Lenovo ThinkVantage Client Security Solution 8.3 Deployment Guide [de]

ClientSecuritySolution8.3 Implementierungshandbuch

Aktualisiert:Dezember2011

Anmerkung:VorVerwendungdieserInformationenunddesdarinbeschriebenenProduktssolltendie allgemeinenHinweiseinAnhangE„Bemerkungen“aufSeite87gelesenwerden.

VierteAusgabe(Dezember2011) ©CopyrightLenovo2008,2011.

HINWEISZUEINGESCHRÄNKTENRECHTEN(LIMITEDANDRESTRICTEDRIGHTSNOTICE):WerdenDatenoder SoftwaregemäßeinemGSA-Vertrag(GeneralServicesAdministration)ausgeliefert,unterliegtdieVerwendung, VervielfältigungoderOffenlegungdeninVertragNr.GS-35F-05925festgelegtenEinschränkungen.

Inhaltsverzeichnis

Einleitung...............iii

Kapitel1.Übersicht...........1

ClientSecuritySolution............1

ClientSecuritySolution-Verschlüsselungstext..2 ClientSecurity-Kennwortwiederherstellung...2

PasswordManagervonClientSecurity....2

SecurityAdvisor.............3

AssistentzurÜbertragungvonZertikaten...4 FunktionzumZurücksetzenvon

Hardwarekennwörtern...........4

UnterstützungfürSystemeohneTPM.....4

FingerprintSoftware.............4

Kapitel2.Installation..........7

ClientSecuritySolution............7

Installationsvoraussetzungen........7

AngepassteöffentlicheMerkmale......7

TPM-Unterstützung(TrustedPlatform

Module)................8

Installationsverfahrenund

Befehlszeilenparameter..........9

Programm„msiexec.exe“verwenden....11

ÖffentlicheStandardeigenschaftenvon

WindowsInstaller............13

Installationsprotokolldatei........14

ThinkVantageFingerprintSoftwareinstallieren..15

UnbeaufsichtigteInstallation.......15

Optionen...............15

LenovoFingerprintSoftwareinstallieren.....18

UnbeaufsichtigteInstallation.......18

Optionen...............18

SystemsManagementServer.........20

Kapitel3.MitClientSecuritySolution

arbeiten................23

TPMverwenden..............23

TPM(T rustedPlatformModule)unterWindows

7verwenden..............23

ClientSecuritySolutionmitChiffrierschlüsseln

verwalten.................24

Eigentumsrechtübernehmen.......24

Benutzerregistrieren..........25

Softwareemulation...........27

AustauschderSystemplatine.......27

Schutzdienstprogramm„EFS“.......29

XML-Schemaverwenden..........30

Beispiele...............31

RSASecurID-Tokenverwenden........37

RSASecurID-Software-Tokeninstallieren..37

Anforderungen.............38

Smart-Card-Zugriffsoptionenfestlegen...38 RSASecurID-Software-Tokenmanuell

installieren..............38

ActiveDirectory-Unterstützung......38

EinstellungenundRichtlinienfürdie AuthentizierungüberdasLesegerätfür

Fingerabdrücke..............39

ErzwungeneOptionenzumUmgehendes

Fingerabdrucks............39

ErgebnisderÜberprüfungdes

Fingerabdrucks............39

Befehlszeilentools.............39

SecurityAdvisor............40

InstallationsassistentfürClientSecurity

Solution...............41

ToolzurVerschlüsselungundEntschlüsselung

derImplementierungsdatei........42

ToolzurVerarbeitungder

Implementierungsdatei..........42

TPMENABLE.EXE...........43

ToolzurÜbertragungvonZertikaten....43

TPMaktivierenoderdeaktivieren......44

ActiveDirectory-Unterstützung........46

ADM-Schablonendateien.........47

EinstellungenfürGruppenrichtlinien....48

Kapitel4.MitThinkVantage

FingerprintSoftwarearbeiten....53

Managementkonsolentool..........53

BenutzerspezischeBefehle.......53

BefehlefürglobaleEinstellungen......54

SichererModusundkomfortablerModus....55

SichererModus–Administrator......55

SichererModus-Benutzermiteingeschränkter

Berechtigung.............56

KomfortablerModus-Administrator....57

KomfortablerModus-Benutzermit

eingeschränkterBerechtigung.......57

KongurierbareEinstellungen.......58

FingerprintSoftwareundNovellNetwareClient..59

Authentizierung............60

DienstefürThinkVantageFingerprintSoftware..60

Kapitel5.MitLenovoFingerprint

Softwarearbeiten...........61

Managementkonsolentool..........61

©CopyrightLenovo2008,2011

DienstefürdieLenovoFingerprintSoftware...61 ActiveDirectory-UnterstützungfürLenovo

FingerprintSoftware............61

Kapitel6.BewährteVerfahren....63

ImplementierungsbeispielefürdieInstallationvon

ClientSecuritySolution...........63

Szenario1..............63

Szenario2..............65

ZwischenModivonClientSecuritySolution

wechseln.................68

ActiveDirectory-Implementierungfür

Unternehmen...............68

Standalone-InstallationfürCDoder

Scriptdateien...............68

SystemUpdate..............68

SystemMigrationAssistant..........68

ZertikatunterVerwendungdurch

SchlüsselerstellunginTPMgenerieren.....69

Voraussetzungen:............69

ZertikatbeimServeranfordern......69

USB-TastaturmitLesegerätfür Fingerabdrückezusammenmit ThinkPad-Notebook-Computernvon2008 (R400/R500/T400/T500/W500/X200/X301)

verwenden................70

Windows7-Anmeldung.........71

ClientSecuritySolutionundPassword

Manager...............71

AuthentizierungvordemStarten– FingerabdruckanstellederBIOS-Kennwörter

verwenden..............72

AnhangA.HinweisezurVerwendung desLenovoFingerprint Keyboardzusammenmiteinigen

Thinkpad-Notebookmodellen.....75

KongurationundEinrichtung.........75

Pre-desktopauthentication..........75

Windows-Anmeldung............76

AuthentizierungmitClientSecuritySolution...76

AnhangB.Windows-Kennwortnach demZurücksetzenmitClientSecurity

Solutionabgleichen..........79

AnhangC.ClientSecuritySolution aufeinemerneutinstallierten Windows-Betriebssystem

verwenden..............81

AnhangD.TPMauf ThinkPad-Notebook-Computern

verwenden..............83

WiewirdBitLockerremotebereitgestellt?....83

WiefunktioniertdieTPM-Sperrung?......84

AnhangE.Bemerkungen.......87

Marken.................88

Glossar................lxxxix

iiClientSecuritySolution8.3Implementierungshandbuch

Einleitung

DieindiesemHandbuchenthaltenenInformationendienenzurUnterstützungvonLenovo denendieProgramme„ThinkVantage

ClientSecuritySolution“und„FingerprintSoftware“installiertsind.

Computern,auf

DasZielvonClientSecuritySolutionundFingerprintSoftwarebestehtdarin,IhreSystemedurchdasSichern vonDatenunddurchdieAbwehrvonSicherheitsangriffenzuschützen.

DasImplementierungshandbuchzuClientSecuritySolutionenthältdieInformationen,diefürdieInstallation vonClientSecuritySolutionundFingerprintSoftwareaufeinemodermehrerenComputernerforderlichsind. EsenthältebenfallsAnweisungenundSzenarienaufdenVerwaltungstools,dieangepasstwerdenkönnen, umIT -oderunternehmensinterneRichtlinienzuunterstützen.

DiesesHandbuchrichtetsichanIT-Administratorenbzw.anPersonen,diefürdieImplementierungvon ThinkVantageClientSecuritySolutionundFingerprintSoftwareaufComputerninihrenUnternehmen verantwortlichsind.WennSieVorschlägeoderKommentaredazuhaben,wendenSiesichanIhren autorisiertenLenovoAnsprechpartner.DiesesHandbuchwirdregelmäßigaktualisiert.DieneuesteVersion ndenSieimmeraufderLenovoWebsiteunter: http://www.lenovo.com/support

WennSieFragenzurVerwendungderverschiedenenKomponentenderArbeitsbereichevonClientSecurity SolutionundFingerprintSoftwarehabenoderweitereInformationendazuwünschen,schlagenSieim OnlinehilfesystemundindenBenutzerhandbüchernnach,dieimLieferumfangvonClientSecuritySolution undFingerprintSoftwareenthaltensind.

©CopyrightLenovo2008,2011

iii

ivClientSecuritySolution8.3Implementierungshandbuch

Kapitel1.Übersicht

DiesesKapitelenthälteineÜbersichtzuClientSecuritySolutionundzurFingerprintSoftware.IT-Spezialisten protierendirektundindirektvondenimvorliegendenImplementierungshandbuchbeschriebenen Technologien,weilsiePCsbedienerfreundlicherundunabhängigermachenundleistungsfähigeTools bieten,dieImplementierungenvereinfachenunderleichtern.ThinkVantageTechnologiesermöglichenes IT-Spezialisten,wenigerZeitfüreinzelneComputerfehlerzuverwendenundsichmehraufihreKernaufgaben zukonzentrieren.

ClientSecuritySolution

DieSoftware„ClientSecuritySolution“hatvorallemdenZweck,Benutzerndabeizuhelfen,den ComputeralsRessource,vertraulicheDatenaufdemComputersowiedievomComputeraufgebauten Netzverbindungenzuschützen.(BeiLenovoSystemen,dieeinTCG-konformes(TCG-T rustedComputing Group)TPM(TrustedPlatformModule)enthalten,verwendetdieSoftware„ClientSecuritySolution“die HardwarealsSicherheitsbasisdesSystems.WenndasSystemkeinenintegriertenSicherheitschipenthält, verwendetClientSecuritySolutionChiffrierschlüsselaufSoftwarebasisalsSicherheitsbasisdesSystems.)

ClientSecuritySolution8.3bietetdiefolgendenFunktionen:

•SichereBenutzerauthentizierungmitWindows

Solution-Verschlüsselungstext

ClientSecuritySolutionkannsokonguriertwerden,dasseinWindows-KennwortodereinClient SecuritySolution-VerschlüsselungstextfürdieAuthentizierungakzeptiertwird.DasWindows-Kennwort istbenutzerfreundlichundüberWindowsleichtzuverwalten,währendderClientSecurity Solution-VerschlüsselungstextzusätzlicheSicherheitbietet.DerAdministratorkannauswählen,welche Authentizierungsmethodeverwendetwird,unddieseEinstellungkanngeändertwerden,auchwenn bereitsBenutzerbeiClientSecuritySolutionregistriertsind.

•BenutzerauthentizierungüberFingerabdruck

NutztdieintegrierteunddieüberUSBangeschlosseneFingerabdrucktechnologiezurAuthentizierung vonBenutzernfürkennwortgeschützteAnwendungen.

•MehrfacheBenutzerauthentizierungfürdieWindows-AnmeldungundverschiedeneVorgängein

ClientSecuritySolution

FestlegungmehrererAuthentizierungseinheiten(Windows-Kennwort,Client Security-VerschlüsselungstextundFingerabdruck)fürverschiedeneSicherheitsoperationen.

•Kennwortmanagement

SichereVerwaltungundSpeicherungvonkritischenAnmeldedaten,wiez.B.Benutzer-IDsund Kennwörtern.

•WiederherstellungvonKennwortundVerschlüsselungstext

DieWiederherstellungvonKennwortundVerschlüsselungstextermöglichtesBenutzern,sichbei WindowsanzumeldenundaufihreClientSecuritySolution-Berechtigungsnachweisezuzugreifen,auch wennsiedasWindows-KennwortoderdenClientSecuritySolution-Verschlüsselungstextvergessen haben,indemsieaufvorkongurierteSicherheitsfragenantworten.

•Sicherheitseinstellungenüberprüfen

BenutzererhaltendieMöglichkeit,eineausführlicheListederSicherheitseinstellungenfürdieWorkstation anzuzeigenundÄnderungenvorzunehmen,umfestgelegteStandardseinzuhalten

•ÜbertragungdigitalerZertikate

ClientSecuritySolutionschütztdenprivatenSchlüsselvonBenutzer-undMaschinenzertikaten. VerwendenSieClientSecuritySolution,umdenprivatenSchlüsselIhrerbereitsvorhandenenZertikate zuschützen.

-KennwortoderClientSecurity

©CopyrightLenovo2008,2011

•RichtlinienverwaltungfürAuthentizierung

EinAdministratorkannauswählen,welcheEinheiten(Windows-Kennwort,ClientSecurity Solution-VerschlüsselungstextoderFingerabdruck)fürdieAuthentizierungfürfolgendeAktionen erforderlichsind:Windows-Anmeldung,PasswordManager-undZertikatoperationen.

ClientSecuritySolution-Verschlüsselungstext

DerClientSecurity-VerschlüsselungstextisteineoptionaleFunktionderBenutzerauthentizierung, dieerhöhteSicherheitfürClientSecuritySolution-Anwendungenbietet.DerClientSecurity Solution-VerschlüsselungstextmussfolgendeBedingungenerfüllen:

•ErmussausmindestensachtZeichenbestehen

•ErmussmindestenseineZifferenthalten

•ErmusssichvondenletztendreiVerschlüsselungstextenunterscheiden

•ErdarfhöchstenszweiwiederholteZeichenenthalten

•ErdarfnichtmiteinerZifferbeginnen

•ErdarfnichtmiteinerZifferenden

•ErdarfnichtdieBenutzer-IDenthalten

•Erdarfnichtgeändertwerden,wennderaktuelleVerschlüsselungstextwenigeralsdreiTagealtist

•ErdarfnichtdreiaufeinanderfolgendeZeichenenthalten,dieauchindemaktuellenVerschlüsselungstext enthaltensind,unabhängigvonihrerPosition

•ErdarfnichtmitdemWindows-Kennwortübereinstimmen.

DerClientSecuritySolution-VerschlüsselungstextistnurdembetreffendenBenutzerbekannt.Dieeinzige Möglichkeit,einenvergessenenClientSecuritySolution-Verschlüsselungstextwiederherzustellen,besteht darin,dieClientSecuritySolution-Kennwortwiederherstellungzuverwenden.WennderBenutzerdie AntwortenaufdieWiederherstellungsfragenvergisst,gibteskeineMöglichkeitmehr,diedurchdenClient SecuritySolution-VerschlüsselungstextgeschütztenDatenwiederherzustellen.

ClientSecurity-Kennwortwiederherstellung

DieseoptionaleFunktionermöglichtesregistriertenBenutzern,einvergessenesWindows-Kennwortoder einenvergessenenClientSecuritySolution-VerschlüsselungstextdurchdasBeantwortendreierFragen wiederherzustellen.WenndieseFunktionaktiviertist,wählenSiedreiAntwortenaufzehnvorausgewählte Fragenaus.WennSieIhrWindows-KennwortoderIhrenClientSecurity-Verschlüsselungstext vergessen,habenSiedieMöglichkeit,diesedreiFragenzubeantworten,umIhrKennwortoderIhren Verschlüsselungstextzurückzusetzen.

Anmerkung:BeiVerwendungdesClientSecurity-VerschlüsselungstextesistdiesdieeinzigeMöglichkeit, einenvergessenenVerschlüsselungstextwiederherzustellen.WennSiedieAntwortenaufdiedreiFragen vergessen,müssenSiedenRegistrierungsassistentenerneutausführenundverlierenallezuvorvonClient SecuritygesichertenDaten.

PasswordManagervonClientSecurity

MitdemPasswordManagervonClientSecuritySoftwarekönnenSieleichtzuvergessendeDatenfür AnwendungenundWebsites,wiez.B.Benutzer-IDs,KennwörterundanderepersönlicheDaten,verwalten. DerPasswordManagervonClientSecurityschütztIhrepersönlichenDatenüberClientSecuritySolution, sodassderZugriffaufIhreAnwendungenundIhreWebsitesvollkommensicherbleiben.DerPassword ManagervonClientSecurityverringertIhrenZeit-undArbeitsaufwand,daSiesichnureinKennwortoder einenVerschlüsselungstextmerkenbzw.nureinmalIhrenFingerabdruckbereitstellenmüssen.

DerPasswordManagervonClientSecuritySoftwarebietetdiefolgendenFunktionen:

2ClientSecuritySolution8.3Implementierungshandbuch

•VerschlüsselnallergespeichertenDatenüberdieClientSecuritySolution-Software:

VerschlüsseltautomatischalleIhreDatenüberClientSecuritySolution.Ihrekritischen KennwortinformationenwerdendurchdieVerschlüsselungsschlüsselvonClientSecuritySolution gesichert.

•AutomatischesAusfüllenvonBenutzer-IDsundKennwörtern:

AutomatisiertIhrenAnmeldeprozess,wennSieaufeineAnwendungodereineWebsitezugreifen.Wenn IhreAnmeldedatenindenPasswordManagervonClientSecurityeingegebenwurden,kannderPassword ManagervonClientSecurityautomatischdieerforderlichenFelderausfüllenundandieWebsiteoderan dieAnwendungübergeben.

•BearbeitungvonEinträgenüberdieSchnittstelledesPasswordManagersvonClientSecurity:

SiekönnendieBearbeitungallerIhrerBenutzerkontoeinträgeunddieKongurationalleroptionalen FunktionenübereineeinzigebenutzerfreundlicheSchnittstellevornehmen.DieVerwaltungIhrer KennwörterundIhrerpersönlichenDatenerfolgtüberdieseSchnittstelleschnellundeinfach.Diemeisten eingabebezogenenÄnderungenkönnenautomatischvomPasswordManagervonClientSecurityerkannt werden,sodassderBenutzerdieEingabensogarmitnochgeringeremAufwandaktualisierenkann.

•SpeichernderDatenohnezusätzlicheSchritte:

DerPasswordManagervonClientSecuritykannautomatischerkennen,wennkritischeDatenaneine bestimmteWebsiteoderAnwendunggesendetwerden.WenneinesolcheErkennungstattndet,fordert derPasswordManagervonClientSecuritydenBenutzerauf,dieDatenzuspeichern,wodurchder ProzessdesSpeichernskritischerDatenvereinfachtwird.

•SpeichernallerDatenineinemsicherenArbeitspuffer:

MitdemPasswordManagervonClientSecuritykannderBenutzeralleTextdateninsicheren Arbeitspuffernspeichern.DiesicherenArbeitspufferdesBenutzerskönnenmitderselbenSicherheitsstufe wiealleanderenEinträgefürWebsitesoderAnwendungengeschütztwerden.

•ExportierenundImportierenvonAnmeldedaten:

SiekönnenIhrekritischenpersönlichenDatenexportieren,umsiesichervoneinemComputerzueinem anderenzuübertragen.WennSieIhreAnmeldedatenausdemPasswordManagervonClientSecurity Softwareexportieren,wirdeinekennwortgeschützteExportdateierstellt,dieaufeinemaustauschbaren Datenträgergespeichertwerdenkann.MitdieserDateikönnenSieüberallaufIhrepersönlichenDaten zugreifenoderIhreEinträgeaufeinemanderenComputermitdemPasswordManagerimportieren.

Anmerkung:VollständigeImportunterstützungistfürExportdateienfürdieVersionen7.0und8.x vonClientSecuritySolutionverfügbar.FürClientSecuritySolutionVersion6.0isteingeschränkte Unterstützungverfügbar(Anwendungseinträgewerdennichtimportiert).VersionenvonClientSecurity SoftwarebiseinschließlichVersion5.4xwerdennichtindenPasswordManagervonClientSecurity SolutionVersion8.ximportiert.

SecurityAdvisor

MitdemT ool„SecurityAdvisor“könnenSieeineZusammenfassungderSicherheitseinstellungenanzeigen, diezurzeitaufIhremComputerfestgelegtsind.SiekönnendieseEinstellungenverwenden,umIhren aktuellenSicherheitsstatusanzuzeigenoderumIhreSystemsicherheitzuverbessern.Dieangezeigten KategoriestandardwertekönnenüberdieWindows-Registrierungsdatenbankgeändertwerden.Zuden Sicherheitskategoriengehörenz.B.:

•Hardwarekennwörter

•Windows-Benutzerkennwörter

•RichtliniefürWindows-Kennwörter

•GeschützterBildschirmschoner

•GemeinsamerDateizugriff

Kapitel1.Übersicht3

AssistentzurÜbertragungvonZertikaten

DerCSS-AssistentzurÜbertragungvonZertikatenführtSiedurchdieeinzelnenSchrittezurÜbertragung derIhrenZertikatenzugeordnetenprivatenSchlüsselvomsoftwarebasiertenMicrosoftCryptographicServiceProvider)zumhardwarebasiertenCSS-CSP(ClientSecuritySolutionCSP).Nach dieserÜbertragungsindOperationen,beidenendieZertikateverwendetwerden,sicherer,dadieprivaten SchlüsseldurchClientSecuritySolutiongeschütztsind.

CSP(CSP-

FunktionzumZurücksetzenvonHardwarekennwörtern

MitdiesemToolkönnenSieeinesichereUmgebungeinrichten,dieunabhängigvonWindowsausgeführt wirdunddieIhnenhilft,einvergessenesStart-oderFestplattenkennwortzurückzusetzen.IhreIdentitätwird überprüft,indemSieeineReihevonFragenbeantworten,dieSievorherselbstfestlegen.ErstellenSiediese sichereUmgebungmöglichst,bevorSieeinKennwortvergessen.SiekönneneinvergessenesKennworterst zurücksetzen,wenndiesesichereUmgebungaufIhremFestplattenlaufwerkeingerichtetistundSiesich registrierthaben.DiesesToolstehtnuraufausgewähltenComputernzurVerfügung.

UnterstützungfürSystemeohneTPM

ClientSecuritySolution8.3unterstütztLenovoSysteme,dieüberkeinenkompatiblenintegrierten Sicherheitschipverfügen.DieseUnterstützungermöglichteineStandardinstallationimgesamten UnternehmenzurErstellungeinerkonsistentenundsicherenUmgebung.DieSysteme,dieüberden integriertenSicherheitschipverfügen,sindgegenAngriffebessergeschützt.BeiSystemenohneden integriertenSicherheitschipverwendetClientSecuritySolutionjedochChiffrierschlüsselaufSoftwarebasis alsSicherheitsbasisdesSystemsundauchdasSystemkannvoneinerhöherenSicherheitundeiner besserenFunktionalitätprotieren.

FingerprintSoftware

DiebiometrischenFingerabdrucktechnologienvonLenovosollenKundenhelfen,dieKostenfürdie VerwaltungvonKennwörternzusenken,dieSicherheitihrerSystemezuerhöhenundgesetzliche Bestimmungeneinzuhalten.DieFingerprintSoftwareermöglichtdieAuthentizierungperFingerabdruckbei PCsundNetzwerken,indemmitLesegerätenfürFingerabdrückevonLenovogearbeitetwird.InKombination mitClientSecuritySolution8.3bietetFingerprintSoftwareerweiterteFunktionalität.ClientSecuritySolution

8.3unterstütztsowohlThinkVantageFingerprintSoftware5.9.2alsauchLenovoFingerprintSoftware3.3.

DiesekönnenfürunterschiedlicheMaschinentypenverfügbarsein.SiekönnendieFingerprintSoftwarevon derLenovoWebsiteherunterladenoderweitereInformationenzuLenovoFingerabdrucktechnologiennden:

FingerprintSoftwarebietetdiefolgendenFunktionen:

•Client-Software-Funktionen –ErsetzendesMicrosoftWindows-Kennworts:

Ersetztfüreineneinfachen,schnellenundsicherenSystemzugriffIhrKennwortdurchIhren Fingerabdruck.

–ErsetzendesBIOS-Kennworts(desStartkennworts)unddesKennwortsfürdas

Festplattenlaufwerk:

ErsetztdieseKennwörterdurchIhrenFingerabdruck,wodurchdieSicherheitundderKomfortbeider Anmeldungerhöhtwerden.

–AuthentizierungüberFingerabdruckvordemBootenfürVerschlüsselungdesgesamten

LaufwerksmitSafeGuardEasy:

VerwendetdieAuthentizierungüberFingerabdruckzumVerschlüsselndesFestplattenlaufwerksvor demStartenvonWindows.

4ClientSecuritySolution8.3Implementierungshandbuch

–ZugriffaufdasBIOSundaufWindowsmiteinereinzigenÜberprüfung:

SiemüssenIhrenFingerabdrucknureineinzigesMalüberprüfenlassen,umZugriffaufdasBIOSund aufWindowszuerhalten,undsparendadurchwertvolleZeit.

–IntegrationinClientSecuritySolution:

GemeinsameVerwendungmitdemPasswordManagervonClientSecuritySolutionundNutzungdes TPMs(T rustedPlatformModule).NacheinerÜberprüfungdesFingerabdruckskönnenBenutzerauf WebsiteszugreifenundAnwendungenauswählen.

•Administratorfunktionen –WechselzwischenSicherheitsmodi:

EinAdministratorkannzwischeneinemsicherenundeinemkomfortablerenModushin-und herschalten,umdieZugriffsberechtigungenvonBenutzernmiteingeschränkterBerechtigungzu ändern.

•Sicherheitsfunktionen –Softwaresicherheit:

ZumSchutzvonBenutzerschablonendurcheinestarkeVerschlüsselung,wennsieineinemSystem gespeichertsindundwennsievomLesegerätzurSoftwareübertragenwerden.

–Hardwaresicherheit:

VerwendenSieeinSicherheitslesegerätmiteinemKoprozessor,derFingerabdruckmuster, BIOS-KennwörterundVerschlüsselungsschlüsselspeichertundschützt.

Kapitel1.Übersicht5

6ClientSecuritySolution8.3Implementierungshandbuch

Kapitel2.Installation

DiesesKapitelenthältAnweisungenzumInstallierenvonClientSecuritySolutionundFingerprintSoftware. BevorSieClientSecuritySolutionoderFingerprintSoftwareinstallieren,solltenSiedieArchitekturder betreffendenAnwendungkennen.DiesesKapitelenthältInformationenzurArchitekturdereinzelnen AnwendungenundweitereInformationen,dieSievorderInstallationderProgrammebenötigen.

ClientSecuritySolution

DasInstallationspaketfürClientSecuritySolutionwurdemitInstallShield10.5PremieralsBasic-MSI-Projekt entwickelt.InstallShieldverwendetWindowsInstallerzumInstallierenvonAnwendungen,wodurch AdministratorenzahlreicheMöglichkeitenerhalten,Installationenanzupassen,wiez.B.durchdasFestlegen vonEigenschaftswertenüberdieBefehlszeile.IndiesemKapitelwerdenMöglichkeitenzumVerwenden undAusführendesInstallationspaketsfürClientSecuritySolutionbeschrieben.LesenSiezumbesseren VerständniszunächstdasganzeKapitel,bevorSiemitderInstallationderPaketebeginnen.

Anmerkung:LesenSiebeiderInstallationdieserPaketedieReadme-DateizuClientSecuritySolution, dieaufderLenovoWebsiteverfügbarist.DieReadme-DateienthältaktuelleInformationenzuThemenwie Softwareversionen,unterstütztenSystemenundSystemvoraussetzungensowieweitereHinweise,die fürSiebeiderInstallationhilfreichsind.

Installationsvoraussetzungen

DieInformationenindiesemAbschnittenthaltendieSystemvoraussetzungenfürdasInstallierendesClient SecuritySolution-Pakets.RufenSiediefolgendeWebsiteauf,umzuprüfen,obSieüberdieneueste Softwareversionverfügen: http://www.lenovo.com/support

LenovoComputermüssenmindestensdiefolgendenVoraussetzungenerfüllen,damitClientSecurity Solutioninstalliertwerdenkann:

•Betriebssystem:Windows7

•Speicher:256MB –BeiKongurationenmitgemeinsamgenutztemSpeichermussdieBIOS-Einstellungfürdenmaximal

gemeinsamgenutztenSpeichermindestens8MBbetragen.

–BeiKongurationenmitnichtgemeinsamgenutztemSpeichersind120MBannichtgemeinsam

genutztemSpeichererforderlich.

•InternetExplorer

•300MBfreierSpeicherbereichaufdemFestplattenlaufwerk.

•VGA-kompatiblerBildschirm,dereineAuösungvon800x600und24-Bit-Farbmodusunterstützt.

•DerBenutzermussüberdieentsprechendenVerwaltungsberechtigungenverfügen,umClientSecurity Solutionzuinstallieren.

Anmerkung:DasImplementierendesClientSecuritySolution-InstallationspaketsunterWindowsServer 2003wirdnichtunterstützt.EswirdjedochdasAnforderneinesZertikatsvonWindowsServer2003 unterstützt.WeitereInformationenhierzundenSieimAbschnitt„ZertikatunterVerwendungdurch SchlüsselerstellunginTPMgenerieren“aufSeite69

abVersion5.5mussinstalliertsein.

AngepassteöffentlicheMerkmale

DasInstallationspaketfürdasProgramm„ClientSecuritySoftware“verfügtübereineReihevon angepasstenöffentlichenMerkmalen,diebeiderAusführungderInstallationüberdieBefehlszeile festgelegtwerdenkönnen.DiefolgendeT abelleenthältdieangepasstenöffentlichenMerkmalefürdas Windows-Betriebssystem:

©CopyrightLenovo2008,2011

Tabelle1.ÖffentlicheMerkmale

EigenschaftBeschreibung

EMULATIONMODEGibtan,dassdieInstallationimEmulationsmodus

erzwungenwird,auchwennbereitseinTPMvorhandenist. GebenSieinderBefehlszeileEMULATIONMODE=1ein, umdieInstallationimEmulationsmodusvorzunehmen.

HALTIFTPMDISABLEDWennsichdasTPMiminaktiviertenStatusbendetund

dieInstallationimBefehlszeilenmodusausgeführtwird, lautetdieStandardeinstellungfürdieInstallation,dass sieimEmulationsmodusfortgesetztwird.Verwenden SiedasMerkmalHALTIFTPMDISABLED=1,wenndie InstallationimBefehlszeilenmodusausgeführtwird,um dieInstallationanzuhalten,wenndasTPMinaktiviertist.

NOCSSWIZARDLegenSieinderBefehlszeile„NOCSSWIZARD=1“

fest,umzuverhindern,dassdasClientSecurity Solution-DialogfensterfürdieRegistrierungautomatisch angezeigtwird,nachdemClientSecuritySolution installiertwurde.DiesesMerkmalistfüreinen Administratorkonguriert,derClientSecuritySolution installieren,dasSystemjedocherstspätermitHilfevon Scriptskongurierenmöchte.

CSS_CONFIG_SCRIPTLegenSieCSS_CONFIG_SCRIPT=„Dateiname“oder

„Dateiname_Kennwort“fest,umeineKongurationsdatei auszuführen,nachdemeinBenutzerdieInstallation abgeschlossenundeinenNeustartdurchgeführthat.

SUPERVISORPWLegenSieinderBefehlszeile

SUPERVISORPW=„Kennwort“fest,umein Administratorkennwortbereitzustellen,umdenChip fürdieInstallationimBefehlszeilenmodusoderin einemanderenModuszuaktivieren.WennderChip inaktiviertistunddieInstallationimBefehlszeilenmodus ausgeführtwird,mussdasrichtigeAdministratorkennwort eingegebenwerden,umdenChipzuaktivieren. AndernfallswirdderChipnichtaktiviert.

PWMGRMODEGebenSieinderBefehlszeilePWMGRMODE=1ein,um

nurPasswordManagerzuinstallieren.

NOSTARTMENUGebenSieinderBefehlszeileNOSTARTMENU=1ein,

umzuverhindern,dassimStartmenüeinDirektaufruf generiertwird.

CREATESHORTCUTGebenSieinderBefehlszeileCREATESHORTCUT=1ein,

umimStartmenüeinenEintraghinzuzufügen.

TPM-Unterstützung(TrustedPlatformModule)

ClientSecuritySolution8.3unterstütztdenintegriertenSicherheitschipdesComputers,dasTPM(Trusted PlatformModule).WennIhrLenovoComputereinvomWindows-BetriebssystemunterstütztesTPMenthält, verwendetClientSecuritySolutiondiemitdemWindows-BetriebssystemintegriertenTreiber.

FürdasAktivierendesTMPistmöglicherweiseeinWarmstarterforderlich,dadasTPMdurchdas System-BIOSaktiviertwird.WennSieWindows7ausführen,werdenSiemöglicherweisebeimSystemstart dazuaufgefordert,dieAktivierungdesTPMSzubestätigen.

BevordasTPMirgendwelcheFunktionenausführenkann,mussdasEigentumsrechtinitialisiertwerden. JedesSystemerhälteinenClientSecuritySolution-Administrator,derdieClientSecuritySolution-Optionen

8ClientSecuritySolution8.3Implementierungshandbuch

verwaltet.DieserAdminstratormussübereineWindows-Administratorberechtigungverfügen.Der AdministratorkannmitHilfevonXML-Implementierungsscriptsinitialisiertwerden.

NachdemdasEigentumsrechtfürdasSystemkonguriertist,wirdfürjedenweiterenWindows-Benutzer, dersichamSystemanmeldet,automatischderKongurationsassistentvonClientSecuritySoftware aufgerufen,damitderBenutzersichregistrierenkannunddieentsprechendenSicherheitsschlüsselund BerechtigungsnachweisedesBenutzersinitialisiertwerden.

Software-EmulationfürTPM

ClientSecuritySolutionkannaufbestimmtenSystemenohnedasTPMausgeführtwerden.DieFunktionalität istdabeidieselbe,außerdassanstellevonhardwaregeschütztenSchlüsselnSchlüsselaufSoftwarebasis verwendetwerden.DieSoftwarekannauchmiteinemSchalterinstalliertwerden,dersiezwingt,immer SchlüsselaufSoftwarebasisanstelledesTPMszuverwenden.DieEntscheidung,obdieserSchalter verwendetwerdensoll,mussbeiderInstallationgetroffenwerden.SiekannohneeineDeinstallationund eineerneuteInstallationderSoftwarenichtrückgängiggemachtwerden.

DieSyntaxzumErzwingeneinerSoftware-EmulationdesTPMslautetwiefolgt:

InstallFile.exe“/vEMULATIONMODE=1”

InstallationsverfahrenundBefehlszeilenparameter

MicrosoftWindowsInstallerstelltverschiedeneVerwaltungsfunktionenüberBefehlszeilenparameterbereit. WindowsInstallerkanneineadministrativeInstallationeinerAnwendungodereinesProduktsineinem NetzwerkzurVerwendungdurchArbeitsgruppenoderzurkundenspezischenAnpassungdurchführen. Befehlszeilenoptionen,fürdieeinParametererforderlichist,müssenohneLeerzeichenzwischenderOption unddemzugehörigenParameterangegebenwerden.Beispiele:

setup.exe/s/v"/qnREBOOT=”R”"

istgültig,aber

setup.exe/s/v"/qnREBOOT=”R”"

ungültig.

Anmerkung:DasStandardverhaltenbeieineralleinausgeführtenInstallation(AusführungderDatei „setup.exe“ohneParameter)bestehtdarin,dassderBenutzernachAbschlussderInstallationdazu aufgefordertwird,denComputererneutzustarten.EinNeustartistfürdasordnungsgemäßeFunktionieren desProgrammserforderlich.DerNeustartkanndurcheinenBefehlszeilenparameterfüreineunbeaufsichtigte Installationverzögertwerden(eineBeschreibungdazundenSieimvorherigenAbschnittundimAbschnitt mitdenBeispielen).

BeimClientSecuritySolution-InstallationspaketentpackteineadministrativeInstallationdie InstallationsquellendateienaneineangegebenePosition.

UmeineadministrativeInstallationauszuführen,führenSiedasInstallationspaketüberdieBefehlszeilemit demParameter/aaus:

setup.exe/a

EineadministrativeInstallationstellteinenAssistentenbereit,derdenAdministratorauffordert,die SpeicherpositionenzumEntpackenderInstallationsdateienanzugeben.InderStandardeinstellungwerden dieDateienaufLaufwerkC:\extrahiert.SiekönneneineanderePositionaufanderenLaufwerkenalsC:\ auswählen(z.B.anderelokaleLaufwerkeoderzugeordneteNetzlaufwerke).SiekönnenindiesemSchritt auchneueVerzeichnisseerstellen.

UmeineadministrativeInstallationunbeaufsichtigtauszuführen,könnenSiedasöffentlicheMerkmal TARGETDIRinderBefehlszeilefestlegen,umdiePositionfürdieExtraktionanzugeben:

Kapitel2.Installation9

setup.exe/s/v"/qnTARGETDIR=F:\TVTRR"

oder

msiexec.exe/i"ClientSecurity-PasswordManager.msi"/qnTARGERDIR=F:\TVTRR

Anmerkung:WennSienichtdieaktuelleVersionvonWindowsInstallerverwenden,wirddieDatei „setup.exe“konguriert,umdieWindowsInstaller-SteuerkomponenteaufdieaktuelleVersionzu aktualisieren.DurchdieAktualisierungderWindowsInstaller-SteuerkomponentewirdeineAufforderung zumDurchführeneinesWarmstartsausgegeben,auchwenneineadministrativeInstallationmit selbstextrahierendemInstallationspaketdurchgeführtwird.SiekönnendieEigenschaft„REBOOT“ desWindowsInstallerverwenden,umindieserSituationeinenWarmstartzuverhindern.Wenn WindowsInstallerinderaktuellenVersionvorliegt,versuchtdieDatei„setup.exe“nicht,dieWindows Installer-Steuerkomponentezuaktualisieren.

WenneineadministrativeInstallationabgeschlossenist,kannderAdministratordieQuellendateien anpassen,indemerbeispielsweiseEinstellungenzurRegistrierungsdatenbankhinzufügt.

DiefolgendenParameterundBeschreibungensindinderHilfedokumentationfürInstallShieldDeveloper enthalten.Parameter,dienichtfürBasicMSI-Projektegelten,wurdenentfernt.

Tabelle2.Parameter

ParameterBeschreibung

/a:AdministrativeInstallationDurchdenSchalter/aführtsetup.exeeineadministrative

Installationaus.BeieineradministrativenInstallation werdenIhreDatendateienineindurchdenBenutzer angegebenesVerzeichniskopiert(undentpackt),aberes werdenkeineVerknüpfungenerstellt,keineCOM-Server registriertundkeinProtokollzurDeinstallationerstellt.

/x:DeinstallationsmodusDurchdenSchalter/xdeinstalliertsetup.exeeinzuvor

installiertesProdukt.

/s:UnbeaufsichtigterModusDurchdenBefehlsetup.exe/swirddas

Initialisierungsfenstervonsetup.exefüreinBasic MSI-Installationsprogrammunterdrückt,abereswird keineAntwortdateigelesen.BeiBasicMSI-Projekten werdenkeineAntwortdateienfürunbeaufsichtigte Installationenerstelltoderverwendet.UmeinBasic MSI-Produktunbeaufsichtigtauszuführen,führen SiedieBefehlszeilesetup.exe/s/v/qnaus.(Zur AngabederWertevonöffentlichenMerkmalenfüreine unbeaufsichtigteBasicMSI-InstallationkönnenSieeinen Befehlwiez.B.setup.exe/s/v„/qnINST ALLDIR=D:\Ziel“ verwenden.)

/v:ArgumenteanMsiexecübergebenDasArgument/vwirdverwendet,umBefehlszeilenschalter

undWertevonöffentlichenMerkmalenanmsiexec.exezu übergeben.

10ClientSecuritySolution8.3Implementierungshandbuch

Tabelle2.Parameter(Forts.)

ParameterBeschreibung

/L:SprachebeiderInstallationBenutzerkönnendenSchalter/Lmitderdezimalen

Sprachen-IDverwenden,umdieSpracheanzugeben, dieineinemmehrsprachigenInstallationsprogramm verwendetwerdensoll.DerBefehl,umDeutschals Spracheanzugeben,lautetbeispielsweisesetup.exe /L1031.

/w:WartenBeieinemBasicMSI-Projektwirdsetup.exedurchdas

Argument/wgezwungen,mitdemBeendenbiszum AbschlussderInstallationzuwarten.WennSiedie Option/wineinerBatchdateiverwenden,solltenSiedem Befehlszeilenparametervonsetup.exemöglicherweise start/WAITvoranstellen.EinBeispielimrichtigenFormat hierzusiehtwiefolgtaus:

start/WAITsetup.exe/w

Programm„msiexec.exe“verwenden

UmnachdemVornehmenvonAnpassungeneineInstallationmithilfederentpacktenQuellendatei auszuführen,mussderBenutzerdasProgramm„msiexec.exe“überdieBefehlszeileaufrufenunddabei denNamenderentpackten*.MSI-Dateiangeben.DasProgramm„msiexec.exe“istdieausführbareDatei desWindows-Installationsprogramms,dasverwendetwird,umdieInstallationspaketezuinterpretieren unddieProdukteaufZielsystemenzuinstallieren.

msiexec/i"C:\WindowsFolder\Proles\UserName\ Personal\MySetups\projectname\productconguration\releasename\ DiskImages\Disk1\productname.msi"

Anmerkung:GebenSiedenobenangegebenenBefehlineineeinzigeZeileein,ohneLeerzeichennachden Schrägstrichen.

InderfolgendenTabellesinddieverfügbarenBefehlszeilenparameterbeschrieben,diezusammenmitder Datei„msiexec.exe“verwendetwerdenkönnen.ZudementhältsieVerwendungsbeispiele.

Tabelle3.Befehlszeilenparameter

ParameterBeschreibung

/IPaketoderProduktcodeVerwendenSiezurInstallationdesProduktsfolgendesFormat:

Othello:msiexec/i"C:\WindowsF older\Proles\ UserName\Personal\MySetups \Othello\TrialVersion\ Release\DiskImages\Disk1\ OthelloBeta.msi"

DerProduktcodeverweistaufdieGUID(GloballyUniqueIdentier),dieim ProduktcodemerkmalinderProjektansichtfürdasProduktautomatisch generiertwird.

/aPaketMitdemParameter/akönnenBenutzermitAdministratorrechteneinProdukt

imNetzwerkinstallieren.

/xPaketoderProduktcodeMitdemParameter/xwirdeinProduktdeinstalliert.

Kapitel2.Installation11

Tabelle3.Befehlszeilenparameter(Forts.)

ParameterBeschreibung

/L[i|w|e|a|r|u|c|m|p|v|+]Protokolldatei

/q[n|b|r|f]

/?oder/hBeideBefehlezeigendenCopyrightvermerkfürWindowsInstalleran.

TRANSFORMSMitdemBefehlszeilenparameterTRANSFORMSkönnenSieUmsetzungen

MitdemParameter/LwirdderPfadzurProtokolldateiangegeben.Die folgendenFlagsgebenan,welcheInformationeninderProtokolldatei gespeichertwerdensollen:

•iprotokolliertStatusnachrichten

•wprotokolliertnichtschwerwiegendeWarnungen

•eprotokolliertFehlernachrichten

•aprotokolliertdenBeginnvonAktionsfolgen

•rprotokolliertaktionsspezischeAufzeichnungen

•uprotokolliertBenutzeranforderungen

•cprotokolliertdieSchnittstellenparameterfürdenErstbenutzer

•mprotokolliertNachrichtenzurÜberschreitungderSpeicherkapazität

•pprotokolliertTerminaleinstellungen

•vprotokolliertdieEinstellungfürausführlicheAusgabe

•+wirdeinervorhandenenDateihinzugefügt

•*isteinPlatzhalterzeichen,mitdemSiealleInformationenprotokollieren können(außerderEinstellungfürausführlicheAusgabe)

MitdemParameter/qwirddieStufederBenutzerschnittstelleinVerbindung mitdenfolgendenFlagsangegeben:

•mitqoderqnwirdkeineBenutzerschnittstelleerstellt

•mitqbwirdeineBasisbenutzerschnittstelleerstellt

DiefolgendenEinstellungenfürdieBenutzerschnittstellebewirkendieAnzeige einesModaldialogfenstersamEndederInstallation:

•mitqrwirddieBenutzerschnittstelleverkleinertangezeigt

•mitqfwirddieBenutzerschnittstelleinVollgrößeangezeigt

•mitqn+wirddieBenutzerschnittstellenichtangezeigt

•mitqb+wirdeineBasisbenutzerschnittstelleangezeigt

angeben,dieSiefürIhrBasispaketanwendenmöchten.

msiexec/i"C:\WindowsFolder\ Proles\UserName\Personal \MySetups\ YourProjectName\TrialVersion\ MyRelease-1 \DiskImages\Disk1\ ProductName.msi"TRANSFORMS="NewTransf orm1.mst"

Merkmale

12ClientSecuritySolution8.3Implementierungshandbuch

MehrereUmsetzungenkönnendurchSemikolonsvoneinandergetrennt werden.VerwendenSiekeineSemikolonsimNamen,denSieumsetzen,da diesersonstvomWindowsInstaller-Servicefalschinterpretiertwird.

AlleöffentlichenMerkmalekönnenüberdieBefehlszeilefestgelegtoder geändertwerden.DieöffentlichenMerkmaleunterscheidensichvon denprivatenMerkmalendurchdieausschließlicheVerwendungvon Großbuchstaben.FIRMENNAMEistzumBeispieleinöffentlichesMerkmal.

ZumFestlegeneinesMerkmalsüberdieBefehlszeileverwendenSiedie folgendeSyntax:

PROPERTY=VALUE

WennSiedenWertvonFIRMENNAMEändernmöchten,gebenSieFolgendes ein:

msiexec/i"C:\WindowsFolder\ Proles\UserName\Personal\ MySetups\YourProjectName\ TrialVersion\MyRelease-1\

Tabelle3.Befehlszeilenparameter(Forts.)

ParameterBeschreibung

DiskImages\Disk1\ProductName.msi" COMPANYNAME="InstallShield"

ÖffentlicheStandardeigenschaftenvonWindowsInstaller

WindowsInstallerverfügtübereineReihevonstandardmäßigintegriertenöffentlichenEigenschaften,die überdieBefehlszeilefestgelegtwerdenkönnen,umeinbestimmtesVerhaltenbeiderInstallationanzugeben. InderfolgendenTabellesinddieüblichstenöffentlichenMerkmale,dieinderBefehlszeileverwendet werden,beschrieben.

WeitereInformationenndenSieaufderMicrosoft-Websiteunter: http://msdn2.microsoft.com/en-us/library/aa367437.aspx

InderfolgendenT abellewerdendieallgemeinverwendetenEigenschaftenvonWindowsInstallerangezeigt:

Tabelle4.EigenschaftenvonWindowsInstaller

EigenschaftBeschreibung

TARGETDIRGibtdasStammzielverzeichnisfürdieInstallationan.Bei

eineradministrativenInstallationgibtdiesesMerkmaldie Positionan,andiedasInstallationspaketkopiertwird.

ARPAUTHORIZEDCDFPREFIX

ARPCOMMENTSStelltKommentarezumHinzufügenoderEntfernenvon

ARPCONTACTStelltdenKontaktzumHinzufügenoderEntfernenvon

ARPINSTALLLOCA TION

ARPNOMODIFY

ARPNOREMOVE

ARPNOREPAIRInaktiviertdieSchaltächezumReparierenim

ARPPRODUCTICONGibtdasprimäreSymbolfürdasInstallationspaketan.

ARPREADME

ARPSIZEDiegeschätzteGrößederAnwendunginKilobytes.

ARPSYSTEMCOMPONENT

ARPURLINFOABOUT

DerURLdesAktualisierungskanalsderAnwendung.

ProgrammeninderSystemsteuerungbereit.

ProgrammeninderSystemsteuerungher.

DervollständigqualiziertePfadzumPrimärordnerder Anwendung.

InaktiviertdieFunktionen,durchdiedasProduktgeändert werdenkönnte.

InaktiviertdieFunktionen,durchdiedasProduktentfernt werdenkönnte.

Programmassistenten.

StellteineReadme-DateizumHinzufügenoderEntfernen vonProgrammeninderSystemsteuerungbereit.

VerhindertdasAnzeigenvonAnwendungeninderListe zumHinzufügenundEntfernenvonProgrammen.

URLderHomepageeinerAnwendung.

Kapitel2.Installation13

Tabelle4.EigenschaftenvonWindowsInstaller(Forts.)

EigenschaftBeschreibung

ARPURLUPDATEINFO

REBOOTDasMerkmalREBOOTunterdrücktbestimmte

URLfürInformationenzurAnwendungsaktualisierung.

AufforderungenfüreinenNeustartdesSystems.Ein AdministratorverwendetdiesesMerkmalnormalerweise beieinerReihevongleichzeitigenInstallationen verschiedenerProdukte,beidenenamEndenurein Neustartdurchgeführtwird.LegenSieREBOOT=„R“fest, umalleNeustartsamEndedereinzelnenInstallationen zuinaktivieren.

Installationsprotokolldatei

DieInstallationsprotokolldateivonClientSecuritySolutionheißt„cssinstall83xx.log“undwirdimVerzeichnis „%temp%“erstellt,wenndieKongurationüberdieDatei„setup.exe“gestartetwird(durchDoppelklicken aufdieDatei„install.exe“,durchAusführenderausführbarenDateiohneParameteroderdurchExtrahieren desMSI-PaketsundAusführenderDatei„setup.exe“).DieseDateienthältProtokollnachrichten,diezum BehebenvonInstallationsfehlernverwendetwerdenkönnen.DieProtokolldateienthältalleAktivitäten, dievomAppletHinzufügen/EntferneninderSystemsteuerungdurchgeführtwerden.DieProtokolldatei wirdnichterstellt,wennSiedieDatei„setup.exe“direktüberdasMSI-Paketausführen.Umeine ProtokolldateifüralleMSI-Aktionenzuerstellen,könnenSiedieRichtliniefürdieProtokollierunginder Registrierungsdatenbankaktivieren.ErstellenSiehierfürdenfolgendenWert:

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] "Logging"="voicewarmup"

Installationsbeispiele

InderfolgendenTabellewerdenBeispielefürInstallationenmithilfederDatei„setup.exe“aufgeführt.

Tabelle5.BeispielefürdieInstallationmithilfederDatei„setup.exe“

BeschreibungBeispiel

UnbeaufsichtigteInstallationohneNeustart

AdministrativeInstallation

UnbeaufsichtigteadministrativeInstallation,beiderdie PositionzumEntpackenfürClientSecuritySoftware angegebenwird

UnbeaufsichtigteDeinstallation

InstallationohneNeustart(mitErstellungeines InstallationsprotokollsimtemporärenUnterverzeichnisfür ClientSecuritySoftware.)

InstallationohneInstallationderPredesktopArea

DiefolgendeTabelleenthältInstallationsbeispielefürdieVerwendungvonClientSecurity-Password Manager.msi:

setup.exe/s/v”/qnREBOOT=”R””

setup.exe/a

setup.exe/a/s/v”/qnTARGETDIR=”F: \CSS83””

setup.exe/s/x/v/qn

setup.exe/v”REBOOT=”R”/L*v%temp% \cssinstall83.log”

setup.exe/vPDA=0

14ClientSecuritySolution8.3Implementierungshandbuch

Tabelle6.InstallationsbeispielefürdieVerwendungvonClientSecurity-PasswordManager.msi

BeschreibungBeispiel

Installation

UnbeaufsichtigteInstallation ohneNeustart

Unbeaufsichtigte Deinstallation

msiexec/i“C:\CSS83\ClientSecurity Solution-PasswordManager.msi”

msiexec/i“C:\CSS83\ClientSecurity Solution-PasswordManager.msi”/qnREBOOT=”R”

msiexec/x“C:\CSS83\ClientSecurity Solution-PasswordManager.msi”/qn

ThinkVantageFingerprintSoftwareinstallieren

DieDatei„setup.exe“desProgramms„ThinkVantageFingerprintSoftware“kannmithilfederfolgenden Methodeninstalliertwerden:

UnbeaufsichtigteInstallation

UmdieThinkVantageFingerprintSoftwareunbeaufsichtigtzuinstallieren,führenSiedieDatei„setup.exe“ aus,diesichimInstallationsverzeichnisdesCD-ROM-Laufwerksbendet.

VerwendenSiediefolgendeSyntax:

Setup.exePROPERTY=VALUE/q/i

wobeiqfürdieunbeaufsichtigteInstallationundifürdieInstallationsteht.Beispiele:

setup.exeINSTALLDIR="C:\ProgramFiles\ThinkVantagengerprintsof tware"/q/i

VerwendenSiezumDeinstallierenderSoftwaredenParameter/xstatt/i:

setup.exeINSTALLDIR="C:\ProgramFiles\ThinkVantagengerprintsof tware"/q/x

Optionen

DiefolgendenParameterwerdenvonderThinkVantageFingerprintSoftwareunterstützt.

Tabelle7.VonderThinkVantageFingerprintSoftwareunterstützteOptionen

ParameterBeschreibung

CTRLONCEZeigtdieSteuerzentrale(ControlCenter)nureinmalan.

DerStandardwertist0.

CTLCNTR•0=Steuerzentrale(ControlCenter)beimStartennicht

anzeigen.

•1=Steuerzentrale(ControlCenter)beimStarten anzeigen.

DerStandardwertist1.

DEFFUS

•0=EinstellungenfürschnelleBenutzerumschaltung (FUS,FastUserSwitching)nichtverwenden.

•1=EinstellungenfürschnelleBenutzerumschaltung (FUS,FastUserSwitching)verwenden.

DerStandardwertist0.

Kapitel2.Installation15

Tabelle7.VonderThinkVantageFingerprintSoftwareunterstützteOptionen(Forts.)

ParameterBeschreibung

DEVICEBIO

INSTALLDIR

OEM

PASSPORTStandardtypdesBerechtigungsnachweisesfestlegen.

POSSSO•1=„SingleSign-on“aktivieren.

PSLOGON

REBOOTUnterdrücktalleNeustartseinschließlichder

SECURITY

SHORTCUT•0=VerknüpfungzuSteuerzentrale(ControlCenter)

KonguriertdenEinheitentyp,dervomBenutzer verwendetwird.

•DEVICEBIO=#3-Einheitensensorverwenden,umdie ersteRegistrierungzuspeichern.

•DEVICEBIO=#0-Festplattenlaufwerkverwenden,um dieRegistrierungzuspeichern.

•DEVICEBIO=#1-Zusatzchipverwenden,umdie Registrierungzuspeichern.

Installationsverzeichnisfestlegen.

•0=MitUnterstützungfür Serverberechtigungsnachweiseoder Serverauthentizierunginstallieren.

•1=NurModusfürStandalone-Computermitlokalen Berechtigungsnachweiseninstallieren.

DerStandardwertist1.

•1=LokalerBerechtigungsnachweis

•2=Serverberechtigungsnachweis

DerStandardwertist1.

•0=„SingleSign-on“inaktivieren.

DerStandardwertist1.

•0=AnmeldungüberFingerabdruckinaktivieren.

•1=AnmeldungüberFingerabdruckaktivieren.

DerStandardwertist0.

AufforderungenwährendderInstallation,wennReally Suppressfestgelegtwird.

•1=ImsicherenModusinstallieren.

•0=ImkomfortablenModusinstallieren.

beimStartennichtanzeigen.

•1=AnzeigederVerknüpfungzuSteuerzentrale(Control Center)beimStartenaktivieren.

DerStandardwertist0.

SHORTCUTFOLDERStandardnamendesVerknüpfungsordnersimStart-Menü

festlegen.

BenutzerberechtigungendesBenutzersohneAdministratorberechtigung

DELETESELF

•1=LöschendesFingerabdrucksaktivieren.

•0=LöschendesFingerabdrucksinaktivieren.

DerStandardwertist1.

16ClientSecuritySolution8.3Implementierungshandbuch

Tabelle7.VonderThinkVantageFingerprintSoftwareunterstützteOptionen(Forts.)

ParameterBeschreibung

ENROLLSELF

•1=RegistrierungüberFingerabdruckaktivieren.

•0=RegistrierungüberFingerabdruckinaktivieren.

DerStandardwertist1.

ENROLLTBX•1=AuswahldesFingerabdrucksfürdenStart

aktivieren.

•0=AuswahldesFingerabdrucksfürdenStart

inaktivieren.

DerStandardwertist1.

IMPORTSELF•1=Importieren/ExportierenvonFingerabdrückenfür

BenutzerohneAdministratorberechtigungaktivieren.

•0=Importieren/ExportierenvonFingerabdrückenfür

BenutzerohneAdministratorberechtigunginaktivieren.

DerStandardwertist1.

REVEALPWD•1=WiederherstellungdesWindows-Kennworts

aktivieren.

•0=WiederherstellungdesWindows-Kennworts

inaktivieren.

DerStandardwertist1.

Anti-Hammering-Schutz(Lockout-Einstellungen)

LOCKOUT•1=Anti-Hammering-Schutzaktivieren.

•0=Anti-Hammering-Schutzinaktivieren.

DerStandardwertist1.

LOCKOUTCOUNTMaximaleWiederholungsanzahl.DerStandardwertist5

undSiekönneneinenbeliebigenWertverwenden.

LOCKOUTTIMEZeitlimitinMillisekunden.DerStandardwertist120.000

undSiekönneneinenbeliebigenWertbiszu360.000 verwenden.

ZeitlimitfürAuthentizierung(Inaktivitätseinstellungen)

GUITMENABLE

•1=ZeitlimitfürAuthentizierunginMillisekunden

aktivieren.

•0=ZeitlimitfürAuthentizierunginMillisekunden

inaktivieren.

DerStandardwertist1.

GUITMTIME

DauerderZeitlimitüberschreitungfürAuthentizierung. DerStandardwertist120.000undSiekönneneinen beliebigenWertbiszu360.000verwenden.

PWDLOGON•1=AusschließlicheAnmeldungüberFingerabdruckfür

BenutzerohneAdministratorberechtigungaktivieren.

•0=AusschließlicheAnmeldungüberFingerabdruckfür

BenutzerohneAdministratorberechtigunginaktivieren.

DerStandardwertist1.

Kapitel2.Installation17

Tabelle7.VonderThinkVantageFingerprintSoftwareunterstützteOptionen(Forts.)

ParameterBeschreibung

NOPOPPAPCHECK•0=Startsicherheitsoptionennichtanzeigen.

•1=Startsicherheitsoptionenimmeranzeigen.

DerStandardwertist0.

CSS•0=Voraussetzen,dassClientSecuritySolutionnicht

installiertwurde.

•1=Voraussetzen,dassClientSecuritySolution installiertwurde.

DerStandardwertist0.

Anmerkung:AlleOptionensindoptional.

VerwendenSiezumDeinstallierenderFingerprintSoftwaredenParameter/xstatt/i.Währendder standardmäßigenDeinstallationüberdieBenutzerschnittstellewerdenDialogfensterangezeigt,um auszuwählen,obvorhandeneBerechtigungsnachweisegelöschtunddieSicherheitsfunktionfürden Bootvorganginaktiviertwerdensollen.ImunbeaufsichtigtenDeinstallationsmoduskönnenSieden Parameter„DELPAS“verwenden.LegenSiefür„DELPAS“denWert„1“fest,umbereitsvorhandene Berechtigungsnachweisezulöschen.WenndieseOptionennichtdeniertsindodereinenanderen Werthaben,bleibenBerechtigungsnachweiseaufdemComputererhaltenunddieBootsicherheitbleibt aktiviert.WennSiedieBootsicherheitaktiviertlassen,könnenSiekeineFingerabdrückeimSpeicherder Bootsicherheitbearbeiten,bevorSienichtdasProdukterneutinstallieren.Beispielsweisewürdedas AusführenderSyntax

msiexec/iSetup.msiDELPAS="1"/q

würdedasProduktdeinstallieren,allebereitsvorhandenenBerechtigungsnachweiselöschenunddie BootsicherheitaufdemComputeraktiviertlassen.

LenovoFingerprintSoftwareinstallieren

DieDatei„setup32.exe“desProgramms„LenovoFingerprintSoftware“kannmithilfederfolgendenProzedur installiertwerden.

UnbeaufsichtigteInstallation

UmdieFingerprintSoftwareunbeaufsichtigtzuinstallieren,führenSiedieDatei„setup32.exe“aus,diesich aufderCD-ROMimInstallationsverzeichnisbendet.

VerwendenSiediefolgendeSyntax:

setup32.exe/s/v"/qnREBOOT="R""

VerwendenSiezumDeinstallierenderSoftwarediefolgendeSyntax:

setup32.exe/x/s/v"/qnREBOOT="R""

Optionen

DiefolgendenParameterwerdenvonderLenovoFingerprintSoftwareunterstützt.

18ClientSecuritySolution8.3Implementierungshandbuch

Tabelle8.VonderLenovoFingerprintSoftwareunterstützteOptionen

ParameterBeschreibung

SHORTCUTZeigtdieVerknüpfungzurSteuerzentrale(ControlCenter)

imStart-Menüan.

•0=VerknüpfungzuSteuerzentrale(ControlCenter)

nichtanzeigen.

•1=VerknüpfungzuSteuerzentrale(ControlCenter)

anzeigen.

DerStandardwertist0.

SWAUTOSTART•0=FingerprintSoftwarenichtbeimStartenstarten.

•1=FingerprintSoftwarebeimStartenstarten.

DerStandardwertist1.

SWFPLOGON•0=AnmeldungüberFingerabdruck(GINAoder

BereitstellervonBerechtigungsnachweis)nicht verwenden.

•1=AnmeldungüberFingerabdruck(GINAoder

BereitstellervonBerechtigungsnachweis)verwenden.

DerStandardwertist0.

SWPOPP•0=SchutzdurchStartkennwortinaktivieren.

•1=SchutzdurchStartkennwortaktivieren.

DerStandardwertist0.

SWSSO•0=Funktion„SingleSign-on“inaktivieren.

•1=Funktion„SingleSign-on“aktivieren.

DerStandardwertist0.

SWALLOWENROLL

•0=RegistrierungüberFingerabdruckfürBenutzer

ohneAdministratorberechtigunginaktivieren.

•1=RegistrierungüberFingerabdruckfürBenutzer

ohneAdministratorberechtigungaktivieren.

DerStandardwertist1.

SWALLOWDELETE

•0=LöschendesFingerabdrucksfürBenutzerohne

Administratorberechtigunginaktivieren.

•1=LöschendesFingerabdrucksfürBenutzerohne

Administratorberechtigungaktivieren.

DerStandardwertist1.

SWALLOWIMEXPORT•0=Importieren/ExportierenvonFingerabdrückenfür

BenutzerohneAdministratorberechtigunginaktivieren.

•1=Importieren/ExportierenvonFingerabdrückenfür

BenutzerohneAdministratorberechtigungaktivieren.

DerStandardwertist1.

SWALLOWSELECT

•0=AuswahlderVerwendungdesFingerabdrucks

anstelledesStartkennwortsfürBenutzerohne Administratorberechtigunginaktivieren.

•1=AuswahlderVerwendungdesFingerabdrucks

anstelledesStartkennwortsfürBenutzerohne Administratorberechtigungaktivieren.

DerStandardwertist1.

Kapitel2.Installation19

Tabelle8.VonderLenovoFingerprintSoftwareunterstützteOptionen(Forts.)

ParameterBeschreibung

SWALLOWPWRECOVERY

SWANTIHAMMER•0=Anti-Hammering-Schutzinaktivieren.

SWANTIHAMMERRETRIESGibtdiemaximaleWiederholungsanzahlan.Der

SWANTIHAMMERTIMEOUTGibtdieDauerderZeitlimitüberschreitunginSekunden

SWAUTHTIMEOUT

SWAUTHTIMEOUTVALUEGibtdenInaktivitätszeitraumvordemZeitlimitfürdie

SWNONADMIFPLOGONONLY•0=AusschließlicheAnmeldungüberFingerabdruckfür

SWSHOWPOWERON•0=Startsicherheitsoptionennichtanzeigen.

CSS•0=Voraussetzen,dassClientSecuritySolutionnicht

•0=WiederherstellungdesWindows-Kennworts inaktivieren.

•1=WiederherstellungdesWindows-Kennworts aktivieren.

DerStandardwertist1.

•1=Anti-Hammering-Schutzaktivieren.

DerStandardwertist1.

Standardwertist5. Anmerkung:DieseEinstellungfunktioniertnur,wenn SWANTIHAMMERaktiviertist.

an.DerStandardwertist120. Anmerkung:DieseEinstellungfunktioniertnur,wenn SWANTIHAMMERaktiviertist.

•0=ZeitlimitfürAuthentizierunginaktivieren.

•1=ZeitlimitfürAuthentizierungaktivieren.

DerStandardwertist1.

AuthentizierunginSekundenan.DerStandardwertist

120.

Anmerkung:DieseEinstellungfunktioniertnur,wenn SWAUTHTIMEOUTaktiviertist.

BenutzerohneAdministratorberechtigunginaktivieren.

•1=AusschließlicheAnmeldungüberFingerabdruckfür BenutzerohneAdministratorberechtigungaktivieren.

DerStandardwertist1.

•1=Startsicherheitsoptionenimmeranzeigen.

DerStandardwertist0.

installiertwurde.

•1=Voraussetzen,dassClientSecuritySolution installiertwurde.

DerStandardwertist0.

SystemsManagementServer

SMS-Installationen(SystemsManagementServer)werdenebenfallsunterstützt.ÖffnenSiedie SMS-Administratorkonsole.ErstellenSieeinneuesPaket,undlegenalsPaketmerkmaledieStandardwerte fest.ÖffnenSiedasPaket,undwählenSieinderProgrammauswahldieOptionfürneueProgramme aus.GebenSieineinerBefehlszeileFolgendesein:

Setup.exe/myourmiflename/q/i

SiekönnendieselbenParameterwiebeiderunbeaufsichtigtenInstallationverwenden.

20ClientSecuritySolution8.3Implementierungshandbuch

BeiderKongurationwirdinderRegelamEndedesInstallationsprozesseseinNeustartdurchgeführt.Wenn SiealleNeustartswährendderInstallationunterdrückenmöchtenunddenNeustartspäterdurchführen möchten(nachderInstallationweitererProgramme),fügenSieREBOOT=„ReallySuppress“zurListemit denMerkmalenhinzu.

Kapitel2.Installation21

22ClientSecuritySolution8.3Implementierungshandbuch

Kapitel3.MitClientSecuritySolutionarbeiten

VorderInstallationvonClientSecuritySolutionsolltenSiesichüberdieverfügbarenOptionenzurAnpassung vonClientSecuritySolutioninformieren.DasvorliegendeKapitelenthältInformationenzurAnpassungvon ClientSecuritySolutionsowieInformationenzumTPM(TrustedPlatformModule).DieindiesemKapitel verwendetenTPM-BegriffesinddurchdieTrustedComputingGroup(TCG)deniert.WeitereInformationen zumTPMndenSieaufderfolgendenWebsite: http://www.trustedcomputinggroup.org/

TPMverwenden

BeimTPM(T rustedPlatformModule)handeltessichumeinenintegriertenSicherheitschip,derfürSoftware sicherheitsrelevanteFunktionenzurVerfügungstellt.DerintegrierteSicherheitschipistindieSteuerplatine integriertundkommuniziertübereinenHardwarebus.SystememiteinemTPMkönnenChiffrierschlüssel erstellenundverschlüsseln,sodassdiesenurvondemselbenTPMwiederentschlüsseltwerdenkönnen. DieserProzesswirdoftalsVerpackeneinesSchlüsselsbezeichnet.MitHilfediesesProzesseswirdder SchlüsselvorderOffenlegunggeschützt.AufeinemSystemmitTPMwirdderMaster-Verpackungsschlüssel, derauchSpeicher-Rootschlüssel(SRK,StorageRootKey)genanntwird,imTPMselbstgespeichert,so dassderprivateBestandteildesSchlüsselsnieungeschütztist.ImintegriertenSicherheitschipkönnenauch andereSpeicherschlüssel,Signierschlüssel,KennwörterundanderekleineDateneinheitengespeichert werden.AufgrundderbegrenztenSpeicherkapazitätimTPMwirdderSRKzumVerschlüsselnvonanderen SchlüsselnfürdieSpeicherungaußerhalbdesChipsverwendet.DerSRKverbleibtimmerimintegrierten SicherheitschipundbildetdieBasisfürgeschützteSpeicher.

DieVerwendungdesSicherheitschipsistoptionalunderforderteinenClientSecuritySolution-Administrator. SowohlfürEinzelpersonenalsauchfürIT-AbteilungeneinesUnternehmensmussdasTPMinitialisiert werden.SpätereOperationenwiedieMöglichkeitzurWiederherstellungnacheinemFestplattenausfalloder nachdemAustauschenderSystemplatinemüssenebenfallsvomClientSecuritySolution-Administrator ausgeführtwerden.

Anmerkung:WennSiedenAuthentizierungsmodusändernundversuchen,denSicherheitschipzu entsperren,müssenSiesichabmeldenunddannalsMaster-Administratorwiederanmelden.Dann könnenSiedenChipentsperren.SiekönnensichauchalsSekundärbenutzeranmeldenundfortfahren, denAuthentizierungsmoduszukonvertieren.DieKonvertierungerfolgtautomatischmitderAnmeldung desSekundärbenutzers.ClientSecuritySolutionfordertSiezumEingebendesKennwortsoderdes VerschlüsselungstextesdesSekundärbenutzersauf.WennClientSecuritySolutionmitdemVerarbeitender Änderungfertigist,kannderSekundärbenutzermitdemEntsperrendesChipsfortfahren.

TPM(TrustedPlatformModule)unterWindows7verwenden

WenndieWindows7-AnmeldungaktiviertunddasTPMinaktiviertist,müssenSiedie Windows-Anmeldefunktioninaktivieren,bevorSiedasTPMimBIOSüberdieTasteF1inaktivieren.Dadurch verhindernSiedasAnzeigeneinerSicherheitsnachrichtwiederfolgenden:DerintegrierteSicherheitschip

wurdeinaktiviert.DerAnmeldeprozesskannnurbeiaktiviertemChipgeschütztwerden.

ZudemmüssenSie,wennSiefürdasBetriebssystemeinesClientsystemseinUpgradedurchführen,den InhaltdesSicherheitschipslöschen,umeinenRegistrierungsfehlerbeiClientSecurityzuvermeiden.Um denInhaltdesChipsimBIOSüberdieTasteF1zulöschen,mussdasSystemkaltgestartetwerden.Sie könnendenInhaltdesChipsnichtnacheinemWarmstartlöschen.

©CopyrightLenovo2008,2011

ClientSecuritySolutionmitChiffrierschlüsselnverwalten

ClientSecuritySolutionwirddurchdiebeidenwichtigstenImplementierungsaktivitätenbeschrieben: „Eigentumsrechtübernehmen“und„Benutzerregistrieren“.BeidererstenAusführungdes KongurationsassistentenvonClientSecuritySolutionwerdendiesebeidenProzessewährendder Initialisierungausgeführt.DieWindows-Benutzer-ID,diedenInstallationsassistentenfürClientSecurity Solutionausgeführthat,istderClientSecuritySolution-AdministratorundistalsaktiverBenutzerregistriert. JederandereBenutzer,dersichamSystemanmeldet,wirdautomatischaufgefordert,sichbeiClient SecuritySolutionzuregistrieren.

•Eigentumsrechtübernehmen

EineeinzigeWindows-Administrator-IDistalseinzigerClientSecuritySolution-Administratorfürdas Systemzugeordnet.VerwaltungsfunktionenvonClientSecuritySolutionmüssenüberdieseBenutzer-ID ausgeführtwerden.DieBerechtigungfürdasTPM(TrustedPlatformModule)istentwederdas Windows-KennwortdiesesBenutzersoderderClientSecurity-Verschlüsselungstext.

Anmerkung:DieeinzigeMöglichkeiteinerWiederherstellung,wenndasClientSecurity Solution-Administratorkennwortoderder-Verschlüsselungstextvergessenwurde,besteht darin,dieSoftwaremitgültigenWindows-BerechtigungenzudeinstallierenoderdenInhaltdes SicherheitschipsimBIOSzulöschen.BeibeidenMöglichkeitengehendieDaten,dieüberdiedem TPMzugeordnetenSchlüsselgeschütztwerden,verloren.ClientSecuritySolutionbietetaußerdem einenoptionalenMechanismus,mitdessenHilfeSieeinvergessenesKennwortodereinenvergessenen Verschlüsselungstextselbstwiederherstellenkönnen.DieserMechanismusbasiertaufFragenund AntwortenzurIdentizierung.DerClientSecuritySolution-Administratorentscheidet,obdieseFunktion verwendetwird.

•Benutzerregistrieren

NachdemderProzess„Eigentumsrechtübernehmen“abgeschlossenundeinClientSecurity Solution-Administratorerstelltwurde,kanneinBenutzerbasisschlüsselerstelltwerden,umdie BerechtigungsnachweisefürdengeradeangemeldetenWindows-Benutzersicherzuspeichern.Dadurch könnensichmehrereBenutzerbeiClientSecuritySolutionregistrierenunddaseinzelneTPMnutzen. BenutzerschlüsselwerdenüberdenSicherheitschipgesichert,abertatsächlichaußerhalbdesChipsauf derFestplattegespeichert.DieseTechnologieerstelltFestplattenspeicherplatzalsdeneinschränkenden SpeicherfaktoranstelledestatsächlichenindenSicherheitschipintegriertenSpeichers.Damitwirddie AnzahlderBenutzer,diedieselbesichereHardwarenutzenkönnen,deutlicherhöht.

Eigentumsrechtübernehmen

DieSicherheitsbasisfürClientSecuritySolutionistderSystem-Rootschlüssel(SRK,SystemRootKey). DiesernichtmigrierbareasymmetrischeSchlüsselwirdindersicherenUmgebungdesTPMs(Trusted PlatformModule)generiertundgegenüberdemSystemnieoffengelegt.DieBerechtigungzurNutzungdes SchlüsselswirdbeimAusführendesBefehls„TPM_TakeOwnership“überdasWindows-Administratorkonto abgeleitet.WenndasSystemeinenClientSecurity-Verschlüsselungstextnutzt,istderClient Security-VerschlüsselungstextfürdenClientSecuritySolution-AdministratordieTPM-Berechtigung. AndernfallswirddasWindows-KennwortdesClientSecuritySolution-Administratorsverwendet.

MitHilfedesfürdasSystemerstelltenSRKkönnenandereSchlüsselpaareerstelltundverpacktoder geschütztdurchdieaufHardwarebasierendenSchlüsselaußerhalbdesTPMsgespeichertwerden.Daes sichbeimTPM,dasdenSRKenthält,umHardwarehandeltundHardwarebeschädigtwerdenkann,ist einWiederherstellungsmechanismuserforderlich,umsicherzustellen,dassbeieinerBeschädigungdes SystemseineDatenwiederherstellungmöglichist.

UmeinSystemwiederherzustellen,wirdeinSystembasisschlüsselerstellt.Mitdiesemasymmetrischen SpeicherschlüsselkannderClientSecuritySolution-AdministratordasSystemnachdemAustauschen derSystemplatineoderdergeplantenMigrationaufeinanderesSystemwiederherstellen.Damit derSystembasisschlüsselgeschütztistundgleichzeitigbeinormalemBetrieboderbeieiner

24ClientSecuritySolution8.3Implementierungshandbuch

Wiederherstellungaufihnzugegriffenwerdenkann,werdenzweiInstanzendesSchlüsselserstellt

System Level Key Structure - Take Ownership

Trusted Platform Module

Encrypted via derived AES Key

Storage Root Private Key

Storage Root Public Key

System Leaf Private Key

System Base Private Key

System Leaf Public Key

System Base Public Key

System Base Private Key

System Base Public Key

If Passphrase

loop n times

CSS Admin PW/PP

One-Way Hash

System Base AES

Protection Key (derived via output of hash algorithm)

Auth

undaufzweiverschiedeneArtengeschützt.ZumeinenwirdderSystembasisschlüsselmiteinem symmetrischenAES-Schlüsselverschlüsselt,dervomClientSecuritySolution-Administratorkennwort odervomClientSecurity-Verschlüsselungstextabgeleitetwird.DieseKopiedesClientSecurity Solution-WiederherstellungsschlüsselsdientausschließlichzurWiederherstellungvoneinemgelöschten TPModereinerausgetauschtenSystemplatineaufgrundeinesHardwareausfalls.

DiezweiteInstanzdesClientSecuritySolution-WiederherstellungsschlüsselswirddurchdenSRKfür denImportindieSchlüsselhierarchieverpackt.DurchdiesedoppelteInstanzdesSystembasisschlüssels kanndasTPMmitihmverbundenegeheimeDatenbeinormalemBetriebschützen.Außerdemisteine WiederherstellungeinerfehlerhaftenSystemplatinedurchdenSystembasisschlüsselmöglich,dermiteinem AES-Schlüsselverschlüsseltist,derüberdasClientSecuritySolution-AdministratorkennwortoderdenClient Security-Verschlüsselungstextentschlüsseltwird.AnschließendwirdeinSystemblattschlüsselerstellt.Dieser Schlüsselwirderstellt,umgeheimeSchlüsselaufSystemebene,wiez.B.denAES-Schlüssel,zuschützen.

DasfolgendeDiagrammstelltdieStrukturfürdenSchlüsselaufSystemebenedar:

Abbildung1.Systemebenenschlüsselstruktur-Eigentumsrechtübernehmen

Benutzerregistrieren

DamitdieDatenvonallenBenutzerndurchdasselbeTPM(TrustedPlatformModule)geschütztwerden können,mussjederBenutzerseineneigenenBenutzerbasisschlüsselerstellen.Dieserasymmetrische Speicherschlüsselkannmigriertwerdenundwirdebenfallszweimalerstelltunddurcheinensymmetrischen AES-Schlüsselgeschützt,derüberdasWindows-KennwortoderdenClientSecurity-Verschlüsselungstext dereinzelnenBenutzergeneriertwird.

DiezweiteInstanzdesBenutzerbasisschlüsselswirddannindasTPMimportiertunddurchdenSystem-SRK geschützt.BeiderErstellungdesBenutzerbasisschlüsselswirdeinzweiterasymmetrischerSchlüssel erstellt,deralsBenutzerblattschlüsselbezeichnetwird.MitdemBenutzerblattschlüsselwerdengeheime DatendereinzelnenBenutzergeschützt.HierzuzählenderAES-SchlüsselfürPasswordManager,der zumSchutzvonInternetanmeldedatendient,dasKennwort,mitdemDatengeschütztwerden,undder AES-SchlüsselfürdasWindows-Kennwort,derdenZugriffaufdasBetriebssystemschützt.DerZugriff aufdenBenutzerblattschlüsselwirdüberdasWindows-BenutzerkennwortoderdenClientSecurity

Kapitel3.MitClientSecuritySolutionarbeiten25

Solution-Verschlüsselungstextgesteuert.DerBenutzerblattschlüsselwirdbeiderAnmeldungautomatisch

User Level Key Structure - Enroll User

Trusted Platform Module

Encrypted via derived AES Key

Storage Root Private Key

Storage Root Public Key

User Leaf Private Key

User Base Private Key

User Leaf Public Key

User Base Public Key

Windows PW AES Key

PW Manager AES Key

User Base Private Key

User Base Public Key

If Passphrase

loop n times

User PW/PP

One-Way Hash

User Base AES

Protection Key (derived via output of hash algorithm)

Auth

entsperrt.

DasfolgendeDiagrammstelltdieStrukturfürdenSchlüsselaufBenutzerebenedar:

Abbildung2.SchlüsselstrukturaufBenutzerebene-Benutzerregistrieren

RegistrierungimHintergrund

ClientSecuritySolution8.3unterstütztdieRegistrierungimHintergrundfürdieautomatischgestartete Benutzerregistrierung.DerRegistrierungsprozesswirdimHintergrundohnedieAnzeigevon Benachrichtigungenausgeführt.

Anmerkung:DieRegistrierungimHintergrundistnurfürdieautomatischgestarteteBenutzerregistrierung verfügbar.FürdiemanuellüberdasStartmenüoderüberdieOptionSicherheitseinstellungen zurücksetzengestarteteBenutzerregistrierungwirdweiterhineinDialogfenstermitderNachricht,dassder BenutzeraufdieBenutzerregistrierungwartensoll,angezeigt.

DerlokaleoderDomänenadministratorkannauchdasAnzeigendesDialogfensterszumWartenerzwingen, indemerdiefolgendeRichtliniewiefolgtbearbeitet:

CSS_GUI_ALWAYS_SHOW_ENROLLMENT_PROCESSING

ErkannauchdenfolgendenRegistrierungsschlüsselwiefolgtbearbeiten:

HKLM\software\policies\lenovo\clientsecuritysolution\GUIoptions\ AlwaysShowEnrollmentProcessing

DerStandardwertfürAlwaysShowEnrollmentProcessingist0.WennfürdenobigenRegistrierungsschlüssel0 festgelegtist,wirddasDialogfenstermitderAufforderungzumWartenfürdieautomatischgestartete Benutzerregistrierungnichtangezeigt.WennfürdieseRichtlinie1festgelegtist,wirddasDialogfenstermit derAufforderungzumWartenbeiderBenutzerregistrierungimmerangezeigt,unabhängigdavon,wie diesegestartetwird.

26ClientSecuritySolution8.3Implementierungshandbuch

Softwareemulation

DamitBenutzer,derenComputerüberkeinTPMverfügt,eineähnlicheAnsichterhalten,unterstütztCSS denTMP-Emulationsmodus.

DerTPM-EmulationsmodusisteinesoftwarebasierteSicherheitsbasis.DemBenutzerstehendieselben Funktionen,dievomTPMbereitgestelltwerden,wiez.B.digitaleSignatur,dieEntschlüsselung symmetrischerSchlüssel,RSA-Schlüsselimport,SchutzundGenerierungvonzufallsgeneriertenNummern, zurVerfügung.AllerdingsistdieSicherheitgeringer,daessichbeiderSicherheitsbasisumsoftwarebasierte Schlüsselhandelt.

DerTPM-EmulationsmoduskannnichtalssichererErsatzfürdasTPMverwendetwerden.DasTPMbietet diefolgendenbeidenSchlüsselschutzmethoden,diesicherersindalsderTPM-Emulationsmodus.

•AllevomTPMverwendetenSchlüsselsinddurcheineneindeutigenSchlüsselaufStammverzeichnisebene geschützt.DereindeutigeSchlüsselaufStammverzeichnisebenewirdinnerhalbdesTPMerstelltund kannaußerhalbdavonwederangezeigtnochverwendetwerden.ImTPM-Emulationsmodusistder SchlüsselaufStammverzeichnisebeneeinsoftwarebasierterSchlüssel,deraufdemFestplattenlaufwerk gespeichertist.

•AlleOperationenmitprivatemSchlüsselwerdenimTPMdurchgeführt,sodassdasprivate SchlüsselmaterialfürkeinenSchlüsseljemalsaußerhalbdesTPMangezeigtwird.Im TPM-EmulationsmoduswerdenalleOperationenmitprivatemSchlüsselinderSoftwaredurchgeführt,so dasskeinSchutzdesprivatenSchlüsselmaterialsbesteht.

DerTPM-EmulationsmodusistinersterLiniefürBenutzergedacht,denenSicherheitkeinsogroßesAnliegen istunddeneneseherumdieGeschwindigkeitbeiderSystemanmeldunggeht.

AustauschderSystemplatine

EinAustauschderSystemplatinebedeutet,dassderalteSRK,andendieSchlüsselgebundenwaren,nicht mehrgilt,unddasseinandererSRKerforderlichist.DieserFallkannaucheintreten,wenndasTPM(Trusted PlatformModule)überdasBIOSgelöschtwird.

DerClientSecuritySolution-AdministratormussdieBerechtigungsnachweisedesSystems aneinenneuenSRKbinden.Esisterforderlich,dassderSystembasisschlüsselüberden Systembasis-AES-Sicherungsschlüsselentschlüsseltwird,dervondenBerechtigungsnachweisenzur AutorisierungdesClientSecuritySolution-Administratorsabgeleitetwird.

WennessichbeimClientSecuritySolution-AdministratorumeineDomänenbenutzer-IDhandeltund dasKennwortfürdieseBenutzer-IDaufeineranderenMaschinegeändertwurde,mussdasKennwort bekanntsein,dasbeiderletztenAnmeldungaufdemSystem,daswiederhergestelltwerdensoll,verwendet wurde,umdenSystembasisschlüsselfürdieWiederherstellungzuentschlüsseln.EinBespiel:Beider ImplementierungwirdeineBenutzer-IDundeinKennwortdesClientSecuritySolution-Administrators konguriert.ÄndertsichdasKennwortvondiesemBenutzeraufeineranderenMaschine,istdas ursprüngliche,beiderImplementierungfestgelegteKennwortfürdieAutorisierungerforderlich,umdas Systemwiederherzustellen.

GehenSiewiefolgtvor,umdieSystemplatineauszutauschen:

1.MeldenSiesichalsClientSecuritySolution-AdministratoramBetriebssysteman.

2.DerbeiderAnmeldungausgeführteCode(cssplanarswap.exe)erkennt,dassderSicherheitschipnicht aktiviertistundforderteinenNeustartfürdieAktivierungan.(DieserSchrittkanndurchdieAktivierung desSicherheitschipsimBIOSumgangenwerden.)

3.DasSystemwirderneutgestartetundderSicherheitschipaktiviert.

Kapitel3.MitClientSecuritySolutionarbeiten27

4.MeldenSiesichalsClientSecuritySolution-Administratoran.DerneueProzess„Eigentumsrecht

Motherboard Swap - Take Ownership

Trusted Platform Module

Decrypted via derived AES Key

System Leaf Private Key

Store Leaf Private Key

System Leaf Public Key

Store Leaf Public Key

System Base Private Key

System Base Public Key

If Passphrase

loop n times

CSS Admin PW/PP

One-Way Hash

System Base AES

Protection Key (derived via output of hash algorithm)

übernehmen“istabgeschlossen.

5.DerSystembasisschlüsselwirdüberdenSystembasis-AES-Sicherungsschlüsselentschlüsselt, dervonderAuthentizierungdesClientSecuritySolution-Administratorsabgeleitetwird.Der SystembasisschlüsselwirdindenneuenSRKimportiertunderstelltdenSystemblattschlüsselundalle durchihngeschütztenBerechtigungsnachweiseerneut.

6.DasSystemistnunwiederhergestellt.

Anmerkung:EinAustauschderSystemplatineistnichtnotwendig,wennderEmulationsmodusverwendet wird.

DasfolgendeDiagrammstelltdieStrukturfürdenAustauschderSystemplatineunddieÜbernahmedes Eigentumsrechtsdar:

Abbildung3.AustauschderSystemplatine-Eigentumsrechtübernehmen

BeiderAnmeldungdereinzelnenBenutzeramSystemwirdderjeweiligeBenutzerbasisschlüsselautomatisch überdenBenutzerbasis-AES-Sicherungsschlüsselentschlüsselt,dervonderBenutzerauthentizierung abgeleitetundindenneuenvomClientSecuritySolution-AdministratorerstelltenSRKimportiertwird.Das folgendeDiagrammstelltdieStrukturfürdenAustauschderSystemplatineunddieBenutzerregistrierungdar:

UmeinenSekundärbenutzeranzumelden,nachdemderInhaltdesChipsgelöschtwurdeoder nachdemSiedieSystemplatineausgetauschthaben,müssenSiesichalsMaster-Administrator anmelden.DerMaster-AdministratorwirdzumWiederherstellenderSchlüsselaufgefordert.Sobalddie WiederherstellungderSchlüsselabgeschlossenist,verwendenSiedenPolicyManager,umdieClient Security-Windows-Anmeldungzuinaktivieren.DieverbleibendenBenutzerkönnenihrejeweiligenSchlüssel wiederherstellen.SobaldalleSekundärbenutzerihrejeweiligenSchlüsselwiederhergestellthaben,kannder Master-AdministratordieClientSecuritySolution-Windows-Anmeldefunktionaktivieren.

28ClientSecuritySolution8.3Implementierungshandbuch

DasfolgendeDiagrammstelltdieStrukturfürdenAustauschderSystemplatineunddieBenutzerregistrierung

Motherboard Swap - Enroll User

Trusted Platform Module

Decrypted via derived AES Key

Storage Root Private Key

Storage Root Public Key

User Leaf Private Key

User Leaf Public Key

Windows PW AES Key

PW Manager AES Key

User Base Private Key

User Base Public Key

If Passphrase

loop n times

User PW/PP

One-Way Hash

User Base AES

Protection Key

(derived via output

of hash algorithm)

dar:

Abbildung4.AustauschderSystemplatine-Benutzerregistrieren

Schutzdienstprogramm„EFS“

ClientSecuritySolutionstellteinBefehlszeilendienstprogrammbereit,dasdenTPM-basiertenSchutzder Verschlüsselungszertikate,dievonEFS(EncryptingFileSystem)zumVerschlüsselnvonDateienund Ordnernbereitgestelltwerden,aktiviert.DiesesDienstprogrammunterstütztdieÜbertragungvonZertikaten vonDritten(voneinerZertizierungsstellegenerierteZertikate)undunterstütztzudemdasGenerierenvon selbstsigniertenZertikaten.

BeimSchutzdesEFS-ZertikatsdurchClientSecuritySolutionwirdderprivateSchlüssel,derdem EFS-Zertikatzugeordnetist,durchdasTPMgeschützt.ZugriffaufdasZertikatwirdgewährt,nachdem derBenutzersichbeiClientSecuritySolutionauthentizierthat.

WennkeinTPMverfügbarist,wirddasEFS-ZertikatunterVerwendungdesvonClientSecuritySolution bereitgestelltenTPM-Emulatorsgeschützt.SiemüssenbeiClientSecuritySolutionregistriertsein,damit EFS-ZertikatevonClientSecuritySolutiongeschütztwerdenkönnen.

Vorsicht: WennSieClientSecuritySolutionundEFS(EncryptingFileSystem)zumVerschlüsselnvonDateien undOrdnernverwenden,könnenSieimmerdann,wennClientSecuritySolutionoderdasTPMnicht verfügbarsind,nichtaufdieverschlüsseltenDateienzugreifen.

WenndasTPM(T rustedPlatformModule)nichtmehrreagiert,stelltClientSecuritySolutiondenZugriffauf dieverschlüsseltenDatenwiederher,nachdemdieSystemplatineausgetauschtwurde.

EFS-Befehlszeilendienstprogrammverwenden

DiefolgendeT abelleenthältdieBefehlszeilenparameter,dievonEFSunterstütztwerden:

Kapitel3.MitClientSecuritySolutionarbeiten29

Tabelle9.VonEFSunterstützteBefehlszeilenparameter

ParameterBeschreibung

/generate:<Größe>GenerierteinselbstsigniertesZertikatundordnetdas

ZertikatEFSzu.Wenn<Größe>angegebenist,wird derSchlüsselinderangegebenenBitgrößegeneriert. GültigsinddieWerte512,1024und2048.Wennkein WertodereinungültigerWertangegebenwird,werden standardmäßigSchlüsselmit1024Bitgeneriert.

/sn:xxxxxxGibtdieSeriennummereinesvorhandenenZertikatsan,

dasübertragenundEFSzugeordnetwerdensoll.

/cn:yyyyyyGibtdenNamen(„ausgegebenan“)einesvorhandenen

Zertikatsan,dasübertragenundEFSzugeordnet werdensoll.

/rstavail

/silent

/?oder/hoder/help

ÜberträgtdasersteverfügbarevorhandeneEFS-Zertikat undordnetesdannEFSzu.

ZeigtkeineAusgabean.Rückkehrcodeswerdenvom WertbeiBeendigungdesProgrammsbereitgestellt.

ZeigtdenHilfetextan.

WenndasDienstprogrammnichtimHintergrundausgeführtwird,gibteseinenderfolgendenFehlerzurück:

0-"Commandcompletedsuccessfully" 1-"ThisutilityrequiresWindowsXP" 2-"ThisutilityrequiresClientSecuritySolutionversion8.0" 3-"ThecurrentuserisnotenrolledwithClientSecuritySolution" 4-"Thespeciedcerticatecouldnotbef ound" 5-"Unabletogenerateaself-signedcerticate” 6-"NoEFScerticateswerefound" 7-"UnabletoassociatethecerticatewithEFS”

BeiderAusführungimHintergrundgibtdasProgrammeineFehlerebeneaus,diedenobenangezeigten Fehlernummernentspricht.

XML-Schemaverwenden

ÜberdieXML-ScripterstellungkönnenIT-AdministratorenangepassteScriptszurImplementierungund KongurationvonClientSecuritySolutionerstellen.DieScriptskönnenmitHilfederausführbarenFunktion „xml_crypt_tool“miteinemKennwortgeschütztwerden,wiez.B.beiderAES-Verschlüsselung.Nachder ErstellungakzeptiertdievirtuelleMaschine(vmserver.exe)dieScriptsalsEingabe.DievirtuelleMaschine ruftdieselbenFunktionenwiederKongurationsassistentvonClientSecuritySolutionzumKongurieren derSoftwareauf.

AlleScriptsbestehenauseinemTag,dasdenXML-Codierungstyp,dasXML-Schemaundmindestenseine auszuführendeFunktionangibt.DasSchemadientderValidierungderXML-Dateiundüberprüft,obdie erforderlichenParametervorhandensind.DieVerwendungdesSchemaswirdderzeitnichterzwungen.Jede FunktionwirdineinemFunktionstageingeschlossen.JedeFunktionenthältdieReihenfolge,inderder BefehlvondervirtuellenMaschine(vmserver.exe)ausgeführtwird.AußerdemverfügtjedeFunktionüber eineVersionsnummer;derzeithabenalleFunktionenVersion1.0.JedesderfolgendenBeispielscriptsenthält nureineFunktion.InderPraxisistesjedochwahrscheinlicher,dasseinScriptmehrereFunktionenenthält. EinsolchesScriptkannmitdemKongurationsassistentenvonClientSecuritySolutionerstelltwerden. WeitereInformationenzumErstellenvonScriptsmitdemKongurationsassistentenndenSieimAbschnitt „InstallationsassistentfürClientSecuritySolution“aufSeite41

30ClientSecuritySolution8.3Implementierungshandbuch

Anmerkung:WirdineinerFunktion,dieeinenDomänennamenerfordert,derParameter

<DOMAIN_NAME_PARAMETER>nichtangegeben,wirdderStandardcomputernamedesSystems verwendet.

Beispiele

DiefolgendenBefehlesindBeispielefürdasXML-Schema:

ENABLE_TPM_FUNCTION

DieserBefehlaktiviertdasTPMundverwendetdasArgumentSYSTEM_PAP.WennfürdasSystembereits einBIOS-Administratorkennwortfestgelegtist,mussdiesesArgumentangegebenwerden.Andernfallsist dieserBefehloptional.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment> <FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENABLE_TPM_FUNCTION</COMMAND> <VERSION>1.0</VERSION> <SYSTEM_PAP>PASSWORD</SYSTEM_PAP> </FUNCTION>

</CSSFile>

Anmerkung:DieserBefehlwirdimEmulationsmodusnichtunterstützt.

DISABLE_TPM_FUNCTION

DieserBefehlinaktiviertdasTPMundverwendetdasArgumentSYSTEM_PAP.WennfürdasSystembereits einBIOS-Administratorkennwortfestgelegtist,mussdiesesArgumentangegebenwerden.Andernfallsist dieserBefehloptional.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment <FUNCTION> <ORDER>0001</ORDER> <COMMAND>DISABLE_TPM_FUNCTION</COMMAND> <VERSION>1.0</VERSION> <SYSTEM_PAP>password</SYSTEM_PAP> </FUNCTION>

</CSSFile>

Anmerkung:DieserBefehlwirdimEmulationsmodusnichtunterstützt.

ENABLE_PWMGR_FUNCTION

MitdiesemBefehlkönnenSiedenPasswordManagerfüralleClientSecuritySolution-Benutzeraktivieren.

<?xmlversion="1.0"encoding="UTF-8"standalone="no"?>

<CSSFilexmlns="www.lenovo.com/security/CSS"> <FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENABLE_PWMGR_FUNCTION</COMMAND> <VERSION>1.0</VERSION> </FUNCTION>

</CSSFile>

Kapitel3.MitClientSecuritySolutionarbeiten31

ENABLE_CSS_GINA_FUNCTION

UnterWindowsXP,WindowsVistaundWindows7wirddieClientSecuritySolution-Anmeldungüber denfolgendenBefehlaktiviert:

-<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment <FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENABLE_CSS_GINA_FUNCTION</COMMAND> <VERSION>1.0</VERSION> </FUNCTION>

</CSSFile>

ENABLE_UPEK_GINA_FUNCTION

Anmerkungen:

1.DieserBefehlistnurfürdieThinkVantageFingerprintSoftware.

2.DieserBefehlwirdimEmulationsmodusnichtunterstützt.

DerfolgendeBefehlaktiviertdieWindows-AnmeldungüberThinkVantageFingerprintSoftwareundinaktiviert dieWindows-AnmeldungüberClientSecuritySolution.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment> <FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENABLE_UPEK_GINA_FUNCTION</COMMAND> <VERSION>1.0</VERSION> </FUNCTION>

</CSSFile>

ENABLE_UPEK_GINA_WITH_FUS_FUNCTION

Anmerkungen:

1.DieserBefehlistnurfürdieThinkVantageFingerprintSoftware.

2.DieserBefehlwirdimEmulationsmodusnichtunterstützt.

DerfolgendeBefehlaktiviertdieAnmeldungmitUnterstützungfürdieschnelleBenutzerumschaltungund inaktiviertdieWindows-AnmeldungüberClientSecuritySolution.DieschnelleBenutzerumschaltungist nichtaktiviert,wennsichderComputerineinerDomänenumgebungbendet.DieswurdevonMicrosoftso konzipiert.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment <FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENABLE_UPEK_GINA_WIH_FUS_FUNCTION</COMMAND> <VERSION>1.0</VERSION> </FUNCTION>

</CSSFile>

32ClientSecuritySolution8.3Implementierungshandbuch

ENABLE_AUTHENTEC_GINA_FUNCTION

Anmerkungen:

1.DieserBefehlgiltnurfürLenovoFingerprintSoftware.

2.DieserBefehlwirdimEmulationsmodusnichtunterstützt.

DerfolgendeBefehlaktiviertdieWindows-AnmeldungüberdasLenovoLesegerätfürFingerabdrückeund inaktiviertdieWindows-AnmeldungüberClientSecuritySolution.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment> <FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENABLE_AUTHENTEC_GINA_FUNCTION</COMMAND> <VERSION>1.0</VERSION> </FUNCTION>

</CSSFile>

ENABLE_AUTHENTEC_GINA_WITH_FUS_FUNCTION

Anmerkungen:

1.DieserBefehlgiltnurfürLenovoFingerprintSoftware.

2.DieserBefehlwirdimEmulationsmodusnichtunterstützt.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment <FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENABLE_AUTHENTEC_GINA_WIH_FUS_FUNCTION</COMMAND> <VERSION>1.0</VERSION> </FUNCTION>

</CSSFile>

ENABLE_NONE_GINA_FUNCTION

WennGINAoderderBereitstellerdesBerechtigungsnachweisesvoneinerderzugehörigenThinkVantage Technologies-Komponenten,wiez.B.ThinkVantageFingerprintSoftware,ClientSecuritySolutionoder AccessConnections,aktiviertist,wirdmitdiesemBefehldieAnmeldungbeiThinkVantageFingerprint SoftwareundbeiClientSecuritySolutioninaktiviert.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment <FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENABLE_CSS_NONE_FUNCTION</COMMAND> <VERSION>1.0</VERSION> </FUNCTION>

</CSSFile>

Kapitel3.MitClientSecuritySolutionarbeiten33

Anmerkung:DieserBefehlwirdimEmulationsmodusnichtunterstützt.

SET_PP_FLAG_FUNCTION

DieserBefehlschreibteinFlag,dasClientSecuritySolutionliest,umzubestimmen,obderClient Security-VerschlüsselungstextodereinWindows-Kennwortverwendetwerdensoll.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment <FUNCTION> <ORDER>0001</ORDER> <COMMAND>SET_PP_FLAG_FUNCTION</COMMAND> <PP_FLAG_SETTING_PARAMETER>USE_CSS_PP</PP_FLAG_SETTING_PARAMETER> <VERSION>1.0</VERSION> </FUNCTION>

</CSSFile>

Anmerkung:DieserBefehlwirdimEmulationsmodusnichtunterstützt.

SET_ADMIN_USER_FUNCTION

ÜberdiesenBefehlwirdeinFlaggeschrieben,dasvonClientSecuritySolutiongelesenwird,um festzustellen,werAdministratorist.EsgibtdiefolgendenParameter:

•USER_NAME_PARAMETER

DerBenutzernamedesAdministrators.

•DOMAIN_NAME_PARAMETER

DieDomänedesAdministrators.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment <FUNCTION> <ORDER>0001</ORDER> <COMMAND>SET_ADMIN_USER_FUNCTION</COMMAND> <USER_NAME_PARAMETER>sabedi</USER_NAME_PARAMETER> <DOMAIN_NAME_PARAMETER>IBM-2AA92582C79<DOMAIN_NAME_PARAMETER> <VERSION>1.0</VERSION> <SYSTEM_PAP>PASSWORD</SYSTEM_PAP> </FUNCTION>

</CSSFile>

Anmerkung:DieserBefehlwirdimEmulationsmodusnichtunterstützt.

INITIALIZE_SYSTEM_FUNCTION

MitdiesemBefehlwirddieClientSecuritySolution-Systemfunktioninitialisiert.DiesystemweitenSchlüssel werdenüberdiesenFunktionsaufrufgeneriert.InderfolgendenParameterlistesinddieeinzelnenFunktionen erklärt:

•NEW_OWNER_AUTH_DATA_PARAMETER

MitdiesemParameterwirddasneueEignerkennwortfürdasSystemfestgelegt.Fürdasneue EignerkennwortwirdderWertfürdiesenParametervomaktuellenEignerkennwortgesteuert.Ist keinaktuellesEignerkennwortfestgelegt,wirdderWertindiesemParametergeladenundalsneues Eignerkennwortverwendet.WenndasaktuelleEignerkennwortbereitsfestgelegtistundderAdministrator dasselbeaktuelleEignerkennwortverwendet,wirdderWertindiesemParametergeladen.Wennder

34ClientSecuritySolution8.3Implementierungshandbuch

AdministratoreinneuesEignerkennwortverwendet,wirddasneueEignerkennwortindiesemParameter geladen.

•CURRENT_OWNER_AUTH_DATA_PARAMETER

DieserParameteristdasaktuelleEignerkennwortdesSystems.WenndasSystembereitsüberein Eignerkennwortverfügt,solltedieserParamaterdasvorherigeKennwortladen.Wenneinneues Eignerkennwortangefordertwird,wirddasaktuelleEignerkennwortindiesemParametergeladen.Wenn keineÄnderungdesKennwortskonguriertist,wirdderWertNO_CURRENT_OWNER_AUTHgeladen.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment <FUNCTION> <ORDER>0001</ORDER> <COMMAND>INITIALIZE_SYSTEM_FUNCTION</COMMAND> <NEW_OWNER_AUTH_DATA_PARAMETER>pass1word</NEW_OWNER_AUTH_DATA_ PARAMETER> <CURRENT_OWNER_AUTH_DATA_PARAMETER>No_CURRENT_OWNER_AUTH</CURRENT _OWNER_AUTH_DATA_PARAMETER> <VERSION>1.0</VERSION> </FUNCTION>

</CSSFile>

CHANGE_TPM_OWNER_AUTH_FUNCTION

MitdiesemBefehlwirddieClientSecuritySolution-Administratorautorisierunggeändertunddie Systemschlüsselentsprechendaktualisiert.DiesystemweitenSchlüsselwerdenüberdiesenFunktionsaufruf erneutgeneriert.EsgibtdiefolgendenParameter:

•NEW_OWNER_AUTH_DATA_PARAMETER DasneueEignerkennwortdesTPMs(TrustedPlatformModule).

•CURRENT_OWNER_AUTH_DATA_PARAMETER DasaktuelleEignerkennwortdesTPMs(TrustedPlatformModule).

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment <FUNCTION> <ORDER>0001</ORDER> <COMMAND>CHANGE_TPM_OWNER_AUTH_FUNCTION</COMMAND> <NEW_OWNER_AUTH_DATA_PARAMETER>newPassWord</NEW_OWNER_AUTH_DATA_ PARAMETER> <CURRENT_OWNER_AUTH_DATA_PARAMETER>oldPassWord</CURRENT_OWNER_AUTH _DATA_PARAMETER> <VERSION>1.0</VERSION> </FUNCTION>

</CSSFile>

Anmerkung:DieserBefehlwirdimEmulationsmodusnichtunterstützt.

ENROLL_USER_FUNCTION

DieserBefehlregistrierteinenbestimmtenBenutzerfürdieVerwendungvonClientSecuritySolution.Diese FunktionerstelltallebenutzerspezischenSicherheitsschlüsselfüreinenangegebenenBenutzer.Esgibtdie folgendenParameter:

•USER_NAME_PARAMETER DerNamedesBenutzers,derregistriertwerdensoll.

Kapitel3.MitClientSecuritySolutionarbeiten35

•DOMAIN_NAME_PARAMETER

DerDomänennamedesBenutzers,derregistriertwerdensoll.

•USER_AUTH_DATA_PARAMETER

DerTPM-Verschlüsselungstext/dasTPM-Windows-KennwortzumErstellenderSicherheitsschlüssel fürdenBenutzer.

•WIN_PW_PARAMETER

DasWindows-Kennwort.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment <FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENROLL_USER_FUNCTION</COMMAND> <USER_NAME_PARAMETER>sabedi</USER_NAME_PARAMETER> <DOMAIN_NAME_PARAMETER>IBM-2AA92582C79<DOMAIN_NAME_PARAMETER> <USER_AUTH_DATA_PARAMETER>myCssUserPassPhrase</USER_AUTH_DATA_PARAMETER>

<WIN_PW_PARAMETER>myWindowsPassword</WIN_PW_PARAMETER> <VERSION>1.0</VERSION> </FUNCTION>

</CSSFile>

USER_PW_RECOVERY_FUNCTION

DieserBefehlkonguriertdieKennwortwiederherstellungfüreinenbestimmtenBenutzer.Esgibtdie folgendenParameter:

•USER_NAME_PARAMETER

DerNamedesBenutzers,derregistriertwerdensoll.

•DOMAIN_NAME_PARAMETER

DerDomänennamedesBenutzers,derregistriertwerdensoll.

•USER_PW_REC_QUESTION_COUNT

DieAnzahlderFragen,diederBenutzerbeantwortenmuss.

•USER_PW_REC_ANSWER_DATA_PARAMETER

DiegespeicherteAntwortaufeinebestimmteFrage.DertatsächlicheNamediesesParametersistmit einerNummerentsprechendderzubeantwortendenFrageverknüpft.

•USER_PW_REC_STORED_PASSWORD_PARAMETER

DasgespeicherteKennwort,dasangezeigtwird,wennderBenutzeralleFragenrichtigbeantwortethat.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment <FUNCTION> <ORDER>0001</ORDER> <COMMAND>USER_PW_RECOVERY_FUNCTION</COMMAND> <USER_NAME_PARAMETER>sabedi</USER_NAME_PARAMETER> <DOMAIN_NAME_PARAMETER>IBM-2AA92582C79<DOMAIN_NAME_PARAMETER> <USER_PW_REC_ANSWER_DATA_PARAMETER>Test1</USER_PW_REC_ANSWER_DATA_PARA METER> <USER_PW_REC_ANSWER_DATA_PARAMETER>Test2</USER_PW_REC_ANSWER_DATA_PARA METER> <USER_PW_REC_ANSWER_DATA_PARAMETER>Test3</USER_PW_REC_ANSWER_DATA_PARA METER>

36ClientSecuritySolution8.3Implementierungshandbuch

<USER_PW_REC_QUESTION_COUNT>3</USER_PW_REC_QUESTION_COUNT> <USER_PW_REC_QUESTION_LIST>20000,20001,20002</USER_PW_REC_QUESTION_LIST> </USER_PW_REC_STORED_PASSWORD_PARAMETER>Pass1word</USER_PW_REC_STORED_PASS WORD_PARAMETER> <VERSION>1.0</VERSION> </FUNCTION>

</CSSFile>

GENERATE_MUL TI_FACTOR_DEVICE_FUNCTION

MitdiesemBefehlwerdenMehrfacheinheitenvonClientSecuritySolutiongeneriert,diezurAuthentizierung verwendetwerden.EsgibtdiefolgendenParameter:

•USER_NAME_PARAMETER-DerBenutzernamedesAdministrators.

•DOMAIN_NAME_PARAMETER-DerDomänennamedesAdministrators.

•MUL TI_FACTOR_DEVICE_USER_AUTH-DerVerschlüsselungstextoderdasWindows-Kennwortzur ErstellungderSicherheitsschlüsseldesBenutzers.

<?xmlversion="1.0"encoding="UTF-8"standalone="no"?>

<CSSFile=xmlns="www.ibm.com/security/CSS"> <FUNCTION> <ORDER>0001</ORDER> <COMMAND>GENERATE_MULTI_FACTOR_DEVICE_FUNCTION</COMMAND> <USER_NAME_PARAMETER>myUserName</USER_NAME_PARAMETER> <DOMAIN_NAME_PARAMETER>domainName</DOMAIN_NAME_PARAMETER> <MULTI_FACTOR_DEVICE_USER_AUTH>myCssUserPassPhrase</MUL TI_FACTOR_DEVICE_USER_AUTH> <VERSION>1.0</VERSION> </FUNCTION>

</CSSFile>

SET_USER_AUTH_FUNCTION

MitdiesemBefehlwirddieClientSecuritySolution-Benutzerauthentizierungkonguriert.

<?xmlversion="1.0"encoding="UTF-8"standalone="no"?> <CSSFile=xmlns="www.ibm.com/security/CSS"> <FUNCTION> <ORDER>0001</ORDER> <COMMAND>SET_USER_AUTH_FUNCTION</COMMAND> <VERSION>1.0</VERSION> </FUNCTION>

</CSSFile>

RSASecurID-T okenverwenden

DurchNutzungderVerschlüsselungsalgorithmus-MethodezumVerschlüsselnvonDatenstelltdie VerwendungvonRSA-SecurID-TokenzusätzlichzuClientSecuritySolutionIhremUnternehmenmehrfache SicherheitzurVerfügung.BeiVerwendungvonRSA-SecurID-T okenauthentizierensichBenutzerbeiNetzen undSoftwareunterVerwendungihrerBenutzer-IDoderPINundeinerTokeneinheit.DieTokeneinheitzeigt eineZeichenfolgeausZiffernan,diesichalle60Sekundenändert.DieseAuthentizierungsmethodebietet einevielzuverlässigereEbenederBenutzerauthentizierungalswiederverwendbareKennwörter.

RSASecurID-Software-Tokeninstallieren

GehenSiewiefolgtvor,umdieSoftware„RSASecurID“zuinstallieren:

1.RufenSiediefolgendeWebadresseauf: http://www.rsasecurity.com/node.asp?id=1156

2.FührenSiedenRegistrierungsprozessdurch.

3.LadenSiedieSoftware„RSASecurID“herunter,undinstallierenSiesie.

Kapitel3.MitClientSecuritySolutionarbeiten37

Anforderungen

1.JederWindows-BenutzermussbeiClientSecuritySolutionregistriertsein,damitdieRSA-Software ordnungsgemäßfunktioniert,nachdemsieClientSecuritySolutionzugeordnetwurde.

2.DieRSA-SoftwaregerätbeimVersuchderRegistrierungmiteinemnichtbeiClientSecuritySolution registriertenWindows-BenutzerineineEndlosschleife.RegistrierenSiedenBenutzerbeiClientSecurity Solution,umdiesenFehlerzubeheben.

Smart-Card-Zugriffsoptionenfestlegen

GehenSiewiefolgtvor,umdieSmart-Card-Zugriffsoptionenfestzulegen:

1.KlickenSieimHauptmenüvonRSASecurIDaufT ools(Werkzeuge)unddannaufSmartCardAccess Options(Smart-Card-Zugriffsoptionen).

2.WählenSieinderAnzeige„SmartCardCommunication“(Smart-Card-Kommunikation)dasOptionsfeld AccesstheSmartCardthroughaPKCS#11module(ÜbereinPKCS#11-ModulaufdieSmart-Card zugreifen)aus.

3.KlickenSieaufdieSchaltächeBrowse(Durchsuchen),undnavigierenSiezumfolgendenPfad:

C:\ProgramFiles\LENOVO\ClientSecuritySolution\csspkcs11.dll

4.KlickenSieaufdieDateicsspkcs11.dllundklickenSiedannaufSelect(Auswählen).

5.KlickenSieaufOK.

RSASecurID-Software-Tokenmanuellinstallieren

UmdenSchutzvonClientSecuritySolutionzusammenmitdemRSASecurIDSoftware- Tokenzunutzen, gehenSiewiefolgtvor:

1.KlickenSieimHauptmenüderSoftware„RSASecurID“aufFile(Datei)undanschließendaufImport Tokens(Tokenimportieren).

2.NavigierenSiezurPositionderSDTID-Datei,undklickenSiedannaufOpen(Öffnen).

3.HebenSieinderAnzeigeSelectToken(s)toInstall(T okenfürdieInstallationauswählen)die SeriennummerndergewünschtenSoftware-Tokenhervor.

4.KlickenSieaufTransferSelectedTokensSmartCard(Smart-CardderausgewähltenToken übertragen).

Anmerkung:WenneinTokenübereinVerteilungskennwortverfügt,gebenSieesbeientsprechender Aufforderungein.

5.KlickenSieaufOK.

ActiveDirectory-Unterstützung

BeimfolgendenPfadhandeltessichumdenVerzeichnispfadfürdasModul„PKCS#11“fürClientSecurity Solution:

C:\ProgramFiles\Lenovo\ClientSecuritySolution\csspkcs11.dll

UmdasModul„PKCS#11“vonClientSecuritySolutionzunutzen,müssendiefolgendenRichtlinienfür ActiveDirectoryfestgelegtsein:

1.PKCS#11Signature(PKCS#11-Signatur)

2.PKCS#11Decryption(PKCS#11-Entschlüsselung)

DiefolgendeT abelleenthältdasänderbareFeldunddieBeschreibungderRichtlinienfürPKCS#11:

38ClientSecuritySolution8.3Implementierungshandbuch

Tabelle10.ThinkVantage\ClientSecuritySolution\AuthenticationPolicies\PKCS#11Signature\CustomMode

FelderCSS.ADM

ÄnderbaresFeld

Feldbeschreibung

MöglicheWerte•Aktiviert

Erforderlich

Steuert,obeinKennwortodereinVerschlüsselungstext erforderlichist.

–JedesMal –Onceperlogon

•Deaktiviert

•Nichtkonguriert

EinstellungenundRichtlinienfürdieAuthentizierungüberdas LesegerätfürFingerabdrücke

ErzwungeneOptionenzumUmgehendesFingerabdrucks

DieOptionzumUmgehendesFingerabdrucksermöglichteseinemBenutzer,dieAuthentizierungüber FingerabdruckzuumgehenundeinWindows-KennwortzumAnmeldenzuverwenden.DerBenutzerkann dieseOptionbeimHinzufügeneinesneuenEintragsimPasswordManagerauswählenoderabwählen.

StandardmäßigistjedochdasUmgehendesFingerabdrucksaktiviert,auchwenndieseOptionnicht ausgewähltist.DiesermöglichtesdemBenutzer,sichbeiWindowsanzumelden,wennderSensorfür Fingerabdrückenichtfunktionsbereitist.UmdieerzwungeneOptionzumUmgehendesFingerabdruckszu inaktivieren,bearbeitenSiedenfolgendenRegistrierungsschlüssel:

[HKEY_LOCAL_MACHINE\SOFTWARE\Lenovo\ClientSecuritySolution\CSSConguration] "GinaDenyLogonDeviceNonEnrolled"=dword:00000001

WennderRegistrierungsschlüsselwieobenfestgelegtist,kannderBenutzerdieAuthentizierungüber Fingerabdrucknichtumgehen,wennderSensorfürFingerabdrückenichtfunktioniert.

ErgebnisderÜberprüfungdesFingerabdrucks

BeiderAuthentizierungüberFingerabdrucksteuertdiefolgendeRichtliniedieAnzeigederÜberprüfungdes Fingerabdrucks.

HKLM\Lenovo\TVTCommon\ClientSecuritySolution\FPSwipeResult

•FPSwipeResult=0:AlleNachrichtenwerdenangezeigt.

•FPSwipeResult=1:NurFehlernachrichtenwerdenangezeigt(Standardwert).

•FPSwipeResult=2:EswerdenkeineNachrichtenangezeigt.

Befehlszeilentools

DieFunktionenvonThinkVantageTechnologieskönnenauchlokaloderüberRemotezugriffvon IT-AdministratorendesUnternehmensüberdieBefehlszeilenschnittstelleimplementiertwerden.Die KongurationseinstellungenkönnendabeiüberdieEinstellungeneinerfernenT extdateiverwaltetwerden.

ClientSecuritySolutionverfügtüberdiefolgendenBefehlszeilentools:

•„SecurityAdvisor“aufSeite40

•„InstallationsassistentfürClientSecuritySolution“aufSeite41

Kapitel3.MitClientSecuritySolutionarbeiten39

•„ToolzurVerschlüsselungundEntschlüsselungderImplementierungsdatei“aufSeite42

•„T oolzurVerarbeitungderImplementierungsdatei“aufSeite42

•„TPMENABLE.EXE“aufSeite43

•„T oolzurÜbertragungvonZertikaten“aufSeite43

•„TPMaktivierenoderdeaktivieren“aufSeite44

SecurityAdvisor

StartenSiezumVerwendenderFunktion„SecurityAdvisor“dasProgramm„ClientSecuritySolution“,klicken SieaufdasMenüErweitertundklickenSieaufdieSchaltächeSecurityAdvisorimArbeitsbereichvon ClientSecuritySolution.DasSystemwirddieDatei„wst.exe“ausführen,diesichfüreineStandardinstallation imVerzeichnisC:\ProgramFiles\Lenovo\CommonFiles\WST\bendet.

EsgibtdiefolgendenParameter:

Tabelle11.Parameter

ParameterBeschreibung

HardwarePasswords

PowerOnPassword

HardDrivePassword

AdministratorPassword

WindowsUsersPasswords

Kennwort

PasswordAge

PasswordNeverExpires

WindowsPasswordPolicy

MinimumPasswordLength

MaximumPasswordAge

ScreenSaver

LegtdenWertfürdasHardwarekennwortfest.Durchden Wert1wirddieserAbschnittangezeigt,durchdenWert0 wirderausgeblendet.DerStandardwertist1.

Legtfest,dasseinKennwortzumEinschaltenaktiviert wird,oderdieEinstellungwirdmarkiert.

Legtfest,dasseinKennwortfürdasFestplattenlaufwerk aktiviertwird,oderdieEinstellungwirdmarkiert.

Legtfest,dasseinAdministratorkennwortaktiviertwird, oderdieEinstellungwirdmarkiert.

LegtdenWertfürdasWindows-Benutzerkennwortfest. DurchdenWert1wirddieserAbschnittangezeigt,durch denWert0wirderausgeblendet.IstdieserParameter nichtvorhanden,wirdderAbschnittstandardmäßig angezeigt.

Legtfest,dassdasBenutzerkennwortaktiviertwird,oder dieEinstellungwirdmarkiert.

LegtdieGültigkeitsdauerdesWindows-Kennwortsfür diebetreffendeMaschinefestoderdieEinstellungwird markiert.

Legtfest,dassdieGültigkeitdesWindows-Kennwortsnie abläuft,oderdieEinstellungwirdmarkiert.

LegtdenWertfürdasWindows-Kennwortfest.Durch denWert1wirddieserAbschnittangezeigt,durchden Wert0wirderausgeblendet.IstdieserParameternicht vorhanden,wirdderAbschnittstandardmäßigangezeigt.

LegtdieKennwortlängefürdiebetreffendeMaschinefest, oderdieEinstellungwirdmarkiert.

LegtdieGültigkeitsdauerdesKennwortsfürdie betreffendeMaschinefest,oderdieEinstellungwird markiert.

LegtdenWertfürdenBildschirmschonerfest.Durch denWert1wirddieserAbschnittangezeigt,durchden Wert0wirderausgeblendet.IstdieserParameternicht vorhanden,wirdderAbschnittstandardmäßigangezeigt.

40ClientSecuritySolution8.3Implementierungshandbuch

Tabelle11.Parameter(Forts.)

ParameterBeschreibung

ScreenSaverPasswordSet

ScreenSaverTimeout

FileSharing

AuthorizedAccessOnly

ClientSecurityLegtdenWertfürClientSecurityfest.DurchdenWert1

EmbeddedSecurityChipLegtfest,dassderSicherheitschipaktiviertwird,oder

ClientSecuritySolutionLegtdieVersionvonClientSecuritySolutionfürdie

Legtfest,dassderBildschirmschonerkennwortgeschützt ist,oderdieEinstellungwirdmarkiert.

LegtdasZeitlimitfürdenBildschirmschonerfürdie betreffendeMaschinefest,oderdieEinstellungwird markiert.

LegtdenWertfürgemeinsamenDateizugrifffest.Durch denWert1wirddieserAbschnittangezeigt,durchden Wert0wirderausgeblendet.IstdieserParameternicht vorhanden,wirdderAbschnittstandardmäßigangezeigt.

Legtfest,dassfürdengemeinsamenDateizugriffeine entsprechendeBerechtigungerforderlichist,oderdie Einstellungwirdmarkiert.

wirddieserAbschnittangezeigt,durchdenWert0wirder ausgeblendet.IstdieserParameternichtvorhanden,wird derAbschnittstandardmäßigangezeigt.

dieEinstellungwirdmarkiert.

betreffendeMaschinefest,oderdieEinstellungwird markiert.

InstallationsassistentfürClientSecuritySolution

DerInstallationsassistentfürClientSecuritySolutionwirdverwendet,umüberXML-Dateien Implementierungsscriptszuerstellen.MitHilfedesfolgendenBefehlskönnendieverschiedenenFunktionen desAssistentenangezeigtwerden:

"C:\ProgramFiles\Lenovo\ClientSecuritySolution\css_wizard.exe"/?

DiefolgendeT abelleenthältdieBefehlefürdenInstallationsassistentenfürClientSecuritySolution.

Tabelle12.BefehlefürdenInstallationsassistentenfürClientSecuritySolution

ParameterErgebnis

/hoder/?

/name:DATEINAMEStehtvordemvollständigqualiziertenPfadunddem

/encryptVerschlüsseltdieScriptdateidurchAES-Verschlüsselung.

ZeigtdasFeldmitHilfenachrichtenan.

DateinamendergeneriertenImplementierungsdatei.Die DateiweistdieErweiterung.xmlauf.

DerDateinamewirdnachderVerschlüsselungmit derErweiterung.enchinzugefügt.WennderBefehl /passnichtverwendetwird,wirdeinstatischer Verschlüsselungstextverwendet,umdieDateiunkenntlich zumachen.

Kapitel3.MitClientSecuritySolutionarbeiten41

Tabelle12.BefehlefürdenInstallationsassistentenfürClientSecuritySolution(Forts.)

ParameterErgebnis

/pass:StehtvordemVerschlüsselungstextzumSchutzder

verschlüsseltenImplementierungsdatei.

/novalidate

InaktiviertdieÜberprüfungsfunktionenfürdas KennwortundfürdenVerschlüsselungstextdes Assistenten,sodasseineScriptdateiaufeinerbereits konguriertenMaschineerstelltwerdenkann.Zum BeispielistdasAdministratorkennwortfürdieaktuelle Maschinemöglicherweisenichtdasgewünschte KennwortfürdasgesamteUnternehmen.MitdemBefehl /novalidatekönnenSieeinanderesAdministratorkennwort eingeben(inderGUIvoncss_wizardwährendder Erstellungderxml-Datei).

Beispiel:

css_wizard.exe/encrypt/pass:mysecret/name:C:\DeployScript/novalidate

ToolzurVerschlüsselungundEntschlüsselungder Implementierungsdatei

DiesesTooldientzumVerschlüsselnundEntschlüsselnderXML-ImplementierungsdateienvonClient Security.MitHilfedesfolgendenBefehlskönnendieverschiedenenFunktionendesToolsangezeigtwerden:

"C:\ProgramFiles\Lenovo\ClientSecuritySolution\xml_crypt_tool.exe"/?

DieParameterwerdeninderfolgendenTabelleangezeigt:

Tabelle13.ParameterzumVerschlüsselnoderEntschlüsselnderClientSecurity-XML-Implementierungsdateien

ParameterErgebnisse

/hoder/?

FILENAME

/encryptoder/decrypt

PASSPHRASE

ZeigtdieHilfenachrichtan.

ZeigtdenPfadnamenunddenDateinamenmitder Erweiterung.xmloder.encan.

Wählt/encryptfürXML-Dateienund/decryptfür ENC-Dateienaus.

ZeigtdenoptionalenParameteran,dererforderlichist, wenneinVerschlüsselungstextverwendetwird,umdie Dateizuschützen.

Beispiele:

xml_crypt_tool.exe"C:\DeployScript.xml"/encrypt"mysecret"

und

xml_crypt_tool.exe"C:\DeployScript.xml.enc"/decrypt"mysecret"

ToolzurVerarbeitungderImplementierungsdatei

MitdemTool„vmserver.exe“werdendieXML-ImplementierungsscriptsvonClientSecuritySolution verarbeitet.MitHilfedesfolgendenBefehlskönnendieverschiedenenFunktionendesAssistentenangezeigt werden:

"C:\ProgramFiles\Lenovo\ClientSecuritySolution\vmserver .exe"/?

DiefolgendeTabelleenthältdieParameterfürdieDateiverarbeitung.

42ClientSecuritySolution8.3Implementierungshandbuch

Tabelle14.ParameterfürDateiverarbeitung

ParameterErgebnis

FILENAMEDerParameterFILENAMEmussdieDateierweiterung.xml

oder.encaufweisen.

PASSPHRASEDerParameterPASSPHRASEdientzumEntschlüsseln

einerDateimitderErweiterung.enc.

Beispiel:

Vmserver.exeC:\DeployScript.xml.enc"mysecret"

TPMENABLE.EXE

DieDatei„tpmenable.exe“dientzumEin-undAusschaltendesSicherheitschips.

Tabelle15.ParameterfürdieDatei„tpmenable.exe“

ParameterBeschreibung

/enableoder/disableZumEin-oderAusschaltendesSicherheitschips

/quiet

sp:Kennwort

ZumAusblendenvonEingabeaufforderungenfürdas BIOS-KennwortodervonFehlermeldungen.

VerwendenSieunterWindows2000undXPfürdas BIOS-Administrator-bzw.-Supervisor-Kennwortkeine doppeltenAnführungszeichenvorundnachdem Kennwort.

Beispiel:

tpmenable.exe/enable/quiet/sp:MyBiosPW

ToolzurÜbertragungvonZertikaten

DiefolgendeTabelleenthältBefehlszeilenschalterdesToolszurÜbertragungvonZertikatenfürClient SecuritySolution:

Tabelle16.css_cert_transfer_tool.exe<Zertikatsspeichertyp><Filtertyp>:<Name|Größe>|all_access|usage

ParameterBeschreibung

<Zertikatsspeichertyp>

Beispiele:

cert_store_user

cert_store_machine

cert_store_all

DiesistderersteerforderlicheParameter.ErmussalsersterSchalter verwendetwerdenundeinesderfolgendenBeispieleenthalten:

ÜberträgtnurBenutzerzertikate.Benutzerzertikatesind demaktuellenBenutzerzugeordnet.

ÜberträgtnurMaschinenzertikate.Maschinenzertikate könnenvonallenberechtigtenBenutzernaufeinerMaschine verwendetwerden.

ÜberträgtsowohlBenutzer-alsauchMaschinenzertikate.

Kapitel3.MitClientSecuritySolutionarbeiten43

Tabelle16.css_cert_transfer_tool.exe<Zertikatsspeichertyp><Filtertyp>:<Name|Größe>|all_access|usage(Forts.)

ParameterBeschreibung

Beispiele:

DiefolgendenbeidenSchaltersindeigenständig,sieweisenkeinzweitesArgumentauf:

all_access

usage

subject_simple_name:<Name>

subject_friendly_name:<Name>

issuer_simple_name:<Name>

issuer_friendly_name:<Name>

key_size:<Größe>

ÜberträgtalleZertikateungeltert.

StelltkeineInformationeninderBefehlszeilebereit,aberdieFunktion,diezumBestimmen derrichtigenVerwendungverwendetwird,gibt„true“oder„false“zurück,jenachdem,obdie eingegebenenBefehlerichtigsind.

DiesistderzweiteerforderlicheParameter.Ermussnachdem erforderlichenParameter<Zertikatsspeichertyp>verwendetwerden. AufjedenFiltertyp(außerdieuntenangegebenen)musseinDoppelpunkt (:)folgenundunmittelbaraufdenDoppelpunktmussderNamedes Zertikatsbetreffs,dieZertizierungsstelleoderdieSchlüsselgröße, nachdem/dergesuchtwird,folgen.BeidiesemDienstprogramm mussdieGroß-/Kleinschreibungbeachtetwerden.WennderName, nachdemSiesuchen,einzusammengesetzterNameist,z.B.„Name derZertizierungsstelle“,müssenSiedasSuchkritieriumindoppelte Anführungszeichen(„“)setzen(sieheBeispiele).

ÜberträgtalleZertikate,diedemNamenentsprechen,auf dendasZertikatausgestelltist,wobeiderBetreffname „<Name>“lautet.

ÜberträgtalleZertikate,diedemAnzeigenamen entsprechen,aufdendasZertikatausgestelltist,wobei derAnzeigename„<Name>“lautet.

ÜberträgtalleZertikate,diedemNamender Zertizierungsstelleentsprechen,diesieausgestellthat, wobeiderNamederZertizierungsstelle„<Name>“lautet.

ÜberträgtalleZertikate,diedemAnzeigenamender Zertizierungsstelleentsprechen,diesieausgestellthat, wobeiderAnzeigenamederZertizierungsstelle„<Name>“ lautet.

ÜberträgtalleZertikatediemitderSchlüsselgröße „<Größe>“inBitverschlüsseltsind.BeachtenSie,dass essichhierbeiumeinexaktesÜbereinstimmungskriterium handelt.DasProgrammsuchtnichtnachZertikaten,die miteinerSchlüsselgrößeverschlüsseltsind,diedieser Größemindestensoderhöchstensentspricht.

TPMaktivierenoderdeaktivieren

GehenSiebeidenThinkPad-Notebook-ComputermodellenX200,T400,T500undneueren ThinkPad-Notebook-Computermodellen(z.B.T410oderT420)wiefolgtvor,umdasTPMzuaktivieren:

1.RufenSiediefolgendeWebsiteauf: http://support.lenovo.com/en_US/detail.page?LegacyDocID=MIGR-68488

2.KlickenSieaufSampleScriptsforBIOSDeploymentGuide(Beispiel-Scriptsfür BIOS-Bereitstellungshandbuch),umdieDatei„script.zip“herunterzuladen.ExtrahierenSiedanndie ZIP-Datei.

3.GebenSieimBefehlszeilenfenstercscript.exeSetCong.vbsSecurityChipActiveein,umdieDatei „SetCong.vbs“auszuführen.

4.StartenSieIhrenComputererneut.

Anmerkung:BeidenThinkPad-Notebook-ComputermodellenT400oderT410müssenSiedenComputer zweimalneustarten,umdasTPMzuaktivieren.

44ClientSecuritySolution8.3Implementierungshandbuch

GehenSiebeiDesktop-Computernwiefolgtvor,umdasTPMzuaktivieren:

1.RufenSiediefolgendeWebsiteauf: http://support.lenovo.com/en_US/detail.page?LegacyDocID=MIGR-75407

2.KlickenSieaufVisualBasicsamplescriptstousewhenconguringBIOSsettings(Beim KongurierenvonBIOS-EinstellungenzuverwendendeVisualBasic-Beispiel-Scripts),umdieDatei „sample_script_m90.zip“herunterzuladen.ExtrahierenSiedanndieZIP-Datei.

3.GebenSieimBefehlszeilenfenstercscript.exeSetCong.vbsSecurityChipActiveein,umdieDatei „SetCong.vbs“auszuführen.

4.StartenSieIhrenComputererneut.

BeiallenThinkStation-Desktop-ComputermodellenundThinkPad-Notebook-Computermodellen vorT400(z.B.T61)aktivierenSiedasTPMmithilfedesTPM-AktivierungstoolsoderderDatei „css_manage_vista_tpm.exe“.

TPM-Aktivierungstoolverwenden(WindowsXP)

DieDatei„tpm_activate_cmd.exe“wirdverwendet,umdasTPMunterWindowsXP-Betriebssystemenzu aktivierenoderzudeaktivieren.

Anmerkung:ZumAusführendiesesToolsmüssenSieüberAdministratorberechtigungverfügen.Vordem AusführendiesesT oolsmüssendiedieaktuellenSMBios-undSMBus-Treiberinstallieren.

Tabelle17.ParameterzumAktivierenoderInaktivierendesTPMaufdemLenovoSystem

ParameterBeschreibung

/helpor/?

/biospw:KennwortGibtdasBIOS-Supervisor-oder-Administratorkennwort

/deactivate

/verbose

ZeigtdieParameterlistean.

an,wenneinesexportiertist.

InaktiviertdasTPM. Anmerkung:WennSiedieDatei„tpm_activate_cmd.exe“ ohnedenParameter/deactivateausführen,wirddas TPMstandardmäßigaktiviert.

ZeigteineTextausgabean.

Beispiel:

tpm_activate_cmd.exe/? tpm_activate_cmd.exe/verbose tpm_activate_cmd.exe/biospw:pass

DieDatei„css_manage_vista_tpm.exe“verwenden(WindowsVistaoderWindows7)

DieDatei„css_manage_vista_tpm.exe“wirdverwendet,umdasTPMunterWindowsVistaoderWindows 7-Betriebssystemenzuaktivieren,aufdenenClientSecuritySolutioninstalliertist.

Anmerkung:ZumAusführendiesesToolsmüssenSieüberAdministratorberechtigungverfügen.

css_manage_vista_tpm.exe[/verbose][/showinfo|/getstate|setstate:<state>]

wobei

/verbosezeigtdieTextausgabean.DieStandardeinstellungistdieOperationimHintergrund.

/showinf ozeigtdieTPM-Informationenan,z.B.denHersteller,dieFirmwareversion,dasphysische

VorhandenseinunddieSchnittstellenversion.

Kapitel3.MitClientSecuritySolutionarbeiten45

/getstatezeigtdenaktuellenTPM-Statusan.DasTPMverfügtüberdiefolgendenStatustypen:

•Enabled(Aktiviert)

•Disabled(Deaktiviert)

•Activated(Aktiviert)

•Deactivated(Deaktiviert)

•Owned(inEigentum)

•Notowned(nichtinEigentum)

/setstate:<Status>legtdenvonIhnenbevorzugtenTPM-Statustypfest.0stellt„disabledanddeactivated“ (ausgeschaltetunddeaktiviert)dar.1stellt„enabled“(eingeschaltet)dar.2stellt„activated“(aktiviert)dar. 4stellt„owned“(inEigentum)dar.SiekönnendieFunktionzumHinzufügenverwenden(d.h.bitweises ODER),ummehreregültigeStatusfestzulegen.

ZumBeispiel:

css_manage_vista_tpm.exe/verbose/setstate:0legtdenTPM-Statusauf„disabledanddeactivated“ (ausgeschaltetunddeaktiviert)fest.

css_manage_vista_tpm.exe/verbose/setstate:1legtdenTPM-Statusauf„enabled“(eingeschaltet)fest.

css_manage_vista_tpm.exe/verbose/setstate:2legtdenTPM-Statusauf„activated“(aktiviert)fest.

css_manage_vista_tpm.exe/verbose/setstate:3legtdenTPM-Statusauf„enabledandactivated“

(eingeschaltetundaktiviert)fest.

Anmerkung:

•ZudengültigenTPM-StatustypengehörenfolgendeT ypen:

–Enabled(Aktiviert) –Deaktiviert –Activated(Aktiviert) –Deactivated(Deaktiviert) –Enabledandactivated(Eingeschaltetundaktiviert) –Disabledanddeactivated(Ausgeschaltetunddeaktiviert)

•ZudengültigenTPM-StatusübertragungengehörtFolgendes:

–Disabled->Enabled(Ausgeschaltet->Eingeschaltet) –Disabled->Enabledandactivated(Ausgeschaltet->Eingeschaltetundaktiviert) –Enabled->Disabled(Eingeschaltet->Ausgeschaltet) –Enabled->Enabledandactivated(Eingeschaltet->Eingeschaltetundaktiviert) –Enabledandactivated->Disabled(Eingeschaltetundaktiviert->Ausgeschaltet) –Enabledandactivated->Disabledanddeactivated(Eingeschaltetundaktiviert->Ausgeschaltet

unddeaktiviert)

ActiveDirectory-Unterstützung

ActiveDirectoryisteinVerzeichnisservice.DasVerzeichnisbendetsichdort,woInformationenzu BenutzernundRessourcengespeichertwerden.DerVerzeichnisserviceermöglichtdenZugriffaufdiese Ressourcen,sodasssieverwaltetwerdenkönnen.

46ClientSecuritySolution8.3Implementierungshandbuch

ActiveDirectorystellteinenMechanismusfürAdministratorenbereit,mitdessenHilfeComputer,Gruppen, Benutzer,Domänen,SicherheitsrichtlinienundalleArtenvonbenutzerdeniertenObjektenverwaltetwerden können.DervonActiveDirectorydazuverwendeteMechanismuswirdals„GroupPolicy“(Gruppenrichtlinie) bezeichnet.MitHilfevonGruppenrichtlinienkönnenAdministratorenEinstellungendenieren,dieauf ComputeroderBenutzerinderDomäneangewendetwerdenkönnen.

InThinkVantageT echnologies-ProduktenwirdderzeiteineVielzahlvonMethodenzumZusammenstellenvon EinstellungenzumSteuernderProgrammeinstellungenverwendet,wiez.B.dasLesenausbestimmten anwendungsdeniertenEinträgeninderRegistrierungsdatenbank.

BeidenfolgendenBeispielenhandeltessichumEinstellungen,dieActiveDirectoryfürClientSecurity Solutionverwaltenkann:

•Sicherheitsrichtlinien.

•AngepassteSicherheitsrichtlinien,z.B.dieVerwendungeinesWindows-KennwortsodereinesClient SecuritySolution-Verschlüsselungstexts.

ADM-Schablonendateien

EineADM-SchablonendateideniertdievonAnwendungenaufClientcomputernverwendeten Richtlinieneinstellungen.BeiRichtlinienhandeltessichumbestimmteEinstellungen,diedas Anwendungsverhaltenregeln.Richtlinieneinstellungendenierenzudem,obderBenutzerüberdie AnwendungbestimmteEinstellungenvornehmendarf.

VoneinemAdministratoraufdemServerdenierteEinstellungenwerdenals„Richtlinien“bezeichnet. Einstellungen,dievoneinemBenutzeraufdemClient-ComputerfüreineAnwendungvorgenommenwerden, werdenals„Benutzereinstellungen“bezeichnet.WievonMicrosofthabenRichtlinieneinstellungenVorrang vorBenutzereinstellungen.

EinBenutzerkannz.B.einHintergrundbildaufseinemDesktopspeichern.Hierbeihandeltessichumeine Benutzereinstellung.EinAdministratorkannnunz.B.eineEinstellungaufdemServervornehmen,die vorgibt,dassderBenutzereinbestimmtesHintergrundbildverwendenmuss.DieRichtlinieneinstellungdes AdministratorssetztdieBenutzereinstellungaußerKraft.

WenneinThinkVantageTechnology-ProdukteineÜberprüfungaufeineEinstellungvornimmt,suchtesin derfolgendenReihenfolgenachderEinstellung:

•Computerrichtlinien

•Benutzerrichtlinien

•Standardbenutzerrichtlinien

•Computereinstellungen

•Benutzereinstellungen

•Standardbenutzereinstellungen

Wiezuvorbeschrieben,werdenComputer-undBenutzerrichtlinienvomAdministratordeniert.Diese EinstellungenkönnenüberdieXML-KongurationsdateioderübereineGruppenrichtlinieinActiveDirectory vorgenommenwerden.Computer-undBenutzereinstellungenwerdendurchdenBenutzerüberOptionen indenAnwendungsschnittstellenvorgenommen.Standardbenutzereinstellungenwerdendurchdas XML-Kongurationsscriptvorgenommen.BenutzeränderndieseWertenichtdirekt.DievoneinemBenutzer andiesenEinstellungenvorgenommenenÄnderungenwerdenindenBenutzereinstellungenaktualisiert.

Kunden,dieActiveDirectorynichtverwenden,könneneinenStandardsatzvonRichtlinieneinstellungen, dieaufdenClientsystemenimplementiertwerdensollen,erstellen.Administratorenkönnen

Kapitel3.MitClientSecuritySolutionarbeiten47

XML-Kongurationsscriptsändernundangeben,dassdiesebeiderInstallationdesProduktsverarbeitet werdensollen.

EinfachzuverwaltendeEinstellungendenieren

ImfolgendenBeispielwerdenEinstellungenimEditorfürGruppenrichtliniengezeigt,dieunterVerwendung derfolgendenHierarchievorgenommenwurden:

ComputerConguration>AdministrativeT emplates>ThinkVantageTechnologies> ClientSecuritySolution>AuthenticationPolicies>MaxRetries> Passwordnumberofretries

DieADM-Dateiengebenan,anwelcherStelleinderRegistrierungsdatenbankdieEinstellungengespeichert werden.DieseEinstellungenbendensichindenfolgendenVerzeichnisseninderRegistrierungsdatenbank:

Computerpolicies: HKLM\Software\Policies\Lenovo\ClientSecuritySolution\ Userpolicies: HKCU\Software\Policies\Lenovo\ClientSecuritySolution\ Def aultuserpolicies: HKLM\Software\Policies\Lenovo\ClientSecuritySolution\Userdef aults Computerpreferences: HKLM\Software\Lenovo\ClientSecuritySolution\ Userpreferences: HKCU\Software\Lenovo\ClientSecuritySolution\ Def aultuserpref erences: HKLM\Software\Lenovo\ClientSecuritySolution\Userdef aults

EinstellungenfürGruppenrichtlinien

IndenT abellenindiesemAbschnittwerdendieRichtlinieneinstellungenfürdieComputerkongurationund dieBenutzerkongurationfürClientSecuritySolutionangezeigt.

MaximaleAnzahlderWiederholungsversuche

InderfolgendenT abellesinddieRichtlinieneinstellungenfürdiemaximaleAnzahlderWiederholungsversuche beiAuthentizierungsrichtlinienangegeben.

Tabelle18.ComputerConguration➙ThinkVantage➙ClientSecuritySolution➙Authenticationpolicies➙ Maxretries

Aktivierte

Richtlinie

Passwordnumberof retries

Passphrasenumberof retries

EinstellungBeschreibung

Maximumnumber ofretriesis20.

SteuertdiemaximaleAnzahlderWiederholungsversuche,dieein BenutzerbeiderAuthentizierungmiteinemWindows-Kennworthat, bevordieRichtliniezumAußerkraftsetzeneinsetzt.

SteuertdiemaximaleAnzahlderWiederholungsversuche, dieeinBenutzerbeiderAuthentizierungmiteinemClient Security-Verschlüsselungstexthat,bevordieRichtliniezum Außerkraftsetzeneinsetzt.

SichererModus

InderfolgendenT abellesinddieRichtlinieneinstellungenfürdensicherenModusfür Authentizierungsrichtlinienangegeben.

48ClientSecuritySolution8.3Implementierungshandbuch

Tabelle19.ComputerConguration➙Administrativetemplates➙ThinkVantage➙ClientSecuritySolution➙ Authenticationpolicies➙Securemode

RichtlinieAktivierteEinstellungenBeschreibung

Kennwort

Verschlüsselungstext

Fingerprint

AußerKraftsetzenFestlegungzumAußerkraftsetzendesKennworts,

SiekönnenalsHäugkeitentwederEverytimeoder Onceperlogonfestlegen.

desVerschlüsselungstextsoderdesFingerabdrucks.

Steuert,obeinKennworterforderlichist.

Steuert,obeinVerschlüsselungstext erforderlichist.

Steuert,obeinFingerabdruck erforderlichist.

Legt „Fallback“-Authentizierungsbestimmungen fest,wenndienormaleAuthentizierung fehlschlägt.

Standardmodus

InderfolgendenT abellesinddieRichtlinieneinstellungenfürdenStandardmodusfür Authentizierungsrichtlinienangegeben.

Tabelle20.ComputerConguration➙Administrativetemplates➙ThinkVantage➙ClientSecuritySolution➙ Authenticationpolicies➙Defaultmode

RichtlinieAktivierteEinstellungenBeschreibung

Kennwort

Verschlüsselungstext

Fingerprint

AußerKraftsetzenFestlegungzumAußerkraftsetzendes

SiekönnenalsHäugkeitentwederEverytime oderOnceperlogonfestlegen.

Kennworts,desVerschlüsselungstextsoder desFingerabdrucks.

Steuert,obeinKennworterforderlichist.

Steuert,obeinVerschlüsselungstext erforderlichist.

Steuert,obeinFingerabdruck erforderlichist.

Legt „Fallback“-Authentizierungsbestimmungen fest,wenndienormaleAuthentizierung fehlschlägt.

Authentizierungsrichtlinien

DiefolgendeRichtlinienlisteenthältaktivierteEinstellungen,diedieAuthentizierungsebenejederRichtlinie denieren:

•AuthentizierungsebenederWindows-Anmeldung

•AuthentizierungsebenederSystementsperrung

•AuthentizierungsebenedesPasswordManagers

•AuthentizierungsebenederCSP-Signatur

•AuthentizierungsebenederCSP-Entschlüsselung

•AuthentizierungsebenederPKCS#11-Signatur

•AuthentizierungsebenederPKCS#11-Entschlüsselung

•AuthentizierungsebenederPKCS#11-Anmeldung

DiefolgendeT abelleenthältWerteundEinstellungenfürdieobengenanntenAuthentizierungsebenen:

Kapitel3.MitClientSecuritySolutionarbeiten49

Tabelle21.ComputerConguration➙Administrativetemplates➙ThinkVantage➙ClientSecuritySolution➙ Authenticationpolicies

RichtlinieAktivierteEinstellungenBeschreibung

Kennwort

Verschlüsselungstext

Fingerprint

AußerKraftsetzenFestlegungzumAußerkraftsetzendesKennworts,

SiekönnenalsHäugkeitentwederEverytimeoder Onceperlogonfestlegen.

desVerschlüsselungstextsoderdesFingerabdrucks.

Steuert,obeinKennworterforderlichist.

Steuert,obeinVerschlüsselungstext erforderlichist.

Steuert,obeinFingerabdruck erforderlichist.

Legt „Fallback“-Authentizierungsbestimmungen fest,wenndienormaleAuthentizierung fehlschlägt.

PasswortManager

DiefolgendeTabelleenthältRichtlinieneinstellungenfürdenPasswordManager.

Tabelle22.ComputerConguration➙ThinkVantage➙ClientSecuritySolution➙Passwordmanager

RichtlinieneinstellungBeschreibung

DisablePasswordmanager

DisableInternetExplorersupport

DisableMozillasupport

DisablesupportforWindows applications

DisableAuto-ll

DisableHotkeysupport

UseDomainltering

ProhibitedDomains

ProhibitedURLs

ProhibitedModules

Auto-llHotkey

TypeandTransferHotkey

ManageHotkey

Steuert,obderPasswordManagerbeiSystemstartgestartetwird.

Steuert,obderPasswordManagerKennwörterausdemInternetExplorer speichernkann.

Steuert,obderPasswordManagerKennwörtervonaufMozillabasierenden Browsern,einschließlichFirefoxundNetscape,speichernkann.

Steuert,obderPasswordManagerKennwörterausWindows-Anwendungen speichernkann.

Steuert,obderPasswordManagerautomatischDateninWebsitesund Windows-Anwendungeneinsetzt.

Steuert,obderPasswordManagerdieVerwendungvonDirektaufrufen fürdasEinsetzenvonDateninWebsitesundWindows-Anwendungen unterstützt.

Steuert,obderPasswordManagerWebsitesaufderBasisvonDomänen ltert.

Steuert,fürwelcheDomänenderPasswordManagerkeineKennwörter speicherndarf.

Steuert,fürwelcheURLsderPasswordManagerkeineKennwörter speicherndarf.

Steuert,fürwelcheWindows-AnwendungenderPasswordManagerkeine Kennwörterspeicherndarf.

SteuertdenDirektaufrufStrg+F2zumautomatischenEinsetzen.

SteuertdenDirektaufrufStrg+Umschalttaste+HzumEingebenund Übertragen.

SteuertdenDirektaufrufStrg+Umschalttaste+B.

UserInterface

DiefolgendeTabelleenthältRichtlinieneinstellungenfürdieBenutzerschnittstelle.

50ClientSecuritySolution8.3Implementierungshandbuch

Tabelle23.ComputerConguration➙ThinkVantage➙ClientSecuritySolution➙Userinterface

RichtlinieneinstellungBeschreibung

Fingerprintsoftwareoption

Fileencryptionoption

SecuritysettingsauditoptionOption„Securitysettings“inClientSecuritySolutionanzeigen,abblenden

Digitalcerticatetransferoption

ChangesecuritychipstatusoptionOption„Changesecuritychipstatus“inClientSecuritySolutionanzeigen,

ClearsecuritychiplockoutoptionOption„Clearsecuritychiplockout“inClientSecuritySolutionanzeigen,

Policymanageroption

Reset/ConguresettingsoptionOption„Congurationwizard“inClientSecuritySolutionanzeigen,

Passwordmanageroption

HardwarePasswordResetoption

Windowspasswordrecoveryoption

ChangeauthenticationmodeoptionOption„Changeauthenticationmode“inClientSecuritySolutionanzeigen,

Enable/disableWindowspassword recoveryoption

Enable/disablePasswordManager option

Option„Fingerprintsoftware“inClientSecuritySolutionanzeigen, abblendenoderausblenden.Standard:anzeigen.

Option„Fileencryption“inClientSecuritySolutionanzeigen,abblenden oderausblenden.Standard:anzeigen.

oderausblenden.Standard:anzeigen.

Option„Digitalcerticatetransfer“inClientSecuritySolutionanzeigen, abblendenoderausblenden.Standard:anzeigen.

abblendenoderausblenden.Standard:anzeigen.

Option„Policymanager“inClientSecuritySolutionanzeigen,abblenden oderausblenden.Standard:anzeigen.

abblendenoderausblenden.Standard:anzeigen.

Option„Passwordmanager“inClientSecuritySolutionanzeigen, abblendenoderausblenden.Standard:anzeigen.

Option„HardwarePasswordReset“inClientSecuritySolutionanzeigen, abblendenoderausblenden.Standard:anzeigen.

Option„Windowspasswordrecovery“inClientSecuritySolutionanzeigen, abblendenoderausblenden.Standard:anzeigen.

abblendenoderausblenden.Standard:anzeigen.

Option„Enable/disableWindowspasswordrecovery“inClientSecurity Solutionanzeigen,abblendenoderausblenden.Standard:anzeigen.

Option„Enable/disablePasswordManagerrecovery“inClientSecurity Solutionanzeigen,abblendenoderausblenden.Standard:anzeigen.

Workstation-Sicherheitstools

DiefolgendeT abelleenthältRichtlinieneinstellungenfürdasWorkstation-Sicherheitstool.

Tabelle24.ComputerConguration➙ThinkVantage➙ClientSecuritySolution➙Workstationsecuritytool

RichtlinieEinstellungBeschreibung

HardwarePasswordsHardwarePasswords

HardwarePasswords

HardwarePasswordsHardDrivePassword

HardwarePasswordsAdministratorPassword

Power-OnPasswordWählenSiealsempfohlenenWert„enable“oder„disable“

DieAnzeigevonHardwarekennwortinformationen aktivierenoderinaktivieren.

aus,oderwählenSieaus,dassdieseEinstellungignoriert werdensoll.

WählenSiealsempfohlenenWert„enable“oder„disable“ aus,oderwählenSieaus,dassdieseEinstellungignoriert werdensoll.

Kapitel3.MitClientSecuritySolutionarbeiten51

Tabelle24.ComputerConguration➙ThinkVantage➙ClientSecuritySolution➙Workstationsecuritytool(Forts.)

RichtlinieEinstellungBeschreibung

WindowsUsers Passwords

WindowsPassword Policy

ScreenSaverScreenSaver

ScreenSaverScreenSaverpasswordset

ScreenSaverScreenSavertimeoutEinstellungfürdiemaximaleGültigkeitsdauerdes

FileSharingFileSharing

FileSharing

ClientSecurityClientSecurityDieAnzeigevonInformationenzuClientSecurityaktivieren

ClientSecurityEmbeddedSecurityChipWählenSiealsempfohlenenWert„enable“oder„disable“

ClientSecurityClientSecuritySolution

WindowsUsersPasswords

Kennwort

Gültigkeitsdauerdes Kennworts

Passwordneverexpires

WindowsPasswordPolicy

Minimumnumberof charactersinthepassword

Maximumpasswordage

Authorizedaccess

Version

DieAnzeigevonWindows-Kennwortinformationen aktivierenoderinaktivieren.

WählenSiealsempfohlenenWert„enable“oder„disable“ aus,oderwählenSieaus,dassdieseEinstellungignoriert werdensoll.

MaximaleAnzahlvonT agen,währendderendasKennwort gültigist.

AlsempfohlenerWertkannTrue,FalseoderIgnore festgelegtwerden.

DieAnzeigevonRichtlinieninformationenzum Windows-Kennwortaktivierenoderinaktivieren.

DieminimaleAnzahlvonZeichenfürdasKennwortoder „Ignore“.

EinstellungfürdiemaximaleGültigkeitsdauerdes Kennworts-AnzahlderTageeingebenoderauswählen, dassdieserWertinIhrenErgebnissenignoriertwerdensoll.

DieAnzeigevonRichtlinieninformationenzum Windows-Kennwortaktivierenoderinaktivieren.

DieminimaleAnzahlvonZeichenfürdasKennwortoder „Ignore“.

Kennworts-AnzahlderTageeingebenoderauswählen, dassdieserWertinIhrenErgebnissenignoriertwerdensoll.

DieAnzeigevonInformationenzurgemeinsamenNutzung vonDatenaktivierenoderinaktivieren.

AlsempfohlenerWertkannTrue,FalseoderIgnore festgelegtwerden.

oderinaktivieren.

aus,odergebenSiean,dassdieseEinstellungignoriert werdensoll.

LegenSiedieempfohleneMindestversionvonClient SecuritySolutionfestoderlegenSieIgnorefest.

52ClientSecuritySolution8.3Implementierungshandbuch

Kapitel4.MitThinkVantageFingerprintSoftwarearbeiten

DieFingerprintConsolemussvomInstallationsordnerderThinkVantageFingerprintSoftwareausausgeführt werden.DiegrundlegendeSyntaxlautetFPRCONSOLE[USER|SETTINGS].DerBefehl„user“oder „settings“gibtan,welcherOperationsmodusverwendetwird.DervollständigeBefehllautetdann „fprconsoleuseraddTestUser“.WennderBefehlnichtbekanntistodernichtalleParameterangegeben sind,wirddieKurzbefehllistezusammenmitdenParameternangezeigt.

DieThinkVantageFingerprintSoftware,Installationsanweisungen,dieManagementkonsolesowie ReferenzliteratursindaufderfolgendenWebsiteverfügbar: http://www.lenovo.com/support

Managementkonsolentool

DieserAbschnittenthältInformationenzubenutzerspezischenBefehlenundzuBefehlenfürglobale Einstellungen.

BenutzerspezischeBefehle

ZumRegistrierenundBearbeitenvonBenutzernwirdderAbschnittUSERverwendet.Wennderaktuelle BenutzernichtüberAdministratorberechtigungverfügt,richtetsichdasVerhaltenderKonsolenachdem SicherheitsmodusderFingerprintSoftware.ImsicherenModussindkeineBefehlezulässig.Imkomfortablen ModuskönnenStandardbenutzerdieBefehleADD,EDITundDELETEausführen.DerBenutzerkann jedochnurdasihmzugeordneteKennwort(dasmitseinemBenutzernamenregistriertist)ändern.Die Syntaxlautetwiefolgt:

FPRCONSOLEUSERcommand

DabeistehtcommandfüreinenderfolgendenBefehle:ADD,EDIT,DELETE,LIST,IMPORT,EXPORT.

Tabelle25.BenutzerspezischeBefehle

BefehlSyntaxBeschreibung

NeuenBenutzerregistrieren

Example:

fprconsoleuseradd domain0\testuser

fprconsoleuseradd testuser

RegistriertenBenutzer bearbeiten

Example:

fprconsoleuseredit domain0\testuser

fprconsoleuseredit testuser

ADD[username[|domain\ username]]

EDIT[username[|domain\ username]]

WirdkeinBenutzernameangegeben, wirdderaktuelleBenutzername verwendet.

WirdkeinBenutzernameangegeben, wirdderaktuelleBenutzername verwendet. Anmerkung:DerregistrierteBenutzer musszunächstseinenFingerabdruck bestätigen.

©CopyrightLenovo2008,2011

Tabelle25.BenutzerspezischeBefehle(Forts.)

BefehlSyntaxBeschreibung

Benutzerlöschen

Example:

fprconsoleuserdelete domain0\testuser

fprconsoleuserdelete testuser

fprconsoleuserdelete /ALL

RegistrierteBenutzer aufzählen

RegistriertenBenutzerinDatei exportieren

RegistriertenBenutzer importieren

DELETE[username[|domain\ username|/ALL]]

List

Syntax:EXPORTusername [|domain\username]le

Syntax:IMPORTle

DasFlag/ALLlöschtalleaufdiesem ComputerregistriertenBenutzer.Wenn derBenutzernamenichtangegeben wird,wirdderaktuelleBenutzername verwendet.

ListetdieregistriertenBenutzerauf.

MitdiesemBefehlwirdeinregistrierter BenutzerineineDateiaufdem Festplattenlaufwerkexportiert.Der Benutzerkannanschließendüberden BefehlIMPORTaufeinenanderen Computeroderaufdenselben Computerimportiertwerden,wennder Benutzeraufdiesemgelöschtwurde.

MitdiesemBefehlwirdderBenutzer ausderangegebenenDateiimportiert. Anmerkung:WennderBenutzerinder DateibereitsaufdemselbenComputer mitdenselbenFingerabdrücken registriertist,istnichtsichergestellt, welcherBenutzerbeiderIdentikation Vorranghat.

BefehlefürglobaleEinstellungen

DieglobalenEinstellungenderFingerprintSoftwarekönnenüberdenAbschnittSETTINGSgeändertwerden. FüralleBefehleindiesemAbschnittisteineAdministratorberechtigungerforderlich.DieSyntaxlautet:

FPRCONSOLESETTINGScommand

DabeistehtcommandfüreinenderfolgendenBefehle:SECUREMODE,LOGON,CAD,TBX,SSO.

Tabelle26.BefehlefürglobaleEinstellungen

BefehlSyntaxBeschreibung

Securitymode

Example:

Tosettoconvenientmode: fprconsolesettings securemode0

ArtderAnmeldung

SECUREMODE0|1

LOGON0|1[/FUS]

DieseEinstellungwechseltzwischendem komfortablenunddemsicherenModusder FingerprintSoftware.

DieseEinstellungaktiviert(1)oder deaktiviert(0)dieAnmeldeanwendung. WirdderParameter/FUSverwendet,istfür dieAnmeldungderModuszumschnellen WechselnzwischenBenutzern(FUSFastUserSwitching)aktiviert,wenndie Computerkongurationdieszulässt.

54ClientSecuritySolution8.3Implementierungshandbuch

Tabelle26.BefehlefürglobaleEinstellungen(Forts.)

BefehlSyntaxBeschreibung

Strg+Alt+Entf-Nachricht

Sicherheitsfunktionenbeim Einschalten

Sicherheitsfunktionenbeim Einschalten-SSO(SingleSign-On)

CAD0|1

TBX0|1

SSO0|1

SichererModusundkomfortablerModus

DieseEinstellungaktiviert(1)oderinaktiviert (0)denT ext„DrückenSieStrg+Alt+Entf“ währendderAnmeldung.

DieseEinstellungschaltetbeider Einstellung0globaldieUnterstützungfür dieSicherheitsfunktionenbeimEinschalten inderFingerprintSoftwareaus.Wenndie UnterstützungfürdieSicherheitsfunktionen beimEinschaltenausgeschaltetist, werdenkeineSicherheitsassistentenoder

-seitenbeimEinschaltenangezeigt.Die BIOS-EinstellungensindindiesemFall bedeutungslos.

DieseEinstellungaktiviert(1)oder deaktiviert(0)dieVerwendungderim BIOSfürdieAnmeldungverwendeten Fingerabdrücke,umeinenBenutzer automatischanzumelden,wenndieserim BIOSbestätigtist.

DieFingerprintSoftwarekanninzweiSicherheitsmodiausgeführtwerden:demsicherenModusund demkomfortablenModus.DersichereModuswurdefürSituationenentwickelt,indeneneinhohes Sicherheitsniveauwichtigist.BesondereFunktionensindausschließlichfürdenAdministratorreserviert.Nur AdministratorenkönnensichohnezusätzlicheAuthentizierungundnurmitdemKennwortanmelden.

DerkomfortableModuswurdefürHeimcomputerentwickelt,beideneneinhohesSicherheitsniveaunicht unbedingterforderlichist.AlleBenutzerdürfenalleOperationenausführen,einschließlichdemBearbeiten vonBerechtigungsnachweisenandererBenutzerundderMöglichkeit,sichamSystemmitdemKennwort (ohneAuthentizierungüberFingerabdruck)anzumelden.

EinAdministratoristeinMitgliedderlokalenAdministratorgruppe.WennSiedensicherenModuseinstellen, kannnurderAdministratorwiederindenkomfortablenModuswechseln.

SichererModus–Administrator

BeiderAnmeldungwirdimsicherenModusdiefolgendeNachrichtangezeigt,wennderfalsche BenutzernameoderdasfalscheKennworteingegebenwurde:„Onlyadministratorscanlogonthiscomputer withusernameandpassword“(NurAdministratorendürfensichandiesemComputermitBenutzernamen undKennwortanmelden).DamitwirdeinehöhereSicherheitgewährleistet.

Tabelle27.OptionenfürAdministratorenimsicherenModus

Fingerprints(Fingerabdrücke)Beschreibung

Createanewpassport(NeuenBerechtigungsnachweis erstellen)

EditPassports(Berechtigungsnachweisebearbeiten)

Administratorenkönnenihreneigenen BerechtigungsnachweisunddenBerechtigungsnachweis füreinenBenutzermiteingeschränkterBerechtigung erstellen.

Administratorenkönnennurihreneigenen Berechtigungsnachweisbearbeiten.

Kapitel4.MitThinkVantageFingerprintSoftwarearbeiten55

Tabelle27.OptionenfürAdministratorenimsicherenModus(Forts.)

Fingerprints(Fingerabdrücke)Beschreibung

DeletePassport(Berechtigungsnachweislöschen)

Power-onSecurity(Sicherheitsfunktionenbeim Einschalten)

Einstellungen

Logonsettings(Anmeldeeinstellungen)

Protectedscreensaver(GeschützterBildschirmschoner)

Passporttype(T ypdesBerechtigungsnachweises)

Securitymode(Sicherheitsmodus)

ProServers(ProServer)

AdministratorenkönnendieBerechtigungsnachweisevon allenBenutzernmiteingeschränkterBerechtigungund anderenAdministratorenlöschen.WennandereBenutzer SicherheitsfunktionenbeimEinschaltenverwenden,hat derAdministratordieMöglichkeit,Benutzerschablonenzu diesemZeitpunktvondenSicherheitsfunktionenbeim Einschaltenzuentfernen.

AdministratorenkönnendiebeimStartenverwendeten FingerabdrückevonBenutzernmiteingeschränkter BerechtigungundvonAdministratorenlöschen. Anmerkung:BeiaktiviertemStartmodusmuss mindestenseinFingerabdruckvorhandensein.

AdministratorenkönnenanallenAnmeldeeinstellungen Änderungenvornehmen.

AdministratorenhabenZugriff.

AdministratorenhabenZugriff.-NurinVerbindungmit Servernrelevant.

AdministratorenkönnenzwischendemsicherenModus unddemkomfortablenModusumschalten.

AdministratorenhabenZugriff.-NurinVerbindungmit Servernrelevant.

SichererModus-BenutzermiteingeschränkterBerechtigung

BeieinerWindows-AnmeldungmusseinBenutzermiteingeschränkterBerechtigungeinenFingerabdruck zumAnmeldenverwenden.WenndasLesegerätfürFingerabdrückefürBenutzermiteingeschränkter Berechtigungnichtfunktioniert,musseinAdministratordieEinstellungderFingerprintSoftwareändernund denkomfortablenModuseinstellen,umdenZugriffüberBenutzernamenundKennwortzuaktivieren.

Tabelle28.OptionenfürBenutzermiteingeschränkterBerechtigungimsicherenModus

EinstellungBeschreibung

Createanewpassport(NeuenBerechtigungsnachweis erstellen)

EditPassports(Berechtigungsnachweisebearbeiten)

DeletePassport(Berechtigungsnachweislöschen)

Power-onSecurity(Sicherheitsfunktionenbeim Einschalten)

Logonsettings(Anmeldeeinstellungen)

GeschützterBildschirmschoner

Passporttype(T ypdesBerechtigungsnachweises)

BenutzermiteingeschränkterBerechtigunghabenkeinen Zugriff.

BenutzermiteingeschränkterBerechtigungkönnennur ihreneigenenBerechtigungsnachweisbearbeiten.

BenutzermiteingeschränkterBerechtigungkönnennur ihreneigenenBerechtigungsnachweislöschen.

BenutzermiteingeschränkterBerechtigunghabenkeinen Zugriff.

BenutzermiteingeschränkterBerechtigungkönnendie Anmeldeeinstellungennichtändern.

BenutzermiteingeschränkterBerechtigunghabenZugriff.

BenutzermiteingeschränkterBerechtigunghabenkeinen Zugriff.

56ClientSecuritySolution8.3Implementierungshandbuch

Tabelle28.OptionenfürBenutzermiteingeschränkterBerechtigungimsicherenModus(Forts.)

EinstellungBeschreibung

Securitymode(Sicherheitsmodus)

ProServers(ProServer)

BenutzermiteingeschränkterBerechtigungkönnendie Sicherheitsmodinichtändern.

BenutzermiteingeschränkterBerechtigunghabenZugriff.

-NurinVerbindungmitServernrelevant.

KomfortablerModus-Administrator

BeieinerWindows-AnmeldungkönnensichAdministratorenentwedermitdemAdministratornamenund demzugehörigenKennwortodermitdemFingerabdruckanmelden.

Tabelle29.OptionenfürAdministratorenimkomfortablenModus

EinstellungenBeschreibung

Createanewpassport(NeuenBerechtigungsnachweis erstellen)

EditPassports(Berechtigungsnachweisebearbeiten)

DeletePassport(Berechtigungsnachweislöschen)

Power-onSecurity(Sicherheitsfunktionenbeim Einschalten)

Logonsettings(Anmeldeeinstellungen)

Protectedscreensaver(GeschützterBildschirmschoner)

Passporttype(T ypdesBerechtigungsnachweises)

Securitymode(Sicherheitsmodus)

ProServers(ProServer)

Administratorenkönnennurihreneigenen Berechtigungsnachweiserstellen.

Administratorenkönnennurihreneigenen Berechtigungsnachweisbearbeiten.

Administratorenkönnennurihreneigenen Berechtigungsnachweislöschen.

AdministratorenkönnenanallenAnmeldeeinstellungen Änderungenvornehmen.

AdministratorenhabenZugriff.

AdministratorenhabenZugriff.-NurinVerbindungmit Servernrelevant.

AdministratorenkönnenzwischendemsicherenModus unddemkomfortablenModusumschalten.

AdministratorenhabenZugriff.-NurinVerbindungmit Servernrelevant.

KomfortablerModus-BenutzermiteingeschränkterBerechtigung

BeieinerWindows-AnmeldungkönnenBenutzermiteingeschränkterBerechtigungsichentwedermitdem BenutzernamenunddemzugehörigenKennwortodermitdemFingerabdruckanmelden.

Tabelle30.OptionenfürBenutzermiteingeschränkterBerechtigungimkomfortablenModus

EinstellungenBeschreibung

Createanewpassport(NeuenBerechtigungsnachweis erstellen)

EditPassports(Berechtigungsnachweisebearbeiten)

DeletePassport(Berechtigungsnachweislöschen)

BenutzermiteingeschränkterBerechtigungkönnennur ihreeigenesKennworterstellen.

BenutzermiteingeschränkterBerechtigungkönnennur ihreneigenenBerechtigungsnachweisbearbeiten.

BenutzermiteingeschränkterBerechtigungkönnennur ihreneigenenBerechtigungsnachweislöschen.

Kapitel4.MitThinkVantageFingerprintSoftwarearbeiten57

Tabelle30.OptionenfürBenutzermiteingeschränkterBerechtigungimkomfortablenModus(Forts.)

EinstellungenBeschreibung

Power-onSecurity(Sicherheitsfunktionenbeim Einschalten)

Logonsettings(Anmeldeeinstellungen)

GeschützterBildschirmschoner

Passporttype(T ypdesBerechtigungsnachweises)

Securitymode(Sicherheitsmodus)

ProServers(ProServer)

BenutzermiteingeschränkterBerechtigungkönnennur ihreeigenenFingerabdrückelöschen.

BenutzermiteingeschränkterBerechtigungkönnendie Anmeldeeinstellungennichtändern.

BenutzermiteingeschränkterBerechtigunghabenZugriff.

BenutzermiteingeschränkterBerechtigunghabenkeinen Zugriff.-NurinVerbindungmitServernrelevant.

BenutzermiteingeschränkterBerechtigungkönnendie Sicherheitsmodinichtändern.

BenutzermiteingeschränkterBerechtigunghabenZugriff.

-NurinVerbindungmitServernrelevant.

KongurierbareEinstellungen

EinigeOptionenderFingerprintSoftwarekönnenüberEinstellungeninderRegistrierungsdatenbank konguriertwerden.

•Preboot/power-onsoftwareinterface:DerMechanismuszumAktivierenderUnterstützungfürdie

FingerprintSoftwarevordemStartenoderbeimEinschaltenundzumSpeichernderFingerabdrücke aufdemBegleitchipwirdinderRegelnichtinderFingerprintSoftwareangezeigt,esseidenn, aufdemSystemisteinBIOS-odereinFestplattenkennwortfestgelegt.UmdiesesVerhaltenzu überschreibenundzuerzwingen,dassdieseOptionenauchohnedasVorhandenseineinesBIOS-oder Festplattenkennwortsangezeigtwerden,fügenSieeinenderfolgendenEinträge,jenachdem,welcherfür IhrenComputermaschinentypzutrifft,zurRegistrierungsdatenbankhinzu:

[HKEY_LOCAL_MACHINE\SOFTWARE\ProtectorSuiteQL\1.0]

REG_DWORD"BiosF eatures"=2

oder

[HKEY_LOCAL_MACHINE\SOFTWARE\ProtectorSuiteQL\1.0]

REG_DWORD"BiosF eatures"=4

DieseEinstellungistnützlich,wennSafeGuardEasyaufeinemSystemohneBIOS-Kennwörterinstalliert istundwennzumEntschlüsselndesFestplattenlaufwerksdieAuthentizierungüberFingerabdruck verwendetwird.

•Signaltöne:DieFingerprintSoftwarekannsokonguriertwerden,dasseinineiner.wav-Dateienthaltener

SignaltonunterbestimmtenUmständenwährendderAuthentizierungüberFingerabdruckabgespielt wird.DieRegistrierungseinstellungenfürdiesesSignaltönelautenwiefolgt:

[HKEY_LOCAL_MACHINE\SOFTWARE\ProtectorSuiteQL\1.0\settings]

‘Success ’ REG_SZ“sndSuccess”=[pathtosoundle] Theledesignatedwillplaywheneverasuccessfulswipeisregistered.

‘Failure’ REG_SZ“sndFailure”=[pathtosoundle] Theledesignatedwillplaywheneveranunsuccessfulswipeisattempted.

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\ngerprint

‘Scan’

58ClientSecuritySolution8.3Implementierungshandbuch

REG_SZ“sndScan”=[pathtosoundle] Theledesignatedwillplaywheneverthengerprintverication

dialogisdisplayedf orClientSecuritySolution-relatedoperations.

Ifthevalueisnotpresentorisemptythennosoundisplayed.

Quality’ REG_SZ“sndQuality”=[pathtosoundle] Theledesignatedwillplaywheneveranunreadableswipehasoccurred. Ifthevalueisnotpresentorisemptythennosoundisplayed.

•KennwortprüfungbeiSystementsperrung:StandardmäßigüberprüftdieFingerprintSoftwarebei einerSystementsperrungdasgespeicherteKennwort.FürdieÜberprüfungistderDomänencontroller zuständig.EskannzuVerzögerungenkommen.UmdieVerzögerungzuvermeiden,inaktivierenSiedie dieKennwortprüfungbeiderSystementsperrung,indemSiedieRegistrierungsdatenbankwiefolgt bearbeiten:

[HKEY_LOCAL_MACHINE\SOFTWARE\ProtectorSuiteQL\1.0\settings] REG_DWORD"DoNotTestUnlock"=1

DieFingerprintSoftwareüberprüftweiterhinbeiderSystemanmeldungdasKennwort.

Anmerkung:WennfürdenobigenRegistrierungsschlüssel1festgelegtist,wird,wennder DomänenadministratordasKennwortdasBenutzersändert,wenndasSystemdesBenutzersgesperrt ist,dasalteKennwortvonderFingerprintSoftwaregespeichert,bisderBenutzersichabmeldetund wiederanmeldet.

FingerprintSoftwareundNovellNetwareClient

UmKoniktezuvermeiden,müssendieBenutzernamenunddieKennwörterfürdieFingerprintSoftware undfürdenNovellNetwareClientübereinstimmen.WennaufIhremComputerdieFingerprintSoftware installiertistundSieanschließenddenNovellNetwareClientinstallieren,werdenmöglicherweiseeinige EinträgeinderRegistrierungsdatenbanküberschrieben.WennSieProblemebeiderAnmeldungbeider FingerprintSoftwarefeststellen,rufenSiedasFenstermitdenEinstellungenfürdieAnmeldungauf,und aktivierenSiedenLogonProtectorwieder.

WennaufIhremComputerderNovellNetwareClientinstalliertist,SiesichabervorderInstallationder FingerprintSoftwarenichtbeimClientangemeldethaben,wirddasFensterfürdieNovell-Anmeldung angezeigt.GebenSiedieangefordertenInformationenein.

Anmerkung:DieInformationenindiesemAbschnittgeltennurfürdieThinkVantageFingerprintSoftware.

GehenSiewiefolgtvor,umdieEinstellungenfürdenLogonProtectorzuändern:

•StartenSiedasControlCenter(Steuerzentrale).

•KlickenSieaufSettings(Einstellungen).

•KlickenSieaufLogonsettings(Anmeldeeinstellungen).

•AktivierenoderinaktivierenSiedenLogonProtector. WennSiedieAnmeldungüberFingerabdruckverwendenmöchten,wählenSiedasKontrollkästchen „ReplaceWindowslogonwithngerprint-protectedlogon“(Windows-AnmeldungdurchAnmeldung mitFingerabdruckschutzersetzen)aus.

Anmerkung:BeimAktivierenundInaktivierendesLogonProtectoristeinNeustarterforderlich.

•AktivierenoderinaktivierenSiedieschnelleBenutzerumschaltung,wenndiesvomSystemunterstützt wird.

•(OptionaleFunktion)AktivierenoderinaktivierenSiedieautomatischeAnmeldungfürBenutzer,dieüber dieBootsicherheitsfunktionenbeimEinschaltenauthentiziertsind.

Kapitel4.MitThinkVantageFingerprintSoftwarearbeiten59

•LegenSiedieNovell-Anmeldeeinstellungenfest.DiefolgendenEinstellungenstehenbeiderAnmeldung aneinemNovell-NetzwerkzurVerfügung:

–Activated

(Aktiviert)DieFingerprintSoftwarestelltautomatischbekannteBerechtigungsnachweisebereit.Schlägt dieNovell-Anmeldungfehl,wirddasFensterfürdieNovellClient-AnmeldungmitderAufforderung,die richtigenDateneinzugeben,angezeigt.

–Askduringlogon

(WährendAnmeldungabfragen)DieFingerprintSoftwarezeigtdasFensterfürdieNovell Client-AnmeldungmitderAufforderung,dieAnmeldedateneinzugeben,an.

–Deaktiviert

DieFingerprintSoftwareversuchtkeineNovell-Anmeldung.

Authentizierung

GehenSiewiefolgtvor,umNovellandieFingerprintSoftwarezuübergeben:

1.InstallierenSiedieFingerprintSoftware.

2.InstallierenSiedenNovellNetwareClient.

3.KlickenSiebeientsprechenderAufforderungaufYes,umsichanzumelden.

4.FührenSieeinenWarmstartdurch.

5.KlickenSiebeientsprechenderAufforderungauf„Yes“,umsichbeiderFingerprintSoftware anzumelden.

6.StartenSiedenNovellNetwareClient.

7.AuthentizierenSiesichbeimServer.

8.MeldenSiesichbeiWindowsan.

9.FührenSieeinenWarmstartdurch.

Anmerkung:IhreAuthentizierungs-IDundIhrWindows-Kennwortmüssenübereinstimmen.

DienstefürThinkVantageFingerprintSoftware

DerDienst„upeksvr.exe“wirdnachderInstallationderThinkVantageFingerprintSoftwarezumSystem hinzugefügt.ErwirdbeimStartgestartetundwirddieganzeZeit,währendderBenutzersichanmeldet, ausgeführt.DerDienst„upeksvr.exe“istdasKernelementderThinkVantageFingerprintSoftware.Er führtalleOperationenanderEinheitundandenBenutzerdatenaus.Erzeigtzudemdiegrasche BenutzerschnittstellefürdiebiometrischeÜberprüfunganundbietetsicherenZugriffaufdieBenutzerdaten.

60ClientSecuritySolution8.3Implementierungshandbuch

Kapitel5.MitLenovoFingerprintSoftwarearbeiten

DieFingerprintConsolemussvomInstallationsordnerderLenovoFingerprintSoftwareausausgeführt werden.DiegrundlegendeSyntaxlautetFPRCONSOLE[USER|SETTINGS].DabeigibtderBefehlUSER oderSETTINGSan,welcheOperationsgruppeverwendetwird.DervollständigeBefehllautet„fprconsole useraddT estUser“.WennderBefehlnichtbekanntistodernichtalleParameterangegebensind,wirddie KurzbefehllistezusammenmitdenParameternangezeigt.

DieLenovoFingerprintSoftware,Installationsanweisungen,dieManagementkonsolesowieReferenzliteratur sindaufderLenovoWebsiteunterfolgenderAdresseverfügbar: http://www.lenovo.com/support

Managementkonsolentool

InformationenzumManagementkonsolentoolderLenovoFingerprintSoftwarendenSieimAbschnitt „Managementkonsolentool“aufSeite53.

DienstefürdieLenovoFingerprintSoftware

Anmerkung:FürdieLenovoFingerprintSoftwaremussderT erminaldienstaufdemSystemvorhandensein.

WennSiedenTerminaldienstinaktivieren,kanneszuunerwartetenErgebnisseninderLenovoFingerprint Softwarekommen.

DiefolgendenDienstewerdennachdemInstallierenderLenovoFingerprintSoftwarezumSystem hinzugefügt:

•ATService.exe(standardmäßigaktiviert) SiemüssendenDienst„ATService.exe“aktivieren,umdasFingerabdrucksystemzuverwenden.Dieser DienstverwaltetAnforderungenvonAnwendungen,diedenSensorfürFingerabdrückeverwenden.

•DataT ransferService(standardmäßigaktiviert) WennDataTransferServiceoderderDienst„ATService.exe“fehlerhaftbeendetwird,funktioniertdie LenovoFingeprintSoftwarenichtwieerwartet.

•ADMonitor.exe(standardmäßiginaktiviert) SiemüssendenDienst„ADMonitor.exe“aktivieren,umdieVerwaltungvonActiveDirectoryzu unterstützen.DieserDienstüberwachtdieRegistrierungsdatenbankaufÄnderungen,dievonActive Directoryweitergegebenwerden,undspiegeltdieÄnderungenlokalwider.

ActiveDirectory-UnterstützungfürLenovoFingerprintSoftware

InderfolgendenT abellewerdendieRichtlinieneinstellungenfürdieLenovoFingerprintSoftwareangezeigt.

Tabelle31.Richtlinieneinstellungen

EinstellungBeschreibung

Enable/disablengerprintlogonGibtan,dassanstelledesWindows-Kennworts

FingerabdrückefürdieAnmeldungamComputer verwendetwerden.WennSiedieseEinstellungaktivieren, gibteszweiweitereOptionen,dieSieaktivierenoder inaktivierenkönnen:

•DisableCTRL+AL T+DELdialogforlogoninterface

WennSiedieseOptionauswählen,wirddieNachricht, diedenBenutzerzumDrückenderTastenkombination

Tabelle31.Richtlinieneinstellungen(Forts.)

EinstellungBeschreibung

Strg+Alt+Entfauffordert,umsichanzumelden, inaktiviert.(NurunterWindowsXPverfügbar)

•Requirenon-administratoruserlogonwith

ngerprintauthentication

WennSiedieseOptionauswählen,könnensich BenutzerohneAdministratorberechtigungnurmithilfe ihrerFingerabdrückeanmelden.

Allowusertoretrievepasswordthroughngerprint authentication

Alwaysshowpower-onsecurityoptions

Usengerprintauthenticationinsteadofpower-onand HDpasswords

Setnumberoffailedattempsbeforelockout

SetinactivetimeoutLegtdiezulässigeDauerderSysteminaktivität(in

Allowuserstoenrollngerprints

Allowuserstodeletengerprints

Allowuserstoimport/exportngerprintsWennSiedieseEinstellungaktivieren,könnenBenutzer

Show/HideelementsinsettingtabofngerprintsoftwareWennSiedieseEinstellungaktivieren,können

WennSiedieseEinstellungaktivieren,könnenBenutzer dasWindows-KennwortfürihrKontonachder AuthentizierungüberFingerabdruckinderLenovo FingerprintSoftwareanzeigen.

WennSiedieseEinstellungaktivieren,könnenBenutzer dieVerwendungdesLesegerätsfürFingerabdrücke anstelledesStart-unddesFestplattenkennworts beimEinschaltendesComputersauswählen.Im RegistrierungsfensterderLenovoFingerprintSoftware kanndieAuthentizierungüberFingerabdruckzum StartenfürjedenregistriertenFingerabdruckaktiviertoder inaktiviertwerden.

WennSiedieseEinstellungaktivieren,wirddie AuthentizierungüberFingerabdruckanstelledesStartunddesFestplattenkennwortsverwendet.

LegtdiezulässigeAnzahlfehlgeschlagener Anmeldeversuche,bevorderBesuchergesperrtwird, sowiedieDauer(inSekunden)derSperrungfest.

Sekunden)fest,bevorderBenutzerabgemeldetwird.

WennSiedieseEinstellungaktivieren,könnenBenutzer ohneAdministratorberechtigungFingerabdrückemitder LenovoFingerprintSoftwareregistrieren.

WennSiedieseEinstellungaktivieren,könnenBenutzer ohneAdministratorberechtigungzuvorregistrierte FingerabdrückemitderLenovoFingerprintSoftware löschen.

ohneAdministratorberechtigungzuvorregistrierte FingerabdrückemitderLenovoFingerprintSoftware importierenundexportieren.

IT-AdministratorenElementeaufderRegisterkarte „Settings“(Einstellungen)dergraschen Benutzerschnittstellesteuern.

62ClientSecuritySolution8.3Implementierungshandbuch

Kapitel6.BewährteVerfahren

DiesesKapitelenthältSzenarios,diebewährteVerfahrenfürClientSecuritySolutionundFingerprintSoftware darstellen.DasvorliegendeBeispielszenariobeginntmitderKongurationdesFestplattenlaufwerks, erläutertverschiedeneAktualisierungenundbeschreibtdengesamtenLebenszykluseinerImplementierung. DieInstallationwirdsowohlaufLenovoComputernalsauchaufComputernandererHerstellerbeschrieben.

ImplementierungsbeispielefürdieInstallationvonClientSecurity Solution

DerfolgendeAbschnittenthältBeispielezumInstallierenvonClientSecuritySolutionaufDesktop-und Notebook-Computern.

Szenario1

HierbeihandeltessichumeinBeispielfüreineInstallationaufeinemDesktop-ComputerunterVerwendung derfolgendenhypothetischenKundenanforderungen:

•Verwaltung VerwendenSiedenlokalenAdministratoraccountfürdieVerwaltungdesComputers.

•ClientSecuritySolution

–InstallierenSiedenEmulationsmodus,undführenSieihnaus.

NichtalleLenovoSystemeweiseneinTPM(T rustedPlatformModule),alsoeinenSicherheitschip,auf.

–AktivierenSiedenClientSecurity-Verschlüsselungstext.

SchützenSieClientSecuritySolution-AnwendungendurcheinenVerschlüsselungstext.

–AktivierenSiedieClientSecurity-Windows-Anmeldung.

MeldenSiesichbeiWindowsmitdemClientSecurity-Verschlüsselungstextan.

–AktivierenSiedieWiederherstellungsfunktionfürdenVerschlüsselungstextvonBenutzern.

ErmöglichenSieBenutzerndieWiederherstellungihresVerschlüsselungstextesdurchdrei benutzerdenierteFragenundAntworten.

–VerschlüsselnSiedasClientSecuritySolution-XML-ScriptmiteinemKennwort,z.B.XMLscriptPW.

SchützenSiedieClientSecuritySolution-KongurationsdateimiteinemKennwort.

–FingerprintSoftwareistmöglicherweiseinstalliert.

AufderErstellungsmaschine:

1.MeldenSiesichbeiWindowsmiteinemlokalenAdministratoraccountan.

2.InstallierenSiedasProgramm„ClientSecuritySolution“mithilfedesfolgendenBefehls:

tvtcss83_xxxx.exe/s/v"/qn"EMULATIONMODE=1""NOCSSWIZARD=1"

(wobeiXXXXfürdieBuild-IDsteht)

3.StartenSiedenComputererneutundmeldenSiesichbeiWindowsmiteinemlokalen Administratoraccountan.

4.BereitenSiedasXML-ScriptfürdieImplementierungvor,indemSiewiefolgtvorgehen: a.FührenSiedenfolgendenBefehlaus:

"C:\ProgramFiles\Lenovo\ClientSecuritySolution\css_wizarde.exe" /name:C:\ThinkCentre

b.KongurierenSieimAssistentenFolgendes:

1)KlickenSieaufSecurelogonmethod(SichereAnmeldemethode)➙Next(Weiter).

2)GebenSiefürdenAdministratoraccountdasWindows-Kennwortein(z.B.WPW4Admin)und

klickenSieaufNext(Weiter).

3)GebenSiedenClientSecurity-Verschlüsselungstext(z.B.CSPP4Admin)fürden

Administratoraccountein,wählenSiedieOptionUsetheClientSecuritypassphraseto protectaccesstotheRescueandRecoveryworkspace(ClientSecurity-Verschlüsselungstext zumSchützendesZugriffsaufdenArbeitsbereichvonRescueandRecoveryverwenden)aus undklickenSieaufNext(Weiter).

4)BeantwortenSiediedreiFragenfürdenAdministratoraccountundklickenSieaufNext(Weiter).

DiedreiFragenkönnenz.B.wiefolgtlauten: a)WieheißtIhrHaustier? b)WasistIhrLieblingslm? c)WelcheistIhreLieblingsmannschaft?

5)ÜberprüfenSiedieZusammenfassungundklickenSieaufApply(Übernehmen),umdie

XML-DateiamfolgendenSpeicherortzuspeichern:

C:\ThinkCentre.xml

6)KlickenSieaufFinish(Fertigstellen),umdenAssistentenzuschließen.

5.ÖffnenSiedieDatei„ThinkCentre.xml“ineinemT exteditor(einemXML-ScripteditoroderdemProgramm „MicrosoftWord2003“,dasdasXML-Formatunterstützt),entfernenSiealleVerweiseaufdieEinstellung fürdieDomäneundspeichernSiedieDatei.DadurchverwendetdasScriptdenNamenderlokalen MaschineaufdeneinzelnenSystemen.

6.VerschlüsselnSiedasXML-ScriptmithilfedesTools„xml_crypt_tool.exe“imVerzeichnisC:\Program

Files\Lenovo\ClientSecuritySolutionmiteinemKennwort,indemSiediefolgendeSyntaxverwenden:

xml_crypt_tool.exeC:\ThinkCentre.xml/encryptXMLScriptPW

DieDateiheißtjetzt„C:\ThinkCentre.xml.enc“undwirddurchdasKennwortXMLScriptPWgeschützt.Sie kannnunzudemImplementierungscomputerhinzugefügtwerden.

AufderImplementierungsmaschine:

1.MeldenSiesichbeiWindowsmiteinemlokalenAdministratoraccountan.

2.InstallierenSiedieProgramme„RescueandRecovery“und„ClientSecuritySolution“mitderfolgenden Syntax:

setup_tvtrnr40_xxxxcc.exe/s/v"/qn"EMULATIONMODE=1""NOCSSWIZARD=1"

(DabeistehtxxxxfürdieBuild-IDundccfürdenLändercode.)

Anmerkungen:

a.StellenSiesicher,dassdieTVT-Dateien,wiez.B.„Z652ZIXxxxxyy00.tvt“fürWindowsXPund

„Z633ZISxxxxyy00.tvt“fürWindowsVistaundWindows7(wobeixxxxfürdieBuild-IDundyyfür dieLandes-IDsteht)sichimselbenVerzeichniswiedieausführbareDateibenden;andernfalls schlägtdieInstallationfehl.

b.WennSieeineadministrativeInstallationdurchführen,ndenSieweitereInformationenimAbschnitt

„Szenario1“aufSeite63.

3.StartenSiedenComputererneutundmeldenSiesichbeiWindowsmiteinemlokalen Administratoraccountan.

4.FügenSiediezuvorvorbereiteteDatei„ThinkCentre.xml.enc“demStammverzeichnisC:\hinzu.

5.BereitenSiedenBefehl„RunOnceEx“mitdenfolgendenParameternvor: a.FügenSieeinenneuenSchlüssel0001nachdemRunonceEx-Schlüsselein.DerSchlüsselwirdim

folgendenVerzeichnisgespeichert:

HKEY_LOCAL_MACHINE\Sof tware\Microsoft\Windows \CurrentVersion\RunOnceEx\0001

64ClientSecuritySolution8.3Implementierungshandbuch

b.FügenSiezudiesemSchlüsseleinenZeichenfolgewertmitdemNamenCSSEnrollhinzu:

"C:\ProgramFiles\Lenovo\ClientSecuritySolution\vmserver .exe" C:\ThinkCenter .xml.encXMLscriptPW

6.FührenSiediefolgendenBefehleaus,umdasSystemaufeineSysprep-Sicherungvorzubereiten:

%rr%C:\ProgramFiles\Lenovo\RescueandRecovery\rrcmd.exe" sysprepbackuplocation=Lname="SysprepBackup"

NachdemdasSystembereitistfüreineSysprep-Sicherung,wirdIhnendiefolgendeAusgabeangezeigt.

***************************************************** **Readytotakesysprepbackup.** **** **PLEASERUNSYSPREPNOWANDSHUTDOWN.** **** **Nexttimethemachineboots,itwillboot** **tothePredesktopAreaandtakeabackup.** *****************************************************

7.FührenSiedieSysprep-Implementierungaus.

8.FahrenSiedenComputerherunterundstartenSieihnerneut.DerSicherungsprozessinWindows PEwirdgestartet.

Anmerkung:WenndieNachrichtangezeigtwird,diebesagt,dassdieWiederherstellungdurchgeführt wird,dassjedochgleichzeitigeineSicherungstattndet„“,fahrenSienachderSicherungdenComputer herunterundführenSiekeinenNeustartdurch.

9.DieSysprep-Basissicherungistnunabgeschlossen.

Szenario2

HierbeihandeltessichumeinBeispielfüreineInstallationaufeinemNotebook-ComputerunterVerwendung derfolgendenhypothetischenKundenanforderungen:

•Verwaltung

–FührenSiedieInstallationaufSystemenaus,aufdeneneineältereVersionvonClientSecuritySolution

installiertist. –VerwendenSiedasAdministratorkontoderDomänefürdieVerwaltungdesComputers. –AlleComputerverfügenüberdasBIOS-AdministratorkennwortBIOSpw.

•ClientSecuritySolution

–VerwendenSiedasTPM(T rustedPlatformModule).

AlleMaschinenverfügenüberdenSicherheitschip. –AktivierenSiedenPasswordManager. –VerwendenSiedasWindows-KennwortdesBenutzersalsAuthentizierungbeiClientSecuritySolution. –VerschlüsselnSiedasClientSecuritySolution-XML-ScriptmiteinemKennwort,z.B.XMLscriptPW.

SchützenSiedieClientSecuritySolution-KongurationsdateimiteinemKennwort.

•ThinkVantageFingerprintSoftware

–VerwendenSiekeineBIOS-undFestplattenkennwörter. –MeldenSiesichbeiWindowsmithilfederThinkVantageFingerprintSoftwarean.

NachdemsichderBenutzeranfangsüberdieSelbstregistrierungangemeldethat,wechselterspäterin

densicherenModusfürdieAnmeldung,fürdiebeiBenutzernohneAdministratorberechtigungein

Fingerabdruckerforderlichist.AufdieseWeiseerfolgteine2-Wege-Authentizierung. –IntegrierenSiedasFingerprintSoftwareT utorial.

DasFingerprintSoftwareT utorialhilftBenutzernzulernen,wieeinFingerüberdasLesegerätfür

FingerabdrückegezogenwirdundwiesievisuellesFeedbackzuihrenAktionenerhalten.

Kapitel6.BewährteVerfahren65

AufderErstellungsmaschine:

1.StartenSiedenComputerausdemausgeschaltetenStatusherausunddrückenSiedieT asteF1,um dasBIOS-Kongurationsdienstprogrammaufzurufen.NavigierenSiezumMenüSecurityundlöschen SiedenSicherheitschip.SpeichernSiedieEinstellungenundverlassenSiedasBIOS.

2.MeldenSiesichbeiWindowsmiteinemDomänenadministratoraccountan.

3.InstallierenSiedieThinkVantageFingerprintSoftware,indemSiewiefolgtvorgehen: a.FührenSiedieDatei„f001zpz2001us00.exe“aus,umdieDatei„setup.exe“ausdemWebpaketzu

extrahieren.DieDatei„setup.exe“wirdautomatischamfolgendenSpeicherortextrahiert: C:\SWTOOLS\APPS\TFS5.9.2-Buildxxxx\Application\0409(wobeixxxxfürdieBuild-IDsteht).

b.DoppelklickenSieaufdieextrahierteDatei„setup.exe“undbefolgenSiedieangezeigten

Anweisungen,umdieThinkVantageFingerprintSoftwarezuinstallieren.

4.InstallierenSiedasThinkVantageFingerprintSoftwareTutorial,indemSiewiefolgtvorgehen: a.FührenSiedieDatei„f001zpz7001us00.exe“aus,umdieDatei„tutess.exe“ausdemWebpaketzu

extrahieren.DieDatei„tutess.exe“wirdautomatischamfolgendenSpeicherortextrahiert: C:\SWTOOLS\APPS\tutorial\TFS5.9 .2Buildxxxx\Tutorial\0409(wobeixxxxfürdieBuild-IDsteht).

b.DoppelklickenSieaufdieDatei„tutess.exe“,umdasThinkVantageFingerprintSoftwareTutorialzu

installieren.

5.InstallierenSiedieThinkVantageFingerprintConsole,indemSiewiefolgtvorgehen: a.FührenSiedieDatei„f001zpz5001us00.exe“aus,umdieDatei„fprconsole.exe“ausdemWebpaket

zuextrahieren.DieDatei„fprconsole.exe“wirdautomatischamfolgendenSpeicherortextrahiert: C:\SWTOOLS\APPS\fpr_con\APPS\UPEK\FPRConsole\TFS5.9 .2-Buildxxx\Fprconsole(wobeixxxxfürdie Build-IDsteht).

b.DoppelklickenSieaufdieDatei„fprconsole.exe“,umdieThinkVantageFingerprintConsolezu

installieren.

6.InstallierenSiedasProgramm„ClientSecuritySolution“mitderfolgendenSyntax:

tvtcss82_xxxxcc.exe/s/v”/qnNOCSSWIZARD=1SUPERVISORPW="BIOSpw""

7.StartenSiedenComputererneutundmeldenSiesichbeiWindowsmiteinem Domänenadministratoraccountan.BereitenSiedasXML-ScriptfürdieImplementierungvor.

a.FührenSiediefolgendenBefehleaus:

"C:\ProgramFiles\Lenovo\ClientSecuritySolution\css_wizard.exe" /name:C:\ThinkPad

b.NehmenSieimAssistenteneineKongurationvor,umeineÜbereinstimmungmitdemBeispielscript

zuerzielen,indemSiewiefolgtvorgehen:

1)KlickenSieaufSecurelogonmethod(SichereAnmeldemethode)➙Next(Weiter).

2)GebenSiefürdenDomänenadministratoraccountdasWindows-Kennwortein(z.B.WPW4Admin)

undklickenSieaufNext(Weiter).

3)GebenSiedenClientSecurity-VerschlüsselungstextfürdenDomänenadministratoraccountein.

4)WählenSiedieOptionIgnorePasswordRecoverySettingausundklickenSieaufNext

(Weiter).

5)ÜberprüfenSiedieZusammenfassungundklickenSieaufApply(Übernehmen),umdie

XML-DateiamfolgendenSpeicherortzuspeichern:

C:\ThinkPad.xml

6)KlickenSieaufFinish(Fertigstellen),umdenAssistentenzuschließen.

8.VerschlüsselnSiedasXML-ScriptmithilfedesT ools„xml_crypt_tool.exe“imVerzeichnis „C:\Programme\Lenovo\ClientSecuritySolution“miteinemKennwort:VerwendenSiedazuaneiner EingabeaufforderungdiefolgendeSyntax:

xml_crypt_tool.exeC:\ThinkPad.xml/encryptXMLScriptPW

66ClientSecuritySolution8.3Implementierungshandbuch

DieDateiheißtjetzt„C:\ThinkPad.xml.enc“undwirddurchdasKennwortXMLScriptPWgeschützt.

AufderImplementierungsmaschine:

1.InstallierenSiedieThinkVantageFingerprintSoftwareaufderImplementierungsmaschine,indemSie wiefolgtvorgehen:

a.ImplementierenSiemithilfedesSoftwareverteilungstoolsIhresUnternehmensdieDatei„setup.exe“,

dievomErstellungscomputeraufdenImplementierungscomputerextrahiertwurde.

b.FührenSiedenfolgendenBefehlaus:

setup.exeCTLCNTR=0/q/i

2.InstallierenSiedasThinkVantageFingerprintSoftwareT utorialaufderImplementierungsmaschine, indemSiewiefolgtvorgehen:

a.ImplementierenSiemithilfedesSoftwareverteilungstoolsIhresUnternehmensdieDatei„tutess.exe“,

dievomErstellungscomputeraufdenImplementierungscomputerextrahiertwurde.

b.FührenSiedenfolgendenBefehlaus:

tutess.exe/q/i

3.InstallierenSiedieThinkVantageFingerprintConsoleaufderImplementierungsmaschine,indemSiewie folgtvorgehen:

a.ImplementierenSiemithilfedesSoftwareverteilungstoolsIhresUnternehmensdieDatei

„fprconsole.exe“,dievomErstellungscomputeraufdenImplementierungscomputerextrahiertwurde.

b.SpeichernSiedieDatei„fprconsole.exe“imVerzeichnisC:\Programme\ThinkVantageFingerprint

Software.

c.SchaltenSiedieUnterstützungfürdieBIOS-SicherheitsfunktionenbeimEinschaltendurchAusführen

desfolgendenBefehlsaus:

fprconsole.exesettingsTBX0

4.InstallierenSieThinkVantageClientSecuritySolutionaufderImplementierungsmaschine,indemSiewie folgtvorgehen:

a.ImplementierenSiemithilfedesSoftwareverteilungstoolsIhresUnternehmensdieDatei

„tvtvcss83_xxxx.exe“(dabeiistxxxxdieBuild-ID)aufdenImplementierungscomputer.

b.FührenSiedenfolgendenBefehlaus:

tvtvcss83_xxxx.exe/s/v"/qn"NOCSSWIZARD=1""SUPERVISORPW="BIOSpw""

DurchdieInstallationderSoftwarewirdautomatischdieHardwarefürdasTPM(TrustedPlatform Module)aktiviert.

5.StartenSiedenComputererneutundkongurierenSiedasSystemmitderXML-Scriptdatei.Gehen Siedabeiwiefolgtvor:

a.KopierenSiediezuvorvorbereiteteDatei„ThinkPad.xml.enc“indasVerzeichnisC:\. b.FührenSiedenfolgendenBefehlaus:

"C:\ProgramFiles\Lenovo\ClientSecuritySolution\ vmserver.exe"C:\ThinkPad.xml.encXML ScriptPW

6.NacheinemNeustartistdasSystemnunbereitfürdieClientSecuritySolution-Benutzerregistrierung. AlleBenutzerkönnensichmitderzugehörigenBenutzer-IDunddemWindows-KennwortamSystem anmelden.JederBenutzer,dersichamSystemanmeldet,wirdautomatischdazuaufgefordert,sich beiClientSecuritySolutionzuregistrieren,undkannsichdannbeimLesegerätfürFingerabdrücke registrieren.

7.NachdemalleBenutzerfürdasSysteminderThinkVantageFingerprintSoftwareregistriertwurden,kann dieEinstellungfürdensicherenModusaktiviertwerden,indemalleWindows-Benutzeraufgefordert werden,sichohneAdministratorberechtigungmitihremFingerabdruckanzumelden.

•FührenSiedenfolgendenBefehlaus,umdieEinstellungfürdensicherenModuszuaktivieren:

"C:\ProgramFiles\ThinkVantageFingerprintSoftware\

Kapitel6.BewährteVerfahren67

fprconsole.exe"settingssecuremode1

•FührenSiedenfolgendenBefehlaus,umdieNachrichtzumDrückenderTastenkombination Strg+Alt+Entf„“,umsichanzumelden,vonderAnmeldeanzeigezuentfernen:

"C:\ProgramFiles\ThinkVantageFingerprintSoftware\fprconsole.exesettings" CAD0

8.DieImplementierungvonClientSecuritySolution8.3undThinkVantageFingerprintSoftwareistnun abgeschlossen.

ZwischenModivonClientSecuritySolutionwechseln

WennSiebeiClientSecuritySolutionvomkomfortablenModuszumsicherenModusodervomsicheren zumkomfortablenModuswechselnundwennSieSicherungenIhresSystemsmitHilfevonRescueand Recoveryerstellen,solltenSienacheinemModuswechseleineBasissicherungdurchführen.

ActiveDirectory-ImplementierungfürUnternehmen

GehenSiewiefolgtvor,umeineActiveDirectory-ImplementierungfürUnternehmendurchzuführen:

1.FührenSiedieInstallationüberActiveDirectoryoderüberLANDeskaus: a.ErstellenSieSicherungen,undrufenSieüberActiveDirectoryundüberLANDeskBerichtedazu

ab,vonwemundwanndieSicherungenvorgenommenwurden.

b.ErmöglichenSieesbestimmtenGruppen,SicherungenvorzunehmensowieSicherungen,

PlanoptionenundKennworteinschränkungenzulöschen,undändernSiedanndieGruppen,umzu prüfen,obdieEinstellungenbestehenbleiben.

c.AktivierenSieAntidoteDeliveryManagerüberActiveDirectory.SpeichernSiediePakete,die

ausgeführtwerdensollen,undstellenSiesicher,dassdieBerichterstellungerfasstwird.

Standalone-InstallationfürCDoderScriptdateien

GehenSiewiefolgtvor,umeineStandalone-InstallationfüreineCDodereineScriptdateidurchzuführen:

1.VerwendenSieeineBatchdatei,umClientSecuritySolution-undFingerprint- T echnologieimHintergrund zuinstallieren.

2.FührenSieeineunbeaufsichtigteKongurationderBIOS-Kennwortwiederherstellungdurch.

SystemUpdate

GehenSiewiefolgtvor,umdasSystemzuaktualisieren:

1.InstallierenSieClientSecuritySolutionundFingerprintSoftwareübereinenangepasstenSystem Update-ServerundsimulierenSiedieSituation,dasseingroßesUnternehmeneinenServerkonguriert, anstattdieInstallationüberdenLenovoServervorzunehmen,umeineInhaltskontrollezuermöglichen.

2.InstallierenSiedieneuenVersionenüberdiedreiälterenSoftwareversionen(RescueandRecovery

1.0/2.0/3.0,Fingerprint,ClientSecuritySolution5.4–6,FFE).DieEinstellungensolltenbeibehalten werden,wenndieneueVersionüberdiealteVersioninstalliertwird.

SystemMigrationAssistant

SystemMigrationAssistant6.0unterstütztdieMigrationvoneinemaltenSystemaufdasaktuelleWindows 7-SystemundunterstütztdieMigrationderSoftwareeinstellungenvonälterenVersionenvonClientSecurity SolutionundFingerprintSoftware.SiekönnenSystemMigrationAssistant6.0vonderLenovoWebsiteunter folgenderAdresseherunterladen: http://www.lenovo.com/support

68ClientSecuritySolution8.3Implementierungshandbuch

ZertikatunterVerwendungdurchSchlüsselerstellunginTPMgenerieren

ZertikatekönnendirektmitdemClientSecuritySolution-CSPgeneriertwerdenunddieprivatenSchlüssel indenZertikatenwerdenvomTPMgeneriertundgeschützt.GehenSiewiefolgtvor,ummitdemCSS-CSP einZertikatanzufordern:

Voraussetzungen:

•AufderServermaschinesollteFolgendesinstalliertsein:

–MindestensWindowsServer2003Enterprise –ActiveDirectory –EinZertizierungsstellendienst

•DasClientsystemsolltefolgendeAnforderungenerfüllen:

–TPMaktiviert –ClientSecuritySolutioninstalliert

ZertikatbeimServeranfordern

SchablonefürTPM-Benutzererstellen

GehenSiewiefolgtvor,umeineSchablonefürTPM-Benutzerzuerstellen:

1.KlickenSieaufStart➙Ausführen.

2.GebenSiemmceinundklickenSieaufOK.DasKonsolenfensterwirdangezeigt.

3.KlickenSieimMenüDateiaufSnap-Inhinzufügen/entfernenundklickenSiedannaufHinzufügen.

DasFenster„EigenständigesSnap-Inhinzufügen“wirdangezeigt.

4.DoppelklickenSieinderSnap-in-ListedoppeltaufZertizierungsstelleundklickenSiedannauf Schließen.

5.KlickenSieimFenster„Snap-inhinzufügen/entfernen“aufOK.

6.KlickenSieinderBaumstrukturderKonsoleaufCerticateTemplates(Zertikatsvorlagen).Alle ZertikatsvorlagenwerdenimlinkenT eilfensterangezeigt.

7.KlickenSieaufAction(Aktion)➙DuplicateTemplate(Vorlagekopieren).

8.GebenSieimFeldDisplayName(Anzeigename)denTextTPMUser(TPM-Benutzer)ein.

9.KlickenSieaufdieRegisterkarteRequestHandling(Verarbeitunganfordern)undklickenSiedort aufCSPs.StellenSiesicher,dassSiedieOptionRequestscanuseanyCSPavailableonthe subject'scomputers(AnforderungenkönnenjedenCSP ,deraufComputerndesBenutzersverfügbar ist,verwenden)auswählen.

10.KlickenSieaufdieRegisterkarteAllgemein.StellenSiesicher,dassdieOptionPublishCerticatein ActiveDirectory(ZertikatinActiveDirectoryveröffentlichen)ausgewähltist.

11.KlickenSieaufdieRegisterkarteSecurity(Sicherheit)undklickenSieinderListeGrouporusernames (Gruppen-oderBenutzernamen)aufdieOptionAuthenticatedUsers(AuthentizierteBenutzer)und stellenSiesicher,dassdieOptionEnroll(Registrieren)inderOptionPermissionsforAuthenticated

Users(BerechtigungenfürauthentizierteBenutzer)ausgewähltist.

ZertizierungsstelleimUnternehmenkongurieren

GehenSiewiefolgtvor,umdasTPM-BenutzerzertikatdurchKongurationeinerZertizierungsstelle imUnternehmenauszugeben:

1.ÖffnenSiedieZertizierungsstelle.

Kapitel6.BewährteVerfahren69

2.KlickenSieinderBaumstrukturderKonsoleaufCerticateT emplates(Zertikatsvorlagen).

3.KlickenSieimMenüAction(Aktion)aufNew(Neu)➙CerticatetoIssue(AuszugebendesZertikat).

4.KlickenSieaufTPMundklickenSieaufOK.

ZertikatvomClientanwenden

GehenSiewiefolgtvor,umdasZertikatvomClientanzuwenden:

1.StellenSieeineVerbindungzumIntranether,startenSiedenInternetExplorerundgebenSiedie IP-AdressedesServersan,aufdemderZertizierungsstellendienstinstalliertist.

2.GebenSiedenDomänenbenutzernamenunddaszugehörigeKennwortimFenstermitder Eingabeaufforderungein.

3.KlickenSieaufdieOptionRequestacerticate(Zertikatanfordern)unterSelectatask(Task auswählen).

4.KlickenSieuntenaufderWebsiteaufadvancedcerticaterequest(erweiterteZertikatsanforderung).

5.ÄndernSieaufderSeite„AdvancedCerticateRequest“diefolgendenEinstellungen:

•WählenSieTPMUser(TPM-Benutzer)ausderDropdown-ListeCerticateT emplate

(Zertikatsvorlage)aus.

•WählenSiedenEintragThinkVantageClientSecuritySolutionCSPausderDropdown-Liste

CSPaus.

•StellenSiesicher,dassdieOptionMarkkeysasexportable(Schlüsselalsexportierbar

kennzeichnen)nichtausgewähltist.

•KlickenSieaufSubmit(Senden)undfolgenSiedemProzess.

•KlickenSieaufderSeite„CerticateIssued“(Zertikatausgegeben)aufInstallthiscerticate

(DiesesZertikatinstallieren).DieSeite„CerticateInstalled“(Zertikatinstalliert)wirdangezeigt.

USB-T astaturmitLesegerätfürFingerabdrücke zusammenmitThinkPad-Notebook-Computernvon2008 (R400/R500/T400/T500/W500/X200/X301)verwenden

LenovohatmitzweiHerstellernVerträgeabgeschlossen,umdieAuthentizierungüberFingerabdruckin ThinkPad vor2008(z.B.T61)verwendenThinkVantage-SensorenfürFingerabdrücke.ThinkPad-Notebook-Computer ab2008(abT400)verwendenLenovoSensorenfürFingerabdrücke.AlleLenovoUSB-Tastaturenmit LesegerätfürFingerabdrückeverwendenThinkVantage-SensorenfürFingerabdrücke.BesondereHinweise sindfürdieVerwendungeinerT astaturmitLesegerätfürFingerabdrückezusammenmitbestimmten ThinkPad-Notebookmodellenerforderlich(z.B.ThinkPadT400zusammenmiteinerexternenUSB-Tastatur).

IndiesemAbschnittwerdenallgemeineVerwendungsszenariosundImplementierungsstrategienfür dieFingerprintSoftware,dieaufdenaktuellenThinkPad-Notebook-Computermodelleninstalliertist, beschrieben.

Anmerkung:

•LenovoFingerprintSoftwareDieLenovoFingerprintSoftwareistdieSoftwarefürdenAuthenTec-Sensor

•ThinkVantageFingerprintSoftwareDieThinkVantageFingerprintSoftwareistdieSoftwarefürden

-Notebook-ComputernundüberUSB- T astaturenbereitzustellen.ThinkPad-Notebook-Computer

fürFingerabdrücke(z.B.deninternenSensorfürFingerabdrückeimModellT400).

UPEK-SensorfürFingerabdrücke(z.B.deninternenSensorfürFingerabdrückeimModellT61undden SensorfürFingerabdrückeinallenexternenUSB-Tastaturen).

70ClientSecuritySolution8.3Implementierungshandbuch

Windows7-Anmeldung

ZurAnmeldungbeimBetriebssystem„Windows7“könnenSiejederzeitentwederdenAuthenTec-Sensorfür FingerabdrückeoderdenUPEK-SensorfürFingerabdrückeverwenden.

1.InstallierenSiedieLenovoFingerprintSoftwareabVersion3.2.0.275.

2.InstallierenSiedieThinkVantageFingerprintSoftwareabVersion5.8.2.4824.

3.StartenSiedenComputerneu.DerAssistentzumRegistrierenvonFingerabdrückenwirdautomatisch gestartet.

4.VerwendenSiedieThinkVantageFingerprintSoftware,umIhreFingerabdrückemitdemexternenSensor fürFingerabdrückezuregistrieren.Wennernichtautomatischgestartetwird,klickenSieaufStart➙ Programme(oderAlleProgramme)➙ThinkVantage➙ThinkVantageFingerprintSoftware,um dieRegistrierungzustarten.

5.GebenSiebeientsprechenderAufforderungdasWindows-KennworteinundwählenSiedanneinen FingerzumRegistrierenaus.

6.BefolgenSiedieangezeigtenAnweisungen,umdenFingermithilfedesexternenSensorsfür Fingerabdrückezuregistrieren.

7.KlickenSieobenimFensteraufdieOptionSettings(Einstellungen).

8.WählenSiedieOptionUsengerprintscaninsteadofpasswordwhenloggingintoWindows (GescanntenFingerabdruckanstelledesKennwortsbeiderWindows-Anmeldungverwenden)aus, klickenSieaufOKunddannaufClose(Schließen),umdasFensterzuschließen.

9.StartenSiedenComputererneutundstellenSiesicher,dassIhrFingerabdruckzumAnmeldenbei WindowsüberdenexternenSensorfürFingerabdrückeverwendetwerdenkann.

10.VerwendenSiedieSoftwarezurRegistrierungvonFingerabdrücken,umIhreFingerabdrückemithilfe desinternenSensorsfürFingerabdrückezuregistrieren.Wennernichtautomatischgestartetwird, klickenSieaufStart➙Programme(oderAlleProgramme)➙ThinkVantage➙LenovoFingerprint Software,umdieRegistrierungzustarten.

11.GebenSiebeientsprechenderAufforderungdasWindows-KennworteinundwählenSiedanneinen FingerzumRegistrierenaus.

12.BefolgenSiedieangezeigtenAnweisungen,umIhrenFingerabdruckmithilfedesinternenSensorsfür Fingerabdrückezuregistrieren.

13.KlickenSieobenimFensteraufdieOptionSettings(Einstellungen).

14.WählenSiedieOptionUsengerprintscaninsteadofpasswordwhenloggingintoWindows (GescanntenFingerabdruckanstelledesKennwortsbeiderWindows-Anmeldungverwenden)aus, klickenSieaufOKunddannaufClose(Schließen),umdasFensterzuschließen.

15.StartenSiedenComputererneutundstellenSiesicher,dassIhrFingerabdruckzumAnmeldenbei WindowsmitdeminternenSensorfürFingerabdrückeverwendetwerdenkann.

ClientSecuritySolutionundPasswordManager

AndersalsbeiderWindows-AnmeldungfunktionierenAuthentizierungsanforderungenvonClientSecurity SolutionundPasswordManagernurmitdembevorzugtenSensorfürFingerabdrücke.Wennz.B.eine TastaturmitLesegerätfürFingerabdrückeangeschlossenwird,istihrSensorfürFingerabdrückedas bevorzugteGerät.WennkeineTastaturmitLesegerätfürFingerabdrückeangeschlossenist,istderim ThinkPadintegrierteSensorfürFingerabdrückedasbevorzugteGerät.

ErstellenSiezumÄnderndesbevorzugtenGerätsdenfolgendenRegistrierungseintrag:

[HKLM\Software\Lenovo\TVTCommon\ClientSecuritySolution] REG_DWORD"Pref erInternalFPSensor"=1

Kapitel6.BewährteVerfahren71

Tabelle32.Registrierungsschlüssel

Name(Name)WertBeschreibung

Pref erInternalFPSensor

0(Standardwert)Gibtan,dassderexterneSensor

fürFingerabdrückeimmerdann bevorzugtwird,wenneineTastatur mitLesegerätfürFingerabdrücke angeschlossenist.

Gibtan,dassderinterneSensorfür Fingerabdrückebevorzugtwird.

AuthentizierungvordemStarten–Fingerabdruckanstelleder BIOS-Kennwörterverwenden

AndersalsbeiderWindows-AnmeldungfunktionierenAuthentizierungsanforderungenfürBIOS-Kennwörter nurmitdemSensorfürFingerabdrücke,wenndasBIOSfürdieVerwendungkonguriertist.Standardmäßig erkenntdasBIOSdieEingabenüberdieT astaturmitLesegerätfürFingerabdrücke,wenndiese angeschlossenist.WenndieT astaturmitLesegerätfürFingerabdrückenichtangeschlossenist,erkenntdas BIOSdieEingabenüberdasinterneLesegerätfürFingerabdrückefürdieAuthentizierung.

DieBIOS-EinstellungReaderPrioritykannsogeändertwerden,dassdieVerwendungdesinternenSensors fürFingerabdrückeerzwungenwird,auchwenndieexterneTastaturmitLesegerätfürFingerabdrücke angeschlossenist.DerStandardwertfürReaderPrioritylautetExternal.DieEinstellungkanninInternal

Onlygeändertwerden,umdieVerwendungdesinternenSensorsfürFingerabdrückezuerzwingen.

Anmerkung:DieseBIOS-EinstellunggiltnurfürdieAufforderungenzumEingebenvonFingerabdrücken

fürdasBIOS.SiehatkeineAuswirkungenaufdieWindows-AnmeldungoderaufAnforderungenfürdie AuthentizierungüberFingerabdruckvonClientSecuritySolution.

FingerprintSoftwarefürdasAktivierenderAuthentizierungvordemStarten kongurieren

WennSieeinAdministrator-,Start-oderFestplattenkennwortimBIOSfestgelegthaben,könnenSiedie FingerprintSoftwarefürdieAuthentizierungverwenden,anstattdieseKennwörtereinzugeben.

LenovoFingerprintSoftware–fürdeninternenSensorfürFingerabdrücke

1.KlickenSieaufStart➙Programme(oderAlleProgramme)➙ThinkVantage➙LenovoFingerprint Software,umdieLenovoFingerprintSoftwarezustarten.

2.ZiehenSiedenFingerüberdasLesegerätodergebenSiedasWindows-Kennwortein,wennSiedazu aufgefordertwerden.

3.KlickenSieobenimFensteraufdieOptionSettings(Einstellungen).

4.WählenSiedasKontrollkästchenUsengerprintscaninsteadofpower-onandharddrive passwords(GescanntenFingerabdruckanstelledesStart-undFestplattenkennwortsverwenden)und dasKontrollkästchenAlwaysshowpower-onsecurityoptions(Startsicherheitsoptionenimmer anzeigen)aus.

5.KlickenSieaufOK,umdasFensterzuschließen.

6.WählenSieeinenderregistriertenFingerabdrückeaus,umdenFingerabdruckzuaktivierenunddie BIOS-Kennwörterzuersetzen.

7.KlickenSieaufClose(Schließen),umdasFensterzuschließen.

ThinkVantageFingerprintSoftware–fürdenexternenSensorfürFingerabdrücke

1.StartenSiedieFingerprintSoftwaremithilfeeinerderfolgendenMethoden:

•KlickenSieaufStart➙Programme(oderAlleProgramme)➙ThinkVantage➙ThinkVantage

FingerprintSoftware.

72ClientSecuritySolution8.3Implementierungshandbuch

•KlickenSieaufdasSymbolfürdieThinkVantageFingerprintSoftwareimFenster„Lenovo

ThinkVantageTools“.

2.ZiehenSiedenFingerüberdasLesegerätodergebenSiedasWindows-Kennwortein,wennSiedazu aufgefordertwerden.

3.KlickenSieobenimFensteraufdieOptionSettings(Einstellungen).

5.KlickenSieaufOK,umdasFensterzuschließen.

6.WählenSieeinenderregistriertenFingerabdrückeaus,umdenFingerabdruckzuaktivierenunddie BIOS-Kennwörterzuersetzen.

7.KlickenSieaufClose(Schließen),umdasFensterzuschließen.

Kapitel6.BewährteVerfahren73

74ClientSecuritySolution8.3Implementierungshandbuch

AnhangA.HinweisezurVerwendungdesLenovoFingerprint KeyboardzusammenmiteinigenThinkpad-Notebookmodellen

DasLesegerätfürFingerabdrücke,dasineinigenThinkPad-Notebookmodellenverwendetwird, unterscheidetsichvomLesegerätfürFingerabdrücke,dasimLenovoFingerprintKeyboardintegriertist. WenndieTastaturmitLesegerätfürFingerabdrückezusammenmitbestimmtenThinkPad-Notebookmodellen verwendetwird,sindmöglicherweisebesondereHinweiseerforderlich.

WeitereInformationenhierzundenSieaufderDownloadseitefürdieFingerprintSoftwareaufderLenovo Website;dorterhaltenSieeineListedieserThinkPad-Notebookmodelle.

NurfürdieModelle,diefürdie„LenovoFingerprintSoftware“aufgeführtsind,sindbeiderVerwendung zusammenmitderTastaturmitLesegerätfürFingerabdrückebesondereHinweiseerforderlich.Beiallen anderenThinkPad-Notebookmodellen,diedie„ThinkVantageFingerprintSoftware“verwenden,wirdein LesegerätfürFingerabdrückeverwendet,dasmitderTastaturmitLesegerätfürFingerabdrückekompatibel ist,sodasskeinebesonderenHinweiseerforderlichsind.

KongurationundEinrichtung

MindestensLenovoFingerprintSoftware2.0mussfürdieVerwendungzusammenmitdemLesegerät fürFingerabdrücke,dasimThinkPad-Notebookverwendetwird,installiertsein.Benutzermüssenihre FingerabdrückeunterVerwendungdesintegriertenLesegerätsfürFingerabdrückemitderLenovoFingerprint Softwareregistrieren.

MindestensThinkVantageFingerprintSoftware5.8mussfürdieVerwendungzusammenmitdemLenovo FingerprintKeyboardinstalliertsein.BenutzermüssenihreFingerabdrückeauchunterVerwendungder TastaturmitLesegerätfürFingerabdrückemitderThinkVantageFingerprintSoftwareregistrieren.

Anmerkung:Fingerabdrücke,diemiteinemderbeidenGeräteregistriertwurden,sindnichtaustauschbar undkönnennichtmitdemanderenGerätverwendetwerden.

Pre-desktopauthentication

FürdiePredesktop-AuthentizierungwirdentwederdasintegrierteLesegerätfürFingerabdrückeoder dieT astaturmitLesegerätfürFingerabdrückeverwendet(wodurchdasStartkennwortdesSystemsoder dasFestplattenkennwortdurcheinenFingerabdruckersetztwird).DasBIOSbestimmt,welcheEinheitzu verwendenist,wenndasSystemeingeschaltetwird.

StandardmäßigakzeptiertdasBIOSEingabennurüberdieT astaturmitLesegerätfürFingerabdrücke, wenndieseangeschlossenist.EingabenüberdasintegrierteLesegerätfürFingerabdrückewerdenfürdie Predesktop-Authentizierungignoriert,wenneineTastaturmitLesegerätfürFingerabdrückeangeschlossen ist.WenndieT astaturmitLesegerätfürFingerabdrückenichtangeschlossenist,wirddasintegrierte LesegerätfürFingerabdrückefürdiePredesktop-Authentizierungverwendet.

DieBIOS-Einstellungfür„ReaderPriority“kannsogeändertwerden,dassderintegrierteSensorfür Fingerabdrückeverwendetwird.Wennfür„ReaderPriority“dieEinstellung„Internalonly“festgelegtist,kann derintegrierteSensorfürFingerabdrückefürdiePredesktop-Authentizierungverwendetwerden.Eingaben überdieTastaturmitLesegerätfürFingerabdrückewerdenindiesemFallignoriert.

Windows-Anmeldung

SowohldasLenovoFingerprintKeyboardalsauchdasLesegerätfürFingerabdrückedes ThinkPad-Notebook-ComputersstellenjeweilseineeigeneSchnittstellefürBenutzerfürdieAnmeldungbei WindowsmiteinemregistriertenFingerabdruckbereit.

Wichtig:BeiderWindows-AnmeldungkannesmöglicherweisezuKompatibilitätsproblemenkommen,wenn dieSchnittstellenfürdieAnmeldungüberFingerabdrucknichtordnungsgemäßkonguriertsind.

WennderThinkPad-Notebook-ComputersowohlüberdasLenovoFingerprintKeyboardalsauchüberdas integrierteLesegerätfürFingerabdrückeverfügtunddasProgramm„ClientSecuritySolution“installiert ist,gibteszweiMöglichkeiten,sichbeimBetriebssystemWindows7mithilfederAuthentizierungüber Fingerabdrückeanzumelden:

•FingerprintSoftware-AnmeldeschnittstelleverwendenEsmüssendieAnmeldeschnittstellenvonLenovo FingerprintSoftwareundvonThinkVantageFingerprintSoftwareaktiviertsein.WennunterWindows 7beideSchnittstellenfürdieAnmeldungüberFingerabdruckaktiviertsind,könnenBenutzerden FingerentwederüberdieT astaturmitLesegerätfürFingerabdrückeoderdasintegrierteLesegerätfür Fingerabdrückeziehen,umsichanzumelden.

•ClientSecuritySolution-AnmeldeschnittstelleverwendenDieAnmeldeschnittstellevonClientSecurity SolutionkannstattderFingerprintSoftware-Anmeldeschnittstellenverwendetwerden.BeiVerwendung derClientSecuritySolution-AnmeldeschnittstellezurAnmeldungbeimWindows-Betriebssystem mitderAuthentizierungüberFingerabdrückeistdieFingerprintSoftware-Anmeldunginden EinstellungendesjeweiligenFingerprintSoftware-Arbeitsbereichsinaktiviert.DieClientSecurity Solution-AnmeldeschnittstelleistinderOptionzumVerwaltenvonSicherheitsrichtlinienimMenü

ErweitertderAnwendung„ClientSecuritySolution“konguriert.

Anmerkungen:

1.DieBIOS-Einstellung„ReaderPriority“giltindieserSituationnicht.WennbeideGeräteverfügbar sind,könnenSieauswählen,welchesGerätfürdieAnmeldungverwendetwerdensoll.

2.NurVersionenabClientSecuritySolution8.3unterstützendieseFunktion.NähereInformationen hierzundenSiein„AuthentizierungmitClientSecuritySolution“aufSeite76.

AuthentizierungmitClientSecuritySolution

Anmerkung:DiefolgendenInformationengeltenerstabClientSecuritySolution8.3.FrühereVersionenvon

ClientSecuritySolutionunterstützennichtdieVerwendungdesintegriertenLesegerätsfürFingerabdrücke zusammenmitderT astaturmitLesegerätfürFingerabdrücke.

WenneineAktioninClientSecuritySolutiondurchgeführtwird,fürdieeineAuthentizierungüber Fingerabdruckerforderlichist,wiez.B.dasautomatischeEingebeneinesKennwortsaufeinerWebsite mitPasswordManager,müssenBenutzerbeientsprechenderEingabeaufforderungeinenFingerüber dieTastaturmitLesegerätfürFingerabdrückeziehen,wenndieseangeschlossenist.Eingabenüber dasintegrierteLesegerätfürFingerabdrückewerdenignoriert,wenndieTastaturmitLesegerätfür Fingerabdrückeangeschlossenist.WenndieTastaturmitLesegerätfürFingerabdrückenichtangeschlossen ist,mussderintegrierteSensorfürFingerabdrückeverwendetwerden.

EsgibteineRegistrierungseinstellung,mitdererzwungenwerdenkann,dassBenutzerdenintegrierten SensorfürFingerabdrückefürdieAuthentizierungmitClientSecuritySolutionverwenden.Wenndieser Registrierungseintragfestgelegtist,mussdieAuthentizierungmitClientSecuritySolutionüberden integriertenSensorvorgenommenwerdenundEingabenüberdieTastaturmitLesegerätfürFingerabdrücke werdenignoriert.

DerRegistrierungseintraglautetwiefolgt:

76ClientSecuritySolution8.3Implementierungshandbuch

[HKLM\Software\Lenovo\TVTCommon\ClientSecuritySolution] REG_DWORD"Pref erInternalFPSensor"=1

DerStandardwertdesobigenRegistrierungseintragsist0,wenndieAuthentizierungüberFingerabdruck mitClientSecuritySolutionüberdieTastaturmitLesegerätfürFingerabdrückevorgenommenwerdenmuss, undEingabenüberdasintegrierteLesegerätfürFingerabdrückewerdenignoriert.

DieseEinstellungkannauchüberdieClientSecuritySolution-SchablonendateimitdenGruppenrichtlinien fürActiveDirectorygeändertwerden.

Anmerkungen:

1.WennfürdieEinstellungfürBIOSReaderPrioritydieOptionInternalonlyfestgelegtist,empehlt

essich,denRegistrierungseintragauf„1“zusetzen.HierdurchwirddieAuthentizierungmitClient SecuritySolutionaktiviert,umdieEinstellungfürdieBIOS-Predesktop-Authentizierungzusimulieren.

2.DieBIOS-EinstellungunddieseRegistrierungseinstellungsindvoneinanderunabhängig.

AnhangA.HinweisezurVerwendungdesLenovoFingerprintKeyboardzusammenmiteinigenThinkpad-Notebookmodellen77

78ClientSecuritySolution8.3Implementierungshandbuch

AnhangB.Windows-KennwortnachdemZurücksetzenmit ClientSecuritySolutionabgleichen

NachdemZurücksetzendesWindows-KennwortsfordertClientSecuritySolutionSiekontinuierlichauf,ein neuesWindows-Kennwortanzugeben,zeigtdannabereineFehlernachrichtan,dassdasKennwortfalsch ist.DieWindows-Sicherheitsfunktionistsokonzipiert,dassdieSicherheitsberechtigungsnachweisebeim ZurücksetzendesWindows-Kennwortsungültigwerden.WindowsgibtbeijedemVersuch,dasKennwort zurückzusetzen,eineWarnungaus.ZudemistnichtnurClientSecuritySolutiondurchdasZurücksetzen desWindows-Kennwortsbetroffen,sondernSieverlierenauchdenZugriffaufIhremitWindowsEFS verschlüsseltenZertikateundDateien.WennClientSecuritySolution(nachdemZurücksetzendes Kennworts)nichtmehraufIhreWindows-Sicherheitsberechtigungsnachweisezugreifenkann,fordert ClientSecuritySolutionSiekontinuierlichauf,dasneueKennworteinzugeben,undzeigtdanneine Fehlernachrichtan,dassdaseingegebeneKennwortungültigist.ClientSecuritySolutionfunktioniert nicht,wenndieWindows-SicherheitsberechtigungsnachweiseaufdieseWeiseungültiggemachtwerden. WenndasWindows-Kennwortgeändertwurde(Siewerdenz.B.aufgefordert,sowohldasaltealsauch dasneueKennwortanzugeben)werdenIhreSicherheitsberechtigungsnachweisebeibehaltenunddurch dasneueKennwortgeschützt.

GehenSiewiefolgtvor,umdasKennwortnachdemZurücksetzendesWindows-KennwortsmitCSS abzugleichen:

1.StellenSieeineSicherungskopiedesSystemsvordemZurücksetzendesWindows-Kennwortswieder her.

2.SetzenSiedasWindows-KennwortaufdasursprünglicheKennwortzurück.DadurchsolltederZugriff aufdieWindows-Sicherheitsberechtigungsnachweisewiederhergestelltwerden.

3.ErstellenSieeinneuesWindows-BenutzerkontoundverwendenSiediesesanstelledesursprünglichen KontosmitdenbeschädigtenBerechtigungsnachweisen.

4.GehenSiewiefolgtvor,umdasSystemwiederherzustellen: a.StartenSiePasswordManager. b.KlickenSieaufImport/ExportundwählenSiedieOptionExportentrylist(Eintragslisteexportieren)

aus. c.GebenSieeinePositionzumSpeichernderDateiundeinenDateinamenein. d.GebenSieeinKennwortfürdieDateimitdenEinträgenein. e.SchließenSiePasswordManager. f.StartenSieClientSecuritySolution. g.KlickenSieaufAdvanced(Erweitert)➙Resetsecuritysettings(Sicherheitseinstellungen

zurücksetzen). h.GebenSiebeientsprechenderEingabeaufforderungdasneueWindows-Kennwortein. i.ClientSecuritySolutionfordertSiezumerneutenStartendesSystemsauf. j.StartenSienachdemSystemwiederanlaufPasswordManager. k.KlickenSieaufImport/ExportundwählenSiedieOptionImportentrylist(Eintragslisteimportieren)

aus. l.BlätternSiezurzuvorgespeichertenDatei. m.GebenSiebeientsprechenderEingabeaufforderungdasKennwortein.

80ClientSecuritySolution8.3Implementierungshandbuch

AnhangC.ClientSecuritySolutionaufeinemerneut installiertenWindows-Betriebssystemverwenden

WennIhrWindows-Betriebssystem,dasmitClientSecuritySolutioninstalliertist,erneutinstalliertwurde, müssenSiedieInstallationsdatenvonClientSecuritySolutionlöschenundClientSecuritySolutionerneut installieren,umClientSecuritySolutionunterdemneuinstalliertenWindows-Betriebssystemzuverwenden.

EinbewährtesVerfahrenistdasfolgende:

1.DeinstallierenSieClientSecuritySolutionvondemaktuellenWindows-Betriebssystem.

2.StartenSiedenComputerneu.

3.LöschenSieinderRegistrierungsdatenbankdiefolgendenDaten:

•[HKEY_LOCAL_MACHINE\SOFTWARE\Lenovo\TVTCommon\ClientSecuritySolution]

•[HKEY_LOCAL_MACHINE\SOFTWARE\Lenovo\ClientSecuritySolution]

•[HKEY_LOCAL_MACHINE\SOFTWARE\Lenovo\Logs]

•[HKEY_LOCAL_MACHINE\SOFTWARE\IBM\Security\Debug]

4.LöschenSiediezuClientSecuritySolutionzugehörigenDatenaufderC-Partition.Eswirdempfohlen, dieDatenaufdergesamtenC-PartitionmitderOptionzusuchen,alleverdecktenDateienimFenster zudenDateioptionenanzuzeigen.DasErgebnisndenSieandenfolgendenPositionen,istjedoch nichtdaraufbegrenzt:

•C:\Users\AllUsers\AppData\Roaming\ClientSecuritySolution

•C:\Users\%USER%\AppData\Roaming\ClientSecuritySolution

5.LöschenSiedenSicherheitschipimBIOS-KongurationsdienstprogrammundaktivierenSieden Sicherheitschip,indemSiewiefolgtvorgehen:

a.FahrenSiedenComputerherunter. b.SchaltenSiedenComputereinunddrückenSiedieTasteF1,umdas

BIOS-Kongurationsdienstprogrammzuöffnen.

c.WählenSieSecurityaus. d.DrückenSiedieEingabetasteundwählenSieClearSecurityChipaus. e.DrückenSiedieEingabetasteundwählenSieYesaus,umVerschlüsselungsschlüsselzulöschen. f.WählenSieSecurityChipausunddrückenSiedieEingabetaste,umActiveauszuwählen.

Anmerkung:WennSieClientSecuritySolutionnichtindenHardware-TPM-Modusversetzen möchten,legenSiefürdenSicherheitschipdieOptionDisabledfest.

6.StartenSiedenComputererneutundinstallierenSieerneutdasProgramm„ClientSecuritySolution“.

Anmerkung:WennSiedenInstallationsmodusdesPrograms„ClientSecuritySolution“von SoftwareemulationsmodusinTPM-basiertenHardwaremodusändernoderwennSiedenSicherheitschip gelöschthaben,versuchtClientSecuritySolutionvorhandeneDatenwiederherzustellen,wennesdie TPM-Änderungfeststellt.DerVersuchwirdfehlschlagen,dadieverschlüsseltenDatennichtvondenneuen TPM-Datenentschlüsseltwerdenkönnen.IndiesemFalltrittbeimStartenvonClientSecuritySolutionein Fehlerauf.

82ClientSecuritySolution8.3Implementierungshandbuch

AnhangD.TPMaufThinkPad-Notebook-Computern verwenden

DerHauptnutzungsfallfürdasTPMistdieBitLocker-Funktion,dieinbestimmtenVersionenvonMicrosoft WindowsVistaundWindows7enthaltenist.DieserAnhangbietetAntwortenaufdiefolgendenhäug gestelltenFragenbeimBereitstellenvonBitLockerinWindows-Umgebungen.

•„WiewirdBitLockerremotebereitgestellt?“aufSeite83

•„WiefunktioniertdieTPM-Sperrung?“aufSeite84

WiewirdBitLockerremotebereitgestellt?

BeiderVerwendungderstandardmäßigenWindows-ToolszumAktivierendesTPMwiederDatei „manage-bde.exe“oderderTPM-SystemsteuerungmussderComputervollständigheruntergefahren werden.WennSiedenComputerdannerneuteinschalten,müssenSieeineTastedrücken,umdieAktion zubestätigen.BeidieserArtderInteraktionistesunmöglich,BitLockerremoteundunbeaufsichtigt bereitzustellen.

EsgibtzweiverschiedeneStatustypeninBezugaufdasTPM:„Enabled“(Eingeschaltet)und„Activated“ (Aktiviert).EineingeschaltetesTPMistnichtunbedingtaktiviert,genauwieeinaktiviertesTPMnicht unbedingteingeschaltetist.DasTPMmussvorderVerwendungvonBitLockereingeschaltetundaktiviert sein.ThinkPad-Notebook-ComputerwerdenimmermiteinemTPMimeingeschaltetenunddeaktivierten Statusausgeliefert.DahermüssenSiedenTPM-Statusalsaktiviertfestlegen,umBitLockererfolgreich bereitzustellen.

Seit2008wirdaufThinkPad-Notebook-ComputernWindowsManagementInstrumentation(WMI) bereitgestellt,umbeliebigeBIOS-Einstellungen(einschließlichdesaktiviertenStatusdesTPM)zuändern. WMIkannremotegescriptetundausgeführtwerdenunderfordertkeinepersönlicheInteraktionam Computer.

GehenSiewiefolgtvor,umdieBIOS-Einstellungzuändern:

1.RufenSiediefolgendeWebsiteauf: http://support.lenovo.com/en_US/detail.page?LegacyDocID=MIGR-68488

2.KlickenSieaufSampleScriptsforBIOSDeploymentGuide(Beispiel-Scriptsfür BIOS-Bereitstellungshandbuch),umdieDatei„script.zip“herunterzuladen.ExtrahierenSiedanndie ZIP-Datei.

3.GebenSieimBefehlszeilenfenstercscript.exeSetCong.vbsSecurityChipActiveein,umdieDatei „SetCong.vbs“auszuführen.WennSieeinBIOS-Administratorkennwortverwenden,gebenSie cscript.exeSetCongPassword.vbsSecurityChipActiveindasBefehlszeilenfensterein,umstattdessen dieDatei„SetCongPassword.vbs“auszuführen.

4.StartenSiedenComputerzweimalneu.BeimerstenNeustartwirddieBIOS-Einstellunggeändertund beimzweitenNeustartwirddieBIOS-Einstellungwirksam.

Anmerkung:BeiderobenbeschriebenenVorgehensweisewirddasTPMnuraufComputernaktiviert, aufdenndasTPMbereitseingeschaltetist(z.B.beiModellenmitWerkseinstellungen).WennSiedas TPMmithilfederWindows-ToolswiederDatei„manage-bde.exe“oderderTPM-Systemsteuerung ausgeschaltethaben,müssenSiedasTPMzunächstmithilfederselbenMethodeerneuteinschalten,mit deresausgeschaltetwurde.

WiefunktioniertdieTPM-Sperrung?

EinederwichtigstenSicherheitsfunktionendesTPMbestehtimVermeidenvon„Hammering“.Dabeihandelt essichumdenVersuch,TPM-KennwörteraufautomatischeWeisezuerraten.JedesTPMimplementiert eineAnti-Hammering-MethodeundwenneinAngrifferkanntwird,wechseltdasTPMindenSperrmodus. Dasbedeutet,dassweitereKennwortrateversucheignoriertwerden,bisderSperrmodusendet.DieTrusted ComputingGroup(dieOrganisation,diedasTPM-Verhaltendeniert)hatjedochkeinenStandardfürdie TPM-Sperredeniert,daherhatjederTPM-HerstellerseineeigeneImplementierungzumSperrenentwickelt. LenovohatTPMsvondenfolgendenvierverschiedenenHerstellernverwendet:

•Atmel- ThinkPadT60/R60/X60/X300,ThinkCentreM57

•Intel-ThinkPadT500/R500/X200/X301

•STMicro-ThinkPadT410/T510/X201/T420/T520/X220,ThinkCentreM90

•Winbond- ThinkCentreM58

DieseTPMsweisenverschiedeneCharakteristikenauf,wennSieindenSperrmoduswechseln,wie nachfolgendbeschriebenist:

AtmelTPM:

•KeineSperrungbeidenersten15falschenKennwortversuchen.

•Der16.falscheKennwortversuchführtzueinemSperrzeitraumvon1,1Minuten.

•Dannerfolgtwährenddernächsten15falschenKennwortversuchekeineSperrung.

•DernächsteSperrzeitraumdauert2,2Minuten.

•JederSperrzeitraumverdoppeltsichnachjeweils15falschenKennwortversuchenbiszueinem maximalenSperrzeitraumvon4,7Stunden.

•DieSperrewirdzurückgesetzt,wennderComputerausgeschaltetwird.

IntelTPM:

•KeineSperrungbeidenersten100falschenKennwortversuchen.

•Der101.falscheKennwortversuchführtzueinemSperrzeitraumvon16Sekunden.

•JedernachfolgendefalscheKennwortversuchführtzueinemdoppeltsolangenSperrzeitraumwieder vorherigeSperrzeitraumundesgibtkeinenmaximalenSperrzeitraum.

•DerZählerfürfalscheKennwörterverringertsichjedeStundeum1,biser0erreicht.

STMicroTPM:

•KeineSperrungbeidenersten40falschenKennwortversuchen.

•Der41.falscheKennwortversuchführtzueinemSperrzeitraumvondreiSekunden.

•JedernachfolgendefalscheKennwortversuchführtzueinemdoppeltsolangenSperrzeitraumwieder vorherigeSperrzeitraumunddermaximaleSperrzeitraumlautetzweiStunden.

WinbondTPM:

•DererstefalscheKennwortversuchführtzueinemSperrzeitraumvon0,25Sekunden.

•JedernachfolgendefalscheKennwortversuchführtzueinemdoppeltsolangenSperrzeitraumwieder vorherigeSperrzeitraumunddermaximaleSperrzeitraumlautet14Stunden.

84ClientSecuritySolution8.3Implementierungshandbuch

Anmerkung:Bei13falschenKennwortversuchenwirdeinSperrzeitraumvoneinerSekundeerreicht.

•Nach24StundenwirdderZählerfürfalscheKennwörteraufNullzurückgesetzt.

AnhangD.TPMaufThinkPad-Notebook-Computernverwenden85

86ClientSecuritySolution8.3Implementierungshandbuch

AnhangE.Bemerkungen

MöglicherweisebietetLenovodieindieserDokumentationbeschriebenenProdukte,Servicesoder FunktioneninanderenLändernnichtan.InformationenüberdiegegenwärtigimjeweiligenLandverfügbaren ProdukteundServicessindbeimLenovoAnsprechpartnererhältlich.HinweiseaufLenovoLizenzprogramme oderandereLenovoProduktebedeutennicht,dassnurProgramme,ProdukteoderServicesvonLenovo verwendetwerdenkönnen.AnstellederLenovoProdukte,ProgrammeoderServiceskönnenauchandere ihnenäquivalenteProdukte,ProgrammeoderServicesverwendetwerden,solangediesekeinegewerblichen oderanderenSchutzrechtevonLenovoverletzen.DieVerantwortungfürdenBetriebderProdukte, ProgrammeoderServicesinVerbindungmitFremdproduktenundFremdservicesliegtbeimKunden,soweit solcheVerbindungennichtausdrücklichvonLenovobestätigtsind.

FürindiesemHandbuchbeschriebeneErzeugnisseundVerfahrenkannesLenovoPatenteoder Patentanmeldungengeben.MitderAuslieferungdieserDokumentationistkeineLizenzierungdieserPatente verbunden.LizenzanfragensindschriftlichanfolgendeAdressezurichten(AnfragenandieseAdresse müssenaufEnglischformuliertwerden):

Lenovo(UnitedStates),Inc. 1009ThinkPlace-BuildingOne Morrisville,NC27560 U.S.A. Attention:LenovoDirectorofLicensing

LenovostelltdieVeröffentlichungohneWartung(auf„as-is“-Basis)zurVerfügungundübernimmtkeine GarantiefürdieHandelsüblichkeit,dieVerwendungsfähigkeitfüreinenbestimmtenZweckunddie FreiheitderRechteDritter.EinigeRechtsordnungenerlaubenkeineGarantieausschlüssebeibestimmten Transaktionen,sodassdieserHinweismöglicherweisenichtzutreffendist.

TrotzsorgfältigerBearbeitungkönnentechnischeUngenauigkeitenoderDruckfehlerindieser Veröffentlichungnichtausgeschlossenwerden.DieAngabenindiesemHandbuchwerdeninregelmäßigen Zeitabständenaktualisiert.LenovokannjederzeitVerbesserungenund/oderÄnderungenandenindieser VeröffentlichungbeschriebenenProduktenund/oderProgrammenvornehmen.

DieindiesemDokumentbeschriebenenProduktesindnichtzurVerwendungbeiImplantationenoder anderenlebenserhaltendenAnwendungen,beideneneinNichtfunktionierenzuVerletzungenoderzum Todführenkönnte,vorgesehen.DieInformationenindiesemDokumentbeeinussenoderändernnicht dieLenovoProduktspezikationenoderGarantien.KeinePassagenindieserDokumentationstellen eineausdrücklicheoderstillschweigendeLizenzoderAnspruchsgrundlagebezüglichdergewerblichen SchutzrechtevonLenovoodervonanderenFirmendar.AlleInformationenindieserDokumentation beziehensichaufeinebestimmteBetriebsumgebungunddienenzurVeranschaulichung.Inanderen BetriebsumgebungenwerdenmöglicherweiseandereErgebnisseerzielt.

WerdenanLenovoInformationeneingesandt,könnendiesebeliebigverwendetwerden,ohnedasseine VerpichtunggegenüberdemEinsenderentsteht.

VerweiseindieserVeröffentlichungaufWebsitesandererAnbieterdienenlediglichalsBenutzerinformationen undstellenkeinerleiBilligungdesInhaltsdieserWebsitesdar.DasüberdieseWebsitesverfügbareMaterial istnichtBestandteildesMaterialsfürdiesesLenovoProdukt.DieVerwendungdieserWebsitesgeschieht aufeigeneVerantwortung.

AlleindiesemDokumententhaltenenLeistungsdatenstammenauseinergesteuertenUmgebung.Die Ergebnisse,dieinanderenBetriebsumgebungenerzieltwerden,könnendahererheblichvondenhier erzieltenErgebnissenabweichen.EinigeDatenstammenmöglicherweisevonSystemen,derenEntwicklung

nochnichtabgeschlossenist.EineGarantie,dassdieseDatenauchinallgemeinverfügbarenSystemen erzieltwerden,kannnichtgegebenwerden.DarüberhinauswurdeneinigeDatenunterUmständendurch Extrapolationberechnet.DietatsächlichenErgebnissekönnenabweichen.BenutzerdiesesDokuments solltendieentsprechendenDateninihrerspezischenUmgebungprüfen.

Marken

DiefolgendenAusdrückesindMarkenderLenovoGroupLimitedindenUSAund/oderanderenLändern:

Lenovo ThinkCentre ThinkPad ThinkVantage

Microsoft,InternetExplorer,WindowsServerundWindowssindMarkenderMicrosoft-Unternehmensgruppe.

WeitereUnternehmens-,Produkt-oderServicenamenkönnenMarkenandererHerstellersein.

88ClientSecuritySolution8.3Implementierungshandbuch

Glossar

Administratorkennwort (ThinkCentre)/Supervisorkennwort(ThinkPad)zum ÄndernderBIOS-Einstellungen

AES(AdvancedEncryptionStandard)BeiAEShandeltessichumeine

VerschlüsselungssystemeVerschlüsselungssystemekönnenallgemein

MitdemAdministratorkennwort/Supervisorkennwort wirddieMöglichkeitzumÄndernder BIOS-Einstellungengesteuert.Diesumfasst dasAktivierenoderInaktivierendesintegrierten SicherheitschipsunddasLöschendesSRK (StorageRootKey),derimTPM(TrustedPlatform Module)gespeichertist.

Verschlüsselungstechnikmitsymmetrischem Schlüssel.SeitOktober2000verwendet dieUS-RegierungdiesenAlgorithmusals Verschlüsselungstechnik,wobeiAESdie DES-Verschlüsselungersetzthat.AESbietet höhereSicherheitgegenBrute-Force-Attackenals 56-Bit-DES-Schlüssel.AESkannggf.128-,192und256-Bit-Schlüsselverwenden.

klassiziertwerdenindieVerschlüsselung mitsymmetrischemSchlüssel,beiderein einzelnerSchlüsselfürdieVerschlüsselungund EntschlüsselungvonDatengenutztwird,undindie VerschlüsselungmitöffentlichemSchlüssel,bei derzweiSchlüssel(einöffentlicherSchlüssel,der allenbekanntist,undeinprivaterSchlüssel,auf dennurderBesitzerdesSchlüsselpaarsZugriffhat) verwendetwerden.

EmbeddedSecurityChip„IntegrierterSicherheitschip“isteinandererName

fürdasTPM(TrustedPlatformModule).

Verschlüsselungmitöffentlichem Schlüssel/asymmetrischemSchlüssel

AlgorithmenmitöffentlichemSchlüsselverwenden gewöhnlicheinPaarzusammengehörigerSchlüssel. Dabeihandeltessichumeinengeheimenprivaten SchlüsselundeinenöffentlichenSchlüssel,der verbreitetwerdenkann.DiebeidenSchlüssel einesPaaressolltennichtvoneinanderabgeleitet werdenkönnen.DerBegriff„Verschlüsselung mitöffentlichemSchlüssel“istvonderIdee, dieInformationenzumöffentlichenSchlüssel allgemeinzugänglichzumachen,abgeleitet. DanebenwirdauchderBegriff„Verschlüsselungmit asymmetrischemSchlüssel“verwendet,danicht alleParteienüberdieselbenInformationenverfügen. IngewisserWeise„verschließt“einSchlüssel einSchloss(Verschlüsselung),undeinanderer Schlüsselistfürdas„Aufschließen“desSchlosses (Entschlüsselung)erforderlich.

Speicher-Rootschlüssel(SRK,StorageRootKey)BeimSpeicher-Rootschlüssel(SRK)handeltessich

umeinöffentlichesSchlüsselpaarmitmindestens

2.048Bit.Eristursprünglichleerundwirdbei derZuordnungdesTPM-Eignerserstellt.Dieses Schlüsselpaarverbleibtimmerimintegrierten Sicherheitschip.EsdientzumVerschlüsseln (Verpacken)vonprivatenSchlüsselnfürdas SpeichernaußerhalbdesTPMs(TrustedPlatform Module)undzumEntschlüsselnderSchlüssel, wenndiesewiederindasTPMgeladenwerden.Der SRKkannvonjedemBenutzermitZugriffaufdas BIOSgelöschtwerden.

VerschlüsselungmitsymmetrischemSchlüssel

BeiVerschlüsselungmitsymmetrischem SchlüsselwirdfürdieVerschlüsselungundfürdie EntschlüsselungvonDatenderselbeSchlüssel verwendet.Verschlüsselungenmitsymmetrischem Schlüsselsindeinfacherundschneller.Ihr größterNachteilbestehtdarin,dassdiebeiden ParteieneinensicherenWegndenmüssen,den Schlüsselauszutauschen.BeiVerschlüsselung mitöffentlichemSchlüsselbestehtdiesesProblem nicht,daderöffentlicheSchlüsselaufeinemnicht gesichertenWegverbreitetwerdenkannund derprivateSchlüsselnieübertragenwird.AES (AdvancedEncryptionStandard)isteinBeispielfür einensymmetrischenSchlüssel.

TPM(T rustedPlatformModule)TPMs(TrustedPlatformModules)sind

integrierteSchaltkreisefürbesondere Zwecke,diezumErmöglicheneinerstrengen BenutzerauthentizierungundMaschinenprüfung inSystemeintegriertwerden.DerHauptzweck vonTPMsistes,denunberechtigtenZugriff aufvertraulicheundsensibleInformationenzu verhindern.DasTPMisteineaufHardware aufbauendeSicherheitsbasis,dieeineVielzahlvon VerschlüsselungsservicesaufeinemSystemzur Verfügungstellenkann.EinandererNamefürdas TPMist„integrierterSicherheitschip“.

Lenovo ThinkVantage Client Security Solution 8.3 Deployment Guide [de]

Specifications and Main Features

Frequently Asked Questions

User Manual

Einleitung

Kapitel1.Übersicht

ClientSecuritySolution

ClientSecuritySolution-Verschlüsselungstext

ClientSecurity-Kennwortwiederherstellung

PasswordManagervonClientSecurity

SecurityAdvisor

FunktionzumZurücksetzenvonHardwarekennwörtern

UnterstützungfürSystemeohneTPM

FingerprintSoftware

Kapitel2.Installation

ClientSecuritySolution

Installationsvoraussetzungen

AngepassteöffentlicheMerkmale

TPM-Unterstützung(TrustedPlatformModule)

InstallationsverfahrenundBefehlszeilenparameter

Programm„msiexec.exe“verwenden

ÖffentlicheStandardeigenschaftenvonWindowsInstaller

Installationsprotokolldatei

ThinkVantageFingerprintSoftwareinstallieren

UnbeaufsichtigteInstallation

Optionen

LenovoFingerprintSoftwareinstallieren

UnbeaufsichtigteInstallation

Optionen

SystemsManagementServer

Kapitel3.MitClientSecuritySolutionarbeiten

TPMverwenden

TPM(TrustedPlatformModule)unterWindows7verwenden

ClientSecuritySolutionmitChiffrierschlüsselnverwalten

Eigentumsrechtübernehmen

Benutzerregistrieren

Softwareemulation

AustauschderSystemplatine

Schutzdienstprogramm„EFS“

XML-Schemaverwenden

Beispiele

RSASecurID-T okenverwenden

RSASecurID-Software-Tokeninstallieren

Anforderungen

Smart-Card-Zugriffsoptionenfestlegen

RSASecurID-Software-Tokenmanuellinstallieren

ActiveDirectory-Unterstützung

ErzwungeneOptionenzumUmgehendesFingerabdrucks

ErgebnisderÜberprüfungdesFingerabdrucks

Befehlszeilentools

SecurityAdvisor

InstallationsassistentfürClientSecuritySolution

ToolzurVerschlüsselungundEntschlüsselungder Implementierungsdatei

ToolzurVerarbeitungderImplementierungsdatei

TPMENABLE.EXE

TPMaktivierenoderdeaktivieren

ActiveDirectory-Unterstützung

ADM-Schablonendateien

EinstellungenfürGruppenrichtlinien

Kapitel4.MitThinkVantageFingerprintSoftwarearbeiten

Managementkonsolentool

BefehlefürglobaleEinstellungen

SichererModusundkomfortablerModus

SichererModus–Administrator

SichererModus-BenutzermiteingeschränkterBerechtigung

KomfortablerModus-Administrator

KomfortablerModus-BenutzermiteingeschränkterBerechtigung

FingerprintSoftwareundNovellNetwareClient

DienstefürThinkVantageFingerprintSoftware

Kapitel5.MitLenovoFingerprintSoftwarearbeiten

Managementkonsolentool

DienstefürdieLenovoFingerprintSoftware

ActiveDirectory-UnterstützungfürLenovoFingerprintSoftware

Kapitel6.BewährteVerfahren

ImplementierungsbeispielefürdieInstallationvonClientSecurity Solution

Szenario1

Szenario2

ZwischenModivonClientSecuritySolutionwechseln

ActiveDirectory-ImplementierungfürUnternehmen

Standalone-InstallationfürCDoderScriptdateien