ClientSecuritySolution8.3
部署指南
更新时间:2011年12月
:
注
:
注
:在使用本资料及其支持的产品之前,请阅读第69
注:
注
页附录E“声明”中的一般信息。
第
四
版
(2011
年
12
月
第
四
版
(2011
第
第四
四版
版(2011
Copyright
Copyright
©Copyright
CopyrightLenovo
有限权利声明:如果数据或软件依照通用服务管理(GSA)合同提供,其使用、复制或公开受编号为GS-35F-05925的
合同条款的约束。
(2011年
Lenovo
Lenovo
Lenovo2008,
年
年12
)
12
月
)
12月
月)
)
2008,
2011.
2008,
2011.
2008,2011.
2011.
目录
前
言
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
前
言
.
.
.
.
.
.
.
.
.
.
.
.
.
前
前言
言.
..
..
..
..
..
..
..
..
..
..
第
1
章
概
述
.
.
.
.
.
第
1
章
概
述
.
第
第1
1章
章概
概述
ClientSecuritySolution.............1
ClientSecuritySolution口令.........1
ClientSecurity密码恢复..........2
ClientSecurity密码管理器.........2
安全顾问程序..............3
证书转移向导..............3
硬件密码重置..............3
支持无可信平台模块的系统.........3
FingerprintSoftware..............3
第
2
章
第
第
第2
ClientSecuritySolution.............5
安装ThinkVantage指纹软件.........11
安装Lenovo指纹软件............13
SystemsManagementServer..........15
第
第
第
第3
使用可信平台模块.............17
使用密钥管理ClientSecuritySolution......17
使用XML模式..............22
使用RSASecurID令牌...........29
安
2
章
安
2章
章安
安装
安装需求................5
定制公共属性..............5
可信平台模块支持............6
安装过程和命令行参数..........6
使用msiexec.exe.............8
标准的WindowsInstaller公共属性......9
安装日志文件.............10
静默安装...............11
选项.................11
静默安装...............13
选项.................13
3
章
使
3
章
使
3章
章使
使用
在Windows7中使用可信平台模块.....17
获取所有权..............18
注册用户...............19
软件仿真...............20
主板更换...............20
EFS保护实用程序...........22
示例.................23
安装RSASecurID软件令牌.......29
要求.................29
设置智能卡访问选项..........29
手动安装RSASecurID软件令牌......30
ActiveDirectory支持...........30
述.
装
装
装.
用
用
用Client
.
..
..
.
.
.
.
..
..
Client
Client
ClientSecurity
.
.
.
.
.
..
..
..
..
.
.
.
.
.
.
.
.
..
..
..
..
Security
Security
SecuritySolution
..
..
..
.
.
.
.
.
.
..
..
..
.
.
.
.
.
.
..
..
..
Solution
Solution
Solution.
.
..
.
.
..
.
.
..
.
.
.
.
.
..
..
..
.iii
.
.
.
.
.
.
.
.
..
..
..
..
.
.
.
.
.
.
.
.
..
..
..
..
.
.
.
.
..
.17
iii
iii
iii
.
1
.
1
.1
1
.
5
.
5
.5
5
17
17
17
指纹识别器认证的设置和策略........30
强制跳过指纹认证选项.........30
指纹扫描结果.............30
命令行工具................31
安全顾问程序.............31
ClientSecuritySolution设置向导......32
部署文件加密或解密工具........33
部署文件处理工具...........33
TPMENABLE.EXE...........33
证书转移工具.............34
激活或停用TPM............34
ActiveDirectory支持............36
管理(ADM)模板文件.........36
组策略设置..............37
第
4
章
使
用
第
4
章
第
第4
4章
章使
管理控制台工具..............43
特定于用户的命令...........43
全局设置命令.............44
安全方式与便捷方式............44
安全方式-管理员...........45
安全方式-受限用户..........45
便捷方式-管理员...........45
便捷方式-受限用户..........46
可配置的设置.............46
指纹软件和NovellNetwareClient.......47
正在认证...............48
ThinkVantage指纹软件服务.........48
第
5
章
第
5
章
第
第5
5章
章使
管理控制台工具..............49
Lenovo指纹软件服务............49
Lenovo指纹软件的ActiveDirectory支持....49
第
6
章
第
6
章
第
第6
6章
章最
安装ClientSecuritySolution的部署示例.....51
方案1................51
方案2................53
切换ClientSecuritySolution方式.......55
公司ActiveDirectory推广..........55
单机安装CD或脚本文件..........55
SystemUpdate...............55
SystemMigrationAssistant...........55
使用TPM中的密钥生成功能生成证书.....56
要求:................56
从服务器请求证书...........56
使
用
使用
用ThinkVantage
使
用
使
用
使用
用Lenovo
最
佳
实
最
佳
实
最佳
佳实
实践
ThinkVantage
ThinkVantage
ThinkVantage指
Lenovo
Lenovo
Lenovo指
践
践
践.
指
指
指纹
.
.
.
.
..
..
指
纹
软
件
.
指
纹
软
指纹
纹软
软件
纹
软
件
纹
纹软
.
.
.
.
..
..
.
软
件
.
软件
件.
..
.
.
.
.
.
.
.
.
..
..
..
..
.
件
.
.
件.
..
.43
.
.
.
.
.
.
.
.
..
..
..
.49
.
.
.
.
.
.
.
.
..
..
..
.51
43
43
43
49
49
49
51
51
51
©CopyrightLenovo2008,2011
i
i
i
i
将USB指纹键盘用于2008年
的ThinkPad笔记本计算机型号
(R400/R500/T400/T500/W500/X200/X301)..57
Windows7登录............57
ClientSecuritySolution和密码管理器....58
引导前认证-使用指纹而非BIOS密码...58
附
录
A
将
附
录
附
附录
录A
ThinkPad
ThinkPad
ThinkPad
ThinkPad笔
项
.
项
.
项
项.
..
配置和设置................61
Pre-desktopauthentication...........61
Windows登录...............61
通过ClientSecuritySolution认证.......62
Lenovo
A
将
Lenovo
A将
将Lenovo
Lenovo指
笔
记
笔
记
笔记
记本
.
.
.
.
.
.
.
.
..
..
..
..
指
纹
键
盘
用
于
某
指
纹
键
盘
指纹
纹键
本
型
号
本
本型
.
.
..
时
型
号
时
型号
号时
时的
.
.
.
.
.
.
.
.
..
..
..
..
用
键盘
盘用
用于
的
特
别
的
特
别
的特
特别
别注
.
.
.
.
.
.
..
..
..
些
于
某
些
于某
某些
些
注
意
事
注
意
事
注意
意事
事
.
.
.
.
.
.
.
..
..
.
.
.
.
.
..
..
..
.61
附
录
B
重
置
附
录
B
附
附录
录B
B重
Security
Security
Security
SecuritySolution
附
录
C
附
录
C
附
附录
录C
C在
统
上
使
上
使
上使
使用
录
D
录
D
录D
D使
TPM
TPM
TPM.
录
E
录
E
录E
E声
用
用
用Client
统
统
统上
附
附
附
附录
的
的
的
的TPM
如何远程部署BitLocker?..........67
61
61
61
TPM封锁的工作方式............67
附
附
附
附录
商标...................69
词汇表..................lxxi
重
置
重置
置Windows
Solution
Solution
Solution中
在
重
在
重
在重
重新
Client
Client
ClientSecurity
使
用
使
用
使用
用ThinkPad
.
.
..
声
明
声
明
声明
明.
Windows
Windows
Windows密
新
安
新
安
新安
安装
ThinkPad
ThinkPad
ThinkPad笔
.
.
.
.
.
.
..
..
..
.
.
.
.
..
..
中
中
中同
Security
Security
SecuritySolution
同
同
同步
装
装
装Windows
.
.
..
.
.
..
密
密
密码
步
密
步
密
步密
密码
Windows
Windows
Windows的
笔
笔
笔记
.
.
.
.
.
.
..
..
..
.
.
.
.
.
.
..
..
..
码
后
在
码
后
在
码后
后在
在Client
码
.
码
.
码.
..
的
的
的操
Solution
Solution
Solution.
记
本
计
记
本
计
记本
本计
计算
.
.
.
.
.
.
..
..
..
.
.
.
.
.
.
..
..
..
Client
Client
Client
.
.
.
.
.
.
.
.
..
..
..
操
作
操
作
操作
作系
.
.
.
.
..
..
算
机
算
机
算机
机上
.
.
.
.
.
.
..
..
..
.
.
.
.
.
.
..
..
..
63
.
.
63
..
.63
63
系
系
系
.
.
65
.
.
65
..
.65
65
上
上
上
.
.
67
.
.
67
..
.67
67
.
.
69
.
.
69
..
.69
69
ii
ii
iiClientSecuritySolution8.3部署指南
ii
前言
本指南中提供的信息旨在支持装有ThinkVantage
序的Lenovo
®
计算机。
®
ClientSecuritySolution程序和FingerprintSoftware程
ClientSecuritySolution和指纹软件的目标是通过保护客户端数据来保护您的系统并且使破坏安全性的尝试无
法成功。
《
Client Security Solution 部 署 指 南
》提供了在一台或多台计算机上安装ClientSecuritySolution和指纹软件所
必需的信息,还提供了有关可进行定制以支持IT和公司策略的管理员工具的指示信息和方案。
本指南的目标对象是IT管理员或那些负责在整个组织内的计算机上部署ThinkVantageClientSecurity
Solution和指纹软件的人员。如果您有任何建议或意见,请与Lenovo授权代表联系。本指南定期更新,可在
LenovoWeb站点上检查最新的出版物,网址为:
http://www.lenovo.com/support
有关使用ClientSecuritySolution和指纹软件工作空间中各种组件的问题和信息,请参阅ClientSecuritySolution
和指纹软件随附的联机帮助系统和用户指南。
©CopyrightLenovo2008,2011
iii
iii
iii
iii
iv
iv
ivClientSecuritySolution8.3部署指南
iv
第1章概述
本章概述了ClientSecuritySolution和指纹软件。本部署指南中描述的技术可以简化个人计算机的使用、提
高个人计算机的工作效率并提供功能强大的工具来加速并简化执行过程,因而可以为IT专业人员提供直接
或间接的帮助。借助ThinkVantageTechnologies,IT专业人员可以减少用于解决个人计算机问题的时间,从
而将更多的时间用于执行核心任务。
ClientSecuritySolution
ClientSecuritySolution软件的主要用途是帮助您将计算机作为资产进行保护,同时保护计算机上的保密数据
和计算机访问的网络连接。(如果Lenovo品牌的系统中含有符合可信计算组织(TCG)标准的可信平台模
块(TPM),则ClientSecuritySolution软件将利用硬件作为系统的信任根。如果系统不包含嵌入式安全芯
片,ClientSecuritySolution会将基于软件的密钥用作系统的信任根。)
ClientSecuritySolution8.3的功能包括:
®
®
®
®
或
码
Windows
用
使
Windows
用
使
Windows
用Windows
使用
•使
密
或
码
密
或Client
码或
密码
密
Security
Client
Security
Client
SecuritySolution
ClientSecurity
Solution
Solution
Solution口
令
口
令
口
令保
口令
用
护
保
用
护
保
用户
护用
保护
可以对ClientSecuritySolution进行配置使其接受用于认证的用户Windows密码或ClientSecuritySolution
口令。使用Windows密码比较方便且易于管理,而使用ClientSecuritySolution口令更加安全。管理员可
以选择使用哪种认证方式,并且即使用户已经注册ClientSecuritySolution,仍然可以更改此设置。
指
用
纹
指
用户
纹用
指纹
•指
证
认
户
证
认证
户认
证
认
户
用
纹
利用USB连接的集成指纹技术对用户进行认证,使其可使用受密码保护的应用程序。
的
作
Windows
于
用
Windows
于
用
Windows登
于Windows
用于
•用
登
录
登
录和
登录
种
各
和
种Client
各种
和各
Security
Client
SecuritySolution
ClientSecurity
Security
Client
种
各
和
录
Solution
Solution
Solution操
操
的
作
操
的多
作的
操作
为各种安全性相关操作定义多个认证设备(Windows密码、ClientSecurity口令和指纹)。
密
密
密码
•密
理
管
码
理
管理
码管
理
管
码
安全地管理和存储敏感的登录信息,例如用户标识和密码。
密
密
密码
•密
口
和
码
口令
和口
码和
复
恢
令
复
恢复
令恢
复
恢
令
口
和
码
即使用户忘记了他们的Windows密码或ClientSecuritySolution口令,通过使用密码和口令恢复,用户只
要回答预配置的安全性问题,就可以登录到Windows并访问他们的ClientSecuritySolution凭证。
审
审
审计
•审
全
安
计
全性
安全
计安
置
设
性
置
设置
性设
置
设
性
全
安
计
使用户能够查看工作站安全性设置的详细列表,并可以更改设置使其符合定义的标准。
数
证
字
数
证书
字证
数字
•数
送
传
书
送
传送
书传
送
传
书
证
字
ClientSecuritySolution保护用户证书和机器证书的密钥。使用ClientSecuritySolution保护您现有证书的专
用密钥。
用
认
于
用
认证
于认
用于
•用
策
的
证
策略
的策
证的
理
管
略
理
管理
略管
理
管
略
策
的
证
认
于
管理员可选择需要哪些设备(Windows密码、ClientSecuritySolution口令或指纹)对以下操作进行认证:
Windows登录、PasswordManager和证书操作。
证
认
户
证
认
户
证
认证
户认
证
认
户
用
子
因
多
多
多因
用
子
因
用户
子用
因子
证
认
户
证
认证
户认
ClientSecuritySolution口令
ClientSecuritySolution口令是用户认证的一种可选功能,可以进一步保护ClientSecuritySolution应用程序的
安全性。ClientSecuritySolution口令具有以下要求:
•长度至少为八个字符
•至少包含一个数字
•不同于最近的三个口令
•包含的重复字符不超过两个
•不以数字开头
•不以数字结尾
©CopyrightLenovo2008,2011
1
1
1
1
•不包含用户标识
•不能更改使用时间不足三天的当前口令
•当前口令在任何位置都不包含三个或三个以上连续相同的字符
•与Windows密码不同
只有个人用户才知道ClientSecuritySolution口令。如果忘记了ClientSecuritySolution口令,则进行恢复的
唯一方法是执行ClientSecuritySolution的密码恢复功能。如果用户忘记了其恢复问题的答案,便无法恢复由
ClientSecuritySolution口令保护的数据。
ClientSecurity密码恢复
此可选功能使注册的ClientSecurity用户能通过正确回答三个问题来恢复忘记的Windows密码或ClientSecurity
口令。如果启用了此功能,您将需要为十个预选问题选择三个答案。如果用户忘记了Windows密码或Client
Security口令,通过回答这三个问题即可重新设置他们的密码或口令。
:
注
:
注
:使用ClientSecurity口令时,ClientSecurity密码恢复是恢复忘记的口令的唯一方法。如果您忘记了这三
注:
注
个问题的答案,就必须重新运行注册向导并且先前受到ClientSecurity保护的所有数据将丢失。
ClientSecurity密码管理器
ClientSecurity密码管理器可用于管理易忘记的应用程序和web站点信息,如用户标识、密码和其他个人信
息。ClientSecurity密码管理器通过ClientSecuritySolution保护您的个人信息,以保证对应用程序和web站
点的访问绝对安全。由于只需记住一个密码或口令或提供指纹,因此ClientSecurityPasswordManager程序还
可节省时间和精力。
ClientSecurity密码管理器使您能够执行以下功能:
:
密
加
行
进
息
信
的
储
存
已
有
所
对
件
通
过
通
过Client
通过
•通
通过ClientSecuritySolution对您的所有信息自动进行加密。用户的敏感密码信息由ClientSecuritySolution
加密密钥进行保护。
填
动
自
填
动
自
填充
动填
自动
•自
当您访问应用程序或web站点时,就会自动登录。如果先前将登录信息输入了ClientSecurity密码管理器
中,则ClientSecurity密码管理器会自动填充所要求的字段并提交web站点或应用程序。
用
使
用
使
用Client
使用
•使
让您可以在易于使用的界面中编辑帐户条目并设置所有可选功能。使用此界面,可以快速方便地管理密码
和个人信息。但是,ClientSecurity密码管理器会自动检测到大多数与条目相关的更改并使用户能够轻松
地更新他们的条目。
其
需
无
其
需
无
其他
需其
无需
•无
将敏感信息发送给指定的web站点或应用程序时,ClientSecurity密码管理器会自动检测到此过程。当检
测到时,ClientSecurity密码管理器会提示用户保存信息,从而简化了存储敏感信息的过程。
有
所
将
有
所
将
有信
所有
将所
•将
使用ClientSecurity密码管理器,用户可以将任何文本数据保存在安全的便笺本中。用户的安全便笺本受
保护的安全级别可等同于用户的任何其他Web站点或应用程序条目。
和
出
导
和
出
导
和导
出和
导出
•导
使您能够导出敏感的个人信息,以便在计算机之间安全地传递这些信息。从ClientSecurity密码管理器导
出登录信息时,会创建一个受密码保护的导出文件,该文件可以存储在可移动介质上。无论您身在何处都
可以使用此文件访问您的个人信息,或使用ClientSecurity密码管理器将条目导入另一台计算机中。
:
注
:
注
:支持完整导入ClientSecuritySolution7.0和8.
注:
注
入(不导入应用程序条目)。ClientSecuritySoftwareSolution5.4
Solution8.
Security
Client
SecuritySolution
ClientSecurity
户
用
充
户
用
充
户标
用户
充用
Security
Client
Security
Client
Security密
ClientSecurity
骤
步
他
骤
步
他
骤便
步骤
他步
保
息
信
保
息
信
保存
息保
信息
登
入
导
登
入
导
登录
入登
导入
x
版PasswordManager。
Security
Client
过
Solution
Solution
Solution软
密
和
识
标
标
标识
便
便
便可
存
存
存到
录
录
录信
密
和
识
密码
和密
识和
密
密
密码
存
保
可
存
保
可
存信
保存
可保
全
安
到
全
安
到
全便
安全
到安
:
息
信
:
息
信
:
息:
信息
软
软
软件
:
码
:
码
:
码:
理
管
码
理
管
码
理器
管理
码管
:
息
信
:
息
信
:
息:
信息
本
笺
便
本
笺
便
本中
笺本
便笺
所
对
件
所有
对所
件对
面
界
器
面
界
器
面编
界面
器界
:
中
:
中
:
中:
存
已
有
存储
已存
有已
条
辑
编
条
辑
编
条目
辑条
编辑
信
的
储
信息
的信
储的
:
目
:
目
:
目:
行
进
息
行加
进行
息进
x
版的导出文件。ClientSecuritySolutionV6.0支持有限导
:
密
加
:
密:
加密
x
版及更早版本无法导入到ClientSecurity
2
2
2ClientSecuritySolution8.3部署指南
2
安全顾问程序
SecurityAdvisor工具可用于查看计算机上当前安全性设置的摘要。您可以使用这些设置查看当前的安全性状
态或者增强系统安全性。可通过Windows注册表更改所显示的类别缺省值。安全性类别的示例包含:
•硬件密码
•Windows用户密码
•Windows密码策略
•受保护的屏幕保护程序
•文件共享
证书转移向导
ClientSecurity证书转移向导可指导您完成将与证书关联的私钥从基于软件的Microsoft
(CSP)转移到基于硬件的ClientSecuritySolutionCSP的整个过程。转移后,由于专用密钥受到Client
SecuritySolution的保护,所以使用证书的操作将更安全。
®
加密服务提供程序
硬件密码重置
此工具创建一个独立于Windows运行的安全环境并帮助您重新设置忘记的开机密码和硬盘驱动器密码。您的
身份会通过回答您创建的一组问题来进行确定。在忘记密码之前,请尽快创建这个安全环境。仅当已在硬盘
驱动器上创建此安全环境并注册后,才能重新设置忘记的硬件密码。只有某些计算机上提供此工具。
支持无可信平台模块的系统
ClientSecuritySolution8.3支持没有嵌入式安全芯片的Lenovo品牌的系统。这种支持使客户能够在整个企业
范围内实施标准安装,从而创建一致的安全环境。具有嵌入式安全芯片的系统抵御攻击的能力会更强;然
而,如果系统没有嵌入式安全芯片,ClientSecuritySolution会将基于软件的密钥用作系统的信任根,系统也
能从额外的安全性和功能获益。
FingerprintSoftware
Lenovo提供的生物识别指纹技术旨在帮助客户降低与密码管理相关的成本、增强系统的安全性并满足合规性。
指纹软件通过使用Lenovo指纹识别器在个别计算机和网络上启用指纹认证。指纹软件和ClientSecuritySolution
8.3结合使用,可以提供扩展的功能。ClientSecuritySolution8.3支持可用于不同机器类型的ThinkVantage指
纹软件5.9.2和Lenovo指纹软件3.3。您可以从以下LenovoWeb站点中找到有关Lenovo指纹技术的更多信
息并下载指纹软件。
指纹软件提供以下功能:
能
功
件
软
端
户
客
客
客户
•客
–Microsoft
–BIOS
–用
–只
–与
管
管
管理
•管
软
端
户
软件
端软
户端
Microsoft
Microsoft
MicrosoftWindows
用指纹替换密码以便快速、方便且安全地访问系统。
BIOS
BIOS
BIOS密
用指纹替换这些密码,使登录更加安全方便。
于
用
于
用
于SafeGuard
用于
启动Windows之前,利用指纹认证来对硬盘驱动器进行解密。
滑
需
只
滑
需
只
滑动
需滑
只需
在启动时只需滑动手指即可访问BIOS和Windows,节省了宝贵的时间。
Client
与
Client
与
ClientSecurity
与Client
与ClientSecuritySolutionPasswordManager一起使用,并利用可信平台模块。用户可以通过划过手指
来访问Web站点并选择应用程序。
功
员
理
功
员
理
功能
员功
理员
功
件
功能
件功
Windows
Windows
Windows密
码
密
码
密
码(
密码
SafeGuard
SafeGuard
SafeGuardEasy
手
动
手
动
手指
动手
Security
Security
SecuritySolution
能
能
能
能
能
:
换
替
码
密
码
密
码替
密码
开
为
称
也
(
也
(
也称
(也
指
指
指即
即
即
即可
称
称为
Easy
Easy
Easy全
可
可
可访
开
为
开机
为开
全
全
全盘
问
访
问
访
问BIOS
访问
Solution
Solution
Solution集
机
机
机密
替
替换
盘
盘
盘加
BIOS
BIOS
BIOS和
:
换
:
换:
:
换
替
码
密
器
动
驱
盘
硬
和
)
码
密
码
密
码)
密码
加
加
加密
集
集
集成
硬
和
)
硬盘
和硬
)和
引
的
密
引
的
密
引导
的引
密的
Windows
和
Windows
和
Windows:
和Windows
:
成
:
成
:
成:
动
驱
盘
动器
驱动
盘驱
指
前
导
指
前
导
指纹
前指
导前
码
密
器
码替
密码
器密
证
认
纹
证
认
纹
证:
认证
纹认
:
:
:
:
换
替
:
换:
替换
:
:
:
第1章.概述3
3
3
3
安
安
安全
–安
式
方
全
式切
方式
全方
:
换
切
:
换:
切换
:
换
切
式
方
全
让管理员可以在安全方式与便捷方式之间切换以修改受限用户的访问权。
安
全
安
全性
安全
•安
软
软
软件
–软
能
功
性
能
功能
性功
:
性
全
安
件
安
件
安全
件安
:
性
全
:
性:
全性
能
功
性
全
将用户模板存储在系统中或将它们从识别器传送到软件时,通过强加密来保护它们。
硬
安
件
硬
安全
件安
硬件
–硬
:
性
全
:
性:
全性
:
性
全
安
件
为安全性识别器提供协处理器,该处理器存储并保护指纹模板、BIOS密码和加密密钥。
4
4
4ClientSecuritySolution8.3部署指南
4
第2章安装
本章包含安装ClientSecuritySolution和指纹软件的说明。在安装ClientSecuritySolution或指纹软件之前,您
应该了解要安装的应用程序的体系结构。本章提供每个应用程序的体系结构和安装每个程序前需要了解的其
他信息。
ClientSecuritySolution
ClientSecuritySolution安装软件包是使用InstallShield10.5Premier并作为基本MSI项目开发的。InstallShield
使用WindowsInstaller安装应用程序,这为管理员提供了多种定制安装的功能,例如在命令行设置属性值。
本章描述了使用和执行ClientSecuritySolution安装软件包的方式。为了更深入了解这些方法,请阅读整章后
再开始安装这些软件包。
:
注
:
注
:安装这些软件包时,请参阅LenovoWeb站点中的ClientSecuritySolution自述文件。该自述文件包含有
注:
注
关软件版本、受支持的系统、系统要求以及其他有助于安装的注意事项的最新信息。
安装需求
本部分中的信息描述了安装ClientSecuritySolution软件包的系统要求。为获得最佳结果,请访问以下Web
站点以确保软件为最新版本:
http://www.lenovo.com/support
Lenovo品牌计算机必须满足或超出以下要求,才能安装ClientSecuritySolution:
•操作系统:Windows7
•内存:256MB
–在共享内存配置中,最大共享内存的BIOS设置必须设置为不小于8MB。
–在非共享内存配置中,要求非共享内存为120MB。
•必须安装InternetExplorer
•硬盘驱动器上有300MB的可用空间。
•支持800x600分辨率和24位真彩色的VGA兼容视频。
•用户必须具有管理特权才能安装ClientSecuritySolution。
®
5.5或更高版本。
:
注
:
注
:不支持在WindowsServer
注:
注
2003请求证书。请参阅第56
®
2003上部署ClientSecuritySolution安装软件包。但支持从WindowsServer
页“使用TPM中的密钥生成功能生成证书”。
定制公共属性
ClientSecurity软件程序的安装软件包中包含一组定制公共属性,运行安装时可以在命令行上设置这些属性。
下表提供了用于Windows操作系统的定制公共属性:
表 1. 公 共 属 性
属
性
属
性
属
属性
性描
EMULATIONMODE
HALTIFTPMDISABLED
©CopyrightLenovo2008,2011
描
述
描
述
描述
述
指定即使TPM存在,仍强制以仿真方式进行安装。在
命令行上设置EMULATIONMODE=1以仿真方式进行
安装。
如果TPM处于禁用状态并且正以静默方式运行安装,那
么缺省值是以仿真方式执行安装。如果已禁用TPM,则
以静默方式运行安装时,使用HALTIFTPMDISABLED=1
属性停止安装。
5
5
5
5
表 1. 公 共 属 性 ( 续 )
属
性
属
性
属
属性
性描
NOCSSWIZARD
CSS_CONFIG_SCRIPT
SUPERVISORPW
PWMGRMODE
NOSTARTMENU
CREATESHORTCUT
描
述
描
述
描述
述
在命令行上设置NOCSSWIZARD=1以防止在安装Client
SecuritySolution后自动显示ClientSecuritySolution注册
对话框。该属性为那些要安装ClientSecuritySolution但是
稍后配置系统时会使用脚本编制的管理员配置。
设置CSS_CONFIG_SCRIPT=“文件名”或“文件名密
码”,可在用户完成安装和重新引导后运行配置文件。
在命令行上设置SUPERVISORPW=“密码”可提供超级
用户密码,以便在静默或非静默安装方式中启用芯片。如
果已禁用芯片且安装以静默方式运行,则必须提供正确的
超级用户密码以启用芯片,否则无法启用芯片。
在命令行上设置PWMGRMODE=1以只安装密码管理
器。
在命令行上设置NOSTARTMENU=1以防止在“开始”
菜单中生成快捷方式。
在命令行上设置CREATESHORTCUT=1以将条目添
开
始
开
始
加到开
开始
始菜单。
可信平台模块支持
ClientSecuritySolution8.3支持嵌入计算机的安全芯片,可信平台模块(TPM)。如果Lenovo计算机包含
Windows操作系统所支持的TPM,那么ClientSecuritySolution将使用与Windows操作系统集成的驱动程序。
可能需要重新引导才能启用TPM,就像是由系统BIOS启用TPM一样。如果正在运行Windows7,那么可
能会要求您确认在系统启动期间是否启用TPM。
必须先初始化所有权,可信平台模块才可以执行功能。每个系统将拥有一个控制ClientSecuritySolution选项
的ClientSecuritySolution管理员。该管理员必须具有Windows管理员特权。可以使用XML部署脚本初始化
管理员。
配置系统所有权后,其他每个Windows用户在登录系统时都会自动接到执行ClientSecurity设置向导的提
示,用于注册并初始化用户的安全密钥和凭证。
可信平台模块的软件仿真
ClientSecuritySolution可以选择不使用可信平台模块在限定的系统上运行。除使用基于软件的密钥而不是使
用受硬件保护的密钥外,其他功能均与使用可信平台模块相同。该软件还可以安装一个开关,以强制始终使
用基于软件的密钥而不使用可信平台模块。是否使用此开关要在安装时作出决定,并且不卸载并重新安装软
件就无法撤销该决定。
下面是强制可信平台模块进行软件仿真的语法:
InstallFile.exe“/vEMULATIONMODE=1”
安装过程和命令行参数
MicrosoftWindowsInstaller通过命令行参数提供多种管理功能。WindowsInstaller可以针对网络执行应用程序
或产品的管理安装,以供工作组使用或用于定制。在指定需要参数的命令行选项时,选项与参数之间不得有
空格。例如:
setup.exe/s/v"/qnREBOOT=”R”"
有效,而
setup.exe/s/v"/qnREBOOT=”R”"
6
6
6ClientSecuritySolution8.3部署指南
6
无效。
:
注
:
注
:单独执行安装(在不使用任何参数的情况下运行setup.exe)时,它的缺省行为是在安装结束时提示用户
注:
注
重新引导。重新引导是确保程序正确运行所必需的。如前文及示例部分所述,可以通过静默安装中的命令行
参数延迟重新引导。
对于ClientSecuritySolution安装包,管理安装将安装源文件解压缩到指定的位置。
要运行管理安装,请从命令行使用/a参数运行安装包:
setup.exe/a
管理安装会显示一个向导,提示管理用户指定安装文件的解压位置。缺省解压位置是C:\。可选择其他位
置,该位置可包括C:\以外的驱动器(例如其他本地驱动器或映射的网络驱动器)。也可以在该步骤中创建
新目录。
要静默运行管理安装,则可以在命令行上设置公共属性TARGETDIR以指定解压位置:
setup.exe/s/v"/qnTARGETDIR=F:\TVTRR"
或
msiexec.exe/i"ClientSecurity-PasswordManager.msi"/qnTARGERDIR=F:\TVTRR
:
注
:
注
:如果您未使用最新版本的WindowsInstaller,那么setup.exe文件会被配置成将WindowsInstaller引擎更新
注:
注
至最新版本。WindowsInstaller引擎更新将会提示您重新引导系统,即使在管理解压安装情况下也是如此。
要阻止在这种情况下进行重新引导,您可以使用WindowsInstaller的REBOOT属性。如果WindowsInstaller
是最新版本,那么setup.exe文件将不会尝试更新WindowsInstaller引擎。
完成管理安装后,管理用户就可定制源文件(例如,向注册表添加设置)。
以下参数和描述记录在InstallShield开发者帮助文档中。凡不适用于BasicMSI项目的参数均已删除。
表 2. 参 数
参
数
参
数
参
参数
数描
/a:管理安装
/x:卸载方式
/s:静默方式
/v:将参数传递到Msiexec
/L:安装语言
/w:等待对于BasicMSI项目,/w参数强制setup.exe等待,直至
描
述
描
述
描述
述
/a开关使setup.exe执行管理安装。管理安装将您的数据
文件复制(并解压)到用户指定的目录,但不创建快捷方
式、注册COM服务器或创建卸载日志。
/x开关使setup.exe卸载先前安装的产品。
命令setup.exe/s禁止BasicMSI安装程序的setup.exe初
始化窗口,但不会读取响应文件。BasicMSI项目不创建
或使用静默安装的响应文件。要静默运行BasicMSI产
品,请运行命令行setup.exe/s/v/qn。(要指定Basic
MSI静默安装的公共属性的值,可以使用命令setup.exe/s
/v"/qnINSTALLDIR=D:\Destination"。)
/v参数用于将命令行开关和公共属性的值传递到
msiexec.exe。
用户可以使用带十进制语言标识的/L开关指定多语言安
装程序使用的语言。例如,指定德语的命令为setup.exe
/L1031。
安装完成后才退出。如果在批处理文件中使用/w选项,
您可能需要在整个setup.exe命令行参数之前添加start
/WAIT。该用法的正确格式示例如下:
start/WAITsetup.exe/w
第2章.安装7
7
7
7
使用msiexec.exe
要在进行定制后通过已解压的源文件进行安装,用户要从命令行中调用msiexec.exe,同时传递已解压的*.MSI
文件的名称。msiexec.exe是WindowsInstaller的可执行程序,用于解释安装包和在目标系统上安装产品。
msiexec/i"C:\WindowsF older\Proles\UserName\
Personal\MySetups\projectname\productconguration\releasename\
DiskImages\Disk1\productname.msi"
:
注
:
注
:在一行中输入上述命令,斜杠后不能有空格。
注:
注
下表描述了可用于msiexec.exe的命令行参数以及使用方法的示例。
表 3. 命 令 行 参 数
参
数
参
数
参
参数
数描
描
述
描
述
描述
述
/Ipackage或productcode
/apackage
/xpackage或productcode
/L[i|w|e|a|r|u|c|m|p|v|+]logfile
/q[n|b|r|f]
使用以下格式安装产品:
Othello:msiexec/i"C:\WindowsFolder\Proles\
UserName\Personal\MySetups
\Othello\TrialVersion\
Release\DiskImages\Disk1\
OthelloBeta.msi"
ProductCode指在产品的项目视图里,ProductCode属性中自动生成的全
局唯一标记符(GUID)。
/a选项允许具备管理员权限的用户将产品安装到网络。
/x选项卸载产品。
使用/L选项进行构建会指定到日志文件的路径;这些标志表明要记录到
日志文件中的信息:
•i记录状态消息
•w记录非致命警告消息
•e记录任何错误消息
•a记录操作序列的起始点
•r记录特定于操作的记录
•u记录用户请求
•c记录初始用户界面参数
•m记录内存不足消息
•p记录终端设置
•v记录详细输出设置
•+追加到现有文件
•*是通配符,它允许您记录所有信息(详细输出设置除外)
/q选项与以下标志相结合以用于设置用户界面级别:
•q或qn不创建用户界面
•qb创建基本用户界面
/?或/h
8
8
8ClientSecuritySolution8.3部署指南
8
以下的用户界面设置在安装结束时显示模态对话框:
•qr显示精简的用户界面
•qf显示完整的用户界面
•qn+不显示用户界面
•qb+显示基本用户界面
这两个命令都显示WindowsInstaller版权信息
表 3. 命 令 行 参 数 ( 续 )
参
数
参
数
参
参数
数描
TRANSFORMS
描
述
描
述
描述
述
TRANSFORMS
TRANSFORMS
TRANSFORMS
TRANSFORMS命令行参数指定要应用于基础软件包的任何转换。
msiexec/i"C:\WindowsFolder\
Proles\UserName\Personal
\MySetups\
YourProjectName\TrialVersion\
MyRelease-1
\DiskImages\Disk1\
ProductName.msi"TRANSFORMS="NewTransf orm1.mst"
可以使用分号分隔多个转换。但在转换的名称中请勿使用分号,因为Windows
Installer服务无法正确解释这些分号。
属性
所有公共属性都可以在命令行进行设置或修改。公共属性全部采用大写字母,
以与专用属性区别。例如,COMPANYNAME为公共属性。
要在命令行设置属性,请使用以下语法:
PROPERTY=VALUE
如果要更改COMPANYNAME的值,则输入以下语句:
msiexec/i"C:\WindowsFolder\
Proles\UserName\Personal\
MySetups\YourProjectName\
TrialVersion\MyRelease-1\
DiskImages\Disk1\ProductName.msi"
COMPANYNAME="InstallShield"
标准的WindowsInstaller公共属性
WindowsInstaller有一组标准的内置公共属性,可以在命令行中设置这些属性以指定安装期间的特定行为。
下表提供命令行中最常用的公共属性。
有关更多信息,请访问MicrosoftWeb站点,网址为:
http://msdn2.microsoft.com/en-us/library/aa367437.aspx
下表显示了常用的WindowsInstaller属性:
表 4. Windows Installer 属 性
属
性
属
性
属
属性
性描
TARGETDIR
ARPAUTHORIZEDCDFPREFIX
ARPCOMMENTS
ARPCONTACT
ARPINSTALLLOCATION
ARPNOMODIFY
ARPNOREMOVE
ARPNOREPAIR
ARPPRODUCTICON
ARPREADME
描
述
描
述
描述
述
指定安装的根目标目录。在管理安装期间,该属性是
复制安装包的位置。
应用程序的更新通道的URL。
为“控制面板”上的“添加或删除程序”提供注释。
为“控制面板”上的“添加或删除程序”提供联系。
应用程序主文件夹的标准路径。
禁用修改产品的功能。
禁用删除产品的功能。
禁用程序向导中的“修复”按钮。
指定安装包的主图标。
为“控制面板”上的“添加或删除程序”提供自述文件。
第2章.安装9
9
9
9
表 4. Windows Installer 属 性 ( 续 )
属
性
属
性
属
属性
性描
ARPSIZE
ARPSYSTEMCOMPONENT
ARPURLINFOABOUT
ARPURLUPDATEINFO
REBOOT
描
述
描
述
描述
述
应用程序的估计大小(以千字节为单位)。
阻止在“添加或删除程序”列表中显示应用程序。
应用程序主页的URL。
应用程序更新信息的URL。
REBOOT属性禁止某些重新引导系统的提示。管理员
通常在同时安装多个产品的一系列安装中使用该属性,
这样只需在所有安装结束时执行一次重新引导即可。设
置REBOOT=“R”以禁用一个安装结束时的任何重新
引导。
安装日志文件
如果通过setup.exe文件(双击install.exe文件、不带参数运行这个可执行文件或者解压MSI软件包并运
行setup.exe文件)启动安装,则将在%temp%目录中创建ClientSecuritySolution的安装日志文件,名为
添
添
cssinstall83xx.log。这些文件包含可用于调试安装问题的日志消息。该日志文件包含由“控制面板”中添
除
除
除applet执行的所有活动。当直接从MSI软件包运行setup.exe文件时不会创建该日志文件。要创建一个日
除
志文件用于所有MSI操作,您可以启用注册表中的记录策略。要执行该操作,请创建以下值:
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]
"Logging"="voicewarmup"
添加
删
/
加
删
/
加
删
/删
加/
安装示例
下表显示了使用setup.exe文件的安装示例。
表 5. 使 用 setup.exe 文 件 的 安 装 示 例
描
述
描
述
描
描述
述示
无需重新引导的静默安装
管理安装
指定ClientSecurity软件解压位置的静默管理安装。
静默卸载。
安装后不重新引导(在temp子目录中创建ClientSecurity
软件的安装日志。)
不安装Predesktop区域的安装
下表提供了使用ClientSecurity-PasswordManager.msi的安装示例:
表 6. 使 用 Client Security - Password Manager.msi 的 安 装 示 例
描
述
描
述
描
描述
述示
安装
无需重新引导的静默安装
静默卸载
示
例
示
例
示例
例
msiexec/i“C:\CSS83\ClientSecurity
Solution-PasswordManager.msi”
msiexec/i“C:\CSS83\ClientSecurity
Solution-PasswordManager.msi”/qnREBOOT=”R”
msiexec/x“C:\CSS83\ClientSecurity
Solution-PasswordManager.msi”/qn
示
例
示
例
示例
例
setup.exe/s/v”/qnREBOOT=”R””
setup.exe/a
setup.exe/a/s/v”/qnTARGETDIR=”F:
\CSS83””
setup.exe/s/x/v/qn
setup.exe/v”REBOOT=”R”/L*v%temp%
\cssinstall83.log”
setup.exe/vPDA=0
10
10
10ClientSecuritySolution8.3部署指南
10
安装ThinkVantage指纹软件
可以使用以下方法安装ThinkVantage指纹软件程序的setup.exe文件:
静默安装
要静默安装ThinkVantage指纹软件,请从CD-ROM驱动器上的安装目录中运行setup.exe文件。
使用以下语法:
Setup.exePROPERTY=VALUE/q/i
其中q表示静默安装,i表示安装。例如:
setup.exeINSTALLDIR="C:\ProgramFiles\ThinkVantagengerprintsoftware"/q/i
要卸载软件,请使用/x参数代替/i参数:
setup.exeINSTALLDIR="C:\ProgramFiles\ThinkVantagengerprintsoftware"/q/x
选项
ThinkVantage指纹软件支持以下选项。
表 7. ThinkVantage 指 纹 软 件 支 持 的 选 项
参
数
参
数
参
参数
数描
CTRLONCE
CTLCNTR
DEFFUS
DEVICEBIO
INSTALLDIR
OEM
PASSPORT
POSSSO
描
述
描
述
描述
述
只显示一次“控制中心”。缺省值为0。
•0=启动时不显示ControlCenter。
•1=启动时显示ControlCenter。
缺省值为1。
•0=不使用快速用户切换(FUS)设置。
•1=使用FUS设置。
缺省值为0。
配置用户将要使用的设备类型。
•DEVICEBIO=#3-使用设备传感器保存首次注册。
•DEVICEBIO=#0-使用硬盘驱动器保存注册。
•DEVICEBIO=#1-使用辅助芯片保存注册。
设置安装目录。
•0=安装服务器通行证或服务器认证支持。
•1=安装仅带有本地通行证的独立计算机方式。
缺省值为1。
设置缺省通行证类型。
•1=本地通行证
•2=服务器通行证
缺省值为1。
•1=启用单点登录。
•0=禁用单点登录。
缺省值为1。
第2章.安装11
11
11
11
表 7. ThinkVantage 指 纹 软 件 支 持 的 选 项 ( 续 )
参
数
参
数
参
参数
数描
PSLOGON
REBOOT
SECURITY
SHORTCUT
SHORTCUTFOLDER
非管理员用户特权
DELETESELF
ENROLLSELF
ENROLLTBX
IMPORTSELF
REVEALPWD
描
述
描
述
描述
述
•0=禁用指纹登录。
•1=启用指纹登录。
缺省值为0。
通过设置为ReallySuppress来禁止安装期间的所有重新
引导(包括提示)。
•1=在安全方式下安装。
•0=在便捷方式下安装。
•0=启动时不显示ControlCenter快捷方式。
•1=启动时显示ControlCenter快捷方式。
缺省值为0。
开
始
开
始
在开
开始
始菜单中设置快捷方式文件夹的缺省名称。
•1=启用指纹删除。
•0=禁用指纹删除。
缺省值为1。
•1=启用指纹注册。
•0=禁用指纹注册。
缺省值为1。
•1=启用开机指纹选择。
•0=禁用开机指纹选择。
缺省值为1。
•1=启用非管理员用户的指纹导入/导出。
•0=禁用非管理员用户的指纹导入/导出。
缺省值为1。
•1=启用Windows密码恢复。
•0=禁用Windows密码恢复。
缺省值为1。
反恶意攻击保护(锁定设置)
LOCKOUT
LOCKOUTCOUNT
LOCKOUTTIME
认证超时(不活动设置)
GUITMENABLE
12
12
12ClientSecuritySolution8.3部署指南
12
•1=启用反恶意攻击保护。
•0=禁用反恶意攻击保护。
缺省值为1。
最大重试次数。缺省值为5,您可以使用任意值。
超时(毫秒)。缺省值为120000,您可以使用小于或
等于360000的任意值。
•1=启用认证超时(毫秒)。
•0=禁用认证超时(毫秒)。
缺省值为1。
表 7. ThinkVantage 指 纹 软 件 支 持 的 选 项 ( 续 )
参
数
参
数
参
参数
数描
GUITMTIME
PWDLOGON
NOPOPPAPCHECK
CSS
:
注
:
注
:所有选项均为可选。
注:
注
描
述
描
述
描述
述
认证超时持续时间。缺省值为120000,您可以使用小于
或等于360000的任意值。
•1=启用非管理员用户的仅指纹登录。
•0=禁用非管理员用户的仅指纹登录。
缺省值为1。
•0=不显示开机安全性选项。
•1=始终显示开机安全性选项。
缺省值为0。
•0=假定尚未安装ClientSecuritySolution。
•1=假定已安装ClientSecuritySolution。
缺省值为0。
要卸载FingerprintSoftware,请使用/x参数代替/i。从用户界面进行标准卸载期间,将会显示用于选择
是否删除现有通行证并禁用引导安全性功能的对话框。在静默卸载方式中,您可以使用DELPAS参数。将
DELPAS值设置为“1”以删除现有通行证。如果这些选项未被定义或它们使用了任何其他值,那么计算机
上将保留通行证,并且仍启用引导安全性。如果保留引导安全性为开启状态,那么您将无法编辑引导安全性
内存中的指纹,除非重新安装该产品。例如,运行以下语法:
msiexec/iSetup.msiDELPAS="1"/q
将卸载该产品,删除所有现有通行证,并保留计算机上的引导安全性。
安装Lenovo指纹软件
可以使用以下过程安装Lenovo指纹软件程序的setup32.exe文件。
静默安装
要静默安装指纹软件,请在CD-ROM驱动器的安装目录中运行setup32.exe文件。
使用以下语法:
setup32.exe/s/v"/qnREBOOT="R""
要卸载该软件,请使用以下语法:
setup32.exe/x/s/v"/qnREBOOT="R""
选项
Lenovo指纹软件支持以下选项。
第2章.安装13
13
13
13
表 8. Lenovo 指 纹 软 件 支 持 的 选 项
参
数
参
数
参
参数
数描
SHORTCUT
SWAUTOSTART
SWFPLOGON
SWPOPP
SWSSO
SWALLOWENROLL
SWALLOWDELETE
SWALLOWIMEXPORT
SWALLOWSELECT
SWALLOWPWRECOVERY
SWANTIHAMMER
SWANTIHAMMERRETRIES
描
述
描
述
描述
述
开
始
开
始
在开
开始
始菜单中显示ControlCenter快捷方式。
•0=不显示ControlCenter快捷方式。
•1=显示ControlCenter快捷方式。
缺省值为0。
•0=启动时不启动指纹软件。
•1=启动时启动指纹软件。
缺省值为1。
•0=不使用指纹登录(GINA或凭证提供者)。
•1=使用指纹登录(GINA或凭证提供者)。
缺省值为0。
•0=禁用开机密码保护。
•1=启用开机密码保护。
缺省值为0。
•0=禁用单点登录功能。
•1=启用单点登录功能。
缺省值为0。
•0=禁用非管理员用户的指纹注册。
•1=启用非管理员用户的指纹注册。
缺省值为1。
•0=禁用非管理员用户的指纹删除。
•1=启用非管理员用户的指纹删除。
缺省值为1。
•0=禁用非管理员用户的指纹导入/导出。
•1=启用非管理员用户的指纹导入/导出。
缺省值为1。
•0=禁用非管理员用户的使用指纹替代开机密码的选
项。
•1=启用非管理员用户的使用指纹替代开机密码的选
项。
缺省值为1。
•0=禁用Windows密码恢复。
•1=启用Windows密码恢复。
缺省值为1。
•0=禁用反恶意攻击保护。
•1=启用反恶意攻击保护。
缺省值为1。
指定最大重试次数。缺省值为5。
注
:
注
:
注
注:
:仅当启用SWANTIHAMMER时,该设置才有效。
14
14
14ClientSecuritySolution8.3部署指南
14
表 8. Lenovo 指 纹 软 件 支 持 的 选 项 ( 续 )
参
数
参
数
参
参数
数描
SWANTIHAMMERTIMEOUT
SWAUTHTIMEOUT
SWAUTHTIMEOUTVALUE
SWNONADMIFPLOGONONLY
SWSHOWPOWERON
CSS
描
述
描
述
描述
述
指定超时持续时间(秒)。缺省值为120。
注
:
注
:
注
注:
:仅当启用SWANTIHAMMER时,该设置才有效。
•0=禁用认证超时。
•1=启用认证超时。
缺省值为1。
指定认证超时前处于不活动状态的持续时间(秒)。
缺省值为120。
注
:
注
:
注
注:
:仅当启用SWAUTHTIMEOUT时,该设置才有效。
•0=禁用非管理员用户的仅指纹登录。
•1=启用非管理员用户的仅指纹登录。
缺省值为1。
•0=不显示开机安全性选项。
•1=始终显示开机安全性选项。
缺省值为0。
•0=假定尚未安装ClientSecuritySolution。
•1=假定已安装ClientSecuritySolution。
缺省值为0。
SystemsManagementServer
也支持SystemsManagementServer(SMS)的安装。打开SMS管理员控制台。以标准方式创建一个新的软件
包并设置软件包属性。打开该软件包并在“程序”项中选择“新建程序”。在命令行中输入:
Setup.exe/myourmiflename/q/i
您可以使用静默安装使用的参数。
安装程序通常在安装过程结束时重新引导。如果不想在安装期间重新引导,而想以后再重新引导(在安装更
多程序后),请向属性列表添加REBOOT=“ReallySuppress”。
第2章.安装15
15
15
15
16
16
16ClientSecuritySolution8.3部署指南
16
第3章使用ClientSecuritySolution
在安装ClientSecuritySolution前,您应该先了解可用于该软件的定制。本章提供有关ClientSecuritySolution
的定制信息,以及有关可信平台模块的信息。本章中涉及可信平台模块的术语由可信计算组织(TCG)定
义。有关可信平台模块的更多信息,请访问以下Web站点:
http://www.trustedcomputinggroup.org/
使用可信平台模块
可信平台模块是一个嵌入式安全芯片,旨在为使用该模块的软件提供安全性功能。这个嵌入式安全芯片安装
在系统的主板上,通过硬件总线进行通信。采用可信平台模块的系统可以创建密钥并对它们进行加密,只
有相同的可信平台模块才能对这些密钥进行解密。该过程通常称为
在使用可信平台模块的系统上,称为存储根密钥(SRK)的主包装密钥存储在可信平台模块自身内,因
此密钥的私有部分决不会泄露。嵌入式安全芯片还可以存储其他存储密钥、签字密钥、密码以及其他小
数据单元。由于可信平台模块的存储容量有限,因此使用SRK对其他密钥进行加密以实现芯片外的存
储。SRK始终位于嵌入式安全芯片中,构成了受保护存储区的基础。
也可使用嵌入式安全芯片,但此操作需要ClientSecuritySolution管理员。无论是用于个别用户还是公司的
IT部门,都必须初始化可信平台模块。后续操作(如从硬盘驱动器故障或更换主板的情况下进行恢复)也
仅限ClientSecuritySolution管理员才能执行。
:
注
:
注
:如果要更改认证方式并且尝试对安全芯片进行解锁,必须先注销再以主管理员身份登录。这样才可以对
注:
注
芯片进行解锁。您也可以以二级用户身份登录来转换认证方式。当以二级用户身份登录时,将自动执行此操
作。ClientSecuritySolution将会提示二级用户输入密码或口令。ClientSecuritySolution处理完更改后,二级
用户便可继续对芯片进行解锁。
包 装
密钥,这有助于防止密钥泄露。
在Windows7中使用可信平台模块
如果要启用Windows7登录并禁用可信平台模块,那么在F1BIOS中禁用可信平台模块之前必须禁用Windows
程
过
录
登
护
保
法
无
,
片
芯
全
安
用
停
经
已
经
已
经停
登录功能。此操作可以防止出现以下安全消息:已
另外,如果要升级客户机系统的操作系统,必须清除安全芯片以避免ClientSecurity注册失败。要清除F1
BIOS中的芯片,必须对系统进行冷启动。如果在热启动之后尝试清除芯片,会无法清除此芯片。
已经
安
用
停
安全
用安
停用
片
芯
全
片,
芯片
全芯
法
无
,
法保
无法
,无
登
护
保
登录
护登
保护
程
过
录
程。
过程
录过
使用密钥管理ClientSecuritySolution
ClientSecuritySolution主要有两个标志性的部署活动:“获取所有权”和“注册用户”。首次运行Client
SecuritySolution设置向导时,初始化期间会执行“获取所有权”和“注册用户”过程。完成ClientSecurity
Solution设置向导的特定Windows用户ID是ClientSecuritySolution管理员,并且注册为活动用户。此外,
将自动要求登录到系统的所有其他用户在ClientSecuritySolution中注册。
权
有
所
取
获
取
获
取所
获取
•获
分配一个Windows管理员用户ID作为系统的唯一一个ClientSecuritySolution管理员。必须通过此用户
ID才能执行ClientSecuritySolution的各项管理功能。通过此用户的Windows密码或ClientSecurity口令
为可信平台模块授权。
:
注
:
注
:忘记ClientSecuritySolution管理员密码或口令后,只有通过有效的Windows权限卸载该软件或清除
注:
注
BIOS中安全芯片的设置才能恢复。无论选择何种方法,通过与可信平台模块关联的密钥进行保护的数据
都将丢失。ClientSecuritySolution还提供一个可选机制,它允许用户根据问答式提问应答自行恢复忘记的
密码或口令。由ClientSecuritySolution管理员决定是否使用此项功能。
册
注
册
注
册用
注册
•注
完成“获取所有权”过程并创建ClientSecuritySolution管理员后,即可创建用户基本密钥,以安全地存
权
有
所
权
有权
所有
户
用
户
用
户
用户
©CopyrightLenovo2008,2011
17
17
17
17
储当前登录的Windows用户的凭证。这种设计允许多个用户在ClientSecuritySolution中注册并使用单个
System Level Key Structure - Take Ownership
Trusted Platform Module
Encrypted via derived AES Key
Storage Root Private Key
Storage Root Public Key
System Leaf Private Key
System Base Private Key
System Leaf Public Key
System Base Public Key
System Base Private Key
System Base Public Key
If Passphrase
loop n times
CSS Admin PW/PP
One-Way Hash
One-Way Hash
System Base AES
Protection Key
(derived via output
of hash algorithm)
Auth
可信平台模块。用户密钥通过安全芯片保护,但它们实际存储在硬盘驱动器而非芯片中。这种设计创建硬
盘驱动器空间以作为限制存储因子,而非使用安全芯片中内置的实际内存。因而大幅增加了可利用相同安
全硬件的用户数量。
获取所有权
ClientSecuritySolution的信任根是系统根密钥(SRK)。该不可迁移的非对称密钥在可信平台模块的安全环
境中生成,并且始终不会向系统公开。利用该密钥的权限是在执行TPM_TakeOwnership命令期间通过
Windows管理员帐户产生的。如果系统利用ClientSecurity口令,则ClientSecuritySolution管理员的Client
Security口令将使用可信平台模块授权,否则将使用ClientSecuritySolution管理员的Windows密码。
为系统创建SRK后,就可创建其他密钥对并将它们存储到可信平台模块之外,但这些密钥对将由基于硬件
的密钥包装或保护。由于包含SRK的可信平台模块是硬件,而硬件可能会损坏,所以需要恢复机制来确保
系统受损不会防碍数据恢复。
为恢复系统,将创建一个系统基本密钥。这种非对称的存储密钥使ClientSecuritySolution管理员可通过更
换主板或按计划迁移到其他系统进行恢复。为了保护系统基本密钥,同时允许在常规操作或恢复期间访问该
密钥,将为密钥创建两个实例并采用两种不同的方法对它们进行保护。首先,用AES对称密钥加密系统基
本密钥,而了解ClientSecuritySolution管理员的密码或ClientSecurity口令才能得到AES对称密钥。Client
SecuritySolution恢复密钥的这个副本仅用于在清除可信平台模块或因硬件故障而更换主板后进行恢复。
SRK包装ClientSecuritySolution恢复密钥的第二个实例以将其导入密钥层次结构中。系统基本密钥的这两
个实例允许可信平台模块保护在正常使用的情况下与其绑定的机密,同时允许通过系统基本密钥恢复发生故
障的主板,该系统基本密钥使用由ClientSecuritySolution管理员密码或ClientSecurity口令解锁的AES密钥
进行加密。然后创建系统叶密钥。该密钥用于保护系统级别的机密,如AES密钥。
下图显示了系统级别密钥的结构:
图 1. 系 统 级 密 钥 结 构 - 获 取 所 有 权
18
18
18ClientSecuritySolution8.3部署指南
18