Lenovo ThinkVantage Client Security Solution 8.3 Deployment Guide [fr]

Guidededéploiement ClientSecuritySolution8.3
Miseàjour:Décembre2011
Remarque:Avantd'utiliserleprésentdocumentetleproduitassocié,prenezconnaissancedes informationsgénéralesgurantàl'AnnexeE«Remarques»àlapage81.
Quatrièmeédition(Décembre2011)
©CopyrightLenovo2008,2011.
REMARQUESURLESDROITSLIMITÉSETRESTREINTS:silesdonnéesouleslogicielssontfournisconformémentà uncontratGeneralServicesAdministration(«GSA»),l'utilisation,lareproductionetladivulgationsontsoumisesaux restrictionsstipuléesdanslecontratnºGS-35F-05925.
Tabledesmatières
Préface................iii
Chapitre1.Présentation........1
ClientSecuritySolution............1
MotdepassecomposéClientSecurity
Solution................2
RécupérationdesmotsdepasseClient
Security................2
ClientSecurityPasswordManager......2
SecurityAdvisor.............3
AssistantCerticateTransfer........4
Réinitialisationdesmotsdepassematériel...4 Priseenchargedessystèmessansmodule
TPM..................4
Logicieldelectured'empreintesdigitales.....4
Chapitre2.Installation.........7
ClientSecuritySolution............7
Congurationrequisepourl'installation....7
Propriétéspubliquespersonnalisées.....7
PriseenchargedumoduleTrustedPlatform
Module.................8
Procéduresd'installationetparamètresde
lignedecommande............9
Utilisationdemsiexec.exe........10
Propriétéspubliquesstandardduprogramme
d'installationWindows..........12
Fichierjournald'installation........13
InstallationdeThinkVantageFingerprint
Software.................14
Installationenmodesilencieux......14
Options................14
InstallationdeLenovoFingerprintSoftware...17
Installationenmodesilencieux......17
Options................17
SystemsManagementServer.........20
Chapitre3.UtilisationdeClient
SecuritySolution...........21
UtilisationdumoduleTPM..........21
UtilisationdumoduleTPMavecWindows7.21
GestiondeClientSecuritySolutionàclésde
chiffrement................22
TakeOwnership............22
EnrollUser..............23
Emulationdelogiciel..........24
Remplacementdecartemère.......25
UtilitairedeverrouillageEFS.......27
UtilisationduschémaXML..........28
Exemples...............29
UtilisationdejetonsSecurIDRSA.......35
InstallationdujetondulogicielRSASecurID.35
Congurationrequise..........35
Congurationdesoptionsd'accèsdelacarte
àpuce................36
InstallationmanuelledujetondulogicielRSA
SecurID...............36
Priseencharged'ActiveDirectory.....36
Paramètresetrèglespourl'authenticationdu
lecteurd'empreintesdigitales.........37
Optiondecontournementdesempreintes
digitalesappliquée...........37
Résultatdelalectured'empreintesdigitales.37
Outilsdelignedecommande.........37
SecurityAdvisor............37
AssistantdecongurationClientSecurity
Solution...............39
Outildechiffrementoudedéchiffrementdu
chierdedéploiement..........39
Outildetraitementduchierdedéploiement.40
TPMENABLE.EXE...........40
Outildetransfertdecerticat.......40
ActivationoudésactivationdumoduleTPM.41
Priseencharged'ActiveDirectory.......43
FichiersADM(AdministrativeTemplateFile).44
Paramètresdelastratégiedegroupe....45
Chapitre4.Utilisationde ThinkVantageFingerprintSoftware.51
OutilManagementConsole..........51
Commandesspéciquesàl'utilisateur...51 Commandesdesparamètresgénéraux...52
Modesécuriséetmodepratique.......53
Modesécurisé-Administrateur......53
Modesécurisé-Utilisateuravecrestriction..54
Modepratique-Administrateur......54
Modepratique-Utilisateuravecrestriction..55
Paramètrescongurables........56
FingerprintSoftwareetNovellNetwareClient..57
Authentication............57
ServiceThinkVantageFingerprintSoftware...58
Chapitre5.UtilisationdeLenovo
FingerprintSoftware.........59
OutilManagementConsole..........59
ServiceLenovoFingerprintSoftware......59
©CopyrightLenovo2008,2011
i
Priseencharged'ActiveDirectorypourLenovo
FingerprintSoftware............59
Chapitre6.Pratiques
recommandées............61
Exemplesdedéploiementpourl'installationde
ClientSecuritySolution...........61
Scénario1..............61
Scénario2..............63
PassageauxmodesClientSecuritySolution...66 Déploiementd'ActiveDirectoryauniveaude
l'entreprise................66
InstallationautonomepourlesCDouleschiers
script..................66
SystemUpdate..............66
SystemMigrationAssistant..........66
Générationd'uncerticatàl'aidedelagénération
declésdansTPM.............66
Congurationminimalerequise:......67
Demandedecerticatàpartirduserveur..67 UtilisationdeclaviersUSBàempreintesdigitales
avecdesmodèlesd'ordinateurportableThinkPad 2008(R400/R500/T400/T500/W500/X200/X301).68
ConnexionàWindows7.........68
ClientSecuritySolutionetPassword
Manager...............69
Authenticationavantledémarrage-avec
uneempreintedigitaleàlaplacedemotsde
passeBIOS..............69
AnnexeA.Remarquesconcernant l'utilisationduclavierLenovo
Fingerprintaveccertainsordinateurs portablesThinkPadRemarques concernantl'utilisationduclavier LenovoFingerprintaveccertains
ThinkPad...............71
Congurationetdénition..........71
Pre-desktopauthentication..........71
ConnexionàWindows...........72
AuthenticationavecClientSecuritySolution..72
AnnexeB.Synchronisationdumotde passedansClientSecuritySolution aprèslaréinitialisationdumotde
passeWindows............75
AnnexeC.UtilisationdeClient SecuritySolutionsurunsystème d'exploitationWindowsréinstallé..77
AnnexeD.Utilisationdumodule TPMsurlesordinateursportables
ThinkPad...............79
CommentdéployerBitLockeràdistance?....79
Commentfonctionneleverrouillagedumodule
TPM?..................79
AnnexeE.Remarques.........81
Marques.................82
Glossaire................lxxxiii
iiGuidededéploiementClientSecuritySolution8.3

Préface

Lesinformationsfourniesdansleprésentdocumentpermettentd'assurerlesupportdesordinateursLenovo surlesquelslesprogrammesThinkVantage
®
ClientSecuritySolutionetFingerprintSoftwaresontinstallés.
ClientSecuritySolutionetFingerprintSoftwareontpourobjectifdeprotégervossystèmesensécurisantles donnéesclientetdedétournertoutetentativedeviolationdesécurité.
LeGuidededéploiementClientSecuritySolutioncontientlesinformationsnécessairesàl'installation deClientSecuritySolutionetdeFingerprintSoftwaresurunouplusieursordinateurs,ainsiquedes instructionsetdesscénariosdesoutilsd'administrationpersonnalisablespourprendreenchargeles stratégiesinformatiquesetd'entreprise.
Leprésentguideestdestinéauxadministrateursinformatiquesetauxpersonneschargéesdudéploiement deThinkVantageClientSecuritySolutionetdeFingerprintSoftwaresurdesordinateursauseinde l'entreprise.Encasdesuggestionsoucommentaires,prenezcontactavecvotrepartenairecommercial Lenovo.Cedocumentestmisàjourrégulièrement,etvouspouvezconsulterlaversionlaplusrécentesurle siteWebdeLenovoàl'adressesuivante: http://www.lenovo.com/support
Pourplusd'informationssurl'utilisationdesdiverscomposantsdanslesespacesdetravailClientSecurity SolutionetFingerprintSoftware,reportez-vousausystèmed'aideenligneetauxguidesd'utilisationfournis avecClientSecuritySolutionetFingerprintSoftware.
®
©CopyrightLenovo2008,2011
iii
ivGuidededéploiementClientSecuritySolution8.3

Chapitre1.Présentation

LeprésentchapitreproposeuneprésentationdeClientSecuritySolutionetdeFingerprintSoftware.Les technologiesprésentéesdansceguidededéploiementpeuventaiderlesinformaticiensdirectementet indirectement,carellespermettentderendrelesordinateurspersonnelsplusconviviauxetplusautonomes. Enoutre,ellesfournissentdesoutilspuissantsquifacilitentetsimplientlesdéploiements.Grâceà ThinkVantageTechnologies,lesinformaticienspassentmoinsdetempsàrésoudredesincidentssurdes ordinateursetconsacrentplusdetempsàleursproprestâches.

ClientSecuritySolution

ClientSecuritySolutionapourbutdevousaideràprotégervotreordinateurcommeunactif,vosdonnées condentiellesetlesconnexionsréseaudevotreordinateur.PourlessystèmesLenovoquicontiennent unmoduleTPM(T rustedPlatformModule)conformeauTGC(TrustedComputingGroup),lasécuritédu systèmemiseenœuvreparlelogicielClientSecuritySolutionestbaséesurlematériel.Silesystèmene contientpasdeprocesseurdesécuritéintégré(oupucedesécuritéintégrée),ClientSecuritySolutionutilise unlogicielbasésurdesclésdechiffrementpourlasécuritédusystème.
LesfonctionsdeClientSecuritySolution8.3sontlessuivantes:
Authenticationd'utilisateursécuriséeavecunmotdepasseWindows
composéClientSecuritySolution
ClientSecuritySolutionpeutêtrecongurépouraccepterunmotdepasseWindowsutilisateurouun motdepassecomposéClientSecuritySolutionpourl'authentication.LemotdepasseWindowsest pratiqueetgérabledansWindows,lemotdepassecomposéClientSecuritySolutionfournitunesécurité supplémentaire.L'administrateurpeutchoisirlaméthoded'authenticationàutiliseretceparamètrepeut êtremodiémêmelorsquedesutilisateurssontdéjàinscritsdansClientSecuritySolution.
Authenticationd'utilisateurparempreintedigitale Optimiselatechnologied'empreintedigitaleintégréeetrattachéeauportUSBpourauthentierdes utilisateursauprèsd'applicationsprotégéespardesmotsdepasse.
Authenticationd'utilisateursmulti-facteurpourlaconnexionàWindowsetdifférentesopérations
ClientSecuritySolution
Dénitplusieursunitésd'authentication(motdepasseWindows/motdepassecomposéClientSecurity etempreintedigitale)pourdenombreusesopérationsrelativesàlasécurité.
Gestiondesmotsdepasse GèreetstockedemanièresécuriséelesinformationsdeconnexionsensiblestellesquelesIDutilisateurs etlesmotsdepasse.
Récupérationdesmotsdepasseetdesmotsdepassecomposés Larécupérationdesmotsdepasseetdesmotsdepassecomposéspermetauxutilisateursdese connecteràWindowsetd'accéderàleursautorisationsd'accèsClientSecuritySolution,mêmeencas d'oubli,enrépondantàdesquestionsdesécuritéprécongurées.
Auditdesparamètresdesécurité Permetauxutilisateursdevisualiserunelistedétailléedesparamètresdesécuritédupostedetravailet d'effectuerdesmodicationspourrépondreauxstandardsdénis.
T ransfertdescerticatsnumériques ClientSecuritySolutionprotègelacléprivéedel'utilisateuretlescerticatsdel'ordinateur.UtilisezClient SecuritySolutionpourprotégerlacléprivéedevoscerticatsexistants.
Gestiondesrèglespourl'authentication Unadministrateurpeutchoisirlesunités(motdepasseWindows,motdepassecomposéClientSecurity
®
ouunmotdepasse
©CopyrightLenovo2008,2011
1
Solutionouempreintedigitale)quiserontnécessairesàl'authenticationpourlesactionssuivantes: connexionWindows,gestiondesmotsdepasseetopérationsdecertication.

MotdepassecomposéClientSecuritySolution

LemotdepassecomposéClientSecuritySolutionestunefonctionfacultatived'authenticationd'utilisateur quifournitunesécuritéavancéeauxapplicationsClientSecuritySolution.Lesconditionssuivantesdoivent êtreremplies:
•Ildoitêtrecomposéd'aumoinshuitcaractères
•Ilcontientaumoinsunchiffre
•Ildoitêtredifférentdestroismotsdepassecomposésprécédents
•Ilnecontientpasplusdedeuxcaractèresrépétés
•Ilnecommencepasparunchiffre
•Ilneseterminepasparunchiffre
•IlnecontientpasvotreIDutilisateur
•Ilnedoitpasêtrechangés'ilamoinsdetroisjours
•Ilnedoitpascontenirtrois(ouplus)caractèresconsécutifsidentiquesparrapportaumotdepasse composéactuel,quellequesoitleurposition
•IlnedoitpasêtreidentiqueaumotdepasseWindows.
LemotdepassecomposéClientSecuritySolutionestconnuuniquementdel'utilisateur.Laseulefaçon derécupérerunmotdepassecomposéClientSecuritySolutionoubliéconsisteàexécuterlafonction derécupérationdemotdepassedeClientSecuritySolution.Sil'utilisateuraoubliélesréponsesàses questionsderécupération,iln'yaalorsplusaucunesolutionpermettantderécupérerlesdonnéesprotégées parlemotdepassecomposéClientSecuritySolution.

RécupérationdesmotsdepasseClientSecurity

CettefonctionfacultativepermetauxutilisateursinscritsdansClientSecurityderécupérerunmotdepasse WindowsouunmotdepassecomposéClientSecurityoubliéenrépondantcorrectementàtroisquestions. Sicettefonctionestactivée,vousdevrezchoisirtroisréponsesparmidixquestionspré-sélectionnées.Si vousoubliezvotremotdepasseWindowsouvotremotdepassecomposéClientSecurity,vouspourrez soitrépondreàcestroisquestions,soitréinitialiservotremotdepasseouvotremotdepassecomposé.
Remarque:SiunmotdepassecomposéClientSecurityestutilisé,larécupérationdumotdepasseClient Securityestlaseuleoptionderécupérationd'unmotdepassecomposéoublié.Sivousoubliezlaréponse àvostroisquestions,vousdevrezréexécuterl'assistantd'enregistrementetperdreztouteslesdonnées ClientSecurityprécédemmentprotégées.

ClientSecurityPasswordManager

ClientSecurityPasswordManagervouspermetdegérerdesinformationsrelativesàdessiteswebouà desapplicationsquisontfacilementoubliées,tellesquelesIDutilisateur,lesmotsdepasseetd'autres informationspersonnelles.ClientSecurityPasswordManagerprotègevosinformationspersonnellesvia ClientSecuritySolutionanquel'accèsàvosapplicationsetsiteswebrestententièrementsécurisé. ClientSecurityPasswordManagervouspermetégalementdegagnerdutempsetdel'énergieenvous demandantuniquementdevoussouvenird'unseulmotdepasseoumotdepassecomposé,oudefournir votreempreintedigitale.
ClientSecurityPasswordManagerpermetd'exécuterlesfonctionssuivantes:
2GuidededéploiementClientSecuritySolution8.3
ChiffrementdetouteslesinformationsstockéesviaClientSecuritySolution: ChiffreautomatiquementtoutesvosinformationsviaClientSecuritySolution.Touteslesinformationsde motdepassecondentiellessontainsiprotégéesvial'utilisationdesclésdechiffrementClientSecurity.
GénérationautomatiquedesIDetmotsdepasse: Automatisevotreprocessusdeconnexionlorsquevousaccédezàuneapplicationouàunsiteweb.Si vosinformationsdeconnexionontétéentréesdansClientSecurityPasswordManager,alorsClient SecurityPasswordManagerremplitautomatiquementleszonesrequisesetlessoumetausiteweb ouàl'application.
Editiondesentréesàl'aidedel'interfaceClientSecurityPasswordManager: Vouspermetd'éditervosentréesdecompteetdecongurertouteslesfonctionsfacultativesenune seuleinterfacefaciled'utilisation.Cetteinterfaceaccélèreetfacilitelagestiondesmotsdepasseetdes informationspersonnelles.Cependant,laplupartdesmodicationsrelativesauxentréespeuventêtre détectéesautomatiquementparClientSecurityPasswordManager,cequipermetàl'utilisateurde mettreàjoursesentréesencoreplusfacilement.
Sauvegardedesinformationssansétapessupplémentaires: ClientSecurityPasswordManagerdétecteautomatiquementlesinformationssensiblesquisontenvoyées àunsitewebouàuneapplicationdonné.Lorsqu'illedétecte,ClientSecurityPasswordManagerinvite l'utilisateuràsauvegarderlesinformations,simpliantainsileprocessusdestockagedesinformations sensibles.
Sauvegardedetouteinformationdansunezonedetravailsécurisée: GrâceàClientSecurityPasswordManager,l'utilisateurpeutsauvegardertouteslesdonnéestextuelles dansdeszonesdetravailsécurisées.Ceszonesdetravailsécuriséespeuventêtreprotégéesavecle mêmeniveaudesécuritéquen'importequelleautreentréedesiteweboud'application.
Exportationetimportationdesinformationsdeconnexion: Permetd'exportervosinformationspersonnellessensiblesandepouvoirlesdéplacerentoute sécuritéd'unordinateuràunautre.Lorsquevousexportezvosinformationsdeconnexionàpartirde ClientSecurityPasswordManager,unchierd'exportationprotégéparmotdepasseestcréé.Ilpeut êtrestockésurunsupportamovible.Utilisezcechierpouraccéderàvosinformationspersonnelles partoutoùvousvoustrouvezoupourimportervosentréesdansunautreordinateurdisposantdeClient SecurityPasswordManager.
Remarque:Unepriseenchargetotaleestdisponiblepourleschiersd'exportationClientSecurity SolutionVersions7.0et8.x.Unepriseenchargelimitéeestdisponiblepourleschiersd'exportation ClientSecuritySolutionversion6.0(lesentréesd'applicationnesontpasimportées).ClientSecurity SoftwareSolutionversions5.4xetversionsprécédentesn'exécutentpasd'importationdansClient SecuritySolutionVersion8.xPasswordManager.

SecurityAdvisor

L'outilSecurityAdvisorvouspermetd'afcherunrécapitulatifdesparamètresdesécuritédénissur l'ordinateur.Vouspouvezutilisercesparamètrespourconnaîtrel'étatactueldelasécuritédusystèmeou pouraméliorercettesécurité.Lesvaleurspardéfautafchéespourlescatégoriespeuventêtremodiéesà l'aideduregistreWindows.Lescatégoriesdesécuritécomprennentparexemple:
•lesmotsdepassematériel,
•lesmotsdepassedesutilisateursWindows,
•lesrèglessurlesmotsdepasseWindows,
•l'écrandeveilleprotégé,
•lepartagedechiers.
Chapitre1.Présentation3
AssistantCerticateTransfer
L'assistantClientSecurityCerticateT ransfervousguidetoutaulongduprocessusdetransfertdesclés privéesassociéesàvoscerticatsàpartirdufournisseurdeservicedechiffrementMicrosoft logiciel(CSP)verslefournisseurdeservicedechiffrementClientSecuritySolutionbasésurlematériel.Une foisletransferteffectué,lesopérationsutilisantlescerticatssontplussécuriséescarlesclésprivéessont protégéesparClientSecuritySolution.
®
basésurle

Réinitialisationdesmotsdepassematériel

Cetoutilcréeunenvironnementsécuriséquis'exécuteindépendammentdeWindowsetvousaideà recongurerlesmotsdepasseoubliésdemisesoustensionetd'unitédedisquedur.Votreidentitéest établielorsquevousrépondezàdesquestionsquevouscréez.Créezcetenvironnementsécurisédèsque possible,avanttoutoublidemotdepasse.Iln'estpaspossiblederedénirunmotdepassematériel tantquecetenvironnementsécurisén'estpascréésurledisquedurettantquevousnevousêtespas enregistré.Cetoutiln'estdisponiblequesurcertainsordinateurs.

PriseenchargedessystèmessansmoduleTPM

ClientSecuritySolution8.3prendenchargelessystèmesLenovoquinepossèdentpasdeprocesseurde sécuritéintégrécompatible.Cettepriseenchargepermetuneinstallationstandarddanstoutel'entreprise pourcréerunenvironnementcohérentetsécurisé.Lessystèmesquipossèdentunprocesseurdesécurité intégrésontplusrobustescontreuneattaque.Cependant,pourlessystèmessansprocesseurdesécurité intégré,ClientSecuritySolutionréutiliselesclésdechiffrementlogiciellescommesuperutilisateurapprouvé pourlesystèmeetlesystèmepeutégalementbénécierd'unesécuritéetdefonctionnalitéssupplémentaires.

Logicieldelectured'empreintesdigitales

Lestechnologiesd'identicationd'empreintesdigitalesbiométriquesfourniesparLenovosontconçuespour aiderlesclientsàréduirelescoûtsassociésauxmotsdepasse,àaméliorerlasécuritédeleurssystèmesetà seconformerauxréglementations.FingerprintSoftwarepermetl'authenticationparempreintesdigitalessur desordinateursindividuelsetdesréseauxenutilisantdeslecteursd'empreintesdigitalesLenovo.Fingerprint SoftwarecombinéàClientSecuritySolution8.3proposedesfonctionnalitésétendues.ClientSecurity Solution8.3prendenchargeThinkVantageFingerprintSoftware5.9.2etLenovoFingerprintSoftware3.3qui peuventêtredisponiblespourdifférentstypesd'ordinateur.SurlesiteWebLenovo,voustrouverezplus d'informationssurlestechnologiesLenovoFingerprintetpourreztéléchargerFingerprintSoftware.
Fingerprintoffrelesfonctionssuivantes:
FonctionsdelogicielclientRemplacementdumotdepasseMicrosoftWindows:
Remplacevotremotdepasseavecvotreempreintedigitalepourunaccèsausystèmesimple,rapide etsécurisé.
RemplacementdumotdepasseBIOS(égalementappelémotdepasseàlamisesoustension)
etdumotdepassed'accèsaudisquedur:
Remplacelesmotsdepasseavecvotreempreintedigitalepourétendrelasécuritédeconnexionet ladiffusion.
Authenticationd'empreintedigitaleavantinitialisationpourlechiffrementcompletdel'unité
SafeGuardEasy:
Utilisel'authenticationparempreintedigitalepourdéchiffrervotredisqueduravantledémarragede Windows.
Uniquepassagedanslelecteurpourl'accèsausystèmeBIOSetàWindows:
Vouspermetd'économiserdutempsenpassantvotredoigtaudémarragepouraccéderausystème BIOSetàWindows.
4GuidededéploiementClientSecuritySolution8.3
IntégrationàClientSecuritySolution:
S'utiliseavecClientSecuritySolutionPasswordManagerettirepartidumoduleTPM(TrustedPlatform Module).LesutilisateurspeuventpasserleurdoigtsurlelecteurpouraccéderauxsitesWebet sélectionnerdesapplications.
FonctionsadministrateurActivation/désactivationdumodesécurité:
Permetàunadministrateurdebasculerentrelesmodessécuriséetdegrandediffusionpourmodier lesdroitsd'accèsdecertainsutilisateurs.
FonctionsdesécuritéSécuritédulogiciel:
Protègelesmodèlesutilisateurgrâceàlafonctiondechiffrementfortlorsqueceux-cisontstockéssur unsystèmeoutransférésdulecteurverslelogiciel.
Sécuritédumatériel:
Fournitunprogrammedelectureaveccoprocesseurquistockeetprotègelesmodèlesd'empreintes digitales,lesmotsdepasseBIOSetlesclésdechiffrement.
Chapitre1.Présentation5
6GuidededéploiementClientSecuritySolution8.3

Chapitre2.Installation

Leprésentchapitrecontientlesinstructionsd'installationdeClientSecuritySolutionetdeFingerprint Software.Avantd'installerClientSecuritySolutionouFingerprintSoftware,vousdevezcomprendre l'architecturedel'applicationquevousinstallez.Leprésentchapitrecontientl'architecturedechaque applicationainsiquelesinformationssupplémentairesdontvousavezbesoinavantd'installerles programmes.

ClientSecuritySolution

Lemoduled'installationdeClientSecuritySolutionaétédéveloppéavecInstallShield10.5Premiercomme unprojetBasicMSI.InstallShieldutiliseleprogrammed'installationWindowspourinstallerdesapplications, cequipermetauxadministrateursdepersonnaliserlesinstallation,endénissantlesvaleursdespropriétés àpartirdelalignedecommande,parexemple.Leprésentchapitredécritplusieursméthodesd'utilisationet d'exécutiondumoduledecongurationdeClientSecuritySolution.Pourunemeilleurecompréhension,lisez latotalitéduchapitreavantd'installercesmodules.
Remarque:Lorsquevousinstallezcesmodules,reportez-vousauchierreadmedeClientSecuritySolution disponiblesurlesiteWebLenovo.Lechierreadmecontientdesinformationsàjoursurlesversionsde logiciel,lessystèmesprisencharge,lacongurationsystèmerequiseetd'autresconsidérationspouvant vousaideràl'installation.
Congurationrequisepourl'installation
Lesinformationsdecettesectionindiquentlescongurationsrequisespourl'installationdumodulede ClientSecuritySolution.Pourobtenirdemeilleursrésultats,accédezausiteWebsuivantpourvériersi vousdisposezdeladernièreversiondulogiciel: http://www.lenovo.com/support
LesordinateursLenovodoiventaumoinsavoirlacongurationsuivantepourqueClientSecuritySolution puisseêtreinstallé:
Systèmed'exploitation:Windows7
Mémoire:256Mo –Pourlescongurationsdemémoirepartagée,lamémoirepartagéemaximaledéniedansles
paramètresdecongurationduBIOSdoitêtreauminimumde8Mo
–Pourlescongurationsdemémoirenonpartagée,120Modemémoirenonpartagéesontrequis.
•InternetExplorer
•300Mod'espacelibresurledisquedur
•UnécranvidéocompatibleVGAprenantenchargeunerésolutionde800x600etlescouleurs24bits.
•L'utilisateurdoitdisposerdesdroitsd'administrationpourinstallerClientSecuritySolution
Remarque:Ledéploiementdumoduled'installationClientSecuritySolutionsousWindowsServer n'estpasprisencharge.Enrevanche,lesdemandesdecerticatsprovenantdeWindowsServer2003sont prisesencharge.Voir«Générationd'uncerticatàl'aidedelagénérationdeclésdansTPM»àlapage66
®
5.5ouuneversionultérieuredoitêtreinstallée.
®

Propriétéspubliquespersonnalisées

Lemoduled'installationduprogrammeClientSecuritySoftwarecontientunjeudepropriétéspubliques personnaliséesquipeuventêtredéniessurlalignedecommandelorsdel'installation.Letableau ci-dessouscontientlespropriétéspubliquespersonnaliséespourlesystèmed'exploitationWindows:
2003
.
©CopyrightLenovo2008,2011
7
Tableau1.Propriétéspubliques
PropriétéDescription
EMULATIONMODEForcel'installationenmodeémulationmêmes'ilexiste
unmoduleTPM.IndiquezEMULATIONMODE=1surla lignedecommandepoureffectuerl'installationenmode émulation.
HALTIFTPMDISABLEDSilemoduleTPMestàunétatdésactivéetque
l'installations'exécuteenmodesilencieux,l'installation s'effectuepardéfautenmodeémulation.Utilisezla propriétéHALTIFTPMDISABLED=1lorsquel'installation s'exécuteenmodesilencieuxpourinterrompre l'installationsilemoduleTPMestdésactivé.
NOCSSWIZARDDénissezNOCSSWIZARD=1surlalignedecommande
pourempêcherqueledialogued'enregistrementde ClientSecuritySolutionnes'afcheautomatiquement aprèsl'installationdeClientSecuritySolution.Cette propriétéestconguréepourunadministrateurqui souhaiteinstallerClientSecuritySolutionmaissouhaite utiliserlescriptingultérieurementlorsdelaconguration dusystème.
CSS_CONFIG_SCRIPTIndiquezCSS_CONFIG_SCRIPT=«nom_chier»ou
«nom_chiermot_de_passe»pourqu'unchierde congurations'exécuteunefoisquel'utilisateuraterminé l'installationetréamorcelesystème.
SUPERVISORPWIndiquezSUPERVISORPW=«mot_de_passe»surlaligne
decommandepourfournirlemotdepassesuperviseur and'activerleprocesseurenmoded'installation silencieuxounonsilencieux.Sileprocesseurest désactivéetquel'installations'exécuteenmode silencieux,vousdevezfournirlemotdepassesuperviseur correctpouractiverleprocesseur.Sinon,leprocesseur neserapasactivé.
PWMGRMODEDénissezPWMGRMODE=1danslalignedecommande
pourn'installerquePasswordManager.
NOSTARTMENUDénissezNOSTARTMENU=1danslalignedecommande
pourempêcherlagénérationd'unraccourcidanslemenu Démarrer.
CREATESHORTCUTDénissezCREATESHORTCUT=1danslalignede
commandepourajouteruneentréedanslemenu
Démarrer.

PriseenchargedumoduleTrustedPlatformModule

ClientSecuritySolution8.3inclutlapriseenchargeduprocesseurdesécuritéintégréedel'ordinateur,le moduleTPM(T rustedPlatformModule).SivotreordinateurLenovoinclutunmoduleTPMprisencharge parlesystèmed'exploitationWindows,ClientSecuritySolutionutiliselespilotesintégrésausystème d'exploitationWindows.
IlpeutêtrenécessairederedémarrerlemoduleTPMcarilestactivéparleBIOSdusystème.Sivous exécutezWindows7,vousdevezconrmersilemoduleTPMdoitêtreactivéaudémarragedusystème.
PourquelemoduleTPMpuisseexécuterdesfonctions,l'affectationdel'administrateur,lapropriétédoitêtre initialisée.ChaquesystèmeestassociéàunseuladministrateurClientSecuritySolutionquicontrôleles
8GuidededéploiementClientSecuritySolution8.3
optionsdeClientSecuritySolution.Cetadministrateurdoitdisposerdedroitsd'administrateurWindows. L'administrateurpeutêtreinitialiséàl'aidedescriptsdedéploiementXML.
Unefoislapropriétédusystèmecongurée,chaqueutilisateurWindowssupplémentairequiseconnecte ausystèmeestautomatiquementinvitéàs'inscrireetàinitialiserlesclésdesécuritéetlesdonnées d'identicationdel'utilisateurdansl'assistantdecongurationClientSecurity.
EmulationdelogicieldumoduleT rustedPlatformModule
ClientSecuritySolutionalapossibilitédes'exécutersansmoduleT rustedPlatformModulesurlessystèmes habilités.Lafonctionnalitéseralamêmesaufqu'elleutiliseradescléslogiciellesaulieudeclésprotégées parlematériel.Lelogicielpeutégalementêtreinstalléavecuncommutateurquileforceàtoujoursutiliser descléslogiciellesaulieudumoduleTPM.L'utilisationdececommutateursedécideaumomentde l'installationetestirréversibleàmoinsdedésinstalleretderéinstallerlelogiciel.
LasyntaxeforçantuneémulationdelogicieldumoduleTPMestlasuivante:
InstallFile.exe“/vEMULATIONMODE=1”

Procéduresd'installationetparamètresdelignedecommande

Leprogrammed'installationMicrosoftWindowsfournitplusieursfonctionsd'administrationparlebiaisde paramètresdelignedecommande.Leprogrammed'installationWindowspeuteffectueruneinstallation administratived'uneapplicationoud'unproduitsurunréseauenvued'uneutilisationparungroupede travailouàdesnsdepersonnalisation.Lesoptionsdelignedecommandenécessitantunparamètre doiventêtreindiquéessansespaceentrel'optionetsonparamètre.Parexemple:
setup.exe/s/v"/qnREBOOT=”R”"
estcorrect,alorsque
setup.exe/s/v"/qnREBOOT=”R”"
nel'estpas.
Remarque:Lecomportementpardéfautdel'installationlorsquecettedernièreestexécutéeseule (exécutiondesetup.exesansparamètre)consisteàinviterl'utilisateuràréamorcerlesystèmeàlande l'installation.Unréamorçageestrequispourqueleprogrammefonctionnecorrectement.Leréamorçage peutêtredifféréàl'aided'unparamètredelignedecommandepouruneinstallationenmodesilencieux commeexpliquédanslasectionprécédenteetlasectiond'exemples.
Pourlemoduled'installationdeClientSecuritySolution,uneinstallationadministrativedécomprimeles chierssourcesd'installationdansunemplacementspécié.
Pourexécuteruneinstallationadministrative,exécutezlemoduled'installationdanslalignedecommande avecleparamètre/a:
setup.exe/a
Uneinstallationadministrativeprésenteunassistantquiinvitel'administrateuràindiquerlesemplacements dedécompressiondeschiersd'installation.L'emplacementd'extractionpardéfautestC:\.Vouspouvez choisirunnouvelemplacementautrequel'unitéC:\(parexempleuneunitélocaleouuneunitéréseau mappée).Vouspouvezégalementcréerdenouveauxrépertoiresaucoursdecetteétape.
Pourexécuteruneinstallationadministrativeenmodesilencieux,vouspouvezdénirlapropriétépublique TARGETDIRenlignedecommandepourindiquerl'emplacementd'extraction:
setup.exe/s/v"/qnTARGETDIR=F:\TVTRR"
ou
msiexec.exe/i"ClientSecurity-PasswordManager.msi"/qnTARGERDIR=F:\TVTRR
Chapitre2.Installation9
Remarque:Sivousn'utilisezpaslatoutedernièreversiondeWindowsInstaller,lechiersetup.exe estcongurépourmettreàjourlemoteurWindowsInstallerversladernièreversion.Lamiseàjourdu moteurWindowsInstallervousinviteàredémarrerlesystèmemêmedansuneinstallationparextraction administrative.Pourempêcherunredémarragedanscettesituation,vouspouvezutiliserlapropriété REBOOTdeWindowsInstaller.SiWindowsInstallerestladernièreversion,lechiersetup.exenetente pasdemettreàjourlemoteurWindowsInstaller.
Unefoisl'installationadministrativeterminée,l'administrateurpeutpersonnaliserleschierssource,par exempleajouterdesparamètresauregistre.
Lesparamètresetlesdescriptionsci-dessoussontdécritsdansladocumentationd'aidepourles développeursInstallShield.Lesparamètresquines'appliquentpasauxprojetsBasicMSIontétéenlevés.
Tableau2.Paramètres
ParamètreDescription
/a:InstallationadministrativeLecommutateur/ainvitesetup.exeàeffectuerune
installationadministrative.Uneinstallationadministrative copie(etdécompresse)leschiersdedonnéesdansun répertoiredéniparl'utilisateur,maisnecréepasde raccourcis,n'enregistrepaslesserveursCOMetnecrée pasdejournaldedésinstallation.
/x:ModedésinstallationLeparamètre/xforcesetup.exeàdésinstallerunproduit
précédemmentinstallé.
/s:ModesilencieuxLacommandesetup.exe/ssupprimelafenêtre
d'initialisationsetup.exepourunprogrammed'installation BasicMSImaisnelitpasdechierderéponses.Les projetsBasicMSInecréentpasoun'utilisentpasde chierderéponsespourlesinstallationsenmode silencieux.PourexécuterunproduitBasicMSIenmode silencieux,exécutezlalignedecommandesetup.exe/s /v/qn.(Pourdénirlesvaleursdepropriétéspubliques pouruneinstallationdeBasicMSIenmodesilencieux, vouspouvezutiliserunecommandetellequesetup.exe/s /v"/qnINSTALLDIR=D:\Destination".)
/v:TransmetdesargumentsàMsiexecLeparamètre/vpermetdetransmettredesparamètres
delignedecommandeetdesvaleursdepropriétés publiquesàmsiexe.exe.
/L:Langued'installationLesutilisateurspeuventseservirducommutateur/Lavec
l'IDdelanguedécimalpourindiquerlalangueutiliséepar unprogrammed'installationmultilingue.Parexemple,la commandepourdénirl'allemandestsetup.exe/L1031.
/w:AttentePourunprojetBasicMSI,l'argument/wforcesetup.exe
àattendrelandel'installationavantdesefermer.Si vousutilisezl'option/wdansunchierdetraitementpar lots,vouspouvezfaireprécéderl'ensembledel'argument delignedecommandedesetup.exepar/WAIT.Voiciun exempleformatécorrectementdecettesyntaxe:
start/WAITsetup.exe/w

Utilisationdemsiexec.exe

Poureffectuerl'installationàpartirduchiersourcedécompresséunefoislespersonnalisationsterminées, l'utilisateurappellel'applicationmsiexec.exedepuislalignedecommande,entransmettantlenomduchier *.MSIdécompressé.L'applicationmsiexec.exeestleprogrammeexécutabledeWindowsInstallerquiest utilisépourinterpréterlesmodulesd'installationetinstallerlesproduitssurlessystèmescible.
10GuidededéploiementClientSecuritySolution8.3
msiexec/i"C:\WindowsF older\Proles\UserName\ Personal\MySetups\projectname\productconguration\releasename\ DiskImages\Disk1\productname.msi"
Remarque:Entrezlacommandeci-dessussuruneseuleligne,sansespaceaprèslesbarresobliques.
Letableauci-dessouscontientlesparamètresdelignedecommandedisponiblesquipeuventêtreutilisés aveclechiermsiexec.exeetdesexemplesd'utilisation.
Tableau3.Paramètresdelignedecommande
ParamètreDescription
/Imoduleoucodeproduit
/amoduleL'option/apermetauxutilisateursquidisposentdesdroitsd'administrateur
/xmoduleoucodeproduitL'option/xdésinstalleunproduit.
/L[i|w|e|a|r|u|c|m|p|v|+]chier_journal
/q[n|b|r|f]
Utilisezlasyntaxesuivantepourinstallerleproduit:
Othello:msiexec/i"C:\WindowsFolder\Proles\ UserName\Personal\MySetups \Othello\TrialVersion\ Release\DiskImages\Disk1\ OthelloBeta.msi"
Lecodeproduitfaitréférenceàl'identicateurglobalunique(GUID)quiest automatiquementgénérédanslapropriétéproductcodedelavuedesprojets devotreproduit.
d'installerunproduitsurleréseau.
Uneinstallationavecl'option/Lindiquelechemind'accèsduchier journal.Lesindicateurssuivantsdésignentlesinformationsquidoiventêtre consignéesdanslechierjournal:
•iconsignelesmessagesd'état.
•wconsignelesmessagesd'avertissementnoncritique.
•econsignetouslesmessagesd'erreur.
•aconsignelecommencementdesséquencesd'actions.
•rconsignelesenregistrementsspéciquesàuneaction.
•uconsignelesdemandesutilisateur.
•cconsignelesparamètresinitiauxdel'interfaceutilisateur.
•mconsignelesmessagesdesaturationdemémoire.
•pconsignelesparamètresdeterminal.
•vconsignelesparamètresdesortieenmodeprolixe.
•+faitunajoutàunchierexistant.
•*estuncaractèregénériquequivouspermetdeconsignertoutesles informations(àl'exclusiondesparamètresdesortieenmodeprolixe).
L'option/qestutiliséepourdénirleniveaudel'interfaceutilisateur conjointementaveclesindicateurssuivants:
•qouqnnecréeaucuneinterfaceutilisateur.
•qbcréeuneinterfaceutilisateurdebase.
Lesparamètresd'interfaceutilisateursuivantsafchentuneboîtededialogue modaleàlandel'installation:
•qrafcheuneinterfaceutilisateurréduite.
•qfafcheuneinterfaceutilisateurcomplète.
•qn+n'afcheaucuneinterfaceutilisateur.
•qb+afcheuneinterfaceutilisateurdebase.
/?ou/hCesdeuxcommandesafchentlesinformationsdecopyrightduprogramme
d'installationWindows.
Chapitre2.Installation11
Tableau3.Paramètresdelignedecommande(suite)
ParamètreDescription
TRANSFORMSLeparamètredelignedecommandeTRANSFORMSindiqueles
transformationsquevousvoulezappliqueràvotremoduledebase.
msiexec/i"C:\WindowsF older\ Proles\UserName\Personal \MySetups\ YourProjectName\TrialVersion\ MyRelease-1 \DiskImages\Disk1\ ProductName.msi"TRANSFORMS="NewTransf orm1.mst"
Vouspouvezséparerplusieurstransformationsparunpoint-virgule.N'utilisez pasdepoint-virguledanslenomdelatransformationcarleservicedu programmed'installationWindowsrisquedel'interpréterincorrectement.
PropriétésTouteslespropriétéspubliquespeuventêtredéniesoumodiéesàpartirde
lalignedecommande.Lespropriétéspubliquessedistinguentdespropriétés privéesetsontindiquéesenmajuscules.Parexemple,COMPANYNAME estunepropriétépublique.
Pourdénirunepropriétéàpartirdelalignedecommande,utilisezlasyntaxe suivante:
PROPERTY=VALUE
Parexemple,pourmodierlavaleurdelapropriétéCOMPANYNAME,vous devezentrercequisuit:
msiexec/i"C:\WindowsF older\ Proles\UserName\Personal\ MySetups\YourProjectName\ TrialVersion\MyRelease-1\ DiskImages\Disk1\ProductName.msi" COMPANYNAME="InstallShield"

Propriétéspubliquesstandardduprogrammed'installationWindows

Leprogrammed'installationWindowsestdotéd'unensembledepropriétéspubliquesstandardintégrées pouvantêtredéniesdanslalignedecommandepourindiqueruncomportementdonnélorsdel'installation. Letableauci-aprèsfournitlespropriétéspubliqueslespluscourantesutiliséesdanslalignedecommande.
Pourplusd'informations,rendez-voussurlesiteWebdeMicrosoftàl'adressesuivante: http://msdn2.microsoft.com/en-us/library/aa367437.aspx
Letableauci-dessouscontientlespropriétéscourantesduprogrammed'installationWindows:
Tableau4.Propriétésduprogrammed'installationWindows
PropriétéDescription
TARGETDIRIndiquelerépertoirededestinationprincipalpour
l'installation.Lorsd'uneinstallationadministrative,cette propriétécorrespondàl'emplacementdecopiedu
moduled'installation. ARPAUTHORIZEDCDFPREFIXAdresseURLducanaldemiseàjourpourl'application. ARPCOMMENTSFournitdescommentairespourAjout/Suppressionde
programmessurlePanneaudeconguration. ARPCONTACTFournitdescontactspourAjout/Suppressionde
programmessurlePanneaudeconguration.
12GuidededéploiementClientSecuritySolution8.3
Tableau4.Propriétésduprogrammed'installationWindows(suite)
PropriétéDescription
ARPINSTALLLOCA TIONNomqualiécompletduchemind'accèsversledossier
principaldel'application.
ARPNOMODIFYDésactivelafonctionnalitépermettantdemodierle
produit.
ARPNOREMOVEDésactivelafonctionnalitépermettantdesupprimerle
produit.
ARPNOREPAIRDésactiveleboutonderéparationdansl'assistant
Programs. ARPPRODUCTICONIndiquel'icôneprincipalepourlemoduled'installation. ARPREADME
ARPSIZETailleestiméedel'applicationenkilo-octets. ARPSYSTEMCOMPONENTEmpêchel'afchagedel'applicationdanslaliste
ARPURLINFOABOUT ARPURLUPDATEINFOAdresseURLpourlesinformationsdemiseàjourd'une
REBOOTLapropriétéREBOOTsupprimecertainesinvitespour
FournitunchierReadMepourAjout/Suppressionde
programmessurlePanneaudeconguration.
Ajout/Suppressiondeprogrammes.
AdresseURLdelapaged'accueild'uneapplication.
application.
unréamorçagedusystème.Unadministrateurutilise
généralementcettepropriétéavecuneséried'installations
pourinstallersimultanémentplusieursproduitsavec
unseulréamorçageàl'issuedel'installation.Indiquez
REBOOT=«R»pourdésactivertoutréamorçageàlan
del'installation.

Fichierjournald'installation

Lechierjournald'installationdeClientSecuritySolutionestappelécssinstall83xx.logetestcréédansle répertoire%temp%sileprogrammed'installationestlancéparlechiersetup.exe(cliquezdeuxfoissurle chierinstall.exe,exécutezlechierexécutablesansparamètresouextrayezlemoduleMSIetexécutez lechiersetup.exe).Cechiercontientdesmessagesdejournalpouvantêtreutiliséspourdéboguerles incidentsd'installation.Lechierjournalinclutlesactivitéseffectuéesparl'appletd'ajout/suppression danslePanneaudeconguration.Lechierjournaln'estpascréélorsquevousexécutezlechiersetup.exe directementàpartirdumoduleMSI.PourcréerunchierjournalpourtouteslesactionsMSI,vouspouvez activerlesstratégiesdeconsignationdansleregistre.Pourcefaire,créezlavaleursuivante:
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] "Logging"="voicewarmup"
Exemplesd'installation
Letableausuivantmontredesexemplesd'installationàl'aideduchiersetup.exe.
Tableau5.Exemplesd'installationutilisantlechiersetup.exe
DescriptionExemple
Installationenmodesilencieuxsansréamorçage Installationadministrative
Installationsilencieuseenmodeadministrationindiquant l'emplacementd'extractionpourlelogicielClientSecurity Software.
setup.exe/s/v”/qnREBOOT=”R””
setup.exe/a
setup.exe/a/s/v”/qnTARGETDIR=”F:
\CSS83””
Chapitre2.Installation13
Tableau5.Exemplesd'installationutilisantlechiersetup.exe(suite)
DescriptionExemple
Désinstallationenmodesilencieux.
Installationsansredémarrage(créezunjournal d'installationdansunsous-répertoiretemporairepour ClientSecuritySoftware.)
InstallationsansinstallerledomainePredesktop
setup.exe/s/x/v/qn
setup.exe/v”REBOOT=”R”/L*v%temp% \cssinstall83.log”
setup.exe/vPDA=0
Letableauci-dessouscontientdesexemplesd'installationavecClientSecuritySolution.msi:
Tableau6.Exemplesd'installationavecClientSecurity-PasswordManager.msi
DescriptionExemple
Installation
Installationenmodesilencieux sansréamorçage
Désinstallationenmode silencieux
msiexec/i“C:\CSS83\ClientSecurity Solution-PasswordManager .msi”
msiexec/i“C:\CSS83\ClientSecurity Solution-PasswordManager.msi”/qnREBOOT=”R”
msiexec/x“C:\CSS83\ClientSecurity Solution-PasswordManager.msi”/qn

InstallationdeThinkVantageFingerprintSoftware

Lechiersetup.exeduprogrammeThinkVantageFingerprintSoftwarepeutêtreinstalléparlesméthodes suivantes:

Installationenmodesilencieux

PourinstallerThinkVantageFingerprintSoftwareenmodesilencieux,exécutezlechiersetup.exelesitué danslerépertoired'installationsurl'unitédeCD-ROM.
Utilisezlasyntaxesuivante:
Setup.exePROPERTY=VALUE/q/i
oùqcorrespondàl'installationenmodesilencieuxetiàl'installation.Parexemple:
setup.exeINSTALLDIR="C:\ProgramFiles\ThinkVantagengerprintsof tware"/q/i
Pourdésinstallerlelogiciel,utilisezleparamètre/xàlaplacede/i:
setup.exeINSTALLDIR="C:\ProgramFiles\ThinkVantagengerprintsof tware"/q/x

Options

Lesoptionsci-dessoussontprisesenchargeparThinkVantageFingerprintSoftware.
Tableau7.OptionsprisesenchargeparThinkVantageFingerprintSoftware
ParamètreDescription
CTRLONCEAfchelecentredecontrôleuneseulefois.Lavaleurpar
défautest0.
CTLCNTR•0=nepermetpasd'afcherleCentredecontrôleau
démarrage.
•1=permetd'afcherlecentredecontrôleau démarrage.
Lavaleurpardéfautest1.
14GuidededéploiementClientSecuritySolution8.3
Tableau7.OptionsprisesenchargeparThinkVantageFingerprintSoftware(suite)
ParamètreDescription
DEFFUS•0=n'utilisepaslesparamètresFastUserSwitching
(FUS).
•1=utiliselesparamètresFUS. Lavaleurpardéfautest0.
DEVICEBIOCongureletypedepériphériqueutiliséparl'utilisateur.
•DEVICEBIO=#3-utiliseledétecteurdepérphérique
poursauvegarderlepremierenregistrement.
•DEVICEBIO=#0-utilisel'unitédedisquedurpour
sauvegarderl'enregistrement.
•DEVICEBIO=#1-utiliseledétecteurassociépour
sauvegarderl'enregistrement. INSTALLDIRDénitlerépertoired'installation. OEM
•0=installeaveclapriseenchargedespasseportsde serveuroul'authenticationdeserveur.
•1=installeenmodeordinateurautonomeuniquement aveclespasseportslocaux.
Lavaleurpardéfautest1.
PASSPORTDénitletypedepasseportpardéfaut.
•1=passeportlocal
•2=passeportdeserveur
Lavaleurpardéfautest1.
POSSSO
•1=activelaconnexionunique.
•0=désactivelaconnexionunique.
Lavaleurpardéfautest1.
PSLOGON•0=désactivelaconnexionparempreintedigitale.
•1=activelaconnexionparempreintedigitale.
Lavaleurpardéfautest0.
REBOOTSupprimetouslesredémarragesycomprislesinvites
lorsdel'installationendénissantlavaleursurReally Suppress.
SECURITY•1=installeenmodesécurisé.
•0=installeenmodepratique.
SHORTCUT•0=n'afchepasleraccourciduCentredecontrôle
audémarrage.
•1=afcheleraccourciduCentredecontrôleau démarrage.
Lavaleurpardéfautest0.
SHORTCUTFOLDERDénitlenompardéfautdudossierderaccourcisdansle
menuDémarrer.
Droitsd'utilisateurnonadministrateur
Chapitre2.Installation15
Tableau7.OptionsprisesenchargeparThinkVantageFingerprintSoftware(suite)
ParamètreDescription
DELETESELF
ENROLLSELF
ENROLLTBX•1=activelasélectiond'uneempreintedigitalepourla
IMPORTSELF•1=activel'importation/exportationdesempreintes
REVEALPWD
Protectioncontrelehameçonnage(paramètresdeverrouillage) LOCKOUT
LOCKOUTCOUNTNombremaximaldetentatives.Lavaleurpardéfautest5
LOCKOUTTIMELedélaid'expirationestexpriméenmillisecondes.La
Expirationdel'authentication(paramètresd'inactivité) GUITMENABLE•1=activeledélaid'expirationdel'authenticationen
GUITMTIMEDuréedel'expirationdel'authentication.Lavaleurpar
•1=activelasuppressiondesempreintesdigitales.
•0=désactivelasuppressiondesempreintesdigitales. Lavaleurpardéfautest1.
•1=activel'enregistrementdesempreintesdigitales.
•0=désactivel'enregistrementdesempreintes digitales.
Lavaleurpardéfautest1.
misesoustension.
•0=désactivelasélectiond'uneempreintedigitalepour lamisesoustension.
Lavaleurpardéfautest1.
digitalespourlesutilisateursquinesontpas administrateurs.
•0=désactivel'importation/exportationdesempreintes digitalespourlesutilisateursquinesontpas administrateurs.
Lavaleurpardéfautest1.
•1=activelarécupérationdumotdepasseWindows.
•0=désactivelarécupérationdumotdepasse Windows.
Lavaleurpardéfautest1.
•1=activelaprotectioncontrelehameçonnage.
•0=désactivelaprotectioncontrelehameçonnage.
Lavaleurpardéfautest1.
etvouspouvezutilisern'importequellevaleur.
valeurpardéfautest120000etvouspouvezutiliser n'importequellevaleurjusqu'à360000.
millisecondes.
•0=désactiveledélaid'expirationdel'authentication enmillisecondes.
Lavaleurpardéfautest1.
défautest120000etvouspouvezutilisern'importe quellevaleurjusqu'à360000.
16GuidededéploiementClientSecuritySolution8.3
Tableau7.OptionsprisesenchargeparThinkVantageFingerprintSoftware(suite)
ParamètreDescription
PWDLOGON
NOPOPPAPCHECK•0=n'afchepaslesoptionsdesécuritéàlamisesous
CSS•0=considèrequeClientSecuritySolutionn'apasété
•1=activelaconnexionparempreintesdigitales
uniquementpourlesutilisateurquinesontpas administrateurs.
•0=désactivelaconnexionparempreintesdigitales
uniquementpourlesutilisateursquinesontpas administrateurs.
Lavaleurpardéfautest1.
tension.
•1=afchetoujourslesoptionsdesécuritéàlamise
soustension.
Lavaleurpardéfautest0.
installé.
•1=considèrequeClientSecuritySolutionaétéinstallé. Lavaleurpardéfautest0.
Remarque:Touteslesoptionssontfacultatives.
PourdésinstallerFingerprintSoftware,utilisezleparamètre/xàlaplacede/i.Lorsdeladésinstallation standarddel'interfaceutilisateur,lesboîtesdedialoguepermettantdechoisirsilespasseportsexistants doiventêtresupprimésetsilafonctiondesécuritéd'amorçagedoitêtredésactivées'afchent.Pourla désinstallationenmodesilencieux,vouspouvezutiliserleparamètreDELPAS.DénissezlavaleurDELPAS sur«1»poursupprimerlespasseportsexistants.Sicesoptionsnesontpasdénies,ousiellespossèdent uneautrevaleur,lespasseportssontconservéssurl'ordinateuretlasécuritéd'amorçageresteactivée.Sila sécuritéd'amorçageresteactivée,vousnepouvezpasmodierlesempreintesdigitalesdanslamémoirede lasécuritéd'amorçagesaufsivousréinstallezleproduit.Parexemple,sivousexécutezlasyntaxe:
msiexec/iSetup.msiDELPAS="1"/q
leproduitestdésinstallé,touslespasseportsexistantssontsupprimésetlasécuritéd'amorçageest conservéesurl'ordinateur.

InstallationdeLenovoFingerprintSoftware

Lechiersetup32.exeduprogrammeLenovoFingerprintSoftwarepeutêtreinstalléenutilisantlaprocédure suivante.

Installationenmodesilencieux

PourinstallerFingerprintSoftwareenmodesilencieux,exécutezlechiersetup32.exequisetrouvedansle répertoired'installationsurleCD-ROM.
Utilisezlasyntaxesuivante:
setup32.exe/s/v"/qnREBOOT="R""
Pourdésinstallerlelogiciel,utilisezlasyntaxesuivante:
setup32.exe/x/s/v"/qnREBOOT="R""

Options

Lesoptionsci-dessoussontprisesenchargeparLenovoFingerprintSoftware.
Chapitre2.Installation17
Tableau8.OptionsprisesenchargeparLenovoFingerprintSoftware
ParamètreDescription
SHORTCUTAfcheleraccourciduCentredecontrôledanslemenu
Démarrer.
•0=n'afchepasleraccourciduCentredecontrôle.
•1=afcheleraccourciduCentredecontrôle.
Lavaleurpardéfautest0.
SWAUTOSTART•0=nelancepasFingerprintSoftwareaudémarrage.
•1=lanceFingerprintSoftwareaudémarrage.
Lavaleurpardéfautest1.
SWFPLOGON
SWPOPP•0=désactivelaprotectionparmotdepasseàlamise
SWSSO•0=désactivelafonctiondeconnexionunique.
SWALLOWENROLL•0=désactivel'enregistrementdesempreintesdigitales
SWALLOWDELETE•0=désactivelasuppressiondesempreintesdigitales
SWALLOWIMEXPORT•0=désactivel'importation/exportationdesempreintes
•0=n'utilisepaslaconnexionparempreintesdigitales (GINAouFournisseurdedonnéesd'identication).
•1=utiliselaconnexionparempreintesdigitales(GINA ouFournisseurdedonnéesd'identication).
Lavaleurpardéfautest0.
soustension.
•1=activelaprotectionparmotdepasseàlamise soustension.
Lavaleurpardéfautest0.
•1=activelafonctiondeconnexionunique.
Lavaleurpardéfautest0.
pourlesutilisateursquinesontpasadministrateurs.
•1=activel'enregistrementdesempreintesdigitales pourlesutilisateursquinesontpasadministrateurs.
Lavaleurpardéfautest1.
pourlesutilisateursquinesontpasadministrateurs.
•1=activelasuppressiondesempreintesdigitalespour lesutilisateursquinesontpasadministrateurs.
Lavaleurpardéfautest1.
digitalespourlesutilisateursquinesontpas administrateurs.
•1=activel'importation/exportationdesempreintes digitalespourlesutilisateursquinesontpas administrateurs.
Lavaleurpardéfautest1.
18GuidededéploiementClientSecuritySolution8.3
Tableau8.OptionsprisesenchargeparLenovoFingerprintSoftware(suite)
ParamètreDescription
SWALLOWSELECT•0=désactivelasélectiondel'utilisationdesempreintes
digitalespourremplacerlemotdepasseàlamise soustensionpourlesutilisateursquinesontpas administrateurs.
•1=activelasélectiondel'utilisationdesempreintes
digitalespourremplacerlemotdepasseàlamise soustensionpourlesutilisateursquinesontpas administrateurs.
Lavaleurpardéfautest1.
SWALLOWPWRECOVERY•0=désactivelarécupérationdumotdepasse
Windows.
•1=activelarécupérationdumotdepasseWindows. Lavaleurpardéfautest1.
SWANTIHAMMER•0=désactivelaprotectioncontrelehameçonnage.
•1=activelaprotectioncontrelehameçonnage. Lavaleurpardéfautest1.
SWANTIHAMMERRETRIES
Indiquelenombremaximaledetentatives.Lavaleurpar défautest5. Remarque:Ceparamètrenefonctionnequelorsque SWANTIHAMMERestactivé.
SWANTIHAMMERTIMEOUTIndiqueladuréed'expiration.Lavaleurpardéfautest120.
Remarque:Ceparamètrenefonctionnequelorsque SWANTIHAMMERestactivé.
SWAUTHTIMEOUT•0=désactiveledélaid'expirationdel'authentication.
•1=activeledélaid'expirationdel'authentication. Lavaleurpardéfautest1.
SWAUTHTIMEOUTVALUEIndiqueladuréed'inactivité(ensecondes)avant
l'expirationdel'authentication.Lavaleurpardéfautest
120. Remarque:Ceparamètrenefonctionnequelorsque SWAUTHTIMEOUTestactivé.
SWNONADMIFPLOGONONLY•0=désactivelaconnexionparempreintesdigitales
uniquementpourlesutilisateursquinesontpas administrateurs.
•1=activelaconnexionparempreintesdigitales
uniquementpourlesutilisateurquinesontpas administrateurs.
Lavaleurpardéfautest1.
SWSHOWPOWERON•0=n'afchepaslesoptionsdesécuritéàlamisesous
tension.
•1=afchetoujourslesoptionsdesécuritéàlamise
soustension.
Lavaleurpardéfautest0.
CSS•0=considèrequeClientSecuritySolutionn'apasété
installé.
•1=considèrequeClientSecuritySolutionaétéinstallé. Lavaleurpardéfautest0.
Chapitre2.Installation19

SystemsManagementServer

LesinstallationsdeSMS(SystemsManagementServer)sontégalementprisesencharge.Ouvrezlaconsole d'administrationSMS.Créezunnouveaumoduleetdénissezsespropriétésdefaçonstandard.Ouvrez lemoduleetsélectionnezNouveauprogrammedansProgrammes.Surlalignedecommande,entrezla commandesuivante:
Setup.exe/myourmiflename/q/i
Vouspouvezutiliserlesmêmesparamètresquepourl'installationenmodesilencieux.
Unréamorçageanormalementlieuàlanduprocessusd'installation.Sivoussouhaitezsupprimertousles réamorçageslorsdel'installationeteffectuerunréamorçageultérieurement(aprèsl'installationd'autres programmes),ajoutezREBOOT=«ReallySuppress»àlalistedespropriétés.
20GuidededéploiementClientSecuritySolution8.3

Chapitre3.UtilisationdeClientSecuritySolution

Avantd'installerClientSecuritySolution,vousdevezprendreconnaissancedesfonctionsdepersonnalisation disponiblespourcecomposant.Leprésentchapitrecontientlesinformationsdepersonnalisationrelativesà ClientSecuritySolutionainsiquedesinformationssurlemoduleTPM(T rustedPlatformModule).Leprésent chapitreutiliselestermesdénisparleTCG(TrustedComputingGroup)concernantlemoduleTPM.Pour plusd'informationssurlemoduleTPM,reportez-vousausiteWebsuivant: http://www.trustedcomputinggroup.org/

UtilisationdumoduleTPM

LemoduleTPM(T rustedPlatformModule)estunprocesseurdesécuritéintégré(oupucedesécurité intégrée)conçupourfournirdesfonctionsdesécuritéauxlogicielsquil'utilisent.Leprocesseurdesécurité intégréestinstallésurlacartemèredusystèmeetcommuniqueviaunbusmatériel.Lessystèmesqui contiennentunmoduleTPMpeuventcréerdesclésdechiffrementetleschiffreranqu'ellesnepuissent êtredéchiffréesqueparlemoduleTPM.Cetteprocédureestsouventappeléeencapsulaged'unecléet permetdeprotégerlaclécontretoutedivulgation.Lorsqu'unsystèmecontientunmoduleTPM,laclé d'encapsulageprincipale,appeléecléSRK(StorageRootKey),eststockéedanslemoduleTPMlui-même. Ainsi,lapartieprivéedelaclén'estjamaisexposée.Leprocesseurdesécuritéintégrépeutégalement contenird'autresclésdestockage,desclésdesignature,desmotsdepasseetd'autrespetitesunitésde données.EnraisondelafaiblecapacitédumoduleTPM,lacléSRKestutiliséepourchiffrerlesautresclés nepouvantêtrestockéessurleprocesseur.LacléSRKnequittejamaisleprocesseurdesécuritéintégréet constituelabasedustockageprotégé.
L'utilisationduprocesseurdesécuritéestfacultativeetrequiertl'interventiond'unadministrateurClient SecuritySolution.Qu'ilsoitutiliséparunutilisateurindividuelouunserviceinformatiqueenentreprise,le moduleTPMdoitêtreinitialisé.Lesopérationsultérieurestellesquelapossibilitéderécupérersuiteàun incidentsurledisquedurousurunecartemèrederemplacementsontégalementlimitéesàl'administrateur ClientSecuritySolution.
Remarque:Sivousmodiezlemoded'authenticationettentezdedéverrouillerleprocesseurdesécurité, vousdevezvousdéconnecter,puisvousreconnecterentantqu'administrateurmaître.Vouspourrezalors déverrouillerleprocesseur.Vouspouvezégalementvousconnecterentantqu'utilisateursecondaireet continueràconvertirlemoded'authentication.Celasefaitautomatiquementlorsquelesecondutilisateur seconnecte.ClientSecuritySolutiondemandeausecondutilisateursonmotdepasseoumotdepasse composé.UnefoisqueClientSecuritySolutionaeffectuélamodication,lesecondutilisateurpeut procéderaudéverrouillageduprocesseur.

UtilisationdumoduleTPMavecWindows7

SiWindows7estactivéetquelemoduleTPM(T rustedPlatformModule)estdésactivé,vousdevez désactiverlafonctiondeconnexionWindowsavantdedésactiverlemoduleTPMdansleBIOSàl'aide delatoucheF1.Vouséviterezainsil'afchagedumessagedesécuritésuivant:Securitychiphasbeen deactivated,thelogonprocesscannotbeprotected.
Deplus,sivousmettezàniveaulesystèmed'exploitationd'unsystèmeclient,vousdevezeffacerlecontenu duprocesseurdesécuritépouréviterl'échecdel'enregistrementdeClientSecurity.Poureffacerle contenuduprocesseurdanslesystèmeBIOSF1,lesystèmedoitêtredémarréàpartird'unredémarrage. Vousnepourrezpaseffacerlecontenuduprocesseursivoustentezd'effectuerceprocessusaprèsun redémarrageautomatique.
©CopyrightLenovo2008,2011
21

GestiondeClientSecuritySolutionàclésdechiffrement

LestâchesdebasedeClientSecuritySolutionseregroupentautourdedeuxactivitésdedéploiement principales:l'affectationdel'administrateurCSS(commandeT akeOwnership)etl'enregistrement d'utilisateurs(commandeEnrollUser).Lorsdelapremièreexécutiondel'assistantdecongurationClient SecuritySolution,lesprocéduresTakeOwnershipetEnrollUsersonttoutesdeuxexécutéeslorsde l'initialisation.L'IDutilisateurWindowsspéciquequiaexécutél'assistantdecongurationClientSecurity Solutioncorrespondàl'administrateurClientSecuritySolutionetestinscritcommeutilisateuractif.Ilsera automatiquementdemandéàtoutautreutilisateurseconnectantausystèmedes'inscriredansClient SecuritySolution.
T akeOwnership UnseulIDutilisateuradministratifWindowsestaffectécommeadministrateurClientSecuritySolution exclusifpourlesystème.Lesfonctionsd'administrationdeClientSecuritySolutiondoiventêtre obligatoirementexécutéesviacetIDutilisateur.L'autorisationd'accèsaumoduleTPM(TrustedPlatform Module)estconstituésoitparlemotdepasseWindowsdel'utilisateur,soitparlemotdepassecomposé ClientSecurity.
Remarque:Leseulmoyenderécupérerunmotdepassesimpleoucomposédel'administrateur ClientSecuritySolutionencasd'oubliconsisteàdésinstallerlelogicielavecdesautorisationsWindows valablesouàeffacerleprocesseurdesécuritédansleBIOS.Quelquesoitlemoyenchoisi,lesdonnées protégéesvialesclésassociéesaumoduleTPMserontperdues.ClientSecuritySolutionfournit égalementunmécanismefacultatifquipermetlarécupérationpersonnelled'unmotdepasseoumotde passecomposéoubliébaséesurunequestion-réponse.L'administrateurClientSecuritySolutiondécide d'utiliserounonlafonction.
EnrollUser UnefoislaprocédureTakeOwnershipterminéeetl'administrateurClientSecuritySolutioncréé,uneclé debaseutilisateurpeutêtrecrééepourstockerlesdonnéesd'identicationdemanièresécuriséepour l'utilisateuractuellementconnectéàWindows.Cettefonctionpermetàplusieursutilisateursdes'inscrire dansClientSecuritySolutionetd'utiliserlemêmemoduleTPM.Lesclésd'utilisateursontprotégéesvia leprocesseurdesécurité,maissontstockéesnonpassurceprocesseurmaissurledisquedur.Cette fonctioncréeunespacesurledisquedurcommefacteurdelimitationdestockageaulieud'utiliserla mémoireréelleprésentedansleprocesseurdesécurité.Celapermetd'augmenterconsidérablement lenombred'utilisateurspouvantutiliserlemêmematérielsécurisé.

TakeOwnership

LasécuritédeClientSecuritySolutionestbaséesurlacléSRK(SystemRootKey).Cettecléasymétriquene pouvantfairel'objetd'aucunemigrationestgénéréeauseindel'environnementsécurisédumoduleTPMet n'estjamaisexposéedanslesystème.L'autorisationderéutiliserlacléprovientducompteadministrateur Windowslorsdel'exécutiondelacommandeTPM_T akeOwnership.Silesystèmeréutiliseunmotde passecomposéClientSecurity,c'estlemotdepassecomposéClientSecurityassociéàl'administrateur ClientSecuritySolutionquiconstituel'autorisationTPM.Autrement,c'estlemotdepasseWindowsde l'administrateurClientSecuritySolution.
OutrelacléSRKcrééepourlesystème,d'autrespairesdecléspeuventêtrecrééesetstockéesendehors dumoduleTPM,maisencapsuléesouprotégéesparlesclésmatérielles.Etantdonnéquelemodule TPM,quicomprendlacléSRK,estunmatérieletquelematérielpeutêtreendommagé,unmécanisme derécupérationestnécessairepourêtresûrqu'unendommagementdusystèmen'empêcherapasla récupérationdesdonnées.
Lorsqu'unerécupérationdusystèmeestnécessaire,uneclédebasesystèmeestcréée.Cettecléde stockageasymétriquepermetàl'administrateurClientSecuritySolutionderécupérerd'unepermutationde cartemèreoud'unemigrationplaniéeversunautresystème.Pourprotégerlaclédebasesystèmemais luipermettrederesteraccessibledurantlefonctionnementnormaldusystèmeoularécupération,deux
22GuidededéploiementClientSecuritySolution8.3
Loading...
+ 64 hidden pages