Lenovo ThinkVantage Client Security Solution 8.3 Deployment Guide [fr]

Guidededéploiement ClientSecuritySolution8.3

Miseàjour:Décembre2011

Remarque:Avantd'utiliserleprésentdocumentetleproduitassocié,prenezconnaissancedes informationsgénéralesgurantàl'AnnexeE«Remarques»àlapage81.

Quatrièmeédition(Décembre2011)

©CopyrightLenovo2008,2011.

REMARQUESURLESDROITSLIMITÉSETRESTREINTS:silesdonnéesouleslogicielssontfournisconformémentà uncontratGeneralServicesAdministration(«GSA»),l'utilisation,lareproductionetladivulgationsontsoumisesaux restrictionsstipuléesdanslecontratnºGS-35F-05925.

Tabledesmatières

Préface................iii

Chapitre1.Présentation........1

ClientSecuritySolution............1

MotdepassecomposéClientSecurity

Solution................2

RécupérationdesmotsdepasseClient

Security................2

ClientSecurityPasswordManager......2

SecurityAdvisor.............3

AssistantCerticateTransfer........4

Réinitialisationdesmotsdepassematériel...4 Priseenchargedessystèmessansmodule

TPM..................4

Logicieldelectured'empreintesdigitales.....4

Chapitre2.Installation.........7

ClientSecuritySolution............7

Congurationrequisepourl'installation....7

Propriétéspubliquespersonnalisées.....7

PriseenchargedumoduleTrustedPlatform

Module.................8

Procéduresd'installationetparamètresde

lignedecommande............9

Utilisationdemsiexec.exe........10

Propriétéspubliquesstandardduprogramme

d'installationWindows..........12

Fichierjournald'installation........13

InstallationdeThinkVantageFingerprint

Software.................14

Installationenmodesilencieux......14

Options................14

InstallationdeLenovoFingerprintSoftware...17

Installationenmodesilencieux......17

Options................17

SystemsManagementServer.........20

Chapitre3.UtilisationdeClient

SecuritySolution...........21

UtilisationdumoduleTPM..........21

UtilisationdumoduleTPMavecWindows7.21

GestiondeClientSecuritySolutionàclésde

chiffrement................22

TakeOwnership............22

EnrollUser..............23

Emulationdelogiciel..........24

Remplacementdecartemère.......25

UtilitairedeverrouillageEFS.......27

UtilisationduschémaXML..........28

Exemples...............29

UtilisationdejetonsSecurIDRSA.......35

InstallationdujetondulogicielRSASecurID.35

Congurationrequise..........35

Congurationdesoptionsd'accèsdelacarte

àpuce................36

InstallationmanuelledujetondulogicielRSA

SecurID...............36

Priseencharged'ActiveDirectory.....36

Paramètresetrèglespourl'authenticationdu

lecteurd'empreintesdigitales.........37

Optiondecontournementdesempreintes

digitalesappliquée...........37

Résultatdelalectured'empreintesdigitales.37

Outilsdelignedecommande.........37

SecurityAdvisor............37

AssistantdecongurationClientSecurity

Solution...............39

Outildechiffrementoudedéchiffrementdu

chierdedéploiement..........39

Outildetraitementduchierdedéploiement.40

TPMENABLE.EXE...........40

Outildetransfertdecerticat.......40

ActivationoudésactivationdumoduleTPM.41

Priseencharged'ActiveDirectory.......43

FichiersADM(AdministrativeTemplateFile).44

Paramètresdelastratégiedegroupe....45

Chapitre4.Utilisationde ThinkVantageFingerprintSoftware.51

OutilManagementConsole..........51

Commandesspéciquesàl'utilisateur...51 Commandesdesparamètresgénéraux...52

Modesécuriséetmodepratique.......53

Modesécurisé-Administrateur......53

Modesécurisé-Utilisateuravecrestriction..54

Modepratique-Administrateur......54

Modepratique-Utilisateuravecrestriction..55

Paramètrescongurables........56

FingerprintSoftwareetNovellNetwareClient..57

Authentication............57

ServiceThinkVantageFingerprintSoftware...58

Chapitre5.UtilisationdeLenovo

FingerprintSoftware.........59

OutilManagementConsole..........59

ServiceLenovoFingerprintSoftware......59

©CopyrightLenovo2008,2011

Priseencharged'ActiveDirectorypourLenovo

FingerprintSoftware............59

Chapitre6.Pratiques

recommandées............61

Exemplesdedéploiementpourl'installationde

ClientSecuritySolution...........61

Scénario1..............61

Scénario2..............63

PassageauxmodesClientSecuritySolution...66 Déploiementd'ActiveDirectoryauniveaude

l'entreprise................66

InstallationautonomepourlesCDouleschiers

script..................66

SystemUpdate..............66

SystemMigrationAssistant..........66

Générationd'uncerticatàl'aidedelagénération

declésdansTPM.............66

Congurationminimalerequise:......67

Demandedecerticatàpartirduserveur..67 UtilisationdeclaviersUSBàempreintesdigitales

avecdesmodèlesd'ordinateurportableThinkPad 2008(R400/R500/T400/T500/W500/X200/X301).68

ConnexionàWindows7.........68

ClientSecuritySolutionetPassword

Manager...............69

Authenticationavantledémarrage-avec

uneempreintedigitaleàlaplacedemotsde

passeBIOS..............69

AnnexeA.Remarquesconcernant l'utilisationduclavierLenovo

Fingerprintaveccertainsordinateurs portablesThinkPadRemarques concernantl'utilisationduclavier LenovoFingerprintaveccertains

ThinkPad...............71

Congurationetdénition..........71

Pre-desktopauthentication..........71

ConnexionàWindows...........72

AuthenticationavecClientSecuritySolution..72

AnnexeB.Synchronisationdumotde passedansClientSecuritySolution aprèslaréinitialisationdumotde

passeWindows............75

AnnexeC.UtilisationdeClient SecuritySolutionsurunsystème d'exploitationWindowsréinstallé..77

AnnexeD.Utilisationdumodule TPMsurlesordinateursportables

ThinkPad...............79

CommentdéployerBitLockeràdistance?....79

Commentfonctionneleverrouillagedumodule

TPM?..................79

AnnexeE.Remarques.........81

Marques.................82

Glossaire................lxxxiii

iiGuidededéploiementClientSecuritySolution8.3

Préface

Lesinformationsfourniesdansleprésentdocumentpermettentd'assurerlesupportdesordinateursLenovo surlesquelslesprogrammesThinkVantage

ClientSecuritySolutionetFingerprintSoftwaresontinstallés.

ClientSecuritySolutionetFingerprintSoftwareontpourobjectifdeprotégervossystèmesensécurisantles donnéesclientetdedétournertoutetentativedeviolationdesécurité.

LeGuidededéploiementClientSecuritySolutioncontientlesinformationsnécessairesàl'installation deClientSecuritySolutionetdeFingerprintSoftwaresurunouplusieursordinateurs,ainsiquedes instructionsetdesscénariosdesoutilsd'administrationpersonnalisablespourprendreenchargeles stratégiesinformatiquesetd'entreprise.

Leprésentguideestdestinéauxadministrateursinformatiquesetauxpersonneschargéesdudéploiement deThinkVantageClientSecuritySolutionetdeFingerprintSoftwaresurdesordinateursauseinde l'entreprise.Encasdesuggestionsoucommentaires,prenezcontactavecvotrepartenairecommercial Lenovo.Cedocumentestmisàjourrégulièrement,etvouspouvezconsulterlaversionlaplusrécentesurle siteWebdeLenovoàl'adressesuivante: http://www.lenovo.com/support

Pourplusd'informationssurl'utilisationdesdiverscomposantsdanslesespacesdetravailClientSecurity SolutionetFingerprintSoftware,reportez-vousausystèmed'aideenligneetauxguidesd'utilisationfournis avecClientSecuritySolutionetFingerprintSoftware.

©CopyrightLenovo2008,2011

iii

ivGuidededéploiementClientSecuritySolution8.3

Chapitre1.Présentation

LeprésentchapitreproposeuneprésentationdeClientSecuritySolutionetdeFingerprintSoftware.Les technologiesprésentéesdansceguidededéploiementpeuventaiderlesinformaticiensdirectementet indirectement,carellespermettentderendrelesordinateurspersonnelsplusconviviauxetplusautonomes. Enoutre,ellesfournissentdesoutilspuissantsquifacilitentetsimplientlesdéploiements.Grâceà ThinkVantageTechnologies,lesinformaticienspassentmoinsdetempsàrésoudredesincidentssurdes ordinateursetconsacrentplusdetempsàleursproprestâches.

ClientSecuritySolution

ClientSecuritySolutionapourbutdevousaideràprotégervotreordinateurcommeunactif,vosdonnées condentiellesetlesconnexionsréseaudevotreordinateur.PourlessystèmesLenovoquicontiennent unmoduleTPM(T rustedPlatformModule)conformeauTGC(TrustedComputingGroup),lasécuritédu systèmemiseenœuvreparlelogicielClientSecuritySolutionestbaséesurlematériel.Silesystèmene contientpasdeprocesseurdesécuritéintégré(oupucedesécuritéintégrée),ClientSecuritySolutionutilise unlogicielbasésurdesclésdechiffrementpourlasécuritédusystème.

LesfonctionsdeClientSecuritySolution8.3sontlessuivantes:

•Authenticationd'utilisateursécuriséeavecunmotdepasseWindows

composéClientSecuritySolution

ClientSecuritySolutionpeutêtrecongurépouraccepterunmotdepasseWindowsutilisateurouun motdepassecomposéClientSecuritySolutionpourl'authentication.LemotdepasseWindowsest pratiqueetgérabledansWindows,lemotdepassecomposéClientSecuritySolutionfournitunesécurité supplémentaire.L'administrateurpeutchoisirlaméthoded'authenticationàutiliseretceparamètrepeut êtremodiémêmelorsquedesutilisateurssontdéjàinscritsdansClientSecuritySolution.

•Authenticationd'utilisateurparempreintedigitale Optimiselatechnologied'empreintedigitaleintégréeetrattachéeauportUSBpourauthentierdes utilisateursauprèsd'applicationsprotégéespardesmotsdepasse.

•Authenticationd'utilisateursmulti-facteurpourlaconnexionàWindowsetdifférentesopérations

ClientSecuritySolution

Dénitplusieursunitésd'authentication(motdepasseWindows/motdepassecomposéClientSecurity etempreintedigitale)pourdenombreusesopérationsrelativesàlasécurité.

•Gestiondesmotsdepasse GèreetstockedemanièresécuriséelesinformationsdeconnexionsensiblestellesquelesIDutilisateurs etlesmotsdepasse.

•Récupérationdesmotsdepasseetdesmotsdepassecomposés Larécupérationdesmotsdepasseetdesmotsdepassecomposéspermetauxutilisateursdese connecteràWindowsetd'accéderàleursautorisationsd'accèsClientSecuritySolution,mêmeencas d'oubli,enrépondantàdesquestionsdesécuritéprécongurées.

•Auditdesparamètresdesécurité Permetauxutilisateursdevisualiserunelistedétailléedesparamètresdesécuritédupostedetravailet d'effectuerdesmodicationspourrépondreauxstandardsdénis.

•T ransfertdescerticatsnumériques ClientSecuritySolutionprotègelacléprivéedel'utilisateuretlescerticatsdel'ordinateur.UtilisezClient SecuritySolutionpourprotégerlacléprivéedevoscerticatsexistants.

•Gestiondesrèglespourl'authentication Unadministrateurpeutchoisirlesunités(motdepasseWindows,motdepassecomposéClientSecurity

ouunmotdepasse

©CopyrightLenovo2008,2011

Solutionouempreintedigitale)quiserontnécessairesàl'authenticationpourlesactionssuivantes: connexionWindows,gestiondesmotsdepasseetopérationsdecertication.

MotdepassecomposéClientSecuritySolution

LemotdepassecomposéClientSecuritySolutionestunefonctionfacultatived'authenticationd'utilisateur quifournitunesécuritéavancéeauxapplicationsClientSecuritySolution.Lesconditionssuivantesdoivent êtreremplies:

•Ildoitêtrecomposéd'aumoinshuitcaractères

•Ilcontientaumoinsunchiffre

•Ildoitêtredifférentdestroismotsdepassecomposésprécédents

•Ilnecontientpasplusdedeuxcaractèresrépétés

•Ilnecommencepasparunchiffre

•Ilneseterminepasparunchiffre

•IlnecontientpasvotreIDutilisateur

•Ilnedoitpasêtrechangés'ilamoinsdetroisjours

•Ilnedoitpascontenirtrois(ouplus)caractèresconsécutifsidentiquesparrapportaumotdepasse composéactuel,quellequesoitleurposition

•IlnedoitpasêtreidentiqueaumotdepasseWindows.

LemotdepassecomposéClientSecuritySolutionestconnuuniquementdel'utilisateur.Laseulefaçon derécupérerunmotdepassecomposéClientSecuritySolutionoubliéconsisteàexécuterlafonction derécupérationdemotdepassedeClientSecuritySolution.Sil'utilisateuraoubliélesréponsesàses questionsderécupération,iln'yaalorsplusaucunesolutionpermettantderécupérerlesdonnéesprotégées parlemotdepassecomposéClientSecuritySolution.

RécupérationdesmotsdepasseClientSecurity

CettefonctionfacultativepermetauxutilisateursinscritsdansClientSecurityderécupérerunmotdepasse WindowsouunmotdepassecomposéClientSecurityoubliéenrépondantcorrectementàtroisquestions. Sicettefonctionestactivée,vousdevrezchoisirtroisréponsesparmidixquestionspré-sélectionnées.Si vousoubliezvotremotdepasseWindowsouvotremotdepassecomposéClientSecurity,vouspourrez soitrépondreàcestroisquestions,soitréinitialiservotremotdepasseouvotremotdepassecomposé.

Remarque:SiunmotdepassecomposéClientSecurityestutilisé,larécupérationdumotdepasseClient Securityestlaseuleoptionderécupérationd'unmotdepassecomposéoublié.Sivousoubliezlaréponse àvostroisquestions,vousdevrezréexécuterl'assistantd'enregistrementetperdreztouteslesdonnées ClientSecurityprécédemmentprotégées.

ClientSecurityPasswordManager

ClientSecurityPasswordManagervouspermetdegérerdesinformationsrelativesàdessiteswebouà desapplicationsquisontfacilementoubliées,tellesquelesIDutilisateur,lesmotsdepasseetd'autres informationspersonnelles.ClientSecurityPasswordManagerprotègevosinformationspersonnellesvia ClientSecuritySolutionanquel'accèsàvosapplicationsetsiteswebrestententièrementsécurisé. ClientSecurityPasswordManagervouspermetégalementdegagnerdutempsetdel'énergieenvous demandantuniquementdevoussouvenird'unseulmotdepasseoumotdepassecomposé,oudefournir votreempreintedigitale.

ClientSecurityPasswordManagerpermetd'exécuterlesfonctionssuivantes:

2GuidededéploiementClientSecuritySolution8.3

•ChiffrementdetouteslesinformationsstockéesviaClientSecuritySolution: ChiffreautomatiquementtoutesvosinformationsviaClientSecuritySolution.Touteslesinformationsde motdepassecondentiellessontainsiprotégéesvial'utilisationdesclésdechiffrementClientSecurity.

•GénérationautomatiquedesIDetmotsdepasse: Automatisevotreprocessusdeconnexionlorsquevousaccédezàuneapplicationouàunsiteweb.Si vosinformationsdeconnexionontétéentréesdansClientSecurityPasswordManager,alorsClient SecurityPasswordManagerremplitautomatiquementleszonesrequisesetlessoumetausiteweb ouàl'application.

•Editiondesentréesàl'aidedel'interfaceClientSecurityPasswordManager: Vouspermetd'éditervosentréesdecompteetdecongurertouteslesfonctionsfacultativesenune seuleinterfacefaciled'utilisation.Cetteinterfaceaccélèreetfacilitelagestiondesmotsdepasseetdes informationspersonnelles.Cependant,laplupartdesmodicationsrelativesauxentréespeuventêtre détectéesautomatiquementparClientSecurityPasswordManager,cequipermetàl'utilisateurde mettreàjoursesentréesencoreplusfacilement.

•Sauvegardedesinformationssansétapessupplémentaires: ClientSecurityPasswordManagerdétecteautomatiquementlesinformationssensiblesquisontenvoyées àunsitewebouàuneapplicationdonné.Lorsqu'illedétecte,ClientSecurityPasswordManagerinvite l'utilisateuràsauvegarderlesinformations,simpliantainsileprocessusdestockagedesinformations sensibles.

•Sauvegardedetouteinformationdansunezonedetravailsécurisée: GrâceàClientSecurityPasswordManager,l'utilisateurpeutsauvegardertouteslesdonnéestextuelles dansdeszonesdetravailsécurisées.Ceszonesdetravailsécuriséespeuventêtreprotégéesavecle mêmeniveaudesécuritéquen'importequelleautreentréedesiteweboud'application.

•Exportationetimportationdesinformationsdeconnexion: Permetd'exportervosinformationspersonnellessensiblesandepouvoirlesdéplacerentoute sécuritéd'unordinateuràunautre.Lorsquevousexportezvosinformationsdeconnexionàpartirde ClientSecurityPasswordManager,unchierd'exportationprotégéparmotdepasseestcréé.Ilpeut êtrestockésurunsupportamovible.Utilisezcechierpouraccéderàvosinformationspersonnelles partoutoùvousvoustrouvezoupourimportervosentréesdansunautreordinateurdisposantdeClient SecurityPasswordManager.

Remarque:Unepriseenchargetotaleestdisponiblepourleschiersd'exportationClientSecurity SolutionVersions7.0et8.x.Unepriseenchargelimitéeestdisponiblepourleschiersd'exportation ClientSecuritySolutionversion6.0(lesentréesd'applicationnesontpasimportées).ClientSecurity SoftwareSolutionversions5.4xetversionsprécédentesn'exécutentpasd'importationdansClient SecuritySolutionVersion8.xPasswordManager.

SecurityAdvisor

L'outilSecurityAdvisorvouspermetd'afcherunrécapitulatifdesparamètresdesécuritédénissur l'ordinateur.Vouspouvezutilisercesparamètrespourconnaîtrel'étatactueldelasécuritédusystèmeou pouraméliorercettesécurité.Lesvaleurspardéfautafchéespourlescatégoriespeuventêtremodiéesà l'aideduregistreWindows.Lescatégoriesdesécuritécomprennentparexemple:

•lesmotsdepassematériel,

•lesmotsdepassedesutilisateursWindows,

•lesrèglessurlesmotsdepasseWindows,

•l'écrandeveilleprotégé,

•lepartagedechiers.

Chapitre1.Présentation3

AssistantCerticateTransfer

L'assistantClientSecurityCerticateT ransfervousguidetoutaulongduprocessusdetransfertdesclés privéesassociéesàvoscerticatsàpartirdufournisseurdeservicedechiffrementMicrosoft logiciel(CSP)verslefournisseurdeservicedechiffrementClientSecuritySolutionbasésurlematériel.Une foisletransferteffectué,lesopérationsutilisantlescerticatssontplussécuriséescarlesclésprivéessont protégéesparClientSecuritySolution.

basésurle

Réinitialisationdesmotsdepassematériel

Cetoutilcréeunenvironnementsécuriséquis'exécuteindépendammentdeWindowsetvousaideà recongurerlesmotsdepasseoubliésdemisesoustensionetd'unitédedisquedur.Votreidentitéest établielorsquevousrépondezàdesquestionsquevouscréez.Créezcetenvironnementsécurisédèsque possible,avanttoutoublidemotdepasse.Iln'estpaspossiblederedénirunmotdepassematériel tantquecetenvironnementsécurisén'estpascréésurledisquedurettantquevousnevousêtespas enregistré.Cetoutiln'estdisponiblequesurcertainsordinateurs.

PriseenchargedessystèmessansmoduleTPM

ClientSecuritySolution8.3prendenchargelessystèmesLenovoquinepossèdentpasdeprocesseurde sécuritéintégrécompatible.Cettepriseenchargepermetuneinstallationstandarddanstoutel'entreprise pourcréerunenvironnementcohérentetsécurisé.Lessystèmesquipossèdentunprocesseurdesécurité intégrésontplusrobustescontreuneattaque.Cependant,pourlessystèmessansprocesseurdesécurité intégré,ClientSecuritySolutionréutiliselesclésdechiffrementlogiciellescommesuperutilisateurapprouvé pourlesystèmeetlesystèmepeutégalementbénécierd'unesécuritéetdefonctionnalitéssupplémentaires.

Logicieldelectured'empreintesdigitales

Lestechnologiesd'identicationd'empreintesdigitalesbiométriquesfourniesparLenovosontconçuespour aiderlesclientsàréduirelescoûtsassociésauxmotsdepasse,àaméliorerlasécuritédeleurssystèmesetà seconformerauxréglementations.FingerprintSoftwarepermetl'authenticationparempreintesdigitalessur desordinateursindividuelsetdesréseauxenutilisantdeslecteursd'empreintesdigitalesLenovo.Fingerprint SoftwarecombinéàClientSecuritySolution8.3proposedesfonctionnalitésétendues.ClientSecurity Solution8.3prendenchargeThinkVantageFingerprintSoftware5.9.2etLenovoFingerprintSoftware3.3qui peuventêtredisponiblespourdifférentstypesd'ordinateur.SurlesiteWebLenovo,voustrouverezplus d'informationssurlestechnologiesLenovoFingerprintetpourreztéléchargerFingerprintSoftware.

Fingerprintoffrelesfonctionssuivantes:

•Fonctionsdelogicielclient –RemplacementdumotdepasseMicrosoftWindows:

Remplacevotremotdepasseavecvotreempreintedigitalepourunaccèsausystèmesimple,rapide etsécurisé.

–RemplacementdumotdepasseBIOS(égalementappelémotdepasseàlamisesoustension)

etdumotdepassed'accèsaudisquedur:

Remplacelesmotsdepasseavecvotreempreintedigitalepourétendrelasécuritédeconnexionet ladiffusion.

–Authenticationd'empreintedigitaleavantinitialisationpourlechiffrementcompletdel'unité

SafeGuardEasy:

Utilisel'authenticationparempreintedigitalepourdéchiffrervotredisqueduravantledémarragede Windows.

–Uniquepassagedanslelecteurpourl'accèsausystèmeBIOSetàWindows:

Vouspermetd'économiserdutempsenpassantvotredoigtaudémarragepouraccéderausystème BIOSetàWindows.

4GuidededéploiementClientSecuritySolution8.3

–IntégrationàClientSecuritySolution:

S'utiliseavecClientSecuritySolutionPasswordManagerettirepartidumoduleTPM(TrustedPlatform Module).LesutilisateurspeuventpasserleurdoigtsurlelecteurpouraccéderauxsitesWebet sélectionnerdesapplications.

•Fonctionsadministrateur –Activation/désactivationdumodesécurité:

Permetàunadministrateurdebasculerentrelesmodessécuriséetdegrandediffusionpourmodier lesdroitsd'accèsdecertainsutilisateurs.

•Fonctionsdesécurité –Sécuritédulogiciel:

Protègelesmodèlesutilisateurgrâceàlafonctiondechiffrementfortlorsqueceux-cisontstockéssur unsystèmeoutransférésdulecteurverslelogiciel.

–Sécuritédumatériel:

Fournitunprogrammedelectureaveccoprocesseurquistockeetprotègelesmodèlesd'empreintes digitales,lesmotsdepasseBIOSetlesclésdechiffrement.

Chapitre1.Présentation5

6GuidededéploiementClientSecuritySolution8.3

Chapitre2.Installation

Leprésentchapitrecontientlesinstructionsd'installationdeClientSecuritySolutionetdeFingerprint Software.Avantd'installerClientSecuritySolutionouFingerprintSoftware,vousdevezcomprendre l'architecturedel'applicationquevousinstallez.Leprésentchapitrecontientl'architecturedechaque applicationainsiquelesinformationssupplémentairesdontvousavezbesoinavantd'installerles programmes.

ClientSecuritySolution

Lemoduled'installationdeClientSecuritySolutionaétédéveloppéavecInstallShield10.5Premiercomme unprojetBasicMSI.InstallShieldutiliseleprogrammed'installationWindowspourinstallerdesapplications, cequipermetauxadministrateursdepersonnaliserlesinstallation,endénissantlesvaleursdespropriétés àpartirdelalignedecommande,parexemple.Leprésentchapitredécritplusieursméthodesd'utilisationet d'exécutiondumoduledecongurationdeClientSecuritySolution.Pourunemeilleurecompréhension,lisez latotalitéduchapitreavantd'installercesmodules.

Remarque:Lorsquevousinstallezcesmodules,reportez-vousauchierreadmedeClientSecuritySolution disponiblesurlesiteWebLenovo.Lechierreadmecontientdesinformationsàjoursurlesversionsde logiciel,lessystèmesprisencharge,lacongurationsystèmerequiseetd'autresconsidérationspouvant vousaideràl'installation.

Congurationrequisepourl'installation

Lesinformationsdecettesectionindiquentlescongurationsrequisespourl'installationdumodulede ClientSecuritySolution.Pourobtenirdemeilleursrésultats,accédezausiteWebsuivantpourvériersi vousdisposezdeladernièreversiondulogiciel: http://www.lenovo.com/support

LesordinateursLenovodoiventaumoinsavoirlacongurationsuivantepourqueClientSecuritySolution puisseêtreinstallé:

•Systèmed'exploitation:Windows7

•Mémoire:256Mo –Pourlescongurationsdemémoirepartagée,lamémoirepartagéemaximaledéniedansles

paramètresdecongurationduBIOSdoitêtreauminimumde8Mo

–Pourlescongurationsdemémoirenonpartagée,120Modemémoirenonpartagéesontrequis.

•InternetExplorer

•300Mod'espacelibresurledisquedur

•UnécranvidéocompatibleVGAprenantenchargeunerésolutionde800x600etlescouleurs24bits.

•L'utilisateurdoitdisposerdesdroitsd'administrationpourinstallerClientSecuritySolution

Remarque:Ledéploiementdumoduled'installationClientSecuritySolutionsousWindowsServer n'estpasprisencharge.Enrevanche,lesdemandesdecerticatsprovenantdeWindowsServer2003sont prisesencharge.Voir«Générationd'uncerticatàl'aidedelagénérationdeclésdansTPM»àlapage66

5.5ouuneversionultérieuredoitêtreinstallée.

Propriétéspubliquespersonnalisées

Lemoduled'installationduprogrammeClientSecuritySoftwarecontientunjeudepropriétéspubliques personnaliséesquipeuventêtredéniessurlalignedecommandelorsdel'installation.Letableau ci-dessouscontientlespropriétéspubliquespersonnaliséespourlesystèmed'exploitationWindows:

2003

©CopyrightLenovo2008,2011

Tableau1.Propriétéspubliques

PropriétéDescription

EMULATIONMODEForcel'installationenmodeémulationmêmes'ilexiste

unmoduleTPM.IndiquezEMULATIONMODE=1surla lignedecommandepoureffectuerl'installationenmode émulation.

HALTIFTPMDISABLEDSilemoduleTPMestàunétatdésactivéetque

l'installations'exécuteenmodesilencieux,l'installation s'effectuepardéfautenmodeémulation.Utilisezla propriétéHALTIFTPMDISABLED=1lorsquel'installation s'exécuteenmodesilencieuxpourinterrompre l'installationsilemoduleTPMestdésactivé.

NOCSSWIZARDDénissezNOCSSWIZARD=1surlalignedecommande

pourempêcherqueledialogued'enregistrementde ClientSecuritySolutionnes'afcheautomatiquement aprèsl'installationdeClientSecuritySolution.Cette propriétéestconguréepourunadministrateurqui souhaiteinstallerClientSecuritySolutionmaissouhaite utiliserlescriptingultérieurementlorsdelaconguration dusystème.

CSS_CONFIG_SCRIPTIndiquezCSS_CONFIG_SCRIPT=«nom_chier»ou

«nom_chiermot_de_passe»pourqu'unchierde congurations'exécuteunefoisquel'utilisateuraterminé l'installationetréamorcelesystème.

SUPERVISORPWIndiquezSUPERVISORPW=«mot_de_passe»surlaligne

decommandepourfournirlemotdepassesuperviseur and'activerleprocesseurenmoded'installation silencieuxounonsilencieux.Sileprocesseurest désactivéetquel'installations'exécuteenmode silencieux,vousdevezfournirlemotdepassesuperviseur correctpouractiverleprocesseur.Sinon,leprocesseur neserapasactivé.

PWMGRMODEDénissezPWMGRMODE=1danslalignedecommande

pourn'installerquePasswordManager.

NOSTARTMENUDénissezNOSTARTMENU=1danslalignedecommande

pourempêcherlagénérationd'unraccourcidanslemenu Démarrer.

CREATESHORTCUTDénissezCREATESHORTCUT=1danslalignede

commandepourajouteruneentréedanslemenu

Démarrer.

PriseenchargedumoduleTrustedPlatformModule

ClientSecuritySolution8.3inclutlapriseenchargeduprocesseurdesécuritéintégréedel'ordinateur,le moduleTPM(T rustedPlatformModule).SivotreordinateurLenovoinclutunmoduleTPMprisencharge parlesystèmed'exploitationWindows,ClientSecuritySolutionutiliselespilotesintégrésausystème d'exploitationWindows.

IlpeutêtrenécessairederedémarrerlemoduleTPMcarilestactivéparleBIOSdusystème.Sivous exécutezWindows7,vousdevezconrmersilemoduleTPMdoitêtreactivéaudémarragedusystème.

PourquelemoduleTPMpuisseexécuterdesfonctions,l'affectationdel'administrateur,lapropriétédoitêtre initialisée.ChaquesystèmeestassociéàunseuladministrateurClientSecuritySolutionquicontrôleles

8GuidededéploiementClientSecuritySolution8.3

optionsdeClientSecuritySolution.Cetadministrateurdoitdisposerdedroitsd'administrateurWindows. L'administrateurpeutêtreinitialiséàl'aidedescriptsdedéploiementXML.

Unefoislapropriétédusystèmecongurée,chaqueutilisateurWindowssupplémentairequiseconnecte ausystèmeestautomatiquementinvitéàs'inscrireetàinitialiserlesclésdesécuritéetlesdonnées d'identicationdel'utilisateurdansl'assistantdecongurationClientSecurity.

EmulationdelogicieldumoduleT rustedPlatformModule

ClientSecuritySolutionalapossibilitédes'exécutersansmoduleT rustedPlatformModulesurlessystèmes habilités.Lafonctionnalitéseralamêmesaufqu'elleutiliseradescléslogiciellesaulieudeclésprotégées parlematériel.Lelogicielpeutégalementêtreinstalléavecuncommutateurquileforceàtoujoursutiliser descléslogiciellesaulieudumoduleTPM.L'utilisationdececommutateursedécideaumomentde l'installationetestirréversibleàmoinsdedésinstalleretderéinstallerlelogiciel.

LasyntaxeforçantuneémulationdelogicieldumoduleTPMestlasuivante:

InstallFile.exe“/vEMULATIONMODE=1”

Procéduresd'installationetparamètresdelignedecommande

Leprogrammed'installationMicrosoftWindowsfournitplusieursfonctionsd'administrationparlebiaisde paramètresdelignedecommande.Leprogrammed'installationWindowspeuteffectueruneinstallation administratived'uneapplicationoud'unproduitsurunréseauenvued'uneutilisationparungroupede travailouàdesnsdepersonnalisation.Lesoptionsdelignedecommandenécessitantunparamètre doiventêtreindiquéessansespaceentrel'optionetsonparamètre.Parexemple:

setup.exe/s/v"/qnREBOOT=”R”"

estcorrect,alorsque

setup.exe/s/v"/qnREBOOT=”R”"

nel'estpas.

Remarque:Lecomportementpardéfautdel'installationlorsquecettedernièreestexécutéeseule (exécutiondesetup.exesansparamètre)consisteàinviterl'utilisateuràréamorcerlesystèmeàlande l'installation.Unréamorçageestrequispourqueleprogrammefonctionnecorrectement.Leréamorçage peutêtredifféréàl'aided'unparamètredelignedecommandepouruneinstallationenmodesilencieux commeexpliquédanslasectionprécédenteetlasectiond'exemples.

Pourlemoduled'installationdeClientSecuritySolution,uneinstallationadministrativedécomprimeles chierssourcesd'installationdansunemplacementspécié.

Pourexécuteruneinstallationadministrative,exécutezlemoduled'installationdanslalignedecommande avecleparamètre/a:

setup.exe/a

Uneinstallationadministrativeprésenteunassistantquiinvitel'administrateuràindiquerlesemplacements dedécompressiondeschiersd'installation.L'emplacementd'extractionpardéfautestC:\.Vouspouvez choisirunnouvelemplacementautrequel'unitéC:\(parexempleuneunitélocaleouuneunitéréseau mappée).Vouspouvezégalementcréerdenouveauxrépertoiresaucoursdecetteétape.

Pourexécuteruneinstallationadministrativeenmodesilencieux,vouspouvezdénirlapropriétépublique TARGETDIRenlignedecommandepourindiquerl'emplacementd'extraction:

setup.exe/s/v"/qnTARGETDIR=F:\TVTRR"

msiexec.exe/i"ClientSecurity-PasswordManager.msi"/qnTARGERDIR=F:\TVTRR

Chapitre2.Installation9

Remarque:Sivousn'utilisezpaslatoutedernièreversiondeWindowsInstaller,lechiersetup.exe estcongurépourmettreàjourlemoteurWindowsInstallerversladernièreversion.Lamiseàjourdu moteurWindowsInstallervousinviteàredémarrerlesystèmemêmedansuneinstallationparextraction administrative.Pourempêcherunredémarragedanscettesituation,vouspouvezutiliserlapropriété REBOOTdeWindowsInstaller.SiWindowsInstallerestladernièreversion,lechiersetup.exenetente pasdemettreàjourlemoteurWindowsInstaller.

Unefoisl'installationadministrativeterminée,l'administrateurpeutpersonnaliserleschierssource,par exempleajouterdesparamètresauregistre.

Lesparamètresetlesdescriptionsci-dessoussontdécritsdansladocumentationd'aidepourles développeursInstallShield.Lesparamètresquines'appliquentpasauxprojetsBasicMSIontétéenlevés.

Tableau2.Paramètres

ParamètreDescription

/a:InstallationadministrativeLecommutateur/ainvitesetup.exeàeffectuerune

installationadministrative.Uneinstallationadministrative copie(etdécompresse)leschiersdedonnéesdansun répertoiredéniparl'utilisateur,maisnecréepasde raccourcis,n'enregistrepaslesserveursCOMetnecrée pasdejournaldedésinstallation.

/x:ModedésinstallationLeparamètre/xforcesetup.exeàdésinstallerunproduit

précédemmentinstallé.

/s:ModesilencieuxLacommandesetup.exe/ssupprimelafenêtre

d'initialisationsetup.exepourunprogrammed'installation BasicMSImaisnelitpasdechierderéponses.Les projetsBasicMSInecréentpasoun'utilisentpasde chierderéponsespourlesinstallationsenmode silencieux.PourexécuterunproduitBasicMSIenmode silencieux,exécutezlalignedecommandesetup.exe/s /v/qn.(Pourdénirlesvaleursdepropriétéspubliques pouruneinstallationdeBasicMSIenmodesilencieux, vouspouvezutiliserunecommandetellequesetup.exe/s /v"/qnINSTALLDIR=D:\Destination".)

/v:TransmetdesargumentsàMsiexecLeparamètre/vpermetdetransmettredesparamètres

delignedecommandeetdesvaleursdepropriétés publiquesàmsiexe.exe.

/L:Langued'installationLesutilisateurspeuventseservirducommutateur/Lavec

l'IDdelanguedécimalpourindiquerlalangueutiliséepar unprogrammed'installationmultilingue.Parexemple,la commandepourdénirl'allemandestsetup.exe/L1031.

/w:AttentePourunprojetBasicMSI,l'argument/wforcesetup.exe

àattendrelandel'installationavantdesefermer.Si vousutilisezl'option/wdansunchierdetraitementpar lots,vouspouvezfaireprécéderl'ensembledel'argument delignedecommandedesetup.exepar/WAIT.Voiciun exempleformatécorrectementdecettesyntaxe:

start/WAITsetup.exe/w

Utilisationdemsiexec.exe

Poureffectuerl'installationàpartirduchiersourcedécompresséunefoislespersonnalisationsterminées, l'utilisateurappellel'applicationmsiexec.exedepuislalignedecommande,entransmettantlenomduchier *.MSIdécompressé.L'applicationmsiexec.exeestleprogrammeexécutabledeWindowsInstallerquiest utilisépourinterpréterlesmodulesd'installationetinstallerlesproduitssurlessystèmescible.

10GuidededéploiementClientSecuritySolution8.3

msiexec/i"C:\WindowsF older\Proles\UserName\ Personal\MySetups\projectname\productconguration\releasename\ DiskImages\Disk1\productname.msi"

Remarque:Entrezlacommandeci-dessussuruneseuleligne,sansespaceaprèslesbarresobliques.

Letableauci-dessouscontientlesparamètresdelignedecommandedisponiblesquipeuventêtreutilisés aveclechiermsiexec.exeetdesexemplesd'utilisation.

Tableau3.Paramètresdelignedecommande

ParamètreDescription

/Imoduleoucodeproduit

/amoduleL'option/apermetauxutilisateursquidisposentdesdroitsd'administrateur

/xmoduleoucodeproduitL'option/xdésinstalleunproduit.

/L[i|w|e|a|r|u|c|m|p|v|+]chier_journal

/q[n|b|r|f]

Utilisezlasyntaxesuivantepourinstallerleproduit:

Othello:msiexec/i"C:\WindowsFolder\Proles\ UserName\Personal\MySetups \Othello\TrialVersion\ Release\DiskImages\Disk1\ OthelloBeta.msi"

Lecodeproduitfaitréférenceàl'identicateurglobalunique(GUID)quiest automatiquementgénérédanslapropriétéproductcodedelavuedesprojets devotreproduit.

d'installerunproduitsurleréseau.

Uneinstallationavecl'option/Lindiquelechemind'accèsduchier journal.Lesindicateurssuivantsdésignentlesinformationsquidoiventêtre consignéesdanslechierjournal:

•iconsignelesmessagesd'état.

•wconsignelesmessagesd'avertissementnoncritique.

•econsignetouslesmessagesd'erreur.

•aconsignelecommencementdesséquencesd'actions.

•rconsignelesenregistrementsspéciquesàuneaction.

•uconsignelesdemandesutilisateur.

•cconsignelesparamètresinitiauxdel'interfaceutilisateur.

•mconsignelesmessagesdesaturationdemémoire.

•pconsignelesparamètresdeterminal.

•vconsignelesparamètresdesortieenmodeprolixe.

•+faitunajoutàunchierexistant.

•*estuncaractèregénériquequivouspermetdeconsignertoutesles informations(àl'exclusiondesparamètresdesortieenmodeprolixe).

L'option/qestutiliséepourdénirleniveaudel'interfaceutilisateur conjointementaveclesindicateurssuivants:

•qouqnnecréeaucuneinterfaceutilisateur.

•qbcréeuneinterfaceutilisateurdebase.

Lesparamètresd'interfaceutilisateursuivantsafchentuneboîtededialogue modaleàlandel'installation:

•qrafcheuneinterfaceutilisateurréduite.

•qfafcheuneinterfaceutilisateurcomplète.

•qn+n'afcheaucuneinterfaceutilisateur.

•qb+afcheuneinterfaceutilisateurdebase.

/?ou/hCesdeuxcommandesafchentlesinformationsdecopyrightduprogramme

d'installationWindows.

Chapitre2.Installation11

Tableau3.Paramètresdelignedecommande(suite)

ParamètreDescription

TRANSFORMSLeparamètredelignedecommandeTRANSFORMSindiqueles

transformationsquevousvoulezappliqueràvotremoduledebase.

msiexec/i"C:\WindowsF older\ Proles\UserName\Personal \MySetups\ YourProjectName\TrialVersion\ MyRelease-1 \DiskImages\Disk1\ ProductName.msi"TRANSFORMS="NewTransf orm1.mst"

Vouspouvezséparerplusieurstransformationsparunpoint-virgule.N'utilisez pasdepoint-virguledanslenomdelatransformationcarleservicedu programmed'installationWindowsrisquedel'interpréterincorrectement.

PropriétésTouteslespropriétéspubliquespeuventêtredéniesoumodiéesàpartirde

lalignedecommande.Lespropriétéspubliquessedistinguentdespropriétés privéesetsontindiquéesenmajuscules.Parexemple,COMPANYNAME estunepropriétépublique.

Pourdénirunepropriétéàpartirdelalignedecommande,utilisezlasyntaxe suivante:

PROPERTY=VALUE

Parexemple,pourmodierlavaleurdelapropriétéCOMPANYNAME,vous devezentrercequisuit:

msiexec/i"C:\WindowsF older\ Proles\UserName\Personal\ MySetups\YourProjectName\ TrialVersion\MyRelease-1\ DiskImages\Disk1\ProductName.msi" COMPANYNAME="InstallShield"

Propriétéspubliquesstandardduprogrammed'installationWindows

Leprogrammed'installationWindowsestdotéd'unensembledepropriétéspubliquesstandardintégrées pouvantêtredéniesdanslalignedecommandepourindiqueruncomportementdonnélorsdel'installation. Letableauci-aprèsfournitlespropriétéspubliqueslespluscourantesutiliséesdanslalignedecommande.

Pourplusd'informations,rendez-voussurlesiteWebdeMicrosoftàl'adressesuivante: http://msdn2.microsoft.com/en-us/library/aa367437.aspx

Letableauci-dessouscontientlespropriétéscourantesduprogrammed'installationWindows:

Tableau4.Propriétésduprogrammed'installationWindows

PropriétéDescription

TARGETDIRIndiquelerépertoirededestinationprincipalpour

l'installation.Lorsd'uneinstallationadministrative,cette propriétécorrespondàl'emplacementdecopiedu

moduled'installation. ARPAUTHORIZEDCDFPREFIXAdresseURLducanaldemiseàjourpourl'application. ARPCOMMENTSFournitdescommentairespourAjout/Suppressionde

programmessurlePanneaudeconguration. ARPCONTACTFournitdescontactspourAjout/Suppressionde

programmessurlePanneaudeconguration.

12GuidededéploiementClientSecuritySolution8.3

Tableau4.Propriétésduprogrammed'installationWindows(suite)

PropriétéDescription

ARPINSTALLLOCA TIONNomqualiécompletduchemind'accèsversledossier

principaldel'application.

ARPNOMODIFYDésactivelafonctionnalitépermettantdemodierle

produit.

ARPNOREMOVEDésactivelafonctionnalitépermettantdesupprimerle

produit.

ARPNOREPAIRDésactiveleboutonderéparationdansl'assistant

Programs. ARPPRODUCTICONIndiquel'icôneprincipalepourlemoduled'installation. ARPREADME

ARPSIZETailleestiméedel'applicationenkilo-octets. ARPSYSTEMCOMPONENTEmpêchel'afchagedel'applicationdanslaliste

ARPURLINFOABOUT ARPURLUPDATEINFOAdresseURLpourlesinformationsdemiseàjourd'une

REBOOTLapropriétéREBOOTsupprimecertainesinvitespour

FournitunchierReadMepourAjout/Suppressionde

programmessurlePanneaudeconguration.

Ajout/Suppressiondeprogrammes.

AdresseURLdelapaged'accueild'uneapplication.

application.

unréamorçagedusystème.Unadministrateurutilise

généralementcettepropriétéavecuneséried'installations

pourinstallersimultanémentplusieursproduitsavec

unseulréamorçageàl'issuedel'installation.Indiquez

REBOOT=«R»pourdésactivertoutréamorçageàlan

del'installation.

Fichierjournald'installation

Lechierjournald'installationdeClientSecuritySolutionestappelécssinstall83xx.logetestcréédansle répertoire%temp%sileprogrammed'installationestlancéparlechiersetup.exe(cliquezdeuxfoissurle chierinstall.exe,exécutezlechierexécutablesansparamètresouextrayezlemoduleMSIetexécutez lechiersetup.exe).Cechiercontientdesmessagesdejournalpouvantêtreutiliséspourdéboguerles incidentsd'installation.Lechierjournalinclutlesactivitéseffectuéesparl'appletd'ajout/suppression danslePanneaudeconguration.Lechierjournaln'estpascréélorsquevousexécutezlechiersetup.exe directementàpartirdumoduleMSI.PourcréerunchierjournalpourtouteslesactionsMSI,vouspouvez activerlesstratégiesdeconsignationdansleregistre.Pourcefaire,créezlavaleursuivante:

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] "Logging"="voicewarmup"

Exemplesd'installation

Letableausuivantmontredesexemplesd'installationàl'aideduchiersetup.exe.

Tableau5.Exemplesd'installationutilisantlechiersetup.exe

DescriptionExemple

Installationenmodesilencieuxsansréamorçage Installationadministrative

Installationsilencieuseenmodeadministrationindiquant l'emplacementd'extractionpourlelogicielClientSecurity Software.

setup.exe/s/v”/qnREBOOT=”R””

setup.exe/a

setup.exe/a/s/v”/qnTARGETDIR=”F:

\CSS83””

Chapitre2.Installation13

Tableau5.Exemplesd'installationutilisantlechiersetup.exe(suite)

DescriptionExemple

Désinstallationenmodesilencieux.

Installationsansredémarrage(créezunjournal d'installationdansunsous-répertoiretemporairepour ClientSecuritySoftware.)

InstallationsansinstallerledomainePredesktop

setup.exe/s/x/v/qn

setup.exe/v”REBOOT=”R”/L*v%temp% \cssinstall83.log”

setup.exe/vPDA=0

Letableauci-dessouscontientdesexemplesd'installationavecClientSecuritySolution.msi:

Tableau6.Exemplesd'installationavecClientSecurity-PasswordManager.msi

DescriptionExemple

Installation

Installationenmodesilencieux sansréamorçage

Désinstallationenmode silencieux

msiexec/i“C:\CSS83\ClientSecurity Solution-PasswordManager .msi”

msiexec/i“C:\CSS83\ClientSecurity Solution-PasswordManager.msi”/qnREBOOT=”R”

msiexec/x“C:\CSS83\ClientSecurity Solution-PasswordManager.msi”/qn

InstallationdeThinkVantageFingerprintSoftware

Lechiersetup.exeduprogrammeThinkVantageFingerprintSoftwarepeutêtreinstalléparlesméthodes suivantes:

Installationenmodesilencieux

PourinstallerThinkVantageFingerprintSoftwareenmodesilencieux,exécutezlechiersetup.exelesitué danslerépertoired'installationsurl'unitédeCD-ROM.

Utilisezlasyntaxesuivante:

Setup.exePROPERTY=VALUE/q/i

oùqcorrespondàl'installationenmodesilencieuxetiàl'installation.Parexemple:

setup.exeINSTALLDIR="C:\ProgramFiles\ThinkVantagengerprintsof tware"/q/i

Pourdésinstallerlelogiciel,utilisezleparamètre/xàlaplacede/i:

setup.exeINSTALLDIR="C:\ProgramFiles\ThinkVantagengerprintsof tware"/q/x

Options

Lesoptionsci-dessoussontprisesenchargeparThinkVantageFingerprintSoftware.

Tableau7.OptionsprisesenchargeparThinkVantageFingerprintSoftware

ParamètreDescription

CTRLONCEAfchelecentredecontrôleuneseulefois.Lavaleurpar

défautest0.

CTLCNTR•0=nepermetpasd'afcherleCentredecontrôleau

démarrage.

•1=permetd'afcherlecentredecontrôleau démarrage.

Lavaleurpardéfautest1.

14GuidededéploiementClientSecuritySolution8.3

Tableau7.OptionsprisesenchargeparThinkVantageFingerprintSoftware(suite)

ParamètreDescription

DEFFUS•0=n'utilisepaslesparamètresFastUserSwitching

(FUS).

•1=utiliselesparamètresFUS. Lavaleurpardéfautest0.

DEVICEBIOCongureletypedepériphériqueutiliséparl'utilisateur.

•DEVICEBIO=#3-utiliseledétecteurdepérphérique

poursauvegarderlepremierenregistrement.

•DEVICEBIO=#0-utilisel'unitédedisquedurpour

sauvegarderl'enregistrement.

•DEVICEBIO=#1-utiliseledétecteurassociépour

sauvegarderl'enregistrement. INSTALLDIRDénitlerépertoired'installation. OEM

•0=installeaveclapriseenchargedespasseportsde serveuroul'authenticationdeserveur.

•1=installeenmodeordinateurautonomeuniquement aveclespasseportslocaux.

Lavaleurpardéfautest1.

PASSPORTDénitletypedepasseportpardéfaut.

•1=passeportlocal

•2=passeportdeserveur

Lavaleurpardéfautest1.

POSSSO

•1=activelaconnexionunique.

•0=désactivelaconnexionunique.

Lavaleurpardéfautest1.

PSLOGON•0=désactivelaconnexionparempreintedigitale.

•1=activelaconnexionparempreintedigitale.

Lavaleurpardéfautest0.

REBOOTSupprimetouslesredémarragesycomprislesinvites

lorsdel'installationendénissantlavaleursurReally Suppress.

SECURITY•1=installeenmodesécurisé.

•0=installeenmodepratique.

SHORTCUT•0=n'afchepasleraccourciduCentredecontrôle

audémarrage.

•1=afcheleraccourciduCentredecontrôleau démarrage.

Lavaleurpardéfautest0.

SHORTCUTFOLDERDénitlenompardéfautdudossierderaccourcisdansle

menuDémarrer.

Droitsd'utilisateurnonadministrateur

Chapitre2.Installation15

Tableau7.OptionsprisesenchargeparThinkVantageFingerprintSoftware(suite)

ParamètreDescription

DELETESELF

ENROLLSELF

ENROLLTBX•1=activelasélectiond'uneempreintedigitalepourla

IMPORTSELF•1=activel'importation/exportationdesempreintes

REVEALPWD

Protectioncontrelehameçonnage(paramètresdeverrouillage) LOCKOUT

LOCKOUTCOUNTNombremaximaldetentatives.Lavaleurpardéfautest5

LOCKOUTTIMELedélaid'expirationestexpriméenmillisecondes.La

Expirationdel'authentication(paramètresd'inactivité) GUITMENABLE•1=activeledélaid'expirationdel'authenticationen

GUITMTIMEDuréedel'expirationdel'authentication.Lavaleurpar

•1=activelasuppressiondesempreintesdigitales.

•0=désactivelasuppressiondesempreintesdigitales. Lavaleurpardéfautest1.

•1=activel'enregistrementdesempreintesdigitales.

•0=désactivel'enregistrementdesempreintes digitales.

Lavaleurpardéfautest1.

misesoustension.

•0=désactivelasélectiond'uneempreintedigitalepour lamisesoustension.

Lavaleurpardéfautest1.

digitalespourlesutilisateursquinesontpas administrateurs.

•0=désactivel'importation/exportationdesempreintes digitalespourlesutilisateursquinesontpas administrateurs.

Lavaleurpardéfautest1.

•1=activelarécupérationdumotdepasseWindows.

•0=désactivelarécupérationdumotdepasse Windows.

Lavaleurpardéfautest1.

•1=activelaprotectioncontrelehameçonnage.

•0=désactivelaprotectioncontrelehameçonnage.

Lavaleurpardéfautest1.

etvouspouvezutilisern'importequellevaleur.

valeurpardéfautest120000etvouspouvezutiliser n'importequellevaleurjusqu'à360000.

millisecondes.

•0=désactiveledélaid'expirationdel'authentication enmillisecondes.

Lavaleurpardéfautest1.

défautest120000etvouspouvezutilisern'importe quellevaleurjusqu'à360000.

16GuidededéploiementClientSecuritySolution8.3

Tableau7.OptionsprisesenchargeparThinkVantageFingerprintSoftware(suite)

ParamètreDescription

PWDLOGON

NOPOPPAPCHECK•0=n'afchepaslesoptionsdesécuritéàlamisesous

CSS•0=considèrequeClientSecuritySolutionn'apasété

•1=activelaconnexionparempreintesdigitales

uniquementpourlesutilisateurquinesontpas administrateurs.

•0=désactivelaconnexionparempreintesdigitales

uniquementpourlesutilisateursquinesontpas administrateurs.

Lavaleurpardéfautest1.

tension.

•1=afchetoujourslesoptionsdesécuritéàlamise

soustension.

Lavaleurpardéfautest0.

installé.

•1=considèrequeClientSecuritySolutionaétéinstallé. Lavaleurpardéfautest0.

Remarque:Touteslesoptionssontfacultatives.

PourdésinstallerFingerprintSoftware,utilisezleparamètre/xàlaplacede/i.Lorsdeladésinstallation standarddel'interfaceutilisateur,lesboîtesdedialoguepermettantdechoisirsilespasseportsexistants doiventêtresupprimésetsilafonctiondesécuritéd'amorçagedoitêtredésactivées'afchent.Pourla désinstallationenmodesilencieux,vouspouvezutiliserleparamètreDELPAS.DénissezlavaleurDELPAS sur«1»poursupprimerlespasseportsexistants.Sicesoptionsnesontpasdénies,ousiellespossèdent uneautrevaleur,lespasseportssontconservéssurl'ordinateuretlasécuritéd'amorçageresteactivée.Sila sécuritéd'amorçageresteactivée,vousnepouvezpasmodierlesempreintesdigitalesdanslamémoirede lasécuritéd'amorçagesaufsivousréinstallezleproduit.Parexemple,sivousexécutezlasyntaxe:

msiexec/iSetup.msiDELPAS="1"/q

leproduitestdésinstallé,touslespasseportsexistantssontsupprimésetlasécuritéd'amorçageest conservéesurl'ordinateur.

InstallationdeLenovoFingerprintSoftware

Lechiersetup32.exeduprogrammeLenovoFingerprintSoftwarepeutêtreinstalléenutilisantlaprocédure suivante.

Installationenmodesilencieux

PourinstallerFingerprintSoftwareenmodesilencieux,exécutezlechiersetup32.exequisetrouvedansle répertoired'installationsurleCD-ROM.

Utilisezlasyntaxesuivante:

setup32.exe/s/v"/qnREBOOT="R""

Pourdésinstallerlelogiciel,utilisezlasyntaxesuivante:

setup32.exe/x/s/v"/qnREBOOT="R""

Options

Lesoptionsci-dessoussontprisesenchargeparLenovoFingerprintSoftware.

Chapitre2.Installation17

Tableau8.OptionsprisesenchargeparLenovoFingerprintSoftware

ParamètreDescription

SHORTCUTAfcheleraccourciduCentredecontrôledanslemenu

Démarrer.

•0=n'afchepasleraccourciduCentredecontrôle.

•1=afcheleraccourciduCentredecontrôle.

Lavaleurpardéfautest0.

SWAUTOSTART•0=nelancepasFingerprintSoftwareaudémarrage.

•1=lanceFingerprintSoftwareaudémarrage.

Lavaleurpardéfautest1.

SWFPLOGON

SWPOPP•0=désactivelaprotectionparmotdepasseàlamise

SWSSO•0=désactivelafonctiondeconnexionunique.

SWALLOWENROLL•0=désactivel'enregistrementdesempreintesdigitales

SWALLOWDELETE•0=désactivelasuppressiondesempreintesdigitales

SWALLOWIMEXPORT•0=désactivel'importation/exportationdesempreintes

•0=n'utilisepaslaconnexionparempreintesdigitales (GINAouFournisseurdedonnéesd'identication).

•1=utiliselaconnexionparempreintesdigitales(GINA ouFournisseurdedonnéesd'identication).

Lavaleurpardéfautest0.

soustension.

•1=activelaprotectionparmotdepasseàlamise soustension.

Lavaleurpardéfautest0.

•1=activelafonctiondeconnexionunique.

Lavaleurpardéfautest0.

pourlesutilisateursquinesontpasadministrateurs.

•1=activel'enregistrementdesempreintesdigitales pourlesutilisateursquinesontpasadministrateurs.

Lavaleurpardéfautest1.

pourlesutilisateursquinesontpasadministrateurs.

•1=activelasuppressiondesempreintesdigitalespour lesutilisateursquinesontpasadministrateurs.

Lavaleurpardéfautest1.

digitalespourlesutilisateursquinesontpas administrateurs.

•1=activel'importation/exportationdesempreintes digitalespourlesutilisateursquinesontpas administrateurs.

Lavaleurpardéfautest1.

18GuidededéploiementClientSecuritySolution8.3

Tableau8.OptionsprisesenchargeparLenovoFingerprintSoftware(suite)

ParamètreDescription

SWALLOWSELECT•0=désactivelasélectiondel'utilisationdesempreintes

digitalespourremplacerlemotdepasseàlamise soustensionpourlesutilisateursquinesontpas administrateurs.

•1=activelasélectiondel'utilisationdesempreintes

digitalespourremplacerlemotdepasseàlamise soustensionpourlesutilisateursquinesontpas administrateurs.

Lavaleurpardéfautest1.

SWALLOWPWRECOVERY•0=désactivelarécupérationdumotdepasse

Windows.

•1=activelarécupérationdumotdepasseWindows. Lavaleurpardéfautest1.

SWANTIHAMMER•0=désactivelaprotectioncontrelehameçonnage.

•1=activelaprotectioncontrelehameçonnage. Lavaleurpardéfautest1.

SWANTIHAMMERRETRIES

Indiquelenombremaximaledetentatives.Lavaleurpar défautest5. Remarque:Ceparamètrenefonctionnequelorsque SWANTIHAMMERestactivé.

SWANTIHAMMERTIMEOUTIndiqueladuréed'expiration.Lavaleurpardéfautest120.

Remarque:Ceparamètrenefonctionnequelorsque SWANTIHAMMERestactivé.

SWAUTHTIMEOUT•0=désactiveledélaid'expirationdel'authentication.

•1=activeledélaid'expirationdel'authentication. Lavaleurpardéfautest1.

SWAUTHTIMEOUTVALUEIndiqueladuréed'inactivité(ensecondes)avant

l'expirationdel'authentication.Lavaleurpardéfautest

120. Remarque:Ceparamètrenefonctionnequelorsque SWAUTHTIMEOUTestactivé.

SWNONADMIFPLOGONONLY•0=désactivelaconnexionparempreintesdigitales

uniquementpourlesutilisateursquinesontpas administrateurs.

•1=activelaconnexionparempreintesdigitales

uniquementpourlesutilisateurquinesontpas administrateurs.

Lavaleurpardéfautest1.

SWSHOWPOWERON•0=n'afchepaslesoptionsdesécuritéàlamisesous

tension.

•1=afchetoujourslesoptionsdesécuritéàlamise

soustension.

Lavaleurpardéfautest0.

CSS•0=considèrequeClientSecuritySolutionn'apasété

installé.

•1=considèrequeClientSecuritySolutionaétéinstallé. Lavaleurpardéfautest0.

Chapitre2.Installation19

SystemsManagementServer

LesinstallationsdeSMS(SystemsManagementServer)sontégalementprisesencharge.Ouvrezlaconsole d'administrationSMS.Créezunnouveaumoduleetdénissezsespropriétésdefaçonstandard.Ouvrez lemoduleetsélectionnezNouveauprogrammedansProgrammes.Surlalignedecommande,entrezla commandesuivante:

Setup.exe/myourmiflename/q/i

Vouspouvezutiliserlesmêmesparamètresquepourl'installationenmodesilencieux.

Unréamorçageanormalementlieuàlanduprocessusd'installation.Sivoussouhaitezsupprimertousles réamorçageslorsdel'installationeteffectuerunréamorçageultérieurement(aprèsl'installationd'autres programmes),ajoutezREBOOT=«ReallySuppress»àlalistedespropriétés.

20GuidededéploiementClientSecuritySolution8.3

Chapitre3.UtilisationdeClientSecuritySolution

Avantd'installerClientSecuritySolution,vousdevezprendreconnaissancedesfonctionsdepersonnalisation disponiblespourcecomposant.Leprésentchapitrecontientlesinformationsdepersonnalisationrelativesà ClientSecuritySolutionainsiquedesinformationssurlemoduleTPM(T rustedPlatformModule).Leprésent chapitreutiliselestermesdénisparleTCG(TrustedComputingGroup)concernantlemoduleTPM.Pour plusd'informationssurlemoduleTPM,reportez-vousausiteWebsuivant: http://www.trustedcomputinggroup.org/

UtilisationdumoduleTPM

LemoduleTPM(T rustedPlatformModule)estunprocesseurdesécuritéintégré(oupucedesécurité intégrée)conçupourfournirdesfonctionsdesécuritéauxlogicielsquil'utilisent.Leprocesseurdesécurité intégréestinstallésurlacartemèredusystèmeetcommuniqueviaunbusmatériel.Lessystèmesqui contiennentunmoduleTPMpeuventcréerdesclésdechiffrementetleschiffreranqu'ellesnepuissent êtredéchiffréesqueparlemoduleTPM.Cetteprocédureestsouventappeléeencapsulaged'unecléet permetdeprotégerlaclécontretoutedivulgation.Lorsqu'unsystèmecontientunmoduleTPM,laclé d'encapsulageprincipale,appeléecléSRK(StorageRootKey),eststockéedanslemoduleTPMlui-même. Ainsi,lapartieprivéedelaclén'estjamaisexposée.Leprocesseurdesécuritéintégrépeutégalement contenird'autresclésdestockage,desclésdesignature,desmotsdepasseetd'autrespetitesunitésde données.EnraisondelafaiblecapacitédumoduleTPM,lacléSRKestutiliséepourchiffrerlesautresclés nepouvantêtrestockéessurleprocesseur.LacléSRKnequittejamaisleprocesseurdesécuritéintégréet constituelabasedustockageprotégé.

L'utilisationduprocesseurdesécuritéestfacultativeetrequiertl'interventiond'unadministrateurClient SecuritySolution.Qu'ilsoitutiliséparunutilisateurindividuelouunserviceinformatiqueenentreprise,le moduleTPMdoitêtreinitialisé.Lesopérationsultérieurestellesquelapossibilitéderécupérersuiteàun incidentsurledisquedurousurunecartemèrederemplacementsontégalementlimitéesàl'administrateur ClientSecuritySolution.

Remarque:Sivousmodiezlemoded'authenticationettentezdedéverrouillerleprocesseurdesécurité, vousdevezvousdéconnecter,puisvousreconnecterentantqu'administrateurmaître.Vouspourrezalors déverrouillerleprocesseur.Vouspouvezégalementvousconnecterentantqu'utilisateursecondaireet continueràconvertirlemoded'authentication.Celasefaitautomatiquementlorsquelesecondutilisateur seconnecte.ClientSecuritySolutiondemandeausecondutilisateursonmotdepasseoumotdepasse composé.UnefoisqueClientSecuritySolutionaeffectuélamodication,lesecondutilisateurpeut procéderaudéverrouillageduprocesseur.

UtilisationdumoduleTPMavecWindows7

SiWindows7estactivéetquelemoduleTPM(T rustedPlatformModule)estdésactivé,vousdevez désactiverlafonctiondeconnexionWindowsavantdedésactiverlemoduleTPMdansleBIOSàl'aide delatoucheF1.Vouséviterezainsil'afchagedumessagedesécuritésuivant:Securitychiphasbeen deactivated,thelogonprocesscannotbeprotected.

Deplus,sivousmettezàniveaulesystèmed'exploitationd'unsystèmeclient,vousdevezeffacerlecontenu duprocesseurdesécuritépouréviterl'échecdel'enregistrementdeClientSecurity.Poureffacerle contenuduprocesseurdanslesystèmeBIOSF1,lesystèmedoitêtredémarréàpartird'unredémarrage. Vousnepourrezpaseffacerlecontenuduprocesseursivoustentezd'effectuerceprocessusaprèsun redémarrageautomatique.

©CopyrightLenovo2008,2011

GestiondeClientSecuritySolutionàclésdechiffrement

LestâchesdebasedeClientSecuritySolutionseregroupentautourdedeuxactivitésdedéploiement principales:l'affectationdel'administrateurCSS(commandeT akeOwnership)etl'enregistrement d'utilisateurs(commandeEnrollUser).Lorsdelapremièreexécutiondel'assistantdecongurationClient SecuritySolution,lesprocéduresTakeOwnershipetEnrollUsersonttoutesdeuxexécutéeslorsde l'initialisation.L'IDutilisateurWindowsspéciquequiaexécutél'assistantdecongurationClientSecurity Solutioncorrespondàl'administrateurClientSecuritySolutionetestinscritcommeutilisateuractif.Ilsera automatiquementdemandéàtoutautreutilisateurseconnectantausystèmedes'inscriredansClient SecuritySolution.

•T akeOwnership UnseulIDutilisateuradministratifWindowsestaffectécommeadministrateurClientSecuritySolution exclusifpourlesystème.Lesfonctionsd'administrationdeClientSecuritySolutiondoiventêtre obligatoirementexécutéesviacetIDutilisateur.L'autorisationd'accèsaumoduleTPM(TrustedPlatform Module)estconstituésoitparlemotdepasseWindowsdel'utilisateur,soitparlemotdepassecomposé ClientSecurity.

Remarque:Leseulmoyenderécupérerunmotdepassesimpleoucomposédel'administrateur ClientSecuritySolutionencasd'oubliconsisteàdésinstallerlelogicielavecdesautorisationsWindows valablesouàeffacerleprocesseurdesécuritédansleBIOS.Quelquesoitlemoyenchoisi,lesdonnées protégéesvialesclésassociéesaumoduleTPMserontperdues.ClientSecuritySolutionfournit égalementunmécanismefacultatifquipermetlarécupérationpersonnelled'unmotdepasseoumotde passecomposéoubliébaséesurunequestion-réponse.L'administrateurClientSecuritySolutiondécide d'utiliserounonlafonction.

•EnrollUser UnefoislaprocédureTakeOwnershipterminéeetl'administrateurClientSecuritySolutioncréé,uneclé debaseutilisateurpeutêtrecrééepourstockerlesdonnéesd'identicationdemanièresécuriséepour l'utilisateuractuellementconnectéàWindows.Cettefonctionpermetàplusieursutilisateursdes'inscrire dansClientSecuritySolutionetd'utiliserlemêmemoduleTPM.Lesclésd'utilisateursontprotégéesvia leprocesseurdesécurité,maissontstockéesnonpassurceprocesseurmaissurledisquedur.Cette fonctioncréeunespacesurledisquedurcommefacteurdelimitationdestockageaulieud'utiliserla mémoireréelleprésentedansleprocesseurdesécurité.Celapermetd'augmenterconsidérablement lenombred'utilisateurspouvantutiliserlemêmematérielsécurisé.

TakeOwnership

LasécuritédeClientSecuritySolutionestbaséesurlacléSRK(SystemRootKey).Cettecléasymétriquene pouvantfairel'objetd'aucunemigrationestgénéréeauseindel'environnementsécurisédumoduleTPMet n'estjamaisexposéedanslesystème.L'autorisationderéutiliserlacléprovientducompteadministrateur Windowslorsdel'exécutiondelacommandeTPM_T akeOwnership.Silesystèmeréutiliseunmotde passecomposéClientSecurity,c'estlemotdepassecomposéClientSecurityassociéàl'administrateur ClientSecuritySolutionquiconstituel'autorisationTPM.Autrement,c'estlemotdepasseWindowsde l'administrateurClientSecuritySolution.

OutrelacléSRKcrééepourlesystème,d'autrespairesdecléspeuventêtrecrééesetstockéesendehors dumoduleTPM,maisencapsuléesouprotégéesparlesclésmatérielles.Etantdonnéquelemodule TPM,quicomprendlacléSRK,estunmatérieletquelematérielpeutêtreendommagé,unmécanisme derécupérationestnécessairepourêtresûrqu'unendommagementdusystèmen'empêcherapasla récupérationdesdonnées.

Lorsqu'unerécupérationdusystèmeestnécessaire,uneclédebasesystèmeestcréée.Cettecléde stockageasymétriquepermetàl'administrateurClientSecuritySolutionderécupérerd'unepermutationde cartemèreoud'unemigrationplaniéeversunautresystème.Pourprotégerlaclédebasesystèmemais luipermettrederesteraccessibledurantlefonctionnementnormaldusystèmeoularécupération,deux

22GuidededéploiementClientSecuritySolution8.3

instancesdecetteclésontcrééesetprotégéespardeuxméthodesdistinctes.Lapremièreinstancede

System Level Key Structure - Take Ownership

Trusted Platform Module

Encrypted via derived AES Key

Storage Root Private Key

Storage Root Public Key

System Leaf Private Key

System Base Private Key

System Leaf Public Key

System Base Public Key

System Base Private Key

System Base Public Key

If Passphrase

loop n times

CSS Admin PW/PP

One-Way Hash

System Base AES

Protection Key

(derived via output

of hash algorithm)

Auth

laclédebasesystèmeestchiffréeavecuneclésymétriqueAESquiestdérivéedumotdepasseoudu motdepassecomposéClientSecuritydel'administrateurClientSecuritySolution.Cettecopiedelaclé derécupérationdeClientSecuritySolutionauniquementpourbutdepermettreunerécupérationencas d'effacementdumoduleTPMouderemplacementdelacartemèrelorsd'unincidentmatériel.

LasecondeinstancedelacléderécupérationdeClientSecuritySolutionestencapsuléeparlacléSRK envuedel'importerdanslahiérarchiedesclés.Cettedoubleinstancedelaclédebasesystèmepermet aumoduleTPMdeprotégerlesdonnéessecrètesquiluisontassociéesencasd'utilisationnormaleetde permettreunerécupérationdelacartemère(aucasoùelleseraitendommagée)vialaclédebasesystème quiestchiffréeavecunecléAESdéverrouilléeparlemotdepasseadministrateurClientSecuritySolutionou lemotdepassecomposéClientSecurity.Ensuite,unecléélémentairesystèmeestcréée.Cettecléest crééepourprotégerlesdonnéescondentiellesauniveaudusystèmetellesquelacléAES.

Lediagrammesuivantfournitlastructurepourlaclésystème:

Figure1.Structuredeclédeniveausystème-Affectationdel'administrateur

EnrollUser

PourquelesdonnéesdechaqueutilisateurpuissentêtreprotégéesparlemêmemoduleTPM,unecléde baseutilisateurestcrééepourchaqueutilisateur.Cetteclédestockageasymétriquepeutfairel'objetd'une migrationetestégalementcrééeendoubleetprotégéeparunecléAESsymétriquegénéréeàpartirdumot depasseWindowsdechaqueutilisateuroudumotdepassecomposéClientSecurity.

LasecondeinstancedelaclédebaseutilisateurestensuiteimportéedanslemoduleTPMetprotégéeparla cléSRKdusystème.Unecléasymétriquesecondaire,appeléecléélémentaire,estcrééenmêmetempsque laclédebaseutilisateur.Lacléélémentaireprotègelesdonnéescondentiellesindividuellestellesquelaclé AESdePasswordManagerutiliséepourprotégerlesinformationsdeconnexionInternet,lemotdepasse utilisépourprotégerdesdonnéesetlacléAESdemotdepasseWindowsutiliséepouraccéderausystème d'exploitation.L'accèsàlacléélémentaireutilisateurestcontrôléparlemotdepasseutilisateurWindowsou lemotdepassecomposéClientSecuritySolutionetestautomatiquementdéverrouillédurantlaconnexion.

Chapitre3.UtilisationdeClientSecuritySolution23

Lediagrammesuivantfournitlastructurepourlacléutilisateur:

User Level Key Structure - Enroll User

Trusted Platform Module

Encrypted via derived AES Key

Storage Root Private Key

Storage Root Public Key

User Leaf Private Key

User Base Private Key

User Leaf Public Key

User Base Public Key

Windows PW AES Key

PW Manager AES Key

User Base Private Key

User Base Public Key

If Passphrase

loop n times

User PW/PP

One-Way Hash

User Base AES

Protection Key (derived via output of hash algorithm)

Auth

Figure2.Structuredeclédeniveauutilisateur-Inscriptiondel'utilisateur

Enregistrementenarrière-plan

ClientSecuritySolution8.3prendenchargel'enregistrementd'utilisateursenarrière-plan,quiestdémarrée automatiquement.Leprocessusd'enregistrementestexécutéenarrière-plansansafcherdenotication.

Remarque:L'enregistrementenarrière-plann'estdisponiblequepourl'enregistrementd'utilisateurs démarréeautomatiquement.Pourl'enregistrementd'utilisateursdémarréemanuellement,danslemenu DémarrerouRéinitialiserlesparamètresdesécurité,uneboîtededialogues'afchepourindiquerà l'utilisateurdepatienteravantquel'enregistrementd'utilisateurssoitdisponible.

L'administrateurlocaloul'administrateurdedomainepeutégalementforcerl'afchagedelaboîtede dialogueenmodiantlarègleci-dessouscommesuit:

CSS_GUI_ALWAYS_SHOW_ENROLLMENT_PROCESSING

Ouenmodiantlacléderegistreci-dessouscommesuit:

HKLM\software\policies\lenovo\clientsecuritysolution\GUIoptions\ AlwaysShowEnrollmentProcessing

LavaleurpardéfautdeAlwaysShowEnrollmentProcessingest0.Lorsquelacléderegistreci-dessusest déniesur0,laboîtededialogued'attentenes'afchepaspourl'enregistrementd'utilisateursdémarrée automatiquement.Lorsquecetterègleestdéniesur1,laboîtededialogued'attentes'afchetoujourslors del'enregistrementd'utilisateursquelesoitlemodededémarragedel'enregistrement.

Emulationdelogiciel

Pourproposerunenvironnementcohérentàl'utilisateurdontl'ordinateurn'estpaséquipédumoduleTPM, CSSprendenchargelemoded'émulationTPM.

Lemoded'émulationTPMestuneracined'approbationlogicielle.Lesmêmesfonctionnalitésquedansle moduleTPM,notammentlasignatureélectronique,ledéchiffrementdecléssymétriques,l'importationdeclé

24GuidededéploiementClientSecuritySolution8.3

RSA,laprotectionetlagénérationdenumérosaléatoires,sontdisponibles,maislasécuritéestmoindrecar laracined'approbationtientdansdescléslogicielles.

Lemoded'émulationTPMnepeutpasêtreutilisécommesubstitutsécurisépourlemoduleTPM.Le moduleTPMproposelesdeuxméthodesdeprotectionparcléci-dessous,quisontplussécuriséesquele moded'émulationTPM.

•TouteslesclésutiliséesparlemoduleTPMsontprotégéesparuneclédeniveauracineunique.Cette cléestcrééedanslemoduleTPMetnepeutpasêtreutiliséeendehorsdumoduleTPM.Danslemode d'émulationTPM,laclédeniveauderacineestuneclélogiciellestockéesurledisquedur.

•TouteslesopérationssurlesclésprivéessonteffectuéesdanslemoduleTPM,anqueleséléments declésprivéesnesoientjamaisexposésendehorsdumoduleTPM.Danslemoded'émulationTPM, touteslesopérationssurlesclésprivéessonteffectuéesdanslelogiciel,donciln'yaaucuneprotection desélémentsdeclésprivées.

Lemoded'émulationTPMestprincipalementdestinéauxutilisateurspourlesquelslasécuritéetlavitesse deconnexionausystèmenesontpasvitales.

Remplacementdecartemère

Leremplacementdelacartemèreimpliquequel'anciennecléSRKàlaquellelesclésétaientassociées n'estplusvalableetqu'ilfaututiliseruneautrecléSRK.Celapeutégalementseproduiresilemodule TPMesteffacéduBIOS.

L'administrateurClientSecuritySolutiondoitalorslierlesaccréditationsdusystèmeàunenouvellecléSRK. LaclédebasesystèmedoitêtredéchiffréevialaclédeprotectionAESdebasesystèmedérivéedes accréditationsd'autorisationdel'administrateurClientSecuritySolution.

SiunadministrateurClientSecuritySolutionpossèdeunIDutilisateurdedomaineetquelemotdepasse associéàcetIDaétémodiésuruneautremachine,lemotdepasseutilisélorsdeladernièreconnexion ausystèmenécessitantunerécupérationdevraêtreconnupourqueledéchiffrementdelaclédebase systèmepuisseêtreeffectuédanslecadredelarécupération.Parexemple,durantledéploiement,unID administrateurClientSecuritySolutionetunmotdepasseassociésontcongurés.Silemotdepassede cetutilisateurestmodiésuruneautremachine,lemotdepassed'originedénidurantledéploiement constitueral'autorisationrequisepourpouvoireffectuerlarécupérationdusystème.

Poureffectuerleremplacementd'unecartemère,procédezcommesuit:

1.L'administrateurClientSecuritySolutionseconnecteausystèmed'exploitation.

2.Lecodeexécutélorsdelaconnexion(cssplanarswap.exe)détectequeleprocesseurdesécuritéest désactivéetdemandeunredémarragepourpouvoirl'activer.(Cetteétapepeutêtreévitéeenactivantle processeurdesécuritévialeBIOS.)

3.Lesystèmeestredémarréetleprocesseurdesécuritéestactivé.

4.L'administrateurClientSecuritySolutionseconnecteetlanouvelleprocédureTakeOwnershipest exécutée.

5.Laclédebasesystèmeestdéchiffréeàl'aidedelaclédeprotectionAESdebasesystèmequidécoule del'authenticationdel'administrateurClientSecuritySolution.Laclédebasesystèmeestimportée danslanouvellecléSRKetrétablitlacléélémentaireettouteslesautorisationsd'accèsqu'elleprotège.

6.Larécupérationdusystèmeestterminée.

Remarque:Enmodeémulation,ilestinutilederemplacerlacartemère.

Chapitre3.UtilisationdeClientSecuritySolution25

Lediagrammesuivantfournitlastructurepourleremplacementdelacartemèrelaprisedepropriété:

Motherboard Swap - Take Ownership

Trusted Platform Module

Decrypted via derived AES Key

System Leaf Private Key

Store Leaf Private Key

System Leaf Public Key

Store Leaf Public Key

System Base Private Key

System Base Public Key

If Passphrase

loop n times

CSS Admin PW/PP

One-Way Hash

System Base AES

Protection Key

(derived via output

of hash algorithm)

Figure3.Remplacementdelacartemère-Affectationdel'administrateur

Lorsdelaconnexiondechaqueutilisateurausystème,laclédebaseutilisateurestautomatiquement déchiffréevialaclédeprotectionAESdebaseutilisateurdécoulantdel'authenticationdel'utilisateuret importéedanslanouvellecléSRKcrééeparl'administrateurClientSecuritySolution.Lediagrammesuivant fournitlastructurepourleremplacementdelacartemère-enregistrementdel'utilisateur:

Pourconnecterunsecondutilisateuraprèsavoireffacélecontenuduprocesseurouaprèsleremplacement delacartemère,vousdevezvousconnecterentantqu'administrateurmaître.L'administrateurmaîtreest invitéàrestaurerlesclés.Unefoislesclésrestaurées,utilisezlegestionnairederèglespourdésactiverla connexionWindowsClientSecurity.Lesutilisateursrestantspeuventrestaurerleursclésrespectives. Lorsquetouslesutilisateurssecondairesontrestauréleursclés,l'administrateurmaîtrepeutactiverla fonctiondeconnexionWindowsdeClientSecuritySolution.

26GuidededéploiementClientSecuritySolution8.3

Lediagrammesuivantfournitlastructurepourleremplacementdelacartemère-enregistrementde

Motherboard Swap - Enroll User

Trusted Platform Module

Decrypted via derived AES Key

Storage Root Private Key

Storage Root Public Key

User Leaf Private Key

User Leaf Public Key

Windows PW AES Key

PW Manager AES Key

User Base Private Key

User Base Public Key

If Passphrase

loop n times

User PW/PP

One-Way Hash

User Base AES

Protection Key

(derived via output

of hash algorithm)

l'utilisateur:

Figure4.Remplacementdelacartemère-Inscriptiondel'utilisateur

UtilitairedeverrouillageEFS

ClientSecuritySolutionfournitunutilitairedelignedecommandequiactiveleverrouillagebasésurle moduleTPMdescerticatsdechiffrementutilisésparEFS(EncryptingFileSystem)pourchiffrerdeschiers etdesdossiers.Cetutilitaireprendenchargeletransfertdescerticatstiers(certicatscréésparune autoritédecertication)ainsiquelagénérationdecerticatssignésindividuellement.

LeverrouillageducerticatEFSparClientSecuritySolutionsigniequelacléprivéeassociéeàcecerticat estprotégéeparlemoduleTPM.L'accèsaucerticatestaccordéunefoisl'utilisateurauthentiéauprèsde ClientSecuritySolution.

SiaucunmoduleTPMn'estdisponible,lecerticatEFSestprotégéàl'aidedel'émulateurTPMfournitpar ClientSecuritySolution.VousdevezêtreinscritauprèsdeClientSecuritySolutionpourquelescerticats EFSsoientprotégés.

ATTENTION: SivousutilisezClientSecuritySolutionetEncryptingFileSystem(EFS)pourchiffrerdeschierset desdossiers,chaquefoisqueClientSecuritySolutionoulemoduleTPMnesontpasdisponibles vousnepouvezpasaccéderauxchierschiffrés.

SilemoduleTPMnerépondplus,ClientSecuritySolutionrestaurel'accèsauxdonnéeschiffréesune foislacartemèreremplacée.

Utilisationdel'utilitairedelalignedecommandeEFS

LetableausuivantfournitlesparamètresdelalignedecommandeprisenchargepourEFS:

Chapitre3.UtilisationdeClientSecuritySolution27

Tableau9.ParamètresdelignedecommandeprisenchargepourEFS

ParamètreDescription

/generate:<size>Créeuncerticatauto-signéetl'associeàEFS.Si<size>

estspécié,laclécrééeseraendehorsdelatailleenbits spéciée.Lesvaleursvalidescomprennent512,1024 et2048.Siaucunevaleur,ouunevaleurnonvalide,est spéciée,pardéfautdesclésde1024bitsserontcréées.

/sn:xxxxxxSpécielenumérodeséried'uncerticatexistantà

transféreretàassocieravecEFS.

/cn:yyyyyySpécielenom("émisvers")d'uncerticatexistantà

transféreretàassocieravecEFS.

/rstavailTransfèrelepremiercerticatEFSexistantdisponibleet

l'associeàEFS.

/silentN'afcheaucunesortie.Codesretourfournisparlavaleur

lorsqueleprogrammequitte.

/?or/hor/help

Afchelesinformationsd'aide.

Lorsquelemodesilencieuxn'estpasutilisélorsdel'exécution,l'utilitaireretournel'unedeserreurssuivantes:

0-"Commandcompletedsuccessfully" 1-"ThisutilityrequiresWindowsXP" 2-"ThisutilityrequiresClientSecuritySolutionversion8 .0" 3-"ThecurrentuserisnotenrolledwithClientSecuritySolution" 4-"Thespeciedcerticatecouldnotbefound" 5-"Unabletogenerateaself-signedcerticate” 6-"NoEFScerticatesweref ound" 7-"UnabletoassociatethecerticatewithEFS”

Lorsquelemodesilencieuxestutilisélorsdel'exécution,lasortieduprogrammeestunniveaud'erreur correspondantauxnumérosd'erreurafchésci-dessus.

UtilisationduschémaXML

LescriptingXMLconsisteàpermettreauxadministrateursinformatiquesdecréerdesscriptspersonnalisés pouvantêtreutiliséspourdéployeretcongurerClientSecuritySolution.Lesscriptspeuventêtreprotégés parl'exécutablexml_crypt_toolavecunmotdepassetelquelechiffrementAES.Unefoiscréée,lamachine virtuelle(vmserver.exe)acceptelesscriptsenentrée.Lamachinevirtuelleappellelesmêmesfonctionsque l'assistantdecongurationClientSecuritySolutionpourcongurerlelogiciel.

Touslesscriptssecomposentd'unebalisepermettantdedénirletypedecodageXML,leschémaXMLet aumoinsunefonctionàexécuter.LeschémaestutilisépourvaliderlechierXMLetcontrôlerlaprésence desparamètresrequis.L'utilisationd'unschéman'estpasactuellementappliquée.Chaquefonctionest inclusedansunebalisedefonction.Chaquefonctionpossèdeunordrequiindiquedansquelordrela commandeseraexécutéeparlamachinevirtuelle(vmserver.exe).Chaquefonctionpossèdeunnuméro deversion:actuellement,touteslesfonctionsensontàlaversion1.0.Chacundesscriptsexemples ci-dessouscontientuneseulefonction.Cependant,unscriptd'entraînementcontientleplussouvent plusieursfonctions.Ilestpossibled'utiliserl'assistantdecongurationClientSecuritySolutionpourcréerce genredescript.Pourplusd'informationsconcernantlacréationdescriptsavecl'assistantdeconguration, voir«AssistantdecongurationClientSecuritySolution»àlapage39.

Remarque:Sileparamètre<DOMAIN_NAME_PARAMETER>estabsentdel'unedesfonctionsnécessitant unnomdedomaine,c'estlenomd'ordinateurpardéfautdusystèmequiestutilisé.

28GuidededéploiementClientSecuritySolution8.3

Exemples

LescommandessuivantessontdesexemplesduschémaXML:

ENABLE_TPM_FUNCTION

CettecommandeactivelemoduleTPMetutilisel'argumentSYSTEM_PAP.Silesystèmepossèdedéjàun motdepassesuperviseur/administrateurBIOSdéni,cetargumentdoitêtrefourni.Sinon,cetargument estfacultatif.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment> <FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENABLE_TPM_FUNCTION</COMMAND> <VERSION>1.0</VERSION> <SYSTEM_PAP>PASSWORD</SYSTEM_PAP> </FUNCTION>

</CSSFile>

Remarque:Cettecommanden'estpaspriseenchargedanslemoded'émulation.

DISABLE_TPM_FUNCTION

Cettecommandeutilisel'argumentSYSTEM_PAP.Silesystèmepossèdedéjàunmotdepasse superviseur/administrateurBIOSdéni,cetargumentdoitêtrefourni.Sinon,cetargumentestfacultatif.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment <FUNCTION> <ORDER>0001</ORDER> <COMMAND>DISABLE_TPM_FUNCTION</COMMAND> <VERSION>1.0</VERSION> <SYSTEM_PAP>password</SYSTEM_PAP> </FUNCTION>

</CSSFile>

Remarque:Cettecommanden'estpaspriseenchargedanslemoded'émulation.

ENABLE_PWMGR_FUNCTION

CettecommandeactivePasswordManagerpourtouslesutilisateursdeClientSecuritySolution.

<?xmlversion="1.0"encoding="UTF-8"standalone="no"?>

<CSSFilexmlns="www.lenovo.com/security/CSS"> <FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENABLE_PWMGR_FUNCTION</COMMAND> <VERSION>1.0</VERSION> </FUNCTION>

</CSSFile>

ENABLE_CSS_GINA_FUNCTION

SousWindowsXP ,WindowsVistaetWindows7,cettecommandeactivelaconnexionWindowspour ClientSecuritySolution:

-<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

Chapitre3.UtilisationdeClientSecuritySolution29

<registry_settings/> </tvt_deployment <FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENABLE_CSS_GINA_FUNCTION</COMMAND> <VERSION>1.0</VERSION> </FUNCTION>

</CSSFile>

ENABLE_UPEK_GINA_FUNCTION

Remarques:

1.Cettecommandenes'appliquequ'àThinkVantageFingerprintSoftware.

2.Cettecommanden'estpaspriseenchargedanslemoded'émulation.

Lacommandeci-dessouspermetlaconnexionWindowspourThinkVantageFingerprintetdésactivela connexionWindowspourClientSecuritySolution.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment> <FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENABLE_UPEK_GINA_FUNCTION</COMMAND> <VERSION>1.0</VERSION> </FUNCTION>

</CSSFile>

ENABLE_UPEK_GINA_WITH_FUS_FUNCTION

Remarques:

1.Cettecommandenes'appliquequ'àThinkVantageFingerprintSoftware.

2.Cettecommanden'estpaspriseenchargedanslemoded'émulation.

Lacommandeci-dessouspermetlaconnexionaveclechangementrapided'utilisateuretdésactivela connexionWindowspourClientSecuritySolution.Lechangementrapided'utilisateurn'estpasactivé lorsquel'ordinateursetrouvedansunenvironnementdedomaine.Ils'agitd'uneconceptiondeMicrosoft.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment <FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENABLE_UPEK_GINA_WIH_FUS_FUNCTION</COMMAND> <VERSION>1.0</VERSION> </FUNCTION>

</CSSFile>

ENABLE_AUTHENTEC_GINA_FUNCTION

Remarques:

1.CettecommandeneconcernequeLenovoFingerprintSoftware.

2.Cettecommanden'estpaspriseenchargedanslemoded'émulation.

Lacommandeci-dessouspermetlaconnexionWindowspourLenovoFingerprintetdésactivelaconnexion WindowspourClientSecuritySolution.

<tvt_deploymentxmlns="http://www.lenovo.com"

30GuidededéploiementClientSecuritySolution8.3

xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment> <FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENABLE_AUTHENTEC_GINA_FUNCTION</COMMAND> <VERSION>1.0</VERSION> </FUNCTION>

</CSSFile>

ENABLE_AUTHENTEC_GINA_WITH_FUS_FUNCTION

Remarques:

1.CettecommandeneconcernequeLenovoFingerprintSoftware.

2.Cettecommanden'estpaspriseenchargedanslemoded'émulation.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment <FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENABLE_AUTHENTEC_GINA_WIH_FUS_FUNCTION</COMMAND> <VERSION>1.0</VERSION> </FUNCTION>

</CSSFile>

ENABLE_NONE_GINA_FUNCTION

SiGINAouleFournisseurdedonnéesd'identicationdel'undescomposantsliésauxtechnologies ThinkVantage,commeThinkVantageFingerprintSoftware,ClientSecuritySolutionouAccessConnections, estactivé,cettecommandedésactivelaconnexionThinkVantageFingerprintSoftwareetlaconnexion ClientSecuritySolution.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment <FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENABLE_CSS_NONE_FUNCTION</COMMAND> <VERSION>1.0</VERSION> </FUNCTION>

</CSSFile>

Remarque:Cettecommanden'estpaspriseenchargedanslemoded'émulation.

SET_PP_FLAG_FUNCTION

CettecommandeécritunindicateurluparClientSecuritySolutionpourdéterminersic'estlemotdepasse composéClientSecurityoulemotdepasseWindowsquidoitêtreutilisé.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/>

Chapitre3.UtilisationdeClientSecuritySolution31

</tvt_deployment <FUNCTION> <ORDER>0001</ORDER> <COMMAND>SET_PP_FLAG_FUNCTION</COMMAND> <PP_FLAG_SETTING_PARAMETER>USE_CSS_PP</PP_FLAG_SETTING_PARAMETER> <VERSION>1.0</VERSION> </FUNCTION>

</CSSFile>

Remarque:Cettecommanden'estpaspriseenchargedanslemoded'émulation.

SET_ADMIN_USER_FUNCTION

CettecommandeposeunebalisequeClientSecuritySolutionlitpourdéterminerquiestl'administrateur. Lesparamètressontlessuivants:

•USER_NAME_PARAMETER Nomd'utilisateurdel'administrateur.

•DOMAIN_NAME_PARAMETER Nomdedomainedel'administrateur.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment <FUNCTION> <ORDER>0001</ORDER> <COMMAND>SET_ADMIN_USER_FUNCTION</COMMAND> <USER_NAME_PARAMETER>sabedi</USER_NAME_PARAMETER> <DOMAIN_NAME_PARAMETER>IBM-2AA92582C79<DOMAIN_NAME_PARAMETER> <VERSION>1.0</VERSION> <SYSTEM_PAP>PASSWORD</SYSTEM_PAP> </FUNCTION>

</CSSFile>

Remarque:Cettecommanden'estpaspriseenchargedanslemoded'émulation.

INITIALIZE_SYSTEM_FUNCTION

CettecommandeinitialiselafonctionsystèmedeClientSecuritySolution.Lescléssystèmesontgénérées viacetappeldefonction.Lalistedeparamètressuivanteexpliquechaquefonction:

•NEW_OWNER_AUTH_DATA_PARAMETER Ceparamètrepermetdedénirlenouveaumotdepassepropriétairepourlesystème.Pourlenouveau motdepassepropriétaire,lavaleurdeceparamètreestcontrôléeparlemotdepassepropriétaireen cours.Silemotdepassepropriétaireencoursn'estpasdéni,lavaleurdeceparamètreesttransmiseet devientlenouveaumotdepassepropriétaire.Silemotdepassepropriétaireencoursestdéjàdéniet quel'administrateurutiliselemêmemotdepassepropriétaireencours,lavaleurdeceparamètreest transmise.Sil'administrateurutiliseunnouveaumotdepassepropriétaire,lenouveaumotdepasse propriétaireseratransmisavecceparamètre.

•CURRENT_OWNER_AUTH_DATA_PARAMETER Ceparamètreestlemotdepassepropriétaireencoursdusystème.Silesystèmepossèdedéjàunmotde passepropriétaire,ceparamètredoittransmettrelemotdepasseprécédent.Siunnouveaumotdepasse propriétaireestdemandé,lemotdepassepropriétaireencoursesttransmisavecceparamètre.Siaucun changementdemotdepasseestconguré,lavaleurNO_CURRENT_OWNER_AUTHesttransmise.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

32GuidededéploiementClientSecuritySolution8.3

<registry_settings/> </tvt_deployment <FUNCTION> <ORDER>0001</ORDER> <COMMAND>INITIALIZE_SYSTEM_FUNCTION</COMMAND> <NEW_OWNER_AUTH_DATA_PARAMETER>pass1word</NEW_OWNER_AUTH_DATA_ PARAMETER> <CURRENT_OWNER_AUTH_DATA_PARAMETER>No_CURRENT_OWNER_AUTH</CURRENT _OWNER_AUTH_DATA_PARAMETER> <VERSION>1.0</VERSION> </FUNCTION>

</CSSFile>

CHANGE_TPM_OWNER_AUTH_FUNCTION

Cettecommandemodiel'autorisationadministrateurClientSecuritySolutionetmetàjourlescléssystème enfonctiondecettemodication.Lescléssystèmesontmisesàjourviacetappeldefonction.Les paramètressontlessuivants:

•NEW_OWNER_AUTH_DATA_PARAMETER NouveaumotdepassepropriétairedumoduleTPM.

•CURRENT_OWNER_AUTH_DATA_PARAMETER MotdepassepropriétaireactueldumoduleTPM.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment <FUNCTION> <ORDER>0001</ORDER> <COMMAND>CHANGE_TPM_OWNER_AUTH_FUNCTION</COMMAND> <NEW_OWNER_AUTH_DATA_PARAMETER>newPassWord</NEW_OWNER_AUTH_DATA_ PARAMETER> <CURRENT_OWNER_AUTH_DATA_PARAMETER>oldPassWord</CURRENT_OWNER_AUTH _DATA_PARAMETER> <VERSION>1.0</VERSION> </FUNCTION>

</CSSFile>

Remarque:Cettecommanden'estpaspriseenchargedanslemoded'émulation.

ENROLL_USER_FUNCTION

CettecommandeenregistreunutilisateurparticulierpourutiliserClientSecuritySolution.Cettefonctioncrée touteslesclésdesécuritépropresàunutilisateurdonné.Lesparamètressontlessuivants:

•USER_NAME_PARAMETER Nomdel'utilisateuràinscrire.

•DOMAIN_NAME_PARAMETER Nomdedomainedel'utilisateuràinscrire.

•USER_AUTH_DATA_PARAMETER MotdepasseWindowsoumotdepassecomposéTPMaveclequelvontêtrecrééeslesclésdesécurité utilisateur.

•WIN_PW_PARAMETER LemotdepasseWindows.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

Chapitre3.UtilisationdeClientSecuritySolution33

<registry_settings/> </tvt_deployment <FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENROLL_USER_FUNCTION</COMMAND> <USER_NAME_PARAMETER>sabedi</USER_NAME_PARAMETER> <DOMAIN_NAME_PARAMETER>IBM-2AA92582C79<DOMAIN_NAME_PARAMETER> <USER_AUTH_DATA_PARAMETER>myCssUserPassPhrase</USER_AUTH_DATA_PARAMETER>

<WIN_PW_PARAMETER>myWindowsPassword</WIN_PW_PARAMETER> <VERSION>1.0</VERSION> </FUNCTION>

</CSSFile>

USER_PW_RECOVERY_FUNCTION

Cettecommandecongureunerécupérationdemotdepasseutilisateurparticulière.Lesparamètres sontlessuivants:

•USER_NAME_PARAMETER Nomdel'utilisateuràinscrire.

•DOMAIN_NAME_PARAMETER Nomdedomainedel'utilisateuràinscrire.

•USER_PW_REC_QUESTION_COUNT Nombredequestionsauxquellesl'utilisateurdoitrépondre.

•USER_PW_REC_ANSWER_DA TA_PARAMETER Réponsestockéepourunequestionparticulière.Lenomréeldeceparamètreestconcaténéavecun nombrecorrespondantàlaquestionàlaquelleilrépond.

•USER_PW_REC_STORED_PASSWORD_PARAMETER Motdepassestockéquiestprésentéàl'utilisateurlorsqu'ilaréponducorrectementàtouteslesquestions.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment <FUNCTION> <ORDER>0001</ORDER> <COMMAND>USER_PW_RECOVERY_FUNCTION</COMMAND> <USER_NAME_PARAMETER>sabedi</USER_NAME_PARAMETER> <DOMAIN_NAME_PARAMETER>IBM-2AA92582C79<DOMAIN_NAME_PARAMETER> <USER_PW_REC_ANSWER_DATA_PARAMETER>T est1</USER_PW_REC_ANSWER_DATA_PARA METER> <USER_PW_REC_ANSWER_DATA_PARAMETER>T est2</USER_PW_REC_ANSWER_DATA_PARA METER> <USER_PW_REC_ANSWER_DATA_PARAMETER>T est3</USER_PW_REC_ANSWER_DATA_PARA METER> <USER_PW_REC_QUESTION_COUNT>3</USER_PW_REC_QUESTION_COUNT> <USER_PW_REC_QUESTION_LIST>20000,20001,20002</USER_PW_REC_QUESTION_LIST> </USER_PW_REC_STORED_PASSWORD_PARAMETER>Pass1word</USER_PW_REC_STORED_PASS WORD_PARAMETER> <VERSION>1.0</VERSION> </FUNCTION>

</CSSFile>

GENERATE_MUL TI_FACTOR_DEVICE_FUNCTION

Cettecommandegénèrelesélémentsmulti-facteurClientSecuritySolutionutiliséespourl'authentication. Lesparamètressontlessuivants:

34GuidededéploiementClientSecuritySolution8.3

•USER_NAME_PARAMETER-Nomd'utilisateurdel'administrateur.

•DOMAIN_NAME_PARAMETER-Nomdedomainedel'administrateur.

•MULTI_FACTOR_DEVICE_USER_AUTH-MotdepassecomposéClientSecurityoumotdepasse Windowspermettantdecréerlesclésdesécuritédel'utilisateur.

<?xmlversion="1.0"encoding="UTF-8"standalone="no"?>

<CSSFile=xmlns="www.ibm.com/security/CSS"> <FUNCTION> <ORDER>0001</ORDER> <COMMAND>GENERATE_MULTI_FACTOR_DEVICE_FUNCTION</COMMAND> <USER_NAME_PARAMETER>myUserName</USER_NAME_PARAMETER> <DOMAIN_NAME_PARAMETER>domainName</DOMAIN_NAME_PARAMETER> <MULTI_FACTOR_DEVICE_USER_AUTH>myCssUserPassPhrase</MUL TI_FACTOR_DEVICE_USER_AUTH> <VERSION>1.0</VERSION> </FUNCTION>

</CSSFile>

SET_USER_AUTH_FUNCTION

Cettecommandedénitl'authenticationd'utilisateurClientSecuritySolution:

<?xmlversion="1.0"encoding="UTF-8"standalone="no"?> <CSSFile=xmlns="www.ibm.com/security/CSS"> <FUNCTION> <ORDER>0001</ORDER> <COMMAND>SET_USER_AUTH_FUNCTION</COMMAND> <VERSION>1.0</VERSION> </FUNCTION>

</CSSFile>

UtilisationdejetonsSecurIDRSA

Lamiseenplacedelaméthoded'algorithmedechiffrementdedonnéesàl'aidedejetonsSecurIDRSA enplusdeClientSecuritySolutionfourniraàvotreentrepriseunesécuritémulti-facteur.Aveclesjetons SecurIDRSA,lesutilisateurss'authentientauxréseauxetauxlogicielsenutilisantleurIDutilisateurouleur codecondentieletuneunitédejeton.L'unitédejetonafcheunechaînedenumérosquichangetoutes lessoixantesecondes.Cetteméthoded'authenticationfournitunniveaud'authenticationd'utilisateur beaucoupplusablequelesmotsdepasseréutilisables.

InstallationdujetondulogicielRSASecurID

SuivezlesétapessuivantespourinstallerlelogicielRSASecurID:

1.AccédezausiteWebsuivant: http://www.rsasecurity.com/node.asp?id=1156

2.Suivezleprocessusd'enregistrement.

3.TéléchargezetinstallezlelogicielRSASecurID.

Congurationrequise

1.ChaqueutilisateurWindowsdoitêtreinscritauprèsdeClientSecuritySolutionpourquelelogicielRSA fonctionnecorrectementunfoisassociéàClientSecuritySolution.

2.LelogicielRSAcherche,enboucle,às'authentierauprèsd'unutilisateurWindowsnoninscritauprès deClientSecuritySolution.Inscrivezl'utilisateurauprèsdeClientSecuritySolutionpourrésoudrece problème.

Chapitre3.UtilisationdeClientSecuritySolution35

Congurationdesoptionsd'accèsdelacarteàpuce

Pourcongurerlesoptionsd'accèsdelacarteàpuce,suivezlesétapesindiquéesci-dessous:

1.DanslemenuprincipalRSASecurID,cliquezsurT ools,puiscliquezsurSmartCardAccessOptions.

2.DanslepanneauSmartCardCommunication,sélectionnezleboutonradiopourAccesstheSmart CardthroughaPKCS#11module.

3.CliquezsurleboutonBrowseetnaviguezjusqu'aucheminsuivant:

C:\ProgramFiles\LENOVO\ClientSecuritySolution\csspkcs11.dll

4.Cliquezsurlechiercsspkcs11.dll,puiscliquezsurSelect.

5.CliquezsurOK.

InstallationmanuelledujetondulogicielRSASecurID

PouroptimiserlaprotectionClientSecuritySolutionaveclejetondulogicielRSASecurID,procédezcomme suit:

1.DanslemenuprincipaldujetondulogicielRSASecurID,cliquezsurFile,puiscliquezsurImport Tokens.

2.Naviguezversl'emplacementduchierSDTID,puiscliquezsurOpen.

3.DanslepanneauSelectT oken(s)toInstall,mettezenévidencelesnumérosdesériedesjetonsdu logicielchoisis.

4.CliquezsurT ransferSelectedT okensSmartCard.

Remarque:Siunjetonaunmotdepassededistribution,entrez-leàl'invite.

5.CliquezsurOK.

Priseencharged'ActiveDirectory

LecheminsuivantfournitlechemindurépertoirepourlemodulePKCS#11pourClientSecuritySolution:

C:\ProgramFiles\Lenovo\ClientSecuritySolution\csspkcs11.dll

PouroptimiserlemodulePKCS#11deClientSecuritySolution,lesrèglessuivantesdoiventêtredénies pourActiveDirectory:

1.PKCS#11Signature

2.PKCS#11Decryption

LetableausuivantfournitlazonedemodiableetladescriptiondesrèglespourPKCS#11:

Tableau10.ThinkVantage\ClientSecuritySolution\AuthenticationPolicies\PKCS#11Signature\CustomMode

ZonesCSS.ADM

Zonedemodiable Descriptiondezone

Valeurspossibles

Obligatoire Vériesiunmotdepasseouunmotdepassecomposé

estrequis.

•Activé –Achaquefois

–Unefoisparconnexion

•Désactivé

•Nonconguré

36GuidededéploiementClientSecuritySolution8.3

Paramètresetrèglespourl'authenticationdulecteurd'empreintes digitales

Optiondecontournementdesempreintesdigitalesappliquée

L'optiondecontournementdesempreintesdigitalespermetàunutilisateurdecontournerl'authentication parlesempreintesdigitalesetd'utiliserunmotdepasseWindowspourseconnecter.L'utilisateurpeut sélectionneroudésélectionnercetteoptiondansl'interfaceutilisateurdePasswordManagerlorsdel'ajout d'unenouvelleentrée.

Cependant,pardéfaut,lecontournementdesempreintesdigitalesestactivémêmesicetteoptionn'est passélectionnée.celapermetàl'utilisateurdeseconnecteràWindowslorsqueledétecteurd'empreintes digitalesnefonctionnepas.Pourdésactiverl'optiondecontournementdesempreintesdigitalesappliquée, modiezlacléderegistresuivante:

[HKEY_LOCAL_MACHINE\SOFTWARE\Lenovo\ClientSecuritySolution\CSSConguration] "GinaDenyLogonDeviceNonEnrolled"=dword:00000001

Lorsquelacléderegistreestdéniecommeci-dessus,l'utilisateurnepeutpascontournerl'authentication parempreintedigitalelorsqueledétecteurd'empreintesdigitalesnefonctionnepas.

Résultatdelalectured'empreintesdigitales

Lorsdel'authenticationparempreintedigitale,larègleci-dessouscontrôlel'afchagedesrésultatsde lalectured'empreintes.

HKLM\Lenovo\TVTCommon\ClientSecuritySolution\FPSwipeResult

•FPSwipeResult=0:afchetouslesmessages.

•FPSwipeResult=1:afcheuniquementlesmessagesd'échec(valeurpardéfaut).

•FPSwipeResult=2:n'afcheaucunmessage.

Outilsdelignedecommande

LesfonctionsThinkVantageTechnologiespeuventégalementêtreimplémentéeslocalementouàdistance parlesadministrateursinformatiquesdel'entrepriseparlebiaisdel'interfacedelignedecommande.Les paramètresdecongurationpeuventêtregérésvialesparamètresd'unchiertextedistant.

ClientSecuritySolutiondisposedesoutilsdelignedecommandesuivants:

•«SecurityAdvisor»àlapage37

•«AssistantdecongurationClientSecuritySolution»àlapage39

•«Outildechiffrementoudedéchiffrementduchierdedéploiement»àlapage39

•«Outildetraitementduchierdedéploiement»àlapage40

•«TPMENABLE.EXE»àlapage40

•«Outildetransfertdecerticat»àlapage40

•«ActivationoudésactivationdumoduleTPM»àlapage41

SecurityAdvisor

PourutiliserlafonctionSecurityAdvisor,lancezleprogrammeClientSecuritySolution,cliquezsurle menuAvancéetcliquezsurleboutonSecurityAdvisordansl'espacedetravailClientSecuritySolution.

Chapitre3.UtilisationdeClientSecuritySolution37

Lesystèmeexécutelechierwst.exequisetrouvedanslerépertoireC:\ProgramFiles\Lenovo\Common Files\WST\pouruneinstallationpardéfaut.

Lesparamètressontlessuivants:

Tableau11.Paramètres

ParamètresDescription

HardwarePasswords

PowerOnPasswordIndiquequ'unmotdepasseàlamisesoustensiondoit

HardDrivePassword

AdministratorPassword

WindowsUsersPasswords

Motdepasse

PasswordAge

PasswordNeverExpiresIndiquequelemotdepasseWindowsn'expirejamais.

WindowsPasswordPolicy

MinimumPasswordLengthIndiquelalongueurdesmotsdepassesurcettemachine.

MaximumPasswordAge

ScreenSaverDénitlavaleurpourl'écrandeveille.1afchecette

ScreenSaverPasswordSetIndiquequ'unmotdepassedoitêtreassociéà

ScreenSaverTimeoutIndiqueledélaiavantl'activationdel'économiseur

FileSharingDénitlavaleurpourlepartagedechiers.1afchecette

AuthorizedAccessOnlyIndiquequel'accèsauxchierspartagésdoitêtre

ClientSecurityDénitlavaleurpourClientSecurity.1afchecette

EmbeddedSecurityChipIndiquequeleprocesseurdesécuritédoitêtreactivé.

ClientSecuritySolutionIndiquelaversiondeClientSecuritySolutionquidoitêtre

Dénitlavaleurpourlemotdepassematériel.1afche cettesection,0lamasque.Lavaleurpardéfautest1.

êtreactivé.Sinonunevaleurestindiquée. Indiquequ'unmotdepassed'accèsaudisquedurdoit

êtreactivé.Sinonunevaleurestindiquée. Indiquequ'unmotdepasseadministrateurdoitêtre

activé.Sinonunevaleurestindiquée. DénitlavaleurpourlemotdepasseutilisateurWindows.

1afchecettesection,0lamasque.Siceparamètreest absent,lasectionestafchéepardéfaut.

Indiquequelesmotsdepasseutilisateurdoiventêtre activés.Sinonunevaleurestindiquée.

DénitladuréedeviedumotdepasseWindowssurcet ordinateur.Autrement,unevaleurestindiquée.

Sinonunevaleurestindiquée. Dénitlavaleurpourlarèglededénitiondemotdepasse

Windows.1afchecettesection,0lamasque.Sice paramètreestabsent,lasectionestafchéepardéfaut.

Sinonunevaleurestindiquée. Indiqueladuréedeviedesmotsdepassesurcette

machine.Sinonunevaleurestindiquée.

section,0lamasque.Siceparamètreestabsent,la sectionestafchéepardéfaut.

l'économiseurd'écran.Sinonunevaleurestindiquée.

d'écransurcettemachine.Sinonunevaleurestindiquée.

section,0lamasque.Siceparamètreestabsent,la sectionestafchéepardéfaut.

autorisé.Sinonunevaleurestindiquée.

section,0lamasque.Siceparamètreestabsent,la sectionestafchéepardéfaut.

Sinonunevaleurestindiquée.

installéesurcettemachine.Sinonunevaleurestindiquée.

38GuidededéploiementClientSecuritySolution8.3

AssistantdecongurationClientSecuritySolution

L'assistantdecongurationClientSecuritySolutionestutilisépourcréerdesscriptsdedéploiementviades chiersXML.Lacommandesuivanteafchelesdifférentesfonctionsdel'assistant:

"C:\ProgramFiles\Lenovo\ClientSecuritySolution\css_wizard.exe"/?

Letableausuivantfournitlescommandespourl'assistantdecongurationClientSecuritySolution.

Tableau12.Commandespourl'assistantdecongurationClientSecuritySolution

ParamètreRésultat

/hou/? /name:NOMFICHIERPrécèdelecheminqualiécompletetlenomduchierde

/encryptChiffrelechierscriptàl'aideduchiffrementAES.

/pass:Précèdelemotdepassecomposépourlaprotectiondu

/novalidateDésactivelesfonctionsdevéricationdesmotsde

Afchel'aide.

déploiementgénéré.Cechierportel'extension.xml.

L'extension.encestajoutéeaunomdechieraprèsle chiffrement.Silacommande/passn'estpasexécutée, unmotdepassecomposéstatiqueestutilisépour dissimulerlechier.

chierdedéploiementchiffré.

passeetmotsdepassecomposésdel'assistant.Ainsi, unchierscriptpeutêtrecréésurunemachinedéjà congurée.Parexemple,lemotdepasseadministrateur delamachineencoursn'estpasobligatoirementcelui quiestutilisésurl'ensembledel'entreprise.Utilisezla commande/novalidatepourentrerunautremotdepasse d'administrateurdansl'interfaceutilisateurcss_wizard lorsdelacréationdeschiersXML.

Exemple:

css_wizard.exe/encrypt/pass:mysecret/name:C:\DeployScript/novalidate

Outildechiffrementoudedéchiffrementduchierdedéploiement

CetoutilpermetdechiffreroudéchiffrerdeschiersdedéploiementXMLdeClientSecurity.Lacommande suivanteafchelesdifférentesfonctionsdel'outil:

"C:\ProgramFiles\Lenovo\ClientSecuritySolution\xml_crypt_tool.exe"/?

Lesparamètressontafchésdansletableausuivant:

Tableau13.ParamètresdechiffrementoudedéchiffrementpourleschiersdedéploiementXMLdeClientSecurity

ParamètresRésultats

/hou/? NOMFICHIER

/encryptou/decrypt

MOTDEPASSECOMPOSEAfcheleparamètrefacultatifquidevientobligatoiresiun

Exemples:

xml_crypt_tool.exe"C:\DeployScript.xml"/encrypt"mysecret"

Afchelemessaged'aide. Afchelecheminetlenomdechieravecl'extension

.xmlou.enc.

Sélectionne/encryptpourleschiersXMLet/decrypt pourleschiersENC.

motdepassecomposéprotègelechier.

Chapitre3.UtilisationdeClientSecuritySolution39

xml_crypt_tool.exe"C:\DeployScript.xml.enc"/decrypt"mysecret"

Outildetraitementduchierdedéploiement

L'outilvmserver.exetraitelesscriptsdedéploiementXMLdeClientSecuritySolution.Lacommande suivanteafchelesdifférentesfonctionsdel'assistant:

"C:\ProgramFiles\Lenovo\ClientSecuritySolution\vmserver.exe"/?

Letableausuivantfournitlesparamètrespourletraitementdechiers.

Tableau14.Paramètresdetraitementdeschiers

ParamètreRésultat

NOMFICHIERCeparamètredoitavoiruneextensionXMLouENC. MOTDEPASSECOMPOSECeparamètreestutilisépourdéchiffrerunchierportant

l'extension.ENC.

Exemple:

Vmserver.exeC:\DeployScript.xml.enc"mysecret"

TPMENABLE.EXE

Lechiertpmenable.exesertàactiverouàdésactiverleprocesseurdesécurité.

Tableau15.Paramètresduchiertpmenable.exe

ParamètreDescription

/enableou/disableActiveoudésactiveleprocesseurdesécurité. /quiet

sp:mot_de_passePourWindows2000etXPuniquement,nepas

Masquelesmessagesconcernantlesmotsdepasseou erreursduBIOS.

utiliserdeguillemetsavantetaprèslemotdepasse superviseur/administrateurBIOS.

Exemple:

tpmenable.exe/enable/quiet/sp:MyBiosPW

Outildetransfertdecerticat

Letableauci-dessouscontientlescommutateursdelignedecommandedel'outildetransfertdecerticat pourClientSecuritySolution:

Tableau16.css_cert_transfer_tool.exe<cert_store_type><lter_type>:<name|size>|all_access|usage

ParamètreDescription

<cert_store_type>

Exemples:

cert_store_user

cert_store_machine

cert_store_all

Ils'agitdupremierparamètreobligatoire.Ildoitêtreutilisécomme premiercommutateuretdoitinclurel'undesexemplessuivants:

Transfèreuniquementlescerticatsutilisateur.Les certicatsutilisateursontaffectésàl'utilisateuractif.

Transfèreuniquementlescerticatsutilisateur.Les certicatsordinateurpeuventêtreutiliséspartousles utilisateursautoriséssurunordinateur.

Transfèrelestypesdecerticatutilisateuretordinateur.

40GuidededéploiementClientSecuritySolution8.3

Tableau16.css_cert_transfer_tool.exe<cert_store_type><lter_type>:<name|size>|all_access|usage(suite)

ParamètreDescription

<lter_type>:<name|size>

Exemples:

Voicideuxcommutateursautonomes,pourlesquelsiln'existepasdesecondargument: all_access usage

subject_simple_name:<name>

subject_friendly_name:<name>

issuer_simple_name:<name>

ssuer_friendly_name:<name>

key_size:<size>

Transfèretouslescerticats,sansltrage. Nefournitpasd'informationssurlalignedecommande,maislafonctionutiliséepourdéterminer

l'utilisationcorrecterenvoieTrueouFalsesilescommandestransmisessontcorrectesounon.

Ils'agitdusecondparamètreobligatoire.Ildoitêtreutiliséaprèsle paramètreobligatoire<cert_store_type>.Chaquetypedeltre(à l'exceptiondesindicationsci-dessous)doitcomporterdeuxpoints«:» aprèsetlenomdel'objetducerticat,del'autoritéoulatailledelaclé recherchéeimmédiatementaprèslesdeuxpoints.Cetutilitairedépend desminuscules/majusculesetsilenomrecherchéestunnomcomposé, comme"Autoritédecertication",vousdevezplacerlescritèresde rechercheentredesguillemetsdoubles""(reportez-vousauxexemples).

Transfèretouslescerticatscorrespondantaunompour lequellecerticatestémis.Lenomdel'objetest<name>.

Transfèretouslescerticatscorrespondantaunom d'afchagepourlequellecerticatestémis.Lenom d'afchageest<name>.

Transfèretouslescerticatscorrespondantaunomde l'autoritédecerticationquilesaémis.Lenomdel'autorité decerticationest<name>.

Transfèretouslescerticatscorrespondantaunom d'afchagedel'autoritédecerticationquilesaémis.Le nomd'afchagedel'autoritédecerticationest<name>.

Transfèretouslescerticatschiffrésaveclataillede clé<size>(expriméeenbits).Ils'agitd'uncritèrede correspondanteparfaite.Leprogrammenerecherchepas lescerticatschiffrésavecunetailledeclésupérieureou inférieureàcettetaille.

ActivationoudésactivationdumoduleTPM

Pourlesmodèlesd'ordinateurportableThinkPadX200,T400,T500etlesmodèlesd'ordinateurportable ThinkPadultérieurs(parexemple,T410ouT420),procédezcommesuitpouractiverlemoduleTPM:

1.AccédezausiteWebsuivant: http://support.lenovo.com/en_US/detail.page?LegacyDocID=MIGR-68488.

2.CliquezsurSampleScriptsforBIOSDeploymentGuide(Exemplesdescriptspourleguidede déploiementduBIOS)pourtéléchargerlechierscript.zip.Extrayezlechierzip.

3.Saisissezcscript.exeSetCong.vbsSecurityChipActivedanslafenêtred'invitedecommandepour exécuterlechierSetCong.vbs.

4.Redémarrezl'ordinateur.

Remarque:Surlesmodèlesd'ordinateurportableThinkPadT400ouT410,vousdevezredémarrervotre ordinateurdeuxfoispouractiverlemoduleTPM.

Pourlesordinateursdebureau,procédezcommesuitpouractiverlemoduleTPM:

1.AccédezausiteWebsuivant: http://support.lenovo.com/en_US/detail.page?LegacyDocID=MIGR-75407.

Chapitre3.UtilisationdeClientSecuritySolution41

2.CliquezsurVisualBasicsamplescriptstousewhenconguringBIOSsettings(Exemplesde scriptsVisualBasicàutiliserpourcongurerlesparamètresduBIOS)pourtéléchargerlechier sample_script_m90.zip.Extrayezlechierzip.

3.Saisissezcscript.exeSetCong.vbsSecurityChipActivedanslafenêtred'invitedecommandepour exécuterlechierSetCong.vbs.

4.Redémarrezl'ordinateur.

Pourtouslesmodèlesd'ordinateurdebureauThinkStationetlesmodèlesd'ordinateurportableThinkPad antérieursaumodèleT400(parexemple,T61),activezlemoduleTPMenutilisantl'outild'activationTPMou lechiercss_manage_vista_tpm.exe.

Utilisationdel'outild'activationdumoduleTPM(WindowsXP)

Lechiertpm_activate_cmd.exeestutilisépouractiveroudésactiverlemoduleTPMsurlessystème d'exploitationWindowsXP.

Remarque:Vousdevezdisposerdedroitsd'administrateurpourexécutercetoutil.Avantd'utilisercetoutil, vousdevezinstallerlesdernierspilotesSMBiosetSMBus.

Tableau17.Paramètresd'activationoudedésactivationdumoduleTPMsurlesystèmeLenovo

ParamètreDescription

/helpor/?Afchelalistedesparamètres. /biospw:mot_de_passeSpécielemotdepassesuperviseurouadministrateur

duBIOS,lecaséchéant.

/deactivateDésactivelemoduleTPM.

Remarque:Sivousexécutezlechier tpm_activate_cmd.exesansleparamètre/deactivate,le moduleTPMestactivépardéfaut.

/verbose

Afcheunesortiedetexte.

Exemple:

tpm_activate_cmd.exe/? tpm_activate_cmd.exe/verbose tpm_activate_cmd.exe/biospw:pass

Utilisationduchiercss_manage_vista_tpm.exe(WindowsVistaouWindows7)

Lechiercss_manage_vista_tpm.exeestutilisépouractiveroudésactiverlemoduleTPMsurlessystèmes d'exploitationWindowsVistaouWindows7lorsqueClientSecuritySolutionestinstallé.

Remarque:Vousdevezdisposerdedroitsd'administrateurpourexécutercetoutil.

css_manage_vista_tpm.exe[/verbose][/showinfo|/getstate|setstate:<state>]

où

/verboseafchelasortiedetexte.Leparamètrepardéfautestlemodesilencieux.

/showinf oafchelesinformationsdumoduleTPM,parexemple,lefournisseur,laversiondu

microprogramme,laprésencephysiqueetlaversiondel'interface.

/getstateafchel'étatactueldumoduleTPM.LemoduleTPMpossèdelestypesd'étatssuivants:

•Actif

42GuidededéploiementClientSecuritySolution8.3

•Inactif

•Activé

•Désactivé

•Propriété

•Nonpropriété

/setstate:<state>dénitvotretyped'étatdumoduleTPMpréféré.0signieinactifetdésactivé.1signie actif.2signieactivé.4signiepropriété.Vouspouvezutiliserlafonctiond'ajout(c'est-à-direl'opérateur binaireOR)pourdénirplusieursétatsvalides.

Parexemple:

css_manage_vista_tpm.exe/verbose/setstate:0dénitl'étatdumoduleTPMsurinactifetdésactivé.

css_manage_vista_tpm.exe/verbose/setstate:1dénitl'étatdumoduleTPMsuractif.

css_manage_vista_tpm.exe/verbose/setstate:2dénitl'étatdumoduleTPMsuractivé.

css_manage_vista_tpm.exe/verbose/setstate:3dénitl'étatdumoduleTPMsuractifetactivé.

Remarque:

•Lestypesd'étatsdumoduleTPMvalidessontlessuivants: –Actif

–Inactif –Activé –Désactivé –Actifetactivé –Inactifetdésactivé

•LestransitionsdesétatsdumoduleTPMvalidessontlessuivantes: –Inactif->Actif

–Inactif->Actifetactivé –Actif->Inactif –Activé->Actifetactivé –Actifetactivé->Inactif –Actifetactivé->Inactifetdésactivé

Priseencharged'ActiveDirectory

ActiveDirectoryestunserviced'annuaire.Lerépertoireestl'endroitoùsontstockéeslesinformations relativesauxutilisateursetauxressources.Leservicederépertoirevousaccordeunaccèspourmanipuler cesressources.

ActiveDirectoryoffreunmécanismequipermetauxadministrateursdegérerdesordinateurs,desgroupes, desutilisateurs,desdomaines,desstratégiesdesécuritéettouttyped'objetsdénisparl'utilisateur. LemécanismeutiliséparActiveDirectorypourréalisercestâchesestlastratégiedegroupe.Celle-ci permetauxadministrateursdedénirlesparamètresquipeuventêtreappliquésauxordinateursouaux utilisateursdudomaine.

Chapitre3.UtilisationdeClientSecuritySolution43

LesproduitsThinkVantageutilisentactuellementdiversesméthodespourregrouperlesparamètresutilisés pourlecontrôledesparamètresprogramme,enparticulierlalectured'entréesderegistrespéciques dénisparuneapplication.

Lesexemplessuivantssontdesparamètresqu'ActiveDirectorypeutgérerpourClientSecuritySolution:

•Règlesdesécurité

•Règlesdesécuritépersonnalisées,tellesquel'utilisationd'unmotdepasseWindowsoud'unmotde passecomposéClientSecuritySolution.

FichiersADM(AdministrativeTemplateFile)

Lechiermodèled'administration(ADM)dénitlesparamètresdestratégieutilisésparlesapplications surlesordinateursclient.Cesstratégiessontdesparamètresspéciquesrégissantlecomportement del'application.Lesparamètresdestratégiedénissentaussisil'utilisateurseraautoriséàdénirdes paramètresspéciquesvial'application.

Lesparamètresdénisparunadministrateursurleserveursontdénisentantquestratégies.Parcontre, lesparamètresdénisparunutilisateursurl'ordinateurclientpouruneapplicationsontdénisentant quepréférences.SelonlesstratégiesMicrosoft,lesparamètresdestratégiesontprioritairesparrapport auxpréférences.

Parexemple,unutilisateurpeutplaceruneimaged'arrière-plansursonbureau.Ils'agitlàd'unepréférence utilisateur.Desoncôté,unadministrateurpeutcongurersurleserveurunparamètreobligeantunutilisateur àavoiruneimaged'arrière-planspécique.C'estlastratégiedictéeparl'administrateurquiseraprioritaire parrapportàlapréférencedénieparl'utilisateur.

Lorsqu'unproduitThinkVantageTechnologyrechercheunparamètre,illerecherchedansl'ordresuivant:

•Stratégiessystème

•Stratégiesutilisateur

•Stratégiesutilisateurpardéfaut

•Préférencessystème

•Préférencesutilisateur

•Préférencesutilisateurpardéfaut

Commeilaétédécritprécédemment,lesstratégiesdel'ordinateuretdel'utilisateursontdéniespar l'administrateur.CesparamètrespeuventêtreinitialisésvialachierdecongurationXMLouviaune stratégiedegroupedansActiveDirectory.Lespréférencessystèmeetutilisateursontdéniesparl'utilisateur surl'ordinateurclientvialesoptionsdesinterfacesd'application.Lespréférencesutilisateurpardéfaut sontinitialiséesparlescriptdecongurationXML.Lesutilisateursnepeuventpasmodiercesvaleurs directement.Lesmodicationsapportéesàcesparamètresparunutilisateursontensuiterépercutées danslespréférencesutilisateur.

Lesclientsquin'utilisentpasActiveDirectorypeuventcréerunensemblepardéfautdeparamètres destratégiesàdéployersurdessystèmesclient.Lesadministrateurspeuventmodierlesscriptsde congurationXMLetindiquerqu'ilsseronttraitéslorsdel'installationduproduit.

Dénitiondesparamètresd'administration

L'exempleci-dessousafchelesparamètresdansl'éditeurdestratégiesdegroupeenutilisantlahiérarchie suivante:

ComputerConguration>AdministrativeT emplates>ThinkVantageTechnologies> ClientSecuritySolution>AuthenticationPolicies>MaxRetries> Passwordnumberofretries

44GuidededéploiementClientSecuritySolution8.3

LeschiersADMindiquentl'emplacementduregistredanslequellesparamètressereéteront.Ces paramètressetrouverontauxemplacementssuivantsdansleregistre:

Computerpolicies: HKLM\Software\Policies\Lenovo\ClientSecuritySolution\ Userpolicies: HKCU\Software\Policies\Lenovo\ClientSecuritySolution\ Def aultuserpolicies: HKLM\Software\Policies\Lenovo\ClientSecuritySolution\Userdefaults Computerpref erences: HKLM\Software\Lenovo\ClientSecuritySolution\ Userpref erences: HKCU\Software\Lenovo\ClientSecuritySolution\ Def aultuserpreferences: HKLM\Software\Lenovo\ClientSecuritySolution\Userdefaults

Paramètresdelastratégiedegroupe

Lestableauxdecettesectionfournissentdesparamètresderèglepourlacongurationdel'ordinateuretla congurationutilisateurdeClientSecuritySolution.

Maxretries

LetableausuivantfournitlesparamètresderèglepourAuthenticationpolicies,Maxretries.

Tableau18.ComputerConguration➙ThinkVantage➙ClientSecuritySolution➙Authenticationpolicies➙ Maxretries

StratégieParamètreactivéDescription

Passwordnumberof retries

Passphrasenumberof retries

Lenombremaximal denouvelles tentativesestégalà

20. Lenombremaximal

denouvelles tentativesestégalà

20.

Contrôlelenombremaximaldefoisqu'unutilisateurpeututiliserle motdepasseWindowspourl'authenticationavantdereveniràla stratégiedesubstitution.

Contrôlelenombremaximaldefoisqu'unutilisateurpeututiliserun motdepassecomposéClientSecuritypourl'authenticationavant dereveniràlastratégiedesubstitution.

SecureMode

LetableausuivantfournitlesparamètresderèglepourAuthenticationpolicies,Securemode.

Tableau19.ComputerConguration➙Administrativetemplates➙ThinkVantage➙ClientSecuritySolution➙ Authenticationpolicies➙Securemode

StratégieParamètresactivésDescription

Motdepasse

Passphrase

Empreintedigitale

OverrideDénitleremplacementdumotdepasse,dumot

DénissezlafréquencesurEverytime(àchaque fois)ouOnceperlogon(unefoisparconnexion).

depassecomposéoudel'empreintedigitale.

Contrôlesiunmotdepasseestrequis.

Contrôlesiunmotdepassecomposé estrequis.

Contrôlesiuneempreintedigitaleest requise.

Dénitlesconditionsd'authentication dela«rétromigration»encasd'échec del'authenticationnormale.

Defaultmode

LetableausuivantfournitdesparamètresderèglepourAuthenticationpolicies,Defaultmode.

Chapitre3.UtilisationdeClientSecuritySolution45

Tableau20.ComputerConguration➙Administrativetemplates➙ThinkVantage➙ClientSecuritySolution➙ Authenticationpolicies➙Defaultmode

StratégieParamètresactivésDescription

Motdepasse

Passphrase

Empreintedigitale

OverrideDénitleremplacementdumotdepasse,dumot

VouspouvezdénirlafréquencesurEverytime (àchaquefois)ouOnceperlogon(unefoispar connexion).

depassecomposéoudel'empreintedigitale.

Contrôlesiunmotdepasseestrequis.

Contrôlesiunmotdepassecomposé estrequis.

Contrôlesiuneempreintedigitaleest requise.

Dénitlesconditionsd'authentication dela«rétromigration»encasd'échec del'authenticationnormale.

AuthenticationPolicies

Lalistederèglessuivantecontientdesparamètresactivésquidénissentleniveaud'authentication dechaquerègle.

•Niveaud'authenticationdelaconnexionàWindows

•Niveaud'authenticationdudéverrouillagedusystème

•Niveaud'authenticationdePasswordManager

•Niveaud'authenticationdelasignatureCSP

•Niveaud'authenticationdudéchiffrementCSP

•Niveaud'authenticationdelasignaturePKCS11

•Niveaud'authenticationdudéchiffrementPKCS11

•Niveaud'authenticationdelaconnexionàPKCS11

Letableausuivantfournitdesvaleursetdesparamètrespourlesniveauxd'authenticationprécédents:

Tableau21.ComputerConguration➙Administrativetemplates➙ThinkVantage➙ClientSecuritySolution➙ Authenticationpolicies

StratégieParamètresactivésDescription

Motdepasse

Passphrase

Empreintedigitale

OverrideDénitleremplacementdumotdepasse,dumot

DénissezlafréquencesurEverytime(àchaque fois)ouOnceperlogon(unefoisparconnexion).

depassecomposéoudel'empreintedigitale.

Contrôlesiunmotdepasseestrequis.

Contrôlesiunmotdepassecomposé estrequis.

Contrôlesiuneempreintedigitaleest requise.

Dénitlesconditionsd'authentication dela«rétromigration»encasd'échec del'authenticationnormale.

PasswordManager

Letableauci-dessousfournitlesparamètresderèglepourPasswordManager.

46GuidededéploiementClientSecuritySolution8.3

Tableau22.ComputerConguration➙ThinkVantage➙ClientSecuritySolution➙Passwordmanager

ParamètrederègleDescription

DisablePasswordManager DisableInternetExplorersupport

DisableMozillasupport

DisablesupportforWindows applications

DisableAuto-ll

DisableHotkeysupport

UseDomainltering

ProhibitedDomains

ProhibitedURLs

ProhibitedModules

Auto-llHotkey TypeandT ransferHotkey ManageHotkey

ContrôlesiPasswordManagerestlancéaudémarragedusystème. ContrôlesiPasswordManagerpeutstockerdesmotsdepasseàpartir

d'InternetExplorer. ContrôlesiPasswordManagerpeutstockerdesmotsdepasseàpartirdes

navigateursMozilla,ycomprisFirefoxetNetscape. ContrôlesiPasswordManagerpeutstockerdesmotsdepasseàpartir

d'applicationsWindows. ContrôlesiPasswordManagerinsèreautomatiquementdesdonnéesdans

lessitesWebetlesapplicationsWindows. ContrôlesiPasswordManagerprendenchargel'utilisationdetouchesde

raccourcipourinsérerdesdonnéesdanslessitesWebetlesapplications Windows.

ContrôlesiPasswordManagerltrelessitesWebenfonctiondes domaines.

ContrôlelesdomainespourlesquelsPasswordManagern'apasledroitde stockerdesmotsdepasse.

ContrôlelesURLpourlesquellesPasswordManagern'apasledroitde stockerdesmotsdepasse.

ContrôlelesapplicationsWindowspourlesquellesPasswordManagern'a pasledroitdestockerdesmotsdepasse.

Contrôlelatouchederaccourcid'insertionautomatiqueCtrl+F2. ContrôlelatouchederaccourcidetypeetdetransfertCtrl+Maj+H. ContrôlelatouchederaccourciCtrl+Maj+B.

UserInterface

Letableauci-dessouscontientlesparamètresderèglepourl'interfaceutilisateur.

Tableau23.ComputerConguration➙ThinkVantage➙ClientSecuritySolution➙Userinterface

ParamètrederègleDescription

OptionFingerprintsoftwareAfche,griseoumasquel'optionFingerprintSoftwaredansl'application

ClientSecuritySolution.Pardéfaut:Show(afcher).

OptionFileencryptionAfche,griseoumasquel'optionFileencryptiondansl'applicationClient

SecuritySolution.Pardéfaut:Show(afcher).

OptionSecuritysettingsauditAfche,griseoumasquel'optionSecuritysettingsauditdansl'application

ClientSecuritySolution.Pardéfaut:Show(afcher).

OptionDigitalcerticatetransfer

OptionChangesecuritychipstatusAfche,griseoumasquel'optionSecuritychipstatusdansl'application

OptionClearsecuritychiplockoutAfche,griseoumasquel'optionClearsecuritychiplockoutdans

OptionPolicymanagerAfche,griseoumasquel'optionPolicymanagerdansl'applicationClient

OptionReset/ConguresettingsAfche,griseoumasquel'optionCongurationwizarddansl'application

Afche,griseoumasquel'optionDigitalcerticatetransferdans l'applicationClientSecuritySolution.Pardéfaut:Show(afcher).

ClientSecuritySolution.Pardéfaut:Show(afcher).

l'applicationClientSecuritySolution.Pardéfaut:Show(afcher).

SecuritySolution.Pardéfaut:Show(afcher).

ClientSecuritySolution.Pardéfaut:Show(afcher).

Chapitre3.UtilisationdeClientSecuritySolution47

Tableau23.ComputerConguration➙ThinkVantage➙ClientSecuritySolution➙Userinterface(suite)

ParamètrederègleDescription

OptionPasswordManager

OptionHardwarePasswordReset

OptionWindowspasswordrecovery

OptionChangeauthenticationmodeAfche,griseoumasquel'optionChangeauthenticationmodedans

OptionEnable/disableWindows passwordrecovery

OptionEnable/disablePassword Manager

Afche,griseoumasquel'optionPasswordmanagerdansl'application ClientSecuritySolution.Pardéfaut:Show(afcher).

Afche,griseoumasquel'optionHardwarePasswordResetdans l'applicationClientSecuritySolution.Pardéfaut:Show(afcher).

Afche,griseoumasquel'optionWindowspasswordrecoverydans l'applicationClientSecuritySolution.Pardéfaut:Show(afcher).

l'applicationClientSecuritySolution.Pardéfaut:Show(afcher). Afche,griseoumasquel'optionpouractiveroudésactiverlarécupération

dumotdepasseWindowsdansl'applicationClientSecuritySolution.Par défaut:Show(afcher).

Afche,griseoumasquel'optionpouractiveroudésactiverdeGestionnaire demotsdepassedansl'applicationClientSecuritySolution.Pardéfaut: Show(afcher).

Workstationsecuritytool

LetableausuivantfournitlesparamètresderèglepourWorkstationsecuritytool.

Tableau24.ComputerConguration➙ThinkVantage➙ClientSecuritySolution➙Workstationsecuritytool

StratégieParamètreDescription

HardwarePasswordsHardwarePasswords

HardwarePasswords

HardwarePasswordsHardDrivePassword

HardwarePasswordsAdministratorPassword

WindowsUsers Passwords

WindowsPassword Policy

ScreenSaverScreenSaverActiveoudésactivel'afchagedesinformationsrelatives

Power-OnPasswordSélectionnezlavaleurrecommandéepourl'activeroule

WindowsUsersPasswords

Motdepasse

PasswordAge

Passwordneverexpires

WindowsPasswordPolicy

Minimumnumberof charactersinthepassword

Maximumpasswordage

Activeoudésactivel'afchagedesinformationsrelatives auxmotsdepassematériel.

désactiver,ouchoisissezd'ignorerceparamètre. Sélectionnezlavaleurrecommandéepourl'activeroule

désactiver,ouchoisissezd'ignorerceparamètre. Activeoudésactivel'afchagedesinformationsrelatives

auxmotsdepasseutilisateursWindows. Sélectionnezlavaleurrecommandéepourl'activeroule

désactiver,ouchoisissezd'ignorerceparamètre. Nombremaximaldejoursautoriséspourladuréedevie

dumotdepasse. Lavaleurrecommandéepeutêtre:True,F alseouIgnore.

Activeoudésactivel'afchagedesinformationsrelatives àladénitiondesrèglesdemotsdepasseutilisateurs Windows.

Nombreminimaldecaractèresautoriséspourlemotde passe,ouignorezcettevaleur.

Duréedeviemaximaledumotdepasse-nombredejours ouignorezcettevaleurdansvosrésultats.

àladénitiondesrèglesdemotsdepasseutilisateurs Windows.

48GuidededéploiementClientSecuritySolution8.3

Tableau24.ComputerConguration➙ThinkVantage➙ClientSecuritySolution➙Workstationsecuritytool(suite)

StratégieParamètreDescription

ScreenSaverScreenSaverpasswordsetNombreminimaldecaractèresautoriséspourlemotde

passe,ouignorezcettevaleur.

ScreenSaverScreenSavertimeoutDuréedeviemaximaledumotdepasse-nombredejours

ouignorezcettevaleurdansvosrésultats.

FileSharingFileSharingActiveoudésactivel'afchagedesinformationsrelatives

aupartagedechiers.

FileSharing

Authorizedaccess

Lavaleurrecommandéepeutêtre:True,F alseouIgnore.

ClientSecurityClientSecurityActiveoudésactivel'afchagedesinformationsrelativesà

ClientSecurity.

ClientSecurityEmbeddedSecurityChipSélectionnezlavaleurrecommandéepourl'activeroule

désactiver,ouchoisissezd'ignorerceparamètre.

ClientSecurityClientSecuritySolution

Version

DénissezlaversionminimalerecommandéedeClient SecuritySolutionouchoisissezd'ignorerceparamètre.

Chapitre3.UtilisationdeClientSecuritySolution49

50GuidededéploiementClientSecuritySolution8.3

Chapitre4.UtilisationdeThinkVantageFingerprintSoftware

Laconsoled'identicationparempreintedigitaledoitêtreexécutéeàpartirdudossierd'installation deThinkVantageFingerprintSoftware.LasyntaxedebaseestFPRCONSOLE[USER|SETTINGS].La commandeUSERouSETTINGSspécielemodedefonctionnementàutiliser.Lacommandecomplèteest donc«fprconsoleuseraddTestUser».Silacommandeestinconnueousitouslesparamètresnesontpas indiqués,lalistedescommandesabrégéess'afcheaveclesparamètrespossibles.

ThinkVantageFingerprintSoftware,lesinstructionsd'installation,laconsoledegestionettoutela documentationassociéesontdisponiblessurlesiteWebdeLenovoàl'adressesuivante: http://www.lenovo.com/support

OutilManagementConsole

Cettesectioncontientdesinformationssurlescommandesspéciquesàl'utilisateuretsurlescommandes desparamètresgénéraux.

Commandesspéciquesàl'utilisateur

LasectionUSERsertàenregistrerouàéditerlesutilisateurs.Sil'utilisateurencoursnedisposepasdes droitsadministrateur,lecomportementdelaconsoledépenddumodedesécuritédeFingerprintSoftware. Modesécurisé:aucunecommanden'estautorisée.Modepratique:lescommandesADD,EDITetDELETE peuventêtreexécutéesparunutilisateurstandard.Toutefois,l'utilisateurpeutuniquementmodierson proprepasseport(enregistréavecsonnomd'utilisateur).Lasyntaxeestlasuivante:

FPRCONSOLEUSERcommand

oùcommandestl'unedescommandessuivantes:ADD,EDIT,DELETE,LIST,IMPORT,EXPORT.

Tableau25.Commandesspéciquesàl'utilisateur

CommandeSyntaxeDescription

Enregistrementd'unnouvel utilisateur

Example:

fprconsoleuseradd domain0\testuser

fprconsoleuseradd testuser

Editiond'unutilisateur enregistré

Example:

fprconsoleuseredit domain0\testuser

fprconsoleuseredit testuser

ADD[username[|domain\ username]]

EDIT[username[|domain\ username]]

Siaucunnomd'utilisateurn'est spécié,lenomd'utilisateurencours estutilisé.

Siaucunnomd'utilisateurn'est spécié,lenomd'utilisateurencours estutilisé. Remarque:L'utilisateurenregistrédoit d'abordvériersonempreintedigitale.

©CopyrightLenovo2008,2011

Tableau25.Commandesspéciquesàl'utilisateur(suite)

CommandeSyntaxeDescription

Suppressiond'unutilisateur

Example:

fprconsoleuserdelete domain0\testuser

fprconsoleuserdelete testuser

fprconsoleuserdelete /ALL

Enumérationdesutilisateurs enregistrés

Exportationd'unutilisateur enregistréversunchier

Importationd'unutilisateur enregistré

DELETE[username[|domain\ username|/ALL]]

List

Syntax:EXPORTusername [|domain\username]le

Syntax:IMPORTleL'utilisateurestimportéàpartirdu

L'option/ALLsupprimetousles utilisateursenregistréssurcet ordinateur.Siaucunnomd'utilisateur n'estspécié,lenomd'utilisateuren coursestutilisé.

Répertorielesutilisateursenregistrés.

Cettecommandeexporteunutilisateur enregistréversunchierdudisquedur. L'utilisateurpeutalorsêtreimportéà l'aidedelacommandeIMPORTsur unautreordinateurousurlemême ordinateur,sil'utilisateurestsupprimé.

chierspécié. Remarque:Sil'utilisateurduchierest déjàenregistrésurlemêmeordinateur aveclesmêmesempreintesdigitales, laprioritéd'unutilisateursurunautre pendantleprocessusd'identication n'estpasgarantie.

Commandesdesparamètresgénéraux

LasectionSETTINGSsertàmodierlesparamètresgénérauxdeFingerprintSoftware.Toutesles commandesdecettesectionrequièrentdesdroitsadministrateur.Lasyntaxeestlasuivante:

FPRCONSOLESETTINGScommand

oùcommandestl'unedescommandessuivantes:SECUREMODE,LOGON,CAD,TBX,SSO.

Tableau26.Commandesdesparamètresgénéraux

CommandeSyntaxeDescription

Modedesécurité

Example:

Tosettoconvenientmode: fprconsolesettings securemode0

Typedeconnexion

MessageCTRL+ALT+SUPPR

SECUREMODE0|1

LOGON0|1[/FUS]

CAD0|1

Ceparamètrepermetdepasserdumode pratiqueaumodesécurisédeFingerprint Software.

Ceparamètreactive(1)oudésactive(0) l'applicationdeconnexion.Sileparamètre /FUSestutilisé,laconnexionestactivéeen modedechangementrapided'utilisateursi lacongurationdel'ordinateurlepermet.

Ceparamètreactive(1)oudésactive(0)le texte«AppuyezsurCtrl+Alt+Suppr»dela fenêtredeconnexion.

52GuidededéploiementClientSecuritySolution8.3

Tableau26.Commandesdesparamètresgénéraux(suite)

CommandeSyntaxeDescription

Sécuritéàlamisesoustension

Connexionuniqueetsécuritéàla misesoustension

TBX0|1

SSO0|1

Ceparamètremethorstension(0)le supportdesécuritéàlamisesoustension dansFingerprintSoftware.Lorsquele supportdesécuritéàlamisesoustension estdésactivé,aucunassistantniaucune pagedesécuritéàlamisesoustensionne s'afche,quelsquesoientlesparamètres duBIOS.

Ceparamètreactive(1)oudésactive(0) l'utilisationdesempreintesdigitalesdénies dansleBIOSpourquel'utilisateurse connecteautomatiquementunefoisses empreintesvériéesdansleBIOS.

Modesécuriséetmodepratique

FingerprintSoftwarepeuts'exécuterendeuxmodes:unmodesécuriséetunmodepratique.Lemode sécurisépermetd'obtenirunesécuritéaccrue.Desfonctionsspécialessontréservéesauxadministrateurs. Euxseulssontautorisésàseconnecteràl'aided'unmotdepasseetsansautreauthentication.

Lemodepratiqueestconçupourlesordinateurspersonnelssurlesquelsunehautesécuritén'estpas indispensable.Touslesutilisateurspeuventexécutertouteslesopérations,notammentl'éditiondes passeportsd'autresutilisateursetlaconnexionausystèmeàl'aided'unmotdepasse(sansauthentication baséesurlesempreintesdigitales).

Unadministrateurestunmembredugrouped'administrateurslocal.Unefoislemodesécurisédéni,seul l'administrateurpeutréactiverlemodepratique.

Modesécurisé-Administrateur

Pouraméliorerlasécurité,siunnomd'utilisateurouunmotdepasseerronéestentrélorsdelaconnexion,le modesécuriséafcheunmessagesignalantque«seulunadministrateurpeutseconnecteràcetordinateur avecunnomd'utilisateuretunmotdepasse».

Tableau27.Optionspourlesadministrateursenmodesécurisé

FingerprintDescription

Créationd'unnouveaupasseportLesadministrateurspeuventcréerleurproprepasseport

etceluid'unutilisateuravecrestriction.

Editiondepasseport

Suppressiondepasseport

Lesadministrateurspeuventmodieruniquementleur proprepasseport.

Lesadministrateurspeuventsupprimertousles passeportsdesutilisateursavecrestrictionetdesautres administrateurs.Sid'autresutilisateursontrecoursàla sécuritéàlamisesoustension,l'administrateurpourra supprimerlesmodèlesutilisateurdelasécuritéàlamise soustensionàcemoment-là.

Chapitre4.UtilisationdeThinkVantageFingerprintSoftware53

Tableau27.Optionspourlesadministrateursenmodesécurisé(suite)

FingerprintDescription

Sécuritéàlamisesoustension

Paramètres

ParamètresdeconnexionLesadministrateurspeuventmodiertouslesparamètres

EcrandeveilleprotégéAccèsauxadministrateurs. Typedepasseport

Modedesécurité

ServeursProAccèsauxadministrateurs-Applicableuniquementàun

Lesadministrateurspeuventsupprimerlesempreintes digitalesdesutilisateursavecrestrictionetdes administrateursutiliséesàlamisesoustension. Remarque:Uneempreintedigitaleaumoinsdoitêtre présentelorsquelemodedesécuritéàlamisesous tensionestactivé.

deconnexion.

Accèsauxadministrateurs-Applicableuniquementàun serveur.

Lesadministrateurspeuventbasculerentrelesmodes sécuriséetpratique.

serveur.

Modesécurisé-Utilisateuravecrestriction

Lorsd'uneconnexionWindows,unutilisateurlimitédoitutiliseruneempreintedigitalepourseconnecter.Si lelecteurd'empreintesdigitalesnefonctionnepas,unadministrateurdevramodierleparamètreconcerné pouractiverlemodepratiqueetpermettreainsil'accèsàl'aided'unnomd'utilisateuretd'unmotdepasse.

Tableau28.Optionspourlesutilisateurslimitésenmodesécurisé

ParamètreDescription

Créationd'unnouveaupasseportUnutilisateuravecrestrictionnepeutpasyaccéder. Editiondepasseport

Suppressiondepasseport

SécuritéàlamisesoustensionUnutilisateuravecrestrictionnepeutpasyaccéder. Paramètresdeconnexion

EcrandeveilleprotégéUnutilisateuravecrestrictionpeutyaccéder. Typedepasseport

Modedesécurité

ServeursProUnutilisateuravecrestrictionpeutyaccéder-Applicable

Unutilisateuravecrestrictionnepeutéditerqueson proprepasseport.

Unutilisateuravecrestrictionnepeutsupprimerqueson proprepasseport.

Unutilisateuravecrestrictionnepeutpasmodierles paramètresdeconnexion.

Unutilisateuravecrestrictionnepeutpasyaccéder. Unutilisateuravecrestrictionnepeutpasmodierles

modesdesécurité.

uniquementàunserveur.

Modepratique-Administrateur

Lorsd'uneconnexionWindows,lesadministrateurspeuventseconnecteravecleurnomd'utilisateuretleur motdepasseouavecleurempreinte.

54GuidededéploiementClientSecuritySolution8.3

Tableau29.Optionspourlesadministrateursenmodepratique

ParamètresDescription

Créationd'unnouveaupasseportLesadministrateurspeuventcréeruniquementleurpropre

passeport.

Editiondepasseport

Suppressiondepasseport

Sécuritéàlamisesoustension

ParamètresdeconnexionLesadministrateurspeuventmodiertouslesparamètres

EcrandeveilleprotégéAccèsauxadministrateurs. Typedepasseport

Modedesécurité

ServeursProAccèsauxadministrateurs-Applicableuniquementàun

Lesadministrateurspeuventmodieruniquementleur proprepasseport.

Lesadministrateurspeuventsupprimeruniquementleur proprepasseport.

deconnexion.

Accèsauxadministrateurs-Applicableuniquementàun serveur.

Lesadministrateurspeuventbasculerentrelesmodes sécuriséetpratique.

serveur.

Modepratique-Utilisateuravecrestriction

Lorsd'uneconnexionWindows,lesutilisateurslimitéspeuventseconnecteravecleurnomd'utilisateuret leurmotdepasseouleurempreinte.

Tableau30.Optionspourlesutilisateurslimitésenmodepratique

ParamètresDescription

Créationd'unnouveaupasseportUnutilisateuravecrestrictionnepeutcréerqueson

proprepasseport.

Editiondepasseport

Suppressiondepasseport

Sécuritéàlamisesoustension

Paramètresdeconnexion

EcrandeveilleprotégéUnutilisateuravecrestrictionpeutyaccéder. Typedepasseport

Modedesécurité

ServeursProUnutilisateuravecrestrictionpeutyaccéder-Applicable

Unutilisateuravecrestrictionnepeutéditerqueson proprepasseport.

Unutilisateuravecrestrictionnepeutsupprimerqueson proprepasseport.

Unutilisateuravecrestrictionnepeutsupprimerqueses propresempreintesdigitales.

Unutilisateuravecrestrictionnepeutpasmodierles paramètresdeconnexion.

UnutilisateuravecrestrictionnepeutpasyaccéderApplicableuniquementàunserveur.

Unutilisateuravecrestrictionnepeutpasmodierles modesdesécurité.

uniquementàunserveur.

Chapitre4.UtilisationdeThinkVantageFingerprintSoftware55

Paramètrescongurables

CertainesoptionsdeFingerprintSoftwarepeuventêtreconguréesvialesparamètresderegistre.

•Interfacelogicielledepréinitialisation/misesoustension:Lemécanismed'activationdelapriseen chargedelapréinitialisationoudelamisesoustensionàl'aided'uneempreintedigitaleetdestockage desempreintesdigitalessurleprocesseurassociénes'afchenormalementpasdansFingerprint Software,àmoinsquedesmotsdepasseBIOSoudisquedurnesoientdénissurlesystème.Ande changercecomportementetdeforcerl'afchagedecesoptionssansl'existencedemotsdepasseBIOS oudisquedur,ajoutezl'undesélémentsci-dessous,quis'appliqueàvotretyped'ordinateur,auregistre:

[HKEY_LOCAL_MACHINE\SOFTWARE\ProtectorSuiteQL\1.0]

REG_DWORD"BiosFeatures"=2

[HKEY_LOCAL_MACHINE\SOFTWARE\ProtectorSuiteQL\1.0]

REG_DWORD"BiosFeatures"=4

CeparamètreestutilelorsqueSafeGuardEasyestinstallésurunsystèmesansmotsdepasseBIOSet qu'ilutilisel'authenticationparempreintedigitalepourdéchiffrerledisquedur.

•Sons:FingerprintSoftwarepeutêtrecongurépourproduireunsoncontenudansunchier.wavlorsdu processusd'authenticationparempreintedigitale,etdanscertainescirconstances.Lesparamètresde registrepourcessonssontlessuivants:

[HKEY_LOCAL_MACHINE\SOFTWARE\ProtectorSuiteQL\1.0\settings]

‘Success ’ REG_SZ“sndSuccess”=[pathtosoundle] Theledesignatedwillplaywheneverasuccessfulswipeisregistered.

‘Failure’ REG_SZ“sndFailure”=[pathtosoundle] Theledesignatedwillplaywheneveranunsuccessfulswipeisattempted.

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\ngerprint

‘Scan’ REG_SZ“sndScan”=[pathtosoundle] Theledesignatedwillplaywheneverthengerprintverication

dialogisdisplayedforClientSecuritySolution-relatedoperations.

Ifthevalueisnotpresentorisemptythennosoundisplayed.

Quality’ REG_SZ“sndQuality”=[pathtosoundle] Theledesignatedwillplaywheneveranunreadableswipehasoccurred. Ifthevalueisnotpresentorisemptythennosoundisplayed.

•Validationdumotdepasselorsdudéverrouillagedusystème:pardéfaut,FingerprintSoftware validelemotdepassestockélorsdudéverrouillagedusystème.Lavalidationimpliquedecontacterle contrôleurdedomaineetpeutentraînerunretard.Pouréviterleretard,désactivezlavalidationdumotde passelorsdudéverrouillagedusystèmeetmodiezleregistredelamanièresuivante:

[HKEY_LOCAL_MACHINE\SOFTWARE\ProtectorSuiteQL\1.0\settings] REG_DWORD"DoNotTestUnlock"=1

FingerprintSoftwarecontinueàvaliderlemotdepasselorsdelaconnexiondusystème.

Remarque:Lorsquelacléderegistreci-dessusestdéniesur1,sil'administrateurdedomainemodier l'utilisateurlorsquesonsystèmeestverrouillé,FingerprintSoftwarepossèdel'ancienmotdepasse stockéjusqu'àcequel'utilisateursedéconnecteetsereconnecte.

56GuidededéploiementClientSecuritySolution8.3

FingerprintSoftwareetNovellNetwareClient

Pourprévenirtoutconit,lesnomsd'utilisateuretlesmotsdepasseFingerprintSoftwareetNovellNetware Clientdoiventcorrespondre.SivousavezinstalléFingerprintSoftwaresurvotreordinateur,puisNovell NetwareClient,certainsarticlesduregistrepeuventavoirétéécrasés.Sivousrencontrezdesproblèmes aveclaconnexionFingerprintSoftware,allezsurl'écrandesparamètresdeconnexionetréactivezLogon Protector.

SiNovellNetwareClientestinstallésurvotreordinateurmaisquevousnevousêtespasconnectéau clientavantd'installerFingerprintSoftware,l'écranNovellLogons'afchera.Indiquezlesinformations demandéesparcetécran.

Remarque:Lesinformationsdecettesections'appliquentuniquementàThinkVantageFingerprintSoftware.

Pourmodierlesparamètresduprotecteurdeconnexion,procédezcommesuit:

•Démarrezlecentredecontrôle.

•CliquezsurSettings.

•Cliquezsurl'ongletLogonsettings.

•Activezoudésactivezleprotecteurdeconnexion. Sivoussouhaitezutiliserlaconnexionparempreintedigitale,cochezlacaseReplaceWindowslogon withngerprint-protectedlogon.

Remarque:L'activationetladésactivationduprotecteurdeconnexionnécessiteunréamorçage.

•Activezoudésactivezlechangementrapided'utilisateur,s'ilestprisenchargeparvotresystème.

•(Facultatif)Activezoudésactivezlaconnexionautomatiquepourunutilisateurauthentiéparundispositif desécuritéàlamisesoustension.

•DénissezlesparamètresdeconnexionNovell.Lesparamètressuivantssontdisponibleslorsquevous vousconnectezàunréseauNovell:

–Activated

FingerprintSoftwarefournitautomatiquementlesautorisationsd'accèsconnues.Silaconnexionà Novelléchoue,l'écrandeconnexiondeNovellClients'afcheainsiqu'unmessagevousdemandant d'entrerlesdonnéescorrectes.

–Askduringlogon

FingerprintSoftwareafchel'écrandeconnexiondeNovellClientainsiqu'uneinviteàentrerles donnéesdeconnexion.

–Disabled

FingerprintSoftwarenetentepasdeconnexionNovell.

Authentication

ProcédezcommesuitpourpasserdeNovellàFingerprintSoftware:

1.InstallezFingerprintSoftware.

2.InstallezNovellNetwareClient.

3.Al'invite,cliquezsurY espourvousconnecter.

4.Réamorcez.

5.Al'invite,cliquezsurYespourvousconnecteràFingerprintSoftware.

6.DémarrezNovellNetwareClient.

7.Authentiez-vousauprèsduserveur.

Chapitre4.UtilisationdeThinkVantageFingerprintSoftware57

8.Connectez-vousàWindows.

9.Réamorcez.

Remarque:VotreIDetvotremotdepassed'authenticationpourWindowsetNovelldoiventêtre identiques.

ServiceThinkVantageFingerprintSoftware

Leserviceupeksvr.exeestajoutéausystèmeunefoisqueThinkVantageFingerprintSoftwareestinstallé.Il estexécutéaudémarrageetchaquefoisquel'utilisateurseconnecte.Leserviceupeksvr.exeestl'élément principaldeThinkVantageFingerprintSoftware.Ilexécutetouteslesopérationsaveclepériphériqueet lesdonnéesdel'utilisateur.Ilafcheégalementtoutel'interfaceutilisateurdevéricationbiométriqueet permetunaccèssécuriséauxdonnéesdel'utilisateur.

58GuidededéploiementClientSecuritySolution8.3

Chapitre5.UtilisationdeLenovoFingerprintSoftware

Laconsoled'identicationparempreintedigitaledoitêtreexécutéeàpartirdudossierd'installationde LenovoFingerprintSoftware.LasyntaxedebaseestFPRCONSOLE[USER|SETTINGS].Lacommande USERouSETTINGSpréciselesopérationsquiserontexécutées.Lacommandecomplèteest«fprconsole useraddTestUser».Silacommandeestinconnueousitouslesparamètresnesontpasindiqués,laliste descommandesabrégéess'afcheaveclesparamètrespossibles.

LenovoFingerprintSoftware,lesinstructionsd'installation,laconsoledegestionettouteladocumentation associéesontdisponiblessurlesiteWebdeLenovoàl'adressesuivante: http://www.lenovo.com/support

OutilManagementConsole

Pourplusd'informationssurl'outilManagementConsoledeLenovoFingerprintSoftware,voir«Outil ManagementConsole»àlapage51pourréférence.

ServiceLenovoFingerprintSoftware

Remarque:LenovoFingerprintSoftwarenécessiteleservicedeterminalsurlesystème.Sivousdésactivez

leservicedeterminal,desrésultatsinattenduspeuventseproduiredansLenovoFingerprintSoftware.

Lesservicesci-dessoussontajoutésausystèmeunefoisqueLenovoFingerprintSoftwareestinstallé:

•ATService.exe(activépardéfaut) VousdevezactiverleserviceATService.exepourutiliserlesystèmedelectured'empreintesdigitales.Ce servicegèrelesdemandesprovenantd'applicationsavecledétecteurd'empreintesdigitales.

•DataTransferService(activépardéfaut) LorsqueleserviceDataTransferouleserviceATService.exeprendndemanièreanormale,Lenovo FingeprintSoftwarenefonctionnepasdemanièreescomptée.

•ADMonitor.exe(désactivépardéfaut) VousdevezactiverleserviceADMonitor.exepourprendreenchargel'administrationd'ActiveDirectory. Ceservicecontrôlelesmodicationsrépercutéesdansleregistreàpartird'ActiveDirectoryetreèteles modicationsenlocal.

Priseencharged'ActiveDirectorypourLenovoFingerprintSoftware

Letableauci-dessousindiquelesparamètresderèglepourLenovoFingerprintSoftware.

Tableau31.Paramètresdestratégie

ParamètreDescription

Enable/disablengerprintlogonSpéciel'utilisationdesempreintesdigitalesàlaplace

desmotsdepasseWindowspourseconnecterà l'ordinateur.Sivousactivezceparamètre,ilyadeux optionsquevouspouvezactiveroudésactiver:

•DisableCTRL+AL T+DELdialogforlogoninterface Sivoussélectionnezcetteoption,lemessage quiinvitel'utilisateuràappuyersurlestouches CTRL+ALT+SUPPRpourseconnecterestdésactivé. (DisponibleuniquementsousWindowsXP)

Tableau31.Paramètresdestratégie(suite)

ParamètreDescription

•Requirenon-administratoruserlogonwith

ngerprintauthentication

Sivoussélectionnezcetteoption,lesutilisateursqui nesontpasadministrateurspeuventseulementse connecterenutilisantlelecteurd'empreintesdigitales.

Allowusertoretrievepasswordthroughngerprint authentication

Alwaysshowpower-onsecurityoptions

Usengerprintauthenticationinsteadofpower-onand HDpasswords

SetnumberoffailedattempsbeforelockoutDénitlenombredetentativesdeconnexionn'ayantpas

SetinactivetimeoutDénitladuréed'inactivitédusystème(ensecondes)

Allowuserstoenrollngerprints

Allowuserstodeletengerprints

Allowuserstoimport/exportngerprintsSivousactivezceparamètre,lesutilisateursquinesont

Show/HideelementsinsettingtabofngerprintsoftwareSivousactivezceparamètre,lesadministrateurs

Sivousactivezceparamètre,lesutilisateurspeuvent afcherlemotdepasseWindowspourleurcomptedans LenovoFingerprintSoftwareaprèsl'authenticationpar empreintedigitale.

Sivousactivezceparamètre,lesutilisateurspeuvent choisird'utiliserFingerprintReaderàlaplacedes motsdepasseàlamisesoustensionetdedisque durlorsquel'ordinateurestmissoustension.Dansla fenêtred'enregistrementLenovoFingerprintSoftware, l'authenticationparempreintedigitaleàlamisesous tensionpeutêtreactivéeoudésactivéepourchaque empreinteenregistrée.

Sivousactivezceparamètre,l'authenticationpar empreintedigitaleestutiliséeàlaplacedesmotsde passedemisesoustensionetdedisquedur.

aboutiautoriséavantquel'utilisateursoitverrouillé,ainsi queladurée(ensecondes)pendantlaquellel'utilisateur estverrouillé.

autoriséeavantquel'utilisateursedéconnecte. Sivousactivezceparamètre,lesutilisateursquinesont

pasadministrateurspeuvents'enregistrerlesempreintes digitalesavecLenovoFingerprintSoftware.

Sivousactivezceparamètre,lesutilisateursquinesont pasadministrateurspeuventsupprimerdesempreintes digitalesenregistréesprécédemmentavecLenovo FingerprintSoftware.

pasadministrateurspeuventimporteretexporterdes empreintesdigitalesenregistréesprécédemmentavec LenovoFingerprintSoftware.

informatiquespeuventcontrôlerl'interfaceutilisateurde paramétragedeFingerprintSoftware.

60GuidededéploiementClientSecuritySolution8.3

Chapitre6.Pratiquesrecommandées

CechapitrecontientdesscénariosillustrantlesvaleursrecommandéespourClientSecuritySolutionet FingerprintSoftware.Cescénariocommenceparlacongurationdel'unitédedisquedur,continuepar plusieursmisesàjouretsuitlecycledevied'undéploiement.L'installationsurdesordinateursLenovoet nonLenovoestdécrite.

Exemplesdedéploiementpourl'installationdeClientSecuritySolution

Lasectionci-aprèsfournitdesexemplesd'installationdeClientSecuritySolutionsurdesordinateurs debureauetdesordinateursportables.

Scénario1

Voiciunexempled'installationsurunordinateurdebureaurépondantauxexigencesclientci-après:

•Administration Utilisationducompteadministrateurlocalpourl'administrationdel'ordinateur.

•ClientSecuritySolution –Installationetexécutionenmodeémulation.

LessystèmesLenovonedisposentpastousd'unmoduleTPM(TrustedPlatformModule)(processeur desécurité).

–ActivationdumotdepassecomposéClientSecurity.

ProtectiondesapplicationsClientSecuritySolutionparunmotdepassecomposé.

–ActivationdelaconnexionWindowsàClientSecurity.

Connectez-vousàWindowsaveclemotdepassecomposéClientSecurity.

–Activationdelafonctionderécupérationdumotdepassecomposédel'utilisateurnal.

Possibilitépourlesutilisateursderécupérerleurmotdepassecomposéenrépondantàtroisquestions déniesparl'utilisateur.

–ChiffrementduscriptXMLdeClientSecuritySolutionavecunmotdepasse,parexemple,

XMLscriptPW. ProtectionduchierdecongurationClientSecuritySolutionparunmotdepasse.

–FingerprintSoftwarepeutêtreinstalléounon.

Surl'ordinateurdepréparation:

1.Connectez-vousàWindowsavecuncompted'administrateurlocal.

2.InstallezleprogrammeClientSecuritySolutionaveclacommandesuivante:

tvtcss83_xxxx.exe/s/v"/qn"EMULATIONMODE=1""NOCSSWIZARD=1"

(oùXXXXestl'IDdecompilation)

3.Redémarrezl'ordinateuretconnectez-vousàWindowsavecuncompted'administrateurlocal.

4.PréparezlescriptXMLpourledéploiementenprocédantcommesuit: a.Exécutezlacommandesuivante:

"C:\ProgramFiles\Lenovo\ClientSecuritySolution\css_wizarde.exe" /name:C:\ThinkCentre

b.Effectuezlacongurationdansl'assistant,enprocédantcommesuit:

1)CliquezsurMéthodedeconnexionsécurisée➙Suivant.

2)EntrezlemotdepasseWindows(parexemple,WPW4Admin)pourlecompted'administrateuret cliquezsurSuivant.

3)EntrezlemotdepassecomposéClientSecurity(parexemple,CSPP4Admin)pourlecompte administrateur,sélectionnezl'optionUtiliserlemotdepassecomposéClientSecuritypour protégerl'espacedetravailRescueandRecoveryetcliquezsurSuivant.

4)RépondezàtroisquestionspourlecompteadministrateuretcliquezsurSuivant,parexemple: a)Comments'appelaitvotrepremieranimaldomestique? b)Quelestvotrelmpréféré? c)Quelleestvotreéquipepréférée?

5)Examinezlerécapitulatif,puissélectionnezAppliquerpourenregistrerlechierXMLà l'emplacementsuivant:

C:\ThinkCentre.xml

6)CliquezsurT erminerpourfermerl'assistant.

5.OuvrezlechierThinkCentre.xmldansunéditeurdetexte(unéditeurdescriptXMLouleprogramme MicrosoftWord2003prenantenchargeleformatXML),supprimeztouteslesréférencesauparamètre dedomaineetsauvegardezlechier.Ainsi,lescriptutiliseàlaplacelenomd'ordinateurlocalsur chaquesystème.

6.Utilisezl'outilxml_crypt_tool.exedanslerépertoireC:\ProgramFiles\Lenovo\ClientSecuritySolution pourchiffrerlescriptXMLparunmotdepasse,enutilisantlasyntaxesuivante:

xml_crypt_tool.exeC:\ThinkCentre.xml/encryptXML ScriptPW

LechierestmaintenantappeléC:\ThinkCentre.xml.encetestprotégéparlemotdepasseXMLScriptPW etestprêtàêtreajoutéàl'ordinateurdedéploiement.

Surl'ordinateurdedéploiement:

1.Connectez-vousàWindowsavecuncompted'administrateurlocal.

2.InstallezlesprogrammesRescueandRecoveryetClientSecuritySolutionaveclasyntaxesuivante:

setup_tvtrnr40_xxxxcc.exe/s/v"/qn"EMULATIONMODE=1""NOCSSWIZARD=1"

(oùxxxxestl'IDdecompilationetcclecodepays).

Remarques:

a.Assurez-vousqueleschiersTVT,commeZ652ZIXxxxxyy00.tvtpourWindowsXPou

Z633ZISxxxxyy00.tvtpourWindowsVistaouWindows7(oùxxxxcorrespondàl'IDdecompilation etyyaucodepays)setrouventdanslemêmerépertoirequelechierexécutable.Autrement, l'installationéchoue.

b.Sivouseffectuezuneinstallationadministrateur,voir«Scénario1»àlapage61.

3.Redémarrezl'ordinateuretconnectez-vousàWindowsavecuncompted'administrateurlocal.

4.AjoutezlechierThinkCentre.xml.encpréparéprécédemmentdanslerépertoireprincipalC:\.

5.PréparezlacommandeRunOnceExaveclesparamètressuivants: a.Ajoutezunenouvelleclé0001aprèslacléRunonceEx.Lasyntaxeestlasuivante:

HKEY_LOCAL_MACHINE\Sof tware\Microsof t\Windows \CurrentVersion\RunOnceEx\0001

b.AjoutezunnomdevaleurdechaîneCSSEnrolldanscetteclé:

"C:\ProgramFiles\Lenovo\ClientSecuritySolution\vmserver.exe" C:\ThinkCenter .xml.encXMLscriptPW

6.Exécutezlescommandesci-dessouspourpréparerlesystèmepourunesauvegardesysprep:

%rr%C:\ProgramFiles\Lenovo\RescueandRecovery\rrcmd.exe" sysprepbackuplocation=Lname="SysprepBackup"

62GuidededéploiementClientSecuritySolution8.3

Lasortieci-dessouss'afcheunefoisquelesystèmeestprêtpourlaréalisationd'unesauvegarde sysrep.

***************************************************** **Readytotakesysprepbackup.** **** **PLEASERUNSYSPREPNOWANDSHUTDOWN.** **** **Nexttimethemachineboots,itwillboot** **tothePredesktopAreaandtakeabackup.** *****************************************************

7.ExécutezlamiseenœuvreSysprep.

8.Arrêtezl'ordinateuretredémarrez-le.IllancelaprocéduredesauvegardedansWindowsPE.

Remarque:Silesystèmeafcheunmessageindiquantqu'une«restaurationestencours»maisqu'il s'agitbiend'unesauvegarde,aprèslasauvegarde,arrêtezl'ordinateuretneredémarrezpas.

9.Lasauvegardebasesysrepestmaintenantterminée.

Scénario2

Voiciunexempled'installationsurunordinateurportablerépondantauxexigencesclienthypothétiques ci-après:

•Administration –InstallationsurdesordinateurssurlesquelsuneversionprécédentedeClientSecuritySolutionest

installée. –Utilisationducompteadministrateurdedomainepourl'administrationdel'ordinateur. –TouslesordinateurspossèdentunmotdepassesuperviseurBIOS,BIOSpw.

•ClientSecuritySolution –UtilisationdumoduleTPM(TrustedPlatformModule).

Touslesordinateurssontéquipésd'unprocesseurdesécurité. –ActivationdePasswordManager. –UtilisationdumotdepasseWindowscommeauthenticationpouraccéderàClientSecuritySolution. –ChiffrementduscriptXMLdeClientSecuritySolutionavecunmotdepasse,parexemple,

XMLscriptPW.

ProtectionduchierdecongurationClientSecuritySolutionparunmotdepasse.

•ThinkVantageFingerprintSoftware –N'utilisezpaslesmotsdepasseBIOSetdel'unitédedisquedur.

–Connectez-vousàWindowsavecThinkVantageFingerprintSoftware.

Aprèsunepériodeinitialed'auto-enregistrementdel'utilisateur,l'utilisateurpasseenconnexionen modesécurisénécessitantl'utilisationdesempreintesdigitalespourlesutilisateursquinesontpas administrateursetpermettantuneauthenticationàdoublefacteur.

–IncluezletutorielFingerprintSoftware.

LetutorielFingerprintSoftwarepermetauxutilisateursnalsdesavoircommentpasserundoigtsurle lecteurd'empreintesdigitalesetobtiennentunretourvisueldeleursactions.

Surl'ordinateurdepréparation:

1.L'ordinateurestéteint.Démarrez-leetappuyezsurF1pouraccédezàl'utilitairedecongurationdu BIOSetaumenuSecuritypoureffacerleprocessusdesécurité.Sauvegardezlesparamètreset quittezleBIOS.

2.Connectez-vousàWindowsavecuncompted'administrateurdedomaine.

Chapitre6.Pratiquesrecommandées63

3.InstallezThinkVantageFingerprintSoftwareenprocédantcommesuit: a.Exécutezlechierf001zpz2001us00.exepourextrairelechiersetup.exedumoduleWeb.Lechier

setup.exeseraextraitautomatiquementàl'emplacementsuivant: C:\SWTOOLS\APPS\TFS5.9 .2-Buildxxxx\Application\0409(oùxxxxestl'IDdecompilation).

b.Cliquezdeuxfoissurlechiersetup.exeetsuivezlesinstructionsafchéesàl'écranpourinstaller

ThinkVantageFingerprintSoftware.

4.InstallezletutorielThinkVantageFingerprintSoftwareenprocédantcommesuit: a.Exécutezlechierf001zpz7001us00.exepourextrairelechiertutess.exeàpartirdumoduleWeb.

Lechiertutess.exeseraextraitautomatiquementàl'emplacementsuivant: C:\SWTOOLS\APPS\tutorial\TFS5.9 .2Buildxxxx\Tutorial\0409(oùxxxxestl'IDdecompilation).

b.Cliquezdeuxfoissurlechiertutess.exepourinstallerletutorielThinkVantageFingerprintSoftware.

5.InstallezlaconsoleThinkVantageFingerprintenprocédantcommesuit: a.Exécutezlechierf001zpz5001us00.exepourextrairelechierfprconsole.exeàpartirdumodule

Web.Lechierfprconsole.exeseraextraitautomatiquementàl'emplacementsuivant: C:\SWTOOLS\APPS\fpr_con\APPS\UPEK\FPRConsole\TFS5.9 .2-Buildxxx\Fprconsole(oùxxxxestl'ID decompilation).

b.Cliquezdeuxfoissurlechierfprconsole.exepourinstallerlaconsoleThinkVantageFingerprint.

6.InstallezleprogrammeClientSecuritySolutionaveclasyntaxesuivante:

tvtcss82_xxxxcc.exe/s/v”/qnNOCSSWIZARD=1SUPERVISORPW="BIOSpw""

7.Redémarrezl'ordinateuretconnectez-vousàWindowsavecuncompted'administrateurdedomaine etpréparezlescriptXMLpourledéploiement.

a.Exécutezlescommandessuivantes:

"C:\ProgramFiles\Lenovo\ClientSecuritySolution\css_wizard.exe" /name:C:\ThinkPad

b.Effectuezlacongurationdansl'assistantpourcomparerl'exempledescriptenprocédantcomme

suit:

1)CliquezsurMéthodedeconnexionsécurisée➙Suivant.

2)EntrezlemotdepasseWindows(parexemple,WPW4Admin)pourlecompted'administrateur dedomaineetcliquezsurSuivant.

3)EntrezlemotdepassecomposéClientSecuritypourlecompted'administrateurdedomaine.

4)SélectionnezIgnorePasswordRecoverySettingetcliquezsurSuivant.

5)Examinezlerécapitulatif,puiscliquezsurAppliquerpourenregistrerlechierXMLà l'emplacementsuivant:

C:\ThinkPad.xml

6)CliquezsurT erminerpourfermerl'assistant.

8.Utilisezl'outilxml_crypt_tool.exedanslerépertoireC:\ProgramFiles\Lenovo\ClientSecuritySolution pourchiffrerlescriptXMLavecunmotdepasse.Al'invitedecommande,utilisezlasyntaxesuivante:

xml_crypt_tool.exeC:\ThinkPad.xml/encryptXMLScriptPW

LechierestnomméC:\ThinkPad.xml.encetestprotégéparlemotdepasseXMLScriptPW.

Surl'ordinateurdedéploiement:

1.InstallezThinkVantageFingerprintSoftwaresurl'ordinateurdedéploiementenprocédantcommesuit: a.Déployezlechiersetup.exeextraitdel'ordinateurdepréparationversl'ordinateurdedéploiement,

avecl'outildedistributiondulogicieldevotreentreprise.

b.Exécutezlacommandesuivante:

setup.exeCTLCNTR=0/q/i

64GuidededéploiementClientSecuritySolution8.3

2.InstallezletutorieldeThinkVantageFingerprintSoftwaresurl'ordinateurdedéploiementenprocédant commesuit:

a.Déployezlechiertutess.exeextraitdel'ordinateurdepréparationversl'ordinateurdedéploiement,

avecl'outildedistributiondulogicieldevotreentreprise.

b.Exécutezlacommandesuivante:

tutess.exe/q/i

3.InstallezlaconsoleThinkVantageFingerprintsurl'ordinateurdedéploiementenprocédantcommesuit: a.Déployezlechierfprconsole.exeextraitdel'ordinateurdepréparationversl'ordinateurde

déploiement,avecl'outildedistributiondelogicieldevotreentreprise.

b.Placezlechierfprconsole.exedanslerépertoireC:\ProgramFiles\ThinkVantageFingerprint

Software.

c.DésactivezlapriseenchargedelasécuritédemisesoustensionduBIOSenexécutantla

commandesuivante:

fprconsole.exesettingsTBX0

4.InstallezThinkVantageClientSecuritySolutionsurlesordinateursdedéploiementenprocédantcomme suit:

a.Déployezlechiertvtvcss83_xxxx.exe(oùxxxxl'IDdecompilation)surl'ordinateurdedéploiement,

avecl'outildedistributiondelogicieldevotreentreprise.

b.Exécutezlacommandesuivante:

tvtvcss83_xxxx.exe/s/v"/qn"NOCSSWIZARD=1""SUPERVISORPW="BIOSpw""

L'installationdulogicielactiveautomatiquementlemoduleTPM(TrustedPlatformModule).

5.Redémarrezl'ordinateuretcongurezlesystèmeaveclechierdescriptXMLensuivantlaprocédure ci-dessous:

a.CopiezlechierThinkPad.xml.encpréparéaupréalabledanslerépertoireC:\. b.Exécutezlacommandesuivante:

"C:\ProgramFiles\Lenovo\ClientSecuritySolution\ vmserver.exe"C:\ThinkPad.xml.encXMLScriptPW

6.Redémarrezl'ordinateuretlesystèmeestmaintenantprêtpourl'enregistrementdesutilisateursde ClientSecuritySolution.TouslesutilisateurspeuventseconnecterausystèmeavecleurIDutilisateur etleurmotdepasseWindows.Chaqueutilisateurquiseconnecteausystèmeestautomatiquement invitéàs'enregistrerdansClientSecuritySolution,puisalapossibilitéd'enregistrersesempreintes digitalesdanslelecteurd'empreintesdigitales.

7.UnefoisquetouslesutilisateursdusystèmeontétéenregistrésdansThinkVantageFingerprint Software,leparamètredemodesécurisépeutêtreactivédemanièreàinvitertouslesutilisateurs Windowsquinesontpasadministrateursàseconnecteravecleursempreintesdigitales.

•Pouractiverleparamètredemodesécurisé,exécutezlacommandesuivante:

"C:\ProgramFiles\ThinkVantageFingerprintSoftware\ fprconsole.exe"settingssecuremode1

•Dansl'écrand'ouverturedesession,poursupprimerlemessageinvitantlesutilisateurà«appuyersur

Ctrl+Alt+Supprpourseconnecteravecunmotdepasse»,exécutezlacommandesuivante:

"C:\ProgramFiles\ThinkVantageFingerprintSoftware\fprconsole.exesettings" CAD0

8.LedéploiementdeClientSecuritySolution8.3etdeThinkVantageFingerprintSoftwareestmaintenant terminé.

Chapitre6.Pratiquesrecommandées65

PassageauxmodesClientSecuritySolution

SivousbasculezClientSecuritySolutiondumodepratiqueaumodesécuriséouinversement,etquevous utilisezRescueandRecoverypoursauvegarderlesystème,procédezàunenouvellesauvegardedela basededonnéesaprèslechangementdemode.

Déploiementd'ActiveDirectoryauniveaudel'entreprise

Suivezlaprocédureci-aprèsdanslecasd'undéploiementd'ActiveDirectory:

1.Effectuezl'installationviaActiveDirectoryouLANDesk: a.ExtrayezlessauvegardesetobtenezlesrapportsviaActiveDirectoryetLANDeskconcernant

l'auteuretlemomentdel'extraction.

b.Possibilitéd'accorderàcertainsgroupeslapossibilitéd'extrairedessauvegardes,desupprimerdes

sauvegardes,deplanierdesoptionsetdesrestrictionsparmotdepasse,puisdemodierces groupesetdevoirsilesparamétragespersistent.

c.ActivezAntidoteDeliveryManagerviaActiveDirectory.Lancezl'exécutiondemodulesetvériez

lacapturedurapport.

InstallationautonomepourlesCDouleschiersscript

Pouruneinstallationsurunposteautonomed'unCDoud'unchierscript,procédezcommesuit:

1.UtilisezunchierdetraitementparlotspourinstallerClientSecuritySolutionenmodesilencieux ainsiquelatechnologieFingerprint.

2.CongurezlarécupérationdemotdepasseBIOSenmodesilencieux.

SystemUpdate

Pourlamiseàjourdusystème,procédezcommesuit:

1.InstallezClientSecuritySolutionetlatechnologieFingerprintSoftwareparlebiaisd'unserveurdemise àjourdesystèmepersonnalisésimulantlacongurationd'unserveurpourunegrandeentrepriseaulieu d'utiliserunserveurLenovopourcontrôlerlecontenu.

2.Sur-installeztroisversionsdifférentesdel'ancienlogiciel(RescueandRecovery1.0/2.0/3.0,Fingerprint, ClientSecuritySolution5.4–6,FFE).Lesparamètresdoiventêtreconservéslorsdel'installationdela nouvelleversionsurl'ancienne.

SystemMigrationAssistant

SystemMigrationAssistant6.0prendenchargelamigrationàpartird'unanciensystèmeversledernier systèmeWindows7etprendenchargelamigrationdesparamètresdelogicielàpartirdesversions précédentesdeClientSecuritySolutionetdeFingerprintSoftware.VouspouveztéléchargerSystem MigrationAssistant6.0surlesiteWebdeLenovoàl'adressesuivante: http://www.lenovo.com/support

Générationd'uncerticatàl'aidedelagénérationdeclésdansTPM

IlestpossibledegénérerdirectementdescerticatsenutilisantClientSecuritySolutionCSPetlesclés privéesdescerticatssontgénéréesetprotégéesparTPM.PourdemanderuncerticatavecClient SecuritySolutionCSP:

66GuidededéploiementClientSecuritySolution8.3

Congurationminimalerequise:

•Leserveurdoitcomporterlesélémentssuivants: –WindowsServer2003Enterpriseouversionsupérieure

–ActiveDirectory –ServiceCerticateAuthority

•Leclientdoitrespecterlacongurationsuivante: –TPMactivé

–ClientSecuritySolutiondoitêtreinstallé

Demandedecerticatàpartirduserveur

Créationd'unmodèlepourunutilisateurTPM

PourcréerunmodèlepourlesutilisateursTPM,procédezcommesuit:

1.CliquezsurDémarrer➙Exécuter.

2.EntrezmmcetcliquezsurOK.Lafenêtredelaconsoles'afche.

3.DanslemenuFile,cliquezsurAdd/RemoveSnap-in,puissurAdd.LafenêtreAddStandalone snap-ins'afche.

4.CliquezdeuxfoissurCerticationAuthoritydanslalistedescomplémentsetcliquezsurClose.

5.CliquezsurOKdanslafenêtreAdd/RemoveSnap-in.

6.CliquezsurCerticateT emplatesdansl'arborescencedelaconsole.Touslesmodèlesdecerticat s'afchentdanslevoletdegauche.

7.CliquezsurAction➙DuplicateT emplate.

8.DanslazoneDisplayName,entrezTPMUser.

9.Cliquezsurl'ongletRequestHandlingetcliquezsurCSPs.SélectionnezRequestscanuseanyCSP availableonthesubject'scomputers.

10.Cliquezsurl'ongletGeneral.Assurez-vousquePublishCerticateinActiveDirectoryestsélectionné.

11.Cliquezsurl'ongletSecurity,danslalisteGrouporusernames,cliquezsurAuthenticatedUserset assurez-vousqueEnrollestsélectionnédansl'optionPermissionsforAuthenticatedUsers.

Congurationd'uneautoritédecerticationd'entreprise

Pourexécuterlecerticatdel'utilisateurTPMencongurantuneautoritédecerticationd'entreprise, procédezcommesuit:

1.OuvrezCerticationAuthority.

2.Dansl'arborescencedelaconsole,cliquezsurCerticateTemplates.

3.DanslemenuAction,cliquezsurNew➙CerticatetoIssue.

4.CliquezsurTPMetsurOK.

Applicationd'uncerticatàpartirduclient

Pourappliquerlecerticatàpartirduclient,procédezcommesuit:

1.Connectez-vousàl'Intranet,démarrezInternetExploreretentrezl'adresseIPduserveursurlequelle serviceCAestinstallé.

2.Entrezlenomd'utilisateuretlemotdepassededomainedanslafenêtred'invite.

3.CliquezsurRequestacerticatesousSelectatask.

Chapitre6.Pratiquesrecommandées67

4.CliquezsuradvancedcerticaterequestdanslapartieinférieuredelapageWeb.

5.DanslapageAdvancedCerticateRequest,modiezlesparamètressuivants:

•SélectionnezTPMUserdanslalistedéroulanteCerticateTemplate.

•SélectionnezThinkVantageClientSecuritySolutionCSPdanslalistedéroulanteCSP.

•Assurez-vousqueMarkkeysasexportablen'estpassélectionné.

•CliquezsurSubmitetsuivezlaprocédure.

•DanslapageCerticateIssued,cliquezsurInstallthiscerticate.LapageCerticateInstalled s'afche.

UtilisationdeclaviersUSBàempreintesdigitalesavec desmodèlesd'ordinateurportableThinkPad2008 (R400/R500/T400/T500/W500/X200/X301)

Lenovosous-traiteàdeuxfournisseurslafournituredel'authenticationparempreintesdigitalessurles modèlesd'ordinateurportableThinkPad antérieursà2008(parexemple,T61)utilisentdesdétecteursd'empreintesdigitalesThinkVantage.Les modèlesd'ordinateurportableThinkPaddatantde2008(àcompterdumodèleT400)utilisentdesdétecteurs d'empreintesdigitalesLenovo.T ouslesclaviersLenovoutilisentdesdétecteursd'empreintesdigitales ThinkVantage.Sileclavieràlecteurd'empreintesdigitalesestutilisésurcertainesmodèlesd'ordinateur portableThinkPad(parexemple,ThinkPadT400avecunclavierUSBexterne),desconsidérationsspéciales doiventêtreprisesencompte.

Cettesectiondécritdesscénariosd'utilisationcourantsetdesrèglesdedéploiementpourFingerprint Softwareinstallésurlesderniersmodèlesd'ordinateurportableThinkPad.

Remarque:

•LenovoFingerprintSoftwareLenovoFingerprintSoftwareestlelogicielassociéaudétecteurd'empreintes digitalesAuthenTec(parexemple,ledétecteurd'empreintesdigitalesintégrédumodèleT400).

•ThinkVantageFingerprintSoftwareThinkVantageFingerprintSoftwareestlelogicielassociéaudétecteur d'empreintesdigitalesUPEK(parexemple,ledétecteurd'empreintesdigitalesdumodèleT61etle détecteurd'empreintesdigitalesdetouslesclaviersUSBexternes).

etlesclaviersUSB.Lesmodèlesd'ordinateurportableThinkPad

ConnexionàWindows7

Pourseconnecterausystèmed'exploitationWindows7,vouspouvezutiliserledétecteurd'empreintes digitalesAuthenTecouUPEKàtoutmoment.

1.InstallezLenovoFingerprintSoftwareversion3.2.0.275ouversionsupérieure.

2.InstallezThinkVantageFingerprintSoftwareversion5.8.2.4824ouversionsupérieure.

3.Redémarrezl'ordinateur.L'assistantd'enregistrementd'empreintesdigitalesdémarreautomatiquement.

4.UtilisezThinkVantageFingerprintSoftwarepourenregistrervosempreintesdigitalesavecledétecteur d'empreintesdigitalesexterne.S'ilnedémarrepasautomatiquement,cliquezsurDémarrer➙

Programmes(ouT ouslesprogrammes)➙ThinkVantage➙ThinkVantageFingerprintSoftware

pourcommencerl'enregistrement.

5.EntrezlemotdepasseWindowslorsquevousyêtesinvité,puischoisissezledoigtàenregistrer.

6.Suivezlesinvitesquis'afchentàl'écranpourenregistrercedoigtavecledétecteurd'empreintes digitalesexterne.

7.CliquezsurParamètresdanslapartiesupérieuredelafenêtre.

8.CochezlacaseUsengerprintscaninsteadofpasswordwhenloggingintoWindows,cliquezsur

OK,puiscliquezsurClosepourfermerlafenêtre.

68GuidededéploiementClientSecuritySolution8.3

9.Redémarrerl'ordinateuretassurez-vousquelesempreintesdigitalespeuventêtreutiliséespourse connecteràWindowsavecledétecteurd'empreintesdigitalesexterne.

10.Utilisezlafonctiond'enregistrementd'empreintesdigitalespourenregistrervosempreintesdansle détecteurd'empreintesdigitalesinterne.S'ilnedémarrepasautomatiquement,cliquezsurDémarrer ➙Programmes(ouT ouslesprogrammes)➙ThinkVantage➙LenovoFingerprintSoftwarepour commencerl'enregistrement.

11.EntrezlemotdepasseWindowslorsquevousyêtesinvité,puischoisissezledoigtàenregistrer.

12.Suivezlesinvitesquis'afchentàl'écranpourenregistrerledoigtavecledétecteurd'empreintes digitalesintégré.

13.CliquezsurParamètresdanslapartiesupérieuredelafenêtre.

14.CochezlacaseUsengerprintscaninsteadofpasswordwhenloggingintoWindows,cliquezsur OK,puiscliquezsurClosepourfermerlafenêtre.

15.Redémarrerl'ordinateuretassurez-vousquelesempreintesdigitalespeuventêtreutiliséespourse connecteràWindowsavecledétecteurd'empreintesdigitalesintégré.

ClientSecuritySolutionetPasswordManager

ContrairementàlaconnexionWindows,lesdemandesd'authenticationdeClientSecuritySolutionetde PasswordManagernefonctionnentquesurledétecteurd'empreintesdigitalespréféré.Parexemple, lorsqu'unclavieràlecteurd'empreintesdigitalesestconnecté,sondétecteurd'empreintesdigitalesestle périphériquepréféré.Lorsqueaucunclavieràlecteurd'empreintesdigitalesn'estconnecté,ledétecteur d'empreintesdigitalesintégréThinkPadestlepériphériquepréféré.

Pourmodierlepériphériquepréféré,créezuneentréederegistrecommesuit:

[HKLM\Software\Lenovo\TVTCommon\ClientSecuritySolution] REG_DWORD"PreferInternalFPSensor"=1

Tableau32.Clésderegistre

NomValeurDescription

Pref erInternalFPSensor

0(valeurpardéfaut)Spéciequeledétecteur

d'empreintesdigitalesexterne estpréféréchaquefoisqueleclavier àlecteurd'empreintesdigitalesest connecté.

Spéciequeledétecteur d'empreintesdigitalesintégré estpréféré.

Authenticationavantledémarrage-avecuneempreintedigitaleàla placedemotsdepasseBIOS

ContrairementàlaconnexionWindows,lesdemandesd'authenticationdemotsdepasseBIOSne fonctionnentquesurledétecteurd'empreintesdigitalespréférélorsqueleBIOSestcongurépourl'utiliser. Pardéfaut,leBIOSreconnaîtlespassagesdesdoigtssurleclavieràlecteurd'empreintesdigitalessi celui-ciestconnecté.Sileclavieràlecteurd'empreintesdigitalesn'estpasconnecté,leBIOSreconnaîtles passagesdesdoigtssurlelecteurd'empreintesdigitalesintégrépourl'authentication.

LeparamètreduBIOSReaderPrioritypeutêtremodiépourobligeràutiliserledétecteurd'empreintes digitalesinterne,mêmelorsqueleclavieràlecteurd'empreintesdigitalesexterneestconnecté.Lavaleurpar défautpourReaderPriorityestExterne.LeparamètrepeutêtremodiésurInternalOnlypourobligerà utiliserledétecteurd'empreintesdigitalesintégré.

Chapitre6.Pratiquesrecommandées69

Remarque:CeparamètreduBIOSnes'appliquequ'auxinvitesd'empreintedigitaleduBIOS.Iln'aaucun effetsurlaconnexionWindowsoulesdemandesd'authenticationparempreintesdigitalesdeClient SecuritySolution.

CongurationdeFingerprintSoftwarepourpermettrel'authenticationavantle démarrage

Sivousavezdénidesmotsdepassedesupervision,demisesoustensionoudedisquedurdansleBIOS, vouspouvezcongurerFingerprintSoftwarepourl'authenticationaulieud'avoiràentrercesmotsdepasse.

LenovoFingerprintSoftware-pourledétecteurd'empreintesdigitalesintégré

1.CliquezsurDémarrer➙Programmes(ouT ouslesprogrammes)➙ThinkVantage➙Lenovo FingerprintSoftwarepourdémarrerLenovoFingerprintSoftware.

2.PassezledoigtouentezlemotdepasseWindowslorsquevousyêtesinvité.

3.CliquezsurParamètresdanslapartiesupérieuredelafenêtre.

4.CochezlescasesUsengerprintscaninsteadofpower-onandharddrivepasswordsetAlways showpower-onsecurityoptions.

5.CliquezsurOKpourfermerlafenêtre.

6.Sélectionnezl'unedesempreintesdigitalesenregistréespouractiverl'empreintedevotrechoixet remplacerlesmotsdepasseBIOS.

7.CliquezsurClosepourfermerlafenêtre.

ThinkVantageFingerprintSoftware-pourledétecteurd'empreintesdigitalesexterne

1.DémarrezFingerprintSoftwareavecl'unedesapprochessuivantes:

•CliquezsurDémarrer➙Programmes(ouT ouslesprogrammes)➙ThinkVantage➙

ThinkVantageFingerprintSoftware.

•Cliquezsurl'icôneThinkVantageFingerprintSoftwaredanslafenêtreLenovoThinkVantageTools.

2.PassezledoigtouentezlemotdepasseWindowslorsquevousyêtesinvité.

3.CliquezsurParamètresdanslapartiesupérieuredelafenêtre.

4.CochezlescasesUsengerprintscaninsteadofpower-onandharddrivepasswordsetAlways showpower-onsecurityoptions.

5.CliquezsurOKpourfermerlafenêtre.

6.Sélectionnezl'unedesempreintesdigitalesenregistréespouractiverl'empreintedevotrechoixet remplacerlesmotsdepasseBIOS.

7.CliquezsurClosepourfermerlafenêtre.

70GuidededéploiementClientSecuritySolution8.3

AnnexeA.Remarquesconcernantl'utilisationduclavier LenovoFingerprintaveccertainsordinateursportables ThinkPadRemarquesconcernantl'utilisationduclavierLenovo FingerprintaveccertainsThinkPad

Lepériphériquedelectured'empreintesdigitalesutilisésurcertainsmodèlesd'ordinateurportableThinkPad diffèredeceluiutilisédansLenovoFingerprintKeyboard.Sileclavieràlecteurd'empreintesdigitalesest utilisésurcertainesmodèlesd'ordinateurportableThinkPad,tenezcomptedesremarquessuivantes.

Pourplusd'informations,accédezàlapagedetéléchargementdulogicieldelectured'empreintesdigitales surlesiteWebLenovopourobtenirunelistedesmodèlesd'ordinateurportableThinkPadconcernés.

Seulslesmodèlesrépertoriéspour«LenovoFingerprintSoftware»méritentdesconsidérationsspéciales lorsqu'ilssontutilisésavecleclavieràlecteurd'empreintesdigitales.Touslesautresmodèlesd'ordinateur portableThinkPadquiutilisent«ThinkVantageFingerprintSoftware,»seserventd'unlecteurd'empreintes digitalescompatibleaveclepériphériqueinclusdansleclavieràlecteurd'empreintesdigitales.Aucune remarquespécialeneleurestdoncassociée.

Congurationetdénition

LenovoFingerprintSoftware2.0ouversionsupérieuredoitêtreinstallépourutiliserlepériphériquedelecture d'empreintesdigitalesutilisésurl'ordinateurportableThinkPad.Lesutilisateursdoiventenregistrerleurs empreintesdigitalesavecLenovoFingerprintSoftwareaveclelecteurd'empreintesdigitalesintégré.

ThinkVantageFingerprintSoftware5.8ouversionsupérieuredoitêtreinstallépourutiliserLenovoFingerprint Keyboard.LesutilisateursdoiventégalementenregistrerleursempreintesdigitalesavecThinkVantage FingerprintSoftwareavecleclavieràlecteurd'empreintesdigitales.

Remarque:Lesempreintesdigitalesenregistréesavecundispositifnepeuventpasêtreéchangéesavec cellesdel'autredispositif.

Pre-desktopauthentication

Lepériphériquedelectured'empreintesdigitalesintégréouleclavieràlecteurd'empreintesdigitalesest utilisépourl'authenticationavantl'afchagedubureau(remplaceledémarragedusystèmeoulemot depassedudisquedurparuneempreintedigitale).LeBIOSdétermineledispositifàutiliserlorsquele systèmeestdémarré.

Pardéfaut,leBIOSnereconnaîtlepassagedesdoigtssurleclavieràlecteurd'empreintesdigitalesquesi celui-ciestconnecté.Lepassagedesdoigtssurlepériphériquedelectured'empreintesdigitalesintégréest ignorépourl'authenticationantérieureàl'afchagedubureausiunclavieràlecteurd'empreintesdigitales estconnecté.Sileclavieràlecteurd'empreintesdigitalesn'estpasconnecté,lelecteurd'empreintes digitalesintégréestutilisépourl'authenticationantérieureàl'afchagedubureau.

LeparamètreduBIOS«ReaderPriority»peutêtremodiépourutiliserledétecteurd'empreintesdigitales intégré.Sileparamètre«ReaderPriority»estdénisur«Internalonly,»,ledétecteurd'empreintesdigitales intégrépeutêtreutilisépourl'authenticationantérieureàl'afchagedubureau.Danscecas,lepassage desdoigtssurleclavieràlecteurd'empreintesdigitalesestignoré.

ConnexionàWindows

Leclavieràlecteurd'empreintesdigitalesLenovoetlelecteurd'empreintesdigitalesutilisésavecles modèlesd'ordinateurportableThinkPadcomportentleurpropreinterfacepourlesutilisateursquise connectentàWindowsavecuneempreintedigitaleenregistrée.

Important:DesincidentsliésàlacompatibilitépeuventseproduirelorsdelaconnexionàWindowssiles interfacesdeconnexionparempreintesdigitalesnesontpasconguréescorrectement.

Lorsquelemodèled'ordinateurportableThinkPadestéquipéàlafoisduclavieràlecteurd'empreintes digitalesLenovoetdulecteurd'empreintesdigitalesintégré,etqu'ilestinstalléavecleprogrammeClient SecuritySolution,ilexistedeuxapprochespourseconnecterausystèmed'exploitationWindows7avec l'authenticationparempreintesdigitales:

•Utilisationdel'interfacedeconnexionFingerprintSoftwareLesinterfacesdeconnexiondeLenovo FingerprintSoftwareetdeThinkVantageFingerprintSoftwaredoiventêtreactivées.Lorsquelesdeux interfacesdeconnexionFingerprintsontactivéessurlesystèmed'exploitationWindows7,lesutilisateurs peuventpasserleurdoigtsurleclavieràlecteurd'empreintesdigitalesousurlelecteurd'empreintes digitalesintégrépourseconnecter.

•Utilisationdel'interfacedeconnexiondeClientSecuritySolutionL'interfacedeconnexiondeClient SecuritySolutionpeutêtreutiliséeàlaplacedesinterfacesdeconnexionFingerprintSoftware.Lors del'utilisationdel'interfacedeconnexiondeClientSecuritySolutionpourseconnecterausystème d'exploitationWindowsavecl'authenticationparempreintesdigitales,laconnexionFingerprintSoftware estdésactivéedansl'optionParamètresdansl'espacedetravailFingerprintSoftwarecorrespondantet l'interfacedeconnexiondeClientSecuritySolutionestconguréedansl'optionGérerlesrèglesde

sécuritédanslemenuAvancédeClientSecuritySolution.

Remarques:

1.LeparamètreBIOSReaderPrioritynes'appliquepasdanscettesituation.Silesdeuxpériphériques sontdisponibles,vouspouvezutilisezl'unoul'autrepourvousconnecter.

2.SeulClientSecuritySolution8.3etversionsupérieureprendenchargecettefonction.Pourplus d'informations,voir«AuthenticationavecClientSecuritySolution»àlapage72.

AuthenticationavecClientSecuritySolution

Remarque:LesinformationsquisuiventneconcernentqueClientSecuritySolution8.3etversion

supérieure.LesversionsprécédentesdeClientSecuritySolutionneprennentpasenchargel'utilisationdu lecteurd'empreintesdigitalesavecleclavieràlecteurd'empreintesdigitales.

Lorsdelaréalisationd'uneopérationavecClientSecuritySolutionetqu'ellenécessiteuneauthentication parempreintedigitale,commeleremplissementautomatiqued'unmotdepassesurunsiteWebavec PasswordManager,lesutilisateursdoiventpasserundoigtsurleclavieràlecteurd'empreintesdigitales,s'il estconnecté,lorsqu'ilsysontinvités.Lepassagedesdoigtssurlepériphériquedelectured'empreintes digitalesintégréestignorésileclavieràlecteurd'empreintesdigitalesestconnecté.Sileclavieràlecteur d'empreintesdigitalesn'estpasconnecté,ledétecteurd'empreintesdigitalesintégrédoitêtreutilisé.

Unparamètrederegistreestdisponiblepourdemanderauxutilisateursd'utiliserledétecteurd'empreintes digitalesintégrépourl'authenticationavecClientSecuritySolution.Sicetteentréederegistreestdénie, l'authenticationparempreintedigitaleavecClientSecuritySolutiondoitêtreeffectuéeavecledétecteur intégré,etlepassagedesdoigtssurleclavieràlecteurd'empreintesdigitalesestignoré.

L'entréederegistreestlasuivante:

[HKLM\Software\Lenovo\TVTCommon\ClientSecuritySolution] REG_DWORD"PreferInternalFPSensor"=1

72GuidededéploiementClientSecuritySolution8.3

Lavaleurpardéfautdecetteentréederegistreestdéniesur0lorsquel'authenticationparempreinte digitaleavecClientSecuritySolutiondoitêtreeffectuéeavecleclavieràlecteurd'empreintesdigitales,etle passagedesdoigtssurlelecteurd'empreintesdigitalesestignoré.

Ceparamètrepeutégalementêtremodiéenutilisantlechierdemodèled'administrationdeClientSecurity SolutionaveclesrèglescollectivespourActiveDirectory.

Remarques:

1.LorsqueleparamètreBIOSReaderPriorityestdénisurInternalonly,ilestrecommandédedénirla valeurdel'entréederegistresur1.Celapermetl'authenticationavecClientSecuritySolutionpour simulerleparamètreBIOSdel'authenticationantérieureàl'afchagedubureau.

2.LeparamètreBIOSetceparamètrederegistresontindépendants.

AnnexeA.Remarquesconcernantl'utilisationduclavierLenovoFingerprintaveccertainsordinateursportablesThinkPadRemarques

concernantl'utilisationduclavierLenovoFingerprintaveccertainsThinkPad73

74GuidededéploiementClientSecuritySolution8.3

AnnexeB.SynchronisationdumotdepassedansClient SecuritySolutionaprèslaréinitialisationdumotdepasse Windows

UnefoisquelemotdepasseWindowsestréinitialisé,ClientSecuritySolutionvousinviteencontinuà indiquerunnouveaumotdepasseWindows,puisafcheunmessaged'erreurindiquantquelemotdepasse estincorrect.LasécuritéWindowsestconçueainsianquelesdonnéesd'identicationdesécuritésoient invalidéeslorsquelemotdepasseWindowsestréinitialisé.Windowsafcheunmessaged'avertissementà chaquetentativederéinitialisationdumotdepasse.Demême,nonseulementClientSecuritySolutionest affectéparlaréinitialisationdumotdepasseWindows,maisvousperdezégalementl'accèsauxcerticats etauxchierschiffrésparWindowsEFS.LorsqueClientSecuritySolutionnepeutplusaccéderauxdonnées d'identicationdesécuritéWindows(suiteàlaréinitialisationdumotdepasse),ClientSecuritySolutionvous inviteencontinuàindiquerunnouveaumotdepasse,puisafcheunmessaged'erreurindiquantquele motdepasseentrén'estpasvalide.ClientSecuritySolutionnepeutpasfonctionnerlorsquelesdonnées d'identicationdesécuritéWindowssontinvalidéesdecettemanière.SilemotdepasseWindowsaété modié(parexemple,vousêtesinvitéàindiquerl'ancienmotdepasseetlenouveaumotdepasse),les donnéesd'identicationdesécuritésontconservéesetprotégéesparlenouveaumotdepasse.

PoursynchroniserlemotdepassedansCSSunefoisquelemotdepasseWindowsestréinitialisé:

1.RestaurezunesauvegardedusystèmeavantderéinitialiserlemotdepasseWindows.

2.Restaurezlavaleurd'originedumotdepasseWindows.Celadoitrestaurerl'accèsauxdonnées d'identicationdesécuritéWindows.

3.CréezuncompteWindowsetcommencezàl'utiliseràlaplaceducompteinitialcontenantlesdonnées d'identicationaltérées.

4.Suivezcetteméthodepourrécupérerlesystème: a.LancezPasswordManager. b.CliquezsurImporter/ExporteretsélectionnezExporterunelisted'entrées. c.Spéciezunemplacementd'enregistrementduchieretentrezunnomdechier. d.Entrezunmotdepassepourlechier. e.FermezPasswordManager. f.LancezClientSecuritySolution. g.CliquezsurAvancé➙Réinitialiserlesparamètresdesécurité. h.EntrezlenouveaumotdepasseWindowslorsquevousyêtesinvité. i.ClientSecuritySolutionvousinviteàredémarrerlesystème. j.Aprèsleredémarragedusystème,lancezPasswordManager. k.CliquezsurImporter/ExporteretsélectionnezImporterunelisted'entrées. l.Recherchezlechiersauvegardéprécédemment. m.Entrezlemotdepasselorsquevousyêtesinvité.

76GuidededéploiementClientSecuritySolution8.3

AnnexeC.UtilisationdeClientSecuritySolutionsurun systèmed'exploitationWindowsréinstallé

Silesystèmed'exploitationWindowsinstalléavecClientSecuritySolutionaétéréinstallédemanièreà utiliserClientSecuritySolutionsurlesystèmed'exploitationWindowsquivientd'êtreinstallé,vousdevez effacerlesdonnéesd'installationdeClientSecuritySolutionetréinstallerClientSecuritySolution.

L'approcherecommandéeestlasuivante:

1.DésinstallezClientSecuritySolutionsurlesystèmed'exploitationWindowsactuel.

2.Redémarrezl'ordinateur.

3.Dansleregistre,effacezlesdonnéessuivantes:

•[HKEY_LOCAL_MACHINE\SOFTWARE\Lenovo\TVTCommon\ClientSecuritySolution]

•[HKEY_LOCAL_MACHINE\SOFTWARE\Lenovo\ClientSecuritySolution]

•[HKEY_LOCAL_MACHINE\SOFTWARE\Lenovo\Logs]

•[HKEY_LOCAL_MACHINE\SOFTWARE\IBM\Security\Debug]

4.EffacezlesdonnéesliéesàClientSecuritySolutionsurlapartitionC:.Ilestrecommandéderechercher lesdonnéessurtoutelapartitionC:,enactivantl'optiond'afchagedetousleschiersmasquésdans lafenêtreFileOption.Lerésultatsetrouvent,entreautres,auxemplacementssuivants:

•C:\Users\AllUsers\AppData\Roaming\ClientSecuritySolution

•C:\Users\%USER%\AppData\Roaming\ClientSecuritySolution

5.Effacezleprocesseurdesécuritédansl'utilitairedecongurationduBIOSetactivez-leenprocédant commesuit:

a.Arrêtezl'ordinateur. b.Allumezl'ordinateuretappuyezsurF1pouraccéderàl'utilitairedecongurationduBIOS. c.SélectionnezSecurity. d.AppuyezsurEntréeetsélectionnezClearSecurityChip. e.AppuyezsurEntréeetsélectionnezYespoureffacerlesclésdechiffrement. f.SélectionnezSecurityChipetappuyezsurEntréepoursélectionnerActive.

Remarque:SivousnesouhaitezpasdénirClientSecuritySolutiondanslemodedumoduleTPM matériel,dénissezleprocesseurdesécuritésurDisabled.

6.Redémarrezl'ordinateuretréinstallezleprogrammeClientSecuritySolution.

Remarque:Lorsquevousmodiezlemoded'installationdeClientSecuritySolutiondanslemode d'émulationdelogicielsurlemodedumoduleTPMmatériel,ouaprèsavoireffacéleprocesseurdesécurité, ClientSecuritySolutiontentederécupérerlesdonnéesexistanteslorsqu'ildétectelechangementdu moduleTPMetéchouecarlesdonnéeschiffréesnepeuventpasêtredéchiffréesparlesnouvellesdonnées dumoduleTPM.Danscecas,iln'estpaspossibledelancerClientSecuritySolution.

78GuidededéploiementClientSecuritySolution8.3

AnnexeD.UtilisationdumoduleTPMsurlesordinateurs portablesThinkPad

Leprincipalcasd'utilisationdumoduleTPMestlafonctionBitLockerquiestinclusedanscertainesversions dessystèmesd'exploitationMicrosoftWindowsVistaetWindows7.Cetteannexeproposedesréponses auxquestionscourantessuivanteslorsdudéploiementdeBitLockerdansdesenvironnementsWindows.

•«CommentdéployerBitLockeràdistance?»àlapage79

•«CommentfonctionneleverrouillagedumoduleTPM?»àlapage79

CommentdéployerBitLockeràdistance?

L'utilisationdesoutilsWindowsstandardpouractiverlemoduleTPM(parexemple,lechier manage-bde.exeoulepanneaudecommandeTPM)requiertl'arrêtcompletdel'ordinateur.Ensuite,lorsque vousrallumezl'ordinateur,vousdevezappuyersurunetouchepourconrmerl'action.Cetyped'interaction permetdedéployerautomatiquementBitLockeràdistance.

Ilexistedeuxtypesd'étatsassociésaumoduleTPM:ActifetActivé.UnmoduleTPMactifn'estpas nécessairementactivéetinversement.LemoduleTPMdoitêtreactifetactivéavantd'utiliserBitLocker.Le moduleTPMlivréaveclesordinateursportablesThinkPadesttoujoursactifetdésactivépardéfaut.Par conséquent,vousdevezdénirl'étatdumoduleTPMsuractivépourdéployerBitLocker.

Depuis2008,lesordinateursportablesThinkPadsontdotésd'uneinfrastructuredegestionWindows(WMI) permettantdemodierlacongurationduBIOS(notammentl'étatactivédumoduleTPM).WMIpeutêtre scriptéetexécutéàdistanceetnerequiertaucuneinteractionphysiqueavecl'ordinateur.

PourmodierlacongurationduBIOS,procédezcommesuit:

1.AccédezausiteWebsuivant: http://support.lenovo.com/en_US/detail.page?LegacyDocID=MIGR-68488.

2.CliquezsurSampleScriptsforBIOSDeploymentGuide(Exemplesdescriptspourleguidede déploiementduBIOS)pourtéléchargerlechierscript.zip.Extrayezlechierzip.

3.Saisissezcscript.exeSetCong.vbsSecurityChipActivedanslafenêtred'invitedecommandepour exécuterlechierSetCong.vbs.SivousutilisezlemotdepassesuperviseurduBIOS,saisissez cscript.exeSetCongPassword.vbsSecurityChipActivedanslafenêtred'invitedecommandepour exécuterlechierSetCongPassword.vbsàlaplace.

4.Redémarrezl'ordinateurdeuxfois.LacongurationduBIOSestmodiéeaupremierredémarrageetla nouvellecongurationduBIOSprendeffetausecondredémarrage.

Remarque:Laprocédureci-dessusactiveseulementlemoduleTPMsurlesordinateursoùlemoduleTPM estdéjàactif(parexemple,lesmodèlesaveclacongurationpardéfaut).Sivousavezdésactivélemodule TPMàl'aidedesoutilsWindows,telsquelechiermanage-bde.exeoulepanneaudecommandeTPM, vousdevezd'abordréactiverlemoduleTPMenutilisantlamêmeméthodeutiliséepourledésactiver.

CommentfonctionneleverrouillagedumoduleTPM?

L'unedesprincipalesfonctionsdumoduleTPMestd'empêcherlehameçonnage,c'est-à-direlestentatives d'usurpationdesmotsdepassedumoduleTPMdemanièreautomatisée.ChaquemoduleTPMutilise uneméthodeanti-hameçonnage.Lorsqu'uneattaqueestdétectée,lemoduleTPMpasseenmode verrouillage,cequisigniequelesnouvellespropositionsdemotdepassesontignoréesjusqu'àlandu modeverrouillage.T outefois,leTCG(organisationquidénitlecomportementdumoduleTPM)n'est

pasparvenuàdénirunenormepourleverrouillagedumoduleTPM.Parconséquent,chaquefabricant demoduleTPMadéveloppésapropretechniquedeverrouillage.LenovoautilisélesmodulesTPMdes quatrefournisseurssuivants:

•Atmel-ThinkPadT60/R60/X60/X300,ThinkCentreM57

•Intel-ThinkPadT500/R500/X200/X301

•STMicro-ThinkPadT410/T510/X201/T420/T520/X220,ThinkCentreM90

•Winbond-ThinkCentreM58

CesmodulesTPMprésententdifférentescaractéristiqueslorsqu'ilspassentenmodeverrouillage,comme indiquéci-dessous:

ModuleTPMAtmel:

•Aucunverrouillagependantles15premièrestentativesdemotdepasseerroné.

•La16etentativedemotdepasseerronédéclencheunepériodedeverrouillagede1,1minute.

•Ensuite,aucunverrouillagen'estpossiblependantles15prochainestentativesdemotdepasseerroné.

•Laprochainepériodedeverrouillageestde2,2minutes.

•Chaquepériodedeverrouillageestdoubléeaprèschaquesériede15tentativesdemotdepasseerroné, lapériodedeverrouillagemaximaleétantde4,7heures.

•Leverrouillageestréinitialisésil'ordinateuresthorstension.

ModuleTPMIntel:

•Aucunverrouillagependantles100premièrestentativesdemotdepasseerroné.

•La101etentativedemotdepasseerronédéclencheunepériodedeverrouillagede16secondes.

•Chaquenouvelletentativedemotdepasseerronédéclencheunepériodedeverrouillagedeuxfoisplus longuequelaprécédente,sanspériodedeverrouillagemaximale.

•Lenombredetentativesdemotdepasseerronébaissede1touteslesheures,jusqu'àcequ'ilatteigne zéro.

ModuleTPMSTMicro:

•Aucunverrouillagependantles40premièrestentativesdemotdepasseerroné.

•La41etentativedemotdepasseerronédéclencheunepériodedeverrouillagedetroissecondes.

•Chaquenouvelletentativedemotdepasseerronédéclencheunepériodedeverrouillagedeuxfoisplus longuequelaprécédente,lapériodedeverrouillagemaximaleétantdedeuxheures.

ModuleTPMWinbond:

•Lapremièretentativedemotdepasseerronédéclencheunepériodedeverrouillagede0,25millisecondes.

•Chaquenouvelletentativedemotdepasseerronédéclencheunepériodedeverrouillagedeuxfoisplus longuequelaprécédente,lapériodedeverrouillagemaximaleétantde14heures.

Remarque:La13etentativedemotdepasseerronédéclencheunepériodedeverrouillage d'uneseconde.

•Passéundélaide24heures,lecompteurdemotsdepasseerronésestremisàzéro.

80GuidededéploiementClientSecuritySolution8.3

AnnexeE.Remarques

Cedocumentpeutcontenirdesinformationsoudesréférencesconcernantcertainsproduits,logicielsou servicesLenovononannoncésdanscepays.Pourplusdedétails,référez-vousauxdocumentsd'annonce disponiblesdansvotrepays,ouadressez-vousàvotrepartenairecommercialLenovo.Touteréférenceàun produit,logicielouserviceLenovon'impliquepasqueseulceproduit,logicielouservicepuisseêtreutilisé. Toutautreélémentfonctionnellementéquivalentpeutêtreutilisé,s'iln'enfreintaucundroitdeLenovo.Ilest delaresponsabilitédel'utilisateurd'évalueretdevérierlui-mêmelesinstallationsetapplicationsréalisées avecdesproduits,logicielsouservicesnonexpressémentréférencésparLenovo.

Lenovopeutdétenirdesbrevetsoudesdemandesdebrevetcouvrantlesproduitsmentionnésdansce document.Laremisedecedocumentnevousdonneaucundroitdelicencesurcesbrevetsoudemandes debrevet.Sivousdésirezrecevoirdesinformationsconcernantl'acquisitiondelicences,veuillezenfairela demandeparécritàl'adressesuivante:

Lenovo(UnitedStates),Inc. 1009ThinkPlace-BuildingOne Morrisville,NC27560 U.S.A. Attention:LenovoDirectorofLicensing

LEPRESENTDOCUMENTESTLIVRE«ENL'ETAT».LENOVODECLINETOUTERESPONSABILITE, EXPLICITEOUIMPLICITE,RELATIVEAUXINFORMATIONSQUIYSONTCONTENUES,YCOMPRISEN CEQUICONCERNELESGARANTIESDENON-CONTREFACONETD'APTITUDEAL'EXECUTIOND'UN TRAVAILDONNE.Certainesjuridictionsn'autorisentpasl'exclusiondesgarantiesimplicites,auquelcas l'exclusionci-dessusnevousserapasapplicable.

Cedocumentpeutcontenirdesinexactitudesoudescoquilles.Ilestmisàjourpériodiquement.Chaque nouvelleéditioninclutlesmisesàjour.Lenovopeutmodiersanspréavislesproduitsetlogicielsdécrits danscedocument.

Lesproduitsdécritsdanscedocumentnesontpasconçuspourêtreimplantésouutilisésdansun environnementoùundysfonctionnementpourraitentraînerdesdommagescorporelsouledécèsde personnes.Lesinformationscontenuesdanscedocumentn'affectentninemodientlesgarantiesoules spécicationsdesproduitsLenovo.Riendanscedocumentnedoitêtreconsidérécommeunelicence ouunegarantieexpliciteouimpliciteenmatièrededroitsdepropriétéintellectuelledeLenovooude tiers.T outeslesinformationscontenuesdanscedocumentontétéobtenuesdansdesenvironnements spéciquesetsontprésentéesentantqu'illustration.Lesrésultatspeuventvarierselonl'environnement d'exploitationutilisé.

Lenovopourrautiliseroudiffuser,detoutemanièrequ'ellejugeraappropriéeetsansaucuneobligationdesa part,toutoupartiedesinformationsquiluiserontfournies.

LesréférencesàdessitesWebnonLenovosontfourniesàtitred'informationuniquementetn'impliquenten aucuncasuneadhésionauxdonnéesqu'ilscontiennent.LesélémentsgurantsurcessitesWebnefont paspartiedesélémentsdeceproduitLenovoetl'utilisationdecessitesrelèvedevotreseuleresponsabilité.

Lesdonnéesdeperformanceindiquéesdanscedocumentontétédéterminéesdansunenvironnement contrôlé.Parconséquent,lesrésultatspeuventvarierdemanièresignicativeselonl'environnement d'exploitationutilisé.Certainesmesuresévaluéessurdessystèmesencoursdedéveloppementnesont pasgarantiessurtouslessystèmesdisponibles.Enoutre,ellespeuventrésulterd'extrapolations.Les résultatspeuventdoncvarier.Ilincombeauxutilisateursdecedocumentdevériersicesdonnéessont applicablesàleurenvironnementd'exploitation.

Marques

LestermesquisuiventsontdesmarquesdeLenovoauxEtats-Uniset/oudanscertainsautrespays:

Lenovo ThinkCentre ThinkPad ThinkVantage

Microsoft,InternetExplorer,WindowsServeretWindowssontdesmarquesdugroupeMicrosoft.

Lesautresnomsdesociétés,deproduitsetdeservicespeuventapparteniràdestiers.

82GuidededéploiementClientSecuritySolution8.3

Glossaire

MotdepasseBIOSadministrateur (ThinkCentre)/superviseur(ThinkPad)

AdvancedEncryptionStandard(AES)AESestunetechniquedechiffrementdeclé

SystèmesdechiffrementLessystèmesdechiffrementutilisentprincipalement

EmbeddedSecurityChipAutrenompourlemoduleTPM(T rustedPlatform

Chiffrementdeclépublique/decléasymétriqueLesalgorithmesdeclépubliqueutilisent

Lemotdepasseadministrateurousuperviseur permetdecontrôlerlacapacitéàmodierles paramètresduBIOS.Celaenglobelacapacité àactiveroudésactiverleprocesseurdesécurité intégré(pucedesécuritéintégrée)etàmettreà blanclacléSRK(StorageRootKey)stockéedansle moduleTPM(T rustedPlatformModule).

symétrique.Legouvernementaméricainaadopté cetalgorithmecommetechniquedechiffrementen octobre2000pourremplacerlechiffrementDES auparavantutilisé.LatechnologieAESoffreune sécuritécontrelesattaquesdegrandeenvergure plusélevéequelesclésDES56bitsetpeututiliser desclés128,192et256bitslecaséchéant.

deuxméthodes:lechiffrementdeclésymétrique utilisantunecléuniquequichiffreetdéchiffreles donnéesetlechiffrementdeclépubliqueutilisant deuxclés,uneclépubliqueconnuedetousetune cléprivéeàlaquelleseullepropriétairedesdeux clésaaccès.

Module).

généralementunepairededeuxclésassociéesunecléestprivéeetdoitrestersecrètetandisque l'autreestrenduepubliqueetpeutêtrelargement diffusée;ilnedoitpasêtrepossiblededéduire unecléd'unepaireàpartirdel'autreclé.Onparle de"chiffrementdeclépublique"carunepartie delapairedeclésestaccessibleaupublic.On utiliseégalementleterme"cléasymétrique"car touteslespartiesnedétiennentpaslesmêmes informations.Dansunsens,uneclé"ferme" unverrou(chiffrement)maisuneautrecléest nécessairepourledéverrouiller(déchiffrement).

CléSRK(StorageRootKey)LacléSRKcorrespondàunepairedecléspubliques

de2048bits(ouplus).Elleestinitialementvide etelleestcrééelorsquelepropriétairedumodule TPMestaffecté.Lapairedeclésnequittejamais leprocesseurdesécuritéintégré.Ellepermet dechiffrer(encapsuler)desclésprivéespourun stockageendehorsdumoduleTPMetdeles déchiffrerlorsquecescléssontrechargéesdansle moduleTPM.LacléSRKpeutêtremiseàblancpar toutepersonneayantaccèsauBIOS.

chiffrementdeclésymétriqueLecodedechiffrementdeclésymétriqueutilisela

mêmeclépourlechiffrementetledéchiffrement desdonnées.Cetteméthodeestplussimpleet plusrapidemaiselleapourinconvénientprincipal quelesdeuxpartiesdoiventd'unemanièreou d'uneautres'échangerlaclédemanièresécurisée. Lechiffrementdeclépubliqueéviteceproblème parcequelaclépubliquepeutêtrediffuséed'une manièrenonsécuriséecarlacléprivéen'estjamais transmise.UnecléAES(AdvancedEncryption Standard)constitueunexempledeclésymétrique.

ModuleTPM(T rustedPlatformModule)LesmodulesTPM(TrustedPlatformModule)

sontdescircuitsintégrésspécialisésoffrantdes fonctionspuissantesd'authenticationd'utilisateur etdevéricationdemachine.Lafonctionprincipale dumoduleTPMestd'empêcherunaccèsnon autoriséàdesinformationscondentielleset sensibles.LemoduleTPMoffreunesécuritébasée surlematérielquipeutêtreutiliséepourfournir différentsservicesdechiffrementsurunsystème. Onparleégalementdeprocesseurdesécurité intégré(oupucedesécuritéintégrée).

Lenovo ThinkVantage Client Security Solution 8.3 Deployment Guide [fr]

Specifications and Main Features

Frequently Asked Questions

User Manual

Préface

Chapitre1.Présentation

ClientSecuritySolution

MotdepassecomposéClientSecuritySolution

RécupérationdesmotsdepasseClientSecurity

ClientSecurityPasswordManager

SecurityAdvisor

Réinitialisationdesmotsdepassematériel

PriseenchargedessystèmessansmoduleTPM

Logicieldelectured'empreintesdigitales

Chapitre2.Installation

ClientSecuritySolution

Propriétéspubliquespersonnalisées

PriseenchargedumoduleTrustedPlatformModule

Procéduresd'installationetparamètresdelignedecommande

Utilisationdemsiexec.exe

Propriétéspubliquesstandardduprogrammed'installationWindows

Fichierjournald'installation

InstallationdeThinkVantageFingerprintSoftware

Installationenmodesilencieux

Options

InstallationdeLenovoFingerprintSoftware

Installationenmodesilencieux

Options

SystemsManagementServer

Chapitre3.UtilisationdeClientSecuritySolution

UtilisationdumoduleTPM

UtilisationdumoduleTPMavecWindows7

GestiondeClientSecuritySolutionàclésdechiffrement

TakeOwnership

EnrollUser

Emulationdelogiciel

Remplacementdecartemère

UtilitairedeverrouillageEFS

UtilisationduschémaXML

Exemples

UtilisationdejetonsSecurIDRSA

InstallationdujetondulogicielRSASecurID

InstallationmanuelledujetondulogicielRSASecurID

Priseencharged'ActiveDirectory

Optiondecontournementdesempreintesdigitalesappliquée

Résultatdelalectured'empreintesdigitales

Outilsdelignedecommande

SecurityAdvisor

TPMENABLE.EXE

ActivationoudésactivationdumoduleTPM

Priseencharged'ActiveDirectory

FichiersADM(AdministrativeTemplateFile)

Paramètresdelastratégiedegroupe

Chapitre4.UtilisationdeThinkVantageFingerprintSoftware

OutilManagementConsole

Commandesdesparamètresgénéraux

Modesécuriséetmodepratique

Modesécurisé-Administrateur

Modesécurisé-Utilisateuravecrestriction

Modepratique-Administrateur

Modepratique-Utilisateuravecrestriction

FingerprintSoftwareetNovellNetwareClient

ServiceThinkVantageFingerprintSoftware

Chapitre5.UtilisationdeLenovoFingerprintSoftware

OutilManagementConsole

ServiceLenovoFingerprintSoftware

Priseencharged'ActiveDirectorypourLenovoFingerprintSoftware

Chapitre6.Pratiquesrecommandées

Exemplesdedéploiementpourl'installationdeClientSecuritySolution

Scénario1

Scénario2

PassageauxmodesClientSecuritySolution

Déploiementd'ActiveDirectoryauniveaudel'entreprise

SystemUpdate

SystemMigrationAssistant

UtilisationdeclaviersUSBàempreintesdigitalesavec desmodèlesd'ordinateurportableThinkPad2008 (R400/R500/T400/T500/W500/X200/X301)

ConnexionàWindows7

ClientSecuritySolutionetPasswordManager

AnnexeA.Remarquesconcernantl'utilisationduclavier LenovoFingerprintaveccertainsordinateursportables ThinkPadRemarquesconcernantl'utilisationduclavierLenovo FingerprintaveccertainsThinkPad

Pre-desktopauthentication