Lenovo ThinkVantage Client Security Solution 8.3 Deployment Guide [zc]

ClientSecuritySolution8.3 部署指南
更新时间:2011年12月
在使用本资料及其支持的产品之前,请阅读第69
注:
页附录E“声明”中的一般信息。
(2011
12
(2011
版(2011
Copyright
Copyright
©Copyright
CopyrightLenovo
有限权利声明:如果数据或软件依照通用服务管理(GSA)合同提供,其使用、复制或公开受编号为GS-35F-05925的 合同条款的约束。
(2011年
Lenovo
Lenovo
Lenovo2008,
年12
)
12
)
12月
月)
)
2008,
2011.
2008,
2011.
2008,2011.
2011.
目录
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
前言
言.
..
..
..
..
..
..
..
..
..
..
1
.
.
.
.
.
1
.
第1
1章
章概
概述
ClientSecuritySolution.............1
ClientSecuritySolution口令.........1
ClientSecurity密码恢复..........2
ClientSecurity密码管理器.........2
安全顾问程序..............3
证书转移向导..............3
硬件密码重置..............3
支持无可信平台模块的系统.........3
FingerprintSoftware..............3
2
第2
ClientSecuritySolution.............5
安装ThinkVantage指纹软件.........11
安装Lenovo指纹软件............13
SystemsManagementServer..........15
第3
使用可信平台模块.............17
使用密钥管理ClientSecuritySolution......17
使用XML模式..............22
使用RSASecurID令牌...........29
2
2章
章安
安装
安装需求................5
定制公共属性..............5
可信平台模块支持............6
安装过程和命令行参数..........6
使用msiexec.exe.............8
标准的WindowsInstaller公共属性......9
安装日志文件.............10
静默安装...............11
选项.................11
静默安装...............13
选项.................13
3
使
3
使
3章
章使
使用
在Windows7中使用可信平台模块.....17
获取所有权..............18
注册用户...............19
软件仿真...............20
主板更换...............20
EFS保护实用程序...........22
示例.................23
安装RSASecurID软件令牌.......29
要求.................29
设置智能卡访问选项..........29
手动安装RSASecurID软件令牌......30
ActiveDirectory支持...........30
述.
装.
用Client
.
..
..
.
.
.
.
..
..
Client
Client
ClientSecurity
.
.
.
.
.
..
..
..
..
.
.
.
.
.
.
.
.
..
..
..
..
Security
Security
SecuritySolution
..
..
..
.
.
.
.
.
.
..
..
..
.
.
.
.
.
.
..
..
..
Solution
Solution
Solution.
.
..
.
.
..
.
.
..
.
.
.
.
.
..
..
..
.iii
.
.
.
.
.
.
.
.
..
..
..
..
.
.
.
.
.
.
.
.
..
..
..
..
.
.
.
.
..
.17
iii
iii
iii
.
1
.
1
.1
1
.
5
.
5
.5
5
17
17
17
指纹识别器认证的设置和策略........30
强制跳过指纹认证选项.........30
指纹扫描结果.............30
命令行工具................31
安全顾问程序.............31
ClientSecuritySolution设置向导......32
部署文件加密或解密工具........33
部署文件处理工具...........33
TPMENABLE.EXE...........33
证书转移工具.............34
激活或停用TPM............34
ActiveDirectory支持............36
管理(ADM)模板文件.........36
组策略设置..............37
4
使
4
第4
4章
章使
管理控制台工具..............43
特定于用户的命令...........43
全局设置命令.............44
安全方式与便捷方式............44
安全方式-管理员...........45
安全方式-受限用户..........45
便捷方式-管理员...........45
便捷方式-受限用户..........46
可配置的设置.............46
指纹软件和NovellNetwareClient.......47
正在认证...............48
ThinkVantage指纹软件服务.........48
5
5
第5
5章
章使
管理控制台工具..............49
Lenovo指纹软件服务............49
Lenovo指纹软件的ActiveDirectory支持....49
6
6
第6
6章
章最
安装ClientSecuritySolution的部署示例.....51
方案1................51
方案2................53
切换ClientSecuritySolution方式.......55
公司ActiveDirectory推广..........55
单机安装CD或脚本文件..........55
SystemUpdate...............55
SystemMigrationAssistant...........55
使用TPM中的密钥生成功能生成证书.....56
要求:................56
从服务器请求证书...........56
使
使用
用ThinkVantage
使
使
使用
用Lenovo
最佳
佳实
实践
ThinkVantage
ThinkVantage
ThinkVantage指
Lenovo
Lenovo
Lenovo指
践.
指纹
.
.
.
.
..
..
.
指纹
纹软
软件
纹软
.
.
.
.
..
..
.
.
软件
件.
..
.
.
.
.
.
.
.
.
..
..
..
..
.
.
.
件.
..
.43
.
.
.
.
.
.
.
.
..
..
..
.49
.
.
.
.
.
.
.
.
..
..
..
.51
43
43
43
49
49
49
51
51
51
©CopyrightLenovo2008,2011
i
i
i
i
将USB指纹键盘用于2008年 的ThinkPad笔记本计算机型号 (R400/R500/T400/T500/W500/X200/X301)..57
Windows7登录............57
ClientSecuritySolution和密码管理器....58
引导前认证-使用指纹而非BIOS密码...58
A
附录
录A
ThinkPad
ThinkPad
ThinkPad
ThinkPad笔 项
.
.
项.
..
配置和设置................61
Pre-desktopauthentication...........61
Windows登录...............61
通过ClientSecuritySolution认证.......62
Lenovo
A
Lenovo
A将
将Lenovo
Lenovo指
笔记
记本
.
.
.
.
.
.
.
.
..
..
..
..
指纹
纹键
本型
.
.
..
型号
号时
时的
.
.
.
.
.
.
.
.
..
..
..
..
键盘
盘用
用于
的特
特别
别注
.
.
.
.
.
.
..
..
..
于某
某些
注意
意事
.
.
.
.
.
.
.
..
..
.
.
.
.
.
..
..
..
.61
B
B
附录
录B
B重
Security
Security
Security
SecuritySolution
C
C
附录
录C
C在
使
使
上使
使用
D
D
录D
D使
TPM
TPM
TPM.
E
E
录E
E声
用Client
统上
附录 的
的TPM
如何远程部署BitLocker?..........67
61
61
61
TPM封锁的工作方式............67
附录
商标...................69
词汇表..................lxxi
重置
置Windows
Solution
Solution
Solution中
在重
重新
Client
Client
ClientSecurity
使
使
使用
用ThinkPad
.
.
..
声明
明.
Windows
Windows
Windows密
新安
安装
ThinkPad
ThinkPad
ThinkPad笔
.
.
.
.
.
.
..
..
..
.
.
.
.
..
..
中同
Security
Security
SecuritySolution
同步
装Windows
.
.
..
.
.
..
密码
步密
密码
Windows
Windows
Windows的
笔记
.
.
.
.
.
.
..
..
..
.
.
.
.
.
.
..
..
..
码后
后在
在Client
.
.
码.
..
的操
Solution
Solution
Solution.
记本
本计
计算
.
.
.
.
.
.
..
..
..
.
.
.
.
.
.
..
..
..
Client
Client
Client
.
.
.
.
.
.
.
.
..
..
..
操作
作系
.
.
.
.
..
..
算机
机上
.
.
.
.
.
.
..
..
..
.
.
.
.
.
.
..
..
..
63
.
.
63
..
.63
63
.
.
65
.
.
65
..
.65
65
上 .
.
67
.
.
67
..
.67
67
.
.
69
.
.
69
..
.69
69
ii
ii
iiClientSecuritySolution8.3部署指南
ii
前言
本指南中提供的信息旨在支持装有ThinkVantage
序的Lenovo
®
计算机。
®
ClientSecuritySolution程序和FingerprintSoftware程
ClientSecuritySolution和指纹软件的目标是通过保护客户端数据来保护您的系统并且使破坏安全性的尝试无 法成功。
Client Security Solution
》提供了在一台或多台计算机上安装ClientSecuritySolution和指纹软件所
必需的信息,还提供了有关可进行定制以支持IT和公司策略的管理员工具的指示信息和方案。
本指南的目标对象是IT管理员或那些负责在整个组织内的计算机上部署ThinkVantageClientSecurity Solution和指纹软件的人员。如果您有任何建议或意见,请与Lenovo授权代表联系。本指南定期更新,可在 LenovoWeb站点上检查最新的出版物,网址为:
http://www.lenovo.com/support
有关使用ClientSecuritySolution和指纹软件工作空间中各种组件的问题和信息,请参阅ClientSecuritySolution 和指纹软件随附的联机帮助系统和用户指南。
©CopyrightLenovo2008,2011
iii
iii
iii
iii
iv
iv
ivClientSecuritySolution8.3部署指南
iv

第1章概述

本章概述了ClientSecuritySolution和指纹软件。本部署指南中描述的技术可以简化个人计算机的使用、提 高个人计算机的工作效率并提供功能强大的工具来加速并简化执行过程,因而可以为IT专业人员提供直接 或间接的帮助。借助ThinkVantageTechnologies,IT专业人员可以减少用于解决个人计算机问题的时间,从 而将更多的时间用于执行核心任务。

ClientSecuritySolution

ClientSecuritySolution软件的主要用途是帮助您将计算机作为资产进行保护,同时保护计算机上的保密数据 和计算机访问的网络连接。(如果Lenovo品牌的系统中含有符合可信计算组织(TCG)标准的可信平台模 块(TPM),则ClientSecuritySolution软件将利用硬件作为系统的信任根。如果系统不包含嵌入式安全芯 片,ClientSecuritySolution会将基于软件的密钥用作系统的信任根。)
ClientSecuritySolution8.3的功能包括:
®
®
®
®
Windows
使
Windows
使
Windows
用Windows
使用
使
或Client
码或
密码
Security
Client
Security
Client
SecuritySolution
ClientSecurity
Solution
Solution
Solution口
令保
口令
用户
护用
保护
可以对ClientSecuritySolution进行配置使其接受用于认证的用户Windows密码或ClientSecuritySolution 口令。使用Windows密码比较方便且易于管理,而使用ClientSecuritySolution口令更加安全。管理员可 以选择使用哪种认证方式,并且即使用户已经注册ClientSecuritySolution,仍然可以更改此设置。
用户
纹用
指纹
认证
户认
利用USB连接的集成指纹技术对用户进行认证,使其可使用受密码保护的应用程序。
Windows
Windows
Windows登
于Windows
用于
录和
登录
种Client
各种
和各
Security
Client
SecuritySolution
ClientSecurity
Security
Client
Solution
Solution
Solution操
的多
作的
操作
为各种安全性相关操作定义多个认证设备(Windows密码、ClientSecurity口令和指纹)。
密码
管理
码管
安全地管理和存储敏感的登录信息,例如用户标识和密码。
密码
口令
和口
码和
恢复
令恢
即使用户忘记了他们的Windows密码或ClientSecuritySolution口令,通过使用密码和口令恢复,用户只 要回答预配置的安全性问题,就可以登录到Windows并访问他们的ClientSecuritySolution凭证。
审计
全性
安全
计安
设置
性设
使用户能够查看工作站安全性设置的详细列表,并可以更改设置使其符合定义的标准。
证书
字证
数字
传送
书传
ClientSecuritySolution保护用户证书和机器证书的密钥。使用ClientSecuritySolution保护您现有证书的专 用密钥。
认证
于认
用于
策略
的策
证的
管理
略管
管理员可选择需要哪些设备(Windows密码、ClientSecuritySolution口令或指纹)对以下操作进行认证: Windows登录、PasswordManager和证书操作。
认证
户认
多因
用户
子用
因子
认证
户认

ClientSecuritySolution口令

ClientSecuritySolution口令是用户认证的一种可选功能,可以进一步保护ClientSecuritySolution应用程序的 安全性。ClientSecuritySolution口令具有以下要求:
长度至少为八个字符
至少包含一个数字
不同于最近的三个口令
包含的重复字符不超过两个
不以数字开头
不以数字结尾
©CopyrightLenovo2008,2011
1
1
1
1
不包含用户标识
不能更改使用时间不足三天的当前口令
当前口令在任何位置都不包含三个或三个以上连续相同的字符
与Windows密码不同
只有个人用户才知道ClientSecuritySolution口令。如果忘记了ClientSecuritySolution口令,则进行恢复的 唯一方法是执行ClientSecuritySolution的密码恢复功能。如果用户忘记了其恢复问题的答案,便无法恢复由 ClientSecuritySolution口令保护的数据。

ClientSecurity密码恢复

此可选功能使注册的ClientSecurity用户能通过正确回答三个问题来恢复忘记的Windows密码或ClientSecurity 口令。如果启用了此功能,您将需要为十个预选问题选择三个答案。如果用户忘记了Windows密码或Client Security口令,通过回答这三个问题即可重新设置他们的密码或口令。
使用ClientSecurity口令时,ClientSecurity密码恢复是恢复忘记的口令的唯一方法。如果您忘记了这三
注:
个问题的答案,就必须重新运行注册向导并且先前受到ClientSecurity保护的所有数据将丢失。

ClientSecurity密码管理器

ClientSecurity密码管理器可用于管理易忘记的应用程序和web站点信息,如用户标识、密码和其他个人信 息。ClientSecurity密码管理器通过ClientSecuritySolution保护您的个人信息,以保证对应用程序和web站 点的访问绝对安全。由于只需记住一个密码或口令或提供指纹,因此ClientSecurityPasswordManager程序还 可节省时间和精力。
ClientSecurity密码管理器使您能够执行以下功能:
过Client
通过
通过ClientSecuritySolution对您的所有信息自动进行加密。用户的敏感密码信息由ClientSecuritySolution 加密密钥进行保护。
填充
动填
自动
当您访问应用程序或web站点时,就会自动登录。如果先前将登录信息输入了ClientSecurity密码管理器 中,则ClientSecurity密码管理器会自动填充所要求的字段并提交web站点或应用程序。
使
使
用Client
使用
使
让您可以在易于使用的界面中编辑帐户条目并设置所有可选功能。使用此界面,可以快速方便地管理密码 和个人信息。但是,ClientSecurity密码管理器会自动检测到大多数与条目相关的更改并使用户能够轻松 地更新他们的条目。
其他
需其
无需
将敏感信息发送给指定的web站点或应用程序时,ClientSecurity密码管理器会自动检测到此过程。当检 测到时,ClientSecurity密码管理器会提示用户保存信息,从而简化了存储敏感信息的过程。
有信
所有
将所
使用ClientSecurity密码管理器,用户可以将任何文本数据保存在安全的便笺本中。用户的安全便笺本受 保护的安全级别可等同于用户的任何其他Web站点或应用程序条目。
和导
出和
导出
使您能够导出敏感的个人信息,以便在计算机之间安全地传递这些信息。从ClientSecurity密码管理器导 出登录信息时,会创建一个受密码保护的导出文件,该文件可以存储在可移动介质上。无论您身在何处都 可以使用此文件访问您的个人信息,或使用ClientSecurity密码管理器将条目导入另一台计算机中。
支持完整导入ClientSecuritySolution7.0和8.
注:
入(不导入应用程序条目)。ClientSecuritySoftwareSolution5.4 Solution8.
Security
Client
SecuritySolution
ClientSecurity
户标
用户
充用
Security
Client
Security
Client
Security密
ClientSecurity
骤便
步骤
他步
保存
息保
信息
登录
入登
导入
x
版PasswordManager。
Security
Client
Solution
Solution
Solution软
标识
便
便
便可
存到
录信
密码
和密
识和
密码
存信
保存
可保
全便
安全
到安
息:
信息
软件
码:
理器
管理
码管
息:
信息
便
便
本中
笺本
便笺
所有
对所
件对
面编
界面
器界
中:
存储
已存
有已
条目
辑条
编辑
信息
的信
储的
目:
行加
进行
息进
x
版的导出文件。ClientSecuritySolutionV6.0支持有限导
密:
加密
x
版及更早版本无法导入到ClientSecurity
2
2
2ClientSecuritySolution8.3部署指南
2

安全顾问程序

SecurityAdvisor工具可用于查看计算机上当前安全性设置的摘要。您可以使用这些设置查看当前的安全性状 态或者增强系统安全性。可通过Windows注册表更改所显示的类别缺省值。安全性类别的示例包含:
硬件密码
Windows用户密码
Windows密码策略
受保护的屏幕保护程序
文件共享

证书转移向导

ClientSecurity证书转移向导可指导您完成将与证书关联的私钥从基于软件的Microsoft (CSP)转移到基于硬件的ClientSecuritySolutionCSP的整个过程。转移后,由于专用密钥受到Client SecuritySolution的保护,所以使用证书的操作将更安全。
®
加密服务提供程序

硬件密码重置

此工具创建一个独立于Windows运行的安全环境并帮助您重新设置忘记的开机密码和硬盘驱动器密码。您的 身份会通过回答您创建的一组问题来进行确定。在忘记密码之前,请尽快创建这个安全环境。仅当已在硬盘 驱动器上创建此安全环境并注册后,才能重新设置忘记的硬件密码。只有某些计算机上提供此工具。

支持无可信平台模块的系统

ClientSecuritySolution8.3支持没有嵌入式安全芯片的Lenovo品牌的系统。这种支持使客户能够在整个企业 范围内实施标准安装,从而创建一致的安全环境。具有嵌入式安全芯片的系统抵御攻击的能力会更强;然 而,如果系统没有嵌入式安全芯片,ClientSecuritySolution会将基于软件的密钥用作系统的信任根,系统也 能从额外的安全性和功能获益。

FingerprintSoftware

Lenovo提供的生物识别指纹技术旨在帮助客户降低与密码管理相关的成本、增强系统的安全性并满足合规性。 指纹软件通过使用Lenovo指纹识别器在个别计算机和网络上启用指纹认证。指纹软件和ClientSecuritySolution
8.3结合使用,可以提供扩展的功能。ClientSecuritySolution8.3支持可用于不同机器类型的ThinkVantage指 纹软件5.9.2和Lenovo指纹软件3.3。您可以从以下LenovoWeb站点中找到有关Lenovo指纹技术的更多信 息并下载指纹软件。
指纹软件提供以下功能:
客户
Microsoft
BIOS
管理
软件
端软
户端
Microsoft
Microsoft
MicrosoftWindows
用指纹替换密码以便快速、方便且安全地访问系统。
BIOS
BIOS
BIOS密
用指纹替换这些密码,使登录更加安全方便。
于SafeGuard
用于
启动Windows之前,利用指纹认证来对硬盘驱动器进行解密。
滑动
需滑
只需
在启动时只需滑动手指即可访问BIOS和Windows,节省了宝贵的时间。
Client
Client
ClientSecurity
与Client
与ClientSecuritySolutionPasswordManager一起使用,并利用可信平台模块。用户可以通过划过手指 来访问Web站点并选择应用程序。
功能
员功
理员
功能
件功
Windows
Windows
Windows密
码(
密码
SafeGuard
SafeGuard
SafeGuardEasy
手指
动手
Security
Security
SecuritySolution
码替
密码
也称
(也
指即
即可
称为
Easy
Easy
Easy全
可访
开机
为开
全盘
访
访
问BIOS
访问
Solution
Solution
Solution集
机密
替换
盘加
BIOS
BIOS
BIOS和
换:
码)
密码
加密
集成
硬盘
和硬
)和
引导
的引
密的
Windows
Windows
Windows:
和Windows
成:
动器
驱动
盘驱
指纹
前指
导前
码替
密码
器密
证:
认证
纹认
换:
替换
第1章.概述3
3
3
3
安全
–安
式切
方式
全方
换:
切换
让管理员可以在安全方式与便捷方式之间切换以修改受限用户的访问权。
全性
安全
软件
–软
功能
性功
安全
件安
性:
全性
将用户模板存储在系统中或将它们从识别器传送到软件时,通过强加密来保护它们。
安全
件安
硬件
–硬
性:
全性
为安全性识别器提供协处理器,该处理器存储并保护指纹模板、BIOS密码和加密密钥。
4
4
4ClientSecuritySolution8.3部署指南
4

第2章安装

本章包含安装ClientSecuritySolution和指纹软件的说明。在安装ClientSecuritySolution或指纹软件之前,您 应该了解要安装的应用程序的体系结构。本章提供每个应用程序的体系结构和安装每个程序前需要了解的其 他信息。

ClientSecuritySolution

ClientSecuritySolution安装软件包是使用InstallShield10.5Premier并作为基本MSI项目开发的。InstallShield 使用WindowsInstaller安装应用程序,这为管理员提供了多种定制安装的功能,例如在命令行设置属性值。 本章描述了使用和执行ClientSecuritySolution安装软件包的方式。为了更深入了解这些方法,请阅读整章后 再开始安装这些软件包。
安装这些软件包时,请参阅LenovoWeb站点中的ClientSecuritySolution自述文件。该自述文件包含有
注:
关软件版本、受支持的系统、系统要求以及其他有助于安装的注意事项的最新信息。

安装需求

本部分中的信息描述了安装ClientSecuritySolution软件包的系统要求。为获得最佳结果,请访问以下Web 站点以确保软件为最新版本:
http://www.lenovo.com/support
Lenovo品牌计算机必须满足或超出以下要求,才能安装ClientSecuritySolution:
操作系统:Windows7
内存:256MB
在共享内存配置中,最大共享内存的BIOS设置必须设置为不小于8MB。在非共享内存配置中,要求非共享内存为120MB。
必须安装InternetExplorer
硬盘驱动器上有300MB的可用空间。
支持800x600分辨率和24位真彩色的VGA兼容视频。
用户必须具有管理特权才能安装ClientSecuritySolution。
®
5.5或更高版本。
不支持在WindowsServer
注:
2003请求证书。请参阅第56
®
2003上部署ClientSecuritySolution安装软件包。但支持从WindowsServer
页“使用TPM中的密钥生成功能生成证书”。

定制公共属性

ClientSecurity软件程序的安装软件包中包含一组定制公共属性,运行安装时可以在命令行上设置这些属性。 下表提供了用于Windows操作系统的定制公共属性:
1.
属性
EMULATIONMODE
HALTIFTPMDISABLED
©CopyrightLenovo2008,2011
描述
指定即使TPM存在,仍强制以仿真方式进行安装。在 命令行上设置EMULATIONMODE=1以仿真方式进行 安装。
如果TPM处于禁用状态并且正以静默方式运行安装,那 么缺省值是以仿真方式执行安装。如果已禁用TPM,则 以静默方式运行安装时,使用HALTIFTPMDISABLED=1 属性停止安装。
5
5
5
5
1.
属性
NOCSSWIZARD
CSS_CONFIG_SCRIPT
SUPERVISORPW
PWMGRMODE
NOSTARTMENU
CREATESHORTCUT
描述
在命令行上设置NOCSSWIZARD=1以防止在安装Client SecuritySolution后自动显示ClientSecuritySolution注册 对话框。该属性为那些要安装ClientSecuritySolution但是 稍后配置系统时会使用脚本编制的管理员配置。
设置CSS_CONFIG_SCRIPT=“文件名”或“文件名密 码”,可在用户完成安装和重新引导后运行配置文件。
在命令行上设置SUPERVISORPW=“密码”可提供超级 用户密码,以便在静默或非静默安装方式中启用芯片。如 果已禁用芯片且安装以静默方式运行,则必须提供正确的 超级用户密码以启用芯片,否则无法启用芯片。
在命令行上设置PWMGRMODE=1以只安装密码管理 器。
在命令行上设置NOSTARTMENU=1以防止在“开始” 菜单中生成快捷方式。
在命令行上设置CREATESHORTCUT=1以将条目添
加到
开始
菜单。

可信平台模块支持

ClientSecuritySolution8.3支持嵌入计算机的安全芯片,可信平台模块(TPM)。如果Lenovo计算机包含 Windows操作系统所支持的TPM,那么ClientSecuritySolution将使用与Windows操作系统集成的驱动程序。
可能需要重新引导才能启用TPM,就像是由系统BIOS启用TPM一样。如果正在运行Windows7,那么可 能会要求您确认在系统启动期间是否启用TPM。
必须先初始化所有权,可信平台模块才可以执行功能。每个系统将拥有一个控制ClientSecuritySolution选项 的ClientSecuritySolution管理员。该管理员必须具有Windows管理员特权。可以使用XML部署脚本初始化 管理员。
配置系统所有权后,其他每个Windows用户在登录系统时都会自动接到执行ClientSecurity设置向导的提 示,用于注册并初始化用户的安全密钥和凭证。
可信平台模块的软件仿真
ClientSecuritySolution可以选择不使用可信平台模块在限定的系统上运行。除使用基于软件的密钥而不是使 用受硬件保护的密钥外,其他功能均与使用可信平台模块相同。该软件还可以安装一个开关,以强制始终使 用基于软件的密钥而不使用可信平台模块。是否使用此开关要在安装时作出决定,并且不卸载并重新安装软 件就无法撤销该决定。
下面是强制可信平台模块进行软件仿真的语法:
InstallFile.exe“/vEMULATIONMODE=1”

安装过程和命令行参数

MicrosoftWindowsInstaller通过命令行参数提供多种管理功能。WindowsInstaller可以针对网络执行应用程序 或产品的管理安装,以供工作组使用或用于定制。在指定需要参数的命令行选项时,选项与参数之间不得有 空格。例如:
setup.exe/s/v"/qnREBOOT=”R”"
有效,而
setup.exe/s/v"/qnREBOOT=”R”"
6
6
6ClientSecuritySolution8.3部署指南
6
无效。
单独执行安装(在不使用任何参数的情况下运行setup.exe)时,它的缺省行为是在安装结束时提示用户
注:
重新引导。重新引导是确保程序正确运行所必需的。如前文及示例部分所述,可以通过静默安装中的命令行 参数延迟重新引导。
对于ClientSecuritySolution安装包,管理安装将安装源文件解压缩到指定的位置。
要运行管理安装,请从命令行使用/a参数运行安装包:
setup.exe/a
管理安装会显示一个向导,提示管理用户指定安装文件的解压位置。缺省解压位置是C:\。可选择其他位 置,该位置可包括C:\以外的驱动器(例如其他本地驱动器或映射的网络驱动器)。也可以在该步骤中创建 新目录。
要静默运行管理安装,则可以在命令行上设置公共属性TARGETDIR以指定解压位置:
setup.exe/s/v"/qnTARGETDIR=F:\TVTRR"
msiexec.exe/i"ClientSecurity-PasswordManager.msi"/qnTARGERDIR=F:\TVTRR
如果您未使用最新版本的WindowsInstaller,那么setup.exe文件会被配置成将WindowsInstaller引擎更新
注:
至最新版本。WindowsInstaller引擎更新将会提示您重新引导系统,即使在管理解压安装情况下也是如此。 要阻止在这种情况下进行重新引导,您可以使用WindowsInstaller的REBOOT属性。如果WindowsInstaller 是最新版本,那么setup.exe文件将不会尝试更新WindowsInstaller引擎。
完成管理安装后,管理用户就可定制源文件(例如,向注册表添加设置)。
以下参数和描述记录在InstallShield开发者帮助文档中。凡不适用于BasicMSI项目的参数均已删除。
2.
参数
/a:管理安装
/x:卸载方式
/s:静默方式
/v:将参数传递到Msiexec
/L:安装语言
/w:等待对于BasicMSI项目,/w参数强制setup.exe等待,直至
描述
/a开关使setup.exe执行管理安装。管理安装将您的数据 文件复制(并解压)到用户指定的目录,但不创建快捷方 式、注册COM服务器或创建卸载日志。
/x开关使setup.exe卸载先前安装的产品。
命令setup.exe/s禁止BasicMSI安装程序的setup.exe初 始化窗口,但不会读取响应文件。BasicMSI项目不创建 或使用静默安装的响应文件。要静默运行BasicMSI产 品,请运行命令行setup.exe/s/v/qn。(要指定Basic MSI静默安装的公共属性的值,可以使用命令setup.exe/s /v"/qnINSTALLDIR=D:\Destination"。)
/v参数用于将命令行开关和公共属性的值传递到 msiexec.exe。
用户可以使用带十进制语言标识的/L开关指定多语言安 装程序使用的语言。例如,指定德语的命令为setup.exe /L1031。
安装完成后才退出。如果在批处理文件中使用/w选项, 您可能需要在整个setup.exe命令行参数之前添加start /WAIT。该用法的正确格式示例如下:
start/WAITsetup.exe/w
第2章.安装7
7
7
7

使用msiexec.exe

要在进行定制后通过已解压的源文件进行安装,用户要从命令行中调用msiexec.exe,同时传递已解压的*.MSI 文件的名称。msiexec.exe是WindowsInstaller的可执行程序,用于解释安装包和在目标系统上安装产品。
msiexec/i"C:\WindowsF older\Proles\UserName\ Personal\MySetups\projectname\productconguration\releasename\ DiskImages\Disk1\productname.msi"
在一行中输入上述命令,斜杠后不能有空格。
注:
下表描述了可用于msiexec.exe的命令行参数以及使用方法的示例。
3.
参数
描述
/Ipackage或productcode
/apackage
/xpackage或productcode
/L[i|w|e|a|r|u|c|m|p|v|+]logfile
/q[n|b|r|f]
使用以下格式安装产品:
Othello:msiexec/i"C:\WindowsFolder\Proles\ UserName\Personal\MySetups \Othello\TrialVersion\ Release\DiskImages\Disk1\ OthelloBeta.msi"
ProductCode指在产品的项目视图里,ProductCode属性中自动生成的全 局唯一标记符(GUID)。
/a选项允许具备管理员权限的用户将产品安装到网络。
/x选项卸载产品。
使用/L选项进行构建会指定到日志文件的路径;这些标志表明要记录到 日志文件中的信息:
i记录状态消息
w记录非致命警告消息
e记录任何错误消息
a记录操作序列的起始点
r记录特定于操作的记录
u记录用户请求
c记录初始用户界面参数
m记录内存不足消息
p记录终端设置
v记录详细输出设置
+追加到现有文件
*是通配符,它允许您记录所有信息(详细输出设置除外)
/q选项与以下标志相结合以用于设置用户界面级别:
q或qn不创建用户界面
qb创建基本用户界面
/?或/h
8
8
8ClientSecuritySolution8.3部署指南
8
以下的用户界面设置在安装结束时显示模态对话框:
qr显示精简的用户界面
qf显示完整的用户界面
qn+不显示用户界面
qb+显示基本用户界面
这两个命令都显示WindowsInstaller版权信息
3.
参数
TRANSFORMS
描述
TRANSFORMS
TRANSFORMS
TRANSFORMS
TRANSFORMS命令行参数指定要应用于基础软件包的任何转换。
msiexec/i"C:\WindowsFolder\ Proles\UserName\Personal \MySetups\ YourProjectName\TrialVersion\ MyRelease-1 \DiskImages\Disk1\ ProductName.msi"TRANSFORMS="NewTransf orm1.mst"
可以使用分号分隔多个转换。但在转换的名称中请勿使用分号,因为Windows Installer服务无法正确解释这些分号。
属性
所有公共属性都可以在命令行进行设置或修改。公共属性全部采用大写字母, 以与专用属性区别。例如,COMPANYNAME为公共属性。
要在命令行设置属性,请使用以下语法:
PROPERTY=VALUE
如果要更改COMPANYNAME的值,则输入以下语句:
msiexec/i"C:\WindowsFolder\ Proles\UserName\Personal\ MySetups\YourProjectName\ TrialVersion\MyRelease-1\ DiskImages\Disk1\ProductName.msi" COMPANYNAME="InstallShield"

标准的WindowsInstaller公共属性

WindowsInstaller有一组标准的内置公共属性,可以在命令行中设置这些属性以指定安装期间的特定行为。 下表提供命令行中最常用的公共属性。
有关更多信息,请访问MicrosoftWeb站点,网址为:
http://msdn2.microsoft.com/en-us/library/aa367437.aspx
下表显示了常用的WindowsInstaller属性:
4. Windows Installer
属性
TARGETDIR
ARPAUTHORIZEDCDFPREFIX
ARPCOMMENTS
ARPCONTACT
ARPINSTALLLOCATION
ARPNOMODIFY
ARPNOREMOVE
ARPNOREPAIR
ARPPRODUCTICON
ARPREADME
描述
指定安装的根目标目录。在管理安装期间,该属性是 复制安装包的位置。
应用程序的更新通道的URL。
为“控制面板”上的“添加或删除程序”提供注释。
为“控制面板”上的“添加或删除程序”提供联系。
应用程序主文件夹的标准路径。
禁用修改产品的功能。
禁用删除产品的功能。
禁用程序向导中的“修复”按钮。
指定安装包的主图标。
为“控制面板”上的“添加或删除程序”提供自述文件。
第2章.安装9
9
9
9
4. Windows Installer
属性
ARPSIZE
ARPSYSTEMCOMPONENT
ARPURLINFOABOUT
ARPURLUPDATEINFO
REBOOT
描述
应用程序的估计大小(以千字节为单位)。
阻止在“添加或删除程序”列表中显示应用程序。
应用程序主页的URL。
应用程序更新信息的URL。
REBOOT属性禁止某些重新引导系统的提示。管理员 通常在同时安装多个产品的一系列安装中使用该属性, 这样只需在所有安装结束时执行一次重新引导即可。设 置REBOOT=“R”以禁用一个安装结束时的任何重新 引导。

安装日志文件

如果通过setup.exe文件(双击install.exe文件、不带参数运行这个可执行文件或者解压MSI软件包并运 行setup.exe文件)启动安装,则将在%temp%目录中创建ClientSecuritySolution的安装日志文件,名为
cssinstall83xx.log。这些文件包含可用于调试安装问题的日志消息。该日志文件包含由“控制面板”中添 除
applet执行的所有活动。当直接从MSI软件包运行setup.exe文件时不会创建该日志文件。要创建一个日
志文件用于所有MSI操作,您可以启用注册表中的记录策略。要执行该操作,请创建以下值:
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] "Logging"="voicewarmup"
添加
/
/
/删
加/
安装示例
下表显示了使用setup.exe文件的安装示例。
5. 使 setup.exe
描述
无需重新引导的静默安装
管理安装
指定ClientSecurity软件解压位置的静默管理安装。
静默卸载。
安装后不重新引导(在temp子目录中创建ClientSecurity 软件的安装日志。)
不安装Predesktop区域的安装
下表提供了使用ClientSecurity-PasswordManager.msi的安装示例:
6. 使 Client Security - Password Manager.msi
描述
安装
无需重新引导的静默安装
静默卸载
示例
msiexec/i“C:\CSS83\ClientSecurity Solution-PasswordManager.msi”
msiexec/i“C:\CSS83\ClientSecurity Solution-PasswordManager.msi”/qnREBOOT=”R”
msiexec/x“C:\CSS83\ClientSecurity Solution-PasswordManager.msi”/qn
示例
setup.exe/s/v”/qnREBOOT=”R””
setup.exe/a
setup.exe/a/s/v”/qnTARGETDIR=”F: \CSS83””
setup.exe/s/x/v/qn
setup.exe/v”REBOOT=”R”/L*v%temp% \cssinstall83.log”
setup.exe/vPDA=0
10
10
10ClientSecuritySolution8.3部署指南
10

安装ThinkVantage指纹软件

可以使用以下方法安装ThinkVantage指纹软件程序的setup.exe文件:

静默安装

要静默安装ThinkVantage指纹软件,请从CD-ROM驱动器上的安装目录中运行setup.exe文件。
使用以下语法:
Setup.exePROPERTY=VALUE/q/i
其中q表示静默安装,i表示安装。例如:
setup.exeINSTALLDIR="C:\ProgramFiles\ThinkVantagengerprintsoftware"/q/i
要卸载软件,请使用/x参数代替/i参数:
setup.exeINSTALLDIR="C:\ProgramFiles\ThinkVantagengerprintsoftware"/q/x
选项
ThinkVantage指纹软件支持以下选项。
7. ThinkVantage
参数
CTRLONCE
CTLCNTR
DEFFUS
DEVICEBIO
INSTALLDIR
OEM
PASSPORT
POSSSO
描述
只显示一次“控制中心”。缺省值为0。
0=启动时不显示ControlCenter。
1=启动时显示ControlCenter。
缺省值为1。
0=不使用快速用户切换(FUS)设置。
1=使用FUS设置。
缺省值为0。
配置用户将要使用的设备类型。
DEVICEBIO=#3-使用设备传感器保存首次注册。
DEVICEBIO=#0-使用硬盘驱动器保存注册。
DEVICEBIO=#1-使用辅助芯片保存注册。
设置安装目录。
0=安装服务器通行证或服务器认证支持。
1=安装仅带有本地通行证的独立计算机方式。
缺省值为1。
设置缺省通行证类型。
1=本地通行证
2=服务器通行证
缺省值为1。
1=启用单点登录。
0=禁用单点登录。
缺省值为1。
第2章.安装11
11
11
11
7. ThinkVantage
参数
PSLOGON
REBOOT
SECURITY
SHORTCUT
SHORTCUTFOLDER
非管理员用户特权
DELETESELF
ENROLLSELF
ENROLLTBX
IMPORTSELF
REVEALPWD
描述
0=禁用指纹登录。
1=启用指纹登录。
缺省值为0。
通过设置为ReallySuppress来禁止安装期间的所有重新 引导(包括提示)。
1=在安全方式下安装。
0=在便捷方式下安装。
0=启动时不显示ControlCenter快捷方式。
1=启动时显示ControlCenter快捷方式。
缺省值为0。
开始
菜单中设置快捷方式文件夹的缺省名称。
1=启用指纹删除。
0=禁用指纹删除。
缺省值为1。
1=启用指纹注册。
0=禁用指纹注册。
缺省值为1。
1=启用开机指纹选择。
0=禁用开机指纹选择。
缺省值为1。
1=启用非管理员用户的指纹导入/导出。
0=禁用非管理员用户的指纹导入/导出。
缺省值为1。
1=启用Windows密码恢复。
0=禁用Windows密码恢复。
缺省值为1。
反恶意攻击保护(锁定设置)
LOCKOUT
LOCKOUTCOUNT
LOCKOUTTIME
认证超时(不活动设置)
GUITMENABLE
12
12
12ClientSecuritySolution8.3部署指南
12
1=启用反恶意攻击保护。
0=禁用反恶意攻击保护。
缺省值为1。
最大重试次数。缺省值为5,您可以使用任意值。
超时(毫秒)。缺省值为120000,您可以使用小于或 等于360000的任意值。
1=启用认证超时(毫秒)。
0=禁用认证超时(毫秒)。
缺省值为1。
7. ThinkVantage
参数
GUITMTIME
PWDLOGON
NOPOPPAPCHECK
CSS
所有选项均为可选。
注:
描述
认证超时持续时间。缺省值为120000,您可以使用小于 或等于360000的任意值。
1=启用非管理员用户的仅指纹登录。
0=禁用非管理员用户的仅指纹登录。
缺省值为1。
0=不显示开机安全性选项。
1=始终显示开机安全性选项。
缺省值为0。
0=假定尚未安装ClientSecuritySolution。
1=假定已安装ClientSecuritySolution。
缺省值为0。
要卸载FingerprintSoftware,请使用/x参数代替/i。从用户界面进行标准卸载期间,将会显示用于选择 是否删除现有通行证并禁用引导安全性功能的对话框。在静默卸载方式中,您可以使用DELPAS参数。将 DELPAS值设置为“1”以删除现有通行证。如果这些选项未被定义或它们使用了任何其他值,那么计算机 上将保留通行证,并且仍启用引导安全性。如果保留引导安全性为开启状态,那么您将无法编辑引导安全性 内存中的指纹,除非重新安装该产品。例如,运行以下语法:
msiexec/iSetup.msiDELPAS="1"/q
将卸载该产品,删除所有现有通行证,并保留计算机上的引导安全性。

安装Lenovo指纹软件

可以使用以下过程安装Lenovo指纹软件程序的setup32.exe文件。

静默安装

要静默安装指纹软件,请在CD-ROM驱动器的安装目录中运行setup32.exe文件。
使用以下语法:
setup32.exe/s/v"/qnREBOOT="R""
要卸载该软件,请使用以下语法:
setup32.exe/x/s/v"/qnREBOOT="R""
选项
Lenovo指纹软件支持以下选项。
第2章.安装13
13
13
13
8. Lenovo
参数
SHORTCUT
SWAUTOSTART
SWFPLOGON
SWPOPP
SWSSO
SWALLOWENROLL
SWALLOWDELETE
SWALLOWIMEXPORT
SWALLOWSELECT
SWALLOWPWRECOVERY
SWANTIHAMMER
SWANTIHAMMERRETRIES
描述
开始
菜单中显示ControlCenter快捷方式。
0=不显示ControlCenter快捷方式。
1=显示ControlCenter快捷方式。
缺省值为0。
0=启动时不启动指纹软件。
1=启动时启动指纹软件。
缺省值为1。
0=不使用指纹登录(GINA或凭证提供者)。
1=使用指纹登录(GINA或凭证提供者)。
缺省值为0。
0=禁用开机密码保护。
1=启用开机密码保护。
缺省值为0。
0=禁用单点登录功能。
1=启用单点登录功能。
缺省值为0。
0=禁用非管理员用户的指纹注册。
1=启用非管理员用户的指纹注册。
缺省值为1。
0=禁用非管理员用户的指纹删除。
1=启用非管理员用户的指纹删除。
缺省值为1。
0=禁用非管理员用户的指纹导入/导出。
1=启用非管理员用户的指纹导入/导出。
缺省值为1。
0=禁用非管理员用户的使用指纹替代开机密码的选 项。
1=启用非管理员用户的使用指纹替代开机密码的选 项。
缺省值为1。
0=禁用Windows密码恢复。
1=启用Windows密码恢复。
缺省值为1。
0=禁用反恶意攻击保护。
1=启用反恶意攻击保护。
缺省值为1。
指定最大重试次数。缺省值为5。
注:
仅当启用SWANTIHAMMER时,该设置才有效。
14
14
14ClientSecuritySolution8.3部署指南
14
8. Lenovo
参数
SWANTIHAMMERTIMEOUT
SWAUTHTIMEOUT
SWAUTHTIMEOUTVALUE
SWNONADMIFPLOGONONLY
SWSHOWPOWERON
CSS
描述
指定超时持续时间(秒)。缺省值为120。
注:
仅当启用SWANTIHAMMER时,该设置才有效。
0=禁用认证超时。
1=启用认证超时。
缺省值为1。
指定认证超时前处于不活动状态的持续时间(秒)。 缺省值为120。
注:
仅当启用SWAUTHTIMEOUT时,该设置才有效。
0=禁用非管理员用户的仅指纹登录。
1=启用非管理员用户的仅指纹登录。
缺省值为1。
0=不显示开机安全性选项。
1=始终显示开机安全性选项。
缺省值为0。
0=假定尚未安装ClientSecuritySolution。
1=假定已安装ClientSecuritySolution。
缺省值为0。

SystemsManagementServer

也支持SystemsManagementServer(SMS)的安装。打开SMS管理员控制台。以标准方式创建一个新的软件
包并设置软件包属性。打开该软件包并在“程序”项中选择“新建程序”。在命令行中输入:
Setup.exe/myourmiflename/q/i
您可以使用静默安装使用的参数。
安装程序通常在安装过程结束时重新引导。如果不想在安装期间重新引导,而想以后再重新引导(在安装更
多程序后),请向属性列表添加REBOOT=“ReallySuppress”。
第2章.安装15
15
15
15
16
16
16ClientSecuritySolution8.3部署指南
16

第3章使用ClientSecuritySolution

在安装ClientSecuritySolution前,您应该先了解可用于该软件的定制。本章提供有关ClientSecuritySolution 的定制信息,以及有关可信平台模块的信息。本章中涉及可信平台模块的术语由可信计算组织(TCG)定 义。有关可信平台模块的更多信息,请访问以下Web站点:
http://www.trustedcomputinggroup.org/

使用可信平台模块

可信平台模块是一个嵌入式安全芯片,旨在为使用该模块的软件提供安全性功能。这个嵌入式安全芯片安装 在系统的主板上,通过硬件总线进行通信。采用可信平台模块的系统可以创建密钥并对它们进行加密,只 有相同的可信平台模块才能对这些密钥进行解密。该过程通常称为 在使用可信平台模块的系统上,称为存储根密钥(SRK)的主包装密钥存储在可信平台模块自身内,因 此密钥的私有部分决不会泄露。嵌入式安全芯片还可以存储其他存储密钥、签字密钥、密码以及其他小 数据单元。由于可信平台模块的存储容量有限,因此使用SRK对其他密钥进行加密以实现芯片外的存 储。SRK始终位于嵌入式安全芯片中,构成了受保护存储区的基础。
也可使用嵌入式安全芯片,但此操作需要ClientSecuritySolution管理员。无论是用于个别用户还是公司的 IT部门,都必须初始化可信平台模块。后续操作(如从硬盘驱动器故障或更换主板的情况下进行恢复)也 仅限ClientSecuritySolution管理员才能执行。
如果要更改认证方式并且尝试对安全芯片进行解锁,必须先注销再以主管理员身份登录。这样才可以对
注:
芯片进行解锁。您也可以以二级用户身份登录来转换认证方式。当以二级用户身份登录时,将自动执行此操 作。ClientSecuritySolution将会提示二级用户输入密码或口令。ClientSecuritySolution处理完更改后,二级 用户便可继续对芯片进行解锁。
密钥,这有助于防止密钥泄露。

在Windows7中使用可信平台模块

如果要启用Windows7登录并禁用可信平台模块,那么在F1BIOS中禁用可信平台模块之前必须禁用Windows
经停
登录功能。此操作可以防止出现以下安全消息:
另外,如果要升级客户机系统的操作系统,必须清除安全芯片以避免ClientSecurity注册失败。要清除F1 BIOS中的芯片,必须对系统进行冷启动。如果在热启动之后尝试清除芯片,会无法清除此芯片。
已经
安全
用安
停用
片,
芯片
全芯
法保
无法
,无
登录
护登
保护
过程
录过

使用密钥管理ClientSecuritySolution

ClientSecuritySolution主要有两个标志性的部署活动:“获取所有权”和“注册用户”。首次运行Client SecuritySolution设置向导时,初始化期间会执行“获取所有权”和“注册用户”过程。完成ClientSecurity Solution设置向导的特定Windows用户ID是ClientSecuritySolution管理员,并且注册为活动用户。此外, 将自动要求登录到系统的所有其他用户在ClientSecuritySolution中注册。
取所
获取
分配一个Windows管理员用户ID作为系统的唯一一个ClientSecuritySolution管理员。必须通过此用户 ID才能执行ClientSecuritySolution的各项管理功能。通过此用户的Windows密码或ClientSecurity口令 为可信平台模块授权。
忘记ClientSecuritySolution管理员密码或口令后,只有通过有效的Windows权限卸载该软件或清除
注:
BIOS中安全芯片的设置才能恢复。无论选择何种方法,通过与可信平台模块关联的密钥进行保护的数据 都将丢失。ClientSecuritySolution还提供一个可选机制,它允许用户根据问答式提问应答自行恢复忘记的 密码或口令。由ClientSecuritySolution管理员决定是否使用此项功能。
册用
注册
完成“获取所有权”过程并创建ClientSecuritySolution管理员后,即可创建用户基本密钥,以安全地存
有权
所有
用户
©CopyrightLenovo2008,2011
17
17
17
17
储当前登录的Windows用户的凭证。这种设计允许多个用户在ClientSecuritySolution中注册并使用单个
System Level Key Structure - Take Ownership
Trusted Platform Module
Encrypted via derived AES Key
Storage Root Private Key
Storage Root Public Key
System Leaf Private Key
System Base Private Key
System Leaf Public Key
System Base Public Key
System Base Private Key
System Base Public Key
If Passphrase
loop n times
CSS Admin PW/PP
One-Way Hash
One-Way Hash
System Base AES
Protection Key
(derived via output
of hash algorithm)
Auth
可信平台模块。用户密钥通过安全芯片保护,但它们实际存储在硬盘驱动器而非芯片中。这种设计创建硬 盘驱动器空间以作为限制存储因子,而非使用安全芯片中内置的实际内存。因而大幅增加了可利用相同安 全硬件的用户数量。

获取所有权

ClientSecuritySolution的信任根是系统根密钥(SRK)。该不可迁移的非对称密钥在可信平台模块的安全环 境中生成,并且始终不会向系统公开。利用该密钥的权限是在执行TPM_TakeOwnership命令期间通过 Windows管理员帐户产生的。如果系统利用ClientSecurity口令,则ClientSecuritySolution管理员的Client Security口令将使用可信平台模块授权,否则将使用ClientSecuritySolution管理员的Windows密码。
为系统创建SRK后,就可创建其他密钥对并将它们存储到可信平台模块之外,但这些密钥对将由基于硬件 的密钥包装或保护。由于包含SRK的可信平台模块是硬件,而硬件可能会损坏,所以需要恢复机制来确保 系统受损不会防碍数据恢复。
为恢复系统,将创建一个系统基本密钥。这种非对称的存储密钥使ClientSecuritySolution管理员可通过更 换主板或按计划迁移到其他系统进行恢复。为了保护系统基本密钥,同时允许在常规操作或恢复期间访问该 密钥,将为密钥创建两个实例并采用两种不同的方法对它们进行保护。首先,用AES对称密钥加密系统基 本密钥,而了解ClientSecuritySolution管理员的密码或ClientSecurity口令才能得到AES对称密钥。Client SecuritySolution恢复密钥的这个副本仅用于在清除可信平台模块或因硬件故障而更换主板后进行恢复。
SRK包装ClientSecuritySolution恢复密钥的第二个实例以将其导入密钥层次结构中。系统基本密钥的这两 个实例允许可信平台模块保护在正常使用的情况下与其绑定的机密,同时允许通过系统基本密钥恢复发生故 障的主板,该系统基本密钥使用由ClientSecuritySolution管理员密码或ClientSecurity口令解锁的AES密钥 进行加密。然后创建系统叶密钥。该密钥用于保护系统级别的机密,如AES密钥。
下图显示了系统级别密钥的结构:
1.
18
18
18ClientSecuritySolution8.3部署指南
18

注册用户

User Level Key Structure - Enroll User
Trusted Platform Module
Encrypted via derived AES Key
Storage Root Private Key
Storage Root Public Key
User Leaf Private Key
User Base Private Key
User Leaf Public Key
User Base Public Key
Windows PW AES Key
PW Manager AES Key
User Base Private Key
User Base Public Key
If Passphrase
loop n times
User PW/PP
One-Way Hash
One-Way Hash
User Base AES
Protection Key (derived via output of hash algorithm)
Auth
为了使用同一可信平台模块保护每个用户的数据,每个用户需要创建自己的用户基本密钥。这种非对称的存 储密钥是可迁移的,而且会创建两次,并由通过每个用户的Windows密码或ClientSecurity口令生成的对称 AES密钥保护。
然后将用户基本密钥的第二个实例导入可信平台模块,并由系统SRK进行保护。创建用户基本密钥后,将 创建一个称为用户叶密钥的辅助非对称密钥。用户叶密钥保护个人机密,例如用于保护因特网登录信息的密 码管理器AES密钥、用于保护数据的密码以及用于保护对操作系统访问的Windows密码AES密钥。由用户 的Windows密码或ClientSecuritySolution口令控制对用户叶密钥的访问,并在登录期间自动允许访问。
下图显示了用户级别密钥的结构:
2.
后台注册
ClientSecuritySolution8.3支持用于自动启动的用户注册的后台注册。这种注册过程在后台运行,不显示任 何通知。
后台注册只可用于自动启动的用户注册。对于从“开始”菜单或重
注:
会显示一个指示用户等待用户注册的对话框。
本地管理员或域管理员也可以通过如下方法编辑策略来强制显示等待对话框:
CSS_GUI_ALWAYS_SHOW_ENROLLMENT_PROCESSING
或通过如下方法编辑注册表键:
HKLM\software\policies\lenovo\clientsecuritysolution\GUIoptions\ AlwaysShowEnrollmentProcessing
AlwaysShowEnrollmentProcessing的缺省值是0。如果将以上注册表键设置为0,将不会对自动启用的用户注
册显示等待对话框。如果将该策略设置为1,那么不论注册是如何启动的,都将在用户注册期间显示等待对 话框。
安全
置安
重置
第3章.使用ClientSecuritySolution19
手工启动的用户注册,仍
设置
全设
19
19
19

软件仿真

为了向计算机中没有TPM的用户提供一致的体验,CSS支持TPM仿真方式。
TPM仿真方式是基于软件的信任根。在仿真方式中,用户可使用TPM实际提供的相同功能,包括数字签 名、对称密钥解密、RSA密钥导入、保护以及随机数生成,但由于信任根是基于软件的密钥,所以安全性 会有所降低。
TPM仿真方式无法真正替代TPM。TPM提供以下两种比TPM仿真方式更加安全的密钥保护方法。
TPM使用的所有密钥都由唯一的根级别密钥保护。这个唯一的根级别密钥在TPM内部创建,在TPM之 外无法看到和使用。在TPM仿真方式中,根级别密钥是基于软件的密钥,存储在硬盘驱动器中。
所有的专用密钥操作都在TPM内部执行,因此任何密钥的专用密钥内容永远不会向TPM以外的对象公 开。在TPM仿真方式中,所有的专用密钥操作都在软件中执行,因此没有针对专用密钥内容的保护措施。
TPM仿真方式主要针对不太担心安全性,但比较关注系统登录速度的用户。

主板更换

主板更换意味着密钥所绑定到的原有SRK不再有效,需要另一个SRK。如果通过BIOS清除可信平台模 块,也可能发生此类情况。
ClientSecuritySolution管理员必须将系统凭证绑定到新的SRK。需要通过从ClientSecuritySolution管理员的 授权凭证获得的系统基本AES保护密钥对系统基本密钥进行解密。
如果ClientSecuritySolution管理员是域用户标识,并且已在其他机器上更改了该用户标识的密码,则为了 对系统基本密钥进行解密以实现恢复,将需要知道上次登录需要恢复的系统时使用的密码。例如,在Client SecuritySolution的部署期间将配置其管理员用户标识和密码,如果在其他机器上更改该用户的密码,则部署 期间设置的原始密码将成为恢复系统所需的权限。
执行以下步骤执行主板更换:
1.ClientSecuritySolution管理员登录到操作系统。
2.登录执行代码(cssplanarswap.exe)将识别安全芯片已禁用并且需要重新引导才能启用。(可以通过在 BIOS中启用安全芯片跳过该步骤。)
3.重新引导系统并启用安全芯片。
4.ClientSecuritySolution管理员登录;新的“获取所有权”过程完成。
5.使用通过ClientSecuritySolution管理员的认证而获得的系统基本AES保护密钥,对系统基本密钥进行 解密。系统基本密钥将导入到新的SRK中并重新建立系统叶密钥及其保护的所有凭证。
6.系统现已恢复完毕。
使用仿真方式时不需要进行主板更换。
注:
20
20
20ClientSecuritySolution8.3部署指南
20
下图显示了主板更换-获取所有权的结构:
Motherboard Swap - Take Ownership
Trusted Platform Module
Decrypted via derived AES Key
System Leaf Private Key
Store Leaf Private Key
System Leaf Public Key
Store Leaf Public Key
System Base Private Key
System Base Public Key
If Passphrase
loop n times
CSS Admin PW/PP
One-Way Hash
System Base AES
Protection Key
(derived via output
of hash algorithm)
Motherboard Swap - Enroll User
Trusted Platform Module
Decrypted via derived AES Key
Storage Root Private Key
Storage Root Public Key
User Leaf Private Key
User Leaf Public Key
Windows PW AES Key
PW Manager AES Key
User Base Private Key
User Base Public Key
If Passphrase
loop n times
User PW/PP
One-Way Hash
User Base AES
Protection Key
(derived via output
of hash algorithm)
3.
每个用户登录到系统时,均通过从用户认证获得的用户基本AES保护密钥自动解密用户基本密钥,并将其
导入到通过ClientSecuritySolution管理员创建的新SRK中。下图显示了主板更换-注册用户的结构:
要在清除芯片或更换主板后登录另一个用户,您必须以主管理员的身份登录。系统会提示主管理员恢复密钥。 完成密钥恢复后,使用策略管理器禁用ClientSecurityWindows登录。其他的用户将可以恢复他们各自的密 钥。所有的二级用户恢复了他们的密钥后,主管理员就可以启用ClientSecuritySolutionWindows登录功能。
下图显示了主板更换-注册用户的结构:
4.
第3章.使用ClientSecuritySolution21
21
21
21

EFS保护实用程序

ClientSecuritySolution提供了一个命令行实用程序,此程序启用了由加密文件系统(EFS)使用的基于TPM 的加密认证保护来加密文件和文件夹。此实用程序支持转换第三方证书(由认证中心生成的证书),同时也 支持生成自签名证书。
由ClientSecuritySolution进行的EFS证书保护是指由TPM来保护与EFS证书相关的专用密钥。用户通过 ClientSecuritySolution的认证后,就有权访问证书。
如果无法获取TPM,则使用由ClientSecuritySolution提供的TPM仿真器来保护EFS证书。您必须向Client SecuritySolution注册,才能由ClientSecuritySolution保护EFS证书。
告:
警告
警 如
如果
如 或
或可
使
用Client
使用
果使
可信
台模
平台
信平
Security
Client
SecuritySolution
ClientSecurity
不可
块不
模块
Security
Client
使
Solution
Solution
Solution和
可用
,您
时,
用时
和加 无
无法
将无
您将
文件
密文
加密
访
访
问加
访问
法访
统(
系统
件系
的文
密的
加密
EPS
)来
EPS)
(EPS
件。
文件
密文
加密
来加
和文
件和
文件
夹,
件夹
文件
在Client
则在
,则
Security
Client
SecuritySolution
ClientSecurity
Security
Client
EPS
如果可信平台模块变得无法响应,则ClientSecuritySolution会在更换主板后恢复对加密数据的访问权。
使用EFS命令行实用程序
下表提供了EFS支持的命令行参数:
9. EFS
参数
/generate:<size>
/sn:xxxxxx
/cn:yyyyyy
/firstavail
/silent
描述
生成自签名证书并将其与EFS相关联。如果指定了 <size>,则将生成指定位数的密钥。有效值包含512、 1024和2048。如果未指定值或指定的值无效,则缺省情 况下将生成1024位的密钥。
指定要转换且与EFS相关联的现有证书的序列号。
指定要转换且与EFS相关联的现有证书的名称(“发 布到”)。
转换第一份可获得的现有EFS证书并将其与EFS相关联。
不显示任何输出。程序退出时,返回此值提供的代码。
Solution
Solution
Solution
/?或/h或/help
显示帮助信息。
不以静默方式运行时,此实用程序返回以下某个错误:
0-"Commandcompletedsuccessfully" 1-"ThisutilityrequiresWindowsXP" 2-"ThisutilityrequiresClientSecuritySolutionversion8.0" 3-"ThecurrentuserisnotenrolledwithClientSecuritySolution" 4-"Thespeciedcerticatecouldnotbefound" 5-"Unabletogenerateaself-signedcerticate” 6-"NoEFScerticatesweref ound" 7-"UnabletoassociatethecerticatewithEFS”
以静默方式运行时,程序将会输出与上示错误编号相对应的错误级别。

使用XML模式

XML脚本编制旨在使IT管理员能够创建可用于部署和配置ClientSecuritySolution的定制脚本。这些脚本可 由xml_crypt_tool可执行文件使用密码(例如,AES加密)进行保护。创建脚本后,虚拟机(vmserver.exe) 接受脚本作为输入。虚拟机调用与ClientSecuritySolution设置向导相同的函数对软件进行配置。
22
22
22ClientSecuritySolution8.3部署指南
22
所有脚本都包含一个用于指定XML编码类型(XML模式)的标记以及至少一个要执行的函数。该模式用于 验证XML文件并检查所需参数是否存在。目前不强制使用模式。每个函数以函数标记括起。每个函数包含一 个顺序,指定虚拟机执行命令的顺序(vmserver.exe)。每个函数还有一个版本号;目前所有函数都是V1.0。 以下每个示例脚本都只包含一个函数。但是,实际使用时脚本很可能包含多个函数。ClientSecuritySolution设 置向导可用于创建此类脚本。有关用设置向导创建脚本的更多信息,请参阅第32
页“ClientSecuritySolution
设置向导”。
如果需要域名的任何函数缺少参数<DOMAIN_NAME_PARAMETER>,将使用系统的缺省计算机名。
注:
示例
以下命令为XML模式的示例:
ENABLE_TPM_FUNCTION
该命令启用可信平台模块并使用参数SYSTEM_PAP。如果系统已设置BIOS管理员或超级用户密码,则必须 提供该参数。否则,该参数是可选的。
<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">
<registry_settings/> </tvt_deployment> <FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENABLE_TPM_FUNCTION</COMMAND> <VERSION>1.0</VERSION> <SYSTEM_PAP>PASSWORD</SYSTEM_PAP> </FUNCTION>
</CSSFile>
仿真方式不支持该命令。
注:
DISABLE_TPM_FUNCTION
该命令使用参数SYSTEM_PAP。如果系统已设置BIOS管理员或超级用户密码,则必须提供该参数。否则, 该参数是可选的。
<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">
<registry_settings/> </tvt_deployment <FUNCTION> <ORDER>0001</ORDER> <COMMAND>DISABLE_TPM_FUNCTION</COMMAND> <VERSION>1.0</VERSION> <SYSTEM_PAP>password</SYSTEM_PAP> </FUNCTION>
</CSSFile>
仿真方式不支持该命令。
注:
ENABLE_PWMGR_FUNCTION
此命令为所有ClientSecuritySolution用户启用PasswordManager。
<?xmlversion="1.0"encoding="UTF-8"standalone="no"?> <CSSFilexmlns="www.lenovo.com/security/CSS">
<FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENABLE_PWMGR_FUNCTION</COMMAND> <VERSION>1.0</VERSION> </FUNCTION>
第3章.使用ClientSecuritySolution23
23
23
23
</CSSFile>
ENABLE_CSS_GINA_FUNCTION
对于WindowsXP、WindowsVista和Windows7,此命令启用ClientSecuritySolution登录:
-<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">
<registry_settings/> </tvt_deployment <FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENABLE_CSS_GINA_FUNCTION</COMMAND> <VERSION>1.0</VERSION> </FUNCTION>
</CSSFile>
ENABLE_UPEK_GINA_FUNCTION
注:
1.该命令仅适用于ThinkVantage指纹软件。
2.仿真方式不支持该命令。
以下命令启用ThinkVantage指纹Windows登录,并禁用ClientSecuritySolutionWindows登录。
<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">
<registry_settings/> </tvt_deployment> <FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENABLE_UPEK_GINA_FUNCTION</COMMAND> <VERSION>1.0</VERSION> </FUNCTION>
</CSSFile>
ENABLE_UPEK_GINA_WITH_FUS_FUNCTION
注:
1.该命令仅适用于ThinkVantage指纹软件。
2.仿真方式不支持该命令。
以下命令启用具有用户快速切换支持的登录,并禁用ClientSecuritySolutionWindows登录。当计算机处于域 环境中时,不能启用快速用户切换。这是Microsoft的设计。
<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">
<registry_settings/> </tvt_deployment <FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENABLE_UPEK_GINA_WIH_FUS_FUNCTION</COMMAND> <VERSION>1.0</VERSION> </FUNCTION>
</CSSFile>
ENABLE_AUTHENTEC_GINA_FUNCTION
注:
1.该命令仅适用于Lenovo指纹软件。
24
24
24ClientSecuritySolution8.3部署指南
24
2.仿真方式不支持该命令。
以下命令启用Lenovo指纹Windows登录,并禁用ClientSecuritySolutionWindows登录。
<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">
<registry_settings/> </tvt_deployment> <FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENABLE_AUTHENTEC_GINA_FUNCTION</COMMAND> <VERSION>1.0</VERSION> </FUNCTION>
</CSSFile>
ENABLE_AUTHENTEC_GINA_WITH_FUS_FUNCTION
注:
1.该命令仅适用于Lenovo指纹软件。
2.仿真方式不支持该命令。
以下命令启用具有用户快速切换支持的登录,并禁用ClientSecuritySolutionWindows登录。当计算机处于域 环境中时,不能启用快速用户切换。这是Microsoft的设计。
<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">
<registry_settings/> </tvt_deployment <FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENABLE_AUTHENTEC_GINA_WIH_FUS_FUNCTION</COMMAND> <VERSION>1.0</VERSION> </FUNCTION>
</CSSFile>
ENABLE_NONE_GINA_FUNCTION
如果已启用某个相关ThinkVantageTechnologies组件(如ThinkVantage指纹软件、ClientSecuritySolution或 AccessConnections)的GINA或CP(凭证提供者),那么该命令会禁用ThinkVantage指纹软件登录和Client SecuritySolution登录。
<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">
<registry_settings/> </tvt_deployment <FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENABLE_CSS_NONE_FUNCTION</COMMAND> <VERSION>1.0</VERSION> </FUNCTION>
</CSSFile>
仿真方式不支持该命令。
注:
SET_PP_FLAG_FUNCTION
此命令写入一个标志,ClientSecuritySolution读取该标志以确定使用ClientSecurity口令还是使用Windows 密码。
<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation="
第3章.使用ClientSecuritySolution25
25
25
25
http://www.lenovo.comcssDeploy.xsd">
<registry_settings/> </tvt_deployment <FUNCTION> <ORDER>0001</ORDER> <COMMAND>SET_PP_FLAG_FUNCTION</COMMAND> <PP_FLAG_SETTING_PARAMETER>USE_CSS_PP</PP_FLAG_SETTING_PARAMETER> <VERSION>1.0</VERSION> </FUNCTION>
</CSSFile>
仿真方式不支持该命令。
注:
SET_ADMIN_USER_FUNCTION
此命令写入一个标志,ClientSecuritySolution读取该标志以确定管理员是谁。参数为:
USER_NAME_PARAMETER
USER_NAME_PARAMETER
USER_NAME_PARAMETER
USER_NAME_PARAMETER
管理员的用户名。
DOMAIN_NAME_PARAMETER
DOMAIN_NAME_PARAMETER
DOMAIN_NAME_PARAMETER
DOMAIN_NAME_PARAMETER
管理员的域名。
<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">
<registry_settings/> </tvt_deployment <FUNCTION> <ORDER>0001</ORDER> <COMMAND>SET_ADMIN_USER_FUNCTION</COMMAND> <USER_NAME_PARAMETER>sabedi</USER_NAME_PARAMETER> <DOMAIN_NAME_PARAMETER>IBM-2AA92582C79<DOMAIN_NAME_PARAMETER> <VERSION>1.0</VERSION> <SYSTEM_PAP>PASSWORD</SYSTEM_PAP> </FUNCTION>
</CSSFile>
仿真方式不支持该命令。
注:
INITIALIZE_SYSTEM_FUNCTION
此命令初始化ClientSecuritySolution系统函数。通过调用该函数来生成系统范围的密钥。以下参数列表对每 个函数进行了说明:
NEW_OWNER_AUTH_DATA_PARAMETER
NEW_OWNER_AUTH_DATA_PARAMETER
NEW_OWNER_AUTH_DATA_PARAMETER
NEW_OWNER_AUTH_DATA_PARAMETER
该参数用于设置系统的新所有者密码。对于新所有者密码,该参数的值由当前所有者密码控制。如果未设 置当前所有者密码,则传递该参数内的值,且该值成为新所有者密码。如果已设置当前所有者密码,并且 管理员也使用该密码,那么会传递该参数中的值。如果管理员使用新的所有者密码,那么将在该参数中 传递新所有者密码。
CURRENT_OWNER_AUTH_DATA_PARAMETER
CURRENT_OWNER_AUTH_DATA_PARAMETER
CURRENT_OWNER_AUTH_DATA_PARAMETER
CURRENT_OWNER_AUTH_DATA_PARAMETER
该参数为系统的当前所有者密码。如果系统已有现有所有者密码,则该参数应传递先前的密码。如果请 求了新的所有者密码,那么将在该参数内传递当前所有者密码。如果未配置任何密码更改,那么会传递 值NO_CURRENT_OWNER_AUTH。
<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">
<registry_settings/> </tvt_deployment <FUNCTION> <ORDER>0001</ORDER>
26
26
26ClientSecuritySolution8.3部署指南
26
<COMMAND>INITIALIZE_SYSTEM_FUNCTION</COMMAND> <NEW_OWNER_AUTH_DATA_PARAMETER>pass1word</NEW_OWNER_AUTH_DATA_ PARAMETER> <CURRENT_OWNER_AUTH_DATA_PARAMETER>No_CURRENT_OWNER_AUTH</CURRENT _OWNER_AUTH_DATA_PARAMETER> <VERSION>1.0</VERSION> </FUNCTION>
</CSSFile>
CHANGE_TPM_OWNER_AUTH_FUNCTION
该命令更改ClientSecuritySolution管理员权限,并对系统密钥进行相应更新。通过调用该函数重新生成系 统范围的密钥。参数为:
NEW_OWNER_AUTH_DATA_PARAMETER
可信平台模块的新所有者密码。
CURRENT_OWNER_AUTH_DATA_PARAMETER
可信平台模块的当前所有者密码。
<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">
<registry_settings/> </tvt_deployment <FUNCTION> <ORDER>0001</ORDER> <COMMAND>CHANGE_TPM_OWNER_AUTH_FUNCTION</COMMAND> <NEW_OWNER_AUTH_DATA_PARAMETER>newPassWord</NEW_OWNER_AUTH_DATA_ PARAMETER> <CURRENT_OWNER_AUTH_DATA_PARAMETER>oldPassWord</CURRENT_OWNER_AUTH _DATA_PARAMETER> <VERSION>1.0</VERSION> </FUNCTION>
</CSSFile>
仿真方式不支持该命令。
注:
ENROLL_USER_FUNCTION
此命令注册某个特定用户以使用ClientSecuritySolution。该函数为给定用户创建所有特定于用户的安全密 钥。参数为:
USER_NAME_PARAMETER
USER_NAME_PARAMETER
USER_NAME_PARAMETER
USER_NAME_PARAMETER
要注册的用户的用户名。
DOMAIN_NAME_PARAMETER
DOMAIN_NAME_PARAMETER
DOMAIN_NAME_PARAMETER
DOMAIN_NAME_PARAMETER
要注册的用户的域名。
USER_AUTH_DATA_PARAMETER
USER_AUTH_DATA_PARAMETER
USER_AUTH_DATA_PARAMETER
USER_AUTH_DATA_PARAMETER
用于创建用户的安全密钥的可信平台模块口令或Windows密码。
WIN_PW_PARAMETER
WIN_PW_PARAMETER
WIN_PW_PARAMETER
WIN_PW_PARAMETER
Windows密码。
<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">
<registry_settings/> </tvt_deployment <FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENROLL_USER_FUNCTION</COMMAND> <USER_NAME_PARAMETER>sabedi</USER_NAME_PARAMETER>
第3章.使用ClientSecuritySolution27
27
27
27
<DOMAIN_NAME_PARAMETER>IBM-2AA92582C79<DOMAIN_NAME_PARAMETER> <USER_AUTH_DATA_PARAMETER>myCssUserPassPhrase</USER_AUTH_DATA_PARAMETER>
<WIN_PW_PARAMETER>myWindowsPassword</WIN_PW_PARAMETER> <VERSION>1.0</VERSION> </FUNCTION>
</CSSFile>
USER_PW_RECOVERY_FUNCTION
此命令设置特定用户的密码恢复。参数为:
USER_NAME_PARAMETER
USER_NAME_PARAMETER
USER_NAME_PARAMETER
USER_NAME_PARAMETER
要注册的用户的用户名。
DOMAIN_NAME_PARAMETER
DOMAIN_NAME_PARAMETER
DOMAIN_NAME_PARAMETER
DOMAIN_NAME_PARAMETER
要注册的用户的域名。
USER_PW_REC_QUESTION_COUNT
USER_PW_REC_QUESTION_COUNT
USER_PW_REC_QUESTION_COUNT
USER_PW_REC_QUESTION_COUNT
用户必须回答的问题数量。
USER_PW_REC_ANSWER_DATA_PARAMETER
USER_PW_REC_ANSWER_DATA_PARAMETER
USER_PW_REC_ANSWER_DATA_PARAMETER
USER_PW_REC_ANSWER_DATA_PARAMETER
已存储的特定问题的答案。该参数的实际名称和对应于所回答问题的编号联系。
USER_PW_REC_STORED_PASSWORD_PARAMETER
USER_PW_REC_STORED_PASSWORD_PARAMETER
USER_PW_REC_STORED_PASSWORD_PARAMETER
USER_PW_REC_STORED_PASSWORD_PARAMETER
如果用户正确回答了所有问题,就会看到存储的密码。
<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">
<registry_settings/> </tvt_deployment <FUNCTION> <ORDER>0001</ORDER> <COMMAND>USER_PW_RECOVERY_FUNCTION</COMMAND> <USER_NAME_PARAMETER>sabedi</USER_NAME_PARAMETER> <DOMAIN_NAME_PARAMETER>IBM-2AA92582C79<DOMAIN_NAME_PARAMETER> <USER_PW_REC_ANSWER_DATA_PARAMETER>T est1</USER_PW_REC_ANSWER_DATA_PARA METER> <USER_PW_REC_ANSWER_DATA_PARAMETER>T est2</USER_PW_REC_ANSWER_DATA_PARA METER> <USER_PW_REC_ANSWER_DATA_PARAMETER>T est3</USER_PW_REC_ANSWER_DATA_PARA METER> <USER_PW_REC_QUESTION_COUNT>3</USER_PW_REC_QUESTION_COUNT> <USER_PW_REC_QUESTION_LIST>20000,20001,20002</USER_PW_REC_QUESTION_LIST> </USER_PW_REC_STORED_PASSWORD_PARAMETER>Pass1word</USER_PW_REC_STORED_PASS WORD_PARAMETER> <VERSION>1.0</VERSION> </FUNCTION>
</CSSFile>
GENERATE_MULTI_FACTOR_DEVICE_FUNCTION
该命令生成用于认证的ClientSecuritySolution多因子设备。参数为:
USER_NAME_PARAMETER-管理员的用户名。
DOMAIN_NAME_PARAMETER-管理员的域名。
MULTI_FACTOR_DEVICE_USER_AUTH-用于创建用户安全密钥的ClientSecurity口令或Windows密
码。
<?xmlversion="1.0"encoding="UTF-8"standalone="no"?> <CSSFile=xmlns="www.ibm.com/security/CSS">
<FUNCTION>
28
28
28ClientSecuritySolution8.3部署指南
28
<ORDER>0001</ORDER> <COMMAND>GENERATE_MULTI_FACTOR_DEVICE_FUNCTION</COMMAND> <USER_NAME_PARAMETER>myUserName</USER_NAME_PARAMETER> <DOMAIN_NAME_PARAMETER>domainName</DOMAIN_NAME_PARAMETER> <MULTI_FACTOR_DEVICE_USER_AUTH>myCssUserPassPhrase</MUL TI_FACTOR_DEVICE_USER_AUTH> <VERSION>1.0</VERSION> </FUNCTION>
</CSSFile>
SET_USER_AUTH_FUNCTION
该命令设置ClientSecuritySolution用户认证:
<?xmlversion="1.0"encoding="UTF-8"standalone="no"?> <CSSFile=xmlns="www.ibm.com/security/CSS">
<FUNCTION> <ORDER>0001</ORDER> <COMMAND>SET_USER_AUTH_FUNCTION</COMMAND> <VERSION>1.0</VERSION> </FUNCTION>
</CSSFile>

使用RSASecurID令牌

利用加密数据的加密算法,将ClientSecuritySolution与RSASecurID令牌一起使用会为您的企业提供多种安 全性。通过RSASecurID令牌,用户使用其用户标识或PIN以及令牌设备可以通过网络和软件认证。令牌设 备显示一串数字,该数字每60秒更改一次。与可重用的密码相比,此认证方法提供的用户认证要可靠得多。

安装RSASecurID软件令牌

要安装RSASecurID软件,请完成以下步骤:
1.访问以下Web站点: http://www.rsasecurity.com/node.asp?id=1156
2.完成注册过程。
3.下载并安装RSASecurID软件。
要求
1.当RSA软件与ClientSecuritySolution关联后,每个Windows用户都必须向ClientSecuritySolution注
册,RSA软件才能正常工作。
2.RSA软件将陷入尝试认证非ClientSecuritySolution注册的Windows用户的死循环。向ClientSecurity
Solution注册用户以解决此问题。

设置智能卡访问选项

要设置智能卡访问选项,请完成以下步骤:
访
,然后单击智
1.从RSASecurID主菜单,单击
2.从智能卡通信面板,选择
按钮,浏览到以下路径:
3.单击
4.单击csspkcs11.dll
5.单击
浏览
C:\ProgramFiles\LENOVO\ClientSecuritySolution\csspkcs11.dll
csspkcs11.dll
csspkcs11.dll
csspkcs11.dll文件,然后单击选
确定
工具
#11
PKCS
过PKCS
通过
PKCS
PKCS#11
#11
#11模
选择
智能
访
访
访问
块访
模块
访
访问
卡访
能卡
能卡
智能
问智
选项
问选
单选按钮。
第3章.使用ClientSecuritySolution29
29
29
29

手动安装RSASecurID软件令牌

要利用具有RSASecurID软件令牌的ClientSecuritySolution保护,请完成以下步骤:
1.在RSASecurID软件令牌主菜单中,单击
2.浏览到SDTID文件所在的位置,然后单击
择要
选择
3.在选 传
4.单击
5.单击
传送
如果令牌有分布式密码,则在提示时输入该密码。
注:
确定
装的
安装
要安
择的
选择
送选
面板中,突出显示需要使用的软件令牌的序列号。
令牌
的令
牌智
令牌
的令
能卡
智能
,然后单击导
文件
打开
导入
令牌
入令

ActiveDirectory支持

以下路径提供了ClientSecuritySolutionPKCS#11模块的目录路径:
C:\ProgramFiles\Lenovo\ClientSecuritySolution\csspkcs11.dll
要利用ClientSecuritySolution的PKCS#11模块,必须为ActiveDirectory设置以下策略:
1.PKCS#11签名
2.PKCS#11解密
下表提供了PKCS#11的可修改字段和策略描述:
10. ThinkVantage\Client Security Solution\Authentication Policies\PKCS# 11 Signature\Custom Mode
字段
CSS.ADM
可修改字段
字段描述
可能的值
CSS.ADM
CSS.ADM
CSS.ADM
必需
控制需要密码还是口令。
启用
每次每次登录时一次
禁用
未配置

指纹识别器认证的设置和策略

强制跳过指纹认证选项

跳过指纹认证的选项使用户能够跳过指纹认证而使用Windows密码进行登录。添加新条目时,用户可以在 “密码管理器”用户界面中选择或取消选择该选项。
但在缺省情况下,跳过指纹认证是启用的,即使未选择该选项,也是如此。这使用户能够在指纹传感器不工 作的情况下也能登录到Windows。要禁用强制跳过指纹认证选项,请编辑以下注册表键:
[HKEY_LOCAL_MACHINE\SOFTWARE\Lenovo\ClientSecuritySolution\CSSConguration] "GinaDenyLogonDeviceNonEnrolled"=dword:00000001
如果按上述方法设置了注册表键,那么用户就无法跳过指纹认证,即使指纹传感器不工作,也是如此。

指纹扫描结果

在指纹认证期间,以下策略控制如何显示指纹扫描结果。
30
30
30ClientSecuritySolution8.3部署指南
30
HKLM\Lenovo\TVTCommon\ClientSecuritySolution\FPSwipeResult
FPSwipeResult=0:显示所有消息。
FPSwipeResult=1:只显示故障消息(缺省值)。
FPSwipeResult=2:不显示任何消息。

命令行工具

ThinkVantageTechnologies功能部件也可由公司的IT管理员通过命令行界面在本地或远程实施。可以通过远 程文本文件设置来维护配置设置。
ClientSecuritySolution具有以下命令行工具:
第31
第32
页“安全顾问程序” 页“ClientSecuritySolution设置向导”
第33页“部署文件加密或解密工具”
第33页“部署文件处理工具”
第33页“TPMENABLE.EXE”
第34页“证书转移工具”
第34
页“激活或停用TPM”

安全顾问程序

要使用SecurityAdvisor功能,请启动ClientSecuritySolution程序,并在ClientSecuritySolution工作空间中单
菜单,然后单击Security
高级
Security
Security
SecurityAdvisor
目录(针对缺省安装)中的wst.exe文件。
参数为:
11.
参数
HardwarePasswords
PowerOnPassword
HardDrivePassword
AdministratorPassword
WindowsUsersPasswords
Advisor
Advisor
Advisor按钮。系统将运行位于C:\ProgramFiles\Lenovo\CommonFiles\WST\
描述
设置硬件密码的值。设置为1将显示该节,设置为0将 隐藏该节。缺省值为1。
设置值,表明应启用开机密码,否则将对设置作出标志。
设置值,表明应启用硬盘驱动器密码,否则将对设置 作出标志。
设置值,表明应启用管理员密码,否则将对设置作出 标志。
设置Windows用户密码的值。设置为1将显示该节, 设置为0将隐藏该节。如果未输入值,则缺省情况下 显示该节。
密码设置值,表明应启用用户密码,否则将对设置作出标志。
PasswordAge
PasswordNeverExpires
WindowsPasswordPolicy
设置值,表明该机器上的Windows密码应具有的寿命, 否则将对设置作出标志。
设置值,表明Windows密码永不会到期,否则将对设置 作出标志。
设置Windows密码策略的值。设置为1将显示该节, 设置为0将隐藏该节。如果未输入值,则缺省情况下 显示该节。
第3章.使用ClientSecuritySolution31
31
31
31
11.
参数
MinimumPasswordLength
MaximumPasswordAge
ScreenSaver
ScreenSaverPasswordSet
ScreenSaverTimeout
FileSharing
AuthorizedAccessOnly
ClientSecurity
EmbeddedSecurityChip
ClientSecuritySolution
描述
设置值,表明该机器上应使用的密码长度,否则将对 设置作出标志。
设置值,表明该机器上的密码应具有的寿命,否则将对 设置作出标志。
设置屏幕保护程序的值。设置为1将显示该节,设置为0 将隐藏该节。如果未输入值,则缺省情况下显示该节。
设置值,表明屏幕保护程序应使用密码,否则将对设置 作出标志。
设置值,表明该机器上的屏幕保护程序应使用的超时, 否则将对设置作出标志。
设置文件共享的值。设置为1将显示该节,设置为0将隐 藏该节。如果未输入值,则缺省情况下显示该节。
设置值,表明应为文件共享设置授权访问,否则将对 设置作出标志。
设置ClientSecurity的值。设置为1将显示该节,设置为 0将隐藏该节。如果未输入值,则缺省情况下显示该节。
设置值,表明应启用安全芯片,否则将对设置作出标志。
设置值,表明该机器上应使用的ClientSecuritySolution的 版本,否则将对设置作出标志。

ClientSecuritySolution设置向导

ClientSecuritySolution设置向导用于通过XML文件生成部署脚本。以下命令显示向导的不同功能:
"C:\ProgramFiles\Lenovo\ClientSecuritySolution\css_wizard.exe"/?
下表提供了用于ClientSecuritySolution设置向导的命令。
12. Client Security Solution
参数
/h或/?
/name:FILENAME
/encrypt
/pass:
/novalidate
例:
示例
css_wizard.exe/encrypt/pass:mysecret/name:C:\DeployScript/novalidate
结果
显示帮助消息框
位于生成的部署文件的标准路径和文件名之前。文件扩 展名将为.xml。
使用AES加密对脚本文件进行加密。如果文件已加密, 则将为文件名追加扩展名.enc。如果不使用/pass命令, 则使用静态口令掩盖该文件。
位于保护已加密部署文件的口令之前。
禁用向导的密码和口令检查功能,这样即可在已配置 的机器上创建脚本文件。例如,当前机器上的管理员密 码可能不是希望在企业范围内使用的管理员密码。使用 /novalidate命令可在创建xml文件时,在css_wizardGUI 中输入其他管理员密码。
32
32
32ClientSecuritySolution8.3部署指南
32

部署文件加密或解密工具

该工具用于对ClientSecurityXML部署文件进行加密或解密。以下命令显示该工具的不同功能:
"C:\ProgramFiles\Lenovo\ClientSecuritySolution\xml_crypt_tool.exe"/?
下表中显示了参数:
13. Client Security XML
参数
结果
/h或/?
FILENAME
/encrypt或/decrypt
PASSPHRASE
例:
示例
xml_crypt_tool.exe"C:\DeployScript.xml"/encrypt"mysecret"
显示帮助消息。
显示路径名以及扩展名为.xml或.enc的文件名。
为XML文件选择/encrypt,并为ENC文件选择
/decrypt
显示可选参数(如果使用口令来保护文件,则它是必 需参数)。
xml_crypt_tool.exe"C:\DeployScript.xml.enc"/decrypt"mysecret"

部署文件处理工具

vmserver.exe工具用于处理ClientSecuritySolutionXML部署脚本。以下命令显示向导的不同功能:
"C:\ProgramFiles\Lenovo\ClientSecuritySolution\vmserver .exe"/?
下表提供用于文件处理的参数:
14.
参数
FILENAME
PASSPHRASE
结果
FILENAME参数必须具有文件扩展名XML或ENC
PASSPHRASE参数用于对扩展名为ENC的文件进行解密
例:
示例
Vmserver.exeC:\DeployScript.xml.enc"mysecret"

TPMENABLE.EXE

tpmenable.exe文件用于打开或关闭安全芯片。
15. tpmenable.exe
参数
/enable或/disable
/quiet
sp:password
例:
示例
tpmenable.exe/enable/quiet/sp:MyBiosPW
描述
打开或关闭安全芯片。
隐藏BIOS密码或错误的提示。
仅对于Windows2000和XP,输入BIOS管理员/超级用 户密码时不要使用引号。
第3章.使用ClientSecuritySolution33
33
33
33

证书转移工具

下表提供针对ClientSecuritySolution的证书转移工具的命令行开关:
16. css_cert_transfer_tool.exe <cert_store_type> <filter_type>:<name | size> | all_access | usage
参数
<cert_store_type>
示例
<filter_type>:<name|size>
示例
cert_store_user
cert_store_machine
cert_store_all
subject_simple_name:<name>
subject_friendly_name:<name>
issuer_simple_name:<name>
ssuer_friendly_name:<name>
key_size:<size>
描述
这是第一个必需参数。必须将该参数用作第一个开关,并且包含以下
示例之一:
只转移用户证书。将用户证书分配给当前用户。
只转移机器证书。机器证书可由机器上的所有授权用户
使用。
转移用户和机器证书类型。
这是第二个必需参数。必须在必要的<cert_store_type>参数之后使用 它。每个过滤器类型(以下说明的除外)必须后跟冒号“:”,并且必须 在冒号之后紧跟所搜索的证书使用者、颁发机构的名称或密钥大小。 此实用程序区分大小写,如果所搜索的名称为大小写混合(如“CA Authority”),则必须使用双引号""括起搜索条件(请参阅示例)。
转移与获得证书的使用者名称<name>匹配的所有证书。
转移与获得证书的友好名称<name>匹配的所有证书。
转移与颁发证书的证书颁发机构的名称<name>匹配的所 有证书。
转移与颁发证书的证书颁发机构的友好名称<name>匹 配的所有证书。
转移所有用<size>位密钥加密的证书。请注意,这是完全 匹配条件;程序不会搜索用不同于该密钥大小加密的证书。
以下两个开关是独立的,它们没有第二个参数:
all_access
usage
转移所有证书,但不转移过滤器。
在命令行中不提供信息,但用于确定用法正确与否的函数将返回true或false,以表示传递的命令是
否正确。

激活或停用TPM

对于ThinkPad笔记本计算机型号X200、T400、T500和更为近期的ThinkPad笔记本计算机型号(例如T410 或T420),激活TPM要执行以下操作:
1.访问Web站点http://support.lenovo.com/en_US/detail.page?LegacyDocID=MIGR-68488。
Sample
Sample
2.单击Sample
SampleScripts
Scripts
Scripts
Scriptsfor
for
for
forBIOS
Deployment
BIOS
DeploymentGuide
BIOSDeployment
Deployment
BIOS
后解压该zip文件。
3.在“命令提示符”窗口中键入cscript.exeSetCong.vbsSecurityChipActive以执行SetConfig.vbs文件。
4.重新启动计算机。
在ThinkPad笔记本计算机型号T400或T410上,激活TPM应重新启动计算机两次。
注:
对于台式计算机,激活TPM要执行以下操作:
1.访问Web站点http://support.lenovo.com/en_US/detail.page?LegacyDocID=MIGR-75407。
2.单击Visual
Visual
Visual
VisualBasic
sample
Basic
samplescripts
Basicsample
sample
Basic
scripts
scripts
scriptsto
use
to
usewhen
touse
use
to
样本脚本)以下载sample_script_m90.zip文件。然后解压该zip文件。
3.在“命令提示符”窗口中键入cscript.exeSetCong.vbsSecurityChipActive以执行SetConfig.vbs文件。
Guide
Guide
Guide(BIOS部署指南的样本脚本)以下载script.zip文件。然
settings
configuring
when
configuring
when
configuringBIOS
whenconfiguring
BIOS
settings
BIOS
settings(配置BIOS设置时使用的VisualBasic
BIOSsettings
34
34
34ClientSecuritySolution8.3部署指南
34
4.重新启动计算机。
对于所有ThinkStation台式计算机型号和早于T400的ThinkPad笔记本计算机型号(例如T61),使用TPM
激活工具或css_manage_vista_tpm.exe文件激活TPM。
使用TPM激活工具(WindowsXP)
tpm_activate_cmd.exe文件用于在WindowsXP操作系统中激活或停用TPM。
需要管理员权限才能运行此工具。运行此工具前,需要安装最新的SMBios和SMBus驱动程序。
注:
17. Lenovo TPM
参数
描述
/help或/?
/biospw:password
/deactivate
/verbose
例:
示例
tpm_activate_cmd.exe/? tpm_activate_cmd.exe/verbose tpm_activate_cmd.exe/biospw:pass
显示参数的列表。
指定BIOS超级用户或管理员密码(如果已设置其中之 一)。
停用TPM。
注:
如果您在运行tpm_activate_cmd.exe时未指定
/deactivate参数,那么缺省情况下将激活TPM。
显示文本输出。
使用css_manage_vista_tpm.exe文件(WindowsVista或Windows7)
安装ClientSecuritySolution后,使用css_manage_vista_tpm.exe文件在WindowsVista或Windows7操作系统
中激活或停用TPM。
需要管理员权限才能运行此工具。
注:
css_manage_vista_tpm.exe[/verbose][/showinfo|/getstate|setstate:<state>]
其中
/verbose显示文本输出。缺省设置为静默操作。
/showinf o显示TPM信息(例如供应商、固件版本、是否实际存在和接口版本)。
/getstate显示当前TPM状态。TPM有以下几种类型的状态:
启用
禁用
已激活
已停用
拥有
不拥有
/setstate:<state>设置首选的TPM状态类型。0表示已禁用且已停用。1表示已启用。2表示已激活。4 表示拥有可使用添加功能(即按位OR)设置多个有效状态。
第3章.使用ClientSecuritySolution35
35
35
35
例如:
css_manage_vista_tpm.exe/verbose/setstate:0将TPM状态设置为已禁用且已停用。
css_manage_vista_tpm.exe/verbose/setstate:1将TPM状态设置为已启用。
css_manage_vista_tpm.exe/verbose/setstate:2将TPM状态设置为已激活。
css_manage_vista_tpm.exe/verbose/setstate:3将TPM状态设置为已启用且已激活。
注:
有效的TPM状态类型包括以下几种:
启用禁用已激活已停用已启用且已激活已禁用且已停用
有效的TPM状态过渡包括以下几种:
已禁用->已启用已禁用->已启用且已激活已启用->已禁用已启用->已启用且已激活已启用且已激活->已禁用已启用且已激活->已禁用且已停用

ActiveDirectory支持

ActiveDirectory是一项目录服务。目录用于存储用户和资源的信息。目录服务允许访问,这样您就可以处理 这些资源。
ActiveDirectory提供一种机制,使得管理员能够管理计算机、组、用户、域、安全策略以及任意类型的用户 定义对象。ActiveDirectory用来实现该功能的机制称为“组策略”。管理员采用组策略定义可以应用于域中 的计算机或用户的设置。
ThinkVantageTechnology产品目前使用多种方法收集用于控制程序设置的设置,包括从特定应用程序定义的 注册表条目读取数据。
以下示例是对于ClientSecuritySolution,ActiveDirectory可以管理的设置:
安全策略。
定制安全策略;例如,使用Windows密码还是ClientSecuritySolution口令。

管理ADM)模板文件

ADM(管理)模板文件定义客户机上的应用程序所使用的策略设置。策略是管理应用程序行为的特定设置。 策略设置还定义是否允许用户通过应用程序设置特定的设置。
管理员在服务器上定义的设置被定义为策略。用户在客户机上为应用程序定义的设置可定义为首选项。根据 Microsoft定义,策略设置优先于首选项。
36
36
36ClientSecuritySolution8.3部署指南
36
例如,用户可以在桌面上设置背景图像。这是用户的首选项设置。管理员可以在服务器上定义一项设置,指
示用户必须使用特定的背景图像。管理员的策略设置将覆盖用户设置的首选项。
当ThinkVantageTechnology产品检查设置时,它将按照以下顺序查找设置:
计算机策略
用户策略
缺省用户策略
计算机首选项
用户首选项
缺省用户首选项
如上文所述,计算机和用户策略均由管理员定义。这些设置可以通过XML配置文件或ActiveDirectory中的 组策略进行初始化。计算机和用户首选项由用户在客户机上通过应用程序界面中的选项进行设置。缺省用户 首选项通过XML配置脚本进行初始化。用户不直接更改这些值。用户对这些设置的更改将在用户首选项中 进行更新。
不使用ActiveDirectory的客户可以创建要部署到客户机系统的一组缺省策略设置。管理员可以修改XML配 置脚本,并指定在产品安装过程中对它们进行处理。
定义可管理的设置
以下示例显示“组策略”编辑器中的设置,层次结构如下:
ComputerConguration>AdministrativeT emplates>ThinkVantageTechnologies> ClientSecuritySolution>AuthenticationPolicies>MaxRetries> Passwordnumberofretries
ADM文件指出注册表中将反映这些设置的位置。这些设置将位于注册表中的以下位置:
Computerpolicies: HKLM\Software\Policies\Lenovo\ClientSecuritySolution\ Userpolicies: HKCU\Software\Policies\Lenovo\ClientSecuritySolution\ Def aultuserpolicies: HKLM\Software\Policies\Lenovo\ClientSecuritySolution\Userdef aults Computerpreferences: HKLM\Software\Lenovo\ClientSecuritySolution\ Userpreferences: HKCU\Software\Lenovo\ClientSecuritySolution\ Def aultuserpref erences: HKLM\Software\Lenovo\ClientSecuritySolution\Userdef aults

组策略设置

本部分中的各表提供用于ClientSecuritySolution的计算机配置和用户配置的策略设置。
最大重试次数
下表提供“认证策略>最大重试次数”的策略设置。
18.
策略
密码重试次数
ThinkVantage
ThinkVantage
ThinkVantage
ThinkVantage
最大重试次数是 20。
Client
Client
启用
用的
的设
Security
Client
Security
Client Security
Security Solution
设置
Solution
Solution
Solution
在回退到覆盖策略之前,控制用户可以使用Windows密码进行认证 的最大次数。
描述
口令重试次数最大重试次数是
20。
在回退到覆盖策略之前,控制用户可以使用ClientSecurity口令进行 认证的最大次数。
第3章.使用ClientSecuritySolution37
37
37
37
安全方式
下表提供“认证策略>安全方式”的策略设置。
19.
策略
密码
口令
指纹
启用
将频率设置为
将频率设置为
将频率设置为
ThinkVantage
ThinkVantage
ThinkVantage
ThinkVantage
用的
的设
设置
每次
每次
每次
Client
每次
次登
每次
次登
每次
次登
Client
Security
Client
Security
Client Security
Security Solution
登录
录一
一次
登录
录一
一次
登录
录一
一次
Solution
Solution
Solution
描述
控制是否需要密码。
控制是否需要口令。
控制是否需要指纹。
覆盖设置为覆盖密码、口令或指纹。
缺省方式
下表提供“认证策略>缺省方式”的策略设置。
20.
策略
密码
口令
指纹
覆盖设置为覆盖密码、口令或指纹。
启用
可以将频率设置为
可以将频率设置为
可以将频率设置为
ThinkVantage
ThinkVantage
ThinkVantage
ThinkVantage
用的
的设
设置
Client
Client
每次
每次
每次
Security
Client
Security
Client Security
Security Solution
每次
次登
登录
录一
每次
次登
登录
录一
每次
次登
登录
录一
Solution
Solution
Solution
一次
一次
一次
认证策略
以下策略列表包含启用的设置,它们定义每个策略的认证级别:
Windows登录认证级别
系统解锁认证级别
密码管理器认证级别
CSP签名认证级别
CSP解密认证级别
PKCS#11签名认证级别
PKCS#11解密认证级别
PKCS#11登录认证级别
定义常规认证失败时的“回退”认证
要求。
描述
控制是否需要密码。
控制是否需要口令。
控制是否需要指纹。
定义常规认证失败时的“回退”认证要 求。
下表提供上述认证级别的值和设置:
21.
策略
密码
口令
指纹
覆盖设置为覆盖密码、口令或指纹。
38
38
38ClientSecuritySolution8.3部署指南
38
启用
将频率设置为
将频率设置为
将频率设置为
ThinkVantage
ThinkVantage
ThinkVantage
ThinkVantage
用的
的设
设置
每次
每次
每次
Client
每次
次登
每次
次登
每次
次登
Client
Security
Client
Security
Client Security
Security Solution
登录
录一
一次
登录
录一
一次
登录
录一
一次
Solution
Solution
Solution
描述
控制是否需要密码。
控制是否需要口令。
控制是否需要指纹。
定义常规认证失败时的“回退”认证 要求。
PasswordManager
下表提供密码管理器的策略设置。
22.
策略
略设
设置
禁用密码管理器控制系统启动时是否启动密码管理器。
ThinkVantage
ThinkVantage
ThinkVantage
ThinkVantage
Client
Client
Security
Client
Security
Client Security
Security Solution
描述
Solution
Solution
Solution
Password
Password
Password
Password manager
manager
manager
manager
禁用InternetExplorer支持
禁用Mozilla支持
禁用对Windows应用程序的支持
禁用自动填充
禁用热键支持
使用域过滤控制密码管理器是否将根据域过滤Web站点。
禁止的域
禁止的URL
禁止的模块
自动填充热键
输入和传输热键
管理热键
控制密码管理器是否可以存储InternetExplorer中的密码。
控制密码管理器是否可以存储基于Mozilla的浏览器(包括Firefox和 Netscape)中的密码。
控制密码管理器是否可以存储Windows应用程序中的密码。
控制密码管理器是否将自动把数据填充到Web站点和Windows应用程 序中。
控制密码管理器是否将支持使用热键把数据填充到Web站点和Windows应 用程序中。
控制禁止密码管理器为其存储密码的域。
控制禁止密码管理器为其存储密码URL。
控制禁止密码管理器为其存储密码的Windows应用程序。
控制自动填充热键Ctrl+F2。
控制输入和传输热键Ctrl+Shift+H。
控制热键Ctrl+Shift+B。
UserInterface
下表提供用户界面的策略设置:
23.
策略
略设
设置
“指纹软件”选项
“文件加密”选项使ClientSecuritySolution应用程序中的“文件加密”选项显示、变灰
“安全性设置审计”选项使ClientSecuritySolution应用程序中的“安全性设置审计”选项显示、变
“数字证书传送”选项
更改“安全芯片状态”选项使ClientSecuritySolution应用程序中的“安全芯片状态”选项显示、变灰
“清除安全芯片锁定”选项使ClientSecuritySolution应用程序中的“清除安全芯片锁定”选项显
“策略管理器”选项使ClientSecuritySolution应用程序中的“策略管理器”选项显示、变灰
“复位/配置”设置选项
ThinkVantage
ThinkVantage
ThinkVantage
ThinkVantage
Client
Client
Security
Client
Security
Client Security
Security Solution
描述
使ClientSecuritySolution应用程序中的“指纹软件”选项显示、变灰 或隐藏。缺省值:显示。
或隐藏。缺省值:显示。
灰或隐藏。缺省值:显示。
使ClientSecuritySolution应用程序中的“数字证书传送”选项显示、变灰 或隐藏。缺省值:显示。
或隐藏。缺省值:显示。
示、变灰或隐藏。缺省值:显示。
或隐藏。缺省值:显示。
使ClientSecuritySolution应用程序中的“配置向导”选项显示、变灰或 隐藏。缺省值:显示
Solution
Solution
Solution
第3章.使用ClientSecuritySolution39
39
39
39
23.
策略
略设
设置
“密码管理器”选项使ClientSecuritySolution应用程序中的“密码管理器”选项显示、变灰
“硬件密码重置”选项使ClientSecuritySolution应用程序中的“硬件密码重置”选项显示、变灰
“Windows密码恢复”选项使ClientSecuritySolution应用程序中的“Windows密码恢复”选项显
ThinkVantage
ThinkVantage
ThinkVantage
ThinkVantage
Client
Client
Security
Client
Security
Client Security
Security Solution
描述
或隐藏。缺省值:显示。
或隐藏。缺省值:显示。
示、变灰或隐藏。缺省值:显示。
Solution
Solution
Solution
“更改认证方式”选项
“启用/禁用Windows密码恢复”选项使该选项显示、变灰或隐藏,以启用或禁用ClientSecuritySolution应用程
“启用/禁用密码管理器”选项使该选项显示、变灰或隐藏,以启用或禁用ClientSecuritySolution应用程
使ClientSecuritySolution应用程序中的“更改认证方式”选项显示、变 灰或隐藏。缺省值:显示
序中的Windows密码恢复。缺省值:显示
序中的密码管理器。缺省值:显示
工作站安全工具
下表提供工作站安全工具的策略设置:
24.
策略
硬件密码硬件密码启用或禁用硬件密码信息的显示。
硬件密码开机密码选择建议的值,将其设置为启用或禁用,或选择忽略该
硬件密码硬盘驱动器密码选择建议的值,将其设置为启用或禁用,或选择忽略该
硬件密码管理员密码选择建议的值,将其设置为启用或禁用,或选择忽略该
Windows用户密码Windows用户密码启用或禁用Windows用户密码信息的显示。
ThinkVantage
ThinkVantage
ThinkVantage
ThinkVantage
Client
Client
设置
Security
Client
Security
Client Security
Security Solution
Solution
Solution
Solution
描述
设置。
设置。
设置。
Windows用户密码密码选择建议的值,将其设置为启用或禁用,或选择忽略该
设置。
Windows用户密码密码寿命密码允许存在的最大天数。
Windows用户密码密码从不过期建议的值可以设置为True、False或Ignore。
Windows密码策略Windows密码策略启用或禁用Windows密码策略的显示。
Windows密码策略密码的最少字符数密码可以包含的最少字符数,或“忽略”该值。
Windows密码策略最长密码寿命最长密码寿命设置(天数)或“忽略”结果中的该值。
屏幕保护程序屏幕保护程序
屏幕保护程序
屏幕保护程序屏幕保护程序超时
文件共享文件共享
文件共享授权的访问
客户端安全客户端安全启用或禁用ClientSecurity信息的显示。
40
40
40ClientSecuritySolution8.3部署指南
40
屏幕保护程序密码设置密码可以包含的最少字符数,或“忽略”该值。
启用或禁用Windows密码策略的显示。
最长密码寿命设置(天数)或“忽略”结果中的该值。
启用或禁用文件共享信息的显示。
建议的值可以设置为True、False或Ignore。
24.
策略
客户端安全嵌入式安全芯片选择建议的值,将其设置为启用或禁用,或设置为忽略
ThinkVantage
ThinkVantage
ThinkVantage
ThinkVantage
Client
Client
设置
Security
Client
Security
Client Security
Security Solution
Solution
Solution
Solution
描述
该设置。
客户端安全
ClientSecuritySolution版本
设置建议的最低ClientSecuritySolution版本,或将其设置 为Ignore。
第3章.使用ClientSecuritySolution41
41
41
41
42
42
42ClientSecuritySolution8.3部署指南
42

第4章使用ThinkVantage指纹软件

必须从ThinkVantage指纹软件安装文件夹中运行指纹控制台。基本语法是FPRCONSOLE[USER| SETTINGS]。USER或SETTINGS命令指定将使用的操作方式。因此,完整的命令为“fprconsoleuseradd TestUser”。如果命令未知或未指定所有参数,那么会显示带有参数的简短命令列表。
可在以下Web站点上找到ThinkVantageFingerprintSoftware、安装说明、管理控制台及所有相关文档: http://www.lenovo.com/support

管理控制台工具

本部分提供有关特定于用户的命令和全局设置命令的信息。

特定于用户的命令

要注册或编辑用户,请使用USER节。如果当前用户没有管理员权限,则控制台行为取决于指纹软件的安全 方式。安全方式:不允许使用任何命令。便捷方式:标准用户可以使用ADD、EDIT和DELETE命令。但 用户只能修改自己通行证(以其用户名注册的通行证)。使用以下语法:
FPRCONSOLEUSERcommand
其中command是以下某个命令:ADD、EDIT、DELETE、LIST、IMPORT和EXPORT。
25.
命令
注册新用户
ampl
e:
Ex ExExampl ampl
e: e: fprconsoleuseradd domain0\testuser
语法
ADD[username[|domain\ username]]
描述
如果不指定用户名,则使用当前用户 名。
fprconsoleuseradd testuser
编辑已注册用户
ampl
e:
Ex ExExampl ampl
e: e: fprconsoleuseredit domain0\testuser
fprconsoleuseredit testuser
删除用户
ampl
e:
Ex ExExampl ampl
e: e: fprconsoleuserdelete domain0\testuser
fprconsoleuserdelete testuser
fprconsoleuserdelete /ALL
列举已注册用户
EDIT[username[|domain\ username]]
DELETE[username[|domain\ username|/ALL]]
List
如果不指定用户名,则使用当前用户 名。
注:
已注册的用户必须先验证其指纹。
/ALL标志将删除该计算机上注册的所 有用户。如果未指定用户名,那么将 使用当前用户名。
列出已注册的用户。
©CopyrightLenovo2008,2011
43
43
43
43
25.
命令
将已注册用户导出到文件
导入已注册用户
语法
Syntax:EXPORTusername [|domain\username]le
Syntax:IMPORTle
描述
该命令将已注册的用户导出到硬盘驱动 器上的文件中。然后可在其他计算机或 同一计算机上使用IMPORT命令将该 用户导入(如果已删除该用户)。
该命令将从指定的文件导入用户。
注:
如果文件中的用户已使用相同的指
纹在同一计算机上注册,则无法确保哪 个用户在识别操作中的优先级更高。

全局设置命令

可以使用SETTINGS节更改指纹软件的全局设置。本节中的所有命令都需要管理员权限。语法为:
FPRCONSOLESETTINGScommand
其中command是以下某个命令:SECUREMODE、LOGON、CAD、TBX和SSO。
26.
命令
安全方式
ampl
e:
Ex ExExampl ampl
e: e: Tosettoconvenientmode: fprconsolesettings securemode0
登录类型
CTRL+ALT+DEL消息
开机安全
开机安全单点登录
语法
SECUREMODE0|1
LOGON0|1[/FUS]
CAD0|1
TBX0|1
SSO0|1
描述
该设置用于在指纹软件的便捷方式和安全 方式之间进行切换。
此设置启用(1)或禁用(0)登录应用程 序。如果使用/FUS参数,则启用以“快 速用户切换”方式登录(如果计算机配置 允许)。
此设置启用(1)或禁用(0)登录中的“按 Ctrl+Alt+Delete”文本。
此设置全局关闭(0)FingerprintSoftware中 的开机安全支持。当关闭开机安全支持时, 不会显示任何开机安全向导或页面,并且 与BIOS设置无关。
此设置启用(1)或禁用(0)当BIOS中验 证过用户后在登录时通过BIOS中使用的指 纹自动为用户登录。

安全方式与便捷方式

FingerprintSoftware可通过两种安全方式运行:安全方式和便捷方式。安全方式适用于要实现更高安全性的 情况。一些特殊功能是专为管理员保留的。只有管理员可以使用密码登录,而不必进行其他认证。
便捷方式适用于家用计算机,这类计算机无需很高的安全级别。所有用户都可以执行全部操作,其中包括编 辑其他用户的通行证,以及使用密码登录系统的可能性(不使用指纹认证)。
44
44
44ClientSecuritySolution8.3部署指南
44
可以是本地管理员组的任何成员。设置安全方式后,只有管理员可将其切换回便捷方式。

安全方式-管理员

为了增强安全性,如果在登录时用户名或密码输入有误,则安全方式将显示以下消息:“Onlyadministrators
canlogonthiscomputerwithusernameandpassword”(仅管理员可通过用户名和密码登录此计算机)。
27.
指纹
描述
创建新通行证
编辑通行证管理员
删除通行证
开机安全管理员可以删除开机时使用的受限用户和管理员指纹。
设置
登录设置
受保护的屏幕保护程序管理员可以访问。
通行证类型
安全方式管理员可以在安全方式和便捷方式之间进行切换。
ProServer
管理员可以创建自己的通行证,也可以创建受限用户 的通行证。
编辑自己的通行证。
管理员可以删除所有受限用户和其他管理员的通行证。如 果其他用户正在使用开机安全,则管理员此时可以选择从 开机安全中除去用户模板。
注:
启用开机方式时,至少必须有一个指纹。
管理员可以更改所有登录设置。
管理员可以访问-只与服务器相关。
管理员可以访问-只与服务器相关。

安全方式-受限用户

在登录Windows的过程中,受限用户必须使用指纹登录。如果受限用户的指纹识别器无法正常使用,管理
员需要将指纹软件的设置更改为便捷方式,以启用用户名和密码访问。
28.
设置
创建新通行证
编辑通行证受限用户只能编辑自己的通行证。
删除通行证受限用户只能删除自己的通行证。
开机安全
登录设置
受保护的屏幕保护程序受限用户可以访问。
通行证类型
安全方式受限用户无法修改安全方式。
ProServer
描述
受限用户无法访问。
受限用户无法访问。
受限用户无法修改登录设置。
受限用户无法访问。
受限用户可以访问-只与服务器相关。

便捷方式-管理员

在登录Windows的过程中,管理员可以使用其用户名和密码登录,也可使用指纹登录。
第4章.使用ThinkVantage指纹软件45
45
45
45
29. 便
设置
描述
创建新通行证
编辑通行证管理员
删除通行证管理员
开机安全管理员可以删除开机时使用的受限用户和管理员指纹。
登录设置
受保护的屏幕保护程序管理员可以访问。
通行证类型
安全方式管理员可以在安全方式和便捷方式之间进行切换。
ProServer
管理员
注:
启用开机方式时,至少必须有一个指纹。
管理员可以更改所有登录设置。
管理员可以访问-只与服务器相关。
管理员可以访问-只与服务器相关。
创建自己的通行证。
编辑自己的通行证。
删除自己的通行证。

便捷方式-受限用户

在登录Windows的过程中,受限用户可以使用其用户名和密码登录,也可使用指纹登录。
30. 便
设置
创建新通行证
编辑通行证受限用户只能编辑自己的通行证。
描述
受限用户只能创建自己的通行证。
删除通行证受限用户只能删除自己的通行证。
开机安全
登录设置
受保护的屏幕保护程序受限用户可以访问。
通行证类型
安全方式受限用户无法修改安全方式。
ProServer
受限用户只能删除自己的指纹。
受限用户无法修改登录设置。
受限用户无法访问-只与服务器相关。
受限用户可以访问-只与服务器相关。

可配置的设置

通过注册表设置可以配置某些指纹软件选项。
/
动/
启动
预启
/
软件
电软
供电
/供
在指纹软件上,除非在系统上设有BIOS和硬盘驱动器密码。为了覆盖这种行为,并且在不存在BIOS或 硬盘驱动器密码的情况下强制显示这些选项,请将以下适用于您的计算机类型的某一项添加到注册表:
[HKEY_LOCAL_MACHINE\SOFTWARE\ProtectorSuiteQL\1.0]
REG_DWORD"BiosFeatures"=2
[HKEY_LOCAL_MACHINE\SOFTWARE\ProtectorSuiteQL\1.0]
:启用指纹预启动或供电支持并且在成对的芯片上存储指纹的机制不会正常的显示
界面
件界
REG_DWORD"BiosFeatures"=4
46
46
46ClientSecuritySolution8.3部署指南
46
在没有BIOS密码的情况下,在系统上安装SafeGuardEasy时,此设置是有用的,并且使用指纹认证可
以解密硬盘驱动器。
:在指纹认证过程中,可以在各种情况下配置指纹软件来播放包含在.wav文件中的声音。这些声音
声音
的注册表设置如下所示:
[HKEY_L
OCAL_MACHINE\SOFTWARE\Pr
[HKEY_L [HKEY_L
OCAL_MACHINE\SOFTWARE\Pr OCAL_MACHINE\SOFTWARE\Pr ‘Success ’ REG_SZ“sndSuccess”=[pathtosoundle] Theledesignatedwillplaywheneverasuccessfulswipeisregistered.
‘Failure’ REG_SZ“sndF ailure”=[pathtosoundle] Theledesignatedwillplaywheneveranunsuccessf ulswipeisattempted.
HKEY_L
OCAL_MACHINE\SOFTWARE\P
HKEY_L HKEY_L
OCAL_MACHINE\SOFTWARE\P OCAL_MACHINE\SOFTWARE\P
‘Scan’ REG_SZ“sndScan”=[pathtosoundle] Theledesignatedwillplaywheneverthengerprintverication
dialogisdisplayedf orClientSecuritySolution-relatedoperations.
Ifthevalueisnotpresentorisemptythennosoundisplayed.
Quality’ REG_SZ“sndQuality”=[pathtosoundle] Theledesignatedwillplaywheneveranunreadableswipehasoccurred. Ifthevalueisnotpresentorisemptythennosoundisplayed.
系统
在系
锁期
解锁
统解
验证
间验
期间
:缺省情况下,指纹软件会在系统解锁期间验证存储的密码。该验证要求联系域
密码
证密
o oot tte eec cct ttor ororSuit Suit
ol ololic icicie ieies\ngerpr s\ngerpr
Suit
QL\1
.0\se
e eeQL\1 QL\1
s\ngerpr
t
in inint t
ings]
.0\se .0\se
t ttt ttings] ings]
控制器,这可能会造成延时。要避免延时,请在系统解锁期间通过如下方法编辑注册表来禁用密码验证:
[HKEY_LOCAL_MACHINE\SOFTWARE\ProtectorSuiteQL\1.0\settings] REG_DWORD"DoNotTestUnlock"=1
FingerprintSoftware将继续在系统登录时验证密码。
当上述注册表键设置为1时,如果域管理员在用户系统锁定的情况下更改用户密码,那么指纹软件
注:
将存储旧的密码,直到用户注销并再次登录。

指纹软件和NovellNetwareClient

为了防止冲突,指纹软件和NovellNetwareClient的用户名和密码必须匹配。如果在您的计算机上安装了指纹 软件,然后再安装NovellNetwareClient,则可能会覆盖注册表中的某些项。如果您在登录指纹软件时遇到问 题,请转至“登录设置”屏幕并重新启用“登录保护程序”。
如果计算机上已安装NovellNetwareClient,但在安装指纹软件前尚未登录客户机,将显示Novell登录屏幕。 提供屏幕请求的信息。
本部分的信息仅针对ThinkVantage指纹软件。
注:
要更改“登录保护程序设置”:
启动“控制中心”。
单击
单击
启用或禁用“登录保护程序”。
设置 登
登录
设置
录设
如果希望使用指纹登录,请选中“用指纹保护的登录取代Windows登录”复选框。
启用和禁用“登录保护程序”都需要重新引导计算机。
注:
启用或禁用快速用户切换(如果系统支持)。
第4章.使用ThinkVantage指纹软件47
47
47
47
(可选功能)对由开机引导安全认证的用户启用或禁用自动登录。
设置Novell登录设置。登录Novell网络时可使用以下设置:
激活
已激
–已
指纹软件自动提供已知凭证。如果Novell登录失败,将显示NovellClient登录屏幕并提示输入正确的
数据。
登录
–登
指纹软件显示NovellClient登录屏幕并提示输入登录数据。
已禁
–已
指纹软件不尝试Novell登录。
程中
过程
录过
禁用
询问
中询

正在认证

要将Novell传递给指纹软件,请完成以下步骤:
1.安装指纹软件。
2.安装NovellNetwareClient。
3.出现提示时,请单击
4.重新启动。
5.出现提示时,单击“是”以登录到指纹软件。
6.启动NovellNetwareClient。
7.认证到服务器。
8.登录到Windows。
9.重新启动。
以登录。
登录到Windows和Novell的认证标识和密码必须完全一样。
注:

ThinkVantage指纹软件服务

安装ThinkVantage指纹软件之后,就会将upeksvr.exe服务添加到系统中。该服务在启动时开始运行,然后 在用户登录期间一直运行。upeksvr.exe服务是ThinkVantageFingerprintSoftware的核心,它运行与设备和用 户数据有关的所有操作。它还显示所有生物验证GUI并提供对用户数据的安全访问。
48
48
48ClientSecuritySolution8.3部署指南
48

第5章使用Lenovo指纹软件

指纹控制台必须从Lenovo指纹软件安装文件夹运行。基本语法是FPRCONSOLE[USER|SETTINGS]。 USER或SETTINGS命令指定了将使用的操作集。完整的命令为“fprconsoleuseraddTestUser”。如果命令 未知或未指定所有参数,那么会显示带有参数的简短命令列表。
可在LenovoWeb站点上找到LenovoFingerprintSoftware、安装说明、管理控制台及所有相关文档,网址为:
http://www.lenovo.com/support

管理控制台工具

要了解有关Lenovo指纹软件管理控制台工具的信息,请参阅第43页“管理控制台工具”。

Lenovo指纹软件服务

Lenovo指纹软件需要系统上的终端服务。如果关闭了终端服务,那么在Lenovo指纹软件中可能会产生
注:
某些意外的结果。
安装Lenovo指纹软件后,会将以下服务添加到系统:
ATService.exe(缺省情况下为“已启动”)
您必须启动ATService.exe服务才能使用指纹系统。该服务用于管理来自使用指纹传感器的应用程序的请 求。
数据传输服务(缺省情况下为开启)
数据传输服务或ATService.exe服务异常终止时,Lenovo指纹软件将无法如预期那样正常工作。
ADMonitor.exe(缺省情况为“已禁用”)
您必须启动ADMonitor.exe服务,以便支持ActiveDirectory管理。该服务用于监控注册表,以发现从Active Directory向下传播的更改,并在本地反映这些更改。

Lenovo指纹软件的ActiveDirectory支持

下表显示Lenovo指纹软件的策略设置。
31.
设置
启用/禁用指纹登录
允许用户通过指纹认证检索密码
©CopyrightLenovo2008,2011
描述
指定使用指纹而不是Windows密码来登录到计算机。如 果启用此设置,则还有两个选项可以启用或禁用:
禁用
如果选择该选项,那么会关闭用于指示用户按 CTRL+ALT+DEL键进行登录的消息。(仅可用于 WindowsXP)
要求
如果您选择该选项,那么非管理员用户只能使用指纹 进行登录。
如果启用该设置,那么用户可以在通过指纹认证后,在 Lenovo指纹软件中查看其帐户的Windows密码。
用登
登录
录界
界面
求非
非管
管理
理员
CTRL+ALT+DEL
CTRL+ALT+DEL
面的
的CTRL+ALT+DEL
CTRL+ALT+DEL对
使
使
员用
用户
户使
使用
用指
指纹
纹认
认证
对话
话框
证进
进行
行登
登录
49
49
49
49
31.
设置
描述
始终显示开机安全性选项
使用指纹认证取代开机密码和硬盘驱动器密码如果启用该设置,那么将使用指纹认证取代开机密码
设置锁定前失败尝试的次数设置在锁定用户之前所允许的登录失败尝试的次数,以及
设置不活动超时
允许用户注册指纹
允许用户删除指纹
允许用户导入/导出指纹
显示/隐藏指纹软件“设置”选项卡中的元素如果启用该设置,那么IT管理员可以控制指纹软件的
如果启用该设置,那么用户在计算机开启时可以选择 使用指纹识别器来取代开机密码和硬盘驱动器密码。在 Lenovo指纹软件注册窗口中,可以针对每个已注册的指 纹启用或禁用开机指纹认证。
和硬盘驱动器密码。
锁定用户的持续时间(秒)。
设置在用户注销之前所允许的系统处于不活动状态的持 续时间(秒)。
如果启用该设置,那么非管理员用户可以使用Lenovo 指纹软件注册指纹。
如果启用该设置,那么非管理员用户可以使用Lenovo指 纹软件删除先前注册的指纹。
如果启用该设置,那么非管理员用户可以使用Lenovo指 纹软件导入和导出先前注册的指纹。
设置GUI。
50
50
50ClientSecuritySolution8.3部署指南
50

第6章最佳实践

本章介绍了多种情况,用以说明ClientSecuritySolution和FingerprintSoftware的最佳实践。该方案首先讨论 硬盘驱动器的配置,其次是数个更新,然后是部署的生命周期。同时描述上述软件在Lenovo和非Lenovo计 算机上的安装。

安装ClientSecuritySolution的部署示例

以下部分提供在台式机和笔记本计算机上安装ClientSecuritySolution的示例。

方案1

本示例使用以下客户需求在台式计算机上进行安装:
管理
使用本地管理员帐户管理计算机。
Security
Client
Security
Client
SecuritySolution
ClientSecurity
Client
–以仿真方式安装和运行。
并非所有Lenovo系统都具有“可信平台模块”(安全芯片)。
–启用ClientSecurity口令。
通过口令保护ClientSecuritySolution应用程序。
–启用ClientSecurityWindows登录。
使用ClientSecurity口令登录到Windows。
–启用最终用户口令恢复功能。
使用户可以通过回答三个用户定义的问题来恢复其口令。
–用密码(例如XMLscriptPW)加密ClientSecuritySolutionXML脚本。
使用密码保护ClientSecuritySolution配置文件。
–可以安装也可以不安装指纹软件。
Solution
Solution
Solution
在准
©CopyrightLenovo2008,2011
机器
备机
准备
1.使用本地管理员帐户登录到Windows。
2.使用以下命令安装ClientSecuritySolution程序:
tvtcss83_xxxx.exe/s/v"/qn"EMULATIONMODE=1""NOCSSWIZARD=1"
(其中
3.重新启动计算机,并使用本地管理员帐户登录到Windows。
4.通过执行以下步骤准备要部署的XML脚本: a.运行以下命令:
"C:\ProgramFiles\Lenovo\ClientSecuritySolution\css_wizarde.exe" /name:C:\ThinkCentre
b.通过执行以下步骤在向导中进行配置:
上:
器上
XXXX
1)单击
2)输入管理员帐户的Windows密码(例如,WPW4Admin),然后单击
3)输入管理员帐户的ClientSecurity口令(例如,CSPP4Admin),选中使
护对
4)回答针对管理员帐户的三个问题,然后单击 a)您的第一只宠物的名字是什么?
对Rescue
是版本ID)
全登
安全
Rescue
Rescue
Rescueand
录方
登录
and
and
andRecovery
方法
Recovery
Recovery
Recovery工
一步
下一
访
工作
间的
空间
作空
访
选项,然后单击下
访问
的访
下一
,例如:
一步
一步
下一
使
使
用Client
使用
一步
下一
Security
Client
Security口
ClientSecurity
Security
Client
令保
口令
51
51
51
51
b)您最喜欢的电影是什么? c)您最喜欢的运动队是什么?
将XML文件保存到以下位置:
5)查看摘要,然后选择
应用
C:\ThinkCentre.xml
以关闭向导。
6)单击
完成
5.使用文本编辑器(XML脚本编辑器或支持XML格式的MicrosoftWord2003程序)打开ThinkCentre.xml 文件,除去对域设置的所有引用,并保存该文件。这会使脚本在每个系统上改为使用本地机器名称。
6.使用C:\ProgramFiles\Lenovo\ClientSecuritySolution目录中的xml_crypt_tool.exe工具,通过使用以下 语法,用密码加密XML脚本:
xml_crypt_tool.exeC:\ThinkCentre.xml/encryptXMLScriptPW
加密后的文件名为C:\ThinkCentre.xml.enc,它受到密码XMLScriptPW的保护,并准备就绪,可添加到用
于部署的计算机。
在部
机器
署机
部署
上:
器上
1.使用本地管理员帐户登录到Windows。
2.使用以下语法安装RescueandRecovery和ClientSecuritySolution程序:
setup_tvtrnr40_xxxxcc.exe/s/v"/qn"EMULATIONMODE=1""NOCSSWIZARD=1"
xxxx
(其中
注:
是版本ID,
cc
是国家或地区代码。)
a.确保TVT文件(例如,对于WindowsXP,为Z652ZIXxxxxyy00.tvt;对于WindowsVista或Windows
7,为Z633ZISxxxxyy00.tvt;其中xxxx是构建标识,yy是国家或地区标识)和可执行文件位于同一目 录中,否则安装将失败。
b.如果要执行管理安装,请参阅第51页“方案1”。
3.重新启动计算机,并使用本地管理员帐户登录到Windows。
4.将先前准备好的ThinkCentre.xml.enc文件添加到C:\root目录。
5.使用以下参数准备RunOnceEx命令: a.在RunonceEx键后添加新键0001。如下所示:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows \CurrentVersion\RunOnceEx\0001
b.在该键中添加一个字符串值名称CSSEnroll
"C:\ProgramFiles\Lenovo\ClientSecuritySolution\vmserver .exe" C:\ThinkCenter .xml.encXMLscriptPW
6.运行以下命令,使系统准备好进行sysprep备份:
%rr%C:\ProgramFiles\Lenovo\RescueandRecovery\rrcmd.exe" sysprepbackuplocation=Lname="SysprepBackup"
然后,在系统准备好进行sysprep备份后您将看到以下输出内容。
***************************************************** **Readytotakesysprepbackup.** **** **PLEASERUNSYSPREPNOWANDSHUTDOWN.** **** **Nexttimethemachineboots,itwillboot** **tothePredesktopAreaandtakeabackup.** *****************************************************
7.运行Sysprep实施。
8.关闭并重新启动计算机。它将在WindowsPE中启动备份过程。
52
52
52ClientSecuritySolution8.3部署指南
52
如果显示“恢复的同时正在进行备份”消息,则备份后请关闭计算机,但不要重新启动。
注:
9.Sysprep基本备份现已完成。

方案2

本示例使用以下假设的客户需求在笔记本电脑上进行安装:
管理
在安装较早版本的ClientSecuritySolution的机器上安装。使用域管理员帐户管理计算机。所有的计算机都具有BIOS超级用户密码BIOSpw
Security
Client
Security
Client
SecuritySolution
ClientSecurity
Client
–使用可信平台模块。
所有机器都配备安全芯片。
启用密码管理器。使用用户的Windows密码对ClientSecuritySolution进行认证。用密码(例如XMLscriptPW)加密ClientSecuritySolutionXML脚本。
使用密码保护ClientSecuritySolution配置文件。
ThinkVantage
ThinkVantage
ThinkVantage指
ThinkVantage
请勿使用BIOS和硬盘驱动器密码。使用ThinkVantage指纹软件登录到Windows。
在用户自我注册的初始阶段后,用户将切换到需要非管理员用户指纹的安全方式登录,从而有效地加 强双因子认证方法。
–包括FingerprintSoftware教程。
指纹软件教程将有助于最终用户了解如何在指纹识别器上划过手指,以及获得其操作的可视反馈。
Solution
Solution
Solution
指纹
软件
纹软
在准
机器
备机
准备
1.从关机状态启动计算机,并按F1
存设置并退出BIOS。
2.使用域管理员帐户登录到Windows。
3.通过执行以下步骤安装ThinkVantage指纹软件:
a.运行f001zpz2001us00.exe文件从Web软件包中解压setup.exe文件。setup.exe文件将自动解压到以下
位置:
b.双击解压所得的setup.exe文件,然后按屏幕上的指示安装ThinkVantageFingerprintSoftware。
4.通过执行以下步骤安装ThinkVantage指纹软件教程:
a.运行f001zpz7001us00.exe文件从Web软件包中解压tutess.exe文件。tutess.exe文件将自动解压到以下
位置:
b.双击tutess.exe文件以安装ThinkVantageFingerprintSoftware教程。
5.通过执行以下步骤安装ThinkVantage指纹控制台:
a.运行f001zpz5001us00.exe以从Web软件包中解压fprconsole.exe文件。fprconsole.exe文件将自动解压
到以下位置:
ID)。
b.双击fprconsole.exe文件以安装ThinkVantageFingerprintSoftware控制台。
上:
器上
F1
F1
F1键进入BIOSSetupUtility,浏览至Security
C:\SWTOOLS\APPS\TFS5.9 .2-Buildxxxx\Application\0409(其中xxxx是版本ID)。
C:\SWTOOLS\APPS\tutorial\TFS5.9 .2Buildxxxx\Tutorial\0409(其中xxxx是版本ID)。
C:\SWTOOLS\APPS\fpr_con\APPS\UPEK\FPRConsole\TFS5.9 .2-Buildxxx\Fprconsole(其中xxxx是版本
Security
Security
Security菜单并清除安全芯片。保
第6章.最佳实践53
53
53
53
6.使用以下语法安装ClientSecuritySolution程序:
tvtcss82_xxxxcc.exe/s/v”/qnNOCSSWIZARD=1SUPERVISORPW="BIOSpw""
7.重新启动计算机,使用域管理员帐户登录到Windows,并准备要部署的XML脚本。 a.运行以下命令:
"C:\ProgramFiles\Lenovo\ClientSecuritySolution\css_wizard.exe" /name:C:\ThinkPad
b.通过执行以下步骤在向导中进行配置,以与示例脚本中保持一致:
1)单击
安全
录方
登录
全登
方法
2)输入域管理员帐户的Windows密码(例如,WPW4Admin),然后单击
一步
下一
一步
下一
3)输入域管理员帐户的ClientSecurity口令。
4)选择
密码
略密
忽略
复设
恢复
码恢
5)查看摘要,然后单击
,然后单击下
设置
将XML文件保存到以下位置:
应用
一步
下一
C:\ThinkPad.xml
以关闭向导。
6)单击
完成
8.使用C:\ProgramFiles\Lenovo\ClientSecuritySolution目录中的xml_crypt_tool.exe工具,通过在命令提示 符下使用以下语法,用密码加密XML脚本:
xml_crypt_tool.exeC:\ThinkPad.xml/encryptXMLScriptPW
加密后的文件名为C:\ThinkPad.xml.enc,它受到密码XMLScriptPW的保护。
在部
机器
署机
部署
上:
器上
1.通过执行以下步骤在部署机器上安装ThinkVantage指纹软件: a.使用贵公司的软件分发工具,将从用于准备的计算机上解压得到的setup.exe文件部署到用于部署的
计算机。
b.运行以下命令:
setup.exeCTLCNTR=0/q/i
2.通过执行以下步骤在部署机器上安装ThinkVantage指纹软件教程: a.使用贵公司的软件分发工具,将从用于准备的计算机上解压得到的tutess.exe文件部署到用于部署的
计算机。
b.运行以下命令:
tutess.exe/q/i
3.通过执行以下步骤在部署机器上安装ThinkVantage指纹控制台: a.使用贵公司的软件分发工具,将从用于准备的计算机上解压得到的fprconsole.exe文件部署到用于部
署的计算机。 b.将fprconsole.exe文件放入C:\ProgramFiles\ThinkVantageFingerprintSoftware目录。 c.通过运行以下命令关闭BIOS开机安全支持:
fprconsole.exesettingsTBX0
4.通过执行以下步骤在部署机器上安装ThinkVantageClientSecuritySolution: a.使用贵公司的软件分发工具,将tvtvcss83_xxxx.exe(其中
xxxx
是版本ID)文件部署到用于部署的计
算机。
b.运行以下命令:
tvtvcss83_xxxx.exe/s/v"/qn"NOCSSWIZARD=1""SUPERVISORPW="BIOSpw""
软件安装将自动启用“可信平台模块”硬件。
5.重新启动计算机后,通过以下过程使用XML脚本文件配置系统: a.将先前准备好的ThinkPad.xml.enc文件复制到C:\目录。
54
54
54ClientSecuritySolution8.3部署指南
54
b.运行以下命令:
"C:\ProgramFiles\Lenovo\ClientSecuritySolution\ vmserver.exe"C:\ThinkPad.xml.encXMLScriptPW
6.重新启动计算机后,系统现已准备就绪,可进行ClientSecuritySolution用户注册。所有用户都可使用
其用户标识和Windows密码登录到系统。将自动提示登录系统的每个用户,先要注册到ClientSecurity Solution,然后才能注册到指纹识别器。
7.当系统的所有用户都已在ThinkVantage指纹软件中注册后,就可以启用安全方式设置,以提示所有
Windows非管理员用户使用指纹进行登录。
要启用安全方式设置,请运行以下命令:
"C:\ProgramFiles\ThinkVantageFingerprintSoftware\ fprconsole.exe"settingssecuremode1
要消除登录屏幕中的“按Ctrl+Alt+Delete以使用密码登录”消息,请运行以下命令:
"C:\ProgramFiles\ThinkVantageFingerprintSoftware\fprconsole.exesettings" CAD0
8.ClientSecuritySolution8.3和ThinkVantage指纹软件的部署现已完成。

切换ClientSecuritySolution方式

如果将ClientSecuritySolution从便捷方式切换至安全方式,或从安全方式切换至便捷方式,同时正使用Rescue andRecovery来备份系统,请在切换方式后制作新的基本备份。

公司ActiveDirectory推广

要进行公司ActiveDirectory拓展,请完成以下步骤:
1.通过ActiveDirectory或LANDesk进行安装:
a.制作备份并通过ActiveDirectory和LANDesk生成有关何人何时制作备份的报告。 b.给予某些组制作备份、删除备份、调度选项以及密码限制的能力,然后更改这些组以查看这些设置
是否保持不变。
c.通过ActiveDirectory,启用AntidoteDeliveryManager。运行软件包并确保获取报告。

单机安装CD或脚本文件

要使用CD或脚本文件进行单机安装,请完成以下步骤:
1.使用一个批处理文件来静默安装ClientSecuritySolution和指纹技术。
2.静默配置BIOS密码恢复。

SystemUpdate

要进行系统更新,请完成以下步骤:
1.通过模拟大型企业安装服务器的方式而定制的系统更新服务器,安装ClientSecuritySolution和指纹软件
技术,这样就无需通过Lenovo服务器进行安装,并且还可以控制安装的内容。
2.对较早软件的所有三种不同版本(RescueandRecovery1.0/2.0/3.0、FingerprintSoftware和ClientSecurity
Solution5.4-6、FFE)进行覆盖安装。使用新版本对旧版本进行覆盖安装时,应保持原来的设置不变。

SystemMigrationAssistant

SystemMigrationAssistant6.0支持从旧系统迁移到最新Windows7系统,并且支持软件设置从ClientSecurity Solution和指纹软件的较早版本迁移。可从LenovoWeb站点下载SystemMigrationAssistant6.0,网址为:
http://www.lenovo.com/support
第6章.最佳实践55
55
55
55

使用TPM中的密钥生成功能生成证书

可以使用ClientSecuritySolutionCSP直接生成证书,而证书中的专用密钥由TPM生成和保护。要使用Client SecuritySolutionCSP请求证书,请完成以下步骤:
要求:
服务器机器应已安装以下内容:
WindowsServer2003Enterprise或更高版本ActiveDirectory认证中心服务
客户机机器应满足以下需求:
已启用TPM已安装ClientSecuritySolution

从服务器请求证书

为TPM用户创建模板
要为TPM用户创建模板,请完成以下过程:
1.单击
2.输入mmc,然后单击
3.在
4.双击管理单元列表中的
5.单击“添加/删除管理单元”窗口中的
6.单击控制台树中的
7.单击
8.在
9.单击
10.单击
11.单击
开始
菜单中,单击添
文件
操作 示
示名
显示
请求 常
常规
安全
注册
名称
求处 规
选项卡。确保选中在
选项卡,在组
运行
。这样会显示控制台窗口。
确定
/
添加
书模
证书
复制
字段中,输入TPMUser
选项卡,然后单击CSP
处理
模板
制模
组或
/
除管
删除
/删
加/
证书
模板
或用
发机
颁发
书颁
。这样会在左侧窗格中显示所有证书模板。
在Active
列表中单击已
户名
用户
管理
Active
Active
ActiveDirectory
,然后单击添
单元
理单
,然后单击关
机构
确定
CSP
CSP
CSP。确保选中请
Directory
Directory
Directory中
。随后将显示“添加独立管理单元”窗口。
添加
关闭
使
使
请求
中发
证的
认证
已认
可以
求可
证书
布证
发布
,并确保选中已
用户
的用
以使
使
证书
用证
使用
使
用者
使用
书使
算机
计算
者计
证的
认证
已认
任何
上任
机上
户的
用户
的用
用的
可用
何可
可权
许可
的许
CSP
CSP
CSP
的CSP
选项中的
配置企业认证中心
要通过配置企业认证中心来颁发TPMUser证书,请执行以下过程:
1.打开认证中心。
2.在控制台树中,单击
菜单中,单击新
操作
3.在
TPM
TPM
4.单击TPM
TPM,然后单击确
证书
新建
模板
书模
确定
发的
颁发
要颁
证书
的证
应用来自客户机的证书
要应用来自客户机的证书,请执行以下过程:
1.连接到内部网,启动InternetExplorer,输入已安装CA服务的服务器的IP地址。
2.在提示窗口中输入您的域用户名和密码。
3.单击
56
56
56ClientSecuritySolution8.3部署指南
56
选择
下的请
任务
择任
请求
证书
求证
证书
级证
4.单击Web页面底部的
5.在“高级证书请求”页面,更改以下设置:
证书
CSP
确保未选中
单击
在“已颁发的证书”页面上,单击
下拉列表中选择TPM
模板
书模
CSP
CSP
CSP下拉列表中选择ThinkVantage
将密
,然后执行以下过程。
提交
高级
钥标
密钥
为可
记为
标记
请求
书请
TPM
TPM
TPMUser
ThinkVantage
ThinkVantage
ThinkVantageClient
导出
可导
User
User
User
安装
Security
Client
Security
Client
SecuritySolution
ClientSecurity
装该
。这样会显示“已安装的证书”页面。
证书
该证
Solution
Solution
SolutionCSP
CSP
CSP
CSP
将USB指纹键盘用于2008年的ThinkPad笔记本计算机型号
R400/R500/T400/T500/W500/X200/X301)
Lenovo与两家供应商签订了合同,由它们在ThinkPad 2008之前的ThinkPad笔记本电脑型号(如T61)使用ThinkVantage指纹传感器。2008年的ThinkPad笔记 本电脑型号(从T400开始)使用Lenovo指纹传感器。所有LenovoUSB指纹键盘都使用ThinkVantage指 纹传感器。如果要在某些ThinkPad笔记本型号上使用指纹键盘(例如,在ThinkPadT400上使用外置USB 键盘),需要进行一些特殊的考虑。
本部分描述安装在最新ThinkPad笔记本电脑型号上的指纹软件的常见使用案例和部署策略。
注:
LenovoFingerprintSoftwareLenovo指纹软件是用于AuthenTec指纹传感器(例如,T400中的内置指纹传 感器)的软件。
ThinkVantage指纹软件ThinkVantage指纹软件是用于UPEK指纹传感器(例如,T61中的内置指纹传感 器,及所有外置USB键盘中的指纹传感器)的软件。
®
笔记本计算机型号和USB键盘中提供指纹认证。

Windows7登录

要登录到Windows7操作系统,您可以随时使用AuthenTec指纹传感器或UPEK指纹传感器。
1.安装Lenovo指纹软件V3.2.0.275或更高版本。
2.安装ThinkVantage指纹软件V5.8.2.4824或更高版本。
3.重新启动计算机。这样会自动启动指纹注册向导。
4.使用ThinkVantage指纹软件向外置指纹传感器注册您的指纹。如果该软件未自动启动,请单击
ThinkVantage
程序
5.在提示时输入您的Windows密码,然后选择要注册的手指。
6.遵循计算机屏幕上的提示,使用外置指纹传感器注册您的手指。
7.单击窗口顶部的
8.选择
9.重新启动计算机,确保可通过外置指纹传感器使用您的指纹登录到Windows。
10.使用指纹注册功能向内置指纹传感器注册您的手指。如果该软件未自动启动,请单击
“所
11.在提示时输入您的Windows密码,然后选择要注册的手指。
12.按照计算机屏幕上的提示,使用内置指纹传感器注册您的手指。
13.单击窗口顶部的
14.选择
15.重新启动计算机,确保可通过内置指纹传感器使用您的指纹登录到Windows。
或“
(或
序(
录到
登录
程序
有程
所有
录到
登录
“所
到Windows
序”
到Windows
有程
所有
Windows
Windows
Windows时
”)
Windows
Windows
Windows时
”)
序”
程序
设置
时使
ThinkVantage
ThinkVantage
ThinkVantage
ThinkVantage
设置
时使
ThinkVantage
使
使
用指
使用
使
使
用指
使用
ThinkVantage
ThinkVantage
指纹
指纹
描而
扫描
纹扫
Lenovo
描而
扫描
纹扫
ThinkVantage
ThinkVantage
ThinkVantageFingerprint
ThinkVantage
而非
Lenovo
Lenovo
LenovoFingerprint
而非
复选框,单击确
密码
非密
Fingerprint
Fingerprint
FingerprintSoftware
复选框,单击确
密码
非密
Fingerprint
Fingerprint
FingerprintSoftware
确定
Software
Software
Software以开始注册。
确定
Software
Software
Software以开始注册。
,然后单击关
,然后单击关
以关闭该窗口。
关闭
开始
以关闭该窗口。
关闭
开始
程序
(或
序(
第6章.最佳实践57
57
57
57

ClientSecuritySolution和密码管理器

与Windows登录不同,来自ClientSecuritySolution和密码管理器的认证请求只对首选的指纹传感器有效。 例如,连接某个指纹键盘后,其指纹传感器就是首选设备。如果未连接指纹键盘,那么ThinkPad内置指纹 传感器就是首选设备。
要更改首选设备,请创建注册表项,如下所示:
[HKLM\Software\Lenovo\TVTCommon\ClientSecuritySolution] REG_DWORD"PreferInternalFPSensor"=1
32.
名称
Pref erInternalFPSensor
0(缺省值)
1
描述
指定只要连接指纹键盘,外置指纹传 感器就是首选设备。
指定内置指纹传感器是首选设备。

引导前认证-使用指纹而非BIOS密码

与Windows登录不同,当配置为使用BIOS之后,针对BIOS密码的认证请求只对指纹传感器有效。缺省情 况下,如果已连接指纹键盘,那么BIOS会识别在该键盘上划过的指纹。如果未连接指纹键盘,那么BIOS 会识别在内置指纹设备上划过的指纹以进行认证。
Reader
Reader
可以更改BIOS设置Reader Reader
Reader
ReaderPriority
Reader
注:
Priority
Priority
Priority的缺省值为External
该BIOS设置只适用于BIOS上的指纹提示。它对Windows登录或ClientSecuritySolution指纹认证请求
ReaderPriority
Priority
Priority
Priority以强制使用内置指纹传感器,即使已连接外置指纹键盘,也是如此。
External
External
External。可以将该设置更改为Internal
Internal
Internal
InternalOnly
Only
Only
Only以强制使用内置指纹传感器。
没有任何影响。
配置指纹软件以启用Preboot认证
如果您已在BIOS中设置了超级用户密码、开机密码或硬盘驱动器密码,那么可以配置指纹软件以进行认 证,而无需输入这些密码。
LenovoFingerprintSoftware-针对内置指纹传感器
安全
机安
Software
Software
Software以启动Lenovo
全性
性选
复选框。
选项
1.单击
开始
程序
或“
(或
序(
有程
所有
“所
”)
序”
程序
ThinkVantage
ThinkVantage
ThinkVantage
ThinkVantage
FingerprintSoftware。
2.将手指扫过传感器,或在提示时输入Windows密码。
3.单击窗口顶部的设 指
使
使
指纹
用指
4.选中使
5.单击
使用
以关闭该窗口。
确定
设置
扫描
纹扫
非开
而非
描而
密码
机密
开机
硬盘
和硬
码和
动器
驱动
盘驱
复选框以及始
密码
器密
6.选择一个已注册的指纹,以启用您的指纹并取代BIOS密码。
以关闭该窗口。
7.单击
关闭
ThinkVantageFingerprintSoftware-针对外置指纹传感器
1.使用以下某种方法启动指纹软件:
Lenovo
Lenovo
LenovoFingerprint
Lenovo
Fingerprint
Fingerprint
FingerprintSoftware
终显
始终
开机
示开
显示
单击开
开始
(或
序(
程序
所有
“所
或“
”)
序”
程序
有程
ThinkVantage
ThinkVantage
ThinkVantage
ThinkVantage
单击LenovoThinkVantageTools窗口中的ThinkVantage
2.将手指扫过传感器,或在提示时输入Windows密码。
3.单击窗口顶部的设 指
使
使
指纹
用指
4.选中使
5.单击
58
58
58ClientSecuritySolution8.3部署指南
58
使用
以关闭该窗口。
确定
设置
描而
扫描
纹扫
开机
非开
而非
码和
密码
机密
盘驱
硬盘
和硬
器密
动器
驱动
ThinkVantage
ThinkVantage
ThinkVantage指
复选框以及始
密码
ThinkVantage
ThinkVantage
ThinkVantageFingerprint
ThinkVantage
指纹
图标。
软件
纹软
显示
终显
始终
Fingerprint
Fingerprint
FingerprintSoftware
示开
安全
机安
开机
Software
Software
Software
全性
性选
复选框。
选项
6.选择一个已注册的指纹,以启用您的指纹并取代BIOS密码。
以关闭该窗口。
7.单击
关闭
第6章.最佳实践59
59
59
59
60
60
60ClientSecuritySolution8.3部署指南
60
附录A将Lenovo指纹键盘用于某些ThinkPad笔记本型号时的
特别注意事项
在某些ThinkPad笔记本型号中使用的指纹设备与Lenovo指纹键盘使用的指纹设备是不同的。在某些ThinkPad 笔记本型号上使用这种指纹键盘时,需要注意一些特别事项。
要了解更多信息,请转至LenovoWeb站点中的指纹软件下载页面,以获取这些ThinkPad笔记本型号的列表。
只有针对“LenovoFingerprintSoftware”列出的型号在与指纹键盘配合使用时需要考虑特别的注意事项。所 有其他使用“ThinkVantageFingerprintSoftware”的ThinkPad笔记本型号都使用与指纹键盘中所含设备兼容 的指纹设备,因此无需考虑任何特别的注意事项。

配置和设置

必须安装Lenovo指纹软件2.0或更高版本,以便用于ThinkPad笔记本中使用的指纹设备。用户必须使用集 成指纹设备向Lenovo指纹软件注册指纹。
要将ThinkVantage指纹软件用于Lenovo指纹键盘,必须安装5.8或更高版本。用户还必须使用指纹键盘向 ThinkVantage指纹软件注册指纹。
向一个设备注册的指纹不能与另一设备互换。
注:

Pre-desktopauthentication

内置指纹设备或指纹键盘都可用于Predesktop认证(用指纹取代开机密码或硬盘驱动器密码)。系统加电 时,BIOS将确定要使用的设备。
缺省情况下,如果连接了指纹键盘,那么BIOS只接受在指纹键盘上划指纹的认证方式。如果连接了指纹键 盘,那么Predesktop认证将忽略在集成指纹设备上划过的指纹。如果未连接指纹键盘,那么集成指纹设备将 用于Predesktop认证。
可以更改BIOS的“ReaderPriority”设置,以使用内置指纹传感器。如果将“ReaderPriority”设置为 “Internalonly”,则可使用集成指纹传感器进行Predesktop认证。在这种情况下,在指纹键盘上划过的指纹 将被忽略。

Windows登录

ThinkPad笔记本电脑型号使用的Lenovo指纹键盘和指纹设备都提供了相应的界面,可供用户使用注册的指 纹来登录到Windows。
如果指纹登录界面配置不正确,那么在Windows登录过程中可能会出现兼容性问题。
要:
重要
如果ThinkPad笔记本电脑型号配备了Lenovo指纹键盘和集成指纹设备,并且安装了ClientSecuritySolution 程序,那么可通过以下两种方式使用指纹认证登录到Windows7操作系统:
使用“指纹软件”登录界面必须同时启用Lenovo指纹软件和ThinkVantage指纹软件的登录界面。如果
在Windows7操作系统中同时启用了这两个指纹登录界面,那么用户在指纹键盘或集成指纹设备上划过 手指即可登录。
使用ClientSecuritySolution登录界面ClientSecuritySolution登录界面可以取代指纹软件登录界面。当使
用ClientSecuritySolution登录界面登录到具有指纹认证功能的Windows操作系统时,请从各自的指纹软
选项中禁用指纹软件登录,并从ClientSecuritySolution高
件工作空间的 配置ClientSecuritySolution登录界面。
设置
菜单的
高级
安全
理安
管理
选项中
策略
全策
©CopyrightLenovo2008,2011
61
61
61
61
注:
1.BIOS的ReaderPriority设置不适用于这种情况。如果上述两种设备都可用,那么可以使用其中任何 一种设备进行登录。
2.只有ClientSecuritySolution8.3或更高版本才支持此功能。有关更多信息,请参阅第62页“通过 ClientSecuritySolution认证”。

通过ClientSecuritySolution认证

以下信息仅适合于ClientSecuritySolution8.3及更高版本。先前版本的ClientSecuritySolution不支持将
注:
集成指纹设备和指纹键盘一起使用。
当通过ClientSecuritySolution执行需要指纹认证的操作(例如,通过密码管理器在Web站点中自动填入密 码)时,用户必须在得到提示后在指纹键盘(如果已连接)上划过手指。如果连接了指纹键盘,那么在内置 指纹设备上划过的指纹将被忽略。如果未连接指纹键盘,那么必须使用集成指纹传感器。
注册表设置可用于要求用户使用内置指纹传感器通过ClientSecuritySolution进行认证。如果设置了该注册 表项,那么就必须使用内置传感器来完成ClientSecuritySolution指纹认证,而在指纹键盘上划过的指纹将被 忽略。
注册表项如下所示:
[HKLM\Software\Lenovo\TVTCommon\ClientSecuritySolution] REG_DWORD"PreferInternalFPSensor"=1
以上注册表项的缺省值为0,这种情况下,必须通过指纹键盘完成ClientSecuritySolution指纹认证,而在内 置指纹设备上划过的指纹将被忽略。
该设置还可以通过ActiveDirectory的组策略中的ClientSecuritySolution管理模板来更改。
注:
Internal
Internal
1.将BIOS的ReaderPriority设置指定为Internal SecuritySolution的认证,以模拟针对BIOSPredesktop认证的设置。
2.BIOS设置和该注册表的设置是相互独立的。
Internalonly
only
only
only时,建议将注册表项值设置为1。这样将启用对Client
62
62
62ClientSecuritySolution8.3部署指南
62

附录B重置Windows密码后在ClientSecuritySolution中同步密码

在重置Windows密码后,ClientSecuritySolution会继续提示您输入新的Windows密码,但随后会显示一条 错误消息,表明该密码不正确。Windows安全性采用以下设计方式:使您的安全凭证在Windows密码重置后 失效。Windows会在您每次尝试重置密码时提示一条警告消息。此外,重置Windows密码不仅会影响Client SecuritySolution,还会使您无法访问由WindowsEFS加密的证书和文件。如果ClientSecuritySolution不再能 够访问Windows安全凭证(由于密码重置),ClientSecuritySolution会不断提示您输入新密码,然后会显示 一条错误消息,表明所输入的密码无效。如果Windows安全凭证以这种方式失效,ClientSecuritySolution就 无法运行。如果Windows密码已更改(例如,提示您指定旧密码和新密码),那么您的安全凭证将会保留, 并受新密码保护。
要在Windows密码重置后同步CSS中的密码,请执行以下步骤:
1.恢复重置Windows密码之前的系统备份。
2.将Windows密码重置为初始密码。这样应该可以恢复对您的Windows安全凭证的访问。
3.创建新的Windows帐户,使用该帐户而不是凭证已损坏的初始帐户执行启动操作。
4.按照以下方法恢复您的系统: a.启动密码管理器。
b.单击 c.指定保存该文件的位置并输入文件名。 d.输入项文件的密码。 e.关闭密码管理器。 f.启动ClientSecuritySolution。 g.单击 h.在提示时输入新的Windows密码。 i.ClientSecuritySolution将提示您重新启动系统。 j.在系统重新启动之后,启动密码管理器。 k.单击 l.浏览到之前保存的文件。 m.在提示时输入密码。
导入
高级
导入
/
导出
/导
入/
/
/
导出
/导
入/
,然后选择导
重置
,然后选择导
全设
安全
置安
/
出项
导出
设置
入项
导入
列表
项列
列表
项列
©CopyrightLenovo2008,2011
63
63
63
63
64
64
64ClientSecuritySolution8.3部署指南
64
附录C在重新安装Windows的操作系统上使用ClientSecurity
Solution
重新安装包含ClientSecuritySolution的Windows操作系统后,如果要使用新安装的Windows操作系统上的
ClientSecuritySolution,您需要清除ClientSecuritySolution的安装数据,并重新安装ClientSecuritySolution。
最佳实践是:
1.从当前Windows操作系统中卸载ClientSecuritySolution。
2.重新启动计算机。
3.清除注册表中的以下数据:
[HKEY_LOCAL_MACHINE\SOFTWARE\Lenovo\TVTCommon\ClientSecuritySolution]
[HKEY_LOCAL_MACHINE\SOFTWARE\Lenovo\ClientSecuritySolution]
[HKEY_LOCAL_MACHINE\SOFTWARE\Lenovo\Logs]
[HKEY_LOCAL_MACHINE\SOFTWARE\IBM\Security\Debug]
4.清除C分区中与ClientSecuritySolution相关的数据。建议您在“文件选项”窗口中启用“查看所有隐 藏文件”选项,以在整个C分区中搜索该数据。可以在以下位置(但不限于以下位置)中找到结果:
C:\Users\AllUsers\AppData\Roaming\ClientSecuritySolution
C:\Users\%USER%\AppData\Roaming\ClientSecuritySolution
5.通过执行以下步骤清除BIOSSetupUtility中的安全芯片并激活安全芯片: a.关闭计算机。 b.开启计算机,按F1键进入BIOSSetupUtility。
Security
Security
c.选择Security d.按Enter键,然后选择Clear e.按Enter键,然后选择Yes f.选择Security
Security
Security
Security
SecurityChip
Security
Clear
Security
Clear
SecurityChip
ClearSecurity Yes
Yes
Yes以清除加密密钥。
Chip
Chip
Chip,然后按Enter键选择Active
Chip
Chip
Chip
Active
Active
Active
如果您不希望将ClientSecuritySolution设置为硬件TPM方式,请将安全芯片设置为Disabled
注:
6.重新启动计算机,然后重新安装ClientSecuritySolution程序。
当您将ClientSecuritySolution安装方式从软件仿真方式更改为基于硬件TPM的方式时,或在清除安全
注:
芯片后,ClientSecuritySolution会在检测到TPM更改时尝试恢复现有数据,但由于无法用新的TPM数据对 加密数据进行解密而导致该操作失败。在这种情况下,ClientSecuritySolution将无法启动。
©CopyrightLenovo2008,2011
Disabled
Disabled
Disabled
65
65
65
65
66
66
66ClientSecuritySolution8.3部署指南
66

附录D使用ThinkPad笔记本计算机上的TPM

TPM的主要使用情况是某些MicrosoftWindowsVista和Windows7操作系统版本附带的BitLocker功能。此 附录提供了在Windows环境中部署BitLocker时以下常见问题的答案。
第67页“如何远程部署BitLocker?”
第67页“TPM封锁的工作方式”

如何远程部署BitLocker?

使用标准Windows工具(如manage-bde.exe文件或TPM控制面板)激活TPM需要完全关闭计算机。然后,
再次打开计算机时,必须按一个键以确认操作。通过此类型的交互,无法无人照管地远程部署BitLocker。
有两种完全不同的状态类型与TPM相关:“已启用”和“已激活”。已启用的TPM不一定已激活,就像已 激活的TPM不一定已启用一样。必须先启用并激活TPM,然后才能使用BitLocker。ThinkPad笔记本计算 机出厂时,TPM始终为已启用且已停用状态。因此,应将TPM状态设置为已激活才能成功部署BitLocker。
自2008年以来,ThinkPad笔记本计算机已提供WindowsManagementInstrumentation(WMI)用于更改任何 BIOS设置(包括TPM的已激活状态)。可远程为WMI编制脚本和执行WMI,并且不需要与计算机进行 任何物理方式的交互。
要更改BIOS设置,请执行以下操作:
1.访问Web站点http://support.lenovo.com/en_US/detail.page?LegacyDocID=MIGR-68488。
Sample
Sample
2.单击Sample
3.在“命令提示符”窗口中键入cscript.exeSetCong.vbsSecurityChipActive以执行SetConfig.vbs文
4.重新启动计算机两次。首次重新启动更改BIOS设置,第二次重新启动使新BIOS设置生效。
SampleScripts
后解压该zip文件。
件。如果使用BIOS超级用户密码,则在“命令提示符”窗口中键入cscript.exeSetCongPassword.vbs SecurityChipActive以改为执行SetConfigPassword.vbs文件。
Scripts
Scripts
Scriptsfor
for
for
forBIOS
Deployment
BIOS
DeploymentGuide
BIOSDeployment
Deployment
BIOS
Guide
Guide
Guide(BIOS部署指南的样本脚本)以下载script.zip文件。然
上述过程只能在已启用TPM的计算机(例如处于出厂缺省状态的型号)上激活TPM。如果已使用
注:
Windows工具(如manage-bde.exe文件或TPM控制面板)禁用了TPM,则必须先用与用于禁用TPM的同 一种方法重新启用它。

TPM封锁的工作方式

TPM一项最重要的安全功能是防止“密码猜测”,即尝试自动猜测TPM密码。每个TPM均实现一种反密 码猜测的方法,当检测到攻击时,TPM进入封锁方式,这表示在封锁方式结束前忽略后面猜测的密码。但 是,可信计算组织(定义TPM行为的组织)未能定义TPM封锁的标准,因此每个TPM制造商都部署了自 己的封锁实现。Lenovo使用以下四个不同的供应商提供的TPM:
Atmel-ThinkPadT60/R60/X60/X300、ThinkCentreM57
Intel-ThinkPadT500/R500/X200/X301
STMicro-ThinkPadT410/T510/X201/T420/T520/X220、ThinkCentreM90
Winbond-ThinkCentreM58
这些TPM进入封锁方式时特征各异,如下所述:
TPM
Atmel
TPM
Atmel
TPM
AtmelTPM
Atmel
©CopyrightLenovo2008,2011
67
67
67
67
前15次密码尝试出错期间不封锁
第16次密码尝试出错将导致1.1分钟的封锁期
然后,接下来的15次密码尝试出错期间不封锁
下一个封锁期为2.2分钟
每个封锁期都会加倍,每一批15次密码尝试出错后,封锁期最长可达4.7小时
如果关闭计算机,则封锁就是重置
TPM
Intel
TPM
Intel
TPM
IntelTPM
Intel
前100次密码尝试出错期间不封锁
第101次密码尝试出错将导致16秒的封锁期
接下来每次密码尝试出错都会使封锁期变为上一个封锁期的两倍,不设最长封锁期
密码出错计数器每小时减一,直到降至零为止
ST
ST
STMicro
ST
TPM
Micro
TPM
MicroTPM
TPM
Micro
前40次密码尝试出错期间不封锁
第41次密码尝试出错将导致三秒的封锁期
接下来每次密码尝试出错都会使封锁期变为上一个封锁期的两倍,最长封锁期为两小时
Winbond
Winbond
WinbondTPM
Winbond
TPM
TPM
TPM
第一次密码尝试出错将导致0.25毫秒的封锁期
接下来每次密码尝试出错都会使封锁期变为上一个封锁期的两倍,最长封锁期为14小时
封锁期达到一秒需要13次尝试出错。
注:
24小时后,密码出错计数器重置为零
68
68
68ClientSecuritySolution8.3部署指南
68

附录E声明

Lenovo可能不在所有国家或地区提供本文档中讨论的产品、服务或功能特性。有关您所在地区当前提供的产 品和服务的信息,请咨询您当地的Lenovo代表。对Lenovo产品、程序或服务的任何引用无意明示或默示只 能使用该Lenovo产品、程序或服务。只要不侵犯Lenovo的任何知识产权,即可改用同等功能的任意产品、 程序或服务。但是,由用户自行负责评估和验证任何其他产品、程序或服务。
Lenovo对于本文所述内容可能已拥有专利或正在申请专利。提供本文档并未授予用户使用这些专利的任何许 可。您可以用书面方式将许可查询寄往:
L enovo (Unit ed S tat es), Inc. 1009 Think Place - Building One Morrisville, NC 27560 U .S.A. A tt ention: L enovo Dir ect or of Licensing
LENOVO“按现状”提供本出版物,不附有任何种类的(无论是明示的还是默示的)保证,包括但不限于默 示的有关非侵权、适销和适用于某种特定用途的保证。某些管辖区域在某些交易中不允许免除明示或默示的 保证,因此本条款可能不适用于您。
本信息中可能包含技术方面不够准确的地方或印刷错误。此处的信息将定期更改;这些更改将编入本出版物 的新版本中。Lenovo可以随时对本出版物中描述的产品和/或程序进行改进和/或更改,而不另行通知。
本文档中描述的产品并非旨在用于移植或其他生命支持的应用,在这些应用中的故障可能导致人身伤害或死 亡。本文档中包含的信息并不影响或更改Lenovo产品规格或保修。本文档中的任何内容都不能作为Lenovo 或第三方的知识产权下的明示或默示的许可或保证。本文档中包含的所有信息都是在特定的环境中获得并且 作为插图显示。在其他操作环境中获得的结果可能会有所不同。
Lenovo可以按它认为适当的任何方式使用或分发您所提供的任何信息而无须对您承担任何责任。
本出版物中提供的对非LenovoWeb站点的任何引用都是为了方便起见,任何情况下都不作为对这些Web站 点的公开支持。这些Web站点上的资料不属于本Lenovo产品的资料,并且使用这些Web站点时风险自担。
此处包含的任何性能数据都是在受控环境中测得的。因此,在其他操作环境中获得的数据可能会有明显的不 同。有些测量可能是在开发级的系统上进行的,因此不保证与一般可用系统上进行的测量结果相同。此外, 有些测量是通过推算而估计的。实际结果可能会有差异。本文档的用户应当验证其特定环境的适用数据。
商标
下列术语是Lenovo在美国和/或其他国家或地区的商标:
Lenovo ThinkCentre ThinkPad ThinkVantage
Microsoft、InternetExplorer、WindowsServer和Windows是Microsoft公司集团的商标。
其他公司、产品或服务名称可能是其他公司的商标或者服务标记。
©CopyrightLenovo2008,2011
69
69
69
69
70
70
70ClientSecuritySolution8.3部署指南
70
词汇表
管理员(ThinkCentre)/超级用户(ThinkPad)
BIOS密码
高级加密标准(AES)
加密系统(Cryptographysystem)加密系统广义上可分为对称密钥加密和公用密钥加
嵌入式安全芯片嵌入式安全芯片又称为可信平台模块(Trusted
公用密钥/对称密钥加密(Public-key/Asymmetric-key encryption)
管理员或超级用户密码用于控制更改BIOS设置的 功能。其中包括启用/禁用嵌入式安全芯片以及清 除存储在可信平台模块中的存储根密钥的功能。
府于2000年10月采用该算法为其加密技术,用 以取代曾使用的DES加密。AES针对蛮力攻击 (brute-forceattack)提供的安全性高于56位DES 密钥,并且AES还可以根据需要使用128位、192 位和256位密钥。
密,前者使用单个密钥对数据进行加密和解密,后 者则使用两个密钥(所有人都知道公用密钥,但只 有密钥对的所有者才有权使用专用密钥)。
PlatformModule)。
公钥算法通常使用两个相关密钥作为一对-其中一个 密钥是私钥,必须保密,而另一个密钥公开并可广 泛传播;给出一对密钥中的一个密钥应无法推断出 另一个密钥。术语“公用密钥加密”源于使部分密 钥成为公共信息的构思。同时喧使用术语“对称密 钥加密”,因为并非各方都持有相同的信息。在某 种意义上而言,一个密钥将锁“锁定”(加密); 而将该锁“解锁”(解密)则需要另一个密钥。
是一种
加密技术。美国政
存储根密钥(SRK)存储根密钥(SRK)是一个2,048位(或更大)的
公钥对。它最初是空的,并在分配TPM所有者时 进行创建。该密钥对始终位于嵌入式安全芯片中。 它用于加密(包装)存储在可信平台模块之外的存 储区的专用密钥,并在这些专用密钥装回可信平台 模块时对它们进行解密。有权访问BIOS的任何人 员都可清除SRK。
对称密钥加密(Symmetric-keyencryption)对称密钥加密密码使用相同的密钥用于数据加密和
解密。使用对称密钥密码更简单、更快速,但它们 的主要缺点是双方必须设法安全地交换密钥。公用 密钥加密则可避免这一问题,因为公用密钥可以通 过非安全方式分发,而专用密钥则始终不必传送。 高级加密标准是对称密钥的一个典范。
受信平台模块(TPM)可信平台模块是内建在系统中的专用集成电路,它
可实现强大的用户认证和机器验证。TPM的主要目 的是防止对保密信息及敏感信息的不当访问。TPM 是基于硬件的信任根,可用于为系统提供各种加 密服务。TPM又称为嵌入式安全芯片(embedded securitychip)。
Loading...