaldalleSekundärbenutzerihrejeweiligenSchlüsselwiederhergestellthaben,kannder Master-AdministratordieClientSecuritySolution-Windows-Anmeldefunktionaktivieren.

26ClientSecuritySolution8.21Implementierungshandbuch

DasfolgendeDiagrammstelltdieStrukturfürdenAustauschderSystemplatineunddieBenutzerregistrierung

Motherboard Swap - Enroll User

Trusted Platform Module

Decrypted via derived AES Key

Storage Root Private Key

Storage Root Public Key

User Leaf Private Key

User Leaf Public Key

Windows PW AES Key

PW Manager AES Key

User Base Private Key

User Base Public Key

If Passphrase

loop n times

User PW/PP

One-Way Hash

User Base AES

Protection Key

(derived via output

of hash algorithm)

dar:

Abbildung4.AustauschderSystemplatine-Benutzerregistrieren

Schutzdienstprogramm„EFS“

ClientSecuritySolutionstellteinBefehlszeilendienstprogrammbereit,dasdenTPM-basiertenSchutzder Verschlüsselungszertikate,dievon(EFS)(EncryptingFileSystem)zumVerschlüsselnvonDateienund Ordnernbereitgestelltwerden,aktiviert.DiesesDienstprogrammunterstütztdieÜbertragungvonZertikaten vonDritten(voneinerZertizierungsstellegenerierteZertikate)undunterstütztzudemdasGenerierenvon selbstsigniertenZertikaten.

BeimSchutzdesEFS-ZertikatsdurchClientSecuritySolutionwirdderprivateSchlüssel,derdem EFS-Zertikatzugeordnetist,durchdasTPMgeschützt.ZugriffaufdasZertikatwirdgewährt,nachdem derBenutzersichbeiClientSecuritySolutionauthentizierthat.

WennkeinTPMverfügbarist,wirddasEFS-ZertikatunterVerwendungdesvonClientSecuritySolution bereitgestelltenTPM-Emulatorsgeschützt.SiemüssenbeiClientSecuritySolutionregistriertsein,damit EFS-ZertikatevonClientSecuritySolutiongeschütztwerdenkönnen.

Vorsicht: WennSieClientSecuritySolutionund(EFS)(EncryptingFileSystem)zumVerschlüsselnvonDateien undOrdnernverwenden,könnenSieimmerdann,wennClientSecuritySolutionoderdasTPMnicht verfügbarsind,nichtaufdieverschlüsseltenDateienzugreifen.

WenndasTPM(T rustedPlatformModule)nichtmehrreagiert,stelltClientSecuritySolutiondenZugriffauf dieverschlüsseltenDatenwiederher,nachdemdieSystemplatineausgetauschtwurde.

EFS-Befehlszeilendienstprogrammverwenden

DiefolgendeT abelleenthältdieBefehlszeilenparameter,dievonEFSunterstütztwerden:

Kapitel3.MitClientSecuritySolutionarbeiten27

Tabelle9.VonEFSunterstützteBefehlszeilenparameter

ParameterBeschreibung

/generate:<Größe>GenerierteinselbstsigniertesZertikatundordnetdas

ZertikatEFSzu.Wenn<Größe>angegebenist,wird derSchlüsselinderangegebenenBitgrößegeneriert. GültigsinddieWerte512,1024und2048.Wennkein WertodereinungültigerWertangegebenwird,werden standardmäßigSchlüsselmit1024Bitgeneriert.

/sn:xxxxxxGibtdieSeriennummereinesvorhandenenZertikatsan,

dasübertragenundEFSzugeordnetwerdensoll.

/cn:yyyyyyGibtdenNamen(„ausgegebenan“)einesvorhandenen

Zertikatsan,dasübertragenundEFSzugeordnet werdensoll.

/rstavail

/silent

/?oder/hoder/help

ÜberträgtdasersteverfügbarevorhandeneEFS-Zertikat undordnetesdannEFSzu.

ZeigtkeineAusgabean.Rückkehrcodeswerdenvom WertbeiBeendigungdesProgrammsbereitgestellt.

ZeigtdenHilfetextan.

WenndasDienstprogrammnichtimHintergrundausgeführtwird,gibteseinenderfolgendenFehlerzurück:

0-"Commandcompletedsuccessfully" 1-"ThisutilityrequiresWindowsXP" 2-"ThisutilityrequiresClientSecuritySolutionversion8.0" 3-"ThecurrentuserisnotenrolledwithClientSecuritySolution" 4-"Thespeciedcerticatecouldnotbefound" 5-"Unabletogenerateaself-signedcerticate” 6-"NoEFScerticateswerefound" 7-"UnabletoassociatethecerticatewithEFS”

BeiderAusführungimHintergrundgibtdasProgrammeineFehlerebeneaus,diedenobenangezeigten Fehlernummernentspricht.

XML-Schemaverwenden

ÜberdieXML-ScripterstellungkönnenIT-AdministratorenangepassteScriptszurImplementierungund KongurationvonClientSecuritySolutionerstellen.DieScriptskönnenmitHilfederausführbarenFunktion „xml_crypt_tool“miteinemKennwortgeschütztwerden,wiez.B.beiderAES-Verschlüsselung.Nachder ErstellungakzeptiertdievirtuelleMaschine(vmserver.exe)dieScriptsalsEingabe.DievirtuelleMaschine ruftdieselbenFunktionenwiederKongurationsassistentvonClientSecuritySolutionzumKongurieren derSoftwareauf.

AlleScriptsbestehenauseinemTag,dasdenXML-Codierungstyp,dasXML-Schemaundmindestenseine auszuführendeFunktionangibt.DasSchemadientderValidierungderXML-Dateiundüberprüft,obdie erforderlichenParametervorhandensind.DieVerwendungdesSchemaswirdderzeitnichterzwungen.Jede FunktionwirdineinemFunktionstageingeschlossen.JedeFunktionenthältdieReihenfolge,inderder BefehlvondervirtuellenMaschine(vmserver.exe)ausgeführtwird.AußerdemverfügtjedeFunktionüber eineVersionsnummer;derzeithabenalleFunktionenVersion1.0.JedesderfolgendenBeispielscriptsenthält nureineFunktion.InderPraxisistesjedochwahrscheinlicher,dasseinScriptmehrereFunktionenenthält. EinsolchesScriptkannmitdemKongurationsassistentenvonClientSecuritySolutionerstelltwerden. WeitereInformationenzumErstellenvonScriptsmitdemKongurationsassistentenndenSieimAbschnitt „InstallationsassistentfürClientSecuritySolution“aufSeite39

28ClientSecuritySolution8.21Implementierungshandbuch

Anmerkung:WirdineinerFunktion,dieeinenDomänennamenerfordert,derParameter <DOMAIN_NAME_PARAMETER>nichtangegeben,wirdderStandardcomputernamedesSystems verwendet.

Beispiele

DiefolgendenBefehlesindBeispielefürdasXML-Schema:

ENABLE_TPM_FUNCTION

DieserBefehlaktiviertdasTPMundverwendetdasArgumentSYSTEM_PAP.WennfürdasSystembereits einBIOS-Administratorkennwortfestgelegtist,mussdiesesArgumentangegebenwerden.Andernfallsist dieserBefehloptional.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment>

<FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENABLE_TPM_FUNCTION</COMMAND> <VERSION>1.0</VERSION> <SYSTEM_PAP>PASSWORD</SYSTEM_PAP>

</FUNCTION>

</CSSFile>

Anmerkung:DieserBefehlwirdimEmulationsmodusnichtunterstützt.

DISABLE_TPM_FUNCTION

DieserBefehlinaktiviertdasTPMundverwendetdasArgumentSYSTEM_PAP.WennfürdasSystembereits einBIOS-Administratorkennwortfestgelegtist,mussdiesesArgumentangegebenwerden.Andernfallsist dieserBefehloptional.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment

<FUNCTION> <ORDER>0001</ORDER> <COMMAND>DISABLE_TPM_FUNCTION</COMMAND> <VERSION>1.0</VERSION> <SYSTEM_PAP>password</SYSTEM_PAP>

</FUNCTION>

</CSSFile>

Anmerkung:DieserBefehlwirdimEmulationsmodusnichtunterstützt.

ENABLE_PWMGR_FUNCTION

MitdiesemBefehlkönnenSiedenPasswordManagerfüralleClientSecuritySolution-Benutzeraktivieren.

<?xmlversion="1.0"encoding="UTF-8"standalone="no"?>

<CSSFilexmlns="www.lenovo.com/security/CSS">

<FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENABLE_PWMGR_FUNCTION</COMMAND> <VERSION>1.0</VERSION>

</FUNCTION>

</CSSFile>

Kapitel3.MitClientSecuritySolutionarbeiten29

ENABLE_CSS_GINA_FUNCTION

UnterWindows2000,XPundVistawirddieClientSecuritySolution-AnmeldungüberdenfolgendenBefehl aktiviert:

-<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment

<FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENABLE_CSS_GINA_FUNCTION</COMMAND> <VERSION>1.0</VERSION>

</FUNCTION>

</CSSFile>

ENABLE_UPEK_GINA_FUNCTION

Anmerkungen:

1.DieserBefehlistnurfürdieThinkVantageFingerprintSoftware.

2.DieserBefehlwirdimEmulationsmodusnichtunterstützt.

DerfolgendeBefehlaktiviertdieWindows-AnmeldungüberThinkVantageFingerprintSoftwareundinaktiviert dieWindows-AnmeldungüberClientSecuritySolution.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment>

<ORDER>0001</ORDER> <COMMAND>ENABLE_UPEK_GINA_FUNCTION</COMMAND> <VERSION>1.0</VERSION>

</FUNCTION>

</CSSFile>

ENABLE_UPEK_GINA_WITH_FUS_FUNCTION

Anmerkungen:

1.DieserBefehlistnurfürdieThinkVantageFingerprintSoftware.

2.DieserBefehlwirdimEmulationsmodusnichtunterstützt.

DerfolgendeBefehlaktiviertdieAnmeldungmitderUnterstützungfürdieschnelleBenutzerumschaltung inaktiviertdieWindows-AnmeldungüberClientSecuritySolution.DieschnelleBenutzerumschaltungistin denSystemeinstellungenmöglicherweisenichtaktiviert.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment

<ORDER>0001</ORDER> <COMMAND>ENABLE_UPEK_GINA_WIH_FUS_FUNCTION</COMMAND> <VERSION>1.0</VERSION>

</FUNCTION>

</CSSFile>

ENABLE_AUTHENTEC_GINA_FUNCTION

Anmerkungen:

30ClientSecuritySolution8.21Implementierungshandbuch

1.DieserBefehlgiltnurfürLenovoFingerprintSoftware.

2.DieserBefehlwirdimEmulationsmodusnichtunterstützt.

DerfolgendeBefehlaktiviertdieWindows-AnmeldungüberdasLenovoLesegerätfürFingerabdrückeund inaktiviertdieWindows-AnmeldungüberClientSecuritySolution.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment>

<ORDER>0001</ORDER> <COMMAND>ENABLE_AUTHENTEC_GINA_FUNCTION</COMMAND> <VERSION>1.0</VERSION>

</FUNCTION>

</CSSFile>

ENABLE_AUTHENTEC_GINA_WITH_FUS_FUNCTION

Anmerkungen:

1.DieserBefehlgiltnurfürLenovoFingerprintSoftware.

2.DieserBefehlwirdimEmulationsmodusnichtunterstützt.

DerfolgendeBefehlaktiviertdieAnmeldungmitUnterstützungfürdieschnelleBenutzerumschaltungund inaktiviertdieWindows-AnmeldungüberClientSecuritySolution.DieschnelleBenutzerumschaltungistin denSystemeinstellungenmöglicherweisenichtaktiviert.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment

<ORDER>0001</ORDER> <COMMAND>ENABLE_AUTHENTEC_GINA_WIH_FUS_FUNCTION</COMMAND> <VERSION>1.0</VERSION>

</FUNCTION>

</CSSFile>

ENABLE_NONE_GINA_FUNCTION

WennfüreinederTVT-KomponentenvonGINA,wiez.B.dieAnmeldungüberThinkVantageFingerprint Software,ClientSecuritySolutionoderAccessConnectionaktiviertist,wirdmitdiesemBefehldie AnmeldungbeiThinkVantageFingerprintSoftwareundbeiClientSecuritySolutioninaktiviert.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment

<FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENABLE_CSS_NONE_FUNCTION</COMMAND> <VERSION>1.0</VERSION>

</FUNCTION>

</CSSFile>

Anmerkung:DieserBefehlwirdimEmulationsmodusnichtunterstützt.

Kapitel3.MitClientSecuritySolutionarbeiten31

SET_PP_FLAG_FUNCTION

DieserBefehlschreibteinFlag,dasClientSecuritySolutionliest,umzubestimmen,obderClient Security-VerschlüsselungstextodereinWindows-Kennwortverwendetwerdensoll.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment

<COMMAND>SET_PP_FLAG_FUNCTION</COMMAND> <PP_FLAG_SETTING_PARAMETER>USE_CSS_PP</PP_FLAG_SETTING_PARAMETER> <VERSION>1.0</VERSION> </FUNCTION>

</CSSFile>

Anmerkung:DieserBefehlwirdimEmulationsmodusnichtunterstützt.

SET_ADMIN_USER_FUNCTION

ÜberdiesenBefehlwirdeinFlaggeschrieben,dasvonClientSecuritySolutiongelesenwird,um festzustellen,werAdministratorist.EsgibtdiefolgendenParameter:

•USER_NAME_PARAMETER

DerBenutzernamedesAdministrators.

•DOMAIN_NAME_PARAMETER

DieDomänedesAdministrators.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment

<COMMAND>SET_ADMIN_USER_FUNCTION</COMMAND>

<USER_NAME_PARAMETER>sabedi</USER_NAME_PARAMETER>

<DOMAIN_NAME_PARAMETER>IBM-2AA92582C79<DOMAIN_NAME_PARAMETER>

<SYSTEM_PAP>PASSWORD</SYSTEM_PAP> </FUNCTION>

</CSSFile>

Anmerkung:DieserBefehlwirdimEmulationsmodusnichtunterstützt.

INITIALIZE_SYSTEM_FUNCTION

MitdiesemBefehlwirddieClientSecuritySolution-Systemfunktioninitialisiert.DiesystemweitenSchlüssel werdenüberdiesenFunktionsaufrufgeneriert.InderfolgendenParameterlistesinddieeinzelnenFunktionen erklärt:

•NEW_OWNER_AUTH_DATA_PARAMETER

MitdiesemParameterwirddasneueEignerkennwortfürdasSystemfestgelegt.Fürdasneue EignerkennwortwirdderWertfürdiesenParametervomaktuellenEignerkennwortgesteuert.Ist keinaktuellesEignerkennwortfestgelegt,wirdderWertindiesemParametergeladenundalsneues Eignerkennwortverwendet.WenndasaktuelleEignerkennwortbereitsfestgelegtistundderAdministrator dasselbeaktuelleEignerkennwortverwendet,wirdderWertindiesemParametergeladen.Wennder AdministratoreinneuesEignerkennwortverwendet,wirddasneueEignerkennwortindiesemParameter geladen.

32ClientSecuritySolution8.21Implementierungshandbuch

•CURRENT_OWNER_AUTH_DATA_PARAMETER

DieserParameteristdasaktuelleEignerkennwortdesSystems.WenndasSystembereitsüberein Eignerkennwortverfügt,solltedieserParamaterdasvorherigeKennwortladen.Wenneinneues Eignerkennwortangefordertwird,wirddasaktuelleEignerkennwortindiesemParametergeladen.Wenn keineÄnderungdesKennwortskonguriertist,wirdderWertNO_CURRENT_OWNER_AUTHgeladen.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment

<ORDER>0001</ORDER> <COMMAND>INITIALIZE_SYSTEM_FUNCTION</COMMAND> <NEW_OWNER_AUTH_DATA_PARAMETER>pass1word</NEW_OWNER_AUTH_DATA_

PARAMETER>

<CURRENT_OWNER_AUTH_DATA_PARAMETER>No_CURRENT_OWNER_AUTH</CURRENT

_OWNER_AUTH_DATA_PARAMETER>

</FUNCTION>

</CSSFile>

CHANGE_TPM_OWNER_AUTH_FUNCTION

MitdiesemBefehlwirddieClientSecuritySolution-Administratorautorisierunggeändertunddie Systemschlüsselentsprechendaktualisiert.DiesystemweitenSchlüsselwerdenüberdiesenFunktionsaufruf erneutgeneriert.EsgibtdiefolgendenParameter:

•NEW_OWNER_AUTH_DATA_PARAMETER DasneueEignerkennwortdesTPMs(TrustedPlatformModule).

•CURRENT_OWNER_AUTH_DATA_PARAMETER DasaktuelleEignerkennwortdesTPMs(TrustedPlatformModule).

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment

<FUNCTION> <ORDER>0001</ORDER> <COMMAND>CHANGE_TPM_OWNER_AUTH_FUNCTION</COMMAND> <NEW_OWNER_AUTH_DATA_PARAMETER>newPassWord</NEW_OWNER_AUTH_DATA_

PARAMETER>

<CURRENT_OWNER_AUTH_DATA_PARAMETER>oldPassWord</CURRENT_OWNER_AUTH

_DATA_PARAMETER>

</FUNCTION>

</CSSFile>

Anmerkung:DieserBefehlwirdimEmulationsmodusnichtunterstützt.

ENROLL_USER_FUNCTION

DieserBefehlregistrierteinenbestimmtenBenutzerfürdieVerwendungvonClientSecuritySolution.Diese FunktionerstelltallebenutzerspezischenSicherheitsschlüsselfüreinenangegebenenBenutzer.Esgibtdie folgendenParameter:

•USER_NAME_PARAMETER DerNamedesBenutzers,derregistriertwerdensoll.

•DOMAIN_NAME_PARAMETER DerDomänennamedesBenutzers,derregistriertwerdensoll.

Kapitel3.MitClientSecuritySolutionarbeiten33

•USER_AUTH_DATA_PARAMETER

DerTPM-Verschlüsselungstext/dasTPM-Windows-KennwortzumErstellenderSicherheitsschlüssel fürdenBenutzer.

•WIN_PW_PARAMETER

DasWindows-Kennwort.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment

<FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENROLL_USER_FUNCTION</COMMAND> <USER_NAME_PARAMETER>sabedi</USER_NAME_PARAMETER> <DOMAIN_NAME_PARAMETER>IBM-2AA92582C79<DOMAIN_NAME_PARAMETER> <USER_AUTH_DATA_PARAMETER>myCssUserPassPhrase</USER_AUTH_DATA_PARAMETER>

<WIN_PW_PARAMETER>myWindowsPassword</WIN_PW_PARAMETER>

</CSSFile>

USER_PW_RECOVERY_FUNCTION

DieserBefehlkonguriertdieKennwortwiederherstellungfüreinenbestimmtenBenutzer.Esgibtdie folgendenParameter:

•USER_NAME_PARAMETER

DerNamedesBenutzers,derregistriertwerdensoll.

•DOMAIN_NAME_PARAMETER

DerDomänennamedesBenutzers,derregistriertwerdensoll.

•USER_PW_REC_QUESTION_COUNT

DieAnzahlderFragen,diederBenutzerbeantwortenmuss.

•USER_PW_REC_ANSWER_DATA_PARAMETER

DiegespeicherteAntwortaufeinebestimmteFrage.DertatsächlicheNamediesesParametersistmit einerNummerentsprechendderzubeantwortendenFrageverknüpft.

•USER_PW_REC_STORED_PASSWORD_PARAMETER

DasgespeicherteKennwort,dasangezeigtwird,wennderBenutzeralleFragenrichtigbeantwortethat.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment

<FUNCTION> <ORDER>0001</ORDER> <COMMAND>USER_PW_RECOVERY_FUNCTION</COMMAND> <USER_NAME_PARAMETER>sabedi</USER_NAME_PARAMETER> <DOMAIN_NAME_PARAMETER>IBM-2AA92582C79<DOMAIN_NAME_PARAMETER> <USER_PW_REC_ANSWER_DATA_PARAMETER>Test1</USER_PW_REC_ANSWER_DATA_PARA

METER>

<USER_PW_REC_ANSWER_DATA_PARAMETER>Test2</USER_PW_REC_ANSWER_DATA_PARA

METER>

<USER_PW_REC_ANSWER_DATA_PARAMETER>Test3</USER_PW_REC_ANSWER_DATA_PARA

METER> <USER_PW_REC_QUESTION_COUNT>3</USER_PW_REC_QUESTION_COUNT> <USER_PW_REC_QUESTION_LIST>20000,20001,20002</USER_PW_REC_QUESTION_LIST>

</USER_PW_REC_STORED_PASSWORD_PARAMETER>Pass1word</USER_PW_REC_STORED_PASS

34ClientSecuritySolution8.21Implementierungshandbuch

WORD_PARAMETER>

</FUNCTION>

</CSSFile>

GENERATE_MUL TI_FACTOR_DEVICE_FUNCTION

MitdiesemBefehlwerdenMehrfacheinheitenvonClientSecuritySolutiongeneriert,diezurAuthentizierung verwendetwerden.EsgibtdiefolgendenParameter:

•USER_NAME_PARAMETER-DerBenutzernamedesAdministrators.

•DOMAIN_NAME_PARAMETER-DerDomänennamedesAdministrators.

•MUL TI_FACTOR_DEVICE_USER_AUTH-DerVerschlüsselungstextoderdasWindows-Kennwortzur ErstellungderSicherheitsschlüsseldesBenutzers.

<?xmlversion="1.0"encoding="UTF-8"standalone="no"?>

<CSSFile=xmlns="www.ibm.com/security/CSS"> <FUNCTION> <ORDER>0001</ORDER> <COMMAND>GENERATE_MULTI_FACTOR_DEVICE_FUNCTION</COMMAND> <USER_NAME_PARAMETER>myUserName</USER_NAME_PARAMETER> <DOMAIN_NAME_PARAMETER>domainName</DOMAIN_NAME_PARAMETER> <MULTI_FACTOR_DEVICE_USER_AUTH>myCssUserPassPhrase</MUL TI_FACTOR_DEVICE_USER_AUTH> <VERSION>1.0</VERSION> </FUNCTION>

</CSSFile>

SETUP_PDA_FUNCTION

MitdiesemBefehlwirddiePredesktopAreakonguriert,diemitClientSecuritySolutionverwendetwerden soll:

<?xmlversion="1.0"encoding="UTF-8"standalone="no"?> <CSSFile=xmlns="www.ibm.com/security/CSS"> <FUNCTION> <ORDER>0001</ORDER> <COMMAND>SETUP_PDA_FUNCTION</COMMAND> <VERSION>1.0</VERSION> </FUNCTION>

</CSSFile>

SET_USER_AUTH_FUNCTION

MitdiesemBefehlwirddieClientSecuritySolution-Benutzerauthentizierungkonguriert.

<?xmlversion="1.0"encoding="UTF-8"standalone="no"?> <CSSFile=xmlns="www.ibm.com/security/CSS"> <FUNCTION> <ORDER>0001</ORDER> <COMMAND>SET_USER_AUTH_FUNCTION</COMMAND> <VERSION>1.0</VERSION> </FUNCTION>

</CSSFile>

RSASecurID-T okenverwenden

DurchNutzungderVerschlüsselungsalgorithmus-MethodezumVerschlüsselnvonDatenstelltdie VerwendungvonRSA-SecurID-TokenzusätzlichzuClientSecuritySolutionIhremUnternehmenmehrfache SicherheitzurVerfügung.BeiVerwendungvonRSA-SecurID-T okenauthentizierensichBenutzerbeiNetzen undSoftwareunterVerwendungihrerBenutzer-IDoderPINundeinerTokeneinheit.DieTokeneinheitzeigt eineZeichenfolgeausZiffernan,diesichalle60Sekundenändert.DieseAuthentizierungsmethodebietet einevielzuverlässigereEbenederBenutzerauthentizierungalswiederverwendbareKennwörter.

Kapitel3.MitClientSecuritySolutionarbeiten35

RSASecurID-Software-Tokeninstallieren

GehenSiewiefolgtvor,umdieSoftware„RSASecurID“zuinstallieren:

1.RufenSiediefolgendeWebadresseauf: http://www.rsasecurity.com/node.asp?id=1156

2.FührenSiedenRegistrierungsprozessdurch.

3.LadenSiedieSoftware„RSASecurID“herunter,undinstallierenSiesie.

Anforderungen

1.JederWindows-BenutzermussbeiClientSecuritySolutionregistriertsein,damitdieRSA-Software ordnungsgemäßfunktioniert,nachdemsieClientSecuritySolutionzugeordnetwurde.

2.DieRSA-SoftwaregerätbeimVersuchderRegistrierungmiteinemnichtbeiClientSecuritySolution registriertenWindows-BenutzerineineEndlosschleife.RegistrierenSiedenBenutzerbeiClientSecurity Solution,umdiesenFehlerzubeheben.

Smart-Card-Zugriffsoptionenfestlegen

GehenSiewiefolgtvor,umdieSmart-Card-Zugriffsoptionenfestzulegen:

1.KlickenSieimHauptmenüvonRSASecurIDaufTools(Werkzeuge)unddannaufSmartCardAccess Options(Smart-Card-Zugriffsoptionen).

2.WählenSieinderAnzeige„SmartCardCommunication“(Smart-Card-Kommunikation)dasOptionsfeld AccesstheSmartCardthroughaPKCS#11module(ÜbereinPKCS#11-ModulaufdieSmart-Card zugreifen)aus.

3.KlickenSieaufdieSchaltächeDurchsuchenundnavigierenSiezumfolgendenPfad:

C:\Programme\LENOVO\ClientSecuritySolution\csspkcs11.dll

4.KlickenSieaufdieDateicsspkcs11.dll,undklickenSiedannaufSelect(Auswählen).

5.KlickenSieaufOK.

RSASecurID-Software-Tokenmanuellinstallieren

UmdenSchutzvonClientSecuritySolutionzusammenmitdemRSASecurIDSoftware- Tokenzunutzen, gehenSiewiefolgtvor:

1.KlickenSieimHauptmenüderSoftware„RSASecurID“aufFile(Datei)undanschließendaufImport Tokens(Tokenimportieren).

2.NavigierenSiezurPositionderSDTID-Datei,undklickenSiedannaufOpen(Öffnen).

3.HebenSieinderAnzeigeSelectT oken(s)toInstall(TokenfürdieInstallationauswählen)die SeriennummerndergewünschtenSoftware-Tokenhervor.

4.KlickenSieaufTransferSelectedT okensSmartCard(Smart-CardderausgewähltenT oken übertragen).

Anmerkung:WenneinTokenübereinVerteilungskennwortverfügt,gebenSieesbeientsprechender Aufforderungein.

5.KlickenSieaufOK.

ActiveDirectory-Unterstützung

BeidemfolgendenPfadhandeltessichumdenVerzeichnispfadfürdasModul„PKCS#11“fürClient SecuritySolution:

C:\Programme\Lenovo\ClientSecuritySolution\csspkcs11.dll

36ClientSecuritySolution8.21Implementierungshandbuch

UmdasModul„PKCS#11“vonClientSecuritySolutionzunutzen,müssendiefolgendenRichtlinienfür ActiveDirectoryfestgelegtsein:

1.PKCS#11Signature(PKCS#11-Signatur)

2.PKCS#11Decryption(PKCS#11-Entschlüsselung)

DiefolgendeT abelleenthältdasänderbareFeldunddieBeschreibungderRichtlinienfürPKCS#11:

Tabelle10.ThinkVantage\ClientSecuritySolution\AuthenticationPolicies\PKCS#11Signature\CustomMode

FelderCSS.ADM

ÄnderbaresFeld

Feldbeschreibung

MöglicheWerte•Aktiviert

Erforderlich

Steuert,obeinKennwortodereinVerschlüsselungstext erforderlichist.

–JedesMal –Onceperlogon

•Deaktiviert

•Nichtkonguriert

EinstellungenundRichtlinienfürdieAuthentizierungüberdas LesegerätfürFingerabdrücke

ErzwungeneOptionenzumUmgehendesFingerabdrucks

DieOptionzumUmgehendesFingerabdrucksermöglichteseinemBenutzer,dieAuthentizierungüber FingerabdruckzuumgehenundeinWindows-KennwortzumAnmeldenzuverwenden.DerBenutzerkann dieseOptionbeimHinzufügeneinesneuenEintragsimPasswordManagerauswählenoderabwählen.

StandardmäßigistjedochdasUmgehendesFingerabdrucksaktiviert,auchwenndieseOptionnicht ausgewähltist.DiesermöglichtesdemBenutzer,sichbeiWindowsanzumelden,wennderSensorfür Fingerabdrückenichtfunktionsbereitist.UmdieerzwungeneOptionzumUmgehendesFingerabdruckszu inaktivieren,bearbeitenSiedenfolgendenRegistrierungsschlüssel:

[HKEY_LOCAL_MACHINE\SOFTWARE\Lenovo\ClientSecuritySolution\CSSConguration] "GinaDenyLogonDeviceNonEnrolled"=dword:00000001

WennderRegistrierungsschlüsselwieobenfestgelegtist,kannderBenutzerdieAuthentizierungüber Fingerabdrucknichtumgehen,wennderSensorfürFingerabdrückenichtfunktioniert.

ErgebnisderÜberprüfungdesFingerabdrucks

BeiderAuthentizierungüberFingerabdrucksteuertdiefolgendeRichtliniedieAnzeigederÜberprüfungdes Fingerabdrucks.

HKLM\Lenovo\TVTCommon\ClientSecuritySolution\FPSwipeResult

•FPSwipeResult=0:AlleNachrichtenwerdenangezeigt.

•FPSwipeResult=1:NurFehlernachrichtenwerdenangezeigt(Standardwert).

•FPSwipeResult=2:EswerdenkeineNachrichtenangezeigt.

Kapitel3.MitClientSecuritySolutionarbeiten37

Befehlszeilentools

DieFunktionenvonThinkVantageTechnologieskönnenauchlokaloderüberRemotezugriffvon IT-AdministratorendesUnternehmensüberdieBefehlszeilenschnittstelleimplementiertwerden.Die KongurationseinstellungenkönnendabeiüberdieEinstellungeneinerfernenT extdateiverwaltetwerden.

ClientSecuritySolutionverfügtüberdiefolgendenBefehlszeilentools:

•„SecurityAdvisor“aufSeite38

•„InstallationsassistentfürClientSecuritySolution“aufSeite39

•„ToolzurVerschlüsselungundEntschlüsselungderImplementierungsdatei“aufSeite40

•„ToolzurVerarbeitungderImplementierungsdatei“aufSeite41

•„TPMENABLE.EXE“aufSeite41

•„ToolzurÜbertragungvonZertikaten“aufSeite41

•„ToolzumAktivierendesTPM“aufSeite42

SecurityAdvisor

UmSecurityAdvisorvonClientSecuritySolutionausauszuführen,klickenSieauf Start->Programme->ThinkVantage->ClientSecuritySolution.KlickenSieaufAdvanced,undwählen SieAuditSecuritySettingsaus.DieDateiC:\Programme\Lenovo\CommonFiles\WST\wst.exewirdfüreine Standardinstallationausgeführt.

EsgibtdiefolgendenParameter:

Tabelle11.Parameter

ParameterBeschreibung

HardwarePasswords

PowerOnPassword

HardDrivePassword

AdministratorPassword

WindowsUsersPasswords

Kennwort

PasswordAge

PasswordNeverExpires

LegtdenWertfürdasHardwarekennwortfest.Durchden Wert1wirddieserAbschnittangezeigt,durchdenWert0 wirderausgeblendet.DerStandardwertist1.

Legtfest,dasseinKennwortzumEinschaltenaktiviert wird,oderdieEinstellungwirdmarkiert.

Legtfest,dasseinKennwortfürdasFestplattenlaufwerk aktiviertwird,oderdieEinstellungwirdmarkiert.

Legtfest,dasseinAdministratorkennwortaktiviertwird, oderdieEinstellungwirdmarkiert.

LegtdenWertfürdasWindows-Benutzerkennwortfest. DurchdenWert1wirddieserAbschnittangezeigt,durch denWert0wirderausgeblendet.IstdieserParameter nichtvorhanden,wirdderAbschnittstandardmäßig angezeigt.

Legtfest,dassdasBenutzerkennwortaktiviertwird,oder dieEinstellungwirdmarkiert.

LegtdieGültigkeitsdauerdesWindows-Kennwortsfür diebetreffendeMaschinefestoderdieEinstellungwird markiert.

Legtfest,dassdieGültigkeitdesWindows-Kennwortsnie abläuft,oderdieEinstellungwirdmarkiert.

38ClientSecuritySolution8.21Implementierungshandbuch

Tabelle11.Parameter(Forts.)

ParameterBeschreibung

WindowsPasswordPolicy

MinimumPasswordLength

MaximumPasswordAge

ScreenSaver

ScreenSaverPasswordSet

ScreenSaverTimeout

FileSharing

AuthorizedAccessOnly

ClientSecurityLegtdenWertfürClientSecurityfest.DurchdenWert1

EmbeddedSecurityChipLegtfest,dassderSicherheitschipaktiviertwird,oder

ClientSecuritySolutionLegtdieVersionvonClientSecuritySolutionfürdie

LegtdenWertfürdasWindows-Kennwortfest.Durch denWert1wirddieserAbschnittangezeigt,durchden Wert0wirderausgeblendet.IstdieserParameternicht vorhanden,wirdderAbschnittstandardmäßigangezeigt.

LegtdieKennwortlängefürdiebetreffendeMaschinefest, oderdieEinstellungwirdmarkiert.

LegtdieGültigkeitsdauerdesKennwortsfürdie betreffendeMaschinefest,oderdieEinstellungwird markiert.

LegtdenWertfürdenBildschirmschonerfest.Durch denWert1wirddieserAbschnittangezeigt,durchden Wert0wirderausgeblendet.IstdieserParameternicht vorhanden,wirdderAbschnittstandardmäßigangezeigt.

Legtfest,dassderBildschirmschonerkennwortgeschützt ist,oderdieEinstellungwirdmarkiert.

LegtdasZeitlimitfürdenBildschirmschonerfürdie betreffendeMaschinefest,oderdieEinstellungwird markiert.

LegtdenWertfürgemeinsamenDateizugrifffest.Durch denWert1wirddieserAbschnittangezeigt,durchden Wert0wirderausgeblendet.IstdieserParameternicht vorhanden,wirdderAbschnittstandardmäßigangezeigt.

Legtfest,dassfürdengemeinsamenDateizugriffeine entsprechendeBerechtigungerforderlichist,oderdie Einstellungwirdmarkiert.

wirddieserAbschnittangezeigt,durchdenWert0wirder ausgeblendet.IstdieserParameternichtvorhanden,wird derAbschnittstandardmäßigangezeigt.

dieEinstellungwirdmarkiert.

betreffendeMaschinefest,oderdieEinstellungwird markiert.

InstallationsassistentfürClientSecuritySolution

DerInstallationsassistentfürClientSecuritySolutionwirdverwendet,umüberXML-Dateien Implementierungsscriptszuerstellen.MitHilfedesfolgendenBefehlskönnendieverschiedenenFunktionen desAssistentenangezeigtwerden:

"C:\ProgramFiles\Lenovo\ClientSecuritySolution\css_wizard.exe"/?

DiefolgendeT abelleenthältdieBefehlefürdenInstallationsassistentenfürClientSecuritySolution.

Tabelle12.BefehlefürdenInstallationsassistentenfürClientSecuritySolution

ParameterErgebnis

/hoder/?

/name:DATEINAMEStehtvordemvollständigqualiziertenPfadunddem

ZeigtdasFeldmitHilfenachrichtenan.

DateinamendergeneriertenImplementierungsdatei.Die DateiweistdieErweiterung.xmlauf.

Kapitel3.MitClientSecuritySolutionarbeiten39

Tabelle12.BefehlefürdenInstallationsassistentenfürClientSecuritySolution(Forts.)

ParameterErgebnis

/encryptVerschlüsseltdieScriptdateidurchAES-Verschlüsselung.

DerDateinamewirdnachderVerschlüsselungmit derErweiterung.enchinzugefügt.WennderBefehl /passnichtverwendetwird,wirdeinstatischer Verschlüsselungstextverwendet,umdieDateiunkenntlich zumachen.

/pass:StehtvordemVerschlüsselungstextzumSchutzder

verschlüsseltenImplementierungsdatei.

/novalidate

InaktiviertdieÜberprüfungsfunktionenfürdasKennwort undfürdenVerschlüsselungstextdesAssistenten,so dasseineScriptdateiaufeinerbereitskongurierten Maschineerstelltwerdenkann.ZumBeispielist dasAdministratorkennwortfürdieaktuelleMaschine möglicherweisenichtdasgewünschteKennwortfür dasgesamteUnternehmen.MitdemBefehl/novalidate könnenSieeinanderesAdministratorkennworteingeben (inderGUIvoncss_wizardwährendderErstellungder xml-Datei).

Beispiel:

css_wizard.exe/encrypt/pass:mysecret/name:C:\DeployScript/novalidate

ToolzurVerschlüsselungundEntschlüsselungder Implementierungsdatei

DiesesTooldientzumVerschlüsselnundEntschlüsselnderXML-ImplementierungsdateienvonClient Security.MitHilfedesfolgendenBefehlskönnendieverschiedenenFunktionendesToolsangezeigtwerden:

"C:\ProgramFiles\Lenovo\ClientSecuritySolution\xml_crypt_tool.exe"/?

DieParameterwerdeninderfolgendenTabelleangezeigt:

Tabelle13.ParameterzumVerschlüsselnoderEntschlüsselnderClientSecurity-XML-Implementierungsdateien

ParameterErgebnisse

/hoder/?

FILENAME

/encryptoder/decrypt

PASSPHRASE

Beispiele:

xml_crypt_tool.exe"C:\DeployScript.xml"/encrypt"mysecret"

und

xml_crypt_tool.exe"C:\DeployScript.xml.enc"/decrypt"mysecret"

AnzeigevonHilfenachrichten

ZeigtdenPfadnamenunddenDateinamenmitder Erweiterung.xmloder.encan.

Wählt/encryptfür.xml-Dateienund/decryptfür .enc-Dateienaus.

ZeigtdenoptionalenParameteran,dererforderlichist, wenneinVerschlüsselungstextverwendetwird,umdie Dateizuschützen.

40ClientSecuritySolution8.21Implementierungshandbuch

ToolzurVerarbeitungderImplementierungsdatei

MitdemTool„vmserver.exe“werdendieXML-ImplementierungsscriptsvonClientSecuritySolution verarbeitet.MitHilfedesfolgendenBefehlskönnendieverschiedenenFunktionendesAssistentenangezeigt werden:

"C:\ProgramFiles\Lenovo\ClientSecuritySolution\vmserver.exe"/?

DiefolgendeTabelleenthältdieParameterfürdieDateiverarbeitung.

Tabelle14.ParameterfürDateiverarbeitung

ParameterErgebnis

FILENAMEDerParameterFILENAMEmussdieDateierweiterung.xml

oder.encaufweisen.

PASSPHRASEDerParameterPASSPHRASEdientzumEntschlüsseln

einerDateimitderErweiterung.enc.

Beispiel:

Vmserver.exeC:\DeployScript.xml.enc"mysecret"

TPMENABLE.EXE

DieDatei„tpmenable.exe“dientzumEin-undAusschaltendesSicherheitschips.

Tabelle15.ParameterfürdieDatei„tpmenable.exe“

ParameterBeschreibung

/enableoder/disableZumEin-oderAusschaltendesSicherheitschips

/quiet

sp:Kennwort

ZumAusblendenvonEingabeaufforderungenfürdas BIOS-KennwortodervonFehlermeldungen.

VerwendenSieunterWindows2000undXPfürdas BIOS-Administrator-bzw.-Supervisor-Kennwortkeine doppeltenAnführungszeichenvorundnachdem Kennwort.

Beispiel:

tpmenable.exe/enable/quiet/sp:MyBiosPW

ToolzurÜbertragungvonZertikaten

DiefolgendeTabelleenthältBefehlszeilenschalterdesToolszurÜbertragungvonZertikatenfürClient SecuritySolution:

Tabelle16.css_cert_transfer_tool.exe<Zertikatsspeichertyp><Filtertyp>:<Name|Größe>|all_access|usage

ParameterBeschreibung

<Zertikatsspeichertyp>

Beispiele:

cert_store_user

cert_store_machine

cert_store_all

DiesistderersteerforderlicheParameter.ErmussalsersterSchalter verwendetwerdenundeinesderfolgendenBeispieleenthalten:

ÜberträgtnurBenutzerzertikate.Benutzerzertikatesind demaktuellenBenutzerzugeordnet.

ÜberträgtnurMaschinenzertikate.Maschinenzertikate könnenvonallenberechtigtenBenutzernaufeinerMaschine verwendetwerden.

ÜberträgtsowohlBenutzer-alsauchMaschinenzertikate.

Kapitel3.MitClientSecuritySolutionarbeiten41

Tabelle16.css_cert_transfer_tool.exe<Zertikatsspeichertyp><Filtertyp>:<Name|Größe>|all_access|usage(Forts.)

ParameterBeschreibung

Beispiele:

DiefolgendenbeidenSchaltersindeigenständig,sieweisenkeinzweitesArgumentauf:

all_access

usage

subject_simple_name:<Name>

subject_friendly_name:<Name>

issuer_simple_name:<Name>

issuer_friendly_name:<Name>

key_size:<Größe>

ÜberträgtalleZertikateungeltert.

StelltkeineInformationeninderBefehlszeilebereit,aberdieFunktion,diezumBestimmen derrichtigenVerwendungverwendetwird,gibt„true“oder„false“zurück,jenachdem,obdie eingegebenenBefehlerichtigsind.

DiesistderzweiteerforderlicheParameter.Ermussnachdem erforderlichenParameter<Zertikatsspeichertyp>verwendetwerden. AufjedenFiltertyp(außerdieuntenangegebenen)musseinDoppelpunkt (:)folgenundunmittelbaraufdenDoppelpunktmussderNamedes Zertikatsbetreffs,dieZertizierungsstelleoderdieSchlüsselgröße, nachdem/dergesuchtwird,folgen.BeidiesemDienstprogramm mussdieGroß-/Kleinschreibungbeachtetwerden.WennderName, nachdemSiesuchen,einzusammengesetzterNameist,z.B.„Name derZertizierungsstelle“,müssenSiedasSuchkritieriumindoppelte Anführungszeichen(„“)setzen(sieheBeispiele).

ÜberträgtalleZertikate,diedemNamenentsprechen,auf dendasZertikatausgestelltist,wobeiderBetreffname „<Name>“lautet.

ÜberträgtalleZertikate,diedemAnzeigenamen entsprechen,aufdendasZertikatausgestelltist,wobei derAnzeigename„<Name>“lautet.

ÜberträgtalleZertikate,diedemNamender Zertizierungsstelleentsprechen,diesieausgestellthat, wobeiderNamederZertizierungsstelle„<Name>“lautet.

ÜberträgtalleZertikate,diedemAnzeigenamender Zertizierungsstelleentsprechen,diesieausgestellthat, wobeiderAnzeigenamederZertizierungsstelle„<Name>“ lautet.

ÜberträgtalleZertikatediemitderSchlüsselgröße „<Größe>“inBitverschlüsseltsind.BeachtenSie,dass essichhierbeiumeinexaktesÜbereinstimmungskriterium handelt.DasProgrammsuchtnichtnachZertikaten,die miteinerSchlüsselgrößeverschlüsseltsind,diedieser Größemindestensoderhöchstensentspricht.

ToolzumAktivierendesTPM

DieDatei„tpm_activate_cmd.exe“wirdverwendet,umdasTPMaufdemLenovoSystemzuaktivieren oderzuinaktivieren.

Anmerkung:ZumAusführendiesesBefehlsmüssenSieüberAdministratorberechtigungverfügen.

Tabelle17.ParameterzumAktivierenoderInaktivierendesTPMaufdemLenovoSystem

ParameterBeschreibung

/helpor/?

/biospw:KennwortGibtdasBIOS-Supervisor-oder-Administratorkennwort

42ClientSecuritySolution8.21Implementierungshandbuch

ZeigtdieParameterlistean.

an,wenneinesexportiertist.

Tabelle17.ParameterzumAktivierenoderInaktivierendesTPMaufdemLenovoSystem(Forts.)

ParameterBeschreibung

/deactivate

/verbose

InaktiviertdasTPM. Anmerkung:WennSiedieDatei„tpm_activate_cmd.exe“ ohnedenParameter/deactivateausführen,wirddas TPMstandardmäßigaktiviert.

ZeigteineTextausgabean.

Beispiel:

tpm_activate_cmd.exe/? tpm_activate_cmd.exe/verbose tpm_activate_cmd.exe/biospw:pass

ActiveDirectory-Unterstützung

ActiveDirectoryisteinVerzeichnisservice.DasVerzeichnisbendetsichdort,woInformationenzu BenutzernundRessourcengespeichertwerden.DerVerzeichnisserviceermöglichtdenZugriffaufdiese Ressourcen,sodasssieverwaltetwerdenkönnen.

ActiveDirectorystellteinenMechanismusfürAdministratorenbereit,mitdessenHilfeComputer,Gruppen, Benutzer,Domänen,SicherheitsrichtlinienundalleArtenvonbenutzerdeniertenObjektenverwaltetwerden können.DervonActiveDirectorydazuverwendeteMechanismuswirdals„GroupPolicy“(Gruppenrichtlinie) bezeichnet.MitHilfevonGruppenrichtlinienkönnenAdministratorenEinstellungendenieren,dieauf ComputeroderBenutzerinderDomäneangewendetwerdenkönnen.

InThinkVantageT echnologies-ProduktenwirdderzeiteineVielzahlvonMethodenzumZusammenstellenvon EinstellungenzumSteuernderProgrammeinstellungenverwendet,wiez.B.dasLesenausbestimmten anwendungsdeniertenEinträgeninderRegistrierungsdatenbank.

BeidenfolgendenBeispielenhandeltessichumEinstellungen,dieActiveDirectoryfürClientSecurity Solutionverwaltenkann:

•Sicherheitsrichtlinien.

•AngepassteSicherheitsrichtlinien,z.B.dieVerwendungeinesWindows-KennwortsodereinesClient SecuritySolution-Verschlüsselungstexts.

ADM-Schablonendateien

EineADM-SchablonendateideniertdievonAnwendungenaufClientcomputernverwendeten Richtlinieneinstellungen.BeiRichtlinienhandeltessichumbestimmteEinstellungen,diedas Anwendungsverhaltenregeln.Richtlinieneinstellungendenierenzudem,obderBenutzerüberdie AnwendungbestimmteEinstellungenvornehmendarf.

VoneinemAdministratoraufdemServerdenierteEinstellungenwerdenals„Richtlinien“bezeichnet. Einstellungen,dievoneinemBenutzeraufdemClient-ComputerfüreineAnwendungvorgenommenwerden, werdenals„Benutzereinstellungen“bezeichnet.WievonMicrosofthabenRichtlinieneinstellungenVorrang vorBenutzereinstellungen.

EinBenutzerkannz.B.einHintergrundbildaufseinemDesktopspeichern.Hierbeihandeltessichumeine Benutzereinstellung.EinAdministratorkannnunz.B.eineEinstellungaufdemServervornehmen,die vorgibt,dassderBenutzereinbestimmtesHintergrundbildverwendenmuss.DieRichtlinieneinstellungdes AdministratorssetztdieBenutzereinstellungaußerKraft.

Kapitel3.MitClientSecuritySolutionarbeiten43

WenneinThinkVantageTechnology-ProdukteineÜberprüfungaufeineEinstellungvornimmt,suchtesin derfolgendenReihenfolgenachderEinstellung:

•Computerrichtlinien

•Benutzerrichtlinien

•Standardbenutzerrichtlinien

•Computereinstellungen

•Benutzereinstellungen

•Standardbenutzereinstellungen

Wiezuvorbeschrieben,werdenComputer-undBenutzerrichtlinienvomAdministratordeniert.Diese EinstellungenkönnenüberdieXML-KongurationsdateioderübereineGruppenrichtlinieinActiveDirectory vorgenommenwerden.Computer-undBenutzereinstellungenwerdendurchdenBenutzerüberOptionen indenAnwendungsschnittstellenvorgenommen.Standardbenutzereinstellungenwerdendurchdas XML-Kongurationsscriptvorgenommen.BenutzeränderndieseWertenichtdirekt.DievoneinemBenutzer andiesenEinstellungenvorgenommenenÄnderungenwerdenindenBenutzereinstellungenaktualisiert.

Kunden,dieActiveDirectorynichtverwenden,könneneinenStandardsatzvonRichtlinieneinstellungen, dieaufdenClientsystemenimplementiertwerdensollen,erstellen.Administratorenkönnen XML-Kongurationsscriptsändernundangeben,dassdiesebeiderInstallationdesProduktsverarbeitet werdensollen.

EinfachzuverwaltendeEinstellungendenieren

ImfolgendenBeispielwerdenEinstellungenimEditorfürGruppenrichtliniengezeigt,dieunterVerwendung derfolgendenHierarchievorgenommenwurden:

ComputerConguration>AdministrativeTemplates>ThinkVantageT echnologies> ClientSecuritySolution>AuthenticationPolicies>MaxRetries> Passwordnumberofretries

DieADM-Dateiengebenan,anwelcherStelleinderRegistrierungsdatenbankdieEinstellungengespeichert werden.DieseEinstellungenbendensichindenfolgendenVerzeichnisseninderRegistrierungsdatenbank:

Computerpolicies: HKLM\Software\Policies\Lenovo\ClientSecuritySolution\ Userpolicies: HKCU\Software\Policies\Lenovo\ClientSecuritySolution\ Def aultuserpolicies: HKLM\Software\Policies\Lenovo\ClientSecuritySolution\Userdef aults Computerpreferences: HKLM\Software\Lenovo\ClientSecuritySolution\ Userpreferences: HKCU\Software\Lenovo\ClientSecuritySolution\ Def aultuserpref erences: HKLM\Software\Lenovo\ClientSecuritySolution\Userdef aults

EinstellungenfürGruppenrichtlinien

IndenT abellenindiesemAbschnittwerdendieRichtlinieneinstellungenfürdieComputerkongurationund dieBenutzerkongurationfürClientSecuritySolutionangezeigt.

MaximaleAnzahlderWiederholungsversuche

InderfolgendenT abellesinddieRichtlinieneinstellungenfürdiemaximaleAnzahlderWiederholungsversuche beiAuthentizierungsrichtlinienangegeben.

44ClientSecuritySolution8.21Implementierungshandbuch

Tabelle18.ComputerConguration➙ThinkVantage➙ClientSecuritySolution➙Authenticationpolicies➙ Maxretries

Aktivierte

Richtlinie

Passwordnumberof retries

Passphrasenumberof retries

Fingerprintnumberof retries

EinstellungBeschreibung

Maximumnumber ofretriesis20.

SteuertdiemaximaleAnzahlderWiederholungsversuche,dieein BenutzerbeiderAuthentizierungmiteinemWindows-Kennworthat, bevordieRichtliniezumAußerkraftsetzeneinsetzt.

SteuertdiemaximaleAnzahlderWiederholungsversuche, dieeinBenutzerbeiderAuthentizierungmiteinemClient Security-Verschlüsselungstexthat,bevordieRichtliniezum Außerkraftsetzeneinsetzt.

SteuertdiemaximaleAnzahlderWiederholungsversuche,dieein BenutzerbeiderAuthentizierungmiteinemFingerabdruckhat, bevoreinFallbackstattndetunddieRichtliniezumAußerkraftsetzen einsetzt.

SichererModus

InderfolgendenT abellesinddieRichtlinieneinstellungenfürdensicherenModusfür Authentizierungsrichtlinienangegeben.

Tabelle19.ComputerConguration➙Administrativetemplates➙ThinkVantage➙ClientSecuritySolution➙ Authenticationpolicies➙Securemode

RichtlinieAktivierteEinstellungenBeschreibung

Kennwort

Verschlüsselungstext

Fingerprint

AußerKraftsetzenFestlegungzumAußerkraftsetzendesKennworts,

SiekönnenalsHäugkeitentwederEverytimeoder Onceperlogonfestlegen.

desVerschlüsselungstextsoderdesFingerabdrucks.

Steuert,obeinKennworterforderlichist.

Steuert,obeinVerschlüsselungstext erforderlichist.

Steuert,obeinFingerabdruck erforderlichist.

Legt Fallback-Authentizierungsbestimmungen fest,wenndienormaleAuthentizierung fehlschlägt.

Standardmodus

InderfolgendenT abellesinddieRichtlinieneinstellungenfürdenStandardmodusfür Authentizierungsrichtlinienangegeben.

Tabelle20.ComputerConguration➙Administrativetemplates➙ThinkVantage➙ClientSecuritySolution➙ Authenticationpolicies➙Defaultmode

RichtlinieAktivierteEinstellungenBeschreibung

Kennwort

Verschlüsselungstext

Fingerprint

AußerKraftsetzenFestlegungzumAußerkraftsetzendes

SiekönnenalsHäugkeitentwederEverytime oderOnceperlogonfestlegen.

Kennworts,desVerschlüsselungstextsoder desFingerabdrucks.

Steuert,obeinKennworterforderlichist.

Steuert,obeinVerschlüsselungstext erforderlichist.

Steuert,obeinFingerabdruck erforderlichist.

Legt Fallback-Authentizierungsbestimmungen fest,wenndienormaleAuthentizierung fehlschlägt.

Kapitel3.MitClientSecuritySolutionarbeiten45

Authentizierungsrichtlinien

DiefolgendeRichtlinienlisteenthältaktivierteEinstellungen,diedieAuthentizierungsebenejederRichtlinie denieren:

•AuthentizierungsebenederWindows-Anmeldung

•AuthentizierungsebenederSystementsperrung

•AuthentizierungsebenedesPasswordManagers

•AuthentizierungsebenederCSP-Signatur

•AuthentizierungsebenederCSP-Entschlüsselung

•AuthentizierungsebenederPKCS#11-Signatur

•AuthentizierungsebenederPKCS#11-Entschlüsselung

•AuthentizierungsebenederPKCS#11-Anmeldung

DiefolgendeT abelleenthältWerteundEinstellungenfürdieobengenanntenAuthentizierungsebenen:

Tabelle21.ComputerConguration➙Administrativetemplates➙ThinkVantage➙ClientSecuritySolution➙ Authenticationpolicies

RichtlinieAktivierteEinstellungenBeschreibung

Kennwort

Verschlüsselungstext

Fingerprint

AußerKraftsetzenFestlegungzumAußerkraftsetzendesKennworts,

SiekönnenalsHäugkeitentwederEverytimeoder Onceperlogonfestlegen.

desVerschlüsselungstextsoderdesFingerabdrucks.

Steuert,obeinKennworterforderlichist.

Steuert,obeinVerschlüsselungstext erforderlichist.

Steuert,obeinFingerabdruck erforderlichist.

Legt Fallback-Authentizierungsbestimmungen fest,wenndienormaleAuthentizierung fehlschlägt.

PasswortManager

DiefolgendeTabelleenthältRichtlinieneinstellungenfürdenPasswordManager.

Tabelle22.ComputerConguration➙ThinkVantage➙ClientSecuritySolution➙Passwordmanager

RichtlinieneinstellungBeschreibung

DisablePasswordmanager

DisableInternetExplorersupport

DisableMozillasupport

DisablesupportforWindows applications

DisableAuto-ll

DisableHotkeysupport

UseDomainltering

46ClientSecuritySolution8.21Implementierungshandbuch

Steuert,obderPasswordManagerbeiSystemstartgestartetwird.

Steuert,obderPasswordManagerKennwörterausdemInternetExplorer speichernkann.

Steuert,obderPasswordManagerKennwörtervonaufMozillabasierenden Browsern,einschließlichFirefoxundNetscape,speichernkann.

Steuert,obderPasswordManagerKennwörterausWindows-Anwendungen speichernkann.

Steuert,obderPasswordManagerautomatischDateninWebsitesund Windows-Anwendungeneinsetzt.

Steuert,obderPasswordManagerdieVerwendungvonDirektaufrufen fürdasEinsetzenvonDateninWebsitesundWindows-Anwendungen unterstützt.

Steuert,obderPasswordManagerWebsitesaufderBasisvonDomänen ltert.

Tabelle22.ComputerConguration➙ThinkVantage➙ClientSecuritySolution➙Passwordmanager(Forts.)

RichtlinieneinstellungBeschreibung

ProhibitedDomains

ProhibitedURLs

ProhibitedModules

Auto-llHotkey

TypeandTransferHotkey

ManageHotkey

Steuert,fürwelcheDomänenderPasswordManagerkeineKennwörter speicherndarf.

Steuert,fürwelcheURLsderPasswordManagerkeineKennwörter speicherndarf.

Steuert,fürwelcheWindows-AnwendungenderPasswordManagerkeine Kennwörterspeicherndarf.

SteuertdenDirektaufrufStrg+F2zumautomatischenEinsetzen.

SteuertdenDirektaufrufStrg+Umschalttaste+HzumEingebenund Übertragen.

SteuertdenDirektaufrufStrg+Umschalttaste+B.

UserInterface

DiefolgendeTabelleenthältRichtlinieneinstellungenfürdieBenutzerschnittstelle.

Tabelle23.ComputerConguration➙ThinkVantage➙ClientSecuritySolution➙Userinterface

RichtlinieneinstellungBeschreibung

Fingerprintsoftwareoption

Fileencryptionoption

SecuritysettingsauditoptionOption„Securitysettings“inClientSecuritySolutionanzeigen,abblenden

Digitalcerticatetransferoption

ChangesecuritychipstatusoptionOption„Changesecuritychipstatus“inClientSecuritySolutionanzeigen,

ClearsecuritychiplockoutoptionOption„Clearsecuritychiplockout“inClientSecuritySolutionanzeigen,

Policymanageroption

Reset/ConguresettingsoptionOption„Congurationwizard“inClientSecuritySolutionanzeigen,

Passwordmanageroption

HardwarePasswordResetoption

Windowspasswordrecoveryoption

ChangeauthenticationmodeoptionOption„Changeauthenticationmode“inClientSecuritySolutionanzeigen,

Enable/disableWindowspassword recoveryoption

Enable/disablePasswordManager option

Option„Fingerprintsoftware“inClientSecuritySolutionanzeigen, abblendenoderausblenden.Standard:anzeigen.

Option„Fileencryption“inClientSecuritySolutionanzeigen,abblenden oderausblenden.Standard:anzeigen.

oderausblenden.Standard:anzeigen.

Option„Digitalcerticatetransfer“inClientSecuritySolutionanzeigen, abblendenoderausblenden.Standard:anzeigen.

abblendenoderausblenden.Standard:anzeigen.

Option„Policymanager“inClientSecuritySolutionanzeigen,abblenden oderausblenden.Standard:anzeigen.

abblendenoderausblenden.Standard:anzeigen.

Option„Passwordmanager“inClientSecuritySolutionanzeigen, abblendenoderausblenden.Standard:anzeigen.

Option„HardwarePasswordReset“inClientSecuritySolutionanzeigen, abblendenoderausblenden.Standard:anzeigen.

Option„Windowspasswordrecovery“inClientSecuritySolutionanzeigen, abblendenoderausblenden.Standard:anzeigen.

abblendenoderausblenden.Standard:anzeigen.

Option„Enable/diableWindowspasswordrecovery“inClientSecurity Solutionanzeigen,abblendenoderausblenden.Standard:anzeigen.

Option„Enable/diablePasswordManagerrecovery“inClientSecurity Solutionanzeigen,abblendenoderausblenden.Standard:anzeigen.

Kapitel3.MitClientSecuritySolutionarbeiten47

Workstation-Sicherheitstools

DiefolgendeT abelleenthältRichtlinieneinstellungenfürdasWorkstation-Sicherheitstool.

Tabelle24.ComputerConguration➙ThinkVantage➙ClientSecuritySolution➙Workstationsecuritytool

RichtlinieEinstellungBeschreibung

HardwarekennwörterHardwarekennwörter

Hardwarekennwörter

HardwarekennwörterHardDrivePassword

HardwarekennwörterAdministratorPassword

WindowsUsers Passwords

WindowsPassword Policy

ScreenSaverScreenSaver

ScreenSaverScreenSaverpasswordset

ScreenSaverScreenSavertimeoutEinstellungfürdiemaximaleGültigkeitsdauerdes

FileSharingFileSharing

FileSharing

ClientSecurityClientSecurityDieAnzeigevonInformationenzuClientSecurityaktivieren

ClientSecurityEmbeddedSecurityChipWählenSiealsempfohlenenWert„enable“oder„disable“

ClientSecurityClientSecuritySolution

Power-OnPasswordWählenSiealsempfohlenenWert„enable“oder„disable“

WindowsUsersPasswords

Password

PasswordAgeMaximaleAnzahlvonT agen,währendderendasKennwort

Passwordneverexpires

WindowsPasswordPolicy

Minimumnumberof charactersinthepassword

Maximumpasswordage

Authorizedaccess

Version

DieAnzeigevonHardwarekennwortinformationen aktivierenoderinaktivieren.

aus,oderwählenSieaus,dassdieseEinstellungignoriert werdensoll.

WählenSiealsempfohlenenWert„enable“oder„disable“ aus,oderwählenSieaus,dassdieseEinstellungignoriert werdensoll.

DieAnzeigevonWindows-Kennwortinformationen aktivierenoderinaktivieren.

WählenSiealsempfohlenenWert„enable“oder„disable“ aus,oderwählenSieaus,dassdieseEinstellungignoriert werdensoll.

gültigist.

AlsempfohlenerWertkann„True“,„False“oder„Ignore“ festgelegtwerden.

DieAnzeigevonRichtlinieninformationenzum Windows-Kennwortaktivierenoderinaktivieren.

DieminimaleAnzahlvonZeichenfürdasKennwortoder „Ignore“.

EinstellungfürdiemaximaleGültigkeitsdauerdes Kennworts-AnzahlderTageeingebenoderauswählen, dassdieserWertinIhrenErgebnissenignoriertwerdensoll.

DieAnzeigevonRichtlinieninformationenzum Windows-Kennwortaktivierenoderinaktivieren.

DieminimaleAnzahlvonZeichenfürdasKennwortoder „Ignore“.

Kennworts-AnzahlderTageeingebenoderauswählen, dassdieserWertinIhrenErgebnissenignoriertwerdensoll.

DieAnzeigevonInformationenzurgemeinsamenNutzung vonDatenaktivierenoderinaktivieren.

AlsempfohlenerWertkann„True“,„False“oder„Ignore“ festgelegtwerden.

oderinaktivieren.

aus,odergebenSiean,dassdieseEinstellungignoriert werdensoll.

LegenSiedieempfohleneMindestversionvonClient SecuritySolutionfest,oderlegenSie„Ignore“fest.

48ClientSecuritySolution8.21Implementierungshandbuch

ActiveUpdate

ActiveUpdateisteineeSupport-T echnologie,diedieAktualisierungsclientsaufdemlokalenSystem verwendet,umdiegewünschtenPaketeimWebzuliefern,ohnedasseineBenutzerinteraktionnötigwäre. ActiveUpdatefragtdieverfügbarenAktualisierungsclientsabundverwendetdenaktualisiertenClientzum InstallierendesgewünschtenPakets.ActiveUpdatestartetThinkVantageSystemUpdateoderSoftware InstalleraufdemSystem.

Umfestzustellen,obdasProgramm„ActiveUpdateLauncher“installiertist,überprüfenSie,obesden folgendenRegistrierungsschlüsselgibt:

HKLM\software\lenovo\ActiveUpdate

ZumAufrufenvonActiveUpdatesolltedasaufrufendeThinkVantageTechnology-Programmdas Programm„ActiveUpdateLauncher“startenundeineParameterdateiübergeben.(EineBeschreibungder ParameterdateindenSieinderActiveUpdate-Parameterdatei.)

GehenSiewiefolgtvor,umdenMenüpunkt„ActiveUpdateLauncher“imHilfemenüfüralleThinkVantage Technology-Programmezuinaktivieren:

1.WechselnSiezumRegistrierungsschlüssel„HKLM\software\lenovo\ActiveUpdate“.

2.BenennenSiedenSchlüssel„ActiveUpdate“um,oderlöschenSieihn.

ParameterdateifürActiveUpdate

DieParameterdateifürActiveUpdateenthältdieEinstellungen,dieActiveUpdateübermitteltwerdensollen. DerParameter„TargetApp“wirdwieimfolgendenBeispielübergeben:

<root>

<TargetApp>ACCESSLENOVO</T argetApp> </root> <root>

Kapitel3.MitClientSecuritySolutionarbeiten49

50ClientSecuritySolution8.21Implementierungshandbuch

Kapitel4.MitThinkVantageFingerprintSoftwarearbeiten

DieFingerprintConsolemussvomInstallationsordnerderFingerprintSoftwareausausgeführtwerden.Die grundlegendeSyntaxlautetFPRCONSOLE[USER|SETTINGS].DerBefehl„user“oder„settings“gibt an,welcherOperationsmodusverwendetwird.DervollständigeBefehllautetdann„fprconsoleuseradd TestUser“.WennderBefehlunbekanntistodernichtalleParameterangegebenwurden,wirdeinekurze BefehlslistezusammenmitdenParameternangezeigt.

InformationenzumHerunterladenderFingerprintSoftwareundManagementConsolendenSieaufder folgendenLenovoWebsite: http://www.lenovo.com/support/site.wss/document.do?sitestyle=lenovo&lndocid=HOME-LENOVO

Managementkonsolentool

DieserAbschnittenthältInformationenzubenutzerspezischenBefehlenundzuBefehlenfürglobale Einstellungen.

BenutzerspezischeBefehle

ZumRegistrierenundBearbeitenvonBenutzernwirdderAbschnittUSERverwendet.Wennderaktuelle BenutzernichtüberAdministratorberechtigungverfügt,richtetsichdasVerhaltenderKonsolenachdem SicherheitsmodusderFingerprintSoftware.ImsicherenModussindkeineBefehlezulässig.Imkomfortablen ModuskönnenStandardbenutzerdieBefehleADD,EDITundDELETEausführen.DerBenutzerkann jedochnurdasihmzugeordneteKennwort(dasmitseinemBenutzernamenregistriertist)ändern.Die Syntaxlautetwiefolgt:

FPRCONSOLEUSERcommand

DabeistehtcommandfüreinenderfolgendenBefehle:ADD,EDIT,DELETE,LIST,IMPORT,EXPORT.

Tabelle25.BenutzerspezischeBefehle

BefehlSyntaxBeschreibung

NeuenBenutzerregistrieren

Example:

fprconsoleuseradd domain0\testuser

fprconsoleuseradd testuser

RegistriertenBenutzer bearbeiten

Example:

fprconsoleuseredit domain0\testuser

fprconsoleuseredit testuser

ADD[username[|domain\ username]]

EDIT[username[|domain\ username]]

WirdkeinBenutzernameangegeben, wirdderaktuelleBenutzername verwendet.

WirdkeinBenutzernameangegeben, wirdderaktuelleBenutzername verwendet. Anmerkung:DerregistrierteBenutzer musszunächstseinenFingerabdruck bestätigen.

©CopyrightLenovo2008,2012

Tabelle25.BenutzerspezischeBefehle(Forts.)

BefehlSyntaxBeschreibung

Benutzerlöschen

Example:

fprconsoleuserdelete domain0\testuser

fprconsoleuserdelete testuser

fprconsoleuserdelete /ALL

RegistrierteBenutzer aufzählen

RegistriertenBenutzerinDatei exportieren

RegistriertenBenutzer importieren

DELETE[username[|domain\ username|/ALL]]

List

Syntax:EXPORTusername [|domain\username]le

Syntax:IMPORTle

DasFlag/ALLlöschtalleaufdiesem ComputerregistriertenBenutzer.Wenn derBenutzernamenichtangegeben wird,wirdderaktuelleBenutzername verwendet.

ListetdieregistriertenBenutzerauf.

MitdiesemBefehlwirdeinregistrierter BenutzerineineDateiaufdem Festplattenlaufwerkexportiert.Der Benutzerkannanschließendüberden BefehlIMPORTaufeinenanderen Computeroderaufdenselben Computerimportiertwerden,wennder Benutzeraufdiesemgelöschtwurde.

MitdiesemBefehlwirdderBenutzer ausderangegebenenDateiimportiert. Anmerkung:WennderBenutzerinder DateibereitsaufdemselbenComputer mitdenselbenFingerabdrücken registriertist,istnichtsichergestellt, welcherBenutzerbeiderIdentikation Vorranghat.

BefehlefürglobaleEinstellungen

DieglobalenEinstellungenderFingerprintSoftwarekönnenüberdenAbschnittSETTINGSgeändertwerden. FüralleBefehleindiesemAbschnittisteineAdministratorberechtigungerforderlich.DieSyntaxlautet:

FPRCONSOLESETTINGScommand

DabeistehtBefehlfüreinenderfolgendenBefehle:SECUREMODE,LOGON,CAD,TBX,SSO.

Tabelle26.BefehlefürglobaleEinstellungen

BefehlSyntaxBeschreibung

Securitymode(Sicherheitsmodus)

Example:

Tosettoconvenientmode: fprconsolesettings securemode0

ArtderAnmeldung

SECUREMODE0|1

LOGON0|1[/FUS]

DieseEinstellungwechseltzwischendem komfortablenunddemsicherenModusder FingerprintSoftware.

DieseEinstellungaktiviert(1)oder deaktiviert(0)dieAnmeldeanwendung. WirdderParameter/FUSverwendet,istfür dieAnmeldungderModuszumschnellen WechselnzwischenBenutzern(FUSFastUserSwitching)aktiviert,wenndie Computerkongurationdieszulässt.

52ClientSecuritySolution8.21Implementierungshandbuch

Tabelle26.BefehlefürglobaleEinstellungen(Forts.)

BefehlSyntaxBeschreibung

Strg+Alt+Entf-Nachricht

Sicherheitsfunktionenbeim Einschalten

Sicherheitsfunktionenbeim Einschalten-SSO(SingleSign-On)

CAD0|1

TBX0|1

SSO0|1

SichererModusundkomfortablerModus

DieseEinstellungaktiviert(1)oder deaktiviert(0)denText„DrückenSie Strg+Alt+Entf“vorderAnmeldung.

DieseEinstellungschaltetbeider Einstellung0globaldieUnterstützungfür dieSicherheitsfunktionenbeimEinschalten inderFingerprintSoftwareaus.Wenndie UnterstützungfürdieSicherheitsfunktionen beimEinschaltenausgeschaltetist, werdenkeineSicherheitsassistentenoder

-seitenbeimEinschaltenangezeigt.Die BIOS-EinstellungensindindiesemFall bedeutungslos.

DieseEinstellungaktiviert(1)oder inaktiviert(0)dieVerwendungderim BIOSfürdieAnmeldungverwendeten Fingerabdrücke,umeinenBenutzer automatischanzumelden,wenndieserim BIOSbestätigtist.

DieFingerprintSoftwarekanninzweiSicherheitsmodiausgeführtwerden:demsicherenModusund demkomfortablenModus.DersichereModuswurdefürSituationenentwickelt,indeneneinhohes Sicherheitsniveauwichtigist.BesondereFunktionensindausschließlichfürdenAdministratorreserviert.Nur AdministratorenkönnensichohnezusätzlicheAuthentizierungundnurmitdemKennwortanmelden.

DerkomfortableModuswurdefürHeimcomputerentwickelt,beideneneinhohesSicherheitsniveaunicht unbedingterforderlichist.AlleBenutzerdürfenalleOperationenausführen,einschließlichdemBearbeiten vonBerechtigungsnachweisenandererBenutzerundderMöglichkeit,sichamSystemmitdemKennwort (ohneAuthentizierungüberFingerabdruck)anzumelden.

EinAdministratoristeinMitgliedderlokalenAdministratorgruppe.WennSiedensicherenModuseinstellen, kannnurderAdministratorwiederindenkomfortablenModuswechseln.

SichererModus–Administrator

BeiderAnmeldungwirdimsicherenModusdiefolgendeNachrichtangezeigt,wennderfalsche BenutzernameoderdasfalscheKennworteingegebenwurde:„Onlyadministratorscanlogonthiscomputer withusernameandpassword“(NurAdministratorendürfensichandiesemComputermitBenutzernamen undKennwortanmelden).DamitwirdeinehöhereSicherheitgewährleistet.

Tabelle27.OptionenfürAdministratorenimsicherenModus

Fingerprints(Fingerabdrücke)Beschreibung

Createanewpassport(NeuenBerechtigungsnachweis erstellen)

EditPassports(Berechtigungsnachweisebearbeiten)

Administratorenkönnenihreneigenen BerechtigungsnachweisunddenBerechtigungsnachweis füreinenBenutzermiteingeschränkterBerechtigung erstellen.

Administratorenkönnennurihreneigenen Berechtigungsnachweisbearbeiten.

Kapitel4.MitThinkVantageFingerprintSoftwarearbeiten53

Tabelle27.OptionenfürAdministratorenimsicherenModus(Forts.)

Fingerprints(Fingerabdrücke)Beschreibung

DeletePassport(Berechtigungsnachweislöschen)

Power-onSecurity(Sicherheitsfunktionenbeim Einschalten)

Einstellungen

Logonsettings(Anmeldeeinstellungen)

Protectedscreensaver(GeschützterBildschirmschoner)

Passporttype(T ypdesBerechtigungsnachweises)

Securitymode(Sicherheitsmodus)

ProServers(ProServer)

AdministratorenkönnendieBerechtigungsnachweisevon allenBenutzernmiteingeschränkterBerechtigungund anderenAdministratorenlöschen.WennandereBenutzer SicherheitsfunktionenbeimEinschaltenverwenden,hat derAdministratordieMöglichkeit,Benutzerschablonenzu diesemZeitpunktvondenSicherheitsfunktionenbeim Einschaltenzuentfernen.

AdministratorenkönnendiebeimStartenverwendeten FingerabdrückevonBenutzernmiteingeschränkter BerechtigungundvonAdministratorenlöschen. Anmerkung:BeiaktiviertemStartmodusmuss mindestenseinFingerabdruckvorhandensein.

AdministratorenkönnenanallenAnmeldeeinstellungen Änderungenvornehmen.

AdministratorenhabenZugriff.

AdministratorenhabenZugriff.-NurinVerbindungmit Servernrelevant.

AdministratorenkönnenzwischendemsicherenModus unddemkomfortablenModusumschalten.

AdministratorenhabenZugriff.-NurinVerbindungmit Servernrelevant.

SichererModus-BenutzermiteingeschränkterBerechtigung

BeieinerWindows-AnmeldungmusseinBenutzermiteingeschränkterBerechtigungeinenFingerabdruck zumAnmeldenverwenden.WenndasLesegerätfürFingerabdrückefürBenutzermiteingeschränkter Berechtigungnichtfunktioniert,musseinAdministratordieEinstellungderFingerprintSoftwareändernund denkomfortablenModuseinstellen,umdenZugriffüberBenutzernamenundKennwortzuaktivieren.

Tabelle28.OptionenfürBenutzermiteingeschränkterBerechtigungimsicherenModus

EinstellungBeschreibung

Createanewpassport(NeuenBerechtigungsnachweis erstellen)

EditPassports(Berechtigungsnachweisebearbeiten)

DeletePassport(Berechtigungsnachweislöschen)

Power-onSecurity(Sicherheitsfunktionenbeim Einschalten)

Logonsettings(Anmeldeeinstellungen)

Protectedscreensaver(GeschützterBildschirmschoner)

Passporttype(T ypdesBerechtigungsnachweises)

BenutzermiteingeschränkterBerechtigunghabenkeinen Zugriff.

BenutzermiteingeschränkterBerechtigungkönnennur ihreneigenenBerechtigungsnachweisbearbeiten.

BenutzermiteingeschränkterBerechtigungkönnennur ihreneigenenBerechtigungsnachweislöschen.

BenutzermiteingeschränkterBerechtigunghabenkeinen Zugriff.

BenutzermiteingeschränkterBerechtigungkönnendie Anmeldeeinstellungennichtändern.

BenutzermiteingeschränkterBerechtigunghabenZugriff.

BenutzermiteingeschränkterBerechtigunghabenkeinen Zugriff.

54ClientSecuritySolution8.21Implementierungshandbuch

Tabelle28.OptionenfürBenutzermiteingeschränkterBerechtigungimsicherenModus(Forts.)

EinstellungBeschreibung

Securitymode(Sicherheitsmodus)

ProServers(ProServer)

BenutzermiteingeschränkterBerechtigungkönnendie Sicherheitsmodinichtändern.

BenutzermiteingeschränkterBerechtigunghabenZugriff.

-NurinVerbindungmitServernrelevant.

KomfortablerModus-Administrator

BeieinerWindows-AnmeldungkönnensichAdministratorenentwedermitdemAdministratornamenund demzugehörigenKennwortodermitdemFingerabdruckanmelden.

Tabelle29.OptionenfürAdministratorenimkomfortablenModus

EinstellungenBeschreibung

Createanewpassport(NeuenBerechtigungsnachweis erstellen)

EditPassports(Berechtigungsnachweisebearbeiten)

DeletePassport(Berechtigungsnachweislöschen)

Power-onSecurity(Sicherheitsfunktionenbeim Einschalten)

Logonsettings(Anmeldeeinstellungen)

Protectedscreensaver(GeschützterBildschirmschoner)

Passporttype(T ypdesBerechtigungsnachweises)

Securitymode(Sicherheitsmodus)

ProServers(ProServer)

Administratorenkönnennurihreneigenen Berechtigungsnachweiserstellen.

Administratorenkönnennurihreneigenen Berechtigungsnachweisbearbeiten.

Administratorenkönnennurihreneigenen Berechtigungsnachweislöschen.

AdministratorenkönnenanallenAnmeldeeinstellungen Änderungenvornehmen.

AdministratorenhabenZugriff.

AdministratorenhabenZugriff.-NurinVerbindungmit Servernrelevant.

AdministratorenkönnenzwischendemsicherenModus unddemkomfortablenModusumschalten.

AdministratorenhabenZugriff.-NurinVerbindungmit Servernrelevant.

KomfortablerModus-BenutzermiteingeschränkterBerechtigung

BeieinerWindows-AnmeldungkönnenBenutzermiteingeschränkterBerechtigungsichentwedermitdem BenutzernamenunddemzugehörigenKennwortodermitdemFingerabdruckanmelden.

Tabelle30.OptionenfürBenutzermiteingeschränkterBerechtigungimkomfortablenModus

EinstellungenBeschreibung

Createanewpassport(NeuenBerechtigungsnachweis erstellen)

EditPassports(Berechtigungsnachweisebearbeiten)

DeletePassport(Berechtigungsnachweislöschen)

BenutzermiteingeschränkterBerechtigungkönnennur ihreeigenesKennworterstellen.

BenutzermiteingeschränkterBerechtigungkönnennur ihreneigenenBerechtigungsnachweisbearbeiten.

BenutzermiteingeschränkterBerechtigungkönnennur ihreneigenenBerechtigungsnachweislöschen.

Kapitel4.MitThinkVantageFingerprintSoftwarearbeiten55

Tabelle30.OptionenfürBenutzermiteingeschränkterBerechtigungimkomfortablenModus(Forts.)

EinstellungenBeschreibung

Power-onSecurity(Sicherheitsfunktionenbeim Einschalten)

Logonsettings(Anmeldeeinstellungen)

Protectedscreensaver(GeschützterBildschirmschoner)

Passporttype(T ypdesBerechtigungsnachweises)

Securitymode(Sicherheitsmodus)

ProServers(ProServer)

BenutzermiteingeschränkterBerechtigungkönnennur ihreeigenenFingerabdrückelöschen.

BenutzermiteingeschränkterBerechtigungkönnendie Anmeldeeinstellungennichtändern.

BenutzermiteingeschränkterBerechtigunghabenZugriff.

BenutzermiteingeschränkterBerechtigunghabenkeinen Zugriff.-NurinVerbindungmitServernrelevant.

BenutzermiteingeschränkterBerechtigungkönnendie Sicherheitsmodinichtändern.

BenutzermiteingeschränkterBerechtigunghabenZugriff.

-NurinVerbindungmitServernrelevant.

KongurierbareEinstellungen

EinigeOptionenderFingerprintSoftwarekönnenüberEinstellungeninderRegistrierungsdatenbank konguriertwerden.

•Preboot/power-onsoftwareinterface:DerMechanismuszumAktivierenderUnterstützungfürdie

FingerprintSoftwarevordemStartenoderbeimEinschaltenundzumSpeichernderFingerabdrücke aufdemBegleitchipwirdinderRegelnichtinderFingerprintSoftwareangezeigt,esseidenn, aufdemSystemisteinBIOS-odereinFestplattenkennwortfestgelegt.UmdiesesVerhaltenzu überschreibenundzuerzwingen,dassdieseOptionenauchohnedasVorhandenseineinesBIOS-oder Festplattenkennwortsangezeigtwerden,fügenSieeinenderfolgendenEinträge,jenachdem,welcherfür IhrenComputermaschinentypzutrifft,zurRegistrierungsdatenbankhinzu:

[HKEY_LOCAL_MACHINE\SOFTWARE\ProtectorSuiteQL\1.0]

EG_DWORD"BiosF eatures"=2

oder

[HKEY_LOCAL_MACHINE\SOFTWARE\ProtectorSuiteQL\1.0]

REG_DWORD"BiosF eatures"=4

DieseEinstellungistnützlich,wennSafeGuardEasyaufeinemSystemohneBIOS-Kennwörterinstalliert istundwennzumEntschlüsselndesFestplattenlaufwerksdieAuthentizierungüberFingerabdruck verwendetwird.

•Signaltöne:DieFingerprintSoftwarekannsokonguriertwerden,dasseinineiner.wav-Dateienthaltener

SignaltonunterbestimmtenUmständenwährendderAuthentizierungüberFingerabdruckabgespielt wird.DieRegistrierungseinstellungenfürdiesesSignaltönelautenwiefolgt:

[HKEY_LOCAL_MACHINE\SOFTWARE\ProtectorSuiteQL\1.0\settings]

‘Success ’ REG_SZ“sndSuccess”=[pathtosoundle] Theledesignatedwillplaywheneverasuccessfulswipeisregistered.

Failure’ REG_SZ“sndFailure”=[pathtosoundle] Theledesignatedwillplaywheneveranunsuccessfulswipeisattempted.

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\ngerprint

Scan’

56ClientSecuritySolution8.21Implementierungshandbuch

REG_SZ“sndScan”=[pathtosoundle] Theledesignatedwillplaywheneverthengerprintverication

dialogisdisplayedf orClientSecuritySolution-relatedoperations.

Ifthevalueisnotpresentorisemptythennosoundisplayed.

Quality’ REG_SZ“sndQuality”=[pathtosoundle] Theledesignatedwillplaywheneveranunreadableswipehasoccurred. Ifthevalueisnotpresentorisemptythennosoundisplayed.

•KennwortprüfungbeiSystementsperrung:StandardmäßigüberprüftdieFingerprintSoftwarebei

einerSystementsperrungdasgespeicherteKennwort.FürdieÜberprüfungistderDomänencontroller zuständig.EskannzuVerzögerungenkommen.Umdieszuvermeiden,inaktivierenSiediedie KennwortprüfungbeiderSystementsperrung,indemSiedieRegistrierungsdatenbankwiefolgtbearbeiten:

[HKEY_LOCAL_MACHINE\SOFTWARE\ProtectorSuiteQL\1.0\settings] REG_DWORD"DoNotTestUnlock"=1

DieFingerprintSoftwareüberprüftweiterhinbeiderSystemanmeldungdasKennwort.

Anmerkung:WennfürdenobigenRegistrierungsschlüssel1festgelegtist,wird,wennder DomänenadministratordasKennwortdasBenutzersändert,wenndasSystemdesBenutzersgesperrt ist,dasalteKennwortvonderFingerprintSoftwaregespeichert,bisderBenutzersichabmeldetund wiederanmeldet.

FingerprintSoftwareundNovellNetwareClient

UmKoniktezuvermeiden,müssendieBenutzernamenunddieKennwörterfürdieFingerprintSoftware undfürdenNovellNetwareClientübereinstimmen.WennaufIhremComputerdieFingerprintSoftware installiertistundSieanschließenddenNovellNetwareClientinstallieren,werdenmöglicherweiseeinige EinträgeinderRegistrierungsdatenbanküberschrieben.WennSieProblemebeiderAnmeldungbeider FingerprintSoftwarefeststellen,rufenSiedasFenstermitdenEinstellungenfürdieAnmeldungauf,und aktivierenSiedenLogonProtectorwieder.

WennaufIhremComputerderNovellNetwareClientinstalliertist,SiesichabervorderInstallationder FingerprintSoftwarenichtbeimClientangemeldethaben,wirddasFensterfürdieNovell-Anmeldung angezeigt.GebenSiedieangefordertenInformationenein.

Anmerkung:DieInformationenindiesemAbschnittgeltennurfürdieThinkVantageFingerprintSoftware.

GehenSiewiefolgtvor,umdieEinstellungenfürdenLogonProtectorzuändern:

•StartenSiedasControlCenter(Steuerzentrale).

•KlickenSieaufSettings(Einstellungen).

•KlickenSieaufLogonsettings(Anmeldeeinstellungen).

•AktivierenoderinaktivierenSiedenLogonProtector.WennSiedieAnmeldungüberFingerabdruck

verwendenmöchten,wählenSiedasKontrollkästchen„ReplaceWindowslogonwithngerprint-protected logon“(Windows-AnmeldungdurchAnmeldungmitFingerabdruckschutzersetzen)aus.

Anmerkung:BeimAktivierenundInaktivierendesLogonProtectoristeinNeustarterforderlich.

•AktivierenoderinaktivierenSiedieschnelleBenutzerumschaltung,wenndiesvomSystemunterstützt

wird.

•(OptionaleFunktion)AktivierenoderinaktivierenSiedieautomatischeAnmeldungfürBenutzer,dieüber

dieBootsicherheitsfunktionenbeimEinschaltenauthentiziertsind.

•LegenSiedieNovell-Anmeldeeinstellungenfest.DiefolgendenEinstellungenstehenbeiderAnmeldung

aneinemNovell-NetzwerkzurVerfügung:

Kapitel4.MitThinkVantageFingerprintSoftwarearbeiten57

–Activated

(Aktiviert)DieFingerprintSoftwarestelltautomatischbekannteBerechtigungsnachweisebereit.Schlägt dieNovell-Anmeldungfehl,wirddasFensterfürdieNovellClient-AnmeldungmitderAufforderung,die richtigenDateneinzugeben,angezeigt.

–Askduringlogon

(WährendAnmeldungabfragen)DieFingerprintSoftwarezeigtdasFensterfürdieNovell Client-AnmeldungmitderAufforderung,dieAnmeldedateneinzugeben,an.

–Deaktiviert

DieFingerprintSoftwareversuchtkeineNovell-Anmeldung.

Authentizierung

GehenSiewiefolgtvor,umNovellandieFingerprintSoftwarezuübergeben:

1.InstallierenSiedieFingerprintSoftware.

2.InstallierenSiedenNovellNetwareClient.

3.KlickenSiebeientsprechenderAufforderungaufYes,umsichanzumelden.

4.FührenSieeinenWarmstartdurch.

5.KlickenSiebeientsprechenderAufforderungauf„Y es“,umsichbeiderFingerprintSoftware anzumelden.

6.StartenSiedenNovellNetwareClient.

7.AuthentizierenSiesichbeimServer.

8.MeldenSiesichbeiWindowsan.

9.FührenSieeinenWarmstartdurch.

Anmerkung:IhreAuthentizierungs-IDundIhrWindows-Kennwortmüssenübereinstimmen.

DienstefürThinkVantageFingerprintSoftware

DerDienst„upeksvr.exe“wirdnachderInstallationderThinkVantageFingerprintSoftwarezumSystem hinzugefügt.ErwirdbeimStartgestartetundwirddieganzeZeit,währendderBenutzersichanmeldet, ausgeführt.DerDienst„upeksvr.exe“istdasKernelementderThinkVantageFingerprintSoftware.Er führtalleOperationenanderEinheitundandenBenutzerdatenaus.Erzeigtzudemdiegrasche BenutzerschnittstellefürdiebiometrischeÜberprüfunganundbietetsicherenZugriffaufdieBenutzerdaten.

58ClientSecuritySolution8.21Implementierungshandbuch

Kapitel5.MitLenovoFingerprintSoftwarearbeiten

DieFingerprintConsolemussvomInstallationsordnerderLenovoFingerprintSoftwareausausgeführt werden.DiegrundlegendeSyntaxlautetFPRCONSOLE[USER|SETTINGS].DabeigibtderBefehlUSER oderSETTINGSan,welcheOperationsgruppeverwendetwird.DervollständigeBefehllautet„fprconsole useraddT estUser“.WennderBefehlnichtbekanntistodernichtalleParameterangegebensind,wirddie KurzbefehllistezusammenmitdenParameternangezeigt.

Managementkonsolentool

InformationenzumManagementkonsolentoolderLenovoFingerprintSoftwarendenSieimAbschnitt „Managementkonsolentool“aufSeite51.

DienstefürdieLenovoFingerprintSoftware

Anmerkung:FürdieLenovoFingerprintSoftwaremussderTerminaldienstaufdemSystemvorhandensein.

WennSiedenTerminaldienstinaktivieren,kanneszuunerwartetenErgebnisseninderLenovoFingerprint Softwarekommen.

DiefolgendenDienstewerdennachdemInstallierenderLenovoFingerprintSoftwarezumSystem hinzugefügt:

•A TService.exe(standardmäßigaktiviert) SiemüssendenDienst„ATService.exe“aktivieren,umdasFingerabdrucksystemzuverwenden.Dieser DienstverwaltetAnforderungenvonAnwendungen,diedenSensorfürFingerabdrückeverwenden.

•ADMonitor.exe(standardmäßiginaktiviert) SiemüssendenDienst„ADMonitor.exe“aktivieren,umdieVerwaltungvonActiveDirectoryzu unterstützen.DieserDienstüberwachtdieRegistrierungsdatenbankaufÄnderungen,dievonActive Directoryweitergegebenwerden,undspiegeltdieÄnderungenlokalwider.

ActiveDirectory-UnterstützungfürLenovoFingerprintSoftware

InderfolgendenT abellewerdendieRichtlinieneinstellungenfürdieLenovoFingerprintSoftwareangezeigt.

Tabelle31.Richtlinieneinstellungen

EinstellungBeschreibung

Enable/disablengerprintlogonGibtan,dassanstelledesWindows-Kennwortsdas

LesegerätfürFingerabdrückefürdieAnmeldungam Computerverwendetwird.WennSiedieseEinstellung aktivieren,gibteszweiweitereOptionen,dieSieaktivieren oderdeaktivierenkönnen:

•DisableCTRL+ALT+DELdialogforlogoninterface WennSiedieseOptionauswählen,wirddieNachricht, diedenBenutzerzumDrückenderTastenkombination Strg+Alt+Entfauffordert,inaktiviert.(Nurunter WindowsXPverfügbar.)

•Requirenon-administratorusertologonwithngerprint authentication WennSiedieseOptionauswählen,könnensich

Tabelle31.Richtlinieneinstellungen(Forts.)

EinstellungBeschreibung

BenutzerohneAdministratorberechtigungnurüberdas LesegerätfürFingerabdrückeanmelden.

Allowusertoretrievepasswordthroughngerprint authentication

Alwaysshowpower-onsecurityoptions

Usengerprintauthenticationinsteadofpower-onand HDpasswords

Setnumberoffailedattempsbeforelockout

SetinactivetimeoutLegtdiezulässigeDauerderSysteminaktivität(in

Allowuserstoenrollngerprints

Allowuserstodeletengerprints

Allowuserstoimport/exportngerprintsWennSiedieseEinstellungaktivieren,könnenBenutzer

Show/HideelementsinsettingtabofngerprintsoftwareWennSiedieseEinstellungaktivieren,können

WennSiedieseEinstellungaktivieren,könnenBenutzer dasWindows-KennwortfürihrKontonachder AuthentizierungüberFingerabdruckinderLenovo FingerprintSoftwareanzeigen.

WennSiedieseEinstellungaktivieren,könnenBenutzer dieVerwendungdesLesegerätsfürFingerabdrücke anstelledesStart-unddesFestplattenkennworts beimEinschaltendesComputersauswählen.Im RegistrierungsfensterderLenovoFingerprintSoftware kanndieAuthentizierungüberFingerabdruckzum StartenfürjedenregistriertenFingerabdruckaktiviertoder inaktiviertwerden.

WennSiedieseEinstellungaktivieren,wirddie AuthentizierungüberFingerabdruckanstelledesStartunddesFestplattenkennwortsverwendet.

LegtdiezulässigeAnzahlfehlgeschlagener Anmeldeversuche,bevorderBesuchergesperrtwird, sowiedieDauer(inSekunden)derSperrungfest.

Sekunden)fest,bevorderBenutzerabgemeldetwird.

WennSiedieseEinstellungaktivieren,könnenBenutzer ohneAdministratorberechtigungFingerabdrückemitder LenovoFingerprintSoftwareregistrieren.

WennSiedieseEinstellungaktivieren,könnenBenutzer ohneAdministratorberechtigungzuvorregistrierte FingerabdrückemitderLenovoFingerprintSoftware löschen.

ohneAdministratorberechtigungzuvorregistrierte FingerabdrückemitderLenovoFingerprintSoftware importierenundexportieren.

IT-AdministratorenElementeaufderRegisterkarte „Settings“(Einstellungen)dergraschen Benutzerschnittstellesteuern.

60ClientSecuritySolution8.21Implementierungshandbuch

Kapitel6.BewährteVerfahren

DiesesKapitelenthältSzenarios,diebewährteVerfahrenfürClientSecuritySolutionundFingerprintSoftware darstellen.DasvorliegendeBeispielszenariobeginntmitderKongurationdesFestplattenlaufwerks, erläutertverschiedeneAktualisierungenundbeschreibtdengesamtenLebenszykluseinerImplementierung. DieInstallationwirdsowohlaufLenovoComputernalsauchaufComputernandererHerstellerbeschrieben.

ImplementierungsbeispielefürdieInstallationvonClientSecurity Solution

DerfolgendeAbschnittenthältBeispielezumInstallierenvonClientSecuritySolutionaufDesktop-und Notebook-Computern.

Szenario1

HierbeihandeltessichumeinBeispielfüreineInstallationaufeinemDesktop-ComputerunterVerwendung derfolgendenhypothetischenKundenanforderungen:

•Verwaltung

–VerwendenSiedenlokalenAdministratoraccountfürdieVerwaltungdesComputers.

•ClientSecuritySolution

–InstallierenSiedenEmulationsmodus,undführenSieihnaus.

–NichtalleLenovoSystemeweiseneinTPM(TrustedPlatformModule),alsoeinenSicherheitschip,

auf.

–AktivierenSiedenClientSecurity-Verschlüsselungstext.

–SchützenSieClientSecuritySolution-AnwendungendurcheinenVerschlüsselungstext.

–AktivierenSiedieClientSecurity-Windows-Anmeldung.

–MeldenSiesichbeiWindowsmitdemClientSecurity-Verschlüsselungstextan.

–AktivierenSiedieWiederherstellungsfunktionfürdenVerschlüsselungstextvonBenutzern.

–ErmöglichenSieBenutzerndieWiederherstellungihresVerschlüsselungstextesdurchdrei

benutzerdenierteFragenundAntworten.

–VerschlüsselnSiedasClientSecuritySolution-XML-ScriptmitdemKennwort„XMLscriptPW“.

–SchützenSiedieClientSecuritySolution-KongurationsdateimiteinemKennwort

–FingerprintSoftwareistmöglicherweiseinstalliert.

AufderErstellungsmaschine:

1.MeldenSiesichunterWindowsbeimlokalenAdministratorkontoan.

2.InstallierenSiedasProgramm„ClientSecuritySolution“mitdenfolgendenOptionen:

ClientSecuritySolution:tvtcss82_xxxx.exe/s/v"/qn“EMULATIONMODE=1”

(wobeiXXXXfürdieBuild-IDsteht)

“NOCSSWIZARD=1””

3.MeldenSiesichnachdemWarmstartbeimdemlokalenWindows-Administratorkontoanundbereiten SiedasXML-ScriptfürdieImplementierungvor.FührenSieüberdieBefehlszeiledenfolgenden Befehlaus:

“C:\ProgramFiles\Lenovo\ClientSecuritySolution\css_wizarde.exe” /name:C:\ThinkCentre

WählenSieimAssistentendiefolgendenOptionenaus:

•KlickenSieaufSichereAnmeldemethode➙Weiter.

•GebenSiedasWindows-KennwortfürdasAdministratorkontoein,undklickenSieaufNext(Weiter).

(z.B.WPW4Admin).

•GebenSiedenClientSecurity-Verschlüsselungstext(z.B.CSPP4Admin)fürdenAdministratoraccount

ein,aktivierenSiedasFeldUsetheClientSecuritypassphrasetoprotectaccesstotheRescue andRecoveryworkspace(ClientSecurity-VerschlüsselungstextzumSchützendesZugriffsaufden ArbeitsbereichvonRescueandRecoveryverwenden)ausundklickenSieaufNext(Weiter).

•WählenSiedreiFragenundAntwortenfürdasAdministratorkontoaus,undklickenSieaufNext

(Weiter). a.WiehießtIhrerstesHaustier?

(z.B.Hasso)

b.WelchesistIhrLieblingslm?

(z.B.VomWindeverweht)

c.WelcheistIhreLieblingsmannschaft?

(z.B.CarolinaHurricanes.)

•ÜberprüfenSiedieZusammenfassung,undwählenSieApply(Übernehmen)aus,umdieXML-Datei unterC:\ThinkCentre.xmlzuspeichern.KlickenSieanschließendaufApply(Übernehmen).

•KlickenSieaufFinish(Fertigstellen),umdenAssistentenzuschließen.

4.ÖffnenSiediefolgendeDateiineinemTexteditor(XML-ScripteditorenoderMicrosoftWord2003 verfügenüberintegrierteXML-Formatierungsfunktionen),undändernSiediefolgendenEinstellungen:

•EntfernenSiealleVerweiseaufdieEinstellungfürdieDomäne.DadurchwirddasScriptangewiesen,

denNamenderlokalenMaschineaufdeneinzelnenSystemenzuverwenden.SpeichernSiedieDatei.

5.VerschlüsselnSiedasXML-ScriptmitHilfedesToolsunterC:\Programme\Lenovo\ClientSecurity Solution\xml_crypt_tool.exemiteinemKennwort.VerwendenSiediefolgendeSyntax,umdieDatei übereineEingabeaufforderungauszuführen:

a.xml_crypt_tool.exeC:\ThinkCentre.xml/encryptXMLScriptPW. b.DieDateiheißtjetzt„C:\ThinkCentre.xml.enc“undwirddurchdasKennwort=XMLScriptPW

geschützt.

DieDatei„C:\ThinkCentre.xml.enc“kannnunzuderImplementierungsmaschinehinzugefügtwerden.

AufderImplementierungsmaschine:

1.MeldenSiesichbeimlokalenAdministratorkontounterWindowsan.

2.InstallierenSiedieProgramme„RescueandRecovery“und„ClientSecuritySolution“mitdenfolgenden Optionen:

setup_tvtrnr40_xxxxcc.exe/s/v"/qn“EMULATIONMODE=1”

(DabeistehtxxxxfürdieBuild-IDundccfürdenLandescode.)

“NOCSSWIZARD=1””

Anmerkungen:

a.StellenSiesicher,dassdie.tvt-Dateien,wiez.B.„Z652ZIXxxxxyy00.tvt“fürWindowsXPund

„Z633ZISxxxxyy00.tvt“fürWindowsVista(wobeixxxxfürdieBuild-IDundyyfürdieLandes-IDsteht) sichimselbenVerzeichniswiedieausführbareDateibendet;andernfallsschlägtdieInstallationfehl.

b.WennSieeineadministrativeInstallationdurchführen,ndenSieweitereInformationenimAbschnitt

„Szenario1“aufSeite61.

3.MeldenSiesichnachdemWarmstartbeimlokalenWindows-Administratorkontoan.

4.FügenSiediezuvorvorbereiteteDatei„ThinkCentre.xml.enc“demStammverzeichnisC:\hinzu.

62ClientSecuritySolution8.21Implementierungshandbuch

5.BereitenSiedenBefehl„RunOnceEx“mitdenfolgendenParameternvor.

•FügenSieeinenneuenSchlüsselmitdemNamen0001zuRunonceExhinzu.Essollteimfolgenden Verzeichnisgespeichertwerden:

HKEY_LOCAL_MACHINE\Sof tware\Microsof t\Windows\CurrentVersion\RunOnceEx\0001

•FügenSiezudiesemSchlüsseleinenZeichenfolgewertmitdemNamenCSSEnrollundmitfolgendem Werthinzu:

"C:\ProgramFiles\Lenovo\ClientSecuritySolution\vmserver.exe" C:\ThinkCenter .xml.encXMLscriptPW

6.FührenSie%rr%C:\Programme\Lenovo\RescueandRecovery\rrcmd.exe"sysprepbackuplocation=L name=”SysprepBackupaus.NachdemdasSystementsprechendvorbereitetwurde,wirddiefolgende

odereineähnlicheAusgabeangezeigt:

***************************************************** **Readytotakesysprepbackup.** **** **PLEASERUNSYSPREPNOWANDSHUTDOWN.** **** **Nexttimethemachineboots,itwillboot** **tothePredesktopAreaandtakeabackup.** *****************************************************

7.FührenSiedieSysprep-Implementierungaus.

8.FührenSieeinenSystemabschlussdurch,undstartenSiedasSystemerneut.DerSicherungsprozessin WindowsPEwirdgestartet.

Anmerkung:EswirdeineNachrichtangezeigt,diebesagt,dassdieWiederherstellungdurchgeführt wird,dassjedochgleichzeitigeineSicherungstattndet.SchaltenSiedasSystemaus,nachdemdie Sicherungausgeführtwurde,undführenSiekeinenNeustartaus.

DieSysprep-Basissicherungistnunabgeschlossen.

Szenario2

HierbeihandeltessichumeinBeispielfüreineInstallationaufeinemtragbarenComputer(Laptop)unter VerwendungderfolgendenhypothetischenKundenanforderungen:

•Verwaltung

–FührenSiedieInstallationaufSystemenaus,aufdenenältereVersionenvonClientSecuritySolution

installiertsind. –VerwendenSiedasAdministratorkontoderDomänefürdieVerwaltungdesComputers. –AlleComputerverfügenüberdasBIOS-AdministratorkennwortBIOSpw.

•ClientSecuritySolution

–VerwendenSiedasTPM(TrustedPlatformModule).

–AlleMaschinenverfügenüberdenSicherheitschip. –AktivierenSiedenPasswordManager. –DasWindows-KennwortdesBenutzersalsAuthentizierungbeiClientSecuritySolutionverwenden. –VerschlüsselnSiedasClientSecuritySolution-XML-ScriptmitdemKennwort„XMLscriptPW“.

–MitdiesemKennwortwirddieClientSecuritySolution-Kongurationsdateigeschützt.

•ThinkVantageFingerprintSoftware

–BIOS-undFestplattenkennwörtersollennichtverwendetwerden.

Kapitel6.BewährteVerfahren63

–MeldenSiesichüberdieFingerprintSoftwarean.

–NachdemsichderBenutzeranfangsüberdieSelbstregistrierungangemeldethat,wechselterspäter

indensicherenModusfürdieAnmeldung,fürdiebeiBenutzernohneAdministratorberechtigungein Fingerabdruckerforderlichist.AufdieseWeiseerfolgteine2-Wege-Authentizierung.

–IntegrierenSiedasFingerprintTutorial.

–DieEndbenutzerlernen,wiesieihrenFingerrichtigüberdasLesegerätfürFingerabdrückeziehen

müssen,underhalteneingraschunterstütztesFeedbackdarüber,wassiemöglicherweisefalsch gemachthaben.

AufderErstellungsmaschine:

1.StartenSiedenComputerausdemausgeschaltetenStatusheraus,unddrückenSiedieTasteF1,um

dasBIOSaufzurufen.NavigierenSiezumMenüfürSicherheit,undlöschenSiedenSicherheitschip. SpeichernSiedasBIOS,undverlassenSiedasBIOS.

2.MeldenSiesichbeimWindows-Domänenadministratorkontoan.

3.InstallierenSiedieThinkVantageFingerprintSoftware.FührenSiedazudieDatei„f001zpz2001us00.exe“ aus,umdieDatei„setup.exe“ausdemWebpaketzuextrahieren.HiermitwirddieDatei„setup.exe“ automatischamfolgendenSpeicherortextrahiert: C:\SWTOOLS\APPS\TFS5.8.2-Buildxxxx\Application\0409(wobeixxxxfürdieBuild-IDsteht).

4.InstallierenSiedasThinkVantageFingerprintTutorial(LernprogrammfürFingerabdrücke).FührenSie dazudieDatei„f001zpz7001us00.exe“aus,umdieDatei„tutess.exe“ausdemWebpaketzuextrahieren. DadurchwirdautomatischdieDatei„setup.exe“andiefolgendePositionextrahiert:

C:\SWTOOLS\APPS\tutorial\TFS5.8.2Buildxxxx\Tutorial\0409\tutess.exe

5.InstallierenSiedieThinkVantageFingerprintConsole.FührenSiedazudieDatei„f001zpz5001us00.exe“ aus,umdieDatei„fprconsole.exe“ausdemWebpaketzuextrahieren.DurchdasAusführenderDatei „f001zpz5001us00.exe“wirdautomatischdieDatei„setup.exe“andiefolgendePositionextrahiert:

C:\SWTOOLS\APPS\fpr_con\APPS\UPEK\FPRConsole\TFS5.8.2-Buildxxx\Fprconsole\fprconsole.exe

6.InstallierenSiedasProgramm„ClientSecuritySolution“mitdenfolgendenOptionen:

tvtcss82_xxxxcc.exe/s/v”/qnNOCSSWIZARD=1SUPERVISORPW= ”BIOSpw”"

7.MeldenSiesichnachdemWarmstartmitdemWindows-Domänenadministratorkontoanundbereiten SiedasXML-ScriptfürdieImplementierungvor.FührenSieüberdieBefehlszeiledenfolgenden Befehlaus:

“C:\ProgramFiles\Lenovo\ClientSecuritySolution\css_wizard.exe” /name:C:\ThinkPad

WählenSieimAssistentendiefolgendenOptionenaus,umeineÜbereinstimmungmitdem Beispielscriptzuerzielen:

•KlickenSieaufSecurelogonmethod(SichereAnmeldemethode)➙Next(Weiter).

•GebenSiefürdenDomänenadministratoraccountdasWindows-Kennwortein(z.B.WPW4Admin)und

klickenSieaufNext(Weiter).

•GebenSiedenClientSecurity-VerschlüsselungstextfürdasDomänenadministratorkontoein.

•AktivierenSiedasMarkierungsfeldIgnorePasswordRecoverySetting(Aktivierungder

Kennwortwiederherstellung),undklickenSieaufNext(Weiter).

•ÜberprüfenSiedieZusammenfassung,undklickenSieaufApply(Übernehmen),umdieXML-Datei

anderfolgendenPositionzuspeichern: C:\ThinkPad.xml.

•KlickenSieaufFinish(Fertigstellen),umdenAssistentenzuschließen.

8.VerschlüsselnSiedasXML-ScriptmitHilfedesToolsunterC:\Programme\Lenovo\ClientSecurity Solution\xml_crypt_tool.exemiteinemKennwort.FührenSiedieDateiübereineEingabeaufforderung aus.VerwendenSiedazudiefolgendeSyntax:

64ClientSecuritySolution8.21Implementierungshandbuch

a.xml_crypt_tool.exeC:\ThinkPad.xml/encryptXMLScriptPW. b.DieDateiheißtjetzt„C:\ThinkPad.xml.enc“undwirddurchdasKennwortXMLScriptPWgeschützt.

AufderImplementierungsmaschine:

1.ImplementierenSiemitHilfederSoftwareverteilungstoolsIhresUnternehmensdieausführbare Datei„setup.exe“fürdieThinkVantageFingerprintSoftware,dievomErstellungscomputeraufalle Implementierungscomputerextrahiertwurde.WenndieDatei„setup.exe“aufdieMaschineübertragen wurde,installierenSiesieunterVerwendungdesfolgendenBefehls:

setup.exeCTLCNTR=0/q/i

2.ImplementierenSiemitHilfederSoftwareverteilungstoolsIhresUnternehmensdieausführbareDatei fürdasThinkVantageFingerprintTutorial(Datei„tutess.exe“),dievomErstellungscomputeraufalle Implementierungscomputerextrahiertwurde.WenndieDatei„tutess.exe“aufdieMaschineübertragen wurde,installierenSiesieunterVerwendungdesfolgendenBefehls:

tutess.exe/q/i

3.ImplementierenSiemitHilfederSoftwareverteilungstoolsIhresUnternehmensdieausführbareDatei fürdieThinkVantageFingerprintConsole(Datei„fprconsole.exe“),dievomErstellungscomputerauf alleImplementierungscomputerextrahiertwurde.

•SpeichernSiedieDatei„fprconsole.exe“imVerzeichnisC:\Programme\ThinkVantageFingerprint

Software.

•SchaltenSiedieUnterstützungfürdieBIOS-SicherheitsfunktionenbeimEinschaltendurchAusführen

desfolgendenBefehlsaus:

fprconsole.exesettingsTBX0

4.ImplementierenSiemitHilfederSoftwareverteilungstoolsIhresUnternehmensdieausführbareDateifür ThinkVantageClientSolution„tvtvcss82_xxxx.exe“(wobeixxxxfürdieBuild-IDsteht).

•WenndieDatei„tvtvcss82_xxxx.exe“aufdenComputerübertragenwurde,installierenSiesiemit

demfolgendenBefehl:

tvtvcss83_xxxx.exe/s/v"/qn"NOCSSWIZARD=1""SUPERVISORPW="BIOSpw""

•DurchdieInstallationderSoftwarewirdautomatischdieHardwarefürdasTPM(TrustedPlatform

Module)aktiviert.

5.FührenSieeinenNeustartdesSystemsaus,undkongurierenSieanschließenddasSystemmitder XML-Scriptdatei.GehenSiedabeiwiefolgtvor:

•KopierenSiediezuvorvorbereiteteDatei„ThinkPad.xml.enc“indasVerzeichnisC:\.

•ÖffnenSieeineweitereEingabeaufforderungundführenSiefolgendeDateiaus:

"C:\ProgramFiles\Lenovo\ClientSecuritySolution\vmserver.exe"C:\ThinkPad.xml.encXMLScriptPW

6.NacheinemNeustartistdasSystemnunbereitfürdieClientSecuritySolution-Benutzerregistrierung. JederBenutzerkannsichmitseinerBenutzer-IDunddemWindows-KennwortamSystemanmelden. JederBenutzer,dersichamSystemanmeldet,wirdautomatischaufgefordert,sichbeiClientSecurity Solutionzuregistrieren,undkannsichdannbeimLesegerätfürFingerabdrückeregistrieren.

7.NachdemalleBenutzerfürdasSysteminderThinkVantageFingerprintSoftwareregistriertwurden, kanndieEinstellungfürdensicherenModusaktiviertwerden,indemsichalleWindows-Benutzerohne AdministratorberechtigungmitihremFingerabdruckanmeldenmüssen.

•FührenSiedenfolgendenBefehlaus:

"C:\ProgramFiles\ThinkVantageFingerprintSoftware\fprconsole.exe"settingssecuremode1

•FührenSiedenfolgendenBefehlaus,umdieNachrichtzumDrückenderTastenkombination

Strg+Alt+Entf„“,umsichanzumelden,vonderAnmeldeanzeigezuentfernen:

"C:\ProgramFiles\ThinkVantageFingerprintSoftware\fprconsole.exesettings" CAD0

DieImplementierungvonClientSecuritySolution8.21undThinkVantageFingerprintSoftwareistnun abgeschlossen.

Kapitel6.BewährteVerfahren65

ZwischenModivonClientSecuritySolutionwechseln

WennSiebeiClientSecuritySolutionvomkomfortablenModuszumsicherenModusodervomsicheren zumkomfortablenModuswechselnundwennSieSicherungenIhresSystemsmitHilfevonRescueand Recoveryerstellen,solltenSienacheinemModuswechseleineBasissicherungdurchführen.

ActiveDirectory-ImplementierungfürUnternehmen

GehenSiewiefolgtvor,umeineActiveDirectory-ImplementierungfürUnternehmendurchzuführen:

1.FührenSiedieInstallationüberActiveDirectoryoderüberLANDeskaus: a.ErstellenSieSicherungen,undrufenSieüberActiveDirectoryundüberLANDeskBerichtedazu

ab,vonwemundwanndieSicherungenvorgenommenwurden.

b.ErmöglichenSieesbestimmtenGruppen,SicherungenvorzunehmensowieSicherungen,

PlanoptionenundKennworteinschränkungenzulöschen,undändernSiedanndieGruppen,umzu prüfen,obdieEinstellungenbestehenbleiben.

c.AktivierenSieAntidoteDeliveryManagerüberActiveDirectory.SpeichernSiediePakete,die

ausgeführtwerdensollen,undstellenSiesicher,dassdieBerichterstellungerfasstwird.

Standalone-InstallationfürCDoderScriptdateien

GehenSiewiefolgtvor,umeineStandalone-InstallationfüreineCDodereineScriptdateidurchzuführen:

1.VerwendenSieeineBatchdatei,umClientSecuritySolution-undFingerprint-TechnologieimHintergrund zuinstallieren.

2.FührenSieeineunbeaufsichtigteKongurationderBIOS-Kennwortwiederherstellungdurch.

SystemUpdate

GehenSiewiefolgtvor,umdasSystemzuaktualisieren:

1.InstallierenSieClientSecuritySolutionundFingerprintSoftwareübereinenangepasstenSystem Update-Server,undsimulierenSiedieSituation,dasseingroßesUnternehmeneinenServerkonguriert, anstattdieInstallationüberdenLenovoServervorzunehmen,umeineInhaltskontrollezuermöglichen.

2.InstallierenSiedieneuenVersionenüberdiedreiälterenSoftwareversionen(RescueandRecovery

1.0/2.0/3.0,Fingerprint,ClientSecuritySolution5.4–6,FFE).DieEinstellungensolltenbeibehalten werden,wenndieneueVersionüberdiealteVersioninstalliertwird.

SystemMigrationAssistant

MigrierenSievonT40mitClientSecuritySolution7.0zuT60mitClientSecuritySolution8.21.

ZertikatunterVerwendungdurchSchlüsselerstellunginTPMgenerieren

ZertikatekönnendirektmitdemClientSecurity-CSPgeneriertwerdenunddieprivatenSchlüsselinden ZertikatenwerdenvomTPMgeneriertundgeschützt.GehenSiewiefolgtvor,ummitdemCSS-CSPein Zertikatanzufordern:

Voraussetzungen:

•AufderServermaschinesollteFolgendesinstalliertsein:

–MindestensWindows2003Enterprise –ActiveDirectory

66ClientSecuritySolution8.21Implementierungshandbuch

–EinZertizierungsstellendienst

•DasClientsystemsolltefolgendeAnforderungenerfüllen:

–TPMaktiviert –ClientSecuritySolutioninstalliert

ZertikatbeimServeranfordern

SchablonefürTPM-Benutzererstellen

GehenSiezumErstelleneinerSchablonefüreinenTPM-Benutzerwiefolgtvor:

1.KlickenSieaufStart➙Ausführen.

2.GebenSiemmceinundklickenSieaufOK.DasKonsolenfensterwirdangezeigt.

3.KlickenSieimMenüDateiaufSnap-Inhinzufügen/entfernenundklickenSiedannaufHinzufügen.

DasFenster„EigenständigesSnap-Inhinzufügen“wirdangezeigt

4.DoppelklickenSieinderSnap-in-ListedoppeltaufZertizierungsstelleundklickenSiedannauf Schließen.

5.KlickenSieimFenster„Snap-inhinzufügen/entfernen“aufOK.

6.KlickenSieinderBaumstrukturderKonsoleaufCerticateTemplates(Zertikatsvorlagen).Alle ZertikatsvorlagenwerdenimlinkenT eilfensterangezeigt.

7.KlickenSieaufAction(Aktion)➙DuplicateT emplate(Vorlagekopieren).

8.GebenSieimFeldDisplayName(Anzeigename)denT extTPMUser(TPM-Benutzer)ein.

9.KlickenSieaufdieRegisterkarteRequestHandling(Verarbeitunganfordern)undklickenSiedort aufCSPs.StellenSiesicher,dassSiedieOptionRequestscanuseanyCSPavailableonthe subject'scomputers(AnforderungenkönnenjedenCSP ,deraufComputerndesBenutzersverfügbar ist,verwenden)auswählen.

10.KlickenSieaufdieRegisterkarteAllgemein.StellenSiesicher,dassdieOptionPublishCerticatein ActiveDirectory(ZertikatinActiveDirectoryveröffentlichen)ausgewähltist.

11.KlickenSieaufdieRegisterkarteSecurity(Sicherheit)undklickenSieinderListeGrouporusernames (Gruppen-oderBenutzernamen)aufdieOptionAuthenticatedUsers(AuthentizierteBenutzer)und stellenSiesicher,dassdieOptionEnroll(Registrieren)inPermissionsforAuthenticatedUsers (BerechtigungenfürauthentizierteBenutzer)ausgewähltist.

ZertizierungsstelleimUnternehmenkongurieren

FührenSiediefolgendenProzeduraus,umdasTPM-BenutzerzertikatdurchKongurationeiner ZertizierungsstelleimUnternehmenauszugeben:

1.ÖffnenSiedieZertizierungsstelle.

2.KlickenSieinderBaumstrukturderKonsoleaufCerticateTemplates(Zertikatsvorlagen).

3.KlickenSieimMenüAction(Aktion)aufNew(Neu)➙CerticatetoIssue(AuszugebendesZertikat).

4.KlickenSieaufTPMundklickenSieaufOK.

ZertikatvomClientanwenden

GehenSiewiefolgtvor,umdasZertikatvomClientanzuwenden:

1.StellenSieeineVerbindungzumIntranether,startenSiedenInternetExplorerundgebenSiedie IP-AdressedesServersan,aufdemderZertizierungsstellendienstinstalliertist.

2.GebenSiedenDomänenbenutzernamenunddaszugehörigeKennwortimFenstermitder Eingabeaufforderungein.

Kapitel6.BewährteVerfahren67

3.KlickenSieaufdieOptionRequestacerticate(Zertikatanfordern)unterSelectatask(Task

auswählen).

4.KlickenSieuntenaufderWebsiteaufadvancedcerticaterequest(erweiterteZertikatsanforderung).

5.ÄndernSieaufderSeite„AdvancedCerticateRequest“diefolgendenEinstellungen:

•WählenSieTPMUser(TPM-Benutzer)ausderDropdown-ListeCerticateT emplate

(Zertikatsvorlage)aus.

•WählenSiedenEintragThinkVantageClientSecuritySolutionCSPausderDropdown-Liste CSPaus.

•StellenSiesicher,dassdieOptionMarkkeysasexportable(Schlüsselalsexportierbar kennzeichnen)nichtausgewähltist.

•KlickenSieaufSubmit(Senden)undfolgenSiedemProzess.

•KlickenSieaufderSeite„CerticateIssued“(Zertikatausgegeben)aufInstallthiscerticate (DiesesZertikatinstallieren).DieSeite„CerticateInstalled“(Zertikatinstalliert)wirdangezeigt.

USB-T astaturmitLesegerätfürFingerabdrücke zusammenmitThinkPad-Notebook-Computernvon2008 (R400/R500/T400/T500/W500/X200/X301)verwenden

LenovohatmitzweiHerstellernVerträgeabgeschlossen,umdieAuthentizierungüberFingerabdruckin ThinkPad vor2008(z.B.T61)verwendenThinkVantage-SensorenfürFingerabdrücke.ThinkPad-Notebook-Computer ab2008(abT400)verwendenLenovoSensorenfürFingerabdrücke.AlleLenovoUSB-Tastaturenmit LesegerätfürFingerabdrückeverwendenThinkVantage-SensorenfürFingerabdrücke.BesondereHinweise sindfürdieVerwendungeinerT astaturmitLesegerätfürFingerabdrückezusammenmitbestimmten ThinkPad-Notebookmodellenerforderlich(z.B.ThinkPadT400zusammenmiteinerexternenUSB-Tastatur).

IndiesemAbschnittwerdenallgemeineVerwendungsszenariosundImplementierungsstrategienfür dieFingerprintSoftware,dieaufdenaktuellenThinkPad-Notebook-Computermodelleninstalliertist, beschrieben.

Anmerkung:

•LenovoFingerprintSoftware

•ThinkVantageFingerprintSoftware

-Notebook-ComputernundüberUSB- Tastaturenbereitzustellen.ThinkPad-Notebook-Computer

DieLenovoFingerprintSoftwareistdieSoftwarefürdenAuthenT ec-SensorfürFingerabdrücke(z.B.den internenSensorfürFingerabdrückeimModellT400).

DieThinkVantageFingerprintSoftwareistdieSoftwarefürdenUPEK-SensorfürFingerabdrücke(z.B. deninternenSensorfürFingerabdrückeimModellT61unddenSensorfürFingerabdrückeinallen externenUSB- Tastaturen).

WindowsVista-Anmeldung

ZurAnmeldungbeimBetriebssystem„WindowsVista“könnenSiejederzeitentwederdenAuthenTec-Sensor fürFingerabdrückeoderdenUPEK-SensorfürFingerabdrückeverwenden.

1.InstallierenSiedieLenovoFingerprintSoftwareabVersion3.2.0.275.

2.InstallierenSiedieThinkVantageFingerprintSoftwareabVersion5.8.2.4824.

3.StartenSiedenComputerneu.DerAssistentzumRegistrierenvonFingerabdrückenwirdautomatisch gestartet.

4.VerwendenSiedieThinkVantageFingerprintSoftware,umIhreFingerabdrückemitdemexternenSensor fürFingerabdrückezuregistrieren.Wennernichtautomatischgestartetwird,klickenSieaufStart➙

Programme➙ThinkVantage➙ThinkVantageFingerprintSoftware,umdieRegistrierungzustarten.

68ClientSecuritySolution8.21Implementierungshandbuch

5.GebenSiebeientsprechenderAufforderungdasWindows-KennworteinundwählenSiedanneinen FingerzumRegistrierenaus.

6.BefolgenSiedieangezeigtenAnweisungen,umdenFingermithilfedesexternenSensorsfür Fingerabdrückezuregistrieren.

7.KlickenSieobenimFensteraufdieOptionSettings(Einstellungen).

8.WählenSiedieOptionUsengerprintscaninsteadofpasswordwhenloggingintoWindows (GescanntenFingerabdruckanstelledesKennwortsbeiderWindows-Anmeldungverwenden)aus, klickenSieaufOKunddannaufClose(Schließen),umdasFensterzuschließen.

9.StartenSiedenComputererneutundstellenSiesicher,dassIhrFingerabdruckzumAnmeldenbei WindowsüberdenexternenSensorfürFingerabdrückeverwendetwerdenkann.

10.VerwendenSiedieSoftwarezurRegistrierungvonFingerabdrücken,umIhreFingerabdrückemithilfe desinternenSensorsfürFingerabdrückezuregistrieren.Wennernichtautomatischgestartetwird, klickenSieaufStart➙Programme➙ThinkVantage➙LenovoFingerprintSoftware,umdie Registrierungzustarten.

11.GebenSiebeientsprechenderAufforderungdasWindows-KennworteinundwählenSiedanneinen FingerzumRegistrierenaus.

12.BefolgenSiedieangezeigtenAnweisungen,umIhrenFingerabdruckmithilfedesinternenSensorsfür Fingerabdrückezuregistrieren.

13.KlickenSieobenimFensteraufdieOptionSettings(Einstellungen).

14.WählenSiedieOptionUsengerprintscaninsteadofpasswordwhenloggingintoWindows (GescanntenFingerabdruckanstelledesKennwortsbeiderWindows-Anmeldungverwenden)aus, klickenSieaufOKunddannaufClose(Schließen),umdasFensterzuschließen.

15.StartenSiedenComputererneutundstellenSiesicher,dassIhrFingerabdruckzumAnmeldenbei WindowsmitdeminternenSensorfürFingerabdrückeverwendetwerdenkann.

WindowsXP-Anmeldung

ZurAnmeldungbeimBetriebssystem„WindowsXP“könnenSiejederzeitentwederdenAuthenTec-Sensor fürFingerabdrückeoderdenUPEK-SensorfürFingerabdrückeverwenden.

Szenario1:ThinkPadT400mitUSB-Tastatur(nichtmitDomäneverbunden)

VerwendenSiedieWindowsXP-Eingangsanzeige.

1.InstallierenSiedieLenovoFingerprintSoftwareabVersion3.2.0.275.

2.InstallierenSiedieThinkVantageFingerprintSoftwareabVersion5.8.2.4824.

3.AktivierenSiedieWindowsXP-Eingangsanzeige.

a.KlickenSieaufSystemsteuerung➙Benutzerkonten. b.KlickenSieaufArtderBenutzeranmeldungändern. c.WählenSiedasKontrollkästchenWillkommensseiteverwendenaus. WenndasKontrollkästchennichtverfügbarist,lesenSiedieInformationenunter„Szenario2:ThinkPad

T400mitUSB-Tastatur(mitDomäneverbunden)“aufSeite70.

4.KlickenSieaufStart➙Programme➙ThinkVantage➙LenovoFingerprintSoftware,umdie

Registrierungzustarten.

5.GebenSiebeientsprechenderAufforderungdasWindows-KennworteinundwählenSiedanneinen FingerzumRegistrierenaus.

6.BefolgenSiedieangezeigtenAnweisungen,umIhrenFingerabdruckmithilfedesinternenSensorsfür Fingerabdrückezuregistrieren.

7.KlickenSieobenimFensteraufdieOptionSettings(Einstellungen).

Kapitel6.BewährteVerfahren69

8.WählenSiedieOptionUsengerprintscaninsteadofpasswordwhenloggingintoWindows

(GescanntenFingerabdruckanstelledesKennwortsbeiderWindows-Anmeldungverwenden)aus, wählenSiedasKontrollkästchenSchnelleBenutzerumschaltungverwendenab,klickenSieaufOK undklickenSiedannaufSchließen,umdasFensterzuschließen.

9.FührenSieeinenWarmstartdesComputersdurchundstellenSiesicher,dassIhrFingerabdruckfürdie AnmeldungbeiWindowsmitdeminternenSensorfürFingerabdrückeverwendetwerdenkann.

10.SchließenSiedieexterneUSB-Tastaturan.

11.KlickenSieaufStart➙Programme➙ThinkVantage➙ThinkVantageFingerprintSoftware,um

dieRegistrierungzustarten.

12.KlickenSieaufFingerabdrücke➙Fingerabdrückeregistrierenoderbearbeitenunddannauf Weiter,umdasWindows-Kennwortfensteranzuzeigen.

13.GebenSiebeientsprechenderAufforderungdasWindows-KennworteinundwählenSiedanneinen FingerzumRegistrierenaus.

14.BefolgenSiedieangezeigtenAnweisungen,umdenFingerabdruckmithilfedesexternenSensorsfür FingerabdrückeinderUSB-Tastaturzuregistrieren.

15.FührenSiealleSchritteimAssistentenzumRegistrierenderFingerabdrückeausundklickenSiedann aufFertigstellen,umdenAssistentenzuschließen.

16.KlickenSieimFenster„ThinkVantageFingerprintSoftware“aufEinstellungen➙Systemeinstellungen, umdasFenstermitdenEinstellungenfürdieThinkVantageFingerprintSoftwareanzuzeigen.

17.WählenSieaufderRegisterkarteAnmeldungdasKontrollkästchenSchnelleBenutzerumschaltung aus.

18.KlickenSieaufOKundschließenSiedanndasFenster„ThinkVantageFingerprintSoftware“.

19.StartenSiedenComputererneutundstellenSiesicher,dassIhrFingerabdruckfürdieAnmeldungbei WindowsmitdeminternenoderdemexternenSensorfürFingerabdrückeverwendetwerdenkann.

Szenario2:ThinkPadT400mitUSB-Tastatur(mitDomäneverbunden)

VerwendenSiedieClientSecuritySolution-Anmeldeschnittstelle(GINA).

1.InstallierenSiedieLenovoFingerprintSoftwareabVersion3.2.0.275.

2.InstallierenSiedieThinkVantageFingerprintSoftwareabVersion5.8.2.4824.

3.InstallierenSieClientSecuritySolutionabVersion8.20.0035.

4.StellenSiesicher,dassdieUSB- TastaturandasSystemangeschlossenist.

5.StartenSiedenComputerneu.DerAssistentzumRegistrierenvonFingerabdrückenwirdautomatisch

gestartet.Wennernichtautomatischgestartetwird,klickenSieaufStart➙Programme➙ ThinkVantage➙ThinkVantageFingerprintSoftware,umdieRegistrierungzustarten.

6.GebenSiebeientsprechenderAufforderungdasWindows-KennworteinundwählenSiedanneinen FingerzumRegistrierenaus.

7.BefolgenSiedieangezeigtenAnweisungen,umdenFingerabdruckmitdemexternenSensorfür FingerabdrückeinderUSB-TastaturzuregistrierenundklickenSiedannaufNext(Weiter),umdas Fensteranzuzeigen.

8.WählenSiedasKontrollkästchenCongureClientSecuritySolution(ClientSecuritySolution kongurieren)ausundklickenSieaufFinish(Fertigstellen),umdasFensterzuschließen.

9.KlickenSieaufStart➙Programme➙ThinkVantage➙LenovoFingerprintSoftware,umdie Registrierungzustarten.

10.GebenSiebeientsprechenderAufforderungdasWindows-KennworteinundwählenSiedanneinen FingerzumRegistrierenaus.

11.BefolgenSiedieangezeigtenAnweisungen,umIhrenFingerabdruckmithilfedesinternenSensorsfür Fingerabdrückezuregistrieren.

70ClientSecuritySolution8.21Implementierungshandbuch

12.KlickenSieobenimFensteraufdieOptionSettings(Einstellungen).

13.WählenSiedasKontrollkästchenUsengerprintscaninsteadofpasswordwhenlogginginto Windows(GescanntenFingerabdruckanstelledesKennwortsbeiderWindows-Anmeldungverwenden) ab,klickenSieaufOKunddannaufClose(Schließen),umdasFensterzuschließen.

14.StartenSiedenComputererneutundmeldenSiesichbeiWindowsmitIhremKennwortan.

15.KlickenSieaufStart➙Programme➙ThinkVantage➙ClientSecuritySolution,umCSSzustarten.

16.WählenSieausdemMenüAdvanced(Erweitert)dieOptionManagesecuritypolicies (Sicherheitsrichtlinienverwalten)aus,umdasFenster„PolicyManager“anzuzeigen.

17.WählenSieimFensterUserActions(Benutzeraktionen)dieOptionLogontoWindows(BeiWindows anmelden)aus.

18.WählenSieimFensterSecurityPolicy(Sicherheitsrichtlinie)dieOptionUseadefaultsecuritypolicy forthisuseraction(StandardsicherheitsrichtliniefürdieseBenutzeraktionverwenden)aus.

19.KlickenSieaufOKundklickenSiedannaufY es(Ja),umdenComputererneutzustarten.

20.StellenSienachdemNeustartsicher,dassIhrFingerabdruckzurAnmeldungbeiWindowsmitdem internenoderdemexternenSensorfürFingerabdrückeverwendetwerdenkann.

ClientSecuritySolutionundPasswordManager

AndersalsbeiderWindows-AnmeldungfunktionierenAuthentizierungsanforderungenvonClientSecurity SolutionundPasswordManagernurmitdembevorzugtenSensorfürFingerabdrücke.Wennz.B.eine TastaturmitLesegerätfürFingerabdrückeangeschlossenwird,istihrSensorfürFingerabdrückedas bevorzugteGerät.WennkeineTastaturmitLesegerätfürFingerabdrückeangeschlossenist,istderim ThinkPadintegrierteSensorfürFingerabdrückedasbevorzugteGerät.

ErstellenSiezumÄnderndesbevorzugtenGerätsdenfolgendenRegistrierungseintrag:

[HKLM\Software\Lenovo\TVTCommon\ClientSecuritySolution] REG_DWORD"Pref erInternalFPSensor"=1

Tabelle32.Registrierungsschlüssel

NameWertBeschreibung

Pref erInternalFPSensor

0(Standardwert)Gibtan,dassderexterneSensor

fürFingerabdrückeimmerdann bevorzugtwird,wenneineTastatur mitLesegerätfürFingerabdrücke angeschlossenist.

Gibtan,dassderinterneSensorfür Fingerabdrückebevorzugtwird.

AuthentizierungvordemStarten–Fingerabdruckanstelleder BIOS-Kennwörterverwenden

AndersalsbeiderWindows-AnmeldungfunktionierenAuthentizierungsanforderungenfürBIOS-Kennwörter nurmitdemSensorfürFingerabdrücke,wenndasBIOSfürdieVerwendungkonguriertist.Standardmäßig erkenntdasBIOSdieEingabenüberdieT astaturmitLesegerätfürFingerabdrücke,wenndiese angeschlossenist.WenndieT astaturmitLesegerätfürFingerabdrückenichtangeschlossenist,erkenntdas BIOSdieEingabenüberdasinterneLesegerätfürFingerabdrückefürdieAuthentizierung.

DieBIOS-EinstellungReaderPrioritykannsogeändertwerden,dassdieVerwendungdesinternenSensors fürFingerabdrückeerzwungenwird,auchwenndieexterneTastaturmitLesegerätfürFingerabdrücke angeschlossenist.DerStandardwertfürReaderPrioritylautetExternal.DieEinstellungkanninInternal Onlygeändertwerden,umdieVerwendungdesinternenSensorsfürFingerabdrückezuerzwingen.

Kapitel6.BewährteVerfahren71

Anmerkung:DieseBIOS-EinstellunggiltnurfürdieAufforderungenzumEingebenvonFingerabdrücken fürdasBIOS.SiehatkeineAuswirkungenaufdieWindows-AnmeldungoderaufAnforderungenfürdie AuthentizierungüberFingerabdruckvonClientSecuritySolution.

FingerprintSoftwarefürdasAktivierenderAuthentizierungvordemStarten kongurieren

WennSieeinAdministrator-,Start-oderFestplattenkennwortimBIOSfestgelegthaben,könnenSiedie FingerprintSoftwarefürdieAuthentizierungverwenden,anstattdieseKennwörtereinzugeben.

LenovoFingerprintSoftware–fürdeninternenSensorfürFingerabdrücke

1.KlickenSieaufStart➙Programme➙ThinkVantage➙LenovoFingerprintSoftware,umdie

FingerprintSoftwarezustarten.

2.ZiehenSiedenFingerüberdasLesegerätodergebenSiedasWindows-Kennwortein,wennSiedazu aufgefordertwerden.

3.KlickenSieobenimFensteraufdieOptionSettings(Einstellungen).

4.WählenSiedasKontrollkästchenUsengerprintscaninsteadofpower-onandharddrive passwords(GescanntenFingerabdruckanstelledesStart-undFestplattenkennwortsverwenden)und dasKontrollkästchenAlwaysshowpower-onsecurityoptions(Startsicherheitsoptionenimmer anzeigen)ausundklickenSiedannaufOK,umdasFensterzuschließen.

5.WählenSieeinenderregistriertenFingerabdrückeaus,umdenFingerabdruckzuaktivierenunddie BIOS-Kennwörterzuersetzen.

6.KlickenSieaufClose(Schließen),umdasFensterzuschließen.

ThinkVantageFingerprintSoftware(WindowsXP)–fürdenexternenSensorfürFingerabdrücke

1.KlickenSieaufStart➙Programme➙ThinkVantage➙ThinkVantageFingerprintSoftware,um dieFingerprintSoftwarezustarten.

2.KlickenSieobenimFensteraufSettings(Einstellungen)➙Power-onSecurity(Startsicherheit).

Anmerkung:WenndieEinstellungPower-onSecurity(Startsicherheit)nichtverfügbarist,erstellenSie denfolgendenRegistrierungseintragzumAnzeigendieserEinstellung:

[HKEY_LOCAL_MACHINE\SOFTWARE\ProtectorSuiteQL\1.0] REG_DWORD"BiosF eatures"=2

3.WählenSiedasKontrollkästchenRequirengerprintforcomputerstartup(Fingerabdruckfür Computerstartanfordern)ausundklickenSieaufOK,umdasFensterzuschließen.

4.KlickenSieaufFingerprints(Fingerabdrücke)➙EnrollorEditFingerprints(Fingerabdrücke registrierenoderbearbeiten),umdasFensteranzuzeigen.

5.ZiehenSiedenFingerüberdasLesegerätodergebenSiedasWindows-Kennwortein,wennSiedazu aufgefordertwerden.

6.WählenSieeinenderregistriertenFingerabdrückeaus,umdenFingerabdruckzuaktivierenunddie BIOS-Kennwörterzuersetzen.

7.KlickenSieaufFinish(Fertigstellen),umdasFensterzuschließen.

ThinkVantageFingerprintSoftware(WindowsVista)–fürdenexternenSensorfürFingerabdrücke

1.KlickenSieaufStart➙Programme➙ThinkVantage➙ThinkVantageFingerprintSoftware,um dieFingerprintSoftwarezustarten.

2.ZiehenSiedenFingerüberdasLesegerätodergebenSiedasWindows-Kennwortein,wennSiedazu aufgefordertwerden.

3.KlickenSieobenimFensteraufdieOptionSettings(Einstellungen).

72ClientSecuritySolution8.21Implementierungshandbuch

5.WählenSieeinenderregistriertenFingerabdrückeaus,umdenFingerabdruckzuaktivierenunddie BIOS-Kennwörterzuersetzen.

6.KlickenSieaufClose(Schließen),umdasFensterzuschließen.

Kapitel6.BewährteVerfahren73

74ClientSecuritySolution8.21Implementierungshandbuch

AnhangA.HinweisezurVerwendungvonOmniPass

OmniPassvonSoftex©isteinProgramm,dasfürdiesichereAnmeldungbeiWebsitesundAnwendungen sowiezumSchützenvonDatenaufeinemComputerverwendetwerdenkann.OmniPasskanndasTPMdes Computersnutzen,indemesübervonClientSecuritySolutionbereitgestellteSchnittstellendaraufzugreift. UmdasTPMzunutzen,mussClientSecuritySolutioninstalliertsein,bevorOmniPassinstalliertwird. WegenderÄhnlichkeitenzwischendenFunktionenderbeidenProduktewerdeneinigeFunktionenvonClient SecuritySolutioninaktiviertoderausgeblendet,wennOmniPassinstalliertist.

ZudemtretenKonikteauf,wennSiebeideProgrammeinstallieren.BeachtenSiedieinderfolgenden TabelleaufgeführtenmöglichenKonikte:

Tabelle33.ÜberlappungmitOmnipass-Funktion

FunktionFunktionsüberlappungHinweise

AuthentizierungüberFingerabdruck

Kennwortmanagement

Windows-Anmeldung

Dateiverschlüsselung

FürThinkVantageFingerprint SoftwareundOmniPassistjeweils eineseparateRegistrierungfür Fingerabdrückeerforderlich.

SowohlClientSecuritySolution alsauchOmniPassstelleneinen PasswordManagerzurVerfügung.

SowohlClientSecuritySolution alsauchOmniPassstelleneine Windows-Anmeldeschnittstelle bereit.

SowohlClientSecuritySolution

8.21alsauchOmniPass stellenAnwendungenzur Dateiverschlüsselungbereit.

SiemüssenFingerabdrücke beiThinkVantageFingerprint Softwareregistrieren,umdie AuthentizierungvordemBooten beimSensorfürFingerabdrücke zuunterstützen.Diemitder ThinkVantageFingerprintSoftware registriertenFingerabdrückesind vondenbeiOmniPassregistrierten Fingerabdrückenunabhängig.Die OmniPass-Installationblendetden LinkzumThinkVantageFingerprint SoftwareControlCenterausdem Startmenüaus.

DerPasswordManagervonClient SecuritySolutionwirdvonder OmniPass-Installationautomatisch inaktiviert.

DieAnmeldeschnittstellevonClient SecuritySolutionwirdvonder OmniPass-Installationautomatisch inaktiviert. Anmerkung:Wenndie AnmeldeschnittstellevonClient SecuritySolutioninaktiviertwird, istdieWiederherstellungeines vergessenenWindows-Kennworts überClientSecuritySolution PasswordRecoverywährendder Windows-Anmeldungnichtverfügbar.

DiebeidenVersionenkönnen zusammenverwendetwerden. DeinstallierenSieaberPrivateDiskfür ClientSecuritySolutionbisVersion

7.0,umVerwirrungzuvermeiden.

Tabelle33.ÜberlappungmitOmnipass-Funktion(Forts.)

FunktionFunktionsüberlappungHinweise

Verschlüsselungsschnittstellen

Benutzerauthentizierung

ZugriffaufFunktionen

SowohlClientSecuritySolution alsauchOmniPassstellenein CSP-undeinPKCS#11-Modul bereit.DieClientSecurity Solution-Verschlüsselungsschnittstellen verwendeneinevonOmniPass unabhängigeAuthentizierung.

SowohlClientSecuritySolutionals auchOmniPasskönnendenBenutzer zurAuthentizierungauffordern.

ClientSecuritySolutionund OmniPassbietenübereine AnwendungimStartmenü,die möglicherweisedieBenutzerverwirrt, ZugriffaufdieProgrammfunktionen.

WählenSiefür Verschlüsselungsvorgängenichtdas CSP-oderdasPKCS#11-Modulvon ClientSecuritySolutionaus.

WennSiesowohlClient SecuritySolutionalsauch OmniPassverwenden,stellen Siesicher,dassdieBenutzer denUnterschiedzwischenden Authentizierungsaufforderungen verstehenundbei Aufforderungdierichtigen Authentizierungsinformationen (einschließlichFingerabdrücke) bereitstellen.

EntfernenSiedieAnwendung „ClientSecuritySolution“ausdem Startmenü.

ZusätzlichzudenvorhergehendenHinweisenkönnenauchdiefolgendenFehlerbeiOmniPassauftreten:

•WennvomFingerprint-Plug-ineineFehlernachrichtangezeigtwird,dassnichtgenügendSpeicher vorhandenist,übergehenSiedenFehler,undfahrenSiemitderVerwendungvonOmniPassfort.

•DieTPM-RegistrierungfunktioniertnichtfürBenutzermitdemWindows-Kennwort„NULL“.

76ClientSecuritySolution8.21Implementierungshandbuch

AnhangB.HinweisezurVerwendungdesLenovoFingerprint KeyboardzusammenmiteinigenThinkpad-Notebookmodellen

DasLesegerätfürFingerabdrücke,dasineinigenThinkPad-Notebookmodellenverwendetwird, unterscheidetsichvomLesegerätfürFingerabdrücke,dasimLenovoFingerprintKeyboardintegriertist. WenndieTastaturmitLesegerätfürFingerabdrückezusammenmitbestimmtenThinkPad-Notebookmodellen verwendetwird,sindmöglicherweisebesondereHinweiseerforderlich.

WeitereInformationenhierzundenSieaufderDownloadseitefürdieFingerprintSoftwareaufderLenovo Website;dorterhaltenSieeineListedieserThinkPad-Notebookmodelle.

NurfürdieModelle,diefürdieLenovoFingerprintSoftwareaufgeführtsind,sindbeiderVerwendung zusammenmitderTastaturmitLesegerätfürFingerabdrückebesondereHinweiseerforderlich.Beiallen anderenThinkPad-Notebookmodellen,diedie„ThinkVantageFingerprintSoftware“verwenden,wirdein LesegerätfürFingerabdrückeverwendet,dasmitderTastaturmitLesegerätfürFingerabdrückekompatibel ist,sodasskeinebesonderenHinweiseerforderlichsind.

KongurationundEinrichtung

MindestensLenovoFingerprintSoftware2.0mussfürdieVerwendungzusammenmitdemLesegerät fürFingerabdrücke,dasimThinkPad-Notebookverwendetwird,installiertsein.Benutzermüssenihre FingerabdrückeunterVerwendungdesintegriertenLesegerätsfürFingerabdrückemitderLenovoFingerprint Softwareregistrieren.

MindestensThinkVantageFingerprintSoftware5.8mussfürdieVerwendungzusammenmitdemLenovo FingerprintKeyboardinstalliertsein.BenutzermüssenihreFingerabdrückeauchunterVerwendungder TastaturmitLesegerätfürFingerabdrückemitderThinkVantageFingerprintSoftwareregistrieren.

Anmerkung:Fingerabdrücke,diemiteinemderbeidenGeräteregistriertwurden,sindnichtaustauschbar undkönnennichtmitdemanderenGerätverwendetwerden.

Predesktop-Authentizierung

FürdiePredesktop-AuthentizierungwirdentwederdasintegrierteLesegerätfürFingerabdrückeoder dieT astaturmitLesegerätfürFingerabdrückeverwendet(wodurchdasStartkennwortdesSystemsoder dasFestplattenkennwortdurcheinenFingerabdruckersetztwird).DasBIOSbestimmt,welcheEinheitzu verwendenist,wenndasSystemeingeschaltetwird.

StandardmäßigakzeptiertdasBIOSEingabennurüberdieT astaturmitLesegerätfürFingerabdrücke, wenndieseangeschlossenist.EingabenüberdasintegrierteLesegerätfürFingerabdrückewerdenfürdie Predesktop-Authentizierungignoriert,wenneineTastaturmitLesegerätfürFingerabdrückeangeschlossen ist.WenndieT astaturmitLesegerätfürFingerabdrückenichtangeschlossenist,wirddasintegrierte LesegerätfürFingerabdrückefürdiePredesktop-Authentizierungverwendet.

DieBIOS-Einstellungfür„ReaderPriority“kannsogeändertwerden,dassderintegrierteSensorfür Fingerabdrückeverwendetwird.Wennfür„ReaderPriority“dieEinstellung„Internalonly“festgelegtist, kannderintegrierteSensorfürFingerabdrückefürdiePre-Desktop-Authentizierungverwendetwerden. EingabenüberdieTastaturmitLesegerätfürFingerabdrückewerdenindiesemFallignoriert.

Windows-Anmeldung

DasLenovoFingerprintKeyboardunddasLesegerätfürFingerabdrückedesThinkPadstellenjeweilseine eigeneSchnittstellefürdieAnmeldungbeiWindowsmiteinemFingerabdruckbereit.

Wichtig:AufgrundvonKompatibilitätsanforderungenkanneszuProblemenbeiderAnmeldungkommen, wenndieSchnittstellenfürdieAnmeldungüberFingerabdrucknichtordnungsgemäßkonguriertsind.

WindowsXP-Eingangsanzeige

DamitdieAnmeldungmitentwederdemLenovoFingerprintKeyboardoderdemimThinkPad integriertenSensorfürFingerabdrückeinderWindowsXP-Eingangsanzeigeunterstütztwird,müssendie AnmeldeschnittstellenfürdieLenovoFingerprintSoftwareunddieThinkVantageFingerprintSoftware aktiviertsein.

WenndieAnmeldungüberdieWindowsXP-EingangsanzeigeaktiviertistundbeideSchnittstellenfür dieAnmeldungüberFingerabdruckaktiviertsind,könnenBenutzerzurAnmeldungdenFingerentweder überdieTastaturmitLesegerätfürFingerabdrückeoderüberdasintegrierteLesegerätfürFingerabdrücke ziehen,umsichanzumelden.

Anmerkung:DieBIOS-Einstellung„ReaderPriority“giltindieserSituationnicht.WennbeideGeräte verfügbarsind,kanneinbeliebigesGerätfürdieAnmeldungverwendetwerden.

DieWindowsXP-EingangsanzeigekanninderWindowsXP-Systemsteuerungüber„Benutzerkonten“ aktiviertwerden.

DieSchnittstellefürdieAnmeldungüberFingerabdruckfürdieLenovoFingerprintSoftware(fürden integriertenSensorfürFingerabdrücke)unddieThinkVantageFingerprintSoftware(fürdieTastatur mitLesegerätfürFingerabdrücke)kannüberdieOption„Settings“(Einstellungen)inderjeweiligen Fingerabdruckanwendungaktiviertwerden.

WindowsXP-KlassischeAnmeldeaufforderung

Wichtig:DieSchnittstellenfürdieAnmeldungüberFingerabdruckfürdieLenovoFingerprintSoftwareund

dieThinkVantageFingerprintSoftwaredürfennichtgleichzeitigaktiviertsein,wenndieklassischeWindows XP-Anmeldeaufforderung(GINA-Anmeldeschnittstelle)aktiviertist.UnerwarteteErgebnissekönnenauftreten, wennbeideAnmeldeschnittstellenaktiviertsindunddieWindowsXP-Eingangsanzeigenichtverwendetwird.

WenndieklassischeWindowsXP-Anmeldeaufforderungerforderlichist(z.B.zurUnterstützungder AnmeldungbeieinerDomäne)unddieAnmeldungüberFingerabdruckmiteinemderSensorenausgewählt ist,mussdieClientSecuritySolution-Anmeldeschnittstelleaktiviertsein.WenndieClientSecurity Solution-Anmeldeschnittstelleaktiviertist,istdieAnmeldungbeiWindowsentwedermitderTastaturmit LesegerätfürFingerabdrückeodermitdemintegriertenLesegerätfürFingerabdrückemöglich.

Anmerkung:DieseOptionisterstabClientSecuritySolution8.21verfügbar.

DieClientSecuritySolution-AnmeldeschnittstellekanndurchdieAnwendung„ClientSecuritySolution“im Startmenüaktiviertwerden.DieOptionzumKongurierenderClientSecuritySolution-Anmeldeschnittstelle ndenSie,indemSieimMenü„Erweitert“derAnwendung„ClientSecuritySolution“dieOption „Sicherheitsrichtlinienverwalten“auswählen.

StellenSiesicher,dassdieAnmeldeschnittstellenfürdieLenovoFingerprintSoftwareunddieThinkVantage FingerprintSoftwareindenEinstellungenderjeweiligenSoftwareanwendungfürFingerabdrückeinaktiviert sind.

78ClientSecuritySolution8.21Implementierungshandbuch

WindowsVista

ZurUnterstützungentwederdesLenovoFingerprintKeyboardoderdesimThinkPadintegriertenSensorsfür FingerabdrückeunterWindowsVistamüssendieAnmeldeschnittstellenfürdieLenovoFingerprintSoftware unddieThinkVantageFingerprintSoftwareaktiviertsein.

WennunterWindowsVistabeideSchnittstellenfürdieAnmeldungüberFingerabdruckaktiviertsind,können BenutzerdenFingerentwederüberdieTastaturmitLesegerätfürFingerabdrückeoderdasintegrierte LesegerätfürFingerabdrückeziehen,umsichanzumelden.

Anmerkungen:

1.DieBIOS-Einstellung„ReaderPriority“giltindiesemSzenarionicht.WennbeideGeräteverfügbarsind, kanneinbeliebigesGerätfürdieAnmeldungverwendetwerden.

2.InderWindowsVista-AnmeldeanzeigewirdmöglicherweisenureinTeilbildodereineSchaltächefür dieAnmeldungüberFingerabdruckangezeigt,obwohlbeideSensorenfürFingerabdrückefürdie Anmeldungverwendetwerdenkönnen.

AlternativkannfürdieUnterstützungderAnmeldungüberdieTastaturmitLesegerätfürFingerabdrücke oderdasintegrierteLesegerätfürFingerabdrückedieClientSecuritySolution-Anmeldeschnittstelleanstelle derAnmeldeschnittstellenderbeidenFingerabdruckanwendungenverwendetwerden.DieseFunktionist jedocherstabClientSecuritySolution8.21verfügbar.

BeiVerwendungderClientSecuritySolution-AnmeldeschnittstellesolltendieAnmeldeschnittstellender FingerabdruckanwendungenindenEinstellungenderjeweiligenAnwendungdeaktiviertwerden.DieClient SecuritySolution-AnmeldeschnittstellekannüberdieAnwendung„ClientSecuritySolution“imStartmenü aktiviertwerden.DieOptionzumKongurierenderClientSecuritySolution-AnmeldeschnittstellendenSie, indemSieimMenüErweitertderAnwendung„ClientSecuritySolution“dieOptionSicherheitsrichtlinien

verwaltenauswählen.

AuthentizierungmitClientSecuritySolution

Anmerkung:DiefolgendenInformationengeltenerstabClientSecuritySolution8.21.FrühereVersionenvon

ClientSecuritySolutionunterstützennichtdieVerwendungdesintegriertenLesegerätsfürFingerabdrücke zusammenmitderT astaturmitLesegerätfürFingerabdrücke.

WenneineAktioninClientSecuritySolutiondurchgeführtwird,fürdieeineAuthentizierungüber Fingerabdruckerforderlichist,wiez.B.dasautomatischeEingebeneinesKennwortsaufeinerWebsite mitPasswordManager,müssenBenutzerbeientsprechenderEingabeaufforderungeinenFingerüber dieTastaturmitLesegerätfürFingerabdrückeziehen,wenndieseangeschlossenist.Eingabenüber dasintegrierteLesegerätfürFingerabdrückewerdenignoriert,wenndieTastaturmitLesegerätfür Fingerabdrückeangeschlossenist.WenndieTastaturmitLesegerätfürFingerabdrückenichtangeschlossen ist,mussderintegrierteSensorfürFingerabdrückeverwendetwerden.

EsgibteineRegistrierungseinstellung,mitdererzwungenwerdenkann,dassBenutzerdenintegrierten SensorfürFingerabdrückefürdieAuthentizierungmitClientSecuritySolutionverwenden.Wenndieser Registrierungseintragfestgelegtist,mussdieAuthentizierungmitClientSecuritySolutionüberden integriertenSensorvorgenommenwerdenundEingabenüberdieTastaturmitLesegerätfürFingerabdrücke werdenignoriert.

DerRegistrierungseintraglautetwiefolgt:

[HKLM\Software\Lenovo\TVTCommon\ClientSecuritySolution] REG_DWORD"Pref erInternalFPSensor"=1

AnhangB.HinweisezurVerwendungdesLenovoFingerprintKeyboardzusammenmiteinigenThinkpad-Notebookmodellen79

DerStandardwertdesobigenRegistrierungseintragsist0,wenndieAuthentizierungüberFingerabdruck mitClientSecuritySolutionüberdieTastaturmitLesegerätfürFingerabdrückevorgenommenwerdenmuss, undEingabenüberdasintegrierteLesegerätfürFingerabdrückewerdenignoriert.

DieseEinstellungkannauchüberdieClientSecuritySolution-SchablonendateimitdenGruppenrichtlinien fürActiveDirectorygeändertwerden.

Anmerkungen:

1.WennfürdieBIOS-Einstellung„ReaderPriority“dieOption„Internalonly“festgelegtist,empehlt essich,denRegistrierungseintragauf„1“zusetzen.HierdurchwirddieAuthentizierungmitClient SecuritySolutionaktiviert,umdieEinstellungfürdieBIOS-Pre-Desktop-Authentizierungzusimulieren.

2.DieBIOS-EinstellungunddieseRegistrierungseinstellungsindvoneinanderunabhängig.

80ClientSecuritySolution8.21Implementierungshandbuch

AnhangC.Windows-KennwortnachdemZurücksetzenmit CSSabgleichen

NachdemZurücksetzendesWindows-KennwortsfordertClientSecuritySolutionSiekontinuierlichauf,ein neuesWindows-Kennwortanzugeben,zeigtdannabereineFehlernachrichtan,dassdasKennwortfalsch ist.DieWindows-Sicherheitsfunktionistsokonzipiert,dassdieSicherheitsberechtigungsnachweisebeim ZurücksetzendesWindows-Kennwortsungültigwerden.WindowsgibtbeijedemVersuch,dasKennwort zurückzusetzen,eineWarnungaus.ZudemistnichtnurClientSecuritySolutiondurchdasZurücksetzen desWindows-Kennwortsbetroffen,sondernSieverlierenauchdenZugriffaufIhremitWindowsEFS verschlüsseltenZertikateundDateien.WennClientSecuritySolution(nachdemZurücksetzendes Kennworts)nichtmehraufIhreWindows-Sicherheitsberechtigungsnachweisezugreifenkann,fordert ClientSecuritySolutionSiekontinuierlichauf,dasneueKennworteinzugeben,undzeigtdanneine Fehlernachrichtan,dassdaseingegebeneKennwortungültigist.ClientSecuritySolutionfunktioniert nicht,wenndieWindows-SicherheitsberechtigungsnachweiseaufdieseWeiseungültiggemachtwerden. WenndasWindows-Kennwortgeändertwurde(Siewerdenz.B.aufgefordert,sowohldasaltealsauch dasneueKennwortanzugeben)werdenIhreSicherheitsberechtigungsnachweisebeibehaltenunddurch dasneueKennwortgeschützt.

GehenSiewiefolgtvor,umdasKennwortnachdemZurücksetzendesWindows-KennwortsmitCSS abzugleichen:

1.StellenSieeineSicherungskopiedesSystemsvordemZurücksetzendesWindows-Kennwortswieder her.

2.SetzenSiedasWindows-KennwortaufdasursprünglicheKennwortzurück.DadurchsolltederZugriff aufdieWindows-Sicherheitsberechtigungsnachweisewiederhergestelltwerden.

3.ErstellenSieeinneuesWindows-BenutzerkontoundverwendenSiediesesanstelledesursprünglichen KontosmitdenbeschädigtenBerechtigungsnachweisen.

4.GehenSiewiefolgtvor,umdasSystemwiederherzustellen: a.StartenSiePasswordManager. b.KlickenSieaufImport/ExportundwählenSiedieOptionExportentrylist(Eintragslisteexportieren)

aus. c.GebenSieeinePositionzumSpeichernderDateiundeinenDateinamenein. d.GebenSieeinKennwortfürdieDateimitdenEinträgenein. e.SchließenSiePasswordManager. f.StartenSieClientSecuritySolution. g.KlickenSieaufAdvanced(Erweitert)➙Resetsecuritysettings(Sicherheitseinstellungen

zurücksetzen). h.GebenSiebeientsprechenderEingabeaufforderungdasneueWindows-Kennwortein. i.ClientSecuritySolutionfordertSiezumerneutenStartendesSystemsauf. j.StartenSienachdemSystemwiederanlaufPasswordManager. k.KlickenSieaufImport/ExportundwählenSiedieOptionImportentrylist(Eintragslisteimportieren)

aus. l.BlätternSiezurzuvorgespeichertenDatei. m.GebenSiebeientsprechenderEingabeaufforderungdasKennwortein.

82ClientSecuritySolution8.21Implementierungshandbuch

AnhangD.Bemerkungen

MöglicherweisebietetLenovodieindieserDokumentationbeschriebenenProdukte,Servicesoder FunktioneninanderenLändernnichtan.InformationenüberdiegegenwärtigimjeweiligenLandverfügbaren ProdukteundServicessindbeimLenovoAnsprechpartnererhältlich.HinweiseaufLenovoLizenzprogramme oderandereLenovoProduktebedeutennicht,dassnurProgramme,ProdukteoderServicesvonLenovo verwendetwerdenkönnen.AnstellederLenovoProdukte,ProgrammeoderServiceskönnenauchandere ihnenäquivalenteProdukte,ProgrammeoderServicesverwendetwerden,solangediesekeinegewerblichen oderanderenSchutzrechtevonLenovoverletzen.DieVerantwortungfürdenBetriebderProdukte, ProgrammeoderServicesinVerbindungmitFremdproduktenundFremdservicesliegtbeimKunden,soweit solcheVerbindungennichtausdrücklichvonLenovobestätigtsind.

FürindiesemHandbuchbeschriebeneErzeugnisseundVerfahrenkannesLenovoPatenteoder Patentanmeldungengeben.MitderAuslieferungdieserDokumentationistkeineLizenzierungdieserPatente verbunden.LizenzanfragensindschriftlichanfolgendeAdressezurichten(AnfragenandieseAdresse müssenaufEnglischformuliertwerden):

Lenovo(UnitedStates),Inc. 1009ThinkPlace-BuildingOne Morrisville,NC27560 U.S.A. Attention:LenovoDirectorofLicensing

LenovostelltdieVeröffentlichungohneWartung(auf„as-is“-Basis)zurVerfügungundübernimmtkeine GarantiefürdieHandelsüblichkeit,dieVerwendungsfähigkeitfüreinenbestimmtenZweckunddie FreiheitderRechteDritter.EinigeRechtsordnungenerlaubenkeineGarantieausschlüssebeibestimmten Transaktionen,sodassdieserHinweismöglicherweisenichtzutreffendist.

TrotzsorgfältigerBearbeitungkönnentechnischeUngenauigkeitenoderDruckfehlerindieser Veröffentlichungnichtausgeschlossenwerden.DieAngabenindiesemHandbuchwerdeninregelmäßigen Zeitabständenaktualisiert.LenovokannjederzeitVerbesserungenund/oderÄnderungenandenindieser VeröffentlichungbeschriebenenProduktenund/oderProgrammenvornehmen.

DieindiesemDokumentbeschriebenenProduktesindnichtzurVerwendungbeiImplantationenoder anderenlebenserhaltendenAnwendungen,beideneneinNichtfunktionierenzuVerletzungenoderzum Todführenkönnte,vorgesehen.DieInformationenindiesemDokumentbeeinussenoderändernnicht dieLenovoProduktspezikationenoderGarantien.KeinePassagenindieserDokumentationstellen eineausdrücklicheoderstillschweigendeLizenzoderAnspruchsgrundlagebezüglichdergewerblichen SchutzrechtevonLenovoodervonanderenFirmendar.AlleInformationenindieserDokumentation beziehensichaufeinebestimmteBetriebsumgebungunddienenzurVeranschaulichung.Inanderen BetriebsumgebungenwerdenmöglicherweiseandereErgebnisseerzielt.

WerdenanLenovoInformationeneingesandt,könnendiesebeliebigverwendetwerden,ohnedasseine VerpichtunggegenüberdemEinsenderentsteht.

VerweiseindieserVeröffentlichungaufWebsitesandererAnbieterdienenlediglichalsBenutzerinformationen undstellenkeinerleiBilligungdesInhaltsdieserWebsitesdar.DasüberdieseWebsitesverfügbareMaterial istnichtBestandteildesMaterialsfürdiesesLenovoProdukt.DieVerwendungdieserWebsitesgeschieht aufeigeneVerantwortung.

AlleindiesemDokumententhaltenenLeistungsdatenstammenauseinergesteuertenUmgebung.Die Ergebnisse,dieinanderenBetriebsumgebungenerzieltwerden,könnendahererheblichvondenhier erzieltenErgebnissenabweichen.EinigeDatenstammenmöglicherweisevonSystemen,derenEntwicklung

nochnichtabgeschlossenist.EineGarantie,dassdieseDatenauchinallgemeinverfügbarenSystemen erzieltwerden,kannnichtgegebenwerden.DarüberhinauswurdeneinigeDatenunterUmständendurch Extrapolationberechnet.DietatsächlichenErgebnissekönnenabweichen.BenutzerdiesesDokuments solltendieentsprechendenDateninihrerspezischenUmgebungprüfen.

Marken

DiefolgendenAusdrückesindMarkenderLenovoGroupLimitedindenUSAund/oderanderenLändern:

Lenovo RescueandRecovery ThinkCentre ThinkPad ThinkVantage

Microsoft,WindowsundWindowsVistasindMarkenderMicrosoftGroupindenUSAund/oderanderen Ländern.

WeitereUnternehmens-,Produkt-oderServicenamenkönnenMarkenandererHerstellersein.

84ClientSecuritySolution8.21Implementierungshandbuch

Glossar

Administratorkennwort (ThinkCentre)/Supervisorkennwort(ThinkPad)zum ÄndernderBIOS-Einstellungen

AES(AdvancedEncryptionStandard)BeiAEShandeltessichumeine

VerschlüsselungssystemeVerschlüsselungssystemekönnenallgemein

MitdemAdministratorkennwort/Supervisorkennwort wirddieMöglichkeitzumÄndernder BIOS-Einstellungengesteuert.Diesumfasst dasAktivierenoderInaktivierendesintegrierten SicherheitschipsunddasLöschendesSRK (StorageRootKey),derimTPM(TrustedPlatform Module)gespeichertist.

Verschlüsselungstechnikmitsymmetrischem Schlüssel.SeitOktober2000verwendet dieUS-RegierungdiesenAlgorithmusals Verschlüsselungstechnik,wobeiAESdie DES-Verschlüsselungersetzthat.AESbietet höhereSicherheitgegenBrute-Force-Attackenals 56-Bit-DES-Schlüssel.AESkannggf.128-,192und256-Bit-Schlüsselverwenden.

klassiziertwerdenindieVerschlüsselung mitsymmetrischemSchlüssel,beiderein einzelnerSchlüsselfürdieVerschlüsselungund EntschlüsselungvonDatengenutztwird,undindie VerschlüsselungmitöffentlichemSchlüssel,bei derzweiSchlüssel(einöffentlicherSchlüssel,der allenbekanntist,undeinprivaterSchlüssel,auf dennurderBesitzerdesSchlüsselpaarsZugriffhat) verwendetwerden.

EmbeddedSecurityChip„IntegrierterSicherheitschip“isteinandererName

fürdasTPM(TrustedPlatformModule).

Verschlüsselungmitöffentlichem Schlüssel/asymmetrischemSchlüssel

AlgorithmenmitöffentlichemSchlüsselverwenden gewöhnlicheinPaarzusammengehörigerSchlüssel. Dabeihandeltessichumeinengeheimenprivaten SchlüsselundeinenöffentlichenSchlüssel,der verbreitetwerdenkann.DiebeidenSchlüssel einesPaaressolltennichtvoneinanderabgeleitet werdenkönnen.DerBegriff„Verschlüsselung mitöffentlichemSchlüssel“istvonderIdee, dieInformationenzumöffentlichenSchlüssel allgemeinzugänglichzumachen,abgeleitet. DanebenwirdauchderBegriff„Verschlüsselungmit asymmetrischemSchlüssel“verwendet,danicht alleParteienüberdieselbenInformationenverfügen. IngewisserWeise„verschließt“einSchlüssel einSchloss(Verschlüsselung),undeinanderer Schlüsselistfürdas„Aufschließen“desSchlosses (Entschlüsselung)erforderlich.

Speicher-Rootschlüssel(SRK,StorageRootKey)BeimSpeicher-Rootschlüssel(SRK)handeltessich

umeinöffentlichesSchlüsselpaarmitmindestens

2.048Bit.Eristursprünglichleerundwirdbei derZuordnungdesTPM-Eignerserstellt.Dieses Schlüsselpaarverbleibtimmerimintegrierten Sicherheitschip.EsdientzumVerschlüsseln (Verpacken)vonprivatenSchlüsselnfürdas SpeichernaußerhalbdesTPMs(TrustedPlatform Module)undzumEntschlüsselnderSchlüssel, wenndiesewiederindasTPMgeladenwerden.Der SRKkannvonjedemBenutzermitZugriffaufdas BIOSgelöschtwerden.

VerschlüsselungmitsymmetrischemSchlüssel

BeiVerschlüsselungmitsymmetrischem SchlüsselwirdfürdieVerschlüsselungundfürdie EntschlüsselungvonDatenderselbeSchlüssel verwendet.Verschlüsselungenmitsymmetrischem Schlüsselsindeinfacherundschneller.Ihr größterNachteilbestehtdarin,dassdiebeiden ParteieneinensicherenWegndenmüssen,den Schlüsselauszutauschen.BeiVerschlüsselung mitöffentlichemSchlüsselbestehtdiesesProblem nicht,daderöffentlicheSchlüsselaufeinemnicht gesichertenWegverbreitetwerdenkannund derprivateSchlüsselnieübertragenwird.AES (AdvancedEncryptionStandard)isteinBeispielfür einensymmetrischenSchlüssel.

TPM(T rustedPlatformModule)TPMs(TrustedPlatformModules)sind

integrierteSchaltkreisefürbesondere Zwecke,diezumErmöglicheneinerstrengen BenutzerauthentizierungundMaschinenprüfung inSystemeintegriertwerden.DerHauptzweck vonTPMsistes,denunberechtigtenZugriff aufvertraulicheundsensibleInformationenzu verhindern.DasTPMisteineaufHardware aufbauendeSicherheitsbasis,dieeineVielzahlvon VerschlüsselungsservicesaufeinemSystemzur Verfügungstellenkann.EinandererNamefürdas TPMist„integrierterSicherheitschip“.

Lenovo ThinkVantage Client Security Solution 8.21 Deployment Guide [de]

Specifications and Main Features

Frequently Asked Questions

User Manual

Einleitung

Kapitel1.Übersicht

ClientSecuritySolution

ClientSecuritySolution-Verschlüsselungstext

ClientSecurity-Kennwortwiederherstellung

PasswordManagervonClientSecurity

SecurityAdvisor

FunktionzumZurücksetzenvonHardwarekennwörtern

UnterstützungfürSystemeohneTPM

FingerprintSoftware

Kapitel2.Installation

ClientSecuritySolution

Installationsvoraussetzungen

AngepassteöffentlicheMerkmale

TPM-Unterstützung(TrustedPlatformModule)

InstallationsverfahrenundBefehlszeilenparameter

ÖffentlicheStandardeigenschaftenvonWindowsInstaller

Installationsprotokolldateien

ClientSecuritySolution8.21installieren,wennfrühereVersionen vorhandensind

ThinkVantageFingerprintSoftwareinstallieren

UnbeaufsichtigteInstallation

Optionen

LenovoFingerprintSoftwareinstallieren

UnbeaufsichtigteInstallation

Optionen

SystemsManagementServer

Kapitel3.MitClientSecuritySolutionarbeiten

TPMverwenden

TPM(TrustedPlatformModule)unterWindowsVistaverwenden

ClientSecuritySolutionmitChiffrierschlüsselnverwalten

Eigentumsrechtübernehmen

Benutzerregistrieren

Softwareemulation

AustauschderSystemplatine

Schutzdienstprogramm„EFS“

XML-Schemaverwenden

Beispiele

RSASecurID-T okenverwenden

RSASecurID-Software-Tokeninstallieren

Anforderungen

Smart-Card-Zugriffsoptionenfestlegen

RSASecurID-Software-Tokenmanuellinstallieren

ActiveDirectory-Unterstützung

ErzwungeneOptionenzumUmgehendesFingerabdrucks

ErgebnisderÜberprüfungdesFingerabdrucks

Befehlszeilentools

SecurityAdvisor

InstallationsassistentfürClientSecuritySolution

ToolzurVerschlüsselungundEntschlüsselungder Implementierungsdatei

ToolzurVerarbeitungderImplementierungsdatei

TPMENABLE.EXE

ToolzumAktivierendesTPM

ActiveDirectory-Unterstützung

ADM-Schablonendateien

EinstellungenfürGruppenrichtlinien

ActiveUpdate

Kapitel4.MitThinkVantageFingerprintSoftwarearbeiten

Managementkonsolentool

BefehlefürglobaleEinstellungen

SichererModusundkomfortablerModus

SichererModus–Administrator

SichererModus-BenutzermiteingeschränkterBerechtigung

KomfortablerModus-Administrator

KomfortablerModus-BenutzermiteingeschränkterBerechtigung

FingerprintSoftwareundNovellNetwareClient

DienstefürThinkVantageFingerprintSoftware

Kapitel5.MitLenovoFingerprintSoftwarearbeiten

Managementkonsolentool

DienstefürdieLenovoFingerprintSoftware

ActiveDirectory-UnterstützungfürLenovoFingerprintSoftware

Kapitel6.BewährteVerfahren

ImplementierungsbeispielefürdieInstallationvonClientSecurity Solution

Szenario1

Szenario2

ZwischenModivonClientSecuritySolutionwechseln

ActiveDirectory-ImplementierungfürUnternehmen