Lenovo ThinkVantage Client Security Solution 8.21 Deployment Guide [de]

ClientSecuritySolution8.21 Implementierungshandbuch

Aktualisiert:ImFebruar2012

Anmerkung:VorVerwendungdieserInformationenunddesdarinbeschriebenenProduktssolltendie allgemeinenHinweiseinAnhangD„Bemerkungen“aufSeite83gelesenwerden.

DritteAusgabe(Februar2012) ©CopyrightLenovo2008,2012.

HINWEISZUEINGESCHRÄNKTENRECHTEN(LIMITEDANDRESTRICTEDRIGHTSNOTICE):WerdenDatenoder SoftwaregemäßeinemGSA-Vertrag(GeneralServicesAdministration)ausgeliefert,unterliegtdieVerwendung, VervielfältigungoderOffenlegungdeninVertragNr.GS-35F-05925festgelegtenEinschränkungen.

Inhaltsverzeichnis

Einleitung...............iii

Kapitel1.Übersicht...........1

ClientSecuritySolution............1

ClientSecuritySolution-Verschlüsselungstext..2 ClientSecurity-Kennwortwiederherstellung...2

PasswordManagervonClientSecurity....3

SecurityAdvisor.............3

AssistentzurÜbertragungvonZertikaten...4 FunktionzumZurücksetzenvon

Hardwarekennwörtern...........4

UnterstützungfürSystemeohneTPM.....4

FingerprintSoftware.............4

Kapitel2.Installation..........7

ClientSecuritySolution............7

Installationsvoraussetzungen........7

AngepassteöffentlicheMerkmale......8

TPM-Unterstützung(TrustedPlatform

Module)................8

Installationsverfahrenund

Befehlszeilenparameter..........9

ÖffentlicheStandardeigenschaftenvon

WindowsInstaller............13

Installationsprotokolldateien.......14

ClientSecuritySolution8.21installieren,wenn

frühereVersionenvorhandensind.....15

ThinkVantageFingerprintSoftwareinstallieren..15

UnbeaufsichtigteInstallation.......15

Optionen...............15

LenovoFingerprintSoftwareinstallieren.....16

UnbeaufsichtigteInstallation.......17

Optionen...............17

SystemsManagementServer.........19

Kapitel3.MitClientSecuritySolution

arbeiten................21

TPMverwenden..............21

TPM(T rustedPlatformModule)unterWindows

Vistaverwenden............21

ClientSecuritySolutionmitChiffrierschlüsseln

verwalten.................22

Eigentumsrechtübernehmen.......22

Benutzerregistrieren..........23

Softwareemulation...........25

AustauschderSystemplatine.......25

Schutzdienstprogramm„EFS“.......27

XML-Schemaverwenden..........28

Beispiele...............29

RSASecurID-Tokenverwenden........35

RSASecurID-Software-Tokeninstallieren..36

Anforderungen.............36

Smart-Card-Zugriffsoptionenfestlegen...36 RSASecurID-Software-T okenmanuell

installieren..............36

ActiveDirectory-Unterstützung......36

EinstellungenundRichtlinienfürdie AuthentizierungüberdasLesegerätfür

Fingerabdrücke..............37

ErzwungeneOptionenzumUmgehendes

Fingerabdrucks............37

ErgebnisderÜberprüfungdes

Fingerabdrucks............37

Befehlszeilentools.............38

SecurityAdvisor............38

InstallationsassistentfürClientSecurity

Solution...............39

ToolzurVerschlüsselungundEntschlüsselung

derImplementierungsdatei........40

ToolzurVerarbeitungder

Implementierungsdatei..........41

TPMENABLE.EXE...........41

ToolzurÜbertragungvonZertikaten....41

ToolzumAktivierendesTPM.......42

ActiveDirectory-Unterstützung........43

ADM-Schablonendateien.........43

EinstellungenfürGruppenrichtlinien....44

ActiveUpdate.............49

Kapitel4.MitThinkVantage

FingerprintSoftwarearbeiten....51

Managementkonsolentool..........51

BenutzerspezischeBefehle.......51

BefehlefürglobaleEinstellungen......52

SichererModusundkomfortablerModus....53

SichererModus–Administrator......53

SichererModus-Benutzermiteingeschränkter

Berechtigung.............54

KomfortablerModus-Administrator....55

KomfortablerModus-Benutzermit

eingeschränkterBerechtigung.......55

KongurierbareEinstellungen.......56

FingerprintSoftwareundNovellNetwareClient..57

Authentizierung............58

DienstefürThinkVantageFingerprintSoftware..58

©CopyrightLenovo2008,2012

Kapitel5.MitLenovoFingerprint

Softwarearbeiten...........59

Managementkonsolentool..........59

DienstefürdieLenovoFingerprintSoftware...59 ActiveDirectory-UnterstützungfürLenovo

FingerprintSoftware............59

Kapitel6.BewährteVerfahren....61

ImplementierungsbeispielefürdieInstallationvon

ClientSecuritySolution...........61

Szenario1..............61

Szenario2..............63

ZwischenModivonClientSecuritySolution

wechseln.................66

ActiveDirectory-Implementierungfür

Unternehmen...............66

Standalone-InstallationfürCDoder

Scriptdateien...............66

SystemUpdate..............66

SystemMigrationAssistant..........66

ZertikatunterVerwendungdurch

SchlüsselerstellunginTPMgenerieren.....66

Voraussetzungen:............66

ZertikatbeimServeranfordern......67

USB-TastaturmitLesegerätfür Fingerabdrückezusammenmit ThinkPad-Notebook-Computernvon2008 (R400/R500/T400/T500/W500/X200/X301)

verwenden................68

WindowsVista-Anmeldung........68

WindowsXP-Anmeldung.........69

ClientSecuritySolutionundPassword

Manager...............71

AuthentizierungvordemStarten– FingerabdruckanstellederBIOS-Kennwörter

verwenden..............71

AnhangA.HinweisezurVerwendung

vonOmniPass.............75

AnhangB.HinweisezurVerwendung desLenovoFingerprint Keyboardzusammenmiteinigen

Thinkpad-Notebookmodellen.....77

KongurationundEinrichtung.........77

Predesktop-Authentizierung.........77

Windows-Anmeldung............78

WindowsXP-Eingangsanzeige........78

WindowsXP-KlassischeAnmeldeaufforderung.78

WindowsVista...............79

AuthentizierungmitClientSecuritySolution...79

AnhangC.Windows-Kennwort nachdemZurücksetzenmitCSS

abgleichen..............81

AnhangD.Bemerkungen.......83

Marken.................84

Glossar................lxxxv

iiClientSecuritySolution8.21Implementierungshandbuch

Einleitung

DiesesHandbuchrichtetsichanIT-Administratorenbzw.anPersonen,diefürdieImplementierungvon ThinkVantage Unternehmenverantwortlichsind.DiesesHandbuchenthältdieInformationen,diezurInstallationvonClient SecuritySolutionundFingerprintSoftwareaufeinemodermehrerenComputernerforderlichsind.Dabei wirdvorausgesetzt,dassfürdieeinzelnenZielcomputerLizenzenfürdieSoftwareverfügbarsind.

DasZielvonClientSecuritySolutionundFingerprintSoftwarebestehtdarin,IhreSystemedurchdas SichernvonDatenunddurchdieAbwehrvonSicherheitsangriffenzuschützen.WennSieFragenzur VerwendungderverschiedenenKomponentenvonClientSecuritySolutionundFingerprintSoftwarehaben oderweitereInformationendazuwünschen,schlagenSieimOnlinehilfesystemzudenKomponentenunter www.lenovo.com/thinkvantagenach.

DieseHandbücherwerdeninregelmäßigenAbständenaktualisiert.KünftigeVeröffentlichungenndenSie aufderfolgendenWebsite: http://www.lenovo.com/thinkvantage

BeiVorschlägenoderBemerkungenIhrerseitswendenSiesichanIhrenautorisiertenLenovo® Ansprechpartner.

ClientSecuritySolutionundThinkVantageFingerprintSoftwareaufComputerninihren

©CopyrightLenovo2008,2012

iii

ivClientSecuritySolution8.21Implementierungshandbuch

Kapitel1.Übersicht

DiesesKapitelenthälteineÜbersichtzuClientSecuritySolutionundzurFingerprintSoftware.IT-Spezialisten protierendirektundindirektvondenimvorliegendenImplementierungshandbuchbeschriebenen Technologien,weilsiePCsbedienerfreundlicherundunabhängigermachenundleistungsfähigeTools bieten,dieImplementierungenvereinfachenunderleichtern.ThinkVantageTechnologiesermöglichenes IT-Spezialisten,wenigerZeitfüreinzelneComputerfehlerzuverwendenundsichmehraufihreKernaufgaben zukonzentrieren.

ClientSecuritySolution

DieSoftware„ClientSecuritySolution“hatvorallemdenZweck,Benutzerndabeizuhelfen,den ComputeralsRessource,vertraulicheDatenaufdemComputersowiedievomComputeraufgebauten Netzverbindungenzuschützen.(BeiLenovoSystemen,dieeinTCG-konformes(TCG-T rustedComputing Group)TPM(TrustedPlatformModule)enthalten,verwendetdieSoftware„ClientSecuritySolution“die HardwarealsSicherheitsbasisdesSystems.WenndasSystemkeinenintegriertenSicherheitschipenthält, verwendetClientSecuritySolutionChiffrierschlüsselaufSoftwarebasisalsSicherheitsbasisdesSystems.)

ClientSecuritySolutionVersion8.2bietetdiefolgendenFunktionen:

•SichereBenutzerauthentizierungmitWindows®-KennwortoderClientSecurity

Solution-Verschlüsselungstext

ClientSecuritySolutionkannsokonguriertwerden,dasseinWindows-KennwortodereinClient SecuritySolution-VerschlüsselungstextfürdieAuthentizierungakzeptiertwird.DasWindows-Kennwort istbenutzerfreundlichundüberWindowsleichtzuverwalten,währendderClientSecurity Solution-VerschlüsselungstextzusätzlicheSicherheitbietet.DerAdministratorkannauswählen,welche Authentizierungsmethodeverwendetwird,unddieseEinstellungkanngeändertwerden,auchwenn bereitsBenutzerbeiClientSecuritySolutionregistriertsind.

•BenutzerauthentizierungüberFingerabdruck

NutztdieintegrierteunddieüberUSBangeschlosseneFingerabdrucktechnologiezurAuthentizierung vonBenutzernfürkennwortgeschützteAnwendungen.

•MehrfacheBenutzerauthentizierungfürdieWindows-AnmeldungundverschiedeneVorgängein

ClientSecuritySolution

FestlegungmehrererAuthentizierungsfunktionen(Windows-Kennwort,Client Security-VerschlüsselungstextundFingerabdruck)fürverschiedeneSicherheitsoperationen.

•Kennwortmanagement

SichereVerwaltungundSpeicherungvonkritischenAnmeldedaten,wiez.B.Benutzer-IDsund Kennwörtern.

•WiederherstellungvonKennwortundVerschlüsselungstext

DieWiederherstellungvonKennwortundVerschlüsselungstextermöglichtesBenutzern,sichbei WindowsanzumeldenundaufihreClientSecuritySolution-Berechtigungsnachweisezuzugreifen,auch wennsiedasWindows-KennwortoderdenClientSecuritySolution-Verschlüsselungstextvergessen haben,indemsieaufvorkongurierteSicherheitsfragenantworten.

•Sicherheitseinstellungenüberprüfen

BenutzererhaltendieMöglichkeit,eineausführlicheListederSicherheitseinstellungenfürdieWorkstation anzuzeigenundÄnderungenvorzunehmen,umfestgelegteStandardseinzuhalten

•ÜbertragungdigitalerZertikate

ClientSecuritySolutionschütztdenprivatenSchlüsselvonBenutzer-undMaschinenzertikaten. VerwendenSieClientSecuritySolution,umdenprivatenSchlüsselIhrerbereitsvorhandenenZertikate zuschützen.

©CopyrightLenovo2008,2012

•RichtlinienverwaltungfürAuthentizierung

EinAdministratorkannauswählen,welcheEinheiten(Windows-Kennwort,ClientSecurity Solution-VerschlüsselungstextoderFingerabdruck)fürdieAuthentizierungfürfolgendeAktionen erforderlichsind:Windows-Anmeldung,PasswordManager-undZertikatoperationen.

ClientSecuritySolution-Verschlüsselungstext

DerClientSecurity-VerschlüsselungstextisteineoptionaleFunktionderBenutzerauthentizierung, dieerhöhteSicherheitfürClientSecuritySolution-Anwendungenbietet.DerClientSecurity Solution-VerschlüsselungstextmussfolgendeBedingungenerfüllen:

•ErmussausmindestensachtZeichenbestehen

•ErmussmindestenseineZifferenthalten

•ErmusssichvondenletztendreiVerschlüsselungstextenunterscheiden

•ErdarfhöchstenszweiwiederholteZeichenenthalten

•ErdarfnichtmiteinerZifferbeginnen

•ErdarfnichtmiteinerZifferenden

•ErdarfnichtdieBenutzer-IDenthalten

•Erdarfnichtgeändertwerden,wennderaktuelleVerschlüsselungstextwenigeralsdreiTagealtist

•ErdarfnichtdreiaufeinanderfolgendeZeichenenthalten,dieauchindemaktuellenVerschlüsselungstext enthaltensind,unabhängigvonihrerPosition

•ErdarfnichtmitdemWindows-Kennwortübereinstimmen.

DerClientSecuritySolution-VerschlüsselungstextistnurdembetreffendenBenutzerbekannt.Dieeinzige Möglichkeit,einenvergessenenClientSecuritySolution-Verschlüsselungstextwiederherzustellen,besteht darin,dieClientSecuritySolution-Kennwortwiederherstellungzuverwenden.WennderBenutzerdie AntwortenaufdieWiederherstellungsfragenvergisst,gibteskeineMöglichkeitmehr,diedurchdenClient SecuritySolution-VerschlüsselungstextgeschütztenDatenwiederherzustellen.

ClientSecurity-Kennwortwiederherstellung

DieseoptionaleFunktionermöglichtesregistriertenBenutzern,einvergessenesWindows-Kennwortoder einenvergessenenClientSecuritySolution-VerschlüsselungstextdurchdasBeantwortendreierFragen wiederherzustellen.WenndieseFunktionaktiviertist,wählenSiedreiAntwortenaufzehnvorausgewählte Fragenaus.WennSieIhrWindows-KennwortoderIhrenClientSecurity-Verschlüsselungstext vergessen,habenSiedieMöglichkeit,diesedreiFragenzubeantworten,umIhrKennwortoderIhren Verschlüsselungstextzurückzusetzen.

Anmerkungen:

1.BeiVerwendungdesClientSecurity-VerschlüsselungstextesistdiesdieeinzigeMöglichkeit,einen vergessenenVerschlüsselungstextwiederherzustellen.WennSiedieAntwortenaufdiedreiFragen vergessen,müssenSiedenRegistrierungsassistentenerneutausführenundverlierenallezuvorvon ClientSecuritygesichertenDaten.

2.BeiderVerwendungvonClientSecurityzumSchützenderRescueandRecovery®Predesktop AreazeigtdieOption„PasswordRecovery“IhrenClientSecurity-Verschlüsselungstextund/oder dasWindows-Kennwortan.DerVerschlüsselungstextoderdasKennwortwirdangezeigt,weildas Windows-KennwortvonderPredesktop-Umgebungnichtautomatischgeändertwerdenkann.Der VerschlüsselungstextoderdasKennwortwirdauchdannangezeigt,wenneinmobilerBenutzer (nichtmitdemNetzverbundene,lokalzwischengespeicherteDomäne)dieseFunktionbeider Windows-Anmeldungausführt.

2ClientSecuritySolution8.21Implementierungshandbuch

PasswordManagervonClientSecurity

MitdemPasswordManagervonClientSecuritySoftwarekönnenSieleichtzuvergessendeDatenfür AnwendungenundWebsites,wiez.B.Benutzer-IDs,KennwörterundanderepersönlicheDaten,verwalten. DerPasswordManagervonClientSecurityschütztIhrepersönlichenDatenüberClientSecuritySolution, sodassderZugriffaufIhreAnwendungenundIhreWebsitesvollkommensicherbleiben.DerPassword ManagervonClientSecurityverringertIhrenZeit-undArbeitsaufwand,daSiesichnureinKennwortoder einenVerschlüsselungstextmerkenbzw.nureinmalIhrenFingerabdruckbereitstellenmüssen.

DerPasswordManagervonClientSecuritySoftwarebietetdiefolgendenFunktionen:

•VerschlüsselnallergespeichertenDatenüberdieClientSecuritySolution-Software:

VerschlüsseltautomatischalleIhreDatenüberClientSecuritySolution.Ihrekritischen KennwortinformationenwerdendurchdieVerschlüsselungsschlüsselvonClientSecuritySolution gesichert.

•AutomatischesAusfüllenvonBenutzer-IDsundKennwörtern:

AutomatisiertIhrenAnmeldeprozess,wennSieaufeineAnwendungodereineWebsitezugreifen.Wenn IhreAnmeldedatenindenPasswordManagervonClientSecurityeingegebenwurden,kannderPassword ManagervonClientSecurityautomatischdieerforderlichenFelderausfüllenundandieWebsiteoderan dieAnwendungübergeben.

•BearbeitungvonEinträgenüberdieSchnittstelledesPasswordManagersvonClientSecurity:

SiekönnendieBearbeitungallerIhrerBenutzerkontoeinträgeunddieKongurationalleroptionalen FunktionenübereineeinzigebenutzerfreundlicheSchnittstellevornehmen.DieVerwaltungIhrer KennwörterundIhrerpersönlichenDatenerfolgtüberdieseSchnittstelleschnellundeinfach.Diemeisten eingabebezogenenÄnderungenkönnenautomatischvomPasswordManagervonClientSecurityerkannt werden,sodassderBenutzerdieEingabensogarmitnochgeringeremAufwandaktualisierenkann.

•SpeichernderDatenohnezusätzlicheSchritte:

DerPasswordManagervonClientSecuritykannautomatischerkennen,wennkritischeDatenaneine bestimmteWebsiteoderAnwendunggesendetwerden.WenneinesolcheErkennungstattndet,fordert derPasswordManagervonClientSecuritydenBenutzerauf,dieDatenzuspeichern,wodurchder ProzessdesSpeichernskritischerDatenvereinfachtwird.

•SpeichernallerDatenineinemsicherenArbeitspuffer:

MitdemPasswordManagervonClientSecuritykannderBenutzeralleTextdateninsicheren Arbeitspuffernspeichern.DiesicherenArbeitspufferdesBenutzerskönnenmitderselbenSicherheitsstufe wiealleanderenEinträgefürWebsitesoderAnwendungengeschütztwerden.

•ExportierenundImportierenvonAnmeldedaten:

SiekönnenIhrekritischenpersönlichenDatenexportieren,umsiesichervoneinemComputerzueinem anderenzuübertragen.WennSieIhreAnmeldedatenausdemPasswordManagervonClientSecurity Softwareexportieren,wirdeinekennwortgeschützteExportdateierstellt,dieaufeinemaustauschbaren Datenträgergespeichertwerdenkann.MitdieserDateikönnenSieüberallaufIhrepersönlichenDaten zugreifenoderIhreEinträgeaufeinemanderenComputermitdemPasswordManagerimportieren.

Anmerkung:VollständigeImportunterstützungistfürExportdateienfürdieVersionen7.0und8.x vonClientSecuritySolutionverfügbar.FürClientSecuritySolutionVersion6.0isteingeschränkte Unterstützungverfügbar(Anwendungseinträgewerdennichtimportiert).VersionenvonClientSecurity SoftwarebiseinschließlichVersion5.4xwerdennichtindenPasswordManagervonClientSecurity SolutionVersion8.ximportiert.

SecurityAdvisor

MitdemT ool„SecurityAdvisor“könnenSieeineZusammenfassungderSicherheitseinstellungenanzeigen, diezurzeitaufIhremComputerfestgelegtsind.SiekönnendieseEinstellungenverwenden,umIhren aktuellenSicherheitsstatusanzuzeigenoderumIhreSystemsicherheitzuverbessern.Dieangezeigten

Kapitel1.Übersicht3

KategoriestandardwertekönnenüberdieWindows-Registrierungsdatenbankgeändertwerden.Zuden Sicherheitskategoriengehörenz.B.:

•Hardwarekennwörter

•Windows-Benutzerkennwörter

•RichtliniefürWindows-Kennwörter

•GeschützterBildschirmschoner

•GemeinsamerDateizugriff

AssistentzurÜbertragungvonZertikaten

DerCSS-AssistentzurÜbertragungvonZertikatenführtSiedurchdieeinzelnenSchrittezurÜbertragung derIhrenZertikatenzugeordnetenprivatenSchlüsselvomsoftwarebasiertenMicrosoftCryptographicServiceProvider)zumhardwarebasiertenCSS-CSP(ClientSecuritySolutionCSP).Nach dieserÜbertragungsindOperationen,beidenendieZertikateverwendetwerden,sicherer,dadieprivaten SchlüsseldurchClientSecuritySolutiongeschütztsind.

CSP(CSP-

FunktionzumZurücksetzenvonHardwarekennwörtern

MitdiesemToolkönnenSieeinesichereUmgebungeinrichten,dieunabhängigvonWindowsausgeführt wirdunddieIhnenhilft,einvergessenesStart-oderFestplattenkennwortzurückzusetzen.IhreIdentitätwird überprüft,indemSieeineReihevonFragenbeantworten,dieSievorherselbstfestlegen.ErstellenSiediese sichereUmgebungmöglichst,bevorSieeinKennwortvergessen.SiekönneneinvergessenesKennworterst zurücksetzen,wenndiesesichereUmgebungaufIhremFestplattenlaufwerkeingerichtetistundSiesich registrierthaben.DiesesToolstehtnuraufausgewähltenComputernzurVerfügung.

UnterstützungfürSystemeohneTPM

ClientSecuritySolutionVersion8.2unterstütztLenovoSysteme,dieüberkeinenkompatiblenintegrierten Sicherheitschipverfügen.DieseUnterstützungermöglichteineStandardinstallationimgesamten UnternehmenzurErstellungeinerkonsistentenSicherheitsumgebung.DieSysteme,dieüberdie integrierteSicherheitshardwareverfügen,sindgegenAngriffebessergeschützt.Aberauchdienurmitder SicherheitssoftwareausgestattetenSystemeprotierenvoneinerhöherenSicherheitundeinerbesseren Funktionalität.

FingerprintSoftware

DiebiometrischenFingerabdrucktechnologienvonLenovosollenKundenhelfen,dieKostenfürdie VerwaltungvonKennwörternzusenken,dieSicherheitihrerSystemezuerhöhenundgesetzliche Bestimmungeneinzuhalten.ZusammenmitdenLesegerätenfürFingerabdrückevonLenovoermöglicht FingerprintSoftwaredieAuthentizierungperFingerabdruckbeiPCsundNetzwerken.InKombinationmit ClientSecuritySolutionVersion8.2bietetFingerprintSoftwareerweiterteFunktionalität.FürClientSecurity Solution8.21werdensowohlThinkVantageFingerprintSoftware5.8.2alsauchLenovoFingerprintSoftware

2.0fürverschiedeneMaschinentypenunterstützt.SiekönnendieFingerprintSoftwarevonderLenovo WebsiteherunterladenoderweitereInformationenzuLenovoFingerabdrucktechnologienaufderfolgenden Websitenden:http://www.lenovo.com/support/site.wss/MIGR-59650.html

FingerprintSoftwarebietetdiefolgendenFunktionen:

•Client-Software-Funktionen –ErsetzendesMicrosoftWindows-Kennworts:

Ersetztfüreineneinfachen,schnellenundsicherenSystemzugriffIhrKennwortdurchIhren Fingerabdruck.

4ClientSecuritySolution8.21Implementierungshandbuch

–ErsetzendesBIOS-Kennworts(desStartkennworts)unddesKennwortsfürdas

Festplattenlaufwerk:

ErsetztdieseKennwörterdurchIhrenFingerabdruck,wodurchdieSicherheitundderKomfortbeider Anmeldungerhöhtwerden.

–AuthentizierungüberFingerabdruckvordemBootenfürVerschlüsselungdesgesamten

LaufwerksmitSafeGuardEasy:

VerwendetdieAuthentizierungüberFingerabdruckzumVerschlüsselndesFestplattenlaufwerksvor demStartenvonWindows.

–ZugriffaufdasBIOSundaufWindowsmiteinereinzigenÜberprüfung:

SiemüssenIhrenFingerabdrucknureineinzigesMalüberprüfenlassen,umZugriffaufdasBIOSund aufWindowszuerhalten,undsparendadurchwertvolleZeit.

–IntegrationinClientSecuritySolution:

GemeinsameVerwendungmitdemPasswordManagervonClientSecuritySolutionundNutzungdes TPMs(T rustedPlatformModule).NacheinerÜberprüfungdesFingerabdruckskönnenBenutzerauf WebsiteszugreifenundAnwendungenauswählen.

•Administratorfunktionen –WechselzwischenSicherheitsmodi:

EinAdministratorkannzwischeneinemsicherenundeinemkomfortablerenModushin-und herschalten,umdieZugriffsberechtigungenvonBenutzernmiteingeschränkterBerechtigungzu ändern.

•Sicherheitsfunktionen –Softwaresicherheit:

ZumSchutzvonBenutzerschablonendurcheinestarkeVerschlüsselung,wennsieineinemSystem gespeichertsindundwennsievomLesegerätzurSoftwareübertragenwerden.

–Hardwaresicherheit:

VerwendenSieeinSicherheitslesegerätmiteinemKoprozessor,derFingerabdruckmuster, BIOS-KennwörterundVerschlüsselungsschlüsselspeichertundschützt.

Kapitel1.Übersicht5

6ClientSecuritySolution8.21Implementierungshandbuch

Kapitel2.Installation

DiesesKapitelenthältAnweisungenzumInstallierenvonClientSecuritySolutionundFingerprintSoftware. BevorSieClientSecuritySolutionoderFingerprintSoftwareinstallieren,solltenSiedieArchitekturder betreffendenAnwendungkennen.DiesesKapitelenthältInformationenzurArchitekturdereinzelnen AnwendungenundweitereInformationen,dieSievorderInstallationderProgrammebenötigen.

ClientSecuritySolution

DasInstallationspaketfürClientSecuritySolutionwurdemitInstallShield10.5PremieralsBasic-MSI-Projekt entwickelt.InstallShieldverwendetWindowsInstallerzumInstallierenvonAnwendungen,wodurch AdministratorenzahlreicheMöglichkeitenerhalten,Installationenanzupassen,wiez.B.durchdasFestlegen vonEigenschaftswertenüberdieBefehlszeile.IndiesemKapitelwerdenMöglichkeitenzumVerwenden undAusführendesInstallationspaketsfürClientSecuritySolutionbeschrieben.LesenSiezumbesseren VerständniszunächstdasganzeKapitel,bevorSiemitderInstallationderPaketebeginnen.

Anmerkung:LesenSiefürdieInstallationdieserPaketedieReadme-DateifürClientSecuritySolution. WeitereInformationenerhaltenSieaufderfolgendenLenovoWebsite: http://www.lenovo.com/support/site.wss/document.do?sitestyle=lenovo&lndocid=HOME-LENOVO DieReadme-DateienthältEchtzeitdatenzuThemenwieSoftwareversionen,unterstütztenSystemenund SystemvoraussetzungensowieweitereHinweise,diefürSiebeimInstallationsprozesshilfreichsind.

Installationsvoraussetzungen

DieInformationenindiesemAbschnittenthaltendieSystemvoraussetzungenfürdasInstallierendesClient SecuritySolution-Pakets.RufenSiediefolgendeWebsiteauf,umzuprüfen,obSieüberdieneueste Softwareversionverfügen: http://support.lenovo.com/en_US/downloads/detail.page?LegacyDocID=MIGR-61432

EinigeherkömmlicheComputerkönnenClientSecuritySolutionunterstützen,sofernsiedie angegebenenSystemvoraussetzungenerfüllen.InformationendazundenSieaufderWebsiteunter http://support.lenovo.com/en_US/downloads/detail.page?LegacyDocID=MIGR-61432Informationenzu LegacyComputeran,dieClientSecuritySolutionunterstützen.

VoraussetzungenfürLenovoComputer

LenovoComputermüssenmindestensdiefolgendenVoraussetzungenerfüllen,damitClientSecurity Solutioninstalliertwerdenkann:

•Betriebssystem:WindowsVista

•Speicher:256MB –BeiKongurationenmitgemeinsamgenutztemSpeichermussdieBIOS-Einstellungfürdenmaximal

gemeinsamgenutztenSpeichermindestens8MBbetragen.

–BeiKongurationenmitnichtgemeinsamgenutztemSpeicherbeträgtdieseEinstellung120MBan

nichtgemeinsamgenutztemSpeicher.

•InternetExplorerabVersion5.5mussinstalliertsein.

•300MBfreierSpeicherbereichaufdemFestplattenlaufwerk.

•VGA-kompatiblerBildschirm,dereineAuösungvon800x600und24-Bit-Farbmodusunterstützt.

•DerBenutzermussüberdieentsprechendenVerwaltungsberechtigungenverfügen,umClientSecurity Solutionzuinstallieren.

•ZusätzlicheVoraussetzungenfürdieFunktionzumZurücksetzenvonHardwarekennwörtern:NTFS undWindowsXP .

,WindowsVistamitService-Pack1oderWindowsXPmitService-Pack

©CopyrightLenovo2008,2012

Anmerkung:DasImplementierendesClientSecuritySolution-InstallationspaketsunterWindowsServer

2003wirdnichtunterstützt.

AngepassteöffentlicheMerkmale

DasInstallationspaketfürdasProgramm„ClientSecuritySoftware“verfügtübereineReihevonangepassten öffentlichenMerkmalen,diebeiderAusführungderInstallationüberdieBefehlszeilefestgelegtwerden können.DiefolgendeTabelleenthältdieangepasstenöffentlichenMerkmalefürWindowsXPundWindows 2000:

Tabelle1.ÖffentlicheMerkmale

EigenschaftBeschreibung

EMULATIONMODEGibtan,dassdieInstallationimEmulationsmodus

erzwungenwird,auchwennbereitseinTPMvorhandenist. GebenSieinderBefehlszeileEMULATIONMODE=1ein, umdieInstallationimEmulationsmodusvorzunehmen.

HALTIFTPMDISABLEDWennsichdasTPMiminaktiviertenStatusbendetund

dieInstallationimBefehlszeilenmodusausgeführtwird, lautetdieStandardeinstellungfürdieInstallation,dass sieimEmulationsmodusfortgesetztwird.Verwenden SiedasMerkmalHALTIFTPMDISABLED=1,wenndie InstallationimBefehlszeilenmodusausgeführtwird,um dieInstallationanzuhalten,wenndasTPMinaktiviertist.

NOCSSWIZARDLegenSieinderBefehlszeile„NOCSSWIZARD=1“

fest,umzuverhindern,dassdasClientSecurity Solution-DialogfensterfürdieRegistrierungautomatisch angezeigtwird,nachdemClientSecuritySolution installiertwurde.DiesesMerkmalistfüreinen Administratorkonguriert,derClientSecuritySolution installieren,dasSystemjedocherstspätermitHilfevon Scriptskongurierenmöchte.

CSS_CONFIG_SCRIPTLegenSieCSS_CONFIG_SCRIPT=„Dateiname“oder

„Dateiname_Kennwort“fest,umeineKongurationsdatei auszuführen,nachdemeinBenutzerdieInstallation abgeschlossenundeinenNeustartdurchgeführthat.

SUPERVISORPWLegenSieinderBefehlszeile

SUPERVISORPW=„Kennwort“fest,umein Administratorkennwortbereitzustellen,umdenChip fürdieInstallationimBefehlszeilenmodusoderin einemanderenModuszuaktivieren.WennderChip inaktiviertistunddieInstallationimBefehlszeilenmodus ausgeführtwird,mussdasrichtigeAdministratorkennwort eingegebenwerden,umdenChipzuaktivieren. AndernfallswirdderChipnichtaktiviert.

PWMGRMODEGebenSieinderBefehlszeilePWMGRMODE=1ein,um

nurPasswordManagerzuinstallieren.

NOSTARTMENUGebenSieinderBefehlszeileNOSTARTMENU=1ein,

umzuverhindern,dassimStartmenüeinDirektaufruf generiertwird.

TPM-Unterstützung(TrustedPlatformModule)

ClientSecuritySolutionVersion8.2unterstütztdieintegrierteSicherheitshardwaredesComputers,dassog. TPM(T rustedPlatformModule)(TPM).UnterWindows2000undXPmüssenSiemöglicherweiseTreiber fürdasTPMIhresSystemsherunterladen.WennSieWindowsVistaausführenundIhrComputereinvom

8ClientSecuritySolution8.21Implementierungshandbuch

BetriebssystemunterstütztesTPMenthält,verwendetClientSecuritySolutiondievomBetriebssystem bereitgestelltenTreiber.

FürdasAktivierendesTMPistmöglicherweiseeinWarmstarterforderlich,dadasTPMdurchdas System-BIOSaktiviertwird.WennSieWindowsVistaausführen,werdenSiemöglicherweisebeim Systemstartdazuaufgefordert,dieAktivierungdesTPMSzubestätigen.

BevordasTPMirgendwelcheFunktionenausführenkann,mussdasEigentumsrechtinitialisiertwerden. JedesSystemerhälteinenClientSecuritySolution-Administrator,derdieClientSecuritySolution-Optionen verwaltet.DieserAdminstratormussübereineWindows-Administratorberechtigungverfügen.Der AdministratorkannmitHilfevonXML-Implementierungsscriptsinitialisiertwerden.

NachdemdasEigentumsrechtfürdasSystemkonguriertist,wirdfürjedenweiterenWindows-Benutzer, dersichamSystemanmeldet,automatischderKongurationsassistentvonClientSecuritySoftware aufgerufen,damitderBenutzersichregistrierenkannunddieentsprechendenSicherheitsschlüsselund BerechtigungsnachweisedesBenutzersinitialisiertwerden.

Software-EmulationfürTPM

ClientSecuritySolutionkannaufbestimmtenSystemenohnedasTPMausgeführtwerden.DieFunktionalität istdabeidieselbe,außerdassanstellevonhardwaregeschütztenSchlüsselnSchlüsselaufSoftwarebasis verwendetwerden.DieSoftwarekannauchmiteinemSchalterinstalliertwerden,dersiezwingt,immer SchlüsselaufSoftwarebasisanstelledesTPMszuverwenden.DieEntscheidung,obdieserSchalter verwendetwerdensoll,mussbeiderInstallationgetroffenwerden.SiekannohneeineDeinstallationund eineerneuteInstallationderSoftwarenichtrückgängiggemachtwerden.

DieSyntaxzumErzwingeneinerSoftware-EmulationdesTPMslautetwiefolgt:

InstallFile.exe“/vEMULATIONMODE=1”

InstallationsverfahrenundBefehlszeilenparameter

MicrosoftWindowsInstallerstelltverschiedeneVerwaltungsfunktionenüberBefehlszeilenparameterbereit. WindowsInstallerkanneineadministrativeInstallationeinerAnwendungodereinesProduktsineinem NetzwerkzurVerwendungdurchArbeitsgruppenoderzurkundenspezischenAnpassungdurchführen. Befehlszeilenoptionen,fürdieeinParametererforderlichist,müssenohneLeerzeichenzwischenderOption unddemzugehörigenParameterangegebenwerden.Beispiele:

setup.exe/s/v"/qnREBOOT=”R”"

istgültig,aber

setup.exe/s/v"/qnREBOOT=”R”"

ungültig.

Anmerkung:DasStandardverhaltenbeieineralleinausgeführtenInstallation(AusführungderDatei „setup.exe“ohneParameter)bestehtdarin,dassderBenutzernachAbschlussderInstallationdazu aufgefordertwird,denComputererneutzustarten.EinNeustartistfürdasordnungsgemäßeFunktionieren desProgrammserforderlich.DerNeustartkanndurcheinenBefehlszeilenparameterfüreineunbeaufsichtigte Installationverzögertwerden(eineBeschreibungdazundenSieimvorherigenAbschnittundimAbschnitt mitdenBeispielen).

BeimClientSecuritySolution-InstallationspaketentpackteineadministrativeInstallationdie InstallationsquellendateienaneineangegebenePosition.

UmeineadministrativeInstallationauszuführen,führenSiedasInstallationspaketüberdieBefehlszeilemit demParameter/aaus:

setup.exe/a

Kapitel2.Installation9

EineadministrativeInstallationstellteinenAssistentenbereit,derdenAdministratorauffordert,die SpeicherpositionenzumEntpackenderInstallationsdateienanzugeben.InderStandardeinstellungwerden dieDateienaufLaufwerkC:\extrahiert.SiekönneneineanderePositionaufanderenLaufwerkenalsC:\ auswählen,z.B.anderelokaleLaufwerkeoderzugeordneteNetzlaufwerke.SiekönnenindiesemSchritt auchneueVerzeichnisseerstellen.

UmeineadministrativeInstallationunbeaufsichtigtauszuführen,könnenSiedasöffentlicheMerkmal TARGETDIRinderBefehlszeilefestlegen,umdiePositionfürdieExtraktionanzugeben:

setup.exe/s/v"/qnTARGETDIR=F:\TVTRR"

oder

msiexec.exe/i"ClientSecurity-PasswordManager.msi"/qnTARGERDIR=F:\TVTRR

Anmerkung:WennIhreVersionvonWindowsInstallernichtaktuellist,wirddurchdieDatei„setup.exe“, diesokonguriertist,dassWindowsInstalleraktualisiertwird,dieWindowsInstaller-Steuerkomponente aufVersion3.0aktualisiert.DurchdieseAktualisierungwirdvonderInstallationsaktioneineAufforderung zumDurchführeneinesWarmstartsausgegeben,auchwenneineadministrativeInstallationmit selbstextrahierendemInstallationspaketdurchgeführtwird.VerwendenSiedieFunktionfürden ordnungsgemäßenWarmstart,umindieserSituationeinenWarmstartzuverhindern.WennWindows InstallermindestensinVersion3.0vorliegt,versuchtdieDatei„setup.exe“nicht,dieWindows Installer-Steuerkomponentezuaktualisieren.

WenneineadministrativeInstallationabgeschlossenist,kannderAdministratordieQuellendateienanpassen, indemerbeispielsweiseEinstellungenzurRegistrierungsdatenbankhinzufügt.ZumStartenderInstallation ausdenextrahiertenQuellendateienmussderBenutzernachAbschlussderAnpassungendieDatei „msiexec.exe“übereineBefehlszeileaufrufenunddabeidenNamenderextrahiertenMSI-Dateiangeben.

DiefolgendenParameterundBeschreibungensindinderHilfedokumentationfürInstallShieldDeveloper enthalten.Parameter,dienichtfürBasicMSI-Projektegelten,wurdenentfernt.

Tabelle2.Parameter

ParameterBeschreibung

/a:AdministrativeInstallationDurchdenSchalter/aführtsetup.exeeineadministrative

Installationaus.BeieineradministrativenInstallation werdenIhreDatendateienineindurchdenBenutzer angegebenesVerzeichniskopiert(undentpackt),aberes werdenkeineVerknüpfungenerstellt,keineCOM-Server registriertundkeinProtokollzurDeinstallationerstellt.

/x:DeinstallationsmodusDurchdenSchalter/xdeinstalliertsetup.exeeinzuvor

installiertesProdukt.

/s:UnbeaufsichtigterModusDurchdenBefehlsetup.exe/swirddas

Initialisierungsfenstervonsetup.exefüreinBasic MSI-Installationsprogrammunterdrückt,abereswird keineAntwortdateigelesen.BeiBasicMSI-Projekten werdenkeineAntwortdateienfürunbeaufsichtigte Installationenerstelltoderverwendet.UmeinBasic MSI-Produktunbeaufsichtigtauszuführen,führen SiedieBefehlszeilesetup.exe/s/v/qnaus.(Zur AngabederWertevonöffentlichenMerkmalenfüreine unbeaufsichtigteBasicMSI-InstallationkönnenSieeinen Befehlwiez.B.setup.exe/s/v„/qnINST ALLDIR=D:\Ziel“ verwenden.)

/v:ArgumenteanMsiexecübergebenDasArgument/vwirdverwendet,umBefehlszeilenschalter

undWertevonöffentlichenMerkmalenanmsiexec.exezu übergeben.

10ClientSecuritySolution8.21Implementierungshandbuch

Tabelle2.Parameter(Forts.)

ParameterBeschreibung

/L:SprachebeiderInstallationBenutzerkönnendenSchalter/Lmitderdezimalen

Sprachen-IDverwenden,umdieSpracheanzugeben, dieineinemmehrsprachigenInstallationsprogramm verwendetwerdensoll.DerBefehl,umDeutschals Spracheanzugeben,lautetbeispielsweisesetup.exe /L1031.

/w:WartenBeieinemBasicMSI-Projektwirdsetup.exedurchdas

Argument/wgezwungen,mitdemBeendenbiszum AbschlussderInstallationzuwarten.WennSiedie Option/wineinerBatchdateiverwenden,solltenSiedem Befehlszeilenparametervonsetup.exemöglicherweise start/WAITvoranstellen.EinBeispielimrichtigenFormat hierzusiehtwiefolgtaus:

start/WAITsetup.exe/w

Programm„msiexec.exe“verwenden

UmnachdemVornehmenvonAnpassungeneineInstallationmithilfederentpacktenQuellendatei auszuführen,mussderBenutzerdasProgramm„msiexec.exe“überdieBefehlszeileaufrufenunddabeiden Namenderentpackten*.MSI-Dateiangeben.DasProgramm„msiexec.exe“istdieausführbareDateides Installationsprogramms,daszurInterpretationderInstallationspaketeundzurInstallationderProdukteauf Zielsystemenverwendetwird.

msiexec/i"C:\WindowsFolder\Proles\UserName\ Personal\MySetups\projectname\productconguration\releasename\ DiskImages\Disk1\productname.msi"

Anmerkung:GebenSiedenobenangegebenenBefehlineineeinzigeZeileein,ohneLeerzeichennachden Schrägstrichen.

InderfolgendenTabellesinddieverfügbarenBefehlszeilenparameterbeschrieben,diezusammenmitder Datei„msiexec.exe“verwendetwerdenkönnen.ZudementhältsieVerwendungsbeispiele.

Tabelle3.Befehlszeilenparameter

ParameterBeschreibung

/IPaketoderProduktcodeVerwendenSiezurInstallationdesProduktsfolgendesFormat:

Othello:msiexec/i"C:\WindowsF older\Proles\ UserName\Personal\MySetups \Othello\TrialVersion\ Release\DiskImages\Disk1\ OthelloBeta.msi"

DerProduktcodeverweistaufdieGUID(GloballyUniqueIdentier),dieim ProduktcodemerkmalinderProjektansichtfürdasProduktautomatisch generiertwird.

/aPaketMitdemParameter/akönnenBenutzermitAdministratorrechteneinProdukt

imNetzwerkinstallieren.

/xPaketoderProduktcodeMitdemParameter/xwirdeinProduktdeinstalliert.

Kapitel2.Installation11

Tabelle3.Befehlszeilenparameter(Forts.)

ParameterBeschreibung

/L[i|w|e|a|r|u|c|m|p|v|+]Protokolldatei

/q[n|b|r|f]

/?oder/hBeideBefehlezeigendenCopyrightvermerkfürWindowsInstalleran.

TRANSFORMSMitdemBefehlszeilenparameterTRANSFORMSkönnenSieUmsetzungen

MitdemParameter/LwirdderPfadzurProtokolldateiangegeben.Die folgendenFlagsgebenan,welcheInformationeninderProtokolldatei gespeichertwerdensollen:

•iprotokolliertStatusnachrichten

•wprotokolliertnichtschwerwiegendeWarnungen

•eprotokolliertFehlernachrichten

•aprotokolliertdenBeginnvonAktionsfolgen

•rprotokolliertaktionsspezischeAufzeichnungen

•uprotokolliertBenutzeranforderungen

•cprotokolliertdieSchnittstellenparameterfürdenErstbenutzer

•mprotokolliertNachrichtenzurÜberschreitungderSpeicherkapazität

•pprotokolliertTerminaleinstellungen

•vprotokolliertdieEinstellungfürausführlicheAusgabe

•+wirdeinervorhandenenDateihinzugefügt

•*isteinPlatzhalterzeichen,mitdemSiealleInformationenprotokollieren können(außerderEinstellungfürausführlicheAusgabe)

MitdemParameter/qwirddieStufederBenutzerschnittstelleinVerbindung mitdenfolgendenFlagsangegeben:

•mitqoderqnwirdkeineBenutzerschnittstelleerstellt

•mitqbwirdeineBasisbenutzerschnittstelleerstellt

DiefolgendenEinstellungenfürdieBenutzerschnittstellebewirkendieAnzeige einesModaldialogfenstersamEndederInstallation:

•mitqrwirddieBenutzerschnittstelleverkleinertangezeigt

•mitqfwirddieBenutzerschnittstelleinVollgrößeangezeigt

•mitqn+wirddieBenutzerschnittstellenichtangezeigt

•mitqb+wirdeineBasisbenutzerschnittstelleangezeigt

angeben,dieSiefürIhrBasispaketanwendenmöchten.

msiexec/i"C:\WindowsFolder\ Proles\UserName\Personal \MySetups\ YourProjectName\TrialVersion\ MyRelease-1 \DiskImages\Disk1\ ProductName.msi"TRANSFORMS="NewTransform1.mst"

Merkmale

12ClientSecuritySolution8.21Implementierungshandbuch

MehrereUmsetzungenkönnendurchSemikolonsvoneinandergetrennt werden.VerwendenSiekeineSemikolonsimNamen,denSieumsetzen,da diesersonstvomWindowsInstaller-Servicefalschinterpretiertwird.

AlleöffentlichenMerkmalekönnenüberdieBefehlszeilefestgelegtoder geändertwerden.DieöffentlichenMerkmaleunterscheidensichvon denprivatenMerkmalendurchdieausschließlicheVerwendungvon Großbuchstaben.FIRMENNAMEistzumBeispieleinöffentlichesMerkmal.

ZumFestlegeneinesMerkmalsüberdieBefehlszeileverwendenSiedie folgendeSyntax:

PROPERTY=VALUE

WennSiedenWertvonFIRMENNAMEändernmöchten,gebenSieFolgendes ein:

msiexec/i"C:\WindowsFolder\ Proles\UserName\Personal\ MySetups\YourProjectName\ TrialVersion\MyRelease-1\

Tabelle3.Befehlszeilenparameter(Forts.)

ParameterBeschreibung

DiskImages\Disk1\ProductName.msi" COMPANYNAME="InstallShield"

ÖffentlicheStandardeigenschaftenvonWindowsInstaller

WindowsInstallerverfügtübereineReihevonstandardmäßigintegriertenöffentlichenEigenschaften,die überdieBefehlszeilefestgelegtwerdenkönnen,umeinbestimmtesVerhaltenbeiderInstallationanzugeben. InderfolgendenTabellesinddieüblichstenöffentlichenMerkmale,dieinderBefehlszeileverwendet werden,beschrieben.

WeitereInformationenndenSieaufderMicrosoft-Websiteunter: http://msdn2.microsoft.com/en-us/library/aa367437.aspx

InderfolgendenT abellewerdendieallgemeinverwendetenEigenschaftenvonWindowsInstallerangezeigt:

Tabelle4.EigenschaftenvonWindowsInstaller

EigenschaftBeschreibung

TARGETDIRGibtdasStammzielverzeichnisfürdieInstallationan.Bei

eineradministrativenInstallationgibtdiesesMerkmaldie Positionan,andiedasInstallationspaketkopiertwird.

ARPAUTHORIZEDCDFPREFIX

ARPCOMMENTSStelltKommentarezumHinzufügenoderEntfernenvon

ARPCONTACTStelltdenKontaktzumHinzufügenoderEntfernenvon

ARPINSTALLLOCA TION

ARPNOMODIFY

ARPNOREMOVE

ARPNOREPAIRInaktiviertdieSchaltächezumReparierenim

ARPPRODUCTICONGibtdasprimäreSymbolfürdasInstallationspaketan.

ARPREADME

ARPSIZEDiegeschätzteGrößederAnwendunginKilobytes.

ARPSYSTEMCOMPONENT

ARPURLINFOABOUT

DerURLdesAktualisierungskanalsderAnwendung.

ProgrammeninderSystemsteuerungbereit.

ProgrammeninderSystemsteuerungher.

DervollständigqualiziertePfadzumPrimärordnerder Anwendung.

InaktiviertdieFunktionen,durchdiedasProduktgeändert werdenkönnte.

InaktiviertdieFunktionen,durchdiedasProduktentfernt werdenkönnte.

Programmassistenten.

StellteineReadme-DateizumHinzufügenoderEntfernen vonProgrammeninderSystemsteuerungbereit.

VerhindertdasAnzeigenvonAnwendungeninderListe zumHinzufügenundEntfernenvonProgrammen.

URLderHomepageeinerAnwendung.

Kapitel2.Installation13

Tabelle4.EigenschaftenvonWindowsInstaller(Forts.)

EigenschaftBeschreibung

ARPURLUPDATEINFO

REBOOTDasMerkmalREBOOTunterdrücktbestimmte

URLfürInformationenzurAnwendungsaktualisierung.

AufforderungenfüreinenNeustartdesSystems.Ein AdministratorverwendetdiesesMerkmalnormalerweise beieinerReihevongleichzeitigenInstallationen verschiedenerProdukte,beidenenamEndenurein Neustartdurchgeführtwird.LegenSieREBOOT=„R“fest, umalleNeustartsamEndedereinzelnenInstallationen zuinaktivieren.

Installationsprotokolldateien

DieInstallationsprotokolldateifürClientSecuritySolutionheißt„cssinstall82x32.log“(unterWindowsXPund WindowsVista32)oder„css64install82V.log“(unterWindowsVista64)undwirdimVerzeichnis„%temp%“ erstellt,wenndieKongurationüberdieDatei„setup.exe“gestartetwird(durchDoppelklickenaufdieDatei fürdieHauptinstallation„install.exe“,durchAusführenderausführbarenDateifürdieHauptinstallation ohneParameteroderdurchExtrahierenderDateimitderErweiterung„.msi“undAusführenderDatei „setup.exe“).DieseDateienthältProtokollnachrichten,diezumBehebenvonInstallationsfehlernverwendet werdenkönnen.DieseProtokolldateiwirdnichterstellt,wenndieInstallationdirektüberdasMSI-Paket ausgeführtwird.DazugehörenauchdieAktionen,dieüberdieOptionzumHinzufügenundEntfernenvon Programmen(„Software“)ausgeführtwerden.UmeineProtokolldateifüralleMSI-Aktionenzuerstellen, könnenSiedieRichtliniefürdieProtokollierunginderRegistrierungsdatenbankaktivieren.ErstellenSie hierfürdenfolgendenWert:

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] "Logging"="voicewarmup"

Installationsbeispiele

DiefolgendeTabelleenthältBeispielefürdieInstallationmitHilfederDatei„setup.exe“:

Tabelle5.BeispielefürdieInstallationmitHilfederDatei„setup.exe“

BeschreibungBeispiel

UnbeaufsichtigteInstallationohneNeustart

AdministrativeInstallation

UnbeaufsichtigteadministrativeInstallation,beiderdie PositionzumEntpackenfürClientSecuritySoftware angegebenwird

UnbeaufsichtigteDeinstallation

InstallationohneNeustart.Installationsprotokollsfür ClientSecuritySoftwareimtemporärenUnterverzeichnis erstellen.

InstallationohneInstallierenderPredesktop-Umgebung

DiefolgendeTabelleenthältInstallationsbeispielefürdieVerwendungvonClientSecurity-Password Manager.msi:

setup.exe/s/v”/qnREBOOT=”R””

setup.exe/a

setup.exe/a/s/v”/qnTARGETDIR=”F: \CSS82””

setup.exe/s/x/v/qn

setup.exe/v”REBOOT=”R”/L*v%temp% \cssinstall80.log”

setup.exe/vPDA=0

14ClientSecuritySolution8.21Implementierungshandbuch

Tabelle6.InstallationsbeispielefürdieVerwendungvonClientSecurity-PasswordManager.msi

BeschreibungBeispiel

Installation

UnbeaufsichtigteInstallation ohneNeustart

Unbeaufsichtigte Deinstallation

msiexec/i“C:\CSS82\ClientSecurity Solution-PasswordManager.msi”

msiexec/i“C:\CSS82\ClientSecurity Solution-PasswordManager.msi”/qnREBOOT=”R”

msiexec/x“C:\CSS82\ClientSecurity Solution-PasswordManager.msi”/qn

ClientSecuritySolution8.21installieren,wennfrühereVersionen vorhandensind

FürClientSecuritySolutionkannunterVerwendungvonSystemUpdateeinUpgradeaufClientSecurity Solution8.0durchgeführtwerden.WennSieClientSecuritySolution8.21installierenmöchtenundfrühere VersionenalsClientSecuritySolution8.0vorhandensind,installierenSiezuerstClientSecuritySolution8.0 aufdemSystem.

ClientSecuritySolution8.0kannnichtalsUpgradevoneinerälterenVersioninstalliertwerden.Siemüssen eineältereVersionvonClientSecuritySolutiondeinstallieren,bevorsieVersion8.0installieren.Um vorhandeneDatenundEinstellungenbeizubehalten,führenSiediefolgendenSchritteaus,bevorSiedie ältereVersionvonClientSecuritySolutionentfernen:

1.LadenSieClientSecuritySolution8.0UpgradeAssistantvonderfolgendenLenovoWebsiteherunter: http://www.lenovo.com/support/site.wss/document.do?sitestyle=lenovo&lndocid=MIGR-46391

2.FührenSievonderBefehlszeileausClientSecuritySolution8.0UpgradeAssistantimHintergrundaus, bevorSiedieältereVersionvonClientSecuritySolutionentfernen.

ZudemmüssenBenutzervonClientSecuritySolution7.0einUpgradeaufClientSecuritySolution8.0 durchführen,bevorSieRescueandRecovery4.0installieren.

Anmerkung:WennSieeinUpgradefüreinBetriebssystemdurchführen,müssenSiedenInhaltdes Sicherheitschipslöschen,umeinenRegistrierungsfehlerbeiClientSecuritySolutionzuverhindern.

ThinkVantageFingerprintSoftwareinstallieren

DieDatei„setup.exe“desProgramms„FingerprintSoftware“kannmithilfederfolgendenMethodeninstalliert werden:

UnbeaufsichtigteInstallation

UmFingerprintSoftwareimHintergrundzuinstallieren,führenSiedieDatei„setup.exe“aus,diesichim InstallationsverzeichnisdesCD-ROM-Laufwerksbendet.

VerwendenSiediefolgendeSyntax:

Setup.exePROPERTY=VALUE/q/i

wobeiqfürdieunbeaufsichtigteInstallationundifürdieInstallationsteht.Beispiele:

setup.exeINSTALLDIR="C:\ProgramFiles\ThinkVantagengerprintsof tware"/q/i

VerwendenSiezumDeinstallierenderSoftwaredenParameter/xstatt/i:

setup.exeINSTALLDIR="C:\ProgramFiles\ThinkVantagengerprintsof tware"/q/x

Optionen

DiefolgendenParameterwerdenvonderFingerprintSoftwareunterstützt:

Kapitel2.Installation15

Tabelle7.VonderFingerprintSoftwareunterstützteOptionen

ParameterBeschreibung

CTRLONCEZeigtdieSteuerzentrale(ControlCenter)nureinmalan.

DerStandardwertist0.

CTLCNTRFührtdieSteuerzentrale(ControlCenter)beimSystemstart

aus.DerStandardwertist1.

DEFFUS

INSTALLDIRNimmtstandardmäßigdenWertdes

OEM•0=UnterstützungfürServerberechtigungsnachweise

PASSPORTNimmtstandardmäßigdenWertdes

SECURITY

SHORTCUTFOLDERNimmtstandardmäßigdenNamenfürden

REBOOTUnterdrücktalleNeustartseinschließlichder

DEVICEBIO

•0=EinstellungenfürschnelleBenutzerumschaltung (FUS,FastUserSwitching)werdennichtverwendet

•1=EinstellungenfürFUSwerdenverwendet

DerStandardwertist0.

InstallationsverzeichnissesfürdieFingerabdrucksoftware (FingerprintSoftware)an.

oderServerauthentizierunginstallieren

•1=NurModusfürStandalone-Computermitlokalen Berechtigungsnachweisen

Berechtigungsnachweistypsan,derwährendder Installationfestgelegtwird.

•1=Standardeinstellung-Lokaler Berechtigungsnachweis

•2=Serverberechtigungsnachweis

DerStandardwertist1.

•1=UnterstützungfürdensicherenModusinstallieren

•0=Nichtinstallieren;nurkomfortablerModus vorhanden

VerknüpfungsordnerimStartmenüan.

AufforderungenwährendderInstallation,wenn„Really Suppress“festgelegtwird.

KonguriertdenEinheitentyp,dervomBenutzer verwendetwird.Registrierungsart:

•DEVICEBIO=#3-Einheitensektorwirdvorderersten Registrierungverwendet.

•DEVICEBIO=#0-Registrierungaufdem Festplattenlaufwerkwirdverwendet.

•DEVICEBIO=#1-Registrierungaufdem CompanionChipwirdverwendet.

LenovoFingerprintSoftwareinstallieren

DieDatei„setup32.exe“desProgramms„FingerprintSoftware“kannmithilfederfolgendenProzedur installiertwerden:

16ClientSecuritySolution8.21Implementierungshandbuch

UnbeaufsichtigteInstallation

UmdieFingerprintSoftwareunbeaufsichtigtzuinstallieren,führenSiedieDatei„setup32.exe“aus,diesich aufderCD-ROMimInstallationsverzeichnisbendet.

VerwendenSiediefolgendeSyntax:

setup32.exe/s/v"/qnREBOOT="R""

VerwendenSiezumDeinstallierenderSoftwarediefolgendeSyntax:

setup32.exe/x/s/v"/qnREBOOT="R""

Optionen

DiefolgendenParameterwerdenvonderFingerprintSoftwareunterstützt:

Tabelle8.VonderLenovoFingerprintSoftwareunterstützteOptionen

ParameterBeschreibung

SWAUTOSTART•0=FingerprintSoftwarewirdbeimStartenvon

Windowsnichtgestartet.

•1=FingerprintSoftwarewirdbeimStartenvon

Windowsgestartet.

DerStandardwertist1.

SWFPLOGON•0=AnmeldungüberFingerabdruck(GINAoder

BereitstellervonBerechtigungsnachweis)wirdnicht verwendet.

•1=AnmeldungüberFingerabdruck(GINAoder

BereitstellervonBerechtigungsnachweis)wird verwendet.

DerStandardwertist0.

SWPOPP•0=SchutzdurchStartkennwortwirdinaktiviert.

•1=SchutzdurchStartkennwortwirdaktiviert.

DerStandardwertist0.

SWSSO•0=Funktion„SingleSign-on“wirdinaktiviert.

•1=Funktion„SingleSign-on“wirdaktiviert.

DerStandardwertist0.

SWALLOWENROLL

SWALLOWDELETE

•0=RegistrierungüberFingerabdruckfürBenutzer

ohneAdministratorberechtigungistnichtzulässig.

•1=RegistrierungüberFingerabdruckfürBenutzer

ohneAdministratorberechtigungistzulässig.

DerStandardwertist1.

•0=LöschendesFingerabdrucksdurchBenutzerohne

Administratorberechtigungistnichtzulässig.

•1=LöschendesFingerabdrucksdurchBenutzerohne

Administratorberechtigungistzulässig.

DerStandardwertist1.

Kapitel2.Installation17

Tabelle8.VonderLenovoFingerprintSoftwareunterstützteOptionen(Forts.)

ParameterBeschreibung

SWALLOWIMEXPORT•0=DasImportieren/ExportierenvonFingerabdrücken

istfürBenutzerohneAdministratorberechtigungnicht zulässig.

•1=DasImportieren/ExportierenvonFingerabdrücken istfürBenutzerohneAdministratorberechtigung zulässig.

DerStandardwertist1.

SWALLOWSELECT

SWALLOWPWRECOVERY

SWANTIHAMMER•0=Anti-Hammering-Schutzinaktivieren.

SWANTIHAMMERRETRIESGibtdiemaximaleWiederholungsanzahlan.Der

SWANTIHAMMERTIMEOUTGibtdieDauerderZeitlimitüberschreitunginSekunden

SWAUTHTIMEOUT

SWAUTHTIMEOUTVALUEGibtdenInaktivitätszeitraumvordemZeitlimitfürdie

SWNONADMIFPLOGONONLY•0=AusschließlicheAnmeldungüberFingerabdruckfür

•0=DieAuswahlderVerwendungdesFingerabdrucks anstelledesStartkennwortsistfürBenutzerohne Administratorberechtigungnichtzulässig.

•1=DieAuswahlderVerwendungdesFingerabdrucks anstelledesStartkennwortsistfürBenutzerohne Administratorberechtigungzulässig.

DerStandardwertist1.

•0=DieWiederherstellungdesWindows-Kennwortsist nichtzulässig.

•1=DieWiederherstellungdesWindows-Kennworts istzulässig.

DerStandardwertist1.

•1=Anti-Hammering-Schutzaktivieren.

DerStandardwertist1.

Standardwertist5. Anmerkung:DieseEinstellungfunktioniertnur,wenn SWANTIHAMMERaktiviertist.

an.DerStandardwertist120. Anmerkung:DieseEinstellungfunktioniertnur,wenn SWANTIHAMMERaktiviertist.

•0=ZeitlimitfürAuthentizierunginaktivieren.

•1=ZeitlimitfürAuthentizierungaktivieren.

DerStandardwertist1.

AuthentizierunginSekundenan.DerStandardwertist

120.

Anmerkung:DieseEinstellungfunktioniertnur,wenn SWAUTHTIMEOUTaktiviertist.

BenutzerohneAdministratorberechtigungdeaktivieren.

•1=AusschließlicheAnmeldungüberFingerabdruckfür BenutzerohneAdministratorberechtigungaktivieren.

DerStandardwertist1.

18ClientSecuritySolution8.21Implementierungshandbuch

Tabelle8.VonderLenovoFingerprintSoftwareunterstützteOptionen(Forts.)

ParameterBeschreibung

SWSHOWPOWERON•0=DieStartsicherheitsoptionenwerdennicht

angezeigt.

•1=DieStartsicherheitsoptionenwerdenimmer

angezeigt.

DerStandardwertist0.

CSS•0=Eswirdvorausgesetzt,dassCSSnichtinstalliertist.

•1=Eswirdvorausgesetzt,dassCSSinstalliertist.

DerStandardwertist0.

SystemsManagementServer

SMS-Installationen(SystemsManagementServer)werdenebenfallsunterstützt.ÖffnenSiedie SMS-Administratorkonsole.ErstellenSieeinneuesPaket,undlegenalsPaketmerkmaledieStandardwerte fest.ÖffnenSiedasPaket,undwählenSieinderProgrammauswahldieOptionfürneueProgramme aus.GebenSieineinerBefehlszeileFolgendesein:

Setup.exe/myourmiflename/q/i

SiekönnendieselbenParameterwiebeiderunbeaufsichtigtenInstallationverwenden.

BeiderKongurationwirdinderRegelamEndedesInstallationsprozesseseinNeustartdurchgeführt.Wenn SiealleNeustartswährendderInstallationunterdrückenmöchtenunddenNeustartspäterdurchführen möchten(nachderInstallationweitererProgramme),fügenSieREBOOT=„ReallySuppress“zurListemit denMerkmalenhinzu.

Kapitel2.Installation19

20ClientSecuritySolution8.21Implementierungshandbuch

Kapitel3.MitClientSecuritySolutionarbeiten

VorderInstallationvonClientSecuritySolutionsolltenSiesichüberdieverfügbarenOptionenzurAnpassung vonClientSecuritySolutioninformieren.DasvorliegendeKapitelenthältInformationenzurAnpassungvon ClientSecuritySolutionsowieInformationenzumTPM(TrustedPlatformModule).DieindiesemKapitel verwendetenTPM-BegriffesinddurchdieTrustedComputingGroup(TCG)deniert.WeitereInformationen zumTPMndenSieaufderfolgendenWebsite: http://www.trustedcomputinggroup.org/

TPMverwenden

BeimTPM(T rustedPlatformModule)handeltessichumeinenintegriertenSicherheitschip,derfürSoftware sicherheitsrelevanteFunktionenzurVerfügungstellt.DerintegrierteSicherheitschipistindieSteuerplatine integriertundkommuniziertübereinenHardwarebus.SystememiteinemTPMkönnenChiffrierschlüssel erstellenundverschlüsseln,sodassdiesenurvondemselbenTPMwiederentschlüsseltwerdenkönnen. DieserProzesswirdoftalsVerpackeneinesSchlüsselsbezeichnet.MitHilfediesesProzesseswirdder SchlüsselvorderOffenlegunggeschützt.AufeinemSystemmitTPMwirdderMaster-Verpackungsschlüssel, derauchSpeicher-Rootschlüssel(SRK,StorageRootKey)genanntwird,imTPMselbstgespeichert,so dassderprivateBestandteildesSchlüsselsnieungeschütztist.ImintegriertenSicherheitschipkönnenauch andereSpeicherschlüssel,Signierschlüssel,KennwörterundanderekleineDateneinheitengespeichert werden.AufgrundderbegrenztenSpeicherkapazitätimTPMwirdderSRKzumVerschlüsselnvonanderen SchlüsselnfürdieSpeicherungaußerhalbdesChipsverwendet.DerSRKverbleibtimmerimintegrierten SicherheitschipundbildetdieBasisfürgeschützteSpeicher.

DieVerwendungdesSicherheitschipsistoptionalunderforderteinenClientSecuritySolution-Administrator. SowohlfürEinzelpersonenalsauchfürIT-AbteilungeneinesUnternehmensmussdasTPMinitialisiert werden.SpätereOperationenwiedieMöglichkeitzurWiederherstellungnacheinemFestplattenausfalloder nachdemAustauschenderSystemplatinemüssenebenfallsvomClientSecuritySolution-Administrator ausgeführtwerden.

Anmerkung:WennSiedenAuthentizierungsmodusändernundversuchen,denSicherheitschipzu entsperren,müssenSiesichabmeldenunddannalsMaster-Administratorwiederanmelden.Dann könnenSiedenChipentsperren.SiekönnensichauchalsSekundärbenutzeranmeldenundfortfahren, denAuthentizierungsmoduszukonvertieren.DieKonvertierungerfolgtautomatischmitderAnmeldung desSekundärbenutzers.ClientSecuritySolutionfordertSiezumEingebendesKennwortsoderdes VerschlüsselungstextesdesSekundärbenutzersauf.WennClientSecuritySolutionmitdemVerarbeitender Änderungfertigist,kannderSekundärbenutzermitdemEntsperrendesChipsfortfahren.

TPM(TrustedPlatformModule)unterWindowsVistaverwenden

WenndieWindowsVista-AnmeldungaktiviertistunddasTPMinaktiviertist,müssenSiedie Windows-Anmeldefunktioninaktivieren,bevorSiedasTPMimBIOSüberdieTasteF1inaktivieren.Dadurch verhindernSiedasAnzeigeneinerSicherheitsnachrichtwiederfolgenden:DerintegrierteSicherheitschip

wurdeinaktiviert.DerAnmeldeprozesskannnurbeiaktiviertemChipgeschütztwerden.

ZudemmüssenSie,wennSiefürdasBetriebssystemeinesClientsystemseinUpgradedurchführen,den InhaltdesSicherheitschipslöschen,umeinenRegistrierungsfehlerbeiClientSecurityzuvermeiden.Um denInhaltdesChipsimBIOSüberdieTasteF1zulöschen,mussdasSystemkaltgestartetwerden.Sie könnendenInhaltdesChipsnichtnacheinemWarmstartlöschen.

ClientSecuritySolutionmitChiffrierschlüsselnverwalten

ClientSecuritySolutionwirddurchdiebeidenwichtigstenImplementierungsaktivitätenbeschrieben: „Eigentumsrechtübernehmen“und„Benutzerregistrieren“.BeidererstenAusführungdes KongurationsassistentenvonClientSecuritySolutionwerdendiesebeidenProzessewährendder Initialisierungausgeführt.DieWindows-Benutzer-ID,diedenInstallationsassistentenfürClientSecurity Solutionausgeführthat,istderClientSecuritySolution-AdministratorundistalsaktiverBenutzerregistriert. JederandereBenutzer,dersichamSystemanmeldet,wirdautomatischaufgefordert,sichbeiClient SecuritySolutionzuregistrieren.

•Eigentumsrechtübernehmen

EineeinzigeWindows-Administrator-IDistalseinzigerClientSecuritySolution-Administratorfürdas Systemzugeordnet.VerwaltungsfunktionenvonClientSecuritySolutionmüssenüberdieseBenutzer-ID ausgeführtwerden.DieBerechtigungfürdasTPM(TrustedPlatformModule)istentwederdas Windows-KennwortdiesesBenutzersoderderClientSecurity-Verschlüsselungstext.

Anmerkung:DieeinzigeMöglichkeiteinerWiederherstellung,wenndasClientSecurity Solution-Administratorkennwortoderder-Verschlüsselungstextvergessenwurde,besteht darin,dieSoftwaremitgültigenWindows-BerechtigungenzudeinstallierenoderdenInhaltdes SicherheitschipsimBIOSzulöschen.BeibeidenMöglichkeitengehendieDaten,dieüberdiedem TPMzugeordnetenSchlüsselgeschütztwerden,verloren.ClientSecuritySolutionbietetaußerdem einenoptionalenMechanismus,mitdessenHilfeSieeinvergessenesKennwortodereinenvergessenen Verschlüsselungstextselbstwiederherstellenkönnen.DieserMechanismusbasiertaufFragenund AntwortenzurIdentizierung.DerClientSecuritySolution-Administratorentscheidet,obdieseFunktion verwendetwird.

•Benutzerregistrieren

NachdemderProzess„Eigentumsrechtübernehmen“abgeschlossenundeinClientSecurity Solution-Administratorerstelltwurde,kanneinBenutzerbasisschlüsselerstelltwerden,umdie BerechtigungsnachweisefürdengeradeangemeldetenWindows-Benutzersicherzuspeichern.Dadurch könnensichmehrereBenutzerbeiClientSecuritySolutionregistrierenunddaseinzelneTPMnutzen. BenutzerschlüsselwerdenüberdenSicherheitschipgesichert,abertatsächlichaußerhalbdesChipsauf derFestplattegespeichert.DieseTechnologieerstelltFestplattenspeicherplatzalsdeneinschränkenden SpeicherfaktoranstelledestatsächlichenindenSicherheitschipintegriertenSpeichers.Damitwirddie AnzahlderBenutzer,diedieselbesichereHardwarenutzenkönnen,deutlicherhöht.

Eigentumsrechtübernehmen

DieSicherheitsbasisfürClientSecuritySolutionistderSystem-Rootschlüssel(SRK,SystemRootKey). DiesernichtmigrierbareasymmetrischeSchlüsselwirdindersicherenUmgebungdesTPMs(Trusted PlatformModule)generiertundgegenüberdemSystemnieoffengelegt.DieBerechtigungzurNutzungdes SchlüsselswirdbeimAusführendesBefehls„TPM_TakeOwnership“überdasWindows-Administratorkonto abgeleitet.WenndasSystemeinenClientSecurity-Verschlüsselungstextnutzt,istderClient Security-VerschlüsselungstextfürdenClientSecuritySolution-AdministratordieTPM-Berechtigung. AndernfallswirddasWindows-KennwortdesClientSecuritySolution-Administratorsverwendet.

MitHilfedesfürdasSystemerstelltenSRKkönnenandereSchlüsselpaareerstelltundverpacktoder geschütztdurchdieaufHardwarebasierendenSchlüsselaußerhalbdesTPMsgespeichertwerden.Daes sichbeimTPM,dasdenSRKenthält,umHardwarehandeltundHardwarebeschädigtwerdenkann,ist einWiederherstellungsmechanismuserforderlich,umsicherzustellen,dassbeieinerBeschädigungdes SystemseineDatenwiederherstellungmöglichist.

UmeinSystemwiederherzustellen,wirdeinSystembasisschlüsselerstellt.Mitdiesemasymmetrischen SpeicherschlüsselkannderClientSecuritySolution-AdministratordasSystemnachdemAustauschen derSystemplatineoderdergeplantenMigrationaufeinanderesSystemwiederherstellen.Damit derSystembasisschlüsselgeschütztistundgleichzeitigbeinormalemBetrieboderbeieiner

22ClientSecuritySolution8.21Implementierungshandbuch

Wiederherstellungaufihnzugegriffenwerdenkann,werdenzweiInstanzendesSchlüsselserstellt

System Level Key Structure - Take Ownership

Trusted Platform Module

Encrypted via derived AES Key

Storage Root Private Key

Storage Root Public Key

System Leaf Private Key

System Base Private Key

System Leaf Public Key

System Base Public Key

System Base Private Key

System Base Public Key

If Passphrase

loop n times

CSS Admin PW/PP

One-Way Hash

System Base AES

Protection Key (derived via output of hash algorithm)

Auth

undaufzweiverschiedeneArtengeschützt.ZumeinenwirdderSystembasisschlüsselmiteinem symmetrischenAES-Schlüsselverschlüsselt,dervomClientSecuritySolution-Administratorkennwort odervomClientSecurity-Verschlüsselungstextabgeleitetwird.DieseKopiedesClientSecurity Solution-WiederherstellungsschlüsselsdientausschließlichzurWiederherstellungvoneinemgelöschten TPModereinerausgetauschtenSystemplatineaufgrundeinesHardwareausfalls.

DiezweiteInstanzdesClientSecuritySolution-WiederherstellungsschlüsselswirddurchdenSRKfür denImportindieSchlüsselhierarchieverpackt.DurchdiesedoppelteInstanzdesSystembasisschlüssels kanndasTPMmitihmverbundenegeheimeDatenbeinormalemBetriebschützen.Außerdemisteine WiederherstellungeinerfehlerhaftenSystemplatinedurchdenSystembasisschlüsselmöglich,dermiteinem AES-Schlüsselverschlüsseltist,derüberdasClientSecuritySolution-AdministratorkennwortoderdenClient Security-Verschlüsselungstextentschlüsseltwird.AnschließendwirdeinSystemblattschlüsselerstellt.Dieser Schlüsselwirderstellt,umgeheimeSchlüsselaufSystemebene,wiez.B.denAES-Schlüssel,zuschützen.

DasfolgendeDiagrammstelltdieStrukturfürdenSchlüsselaufSystemebenedar:

Abbildung1.Systemebenenschlüsselstruktur-Eigentumsrechtübernehmen

Benutzerregistrieren

DamitdieDatenvonallenBenutzerndurchdasselbeTPM(TrustedPlatformModule)geschütztwerden können,mussjederBenutzerseineneigenenBenutzerbasisschlüsselerstellen.Dieserasymmetrische Speicherschlüsselkannmigriertwerdenundwirdebenfallszweimalerstelltunddurcheinensymmetrischen AES-Schlüsselgeschützt,derüberdasWindows-KennwortoderdenClientSecurity-Verschlüsselungstext dereinzelnenBenutzergeneriertwird.

DiezweiteInstanzdesBenutzerbasisschlüsselswirddannindasTPMimportiertunddurchdenSystem-SRK geschützt.BeiderErstellungdesBenutzerbasisschlüsselswirdeinzweiterasymmetrischerSchlüssel erstellt,deralsBenutzerblattschlüsselbezeichnetwird.MitdemBenutzerblattschlüsselwerdengeheime DatendereinzelnenBenutzergeschützt.HierzuzählenderAES-SchlüsselfürPasswordManager,der zumSchutzvonInternetanmeldedatendient,dasKennwort,mitdemDatengeschütztwerden,undder AES-SchlüsselfürdasWindows-Kennwort,derdenZugriffaufdasBetriebssystemschützt.DerZugriff aufdenBenutzerblattschlüsselwirdüberdasWindows-BenutzerkennwortoderdenClientSecurity

Kapitel3.MitClientSecuritySolutionarbeiten23

+ 65 hidden pages