Lenovo ThinkVantage Client Security Solution 8.3 Deployment Guide [ja]

ClientSecuritySolution8.3
デプロイメント・ガイド
更新:2011年12月
本書および本書で紹介する製品をご使用になる前に、77
注:
されている情報をお読みください。
ページの付録E『特記事項』に記載
4版
(2011年
©CopyrightLenovo2008,201 1.
制限付き権利に関する通知:データまたはソフトウェアが米国一般調達局(GSA:GeneralServicesAdministration)契約に 準じて提供される場合、使用、複製、または開示は契約番号GS-35F-05925に規定された制限に従うものとします。
12月
月)
目次
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
序文
文.
..
..
..
..
..
..
..
..
..
..
1
.
.
.
.
.
.
1
.
.
第1
1章
章.
.概
概要
ClientSecuritySolution.............1
ClientSecuritySolutionパスフレーズ.....2
ClientSecurityパスワードの復元.......2
ClientSecurityPasswordManager.......2
SecurityAdvisor..............3
証明書転送ウィザード..........3
ハードウェア・パスワードのリセット....3
TPMのないシステムのサポート......4
FingerprintSoftware..............4
2
.
第2
ClientSecuritySolution.............5
ThinkVantage指紋認証ソフトウェアのインストー
ル....................12
LenovoFingerprintSoftwareのインストール...15
SystemsManagementServer(SMS).......17
第3
業.
TPMの使用................19
ClientSecuritySolutionの暗号鍵の管理.....19
XMLスキーマの使用............26
RSASecurIDトークンの使用.........33
2
.
2章
章.
.イ
イン
インストール要件............5
カスタム・パブリック・プロパティ.....5
TPM(TrustedPlatformModule)のサポート...6 インストール手順およびコマンド・ライン・
パラメーター..............7
msiexec.exeの使用............8
標準Windowsインストーラーのパブリック・
プロパティ..............10
インストール・ログ・ファイル......11
サイレント・インストール........12
Options................12
サイレント・インストール........15
Options................15
3
.
3
3章
Client
.
Client
章.
.Client
ClientSecurity
.
.
.
.
.
.
..
..
..
Windows7でのTPMの使用.......19
所有権の取得.............20
ユーザー登録.............21
ソフトウェア・エミュレーション.....22
システム・ボードの交換........23
EFS保護ユーティリティー........25
例..................26
RSASecurIDソフトウェア・トークンのイン
ストール...............33
.
要.
..
..
ンス
スト
トー
Security
Security
SecuritySolution
.
.
.
.
.
.
.
.
..
..
..
..
.
.
.
.
.
..
..
..
..
.
.
ール
ル.
..
Solution
Solution
Solutionで
.
.
.
.
.
.
.
.
..
..
..
..
.
..
..
..
..
.
.
.
.
.
.
.
.
..
..
..
..
.
.
.
.
.
.
.
.
..
..
..
..
での
.
.
.
.
.
.
.
.
..
..
..
..
.
.
.
.
.
..
..
..
.iii
.
.
.
.
.
.
.
.
..
..
..
..
.
.
.
.
.
.
.
.
..
..
..
..
の作
.
.
.
.
.
.
.
.
..
..
..
.19
iii
iii
iii
.
1
.
1
.1
1
.
5
.
5
.5
5
19
19
19
要件.................33
スマート・カード・アクセス・オプションの
設定.................33
RSASecurIDソフトウェア・トークンの手動
インストール.............33
ActiveDirectoryのサポート........34
指紋センサー認証の設定とポリシー......34
強制的な指紋バイパス・オプション....34
指紋の読み取り結果..........34
コマンド・ライン・ツール.........35
SecurityAdvisor............35
ClientSecuritySolutionセットアップ・ウィ
ザード................36
デプロイメント・ファイルの暗号化または暗
号化解除ツール............37
デプロイメント・ファイル処理ツール...37
TPMENABLE.EXE...........38
証明書転送ツール...........38
TPMのアクティブ化または非アクティブ化.39
ActiveDirectoryのサポート..........41
管理用(ADM)テンプレート・ファイル...42
グループ・ポリシーの設定........43
4
.
4
第4
4章
ウェ
ェア
管理コンソール・ツール..........47
保護モードおよび簡易モード........49
指紋認証ソフトウェアおよびNovellNetware
Client..................52
ThinkVantage指紋認証ソフトウェアのサービス.53
5
5
第5
5章
作業
業.
管理コンソール・ツール..........55
LenovoFingerprintSoftwareのサービス.....55
LenovoFingerprintSoftwareのActiveDirectoryサ
ポート..................55
6
6
第6
6章
ThinkVantage
.
ThinkVantage
章.
.ThinkVantage
ThinkVantage指
アで
での
ユーザー固有コマンド.........47
グローバル設定のコマンド........48
保護モード-管理者...........49
保護モード-制限ユーザー........50
簡易モード-管理者...........50
簡易モード-制限ユーザー........51
構成可能な設定............51
認証.................53
.
.
章.
.Lenovo
.
.
.
.
..
..
.
.
章.
.ベ
の作
作業
業.
Lenovo
Lenovo
LenovoFingerprint
.
.
..
ベス
Fingerprint
Fingerprint
FingerprintSoftware
.
.
.
.
.
.
..
..
..
スト
ト・
・プ
紋認
.
.
..
.
.
..
ティ
認証
.
.
.
.
..
..
Software
Software
Softwareで
.
.
.
.
..
..
ィス
証ソ .
.
..
.
.
..
ス.
指紋
.
.
.
.
.
.
..
..
..
.
.
.
.
.
.
..
..
..
プラ
ラク
クテ
ソフ
フト
.
.
.
.
.
..
.
.
..
.
.
.
.
.
..
..
..
.47
での
.
.
.
.
.
.
.
.
..
..
..
.55
.
.
.
.
.
.
.
.
..
..
..
.57
47
47
47
55
55
55
57
57
57
©CopyrightLenovo2008,2011
i
ClientSecuritySolutionをインストールする場合の
デプロイメント例.............57
シナリオ1..............57
シナリオ2..............59
ClientSecuritySolutionモードの切り替え....61
企業用ActiveDirectoryの展開........62
CDまたはスクリプト・ファイルのスタンドアロ
ン・インストール.............62
SystemUpdate...............62
SystemMigrationAssistant..........62
TPMでの鍵生成を使用した証明書の生成....62
要件:.................62
サーバーからの証明書の要求.......63
2008ThinkPadノートブック・コンピューター・ モデル(R400/R500/T400/T500/W500/X200/X301)で のUSB指紋センサー付きキーボードの使用...64
Windows7のログオン..........64
ClientSecuritySolutionとPasswordManager..65
プリブート認証-BIOSパスワードの代わり
に指紋を使用する...........65
A.
録A. で
でLenovo を
を使
A.
A.ThinkPad
Lenovo
Lenovo
Lenovo指
使
使
使用
用す
ThinkPad
ThinkPad
ThinkPadノ
する
付録 ル
ルで ド
ドを
ノー
ート
トブ
指紋
紋セ
る際
際の
セン
ンサ
サー
の特
特別
別な
な考
ブッ
ック
ク・
ー付
付き
きキ
考慮
慮事
事項
・モ
モデ
ーボ
項.
ボー
.
.
.
.
.
.
..
..
.67
キー
設定とセットアップ............67
Pre-desktopauthentication...........67
Windowsログオン.............67
ClientSecuritySolutionでの認証........68
B.
付録 後
後に ド
ドを
付録 オ
オペ Client
Client
Client
ClientSecurity
付録 ピ
ピュ
BitLockerをリモートにデプロイする方法....75
TPMロックアウトのしくみ.........75
付録
商標...................77
用語集.................lxxix
67
67
67
Windows
B.
Windows
録B.
B.Windows
Windowsパ
Client
Client
にClient
ClientSecurity
同期
C.
C.
C.再
レー
Security
Security
SecuritySolution
D.
D.
D.ThinkPad
ータ
E.
E.
E.特
期化
化す
再イ
イン
ーテ
ティ
ThinkPad
ThinkPad
ThinkPadノ
ター
ーで
特記
記事
を同
録C.
ペレ
録D.
ュー
録E.
Security
Security
SecuritySolution
する
ンス
ィン
での
事項
パス
.
.
る.
..
スト
トー
ング
グ・
Solution
Solution
Solutionの
ノー
TPM
TPM
のTPM
TPMの
.
.
項.
..
スワ
ワー
Solution
Solution
Solutionで
.
.
.
.
..
..
ール
ルさ
・シ
シス
ート
トブ
の使
.
.
.
.
..
..
ード
.
.
..
され
ステ
使
使
の使
使用
ブッ
使
使
使用
.
.
..
ドの
のリ
リセ
でパ
パス
.
.
.
.
.
.
.
.
..
..
..
..
Windows
Windows
れた
たWindows
Windows
テム
ムに
にお
.
.
.
.
用.
..
..
ック
ク・
.
.
.
.
用.
..
..
.
.
.
.
.
.
.
.
..
..
..
..
セッ
ット
スワ
ワー
.
.
.
.
.
.
..
..
おけ
ける
.
.
.
.
..
..
・コ
コン
.
.
.
.
..
..
.
.
.
.
..
..
71
.
.
71
..
.71
71
る .
.
73
.
.
73
..
.73
73
.
.
75
.
.
75
..
.75
75
.
.
77
.
.
77
..
.77
77
iiClientSecuritySolution8.3デプロイメント・ガイド
序文
本書に記載されている情報は、ThinkVantage
プログラムがインストールされているLenovo
ClientSecuritySolutionと指紋認証ソフトウェアの目的は、クライアント・データを保護することに よってお客様のシステムを保護し、セキュリティー・ブリーチ(抜け穴)を犯そうとする試みを食い止 めることです。
Client Security Solution
Solutionおよび指紋認証ソフトウェアをインストールするために必要な情報と、ITおよび会社の方針をサ ポートするためにカスタマイズ可能な管理機能ツールについての説明やシナリオが記載されています。
本書は、IT管理者、またはThinkVantageClientSecuritySolutionおよび指紋認証ソフトウェアを組織内のPC にデプロイする担当者を対象としています。ご提案またはコメントは、Lenovo認定担当者にご連絡くださ い。本書は定期的に更新されます。最新の資料については、次のLenovoWebサイトで確認できます。
http://www.lenovo.com/support
ClientSecuritySolutionおよび指紋認証ソフトウェアのワークスペースに組み込まれているさまざまなコン ポーネントの使用に関する質問および情報は、ClientSecuritySolutionおよび指紋認証ソフトウェアに付属 のオンライン・ヘルプ・システムおよびユーザー・ガイドを参照してください。
®
ClientSecuritySolutionプログラムおよびFingerprintSoftware
®
コンピューターを対象としています。
』では、1台以上のコンピューターにClientSecurity
©CopyrightLenovo2008,2011
iii
ivClientSecuritySolution8.3デプロイメント・ガイド
1
1
第1
本章では、ClientSecuritySolutionおよび指紋認証ソフトウェアの概要を示します。本デプロイメント・ガ イドで説明されているテクノロジーは、PCの使い勝手と自己完結性を向上させ、展開を促進し単純 化する強力なツールを提供するので、ITプロフェッショナルの方に大きなメリットをもたらします。 ThinkVantageテクノロジーの支援により、ITプロフェッショナルの方は、個別のPCの問題を解決する時 間を短縮できるので、本来の作業に多くの時間を費やすことができるようになります。
1章
Client
Client
Client
ClientSecurity
ClientSecuritySolutionソフトウェアの第一の目的は、お客様が資産としてのPCを保護し、PC上の機密 データを保護し、さらにPCがアクセスするネットワーク接続を保護することを補助することです。 (TCG(TrustedComputingGroup)という業界団体が仕様を定めているTPM(TrustedPlatformModule)を含 むLenovoシステムの場合、ClientSecuritySolutionソフトウェアは、システムのトラステッド・ルート としてハードウェアを活用します。システムにエンベデッド・セキュリティー・チップが含まれてい ない場合、ClientSecuritySolutionは、システムのトラステッド・ルートとしてソフトウェア・ベース の暗号化鍵を活用します。)
ClientSecuritySolution8.3には、以下の機能が含まれています。
Windows
Security
Security
SecuritySolution
®
®
®
®
Windows
Windows
Windows
ClientSecuritySolutionは、認証の際にユーザーのWindowsパスワードまたはClientSecuritySolutionパス フレーズを受け入れるように構成できます。Windowsパスワードの場合はWindowsを使用するため、 便利で管理が容易です。ClientSecuritySolutionパスフレーズではセキュリティーが強化されます。 どちらの認証方式を使用するかは管理者が選択でき、この設定はユーザーがClientSecuritySolution に登録した後でも変更することが可能です。
紋に
指紋
内蔵、またはUSB接続の指紋センサーを活用し、パスワードで保護されたアプリケーションに対し てユーザーを認証します。
層の
多層
さまざまなセキュリティー関連操作に対して複数の認証装置(Windowsパスワード、ClientSecurityパス フレーズ、および指紋)を定義します。
スワ
パス
ユーザーIDやパスワードなどの重要なログオン情報を安全に管理し、保存します。
スワ
パス
パスワードおよびパスフレーズの復元を利用して、WindowsパスワードまたはClientSecuritySolutionパ スフレーズを忘れた場合でも、事前に構成されたセキュリティーの質問に答えることにより、Windows にログインし、ClientSecuritySolutionクレデンシャルにアクセスすることができます。
キュ
セキ
ユーザーが、詳細なワークステーション・セキュリティー設定のリストを表示し、定義された規格 に準拠するように変更できるようにします。
ィジ
ディ
ClientSecuritySolutionは、ユーザーとPCの証明書の秘密鍵を保護します。ClientSecuritySolutionを 使用することにより、既存の証明書の秘密鍵が保護されます。
証の
認証
管理者は、Windowsログオン、PasswordManager、および証明書の操作といったアクションの場合、認 証にどの装置(Windowsパスワード、ClientSecuritySolutionパスフレーズ、または指紋)が必要かを 選択することができます。
パス
るユ
よる
によ
ーザ
ユー
のユ
ド管
ード
ワー
ド/
ード
ワー
ティ
リテ
ュリ
ル証
タル
ジタ
リシ
ポリ
のポ
Solution
Solution
Solution
スワ
ユー
ザー
管理
/
/
パス
/パ
ィー
証明
シー
ドま
ード
ワー
ー認
ザー
ーザ
証に
認証
ー認
レー
フレ
スフ
定の
設定
ー設
の転
書の
明書
管理
ー管
はClient
たは
また
認証
Windows
によ
の監
転送
Windows
Windowsロ
るWindows
よる
の復
ズの
ーズ
監査
Security
Client
SecuritySolution
ClientSecurity
復元
Security
Client
Solution
Solution
Solutionパ
ログ
ンお
オン
グオ
フレ
スフ
パス
よび
およ
まざ
さま
びさ
ズに
ーズ
レー
なClient
まな
ざま
るユ
よる
によ
Client
Client
ClientSecurity
ザー
ーザ
ユー
Security
Security
SecuritySolution
認証
ー認
Solution
Solution
Solution操
証の
保護
の保
操作
©CopyrightLenovo2008,2011
1
Client
Client
Client
ClientSecurity
ClientSecuritySolutionパスフレーズは、ClientSecuritySolutionに拡張セキュリティーを提供する、ユー ザー認証のオプション機能です。ClientSecuritySolutionパスフレーズの要件は、以下のとおりです。
•8文字以上の長さ
•数字が1文字以上入っていること
•最近の3回のパスフレーズと異なること
•反復文字は2文字以内
•先頭に数字を使用しない
•末尾に数字を使用しない
•ユーザーIDを含めない
•現在のパスフレーズを設定してから3日以内は変更しない
•現在のパスフレーズと同一の文字を連続して3文字以上使用しない
•Windowsパスワードと異なる
ClientSecuritySolutionパスフレーズを知っているのは個々のユーザーだけです。ClientSecuritySolutionパ スフレーズを忘れた場合に復元する唯一の方法は、ClientSecuritySolutionパスワード復元機能を実行する ことです。ユーザーが復元のための質問に対する回答を忘れてしまった場合、ClientSecuritySolution パスフレーズで保護されたデータを復元する方法はありません。
Security
Security
SecuritySolution
Solution
Solution
Solutionパ
パス
スフ
フレ
レー
ーズ
Client
Client
Client
ClientSecurity
このオプション機能を使用すると、登録されたClientSecurityユーザーは、WindowsパスワードやClient Securityパスフレーズを忘れた場合に、3つの質問に正しく答えることにより、復元することができま す。この機能が有効である場合、ユーザーは、10の質問の中から3つを選択し、それぞれの質問に対 する回答を入力します。ユーザーがWindowsパスワードやClientSecurityパスフレーズを忘れた場合 は、これら3つの質問に回答して、そのパスワードやパスフレーズを自分でリセットするというオプ ションが用意されています。
注:
ズを復元するための唯一のオプションです。ユーザーは、それら3つの質問に対する回答を忘れた場合、 登録ウィザードを再実行しなくてはならず、前のClientSecurity保護データはすべて失われます。
Client
Client
Client
ClientSecurity
ClientSecurityPasswordManagerを使用すると、ユーザーID、パスワード、およびその他の個人情報など の、忘れやすいアプリケーションやWebサイトの情報を管理することができます。ClientSecurity PasswordManagerは、ユーザーのアプリケーションやWebサイトへのアクセス全体がセキュアに保た れるように、ClientSecuritySolutionによってユーザーの個人情報を保護します。また、ClientSecurity PasswordManagerプログラムでは、1つのパスワードまたはパスフレーズを覚えておくか、指紋を使用 すればよいため、時間と労力が節約されます。
ClientSecurityPasswordManagerを使用すると、以下の機能を実行できます。
Client
Security
Security
Securityパ
ClientSecurityパスフレーズを使用する場合、ClientSecurityパスワードの復元機能は忘れたパスフレー
Security
Security
SecurityPassword
Security
Client
Security
Client
SecuritySolution
ClientSecurity
ClientSecuritySolutionによってユーザーのすべての情報が自動的に暗号化されます。これにより、重要
なパスワード情報が、ClientSecuritySolution暗号化鍵によって保護されます。
ID
ーザ
ユー
アプリケーションまたはWebサイトにアクセスする際に、ログイン・プロセスを自動化します。ログ
オン情報がClientSecurityPasswordManagerに入力されている場合は、ClientSecurityPasswordManagerが
自動的に必須フィールドへの記入を行い、Webサイトまたはアプリケーションに実行依頼します。
ID
IDと
ーID
ザー
Solution
Solution
Solutionソ
パス
とパ
パス
スワ
Password
Password
PasswordManager
ソフ
スワ
ドの
ード
ワー
ワー
ード
ドの
Manager
Manager
Manager
トウ
フト
の自
アに
ェア
ウェ
入力
動入
自動
の復
復元
るす
よる
によ
ての
べて
すべ
存情
保存
の保
の暗
報の
情報
号化
暗号
2ClientSecuritySolution8.3デプロイメント・ガイド
Security
Client
Security
Client
SecurityPassword
ClientSecurity
Client
アカウント項目を編集し、すべてのオプション機能を1つの使いやすいインターフェースにセットアッ プすることができます。このインターフェースにより、パスワードと個人情報の管理を迅速かつ容易に 行えるようになります。ただし、変更に関連する項目のほとんどはClientSecurityPasswordManagerが自 動的に検出できるため、ユーザーはさらに簡単に項目を更新できます。
追加
ClientSecurityPasswordManagerは、重要情報が特定のWebサイトまたはアプリケーションに送信され ると、それを自動的に検出できます。重要情報を検出すると、ClientSecurityPasswordManagerはユー ザーにプロンプトを出して情報を保存するように促し、重要情報の保存プロセスを単純化します。
セキ
ClientSecurityPasswordManagerを使用して、ユーザーはテキスト・データをセキュア・スクラッチ・ パッドに保存することができます。ユーザーのセキュア・スクラッチ・パッドは、他のWebサイトや アプリケーションの項目と同じレベルのセキュリティーで保護できます。
ログ
重要な個人情報をエクスポートして、その情報をPC間で安全に移動させることができます。Client SecurityPasswordManagerからログイン情報をエクスポートすると、パスワードで保護されたエクス ポート・ファイルが作成されます。このファイルは、リムーバブル・メディアに保存することができ ます。このファイルを使用して、あらゆる場所でユーザーの個人情報にアクセスしたり、ClientSecurity PasswordManagerを使用して項目を別のPCにインポートします。
注:
にサポートされています。ClientSecuritySolutionバージョン6.0の場合は、インポートが限定的に サポートされています(アプリケーション項目はインポートされません)。ClientSecuritySoftware Solutionバージョン5.4 Managerにインポートされません。
テッ
ステ
加ス
ア・
ュア
キュ
ン情
イン
グイ
ClientSecuritySolutionバージョン7.0および8.
Password
Password
PasswordManager
ップ
・ス
情報
必要
を必
プを
ラッ
クラ
スク
エク
のエ
報の
Manager
Manager
Managerイ
しな
とし
要と
・パ
チ・
ッチ
ポー
スポ
クス
x
およびこれ以前のバージョンは、ClientSecuritySolutionバージョン8.
ター
ンタ
イン
い情
ない
ッド
パッ
トと
ート
の保
報の
情報
の情
への
ドへ
ンポ
イン
とイ
ェー
フェ
ーフ
保存
の保
報の
情報
ト:
ート
ポー
を使
スを
ース
保存
:
:
:
使
した
用し
使用
x
のエクスポート・ファイルのインポートは完全
目の
項目
た項
編集
の編
使
x
Password
Security
Security
Security

SecurityAdvisor

SecurityAdvisorを使用すると、現在PCに設定されているセキュリティー設定の要約を表示できます。こ れらの設定値を使用して、現在のセキュリティー状況を表示したり、システム・セキュリティーを強化す ることができます。表示されるカテゴリーのデフォルト値は、Windowsレジストリーによって変更でき ます。以下に、セキュリティー・カテゴリーの一例を示します。
•ハードウェア・パスワード
•Windowsユーザー・パスワード
•Windowsパスワード・ポリシー
•保護スクリーン・セーバー
•ファイル共有
明書
ClientSecurityの証明書転送ウィザードは、ソフトウェア・ベースのMicrosoft ダー(CSP)からハードウェア・ベースのClientSecuritySolutionCSPに、証明書に関連した秘密鍵を転送す るすべてのプロセスをガイドします。転送が行われた後は、秘密鍵がClientSecuritySolutionによって保護 されるため、証明書を使用する操作はよりセキュアになります。
ハー
ード
このツールは、Windowsから独立して稼動するセキュアな環境を作成し、忘れてしまったパワーオン・ パスワードやハードディスク・パスワードをリセットする際に役立ちます。IDは、自分で作成した一 連の質問に回答することによって設定されます。パスワードを忘れる前に、このセキュアな環境をで きるだけ早く作成してください。登録後、ハードディスク上にこのセキュアな環境を作成するまで は、忘れてしまったハードウェア・パスワードをリセットすることはできません。このツールは、一 部のPCを選択した場合のみ、使用可能です。
Advisor
Advisor
Advisor
転送
ドウ
ウェ
ェア
ウィ
ィザ
ザー
ア・
・パ
パス
ード
®
暗号サービス・プロバイ
スワ
ワー
ード
ドの
のリ
リセ
セッ
ット
1章.概要3
TPM
TPM
TPM
TPMの
ClientSecuritySolution8.3は現在、対応するエンベデッド・セキュリティー・チップのないLenovoシステ ムをサポートしています。このサポートにより、一貫したセキュアな環境を作成するために、全社的な標 準インストールを行うことが可能になります。エンベデッド・セキュリティー・チップのあるシステムは アタックに対してより堅固ですが、エンベデッド・セキュリティー・チップのないシステムの場合、 ClientSecuritySolutionはソフトウェア・ベースの暗号鍵をシステムの信頼性の基盤として活用します。ま た、追加のセキュリティーと機能もシステムにとって有益です。
のな
ない
いシ
シス
ステ
テム
ムの
のサ
サポ
ポー
ート
Fingerprint
Fingerprint
Fingerprint

FingerprintSoftware

Lenovoが提案する指紋センサーの目的は、パスワードの管理に関連したコストの削減やシステムに対す るセキュリティーの強化においてお客様を補助し、お客様が規制に対応できるようにすることです。 Lenovo社の指紋センサーとともに、指紋認証ソフトウェアを使用すると、個々のPCおよびネットワー クでの指紋認証が可能になります。ClientSecuritySolution8.3と結合された指紋認証ソフトウェアは、 拡張機能を提供します。ClientSecuritySolution8.3では、ThinkVantage指紋認証ソフトウェア5.9.2と LenovoFingerprintSoftware3.3の両方がサポートされます。これらはどちらもさまざまなマシン・タイプ で使用可能です。LenovoWebサイトでLenovo指紋センサーの詳細を調べたり、指紋認証ソフトウェ アをダウンロードしたりすることができます。
指紋認証ソフトウェアは、以下の機能を提供します。
Security
Client
Security
Client
SecuritySoftware
ClientSecurity
Client
Microsoft
Microsoft
MicrosoftWindows
Microsoft
パスワードをお客様の指紋に置き換えて、容易で高速、かつ安全なシステム・アクセスを提供
します。
BIOS
BIOS
BIOSパ
–BIOS
:
:
:
換:
パスワードをお客様の指紋と置き換えて、ログオン・セキュリティーと利便性を高めます。
SafeGuard
SafeGuard
SafeGuardEasy
SafeGuard
指紋認証を使用して、Windowsの起動前にハードディスクを暗号化解除します。
BIOS
BIOS
BIOSお
BIOS
起動時に指紋をセンサーに読み込ませるだけで、BIOSとWindowsにアクセスすることができるの
で、貴重な時間を節約することができます。
Client
Client
ClientSecurity
Client
ClientSecuritySolutionPasswordManagerと併用して、TPMを活用します。ユーザーは、指紋センサー に読み込ませてWebサイトにアクセスし、アプリケーションを選択します。
者機
理者
管理
機能
パス
およ
Security
Security
SecuritySolution
Windows
Windows
Windowsパ
スワ
よび
Software
Software
Software
Software
Software
Softwareの
ード
ワー
Easy
Easy
Easyで
Windows
Windows
Windowsへ
びWindows
(
(
(パ
ド(
ドラ
でド
Solution
Solution
Solutionと
機能
の機
:
ワー
スワ
パス
ーオ
ワー
パワ
イブ
ライ
への
との
の置
ドの
ード
・パ
ン・
オン
体を
全体
ブ全
ング
シン
のシ
合:
統合
の統
:
:
換:
置換
)
ワー
スワ
パス
号化
暗号
を暗
・ス
ル・
グル
:
:
:
とも
ドと
ード
るた
する
化す
イプ
ワイ
スワ
ばれ
呼ば
も呼
の起
めの
ため
アク
・ア
プ・
す)
ます
れま
起動
指紋
前指
動前
ス:
セス
クセ
)
びハ
よび
およ
)お
証:
認証
紋認
:
:
:
ドデ
ード
ハー
:
:
:
スク
ィス
ディ
パス
・パ
ク・
ード
ワー
スワ
の置
ドの
キュ
セキ
管理者は、保護モードと簡易モードを切り替えて、制限ユーザーのアクセス権限を変更するこ
とができます。
ュリ
キュ
セキ
フト
ソフ
システムに保存する際や、読み取り装置からソフトウェアに転送する際に、強い暗号化によ
り、ユーザー・テンプレートを保護します。
ード
ハー
セキュリティー読み取り装置には、指紋テンプレート、BIOSパスワード、および暗号鍵を保存し保
護するコプロセッサーがあります。
4ClientSecuritySolution8.3デプロイメント・ガイド
ティ
リテ
ュリ
ィー
ティ
リテ
ェア
ウェ
トウ
ェア
ウェ
ドウ
・モ
ー・
ィー
機能
ー機
セキ
・セ
ア・
セキ
・セ
ア・
ドの
ード
モー
リテ
ュリ
キュ
リテ
ュリ
キュ
り替
切り
の切
ー:
ィー
ティ
ー:
ィー
ティ
:
:
え:
替え
:
:
:
:
:
:
:
2
2
第2
2章
イン
ンス
本章では、ClientSecuritySolutionおよび指紋認証ソフトウェアをインストールする手順について説明しま す。ClientSecuritySolutionまたは指紋認証ソフトウェアをインストールする前に、インストールするアプ リケーションのアーキテクチャーを理解する必要があります。本章では、各アプリケーションのアーキテ クチャー、およびすべてのプログラムをインストールする前に必要な追加情報について説明します。
スト
トー
ール
Client
Client
Client
ClientSecurity
ClientSecuritySolutionのインストール・パッケージは、InstallShield10.5PremierによってBasicMSIプロ ジェクトとして開発されました。InstallShieldは、Windowsインストーラーを使用してアプリケーションを インストールします。これにより、管理者には、コマンド・ラインからのプロパティ値の設定などの、イ ンストールをカスタマイズする多くの機能が提供されます。この章では、ClientSecuritySolutionセット アップ・パッケージの使用および実行方法について説明します。より正しく理解するために、パッケー ジのインストールを開始するために、章全体をお読みください。
注:
ファイルを参照してください。READMEファイルには、ソフトウェア・バージョン、サポートされる システム、システム要件、およびインストールに役立つその他の考慮事項に関する最新の情報が含 まれています。
イン
このセクションでは、ClientSecuritySolutionパッケージをインストールするためのシステム要件を説明し ます。最良の結果を得るために、次のWebサイトにアクセスして、ソフトウェアが最新版であることを 確認してください。
http://www.lenovo.com/support
ClientSecuritySolutionをインストールするには、LenovoPCが次の要件を満たしているか、それ以上で あることが必要です。
オペレーティング・システム:Windows7
メモリー:256MB以上推奨
•InternetExplorer
•ハードディスク・ドライブ空き容量300MB。
•解像度800x600および24ビット・カラーをサポートするVGA対応ビデオ。
•ユーザーはClientSecuritySolutionをインストールするための管理者権限を持っている必要があります。
Security
Security
SecuritySolution
これらのパッケージをインストールする場合、LenovoWebサイトのClientSecuritySolutionREADME
ンス
–共用メモリー設定の場合、共用メモリーのBIOS設定を8MB以上に設定する必要があります。 –非共用メモリー設定の場合、非共用メモリーは120MB以上必要です。
スト
トー
ール
Solution
Solution
Solution
®
5.5以降がインストールされている必要があります。
WindowsServer
注:
れていません。ただし、WindowsServer2003からの証明書の要求はサポートしています。62 『TPMでの鍵生成を使用した証明書の生成』を参照してください。
カス
ClientSecuritySoftwareプログラムのインストール・パッケージには、インストールの実行時にコマンド・ ラインで設定できる、一連のカスタムパブリック・プロパティが含まれています。次の表に、Windowsオ ペレーティング・システムのカスタム・パブリック・プロパティを示します。
©CopyrightLenovo2008,2011
スタ
タム
ム・
®
2003へのClientSecuritySolutionインストール・パッケージのデプロイはサポートさ
ページの
・パ
パブ
ブリ
リッ
ック
ク・
・プ
プロ
ロパ
パテ
ティ
5
1.
プロ
EMULATIONMODE
HALTIFTPMDISABLED
NOCSSWIZARD
CSS_CONFIG_SCRIPT
SUPERVISORPW
PWMGRMODE
NOSTARTMENU
CREATESHORTCUT
ロパ
パテ
ティ
説明
TPMが存在する場合でも、強制的にエミュレーション・ モードでインストールを実行するように指定します。エ ミュレーション・モードでインストールするには、コ マンド・ラインでEMULATIONMODE=1と設定します。
TPMが使用不可状態で、インストールがサイレント・ モードで実行されている場合、デフォルトではイン ストールをエミュレーション・モードで進めます。イ ンストールをサイレント・モードで実行するときは、 HALTIFTPMDISABLED=1プロパティを使用して、TPM が使用不可の場合にインストールを停止します。
ClientSecuritySolutionのインストール後にClientSecurity Solution登録ダイアログが自動的に表示されないように するには、コマンド・ラインでNOCSSWIZARD=1を設 定します。このプロパティは、ClientSecuritySolutionは インストールしても、システムの構成は後でスクリプ トを使用して行う管理者のために構成されています。
ユーザーがインストールを完了し、再起動した後に構 成ファイルを実行するには、CSS_CONFIG_SCRIPT= 『filename』または『filenamepassword』を設定します。
コマンド・ラインでSUPERVISORPW=『password』と 設定すると、スーパーバイザー・パスワードが提供さ れ、サイレント・インストール・モードでも非サイレン ト・インストール・モードでも、チップが使用可能に なります。チップが使用不可で、インストールをサイレ ント・モードで実行する場合、チップを使用可能にする には正しいスーパーバイザー・パスワードを入力する必 要があります。パスワードが正しくないと、チップは 使用可能になりません。
PasswordManagerのみをインストールするには、コマン ド・ラインでPWMGRMODE=1と設定します。
『スタート』メニューにショートカットが生成 されないようにするには、コマンド・ラインで NOSTARTMENU=1と設定します。
項目を『 ド・ラインでCREATESHORTCUT=1と設定します。
スタ
ター
ート
』メニューに追加するには、コマン
TPM
TPM
TPM
TPM(Trusted
ClientSecuritySolutionバージョン8.3では、PCのエンベデッド・セキュリティー・チップであるTPM (TrustedPlatformModule)がサポートされています。Windowsオペレーティング・システムがサポートする TPMがLenovoPCに組み込まれている場合、ClientSecuritySolutionはWindowsオペレーティング・システ ムに組み込まれているドライバーを使用します。
TPMはシステムのBIOSによって有効になるため、TPMを使用できるようにするために再起動が必要にな る場合があります。Windows7が稼働している場合、システムの起動時にTPMを有効にするかどうかの 確認が求められることがあります。
TPMによっていずれかの機能が実施される前に、最初に所有権を初期化する必要があります。各システム は、ClientSecuritySolutionオプションを制御する1人のClientSecuritySolution管理者を持ちます。この 管理者は、Windows管理者権限を持っている必要があります。管理者はXMLデプロイメント・スク リプトを使用して初期化することができます。
6ClientSecuritySolution8.3デプロイメント・ガイド
(Trusted
(Trusted
(TrustedPlatform
Platform
Platform
PlatformModule)
Module)
Module)
Module)の
のサ
サポ
ポー
ート
システムの所有権が構成された後は、このシステムにログインする追加の各Windowsユーザーに、ユー ザーのセキュリティー・キーおよびクレデンシャルを登録し初期化するためのプロンプトがClientSecurity セットアップ・ウィザードによって自動的に出されます。
TPM
TPM
のソ
TPMの
TPM
ClientSecuritySolutionには、限定されたシステム上でTPMを使用せずに実行するオプションが用意さ れています。この機能は、ハードウェア保護キーを使用する代わりにソフトウェア・ベースのキーを 使用する以外は同じです。ソフトウェアは、TPMに効力を与える代わりに、常にソフトウェア・ベー スのキーを使用するように強制するスイッチでインストールすることが可能です。このスイッチを使 用するかどうかはインストール時の決定で、ソフトウェアのアンインストールおよび再インストー ルをせずに戻すことはできません。
TPMのソフトウェア・エミュレーションを強制する構文は以下の通りです。
InstallFile.exe“/vEMULATIONMODE=1”
イン
ンス
スト
MicrosoftWindowsインストーラーは、コマンド・ライン・パラメーターによって、複数の管理機能を 提供します。Windowsインストーラーは、ワークグループによる使用またはカスタマイズのために、 アプリケーションまたは製品のネットワークへの管理用インストールを実行できます。コマンド・ラ イン・オプションには、パラメーターを指定することが必要です。この場合、オプションとパラメー ターの間にスペースは入れません。例:
setup.exe/s/v"/qnREBOOT=”R”"
トウ
フト
ソフ
トー
ール
ア・
ェア
ウェ
ル手
ミュ
エミ
・エ
およ
よび
びコ
ーシ
レー
ュレ
コマ
マン
ョン
ショ
ンド
ド・
・ラ
ライ
イン
ン・
・パ
パラ
ラメ
メー
ータ
ター
は有効ですが、
setup.exe/s/v"/qnREBOOT=”R”"
は無効です。
インストールを単独で実行すると(パラメーターを指定せずにsetup.exeを実行すると)、デフォルトで
注:
は、インストール終了時にユーザーに再起動を促すプロンプトが出されます。プログラムを正しく機能さ せるには、再起動する必要があります。上記のセクションおよび例のセクションで示すように、サイレン ト・インストールではコマンド・ライン・パラメーターを使用して再起動を遅らせることができます。
ClientSecuritySolutionインストール・パッケージの場合、管理用インストールによりインストール・ソー ス・ファイルが指定された場所に解凍されます。
管理者用インストールを実行するには、セットアップ・パッケージをコマンド・ラインから/aパ ラメーターを使用して実行します。
setup.exe/a
管理者用インストールは、管理ユーザーにセットアップ・ファイルの解凍先を指定するようプロンプト を出すウィザードを表示します。デフォルトの解凍先はC:です。新しい場所としてC:以外のドライ ブ(その他のローカル・ドライブ、または割り当てられたネットワーク・ドライブなど)を選択するこ ともできます。新しいフォルダーも、この手順で作成できます。
管理用インストールをサイレント・インストールで実行する場合、解凍先の場所を指定するために、コマ ンド・ラインで次のように共通プロパティTARGETDIRを設定することができます。
setup.exe/s/v"/qnTARGETDIR=F:TVTRR"
または
msiexec.exe/i"ClientSecurity-PasswordManager.msi"/qnTARGERDIR=F:TVTRR
最新バージョンのWindowsインストーラーを使用していない場合、Windowsインストーラー・エンジ
注:
ンが最新バージョンに更新されるようにsetup.exeファイルが構成されます。Windowsインストーラー・エ
2章.インストール7
ンジンの更新の際、管理者用の展開インストールであってもシステムを再起動するようにプロンプト が出されます。この状態の場合に再起動しないようにするには、WindowsインストーラーのREBOOT プロパティを使用できます。Windowsインストーラーが最新バージョンである場合、setup.exeファイ ルはWindowsインストーラー・エンジンの更新を試行しません。
管理用インストールが完了した後、管理者はソース・ファイルをカスタマイズ(たとえば、レジス トリーに設定値を追加)することができます。
以下のパラメーターと説明は、InstallShield開発者のヘルプ文書に記載されています。基本MSIプロジェ クトに適用されないパラメーターは、除かれています。
2.
パラ
ラメ
/a:管理用インストール/aスイッチを指定すると、setup.exeで管理用インストー
メー
ータ
ター
説明
ルが実行されます。管理用インストールは、データ・ ファイルをユーザーが指定したディレクトリーにコピー (および解凍)しますが、ショートカットの作成、COM サーバーの登録、アンインストール・ログの作成は行 いません。
/x:アンインストール・モード
/s:サイレント・モード
/v:Msiexecへの引数の受け渡し
/L:言語のセットアップ
/w:待機
/xスイッチを指定すると、setup.exeは以前にインストー ルした製品をアンインストールします。
コマンドsetup.exe/sを実行すると、基本MSIインストー ル・プログラム用のsetup.exe初期設定ウィンドウは表 示されず、応答ファイルは読み取られません。基本 MSIプロジェクトでは、サイレント・インストールの 場合、応答ファイルは作成も使用もされません。基本 MSI製品をサイレントで実行するには、コマンド・ライ ンsetup.exe/s/v/qnを実行します。(基本MSIのサイレン ト・インストールのパブリック・プロパティ値を指定す る場合は、setup.exe/s/v"/qnINSTALLDIR=D:Destination" などのコマンドを使用できます。)
/v引数を使用して、msiexe.exeにコマンド・ライン・ス イッチとパブリック・プロパティの値を渡します。
ユーザーは、/Lスイッチと10進言語IDを使用して、 複数言語インストール・プログラムで使用する言語を 指定します。たとえば、ドイツ語を指定するコマンド はsetup.exe/L1031です。
基本MSIプロジェクトで引数/wを指定すると、setup.exe は、インストールが完了するのを待ってから終了しま す。バッチ・ファイルで/wオプションを使用すると、 setup.exeのコマンド・ライン引数全体をstart/WAITで開 始することができます。正しくフォーマットされたコマ ンドの使用例は、次のとおりです。
start/WAITsetup.exe/w
msiexec.exe
msiexec.exe
msiexec.exe
msiexec.exeの
使
使
の使
使用
カスタマイズした後に解凍したソースからインストールするには、ユーザーはコマンド・ラインで msiexec.exeを実行し、解凍された*.MSIファイルの名前を引き渡します。msiexec.exeは、インストー ル・パッケージを読み取り、製品をターゲットPCにインストールするために使用するWindowsインス トーラーの実行可能プログラムです。
msiexec/i"C:WindowsFolderProlesUserName PersonalMySetupsprojectnameproductcongurationreleasename DiskImagesDisk1productname.msi"
8ClientSecuritySolution8.3デプロイメント・ガイド
上記のコマンドを、円記号の後にスペースを入れずに1行として入力します。
注:
次の表では、msiexec.exeで有効なコマンド・ライン・パラメーターと、その使用方法を説明します。
3.
パラ
ラメ
メー
ータ
ター
説明
/Ipackageまたはproductcode
/apackage
/xpackageまたはproductcode
/L[i|w|e|a|r|u|c|m|p|v|+]logfile
/q[n|b|r|f]
このフォーマットは製品のインストールに使用します。
Othello:msiexec/i"C:WindowsFolderProles UserNamePersonalMySetups OthelloTrialVersion ReleaseDiskImagesDisk1 OthelloBeta.msi"
製品コードとは、製品のプロジェクト・ビューの製品コード・プロパティで 自動的に生成されるグローバル一意識別子(GUID)のことです。
/aオプションにより、管理者権限を持つユーザーは製品をネットワーク上 にインストールできます。
/xオプションは、製品をアンインストールします。
/Lオプションを使用して作成すると、ログ・ファイルへのパスが指定され ます。以下のフラグは、ログ・ファイルに記録する情報を示しています。
•iは、状況メッセージをログに記録します
•wは、致命的でない警告メッセージをログに記録します
•eは、すべてのエラー・メッセージをログに記録します
•aは、アクション・シーケンスの開始をログに記録します
•rは、アクション固有のレコードをログに記録します
•uは、ユーザー要求をログに記録します
•cは、初期ユーザー・インターフェース・パラメーターをログに記録 します
•mは、メモリー不足メッセージをログに記録します
•pは、端末設定をログに記録します
•vは、冗長出力設定をログに記録します
•+は、既存ファイルに付加します
•*は、すべての情報を(冗長出力設定を除いて)ログに記録できるワイ ルドカード文字です
/qオプションを以下のフラグと併用して、ユーザー・インターフェー ス・レベルを設定します。
•qまたはqnは、ユーザー・インターフェースを作成しません。
•qbは、基本ユーザー・インターフェースを作成します。
/?または/h
下記のユーザー・インターフェース設定により、インストール終了時にモー ダル・ダイアログ・ボックスが表示されます。
•qrは、縮小ユーザー・インターフェースを表示します。
•qfは、完全なユーザー・インターフェースを表示します。
•qn+は、ユーザー・インターフェースを表示しません。
•qb+は、基本ユーザー・インターフェースを表示します。
いずれかのコマンドにより、Windowsインストーラーの著作権情報が表示 されます。
2章.インストール9
3. ( 続 )
パラ
ラメ
TRANSFORMS
Properties
メー
ータ
ター
説明
TRANSFORMS
TRANSFORMS
TRANSFORMS
TRANSFORMSコマンド・ライン・パラメーターを使用して、基本パッケー
ジに適用する変換を指定します。
msiexec/i"C:WindowsFolder ProlesUserNamePersonal MySetups YourProjectNameTrialVersion MyRelease-1 DiskImagesDisk1 ProductName.msi"TRANSFORMS="NewTransform1.mst"
複数の変換をセミコロンで分離できます。Windowsインストーラー・サービ スが誤って解釈しないように、変換の名前にセミコロンを使用しないで ください。
すべてのパブリック・プロパティはコマンド・ラインで設定または変更 できます。パブリック・プロパティはプライベート・プロパティと区別さ れ、すべて大文字です。たとえば、COMPANYNAMEはパブリック・プ ロパティです。
コマンド・ラインからプロパティを設定するには、次の構文を使用します。
PROPERTY=VALUE
COMPANYNAMEの値を変更するには、次のように入力します。
msiexec/i"C:WindowsFolder ProlesUserNamePersonal MySetupsYourProjectName TrialVersionMyRelease-1 DiskImagesDisk1ProductName.msi" COMPANYNAME="InstallShield"
プロ
TARGETDIR
ARPAUTHORIZEDCDFPREFIX
ARPCOMMENTS
ARPCONTACT
ARPINSTALLLOCATION
Windows
Windows
準Windows
Windowsイ
ロパ
パテ
ティ
標準
Windowsインストーラーには、一連の標準組み込みパブリック・プロパティがあります。これらのプロパ ティをコマンド・ラインで設定して、インストール時の特定の動作を指定することができます。下表に、 コマンド・ラインで使用される最も一般的なパブリック・プロパティについて説明します。
追加情報については、次のMicrosoftWebサイトを参照してください。 http://msdn2.microsoft.com/en-us/library/aa367437.aspx
次の表に、一般的に使用されるWindowsインストーラーのプロパティを示します。
4. Windows
イン
ンス
スト
トー
ーラ
ラー
ーの
のパ
パブ
ブリ
リッ
ック
ク・
説明
インストール用の宛先のルート・ディレクトリーを指定 します。管理者用インストールの場合、このプロパティ は、インストール・パッケージのコピー先です。
アプリケーションの更新チャネルのURL。
『コントロールパネル』の『プログラムの追加と削 除』に『コメント』を提供します。
『コントロールパネル』の『プログラムの追加と削除』 に『連絡先』を提供します。
アプリケーションの1次フォルダーへの完全修飾パス。
・プ
プロ
ロパ
パテ
ティ
10ClientSecuritySolution8.3デプロイメント・ガイド
4. Windows ( 続 )
プロ
ARPNOMODIFY
ARPNOREMOVE
ARPNOREPAIR
ARPPRODUCTICON
ARPREADME
ARPSIZE
ARPSYSTEMCOMPONENT
ARPURLINFOABOUT
ARPURLUPDATEINFO
REBOOT
ロパ
パテ
ティ
説明
製品を変更する機能を使用不可にします。
製品を削除する機能を使用不可にします。
『プログラム』ウィザードの『修復』ボタンを使用
不可にします。
インストール・パッケージの基本アイコンを指定し
ます。
『コントロールパネル』の『プログラムの追加と削除』
にREADMEを提供します。
アプリケーションの推定サイズ(KB)。
『プログラムの追加と削除』のリストにアプリケーショ
ンを表示しないようにします。
アプリケーションのホーム・ページのURL。
アプリケーション更新情報のURL。
REBOOTプロパティにより、システムの再起動を促す特 定のプロンプトが抑止されます。管理者は通常、一連の インストールを行う際にこのプロパティを使用して、 複数の製品を同時にインストールし、最後に一度だけ再 起動します。インストール終了時の再起動を使用不可に するには、REBOOT=『R』と設定します。
イン
ンス
スト
トー
ール
ル・
・ロ
ログ
ClientSecuritySolutionのインストール・ログ・ファイルはcssinstall83xx.logという名前で、setup.exeファイ ルでセットアップを起動する(install.exeファイルをダブルクリックするか、パラメーターなしで実行可能 ファイルを実行するか、MSIパッケージを解凍してsetup.exeファイルを実行します)と、%temp%ディレ クトリーに作成されます。このファイルには、インストール問題のデバッグに使用できるログ・メッセー ジが含まれています。このログ・ファイルには、『コントロールパネル』の『
』アプレットによって実行されたアクティビティーすべてが含まれます。このログ・ファイルは、
MSIパッケージから直接setup.exeファイルを実行した場合には作成されません。すべてのMSIアクショ ンのログ・ファイルを作成するには、レジストリー内のログ・ポリシーを使用可能にすることができ ます。これを行うには、次の値を作成します。
[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsInstaller] "Logging"="voicewarmup"
ンス
イン
次の表には、setup.exeファイルを使用したインストールの例が示されています。
5. setup.exe 使
説明
サイレント・インストール(再起動なし)
管理者用インストール
管理用のサイレント・インストール(ClientSecurity Softwareの解凍先を指定)。
サイレント・アンインストール
ール
トー
スト
の例
ルの
グ・
・フ
ファ
ァイ
イル
setup.exe/s/v”/qnREBOOT=”R””
setup.exe/a
setup.exe/a/s/v”/qnTARGETDIR=”F: CSS83””
setup.exe/s/x/v/qn
グラ
ログ
プロ
の追
ムの
ラム
と削
加と
追加
2章.インストール11
5. setup.exe 使 ( 続 )
説明
再起動なしのインストール(ClientSecuritySoftwareの tempサブディレクトリーにインストール・ログを作成)
ワークスペースをインストールしないインストール
次の表は、ClientSecurity-PasswordManager.msiを使用したインストールの例です。
6. Client Security - Password Manager.msi 使
説明
インストール
サイレント・インストール (再起動なし)
サイレント・アンインストー ル
msiexec/i“C:CSS83ClientSecurity Solution-PasswordManager .msi”
msiexec/i“C:CSS83ClientSecurity Solution-PasswordManager .msi”/qnREBOOT=”R”
msiexec/x“C:CSS83ClientSecurity Solution-PasswordManager.msi”/qn
setup.exe/v”REBOOT=”R”/L*v%temp% cssinstall83.log”
setup.exe/vPDA=0
ThinkVantage
ThinkVantage
ThinkVantage
ThinkVantage指
ThinkVantage指紋認証ソフトウェア・プログラムのsetup.exeファイルは、以下の方法でインストール できます。
サイ
ThinkVantage指紋認証ソフトウェアをサイレント・インストールするには、CD-ROMドライブのインス トール・ディレクトリーにあるsetup.exeファイルを実行します。
このときの構文は次のようになります。
Setup.exePROPERTY=VALUE/q/i
ここで、qはサイレント・インストール、iはインストールを表します。例:
setup.exeINSTALLDIR="C:ProgramFilesThinkVantagengerprintsoftware"/q/i
このソフトウェアをアンインストールするには、/iの代わりに/xパラメーターを使用します。
setup.exeINSTALLDIR="C:ProgramFilesThinkVantagengerprintsoftware"/q/x

Options

Options
Options
Options
ThinkVantage指紋認証ソフトウェアでは以下のオプションがサポートされています。
7. ThinkVantage
パラ
CTRLONCE
CTLCNTR
イレ
レン
ント
ラメ
メー
ータ
ター
指紋
認証
ソフ
フト
トウ
ウェ
ェア
アの
のイ
ト・
・イ
イン
ンス
スト
トー
ール
イン
ンス
スト
説明
コントロール・センターを一度だけ表示します。デ フォルト値は0です。
•0=起動時にコントロール・センターを表示しませ ん。
•1=起動時にコントロール・センターを表示します。
デフォルト値は1です。
トー
ール
12ClientSecuritySolution8.3デプロイメント・ガイド
7. ThinkVantage ( 続 )
パラ
ラメ
メー
ータ
ター
DEFFUS
説明
•0=ユーザーの簡易切り替え(FUS)設定を使用しま
せん。
•1=FUS設定を使用します。
デフォルト値は0です。
DEVICEBIO
ユーザーにより使用されるデバイス・タイプを構成
します。
•DEVICEBIO=#3-デバイス・センサーを使用して最
初の登録を保存します。
•DEVICEBIO=#0-ハードディスク・ドライブを使用
して登録を保存します。
•DEVICEBIO=#1-コンパニオン・チップを使用して登
録を保存します。
INSTALLDIR
OEM
インストール・ディレクトリーを設定します。
•0=サーバー・パスポートまたはサーバー認証に関す
るサポートもインストールします。
•1=スタンドアロンPCモードのみ(ローカル・パス
ポート)をインストールします。
デフォルト値は1です。
PASSPORT
デフォルトのパスポート・タイプを設定します。
•1=ローカル・パスポート
•2=サーバー・パスポート
デフォルト値は1です。
POSSSO
•1=シングル・サインオンを有効にします。
•0=シングル・サインオンを無効にします。
デフォルト値は1です。
PSLOGON
•0=指紋ログオンを無効にします。
•1=指紋ログオンを有効にします。
デフォルト値は0です。
REBOOT
ReallySuppressに設定すると、インストール中は、プロ ンプトを含むすべての再起動を行わないようにします。
SECURITY
•1=保護モードでインストールします。
•0=簡易モードでインストールします。
SHORTCUT
•0=起動時にコントロール・センター・ショートカッ
トを表示しません。
•1=起動時のコントロール・センター・ショートカッ
トの表示を有効にします。
SHORTCUTFOLDER
非管理者ユーザー特権
デフォルト値は0です。
スタ
ター
ート
』メニューのショートカット・フォルダーの
デフォルト名を設定します。
2章.インストール13
7. ThinkVantage ( 続 )
パラ
ラメ
DELETESELF
ENROLLSELF
ENROLLTBX
IMPORTSELF
REVEALPWD
メー
ータ
ター
説明
•1=指紋削除を有効にします。
•0=指紋削除を無効にします。
デフォルト値は1です。
•1=指紋登録を有効にします。
•0=指紋登録を無効にします。
デフォルト値は1です。
•1=パワーオン用の指紋の選択を有効にします。
•0=パワーオン用の指紋の選択を無効にします。
デフォルト値は1です。
•1=管理者以外のユーザーによる指紋のインポート/エ クスポートを有効にします。
•0=管理者以外のユーザーによる指紋のインポート/エ クスポートを無効にします。
デフォルト値は1です。
•1=Windowsパスワードの復元を有効にします。
•0=Windowsパスワードの復元を無効にします。
デフォルト値は1です。
連続再試行に対する保護(ロックアウト設定)
LOCKOUT
LOCKOUTCOUNT
LOCKOUTTIME
認証タイムアウト(非活動設定)
GUITMENABLE
GUITMTIME
PWDLOGON
•1=連続再試行に対する保護を有効にします。
•0=連続再試行に対する保護を無効にします。
デフォルト値は1です。
最大再試行回数。デフォルト値は5で、任意の値を使用 できます。
ミリ秒単位のタイムアウト。デフォルト値は120000 で、最大360000までの任意の値を使用できます。
•1=ミリ秒単位の認証タイムアウトを有効にします。
•0=ミリ秒単位の認証タイムアウトを無効にします。
デフォルト値は1です。
認証タイムアウト期間。デフォルト値は120000で、最 大360000までの任意の値を使用できます。
•1=管理者以外のユーザーによる指紋認証のみのロ グオンを有効にします。
•0=管理者以外のユーザーによる指紋認証のみのロ グオンを無効にします。
デフォルト値は1です。
14ClientSecuritySolution8.3デプロイメント・ガイド
7. ThinkVantage ( 続 )
パラ
ラメ
NOPOPPAPCHECK
CSS
すべてのオプションは任意指定です。
注:
FingerprintSoftwareをアンインストールするには、/iの代わりに/xパラメーターを使用します。ユー ザー・インターフェースからの標準アンインストールの際には、既存のパスポートを削除するかどうか、 およびブート・セキュリティー機能を使用不可にするかどうかを選択するためのダイアログが表示されま す。サイレント・アンインストール・モードの場合、DELPASパラメーターを使用できます。既存のパス ポートを削除する場合、DELPAS値を"1"に設定します。これらのオプションを定義しない場合、または 他の値にする場合、パスポートはPC上に残り、ブート・セキュリティーはその後も有効です。ブー ト・セキュリティーをオンのままにすると、本製品を再インストールしない限りは、ブート・セキュリ ティー・メモリーで指紋を編集することはできません。たとえば、以下の構文を実行するとします。
msiexec/iSetup.msiDELPAS="1"/q
メー
ータ
ター
説明
•0=パワーオン・セキュリティー・オプションを表示
しません。
•1=パワーオン・セキュリティー・オプションを常
に表示します。
デフォルト値は0です。
•0=ClientSecuritySolutionはインストールされていな
いと想定します。
•1=ClientSecuritySolutionがインストールされてい
ると想定します。
デフォルト値は0です。
この場合、製品がアンインストールされ、既存のすべてのパスポートが削除され、ブート・セキュリ
ティーがPC上に残ります。
Lenovo
Lenovo
Lenovo
LenovoFingerprint
LenovoFingerprintSoftwareプログラムのsetup32.exeファイルは、以下の手順を使用してインストール できます。
サイ
イレ
指紋認証ソフトウェアをサイレント・インストールするには、CD-ROMドライブのインストール・ディレ クトリーにあるsetup32.exeファイルを実行します。
このときの構文は次のようになります。
setup32.exe/s/v"/qnREBOOT="R""
ソフトウェアをアンインストールするには、構文を実行します。
setup32.exe/x/s/v"/qnREBOOT="R""

Options

Options
Options
Options
LenovoFingerprintSoftwareでは以下のオプションがサポートされています。
Fingerprint
Fingerprint
FingerprintSoftware
レン
ント
ト・
・イ
イン
Software
Software
Softwareの
ンス
スト
のイ
トー
ール
イン
ンス
スト
トー
ール
2章.インストール15
8. Lenovo Fingerprint Software
パラ
ラメ
SHORTCUT
SWAUTOSTART
SWFPLOGON
SWPOPP
SWSSO
SWALLOWENROLL
SWALLOWDELETE
SWALLOWIMEXPORT
SWALLOWSELECT
メー
ータ
ター
説明
ショートカットを表示します。
•0=コントロール・センター・ショートカットを表示
•1=コントロール・センター・ショートカットを表
デフォルト値は0です。
•0=起動時に指紋認証ソフトウェアを開始しません。
•1=起動時に指紋認証ソフトウェアを開始します。
デフォルト値は1です。
•0=指紋ログオン(GINAまたはクレデンシャル・プロ
•1=指紋ログオン(GINAまたはクレデンシャル・プロ
デフォルト値は0です。
•0=パワーオン・パスワードの保護を無効にします。
•1=パワーオン・パスワードの保護を有効にします。
デフォルト値は0です。
•0=シングル・サインオン機能を無効にします。
•1=シングル・サインオン機能を有効にします。
デフォルト値は0です。
•0=管理者以外のユーザーによる指紋の登録を無効
•1=管理者以外のユーザーによる指紋の登録を有効
デフォルト値は1です。
•0=管理者以外のユーザーによる指紋の削除を無効
•1=管理者以外のユーザーによる指紋の削除を有効
デフォルト値は1です。
•0=管理者以外のユーザーによる指紋のインポート/エ
•1=管理者以外のユーザーによる指紋のインポート/エ
デフォルト値は1です。
•0=管理者以外のユーザーが指紋を使用してパワー
•1=管理者以外のユーザーが指紋を使用してパワー
デフォルト値は1です。
スタ
ター
ート
』メニューにコントロール・センター・
しません。
示します。
バイダー)を使用しません。
バイダー)を使用します。
にします。
にします。
にします。
にします。
クスポートを無効にします。
クスポートを有効にします。
オン・パスワードを置換することの選択を無効に します。
オン・パスワードを置換することの選択を有効に します。
16ClientSecuritySolution8.3デプロイメント・ガイド
8. Lenovo Fingerprint Software ( 続 )
パラ
ラメ
SWALLOWPWRECOVERY
SWANTIHAMMER
SWANTIHAMMERRETRIES
SWANTIHAMMERTIMEOUT
SWAUTHTIMEOUT
SWAUTHTIMEOUTVALUE
SWNONADMIFPLOGONONLY
SWSHOWPOWERON
CSS
メー
ータ
ター
説明
•0=Windowsパスワードの復元を無効にします。
•1=Windowsパスワードの復元を有効にします。
デフォルト値は1です。
•0=連続再試行に対する保護を無効にします。
•1=連続再試行に対する保護を有効にします。
デフォルト値は1です。
最大再試行回数を指定します。デフォルト値は5です。
注:
この設定は、SWANTIHAMMERが有効になっていると
きにのみ、機能します。
タイムアウト期間(秒単位)を指定します。デフォルト
値は120です。
注:
この設定は、SWANTIHAMMERが有効になっていると
きにのみ、機能します。
•0=認証タイムアウトを無効にします。
•1=認証タイムアウトを有効にします。
デフォルト値は1です。
認証がタイムアウトになるまでの非アクティブ期間(秒
単位)を指定します。デフォルト値は120です。
注:
この設定は、SWAUTHTIMEOUTが有効になっていると
きにのみ、機能します。
•0=管理者以外のユーザーによる指紋認証のみのロ
グオンを無効にします。
•1=管理者以外のユーザーによる指紋認証のみのロ
グオンを有効にします。
デフォルト値は1です。
•0=パワーオン・セキュリティー・オプションを表示
しません。
•1=パワーオン・セキュリティー・オプションを常
に表示します。
デフォルト値は0です。
•0=ClientSecuritySolutionはインストールされていな
いと想定します。
•1=ClientSecuritySolutionがインストールされてい
ると想定します。
デフォルト値は0です。
Systems
Systems
Systems
SystemsManagement
Management
Management
ManagementServer
Server
Server
Server(SMS)
(SMS)
(SMS)
(SMS)
SystemManagementServer(SMS)のインストールもサポートされています。SMS管理者コンソールを開きま す。新規パッケージを作成して標準的なパッケージ・プロパティを設定します。そのパッケージを開き、 『プログラム』項目で『新規プログラム』を選択します。コマンド・ラインに次のように入力します。
Setup.exe/myourmiflename/q/i
サイレント・インストールの場合と同じパラメーターを使用できます。
2章.インストール17
Setupでは、通常はインストール・プロセス終了時に再起動します。インストール中は再起動せず、 後で(さらにいくつかのプログラムをインストールしてから)再起動する場合は、プロパティ・リスト にREBOOT=『ReallySuppress』を追加します。
18ClientSecuritySolution8.3デプロイメント・ガイド
3
3
第3
3章
ClientSecuritySolutionをインストールする前に、ClientSecuritySolutionで選択可能なカスタマイズについ て理解する必要があります。この章には、ClientSecuritySolutionのカスタマイズに関する情報およびTPM (TrustedPlatformModule)に関する情報が記載されています。この章では、TPMについてTrustedComputing Group(TCG)によって定義された用語を使用します。TPMについて詳しくは、次のWebサイトを参照して ください。
http://www.trustedcomputinggroup.org/
Client
Client
Client
ClientSecurity
Security
Security
SecuritySolution
Solution
Solution
Solutionで
での
の作
作業
TPM
TPM
TPM
TPMの
TPMは、TPMを利用するソフトウェアにセキュリティー関連の機能を提供するために設計されたエンベ デッド・セキュリティー・チップです。エンベデッド・セキュリティー・チップは、システムのマザー ボードに搭載され、ハードウェア・バスを介して通信します。TPMを導入しているシステムは、暗号鍵を 作成して暗号化することができ、同じTPMのみが暗号化を解除することができます。このプロセスは、 しばしば鍵の スター・ラッピング鍵は、ストレージ・ルート鍵(SRK)と呼ばれ、TPM自体の内部に保存されるので、鍵 の秘密(private)部分は決して公開されません。エンベデッド・セキュリティー・チップは、他のストレー ジ・キー、署名鍵、パスワード、およびデータの他の小ユニットも保存できます。TPMには記憶容量の 制限があるので、SRKはチップ外に記憶するその他の鍵の暗号化に使用されます。SRKはエンベデッ ド・セキュリティー・チップに残されることは決してないので、保護ストレージの基本になっています。
エンベデッド・セキュリティー・チップの使用はオプションであり、ClientSecuritySolution管理者を 必要とします。個人ユーザーでも企業のIT部門でも、TPMは初期設定する必要があります。ハード ディスク故障からのリカバリーやシステム・ボードの交換など、その後の操作を行うのはClientSecurity Solution管理者に限定されます。
注:
トしてから、マスター管理者としてログインし直す必要があります。これで、セキュリティー・チッ プをアンロックすることができます。2次ユーザーとしてログオンして、認証モードの変換を続ける こともできます。この操作は2次ユーザーがログオンすると自動的に行われます。この場合、Client SecuritySolutionによって2次ユーザーのパスワードまたはパスフレーズのプロンプトが出されます。 ClientSecuritySolutionが変更の処理を完了すると、2次ユーザーはセキュリティー・チップのアン ロック操作に進むことができます。
使
使
の使
使用
認証モードを変更するときにセキュリティー・チップをアンロックしようとする場合、ログアウ
と呼ばれ、鍵の開示を防止するのに役立ちます。TPMを備えたシステムでは、マ
Windows
Windows
Windows
Windows7
Windows7ログオンが有効で、TPMが無効の場合、Windowsログオン機能を無効にしてから、F1BIOSで TPMを無効にする必要があります。この操作を行うと、『
た。
した
まし
ま protected)
protected)
protected)』というセキュリティー・メッセージが表示されなくなります。
protected)
さらに、クライアント・システムのオペレーティング・システムをアップグレードする場合、Client Securityの登録に失敗しないためにセキュリティー・チップのクリアが必要です。F1BIOSでセキュリ ティー・チップをクリアするには、システムをコールド起動する必要があります。ウォームリブートの後 にこのプロセスを実行しようとすると、セキュリティー・チップをクリアできなくなります。
Client
Client
Client
ClientSecurity
ClientSecuritySolutionについては、2つの主なデプロイメント・アクティビティーである『所有権の取 得』と『ユーザー登録』で説明します。ClientSecuritySolutionセットアップ・ウィザードを初めて実行す る際に、所有権の取得プロセスとユーザー登録プロセスが、どちらも初期設定時に実行されます。Client
©CopyrightLenovo2008,2011
7
のTPM
ロセ
プロ
・プ
Solution
Solution
Solutionの
TPM
TPM
TPMの
7
7で
での
ログ
。ロ
Security
Security
SecuritySolution
ン・
オン
グオ
使
使
の使
使用
セキ
を保
スを
セス
でき
護で
保護
の暗
暗号
せん
ませ
きま
(Security
(Securitychip
。(Security
ん。
の管
管理
(Security
chip
chip
chiphas
リテ
ュリ
キュ
has
has
hasbeen
been
been
beendeactivated,
ィー
ティ
deactivated,
deactivated,
deactivated,the
ー・
ップ
チッ
・チ
非ア
が非
プが
logon
the
logon
the
logonprocess
thelogon
ティ
クテ
アク
process
process
processcannot
にな
ブに
ィブ
cannot
cannot
cannotbe
なり
be
be
be
19
SecuritySolutionセットアップ・ウィザードを完了した特定のWindowsユーザーIDは、ClientSecurity Solution管理者で、アクティブ・ユーザーとして登録されます。システムにログインするその他のユー ザーは、すべてClientSecuritySolutionに登録するように自動的に要求されます。
権の
有権
所有
単一のWindows管理者のユーザーIDは、唯一のClientSecuritySolution管理者としてシステムに割り当 てられます。ClientSecuritySolutionの管理機能は、このユーザーIDにより実行される必要があります。 TPMの許可は、このユーザーのWindowsパスワードか、ClientSecurityパスフレーズのいずれかです。
忘れてしまったClientSecuritySolution管理者パスワードまたはパスフレーズからリカバリーする唯
注:
一の方法は、有効なWindowsのアクセス権を使用してこのソフトウェアをアンインストールするか、 BIOS内のセキュリティー・チップをクリアするかのいずれかです。いずれの方法でも、TPMに関連し た鍵を介して保護されたデータは、消失します。ClientSecuritySolutionは、忘れてしまったパスワー ドまたはパスフレーズを自分で復元できるようにするオプション機構も提供します。このため、パス ワードまたはパスフレーズは、ユーザー確認のための質問への応答を基にしています。ClientSecurity Solution管理者は、この機能を使用するかしないかを決定します。
ザー
ーザ
ユー
所有権の取得プロセスが完了し、ClientSecuritySolution管理者が作成されると、ユーザー・ベース鍵を 作成して、現在ログオンしているWindowsユーザーのクレデンシャルを安全に保存することができま す。この設計により、複数のユーザーがClientSecuritySolutionに登録し、単一のTPMを利用すること ができます。ユーザー鍵は、セキュリティー・チップを介して保護されますが、実際にはチップ外の ハードディスクに保存されます。この設計では、セキュリティー・チップに構築された実際のメモリー の代わりに、制限のあるストレージ要素としてハードディスク・スペースを作成します。同じセキュ ア・ハードウェアを利用できるユーザーの数が飛躍的に増大します。
取得
の取
登録
ー登
所有
有権
権の
ClientSecuritySolutionのトラステッド・ルートは、システム・ルート・キー(SRK)です。この移動で きない非対称鍵は、TPMのセキュア環境内に生成され、システムに公開されることは決してありま せん。この鍵を利用する許可は、Windows管理者アカウントによりTPM_TakeOwnershipコマンドの実 行中に得られます。ClientSecurityパスフレーズを利用している場合、ClientSecuritySolution管理者 のClientSecurityパスフレーズは、TPM許可になり、それ以外の場合はClientSecuritySolution管理者 のWindowsパスワードになります。
システム用に作成されたSRKでは、その他の鍵ペアは、作成してTPMの外部に保存できますが、ハード ウェア・ベースの鍵によってラップまたは保護されます。TPMはSRKを内蔵するハードウェアであり、 ハードウェアは損傷することがあるので、システムへの損傷によりデータ・リカバリーが妨げられない ようにするためにリカバリー機構が必要です。
システムをリカバリーするために、システム・ベース鍵(SystemBaseKey)が作成されます。この非対称ス トレージ・キーにより、ClientSecuritySolution管理者は、システム・ボード交換や別システムへの計画的 移行からリカバリーすることができます。システム・ベース鍵を保護しながら、通常の操作またはリカバ リー時にアクセスできるようにするために、このキーの2つのインスタンスが作成され、異なる2つの方 法によって保護されます。最初に、システム・ベース鍵は、AES対称鍵を使用して暗号化されます。この 鍵は、ClientSecuritySolution管理者のパスワードまたはClientSecurityパスフレーズを知っていれば得るこ とができます。ClientSecuritySolutionリカバリー・キーのこのコピーは、クリアされたTPMまたはハード ウェア障害により交換されたシステム・ボードからのリカバリー専用です。
ClientSecuritySolutionリカバリー・キーの2番目のインスタンスは、SRKによってラップされてキー階層 にインポートされます。システム・ベース鍵のこの2つのインスタンスにより、TPMは自身にバインドさ れた秘密を通常の使用状態で保護することができ、さらにAES鍵を使用して暗号化されているシステ ム・ベース鍵を介して、障害のあるシステム・ボードをリカバリーすることができます。AES鍵は、 ClientSecuritySolution管理者パスワードまたはClientSecurityパスフレーズによってアンロックされます。 次に、システム・リーフ鍵(SystemLeafKey)が作成されます。このキーは、AES鍵など、システム・レベ ルの機密事項を保護するために作成されます。
の取
取得
20ClientSecuritySolution8.3デプロイメント・ガイド
次の図に、システム・レベルのキー構造を示します。
System Level Key Structure - Take Ownership
Trusted Platform Module
Encrypted via derived AES Key
Storage Root Private Key
Storage Root Public Key
System Leaf Private Key
System Base Private Key
System Leaf Public Key
System Base Public Key
System Base Private Key
System Base Public Key
If Passphrase
loop n times
CSS Admin PW/PP
One-Way Hash
One-Way Hash
System Base AES
Protection Key
(derived via output
of hash algorithm)
Auth
1. - 所
ユー
ーザ
ザー
ー登
各ユーザーのデータを同じTPMによって保護するため、各ユーザーは独自のユーザー・ベース鍵を作成 します。この移動可能な非対称ストレージ・キーは、2回作成され、各ユーザーのWindowsパスワードま たはClientSecurityパスフレーズから生成された対称AES鍵によって保護されます。
次に、ユーザー・ベース鍵の2番目のインスタンスは、TPMにインポートされ、システムSRKによって 保護されます。作成されたユーザー・ベース鍵では、ユーザー・リーフ鍵(UserLeafKey)と呼ばれる第2 非対称鍵が作成されます。ユーザー・リーフ鍵は、インターネット・ログオン情報の保護に使用される PasswordManagerAES鍵、データの保護に使用されるパスワード、およびオペレーティング・システムへ のアクセスを防護するWindowsパスワードAES鍵など、個別の秘密事項を保護します。ユーザー・ リーフ鍵へのアクセスは、ユーザーのWindowsパスワードまたはClientSecuritySolutionパスフレーズに よって制御され、ログオン時には自動的にロックが解除されます。
3章.ClientSecuritySolutionでの作業21
Loading...
+ 61 hidden pages