
ClientSecuritySolution8.3
デプロイメント・ガイド
更新:2011年12月

:
注
:
注
:本書および本書で紹介する製品をご使用になる前に、77
注:
注
されている情報をお読みください。
ページの付録E『特記事項』に記載
第
版
第
版
第
第4版
版(2011年
©CopyrightLenovo2008,201 1.
制限付き権利に関する通知:データまたはソフトウェアが米国一般調達局(GSA:GeneralServicesAdministration)契約に
準じて提供される場合、使用、複製、または開示は契約番号GS-35F-05925に規定された制限に従うものとします。
年
年
年12月
月
月
月)

目
次
目
次
目
目次
次
序
文
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
序
文
.
.
.
.
.
.
.
.
.
.
.
.
.
序
序文
文.
..
..
..
..
..
..
..
..
..
..
第
1
章
.
概
要
.
.
.
.
.
第
1
章
.
概
要
.
第
第1
1章
章.
.概
概要
ClientSecuritySolution.............1
ClientSecuritySolutionパスフレーズ.....2
ClientSecurityパスワードの復元.......2
ClientSecurityPasswordManager.......2
SecurityAdvisor..............3
証明書転送ウィザード..........3
ハードウェア・パスワードのリセット....3
TPMのないシステムのサポート......4
FingerprintSoftware..............4
第
2
章
.
第
第
第2
ClientSecuritySolution.............5
ThinkVantage指紋認証ソフトウェアのインストー
ル....................12
LenovoFingerprintSoftwareのインストール...15
SystemsManagementServer(SMS).......17
第
第
第
第3
業
業
業
業.
TPMの使用................19
ClientSecuritySolutionの暗号鍵の管理.....19
XMLスキーマの使用............26
RSASecurIDトークンの使用.........33
イ
2
章
.
イ
2章
章.
.イ
イン
インストール要件............5
カスタム・パブリック・プロパティ.....5
TPM(TrustedPlatformModule)のサポート...6
インストール手順およびコマンド・ライン・
パラメーター..............7
msiexec.exeの使用............8
標準Windowsインストーラーのパブリック・
プロパティ..............10
インストール・ログ・ファイル......11
サイレント・インストール........12
Options................12
サイレント・インストール........15
Options................15
3
章
.
3
3章
Client
章
.
Client
章.
.Client
ClientSecurity
.
.
.
.
.
.
..
..
..
Windows7でのTPMの使用.......19
所有権の取得.............20
ユーザー登録.............21
ソフトウェア・エミュレーション.....22
システム・ボードの交換........23
EFS保護ユーティリティー........25
例..................26
RSASecurIDソフトウェア・トークンのイン
ストール...............33
.
要.
..
..
ン
ス
ト
ン
ス
ト
ンス
スト
トー
Security
Security
SecuritySolution
.
.
.
.
.
.
.
.
..
..
..
..
.
.
.
.
.
..
..
..
..
ー
ル
.
ー
ル
.
ール
ル.
..
Solution
Solution
Solutionで
.
.
.
.
.
.
.
.
..
..
..
..
.
..
..
..
..
.
.
.
.
.
.
.
.
..
..
..
..
.
.
.
.
.
.
.
.
..
..
..
..
で
で
での
.
.
.
.
.
.
.
.
..
..
..
..
.
.
.
.
.
..
..
..
.iii
.
.
.
.
.
.
.
.
..
..
..
..
.
.
.
.
.
.
.
.
..
..
..
..
の
作
の
作
の作
作
.
.
.
.
.
.
.
.
..
..
..
.19
iii
iii
iii
.
1
.
1
.1
1
.
5
.
5
.5
5
19
19
19
要件.................33
スマート・カード・アクセス・オプションの
設定.................33
RSASecurIDソフトウェア・トークンの手動
インストール.............33
ActiveDirectoryのサポート........34
指紋センサー認証の設定とポリシー......34
強制的な指紋バイパス・オプション....34
指紋の読み取り結果..........34
コマンド・ライン・ツール.........35
SecurityAdvisor............35
ClientSecuritySolutionセットアップ・ウィ
ザード................36
デプロイメント・ファイルの暗号化または暗
号化解除ツール............37
デプロイメント・ファイル処理ツール...37
TPMENABLE.EXE...........38
証明書転送ツール...........38
TPMのアクティブ化または非アクティブ化.39
ActiveDirectoryのサポート..........41
管理用(ADM)テンプレート・ファイル...42
グループ・ポリシーの設定........43
第
4
章
.
第
4
第
第4
4章
ウ
ェ
ウ
ェ
ウ
ウェ
ェア
管理コンソール・ツール..........47
保護モードおよび簡易モード........49
指紋認証ソフトウェアおよびNovellNetware
Client..................52
ThinkVantage指紋認証ソフトウェアのサービス.53
第
5
第
5
第
第5
5章
作
業
作
業
作
作業
業.
管理コンソール・ツール..........55
LenovoFingerprintSoftwareのサービス.....55
LenovoFingerprintSoftwareのActiveDirectoryサ
ポート..................55
第
6
第
6
第
第6
6章
ThinkVantage
章
.
ThinkVantage
章.
.ThinkVantage
ThinkVantage指
ア
で
の
作
ア
で
アで
での
ユーザー固有コマンド.........47
グローバル設定のコマンド........48
保護モード-管理者...........49
保護モード-制限ユーザー........50
簡易モード-管理者...........50
簡易モード-制限ユーザー........51
構成可能な設定............51
認証.................53
章
.
章
.
章.
.Lenovo
.
.
.
.
..
..
章
.
章
.
章.
.ベ
業
の
作
業
の作
作業
業.
Lenovo
Lenovo
LenovoFingerprint
.
.
..
ベ
ベ
ベス
Fingerprint
Fingerprint
FingerprintSoftware
.
.
.
.
.
.
..
..
..
ス
ト
・
ス
ト
・
スト
ト・
・プ
指
紋
認
証
ソ
フ
指
紋
認
紋認
.
.
..
.
.
..
テ
テ
ティ
認証
.
.
.
.
..
..
Software
Software
Softwareで
.
.
.
.
..
..
ィ
ィ
ィス
証
証ソ
.
.
..
.
.
..
ス
ス
ス.
指紋
.
.
.
.
.
.
..
..
..
.
.
.
.
.
.
..
..
..
プ
ラ
ク
プ
ラ
ク
プラ
ラク
クテ
ト
ソ
フ
ト
ソフ
フト
ト
.
.
.
.
.
..
.
.
..
.
.
.
.
.
..
..
..
.47
で
の
で
の
での
の
.
.
.
.
.
.
.
.
..
..
..
.55
.
.
.
.
.
.
.
.
..
..
..
.57
47
47
47
55
55
55
57
57
57
©CopyrightLenovo2008,2011
i

ClientSecuritySolutionをインストールする場合の
デプロイメント例.............57
シナリオ1..............57
シナリオ2..............59
ClientSecuritySolutionモードの切り替え....61
企業用ActiveDirectoryの展開........62
CDまたはスクリプト・ファイルのスタンドアロ
ン・インストール.............62
SystemUpdate...............62
SystemMigrationAssistant..........62
TPMでの鍵生成を使用した証明書の生成....62
要件:.................62
サーバーからの証明書の要求.......63
2008ThinkPadノートブック・コンピューター・
モデル(R400/R500/T400/T500/W500/X200/X301)で
のUSB指紋センサー付きキーボードの使用...64
Windows7のログオン..........64
ClientSecuritySolutionとPasswordManager..65
プリブート認証-BIOSパスワードの代わり
に指紋を使用する...........65
付
録
A.
録
録A.
で
で
でLenovo
を
を
を使
A.
A.ThinkPad
Lenovo
Lenovo
Lenovo指
使
用
使
用
使用
用す
ThinkPad
ThinkPad
ThinkPadノ
す
す
する
付
付
付録
ル
ル
ル
ルで
ド
ド
ド
ドを
ノ
ー
ト
ブ
ッ
ク
・
モ
ノ
ー
ト
ブ
ッ
ノー
ート
トブ
指
紋
セ
ン
指
紋
指紋
紋セ
る
際
る
際
る際
際の
サ
セ
ン
サ
セン
ンサ
サー
の
特
別
の
の特
な
特
別
な
特別
別な
な考
ク
ブッ
ック
ク・
ー
付
き
ー
付
き
ー付
付き
きキ
考
慮
事
考
慮
事
考慮
慮事
事項
デ
・
モ
デ
・モ
モデ
デ
キ
ー
ボ
ー
ーボ
項
項
項.
ー
ボ
ー
ボー
ー
.
.
.
.
.
.
..
..
.67
キ
キー
設定とセットアップ............67
Pre-desktopauthentication...........67
Windowsログオン.............67
ClientSecuritySolutionでの認証........68
付
録
B.
付
付
付録
後
後
後
後に
ド
ド
ド
ドを
付
付
付
付録
オ
オ
オ
オペ
Client
Client
Client
ClientSecurity
付
付
付
付録
ピ
ピ
ピ
ピュ
BitLockerをリモートにデプロイする方法....75
TPMロックアウトのしくみ.........75
付
付
付
付録
商標...................77
用語集.................lxxix
67
67
67
Windows
録
B.
Windows
録B.
B.Windows
Windowsパ
に
Client
に
Client
にClient
ClientSecurity
を
同
期
同
同期
C.
C.
C.再
レ
レ
レー
Security
Security
SecuritySolution
D.
D.
D.ThinkPad
ー
ー
ータ
E.
E.
E.特
化
期
化
期化
化す
再
イ
再
イ
再イ
イン
ー
テ
ー
テ
ーテ
ティ
ThinkPad
ThinkPad
ThinkPadノ
タ
ー
タ
ー
ター
ーで
特
記
特
記
特記
記事
を
を同
録
録
録C.
ペ
ペ
ペレ
録
録
録D.
ュ
ュ
ュー
録
録
録E.
Security
Security
SecuritySolution
す
す
する
ン
ン
ンス
ィ
ィ
ィン
で
で
での
事
事
事項
パ
パ
パス
る
.
る
.
る.
..
ス
ト
ス
ト
スト
トー
ン
グ
ン
グ
ング
グ・
Solution
Solution
Solutionの
ノ
ノ
ノー
の
TPM
の
TPM
のTPM
TPMの
項
.
項
.
項.
..
ス
ワ
ス
ワ
スワ
ワー
Solution
Solution
Solutionで
.
.
.
.
..
..
ー
ル
ー
ル
ール
ルさ
・
シ
・
シ
・シ
シス
ー
ト
ー
ト
ート
トブ
の
の
の使
.
.
.
.
..
..
ー
ド
の
リ
セ
ッ
ー
ド
の
ード
.
.
..
さ
さ
され
ス
ス
ステ
の
使
の
使
の使
使用
ブ
ブ
ブッ
使
使
使用
.
.
..
リ
ドの
のリ
リセ
で
パ
で
パ
でパ
パス
.
.
.
.
.
.
.
.
..
..
..
..
れ
た
Windows
れ
た
Windows
れた
たWindows
Windows
テ
ム
に
テ
ム
に
テム
ムに
にお
用
.
.
用
.
.
用.
..
..
ッ
ク
ッ
ク
ック
ク・
用
.
.
用
.
.
用.
..
..
.
.
.
.
.
.
.
.
..
..
..
..
ト
セ
ッ
ト
セッ
ット
ト
ス
ワ
ー
ス
ワ
ー
スワ
ワー
ー
.
.
.
.
.
.
..
..
お
け
お
け
おけ
ける
.
.
.
.
..
..
・
コ
ン
・
コ
ン
・コ
コン
ン
.
.
.
.
..
..
.
.
.
.
..
..
71
.
.
71
..
.71
71
る
る
る
.
.
73
.
.
73
..
.73
73
.
.
75
.
.
75
..
.75
75
.
.
77
.
.
77
..
.77
77
iiClientSecuritySolution8.3デプロイメント・ガイド

序
文
序
文
序
序文
文
本書に記載されている情報は、ThinkVantage
プログラムがインストールされているLenovo
ClientSecuritySolutionと指紋認証ソフトウェアの目的は、クライアント・データを保護することに
よってお客様のシステムを保護し、セキュリティー・ブリーチ(抜け穴)を犯そうとする試みを食い止
めることです。
『
Client Security Solution デ プ ロ イ メ ン ト ・ ガ イ ド
Solutionおよび指紋認証ソフトウェアをインストールするために必要な情報と、ITおよび会社の方針をサ
ポートするためにカスタマイズ可能な管理機能ツールについての説明やシナリオが記載されています。
本書は、IT管理者、またはThinkVantageClientSecuritySolutionおよび指紋認証ソフトウェアを組織内のPC
にデプロイする担当者を対象としています。ご提案またはコメントは、Lenovo認定担当者にご連絡くださ
い。本書は定期的に更新されます。最新の資料については、次のLenovoWebサイトで確認できます。
http://www.lenovo.com/support
ClientSecuritySolutionおよび指紋認証ソフトウェアのワークスペースに組み込まれているさまざまなコン
ポーネントの使用に関する質問および情報は、ClientSecuritySolutionおよび指紋認証ソフトウェアに付属
のオンライン・ヘルプ・システムおよびユーザー・ガイドを参照してください。
®
ClientSecuritySolutionプログラムおよびFingerprintSoftware
®
コンピューターを対象としています。
』では、1台以上のコンピューターにClientSecurity
©CopyrightLenovo2008,2011
iii

ivClientSecuritySolution8.3デプロイメント・ガイド

第
1
章
概
第
1
第
第1
本章では、ClientSecuritySolutionおよび指紋認証ソフトウェアの概要を示します。本デプロイメント・ガ
イドで説明されているテクノロジーは、PCの使い勝手と自己完結性を向上させ、展開を促進し単純
化する強力なツールを提供するので、ITプロフェッショナルの方に大きなメリットをもたらします。
ThinkVantageテクノロジーの支援により、ITプロフェッショナルの方は、個別のPCの問題を解決する時
間を短縮できるので、本来の作業に多くの時間を費やすことができるようになります。
章
1章
章概
要
概
要
概要
要
Client
Client
Client
ClientSecurity
ClientSecuritySolutionソフトウェアの第一の目的は、お客様が資産としてのPCを保護し、PC上の機密
データを保護し、さらにPCがアクセスするネットワーク接続を保護することを補助することです。
(TCG(TrustedComputingGroup)という業界団体が仕様を定めているTPM(TrustedPlatformModule)を含
むLenovoシステムの場合、ClientSecuritySolutionソフトウェアは、システムのトラステッド・ルート
としてハードウェアを活用します。システムにエンベデッド・セキュリティー・チップが含まれてい
ない場合、ClientSecuritySolutionは、システムのトラステッド・ルートとしてソフトウェア・ベース
の暗号化鍵を活用します。)
ClientSecuritySolution8.3には、以下の機能が含まれています。
•Windows
•指
•多
•パ
•パ
•セ
•デ
•認
Security
Security
SecuritySolution
®
®
®
®
Windows
Windows
Windows
ClientSecuritySolutionは、認証の際にユーザーのWindowsパスワードまたはClientSecuritySolutionパス
フレーズを受け入れるように構成できます。Windowsパスワードの場合はWindowsを使用するため、
便利で管理が容易です。ClientSecuritySolutionパスフレーズではセキュリティーが強化されます。
どちらの認証方式を使用するかは管理者が選択でき、この設定はユーザーがClientSecuritySolution
に登録した後でも変更することが可能です。
紋
指
紋
指
紋に
指紋
内蔵、またはUSB接続の指紋センサーを活用し、パスワードで保護されたアプリケーションに対し
てユーザーを認証します。
層
多
層
多
層の
多層
さまざまなセキュリティー関連操作に対して複数の認証装置(Windowsパスワード、ClientSecurityパス
フレーズ、および指紋)を定義します。
ス
パ
ス
パ
スワ
パス
ユーザーIDやパスワードなどの重要なログオン情報を安全に管理し、保存します。
ス
パ
ス
パ
スワ
パス
パスワードおよびパスフレーズの復元を利用して、WindowsパスワードまたはClientSecuritySolutionパ
スフレーズを忘れた場合でも、事前に構成されたセキュリティーの質問に答えることにより、Windows
にログインし、ClientSecuritySolutionクレデンシャルにアクセスすることができます。
キ
セ
キ
セ
キュ
セキ
ユーザーが、詳細なワークステーション・セキュリティー設定のリストを表示し、定義された規格
に準拠するように変更できるようにします。
ィ
デ
ィ
デ
ィジ
ディ
ClientSecuritySolutionは、ユーザーとPCの証明書の秘密鍵を保護します。ClientSecuritySolutionを
使用することにより、既存の証明書の秘密鍵が保護されます。
証
認
証
認
証の
認証
管理者は、Windowsログオン、PasswordManager、および証明書の操作といったアクションの場合、認
証にどの装置(Windowsパスワード、ClientSecuritySolutionパスフレーズ、または指紋)が必要かを
選択することができます。
パ
パ
パス
パ
る
よ
に
る
よ
に
るユ
よる
によ
ー
ユ
の
ー
ユ
の
ーザ
ユー
のユ
ド
ー
ワ
ド
ー
ワ
ド管
ード
ワー
ド
ー
ワ
ド
ー
ワ
ド/
ード
ワー
テ
リ
ュ
テ
リ
ュ
ティ
リテ
ュリ
ル
タ
ジ
ル
タ
ジ
ル証
タル
ジタ
リ
ポ
の
リ
ポ
の
リシ
ポリ
のポ
Solution
Solution
Solution
護
保
の
証
認
ー
ザ
ー
ユ
る
よ
に
ズ
ー
レ
フ
ス
ス
ス
スワ
ユ
ユ
ユー
ザ
ザ
ザー
管
管
管理
パ
/
パ
/
パス
/パ
ィ
ィ
ィー
証
証
証明
シ
シ
シー
ド
ー
ワ
ドま
ード
ワー
ー
ザ
ー
ー
ザ
ー
ー認
ザー
ーザ
証
認
ー
証
認
ー
証に
認証
ー認
理
理
理
レ
フ
ス
レ
フ
ス
レー
フレ
スフ
定
設
ー
定
設
ー
定の
設定
ー設
の
書
明
の
書
明
の転
書の
明書
理
管
ー
理
管
ー
理
管理
ー管
は
た
ま
はClient
たは
また
証
認
証
認
証
認証
Windows
る
よ
に
に
によ
の
の
の監
転
転
転送
Windows
る
よ
Windowsロ
るWindows
よる
の
ズ
ー
の
ズ
ー
の復
ズの
ーズ
査
監
査
監
査
監査
送
送
送
Security
Client
SecuritySolution
ClientSecurity
元
復
元
復
元
復元
Security
Client
は
た
ま
ド
ー
ワ
Solution
Solution
Solutionパ
ン
オ
グ
ロ
ロ
ログ
ン
オ
グ
ンお
オン
グオ
パ
フ
ス
パ
フレ
スフ
パス
ま
さ
び
よ
お
よ
お
よび
およ
ま
さ
び
まざ
さま
びさ
ズ
ー
レ
ズに
ーズ
レー
な
ま
ざ
な
ま
ざ
なClient
まな
ざま
る
よ
に
るユ
よる
によ
Client
Client
ClientSecurity
ザ
ー
ユ
ザー
ーザ
ユー
Security
Security
SecuritySolution
認
ー
認証
ー認
Solution
Solution
Solution操
証
証の
護
保
の
護
保護
の保
作
操
作
操
作
操作
©CopyrightLenovo2008,2011
1

Client
Client
Client
ClientSecurity
ClientSecuritySolutionパスフレーズは、ClientSecuritySolutionに拡張セキュリティーを提供する、ユー
ザー認証のオプション機能です。ClientSecuritySolutionパスフレーズの要件は、以下のとおりです。
•8文字以上の長さ
•数字が1文字以上入っていること
•最近の3回のパスフレーズと異なること
•反復文字は2文字以内
•先頭に数字を使用しない
•末尾に数字を使用しない
•ユーザーIDを含めない
•現在のパスフレーズを設定してから3日以内は変更しない
•現在のパスフレーズと同一の文字を連続して3文字以上使用しない
•Windowsパスワードと異なる
ClientSecuritySolutionパスフレーズを知っているのは個々のユーザーだけです。ClientSecuritySolutionパ
スフレーズを忘れた場合に復元する唯一の方法は、ClientSecuritySolutionパスワード復元機能を実行する
ことです。ユーザーが復元のための質問に対する回答を忘れてしまった場合、ClientSecuritySolution
パスフレーズで保護されたデータを復元する方法はありません。
Security
Security
SecuritySolution
Solution
Solution
Solutionパ
パ
ス
フ
レ
ー
パ
ス
フ
パス
スフ
フレ
ズ
レ
ー
ズ
レー
ーズ
ズ
Client
Client
Client
ClientSecurity
このオプション機能を使用すると、登録されたClientSecurityユーザーは、WindowsパスワードやClient
Securityパスフレーズを忘れた場合に、3つの質問に正しく答えることにより、復元することができま
す。この機能が有効である場合、ユーザーは、10の質問の中から3つを選択し、それぞれの質問に対
する回答を入力します。ユーザーがWindowsパスワードやClientSecurityパスフレーズを忘れた場合
は、これら3つの質問に回答して、そのパスワードやパスフレーズを自分でリセットするというオプ
ションが用意されています。
注
注
注:
注
ズを復元するための唯一のオプションです。ユーザーは、それら3つの質問に対する回答を忘れた場合、
登録ウィザードを再実行しなくてはならず、前のClientSecurity保護データはすべて失われます。
Client
Client
Client
ClientSecurity
ClientSecurityPasswordManagerを使用すると、ユーザーID、パスワード、およびその他の個人情報など
の、忘れやすいアプリケーションやWebサイトの情報を管理することができます。ClientSecurity
PasswordManagerは、ユーザーのアプリケーションやWebサイトへのアクセス全体がセキュアに保た
れるように、ClientSecuritySolutionによってユーザーの個人情報を保護します。また、ClientSecurity
PasswordManagerプログラムでは、1つのパスワードまたはパスフレーズを覚えておくか、指紋を使用
すればよいため、時間と労力が節約されます。
ClientSecurityPasswordManagerを使用すると、以下の機能を実行できます。
•Client
•ユ
Security
Security
Securityパ
:
:
:ClientSecurityパスフレーズを使用する場合、ClientSecurityパスワードの復元機能は忘れたパスフレー
Security
Security
SecurityPassword
Security
Client
Security
Client
SecuritySolution
ClientSecurity
ClientSecuritySolutionによってユーザーのすべての情報が自動的に暗号化されます。これにより、重要
なパスワード情報が、ClientSecuritySolution暗号化鍵によって保護されます。
ID
ー
ザ
ー
ユ
ー
ユ
ーザ
ユー
アプリケーションまたはWebサイトにアクセスする際に、ログイン・プロセスを自動化します。ログ
オン情報がClientSecurityPasswordManagerに入力されている場合は、ClientSecurityPasswordManagerが
自動的に必須フィールドへの記入を行い、Webサイトまたはアプリケーションに実行依頼します。
ID
ー
ザ
IDと
ーID
ザー
Solution
Solution
Solutionソ
パ
と
パ
と
パス
とパ
パ
ス
ワ
ー
ド
の
復
パ
ス
ワ
ー
パス
スワ
Password
Password
PasswordManager
ソ
ソ
ソフ
ド
ー
ワ
ス
ス
スワ
ド
ー
ワ
ドの
ード
ワー
ド
ワー
ード
ドの
Manager
Manager
Manager
ア
ェ
ウ
ト
フ
ト
フ
トウ
フト
の
の
の自
ア
ェ
ウ
アに
ェア
ウェ
入
動
自
入
動
自
入力
動入
自動
元
の
復
元
の復
復元
元
化
号
暗
の
報
情
存
保
の
て
べ
す
る
よ
に
る
よ
に
るす
よる
によ
力
力
力
て
べ
す
ての
べて
すべ
存
保
の
存情
保存
の保
の
報
情
の暗
報の
情報
化
号
暗
化
号化
暗号
2ClientSecuritySolution8.3デプロイメント・ガイド

Security
Client
Security
Client
SecurityPassword
ClientSecurity
•Client
アカウント項目を編集し、すべてのオプション機能を1つの使いやすいインターフェースにセットアッ
プすることができます。このインターフェースにより、パスワードと個人情報の管理を迅速かつ容易に
行えるようになります。ただし、変更に関連する項目のほとんどはClientSecurityPasswordManagerが自
動的に検出できるため、ユーザーはさらに簡単に項目を更新できます。
テ
ス
加
追
追
追加
•追
ClientSecurityPasswordManagerは、重要情報が特定のWebサイトまたはアプリケーションに送信され
ると、それを自動的に検出できます。重要情報を検出すると、ClientSecurityPasswordManagerはユー
ザーにプロンプトを出して情報を保存するように促し、重要情報の保存プロセスを単純化します。
セ
セ
セキ
•セ
ClientSecurityPasswordManagerを使用して、ユーザーはテキスト・データをセキュア・スクラッチ・
パッドに保存することができます。ユーザーのセキュア・スクラッチ・パッドは、他のWebサイトや
アプリケーションの項目と同じレベルのセキュリティーで保護できます。
ロ
ロ
ログ
•ロ
重要な個人情報をエクスポートして、その情報をPC間で安全に移動させることができます。Client
SecurityPasswordManagerからログイン情報をエクスポートすると、パスワードで保護されたエクス
ポート・ファイルが作成されます。このファイルは、リムーバブル・メディアに保存することができ
ます。このファイルを使用して、あらゆる場所でユーザーの個人情報にアクセスしたり、ClientSecurity
PasswordManagerを使用して項目を別のPCにインポートします。
注
注
注:
注
にサポートされています。ClientSecuritySolutionバージョン6.0の場合は、インポートが限定的に
サポートされています(アプリケーション項目はインポートされません)。ClientSecuritySoftware
Solutionバージョン5.4
Managerにインポートされません。
テ
ス
加
テッ
ステ
加ス
ア
ュ
キ
ア
ュ
キ
ア・
ュア
キュ
ン
イ
グ
ン
イ
グ
ン情
イン
グイ
:
:
:ClientSecuritySolutionバージョン7.0および8.
Password
Password
PasswordManager
必
を
プ
ッ
ッ
ップ
・
・
・ス
情
情
情報
必
を
プ
必要
を必
プを
ラ
ク
ス
ラ
ク
ス
ラッ
クラ
スク
エ
の
報
エ
の
報
エク
のエ
報の
Manager
Manager
Managerイ
し
と
要
し
と
要
しな
とし
要と
・
チ
ッ
・
チ
ッ
・パ
チ・
ッチ
ポ
ス
ク
ポ
ス
ク
ポー
スポ
クス
x
およびこれ以前のバージョンは、ClientSecuritySolutionバージョン8.
イ
タ
ン
イ
ター
ンタ
イン
の
報
情
い
な
い
な
い情
ない
ッ
パ
ッ
パ
ッド
パッ
ト
ー
ト
ー
トと
ート
の
報
情
の保
報の
情報
の
へ
ド
の
へ
ド
の情
への
ドへ
ン
イ
と
ン
イ
と
ンポ
イン
とイ
ェ
フ
ー
ェー
フェ
ーフ
存
保
存
保
存
保存
の
報
情
の
報
情
の保
報の
情報
ト
ー
ポ
ト
ー
ポ
ト:
ート
ポー
を
ス
ー
を使
スを
ース
存
保
存
保
存
保存
:
:
:
し
用
使
した
用し
使用
x
のエクスポート・ファイルのインポートは完全
目
項
た
目の
項目
た項
集
編
の
集
編集
の編
集
編
の
目
項
た
し
用
使
を
ス
ー
ェ
フ
ー
タ
ン
x
Password
Security
Security
Security
SecurityAdvisor
SecurityAdvisorを使用すると、現在PCに設定されているセキュリティー設定の要約を表示できます。こ
れらの設定値を使用して、現在のセキュリティー状況を表示したり、システム・セキュリティーを強化す
ることができます。表示されるカテゴリーのデフォルト値は、Windowsレジストリーによって変更でき
ます。以下に、セキュリティー・カテゴリーの一例を示します。
•ハードウェア・パスワード
•Windowsユーザー・パスワード
•Windowsパスワード・ポリシー
•保護スクリーン・セーバー
•ファイル共有
証
明
証
明
証
証明
明書
ClientSecurityの証明書転送ウィザードは、ソフトウェア・ベースのMicrosoft
ダー(CSP)からハードウェア・ベースのClientSecuritySolutionCSPに、証明書に関連した秘密鍵を転送す
るすべてのプロセスをガイドします。転送が行われた後は、秘密鍵がClientSecuritySolutionによって保護
されるため、証明書を使用する操作はよりセキュアになります。
ハ
ー
ハ
ー
ハ
ハー
ード
このツールは、Windowsから独立して稼動するセキュアな環境を作成し、忘れてしまったパワーオン・
パスワードやハードディスク・パスワードをリセットする際に役立ちます。IDは、自分で作成した一
連の質問に回答することによって設定されます。パスワードを忘れる前に、このセキュアな環境をで
きるだけ早く作成してください。登録後、ハードディスク上にこのセキュアな環境を作成するまで
は、忘れてしまったハードウェア・パスワードをリセットすることはできません。このツールは、一
部のPCを選択した場合のみ、使用可能です。
Advisor
Advisor
Advisor
書
転
送
ウ
ィ
ザ
ー
書
転
送
ウ
ィ
書転
転送
送ウ
ド
ウ
ェ
ド
ウ
ェ
ドウ
ウェ
ェア
ザ
ウィ
ィザ
ザー
ア
・
パ
ア
・
パ
ア・
・パ
パス
ド
ー
ド
ード
ド
®
暗号サービス・プロバイ
ス
ワ
ー
ド
の
リ
セ
ッ
ス
ワ
ー
ド
の
スワ
ワー
ード
リ
ドの
のリ
リセ
ト
セ
ッ
ト
セッ
ット
ト
第1章.概要3

TPM
TPM
TPM
TPMの
ClientSecuritySolution8.3は現在、対応するエンベデッド・セキュリティー・チップのないLenovoシステ
ムをサポートしています。このサポートにより、一貫したセキュアな環境を作成するために、全社的な標
準インストールを行うことが可能になります。エンベデッド・セキュリティー・チップのあるシステムは
アタックに対してより堅固ですが、エンベデッド・セキュリティー・チップのないシステムの場合、
ClientSecuritySolutionはソフトウェア・ベースの暗号鍵をシステムの信頼性の基盤として活用します。ま
た、追加のセキュリティーと機能もシステムにとって有益です。
の
な
い
シ
ス
テ
ム
の
サ
ポ
ー
の
な
い
シ
ス
テ
ム
の
のな
ない
いシ
シス
ステ
テム
サ
ムの
のサ
サポ
ト
ポ
ー
ト
ポー
ート
ト
Fingerprint
Fingerprint
Fingerprint
FingerprintSoftware
Lenovoが提案する指紋センサーの目的は、パスワードの管理に関連したコストの削減やシステムに対す
るセキュリティーの強化においてお客様を補助し、お客様が規制に対応できるようにすることです。
Lenovo社の指紋センサーとともに、指紋認証ソフトウェアを使用すると、個々のPCおよびネットワー
クでの指紋認証が可能になります。ClientSecuritySolution8.3と結合された指紋認証ソフトウェアは、
拡張機能を提供します。ClientSecuritySolution8.3では、ThinkVantage指紋認証ソフトウェア5.9.2と
LenovoFingerprintSoftware3.3の両方がサポートされます。これらはどちらもさまざまなマシン・タイプ
で使用可能です。LenovoWebサイトでLenovo指紋センサーの詳細を調べたり、指紋認証ソフトウェ
アをダウンロードしたりすることができます。
指紋認証ソフトウェアは、以下の機能を提供します。
Security
Client
Security
Client
SecuritySoftware
ClientSecurity
•Client
Microsoft
Microsoft
MicrosoftWindows
–Microsoft
パスワードをお客様の指紋に置き換えて、容易で高速、かつ安全なシステム・アクセスを提供
します。
BIOS
BIOS
BIOSパ
–BIOS
:
換
:
換
:
換:
換
パスワードをお客様の指紋と置き換えて、ログオン・セキュリティーと利便性を高めます。
SafeGuard
SafeGuard
SafeGuardEasy
–SafeGuard
指紋認証を使用して、Windowsの起動前にハードディスクを暗号化解除します。
BIOS
BIOS
BIOSお
–BIOS
起動時に指紋をセンサーに読み込ませるだけで、BIOSとWindowsにアクセスすることができるの
で、貴重な時間を節約することができます。
Client
Client
ClientSecurity
–Client
ClientSecuritySolutionPasswordManagerと併用して、TPMを活用します。ユーザーは、指紋センサー
に読み込ませてWebサイトにアクセスし、アプリケーションを選択します。
者
理
管
者
理
管
者機
理者
管理
•管
機
機
機能
パ
パ
パス
お
お
およ
Security
Security
SecuritySolution
Windows
Windows
Windowsパ
ス
ス
スワ
よ
よ
よび
能
能
能
Software
Software
Software
Software
Software
Softwareの
ー
ワ
ー
ワ
ード
ワー
Easy
Easy
Easyで
Windows
び
Windows
び
Windowsへ
びWindows
(
ド
(
ド
(パ
ド(
ド
で
ド
で
ドラ
でド
Solution
Solution
Solutionと
能
機
の
能
機
の
能
機能
の機
:
換
置
の
ド
ー
ワ
ス
パ
ワ
ス
パ
ワー
スワ
パス
ー
ワ
パ
ー
ワ
パ
ーオ
ワー
パワ
イ
ラ
イ
ラ
イブ
ライ
へ
へ
への
と
と
との
の
ド
ー
の置
ドの
ード
・
ン
オ
・
ン
オ
・パ
ン・
オン
体
全
ブ
体
全
ブ
体を
全体
ブ全
ン
シ
の
ン
シ
の
ング
シン
のシ
合
統
の
合
統
の
合:
統合
の統
:
換
置
:
換:
置換
ー
ワ
ス
パ
・
ク
ス
ィ
デ
ド
ー
ハ
び
よ
お
)
す
ま
れ
ば
呼
も
と
ド
ー
ワ
ス
パ
ワ
ス
パ
ワー
スワ
パス
号
暗
を
号
暗
を
号化
暗号
を暗
・
ル
グ
・
ル
グ
・ス
ル・
グル
:
:
:
と
ド
ー
とも
ドと
ード
る
す
化
る
す
化
るた
する
化す
イ
ワ
ス
イ
ワ
ス
イプ
ワイ
スワ
ば
呼
も
ばれ
呼ば
も呼
の
め
た
の
め
た
の起
めの
ため
ア
・
プ
ア
・
プ
アク
・ア
プ・
す
ま
れ
す)
ます
れま
指
前
動
起
起
起動
指
前
動
指紋
前指
動前
ス
セ
ク
ス
セ
ク
ス:
セス
クセ
び
よ
お
)
びハ
よび
およ
)お
証
認
紋
証
認
紋
証:
認証
紋認
:
:
:
ド
ー
ハ
ドデ
ード
ハー
:
:
:
ス
ィ
デ
スク
ィス
ディ
パ
・
ク
パス
・パ
ク・
ー
ワ
ス
ード
ワー
スワ
置
の
ド
置
の
ド
置
の置
ドの
セ
キ
セ
キュ
セキ
–セ
管理者は、保護モードと簡易モードを切り替えて、制限ユーザーのアクセス権限を変更するこ
とができます。
ュ
キ
セ
ュ
キ
セ
ュリ
キュ
セキ
•セ
フ
ソ
フ
ソ
フト
ソフ
–ソ
システムに保存する際や、読み取り装置からソフトウェアに転送する際に、強い暗号化によ
り、ユーザー・テンプレートを保護します。
ー
ハ
ー
ハ
ード
ハー
–ハ
セキュリティー読み取り装置には、指紋テンプレート、BIOSパスワード、および暗号鍵を保存し保
護するコプロセッサーがあります。
4ClientSecuritySolution8.3デプロイメント・ガイド
テ
リ
ュ
ティ
リテ
ュリ
ィ
テ
リ
ィ
テ
リ
ィー
ティ
リテ
ェ
ウ
ト
ェ
ウ
ト
ェア
ウェ
トウ
ェ
ウ
ド
ェ
ウ
ド
ェア
ウェ
ドウ
・
ー
ィ
・モ
ー・
ィー
能
機
ー
能
機
ー
能
機能
ー機
セ
・
ア
セ
・
ア
セキ
・セ
ア・
セ
・
ア
セ
・
ア
セキ
・セ
ア・
ド
ー
モ
ドの
ード
モー
リ
ュ
キ
リ
ュ
キ
リテ
ュリ
キュ
リ
ュ
キ
リ
ュ
キ
リテ
ュリ
キュ
り
切
の
り替
切り
の切
ー
ィ
テ
ー
ィ
テ
ー:
ィー
ティ
ー
ィ
テ
ー
ィ
テ
ー:
ィー
ティ
:
え
替
:
え:
替え
:
:
:
:
:
:
:
え
替
り
切
の
ド
ー
モ
・
ー
ィ
テ
リ
ュ
キ

第
2
章
イ
ン
ス
ト
ー
第
2
章
イ
ン
ス
第
第2
2章
章イ
イン
ンス
本章では、ClientSecuritySolutionおよび指紋認証ソフトウェアをインストールする手順について説明しま
す。ClientSecuritySolutionまたは指紋認証ソフトウェアをインストールする前に、インストールするアプ
リケーションのアーキテクチャーを理解する必要があります。本章では、各アプリケーションのアーキテ
クチャー、およびすべてのプログラムをインストールする前に必要な追加情報について説明します。
ト
スト
トー
ル
ー
ル
ール
ル
Client
Client
Client
ClientSecurity
ClientSecuritySolutionのインストール・パッケージは、InstallShield10.5PremierによってBasicMSIプロ
ジェクトとして開発されました。InstallShieldは、Windowsインストーラーを使用してアプリケーションを
インストールします。これにより、管理者には、コマンド・ラインからのプロパティ値の設定などの、イ
ンストールをカスタマイズする多くの機能が提供されます。この章では、ClientSecuritySolutionセット
アップ・パッケージの使用および実行方法について説明します。より正しく理解するために、パッケー
ジのインストールを開始するために、章全体をお読みください。
注
注
注:
注
ファイルを参照してください。READMEファイルには、ソフトウェア・バージョン、サポートされる
システム、システム要件、およびインストールに役立つその他の考慮事項に関する最新の情報が含
まれています。
イ
イ
イ
イン
このセクションでは、ClientSecuritySolutionパッケージをインストールするためのシステム要件を説明し
ます。最良の結果を得るために、次のWebサイトにアクセスして、ソフトウェアが最新版であることを
確認してください。
http://www.lenovo.com/support
ClientSecuritySolutionをインストールするには、LenovoPCが次の要件を満たしているか、それ以上で
あることが必要です。
•オペレーティング・システム:Windows7
•メモリー:256MB以上推奨
•InternetExplorer
•ハードディスク・ドライブ空き容量300MB。
•解像度800x600および24ビット・カラーをサポートするVGA対応ビデオ。
•ユーザーはClientSecuritySolutionをインストールするための管理者権限を持っている必要があります。
Security
Security
SecuritySolution
:
:
:これらのパッケージをインストールする場合、LenovoWebサイトのClientSecuritySolutionREADME
ン
ス
ト
ン
ンス
–共用メモリー設定の場合、共用メモリーのBIOS設定を8MB以上に設定する必要があります。
–非共用メモリー設定の場合、非共用メモリーは120MB以上必要です。
ー
ス
ト
ー
スト
トー
ール
Solution
Solution
Solution
ル
要
件
ル
要
件
ル要
要件
件
®
5.5以降がインストールされている必要があります。
:
注
:
注
:WindowsServer
注:
注
れていません。ただし、WindowsServer2003からの証明書の要求はサポートしています。62
『TPMでの鍵生成を使用した証明書の生成』を参照してください。
カ
ス
タ
カ
カ
カス
ClientSecuritySoftwareプログラムのインストール・パッケージには、インストールの実行時にコマンド・
ラインで設定できる、一連のカスタムパブリック・プロパティが含まれています。次の表に、Windowsオ
ペレーティング・システムのカスタム・パブリック・プロパティを示します。
©CopyrightLenovo2008,2011
ム
ス
タ
ム
スタ
タム
ム・
®
2003へのClientSecuritySolutionインストール・パッケージのデプロイはサポートさ
ページの
・
パ
ブ
リ
ッ
ク
・
プ
ロ
パ
テ
・
パ
ブ
リ
ッ
ク
・
プ
・パ
パブ
ブリ
リッ
ック
ク・
ロ
・プ
プロ
ロパ
ィ
パ
テ
ィ
パテ
ティ
ィ
5

表 1. パ ブ リ ッ ク ・ プ ロ パ テ ィ
プ
ロ
パ
テ
プ
プ
プロ
EMULATIONMODE
HALTIFTPMDISABLED
NOCSSWIZARD
CSS_CONFIG_SCRIPT
SUPERVISORPW
PWMGRMODE
NOSTARTMENU
CREATESHORTCUT
ィ
ロ
パ
テ
ィ
ロパ
パテ
ティ
ィ説
説
明
説
明
説明
明
TPMが存在する場合でも、強制的にエミュレーション・
モードでインストールを実行するように指定します。エ
ミュレーション・モードでインストールするには、コ
マンド・ラインでEMULATIONMODE=1と設定します。
TPMが使用不可状態で、インストールがサイレント・
モードで実行されている場合、デフォルトではイン
ストールをエミュレーション・モードで進めます。イ
ンストールをサイレント・モードで実行するときは、
HALTIFTPMDISABLED=1プロパティを使用して、TPM
が使用不可の場合にインストールを停止します。
ClientSecuritySolutionのインストール後にClientSecurity
Solution登録ダイアログが自動的に表示されないように
するには、コマンド・ラインでNOCSSWIZARD=1を設
定します。このプロパティは、ClientSecuritySolutionは
インストールしても、システムの構成は後でスクリプ
トを使用して行う管理者のために構成されています。
ユーザーがインストールを完了し、再起動した後に構
成ファイルを実行するには、CSS_CONFIG_SCRIPT=
『filename』または『filenamepassword』を設定します。
コマンド・ラインでSUPERVISORPW=『password』と
設定すると、スーパーバイザー・パスワードが提供さ
れ、サイレント・インストール・モードでも非サイレン
ト・インストール・モードでも、チップが使用可能に
なります。チップが使用不可で、インストールをサイレ
ント・モードで実行する場合、チップを使用可能にする
には正しいスーパーバイザー・パスワードを入力する必
要があります。パスワードが正しくないと、チップは
使用可能になりません。
PasswordManagerのみをインストールするには、コマン
ド・ラインでPWMGRMODE=1と設定します。
『スタート』メニューにショートカットが生成
されないようにするには、コマンド・ラインで
NOSTARTMENU=1と設定します。
ス
タ
ー
ト
ス
タ
ー
項目を『ス
ド・ラインでCREATESHORTCUT=1と設定します。
ト
スタ
ター
ート
ト』メニューに追加するには、コマン
TPM
TPM
TPM
TPM(Trusted
ClientSecuritySolutionバージョン8.3では、PCのエンベデッド・セキュリティー・チップであるTPM
(TrustedPlatformModule)がサポートされています。Windowsオペレーティング・システムがサポートする
TPMがLenovoPCに組み込まれている場合、ClientSecuritySolutionはWindowsオペレーティング・システ
ムに組み込まれているドライバーを使用します。
TPMはシステムのBIOSによって有効になるため、TPMを使用できるようにするために再起動が必要にな
る場合があります。Windows7が稼働している場合、システムの起動時にTPMを有効にするかどうかの
確認が求められることがあります。
TPMによっていずれかの機能が実施される前に、最初に所有権を初期化する必要があります。各システム
は、ClientSecuritySolutionオプションを制御する1人のClientSecuritySolution管理者を持ちます。この
管理者は、Windows管理者権限を持っている必要があります。管理者はXMLデプロイメント・スク
リプトを使用して初期化することができます。
6ClientSecuritySolution8.3デプロイメント・ガイド
(Trusted
(Trusted
(TrustedPlatform
Platform
Platform
PlatformModule)
Module)
Module)
Module)の
の
サ
ポ
ー
の
サ
のサ
サポ
ト
ポ
ー
ト
ポー
ート
ト

システムの所有権が構成された後は、このシステムにログインする追加の各Windowsユーザーに、ユー
ザーのセキュリティー・キーおよびクレデンシャルを登録し初期化するためのプロンプトがClientSecurity
セットアップ・ウィザードによって自動的に出されます。
ン
ョ
シ
ー
レ
ュ
ミ
エ
・
ア
ェ
ウ
ト
フ
ソ
の
TPM
の
TPM
のソ
TPMの
TPM
ClientSecuritySolutionには、限定されたシステム上でTPMを使用せずに実行するオプションが用意さ
れています。この機能は、ハードウェア保護キーを使用する代わりにソフトウェア・ベースのキーを
使用する以外は同じです。ソフトウェアは、TPMに効力を与える代わりに、常にソフトウェア・ベー
スのキーを使用するように強制するスイッチでインストールすることが可能です。このスイッチを使
用するかどうかはインストール時の決定で、ソフトウェアのアンインストールおよび再インストー
ルをせずに戻すことはできません。
TPMのソフトウェア・エミュレーションを強制する構文は以下の通りです。
InstallFile.exe“/vEMULATIONMODE=1”
イ
ン
ス
イ
ン
ス
イ
イン
ンス
スト
MicrosoftWindowsインストーラーは、コマンド・ライン・パラメーターによって、複数の管理機能を
提供します。Windowsインストーラーは、ワークグループによる使用またはカスタマイズのために、
アプリケーションまたは製品のネットワークへの管理用インストールを実行できます。コマンド・ラ
イン・オプションには、パラメーターを指定することが必要です。この場合、オプションとパラメー
ターの間にスペースは入れません。例:
setup.exe/s/v"/qnREBOOT=”R”"
ト
フ
ソ
トウ
フト
ソフ
ト
ー
ト
ー
トー
ール
ア
ェ
ウ
ア・
ェア
ウェ
ル
手
順
ル
手
順
ル手
手順
順お
ミ
エ
・
ミュ
エミ
・エ
お
よ
び
お
よ
び
およ
よび
びコ
ー
レ
ュ
ーシ
レー
ュレ
コ
マ
コ
マ
コマ
マン
ン
ョ
シ
ン
ョン
ショ
ン
ド
・
ラ
イ
ン
・
パ
ラ
メ
ー
タ
ン
ド
・
ラ
イ
ン
・
パ
ラ
ンド
ド・
・ラ
ライ
イン
ン・
・パ
メ
パラ
ラメ
メー
ー
ー
タ
ー
ータ
ター
ー
は有効ですが、
setup.exe/s/v"/qnREBOOT=”R”"
は無効です。
:
注
:
注
:インストールを単独で実行すると(パラメーターを指定せずにsetup.exeを実行すると)、デフォルトで
注:
注
は、インストール終了時にユーザーに再起動を促すプロンプトが出されます。プログラムを正しく機能さ
せるには、再起動する必要があります。上記のセクションおよび例のセクションで示すように、サイレン
ト・インストールではコマンド・ライン・パラメーターを使用して再起動を遅らせることができます。
ClientSecuritySolutionインストール・パッケージの場合、管理用インストールによりインストール・ソー
ス・ファイルが指定された場所に解凍されます。
管理者用インストールを実行するには、セットアップ・パッケージをコマンド・ラインから/aパ
ラメーターを使用して実行します。
setup.exe/a
管理者用インストールは、管理ユーザーにセットアップ・ファイルの解凍先を指定するようプロンプト
を出すウィザードを表示します。デフォルトの解凍先はC:です。新しい場所としてC:以外のドライ
ブ(その他のローカル・ドライブ、または割り当てられたネットワーク・ドライブなど)を選択するこ
ともできます。新しいフォルダーも、この手順で作成できます。
管理用インストールをサイレント・インストールで実行する場合、解凍先の場所を指定するために、コマ
ンド・ラインで次のように共通プロパティTARGETDIRを設定することができます。
setup.exe/s/v"/qnTARGETDIR=F:TVTRR"
または
msiexec.exe/i"ClientSecurity-PasswordManager.msi"/qnTARGERDIR=F:TVTRR
:
注
:
注
:最新バージョンのWindowsインストーラーを使用していない場合、Windowsインストーラー・エンジ
注:
注
ンが最新バージョンに更新されるようにsetup.exeファイルが構成されます。Windowsインストーラー・エ
第2章.インストール7

ンジンの更新の際、管理者用の展開インストールであってもシステムを再起動するようにプロンプト
が出されます。この状態の場合に再起動しないようにするには、WindowsインストーラーのREBOOT
プロパティを使用できます。Windowsインストーラーが最新バージョンである場合、setup.exeファイ
ルはWindowsインストーラー・エンジンの更新を試行しません。
管理用インストールが完了した後、管理者はソース・ファイルをカスタマイズ(たとえば、レジス
トリーに設定値を追加)することができます。
以下のパラメーターと説明は、InstallShield開発者のヘルプ文書に記載されています。基本MSIプロジェ
クトに適用されないパラメーターは、除かれています。
表 2. パ ラ メ ー タ ー
パ
ラ
メ
ー
タ
パ
ラ
パ
パラ
ラメ
/a:管理用インストール/aスイッチを指定すると、setup.exeで管理用インストー
ー
メ
ー
タ
ー
メー
ータ
ター
ー説
説
明
説
明
説明
明
ルが実行されます。管理用インストールは、データ・
ファイルをユーザーが指定したディレクトリーにコピー
(および解凍)しますが、ショートカットの作成、COM
サーバーの登録、アンインストール・ログの作成は行
いません。
/x:アンインストール・モード
/s:サイレント・モード
/v:Msiexecへの引数の受け渡し
/L:言語のセットアップ
/w:待機
/xスイッチを指定すると、setup.exeは以前にインストー
ルした製品をアンインストールします。
コマンドsetup.exe/sを実行すると、基本MSIインストー
ル・プログラム用のsetup.exe初期設定ウィンドウは表
示されず、応答ファイルは読み取られません。基本
MSIプロジェクトでは、サイレント・インストールの
場合、応答ファイルは作成も使用もされません。基本
MSI製品をサイレントで実行するには、コマンド・ライ
ンsetup.exe/s/v/qnを実行します。(基本MSIのサイレン
ト・インストールのパブリック・プロパティ値を指定す
る場合は、setup.exe/s/v"/qnINSTALLDIR=D:Destination"
などのコマンドを使用できます。)
/v引数を使用して、msiexe.exeにコマンド・ライン・ス
イッチとパブリック・プロパティの値を渡します。
ユーザーは、/Lスイッチと10進言語IDを使用して、
複数言語インストール・プログラムで使用する言語を
指定します。たとえば、ドイツ語を指定するコマンド
はsetup.exe/L1031です。
基本MSIプロジェクトで引数/wを指定すると、setup.exe
は、インストールが完了するのを待ってから終了しま
す。バッチ・ファイルで/wオプションを使用すると、
setup.exeのコマンド・ライン引数全体をstart/WAITで開
始することができます。正しくフォーマットされたコマ
ンドの使用例は、次のとおりです。
start/WAITsetup.exe/w
msiexec.exe
msiexec.exe
msiexec.exe
msiexec.exeの
の
使
用
の
使
用
の使
使用
用
カスタマイズした後に解凍したソースからインストールするには、ユーザーはコマンド・ラインで
msiexec.exeを実行し、解凍された*.MSIファイルの名前を引き渡します。msiexec.exeは、インストー
ル・パッケージを読み取り、製品をターゲットPCにインストールするために使用するWindowsインス
トーラーの実行可能プログラムです。
msiexec/i"C:WindowsFolderProlesUserName
PersonalMySetupsprojectnameproductcongurationreleasename
DiskImagesDisk1productname.msi"
8ClientSecuritySolution8.3デプロイメント・ガイド

:
注
:
注
:上記のコマンドを、円記号の後にスペースを入れずに1行として入力します。
注:
注
次の表では、msiexec.exeで有効なコマンド・ライン・パラメーターと、その使用方法を説明します。
表 3. コ マ ン ド ・ ラ イ ン ・ パ ラ メ ー タ ー
パ
ラ
メ
ー
タ
パ
ラ
パ
パラ
ラメ
ー
メ
ー
タ
ー
メー
ータ
ター
ー説
説
明
説
明
説明
明
/Ipackageまたはproductcode
/apackage
/xpackageまたはproductcode
/L[i|w|e|a|r|u|c|m|p|v|+]logfile
/q[n|b|r|f]
このフォーマットは製品のインストールに使用します。
Othello:msiexec/i"C:WindowsFolderProles
UserNamePersonalMySetups
OthelloTrialVersion
ReleaseDiskImagesDisk1
OthelloBeta.msi"
製品コードとは、製品のプロジェクト・ビューの製品コード・プロパティで
自動的に生成されるグローバル一意識別子(GUID)のことです。
/aオプションにより、管理者権限を持つユーザーは製品をネットワーク上
にインストールできます。
/xオプションは、製品をアンインストールします。
/Lオプションを使用して作成すると、ログ・ファイルへのパスが指定され
ます。以下のフラグは、ログ・ファイルに記録する情報を示しています。
•iは、状況メッセージをログに記録します
•wは、致命的でない警告メッセージをログに記録します
•eは、すべてのエラー・メッセージをログに記録します
•aは、アクション・シーケンスの開始をログに記録します
•rは、アクション固有のレコードをログに記録します
•uは、ユーザー要求をログに記録します
•cは、初期ユーザー・インターフェース・パラメーターをログに記録
します
•mは、メモリー不足メッセージをログに記録します
•pは、端末設定をログに記録します
•vは、冗長出力設定をログに記録します
•+は、既存ファイルに付加します
•*は、すべての情報を(冗長出力設定を除いて)ログに記録できるワイ
ルドカード文字です
/qオプションを以下のフラグと併用して、ユーザー・インターフェー
ス・レベルを設定します。
•qまたはqnは、ユーザー・インターフェースを作成しません。
•qbは、基本ユーザー・インターフェースを作成します。
/?または/h
下記のユーザー・インターフェース設定により、インストール終了時にモー
ダル・ダイアログ・ボックスが表示されます。
•qrは、縮小ユーザー・インターフェースを表示します。
•qfは、完全なユーザー・インターフェースを表示します。
•qn+は、ユーザー・インターフェースを表示しません。
•qb+は、基本ユーザー・インターフェースを表示します。
いずれかのコマンドにより、Windowsインストーラーの著作権情報が表示
されます。
第2章.インストール9

表 3. コ マ ン ド ・ ラ イ ン ・ パ ラ メ ー タ ー ( 続 き )
パ
ラ
メ
ー
タ
パ
ラ
パ
パラ
ラメ
TRANSFORMS
Properties
ー
メ
ー
タ
ー
メー
ータ
ター
ー説
説
明
説
明
説明
明
TRANSFORMS
TRANSFORMS
TRANSFORMS
TRANSFORMSコマンド・ライン・パラメーターを使用して、基本パッケー
ジに適用する変換を指定します。
msiexec/i"C:WindowsFolder
ProlesUserNamePersonal
MySetups
YourProjectNameTrialVersion
MyRelease-1
DiskImagesDisk1
ProductName.msi"TRANSFORMS="NewTransform1.mst"
複数の変換をセミコロンで分離できます。Windowsインストーラー・サービ
スが誤って解釈しないように、変換の名前にセミコロンを使用しないで
ください。
すべてのパブリック・プロパティはコマンド・ラインで設定または変更
できます。パブリック・プロパティはプライベート・プロパティと区別さ
れ、すべて大文字です。たとえば、COMPANYNAMEはパブリック・プ
ロパティです。
コマンド・ラインからプロパティを設定するには、次の構文を使用します。
PROPERTY=VALUE
COMPANYNAMEの値を変更するには、次のように入力します。
msiexec/i"C:WindowsFolder
ProlesUserNamePersonal
MySetupsYourProjectName
TrialVersionMyRelease-1
DiskImagesDisk1ProductName.msi"
COMPANYNAME="InstallShield"
標
準
プ
プ
プ
プロ
TARGETDIR
ARPAUTHORIZEDCDFPREFIX
ARPCOMMENTS
ARPCONTACT
ARPINSTALLLOCATION
Windows
準
Windows
準Windows
Windowsイ
ロ
パ
テ
ィ
ロ
パ
テ
ィ
ロパ
パテ
ティ
ィ説
標
標
標準
Windowsインストーラーには、一連の標準組み込みパブリック・プロパティがあります。これらのプロパ
ティをコマンド・ラインで設定して、インストール時の特定の動作を指定することができます。下表に、
コマンド・ラインで使用される最も一般的なパブリック・プロパティについて説明します。
追加情報については、次のMicrosoftWebサイトを参照してください。
http://msdn2.microsoft.com/en-us/library/aa367437.aspx
次の表に、一般的に使用されるWindowsインストーラーのプロパティを示します。
表 4. Windows イ ン ス ト ー ラ ー の プ ロ パ テ ィ
イ
ン
ス
ト
ー
ラ
ー
の
パ
ブ
リ
ッ
ク
・
プ
ロ
パ
テ
イ
ン
ス
ト
ー
ラ
ー
の
パ
ブ
リ
ッ
ク
・
プ
イン
ンス
スト
トー
ーラ
ラー
ーの
のパ
パブ
ブリ
リッ
ック
ク・
説
明
説
明
説明
明
インストール用の宛先のルート・ディレクトリーを指定
します。管理者用インストールの場合、このプロパティ
は、インストール・パッケージのコピー先です。
アプリケーションの更新チャネルのURL。
『コントロールパネル』の『プログラムの追加と削
除』に『コメント』を提供します。
『コントロールパネル』の『プログラムの追加と削除』
に『連絡先』を提供します。
アプリケーションの1次フォルダーへの完全修飾パス。
ロ
・プ
プロ
ロパ
ィ
パ
テ
ィ
パテ
ティ
ィ
10ClientSecuritySolution8.3デプロイメント・ガイド

表 4. Windows イ ン ス ト ー ラ ー の プ ロ パ テ ィ ( 続 き )
プ
ロ
パ
テ
プ
プ
プロ
ARPNOMODIFY
ARPNOREMOVE
ARPNOREPAIR
ARPPRODUCTICON
ARPREADME
ARPSIZE
ARPSYSTEMCOMPONENT
ARPURLINFOABOUT
ARPURLUPDATEINFO
REBOOT
ィ
ロ
パ
テ
ィ
ロパ
パテ
ティ
ィ説
説
明
説
明
説明
明
製品を変更する機能を使用不可にします。
製品を削除する機能を使用不可にします。
『プログラム』ウィザードの『修復』ボタンを使用
不可にします。
インストール・パッケージの基本アイコンを指定し
ます。
『コントロールパネル』の『プログラムの追加と削除』
にREADMEを提供します。
アプリケーションの推定サイズ(KB)。
『プログラムの追加と削除』のリストにアプリケーショ
ンを表示しないようにします。
アプリケーションのホーム・ページのURL。
アプリケーション更新情報のURL。
REBOOTプロパティにより、システムの再起動を促す特
定のプロンプトが抑止されます。管理者は通常、一連の
インストールを行う際にこのプロパティを使用して、
複数の製品を同時にインストールし、最後に一度だけ再
起動します。インストール終了時の再起動を使用不可に
するには、REBOOT=『R』と設定します。
イ
ン
ス
ト
ー
ル
・
ロ
グ
・
フ
ァ
イ
イ
ン
ス
ト
ー
ル
・
ロ
グ
・
イ
イン
ンス
スト
トー
ール
ル・
・ロ
ログ
ClientSecuritySolutionのインストール・ログ・ファイルはcssinstall83xx.logという名前で、setup.exeファイ
ルでセットアップを起動する(install.exeファイルをダブルクリックするか、パラメーターなしで実行可能
ファイルを実行するか、MSIパッケージを解凍してsetup.exeファイルを実行します)と、%temp%ディレ
クトリーに作成されます。このファイルには、インストール問題のデバッグに使用できるログ・メッセー
ジが含まれています。このログ・ファイルには、『コントロールパネル』の『プ
除
除
除』アプレットによって実行されたアクティビティーすべてが含まれます。このログ・ファイルは、
除
MSIパッケージから直接setup.exeファイルを実行した場合には作成されません。すべてのMSIアクショ
ンのログ・ファイルを作成するには、レジストリー内のログ・ポリシーを使用可能にすることができ
ます。これを行うには、次の値を作成します。
[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsInstaller]
"Logging"="voicewarmup"
例
の
ル
ー
ト
ス
ン
イ
ン
イ
ンス
イン
イ
次の表には、setup.exeファイルを使用したインストールの例が示されています。
表 5. setup.exe フ ァ イ ル を 使 用 し た イ ン ス ト ー ル の 例
説
明
説
明
説
説明
明例
サイレント・インストール(再起動なし)
管理者用インストール
管理用のサイレント・インストール(ClientSecurity
Softwareの解凍先を指定)。
サイレント・アンインストール
ー
ト
ス
ール
トー
スト
例
の
ル
例
の例
ルの
フ
グ・
・フ
ファ
ル
ァ
イ
ル
ァイ
イル
ル
と
加
追
の
ム
ラ
グ
ロ
例
例
例
setup.exe/s/v”/qnREBOOT=”R””
setup.exe/a
setup.exe/a/s/v”/qnTARGETDIR=”F:
CSS83””
setup.exe/s/x/v/qn
プ
グ
ロ
プ
グラ
ログ
プロ
の
ム
ラ
の追
ムの
ラム
と
加
追
と削
加と
追加
削
削
削
第2章.インストール11

表 5. setup.exe フ ァ イ ル を 使 用 し た イ ン ス ト ー ル の 例 ( 続 き )
説
明
説
明
説
説明
明例
再起動なしのインストール(ClientSecuritySoftwareの
tempサブディレクトリーにインストール・ログを作成)
ワークスペースをインストールしないインストール
次の表は、ClientSecurity-PasswordManager.msiを使用したインストールの例です。
表 6. Client Security - Password Manager.msi を 使 用 し た イ ン ス ト ー ル の 例
説
明
説
明
説
説明
明例
インストール
サイレント・インストール
(再起動なし)
サイレント・アンインストー
ル
例
例
例
msiexec/i“C:CSS83ClientSecurity
Solution-PasswordManager .msi”
msiexec/i“C:CSS83ClientSecurity
Solution-PasswordManager .msi”/qnREBOOT=”R”
msiexec/x“C:CSS83ClientSecurity
Solution-PasswordManager.msi”/qn
例
例
例
setup.exe/v”REBOOT=”R”/L*v%temp%
cssinstall83.log”
setup.exe/vPDA=0
ThinkVantage
ThinkVantage
ThinkVantage
ThinkVantage指
ThinkVantage指紋認証ソフトウェア・プログラムのsetup.exeファイルは、以下の方法でインストール
できます。
サ
イ
レ
サ
サ
サイ
ThinkVantage指紋認証ソフトウェアをサイレント・インストールするには、CD-ROMドライブのインス
トール・ディレクトリーにあるsetup.exeファイルを実行します。
このときの構文は次のようになります。
Setup.exePROPERTY=VALUE/q/i
ここで、qはサイレント・インストール、iはインストールを表します。例:
setup.exeINSTALLDIR="C:ProgramFilesThinkVantagengerprintsoftware"/q/i
このソフトウェアをアンインストールするには、/iの代わりに/xパラメーターを使用します。
setup.exeINSTALLDIR="C:ProgramFilesThinkVantagengerprintsoftware"/q/x
Options
Options
Options
Options
ThinkVantage指紋認証ソフトウェアでは以下のオプションがサポートされています。
表 7. ThinkVantage 指 紋 認 証 ソ フ ト ウ ェ ア で サ ポ ー ト さ れ る オ プ シ ョ ン
パ
パ
パ
パラ
CTRLONCE
CTLCNTR
ン
イ
レ
ン
イレ
レン
ント
ラ
メ
ー
タ
ラ
ラメ
ー
メ
ー
タ
ー
メー
ータ
ター
ー説
指
紋
認
証
ソ
フ
ト
ウ
ェ
ア
の
イ
ン
ス
ト
ー
指
紋
認
証
ソ
フ
ト
ウ
ェ
ア
の
イ
ン
指紋
紋認
認証
証ソ
ソフ
フト
トウ
ウェ
ェア
アの
のイ
ト
・
イ
ン
ス
ト
ー
ト
・
イ
ン
ト・
・イ
ス
イン
ンス
スト
ル
ト
ー
ル
トー
ール
ル
ス
イン
ンス
スト
説
明
説
明
説明
明
コントロール・センターを一度だけ表示します。デ
フォルト値は0です。
•0=起動時にコントロール・センターを表示しませ
ん。
•1=起動時にコントロール・センターを表示します。
デフォルト値は1です。
ル
ト
ー
ル
トー
ール
ル
12ClientSecuritySolution8.3デプロイメント・ガイド

表 7. ThinkVantage 指 紋 認 証 ソ フ ト ウ ェ ア で サ ポ ー ト さ れ る オ プ シ ョ ン ( 続 き )
パ
ラ
メ
ー
タ
パ
ラ
パ
パラ
ラメ
ー
メ
ー
タ
ー
メー
ータ
ター
ー説
DEFFUS
説
明
説
明
説明
明
•0=ユーザーの簡易切り替え(FUS)設定を使用しま
せん。
•1=FUS設定を使用します。
デフォルト値は0です。
DEVICEBIO
ユーザーにより使用されるデバイス・タイプを構成
します。
•DEVICEBIO=#3-デバイス・センサーを使用して最
初の登録を保存します。
•DEVICEBIO=#0-ハードディスク・ドライブを使用
して登録を保存します。
•DEVICEBIO=#1-コンパニオン・チップを使用して登
録を保存します。
INSTALLDIR
OEM
インストール・ディレクトリーを設定します。
•0=サーバー・パスポートまたはサーバー認証に関す
るサポートもインストールします。
•1=スタンドアロンPCモードのみ(ローカル・パス
ポート)をインストールします。
デフォルト値は1です。
PASSPORT
デフォルトのパスポート・タイプを設定します。
•1=ローカル・パスポート
•2=サーバー・パスポート
デフォルト値は1です。
POSSSO
•1=シングル・サインオンを有効にします。
•0=シングル・サインオンを無効にします。
デフォルト値は1です。
PSLOGON
•0=指紋ログオンを無効にします。
•1=指紋ログオンを有効にします。
デフォルト値は0です。
REBOOT
ReallySuppressに設定すると、インストール中は、プロ
ンプトを含むすべての再起動を行わないようにします。
SECURITY
•1=保護モードでインストールします。
•0=簡易モードでインストールします。
SHORTCUT
•0=起動時にコントロール・センター・ショートカッ
トを表示しません。
•1=起動時のコントロール・センター・ショートカッ
トの表示を有効にします。
SHORTCUTFOLDER
非管理者ユーザー特権
デフォルト値は0です。
ス
タ
ー
ト
ス
タ
ー
『ス
ト
スタ
ター
ート
ト』メニューのショートカット・フォルダーの
デフォルト名を設定します。
第2章.インストール13

表 7. ThinkVantage 指 紋 認 証 ソ フ ト ウ ェ ア で サ ポ ー ト さ れ る オ プ シ ョ ン ( 続 き )
パ
ラ
メ
ー
タ
パ
ラ
パ
パラ
ラメ
DELETESELF
ENROLLSELF
ENROLLTBX
IMPORTSELF
REVEALPWD
ー
メ
ー
タ
ー
メー
ータ
ター
ー説
説
明
説
明
説明
明
•1=指紋削除を有効にします。
•0=指紋削除を無効にします。
デフォルト値は1です。
•1=指紋登録を有効にします。
•0=指紋登録を無効にします。
デフォルト値は1です。
•1=パワーオン用の指紋の選択を有効にします。
•0=パワーオン用の指紋の選択を無効にします。
デフォルト値は1です。
•1=管理者以外のユーザーによる指紋のインポート/エ
クスポートを有効にします。
•0=管理者以外のユーザーによる指紋のインポート/エ
クスポートを無効にします。
デフォルト値は1です。
•1=Windowsパスワードの復元を有効にします。
•0=Windowsパスワードの復元を無効にします。
デフォルト値は1です。
連続再試行に対する保護(ロックアウト設定)
LOCKOUT
LOCKOUTCOUNT
LOCKOUTTIME
認証タイムアウト(非活動設定)
GUITMENABLE
GUITMTIME
PWDLOGON
•1=連続再試行に対する保護を有効にします。
•0=連続再試行に対する保護を無効にします。
デフォルト値は1です。
最大再試行回数。デフォルト値は5で、任意の値を使用
できます。
ミリ秒単位のタイムアウト。デフォルト値は120000
で、最大360000までの任意の値を使用できます。
•1=ミリ秒単位の認証タイムアウトを有効にします。
•0=ミリ秒単位の認証タイムアウトを無効にします。
デフォルト値は1です。
認証タイムアウト期間。デフォルト値は120000で、最
大360000までの任意の値を使用できます。
•1=管理者以外のユーザーによる指紋認証のみのロ
グオンを有効にします。
•0=管理者以外のユーザーによる指紋認証のみのロ
グオンを無効にします。
デフォルト値は1です。
14ClientSecuritySolution8.3デプロイメント・ガイド

表 7. ThinkVantage 指 紋 認 証 ソ フ ト ウ ェ ア で サ ポ ー ト さ れ る オ プ シ ョ ン ( 続 き )
パ
ラ
メ
ー
タ
パ
ラ
パ
パラ
ラメ
NOPOPPAPCHECK
CSS
:
注
:
注
:すべてのオプションは任意指定です。
注:
注
FingerprintSoftwareをアンインストールするには、/iの代わりに/xパラメーターを使用します。ユー
ザー・インターフェースからの標準アンインストールの際には、既存のパスポートを削除するかどうか、
およびブート・セキュリティー機能を使用不可にするかどうかを選択するためのダイアログが表示されま
す。サイレント・アンインストール・モードの場合、DELPASパラメーターを使用できます。既存のパス
ポートを削除する場合、DELPAS値を"1"に設定します。これらのオプションを定義しない場合、または
他の値にする場合、パスポートはPC上に残り、ブート・セキュリティーはその後も有効です。ブー
ト・セキュリティーをオンのままにすると、本製品を再インストールしない限りは、ブート・セキュリ
ティー・メモリーで指紋を編集することはできません。たとえば、以下の構文を実行するとします。
msiexec/iSetup.msiDELPAS="1"/q
ー
メ
ー
タ
ー
メー
ータ
ター
ー説
説
明
説
明
説明
明
•0=パワーオン・セキュリティー・オプションを表示
しません。
•1=パワーオン・セキュリティー・オプションを常
に表示します。
デフォルト値は0です。
•0=ClientSecuritySolutionはインストールされていな
いと想定します。
•1=ClientSecuritySolutionがインストールされてい
ると想定します。
デフォルト値は0です。
この場合、製品がアンインストールされ、既存のすべてのパスポートが削除され、ブート・セキュリ
ティーがPC上に残ります。
Lenovo
Lenovo
Lenovo
LenovoFingerprint
LenovoFingerprintSoftwareプログラムのsetup32.exeファイルは、以下の手順を使用してインストール
できます。
サ
イ
サ
イ
サ
サイ
イレ
指紋認証ソフトウェアをサイレント・インストールするには、CD-ROMドライブのインストール・ディレ
クトリーにあるsetup32.exeファイルを実行します。
このときの構文は次のようになります。
setup32.exe/s/v"/qnREBOOT="R""
ソフトウェアをアンインストールするには、構文を実行します。
setup32.exe/x/s/v"/qnREBOOT="R""
Options
Options
Options
Options
LenovoFingerprintSoftwareでは以下のオプションがサポートされています。
Fingerprint
Fingerprint
FingerprintSoftware
レ
ン
ト
レ
レン
・
ン
ト
・
ント
ト・
・イ
イ
イ
イン
Software
Software
Softwareの
ン
ス
ン
ス
ンス
スト
の
イ
ン
ス
ト
ー
の
イ
ン
のイ
ト
ー
ル
ト
ー
ル
トー
ール
ル
ス
イン
ンス
スト
ル
ト
ー
ル
トー
ール
ル
第2章.インストール15

表 8. Lenovo Fingerprint Software で サ ポ ー ト さ れ る オ プ シ ョ ン
パ
ラ
メ
ー
タ
パ
ラ
パ
パラ
ラメ
SHORTCUT
SWAUTOSTART
SWFPLOGON
SWPOPP
SWSSO
SWALLOWENROLL
SWALLOWDELETE
SWALLOWIMEXPORT
SWALLOWSELECT
ー
メ
ー
タ
ー
メー
ータ
ター
ー説
説
明
説
明
説明
明
ス
タ
ー
ト
ス
タ
ー
『ス
ショートカットを表示します。
•0=コントロール・センター・ショートカットを表示
•1=コントロール・センター・ショートカットを表
デフォルト値は0です。
•0=起動時に指紋認証ソフトウェアを開始しません。
•1=起動時に指紋認証ソフトウェアを開始します。
デフォルト値は1です。
•0=指紋ログオン(GINAまたはクレデンシャル・プロ
•1=指紋ログオン(GINAまたはクレデンシャル・プロ
デフォルト値は0です。
•0=パワーオン・パスワードの保護を無効にします。
•1=パワーオン・パスワードの保護を有効にします。
デフォルト値は0です。
•0=シングル・サインオン機能を無効にします。
•1=シングル・サインオン機能を有効にします。
デフォルト値は0です。
•0=管理者以外のユーザーによる指紋の登録を無効
•1=管理者以外のユーザーによる指紋の登録を有効
デフォルト値は1です。
•0=管理者以外のユーザーによる指紋の削除を無効
•1=管理者以外のユーザーによる指紋の削除を有効
デフォルト値は1です。
•0=管理者以外のユーザーによる指紋のインポート/エ
•1=管理者以外のユーザーによる指紋のインポート/エ
デフォルト値は1です。
•0=管理者以外のユーザーが指紋を使用してパワー
•1=管理者以外のユーザーが指紋を使用してパワー
デフォルト値は1です。
ト
スタ
ター
ート
ト』メニューにコントロール・センター・
しません。
示します。
バイダー)を使用しません。
バイダー)を使用します。
にします。
にします。
にします。
にします。
クスポートを無効にします。
クスポートを有効にします。
オン・パスワードを置換することの選択を無効に
します。
オン・パスワードを置換することの選択を有効に
します。
16ClientSecuritySolution8.3デプロイメント・ガイド

表 8. Lenovo Fingerprint Software で サ ポ ー ト さ れ る オ プ シ ョ ン ( 続 き )
パ
ラ
メ
ー
タ
パ
ラ
パ
パラ
ラメ
SWALLOWPWRECOVERY
SWANTIHAMMER
SWANTIHAMMERRETRIES
SWANTIHAMMERTIMEOUT
SWAUTHTIMEOUT
SWAUTHTIMEOUTVALUE
SWNONADMIFPLOGONONLY
SWSHOWPOWERON
CSS
ー
メ
ー
タ
ー
メー
ータ
ター
ー説
説
明
説
明
説明
明
•0=Windowsパスワードの復元を無効にします。
•1=Windowsパスワードの復元を有効にします。
デフォルト値は1です。
•0=連続再試行に対する保護を無効にします。
•1=連続再試行に対する保護を有効にします。
デフォルト値は1です。
最大再試行回数を指定します。デフォルト値は5です。
注
:
注
:
注
注:
:この設定は、SWANTIHAMMERが有効になっていると
きにのみ、機能します。
タイムアウト期間(秒単位)を指定します。デフォルト
値は120です。
注
:
注
:
注
注:
:この設定は、SWANTIHAMMERが有効になっていると
きにのみ、機能します。
•0=認証タイムアウトを無効にします。
•1=認証タイムアウトを有効にします。
デフォルト値は1です。
認証がタイムアウトになるまでの非アクティブ期間(秒
単位)を指定します。デフォルト値は120です。
注
:
注
:
注
注:
:この設定は、SWAUTHTIMEOUTが有効になっていると
きにのみ、機能します。
•0=管理者以外のユーザーによる指紋認証のみのロ
グオンを無効にします。
•1=管理者以外のユーザーによる指紋認証のみのロ
グオンを有効にします。
デフォルト値は1です。
•0=パワーオン・セキュリティー・オプションを表示
しません。
•1=パワーオン・セキュリティー・オプションを常
に表示します。
デフォルト値は0です。
•0=ClientSecuritySolutionはインストールされていな
いと想定します。
•1=ClientSecuritySolutionがインストールされてい
ると想定します。
デフォルト値は0です。
Systems
Systems
Systems
SystemsManagement
Management
Management
ManagementServer
Server
Server
Server(SMS)
(SMS)
(SMS)
(SMS)
SystemManagementServer(SMS)のインストールもサポートされています。SMS管理者コンソールを開きま
す。新規パッケージを作成して標準的なパッケージ・プロパティを設定します。そのパッケージを開き、
『プログラム』項目で『新規プログラム』を選択します。コマンド・ラインに次のように入力します。
Setup.exe/myourmiflename/q/i
サイレント・インストールの場合と同じパラメーターを使用できます。
第2章.インストール17

Setupでは、通常はインストール・プロセス終了時に再起動します。インストール中は再起動せず、
後で(さらにいくつかのプログラムをインストールしてから)再起動する場合は、プロパティ・リスト
にREBOOT=『ReallySuppress』を追加します。
18ClientSecuritySolution8.3デプロイメント・ガイド

第
3
章
第
3
第
第3
3章
ClientSecuritySolutionをインストールする前に、ClientSecuritySolutionで選択可能なカスタマイズについ
て理解する必要があります。この章には、ClientSecuritySolutionのカスタマイズに関する情報およびTPM
(TrustedPlatformModule)に関する情報が記載されています。この章では、TPMについてTrustedComputing
Group(TCG)によって定義された用語を使用します。TPMについて詳しくは、次のWebサイトを参照して
ください。
http://www.trustedcomputinggroup.org/
Client
章
Client
章Client
ClientSecurity
Security
Security
SecuritySolution
Solution
Solution
Solutionで
で
の
作
で
の
での
の作
業
作
業
作業
業
TPM
TPM
TPM
TPMの
TPMは、TPMを利用するソフトウェアにセキュリティー関連の機能を提供するために設計されたエンベ
デッド・セキュリティー・チップです。エンベデッド・セキュリティー・チップは、システムのマザー
ボードに搭載され、ハードウェア・バスを介して通信します。TPMを導入しているシステムは、暗号鍵を
作成して暗号化することができ、同じTPMのみが暗号化を解除することができます。このプロセスは、
しばしば鍵の
スター・ラッピング鍵は、ストレージ・ルート鍵(SRK)と呼ばれ、TPM自体の内部に保存されるので、鍵
の秘密(private)部分は決して公開されません。エンベデッド・セキュリティー・チップは、他のストレー
ジ・キー、署名鍵、パスワード、およびデータの他の小ユニットも保存できます。TPMには記憶容量の
制限があるので、SRKはチップ外に記憶するその他の鍵の暗号化に使用されます。SRKはエンベデッ
ド・セキュリティー・チップに残されることは決してないので、保護ストレージの基本になっています。
エンベデッド・セキュリティー・チップの使用はオプションであり、ClientSecuritySolution管理者を
必要とします。個人ユーザーでも企業のIT部門でも、TPMは初期設定する必要があります。ハード
ディスク故障からのリカバリーやシステム・ボードの交換など、その後の操作を行うのはClientSecurity
Solution管理者に限定されます。
注
注
注:
注
トしてから、マスター管理者としてログインし直す必要があります。これで、セキュリティー・チッ
プをアンロックすることができます。2次ユーザーとしてログオンして、認証モードの変換を続ける
こともできます。この操作は2次ユーザーがログオンすると自動的に行われます。この場合、Client
SecuritySolutionによって2次ユーザーのパスワードまたはパスフレーズのプロンプトが出されます。
ClientSecuritySolutionが変更の処理を完了すると、2次ユーザーはセキュリティー・チップのアン
ロック操作に進むことができます。
の
使
用
の
使
用
の使
使用
用
ラ ッ ピ ン グ
:
:
:認証モードを変更するときにセキュリティー・チップをアンロックしようとする場合、ログアウ
と呼ばれ、鍵の開示を防止するのに役立ちます。TPMを備えたシステムでは、マ
Windows
Windows
Windows
Windows7
Windows7ログオンが有効で、TPMが無効の場合、Windowsログオン機能を無効にしてから、F1BIOSで
TPMを無効にする必要があります。この操作を行うと、『セ
た
し
ま
た
し
ま
た。
した
まし
ま
protected)
protected)
protected)』というセキュリティー・メッセージが表示されなくなります。
protected)
さらに、クライアント・システムのオペレーティング・システムをアップグレードする場合、Client
Securityの登録に失敗しないためにセキュリティー・チップのクリアが必要です。F1BIOSでセキュリ
ティー・チップをクリアするには、システムをコールド起動する必要があります。ウォームリブートの後
にこのプロセスを実行しようとすると、セキュリティー・チップをクリアできなくなります。
Client
Client
Client
ClientSecurity
ClientSecuritySolutionについては、2つの主なデプロイメント・アクティビティーである『所有権の取
得』と『ユーザー登録』で説明します。ClientSecuritySolutionセットアップ・ウィザードを初めて実行す
る際に、所有権の取得プロセスとユーザー登録プロセスが、どちらも初期設定時に実行されます。Client
©CopyrightLenovo2008,2011
7
で
の
の
のTPM
ロ
プ
・
ロ
プ
・
ロセ
プロ
・プ
Solution
Solution
Solutionの
TPM
TPM
TPMの
7
で
7で
での
ン
オ
グ
ロ
。
ロ
。
ログ
。ロ
Security
Security
SecuritySolution
ン
オ
グ
ン・
オン
グオ
の
使
用
の
使
用
の使
使用
用
に
ブ
ィ
テ
ク
ア
非
が
プ
ッ
チ
・
ー
ィ
テ
リ
ュ
キ
セ
セ
セキ
セ
を
ス
セ
を保
スを
セス
で
護
保
でき
護で
保護
の
暗
の
暗
の暗
暗号
せ
ま
き
せん
ませ
きま
号
鍵
号
鍵
号鍵
鍵の
(Security
。
ん
(Securitychip
。(Security
ん。
の
管
理
の
管
理
の管
管理
理
(Security
。
ん
せ
ま
き
で
護
保
を
ス
chip
chip
chiphas
リ
ュ
キ
リテ
ュリ
キュ
has
has
hasbeen
been
been
beendeactivated,
ィ
テ
ィー
ティ
deactivated,
deactivated,
deactivated,the
ー
ー・
ッ
チ
・
ップ
チッ
・チ
非
が
プ
非ア
が非
プが
logon
the
logon
the
logonprocess
thelogon
テ
ク
ア
ティ
クテ
アク
process
process
processcannot
に
ブ
ィ
にな
ブに
ィブ
cannot
cannot
cannotbe
り
な
り
な
り
なり
be
be
be
19

SecuritySolutionセットアップ・ウィザードを完了した特定のWindowsユーザーIDは、ClientSecurity
Solution管理者で、アクティブ・ユーザーとして登録されます。システムにログインするその他のユー
ザーは、すべてClientSecuritySolutionに登録するように自動的に要求されます。
得
取
の
権
有
所
権
有
所
権の
有権
所有
•所
単一のWindows管理者のユーザーIDは、唯一のClientSecuritySolution管理者としてシステムに割り当
てられます。ClientSecuritySolutionの管理機能は、このユーザーIDにより実行される必要があります。
TPMの許可は、このユーザーのWindowsパスワードか、ClientSecurityパスフレーズのいずれかです。
:
注
:
注
:忘れてしまったClientSecuritySolution管理者パスワードまたはパスフレーズからリカバリーする唯
注:
注
一の方法は、有効なWindowsのアクセス権を使用してこのソフトウェアをアンインストールするか、
BIOS内のセキュリティー・チップをクリアするかのいずれかです。いずれの方法でも、TPMに関連し
た鍵を介して保護されたデータは、消失します。ClientSecuritySolutionは、忘れてしまったパスワー
ドまたはパスフレーズを自分で復元できるようにするオプション機構も提供します。このため、パス
ワードまたはパスフレーズは、ユーザー確認のための質問への応答を基にしています。ClientSecurity
Solution管理者は、この機能を使用するかしないかを決定します。
ザ
ー
ユ
ザ
ー
ユ
ザー
ーザ
ユー
•ユ
所有権の取得プロセスが完了し、ClientSecuritySolution管理者が作成されると、ユーザー・ベース鍵を
作成して、現在ログオンしているWindowsユーザーのクレデンシャルを安全に保存することができま
す。この設計により、複数のユーザーがClientSecuritySolutionに登録し、単一のTPMを利用すること
ができます。ユーザー鍵は、セキュリティー・チップを介して保護されますが、実際にはチップ外の
ハードディスクに保存されます。この設計では、セキュリティー・チップに構築された実際のメモリー
の代わりに、制限のあるストレージ要素としてハードディスク・スペースを作成します。同じセキュ
ア・ハードウェアを利用できるユーザーの数が飛躍的に増大します。
得
取
の
得
取得
の取
録
登
ー
録
登
ー
録
登録
ー登
所
有
権
の
取
所
有
権
所
所有
有権
権の
ClientSecuritySolutionのトラステッド・ルートは、システム・ルート・キー(SRK)です。この移動で
きない非対称鍵は、TPMのセキュア環境内に生成され、システムに公開されることは決してありま
せん。この鍵を利用する許可は、Windows管理者アカウントによりTPM_TakeOwnershipコマンドの実
行中に得られます。ClientSecurityパスフレーズを利用している場合、ClientSecuritySolution管理者
のClientSecurityパスフレーズは、TPM許可になり、それ以外の場合はClientSecuritySolution管理者
のWindowsパスワードになります。
システム用に作成されたSRKでは、その他の鍵ペアは、作成してTPMの外部に保存できますが、ハード
ウェア・ベースの鍵によってラップまたは保護されます。TPMはSRKを内蔵するハードウェアであり、
ハードウェアは損傷することがあるので、システムへの損傷によりデータ・リカバリーが妨げられない
ようにするためにリカバリー機構が必要です。
システムをリカバリーするために、システム・ベース鍵(SystemBaseKey)が作成されます。この非対称ス
トレージ・キーにより、ClientSecuritySolution管理者は、システム・ボード交換や別システムへの計画的
移行からリカバリーすることができます。システム・ベース鍵を保護しながら、通常の操作またはリカバ
リー時にアクセスできるようにするために、このキーの2つのインスタンスが作成され、異なる2つの方
法によって保護されます。最初に、システム・ベース鍵は、AES対称鍵を使用して暗号化されます。この
鍵は、ClientSecuritySolution管理者のパスワードまたはClientSecurityパスフレーズを知っていれば得るこ
とができます。ClientSecuritySolutionリカバリー・キーのこのコピーは、クリアされたTPMまたはハード
ウェア障害により交換されたシステム・ボードからのリカバリー専用です。
ClientSecuritySolutionリカバリー・キーの2番目のインスタンスは、SRKによってラップされてキー階層
にインポートされます。システム・ベース鍵のこの2つのインスタンスにより、TPMは自身にバインドさ
れた秘密を通常の使用状態で保護することができ、さらにAES鍵を使用して暗号化されているシステ
ム・ベース鍵を介して、障害のあるシステム・ボードをリカバリーすることができます。AES鍵は、
ClientSecuritySolution管理者パスワードまたはClientSecurityパスフレーズによってアンロックされます。
次に、システム・リーフ鍵(SystemLeafKey)が作成されます。このキーは、AES鍵など、システム・レベ
ルの機密事項を保護するために作成されます。
得
の
取
得
の取
取得
得
20ClientSecuritySolution8.3デプロイメント・ガイド

次の図に、システム・レベルのキー構造を示します。
System Level Key Structure - Take Ownership
Trusted Platform Module
Encrypted via derived AES Key
Storage Root Private Key
Storage Root Public Key
System Leaf Private Key
System Base Private Key
System Leaf Public Key
System Base Public Key
System Base Private Key
System Base Public Key
If Passphrase
loop n times
CSS Admin PW/PP
One-Way Hash
One-Way Hash
System Base AES
Protection Key
(derived via output
of hash algorithm)
Auth
図 1. シ ス テ ム ・ レ ベ ル の キ ー 構 造 - 所 有 権 取 得
ユ
ー
ザ
ー
登
ユ
ー
ザ
ユ
ユー
ーザ
ザー
録
ー
登
録
ー登
登録
録
各ユーザーのデータを同じTPMによって保護するため、各ユーザーは独自のユーザー・ベース鍵を作成
します。この移動可能な非対称ストレージ・キーは、2回作成され、各ユーザーのWindowsパスワードま
たはClientSecurityパスフレーズから生成された対称AES鍵によって保護されます。
次に、ユーザー・ベース鍵の2番目のインスタンスは、TPMにインポートされ、システムSRKによって
保護されます。作成されたユーザー・ベース鍵では、ユーザー・リーフ鍵(UserLeafKey)と呼ばれる第2
非対称鍵が作成されます。ユーザー・リーフ鍵は、インターネット・ログオン情報の保護に使用される
PasswordManagerAES鍵、データの保護に使用されるパスワード、およびオペレーティング・システムへ
のアクセスを防護するWindowsパスワードAES鍵など、個別の秘密事項を保護します。ユーザー・
リーフ鍵へのアクセスは、ユーザーのWindowsパスワードまたはClientSecuritySolutionパスフレーズに
よって制御され、ログオン時には自動的にロックが解除されます。
第3章.ClientSecuritySolutionでの作業21

次の図に、ユーザー・レベルのキー構造を示します。
User Level Key Structure - Enroll User
Trusted Platform Module
Encrypted via derived AES Key
Storage Root Private Key
Storage Root Public Key
User Leaf Private Key
User Base Private Key
User Leaf Public Key
User Base Public Key
Windows PW AES Key
PW Manager AES Key
User Base Private Key
User Base Public Key
If Passphrase
loop n times
User PW/PP
One-Way Hash
One-Way Hash
User Base AES
Protection Key
(derived via output
of hash algorithm)
Auth
図 2. ユ ー ザ ー ・ レ ベ ル の キ ー 構 造 - ユ ー ザ ー 登 録
録
登
ド
ン
ウ
ラ
グ
ク
ッ
バ
バ
バッ
バ
ClientSecuritySolution8.3は、自動的に開始されるユーザー登録のバックグラウンド登録をサポートしま
す。登録プロセスは、通知を表示せずにバックグラウンドで実行されます。
注
注
注:
注
ト』メニューまたは『セ
ユーザーがユーザー登録を待機することを示すダイアログが今までどおり表示されます。
ローカル管理者またはドメイン管理者も、次のようにポリシーを編集することで、待機ダイアログを強
制的に表示させることができます。
CSS_GUI_ALWAYS_SHOW_ENROLLMENT_PROCESSING
または、次のようにレジストリー・キーを編集します。
HKLMsoftwarepolicieslenovoclientsecuritysolutionGUIoptions
AlwaysShowEnrollmentProcessing
AlwaysShowEnrollmentProcessingのデフォルト値は0です。上記のレジストリー・キーが0に設定された場
合は、自動的に開始されるユーザー登録の待機ダイアログは表示されません。このポリシーが1に設定さ
れた場合は、登録が開始される方法に関係なく、ユーザー登録中に必ず待機ダイアログが表示されます。
ソ
ソ
ソ
ソフ
TPMを備えていないコンピューターを使用するユーザーの経験レベルを一貫して高めるため、CSSは
TPMエミュレーション・モードをサポートしています。
グ
ク
ッ
グラ
クグ
ック
:
:
:バックグラウンド登録は、自動的に開始されるユーザー登録の場合にのみ、使用できます。『スター
フ
ト
ウ
フ
ト
ウ
フト
トウ
ウェ
ン
ウ
ラ
ンド
ウン
ラウ
ェ
ア
ェ
ア
ェア
ア・
録
登
ド
録
登録
ド登
ュ
キ
セ
ュ
キ
セ
ュリ
キュ
セキ
・
エ
ミ
・
エ
ミ
・エ
エミ
ミュ
リ
リ
リテ
ュ
ュ
ュレ
テ
テ
ティ
設
ー
ィ
設定
ー設
ィー
レ
ー
シ
レ
ー
シ
レー
ーシ
ショ
リ
の
定
リセ
のリ
定の
ョ
ン
ョ
ン
ョン
ン
ト
ッ
セ
ト』から手動で開始されるユーザー登録の場合は、
ット
セッ
ト
ッ
セ
リ
の
定
設
ー
ィ
TPMエミュレーション・モードは、トラステッド・ソフトウェア・ベース・ルートです。ユーザーは、
TPMによって提供されるのと同じ機能(デジタル署名、対称鍵暗号化解除、RSA鍵のインポート、保護、
および乱数生成など)を使用可能ですが、トラステッド・ルートはソフトウェア・ベースの鍵であるの
で、セキュリティーは低下します。
22ClientSecuritySolution8.3デプロイメント・ガイド

TPMエミュレーション・モードを、TPMのセキュアな代替として使用することはできません。TPMは、
TPMエミュレーション・モードよりセキュアな、次の2つの鍵保護方法を提供します。
•TPMによって使用されるすべての鍵が、固有のルート・レベル鍵によって保護されます。固有の
ルート・レベル鍵は、TPM内部に作成され、TPM外部で表示したり使用したりすることはできま
せん。TPMエミュレーション・モードでは、ルート・レベル鍵は、ハードディスク・ドライブ
に保存されたソフトウェア・ベース鍵です。
•すべての秘密鍵操作はTPM内部で実行されるので、鍵の秘密鍵の材料が、TPM外部に露出することは
ありません。TPMエミュレーション・モードでは、すべての秘密鍵操作がソフトウェア内で実行さ
れるので、秘密鍵の材料は保護されません。
TPMエミュレーション・モードは主に、セキュリティーにはあまり関心がなく、システムのログオン速度
に強い関心を持つユーザー向けです。
シ
ス
テ
ム
・
ボ
ー
ド
の
交
シ
ス
テ
ム
・
ボ
ー
シ
シス
ステ
テム
ム・
・ボ
システム・ボードを交換するということは、鍵がバインドされていた旧SRKがもはや無効になり、別の
SRKが必要とされていることが推測されます。これはTPMがBIOSによりクリアされても起こります。
ClientSecuritySolution管理者は、システムのクレデンシャルを新規SRKにバインドすることを要求されま
す。システム・ベース鍵は、ClientSecuritySolution管理者クレデンシャルから得たシステム・ベースAES
保護鍵により暗号化を解除する必要があります。
ClientSecuritySolution管理者がドメイン・ユーザーIDであり、そのユーザーIDのパスワードが別のPC
上で変更されていた場合、リカバリーを必要とするシステムにログオンするときに最後に使用されたパ
スワードが、リカバリーのためにシステム・ベース鍵の暗号化を解除するために既知である必要がありま
す。たとえば、デプロイメント中に、ClientSecuritySolution管理者のユーザーIDとパスワードが構成さ
れており、このユーザーのパスワードが別のマシン上で変更されている場合は、デプロイメント中に設
定された元のパスワードは、このシステムをリカバリーするための必須権限になります。
ド
ボー
ード
ドの
換
の
交
換
の交
交換
換
以下のステップに従って、システム・ボードの交換を実施してください。
1.ClientSecuritySolution管理者は、オペレーティング・システムにログオンする。
2.ログオン実行コード(cssplanarswap.exe)は、セキュリティー・チップが使用不可になっていることを
認識し、使用可能にするために再起動を要求する(このステップは、BIOSによりセキュリティー・
チップを使用可能にすることで回避できます)。
3.システムが再起動され、セキュリティー・チップが使用可能になる。
4.ClientSecuritySolution管理者がログオンし、次に、新規TakeOwnershipプロセスが完了する。
5.システム・ベース鍵は、ClientSecuritySolution管理者の認証によって得られるシステム基本AES保護
鍵を使用して暗号化を解除される。システム・ベース鍵は、新規SRKにインポートされて、システ
ム・リーフ鍵とそれによって保護されているすべてのクレデンシャルを再設定します。
6.これで、システムはリカバリーされます。
:
注
:
注
:システム・ボードの交換は、エミュレーション・モードの使用時は必要ありません。
注:
注
第3章.ClientSecuritySolutionでの作業23

次の図に、マザーボード・スワップ(所有権取得)の構造を示します。
Motherboard Swap - Take Ownership
Trusted Platform Module
Decrypted via derived AES Key
System Leaf Private Key
Store Leaf Private Key
System Leaf Public Key
Store Leaf Public Key
System Base Private Key
System Base Public Key
If Passphrase
loop n times
CSS Admin PW/PP
One-Way Hash
System Base AES
Protection Key
(derived via output
of hash algorithm)
Motherboard Swap - Enroll User
Trusted Platform Module
Decrypted via derived AES Key
Storage Root Private Key
Storage Root Public Key
User Leaf Private Key
User Leaf Public Key
Windows PW AES Key
PW Manager AES Key
User Base Private Key
User Base Public Key
If Passphrase
loop n times
User PW/PP
One-Way Hash
User Base AES
Protection Key
(derived via output
of hash algorithm)
図 3. シ ス テ ム ・ ボ ー ド の 交 換 - 所 有 権 取 得
各ユーザーがシステムにログオンする度に、ユーザー・ベース鍵がユーザー認証から得られるユーザー・
ベースAES保護鍵により自動的に暗号化を解除され、ClientSecuritySolution管理者により作成された新規
SRKにインポートされます。次の図に、マザーボード・スワップ(ユーザー登録)の構造を示します。
セキュリティー・チップのクリア後、またはマザーボードの交換後に2次ユーザーをログインさせるに
は、マスター管理者としてログインする必要があります。マスター管理者には鍵を復元するためのプ
ロンプトが出されます。鍵の復元が完了したら、PolicyManagerを使用してClientSecurityのWindows
ログオンを無効にします。残りのユーザーはそれぞれの鍵を復元できます。すべての2次ユーザーが
それぞれの鍵を復元したら、マスター管理者はClientSecuritySolutionのWindowsログオン機能を有
効にすることができます。
次の図に、マザーボード・スワップ(ユーザー登録)の構造を示します。
図 4. マ ザ ー ボ ー ド ・ ス ワ ッ プ - ユ ー ザ ー 登 録
24ClientSecuritySolution8.3デプロイメント・ガイド

EFS
保
護
ユ
ー
テ
ィ
リ
テ
ィ
EFS
保
護
ユ
ー
テ
ィ
EFS
EFS保
保護
護ユ
ユー
ーテ
ClientSecuritySolutionは、ファイルおよびフォルダーを暗号化するためにEncryptingFileSystem(EFS)が使
用する暗号化証明書を、TPMに基づいて保護できるようにするコマンド・ライン・ユーティリティーを
提供します。このユーティリティーは、サード・パーティー証明書(認証局が生成する証明書)の転送
をサポートし、さらに自己署名証明書の生成もサポートします。
ClientSecuritySolutionによるEFS証明書の保護とは、EFS証明書に関連する秘密鍵がTPMによって保
護されることを意味します。この証明書へのアクセスは、ユーザーがClientSecuritySolutionで認証
された後に認可されます。
TPMが有効でない場合、EFS証明書はClientSecuritySolutionが提供するTPMエミュレーターを使用
して保護されます。EFS証明書がClientSecuritySolutionによって保護されるようにするには、Client
SecuritySolutionへの登録が必要です。
:
告
警
:
告
警
:
告:
警告
警
Security
Client
Security
Client
SecuritySolution
ClientSecurity
Client
、
合
場
た
た
た場
た
ス
ス
スで
ス
TPMが反応しなくなった場合、ClientSecuritySolutionはマザーボードを交換した後に暗号化された
データへ再びアクセスできるようになります。
EFS
EFS
EFSコ
EFS
次の表に、EFSでサポートされるコマンド・ライン・パラメーターを示します。
、
合
場
、Client
合、
場合
ま
き
で
ま
き
で
ませ
きま
でき
コ
コ
コマ
Solution
Solution
Solutionと
Security
Client
Security
Client
SecuritySolution
ClientSecurity
。
ん
せ
。
ん
せ
。
ん。
せん
・
ド
ン
マ
マ
マン
・
ド
ン
・ラ
ド・
ンド
リ
ティ
ィリ
リテ
Encrypting
と
Encrypting
と
EncryptingFile
とEncrypting
Solution
Solution
Solutionま
・
ン
イ
ラ
ラ
ライ
・
ン
イ
・ユ
ン・
イン
ー
テ
ィ
ー
ティ
ィー
ー
化
号
暗
を
ー
ダ
ル
ォ
フ
び
よ
お
ル
イ
ァ
フ
て
し
用
使
を
System
File
System
File
System(EFS)
FileSystem
TPM
は
た
ま
ま
また
ユ
ユ
ユー
TPM
は
た
TPMが
はTPM
たは
ィ
テ
ー
ィ
テ
ー
ィリ
ティ
ーテ
(EFS)
(EFS)
(EFS)を
用
使
が
用
使
が
用で
使用
が使
ー
ィ
テ
リ
リ
リテ
ー
ィ
テ
ーの
ィー
ティ
用
使
を
用し
使用
を使
な
き
で
な
き
で
ない
きな
でき
使
の
使
の
使用
の使
フ
て
し
ファ
てフ
して
合
場
い
合
場
い
合に
場合
い場
用
用
用
ル
イ
ァ
ルお
イル
ァイ
暗
は
に
暗
は
に
暗号
は暗
には
び
よ
お
びフ
よび
およ
さ
化
号
さ
化
号
され
化さ
号化
ル
ォ
フ
ルダ
ォル
フォ
フ
た
れ
フ
た
れ
ファ
たフ
れた
を
ー
ダ
を暗
ーを
ダー
ル
イ
ァ
ル
イ
ァ
ルに
イル
ァイ
化
号
暗
化し
号化
暗号
セ
ク
ア
に
に
にア
セ
ク
ア
セ
クセ
アク
し
し
し
表 9. EFS で サ ポ ー ト さ れ る コ マ ン ド ・ ラ イ ン ・ パ ラ メ ー タ ー
パ
ラ
メ
ー
タ
パ
ラ
パ
パラ
ラメ
/generate:<size>
/sn:xxxxxx
/cn:yyyyyy
/firstavail
/silent
/?または/hまたは/help
サイレント・モードで実行されていない場合、このユーティリティーは以下のいずれかのエラーを
戻します。
0-"Commandcompletedsuccessfully"
1-"ThisutilityrequiresWindowsXP"
2-"ThisutilityrequiresClientSecuritySolutionversion8.0"
3-"ThecurrentuserisnotenrolledwithClientSecuritySolution"
4-"Thespeciedcerticatecouldnotbefound"
5-"Unabletogenerateaself-signedcerticate”
6-"NoEFScerticatesweref ound"
ー
メ
ー
タ
ー
メー
ータ
ター
ー説
説
明
説
明
説明
明
自己署名証明書を生成し、その証明書をEFSに関連付
けます。<size>を指定すると、生成される鍵は指定さ
れたビット・サイズのものになります。有効な値は、
512、1024、および2048です。値を指定しない場合、
または無効値を指定すると、デフォルトで1024ビッ
トの鍵が生成されます。
転送してEFSと関連付ける既存の証明書のシリアル
番号を指定します。
転送してEFSと関連付ける既存の証明書の名前(『発行
先』)を指定します。
最初に使用可能な既存のEFS証明書を転送してEFSと
関連付けます。
出力を表示しません。プログラム終了時に値によって
提供される戻りコード。
ヘルプ情報を表示します。
第3章.ClientSecuritySolutionでの作業25

7-"UnabletoassociatethecerticatewithEFS”
サイレント・モードで実行されている場合、プログラムの出力は、上記に示すエラー番号に対応するエ
ラー・レベルになります。
XML
XML
XML
XMLス
XMLスクリプト記述の目的は、IT管理者がClientSecuritySolutionのデプロイおよび構成に使用できるカ
スタム・スクリプトを作成できるようにすることです。スクリプトはxml_crypt_tool実行可能モジュー
ルによって保護できます(AES暗号化などのパスワードを使用)。いったん作成されると、仮想PC
(vmserver.exe)は、入力としてスクリプトを受け入れます。仮想マシンは、ClientSecuritySolutionセット
アップ・ウィザードと同一のファンクションを呼び出して、ソフトウェアを構成します。
すべてのスクリプトは、XMLエンコード・タイプ、XMLスキーマ、および実行する1つ以上の機能を指
定する1つのタグより構成されています。スキーマは、XMLファイルを検証し、必須パラメーターがそ
ろっていることを確認するために使用されます。スキーマの使用は、現在、推奨されていません。各ファ
ンクションは、ファンクション・タグで囲まれています。各ファンクションにはORDERが含まれてい
ます。これは、コマンドが仮想PC(vmserver.exe)によって実行される順番を指定します。各ファンク
ションには、バージョン番号も含まれます。現在、すべてのファンクションはバージョン1.0です。
以下のスクリプト例には、それぞれ1つのファンクションのみが含まれています。しかし、実際のス
クリプトには複数のファンクションが含まれる可能性が高くなります。ClientSecuritySolutionセット
アップ・ウィザードを使用すれば、このようなスクリプトを作成できます。セットアップ・ウィザー
ドによるスクリプト作成の追加情報については、36
ウィザード』を参照してください。
注
注
注:
注
が残されている場合は、システムのデフォルトのPC名が使用されます。
例
例
例
例
ス
キ
ー
マ
の
使
ス
キ
ー
スキ
:
:
:ドメイン名を必要とするファンクションのいずれかに、パラメーター<DOMAIN_NAME_PARAMETER>
マ
キー
ーマ
マの
用
の
使
用
の使
使用
用
ページの『ClientSecuritySolutionセットアップ・
以下のコマンドは、XMLスキーマの例です。
ENABLE_TPM_FUNCTION
ENABLE_TPM_FUNCTION
ENABLE_TPM_FUNCTION
ENABLE_TPM_FUNCTION
このコマンドは、TPMを使用可能にし、引数SYSTEM_PAPを使用します。システムに既にBIOS管理者
またはスーパーバイザー・パスワードが設定されている場合は、この引数を指定する必要があります。そ
れ以外の場合、このコマンドはオプションです。
<tvt_deploymentxmlns="http://www.lenovo.com"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation="
http://www.lenovo.comcssDeploy.xsd">
<registry_settings/>
</tvt_deployment>
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>ENABLE_TPM_FUNCTION</COMMAND>
<VERSION>1.0</VERSION>
<SYSTEM_PAP>PASSWORD</SYSTEM_PAP>
</FUNCTION>
</CSSFile>
:
注
:
注
:このコマンドは、エミュレーション・モードではサポートされていません。
注:
注
DISABLE_TPM_FUNCTION
DISABLE_TPM_FUNCTION
DISABLE_TPM_FUNCTION
DISABLE_TPM_FUNCTION
このコマンドは引数SYSTEM_PAPを使用します。システムに既にBIOS管理者またはスーパーバイザー・
パスワードが設定されている場合は、この引数を指定する必要があります。それ以外の場合、このコ
マンドはオプションです。
<tvt_deploymentxmlns="http://www.lenovo.com"
26ClientSecuritySolution8.3デプロイメント・ガイド

xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation="
http://www.lenovo.comcssDeploy.xsd">
<registry_settings/>
</tvt_deployment
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>DISABLE_TPM_FUNCTION</COMMAND>
<VERSION>1.0</VERSION>
<SYSTEM_PAP>password</SYSTEM_PAP>
</FUNCTION>
</CSSFile>
:
注
:
注
:このコマンドは、エミュレーション・モードではサポートされていません。
注:
注
ENABLE_PWMGR_FUNCTION
ENABLE_PWMGR_FUNCTION
ENABLE_PWMGR_FUNCTION
ENABLE_PWMGR_FUNCTION
このコマンドは、すべてのClientSecuritySolutionユーザーに対してPasswordManagerを使用可能にします。
<?xmlversion="1.0"encoding="UTF-8"standalone="no"?>
<CSSFilexmlns="www.lenovo.com/security/CSS">
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>ENABLE_PWMGR_FUNCTION</COMMAND>
<VERSION>1.0</VERSION>
</FUNCTION>
</CSSFile>
ENABLE_CSS_GINA_FUNCTION
ENABLE_CSS_GINA_FUNCTION
ENABLE_CSS_GINA_FUNCTION
ENABLE_CSS_GINA_FUNCTION
WindowsXP、WindowsVista、およびWindows7の場合、次のコマンドでClientSecuritySolutionログオ
ンが可能になります。
-<tvt_deploymentxmlns="http://www.lenovo.com"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation="
http://www.lenovo.comcssDeploy.xsd">
<registry_settings/>
</tvt_deployment
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>ENABLE_CSS_GINA_FUNCTION</COMMAND>
<VERSION>1.0</VERSION>
</FUNCTION>
</CSSFile>
ENABLE_UPEK_GINA_FUNCTION
ENABLE_UPEK_GINA_FUNCTION
ENABLE_UPEK_GINA_FUNCTION
ENABLE_UPEK_GINA_FUNCTION
:
注
:
注
:
注:
注
1.このコマンドはThinkVantage指紋認証ソフトウェア専用です。
2.このコマンドは、エミュレーション・モードではサポートされていません。
次のコマンドでは、ThinkVantage指紋認証によるWindowsログオンが有効になり、ClientSecuritySolution
によるWindowsログオンが無効になります。
<tvt_deploymentxmlns="http://www.lenovo.com"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation="
http://www.lenovo.comcssDeploy.xsd">
<registry_settings/>
</tvt_deployment>
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>ENABLE_UPEK_GINA_FUNCTION</COMMAND>
<VERSION>1.0</VERSION>
</FUNCTION>
</CSSFile>
第3章.ClientSecuritySolutionでの作業27

ENABLE_UPEK_GINA_WITH_FUS_FUNCTION
ENABLE_UPEK_GINA_WITH_FUS_FUNCTION
ENABLE_UPEK_GINA_WITH_FUS_FUNCTION
ENABLE_UPEK_GINA_WITH_FUS_FUNCTION
:
注
:
注
:
注:
注
1.このコマンドはThinkVantage指紋認証ソフトウェア専用です。
2.このコマンドは、エミュレーション・モードではサポートされていません。
次のコマンドでは、ユーザーの簡易切り替えがサポートされるログオンが有効になり、ClientSecurity
SolutionによるWindowsログオンが無効になります。PCがドメイン環境にある場合には、ユーザーの簡易
切り替えは無効です。これは、Microsoftの設計です。
<tvt_deploymentxmlns="http://www.lenovo.com"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation="
http://www.lenovo.comcssDeploy.xsd">
<registry_settings/>
</tvt_deployment
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>ENABLE_UPEK_GINA_WIH_FUS_FUNCTION</COMMAND>
<VERSION>1.0</VERSION>
</FUNCTION>
</CSSFile>
ENABLE_AUTHENTEC_GINA_FUNCTION
ENABLE_AUTHENTEC_GINA_FUNCTION
ENABLE_AUTHENTEC_GINA_FUNCTION
ENABLE_AUTHENTEC_GINA_FUNCTION
:
注
:
注
:
注:
注
1.このコマンドはLenovoFingerprintSoftware専用です。
2.このコマンドは、エミュレーション・モードではサポートされていません。
次のコマンドでは、LenovoFingerprintによるWindowsログオンが有効になり、ClientSecuritySolutionによ
るWindowsログオンが無効になります。
<tvt_deploymentxmlns="http://www.lenovo.com"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation="
http://www.lenovo.comcssDeploy.xsd">
<registry_settings/>
</tvt_deployment>
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>ENABLE_AUTHENTEC_GINA_FUNCTION</COMMAND>
<VERSION>1.0</VERSION>
</FUNCTION>
</CSSFile>
ENABLE_AUTHENTEC_GINA_WITH_FUS_FUNCTION
ENABLE_AUTHENTEC_GINA_WITH_FUS_FUNCTION
ENABLE_AUTHENTEC_GINA_WITH_FUS_FUNCTION
ENABLE_AUTHENTEC_GINA_WITH_FUS_FUNCTION
:
注
:
注
:
注:
注
1.このコマンドはLenovoFingerprintSoftware専用です。
2.このコマンドは、エミュレーション・モードではサポートされていません。
次のコマンドでは、ユーザーの簡易切り替えがサポートされるログオンが有効になり、ClientSecurity
SolutionによるWindowsログオンが無効になります。PCがドメイン環境にある場合には、ユーザーの簡易
切り替えは無効です。これは、Microsoftの設計です。
<tvt_deploymentxmlns="http://www.lenovo.com"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation="
http://www.lenovo.comcssDeploy.xsd">
<registry_settings/>
</tvt_deployment
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>ENABLE_AUTHENTEC_GINA_WIH_FUS_FUNCTION</COMMAND>
<VERSION>1.0</VERSION>
28ClientSecuritySolution8.3デプロイメント・ガイド

</FUNCTION>
</CSSFile>
ENABLE_NONE_GINA_FUNCTION
ENABLE_NONE_GINA_FUNCTION
ENABLE_NONE_GINA_FUNCTION
ENABLE_NONE_GINA_FUNCTION
ThinkVantage指紋認証ソフトウェア、ClientSecuritySolution、またはAccessConnectionsなどのThinkVantage
Technology関連コンポーネントのいずれかのGINAまたはCP(クレデンシャル・プロバイダー)が使用可
能な場合、このコマンドはThinkVantage指紋認証ソフトウェアのログオンとClientSecuritySolutionのロ
グオンの両方を使用不可にします。
<tvt_deploymentxmlns="http://www.lenovo.com"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation="
http://www.lenovo.comcssDeploy.xsd">
<registry_settings/>
</tvt_deployment
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>ENABLE_CSS_NONE_FUNCTION</COMMAND>
<VERSION>1.0</VERSION>
</FUNCTION>
</CSSFile>
:
注
:
注
:このコマンドは、エミュレーション・モードではサポートされていません。
注:
注
SET_PP_FLAG_FUNCTION
SET_PP_FLAG_FUNCTION
SET_PP_FLAG_FUNCTION
SET_PP_FLAG_FUNCTION
このコマンドは、ClientSecurityパスフレーズを使用するか、Windowsパスワードを使用するかを確認する
ために、ClientSecuritySolutionが読み取るフラグを書き込みます。
<tvt_deploymentxmlns="http://www.lenovo.com"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation="
http://www.lenovo.comcssDeploy.xsd">
<registry_settings/>
</tvt_deployment
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>SET_PP_FLAG_FUNCTION</COMMAND>
<PP_FLAG_SETTING_PARAMETER>USE_CSS_PP</PP_FLAG_SETTING_PARAMETER>
<VERSION>1.0</VERSION>
</FUNCTION>
</CSSFile>
:
注
:
注
:このコマンドは、エミュレーション・モードではサポートされていません。
注:
注
SET_ADMIN_USER_FUNCTION
SET_ADMIN_USER_FUNCTION
SET_ADMIN_USER_FUNCTION
SET_ADMIN_USER_FUNCTION
このコマンドは、管理者を確認するためにClientSecuritySolutionが読み取るフラグを書き込みます。パラ
メーターは次のとおりです。
USER_NAME_PARAMETER
USER_NAME_PARAMETER
USER_NAME_PARAMETER
•USER_NAME_PARAMETER
管理者のユーザー名。
DOMAIN_NAME_PARAMETER
DOMAIN_NAME_PARAMETER
DOMAIN_NAME_PARAMETER
•DOMAIN_NAME_PARAMETER
管理者のドメイン名。
<tvt_deploymentxmlns="http://www.lenovo.com"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation="
http://www.lenovo.comcssDeploy.xsd">
<registry_settings/>
</tvt_deployment
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>SET_ADMIN_USER_FUNCTION</COMMAND>
<USER_NAME_PARAMETER>sabedi</USER_NAME_PARAMETER>
第3章.ClientSecuritySolutionでの作業29

<DOMAIN_NAME_PARAMETER>IBM-2AA92582C79<DOMAIN_NAME_PARAMETER>
<VERSION>1.0</VERSION>
<SYSTEM_PAP>PASSWORD</SYSTEM_PAP>
</FUNCTION>
</CSSFile>
:
注
:
注
:このコマンドは、エミュレーション・モードではサポートされていません。
注:
注
INITIALIZE_SYSTEM_FUNCTION
INITIALIZE_SYSTEM_FUNCTION
INITIALIZE_SYSTEM_FUNCTION
INITIALIZE_SYSTEM_FUNCTION
このコマンドは、ClientSecuritySolutionシステム機能を初期設定します。システム全体の鍵は、この
ファンクション呼び出しにより生成されます。次のパラメーター・リストで、各ファンクションについ
て説明します。
NEW_OWNER_AUTH_DATA_PARAMETER
NEW_OWNER_AUTH_DATA_PARAMETER
NEW_OWNER_AUTH_DATA_PARAMETER
•NEW_OWNER_AUTH_DATA_PARAMETER
このパラメーターは、システムの新規所有者パスワードを設定するために使用されます。新規所有者パ
スワードの場合、このパラメーターの値は現行所有者パスワードにより制御されます。現行所有者パス
ワードが設定されていない場合、このパラメーターの値が渡されて新規所有者パスワードになります。
現行所有者パスワードが既に設定され、管理者が同じ現行の所有者パスワードを使用する場合は、こ
のパラメーターの値が渡されます。管理者が新規所有者パスワードを使用する場合、新規所有者パ
スワードがこのパラメーターに渡されます。
CURRENT_OWNER_AUTH_DATA_PARAMETER
CURRENT_OWNER_AUTH_DATA_PARAMETER
CURRENT_OWNER_AUTH_DATA_PARAMETER
•CURRENT_OWNER_AUTH_DATA_PARAMETER
このパラメーターは、システムの現行所有者パスワードです。既にシステムに既存の所有者パスワード
がある場合は、このパラメーターは前のパスワードを渡す必要があります。新規所有者パスワードが要
求される場合、現行所有者パスワードがこのパラメーターに渡されます。パスワード変更が構成されて
いない場合は、値NO_CURRENT_OWNER_AUTHが渡されます。
<tvt_deploymentxmlns="http://www.lenovo.com"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation="
http://www.lenovo.comcssDeploy.xsd">
<registry_settings/>
</tvt_deployment
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>INITIALIZE_SYSTEM_FUNCTION</COMMAND>
<NEW_OWNER_AUTH_DATA_PARAMETER>pass1word</NEW_OWNER_AUTH_DATA_
PARAMETER>
<CURRENT_OWNER_AUTH_DATA_PARAMETER>No_CURRENT_OWNER_AUTH</CURRENT
_OWNER_AUTH_DATA_PARAMETER>
<VERSION>1.0</VERSION>
</FUNCTION>
</CSSFile>
CHANGE_TPM_OWNER_AUTH_FUNCTION
CHANGE_TPM_OWNER_AUTH_FUNCTION
CHANGE_TPM_OWNER_AUTH_FUNCTION
CHANGE_TPM_OWNER_AUTH_FUNCTION
このコマンドは、ClientSecuritySolution管理者権限を変更し、それに応じてシステム鍵を更新します。シス
テム全体の鍵は、このファンクション呼び出しにより再生成されます。パラメーターは次のとおりです。
•NEW_OWNER_AUTH_DATA_PARAMETER
TPMの新規所有者パスワード
•CURRENT_OWNER_AUTH_DATA_PARAMETER
TPMの現行所有者パスワード
<tvt_deploymentxmlns="http://www.lenovo.com"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation="
http://www.lenovo.comcssDeploy.xsd">
<registry_settings/>
</tvt_deployment
<FUNCTION>
<ORDER>0001</ORDER>
30ClientSecuritySolution8.3デプロイメント・ガイド

<COMMAND>CHANGE_TPM_OWNER_AUTH_FUNCTION</COMMAND>
<NEW_OWNER_AUTH_DATA_PARAMETER>newPassWord</NEW_OWNER_AUTH_DATA_
PARAMETER>
<CURRENT_OWNER_AUTH_DATA_PARAMETER>oldPassWord</CURRENT_OWNER_AUTH
_DATA_PARAMETER>
<VERSION>1.0</VERSION>
</FUNCTION>
</CSSFile>
:
注
:
注
:このコマンドは、エミュレーション・モードではサポートされていません。
注:
注
ENROLL_USER_FUNCTION
ENROLL_USER_FUNCTION
ENROLL_USER_FUNCTION
ENROLL_USER_FUNCTION
このコマンドは、ClientSecuritySolutionを使用する特定のユーザーを登録します。このファンクション
は、ユーザー固有のセキュリティー・キーのすべてを所定のユーザーに作成します。パラメーターは次
のとおりです。
USER_NAME_PARAMETER
USER_NAME_PARAMETER
USER_NAME_PARAMETER
•USER_NAME_PARAMETER
登録するユーザーのユーザー名
DOMAIN_NAME_PARAMETER
DOMAIN_NAME_PARAMETER
DOMAIN_NAME_PARAMETER
•DOMAIN_NAME_PARAMETER
登録するユーザーのドメイン名
USER_AUTH_DATA_PARAMETER
USER_AUTH_DATA_PARAMETER
USER_AUTH_DATA_PARAMETER
•USER_AUTH_DATA_PARAMETER
ユーザーのセキュリティー・キーを作成するためのTPMパスフレーズまたはWindowsパスワード
WIN_PW_PARAMETER
WIN_PW_PARAMETER
WIN_PW_PARAMETER
•WIN_PW_PARAMETER
Windowsパスワード
<tvt_deploymentxmlns="http://www.lenovo.com"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation="
http://www.lenovo.comcssDeploy.xsd">
<registry_settings/>
</tvt_deployment
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>ENROLL_USER_FUNCTION</COMMAND>
<USER_NAME_PARAMETER>sabedi</USER_NAME_PARAMETER>
<DOMAIN_NAME_PARAMETER>IBM-2AA92582C79<DOMAIN_NAME_PARAMETER>
<USER_AUTH_DATA_PARAMETER>myCssUserPassPhrase</USER_AUTH_DATA_PARAMETER>
<WIN_PW_PARAMETER>myWindowsPassword</WIN_PW_PARAMETER>
<VERSION>1.0</VERSION>
</FUNCTION>
</CSSFile>
USER_PW_RECOVERY_FUNCTION
USER_PW_RECOVERY_FUNCTION
USER_PW_RECOVERY_FUNCTION
USER_PW_RECOVERY_FUNCTION
このコマンドは、特定ユーザーのパスワード・リカバリーをセットアップします。パラメーターは次
のとおりです。
USER_NAME_PARAMETER
USER_NAME_PARAMETER
USER_NAME_PARAMETER
•USER_NAME_PARAMETER
登録するユーザーのユーザー名
DOMAIN_NAME_PARAMETER
DOMAIN_NAME_PARAMETER
DOMAIN_NAME_PARAMETER
•DOMAIN_NAME_PARAMETER
登録するユーザーのドメイン名
USER_PW_REC_QUESTION_COUNT
USER_PW_REC_QUESTION_COUNT
USER_PW_REC_QUESTION_COUNT
•USER_PW_REC_QUESTION_COUNT
ユーザーが応答しなければならない質問の数
USER_PW_REC_ANSWER_DATA_PARAMETER
USER_PW_REC_ANSWER_DATA_PARAMETER
USER_PW_REC_ANSWER_DATA_PARAMETER
•USER_PW_REC_ANSWER_DATA_PARAMETER
特定の質問に対する、保存されている応答。このパラメーターの実名には、応答される質問に対応す
る番号が連結しています。
第3章.ClientSecuritySolutionでの作業31

USER_PW_REC_STORED_PASSWORD_PARAMETER
USER_PW_REC_STORED_PASSWORD_PARAMETER
USER_PW_REC_STORED_PASSWORD_PARAMETER
•USER_PW_REC_STORED_PASSWORD_PARAMETER
質問のすべてが正確に応答されると、ユーザーに示される保存されたパスワード。
<tvt_deploymentxmlns="http://www.lenovo.com"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation="
http://www.lenovo.comcssDeploy.xsd">
<registry_settings/>
</tvt_deployment
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>USER_PW_RECOVERY_FUNCTION</COMMAND>
<USER_NAME_PARAMETER>sabedi</USER_NAME_PARAMETER>
<DOMAIN_NAME_PARAMETER>IBM-2AA92582C79<DOMAIN_NAME_PARAMETER>
<USER_PW_REC_ANSWER_DATA_PARAMETER>Test1</USER_PW_REC_ANSWER_DATA_PARA
METER>
<USER_PW_REC_ANSWER_DATA_PARAMETER>Test2</USER_PW_REC_ANSWER_DATA_PARA
METER>
<USER_PW_REC_ANSWER_DATA_PARAMETER>Test3</USER_PW_REC_ANSWER_DATA_PARA
METER>
<USER_PW_REC_QUESTION_COUNT>3</USER_PW_REC_QUESTION_COUNT>
<USER_PW_REC_QUESTION_LIST>20000,20001,20002</USER_PW_REC_QUESTION_LIST>
</USER_PW_REC_STORED_PASSWORD_PARAMETER>Pass1word</USER_PW_REC_STORED_PASS
WORD_PARAMETER>
<VERSION>1.0</VERSION>
</FUNCTION>
</CSSFile>
GENERATE_MULTI_FACTOR_DEVICE_FUNCTION
GENERATE_MULTI_FACTOR_DEVICE_FUNCTION
GENERATE_MULTI_FACTOR_DEVICE_FUNCTION
GENERATE_MULTI_FACTOR_DEVICE_FUNCTION
このコマンドは、認証に使用されるClientSecuritySolutionの多層デバイスを生成します。パラメー
ターは次のとおりです。
•USER_NAME_PARAMETER-管理者のユーザー名。
•DOMAIN_NAME_PARAMETER-管理者のドメイン名。
•MULTI_FACTOR_DEVICE_USER_AUTH-ユーザーのセキュリティー・キーを作成するためのClient
SecurityパスフレーズまたはWindowsパスワード。
<?xmlversion="1.0"encoding="UTF-8"standalone="no"?>
<CSSFile=xmlns="www.ibm.com/security/CSS">
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>GENERATE_MULTI_FACTOR_DEVICE_FUNCTION</COMMAND>
<USER_NAME_PARAMETER>myUserName</USER_NAME_PARAMETER>
<DOMAIN_NAME_PARAMETER>domainName</DOMAIN_NAME_PARAMETER>
<MULTI_FACTOR_DEVICE_USER_AUTH>myCssUserPassPhrase</MUL TI_FACTOR_DEVICE_USER_AUTH>
<VERSION>1.0</VERSION>
</FUNCTION>
</CSSFile>
SET_USER_AUTH_FUNCTION
SET_USER_AUTH_FUNCTION
SET_USER_AUTH_FUNCTION
SET_USER_AUTH_FUNCTION
このコマンドは、ClientSecuritySolutionのユーザー認証を設定します。
<?xmlversion="1.0"encoding="UTF-8"standalone="no"?>
<CSSFile=xmlns="www.ibm.com/security/CSS">
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>SET_USER_AUTH_FUNCTION</COMMAND>
<VERSION>1.0</VERSION>
</FUNCTION>
</CSSFile>
32ClientSecuritySolution8.3デプロイメント・ガイド

RSA
SecurID
RSA
SecurID
RSA
RSASecurID
SecurIDト
データ暗号化の暗号化アルゴリズム方式を利用すると、ClientSecuritySolutionに加えてRSASecurIDトー
クンを使用することにより、お客様の企業に多層セキュリティーが提供されます。RSASecurIDトーク
ンを使用して、ユーザーはユーザーIDまたはPIN、およびトークン・デバイスを使用してネットワー
クやソフトウェアで認証され、ログインすることができます。トークン・デバイスは、60秒ごとに変
わる数字のストリングを表示します。この認証方式では、再使用可能なパスワードと比較して格段に
信頼性の高いユーザー認証が可能になります。
RSA
SecurID
RSA
SecurID
RSA
RSASecurID
SecurIDソ
RSASecurIDソフトウェアをインストールするには、次のステップを実行します。
1.次のWebサイトに移動します。
http://www.rsasecurity.com/node.asp?id=1156
2.登録プロセスを完了します。
3.RSASecurIDソフトウェアをダウンロードおよびインストールします。
要
件
要
件
要
要件
件
1.RSAソフトウェアがClientSecuritySolutionと関連付けられた後に正しく動作するには、各Windows
ユーザーがClientSecuritySolutionに登録する必要があります。
2.WindowsユーザーがClientSecuritySolutionに登録していないと、そのユーザーを認証しようとし
て、RSAソフトウェアはエンドレス・ループに陥ります。ユーザーをClientSecuritySolutionに
登録するとこの問題は解決します。
ト
ー
ク
ン
の
使
ト
ー
ク
トー
ソ
フ
ソ
フ
ソフ
フト
ン
ーク
クン
ンの
ト
ウ
ェ
ト
ウ
ェ
トウ
ウェ
ェア
用
の
使
用
の使
使用
用
ア
・
ト
ー
ク
ン
の
イ
ン
ス
ト
ー
ア
・
ト
ー
ク
ン
の
イ
ン
ア・
・ト
トー
ーク
クン
ンの
のイ
ス
イン
ンス
スト
ル
ト
ー
ル
トー
ール
ル
ス
マ
ー
ト
・
カ
ー
ド
・
ア
ク
セ
ス
・
オ
プ
シ
ョ
ン
の
設
ス
マ
ー
ト
・
カ
ー
ド
・
ア
ク
セ
ス
・
オ
プ
シ
ョ
ス
スマ
マー
ート
ト・
・カ
カー
ード
ド・
・ア
アク
クセ
セス
ス・
・オ
オプ
プシ
スマート・カード・アクセス・オプションを設定するには、次のステップを実行します。
ー
ツ
(
Tools
Tools
ュ
ュ
ュー
・
・
・ト
ト
ト
トー
Card
Card
Card(
Tools(
を
ル
ー
を
ル
ー
を使
ルを
ール
Select
Select
Select(
ト
ー
ト
ー
トー
ーク
す
ル
ー
す
ル
ー
する
ルす
ール
択
選
(
択
選
(
択し
選択
(選
1.RSASecurIDメインメニューから、『Tools
)
ン
ョ
シ
プ
オ
・
ス
セ
ク
ア
・
ド
ド
ド・
ド
2.『SmartCardCommunication(スマート・カード通信)』パネルから、『Access
PKCS
PKCS
PKCS#11
PKCS
タンを選択します。
3.『Browse
C:ProgramFilesLENOVOClientSecuritySolutioncsspkcs11.dll
csspkcs11.dll
csspkcs11.dll
csspkcs11.dllファイルをクリックし、『Select
4.csspkcs11.dll
5.『OK
RSA
RSA
RSA
RSASecurID
RSASecurIDソフトウェア・トークンによるClientSecuritySolution保護を利用するには、次のステップ
を実行します。
1.RSASecurIDソフトウェア・トークンのメインメニューから、『File
(
(
(ト
(
2.SDTIDファイルの場所までナビゲートし、『Open
3.『Select
トウェア・トークンのシリアル番号を強調表示します。
4.『Transfer
クします。
ク
ア
・
クセ
アク
・ア
#11
#11
#11module
Browse
Browse
Browse(
OK
OK
OK』をクリックします。
SecurID
SecurID
SecurIDソ
ク
ー
ト
ク
ー
ト
クン
ーク
トー
Select
Select
SelectToken(s)
Transfer
Transfer
TransferSelected
ス
セ
ス・
セス
module
module
module(PKCS
参
(
参
(
参照
(参
の
ン
の
ン
のイ
ンの
Token(s)
Token(s)
Token(s)to
Selected
Selected
SelectedTokens
・
・オ
照
照
照)
ソ
ソ
ソフ
イ
イ
イン
シ
プ
オ
ショ
プシ
オプ
(PKCS
(PKCS
(PKCS#11
)
)
)』ボタンをクリックして、次のパスまでナビゲートします。
フ
ト
フ
ト
フト
トウ
ー
ポ
ン
ー
ポ
ン
ート
ポー
ンポ
Install
to
Install
to
Install(
toInstall
Tokens
Tokens
TokensSmart
)
ン
ョ
)』の順にクリックします。
ン)
ョン
ジ
モ
#11
ジ
モ
#11
ジュ
モジ
#11モ
ウ
ェ
ア
ウ
ェ
ア
ウェ
ェア
ア・
)
ト
)
ト
)』の順にクリックします。
ト)
ス
ン
イ
(
ス
ン
イ
(
スト
ンス
イン
(イ
Smart
Smart
SmartCard
ー
ツ
(
ール
ツー
(ツ
し
用
使
し
用
使
して
用し
使用
選
(
選
(
選択
(選
ク
ン
ク
ン
クン
ンの
Open
Open
Open(
ー
ト
る
ー
ト
る
ーク
トー
るト
ト
た
し
ト
た
し
トー
たト
した
ン
ショ
ョン
ンの
)
ル
)
ル
)』、『Smart
ル)
ー
マ
ス
て
て
てス
択
択
択)
の
の
の手
ク
ク
クン
ー
ー
ーク
ー
マ
ス
ート
マー
スマ
)
)
)』をクリックします。
手
動
手
動
手動
動イ
)
く
開
(
)
く
開
(
く)
開く
(開
選
の
ン
選
の
ン
選択
の選
ンの
の
ン
ク
の
ン
ク
のス
ンの
クン
定
の
設
定
の設
設定
定
マ
ス
Access
AccessOptions
Access
Access
Accessthe
ー
ー
ール
フ
フ
ファ
カ
カ
カー
ア
ア
アク
ー
ー
ード
ァ
ァ
ァイ
Options
Options
Options(
セ
ク
セ
ク
セス
クセ
ル
ル
ル
イ
イ
イル
ド
ド
ドを
ル
ル
ル)
を
を
を転
Access
Card
Smart
Card
Smart
CardAccess
SmartCard
に
ド
ー
カ
・
ト
カ
・
ト
カー
・カ
ト・
イ
ン
イ
ン
イン
ンス
)』をクリックします。
)
択
)
択
)』パネルから、インストールしたいソフ
択)
マ
ス
マ
ス
マー
スマ
に
ド
ー
にア
ドに
ード
ス
ト
ス
ト
スト
トー
(
File
(
File
(フ
File(
・
ト
ー
・
ト
ー
・カ
ト・
ート
(
(
(ス
Smart
the
Smart
the
SmartCard
theSmart
)
ス
)
ス
)』のラジオ・ボ
ス)
)
)
)』、『Import
)
送
転
)
送
転
)』をクリッ
送)
転送
マ
ス
マー
スマ
Card
Card
Cardthrough
Import
Import
ImportTokens
ト
ー
ー
ート
through
through
ト
ト・
througha
ー
カ
・
ー
カ
・
ー
カー
・カ
a
a
a
Tokens
Tokens
Tokens
第3章.ClientSecuritySolutionでの作業33

:
注
:
注
:トークンに配布パスワードがある場合、プロンプトが出されたらそのパスワードを入力します。
注:
注
OK
OK
OK』をクリックします。
5.『OK
Active
Active
Active
ActiveDirectory
次のパスはClientSecuritySolutionのPKCS#11モジュールがあるディレクトリー・パスを示します。
C:¥ProgramFiles¥Lenovo¥ClientSecuritySolution¥csspkcs11.dll
ClientSecuritySolutionのPKCS#11モジュールを利用するには、ActiveDirectoryに以下のポリシーを
設定する必要があります。
1.PKCS#11署名
2.PKCS#11暗号化解除
次の表に、PKCS#11のポリシーの変更可能フィールドと説明を示します。
表 10. ThinkVantage¥Client Security Solution¥Authentication Policies¥PKCS# 11 Signature¥Custom Mode
フ
フ
フ
フィ
変更可能フィールド
フィールドの説明
可能な値
Directory
Directory
Directoryの
ィ
ー
ル
ド
ィ
ー
ル
ド
ィー
ール
ルド
ドCSS.ADM
の
サ
ポ
の
サ
ポ
のサ
サポ
ポー
ー
ト
ー
ト
ート
ト
CSS.ADM
CSS.ADM
CSS.ADM
必須
パスワードまたはパスフレーズが必要であるかどうか
を制御します。
•Enabled(有効)
–Everytime(毎回)
–Onceperlogon(ログオンごと)
•Disabled(無効)
•Notconfigured(構成しない)
指
紋
セ
ン
サ
ー
認
証
の
設
定
と
ポ
リ
シ
指
紋
セ
ン
サ
ー
認
証
の
設
定
と
指
指紋
紋セ
セン
ンサ
サー
ー認
認証
証の
の設
設定
強
制
的
な
指
紋
バ
イ
パ
強
制
的
な
指
紋
強
強制
制的
的な
な指
指紋バイパス・オプションを使用すると、ユーザーは、指紋認証をバイパスでき、Windowsパスワードを
使用してログオンできます。ユーザーは、新しい登録を追加するときに、PasswordManagerのユーザー・
インターフェースでこのオプションを選択または選択解除できます。
ただし、デフォルトでは、このオプションが選択されていない場合でも、指紋バイパスは有効になりま
す。これは、指紋センサーが機能しなくても、ユーザーがWindowsにログオンできるようにするためで
す。強制的な指紋バイパス・オプションを無効にするには、次のレジストリー・キーを編集します。
[HKEY_LOCAL_MACHINESOFTWARELenovoClientSecuritySolutionCSSConguration]
"GinaDenyLogonDeviceNonEnrolled"=dword:00000001
レジストリー・キーが上記のように設定されると、ユーザーは、指紋センサーが機能しないときに
も指紋認証をバイパスできません。
指
紋
の
指
指
指紋
指紋認証中は、下記のポリシーによって、指紋の読み取り結果の表示が制御されます。
HKLMLenovoTVTCommonClientSecuritySolutionFPSwipeResult
•FPSwipeResult=0:すべてのメッセージを表示します。
•FPSwipeResult=1:失敗のメッセージのみを表示します(デフォルト値)。
読
紋
の
読
紋の
の読
読み
バ
指紋
紋バ
バイ
み
取
り
み
取
り
み取
取り
り結
ス
イ
パ
ス
イパ
パス
ス・
結
果
結
果
結果
果
ポ
定と
とポ
ポリ
・
オ
プ
・
オ
プ
・オ
オプ
プシ
ー
リ
シ
ー
リシ
シー
ー
シ
ョ
ン
シ
ョ
ン
ショ
ョン
ン
34ClientSecuritySolution8.3デプロイメント・ガイド

•FPSwipeResult=2:メッセージを表示しません。
コ
マ
ン
ド
・
ラ
イ
ン
・
ツ
ー
コ
マ
ン
ド
・
ラ
イ
ン
コ
コマ
マン
ンド
ド・
・ラ
ライ
企業のIT管理者はコマンドライン・インターフェースを使用して、ローカルまたはリモートから
ThinkVantageテクノロジーの機能を実装することもできます。設定情報は、リモートのテキスト・
ファイル設定を介して保守することができます。
ClientSecuritySolutionには次のコマンド・ライン・ツールがあります。
ページの『SecurityAdvisor』
•35
•36ページの『ClientSecuritySolutionセットアップ・ウィザード』
•37
ページの『デプロイメント・ファイルの暗号化または暗号化解除ツール』
•37ページの『デプロイメント・ファイル処理ツール』
•38ページの『TPMENABLE.EXE』
•38ページの『証明書転送ツール』
•39ページの『TPMのアクティブ化または非アクティブ化』
・
イン
ン・
・ツ
ル
ツ
ー
ル
ツー
ール
ル
Security
Security
Security
SecurityAdvisor
SecurityAdvisor機能を使用するには、ClientSecuritySolutionを起動してから、『拡
リックして、ClientSecuritySolutionワークスペースの『Security
ステムはwst.exeファイルを実行します。デフォルトのインストール済み環境では、このファイルは
C:¥ProgramFiles¥Lenovo¥CommonFiles¥WST¥ディレクトリーにあります。
パラメーターは次のとおりです。
表 11. パ ラ メ ー タ ー
パ
ラ
パ
ラ
パ
パラ
ラメ
HardwarePasswords
PowerOnPassword
HardDrivePassword
AdministratorPassword
WindowsUsersPasswords
Password
PasswordAge
PasswordNeverExpires
Advisor
Advisor
Advisor
メ
ー
タ
ー
メ
ー
タ
ー
メー
ータ
ター
ー説
張
拡
張
拡
張』メニューをク
拡張
Security
Security
SecurityAdvisor
説
明
説
明
説明
明
ハードウェア・パスワードの値を設定します。1はこ
のセクションを表示し、0は隠します。デフォルト値
は1です。
パワーオン・パスワードを使用可能にする値か、設定
にフラグを立てる値を設定します。
ハードディスクのパスワードを使用可能にする値か、設
定にフラグを立てる値を設定します。
管理者パスワードを使用可能にする値か、設定にフラグ
を立てる値を設定します。
Windowsユーザー・パスワードの値を設定します。1
はこのセクションを表示し、0は隠します。このパラ
メーターが表示されていない場合は、デフォルトで表示
されます。
ユーザー・パスワードを使用可能にする値か、設定にフ
ラグを立てる値を設定します。
このマシン上での、Windowsパスワードの使用日数の値
を設定するか、設定にフラグを立てる値を設定します。
Windowsのパスワードが期限切れにならない値を設定す
るか、設定にフラグを立てる値を設定します。
Advisor
Advisor
Advisor』ボタンをクリックします。シ
第3章.ClientSecuritySolutionでの作業35

表 11. パ ラ メ ー タ ー ( 続 き )
パ
ラ
メ
ー
タ
パ
ラ
パ
パラ
ラメ
WindowsPasswordPolicy
MinimumPasswordLength
MaximumPasswordAge
ScreenSaver
ScreenSaverPasswordSet
ScreenSaverTimeout
FileSharing
AuthorizedAccessOnly
ClientSecurity
EmbeddedSecurityChip
ClientSecuritySolution
ー
メ
ー
タ
ー
メー
ータ
ター
ー説
説
明
説
明
説明
明
Windowsパスワード・ポリシーの値を設定します。1
はこのセクションを表示し、0は隠します。このパラ
メーターが表示されていない場合は、デフォルトで表示
されます。
このマシン上でのパスワードの長さの値を設定するか、
設定にフラグを立てる値を設定します。
このマシン上でのパスワードの使用日数の値を設定する
か、設定にフラグを立てる値を設定します。
スクリーン・セーバーの値を設定します。1はこのセク
ションを表示し、0は隠します。このパラメーターが表
示されていない場合は、デフォルトで表示されます。
スクリーン・セーバーにパスワードを要求する値を設定
するか、設定にフラグを立てる値を設定します。
このマシン上でのスクリーン・セーバーのタイムア
ウトの値を設定するか、設定にフラグを立てる値を設
定します。
ファイル共有の値を設定します。1はこのセクションを
表示し、0は隠します。このパラメーターが表示されて
いない場合は、デフォルトで表示されます。
ファイル共有のための許可されたアクセスを設定する値
を設定するか、設定にフラグを立てる値を設定します。
ClientSecurityの値を設定します。1はこのセクションを
表示し、0は隠します。このパラメーターが表示されて
いない場合は、デフォルトで表示されます。
セキュリティー・チップを使用可能にする値を設定する
か、設定にフラグを立てる値を設定します。
このマシン上で使用するClientSecuritySolutionのバー
ジョンの値を設定するか、設定にフラグを立てる値を設
定します。
Client
Client
Client
ClientSecurity
ClientSecuritySolutionセットアップ・ウィザードは、XMLファイルを介してデプロイメント・スクリプト
を生成する際に使用します。次のコマンドを実行すると、ウィザードのさまざまな機能が表示されます。
"C:ProgramFilesLenovoClientSecuritySolutioncss_wizard.exe"/?
次の表に、ClientSecuritySolutionセットアップ・ウィザードのコマンドを示します。
表 12. Client Security Solution セ ッ ト ア ッ プ ・ ウ ィ ザ ー ド の コ マ ン ド
パ
パ
パ
パラ
/hまたは/?
/name:FILENAME
/encrypt
36ClientSecuritySolution8.3デプロイメント・ガイド
Security
Security
SecuritySolution
ラ
メ
ー
タ
ラ
ラメ
ー
メ
ー
タ
ー
メー
ータ
ター
ー結
Solution
Solution
Solutionセ
セ
ッ
ト
ア
ッ
プ
・
ウ
ィ
ザ
ー
セ
ッ
ト
ア
ッ
プ
・
ウ
セッ
ット
トア
アッ
ップ
プ・
ィ
・ウ
ウィ
ィザ
結
果
結
果
結果
果
ヘルプ・メッセージ・ボックスを表示します
生成されたデプロイメント・ファイルの完全修飾パス
およびファイル名の前に付けます。このファイルには
拡張子.xmlが付きます。
AES暗号化を使用してスクリプト・ファイルを暗号化し
ます。暗号化される場合、そのファイル名には.encが付
加されます。/passコマンドを使用しない場合は、静的パ
スフレーズを使用して、ファイルを隠します。
ド
ザ
ー
ド
ザー
ード
ド

表 12. Client Security Solution セ ッ ト ア ッ プ ・ ウ ィ ザ ー ド の コ マ ン ド ( 続 き )
パ
ラ
メ
ー
タ
パ
ラ
パ
パラ
ラメ
/pass:
/novalidate
:
例
:
例
:
例:
例
css_wizard.exe/encrypt/pass:mysecret/name:C:DeployScript/novalidate
デ
プ
デ
プ
デ
デプ
プロ
このツールはClientSecurityXMLデプロイメント・ファイルの暗号化または暗号化解除に使用します。次
のコマンドを実行すると、ツールのさまざまな機能が表示されます。
"C:ProgramFilesLenovoClientSecuritySolutionxml_crypt_tool.exe"/?
パラメーターを次の表に示します。
表 13. Client Security XML デ プ ロ イ メ ン ト ・ フ ァ イ ル を 暗 号 化 ま た は 暗 号 化 解 除 す る た め の パ ラ メ ー タ ー
パ
ラ
パ
ラ
パ
パラ
ラメ
ー
メ
ー
タ
ー
メー
ータ
ター
ー結
ロ
イ
メ
ン
ト
・
フ
ァ
イ
ロ
イ
メ
ン
ト
・
ロイ
イメ
メン
ント
メ
ー
タ
ー
メ
ー
タ
ー
メー
ータ
ター
ー結
フ
ト・
・フ
ファ
ル
ァ
イ
ル
ァイ
イル
ルの
の
暗
号
の
暗
号
の暗
暗号
号化
結
果
結
果
結果
果
暗号化されたデプロイメント・ファイルを保護するため
に、パスフレーズの前に付けます。
ウィザードのパスワードとパスフレーズのチェック機能
を使用不可にして、すでに構成済みのPC上でスクリプ
ト・ファイルを作成できるようにします。たとえば、現
行PCの管理者パスワードは、社内で要求される管理
者パスワードではないことがあります。/novalidateコ
マンドを使用するとユーザーはxmlファイル作成中に
css_wizardGUIに別の管理者パスワードを入力できます。
化
ま
た
は
暗
号
化
解
除
ツ
ー
化
ま
た
は
暗
号
化
解
化ま
また
たは
は暗
暗号
号化
結
果
結
果
結果
果
除
化解
解除
除ツ
ル
ツ
ー
ル
ツー
ール
ル
/hまたは/?
FILENAME
/encryptまたは/decryptXMLファイルには/encryptを、ENCファイルには
PASSPHRASE
:
例
:
例
:
例:
例
xml_crypt_tool.exe"C:DeployScript.xml"/encrypt"mysecret"
および
xml_crypt_tool.exe"C:DeployScript.xml.enc"/decrypt"mysecret"
デ
プ
ロ
イ
メ
ン
ト
・
フ
ァ
イ
ル
処
理
デ
プ
ロ
イ
メ
ン
ト
・
フ
ァ
イ
デ
デプ
プロ
ロイ
イメ
メン
ント
ト・
・フ
ファ
ツールvmserver.exeはClientSecuritySolutionXMLデプロイメント・スクリプトを処理します。次のコマン
ドを実行すると、ウィザードのさまざまな機能が表示されます。
"C:ProgramFilesLenovoClientSecuritySolutionvmserver.exe"/?
次の表に、ファイルを処理するためのパラメーターを示します。
ル
ァイ
イル
ル処
ツ
処
理
ツ
処理
理ツ
ツー
ヘルプ・メッセージを表示します。
.xmlまたは.encの拡張子を持つパス名およびファイル名
を表示します。
/decryptを選択します。
ファイルを保護するためにパスフレーズを使用する場合
に必要なオプション・パラメーターを表示します。
ー
ル
ー
ル
ール
ル
第3章.ClientSecuritySolutionでの作業37

表 14. フ ァ イ ル 処 理 の パ ラ メ ー タ ー
パ
ラ
メ
ー
タ
パ
ラ
パ
パラ
ラメ
FILENAME
PASSPHRASE
:
例
:
例
:
例:
例
Vmserver.exeC:DeployScript.xml.enc"mysecret"
TPMENABLE.EXE
TPMENABLE.EXE
TPMENABLE.EXE
TPMENABLE.EXE
ー
メ
ー
タ
ー
メー
ータ
ター
ー結
結
果
結
果
結果
果
FILENAMEパラメーターにはファイル拡張子XMLま
たはENCがなければなりません。
PASSPHRASEパラメーターは、拡張子ENCを持つファ
イルの暗号化解除に使用します。
tpmenable.exeファイルはセキュリティー・チップをオンにしたりオフにするために使用します。
表 15. tpmenable.exe フ ァ イ ル の パ ラ メ ー タ ー
パ
ラ
メ
ー
タ
パ
ラ
パ
パラ
ラメ
ー
メ
ー
タ
ー
メー
ータ
ター
ー説
説
明
説
明
説明
明
/enableまたは/disable
/quiet
sp:password
:
例
:
例
:
例:
例
tpmenable.exe/enable/quiet/sp:MyBiosPW
証
明
書
転
送
ツ
ー
証
明
書
転
証
証明
明書
書転
送
転送
送ツ
ル
ツ
ー
ル
ツー
ール
ル
セキュリティー・チップをオンにしたりオフにした
りします。
BIOSパスワードまたはエラーのプロンプトを隠します。
Windows2000およびXPの場合に限っては、BIOS管理者
/スーパーバイザー・パスワードは引用符で囲みません。
次の表に、ClientSecuritySolutionの証明書転送ツールのコマンド・ライン・スイッチを示します。
表 16. css_cert_transfer_tool.exe <cert_store_type> <lter_type>:<name | size> | all_access | usage
パ
ラ
メ
ー
タ
パ
ラ
パ
パラ
ラメ
<cert_store_type>
例
例
例
例:
<filter_type>:<name|size>
ー
メ
ー
タ
ー
メー
ータ
ター
ー説
cert_store_user
cert_store_machine
cert_store_all
説
明
説
明
説明
明
これは最初の必須パラメーターです。最初のスイッチとして使用し、
次の例のいずれか1つを組み込む必要があります。
ユーザー証明書のみを転送します。ユーザー証明書は、現
在のユーザーに割り当てられます。
マシン証明書のみを転送します。マシン証明書は、マシン
上で許可されたすべてのユーザーが使用できます。
ユーザー証明書タイプとマシン証明書タイプの両方を
転送します。
これは2番目の必須パラメーターです。必須の<cert_store_type>パラ
メーターの後に使用する必要があります。各フィルター・タイプ(下記
を除く)の後にはコロン『:』が必要で、コロンの直後には、検索対象
の証明書所有者の名前、権限、または鍵サイズを指定する必要があり
ます。このユーティリティーは大/小文字の区別があり、検索対象の名
前が複合名(たとえば、CAAuthorityなど)である場合は、検索条件の
前後に二重引用符“”を使用する必要があります(例を参照)。
38ClientSecuritySolution8.3デプロイメント・ガイド

表 16. css_cert_transfer_tool.exe <cert_store_type> <lter_type>:<name | size> | all_access | usage ( 続 き )
パ
ラ
メ
ー
タ
パ
ラ
パ
パラ
ラメ
例
例
例
例:
次の2つのスイッチはスタンドアロンです。これらには2番目の引数はありません。
all_access
usage
ー
メ
ー
タ
ー
メー
ータ
ター
ー説
subject_simple_name:<name>
subject_friendly_name:<name>
issuer_simple_name:<name>
ssuer_friendly_name:<name>
key_size:<size>
すべての証明書を転送します。フィルターに掛けないでください。
コマンド・ラインに関する情報は提供しませんが、正しい使用法を判別するために使用される関数
によって、受け渡されたコマンドが正しいかどうかに応じて、trueまたはfalseが返されます。
説
明
説
明
説明
明
証明書の発行先の名前と一致するすべての証明書を転送し
ます。所有者の名前は<name>に指定します。
証明書の発行先のフレンドリー名と一致するすべての
証明書を転送します。フレンドリー名は<name>に指定
します。
証明書を発行した証明機関の名前と一致するすべての
証明書を転送します。証明機関の名前は<name>に指定
します。
証明書を発行した証明機関のフレンドリー名と一致するす
べての証明書を転送します。証明機関のフレンドリー名
は<name>に指定します。
鍵サイズ<size>(ビット単位)で暗号化されたすべての証明
書を転送します。これは完全一致突き合わせ基準である
ことに注意してください。プログラムは、そのサイズ以
上またはそのサイズ以下の鍵サイズで暗号化された証明
書を検索しません。
TPM
TPM
TPM
TPMの
ThinkPadノートブック・コンピューター・モデルX200、T400、T500および以降のThinkPadノートブッ
ク・コンピューター・モデル(T410やT420など)でTPMをアクティブにするには、次のようにします。
注
注
注:
注
るにはコンピューターを2回再起動する必要があります。
デスクトップ・コンピューターでTPMをアクティブにするには、次のようにします。
の
ア
ク
テ
ィ
ブ
化
ま
た
は
非
ア
ク
テ
ィ
ブ
の
ア
ク
テ
ィ
ブ
化
ま
た
は
非
ア
ク
のア
アク
クテ
ティ
ィブ
ブ化
化ま
また
たは
は非
非ア
1.Webサイトhttp://support.lenovo.com/en_US/detail.page?LegacyDocID=MIGR-68488に移動します。
Sample
Sample
SampleScripts
2.『Sample
をクリックし、script.zipファイルをダウンロードします。次に、zipファイルを展開します。
3.『コマンドプロンプト』ウィンドウにcscript.exeSetCong.vbsSecurityChipActiveと入力し、
SetConfig.vbsファイルを実行します。
4.コンピューターを再起動します。
:
:
:ThinkPadノートブック・コンピューター・モデルT400またはT410の場合、TPMをアクティブにす
1.Webサイトhttp://support.lenovo.com/en_US/detail.page?LegacyDocID=MIGR-75407に移動します。
Visual
Visual
VisualBasic
2.『Visual
VisualBasicのサンプル・スクリプト)』をクリックし、sample_script_m90.zipファイルをダウンロー
ドします。次に、zipファイルを展開します。
3.『コマンドプロンプト』ウィンドウにcscript.exeSetCong.vbsSecurityChipActiveと入力し、
SetConfig.vbsファイルを実行します。
4.コンピューターを再起動します。
Scripts
Scripts
Scriptsfor
Basic
Basic
Basicsample
for
for
forBIOS
sample
sample
samplescripts
BIOS
BIOSDeployment
scripts
scripts
scriptsto
Deployment
DeploymentGuide
to
to
touse
use
Deployment
BIOS
Guide
Guide
Guide(BIOSデプロイメント・ガイドのサンプル・スクリプト)』
when
when
use
whenconfiguring
usewhen
アク
クテ
configuring
configuring
configuringBIOS
テ
ティ
化
ィ
ブ
化
ィブ
ブ化
化
settings
BIOS
settings
BIOS
settings(BIOS設定を構成する際に使用する
BIOSsettings
すべてのThinkStationデスクトップ・コンピューター・モデルと、T400より前のThinkPadnotebookコン
ピューター・モデル(T61など)では、TPMアクティベーション・ツールまたはcss_manage_vista_tpm.exe
ファイルを使用してTPMをアクティブにします。
第3章.ClientSecuritySolutionでの作業39

TPM
TPM
TPMア
TPM
tpm_activate_cmd.exeファイルは、WindowsXPオペレーティング・システム上でTPMをアクティブ化ま
たは非アクティブ化するために使用されます。
注
注
注:
注
びSMBusの最新ドライバーをインストールする必要があります。
表 17. Lenovo シ ス テ ム で TPM を 有 効 化 ま た は 無 効 化 す る た め の パ ラ メ ー タ ー
パ
パ
パ
パラ
ク
ア
クテ
アク
:
:
:このツールを実行するには、管理者権限が必要です。このツールを実行する前に、SMBiosおよ
ラ
メ
ー
タ
ラ
メ
ー
タ
ラメ
メー
ータ
ター
ベ
ィ
テ
ベー
ィベ
ティ
ー
ー
ー説
ョ
シ
ー
ョン
ショ
ーシ
ツ
・
ン
ツー
・ツ
ン・
の
ル
ー
の使
ルの
ール
(Windows
用
使
(WindowsXP)
用(Windows
使用
説
説
説明
(Windows
用
使
の
ル
ー
ツ
・
ン
ョ
シ
ー
ベ
ィ
テ
ク
ア
XP)
XP)
XP)
明
明
明
/helpまたは/?
/biospw:password
/deactivate
/verbose
:
例
:
例
:
例:
例
tpm_activate_cmd.exe/?
tpm_activate_cmd.exe/verbose
tpm_activate_cmd.exe/biospw:pass
使
の
ル
イ
ァ
css_manage_vista_tpm.exe
css_manage_vista_tpm.exe
css_manage_vista_tpm.exeフ
css_manage_vista_tpm.exe
ClientSecuritySolutionがインストールされているWindowsVistaまたはWindows7オペレーティング・シス
テムでTPMをアクティブにするには、css_manage_vista_tpm.exeファイルを使用します。
:
注
:
注
:このツールを実行するには、管理者権限が必要です。
注:
注
css_manage_vista_tpm.exe[/verbose][/showinf o|/getstate|setstate:<state>]
ここで、
フ
イ
ァ
フ
イル
ァイ
ファ
使
の
ル
使用
の使
ルの
パラメーターのリストを表示します。
BIOSスーパーバイザーまたは管理者のパスワードが設
定されている場合は、それを指定します。
TPMを無効化します。
注
:
注
:
注
注:
:パラメーター/deactivateを指定して
tpm_activate_cmd.exeを実行すると、デフォルトでTPM
が有効化されます。
テキスト出力を表示します。
Windows
は
た
ま
用
用
用(Windows
(Windows
(Windows
(WindowsVista
Vista
Vista
Vistaま
ま
また
たは
Windows7)
はWindows
Windows
は
た
7)
7)
7)
/verboseは、テキスト出力を表示します。デフォルト設定はサイレント操作です。
/showinf oはTPM情報(ベンダー、ファームウェア・バージョン、物理プレゼンス、インターフェース・
バージョン)を表示します。
/getstateは、現在のTPM状況を表示します。TPMには、次の状況タイプがあります。
•有効
•無効
•活動化
•非アクティブ
•所有
•非所有
/setstate:<state>は、目的のTPM状況タイプを設定します。0は無効で非アクティブであることを表し
ます。1は有効であることを表します。2はアクティブであることを表します。4は所有されていることを
表します。追加機能(論理和)を使用して、有効な状況を複数設定できます。
40ClientSecuritySolution8.3デプロイメント・ガイド

以下に例を示します。
css_manage_vista_tpm.exe/verbose/setstate:0は、TPM状況を無効かつ非アクティブに設定します。
css_manage_vista_tpm.exe/verbose/setstate:1は、TPM状況を有効に設定します。
css_manage_vista_tpm.exe/verbose/setstate:2は、TPM状況をアクティブに設定します。
css_manage_vista_tpm.exe/verbose/setstate:3は、TPM状況を有効かつアクティブに設定します。
:
注
:
注
:
注:
注
•有効なTPM状況タイプには、次のようなものがあります。
–有効
–無効
–活動化
–非アクティブ
–有効かつアクティブ
–無効かつ非アクティブ
•有効なTPM状況の移行には、次のようなものがあります。
–無効->有効
–無効->有効かつアクティブ
–有効->無効
–有効->有効かつアクティブ
–有効かつアクティブ->無効
–有効かつアクティブ->無効かつ非アクティブ
Active
Active
Active
ActiveDirectory
ActiveDirectoryはディレクトリー・サービスです。ディレクトリーは、ユーザーおよびリソースに関
する情報が保存されている場所です。ディレクトリー・サービスによりアクセスが許可されるため、
これらのリソースを操作することができます。
ActiveDirectoryが提供する機構により、管理者はPC、グループ、ユーザー、ドメイン、セキュリティー・
ポリシー、およびすべてのタイプのユーザー定義オブジェクトを管理する機能を得られます。Active
Directoryがこの機能を付与するために使用するメカニズムのことを、グループポリシーといいます。管理
者は、グループポリシーを使用して、PCやユーザーに適用できる設定をドメインの中に定義します。
現在ThinkVantageTechnology製品が使用している、プログラム設定の制御に使用する設定値を収集する方
式には、特定のアプリケーション定義レジストリー項目からの読み取りなど、さまざまな方式があります。
以下に、ActiveDirectoryが管理できるClientSecuritySolutionの設定の例を示します。
•セキュリティー・ポリシー
•カスタム・セキュリティー・ポリシー(WindowsパスワードまたはClientSecuritySolutionパスフ
Directory
Directory
Directoryの
レーズを使用するかどうか、など)
の
サ
ポ
の
のサ
ー
サ
ポ
ー
サポ
ポー
ート
ト
ト
ト
第3章.ClientSecuritySolutionでの作業41

管
理
用
管
理
用
管
管理
理用
用(ADM)テ
ADM(管理用)テンプレート・ファイルは、クライアントPC上のアプリケーションで使用されるポリシー
設定を定義します。ポリシーとは、アプリケーションの動作を管理する特定の設定のことです。ポリシー
設定は、ユーザーがアプリケーションを使用して特定の設定値を設定できるかどうかも定義します。
サーバー上の管理者が定義する設定は、ポリシーとして定義されます。クライアントPC上のユーザーが
定義する、アプリケーションに関する設定は、プリファレンスとして定義されます。Microsoft社による定
義のとおりに、ポリシー設定はプリファレンスより優先します。
例えば、ユーザーは自分のデスクトップ上に背景イメージを表示することができます。これは、ユーザー
のプリファレンス設定です。管理者は、ユーザーが特定の背景イメージを使用しなければならないこと
を決定する設定をサーバー上で定義できます。管理者のポリシー設定は、ユーザーによるプリファレ
ンス設定をオーバーライドします。
ThinkVantageTechnology製品が設定を確認する際に、次の順序で設定を検索します。
•コンピューター・ポリシー
•ユーザー・ポリシー
•デフォルトのユーザー・ポリシー
•PCプリファレンス
•ユーザー・プリファレンス
•デフォルトのユーザー・プリファレンス
テ
ン
プ
レ
ー
ト
・
フ
ァ
イ
テ
ン
プ
レ
ー
ト
・
テン
ンプ
プレ
レー
ート
フ
ト・
・フ
ファ
ル
ァ
イ
ル
ァイ
イル
ル
前述のように、コンピューター・ポリシーとユーザー・ポリシーは、管理者によって定義されます。XML
構成ファイルかActiveDirectoryのグループ・ポリシーを使用してこれらの設定値を初期化できます。PC
プリファレンスとユーザー・プリファレンスは、クライアントPC上のユーザーによって、アプリケー
ション・インターフェース内のオプションを使用して設定されます。デフォルトのユーザー・プリファレ
ンスは、XML構成スクリプトによって初期化されます。ユーザーは値を直接には変更しません。ユー
ザーがこれらの設定値に変更を加えるには、ユーザー・プリファレンスを更新します。
ActiveDirectoryを使用していないお客様は、クライアント・システムにデプロイされるポリシー設定のデ
フォルト・セットを作成することができます。管理者は、XML構成スクリプトを変更して、製品のイン
ストール時にそれらが処理されるように指定することができます。
義
定
の
定
設
能
可
理
管
可
理
管
可能
理可
管理
管
この例では、次の階層を使用して、グループ・ポリシー・エディター内に設定を表示します。
ComputerConguration>AdministrativeTemplates>ThinkVantageT echnologies>
ClientSecuritySolution>AuthenticationPolicies>MaxRetries>
Passwordnumberofretries
ADMファイルは、レジストリー内の、設定が反映される場所を示します。これらの設定は、レジ
ストリー内の次の場所になければなりません。
Computerpolicies:
HKLMSoftwarePoliciesLenovoClientSecuritySolution
Userpolicies:
HKCUSoftwarePoliciesLenovoClientSecuritySolution
Def aultuserpolicies:
HKLMSoftwarePoliciesLenovoClientSecuritySolutionUserdefaults
Computerpreferences:
HKLMSoftwareLenovoClientSecuritySolution
Userpref erences:
HKCUSoftwareLenovoClientSecuritySolution
Def aultuserpreferences:
HKLMSoftwareLenovoClientSecuritySolutionUserdef aults
定
設
能
定の
設定
能設
義
定
の
義
定義
の定
42ClientSecuritySolution8.3デプロイメント・ガイド

グ
ル
ー
プ
・
ポ
リ
シ
ー
の
設
グ
ル
ー
プ
・
ポ
リ
シ
グ
グル
ルー
ープ
プ・
・ポ
ポリ
ー
リシ
シー
ーの
定
の
設
定
の設
設定
定
このセクションの表には、ClientSecuritySolutionのPC構成およびユーザー構成のポリシー設定が記載
されています。
再
試
再
試行
再試
再
最
の
行
最大
の最
行の
数
回
大
数
回数
大回
数
回
大
最
の
行
試
次の表に、『認証ポリシー』の『再試行の最大回数』のポリシー設定を示します。
コ
ン
ピ
ュ
ー
タ
の
構
成
➙
コ
ン
表 18. コ
ポ
リ
ポ
リ
ポ
ポリ
リシ
Passwordnumberof
retries
Passphrasenumberof
retries
り
よ
り
よ
り安
より
よ
ピ
コ ン
ン ピ
ピ ュ
シ
ー
シ
ー
シー
ー有
全
安
全
安
全
安全
ュ
ー
タ
の
ュ ー
構
ー タ
タ の
の 構
構 成
ThinkVantage
成
➙
ThinkVantage
成 ➙
➙ ThinkVantage
ThinkVantage ➙
有
効
有
効
有効
効な
再試行の最大回数
は20です。
再試行の最大回数
は20です。
な
な
な設
➙
Client
➙
➙ Client
設
定
設
定
設定
定説
Security
Client
Security
Client Security
Security Solution
ポリシーをオーバーライドする前に、認証のためにユーザーが
Windowsパスワードを使用できる最大回数を制御します。
ポリシーをオーバーライドする前に、認証のためにユーザーが
ClientSecurityパスフレーズを使用できる最大回数を制御します。
Solution
Solution
Solution ➙
➙
認
➙
認
➙ 認
認 証
証
ポ
リ
シ
ー
➙
再
試
行
の
最
大
回
証
ポ
リ
シ
ー
➙
再
試
行
証 ポ
ポ リ
リ シ
シ ー
ー ➙
➙ 再
説
明
説
明
説明
明
の
再 試
試 行
行 の
の 最
数
最
大
回
数
最 大
大 回
回 数
数
次の表に、『認証ポリシー』の『より安全』のポリシー設定を示します。
コ
ン
ピ
ュ
ー
タ
の
構
成
➙
管
理
用
テ
ン
プ
レ
ー
ト
➙
表 19. コ
保
護
保
保
保 護
ポ
ポ
ポ
ポリ
コ
コ ン
モ
ー
護
モ
ー
護 モ
モ ー
ー ド
リ
シ
ー
リ
シ
ー
リシ
シー
ー有
ン
ピ
ュ
ー
タ
の
構
成
➙
管
理
用
テ
ン
プ
レ
ン ピ
ピ ュ
ュ ー
ー タ
タ の
の 構
構 成
成 ➙
➙ 管
管 理
理 用
用 テ
テ ン
ド
ド
ド
有
効
な
設
有
有効
定
効
な
設
定
効な
な設
設定
定説
ー
ン プ
プ レ
レ ー
ー ト
ト
➙
ト ➙
➙ ThinkVantage
ThinkVantage
ThinkVantage
ThinkVantage ➙
➙
Client
➙
➙ Client
Security
Client
Security
Client Security
Security Solution
説
説
説明
Solution
Solution
Solution ➙
明
明
明
➙
認
証
ポ
リ
➙
認
➙ 認
認 証
シ
証
ポ
リ
シ
証 ポ
ポ リ
リ シ
シ ー
ー
➙
ー
➙
ー ➙
➙
パスワード
Passphrase
指紋
無効にするパスワード、パスフレーズ、または指紋をオー
・
ト
ル
ォ
フ
デ
ォ
フ
デ
ォル
フォ
デフ
デ
・
ト
ル
・モ
ト・
ルト
頻度を『Every
(
ロ
(
ロ
(
(ロ
ログ
頻度を『Every
(
ロ
(
ロ
(
(ロ
ログ
頻度を『Every
(
ロ
(
ロ
(
(ロ
ログ
バーライドするように設定します。
ド
ー
モ
ド
ー
モ
ド
ード
モー
Every
time
(
毎
回
Every
time
Everytime
time(
グ
オ
ン
の
度
に
グ
オ
ン
グオ
オン
ンの
Every
Every
Everytime
グ
オ
ン
グ
オ
ン
グオ
オン
ンの
Every
Every
Everytime
グ
オ
ン
グ
オ
ン
グオ
オン
ンの
1
の
度
に
1
の度
度に
に1
time
time
time(
の
度
に
1
の
度
に
1
の度
度に
に1
time
time
time(
の
度
に
1
の
度
に
1
の度
度に
に1
)
(
毎
回
)
(毎
毎回
回)
)』または『Once
回
)
回
)
1回
回)
)』に設定します。
(
毎
回
)
(
毎
回
)
(毎
毎回
回)
)』または『Once
回
)
回
)
1回
回)
)』に設定します。
(
毎
回
)
(
毎
回
)
(毎
毎回
回)
)』または『Once
回
)
回
)
1回
回)
)』に設定します。
Once
Once
Onceper
Once
Once
Onceper
Once
Once
Onceper
per
logon
per
logon
perlogon
logon
per
logon
per
logon
perlogon
logon
per
logon
per
logon
perlogon
logon
パスワードが必要であるかどうかを
制御します。
パスフレーズが必要であるかどうかを
制御します。
指紋が必要であるかどうかを制御し
ます。
通常の認証が失敗した場合の『フォー
ルバック認証』の要件を定義します。
次の表に、『認証ポリシー』の『デフォルト・モード』のポリシー設定を示します。
コ
ン
ピ
ュ
ー
タ
の
構
成
➙
管
理
用
テ
ン
プ
レ
ー
ト
➙
表 20. コ
➙
デ
➙
デ
➙
➙ デ
デ フ
ポ
ポ
ポ
ポリ
パスワード
Passphrase
指紋
コ
ン
コ ン
ン ピ
フ
ォ
ル
フ
ォ
ル
フ ォ
ォ ル
ル ト
リ
シ
ー
リ
シ
ー
リシ
シー
ー有
ピ
ュ
ー
タ
の
構
成
➙
管
理
用
テ
ン
プ
レ
ピ ュ
ュ ー
ー タ
タ の
の 構
構 成
成 ➙
➙ 管
管 理
理 用
用 テ
テ ン
ト
・
モ
ー
ト
ト ・
ド
・
モ
ー
ド
・ モ
モ ー
ー ド
ド
有
効
な
設
有
有効
頻度を『Every
(
ロ
(
ロ
(
(ロ
ログ
頻度を『Every
(
ロ
(
ロ
(
(ロ
ログ
頻度を『Every
(
ロ
(
ロ
(
(ロ
ログ
定
効
な
設
定
効な
な設
設定
定説
Every
time
Every
time
Everytime
time(
グ
オ
ン
の
度
グ
オ
グオ
オン
グ
オ
グ
オ
グオ
オン
グ
オ
グ
オ
グオ
オン
に
ン
の
度
に
ンの
の度
度に
に1
Every
time
Every
time
Everytime
time(
ン
の
度
に
ン
の
度
に
ンの
の度
度に
に1
Every
time
Every
time
Everytime
time(
ン
の
度
に
ン
の
度
に
ンの
の度
度に
に1
ー
ン プ
プ レ
レ ー
ー ト
(
毎
回
(
毎
回
(毎
毎回
回)
1
回
)
1
回
)
1回
回)
)』に設定できます。
(
毎
回
(
毎
回
(毎
毎回
回)
1
回
)
1
回
)
1回
回)
)』に設定できます。
(
毎
回
(
毎
回
(毎
毎回
回)
1
回
)
1
回
)
1回
回)
)』に設定できます。
ト
➙
ト ➙
➙ ThinkVantage
)
)
)』または『Once
)
)
)』または『Once
)
)
)』または『Once
ThinkVantage
ThinkVantage
ThinkVantage ➙
Once
Once
Onceper
Once
Once
Onceper
Once
Once
Onceper
➙
Client
➙
➙ Client
per
logon
per
logon
perlogon
logon
per
logon
per
logon
perlogon
logon
per
logon
per
logon
perlogon
logon
Security
Client
Security
Client Security
Security Solution
説
説
説明
パスワードが必要であるかどうかを制
御します。
パスフレーズが必要であるかどうかを
制御します。
指紋が必要であるかどうかを制御しま
す。
Solution
Solution
Solution ➙
明
明
明
➙
認
証
ポ
リ
シ
➙
認
証
➙ 認
認 証
証 ポ
ー
ポ
リ
シ
ー
ポ リ
リ シ
シ ー
ー
無効にするパスワード、パスフレーズ、または指紋をオー
バーライドするように設定します。
ー
シ
リ
ポ
証
認
ポ
証
認
ポリ
証ポ
認証
認
ー
シ
リ
ー
シー
リシ
通常の認証が失敗した場合の『フォー
ルバック認証』の要件を定義します。
次のポリシーのリストには、各ポリシーの認証レベルを定義する有効な設定が記載されています。
第3章.ClientSecuritySolutionでの作業43

•Windowslogon(Windowsへのログオン)
•Systemunlock(PCのロック解除)
•Passwordmanager(PasswordManagerを開く)
•CSPsignature(CSPシグニチャー)
•CSPdecryption(CSP暗号化解除)
•PKCS#11signature(PKCS#11シグニチャー)
•PKCS#11decryption(PKCS#11暗号化解除)
•PKCS#11logon(PKCS#11ログオン)
次の表に、上記の認証レベルに対する値および設定を示します。
コ
ン
ピ
ュ
ー
タ
の
構
成
➙
管
理
用
テ
ン
プ
レ
ー
ト
➙
表 21. コ
ポ
ポ
ポ
ポリ
コ
ン
コ ン
ン ピ
リ
シ
ー
リ
シ
ー
リシ
シー
ー有
ピ
ュ
ー
タ
の
構
成
➙
管
理
用
テ
ン
プ
レ
ピ ュ
ュ ー
ー タ
タ の
の 構
構 成
成 ➙
➙ 管
管 理
理 用
用 テ
テ ン
有
効
な
設
有
有効
定
効
な
設
定
効な
な設
設定
定説
ー
ン プ
プ レ
レ ー
ー ト
ト
➙
ト ➙
➙ ThinkVantage
ThinkVantage
ThinkVantage
ThinkVantage ➙
➙
Client
➙
➙ Client
Security
Client
Security
Client Security
Security Solution
Solution
Solution
Solution ➙
説
明
説
明
説明
明
➙
認
証
ポ
リ
シ
➙
認
証
➙ 認
認 証
証 ポ
ー
ポ
リ
シ
ー
ポ リ
リ シ
シ ー
ー
パスワード
Passphrase
指紋
無効にするパスワード、パスフレーズ、または指紋をオー
Password
Password
PasswordManager
Password
Manager
Manager
Manager
頻度を『Every
(
ロ
(
ロ
(
(ロ
ログ
頻度を『Every
(
ロ
(
ロ
(
(ロ
ログ
頻度を『Every
(
ロ
(
ロ
(
(ロ
ログ
バーライドするように設定します。
Every
time
(
毎
回
Every
time
Everytime
time(
グ
オ
ン
の
度
に
グ
オ
ン
の
グオ
オン
ンの
の度
Every
Every
Everytime
グ
オ
ン
の
グ
オ
ン
の
グオ
オン
ンの
の度
Every
Every
Everytime
グ
オ
ン
の
グ
オ
ン
の
グオ
オン
ンの
の度
1
度
に
1
度に
に1
1回
time
time
time(
度
に
1
度
に
1
度に
に1
1回
time
time
time(
度
に
1
度
に
1
度に
に1
1回
)
(
毎
回
)
(毎
毎回
回)
)』または『Once
回
)
回
)
回)
)』に設定します。
(
毎
回
)
(
毎
回
)
(毎
毎回
回)
)』または『Once
回
)
回
)
回)
)』に設定します。
(
毎
回
)
(
毎
回
)
(毎
毎回
回)
)』または『Once
回
)
回
)
回)
)』に設定します。
Once
Once
Onceper
Once
Once
Onceper
Once
Once
Onceper
次の表に、PasswordManagerのポリシー設定を示します。
コ
ン
ピ
ュ
ー
タ
の
構
成
➙
コ
ン
表 22. コ
ポ
リ
ポ
リ
ポ
ポリ
リシ
DisablePasswordmanager
DisableInternetExplorersupport
DisableMozillasupport
DisablesupportforWindowsapplications
DisableAuto-fill
DisableHotkeysupport
UseDomainfiltering
ProhibitedDomains
ProhibitedURLs
ピ
コ ン
ン ピ
ピ ュ
シ
ー
設
定
シ
ー
設
定
シー
ー設
設定
定説
ュ
ー
タ
の
ュ ー
構
ー タ
タ の
の 構
構 成
成
➙
成 ➙
➙ ThinkVantage
ThinkVantage
ThinkVantage
ThinkVantage ➙
➙
Client
➙
➙ Client
説
説
説明
システム始動時にPasswordManagerが開始するかどうかを制御します。
PasswordManagerがInternetExplorerからパスワードを保存できるかど
うかを制御します。
PasswordManagerがMozillaベース・ブラウザー(FirefoxおよびNetscape
など)からパスワードを保存できるかどうかを制御します。
PasswordManagerがWindowsアプリケーションからパスワードを保存で
きるかどうかを制御します。
PasswordManagerがWebサイトおよびWindowsアプリケーションへの
データのAuto-fillを行うかどうかを制御します。
PasswordManagerがWebサイトおよびWindowsアプリケーションに
データを入力するためのホット・キーの使用をサポートするかどうか
を制御します。
PasswordManagerがドメインに基づいてWebサイトをフィルタリングす
るかどうかを制御します。
PasswordManagerがパスワードの保存を禁止されているドメインを制
御します。
PasswordManagerがパスワードの保存を禁止されているURLを制御し
ます。
Security
Client
Security
Client Security
Security Solution
明
明
明
Solution
Solution
Solution ➙
per
logon
per
logon
perlogon
logon
per
logon
per
logon
perlogon
logon
per
logon
per
logon
perlogon
logon
➙
➙
➙ Password
パスワードが必要であるかどうかを
制御します。
パスフレーズが必要であるかどうかを
制御します。
指紋が必要であるかどうかを制御し
ます。
通常の認証が失敗した場合の『フォー
ルバック認証』の要件を定義します。
Password
Password
Password Manager
Manager
Manager
Manager
44ClientSecuritySolution8.3デプロイメント・ガイド

コ
ン
ピ
ュ
ー
タ
の
構
成
➙
コ
表 22. コ
コ ン
ポ
リ
シ
ポ
リ
シ
ポ
ポリ
リシ
シー
ProhibitedModules
Auto-fillHotkey
TypeandTransferHotkey
ManageHotkey
Interface
User
Interface
User
Interface
UserInterface
User
ン
ピ
ュ
ー
タ
の
構
成
ン ピ
ピ ュ
ュ ー
ー タ
タ の
ー
設
定
ー
設
定
ー設
設定
定説
➙
の 構
構 成
成 ➙
➙ ThinkVantage
ThinkVantage
ThinkVantage
ThinkVantage ➙
➙
Client
➙
➙ Client
説
説
説明
PasswordManagerがパスワードの保存を禁止されているWindowsアプリ
ケーションを制御します。
Auto-fillHotkeyのCtrl+F2を制御します。
TypeandTransferHotkeyのCtrl+Shift+Hを制御します。
ホット・キーのCtrl+Shift+Bを制御します。
Security
Client
Security
Client Security
Security Solution
明
明
明
Solution
Solution
Solution ➙
➙
Password
➙
Password
➙ Password
Password Manager
次の表に、『ユーザー・インターフェース』のポリシー設定を示します。
コ
ン
ピ
ュ
ー
タ
の
構
成
➙
コ
ン
ピ
ュ
ー
タ
表 23. コ
コ ン
ン ピ
ピ ュ
ポ
リ
シ
ー
ポ
ポ
ポリ
Fingerprintsoftwareoption
Fileencryptionoption
Securitysettingsauditoption
Digitalcertificatetransferoption
Changesecuritychipstatusoption
Clearsecuritychiplockoutoption
Policymanageroption
Reset/Configuresettingsoption
Passwordmanageroption
HardwarePasswordResetoption
Windowspasswordrecoveryoption
Changeauthenticationmodeoption
Enable/disableWindowspasswordrecovery
option
Enable/disablePasswordManageroption
設
リ
シ
ー
設
リシ
シー
ー設
設定
の
ュ ー
ー タ
タ の
の 構
定
定
定説
成
➙
成 ➙
➙ ThinkVantage
ThinkVantage
ThinkVantage
ThinkVantage ➙
構
構 成
➙
Client
➙
➙ Client
説
説
説明
ClientSecuritySolutionアプリケーションの指紋認証ソフトウェアのオプ
ションを表示するか、ぼかすか、非表示にします。デフォルト:表示。
ClientSecuritySolutionアプリケーションのファイル暗号化オプションを表
示するか、ぼかすか、非表示にします。デフォルト:表示。
ClientSecuritySolutionアプリケーションのセキュリティー設定の監査オプ
ションを表示するか、ぼかすか、非表示にします。デフォルト:表示。
ClientSecuritySolutionアプリケーションのディジタル証明書の転送オプ
ションを表示するか、ぼかすか、非表示にします。デフォルト:表示。
ClientSecuritySolutionアプリケーションのセキュリティー・チップの状
態オプションを表示するか、ぼかすか、非表示にします。デフォル
ト:表示。
ClientSecuritySolutionアプリケーションのセキュリティー・チップのロッ
クアウト・オプションを表示するか、ぼかすか、非表示にします。
デフォルト:表示。
ClientSecuritySolutionアプリケーションのPolicymanagerオプションを表
示するか、ぼかすか、非表示にします。デフォルト:表示。
ClientSecuritySolutionアプリケーションの構成ウィザード・オプションを
表示するか、ぼかすか、非表示にします。デフォルト:表示。
ClientSecuritySolutionアプリケーションのPasswordmanagerオプションを
表示するか、ぼかすか、非表示にします。デフォルト:表示。
ClientSecuritySolutionアプリケーションのハードウェア・パスワードの
リセット・オプションを表示するか、ぼかすか、非表示にします。
デフォルト:表示。
ClientSecuritySolutionアプリケーションのWindowsパスワードの復元オ
プションを表示するか、ぼかすか、非表示にします。デフォルト:表示。
ClientSecuritySolutionアプリケーションの認証モードの変更オプションを
表示するか、ぼかすか、非表示にします。デフォルト:表示。
ClientSecuritySolutionアプリケーションの、Windowsパスワードの復元
を有効/無効にするためのオプションを表示するか、ぼかすか、非表
示にします。デフォルト:表示。
ClientSecuritySolutionアプリケーションの、PasswordManagerを有効/無効
にするためのオプションを表示するか、ぼかすか、非表示にします。
デフォルト:表示。
Security
Client
Security
Client Security
Security Solution
明
明
明
Solution
Solution
Solution ➙
➙
ユ
ー
ザ
➙
ユ
ー
➙ ユ
ザ
ユ ー
ー ザ
ザ ー
Manager
Manager
Manager ( 続 き )
ー
・
イ
ン
ー
ー ・
タ
・
イ
ン
タ
・ イ
イ ン
ン タ
タ ー
ー
フ
ェ
ー
ー
ー フ
ス
フ
ェ
ー
ス
フ ェ
ェ ー
ー ス
ス
第3章.ClientSecuritySolutionでの作業45

ワ
ク
ー
ワ
クス
ーク
ワー
ワ
ー
テ
ス
ーシ
テー
ステ
ン
ョ
シ
ン・
ョン
ショ
キ
セ
・
キュ
セキ
・セ
テ
リ
ュ
ティ
リテ
ュリ
・
ー
ィ
・ツ
ー・
ィー
ル
ー
ツ
ル
ール
ツー
ル
ー
ツ
・
ー
ィ
テ
リ
ュ
キ
セ
・
ン
ョ
シ
ー
テ
ス
ク
ー
次の表に、『ワークステーション・セキュリティー・ツール』のポリシー設定を示します。
コ
ン
ピ
ュ
ー
タ
の
構
成
➙
コ
ン
ピ
ュ
ー
タ
の
表 24. コ
コ ン
ン ピ
ピ ュ
ュ ー
ポ
リ
シ
ー
ポ
リ
シ
ー
ポ
ポリ
リシ
シー
ー設
HardwarePasswordsHardwarePasswords
HardwarePasswordsPower-OnPassword
HardwarePasswordsHardDrivePassword
HardwarePasswordsAdministratorPassword
WindowsUsersPasswordsWindowsUsersPasswords
WindowsUsersPasswordsPassword
WindowsUsersPasswordsPasswordAge
WindowsUsersPasswordsPasswordneverexpires
WindowsPasswordPolicyWindowsPasswordPolicy
WindowsPasswordPolicyMinimumnumberofcharacters
WindowsPasswordPolicyMaximumpasswordage
ScreenSaverScreenSaver
ScreenSaver
ScreenSaver
FileSharingFileSharing
FileSharingAuthorizedaccess
ClientSecurityClientSecurity
ClientSecurityEmbeddedSecurityChip
ClientSecurityClientSecuritySolutionVersion
構
ー タ
タ の
の 構
構 成
ThinkVantage
成
➙
ThinkVantage
成 ➙
➙ ThinkVantage
ThinkVantage ➙
設
定
設
定
設定
定説
inthepassword
ScreenSaverpasswordset
ScreenSavertimeout
➙
Client
➙
➙ Client
Security
Client
Security
Client Security
Security Solution
Solution
Solution
Solution ➙
説
説
説明
ハードウェア・パスワード情報の表示を有効または無効
にします。
推奨値を有効または無効として選択するか、この設定を
無視することを選択します。
推奨値を有効または無効として選択するか、この設定を
無視することを選択します。
推奨値を有効または無効として選択するか、この設定を
無視することを選択します。
Windowsユーザー・パスワード情報の表示を有効または
無効にします。
推奨値を有効または無効として選択するか、この設定を
無視することを選択します。
パスワードが許可される最大日数。
推奨値を『True』、『False』、または『Ignore』に設定
することができます。
Windowsパスワード・ポリシー情報の表示を有効または
無効にします。
パスワードの最小文字数を指定するか、この値を『無
視』します。
パスワードの最大使用日数(日数)を設定するか、結果で
この値を『無視』します。
Windowsパスワード・ポリシー情報の表示を有効または
無効にします。
パスワードの最小文字数を指定するか、この値を『無
視』します。
パスワードの最大使用日数(日数)を設定するか、結果で
この値を『無視』します。
ファイル共有情報の表示を有効または無効にします。
推奨値を『True』、『False』、または『Ignore』に設定
することができます。
ClientSecurity情報の表示を有効または無効にします。
推奨値を有効または無効として選択するか、この設定を
無視することを設定します。
ClientSecuritySolutionの最小推奨バージョンを設定する
か、『Ignore』を設定します。
➙
ワ
ー
ク
ス
テ
ー
シ
ョ
ン
・
セ
➙
ワ
ー
ク
ス
テ
ー
シ
➙ ワ
ワ ー
ー ク
ク ス
ス テ
明
明
明
ョ
テ ー
ー シ
シ ョ
ョ ン
キ
ン
・
セ
キ
ン ・
・ セ
セ キ
キ ュ
ュ
リ
テ
ィ
ー
・
ツ
ー
ュ
リ
テ
ィ
ュ リ
ー
リ テ
テ ィ
ィ ー
ー ・
ル
・
ツ
ー
ル
・ ツ
ツ ー
ー ル
ル
46ClientSecuritySolution8.3デプロイメント・ガイド

第
4
章
第
4
第
第4
4章
指紋コンソールはThinkVantage指紋認証ソフトウェア・インストール・フォルダーから実行する必要があ
ります。基本的な構文はFPRCONSOLE[USER|SETTINGS]です。USERコマンドまたはSETTINGSコマン
ドは、使用する操作モードを指定します。完全なコマンドは『fprconsoleuseraddTestUser』のようにな
ります。コマンドがわからない場合やすべてのパラメーターが指定されていない場合は、短いコマン
ド・リストがパラメーターと共に表示されます。
ThinkVantageFingerprintSoftware、インストールの説明、管理コンソール、および関連するすべての資料
は、以下のWebサイトで入手できます。
http://www.lenovo.com/support
管
理
コ
管
理
コ
管
管理
理コ
コン
このセクションでは、ユーザー固有コマンドとグローバル設定のコマンドに関する情報を提供します。
ユ
ー
ザ
ユ
ー
ザ
ユ
ユー
ーザ
ザー
ユーザーの登録や編集を行う場合は、USERセクションを使用します。現行ユーザーが管理者権限を持っ
ていない場合、コンソールの振る舞いは指紋認証ソフトウェアのセキュリティー・モードによって異なり
ます。保護モード:どのコマンドも許可されません。簡易モード:標準ユーザーでは、ADD、EDIT、
およびDELETEコマンドが使用できます。ただし、ユーザーは自分のパスポート(ユーザー名で登録)
しか変更できません。構文は次のとおりです。
FPRCONSOLEUSERcommand
ThinkVantage
章
ThinkVantage
章ThinkVantage
ThinkVantage指
ン
ソ
ー
ン
ソ
ー
ンソ
ソー
ール
ー
固
有
ー
固
有
ー固
固有
有コ
ル
・
ツ
ル
・
ツ
ル・
・ツ
ツー
コ
マ
ン
コ
マ
ン
コマ
マン
ンド
指
紋
認
証
ソ
フ
ト
ウ
ェ
ア
で
の
作
指
紋
認
証
ソ
フ
ト
ウ
ェ
ア
で
指紋
紋認
認証
証ソ
ソフ
フト
トウ
ウェ
ェア
アで
ー
ル
ー
ル
ール
ル
ド
ド
ド
の
での
の作
業
作
業
作業
業
ここで、commandはADD、EDIT、DELETE、LIST、IMPORT、EXPORTのいずれかのコマンドです。
表 25. ユ ー ザ ー 固 有 コ マ ン ド
コ
マ
ン
ド
コ
マ
ン
ド
コ
コマ
マン
ンド
ド構
新規ユーザーの登録
例
:
例
例
例: :
fprconsoleuseradd
domain0testuser
fprconsoleuseradd
testuser
登録ユーザーの編集
例
:
例
例
例: :
fprconsoleuseredit
domain0testuser
fprconsoleuseredit
testuser
構
文
構
文
構文
文説
ADD[username[|domain
username]]
EDIT[username[|domain
username]]
説
明
説
明
説明
明
ユーザー名が指定されない場合は、現
行ユーザー名が使用されます。
ユーザー名が指定されない場合は、現
行ユーザー名が使用されます。
注
:
注
:
注
注:
:登録されるユーザーはまず自分の
指紋を検査する必要があります。
©CopyrightLenovo2008,2011
47

表 25. ユ ー ザ ー 固 有 コ マ ン ド ( 続 き )
コ
マ
ン
ド
コ
マ
ン
ド
コ
コマ
マン
ンド
ド構
ユーザーの削除
例
:
例
例
例: :
fprconsoleuserdelete
domain0testuser
fprconsoleuserdelete
testuser
fprconsoleuserdelete
/ALL
登録ユーザーの列挙
構
文
構
文
構文
文説
DELETE[username[|domain
username|/ALL]]
List
説
明
説
明
説明
明
/ALLフラグは、このPCに登録され
ているすべてのユーザーを削除しま
す。ユーザー名が指定されない場合
は、現行ユーザー名が使用されます。
登録されたユーザーをリストします。
登録ユーザーのファイルへの
エクスポート
登録ユーザーのインポート
グ
ロ
ー
バ
ル
設
定
グ
ロ
ー
バ
グ
グロ
ロー
指紋認証ソフトウェアのグローバル設定は、SETTINGSセクションによって変更できます。このセクショ
ンのすべてのコマンドには、管理者権限が必要です。構文は次のとおりです。
FPRCONSOLESETTINGScommand
ここで、commandはSECUREMODE、LOGON、CAD、TBX、SSOのいずれかのコマンドです。
表 26. グ ロ ー バ ル 設 定 の コ マ ン ド
コ
マ
ン
コ
マ
ン
コ
コマ
マン
ンド
セキュリティー・モード
例
:
例
例
例: :
Tosettoconvenientmode:
fprconsolesettings
securemode0
ログオン・タイプ
CTRL+ALT+DELメッセージ
ル
ーバ
バル
ル設
ド
ド
ド構
の
設
定
の
設定
定の
のコ
構文:EXPORTusername
[|domainusername]le
構文:IMPORTleこのコマンドは指定したファイルから
コ
マ
ン
コ
コマ
ド
マ
ン
ド
マン
ンド
ド
構
文
構
文
構文
文説
SECUREMODE0|1
LOGON0|1[/FUS]
CAD0|1
このコマンドは、登録ユーザーをハー
ドディスクのファイルにエクスポー
トします。ユーザーは次に、別のPC
上、またはユーザーが削除されてい
る場合は同じPC上のIMPORTコマン
ドを使用してインポートできます。
ユーザーをインポートします。
注
:
注
:
注
注:
:ファイル上のユーザーが同じ指紋
を使用してすでに同じPCに登録され
ている場合は、識別操作でどちらの
ユーザーが優先順位を持つかは保証
されません。
説
明
説
明
説明
明
この設定は、指紋認証ソフトウェアの簡易
モードと保護モードを切り替えます。
この設定は、ログオン・アプリケーション
を使用可能(1)、または使用不可(0)にしま
す。/FUSパラメーターを使用する場合、
PCの構成上可能であれば、ユーザーの簡
易切り替えモードでログオンが可能です。
この設定は、ログオンでの『Ctrl+Alt+Delete
を押す』テキストを使用可能(1)、または
使用不可(0)にします。
48ClientSecuritySolution8.3デプロイメント・ガイド

表 26. グ ロ ー バ ル 設 定 の コ マ ン ド ( 続 き )
コ
マ
ン
ド
コ
マ
ン
ド
コ
コマ
マン
ンド
ド構
パワーオン・セキュリティー
パワーオン・セキュリティー・シン
グル・サインオン
保
護
モ
ー
ド
お
よ
び
簡
保
護
モ
ー
ド
お
保
保護
護モ
モー
ード
ドお
指紋認証ソフトウェアは、保護モードと簡易モードの2つのセキュリティー・モードで実行すること
ができます。保護モードは、より高レベルのセキュリティーが必要な状況を対象としています。特定
の機能は管理者にのみ、確保されています。追加認証をせず、パスワードを使用してログオンできる
のは管理者だけです。
簡易モードは高レベルのセキュリティーをそれほど重要視しない、家庭用PCを対象にしています。すべ
てのユーザーは、他のユーザーのパスポートの編集およびパスワードを使用して(指紋認証は行わない)
システムにログオンするなどの、すべての操作を実行できます。
よ
およ
よび
易
び
簡
び簡
易
簡易
易モ
構
文
構
文
構文
文説
TBX0|1
SSO0|1
モ
ー
ド
モ
ー
ド
モー
ード
ド
説
明
説
明
説明
明
この設定は、FingerprintSoftwareのパワー
オン・セキュリティー・サポートをグロー
バルにオフ(0)にします。パワーオン・
セキュリティー・サポートがオフになっ
ている場合は、BIOS設定に関係なく、パ
ワーオン・セキュリティー・ウィザード
やパワーオン・セキュリティー・ページ
は表示されません。
この設定は、ユーザーがBIOSで検査され
た際に、自動的にユーザーをログオンさ
せるためのlogonで、BIOSで使用される
指紋を使用可能(1)、または使用不可(0)
にします。
管 理 者
けが簡易モードに切り替えることができます。
保
保
保
保護
セキュリティーを強化するために、ログオンのとき、誤ったユーザー名やパスワードが入力された場
合は、保護モードでは次のメッセージが表示されます。『ユーザー名とパスワードでこのPCにログ
オンできるのは管理者だけです。』
表 27. 保 護 モ ー ド で の 管 理 者 用 オ プ シ ョ ン
は、ローカル管理者グループの任意のメンバーです。保護モードを設定した後は、管理者だ
護
モ
ー
ド
-
管
理
護
モ
ー
ド
-
護モ
モー
ード
指
紋
指
紋
指
指紋
紋説
新規パスポートの作成管理者は自分のパスポートを作成することができ、
パスポートの編集管理者は自分のパスポート
パスポートの削除管理者はすべての制限ユーザーとその他の管理者のパス
パワーオン・セキュリティー
ド-
管
-管
管理
者
理
者
理者
者
説
明
説
明
説明
明
また、制限ユーザーのパスポートも作成することがで
きます。
だ け
を編集できます。
ポートを削除できます。他のユーザーがパワーオン・セ
キュリティーを使用している場合、管理者はパワーオ
ン・セキュリティーからユーザー・テンプレートをオプ
ションで削除することができます。
管理者は、パワーオンで使用される制限ユーザーおよび
管理者の指紋を削除することができます。
注
:
注
:
注
注:
:パワーオン・モードが使用可能な場合は、少なくと
も1つの指紋がなければなりません。
設
定
設
定
設
設定
定
第4章.ThinkV antage指紋認証ソフトウェアでの作業49

表 27. 保 護 モ ー ド で の 管 理 者 用 オ プ シ ョ ン ( 続 き )
指
紋
指
紋
指
指紋
紋説
ログオン設定管理者はすべてのログオン設定を変更できます。
保護スクリーン・セーバー管理者はアクセスできます。
説
明
説
明
説明
明
パスポート・タイプ
セキュリティー・モード
Proサーバー
保
護
モ
ー
ド
-
制
限
ユ
ー
ザ
保
護
モ
ー
ド
-
制
限
保
保護
護モ
モー
ード
ド-
-制
Windowsにログオン中は、制限ユーザーはログオンに指紋を使用する必要があります。制限ユーザーの指
紋センサーが作動していない場合は、管理者は指紋認証ソフトウェアの設定を簡易モードに変更して、
ユーザー名とパスワードによるアクセスを可能にする必要があります。
表 28. 保 護 モ ー ド で の 制 限 ユ ー ザ ー 用 オ プ シ ョ ン
設
定
設
定
設
設定
定説
新規パスポートの作成制限ユーザーはアクセスできません。
パスポートの編集制限ユーザーは自分のパスポートだけを編集できます。
パスポートの削除制限ユーザーは自分のパスポートだけを削除できます。
パワーオン・セキュリティー
ログオン設定
保護スクリーン・セーバー
ユ
制限
限ユ
ユー
ー
ー
ザ
ー
ーザ
ザー
ー
管理者はアクセスできます-サーバーと関連ある場合
のみです。
管理者は保護モードと簡易モードを切り替えることが
できます。
管理者はアクセスできます-サーバーと関連ある場合
のみです。
説
明
説
明
説明
明
制限ユーザーはアクセスできません。
制限ユーザーはログオン設定を変更できません。
制限ユーザーはアクセスできます。
パスポート・タイプ
セキュリティー・モード
Proサーバー
簡
易
モ
ー
ド
-
管
理
簡
易
モ
ー
ド
簡
簡易
易モ
モー
ード
Windowsへのログオン中は、管理者はユーザー名とパスワードを使用しても、指紋を使用してもログ
オンできます。
表 29. 簡 易 モ ー ド で の 管 理 者 用 オ プ シ ョ ン
設
定
設
定
設
設定
定説
新規パスポートの作成管理者は自分のパスポート
パスポートの編集管理者は自分のパスポート
パスポートの削除管理者は自分のパスポート
パワーオン・セキュリティー
ド-
-
-管
者
管
理
者
管理
理者
者
制限ユーザーはアクセスできません。
制限ユーザーはセキュリティー・モードを変更でき
ません。
制限ユーザーはアクセスできます-サーバーと関連ある
場合のみです。
説
明
説
明
説明
明
だ け
を作成できます。
だ け
を編集できます。
だ け
を削除できます。
管理者は、パワーオンで使用される制限ユーザーおよび
管理者の指紋を削除することができます。
注
:
注
:
注
注:
:パワーオン・モードが使用可能な場合は、少なく
とも1つの指紋がなければなりません。
50ClientSecuritySolution8.3デプロイメント・ガイド

表 29. 簡 易 モ ー ド で の 管 理 者 用 オ プ シ ョ ン ( 続 き )
設
定
設
定
設
設定
定説
ログオン設定管理者はすべてのログオン設定を変更できます。
保護スクリーン・セーバー管理者はアクセスできます。
説
明
説
明
説明
明
パスポート・タイプ
セキュリティー・モード
Proサーバー
簡
易
モ
ー
ド
-
制
限
ユ
ー
ザ
簡
易
モ
ー
ド
-
制
限
簡
簡易
易モ
モー
ード
ド-
-制
Windowsへのログオン中は、制限ユーザーはユーザー名とパスワードを使用しても、指紋を使用して
もログオンできます。
表 30. 簡 易 モ ー ド で の 制 限 ユ ー ザ ー 用 オ プ シ ョ ン
設
定
設
定
設
設定
定説
新規パスポートの作成制限ユーザーは自分のパスワードだけを作成できます。
パスポートの編集制限ユーザーは自分のパスポートだけを編集できます。
パスポートの削除制限ユーザーは自分のパスポートだけを削除できます。
パワーオン・セキュリティー
ログオン設定
保護スクリーン・セーバー
ユ
制限
限ユ
ユー
ー
ー
ザ
ー
ーザ
ザー
ー
管理者はアクセスできます-サーバーと関連ある場合
のみです。
管理者は保護モードと簡易モードを切り替えることが
できます。
管理者はアクセスできます-サーバーと関連ある場合
のみです。
説
明
説
明
説明
明
制限ユーザーは自分の指紋だけを削除できます。
制限ユーザーはログオン設定を変更できません。
制限ユーザーはアクセスできます。
パスポート・タイプ
セキュリティー・モード
Proサーバー
構
成
可
能
な
設
構
成
可
構
構成
指紋認証ソフトウェアの一部のオプションはレジストリー設定で構成することができます。
起
起
起動
•起
有効にし、指紋をコンパニオン・チップに格納するための機構は、システムにBIOSまたはハード
ディスク・パスワードが設定されていない限り、通常は指紋認証ソフトウェアに表示されません。こ
の動作をオーバーライドし、BIOSまたはハードディスク・パスワードが設定されていなくてもこ
れらのオプションを強制的に表示させるには、レジストリーに以下のいずれか(使用しているコン
ピューター・マシン・タイプに適用されるもの)を追加します。
[HKEY_LOCAL_MACHINESOFTWAREProtectorSuiteQL1.0]
REG_DWORD"BiosFeatures"=2
または
[HKEY_LOCAL_MACHINESOFTWAREProtectorSuiteQL1.0]
能
成可
可能
能な
ワ
パ
/
前
動
動
動前
ワ
パ
/
前
ワー
パワ
/パ
前/
定
な
設
定
な設
設定
定
ー
タ
ン
イ
・
ア
ェ
ウ
ト
フ
ソ
時
ン
オ
ー
ン
オ
ー
ン時
オン
ーオ
フ
ソ
時
フト
ソフ
時ソ
ェ
ウ
ト
ェア
ウェ
トウ
イ
・
ア
イン
・イ
ア・
ー
タ
ン
ーフ
ター
ンタ
制限ユーザーはアクセスできません-サーバーと関連
ある場合のみです。
制限ユーザーはセキュリティー・モードを変更でき
ません。
制限ユーザーはアクセスできます-サーバーと関連ある
場合のみです。
ス
ー
ェ
フ
フ
フェ
ス
ー
ェ
ス:指紋の起動前またはパワーオン時サポートを
ース
ェー
第4章.ThinkV antage指紋認証ソフトウェアでの作業51

REG_DWORD"BiosFeatures"=4
この設定は、BIOSパスワードが設定されていないシステムにSafeGuardEasyがインストールされ、そ
のSafeGuardEasyがハードディスクを暗号化解除するのに指紋認証を利用している場合に役立ちます。
音
音
音:指紋認証ソフトウェアは、指紋認証プロセスの実行中のさまざまな状況下において、.wavファイル
•音
に含まれる音を再生するように構成できます。これらの音のレジストリー設定は次のとおりです。
[HKEY_L
OCAL_MACHINESOFTWAREPr
[HKEY_L [HKEY_L
OCAL_MACHINESOFTWAREPr OCAL_MACHINESOFTWAREPr
‘Success ’
REG_SZ“sndSuccess”=[pathtosoundle]
スワイプが正常に登録されると、指定のファイルが再生されます。
‘Failure’
REG_SZ“sndF ailure”=[pathtosoundle]
スワイプの試行に失敗すると、指定のファイルが再生されます。
HKEY_L
OCAL_MACHINESOFTWAREP
HKEY_L HKEY_L
OCAL_MACHINESOFTWAREP OCAL_MACHINESOFTWAREP
‘Scan’
REG_SZ“sndScan”=[pathtosoundle]
ClientSecuritySolution関連の操作を行って指紋検証の
ダイアログが表示されると、指定のファイルが再生されます。
値が指定されていないか、空であると、サウンドは再生されません。
Quality’
REG_SZ“sndQuality”=[pathtosoundle]
読み取り不可能なスワイプが発生すると、指定のファイルが再生されます。
値が指定されていないか、空であると、サウンドは再生されません。
除
解
ク
ッ
ロ
・
ム
テ
ス
シ
シ
シス
•シ
は、保存されているパスワードが指紋認証ソフトウェアによって有効性が検証されます。有効性検証
では、ドメイン・コントローラーと連絡を取る必要があり、遅延が生じる可能性があります。遅延
を回避するには、システム・ロック解除中に次のようにレジストリーを編集して、パスワードの有
効性検証を無効にします。
[HKEY_LOCAL_MACHINESOFTWAREProtectorSuiteQL1.0settings]
REG_DWORD"DoNotTestUnlock"=1
ム
テ
ス
ム・
テム
ステ
ッ
ロ
・
ック
ロッ
・ロ
除
解
ク
除中
解除
ク解
o oot tte eec cct ttor ororSuit Suit
ol ololic icicie ieies ssngerpr ngerpr
パ
の
中
パ
の
中
パス
のパ
中の
Suit
QL1
.0se
e eeQL1 QL1
ngerpr
ー
ワ
ス
ワ
ス
ワー
スワ
t
in inint t
有
の
ド
有
の
ド
ー
ード
有効
の有
ドの
ings]
.0se .0se
t ttt ttings] ings]
証
検
性
効
効
効性
証
検
性
証:デフォルトでは、システム・ロック解除中に
検証
性検
FingerprintSoftwareはシステム・ログオン時には、引き続きパスワードの有効性を検証します。
:
注
:
注
:上記のレジストリー・キーを1に設定すると、ドメイン管理者がユーザーのシステムをロックす
注:
注
る時期を変更した場合は、ユーザーがログオフして再度ログオンするまで、指紋認証ソフトウェア
には旧パスワードが保存されます。
指
紋
認
証
ソ
フ
ト
ウ
ェ
ア
お
よ
び
指
紋
認
証
ソ
フ
ト
ウ
ェ
ア
お
指
指紋
紋認
認証
証ソ
ソフ
フト
トウ
ウェ
ェア
競合を防止するために、指紋認証ソフトウェアおよびNovellNetWareClientのユーザー名とパスワー
ドは一致する必要があります。お使いのPCに指紋認証ソフトウェアがインストールしてあり、Novell
NetwareClientをインストールする場合は、レジストリーの一部の項目が上書きされることがあります。指
紋認証ソフトウェアのログオンで問題が発生した場合は、ログオン設定画面に移動して、ログオン・
プロテクターを再度使用可能にしてください。
お使いのPCにNovellNetwareClientがインストールされていても、指紋認証ソフトウェアのインストール
前にクライアントPCにログオンしていなかった場合、Novellのログオン画面が表示されます。画面
で、必要な情報を入力してください。
:
注
:
注
:このセクションの情報はThinkVantage指紋認証ソフトウェア専用です。
注:
注
ログオン・プロテクター設定を変更するには、次のようにします。
52ClientSecuritySolution8.3デプロイメント・ガイド
よ
アお
およ
よび
Novell
び
Novell
びNovell
NovellNetware
Netware
Netware
NetwareClient
Client
Client
Client

•『コントロールセンター』を開始する。
定
設
定
設
定』をクリックする。
設定
•『設
定
設
ン
オ
グ
ロ
オ
グ
ロ
オン
グオ
ログ
•『ロ
•ログオン・プロテクターを使用可能または使用不可にする。
指紋ログオンを使用したい場合は、『Windowsログオン認証を通常のパスワード認証から指紋認証に置
き換える』チェック・ボックスにチェック・マークを付けます。
:
注
:
注
:ログオン・プロテクターを使用可能、または使用不可にするには、再起動が必要です。
注:
注
•お使いのシステムでユーザーの簡易切り替えがサポートされている場合は、これを使用可能また
は使用不可にする。
•(オプション機能)パワーオン・セキュリティーによって認証されたユーザーの自動ログオンを使用可
能または使用不可にする。
•Novellログオン設定を設定する。Novellネットワークにログオンする場合は、次の設定が使用可能です。
化
動
活
化
動
活
化
動化
活動
–活
指紋認証ソフトウェアは自動的に既知のクレデンシャルを提供します。Novellのログオンが失敗する
と、NovellClientログオン画面が表示され、正しいデータの入力を要求するプロンプトが出されます。
オ
グ
ロ
オ
グ
ロ
オン
グオ
ログ
–ロ
指紋認証ソフトウェアはNovellClientログオン画面を表示して、ログオン・データの入力を要求す
るプロンプトを出します。
効
無
効
無
効
無効
–無
指紋認証ソフトウェアはNovellログオンを試行しません。
定
設
ン
定』をクリックする。
設定
ン設
問
質
の
中
ン
中
ン
中の
ン中
問
質
の
問
質問
の質
認
証
認
証
認
認証
証
Novellを指紋認証ソフトウェアに引き渡すには、次のステップを実行します。
1.指紋認証ソフトウェアをインストールする。
2.NovellNetwareClientをインストールする。
い
は
い
は
い』をクリックしてログオンする。
3.プロンプトが出されたら、『は
4.再起動する。
5.プロンプトが出されたら、『はい』をクリックして指紋認証ソフトウェアにログオンする。
6.NovellNetwareClientを起動する。
7.サーバーに対して認証を行う。
8.Windowsにログオンする。
9.再起動する。
:
注
:
注
:WindowsとNovellの認証IDおよびパスワードは同じでなければなりません。
注:
注
ThinkVantage
ThinkVantage
ThinkVantage
ThinkVantage指
ThinkVantage指紋認証ソフトウェアのインストール後、upeksvr.exeサービスがシステムに追加されます。
起動中に実行が開始されて、ユーザーがログオンしている間中、実行が続けられます。upeksvr.exeサー
ビスは、ThinkVantage指紋認証ソフトウェアのコアで、デバイスとユーザーのデータに対してすべて
の操作を実行します。また、すべての生体測定検査のGUIを提供し、ユーザーのデータに対するアク
セスをセキュアにします。
指
紋
認
指
紋
認
指紋
紋認
認証
はい
証
ソ
フ
ト
ウ
ェ
ア
の
サ
ー
ビ
証
ソ
フ
ト
ウ
ェ
ア
の
証ソ
ソフ
フト
トウ
ウェ
ェア
サ
アの
のサ
サー
ス
ー
ビ
ス
ービ
ビス
ス
第4章.ThinkV antage指紋認証ソフトウェアでの作業53

54ClientSecuritySolution8.3デプロイメント・ガイド

第
5
章
第
5
第
第5
5章
指紋コンソールは、LenovoFingerprintSoftwareインストール・フォルダーから実行する必要があります。
基本的な構文はFPRCONSOLE[USER|SETTINGS]です。USERコマンドまたはSETTINGSコマンドは、ど
の操作セットを使用するかを指定します。完全なコマンドは『fprconsoleuseraddTestUser』のようにな
ります。コマンドがわからない場合やすべてのパラメーターが指定されていない場合は、短いコマン
ド・リストがパラメーターと共に表示されます。
LenovoFingerprintSoftware、インストールの説明、管理コンソール、および関連するすべての資料は、以
下のLenovoWebサイトで入手できます。
http://www.lenovo.com/support
管
理
コ
管
理
コ
管
管理
理コ
コン
LenovoFingerprintSoftwareの管理コンソール・ツールについては、47ページの『管理コンソール・ツー
ル』を参照してください。
Lenovo
章
Lenovo
章Lenovo
LenovoFingerprint
ン
ソ
ー
ン
ソ
ー
ンソ
ソー
ール
Fingerprint
Fingerprint
FingerprintSoftware
ル
・
ツ
ー
ル
・
ル・
・ツ
ル
ツ
ー
ル
ツー
ール
ル
Software
Software
Softwareで
で
の
作
で
の
での
の作
業
作
業
作業
業
Lenovo
Lenovo
Lenovo
LenovoFingerprint
:
注
:
注
:LenovoFingerprintSoftwareは、システム上のターミナル・サービスを必要とします。ターミナル・
注:
注
サービスをオフにすると、LenovoFingerprintSoftwareで予期しない結果が生じる可能性があります。
LenovoFingerprintSoftwareのインストール後、以下のサービスがシステムに追加されます。
•ATService.exe(デフォルトでオン)
指紋認証システムを使用するには、ATService.exeサービスをオンにする必要があります。このサービ
スは、指紋センサーを使用してアプリケーションからの要求を管理します。
•データ転送サービス(デフォルトでオン)
データ転送サービスまたはATService.exeサービスが異常終了する場合、LenovoFingeprintSoftwareは予
期どおりに動作しません。
•ADMonitor.exe(デフォルトでオフ)
ActiveDirectory管理をサポートするには、ADMonitor.exeサービスをオンにする必要があります。この
サービスは、ActiveDirectoryから伝搬された変更がないかレジストリーをモニターし、ローカルで
その変更を反映させます。
Lenovo
Lenovo
Lenovo
LenovoFingerprint
次の表に、LenovoFingerprintSoftwareのポリシー設定を示します。
表 31. ポ リ シ ー 設 定
設
定
設
定
設
設定
定説
Fingerprint
Fingerprint
FingerprintSoftware
Fingerprint
Fingerprint
FingerprintSoftware
Software
Software
Softwareの
Software
Software
Softwareの
の
サ
ー
ビ
の
サ
のサ
サー
の
Active
の
Active
のActive
ActiveDirectory
ス
ー
ビ
ス
ービ
ビス
ス
Directory
Directory
Directoryサ
説
明
説
明
説明
明
サ
ポ
ー
サ
サポ
ト
ポ
ー
ト
ポー
ート
ト
指紋ログオンを有効にする/無効にするコンピューターにログインするためにWindowsパスワー
ドではなく、指紋を使用するように指定します。これを
使用可能に設定した場合、さらに使用可能または使用不
可に設定できる2つのオプションがあります。
Disable
©CopyrightLenovo2008,2011
CTRL+ALT+DEL
Disable
•Disable
Ctrl+Alt+Deleteを押してログインするように指示する
メッセージがオフになります。(WindowsXPでのみ
使用可能です)
CTRL+ALT+DEL
DisableCTRL+ALT+DEL
CTRL+ALT+DELdialog
このオプションを選択すると、ユーザーに
dialog
dialog
dialogfor
for
logon
for
forlogon
interface
logon
interface
logoninterface
interface
55

表 31. ポ リ シ ー 設 定 ( 続 き )
設
定
設
定
設
設定
定説
説
明
説
明
説明
明
指紋認証後のパスワードの取得を許可する
パワーオン・セキュリティ・オプションを常に表示する
パワーオン・パスワードとHDパスワードの代わりに
指紋認証を使用する
ロックアウトされる前に許可するログオン試行回数
を設定する
非活動期間を設定する
ユーザーの指紋登録を許可する
Require
Require
•Require
Requirenon-administrator
authentication
authentication
authentication
authentication
このオプションを選択した場合、管理者以外のユー
ザーは、指紋を使用したログインのみが可能にな
ります。
これを使用可能に設定した場合、ユーザーは、指紋認証
後に、LenovoFingerprintSoftwareでユーザーのアカウン
トのWindowsパスワードを表示できます。
これを使用可能に設定した場合、コンピューターがオ
ンになったとき、ユーザーは、パワーオン・パスワー
ドとハードディスク・ドライブ・パスワードではなく
指紋センサーを使用するように選択できます。Lenovo
FingerprintSoftwareの登録ウィンドウで、登録する各指
ごとに、パワーオン指紋認証を使用可能または使用不
可に設定できます。
これを使用可能に設定すると、パワーオンおよびハー
ドディスク・ドライブのパスワードではなく、指紋認
証が使用されます。
ユーザーがロックアウトされる前に許可するログオン試
行失敗の数を設定し、ユーザーがロックアウトされる期
間(秒単位)も設定します。
ユーザーがログオフするまでに許可されるシステムの
非活動期間(秒単位)を設定します。
これを使用可能に設定した場合、管理者以外のユー
ザーは、LenovoFingerprintSoftwareを使用して指紋を
登録できます。
non-administrator
non-administrator
non-administratoruser
user
logon
with
user
logon
userlogon
logonwith
fingerprint
with
fingerprint
withfingerprint
fingerprint
ユーザーによる指紋削除を許可するこれを使用可能に設定した場合、管理者以外のユーザー
は、LenovoFingerprintSoftwareを使用して、以前に登録
した指紋を削除できます。
Allowuserstoimport/exportfingerprints
指紋認証ソフトウェアの『設定』タブの要素を表示
する/隠す
これを使用可能に設定した場合、管理者以外のユーザー
は、LenovoFingerprintSoftwareを使用して、以前に登録
した指紋をインポートおよびエクスポートできます。
これを使用可能に設定した場合、IT管理者は、指紋認証
ソフトウェアの設定GUIを制御できます。
56ClientSecuritySolution8.3デプロイメント・ガイド

第
6
章
ベ
ス
ト
・
プ
ラ
ク
テ
ィ
第
6
章
ベ
ス
ト
・
プ
ラ
ク
第
第6
6章
章ベ
ベス
スト
ト・
・プ
プラ
ラク
この章では、ClientSecuritySolutionおよびFingerprintSoftwareのベスト・プラクティスを示すシナリオ
を提示します。このシナリオでは、ハードディスク・ドライブの設定から始まり、何回かの更新を行
い、デプロイメントまでの手順を説明しています。Lenovoおよび他社製の両方のPCでのインストール
を説明します。
テ
クテ
ティ
ス
ィ
ス
ィス
ス
Client
Client
Client
ClientSecurity
次のセクションでは、ClientSecuritySolutionをデスクトップ・コンピューターとノートブック・コン
ピューターの両方にインストールする場合の例をいくつか挙げます。
シ
シ
シ
シナ
これは、各製品を次のような仮定のカスタマー要件でデスクトップPCにインストールする場合の例です。
•Administration
•Client
Security
Security
SecuritySolution
ナ
リ
オ
ナ
リ
オ
ナリ
リオ
オ1
Administration
Administration
Administration
PCの管理にローカル管理者アカウントを使用
Security
Client
Security
Client
SecuritySolution
ClientSecurity
–エミュレーション・モードでのインストールおよび実行
LenovoのPCすべてがTPM(セキュリティー・チップ)を備えているわけではありません。
–ClientSecurityパスフレーズを使用可能に設定
パスフレーズによってClientSecuritySolutionアプリケーションを保護します。
–ClientSecurityWindowsログオンを使用可能に設定
ClientSecurityパスフレーズでWindowsにログインします。
–エンド・ユーザー・パスフレーズのリカバリー機能を使用可能に設定
ユーザーが、自分で決めた3つの質問に答えることによって、パスフレーズを復元できるように
します。
–パスワード(XMLscriptPWなど)を使用したClientSecuritySolutionXMLスクリプトの暗号化
ClientSecuritySolution構成ファイルをパスワードで保護します。
–指紋認証ソフトウェアのインストールはオプション
1
1
1
Solution
Solution
Solutionを
Solution
Solution
Solution
を
イ
ン
ス
ト
ー
ル
す
る
場
合
の
デ
プ
ロ
イ
メ
ン
を
イ
ン
ス
ト
ー
ル
す
る
場
合
の
デ
プ
ロ
をイ
イン
ンス
スト
トー
ール
ルす
する
る場
場合
合の
のデ
デプ
イ
プロ
ロイ
イメ
ト
メ
ン
ト
メン
ント
ト例
例
例
例
準
マ
備
準
マシ
備マ
準備
準
1.ローカル管理者アカウントでWindowsにログインします。
2.ClientSecuritySolutionを、次のコマンドを使用してインストールします。
tvtcss83_xxxx.exe/s/v"/qn"EMULATIONMODE=1""NOCSSWIZARD=1"
(ここで、
3.コンピューターを再起動し、ローカル管理者アカウントを使用してWindowsにログインします。
4.以下を実行して、デプロイメント用のXMLスクリプトを作成します。
a.次のコマンドを実行します。
b.以下を実行して、ウィザードで構成を行います。
©CopyrightLenovo2008,2011
で
ン
シ
で以
ンで
シン
"C:ProgramFilesLenovoClientSecuritySolutioncss_wizarde.exe"
/name:C:ThinkCentre
1)セ
2)管理者アカウント用のWindowsパスワード(WPW4Adminなど)を入力して、『次
を
下
以
を実
下を
以下
XXXX
ュ
キ
セ
ュ
キ
セ
ュア
キュ
セキ
リックします。
し
行
実
しま
行し
実行
はビルドIDです)。
ロ
・
ア
ロ
・
ア
ログ
・ロ
ア・
。
す
ま
。
す。
ます
へ
次
➙
ド
ッ
ソ
メ
・
ン
オ
グ
オ
グ
オン
グオ
メ
・
ン
メソ
・メ
ン・
ド
ッ
ソ
ド➙
ッド
ソッ
へ
次
➙
へをクリックします。
次へ
➙次
次
次
次へ
へ
へ
へ』をク
。
す
ま
し
行
実
を
下
以
で
ン
シ
マ
備
57

3)管理者アカウント用のClientSecurityパスフレーズ(CSPP4Adminなど)を入力して、『Client
Recovery
Security
Security
Securityパ
Security
る
る
る』オプションを選択してから、『次
る
パ
ス
パ
スフ
パス
ー
レ
フ
ーズ
レー
フレ
使
を
ズ
使用
を使
ズを
て
し
用
て、
して
用し
て
し
用
使
を
ズ
ー
レ
フ
ス
Rescue
、
Rescue
、
Rescueand
、Rescue
and
Recovery
and
Recoveryワ
andRecovery
へ
次
へ
次
へ』をクリックします。
次へ
4)管理者アカウント用の3つの質問に答えてから、『次
ワ
ワ
ワー
次
次
次へ
ス
ク
ー
スペ
クス
ーク
へ
へ
へ』をクリックします。質問の例
ス
ー
ペ
スへ
ース
ペー
ク
ア
の
へ
クセ
アク
のア
への
ス
セ
スを
セス
ス
セ
ク
ア
の
へ
ス
ー
ペ
ス
ク
ー
を以下に記します。
a)初めて飼ったペットの名前は?
b)好きな映画は?
c)好きなスポーツ・チームは?
用
適
用
適
用』を選択して、XMLファイルを次の場所に保存します。
5)要約を確認し、『適
適用
C:ThinkCentre.xml
了
完
了
完
了』をクリックしてウィザードを閉じます。
完了
6)『完
5.テキスト・エディター(XMLスクリプト・エディター、またはXML形式をサポートしている
MicrosoftWord2003プログラム)でThinkCentre.xmlファイルを開いて、ドメイン設定へのすべての参
照を除去してから、ファイルを保存します。これにより、スクリプトは、各システムで代わりに
ローカル・マシン名を使用します。
6.C:ProgramFilesLenovoClientSecuritySolutionディレクトリーのxml_crypt_tool.exeツールを使用し
て、次のようにXMLスクリプトをパスワードで暗号化します。
xml_crypt_tool.exeC:ThinkCentre.xml/encryptXMLScriptPW
これでファイルはC:ThinkCentre.xml.encとなり、パスワードXMLScriptPWで保護され、デプロイメ
ント・マシンに追加する準備が整いました。
Client
Client
Client
す
護
保
を
を
を保
す
護
保
す
護す
保護
デ
ロ
プ
デ
ロイ
プロ
デプ
デ
ン
メ
イ
ント
メン
イメ
マ
・
ト
マシ
・マ
ト・
で
ン
シ
で以
ンで
シン
を
下
以
を実
下を
以下
し
行
実
しま
行し
実行
。
す
ま
。
す。
ます
。
す
ま
し
行
実
を
下
以
で
ン
シ
マ
・
ト
ン
メ
イ
ロ
プ
1.ローカル管理者アカウントでWindowsにログインします。
2.RescueandRecoveryおよびClientSecuritySolutionを、次の構文でインストールします。
setup_tvtrnr40_xxxxcc.exe/s/v"/qn"EMULATIONMODE=1""NOCSSWIZARD=1"
(ここで、
:
注
:
注
:
注:
注
xxxx
はビルドIDで、
cc
は国別コードです。)
a.WindowsXPではZ652ZIXxxxxyy00.tvt、WindowsVistaまたはWindows7ではZ633ZISxxxxyy00.tvt
(xxxxはビルドID、yyは国IDです)などのTVTファイルが実行可能ファイルと同じディレクト
リーにあることを確認します。同じディレクトリーにない場合、インストールは失敗します。
b.管理者用インストールを実行する場合は、57ページの『シナリオ1』を参照してください。
3.コンピューターを再起動し、ローカル管理者アカウントを使用してWindowsにログインします。
4.先に作成したThinkCentre.xml.encファイルをC:のルート・ディレクトリーに追加します。
5.RunOnceExコマンドを、以下のパラメーターを指定して作成します。
a.RunonceExキーの後に0001という新規キーを追加します。
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRunOnceEx0001
b.このキーにCSSEnrollというストリング値名を追加します。
"C:ProgramFilesLenovoClientSecuritySolutionvmserver.exe"
C:ThinkCenter .xml.encXMLscriptPW
6.以下のコマンドを実行して、sysprepバックアップ用にシステムを準備します。
%rr%C:ProgramFilesLenovoRescueandRecoveryrrcmd.exe"
sysprepbackuplocation=Lname="SysprepBackup"
その後、システムでsysprepバックアップを行う準備が整うと以下の出力が表示されます。
58ClientSecuritySolution8.3デプロイメント・ガイド

*****************************************************
**Readytotakesysprepbackup.**
****
**PLEASERUNSYSPREPNOWANDSHUTDOWN.**
****
**Nexttimethemachineboots,itwillboot**
**tothePredesktopAreaandtakeabackup.**
*****************************************************
7.Sysprepを実行します。
8.シャットダウンしてから、コンピューターを再起動します。RescueandRecoveryワークスペースで、
バックアップ処理が開始されます。
:
注
:
注
:『復元が進行中ですが、バックアップが行われています』というメッセージが表示される場合、
注:
注
バックアップ後にコンピューターをシャットダウンし、再起動はしないでください。
9.これで、Sysprepの基本バックアップが完了しました。
シ
ナ
リ
オ
シ
ナ
リ
シ
シナ
ナリ
リオ
これは、各製品を次のような仮定のカスタマー要件でノートブック・コンピューターにインストー
ルする場合の例です。
Administration
Administration
Administration
•Administration
–旧バージョンのClientSecuritySolutionがインストールされているマシンにインストール
–PCの管理にドメイン管理者アカウントを使用
–すべてのコンピューターに、BIOSスーパーバイザー・パスワードBIOSpwを割り当て
Client
Client
ClientSecurity
•Client
2
オ
2
オ2
2
Security
Security
SecuritySolution
Solution
Solution
Solution
–TPMを活用
すべてのPCにセキュリティー・チップを搭載
–PasswordManagerを使用可能に設定
–ClientSecuritySolutionに対する認証として、ユーザーのWindowsパスワードを活用
–パスワード(XMLscriptPWなど)を使用したClientSecuritySolutionXMLスクリプトの暗号化
ClientSecuritySolution構成ファイルをパスワードで保護します。
ア
ェ
ウ
ト
フ
ソ
証
認
紋
ThinkVantage
ThinkVantage
ThinkVantage指
•ThinkVantage
–BIOSとハードディスク・ドライブのパスワードを使用しない
–ThinkVantageFingerprintSoftwareを使用してWindowsにログインする
一定のセルフ・ユーザー登録期間後、ユーザーは、管理者以外のユーザーの場合は指紋を必要とす
る保護モード・ログオンに切り替えて、デュアル・ファクター認証方式を効果的に実行できます。
–FingerprintSoftwareチュートリアルの組み込み
指紋認証ソフトウェア・チュートリアルは、エンド・ユーザーが、指紋センサーで指紋を読み取る
方法について理解を深め、そのアクションの視覚的フィードバックを確認するのに役立ちます。
シ
マ
備
準
準
準備
準
シ
マ
備
シン
マシ
備マ
1.電源オフの状態からコンピューターを始動し、F1
ニューに移動してセキュリティー・チップをクリアします。設定を保存して、BIOSを終了します。
2.ドメイン管理者アカウントでWindowsにログインします。
3.以下を実行して、ThinkVantage指紋認証ソフトウェアをインストールします。
a.f001zpz2001us00.exeファイルを実行して、Webパッケージからsetup.exeファイルを解凍します。
setup.exeファイルが、以下の場所に自動的に解凍されます。
C:SWTOOLSAPPSTFS5.9.2-BuildxxxxApplication0409(ここでxxxxはビルドIDです)。
指
指
指紋
以
で
ン
以
で
ン
以下
で以
ンで
証
認
紋
証ソ
認証
紋認
実
を
下
実
を
下
実行
を実
下を
ト
フ
ソ
トウ
フト
ソフ
ま
し
行
ま
し
行
ます
しま
行し
ア
ェ
ウ
ア
ェア
ウェ
。
す
。
す
。
す。
F1
F1
F1を押してBIOSSetupUtilityに入り、『Security
Security
Security
Security』メ
第6章.ベスト・プラクティス59

b.解凍されたsetup.exeファイルをダブルクリックして、画面上の指示に従って、ThinkVantage指紋
認証ソフトウェアをインストールします。
4.以下を実行して、ThinkVantage指紋認証ソフトウェア・チュートリアルをインストールします。
a.f001zpz7001us00.exeファイルを実行して、Webパッケージからtutess.exeファイルを解凍します。
tutess.exeファイルが、以下の場所に自動的に解凍されます。
C:SWTOOLSAPPStutorialTFS5.9 .2BuildxxxxTutorial0409(ここでxxxxはビルドIDです)。
b.tutess.exeファイルをダブルクリックして、ThinkVantage指紋認証ソフトウェア・チュートリアル
をインストールします。
5.以下を実行して、ThinkVantage指紋認証コンソールをインストールします。
a.f001zpz5001us00.exeを実行して、Webパッケージからfprconsole.exeファイルを解凍します。
fprconsole.exeファイルが、以下の場所に自動的に解凍されます。
C:SWTOOLSAPPSfpr_conAPPSUPEKFPRConsoleTFS5.9.2-BuildxxxFprconsole(ここで、xxxxはビルド
IDです)。
b.fprconsole.exeファイルをダブルクリックして、ThinkVantage指紋認証コンソールをインストール
します。
6.ClientSecuritySolutionを、次の構文でインストールします。
tvtcss82_xxxxcc.exe/s/v”/qnNOCSSWIZARD=1SUPERVISORPW="BIOSpw""
7.コンピューターを再起動し、ドメイン管理者アカウントを使用してWindowsにログインし、デプロイ
メント用のXMLスクリプトを作成します。
a.次のコマンドを実行します。
"C:ProgramFilesLenovoClientSecuritySolutioncss_wizard.exe"
/name:C:ThinkPad
b.以下を実行して、スクリプト例に合わせてウィザードで構成を行います。
セ
キ
セ
キュ
セキ
1)セ
・
ア
ュ
・ロ
ア・
ュア
オ
グ
ロ
オン
グオ
ログ
メ
・
ン
メソ
・メ
ン・
ド
ッ
ソ
ド➙
ッド
ソッ
2)ドメイン管理者アカウント用のWindowsパスワード(WPW4Adminなど)を入力して、『次
へ
へ
へ』をクリックします。
へ
へ
次
➙
へをクリックします。
次へ
➙次
次
次
次
へ
次
➙
ド
ッ
ソ
メ
・
ン
オ
グ
ロ
・
ア
ュ
キ
3)ドメイン管理者アカウントのClientSecurityパスフレーズを入力します。
へ
4)『パ
パ
ワ
ス
パ
ワー
スワ
パス
復
ド
ー
復元
ド復
ード
復
ド
ー
ワ
ス
5)要約を確認し、『適
元
元
元を
効
無
を
効に
無効
を無
用
適
用
適
用』をクリックして、XMLファイルを次の場所に保存します。
適用
定
設
に
定』を選択してから、『次
設定
に設
定
設
に
効
無
を
次
へ
次
へ』をクリックします。
次へ
C:ThinkPad.xml
了
完
了
完
了』をクリックしてウィザードを閉じます。
完了
6)『完
8.C:ProgramFilesLenovoClientSecuritySolutionディレクトリーのxml_crypt_tool.exeツールを使用し
て、次のようにXMLスクリプトをパスワードで暗号化します。コマンド・プロンプトで、次の
構文を使用します。
xml_crypt_tool.exeC:ThinkPad.xml/encryptXMLScriptPW
これでファイルはC:ThinkPad.xml.encとなり、パスワードXMLScriptPWで保護されます。
デ
ロ
プ
デ
ロイ
プロ
デプ
デ
ン
メ
イ
ント
メン
イメ
マ
・
ト
マシ
・マ
ト・
で
ン
シ
で以
ンで
シン
を
下
以
を実
下を
以下
し
行
実
しま
行し
実行
。
す
ま
。
す。
ます
。
す
ま
し
行
実
を
下
以
で
ン
シ
マ
・
ト
ン
メ
イ
ロ
プ
1.以下を実行して、ThinkVantage指紋認証ソフトウェアをデプロイメント・マシンにインストー
ルします。
a.準備マシンから取り出したsetup.exeファイルをデプロイメント・マシンにデプロイします。その
際、自社のソフトウェア配布ツールを使用します。
b.次のコマンドを実行します。
setup.exeCTLCNTR=0/q/i
2.以下を実行して、ThinkVantage指紋認証ソフトウェア・チュートリアルをデプロイメント・マシ
ンにインストールします。
60ClientSecuritySolution8.3デプロイメント・ガイド

a.準備マシンから取り出したtutess.exeファイルをデプロイメント・マシンにデプロイします。その
際、自社のソフトウェア配布ツールを使用します。
b.次のコマンドを実行します。
tutess.exe/q/i
3.以下を実行して、ThinkVantage指紋認証コンソールをデプロイメント・マシンにインストールします。
a.準備マシンから取り出したfprconsole.exeファイルをデプロイメント・マシンにデプロイします。
その際、自社のソフトウェア配布ツールを使用します。
b.fprconsole.exeファイルをC:ProgramFilesThinkVantageFingerprintSoftwareディレクトリーに入
れます。
c.次のコマンドを実行して、BIOSパワーオン・セキュリティー・サポートをオフにします。
fprconsole.exesettingsTBX0
4.以下を実行して、ThinkVantageClientSecuritySolutionをデプロイメント・マシンにインストールし
ます。
a.tvtvcss83_xxxx.exe(ここで
します。その際、自社のソフトウェア配布ツールを使用します。
b.次のコマンドを実行します。
tvtvcss83_xxxx.exe/s/v"/qn"NOCSSWIZARD=1""SUPERVISORPW="BIOSpw""
ソフトウェアをインストールすると、TPMハードウェアが自動的に使用可能になります。
5.コンピューターを再起動し、次の手順で、XMLスクリプト・ファイルによるシステム構成を行い
ます。
a.先に作成したThinkPad.xml.encファイルを、C:ディレクトリーにコピーします。
b.次のコマンドを実行します。
"C:ProgramFilesLenovoClientSecuritySolution
vmserver.exe"C:ThinkPad.xml.encXMLScriptPW
6.コンピューターを再起動すると、システムでClientSecuritySolutionユーザー登録の準備ができていま
す。すべてのユーザーは、それぞれのユーザーIDとWindowsパスワードでシステムにログインでき
ます。システムにログインする各ユーザーに、ClientSecuritySolutionへの登録を促すプロンプトが自
動的に出され、登録すると、指紋センサーへの登録ができるようになります。
7.システムのすべてのユーザーがThinkVantage指紋認証ソフトウェアに登録されたら、保護モード設定
を使用可能にして、Windowsのすべての管理者以外のユーザーに、各自の指紋でログインするよ
う求めることができます。
xxxx
はビルドIDです)ファイルを、デプロイメント・マシンにデプロイ
•保護モード設定を使用可能にするには、次のコマンドを実行します。
"C:ProgramFilesThinkVantageFingerprintSof tware
fprconsole.exe"settingssecuremode1
•『パスワードを使用してログインするにはCtrl+Alt+Deleteを押してください(PressCtrl+Alt+Delete
tologinusingapassword)』というメッセージをログオン画面から削除するには、次のコマンドを
実行してください。
"C:ProgramFilesThinkVantageFingerprintSof twarefprconsole.exesettings"
CAD0
8.これで、ClientSecuritySolution8.3とThinkVantage指紋認証ソフトウェアのデプロイメントが完了
しました。
Client
Client
Client
ClientSecurity
ClientSecuritySolutionモードを『便利なログオン・メソッド』から『セキュア・ログオン・メソッド』に
切り替えるか、『セキュア・ログオン・メソッド』から『便利なログオン・メソッド』に切り替える
場合で、システムのバックアップにRescueandRecoveryを使用している場合、モードを切り替えた後
に新しい基本バックアップをとってください。
Security
Security
SecuritySolution
Solution
Solution
Solutionモ
モ
ー
ド
の
切
り
替
モ
ー
ド
の
モー
ード
切
ドの
の切
切り
え
り
替
え
り替
替え
え
第6章.ベスト・プラクティス61

企
業
用
企
業
企
企業
業用
企業用ActiveDirectoryを展開する場合、次のステップを実行します。
1.ActiveDirectoryまたはLANDeskを使用してインストールします。
CD
CD
CD
CDま
CDまたはスクリプト・ファイルのスタンドアロン・インストールの場合、次のステップを実行します。
1.バッチ・ファイルを使用してClientSecuritySolutionおよび指紋認証ソフトウェア・テクノロジーを
2.BIOSパスワード・リカバリーをサイレント構成します。
Active
用
Active
用Active
ActiveDirectory
a.ActiveDirectoryおよびLANDeskを使用してバックアップを取り、バックアップを取った人
物と時点について報告を得ます。
b.バックアップの作成、バックアップの削除、スケジュール・オプション、およびパスワードの
制約事項に関する機能を特定のグループに付与してから、グループを変更し、設定が存続する
かどうかを参照します。
c.ActiveDirectoryからAntidoteDeliveryManagerを有効にします。実行するパッケージを提供し、報
告が取り込まれることを確認します。
ま
た
は
ま
た
は
また
たは
はス
サイレント・インストールします。
ス
ス
スク
Directory
Directory
Directoryの
ク
リ
ク
リ
クリ
リプ
の
展
開
の
展
開
の展
展開
開
プ
ト
・
フ
ァ
イ
ル
の
ス
タ
ン
ド
ア
ロ
ン
・
イ
ン
ス
ト
ー
プ
ト
・
フ
ァ
イ
ル
の
ス
タ
ン
ド
ア
ロ
ン
・
イ
ン
プト
ト・
・フ
ファ
ァイ
イル
ルの
のス
スタ
タン
ンド
ドア
アロ
ロン
ン・
・イ
ス
イン
ンス
スト
ル
ト
ー
ル
トー
ール
ル
System
System
System
SystemUpdate
SystemUpdateをするには、次のステップを実行します。
1.Lenovoサーバーを使う代わりに、大企業がサーバーをセットアップする方法をシミュレートした
2.3種類のバージョンの古いソフトウェア(RescueandRecovery1.0/2.0/3.0、指紋認証、ClientSecurity
System
System
System
SystemMigration
SystemMigrationAssistant6.0は、古いシステムから最新のWindows7システムへの移行、および旧バー
ジョンのClientSecuritySolutionと指紋認証ソフトウェアのソフトウェア設定の移行をサポートしていま
す。SystemMigrationAssistant6.0は、以下のLenovoWebサイトからダウンロードできます。
http://www.lenovo.com/support
TPM
TPM
TPM
TPMで
証明書はClientSecuritySolutionCSPを使用して直接生成でき、証明書内の秘密鍵はTPMによって生成さ
れ、保護されます。ClientSecuritySolutionCSPを使用して証明書を要求するには、次のようにします。
要
件
要
件
要
要件
件:
Update
Update
Update
カスタマイズ済みのSystemUpdateサーバーを使ってClientSecuritySolutionおよび指紋認証ソフト
ウェアをインストールすれば、コンテンツの管理ができます。
Solution5.4~6、FFE)を上書きインストールします。古いバージョンに上書きして新しいバージョン
をインストールする際には、設定を保持する必要があります。
Migration
Migration
MigrationAssistant
で
の
鍵
で
での
:
:
:
生
の
鍵
生
の鍵
鍵生
生成
Assistant
Assistant
Assistant
成
を
使
用
し
た
証
明
書
の
生
成
を
使
用
し
た
証
明
成を
を使
使用
用し
した
た証
書
証明
明書
書の
成
の
生
成
の生
生成
成
•サーバー・マシンに以下がインストールされている必要があります。
–WindowsServer2003Enterprise以上
–ActiveDirectory
–証明機関サービス
•クライアント・マシンは以下の要件に適合している必要があります。
–TPMが使用可能になっている
62ClientSecuritySolution8.3デプロイメント・ガイド

–ClientSecuritySolutionがインストールされている
サ
ー
バ
ー
か
ら
の
証
明
書
の
要
サ
ー
バ
ー
か
ら
の
証
明
サ
サー
ーバ
バー
ーか
から
らの
の証
証明
ン
テ
の
ー
ザ
ー
ユ
TPM
ユ
TPM
ユー
TPMユ
TPM
TPMユーザー用のテンプレートを作成するには、以下の手順を実行します。
ス
『
ス
『
スタ
『ス
1.『
2.mmcと入力し、『OK
フ
フ
ファ
3.『フ
ます。『スタンドアロンスナップインの追加』ウィンドウが表示されます。
4.スナップイン・リストで『証
5.『スナップインの追加と削除』ウィンドウで『OK
6.コンソール・ツリーから『証
トが左側のペインに表示されます。
作
操
作
操
作➙
操作
7.操
表
表
表示
8.『表
要
要
要求
9.『要
CSP
CSP
CSP』が選択されていることを確認します。
CSP
一
一
一般
10.『一
を確認します。
グ
グ
グル
11.『グ
Users
Users
Users』をクリックして、『Authenticated
Users
選択されていることを確認します。
ー
ザ
ー
ーの
ザー
ーザ
ト
ー
タ
ト
ー
タ
ト』
ート
ター
ル
イ
ァ
ル
イ
ァ
ル』メニューの『ス
イル
ァイ
ン
テ
➙
ン
テ
➙
ンプ
テン
➙テ
名
示
名
示
名』フィールドにTPMUserと入力します。
示名
理
処
求
理
処
求
理』タブで『CSP
処理
求処
般
般
般』タブをクリックします。『Active
プ
ー
ル
プ
ー
ル
プ名
ープ
ルー
ン
テ
の
ンプ
テン
のテ
『
➙
』
『
➙
』
『フ
➙『
』➙
OK
OK
OK』をクリックします。コンソール・ウィンドウが表示されます。
ー
レ
プ
ー
レ
プ
ート
レー
プレ
は
た
ま
名
名
名ま
は
た
ま
はユ
たは
また
書
明書
書の
ー
レ
プ
ー
レ
プ
ート
レー
プレ
ル
イ
ァ
フ
フ
ファ
ト
ト
トの
ル
イ
ァ
ル名
イル
ァイ
ス
ス
スナ
証
証
証明
証
証
証明
製
複
の
製
複
の
製の順にクリックします。
複製
の複
CSP
CSP
CSP』をクリックします。『サ
ー
ザ
ー
ユ
ユ
ユー
ー
ザ
ー
ー名
ザー
ーザ
求
の
要
求
の要
要求
求
成
作
の
ト
ト
トの
名
名
名を
ナ
ナ
ナッ
明
明
明機
明
明
明書
名
名
名』リストの『セ
Authenticated
Authenticated
AuthenticatedUsers
成
作
の
成
作成
の作
』
行
実
て
し
定
指
を
指
を
指定
を指
ッ
ッ
ップ
機
機
機関
書
書
書テ
て
し
定
て実
して
定し
ン
イ
プ
ン
イ
プ
ンの
イン
プイ
関
関
関』をダブルクリックし、『閉
プ
ン
テ
プ
ン
テ
プレ
ンプ
テン
Active
Active
ActiveDirectory
』
行
実
』をクリックします。
行』
実行
加
追
の
加
追
の
加と
追加
の追
ト
ー
レ
ト
ー
レ
ト』をクリックします。すべての証明書テンプレー
ート
レー
Directory
Directory
Directoryの
セ
セ
セキ
の
Users
の
Users
のア
Usersの
除
削
と
除
削
と
除』をクリックしてから、『追
削除
と削
じ
閉
じ
閉
じる
閉じ
OK
OK
OK』をクリックします。
の
ト
ク
ェ
ジ
ブ
サ
サ
サブ
ュ
キ
ュ
キ
ュリ
キュ
ク
ア
ク
ア
クセ
アク
ェ
ジ
ブ
ェク
ジェ
ブジ
明
証
の
明
証
の
明書
証明
の証
ィ
テ
リ
ィ
テ
リ
ィ』タブをクリックし、『Authenticated
ティ
リテ
許
ス
セ
許
ス
セ
許可
ス許
セス
の
ト
ク
のコ
トの
クト
行
発
を
書
書
書を
行
発
を
行す
発行
を発
可
可
可』オプションで『登
加
追
加
追
加』をクリックし
追加
る
る
る』をクリックします。
用
利
で
タ
ー
ュ
ピ
ン
コ
ン
コ
ンピ
コン
す
す
する
ー
ュ
ピ
ータ
ュー
ピュ
る
る
る』が選択されていること
利
で
タ
利用
で利
タで
Authenticated
Authenticated
Authenticated
録
登
録
登
録(Enroll)
登録
能
可
能
可
用
能な
可能
用可
(Enroll)
(Enroll)
(Enroll)』が
な
な
な任
の
意
任
の
意の
任意
の
意
任
エ
タ
ン
エ
ター
ンタ
エン
エ
エンタープライズ証明機関を構成してTPMユーザー証明書を発行するには、以下の手順を実行します。
1.証明機関を開きます。
2.コンソール・ツリーで、『証
操
操
操作
3.『操
TPM
TPM
TPM』をクリックし、『OK
4.『TPM
イ
ラ
ク
イ
ラ
ク
イア
ライ
クラ
ク
クライアントから証明書を適用するには、以下の手順を実行します。
1.イントラネットへ接続し、InternetExplorerを開始して、CAサービスがインストールされているサー
バーのIPアドレスを入力します。
2.プロンプト・ウィンドウにドメイン・ユーザー名とパスワードを入力します。
タ
タ
タス
3.『タ
4.Webページの下部にある『証
5.『証明書の要求の詳細設定』ページで、以下の設定を変更します。
•『証
•『CSP
•『エ
•『送
ラ
プ
ー
ライ
プラ
ープ
作
作
作』メニューから新
ト
ン
ア
ト
ン
ア
トか
ント
アン
の
ク
ス
の
ク
ス
の選
クの
スク
書
明
証
書
明
証
書テ
明書
証明
CSP
CSP
CSP』ドロップダウン・リストから『ThinkVantage
ス
ク
エ
ス
ク
エ
スポ
クス
エク
信
送
信
送
信』をクリックし、プロセスに従います。
送信
イ
イズ
か
か
から
択
選
択
選
択』の『証
選択
ン
テ
ン
テ
ンプ
テン
ー
ポ
ー
ポ
ート
ポー
証
ズ
証明
ズ証
の
ら
の
ら
の証
らの
レ
プ
レ
プ
レー
プレ
可
ト
可
ト
可能
ト可
関
機
明
関の
機関
明機
証
証
証明
規
新
規
新
規➙
新規
OK
OK
OK』をクリックします。
書
明
証
書
明
証
書の
明書
証明
書
明
証
書
明
証
書の
明書
証明
証
証
証明
ト
ー
ト
ー
ト』ドロップダウン・リストから『TPM
ート
ー
キ
な
能
能
能な
ー
キ
な
ーと
キー
なキ
成
構
の
成
構成
の構
プ
ン
テ
書
明
書
明
書テ
明書
発
➙
発
➙
発行
➙発
適
の
適
の
適用
の適
要
の
要
の
要求
の要
書
明
書
明
書の
明書
と
と
とし
プ
ン
テ
プレ
ンプ
テン
証
る
す
行
行
行す
し
し
して
証
る
す
証明
る証
する
用
用
用
求
求
求』をクリックします。
求
要
の
求
要
の
求の
要求
の要
ー
マ
て
ー
マ
て
ーク
マー
てマ
ト
ー
レ
ト
ー
レ
ト』をクリックします。
ート
レー
書
明
書
明
書をクリックします。
明書
定
設
細
詳
の
詳
の
詳細
の詳
ThinkVantage
ThinkVantage
ThinkVantageClient
す
ク
ク
クす
定
設
細
定』をクリックします。
設定
細設
(TPM
ー
ザ
ー
ユ
TPM
TPM
TPMユ
Client
Client
ClientSecurity
る
る
す
る』が選択されていないことを確認します。
する
ー
ユ
ーザ
ユー
Security
Security
SecuritySolution
ザ
ザー
ー
ー(TPM
Solution
Solution
SolutionCSP
(TPM
(TPMUser)
User)
User)
User)』を選択します。
CSP
CSP
CSP』を選択します。
成
構
の
関
機
明
証
ズ
イ
ラ
プ
ー
タ
ン
第6章.ベスト・プラクティス63

•『証明書は発行されました』ページで『こ
トールされた証明書』ページが表示されます。
こ
証
の
こ
証明
の証
この
の
書
明
のイ
書の
明書
ス
ン
イ
スト
ンス
イン
ル
ー
ト
ル』をクリックします。『インス
ール
トー
ル
ー
ト
ス
ン
イ
の
書
明
証
の
2008
2008
2008
2008ThinkPad
(R400/R500/T400/T500/W500/X200/X301)で
キ
キ
キ
キー
Lenovoは、ThinkPad
する2つのベンダーと契約しています。2008より前のThinkPadノートブック・コンピューター・モデル
(例えば、T61など)では、ThinkVantage指紋センサーを使用します。2008ThinkPadノートブック・コ
ンピューター・モデル(T400以降)では、Lenovo指紋センサーを使用します。LenovoのUSB指紋セン
サー付きキーボードではすべて、ThinkVantage指紋センサーを使用します。一部のThinkPadノートブッ
ク・モデル(例えば、外部USBキーボードを備えたThinkPadT400など)で指紋センサー付きキーボード
を使用するときには、特別な考慮が必要です。
このセクションでは、最新のThinkPadノートブック・コンピューター・モデルにインストールされた指紋
認証ソフトウェアの一般的な使用法のシナリオとデプロイメントの戦略について説明します。
注
注
注:
注
•LenovoFingerprintSoftwareLenovoFingerprintSoftwareは、AuthenTec指紋センサー(例えば、T400内
•ThinkVantage指紋認証ソフトウェアThinkVantage指紋認証ソフトウェアは、UPEK指紋センサー(例え
Windows
Windows
Windows
Windows7
Windows7オペレーティング・システムにログオンするときには、随時、AuthenTec指紋センサーも
UPEK指紋センサーも使用できます。
10.指紋の登録を使用して、内蔵指紋センサーで指紋を登録します。自動的に開始されない場合は、ス
11.Windowsパスワードを入力するように求められたら入力し、登録する指を選択します。
12.コンピューター画面のプロンプトに従い、内蔵指紋センサーを使用して指を登録します。
13.ウィンドウの上部にある『設
14.『Windows
ThinkPad
ThinkPad
ThinkPadノ
ー
ボ
ー
ボ
ー
ボー
ード
Windows
Windows
Windowsに
ト
ー
ト
ー
ト➙
ート
Windows
Windows
Windowsに
ド
ド
ドの
7
7
7の
プ
➙
プ
➙
プロ
➙プ
ー
ーボ
:
:
:
蔵の指紋センサーなど)のソフトウェアです。
ば、T61内蔵の指紋センサー、すべての外部USBキーボードの指紋センサーなど)のソフトウェアです。
1.LenovoFingerprintSoftwareバージョン3.2.0.275以降をインストールします。
2.ThinkVantage指紋認証ソフトウェアバージョン5.8.2.4824以降をインストールします。
3.PCを再起動します。指紋登録ウィザードが自動的に開始されます。
4.ThinkVantage指紋認証ソフトウェアを使用して、外部指紋センサーに指紋を登録します。自動的
に開始されない場合は、ス
ThinkVantage
ThinkVantage
ThinkVantageFingerprint
ThinkVantage
5.Windowsパスワードを入力するように求められたら入力し、登録する指を選択します。
6.コンピューター画面のプロンプトに従い、外部指紋センサーを使用して指を登録します。
7.ウィンドウの上部にある『設
8.『Windows
を選択し、『OK
9.コンピューターを再起動し、外部指紋センサーでWindowsにログオンするために指紋を使用できる
ことを確認します。
タ
タ
ター
タ
にクリックして、登録を開始します。
を選択し、『OK
ノ
ー
ト
ブ
ッ
ク
・
コ
ン
ピ
ュ
ー
タ
ー
・
モ
デ
ノ
ー
ト
ブ
ッ
ク
・
コ
ン
ピ
ュ
ー
タ
ー
・
ノー
ート
トブ
ブッ
ック
ク・
・コ
コン
ンピ
ピュ
ュー
ータ
ター
ー・
で
の
で
の
での
のUSB
の
使
用
の
使
用
の使
使用
用
®
ノートブック・コンピューター・モデルとUSBキーボードにおける指紋認証を提供
の
ロ
グ
オ
の
ロ
のロ
ログ
Fingerprint
Fingerprint
FingerprintSoftware
グ
ロ
に
グ
ロ
に
グイ
ログ
にロ
OK
OK
OK』をクリックしてから、『閉
ラ
グ
ロ
ラ
グ
ロ
ラム
グラ
ログ
グ
ロ
に
グ
ロ
に
グイ
ログ
にロ
OK
OK
OK』をクリックしてから、『閉
ン
グ
オ
ン
グオ
オン
ン
、
は
た
ま
(
ム
ラ
グ
ロ
プ
➙
ト
ー
タ
ス
タ
ス
ター
スタ
Software
Software
Softwareの順にクリックして、登録を開始します。
設
設
設定
と
る
す
ン
イ
ン
イ
ンす
イン
ム
ム
ム(
ン
イ
ン
イ
ンす
イン
と
る
す
とき
ると
する
は
た
ま
(
は
た
ま
(
は、
たは
また
(ま
設
設
設定
と
る
す
と
る
す
とき
ると
する
➙
ト
ー
➙プ
ト➙
ート
定
定
定』をクリックします。
パ
、
き
パ
、
き
パス
、パ
き、
べ
す
、
べ
す
、
べて
すべ
、す
定
定
定』をクリックします。
パ
、
き
パ
、
き
パス
、パ
き、
グ
ロ
プ
グラ
ログ
プロ
ド
ー
ワ
ス
ス
スワ
て
て
ての
ス
ス
スワ
ド
ー
ワ
ドで
ード
ワー
ロ
プ
の
ロ
プ
の
ログ
プロ
のプ
ド
ー
ワ
ド
ー
ワ
ドで
ード
ワー
ま
(
ム
ラ
また
(ま
ム(
ラム
な
は
で
な
は
で
なく
はな
では
る
じ
閉
る
じ
閉
る』をクリックしてウィンドウを閉じます。
じる
閉じ
ム
ラ
グ
ム
ラ
グ
ム)
ラム
グラ
な
は
で
な
は
で
なく
はな
では
る
じ
閉
る
じ
閉
る』をクリックしてウィンドウを閉じます。
じる
閉じ
、
は
た
、す
は、
たは
紋
指
く
紋
指
く
紋ス
指紋
く指
ThinkVantage
➙
)
ThinkVantage
➙
)
ThinkVantage➙
➙ThinkVantage
)➙
紋
指
く
紋
指
く
紋ス
指紋
く指
す
す
すべ
ス
ス
スキ
ス
ス
スキ
モ
・モ
モデ
USB
USB
USB指
の
て
べ
の
て
べ
のプ
ての
べて
ン
ャ
キ
ン
ャ
キ
ンを
ャン
キャ
ン
ャ
キ
ン
ャ
キ
ンを
ャン
キャ
ル
デ
ル
デル
ル
指
紋
セ
ン
指
紋
指紋
紋セ
ラ
グ
ロ
プ
プ
プロ
を
を
を使
を
を
を使
ラ
グ
ロ
ラム
グラ
ログ
す
用
使
す
用
使
する
用す
使用
Lenovo
➙
Lenovo
➙
LenovoFingerprint
➙Lenovo
す
用
使
す
用
使
する
用す
使用
サ
セ
ン
サ
セン
ンサ
サー
➙
)
ム
➙
)
ム
➙ThinkVantage
)➙
ム)
る
る
る』チェック・ボックス
Fingerprint
Fingerprint
FingerprintSoftware
る
る
る』チェック・ボックス
ー
付
き
ー
付
き
ー付
付き
き
ThinkVantage
ThinkVantage
ThinkVantage➙
Software
Software
Softwareの順
➙
➙
➙
ス
ス
ス
64ClientSecuritySolution8.3デプロイメント・ガイド

15.コンピューターを再起動し、内蔵指紋センサーでWindowsにログオンするために指紋を使用できる
ことを確認します。
Client
Client
Client
ClientSecurity
Windowsログオンとは異なり、ClientSecuritySolutionとPasswordManagerからの認証要求は、優先指紋セ
ンサーでのみ機能します。例えば、指紋センサー付きキーボードが接続されている場合、その指紋セン
サーが優先デバイスになります。指紋センサー付きキーボードが接続されていない場合は、ThinkPad
内蔵指紋センサーが優先デバイスになります。
優先デバイスを変更するには、次のようなレジストリー項目を作成します。
[HKLMSoftwareLenovoTVTCommonClientSecuritySolution]
REG_DWORD"PreferInternalFPSensor"=1
表 32. レ ジ ス ト リ ー ・ キ ー
名
名
名
名前
Pref erInternalFPSensor
プ
プ
プ
プリ
Windowsログオンとは異なり、BIOSパスワードの認証要求は、BIOSが使用されるように構成されている
ときにのみ、指紋センサーで機能します。デフォルトでは、BIOSは、指紋センサー付きキーボードが接
続されている場合、そのキーボードによる指紋の読み取りを認識します。指紋センサー付きキーボードが
接続されていない場合、BIOSは、内蔵指紋センサー・デバイスでの指紋読み取りを認証に使用します。
Security
Security
SecuritySolution
前
前
前値
リ
ブ
ー
リ
リブ
ト
ブ
ー
ト
ブー
ート
ト認
認
認
認証
Solution
Solution
Solutionと
証
-
証
-
証-
-BIOS
BIOS
BIOS
BIOSパ
と
と
とPassword
パ
パ
パス
Password
Password
PasswordManager
値
値
値説
0(デフォルト)
1
ス
ワ
ー
ス
ワ
ー
スワ
ワー
ード
Manager
Manager
Manager
ド
の
代
わ
り
に
ド
の
代
ドの
わ
の代
代わ
わり
指
り
に
指
りに
に指
指紋
説
明
説
明
説明
明
指紋センサー付きキーボードが接続
されているときには必ず、外部指紋
センサーが優先されるように指定し
ます。
内蔵指紋センサーが優先されるよう
に指定します。
紋
を
使
用
す
紋
を
使
紋を
を使
使用
る
用
す
る
用す
する
る
Reader
Reader
ソ
証
証
証ソ
)
)
)➙
ー
ワ
ー
ワ
ード
ワー
プ
オ
プ
オ
プシ
オプ
ReaderPriority
フ
フ
ソ
フト
ソフ
ThinkVantage
➙
ThinkVantage
➙
ThinkVantage➙
➙ThinkVantage
ド
ド
ドで
シ
シ
ショ
外部指紋センサー付きキーボードが接続されているときでも、Reader
Reader
Reader
ンサーを強制的に使用するように変更できます。Reader
Internal
Internal
InternalOnly
を『Internal
:
注
:
注
:このBIOS設定は、BIOS上の指紋プロンプトのみに適用されます。WindowsログオンやClient
注:
注
SecuritySolutionの指紋認証要求には影響しません。
リ
プ
リ
プ
リブ
プリ
プ
BIOSでスーパーバイザー、パワーオン、またはハードディスク・ドライブ・パスワードを設定した
場合は、これらのパスワードを入力する代わりに、認証に指紋認証ソフトウェアを使用するように
構成できます。
Lenovo
Lenovo
LenovoFingerprint
Lenovo
ス
ス
スタ
1.ス
の順にクリックし、LenovoFingerprintSoftwareを開始します。
2.指紋を読み取らせるか、またはWindowsパスワードを入力するように求められたら、パスワード
を入力します。
3.ウィンドウの上部にある『設
4.『パ
チェック・ボックスと『パ
クスを選択します。
5.『OK
6.登録された指紋の1つを選択して、指紋を使用可能に設定し、BIOSパスワードを置き換えます。
Only
Only
Only』に変更して、内蔵指紋センサーを強制的に使用することができます。
た
る
す
に
能
可
用
使
を
証
認
ト
ー
ブ
ー
ブ
ート
ブー
Fingerprint
Fingerprint
FingerprintSoftware
ー
タ
ー
タ
ート
ター
ワ
パ
ワ
パ
ワー
パワ
OK
OK
OK』をクリックして、ウィンドウを閉じます。
証
認
ト
証を
認証
ト認
プ
➙
ト
プ
➙
ト
プロ
➙プ
ト➙
ン
オ
ー
ン
オ
ー
ンセ
オン
ーオ
使
を
使用
を使
Software
Software
Software-
ラ
グ
ロ
ラ
グ
ロ
ラム
グラ
ログ
ュ
キ
セ
ュ
キ
セ
ュリ
キュ
セキ
用
用可
ム
ム
ム(
リ
リ
リテ
に
能
可
にす
能に
可能
指
蔵
内
-
指
蔵
内
-
指紋
蔵指
内蔵
-内
は
た
ま
(
は
た
ま
(
は、
たは
また
(ま
定
設
定
設
定』をクリックします。
設定
ハ
と
ィ
テ
テ
ティ
ハ
と
ィ
ハー
とハ
ィと
ー
ワ
パ
ー
ワ
パ
ーオ
ワー
パワ
た
る
す
ため
るた
する
サ
ン
セ
紋
紋
紋セ
、
、
、す
サ
ン
セ
サー
ンサ
セン
て
べ
す
て
べ
す
ての
べて
すべ
デ
ド
ー
デ
ド
ー
ディ
ドデ
ード
セ
ン
オ
セ
ン
オ
セキ
ンセ
オン
ReaderPriority
指
の
め
指
の
め
指紋
の指
めの
場
の
ー
場
の
ー
場合
の場
ーの
ロ
プ
の
ロ
プ
の
ログ
プロ
のプ
ク
ス
ィ
ク
ス
ィ
クの
スク
ィス
リ
ュ
キ
リ
ュ
キ
リテ
ュリ
キュ
Priority
Priority
Priorityのデフォルト値は『External
認
紋
認
紋
認証
紋認
合
合
合
ム
ラ
グ
ム
ラ
グ
ム)
ラム
グラ
ス
パ
の
ス
パ
の
スワ
パス
のパ
の
ィ
テ
の
ィ
テ
のオ
ィの
ティ
Priority
Priority
PriorityのBIOS設定を、内蔵指紋セ
External
External
External』です。設定
成
構
の
ア
ェ
ウ
ト
ト
トウ
は
で
は
で
はな
では
ン
ョ
ン
ョ
ンを
ョン
ア
ェ
ウ
アの
ェア
ウェ
指
く
な
指
く
な
指紋
く指
なく
表
に
常
を
を
を常
表
に
常
表示
に表
常に
成
構
の
成
構成
の構
Lenovo
➙
Lenovo
➙
LenovoFingerprint
➙Lenovo
ャ
キ
ス
紋
紋
紋ス
ャ
キ
ス
ャン
キャ
スキ
る
す
示
る
す
示
る』チェック・ボッ
する
示す
Fingerprint
Fingerprint
FingerprintSoftware
ン
ン
ンを
を
を
を使
す
用
使
する
用す
使用
す
用
使
Software
Software
Software
る
る
る』
第6章.ベスト・プラクティス65

る
じ
閉
る
じ
閉
る』をクリックして、ウィンドウを閉じます。
じる
閉じ
7.『閉
合
場
の
ー
サ
ン
セ
紋
指
部
外
ThinkVantage
ThinkVantage
ThinkVantageFingerprint
ThinkVantage
1.以下のいずれかの方法で、指紋認証ソフトウェアを開始します。
Fingerprint
Fingerprint
FingerprintSoftware
Software
Software
Software-
-
部
外
-
部指
外部
-外
セ
紋
指
セン
紋セ
指紋
ー
サ
ン
ーの
サー
ンサ
合
場
の
合
場合
の場
ThinkVantage
ス
ス
スタ
•ス
Software
Software
Softwareの順にクリックします。
Software
•『LenovoThinkVantageTools』ウィンドウで、『ThinkVantage
をクリックします。
2.指紋を読み取らせるか、またはWindowsパスワードを入力するように求められたら、パスワード
を入力します。
3.ウィンドウの上部にある『設
パ
パ
パワ
4.『パ
チェック・ボックスと『パ
クスを選択します。
OK
OK
OK』をクリックして、ウィンドウを閉じます。
5.『OK
6.登録された指紋の1つを選択して、指紋を使用可能に設定し、BIOSパスワードを置き換えます。
閉
閉
閉じ
7.『閉
ト
ー
タ
ト➙
ート
ター
オ
ー
ワ
オ
ー
ワ
オン
ーオ
ワー
る
じ
る
じ
る』をクリックして、ウィンドウを閉じます。
じる
ロ
プ
➙
ログ
プロ
➙プ
キ
セ
ン
キ
セ
ン
キュ
セキ
ンセ
ム
ラ
グ
ム(
ラム
グラ
ィ
テ
リ
ュ
ュ
ュリ
ィ
テ
リ
ィと
ティ
リテ
パ
パ
パワ
は
た
ま
(
は、
たは
また
(ま
定
設
定
設
定』をクリックします。
設定
ー
ハ
と
ー
ハ
と
ード
ハー
とハ
オ
ー
ワ
オ
ー
ワ
オン
ーオ
ワー
べ
す
、
べて
すべ
、す
ィ
デ
ド
ィ
デ
ド
ィス
ディ
ドデ
キ
セ
ン
キ
セ
ン
キュ
セキ
ンセ
プ
の
て
プロ
のプ
ての
の
ク
ス
の
ク
ス
のパ
クの
スク
テ
リ
ュ
テ
リ
ュ
ティ
リテ
ュリ
ラ
グ
ロ
ラム
グラ
ログ
ThinkVantage
ThinkVantage
ThinkVantage指
ワ
ス
パ
ワ
ス
パ
ワー
スワ
パス
オ
の
ィ
オ
の
ィ
オプ
のオ
ィの
プ
)
ム
)➙
ム)
ド
ー
ド
ー
ドで
ード
シ
シ
プ
ショ
プシ
ThinkVantage
➙
ThinkVantage➙
➙ThinkVantage
指
指
指紋
な
は
で
な
は
で
なく
はな
では
を
ン
ョ
を
ン
ョ
を常
ンを
ョン
紋
紋
紋認
く
く
く指
常
常
常に
ThinkVantage
➙
)
ム
ラ
グ
ロ
プ
の
て
べ
す
、
は
た
ま
(
ム
ラ
グ
ロ
プ
➙
ト
ー
タ
➙
ThinkVantage
➙
ThinkVantageFingerprint
➙ThinkVantage
ェ
ウ
ト
フ
ソ
証
認
認
認証
指
指
指紋
に
に
に表
フ
ソ
証
フト
ソフ
証ソ
キ
ス
紋
キ
ス
紋
キャ
スキ
紋ス
す
示
表
す
示
表
する
示す
表示
ェ
ウ
ト
ェア
ウェ
トウ
を
ン
ャ
を
ン
ャ
を使
ンを
ャン
る
る
る』チェック・ボッ
Fingerprint
Fingerprint
Fingerprint
ア
ア
ア』アイコン
る
す
用
使
使
使用
る
す
用
る』
する
用す
66ClientSecuritySolution8.3デプロイメント・ガイド

付
録
A
付
録
付
付録
録A
付
き
付
付
付き
一部のThinkPadノートブック・モデルで使用する指紋センサー・デバイスは、Lenovo指紋センサー付き
キーボードで使用する指紋センサー・デバイスと異なります。一部のThinkPadノートブック・モデルで指
紋センサー付きキーボードを使用するときには、特別な考慮が必要となる可能性があります。
詳細については、LenovoWebサイトにある指紋認証ソフトウェア・ダウンロード・ページにアクセスし
てください。該当するThinkPadノートブック・モデルがリストされています。
指紋センサー付きキーボードと共に使用するときに特別な考慮が必要なのは、『LenovoFingerprint
Software』の欄にリストされているモデルのみです。『ThinkVantageFingerprintSoftware』を使用する他の
すべてのThinkPadノートブック・モデルは、指紋センサー付きキーボードに組み込まれているデバイスと
互換性のある指紋センサー・デバイスを使用し、特別な考慮は必要ありません。
設
設
設
設定
LenovoFingerprintSoftware2.0以降は、ThinkPadノートブックで使用する指紋センサー・デバイスと共に使
用できるようにインストールする必要があります。ユーザーは、内蔵されている指紋センサー・デバイス
を使用して、LenovoFingerprintSoftwareに指紋を登録する必要があります。
ThinkVantage指紋認証ソフトウェア5.8以降は、LenovoFingerprintKeyboardと共に使用できるようにイン
ストールする必要があります。ユーザーは、その指紋センサー付きキーボードを使用して、ThinkVantage
指紋認証ソフトウェアに指紋を登録する必要があります。
キ
き
キ
きキ
キー
定
と
定
と
定と
とセ
A
AThinkPad
ー
ー
ーボ
セ
セ
セッ
ThinkPad
ThinkPad
ThinkPadノ
ボ
ー
ボ
ー
ボー
ード
ッ
ト
ア
ッ
ト
ア
ット
トア
アッ
ド
ド
ドを
ノ
ー
ト
ブ
ッ
ク
・
モ
デ
ル
で
ノ
ー
ト
ブ
ッ
ク
・
モ
デ
ノー
ート
トブ
ブッ
ック
ク・
・モ
モデ
を
使
用
す
る
際
の
特
を
使
用
す
る
際
を使
使用
用す
する
る際
ッ
プ
ッ
プ
ップ
プ
の
際の
の特
別
特
別
特別
別な
ル
デル
ルで
な
考
な
考
な考
考慮
で
でLenovo
慮
慮
慮事
Lenovo
Lenovo
Lenovo指
事
項
事
項
事項
項
指
紋
セ
ン
指
紋
指紋
セ
紋セ
セン
サ
ン
サ
ンサ
サー
ー
ー
ー
:
注
:
注
:1つのデバイスに登録された指紋を、他のデバイスと交換することはできません。
注:
注
Pre-desktop
Pre-desktop
Pre-desktop
Pre-desktopauthentication
ワークスペース認証には、標準装備の指紋センサー・デバイスまたは指紋センサー付きキーボードが
使用されます(システム電源をオンにする際のパスワードまたはハードディスク・ドライブのパス
ワードが指紋認証に置き換わります)。システムの電源がオンになると、使用するデバイスがBIOSに
よって決定されます。
デフォルトでは、BIOSは、指紋センサー付きキーボードが接続されている場合、そのキーボードによ
る指紋の読み取りのみを受け入れます。ワークスペース認証の場合、指紋センサー付きキーボードが
接続されているときには、内蔵されている指紋センサー・デバイスによる指紋の読み取りは無視され
ます。指紋センサー付きキーボードが接続されていない場合は、ワークスペース認証に、内蔵されて
いる指紋センサー・デバイスが使用されます。
『『ReaderPriority』』のBIOS設定を、標準装備の指紋センサーを使用するように変更できます。『Reader
Priority』が『Internalonly』に設定されている場合は、ワークスペース認証に、内蔵されている指紋セン
サーを使用できます。この場合は、指紋センサー付きキーボードによる指紋の読み取りは無視されます。
Windows
Windows
Windows
Windowsロ
Lenovo指紋センサー付きキーボードおよびThinkPadノートブック・コンピューター・モデルで使用
される指紋センサー・デバイスは、登録された指紋でWindowsにログインするためのインターフェー
スをそれぞれ独自に備えています。
authentication
authentication
authentication
ロ
グ
オ
ロ
ログ
ン
グ
オ
ン
グオ
オン
ン
©CopyrightLenovo2008,2011
67

:
要
重
:
要
重
:指紋ログオン・インターフェースが正しく構成されていない場合は、Windowsのログオン・プロセ
要:
重要
重
スで互換性の問題が生じる可能性があります。
ThinkPadノートブック・コンピューター・モデルがLenovo指紋センサー付きキーボードと内蔵の指紋セ
ンサー・デバイスの両方を装備し、かつClientSecuritySolutionがインストールされている場合、指紋認証
を使用してWindows7オペレーティング・システムにログインするには以下の2つの方法があります。
•指紋認証ソフトウェアのログオン・インターフェースを使用するLenovoFingerprintSoftwareと
ThinkVantage指紋認証ソフトウェアの両方のログオン・インターフェースが使用可能でなければなりま
せん。Windows7オペレーティング・システムで両方の指紋ログオン・インターフェースが使用可能に
なっている場合は、ユーザーが、指紋センサー付きキーボードと内蔵されている指紋センサー・デ
バイスのどちらかで指紋を読み取らせて、ログインできます。
•ClientSecuritySolutionのログオン・インターフェースを使用する指紋認証ソフトウェアのログオン・イ
ンターフェースの代わりにClientSecuritySolutionのログオン・インターフェースを使用できます。
ClientSecuritySolutionのログオン・インターフェースを使用して指紋認証によりWindowsオペレー
ティング・システムにログインする場合、それぞれの指紋認証ソフトウェアのワークスペースの『設
定
定
定』オプションで指紋認証ソフトウェア・ログオンを使用不可にしてから、ClientSecuritySolution
定
理
管
の
ー
シ
リ
ポ
・
ー
ィ
テ
リ
ュ
キ
張
拡
張
拡
張』メニューの『セ
拡張
の『拡
ログオン・インターフェースを構成します。
:
注
:
注
:
注:
注
1.BIOSの『ReaderPriority』設定は、この状態では適用されません。両方のデバイスが使用可能に
なっているときには、どちらかのデバイスをログオンに使用できます。
2.ClientSecuritySolution8.3以降のみがこの機能をサポートしています。詳しくは、68ページの
『ClientSecuritySolutionでの認証』を参照してください。
セ
ュ
キ
セ
ュリ
キュ
セキ
ィ
テ
リ
ィー
ティ
リテ
ポ
・
ー
ポリ
・ポ
ー・
ー
シ
リ
ーの
シー
リシ
理
管
の
理』オプションでClientSecuritySolutionの
管理
の管
設
設
設
Client
Client
Client
ClientSecurity
注
注
注:
注
バージョンでは、内蔵されている指紋センサー・デバイスと指紋センサー付きキーボードとの併用
はサポートされていませんでした。
ClientSecuritySolutionを使用して指紋認証が必要なアクションを実行するときには(例えば、Password
Managerを使用してWebサイトにパスワードを自動入力する場合など)、ユーザーは、指紋センサー付
きキーボードが接続されていたら、指紋を求められたときに指紋を読み取らせる必要があります。指
紋センサー付きキーボードが接続されているときには、標準装備の指紋センサー・デバイスによる指
紋の読み取りは無視されます。指紋センサー付きキーボードが接続されていない場合は、内蔵されて
いる指紋センサーを使用する必要があります。
ClientSecuritySolutionでの認証に標準装備の指紋センサーを使用するようにユーザーに求めるには、レ
ジストリー設定を使用できます。このレジストリー項目が設定された場合は、ClientSecuritySolution
での指紋認証を標準装備のセンサーで行なう必要があり、指紋センサー付きキーボードからの指紋の
読み取りは無視されます。
レジストリー項目は次のとおりです。
[HKLMSoftwareLenovoTVTCommonClientSecuritySolution]
REG_DWORD"PreferInternalFPSensor"=1
ClientSecuritySolutionでの指紋認証を標準装備のセンサーで行う必要があるとき、上記のレジストリー項
目のデフォルト値は0で、指紋センサー付きキーボードからの指紋の読み取りは無視されます。
この設定は、ClientSecuritySolutionのAdministrativeTemplateファイルをActiveDirectoryのグループ・ポリ
シーと共に使用して、変更することもできます。
Security
Security
SecuritySolution
:
:
:次の情報は、ClientSecuritySolution8.3以降のみに適用されます。ClientSecuritySolutionの従来の
Solution
Solution
Solutionで
で
の
認
で
での
証
の
認
証
の認
認証
証
:
注
:
注
:
注:
注
68ClientSecuritySolution8.3デプロイメント・ガイド

1.BIOSの『ReaderPriority』設定が『Internal
Internal
Internal
Internalonly
only
only
only』に設定されている場合、レジストリー項目値を1に
設定することをお勧めします。これにより、ClientSecuritySolutionでの認証で、BIOSワークスペース
認証の設定をシミュレートできるようになります。
2.BIOS設定とこのレジストリー設定は独立しています。
付録A.ThinkPadノートブック・モデルでLenovo指紋センサー付きキーボードを使用する際の特別な考慮事項69

70ClientSecuritySolution8.3デプロイメント・ガイド

付
録
B
付
録
付
付録
録B
B
BWindows
Windows
Windows
Windowsパ
パ
ス
ワ
ー
ド
の
リ
セ
ッ
ト
後
に
パ
ス
ワ
ー
ド
の
リ
セ
ッ
ト
パス
スワ
ワー
ード
ドの
のリ
リセ
セッ
ット
後
ト後
後に
Client
に
Client
にClient
ClientSecurity
Security
Security
Security
Solution
Solution
Solution
Solutionで
Windowsパスワードがリセットされた後、ClientSecuritySolutionによって、新しいWindowsパスワードを
入力するように連続して求められますが、パスワードが誤っていることを示すエラー・メッセージが表
示されます。Windowsセキュリティーはこのような方法で設計されているので、Windowsパスワード
がリセットされると、セキュリティー・クレデンシャルが無効になります。パスワードをリセットし
ようとするたびに、Windowsから警告メッセージが出されます。また、Windowsパスワードのリセッ
トの影響を受けるのはClientSecuritySolutionのみではなく、WindowsEFSによって暗号化された証明
書とファイルへのアクセスも失われます。ClientSecuritySolutionが(パスワードをリセットした結果と
して)Windowsセキュリティー・クレデンシャルにアクセスできなくなると、ClientSecuritySolutionは
新しいパスワードを入力するように連続して求め、入力されたパスワードが無効であることを示すエ
ラー・メッセージを表示します。Windowsセキュリティー・クレデンシャルがこの方法で無効になる
と、ClientSecuritySolutionは機能できなくなります。Windowsパスワードが変更されたら(例えば、旧
パスワードと新パスワードの両方を指定するように求められた場合など)、新しいパスワードによっ
てセキュリティー・クレデンシャルが保存され、保護されます。
Windowsパスワードのリセット後にCSSでパスワードを同期化するには、次のようにします。
1.Windowsパスワードをリセットする前にシステムのバックアップを復元します。
2.Windowsパスワードを元のパスワードにリセットします。これにより、Windowsセキュリティー・ク
レデンシャルへのアクセスが復元されます。
3.新規Windowsアカウントを作成し、破損したクレデンシャルを使用した元のアカウントではなく、新
規アカウントの使用を開始します。
4.次の方法に従って、システムをリカバリーします。
a.PasswordManagerを起動します。
b.『イ
c.ファイルを保存する場所を指定し、ファイル名を入力します。
d.項目ファイルのパスワードを入力します。
e.PasswordManagerを閉じます。
f.ClientSecuritySolutionを起動します。
g.拡
h.新しいWindowsパスワードを入力するように求められたら、パスワードを入力します。
i.ClientSecuritySolutionから、システムを再起動するように求められます。
j.システムが再起動したら、PasswordManagerを起動します。
k.『イ
l.以前に保存したファイルを参照します。
m.パスワードを入力するように求められたら、入力します。
で
パ
ス
ワ
ー
ド
を
同
期
化
す
で
パ
ス
ワ
ー
ド
を
同
期
でパ
パス
スワ
ワー
ード
ドを
を同
同期
ト
ー
ポ
ス
ク
エ
/
ト
ー
ポ
ン
イ
ン
イ
ンポ
イン
張
拡
張
拡
張➙
拡張
ン
イ
ン
イ
ンポ
イン
ト
ー
ポ
ト/
ート
ポー
キ
セ
➙
キ
セ
➙
キュ
セキ
➙セ
ト
ー
ポ
ト
ー
ポ
ト/
ート
ポー
ス
ク
エ
/
スポ
クス
エク
/エ
テ
リ
ュ
テ
リ
ュ
ティ
リテ
ュリ
ス
ク
エ
/
ス
ク
エ
/
スポ
クス
エク
/エ
ト
ー
ポ
ト』をクリックし、『項
ート
ポー
再
の
定
設
ー
ィ
設
ー
ィ
設定
ー設
ィー
ー
ポ
ー
ポ
ート
ポー
再
の
定
再構
の再
定の
ト
ト
ト』をクリックし、『項
化
期化
化す
成
構
成
構
成の順にクリックします。
構成
る
す
る
する
る
ト
ー
ポ
ス
ク
エ
の
ト
ス
リ
目
項
リ
目
項
リス
目リ
項目
リ
目
項
リ
目
項
リス
目リ
項目
の
ト
ス
のエ
トの
スト
の
ト
ス
の
ト
ス
のイ
トの
スト
ス
ク
エ
スポ
クス
エク
ポ
ン
イ
ポ
ン
イ
ポー
ンポ
イン
ト
ー
ポ
ト』を選択します。
ート
ポー
ト
ー
ト
ー
ト』を選択します。
ート
©CopyrightLenovo2008,2011
71

72ClientSecuritySolution8.3デプロイメント・ガイド

付
録
C
再
イ
ン
ス
ト
ー
ル
さ
れ
た
付
録
C
再
イ
ン
ス
ト
ー
ル
さ
付
付録
録C
C再
再イ
イン
ンス
スト
トー
ール
ルさ
テ
ム
に
お
け
る
テ
ム
に
お
テ
テム
ムに
にお
ClientSecuritySolutionがインストールされているWindowsオペレーティング・システムを再インストー
ルした場合、その新しくインストールしたWindowsオペレーティング・システム上でClientSecurity
Solutionを使用するには、ClientSecuritySolutionのインストール・データを消去してから、ClientSecurity
Solutionを再インストールする必要があります。
そのためのベスト・プラクティスは、次のとおりです。
1.現行のWindowsオペレーティング・システムからClientSecuritySolutionをアンインストールします。
2.PCを再起動します。
3.レジストリーで以下のデータを消去します。
•[HKEY_LOCAL_MACHINE¥SOFTWARE¥Lenovo¥TVTCommon¥ClientSecuritySolution]
•[HKEY_LOCAL_MACHINE¥SOFTWARE¥Lenovo¥ClientSecuritySolution]
•[HKEY_LOCAL_MACHINE¥SOFTWARE¥Lenovo¥Logs]
•[HKEY_LOCAL_MACHINE¥SOFTWARE¥IBM¥Security¥Debug]
4.CパーティションにあるClientSecuritySolutionに関連したデータを消去します。『フォルダオプショ
ン』ウィンドウのすべての隠しファイルを表示するためのオプションを有効にして、Cパーティショ
ン全体でデータを検索することをお勧めします。その結果、以下の場所に見つかる可能性があり
ます。ただし、これ以外の場合もあります。
•C:¥Users¥AllUsers¥AppData¥Roaming¥ClientSecuritySolution
•C:¥Users¥%USER%¥AppData¥Roaming¥ClientSecuritySolution
5.BIOSSetupUtilityでセキュリティー・チップをクリアしてから、以下を実行してセキュリティー・
チップをアクティブにします。
a.コンピューターをシャットダウンします。
b.コンピューターの電源を入れ、F1を押してBIOSSetupUtilityに入ります。
c.『Security
d.Enterを押して、『Clear
e.Enterを押して、『Yes
f.『Security
け
おけ
ける
Security
Security
Security』を選択する。
Security
Security
SecurityChip
Client
る
Client
るClient
ClientSecurity
Chip
Chip
Chip』を選択してからEnterを押して、『Active
Security
Security
SecuritySolution
Security
Clear
Security
Clear
SecurityChip
ClearSecurity
Yes
Yes
Yes』を選択し、暗号鍵を消去します。
れ
され
れた
Chip
Chip
Chip』を選択します。
Windows
た
Windows
たWindows
Windowsオ
Solution
Solution
Solutionの
オ
ペ
オ
オペ
の
使
の
使
の使
使用
Active
Active
Active』を選択します。
レ
ペ
レ
ペレ
レー
用
用
用
ー
テ
ィ
ン
グ
ー
テ
ィ
ーテ
ティ
ン
ィン
ング
・
グ
・
グ・
・シ
シ
ス
シ
ス
シス
ス
:
注
:
注
:ClientSecuritySolutionをハードウェアTPMモードに設定しない場合には、セキュリティー・
注:
注
Disabled
Disabled
チップを『Disabled
6.コンピューターを再起動し、ClientSecuritySolutionを再インストールします。
:
注
:
注
:ClientSecuritySolutionインストール・モードをソフトウェア・エミュレーション・モードからハード
注:
注
ウェアTPMベース・モードに変更した場合、またはセキュリティー・チップをクリアした後、Client
SecuritySolutionはTPMの変更を検出すると既存のデータをリカバリーしようとしますが、暗号化
データは新しいTPMデータによって暗号化解除できないので失敗します。この場合、ClientSecurity
Solutionは起動できません。
©CopyrightLenovo2008,2011
Disabled』に設定します。
73

74ClientSecuritySolution8.3デプロイメント・ガイド

付
録
D
付
録
付
付録
録D
TPMの主な使用法は、MicrosoftWindowsVistaおよびWindows7オペレーティング・システムの特定の
バージョンに含まれているBitLocker機能です。この付録では、Windows環境にBitLockerをデプロイする
ときのよくある質問に対する答えを記載します。
ページの『BitLockerをリモートにデプロイする方法』
•75
•75ページの『TPMロックアウトのしくみ』
D
DThinkPad
ThinkPad
ThinkPad
ThinkPadノ
ノ
ー
ト
ブ
ッ
ク
・
コ
ン
ピ
ュ
ー
タ
ー
で
の
ノ
ー
ト
ブ
ッ
ク
・
コ
ン
ピ
ュ
ー
タ
ー
ノー
ート
トブ
ブッ
ック
ク・
・コ
コン
ンピ
ピュ
ュー
ータ
ター
で
ーで
での
TPM
の
TPM
のTPM
TPMの
の
使
の
使
の使
使用
用
用
用
BitLocker
BitLocker
BitLocker
BitLockerを
標準のWindowsツール(manage-bde.exeファイルやTPMコントロール・パネルなど)を使用してTPMをア
クティブにするには、コンピューターをシャットダウンする必要があります。コンピューターを再起動
するときは、キーを押して、操作を確認する必要があります。この方法では、リモートや無人の操作
でBitLockerをデプロイすることができません。
TPMには、『有効』と『アクティブ』の2つの状況タイプがあります。有効になっているTPMをアク
ティブにする必要はありません。同様に、アクティブになっているTPMを有効にする必要はありませ
ん。BitLockerを使用する前に、TPMを有効かつアクティブにしておく必要があります。ThinkPadノー
トブック・コンピューターには、必ずTPMが装備され、ステータスは有効かつアクティブに設定さ
れています。したがって、BitLockerを正常にデプロイするには、TPMのステータスをアクティブに
設定する必要があります。
2008年以降、ThinkPadノートブック・コンピューターには、BIOS設定を変更できるようにWindows
ManagementInstrumentation(WMI)が提供されています(TPMのステータスはアクティブに設定されていま
す)。WMIはスクリプトを作成してリモートに実行することが可能で、コンピューターを物理的に操
作する必要はありません。
BIOSを変更するには、次のようにします。
1.Webサイトhttp://support.lenovo.com/en_US/detail.page?LegacyDocID=MIGR-68488に移動します。
2.『Sample
をクリックし、script.zipファイルをダウンロードします。次に、zipファイルを展開します。
3.『コマンドプロンプト』ウィンドウにcscript.exeSetCong.vbsSecurityChipActiveと入力し、
SetConfig.vbsファイルを実行します。BIOSスーパーバイザー・パスワードを使用している場合は、
『コマンドプロンプト』ウィンドウにcscript.exeSetCongPassword.vbsSecurityChipActiveと入力
し、SetConfigPassword.vbsファイルを実行します。
4.コンピューターを2回再起動します。最初の再起動によりBIOS設定が変更されます。2回目の再起
動により、新しいBIOS設定が有効になります。
を
リ
モ
ー
ト
に
デ
プ
ロ
イ
す
る
方
を
リ
モ
ー
ト
に
デ
プ
ロ
イ
をリ
リモ
モー
ート
トに
にデ
デプ
プロ
Deployment
BIOS
Sample
Sample
SampleScripts
Scripts
Scripts
Scriptsfor
for
for
forBIOS
Deployment
BIOS
DeploymentGuide
BIOSDeployment
す
ロイ
イす
する
Guide
Guide
Guide(BIOSデプロイメント・ガイドのサンプル・スクリプト)』
法
る
方
法
る方
方法
法
:
注
:
注
:上記の手順では、TPMが既に有効になっているコンピューターでのみTPMがアクティブになります
注:
注
(たとえば、出荷時のデフォルトの状態にあるモデルなど)。Windowsツール(manage-bde.exeファイル
やTPMコントロール・パネルなど)を使用してTPMを無効にしている場合は、無効にしたときと同じ
ツールを使用して、最初にTPMを再有効化する必要があります。
TPM
TPM
TPM
TPMロ
主要なセキュリティー機能の1つであるTPMは、『連続再試行』を防止します。つまり、自動化さ
れた方法でTPMパスワードを推測しようという試みが行われないようにします。各TPMは連続再試
行に対する保護を実装し、攻撃が検出されると、TPMはロックアウト・モードに入ります。これは、
ロックアウト・モードが終了するまで、パスワードを推測しようというさらなる試みは無視されるこ
とを意味します。ただし、TrustedComputingGroup(TPMの動作を定義する組織)がTPMロックアウト
©CopyrightLenovo2008,2011
ロ
ッ
ク
ア
ウ
ト
の
し
く
ロ
ッ
ク
ア
ウ
ト
ロッ
ック
クア
アウ
の
ウト
トの
のし
み
し
く
み
しく
くみ
み
75

の標準を定義できなかったため、TPMの製造元ごとに独自のロックアウトを実装しています。Lenovo
は、次の4ベンダーのTPMを使用しています。
•Atmel-ThinkPadT60/R60/X60/X300、ThinkCentreM57
•Intel-ThinkPadT500/R500/X200/X301
•STMicro-ThinkPadT410/T510/X201/T420/T520/X220、ThinkCentreM90
•Winbond-ThinkCentreM58
これらのTPMは、以下に説明するように、ロックアウト・モードに入ったときにそれぞれ異なる特
徴があります。
TPM
Atmel
TPM
Atmel
TPM:
AtmelTPM
Atmel
•間違ったパスワード入力が試行された場合、最初の15回はロックアウト・モードに入りません
•16回目の試みが行われると、1.1分のロックアウト時間が設定されます
•次の15回の試行では、ロックアウト・モードに入りません
•さらに試みが行われると、2.2分のロックアウト時間が設定されます
•間違ったパスワード入力の試みが15回行われるごとに、ロックアウト時間は倍になり、最大4.7時間
のロックアウト時間が設定されます
•コンピューターの電源がオフにされると、ロックアウトはリセットされます
TPM
Intel
TPM
Intel
TPM:
IntelTPM
Intel
•間違ったパスワード入力が試行された場合、最初の100回はロックアウト・モードに入りません
•101回目の試みが行われると、16秒のロックアウト時間が設定されます
•以降、間違ったパスワード入力の試みが行われるごとに、ロックアウト時間は前回の倍になります(最
大ロックアウト時間はありません)
•間違ったパスワード入力試行のカウンターは、ゼロ(0)になるまで、1時間に1ずつ減じられます。
ST
ST
STMicro
ST
TPM
Micro
TPM:
MicroTPM
TPM
Micro
•間違ったパスワード入力が試行された場合、最初の40回はロックアウト・モードに入りません
•41回目の試みが行われると、3秒のロックアウト時間が設定されます
•以降、間違ったパスワード入力の試みが行われるごとに、ロックアウト時間は前回の倍になります(最
大ロックアウト時間は2時間です)
Winbond
Winbond
WinbondTPM
Winbond
TPM
TPM
TPM:
•間違ったパスワード入力の初めての試みが行われると、0.25ミリ秒のロックアウト時間が設定されます
•以降、間違ったパスワード入力の試みが行われるごとに、ロックアウト時間は前回の倍になります(最
大ロックアウト時間は14時間です)
:
注
:
注
:間違ったパスワード入力が13回試行されると、ロックアウト時間は1秒になります
注:
注
•24時間が経過すると、間違ったパスワード入力試行のカウンターはゼロ(0)にリセットされます
76ClientSecuritySolution8.3デプロイメント・ガイド

付
録
E
特
記
事
付
録
E
特
付
付録
録E
E特
本書に記載の製品、サービス、または機能が日本においては提供されていない場合があります。日本で
利用可能な製品、サービス、および機能については、レノボ・ジャパンの営業担当員にお尋ねくださ
い。本書でLenovo製品、プログラム、またはサービスに言及していても、そのLenovo製品、プログ
ラム、またはサービスのみが使用可能であることを意味するものではありません。これらに代えて、
Lenovoの知的所有権を侵害することのない、機能的に同等の製品、プログラム、またはサービスを
使用することができます。ただし、Lenovo以外の製品、プログラム、またはサービスの動作・運用に
関する評価および検証は、お客様の責任で行っていただきます。
Lenovoは、本書に記載されている内容に関して特許権(特許出願中のものを含む)を保有している場合が
あります。本書の提供は、お客様にこれらの特許権について実施権を許諾することを意味するものではあ
りません。実施権についてのお問い合わせは、書面にて下記宛先にお送りください。
L enovo (Unit ed S tat es), Inc.
1009 Think Place - Building One
Morrisville, NC 27560
U .S.A.
A tt ention: L enovo Dir ect or of Licensing
Lenovoおよびその直接または間接の子会社は、本書を特定物として現存するままの状態で提供し、商品性
の保証、特定目的適合性の保証および法律上の瑕疵担保責任を含むすべての明示もしくは黙示の保証責任
を負わないものとします。国または地域によっては、法律の強行規定により、保証責任の制限が禁じられ
る場合、強行規定の制限を受けるものとします。
記
特記
記事
項
事
項
事項
項
この情報には、技術的に不適切な記述や誤植を含む場合があります。本書は定期的に見直され、必要な変
更は本書の次版に組み込まれます。Lenovoは予告なしに、随時、この文書に記載されている製品また
はプログラムに対して、改良または変更を行うことがあります。
本書で説明される製品は、誤動作により人的な傷害または死亡を招く可能性のある移植またはその他の生
命維持アプリケーションで使用されることを意図していません。本書に記載される情報が、Lenovo製品仕
様または保証に影響を与える、またはこれらを変更することはありません。本書におけるいかなる記述
も、Lenovoあるいは第三者の知的所有権に基づく明示または黙示の使用許諾と補償を意味するものではあ
りません。本書に記載されている情報はすべて特定の環境で得られたものであり、例として提示され
るものです。他の稼働環境では、結果が異なる場合があります。
Lenovoは、お客様が提供するいかなる情報も、お客様に対してなんら義務も負うことのない、自ら適切と
信ずる方法で、使用もしくは配布することができるものとします。
本書においてLenovo以外のWebサイトに言及している場合がありますが、便宜のため記載しただけであ
り、決してそれらのWebサイトを推奨するものではありません。それらのWebサイトにある資料は、こ
のLenovo製品の資料の一部ではありません。それらのWebサイトは、お客様の責任でご使用ください。
この文書に含まれるいかなるパフォーマンス・データも、管理環境下で決定されたものです。そのため、
他の操作環境で得られた結果は、異なる可能性があります。一部の測定が、開発レベルのシステムで行わ
れた可能性がありますが、その測定値が、一般に利用可能なシステムのものと同じである保証はありませ
ん。さらに、一部の測定値が、推定値である可能性があります。実際の結果は、異なる可能性がありま
す。お客様は、お客様の特定の環境に適したデータを確かめる必要があります。
商
標
商
標
商
商標
標
以下は、LenovoCorporationの米国およびその他の国における商標です。
©CopyrightLenovo2008,2011
77

Lenovo
ThinkCentre
ThinkPad
ThinkVantage
Microsoft、InternetExplorer、WindowsServer、およびWindowsは、Microsoftグループの商標です。
他の会社名、製品名およびサービス名等はそれぞれ各社の商標です。
78ClientSecuritySolution8.3デプロイメント・ガイド

用
語
集
用
語
集
用
用語
語集
集
管理者(ThinkCentre)/スーパーバイザー(ThinkPad)
BIOSパスワード
AdvancedEncryptionStandard(AES)
暗号化システム(Cryptographysystem)
EmbeddedSecurityChip
公開鍵/非対称鍵暗号化(Public-key/Asymmetric-key
encryption)
管理者パスワードまたはスーパーバイザー・パス
ワードは、BIOS設定を変更する能力を制御する
ために使用される。これには、エンベデッド・セ
キュリティー・チップを使用可能または使用不可
にして、TPM内に保存されたストレージ・ルート
鍵をクリアする機能が含まれる。
Advanced Encryption Standard
アメリカ政府は、それまで使用していたDES暗
号化に置き換えて、このアルゴリズムをその暗号
化技法として2000年10月に採用。AESは、凶
暴なアタックに対して56ビットDESキーよりも
高度のセキュリティーを提供する。またAESで
は、必要に応じて128、192および256ビット・
キーの使用が可能。
暗号化システムは、データの暗号化と復号の両方
を行う単一の鍵を使用する対称鍵暗号化と、2つ
の鍵(全員に知られている公開鍵と鍵ペアの所有者
のみがアクセス権を持つ秘密鍵)を使用する公開鍵
暗号化に、大きく分類される。
エンベデッド・セキュリティー・チップは、TPM
の別名。
公開鍵アルゴリズムは通常、2つの関連した鍵の
ペアを使用する。1つは秘密に保持されなければな
らない秘密鍵で、もう一方は公開される鍵で広く
配布される。鍵が1つあった場合、ペアのもう一
方が推測できるようであってはならない。『公開
鍵暗号化』という用語は、鍵の一部を公開情報に
するというアイデアから得られる。すべてのパー
ティーが同じ情報を保持しないことから、非対称鍵
暗号化という用語も使用される。ある意味では、1
つの鍵がロック(暗号)を『ロック』し、別の鍵は
それをアンロック(復号)することを要求される。
は
対 称 鍵
暗号化技法。
ストレージ・ルート鍵(SRK)ストレージ・ルート鍵(SRK)は2,048ビット(ある
いはそれ以上)の公開鍵ペア。これは最初は空で、
TPM所有者が割り当てられたときに作成される。
この鍵ペアは、エンベデッド・セキュリティー・
チップをそのままでは放置しない。TPMの外部に
あるストレージの秘密鍵を暗号化(ラップ)し、
TPMにロード・バックされたときにそれらを復号
する。SRKは、BIOSにアクセスのある人なら誰
でもクリアすることができる。

対称鍵暗号化(Symmetric-keyencryption)
TPM(TrustedPlatformModule)
対称鍵暗号化暗号はデータの暗号化と復号に同じ
鍵を使用する。対称鍵暗号は簡単で高速だが、主
な欠点は、2つのパーティーが何らかのセキュアな
方法で鍵を交換しなければならないことにある。
公開鍵暗号化は、公開鍵は非セキュアな方法で配
布可能であり、秘密鍵は転送されることがないの
で、この問題を回避している。AdvancedEncryption
Standardは対称鍵の一例。
TPMは特別な目的を持ってシステム内にビルドさ
れた集積回路で、強力なユーザー認証とPC検査
を可能にする。TPMの主な目的は、機密情報への
不適切なアクセスを防止することにある。TPMは
ハードウェア・ベースの信頼の基幹機能で、シス
テム上のさまざまな暗号サービスを提供するよう
に活用することができる。TPMの別名はエンベ
デッド・セキュリティー・チップ。