Lenovo ThinkVantage Client Security Solution 8.3 Deployment Guide [ja]

Download

ClientSecuritySolution8.3

デプロイメント・ガイド

更新:2011年12月

：

注

：

注

：本書および本書で紹介する製品をご使用になる前に、77

注：

注

されている情報をお読みください。

ページの付録E『特記事項』に記載

第

版

第

版

第

第4版

版(2011年

©CopyrightLenovo2008,201 1.

制限付き権利に関する通知:データまたはソフトウェアが米国一般調達局(GSA:GeneralServicesAdministration)契約に準じて提供される場合、使用、複製、または開示は契約番号GS-35F-05925に規定された制限に従うものとします。

年

年12月

月

月)

目

次

目

次

目

次

序

文

序

文

序

序文

文.

第

章

概

要

第

章

概

要

第

第1

1章

章.

.概

概要

ClientSecuritySolution.............1

ClientSecuritySolutionパスフレーズ.....2

ClientSecurityパスワードの復元.......2

ClientSecurityPasswordManager.......2

SecurityAdvisor..............3

証明書転送ウィザード..........3

ハードウェア・パスワードのリセット....3

TPMのないシステムのサポート......4

FingerprintSoftware..............4

第

章

第

第2

ClientSecuritySolution.............5

ThinkVantage指紋認証ソフトウェアのインストー

ル....................12

LenovoFingerprintSoftwareのインストール...15

SystemsManagementServer(SMS).......17

第

第3

業

業.

TPMの使用................19

ClientSecuritySolutionの暗号鍵の管理.....19

XMLスキーマの使用............26

RSASecurIDトークンの使用.........33

イ

章

イ

2章

章.

.イ

イン

インストール要件............5

カスタム・パブリック・プロパティ.....5

TPM(TrustedPlatformModule)のサポート...6 インストール手順およびコマンド・ライン・

パラメーター..............7

msiexec.exeの使用............8

標準Windowsインストーラーのパブリック・

プロパティ..............10

インストール・ログ・ファイル......11

サイレント・インストール........12

Options................12

サイレント・インストール........15

Options................15

章

3章

Client

章

Client

章.

.Client

ClientSecurity

Windows7でのTPMの使用.......19

所有権の取得.............20

ユーザー登録.............21

ソフトウェア・エミュレーション.....22

システム・ボードの交換........23

EFS保護ユーティリティー........25

例..................26

RSASecurIDソフトウェア・トークンのイン

ストール...............33

要.

ン

ス

ト

ン

ス

ト

ンス

スト

トー

Security

SecuritySolution

ー

ル

ー

ル

ール

ル.

Solution

Solutionで

で

での

.iii

の

作

の

作

の作

作

.19

iii

要件.................33

スマート・カード・アクセス・オプションの

設定.................33

RSASecurIDソフトウェア・トークンの手動

インストール.............33

ActiveDirectoryのサポート........34

指紋センサー認証の設定とポリシー......34

強制的な指紋バイパス・オプション....34

指紋の読み取り結果..........34

コマンド・ライン・ツール.........35

SecurityAdvisor............35

ClientSecuritySolutionセットアップ・ウィ

ザード................36

デプロイメント・ファイルの暗号化または暗

号化解除ツール............37

デプロイメント・ファイル処理ツール...37

TPMENABLE.EXE...........38

証明書転送ツール...........38

TPMのアクティブ化または非アクティブ化.39

ActiveDirectoryのサポート..........41

管理用(ADM)テンプレート・ファイル...42

グループ・ポリシーの設定........43

第

章

第

第4

4章

ウ

ェ

ウ

ェ

ウ

ウェ

ェア

管理コンソール・ツール..........47

保護モードおよび簡易モード........49

指紋認証ソフトウェアおよびNovellNetware

Client..................52

ThinkVantage指紋認証ソフトウェアのサービス.53

第

第5

5章

作

業

作

業

作

作業

業.

管理コンソール・ツール..........55

LenovoFingerprintSoftwareのサービス.....55

LenovoFingerprintSoftwareのActiveDirectoryサ

ポート..................55

第

第6

6章

ThinkVantage

章

ThinkVantage

章.

.ThinkVantage

ThinkVantage指

ア

で

の

作

ア

で

アで

での

ユーザー固有コマンド.........47

グローバル設定のコマンド........48

保護モード-管理者...........49

保護モード-制限ユーザー........50

簡易モード-管理者...........50

簡易モード-制限ユーザー........51

構成可能な設定............51

認証.................53

章

章.

.Lenovo

章

章.

.ベ

業

の

作

業

の作

作業

業.

Lenovo

LenovoFingerprint

ベ

ベス

Fingerprint

FingerprintSoftware

ス

ト

・

ス

ト

・

スト

ト・

・プ

指

紋

認

証

ソ

フ

指

紋

認

紋認

テ

ティ

認証

Software

Softwareで

ィ

ィス

証

証ソ .

ス

ス.

指紋

プ

ラ

ク

プ

ラ

ク

プラ

ラク

クテ

ト

ソ

フ

ト

ソフ

フト

ト

.47

で

の

で

の

での

の

.55

.57

©CopyrightLenovo2008,2011

ClientSecuritySolutionをインストールする場合の

デプロイメント例.............57

シナリオ1..............57

シナリオ2..............59

ClientSecuritySolutionモードの切り替え....61

企業用ActiveDirectoryの展開........62

CDまたはスクリプト・ファイルのスタンドアロ

ン・インストール.............62

SystemUpdate...............62

SystemMigrationAssistant..........62

TPMでの鍵生成を使用した証明書の生成....62

要件:.................62

サーバーからの証明書の要求.......63

2008ThinkPadノートブック・コンピューター・モデル(R400/R500/T400/T500/W500/X200/X301)でのUSB指紋センサー付きキーボードの使用...64

Windows7のログオン..........64

ClientSecuritySolutionとPasswordManager..65

プリブート認証-BIOSパスワードの代わり

に指紋を使用する...........65

付

録

録A. で

で

でLenovo を

を

を使

A.ThinkPad

Lenovo

Lenovo指

使

用

使

用

使用

用す

ThinkPad

ThinkPadノ

す

する

付

付録ル

ル

ルでド

ド

ドを

ノ

ー

ト

ブ

ッ

ク

・

モ

ノ

ー

ト

ブ

ッ

ノー

ート

トブ

指

紋

セ

ン

指

紋

指紋

紋セ

る

際

る

際

る際

際の

サ

セ

ン

サ

セン

ンサ

サー

の

特

別

の

の特

な

特

別

な

特別

別な

な考

ク

ブッ

ック

ク・

ー

付

き

ー

付

き

ー付

付き

きキ

考

慮

事

考

慮

事

考慮

慮事

事項

デ

・

モ

デ

・モ

モデ

デ

キ

ー

ボ

ー

ーボ

項

項.

ー

ボ

ー

ボー

ー

.67

キ

キー

設定とセットアップ............67

Pre-desktopauthentication...........67

Windowsログオン.............67

ClientSecuritySolutionでの認証........68

付

録

付

付録後

後

後にド

ド

ドを

付

付録オ

オ

オペ Client

Client

ClientSecurity

付

付録ピ

ピ

ピュ

BitLockerをリモートにデプロイする方法....75

TPMロックアウトのしくみ.........75

付

付録

商標...................77

用語集.................lxxix

Windows

録

Windows

録B.

B.Windows

Windowsパ

に

Client

に

Client

にClient

ClientSecurity

を

同

期

同

同期

C.再

レ

レー

Security

SecuritySolution

D.ThinkPad

ー

ータ

E.特

化

期

化

期化

化す

再

イ

再

イ

再イ

イン

ー

テ

ー

テ

ーテ

ティ

ThinkPad

ThinkPadノ

タ

ー

タ

ー

ター

ーで

特

記

特

記

特記

記事

を

を同

録

録C.

ペ

ペレ

録

録D.

ュ

ュー

録

録E.

Security

SecuritySolution

す

する

ン

ンス

ィ

ィン

で

での

事

事項

パ

パス

る

る.

ス

ト

ス

ト

スト

トー

ン

グ

ン

グ

ング

グ・

Solution

Solutionの

ノ

ノー

の

TPM

の

TPM

のTPM

TPMの

項

項.

ス

ワ

ス

ワ

スワ

ワー

Solution

Solutionで

ー

ル

ー

ル

ール

ルさ

・

シ

・

シ

・シ

シス

ー

ト

ー

ト

ート

トブ

の

の使

ー

ド

の

リ

セ

ッ

ー

ド

の

ード

さ

され

ス

ステ

の

使

の

使

の使

使用

ブ

ブッ

使

使用

リ

ドの

のリ

リセ

で

パ

で

パ

でパ

パス

れ

た

Windows

れ

た

Windows

れた

たWindows

Windows

テ

ム

に

テ

ム

に

テム

ムに

にお

用

用.

ッ

ク

ッ

ク

ック

ク・

用

用.

ト

セ

ッ

ト

セッ

ット

ト

ス

ワ

ー

ス

ワ

ー

スワ

ワー

ー

お

け

お

け

おけ

ける

・

コ

ン

・

コ

ン

・コ

コン

ン

.71

る

る .

.73

.75

.77

iiClientSecuritySolution8.3デプロイメント・ガイド

序

文

序

文

序

序文

文

本書に記載されている情報は、ThinkVantage

プログラムがインストールされているLenovo

ClientSecuritySolutionと指紋認証ソフトウェアの目的は、クライアント・データを保護することによってお客様のシステムを保護し、セキュリティー・ブリーチ(抜け穴)を犯そうとする試みを食い止めることです。

『

Client Security Solution デプロイメント・ガイド

Solutionおよび指紋認証ソフトウェアをインストールするために必要な情報と、ITおよび会社の方針をサポートするためにカスタマイズ可能な管理機能ツールについての説明やシナリオが記載されています。

本書は、IT管理者、またはThinkVantageClientSecuritySolutionおよび指紋認証ソフトウェアを組織内のPC にデプロイする担当者を対象としています。ご提案またはコメントは、Lenovo認定担当者にご連絡ください。本書は定期的に更新されます。最新の資料については、次のLenovoWebサイトで確認できます。

http://www.lenovo.com/support

ClientSecuritySolutionおよび指紋認証ソフトウェアのワークスペースに組み込まれているさまざまなコンポーネントの使用に関する質問および情報は、ClientSecuritySolutionおよび指紋認証ソフトウェアに付属のオンライン・ヘルプ・システムおよびユーザー・ガイドを参照してください。

ClientSecuritySolutionプログラムおよびFingerprintSoftware

コンピューターを対象としています。

』では、1台以上のコンピューターにClientSecurity

©CopyrightLenovo2008,2011

iii

ivClientSecuritySolution8.3デプロイメント・ガイド

第

章

概

第

第1

本章では、ClientSecuritySolutionおよび指紋認証ソフトウェアの概要を示します。本デプロイメント・ガイドで説明されているテクノロジーは、PCの使い勝手と自己完結性を向上させ、展開を促進し単純化する強力なツールを提供するので、ITプロフェッショナルの方に大きなメリットをもたらします。 ThinkVantageテクノロジーの支援により、ITプロフェッショナルの方は、個別のPCの問題を解決する時間を短縮できるので、本来の作業に多くの時間を費やすことができるようになります。

章

1章

章概

要

概

要

概要

要

Client

ClientSecurity

ClientSecuritySolutionソフトウェアの第一の目的は、お客様が資産としてのPCを保護し、PC上の機密データを保護し、さらにPCがアクセスするネットワーク接続を保護することを補助することです。 (TCG(TrustedComputingGroup)という業界団体が仕様を定めているTPM(TrustedPlatformModule)を含むLenovoシステムの場合、ClientSecuritySolutionソフトウェアは、システムのトラステッド・ルートとしてハードウェアを活用します。システムにエンベデッド・セキュリティー・チップが含まれていない場合、ClientSecuritySolutionは、システムのトラステッド・ルートとしてソフトウェア・ベースの暗号化鍵を活用します。)

ClientSecuritySolution8.3には、以下の機能が含まれています。

•Windows

•指

•多

•パ

•セ

•デ

•認

Security

SecuritySolution

Windows

ClientSecuritySolutionは、認証の際にユーザーのWindowsパスワードまたはClientSecuritySolutionパスフレーズを受け入れるように構成できます。Windowsパスワードの場合はWindowsを使用するため、便利で管理が容易です。ClientSecuritySolutionパスフレーズではセキュリティーが強化されます。どちらの認証方式を使用するかは管理者が選択でき、この設定はユーザーがClientSecuritySolution に登録した後でも変更することが可能です。

紋

指

紋

指

紋に

指紋

内蔵、またはUSB接続の指紋センサーを活用し、パスワードで保護されたアプリケーションに対してユーザーを認証します。

層

多

層

多

層の

多層

さまざまなセキュリティー関連操作に対して複数の認証装置(Windowsパスワード、ClientSecurityパスフレーズ、および指紋)を定義します。

ス

パ

ス

パ

スワ

パス

ユーザーIDやパスワードなどの重要なログオン情報を安全に管理し、保存します。

ス

パ

ス

パ

スワ

パス

パスワードおよびパスフレーズの復元を利用して、WindowsパスワードまたはClientSecuritySolutionパスフレーズを忘れた場合でも、事前に構成されたセキュリティーの質問に答えることにより、Windows にログインし、ClientSecuritySolutionクレデンシャルにアクセスすることができます。

キ

セ

キ

セ

キュ

セキ

ユーザーが、詳細なワークステーション・セキュリティー設定のリストを表示し、定義された規格に準拠するように変更できるようにします。

ィ

デ

ィ

デ

ィジ

ディ

ClientSecuritySolutionは、ユーザーとPCの証明書の秘密鍵を保護します。ClientSecuritySolutionを使用することにより、既存の証明書の秘密鍵が保護されます。

証

認

証

認

証の

認証

管理者は、Windowsログオン、PasswordManager、および証明書の操作といったアクションの場合、認証にどの装置(Windowsパスワード、ClientSecuritySolutionパスフレーズ、または指紋)が必要かを選択することができます。

パ

パス

パ

る

よ

に

る

よ

に

るユ

よる

によ

ー

ユ

の

ー

ユ

の

ーザ

ユー

のユ

ド

ー

ワ

ド

ー

ワ

ド管

ード

ワー

ド

ー

ワ

ド

ー

ワ

ド/

ード

ワー

テ

リ

ュ

テ

リ

ュ

ティ

リテ

ュリ

ル

タ

ジ

ル

タ

ジ

ル証

タル

ジタ

リ

ポ

の

リ

ポ

の

リシ

ポリ

のポ

Solution

護

保

の

証

認

ー

ザ

ー

ユ

る

よ

に

ズ

ー

レ

フ

ス

スワ

ユ

ユー

ザ

ザー

管

管理

パ

パス

/パ

ィ

ィー

証

証明

シ

シー

ド

ー

ワ

ドま

ード

ワー

ー

ザ

ー

ザ

ー

ー認

ザー

ーザ

証

認

ー

証

認

ー

証に

認証

ー認

理

レ

フ

ス

レ

フ

ス

レー

フレ

スフ

定

設

ー

定

設

ー

定の

設定

ー設

の

書

明

の

書

明

の転

書の

明書

理

管

ー

理

管

ー

理

管理

ー管

は

た

ま

はClient

たは

また

証

認

証

認

証

認証

Windows

る

よ

に

によ

の

の監

転

転送

Windows

る

よ

Windowsロ

るWindows

よる

の

ズ

ー

の

ズ

ー

の復

ズの

ーズ

査

監

査

監

査

監査

送

Security

Client

SecuritySolution

ClientSecurity

元

復

元

復

元

復元

Security

Client

は

た

ま

ド

ー

ワ

Solution

Solutionパ

ン

オ

グ

ロ

ログ

ン

オ

グ

ンお

オン

グオ

パ

フ

ス

パ

フレ

スフ

パス

ま

さ

び

よ

お

よ

お

よび

およ

ま

さ

び

まざ

さま

びさ

ズ

ー

レ

ズに

ーズ

レー

な

ま

ざ

な

ま

ざ

なClient

まな

ざま

る

よ

に

るユ

よる

によ

Client

ClientSecurity

ザ

ー

ユ

ザー

ーザ

ユー

Security

SecuritySolution

認

ー

認証

ー認

Solution

Solution操

証

証の

護

保

の

護

保護

の保

作

操

作

操

作

操作

©CopyrightLenovo2008,2011

Client

ClientSecurity

ClientSecuritySolutionパスフレーズは、ClientSecuritySolutionに拡張セキュリティーを提供する、ユーザー認証のオプション機能です。ClientSecuritySolutionパスフレーズの要件は、以下のとおりです。

•8文字以上の長さ

•数字が1文字以上入っていること

•最近の3回のパスフレーズと異なること

•反復文字は2文字以内

•先頭に数字を使用しない

•末尾に数字を使用しない

•ユーザーIDを含めない

•現在のパスフレーズを設定してから3日以内は変更しない

•現在のパスフレーズと同一の文字を連続して3文字以上使用しない

•Windowsパスワードと異なる

ClientSecuritySolutionパスフレーズを知っているのは個々のユーザーだけです。ClientSecuritySolutionパスフレーズを忘れた場合に復元する唯一の方法は、ClientSecuritySolutionパスワード復元機能を実行することです。ユーザーが復元のための質問に対する回答を忘れてしまった場合、ClientSecuritySolution パスフレーズで保護されたデータを復元する方法はありません。

Security

SecuritySolution

Solution

Solutionパ

パ

ス

フ

レ

ー

パ

ス

フ

パス

スフ

フレ

ズ

レ

ー

ズ

レー

ーズ

ズ

Client

ClientSecurity

このオプション機能を使用すると、登録されたClientSecurityユーザーは、WindowsパスワードやClient Securityパスフレーズを忘れた場合に、3つの質問に正しく答えることにより、復元することができます。この機能が有効である場合、ユーザーは、10の質問の中から3つを選択し、それぞれの質問に対する回答を入力します。ユーザーがWindowsパスワードやClientSecurityパスフレーズを忘れた場合は、これら3つの質問に回答して、そのパスワードやパスフレーズを自分でリセットするというオプションが用意されています。

注

注：

注

ズを復元するための唯一のオプションです。ユーザーは、それら3つの質問に対する回答を忘れた場合、登録ウィザードを再実行しなくてはならず、前のClientSecurity保護データはすべて失われます。

Client

ClientSecurity

ClientSecurityPasswordManagerを使用すると、ユーザーID、パスワード、およびその他の個人情報などの、忘れやすいアプリケーションやWebサイトの情報を管理することができます。ClientSecurity PasswordManagerは、ユーザーのアプリケーションやWebサイトへのアクセス全体がセキュアに保たれるように、ClientSecuritySolutionによってユーザーの個人情報を保護します。また、ClientSecurity PasswordManagerプログラムでは、1つのパスワードまたはパスフレーズを覚えておくか、指紋を使用すればよいため、時間と労力が節約されます。

ClientSecurityPasswordManagerを使用すると、以下の機能を実行できます。

•Client

•ユ

Security

Securityパ

：

：ClientSecurityパスフレーズを使用する場合、ClientSecurityパスワードの復元機能は忘れたパスフレー

Security

SecurityPassword

Security

Client

Security

Client

SecuritySolution

ClientSecurity

ClientSecuritySolutionによってユーザーのすべての情報が自動的に暗号化されます。これにより、重要

なパスワード情報が、ClientSecuritySolution暗号化鍵によって保護されます。

ー

ザ

ー

ユ

ー

ユ

ーザ

ユー

アプリケーションまたはWebサイトにアクセスする際に、ログイン・プロセスを自動化します。ログ

オン情報がClientSecurityPasswordManagerに入力されている場合は、ClientSecurityPasswordManagerが

自動的に必須フィールドへの記入を行い、Webサイトまたはアプリケーションに実行依頼します。

ー

ザ

IDと

ーID

ザー

Solution

Solutionソ

パ

と

パ

と

パス

とパ

パ

ス

ワ

ー

ド

の

復

パ

ス

ワ

ー

パス

スワ

Password

PasswordManager

ソ

ソフ

ド

ー

ワ

ス

スワ

ド

ー

ワ

ドの

ード

ワー

ド

ワー

ード

ドの

Manager

ア

ェ

ウ

ト

フ

ト

フ

トウ

フト

の

の自

ア

ェ

ウ

アに

ェア

ウェ

入

動

自

入

動

自

入力

動入

自動

元

の

復

元

の復

復元

元

化

号

暗

の

報

情

存

保

の

て

べ

す

る

よ

に

る

よ

に

るす

よる

によ

力

て

べ

す

ての

べて

すべ

存

保

の

存情

保存

の保

の

報

情

の暗

報の

情報

化

号

暗

化

号化

暗号

2ClientSecuritySolution8.3デプロイメント・ガイド

Security

Client

Security

Client

SecurityPassword

ClientSecurity

•Client

アカウント項目を編集し、すべてのオプション機能を1つの使いやすいインターフェースにセットアップすることができます。このインターフェースにより、パスワードと個人情報の管理を迅速かつ容易に行えるようになります。ただし、変更に関連する項目のほとんどはClientSecurityPasswordManagerが自動的に検出できるため、ユーザーはさらに簡単に項目を更新できます。

テ

ス

加

追

追加

•追

ClientSecurityPasswordManagerは、重要情報が特定のWebサイトまたはアプリケーションに送信されると、それを自動的に検出できます。重要情報を検出すると、ClientSecurityPasswordManagerはユーザーにプロンプトを出して情報を保存するように促し、重要情報の保存プロセスを単純化します。

セ

セキ

•セ

ClientSecurityPasswordManagerを使用して、ユーザーはテキスト・データをセキュア・スクラッチ・パッドに保存することができます。ユーザーのセキュア・スクラッチ・パッドは、他のWebサイトやアプリケーションの項目と同じレベルのセキュリティーで保護できます。

ロ

ログ

•ロ

重要な個人情報をエクスポートして、その情報をPC間で安全に移動させることができます。Client SecurityPasswordManagerからログイン情報をエクスポートすると、パスワードで保護されたエクスポート・ファイルが作成されます。このファイルは、リムーバブル・メディアに保存することができます。このファイルを使用して、あらゆる場所でユーザーの個人情報にアクセスしたり、ClientSecurity PasswordManagerを使用して項目を別のPCにインポートします。

注

注：

注

にサポートされています。ClientSecuritySolutionバージョン6.0の場合は、インポートが限定的にサポートされています(アプリケーション項目はインポートされません)。ClientSecuritySoftware Solutionバージョン5.4 Managerにインポートされません。

テ

ス

加

テッ

ステ

加ス

ア

ュ

キ

ア

ュ

キ

ア・

ュア

キュ

ン

イ

グ

ン

イ

グ

ン情

イン

グイ

：

：ClientSecuritySolutionバージョン7.0および8.

Password

PasswordManager

必

を

プ

ッ

ップ

・

・ス

情

情報

必

を

プ

必要

を必

プを

ラ

ク

ス

ラ

ク

ス

ラッ

クラ

スク

エ

の

報

エ

の

報

エク

のエ

報の

Manager

Managerイ

し

と

要

し

と

要

しな

とし

要と

・

チ

ッ

・

チ

ッ

・パ

チ・

ッチ

ポ

ス

ク

ポ

ス

ク

ポー

スポ

クス

およびこれ以前のバージョンは、ClientSecuritySolutionバージョン8.

イ

タ

ン

イ

ター

ンタ

イン

の

報

情

い

な

い

な

い情

ない

ッ

パ

ッ

パ

ッド

パッ

ト

ー

ト

ー

トと

ート

の

報

情

の保

報の

情報

の

へ

ド

の

へ

ド

の情

への

ドへ

ン

イ

と

ン

イ

と

ンポ

イン

とイ

ェ

フ

ー

ェー

フェ

ーフ

存

保

存

保

存

保存

の

報

情

の

報

情

の保

報の

情報

ト

ー

ポ

ト

ー

ポ

ト:

ート

ポー

を

ス

ー

を使

スを

ース

存

保

存

保

存

保存

し

用

使

した

用し

使用

のエクスポート・ファイルのインポートは完全

目

項

た

目の

項目

た項

集

編

の

集

編集

の編

集

編

の

目

項

た

し

用

使

を

ス

ー

ェ

フ

ー

タ

ン

Password

Security

SecurityAdvisor

SecurityAdvisorを使用すると、現在PCに設定されているセキュリティー設定の要約を表示できます。これらの設定値を使用して、現在のセキュリティー状況を表示したり、システム・セキュリティーを強化することができます。表示されるカテゴリーのデフォルト値は、Windowsレジストリーによって変更できます。以下に、セキュリティー・カテゴリーの一例を示します。

•ハードウェア・パスワード

•Windowsユーザー・パスワード

•Windowsパスワード・ポリシー

•保護スクリーン・セーバー

•ファイル共有

証

明

証

明

証

証明

明書

ClientSecurityの証明書転送ウィザードは、ソフトウェア・ベースのMicrosoft ダー(CSP)からハードウェア・ベースのClientSecuritySolutionCSPに、証明書に関連した秘密鍵を転送するすべてのプロセスをガイドします。転送が行われた後は、秘密鍵がClientSecuritySolutionによって保護されるため、証明書を使用する操作はよりセキュアになります。

ハ

ー

ハ

ー

ハ

ハー

ード

このツールは、Windowsから独立して稼動するセキュアな環境を作成し、忘れてしまったパワーオン・パスワードやハードディスク・パスワードをリセットする際に役立ちます。IDは、自分で作成した一連の質問に回答することによって設定されます。パスワードを忘れる前に、このセキュアな環境をできるだけ早く作成してください。登録後、ハードディスク上にこのセキュアな環境を作成するまでは、忘れてしまったハードウェア・パスワードをリセットすることはできません。このツールは、一部のPCを選択した場合のみ、使用可能です。

Advisor

書

転

送

ウ

ィ

ザ

ー

書

転

送

ウ

ィ

書転

転送

送ウ

ド

ウ

ェ

ド

ウ

ェ

ドウ

ウェ

ェア

ザ

ウィ

ィザ

ザー

ア

・

パ

ア

・

パ

ア・

・パ

パス

ド

ー

ド

ード

ド

暗号サービス・プロバイ

ス

ワ

ー

ド

の

リ

セ

ッ

ス

ワ

ー

ド

の

スワ

ワー

ード

リ

ドの

のリ

リセ

ト

セ

ッ

ト

セッ

ット

ト

第1章.概要3

TPM

TPMの

ClientSecuritySolution8.3は現在、対応するエンベデッド・セキュリティー・チップのないLenovoシステムをサポートしています。このサポートにより、一貫したセキュアな環境を作成するために、全社的な標準インストールを行うことが可能になります。エンベデッド・セキュリティー・チップのあるシステムはアタックに対してより堅固ですが、エンベデッド・セキュリティー・チップのないシステムの場合、 ClientSecuritySolutionはソフトウェア・ベースの暗号鍵をシステムの信頼性の基盤として活用します。また、追加のセキュリティーと機能もシステムにとって有益です。

の

な

い

シ

ス

テ

ム

の

サ

ポ

ー

の

な

い

シ

ス

テ

ム

の

のな

ない

いシ

シス

ステ

テム

サ

ムの

のサ

サポ

ト

ポ

ー

ト

ポー

ート

ト

Fingerprint

FingerprintSoftware

Lenovoが提案する指紋センサーの目的は、パスワードの管理に関連したコストの削減やシステムに対するセキュリティーの強化においてお客様を補助し、お客様が規制に対応できるようにすることです。 Lenovo社の指紋センサーとともに、指紋認証ソフトウェアを使用すると、個々のPCおよびネットワークでの指紋認証が可能になります。ClientSecuritySolution8.3と結合された指紋認証ソフトウェアは、拡張機能を提供します。ClientSecuritySolution8.3では、ThinkVantage指紋認証ソフトウェア5.9.2と LenovoFingerprintSoftware3.3の両方がサポートされます。これらはどちらもさまざまなマシン・タイプで使用可能です。LenovoWebサイトでLenovo指紋センサーの詳細を調べたり、指紋認証ソフトウェアをダウンロードしたりすることができます。

指紋認証ソフトウェアは、以下の機能を提供します。

Security

Client

Security

Client

SecuritySoftware

ClientSecurity

•Client

Microsoft

MicrosoftWindows

–Microsoft

パスワードをお客様の指紋に置き換えて、容易で高速、かつ安全なシステム・アクセスを提供

します。

BIOS

BIOSパ

–BIOS

換

換:

換

パスワードをお客様の指紋と置き換えて、ログオン・セキュリティーと利便性を高めます。

SafeGuard

SafeGuardEasy

–SafeGuard

指紋認証を使用して、Windowsの起動前にハードディスクを暗号化解除します。

BIOS

BIOSお

–BIOS

起動時に指紋をセンサーに読み込ませるだけで、BIOSとWindowsにアクセスすることができるの

で、貴重な時間を節約することができます。

Client

ClientSecurity

–Client

ClientSecuritySolutionPasswordManagerと併用して、TPMを活用します。ユーザーは、指紋センサーに読み込ませてWebサイトにアクセスし、アプリケーションを選択します。

者

理

管

者

理

管

者機

理者

管理

•管

機

機能

パ

パス

お

およ

Security

SecuritySolution

Windows

Windowsパ

ス

スワ

よ

よび

能

Software

Softwareの

ー

ワ

ー

ワ

ード

ワー

Easy

Easyで

Windows

び

Windows

び

Windowsへ

びWindows

(

ド

(

ド

(パ

ド(

ド

で

ド

で

ドラ

でド

Solution

Solutionと

能

機

の

能

機

の

能

機能

の機

換

置

の

ド

ー

ワ

ス

パ

ワ

ス

パ

ワー

スワ

パス

ー

ワ

パ

ー

ワ

パ

ーオ

ワー

パワ

イ

ラ

イ

ラ

イブ

ライ

へ

への

と

との

の

ド

ー

の置

ドの

ード

・

ン

オ

・

ン

オ

・パ

ン・

オン

体

全

ブ

体

全

ブ

体を

全体

ブ全

ン

シ

の

ン

シ

の

ング

シン

のシ

合

統

の

合

統

の

合:

統合

の統

換

置

換:

置換

ー

ワ

ス

パ

・

ク

ス

ィ

デ

ド

ー

ハ

び

よ

お

)

す

ま

れ

ば

呼

も

と

ド

ー

ワ

ス

パ

ワ

ス

パ

ワー

スワ

パス

号

暗

を

号

暗

を

号化

暗号

を暗

・

ル

グ

・

ル

グ

・ス

ル・

グル

と

ド

ー

とも

ドと

ード

る

す

化

る

す

化

るた

する

化す

イ

ワ

ス

イ

ワ

ス

イプ

ワイ

スワ

ば

呼

も

ばれ

呼ば

も呼

の

め

た

の

め

た

の起

めの

ため

ア

・

プ

ア

・

プ

アク

・ア

プ・

す

ま

れ

す)

ます

れま

指

前

動

起

起動

指

前

動

指紋

前指

動前

ス

セ

ク

ス

セ

ク

ス:

セス

クセ

び

よ

お

)

びハ

よび

およ

)お

証

認

紋

証

認

紋

証:

認証

紋認

ド

ー

ハ

ドデ

ード

ハー

ス

ィ

デ

スク

ィス

ディ

パ

・

ク

パス

・パ

ク・

ー

ワ

ス

ード

ワー

スワ

置

の

ド

置

の

ド

置

の置

ドの

セ

キ

セ

キュ

セキ

–セ

管理者は、保護モードと簡易モードを切り替えて、制限ユーザーのアクセス権限を変更するこ

とができます。

ュ

キ

セ

ュ

キ

セ

ュリ

キュ

セキ

•セ

フ

ソ

フ

ソ

フト

ソフ

–ソ

システムに保存する際や、読み取り装置からソフトウェアに転送する際に、強い暗号化によ

り、ユーザー・テンプレートを保護します。

ー

ハ

ー

ハ

ード

ハー

–ハ

セキュリティー読み取り装置には、指紋テンプレート、BIOSパスワード、および暗号鍵を保存し保

護するコプロセッサーがあります。

4ClientSecuritySolution8.3デプロイメント・ガイド

テ

リ

ュ

ティ

リテ

ュリ

ィ

テ

リ

ィ

テ

リ

ィー

ティ

リテ

ェ

ウ

ト

ェ

ウ

ト

ェア

ウェ

トウ

ェ

ウ

ド

ェ

ウ

ド

ェア

ウェ

ドウ

・

ー

ィ

・モ

ー・

ィー

能

機

ー

能

機

ー

能

機能

ー機

セ

・

ア

セ

・

ア

セキ

・セ

ア・

セ

・

ア

セ

・

ア

セキ

・セ

ア・

ド

ー

モ

ドの

ード

モー

リ

ュ

キ

リ

ュ

キ

リテ

ュリ

キュ

リ

ュ

キ

リ

ュ

キ

リテ

ュリ

キュ

り

切

の

り替

切り

の切

ー

ィ

テ

ー

ィ

テ

ー:

ィー

ティ

ー

ィ

テ

ー

ィ

テ

ー:

ィー

ティ

え

替

え:

替え

え

替

り

切

の

ド

ー

モ

・

ー

ィ

テ

リ

ュ

キ

第

章

イ

ン

ス

ト

ー

第

章

イ

ン

ス

第

第2

2章

章イ

イン

ンス

本章では、ClientSecuritySolutionおよび指紋認証ソフトウェアをインストールする手順について説明します。ClientSecuritySolutionまたは指紋認証ソフトウェアをインストールする前に、インストールするアプリケーションのアーキテクチャーを理解する必要があります。本章では、各アプリケーションのアーキテクチャー、およびすべてのプログラムをインストールする前に必要な追加情報について説明します。

ト

スト

トー

ル

ー

ル

ール

ル

Client

ClientSecurity

ClientSecuritySolutionのインストール・パッケージは、InstallShield10.5PremierによってBasicMSIプロジェクトとして開発されました。InstallShieldは、Windowsインストーラーを使用してアプリケーションをインストールします。これにより、管理者には、コマンド・ラインからのプロパティ値の設定などの、インストールをカスタマイズする多くの機能が提供されます。この章では、ClientSecuritySolutionセットアップ・パッケージの使用および実行方法について説明します。より正しく理解するために、パッケージのインストールを開始するために、章全体をお読みください。

注

注：

注

ファイルを参照してください。READMEファイルには、ソフトウェア・バージョン、サポートされるシステム、システム要件、およびインストールに役立つその他の考慮事項に関する最新の情報が含まれています。

イ

イン

このセクションでは、ClientSecuritySolutionパッケージをインストールするためのシステム要件を説明します。最良の結果を得るために、次のWebサイトにアクセスして、ソフトウェアが最新版であることを確認してください。

http://www.lenovo.com/support

ClientSecuritySolutionをインストールするには、LenovoPCが次の要件を満たしているか、それ以上であることが必要です。

•オペレーティング・システム:Windows7

•メモリー:256MB以上推奨

•InternetExplorer

•ハードディスク・ドライブ空き容量300MB。

•解像度800x600および24ビット・カラーをサポートするVGA対応ビデオ。

•ユーザーはClientSecuritySolutionをインストールするための管理者権限を持っている必要があります。

Security

SecuritySolution

：

：これらのパッケージをインストールする場合、LenovoWebサイトのClientSecuritySolutionREADME

ン

ス

ト

ン

ンス

–共用メモリー設定の場合、共用メモリーのBIOS設定を8MB以上に設定する必要があります。 –非共用メモリー設定の場合、非共用メモリーは120MB以上必要です。

ー

ス

ト

ー

スト

トー

ール

Solution

ル

要

件

ル

要

件

ル要

要件

件

5.5以降がインストールされている必要があります。

：

注

：

注

：WindowsServer

注：

注

れていません。ただし、WindowsServer2003からの証明書の要求はサポートしています。62 『TPMでの鍵生成を使用した証明書の生成』を参照してください。

カ

ス

タ

カ

カス

ClientSecuritySoftwareプログラムのインストール・パッケージには、インストールの実行時にコマンド・ラインで設定できる、一連のカスタムパブリック・プロパティが含まれています。次の表に、Windowsオペレーティング・システムのカスタム・パブリック・プロパティを示します。

©CopyrightLenovo2008,2011

ム

ス

タ

ム

スタ

タム

ム・

2003へのClientSecuritySolutionインストール・パッケージのデプロイはサポートさ

ページの

・

パ

ブ

リ

ッ

ク

・

プ

ロ

パ

テ

・

パ

ブ

リ

ッ

ク

・

プ

・パ

パブ

ブリ

リッ

ック

ク・

ロ

・プ

プロ

ロパ

ィ

パ

テ

ィ

パテ

ティ

ィ

表 1. パブリック・プロパティ

プ

ロ

パ

テ

プ

プロ

EMULATIONMODE

HALTIFTPMDISABLED

NOCSSWIZARD

CSS_CONFIG_SCRIPT

SUPERVISORPW

PWMGRMODE

NOSTARTMENU

CREATESHORTCUT

ィ

ロ

パ

テ

ィ

ロパ

パテ

ティ

ィ説

説

明

説

明

説明

明

TPMが存在する場合でも、強制的にエミュレーション・モードでインストールを実行するように指定します。エミュレーション・モードでインストールするには、コマンド・ラインでEMULATIONMODE=1と設定します。

TPMが使用不可状態で、インストールがサイレント・モードで実行されている場合、デフォルトではインストールをエミュレーション・モードで進めます。インストールをサイレント・モードで実行するときは、 HALTIFTPMDISABLED=1プロパティを使用して、TPM が使用不可の場合にインストールを停止します。

ClientSecuritySolutionのインストール後にClientSecurity Solution登録ダイアログが自動的に表示されないようにするには、コマンド・ラインでNOCSSWIZARD=1を設定します。このプロパティは、ClientSecuritySolutionはインストールしても、システムの構成は後でスクリプトを使用して行う管理者のために構成されています。

ユーザーがインストールを完了し、再起動した後に構成ファイルを実行するには、CSS_CONFIG_SCRIPT= 『filename』または『filenamepassword』を設定します。

コマンド・ラインでSUPERVISORPW=『password』と設定すると、スーパーバイザー・パスワードが提供され、サイレント・インストール・モードでも非サイレント・インストール・モードでも、チップが使用可能になります。チップが使用不可で、インストールをサイレント・モードで実行する場合、チップを使用可能にするには正しいスーパーバイザー・パスワードを入力する必要があります。パスワードが正しくないと、チップは使用可能になりません。

PasswordManagerのみをインストールするには、コマンド・ラインでPWMGRMODE=1と設定します。

『スタート』メニューにショートカットが生成されないようにするには、コマンド・ラインで NOSTARTMENU=1と設定します。

ス

タ

ー

ト

ス

タ

ー

項目を『スド・ラインでCREATESHORTCUT=1と設定します。

ト

スタ

ター

ート

ト』メニューに追加するには、コマン

TPM

TPM(Trusted

ClientSecuritySolutionバージョン8.3では、PCのエンベデッド・セキュリティー・チップであるTPM (TrustedPlatformModule)がサポートされています。Windowsオペレーティング・システムがサポートする TPMがLenovoPCに組み込まれている場合、ClientSecuritySolutionはWindowsオペレーティング・システムに組み込まれているドライバーを使用します。

TPMはシステムのBIOSによって有効になるため、TPMを使用できるようにするために再起動が必要になる場合があります。Windows7が稼働している場合、システムの起動時にTPMを有効にするかどうかの確認が求められることがあります。

TPMによっていずれかの機能が実施される前に、最初に所有権を初期化する必要があります。各システムは、ClientSecuritySolutionオプションを制御する1人のClientSecuritySolution管理者を持ちます。この管理者は、Windows管理者権限を持っている必要があります。管理者はXMLデプロイメント・スクリプトを使用して初期化することができます。

6ClientSecuritySolution8.3デプロイメント・ガイド

(Trusted

(TrustedPlatform

Platform

PlatformModule)

Module)

Module)の

の

サ

ポ

ー

の

サ

のサ

サポ

ト

ポ

ー

ト

ポー

ート

ト

システムの所有権が構成された後は、このシステムにログインする追加の各Windowsユーザーに、ユーザーのセキュリティー・キーおよびクレデンシャルを登録し初期化するためのプロンプトがClientSecurity セットアップ・ウィザードによって自動的に出されます。

ン

ョ

シ

ー

レ

ュ

ミ

エ

・

ア

ェ

ウ

ト

フ

ソ

の

TPM

の

TPM

のソ

TPMの

TPM

ClientSecuritySolutionには、限定されたシステム上でTPMを使用せずに実行するオプションが用意されています。この機能は、ハードウェア保護キーを使用する代わりにソフトウェア・ベースのキーを使用する以外は同じです。ソフトウェアは、TPMに効力を与える代わりに、常にソフトウェア・ベースのキーを使用するように強制するスイッチでインストールすることが可能です。このスイッチを使用するかどうかはインストール時の決定で、ソフトウェアのアンインストールおよび再インストールをせずに戻すことはできません。

TPMのソフトウェア・エミュレーションを強制する構文は以下の通りです。

InstallFile.exe“/vEMULATIONMODE=1”

イ

ン

ス

イ

ン

ス

イ

イン

ンス

スト

MicrosoftWindowsインストーラーは、コマンド・ライン・パラメーターによって、複数の管理機能を提供します。Windowsインストーラーは、ワークグループによる使用またはカスタマイズのために、アプリケーションまたは製品のネットワークへの管理用インストールを実行できます。コマンド・ライン・オプションには、パラメーターを指定することが必要です。この場合、オプションとパラメーターの間にスペースは入れません。例:

setup.exe/s/v"/qnREBOOT=”R”"

ト

フ

ソ

トウ

フト

ソフ

ト

ー

ト

ー

トー

ール

ア

ェ

ウ

ア・

ェア

ウェ

ル

手

順

ル

手

順

ル手

手順

順お

ミ

エ

・

ミュ

エミ

・エ

お

よ

び

お

よ

び

およ

よび

びコ

ー

レ

ュ

ーシ

レー

ュレ

コ

マ

コ

マ

コマ

マン

ン

ョ

シ

ン

ョン

ショ

ン

ド

・

ラ

イ

ン

・

パ

ラ

メ

ー

タ

ン

ド

・

ラ

イ

ン

・

パ

ラ

ンド

ド・

・ラ

ライ

イン

ン・

・パ

メ

パラ

ラメ

メー

ー

タ

ー

ータ

ター

ー

は有効ですが、

setup.exe/s/v"/qnREBOOT=”R”"

は無効です。

：

注

：

注

：インストールを単独で実行すると(パラメーターを指定せずにsetup.exeを実行すると)、デフォルトで

注：

注

は、インストール終了時にユーザーに再起動を促すプロンプトが出されます。プログラムを正しく機能させるには、再起動する必要があります。上記のセクションおよび例のセクションで示すように、サイレント・インストールではコマンド・ライン・パラメーターを使用して再起動を遅らせることができます。

ClientSecuritySolutionインストール・パッケージの場合、管理用インストールによりインストール・ソース・ファイルが指定された場所に解凍されます。

管理者用インストールを実行するには、セットアップ・パッケージをコマンド・ラインから/aパラメーターを使用して実行します。

setup.exe/a

管理者用インストールは、管理ユーザーにセットアップ・ファイルの解凍先を指定するようプロンプトを出すウィザードを表示します。デフォルトの解凍先はC:です。新しい場所としてC:以外のドライブ(その他のローカル・ドライブ、または割り当てられたネットワーク・ドライブなど)を選択することもできます。新しいフォルダーも、この手順で作成できます。

管理用インストールをサイレント・インストールで実行する場合、解凍先の場所を指定するために、コマンド・ラインで次のように共通プロパティTARGETDIRを設定することができます。

setup.exe/s/v"/qnTARGETDIR=F:TVTRR"

または

msiexec.exe/i"ClientSecurity-PasswordManager.msi"/qnTARGERDIR=F:TVTRR

：

注

：

注

：最新バージョンのWindowsインストーラーを使用していない場合、Windowsインストーラー・エンジ

注：

注

ンが最新バージョンに更新されるようにsetup.exeファイルが構成されます。Windowsインストーラー・エ

第2章.インストール7

ンジンの更新の際、管理者用の展開インストールであってもシステムを再起動するようにプロンプトが出されます。この状態の場合に再起動しないようにするには、WindowsインストーラーのREBOOT プロパティを使用できます。Windowsインストーラーが最新バージョンである場合、setup.exeファイルはWindowsインストーラー・エンジンの更新を試行しません。

管理用インストールが完了した後、管理者はソース・ファイルをカスタマイズ(たとえば、レジストリーに設定値を追加)することができます。

以下のパラメーターと説明は、InstallShield開発者のヘルプ文書に記載されています。基本MSIプロジェクトに適用されないパラメーターは、除かれています。

表 2. パラメーター

パ

ラ

メ

ー

タ

パ

ラ

パ

パラ

ラメ

/a:管理用インストール/aスイッチを指定すると、setup.exeで管理用インストー

ー

メ

ー

タ

ー

メー

ータ

ター

ー説

説

明

説

明

説明

明

ルが実行されます。管理用インストールは、データ・ファイルをユーザーが指定したディレクトリーにコピー (および解凍)しますが、ショートカットの作成、COM サーバーの登録、アンインストール・ログの作成は行いません。

/x:アンインストール・モード

/s:サイレント・モード

/v:Msiexecへの引数の受け渡し

/L:言語のセットアップ

/w:待機

/xスイッチを指定すると、setup.exeは以前にインストールした製品をアンインストールします。

コマンドsetup.exe/sを実行すると、基本MSIインストール・プログラム用のsetup.exe初期設定ウィンドウは表示されず、応答ファイルは読み取られません。基本 MSIプロジェクトでは、サイレント・インストールの場合、応答ファイルは作成も使用もされません。基本 MSI製品をサイレントで実行するには、コマンド・ラインsetup.exe/s/v/qnを実行します。(基本MSIのサイレント・インストールのパブリック・プロパティ値を指定する場合は、setup.exe/s/v"/qnINSTALLDIR=D:Destination" などのコマンドを使用できます。)

/v引数を使用して、msiexe.exeにコマンド・ライン・スイッチとパブリック・プロパティの値を渡します。

ユーザーは、/Lスイッチと10進言語IDを使用して、複数言語インストール・プログラムで使用する言語を指定します。たとえば、ドイツ語を指定するコマンドはsetup.exe/L1031です。

基本MSIプロジェクトで引数/wを指定すると、setup.exe は、インストールが完了するのを待ってから終了します。バッチ・ファイルで/wオプションを使用すると、 setup.exeのコマンド・ライン引数全体をstart/WAITで開始することができます。正しくフォーマットされたコマンドの使用例は、次のとおりです。

start/WAITsetup.exe/w

msiexec.exe

msiexec.exeの

の

使

用

の

使

用

の使

使用

用

カスタマイズした後に解凍したソースからインストールするには、ユーザーはコマンド・ラインで msiexec.exeを実行し、解凍された*.MSIファイルの名前を引き渡します。msiexec.exeは、インストール・パッケージを読み取り、製品をターゲットPCにインストールするために使用するWindowsインストーラーの実行可能プログラムです。

msiexec/i"C:WindowsFolderProlesUserName PersonalMySetupsprojectnameproductcongurationreleasename DiskImagesDisk1productname.msi"

8ClientSecuritySolution8.3デプロイメント・ガイド

：

注

：

注

：上記のコマンドを、円記号の後にスペースを入れずに1行として入力します。

注：

注

次の表では、msiexec.exeで有効なコマンド・ライン・パラメーターと、その使用方法を説明します。

表 3. コマンド・ライン・パラメーター

パ

ラ

メ

ー

タ

パ

ラ

パ

パラ

ラメ

ー

メ

ー

タ

ー

メー

ータ

ター

ー説

説

明

説

明

説明

明

/Ipackageまたはproductcode

/apackage

/xpackageまたはproductcode

/L[i|w|e|a|r|u|c|m|p|v|+]logfile

/q[n|b|r|f]

このフォーマットは製品のインストールに使用します。

Othello:msiexec/i"C:WindowsFolderProles UserNamePersonalMySetups OthelloTrialVersion ReleaseDiskImagesDisk1 OthelloBeta.msi"

製品コードとは、製品のプロジェクト・ビューの製品コード・プロパティで自動的に生成されるグローバル一意識別子(GUID)のことです。

/aオプションにより、管理者権限を持つユーザーは製品をネットワーク上にインストールできます。

/xオプションは、製品をアンインストールします。

/Lオプションを使用して作成すると、ログ・ファイルへのパスが指定されます。以下のフラグは、ログ・ファイルに記録する情報を示しています。

•iは、状況メッセージをログに記録します

•wは、致命的でない警告メッセージをログに記録します

•eは、すべてのエラー・メッセージをログに記録します

•aは、アクション・シーケンスの開始をログに記録します

•rは、アクション固有のレコードをログに記録します

•uは、ユーザー要求をログに記録します

•cは、初期ユーザー・インターフェース・パラメーターをログに記録します

•mは、メモリー不足メッセージをログに記録します

•pは、端末設定をログに記録します

•vは、冗長出力設定をログに記録します

•+は、既存ファイルに付加します

•*は、すべての情報を(冗長出力設定を除いて)ログに記録できるワイルドカード文字です

/qオプションを以下のフラグと併用して、ユーザー・インターフェース・レベルを設定します。

•qまたはqnは、ユーザー・インターフェースを作成しません。

•qbは、基本ユーザー・インターフェースを作成します。

/?または/h

下記のユーザー・インターフェース設定により、インストール終了時にモーダル・ダイアログ・ボックスが表示されます。

•qrは、縮小ユーザー・インターフェースを表示します。

•qfは、完全なユーザー・インターフェースを表示します。

•qn+は、ユーザー・インターフェースを表示しません。

•qb+は、基本ユーザー・インターフェースを表示します。

いずれかのコマンドにより、Windowsインストーラーの著作権情報が表示されます。

第2章.インストール9

表 3. コマンド・ライン・パラメーター ( 続き )

パ

ラ

メ

ー

タ

パ

ラ

パ

パラ

ラメ

TRANSFORMS

Properties

ー

メ

ー

タ

ー

メー

ータ

ター

ー説

説

明

説

明

説明

明

TRANSFORMS

TRANSFORMSコマンド・ライン・パラメーターを使用して、基本パッケー

ジに適用する変換を指定します。

msiexec/i"C:WindowsFolder ProlesUserNamePersonal MySetups YourProjectNameTrialVersion MyRelease-1 DiskImagesDisk1 ProductName.msi"TRANSFORMS="NewTransform1.mst"

複数の変換をセミコロンで分離できます。Windowsインストーラー・サービスが誤って解釈しないように、変換の名前にセミコロンを使用しないでください。

すべてのパブリック・プロパティはコマンド・ラインで設定または変更できます。パブリック・プロパティはプライベート･プロパティと区別され、すべて大文字です。たとえば、COMPANYNAMEはパブリック・プロパティです。

コマンド・ラインからプロパティを設定するには、次の構文を使用します。

PROPERTY=VALUE

COMPANYNAMEの値を変更するには、次のように入力します。

msiexec/i"C:WindowsFolder ProlesUserNamePersonal MySetupsYourProjectName TrialVersionMyRelease-1 DiskImagesDisk1ProductName.msi" COMPANYNAME="InstallShield"

標

準

プ

プロ

TARGETDIR

ARPAUTHORIZEDCDFPREFIX

ARPCOMMENTS

ARPCONTACT

ARPINSTALLLOCATION

Windows

準

Windows

準Windows

Windowsイ

ロ

パ

テ

ィ

ロ

パ

テ

ィ

ロパ

パテ

ティ

ィ説

標

標準

Windowsインストーラーには、一連の標準組み込みパブリック・プロパティがあります。これらのプロパティをコマンド・ラインで設定して、インストール時の特定の動作を指定することができます。下表に、コマンド・ラインで使用される最も一般的なパブリック・プロパティについて説明します。

追加情報については、次のMicrosoftWebサイトを参照してください。 http://msdn2.microsoft.com/en-us/library/aa367437.aspx

次の表に、一般的に使用されるWindowsインストーラーのプロパティを示します。

表 4. Windows インストーラーのプロパティ

イ

ン

ス

ト

ー

ラ

ー

の

パ

ブ

リ

ッ

ク

・

プ

ロ

パ

テ

イ

ン

ス

ト

ー

ラ

ー

の

パ

ブ

リ

ッ

ク

・

プ

イン

ンス

スト

トー

ーラ

ラー

ーの

のパ

パブ

ブリ

リッ

ック

ク・

説

明

説

明

説明

明

インストール用の宛先のルート・ディレクトリーを指定します。管理者用インストールの場合、このプロパティは、インストール・パッケージのコピー先です。

アプリケーションの更新チャネルのURL。

『コントロールパネル』の『プログラムの追加と削除』に『コメント』を提供します。

『コントロールパネル』の『プログラムの追加と削除』に『連絡先』を提供します。

アプリケーションの1次フォルダーへの完全修飾パス。

ロ

・プ

プロ

ロパ

ィ

パ

テ

ィ

パテ

ティ

ィ

10ClientSecuritySolution8.3デプロイメント・ガイド

表 4. Windows インストーラーのプロパティ ( 続き )

プ

ロ

パ

テ

プ

プロ

ARPNOMODIFY

ARPNOREMOVE

ARPNOREPAIR

ARPPRODUCTICON

ARPREADME

ARPSIZE

ARPSYSTEMCOMPONENT

ARPURLINFOABOUT

ARPURLUPDATEINFO

REBOOT

ィ

ロ

パ

テ

ィ

ロパ

パテ

ティ

ィ説

説

明

説

明

説明

明

製品を変更する機能を使用不可にします。

製品を削除する機能を使用不可にします。

『プログラム』ウィザードの『修復』ボタンを使用

不可にします。

インストール・パッケージの基本アイコンを指定し

ます。

『コントロールパネル』の『プログラムの追加と削除』

にREADMEを提供します。

アプリケーションの推定サイズ(KB)。

『プログラムの追加と削除』のリストにアプリケーショ

ンを表示しないようにします。

アプリケーションのホーム・ページのURL。

アプリケーション更新情報のURL。

REBOOTプロパティにより、システムの再起動を促す特定のプロンプトが抑止されます。管理者は通常、一連のインストールを行う際にこのプロパティを使用して、複数の製品を同時にインストールし、最後に一度だけ再起動します。インストール終了時の再起動を使用不可にするには、REBOOT=『R』と設定します。

イ

ン

ス

ト

ー

ル

・

ロ

グ

・

フ

ァ

イ

ン

ス

ト

ー

ル

・

ロ

グ

・

イ

イン

ンス

スト

トー

ール

ル・

・ロ

ログ

ClientSecuritySolutionのインストール・ログ・ファイルはcssinstall83xx.logという名前で、setup.exeファイルでセットアップを起動する(install.exeファイルをダブルクリックするか、パラメーターなしで実行可能ファイルを実行するか、MSIパッケージを解凍してsetup.exeファイルを実行します)と、%temp%ディレクトリーに作成されます。このファイルには、インストール問題のデバッグに使用できるログ・メッセージが含まれています。このログ・ファイルには、『コントロールパネル』の『プ

除

除』アプレットによって実行されたアクティビティーすべてが含まれます。このログ・ファイルは、

除

MSIパッケージから直接setup.exeファイルを実行した場合には作成されません。すべてのMSIアクションのログ・ファイルを作成するには、レジストリー内のログ・ポリシーを使用可能にすることができます。これを行うには、次の値を作成します。

[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsInstaller] "Logging"="voicewarmup"

例

の

ル

ー

ト

ス

ン

イ

ン

イ

ンス

イン

イ

次の表には、setup.exeファイルを使用したインストールの例が示されています。

表 5. setup.exe ファイルを使用したインストールの例

説

明

説

明

説

説明

明例

サイレント・インストール(再起動なし)

管理者用インストール

管理用のサイレント・インストール(ClientSecurity Softwareの解凍先を指定)。

サイレント・アンインストール

ー

ト

ス

ール

トー

スト

例

の

ル

例

の例

ルの

フ

グ・

・フ

ファ

ル

ァ

イ

ル

ァイ

イル

ル

と

加

追

の

ム

ラ

グ

ロ

例

setup.exe/s/v”/qnREBOOT=”R””

setup.exe/a

setup.exe/a/s/v”/qnTARGETDIR=”F: CSS83””

setup.exe/s/x/v/qn

プ

グ

ロ

プ

グラ

ログ

プロ

の

ム

ラ

の追

ムの

ラム

と

加

追

と削

加と

追加

削

第2章.インストール11

表 5. setup.exe ファイルを使用したインストールの例 ( 続き )

説

明

説

明

説

説明

明例

再起動なしのインストール(ClientSecuritySoftwareの tempサブディレクトリーにインストール・ログを作成)

ワークスペースをインストールしないインストール

次の表は、ClientSecurity-PasswordManager.msiを使用したインストールの例です。

表 6. Client Security - Password Manager.msi を使用したインストールの例

説

明

説

明

説

説明

明例

インストール

サイレント・インストール (再起動なし)

サイレント・アンインストール

例

msiexec/i“C:CSS83ClientSecurity Solution-PasswordManager .msi”

msiexec/i“C:CSS83ClientSecurity Solution-PasswordManager .msi”/qnREBOOT=”R”

msiexec/x“C:CSS83ClientSecurity Solution-PasswordManager.msi”/qn

例

setup.exe/v”REBOOT=”R”/L*v%temp% cssinstall83.log”

setup.exe/vPDA=0

ThinkVantage

ThinkVantage指

ThinkVantage指紋認証ソフトウェア・プログラムのsetup.exeファイルは、以下の方法でインストールできます。

サ

イ

レ

サ

サイ

ThinkVantage指紋認証ソフトウェアをサイレント・インストールするには、CD-ROMドライブのインストール・ディレクトリーにあるsetup.exeファイルを実行します。

このときの構文は次のようになります。

Setup.exePROPERTY=VALUE/q/i

ここで、qはサイレント・インストール、iはインストールを表します。例:

setup.exeINSTALLDIR="C:ProgramFilesThinkVantagengerprintsoftware"/q/i

このソフトウェアをアンインストールするには、/iの代わりに/xパラメーターを使用します。

setup.exeINSTALLDIR="C:ProgramFilesThinkVantagengerprintsoftware"/q/x

Options

ThinkVantage指紋認証ソフトウェアでは以下のオプションがサポートされています。

表 7. ThinkVantage 指紋認証ソフトウェアでサポートされるオプション

パ

パラ

CTRLONCE

CTLCNTR

ン

イ

レ

ン

イレ

レン

ント

ラ

メ

ー

タ

ラ

ラメ

ー

メ

ー

タ

ー

メー

ータ

ター

ー説

指

紋

認

証

ソ

フ

ト

ウ

ェ

ア

の

イ

ン

ス

ト

ー

指

紋

認

証

ソ

フ

ト

ウ

ェ

ア

の

イ

ン

指紋

紋認

認証

証ソ

ソフ

フト

トウ

ウェ

ェア

アの

のイ

ト

・

イ

ン

ス

ト

ー

ト

・

イ

ン

ト・

・イ

ス

イン

ンス

スト

ル

ト

ー

ル

トー

ール

ル

ス

イン

ンス

スト

説

明

説

明

説明

明

コントロール・センターを一度だけ表示します。デフォルト値は0です。

•0=起動時にコントロール・センターを表示しません。

•1=起動時にコントロール・センターを表示します。

デフォルト値は1です。

ル

ト

ー

ル

トー

ール

ル

12ClientSecuritySolution8.3デプロイメント・ガイド

表 7. ThinkVantage 指紋認証ソフトウェアでサポートされるオプション ( 続き )

パ

ラ

メ

ー

タ

パ

ラ

パ

パラ

ラメ

ー

メ

ー

タ

ー

メー

ータ

ター

ー説

DEFFUS

説

明

説

明

説明

明

•0=ユーザーの簡易切り替え(FUS)設定を使用しま

せん。

•1=FUS設定を使用します。

デフォルト値は0です。

DEVICEBIO

ユーザーにより使用されるデバイス・タイプを構成

します。

•DEVICEBIO=#3-デバイス・センサーを使用して最

初の登録を保存します。

•DEVICEBIO=#0-ハードディスク・ドライブを使用

して登録を保存します。

•DEVICEBIO=#1-コンパニオン・チップを使用して登

録を保存します。

INSTALLDIR

OEM

インストール・ディレクトリーを設定します。

•0=サーバー・パスポートまたはサーバー認証に関す

るサポートもインストールします。

•1=スタンドアロンPCモードのみ(ローカル・パス

ポート)をインストールします。

デフォルト値は1です。

PASSPORT

デフォルトのパスポート・タイプを設定します。

•1=ローカル・パスポート

•2=サーバー・パスポート

デフォルト値は1です。

POSSSO

•1=シングル・サインオンを有効にします。

•0=シングル・サインオンを無効にします。

デフォルト値は1です。

PSLOGON

•0=指紋ログオンを無効にします。

•1=指紋ログオンを有効にします。

デフォルト値は0です。

REBOOT

ReallySuppressに設定すると、インストール中は、プロンプトを含むすべての再起動を行わないようにします。

SECURITY

•1=保護モードでインストールします。

•0=簡易モードでインストールします。

SHORTCUT

•0=起動時にコントロール・センター・ショートカッ

トを表示しません。

•1=起動時のコントロール・センター・ショートカッ

トの表示を有効にします。

SHORTCUTFOLDER

非管理者ユーザー特権

デフォルト値は0です。

ス

タ

ー

ト

ス

タ

ー

『ス

ト

スタ

ター

ート

ト』メニューのショートカット・フォルダーの

デフォルト名を設定します。

第2章.インストール13

表 7. ThinkVantage 指紋認証ソフトウェアでサポートされるオプション ( 続き )

パ

ラ

メ

ー

タ

パ

ラ

パ

パラ

ラメ

DELETESELF

ENROLLSELF

ENROLLTBX

IMPORTSELF

REVEALPWD

ー

メ

ー

タ

ー

メー

ータ

ター

ー説

説

明

説

明

説明

明

•1=指紋削除を有効にします。

•0=指紋削除を無効にします。

デフォルト値は1です。

•1=指紋登録を有効にします。

•0=指紋登録を無効にします。

デフォルト値は1です。

•1=パワーオン用の指紋の選択を有効にします。

•0=パワーオン用の指紋の選択を無効にします。

デフォルト値は1です。

•1=管理者以外のユーザーによる指紋のインポート/エクスポートを有効にします。

•0=管理者以外のユーザーによる指紋のインポート/エクスポートを無効にします。

デフォルト値は1です。

•1=Windowsパスワードの復元を有効にします。

•0=Windowsパスワードの復元を無効にします。

デフォルト値は1です。

連続再試行に対する保護(ロックアウト設定)

LOCKOUT

LOCKOUTCOUNT

LOCKOUTTIME

認証タイムアウト(非活動設定)

GUITMENABLE

GUITMTIME

PWDLOGON

•1=連続再試行に対する保護を有効にします。

•0=連続再試行に対する保護を無効にします。

デフォルト値は1です。

最大再試行回数。デフォルト値は5で、任意の値を使用できます。

ミリ秒単位のタイムアウト。デフォルト値は120000 で、最大360000までの任意の値を使用できます。

•1=ミリ秒単位の認証タイムアウトを有効にします。

•0=ミリ秒単位の認証タイムアウトを無効にします。

デフォルト値は1です。

認証タイムアウト期間。デフォルト値は120000で、最大360000までの任意の値を使用できます。

•1=管理者以外のユーザーによる指紋認証のみのログオンを有効にします。

•0=管理者以外のユーザーによる指紋認証のみのログオンを無効にします。

デフォルト値は1です。

14ClientSecuritySolution8.3デプロイメント・ガイド

表 7. ThinkVantage 指紋認証ソフトウェアでサポートされるオプション ( 続き )

パ

ラ

メ

ー

タ

パ

ラ

パ

パラ

ラメ

NOPOPPAPCHECK

CSS

：

注

：

注

：すべてのオプションは任意指定です。

注：

注

FingerprintSoftwareをアンインストールするには、/iの代わりに/xパラメーターを使用します。ユーザー・インターフェースからの標準アンインストールの際には、既存のパスポートを削除するかどうか、およびブート・セキュリティー機能を使用不可にするかどうかを選択するためのダイアログが表示されます。サイレント・アンインストール・モードの場合、DELPASパラメーターを使用できます。既存のパスポートを削除する場合、DELPAS値を"1"に設定します。これらのオプションを定義しない場合、または他の値にする場合、パスポートはPC上に残り、ブート・セキュリティーはその後も有効です。ブート・セキュリティーをオンのままにすると、本製品を再インストールしない限りは、ブート・セキュリティー・メモリーで指紋を編集することはできません。たとえば、以下の構文を実行するとします。

msiexec/iSetup.msiDELPAS="1"/q

ー

メ

ー

タ

ー

メー

ータ

ター

ー説

説

明

説

明

説明

明

•0=パワーオン・セキュリティー・オプションを表示

しません。

•1=パワーオン・セキュリティー・オプションを常

に表示します。

デフォルト値は0です。

•0=ClientSecuritySolutionはインストールされていな

いと想定します。

•1=ClientSecuritySolutionがインストールされてい

ると想定します。

デフォルト値は0です。

この場合、製品がアンインストールされ、既存のすべてのパスポートが削除され、ブート・セキュリ

ティーがPC上に残ります。

Lenovo

LenovoFingerprint

LenovoFingerprintSoftwareプログラムのsetup32.exeファイルは、以下の手順を使用してインストールできます。

サ

イ

サ

イ

サ

サイ

イレ

指紋認証ソフトウェアをサイレント・インストールするには、CD-ROMドライブのインストール・ディレクトリーにあるsetup32.exeファイルを実行します。

このときの構文は次のようになります。

setup32.exe/s/v"/qnREBOOT="R""

ソフトウェアをアンインストールするには、構文を実行します。

setup32.exe/x/s/v"/qnREBOOT="R""

Options

LenovoFingerprintSoftwareでは以下のオプションがサポートされています。

Fingerprint

FingerprintSoftware

レ

ン

ト

レ

レン

・

ン

ト

・

ント

ト・

・イ

イ

イン

Software

Softwareの

ン

ス

ン

ス

ンス

スト

の

イ

ン

ス

ト

ー

の

イ

ン

のイ

ト

ー

ル

ト

ー

ル

トー

ール

ル

ス

イン

ンス

スト

ル

ト

ー

ル

トー

ール

ル

第2章.インストール15

表 8. Lenovo Fingerprint Software でサポートされるオプション

パ

ラ

メ

ー

タ

パ

ラ

パ

パラ

ラメ

SHORTCUT

SWAUTOSTART

SWFPLOGON

SWPOPP

SWSSO

SWALLOWENROLL

SWALLOWDELETE

SWALLOWIMEXPORT

SWALLOWSELECT

ー

メ

ー

タ

ー

メー

ータ

ター

ー説

説

明

説

明

説明

明

ス

タ

ー

ト

ス

タ

ー

『スショートカットを表示します。

•0=コントロール・センター・ショートカットを表示

•1=コントロール・センター・ショートカットを表

デフォルト値は0です。

•0=起動時に指紋認証ソフトウェアを開始しません。

•1=起動時に指紋認証ソフトウェアを開始します。

デフォルト値は1です。

•0=指紋ログオン(GINAまたはクレデンシャル・プロ

•1=指紋ログオン(GINAまたはクレデンシャル・プロ

デフォルト値は0です。

•0=パワーオン・パスワードの保護を無効にします。

•1=パワーオン・パスワードの保護を有効にします。

デフォルト値は0です。

•0=シングル・サインオン機能を無効にします。

•1=シングル・サインオン機能を有効にします。

デフォルト値は0です。

•0=管理者以外のユーザーによる指紋の登録を無効

•1=管理者以外のユーザーによる指紋の登録を有効

デフォルト値は1です。

•0=管理者以外のユーザーによる指紋の削除を無効

•1=管理者以外のユーザーによる指紋の削除を有効

デフォルト値は1です。

•0=管理者以外のユーザーによる指紋のインポート/エ

•1=管理者以外のユーザーによる指紋のインポート/エ

デフォルト値は1です。

•0=管理者以外のユーザーが指紋を使用してパワー

•1=管理者以外のユーザーが指紋を使用してパワー

デフォルト値は1です。

ト

スタ

ター

ート

ト』メニューにコントロール・センター・

しません。

示します。

バイダー)を使用しません。

バイダー)を使用します。

にします。

クスポートを無効にします。

クスポートを有効にします。

オン・パスワードを置換することの選択を無効にします。

オン・パスワードを置換することの選択を有効にします。

16ClientSecuritySolution8.3デプロイメント・ガイド

表 8. Lenovo Fingerprint Software でサポートされるオプション ( 続き )

パ

ラ

メ

ー

タ

パ

ラ

パ

パラ

ラメ

SWALLOWPWRECOVERY

SWANTIHAMMER

SWANTIHAMMERRETRIES

SWANTIHAMMERTIMEOUT

SWAUTHTIMEOUT

SWAUTHTIMEOUTVALUE

SWNONADMIFPLOGONONLY

SWSHOWPOWERON

CSS

ー

メ

ー

タ

ー

メー

ータ

ター

ー説

説

明

説

明

説明

明

•0=Windowsパスワードの復元を無効にします。

•1=Windowsパスワードの復元を有効にします。

デフォルト値は1です。

•0=連続再試行に対する保護を無効にします。

•1=連続再試行に対する保護を有効にします。

デフォルト値は1です。

最大再試行回数を指定します。デフォルト値は5です。

注

：

注

：

注

注：

：この設定は、SWANTIHAMMERが有効になっていると

きにのみ、機能します。

タイムアウト期間(秒単位)を指定します。デフォルト

値は120です。

注

：

注

：

注

注：

：この設定は、SWANTIHAMMERが有効になっていると

きにのみ、機能します。

•0=認証タイムアウトを無効にします。

•1=認証タイムアウトを有効にします。

デフォルト値は1です。

認証がタイムアウトになるまでの非アクティブ期間(秒

単位)を指定します。デフォルト値は120です。

注

：

注

：

注

注：

：この設定は、SWAUTHTIMEOUTが有効になっていると

きにのみ、機能します。

•0=管理者以外のユーザーによる指紋認証のみのロ

グオンを無効にします。

•1=管理者以外のユーザーによる指紋認証のみのロ

グオンを有効にします。

デフォルト値は1です。

•0=パワーオン・セキュリティー・オプションを表示

しません。

•1=パワーオン・セキュリティー・オプションを常

に表示します。

デフォルト値は0です。

•0=ClientSecuritySolutionはインストールされていな

いと想定します。

•1=ClientSecuritySolutionがインストールされてい

ると想定します。

デフォルト値は0です。

Systems

SystemsManagement

Management

ManagementServer

Server

Server(SMS)

(SMS)

SystemManagementServer(SMS)のインストールもサポートされています。SMS管理者コンソールを開きます。新規パッケージを作成して標準的なパッケージ・プロパティを設定します。そのパッケージを開き、『プログラム』項目で『新規プログラム』を選択します。コマンド・ラインに次のように入力します。

Setup.exe/myourmiflename/q/i

サイレント・インストールの場合と同じパラメーターを使用できます。

第2章.インストール17

Setupでは、通常はインストール・プロセス終了時に再起動します。インストール中は再起動せず、後で(さらにいくつかのプログラムをインストールしてから)再起動する場合は、プロパティ・リストにREBOOT=『ReallySuppress』を追加します。

18ClientSecuritySolution8.3デプロイメント・ガイド

第

章

第

第3

3章

ClientSecuritySolutionをインストールする前に、ClientSecuritySolutionで選択可能なカスタマイズについて理解する必要があります。この章には、ClientSecuritySolutionのカスタマイズに関する情報およびTPM (TrustedPlatformModule)に関する情報が記載されています。この章では、TPMについてTrustedComputing Group(TCG)によって定義された用語を使用します。TPMについて詳しくは、次のWebサイトを参照してください。

http://www.trustedcomputinggroup.org/

Client

章

Client

章Client

ClientSecurity

Security

SecuritySolution

Solution

Solutionで

で

の

作

で

の

での

の作

業

作

業

作業

業

TPM

TPMの

TPMは、TPMを利用するソフトウェアにセキュリティー関連の機能を提供するために設計されたエンベデッド・セキュリティー・チップです。エンベデッド・セキュリティー・チップは、システムのマザーボードに搭載され、ハードウェア・バスを介して通信します。TPMを導入しているシステムは、暗号鍵を作成して暗号化することができ、同じTPMのみが暗号化を解除することができます。このプロセスは、しばしば鍵のスター・ラッピング鍵は、ストレージ・ルート鍵(SRK)と呼ばれ、TPM自体の内部に保存されるので、鍵の秘密(private)部分は決して公開されません。エンベデッド・セキュリティー・チップは、他のストレージ・キー、署名鍵、パスワード、およびデータの他の小ユニットも保存できます。TPMには記憶容量の制限があるので、SRKはチップ外に記憶するその他の鍵の暗号化に使用されます。SRKはエンベデッド・セキュリティー・チップに残されることは決してないので、保護ストレージの基本になっています。

エンベデッド・セキュリティー・チップの使用はオプションであり、ClientSecuritySolution管理者を必要とします。個人ユーザーでも企業のIT部門でも、TPMは初期設定する必要があります。ハードディスク故障からのリカバリーやシステム・ボードの交換など、その後の操作を行うのはClientSecurity Solution管理者に限定されます。

注

注：

注

トしてから、マスター管理者としてログインし直す必要があります。これで、セキュリティー・チップをアンロックすることができます。2次ユーザーとしてログオンして、認証モードの変換を続けることもできます。この操作は2次ユーザーがログオンすると自動的に行われます。この場合、Client SecuritySolutionによって2次ユーザーのパスワードまたはパスフレーズのプロンプトが出されます。 ClientSecuritySolutionが変更の処理を完了すると、2次ユーザーはセキュリティー・チップのアンロック操作に進むことができます。

の

使

用

の

使

用

の使

使用

用

ラッピング

：

：認証モードを変更するときにセキュリティー・チップをアンロックしようとする場合、ログアウ

と呼ばれ、鍵の開示を防止するのに役立ちます。TPMを備えたシステムでは、マ

Windows

Windows7

Windows7ログオンが有効で、TPMが無効の場合、Windowsログオン機能を無効にしてから、F1BIOSで TPMを無効にする必要があります。この操作を行うと、『セ

た

し

ま

た

し

ま

た。

した

まし

ま protected)

protected)

protected)』というセキュリティー・メッセージが表示されなくなります。

protected)

さらに、クライアント・システムのオペレーティング・システムをアップグレードする場合、Client Securityの登録に失敗しないためにセキュリティー・チップのクリアが必要です。F1BIOSでセキュリティー・チップをクリアするには、システムをコールド起動する必要があります。ウォームリブートの後にこのプロセスを実行しようとすると、セキュリティー・チップをクリアできなくなります。

Client

ClientSecurity

ClientSecuritySolutionについては、2つの主なデプロイメント・アクティビティーである『所有権の取得』と『ユーザー登録』で説明します。ClientSecuritySolutionセットアップ・ウィザードを初めて実行する際に、所有権の取得プロセスとユーザー登録プロセスが、どちらも初期設定時に実行されます。Client

©CopyrightLenovo2008,2011

で

の

のTPM

ロ

プ

・

ロ

プ

・

ロセ

プロ

・プ

Solution

Solutionの

TPM

TPMの

で

7で

での

ン

オ

グ

ロ

。

ロ

。

ログ

。ロ

Security

SecuritySolution

ン

オ

グ

ン・

オン

グオ

の

使

用

の

使

用

の使

使用

用

に

ブ

ィ

テ

ク

ア

非

が

プ

ッ

チ

・

ー

ィ

テ

リ

ュ

キ

セ

セキ

セ

を

ス

セ

を保

スを

セス

で

護

保

でき

護で

保護

の

暗

の

暗

の暗

暗号

せ

ま

き

せん

ませ

きま

号

鍵

号

鍵

号鍵

鍵の

(Security

。

ん

(Securitychip

。(Security

ん。

の

管

理

の

管

理

の管

管理

理

(Security

。

ん

せ

ま

き

で

護

保

を

ス

chip

chiphas

リ

ュ

キ

リテ

ュリ

キュ

has

hasbeen

been

beendeactivated,

ィ

テ

ィー

ティ

deactivated,

deactivated,the

ー

ー・

ッ

チ

・

ップ

チッ

・チ

非

が

プ

非ア

が非

プが

logon

the

logon

the

logonprocess

thelogon

テ

ク

ア

ティ

クテ

アク

process

processcannot

に

ブ

ィ

にな

ブに

ィブ

cannot

cannotbe

り

な

り

な

り

なり

SecuritySolutionセットアップ・ウィザードを完了した特定のWindowsユーザーIDは、ClientSecurity Solution管理者で、アクティブ・ユーザーとして登録されます。システムにログインするその他のユーザーは、すべてClientSecuritySolutionに登録するように自動的に要求されます。

得

取

の

権

有

所

権

有

所

権の

有権

所有

•所単一のWindows管理者のユーザーIDは、唯一のClientSecuritySolution管理者としてシステムに割り当てられます。ClientSecuritySolutionの管理機能は、このユーザーIDにより実行される必要があります。 TPMの許可は、このユーザーのWindowsパスワードか、ClientSecurityパスフレーズのいずれかです。

：

注

：

注

：忘れてしまったClientSecuritySolution管理者パスワードまたはパスフレーズからリカバリーする唯

注：

注

一の方法は、有効なWindowsのアクセス権を使用してこのソフトウェアをアンインストールするか、 BIOS内のセキュリティー・チップをクリアするかのいずれかです。いずれの方法でも、TPMに関連した鍵を介して保護されたデータは、消失します。ClientSecuritySolutionは、忘れてしまったパスワードまたはパスフレーズを自分で復元できるようにするオプション機構も提供します。このため、パスワードまたはパスフレーズは、ユーザー確認のための質問への応答を基にしています。ClientSecurity Solution管理者は、この機能を使用するかしないかを決定します。

ザ

ー

ユ

ザ

ー

ユ

ザー

ーザ

ユー

•ユ所有権の取得プロセスが完了し、ClientSecuritySolution管理者が作成されると、ユーザー・ベース鍵を作成して、現在ログオンしているWindowsユーザーのクレデンシャルを安全に保存することができます。この設計により、複数のユーザーがClientSecuritySolutionに登録し、単一のTPMを利用することができます。ユーザー鍵は、セキュリティー・チップを介して保護されますが、実際にはチップ外のハードディスクに保存されます。この設計では、セキュリティー・チップに構築された実際のメモリーの代わりに、制限のあるストレージ要素としてハードディスク・スペースを作成します。同じセキュア・ハードウェアを利用できるユーザーの数が飛躍的に増大します。

得

取

の

得

取得

の取

録

登

ー

録

登

ー

録

登録

ー登

所

有

権

の

取

所

有

権

所

所有

有権

権の

ClientSecuritySolutionのトラステッド・ルートは、システム・ルート・キー(SRK)です。この移動できない非対称鍵は、TPMのセキュア環境内に生成され、システムに公開されることは決してありません。この鍵を利用する許可は、Windows管理者アカウントによりTPM_TakeOwnershipコマンドの実行中に得られます。ClientSecurityパスフレーズを利用している場合、ClientSecuritySolution管理者のClientSecurityパスフレーズは、TPM許可になり、それ以外の場合はClientSecuritySolution管理者のWindowsパスワードになります。

システム用に作成されたSRKでは、その他の鍵ペアは、作成してTPMの外部に保存できますが、ハードウェア・ベースの鍵によってラップまたは保護されます。TPMはSRKを内蔵するハードウェアであり、ハードウェアは損傷することがあるので、システムへの損傷によりデータ・リカバリーが妨げられないようにするためにリカバリー機構が必要です。

システムをリカバリーするために、システム・ベース鍵(SystemBaseKey)が作成されます。この非対称ストレージ・キーにより、ClientSecuritySolution管理者は、システム・ボード交換や別システムへの計画的移行からリカバリーすることができます。システム・ベース鍵を保護しながら、通常の操作またはリカバリー時にアクセスできるようにするために、このキーの2つのインスタンスが作成され、異なる2つの方法によって保護されます。最初に、システム・ベース鍵は、AES対称鍵を使用して暗号化されます。この鍵は、ClientSecuritySolution管理者のパスワードまたはClientSecurityパスフレーズを知っていれば得ることができます。ClientSecuritySolutionリカバリー・キーのこのコピーは、クリアされたTPMまたはハードウェア障害により交換されたシステム・ボードからのリカバリー専用です。

ClientSecuritySolutionリカバリー・キーの2番目のインスタンスは、SRKによってラップされてキー階層にインポートされます。システム・ベース鍵のこの2つのインスタンスにより、TPMは自身にバインドされた秘密を通常の使用状態で保護することができ、さらにAES鍵を使用して暗号化されているシステム・ベース鍵を介して、障害のあるシステム・ボードをリカバリーすることができます。AES鍵は、 ClientSecuritySolution管理者パスワードまたはClientSecurityパスフレーズによってアンロックされます。次に、システム・リーフ鍵(SystemLeafKey)が作成されます。このキーは、AES鍵など、システム・レベルの機密事項を保護するために作成されます。

得

の

取

得

の取

取得

得

20ClientSecuritySolution8.3デプロイメント・ガイド

次の図に、システム・レベルのキー構造を示します。

System Level Key Structure - Take Ownership

Trusted Platform Module

Encrypted via derived AES Key

Storage Root Private Key

Storage Root Public Key

System Leaf Private Key

System Base Private Key

System Leaf Public Key

System Base Public Key

System Base Private Key

System Base Public Key

If Passphrase

loop n times

CSS Admin PW/PP

One-Way Hash

System Base AES

Protection Key

(derived via output

of hash algorithm)

Auth

図 1. システム・レベルのキー構造 - 所有権取得

ユ

ー

ザ

ー

登

ユ

ー

ザ

ユ

ユー

ーザ

ザー

録

ー

登

録

ー登

登録

録

各ユーザーのデータを同じTPMによって保護するため、各ユーザーは独自のユーザー・ベース鍵を作成します。この移動可能な非対称ストレージ・キーは、2回作成され、各ユーザーのWindowsパスワードまたはClientSecurityパスフレーズから生成された対称AES鍵によって保護されます。

次に、ユーザー・ベース鍵の2番目のインスタンスは、TPMにインポートされ、システムSRKによって保護されます。作成されたユーザー・ベース鍵では、ユーザー・リーフ鍵(UserLeafKey)と呼ばれる第2 非対称鍵が作成されます。ユーザー・リーフ鍵は、インターネット・ログオン情報の保護に使用される PasswordManagerAES鍵、データの保護に使用されるパスワード、およびオペレーティング・システムへのアクセスを防護するWindowsパスワードAES鍵など、個別の秘密事項を保護します。ユーザー・リーフ鍵へのアクセスは、ユーザーのWindowsパスワードまたはClientSecuritySolutionパスフレーズによって制御され、ログオン時には自動的にロックが解除されます。

第3章.ClientSecuritySolutionでの作業21

次の図に、ユーザー・レベルのキー構造を示します。

User Level Key Structure - Enroll User

Trusted Platform Module

Encrypted via derived AES Key

Storage Root Private Key

Storage Root Public Key

User Leaf Private Key

User Base Private Key

User Leaf Public Key

User Base Public Key

Windows PW AES Key

PW Manager AES Key

User Base Private Key

User Base Public Key

If Passphrase

loop n times

User PW/PP

One-Way Hash

User Base AES

Protection Key (derived via output of hash algorithm)

Auth

図 2. ユーザー・レベルのキー構造 - ユーザー登録

録

登

ド

ン

ウ

ラ

グ

ク

ッ

バ

バッ

バ

ClientSecuritySolution8.3は、自動的に開始されるユーザー登録のバックグラウンド登録をサポートします。登録プロセスは、通知を表示せずにバックグラウンドで実行されます。

注

注：

注

ト』メニューまたは『セユーザーがユーザー登録を待機することを示すダイアログが今までどおり表示されます。

ローカル管理者またはドメイン管理者も、次のようにポリシーを編集することで、待機ダイアログを強制的に表示させることができます。

CSS_GUI_ALWAYS_SHOW_ENROLLMENT_PROCESSING

または、次のようにレジストリー・キーを編集します。

HKLMsoftwarepolicieslenovoclientsecuritysolutionGUIoptions AlwaysShowEnrollmentProcessing

AlwaysShowEnrollmentProcessingのデフォルト値は0です。上記のレジストリー・キーが0に設定された場

合は、自動的に開始されるユーザー登録の待機ダイアログは表示されません。このポリシーが1に設定された場合は、登録が開始される方法に関係なく、ユーザー登録中に必ず待機ダイアログが表示されます。

ソ

ソフ

TPMを備えていないコンピューターを使用するユーザーの経験レベルを一貫して高めるため、CSSは TPMエミュレーション・モードをサポートしています。

グ

ク

ッ

グラ

クグ

ック

：

：バックグラウンド登録は、自動的に開始されるユーザー登録の場合にのみ、使用できます。『スター

フ

ト

ウ

フ

ト

ウ

フト

トウ

ウェ

ン

ウ

ラ

ンド

ウン

ラウ

ェ

ア

ェ

ア

ェア

ア・

録

登

ド

録

登録

ド登

ュ

キ

セ

ュ

キ

セ

ュリ

キュ

セキ

・

エ

ミ

・

エ

ミ

・エ

エミ

ミュ

リ

リテ

ュ

ュレ

テ

ティ

設

ー

ィ

設定

ー設

ィー

レ

ー

シ

レ

ー

シ

レー

ーシ

ショ

リ

の

定

リセ

のリ

定の

ョ

ン

ョ

ン

ョン

ン

ト

ッ

セ

ト』から手動で開始されるユーザー登録の場合は、

ット

セッ

ト

ッ

セ

リ

の

定

設

ー

ィ

TPMエミュレーション・モードは、トラステッド・ソフトウェア・ベース・ルートです。ユーザーは、 TPMによって提供されるのと同じ機能(デジタル署名、対称鍵暗号化解除、RSA鍵のインポート、保護、および乱数生成など)を使用可能ですが、トラステッド・ルートはソフトウェア・ベースの鍵であるので、セキュリティーは低下します。

22ClientSecuritySolution8.3デプロイメント・ガイド

TPMエミュレーション・モードを、TPMのセキュアな代替として使用することはできません。TPMは、 TPMエミュレーション・モードよりセキュアな、次の2つの鍵保護方法を提供します。

•TPMによって使用されるすべての鍵が、固有のルート・レベル鍵によって保護されます。固有のルート・レベル鍵は、TPM内部に作成され、TPM外部で表示したり使用したりすることはできません。TPMエミュレーション・モードでは、ルート・レベル鍵は、ハードディスク・ドライブに保存されたソフトウェア・ベース鍵です。

•すべての秘密鍵操作はTPM内部で実行されるので、鍵の秘密鍵の材料が、TPM外部に露出することはありません。TPMエミュレーション・モードでは、すべての秘密鍵操作がソフトウェア内で実行されるので、秘密鍵の材料は保護されません。

TPMエミュレーション・モードは主に、セキュリティーにはあまり関心がなく、システムのログオン速度に強い関心を持つユーザー向けです。

シ

ス

テ

ム

・

ボ

ー

ド

の

交

シ

ス

テ

ム

・

ボ

ー

シ

シス

ステ

テム

ム・

・ボ

システム・ボードを交換するということは、鍵がバインドされていた旧SRKがもはや無効になり、別の

SRKが必要とされていることが推測されます。これはTPMがBIOSによりクリアされても起こります。

ClientSecuritySolution管理者は、システムのクレデンシャルを新規SRKにバインドすることを要求されます。システム・ベース鍵は、ClientSecuritySolution管理者クレデンシャルから得たシステム・ベースAES 保護鍵により暗号化を解除する必要があります。

ClientSecuritySolution管理者がドメイン・ユーザーIDであり、そのユーザーIDのパスワードが別のPC 上で変更されていた場合、リカバリーを必要とするシステムにログオンするときに最後に使用されたパスワードが、リカバリーのためにシステム・ベース鍵の暗号化を解除するために既知である必要があります。たとえば、デプロイメント中に、ClientSecuritySolution管理者のユーザーIDとパスワードが構成されており、このユーザーのパスワードが別のマシン上で変更されている場合は、デプロイメント中に設定された元のパスワードは、このシステムをリカバリーするための必須権限になります。

ド

ボー

ード

ドの

換

の

交

換

の交

交換

換

以下のステップに従って、システム・ボードの交換を実施してください。

1.ClientSecuritySolution管理者は、オペレーティング・システムにログオンする。

2.ログオン実行コード(cssplanarswap.exe)は、セキュリティー・チップが使用不可になっていることを認識し、使用可能にするために再起動を要求する(このステップは、BIOSによりセキュリティー・チップを使用可能にすることで回避できます)。

3.システムが再起動され、セキュリティー・チップが使用可能になる。

4.ClientSecuritySolution管理者がログオンし、次に、新規TakeOwnershipプロセスが完了する。

5.システム・ベース鍵は、ClientSecuritySolution管理者の認証によって得られるシステム基本AES保護鍵を使用して暗号化を解除される。システム・ベース鍵は、新規SRKにインポートされて、システム・リーフ鍵とそれによって保護されているすべてのクレデンシャルを再設定します。

6.これで、システムはリカバリーされます。

：

注

：

注

：システム・ボードの交換は、エミュレーション・モードの使用時は必要ありません。

注：

注

第3章.ClientSecuritySolutionでの作業23

次の図に、マザーボード・スワップ(所有権取得)の構造を示します。

Motherboard Swap - Take Ownership

Trusted Platform Module

Decrypted via derived AES Key

System Leaf Private Key

Store Leaf Private Key

System Leaf Public Key

Store Leaf Public Key

System Base Private Key

System Base Public Key

If Passphrase

loop n times

CSS Admin PW/PP

One-Way Hash

System Base AES

Protection Key (derived via output of hash algorithm)

Motherboard Swap - Enroll User

Trusted Platform Module

Decrypted via derived AES Key

Storage Root Private Key

Storage Root Public Key

User Leaf Private Key

User Leaf Public Key

Windows PW AES Key

PW Manager AES Key

User Base Private Key

User Base Public Key

If Passphrase

loop n times

User PW/PP

One-Way Hash

User Base AES

Protection Key

(derived via output

of hash algorithm)

図 3. システム・ボードの交換 - 所有権取得

各ユーザーがシステムにログオンする度に、ユーザー・ベース鍵がユーザー認証から得られるユーザー・ベースAES保護鍵により自動的に暗号化を解除され、ClientSecuritySolution管理者により作成された新規 SRKにインポートされます。次の図に、マザーボード・スワップ(ユーザー登録)の構造を示します。

セキュリティー・チップのクリア後、またはマザーボードの交換後に2次ユーザーをログインさせるには、マスター管理者としてログインする必要があります。マスター管理者には鍵を復元するためのプロンプトが出されます。鍵の復元が完了したら、PolicyManagerを使用してClientSecurityのWindows ログオンを無効にします。残りのユーザーはそれぞれの鍵を復元できます。すべての2次ユーザーがそれぞれの鍵を復元したら、マスター管理者はClientSecuritySolutionのWindowsログオン機能を有効にすることができます。

次の図に、マザーボード・スワップ(ユーザー登録)の構造を示します。

図 4. マザーボード・スワップ - ユーザー登録

24ClientSecuritySolution8.3デプロイメント・ガイド

EFS

保

護

ユ

ー

テ

ィ

リ

テ

ィ

EFS

保

護

ユ

ー

テ

ィ

EFS

EFS保

保護

護ユ

ユー

ーテ

ClientSecuritySolutionは、ファイルおよびフォルダーを暗号化するためにEncryptingFileSystem(EFS)が使用する暗号化証明書を、TPMに基づいて保護できるようにするコマンド・ライン・ユーティリティーを提供します。このユーティリティーは、サード・パーティー証明書(認証局が生成する証明書)の転送をサポートし、さらに自己署名証明書の生成もサポートします。

ClientSecuritySolutionによるEFS証明書の保護とは、EFS証明書に関連する秘密鍵がTPMによって保護されることを意味します。この証明書へのアクセスは、ユーザーがClientSecuritySolutionで認証された後に認可されます。

TPMが有効でない場合、EFS証明書はClientSecuritySolutionが提供するTPMエミュレーターを使用して保護されます。EFS証明書がClientSecuritySolutionによって保護されるようにするには、Client SecuritySolutionへの登録が必要です。

：

告

警

：

告

警

：

告：

警告

警

Security

Client

Security

Client

SecuritySolution

ClientSecurity

Client

、

合

場

た

た場

たス

ス

スで

ス

TPMが反応しなくなった場合、ClientSecuritySolutionはマザーボードを交換した後に暗号化されたデータへ再びアクセスできるようになります。

EFS

EFSコ

EFS

次の表に、EFSでサポートされるコマンド・ライン・パラメーターを示します。

、

合

場

、Client

合、

場合

ま

き

で

ま

き

で

ませ

きま

でき

コ

コマ

Solution

Solutionと

Security

Client

Security

Client

SecuritySolution

ClientSecurity

。

ん

せ

。

ん

せ

。

ん。

せん

・

ド

ン

マ

マン

・

ド

ン

・ラ

ド・

ンド

リ

ティ

ィリ

リテ

Encrypting

と

Encrypting

と

EncryptingFile

とEncrypting

Solution

Solutionま

・

ン

イ

ラ

ライ

・

ン

イ

・ユ

ン・

イン

ー

テ

ィ

ー

ティ

ィー

ー

化

号

暗

を

ー

ダ

ル

ォ

フ

び

よ

お

ル

イ

ァ

フ

て

し

用

使

を

System

File

System

File

System(EFS)

FileSystem

TPM

は

た

ま

また

ユ

ユー

TPM

は

た

TPMが

はTPM

たは

ィ

テ

ー

ィ

テ

ー

ィリ

ティ

ーテ

(EFS)

(EFS)を

用

使

が

用

使

が

用で

使用

が使

ー

ィ

テ

リ

リテ

ー

ィ

テ

ーの

ィー

ティ

用

使

を

用し

使用

を使

な

き

で

な

き

で

ない

きな

でき

使

の

使

の

使用

の使

フ

て

し

ファ

てフ

して

合

場

い

合

場

い

合に

場合

い場

用

ル

イ

ァ

ルお

イル

ァイ

暗

は

に

暗

は

に

暗号

は暗

には

び

よ

お

びフ

よび

およ

さ

化

号

さ

化

号

され

化さ

号化

ル

ォ

フ

ルダ

ォル

フォ

フ

た

れ

フ

た

れ

ファ

たフ

れた

を

ー

ダ

を暗

ーを

ダー

ル

イ

ァ

ル

イ

ァ

ルに

イル

ァイ

化

号

暗

化し

号化

暗号

セ

ク

ア

に

にア

セ

ク

ア

セ

クセ

アク

し

表 9. EFS でサポートされるコマンド・ライン・パラメーター

パ

ラ

メ

ー

タ

パ

ラ

パ

パラ

ラメ

/generate:<size>

/sn:xxxxxx

/cn:yyyyyy

/firstavail

/silent

/?または/hまたは/help

サイレント・モードで実行されていない場合、このユーティリティーは以下のいずれかのエラーを

戻します。

0-"Commandcompletedsuccessfully" 1-"ThisutilityrequiresWindowsXP" 2-"ThisutilityrequiresClientSecuritySolutionversion8.0" 3-"ThecurrentuserisnotenrolledwithClientSecuritySolution" 4-"Thespeciedcerticatecouldnotbefound" 5-"Unabletogenerateaself-signedcerticate” 6-"NoEFScerticatesweref ound"

ー

メ

ー

タ

ー

メー

ータ

ター

ー説

説

明

説

明

説明

明

自己署名証明書を生成し、その証明書をEFSに関連付けます。<size>を指定すると、生成される鍵は指定されたビット・サイズのものになります。有効な値は、 512、1024、および2048です。値を指定しない場合、または無効値を指定すると、デフォルトで1024ビットの鍵が生成されます。

転送してEFSと関連付ける既存の証明書のシリアル番号を指定します。

転送してEFSと関連付ける既存の証明書の名前(『発行先』)を指定します。

最初に使用可能な既存のEFS証明書を転送してEFSと関連付けます。

出力を表示しません。プログラム終了時に値によって提供される戻りコード。

ヘルプ情報を表示します。

第3章.ClientSecuritySolutionでの作業25

7-"UnabletoassociatethecerticatewithEFS”

サイレント・モードで実行されている場合、プログラムの出力は、上記に示すエラー番号に対応するエラー・レベルになります。

XML

XMLス

XMLスクリプト記述の目的は、IT管理者がClientSecuritySolutionのデプロイおよび構成に使用できるカスタム・スクリプトを作成できるようにすることです。スクリプトはxml_crypt_tool実行可能モジュールによって保護できます(AES暗号化などのパスワードを使用)。いったん作成されると、仮想PC (vmserver.exe)は、入力としてスクリプトを受け入れます。仮想マシンは、ClientSecuritySolutionセットアップ・ウィザードと同一のファンクションを呼び出して、ソフトウェアを構成します。

すべてのスクリプトは、XMLエンコード・タイプ、XMLスキーマ、および実行する1つ以上の機能を指定する1つのタグより構成されています。スキーマは、XMLファイルを検証し、必須パラメーターがそろっていることを確認するために使用されます。スキーマの使用は、現在、推奨されていません。各ファンクションは、ファンクション・タグで囲まれています。各ファンクションにはORDERが含まれています。これは、コマンドが仮想PC(vmserver.exe)によって実行される順番を指定します。各ファンクションには、バージョン番号も含まれます。現在、すべてのファンクションはバージョン1.0です。以下のスクリプト例には、それぞれ1つのファンクションのみが含まれています。しかし、実際のスクリプトには複数のファンクションが含まれる可能性が高くなります。ClientSecuritySolutionセットアップ・ウィザードを使用すれば、このようなスクリプトを作成できます。セットアップ・ウィザードによるスクリプト作成の追加情報については、36 ウィザード』を参照してください。

注

注：

注

が残されている場合は、システムのデフォルトのPC名が使用されます。

例

ス

キ

ー

マ

の

使

ス

キ

ー

スキ

：

：ドメイン名を必要とするファンクションのいずれかに、パラメーター<DOMAIN_NAME_PARAMETER>

マ

キー

ーマ

マの

用

の

使

用

の使

使用

用

ページの『ClientSecuritySolutionセットアップ・

以下のコマンドは、XMLスキーマの例です。

ENABLE_TPM_FUNCTION

このコマンドは、TPMを使用可能にし、引数SYSTEM_PAPを使用します。システムに既にBIOS管理者またはスーパーバイザー・パスワードが設定されている場合は、この引数を指定する必要があります。それ以外の場合、このコマンドはオプションです。

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment> <FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENABLE_TPM_FUNCTION</COMMAND> <VERSION>1.0</VERSION> <SYSTEM_PAP>PASSWORD</SYSTEM_PAP> </FUNCTION>

</CSSFile>

：

注

：

注

：このコマンドは、エミュレーション・モードではサポートされていません。

注：

注

DISABLE_TPM_FUNCTION

このコマンドは引数SYSTEM_PAPを使用します。システムに既にBIOS管理者またはスーパーバイザー・パスワードが設定されている場合は、この引数を指定する必要があります。それ以外の場合、このコマンドはオプションです。

<tvt_deploymentxmlns="http://www.lenovo.com"

26ClientSecuritySolution8.3デプロイメント・ガイド

xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment <FUNCTION> <ORDER>0001</ORDER> <COMMAND>DISABLE_TPM_FUNCTION</COMMAND> <VERSION>1.0</VERSION> <SYSTEM_PAP>password</SYSTEM_PAP> </FUNCTION>

</CSSFile>

：

注

：

注

：このコマンドは、エミュレーション・モードではサポートされていません。

注：

注

ENABLE_PWMGR_FUNCTION

このコマンドは、すべてのClientSecuritySolutionユーザーに対してPasswordManagerを使用可能にします。

<?xmlversion="1.0"encoding="UTF-8"standalone="no"?> <CSSFilexmlns="www.lenovo.com/security/CSS">

<FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENABLE_PWMGR_FUNCTION</COMMAND> <VERSION>1.0</VERSION> </FUNCTION>

</CSSFile>

ENABLE_CSS_GINA_FUNCTION

WindowsXP、WindowsVista、およびWindows7の場合、次のコマンドでClientSecuritySolutionログオンが可能になります。

-<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment <FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENABLE_CSS_GINA_FUNCTION</COMMAND> <VERSION>1.0</VERSION> </FUNCTION>

</CSSFile>

ENABLE_UPEK_GINA_FUNCTION

：

注

：

注

：

注：

注

1.このコマンドはThinkVantage指紋認証ソフトウェア専用です。

2.このコマンドは、エミュレーション・モードではサポートされていません。

次のコマンドでは、ThinkVantage指紋認証によるWindowsログオンが有効になり、ClientSecuritySolution

によるWindowsログオンが無効になります。

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment> <FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENABLE_UPEK_GINA_FUNCTION</COMMAND> <VERSION>1.0</VERSION> </FUNCTION>

</CSSFile>

第3章.ClientSecuritySolutionでの作業27

ENABLE_UPEK_GINA_WITH_FUS_FUNCTION

：

注

：

注

：

注：

注

1.このコマンドはThinkVantage指紋認証ソフトウェア専用です。

2.このコマンドは、エミュレーション・モードではサポートされていません。

次のコマンドでは、ユーザーの簡易切り替えがサポートされるログオンが有効になり、ClientSecurity SolutionによるWindowsログオンが無効になります。PCがドメイン環境にある場合には、ユーザーの簡易切り替えは無効です。これは、Microsoftの設計です。

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment <FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENABLE_UPEK_GINA_WIH_FUS_FUNCTION</COMMAND> <VERSION>1.0</VERSION> </FUNCTION>

</CSSFile>

ENABLE_AUTHENTEC_GINA_FUNCTION

：

注

：

注

：

注：

注

1.このコマンドはLenovoFingerprintSoftware専用です。

2.このコマンドは、エミュレーション・モードではサポートされていません。

次のコマンドでは、LenovoFingerprintによるWindowsログオンが有効になり、ClientSecuritySolutionによるWindowsログオンが無効になります。

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment> <FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENABLE_AUTHENTEC_GINA_FUNCTION</COMMAND> <VERSION>1.0</VERSION> </FUNCTION>

</CSSFile>

ENABLE_AUTHENTEC_GINA_WITH_FUS_FUNCTION

：

注

：

注

：

注：

注

1.このコマンドはLenovoFingerprintSoftware専用です。

2.このコマンドは、エミュレーション・モードではサポートされていません。

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment <FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENABLE_AUTHENTEC_GINA_WIH_FUS_FUNCTION</COMMAND> <VERSION>1.0</VERSION>

28ClientSecuritySolution8.3デプロイメント・ガイド

</FUNCTION>

</CSSFile>

ENABLE_NONE_GINA_FUNCTION

ThinkVantage指紋認証ソフトウェア、ClientSecuritySolution、またはAccessConnectionsなどのThinkVantage Technology関連コンポーネントのいずれかのGINAまたはCP(クレデンシャル・プロバイダー)が使用可能な場合、このコマンドはThinkVantage指紋認証ソフトウェアのログオンとClientSecuritySolutionのログオンの両方を使用不可にします。

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment <FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENABLE_CSS_NONE_FUNCTION</COMMAND> <VERSION>1.0</VERSION> </FUNCTION>

</CSSFile>

：

注

：

注

：このコマンドは、エミュレーション・モードではサポートされていません。

注：

注

SET_PP_FLAG_FUNCTION

このコマンドは、ClientSecurityパスフレーズを使用するか、Windowsパスワードを使用するかを確認するために、ClientSecuritySolutionが読み取るフラグを書き込みます。

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment <FUNCTION> <ORDER>0001</ORDER> <COMMAND>SET_PP_FLAG_FUNCTION</COMMAND> <PP_FLAG_SETTING_PARAMETER>USE_CSS_PP</PP_FLAG_SETTING_PARAMETER> <VERSION>1.0</VERSION> </FUNCTION>

</CSSFile>

：

注

：

注

：このコマンドは、エミュレーション・モードではサポートされていません。

注：

注

SET_ADMIN_USER_FUNCTION

このコマンドは、管理者を確認するためにClientSecuritySolutionが読み取るフラグを書き込みます。パラ

メーターは次のとおりです。

USER_NAME_PARAMETER

•USER_NAME_PARAMETER 管理者のユーザー名。

DOMAIN_NAME_PARAMETER

•DOMAIN_NAME_PARAMETER 管理者のドメイン名。

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment <FUNCTION> <ORDER>0001</ORDER> <COMMAND>SET_ADMIN_USER_FUNCTION</COMMAND> <USER_NAME_PARAMETER>sabedi</USER_NAME_PARAMETER>

第3章.ClientSecuritySolutionでの作業29

<DOMAIN_NAME_PARAMETER>IBM-2AA92582C79<DOMAIN_NAME_PARAMETER> <VERSION>1.0</VERSION> <SYSTEM_PAP>PASSWORD</SYSTEM_PAP> </FUNCTION>

</CSSFile>

：

注

：

注

：このコマンドは、エミュレーション・モードではサポートされていません。

注：

注

INITIALIZE_SYSTEM_FUNCTION

このコマンドは、ClientSecuritySolutionシステム機能を初期設定します。システム全体の鍵は、このファンクション呼び出しにより生成されます。次のパラメーター・リストで、各ファンクションについて説明します。

NEW_OWNER_AUTH_DATA_PARAMETER

•NEW_OWNER_AUTH_DATA_PARAMETER このパラメーターは、システムの新規所有者パスワードを設定するために使用されます。新規所有者パスワードの場合、このパラメーターの値は現行所有者パスワードにより制御されます。現行所有者パスワードが設定されていない場合、このパラメーターの値が渡されて新規所有者パスワードになります。現行所有者パスワードが既に設定され、管理者が同じ現行の所有者パスワードを使用する場合は、このパラメーターの値が渡されます。管理者が新規所有者パスワードを使用する場合、新規所有者パスワードがこのパラメーターに渡されます。

CURRENT_OWNER_AUTH_DATA_PARAMETER

•CURRENT_OWNER_AUTH_DATA_PARAMETER このパラメーターは、システムの現行所有者パスワードです。既にシステムに既存の所有者パスワードがある場合は、このパラメーターは前のパスワードを渡す必要があります。新規所有者パスワードが要求される場合、現行所有者パスワードがこのパラメーターに渡されます。パスワード変更が構成されていない場合は、値NO_CURRENT_OWNER_AUTHが渡されます。

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment <FUNCTION> <ORDER>0001</ORDER> <COMMAND>INITIALIZE_SYSTEM_FUNCTION</COMMAND> <NEW_OWNER_AUTH_DATA_PARAMETER>pass1word</NEW_OWNER_AUTH_DATA_ PARAMETER> <CURRENT_OWNER_AUTH_DATA_PARAMETER>No_CURRENT_OWNER_AUTH</CURRENT _OWNER_AUTH_DATA_PARAMETER> <VERSION>1.0</VERSION> </FUNCTION>

</CSSFile>

CHANGE_TPM_OWNER_AUTH_FUNCTION

このコマンドは、ClientSecuritySolution管理者権限を変更し、それに応じてシステム鍵を更新します。システム全体の鍵は、このファンクション呼び出しにより再生成されます。パラメーターは次のとおりです。

•NEW_OWNER_AUTH_DATA_PARAMETER TPMの新規所有者パスワード

•CURRENT_OWNER_AUTH_DATA_PARAMETER TPMの現行所有者パスワード

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment <FUNCTION> <ORDER>0001</ORDER>

30ClientSecuritySolution8.3デプロイメント・ガイド

<COMMAND>CHANGE_TPM_OWNER_AUTH_FUNCTION</COMMAND> <NEW_OWNER_AUTH_DATA_PARAMETER>newPassWord</NEW_OWNER_AUTH_DATA_ PARAMETER> <CURRENT_OWNER_AUTH_DATA_PARAMETER>oldPassWord</CURRENT_OWNER_AUTH _DATA_PARAMETER> <VERSION>1.0</VERSION> </FUNCTION>

</CSSFile>

：

注

：

注

：このコマンドは、エミュレーション・モードではサポートされていません。

注：

注

ENROLL_USER_FUNCTION

このコマンドは、ClientSecuritySolutionを使用する特定のユーザーを登録します。このファンクションは、ユーザー固有のセキュリティー・キーのすべてを所定のユーザーに作成します。パラメーターは次のとおりです。

USER_NAME_PARAMETER

•USER_NAME_PARAMETER

登録するユーザーのユーザー名

DOMAIN_NAME_PARAMETER

•DOMAIN_NAME_PARAMETER

登録するユーザーのドメイン名

USER_AUTH_DATA_PARAMETER

•USER_AUTH_DATA_PARAMETER

ユーザーのセキュリティー・キーを作成するためのTPMパスフレーズまたはWindowsパスワード

WIN_PW_PARAMETER

•WIN_PW_PARAMETER

Windowsパスワード

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment <FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENROLL_USER_FUNCTION</COMMAND> <USER_NAME_PARAMETER>sabedi</USER_NAME_PARAMETER> <DOMAIN_NAME_PARAMETER>IBM-2AA92582C79<DOMAIN_NAME_PARAMETER> <USER_AUTH_DATA_PARAMETER>myCssUserPassPhrase</USER_AUTH_DATA_PARAMETER>

<WIN_PW_PARAMETER>myWindowsPassword</WIN_PW_PARAMETER> <VERSION>1.0</VERSION> </FUNCTION>

</CSSFile>

USER_PW_RECOVERY_FUNCTION

このコマンドは、特定ユーザーのパスワード・リカバリーをセットアップします。パラメーターは次のとおりです。

USER_NAME_PARAMETER

•USER_NAME_PARAMETER

登録するユーザーのユーザー名

DOMAIN_NAME_PARAMETER

•DOMAIN_NAME_PARAMETER

登録するユーザーのドメイン名

USER_PW_REC_QUESTION_COUNT

•USER_PW_REC_QUESTION_COUNT

ユーザーが応答しなければならない質問の数

USER_PW_REC_ANSWER_DATA_PARAMETER

•USER_PW_REC_ANSWER_DATA_PARAMETER

特定の質問に対する、保存されている応答。このパラメーターの実名には、応答される質問に対応する番号が連結しています。

第3章.ClientSecuritySolutionでの作業31

USER_PW_REC_STORED_PASSWORD_PARAMETER

•USER_PW_REC_STORED_PASSWORD_PARAMETER 質問のすべてが正確に応答されると、ユーザーに示される保存されたパスワード。

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment <FUNCTION> <ORDER>0001</ORDER> <COMMAND>USER_PW_RECOVERY_FUNCTION</COMMAND> <USER_NAME_PARAMETER>sabedi</USER_NAME_PARAMETER> <DOMAIN_NAME_PARAMETER>IBM-2AA92582C79<DOMAIN_NAME_PARAMETER> <USER_PW_REC_ANSWER_DATA_PARAMETER>Test1</USER_PW_REC_ANSWER_DATA_PARA METER> <USER_PW_REC_ANSWER_DATA_PARAMETER>Test2</USER_PW_REC_ANSWER_DATA_PARA METER> <USER_PW_REC_ANSWER_DATA_PARAMETER>Test3</USER_PW_REC_ANSWER_DATA_PARA METER> <USER_PW_REC_QUESTION_COUNT>3</USER_PW_REC_QUESTION_COUNT> <USER_PW_REC_QUESTION_LIST>20000,20001,20002</USER_PW_REC_QUESTION_LIST> </USER_PW_REC_STORED_PASSWORD_PARAMETER>Pass1word</USER_PW_REC_STORED_PASS WORD_PARAMETER> <VERSION>1.0</VERSION> </FUNCTION>

</CSSFile>

GENERATE_MULTI_FACTOR_DEVICE_FUNCTION

このコマンドは、認証に使用されるClientSecuritySolutionの多層デバイスを生成します。パラメーターは次のとおりです。

•USER_NAME_PARAMETER-管理者のユーザー名。

•DOMAIN_NAME_PARAMETER-管理者のドメイン名。

•MULTI_FACTOR_DEVICE_USER_AUTH-ユーザーのセキュリティー・キーを作成するためのClient SecurityパスフレーズまたはWindowsパスワード。

<?xmlversion="1.0"encoding="UTF-8"standalone="no"?> <CSSFile=xmlns="www.ibm.com/security/CSS">

<FUNCTION> <ORDER>0001</ORDER> <COMMAND>GENERATE_MULTI_FACTOR_DEVICE_FUNCTION</COMMAND> <USER_NAME_PARAMETER>myUserName</USER_NAME_PARAMETER> <DOMAIN_NAME_PARAMETER>domainName</DOMAIN_NAME_PARAMETER> <MULTI_FACTOR_DEVICE_USER_AUTH>myCssUserPassPhrase</MUL TI_FACTOR_DEVICE_USER_AUTH> <VERSION>1.0</VERSION> </FUNCTION>

</CSSFile>

SET_USER_AUTH_FUNCTION

このコマンドは、ClientSecuritySolutionのユーザー認証を設定します。

<?xmlversion="1.0"encoding="UTF-8"standalone="no"?> <CSSFile=xmlns="www.ibm.com/security/CSS">

<FUNCTION> <ORDER>0001</ORDER> <COMMAND>SET_USER_AUTH_FUNCTION</COMMAND> <VERSION>1.0</VERSION> </FUNCTION>

</CSSFile>

32ClientSecuritySolution8.3デプロイメント・ガイド

RSA

SecurID

RSA

SecurID

RSA

RSASecurID

SecurIDト

データ暗号化の暗号化アルゴリズム方式を利用すると、ClientSecuritySolutionに加えてRSASecurIDトークンを使用することにより、お客様の企業に多層セキュリティーが提供されます。RSASecurIDトークンを使用して、ユーザーはユーザーIDまたはPIN、およびトークン・デバイスを使用してネットワークやソフトウェアで認証され、ログインすることができます。トークン・デバイスは、60秒ごとに変わる数字のストリングを表示します。この認証方式では、再使用可能なパスワードと比較して格段に信頼性の高いユーザー認証が可能になります。

RSA

SecurID

RSA

SecurID

RSA

RSASecurID

SecurIDソ

RSASecurIDソフトウェアをインストールするには、次のステップを実行します。

1.次のWebサイトに移動します。 http://www.rsasecurity.com/node.asp?id=1156

2.登録プロセスを完了します。

3.RSASecurIDソフトウェアをダウンロードおよびインストールします。

要

件

要

件

要

要件

件

1.RSAソフトウェアがClientSecuritySolutionと関連付けられた後に正しく動作するには、各Windows ユーザーがClientSecuritySolutionに登録する必要があります。

2.WindowsユーザーがClientSecuritySolutionに登録していないと、そのユーザーを認証しようとして、RSAソフトウェアはエンドレス・ループに陥ります。ユーザーをClientSecuritySolutionに登録するとこの問題は解決します。

ト

ー

ク

ン

の

使

ト

ー

ク

トー

ソ

フ

ソ

フ

ソフ

フト

ン

ーク

クン

ンの

ト

ウ

ェ

ト

ウ

ェ

トウ

ウェ

ェア

用

の

使

用

の使

使用

用

ア

・

ト

ー

ク

ン

の

イ

ン

ス

ト

ー

ア

・

ト

ー

ク

ン

の

イ

ン

ア・

・ト

トー

ーク

クン

ンの

のイ

ス

イン

ンス

スト

ル

ト

ー

ル

トー

ール

ル

ス

マ

ー

ト

・

カ

ー

ド

・

ア

ク

セ

ス

・

オ

プ

シ

ョ

ン

の

設

ス

マ

ー

ト

・

カ

ー

ド

・

ア

ク

セ

ス

・

オ

プ

シ

ョ

ス

スマ

マー

ート

ト・

・カ

カー

ード

ド・

・ア

アク

クセ

セス

ス・

・オ

オプ

プシ

スマート・カード・アクセス・オプションを設定するには、次のステップを実行します。

ー

ツ

(

Tools

ュ

ュー

・

・ト

ト

トー

Card

Card(

Tools(

を

ル

ー

を

ル

ー

を使

ルを

ール

Select

Select(

ト

ー

ト

ー

トー

ーク

す

ル

ー

す

ル

ー

する

ルす

ール

択

選

(

択

選

(

択し

選択

(選

1.RSASecurIDメインメニューから、『Tools

)

ン

ョ

シ

プ

オ

・

ス

セ

ク

ア

・

ド

ド・

ド

2.『SmartCardCommunication(スマート・カード通信)』パネルから、『Access PKCS

PKCS

PKCS#11

PKCS

タンを選択します。

3.『Browse

C:ProgramFilesLENOVOClientSecuritySolutioncsspkcs11.dll

csspkcs11.dll

csspkcs11.dllファイルをクリックし、『Select

4.csspkcs11.dll

5.『OK

RSA

RSASecurID

RSASecurIDソフトウェア・トークンによるClientSecuritySolution保護を利用するには、次のステップを実行します。

1.RSASecurIDソフトウェア・トークンのメインメニューから、『File

(

(ト

(

2.SDTIDファイルの場所までナビゲートし、『Open

3.『Select トウェア・トークンのシリアル番号を強調表示します。

4.『Transfer クします。

ク

ア

・

クセ

アク

・ア

#11

#11module

Browse

Browse(

OK』をクリックします。

SecurID

SecurIDソ

ク

ー

ト

ク

ー

ト

クン

ーク

トー

Select

SelectToken(s)

Transfer

TransferSelected

ス

セ

ス・

セス

module

module(PKCS

参

(

参

(

参照

(参

の

ン

の

ン

のイ

ンの

Token(s)

Token(s)to

Selected

SelectedTokens

・

・オ

照

照)

ソ

ソフ

イ

イン

シ

プ

オ

ショ

プシ

オプ

(PKCS

(PKCS#11

)

)』ボタンをクリックして、次のパスまでナビゲートします。

フ

ト

フ

ト

フト

トウ

ー

ポ

ン

ー

ポ

ン

ート

ポー

ンポ

Install

Install(

toInstall

Tokens

TokensSmart

)

ン

ョ

)』の順にクリックします。

ン)

ョン

ジ

モ

#11

ジ

モ

#11

ジュ

モジ

#11モ

ウ

ェ

ア

ウ

ェ

ア

ウェ

ェア

ア・

)

ト

)

ト

)』の順にクリックします。

ト)

ス

ン

イ

(

ス

ン

イ

(

スト

ンス

イン

(イ

Smart

SmartCard

ー

ツ

(

ール

ツー

(ツ

し

用

使

し

用

使

して

用し

使用

選

(

選

(

選択

(選

ク

ン

ク

ン

クン

ンの

Open

Open(

ー

ト

る

ー

ト

る

ーク

トー

るト

ト

た

し

ト

た

し

トー

たト

した

ン

ショ

ョン

ンの

)

ル

)

ル

)』、『Smart

ル)

ー

マ

ス

て

てス

択

択)

の

の手

ク

クン

ー

ーク

ー

マ

ス

ート

マー

スマ

)

)』をクリックします。

手

動

手

動

手動

動イ

)

く

開

(

)

く

開

(

く)

開く

(開

選

の

ン

選

の

ン

選択

の選

ンの

の

ン

ク

の

ン

ク

のス

ンの

クン

定

の

設

定

の設

設定

定

マ

ス

Access

AccessOptions

Access

Accessthe

ー

ール

フ

ファ

カ

カー

ア

アク

ー

ード

ァ

ァイ

Options

Options(

セ

ク

セ

ク

セス

クセ

ル

イ

イル

ド

ドを

ル

ル)

を

を転

Access

Card

Smart

Card

Smart

CardAccess

SmartCard

に

ド

ー

カ

・

ト

カ

・

ト

カー

・カ

ト・

イ

ン

イ

ン

イン

ンス

)』をクリックします。

)

択

)

択

)』パネルから、インストールしたいソフ

択)

マ

ス

マ

ス

マー

スマ

に

ド

ー

にア

ドに

ード

ス

ト

ス

ト

スト

トー

(

File

(

File

(フ

File(

・

ト

ー

・

ト

ー

・カ

ト・

ート

(

(ス

Smart

the

Smart

the

SmartCard

theSmart

)

ス

)

ス

)』のラジオ・ボ

ス)

)

)』、『Import

)

送

転

)

送

転

)』をクリッ

送)

転送

マ

ス

マー

スマ

Card

Cardthrough

Import

ImportTokens

ト

ー

ート

through

ト

ト・

througha

ー

カ

・

ー

カ

・

ー

カー

・カ

Tokens

第3章.ClientSecuritySolutionでの作業33

：

注

：

注

：トークンに配布パスワードがある場合、プロンプトが出されたらそのパスワードを入力します。

注：

注

OK』をクリックします。

5.『OK

Active

ActiveDirectory

次のパスはClientSecuritySolutionのPKCS#11モジュールがあるディレクトリー・パスを示します。

C:¥ProgramFiles¥Lenovo¥ClientSecuritySolution¥csspkcs11.dll

ClientSecuritySolutionのPKCS#11モジュールを利用するには、ActiveDirectoryに以下のポリシーを設定する必要があります。

1.PKCS#11署名

2.PKCS#11暗号化解除

次の表に、PKCS#11のポリシーの変更可能フィールドと説明を示します。

表 10. ThinkVantage¥Client Security Solution¥Authentication Policies¥PKCS# 11 Signature¥Custom Mode

フ

フィ

変更可能フィールド

フィールドの説明

可能な値

Directory

Directoryの

ィ

ー

ル

ド

ィ

ー

ル

ド

ィー

ール

ルド

ドCSS.ADM

の

サ

ポ

の

サ

ポ

のサ

サポ

ポー

ー

ト

ー

ト

ート

ト

CSS.ADM

必須

パスワードまたはパスフレーズが必要であるかどうかを制御します。

•Enabled(有効)

–Everytime(毎回) –Onceperlogon(ログオンごと)

•Disabled(無効)

•Notconfigured(構成しない)

指

紋

セ

ン

サ

ー

認

証

の

設

定

と

ポ

リ

シ

指

紋

セ

ン

サ

ー

認

証

の

設

定

と

指

指紋

紋セ

セン

ンサ

サー

ー認

認証

証の

の設

設定

強

制

的

な

指

紋

バ

イ

パ

強

制

的

な

指

紋

強

強制

制的

的な

な指

指紋バイパス・オプションを使用すると、ユーザーは、指紋認証をバイパスでき、Windowsパスワードを使用してログオンできます。ユーザーは、新しい登録を追加するときに、PasswordManagerのユーザー・インターフェースでこのオプションを選択または選択解除できます。

ただし、デフォルトでは、このオプションが選択されていない場合でも、指紋バイパスは有効になります。これは、指紋センサーが機能しなくても、ユーザーがWindowsにログオンできるようにするためです。強制的な指紋バイパス・オプションを無効にするには、次のレジストリー・キーを編集します。

[HKEY_LOCAL_MACHINESOFTWARELenovoClientSecuritySolutionCSSConguration] "GinaDenyLogonDeviceNonEnrolled"=dword:00000001

レジストリー・キーが上記のように設定されると、ユーザーは、指紋センサーが機能しないときにも指紋認証をバイパスできません。

指

紋

の

指

指紋

指紋認証中は、下記のポリシーによって、指紋の読み取り結果の表示が制御されます。

HKLMLenovoTVTCommonClientSecuritySolutionFPSwipeResult

•FPSwipeResult=0:すべてのメッセージを表示します。

•FPSwipeResult=1:失敗のメッセージのみを表示します(デフォルト値)。

読

紋

の

読

紋の

の読

読み

バ

指紋

紋バ

バイ

み

取

り

み

取

り

み取

取り

り結

ス

イ

パ

ス

イパ

パス

ス・

結

果

結

果

結果

果

ポ

定と

とポ

ポリ

・

オ

プ

・

オ

プ

・オ

オプ

プシ

ー

リ

シ

ー

リシ

シー

ー

シ

ョ

ン

シ

ョ

ン

ショ

ョン

ン

34ClientSecuritySolution8.3デプロイメント・ガイド

•FPSwipeResult=2:メッセージを表示しません。

コ

マ

ン

ド

・

ラ

イ

ン

・

ツ

ー

コ

マ

ン

ド

・

ラ

イ

ン

コ

コマ

マン

ンド

ド・

・ラ

ライ

企業のIT管理者はコマンドライン・インターフェースを使用して、ローカルまたはリモートから ThinkVantageテクノロジーの機能を実装することもできます。設定情報は、リモートのテキスト・ファイル設定を介して保守することができます。

ClientSecuritySolutionには次のコマンド・ライン・ツールがあります。

ページの『SecurityAdvisor』

•35

•36ページの『ClientSecuritySolutionセットアップ・ウィザード』

•37

ページの『デプロイメント・ファイルの暗号化または暗号化解除ツール』

•37ページの『デプロイメント・ファイル処理ツール』

•38ページの『TPMENABLE.EXE』

•38ページの『証明書転送ツール』

•39ページの『TPMのアクティブ化または非アクティブ化』

・

イン

ン・

・ツ

ル

ツ

ー

ル

ツー

ール

ル

Security

SecurityAdvisor

SecurityAdvisor機能を使用するには、ClientSecuritySolutionを起動してから、『拡リックして、ClientSecuritySolutionワークスペースの『Security ステムはwst.exeファイルを実行します。デフォルトのインストール済み環境では、このファイルは C:¥ProgramFiles¥Lenovo¥CommonFiles¥WST¥ディレクトリーにあります。

パラメーターは次のとおりです。

表 11. パラメーター

パ

ラ

パ

ラ

パ

パラ

ラメ

HardwarePasswords

PowerOnPassword

HardDrivePassword

AdministratorPassword

WindowsUsersPasswords

Password

PasswordAge

PasswordNeverExpires

Advisor

メ

ー

タ

ー

メ

ー

タ

ー

メー

ータ

ター

ー説

張

拡

張

拡

張』メニューをク

拡張

Security

SecurityAdvisor

説

明

説

明

説明

明

ハードウェア・パスワードの値を設定します。1はこのセクションを表示し、0は隠します。デフォルト値は1です。

パワーオン・パスワードを使用可能にする値か、設定にフラグを立てる値を設定します。

ハードディスクのパスワードを使用可能にする値か、設定にフラグを立てる値を設定します。

管理者パスワードを使用可能にする値か、設定にフラグを立てる値を設定します。

Windowsユーザー・パスワードの値を設定します。1 はこのセクションを表示し、0は隠します。このパラメーターが表示されていない場合は、デフォルトで表示されます。

ユーザー・パスワードを使用可能にする値か、設定にフラグを立てる値を設定します。

このマシン上での、Windowsパスワードの使用日数の値を設定するか、設定にフラグを立てる値を設定します。

Windowsのパスワードが期限切れにならない値を設定するか、設定にフラグを立てる値を設定します。

Advisor

Advisor』ボタンをクリックします。シ

第3章.ClientSecuritySolutionでの作業35

表 11. パラメーター ( 続き )

パ

ラ

メ

ー

タ

パ

ラ

パ

パラ

ラメ

WindowsPasswordPolicy

MinimumPasswordLength

MaximumPasswordAge

ScreenSaver

ScreenSaverPasswordSet

ScreenSaverTimeout

FileSharing

AuthorizedAccessOnly

ClientSecurity

EmbeddedSecurityChip

ClientSecuritySolution

ー

メ

ー

タ

ー

メー

ータ

ター

ー説

説

明

説

明

説明

明

Windowsパスワード・ポリシーの値を設定します。1 はこのセクションを表示し、0は隠します。このパラメーターが表示されていない場合は、デフォルトで表示されます。

このマシン上でのパスワードの長さの値を設定するか、設定にフラグを立てる値を設定します。

このマシン上でのパスワードの使用日数の値を設定するか、設定にフラグを立てる値を設定します。

スクリーン・セーバーの値を設定します。1はこのセクションを表示し、0は隠します。このパラメーターが表示されていない場合は、デフォルトで表示されます。

スクリーン・セーバーにパスワードを要求する値を設定するか、設定にフラグを立てる値を設定します。

このマシン上でのスクリーン・セーバーのタイムアウトの値を設定するか、設定にフラグを立てる値を設定します。

ファイル共有の値を設定します。1はこのセクションを表示し、0は隠します。このパラメーターが表示されていない場合は、デフォルトで表示されます。

ファイル共有のための許可されたアクセスを設定する値を設定するか、設定にフラグを立てる値を設定します。

ClientSecurityの値を設定します。1はこのセクションを表示し、0は隠します。このパラメーターが表示されていない場合は、デフォルトで表示されます。

セキュリティー・チップを使用可能にする値を設定するか、設定にフラグを立てる値を設定します。

このマシン上で使用するClientSecuritySolutionのバージョンの値を設定するか、設定にフラグを立てる値を設定します。

Client

ClientSecurity

ClientSecuritySolutionセットアップ・ウィザードは、XMLファイルを介してデプロイメント・スクリプトを生成する際に使用します。次のコマンドを実行すると、ウィザードのさまざまな機能が表示されます。

"C:ProgramFilesLenovoClientSecuritySolutioncss_wizard.exe"/?

次の表に、ClientSecuritySolutionセットアップ・ウィザードのコマンドを示します。

表 12. Client Security Solution セットアップ・ウィザードのコマンド

パ

パラ

/hまたは/?

/name:FILENAME

/encrypt

36ClientSecuritySolution8.3デプロイメント・ガイド

Security

SecuritySolution

ラ

メ

ー

タ

ラ

ラメ

ー

メ

ー

タ

ー

メー

ータ

ター

ー結

Solution

Solutionセ

セ

ッ

ト

ア

ッ

プ

・

ウ

ィ

ザ

ー

セ

ッ

ト

ア

ッ

プ

・

ウ

セッ

ット

トア

アッ

ップ

プ・

ィ

・ウ

ウィ

ィザ

結

果

結

果

結果

果

ヘルプ・メッセージ・ボックスを表示します

生成されたデプロイメント・ファイルの完全修飾パスおよびファイル名の前に付けます。このファイルには拡張子.xmlが付きます。

AES暗号化を使用してスクリプト・ファイルを暗号化します。暗号化される場合、そのファイル名には.encが付加されます。/passコマンドを使用しない場合は、静的パスフレーズを使用して、ファイルを隠します。

ド

ザ

ー

ド

ザー

ード

ド

表 12. Client Security Solution セットアップ・ウィザードのコマンド ( 続き )

パ

ラ

メ

ー

タ

パ

ラ

パ

パラ

ラメ

/pass:

/novalidate

例

例:

例

css_wizard.exe/encrypt/pass:mysecret/name:C:DeployScript/novalidate

デ

プ

デ

プ

デ

デプ

プロ

このツールはClientSecurityXMLデプロイメント・ファイルの暗号化または暗号化解除に使用します。次

のコマンドを実行すると、ツールのさまざまな機能が表示されます。

"C:ProgramFilesLenovoClientSecuritySolutionxml_crypt_tool.exe"/?

パラメーターを次の表に示します。

表 13. Client Security XML デプロイメント・ファイルを暗号化または暗号化解除するためのパラメーター

パ

ラ

パ

ラ

パ

パラ

ラメ

ー

メ

ー

タ

ー

メー

ータ

ター

ー結

ロ

イ

メ

ン

ト

・

フ

ァ

イ

ロ

イ

メ

ン

ト

・

ロイ

イメ

メン

ント

メ

ー

タ

ー

メ

ー

タ

ー

メー

ータ

ター

ー結

フ

ト・

・フ

ファ

ル

ァ

イ

ル

ァイ

イル

ルの

の

暗

号

の

暗

号

の暗

暗号

号化

結

果

結

果

結果

果

暗号化されたデプロイメント・ファイルを保護するために、パスフレーズの前に付けます。

ウィザードのパスワードとパスフレーズのチェック機能を使用不可にして、すでに構成済みのPC上でスクリプト・ファイルを作成できるようにします。たとえば、現行PCの管理者パスワードは、社内で要求される管理者パスワードではないことがあります。/novalidateコマンドを使用するとユーザーはxmlファイル作成中に css_wizardGUIに別の管理者パスワードを入力できます。

化

ま

た

は

暗

号

化

解

除

ツ

ー

化

ま

た

は

暗

号

化

解

化ま

また

たは

は暗

暗号

号化

結

果

結

果

結果

果

除

化解

解除

除ツ

ル

ツ

ー

ル

ツー

ール

ル

/hまたは/?

FILENAME

/encryptまたは/decryptXMLファイルには/encryptを、ENCファイルには

PASSPHRASE

例

例:

例

xml_crypt_tool.exe"C:DeployScript.xml"/encrypt"mysecret"

および

xml_crypt_tool.exe"C:DeployScript.xml.enc"/decrypt"mysecret"

デ

プ

ロ

イ

メ

ン

ト

・

フ

ァ

イ

ル

処

理

デ

プ

ロ

イ

メ

ン

ト

・

フ

ァ

イ

デ

デプ

プロ

ロイ

イメ

メン

ント

ト・

・フ

ファ

ツールvmserver.exeはClientSecuritySolutionXMLデプロイメント・スクリプトを処理します。次のコマン

ドを実行すると、ウィザードのさまざまな機能が表示されます。

"C:ProgramFilesLenovoClientSecuritySolutionvmserver.exe"/?

次の表に、ファイルを処理するためのパラメーターを示します。

ル

ァイ

イル

ル処

ツ

処

理

ツ

処理

理ツ

ツー

ヘルプ・メッセージを表示します。

.xmlまたは.encの拡張子を持つパス名およびファイル名を表示します。

/decryptを選択します。

ファイルを保護するためにパスフレーズを使用する場合に必要なオプション・パラメーターを表示します。

ー

ル

ー

ル

ール

ル

第3章.ClientSecuritySolutionでの作業37

表 14. ファイル処理のパラメーター

パ

ラ

メ

ー

タ

パ

ラ

パ

パラ

ラメ

FILENAME

PASSPHRASE

例

例:

例

Vmserver.exeC:DeployScript.xml.enc"mysecret"

TPMENABLE.EXE

ー

メ

ー

タ

ー

メー

ータ

ター

ー結

結

果

結

果

結果

果

FILENAMEパラメーターにはファイル拡張子XMLまたはENCがなければなりません。

PASSPHRASEパラメーターは、拡張子ENCを持つファイルの暗号化解除に使用します。

tpmenable.exeファイルはセキュリティー・チップをオンにしたりオフにするために使用します。

表 15. tpmenable.exe ファイルのパラメーター

パ

ラ

メ

ー

タ

パ

ラ

パ

パラ

ラメ

ー

メ

ー

タ

ー

メー

ータ

ター

ー説

説

明

説

明

説明

明

/enableまたは/disable

/quiet

sp:password

例

例:

例

tpmenable.exe/enable/quiet/sp:MyBiosPW

証

明

書

転

送

ツ

ー

証

明

書

転

証

証明

明書

書転

送

転送

送ツ

ル

ツ

ー

ル

ツー

ール

ル

セキュリティー・チップをオンにしたりオフにしたりします。

BIOSパスワードまたはエラーのプロンプトを隠します。

Windows2000およびXPの場合に限っては、BIOS管理者 /スーパーバイザー・パスワードは引用符で囲みません。

次の表に、ClientSecuritySolutionの証明書転送ツールのコマンド・ライン・スイッチを示します。

表 16. css_cert_transfer_tool.exe <cert_store_type> <󱙣lter_type>:<name | size> | all_access | usage

パ

ラ

メ

ー

タ

パ

ラ

パ

パラ

ラメ

<cert_store_type>

例

例:

<filter_type>:<name|size>

ー

メ

ー

タ

ー

メー

ータ

ター

ー説

cert_store_user

cert_store_machine

cert_store_all

説

明

説

明

説明

明

これは最初の必須パラメーターです。最初のスイッチとして使用し、

次の例のいずれか1つを組み込む必要があります。

ユーザー証明書のみを転送します。ユーザー証明書は、現在のユーザーに割り当てられます。

マシン証明書のみを転送します。マシン証明書は、マシン上で許可されたすべてのユーザーが使用できます。

ユーザー証明書タイプとマシン証明書タイプの両方を転送します。

これは2番目の必須パラメーターです。必須の<cert_store_type>パラメーターの後に使用する必要があります。各フィルター・タイプ(下記を除く)の後にはコロン『:』が必要で、コロンの直後には、検索対象の証明書所有者の名前、権限、または鍵サイズを指定する必要があります。このユーティリティーは大/小文字の区別があり、検索対象の名前が複合名(たとえば、CAAuthorityなど)である場合は、検索条件の前後に二重引用符“”を使用する必要があります(例を参照)。

38ClientSecuritySolution8.3デプロイメント・ガイド

表 16. css_cert_transfer_tool.exe <cert_store_type> <󱙣lter_type>:<name | size> | all_access | usage ( 続き )

パ

ラ

メ

ー

タ

パ

ラ

パ

パラ

ラメ

例

例:

次の2つのスイッチはスタンドアロンです。これらには2番目の引数はありません。

all_access

usage

ー

メ

ー

タ

ー

メー

ータ

ター

ー説

subject_simple_name:<name>

subject_friendly_name:<name>

issuer_simple_name:<name>

ssuer_friendly_name:<name>

key_size:<size>

すべての証明書を転送します。フィルターに掛けないでください。

コマンド・ラインに関する情報は提供しませんが、正しい使用法を判別するために使用される関数によって、受け渡されたコマンドが正しいかどうかに応じて、trueまたはfalseが返されます。

説

明

説

明

説明

明

証明書の発行先の名前と一致するすべての証明書を転送します。所有者の名前は<name>に指定します。

証明書の発行先のフレンドリー名と一致するすべての証明書を転送します。フレンドリー名は<name>に指定します。

証明書を発行した証明機関の名前と一致するすべての証明書を転送します。証明機関の名前は<name>に指定します。

証明書を発行した証明機関のフレンドリー名と一致するすべての証明書を転送します。証明機関のフレンドリー名は<name>に指定します。

鍵サイズ<size>(ビット単位)で暗号化されたすべての証明書を転送します。これは完全一致突き合わせ基準であることに注意してください。プログラムは、そのサイズ以上またはそのサイズ以下の鍵サイズで暗号化された証明書を検索しません。

TPM

TPMの

ThinkPadノートブック・コンピューター・モデルX200、T400、T500および以降のThinkPadノートブック・コンピューター・モデル(T410やT420など)でTPMをアクティブにするには、次のようにします。

注

注：

注

るにはコンピューターを2回再起動する必要があります。

デスクトップ・コンピューターでTPMをアクティブにするには、次のようにします。

の

ア

ク

テ

ィ

ブ

化

ま

た

は

非

ア

ク

テ

ィ

ブ

の

ア

ク

テ

ィ

ブ

化

ま

た

は

非

ア

ク

のア

アク

クテ

ティ

ィブ

ブ化

化ま

また

たは

は非

非ア

1.Webサイトhttp://support.lenovo.com/en_US/detail.page?LegacyDocID=MIGR-68488に移動します。

Sample

SampleScripts

2.『Sample をクリックし、script.zipファイルをダウンロードします。次に、zipファイルを展開します。

3.『コマンドプロンプト』ウィンドウにcscript.exeSetCong.vbsSecurityChipActiveと入力し、 SetConfig.vbsファイルを実行します。

4.コンピューターを再起動します。

：

：ThinkPadノートブック・コンピューター・モデルT400またはT410の場合、TPMをアクティブにす

1.Webサイトhttp://support.lenovo.com/en_US/detail.page?LegacyDocID=MIGR-75407に移動します。

Visual

VisualBasic

2.『Visual VisualBasicのサンプル・スクリプト)』をクリックし、sample_script_m90.zipファイルをダウンロードします。次に、zipファイルを展開します。

3.『コマンドプロンプト』ウィンドウにcscript.exeSetCong.vbsSecurityChipActiveと入力し、 SetConfig.vbsファイルを実行します。

4.コンピューターを再起動します。

Scripts

Scriptsfor

Basic

Basicsample

for

forBIOS

sample

samplescripts

BIOS

BIOSDeployment

scripts

scriptsto

Deployment

DeploymentGuide

touse

use

Deployment

BIOS

Guide

Guide(BIOSデプロイメント・ガイドのサンプル・スクリプト)』

when

use

whenconfiguring

usewhen

アク

クテ

configuring

configuringBIOS

テ

ティ

化

ィ

ブ

化

ィブ

ブ化

化

settings

BIOS

settings

BIOS

settings(BIOS設定を構成する際に使用する

BIOSsettings

すべてのThinkStationデスクトップ・コンピューター・モデルと、T400より前のThinkPadnotebookコンピューター・モデル(T61など)では、TPMアクティベーション・ツールまたはcss_manage_vista_tpm.exe ファイルを使用してTPMをアクティブにします。

第3章.ClientSecuritySolutionでの作業39

TPM

TPMア

TPM

tpm_activate_cmd.exeファイルは、WindowsXPオペレーティング・システム上でTPMをアクティブ化または非アクティブ化するために使用されます。

注

注：

注

びSMBusの最新ドライバーをインストールする必要があります。

表 17. Lenovo システムで TPM を有効化または無効化するためのパラメーター

パ

パラ

ク

ア

クテ

アク

：

：このツールを実行するには、管理者権限が必要です。このツールを実行する前に、SMBiosおよ

ラ

メ

ー

タ

ラ

メ

ー

タ

ラメ

メー

ータ

ター

ベ

ィ

テ

ベー

ィベ

ティ

ー

ー説

ョ

シ

ー

ョン

ショ

ーシ

ツ

・

ン

ツー

・ツ

ン・

の

ル

ー

の使

ルの

ール

(Windows

用

使

(WindowsXP)

用(Windows

使用

説

説明

(Windows

用

使

の

ル

ー

ツ

・

ン

ョ

シ

ー

ベ

ィ

テ

ク

ア

XP)

明

/helpまたは/?

/biospw:password

/deactivate

/verbose

例

例:

例

tpm_activate_cmd.exe/? tpm_activate_cmd.exe/verbose tpm_activate_cmd.exe/biospw:pass

使

の

ル

イ

ァ

css_manage_vista_tpm.exe

css_manage_vista_tpm.exeフ

css_manage_vista_tpm.exe

ClientSecuritySolutionがインストールされているWindowsVistaまたはWindows7オペレーティング・システムでTPMをアクティブにするには、css_manage_vista_tpm.exeファイルを使用します。

：

注

：

注

：このツールを実行するには、管理者権限が必要です。

注：

注

css_manage_vista_tpm.exe[/verbose][/showinf o|/getstate|setstate:<state>]

ここで、

フ

イ

ァ

フ

イル

ァイ

ファ

使

の

ル

使用

の使

ルの

パラメーターのリストを表示します。

BIOSスーパーバイザーまたは管理者のパスワードが設定されている場合は、それを指定します。

TPMを無効化します。

注

：

注

：

注

注：

：パラメーター/deactivateを指定して

tpm_activate_cmd.exeを実行すると、デフォルトでTPM が有効化されます。

テキスト出力を表示します。

Windows

は

た

ま

用

用(Windows

(Windows

(WindowsVista

Vista

Vistaま

ま

また

たは

Windows7)

はWindows

Windows

は

た

/verboseは、テキスト出力を表示します。デフォルト設定はサイレント操作です。

/showinf oはTPM情報(ベンダー、ファームウェア・バージョン、物理プレゼンス、インターフェース・

バージョン)を表示します。

/getstateは、現在のTPM状況を表示します。TPMには、次の状況タイプがあります。

•有効

•無効

•活動化

•非アクティブ

•所有

•非所有

/setstate:<state>は、目的のTPM状況タイプを設定します。0は無効で非アクティブであることを表します。1は有効であることを表します。2はアクティブであることを表します。4は所有されていることを表します。追加機能(論理和)を使用して、有効な状況を複数設定できます。

40ClientSecuritySolution8.3デプロイメント・ガイド

以下に例を示します。

css_manage_vista_tpm.exe/verbose/setstate:0は、TPM状況を無効かつ非アクティブに設定します。

css_manage_vista_tpm.exe/verbose/setstate:1は、TPM状況を有効に設定します。

css_manage_vista_tpm.exe/verbose/setstate:2は、TPM状況をアクティブに設定します。

css_manage_vista_tpm.exe/verbose/setstate:3は、TPM状況を有効かつアクティブに設定します。

：

注

：

注

：

注：

注

•有効なTPM状況タイプには、次のようなものがあります。

–有効 –無効 –活動化 –非アクティブ –有効かつアクティブ –無効かつ非アクティブ

•有効なTPM状況の移行には、次のようなものがあります。

–無効->有効 –無効->有効かつアクティブ –有効->無効 –有効->有効かつアクティブ –有効かつアクティブ->無効 –有効かつアクティブ->無効かつ非アクティブ

Active

ActiveDirectory

ActiveDirectoryはディレクトリー・サービスです。ディレクトリーは、ユーザーおよびリソースに関する情報が保存されている場所です。ディレクトリー・サービスによりアクセスが許可されるため、これらのリソースを操作することができます。

ActiveDirectoryが提供する機構により、管理者はPC、グループ、ユーザー、ドメイン、セキュリティー・ポリシー、およびすべてのタイプのユーザー定義オブジェクトを管理する機能を得られます。Active Directoryがこの機能を付与するために使用するメカニズムのことを、グループポリシーといいます。管理者は、グループポリシーを使用して、PCやユーザーに適用できる設定をドメインの中に定義します。

現在ThinkVantageTechnology製品が使用している、プログラム設定の制御に使用する設定値を収集する方式には、特定のアプリケーション定義レジストリー項目からの読み取りなど、さまざまな方式があります。

以下に、ActiveDirectoryが管理できるClientSecuritySolutionの設定の例を示します。

•セキュリティー・ポリシー

•カスタム・セキュリティー・ポリシー(WindowsパスワードまたはClientSecuritySolutionパスフ

Directory

Directoryの

レーズを使用するかどうか、など)

の

サ

ポ

の

のサ

ー

サ

ポ

ー

サポ

ポー

ート

ト

第3章.ClientSecuritySolutionでの作業41

管

理

用

管

理

用

管

管理

理用

用(ADM)テ

ADM(管理用)テンプレート・ファイルは、クライアントPC上のアプリケーションで使用されるポリシー設定を定義します。ポリシーとは、アプリケーションの動作を管理する特定の設定のことです。ポリシー設定は、ユーザーがアプリケーションを使用して特定の設定値を設定できるかどうかも定義します。

サーバー上の管理者が定義する設定は、ポリシーとして定義されます。クライアントPC上のユーザーが定義する、アプリケーションに関する設定は、プリファレンスとして定義されます。Microsoft社による定義のとおりに、ポリシー設定はプリファレンスより優先します。

例えば、ユーザーは自分のデスクトップ上に背景イメージを表示することができます。これは、ユーザーのプリファレンス設定です。管理者は、ユーザーが特定の背景イメージを使用しなければならないことを決定する設定をサーバー上で定義できます。管理者のポリシー設定は、ユーザーによるプリファレンス設定をオーバーライドします。

ThinkVantageTechnology製品が設定を確認する際に、次の順序で設定を検索します。

•コンピューター・ポリシー

•ユーザー・ポリシー

•デフォルトのユーザー・ポリシー

•PCプリファレンス

•ユーザー・プリファレンス

•デフォルトのユーザー・プリファレンス

テ

ン

プ

レ

ー

ト

・

フ

ァ

イ

テ

ン

プ

レ

ー

ト

・

テン

ンプ

プレ

レー

ート

フ

ト・

・フ

ファ

ル

ァ

イ

ル

ァイ

イル

ル

前述のように、コンピューター・ポリシーとユーザー・ポリシーは、管理者によって定義されます。XML 構成ファイルかActiveDirectoryのグループ・ポリシーを使用してこれらの設定値を初期化できます。PC プリファレンスとユーザー・プリファレンスは、クライアントPC上のユーザーによって、アプリケーション・インターフェース内のオプションを使用して設定されます。デフォルトのユーザー・プリファレンスは、XML構成スクリプトによって初期化されます。ユーザーは値を直接には変更しません。ユーザーがこれらの設定値に変更を加えるには、ユーザー・プリファレンスを更新します。

ActiveDirectoryを使用していないお客様は、クライアント・システムにデプロイされるポリシー設定のデフォルト・セットを作成することができます。管理者は、XML構成スクリプトを変更して、製品のインストール時にそれらが処理されるように指定することができます。

義

定

の

定

設

能

可

理

管

可

理

管

可能

理可

管理

管

この例では、次の階層を使用して、グループ・ポリシー・エディター内に設定を表示します。

ComputerConguration>AdministrativeTemplates>ThinkVantageT echnologies> ClientSecuritySolution>AuthenticationPolicies>MaxRetries> Passwordnumberofretries

ADMファイルは、レジストリー内の、設定が反映される場所を示します。これらの設定は、レジストリー内の次の場所になければなりません。

Computerpolicies: HKLMSoftwarePoliciesLenovoClientSecuritySolution Userpolicies: HKCUSoftwarePoliciesLenovoClientSecuritySolution Def aultuserpolicies: HKLMSoftwarePoliciesLenovoClientSecuritySolutionUserdefaults Computerpreferences: HKLMSoftwareLenovoClientSecuritySolution Userpref erences: HKCUSoftwareLenovoClientSecuritySolution Def aultuserpreferences: HKLMSoftwareLenovoClientSecuritySolutionUserdef aults

定

設

能

定の

設定

能設

義

定

の

義

定義

の定

42ClientSecuritySolution8.3デプロイメント・ガイド

グ

ル

ー

プ

・

ポ

リ

シ

ー

の

設

グ

ル

ー

プ

・

ポ

リ

シ

グ

グル

ルー

ープ

プ・

・ポ

ポリ

ー

リシ

シー

ーの

定

の

設

定

の設

設定

定

このセクションの表には、ClientSecuritySolutionのPC構成およびユーザー構成のポリシー設定が記載されています。

再

試

再

試行

再試

再

最

の

行

最大

の最

行の

数

回

大

数

回数

大回

数

回

大

最

の

行

試

次の表に、『認証ポリシー』の『再試行の最大回数』のポリシー設定を示します。

コ

ン

ピ

ュ

ー

タ

の

構

成

➙

コ

ン

表 18. コ

ポ

リ

ポ

リ

ポ

ポリ

リシ

Passwordnumberof retries

Passphrasenumberof retries

り

よ

り

よ

り安

より

よ

ピ

コン

ンピ

ピュ

シ

ー

シ

ー

シー

ー有

全

安

全

安

全

安全

ュ

ー

タ

の

ュー

構

ータ

タの

の構

構成

ThinkVantage

成

➙

ThinkVantage

成 ➙

➙ ThinkVantage

ThinkVantage ➙

有

効

有

効

有効

効な

再試行の最大回数

は20です。

再試行の最大回数

は20です。

な

な設

➙

Client

➙

➙ Client

設

定

設

定

設定

定説

Security

Client

Security

Client Security

Security Solution

ポリシーをオーバーライドする前に、認証のためにユーザーが

Windowsパスワードを使用できる最大回数を制御します。

ポリシーをオーバーライドする前に、認証のためにユーザーが

ClientSecurityパスフレーズを使用できる最大回数を制御します。

Solution

Solution ➙

➙

認

➙

認

➙ 認

認証

証

ポ

リ

シ

ー

➙

再

試

行

の

最

大

回

証

ポ

リ

シ

ー

➙

再

試

行

証ポ

ポリ

リシ

シー

ー ➙

➙ 再

説

明

説

明

説明

明

の

再試

試行

行の

の最

数

最

大

回

数

最大

大回

回数

数

次の表に、『認証ポリシー』の『より安全』のポリシー設定を示します。

コ

ン

ピ

ュ

ー

タ

の

構

成

➙

管

理

用

テ

ン

プ

レ

ー

ト

➙

表 19. コ保

護

保

保護

ポ

ポリ

コ

コン

モ

ー

護

モ

ー

護モ

モー

ード

リ

シ

ー

リ

シ

ー

リシ

シー

ー有

ン

ピ

ュ

ー

タ

の

構

成

➙

管

理

用

テ

ン

プ

レ

ンピ

ピュ

ュー

ータ

タの

の構

構成

成 ➙

➙ 管

管理

理用

用テ

テン

ド

有

効

な

設

有

有効

定

効

な

設

定

効な

な設

設定

定説

ー

ンプ

プレ

レー

ート

ト

➙

ト ➙

➙ ThinkVantage

ThinkVantage

ThinkVantage ➙

➙

Client

➙

➙ Client

Security

Client

Security

Client Security

Security Solution

説

説明

Solution

Solution ➙

明

➙

認

証

ポ

リ

➙

認

➙ 認

認証

シ

証

ポ

リ

シ

証ポ

ポリ

リシ

シー

ー

➙

ー

➙

ー ➙

➙

パスワード

Passphrase

指紋

無効にするパスワード、パスフレーズ、または指紋をオー

・

ト

ル

ォ

フ

デ

ォ

フ

デ

ォル

フォ

デフ

デ

・

ト

ル

・モ

ト・

ルト

頻度を『Every

(

ロ

(

ロ

(

(ロ

ログ

頻度を『Every

(

ロ

(

ロ

(

(ロ

ログ

頻度を『Every

(

ロ

(

ロ

(

(ロ

ログ

バーライドするように設定します。

ド

ー

モ

ド

ー

モ

ド

ード

モー

Every

time

(

毎

回

Every

time

Everytime

time(

グ

オ

ン

の

度

に

グ

オ

ン

グオ

オン

ンの

Every

Everytime

グ

オ

ン

グ

オ

ン

グオ

オン

ンの

Every

Everytime

グ

オ

ン

グ

オ

ン

グオ

オン

ンの

の

度

に

の度

度に

に1

time

time(

の

度

に

の

度

に

の度

度に

に1

time

time(

の

度

に

の

度

に

の度

度に

に1

)

(

毎

回

)

(毎

毎回

回)

)』または『Once

回

)

回

)

1回

回)

)』に設定します。

(

毎

回

)

(

毎

回

)

(毎

毎回

回)

)』または『Once

回

)

回

)

1回

回)

)』に設定します。

(

毎

回

)

(

毎

回

)

(毎

毎回

回)

)』または『Once

回

)

回

)

1回

回)

)』に設定します。

Once

Onceper

Once

Onceper

Once

Onceper

per

logon

per

logon

perlogon

logon

per

logon

per

logon

perlogon

logon

per

logon

per

logon

perlogon

logon

パスワードが必要であるかどうかを制御します。

パスフレーズが必要であるかどうかを制御します。

指紋が必要であるかどうかを制御します。

通常の認証が失敗した場合の『フォールバック認証』の要件を定義します。

次の表に、『認証ポリシー』の『デフォルト・モード』のポリシー設定を示します。

コ

ン

ピ

ュ

ー

タ

の

構

成

➙

管

理

用

テ

ン

プ

レ

ー

ト

➙

表 20. コ

➙

デ

➙

デ

➙

➙ デ

デフ

ポ

ポリ

パスワード

Passphrase

指紋

コ

ン

コン

ンピ

フ

ォ

ル

フ

ォ

ル

フォ

ォル

ルト

リ

シ

ー

リ

シ

ー

リシ

シー

ー有

ピ

ュ

ー

タ

の

構

成

➙

管

理

用

テ

ン

プ

レ

ピュ

ュー

ータ

タの

の構

構成

成 ➙

➙ 管

管理

理用

用テ

テン

ト

・

モ

ー

ト

ト・

ド

・

モ

ー

ド

・モ

モー

ード

ド

有

効

な

設

有

有効

頻度を『Every (

ロ

(

ロ

(

(ロ

ログ

頻度を『Every (

ロ

(

ロ

(

(ロ

ログ

頻度を『Every (

ロ

(

ロ

(

(ロ

ログ

定

効

な

設

定

効な

な設

設定

定説

Every

time

Every

time

Everytime

time(

グ

オ

ン

の

度

グ

オ

グオ

オン

グ

オ

グ

オ

グオ

オン

グ

オ

グ

オ

グオ

オン

に

ン

の

度

に

ンの

の度

度に

に1

Every

time

Every

time

Everytime

time(

ン

の

度

に

ン

の

度

に

ンの

の度

度に

に1

Every

time

Every

time

Everytime

time(

ン

の

度

に

ン

の

度

に

ンの

の度

度に

に1

ー

ンプ

プレ

レー

ート

(

毎

回

(

毎

回

(毎

毎回

回)

回

)

回

)

1回

回)

)』に設定できます。

(

毎

回

(

毎

回

(毎

毎回

回)

回

)

回

)

1回

回)

)』に設定できます。

(

毎

回

(

毎

回

(毎

毎回

回)

回

)

回

)

1回

回)

)』に設定できます。

ト

➙

ト ➙

➙ ThinkVantage

)

)』または『Once

)

)』または『Once

)

)』または『Once

ThinkVantage

ThinkVantage ➙

Once

Onceper

Once

Onceper

Once

Onceper

➙

Client

➙

➙ Client

per

logon

per

logon

perlogon

logon

per

logon

per

logon

perlogon

logon

per

logon

per

logon

perlogon

logon

Security

Client

Security

Client Security

Security Solution

説

説明

パスワードが必要であるかどうかを制

御します。

パスフレーズが必要であるかどうかを

制御します。

指紋が必要であるかどうかを制御しま

す。

Solution

Solution ➙

明

➙

認

証

ポ

リ

シ

➙

認

証

➙ 認

認証

証ポ

ー

ポ

リ

シ

ー

ポリ

リシ

シー

ー

無効にするパスワード、パスフレーズ、または指紋をオー

バーライドするように設定します。

ー

シ

リ

ポ

証

認

ポ

証

認

ポリ

証ポ

認証

認

ー

シ

リ

ー

シー

リシ

通常の認証が失敗した場合の『フォー

ルバック認証』の要件を定義します。

次のポリシーのリストには、各ポリシーの認証レベルを定義する有効な設定が記載されています。

第3章.ClientSecuritySolutionでの作業43

•Windowslogon(Windowsへのログオン)

•Systemunlock(PCのロック解除)

•Passwordmanager(PasswordManagerを開く)

•CSPsignature(CSPシグニチャー)

•CSPdecryption(CSP暗号化解除)

•PKCS#11signature(PKCS#11シグニチャー)

•PKCS#11decryption(PKCS#11暗号化解除)

•PKCS#11logon(PKCS#11ログオン)

次の表に、上記の認証レベルに対する値および設定を示します。

コ

ン

ピ

ュ

ー

タ

の

構

成

➙

管

理

用

テ

ン

プ

レ

ー

ト

➙

表 21. コ

ポ

ポリ

コ

ン

コン

ンピ

リ

シ

ー

リ

シ

ー

リシ

シー

ー有

ピ

ュ

ー

タ

の

構

成

➙

管

理

用

テ

ン

プ

レ

ピュ

ュー

ータ

タの

の構

構成

成 ➙

➙ 管

管理

理用

用テ

テン

有

効

な

設

有

有効

定

効

な

設

定

効な

な設

設定

定説

ー

ンプ

プレ

レー

ート

ト

➙

ト ➙

➙ ThinkVantage

ThinkVantage

ThinkVantage ➙

➙

Client

➙

➙ Client

Security

Client

Security

Client Security

Security Solution

Solution

Solution ➙

説

明

説

明

説明

明

➙

認

証

ポ

リ

シ

➙

認

証

➙ 認

認証

証ポ

ー

ポ

リ

シ

ー

ポリ

リシ

シー

ー

パスワード

Passphrase

指紋

無効にするパスワード、パスフレーズ、または指紋をオー

Password

PasswordManager

Password

Manager

頻度を『Every (

ロ

(

ロ

(

(ロ

ログ

頻度を『Every (

ロ

(

ロ

(

(ロ

ログ

頻度を『Every (

ロ

(

ロ

(

(ロ

ログ

バーライドするように設定します。

Every

time

(

毎

回

Every

time

Everytime

time(

グ

オ

ン

の

度

に

グ

オ

ン

の

グオ

オン

ンの

の度

Every

Everytime

グ

オ

ン

の

グ

オ

ン

の

グオ

オン

ンの

の度

Every

Everytime

グ

オ

ン

の

グ

オ

ン

の

グオ

オン

ンの

の度

度

に

度に

に1

1回

time

time(

度

に

度

に

度に

に1

1回

time

time(

度

に

度

に

度に

に1

1回

)

(

毎

回

)

(毎

毎回

回)

)』または『Once

回

)

回

)

回)

)』に設定します。

(

毎

回

)

(

毎

回

)

(毎

毎回

回)

)』または『Once

回

)

回

)

回)

)』に設定します。

(

毎

回

)

(

毎

回

)

(毎

毎回

回)

)』または『Once

回

)

回

)

回)

)』に設定します。

Once

Onceper

Once

Onceper

Once

Onceper

次の表に、PasswordManagerのポリシー設定を示します。

コ

ン

ピ

ュ

ー

タ

の

構

成

➙

コ

ン

表 22. コ

ポ

リ

ポ

リ

ポ

ポリ

リシ

DisablePasswordmanager

DisableInternetExplorersupport

DisableMozillasupport

DisablesupportforWindowsapplications

DisableAuto-fill

DisableHotkeysupport

UseDomainfiltering

ProhibitedDomains

ProhibitedURLs

ピ

コン

ンピ

ピュ

シ

ー

設

定

シ

ー

設

定

シー

ー設

設定

定説

ュ

ー

タ

の

ュー

構

ータ

タの

の構

構成

成

➙

成 ➙

➙ ThinkVantage

ThinkVantage

ThinkVantage ➙

➙

Client

➙

➙ Client

説

説明

システム始動時にPasswordManagerが開始するかどうかを制御します。

PasswordManagerがInternetExplorerからパスワードを保存できるかどうかを制御します。

PasswordManagerがMozillaベース・ブラウザー(FirefoxおよびNetscape など)からパスワードを保存できるかどうかを制御します。

PasswordManagerがWindowsアプリケーションからパスワードを保存できるかどうかを制御します。

PasswordManagerがWebサイトおよびWindowsアプリケーションへのデータのAuto-fillを行うかどうかを制御します。

PasswordManagerがWebサイトおよびWindowsアプリケーションにデータを入力するためのホット・キーの使用をサポートするかどうかを制御します。

PasswordManagerがドメインに基づいてWebサイトをフィルタリングするかどうかを制御します。

PasswordManagerがパスワードの保存を禁止されているドメインを制御します。

PasswordManagerがパスワードの保存を禁止されているURLを制御します。

Security

Client

Security

Client Security

Security Solution

明

Solution

Solution ➙

per

logon

per

logon

perlogon

logon

per

logon

per

logon

perlogon

logon

per

logon

per

logon

perlogon

logon

➙

➙ Password

パスワードが必要であるかどうかを

制御します。

パスフレーズが必要であるかどうかを

制御します。

指紋が必要であるかどうかを制御し

ます。

通常の認証が失敗した場合の『フォー

ルバック認証』の要件を定義します。

Password

Password Manager

Manager

44ClientSecuritySolution8.3デプロイメント・ガイド

コ

ン

ピ

ュ

ー

タ

の

構

成

➙

コ

表 22. コ

コン

ポ

リ

シ

ポ

リ

シ

ポ

ポリ

リシ

シー

ProhibitedModules

Auto-fillHotkey

TypeandTransferHotkey

ManageHotkey

Interface

User

Interface

User

Interface

UserInterface

User

ン

ピ

ュ

ー

タ

の

構

成

ンピ

ピュ

ュー

ータ

タの

ー

設

定

ー

設

定

ー設

設定

定説

➙

の構

構成

成 ➙

➙ ThinkVantage

ThinkVantage

ThinkVantage ➙

➙

Client

➙

➙ Client

説

説明

PasswordManagerがパスワードの保存を禁止されているWindowsアプリケーションを制御します。

Auto-fillHotkeyのCtrl+F2を制御します。

TypeandTransferHotkeyのCtrl+Shift+Hを制御します。

ホット・キーのCtrl+Shift+Bを制御します。

Security

Client

Security

Client Security

Security Solution

明

Solution

Solution ➙

➙

Password

➙

Password

➙ Password

Password Manager

次の表に、『ユーザー・インターフェース』のポリシー設定を示します。

コ

ン

ピ

ュ

ー

タ

の

構

成

➙

コ

ン

ピ

ュ

ー

タ

表 23. コ

コン

ンピ

ピュ

ポ

リ

シ

ー

ポ

ポリ

Fingerprintsoftwareoption

Fileencryptionoption

Securitysettingsauditoption

Digitalcertificatetransferoption

Changesecuritychipstatusoption

Clearsecuritychiplockoutoption

Policymanageroption

Reset/Configuresettingsoption

Passwordmanageroption

HardwarePasswordResetoption

Windowspasswordrecoveryoption

Changeauthenticationmodeoption

Enable/disableWindowspasswordrecovery option

Enable/disablePasswordManageroption

設

リ

シ

ー

設

リシ

シー

ー設

設定

の

ュー

ータ

タの

の構

定

定説

成

➙

成 ➙

➙ ThinkVantage

ThinkVantage

ThinkVantage ➙

構

構成

➙

Client

➙

➙ Client

説

説明

ClientSecuritySolutionアプリケーションの指紋認証ソフトウェアのオプションを表示するか、ぼかすか、非表示にします。デフォルト:表示。

ClientSecuritySolutionアプリケーションのファイル暗号化オプションを表示するか、ぼかすか、非表示にします。デフォルト:表示。

ClientSecuritySolutionアプリケーションのセキュリティー設定の監査オプションを表示するか、ぼかすか、非表示にします。デフォルト:表示。

ClientSecuritySolutionアプリケーションのディジタル証明書の転送オプションを表示するか、ぼかすか、非表示にします。デフォルト:表示。

ClientSecuritySolutionアプリケーションのセキュリティー・チップの状態オプションを表示するか、ぼかすか、非表示にします。デフォルト:表示。

ClientSecuritySolutionアプリケーションのセキュリティー・チップのロックアウト・オプションを表示するか、ぼかすか、非表示にします。デフォルト:表示。

ClientSecuritySolutionアプリケーションのPolicymanagerオプションを表示するか、ぼかすか、非表示にします。デフォルト:表示。

ClientSecuritySolutionアプリケーションの構成ウィザード・オプションを表示するか、ぼかすか、非表示にします。デフォルト:表示。

ClientSecuritySolutionアプリケーションのPasswordmanagerオプションを表示するか、ぼかすか、非表示にします。デフォルト:表示。

ClientSecuritySolutionアプリケーションのハードウェア・パスワードのリセット・オプションを表示するか、ぼかすか、非表示にします。デフォルト:表示。

ClientSecuritySolutionアプリケーションのWindowsパスワードの復元オプションを表示するか、ぼかすか、非表示にします。デフォルト:表示。

ClientSecuritySolutionアプリケーションの認証モードの変更オプションを表示するか、ぼかすか、非表示にします。デフォルト:表示。

ClientSecuritySolutionアプリケーションの、Windowsパスワードの復元を有効/無効にするためのオプションを表示するか、ぼかすか、非表示にします。デフォルト:表示。

ClientSecuritySolutionアプリケーションの、PasswordManagerを有効/無効にするためのオプションを表示するか、ぼかすか、非表示にします。デフォルト:表示。

Security

Client

Security

Client Security

Security Solution

明

Solution

Solution ➙

➙

ユ

ー

ザ

➙

ユ

ー

➙ ユ

ザ

ユー

ーザ

ザー

Manager

Manager ( 続き )

ー

･

イ

ン

ー

ー･

タ

･

イ

ン

タ

･イ

イン

ンタ

ター

ー

フ

ェ

ー

ーフ

ス

フ

ェ

ー

ス

フェ

ェー

ース

ス

第3章.ClientSecuritySolutionでの作業45

ワ

ク

ー

ワ

クス

ーク

ワー

ワ

ー

テ

ス

ーシ

テー

ステ

ン

ョ

シ

ン・

ョン

ショ

キ

セ

・

キュ

セキ

・セ

テ

リ

ュ

ティ

リテ

ュリ

・

ー

ィ

・ツ

ー・

ィー

ル

ー

ツ

ル

ール

ツー

ル

ー

ツ

・

ー

ィ

テ

リ

ュ

キ

セ

・

ン

ョ

シ

ー

テ

ス

ク

ー

次の表に、『ワークステーション・セキュリティー・ツール』のポリシー設定を示します。

コ

ン

ピ

ュ

ー

タ

の

構

成

➙

コ

ン

ピ

ュ

ー

タ

の

表 24. コ

コン

ンピ

ピュ

ュー

ポ

リ

シ

ー

ポ

リ

シ

ー

ポ

ポリ

リシ

シー

ー設

HardwarePasswordsHardwarePasswords

HardwarePasswordsPower-OnPassword

HardwarePasswordsHardDrivePassword

HardwarePasswordsAdministratorPassword

WindowsUsersPasswordsWindowsUsersPasswords

WindowsUsersPasswordsPassword

WindowsUsersPasswordsPasswordAge

WindowsUsersPasswordsPasswordneverexpires

WindowsPasswordPolicyWindowsPasswordPolicy

WindowsPasswordPolicyMinimumnumberofcharacters

WindowsPasswordPolicyMaximumpasswordage

ScreenSaverScreenSaver

ScreenSaver

FileSharingFileSharing

FileSharingAuthorizedaccess

ClientSecurityClientSecurity

ClientSecurityEmbeddedSecurityChip

ClientSecurityClientSecuritySolutionVersion

構

ータ

タの

の構

構成

ThinkVantage

成

➙

ThinkVantage

成 ➙

➙ ThinkVantage

ThinkVantage ➙

設

定

設

定

設定

定説

inthepassword

ScreenSaverpasswordset

ScreenSavertimeout

➙

Client

➙

➙ Client

Security

Client

Security

Client Security

Security Solution

Solution

Solution ➙

説

説明

ハードウェア・パスワード情報の表示を有効または無効にします。

推奨値を有効または無効として選択するか、この設定を無視することを選択します。

Windowsユーザー・パスワード情報の表示を有効または無効にします。

推奨値を有効または無効として選択するか、この設定を無視することを選択します。

パスワードが許可される最大日数。

推奨値を『True』、『False』、または『Ignore』に設定することができます。

Windowsパスワード・ポリシー情報の表示を有効または無効にします。

パスワードの最小文字数を指定するか、この値を『無視』します。

パスワードの最大使用日数(日数)を設定するか、結果でこの値を『無視』します。

Windowsパスワード・ポリシー情報の表示を有効または無効にします。

パスワードの最小文字数を指定するか、この値を『無視』します。

パスワードの最大使用日数(日数)を設定するか、結果でこの値を『無視』します。

ファイル共有情報の表示を有効または無効にします。

推奨値を『True』、『False』、または『Ignore』に設定することができます。

ClientSecurity情報の表示を有効または無効にします。

推奨値を有効または無効として選択するか、この設定を無視することを設定します。

ClientSecuritySolutionの最小推奨バージョンを設定するか、『Ignore』を設定します。

➙

ワ

ー

ク

ス

テ

ー

シ

ョ

ン

・

セ

➙

ワ

ー

ク

ス

テ

ー

シ

➙ ワ

ワー

ーク

クス

ステ

明

ョ

テー

ーシ

ショ

ョン

キ

ン

・

セ

キ

ン・

・セ

セキ

キュ

ュ

リ

テ

ィ

ー

・

ツ

ー

ュ

リ

テ

ィ

ュリ

ー

リテ

ティ

ィー

ー・

ル

・

ツ

ー

ル

・ツ

ツー

ール

ル

46ClientSecuritySolution8.3デプロイメント・ガイド

第

章

第

第4

4章

指紋コンソールはThinkVantage指紋認証ソフトウェア・インストール・フォルダーから実行する必要があります。基本的な構文はFPRCONSOLE[USER|SETTINGS]です。USERコマンドまたはSETTINGSコマンドは、使用する操作モードを指定します。完全なコマンドは『fprconsoleuseraddTestUser』のようになります。コマンドがわからない場合やすべてのパラメーターが指定されていない場合は、短いコマンド・リストがパラメーターと共に表示されます。

ThinkVantageFingerprintSoftware、インストールの説明、管理コンソール、および関連するすべての資料は、以下のWebサイトで入手できます。

http://www.lenovo.com/support

管

理

コ

管

理

コ

管

管理

理コ

コン

このセクションでは、ユーザー固有コマンドとグローバル設定のコマンドに関する情報を提供します。

ユ

ー

ザ

ユ

ー

ザ

ユ

ユー

ーザ

ザー

ユーザーの登録や編集を行う場合は、USERセクションを使用します。現行ユーザーが管理者権限を持っていない場合、コンソールの振る舞いは指紋認証ソフトウェアのセキュリティー・モードによって異なります。保護モード:どのコマンドも許可されません。簡易モード:標準ユーザーでは、ADD、EDIT、およびDELETEコマンドが使用できます。ただし、ユーザーは自分のパスポート(ユーザー名で登録) しか変更できません。構文は次のとおりです。

FPRCONSOLEUSERcommand

ThinkVantage

章

ThinkVantage

章ThinkVantage

ThinkVantage指

ン

ソ

ー

ン

ソ

ー

ンソ

ソー

ール

ー

固

有

ー

固

有

ー固

固有

有コ

ル

・

ツ

ル

・

ツ

ル・

・ツ

ツー

コ

マ

ン

コ

マ

ン

コマ

マン

ンド

指

紋

認

証

ソ

フ

ト

ウ

ェ

ア

で

の

作

指

紋

認

証

ソ

フ

ト

ウ

ェ

ア

で

指紋

紋認

認証

証ソ

ソフ

フト

トウ

ウェ

ェア

アで

ー

ル

ー

ル

ール

ル

ド

の

での

の作

業

作

業

作業

業

ここで、commandはADD、EDIT、DELETE、LIST、IMPORT、EXPORTのいずれかのコマンドです。

表 25. ユーザー固有コマンド

コ

マ

ン

ド

コ

マ

ン

ド

コ

コマ

マン

ンド

ド構

新規ユーザーの登録

例

例: :

fprconsoleuseradd domain0testuser

fprconsoleuseradd testuser

登録ユーザーの編集

例

例: :

fprconsoleuseredit domain0testuser

fprconsoleuseredit testuser

構

文

構

文

構文

文説

ADD[username[|domain username]]

EDIT[username[|domain username]]

説

明

説

明

説明

明

ユーザー名が指定されない場合は、現行ユーザー名が使用されます。

注

：

注

：

注

注：

：登録されるユーザーはまず自分の

指紋を検査する必要があります。

©CopyrightLenovo2008,2011

表 25. ユーザー固有コマンド ( 続き )

コ

マ

ン

ド

コ

マ

ン

ド

コ

コマ

マン

ンド

ド構

ユーザーの削除

例

例: :

fprconsoleuserdelete domain0testuser

fprconsoleuserdelete testuser

fprconsoleuserdelete /ALL

登録ユーザーの列挙

構

文

構

文

構文

文説

DELETE[username[|domain username|/ALL]]

List

説

明

説

明

説明

明

/ALLフラグは、このPCに登録されているすべてのユーザーを削除します。ユーザー名が指定されない場合は、現行ユーザー名が使用されます。

登録されたユーザーをリストします。

登録ユーザーのファイルへのエクスポート

登録ユーザーのインポート

グ

ロ

ー

バ

ル

設

定

グ

ロ

ー

バ

グ

グロ

ロー

指紋認証ソフトウェアのグローバル設定は、SETTINGSセクションによって変更できます。このセクションのすべてのコマンドには、管理者権限が必要です。構文は次のとおりです。

FPRCONSOLESETTINGScommand

ここで、commandはSECUREMODE、LOGON、CAD、TBX、SSOのいずれかのコマンドです。

表 26. グローバル設定のコマンド

コ

マ

ン

コ

マ

ン

コ

コマ

マン

ンド

セキュリティー・モード

例

例: :

Tosettoconvenientmode: fprconsolesettings securemode0

ログオン・タイプ

CTRL+ALT+DELメッセージ

ル

ーバ

バル

ル設

ド

ド構

の

設

定

の

設定

定の

のコ

構文:EXPORTusername [|domainusername]le

構文:IMPORTleこのコマンドは指定したファイルから

コ

マ

ン

コ

コマ

ド

マ

ン

ド

マン

ンド

ド

構

文

構

文

構文

文説

SECUREMODE0|1

LOGON0|1[/FUS]

CAD0|1

このコマンドは、登録ユーザーをハードディスクのファイルにエクスポートします。ユーザーは次に、別のPC 上、またはユーザーが削除されている場合は同じPC上のIMPORTコマンドを使用してインポートできます。

ユーザーをインポートします。

注

：

注

：

注

注：

：ファイル上のユーザーが同じ指紋

を使用してすでに同じPCに登録されている場合は、識別操作でどちらのユーザーが優先順位を持つかは保証されません。

説

明

説

明

説明

明

この設定は、指紋認証ソフトウェアの簡易モードと保護モードを切り替えます。

この設定は、ログオン・アプリケーションを使用可能(1)、または使用不可(0)にします。/FUSパラメーターを使用する場合、 PCの構成上可能であれば、ユーザーの簡易切り替えモードでログオンが可能です。

この設定は、ログオンでの『Ctrl+Alt+Delete を押す』テキストを使用可能(1)、または使用不可(0)にします。

48ClientSecuritySolution8.3デプロイメント・ガイド

表 26. グローバル設定のコマンド ( 続き )

コ

マ

ン

ド

コ

マ

ン

ド

コ

コマ

マン

ンド

ド構

パワーオン・セキュリティー

パワーオン・セキュリティー・シン

グル・サインオン

保

護

モ

ー

ド

お

よ

び

簡

保

護

モ

ー

ド

お

保

保護

護モ

モー

ード

ドお

指紋認証ソフトウェアは、保護モードと簡易モードの2つのセキュリティー・モードで実行することができます。保護モードは、より高レベルのセキュリティーが必要な状況を対象としています。特定の機能は管理者にのみ、確保されています。追加認証をせず、パスワードを使用してログオンできるのは管理者だけです。

簡易モードは高レベルのセキュリティーをそれほど重要視しない、家庭用PCを対象にしています。すべてのユーザーは、他のユーザーのパスポートの編集およびパスワードを使用して(指紋認証は行わない) システムにログオンするなどの、すべての操作を実行できます。

よ

およ

よび

易

び

簡

び簡

易

簡易

易モ

構

文

構

文

構文

文説

TBX0|1

SSO0|1

モ

ー

ド

モ

ー

ド

モー

ード

ド

説

明

説

明

説明

明

この設定は、FingerprintSoftwareのパワーオン・セキュリティー・サポートをグローバルにオフ(0)にします。パワーオン・セキュリティー・サポートがオフになっている場合は、BIOS設定に関係なく、パワーオン・セキュリティー・ウィザードやパワーオン・セキュリティー・ページは表示されません。

この設定は、ユーザーがBIOSで検査された際に、自動的にユーザーをログオンさせるためのlogonで、BIOSで使用される指紋を使用可能(1)、または使用不可(0) にします。

管理者

けが簡易モードに切り替えることができます。

保

保護

セキュリティーを強化するために、ログオンのとき、誤ったユーザー名やパスワードが入力された場合は、保護モードでは次のメッセージが表示されます。『ユーザー名とパスワードでこのPCにログオンできるのは管理者だけです。』

表 27. 保護モードでの管理者用オプション

は、ローカル管理者グループの任意のメンバーです。保護モードを設定した後は、管理者だ

護

モ

ー

ド

管

理

護

モ

ー

ド

護モ

モー

ード

指

紋

指

紋

指

指紋

紋説

新規パスポートの作成管理者は自分のパスポートを作成することができ、

パスポートの編集管理者は自分のパスポート

パスポートの削除管理者はすべての制限ユーザーとその他の管理者のパス

パワーオン・セキュリティー

ド-

管

-管

管理

者

理

者

理者

者

説

明

説

明

説明

明

また、制限ユーザーのパスポートも作成することができます。

だけ

を編集できます。

ポートを削除できます。他のユーザーがパワーオン・セキュリティーを使用している場合、管理者はパワーオン・セキュリティーからユーザー・テンプレートをオプションで削除することができます。

管理者は、パワーオンで使用される制限ユーザーおよび

管理者の指紋を削除することができます。

注

：

注

：

注

注：

：パワーオン・モードが使用可能な場合は、少なくと

も1つの指紋がなければなりません。

設

定

設

定

設

設定

定

第4章.ThinkV antage指紋認証ソフトウェアでの作業49

表 27. 保護モードでの管理者用オプション ( 続き )

指

紋

指

紋

指

指紋

紋説

ログオン設定管理者はすべてのログオン設定を変更できます。

保護スクリーン・セーバー管理者はアクセスできます。

説

明

説

明

説明

明

パスポート・タイプ

セキュリティー・モード

Proサーバー

保

護

モ

ー

ド

制

限

ユ

ー

ザ

保

護

モ

ー

ド

制

限

保

保護

護モ

モー

ード

ド-

-制

Windowsにログオン中は、制限ユーザーはログオンに指紋を使用する必要があります。制限ユーザーの指紋センサーが作動していない場合は、管理者は指紋認証ソフトウェアの設定を簡易モードに変更して、ユーザー名とパスワードによるアクセスを可能にする必要があります。

表 28. 保護モードでの制限ユーザー用オプション

設

定

設

定

設

設定

定説

新規パスポートの作成制限ユーザーはアクセスできません。

パスポートの編集制限ユーザーは自分のパスポートだけを編集できます。

パスポートの削除制限ユーザーは自分のパスポートだけを削除できます。

パワーオン・セキュリティー

ログオン設定

保護スクリーン・セーバー

ユ

制限

限ユ

ユー

ー

ザ

ー

ーザ

ザー

ー

管理者はアクセスできます-サーバーと関連ある場合のみです。

管理者は保護モードと簡易モードを切り替えることができます。

管理者はアクセスできます-サーバーと関連ある場合のみです。

説

明

説

明

説明

明

制限ユーザーはアクセスできません。

制限ユーザーはログオン設定を変更できません。

制限ユーザーはアクセスできます。

パスポート・タイプ

セキュリティー・モード

Proサーバー

簡

易

モ

ー

ド

管

理

簡

易

モ

ー

ド

簡

簡易

易モ

モー

ード

Windowsへのログオン中は、管理者はユーザー名とパスワードを使用しても、指紋を使用してもログオンできます。

表 29. 簡易モードでの管理者用オプション

設

定

設

定

設

設定

定説

新規パスポートの作成管理者は自分のパスポート

パスポートの編集管理者は自分のパスポート

パスポートの削除管理者は自分のパスポート

パワーオン・セキュリティー

ド-

-管

者

管

理

者

管理

理者

者

制限ユーザーはアクセスできません。

制限ユーザーはセキュリティー・モードを変更できません。

制限ユーザーはアクセスできます-サーバーと関連ある場合のみです。

説

明

説

明

説明

明

だけ

を作成できます。

だけ

を編集できます。

だけ

を削除できます。

管理者は、パワーオンで使用される制限ユーザーおよび管理者の指紋を削除することができます。

注

：

注

：

注

注：

：パワーオン・モードが使用可能な場合は、少なく

とも1つの指紋がなければなりません。

50ClientSecuritySolution8.3デプロイメント・ガイド

表 29. 簡易モードでの管理者用オプション ( 続き )

設

定

設

定

設

設定

定説

ログオン設定管理者はすべてのログオン設定を変更できます。

保護スクリーン・セーバー管理者はアクセスできます。

説

明

説

明

説明

明

パスポート・タイプ

セキュリティー・モード

Proサーバー

簡

易

モ

ー

ド

制

限

ユ

ー

ザ

簡

易

モ

ー

ド

制

限

簡

簡易

易モ

モー

ード

ド-

-制

Windowsへのログオン中は、制限ユーザーはユーザー名とパスワードを使用しても、指紋を使用してもログオンできます。

表 30. 簡易モードでの制限ユーザー用オプション

設

定

設

定

設

設定

定説

新規パスポートの作成制限ユーザーは自分のパスワードだけを作成できます。

パスポートの編集制限ユーザーは自分のパスポートだけを編集できます。

パスポートの削除制限ユーザーは自分のパスポートだけを削除できます。

パワーオン・セキュリティー

ログオン設定

保護スクリーン・セーバー

ユ

制限

限ユ

ユー

ー

ザ

ー

ーザ

ザー

ー

管理者はアクセスできます-サーバーと関連ある場合

のみです。

管理者は保護モードと簡易モードを切り替えることが

できます。

管理者はアクセスできます-サーバーと関連ある場合

のみです。

説

明

説

明

説明

明

制限ユーザーは自分の指紋だけを削除できます。

制限ユーザーはログオン設定を変更できません。

制限ユーザーはアクセスできます。

パスポート・タイプ

セキュリティー・モード

Proサーバー

構

成

可

能

な

設

構

成

可

構

構成

指紋認証ソフトウェアの一部のオプションはレジストリー設定で構成することができます。

起

起動

•起

有効にし、指紋をコンパニオン・チップに格納するための機構は、システムにBIOSまたはハードディスク・パスワードが設定されていない限り、通常は指紋認証ソフトウェアに表示されません。この動作をオーバーライドし、BIOSまたはハードディスク・パスワードが設定されていなくてもこれらのオプションを強制的に表示させるには、レジストリーに以下のいずれか(使用しているコンピューター・マシン・タイプに適用されるもの)を追加します。

[HKEY_LOCAL_MACHINESOFTWAREProtectorSuiteQL1.0]

REG_DWORD"BiosFeatures"=2

または

[HKEY_LOCAL_MACHINESOFTWAREProtectorSuiteQL1.0]

能

成可

可能

能な

ワ

パ

前

動

動前

ワ

パ

前

ワー

パワ

/パ

前/

定

な

設

定

な設

設定

定

ー

タ

ン

イ

・

ア

ェ

ウ

ト

フ

ソ

時

ン

オ

ー

ン

オ

ー

ン時

オン

ーオ

フ

ソ

時

フト

ソフ

時ソ

ェ

ウ

ト

ェア

ウェ

トウ

イ

・

ア

イン

・イ

ア・

ー

タ

ン

ーフ

ター

ンタ

制限ユーザーはアクセスできません-サーバーと関連

ある場合のみです。

制限ユーザーはセキュリティー・モードを変更でき

ません。

制限ユーザーはアクセスできます-サーバーと関連ある

場合のみです。

ス

ー

ェ

フ

フェ

ス

ー

ェ

ス:指紋の起動前またはパワーオン時サポートを

ース

ェー

第4章.ThinkV antage指紋認証ソフトウェアでの作業51

REG_DWORD"BiosFeatures"=4

この設定は、BIOSパスワードが設定されていないシステムにSafeGuardEasyがインストールされ、そのSafeGuardEasyがハードディスクを暗号化解除するのに指紋認証を利用している場合に役立ちます。

音

音:指紋認証ソフトウェアは、指紋認証プロセスの実行中のさまざまな状況下において、.wavファイル

•音に含まれる音を再生するように構成できます。これらの音のレジストリー設定は次のとおりです。

[HKEY_L

OCAL_MACHINESOFTWAREPr

[HKEY_L [HKEY_L

OCAL_MACHINESOFTWAREPr OCAL_MACHINESOFTWAREPr ‘Success ’ REG_SZ“sndSuccess”=[pathtosoundle]

スワイプが正常に登録されると、指定のファイルが再生されます。

‘Failure’ REG_SZ“sndF ailure”=[pathtosoundle]

スワイプの試行に失敗すると、指定のファイルが再生されます。

HKEY_L

OCAL_MACHINESOFTWAREP

HKEY_L HKEY_L

OCAL_MACHINESOFTWAREP OCAL_MACHINESOFTWAREP

‘Scan’ REG_SZ“sndScan”=[pathtosoundle] ClientSecuritySolution関連の操作を行って指紋検証の

ダイアログが表示されると、指定のファイルが再生されます。値が指定されていないか、空であると、サウンドは再生されません。

Quality’ REG_SZ“sndQuality”=[pathtosoundle]

読み取り不可能なスワイプが発生すると、指定のファイルが再生されます。

値が指定されていないか、空であると、サウンドは再生されません。

除

解

ク

ッ

ロ

・

ム

テ

ス

シ

シス

•シは、保存されているパスワードが指紋認証ソフトウェアによって有効性が検証されます。有効性検証では、ドメイン・コントローラーと連絡を取る必要があり、遅延が生じる可能性があります。遅延を回避するには、システム・ロック解除中に次のようにレジストリーを編集して、パスワードの有効性検証を無効にします。

[HKEY_LOCAL_MACHINESOFTWAREProtectorSuiteQL1.0settings] REG_DWORD"DoNotTestUnlock"=1

ム

テ

ス

ム・

テム

ステ

ッ

ロ

・

ック

ロッ

・ロ

除

解

ク

除中

解除

ク解

o oot tte eec cct ttor ororSuit Suit

ol ololic icicie ieies ssngerpr ngerpr

パ

の

中

パ

の

中

パス

のパ

中の

Suit

QL1

.0se

e eeQL1 QL1

ngerpr

ー

ワ

ス

ワ

ス

ワー

スワ

in inint t

有

の

ド

有

の

ド

ー

ード

有効

の有

ドの

ings]

.0se .0se

t ttt ttings] ings]

証

検

性

効

効性

証

検

性

証:デフォルトでは、システム・ロック解除中に

検証

性検

FingerprintSoftwareはシステム・ログオン時には、引き続きパスワードの有効性を検証します。

：

注

：

注

：上記のレジストリー・キーを1に設定すると、ドメイン管理者がユーザーのシステムをロックす

注：

注

る時期を変更した場合は、ユーザーがログオフして再度ログオンするまで、指紋認証ソフトウェアには旧パスワードが保存されます。

指

紋

認

証

ソ

フ

ト

ウ

ェ

ア

お

よ

び

指

紋

認

証

ソ

フ

ト

ウ

ェ

ア

お

指

指紋

紋認

認証

証ソ

ソフ

フト

トウ

ウェ

ェア

競合を防止するために、指紋認証ソフトウェアおよびNovellNetWareClientのユーザー名とパスワードは一致する必要があります。お使いのPCに指紋認証ソフトウェアがインストールしてあり、Novell NetwareClientをインストールする場合は、レジストリーの一部の項目が上書きされることがあります。指紋認証ソフトウェアのログオンで問題が発生した場合は、ログオン設定画面に移動して、ログオン・プロテクターを再度使用可能にしてください。

お使いのPCにNovellNetwareClientがインストールされていても、指紋認証ソフトウェアのインストール前にクライアントPCにログオンしていなかった場合、Novellのログオン画面が表示されます。画面で、必要な情報を入力してください。

：

注

：

注

：このセクションの情報はThinkVantage指紋認証ソフトウェア専用です。

注：

注

ログオン・プロテクター設定を変更するには、次のようにします。

52ClientSecuritySolution8.3デプロイメント・ガイド

よ

アお

およ

よび

Novell

び

Novell

びNovell

NovellNetware

Netware

NetwareClient

Client

•『コントロールセンター』を開始する。

定

設

定

設

定』をクリックする。

設定

•『設

定

設

ン

オ

グ

ロ

オ

グ

ロ

オン

グオ

ログ

•『ロ

•ログオン・プロテクターを使用可能または使用不可にする。指紋ログオンを使用したい場合は、『Windowsログオン認証を通常のパスワード認証から指紋認証に置き換える』チェック・ボックスにチェック・マークを付けます。

：

注

：

注

：ログオン・プロテクターを使用可能、または使用不可にするには、再起動が必要です。

注：

注

•お使いのシステムでユーザーの簡易切り替えがサポートされている場合は、これを使用可能または使用不可にする。

•(オプション機能)パワーオン・セキュリティーによって認証されたユーザーの自動ログオンを使用可能または使用不可にする。

•Novellログオン設定を設定する。Novellネットワークにログオンする場合は、次の設定が使用可能です。

化

動

活

化

動

活

化

動化

活動

–活

指紋認証ソフトウェアは自動的に既知のクレデンシャルを提供します。Novellのログオンが失敗すると、NovellClientログオン画面が表示され、正しいデータの入力を要求するプロンプトが出されます。

オ

グ

ロ

オ

グ

ロ

オン

グオ

ログ

–ロ

指紋認証ソフトウェアはNovellClientログオン画面を表示して、ログオン・データの入力を要求するプロンプトを出します。

効

無

効

無

効

無効

–無

指紋認証ソフトウェアはNovellログオンを試行しません。

定

設

ン

定』をクリックする。

設定

ン設

問

質

の

中

ン

中

ン

中の

ン中

問

質

の

問

質問

の質

認

証

認

証

認

認証

証

Novellを指紋認証ソフトウェアに引き渡すには、次のステップを実行します。

1.指紋認証ソフトウェアをインストールする。

2.NovellNetwareClientをインストールする。

い

は

い

は

い』をクリックしてログオンする。

3.プロンプトが出されたら、『は

4.再起動する。

5.プロンプトが出されたら、『はい』をクリックして指紋認証ソフトウェアにログオンする。

6.NovellNetwareClientを起動する。

7.サーバーに対して認証を行う。

8.Windowsにログオンする。

9.再起動する。

：

注

：

注

：WindowsとNovellの認証IDおよびパスワードは同じでなければなりません。

注：

注

ThinkVantage

ThinkVantage指

ThinkVantage指紋認証ソフトウェアのインストール後、upeksvr.exeサービスがシステムに追加されます。起動中に実行が開始されて、ユーザーがログオンしている間中、実行が続けられます。upeksvr.exeサービスは、ThinkVantage指紋認証ソフトウェアのコアで、デバイスとユーザーのデータに対してすべての操作を実行します。また、すべての生体測定検査のGUIを提供し、ユーザーのデータに対するアクセスをセキュアにします。

指

紋

認

指

紋

認

指紋

紋認

認証

はい

証

ソ

フ

ト

ウ

ェ

ア

の

サ

ー

ビ

証

ソ

フ

ト

ウ

ェ

ア

の

証ソ

ソフ

フト

トウ

ウェ

ェア

サ

アの

のサ

サー

ス

ー

ビ

ス

ービ

ビス

ス

第4章.ThinkV antage指紋認証ソフトウェアでの作業53

54ClientSecuritySolution8.3デプロイメント・ガイド

第

章

第

第5

5章

指紋コンソールは、LenovoFingerprintSoftwareインストール・フォルダーから実行する必要があります。基本的な構文はFPRCONSOLE[USER|SETTINGS]です。USERコマンドまたはSETTINGSコマンドは、どの操作セットを使用するかを指定します。完全なコマンドは『fprconsoleuseraddTestUser』のようになります。コマンドがわからない場合やすべてのパラメーターが指定されていない場合は、短いコマンド・リストがパラメーターと共に表示されます。

LenovoFingerprintSoftware、インストールの説明、管理コンソール、および関連するすべての資料は、以下のLenovoWebサイトで入手できます。

http://www.lenovo.com/support

管

理

コ

管

理

コ

管

管理

理コ

コン

LenovoFingerprintSoftwareの管理コンソール・ツールについては、47ページの『管理コンソール・ツール』を参照してください。

Lenovo

章

Lenovo

章Lenovo

LenovoFingerprint

ン

ソ

ー

ン

ソ

ー

ンソ

ソー

ール

Fingerprint

FingerprintSoftware

ル

・

ツ

ー

ル

・

ル・

・ツ

ル

ツ

ー

ル

ツー

ール

ル

Software

Softwareで

で

の

作

で

の

での

の作

業

作

業

作業

業

Lenovo

LenovoFingerprint

：

注

：

注

：LenovoFingerprintSoftwareは、システム上のターミナル・サービスを必要とします。ターミナル・

注：

注

サービスをオフにすると、LenovoFingerprintSoftwareで予期しない結果が生じる可能性があります。

LenovoFingerprintSoftwareのインストール後、以下のサービスがシステムに追加されます。

•ATService.exe(デフォルトでオン)

指紋認証システムを使用するには、ATService.exeサービスをオンにする必要があります。このサービスは、指紋センサーを使用してアプリケーションからの要求を管理します。

•データ転送サービス(デフォルトでオン)

データ転送サービスまたはATService.exeサービスが異常終了する場合、LenovoFingeprintSoftwareは予期どおりに動作しません。

•ADMonitor.exe(デフォルトでオフ)

ActiveDirectory管理をサポートするには、ADMonitor.exeサービスをオンにする必要があります。このサービスは、ActiveDirectoryから伝搬された変更がないかレジストリーをモニターし、ローカルでその変更を反映させます。

Lenovo

LenovoFingerprint

次の表に、LenovoFingerprintSoftwareのポリシー設定を示します。

表 31. ポリシー設定

設

定

設

定

設

設定

定説

Fingerprint

FingerprintSoftware

Fingerprint

FingerprintSoftware

Software

Softwareの

Software

Softwareの

の

サ

ー

ビ

の

サ

のサ

サー

の

Active

の

Active

のActive

ActiveDirectory

ス

ー

ビ

ス

ービ

ビス

ス

Directory

Directoryサ

説

明

説

明

説明

明

サ

ポ

ー

サ

サポ

ト

ポ

ー

ト

ポー

ート

ト

指紋ログオンを有効にする/無効にするコンピューターにログインするためにWindowsパスワー

ドではなく、指紋を使用するように指定します。これを使用可能に設定した場合、さらに使用可能または使用不可に設定できる2つのオプションがあります。

Disable

©CopyrightLenovo2008,2011

CTRL+ALT+DEL

Disable

•Disable

Ctrl+Alt+Deleteを押してログインするように指示するメッセージがオフになります。(WindowsXPでのみ使用可能です)

CTRL+ALT+DEL

DisableCTRL+ALT+DEL

CTRL+ALT+DELdialog

このオプションを選択すると、ユーザーに

dialog

dialogfor

for

logon

for

forlogon

interface

logon

interface

logoninterface

interface

表 31. ポリシー設定 ( 続き )

設

定

設

定

設

設定

定説

説

明

説

明

説明

明

指紋認証後のパスワードの取得を許可する

パワーオン・セキュリティ・オプションを常に表示する

パワーオン・パスワードとHDパスワードの代わりに指紋認証を使用する

ロックアウトされる前に許可するログオン試行回数を設定する

非活動期間を設定する

ユーザーの指紋登録を許可する

Require

•Require

Requirenon-administrator

authentication

このオプションを選択した場合、管理者以外のユーザーは、指紋を使用したログインのみが可能になります。

これを使用可能に設定した場合、ユーザーは、指紋認証後に、LenovoFingerprintSoftwareでユーザーのアカウントのWindowsパスワードを表示できます。

これを使用可能に設定した場合、コンピューターがオンになったとき、ユーザーは、パワーオン・パスワードとハードディスク・ドライブ・パスワードではなく指紋センサーを使用するように選択できます。Lenovo FingerprintSoftwareの登録ウィンドウで、登録する各指ごとに、パワーオン指紋認証を使用可能または使用不可に設定できます。

これを使用可能に設定すると、パワーオンおよびハードディスク・ドライブのパスワードではなく、指紋認証が使用されます。

ユーザーがロックアウトされる前に許可するログオン試行失敗の数を設定し、ユーザーがロックアウトされる期間(秒単位)も設定します。

ユーザーがログオフするまでに許可されるシステムの非活動期間(秒単位)を設定します。

これを使用可能に設定した場合、管理者以外のユーザーは、LenovoFingerprintSoftwareを使用して指紋を登録できます。

non-administrator

non-administratoruser

user

logon

with

user

logon

userlogon

logonwith

fingerprint

with

fingerprint

withfingerprint

fingerprint

ユーザーによる指紋削除を許可するこれを使用可能に設定した場合、管理者以外のユーザー

は、LenovoFingerprintSoftwareを使用して、以前に登録した指紋を削除できます。

Allowuserstoimport/exportfingerprints

指紋認証ソフトウェアの『設定』タブの要素を表示する/隠す

これを使用可能に設定した場合、管理者以外のユーザーは、LenovoFingerprintSoftwareを使用して、以前に登録した指紋をインポートおよびエクスポートできます。

これを使用可能に設定した場合、IT管理者は、指紋認証ソフトウェアの設定GUIを制御できます。

56ClientSecuritySolution8.3デプロイメント・ガイド

第

章

ベ

ス

ト

・

プ

ラ

ク

テ

ィ

第

章

ベ

ス

ト

・

プ

ラ

ク

第

第6

6章

章ベ

ベス

スト

ト・

・プ

プラ

ラク

この章では、ClientSecuritySolutionおよびFingerprintSoftwareのベスト・プラクティスを示すシナリオを提示します。このシナリオでは、ハードディスク・ドライブの設定から始まり、何回かの更新を行い、デプロイメントまでの手順を説明しています。Lenovoおよび他社製の両方のPCでのインストールを説明します。

テ

クテ

ティ

ス

ィ

ス

ィス

ス

Client

ClientSecurity

次のセクションでは、ClientSecuritySolutionをデスクトップ・コンピューターとノートブック・コンピューターの両方にインストールする場合の例をいくつか挙げます。

シ

シナ

これは、各製品を次のような仮定のカスタマー要件でデスクトップPCにインストールする場合の例です。

•Administration

•Client

Security

SecuritySolution

ナ

リ

オ

ナ

リ

オ

ナリ

リオ

オ1

Administration

PCの管理にローカル管理者アカウントを使用

Security

Client

Security

Client

SecuritySolution

ClientSecurity

–エミュレーション・モードでのインストールおよび実行

LenovoのPCすべてがTPM(セキュリティー・チップ)を備えているわけではありません。

–ClientSecurityパスフレーズを使用可能に設定

パスフレーズによってClientSecuritySolutionアプリケーションを保護します。

–ClientSecurityWindowsログオンを使用可能に設定

ClientSecurityパスフレーズでWindowsにログインします。

–エンド・ユーザー・パスフレーズのリカバリー機能を使用可能に設定

ユーザーが、自分で決めた3つの質問に答えることによって、パスフレーズを復元できるようにします。

–パスワード(XMLscriptPWなど)を使用したClientSecuritySolutionXMLスクリプトの暗号化

ClientSecuritySolution構成ファイルをパスワードで保護します。

–指紋認証ソフトウェアのインストールはオプション

Solution

Solutionを

Solution

を

イ

ン

ス

ト

ー

ル

す

る

場

合

の

デ

プ

ロ

イ

メ

ン

を

イ

ン

ス

ト

ー

ル

す

る

場

合

の

デ

プ

ロ

をイ

イン

ンス

スト

トー

ール

ルす

する

る場

場合

合の

のデ

デプ

イ

プロ

ロイ

イメ

ト

メ

ン

ト

メン

ント

ト例

例

準

マ

備

準

マシ

備マ

準備

準

1.ローカル管理者アカウントでWindowsにログインします。

2.ClientSecuritySolutionを、次のコマンドを使用してインストールします。

tvtcss83_xxxx.exe/s/v"/qn"EMULATIONMODE=1""NOCSSWIZARD=1"

(ここで、

3.コンピューターを再起動し、ローカル管理者アカウントを使用してWindowsにログインします。

4.以下を実行して、デプロイメント用のXMLスクリプトを作成します。 a.次のコマンドを実行します。

b.以下を実行して、ウィザードで構成を行います。

©CopyrightLenovo2008,2011

で

ン

シ

で以

ンで

シン

"C:ProgramFilesLenovoClientSecuritySolutioncss_wizarde.exe" /name:C:ThinkCentre

1)セ

2)管理者アカウント用のWindowsパスワード(WPW4Adminなど)を入力して、『次

を

下

以

を実

下を

以下

XXXX

ュ

キ

セ

ュ

キ

セ

ュア

キュ

セキ

リックします。

し

行

実

しま

行し

実行

はビルドIDです)。

ロ

・

ア

ロ

・

ア

ログ

・ロ

ア・

。

す

ま

。

す。

ます

へ

次

➙

ド

ッ

ソ

メ

・

ン

オ

グ

オ

グ

オン

グオ

メ

・

ン

メソ

・メ

ン・

ド

ッ

ソ

ド➙

ッド

ソッ

へ

次

➙

へをクリックします。

➙次

次

へ

へ』をク

。

す

ま

し

行

実

を

下

以

で

ン

シ

マ

備

3)管理者アカウント用のClientSecurityパスフレーズ(CSPP4Adminなど)を入力して、『Client

Recovery

Security

Securityパ

Security る

る

る』オプションを選択してから、『次

る

パ

ス

パ

スフ

パス

ー

レ

フ

ーズ

レー

フレ

使

を

ズ

使用

を使

ズを

て

し

用

て、

して

用し

て

し

用

使

を

ズ

ー

レ

フ

ス

Rescue

、

Rescue

、

Rescueand

、Rescue

and

Recovery

and

Recoveryワ

andRecovery

へ

次

へ

次

へ』をクリックします。

4)管理者アカウント用の3つの質問に答えてから、『次

ワ

ワー

次

ス

ク

ー

スペ

クス

ーク

へ

へ』をクリックします。質問の例

ス

ー

ペ

スへ

ース

ペー

ク

ア

の

へ

クセ

アク

のア

への

ス

セ

スを

セス

ス

セ

ク

ア

の

へ

ス

ー

ペ

ス

ク

ー

を以下に記します。 a)初めて飼ったペットの名前は? b)好きな映画は? c)好きなスポーツ・チームは?

用

適

用

適

用』を選択して、XMLファイルを次の場所に保存します。

5)要約を確認し、『適

適用

C:ThinkCentre.xml

了

完

了

完

了』をクリックしてウィザードを閉じます。

完了

6)『完

5.テキスト・エディター(XMLスクリプト・エディター、またはXML形式をサポートしている MicrosoftWord2003プログラム)でThinkCentre.xmlファイルを開いて、ドメイン設定へのすべての参

照を除去してから、ファイルを保存します。これにより、スクリプトは、各システムで代わりにローカル・マシン名を使用します。

6.C:ProgramFilesLenovoClientSecuritySolutionディレクトリーのxml_crypt_tool.exeツールを使用して、次のようにXMLスクリプトをパスワードで暗号化します。

xml_crypt_tool.exeC:ThinkCentre.xml/encryptXMLScriptPW

これでファイルはC:ThinkCentre.xml.encとなり、パスワードXMLScriptPWで保護され、デプロイメント・マシンに追加する準備が整いました。

Client

す

護

保

を

を保

す

護

保

す

護す

保護

デ

ロ

プ

デ

ロイ

プロ

デプ

デ

ン

メ

イ

ント

メン

イメ

マ

・

ト

マシ

・マ

ト・

で

ン

シ

で以

ンで

シン

を

下

以

を実

下を

以下

し

行

実

しま

行し

実行

。

す

ま

。

す。

ます

。

す

ま

し

行

実

を

下

以

で

ン

シ

マ

・

ト

ン

メ

イ

ロ

プ

1.ローカル管理者アカウントでWindowsにログインします。

2.RescueandRecoveryおよびClientSecuritySolutionを、次の構文でインストールします。

setup_tvtrnr40_xxxxcc.exe/s/v"/qn"EMULATIONMODE=1""NOCSSWIZARD=1"

(ここで、

：

注

：

注

：

注：

注

xxxx

はビルドIDで、

は国別コードです。)

a.WindowsXPではZ652ZIXxxxxyy00.tvt、WindowsVistaまたはWindows7ではZ633ZISxxxxyy00.tvt

(xxxxはビルドID、yyは国IDです)などのTVTファイルが実行可能ファイルと同じディレクトリーにあることを確認します。同じディレクトリーにない場合、インストールは失敗します。

b.管理者用インストールを実行する場合は、57ページの『シナリオ1』を参照してください。

3.コンピューターを再起動し、ローカル管理者アカウントを使用してWindowsにログインします。

4.先に作成したThinkCentre.xml.encファイルをC:のルート・ディレクトリーに追加します。

5.RunOnceExコマンドを、以下のパラメーターを指定して作成します。 a.RunonceExキーの後に0001という新規キーを追加します。

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionRunOnceEx0001

b.このキーにCSSEnrollというストリング値名を追加します。

"C:ProgramFilesLenovoClientSecuritySolutionvmserver.exe" C:ThinkCenter .xml.encXMLscriptPW

6.以下のコマンドを実行して、sysprepバックアップ用にシステムを準備します。

%rr%C:ProgramFilesLenovoRescueandRecoveryrrcmd.exe" sysprepbackuplocation=Lname="SysprepBackup"

その後、システムでsysprepバックアップを行う準備が整うと以下の出力が表示されます。

58ClientSecuritySolution8.3デプロイメント・ガイド

***************************************************** **Readytotakesysprepbackup.** **** **PLEASERUNSYSPREPNOWANDSHUTDOWN.** **** **Nexttimethemachineboots,itwillboot** **tothePredesktopAreaandtakeabackup.** *****************************************************

7.Sysprepを実行します。

8.シャットダウンしてから、コンピューターを再起動します。RescueandRecoveryワークスペースで、バックアップ処理が開始されます。

：

注

：

注

：『復元が進行中ですが、バックアップが行われています』というメッセージが表示される場合、

注：

注

バックアップ後にコンピューターをシャットダウンし、再起動はしないでください。

9.これで、Sysprepの基本バックアップが完了しました。

シ

ナ

リ

オ

シ

ナ

リ

シ

シナ

ナリ

リオ

これは、各製品を次のような仮定のカスタマー要件でノートブック・コンピューターにインストー

ルする場合の例です。

Administration

•Administration

–旧バージョンのClientSecuritySolutionがインストールされているマシンにインストール –PCの管理にドメイン管理者アカウントを使用 –すべてのコンピューターに、BIOSスーパーバイザー・パスワードBIOSpwを割り当て

Client

ClientSecurity

•Client

オ

オ2

Security

SecuritySolution

Solution

–TPMを活用

すべてのPCにセキュリティー・チップを搭載 –PasswordManagerを使用可能に設定 –ClientSecuritySolutionに対する認証として、ユーザーのWindowsパスワードを活用 –パスワード(XMLscriptPWなど)を使用したClientSecuritySolutionXMLスクリプトの暗号化

ClientSecuritySolution構成ファイルをパスワードで保護します。

ア

ェ

ウ

ト

フ

ソ

証

認

紋

ThinkVantage

ThinkVantage指

•ThinkVantage

–BIOSとハードディスク・ドライブのパスワードを使用しない –ThinkVantageFingerprintSoftwareを使用してWindowsにログインする

一定のセルフ・ユーザー登録期間後、ユーザーは、管理者以外のユーザーの場合は指紋を必要とす

る保護モード・ログオンに切り替えて、デュアル・ファクター認証方式を効果的に実行できます。 –FingerprintSoftwareチュートリアルの組み込み

指紋認証ソフトウェア・チュートリアルは、エンド・ユーザーが、指紋センサーで指紋を読み取る

方法について理解を深め、そのアクションの視覚的フィードバックを確認するのに役立ちます。

シ

マ

備

準

準備

準

シ

マ

備

シン

マシ

備マ

1.電源オフの状態からコンピューターを始動し、F1 ニューに移動してセキュリティー・チップをクリアします。設定を保存して、BIOSを終了します。

2.ドメイン管理者アカウントでWindowsにログインします。

3.以下を実行して、ThinkVantage指紋認証ソフトウェアをインストールします。 a.f001zpz2001us00.exeファイルを実行して、Webパッケージからsetup.exeファイルを解凍します。

setup.exeファイルが、以下の場所に自動的に解凍されます。

C:SWTOOLSAPPSTFS5.9.2-BuildxxxxApplication0409(ここでxxxxはビルドIDです)。

指

指紋

以

で

ン

以

で

ン

以下

で以

ンで

証

認

紋

証ソ

認証

紋認

実

を

下

実

を

下

実行

を実

下を

ト

フ

ソ

トウ

フト

ソフ

ま

し

行

ま

し

行

ます

しま

行し

ア

ェ

ウ

ア

ェア

ウェ

。

す

。

す

。

す。

F1を押してBIOSSetupUtilityに入り、『Security

Security

Security』メ

第6章.ベスト・プラクティス59

b.解凍されたsetup.exeファイルをダブルクリックして、画面上の指示に従って、ThinkVantage指紋

認証ソフトウェアをインストールします。

4.以下を実行して、ThinkVantage指紋認証ソフトウェア・チュートリアルをインストールします。 a.f001zpz7001us00.exeファイルを実行して、Webパッケージからtutess.exeファイルを解凍します。

tutess.exeファイルが、以下の場所に自動的に解凍されます。 C:SWTOOLSAPPStutorialTFS5.9 .2BuildxxxxTutorial0409(ここでxxxxはビルドIDです)。

b.tutess.exeファイルをダブルクリックして、ThinkVantage指紋認証ソフトウェア・チュートリアル

をインストールします。

5.以下を実行して、ThinkVantage指紋認証コンソールをインストールします。 a.f001zpz5001us00.exeを実行して、Webパッケージからfprconsole.exeファイルを解凍します。

fprconsole.exeファイルが、以下の場所に自動的に解凍されます。 C:SWTOOLSAPPSfpr_conAPPSUPEKFPRConsoleTFS5.9.2-BuildxxxFprconsole(ここで、xxxxはビルド IDです)。

b.fprconsole.exeファイルをダブルクリックして、ThinkVantage指紋認証コンソールをインストール

します。

6.ClientSecuritySolutionを、次の構文でインストールします。

tvtcss82_xxxxcc.exe/s/v”/qnNOCSSWIZARD=1SUPERVISORPW="BIOSpw""

7.コンピューターを再起動し、ドメイン管理者アカウントを使用してWindowsにログインし、デプロイ

メント用のXMLスクリプトを作成します。

a.次のコマンドを実行します。

"C:ProgramFilesLenovoClientSecuritySolutioncss_wizard.exe" /name:C:ThinkPad

b.以下を実行して、スクリプト例に合わせてウィザードで構成を行います。

セ

キ

セ

キュ

セキ

1)セ

・

ア

ュ

・ロ

ア・

ュア

オ

グ

ロ

オン

グオ

ログ

メ

・

ン

メソ

・メ

ン・

ド

ッ

ソ

ド➙

ッド

ソッ

2)ドメイン管理者アカウント用のWindowsパスワード(WPW4Adminなど)を入力して、『次

へ

へ』をクリックします。

へ

次

➙

へをクリックします。

➙次

次

へ

次

➙

ド

ッ

ソ

メ

・

ン

オ

グ

ロ

・

ア

ュ

キ

3)ドメイン管理者アカウントのClientSecurityパスフレーズを入力します。

へ

4)『パ

パ

ワ

ス

パ

ワー

スワ

パス

復

ド

ー

復元

ド復

ード

復

ド

ー

ワ

ス

5)要約を確認し、『適

元

元を

効

無

を

効に

無効

を無

用

適

用

適

用』をクリックして、XMLファイルを次の場所に保存します。

適用

定

設

に

定』を選択してから、『次

設定

に設

定

設

に

効

無

を

次

へ

次

へ』をクリックします。

C:ThinkPad.xml

了

完

了

完

了』をクリックしてウィザードを閉じます。

完了

6)『完

8.C:ProgramFilesLenovoClientSecuritySolutionディレクトリーのxml_crypt_tool.exeツールを使用して、次のようにXMLスクリプトをパスワードで暗号化します。コマンド・プロンプトで、次の

構文を使用します。

xml_crypt_tool.exeC:ThinkPad.xml/encryptXMLScriptPW

これでファイルはC:ThinkPad.xml.encとなり、パスワードXMLScriptPWで保護されます。

デ

ロ

プ

デ

ロイ

プロ

デプ

デ

ン

メ

イ

ント

メン

イメ

マ

・

ト

マシ

・マ

ト・

で

ン

シ

で以

ンで

シン

を

下

以

を実

下を

以下

し

行

実

しま

行し

実行

。

す

ま

。

す。

ます

。

す

ま

し

行

実

を

下

以

で

ン

シ

マ

・

ト

ン

メ

イ

ロ

プ

1.以下を実行して、ThinkVantage指紋認証ソフトウェアをデプロイメント・マシンにインストールします。

a.準備マシンから取り出したsetup.exeファイルをデプロイメント・マシンにデプロイします。その

際、自社のソフトウェア配布ツールを使用します。

b.次のコマンドを実行します。

setup.exeCTLCNTR=0/q/i

2.以下を実行して、ThinkVantage指紋認証ソフトウェア・チュートリアルをデプロイメント・マシンにインストールします。

60ClientSecuritySolution8.3デプロイメント・ガイド

a.準備マシンから取り出したtutess.exeファイルをデプロイメント・マシンにデプロイします。その

際、自社のソフトウェア配布ツールを使用します。

b.次のコマンドを実行します。

tutess.exe/q/i

3.以下を実行して、ThinkVantage指紋認証コンソールをデプロイメント・マシンにインストールします。 a.準備マシンから取り出したfprconsole.exeファイルをデプロイメント・マシンにデプロイします。

その際、自社のソフトウェア配布ツールを使用します。

b.fprconsole.exeファイルをC:ProgramFilesThinkVantageFingerprintSoftwareディレクトリーに入

れます。

c.次のコマンドを実行して、BIOSパワーオン・セキュリティー・サポートをオフにします。

fprconsole.exesettingsTBX0

4.以下を実行して、ThinkVantageClientSecuritySolutionをデプロイメント・マシンにインストールします。

a.tvtvcss83_xxxx.exe(ここで

します。その際、自社のソフトウェア配布ツールを使用します。

b.次のコマンドを実行します。

tvtvcss83_xxxx.exe/s/v"/qn"NOCSSWIZARD=1""SUPERVISORPW="BIOSpw""

ソフトウェアをインストールすると、TPMハードウェアが自動的に使用可能になります。

5.コンピューターを再起動し、次の手順で、XMLスクリプト・ファイルによるシステム構成を行います。

a.先に作成したThinkPad.xml.encファイルを、C:ディレクトリーにコピーします。 b.次のコマンドを実行します。

"C:ProgramFilesLenovoClientSecuritySolution vmserver.exe"C:ThinkPad.xml.encXMLScriptPW

6.コンピューターを再起動すると、システムでClientSecuritySolutionユーザー登録の準備ができています。すべてのユーザーは、それぞれのユーザーIDとWindowsパスワードでシステムにログインできます。システムにログインする各ユーザーに、ClientSecuritySolutionへの登録を促すプロンプトが自動的に出され、登録すると、指紋センサーへの登録ができるようになります。

7.システムのすべてのユーザーがThinkVantage指紋認証ソフトウェアに登録されたら、保護モード設定を使用可能にして、Windowsのすべての管理者以外のユーザーに、各自の指紋でログインするよう求めることができます。

xxxx

はビルドIDです)ファイルを、デプロイメント・マシンにデプロイ

•保護モード設定を使用可能にするには、次のコマンドを実行します。

"C:ProgramFilesThinkVantageFingerprintSof tware fprconsole.exe"settingssecuremode1

•『パスワードを使用してログインするにはCtrl+Alt+Deleteを押してください(PressCtrl+Alt+Delete

tologinusingapassword)』というメッセージをログオン画面から削除するには、次のコマンドを実行してください。

"C:ProgramFilesThinkVantageFingerprintSof twarefprconsole.exesettings" CAD0

8.これで、ClientSecuritySolution8.3とThinkVantage指紋認証ソフトウェアのデプロイメントが完了しました。

Client

ClientSecurity

ClientSecuritySolutionモードを『便利なログオン・メソッド』から『セキュア・ログオン・メソッド』に切り替えるか、『セキュア・ログオン・メソッド』から『便利なログオン・メソッド』に切り替える場合で、システムのバックアップにRescueandRecoveryを使用している場合、モードを切り替えた後に新しい基本バックアップをとってください。

Security

SecuritySolution

Solution

Solutionモ

モ

ー

ド

の

切

り

替

モ

ー

ド

の

モー

ード

切

ドの

の切

切り

え

り

替

え

り替

替え

え

第6章.ベスト・プラクティス61

企

業

用

企

業

企

企業

業用

企業用ActiveDirectoryを展開する場合、次のステップを実行します。

1.ActiveDirectoryまたはLANDeskを使用してインストールします。

CDま

CDまたはスクリプト・ファイルのスタンドアロン・インストールの場合、次のステップを実行します。

1.バッチ・ファイルを使用してClientSecuritySolutionおよび指紋認証ソフトウェア・テクノロジーを

2.BIOSパスワード・リカバリーをサイレント構成します。

Active

用

Active

用Active

ActiveDirectory

a.ActiveDirectoryおよびLANDeskを使用してバックアップを取り、バックアップを取った人

物と時点について報告を得ます。

b.バックアップの作成、バックアップの削除、スケジュール・オプション、およびパスワードの

制約事項に関する機能を特定のグループに付与してから、グループを変更し、設定が存続するかどうかを参照します。

c.ActiveDirectoryからAntidoteDeliveryManagerを有効にします。実行するパッケージを提供し、報

告が取り込まれることを確認します。

ま

た

は

ま

た

は

また

たは

はス

サイレント・インストールします。

ス

スク

Directory

Directoryの

ク

リ

ク

リ

クリ

リプ

の

展

開

の

展

開

の展

展開

開

プ

ト

・

フ

ァ

イ

ル

の

ス

タ

ン

ド

ア

ロ

ン

・

イ

ン

ス

ト

ー

プ

ト

・

フ

ァ

イ

ル

の

ス

タ

ン

ド

ア

ロ

ン

・

イ

ン

プト

ト・

・フ

ファ

ァイ

イル

ルの

のス

スタ

タン

ンド

ドア

アロ

ロン

ン・

・イ

ス

イン

ンス

スト

ル

ト

ー

ル

トー

ール

ル

System

SystemUpdate

SystemUpdateをするには、次のステップを実行します。

1.Lenovoサーバーを使う代わりに、大企業がサーバーをセットアップする方法をシミュレートした

2.3種類のバージョンの古いソフトウェア(RescueandRecovery1.0/2.0/3.0、指紋認証、ClientSecurity

System

SystemMigration

SystemMigrationAssistant6.0は、古いシステムから最新のWindows7システムへの移行、および旧バージョンのClientSecuritySolutionと指紋認証ソフトウェアのソフトウェア設定の移行をサポートしています。SystemMigrationAssistant6.0は、以下のLenovoWebサイトからダウンロードできます。 http://www.lenovo.com/support

TPM

TPMで

証明書はClientSecuritySolutionCSPを使用して直接生成でき、証明書内の秘密鍵はTPMによって生成され、保護されます。ClientSecuritySolutionCSPを使用して証明書を要求するには、次のようにします。

要

件

要

件

要

要件

件:

Update

カスタマイズ済みのSystemUpdateサーバーを使ってClientSecuritySolutionおよび指紋認証ソフトウェアをインストールすれば、コンテンツの管理ができます。

Solution5.4～6、FFE)を上書きインストールします。古いバージョンに上書きして新しいバージョン

をインストールする際には、設定を保持する必要があります。

Migration

MigrationAssistant

で

の

鍵

で

での

生

の

鍵

生

の鍵

鍵生

生成

Assistant

成

を

使

用

し

た

証

明

書

の

生

成

を

使

用

し

た

証

明

成を

を使

使用

用し

した

た証

書

証明

明書

書の

成

の

生

成

の生

生成

成

•サーバー・マシンに以下がインストールされている必要があります。

–WindowsServer2003Enterprise以上 –ActiveDirectory –証明機関サービス

•クライアント・マシンは以下の要件に適合している必要があります。

–TPMが使用可能になっている

62ClientSecuritySolution8.3デプロイメント・ガイド

–ClientSecuritySolutionがインストールされている

サ

ー

バ

ー

か

ら

の

証

明

書

の

要

サ

ー

バ

ー

か

ら

の

証

明

サ

サー

ーバ

バー

ーか

から

らの

の証

証明

ン

テ

の

ー

ザ

ー

ユ

TPM

ユ

TPM

ユー

TPMユ

TPM

TPMユーザー用のテンプレートを作成するには、以下の手順を実行します。

ス

『

ス

『

スタ

『ス

1.『

2.mmcと入力し、『OK

フ

ファ

3.『フます。『スタンドアロンスナップインの追加』ウィンドウが表示されます。

4.スナップイン・リストで『証

5.『スナップインの追加と削除』ウィンドウで『OK

6.コンソール・ツリーから『証トが左側のペインに表示されます。

作

操

作

操

作➙

操作

7.操

表

表示

8.『表

要

要求

9.『要 CSP

CSP

CSP』が選択されていることを確認します。

CSP

一

一般

10.『一を確認します。

グ

グル

11.『グ Users

Users

Users』をクリックして、『Authenticated

Users

選択されていることを確認します。

ー

ザ

ー

ーの

ザー

ーザ

ト

ー

タ

ト

ー

タ

ト』

ート

ター

ル

イ

ァ

ル

イ

ァ

ル』メニューの『ス

イル

ァイ

ン

テ

➙

ン

テ

➙

ンプ

テン

➙テ

名

示

名

示

名』フィールドにTPMUserと入力します。

示名

理

処

求

理

処

求

理』タブで『CSP

処理

求処

般

般』タブをクリックします。『Active

プ

ー

ル

プ

ー

ル

プ名

ープ

ルー

ン

テ

の

ンプ

テン

のテ

『

➙

』

『

➙

』

『フ

➙『

』➙

OK』をクリックします。コンソール・ウィンドウが表示されます。

ー

レ

プ

ー

レ

プ

ート

レー

プレ

は

た

ま

名

名ま

は

た

ま

はユ

たは

また

書

明書

書の

ー

レ

プ

ー

レ

プ

ート

レー

プレ

ル

イ

ァ

フ

ファ

ト

トの

ル

イ

ァ

ル名

イル

ァイ

ス

スナ

証

証明

証

証明

製

複

の

製

複

の

製の順にクリックします。

複製

の複

CSP

CSP』をクリックします。『サ

ー

ザ

ー

ユ

ユー

ー

ザ

ー

ー名

ザー

ーザ

求

の

要

求

の要

要求

求

成

作

の

ト

トの

名

名を

ナ

ナッ

明

明機

明

明書

名

名』リストの『セ

Authenticated

AuthenticatedUsers

成

作

の

成

作成

の作

』

行

実

て

し

定

指

を

指

を

指定

を指

ッ

ップ

機

機関

書

書テ

て

し

定

て実

して

定し

ン

イ

プ

ン

イ

プ

ンの

イン

プイ

関

関』をダブルクリックし、『閉

プ

ン

テ

プ

ン

テ

プレ

ンプ

テン

Active

ActiveDirectory

』

行

実

』をクリックします。

行』

実行

加

追

の

加

追

の

加と

追加

の追

ト

ー

レ

ト

ー

レ

ト』をクリックします。すべての証明書テンプレー

ート

レー

Directory

Directoryの

セ

セキ

の

Users

の

Users

のア

Usersの

除

削

と

除

削

と

除』をクリックしてから、『追

削除

と削

じ

閉

じ

閉

じる

閉じ

OK』をクリックします。

の

ト

ク

ェ

ジ

ブ

サ

サブ

ュ

キ

ュ

キ

ュリ

キュ

ク

ア

ク

ア

クセ

アク

ェ

ジ

ブ

ェク

ジェ

ブジ

明

証

の

明

証

の

明書

証明

の証

ィ

テ

リ

ィ

テ

リ

ィ』タブをクリックし、『Authenticated

ティ

リテ

許

ス

セ

許

ス

セ

許可

ス許

セス

の

ト

ク

のコ

トの

クト

行

発

を

書

書を

行

発

を

行す

発行

を発

可

可』オプションで『登

加

追

加

追

加』をクリックし

追加

る

る』をクリックします。

用

利

で

タ

ー

ュ

ピ

ン

コ

ン

コ

ンピ

コン

す

する

ー

ュ

ピ

ータ

ュー

ピュ

る

る』が選択されていること

利

で

タ

利用

で利

タで

Authenticated

録

登

録

登

録(Enroll)

登録

能

可

能

可

用

能な

可能

用可

(Enroll)

(Enroll)』が

な

な任

の

意

任

の

意の

任意

の

意

任

エ

タ

ン

エ

ター

ンタ

エン

エ

エンタープライズ証明機関を構成してTPMユーザー証明書を発行するには、以下の手順を実行します。

1.証明機関を開きます。

2.コンソール・ツリーで、『証

操

操作

3.『操

TPM

TPM』をクリックし、『OK

4.『TPM

イ

ラ

ク

イ

ラ

ク

イア

ライ

クラ

ク

クライアントから証明書を適用するには、以下の手順を実行します。

1.イントラネットへ接続し、InternetExplorerを開始して、CAサービスがインストールされているサーバーのIPアドレスを入力します。

2.プロンプト・ウィンドウにドメイン・ユーザー名とパスワードを入力します。

タ

タス

3.『タ

4.Webページの下部にある『証

5.『証明書の要求の詳細設定』ページで、以下の設定を変更します。

•『証

•『CSP

•『エ

•『送

ラ

プ

ー

ライ

プラ

ープ

作

作』メニューから新

ト

ン

ア

ト

ン

ア

トか

ント

アン

の

ク

ス

の

ク

ス

の選

クの

スク

書

明

証

書

明

証

書テ

明書

証明 CSP

CSP

CSP』ドロップダウン・リストから『ThinkVantage

ス

ク

エ

ス

ク

エ

スポ

クス

エク

信

送

信

送

信』をクリックし、プロセスに従います。

送信

イ

イズ

か

から

択

選

択

選

択』の『証

選択

ン

テ

ン

テ

ンプ

テン

ー

ポ

ー

ポ

ート

ポー

証

ズ

証明

ズ証

の

ら

の

ら

の証

らの

レ

プ

レ

プ

レー

プレ

可

ト

可

ト

可能

ト可

関

機

明

関の

機関

明機

証

証明

規

新

規

新

規➙

新規

OK』をクリックします。

書

明

証

書

明

証

書の

明書

証明

書

明

証

書

明

証

書の

明書

証明

証

証明

ト

ー

ト

ー

ト』ドロップダウン・リストから『TPM

ート

ー

キ

な

能

能な

ー

キ

な

ーと

キー

なキ

成

構

の

成

構成

の構

プ

ン

テ

書

明

書

明

書テ

明書

発

➙

発

➙

発行

➙発

適

の

適

の

適用

の適

要

の

要

の

要求

の要

書

明

書

明

書の

明書

と

とし

プ

ン

テ

プレ

ンプ

テン

証

る

す

行

行す

し

して

証

る

す

証明

る証

する

用

求

求』をクリックします。

求

要

の

求

要

の

求の

要求

の要

ー

マ

て

ー

マ

て

ーク

マー

てマ

ト

ー

レ

ト

ー

レ

ト』をクリックします。

ート

レー

書

明

書

明

書をクリックします。

明書

定

設

細

詳

の

詳

の

詳細

の詳

ThinkVantage

ThinkVantageClient

す

ク

クす

定

設

細

定』をクリックします。

設定

細設

(TPM

ー

ザ

ー

ユ

TPM

TPMユ

Client

ClientSecurity

る

す

る』が選択されていないことを確認します。

する

ー

ユ

ーザ

ユー

Security

SecuritySolution

ザ

ザー

ー

ー(TPM

Solution

SolutionCSP

(TPM

(TPMUser)

User)

User)』を選択します。

CSP

CSP』を選択します。

成

構

の

関

機

明

証

ズ

イ

ラ

プ

ー

タ

ン

第6章.ベスト・プラクティス63

•『証明書は発行されました』ページで『こトールされた証明書』ページが表示されます。

こ

証

の

こ

証明

の証

この

の

書

明

のイ

書の

明書

ス

ン

イ

スト

ンス

イン

ル

ー

ト

ル』をクリックします。『インス

ール

トー

ル

ー

ト

ス

ン

イ

の

書

明

証

の

2008

2008ThinkPad (R400/R500/T400/T500/W500/X200/X301)でキ

キ

キー

Lenovoは、ThinkPad する2つのベンダーと契約しています。2008より前のThinkPadノートブック・コンピューター・モデル (例えば、T61など)では、ThinkVantage指紋センサーを使用します。2008ThinkPadノートブック・コンピューター・モデル(T400以降)では、Lenovo指紋センサーを使用します。LenovoのUSB指紋センサー付きキーボードではすべて、ThinkVantage指紋センサーを使用します。一部のThinkPadノートブック・モデル(例えば、外部USBキーボードを備えたThinkPadT400など)で指紋センサー付きキーボードを使用するときには、特別な考慮が必要です。

このセクションでは、最新のThinkPadノートブック・コンピューター・モデルにインストールされた指紋認証ソフトウェアの一般的な使用法のシナリオとデプロイメントの戦略について説明します。

注

注：

注

•LenovoFingerprintSoftwareLenovoFingerprintSoftwareは、AuthenTec指紋センサー(例えば、T400内

•ThinkVantage指紋認証ソフトウェアThinkVantage指紋認証ソフトウェアは、UPEK指紋センサー(例え

Windows

Windows7

Windows7オペレーティング・システムにログオンするときには、随時、AuthenTec指紋センサーも UPEK指紋センサーも使用できます。

10.指紋の登録を使用して、内蔵指紋センサーで指紋を登録します。自動的に開始されない場合は、ス

11.Windowsパスワードを入力するように求められたら入力し、登録する指を選択します。

12.コンピューター画面のプロンプトに従い、内蔵指紋センサーを使用して指を登録します。

13.ウィンドウの上部にある『設

14.『Windows

ThinkPad

ThinkPadノ

ー

ボ

ー

ボ

ー

ボー

ード

Windows

Windowsに

ト

ー

ト

ー

ト➙

ート

Windows

Windowsに

ド

ドの

7の

プ

➙

プ

➙

プロ

➙プ

ー

ーボ

：

蔵の指紋センサーなど)のソフトウェアです。

ば、T61内蔵の指紋センサー、すべての外部USBキーボードの指紋センサーなど)のソフトウェアです。

1.LenovoFingerprintSoftwareバージョン3.2.0.275以降をインストールします。

2.ThinkVantage指紋認証ソフトウェアバージョン5.8.2.4824以降をインストールします。

3.PCを再起動します。指紋登録ウィザードが自動的に開始されます。

4.ThinkVantage指紋認証ソフトウェアを使用して、外部指紋センサーに指紋を登録します。自動的に開始されない場合は、ス

ThinkVantage

ThinkVantageFingerprint

ThinkVantage

5.Windowsパスワードを入力するように求められたら入力し、登録する指を選択します。

6.コンピューター画面のプロンプトに従い、外部指紋センサーを使用して指を登録します。

7.ウィンドウの上部にある『設

8.『Windows

を選択し、『OK

9.コンピューターを再起動し、外部指紋センサーでWindowsにログオンするために指紋を使用できる

ことを確認します。

タ

ター

タ

にクリックして、登録を開始します。

を選択し、『OK

ノ

ー

ト

ブ

ッ

ク

・

コ

ン

ピ

ュ

ー

タ

ー

・

モ

デ

ノ

ー

ト

ブ

ッ

ク

・

コ

ン

ピ

ュ

ー

タ

ー

・

ノー

ート

トブ

ブッ

ック

ク・

・コ

コン

ンピ

ピュ

ュー

ータ

ター

ー・

で

の

で

の

での

のUSB

の

使

用

の

使

用

の使

使用

用

ノートブック・コンピューター・モデルとUSBキーボードにおける指紋認証を提供

の

ロ

グ

オ

の

ロ

のロ

ログ

Fingerprint

FingerprintSoftware

グ

ロ

に

グ

ロ

に

グイ

ログ

にロ

OK』をクリックしてから、『閉

ラ

グ

ロ

ラ

グ

ロ

ラム

グラ

ログ

グ

ロ

に

グ

ロ

に

グイ

ログ

にロ

OK』をクリックしてから、『閉

ン

グ

オ

ン

グオ

オン

ン

、

は

た

ま

(

ム

ラ

グ

ロ

プ

➙

ト

ー

タ

ス

タ

ス

ター

スタ

Software

Softwareの順にクリックして、登録を開始します。

設

設定

と

る

す

ン

イ

ン

イ

ンす

イン

ム

ム(

ン

イ

ン

イ

ンす

イン

と

る

す

とき

ると

する

は

た

ま

(

は

た

ま

(

は、

たは

また

(ま

設

設定

と

る

す

と

る

す

とき

ると

する

➙

ト

ー

➙プ

ト➙

ート

定

定』をクリックします。

パ

、

き

パ

、

き

パス

、パ

き、

べ

す

、

べ

す

、

べて

すべ

、す

定

定』をクリックします。

パ

、

き

パ

、

き

パス

、パ

き、

グ

ロ

プ

グラ

ログ

プロ

ド

ー

ワ

ス

スワ

て

ての

ス

スワ

ド

ー

ワ

ドで

ード

ワー

ロ

プ

の

ロ

プ

の

ログ

プロ

のプ

ド

ー

ワ

ド

ー

ワ

ドで

ード

ワー

ま

(

ム

ラ

また

(ま

ム(

ラム

な

は

で

な

は

で

なく

はな

では

る

じ

閉

る

じ

閉

る』をクリックしてウィンドウを閉じます。

じる

閉じ

ム

ラ

グ

ム

ラ

グ

ム)

ラム

グラ

な

は

で

な

は

で

なく

はな

では

る

じ

閉

る

じ

閉

る』をクリックしてウィンドウを閉じます。

じる

閉じ

、

は

た

、す

は、

たは

紋

指

く

紋

指

く

紋ス

指紋

く指

ThinkVantage

➙

)

ThinkVantage

➙

)

ThinkVantage➙

➙ThinkVantage

)➙

紋

指

く

紋

指

く

紋ス

指紋

く指

す

すべ

ス

スキ

ス

スキ

モ

・モ

モデ

USB

USB指

の

て

べ

の

て

べ

のプ

ての

べて

ン

ャ

キ

ン

ャ

キ

ンを

ャン

キャ

ン

ャ

キ

ン

ャ

キ

ンを

ャン

キャ

ル

デ

ル

デル

ル

指

紋

セ

ン

指

紋

指紋

紋セ

ラ

グ

ロ

プ

プロ

を

を使

を

を使

ラ

グ

ロ

ラム

グラ

ログ

す

用

使

す

用

使

する

用す

使用

Lenovo

➙

Lenovo

➙

LenovoFingerprint

➙Lenovo

す

用

使

す

用

使

する

用す

使用

サ

セ

ン

サ

セン

ンサ

サー

➙

)

ム

➙

)

ム

➙ThinkVantage

)➙

ム)

る

る』チェック・ボックス

Fingerprint

FingerprintSoftware

る

る』チェック・ボックス

ー

付

き

ー

付

き

ー付

付き

き

ThinkVantage

ThinkVantage➙

Software

Softwareの順

➙

ス

64ClientSecuritySolution8.3デプロイメント・ガイド

15.コンピューターを再起動し、内蔵指紋センサーでWindowsにログオンするために指紋を使用できることを確認します。

Client

ClientSecurity

Windowsログオンとは異なり、ClientSecuritySolutionとPasswordManagerからの認証要求は、優先指紋センサーでのみ機能します。例えば、指紋センサー付きキーボードが接続されている場合、その指紋センサーが優先デバイスになります。指紋センサー付きキーボードが接続されていない場合は、ThinkPad 内蔵指紋センサーが優先デバイスになります。

優先デバイスを変更するには、次のようなレジストリー項目を作成します。

[HKLMSoftwareLenovoTVTCommonClientSecuritySolution] REG_DWORD"PreferInternalFPSensor"=1

表 32. レジストリー・キー

名

名前

Pref erInternalFPSensor

プ

プリ

Windowsログオンとは異なり、BIOSパスワードの認証要求は、BIOSが使用されるように構成されているときにのみ、指紋センサーで機能します。デフォルトでは、BIOSは、指紋センサー付きキーボードが接続されている場合、そのキーボードによる指紋の読み取りを認識します。指紋センサー付きキーボードが接続されていない場合、BIOSは、内蔵指紋センサー・デバイスでの指紋読み取りを認証に使用します。

Security

SecuritySolution

前

前値

リ

ブ

ー

リ

リブ

ト

ブ

ー

ト

ブー

ート

ト認

認

認証

Solution

Solutionと

証

証-

-BIOS

BIOS

BIOSパ

と

とPassword

パ

パス

Password

PasswordManager

値

値説

0(デフォルト)

ス

ワ

ー

ス

ワ

ー

スワ

ワー

ード

Manager

ド

の

代

わ

り

に

ド

の

代

ドの

わ

の代

代わ

わり

指

り

に

指

りに

に指

指紋

説

明

説

明

説明

明

指紋センサー付きキーボードが接続されているときには必ず、外部指紋センサーが優先されるように指定します。

内蔵指紋センサーが優先されるように指定します。

紋

を

使

用

す

紋

を

使

紋を

を使

使用

る

用

す

る

用す

する

る

Reader

ソ

証

証ソ

)

)➙

ー

ワ

ー

ワ

ード

ワー

プ

オ

プ

オ

プシ

オプ

ReaderPriority

フ

ソ

フト

ソフ

ThinkVantage

➙

ThinkVantage

➙

ThinkVantage➙

➙ThinkVantage

ド

ドで

シ

ショ

外部指紋センサー付きキーボードが接続されているときでも、Reader

Reader

ンサーを強制的に使用するように変更できます。Reader

Internal

InternalOnly

を『Internal

：

注

：

注

：このBIOS設定は、BIOS上の指紋プロンプトのみに適用されます。WindowsログオンやClient

注：

注

SecuritySolutionの指紋認証要求には影響しません。

リ

プ

リ

プ

リブ

プリ

プ

BIOSでスーパーバイザー、パワーオン、またはハードディスク・ドライブ・パスワードを設定した場合は、これらのパスワードを入力する代わりに、認証に指紋認証ソフトウェアを使用するように構成できます。

Lenovo

LenovoFingerprint

Lenovo

ス

スタ

1.スの順にクリックし、LenovoFingerprintSoftwareを開始します。

2.指紋を読み取らせるか、またはWindowsパスワードを入力するように求められたら、パスワードを入力します。

3.ウィンドウの上部にある『設

4.『パチェック・ボックスと『パクスを選択します。

5.『OK

6.登録された指紋の1つを選択して、指紋を使用可能に設定し、BIOSパスワードを置き換えます。

Only

Only』に変更して、内蔵指紋センサーを強制的に使用することができます。

た

る

す

に

能

可

用

使

を

証

認

ト

ー

ブ

ー

ブ

ート

ブー

Fingerprint

FingerprintSoftware

ー

タ

ー

タ

ート

ター

ワ

パ

ワ

パ

ワー

パワ

OK』をクリックして、ウィンドウを閉じます。

証

認

ト

証を

認証

ト認

プ

➙

ト

プ

➙

ト

プロ

➙プ

ト➙

ン

オ

ー

ン

オ

ー

ンセ

オン

ーオ

使

を

使用

を使

Software

Software-

ラ

グ

ロ

ラ

グ

ロ

ラム

グラ

ログ

ュ

キ

セ

ュ

キ

セ

ュリ

キュ

セキ

用

用可

ム

ム(

リ

リテ

に

能

可

にす

能に

可能

指

蔵

内

指

蔵

内

指紋

蔵指

内蔵

-内

は

た

ま

(

は

た

ま

(

は、

たは

また

(ま

定

設

定

設

定』をクリックします。

設定

ハ

と

ィ

テ

ティ

ハ

と

ィ

ハー

とハ

ィと

ー

ワ

パ

ー

ワ

パ

ーオ

ワー

パワ

た

る

す

ため

るた

する

サ

ン

セ

紋

紋セ

、

、す

サ

ン

セ

サー

ンサ

セン

て

べ

す

て

べ

す

ての

べて

すべ

デ

ド

ー

デ

ド

ー

ディ

ドデ

ード

セ

ン

オ

セ

ン

オ

セキ

ンセ

オン

ReaderPriority

指

の

め

指

の

め

指紋

の指

めの

場

の

ー

場

の

ー

場合

の場

ーの

ロ

プ

の

ロ

プ

の

ログ

プロ

のプ

ク

ス

ィ

ク

ス

ィ

クの

スク

ィス

リ

ュ

キ

リ

ュ

キ

リテ

ュリ

キュ

Priority

Priorityのデフォルト値は『External

認

紋

認

紋

認証

紋認

合

ム

ラ

グ

ム

ラ

グ

ム)

ラム

グラ

ス

パ

の

ス

パ

の

スワ

パス

のパ

の

ィ

テ

の

ィ

テ

のオ

ィの

ティ

Priority

PriorityのBIOS設定を、内蔵指紋セ

External

External』です。設定

成

構

の

ア

ェ

ウ

ト

トウ

は

で

は

で

はな

では

ン

ョ

ン

ョ

ンを

ョン

ア

ェ

ウ

アの

ェア

ウェ

指

く

な

指

く

な

指紋

く指

なく

表

に

常

を

を常

表

に

常

表示

に表

常に

成

構

の

成

構成

の構

Lenovo

➙

Lenovo

➙

LenovoFingerprint

➙Lenovo

ャ

キ

ス

紋

紋ス

ャ

キ

ス

ャン

キャ

スキ

る

す

示

る

す

示

る』チェック・ボッ

する

示す

Fingerprint

FingerprintSoftware

ン

ンを

を

を使

す

用

使

する

用す

使用

す

用

使

Software

る

る』

第6章.ベスト・プラクティス65

る

じ

閉

る

じ

閉

る』をクリックして、ウィンドウを閉じます。

じる

閉じ

7.『閉

合

場

の

ー

サ

ン

セ

紋

指

部

外

ThinkVantage

ThinkVantageFingerprint

ThinkVantage

1.以下のいずれかの方法で、指紋認証ソフトウェアを開始します。

Fingerprint

FingerprintSoftware

Software

Software-

部

外

部指

外部

-外

セ

紋

指

セン

紋セ

指紋

ー

サ

ン

ーの

サー

ンサ

合

場

の

合

場合

の場

ThinkVantage

ス

スタ

•ス

Software

Softwareの順にクリックします。

Software

•『LenovoThinkVantageTools』ウィンドウで、『ThinkVantage をクリックします。

2.指紋を読み取らせるか、またはWindowsパスワードを入力するように求められたら、パスワードを入力します。

3.ウィンドウの上部にある『設

パ

パワ

4.『パ

チェック・ボックスと『パクスを選択します。

OK』をクリックして、ウィンドウを閉じます。

5.『OK

6.登録された指紋の1つを選択して、指紋を使用可能に設定し、BIOSパスワードを置き換えます。

閉

閉じ

7.『閉

ト

ー

タ

ト➙

ート

ター

オ

ー

ワ

オ

ー

ワ

オン

ーオ

ワー

る

じ

る

じ

る』をクリックして、ウィンドウを閉じます。

じる

ロ

プ

➙

ログ

プロ

➙プ

キ

セ

ン

キ

セ

ン

キュ

セキ

ンセ

ム

ラ

グ

ム(

ラム

グラ

ィ

テ

リ

ュ

ュリ

ィ

テ

リ

ィと

ティ

リテ

パ

パワ

は

た

ま

(

は、

たは

また

(ま

定

設

定

設

定』をクリックします。

設定

ー

ハ

と

ー

ハ

と

ード

ハー

とハ

オ

ー

ワ

オ

ー

ワ

オン

ーオ

ワー

べ

す

、

べて

すべ

、す

ィ

デ

ド

ィ

デ

ド

ィス

ディ

ドデ

キ

セ

ン

キ

セ

ン

キュ

セキ

ンセ

プ

の

て

プロ

のプ

ての

の

ク

ス

の

ク

ス

のパ

クの

スク

テ

リ

ュ

テ

リ

ュ

ティ

リテ

ュリ

ラ

グ

ロ

ラム

グラ

ログ

ThinkVantage

ThinkVantage指

ワ

ス

パ

ワ

ス

パ

ワー

スワ

パス

オ

の

ィ

オ

の

ィ

オプ

のオ

ィの

プ

)

ム

)➙

ム)

ド

ー

ド

ー

ドで

ード

シ

プ

ショ

プシ

ThinkVantage

➙

ThinkVantage➙

➙ThinkVantage

指

指紋

な

は

で

な

は

で

なく

はな

では

を

ン

ョ

を

ン

ョ

を常

ンを

ョン

紋

紋認

く

く指

常

常に

ThinkVantage

➙

)

ム

ラ

グ

ロ

プ

の

て

べ

す

、

は

た

ま

(

ム

ラ

グ

ロ

プ

➙

ト

ー

タ

➙

ThinkVantage

➙

ThinkVantageFingerprint

➙ThinkVantage

ェ

ウ

ト

フ

ソ

証

認

認証

指

指紋

に

に表

フ

ソ

証

フト

ソフ

証ソ

キ

ス

紋

キ

ス

紋

キャ

スキ

紋ス

す

示

表

す

示

表

する

示す

表示

ェ

ウ

ト

ェア

ウェ

トウ

を

ン

ャ

を

ン

ャ

を使

ンを

ャン

る

る』チェック・ボッ

Fingerprint

ア

ア』アイコン

る

す

用

使

使用

る

す

用

る』

する

用す

66ClientSecuritySolution8.3デプロイメント・ガイド

付

録

付

録

付

付録

録A

付

き

付

付き

一部のThinkPadノートブック・モデルで使用する指紋センサー・デバイスは、Lenovo指紋センサー付きキーボードで使用する指紋センサー・デバイスと異なります。一部のThinkPadノートブック・モデルで指紋センサー付きキーボードを使用するときには、特別な考慮が必要となる可能性があります。

詳細については、LenovoWebサイトにある指紋認証ソフトウェア・ダウンロード・ページにアクセスしてください。該当するThinkPadノートブック・モデルがリストされています。

指紋センサー付きキーボードと共に使用するときに特別な考慮が必要なのは、『LenovoFingerprint Software』の欄にリストされているモデルのみです。『ThinkVantageFingerprintSoftware』を使用する他のすべてのThinkPadノートブック・モデルは、指紋センサー付きキーボードに組み込まれているデバイスと互換性のある指紋センサー・デバイスを使用し、特別な考慮は必要ありません。

設

設定

LenovoFingerprintSoftware2.0以降は、ThinkPadノートブックで使用する指紋センサー・デバイスと共に使用できるようにインストールする必要があります。ユーザーは、内蔵されている指紋センサー・デバイスを使用して、LenovoFingerprintSoftwareに指紋を登録する必要があります。

ThinkVantage指紋認証ソフトウェア5.8以降は、LenovoFingerprintKeyboardと共に使用できるようにインストールする必要があります。ユーザーは、その指紋センサー付きキーボードを使用して、ThinkVantage 指紋認証ソフトウェアに指紋を登録する必要があります。

キ

き

キ

きキ

キー

定

と

定

と

定と

とセ

AThinkPad

ー

ーボ

セ

セッ

ThinkPad

ThinkPadノ

ボ

ー

ボ

ー

ボー

ード

ッ

ト

ア

ッ

ト

ア

ット

トア

アッ

ド

ドを

ノ

ー

ト

ブ

ッ

ク

・

モ

デ

ル

で

ノ

ー

ト

ブ

ッ

ク

・

モ

デ

ノー

ート

トブ

ブッ

ック

ク・

・モ

モデ

を

使

用

す

る

際

の

特

を

使

用

す

る

際

を使

使用

用す

する

る際

ッ

プ

ッ

プ

ップ

プ

の

際の

の特

別

特

別

特別

別な

ル

デル

ルで

な

考

な

考

な考

考慮

で

でLenovo 慮

慮

慮事

Lenovo

Lenovo指

事

項

事

項

事項

項

指

紋

セ

ン

指

紋

指紋

セ

紋セ

セン

サ

ン

サ

ンサ

サー

ー

：

注

：

注

：1つのデバイスに登録された指紋を、他のデバイスと交換することはできません。

注：

注

Pre-desktop

Pre-desktopauthentication

ワークスペース認証には、標準装備の指紋センサー・デバイスまたは指紋センサー付きキーボードが使用されます(システム電源をオンにする際のパスワードまたはハードディスク・ドライブのパスワードが指紋認証に置き換わります)。システムの電源がオンになると、使用するデバイスがBIOSによって決定されます。

デフォルトでは、BIOSは、指紋センサー付きキーボードが接続されている場合、そのキーボードによる指紋の読み取りのみを受け入れます。ワークスペース認証の場合、指紋センサー付きキーボードが接続されているときには、内蔵されている指紋センサー・デバイスによる指紋の読み取りは無視されます。指紋センサー付きキーボードが接続されていない場合は、ワークスペース認証に、内蔵されている指紋センサー・デバイスが使用されます。

『『ReaderPriority』』のBIOS設定を、標準装備の指紋センサーを使用するように変更できます。『Reader Priority』が『Internalonly』に設定されている場合は、ワークスペース認証に、内蔵されている指紋センサーを使用できます。この場合は、指紋センサー付きキーボードによる指紋の読み取りは無視されます。

Windows

Windowsロ

Lenovo指紋センサー付きキーボードおよびThinkPadノートブック・コンピューター・モデルで使用される指紋センサー・デバイスは、登録された指紋でWindowsにログインするためのインターフェースをそれぞれ独自に備えています。

authentication

ロ

グ

オ

ロ

ログ

ン

グ

オ

ン

グオ

オン

ン

：

要

重

：

要

重

：指紋ログオン・インターフェースが正しく構成されていない場合は、Windowsのログオン・プロセ

要：

重要

重

スで互換性の問題が生じる可能性があります。

ThinkPadノートブック・コンピューター・モデルがLenovo指紋センサー付きキーボードと内蔵の指紋センサー・デバイスの両方を装備し、かつClientSecuritySolutionがインストールされている場合、指紋認証を使用してWindows7オペレーティング・システムにログインするには以下の2つの方法があります。

•指紋認証ソフトウェアのログオン・インターフェースを使用するLenovoFingerprintSoftwareと ThinkVantage指紋認証ソフトウェアの両方のログオン・インターフェースが使用可能でなければなりません。Windows7オペレーティング・システムで両方の指紋ログオン・インターフェースが使用可能になっている場合は、ユーザーが、指紋センサー付きキーボードと内蔵されている指紋センサー・デバイスのどちらかで指紋を読み取らせて、ログインできます。

•ClientSecuritySolutionのログオン・インターフェースを使用する指紋認証ソフトウェアのログオン・インターフェースの代わりにClientSecuritySolutionのログオン・インターフェースを使用できます。 ClientSecuritySolutionのログオン・インターフェースを使用して指紋認証によりWindowsオペレーティング・システムにログインする場合、それぞれの指紋認証ソフトウェアのワークスペースの『設

定

定』オプションで指紋認証ソフトウェア・ログオンを使用不可にしてから、ClientSecuritySolution

定

理

管

の

ー

シ

リ

ポ

・

ー

ィ

テ

リ

ュ

キ

張

拡

張

拡

張』メニューの『セ

拡張

の『拡ログオン・インターフェースを構成します。

：

注

：

注

：

注：

注

1.BIOSの『ReaderPriority』設定は、この状態では適用されません。両方のデバイスが使用可能になっているときには、どちらかのデバイスをログオンに使用できます。

2.ClientSecuritySolution8.3以降のみがこの機能をサポートしています。詳しくは、68ページの『ClientSecuritySolutionでの認証』を参照してください。

セ

ュ

キ

セ

ュリ

キュ

セキ

ィ

テ

リ

ィー

ティ

リテ

ポ

・

ー

ポリ

・ポ

ー・

ー

シ

リ

ーの

シー

リシ

理

管

の

理』オプションでClientSecuritySolutionの

管理

の管

設

Client

ClientSecurity

注

注：

注

バージョンでは、内蔵されている指紋センサー・デバイスと指紋センサー付きキーボードとの併用はサポートされていませんでした。

ClientSecuritySolutionを使用して指紋認証が必要なアクションを実行するときには(例えば、Password Managerを使用してWebサイトにパスワードを自動入力する場合など)、ユーザーは、指紋センサー付きキーボードが接続されていたら、指紋を求められたときに指紋を読み取らせる必要があります。指紋センサー付きキーボードが接続されているときには、標準装備の指紋センサー・デバイスによる指紋の読み取りは無視されます。指紋センサー付きキーボードが接続されていない場合は、内蔵されている指紋センサーを使用する必要があります。

ClientSecuritySolutionでの認証に標準装備の指紋センサーを使用するようにユーザーに求めるには、レジストリー設定を使用できます。このレジストリー項目が設定された場合は、ClientSecuritySolution での指紋認証を標準装備のセンサーで行なう必要があり、指紋センサー付きキーボードからの指紋の読み取りは無視されます。

レジストリー項目は次のとおりです。

[HKLMSoftwareLenovoTVTCommonClientSecuritySolution] REG_DWORD"PreferInternalFPSensor"=1

ClientSecuritySolutionでの指紋認証を標準装備のセンサーで行う必要があるとき、上記のレジストリー項目のデフォルト値は0で、指紋センサー付きキーボードからの指紋の読み取りは無視されます。

この設定は、ClientSecuritySolutionのAdministrativeTemplateファイルをActiveDirectoryのグループ・ポリシーと共に使用して、変更することもできます。

Security

SecuritySolution

：

：次の情報は、ClientSecuritySolution8.3以降のみに適用されます。ClientSecuritySolutionの従来の

Solution

Solutionで

で

の

認

で

での

証

の

認

証

の認

認証

証

：

注

：

注

：

注：

注

68ClientSecuritySolution8.3デプロイメント・ガイド

1.BIOSの『ReaderPriority』設定が『Internal

Internal

Internalonly

only

only』に設定されている場合、レジストリー項目値を1に

設定することをお勧めします。これにより、ClientSecuritySolutionでの認証で、BIOSワークスペース認証の設定をシミュレートできるようになります。

2.BIOS設定とこのレジストリー設定は独立しています。

付録A.ThinkPadノートブック・モデルでLenovo指紋センサー付きキーボードを使用する際の特別な考慮事項69

70ClientSecuritySolution8.3デプロイメント・ガイド

付

録

付

録

付

付録

録B

BWindows

Windows

Windowsパ

パ

ス

ワ

ー

ド

の

リ

セ

ッ

ト

後

に

パ

ス

ワ

ー

ド

の

リ

セ

ッ

ト

パス

スワ

ワー

ード

ドの

のリ

リセ

セッ

ット

後

ト後

後に

Client

に

Client

にClient

ClientSecurity

Security

Solution

Solutionで

Windowsパスワードがリセットされた後、ClientSecuritySolutionによって、新しいWindowsパスワードを入力するように連続して求められますが、パスワードが誤っていることを示すエラー・メッセージが表示されます。Windowsセキュリティーはこのような方法で設計されているので、Windowsパスワードがリセットされると、セキュリティー・クレデンシャルが無効になります。パスワードをリセットしようとするたびに、Windowsから警告メッセージが出されます。また、Windowsパスワードのリセットの影響を受けるのはClientSecuritySolutionのみではなく、WindowsEFSによって暗号化された証明書とファイルへのアクセスも失われます。ClientSecuritySolutionが(パスワードをリセットした結果として)Windowsセキュリティー・クレデンシャルにアクセスできなくなると、ClientSecuritySolutionは新しいパスワードを入力するように連続して求め、入力されたパスワードが無効であることを示すエラー・メッセージを表示します。Windowsセキュリティー・クレデンシャルがこの方法で無効になると、ClientSecuritySolutionは機能できなくなります。Windowsパスワードが変更されたら(例えば、旧パスワードと新パスワードの両方を指定するように求められた場合など)、新しいパスワードによってセキュリティー・クレデンシャルが保存され、保護されます。

Windowsパスワードのリセット後にCSSでパスワードを同期化するには、次のようにします。

1.Windowsパスワードをリセットする前にシステムのバックアップを復元します。

2.Windowsパスワードを元のパスワードにリセットします。これにより、Windowsセキュリティー・クレデンシャルへのアクセスが復元されます。

3.新規Windowsアカウントを作成し、破損したクレデンシャルを使用した元のアカウントではなく、新規アカウントの使用を開始します。

4.次の方法に従って、システムをリカバリーします。 a.PasswordManagerを起動します。 b.『イ c.ファイルを保存する場所を指定し、ファイル名を入力します。 d.項目ファイルのパスワードを入力します。 e.PasswordManagerを閉じます。 f.ClientSecuritySolutionを起動します。 g.拡 h.新しいWindowsパスワードを入力するように求められたら、パスワードを入力します。 i.ClientSecuritySolutionから、システムを再起動するように求められます。 j.システムが再起動したら、PasswordManagerを起動します。 k.『イ l.以前に保存したファイルを参照します。 m.パスワードを入力するように求められたら、入力します。

で

パ

ス

ワ

ー

ド

を

同

期

化

す

で

パ

ス

ワ

ー

ド

を

同

期

でパ

パス

スワ

ワー

ード

ドを

を同

同期

ト

ー

ポ

ス

ク

エ

ト

ー

ポ

ン

イ

ン

イ

ンポ

イン

張

拡

張

拡

張➙

拡張

ン

イ

ン

イ

ンポ

イン

ト

ー

ポ

ト/

ート

ポー

キ

セ

➙

キ

セ

➙

キュ

セキ

➙セ

ト

ー

ポ

ト

ー

ポ

ト/

ート

ポー

ス

ク

エ

スポ

クス

エク

/エ

テ

リ

ュ

テ

リ

ュ

ティ

リテ

ュリ

ス

ク

エ

ス

ク

エ

スポ

クス

エク

/エ

ト

ー

ポ

ト』をクリックし、『項

ート

ポー

再

の

定

設

ー

ィ

設

ー

ィ

設定

ー設

ィー

ー

ポ

ー

ポ

ート

ポー

再

の

定

再構

の再

定の

ト

ト』をクリックし、『項

化

期化

化す

成

構

成

構

成の順にクリックします。

構成

る

す

る

する

る

ト

ー

ポ

ス

ク

エ

の

ト

ス

リ

目

項

リ

目

項

リス

目リ

項目

リ

目

項

リ

目

項

リス

目リ

項目

の

ト

ス

のエ

トの

スト

の

ト

ス

の

ト

ス

のイ

トの

スト

ス

ク

エ

スポ

クス

エク

ポ

ン

イ

ポ

ン

イ

ポー

ンポ

イン

ト

ー

ポ

ト』を選択します。

ート

ポー

ト

ー

ト

ー

ト』を選択します。

ート

72ClientSecuritySolution8.3デプロイメント・ガイド

付

録

再

イ

ン

ス

ト

ー

ル

さ

れ

た

付

録

再

イ

ン

ス

ト

ー

ル

さ

付

付録

録C

C再

再イ

イン

ンス

スト

トー

ール

ルさ

テ

ム

に

お

け

る

テ

ム

に

お

テ

テム

ムに

にお

ClientSecuritySolutionがインストールされているWindowsオペレーティング・システムを再インストールした場合、その新しくインストールしたWindowsオペレーティング・システム上でClientSecurity Solutionを使用するには、ClientSecuritySolutionのインストール・データを消去してから、ClientSecurity Solutionを再インストールする必要があります。

そのためのベスト・プラクティスは、次のとおりです。

1.現行のWindowsオペレーティング・システムからClientSecuritySolutionをアンインストールします。

2.PCを再起動します。

3.レジストリーで以下のデータを消去します。

•[HKEY_LOCAL_MACHINE¥SOFTWARE¥Lenovo¥TVTCommon¥ClientSecuritySolution]

•[HKEY_LOCAL_MACHINE¥SOFTWARE¥Lenovo¥ClientSecuritySolution]

•[HKEY_LOCAL_MACHINE¥SOFTWARE¥Lenovo¥Logs]

•[HKEY_LOCAL_MACHINE¥SOFTWARE¥IBM¥Security¥Debug]

4.CパーティションにあるClientSecuritySolutionに関連したデータを消去します。『フォルダオプション』ウィンドウのすべての隠しファイルを表示するためのオプションを有効にして、Cパーティション全体でデータを検索することをお勧めします。その結果、以下の場所に見つかる可能性があります。ただし、これ以外の場合もあります。

•C:¥Users¥AllUsers¥AppData¥Roaming¥ClientSecuritySolution

•C:¥Users¥%USER%¥AppData¥Roaming¥ClientSecuritySolution

5.BIOSSetupUtilityでセキュリティー・チップをクリアしてから、以下を実行してセキュリティー・チップをアクティブにします。

a.コンピューターをシャットダウンします。 b.コンピューターの電源を入れ、F1を押してBIOSSetupUtilityに入ります。 c.『Security d.Enterを押して、『Clear e.Enterを押して、『Yes f.『Security

け

おけ

ける

Security

Security』を選択する。

Security

SecurityChip

Client

る

Client

るClient

ClientSecurity

Chip

Chip』を選択してからEnterを押して、『Active

Security

SecuritySolution

Security

Clear

Security

Clear

SecurityChip

ClearSecurity Yes

Yes

Yes』を選択し、暗号鍵を消去します。

れ

され

れた

Chip

Chip』を選択します。

Windows

た

Windows

たWindows

Windowsオ

Solution

Solutionの

オ

ペ

オ

オペ

の

使

の

使

の使

使用

Active

Active』を選択します。

レ

ペ

レ

ペレ

レー

用

ー

テ

ィ

ン

グ

ー

テ

ィ

ーテ

ティ

ン

ィン

ング

・

グ

・

グ・

・シ

シ

ス

シ

ス

シス

ス

：

注

：

注

：ClientSecuritySolutionをハードウェアTPMモードに設定しない場合には、セキュリティー・

注：

注

Disabled

チップを『Disabled

6.コンピューターを再起動し、ClientSecuritySolutionを再インストールします。

：

注

：

注

：ClientSecuritySolutionインストール・モードをソフトウェア・エミュレーション・モードからハード

注：

注

ウェアTPMベース・モードに変更した場合、またはセキュリティー・チップをクリアした後、Client SecuritySolutionはTPMの変更を検出すると既存のデータをリカバリーしようとしますが、暗号化データは新しいTPMデータによって暗号化解除できないので失敗します。この場合、ClientSecurity Solutionは起動できません。

Disabled』に設定します。

74ClientSecuritySolution8.3デプロイメント・ガイド

付

録

付

録

付

付録

録D

TPMの主な使用法は、MicrosoftWindowsVistaおよびWindows7オペレーティング・システムの特定のバージョンに含まれているBitLocker機能です。この付録では、Windows環境にBitLockerをデプロイするときのよくある質問に対する答えを記載します。

ページの『BitLockerをリモートにデプロイする方法』

•75

•75ページの『TPMロックアウトのしくみ』

DThinkPad

ThinkPad

ThinkPadノ

ノ

ー

ト

ブ

ッ

ク

・

コ

ン

ピ

ュ

ー

タ

ー

で

の

ノ

ー

ト

ブ

ッ

ク

・

コ

ン

ピ

ュ

ー

タ

ー

ノー

ート

トブ

ブッ

ック

ク・

・コ

コン

ンピ

ピュ

ュー

ータ

ター

で

ーで

での

TPM

の

TPM

のTPM

TPMの

の

使

の

使

の使

使用

用

BitLocker

BitLockerを

標準のWindowsツール(manage-bde.exeファイルやTPMコントロール・パネルなど)を使用してTPMをアクティブにするには、コンピューターをシャットダウンする必要があります。コンピューターを再起動するときは、キーを押して、操作を確認する必要があります。この方法では、リモートや無人の操作でBitLockerをデプロイすることができません。

TPMには、『有効』と『アクティブ』の2つの状況タイプがあります。有効になっているTPMをアクティブにする必要はありません。同様に、アクティブになっているTPMを有効にする必要はありません。BitLockerを使用する前に、TPMを有効かつアクティブにしておく必要があります。ThinkPadノートブック・コンピューターには、必ずTPMが装備され、ステータスは有効かつアクティブに設定されています。したがって、BitLockerを正常にデプロイするには、TPMのステータスをアクティブに設定する必要があります。

2008年以降、ThinkPadノートブック・コンピューターには、BIOS設定を変更できるようにWindows ManagementInstrumentation(WMI)が提供されています(TPMのステータスはアクティブに設定されています)。WMIはスクリプトを作成してリモートに実行することが可能で、コンピューターを物理的に操作する必要はありません。

BIOSを変更するには、次のようにします。

1.Webサイトhttp://support.lenovo.com/en_US/detail.page?LegacyDocID=MIGR-68488に移動します。

2.『Sample をクリックし、script.zipファイルをダウンロードします。次に、zipファイルを展開します。

3.『コマンドプロンプト』ウィンドウにcscript.exeSetCong.vbsSecurityChipActiveと入力し、 SetConfig.vbsファイルを実行します。BIOSスーパーバイザー・パスワードを使用している場合は、『コマンドプロンプト』ウィンドウにcscript.exeSetCongPassword.vbsSecurityChipActiveと入力し、SetConfigPassword.vbsファイルを実行します。

4.コンピューターを2回再起動します。最初の再起動によりBIOS設定が変更されます。2回目の再起動により、新しいBIOS設定が有効になります。

を

リ

モ

ー

ト

に

デ

プ

ロ

イ

す

る

方

を

リ

モ

ー

ト

に

デ

プ

ロ

イ

をリ

リモ

モー

ート

トに

にデ

デプ

プロ

Deployment

BIOS

Sample

SampleScripts

Scripts

Scriptsfor

for

forBIOS

Deployment

BIOS

DeploymentGuide

BIOSDeployment

す

ロイ

イす

する

Guide

Guide(BIOSデプロイメント・ガイドのサンプル・スクリプト)』

法

る

方

法

る方

方法

法

：

注

：

注

：上記の手順では、TPMが既に有効になっているコンピューターでのみTPMがアクティブになります

注：

注

(たとえば、出荷時のデフォルトの状態にあるモデルなど)。Windowsツール(manage-bde.exeファイルやTPMコントロール・パネルなど)を使用してTPMを無効にしている場合は、無効にしたときと同じツールを使用して、最初にTPMを再有効化する必要があります。

TPM

TPMロ

主要なセキュリティー機能の1つであるTPMは、『連続再試行』を防止します。つまり、自動化された方法でTPMパスワードを推測しようという試みが行われないようにします。各TPMは連続再試行に対する保護を実装し、攻撃が検出されると、TPMはロックアウト・モードに入ります。これは、ロックアウト・モードが終了するまで、パスワードを推測しようというさらなる試みは無視されることを意味します。ただし、TrustedComputingGroup(TPMの動作を定義する組織)がTPMロックアウト

ロ

ッ

ク

ア

ウ

ト

の

し

く

ロ

ッ

ク

ア

ウ

ト

ロッ

ック

クア

アウ

の

ウト

トの

のし

み

し

く

み

しく

くみ

み

の標準を定義できなかったため、TPMの製造元ごとに独自のロックアウトを実装しています。Lenovo は、次の4ベンダーのTPMを使用しています。

•Atmel-ThinkPadT60/R60/X60/X300、ThinkCentreM57

•Intel-ThinkPadT500/R500/X200/X301

•STMicro-ThinkPadT410/T510/X201/T420/T520/X220、ThinkCentreM90

•Winbond-ThinkCentreM58

これらのTPMは、以下に説明するように、ロックアウト・モードに入ったときにそれぞれ異なる特徴があります。

TPM

Atmel

TPM

Atmel

TPM:

AtmelTPM

Atmel

•間違ったパスワード入力が試行された場合、最初の15回はロックアウト・モードに入りません

•16回目の試みが行われると、1.1分のロックアウト時間が設定されます

•次の15回の試行では、ロックアウト・モードに入りません

•さらに試みが行われると、2.2分のロックアウト時間が設定されます

•間違ったパスワード入力の試みが15回行われるごとに、ロックアウト時間は倍になり、最大4.7時間のロックアウト時間が設定されます

•コンピューターの電源がオフにされると、ロックアウトはリセットされます

TPM

Intel

TPM

Intel

TPM:

IntelTPM

Intel

•間違ったパスワード入力が試行された場合、最初の100回はロックアウト・モードに入りません

•101回目の試みが行われると、16秒のロックアウト時間が設定されます

•以降、間違ったパスワード入力の試みが行われるごとに、ロックアウト時間は前回の倍になります(最大ロックアウト時間はありません)

•間違ったパスワード入力試行のカウンターは、ゼロ(0)になるまで、1時間に1ずつ減じられます。

STMicro

TPM

Micro

TPM:

MicroTPM

TPM

Micro

•間違ったパスワード入力が試行された場合、最初の40回はロックアウト・モードに入りません

•41回目の試みが行われると、3秒のロックアウト時間が設定されます

•以降、間違ったパスワード入力の試みが行われるごとに、ロックアウト時間は前回の倍になります(最大ロックアウト時間は2時間です)

Winbond

WinbondTPM

Winbond

TPM

TPM:

•間違ったパスワード入力の初めての試みが行われると、0.25ミリ秒のロックアウト時間が設定されます

•以降、間違ったパスワード入力の試みが行われるごとに、ロックアウト時間は前回の倍になります(最大ロックアウト時間は14時間です)

：

注

：

注

：間違ったパスワード入力が13回試行されると、ロックアウト時間は1秒になります

注：

注

•24時間が経過すると、間違ったパスワード入力試行のカウンターはゼロ(0)にリセットされます

76ClientSecuritySolution8.3デプロイメント・ガイド

付

録

特

記

事

付

録

特

付

付録

録E

E特

本書に記載の製品、サービス、または機能が日本においては提供されていない場合があります。日本で利用可能な製品、サービス、および機能については、レノボ・ジャパンの営業担当員にお尋ねください。本書でLenovo製品、プログラム、またはサービスに言及していても、そのLenovo製品、プログラム、またはサービスのみが使用可能であることを意味するものではありません。これらに代えて、 Lenovoの知的所有権を侵害することのない、機能的に同等の製品、プログラム、またはサービスを使用することができます。ただし、Lenovo以外の製品、プログラム、またはサービスの動作・運用に関する評価および検証は、お客様の責任で行っていただきます。

Lenovoは、本書に記載されている内容に関して特許権(特許出願中のものを含む)を保有している場合があります。本書の提供は、お客様にこれらの特許権について実施権を許諾することを意味するものではありません。実施権についてのお問い合わせは、書面にて下記宛先にお送りください。

L enovo (Unit ed S tat es), Inc. 1009 Think Place - Building One Morrisville, NC 27560 U .S.A. A tt ention: L enovo Dir ect or of Licensing

Lenovoおよびその直接または間接の子会社は、本書を特定物として現存するままの状態で提供し、商品性の保証、特定目的適合性の保証および法律上の瑕疵担保責任を含むすべての明示もしくは黙示の保証責任を負わないものとします。国または地域によっては、法律の強行規定により、保証責任の制限が禁じられる場合、強行規定の制限を受けるものとします。

記

特記

記事

項

事

項

事項

項

この情報には、技術的に不適切な記述や誤植を含む場合があります。本書は定期的に見直され、必要な変更は本書の次版に組み込まれます。Lenovoは予告なしに、随時、この文書に記載されている製品またはプログラムに対して、改良または変更を行うことがあります。

本書で説明される製品は、誤動作により人的な傷害または死亡を招く可能性のある移植またはその他の生命維持アプリケーションで使用されることを意図していません。本書に記載される情報が、Lenovo製品仕様または保証に影響を与える、またはこれらを変更することはありません。本書におけるいかなる記述も、Lenovoあるいは第三者の知的所有権に基づく明示または黙示の使用許諾と補償を意味するものではありません。本書に記載されている情報はすべて特定の環境で得られたものであり、例として提示されるものです。他の稼働環境では、結果が異なる場合があります。

Lenovoは、お客様が提供するいかなる情報も、お客様に対してなんら義務も負うことのない、自ら適切と信ずる方法で、使用もしくは配布することができるものとします。

本書においてLenovo以外のWebサイトに言及している場合がありますが、便宜のため記載しただけであり、決してそれらのWebサイトを推奨するものではありません。それらのWebサイトにある資料は、このLenovo製品の資料の一部ではありません。それらのWebサイトは、お客様の責任でご使用ください。

この文書に含まれるいかなるパフォーマンス・データも、管理環境下で決定されたものです。そのため、他の操作環境で得られた結果は、異なる可能性があります。一部の測定が、開発レベルのシステムで行われた可能性がありますが、その測定値が、一般に利用可能なシステムのものと同じである保証はありません。さらに、一部の測定値が、推定値である可能性があります。実際の結果は、異なる可能性があります。お客様は、お客様の特定の環境に適したデータを確かめる必要があります。

商

標

商

標

商

商標

標

以下は、LenovoCorporationの米国およびその他の国における商標です。

Lenovo ThinkCentre ThinkPad ThinkVantage

Microsoft、InternetExplorer、WindowsServer、およびWindowsは、Microsoftグループの商標です。

他の会社名、製品名およびサービス名等はそれぞれ各社の商標です。

78ClientSecuritySolution8.3デプロイメント・ガイド

用

語

集

用

語

集

用

用語

語集

集

管理者(ThinkCentre)/スーパーバイザー(ThinkPad)

BIOSパスワード

AdvancedEncryptionStandard(AES)

暗号化システム(Cryptographysystem)

EmbeddedSecurityChip

公開鍵/非対称鍵暗号化(Public-key/Asymmetric-key

encryption)

管理者パスワードまたはスーパーバイザー・パスワードは、BIOS設定を変更する能力を制御するために使用される。これには、エンベデッド・セキュリティー・チップを使用可能または使用不可にして、TPM内に保存されたストレージ・ルート鍵をクリアする機能が含まれる。

Advanced Encryption Standard

アメリカ政府は、それまで使用していたDES暗号化に置き換えて、このアルゴリズムをその暗号化技法として2000年10月に採用。AESは、凶暴なアタックに対して56ビットDESキーよりも高度のセキュリティーを提供する。またAESでは、必要に応じて128、192および256ビット・キーの使用が可能。

暗号化システムは、データの暗号化と復号の両方を行う単一の鍵を使用する対称鍵暗号化と、2つの鍵(全員に知られている公開鍵と鍵ペアの所有者のみがアクセス権を持つ秘密鍵)を使用する公開鍵暗号化に、大きく分類される。

エンベデッド・セキュリティー・チップは、TPM の別名。

公開鍵アルゴリズムは通常、2つの関連した鍵のペアを使用する。1つは秘密に保持されなければならない秘密鍵で、もう一方は公開される鍵で広く配布される。鍵が1つあった場合、ペアのもう一方が推測できるようであってはならない。『公開鍵暗号化』という用語は、鍵の一部を公開情報にするというアイデアから得られる。すべてのパーティーが同じ情報を保持しないことから、非対称鍵暗号化という用語も使用される。ある意味では、1 つの鍵がロック(暗号)を『ロック』し、別の鍵はそれをアンロック(復号)することを要求される。

は

対称鍵

暗号化技法。

ストレージ・ルート鍵(SRK)ストレージ・ルート鍵(SRK)は2,048ビット(ある

いはそれ以上)の公開鍵ペア。これは最初は空で、 TPM所有者が割り当てられたときに作成される。この鍵ペアは、エンベデッド・セキュリティー・チップをそのままでは放置しない。TPMの外部にあるストレージの秘密鍵を暗号化(ラップ)し、 TPMにロード・バックされたときにそれらを復号する。SRKは、BIOSにアクセスのある人なら誰でもクリアすることができる。

対称鍵暗号化(Symmetric-keyencryption)

TPM(TrustedPlatformModule)

対称鍵暗号化暗号はデータの暗号化と復号に同じ鍵を使用する。対称鍵暗号は簡単で高速だが、主な欠点は、2つのパーティーが何らかのセキュアな方法で鍵を交換しなければならないことにある。公開鍵暗号化は、公開鍵は非セキュアな方法で配布可能であり、秘密鍵は転送されることがないので、この問題を回避している。AdvancedEncryption Standardは対称鍵の一例。

TPMは特別な目的を持ってシステム内にビルドされた集積回路で、強力なユーザー認証とPC検査を可能にする。TPMの主な目的は、機密情報への不適切なアクセスを防止することにある。TPMはハードウェア・ベースの信頼の基幹機能で、システム上のさまざまな暗号サービスを提供するように活用することができる。TPMの別名はエンベデッド・セキュリティー・チップ。

Lenovo ThinkVantage Client Security Solution 8.3 Deployment Guide [ja]

Specifications and Main Features

Frequently Asked Questions

User Manual

SecurityAdvisor

FingerprintSoftware

Options

Options

SecurityAdvisor

TPMENABLE.EXE

SystemUpdate

Pre-desktopauthentication