Lenovo ThinkVantage Client Security Solution 8.3 Deployment Guide [it]

ClientSecuritySolution8.3 Guidaalladistribuzione

Aggiornato:dicembre2011

Nota:Primadiutilizzarequesteinformazionieilprodottosupportato,consultareleinformazionigeneraliin AppendiceE“Informazioniparticolari”apagina79.

Quartaedizione(Dicembre2011)

©CopyrightLenovo2008,2011.

NOTASUIDIRITTILIMITATI:seidatioilsoftwaresonodistribuitiinbasealledisposizionicheregolanoilcontratto “GSA”(GeneralServicesAdministration),l'uso,lariproduzioneoladivulgazioneèsoggettaallelimitazionipreviste dalcontratton.GS-35F-05925.

Contenuto

Prefazione...............iii

Capitolo1.Panoramica.........1

ClientSecuritySolution............1

FrasediaccessodiClientSecuritySolution..2

RecuperopassworddiClientSecurity.....2

ClientSecurityPasswordManager......2

SecurityAdvisor.............3

Proceduraguidataditrasferimentocerticati..3

Ripristinopasswordhardware........3

Supportoperisistemisenzamodulodi

piattaformaafdabile...........4

FingerprintSoftware.............4

Capitolo2.Installazione.........7

ClientSecuritySolution............7

Requisitidiinstallazione..........7

Proprietàpubblichepersonalizzate......7

SupportoTPM(T rustedPlatformModule)...8 Procedurediinstallazioneeparametridella

rigacomandi..............9

Utilizzodimsiexec.exe..........10

ProprietàpubblichestandarddiWindows

Installer................12

Filedilogdiinstallazione.........13

InstallazionediThinkVantageFingerprint

Software.................14

Installazionenonpresidiata........14

Opzioni................14

InstallazionediLenovoFingerprintSoftware...17

Installazionenonpresidiata........17

Opzioni................17

SMS(SystemsManagementServer)......19

Capitolo3.GestionediClientSecurity

Solution................21

UtilizzodiTPM(T rustedPlatformModule)....21

UtilizzodiTrustedPlatformModule(TPM)con

Windows7..............21

GestionediClientSecuritySolutionconchiavi

crittograche...............21

Acquisizionediproprietà.........22

Registrazioneutente..........23

Emulazionedelsoftware.........24

Cambiodellaschedadisistema......25

UtilitàdiprotezioneEFS.........27

UtilizzodiunoschemaXML.........28

Esempi................28

UtilizzoditokenRSASecurID.........34

InstallazionedeltokendelsoftwareRSA

SecurID...............35

Requisiti...............35

Impostazionidelleopzionidiaccessoalle

smartcard..............35

Installazionemanualedeltokendelsoftware

RSASecurID.............35

SupportoperActiveDirectory.......35

Impostazioniecriteriperl'autenticazionetramite

lettorediimprontedigitali..........36

Opzionedidisabilitazionedelleimpronte

digitali................36

Risultatodellaregistrazionediimpronte

digitali................36

Strumentidellarigacomandi.........36

SecurityAdvisor............37

ProceduraguidatadiinstallazionedellaClient

SecuritySolution............38

Strumentodicodicaodecodicadelledi

distribuzione..............39

Strumentodielaborazionedelledi

distribuzione..............39

TPMENABLE.EXE...........39

StrumentoTrasferimentocerticati.....40

AttivazioneodisattivazionedelTPM....41

SupportoperActiveDirectory.........43

Filedimodelloamministrativi(ADM)....43

ImpostazionidiCriteriodigruppo.....44

Capitolo4.UtilizzodiThinkVantage

FingerprintSoftware.........49

StrumentoConsoledigestione........49

Comandispecicidell'utente.......49

Comandidiimpostazioniglobali......50

Modalitàsicuraemodalitàutile........51

Modalitàsicura-amministratore......51

Modalitàsicura-utenteconlimitazioni...52

Modalitàutile-amministratore......52

Modalitàutile-utenteconlimitazioni....53

Impostazionicongurabili........53

SoftwareperimprontedigitalieNovellNetware

Client..................54

Autenticazione.............55

ServizioThinkVantageFingerprintSoftware...55

Capitolo5.UtilizzodiLenovo

FingerprintSoftware.........57

StrumentoConsoledigestione........57

©CopyrightLenovo2008,2011

ServizioLenovoFingerprintSoftware......57

SupportoActiveDirectoryperLenovoFingerprint

Software.................57

Capitolo6.Procedureottimali....59

Esempididistribuzioneperl'installazionediClient

SecuritySolution..............59

Scenario1..............59

Scenario2..............61

AlternanzatralemodalitàdiClientSecurity

Solution.................63

RolloutdiActiveDirectoryaziendale......63

InstallazioneautonomaperleCDoscript...64

SystemUpdate..............64

SystemMigrationAssistant..........64

Generazionediuncerticatoutilizzandouna

generazionedichiaviinTPM.........64

Requisiti:...............64

Richiestadiuncerticatodalserver....65

UtilizzoditastiereperimprontedigitaliUSBcon modellidicomputernotebookThinkPad2008

(R400/R500/T400/T500/W500/X200/X301)....66

AccessoaWindows7..........66

ClientSecuritySolutionePassword

Manager...............67

Autenticazionedipreavvio–Utilizzodelle improntedigitalianzichédellepassword

BIOS.................67

AppendiceA.Considerazionispeciali relativeall'utilizzodiLenovo FingerprintKeyboardconalcuni

modellidinotebookThinkPad....69

Congurazioneeinstallazione.........69

Pre-desktopauthentication..........69

AccessoaWindows............69

AutenticazioneconClientSecuritySolution...70

AppendiceB.Sincronizzazionedi passwordinClientSecuritySolution dopolareimpostazionedella

passworddiWindows........73

AppendiceC.UtilizzodiClient SecuritySolutionsuunsistema

operativoWindowsreinstallato....75

AppendiceD.UtilizzodelTPMsu

computernotebookThinkPad....77

DistribuzioneremotadiBitLocker.......77

BloccodelTPM..............77

AppendiceE.Informazioni

particolari...............79

Marchi..................80

Glossario................lxxxi

iiClientSecuritySolution8.3Guidaalladistribuzione

Prefazione

LeinformazionipresentateinquestomanualesiapplicanoacomputerLenovo ThinkVantage

ClientSecuritySolutioneFingerprintSoftware.

installaticoniprogrammi

L'obiettivodiClientSecuritySolutioneFingerprintSoftwareèproteggereisistemitramiteprotezionedeidati clientecontrastareitentatividiviolazionedellasicurezza.

LaGuidaalladistribuzionediClientSecuritySolutionfornisceleinformazionirichiesteperl'installazionedi ClientSecuritySolutioneFingerprintSoftwaresuunoopiùcomputerefornisceinoltreistruzioniescenari suglistrumentidell'amministratore,cheèpossibilepersonalizzarepersupportarecriteriaziendaliedell'IT.

QuestomanualeèrivoltoagliamministratoriIToairesponsabilidelladistribuzionediThinkVantageClient SecuritySolutioneThinkVantageFingerprintSoftwareall'internodelleloroorganizzazioni.Persuggerimenti ocommenti,comunicareconilrappresentanteautorizzatodiLenovo.Questaguidavieneaggiornata periodicamenteedèpossibileconsultarelapubblicazionepiùrecentesulsitoWebdellaLenovoall'indirizzo: http://www.lenovo.com/support

Perdomandeeinformazionirelativeall'utilizzodeivaricomponentinelleareedilavorodiClientSecurity SolutioneFingerprintSoftware,fareriferimentoalsistemadiguidaonlinefornitoconClientSecuritySolution eFingerprintSoftware.

©CopyrightLenovo2008,2011

iii

ivClientSecuritySolution8.3Guidaalladistribuzione

Capitolo1.Panoramica

QuestocapitolofornisceunapanoramicasuClientSecuritySolutionesulsoftwareperimprontedigitali. Letecnologiepresentateinquestaguidaalladistribuzionepossonoaiutaredirettamenteoindirettamentei professionistiITperchérendonol'usodeiPC(personalcomputer)piùfacile,piùautonomoeforniscono strumentiutilichefacilitanoesemplicanoleistruzioni.Conl'aiutodelletecnologieThinkVantage,i professionistiITpossonoimpiegaremenotemponellarisoluzionedeisingoliproblemideicomputere dedicarepiùtempoalleloroattivitàprincipali.

ClientSecuritySolution

L'obiettivoprincipaledelsoftwareClientSecuritySolutionèproteggereilcomputercomerisorsa,idati riservatipresentialsuointernoeleconnessionidireteacuisiaccedetramiteilcomputer.Perisistemi marcatiLenovochecontengonounTrustedComputingGroup(TCG)conformealTrustedPlatformModule (TPM),ilsoftwareClientSecuritySolutionsfruttal'hardwarecomerootoftrustperilsistema.Seilsistema noncontieneunchipdisicurezzaintegrato,ClientSecuritySolutionsfrutteràilsoftwarebasatosuchiavi crittograchecomefontedisicurezzaperilsistema.

TralefunzionidiClientSecuritySolution8.3sonoincluse:

•AutenticazioneutentesicuraconpasswordWindows ClientSecuritySolutionpuòessereconguratoperaccettareunapassworddiWindowsounafrasedi accessodiClientSecuritySolutionperl'autenticazione.LapassworddiWindowsforniscepraticitàe facilitàdigestionetramiteWindows,mentrelafrasediaccessodiClientSecuritySolutionfornisce maggioresicurezza.L'amministratorepuòsceglierequalemetododiautenticazioneutilizzareetale impostazionepuòesseremodicataanchedopolaregistrazionedegliutenticonClientSecuritySolution.

•Autenticazionedelleimprontedigitaliutente Sfruttalatecnologiadelleimprontedigitaliintegrataecollegataall'USBperautenticaregliutentiche accedonoalleapplicazioniprotettedapassword.

•Autenticazionemultipladell'utentepergliaccessiaWindowseperlediverseoperazionidella

ClientSecuritySolution

Denisceimolteplicimetodidiautenticazione(passwordWindows,frasediaccessoClientSecuritye improntedigitali)perlediverseoperazionirelativeallasicurezza.

•Gestionepassword Gestisceinmodosicuroememorizzaleinformazionidiaccessoriservate,comeIDutenteepassword.

•Recuperopasswordefrasediaccesso IlrecuperodipasswordefrasediaccessoconsentelaregistrazionedegliutentiaWindowsel'accesso allecredenzialidiClientSecuritySolutionancheincasodidimenticanzadellapassworddiWindowso dellafrasediaccessodiClientSecuritySolution,rispondendoadomandedisicurezzaprecongurate.

•Controllaimpostazionidisicurezza Consenteagliutentidivisualizzareunelencodettagliatodiimpostazionidisicurezzadellastazionedi lavoroedieffettuarelemodicheperconformarleaglistandarddeniti.

•T rasferimentodicerticatidigitali ClientSecuritySolutionproteggelachiaveprivatadeicerticatidiutenteecomputer.UtilizzareClient SecuritySolutionperproteggerelachiaveprivatadeicerticatiesistenti.

•Gestionecriteriperl'autenticazione Unamministratorepuòscegliereimetodi(passwordWindows,frasediaccessoClientSecuritySolution oimprontedigitali)necessaripereseguirel'autenticazioneperleseguentiazioni:accessoaWindows, PasswordManagereoperazionideicerticati.

ofrasediaccessoClientSecuritySolution

©CopyrightLenovo2008,2011

FrasediaccessodiClientSecuritySolution

LafrasediaccessodiClientSecuritySolutionèunaformaaggiuntivaefacoltativadiautenticazione dell'utentechefornisceunamaggioresicurezzaalleapplicazionidiClientSecuritySolution.Lafrasedi accessodiClientSecuritySolutiondeverispettareiseguentirequisiti:

•Esserelungaalmenoottocaratteri

•Contenerealmenounnumero

•Esserediversadalleultimetrefrasidiaccesso

•Contenereunmassimodiduecaratteriripetitivi

•Noniniziareconunnumero

•Nonnireconunnumero

•Noncontenerel'IDutente

•Nonesseremodicataselafrasediaccessocorrentehamenoditregiorni

•Nonconteneretreopiùcaratteriidenticiconsecutivicomelafrasediaccessocorrenteinqualsiasi posizione

•NonessereugualeallapasswordWindows

LafrasediaccessodiClientSecuritySolutionèconosciutasolodalsingoloutente.L'unicomodoper ripristinareunafrasediaccessodiClientSecuritySolutiondimenticataètramitelafunzionedirecuperodella passworddiClientSecuritySolution.Sel'utentehadimenticatolerispostealledomandediripristino,non c'èmododirecuperareidatiprotettidallafrasediaccessodiClientSecuritySolution.

RecuperopassworddiClientSecurity

QuestafunzionefacoltativaconsenteagliutentiiscrittiaClientSecuritydirecuperareunapassword WindowsounafrasediaccessoClientSecuritydimenticatarispondendocorrettamenteatredomande. Sequestafunzioneèdisabilitata,ogniutenteselezioneràtrerisposteadiecidomandeprescelte.Sesi dimenticalapasswordWindowsolafrasediaccessodiClientSecurity,èpossibilerispondereaqueste tredomandeperripristinarla.

Nota:QuandosiutilizzalafrasediaccessodiClientSecurity,ilripristinodellapassworddiClientSecurityè ilsolomodoperrecuperareunafrasediaccessodimenticata.Sesidimenticalarispostaalletredomande, occorrerieseguirelaproceduraguidatadiiscrizioneesiperderannotuttiiprecedentidatiprotettidiClient Security.

ClientSecurityPasswordManager

ClientSecurityPasswordManagerconsentedigestireleinformazionifacilidadimenticarerelativead applicazioniesitiWeb,comeIDutente,passwordealtreinformazionipersonali.ClientSecurityPassword ManagerproteggeleinformazionipersonalimedianteClientSecuritySolution,inmodochel'accesso all'applicazioneeaisitiwebrimangacompletamenteprotetto.IlprogrammaClientSecurityPassword Managerconsentedirisparmiaretempoefaticapoichéoccorrericordaresolounapasswordounafrasedi accessoofornireleimprontedigitali.

ClientSecurityPasswordManagerconsentedieffettuareleseguentifunzioni:

•CodicaditutteleinformazionimemorizzateattraversoilsoftwareClientSecuritySolution: CodicaautomaticamentetutteleinformazionitramiteClientSecuritySolution.Leinformazioniriservate dellapasswordsonoprotettedallechiavidicodicadiClientSecuritySolution.

•InserimentoautomaticodiIDutenteepassword: Automatizzailprocessodiaccessoaun'applicazioneoaunsitoweb.Seleinformazionidiaccessosono

2ClientSecuritySolution8.3Guidaalladistribuzione

stateimmesseinClientSecurityPasswordManager,ClientSecurityPasswordManagerèingradodi compilareicampinecessariediinoltrareleinformazionialsitoweboall'applicazione.

•Modicarelevociutilizzandol'interfacciadelClientSecurityPasswordManager: consentedimodicarelevocidelproprioaccountediimpostaretuttelecaratteristichefacoltativedella passwordinun'interfacciadifacileuso.Taleinterfacciafacilitaerendepiùrapidalagestionedelle informazionipersonaliedellapassword.Tuttavia,lamaggiorpartedellemodicherelativeallevoci possonoessererilevateautomaticamentedaClientSecurityPasswordManagereconsenteall'utentedi aggiornarelevociinmodopiùsemplice.

•Salvataggiodelleinformazionisenzaprocedureaggiuntive: ClientSecurityPasswordManagerrilevaautomaticamenteilmomentoincuivengonoinviatele informazioniriservateaundeterminatositoWeboapplicazione.Quandovieneeseguitotalerilevamento, ClientSecurityPasswordManagerchiedeall'utentedisalvareleinformazioni,semplicandoinquesto modoilprocessodimemorizzazionedelleinformazioniriservate.

•Salvataggiodelleinformazioniinunoscratchpadsicuro: ConClientSecurityPasswordManager,l'utentepuòsalvareidatiditestoinscratchpadsicuri.Tali scratchpadpossonoessereprotetticonlostessolivellodiprotezionediqualsiasialtravocedelsito Webodell'applicazione.

•Esportazioneeimportazionedelleinformazionidiaccesso: Consentediesportareleinformazionipersonaliimportanti,inmododapoterletrasferirleinsicurezzada uncomputerall'altro.Quandosiesportanoleinformazionidiaccessodalgestorepassworddisicurezza client,vienecreatounlediesportazioneprotettodapasswordsulsupportorimovibile.Utilizzaretalele peraccederealleinformazioniovunquecisitrovioperimportarelevociinunaltrocomputerconClient SecurityPasswordManager.

Nota:IlsupportodiimportazionecompletoèdisponibileperlediesportazionediClientSecuritySolution versioni7.0e8x.IlsupportodiimportazionelimitatoèdisponibileperClientSecuritySolutionVersione

6.0(levocidell'applicazionenonvengonoimportate).NonsaràpossibileimportareClientSecurity SoftwareSolutionversioni5.4xeprecedentiinPasswordManagerdiClientSecuritySolutionversione8x.

SecurityAdvisor

LostrumentoSecurityAdvisorconsentedivisualizzareunriepilogodelleimpostazionidisicurezza attualmenteimpostatesulcomputer.Èpossibileutilizzaretaliimpostazionipervisualizzarelostatodi sicurezzacorrenteopermigliorarelasicurezzadelsistema.Ivaloripredenitidellecategorievisualizzate possonoesseremodicatimedianteilregistrodiWindows.Alcunedellecategoriedisicurezzainclusesono:

•Passwordhardware

•PasswordutentidiWindows

•CriteridellapassworddiWindows

•Screensaverprotetto

•Condivisionele

Proceduraguidataditrasferimentocerticati

IltrasferimentoguidatodicerticatodiClientSecurityguidaattraversoilprocessoditrasferimentodelle chiaviprivateassociateaipropricerticatidalCSP(cryptographicserviceprovider)Microsoft software,alCSPClientSecuritySolutionbasatosull'hardware.Dopoiltrasferimento,leoperazioniche utilizzanoicerticatisonopiùsicureperchélechiaviprivatesonoprotettedaClientSecuritySolution.

basatosul

Ripristinopasswordhardware

QuestostrumentocreaunambientesicurochevieneeseguitoindipendentementedaWindowseconsente diripristinarelepassworddell'unitàdiscossoediaccensionedimenticate.L'identitàvienestabilita

Capitolo1.Panoramica3

rispondendoaunaseriedidomandecreate.Crearetaleambienteprotettoimmediatamente,primache vengadimenticataunapassword.Nonèpossibileripristinareunapasswordhardwaredimenticatanoa quandononvienecreatoilsuddettoambientesudiscossoedopol'iscrizione.Questostrumentoè disponibilesolosudeterminaticomputer.

Supportoperisistemisenzamodulodipiattaformaafdabile

ClientSecuritySolution8.3supportasistemiamarchioLenovochenonhannounchipdisicurezzaintegrato econforme.Talesupportoconsenteun'installazionestandardintuttal'aziendaalnedicreareunambiente sicuroeomogeneo.Isistemidotatidichipdisicurezzaintegratosonopiùsolidicontrounattacco;tuttavia, perisistemiprividitalechip,ClientSecuritySolutionforniscechiavicrittograchebasatesulsoftwarecome fontediprotezionedelsistemaemeccanismidisicurezzaefunzionalitàaggiuntivi.

FingerprintSoftware

L'obiettivodelletecnologiebiometricheperleimprontedigitalioffertedaLenovoèconsentireagliutenti diridurreicostiassociatiallagestionedellepassword,migliorarelasicurezzadeisistemieagevolarela conformitàallenormative.GrazieailettoriperleimprontedigitaliLenovo,FingerprintSoftwareconsente l'autenticazionedelleimprontedigitalisusingolicomputerereti.FingerprintSoftwarecombinatoconClient SecuritySolution8.3offreunafunzionalitàespansa.ClientSecuritySolution8.3supportasiaThinkVantage FingerprintSoftware5.9.2cheLenovoFingerprintSoftware3.3perdifferentitipidimacchine.Sulsito WebLenovosonodisponibiliulterioriinformazionisulletecnologieLenovoperleimprontedigitalieper scaricareFingerprintSoftware.

Ilsoftwareperimprontedigitalioffreleseguentifunzioni:

•Funzionidelsoftwareclient –SostituzionedellapassworddiMicrosoftWindows:

Sostituiscelapasswordconleimprontedigitaliperunaccessoalsistemafacile,rapidoesicuro.

–SostituzionedellapasswordBIOS(anchenotacomepassworddiavvio)edellepasswordperi

dischissi:

Sostituiscelepasswordconleimprontedigitalipermigliorarelasicurezzaelapraticitàdiaccesso.

–Autenticazionedipreavviotramiteimprontedigitalipercodicadell'interaunitàSafeGuardEasy:

Utilizzal'autenticazionetramiteimprontedigitaliperdecodicarel'unitàdiscossoprimadiavviare Windows.

–T occosingoloperl'accessoaBIOSeaWindows:

Consentedirisparmiaretempopreziosolasciandoun'improntadigitaleall'avvioperaccedereaBIOSe aWindows.

–IntegrazioneconClientSecuritySolution:

èpossibileutilizzarloconClientSecuritySolutionPasswordManageresfruttareilTrustedPlatform Module.Conunsolotoccodeldito,gliutentipossonoaccedereaisitiwebeselezionareleapplicazioni.

•Funzionidiamministratore –Attivazionedellamodalitàdisicurezza:

Consenteaunamministratoredipassaredallamodalitàsicuraaquellautileeviceversapermodicare idirittidiaccessodegliutenticonlimitazioni.

•Funzionidisicurezza –Sicurezzadelsoftware:

Proteggeimodelliutenteattraversounacodicaquandovengonomemorizzatisuunsistemae trasferitidallettorealsoftware.

4ClientSecuritySolution8.3Guidaalladistribuzione

–Sicurezzahardware:

Fornisceunlettoredisicurezzadotatodiunco-processorechememorizzaeproteggeimodellidelle improntedigitali,lepasswordBIOSelechiavidicodica.

Capitolo1.Panoramica5

6ClientSecuritySolution8.3Guidaalladistribuzione

Capitolo2.Installazione

Questocapitolocontieneistruzionirelativeall'installazionediClientSecuritySolutionedelsoftwareper improntedigitali.PrimadiinstallareClientSecuritySolutionoilsoftwareperimprontedigitali,occorre comprenderel'architetturadell'applicazionechesivaadinstallare.Questocapitolodescrivel'architetturadi ogniapplicazioneefornisceinformazioniaggiuntivenecessarieperl'installazionedientrambiiprogrammi.

ClientSecuritySolution

IlpacchettodiinstallazionediClientSecuritySolutionèstatosviluppatoconInstallShield10.5Premier comeprogettoMSIdibase.InstallShieldutilizzaWindowsInstallerperinstallareleapplicazioni,ilche offreagliamministratoridiversepossibilitàdipersonalizzarel'installazione,adesempioimpostandovalori diproprietàdallarigacomandi.QuestocapitolodescrivecomeutilizzareedeseguireilpacchettoClient SecuritySolution.Perunamigliorecomprensionedell'argomento,leggeretuttoilcapitoloprimadiiniziare l'installazionedeipacchetti.

Nota:quandosiinstallanotalipacchetti,fareriferimentoallereadmediClientSecuritySolutiondalsito WebLenovo.IlleReadmecontieneinformazioniaggiornatesulleversionisoftware,isistemisupportati,i requisitidisistemaealtreosservazionichepossonorisultareutilinelcorsodelprocessodiinstallazione.

Requisitidiinstallazione

Leinformazionipresentiinquestasezionefornisconoirequisitidisistemaperl'installazionedelpacchetto ClientSecuritySolution.Perottenererisultatiottimali,visitareilseguentesitoWebperaccertarsididisporre dell'ultimaversionedelsoftware: http://www.lenovo.com/support

IcomputeramarchioLenovodevonorispettareiseguentirequisitiminimiperconsentirel'installazionedi ClientSecuritySolution:

•Sistemaoperativo:Windows7

•Memoria:256MB –Nellecongurazionidimemoriacondivisa,l'impostazioneBIOSperlamemoriacondivisamassima

deveessereugualeosuperiorea8MB.

–Nellecongurazionedimemorianoncondivisa,sonorichiesti120MBdimemorianoncondivisa.

•ÈnecessarioinstallareInternetExplorer

•300MBdispazioliberosull'unitàdiscosso.

•VideocompatibileconVGAchesupportiunarisoluzionedi800x600ecoloria24-bit.

•L'utentedevedisporrediprivilegidigestioneperinstallareClientSecuritySolution.

Nota:ladistribuzionedelpacchettodiinstallazioneClientSecuritySolutionsuWindowsServer nonèsupportata.Tuttavia,èsupportatalarichiestadiuncerticatodaWindowsServer2003.Vedere “GenerazionediuncerticatoutilizzandounagenerazionedichiaviinTPM”apagina64

5.5oversionesuccessiva.

2003

Proprietàpubblichepersonalizzate

IlpacchettodiinstallazioneperilprogrammaClientSecuritySoftwarecontieneunaseriediproprietà pubblichepersonalizzatechepossonoessereimpostatesullarigacomandiquandosieseguel'installazione. LaseguentetabelladescrivelesuddetteproprietàperilsistemaoperativoWindows:

©CopyrightLenovo2008,2011

Tabella1.Proprietàpubbliche

ProprietàDescrizione

EMULATIONMODESpecicaredieseguireinognicasol'installazionein

ModalitàdiemulazioneancheseèpresenteunTPM. ImpostareEMULATIONMODE=1sullarigacomandiper installareinModalitàemulazione.

HALTIFTPMDISABLEDSeilTPMèinunostatodisabilitatoel'installazioneè

inesecuzioneinmodalitàsilenziosa,ilpredenitoèper l'installazioneperprocedereinmodalitàemulazione. UtilizzarelaproprietàHALTIFTPMDISABLED=1quando sieseguel'installazioneinmodalitàsilenziosaper interromperel'installazioneseilTPMèdisabilito.

NOCSSWIZARDImpostareNOCSSWIZARD=1sullarigacomandiper

evitareche,dopol'installazione,vengavisualizzata automaticamentelanestradidialogoperlaregistrazione diClientSecuritySolution.Questaproprietàè congurataperunamministratorechedesideriinstallare ClientSecuritySolution,mautilizzareloscripting successivamente,nelcorsodellacongurazionedel sistema.

CSS_CONFIG_SCRIPTImpostareCSS_CONFIG_SCRIPT=“nomele”

o“passwordnomele”pereseguireunledi congurazionedopochel'utentecompletal'installazione edesegueilriavvio.

SUPERVISORPWImpostareSUPERVISORPW=“password”sullariga

comandiperfornirelapassworddelsupervisoreper abilitareilchipinmodalitànonpresidiataoininstallazione presidiata.Seilchipèdisabilitatoel'installazioneèin esecuzioneinmodalitànonpresidiata,perabilitareilchip occorrefornirelapassworddelsupervisorecorretta.In casocontrario,ilchipnonverràabilitato.

PWMGRMODEImpostarePWMGRMODE=1sullarigacomandiper

installaresoltantoPasswordManager.

NOSTARTMENUImpostareNOSTARTMENU=1sullarigacomandipernon

generareuncollegamentonelmenuStart.

CREATESHORTCUTImpostareCREATESHORTCUT=1sullarigacomandiper

aggiungereunavocealmenuStart.

SupportoTPM(T rustedPlatformModule)

ClientSecuritySolution8.3includeilsupportoperilchipdisicurezzaincorporatodelcomputer,Trusted PlatformModule(TPM).SeilcomputerLenovoincludeunTPMsupportatodalsistemaoperativoWindows Vista,ClientSecuritySolutionutilizzeràidriverintegraticontalesistema.

L'abilitazionediTPMpotrebberichiedereunriavvio,poichéTPMèabilitatodalBIOSdelsistema.Sesi esegueWindows7,potrebbevenirerichiestodiconfermarel'eventualeabilitazionediTPMdurantel'avvio delsistema.

PrimacheTPMpossaeseguirequalsiasifunzione,ènecessarioinizializzarelaproprietàdelsistema.Ogni sistemadisponediunamministratorediClientSecuritySolutionnecontrollaleopzioni.Taleamministratore devedisporredeiprivilegidiamministratoreWindows.L'amministratorepuòessereinizializzatoutilizzando gliscriptdidistribuzioneXML.

8ClientSecuritySolution8.3Guidaalladistribuzione

Dopoaverconguratolaproprietàdelsistema,perogniutenteWindowsaggiuntivocheaccedeal sistemavienevisualizzataautomaticamentelaproceduraguidatadicongurazionediClientSecurityperla registrazioneel'inizializzazionedellechiavidisicurezzaedellecredenzialidell'utente.

SoftwareemulationoftheTrustedPlatformModule

ClientSecuritySolutionpuòessereeseguitosenzaTPMsusistemiqualicati.Lafunzionalitàsaràlastessaa parteilfattocheutilizzalechiavebasatesusoftwareinvecediquellebasatesull'hardware.Ilsoftwarepuò essereinstallatoancheutilizzandounoswitchperforzarloautilizzaresemprechiavibasatesulsoftware anzichésfruttareTPM.Lasceltaseutilizzaretaleswitchvaeffettuataalmomentodell'installazioneenon puòesseremodicatasenzadisinstallareereinstallareilsoftware.

Lasintassiperforzareun'emulazionesoftwarediTPMè:

InstallFile.exe“/vEMULATIONMODE=1”

Procedurediinstallazioneeparametridellarigacomandi

MicrosoftWindowsInstallerforniscediversefunzioniamministrativeattraversoiparametridellariga comandi.WindowsInstallerpuòeseguireun'installazioneamministrativadiun'applicazioneounprodottoin unareteperl'utilizzodapartediungruppodilavorooperlapersonalizzazione.Leopzionidellariga comandicherichiedonounparametrodevonoesserespecicateconnessunospaziotral'opzioneeil parametro.Adesempio:

setup.exe/s/v"/qnREBOOT=”R”"

èvalido,mentre

setup.exe/s/v"/qnREBOOT=”R”"

nonloè.

Nota:lafunzionalitàpredenitadell'installazione,quandovieneeseguitadasola,(eseguendosolosetup.exe senzaalcunparametro)èquellodirichiedereall'utentediriavviareilcomputeradinstallazioneultimata.Peril correttofunzionamentodelprogramma,ènecessariounriavvio.Ilriavviopuòessererinviatotramiteun parametrodellarigacomandiperun'installazionenonpresidiata,comeindicatonellaprecedentesezionee nellasezionediesempio.

PerilpacchettodiinstallazioneClientSecuritySolution,un'installazioneamministrativadecomprimeiledi originediinstallazioneinunaposizionespecica.

Pereseguireun'installazionedigestione,eseguireilpacchettodicongurazionedallarigacomandi utilizzandoilparametro/a:

setup.exe/a

Un'installazioneamministrativapresentaunaproceduraguidatacherichiedeall'utenteamministrativodi specicareleposizioniperdecomprimereilediinstallazione.IlpercorsodiestrazionepredenitoèC:\.È possibilescegliereunnuovopercorsochepuòincludereunitàdiversedaC:\(adesempio,altreunitàlocalio unitàdiretemappate).Èinoltrepossibilecrearenuovedirectorydurantequestafase.

Pereseguireun'installazioneamministrativainmodalitànonpresidiata,èpossibileimpostarelaproprietà pubblicaTARGETDIRsullarigacomandiperspecicarelaposizionediestrazione:

setup.exe/s/v"/qnTARGETDIR=F:\TVTRR"

msiexec.exe/i"ClientSecurity-PasswordManager .msi"/qnTARGERDIR=F:\TVTRR

Nota:senonsiutilizzal'ultimaversionediWindowsInstaller,illesetup.exeverràconguratoperaggiornare ilmotorediWindowsInstallerallaversionepiùrecente.L'aggiornamentodelmotorediWindowsInstaller

Capitolo2.Installazione9

richiederàdiriavviareilsistemaancheinun'installazionediestrazionedigestione.Perimpedireunriavvioin talesituazione,èpossibileutilizzarelaproprietàREBOOTdiWindowsInstaller.SeWindowsInstallersitrova allaversionepiùrecente,illesetup.exenontenteràdiaggiornareilmotoreditaleprogramma.

Unavoltacompletatal'installazioneamministrativa,l'amministratorepuòpersonalizzareilesorgente, adesempioaggiungendoimpostazionialregistro.

Iseguentiparametriedescrizionisonoriportatinelladocumentazionedellaguidaperlosviluppatoredi InstallShield.IparametrichenonsiapplicanoaiprogettiMSIdibasesonostatirimossi.

Tabella2.Parametri

ParametroDescrizione

/a:installazioneamministrativaL'interruttore/afasìchesetup.exeeseguaun'installazione

amministrativa.Un'installazioneamministrativacopia (edecomprime)iledidatiinunadirectoryspecicata dall'utente,manoncreascorciatoie,registraiserverCOM ocreaunregistrodiinstallazione.

/x:ModalitàdidisinstallazioneL'interruttore/xfasìchesetup.exedisinstalliunprodotto

precedentementeinstallato.

/s:ModalitànonpresidiataIlcomandosetup.exe/sannullalanestradi

inizializzazionesetup.exeperunprogrammadi installazioneMSIdibase,manonleggeledirisposta. IprogettiMSIdibasenoncreanooutilizzanounledi rispostaperleinstallazioninonpresidiate.Pereseguire unprodottoMSIdibaseinmodalitànonpresidiata, eseguirelarigacomandisetup.exe/s/v/qn.Per specicareivaloridelleproprietàpubblicherelativead un'installazioneMSIdibasenonpresidiata,èpossibile utilizzare,fraglialtri,ilcomandosetup.exe/s/v“/qn INSTALLDIR=D:\Destination”.

/v:passaregliargomentiaMsiexecL'argomento/vvieneutilizzatoperpassareleopzioni

dellarigacomandieivaloridelleproprietàpubbliche attraversomsiexe.exe.

/L:ImpostazionelinguaGliutentipossonoutilizzarel'opzione/Lconl'IDlingua

decimaleperspecicarelalinguautilizzatadaun programmadiinstallazionemulti-lingua.Adesempio,il comandoperspecicareT edescoèsetup.exe/L1031.

/Aw:AttenderePerunprogettoMSIdibase,l'argomento/wimponea

setup.exediattendereilcompletamentodell'installazione primadiuscire.Sesiutilizzal'opzione/winunledi batch,sipuòfarprecederel'argomentodellarigacomandi setup.exedastart/WAIT.Unesempiocorrettamente formattatodiquestousoèilseguente:

start/WAITsetup.exe/w

Utilizzodimsiexec.exe

Pereseguirel'installazioneutilizzandoilsorgentedecompressodopolapersonalizzazione,èsufciente chiamaremsiexec.exedallarigacomandi,passandoilnomedelle*.MSIdecompresso.msiexec.exeè ilprogrammaeseguibilediWindowsInstallerutilizzatoperinterpretareipacchettidiinstallazioneeper installareiprodottisuisistemididestinazione.

msiexec/i“C:\WindowsFolder\Proles\UserName\ Personal\MySetups\projectname\congurazionedelprodotto\nomeversione\ DiskImages\Disk1\nomeprodotto.msi”

10ClientSecuritySolution8.3Guidaalladistribuzione

Nota:inserireilcomandoprecedentesuunarigasingolasenzaspazidopolebarre.

Laseguentetabelladescriveiparametridisponibilidellarigacomandicheèpossibileutilizzarecon msiexec.exeeirelativiesempidipossibileutilizzo.

Tabella3.Parametridellarigacomandi

ParametroDescrizione

/Ipacchettoocodiceprodotto

/apacchettoL'opzione/aconsenteagliutenticonprivilegidiamministratorediinstallare

/xpacchettoocodiceprodottoL'opzione/xdisinstallaunprodotto.

/L[i|w|e|a|r|u|c|m|p|v|+]lediregistro

/q[n|b|r|f]

Utilizzarequestoformatoperinstallareilprodotto:

Othello:msiexec/i"C:\WindowsFolder\Proles\ UserName\Personal\MySetups \Othello\TrialVersion\ Release\DiskImages\Disk1\ OthelloBeta.msi"

IlcodicedelprodottosiriferisceallaGUIDchevienegenerataautomaticamente nellaproprietàdelcodiceprodottodellavistadelprogettodelprodotto.

unprodottosullarete.

Lacreazionediun'opzione/Lspecicailpercorsonellediregistro.Questi indicatorimostranoqualiinformazioniregistrarenellediregistro:

•iregistraimessaggidistato

•wregistraimessaggidiavvertenzanonfatali

•eregistraqualsiasimessaggiodierrore

•aregistral'iniziodellesequenzediazione

•rregistrairecordspecicidell'azione

•uregistralerichiestedell'utente

•cregistraiparametridell'interfacciautenteiniziali

•mregistraimessaggifuoridallamemoria

•pregistraleimpostazioniterminali

•vregistral'impostazionedioutputdiemissionedelmessaggio

•+siaggiungeaunleesistente

•*èuncaratterejollycheconsentediregistraretutteleinformazioni (escludendol'impostazionedioutputdiemissionedelmessaggio)

L'opzione/qvieneutilizzataperimpostareillivellodiinterfacciautenteinsieme alleseguentiindicazioni:

•qoqnnoncreainterfacciautente

•qbcreaun'interfacciautentedibase

/?o/h

Leimpostazionidell'interfacciautenteinbassovisualizzanounanestradi dialogomodaleallanedell'installazione:

•qrvisualizzaun'interfacciautenteridotta

•qfvisualizzaun'interfacciautentecompleta

•qn+nonvisualizzaalcunainterfacciautente

•qb+visualizzaun'interfacciautentedibase

IlcomandovisualizzaleinformazionisulcopyrightdiWindowsInstaller

Capitolo2.Installazione11

Tabella3.Parametridellarigacomandi(continua)

ParametroDescrizione

TRANSFORMSIlparametroTRANSFORMSdellarigacomandispecicatutteletrasformazioni

chesidesideraapplicarealpropriopacchettobase.

msiexec/i"C:\WindowsFolder\ Proles\UserName\Personal \MySetups\ YourProjectName\TrialVersion\ MyRelease-1 \DiskImages\Disk1\ ProductName.msi"TRANSFORMS="NewTransform1.mst"

Èpossibileseparareletrasformazionimultipleconunpuntoevirgola.Non utilizzareilpuntoevirgolanelnomedellatrasformazione,poichéilservizio WindowsInstallernonliinterpretacorrettamente.

ProprietàTutteleproprietàpubblichepossonoessereimpostateomodicatedallariga

comandi.Leproprietàpubblichesonodiversedalleproprietàprivateesono tutteinmaiuscolo.Adesempio,NOMEAZIENDAèunaproprietàpubblica.

Perimpostareunaproprietàdallarigacomandi,utilizzarelaseguentesintassi:

PROPERTY=VALUE

PermodicareilvalorediNOMEAZIENDA,inserire:

msiexec/i"C:\WindowsFolder\ Proles\UserName\Personal\ MySetups\YourProjectName\ TrialVersion\MyRelease-1\ DiskImages\Disk1\ProductName.msi" COMPANYNAME="InstallShield"

ProprietàpubblichestandarddiWindowsInstaller

WindowsInstallerdisponediunaseriediproprietàpubblicheincorporatestandardchepossonoessere impostatesullarigacomandiperspecicaredeterminaticomportamentidurantel'installazione.Laseguente tabellafornisceleproprietàpubblichepiùcomuniutilizzatenellarigacomandi.

PerulterioriinformazionifareriferimentoalsitoWebMicrosoftall'indirizzo: http://msdn2.microsoft.com/en-us/library/aa367437.aspx

LaseguentetabellamostraleproprietàpiùcomunidiWindowsInstaller:

Tabella4.ProprietàdiWindowsInstaller

ProprietàDescrizione

TARGETDIRSpecicaladirectorydidestinazioneprincipale.Durante

un'installazioneamministrativa,questaproprietàindicail

percorsoincuicopiareilpacchettodiinstallazione. ARPAUTHORIZEDCDFPREFIX ARPCOMMENTS

ARPCONTACT

ARPINSTALLLOCA TION ARPNOMODIFY

URLdelcanalediaggiornamentoperl'applicazione.

FornisceicommentiperInstallazioneapplicazionisul

pannellodicontrollo.

FornisceilcontattoperInstallazioneapplicazionisul

pannellodicontrollo.

Ilpercorsocompletonellacartellaprimariadiapplicazione.

Disabilitalafunzionechemodicailprodotto.

12ClientSecuritySolution8.3Guidaalladistribuzione

Tabella4.ProprietàdiWindowsInstaller(continua)

ProprietàDescrizione

ARPNOREMOVE ARPNOREPAIR

ARPPRODUCTICONSpecical'iconaprimariaperilpacchettodiinstallazione. ARPREADMEFornisceunReadmeperInstallazioneapplicazionisul

ARPSIZE ARPSYSTEMCOMPONENT

ARPURLINFOABOUT ARPURLUPDATEINFO

REBOOTLaproprietàREBOOTeliminadeterminaterichiesteper

Disabilitalafunzionecherimuoveilprodotto. DisabilitailpulsanteRiparanellaproceduraguidata

Programmi.

pannellodicontrollo. Dimensionestimatadell'applicazioneinkilobyte. Impediscelavisualizzazionedell'applicazionein

Installazioneapplicazioni. URLperlahomepagedell'applicazione.

URLperleinformazionidiaggiornamento dell'applicazione.

unriavviodelsistema.Unamministratoregeneralmente utilizzaquestaproprietàconunaseriediinstallazioni perinstallarecontemporaneamentediversiprodotticon unsoloriavvioallane.ImpostareREBOOT=“R”per disabilitareglieventualiriavviiallanediun'installazione.

Filedilogdiinstallazione

Illedilogdell'installazionediClientSecuritySolutionècssinstall83xx.logevienecreatonelladirectory %temp%selacongurazionevieneavviatadallesetup.exe(faredoppioclicsulleinstall.exe,eseguire l'eseguibilesenzaparametrioestrarreilpacchettoMSIedeseguireillesetup.exe).Questolecontienei messaggidilogchepossonoessereutilizzatipereseguireildebugdeiproblemidiinstallazione.Illedilog includequalsiasiattivitàeseguitadall'appletInstalla/RimuovidelPannellodicontrollo.Illedilognonviene creatoquandosiesegueillesetup.exedirettamentedalpacchettoMSI.Percreareunledilogpertuttele azioniMSI,èpossibileabilitareilcriteriodiregistrazionenelregistro.Atalescopo,creareilseguentevalore:

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] "Logging"="voicewarmup"

Esempidiinstallazione

Laseguentetabellamostraesempidiinstallazioniutilizzandoillesetup.exe.

Tabella5.Esempidiinstallazionetramiteillesetup.exe

DescrizioneEsempio

Installazionenonpresidiatasenzariavvio.

Installazionedigestione

Installazioneamministrativanonpresidiatachespecica laposizionediestrazioneperClientSecuritySoftware.

Disinstallazionenonpresidiata.

Installazionesenzariavvio(creareunlogdiinstallazione nellasottodirectorytempperClientSecuritySoftware).

InstallazionesenzainstallazionediPredesktopArea

setup.exe/s/v”/qnREBOOT=”R””

setup.exe/a

setup.exe/a/s/v”/qnTARGETDIR=”F: \CSS83””

setup.exe/s/x/v/qn

setup.exe/v”REBOOT=”R”/L*v%temp% \cssinstall83.log”

setup.exe/vPDA=0

LaseguentetabellaforniscedegliesempidiinstallazionetramiteClientSecurity-PasswordManager.msi:

Capitolo2.Installazione13

Tabella6.EsempidiinstallazionetramiteClientSecurity-PasswordManager.msi

DescrizioneEsempio

Installazione

Installazionenonpresidiata senzariavvio.

Disinstallazionenonpresidiata

msiexec/i“C:\CSS83\ClientSecurity Solution-PasswordManager.msi”

msiexec/i“C:\CSS83\ClientSecurity Solution-PasswordManager.msi”/qnREBOOT=”R”

msiexec/x“C:\CSS83\ClientSecurity Solution-PasswordManager.msi”/qn

InstallazionediThinkVantageFingerprintSoftware

Illesetup.exedelprogrammaThinkVantageFingerprintSoftwarepuòessereinstallatoconiseguentimetodi:

Installazionenonpresidiata

PerinstallareinmodalitànonpresidiataThinkVantageFingerprintSoftware,eseguireillesetup.exesituato nelladirectorydiinstallazionedell'unitàCD-ROM.

Utilizzarelaseguentesintassi:

Setup.exePROPERTY=VALUE/q/i

doveqstaperinstallazionenonpresidiataeistaperinstallazione.Adesempio:

setup.exeINSTALLDIR="C:\ProgramFiles\ThinkVantagengerprintsoftware"/q/i

Perdisinstallareilsoftware,utilizzareilparametro/xalpostodi/i:

setup.exeINSTALLDIR="C:\ProgramFiles\ThinkVantagengerprintsoftware"/q/x

Opzioni

LeseguentiopzionisonosupportatedaThinkVantageFingerprintSoftware.

Tabella7.OpzionisupportatedaThinkVantageFingerprintSoftware

ParametroDescrizione

CTRLONCEVisualizzailControlCenterunavoltasola.Ilvalore

predenitoè0. CTLCNTR•0=NonvisualizzailCentrodicontrolloall'avvio.

•1=VisualizzailCentrodicontrolloall'avvio.

Ilvalorepredenitoè1. DEFFUS•0=NonutilizzaleimpostazioniFastUserSwitching

(FUS).

•1=UtilizzaleimpostazioniFUS.

Ilvalorepredenitoè0. DEVICEBIOCongurailtipodiperifericacheverràutilizzato

dall'utente.

•DEVICEBIO=#3-Utilizzailsensoreperifericaper salvarelaprimaregistrazione.

•DEVICEBIO=#0-Utilizzal'unitàdiscossopersalvare laregistrazione.

•DEVICEBIO=#1-UtilizzailCompanionChipper salvarelaregistrazione.

14ClientSecuritySolution8.3Guidaalladistribuzione

Tabella7.OpzionisupportatedaThinkVantageFingerprintSoftware(continua)

ParametroDescrizione

INSTALLDIR OEM

Impostaladirectorydiinstallazione.

•0=Installailsupportoperserverpassportoper

l'autenticazionedelserver.

•1=Installasololamodalitàcomputerindipendente

conpassportlocali.

Ilvalorepredenitoè1.

PASSPORT

Impostareiltipodipassportpredenito.

•1=Passportlocale

•2=Serverpassport Ilvalorepredenitoè1.

POSSSO•1=AbilitalafunzioneSSO(singlesign-on).

•0=DisabilitalafunzioneSSO(singlesign-on). Ilvalorepredenitoè1.

PSLOGON

•0=Disabilital'accessotramiteimprontedigitali.

•1=Abilital'accessotramiteimprontedigitali. Ilvalorepredenitoè0.

REBOOT

Annullatuttiiriavvii,compresiiprompt,nelcorso dell'installazionesesiimpostasuReallySuppress.

SECURITY•1=Installainmodalitàsicura.

•0=Installanellamodalitàconveniente.

SHORTCUT•0=NonvisualizzailcollegamentoalCentrodicontrollo

all'avvio.

•1=AbilitalavisualizzazionedelcollegamentoalCentro

dicontrolloall'avvio.

SHORTCUTFOLDER

Privilegiperutentinonamministratori DELETESELF

ENROLLSELF

ENROLLTBX

Ilvalorepredenitoè0. Impostailnomepredenitodellacartelladicollegamento

nelmenuStart.

•1=Abilital'eliminazionedelleimprontedigitali.

•0=Disabilital'eliminazionedelleimprontedigitali. Ilvalorepredenitoè1.

•1=Abilitalaregistrazionedelleimprontedigitali.

•0=Disabilitalaregistrazionedelleimprontedigitali. Ilvalorepredenitoè1.

•1=Abilitalaselezionedelleimprontedigitaliper

l'accensione.

•0=Disabilitalaselezionedelleimprontedigitaliper

l'accensione.

Ilvalorepredenitoè1.

Capitolo2.Installazione15

Tabella7.OpzionisupportatedaThinkVantageFingerprintSoftware(continua)

ParametroDescrizione

IMPORTSELF•1=Abilital'importazione/esportazionedelleimpronte

digitaliperutentinonamministratori.

•0=Disabilital'importazione/esportazionedelle improntedigitaliperutentinonamministratori.

Ilvalorepredenitoè1.

REVEALPWD•1=AbilitailrecuperodellapassworddiWindows.

•0=DisabilitailrecuperodellapassworddiWindows.

Ilvalorepredenitoè1. Protezioneanti-intrusione(impostazionidiblocco) LOCKOUT

LOCKOUTCOUNTNumeromassimoditentativi.Ilvalorepredenitoè5ed

LOCKOUTTIMETimeoutinmillisecondi.Ilvalorepredenitoè120.000ed

Timeoutdiautenticazione(impostazionidiinattività) GUITMENABLE

GUITMTIME

PWDLOGON

NOPOPPAPCHECK

CSS•0=SupponecheClientSecuritySolutionnonsiastato

•1=Abilitalaprotezioneanti-intrusione.

•0=Disabilitalaprotezioneanti-intrusione.

Ilvalorepredenitoè1.

èpossibileutilizzarequalsiasivalore.

èpossibileutilizzarequalsiasivalorenoa360.000.

•1=Abilitailtimeoutdiautenticazioneinmillisecondi.

•0=Disabilitailtimeoutdiautenticazioneinmillisecondi.

Ilvalorepredenitoè1.

Duratadeltimeoutdiautenticazione.Ilvalorepredenito

è120.000edèpossibileutilizzarequalsiasivalorenoa

360.000.

•1=Abilital'accessoesclusivotramiteimprontedigitali perutentinonamministratori.

•0=Disabilital'accessoesclusivotramiteimpronte digitaliperutentinonamministratori.

Ilvalorepredenitoè1.

•0=Nonmostraleopzionidisicurezzarelativeall'avvio.

•1=Mostrasempreleopzionidisicurezzarelative all'avvio.

Ilvalorepredenitoè0.

installato.

•1=SupponecheClientSecuritySolutionsiastato installato.

Ilvalorepredenitoè0.

Nota:tutteleopzionisonofacoltative.

PerdisinstallareFingerprintSoftware,utilizzareilparametro/xalpostodi/i.Duranteunadisinstallazione standarddall'interfacciautente,vengonovisualizzatelenestredidialogoperselezionareseeliminare ipassportesistentiedisabilitarelafunzionediprotezioneavvio.Nellamodalitàdidisinstallazionenon presidiata,èpossibileutilizzareilparametroDELPAS.ImpostareilvaloreDELPASsu“1”pereliminare ipassportesistenti.Sequesteopzioninonsonodeniteohannounaltrovalore,ipassportvengono

16ClientSecuritySolution8.3Guidaalladistribuzione

lasciatinelcomputerelaprotezionediavviorimaneabilitata.Intalcaso,nonsaràpossibilemodicarele improntedigitalinellamemoriadiprotezioneavvioamenochenonsireinstalliilprodotto.Adesempio, utilizzandolaseguentesintassi:

msiexec/iSetup.msiDELPAS="1"/q

ilprodottoverràdisinstallato,tuttiipassportesistentiverrannoeliminatielaprotezionediavviosulcomputer rimarràattiva.

InstallazionediLenovoFingerprintSoftware

Illesetup32.exedelprogrammaLenovoFingerprintSoftwarepuòessereinstallatoconlaseguente procedura.

Installazionenonpresidiata

PerinstallareinmodalitànonpresidiataFingerprintSoftware,eseguireillesetup32.exesituatonella directorydiinstallazionesull'unitàCD-ROM.

Utilizzarelaseguentesintassi:

setup32.exe/s/v"/qnREBOOT="R""

Perdisinstallareilsoftware,utilizzarelaseguentesintassi:

setup32.exe/x/s/v"/qnREBOOT="R""

Opzioni

LeseguentiopzionisonosupportatedaLenovoFingerprintSoftware.

Tabella8.OpzionisupportatedaLenovoFingerprintSoftware

ParametroDescrizione

SHORTCUTVisualizzailcollegamentodelCentrodicontrollonel

menuStart.

•0=NonvisualizzailcollegamentoalCentrodicontrollo.

•1=VisualizzailcollegamentoalCentrodicontrollo. Ilvalorepredenitoè0.

SWAUTOSTART

SWFPLOGON

SWPOPP

•0=Nonavviailsoftwaredelleimprontedigitaliall'avvio.

•1=Avviailsoftwaredelleimprontedigitaliall'avvio. Ilvalorepredenitoè1.

•0=Nonutilizzal'accessotramiteimprontedigitali

(GINAoCredentialProvider).

•1=Utilizzal'accessotramiteimprontedigitali(GINAo

CredentialProvider).

Ilvalorepredenitoè0.

•0=Disabilitalaprotezionetramitepassworddi

accensione.

•1=Abilitalaprotezionetramitepassworddi

accensione.

Ilvalorepredenitoè0.

Capitolo2.Installazione17

Tabella8.OpzionisupportatedaLenovoFingerprintSoftware(continua)

ParametroDescrizione

SWSSO•0=DisabilitalafunzioneSSO(singlesign-on).

•1=AbilitalafunzioneSSO(singlesign-on).

Ilvalorepredenitoè0.

SWALLOWENROLL

SWALLOWDELETE

SWALLOWIMEXPORT•0=Disabilital'importazione/esportazionedelle

SWALLOWSELECT

SWALLOWPWRECOVERY

SWANTIHAMMER

SWANTIHAMMERRETRIESSpecicailnumeromassimoditentativi.Ilvalore

SWANTIHAMMERTIMEOUTSpecicaladurataditimeoutinsecondi.Ilvalore

SWAUTHTIMEOUT

•0=Disabilitalaregistrazionedelleimprontedigitaliper utentinonamministratori.

•1=Abilitalaregistrazionedelleimprontedigitaliper utentinonamministratori.

Ilvalorepredenitoè1.

•0=Disabilital'eliminazionedelleimprontedigitaliper utentinonamministratori.

•1=Abilital'eliminazionedelleimprontedigitaliper utentinonamministratori.

Ilvalorepredenitoè1.

improntedigitaliperutentinonamministratori.

•1=Abilital'importazione/esportazionedelleimpronte digitaliperutentinonamministratori.

Ilvalorepredenitoè1.

•0=Disabilitalaselezionedell'utilizzodelleimpronte digitalipersostituirelapassworddiaccensioneper utentinonamministratori.

•1=Abilitalaselezionedell'utilizzodelleimpronte digitalipersostituirelapassworddiaccensioneper utentinonamministratori.

Ilvalorepredenitoè1.

•0=DisabilitailrecuperodellapassworddiWindows.

•1=AbilitailrecuperodellapassworddiWindows.

Ilvalorepredenitoè1.

•0=Disabilitalaprotezioneanti-intrusione.

•1=Abilitalaprotezioneanti-intrusione.

Ilvalorepredenitoè1.

predenitoè5. Nota:questaimpostazionefunzionasoltantoquando SWANTIHAMMERèabilitato.

predenitoè120. Nota:questaimpostazionefunzionasoltantoquando SWANTIHAMMERèabilitato.

•0=Disabilitailtimeoutdiautenticazione.

•1=Abilitailtimeoutdiautenticazione.

Ilvalorepredenitoè1.

18ClientSecuritySolution8.3Guidaalladistribuzione

Tabella8.OpzionisupportatedaLenovoFingerprintSoftware(continua)

ParametroDescrizione

SWAUTHTIMEOUTVALUESpecicailperiododiinattivitàprimadeltimeoutdi

autenticazioneinsecondi.Ilvalorepredenitoè120. Nota:questaimpostazionefunzionasoltantoquando SWAUTHTIMEOUTèabilitato.

SWNONADMIFPLOGONONLY

SWSHOWPOWERON

CSS•0=SupponecheClientSecuritySolutionnonsiastato

•0=Disabilital'accessoesclusivotramiteimpronte

digitaliperutentinonamministratori.

•1=Abilital'accessoesclusivotramiteimprontedigitali

perutentinonamministratori.

Ilvalorepredenitoè1.

•0=Nonmostraleopzionidisicurezzarelativeall'avvio.

•1=Mostrasempreleopzionidisicurezzarelative

all'avvio.

Ilvalorepredenitoè0.

installato.

•1=SupponecheClientSecuritySolutionsiastato

installato.

Ilvalorepredenitoè0.

SMS(SystemsManagementServer)

AncheleinstallazionidiSystemsmanagementserver(SMS)sonosupportate.Aprirelaconsoledi amministrazionediSMS.Creareunnuovopacchettoeimpostareleproprietàdelpacchettoinmaniera standard.AprireilpacchettoeselezionareNuovoprogrammanellavoceProgrammi.Altiporigacomandi:

Setup.exe/myourmiflename/q/i

E'possibileutilizzareglistessiparametriutilizzatiperl'installazionenonpresidiata.

L'impostazionesiriavvianormalmenteallanedelprocessodiinstallazione.Sesidesiderasopprimeretuttii riavviidurantel'installazioneeilriavviosuccessivo(dopol'installazionedialtriprogrammi),aggiungere REBOOT=“ReallySuppress”all'elencodelleproprietà.

Capitolo2.Installazione19

20ClientSecuritySolution8.3Guidaalladistribuzione

Capitolo3.GestionediClientSecuritySolution

PrimadiinstallareClientSecuritySolution,ènecessariocomprenderelepersonalizzazionidisponibiliper ClientSecuritySolution.QuestocapitolofornisceinformazionisullapersonalizzazionediClientSecurity SolutionesuTPM(TrustedPlatformModule).IterminiutilizzatiinquestocapitoloerelativialTPMsonostati denitidal(TCG)(TrustedComputingGroup).PerulterioriinformazionirelativealTPM,fareriferimentoal seguentesitoWeb: http://www.trustedcomputinggroup.org/

UtilizzodiTPM(TrustedPlatformModule)

TPMèunchipdisicurezzaintegrato,progettatoperoffrirefunzionirelativeallasicurezzadelsoftwarechene fauso.Ilchipdisicurezzaintegratovieneinstallatosullaschedamadrediunsistemaecomunicaattraverso unbushardware.IsistemicheincorporanoTPMpossonocrearechiavicrittogracheecodicarleinmododa consentirneladecodicatramitelostessoTPM.Questoprocesso,chevienespessodenitowrappingdiuna chiave,consentediproteggerelasegretezzadiunachiave.SuunsistemaconTPM,lachiavediwrapping principale,denominata(SRK)(StorageRootKey),èmemorizzataall'internodiTPM,inmodochelaparte privatadellachiavenonvengamaiesposta.Ilchipdisicurezzaintegratopuòanchememorizzarealtrechiavi dimemorizzazione,chiavidirma,passwordealtrepiccoleunitàdidati.Acausadellalimitatacapacitàdi memorizzazioneinTPM,SRKvieneutilizzatopercodicarealtrechiaviperlamemorizzazioneesternaalchip. SRKnonabbandonamaiilchipdisicurezzaintegratoecostituiscelabaseperlamemorizzazioneprotetta.

L'utilizzodelchipdiprotezioneincorporatoèfacoltativoerichiedeunamministratorediClientSecurity Solution.AprescinderedalfattochevengautilizzatodalsingoloutenteodarepartoIPaziendale,è necessarioinizializzareTPM.Leoperazionisuccessive,comelapossibilitàdieseguireilripristinodaun erroredell'unitàdiscossoodaunaschedadisistemasostituita,sonovietateancheall'amministratoredi ClientSecuritySolution.

Nota:sesimodicalamodalitàdiautenticazioneesitentadisbloccareilchipdisicurezza,ènecessario scollegarsiericollegarsicomeamministratoreprincipale.Inquestomodosaràpossibilesbloccareilchip.È inoltrepossibileaccederecomeutentesecondarioecontinuareaconvertirelamodalitàdiautenticazione. Taleoperazionevieneeseguitaautomaticamentequandol'utentesecondariosicollega.ClientSecurity Solutionrichiederàlapasswordofrasediaccessodell'utentesecondario.Unavoltaterminatal'elaborazione dellamodicadapartediClientSecuritySolution,l'utentesecondariopuòpassareasbloccareilchip.

UtilizzodiTrustedPlatformModule(TPM)conWindows7

Sel'accessodiWindows7èabilitatoeTrustedPlatformModuleèdisabilitato,occorredisabilitarelafunzione diaccessodiWindowsprimadidisabilitareTrustedPlatformModuleinF1BIOS.Taleoperazioneimpedirà lavisualizzazionedelseguentemessaggiodisicurezza:Chipdisicurezzadisattivato.Impossibile proteggereilprocessodiaccesso.

Inoltre,sesiaggiornailsistemaoperativodiunsistemaclient,ènecessariodisattivareilchipdisicurezzaper evitareerroridiregistrazionediClientSecuritySolution.PerdisattivareilchipinF1BIOS,occorreavviareil sistemaafreddo.Nonsaràpossibiledisattivareilchipsesitentaquestoprocessodopounriavvioacaldo.

GestionediClientSecuritySolutionconchiavicrittograche

ClientSecuritySolutionèdescrittodalledueattivitàprincipalididistribuzione:Acquisizionediproprietà eRegistrazioneutente.Durantelaprimaesecuzionedellaproceduraguidataperlacongurazionedi ClientSecuritySolution,entrambiiprocessidiAcquisizionediproprietàeRegistrazioneutentevengono eseguitidurantel'inizializzazione.IlparticolareIDutentediWindowschehacompletatolaprocedura

©CopyrightLenovo2008,2011

guidatadicongurazionediClientSecuritySolutionèl'amministratorediClientSecuritySolutioneviene registratocomeutenteattivo.Aognialtroutentecheaccedealsistemavienerichiestodiiscriversiin ClientSecuritySolution.

•Acquisizionediproprietà VieneassegnatounsingoloIDutenteamministratorediWindows,inqualitàdiunicoamministratoredi ClientSecuritySolutiondelsistema.LefunzioniamministrativediClientSecuritySolutiondevonoessere eseguitetramitequestoIDutente.L'autorizzazioneTrustedPlatformModulecorrispondeallapassword WindowsditaleutenteoallafrasediaccessodiClientSecurity.

Nota:l'unicomodoperrecuperareunapasswordounafrasediaccessodegliamministratoriClient SecuritySolutionèquellodidisinstallareilsoftwareconautorizzazioniWindowsvalideodicancellareil chipdisicurezzanelBIOS.Inognicaso,idatiprotettiattraversolechiaviassociateaTPMandrannopersi. ClientSecuritySolutionfornisceancheunmeccanismofacoltativocheconsenteilrecuperoautomaticodi unapassworddimenticataodiunafrasediaccessoinbaseallarispostadiverica.L'amministratore diClientSecuritySolutiondecideseutilizzareomenolafunzione.

•Registrazioneutente UnavoltacheilprocessoDiventaproprietariovienecompletatoevienecreatounamministratorediClient SecuritySolution,èpossibilecreareunachiavedibasedell'utentepermemorizzareinmodosicuro lecredenzialiperl'utenteWindowsattualmenteconnesso.Questoprogettoconsenteapiùutentidi iscriversiaClientSecuritySolutionediaggiornareTPM.Lechiaviutentesonoprotetteattraversoilchipdi sicurezza,mainrealtàsonomemorizzateesternamentealchip,suldiscosso.Questaorganizzazione creaspazioneldiscosso,comefattorelimitativodellamemorizzazione,anzichédellamemoriaeffettiva costruitanelchipdisicurezza.Inquestomodoaumentailnumerodiutentichepossonosfruttarelo stessohardwaresicuro.

Acquisizionediproprietà

LarootoftrustperClientSecuritySolutionè(SRK)(SystemRootKey).Questachiaveasimmetricanon migrabileègeneratanell'ambientesicurodiTPMenonvienemaiespostaalsistema.L'autorizzazione all'utilizzodellachiavesiottienedall'accountAmministratorediWindowsdurantel'esecuzionedelcomando TPM_TakeOwnership.SeilsistemautilizzaunafrasediaccessodiClientSecurity,perl'amministratore diClientSecuritySolutioncorrisponderàall'autorizzazioneT rustedPlatformModule.Incasocontrario, corrisponderàallapassworddiWindowsdell'amministratorediClientSecuritySolution.

ConlaSRKcreataperilsistema,èpossibilecrearealtrecoppiedichiaveememorizzarleesternamentea TPM,matalichiavesonosottoposteawrappingeprotettedallechiavibasatesull'hardware.Datocheil TPMchecomprendeSRKèl'hardware,el'hardwarepuòsubiredanni,èindispensabileunmeccanismodi recuperoperassicurarechedannialsistemanonimpediscanoilrecuperodidati.

Perrecuperareunsistema,vienecreataunachiavedibasedelsistema.Questachiavedimemorizzazione asimmetricaconsenteall'amministratorediClientSecuritySolutiondieseguireunrecuperodaun cambiamentodellaschedadisistemaodaunamigrazionepianicataaunaltrosistema.Perproteggere SystemBaseKey,marenderloaccessibilenelcorsodellanormaleoperativitàonelripristino,vengono createdueistanzedellachiave,chevengonoprotetteinduediversimodi.Innanzitutto,lachiavedibase delsistemaècodicataconunachiavesimmetricaAES,derivantedallaconoscenzadellapassword dell'amministratorediClientSecuritySolutionodellafrasediaccessodiClientSecurity.Questacopiadella chiavediripristinoClientSecuritySolutionserveesclusivamenteperilrecuperodaunTPMcancellatooda unaschedadisistemasostituitaperguastohardware.

LasecondaistanzadellachiavediripristinoClientSecuritySolutionvienesottopostaawrappingdaSRK perl'importazionenellagerarchiadellachiave.Questadoppiaistanzadellachiavedibasedelsistema consentealTPMdiproteggereisegretiadessoconnessiduranteilnormaleutilizzoeconsenteilripristinodi unaschedadisistemadanneggiataattraversolachiavedibasedelsistema,codicataconchiaveAES, sbloccabiletramitelapassworddell'amministratorediClientSecuritySolutionolafrasediaccessodiClient

22ClientSecuritySolution8.3Guidaalladistribuzione

Security.Successivamente,vienecreataunaChiavefogliadelsistema.Questachiaveèstatacreataper

System Level Key Structure - Take Ownership

Trusted Platform Module

Encrypted via derived AES Key

Storage Root Private Key

Storage Root Public Key

System Leaf Private Key

System Base Private Key

System Leaf Public Key

System Base Public Key

System Base Private Key

System Base Public Key

If Passphrase

loop n times

CSS Admin PW/PP

One-Way Hash

System Base AES

Protection Key (derived via output of hash algorithm)

Auth

proteggereisegretialivellodisistema,comelachiaveAES.

Ilseguentediagrammaforniscelastrutturadellachiavealivellodelsistema:

Figura1.Strutturadellachiavealivellodelsistema-Acquisizionediproprietà

Registrazioneutente

PerproteggereidatidiciascunutenteattraversolostessoTPM,occorrecreareunachiavedibase codicataperogniutente.Talechiavedimemoriaasimmetricapuòesseremigrataevienecreataduevoltee protettadaunachiaveAESsimmetricageneratadallapasswordWindowsdiciascunutenteodallafrase diaccessodiClientSecurity.

LasecondaistanzadellaChiavedibasedell'utentevienequindiimportatanelTPM,eprotettadalSRK disistema.ConlaUserBaseKeycheèstatacreata,vienecreataunachiaveasimmetricasecondaria, denominataUserLeafKey.ConlaUserLeafKey,èpossibileproteggeresingolisegreti,qualiadesempiola chiaveAESdiPasswordManagerutilizzataperproteggereleinformazionidiaccessoaInternetolapassword utilizzataperproteggeredatielachiaveAESdellapassworddiWindowsutilizzataperproteggerel'accesso alsistemaoperativo.L'accessoallaUserLeafKeyècontrollatodallapasswordWindowsdell'utenteodalla frasediaccessoClientSecuritySolutionevienesbloccataautomaticamentedurantel'accesso.

Capitolo3.GestionediClientSecuritySolution23

Ilseguentediagrammaforniscelastrutturadellachiavealivellodell'utente:

User Level Key Structure - Enroll User

Trusted Platform Module

Encrypted via derived AES Key

Storage Root Private Key

Storage Root Public Key

User Leaf Private Key

User Base Private Key

User Leaf Public Key

User Base Public Key

Windows PW AES Key

PW Manager AES Key

User Base Private Key

User Base Public Key

If Passphrase

loop n times

User PW/PP

One-Way Hash

User Base AES

Protection Key (derived via output of hash algorithm)

Auth

Figura2.Strutturadellachiavealivellodell'utente-Registrazioneutente

Registrazioneinbackground

ClientSecuritySolution8.3supportalaregistrazioneinbackgroundperunaregistrazioneutenteavviata automaticamente.Ilprocessodiregistrazionevieneeseguitoinbackgroundsenzavisualizzarealcuna notica.

Nota:laregistrazioneinbackgroundèdisponibilesoltantoperunaregistrazioneutenteavviata automaticamente.Perunaregistrazioneutenteavviatamanualmente,dalmenuStartodaRipristina impostazionidisicurezza,vienevisualizzataunanestradidialogocheindicaall'utentediattendereil completamentodellaregistrazione.

Lasuddettanestradidialogopuòesserevisualizzataforzatamentedall'amministratorelocaleodidominio modicandoilseguentecriterio:

CSS_GUI_ALWAYS_SHOW_ENROLLMENT_PROCESSING

Oppuremodicandolaseguentechiavediregistrocomeindicato:

HKLM\software\policies\lenovo\clientsecuritysolution\GUIoptions\ AlwaysShowEnrollmentProcessing

IlvalorepredenitodiAlwaysShowEnrollmentProcessingè0.Quandolasuddettachiavediregistroè impostatasu0,lanestradidialogodiattesanonvienevisualizzataperunaregistrazioneutenteavviata automaticamente.Quandotalepoliticaèimpostatasu1,lanestradidialogodiattesaverràvisualizzata sempredurantelaregistrazioneutente,indipendentementedallamodalitàconcuivieneavviatatale registrazione.

Emulazionedelsoftware

Perfornireun'esperienzacoerenteperl'utenteilcuicomputernondisponediunTPM,CSSsupportala modalitàdiemulazioneTPM.

24ClientSecuritySolution8.3Guidaalladistribuzione

Talemodalitàèunarootoftrustbasatasuunsoftware.LestessefunzionalitàfornitedaTPM,ovverola rmadigitale,ladecrittograadellachiavesimmetrica,l'importazionedellachiaveRSA,laprotezioneela generazionedinumericasuali,sonodisponibiliperl'utente,mavisaràunaminoresicurezzadovutaalfatto chelarootoftrustècostituitadachiavibasatesusoftware.

LamodalitàdiemulazioneTPMnonpuòessereutilizzatacomesostitutosicuroperTPM.TPMfornisceidue metodidiprotezionechiaveseguenti,piùsicuririspettoallamodalitàdiemulazioneTPM.

•T uttelechiaviutilizzatedaTPMsonoprotettedaunachiavedilivellorootunivoca.Talechiaveviene creataall'internodiTPMenonpuòesserevisualizzataoutilizzataall'esternodiTPM.Nellamodalitàdi emulazioneTPM,lachiavedilivellorootèunachiavebasatasusoftwarememorizzatasull'unitàdisco sso.

•T utteleoperazionidichiaviprivatevengonoeseguiteall'internodiTPM,quindiilmaterialedellachiave privataperqualsiasichiavenonvienemaiespostoaldifuoridiTPM.NellamodalitàdiemulazioneTPM, tutteleoperazionidichiaviprivatevengonoeseguitenelsoftware,quindinonvièalcunaprotezione delmaterialedichiaviprivate.

LamodalitàdiemulazioneTPMèriservataprincipalmenteall'utentemenopreoccupatodellasicurezza epiùdellavelocitàdicollegamentodelsistema.

Cambiodellaschedadisistema

UncambiodellaschedadisistemacomportachelavecchiaSRKallaqualelechiavisonolegatenonèpiù validaeun'altraSRKènecessaria.QuestopuòsuccedereancheseilTPMvienecancellatoattraversoil BIOS.

All'amministratoreClientSecuritySolutionvienerichiestodicollegarelecredenzialidelsistemaauna nuovaSRK.Lachiavedibasedelsistemadovràesserenecessariamentedecodicataattraversolachiave diprotezioneAESdibasedelsistemaderivatadallecredenzialidiautorizzazionedell'amministratoredi ClientSecuritySolution.

SeunamministratoreClientSecuritySolutionèunIDutentedeldominioelapasswordpertaleIDutenteè statamodicatasuundiversocomputer,lapasswordutilizzataperultimadurantel'accessoalsistemaeche deveessererecuperatadovràesserenotaperdecodicarelachiavedibasedelsistemaperilrecupero. Adesempio,duranteladistribuzionel'IDutenteelapassworddiamministratoreClientSecuritySolution sarannocongurate,selapasswordperquestoutentecambiasuundiversocomputer,ladistribuzionedel gruppodipasswordoriginalisaràl'autorizzazionenecessariaperilrecuperodelsistema.

Seguirequesteprocedurepereffettuareilcambiodellaschedadisistema:

1.L'amministratoredelClientSecuritySolutionaccedealsistemaoperativo

2.Ilcodiceeseguitoperl'accesso(cssplanarswap.exe)riconoscecheilchipdisicurezzaèdisabilitatoe richiedeunriavvioperabilitarsi.Questaprocedurapuòessereevitataabilitandoilchipdisicurezza attraversoilBIOS.

3.Ilsistemavieneriavviatoeilchipdisicurezzaabilitato.

4.L'amministratoreClientSecuritySolutionaccede.IlnuovoprocessoPrendiproprietàvienecompletato.

5.LachiavedibasedelsistemavienedecodicatautilizzandolachiavediprotezioneAESdibasedel sistema,chederivadall'autenticazionedell'amministratorediClientSecuritySolution.Lachiavedi basedelsistemavieneimportatanellanuovaSRKeristabiliscelachiavefogliadelsistemaetutte lecredenzialiprotettedatalechiave.

6.Ilsistemaadessovienerecuperato.

Nota:Nonènecessarialasostituzionedellaschedadisistemadurantel'utilizzodellamodalitàdiemulazione.

Capitolo3.GestionediClientSecuritySolution25

Ilseguentediagrammaforniscelastrutturadell'alternanzadischedemadre-acquisizionediproprietà:

Motherboard Swap - Take Ownership

Trusted Platform Module

Decrypted via derived AES Key

System Leaf Private Key

Store Leaf Private Key

System Leaf Public Key

Store Leaf Public Key

System Base Private Key

System Base Public Key

If Passphrase

loop n times

CSS Admin PW/PP

One-Way Hash

System Base AES

Protection Key (derived via output of hash algorithm)

Motherboard Swap - Enroll User

Trusted Platform Module

Decrypted via derived AES Key

Storage Root Private Key

Storage Root Public Key

User Leaf Private Key

User Leaf Public Key

Windows PW AES Key

PW Manager AES Key

User Base Private Key

User Base Public Key

If Passphrase

loop n times

User PW/PP

One-Way Hash

User Base AES

Protection Key

(derived via output

of hash algorithm)

Figura3.Alternanzadischedemadre-Acquisizionediproprietà

Quandoogniutenteaccedealsistema,lachiavedibasedell'utentevieneautomaticamentedecodicata attraversolachiavediprotezioneAESdibasedell'utentederivatadall'autenticazioneutenteeimportata inunanuovaSRKcreatadall'amministratorediClientSecuritySolution.Ilseguentediagrammafornisce lastrutturaperl'alternanzadischedemadre-registrazioneutente:

Perregistrareunsecondoutentedopoladisattivazionedelchipolasostituzionedellaschedamadre,è necessarioaccederecomeamministratoreprincipale.Ataleamministratoreverràrichiestodiripristinare lechiavi.Unavoltacompletatoilripristinodellechiavi,utilizzarePolicyManagerperdisabilitarel'accesso aClientSecurityWindows.Gliutentirestantipotrannoripristinarelelorochiavi.Unavoltachetuttigli utentisecondarihannoripristinatolepropriechiavi,l'amministratoreprincipalepuòabilitarelafunzionedi accessodiWindowsaClientSecuritySolution.

Ilseguentediagrammaforniscelastrutturaperl'alternanzadischedemadre-registrazioneutente:

Figura4.Alternanzadischedemadre-Registrazioneutente

26ClientSecuritySolution8.3Guidaalladistribuzione

UtilitàdiprotezioneEFS

ClientSecuritySolutionfornisceun'utilitàdellarigacomandicheconsentelaprotezionebasatasuTPM deicerticatidicodicautilizzatidaEFS(EncryptingFileSystem)percodicareleecartelle.Taleutilità supportailtrasferimentodicerticatiditerzeparti(certicatigeneratidaunaCA,ovveroCerticateAuthority) elagenerazionedicerticatiautormati.

LaprotezionedelcerticatoEFStramiteClientSecuritySolutionsignicachelachiaveprivataassociataal certicatoEFSèprotettadaTPM.L'accessoalcerticatoèconcessodopol'autenticazionedell'utentea ClientSecuritySolution.

SenonèdisponibilealcunTPM,ilcerticatoEFSvieneprotettoutilizzandol'emulatoreTPMfornitoda ClientSecuritySolution.PerproteggereicerticatiEFStramiteClientSecuritySolution,occorreessere registraticonClientSecuritySolution.

ATTENZIONE: sesiutilizzaClientSecuritySolutionedEFS(EncryptingFileSystem)percodicareleecartelle,ogni voltacheClientSecuritySolutionoTPMnonèdisponibile,nonèpossibileaccedereailecodicati.

SeTPMnonrisponde,ClientSecuritySolutionripristineràl'accessoaidaticodicatidopolasostituzione dellaschedamadre.

Utilizzodell'utilitàdellarigacomandiEFS

LaseguentetabellafornisceiparametridellarigacomandisupportatiperEFS:

Tabella9.ParametridellarigacomandisupportatiperEFS

ParametroDescrizione

/generate:<size>GenerauncerticatoautormatoeloassociaaEFS.Sesi

specica<size>,lachiavegeneratasaràdelladimensione dibitspecicata.Ivalorivalidiincludono512,1024e

2048.Inassenzadivalorioinpresenzadivalorinon validi,verrannogeneratechiavida1024bit.

/sn:xxxxxxSpecicailnumerodiseriediuncerticatoesistenteda

trasferireeassociareaEFS.

/cn:yyyyyySpecicailnome(“immessoin”)diuncerticatoesistente

datrasferireeassociareaEFS.

/rstavailTrasferisceilprimocerticatoEFSesistentedisponibilee

loassociaaEFS.

/silent

/?o/ho/help

Nonvisualizzaalcunoutput.Icodicidirestituzioneforniti dalvalorealterminedelprogramma.

Visualizzaleinformazionidiaiuto.

Quandononvieneeseguitoinmodalitànonpresidiata,l'utilitàrestituiràunodeiseguentierrori:

0-"Commandcompletedsuccessfully" 1-"ThisutilityrequiresWindowsXP" 2-"ThisutilityrequiresClientSecuritySolutionversion8.0" 3-"ThecurrentuserisnotenrolledwithClientSecuritySolution" 4-"Thespeciedcerticatecouldnotbefound" 5-"Unabletogenerateaself-signedcerticate” 6-"NoEFScerticateswerefound" 7-"UnabletoassociatethecerticatewithEFS”

Quandovieneeseguitoinmodalitànonpresidiata,l'outputdelprogrammasaràunlivellodierrore corrispondenteainumeridierrorimostratiinprecedenza.

Capitolo3.GestionediClientSecuritySolution27

UtilizzodiunoschemaXML

LoscopodelloscriptingXMLèconsentireagliamministratoriITdicrearescriptpersonalizzatida poterutilizzareperdistribuireecongurareClientSecuritySolution.Gliscriptpossonoessereprotetti dall'eseguibilexml_crypt_toolconunapassword,adesempiotramitecodicaAES.Unavoltacreata,il computervirtuale(vmserver.exe)accettagliscriptcomeimmissioni.Lamacchinavirtualechiamalestesse funzionidelClientSecuritySolutionSetupWizardpercongurareilsoftware.

TuttigliscriptsonocostituitidauntagchespecicailtipodicodicaXML,loschemaXML,edalmenouna funzionedalsvolgere.LoschemavieneutilizzatoperconvalidareilleXMLepervericarelapresenzadei parametririchiesti.L'utilizzodelloschemanonèattualmenteobbligatorio.Ognifunzioneèracchiusainin unatagdifunzione.Ognifunzionecontieneunordine,questospecicainqualeordineilcomandosarà eseguitodalcomputervirtuale(vmserver.exe).Ognifunzionehaunnumerodiversioneanche.Attualmente tuttelefunzionisononellaversione1.0.Ognunodegliscriptdiesempioinbassocontieneunasolafunzione. Tuttavia,nellapratica,unoscriptpotrebbecontenereilpiùdellevoltefunzionimultiple.ClientSecurity SolutionSetupWizardpuòessereutilizzatoperlacreazionediunoscriptdiquestogenere.Perulteriori informazionisullacreazionediscriptconlaproceduraguidatadicongurazione,vedere“Proceduraguidata diinstallazionedellaClientSecuritySolution”apagina38

Nota:seilparametro<DOMAIN_NAME_PARAMETER>vienelasciatosenzafunzionicherichiedonoun nomedidominio,vieneutilizzatoilnomecomputerpredenitodelsistema.

Esempi

IcomandiseguentisonoesempidischemaXML:

ENABLE_TPM_FUNCTION

QuestocomandoabilitailModulodipiattaformaafdabileeutilizzal'argomentoSYSTEM_PAP .Seilsistema disponegiàdiunapassworddiamministratoreBIOSosupervisore,ènecessariofornirequestoargomento. Altrimentiquestocomandoèopzionale.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment> <FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENABLE_TPM_FUNCTION</COMMAND> <VERSION>1.0</VERSION> <SYSTEM_PAP>PASSWORD</SYSTEM_PAP> </FUNCTION>

</CSSFile>

Nota:Questocomandononèsupportatonellamodalitàdiemulazione.

DISABLE_TPM_FUNCTION

Questocomandoutilizzal'argomentoSYSTEM_PAP.Seilsistemadisponegiàdiunapassworddi amministratoreBIOSosupervisore,ènecessariofornirequestoargomento.Altrimentiquestocomandoè opzionale.

<tvt_deploymentxmlns=“http://www.lenovo.com” xmlns:xsi=“http://www.w3.org/2001/XML Schema-instance”xsi:schemaLocation=“ http://www.lenovo.comcssDeploy.xsd”>

<registry_settings/> </tvt_deployment <FUNCTION> <ORDER>0001</ORDER>

28ClientSecuritySolution8.3Guidaalladistribuzione

<COMMAND>DISABLE_TPM_FUNCTION</COMMAND> <VERSION>1.0</VERSION> <SYSTEM_PAP>password</SYSTEM_PAP> </FUNCTION>

</CSSFile>

Nota:Questocomandononèsupportatonellamodalitàdiemulazione.

ENABLE_PWMGR_FUNCTION

QuestocomandoabilitaPasswordManagerpertuttigliutentiClientSecuritySolution.

<?xmlversion="1.0"encoding="UTF-8"standalone="no"?>

<CSSFilexmlns="www.lenovo.com/security/CSS"> <FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENABLE_PWMGR_FUNCTION</COMMAND> <VERSION>1.0</VERSION> </FUNCTION>

</CSSFile>

ENABLE_CSS_GINA_FUNCTION

Ilseguentecomandoconsentel'accessodiClientSecuritySolutionperWindowsXP,WindowsVistae Windows7:

-<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment <FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENABLE_CSS_GINA_FUNCTION</COMMAND> <VERSION>1.0</VERSION> </FUNCTION>

</CSSFile>

ENABLE_UPEK_GINA_FUNCTION

Note:

1.QuestocomandosiapplicasoltantoaThinkVantageFingerprintSoftware.

2.Questocomandononèsupportatonellamodalitàdiemulazione.

Ilseguentecomandoconsentel'accessoWindowstramiteThinkVantageFingerprintSoftwareedisabilita l'accessoaWindowsdiClientSecuritySolution.

<tvt_deploymentxmlns=“http://www.lenovo.com” xmlns:xsi=“http://www.w3.org/2001/XML Schema-instance”xsi:schemaLocation=“ http://www.lenovo.comcssDeploy.xsd”>

<registry_settings/> </tvt_deployment> <FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENABLE_UPEK_GINA_FUNCTION</COMMAND> <VERSION>1.0</VERSION> </FUNCTION>

</CSSFile>

ENABLE_UPEK_GINA_WITH_FUS_FUNCTION

Note:

1.QuestocomandosiapplicasoltantoaThinkVantageFingerprintSoftware.

Capitolo3.GestionediClientSecuritySolution29

2.Questocomandononèsupportatonellamodalitàdiemulazione.

Ilseguentecomandoconsentel'accessoconilsupportodiCambiorapidoutenteedisabilital'accessoa WindowsdiClientSecuritySolution.Ilcambiorapidoutentenonèabilitatoquandoilcomputersitrova inunambientedidominio.Questaèun'impostazionediMicrosoft.

<tvt_deploymentxmlns=“http://www.lenovo.com” xmlns:xsi=“http://www.w3.org/2001/XML Schema-instance”xsi:schemaLocation=“ http://www.lenovo.comcssDeploy.xsd”>

<registry_settings/> </tvt_deployment <FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENABLE_UPEK_GINA_WIH_FUS_FUNCTION</COMMAND> <VERSION>1.0</VERSION> </FUNCTION>

</CSSFile>

ENABLE_AUTHENTEC_GINA_FUNCTION

Note:

1.QuestocomandosiapplicasoltantoaLenovoFingerprintSoftware.

2.Questocomandononèsupportatonellamodalitàdiemulazione.

Ilseguentecomandoconsentel'accessoWindowstramiteLenovoFingerprintSoftwareedisabilital'accesso aWindowsdiClientSecuritySolution.

<tvt_deploymentxmlns=“http://www.lenovo.com” xmlns:xsi=“http://www.w3.org/2001/XML Schema-instance”xsi:schemaLocation=“ http://www.lenovo.comcssDeploy.xsd”>

<registry_settings/> </tvt_deployment> <FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENABLE_AUTHENTEC_GINA_FUNCTION</COMMAND> <VERSION>1.0</VERSION> </FUNCTION>

</CSSFile>

ENABLE_AUTHENTEC_GINA_WITH_FUS_FUNCTION

Note:

1.QuestocomandosiapplicasoltantoaLenovoFingerprintSoftware.

2.Questocomandononèsupportatonellamodalitàdiemulazione.

<tvt_deploymentxmlns=“http://www.lenovo.com” xmlns:xsi=“http://www.w3.org/2001/XML Schema-instance”xsi:schemaLocation=“ http://www.lenovo.comcssDeploy.xsd”>

<registry_settings/> </tvt_deployment <FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENABLE_AUTHENTEC_GINA_WIH_FUS_FUNCTION</COMMAND> <VERSION>1.0</VERSION> </FUNCTION>

</CSSFile>

30ClientSecuritySolution8.3Guidaalladistribuzione

ENABLE_NONE_GINA_FUNCTION

SeGINAoCP(CredentialProvider)diunodeicomponentiThinkVantageTechnologiescorrelati,come ThinkVantageFingerprintSoftware,ClientSecuritySolutionoAccessConnectionsèabilitato,questo comandodisabilitasial'accessoaThinkVantageFingerprintSoftwarecheaClientSecuritySolution.

<tvt_deploymentxmlns=“http://www.lenovo.com” xmlns:xsi=“http://www.w3.org/2001/XML Schema-instance”xsi:schemaLocation=“ http://www.lenovo.comcssDeploy.xsd”>

<registry_settings/> </tvt_deployment <FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENABLE_CSS_NONE_FUNCTION</COMMAND> <VERSION>1.0</VERSION> </FUNCTION>

</CSSFile>

Nota:Questocomandononèsupportatonellamodalitàdiemulazione.

SET_PP_FLAG_FUNCTION

QuestocomandoscriveunindicatorecheClientSecuritySolutionleggeperdeterminareseutilizzarelafrase diaccessodiClientSecurityounapassworddiWindows.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment <FUNCTION> <ORDER>0001</ORDER> <COMMAND>SET_PP_FLAG_FUNCTION</COMMAND> <PP_FLAG_SETTING_PARAMETER>USE_CSS_PP</PP_FLAG_SETTING_PARAMETER> <VERSION>1.0</VERSION> </FUNCTION>

</CSSFile>

Nota:Questocomandononèsupportatonellamodalitàdiemulazione.

SET_ADMIN_USER_FUNCTION

QuestocomandoscriveunindicatorechevienelettodaClientSecuritySolutionperdeterminarechi èl'amministratore.Iparameterisono:

•USER_NAME_P ARAMETER Ilnomeutentedell'amministratore.

•DOMAIN_NAME_P ARAMETER Ilnomedominiodell'amministratore.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment <FUNCTION> <ORDER>0001</ORDER> <COMMAND>SET_ADMIN_USER_FUNCTION</COMMAND> <USER_NAME_PARAMETER>sabedi</USER_NAME_PARAMETER> <DOMAIN_NAME_PARAMETER>IBM-2AA92582C79<DOMAIN_NAME_PARAMETER> <VERSION>1.0</VERSION> <SYSTEM_PAP>PASSWORD</SYSTEM_PAP> </FUNCTION>

</CSSFile>

Capitolo3.GestionediClientSecuritySolution31

Nota:Questocomandononèsupportatonellamodalitàdiemulazione.

INITIALIZE_SYSTEM_FUNCTION

QuestocomandoinizializzalafunzionedisistemaClientSecuritySolution.Lechiavidituttoilsistema vengonogenerateattraversoquestachiamatadifunzione.Ilseguenteelencodiparametrispiegaciascuna funzione:

•NEW_OWNER_AUTH_DAT A_P ARAMETER Questoparametroèutilizzatoperimpostarelanuovapasswordproprietarioperilsistema.Perlanuova passwordproprietario,ilvaloreperquestoparametroècontrollatodall'attualepasswordproprietario.Se l'attualepasswordproprietariononèimpostata,ilvalorediquestoparametrovieneaccolto,ediventa lanuovapasswordproprietario.Sel'attualepasswordproprietarioègiàimpostata,el'amministratore usalastessapasswordproprietarioattuale,alloraverràaccoltoquelvaloreinquestoparametro.Se l'amministratoreusaunanuovapasswordproprietario,verràaccoltalanuovapasswordproprietario inquestoparametro.

•CURRENT_OWNER_AUTH_DAT A_P ARAMETER Questoparametroèl'attualepasswordproprietariodelsistema.Seilsistemadisponegiàdiuna passwordproprietarioesistente,questoparametroaccoglieràlapasswordprecedente.Sevienerichiesta unanuovapasswordproprietario,l'attualepasswordproprietariovieneaccoltainquestoparametro.Se nonècongurataalcunamodicadipassword,vieneaccoltoilvaloreNO_CURRENT_OWNER_AUTH.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment <FUNCTION> <ORDER>0001</ORDER> <COMMAND>INITIALIZE_SYSTEM_FUNCTION</COMMAND> <NEW_OWNER_AUTH_DATA_PARAMETER>pass1word</NEW_OWNER_AUTH_DATA_ PARAMETER> <CURRENT_OWNER_AUTH_DATA_PARAMETER>No_CURRENT_OWNER_AUTH</CURRENT _OWNER_AUTH_DATA_PARAMETER> <VERSION>1.0</VERSION> </FUNCTION>

</CSSFile>

CHANGE_TPM_OWNER_AUTH_FUNCTION

Questocomandomodical'autorizzazionedell'amministratorediClientSecuritySolutioneaggiornadi conseguenzalechiavidisistema.Lechiavidituttoilsistemavengonorigenerateattraversoquestachiamata difunzione.Iparameterisono:

•NEW_OWNER_AUTH_DATA_PARAMETER LanuovapassworddiproprietariodelModulodellapiattaformaafdabile.

•CURRENT_OWNER_AUTH_DATA_PARAMETER LapassworddiproprietariocorrentedelModulodellapiattaformaafdabile.

<tvt_deploymentxmlns=“http://www.lenovo.com” xmlns:xsi=“http://www.w3.org/2001/XML Schema-instance”xsi:schemaLocation=“ http://www.lenovo.comcssDeploy.xsd”>

<registry_settings/> </tvt_deployment <FUNCTION> <ORDER>0001</ORDER> <COMMAND>CHANGE_TPM_OWNER_AUTH_FUNCTION</COMMAND> <NEW_OWNER_AUTH_DATA_PARAMETER>newPassWord</NEW_OWNER_AUTH_DATA_ PARAMETER> <CURRENT_OWNER_AUTH_DATA_PARAMETER>oldPassWord</CURRENT_OWNER_AUTH

32ClientSecuritySolution8.3Guidaalladistribuzione

_DATA_PARAMETER> <VERSION>1.0</VERSION> </FUNCTION>

</CSSFile>

Nota:Questocomandononèsupportatonellamodalitàdiemulazione.

ENROLL_USER_FUNCTION

Questocomandoiscriveunparticolareutenteall'utilizzodiClientSecuritySolution.Questafunzionecrea tuttelechiavidisicurezzaspecichedell'utenteperundatoutente.Iparameterisono:

•USER_NAME_P ARAMETER Ilnomeutentedell'utentedaiscrivere.

•DOMAIN_NAME_P ARAMETER Ilnomedidominiodell'utentedaiscrivere.

•USER_AUTH_DAT A_P ARAMETER LafrasediaccessodiTPMelapasswordWindowssononecessariepercrearelechiavidisicurezza dell'utente.

•WIN_PW_P ARAMETER LapassworddiWindows.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment <FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENROLL_USER_FUNCTION</COMMAND> <USER_NAME_PARAMETER>sabedi</USER_NAME_PARAMETER> <DOMAIN_NAME_PARAMETER>IBM-2AA92582C79<DOMAIN_NAME_PARAMETER> <USER_AUTH_DATA_PARAMETER>myCssUserPassPhrase</USER_AUTH_DATA_PARAMETER>

<WIN_PW_PARAMETER>myWindowsPassword</WIN_PW_PARAMETER> <VERSION>1.0</VERSION> </FUNCTION>

</CSSFile>

USER_PW_RECOVERY_FUNCTION

Questocomandoimpostaunparticolareripristinodipassworddell'utente.Iparameterisono:

•USER_NAME_P ARAMETER Ilnomeutentedell'utentedaiscrivere.

•DOMAIN_NAME_P ARAMETER Ilnomedidominiodell'utentedaiscrivere.

•USER_PW_REC_QUESTION_COUNT Ilnumerodidomandeacuil'utentedeverispondere.

•USER_PW_REC_ANSWER_DATA_PARAMETER Larispostamemorizzatainunaparticolaredomanda.Ilnomeeffettivodiquestoparametroèconnesso adunnumerocorrispondentealladomandaacuiquestorisponde.

•USER_PW_REC_STORED_PASSWORD_PARAMETER Lapasswordsalvatachevienepresentataall'utentequandoatutteledomandevengonodaterisposte corrette.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation="

Capitolo3.GestionediClientSecuritySolution33

http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment <FUNCTION> <ORDER>0001</ORDER> <COMMAND>USER_PW_RECOVERY_FUNCTION</COMMAND> <USER_NAME_PARAMETER>sabedi</USER_NAME_PARAMETER> <DOMAIN_NAME_PARAMETER>IBM-2AA92582C79<DOMAIN_NAME_PARAMETER> <USER_PW_REC_ANSWER_DATA_PARAMETER>Test1</USER_PW_REC_ANSWER_DATA_PARA METER> <USER_PW_REC_ANSWER_DATA_PARAMETER>Test2</USER_PW_REC_ANSWER_DATA_PARA METER> <USER_PW_REC_ANSWER_DATA_PARAMETER>Test3</USER_PW_REC_ANSWER_DATA_PARA METER> <USER_PW_REC_QUESTION_COUNT>3</USER_PW_REC_QUESTION_COUNT> <USER_PW_REC_QUESTION_LIST>20000,20001,20002</USER_PW_REC_QUESTION_LIST> </USER_PW_REC_STORED_PASSWORD_PARAMETER>Pass1word</USER_PW_REC_STORED_PASS WORD_PARAMETER> <VERSION>1.0</VERSION> </FUNCTION>

</CSSFile>

GENERATE_MUL TI_FACTOR_DEVICE_FUNCTION

Questocomandogeneraidispositivimulti-fattorediClientSecuritySolutionutilizzatiperl'autenticazione.I parameterisono:

•USER_NAME_PARAMETER-Ilnomeutentedell'amministratore.

•DOMAIN_NAME_PARAMETER-Ilnomedominiodell'amministratore.

•MUL TI_FACTOR_DEVICE_USER_AUTH-LafrasediaccessodiClientSecurityolapassworddiWindows percrearelechiavidisicurezzadell'utente.

<?xmlversion=“1.0”encoding=“UTF-8”standalone=“no”?>

<CSSFile=xmlns=“www.ibm.com/security/CSS”> <FUNCTION> <ORDER>0001</ORDER> <COMMAND>GENERATE_MULTI_FACTOR_DEVICE_FUNCTION</COMMAND> <USER_NAME_PARAMETER>myUserName</USER_NAME_PARAMETER> <DOMAIN_NAME_PARAMETER>domainName</DOMAIN_NAME_PARAMETER> <MULTI_FACTOR_DEVICE_USER_AUTH>myCssUserPassPhrase</MUL TI_FACTOR_DEVICE_USER_AUTH> <VERSION>1.0</VERSION> </FUNCTION>

</CSSFile>

SET_USER_AUTH_FUNCTION

Questocomandoimpostal'autenticazioneutentediClientSecuritySolution:

<?xmlversion="1.0"encoding="UTF-8"standalone="no"?> <CSSFile=xmlns="www.ibm.com/security/CSS"> <FUNCTION> <ORDER>0001</ORDER> <COMMAND>SET_USER_AUTH_FUNCTION</COMMAND> <VERSION>1.0</VERSION> </FUNCTION>

</CSSFile>

UtilizzoditokenRSASecurID

L'utilizzodelmetododialgoritmodicodicadati,tramitetokenRSASecurIDinsiemeaClientSecurity Solutionforniràunaulterioresicurezzamulti-fattoreall'azienda.Tramitetalitoken,gliutentieseguono

34ClientSecuritySolution8.3Guidaalladistribuzione

l'autenticazionenelleretienelsoftwareutilizzandoilproprioIDutenteoPINeundispositivotoken.Il dispositivotokenvisualizzaunastringadinumerichecambiaogni60secondi.Talemetododiautenticazione fornisceunlivellodiautenticazioneutentemoltopiùafdabiledellepasswordriutilizzabili.

InstallazionedeltokendelsoftwareRSASecurID

CompletareleseguentiprocedureperinstallareilsoftwareRSASecurID:

1.VisitareilseguentesitoWeb: http://www.rsasecurity.com/node.asp?id=1156

2.Completareilprocessodiregistrazione.

3.ScaricareeinstallareilsoftwareRSASecurID.

Requisiti

1.OgniutentediWindowsdeveessereregistratoconClientSecuritySolutionperconsentireilcorretto funzionamentodelsoftwareRSAdopocheèstatoassociatoaClientSecuritySolution.

2.IlsoftwareRSAnonesegueun'autenticazioneinnita(inunloop)conunutentediWindowsnon registratoconClientSecuritySolution.Perrisolveretaleproblema,registrarel'utenteconClient SecuritySolution.

Impostazionidelleopzionidiaccessoallesmartcard

Perimpostareleopzionidiaccessodellesmartcard,completarelaseguenteprocedura:

1.DalmenuprincipalediRSASecurID,fareclicsuStrumentiequindiOpzionidiaccessosmartcard.

2.Dalpannellodicomunicazionesmartcard,selezionareilpulsantediopzionerelativoaAccessoalla smartcardtramiteunmoduloPKCS#11.

3.FareclicsulpulsanteSfogliaeandarenelseguentepercorso:

C:\ProgramFiles\LENOVO\ClientSecuritySolution\csspkcs11.dll

4.Fareclicsullecsspkcs11.dll,quindisuSeleziona.

5.FareclicsuOK.

InstallazionemanualedeltokendelsoftwareRSASecurID

PerutilizzarelaprotezionediClientSecuritySolutionconiltokendelsoftwareRSASecurID,completare laproceduraseguente:

1.DalmenuprincipaledeltokendelsoftwareRSASecurID,fareclicsuFileequindiImportatoken.

2.AndarenelpercorsodelleSDTIDefareclicsuApri.

3.DalpannelloSelezionatokendainstallare,evidenziareinumeridiseriedeitokendelsoftware desiderati.

4.FareclicsuTrasferiscismartcarddeltokenselezionato.

Nota:seuntokendisponediunapassworddidistribuzione,immetterlaquandovienerichiesto.

5.FareclicsuOK.

SupportoperActiveDirectory

IlseguentepercorsoindicaladirectoryperilmoduloPKCS#11perClientSecuritySolution:

C:\ProgramFiles\Lenovo\ClientSecuritySolution\csspkcs11.dll

PerutilizzareilmoduloPKCS#11diClientSecuritySolution,impostareiseguenticriteriperActiveDirectory:

1.FirmaPKCS#11

Capitolo3.GestionediClientSecuritySolution35

2.DecodicaPKCS#11

LaseguentetabellafornisceilcampomodicabileeladescrizionedeicriteriperPKCS#11:

Tabella10.ThinkVantage\ClientSecuritySolution\AuthenticationPolicies\PKCS#11Signature\CustomMode

CampiCSS.ADM

CampomodicabileObbligatorio Descrizionecampo

Possibilivalori•Abilitato

Controllaseènecessariaunapasswordounafrasedi accesso.

–Sempre –Unavoltaperogniaccesso

•Disabilitata

•Noncongurato

Impostazioniecriteriperl'autenticazionetramitelettorediimpronte digitali

Opzionedidisabilitazionedelleimprontedigitali

L'opzionedidisabilitazionedelleimprontedigitaliconsenteadunutentedidisabilitarel'autenticazione tramiteimprontedigitaliediutilizzareunapasswordWindowsperl'accesso.L'utentepuòselezionareo deselezionarequestaopzionenell'interfacciautentediPasswordManagerdurantel'aggiuntadiunanuova voce.

Tuttavia,perimpostazionepredenita,ladisabilitazionedelleimprontedigitalièabilitataanchesequesta opzionenonèselezionata.Ciòconsenteall'utentediaccedereaWindowsquandoilsensoreperimpronte digitalinonèinfunzione.Perdisabilitarel'opzionedidisabilitazionedelleimprontedigitali,modicare laseguentechiavediregistro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Lenovo\ClientSecuritySolution\CSSConguration] "GinaDenyLogonDeviceNonEnrolled"=dword:00000001

Quandolachiavediregistroèimpostatacomeriportatosopra,l'utentenonpuòdisabilitarel'autenticazione tramiteimprontedigitaliquandoilsensoreperimprontedigitalinonfunziona.

Risultatodellaregistrazionediimprontedigitali

Durantel'autenticazionetramiteimprontedigitali,ilsuddettocriteriocontrollalavisualizzazionedeirisultati dellaregistrazioneditaliimpronte.

HKLM\Lenovo\TVTCommon\ClientSecuritySolution\FPSwipeResult

•FPSwipeResult=0:Showallmessages.

•FPSwipeResult=1:Showfailuremessagesonly(defaultvalue).

•FPSwipeResult=2:Donotshowanymessages.

Strumentidellarigacomandi

LefunzionidiThinkVantageTechnologiespossonoancheessereimplementateinlocaleoinremotodagli amministratoriITdell'aziendatramitelaCLI(command-lineinterface).Leimpostazionidicongurazione possonoesseremantenutemedianteleimpostazionileditestoremoto.

36ClientSecuritySolution8.3Guidaalladistribuzione

ClientSecuritySolutiondisponedeiseguentistrumentidellarigacomandi:

•“SecurityAdvisor”apagina37

•“ProceduraguidatadiinstallazionedellaClientSecuritySolution”apagina38

•“Strumentodicodicaodecodicadelledidistribuzione”apagina39

•“Strumentodielaborazionedelledidistribuzione”apagina39

•“TPMENABLE.EXE”apagina39

•“StrumentoTrasferimentocerticati”apagina40

•“AttivazioneodisattivazionedelTPM”apagina41

SecurityAdvisor

PerutilizzarelafunzioneSecurityAdvisor,avviareilprogrammaClientSecuritySolution,fareclicsul menuAvanzateeselezionareilpulsanteSecurityAdvisornell'areadilavoroClientSecuritySolution. Ilsistemaeseguiràillewst.exechesitrovanelladirectoryC:\Programmi\Lenovo\CommonFiles\WST\per un'installazionepredenita.

Iparameterisono:

Tabella11.Parametri

ParametriDescrizione

HardwarePasswords

PowerOnPassword

HardDrivePasswordImpostailvalorepercuideveessereabilitatauna

AdministratorPasswordImpostailvalorepercuideveessereabilitatauna

WindowsUsersPasswordsImpostailvaloreperlapasswordutentediWindows.

PasswordImpostailvaloresecondocuilapassworddegli

PasswordAge

PasswordNeverExpiresImpostailvaloresecondocuilapassworddiWindowsnon

WindowsPasswordPolicyImpostailvaloreperilcriteriodellapasswordWindows.

MinimumPasswordLengthImpostailvaloredaassegnareallalunghezzadella

MaximumPasswordAgeImpostailvalorechelapassworddeveaveresuquesto

Impostailvaloreperlapasswordhardware.1mostrerà questasezione,0lanasconderà.Ilvalorepredenitoè1.

Impostailvalorepercuideveessereabilitatauna passwordPowerOnol'impostazionesaràcontrassegnata.

passworddell'unitàdiscool'impostazionesarà contrassegnata.

passwordamministratoreol'impostazionesarà contrassegnata.

1mostreràquestasezione,0lanasconderà.Senon presente,vienemostrataperimpostazionepredenita.

utentideveessereabilitataol'impostazioneverrà contrassegnata.

Impostailvaloredell'etàdellapasswordWindows richiestasuquestocomputerol'impostazioneviene contrassegnata.

puòmaiscadereol'impostazionevienecontrassegnata.

1mostreràquestasezione,0lanasconderà.Senon presente,vienemostrataperimpostazionepredenita.

passwordsuquestocomputerol'impostazioneverrà contrassegnata.

computerol'impostazionedeveesserecontrassegnata

Capitolo3.GestionediClientSecuritySolution37

Tabella11.Parametri(continua)

ParametriDescrizione

ScreenSaverImpostailvaloreperilsalvaschermo.1mostreràquesta

sezione,0lanasconderà.Senonpresente,viene mostrataperimpostazionepredenita.

ScreenSaverPasswordSet

ScreenSaverTimeout

FileSharingImpostailvaloreperlacondivisionedeile.1mostrerà

AuthorizedAccessOnly

ClientSecurityImpostailvaloreperlaClientSecurity.1mostrerà

EmbeddedSecurityChip

ClientSecuritySolutionImpostailvaloredellaversionedellaClientSecurity

Impostailvaloredellapasswordperilsalvaschermoo l'impostazionevienecontrassegnata.

Impostailvaloredeltime-outdelsalvaschermoche dovrebbeesserepresentesuquestocomputero l'impostazionesaràcontrassegnata.

questasezione,0lanasconderà.Senonpresente,viene mostrataperimpostazionepredenita.

Impostailvaloreinbasealqualedovrebbeessere impostatol'accessoautorizzatoperlacondivisionedei leol'impostazionevienecontrassegnata.

questasezione,0lanasconderà.Senonpresente,viene mostrataperimpostazionepredenita.

Impostailvaloresecondocuiilchipdisicurezzadeve essereabilitatool'impostazionesaràcontrassegnata.

Solutionchedovrebbeesserepresentesulcomputero l'impostazionevienecontrassegnata.

ProceduraguidatadiinstallazionedellaClientSecuritySolution

LaproceduraguidatadicongurazionediClientSecuritySolutionvieneutilizzataanchepergenerarescriptdi distribuzionemedianteleXML.Ilcomandoseguentevisualizzalediversefunzionidellaproceduraguidata:

"C:\ProgramFiles\Lenovo\ClientSecuritySolution\css_wizard.exe"/?

LatabellaseguentefornisceicomandidellaproceduraguidatadiinstallazionediClientSecuritySolution.

Tabella12.ComandiperlaproceduraguidatadicongurazionediClientSecuritySolution

ParametroRisultato

/ho/? /name:FILENAME

/encryptCodicaillediscriptutilizzandolacodicaAES.Ilnome

/pass:

/novalidate

Visualizzalacaselladelmessaggiodiaiuto

Precedeilpercorsocompletoeilnomedelledi distribuzionegenerato.Illehaun'estensione.xml.

levieneaggiuntocon.encsevienecodicato.Seil comando/passnonvieneutilizzato,unafrasediaccesso staticavieneutilizzataperoscurareille.

Precedelafrasediaccessoperlaprotezionedelledi distribuzionecodicato.

Disabilitalefunzionidivericadellapasswordedella frasediaccessodellaproceduraguidatainmodocheil lediscriptpossaesserecreatosolosuuncomputergià congurato.Adesempio,lapassworddell'amministratore sulcomputerattualepotrebbenonesserelapassword dell'amministratoredesideratadall'azienda.Utilizzareil comando/novalidateperconsentirediimmetterenella GUIdicss_wizardunadiversapassworddiamministratore durantelacreazionedellexml.

38ClientSecuritySolution8.3Guidaalladistribuzione

Esempio:

css_wizard.exe/encrypt/pass:mysecret/name:C:\DeployScript/novalidate

Strumentodicodicaodecodicadelledidistribuzione

QuestostrumentoèutilizzatopercodicareodecodicareiledidistribuzioneXMLdellaClientSecurity. Ilcomandoseguentevisualizzalediversefunzionidellostrumento:

“C:\ProgramFiles\Lenovo\ClientSecuritySolution\xml_crypt_tool.exe”/?

Iparametrivengonomostratinellaseguentetabella:

Tabella13.ParametriperlacrittograaoladecrittograadeiledidistribuzioneXMLdiClientSecurity

ParametriRisultati

/ho/? FILENAME

/encrypto/decrypt

PASSPHRASEVisualizzailparametroopzionalecheèrichiestosesi

Esempi:

xml_crypt_tool.exe"C:\DeployScript.xml"/encrypt"mysecret"

Visualizzailmessaggiodiaiuto.

Visualizzailnomedelpercorsoedelleconestensione .xmlo.enc.

Seleziona/encryptperleXMLe/decryptperleENC.

utilizzaunafrasediaccessoperproteggereille.

xml_crypt_tool.exe"C:\DeployScript.xml.enc"/decrypt"mysecret"

Strumentodielaborazionedelledidistribuzione

Lostrumentovmserver.exeelaboragliscriptdidistribuzioneXMLdiClientSecuritySolution.Ilcomando seguentevisualizzalediversefunzionidellaproceduraguidata:

"C:\ProgramFiles\Lenovo\ClientSecuritySolution\vmserver.exe"/?

Latabellaseguentefornisceiparametriperl'elaborazionedelle.

Tabella14.Parametriperl'elaborazionele

ParametroRisultato

FILENAME

PASSPHRASEIlparametroP ASSPHRASEvieneutilizzatoper

IlparametroFILENAMEdeveavereun'estensionele XMLoENC

decodicareunleconl'estensioneENC

Esempio:

Vmserver.exeC:\DeployScript.xml.enc"mysecret"

TPMENABLE.EXE

Illetpmenable.exeèutilizzatoperattivareodisattivareilchipdisicurezza.

Capitolo3.GestionediClientSecuritySolution39

Tabella15.Parametriperilletpmenable.exe

ParametroDescrizione

/enableo/disable /quietNascondelerichiesteperlapasswordoglierroriBIOS. sp:password

Abilitaodisabilitailchipdisicurezza.

SoloperWindows2000eXP,passworddi amministratore/supervisore,noninserirelapasswordtra apici.

Esempio:

tpmenable.exe/enable/quiet/sp:MyBiosPW

StrumentoTrasferimentocerticati

LaseguentetabellafornisceleopzionidellarigacomandidellostrumentoT rasferimentocerticatiper ClientSecuritySolution:

Tabella16.css_cert_transfer_tool.exe<cert_store_type><lter_type>:<name|size>|all_access|usage

ParametroDescrizione

<cert_store_type>

Esempi:

<lter_type>:<name|size>

Esempi:

cert_store_user

cert_store_machine

cert_store_all

subject_simple_name:<name>

subject_friendly_name:<name>Trasferiscetuttiicerticatichecorrispondonoalnome

issuer_simple_name:<name>

ssuer_friendly_name:<name>Trasferiscetuttiicerticatichecorrispondonoalnome

key_size:<size>

Questoèilprimoparametrorichiesto.Deveessereutilizzatocomeprima opzioneedeveincludereunodeiseguentiesempi:

Trasferiscesoltantoicerticatiutente.Talicerticati vengonoassegnatiall'utentecorrente.

Trasferiscesoltantoicerticatimacchina.T alicerticati possonoessereutilizzatidatuttigliutentiautorizzatisuuna macchina.

Trasferiscesiatipidicerticatiutentechemacchina.

Questoèilsecondoparametrorichiesto.Deveessereutilizzatodopoil parametro<cert_store_type>richiesto.Ognitipodiltro,adeccezione diquantoriportatodiseguito,deveincludereiduepunti“:”allanee devecontenereimmediatamentedopoiduepuntiilnomedell'oggetto, l'autoritàoladimensionechiavedelcerticatodaricercare.Questo programmadiutilitàrispettaladistinzionetramaiuscole/minuscolee,se ilnomechesistaricercandoèunnomecompostocome“AutoritàCA”, ènecessarioinserireilpropriocriteriodiricercatralevirgolettedoppie (“”).Perinformazioni,vederegliesempi.

Trasferiscetuttiicerticatichecorrispondonoalnomecon cuivieneemessoilcerticato,dovetalenomeè<name>.

sempliceconcuivieneemessoilcerticato,dovetalenome è<name>.

Trasferiscetuttiicerticatichecorrispondonoalnome dell'autoritàdicerticazionechelihaemessi,dovetale nomeè<name>.

semplicedell'autoritàdicerticazionechelihaemessi, dovetalenomeè<name>.

Trasferiscetuttiicerticaticrittografaticonladimensione chiave<size>inbit.Tenerepresentechequestoèuncriterio dicorrispondenzaesatta;ilprogrammanonricercherà certicaticrittografaticonunadimensionechiaveinferioreo pariataledimensione.

40ClientSecuritySolution8.3Guidaalladistribuzione

Tabella16.css_cert_transfer_tool.exe<cert_store_type><lter_type>:<name|size>|all_access|usage(continua)

ParametroDescrizione

Ledueopzioniseguentisonoautonome;nondispongonodiunsecondoargomentoassociato: all_access usage

Trasferiscetuttiicerticati,senzaltro. Nonfornisceinformazionicorrettesullarigacomandi,malafunzioneutilizzataperdeterminareun

correttoutilizzorestituiràvaloritrueofalseasecondaseicomandiinviatisonocorrettiomeno.

AttivazioneodisattivazionedelTPM

PerimodellidicomputernotebookThinkPadX200,T400,T500eisuccessivimodellidicomputernotebook ThinkPad(adesempioT410oT420),effettuareleseguentioperazioniperattivareilTPM:

1.AccederealsitoWeball'indirizzo http://support.lenovo.com/en_US/detail.page?LegacyDocID=MIGR-68488.

2.FareclicsuSampleScriptsforBIOSDeploymentGuide(Esempidiscriptperlaguidaalla distribuzionedelBIOS)perscaricareillescript.zip.Quindi,estrarreillezip.

3.Digitarecscript.exeSetCong.vbsSecurityChipActivenellanestradelpromptdeicomandiper eseguireilleSetCong.vbs.

4.Riavviareilcomputer.

Nota:suimodellidicomputernotebookThinkPadT400oT410ènecessarioriavviareilcomputerdue volteperattivareilTPM.

PerattivareilTPMsuicomputerdesktop,procederenelseguentemodo:

1.AccederealsitoWeball'indirizzo http://support.lenovo.com/en_US/detail.page?LegacyDocID=MIGR-75407.

2.FareclicsuVisualBasicsamplescriptstousewhenconguringBIOSsettings(Scriptdiesempio VisualBasicdautilizzaredurantelacongurazionedelleimpostazioniBIOS)perscaricareille sample_script_m90.zip.Quindi,estrarreillezip.

3.Digitarecscript.exeSetCong.vbsSecurityChipActivenellanestradelpromptdeicomandiper eseguireilleSetCong.vbs.

4.Riavviareilcomputer.

PertuttiimodellidicomputerdesktopThinkStationeimodellidicomputernotebookThinkPad precedentiaT400(adesempioT61)attivareilTPMutilizzandolostrumentodiattivazioneTPMoille css_manage_vista_tpm.exe.

UtilizzodellostrumentodiattivazioneTPM(WindowsXP)

Illetpm_activate_cmd.exevieneutilizzatoperattivareodisattivareilTPMsuisistemioperativiWindowsXP .

Nota:pereseguirequestostrumento,sonorichiestiprivilegidiamministratore.Inoltre,primadieseguire questostrumento,ènecessarioinstallareidriverSMBioseSMBuspiùrecenti.

Tabella17.Parametriperl'attivazioneoladisattivazionediTPMsulsistemaLenovo

ParametroDescrizione

/helpo/? /biospw:passwordSpecicalapassworddiamministratoreodisupervisore

Visualizzal'elencodiparametri.

delBIOS,seimpostata.

Capitolo3.GestionediClientSecuritySolution41

Tabella17.Parametriperl'attivazioneoladisattivazionediTPMsulsistemaLenovo(continua)

ParametroDescrizione

/deactivate

/verbose

DisattivailTPM. Nota:sesieseguetpm_activate_cmd.exesenzail parametro/deactivate,attiveràilTPMperimpostazione predenita.

Visualizzaunoutputditesto.

Esempio:

tpm_activate_cmd.exe/? tpm_activate_cmd.exe/verbose tpm_activate_cmd.exe/biospw:pass

Utilizzodellecss_manage_vista_tpm.exe(WindowsVistaoWindows7)

Illecss_manage_vista_tpm.exevieneutilizzatoperattivareodisattivareilTPMsuisistemioperativi WindowsVistaoWindows7quandoèinstallatoClientSecuritySolution.

Nota:pereseguirequestostrumento,sonorichiestiprivilegidiamministratore.

css_manage_vista_tpm.exe[/verbose][/showinf o|/getstate|setstate:<state>]

dove

/verbosevisualizzal'outputditesto.L'impostazionepredenitaèoperazionepresidiata.

/showinf ovisualizzaleinformazionisulTPM,adesempio,ilfornitore,laversionedelrmware,lapresenza

sicaelaversionedell'interfaccia.

/getstatevisualizzal'attualestatodelTPM.IlTPMpresentaiseguentitipidistato:

•Abilitato

•Disabilitata

•Attivata

•Disattivato

•Appartenente

•Nonappartenente

/setstate:<state>impostailtipodistatoTPMpreferito.0indicadisabilitatoedisattivato.1indicaabilitato. 2indicaattivato.4indicaappartenente.Èpossibileutilizzarelafunzionediaggiunta(ovveroORbitperbit)

perimpostarepiùstativalidi.

Adesempio,

css_manage_vista_tpm.exe/verbose/setstate:0impostalostatodelTPMafnchérisultidisabilitatoo disattivato.

css_manage_vista_tpm.exe/verbose/setstate:1impostalostatodelTPMafnchérisultiabilitato.

css_manage_vista_tpm.exe/verbose/setstate:2impostalostatodelTPMafnchérisultiattivato.

css_manage_vista_tpm.exe/verbose/setstate:3impostalostatodelTPMafnchérisultiabilitatoeattivato.

42ClientSecuritySolution8.3Guidaalladistribuzione

Nota:

•T raitipidistatovalididelTPMsonoinclusi: –Abilitato

–Disabilitata –Attivata –Disattivato –Abilitatoeattivato –Disabilitatoedisattivato

•T raletransazionidistatovalidedelTPMsonoincluse: –Disabilitata->Abilitata

–Disabilitata->Abilitataeattivata –Abilitata->Disabilitata –Abilitata->Abilitataeattivata –Abilitataeattivata->Disabilitata –Abilitataeattivata->Disabilitataedisattivata

SupportoperActiveDirectory

ActiveDirectoryèunserviziodidirectory.Ladirectoryèilluogoincuivengonomemorizzateleinformazioni relativeagliutentieallerisorse.Ilserviziodidirectorypermettel'accessoinmododapotergestiretalirisorse.

L'ActiveDirectoryfornisceunmeccanismocheoffreagliamministratorilapossibilitàdigestirecomputer, gruppi,utenti,domini,policydisicurezzaequalsiasialtrooggettodenitodall'utente.Ilmeccanismo utilizzatodaActiveDirectoryperrealizzareciò,vieneindicatoconilnomediCriteriodigruppo.ConCriterio digruppo,gliamministratoridenisconoleimpostazionichepossonoessereapplicateaicomputero agliutentipresentineldominio.

Attualmente,iprodottidellatecnologiaThinkVantageutilizzanounaseriedimetodiperlaraccoltadelle impostazioninecessariepercontrollareleimpostazionideiprogrammitracuilaletturadivocidiregistro specichedenitedalleapplicazioni.

Gliesempiseguentisonoimpostazionichel'ActiveDirectoryèingradodigestirerelativamenteaClient SecuritySolution:

•Criteridisicurezza.

•Criteridisicurezzapersonalizzati,adesempiol'utilizzodiunapasswordWindowsounafrasediaccesso diClientSecuritySolution.

Filedimodelloamministrativi(ADM)

IlledimodelloADM(Amministrativo)denisceleimpostazionidellepoliticheutilizzatedalleapplicazioni suicomputerclient.Lepolitichesonoimpostazionispecichechegovernanoilcomportamento dell'applicazione.Inoltre,stabilisconosel'utentepotràdenireomenodeterminateimpostazioniattraverso l'applicazione.

Leimpostazionidenitedaunamministratoresulservervengonodenitecomepolitiche.Leimpostazioni stabilitedaunutentesulcomputerclientperun'applicazionesonodenitepreferenze.Comestabilitoda Microsoft,icriterihannolaprecedenzarispettoallepreferenze.

Capitolo3.GestionediClientSecuritySolution43

Adesempio,unutentepotrebbeinserireun'immaginedisfondosuldesktop.Questaèl'impostazione dellepreferenzedell'utente.Unamministratorepotrebbedenireun'impostazionesulservercheimpone aunutentediutilizzareunaspecicaimmaginedisfondo.L'impostazionedeicriteridegliamministratori sovrascrivelepreferenzeimpostatedagliutenti.

QuandounprodottoThinkVantageTechnologyricercaun'impostazione,lofarànelseguenteordine:

•Criteridicomputer

•Criteriutente

•Criteriutentepredeniti

•Preferenzedicomputer

•Preferenzeutente

•Preferenzeutentepredenite

Comedescrittoinprecedenza,lepolitichedicomputereutentevengonodenitedall'amministratore.Tali impostazionipossonoessereinizializzatemedianteilledicongurazioneXMLouncriteriodigruppoin ActiveDirectory.Lepreferenzecomputereutentevengonoimpostatedall'utentesuuncomputerclient attraversoleopzionidell'interfacciaapplicazioni.Lepreferenzeutentepredenitesonoinizializzatedallo scriptdicongurazioneXML.Gliutentinonmodicanodirettamenteivalori.Lemodicheapportateaqueste impostazionidaunutenteverrannoaggiornatenellepreferenzeutente.

IclientichenonutilizzanoActiveDirectorypossonocreareuninsiemepredenitodiimpostazionidicriteri dadistribuireaisistemiclient.GliamministratoripossonomodicaregliscriptdicongurazioneXMLe specicarechedevonoessereelaboratidurantel'installazionedelprodotto.

Denizionedelleimpostazionigestibili

L'esempiosuccessivomostraleimpostazioninell'editordelCriteriodigruppoutilizzandolaseguente gerarchia:

ComputerConguration>AdministrativeTemplates>ThinkVantageT echnologies> ClientSecuritySolution>AuthenticationPolicies>MaxRetries> Passwordnumberofretries

IleADMindicanoinchepuntodelregistroverrannoriesseleimpostazioni.Taliimpostazionisarannonelle seguentiposizionidelregistro:

Computerpolicies: HKLM\Software\Policies\Lenovo\ClientSecuritySolution\ Userpolicies: HKCU\Software\Policies\Lenovo\ClientSecuritySolution\ Def aultuserpolicies: HKLM\Software\Policies\Lenovo\ClientSecuritySolution\Userdefaults Computerpreferences: HKLM\Software\Lenovo\ClientSecuritySolution\ Userpreferences: HKCU\Software\Lenovo\ClientSecuritySolution\ Def aultuserpref erences: HKLM\Software\Lenovo\ClientSecuritySolution\Userdef aults

ImpostazionidiCriteriodigruppo

Letabellediquestasezionefornisconoleimpostazionideicriteriperlacongurazionedelcomputereperla congurazionedell'utenteperClientSecuritySolution.

Massimonumeroditentativi

Latabellaseguentefornisceleimpostazionideicriteridiautenticazione,numeromassimoditentativi.

44ClientSecuritySolution8.3Guidaalladistribuzione

Tabella18.Congurazionecomputer➙ThinkVantage➙ClientSecuritySolution➙Criteridiautenticazione ➙Numeromassimotentativi

Impostazione

Criterio

Numerotentativi password

Numerotentativifrase diaccesso

abilitataDescrizione

Ilmassimonumero ditentativiè20.

Controllailnumeromassimodivoltecheunutentepuòutilizzare unapasswordWindowsperl'autenticazioneprimachesiverichiun fallbacksulcriteriodisovrascrittura.

Controllailnumeromassimodivolteincuiunutentepuòutilizzare unafrasediaccessoClientSecurityperl'autenticazioneprimachesi verichiunfallbacksulcriteriodisovrascrittura.

Modalitàsicura

Latabellaseguentefornisceleimpostazionideicriteridiautenticazione,Modalitàsicura.

Tabella19.Congurazionecomputer➙Modelliamministrativi➙ThinkVantage➙ClientSecuritySolution➙ Criteridiautenticazione➙Modalitàsicura

CriterioImpostazioniabilitateDescrizione

Password

Passphrase

Improntadigitale

Sovrascrittura

E'possibileimpostarelafrequenzasuSempreo Unavoltaadaccesso.

Impostalasovrascritturadellapassword,dellafrase diaccessoodelleimprontedigitali.

Controllaseèrichiestalapassword.

Controllaseèrichiestalafrasedi accesso.

Controllasesonorichiesteleimpronte digitali.

Denisceirequisitidi“fallback” dell'autenticazionesel'autenticazione normalefallisce.

Modalitàpredenita

Latabellaseguentefornisceleimpostazionideicriteridiautenticazione,Modalitàpredenita.

Tabella20.Congurazionecomputer➙Modelliamministrativi➙ThinkVantage➙ClientSecuritySolution➙ Criteridiautenticazione➙Modalitàpredenita

CriterioImpostazioniabilitateDescrizione

Password

Passphrase

Improntadigitale

Sovrascrittura

E'possibileimpostarelafrequenzasuSempreo Unavoltaadaccesso.

Impostalasovrascritturadellapassword,dellafrase diaccessoodelleimprontedigitali.

Controllaseèrichiestalapassword.

Controllaseèrichiestalafrasedi accesso.

Controllasesonorichiesteleimpronte digitali.

Denisceirequisitidi“fallback” dell'autenticazionesel'autenticazione normalefallisce.

Criteridiautenticazione

L'elencoseguentedicritericontieneleimpostazioniabilitatechedenisconoillivellodiautenticazionedi ognicriterio:

•LivellodiautenticazioneaccessoaWindows

•Livellodiautenticazionesbloccodelsistema

Capitolo3.GestionediClientSecuritySolution45

•Livellodiautenticazionegestionepassword

•LivellodiautenticazionermaCSP

•LivellodiautenticazionedecodicaCSP

•LivellodiautenticazionermaPKCS#11

•LivellodiautenticazionedecodicaPKCS#11

•LivellodiautenticazioneaccessoPKCS#11

Latabellaseguentefornisceleimpostazionieivaloriperilivellidiautenticazioneprecedenti:

Tabella21.Congurazionecomputer➙Modelliamministrativi➙ThinkVantage➙ClientSecuritySolution➙ Criteridiautenticazione

CriterioImpostazioniabilitateDescrizione

Password

Passphrase

Improntadigitale

Sovrascrittura

E'possibileimpostarelafrequenzasuSempreo Unavoltaadaccesso.

Impostalasovrascritturadellapassword,dellafrase diaccessoodelleimprontedigitali.

Controllaseèrichiestalapassword.

Controllaseèrichiestalafrasedi accesso.

Controllasesonorichiesteleimpronte digitali.

Denisceirequisitidi“fallback” dell'autenticazionesel'autenticazione normalefallisce.

PasswordManager

LatabellaseguentefornisceleimpostazionideicriteriperilPasswordmanager.

Tabella22.Congurazionecomputer➙ThinkVantage➙ClientSecuritySolution➙PasswordManager

ImpostazionecriterioDescrizione

DisabilitailPasswordmanager DisabilitasupportoInternetExplorer

DisabilitasupportoMozilla

Disabilitailsupportoperleapplicazioni Windows

Disabilitariempimentoautomatico

Disabilitasupportotastidisceltarapida

Utilizzaltraggiodominio Dominiproibiti

URLproibiti

Moduliproibiti

Tastidisceltarapidadiriempimento automatico

ControllaseilPasswordmanagersiavviaall'avviodelsistema. ControllaseilPasswordmanagersaràingradodimemorizzarelepassword

daInternetExplorer. ControllaseilPasswordmanagersaràingradodimemorizzarelepassword

daibrowserbasatisuMozilla,compresiFirefoxeNetscape. ControllaseilPasswordmanagersaràingradodimemorizzarelepassword

dalleapplicazioniWindows. ControllaseilPasswordmanagerinseriràinautomaticoidatineisitiwebe

nelleapplicazioniWindows. ControllaseilPasswordmanagersupporteràl'usodeitastidisceltarapida

perinserireidatineisitiwebenelleapplicazioniWindows. ControllaseilPasswordmanagerltreràisitiwebinbaseaidomini. ControllaidominidaiqualiilPasswordmanagernondevememorizzare

lepassword. ControllagliURLdaiqualiilPasswordmanagernondevememorizzare

lepassword. ControllaleapplicazioniWindowsdallequaliilPasswordmanagernon

devememorizzarelepassword. ControllailtastodisceltarapidaCtrl+F2perilriempimentoautomatico.

46ClientSecuritySolution8.3Guidaalladistribuzione

Tabella22.Congurazionecomputer➙ThinkVantage➙ClientSecuritySolution➙PasswordManager(continua)

ImpostazionecriterioDescrizione

TastodisceltarapidaDigitaetrasferisci

GestiscitastodisceltarapidaControllailtastodisceltarapidaCtrl+Shift+B.

ControllailtastodisceltarapidaCtrl+Shift+HperDigitaeTrasferisci.

Interfacciautente

Laseguentetabellafornisceleimpostazionideicriteriperl'interfacciautente.

Tabella23.Congurazionecomputer➙ThinkVantage➙ClientSecuritySolution➙Interfacciautente

ImpostazionecriterioDescrizione

OpzionesoftwareFingerprintMostrare,disabilitareonasconderel'opzioneFingerprintSoftware

nell'applicazioneClientSecuritySolution.Predenito:Mostra.

OpzioneCodicaleMostrare,disabilitareonasconderel'opzioneCodicalenell'applicazione

ClientSecuritySolution.Predenito:Mostra.

OpzioneControlloimpostazionidi sicurezza

OpzioneT rasferimentocerticato digitale

OpzioneModicastatochipdisicurezza

OpzioneCancellabloccochipdi sicurezza

OpzionePolicymanager

OpzioneRipristino/Congurazione impostazioni

OpzionePasswordmanager

OpzioneRipristinopasswordhardware

OpzioneRecuperopasswordWindows

OpzioneModicadellemodalitàdi autenticazione

OpzioneAbilitazione/Disabilitazione recuperopasswordWindows

OpzioneAbilitazione/Disabilitazione PasswordManager

Mostrare,disabilitareonasconderel'opzioneControlloimpostazionidi sicurezzanell'applicazioneClientSecuritySolution.Predenito:Mostra.

Mostrare,disabilitareonasconderel'opzioneTrasferimentocerticato digitalenell'applicazioneClientSecuritySolution.Predenito:Mostra.

Mostrare,disabilitareonasconderel'opzioneModicastatochipdi sicurezzanell'applicazioneClientSecuritySolution.Predenito:Mostra.

Mostrare,disabilitareonasconderel'opzioneCancellabloccochipdi sicurezzanell'applicazioneClientSecuritySolution.Predenito:Mostra.

Mostrare,disabilitareonasconderel'opzionePolicymanager nell'applicazioneClientSecuritySolution.Predenito:Mostra.

Mostrare,disabilitareonasconderel'opzioneProceduraguidatadi congurazionenell'applicazioneClientSecuritySolution.Predenito: Mostra.

Mostra,disabilitaonascondel'opzionePasswordmanager nell'applicazioneClientSecuritySolution.Predenito:Mostra.

Mostrare,disabilitareonasconderel'opzioneReimpostazionepassword hardwarenell'applicazioneClientSecuritySolution.Predenito:Mostra.

Mostrare,disabilitareonasconderel'opzioneRecuperopasswordWindows nell'applicazioneClientSecuritySolution.Predenito:Mostra.

Mostra,disabilitaonascondel'opzioneModicamodalitàdiautenticazione nell'applicazioneClientSecuritySolution.Predenito:Mostra.

Mostra,disabilitaonascondel'opzioneperabilitareodisabilitareil recuperopasswordWindowsnell'applicazioneClientSecuritySolution. Predenito:Mostra.

Mostra,disabilitaonascondel'opzioneperabilitareodisabilitarePassword Managernell'applicazioneClientSecuritySolution.Predenito:Mostra.

Strumentoperlasicurezzadellastazionedilavoro

Laseguentetabellafornisceleimpostazionideicriteriperlostrumentoperlasicurezzadellastazionedi lavoro.

Capitolo3.GestionediClientSecuritySolution47

Tabella24.Congurazionecomputer➙ThinkVantage➙ClientSecuritySolution➙Strumentodiprotezione workstation

CriterioImpostazioneDescrizione

PasswordhardwarePasswordhardware

PasswordhardwarePassworddiaccensione

Passwordhardware

PasswordhardwarePasswordamministratore

Passwordutenti Windows

Criteriopassword Windows

SalvaschermoSalvaschermo

Salvaschermo

SalvaschermoTimeoutSalvaschermoImpostazionedell'etàmassimadellapassword-numerodi

CondivisioneleCondivisionele

Condivisionele ClientSecurityClientSecurity

ClientSecurityChipdisicurezzaintegratoSelezionare,asecondadelcaso,seabilitare,disabilitareo

ClientSecurityVersionedellaClientSecurity

Passworddiscosso

PasswordutentiWindows

Password

Duratapassword

Nessunascadenza password

CriteriopasswordWindows

Numerominimodicaratteri presentinellapassword

EtàmassimapasswordImpostazionedell'etàmassimadellapassword-numerodi

Impostazionepassword salvaschermo

Accessoautorizzato

Solution

Abilitaodisabilitalavisualizzazionedelleinformazioni relativeallepasswordhardware.

Selezionare,asecondadelcaso,seabilitare,disabilitareo ignorarequestaimpostazione.

Abilitaodisabilitalavisualizzazionedelleinformazioni relativeallepassworddegliutentiWindows.

Selezionare,asecondadelcaso,seabilitare,disabilitareo ignorarequestaimpostazione.

Numeromassimodigiornipercuièvalidalapassword.

IlvaloreconsigliatopuòessereTrue,FalseoIgnora.

Abilitaodisabilitalavisualizzazionedelleinformazioni relativeaicriteridellapasswordWindows.

Numerominimodicaratteridicuipuòesserecompostala passwordoutilizzareilvalore'Ignora'.

giornioutilizzare'Ignora'neipropririsultati. Abilitaodisabilitalavisualizzazionedelleinformazioni

relativeaicriteridellapasswordWindows. Numerominimodicaratteridicuipuòesserecompostala

passwordoutilizzareilvalore'Ignora'.

giornioutilizzare'Ignora'neipropririsultati. Abilitaodisabilitalavisualizzazionedelleinformazioni

relativeallacondivisionele. IlvaloreconsigliatopuòessereTrue,FalseoIgnora. Abilitaodisabilitalavisualizzazionedelleinformazioni

relativeallaClientSecurity.

ignorarequestaimpostazione. ImpostarelaversioneminimaconsigliatadellaClient

SecuritySolutionoimpostarlasuIgnora.

48ClientSecuritySolution8.3Guidaalladistribuzione

Capitolo4.UtilizzodiThinkVantageFingerprintSoftware

LaconsoleperimprontedigitalideveessereeseguitadallacartelladiinstallazionediThinkVantage FingerprintSoftware.LasintassidibaseèFPRCONSOLE[USER|SETTINGS].IlcomandoUSERo SETTINGSspecicalamodalitàoperativacheverràutilizzata.Ilcomandocompletoè“fprconsoleuseradd TestUser”.Quandoilcomandononènotooppurenontuttiiparametrisonospecicati,l'elencodicomandi brevivienevisualizzatoassiemeaiparametri.

ThinkVantageFingerprintSoftware,leistruzionidiinstallazione,laconsoledigestioneetuttala documentazionecorrelatasonodisponibilisulsitoWebseguente: http://www.lenovo.com/support

StrumentoConsoledigestione

Questasezionefornisceinformazionisucomandispecicidell'utenteecomandidiimpostazioniglobali.

Comandispecicidell'utente

Peraggiungereomodicaregliutenti,siutilizzalasezioneUSER.Quandol'utentecorrentenondispone deidirittidiamministratore,lafunzionalitàdellaconsoledipendedallamodalitàdisicurezzadelsoftware perimprontedigitali.Modalitàsicura:nonèconsentitoalcuncomando.Modalitàpratica:sonoconsentitii comandiADD,EDITeDELETEperl'utentestandard.Tuttavia,l'utentepuòmodicaresoloilproprioaccount Passport(seiscrittoconilproprionomeutente).Lasintassièlaseguente:

FPRCONSOLEUSERcommand

dovecomandoèunodeiseguenticomandi:ADD,EDIT,DELETE,LIST,IMPORT,EXPORT.

Tabella25.Comandispecicidell'utente

ComandoSintassiDescrizione

Iscrivinuovoutente

Example:

fprconsoleuseradd domain0\testuser

fprconsoleuseradd testuser

Modicautenteiscritto

Example:

fprconsoleuseredit domain0\testuser

fprconsoleuseredit testuser

Eliminaunutente

Example:

fprconsoleuserdelete domain0\testuser

fprconsoleuserdelete testuser

ADD[username[|domain\ username]]

EDIT[username[|domain\ username]]

DELETE[username[|domain\ username|/ALL]]

Seilnomeutentenonèspecicato, vieneutilizzatoilnomeutentecorrente.

Seilnomeutentenonèspecicato, vieneutilizzatoilnomeutentecorrente. Nota:L'utenteiscrittodovrà innanzituttovericarelapropria impronta.

L'indicatore/ALLeliminatuttigliutenti registratisuquestocomputer.Seil nomeutentenonèspecicato,viene allorautilizzatoilnomeutentecorrente.

fprconsoleuserdelete /ALL

©CopyrightLenovo2008,2011

Tabella25.Comandispecicidell'utente(continua)

ComandoSintassiDescrizione

NumeraregliutentiregistratiListElencagliutentiiscritti. Esportarel'utenteiscrittoinun

le

Importautenteiscritto

Syntax:EXPORTusername [|domain\username]le

Syntax:IMPORTle

Questocomandoesportaunutente iscrittoinunlepresentesull'HDD. L'utentepotràpoiessereimportato tramiteilcomandoIMPORTsudiun altrocomputerosullostessocomputer, sel'utentevienecancellato.

Ilcomandoimportal'utentedalle specicato. Nota:sel'utentenelleègiàiscritto sullostessocomputerutilizzandole stesseimpronte,nonsigarantisce qualeutenteavràlaprecedenza nell'operazionediidenticazione.

Comandidiimpostazioniglobali

LeimpostazioniglobalidelSoftwareFingerprintpossonoesseremodicatedallasezioneIMPOSTAZIONI. Tuttiicomandicontenutiinquestasezionenecessitanodeidirittidiamministratore.Lasintassiè:

FPRCONSOLESETTINGScommand

dovecomandoèunodeiseguenticomandi:SECUREMODE,LOGON,CAD,TBX,SSO.

Tabella26.Comandidiimpostazioniglobali

ComandoSintassiDescrizione

Modalitàdisicurezza

Example:

Tosettoconvenientmode: fprconsolesettings securemode0

Tipodiaccesso

MessaggioCTRL+ALT+DEL

Sicurezzaattiva

Collegamentosingolodisicurezza attivo

SECUREMODE0|1

LOGON0|1[/FUS]

CAD0|1

TBX0|1

SSO0|1

Questaimpostazionepassadallamodalità utileesicuradelsoftwareperimpronte digitali.

Questaimpostazioneabilita(1)odisabilita (0)l'applicazionediaccesso.Seil parametro/FUSvieneutilizzato,l'accesso vieneabilitatonellamodalitàPassaggio utenterapidoselacongurazionedel computerloconsente.

Questaimpostazioneabilita(1)odisabilita (0)iltesto“PremereCtrl+Alt+Canc” all'accesso.

Questaimpostazionedisattivaglobalmente (0)ilsupportodisicurezzaattivonel softwareperimprontedigitali.Quandoil supportodisicurezzaattivovienedisattivato nessunaproceduraguidatadisicurezza attivaopaginavienemostrataenonimporta qualisonoleimpostazioniBIOS.

Questaimpostazioneabilita(1)odisabilita (0)l'impiegodiimprontedigitaliutilizzatein BIOSall'accessoperfarautomaticamente accederel'utentequandoèstatovericato inBIOS.

50ClientSecuritySolution8.3Guidaalladistribuzione

Modalitàsicuraemodalitàutile

Ilsoftwareperimprontedigitalipuòessereeseguitoinduemodalitàdisicurezza,unamodalitàsicuraeuna modalitàutile.Lamodalitàsicuraèpensatapersituazioniincuisidesideraottenereunlivellodisicurezzapiù alto.Lefunzionispecialisonoriservatesoloagliamministratori.Sologliamministratoripossonoaccedere tramitepasswordsenzaulterioriautenticazioni.

Lamodalitàutilepericomputerdicasaincuiunaltolivellodisicurezzanonècosìimportante.Tuttigliutenti effettuanotutteleoperazioni,compresalamodicadiaccountPassportdialtriutentielapossibilitàdi accederealsistemautilizzandolapassword(senzaautenticazionediimpronta).

Peramministratoresiintendeunqualsiasimembrodiungruppolocalediamministratori.Dopoaver impostatolamodalitàsicurasolol'amministratorepotràriportarlaallamodalitàutile.

Modalitàsicura-amministratore

Perunamaggioresicurezza,seduranteleoperazionidiaccessovengonodigitatinomeutenteopassword errati,lamodalitàsicuramostreràilseguentemessaggio:“Sologliamministratoripossonoaccederea questocomputerconnomeutenteepassword”.

Tabella27.Opzioniperamministratorinellamodalitàsicura

ImpronteDescrizione

CreaunnuovoaccountPassportGliamministratoripossonocreareilproprioaccount

Passportecreareilpassaportodiunutentecon limitazioni.

ModicaaccountPassport

EliminaaccountPassport

SicurezzaattivaGliamministratoripossonocancellareleimpronte

Impostazioni

Impostazionidiaccesso

ScreensaverprotettoGliamministratoripossonoaccedere TipodiaccountPassport

ModalitàdisicurezzaGliamministratoripossonopassaredallamodalitàsicura

ServeravanzatiGliamministratoripossonoaccedere-solorelativial

Gliamministratoripossonomodicaresoloilproprio accountPassport.

Gliamministratoripossonoeliminaretuttigliaccount Passportdiutenteconlimitazioniealtriamministratori. Seglialtriutentiutilizzanounasicurezzaattiva, l'amministratorepotràrimuovereimodellidell'utentedalla sicurezzaattivaallostessotempo.

utilizzatedall'utenteconlimitazioniedall'amministratore all'attivazione. Nota:quandolamodalitàdiattivazioneèoperativa,deve esserepresentealmenoun'impronta.

Gliamministratoripossonoapportaremodicheatutte leimpostazionidiaccesso

Gliamministratoripossonoaccedere-solorelativial server.

aquellautileeviceversa.

server.

Capitolo4.UtilizzodiThinkVantageFingerprintSoftware51

Modalitàsicura-utenteconlimitazioni

NelcorsodiunaccessoaWindows,unutenteconlimitazionideveutilizzareun'improntadigitaleper accedere.Seillettorediimprontedigitalidell'utenteconlimitazioninonfunziona,sarànecessariocheun amministratoremodichileimpostazionidelsoftwarediimprontedigitalicongurandolamodalitàutile,per consentirel'accessotramitenomeutenteepassword.

Tabella28.Opzioniperutenticonlimitazioninellamodalitàsicura

ImpostazioneDescrizione

CreaunnuovoaccountPassportL'utenteconlimitazioninonpuòaccedere ModicaaccountPassport

EliminaaccountPassport

SicurezzaattivaL'utenteconlimitazioninonpuòaccedere Impostazionidiaccesso

ScreensaverprotettoL'utenteconlimitazionipuòaccedere TipodiaccountPassport

ModalitàdisicurezzaL'utenteconlimitazioninonpuòmodicarelemodalità

ServeravanzatiL'utenteconlimitazionipuòaccedere.Siapplicasolo

L'utenteconlimitazionipuòmodicaresoloilproprio accountPassport

L'utenteconlimitazionipuòeliminaresoloilproprio accountPassport

L'utenteconlimitazioninonpuòmodicareleimpostazioni diaccesso

L'utenteconlimitazioninonpuòaccedere

disicurezza

alserver.

Modalitàutile-amministratore

DuranteunaccessoaWindows,gliamministratoripossonoaccedereutilizzandoilnomeutenteela passwordol'improntadigitale.

Tabella29.Opzioniperamministratorinellamodalitàconveniente

ImpostazioniDescrizione

CreaunnuovoaccountPassportGliamministratoripossonocrearesoloilproprioaccount

Passport.

ModicaaccountPassport

EliminaaccountPassport

SicurezzaattivaGliamministratoripossonocancellareleimpronte

Impostazionidiaccesso

ScreensaverprotettoGliamministratoripossonoaccedere TipodiaccountPassport

Gliamministratoripossonomodicaresoloilproprio accountPassport.

Gliamministratoripossonocancellaresoloilproprio accountPassport.

utilizzatedall'utenteconlimitazioniedall'amministratore all'attivazione. Nota:deveessercialmenoun'improntapresentequando èattivatalamodalitàattiva.

Gliamministratoripossonoapportaremodicheatutte leimpostazionidiaccesso

Gliamministratoripossonoaccedere-solorelativial server.

52ClientSecuritySolution8.3Guidaalladistribuzione

Tabella29.Opzioniperamministratorinellamodalitàconveniente(continua)

ImpostazioniDescrizione

ModalitàdisicurezzaGliamministratoripossonopassaredallamodalitàsicura

aquellautileeviceversa.

ServeravanzatiGliamministratoripossonoaccedere-solorelativial

server.

Modalitàutile-utenteconlimitazioni

DuranteunaccessoaWindows,gliutenticonlimitazionipossonoaccedereutilizzandoilproprionome utenteepasswordoppurelapropriaimprontadigitale.

Tabella30.Opzioniperutenticonlimitazioninellamodalitàconveniente

ImpostazioniDescrizione

CreaunnuovoaccountPassportGliutenticonlimitazionipossonocrearesololapropria

password.

ModicaaccountPassport

EliminaaccountPassport

SicurezzaattivaGliutenticonlimitazionipossonoeliminaresololeproprie

Impostazionidiaccesso

ScreensaverprotettoGliutenticonlimitazionipossonoaccedere TipodiaccountPassport

ModalitàdisicurezzaGliutenticonlimitazioninonpossonomodicarele

ServeravanzatiGliutenticonlimitazionipossonoaccedere-solorelativi

Gliutenticonlimitazionipossonomodicaresoloil proprioaccountPassport

Gliutenticonlimitazionipossonocancellaresoloilproprio accountPassport.

impronte. Gliutenticonlimitazioninonpossonomodicarele

proprieimpostazionidiaccesso.

Gliutenticonlimitazioninonpossonoaccedere-solo relativialserver

modalitàdisicurezza

alserver

Impostazionicongurabili

Alcuneopzionidelsoftwarediimprontedigitalipossonoessereconguratetramiteleimpostazionidiregistro.

•Interfacciasoftwaredipreavvio/accensione:ilmeccanismoperl'abilitazionedelsupportodi accensioneodipreavvioconimprontedigitaliedimemorizzazioneditaliimprontesulchipassociato generalmentenonvienevisualizzatonelsoftwareperimprontedigitali,amenochesulsistemanon sianostateimpostatepassworddelBIOSodeldiscosso.Persovrascriveretalefunzionalitàeforzare lavisualizzazioneditaliopzionisenzal'esistenzadellepassworddelBIOSodell'unitàdiscosso, aggiungereunadelleseguentistringhealregistro(asecondadeltipodicomputerinuso):

[HKEY_LOCAL_MACHINE\SOFTWARE\ProtectorSuiteQL\1.0]

REG_DWORD"BiosFeatures"=2

[HKEY_LOCAL_MACHINE\SOFTWARE\ProtectorSuiteQL\1.0]

REG_DWORD"BiosFeatures"=4

Capitolo4.UtilizzodiThinkVantageFingerprintSoftware53

QuestaimpostazioneèutilequandoSafeGuardEasyèinstallatosuunsistemasenzapasswordBIOSe utilizzal'autenticazionetramiteimprontedigitaliperdecodicareildiscosso.

•Segnalisonori:ilsoftwarediimprontedigitalipuòessereconguratoperriprodurreunsuonocontenuto inunle.wavinvariecircostanzeduranteilprocessodiautenticazioneimprontedigitali.Leimpostazioni diregistropertalisegnalisonorisonoleseguenti:

[HKEY_LOCAL_MACHINE\SOFTWARE\ProtectorSuiteQL\1.0\settings]

‘Success ’ REG_SZ“sndSuccess”=[pathtosoundle] Theledesignatedwillplaywheneverasuccessfulswipeisregistered.

‘Failure’ REG_SZ“sndFailure”=[pathtosoundle] Theledesignatedwillplaywheneveranunsuccessfulswipeisattempted.

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\ngerprint

‘Scan’ REG_SZ“sndScan”=[pathtosoundle] Theledesignatedwillplaywheneverthengerprintverication

dialogisdisplayedf orClientSecuritySolution-relatedoperations.

Ifthevalueisnotpresentorisemptythennosoundisplayed.

Quality’ REG_SZ“sndQuality”=[pathtosoundle] Theledesignatedwillplaywheneveranunreadableswipehasoccurred. Ifthevalueisnotpresentorisemptythennosoundisplayed.

•Convalidadellapassworddurantelosbloccodelsistema:perimpostazionepredenita,ilsoftware perimprontedigitaliconvalidalapasswordmemorizzatadurantelosbloccodelsistema.Pereseguirela convalida,ènecessariocontattareilcontrollerdidominioepotrebbevericarsiunritardo.Perevitare taleritardo,disabilitarelaconvalidadellepassworddurantelosbloccodelsistemaemodicandoil registronelmodoseguente:

[HKEY_LOCAL_MACHINE\SOFTWARE\ProtectorSuiteQL\1.0\settings] REG_DWORD"DoNotT estUnlock"=1

Ilsoftwareperimprontedigitalicontinueràaconvalidarelapasswordall'accessodelsistema.

Nota:quandolasuddettachiavediregistroèimpostatasu1,sel'amministratoredidominiomodicala passworddell'utentequandoilsistemadell'utenteèbloccato,ilsoftwareperimprontedigitalidisporrà dellaprecedentepasswordmemorizzatanoalloscollegamentoealnuovocollegamentodell'utente.

SoftwareperimprontedigitalieNovellNetwareClient

PerevitareconittiènecessariocheinomiutenteelepassworddelsoftwareperimprontedigitalieNovell NetwareClientcorrispondano.Sesidisponediunsoftwareperimprontedigitaliinstallatosulcomputer installareNovellNetwareClient,alcunevocinelregistropotrebberoesseresovrascritte.Sesiincontrano problemidiaccessoalsoftwareperimprontedigitali,andarenelpannellodelleimpostazionidiAccessoe riabilitareilProtettorediaccesso.

SesidisponediNovellNetwareClientinstallatosulpropriocomputermanoncisièregistratinelclientprima diinstallareilsoftwareperimprontedigitali,verràvisualizzatalaschermatadiaccessodiNovell.Fornirele informazionirichiestedallaschermata.

Nota:leinformazioniriportateinquestasezionesiapplicanosoltantoaThinkVantageFingerprintSoftware.

PercambiareleImpostazionidelProtettorediaccesso:

•Avviareilcentrodicontrollo.

54ClientSecuritySolution8.3Guidaalladistribuzione

•FareclicsuImpostazioni.

•FareclicsuImpostazionidiaccesso.

•AbilitareodisabilitareilProtettorediaccesso. Sesidesiderautilizzarel'accessotramiteimprontedigitali,selezionarelacaselladicontrolloSostituisci accessoWindowsconaccessoprotettodaimprontedigitali.

Nota:perabilitareedisabilitareLogonProtectorènecessariounriavvio.

•Abilitareodisabilitareilpassaggioutenterapido,quandosupportatodalsistema.

•(Funzioneopzionale)Abilitareodisabilitarel'accessoautomaticoperunutenteautenticatodallasicurezza dell'avvioattivo.

•ImpostareleimpostazionidiaccessoaNovell.Leseguentiimpostazionisonodisponibiliquandosi accedeallareteNovell:

–Attivata

FingerprintSoftwarefornisceautomaticamentelecredenzialinote.Sel'accessoaNovellnonriesce, laschermatadiaccessoalclientNovellvienevisualizzatainsiemeaunarichiestadiinserimentodi daticorretti.

–Chiedidurantel'accesso

IlsoftwareperimprontedigitalivisualizzalaschermatadiaccessoaNovellClienterichiedediinserirei datidiaccesso.

–Disabilitata

Ilsoftwareperimprontedigitalinoneffettual'accessoaNovell.

Autenticazione

CompletareleseguentiprocedureperpassareNovellalsoftwareperimprontedigitali:

1.Installareilsoftwareperimprontedigitali.

2.InstallareNovellNetwareClient.

3.Quandovienerichiesto,fareclicsuSìperaccedere.

4.Riavviare.

5.Quandovienerichiesto,fareclicsuSìperaccederealsoftwareperimprontedigitali.

6.AvviareNovellNetwareClient.

7.Autenticareilserver.

8.AccedereaWindows.

9.Riavviare.

Nota:l'IDdiautenticazioneelapassworddiWindowseNovelldevonoessereidentici.

ServizioThinkVantageFingerprintSoftware

Ilservizioupeksvr.exevieneaggiuntoalsistemadopol'installazionediThinkVantageFingerprintSoftware.Il serviziovieneeseguitoall'avvioesuccessivamenteadogniaccessodell'utente.Ilservizioupeksvr.exeè l'elementocentralediThinkVantageFingerprintSoftwareedeseguetutteleoperazioniconildispositivoei datidell'utente.MostrainoltrelaGUIdivericabiometricaefornisceaccessosicuroaidatidell'utente.

Capitolo4.UtilizzodiThinkVantageFingerprintSoftware55

56ClientSecuritySolution8.3Guidaalladistribuzione

Capitolo5.UtilizzodiLenovoFingerprintSoftware

LaconsoleperimprontedigitalideveessereeseguitadallacartelladiinstallazionediLenovoFingerprint Software.LasintassidibaseèFPRCONSOLE[USER|SETTINGS].IlcomandoUSERoSETTINGSspecica qualegruppodioperazioneverràutilizzato.Ilcomandocompletoè“fprconsoleuseraddTestUser”. Quandoilcomandononènotooppurenontuttiiparametrisonospecicati,l'elencodicomandibrevi vienevisualizzatoassiemeaiparametri.

LenovoFingerprintSoftware,leistruzionidiinstallazione,laconsoledigestioneetuttaladocumentazione correlatasonodisponibilisulsitoWebLenovoall'indirizzo: http://www.lenovo.com/support

StrumentoConsoledigestione

PerinformazionisullostrumentoConsoledigestionediLenovoFingerprintSoftware,consultare“Strumento Consoledigestione”apagina49perriferimento.

ServizioLenovoFingerprintSoftware

Nota:LenovoFingerprintSoftwarerichiedeilservizioterminalesulsistema.Sesidisattivailservizio

terminale,èpossibilechesiverichinodeirisultatiimprevistiinLenovoFingerprintSoftware.

Dopol'installazionediLenovoFingerprintSoftware,vengonoaggiuntiiseguentiservizialsistema:

•ATService.exe(attivoperimpostazionepredenita) Perutilizzareilsistemadiimprontedigitali,ènecessarioattivareilservizioATService.exe.Taleservizio gestiscelerichiestedaapplicazionicheutilizzanoilsensoreperimprontedigitali.

•Servizioditrasferimentodati(attivoperimpostazionepredenita) QuandoilservizioditrasferimentodatioilservizioATService.exeterminainmodoanomalo,Lenovo FingeprintSoftwarenonfunzionacomeprevisto.

•ADMonitor.exe(disattivoperimpostazionepredenita) PersupportarelagestionediActiveDirectory,ènecessarioattivareilservizioADMonitor.exe.Tale serviziomonitorailregistroallaricercadieventualimodichepropagatedaActiveDirectoryeriporta lemodichealivellolocale.

SupportoActiveDirectoryperLenovoFingerprintSoftware

LaseguentetabellamostraleimpostazionidipoliticaperLenovoFingerprintSoftware.

Tabella31.Impostazionicriterio

ImpostazioneDescrizione

Abilita/disabilitaaccessotramiteimprontedigitaliConsentedispecicarel'utilizzodiimprontedigitali

anzichédellepassworddiWindowsperaccedereal computer.Sesiabilitataleimpostazione,èpossibile abilitareodisabilitarealtredueopzioni:

•DisabilitanestradidialogoCTRL+AL T+CANCper

interfacciadiaccesso

Sesiselezionaquestaopzione,ilmessaggiocheindica all'utentedipremereCTRL+ALT+CANCperaccedere vienedisabilitato.(DisponibilesoltantoinWindowsXP)

Tabella31.Impostazionicriterio(continua)

ImpostazioneDescrizione

•Richiediall'utentenonamministratorediaccedere

conautenticazionedelleimprontedigitali

Sesiselezionaquestaopzione,gliutentinon amministratoripotrannoaccederesoltantotramite improntedigitali.

Consentiall'utentedirichiamarelapasswordtramite autenticazionedelleimprontedigitali

Mostrasempreopzionidiprotezioneaccesso

Utilizzaautenticazionetramiteimprontedigitalianziché passworddiaccensioneedell'unitàdiscosso

Impostanumeroditentativinonriuscitiprimadieseguire unblocco

ImpostatimeoutinattivitàImpostaladuratadell'inattivitàdelsistema,insecondi,

ConsentiagliutentidiregistrareleimprontedigitaliSesiabilitataleimpostazione,gliutentinonamministratori

ConsentiagliutentidicancellareleimprontedigitaliSesiabilitataleimpostazione,gliutentinonamministratori

Consentiagliutentidiimportare/esportareleimpronte digitali

Mostra/NascondielementinellaschedaImpostazionidel softwareperimprontedigitali

Sesiabilitataleimpostazione,gliutentipotranno visualizzarelapassworddiWindowsperilloroaccountin LenovoFingerprintSoftwaredopol'autenticazionetramite improntedigitali.

Sesiabilitaquestaimpostazione,gliutentipotranno selezionarel'utilizzodellettoreperimprontedigitali anzichédellepassworddiaccensioneedell'unitàdisco ssoquandoilcomputerèacceso.Nellanestradi registrazionediLenovoFingerprintSoftware,èpossibile abilitareodisabilitarel'autenticazionetramiteimpronte digitalidiaccensioneperciascunaimprontaregistrata.

Sesiabilitataleimpostazione,verràutilizzata l'autenticazionetramiteimprontedigitalianzichéle passworddiaccensioneedell'unitàdiscosso.

Impostailnumeroditentativinonriusciticonsentitiprima chel'utentevengabloccatoemostraladurataditale blocco,insecondi.

consentitoprimachel'utentevengascollegato.

potrannoregistrareleloroimprontedigitalitramiteLenovo FingerprintSoftware.

potrannocancellareleimprontedigitaliprecedentemente registratetramiteLenovoFingerprintSoftware.

Sesiabilitataleimpostazione,gliutentinon amministratoripotrannoimportare/esportareleimpronte digitaliprecedentementeregistratetramiteLenovo FingerprintSoftware.

Sesiabilitataleimpostazione,gliamministratoriIT potrannocontrollarelaGUIdiimpostazionidelsoftware perimprontedigitali.

58ClientSecuritySolution8.3Guidaalladistribuzione

Capitolo6.Procedureottimali

InquestocapitolovengonopresentatiscenaricheillustranoleprocedureottimalidiClientSecuritySolution ediFingerprintSoftware.Questasituazioneiniziaconlacongurazionedell'unitàdeldiscosso,continua condiversiaggiornamentiesegueilciclodiduratadiunadistribuzione.Vienedescrittal'installazionesu computerLenovoenon.

Esempididistribuzioneperl'installazionediClientSecuritySolution

LaseguentesezionefornisceesempidiinstallazionediClientSecuritySolutionsucomputerdesktopeun notebook.

Scenario1

Questoèunesempiodiinstallazionesuuncomputerdesktop,cheutilizzaiseguentirequisitiipotetici delcliente:

•Amministrazione Utilizzarel'accountdiamministratorelocaleperlagestionedelcomputer.

•ClientSecuritySolution –InstallareedeseguireinModalitàemulazione.

NontuttiisistemiLenovodispongonodiunT rustedPlatformModule(chipdisicurezza).

–AbilitarelafrasediaccessodiClientSecurity.

ProteggereleapplicazioniClientSecuritySolutionconunafrasediaccesso.

–Abilitarel'accessodiClientSecurityaWindows.

AccedereaWindowsconlafrasediaccessodiClientSecurity.

–Abilitarelafunzionalitàdiripristinodellafrasediaccessodell'utentenale.

Consentireagliutentidirecuperarelapropriafrasediaccessorispondendoatredomandedenite dallostessoutente.

–CodicareloscriptXMLdiClientSecuritySolutionconpassword,adesempio,XMLscriptPW.

ProteggereilledicongurazionediClientSecuritySolutionconpassword.

–L'installazionediFingerprintSoftwareèfacoltativa.

Sulcomputerdipreparazione:

1.AccedereaWindowsconl'accountdiamministratorelocale.

2.InstallareilprogrammaClientSecuritySolutionconilseguentecomando:

tvtcss83_xxxx.exe/s/v"/qn"EMULATIONMODE=1""NOCSSWIZARD=1"

(doveXXXXèl'IDcreazione)

3.RiavviareilcomputereaccedereaWindowsconl'accountdiamministratorelocale.

4.PreparareloscriptXMLperladistribuzioneprocedendonelseguentemodo: a.Immettereilseguentecomando:

"C:\ProgramFiles\Lenovo\ClientSecuritySolution\css_wizarde.exe" /name:C:\ThinkCentre

b.Congurarelaproceduraguidataprocedendonelseguentemodo:

1)FareclicsuMetododiaccessosicuro➙Avanti.

2)ImmetterelapassworddiWindowsperl'accountdiamministratore(adesempio,WPW4Admin)e fareclicsuAvanti.

3)ImmetterelafrasediaccessodiClientSecurity(adesempio,CSPP4Admin)perl'accountdi amministratore,selezionarel'opzioneUtilizzarelafrasediaccessodiClientSecurityper proteggerel'accessoall'areadilavoroRescueandRecoveryefareclicsuAvanti.

4)Risponderealletredomandeperl'accountdiamministratoreefareclicsuAvanti,adesempio: a)Qualerailnomedeltuoprimoanimaledomestico? b)Qualèiltuolmpreferito? c)Qualèlatuasquadrapreferita?

5)VericareilriepilogoeselezionareApplicapersalvareilleXMLnellaseguenteposizione:

C:\ThinkCentre.xml

6)FareclicsuFineperchiuderelaproceduraguidata.

5.AprireilleThinkCentre.xmlconuneditorditesto(uneditordiscriptXMLoilprogrammaMicrosoftWord 2003chesupportailformatoXML),rimuoveretuttiiriferimentiall'impostazionedidominioesalvareil le.Questaoperazioneconsentiràalloscriptdiutilizzareilnomedellamacchinalocalesuognisistema.

6.Utilizzarelostrumentoxml_crypt_tool.exedisponibilenelladirectoryC:\Programmi\Lenovo\Client

SecuritySolutionpercodicareloscriptXMLconunapassword,adottandolaseguentesintassi:

xml_crypt_tool.exeC:\ThinkCentre.xml/encryptXMLScriptPW

IllesichiameràC:\ThinkCentre.xml.enc,verràprotettodallapasswordXMLScriptPWepotràessere aggiuntoalcomputerdidistribuzione.

Sulcomputerdidistribuzione:

1.AccedereaWindowsconl'accountdiamministratorelocale.

2.InstallareiprogrammiRescueandRecoveryeClientSecuritySolutionconlaseguentesintassi:

setup_tvtrnr40_xxxxcc.exe/s/v"/qn"EMULATIONMODE=1""NOCSSWIZARD=1"

(dovexxxxèl'IDcreazioneeccèilcodicepaese).

Note:

a.AssicurarsicheileTVT,comeZ652ZIXxxxxyy00.tvtperWindowsXPoZ633ZISxxxxyy00.tvtper

WindowsVista,(dovexxxxèl'IDcreazioneeyyèl'IDpaese)sitrovinonellastessadirectorydelle eseguibile,altrimentil'installazionenonverràcompletatacorrettamente.

b.Sesiesegueun'installazionedigestione,vedere“Scenario1”apagina59.

3.RiavviareilcomputereaccedereaWindowsconl'accountdiamministratorelocale.

4.AggiungereilleThinkCentre.xml.encpreparatoinprecedenzaalladirectoryC:\root.

5.PreparareilcomandoRunOnceExconiseguentiparametri: a.Aggiungereunanuovachiave0001allachiaveRunonceEx.Ilrisultatoè:

HKEY_LOCAL_MACHINE\Software\Microsof t\Windows \CurrentVersion\RunOnceEx\0001

b.AggiungereunvalorestringaCSSEnrollintalechiave:

"C:\ProgramFiles\Lenovo\ClientSecuritySolution\vmserver.exe" C:\ThinkCenter .xml.encXMLscriptPW

6.Immettereiseguenticomandiperpreparareilsistemaperunbackupsysprep:

%rr%C:\ProgramFiles\Lenovo\RescueandRecovery\rrcmd.exe" sysprepbackuplocation=Lname="SysprepBackup"

60ClientSecuritySolution8.3Guidaalladistribuzione

Aquestopunto,verràvisualizzatoilseguenteoutputnonappenailsistemaèprontoadeseguireun backupsysprep:

***************************************************** **Readytotakesysprepbackup.** **** **PLEASERUNSYSPREPNOWANDSHUTDOWN.** **** **Nexttimethemachineboots,itwillboot** **tothePredesktopAreaandtakeabackup.** *****************************************************

7.Eseguirel'implementazioneSysprep.

8.Arrestareeriavviareilcomputer.IlprocessodibackupvieneavviatoinWindowsPE.

Nota:sevienevisualizzatoilmessaggio“Ripristinoincorsomasivericaunbackup”,dopoilbackup arrestareilcomputerenonriavviarlo.

9.IlbackupdibasediSysprepècompleto.

Scenario2

Questoèunesempiodiinstallazionesuuncomputernotebook,cheutilizzaiseguentirequisitiipotetici delcliente:

•Amministrazione –Eseguirel'installazionesumacchineincuièinstallataunaprecedenteversionediClientSecurity

Solution. –Utilizzarel'accountdiamministratoredeldominioperlagestionedelcomputer. –T uttiicomputerhannounapassworddisupervisoreBIOS,BIOSpw.

•ClientSecuritySolution –UtilizzareTrustedPlatformModule.

Tuttelemacchinedispongonodelchipdisicurezza. –AbilitareGestorepassword. –UtilizzarelapasswordWindowsdell'utentecomeautenticazioneperClientSecuritySolution. –CodicareloscriptXMLdiClientSecuritySolutionconpassword,adesempio,XMLscriptPW.

ProteggereilledicongurazionediClientSecuritySolutionconpassword.

•ThinkVantageFingerprintSoftware –NonutilizzarelepassworddelBIOSedell'unitàdiscosso.

–AccedereaWindowsconThinkVantageFingerprintSoftware.

Dopounperiodoinizialediregistrazioneautomaticadell'utente,l'utentepasseràall'accessoin Modalitàsicura,cherichiedeun'improntaperutentinonamministratori,mettendodunqueinatto unduplicemetododiautenticazione.

–IncludereilsupportodidatticodiFingerprintSoftware.

Talesupportodidatticoconsenteagliutentinalidiimpararelaproceduraperregistrareleimpronte sull'appositolettoreediricevereunfeedbackvisivosulleloroazioni.

Sulcomputerdipreparazione:

1.Quandoilcomputerèspento,accenderloepremereF1peraccedereaBIOSSetupUtilityealmenu Securityepercancellareilchipdisicurezza.SalvareleimpostazionieusciredalBIOS.

2.AccedereaWindowsconunaccountdiamministratoredidominio.

3.InstallareThinkVantageFingerprintSoftwareprocedendonelseguentemodo:

Capitolo6.Procedureottimali61

a.Eseguireillef001zpz2001us00.exeperestrarreillesetup.exedalpacchettoWeb.Illesetup.exe

verràautomaticamenteestrattonellaseguenteposizione: C:\SWTOOLS\APPS\TFS5.9 .2-Buildxxxx\Application\0409(dovexxxxèl'IDcreazione).

b.Faredoppioclicsullesetup.exeestrattoeseguireleistruzionisulloschermoperinstallare

ThinkVantageFingerprintSoftware.

4.InstallareilsupportodidatticodiThinkVantageFingerprintSoftwareprocedendonelmodoseguente: a.Eseguireillef001zpz7001us00.exeperestrarreilletutess.exedalpacchettoWeb.Illetutess.exe

verràautomaticamenteestrattonellaseguenteposizione: C:\SWTOOLS\APPS\tutorial\TFS5.9 .2Buildxxxx\Tutorial\0409(dovexxxxèl'IDcreazione).

b.Faredoppioclicsulletutess.exeperinstallareilsupportodidatticodiThinkVantageFingerprint

Software.

5.InstallarelaThinkVantageFingerprintconsoleprocedendonelseguentemodo: a.Eseguireillef001zpz5001us00.exeperestrarreillefprconsole.exedalpacchettoWeb.Ille

fprconsole.exeverràautomaticamenteestrattonellaseguenteposizione: C:\SWTOOLS\APPS\fpr_con\APPS\UPEK\FPRConsole\TFS5.9.2-Buildxxx\Fprconsole(dovexxxxèl'ID creazione).

b.Faredoppioclicsullefprconsole.exeperinstallarelaconsoleThinkVantageFingerprint.

6.InstallareilprogrammaClientSecuritySolutionconlaseguentesintassi:

tvtcss82_xxxxcc.exe/s/v”/qnNOCSSWIZARD=1SUPERVISORPW="BIOSpw""

7.RiavviareilcomputereaccedereaWindowsconunaccountdiamministratoredidominioeprepararelo scriptXMLperladistribuzione.

a.Immettereiseguenticomandi:

"C:\ProgramFiles\Lenovo\ClientSecuritySolution\css_wizard.exe" /name:C:\ThinkPad

b.Congurarelaproceduraguidataprendendocomeriferimentoloscriptdiesempioeprocedendo

nelseguentemodo:

1)FareclicsuMetododiaccessosicuro➙Avanti.

2)ImmetterelapassworddiWindowsperl'accountdiamministratoredidominio(adesempio, WPW4Admin)efareclicsuAvanti.

3)DigitarelapassphrasediClientSecurityperl'accountdell'amministratoredidominio.

4)SelezionareIgnoraimpostazionidirecuperopasswordefareclicsuAvanti.

5)VericareilriepilogoefareclicsuApplicapersalvareilleXMLnellaseguenteposizione:

C:\ThinkPad.xml

6)FareclicsuFineperchiuderelaproceduraguidata.

8.Utilizzarelostrumentoxml_crypt_tool.exedisponibilenelladirectoryC:\Programmi\Lenovo\Client SecuritySolutionpercodicareloscriptXMLconunapassword.Dalpromptdeicomandi,utilizzare laseguentesintassi:

xml_crypt_tool.exeC:\ThinkPad.xml/encryptXMLScriptPW

Illeverràdenominato:C:\ThinkPad.xml.enceverràprotettodallapasswordXMLScriptPW.

Sulcomputerdidistribuzione:

1.InstallareThinkVantageFingerprintSoftwareprocedendonelseguentemodo: a.Distribuireillesetup.exeestrattodalcomputerdipreparazionesulcomputerdidistribuzione,

utilizzandolostrumentodidistribuzionesoftwaredell'azienda.

b.Immettereilseguentecomando:

setup.exeCTLCNTR=0/q/i

62ClientSecuritySolution8.3Guidaalladistribuzione

2.InstallareilsupportodidatticodiThinkVantageFingerprintSoftwareprocedendonelmodoseguente: a.Distribuireilletutess.exeestrattodalcomputerdipreparazionesulcomputerdidistribuzione,

utilizzandolostrumentodidistribuzionesoftwaredell'azienda.

b.Immettereilseguentecomando:

tutess.exe/q/i

3.InstallarelaThinkVantageFingerprintconsoleprocedendonelseguentemodo: a.Distribuireillefprconsole.exeestrattodalcomputerdipreparazionesulcomputerdidistribuzione,

utilizzandolostrumentodidistribuzionesoftwaredell'azienda. b.Inserireillefprconsole.exenelladirectoryC:\Programmi\ThinkVantageFingerprintSoftware. c.DisattivareilsupportodisicurezzadiaccensionediBIOS,immettendoilseguentecomando:

fprconsole.exesettingsTBX0

4.InstallareThinkVantageClientSecuritySolutionprocedendonelseguentemodo: a.Distribuireilletvtvcss83_xxxx.exe(dovexxxxèl'IDcreazione)sulcomputerdidistribuzione,

utilizzandolostrumentodidistribuzionesoftwaredell'azienda.

b.Immettereilseguentecomando:

tvtvcss83_xxxx.exe/s/v"/qn"NOCSSWIZARD=1""SUPERVISORPW="BIOSpw""

L'installazionedelsoftwareabilitaautomaticamentel'hardwaredelModulodellapiattaforma afdabile.

5.RiavviareilcomputerecongurareilsistemaconillescriptXMLattraversolaproceduraseguente: a.CopiareilleThinkPad.xml.encprecedentementepreparatonelladirectoryC:\. b.Immettereilseguentecomando:

"C:\ProgramFiles\Lenovo\ClientSecuritySolution\ vmserver.exe"C:\ThinkPad.xml.encXMLScriptPW

6.Riavviareilcomputerperpreparareilsistemaallaregistrazionedell'utentediClientSecuritySolution. TuttigliutentipossonoaccederealsistemaconiloroIDutenteepassworddiWindows.Aogniutente cheaccedealsistemavienerichiestoautomaticamentediregistrarsiaClientSecuritySolutionedi registrarsinellettorediimprontedigitali.

7.DopochetuttigliutentidelsistemasonostatiregistratiinThinkVantageFingerprintSoftware,èpossibile abilitarel'impostazionedellamodalitàsicuraperfarsìchetuttigliutentinonamministratoridiWindows possanoaccederetramiteimprontadigitale.

•Perabilitarel'impostazionedellamodalitàsicura,immettereilseguentecomando:

"C:\ProgramFiles\ThinkVantageFingerprintSoftware\ fprconsole.exe"settingssecuremode1

•Perrimuovereilmessaggio“PremereCtrl+Alt+Cancperaccederetramitepassword”dallaschermata

diaccesso,immettereilseguentecomando:

"C:\ProgramFiles\ThinkVantageFingerprintSoftware\fprconsole.exesettings" CAD0

8.LadistribuzionediClientSecuritySolution8.3eThinkVantageFingerprintSoftwareècompleta.

AlternanzatralemodalitàdiClientSecuritySolution

SesipassadallamodalitàutileallamodalitàsicuradiClientSecuritySolutionoviceversaesiutilizza RescueandRecoverypereffettuarebackupdelsistema,eseguireunnuovobackupdibasedopoilcambio dimodalità.

RolloutdiActiveDirectoryaziendale

PerunrolloutdiActiveDirectoryaziendale,attenersiaiseguentipassaggi:

Capitolo6.Procedureottimali63

1.Eseguirel'installazionetramiteActiveDirectoryoLANDesk: a.EffettuarebackupeottenerenotichetramiteActiveDirectoryeLANDeskrelativeachiequandoli

haeseguiti.

b.Autorizzarealcunigruppiaeseguirebackup,aeliminarli,nonchéastabilireopzionielimitazioni

password,quindicambiaregruppipervericareseleimpostazionirimangonoinvariateomeno.

c.AttraversoActiveDirectory,abilitareAntidoteDeliveryManager.Impostareipacchettidaeseguiree

vericarel'acquisizionedellenotiche.

InstallazioneautonomaperleCDoscript

Perun'installazioneautonomaperCDolescript,eseguireiseguentipassaggi:

1.UtilizzareunlebatchperinstallareinmodalitànonpresidiataClientSecuritySolutionelatecnologia Fingerprint.

2.CongurareilripristinodellapasswordBIOSinmodalitànonpresidiata.

SystemUpdate

Perl'aggiornamentodelsistema,procederenelmodoseguente:

1.InstallareClientSecuritySolutionelatecnologiaFingerprintSoftwaremedianteunserverdi aggiornamentodelsistemapersonalizzatoche,anzichéutilizzareunserverLenovo,simula l'impostazionedelserverdiunagrandeazienda,perconsentireilcontrollodelcontenuto.

2.Eseguireunasovrainstallazionedelletrediverseversionidisoftwareprecedenti(RescueandRecovery

1.0/2.0/3.0,Fingerprint,ClientSecuritySolution5.4–6,FFE).Èpreferibilemantenereleimpostazioni quandosiinstallaunanuovaversionesuquellavecchia.

SystemMigrationAssistant

SystemMigrationAssistant6.0supportalamigrazionedaunsistemaobsoletoalpiùrecentesistema Windows7esupportalamigrazionedelleimpostazionisoftwaredaprecedentiversionidiClientSecurity SolutioneFingerprintSoftware.ÈpossibilescaricareSystemMigrationAssistant6.0dalsitoWebdiLenovo all'indirizzo: http://www.lenovo.com/support

Generazionediuncerticatoutilizzandounagenerazionedichiaviin TPM

IcerticatipossonoesseregeneratidirettamentetramiteClientSecuritySolutionCSP,mentrelechiavi privateneicerticativengonogenerateeprotettedaTPM.PerrichiedereuncerticatotramiteClientSecurity SolutionCSP,completarelaseguenteprocedura:

Requisiti:

•Sullamacchinaserverènecessarioinstallareiseguenticomponenti: –WindowsServer2003Enterpriseosuccessivo

–ActiveDirectory –Serviziodiun'autoritàdicerticazione

•Lamacchinaclientdevesoddisfareiseguentirequisiti: –TPMabilitata

–ClientSecuritySolutioninstallato

64ClientSecuritySolution8.3Guidaalladistribuzione

Richiestadiuncerticatodalserver

Creazionediunmodelloperl'utenteTPM

PercreareunmodelloperutentiTPM,completarelaseguenteprocedura:

1.FareclicsuStart➙Esegui.

2.ImmetteremmcefareclicsuOK.Vienevisualizzatalanestradellaconsole.

3.DalmenuFilescegliereAggiungi/Rimuovisnap-inefareclicsuAggiungi.Vienevisualizzatala nestraAggiungisnap-inautonomo.

4.FaredoppioclicsuAutoritàdicerticazionenell'elencodisnap-inefareclicsuChiudi.

5.FareclicsuOKnellanestraAggiungi/Rimuovisnap-in.

6.FareclicsuModellidicerticatonellastrutturaadalberodellaconsole.Tuttiimodellidicerticato vengonovisualizzatinelriquadrodisinistra.

7.FareclicsuAzione➙Duplicamodello.

8.NelcampoNomevisualizzato,immettereUtenteTPM.

9.FareclicsullaschedaGestionerichiestaefareclicsuCSP.AccertarsidiselezionareLerichieste utilizzanoqualsiasiCSPdisponibilesulcomputerdelsoggetto.

10.FareclicsullaschedaGenerali.Accertarsichel'opzionePubblicacerticatoinActiveDirectory siaselezionata.

11.FareclicsullaschedaSicurezzanell'elencoUtentiegruppi,quindifareclicsuUtentiautenticatie vericarechel'opzioneRegistrasiaselezionatanelcampoAutorizzazioniperutentiautenticati.

Congurazionediun'autoritàdicerticazioneaziendale

PeremettereilcerticatoutenteTPMcongurandoun'autoritàdicerticazioneaziendale,completare laseguenteprocedura:

1.AprireAutoritàdicerticazione.

2.Nellastrutturaadalberodellaconsole,fareclicsuModellidicerticato.

3.DalmenuAzionescegliereNuovo➙Certicatodaemettere.

4.FareclicsuTPMequindifareclicsuOK.

Applicazionediuncerticatodalclient

Perapplicareuncerticatodalclient,completarelaseguenteprocedura:

1.ConnettersiadIntranet,avviareInternetExplorereimmetterel'indirizzoIPdelserverincuièinstallatoil servizioCA.

2.Immettereilnomeutenteelapassworddidominionellanestradelprompt.

3.FareclicsuRichiediuncerticatoinSelezionaun'attività.

4.FareclicsuRichiestaavanzatadicerticatiinbassoallapaginaWeb.

5.NellapaginaRichiestaavanzatadicerticati,modicareleseguentiimpostazioni:

•SelezionareUtenteTPMnell'elencoadiscesaModellodicerticato.

•SelezionareThinkVantageClientSecuritySolutionCSPnell'elencoadiscesaCSP.

•Vericarechel'opzioneContrassegnalechiavicomeesportabilinonsiaselezionata.

•FareclicsuInoltraeseguireilprocesso.

•NellapaginaCerticatoemessofareclicsuInstallaquestocerticato.Vienevisualizzatalapagina

Certicatoinstallato.

Capitolo6.Procedureottimali65

UtilizzoditastiereperimprontedigitaliUSBconmodellidicomputer notebookThinkPad2008(R400/R500/T400/T500/W500/X200/X301)

Lenovoharmatouncontrattoconduefornitoriperfornirel'autenticazionetramiteimprontedigitaliin tastiereUSBemodellidicomputernotebookThinkPad precedentiaimodellidel2008(adesempio,T61)utilizzanosensoriperimprontedigitaliThinkVantage.I modellidicomputernotebookThinkPad2008(apartiredalT400)utilizzanosensoriperimprontedigitali Lenovo.TutteletastiereUSBperimprontedigitaliLenovoutilizzanosensoriThinkVantage.Undiscorsoa partevafattonelcasoincuilatastieraperimprontedigitalivengautilizzatasualcunimodellidinotebook ThinkPad(adesempio,ThinkPadT400conunatastieraUSBesterna).

Questasezionedescrivegliscenaridiutilizzoelestrategiedidistribuzionecomuniperilsoftwareper improntedigitaliinstallatosuimodellidicomputernotebookThinkPadpiùrecenti.

Nota:

•LenovoFingerprintSoftwareLenovoFingerprintSoftwareèilsoftwareperilsensoreAuthenTec(ad esempio,ilsensoreinternoinT400).

•ThinkVantageFingerprintSoftwareThinkVantageFingerprintSoftwareèilsoftwareperilsensoreUPEK (adesempio,ilsensoreinternoinT61eilsensoreperimprontedigitaliintutteletastiereUSBesterne).

.ImodellidicomputernotebookThinkPad

AccessoaWindows7

PeraccederealsistemaoperativoWindows7,èpossibileutilizzareilsensoreperimprontedigitaliAuthenTec oUPEKinqualsiasimomento.

1.InstallareLenovoFingerprintSoftwareversione3.2.0.275osuccessiva.

2.InstallareThinkVantageFingerprintSoftwareversione5.8.2.4824osuccessiva.

3.Riavviareilcomputer.Vieneavviataautomaticamentelaproceduraguidatadiregistrazionedelle improntedigitali.

4.UtilizzareThinkVantageFingerprintSoftwareperregistrareleproprieimprontedigitaliconilsensore esterno.Senonvieneavviatoautomaticamente,fareclicsuStart➙Programmi(oTuttiiprogrammi) ➙ThinkVantage➙ThinkVantageFingerprintSoftwareperavviarelaregistrazione.

5.ImmetterelapassworddiWindowsquandovienerichiestoeselezionareunditodaregistrare.

6.Seguireipromptsullaschermatadelcomputerperregistrarelapropriaimprontautilizzandoilsensore perimprontedigitaliesterno.

7.FareclicsuImpostazioniincimaallanestra.

8.SelezionarelacaselladicontrolloUtilizzascansioneimprontedigitalianzichélapasswordper l'accessoaWindows,fareclicsuOKeinnesuChiudiperchiuderelanestra.

9.RiavviareilcomputerevericarechesiapossibileutilizzareleimprontedigitaliperaccedereaWindows conilsensoreesterno.

10.Utilizzarelaregistrazionedelleimprontedigitaliperregistrareleproprieimprontedigitaliconilsensore interno.Senonvieneavviataautomaticamente,fareclicsuStart➙Programmi(oTuttiiprogrammi) ➙ThinkVantage➙LenovoFingerprintSoftwareperavviarelaregistrazione.

11.ImmetterelapassworddiWindowsquandovienerichiestoeselezionareunditodaregistrare.

12.Seguireipromptsullaschermatadelcomputerperregistrarelapropriaimprontautilizzandoilsensore perimprontedigitaliinterno.

13.FareclicsuImpostazioniincimaallanestra.

14.SelezionarelacaselladicontrolloUtilizzascansioneimprontedigitalianzichélapasswordper

l'accessoaWindows,fareclicsuOKeinnesuChiudiperchiuderelanestra.

66ClientSecuritySolution8.3Guidaalladistribuzione

15.RiavviareilcomputerevericarechesiapossibileutilizzareleimprontedigitaliperaccedereaWindows conilsensoreinterno.

ClientSecuritySolutionePasswordManager

Differentedall'accessoaWindows,lerichiestediautenticazionedaClientSecuritySolutionePassword Managerfunzionanosoltantosulsensoreperimprontedigitalipreferito.Adesempio,quandoèconnessa unatastieraperimprontedigitali,ilrelativosensoreèildispositivopreferito.Quandolasuddettatastieranon èconnessa,ilsensoreinternoThinkPadperimprontedigitalièildispositivopreferito.

Permodicareilsensorepredenito,crearelaseguentevocediregistro:

[HKLM\Software\Lenovo\TVTCommon\ClientSecuritySolution] REG_DWORD"PreferInternalFPSensor"=1

Tabella32.Chiavidiregistro

NomeValoreDescrizione

Pref erInternalFPSensor

0(predenito)Specicacheilsensoreperimpronte

digitalièilpreferitoognivoltache èconnessalatastieraperimpronte digitali.

Specicacheilsensoreperimpronte digitalièilpreferito.

Autenticazionedipreavvio–Utilizzodelleimprontedigitalianzichédelle passwordBIOS

Differentedall'accessoaWindows,lerichiestediautenticazioneperpasswordBIOSfunzionanosulsensore perimprontedigitalisoltantoquandoilBIOSèconguratoperutilizzaretalemodalità.Perimpostazione predenita,ilBIOSriconosceleimpronteregistratesullatastieraperimprontedigitalisoltantosetale tastieraècollegata.Selatastieranonècollegata,ilBIOSriconosceleimpronteregistratesuldispositivo internoperimprontedigitali.

L'impostazioneBIOSReaderPrioritypuòesseremodicataperforzarel'utilizzodelsensoreinternoper improntedigitalianchequandoècollegatalatastieraperimprontedigitaliesterna.Ilvalorepredenitoper ReaderPriorityèExternal.L'impostazionepuòesseremodicatainInternalOnlyperforzarel'utilizzo delsensoreinternoperimprontedigitali.

Nota:questaimpostazioneBIOSsiapplicasoltantoaipromptdiimprontedigitaliBIOS.Nonhaalcuneffetto sull'accessoaWindowsosullerichiestediautenticazionetramiteimprontedigitalidiClientSecuritySolution.

CongurazionediFingerprintSoftwareperabilitarel'autenticazionedipreavvio

Sesonostateimpostatepassworddelsupervisore,diaccensioneodell'unitàdiscossoinBIOS,èpossibile congurareilFingerprintSoftwareperl'autenticazioneanzichéimmetteretalipassword.

LenovoFingerprintSoftware–Perilsensoreinternoperimprontedigitali

1.FareclicsuStart➙Programmi(oTuttiiprogrammi)➙ThinkVantage➙LenovoFingerprint SoftwareperavviareLenovoFingerprintSoftware.

2.FarpassareilditosullettorediimprontedigitalioimmetterelapassworddiWindowsquandoviene richiesto.

3.FareclicsuImpostazioniincimaallanestra.

4.SelezionarelecaselledicontrolloUtilizzascansioneimprontedigitalianzichélepassworddi accensioneedell'unitàdiscossoeMostrasempreopzionidiprotezioneaccensione.

5.FareclicsuOKperchiuderelanestra.

Capitolo6.Procedureottimali67

6.ScegliereunadelleimprontedigitaliregistrateperabilitarlaesostituirelepassworddelBIOS.

7.FareclicsuChiudiperchiuderelanestra.

ThinkVantageFingerprintSoftware–Perilsensoreesternoperimprontedigitali

1.AvviareFingerprintSoftwareutilizzandounodeiseguentiapprocci:

•FareclicsuStart➙Programmi(oTuttiiprogrammi)➙ThinkVantage➙ThinkVantage FingerprintSoftware.

•Fareclicsull'iconaThinkVantageFingerprintSoftwarenellanestraLenovoThinkVantageTools.

2.FarpassareilditosullettorediimprontedigitalioimmetterelapassworddiWindowsquandoviene richiesto.

3.FareclicsuImpostazioniincimaallanestra.

4.SelezionarelecaselledicontrolloUtilizzascansioneimprontedigitalianzichélepassworddi accensioneedell'unitàdiscossoeMostrasempreopzionidiprotezioneaccensione.

5.FareclicsuOKperchiuderelanestra.

6.ScegliereunadelleimprontedigitaliregistrateperabilitarlaesostituirelepassworddelBIOS.

7.FareclicsuChiudiperchiuderelanestra.

68ClientSecuritySolution8.3Guidaalladistribuzione

AppendiceA.Considerazionispecialirelativeall'utilizzodi LenovoFingerprintKeyboardconalcunimodellidinotebook ThinkPad

IldispositivoperimprontedigitaliutilizzatoinalcunimodellidinotebookThinkPadèdiversodaldispositivo perimprontedigitaliutilizzatoinLenovoFingerprintKeyboard.Undiscorsoapartevafattonelcasoincuila tastieraperimprontedigitalivengautilizzatasualcunimodellidinotebookThinkPad.

Perulterioriinformazioni,consultarelapaginadidownloaddelsoftwareperimprontedigitalisulsitoWeb Lenovo.QuestapaginacontieneunelencoditalimodellidinotebookThinkPad.

Soltantoimodellielencatiper“LenovoFingerprintSoftware”richiedonounaconsiderazionespecialequando utilizzaticonlatastieraperimprontedigitali.TuttiglialtrimodellidinotebookThinkPadcheutilizzano “ThinkVantageFingerprintSoftware”utilizzanoundispositivoperimprontedigitalicompatibileconil dispositivoinclusonellatastieraperimprontedigitalienonrichiedonoalcunaconsiderazionespeciale.

Congurazioneeinstallazione

PerutilizzareildispositivoperimprontedigitalipresentenelnotebookThinkPad,ènecessarioinstallare LenovoFingerprintSoftware2.0osuccessivo.Laregistrazionedelleimprontedigitalideveessereeseguita tramiteLenovoFingerprintSoftwareeildispositivoperimprontedigitaliintegrato.

PerutilizzarelaLenovoFingerprintKeyboard,ènecessarioinstallareThinkVantageFingerprintSoftware

5.8osuccessivo.LaregistrazionedelleimprontedigitalideveinoltreessereeseguitatramiteThinkVantage FingerprintSoftwareelatastieraperimprontedigitali.

Nota:leimprontedigitaliregistrateconundispositivononsonointercambiabiliconl'altrodispositivo.

Pre-desktopauthentication

Ildispositivointegratoperimprontedigitaliolatastieraperimprontedigitaliverrannoutilizzatiper l'autenticazionepre-desktop(sostituendolapassworddiaccensioneolapassworddell'unitàdiscossocon un'improntadigitale).IlBIOSdetermineràildispositivodautilizzareall'accensionedelsistema.

Perimpostazionepredenita,ilBIOSsupportaleletturedelleimprontesullatastieraperimprontedigitali soltantosetaletastieraècollegata.Laletturadelleimprontesuldispositivointegratoperimprontedigitali verràignorataperl'autenticazionepre-desktopseècollegataunatastieraperimprontedigitali.Sela suddettatastieranonècollegata,verràutilizzatoildispositivointegratoperl'autenticazionepre-desktop.

L'impostazioneBIOSper“ReaderPriority”puòesseremodicataperutilizzareilsensoreintegratoper improntedigitali.Sel'opzione“ReaderPriority”èimpostatasu“Internalonly,”,èpossibileutilizzareil sensoreintegratoperimprontedigitaliperl'autenticazionepre-desktop.Laletturadell'improntadigitalesulla tastieraperimprontedigitaliverràignoratainquestocaso.

AccessoaWindows

SialatastieradiimprontedigitaliLenovochelaperifericaperimprontedigitaliutilizzaticonmodellidi computernotebookThinkPadfornisconoun'interfacciaperconsentireagliutentiaccedereaWindowscon un'improntadigitaleregistrata.

Importante:seleinterfaccediaccessotramiteimprontedigitalinonsonoconguratecorrettamente,

potrebberovericarsiproblemidicompatibilitànelprocessodicollegamentodiWindows.

QuandoilmodellodicomputernotebookThinkPadèdotatodellatastieradiimprontedigitaliLenovoe dellaperifericaperimprontedigitaliintegrataedèinstallatoconilprogrammaClientSecuritySolution, esistonodueapprocciperaccederealsistemaoperativoWindows7utilizzandol'autenticazionetramite improntedigitali:

•Utilizzandol'interfacciadiaccessodiFingerprintSoftwareLeinterfaccediaccessodiLenovoFingerprint SoftwareeThinkVantageFingerprintSoftwaredevonoessereabilitate.Quandoentrambeleinterfacce sonoabilitatenelsistemaoperativoWindows7,gliutentipossonoregistrareleproprieimprontesulla tastieraperimprontedigitaliosullaperifericaintegrataperimprontedigitalipereseguirel'accesso.

•Utilizzandol'interfacciadiaccessodiClientSecuritySolutionÈpossibileutilizzarel'interfacciadiaccesso diClientSecuritySolutionalpostodelleinterfaccediaccessodiFingerprintSoftware.Quandosiutilizza taleinterfacciaperaccedereall'interfacciadiaccessodiClientSecuritySolutionalsistemaoperativo Windowsconl'autenticazionetramiteimprontedigitali,l'accessodiFingerprintSoftwareèdisabilitato dall'opzioneImpostazioninell'areadilavoroFingerprintSoftwareel'interfacciadiaccessodiClient SecuritySolutionèconguratanell'opzioneGestionedicriteridisicurezzadalmenuAvanzatedi ClientSecuritySolution.

Note:

1.L'impostazioneBIOSReaderPrioritynonsiapplicainquestasituazione.Èpossibileutilizzare qualsiasiperifericaperl'accessosesonodisponibilientrambe.

2.SoloClientSecuritySolution8.3osuccessivosupportaquestafunzione.Perulterioriinformazioni, consultare“AutenticazioneconClientSecuritySolution”apagina70.

AutenticazioneconClientSecuritySolution

Nota:leseguentiinformazionisiapplicanosoltantoaClientSecuritySolution8.3esuccessivo.Precedenti

versionidiClientSecuritySolutionnonsupportanol'usodeldispositivointegratoperimprontedigitaliconla tastieraperimprontedigitali.

Quandosiesegueun'azioneconClientSecuritySolutionetaleazionerichiedel'autenticazionetramite improntedigitali,adesempiol'inserimentodiunapasswordinunsitoWebconGestionepassword,gliutenti devonoregistrareun'improntasullatastieraperimprontedigitali,seècollegata,quandovienerichiesto. Laletturadelleimprontesuldispositivointegratoperimprontedigitaliverràignorataselatastieraper improntedigitaliècollegata.Selasuddettatastieranonècollegata,ènecessarioutilizzareilsensore integratoperimprontedigitali.

Èdisponibileun'impostazionediregistroperrichiedereagliutentidiutilizzareilsensoreperimpronte digitaliintegratoperl'autenticazioneconClientSecuritySolution.Setalevocediregistroèimpostata, l'autenticazionedelleimprontedigitaliconClientSecuritySolutiondeveessereeseguitaconilsensore integratoeleimpronteregistratedallatastieraperimprontedigitaliverrannoignorate.

Lavocediregistroèlaseguente:

[HKLM\Software\Lenovo\TVTCommon\ClientSecuritySolution] REG_DWORD"PreferInternalFPSensor"=1

Ilvalorepredenitodellasuddettavoceè0quandol'autenticazionedelleimprontedigitaliconClientSecurity Solutiondeveessereeseguitaconlatastieraperimprontedigitalieleimpronteregistratesuldispositivo perimprontedigitaliverrannoignorate.

QuestaimpostazionepuòesseremodicataanchetramiteilledelmodellodigestionediClientSecurity SolutionconicriteridigruppoperActiveDirectory.

70ClientSecuritySolution8.3Guidaalladistribuzione

Note:

1.Quandol'impostazioneBIOSReaderPriorityèimpostatasuInternalonly,siconsigliadiimpostareil valoredellavocediregistrosu1.Inquestomodo,siabiliteràl'autenticazioneconClientSecurity Solutionpersimularel'impostazioneperl'autenticazionepre-desktopdelBIOS.

2.L'impostazioneBIOSetaleimpostazionediregistrosonoindipendenti.

AppendiceA.Considerazionispecialirelativeall'utilizzodiLenovoFingerprintKeyboardconalcunimodellidinotebookThinkPad71

72ClientSecuritySolution8.3Guidaalladistribuzione

AppendiceB.SincronizzazionedipasswordinClientSecurity SolutiondopolareimpostazionedellapassworddiWindows

DopolareimpostazionedellapassworddiWindows,ClientSecuritySolutionrichiedecontinuamenteuna nuovapassworddiWindows,masuccessivamentevisualizzaunmessaggiodierroreindicandochela passwordnonècorretta.LasicurezzadiWindowsèconcepitainmodoche,incasodireimpostazionedella passworddiWindows,lecredenzialidisicurezzavengonoinvalidate.Windowsvisualizzeràunmessaggiodi avvertenzaadognitentativodireimpostazionedellapassword.Inoltre,lareimpostazionedellapassworddi WindowsnonsoloinuiràsuClientSecuritySolution,masiperderàanchel'accessoaipropricerticatie lecrittografatidaWindowsEFS.QuandoClientSecuritySolutionnonpuòpiùaccedereallecredenziali disicurezzaWindows(comeconseguenzadellareimpostazionedellepassword),ClientSecuritySolution chiederàcontinuamentelanuovapasswordevisualizzeràpoiunmessaggiodierroreindicandochela passwordimmessanonèvalida.ClientSecuritySolutionnonfunzionaquandolecredenzialidiprotezionedi Windowsvengonoinvalidateinquestomodo.SelapassworddiWindowsèstatamodicata(adesempio, vienerichiestodispecicaresialavecchiachelanuovapassword),lecredenzialidiprotezionevengono preservateeprotettedallanuovapassword.

PersincronizzarelapasswordinCSSdopolareimpostazionedellapassworddiWindows,procederenel modoseguente:

1.RipristinareunbackupdelsistemaprimadireimpostarelapassworddiWindows.

2.ReimpostarelapassworddiWindowsoriginale.Taleoperazionehaloscopodiripristinarel'accessoalle credenzialidiprotezionediWindows.

3.CreareunnuovoaccountWindowseiniziareadutilizzarloalpostodell'accountoriginaleconle credenzialidanneggiate.

4.Seguirequestometodoperripristinareilsistema: a.AvviareilGestorepassword. b.FareclicsuImporta/EsportaeselezionareEsportaelencodivoci. c.Specicareunpercorsoincuisalvareilleeimmettereunnomele. d.ImmettereunapasswordperilleVoci. e.ChiudereilGestorepassword. f.AvviareClientSecuritySolution. g.FareclicsuAvanzate➙Ripristinaimpostazionidiprotezione. h.ImmetterelanuovapassworddiWindowsquandovienerichiesto. i.ClientSecuritySolutionchiederàdiavviareilsistema. j.Unavoltariavviatoilsistema,avviareilGestorepassword. k.FareclicsuImporta/EsportaeselezionareImportaelencodivoci. l.Ricercareillesalvatoprecedentemente. m.Immetterelapasswordquandovienerichiesto.

74ClientSecuritySolution8.3Guidaalladistribuzione

AppendiceC.UtilizzodiClientSecuritySolutionsuunsistema operativoWindowsreinstallato

SeilsistemaoperativoWindowsinstallatoconClientSecuritySolutionèstatoreinstallato,perutilizzare ClientSecuritySolutionsulsistemaoperativoWindowsreinstallato,ènecessariocancellareidati dell'installazionediClientSecuritySolutionereinstallareClientSecuritySolution.

Laproceduramiglioreèlaseguente:

1.DisinstallareClientSecuritySolutiondalsistemaoperativoWindowscorrente.

2.Riavviareilcomputer.

3.Cancellareiseguentidatinelregistro:

•[HKEY_LOCAL_MACHINE\SOFTWARE\Lenovo\TVTCommon\ClientSecuritySolution]

•[HKEY_LOCAL_MACHINE\SOFTWARE\Lenovo\ClientSecuritySolution]

•[HKEY_LOCAL_MACHINE\SOFTWARE\Lenovo\Logs]

•[HKEY_LOCAL_MACHINE\SOFTWARE\IBM\Security\Debug]

4.CancellareidaticorrelatiaClientSecuritySolutionnellapartizioneC.Siconsigliadiricercareidati nell'interapartizioneC,conl'opzionedivisualizzaretuttiilenascostinellanestraOpzionileabilitata. Ilrisultatopuòesseretrovatoneiseguentipercorsi,maanchealtrove:

•C:\Users\AllUsers\AppData\Roaming\ClientSecuritySolution

•C:\Users\%USER%\AppData\Roaming\ClientSecuritySolution

5.CancellareilchipdisicurezzainBIOSSetupUtilityeattivarlonelseguentemodo. a.Arrestareilcomputer. b.AccenderloepremereF1peraccedereaBIOSSetupUtility. c.SelezionareSecurity. d.PremereInvioeselezionareClearSecurityChip. e.PremereInvioeselezionareY espercancellarelechiavidicodica. f.SelezionareSecurityChipepremereInvioperselezionareActive.

Nota:senonsidesideraimpostareClientSecuritySolutioninmodalitàTPMhardware,impostareil chipdisicurezzasuDisabled.

6.RiavviareilcomputerereinstallareilprogrammaClientSecuritySolution.

Nota:quandosimodicalamodalitàdiinstallazionediClientSecuritySolutiondallamodalitàdiemulazione softwareallamodalitàbasatasuTPMhardwareodopoaverecancellatoilchipdisicurezza,ClientSecurity SolutiontenteràdiripristinareidatiesistentiquandorileveràlamodicaTPMmanonriuscirànell'operazione poichéidaticodicatinonpossonoesseredecodicatidainuovidatiTPM.Intalcaso,nonsaràpossibile avviareClientSecuritySolution.

76ClientSecuritySolution8.3Guidaalladistribuzione

AppendiceD.UtilizzodelTPMsucomputernotebook ThinkPad

IlcasodiprincipaleutilizzoperilTPMèlafunzioneBitLockerinclusaindeterminateversionideisistemi operativiMicrosoftWindowsVistaeWindows7.Inquestaappendicevengonoforniterispostealleseguenti domandefrequentirelativealladistribuzionediBitLockerinambientiWindows.

•“DistribuzioneremotadiBitLocker”apagina77

•“BloccodelTPM”apagina77

DistribuzioneremotadiBitLocker

L'utilizzodistrumentiWindowsstandardperl'attivazionedelTPM,comeillemanage-bde.exeoilpannello dicontrollodelTPM,richiedeunarrestocompletodelcomputer.Quindi,quandoilcomputervieneriacceso, ènecessariopremereuntastoperconfermarel'operazione.Questotipodiinterazionerendeimpossibilela distribuzionediBitLockerinmodoremotoeimprevisto.

ItipidistatocorrelatialTPMsonodue:abilitatoeattivato.UnTPMabilitatononènecessariamenteattivato, cosìcomeunTPMattivatononènecessariamenteabilitato.IlTPMdeveessereabilitatoeattivatoprimadi utilizzareBitLocker.IcomputernotebookThinkPadsonosempredistribuiticonilTPMnellostatoabilitato edisattivato.Pertanto,ènecessarioimpostarelostatodelTPMsuattivatoperdistribuirecorrettamente BitLocker.

Dal2008icomputernotebookThinkPaddispongonodiWindowsManagementInstrumentation(WMI) permodicarel'impostazioneBIOS(inclusolostatoattivatodelTPM).Èpossibileeffettuareloscripte l'esecuzioneremotadiWMI,chenonrichiedealcunainterazionesicaconilcomputer.

Permodicarel'impostazioneBIOS,procederenelseguentemodo:

1.AccederealsitoWeball'indirizzo http://support.lenovo.com/en_US/detail.page?LegacyDocID=MIGR-68488.

2.FareclicsuSampleScriptsforBIOSDeploymentGuide(Esempidiscriptperlaguidaalla distribuzionedelBIOS)perscaricareillescript.zip.Quindi,estrarreillezip.

3.Digitarecscript.exeSetCong.vbsSecurityChipActivenellanestradelpromptdeicomandiper eseguireilleSetCong.vbs.SesiutilizzalapasswordsupervisoreBIOS,digitarecscript.exe SetCongPassword.vbsSecurityChipActivenellanestradelpromptdeicomandipereseguireille SetCongPassword.vbs.

4.Riavviareilcomputerduevolte.Ilprimoriavviomodical'impostazioneBIOSmentreilsecondoriavvio rendeeffettivalanuovaimpostazioneBIOS.

Nota:laproceduraprecedenteattivailTPMsolosucomputerilcuiTPMègiàabilitato(adesempio,i modellinellostatopredenito).SeilTPMèstatodisabilitatoutilizzandostrumentiWindows,comeille manage-bde.exeoilpannellodicontrollodelTPM,èinnanzituttonecessarioriabilitareilTPMutilizzandolo stessometodoconcuièstatodisabilitato.

BloccodelTPM

UnadelleprincipalifunzionidisicurezzadelTPMconsistenell'evitarel'“intrusione”,ovveroiltentativodi indovinarelepasswordTPMinmodoautomatico.OgniTPMimplementaunmetodoanti-intrusioneese vienerilevatounattacco,siattivalamodalitàdiblocco.Finchésaràattiva,questamodalitàconsentedi ignoraregliulterioritentatividiindovinarelapassword.Tuttavia,ilTCG(TrustedComputingGroup),ovvero

l'organizzazionechedenisceilcomportamentodelTPM,nonèriuscitoadenireunostandardperil bloccoTPM,pertantoogniproduttorehasviluppatolapropriaimplementazioneperilblocco.Lenovoha utilizzatoTPMdeiseguentiquattrofornitori:

•Atmel- ThinkPadT60/R60/X60/X300,ThinkCentreM57

•Intel-ThinkPadT500/R500/X200/X301

•STMicro-ThinkPadT410/T510/X201/T420/T520/X220,ThinkCentreM90

•Winbond- ThinkCentreM58

QuestiTPMpresentanocaratteristichediversequandoentranoinmodalitàdiblocco,comedescritto diseguito:

TPMAtmel:

•nessunbloccoduranteiprimi15tentatividiimmissionedipassworderrate

•il16°tentativodiimmissionediunapassworderratacomportaunperiododibloccodi1,1minuti

•nessunbloccoduranteisuccessivi15tentatividiimmissionedipassworderrate

•ilsuccessivoperiododibloccoèdi2,2minuti

•ogniperiododibloccoraddoppiadopoognibatchdi15tentatividiimmissionedipassworderrate, noaunperiodomassimodibloccodi4,7ore

•ilbloccovieneripristinatoseilcomputerèspento

TPMIntel:

•nessunbloccoduranteiprimi100tentatividiimmissionedipassworderrate

•il101°tentativodiimmissionediunapassworderratacomportaunperiododibloccodi16secondi

•ognitentativodiimmissionediunapassworderratacomportaunperiododibloccodiduratadoppia rispettoalperiododibloccoprecedente,senzaunperiododibloccomassimo

•ilnumerodellepassworderratesiriducediunaogniora,noadarrivareazero

TPMSTMicro:

•nessunbloccoduranteiprimi40tentatividiimmissionedipassworderrate

•il41°tentativodiimmissionediunapassworderratacomportaunperiododibloccoditresecondi

•ognitentativodiimmissionediunapassworderratacomportaunperiododibloccodiduratadoppia rispettoalperiododibloccoprecedente,conunperiododibloccomassimodidueore

TPMWinbond:

•ilprimotentativodiimmissionediunapassworderratacomportaunperiododibloccodi0,25millisecondi

•ognitentativodiimmissionediunapassworderratacomportaunperiododibloccodiduratadoppia rispettoalperiododibloccoprecedente,conunperiododibloccomassimodi14ore

Nota:sononecessari13tentatividiimmissionedipassworderrateperraggiungereunperiododi bloccodiunsecondo.

•dopo24ore,ilnumerodellepassworderratevienereimpostatosuzero.

78ClientSecuritySolution8.3Guidaalladistribuzione

AppendiceE.Informazioniparticolari

ÈpossibilecheLenovononoffraiprodotti,iserviziolefunzioniillustrateinquestodocumentointuttiipaesi. ConsultareilrappresentanteLenovolocaleperinformazionisuiprodottiesuiservizidisponibilinelproprio paese.Qualsiasiriferimentoaprogrammi,prodottioserviziLenovoivicontenutononsignicachesoltanto taliprodotti,programmioservizipossanoessereusati.InsostituzioneaquellifornitidallaLenovo,possono essereusatiprodotti,programmioservizifunzionalmenteequivalentichenoncomportinoviolazionedidiritti diproprietàintellettualeodialtridirittidellaLenovo.Ècomunqueresponsabilitàdell'utentevalutaree vericarelapossibilitàdiutilizzarealtriprodotti,programmioservizi.

LaLenovopuòaverebrevettiodomandedibrevettoincorsorelativiaquantotrattatonellapresente pubblicazione.Lafornituradiquestapubblicazionenonimplicalaconcessionedialcunalicenzasudiessi. Chidesiderassericevereinformazioniolicenze,puòrivolgersia:

Lenovo(UnitedStates),Inc. 1009ThinkPlace-BuildingOne Morrisville,NC27560 U.S.A. Attention:LenovoDirectorofLicensing

LENOVOFORNISCEQUESTAPUBBLICAZIONE“COSÌCOM'È”SENZAALCUNTIPODIGARANZIA,SIA ESPRESSACHEIMPLICITA,INCLUSEEVENTUALIGARANZIEDICOMMERCIABILITÀEDIDONEITÀAUNO SCOPOPARTICOLARE.Alcunegiurisdizioninonescludonolegaranzieimplicite;diconseguenzalasuddetta esclusionepotrebbe,inquestocaso,nonessereapplicabile.

Questapubblicazionepotrebbecontenereimprecisionitecnicheoerroritipograci.Lecorrezionirelative sarannoinclusenellenuoveedizionidellapubblicazione.LaLenovosiriservaildirittodiapportare miglioramentie/omodichealprodottooalprogrammadescrittonelmanualeinqualsiasimomentoe senzapreavviso.

Iprodottidescrittiinquestadocumentazionenonsonodestinatiall'utilizzodiapplicazionichepotrebbero causaredanniapersone.Leinformazionicontenuteinquestadocumentazionenonmodicanoonon inuisconosullespecichedeiprodottiLenovoosullagaranzia.Nessunapartediquestadocumentazione rappresental'espressioneounalicenzaimplicitafornitanelrispettodeidirittidiproprietàintellettualeodi altridirittiLenovo.Tutteleinformazioniinessacontenutesonostateottenuteinambientispecicievengono presentatecomeillustrazioni.Ilrisultatoottenutoinaltriambientioperativipuòvariare.

LaLenovopuòutilizzareodivulgareleinformazioniricevutedagliutentisecondolemodalitàritenute appropriate,senzaalcunobbligoneiloroconfronti.

TuttiiriferimentiaisitiWebnonLenovocontenutiinquestapubblicazionesonofornitiperconsultazione;per essinonvienefornitaalcunaapprovazione.IlmaterialerelativoatalisitiWebnonfapartedelmateriale fornitoconquestoprodottoLenovoel'utilizzoèavostrorischioepericolo.

Qualsiasiesecuzionedidati,contenutainquestomanuale,èstatadeterminatainunambientecontrollato. Quindi,èpossibilecheilrisultatoottenutoinaltriambientioperativivarisignicativamente.Èpossibileche alcunemisuresianostateeseguitesusistemidisviluppoenonvienegarantitochetalimisuresianolestesse suisistemidisponibili.Inoltre,alcunemisurepotrebberoesserestatestimatemedianteestrapolazione.I risultaticorrentipossonovariare.Ènecessariochegliutentidiquestodocumentoverichinoidatiapplicabili perl'ambientespecico.

Marchi

IseguentiterminisonomarchidellaLenovonegliStatiUnitie/oinaltripaesi:

Lenovo ThinkCentre ThinkPad ThinkVantage

Microsoft,InternetExplorer,WindowsServereWindowssonomarchidelgruppodisocietàMicrosoft.

Altrinomidiservizi,prodottiosocietàsonomarchidialtresocietà.

80ClientSecuritySolution8.3Guidaalladistribuzione

Glossario

PasswordBIOSdiamministratore (ThinkCentre)/supervisore

AdvancedEncryptionStandard(AES)AdvancedEncryptionStandardèuntecnicadi

Sistemidicrittograa

ChipdisicurezzaintegratoIlchipdisicurezzaintegratoèunaltronomeperil

Codicadichiavepubblica/chiaveasimmetricaGlialgoritmidichiavepubblicageneralmente

Lapasswordamministratoreosupervisoreviene usatapercontrollarelapossibilitàdimodicarele impostazionidelBIOS.Comprendelapossibilitàdi abilitareodisabilitareilchipdisicurezzaincorporato edicancellarelaStorageRootKeymemorizzata all'internodelTrustedPlatformModule.

codicadellachiavesimmetrica.Nell'ottobre del2000ilGovernodegliStatiUnitihaadottato l'algoritmocometecnicadicodica,sostituendo lacodicaDESusatainprecedenza.AESoffre maggioresicurezzacontrol'attaccodiforzebrutali rispettoaitastiDESda56-biteAESpuòutilizzarei tastida128,192e256bit,senecessario.

Isistemidicrittograapossonoessereampiamente classicatiincodicadichiavesimmetricache utilizzanounachiavesingolachecodicanoo decodicanoidatielacodicadichiavepubblica cheutilizzaduetasti,unachiavepubblicanotaa tuttieunachiaveprivataacuisoloilproprietario dellacoppiadichiavihaaccesso.

Modulodipiattaformaafdabile.

utilizzanounacoppiadiduechiavicorrelate:una chiaveèprivataedeveesseretenutasegreta, mentrel'altravieneresapubblicaepuòessere ampiamentedistribuita.Nondeveesserepossibile dedurreunachiavediunacoppiadata.La terminologiadi“crittograadichiavepubblica” derivadall'ideadirendereleinformazionipartedella chiavepubblica.Ilterminecrittograadichiave simmetricavieneutilizzatoancheperchénontutte leparticonservanolestesseinformazioni.Inun senso,unachiave“blocca”unblocco(codica); maunadiversachiaveènecessariapersbloccarla (decodica).

StorageRootKey(SRK)La(SRK)(StorageRootKey)èunacoppiadi

chiavepubblicada2048bit(odidimensione superiore).Èinizialmentevuotaevienecreata quandoilproprietarioTPMvieneassegnato.Questa coppiadichiavinonabbandonamaiilchipdi sicurezzaintegrato.Vieneutilizzatopercodicare (avvolgere)lechiaviprivateperlamemorizzazione all'esternodelModulodellapiattaformaafdabile eperdecodicarliquandovengonoricaricatinel Modulodipiattaformaafdabile.L'SRKpuòessere cancellatodachiunqueaccedaalBIOS.

Codicadichiavesimmetrica

Lacodicadichiavesimmetricacalcolal'utilizzo dellastessachiaveperlacodicaedecodicadei dati.Icalcolidichiavesimmetricasonopiùsemplici erapidi,malosvantaggioprincipaleècheledue partidevonoinqualchemodoscambiarsilachiave inmodosicuro.Lacodicadichiavepubblicaevita questoproblemaperchélachiavepubblicapuò esseredistribuitainmodononsicuroelachiave privatanonvienemaitrasmessa.L'Advanced EncryptionStandardèunesempiodiunachiave simmetrica.

TrustedPlatformModule(TPM)

ITrustedPlatformModulesonocircuitiintegratiper piùscopiincorporatineisistemiperconsentireuna validaautenticazionedell'utenteelavericadel computer.LoscopoprincipaledelTPMèquellodi evitareunaccessononappropriatoalleinformazioni riservateesensibili.IlTPMèunafontedisicurezza basatasull'hardwarechepuòesserepotenziata perfornireunavarietàdiservizicrittogracisuun sistema.UnaltronomeperTPMèchipdisicurezza integrato.

Lenovo ThinkVantage Client Security Solution 8.3 Deployment Guide [it]

Specifications and Main Features

Frequently Asked Questions

User Manual

Prefazione

Capitolo1.Panoramica

ClientSecuritySolution

FrasediaccessodiClientSecuritySolution

RecuperopassworddiClientSecurity

ClientSecurityPasswordManager

SecurityAdvisor

Ripristinopasswordhardware

FingerprintSoftware

Capitolo2.Installazione

ClientSecuritySolution

Requisitidiinstallazione

Proprietàpubblichepersonalizzate

SupportoTPM(T rustedPlatformModule)

Procedurediinstallazioneeparametridellarigacomandi

Utilizzodimsiexec.exe

ProprietàpubblichestandarddiWindowsInstaller

Filedilogdiinstallazione

InstallazionediThinkVantageFingerprintSoftware

Installazionenonpresidiata

Opzioni

InstallazionediLenovoFingerprintSoftware

Installazionenonpresidiata

Opzioni

SMS(SystemsManagementServer)

Capitolo3.GestionediClientSecuritySolution

UtilizzodiTPM(TrustedPlatformModule)

UtilizzodiTrustedPlatformModule(TPM)conWindows7

Acquisizionediproprietà

Registrazioneutente

Emulazionedelsoftware

Cambiodellaschedadisistema

UtilitàdiprotezioneEFS

UtilizzodiunoschemaXML

Esempi

UtilizzoditokenRSASecurID

InstallazionedeltokendelsoftwareRSASecurID

Requisiti

Impostazionidelleopzionidiaccessoallesmartcard

InstallazionemanualedeltokendelsoftwareRSASecurID

SupportoperActiveDirectory

Impostazioniecriteriperl'autenticazionetramitelettorediimpronte digitali

Opzionedidisabilitazionedelleimprontedigitali

Risultatodellaregistrazionediimprontedigitali

Strumentidellarigacomandi

SecurityAdvisor

ProceduraguidatadiinstallazionedellaClientSecuritySolution

TPMENABLE.EXE

AttivazioneodisattivazionedelTPM

SupportoperActiveDirectory

Filedimodelloamministrativi(ADM)

ImpostazionidiCriteriodigruppo

Capitolo4.UtilizzodiThinkVantageFingerprintSoftware

StrumentoConsoledigestione

Comandidiimpostazioniglobali

Modalitàsicuraemodalitàutile

Modalitàsicura-amministratore

Modalitàsicura-utenteconlimitazioni

Modalitàutile-amministratore

Modalitàutile-utenteconlimitazioni

SoftwareperimprontedigitalieNovellNetwareClient

Autenticazione

ServizioThinkVantageFingerprintSoftware

Capitolo5.UtilizzodiLenovoFingerprintSoftware

StrumentoConsoledigestione

ServizioLenovoFingerprintSoftware

SupportoActiveDirectoryperLenovoFingerprintSoftware

Capitolo6.Procedureottimali

Esempididistribuzioneperl'installazionediClientSecuritySolution

Scenario1

Scenario2

AlternanzatralemodalitàdiClientSecuritySolution

RolloutdiActiveDirectoryaziendale

SystemUpdate

SystemMigrationAssistant

Requisiti: