Client Security Solution 8.3 Implementierungshandbuch - Lenovo
Client Security Solution 8.3 Implementierungshandbuch - Lenovo
Client Security Solution 8.3 Implementierungshandbuch - Lenovo
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
<strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> <strong>8.3</strong><br />
<strong>Implementierungshandbuch</strong><br />
Aktualisiert: Dezember 2011
Anmerkung: Vor Verwendung dieser Informationen und des darin beschriebenen Produkts sollten die<br />
allgemeinen Hinweise in Anhang E „Bemerkungen“ auf Seite 87 gelesen werden.<br />
Vierte Ausgabe (Dezember 2011)<br />
© Copyright <strong>Lenovo</strong> 2008, 2011.<br />
HINWEIS ZU EINGESCHRÄNKTEN RECHTEN (LIMITED AND RESTRICTED RIGHTS NOTICE): Werden Daten oder<br />
Software gemäß einem GSA-Vertrag (General Services Administration) ausgeliefert, unterliegt die Verwendung,<br />
Vervielfältigung oder Offenlegung den in Vertrag Nr. GS-35F-05925 festgelegten Einschränkungen.
Inhaltsverzeichnis<br />
Einleitung . . . . . . . . . . . . . . . iii<br />
Kapitel 1. Übersicht . . . . . . . . . . . 1<br />
<strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> . . . . . . . . . . . . 1<br />
<strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>-Verschlüsselungstext . . 2<br />
<strong>Client</strong> <strong>Security</strong>-Kennwortwiederherstellung. . . 2<br />
Password Manager von <strong>Client</strong> <strong>Security</strong> . . . . 2<br />
<strong>Security</strong> Advisor . . . . . . . . . . . . . 3<br />
Assistent zur Übertragung von Zertifikaten . . . 4<br />
Funktion zum Zurücksetzen von<br />
Hardwarekennwörtern . . . . . . . . . . . 4<br />
Unterstützung für Systeme ohne TPM. . . . . 4<br />
Fingerprint Software . . . . . . . . . . . . . 4<br />
Kapitel 2. Installation . . . . . . . . . . 7<br />
<strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> . . . . . . . . . . . . 7<br />
Installationsvoraussetzungen . . . . . . . . 7<br />
Angepasste öffentliche Merkmale . . . . . . 7<br />
TPM-Unterstützung (Trusted Platform<br />
Module) . . . . . . . . . . . . . . . . 8<br />
Installationsverfahren und<br />
Befehlszeilenparameter . . . . . . . . . . 9<br />
Programm „msiexec.exe“ verwenden . . . . 11<br />
Öffentliche Standardeigenschaften von<br />
Windows Installer. . . . . . . . . . . . 13<br />
Installationsprotokolldatei . . . . . . . . 14<br />
ThinkVantage Fingerprint Software installieren . . 15<br />
Unbeaufsichtigte Installation . . . . . . . 15<br />
Optionen . . . . . . . . . . . . . . . 15<br />
<strong>Lenovo</strong> Fingerprint Software installieren . . . . . 18<br />
Unbeaufsichtigte Installation . . . . . . . 18<br />
Optionen . . . . . . . . . . . . . . . 18<br />
Systems Management Server . . . . . . . . . 20<br />
Kapitel 3. Mit <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong><br />
arbeiten . . . . . . . . . . . . . . . . 23<br />
TPM verwenden . . . . . . . . . . . . . . 23<br />
TPM (Trusted Platform Module) unter Windows<br />
7 verwenden. . . . . . . . . . . . . . 23<br />
<strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> mit Chiffrierschlüsseln<br />
verwalten . . . . . . . . . . . . . . . . . 24<br />
Eigentumsrecht übernehmen . . . . . . . 24<br />
Benutzer registrieren . . . . . . . . . . 25<br />
Softwareemulation . . . . . . . . . . . 27<br />
Austausch der Systemplatine . . . . . . . 27<br />
Schutzdienstprogramm „EFS“ . . . . . . . 29<br />
XML-Schema verwenden . . . . . . . . . . 30<br />
Beispiele . . . . . . . . . . . . . . . 31<br />
RSA SecurID-Token verwenden . . . . . . . . 37<br />
RSA SecurID-Software-Token installieren . . 37<br />
Anforderungen . . . . . . . . . . . . . 38<br />
Smart-Card-Zugriffsoptionen festlegen . . . 38<br />
RSA SecurID-Software-Token manuell<br />
installieren . . . . . . . . . . . . . . 38<br />
Active Directory-Unterstützung . . . . . . 38<br />
Einstellungen und Richtlinien für die<br />
Authentifizierung über das Lesegerät für<br />
Fingerabdrücke . . . . . . . . . . . . . . 39<br />
Erzwungene Optionen zum Umgehen des<br />
Fingerabdrucks . . . . . . . . . . . . 39<br />
Ergebnis der Überprüfung des<br />
Fingerabdrucks . . . . . . . . . . . . 39<br />
Befehlszeilentools . . . . . . . . . . . . . 39<br />
<strong>Security</strong> Advisor . . . . . . . . . . . . 40<br />
Installationsassistent für <strong>Client</strong> <strong>Security</strong><br />
<strong>Solution</strong> . . . . . . . . . . . . . . . 41<br />
Tool zur Verschlüsselung und Entschlüsselung<br />
der Implementierungsdatei . . . . . . . . 42<br />
Tool zur Verarbeitung der<br />
Implementierungsdatei. . . . . . . . . . 42<br />
TPMENABLE.EXE . . . . . . . . . . . 43<br />
Tool zur Übertragung von Zertifikaten . . . . 43<br />
TPM aktivieren oder deaktivieren. . . . . . 44<br />
Active Directory-Unterstützung . . . . . . . . 46<br />
ADM-Schablonendateien. . . . . . . . . 47<br />
Einstellungen für Gruppenrichtlinien . . . . 48<br />
Kapitel 4. Mit ThinkVantage<br />
Fingerprint Software arbeiten . . . . 53<br />
Managementkonsolentool . . . . . . . . . . 53<br />
Benutzerspezifische Befehle . . . . . . . 53<br />
Befehle für globale Einstellungen. . . . . . 54<br />
Sicherer Modus und komfortabler Modus . . . . 55<br />
Sicherer Modus – Administrator . . . . . . 55<br />
Sicherer Modus - Benutzer mit eingeschränkter<br />
Berechtigung . . . . . . . . . . . . . 56<br />
Komfortabler Modus - Administrator . . . . 57<br />
Komfortabler Modus - Benutzer mit<br />
eingeschränkter Berechtigung . . . . . . . 57<br />
Konfigurierbare Einstellungen . . . . . . . 58<br />
Fingerprint Software und Novell Netware <strong>Client</strong> . . 59<br />
Authentifizierung . . . . . . . . . . . . 60<br />
Dienste für ThinkVantage Fingerprint Software . . 60<br />
Kapitel 5. Mit <strong>Lenovo</strong> Fingerprint<br />
Software arbeiten . . . . . . . . . . . 61<br />
Managementkonsolentool . . . . . . . . . . 61<br />
© Copyright <strong>Lenovo</strong> 2008, 2011 i
Dienste für die <strong>Lenovo</strong> Fingerprint Software . . . 61<br />
Active Directory-Unterstützung für <strong>Lenovo</strong><br />
Fingerprint Software . . . . . . . . . . . . 61<br />
Kapitel 6. Bewährte Verfahren . . . . 63<br />
Implementierungsbeispiele für die Installation von<br />
<strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> . . . . . . . . . . . 63<br />
Szenario 1 . . . . . . . . . . . . . . 63<br />
Szenario 2 . . . . . . . . . . . . . . 65<br />
Zwischen Modi von <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong><br />
wechseln . . . . . . . . . . . . . . . . . 68<br />
Active Directory-Implementierung für<br />
Unternehmen . . . . . . . . . . . . . . . 68<br />
Standalone-Installation für CD oder<br />
Scriptdateien . . . . . . . . . . . . . . . 68<br />
System Update . . . . . . . . . . . . . . 68<br />
System Migration Assistant. . . . . . . . . . 68<br />
Zertifikat unter Verwendung durch<br />
Schlüsselerstellung in TPM generieren . . . . . 69<br />
Voraussetzungen:. . . . . . . . . . . . 69<br />
Zertifikat beim Server anfordern . . . . . . 69<br />
USB-Tastatur mit Lesegerät für<br />
Fingerabdrücke zusammen mit<br />
ThinkPad-Notebook-Computern von 2008<br />
(R400/R500/T400/T500/W500/X200/X301)<br />
verwenden . . . . . . . . . . . . . . . . 70<br />
Windows 7-Anmeldung . . . . . . . . . 71<br />
<strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> und Password<br />
Manager . . . . . . . . . . . . . . . 71<br />
Authentifizierung vor dem Starten –<br />
Fingerabdruck anstelle der BIOS-Kennwörter<br />
verwenden . . . . . . . . . . . . . . 72<br />
ii <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> <strong>8.3</strong> <strong>Implementierungshandbuch</strong><br />
Anhang A. Hinweise zur Verwendung<br />
des <strong>Lenovo</strong> Fingerprint<br />
Keyboard zusammen mit einigen<br />
Thinkpad-Notebookmodellen. . . . . 75<br />
Konfiguration und Einrichtung. . . . . . . . . 75<br />
Pre-desktop authentication. . . . . . . . . . 75<br />
Windows-Anmeldung . . . . . . . . . . . . 76<br />
Authentifizierung mit <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> . . . 76<br />
Anhang B. Windows-Kennwort nach<br />
dem Zurücksetzen mit <strong>Client</strong> <strong>Security</strong><br />
<strong>Solution</strong> abgleichen . . . . . . . . . . 79<br />
Anhang C. <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong><br />
auf einem erneut installierten<br />
Windows-Betriebssystem<br />
verwenden . . . . . . . . . . . . . . 81<br />
Anhang D. TPM auf<br />
ThinkPad-Notebook-Computern<br />
verwenden . . . . . . . . . . . . . . 83<br />
Wie wird BitLocker remote bereitgestellt? . . . . 83<br />
Wie funktioniert die TPM-Sperrung? . . . . . . 84<br />
Anhang E. Bemerkungen . . . . . . . 87<br />
Marken . . . . . . . . . . . . . . . . . 88<br />
Glossar . . . . . . . . . . . . . . . . lxxxix
Einleitung<br />
Die in diesem Handbuch enthaltenen Informationen dienen zur Unterstützung von <strong>Lenovo</strong> ® Computern, auf<br />
denen die Programme „ThinkVantage ® <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>“ und „Fingerprint Software“ installiert sind.<br />
Das Ziel von <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> und Fingerprint Software besteht darin, Ihre Systeme durch das Sichern<br />
von Daten und durch die Abwehr von Sicherheitsangriffen zu schützen.<br />
Das <strong>Implementierungshandbuch</strong> zu <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> enthält die Informationen, die für die Installation<br />
von <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> und Fingerprint Software auf einem oder mehreren Computern erforderlich sind.<br />
Es enthält ebenfalls Anweisungen und Szenarien auf den Verwaltungstools, die angepasst werden können,<br />
um IT- oder unternehmensinterne Richtlinien zu unterstützen.<br />
Dieses Handbuch richtet sich an IT-Administratoren bzw. an Personen, die für die Implementierung von<br />
ThinkVantage <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> und Fingerprint Software auf Computern in ihren Unternehmen<br />
verantwortlich sind. Wenn Sie Vorschläge oder Kommentare dazu haben, wenden Sie sich an Ihren<br />
autorisierten <strong>Lenovo</strong> Ansprechpartner. Dieses Handbuch wird regelmäßig aktualisiert. Die neueste Version<br />
finden Sie immer auf der <strong>Lenovo</strong> Website unter:<br />
http://www.lenovo.com/support<br />
Wenn Sie Fragen zur Verwendung der verschiedenen Komponenten der Arbeitsbereiche von <strong>Client</strong> <strong>Security</strong><br />
<strong>Solution</strong> und Fingerprint Software haben oder weitere Informationen dazu wünschen, schlagen Sie im<br />
Onlinehilfesystem und in den Benutzerhandbüchern nach, die im Lieferumfang von <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong><br />
und Fingerprint Software enthalten sind.<br />
© Copyright <strong>Lenovo</strong> 2008, 2011 iii
iv <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> <strong>8.3</strong> <strong>Implementierungshandbuch</strong>
Kapitel 1. Übersicht<br />
Dieses Kapitel enthält eine Übersicht zu <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> und zur Fingerprint Software. IT-Spezialisten<br />
profitieren direkt und indirekt von den im vorliegenden <strong>Implementierungshandbuch</strong> beschriebenen<br />
Technologien, weil sie PCs bedienerfreundlicher und unabhängiger machen und leistungsfähige Tools<br />
bieten, die Implementierungen vereinfachen und erleichtern. ThinkVantage Technologies ermöglichen es<br />
IT-Spezialisten, weniger Zeit für einzelne Computerfehler zu verwenden und sich mehr auf ihre Kernaufgaben<br />
zu konzentrieren.<br />
<strong>Client</strong> <strong>Security</strong> <strong>Solution</strong><br />
Die Software „<strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>“ hat vor allem den Zweck, Benutzern dabei zu helfen, den<br />
Computer als Ressource, vertrauliche Daten auf dem Computer sowie die vom Computer aufgebauten<br />
Netzverbindungen zu schützen. (Bei <strong>Lenovo</strong> Systemen, die ein TCG-konformes (TCG - Trusted Computing<br />
Group) TPM (Trusted Platform Module) enthalten, verwendet die Software „<strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>“ die<br />
Hardware als Sicherheitsbasis des Systems. Wenn das System keinen integrierten Sicherheitschip enthält,<br />
verwendet <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> Chiffrierschlüssel auf Softwarebasis als Sicherheitsbasis des Systems.)<br />
<strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> <strong>8.3</strong> bietet die folgenden Funktionen:<br />
• Sichere Benutzerauthentifizierung mit Windows ® -Kennwort oder <strong>Client</strong> <strong>Security</strong><br />
<strong>Solution</strong>-Verschlüsselungstext<br />
<strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> kann so konfiguriert werden, dass ein Windows-Kennwort oder ein <strong>Client</strong><br />
<strong>Security</strong> <strong>Solution</strong>-Verschlüsselungstext für die Authentifizierung akzeptiert wird. Das Windows-Kennwort<br />
ist benutzerfreundlich und über Windows leicht zu verwalten, während der <strong>Client</strong> <strong>Security</strong><br />
<strong>Solution</strong>-Verschlüsselungstext zusätzliche Sicherheit bietet. Der Administrator kann auswählen, welche<br />
Authentifizierungsmethode verwendet wird, und diese Einstellung kann geändert werden, auch wenn<br />
bereits Benutzer bei <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> registriert sind.<br />
• Benutzerauthentifizierung über Fingerabdruck<br />
Nutzt die integrierte und die über USB angeschlossene Fingerabdrucktechnologie zur Authentifizierung<br />
von Benutzern für kennwortgeschützte Anwendungen.<br />
• Mehrfache Benutzerauthentifizierung für die Windows-Anmeldung und verschiedene Vorgänge in<br />
<strong>Client</strong> <strong>Security</strong> <strong>Solution</strong><br />
Festlegung mehrerer Authentifizierungseinheiten (Windows-Kennwort, <strong>Client</strong><br />
<strong>Security</strong>-Verschlüsselungstext und Fingerabdruck) für verschiedene Sicherheitsoperationen.<br />
• Kennwortmanagement<br />
Sichere Verwaltung und Speicherung von kritischen Anmeldedaten, wie z. B. Benutzer-IDs und<br />
Kennwörtern.<br />
• Wiederherstellung von Kennwort und Verschlüsselungstext<br />
Die Wiederherstellung von Kennwort und Verschlüsselungstext ermöglicht es Benutzern, sich bei<br />
Windows anzumelden und auf ihre <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>-Berechtigungsnachweise zuzugreifen, auch<br />
wenn sie das Windows-Kennwort oder den <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>-Verschlüsselungstext vergessen<br />
haben, indem sie auf vorkonfigurierte Sicherheitsfragen antworten.<br />
• Sicherheitseinstellungen überprüfen<br />
Benutzer erhalten die Möglichkeit, eine ausführliche Liste der Sicherheitseinstellungen für die Workstation<br />
anzuzeigen und Änderungen vorzunehmen, um festgelegte Standards einzuhalten<br />
• Übertragung digitaler Zertifikate<br />
<strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> schützt den privaten Schlüssel von Benutzer- und Maschinenzertifikaten.<br />
Verwenden Sie <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>, um den privaten Schlüssel Ihrer bereits vorhandenen Zertifikate<br />
zu schützen.<br />
© Copyright <strong>Lenovo</strong> 2008, 2011 1
• Richtlinienverwaltung für Authentifizierung<br />
Ein Administrator kann auswählen, welche Einheiten (Windows-Kennwort, <strong>Client</strong> <strong>Security</strong><br />
<strong>Solution</strong>-Verschlüsselungstext oder Fingerabdruck) für die Authentifizierung für folgende Aktionen<br />
erforderlich sind: Windows-Anmeldung, Password Manager- und Zertifikatoperationen.<br />
<strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>-Verschlüsselungstext<br />
Der <strong>Client</strong> <strong>Security</strong>-Verschlüsselungstext ist eine optionale Funktion der Benutzerauthentifizierung,<br />
die erhöhte Sicherheit für <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>-Anwendungen bietet. Der <strong>Client</strong> <strong>Security</strong><br />
<strong>Solution</strong>-Verschlüsselungstext muss folgende Bedingungen erfüllen:<br />
• Er muss aus mindestens acht Zeichen bestehen<br />
• Er muss mindestens eine Ziffer enthalten<br />
• Er muss sich von den letzten drei Verschlüsselungstexten unterscheiden<br />
• Er darf höchstens zwei wiederholte Zeichen enthalten<br />
• Er darf nicht mit einer Ziffer beginnen<br />
• Er darf nicht mit einer Ziffer enden<br />
• Er darf nicht die Benutzer-ID enthalten<br />
• Er darf nicht geändert werden, wenn der aktuelle Verschlüsselungstext weniger als drei Tage alt ist<br />
• Er darf nicht drei aufeinanderfolgende Zeichen enthalten, die auch in dem aktuellen Verschlüsselungstext<br />
enthalten sind, unabhängig von ihrer Position<br />
• Er darf nicht mit dem Windows-Kennwort übereinstimmen.<br />
Der <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>-Verschlüsselungstext ist nur dem betreffenden Benutzer bekannt. Die einzige<br />
Möglichkeit, einen vergessenen <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>-Verschlüsselungstext wiederherzustellen, besteht<br />
darin, die <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>-Kennwortwiederherstellung zu verwenden. Wenn der Benutzer die<br />
Antworten auf die Wiederherstellungsfragen vergisst, gibt es keine Möglichkeit mehr, die durch den <strong>Client</strong><br />
<strong>Security</strong> <strong>Solution</strong>-Verschlüsselungstext geschützten Daten wiederherzustellen.<br />
<strong>Client</strong> <strong>Security</strong>-Kennwortwiederherstellung<br />
Diese optionale Funktion ermöglicht es registrierten Benutzern, ein vergessenes Windows-Kennwort oder<br />
einen vergessenen <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>-Verschlüsselungstext durch das Beantworten dreier Fragen<br />
wiederherzustellen. Wenn diese Funktion aktiviert ist, wählen Sie drei Antworten auf zehn vorausgewählte<br />
Fragen aus. Wenn Sie Ihr Windows-Kennwort oder Ihren <strong>Client</strong> <strong>Security</strong>-Verschlüsselungstext<br />
vergessen, haben Sie die Möglichkeit, diese drei Fragen zu beantworten, um Ihr Kennwort oder Ihren<br />
Verschlüsselungstext zurückzusetzen.<br />
Anmerkung: Bei Verwendung des <strong>Client</strong> <strong>Security</strong>-Verschlüsselungstextes ist dies die einzige Möglichkeit,<br />
einen vergessenen Verschlüsselungstext wiederherzustellen. Wenn Sie die Antworten auf die drei Fragen<br />
vergessen, müssen Sie den Registrierungsassistenten erneut ausführen und verlieren alle zuvor von <strong>Client</strong><br />
<strong>Security</strong> gesicherten Daten.<br />
Password Manager von <strong>Client</strong> <strong>Security</strong><br />
Mit dem Password Manager von <strong>Client</strong> <strong>Security</strong> Software können Sie leicht zu vergessende Daten für<br />
Anwendungen und Websites, wie z. B. Benutzer-IDs, Kennwörter und andere persönliche Daten, verwalten.<br />
Der Password Manager von <strong>Client</strong> <strong>Security</strong> schützt Ihre persönlichen Daten über <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>,<br />
sodass der Zugriff auf Ihre Anwendungen und Ihre Websites vollkommen sicher bleiben. Der Password<br />
Manager von <strong>Client</strong> <strong>Security</strong> verringert Ihren Zeit- und Arbeitsaufwand, da Sie sich nur ein Kennwort oder<br />
einen Verschlüsselungstext merken bzw. nur einmal Ihren Fingerabdruck bereitstellen müssen.<br />
Der Password Manager von <strong>Client</strong> <strong>Security</strong> Software bietet die folgenden Funktionen:<br />
2 <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> <strong>8.3</strong> <strong>Implementierungshandbuch</strong>
• Verschlüsseln aller gespeicherten Daten über die <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>-Software:<br />
Verschlüsselt automatisch alle Ihre Daten über <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>. Ihre kritischen<br />
Kennwortinformationen werden durch die Verschlüsselungsschlüssel von <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong><br />
gesichert.<br />
• Automatisches Ausfüllen von Benutzer-IDs und Kennwörtern:<br />
Automatisiert Ihren Anmeldeprozess, wenn Sie auf eine Anwendung oder eine Website zugreifen. Wenn<br />
Ihre Anmeldedaten in den Password Manager von <strong>Client</strong> <strong>Security</strong> eingegeben wurden, kann der Password<br />
Manager von <strong>Client</strong> <strong>Security</strong> automatisch die erforderlichen Felder ausfüllen und an die Website oder an<br />
die Anwendung übergeben.<br />
• Bearbeitung von Einträgen über die Schnittstelle des Password Managers von <strong>Client</strong> <strong>Security</strong>:<br />
Sie können die Bearbeitung aller Ihrer Benutzerkontoeinträge und die Konfiguration aller optionalen<br />
Funktionen über eine einzige benutzerfreundliche Schnittstelle vornehmen. Die Verwaltung Ihrer<br />
Kennwörter und Ihrer persönlichen Daten erfolgt über diese Schnittstelle schnell und einfach. Die meisten<br />
eingabebezogenen Änderungen können automatisch vom Password Manager von <strong>Client</strong> <strong>Security</strong> erkannt<br />
werden, sodass der Benutzer die Eingaben sogar mit noch geringerem Aufwand aktualisieren kann.<br />
• Speichern der Daten ohne zusätzliche Schritte:<br />
Der Password Manager von <strong>Client</strong> <strong>Security</strong> kann automatisch erkennen, wenn kritische Daten an eine<br />
bestimmte Website oder Anwendung gesendet werden. Wenn eine solche Erkennung stattfindet, fordert<br />
der Password Manager von <strong>Client</strong> <strong>Security</strong> den Benutzer auf, die Daten zu speichern, wodurch der<br />
Prozess des Speicherns kritischer Daten vereinfacht wird.<br />
• Speichern aller Daten in einem sicheren Arbeitspuffer:<br />
Mit dem Password Manager von <strong>Client</strong> <strong>Security</strong> kann der Benutzer alle Textdaten in sicheren<br />
Arbeitspuffern speichern. Die sicheren Arbeitspuffer des Benutzers können mit derselben Sicherheitsstufe<br />
wie alle anderen Einträge für Websites oder Anwendungen geschützt werden.<br />
• Exportieren und Importieren von Anmeldedaten:<br />
Sie können Ihre kritischen persönlichen Daten exportieren, um sie sicher von einem Computer zu einem<br />
anderen zu übertragen. Wenn Sie Ihre Anmeldedaten aus dem Password Manager von <strong>Client</strong> <strong>Security</strong><br />
Software exportieren, wird eine kennwortgeschützte Exportdatei erstellt, die auf einem austauschbaren<br />
Datenträger gespeichert werden kann. Mit dieser Datei können Sie überall auf Ihre persönlichen Daten<br />
zugreifen oder Ihre Einträge auf einem anderen Computer mit dem Password Manager importieren.<br />
Anmerkung: Vollständige Importunterstützung ist für Exportdateien für die Versionen 7.0 und 8.x<br />
von <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> verfügbar. Für <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> Version 6.0 ist eingeschränkte<br />
Unterstützung verfügbar (Anwendungseinträge werden nicht importiert). Versionen von <strong>Client</strong> <strong>Security</strong><br />
Software bis einschließlich Version 5.4x werden nicht in den Password Manager von <strong>Client</strong> <strong>Security</strong><br />
<strong>Solution</strong> Version 8.x importiert.<br />
<strong>Security</strong> Advisor<br />
Mit dem Tool „<strong>Security</strong> Advisor“ können Sie eine Zusammenfassung der Sicherheitseinstellungen anzeigen,<br />
die zurzeit auf Ihrem Computer festgelegt sind. Sie können diese Einstellungen verwenden, um Ihren<br />
aktuellen Sicherheitsstatus anzuzeigen oder um Ihre Systemsicherheit zu verbessern. Die angezeigten<br />
Kategoriestandardwerte können über die Windows-Registrierungsdatenbank geändert werden. Zu den<br />
Sicherheitskategorien gehören z. B.:<br />
• Hardwarekennwörter<br />
• Windows-Benutzerkennwörter<br />
• Richtlinie für Windows-Kennwörter<br />
• Geschützter Bildschirmschoner<br />
• Gemeinsamer Dateizugriff<br />
Kapitel 1. Übersicht 3
Assistent zur Übertragung von Zertifikaten<br />
Der CSS-Assistent zur Übertragung von Zertifikaten führt Sie durch die einzelnen Schritte zur Übertragung<br />
der Ihren Zertifikaten zugeordneten privaten Schlüssel vom softwarebasierten Microsoft- ® CSP (CSP -<br />
Cryptographic Service Provider) zum hardwarebasierten CSS-CSP (<strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> CSP). Nach<br />
dieser Übertragung sind Operationen, bei denen die Zertifikate verwendet werden, sicherer, da die privaten<br />
Schlüssel durch <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> geschützt sind.<br />
Funktion zum Zurücksetzen von Hardwarekennwörtern<br />
Mit diesem Tool können Sie eine sichere Umgebung einrichten, die unabhängig von Windows ausgeführt<br />
wird und die Ihnen hilft, ein vergessenes Start- oder Festplattenkennwort zurückzusetzen. Ihre Identität wird<br />
überprüft, indem Sie eine Reihe von Fragen beantworten, die Sie vorher selbst festlegen. Erstellen Sie diese<br />
sichere Umgebung möglichst, bevor Sie ein Kennwort vergessen. Sie können ein vergessenes Kennwort erst<br />
zurücksetzen, wenn diese sichere Umgebung auf Ihrem Festplattenlaufwerk eingerichtet ist und Sie sich<br />
registriert haben. Dieses Tool steht nur auf ausgewählten Computern zur Verfügung.<br />
Unterstützung für Systeme ohne TPM<br />
<strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> <strong>8.3</strong> unterstützt <strong>Lenovo</strong> Systeme, die über keinen kompatiblen integrierten<br />
Sicherheitschip verfügen. Diese Unterstützung ermöglicht eine Standardinstallation im gesamten<br />
Unternehmen zur Erstellung einer konsistenten und sicheren Umgebung. Die Systeme, die über den<br />
integrierten Sicherheitschip verfügen, sind gegen Angriffe besser geschützt. Bei Systemen ohne den<br />
integrierten Sicherheitschip verwendet <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> jedoch Chiffrierschlüssel auf Softwarebasis<br />
als Sicherheitsbasis des Systems und auch das System kann von einer höheren Sicherheit und einer<br />
besseren Funktionalität profitieren.<br />
Fingerprint Software<br />
Die biometrischen Fingerabdrucktechnologien von <strong>Lenovo</strong> sollen Kunden helfen, die Kosten für die<br />
Verwaltung von Kennwörtern zu senken, die Sicherheit ihrer Systeme zu erhöhen und gesetzliche<br />
Bestimmungen einzuhalten. Die Fingerprint Software ermöglicht die Authentifizierung per Fingerabdruck bei<br />
PCs und Netzwerken, indem mit Lesegeräten für Fingerabdrücke von <strong>Lenovo</strong> gearbeitet wird. In Kombination<br />
mit <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> <strong>8.3</strong> bietet Fingerprint Software erweiterte Funktionalität. <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong><br />
<strong>8.3</strong> unterstützt sowohl ThinkVantage Fingerprint Software 5.9.2 als auch <strong>Lenovo</strong> Fingerprint Software 3.3.<br />
Diese können für unterschiedliche Maschinentypen verfügbar sein. Sie können die Fingerprint Software von<br />
der <strong>Lenovo</strong> Website herunterladen oder weitere Informationen zu <strong>Lenovo</strong> Fingerabdrucktechnologien finden:<br />
Fingerprint Software bietet die folgenden Funktionen:<br />
• <strong>Client</strong>-Software-Funktionen<br />
– Ersetzen des Microsoft Windows-Kennworts:<br />
Ersetzt für einen einfachen, schnellen und sicheren Systemzugriff Ihr Kennwort durch Ihren<br />
Fingerabdruck.<br />
– Ersetzen des BIOS-Kennworts (des Startkennworts) und des Kennworts für das<br />
Festplattenlaufwerk:<br />
Ersetzt diese Kennwörter durch Ihren Fingerabdruck, wodurch die Sicherheit und der Komfort bei der<br />
Anmeldung erhöht werden.<br />
– Authentifizierung über Fingerabdruck vor dem Booten für Verschlüsselung des gesamten<br />
Laufwerks mit SafeGuard Easy:<br />
Verwendet die Authentifizierung über Fingerabdruck zum Verschlüsseln des Festplattenlaufwerks vor<br />
dem Starten von Windows.<br />
4 <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> <strong>8.3</strong> <strong>Implementierungshandbuch</strong>
– Zugriff auf das BIOS und auf Windows mit einer einzigen Überprüfung:<br />
Sie müssen Ihren Fingerabdruck nur ein einziges Mal überprüfen lassen, um Zugriff auf das BIOS und<br />
auf Windows zu erhalten, und sparen dadurch wertvolle Zeit.<br />
– Integration in <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>:<br />
Gemeinsame Verwendung mit dem Password Manager von <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> und Nutzung des<br />
TPMs (Trusted Platform Module). Nach einer Überprüfung des Fingerabdrucks können Benutzer auf<br />
Websites zugreifen und Anwendungen auswählen.<br />
• Administratorfunktionen<br />
– Wechsel zwischen Sicherheitsmodi:<br />
Ein Administrator kann zwischen einem sicheren und einem komfortableren Modus hin- und<br />
herschalten, um die Zugriffsberechtigungen von Benutzern mit eingeschränkter Berechtigung zu<br />
ändern.<br />
• Sicherheitsfunktionen<br />
– Softwaresicherheit:<br />
Zum Schutz von Benutzerschablonen durch eine starke Verschlüsselung, wenn sie in einem System<br />
gespeichert sind und wenn sie vom Lesegerät zur Software übertragen werden.<br />
– Hardwaresicherheit:<br />
Verwenden Sie ein Sicherheitslesegerät mit einem Koprozessor, der Fingerabdruckmuster,<br />
BIOS-Kennwörter und Verschlüsselungsschlüssel speichert und schützt.<br />
Kapitel 1. Übersicht 5
6 <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> <strong>8.3</strong> <strong>Implementierungshandbuch</strong>
Kapitel 2. Installation<br />
Dieses Kapitel enthält Anweisungen zum Installieren von <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> und Fingerprint Software.<br />
Bevor Sie <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> oder Fingerprint Software installieren, sollten Sie die Architektur der<br />
betreffenden Anwendung kennen. Dieses Kapitel enthält Informationen zur Architektur der einzelnen<br />
Anwendungen und weitere Informationen, die Sie vor der Installation der Programme benötigen.<br />
<strong>Client</strong> <strong>Security</strong> <strong>Solution</strong><br />
Das Installationspaket für <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> wurde mit InstallShield 10.5 Premier als Basic-MSI-Projekt<br />
entwickelt. InstallShield verwendet Windows Installer zum Installieren von Anwendungen, wodurch<br />
Administratoren zahlreiche Möglichkeiten erhalten, Installationen anzupassen, wie z. B. durch das Festlegen<br />
von Eigenschaftswerten über die Befehlszeile. In diesem Kapitel werden Möglichkeiten zum Verwenden<br />
und Ausführen des Installationspakets für <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> beschrieben. Lesen Sie zum besseren<br />
Verständnis zunächst das ganze Kapitel, bevor Sie mit der Installation der Pakete beginnen.<br />
Anmerkung: Lesen Sie bei der Installation dieser Pakete die Readme-Datei zu <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>,<br />
die auf der <strong>Lenovo</strong> Website verfügbar ist. Die Readme-Datei enthält aktuelle Informationen zu Themen wie<br />
Softwareversionen, unterstützten Systemen und Systemvoraussetzungen sowie weitere Hinweise, die<br />
für Sie bei der Installation hilfreich sind.<br />
Installationsvoraussetzungen<br />
Die Informationen in diesem Abschnitt enthalten die Systemvoraussetzungen für das Installieren des <strong>Client</strong><br />
<strong>Security</strong> <strong>Solution</strong>-Pakets. Rufen Sie die folgende Website auf, um zu prüfen, ob Sie über die neueste<br />
Softwareversion verfügen:<br />
http://www.lenovo.com/support<br />
<strong>Lenovo</strong> Computer müssen mindestens die folgenden Voraussetzungen erfüllen, damit <strong>Client</strong> <strong>Security</strong><br />
<strong>Solution</strong> installiert werden kann:<br />
• Betriebssystem: Windows 7<br />
• Speicher: 256 MB<br />
– Bei Konfigurationen mit gemeinsam genutztem Speicher muss die BIOS-Einstellung für den maximal<br />
gemeinsam genutzten Speicher mindestens 8 MB betragen.<br />
– Bei Konfigurationen mit nicht gemeinsam genutztem Speicher sind 120 MB an nicht gemeinsam<br />
genutztem Speicher erforderlich.<br />
• Internet Explorer ® ab Version 5.5 muss installiert sein.<br />
• 300 MB freier Speicherbereich auf dem Festplattenlaufwerk.<br />
• VGA-kompatibler Bildschirm, der eine Auflösung von 800 x 600 und 24-Bit-Farbmodus unterstützt.<br />
• Der Benutzer muss über die entsprechenden Verwaltungsberechtigungen verfügen, um <strong>Client</strong> <strong>Security</strong><br />
<strong>Solution</strong> zu installieren.<br />
Anmerkung: Das Implementieren des <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>-Installationspakets unter Windows Server ®<br />
2003 wird nicht unterstützt. Es wird jedoch das Anfordern eines Zertifikats von Windows Server 2003<br />
unterstützt. Weitere Informationen hierzu finden Sie im Abschnitt „Zertifikat unter Verwendung durch<br />
Schlüsselerstellung in TPM generieren“ auf Seite 69.<br />
Angepasste öffentliche Merkmale<br />
Das Installationspaket für das Programm „<strong>Client</strong> <strong>Security</strong> Software“ verfügt über eine Reihe von<br />
angepassten öffentlichen Merkmalen, die bei der Ausführung der Installation über die Befehlszeile<br />
festgelegt werden können. Die folgende Tabelle enthält die angepassten öffentlichen Merkmale für das<br />
Windows-Betriebssystem:<br />
© Copyright <strong>Lenovo</strong> 2008, 2011 7
Tabelle 1. Öffentliche Merkmale<br />
Eigenschaft Beschreibung<br />
EMULATIONMODE Gibt an, dass die Installation im Emulationsmodus<br />
erzwungen wird, auch wenn bereits ein TPM vorhanden ist.<br />
Geben Sie in der Befehlszeile EMULATIONMODE=1 ein,<br />
um die Installation im Emulationsmodus vorzunehmen.<br />
HALTIFTPMDISABLED Wenn sich das TPM im inaktivierten Status befindet und<br />
die Installation im Befehlszeilenmodus ausgeführt wird,<br />
lautet die Standardeinstellung für die Installation, dass<br />
sie im Emulationsmodus fortgesetzt wird. Verwenden<br />
Sie das Merkmal HALTIFTPMDISABLED=1, wenn die<br />
Installation im Befehlszeilenmodus ausgeführt wird, um<br />
die Installation anzuhalten, wenn das TPM inaktiviert ist.<br />
NOCSSWIZARD Legen Sie in der Befehlszeile „NOCSSWIZARD=1“<br />
fest, um zu verhindern, dass das <strong>Client</strong> <strong>Security</strong><br />
<strong>Solution</strong>-Dialogfenster für die Registrierung automatisch<br />
angezeigt wird, nachdem <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong><br />
installiert wurde. Dieses Merkmal ist für einen<br />
Administrator konfiguriert, der <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong><br />
installieren, das System jedoch erst später mit Hilfe von<br />
Scripts konfigurieren möchte.<br />
CSS_CONFIG_SCRIPT Legen Sie CSS_CONFIG_SCRIPT=„Dateiname“ oder<br />
„Dateiname_Kennwort“ fest, um eine Konfigurationsdatei<br />
auszuführen, nachdem ein Benutzer die Installation<br />
abgeschlossen und einen Neustart durchgeführt hat.<br />
SUPERVISORPW Legen Sie in der Befehlszeile<br />
SUPERVISORPW=„Kennwort“ fest, um ein<br />
Administratorkennwort bereitzustellen, um den Chip<br />
für die Installation im Befehlszeilenmodus oder in<br />
einem anderen Modus zu aktivieren. Wenn der Chip<br />
inaktiviert ist und die Installation im Befehlszeilenmodus<br />
ausgeführt wird, muss das richtige Administratorkennwort<br />
eingegeben werden, um den Chip zu aktivieren.<br />
Andernfalls wird der Chip nicht aktiviert.<br />
PWMGRMODE Geben Sie in der Befehlszeile PWMGRMODE=1 ein, um<br />
nur Password Manager zu installieren.<br />
NOSTARTMENU Geben Sie in der Befehlszeile NOSTARTMENU=1 ein,<br />
um zu verhindern, dass im Startmenü ein Direktaufruf<br />
generiert wird.<br />
CREATESHORTCUT Geben Sie in der Befehlszeile CREATESHORTCUT=1 ein,<br />
um im Startmenü einen Eintrag hinzuzufügen.<br />
TPM-Unterstützung (Trusted Platform Module)<br />
<strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> <strong>8.3</strong> unterstützt den integrierten Sicherheitschip des Computers, das TPM (Trusted<br />
Platform Module). Wenn Ihr <strong>Lenovo</strong> Computer ein vom Windows-Betriebssystem unterstütztes TPM enthält,<br />
verwendet <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> die mit dem Windows-Betriebssystem integrierten Treiber.<br />
Für das Aktivieren des TMP ist möglicherweise ein Warmstart erforderlich, da das TPM durch das<br />
System-BIOS aktiviert wird. Wenn Sie Windows 7 ausführen, werden Sie möglicherweise beim Systemstart<br />
dazu aufgefordert, die Aktivierung des TPMS zu bestätigen.<br />
Bevor das TPM irgendwelche Funktionen ausführen kann, muss das Eigentumsrecht initialisiert werden.<br />
Jedes System erhält einen <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>-Administrator, der die <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>-Optionen<br />
8 <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> <strong>8.3</strong> <strong>Implementierungshandbuch</strong>
verwaltet. Dieser Adminstrator muss über eine Windows-Administratorberechtigung verfügen. Der<br />
Administrator kann mit Hilfe von XML-Implementierungsscripts initialisiert werden.<br />
Nachdem das Eigentumsrecht für das System konfiguriert ist, wird für jeden weiteren Windows-Benutzer,<br />
der sich am System anmeldet, automatisch der Konfigurationsassistent von <strong>Client</strong> <strong>Security</strong> Software<br />
aufgerufen, damit der Benutzer sich registrieren kann und die entsprechenden Sicherheitsschlüssel und<br />
Berechtigungsnachweise des Benutzers initialisiert werden.<br />
Software-Emulation für TPM<br />
<strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> kann auf bestimmten Systemen ohne das TPM ausgeführt werden. Die Funktionalität<br />
ist dabei dieselbe, außer dass anstelle von hardwaregeschützten Schlüsseln Schlüssel auf Softwarebasis<br />
verwendet werden. Die Software kann auch mit einem Schalter installiert werden, der sie zwingt, immer<br />
Schlüssel auf Softwarebasis anstelle des TPMs zu verwenden. Die Entscheidung, ob dieser Schalter<br />
verwendet werden soll, muss bei der Installation getroffen werden. Sie kann ohne eine Deinstallation und<br />
eine erneute Installation der Software nicht rückgängig gemacht werden.<br />
Die Syntax zum Erzwingen einer Software-Emulation des TPMs lautet wie folgt:<br />
InstallFile.exe “/v EMULATIONMODE=1”<br />
Installationsverfahren und Befehlszeilenparameter<br />
Microsoft Windows Installer stellt verschiedene Verwaltungsfunktionen über Befehlszeilenparameter bereit.<br />
Windows Installer kann eine administrative Installation einer Anwendung oder eines Produkts in einem<br />
Netzwerk zur Verwendung durch Arbeitsgruppen oder zur kundenspezifischen Anpassung durchführen.<br />
Befehlszeilenoptionen, für die ein Parameter erforderlich ist, müssen ohne Leerzeichen zwischen der Option<br />
und dem zugehörigen Parameter angegeben werden. Beispiele:<br />
setup.exe /s /v"/qn REBOOT=”R”"<br />
ist gültig, aber<br />
setup.exe /s /v "/qn REBOOT=”R”"<br />
ungültig.<br />
Anmerkung: Das Standardverhalten bei einer allein ausgeführten Installation (Ausführung der Datei<br />
„setup.exe“ ohne Parameter) besteht darin, dass der Benutzer nach Abschluss der Installation dazu<br />
aufgefordert wird, den Computer erneut zu starten. Ein Neustart ist für das ordnungsgemäße Funktionieren<br />
des Programms erforderlich. Der Neustart kann durch einen Befehlszeilenparameter für eine unbeaufsichtigte<br />
Installation verzögert werden (eine Beschreibung dazu finden Sie im vorherigen Abschnitt und im Abschnitt<br />
mit den Beispielen).<br />
Beim <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>-Installationspaket entpackt eine administrative Installation die<br />
Installationsquellendateien an eine angegebene Position.<br />
Um eine administrative Installation auszuführen, führen Sie das Installationspaket über die Befehlszeile mit<br />
dem Parameter /a aus:<br />
setup.exe /a<br />
Eine administrative Installation stellt einen Assistenten bereit, der den Administrator auffordert, die<br />
Speicherpositionen zum Entpacken der Installationsdateien anzugeben. In der Standardeinstellung werden<br />
die Dateien auf Laufwerk C:\ extrahiert. Sie können eine andere Position auf anderen Laufwerken als C:\<br />
auswählen (z. B. andere lokale Laufwerke oder zugeordnete Netzlaufwerke). Sie können in diesem Schritt<br />
auch neue Verzeichnisse erstellen.<br />
Um eine administrative Installation unbeaufsichtigt auszuführen, können Sie das öffentliche Merkmal<br />
TARGETDIR in der Befehlszeile festlegen, um die Position für die Extraktion anzugeben:<br />
Kapitel 2. Installation 9
setup.exe /s /v"/qn TARGETDIR=F:\TVTRR"<br />
oder<br />
msiexec.exe /i "<strong>Client</strong> <strong>Security</strong> - Password Manager.msi" /qn TARGERDIR=F:\TVTRR<br />
Anmerkung: Wenn Sie nicht die aktuelle Version von Windows Installer verwenden, wird die Datei<br />
„setup.exe“ konfiguriert, um die Windows Installer-Steuerkomponente auf die aktuelle Version zu<br />
aktualisieren. Durch die Aktualisierung der Windows Installer-Steuerkomponente wird eine Aufforderung<br />
zum Durchführen eines Warmstarts ausgegeben, auch wenn eine administrative Installation mit<br />
selbstextrahierendem Installationspaket durchgeführt wird. Sie können die Eigenschaft „REBOOT“<br />
des Windows Installer verwenden, um in dieser Situation einen Warmstart zu verhindern. Wenn<br />
Windows Installer in der aktuellen Version vorliegt, versucht die Datei „setup.exe“ nicht, die Windows<br />
Installer-Steuerkomponente zu aktualisieren.<br />
Wenn eine administrative Installation abgeschlossen ist, kann der Administrator die Quellendateien<br />
anpassen, indem er beispielsweise Einstellungen zur Registrierungsdatenbank hinzufügt.<br />
Die folgenden Parameter und Beschreibungen sind in der Hilfedokumentation für InstallShield Developer<br />
enthalten. Parameter, die nicht für Basic MSI-Projekte gelten, wurden entfernt.<br />
Tabelle 2. Parameter<br />
Parameter Beschreibung<br />
/a : Administrative Installation Durch den Schalter /a führt setup.exe eine administrative<br />
Installation aus. Bei einer administrativen Installation<br />
werden Ihre Datendateien in ein durch den Benutzer<br />
angegebenes Verzeichnis kopiert (und entpackt), aber es<br />
werden keine Verknüpfungen erstellt, keine COM-Server<br />
registriert und kein Protokoll zur Deinstallation erstellt.<br />
/x : Deinstallationsmodus Durch den Schalter /x deinstalliert setup.exe ein zuvor<br />
installiertes Produkt.<br />
/s : Unbeaufsichtigter Modus Durch den Befehl setup.exe /s wird das<br />
Initialisierungsfenster von setup.exe für ein Basic<br />
MSI-Installationsprogramm unterdrückt, aber es wird<br />
keine Antwortdatei gelesen. Bei Basic MSI-Projekten<br />
werden keine Antwortdateien für unbeaufsichtigte<br />
Installationen erstellt oder verwendet. Um ein Basic<br />
MSI-Produkt unbeaufsichtigt auszuführen, führen<br />
Sie die Befehlszeile setup.exe /s /v/qn aus. (Zur<br />
Angabe der Werte von öffentlichen Merkmalen für eine<br />
unbeaufsichtigte Basic MSI-Installation können Sie einen<br />
Befehl wie z. B. setup.exe /s /v„/qn INSTALLDIR=D:\Ziel“<br />
verwenden.)<br />
/v : Argumente an Msiexec übergeben Das Argument /v wird verwendet, um Befehlszeilenschalter<br />
und Werte von öffentlichen Merkmalen an msiexec.exe zu<br />
übergeben.<br />
10 <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> <strong>8.3</strong> <strong>Implementierungshandbuch</strong>
Tabelle 2. Parameter (Forts.)<br />
Parameter Beschreibung<br />
/L : Sprache bei der Installation Benutzer können den Schalter /L mit der dezimalen<br />
Sprachen-ID verwenden, um die Sprache anzugeben,<br />
die in einem mehrsprachigen Installationsprogramm<br />
verwendet werden soll. Der Befehl, um Deutsch als<br />
Sprache anzugeben, lautet beispielsweise setup.exe<br />
/L1031.<br />
/w : Warten Bei einem Basic MSI-Projekt wird setup.exe durch das<br />
Argument /w gezwungen, mit dem Beenden bis zum<br />
Abschluss der Installation zu warten. Wenn Sie die<br />
Option /w in einer Batchdatei verwenden, sollten Sie dem<br />
Befehlszeilenparameter von setup.exe möglicherweise<br />
start /WAIT voranstellen. Ein Beispiel im richtigen Format<br />
hierzu sieht wie folgt aus:<br />
start /WAIT setup.exe /w<br />
Programm „msiexec.exe“ verwenden<br />
Um nach dem Vornehmen von Anpassungen eine Installation mithilfe der entpackten Quellendatei<br />
auszuführen, muss der Benutzer das Programm „msiexec.exe“ über die Befehlszeile aufrufen und dabei<br />
den Namen der entpackten *.MSI-Datei angeben. Das Programm „msiexec.exe“ ist die ausführbare Datei<br />
des Windows-Installationsprogramms, das verwendet wird, um die Installationspakete zu interpretieren<br />
und die Produkte auf Zielsystemen zu installieren.<br />
msiexec /i "C:\WindowsFolder\Profiles\UserName\<br />
Personal\MySetups\project name\product configuration\release name\<br />
DiskImages\Disk1\product name.msi"<br />
Anmerkung: Geben Sie den oben angegebenen Befehl in eine einzige Zeile ein, ohne Leerzeichen nach den<br />
Schrägstrichen.<br />
In der folgenden Tabelle sind die verfügbaren Befehlszeilenparameter beschrieben, die zusammen mit der<br />
Datei „msiexec.exe“ verwendet werden können. Zudem enthält sie Verwendungsbeispiele.<br />
Tabelle 3. Befehlszeilenparameter<br />
Parameter Beschreibung<br />
/I Paket oder Produktcode Verwenden Sie zur Installation des Produkts folgendes Format:<br />
Othello:msiexec /i "C:\WindowsFolder\Profiles\<br />
UserName\Personal\MySetups<br />
\Othello\Trial Version\<br />
Release\DiskImages\Disk1\<br />
Othello Beta.msi"<br />
Der Produktcode verweist auf die GUID (Globally Unique Identifier), die im<br />
Produktcodemerkmal in der Projektansicht für das Produkt automatisch<br />
generiert wird.<br />
/a Paket Mit dem Parameter /a können Benutzer mit Administratorrechten ein Produkt<br />
im Netzwerk installieren.<br />
/x Paket oder Produktcode Mit dem Parameter /x wird ein Produkt deinstalliert.<br />
Kapitel 2. Installation 11
Tabelle 3. Befehlszeilenparameter (Forts.)<br />
Parameter Beschreibung<br />
/L [i|w|e|a|r |u|c|m|p|v|+] Protokolldatei Mit dem Parameter /L wird der Pfad zur Protokolldatei angegeben. Die<br />
folgenden Flags geben an, welche Informationen in der Protokolldatei<br />
gespeichert werden sollen:<br />
• i protokolliert Statusnachrichten<br />
• w protokolliert nicht schwerwiegende Warnungen<br />
• e protokolliert Fehlernachrichten<br />
• a protokolliert den Beginn von Aktionsfolgen<br />
• r protokolliert aktionsspezifische Aufzeichnungen<br />
• u protokolliert Benutzeranforderungen<br />
• c protokolliert die Schnittstellenparameter für den Erstbenutzer<br />
• m protokolliert Nachrichten zur Überschreitung der Speicherkapazität<br />
• p protokolliert Terminaleinstellungen<br />
• v protokolliert die Einstellung für ausführliche Ausgabe<br />
• + wird einer vorhandenen Datei hinzugefügt<br />
• * ist ein Platzhalterzeichen, mit dem Sie alle Informationen protokollieren<br />
können (außer der Einstellung für ausführliche Ausgabe)<br />
/q [n|b|r|f] Mit dem Parameter /q wird die Stufe der Benutzerschnittstelle in Verbindung<br />
mit den folgenden Flags angegeben:<br />
• mit q oder qn wird keine Benutzerschnittstelle erstellt<br />
• mit qb wird eine Basisbenutzerschnittstelle erstellt<br />
Die folgenden Einstellungen für die Benutzerschnittstelle bewirken die Anzeige<br />
eines Modaldialogfensters am Ende der Installation:<br />
• mit qr wird die Benutzerschnittstelle verkleinert angezeigt<br />
• mit qf wird die Benutzerschnittstelle in Vollgröße angezeigt<br />
• mit qn+ wird die Benutzerschnittstelle nicht angezeigt<br />
• mit qb+ wird eine Basisbenutzerschnittstelle angezeigt<br />
/? oder /h Beide Befehle zeigen den Copyrightvermerk für Windows Installer an.<br />
TRANSFORMS Mit dem Befehlszeilenparameter TRANSFORMS können Sie Umsetzungen<br />
angeben, die Sie für Ihr Basispaket anwenden möchten.<br />
msiexec /i "C:\WindowsFolder\<br />
Profiles\UserName\Personal<br />
\MySetups\<br />
Your Project Name\Trial Version\<br />
My Release-1<br />
\DiskImages\Disk1\<br />
ProductName.msi" TRANSFORMS="New Transform 1.mst"<br />
Mehrere Umsetzungen können durch Semikolons voneinander getrennt<br />
werden. Verwenden Sie keine Semikolons im Namen, den Sie umsetzen, da<br />
dieser sonst vom Windows Installer-Service falsch interpretiert wird.<br />
Merkmale Alle öffentlichen Merkmale können über die Befehlszeile festgelegt oder<br />
geändert werden. Die öffentlichen Merkmale unterscheiden sich von<br />
den privaten Merkmalen durch die ausschließliche Verwendung von<br />
Großbuchstaben. FIRMENNAME ist zum Beispiel ein öffentliches Merkmal.<br />
12 <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> <strong>8.3</strong> <strong>Implementierungshandbuch</strong><br />
Zum Festlegen eines Merkmals über die Befehlszeile verwenden Sie die<br />
folgende Syntax:<br />
PROPERTY=VALUE<br />
Wenn Sie den Wert von FIRMENNAME ändern möchten, geben Sie Folgendes<br />
ein:<br />
msiexec /i "C:\WindowsFolder\<br />
Profiles\UserName\Personal\<br />
MySetups\Your Project Name\<br />
Trial Version\My Release-1\
Tabelle 3. Befehlszeilenparameter (Forts.)<br />
Parameter Beschreibung<br />
DiskImages\Disk1\ProductName.msi"<br />
COMPANYNAME="InstallShield"<br />
Öffentliche Standardeigenschaften von Windows Installer<br />
Windows Installer verfügt über eine Reihe von standardmäßig integrierten öffentlichen Eigenschaften, die<br />
über die Befehlszeile festgelegt werden können, um ein bestimmtes Verhalten bei der Installation anzugeben.<br />
In der folgenden Tabelle sind die üblichsten öffentlichen Merkmale, die in der Befehlszeile verwendet<br />
werden, beschrieben.<br />
Weitere Informationen finden Sie auf der Microsoft-Website unter:<br />
http://msdn2.microsoft.com/en-us/library/aa367437.aspx<br />
In der folgenden Tabelle werden die allgemein verwendeten Eigenschaften von Windows Installer angezeigt:<br />
Tabelle 4. Eigenschaften von Windows Installer<br />
Eigenschaft Beschreibung<br />
TARGETDIR Gibt das Stammzielverzeichnis für die Installation an. Bei<br />
einer administrativen Installation gibt dieses Merkmal die<br />
Position an, an die das Installationspaket kopiert wird.<br />
ARPAUTHORIZEDCDFPREFIX Der URL des Aktualisierungskanals der Anwendung.<br />
ARPCOMMENTS Stellt Kommentare zum Hinzufügen oder Entfernen von<br />
Programmen in der Systemsteuerung bereit.<br />
ARPCONTACT Stellt den Kontakt zum Hinzufügen oder Entfernen von<br />
Programmen in der Systemsteuerung her.<br />
ARPINSTALLLOCATION Der vollständig qualifizierte Pfad zum Primärordner der<br />
Anwendung.<br />
ARPNOMODIFY Inaktiviert die Funktionen, durch die das Produkt geändert<br />
werden könnte.<br />
ARPNOREMOVE Inaktiviert die Funktionen, durch die das Produkt entfernt<br />
werden könnte.<br />
ARPNOREPAIR Inaktiviert die Schaltfläche zum Reparieren im<br />
Programmassistenten.<br />
ARPPRODUCTICON Gibt das primäre Symbol für das Installationspaket an.<br />
ARPREADME Stellt eine Readme-Datei zum Hinzufügen oder Entfernen<br />
von Programmen in der Systemsteuerung bereit.<br />
ARPSIZE Die geschätzte Größe der Anwendung in Kilobytes.<br />
ARPSYSTEMCOMPONENT Verhindert das Anzeigen von Anwendungen in der Liste<br />
zum Hinzufügen und Entfernen von Programmen.<br />
ARPURLINFOABOUT URL der Homepage einer Anwendung.<br />
Kapitel 2. Installation 13
Tabelle 4. Eigenschaften von Windows Installer (Forts.)<br />
Eigenschaft Beschreibung<br />
ARPURLUPDATEINFO URL für Informationen zur Anwendungsaktualisierung.<br />
REBOOT Das Merkmal REBOOT unterdrückt bestimmte<br />
Aufforderungen für einen Neustart des Systems. Ein<br />
Administrator verwendet dieses Merkmal normalerweise<br />
bei einer Reihe von gleichzeitigen Installationen<br />
verschiedener Produkte, bei denen am Ende nur ein<br />
Neustart durchgeführt wird. Legen Sie REBOOT=„R“ fest,<br />
um alle Neustarts am Ende der einzelnen Installationen<br />
zu inaktivieren.<br />
Installationsprotokolldatei<br />
Die Installationsprotokolldatei von <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> heißt „cssinstall83xx.log“ und wird im Verzeichnis<br />
„%temp%“ erstellt, wenn die Konfiguration über die Datei „setup.exe“ gestartet wird (durch Doppelklicken<br />
auf die Datei „install.exe“, durch Ausführen der ausführbaren Datei ohne Parameter oder durch Extrahieren<br />
des MSI-Pakets und Ausführen der Datei „setup.exe“). Diese Datei enthält Protokollnachrichten, die zum<br />
Beheben von Installationsfehlern verwendet werden können. Die Protokolldatei enthält alle Aktivitäten,<br />
die vom Applet Hinzufügen/Entfernen in der Systemsteuerung durchgeführt werden. Die Protokolldatei<br />
wird nicht erstellt, wenn Sie die Datei „setup.exe“ direkt über das MSI-Paket ausführen. Um eine<br />
Protokolldatei für alle MSI-Aktionen zu erstellen, können Sie die Richtlinie für die Protokollierung in der<br />
Registrierungsdatenbank aktivieren. Erstellen Sie hierfür den folgenden Wert:<br />
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]<br />
"Logging"="voicewarmup"<br />
Installationsbeispiele<br />
In der folgenden Tabelle werden Beispiele für Installationen mithilfe der Datei „setup.exe“ aufgeführt.<br />
Tabelle 5. Beispiele für die Installation mithilfe der Datei „setup.exe“<br />
Beschreibung Beispiel<br />
Unbeaufsichtigte Installation ohne Neustart setup.exe /s /v”/qn REBOOT=”R””<br />
Administrative Installation setup.exe /a<br />
Unbeaufsichtigte administrative Installation, bei der die<br />
Position zum Entpacken für <strong>Client</strong> <strong>Security</strong> Software<br />
angegeben wird<br />
setup.exe /a /s /v”/qn TARGETDIR=”F:<br />
\CSS83””<br />
Unbeaufsichtigte Deinstallation setup.exe /s /x /v/qn<br />
Installation ohne Neustart (mit Erstellung eines<br />
Installationsprotokolls im temporären Unterverzeichnis für<br />
<strong>Client</strong> <strong>Security</strong> Software.)<br />
Installation ohne Installation der Predesktop Area setup.exe /vPDA=0<br />
setup.exe /v”REBOOT=”R” /L*v %temp%<br />
\cssinstall83.log”<br />
Die folgende Tabelle enthält Installationsbeispiele für die Verwendung von <strong>Client</strong> <strong>Security</strong> - Password<br />
Manager.msi:<br />
14 <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> <strong>8.3</strong> <strong>Implementierungshandbuch</strong>
Tabelle 6. Installationsbeispiele für die Verwendung von <strong>Client</strong> <strong>Security</strong> - Password Manager.msi<br />
Beschreibung Beispiel<br />
Installation msiexec /i “C:\CSS83\<strong>Client</strong> <strong>Security</strong><br />
<strong>Solution</strong> - Password Manager.msi”<br />
Unbeaufsichtigte Installation<br />
ohne Neustart<br />
Unbeaufsichtigte<br />
Deinstallation<br />
msiexec /i “C:\CSS83\<strong>Client</strong> <strong>Security</strong><br />
<strong>Solution</strong> - Password Manager.msi” /qn REBOOT=”R”<br />
msiexec /x “C:\CSS83\<strong>Client</strong> <strong>Security</strong><br />
<strong>Solution</strong> - Password Manager.msi” /qn<br />
ThinkVantage Fingerprint Software installieren<br />
Die Datei „setup.exe“ des Programms „ThinkVantage Fingerprint Software“ kann mithilfe der folgenden<br />
Methoden installiert werden:<br />
Unbeaufsichtigte Installation<br />
Um die ThinkVantage Fingerprint Software unbeaufsichtigt zu installieren, führen Sie die Datei „setup.exe“<br />
aus, die sich im Installationsverzeichnis des CD-ROM-Laufwerks befindet.<br />
Verwenden Sie die folgende Syntax:<br />
Setup.exe PROPERTY=VALUE /q /i<br />
wobei q für die unbeaufsichtigte Installation und i für die Installation steht. Beispiele:<br />
setup.exe INSTALLDIR="C:\Program Files\ThinkVantage fingerprint software" /q /i<br />
Verwenden Sie zum Deinstallieren der Software den Parameter /x statt /i:<br />
setup.exe INSTALLDIR="C:\Program Files\ThinkVantage fingerprint software" /q /x<br />
Optionen<br />
Die folgenden Parameter werden von der ThinkVantage Fingerprint Software unterstützt.<br />
Tabelle 7. Von der ThinkVantage Fingerprint Software unterstützte Optionen<br />
Parameter Beschreibung<br />
CTRLONCE Zeigt die Steuerzentrale (Control Center) nur einmal an.<br />
Der Standardwert ist 0.<br />
CTLCNTR • 0 = Steuerzentrale (Control Center) beim Starten nicht<br />
anzeigen.<br />
• 1 = Steuerzentrale (Control Center) beim Starten<br />
anzeigen.<br />
Der Standardwert ist 1.<br />
DEFFUS • 0 = Einstellungen für schnelle Benutzerumschaltung<br />
(FUS, Fast User Switching) nicht verwenden.<br />
• 1 = Einstellungen für schnelle Benutzerumschaltung<br />
(FUS, Fast User Switching) verwenden.<br />
Der Standardwert ist 0.<br />
Kapitel 2. Installation 15
Tabelle 7. Von der ThinkVantage Fingerprint Software unterstützte Optionen (Forts.)<br />
Parameter Beschreibung<br />
DEVICEBIO Konfiguriert den Einheitentyp, der vom Benutzer<br />
verwendet wird.<br />
• DEVICEBIO=#3 - Einheitensensor verwenden, um die<br />
erste Registrierung zu speichern.<br />
• DEVICEBIO=#0 - Festplattenlaufwerk verwenden, um<br />
die Registrierung zu speichern.<br />
• DEVICEBIO=#1 - Zusatzchip verwenden, um die<br />
Registrierung zu speichern.<br />
INSTALLDIR Installationsverzeichnis festlegen.<br />
OEM • 0 = Mit Unterstützung für<br />
Serverberechtigungsnachweise oder<br />
Serverauthentifizierung installieren.<br />
• 1 = Nur Modus für Standalone-Computer mit lokalen<br />
Berechtigungsnachweisen installieren.<br />
Der Standardwert ist 1.<br />
PASSPORT Standardtyp des Berechtigungsnachweises festlegen.<br />
• 1 = Lokaler Berechtigungsnachweis<br />
• 2 = Serverberechtigungsnachweis<br />
Der Standardwert ist 1.<br />
POSSSO • 1 = „Single Sign-on“ aktivieren.<br />
• 0 = „Single Sign-on“ inaktivieren.<br />
Der Standardwert ist 1.<br />
PSLOGON • 0 = Anmeldung über Fingerabdruck inaktivieren.<br />
• 1 = Anmeldung über Fingerabdruck aktivieren.<br />
Der Standardwert ist 0.<br />
REBOOT Unterdrückt alle Neustarts einschließlich der<br />
Aufforderungen während der Installation, wenn Really<br />
Suppress festgelegt wird.<br />
SECURITY • 1 = Im sicheren Modus installieren.<br />
• 0 = Im komfortablen Modus installieren.<br />
SHORTCUT • 0 = Verknüpfung zu Steuerzentrale (Control Center)<br />
beim Starten nicht anzeigen.<br />
• 1 = Anzeige der Verknüpfung zu Steuerzentrale (Control<br />
Center) beim Starten aktivieren.<br />
Der Standardwert ist 0.<br />
SHORTCUTFOLDER Standardnamen des Verknüpfungsordners im Start-Menü<br />
festlegen.<br />
Benutzerberechtigungen des Benutzers ohne Administratorberechtigung<br />
DELETESELF • 1 = Löschen des Fingerabdrucks aktivieren.<br />
16 <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> <strong>8.3</strong> <strong>Implementierungshandbuch</strong><br />
• 0 = Löschen des Fingerabdrucks inaktivieren.<br />
Der Standardwert ist 1.
Tabelle 7. Von der ThinkVantage Fingerprint Software unterstützte Optionen (Forts.)<br />
Parameter Beschreibung<br />
ENROLLSELF • 1 = Registrierung über Fingerabdruck aktivieren.<br />
• 0 = Registrierung über Fingerabdruck inaktivieren.<br />
Der Standardwert ist 1.<br />
ENROLLTBX • 1 = Auswahl des Fingerabdrucks für den Start<br />
aktivieren.<br />
• 0 = Auswahl des Fingerabdrucks für den Start<br />
inaktivieren.<br />
Der Standardwert ist 1.<br />
IMPORTSELF • 1 = Importieren/Exportieren von Fingerabdrücken für<br />
Benutzer ohne Administratorberechtigung aktivieren.<br />
• 0 = Importieren/Exportieren von Fingerabdrücken für<br />
Benutzer ohne Administratorberechtigung inaktivieren.<br />
Der Standardwert ist 1.<br />
REVEALPWD • 1 = Wiederherstellung des Windows-Kennworts<br />
aktivieren.<br />
Anti-Hammering-Schutz (Lockout-Einstellungen)<br />
• 0 = Wiederherstellung des Windows-Kennworts<br />
inaktivieren.<br />
Der Standardwert ist 1.<br />
LOCKOUT • 1 = Anti-Hammering-Schutz aktivieren.<br />
• 0 = Anti-Hammering-Schutz inaktivieren.<br />
Der Standardwert ist 1.<br />
LOCKOUTCOUNT Maximale Wiederholungsanzahl. Der Standardwert ist 5<br />
und Sie können einen beliebigen Wert verwenden.<br />
LOCKOUTTIME Zeitlimit in Millisekunden. Der Standardwert ist 120.000<br />
und Sie können einen beliebigen Wert bis zu 360.000<br />
verwenden.<br />
Zeitlimit für Authentifizierung (Inaktivitätseinstellungen)<br />
GUITMENABLE • 1 = Zeitlimit für Authentifizierung in Millisekunden<br />
aktivieren.<br />
• 0 = Zeitlimit für Authentifizierung in Millisekunden<br />
inaktivieren.<br />
Der Standardwert ist 1.<br />
GUITMTIME Dauer der Zeitlimitüberschreitung für Authentifizierung.<br />
Der Standardwert ist 120.000 und Sie können einen<br />
beliebigen Wert bis zu 360.000 verwenden.<br />
PWDLOGON • 1 = Ausschließliche Anmeldung über Fingerabdruck für<br />
Benutzer ohne Administratorberechtigung aktivieren.<br />
• 0 = Ausschließliche Anmeldung über Fingerabdruck für<br />
Benutzer ohne Administratorberechtigung inaktivieren.<br />
Der Standardwert ist 1.<br />
Kapitel 2. Installation 17
Tabelle 7. Von der ThinkVantage Fingerprint Software unterstützte Optionen (Forts.)<br />
Parameter Beschreibung<br />
NOPOPPAPCHECK • 0 = Startsicherheitsoptionen nicht anzeigen.<br />
• 1 = Startsicherheitsoptionen immer anzeigen.<br />
Der Standardwert ist 0.<br />
CSS • 0 = Voraussetzen, dass <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> nicht<br />
installiert wurde.<br />
Anmerkung: Alle Optionen sind optional.<br />
• 1 = Voraussetzen, dass <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong><br />
installiert wurde.<br />
Der Standardwert ist 0.<br />
Verwenden Sie zum Deinstallieren der Fingerprint Software den Parameter /x statt /i. Während der<br />
standardmäßigen Deinstallation über die Benutzerschnittstelle werden Dialogfenster angezeigt, um<br />
auszuwählen, ob vorhandene Berechtigungsnachweise gelöscht und die Sicherheitsfunktion für den<br />
Bootvorgang inaktiviert werden sollen. Im unbeaufsichtigten Deinstallationsmodus können Sie den<br />
Parameter „DELPAS“ verwenden. Legen Sie für „DELPAS“ den Wert „1“ fest, um bereits vorhandene<br />
Berechtigungsnachweise zu löschen. Wenn diese Optionen nicht definiert sind oder einen anderen<br />
Wert haben, bleiben Berechtigungsnachweise auf dem Computer erhalten und die Bootsicherheit bleibt<br />
aktiviert. Wenn Sie die Bootsicherheit aktiviert lassen, können Sie keine Fingerabdrücke im Speicher der<br />
Bootsicherheit bearbeiten, bevor Sie nicht das Produkt erneut installieren. Beispielsweise würde das<br />
Ausführen der Syntax<br />
msiexec /i Setup.msi DELPAS="1" /q<br />
würde das Produkt deinstallieren, alle bereits vorhandenen Berechtigungsnachweise löschen und die<br />
Bootsicherheit auf dem Computer aktiviert lassen.<br />
<strong>Lenovo</strong> Fingerprint Software installieren<br />
Die Datei „setup32.exe“ des Programms „<strong>Lenovo</strong> Fingerprint Software“ kann mithilfe der folgenden Prozedur<br />
installiert werden.<br />
Unbeaufsichtigte Installation<br />
Um die Fingerprint Software unbeaufsichtigt zu installieren, führen Sie die Datei „setup32.exe“ aus, die sich<br />
auf der CD-ROM im Installationsverzeichnis befindet.<br />
Verwenden Sie die folgende Syntax:<br />
setup32.exe /s /v"/qn REBOOT ="R""<br />
Verwenden Sie zum Deinstallieren der Software die folgende Syntax:<br />
setup32.exe /x /s /v"/qn REBOOT="R""<br />
Optionen<br />
Die folgenden Parameter werden von der <strong>Lenovo</strong> Fingerprint Software unterstützt.<br />
18 <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> <strong>8.3</strong> <strong>Implementierungshandbuch</strong>
Tabelle 8. Von der <strong>Lenovo</strong> Fingerprint Software unterstützte Optionen<br />
Parameter Beschreibung<br />
SHORTCUT Zeigt die Verknüpfung zur Steuerzentrale (Control Center)<br />
im Start-Menü an.<br />
• 0 = Verknüpfung zu Steuerzentrale (Control Center)<br />
nicht anzeigen.<br />
• 1 = Verknüpfung zu Steuerzentrale (Control Center)<br />
anzeigen.<br />
Der Standardwert ist 0.<br />
SWAUTOSTART • 0 = Fingerprint Software nicht beim Starten starten.<br />
• 1 = Fingerprint Software beim Starten starten.<br />
Der Standardwert ist 1.<br />
SWFPLOGON • 0 = Anmeldung über Fingerabdruck (GINA oder<br />
Bereitsteller von Berechtigungsnachweis) nicht<br />
verwenden.<br />
• 1 = Anmeldung über Fingerabdruck (GINA oder<br />
Bereitsteller von Berechtigungsnachweis) verwenden.<br />
Der Standardwert ist 0.<br />
SWPOPP • 0 = Schutz durch Startkennwort inaktivieren.<br />
• 1 = Schutz durch Startkennwort aktivieren.<br />
Der Standardwert ist 0.<br />
SWSSO • 0 = Funktion „Single Sign-on“ inaktivieren.<br />
• 1 = Funktion „Single Sign-on“ aktivieren.<br />
Der Standardwert ist 0.<br />
SWALLOWENROLL • 0 = Registrierung über Fingerabdruck für Benutzer<br />
ohne Administratorberechtigung inaktivieren.<br />
• 1 = Registrierung über Fingerabdruck für Benutzer<br />
ohne Administratorberechtigung aktivieren.<br />
Der Standardwert ist 1.<br />
SWALLOWDELETE • 0 = Löschen des Fingerabdrucks für Benutzer ohne<br />
Administratorberechtigung inaktivieren.<br />
• 1 = Löschen des Fingerabdrucks für Benutzer ohne<br />
Administratorberechtigung aktivieren.<br />
Der Standardwert ist 1.<br />
SWALLOWIMEXPORT • 0 = Importieren/Exportieren von Fingerabdrücken für<br />
Benutzer ohne Administratorberechtigung inaktivieren.<br />
• 1 = Importieren/Exportieren von Fingerabdrücken für<br />
Benutzer ohne Administratorberechtigung aktivieren.<br />
Der Standardwert ist 1.<br />
SWALLOWSELECT • 0 = Auswahl der Verwendung des Fingerabdrucks<br />
anstelle des Startkennworts für Benutzer ohne<br />
Administratorberechtigung inaktivieren.<br />
• 1 = Auswahl der Verwendung des Fingerabdrucks<br />
anstelle des Startkennworts für Benutzer ohne<br />
Administratorberechtigung aktivieren.<br />
Der Standardwert ist 1.<br />
Kapitel 2. Installation 19
Tabelle 8. Von der <strong>Lenovo</strong> Fingerprint Software unterstützte Optionen (Forts.)<br />
Parameter Beschreibung<br />
SWALLOWPWRECOVERY • 0 = Wiederherstellung des Windows-Kennworts<br />
inaktivieren.<br />
• 1 = Wiederherstellung des Windows-Kennworts<br />
aktivieren.<br />
Der Standardwert ist 1.<br />
SWANTIHAMMER • 0 = Anti-Hammering-Schutz inaktivieren.<br />
• 1 = Anti-Hammering-Schutz aktivieren.<br />
Der Standardwert ist 1.<br />
SWANTIHAMMERRETRIES Gibt die maximale Wiederholungsanzahl an. Der<br />
Standardwert ist 5.<br />
Anmerkung: Diese Einstellung funktioniert nur, wenn<br />
SWANTIHAMMER aktiviert ist.<br />
SWANTIHAMMERTIMEOUT Gibt die Dauer der Zeitlimitüberschreitung in Sekunden<br />
an. Der Standardwert ist 120.<br />
Anmerkung: Diese Einstellung funktioniert nur, wenn<br />
SWANTIHAMMER aktiviert ist.<br />
SWAUTHTIMEOUT • 0 = Zeitlimit für Authentifizierung inaktivieren.<br />
• 1 = Zeitlimit für Authentifizierung aktivieren.<br />
Der Standardwert ist 1.<br />
SWAUTHTIMEOUTVALUE Gibt den Inaktivitätszeitraum vor dem Zeitlimit für die<br />
Authentifizierung in Sekunden an. Der Standardwert ist<br />
120.<br />
Anmerkung: Diese Einstellung funktioniert nur, wenn<br />
SWAUTHTIMEOUT aktiviert ist.<br />
SWNONADMIFPLOGONONLY • 0 = Ausschließliche Anmeldung über Fingerabdruck für<br />
Benutzer ohne Administratorberechtigung inaktivieren.<br />
• 1 = Ausschließliche Anmeldung über Fingerabdruck für<br />
Benutzer ohne Administratorberechtigung aktivieren.<br />
Der Standardwert ist 1.<br />
SWSHOWPOWERON • 0 = Startsicherheitsoptionen nicht anzeigen.<br />
• 1 = Startsicherheitsoptionen immer anzeigen.<br />
Der Standardwert ist 0.<br />
CSS • 0 = Voraussetzen, dass <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> nicht<br />
installiert wurde.<br />
Systems Management Server<br />
• 1 = Voraussetzen, dass <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong><br />
installiert wurde.<br />
Der Standardwert ist 0.<br />
SMS-Installationen (Systems Management Server) werden ebenfalls unterstützt. Öffnen Sie die<br />
SMS-Administratorkonsole. Erstellen Sie ein neues Paket, und legen als Paketmerkmale die Standardwerte<br />
fest. Öffnen Sie das Paket, und wählen Sie in der Programmauswahl die Option für neue Programme<br />
aus. Geben Sie in einer Befehlszeile Folgendes ein:<br />
Setup.exe /m yourmiffilename /q /i<br />
Sie können dieselben Parameter wie bei der unbeaufsichtigten Installation verwenden.<br />
20 <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> <strong>8.3</strong> <strong>Implementierungshandbuch</strong>
Bei der Konfiguration wird in der Regel am Ende des Installationsprozesses ein Neustart durchgeführt. Wenn<br />
Sie alle Neustarts während der Installation unterdrücken möchten und den Neustart später durchführen<br />
möchten (nach der Installation weiterer Programme), fügen Sie REBOOT=„ReallySuppress“ zur Liste mit<br />
den Merkmalen hinzu.<br />
Kapitel 2. Installation 21
22 <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> <strong>8.3</strong> <strong>Implementierungshandbuch</strong>
Kapitel 3. Mit <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> arbeiten<br />
Vor der Installation von <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> sollten Sie sich über die verfügbaren Optionen zur Anpassung<br />
von <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> informieren. Das vorliegende Kapitel enthält Informationen zur Anpassung von<br />
<strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> sowie Informationen zum TPM (Trusted Platform Module). Die in diesem Kapitel<br />
verwendeten TPM-Begriffe sind durch die Trusted Computing Group (TCG) definiert. Weitere Informationen<br />
zum TPM finden Sie auf der folgenden Website:<br />
http://www.trustedcomputinggroup.org/<br />
TPM verwenden<br />
Beim TPM (Trusted Platform Module) handelt es sich um einen integrierten Sicherheitschip, der für Software<br />
sicherheitsrelevante Funktionen zur Verfügung stellt. Der integrierte Sicherheitschip ist in die Steuerplatine<br />
integriert und kommuniziert über einen Hardwarebus. Systeme mit einem TPM können Chiffrierschlüssel<br />
erstellen und verschlüsseln, so dass diese nur von demselben TPM wieder entschlüsselt werden können.<br />
Dieser Prozess wird oft als Verpacken eines Schlüssels bezeichnet. Mit Hilfe dieses Prozesses wird der<br />
Schlüssel vor der Offenlegung geschützt. Auf einem System mit TPM wird der Master-Verpackungsschlüssel,<br />
der auch Speicher-Rootschlüssel (SRK, Storage Root Key) genannt wird, im TPM selbst gespeichert, so<br />
dass der private Bestandteil des Schlüssels nie ungeschützt ist. Im integrierten Sicherheitschip können auch<br />
andere Speicherschlüssel, Signierschlüssel, Kennwörter und andere kleine Dateneinheiten gespeichert<br />
werden. Aufgrund der begrenzten Speicherkapazität im TPM wird der SRK zum Verschlüsseln von anderen<br />
Schlüsseln für die Speicherung außerhalb des Chips verwendet. Der SRK verbleibt immer im integrierten<br />
Sicherheitschip und bildet die Basis für geschützte Speicher.<br />
Die Verwendung des Sicherheitschips ist optional und erfordert einen <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>-Administrator.<br />
Sowohl für Einzelpersonen als auch für IT-Abteilungen eines Unternehmens muss das TPM initialisiert<br />
werden. Spätere Operationen wie die Möglichkeit zur Wiederherstellung nach einem Festplattenausfall oder<br />
nach dem Austauschen der Systemplatine müssen ebenfalls vom <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>-Administrator<br />
ausgeführt werden.<br />
Anmerkung: Wenn Sie den Authentifizierungsmodus ändern und versuchen, den Sicherheitschip zu<br />
entsperren, müssen Sie sich abmelden und dann als Master-Administrator wieder anmelden. Dann<br />
können Sie den Chip entsperren. Sie können sich auch als Sekundärbenutzer anmelden und fortfahren,<br />
den Authentifizierungsmodus zu konvertieren. Die Konvertierung erfolgt automatisch mit der Anmeldung<br />
des Sekundärbenutzers. <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> fordert Sie zum Eingeben des Kennworts oder des<br />
Verschlüsselungstextes des Sekundärbenutzers auf. Wenn <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> mit dem Verarbeiten der<br />
Änderung fertig ist, kann der Sekundärbenutzer mit dem Entsperren des Chips fortfahren.<br />
TPM (Trusted Platform Module) unter Windows 7 verwenden<br />
Wenn die Windows 7-Anmeldung aktiviert und das TPM inaktiviert ist, müssen Sie die<br />
Windows-Anmeldefunktion inaktivieren, bevor Sie das TPM im BIOS über die Taste F1 inaktivieren. Dadurch<br />
verhindern Sie das Anzeigen einer Sicherheitsnachricht wie der folgenden: Der integrierte Sicherheitschip<br />
wurde inaktiviert. Der Anmeldeprozess kann nur bei aktiviertem Chip geschützt werden.<br />
Zudem müssen Sie, wenn Sie für das Betriebssystem eines <strong>Client</strong>systems ein Upgrade durchführen, den<br />
Inhalt des Sicherheitschips löschen, um einen Registrierungsfehler bei <strong>Client</strong> <strong>Security</strong> zu vermeiden. Um<br />
den Inhalt des Chips im BIOS über die Taste F1 zu löschen, muss das System kalt gestartet werden. Sie<br />
können den Inhalt des Chips nicht nach einem Warmstart löschen.<br />
© Copyright <strong>Lenovo</strong> 2008, 2011 23
<strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> mit Chiffrierschlüsseln verwalten<br />
<strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> wird durch die beiden wichtigsten Implementierungsaktivitäten beschrieben:<br />
„Eigentumsrecht übernehmen“ und „Benutzer registrieren“. Bei der ersten Ausführung des<br />
Konfigurationsassistenten von <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> werden diese beiden Prozesse während der<br />
Initialisierung ausgeführt. Die Windows-Benutzer-ID, die den Installationsassistenten für <strong>Client</strong> <strong>Security</strong><br />
<strong>Solution</strong> ausgeführt hat, ist der <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>-Administrator und ist als aktiver Benutzer registriert.<br />
Jeder andere Benutzer, der sich am System anmeldet, wird automatisch aufgefordert, sich bei <strong>Client</strong><br />
<strong>Security</strong> <strong>Solution</strong> zu registrieren.<br />
• Eigentumsrecht übernehmen<br />
Eine einzige Windows-Administrator-ID ist als einziger <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>-Administrator für das<br />
System zugeordnet. Verwaltungsfunktionen von <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> müssen über diese Benutzer-ID<br />
ausgeführt werden. Die Berechtigung für das TPM (Trusted Platform Module) ist entweder das<br />
Windows-Kennwort dieses Benutzers oder der <strong>Client</strong> <strong>Security</strong>-Verschlüsselungstext.<br />
Anmerkung: Die einzige Möglichkeit einer Wiederherstellung, wenn das <strong>Client</strong> <strong>Security</strong><br />
<strong>Solution</strong>-Administratorkennwort oder der -Verschlüsselungstext vergessen wurde, besteht<br />
darin, die Software mit gültigen Windows-Berechtigungen zu deinstallieren oder den Inhalt des<br />
Sicherheitschips im BIOS zu löschen. Bei beiden Möglichkeiten gehen die Daten, die über die dem<br />
TPM zugeordneten Schlüssel geschützt werden, verloren. <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> bietet außerdem<br />
einen optionalen Mechanismus, mit dessen Hilfe Sie ein vergessenes Kennwort oder einen vergessenen<br />
Verschlüsselungstext selbst wiederherstellen können. Dieser Mechanismus basiert auf Fragen und<br />
Antworten zur Identifizierung. Der <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>-Administrator entscheidet, ob diese Funktion<br />
verwendet wird.<br />
• Benutzer registrieren<br />
Nachdem der Prozess „Eigentumsrecht übernehmen“ abgeschlossen und ein <strong>Client</strong> <strong>Security</strong><br />
<strong>Solution</strong>-Administrator erstellt wurde, kann ein Benutzerbasisschlüssel erstellt werden, um die<br />
Berechtigungsnachweise für den gerade angemeldeten Windows-Benutzer sicher zu speichern. Dadurch<br />
können sich mehrere Benutzer bei <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> registrieren und das einzelne TPM nutzen.<br />
Benutzerschlüssel werden über den Sicherheitschip gesichert, aber tatsächlich außerhalb des Chips auf<br />
der Festplatte gespeichert. Diese Technologie erstellt Festplattenspeicherplatz als den einschränkenden<br />
Speicherfaktor anstelle des tatsächlichen in den Sicherheitschip integrierten Speichers. Damit wird die<br />
Anzahl der Benutzer, die dieselbe sichere Hardware nutzen können, deutlich erhöht.<br />
Eigentumsrecht übernehmen<br />
Die Sicherheitsbasis für <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> ist der System-Rootschlüssel (SRK, System Root Key).<br />
Dieser nicht migrierbare asymmetrische Schlüssel wird in der sicheren Umgebung des TPMs (Trusted<br />
Platform Module) generiert und gegenüber dem System nie offengelegt. Die Berechtigung zur Nutzung des<br />
Schlüssels wird beim Ausführen des Befehls „TPM_TakeOwnership“ über das Windows-Administratorkonto<br />
abgeleitet. Wenn das System einen <strong>Client</strong> <strong>Security</strong>-Verschlüsselungstext nutzt, ist der <strong>Client</strong><br />
<strong>Security</strong>-Verschlüsselungstext für den <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>-Administrator die TPM-Berechtigung.<br />
Andernfalls wird das Windows-Kennwort des <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>-Administrators verwendet.<br />
Mit Hilfe des für das System erstellten SRK können andere Schlüsselpaare erstellt und verpackt oder<br />
geschützt durch die auf Hardware basierenden Schlüssel außerhalb des TPMs gespeichert werden. Da es<br />
sich beim TPM, das den SRK enthält, um Hardware handelt und Hardware beschädigt werden kann, ist<br />
ein Wiederherstellungsmechanismus erforderlich, um sicherzustellen, dass bei einer Beschädigung des<br />
Systems eine Datenwiederherstellung möglich ist.<br />
Um ein System wiederherzustellen, wird ein Systembasisschlüssel erstellt. Mit diesem asymmetrischen<br />
Speicherschlüssel kann der <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>-Administrator das System nach dem Austauschen<br />
der Systemplatine oder der geplanten Migration auf ein anderes System wiederherstellen. Damit<br />
der Systembasisschlüssel geschützt ist und gleichzeitig bei normalem Betrieb oder bei einer<br />
24 <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> <strong>8.3</strong> <strong>Implementierungshandbuch</strong>
Wiederherstellung auf ihn zugegriffen werden kann, werden zwei Instanzen des Schlüssels erstellt<br />
und auf zwei verschiedene Arten geschützt. Zum einen wird der Systembasisschlüssel mit einem<br />
symmetrischen AES-Schlüssel verschlüsselt, der vom <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>-Administratorkennwort<br />
oder vom <strong>Client</strong> <strong>Security</strong>-Verschlüsselungstext abgeleitet wird. Diese Kopie des <strong>Client</strong> <strong>Security</strong><br />
<strong>Solution</strong>-Wiederherstellungsschlüssels dient ausschließlich zur Wiederherstellung von einem gelöschten<br />
TPM oder einer ausgetauschten Systemplatine aufgrund eines Hardwareausfalls.<br />
Die zweite Instanz des <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>-Wiederherstellungsschlüssels wird durch den SRK für<br />
den Import in die Schlüsselhierarchie verpackt. Durch diese doppelte Instanz des Systembasisschlüssels<br />
kann das TPM mit ihm verbundene geheime Daten bei normalem Betrieb schützen. Außerdem ist eine<br />
Wiederherstellung einer fehlerhaften Systemplatine durch den Systembasisschlüssel möglich, der mit einem<br />
AES-Schlüssel verschlüsselt ist, der über das <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>-Administratorkennwort oder den <strong>Client</strong><br />
<strong>Security</strong>-Verschlüsselungstext entschlüsselt wird. Anschließend wird ein Systemblattschlüssel erstellt. Dieser<br />
Schlüssel wird erstellt, um geheime Schlüssel auf Systemebene, wie z. B. den AES-Schlüssel, zu schützen.<br />
Das folgende Diagramm stellt die Struktur für den Schlüssel auf Systemebene dar:<br />
System Level Key Structure - Take Ownership<br />
Trusted Platform Module<br />
Storage Root Private Key<br />
Storage Root Public Key<br />
System Base Private Key<br />
System Base Public Key<br />
System Leaf Private Key<br />
System Leaf Public Key<br />
Encrypted via derived AES Key<br />
System Base Private Key<br />
System Base Public Key<br />
One-Way Hash<br />
CSS Admin PW/PP<br />
One-Way Hash<br />
System Base AES<br />
Protection Key<br />
(derived via output<br />
of hash algorithm)<br />
Abbildung 1. Systemebenenschlüsselstruktur - Eigentumsrecht übernehmen<br />
Benutzer registrieren<br />
Auth<br />
If Passphrase<br />
loop n times<br />
Damit die Daten von allen Benutzern durch dasselbe TPM (Trusted Platform Module) geschützt werden<br />
können, muss jeder Benutzer seinen eigenen Benutzerbasisschlüssel erstellen. Dieser asymmetrische<br />
Speicherschlüssel kann migriert werden und wird ebenfalls zweimal erstellt und durch einen symmetrischen<br />
AES-Schlüssel geschützt, der über das Windows-Kennwort oder den <strong>Client</strong> <strong>Security</strong>-Verschlüsselungstext<br />
der einzelnen Benutzer generiert wird.<br />
Die zweite Instanz des Benutzerbasisschlüssels wird dann in das TPM importiert und durch den System-SRK<br />
geschützt. Bei der Erstellung des Benutzerbasisschlüssels wird ein zweiter asymmetrischer Schlüssel<br />
erstellt, der als Benutzerblattschlüssel bezeichnet wird. Mit dem Benutzerblattschlüssel werden geheime<br />
Daten der einzelnen Benutzer geschützt. Hierzu zählen der AES-Schlüssel für Password Manager, der<br />
zum Schutz von Internetanmeldedaten dient, das Kennwort, mit dem Daten geschützt werden, und der<br />
AES-Schlüssel für das Windows-Kennwort, der den Zugriff auf das Betriebssystem schützt. Der Zugriff<br />
auf den Benutzerblattschlüssel wird über das Windows-Benutzerkennwort oder den <strong>Client</strong> <strong>Security</strong><br />
Kapitel 3. Mit <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> arbeiten 25
<strong>Solution</strong>-Verschlüsselungstext gesteuert. Der Benutzerblattschlüssel wird bei der Anmeldung automatisch<br />
entsperrt.<br />
Das folgende Diagramm stellt die Struktur für den Schlüssel auf Benutzerebene dar:<br />
User Level Key Structure - Enroll User<br />
Trusted Platform Module<br />
Storage Root Private Key<br />
Storage Root Public Key<br />
User Base Private Key<br />
User Base Public Key<br />
User Leaf Private Key<br />
User Leaf Public Key<br />
Windows PW AES Key<br />
PW Manager AES Key<br />
Encrypted via derived AES Key<br />
User Base Private Key<br />
User Base Public Key<br />
One-Way Hash<br />
Auth<br />
One-Way Hash<br />
Abbildung 2. Schlüsselstruktur auf Benutzerebene - Benutzer registrieren<br />
Registrierung im Hintergrund<br />
User PW/PP<br />
User Base AES<br />
Protection Key<br />
(derived via output<br />
of hash algorithm)<br />
If Passphrase<br />
loop n times<br />
<strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> <strong>8.3</strong> unterstützt die Registrierung im Hintergrund für die automatisch gestartete<br />
Benutzerregistrierung. Der Registrierungsprozess wird im Hintergrund ohne die Anzeige von<br />
Benachrichtigungen ausgeführt.<br />
Anmerkung: Die Registrierung im Hintergrund ist nur für die automatisch gestartete Benutzerregistrierung<br />
verfügbar. Für die manuell über das Startmenü oder über die Option Sicherheitseinstellungen<br />
zurücksetzen gestartete Benutzerregistrierung wird weiterhin ein Dialogfenster mit der Nachricht, dass der<br />
Benutzer auf die Benutzerregistrierung warten soll, angezeigt.<br />
Der lokale oder Domänenadministrator kann auch das Anzeigen des Dialogfensters zum Warten erzwingen,<br />
indem er die folgende Richtlinie wie folgt bearbeitet:<br />
CSS_GUI_ALWAYS_SHOW_ENROLLMENT_PROCESSING<br />
Er kann auch den folgenden Registrierungsschlüssel wie folgt bearbeiten:<br />
HKLM\software\policies\lenovo\client security solution\GUI options\<br />
AlwaysShowEnrollmentProcessing<br />
Der Standardwert für AlwaysShowEnrollmentProcessing ist 0. Wenn für den obigen Registrierungsschlüssel 0<br />
festgelegt ist, wird das Dialogfenster mit der Aufforderung zum Warten für die automatisch gestartete<br />
Benutzerregistrierung nicht angezeigt. Wenn für diese Richtlinie 1 festgelegt ist, wird das Dialogfenster mit<br />
der Aufforderung zum Warten bei der Benutzerregistrierung immer angezeigt, unabhängig davon, wie<br />
diese gestartet wird.<br />
26 <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> <strong>8.3</strong> <strong>Implementierungshandbuch</strong>
Softwareemulation<br />
Damit Benutzer, deren Computer über kein TPM verfügt, eine ähnliche Ansicht erhalten, unterstützt CSS<br />
den TMP-Emulationsmodus.<br />
Der TPM-Emulationsmodus ist eine softwarebasierte Sicherheitsbasis. Dem Benutzer stehen dieselben<br />
Funktionen, die vom TPM bereitgestellt werden, wie z. B. digitale Signatur, die Entschlüsselung<br />
symmetrischer Schlüssel, RSA-Schlüsselimport, Schutz und Generierung von zufallsgenerierten Nummern,<br />
zur Verfügung. Allerdings ist die Sicherheit geringer, da es sich bei der Sicherheitsbasis um softwarebasierte<br />
Schlüssel handelt.<br />
Der TPM-Emulationsmodus kann nicht als sicherer Ersatz für das TPM verwendet werden. Das TPM bietet<br />
die folgenden beiden Schlüsselschutzmethoden, die sicherer sind als der TPM-Emulationsmodus.<br />
• Alle vom TPM verwendeten Schlüssel sind durch einen eindeutigen Schlüssel auf Stammverzeichnisebene<br />
geschützt. Der eindeutige Schlüssel auf Stammverzeichnisebene wird innerhalb des TPM erstellt und<br />
kann außerhalb davon weder angezeigt noch verwendet werden. Im TPM-Emulationsmodus ist der<br />
Schlüssel auf Stammverzeichnisebene ein softwarebasierter Schlüssel, der auf dem Festplattenlaufwerk<br />
gespeichert ist.<br />
• Alle Operationen mit privatem Schlüssel werden im TPM durchgeführt, so dass das private<br />
Schlüsselmaterial für keinen Schlüssel jemals außerhalb des TPM angezeigt wird. Im<br />
TPM-Emulationsmodus werden alle Operationen mit privatem Schlüssel in der Software durchgeführt, so<br />
dass kein Schutz des privaten Schlüsselmaterials besteht.<br />
Der TPM-Emulationsmodus ist in erster Linie für Benutzer gedacht, denen Sicherheit kein so großes Anliegen<br />
ist und denen es eher um die Geschwindigkeit bei der Systemanmeldung geht.<br />
Austausch der Systemplatine<br />
Ein Austausch der Systemplatine bedeutet, dass der alte SRK, an den die Schlüssel gebunden waren, nicht<br />
mehr gilt, und dass ein anderer SRK erforderlich ist. Dieser Fall kann auch eintreten, wenn das TPM (Trusted<br />
Platform Module) über das BIOS gelöscht wird.<br />
Der <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>-Administrator muss die Berechtigungsnachweise des Systems<br />
an einen neuen SRK binden. Es ist erforderlich, dass der Systembasisschlüssel über den<br />
Systembasis-AES-Sicherungsschlüssel entschlüsselt wird, der von den Berechtigungsnachweisen zur<br />
Autorisierung des <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>-Administrators abgeleitet wird.<br />
Wenn es sich beim <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>-Administrator um eine Domänenbenutzer-ID handelt und<br />
das Kennwort für diese Benutzer-ID auf einer anderen Maschine geändert wurde, muss das Kennwort<br />
bekannt sein, das bei der letzten Anmeldung auf dem System, das wiederhergestellt werden soll, verwendet<br />
wurde, um den Systembasisschlüssel für die Wiederherstellung zu entschlüsseln. Ein Bespiel: Bei der<br />
Implementierung wird eine Benutzer-ID und ein Kennwort des <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>-Administrators<br />
konfiguriert. Ändert sich das Kennwort von diesem Benutzer auf einer anderen Maschine, ist das<br />
ursprüngliche, bei der Implementierung festgelegte Kennwort für die Autorisierung erforderlich, um das<br />
System wiederherzustellen.<br />
Gehen Sie wie folgt vor, um die Systemplatine auszutauschen:<br />
1. Melden Sie sich als <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>-Administrator am Betriebssystem an.<br />
2. Der bei der Anmeldung ausgeführte Code (cssplanarswap.exe) erkennt, dass der Sicherheitschip nicht<br />
aktiviert ist und fordert einen Neustart für die Aktivierung an. (Dieser Schritt kann durch die Aktivierung<br />
des Sicherheitschips im BIOS umgangen werden.)<br />
3. Das System wird erneut gestartet und der Sicherheitschip aktiviert.<br />
Kapitel 3. Mit <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> arbeiten 27
4. Melden Sie sich als <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>-Administrator an. Der neue Prozess „Eigentumsrecht<br />
übernehmen“ ist abgeschlossen.<br />
5. Der Systembasisschlüssel wird über den Systembasis-AES-Sicherungsschlüssel entschlüsselt,<br />
der von der Authentifizierung des <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>-Administrators abgeleitet wird. Der<br />
Systembasisschlüssel wird in den neuen SRK importiert und erstellt den Systemblattschlüssel und alle<br />
durch ihn geschützten Berechtigungsnachweise erneut.<br />
6. Das System ist nun wiederhergestellt.<br />
Anmerkung: Ein Austausch der Systemplatine ist nicht notwendig, wenn der Emulationsmodus verwendet<br />
wird.<br />
Das folgende Diagramm stellt die Struktur für den Austausch der Systemplatine und die Übernahme des<br />
Eigentumsrechts dar:<br />
Motherboard Swap - Take Ownership<br />
Trusted Platform Module<br />
Store Leaf Private Key<br />
Store Leaf Public Key<br />
System Leaf Private Key<br />
System Leaf Public Key<br />
Decrypted via derived AES Key<br />
System Base Private Key<br />
System Base Public Key<br />
CSS Admin PW/PP<br />
One-Way Hash<br />
Abbildung 3. Austausch der Systemplatine - Eigentumsrecht übernehmen<br />
System Base AES<br />
Protection Key<br />
(derived via output<br />
of hash algorithm)<br />
If Passphrase<br />
loop n times<br />
Bei der Anmeldung der einzelnen Benutzer am System wird der jeweilige Benutzerbasisschlüssel automatisch<br />
über den Benutzerbasis-AES-Sicherungsschlüssel entschlüsselt, der von der Benutzerauthentifizierung<br />
abgeleitet und in den neuen vom <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>-Administrator erstellten SRK importiert wird. Das<br />
folgende Diagramm stellt die Struktur für den Austausch der Systemplatine und die Benutzerregistrierung dar:<br />
Um einen Sekundärbenutzer anzumelden, nachdem der Inhalt des Chips gelöscht wurde oder<br />
nachdem Sie die Systemplatine ausgetauscht haben, müssen Sie sich als Master-Administrator<br />
anmelden. Der Master-Administrator wird zum Wiederherstellen der Schlüssel aufgefordert. Sobald die<br />
Wiederherstellung der Schlüssel abgeschlossen ist, verwenden Sie den Policy Manager, um die <strong>Client</strong><br />
<strong>Security</strong>-Windows-Anmeldung zu inaktivieren. Die verbleibenden Benutzer können ihre jeweiligen Schlüssel<br />
wiederherstellen. Sobald alle Sekundärbenutzer ihre jeweiligen Schlüssel wiederhergestellt haben, kann der<br />
Master-Administrator die <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>-Windows-Anmeldefunktion aktivieren.<br />
28 <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> <strong>8.3</strong> <strong>Implementierungshandbuch</strong>
Das folgende Diagramm stellt die Struktur für den Austausch der Systemplatine und die Benutzerregistrierung<br />
dar:<br />
Motherboard Swap - Enroll User<br />
Trusted Platform Module<br />
Storage Root Private Key<br />
Storage Root Public Key<br />
User Leaf Private Key<br />
User Leaf Public Key<br />
Windows PW AES Key<br />
PW Manager AES Key<br />
User Base Private Key<br />
User Base Public Key<br />
Decrypted via derived AES Key<br />
Abbildung 4. Austausch der Systemplatine - Benutzer registrieren<br />
Schutzdienstprogramm „EFS“<br />
User PW/PP<br />
One-Way Hash<br />
User Base AES<br />
Protection Key<br />
(derived via output<br />
of hash algorithm)<br />
If Passphrase<br />
loop n times<br />
<strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> stellt ein Befehlszeilendienstprogramm bereit, das den TPM-basierten Schutz der<br />
Verschlüsselungszertifikate, die von EFS (Encrypting File System) zum Verschlüsseln von Dateien und<br />
Ordnern bereitgestellt werden, aktiviert. Dieses Dienstprogramm unterstützt die Übertragung von Zertifikaten<br />
von Dritten (von einer Zertifizierungsstelle generierte Zertifikate) und unterstützt zudem das Generieren von<br />
selbst signierten Zertifikaten.<br />
Beim Schutz des EFS-Zertifikats durch <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> wird der private Schlüssel, der dem<br />
EFS-Zertifikat zugeordnet ist, durch das TPM geschützt. Zugriff auf das Zertifikat wird gewährt, nachdem<br />
der Benutzer sich bei <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> authentifiziert hat.<br />
Wenn kein TPM verfügbar ist, wird das EFS-Zertifikat unter Verwendung des von <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong><br />
bereitgestellten TPM-Emulators geschützt. Sie müssen bei <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> registriert sein, damit<br />
EFS-Zertifikate von <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> geschützt werden können.<br />
Vorsicht:<br />
Wenn Sie <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> und EFS (Encrypting File System) zum Verschlüsseln von Dateien<br />
und Ordnern verwenden, können Sie immer dann, wenn <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> oder das TPM nicht<br />
verfügbar sind, nicht auf die verschlüsselten Dateien zugreifen.<br />
Wenn das TPM (Trusted Platform Module) nicht mehr reagiert, stellt <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> den Zugriff auf<br />
die verschlüsselten Daten wieder her, nachdem die Systemplatine ausgetauscht wurde.<br />
EFS-Befehlszeilendienstprogramm verwenden<br />
Die folgende Tabelle enthält die Befehlszeilenparameter, die von EFS unterstützt werden:<br />
Kapitel 3. Mit <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> arbeiten 29
Tabelle 9. Von EFS unterstützte Befehlszeilenparameter<br />
Parameter Beschreibung<br />
/generate: Generiert ein selbst signiertes Zertifikat und ordnet das<br />
Zertifikat EFS zu. Wenn angegeben ist, wird<br />
der Schlüssel in der angegebenen Bitgröße generiert.<br />
Gültig sind die Werte 512, 1024 und 2048. Wenn kein<br />
Wert oder ein ungültiger Wert angegeben wird, werden<br />
standardmäßig Schlüssel mit 1024 Bit generiert.<br />
/sn:xxxxxx Gibt die Seriennummer eines vorhandenen Zertifikats an,<br />
das übertragen und EFS zugeordnet werden soll.<br />
/cn:yyyyyy Gibt den Namen („ausgegeben an“) eines vorhandenen<br />
Zertifikats an, das übertragen und EFS zugeordnet<br />
werden soll.<br />
/firstavail Überträgt das erste verfügbare vorhandene EFS-Zertifikat<br />
und ordnet es dann EFS zu.<br />
/silent Zeigt keine Ausgabe an. Rückkehrcodes werden vom<br />
Wert bei Beendigung des Programms bereitgestellt.<br />
/? oder /h oder /help Zeigt den Hilfetext an.<br />
Wenn das Dienstprogramm nicht im Hintergrund ausgeführt wird, gibt es einen der folgenden Fehler zurück:<br />
0 - "Command completed successfully"<br />
1 - "This utility requires Windows XP"<br />
2 - "This utility requires <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> version 8.0"<br />
3 - "The current user is not enrolled with <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>"<br />
4 - "The specified certificate could not be found"<br />
5 - "Unable to generate a self-signed certificate”<br />
6 - "No EFS certificates were found"<br />
7 - "Unable to associate the certificate with EFS”<br />
Bei der Ausführung im Hintergrund gibt das Programm eine Fehlerebene aus, die den oben angezeigten<br />
Fehlernummern entspricht.<br />
XML-Schema verwenden<br />
Über die XML-Scripterstellung können IT-Administratoren angepasste Scripts zur Implementierung und<br />
Konfiguration von <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> erstellen. Die Scripts können mit Hilfe der ausführbaren Funktion<br />
„xml_crypt_tool“ mit einem Kennwort geschützt werden, wie z. B. bei der AES-Verschlüsselung. Nach der<br />
Erstellung akzeptiert die virtuelle Maschine (vmserver.exe) die Scripts als Eingabe. Die virtuelle Maschine<br />
ruft dieselben Funktionen wie der Konfigurationsassistent von <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> zum Konfigurieren<br />
der Software auf.<br />
Alle Scripts bestehen aus einem Tag, das den XML-Codierungstyp, das XML-Schema und mindestens eine<br />
auszuführende Funktion angibt. Das Schema dient der Validierung der XML-Datei und überprüft, ob die<br />
erforderlichen Parameter vorhanden sind. Die Verwendung des Schemas wird derzeit nicht erzwungen. Jede<br />
Funktion wird in einem Funktionstag eingeschlossen. Jede Funktion enthält die Reihenfolge, in der der<br />
Befehl von der virtuellen Maschine (vmserver.exe) ausgeführt wird. Außerdem verfügt jede Funktion über<br />
eine Versionsnummer; derzeit haben alle Funktionen Version 1.0. Jedes der folgenden Beispielscripts enthält<br />
nur eine Funktion. In der Praxis ist es jedoch wahrscheinlicher, dass ein Script mehrere Funktionen enthält.<br />
Ein solches Script kann mit dem Konfigurationsassistenten von <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> erstellt werden.<br />
Weitere Informationen zum Erstellen von Scripts mit dem Konfigurationsassistenten finden Sie im Abschnitt<br />
„Installationsassistent für <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>“ auf Seite 41.<br />
30 <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> <strong>8.3</strong> <strong>Implementierungshandbuch</strong>
Anmerkung: Wird in einer Funktion, die einen Domänennamen erfordert, der Parameter<br />
nicht angegeben, wird der Standardcomputername des Systems<br />
verwendet.<br />
Beispiele<br />
Die folgenden Befehle sind Beispiele für das XML-Schema:<br />
ENABLE_TPM_FUNCTION<br />
Dieser Befehl aktiviert das TPM und verwendet das Argument SYSTEM_PAP. Wenn für das System bereits<br />
ein BIOS-Administratorkennwort festgelegt ist, muss dieses Argument angegeben werden. Andernfalls ist<br />
dieser Befehl optional.<br />
<br />
< registry_settings /><br />
< /tvt_deployment ><br />
<br />
0001<br />
ENABLE_TPM_FUNCTION<br />
1.0<br />
PASSWORD<br />
<br />
<br />
Anmerkung: Dieser Befehl wird im Emulationsmodus nicht unterstützt.<br />
DISABLE_TPM_FUNCTION<br />
Dieser Befehl inaktiviert das TPM und verwendet das Argument SYSTEM_PAP. Wenn für das System bereits<br />
ein BIOS-Administratorkennwort festgelegt ist, muss dieses Argument angegeben werden. Andernfalls ist<br />
dieser Befehl optional.<br />
<br />
< registry_settings /><br />
< /tvt_deployment<br />
<br />
0001<br />
DISABLE_TPM_FUNCTION<br />
1.0<br />
password<br />
<br />
<br />
Anmerkung: Dieser Befehl wird im Emulationsmodus nicht unterstützt.<br />
ENABLE_PWMGR_FUNCTION<br />
Mit diesem Befehl können Sie den Password Manager für alle <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>-Benutzer aktivieren.<br />
<br />
<br />
<br />
0001<br />
ENABLE_PWMGR_FUNCTION<br />
1.0<br />
<br />
<br />
Kapitel 3. Mit <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> arbeiten 31
ENABLE_CSS_GINA_FUNCTION<br />
Unter Windows XP, Windows Vista und Windows 7 wird die <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>-Anmeldung über<br />
den folgenden Befehl aktiviert:<br />
- <br />
< registry_settings /><br />
< /tvt_deployment<br />
<br />
0001<br />
ENABLE_CSS_GINA_FUNCTION<br />
1.0<br />
<br />
<br />
ENABLE_UPEK_GINA_FUNCTION<br />
Anmerkungen:<br />
1. Dieser Befehl ist nur für die ThinkVantage Fingerprint Software.<br />
2. Dieser Befehl wird im Emulationsmodus nicht unterstützt.<br />
Der folgende Befehl aktiviert die Windows-Anmeldung über ThinkVantage Fingerprint Software und inaktiviert<br />
die Windows-Anmeldung über <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>.<br />
<br />
< registry_settings /><br />
< /tvt_deployment ><br />
<br />
0001<br />
ENABLE_UPEK_GINA_FUNCTION<br />
1.0<br />
<br />
<br />
ENABLE_UPEK_GINA_WITH_FUS_FUNCTION<br />
Anmerkungen:<br />
1. Dieser Befehl ist nur für die ThinkVantage Fingerprint Software.<br />
2. Dieser Befehl wird im Emulationsmodus nicht unterstützt.<br />
Der folgende Befehl aktiviert die Anmeldung mit Unterstützung für die schnelle Benutzerumschaltung und<br />
inaktiviert die Windows-Anmeldung über <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>. Die schnelle Benutzerumschaltung ist<br />
nicht aktiviert, wenn sich der Computer in einer Domänenumgebung befindet. Dies wurde von Microsoft so<br />
konzipiert.<br />
<br />
< registry_settings /><br />
< /tvt_deployment<br />
<br />
0001<br />
ENABLE_UPEK_GINA_WIH_FUS_FUNCTION<br />
1.0<br />
<br />
<br />
32 <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> <strong>8.3</strong> <strong>Implementierungshandbuch</strong>
ENABLE_AUTHENTEC_GINA_FUNCTION<br />
Anmerkungen:<br />
1. Dieser Befehl gilt nur für <strong>Lenovo</strong> Fingerprint Software.<br />
2. Dieser Befehl wird im Emulationsmodus nicht unterstützt.<br />
Der folgende Befehl aktiviert die Windows-Anmeldung über das <strong>Lenovo</strong> Lesegerät für Fingerabdrücke und<br />
inaktiviert die Windows-Anmeldung über <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>.<br />
<br />
< registry_settings /><br />
< /tvt_deployment ><br />
<br />
0001<br />
ENABLE_AUTHENTEC_GINA_FUNCTION<br />
1.0<br />
<br />
<br />
ENABLE_AUTHENTEC_GINA_WITH_FUS_FUNCTION<br />
Anmerkungen:<br />
1. Dieser Befehl gilt nur für <strong>Lenovo</strong> Fingerprint Software.<br />
2. Dieser Befehl wird im Emulationsmodus nicht unterstützt.<br />
Der folgende Befehl aktiviert die Anmeldung mit Unterstützung für die schnelle Benutzerumschaltung und<br />
inaktiviert die Windows-Anmeldung über <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>. Die schnelle Benutzerumschaltung ist<br />
nicht aktiviert, wenn sich der Computer in einer Domänenumgebung befindet. Dies wurde von Microsoft so<br />
konzipiert.<br />
<br />
< registry_settings /><br />
< /tvt_deployment<br />
<br />
0001<br />
ENABLE_AUTHENTEC_GINA_WIH_FUS_FUNCTION<br />
1.0<br />
<br />
<br />
ENABLE_NONE_GINA_FUNCTION<br />
Wenn GINA oder der Bereitsteller des Berechtigungsnachweises von einer der zugehörigen ThinkVantage<br />
Technologies-Komponenten, wie z. B. ThinkVantage Fingerprint Software, <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> oder<br />
Access Connections, aktiviert ist, wird mit diesem Befehl die Anmeldung bei ThinkVantage Fingerprint<br />
Software und bei <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> inaktiviert.<br />
<br />
< registry_settings /><br />
< /tvt_deployment<br />
<br />
0001<br />
ENABLE_CSS_NONE_FUNCTION<br />
1.0<br />
<br />
<br />
Kapitel 3. Mit <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> arbeiten 33
Anmerkung: Dieser Befehl wird im Emulationsmodus nicht unterstützt.<br />
SET_PP_FLAG_FUNCTION<br />
Dieser Befehl schreibt ein Flag, das <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> liest, um zu bestimmen, ob der <strong>Client</strong><br />
<strong>Security</strong>-Verschlüsselungstext oder ein Windows-Kennwort verwendet werden soll.<br />
<br />
< registry_settings /><br />
< /tvt_deployment<br />
<br />
0001<br />
SET_PP_FLAG_FUNCTION<br />
USE_CSS_PP<br />
1.0<br />
<br />
<br />
Anmerkung: Dieser Befehl wird im Emulationsmodus nicht unterstützt.<br />
SET_ADMIN_USER_FUNCTION<br />
Über diesen Befehl wird ein Flag geschrieben, das von <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> gelesen wird, um<br />
festzustellen, wer Administrator ist. Es gibt die folgenden Parameter:<br />
• USER_NAME_PARAMETER<br />
Der Benutzername des Administrators.<br />
• DOMAIN_NAME_PARAMETER<br />
Die Domäne des Administrators.<br />
<br />
< registry_settings /><br />
< /tvt_deployment<br />
<br />
0001<br />
SET_ADMIN_USER_FUNCTION<br />
sabedi<br />
IBM-2AA92582C79<br />
1.0<br />
PASSWORD<br />
<br />
<br />
Anmerkung: Dieser Befehl wird im Emulationsmodus nicht unterstützt.<br />
INITIALIZE_SYSTEM_FUNCTION<br />
Mit diesem Befehl wird die <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>-Systemfunktion initialisiert. Die systemweiten Schlüssel<br />
werden über diesen Funktionsaufruf generiert. In der folgenden Parameterliste sind die einzelnen Funktionen<br />
erklärt:<br />
• NEW_OWNER_AUTH_DATA_PARAMETER<br />
Mit diesem Parameter wird das neue Eignerkennwort für das System festgelegt. Für das neue<br />
Eignerkennwort wird der Wert für diesen Parameter vom aktuellen Eignerkennwort gesteuert. Ist<br />
kein aktuelles Eignerkennwort festgelegt, wird der Wert in diesem Parameter geladen und als neues<br />
Eignerkennwort verwendet. Wenn das aktuelle Eignerkennwort bereits festgelegt ist und der Administrator<br />
dasselbe aktuelle Eignerkennwort verwendet, wird der Wert in diesem Parameter geladen. Wenn der<br />
34 <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> <strong>8.3</strong> <strong>Implementierungshandbuch</strong>
Administrator ein neues Eignerkennwort verwendet, wird das neue Eignerkennwort in diesem Parameter<br />
geladen.<br />
• CURRENT_OWNER_AUTH_DATA_PARAMETER<br />
Dieser Parameter ist das aktuelle Eignerkennwort des Systems. Wenn das System bereits über ein<br />
Eignerkennwort verfügt, sollte dieser Paramater das vorherige Kennwort laden. Wenn ein neues<br />
Eignerkennwort angefordert wird, wird das aktuelle Eignerkennwort in diesem Parameter geladen. Wenn<br />
keine Änderung des Kennworts konfiguriert ist, wird der Wert NO_CURRENT_OWNER_AUTH geladen.<br />
<br />
< registry_settings /><br />
< /tvt_deployment<br />
<br />
0001<br />
INITIALIZE_SYSTEM_FUNCTION<br />
pass1word<br />
No_CURRENT_OWNER_AUTH<br />
1.0<br />
<br />
<br />
CHANGE_TPM_OWNER_AUTH_FUNCTION<br />
Mit diesem Befehl wird die <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>-Administratorautorisierung geändert und die<br />
Systemschlüssel entsprechend aktualisiert. Die systemweiten Schlüssel werden über diesen Funktionsaufruf<br />
erneut generiert. Es gibt die folgenden Parameter:<br />
• NEW_OWNER_AUTH_DATA_PARAMETER<br />
Das neue Eignerkennwort des TPMs (Trusted Platform Module).<br />
• CURRENT_OWNER_AUTH_DATA_PARAMETER<br />
Das aktuelle Eignerkennwort des TPMs (Trusted Platform Module).<br />
<br />
< registry_settings /><br />
< /tvt_deployment<br />
<br />
0001<br />
CHANGE_TPM_OWNER_AUTH_FUNCTION<br />
newPassWord<br />
oldPassWord<br />
1.0<br />
<br />
<br />
Anmerkung: Dieser Befehl wird im Emulationsmodus nicht unterstützt.<br />
ENROLL_USER_FUNCTION<br />
Dieser Befehl registriert einen bestimmten Benutzer für die Verwendung von <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>. Diese<br />
Funktion erstellt alle benutzerspezifischen Sicherheitsschlüssel für einen angegebenen Benutzer. Es gibt die<br />
folgenden Parameter:<br />
• USER_NAME_PARAMETER<br />
Der Name des Benutzers, der registriert werden soll.<br />
Kapitel 3. Mit <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> arbeiten 35
• DOMAIN_NAME_PARAMETER<br />
Der Domänenname des Benutzers, der registriert werden soll.<br />
• USER_AUTH_DATA_PARAMETER<br />
Der TPM-Verschlüsselungstext/das TPM-Windows-Kennwort zum Erstellen der Sicherheitsschlüssel<br />
für den Benutzer.<br />
• WIN_PW_PARAMETER<br />
Das Windows-Kennwort.<br />
<br />
< registry_settings /><br />
< /tvt_deployment<br />
<br />
0001<br />
ENROLL_USER_FUNCTION<br />
sabedi<br />
IBM-2AA92582C79<br />
myCssUserPassPhrase<br />
myWindowsPassword<br />
1.0<br />
<br />
<br />
USER_PW_RECOVERY_FUNCTION<br />
Dieser Befehl konfiguriert die Kennwortwiederherstellung für einen bestimmten Benutzer. Es gibt die<br />
folgenden Parameter:<br />
• USER_NAME_PARAMETER<br />
Der Name des Benutzers, der registriert werden soll.<br />
• DOMAIN_NAME_PARAMETER<br />
Der Domänenname des Benutzers, der registriert werden soll.<br />
• USER_PW_REC_QUESTION_COUNT<br />
Die Anzahl der Fragen, die der Benutzer beantworten muss.<br />
• USER_PW_REC_ANSWER_DATA_PARAMETER<br />
Die gespeicherte Antwort auf eine bestimmte Frage. Der tatsächliche Name dieses Parameters ist mit<br />
einer Nummer entsprechend der zu beantwortenden Frage verknüpft.<br />
• USER_PW_REC_STORED_PASSWORD_PARAMETER<br />
Das gespeicherte Kennwort, das angezeigt wird, wenn der Benutzer alle Fragen richtig beantwortet hat.<br />
<br />
< registry_settings /><br />
< /tvt_deployment<br />
<br />
0001<br />
USER_PW_RECOVERY_FUNCTION<br />
sabedi<br />
IBM-2AA92582C79<br />
Test1<br />
Test2<br />
Test3<br />
36 <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> <strong>8.3</strong> <strong>Implementierungshandbuch</strong>
3<br />
20000,20001,20002<br />
Pass1word<br />
1.0<br />
<br />
<br />
GENERATE_MULTI_FACTOR_DEVICE_FUNCTION<br />
Mit diesem Befehl werden Mehrfacheinheiten von <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> generiert, die zur Authentifizierung<br />
verwendet werden. Es gibt die folgenden Parameter:<br />
• USER_NAME_PARAMETER - Der Benutzername des Administrators.<br />
• DOMAIN_NAME_PARAMETER - Der Domänenname des Administrators.<br />
• MULTI_FACTOR_DEVICE_USER_AUTH - Der Verschlüsselungstext oder das Windows-Kennwort zur<br />
Erstellung der Sicherheitsschlüssel des Benutzers.<br />
<br />
<br />
<br />
0001<br />
GENERATE_MULTI_FACTOR_DEVICE_FUNCTION<br />
myUserName<br />
domainName<br />
myCssUserPassPhrase<br />
1.0<br />
<br />
<br />
SET_USER_AUTH_FUNCTION<br />
Mit diesem Befehl wird die <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>-Benutzerauthentifizierung konfiguriert.<br />
<br />
<br />
<br />
0001<br />
SET_USER_AUTH_FUNCTION<br />
1.0<br />
<br />
<br />
RSA SecurID-Token verwenden<br />
Durch Nutzung der Verschlüsselungsalgorithmus-Methode zum Verschlüsseln von Daten stellt die<br />
Verwendung von RSA-SecurID-Token zusätzlich zu <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> Ihrem Unternehmen mehrfache<br />
Sicherheit zur Verfügung. Bei Verwendung von RSA-SecurID-Token authentifizieren sich Benutzer bei Netzen<br />
und Software unter Verwendung ihrer Benutzer-ID oder PIN und einer Tokeneinheit. Die Tokeneinheit zeigt<br />
eine Zeichenfolge aus Ziffern an, die sich alle 60 Sekunden ändert. Diese Authentifizierungsmethode bietet<br />
eine viel zuverlässigere Ebene der Benutzerauthentifizierung als wiederverwendbare Kennwörter.<br />
RSA SecurID-Software-Token installieren<br />
Gehen Sie wie folgt vor, um die Software „RSA SecurID“ zu installieren:<br />
1. Rufen Sie die folgende Webadresse auf:<br />
http://www.rsasecurity.com/node.asp?id=1156<br />
2. Führen Sie den Registrierungsprozess durch.<br />
3. Laden Sie die Software „RSA SecurID“ herunter, und installieren Sie sie.<br />
Kapitel 3. Mit <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> arbeiten 37
Anforderungen<br />
1. Jeder Windows-Benutzer muss bei <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> registriert sein, damit die RSA-Software<br />
ordnungsgemäß funktioniert, nachdem sie <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> zugeordnet wurde.<br />
2. Die RSA-Software gerät beim Versuch der Registrierung mit einem nicht bei <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong><br />
registrierten Windows-Benutzer in eine Endlosschleife. Registrieren Sie den Benutzer bei <strong>Client</strong> <strong>Security</strong><br />
<strong>Solution</strong>, um diesen Fehler zu beheben.<br />
Smart-Card-Zugriffsoptionen festlegen<br />
Gehen Sie wie folgt vor, um die Smart-Card-Zugriffsoptionen festzulegen:<br />
1. Klicken Sie im Hauptmenü von RSA SecurID auf Tools (Werkzeuge) und dann auf Smart Card Access<br />
Options (Smart-Card-Zugriffsoptionen).<br />
2. Wählen Sie in der Anzeige „Smart Card Communication“ (Smart-Card-Kommunikation) das Optionsfeld<br />
Access the Smart Card through a PKCS #11 module (Über ein PKCS#11-Modul auf die Smart-Card<br />
zugreifen) aus.<br />
3. Klicken Sie auf die Schaltfläche Browse (Durchsuchen), und navigieren Sie zum folgenden Pfad:<br />
C:\Program Files\LENOVO\<strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>\csspkcs11.dll<br />
4. Klicken Sie auf die Datei csspkcs11.dll und klicken Sie dann auf Select (Auswählen).<br />
5. Klicken Sie auf OK.<br />
RSA SecurID-Software-Token manuell installieren<br />
Um den Schutz von <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> zusammen mit dem RSA SecurID Software-Token zu nutzen,<br />
gehen Sie wie folgt vor:<br />
1. Klicken Sie im Hauptmenü der Software „RSA SecurID“ auf File (Datei) und anschließend auf Import<br />
Tokens (Token importieren).<br />
2. Navigieren Sie zur Position der SDTID-Datei, und klicken Sie dann auf Open (Öffnen).<br />
3. Heben Sie in der Anzeige Select Token(s) to Install (Token für die Installation auswählen) die<br />
Seriennummern der gewünschten Software-Token hervor.<br />
4. Klicken Sie auf Transfer Selected Tokens Smart Card (Smart-Card der ausgewählten Token<br />
übertragen).<br />
Anmerkung: Wenn ein Token über ein Verteilungskennwort verfügt, geben Sie es bei entsprechender<br />
Aufforderung ein.<br />
5. Klicken Sie auf OK.<br />
Active Directory-Unterstützung<br />
Beim folgenden Pfad handelt es sich um den Verzeichnispfad für das Modul „PKCS #11“ für <strong>Client</strong> <strong>Security</strong><br />
<strong>Solution</strong>:<br />
C:\Program Files\<strong>Lenovo</strong>\<strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>\csspkcs11.dll<br />
Um das Modul „PKCS #11“ von <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> zu nutzen, müssen die folgenden Richtlinien für<br />
Active Directory festgelegt sein:<br />
1. PKCS #11 Signature (PKCS #11-Signatur)<br />
2. PKCS #11 Decryption (PKCS #11-Entschlüsselung)<br />
Die folgende Tabelle enthält das änderbare Feld und die Beschreibung der Richtlinien für PKCS# 11:<br />
38 <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> <strong>8.3</strong> <strong>Implementierungshandbuch</strong>
Tabelle 10. ThinkVantage\<strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>\Authentication Policies\PKCS# 11 Signature\Custom Mode<br />
Felder CSS.ADM<br />
Änderbares Feld<br />
Erforderlich<br />
Feldbeschreibung Steuert, ob ein Kennwort oder ein Verschlüsselungstext<br />
erforderlich ist.<br />
Mögliche Werte • Aktiviert<br />
– Jedes Mal<br />
– Once per logon<br />
• Deaktiviert<br />
• Nicht konfiguriert<br />
Einstellungen und Richtlinien für die Authentifizierung über das<br />
Lesegerät für Fingerabdrücke<br />
Erzwungene Optionen zum Umgehen des Fingerabdrucks<br />
Die Option zum Umgehen des Fingerabdrucks ermöglicht es einem Benutzer, die Authentifizierung über<br />
Fingerabdruck zu umgehen und ein Windows-Kennwort zum Anmelden zu verwenden. Der Benutzer kann<br />
diese Option beim Hinzufügen eines neuen Eintrags im Password Manager auswählen oder abwählen.<br />
Standardmäßig ist jedoch das Umgehen des Fingerabdrucks aktiviert, auch wenn diese Option nicht<br />
ausgewählt ist. Dies ermöglicht es dem Benutzer, sich bei Windows anzumelden, wenn der Sensor für<br />
Fingerabdrücke nicht funktionsbereit ist. Um die erzwungene Option zum Umgehen des Fingerabdrucks zu<br />
inaktivieren, bearbeiten Sie den folgenden Registrierungsschlüssel:<br />
[HKEY_LOCAL_MACHINE\SOFTWARE\<strong>Lenovo</strong>\<strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>\CSS Configuration]<br />
"GinaDenyLogonDeviceNonEnrolled"=dword:00000001<br />
Wenn der Registrierungsschlüssel wie oben festgelegt ist, kann der Benutzer die Authentifizierung über<br />
Fingerabdruck nicht umgehen, wenn der Sensor für Fingerabdrücke nicht funktioniert.<br />
Ergebnis der Überprüfung des Fingerabdrucks<br />
Bei der Authentifizierung über Fingerabdruck steuert die folgende Richtlinie die Anzeige der Überprüfung des<br />
Fingerabdrucks.<br />
HKLM\<strong>Lenovo</strong>\TVT Common\<strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>\FPSwipeResult<br />
• FPSwipeResult=0: Alle Nachrichten werden angezeigt.<br />
• FPSwipeResult=1: Nur Fehlernachrichten werden angezeigt (Standardwert).<br />
• FPSwipeResult=2: Es werden keine Nachrichten angezeigt.<br />
Befehlszeilentools<br />
Die Funktionen von ThinkVantage Technologies können auch lokal oder über Remotezugriff von<br />
IT-Administratoren des Unternehmens über die Befehlszeilenschnittstelle implementiert werden. Die<br />
Konfigurationseinstellungen können dabei über die Einstellungen einer fernen Textdatei verwaltet werden.<br />
<strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> verfügt über die folgenden Befehlszeilentools:<br />
• „ <strong>Security</strong> Advisor“ auf Seite 40<br />
• „Installationsassistent für <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>“ auf Seite 41<br />
Kapitel 3. Mit <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> arbeiten 39
• „Tool zur Verschlüsselung und Entschlüsselung der Implementierungsdatei“ auf Seite 42<br />
• „Tool zur Verarbeitung der Implementierungsdatei“ auf Seite 42<br />
• „TPMENABLE.EXE“ auf Seite 43<br />
• „Tool zur Übertragung von Zertifikaten“ auf Seite 43<br />
• „TPM aktivieren oder deaktivieren“ auf Seite 44<br />
<strong>Security</strong> Advisor<br />
Starten Sie zum Verwenden der Funktion „<strong>Security</strong> Advisor“ das Programm „<strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>“, klicken<br />
Sie auf das Menü Erweitert und klicken Sie auf die Schaltfläche <strong>Security</strong> Advisor im Arbeitsbereich von<br />
<strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>. Das System wird die Datei „wst.exe“ ausführen, die sich für eine Standardinstallation<br />
im Verzeichnis C:\Program Files\<strong>Lenovo</strong>\Common Files\WST\ befindet.<br />
Es gibt die folgenden Parameter:<br />
Tabelle 11. Parameter<br />
Parameter Beschreibung<br />
HardwarePasswords Legt den Wert für das Hardwarekennwort fest. Durch den<br />
Wert 1 wird dieser Abschnitt angezeigt, durch den Wert 0<br />
wird er ausgeblendet. Der Standardwert ist 1.<br />
PowerOnPassword Legt fest, dass ein Kennwort zum Einschalten aktiviert<br />
wird, oder die Einstellung wird markiert.<br />
HardDrivePassword Legt fest, dass ein Kennwort für das Festplattenlaufwerk<br />
aktiviert wird, oder die Einstellung wird markiert.<br />
AdministratorPassword Legt fest, dass ein Administratorkennwort aktiviert wird,<br />
oder die Einstellung wird markiert.<br />
WindowsUsersPasswords Legt den Wert für das Windows-Benutzerkennwort fest.<br />
Durch den Wert 1 wird dieser Abschnitt angezeigt, durch<br />
den Wert 0 wird er ausgeblendet. Ist dieser Parameter<br />
nicht vorhanden, wird der Abschnitt standardmäßig<br />
angezeigt.<br />
Kennwort Legt fest, dass das Benutzerkennwort aktiviert wird, oder<br />
die Einstellung wird markiert.<br />
PasswordAge Legt die Gültigkeitsdauer des Windows-Kennworts für<br />
die betreffende Maschine fest oder die Einstellung wird<br />
markiert.<br />
PasswordNeverExpires Legt fest, dass die Gültigkeit des Windows-Kennworts nie<br />
abläuft, oder die Einstellung wird markiert.<br />
WindowsPasswordPolicy Legt den Wert für das Windows-Kennwort fest. Durch<br />
den Wert 1 wird dieser Abschnitt angezeigt, durch den<br />
Wert 0 wird er ausgeblendet. Ist dieser Parameter nicht<br />
vorhanden, wird der Abschnitt standardmäßig angezeigt.<br />
MinimumPasswordLength Legt die Kennwortlänge für die betreffende Maschine fest,<br />
oder die Einstellung wird markiert.<br />
MaximumPasswordAge Legt die Gültigkeitsdauer des Kennworts für die<br />
betreffende Maschine fest, oder die Einstellung wird<br />
markiert.<br />
ScreenSaver Legt den Wert für den Bildschirmschoner fest. Durch<br />
den Wert 1 wird dieser Abschnitt angezeigt, durch den<br />
Wert 0 wird er ausgeblendet. Ist dieser Parameter nicht<br />
vorhanden, wird der Abschnitt standardmäßig angezeigt.<br />
40 <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> <strong>8.3</strong> <strong>Implementierungshandbuch</strong>
Tabelle 11. Parameter (Forts.)<br />
Parameter Beschreibung<br />
ScreenSaverPasswordSet Legt fest, dass der Bildschirmschoner kennwortgeschützt<br />
ist, oder die Einstellung wird markiert.<br />
ScreenSaverTimeout Legt das Zeitlimit für den Bildschirmschoner für die<br />
betreffende Maschine fest, oder die Einstellung wird<br />
markiert.<br />
FileSharing Legt den Wert für gemeinsamen Dateizugriff fest. Durch<br />
den Wert 1 wird dieser Abschnitt angezeigt, durch den<br />
Wert 0 wird er ausgeblendet. Ist dieser Parameter nicht<br />
vorhanden, wird der Abschnitt standardmäßig angezeigt.<br />
AuthorizedAccessOnly Legt fest, dass für den gemeinsamen Dateizugriff eine<br />
entsprechende Berechtigung erforderlich ist, oder die<br />
Einstellung wird markiert.<br />
<strong>Client</strong><strong>Security</strong> Legt den Wert für <strong>Client</strong> <strong>Security</strong> fest. Durch den Wert 1<br />
wird dieser Abschnitt angezeigt, durch den Wert 0 wird er<br />
ausgeblendet. Ist dieser Parameter nicht vorhanden, wird<br />
der Abschnitt standardmäßig angezeigt.<br />
Embedded<strong>Security</strong>Chip Legt fest, dass der Sicherheitschip aktiviert wird, oder<br />
die Einstellung wird markiert.<br />
<strong>Client</strong><strong>Security</strong><strong>Solution</strong> Legt die Version von <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> für die<br />
betreffende Maschine fest, oder die Einstellung wird<br />
markiert.<br />
Installationsassistent für <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong><br />
Der Installationsassistent für <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> wird verwendet, um über XML-Dateien<br />
Implementierungsscripts zu erstellen. Mit Hilfe des folgenden Befehls können die verschiedenen Funktionen<br />
des Assistenten angezeigt werden:<br />
"C:\Program Files\<strong>Lenovo</strong>\<strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>\css_wizard.exe" /?<br />
Die folgende Tabelle enthält die Befehle für den Installationsassistenten für <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>.<br />
Tabelle 12. Befehle für den Installationsassistenten für <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong><br />
Parameter Ergebnis<br />
/h oder /? Zeigt das Feld mit Hilfenachrichten an.<br />
/name:DATEINAME Steht vor dem vollständig qualifizierten Pfad und dem<br />
Dateinamen der generierten Implementierungsdatei. Die<br />
Datei weist die Erweiterung .xml auf.<br />
/encrypt Verschlüsselt die Scriptdatei durch AES-Verschlüsselung.<br />
Der Dateiname wird nach der Verschlüsselung mit<br />
der Erweiterung .enc hinzugefügt. Wenn der Befehl<br />
/pass nicht verwendet wird, wird ein statischer<br />
Verschlüsselungstext verwendet, um die Datei unkenntlich<br />
zu machen.<br />
Kapitel 3. Mit <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> arbeiten 41
Tabelle 12. Befehle für den Installationsassistenten für <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> (Forts.)<br />
Parameter Ergebnis<br />
/pass: Steht vor dem Verschlüsselungstext zum Schutz der<br />
verschlüsselten Implementierungsdatei.<br />
/novalidate Inaktiviert die Überprüfungsfunktionen für das<br />
Kennwort und für den Verschlüsselungstext des<br />
Assistenten, so dass eine Scriptdatei auf einer bereits<br />
konfigurierten Maschine erstellt werden kann. Zum<br />
Beispiel ist das Administratorkennwort für die aktuelle<br />
Maschine möglicherweise nicht das gewünschte<br />
Kennwort für das gesamte Unternehmen. Mit dem Befehl<br />
/novalidatekönnen Sie ein anderes Administratorkennwort<br />
eingeben (in der GUI von css_wizard während der<br />
Erstellung der xml-Datei).<br />
Beispiel:<br />
css_wizard.exe /encrypt /pass:my secret /name:C:\DeployScript /novalidate<br />
Tool zur Verschlüsselung und Entschlüsselung der<br />
Implementierungsdatei<br />
Dieses Tool dient zum Verschlüsseln und Entschlüsseln der XML-Implementierungsdateien von <strong>Client</strong><br />
<strong>Security</strong>. Mit Hilfe des folgenden Befehls können die verschiedenen Funktionen des Tools angezeigt werden:<br />
"C:\Program Files\<strong>Lenovo</strong>\<strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>\xml_crypt_tool.exe" /?<br />
Die Parameter werden in der folgenden Tabelle angezeigt:<br />
Tabelle 13. Parameter zum Verschlüsseln oder Entschlüsseln der <strong>Client</strong> <strong>Security</strong>-XML-Implementierungsdateien<br />
Parameter Ergebnisse<br />
/h oder /? Zeigt die Hilfenachricht an.<br />
FILENAME Zeigt den Pfadnamen und den Dateinamen mit der<br />
Erweiterung .xml oder .enc an.<br />
/encrypt oder /decrypt Wählt /encrypt für XML-Dateien und /decrypt für<br />
ENC-Dateien aus.<br />
PASSPHRASE Zeigt den optionalen Parameter an, der erforderlich ist,<br />
wenn ein Verschlüsselungstext verwendet wird, um die<br />
Datei zu schützen.<br />
Beispiele:<br />
xml_crypt_tool.exe "C:\DeployScript.xml" /encrypt "my secret"<br />
und<br />
xml_crypt_tool.exe "C:\DeployScript.xml.enc" /decrypt "my secret"<br />
Tool zur Verarbeitung der Implementierungsdatei<br />
Mit dem Tool „vmserver.exe“ werden die XML-Implementierungsscripts von <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong><br />
verarbeitet. Mit Hilfe des folgenden Befehls können die verschiedenen Funktionen des Assistenten angezeigt<br />
werden:<br />
"C:\Program Files\<strong>Lenovo</strong>\<strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>\vmserver.exe" /?<br />
Die folgende Tabelle enthält die Parameter für die Dateiverarbeitung.<br />
42 <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> <strong>8.3</strong> <strong>Implementierungshandbuch</strong>
Tabelle 14. Parameter für Dateiverarbeitung<br />
Parameter Ergebnis<br />
FILENAME Der Parameter FILENAME muss die Dateierweiterung .xml<br />
oder .enc aufweisen.<br />
PASSPHRASE Der Parameter PASSPHRASE dient zum Entschlüsseln<br />
einer Datei mit der Erweiterung .enc.<br />
Beispiel:<br />
Vmserver.exe C:\DeployScript.xml.enc"my secret"<br />
TPMENABLE.EXE<br />
Die Datei „tpmenable.exe“ dient zum Ein- und Ausschalten des Sicherheitschips.<br />
Tabelle 15. Parameter für die Datei „tpmenable.exe“<br />
Parameter Beschreibung<br />
/enable oder /disable Zum Ein- oder Ausschalten des Sicherheitschips<br />
/quiet Zum Ausblenden von Eingabeaufforderungen für das<br />
BIOS-Kennwort oder von Fehlermeldungen.<br />
sp:Kennwort Verwenden Sie unter Windows 2000 und XP für das<br />
BIOS-Administrator- bzw. -Supervisor-Kennwort keine<br />
doppelten Anführungszeichen vor und nach dem<br />
Kennwort.<br />
Beispiel:<br />
tpmenable.exe /enable /quiet /sp:My BiosPW<br />
Tool zur Übertragung von Zertifikaten<br />
Die folgende Tabelle enthält Befehlszeilenschalter des Tools zur Übertragung von Zertifikaten für <strong>Client</strong><br />
<strong>Security</strong> <strong>Solution</strong>:<br />
Tabelle 16. css_cert_transfer_tool.exe : | all_access | usage<br />
Parameter Beschreibung<br />
Dies ist der erste erforderliche Parameter. Er muss als erster Schalter<br />
verwendet werden und eines der folgenden Beispiele enthalten:<br />
Beispiele:<br />
cert_store_user Überträgt nur Benutzerzertifikate. Benutzerzertifikate sind<br />
dem aktuellen Benutzer zugeordnet.<br />
cert_store_machine Überträgt nur Maschinenzertifikate. Maschinenzertifikate<br />
können von allen berechtigten Benutzern auf einer Maschine<br />
verwendet werden.<br />
cert_store_all Überträgt sowohl Benutzer- als auch Maschinenzertifikate.<br />
Kapitel 3. Mit <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> arbeiten 43
Tabelle 16. css_cert_transfer_tool.exe : | all_access | usage (Forts.)<br />
Parameter Beschreibung<br />
: Dies ist der zweite erforderliche Parameter. Er muss nach dem<br />
erforderlichen Parameter verwendet werden.<br />
Auf jeden Filtertyp (außer die unten angegebenen) muss ein Doppelpunkt<br />
(:) folgen und unmittelbar auf den Doppelpunkt muss der Name des<br />
Zertifikatsbetreffs, die Zertifizierungsstelle oder die Schlüsselgröße,<br />
nach dem/der gesucht wird, folgen. Bei diesem Dienstprogramm<br />
muss die Groß-/Kleinschreibung beachtet werden. Wenn der Name,<br />
nach dem Sie suchen, ein zusammengesetzter Name ist, z. B. „Name<br />
der Zertifizierungsstelle“, müssen Sie das Suchkritierium in doppelte<br />
Anführungszeichen („“) setzen (siehe Beispiele).<br />
Beispiele:<br />
subject_simple_name: Überträgt alle Zertifikate, die dem Namen entsprechen, auf<br />
den das Zertifikat ausgestellt ist, wobei der Betreffname<br />
„“ lautet.<br />
subject_friendly_name: Überträgt alle Zertifikate, die dem Anzeigenamen<br />
entsprechen, auf den das Zertifikat ausgestellt ist, wobei<br />
der Anzeigename „“ lautet.<br />
issuer_simple_name: Überträgt alle Zertifikate, die dem Namen der<br />
Zertifizierungsstelle entsprechen, die sie ausgestellt hat,<br />
wobei der Name der Zertifizierungsstelle „“ lautet.<br />
issuer_friendly_name: Überträgt alle Zertifikate, die dem Anzeigenamen der<br />
Zertifizierungsstelle entsprechen, die sie ausgestellt hat,<br />
wobei der Anzeigename der Zertifizierungsstelle „“<br />
lautet.<br />
key_size: Überträgt alle Zertifikate die mit der Schlüsselgröße<br />
„“ in Bit verschlüsselt sind. Beachten Sie, dass<br />
es sich hierbei um ein exaktes Übereinstimmungskriterium<br />
handelt. Das Programm sucht nicht nach Zertifikaten, die<br />
mit einer Schlüsselgröße verschlüsselt sind, die dieser<br />
Größe mindestens oder höchstens entspricht.<br />
Die folgenden beiden Schalter sind eigenständig, sie weisen kein zweites Argument auf:<br />
all_access Überträgt alle Zertifikate ungefiltert.<br />
usage Stellt keine Informationen in der Befehlszeile bereit, aber die Funktion, die zum Bestimmen<br />
der richtigen Verwendung verwendet wird, gibt „true“ oder „false“ zurück, je nachdem, ob die<br />
eingegebenen Befehle richtig sind.<br />
TPM aktivieren oder deaktivieren<br />
Gehen Sie bei den ThinkPad-Notebook-Computermodellen X200, T400, T500 und neueren<br />
ThinkPad-Notebook-Computermodellen (z. B. T410 oder T420) wie folgt vor, um das TPM zu aktivieren:<br />
1. Rufen Sie die folgende Website auf:<br />
http://support.lenovo.com/en_US/detail.page?LegacyDocID=MIGR-68488<br />
2. Klicken Sie auf Sample Scripts for BIOS Deployment Guide (Beispiel-Scripts für<br />
BIOS-Bereitstellungshandbuch), um die Datei „script.zip“ herunterzuladen. Extrahieren Sie dann die<br />
ZIP-Datei.<br />
3. Geben Sie im Befehlszeilenfenster cscript.exe SetConfig.vbs <strong>Security</strong>Chip Active ein, um die Datei<br />
„SetConfig.vbs“ auszuführen.<br />
4. Starten Sie Ihren Computer erneut.<br />
Anmerkung: Bei den ThinkPad-Notebook-Computermodellen T400 oder T410 müssen Sie den Computer<br />
zweimal neu starten, um das TPM zu aktivieren.<br />
44 <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> <strong>8.3</strong> <strong>Implementierungshandbuch</strong>
Gehen Sie bei Desktop-Computern wie folgt vor, um das TPM zu aktivieren:<br />
1. Rufen Sie die folgende Website auf:<br />
http://support.lenovo.com/en_US/detail.page?LegacyDocID=MIGR-75407<br />
2. Klicken Sie auf Visual Basic sample scripts to use when configuring BIOS settings (Beim<br />
Konfigurieren von BIOS-Einstellungen zu verwendende Visual Basic-Beispiel-Scripts), um die Datei<br />
„sample_script_m90.zip“ herunterzuladen. Extrahieren Sie dann die ZIP-Datei.<br />
3. Geben Sie im Befehlszeilenfenster cscript.exe SetConfig.vbs <strong>Security</strong>Chip Active ein, um die Datei<br />
„SetConfig.vbs“ auszuführen.<br />
4. Starten Sie Ihren Computer erneut.<br />
Bei allen ThinkStation-Desktop-Computermodellen und ThinkPad-Notebook-Computermodellen<br />
vor T400 (z. B. T61) aktivieren Sie das TPM mithilfe des TPM-Aktivierungstools oder der Datei<br />
„css_manage_vista_tpm.exe“.<br />
TPM-Aktivierungstool verwenden (Windows XP)<br />
Die Datei „tpm_activate_cmd.exe“ wird verwendet, um das TPM unter Windows XP-Betriebssystemen zu<br />
aktivieren oder zu deaktivieren.<br />
Anmerkung: Zum Ausführen dieses Tools müssen Sie über Administratorberechtigung verfügen. Vor dem<br />
Ausführen dieses Tools müssen die die aktuellen SMBios- und SMBus-Treiber installieren.<br />
Tabelle 17. Parameter zum Aktivieren oder Inaktivieren des TPM auf dem <strong>Lenovo</strong> System<br />
Parameter Beschreibung<br />
/help or /? Zeigt die Parameterliste an.<br />
/biospw:Kennwort Gibt das BIOS-Supervisor- oder -Administratorkennwort<br />
an, wenn eines exportiert ist.<br />
/deactivate Inaktiviert das TPM.<br />
Anmerkung: Wenn Sie die Datei „tpm_activate_cmd.exe“<br />
ohne den Parameter /deactivate ausführen, wird das<br />
TPM standardmäßig aktiviert.<br />
/verbose Zeigt eine Textausgabe an.<br />
Beispiel:<br />
tpm_activate_cmd.exe /?<br />
tpm_activate_cmd.exe /verbose<br />
tpm_activate_cmd.exe /biospw:pass<br />
Die Datei „css_manage_vista_tpm.exe“ verwenden (Windows Vista oder Windows 7)<br />
Die Datei „css_manage_vista_tpm.exe“ wird verwendet, um das TPM unter Windows Vista oder Windows<br />
7-Betriebssystemen zu aktivieren, auf denen <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> installiert ist.<br />
Anmerkung: Zum Ausführen dieses Tools müssen Sie über Administratorberechtigung verfügen.<br />
css_manage_vista_tpm.exe [/verbose] [/showinfo | /getstate | setstate: ]<br />
wobei<br />
/verbose zeigt die Textausgabe an. Die Standardeinstellung ist die Operation im Hintergrund.<br />
/showinfo zeigt die TPM-Informationen an, z. B. den Hersteller, die Firmwareversion, das physische<br />
Vorhandensein und die Schnittstellenversion.<br />
Kapitel 3. Mit <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> arbeiten 45
getstate zeigt den aktuellen TPM-Status an. Das TPM verfügt über die folgenden Statustypen:<br />
• Enabled (Aktiviert)<br />
• Disabled (Deaktiviert)<br />
• Activated (Aktiviert)<br />
• Deactivated (Deaktiviert)<br />
• Owned (in Eigentum)<br />
• Not owned (nicht in Eigentum)<br />
/setstate: legt den von Ihnen bevorzugten TPM-Statustyp fest. 0 stellt „disabled and deactivated“<br />
(ausgeschaltet und deaktiviert) dar. 1 stellt „enabled“ (eingeschaltet) dar. 2 stellt „activated“ (aktiviert) dar.<br />
4 stellt „owned“ (in Eigentum) dar. Sie können die Funktion zum Hinzufügen verwenden (d. h. bitweises<br />
ODER), um mehrere gültige Status festzulegen.<br />
Zum Beispiel:<br />
css_manage_vista_tpm.exe /verbose /setstate:0 legt den TPM-Status auf „disabled and deactivated“<br />
(ausgeschaltet und deaktiviert) fest.<br />
css_manage_vista_tpm.exe /verbose /setstate:1 legt den TPM-Status auf „enabled“ (eingeschaltet) fest.<br />
css_manage_vista_tpm.exe /verbose /setstate:2 legt den TPM-Status auf „activated“ (aktiviert) fest.<br />
css_manage_vista_tpm.exe /verbose /setstate:3 legt den TPM-Status auf „enabled and activated“<br />
(eingeschaltet und aktiviert) fest.<br />
Anmerkung:<br />
• Zu den gültigen TPM-Statustypen gehören folgende Typen:<br />
– Enabled (Aktiviert)<br />
– Deaktiviert<br />
– Activated (Aktiviert)<br />
– Deactivated (Deaktiviert)<br />
– Enabled and activated (Eingeschaltet und aktiviert)<br />
– Disabled and deactivated (Ausgeschaltet und deaktiviert)<br />
• Zu den gültigen TPM-Statusübertragungen gehört Folgendes:<br />
– Disabled -> Enabled (Ausgeschaltet -> Eingeschaltet)<br />
– Disabled -> Enabled and activated (Ausgeschaltet -> Eingeschaltet und aktiviert)<br />
– Enabled -> Disabled (Eingeschaltet -> Ausgeschaltet)<br />
– Enabled -> Enabled and activated (Eingeschaltet -> Eingeschaltet und aktiviert)<br />
– Enabled and activated -> Disabled (Eingeschaltet und aktiviert -> Ausgeschaltet)<br />
– Enabled and activated -> Disabled and deactivated (Eingeschaltet und aktiviert -> Ausgeschaltet<br />
und deaktiviert)<br />
Active Directory-Unterstützung<br />
Active Directory ist ein Verzeichnisservice. Das Verzeichnis befindet sich dort, wo Informationen zu<br />
Benutzern und Ressourcen gespeichert werden. Der Verzeichnisservice ermöglicht den Zugriff auf diese<br />
Ressourcen, sodass sie verwaltet werden können.<br />
46 <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> <strong>8.3</strong> <strong>Implementierungshandbuch</strong>
Active Directory stellt einen Mechanismus für Administratoren bereit, mit dessen Hilfe Computer, Gruppen,<br />
Benutzer, Domänen, Sicherheitsrichtlinien und alle Arten von benutzerdefinierten Objekten verwaltet werden<br />
können. Der von Active Directory dazu verwendete Mechanismus wird als „Group Policy“ (Gruppenrichtlinie)<br />
bezeichnet. Mit Hilfe von Gruppenrichtlinien können Administratoren Einstellungen definieren, die auf<br />
Computer oder Benutzer in der Domäne angewendet werden können.<br />
In ThinkVantage Technologies-Produkten wird derzeit eine Vielzahl von Methoden zum Zusammenstellen von<br />
Einstellungen zum Steuern der Programmeinstellungen verwendet, wie z. B. das Lesen aus bestimmten<br />
anwendungsdefinierten Einträgen in der Registrierungsdatenbank.<br />
Bei den folgenden Beispielen handelt es sich um Einstellungen, die Active Directory für <strong>Client</strong> <strong>Security</strong><br />
<strong>Solution</strong> verwalten kann:<br />
• Sicherheitsrichtlinien.<br />
• Angepasste Sicherheitsrichtlinien, z. B. die Verwendung eines Windows-Kennworts oder eines <strong>Client</strong><br />
<strong>Security</strong> <strong>Solution</strong>-Verschlüsselungstexts.<br />
ADM-Schablonendateien<br />
Eine ADM-Schablonendatei definiert die von Anwendungen auf <strong>Client</strong>computern verwendeten<br />
Richtlinieneinstellungen. Bei Richtlinien handelt es sich um bestimmte Einstellungen, die das<br />
Anwendungsverhalten regeln. Richtlinieneinstellungen definieren zudem, ob der Benutzer über die<br />
Anwendung bestimmte Einstellungen vornehmen darf.<br />
Von einem Administrator auf dem Server definierte Einstellungen werden als „Richtlinien“ bezeichnet.<br />
Einstellungen, die von einem Benutzer auf dem <strong>Client</strong>-Computer für eine Anwendung vorgenommen werden,<br />
werden als „Benutzereinstellungen“ bezeichnet. Wie von Microsoft haben Richtlinieneinstellungen Vorrang<br />
vor Benutzereinstellungen.<br />
Ein Benutzer kann z. B. ein Hintergrundbild auf seinem Desktop speichern. Hierbei handelt es sich um eine<br />
Benutzereinstellung. Ein Administrator kann nun z. B. eine Einstellung auf dem Server vornehmen, die<br />
vorgibt, dass der Benutzer ein bestimmtes Hintergrundbild verwenden muss. Die Richtlinieneinstellung des<br />
Administrators setzt die Benutzereinstellung außer Kraft.<br />
Wenn ein ThinkVantage Technology-Produkt eine Überprüfung auf eine Einstellung vornimmt, sucht es in<br />
der folgenden Reihenfolge nach der Einstellung:<br />
• Computerrichtlinien<br />
• Benutzerrichtlinien<br />
• Standardbenutzerrichtlinien<br />
• Computereinstellungen<br />
• Benutzereinstellungen<br />
• Standardbenutzereinstellungen<br />
Wie zuvor beschrieben, werden Computer- und Benutzerrichtlinien vom Administrator definiert. Diese<br />
Einstellungen können über die XML-Konfigurationsdatei oder über eine Gruppenrichtlinie in Active Directory<br />
vorgenommen werden. Computer- und Benutzereinstellungen werden durch den Benutzer über Optionen<br />
in den Anwendungsschnittstellen vorgenommen. Standardbenutzereinstellungen werden durch das<br />
XML-Konfigurationsscript vorgenommen. Benutzer ändern diese Werte nicht direkt. Die von einem Benutzer<br />
an diesen Einstellungen vorgenommenen Änderungen werden in den Benutzereinstellungen aktualisiert.<br />
Kunden, die Active Directory nicht verwenden, können einen Standardsatz von Richtlinieneinstellungen,<br />
die auf den <strong>Client</strong>systemen implementiert werden sollen, erstellen. Administratoren können<br />
Kapitel 3. Mit <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> arbeiten 47
XML-Konfigurationsscripts ändern und angeben, dass diese bei der Installation des Produkts verarbeitet<br />
werden sollen.<br />
Einfach zu verwaltende Einstellungen definieren<br />
Im folgenden Beispiel werden Einstellungen im Editor für Gruppenrichtlinien gezeigt, die unter Verwendung<br />
der folgenden Hierarchie vorgenommen wurden:<br />
Computer Configuration>Administrative Templates>ThinkVantage Technologies><br />
<strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>>Authentication Policies>Max Retries><br />
Password number of retries<br />
Die ADM-Dateien geben an, an welcher Stelle in der Registrierungsdatenbank die Einstellungen gespeichert<br />
werden. Diese Einstellungen befinden sich in den folgenden Verzeichnissen in der Registrierungsdatenbank:<br />
Computer policies:<br />
HKLM\Software\Policies\<strong>Lenovo</strong>\<strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>\<br />
User policies:<br />
HKCU\Software\Policies\<strong>Lenovo</strong>\<strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>\<br />
Default user policies:<br />
HKLM\Software\Policies\<strong>Lenovo</strong>\<strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>\User defaults<br />
Computer preferences:<br />
HKLM\Software\<strong>Lenovo</strong>\<strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>\<br />
User preferences:<br />
HKCU\Software\<strong>Lenovo</strong>\<strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>\<br />
Default user preferences:<br />
HKLM\Software\<strong>Lenovo</strong>\<strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>\User defaults<br />
Einstellungen für Gruppenrichtlinien<br />
In den Tabellen in diesem Abschnitt werden die Richtlinieneinstellungen für die Computerkonfiguration und<br />
die Benutzerkonfiguration für <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> angezeigt.<br />
Maximale Anzahl der Wiederholungsversuche<br />
In der folgenden Tabelle sind die Richtlinieneinstellungen für die maximale Anzahl der Wiederholungsversuche<br />
bei Authentifizierungsrichtlinien angegeben.<br />
Tabelle 18. Computer Configuration ➙ ThinkVantage ➙ <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> ➙ Authentication policies ➙<br />
Max retries<br />
Richtlinie<br />
Password number of<br />
retries<br />
Passphrase number of<br />
retries<br />
Sicherer Modus<br />
Aktivierte<br />
Einstellung Beschreibung<br />
Maximum number<br />
of retries is 20.<br />
Maximum number<br />
of retries is 20.<br />
Steuert die maximale Anzahl der Wiederholungsversuche, die ein<br />
Benutzer bei der Authentifizierung mit einem Windows-Kennwort hat,<br />
bevor die Richtlinie zum Außerkraftsetzen einsetzt.<br />
Steuert die maximale Anzahl der Wiederholungsversuche,<br />
die ein Benutzer bei der Authentifizierung mit einem <strong>Client</strong><br />
<strong>Security</strong>-Verschlüsselungstext hat, bevor die Richtlinie zum<br />
Außerkraftsetzen einsetzt.<br />
In der folgenden Tabelle sind die Richtlinieneinstellungen für den sicheren Modus für<br />
Authentifizierungsrichtlinien angegeben.<br />
48 <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> <strong>8.3</strong> <strong>Implementierungshandbuch</strong>
Tabelle 19. Computer Configuration ➙ Administrative templates ➙ ThinkVantage ➙ <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> ➙<br />
Authentication policies ➙ Secure mode<br />
Richtlinie Aktivierte Einstellungen Beschreibung<br />
Kennwort Sie können als Häufigkeit entweder Every time oder<br />
Once per logon festlegen.<br />
Verschlüsselungstext Sie können als Häufigkeit entweder Every time oder<br />
Once per logon festlegen.<br />
Fingerprint Sie können als Häufigkeit entweder Every time oder<br />
Once per logon festlegen.<br />
Außer Kraft setzen Festlegung zum Außerkraftsetzen des Kennworts,<br />
des Verschlüsselungstexts oder des Fingerabdrucks.<br />
Standardmodus<br />
Steuert, ob ein Kennwort erforderlich ist.<br />
Steuert, ob ein Verschlüsselungstext<br />
erforderlich ist.<br />
Steuert, ob ein Fingerabdruck<br />
erforderlich ist.<br />
In der folgenden Tabelle sind die Richtlinieneinstellungen für den Standardmodus für<br />
Authentifizierungsrichtlinien angegeben.<br />
Legt<br />
„Fallback“-Authentifizierungsbestimmungen<br />
fest, wenn die normale Authentifizierung<br />
fehlschlägt.<br />
Tabelle 20. Computer Configuration ➙ Administrative templates ➙ ThinkVantage ➙ <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> ➙<br />
Authentication policies ➙ Default mode<br />
Richtlinie Aktivierte Einstellungen Beschreibung<br />
Kennwort Sie können als Häufigkeit entweder Every time<br />
oder Once per logon festlegen.<br />
Verschlüsselungstext Sie können als Häufigkeit entweder Every time<br />
oder Once per logon festlegen.<br />
Fingerprint Sie können als Häufigkeit entweder Every time<br />
oder Once per logon festlegen.<br />
Außer Kraft setzen Festlegung zum Außerkraftsetzen des<br />
Kennworts, des Verschlüsselungstexts oder<br />
des Fingerabdrucks.<br />
Authentifizierungsrichtlinien<br />
Steuert, ob ein Kennwort erforderlich ist.<br />
Steuert, ob ein Verschlüsselungstext<br />
erforderlich ist.<br />
Steuert, ob ein Fingerabdruck<br />
erforderlich ist.<br />
Legt<br />
„Fallback“-Authentifizierungsbestimmungen<br />
fest, wenn die normale Authentifizierung<br />
fehlschlägt.<br />
Die folgende Richtlinienliste enthält aktivierte Einstellungen, die die Authentifizierungsebene jeder Richtlinie<br />
definieren:<br />
• Authentifizierungsebene der Windows-Anmeldung<br />
• Authentifizierungsebene der Systementsperrung<br />
• Authentifizierungsebene des Password Managers<br />
• Authentifizierungsebene der CSP-Signatur<br />
• Authentifizierungsebene der CSP-Entschlüsselung<br />
• Authentifizierungsebene der PKCS#11-Signatur<br />
• Authentifizierungsebene der PKCS#11-Entschlüsselung<br />
• Authentifizierungsebene der PKCS#11-Anmeldung<br />
Die folgende Tabelle enthält Werte und Einstellungen für die oben genannten Authentifizierungsebenen:<br />
Kapitel 3. Mit <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> arbeiten 49
Tabelle 21. Computer Configuration ➙ Administrative templates ➙ ThinkVantage ➙ <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> ➙<br />
Authentication policies<br />
Richtlinie Aktivierte Einstellungen Beschreibung<br />
Kennwort Sie können als Häufigkeit entweder Every time oder<br />
Once per logon festlegen.<br />
Verschlüsselungstext Sie können als Häufigkeit entweder Every time oder<br />
Once per logon festlegen.<br />
Fingerprint Sie können als Häufigkeit entweder Every time oder<br />
Once per logon festlegen.<br />
Außer Kraft setzen Festlegung zum Außerkraftsetzen des Kennworts,<br />
des Verschlüsselungstexts oder des Fingerabdrucks.<br />
Passwort Manager<br />
Die folgende Tabelle enthält Richtlinieneinstellungen für den Password Manager.<br />
Steuert, ob ein Kennwort erforderlich ist.<br />
Steuert, ob ein Verschlüsselungstext<br />
erforderlich ist.<br />
Steuert, ob ein Fingerabdruck<br />
erforderlich ist.<br />
Legt<br />
„Fallback“-Authentifizierungsbestimmungen<br />
fest, wenn die normale Authentifizierung<br />
fehlschlägt.<br />
Tabelle 22. Computer Configuration ➙ ThinkVantage ➙ <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> ➙ Password manager<br />
Richtlinieneinstellung Beschreibung<br />
Disable Password manager Steuert, ob der Password Manager bei Systemstart gestartet wird.<br />
Disable Internet Explorer support Steuert, ob der Password Manager Kennwörter aus dem Internet Explorer<br />
speichern kann.<br />
Disable Mozilla support Steuert, ob der Password Manager Kennwörter von auf Mozilla basierenden<br />
Browsern, einschließlich Firefox und Netscape, speichern kann.<br />
Disable support for Windows<br />
applications<br />
Steuert, ob der Password Manager Kennwörter aus Windows-Anwendungen<br />
speichern kann.<br />
Disable Auto-fill Steuert, ob der Password Manager automatisch Daten in Websites und<br />
Windows-Anwendungen einsetzt.<br />
Disable Hotkey support Steuert, ob der Password Manager die Verwendung von Direktaufrufen<br />
für das Einsetzen von Daten in Websites und Windows-Anwendungen<br />
unterstützt.<br />
Use Domain filtering Steuert, ob der Password Manager Websites auf der Basis von Domänen<br />
filtert.<br />
Prohibited Domains Steuert, für welche Domänen der Password Manager keine Kennwörter<br />
speichern darf.<br />
Prohibited URLs Steuert, für welche URLs der Password Manager keine Kennwörter<br />
speichern darf.<br />
Prohibited Modules Steuert, für welche Windows-Anwendungen der Password Manager keine<br />
Kennwörter speichern darf.<br />
Auto-fill Hotkey Steuert den Direktaufruf Strg+F2 zum automatischen Einsetzen.<br />
Type and Transfer Hotkey Steuert den Direktaufruf Strg+Umschalttaste+H zum Eingeben und<br />
Übertragen.<br />
Manage Hotkey Steuert den Direktaufruf Strg+Umschalttaste+B.<br />
User Interface<br />
Die folgende Tabelle enthält Richtlinieneinstellungen für die Benutzerschnittstelle.<br />
50 <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> <strong>8.3</strong> <strong>Implementierungshandbuch</strong>
Tabelle 23. Computer Configuration ➙ ThinkVantage ➙ <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> ➙ User interface<br />
Richtlinieneinstellung Beschreibung<br />
Fingerprint software option Option „Fingerprint software“ in <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> anzeigen,<br />
abblenden oder ausblenden. Standard: anzeigen.<br />
File encryption option Option „File encryption“ in <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> anzeigen, abblenden<br />
oder ausblenden. Standard: anzeigen.<br />
<strong>Security</strong> settings audit option Option „<strong>Security</strong> settings“ in <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> anzeigen, abblenden<br />
oder ausblenden. Standard: anzeigen.<br />
Digital certificate transfer option Option „Digital certificate transfer“ in <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> anzeigen,<br />
abblenden oder ausblenden. Standard: anzeigen.<br />
Change security chip status option Option „Change security chip status“ in <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> anzeigen,<br />
abblenden oder ausblenden. Standard: anzeigen.<br />
Clear security chip lockout option Option „Clear security chip lockout“ in <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> anzeigen,<br />
abblenden oder ausblenden. Standard: anzeigen.<br />
Policy manager option Option „Policy manager“ in <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> anzeigen, abblenden<br />
oder ausblenden. Standard: anzeigen.<br />
Reset/Configure settings option Option „Configuration wizard“ in <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> anzeigen,<br />
abblenden oder ausblenden. Standard: anzeigen.<br />
Password manager option Option „Password manager“ in <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> anzeigen,<br />
abblenden oder ausblenden. Standard: anzeigen.<br />
Hardware Password Reset option Option „Hardware Password Reset“ in <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> anzeigen,<br />
abblenden oder ausblenden. Standard: anzeigen.<br />
Windows password recovery option Option „Windows password recovery“ in <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> anzeigen,<br />
abblenden oder ausblenden. Standard: anzeigen.<br />
Change authentication mode option Option „Change authentication mode“ in <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> anzeigen,<br />
abblenden oder ausblenden. Standard: anzeigen.<br />
Enable/disable Windows password<br />
recovery option<br />
Enable/disable Password Manager<br />
option<br />
Workstation-Sicherheitstools<br />
Option „Enable/disable Windows password recovery“ in <strong>Client</strong> <strong>Security</strong><br />
<strong>Solution</strong> anzeigen, abblenden oder ausblenden. Standard: anzeigen.<br />
Option „Enable/disable Password Manager recovery“ in <strong>Client</strong> <strong>Security</strong><br />
<strong>Solution</strong> anzeigen, abblenden oder ausblenden. Standard: anzeigen.<br />
Die folgende Tabelle enthält Richtlinieneinstellungen für das Workstation-Sicherheitstool.<br />
Tabelle 24. Computer Configuration ➙ ThinkVantage ➙ <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> ➙ Workstation security tool<br />
Richtlinie Einstellung Beschreibung<br />
Hardware Passwords Hardware Passwords Die Anzeige von Hardwarekennwortinformationen<br />
aktivieren oder inaktivieren.<br />
Hardware Passwords Power-On Password Wählen Sie als empfohlenen Wert „enable“ oder „disable“<br />
aus, oder wählen Sie aus, dass diese Einstellung ignoriert<br />
werden soll.<br />
Hardware Passwords Hard Drive Password Wählen Sie als empfohlenen Wert „enable“ oder „disable“<br />
aus, oder wählen Sie aus, dass diese Einstellung ignoriert<br />
werden soll.<br />
Hardware Passwords Administrator Password Wählen Sie als empfohlenen Wert „enable“ oder „disable“<br />
aus, oder wählen Sie aus, dass diese Einstellung ignoriert<br />
werden soll.<br />
Kapitel 3. Mit <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> arbeiten 51
Tabelle 24. Computer Configuration ➙ ThinkVantage ➙ <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> ➙ Workstation security tool (Forts.)<br />
Richtlinie Einstellung Beschreibung<br />
Windows Users<br />
Passwords<br />
Windows Users<br />
Passwords<br />
Windows Users<br />
Passwords<br />
Windows Users<br />
Passwords<br />
Windows Password<br />
Policy<br />
Windows Password<br />
Policy<br />
Windows Password<br />
Policy<br />
Windows Users Passwords Die Anzeige von Windows-Kennwortinformationen<br />
aktivieren oder inaktivieren.<br />
Kennwort Wählen Sie als empfohlenen Wert „enable“ oder „disable“<br />
aus, oder wählen Sie aus, dass diese Einstellung ignoriert<br />
werden soll.<br />
Gültigkeitsdauer des<br />
Kennworts<br />
Maximale Anzahl von Tagen, während deren das Kennwort<br />
gültig ist.<br />
Password never expires Als empfohlener Wert kann True, False oder Ignore<br />
festgelegt werden.<br />
Windows Password Policy Die Anzeige von Richtlinieninformationen zum<br />
Windows-Kennwort aktivieren oder inaktivieren.<br />
Minimum number of<br />
characters in the password<br />
Die minimale Anzahl von Zeichen für das Kennwort oder<br />
„Ignore“.<br />
Maximum password age Einstellung für die maximale Gültigkeitsdauer des<br />
Kennworts - Anzahl der Tage eingeben oder auswählen,<br />
dass dieser Wert in Ihren Ergebnissen ignoriert werden soll.<br />
Screen Saver Screen Saver Die Anzeige von Richtlinieninformationen zum<br />
Windows-Kennwort aktivieren oder inaktivieren.<br />
Screen Saver Screen Saver password set Die minimale Anzahl von Zeichen für das Kennwort oder<br />
„Ignore“.<br />
Screen Saver Screen Saver timeout Einstellung für die maximale Gültigkeitsdauer des<br />
Kennworts - Anzahl der Tage eingeben oder auswählen,<br />
dass dieser Wert in Ihren Ergebnissen ignoriert werden soll.<br />
File Sharing File Sharing Die Anzeige von Informationen zur gemeinsamen Nutzung<br />
von Daten aktivieren oder inaktivieren.<br />
File Sharing Authorized access Als empfohlener Wert kann True, False oder Ignore<br />
festgelegt werden.<br />
<strong>Client</strong> <strong>Security</strong> <strong>Client</strong> <strong>Security</strong> Die Anzeige von Informationen zu <strong>Client</strong> <strong>Security</strong> aktivieren<br />
oder inaktivieren.<br />
<strong>Client</strong> <strong>Security</strong> Embedded <strong>Security</strong> Chip Wählen Sie als empfohlenen Wert „enable“ oder „disable“<br />
aus, oder geben Sie an, dass diese Einstellung ignoriert<br />
werden soll.<br />
<strong>Client</strong> <strong>Security</strong> <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong><br />
Version<br />
52 <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> <strong>8.3</strong> <strong>Implementierungshandbuch</strong><br />
Legen Sie die empfohlene Mindestversion von <strong>Client</strong><br />
<strong>Security</strong> <strong>Solution</strong> fest oder legen Sie Ignore fest.
Kapitel 4. Mit ThinkVantage Fingerprint Software arbeiten<br />
Die Fingerprint Console muss vom Installationsordner der ThinkVantage Fingerprint Software aus ausgeführt<br />
werden. Die grundlegende Syntax lautet FPRCONSOLE [USER | SETTINGS]. Der Befehl „user“ oder<br />
„settings“ gibt an, welcher Operationsmodus verwendet wird. Der vollständige Befehl lautet dann<br />
„fprconsole user add TestUser“. Wenn der Befehl nicht bekannt ist oder nicht alle Parameter angegeben<br />
sind, wird die Kurzbefehlliste zusammen mit den Parametern angezeigt.<br />
Die ThinkVantage Fingerprint Software, Installationsanweisungen, die Managementkonsole sowie<br />
Referenzliteratur sind auf der folgenden Website verfügbar:<br />
http://www.lenovo.com/support<br />
Managementkonsolentool<br />
Dieser Abschnitt enthält Informationen zu benutzerspezifischen Befehlen und zu Befehlen für globale<br />
Einstellungen.<br />
Benutzerspezifische Befehle<br />
Zum Registrieren und Bearbeiten von Benutzern wird der Abschnitt USER verwendet. Wenn der aktuelle<br />
Benutzer nicht über Administratorberechtigung verfügt, richtet sich das Verhalten der Konsole nach dem<br />
Sicherheitsmodus der Fingerprint Software. Im sicheren Modus sind keine Befehle zulässig. Im komfortablen<br />
Modus können Standardbenutzer die Befehle ADD, EDIT und DELETE ausführen. Der Benutzer kann<br />
jedoch nur das ihm zugeordnete Kennwort (das mit seinem Benutzernamen registriert ist) ändern. Die<br />
Syntax lautet wie folgt:<br />
FPRCONSOLE USER command<br />
Dabei steht command für einen der folgenden Befehle: ADD, EDIT, DELETE, LIST, IMPORT, EXPORT.<br />
Tabelle 25. Benutzerspezifische Befehle<br />
Befehl Syntax Beschreibung<br />
Neuen Benutzer registrieren<br />
Example:<br />
fprconsole user add<br />
domain0\testuser<br />
fprconsole user add<br />
testuser<br />
Registrierten Benutzer<br />
bearbeiten<br />
Example:<br />
fprconsole user edit<br />
domain0\testuser<br />
fprconsole user edit<br />
testuser<br />
ADD [username [| domain\<br />
username]]<br />
EDIT [username [| domain\<br />
username]]<br />
Wird kein Benutzername angegeben,<br />
wird der aktuelle Benutzername<br />
verwendet.<br />
Wird kein Benutzername angegeben,<br />
wird der aktuelle Benutzername<br />
verwendet.<br />
Anmerkung: Der registrierte Benutzer<br />
muss zunächst seinen Fingerabdruck<br />
bestätigen.<br />
© Copyright <strong>Lenovo</strong> 2008, 2011 53
Tabelle 25. Benutzerspezifische Befehle (Forts.)<br />
Befehl Syntax Beschreibung<br />
Benutzer löschen<br />
Example:<br />
fprconsole user delete<br />
domain0\testuser<br />
fprconsole user delete<br />
testuser<br />
fprconsole user delete<br />
/ALL<br />
Registrierte Benutzer<br />
aufzählen<br />
Registrierten Benutzer in Datei<br />
exportieren<br />
Registrierten Benutzer<br />
importieren<br />
DELETE [username [| domain\<br />
username | /ALL]]<br />
Das Flag /ALL löscht alle auf diesem<br />
Computer registrierten Benutzer. Wenn<br />
der Benutzername nicht angegeben<br />
wird, wird der aktuelle Benutzername<br />
verwendet.<br />
List Listet die registrierten Benutzer auf.<br />
Syntax: EXPORT username<br />
[| domain\username] file<br />
Befehle für globale Einstellungen<br />
Mit diesem Befehl wird ein registrierter<br />
Benutzer in eine Datei auf dem<br />
Festplattenlaufwerk exportiert. Der<br />
Benutzer kann anschließend über den<br />
Befehl IMPORT auf einen anderen<br />
Computer oder auf denselben<br />
Computer importiert werden, wenn der<br />
Benutzer auf diesem gelöscht wurde.<br />
Syntax: IMPORT file Mit diesem Befehl wird der Benutzer<br />
aus der angegebenen Datei importiert.<br />
Anmerkung: Wenn der Benutzer in der<br />
Datei bereits auf demselben Computer<br />
mit denselben Fingerabdrücken<br />
registriert ist, ist nicht sichergestellt,<br />
welcher Benutzer bei der Identifikation<br />
Vorrang hat.<br />
Die globalen Einstellungen der Fingerprint Software können über den Abschnitt SETTINGS geändert werden.<br />
Für alle Befehle in diesem Abschnitt ist eine Administratorberechtigung erforderlich. Die Syntax lautet:<br />
FPRCONSOLE SETTINGS command<br />
Dabei steht command für einen der folgenden Befehle: SECUREMODE, LOGON, CAD, TBX, SSO.<br />
Tabelle 26. Befehle für globale Einstellungen<br />
Befehl Syntax Beschreibung<br />
<strong>Security</strong> mode<br />
Example:<br />
To set to convenient mode:<br />
fprconsole settings<br />
securemode 0<br />
SECUREMODE 0|1 Diese Einstellung wechselt zwischen dem<br />
komfortablen und dem sicheren Modus der<br />
Fingerprint Software.<br />
Art der Anmeldung LOGON 0|1 [/FUS] Diese Einstellung aktiviert (1) oder<br />
deaktiviert (0) die Anmeldeanwendung.<br />
Wird der Parameter /FUS verwendet, ist für<br />
die Anmeldung der Modus zum schnellen<br />
Wechseln zwischen Benutzern (FUS -<br />
Fast User Switching) aktiviert, wenn die<br />
Computerkonfiguration dies zulässt.<br />
54 <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> <strong>8.3</strong> <strong>Implementierungshandbuch</strong>
Tabelle 26. Befehle für globale Einstellungen (Forts.)<br />
Befehl Syntax Beschreibung<br />
Strg+Alt+Entf-Nachricht CAD 0|1 Diese Einstellung aktiviert (1) oder inaktiviert<br />
(0) den Text „Drücken Sie Strg+Alt+Entf“<br />
während der Anmeldung.<br />
Sicherheitsfunktionen beim<br />
Einschalten<br />
Sicherheitsfunktionen beim<br />
Einschalten - SSO (Single Sign-On)<br />
Sicherer Modus und komfortabler Modus<br />
TBX 0|1 Diese Einstellung schaltet bei der<br />
Einstellung 0 global die Unterstützung für<br />
die Sicherheitsfunktionen beim Einschalten<br />
in der Fingerprint Software aus. Wenn die<br />
Unterstützung für die Sicherheitsfunktionen<br />
beim Einschalten ausgeschaltet ist,<br />
werden keine Sicherheitsassistenten oder<br />
-seiten beim Einschalten angezeigt. Die<br />
BIOS-Einstellungen sind in diesem Fall<br />
bedeutungslos.<br />
SSO 0|1 Diese Einstellung aktiviert (1) oder<br />
deaktiviert (0) die Verwendung der im<br />
BIOS für die Anmeldung verwendeten<br />
Fingerabdrücke, um einen Benutzer<br />
automatisch anzumelden, wenn dieser im<br />
BIOS bestätigt ist.<br />
Die Fingerprint Software kann in zwei Sicherheitsmodi ausgeführt werden: dem sicheren Modus und<br />
dem komfortablen Modus. Der sichere Modus wurde für Situationen entwickelt, in denen ein hohes<br />
Sicherheitsniveau wichtig ist. Besondere Funktionen sind ausschließlich für den Administrator reserviert. Nur<br />
Administratoren können sich ohne zusätzliche Authentifizierung und nur mit dem Kennwort anmelden.<br />
Der komfortable Modus wurde für Heimcomputer entwickelt, bei denen ein hohes Sicherheitsniveau nicht<br />
unbedingt erforderlich ist. Alle Benutzer dürfen alle Operationen ausführen, einschließlich dem Bearbeiten<br />
von Berechtigungsnachweisen anderer Benutzer und der Möglichkeit, sich am System mit dem Kennwort<br />
(ohne Authentifizierung über Fingerabdruck) anzumelden.<br />
Ein Administrator ist ein Mitglied der lokalen Administratorgruppe. Wenn Sie den sicheren Modus einstellen,<br />
kann nur der Administrator wieder in den komfortablen Modus wechseln.<br />
Sicherer Modus – Administrator<br />
Bei der Anmeldung wird im sicheren Modus die folgende Nachricht angezeigt, wenn der falsche<br />
Benutzername oder das falsche Kennwort eingegeben wurde: „Only administrators can log on this computer<br />
with user name and password“ (Nur Administratoren dürfen sich an diesem Computer mit Benutzernamen<br />
und Kennwort anmelden). Damit wird eine höhere Sicherheit gewährleistet.<br />
Tabelle 27. Optionen für Administratoren im sicheren Modus<br />
Fingerprints (Fingerabdrücke) Beschreibung<br />
Create a new passport (Neuen Berechtigungsnachweis<br />
erstellen)<br />
Administratoren können ihren eigenen<br />
Berechtigungsnachweis und den Berechtigungsnachweis<br />
für einen Benutzer mit eingeschränkter Berechtigung<br />
erstellen.<br />
Edit Passports (Berechtigungsnachweise bearbeiten) Administratoren können nur ihren eigenen<br />
Berechtigungsnachweis bearbeiten.<br />
Kapitel 4. Mit ThinkVantage Fingerprint Software arbeiten 55
Tabelle 27. Optionen für Administratoren im sicheren Modus (Forts.)<br />
Fingerprints (Fingerabdrücke) Beschreibung<br />
Delete Passport (Berechtigungsnachweis löschen) Administratoren können die Berechtigungsnachweise von<br />
allen Benutzern mit eingeschränkter Berechtigung und<br />
anderen Administratoren löschen. Wenn andere Benutzer<br />
Sicherheitsfunktionen beim Einschalten verwenden, hat<br />
der Administrator die Möglichkeit, Benutzerschablonen zu<br />
diesem Zeitpunkt von den Sicherheitsfunktionen beim<br />
Einschalten zu entfernen.<br />
Power-on <strong>Security</strong> (Sicherheitsfunktionen beim<br />
Einschalten)<br />
Einstellungen<br />
Administratoren können die beim Starten verwendeten<br />
Fingerabdrücke von Benutzern mit eingeschränkter<br />
Berechtigung und von Administratoren löschen.<br />
Anmerkung: Bei aktiviertem Startmodus muss<br />
mindestens ein Fingerabdruck vorhanden sein.<br />
Logon settings (Anmeldeeinstellungen) Administratoren können an allen Anmeldeeinstellungen<br />
Änderungen vornehmen.<br />
Protected screen saver (Geschützter Bildschirmschoner) Administratoren haben Zugriff.<br />
Passport type (Typ des Berechtigungsnachweises) Administratoren haben Zugriff. - Nur in Verbindung mit<br />
Servern relevant.<br />
<strong>Security</strong> mode (Sicherheitsmodus) Administratoren können zwischen dem sicheren Modus<br />
und dem komfortablen Modus umschalten.<br />
Pro Servers (Pro Server) Administratoren haben Zugriff. - Nur in Verbindung mit<br />
Servern relevant.<br />
Sicherer Modus - Benutzer mit eingeschränkter Berechtigung<br />
Bei einer Windows-Anmeldung muss ein Benutzer mit eingeschränkter Berechtigung einen Fingerabdruck<br />
zum Anmelden verwenden. Wenn das Lesegerät für Fingerabdrücke für Benutzer mit eingeschränkter<br />
Berechtigung nicht funktioniert, muss ein Administrator die Einstellung der Fingerprint Software ändern und<br />
den komfortablen Modus einstellen, um den Zugriff über Benutzernamen und Kennwort zu aktivieren.<br />
Tabelle 28. Optionen für Benutzer mit eingeschränkter Berechtigung im sicheren Modus<br />
Einstellung Beschreibung<br />
Create a new passport (Neuen Berechtigungsnachweis<br />
erstellen)<br />
Benutzer mit eingeschränkter Berechtigung haben keinen<br />
Zugriff.<br />
Edit Passports (Berechtigungsnachweise bearbeiten) Benutzer mit eingeschränkter Berechtigung können nur<br />
ihren eigenen Berechtigungsnachweis bearbeiten.<br />
Delete Passport (Berechtigungsnachweis löschen) Benutzer mit eingeschränkter Berechtigung können nur<br />
ihren eigenen Berechtigungsnachweis löschen.<br />
Power-on <strong>Security</strong> (Sicherheitsfunktionen beim<br />
Einschalten)<br />
Benutzer mit eingeschränkter Berechtigung haben keinen<br />
Zugriff.<br />
Logon settings (Anmeldeeinstellungen) Benutzer mit eingeschränkter Berechtigung können die<br />
Anmeldeeinstellungen nicht ändern.<br />
Geschützter Bildschirmschoner Benutzer mit eingeschränkter Berechtigung haben Zugriff.<br />
Passport type (Typ des Berechtigungsnachweises) Benutzer mit eingeschränkter Berechtigung haben keinen<br />
Zugriff.<br />
56 <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> <strong>8.3</strong> <strong>Implementierungshandbuch</strong>
Tabelle 28. Optionen für Benutzer mit eingeschränkter Berechtigung im sicheren Modus (Forts.)<br />
Einstellung Beschreibung<br />
<strong>Security</strong> mode (Sicherheitsmodus) Benutzer mit eingeschränkter Berechtigung können die<br />
Sicherheitsmodi nicht ändern.<br />
Pro Servers (Pro Server) Benutzer mit eingeschränkter Berechtigung haben Zugriff.<br />
- Nur in Verbindung mit Servern relevant.<br />
Komfortabler Modus - Administrator<br />
Bei einer Windows-Anmeldung können sich Administratoren entweder mit dem Administratornamen und<br />
dem zugehörigen Kennwort oder mit dem Fingerabdruck anmelden.<br />
Tabelle 29. Optionen für Administratoren im komfortablen Modus<br />
Einstellungen Beschreibung<br />
Create a new passport (Neuen Berechtigungsnachweis<br />
erstellen)<br />
Administratoren können nur ihren eigenen<br />
Berechtigungsnachweis erstellen.<br />
Edit Passports (Berechtigungsnachweise bearbeiten) Administratoren können nur ihren eigenen<br />
Berechtigungsnachweis bearbeiten.<br />
Delete Passport (Berechtigungsnachweis löschen) Administratoren können nur ihren eigenen<br />
Berechtigungsnachweis löschen.<br />
Power-on <strong>Security</strong> (Sicherheitsfunktionen beim<br />
Einschalten)<br />
Administratoren können die beim Starten verwendeten<br />
Fingerabdrücke von Benutzern mit eingeschränkter<br />
Berechtigung und von Administratoren löschen.<br />
Anmerkung: Bei aktiviertem Startmodus muss<br />
mindestens ein Fingerabdruck vorhanden sein.<br />
Logon settings (Anmeldeeinstellungen) Administratoren können an allen Anmeldeeinstellungen<br />
Änderungen vornehmen.<br />
Protected screen saver (Geschützter Bildschirmschoner) Administratoren haben Zugriff.<br />
Passport type (Typ des Berechtigungsnachweises) Administratoren haben Zugriff. - Nur in Verbindung mit<br />
Servern relevant.<br />
<strong>Security</strong> mode (Sicherheitsmodus) Administratoren können zwischen dem sicheren Modus<br />
und dem komfortablen Modus umschalten.<br />
Pro Servers (Pro Server) Administratoren haben Zugriff. - Nur in Verbindung mit<br />
Servern relevant.<br />
Komfortabler Modus - Benutzer mit eingeschränkter Berechtigung<br />
Bei einer Windows-Anmeldung können Benutzer mit eingeschränkter Berechtigung sich entweder mit dem<br />
Benutzernamen und dem zugehörigen Kennwort oder mit dem Fingerabdruck anmelden.<br />
Tabelle 30. Optionen für Benutzer mit eingeschränkter Berechtigung im komfortablen Modus<br />
Einstellungen Beschreibung<br />
Create a new passport (Neuen Berechtigungsnachweis<br />
erstellen)<br />
Benutzer mit eingeschränkter Berechtigung können nur<br />
ihre eigenes Kennwort erstellen.<br />
Edit Passports (Berechtigungsnachweise bearbeiten) Benutzer mit eingeschränkter Berechtigung können nur<br />
ihren eigenen Berechtigungsnachweis bearbeiten.<br />
Delete Passport (Berechtigungsnachweis löschen) Benutzer mit eingeschränkter Berechtigung können nur<br />
ihren eigenen Berechtigungsnachweis löschen.<br />
Kapitel 4. Mit ThinkVantage Fingerprint Software arbeiten 57
Tabelle 30. Optionen für Benutzer mit eingeschränkter Berechtigung im komfortablen Modus (Forts.)<br />
Einstellungen Beschreibung<br />
Power-on <strong>Security</strong> (Sicherheitsfunktionen beim<br />
Einschalten)<br />
Benutzer mit eingeschränkter Berechtigung können nur<br />
ihre eigenen Fingerabdrücke löschen.<br />
Logon settings (Anmeldeeinstellungen) Benutzer mit eingeschränkter Berechtigung können die<br />
Anmeldeeinstellungen nicht ändern.<br />
Geschützter Bildschirmschoner Benutzer mit eingeschränkter Berechtigung haben Zugriff.<br />
Passport type (Typ des Berechtigungsnachweises) Benutzer mit eingeschränkter Berechtigung haben keinen<br />
Zugriff. - Nur in Verbindung mit Servern relevant.<br />
<strong>Security</strong> mode (Sicherheitsmodus) Benutzer mit eingeschränkter Berechtigung können die<br />
Sicherheitsmodi nicht ändern.<br />
Pro Servers (Pro Server) Benutzer mit eingeschränkter Berechtigung haben Zugriff.<br />
- Nur in Verbindung mit Servern relevant.<br />
Konfigurierbare Einstellungen<br />
Einige Optionen der Fingerprint Software können über Einstellungen in der Registrierungsdatenbank<br />
konfiguriert werden.<br />
• Preboot/power-on software interface: Der Mechanismus zum Aktivieren der Unterstützung für die<br />
Fingerprint Software vor dem Starten oder beim Einschalten und zum Speichern der Fingerabdrücke<br />
auf dem Begleitchip wird in der Regel nicht in der Fingerprint Software angezeigt, es sei denn,<br />
auf dem System ist ein BIOS- oder ein Festplattenkennwort festgelegt. Um dieses Verhalten zu<br />
überschreiben und zu erzwingen, dass diese Optionen auch ohne das Vorhandensein eines BIOS- oder<br />
Festplattenkennworts angezeigt werden, fügen Sie einen der folgenden Einträge, je nachdem, welcher für<br />
Ihren Computermaschinentyp zutrifft, zur Registrierungsdatenbank hinzu:<br />
[HKEY_LOCAL_MACHINE\SOFTWARE\Protector Suite QL\1.0]<br />
REG_DWORD "BiosFeatures" = 2<br />
oder<br />
[HKEY_LOCAL_MACHINE\SOFTWARE\Protector Suite QL\1.0]<br />
REG_DWORD "BiosFeatures" = 4<br />
Diese Einstellung ist nützlich, wenn SafeGuard Easy auf einem System ohne BIOS-Kennwörter installiert<br />
ist und wenn zum Entschlüsseln des Festplattenlaufwerks die Authentifizierung über Fingerabdruck<br />
verwendet wird.<br />
• Signaltöne: Die Fingerprint Software kann so konfiguriert werden, dass ein in einer .wav-Datei enthaltener<br />
Signalton unter bestimmten Umständen während der Authentifizierung über Fingerabdruck abgespielt<br />
wird. Die Registrierungseinstellungen für dieses Signaltöne lauten wie folgt:<br />
[HKEY_LOCAL_MACHINE\SOFTWARE\Protector Suite QL\1.0\settings]<br />
‘Success’<br />
REG_SZ “sndSuccess” = [path to sound file]<br />
The file designated will play whenever a successful swipe is registered.<br />
‘Failure’<br />
REG_SZ “sndFailure” = [path to sound file]<br />
The file designated will play whenever an unsuccessful swipe is attempted.<br />
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\fingerprint<br />
‘Scan’<br />
58 <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> <strong>8.3</strong> <strong>Implementierungshandbuch</strong>
REG_SZ “sndScan” = [path to sound file]<br />
The file designated will play whenever the fingerprint verification<br />
dialog is displayed for <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>-related operations.<br />
If the value is not present or is empty then no sound is played.<br />
Quality’<br />
REG_SZ “sndQuality” = [path to sound file]<br />
The file designated will play whenever an unreadable swipe has occurred.<br />
If the value is not present or is empty then no sound is played.<br />
• Kennwortprüfung bei Systementsperrung: Standardmäßig überprüft die Fingerprint Software bei<br />
einer Systementsperrung das gespeicherte Kennwort. Für die Überprüfung ist der Domänencontroller<br />
zuständig. Es kann zu Verzögerungen kommen. Um die Verzögerung zu vermeiden, inaktivieren Sie die<br />
die Kennwortprüfung bei der Systementsperrung, indem Sie die Registrierungsdatenbank wie folgt<br />
bearbeiten:<br />
[HKEY_LOCAL_MACHINE\SOFTWARE\Protector Suite QL\1.0\settings]<br />
REG_DWORD "DoNotTestUnlock"=1<br />
Die Fingerprint Software überprüft weiterhin bei der Systemanmeldung das Kennwort.<br />
Anmerkung: Wenn für den obigen Registrierungsschlüssel 1 festgelegt ist, wird, wenn der<br />
Domänenadministrator das Kennwort das Benutzers ändert, wenn das System des Benutzers gesperrt<br />
ist, das alte Kennwort von der Fingerprint Software gespeichert, bis der Benutzer sich abmeldet und<br />
wieder anmeldet.<br />
Fingerprint Software und Novell Netware <strong>Client</strong><br />
Um Konflikte zu vermeiden, müssen die Benutzernamen und die Kennwörter für die Fingerprint Software<br />
und für den Novell Netware <strong>Client</strong> übereinstimmen. Wenn auf Ihrem Computer die Fingerprint Software<br />
installiert ist und Sie anschließend den Novell Netware <strong>Client</strong> installieren, werden möglicherweise einige<br />
Einträge in der Registrierungsdatenbank überschrieben. Wenn Sie Probleme bei der Anmeldung bei der<br />
Fingerprint Software feststellen, rufen Sie das Fenster mit den Einstellungen für die Anmeldung auf, und<br />
aktivieren Sie den Logon Protector wieder.<br />
Wenn auf Ihrem Computer der Novell Netware <strong>Client</strong> installiert ist, Sie sich aber vor der Installation der<br />
Fingerprint Software nicht beim <strong>Client</strong> angemeldet haben, wird das Fenster für die Novell-Anmeldung<br />
angezeigt. Geben Sie die angeforderten Informationen ein.<br />
Anmerkung: Die Informationen in diesem Abschnitt gelten nur für die ThinkVantage Fingerprint Software.<br />
Gehen Sie wie folgt vor, um die Einstellungen für den Logon Protector zu ändern:<br />
• Starten Sie das Control Center (Steuerzentrale).<br />
• Klicken Sie auf Settings (Einstellungen).<br />
• Klicken Sie auf Logon settings (Anmeldeeinstellungen).<br />
• Aktivieren oder inaktivieren Sie den Logon Protector.<br />
Wenn Sie die Anmeldung über Fingerabdruck verwenden möchten, wählen Sie das Kontrollkästchen<br />
„Replace Windows logon with fingerprint-protected logon“ (Windows-Anmeldung durch Anmeldung<br />
mit Fingerabdruckschutz ersetzen) aus.<br />
Anmerkung: Beim Aktivieren und Inaktivieren des Logon Protector ist ein Neustart erforderlich.<br />
• Aktivieren oder inaktivieren Sie die schnelle Benutzerumschaltung, wenn dies vom System unterstützt<br />
wird.<br />
• (Optionale Funktion) Aktivieren oder inaktivieren Sie die automatische Anmeldung für Benutzer, die über<br />
die Bootsicherheitsfunktionen beim Einschalten authentifiziert sind.<br />
Kapitel 4. Mit ThinkVantage Fingerprint Software arbeiten 59
• Legen Sie die Novell-Anmeldeeinstellungen fest. Die folgenden Einstellungen stehen bei der Anmeldung<br />
an einem Novell-Netzwerk zur Verfügung:<br />
– Activated<br />
(Aktiviert) Die Fingerprint Software stellt automatisch bekannte Berechtigungsnachweise bereit. Schlägt<br />
die Novell-Anmeldung fehl, wird das Fenster für die Novell <strong>Client</strong>-Anmeldung mit der Aufforderung, die<br />
richtigen Daten einzugeben, angezeigt.<br />
– Ask during logon<br />
(Während Anmeldung abfragen) Die Fingerprint Software zeigt das Fenster für die Novell<br />
<strong>Client</strong>-Anmeldung mit der Aufforderung, die Anmeldedaten einzugeben, an.<br />
– Deaktiviert<br />
Die Fingerprint Software versucht keine Novell-Anmeldung.<br />
Authentifizierung<br />
Gehen Sie wie folgt vor, um Novell an die Fingerprint Software zu übergeben:<br />
1. Installieren Sie die Fingerprint Software.<br />
2. Installieren Sie den Novell Netware <strong>Client</strong>.<br />
3. Klicken Sie bei entsprechender Aufforderung auf Yes, um sich anzumelden.<br />
4. Führen Sie einen Warmstart durch.<br />
5. Klicken Sie bei entsprechender Aufforderung auf „Yes“, um sich bei der Fingerprint Software<br />
anzumelden.<br />
6. Starten Sie den Novell Netware <strong>Client</strong>.<br />
7. Authentifizieren Sie sich beim Server.<br />
8. Melden Sie sich bei Windows an.<br />
9. Führen Sie einen Warmstart durch.<br />
Anmerkung: Ihre Authentifizierungs-ID und Ihr Windows-Kennwort müssen übereinstimmen.<br />
Dienste für ThinkVantage Fingerprint Software<br />
Der Dienst „upeksvr.exe“ wird nach der Installation der ThinkVantage Fingerprint Software zum System<br />
hinzugefügt. Er wird beim Start gestartet und wird die ganze Zeit, während der Benutzer sich anmeldet,<br />
ausgeführt. Der Dienst „upeksvr.exe“ ist das Kernelement der ThinkVantage Fingerprint Software. Er<br />
führt alle Operationen an der Einheit und an den Benutzerdaten aus. Er zeigt zudem die grafische<br />
Benutzerschnittstelle für die biometrische Überprüfung an und bietet sicheren Zugriff auf die Benutzerdaten.<br />
60 <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> <strong>8.3</strong> <strong>Implementierungshandbuch</strong>
Kapitel 5. Mit <strong>Lenovo</strong> Fingerprint Software arbeiten<br />
Die Fingerprint Console muss vom Installationsordner der <strong>Lenovo</strong> Fingerprint Software aus ausgeführt<br />
werden. Die grundlegende Syntax lautet FPRCONSOLE [USER | SETTINGS]. Dabei gibt der Befehl USER<br />
oder SETTINGS an, welche Operationsgruppe verwendet wird. Der vollständige Befehl lautet „fprconsole<br />
user add TestUser“. Wenn der Befehl nicht bekannt ist oder nicht alle Parameter angegeben sind, wird die<br />
Kurzbefehlliste zusammen mit den Parametern angezeigt.<br />
Die <strong>Lenovo</strong> Fingerprint Software, Installationsanweisungen, die Managementkonsole sowie Referenzliteratur<br />
sind auf der <strong>Lenovo</strong> Website unter folgender Adresse verfügbar:<br />
http://www.lenovo.com/support<br />
Managementkonsolentool<br />
Informationen zum Managementkonsolentool der <strong>Lenovo</strong> Fingerprint Software finden Sie im Abschnitt<br />
„Managementkonsolentool“ auf Seite 53.<br />
Dienste für die <strong>Lenovo</strong> Fingerprint Software<br />
Anmerkung: Für die <strong>Lenovo</strong> Fingerprint Software muss der Terminaldienst auf dem System vorhanden sein.<br />
Wenn Sie den Terminaldienst inaktivieren, kann es zu unerwarteten Ergebnissen in der <strong>Lenovo</strong> Fingerprint<br />
Software kommen.<br />
Die folgenden Dienste werden nach dem Installieren der <strong>Lenovo</strong> Fingerprint Software zum System<br />
hinzugefügt:<br />
• ATService.exe (standardmäßig aktiviert)<br />
Sie müssen den Dienst „ATService.exe“ aktivieren, um das Fingerabdrucksystem zu verwenden. Dieser<br />
Dienst verwaltet Anforderungen von Anwendungen, die den Sensor für Fingerabdrücke verwenden.<br />
• Data Transfer Service (standardmäßig aktiviert)<br />
Wenn Data Transfer Service oder der Dienst „ATService.exe“ fehlerhaft beendet wird, funktioniert die<br />
<strong>Lenovo</strong> Fingeprint Software nicht wie erwartet.<br />
• ADMonitor.exe (standardmäßig inaktiviert)<br />
Sie müssen den Dienst „ADMonitor.exe“ aktivieren, um die Verwaltung von Active Directory zu<br />
unterstützen. Dieser Dienst überwacht die Registrierungsdatenbank auf Änderungen, die von Active<br />
Directory weitergegeben werden, und spiegelt die Änderungen lokal wider.<br />
Active Directory-Unterstützung für <strong>Lenovo</strong> Fingerprint Software<br />
In der folgenden Tabelle werden die Richtlinieneinstellungen für die <strong>Lenovo</strong> Fingerprint Software angezeigt.<br />
Tabelle 31. Richtlinieneinstellungen<br />
Einstellung Beschreibung<br />
Enable/disable fingerprint logon Gibt an, dass anstelle des Windows-Kennworts<br />
Fingerabdrücke für die Anmeldung am Computer<br />
verwendet werden. Wenn Sie diese Einstellung aktivieren,<br />
gibt es zwei weitere Optionen, die Sie aktivieren oder<br />
inaktivieren können:<br />
• Disable CTRL+ALT+DEL dialog for logon interface<br />
Wenn Sie diese Option auswählen, wird die Nachricht,<br />
die den Benutzer zum Drücken der Tastenkombination<br />
© Copyright <strong>Lenovo</strong> 2008, 2011 61
Tabelle 31. Richtlinieneinstellungen (Forts.)<br />
Einstellung Beschreibung<br />
Allow user to retrieve password through fingerprint<br />
authentication<br />
Strg+Alt+Entf auffordert, um sich anzumelden,<br />
inaktiviert. (Nur unter Windows XP verfügbar)<br />
• Require non-administrator user logon with<br />
fingerprint authentication<br />
Wenn Sie diese Option auswählen, können sich<br />
Benutzer ohne Administratorberechtigung nur mithilfe<br />
ihrer Fingerabdrücke anmelden.<br />
Wenn Sie diese Einstellung aktivieren, können Benutzer<br />
das Windows-Kennwort für ihr Konto nach der<br />
Authentifizierung über Fingerabdruck in der <strong>Lenovo</strong><br />
Fingerprint Software anzeigen.<br />
Always show power-on security options Wenn Sie diese Einstellung aktivieren, können Benutzer<br />
die Verwendung des Lesegeräts für Fingerabdrücke<br />
anstelle des Start- und des Festplattenkennworts<br />
beim Einschalten des Computers auswählen. Im<br />
Registrierungsfenster der <strong>Lenovo</strong> Fingerprint Software<br />
kann die Authentifizierung über Fingerabdruck zum<br />
Starten für jeden registrierten Fingerabdruck aktiviert oder<br />
inaktiviert werden.<br />
Use fingerprint authentication instead of power-on and<br />
HD passwords<br />
Wenn Sie diese Einstellung aktivieren, wird die<br />
Authentifizierung über Fingerabdruck anstelle des Startund<br />
des Festplattenkennworts verwendet.<br />
Set number of failed attemps before lock out Legt die zulässige Anzahl fehlgeschlagener<br />
Anmeldeversuche, bevor der Besucher gesperrt wird,<br />
sowie die Dauer (in Sekunden) der Sperrung fest.<br />
Set inactive timeout Legt die zulässige Dauer der Systeminaktivität (in<br />
Sekunden) fest, bevor der Benutzer abgemeldet wird.<br />
Allow users to enroll fingerprints Wenn Sie diese Einstellung aktivieren, können Benutzer<br />
ohne Administratorberechtigung Fingerabdrücke mit der<br />
<strong>Lenovo</strong> Fingerprint Software registrieren.<br />
Allow users to delete fingerprints Wenn Sie diese Einstellung aktivieren, können Benutzer<br />
ohne Administratorberechtigung zuvor registrierte<br />
Fingerabdrücke mit der <strong>Lenovo</strong> Fingerprint Software<br />
löschen.<br />
Allow users to import/export fingerprints Wenn Sie diese Einstellung aktivieren, können Benutzer<br />
ohne Administratorberechtigung zuvor registrierte<br />
Fingerabdrücke mit der <strong>Lenovo</strong> Fingerprint Software<br />
importieren und exportieren.<br />
Show/Hide elements in setting tab of fingerprint software Wenn Sie diese Einstellung aktivieren, können<br />
IT-Administratoren Elemente auf der Registerkarte<br />
„Settings“ (Einstellungen) der grafischen<br />
Benutzerschnittstelle steuern.<br />
62 <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> <strong>8.3</strong> <strong>Implementierungshandbuch</strong>
Kapitel 6. Bewährte Verfahren<br />
Dieses Kapitel enthält Szenarios, die bewährte Verfahren für <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> und Fingerprint Software<br />
darstellen. Das vorliegende Beispielszenario beginnt mit der Konfiguration des Festplattenlaufwerks,<br />
erläutert verschiedene Aktualisierungen und beschreibt den gesamten Lebenszyklus einer Implementierung.<br />
Die Installation wird sowohl auf <strong>Lenovo</strong> Computern als auch auf Computern anderer Hersteller beschrieben.<br />
Implementierungsbeispiele für die Installation von <strong>Client</strong> <strong>Security</strong><br />
<strong>Solution</strong><br />
Der folgende Abschnitt enthält Beispiele zum Installieren von <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> auf Desktop- und<br />
Notebook-Computern.<br />
Szenario 1<br />
Hierbei handelt es sich um ein Beispiel für eine Installation auf einem Desktop-Computer unter Verwendung<br />
der folgenden hypothetischen Kundenanforderungen:<br />
• Verwaltung<br />
Verwenden Sie den lokalen Administratoraccount für die Verwaltung des Computers.<br />
• <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong><br />
– Installieren Sie den Emulationsmodus, und führen Sie ihn aus.<br />
Nicht alle <strong>Lenovo</strong> Systeme weisen ein TPM (Trusted Platform Module), also einen Sicherheitschip, auf.<br />
– Aktivieren Sie den <strong>Client</strong> <strong>Security</strong>-Verschlüsselungstext.<br />
Schützen Sie <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>-Anwendungen durch einen Verschlüsselungstext.<br />
– Aktivieren Sie die <strong>Client</strong> <strong>Security</strong>-Windows-Anmeldung.<br />
Melden Sie sich bei Windows mit dem <strong>Client</strong> <strong>Security</strong>-Verschlüsselungstext an.<br />
– Aktivieren Sie die Wiederherstellungsfunktion für den Verschlüsselungstext von Benutzern.<br />
Ermöglichen Sie Benutzern die Wiederherstellung ihres Verschlüsselungstextes durch drei<br />
benutzerdefinierte Fragen und Antworten.<br />
– Verschlüsseln Sie das <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>-XML-Script mit einem Kennwort, z. B. XMLscriptPW.<br />
Schützen Sie die <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>-Konfigurationsdatei mit einem Kennwort.<br />
– Fingerprint Software ist möglicherweise installiert.<br />
Auf der Erstellungsmaschine:<br />
1. Melden Sie sich bei Windows mit einem lokalen Administratoraccount an.<br />
2. Installieren Sie das Programm „<strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>“ mithilfe des folgenden Befehls:<br />
tvtcss83_xxxx.exe /s /v"/qn "EMULATIONMODE=1" "NOCSSWIZARD=1"<br />
(wobei XXXX für die Build-ID steht)<br />
3. Starten Sie den Computer erneut und melden Sie sich bei Windows mit einem lokalen<br />
Administratoraccount an.<br />
4. Bereiten Sie das XML-Script für die Implementierung vor, indem Sie wie folgt vorgehen:<br />
a. Führen Sie den folgenden Befehl aus:<br />
"C:\Program Files\<strong>Lenovo</strong>\<strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>\css_wizarde.exe"<br />
/name:C:\ThinkCentre<br />
b. Konfigurieren Sie im Assistenten Folgendes:<br />
1) Klicken Sie auf Secure logon method (Sichere Anmeldemethode) ➙ Next (Weiter).<br />
© Copyright <strong>Lenovo</strong> 2008, 2011 63
2) Geben Sie für den Administratoraccount das Windows-Kennwort ein (z. B. WPW4Admin) und<br />
klicken Sie auf Next (Weiter).<br />
3) Geben Sie den <strong>Client</strong> <strong>Security</strong>-Verschlüsselungstext (z. B. CSPP4Admin) für den<br />
Administratoraccount ein, wählen Sie die Option Use the <strong>Client</strong> <strong>Security</strong> passphrase to<br />
protect access to the Rescue and Recovery workspace (<strong>Client</strong> <strong>Security</strong>-Verschlüsselungstext<br />
zum Schützen des Zugriffs auf den Arbeitsbereich von Rescue and Recovery verwenden) aus<br />
und klicken Sie auf Next (Weiter).<br />
4) Beantworten Sie die drei Fragen für den Administratoraccount und klicken Sie auf Next (Weiter).<br />
Die drei Fragen können z. B. wie folgt lauten:<br />
a) Wie heißt Ihr Haustier?<br />
b) Was ist Ihr Lieblingsfilm?<br />
c) Welche ist Ihre Lieblingsmannschaft?<br />
5) Überprüfen Sie die Zusammenfassung und klicken Sie auf Apply (Übernehmen), um die<br />
XML-Datei am folgenden Speicherort zu speichern:<br />
C:\ThinkCentre.xml<br />
6) Klicken Sie auf Finish (Fertig stellen), um den Assistenten zu schließen.<br />
5. Öffnen Sie die Datei „ThinkCentre.xml“ in einem Texteditor (einem XML-Scripteditor oder dem Programm<br />
„Microsoft Word 2003“, das das XML-Format unterstützt), entfernen Sie alle Verweise auf die Einstellung<br />
für die Domäne und speichern Sie die Datei. Dadurch verwendet das Script den Namen der lokalen<br />
Maschine auf den einzelnen Systemen.<br />
6. Verschlüsseln Sie das XML-Script mithilfe des Tools „xml_crypt_tool.exe“ im Verzeichnis C:\Program<br />
Files\<strong>Lenovo</strong>\<strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> mit einem Kennwort, indem Sie die folgende Syntax verwenden:<br />
xml_crypt_tool.exe C:\ThinkCentre.xml /encrypt XMLScriptPW<br />
Die Datei heißt jetzt „C:\ThinkCentre.xml.enc“ und wird durch das Kennwort XMLScriptPW geschützt. Sie<br />
kann nun zu dem Implementierungscomputer hinzugefügt werden.<br />
Auf der Implementierungsmaschine:<br />
1. Melden Sie sich bei Windows mit einem lokalen Administratoraccount an.<br />
2. Installieren Sie die Programme „Rescue and Recovery“ und „<strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>“ mit der folgenden<br />
Syntax:<br />
setup_tvtrnr40_xxxxcc.exe /s /v"/qn "EMULATIONMODE=1" "NOCSSWIZARD=1"<br />
(Dabei steht xxxx für die Build-ID und cc für den Ländercode.)<br />
Anmerkungen:<br />
a. Stellen Sie sicher, dass die TVT-Dateien, wie z. B. „Z652ZIXxxxxyy00.tvt“ für Windows XP und<br />
„Z633ZISxxxxyy00.tvt“ für Windows Vista und Windows 7 (wobei xxxx für die Build-ID und yy für<br />
die Landes-ID steht) sich im selben Verzeichnis wie die ausführbare Datei befinden; andernfalls<br />
schlägt die Installation fehl.<br />
b. Wenn Sie eine administrative Installation durchführen, finden Sie weitere Informationen im Abschnitt<br />
„Szenario 1“ auf Seite 63.<br />
3. Starten Sie den Computer erneut und melden Sie sich bei Windows mit einem lokalen<br />
Administratoraccount an.<br />
4. Fügen Sie die zuvor vorbereitete Datei „ThinkCentre.xml.enc“ dem Stammverzeichnis C:\ hinzu.<br />
5. Bereiten Sie den Befehl „RunOnceEx“ mit den folgenden Parametern vor:<br />
a. Fügen Sie einen neuen Schlüssel 0001 nach dem RunonceEx-Schlüssel ein. Der Schlüssel wird im<br />
folgenden Verzeichnis gespeichert:<br />
HKEY_LOCAL_MACHINE \Software\Microsoft\Windows<br />
\Current Version\RunOnceEx\0001<br />
64 <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> <strong>8.3</strong> <strong>Implementierungshandbuch</strong>
. Fügen Sie zu diesem Schlüssel einen Zeichenfolgewert mit dem Namen CSSEnroll hinzu:<br />
"C:\Program Files\<strong>Lenovo</strong>\<strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>\vmserver.exe"<br />
C:\ThinkCenter.xml.enc XMLscriptPW<br />
6. Führen Sie die folgenden Befehle aus, um das System auf eine Sysprep-Sicherung vorzubereiten:<br />
%rr%C:\Program Files\<strong>Lenovo</strong>\Rescue and Recovery\rrcmd.exe"<br />
sysprepbackup location=L name="Sysprep Backup"<br />
Nachdem das System bereit ist für eine Sysprep-Sicherung, wird Ihnen die folgende Ausgabe angezeigt.<br />
*****************************************************<br />
** Ready to take sysprep backup. **<br />
** **<br />
** PLEASE RUN SYSPREP NOW AND SHUT DOWN. **<br />
** **<br />
** Next time the machine boots, it will boot **<br />
** to the Predesktop Area and take a backup. **<br />
*****************************************************<br />
7. Führen Sie die Sysprep-Implementierung aus.<br />
8. Fahren Sie den Computer herunter und starten Sie ihn erneut. Der Sicherungsprozess in Windows<br />
PE wird gestartet.<br />
Anmerkung: Wenn die Nachricht angezeigt wird, die besagt, dass die Wiederherstellung durchgeführt<br />
wird, dass jedoch gleichzeitig eine Sicherung stattfindet„“, fahren Sie nach der Sicherung den Computer<br />
herunter und führen Sie keinen Neustart durch.<br />
9. Die Sysprep-Basissicherung ist nun abgeschlossen.<br />
Szenario 2<br />
Hierbei handelt es sich um ein Beispiel für eine Installation auf einem Notebook-Computer unter Verwendung<br />
der folgenden hypothetischen Kundenanforderungen:<br />
• Verwaltung<br />
– Führen Sie die Installation auf Systemen aus, auf denen eine ältere Version von <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong><br />
installiert ist.<br />
– Verwenden Sie das Administratorkonto der Domäne für die Verwaltung des Computers.<br />
– Alle Computer verfügen über das BIOS-Administratorkennwort BIOSpw.<br />
• <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong><br />
– Verwenden Sie das TPM (Trusted Platform Module).<br />
Alle Maschinen verfügen über den Sicherheitschip.<br />
– Aktivieren Sie den Password Manager.<br />
– Verwenden Sie das Windows-Kennwort des Benutzers als Authentifizierung bei <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>.<br />
– Verschlüsseln Sie das <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>-XML-Script mit einem Kennwort, z. B. XMLscriptPW.<br />
Schützen Sie die <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>-Konfigurationsdatei mit einem Kennwort.<br />
• ThinkVantage Fingerprint Software<br />
– Verwenden Sie keine BIOS- und Festplattenkennwörter.<br />
– Melden Sie sich bei Windows mithilfe der ThinkVantage Fingerprint Software an.<br />
Nachdem sich der Benutzer anfangs über die Selbstregistrierung angemeldet hat, wechselt er später in<br />
den sicheren Modus für die Anmeldung, für die bei Benutzern ohne Administratorberechtigung ein<br />
Fingerabdruck erforderlich ist. Auf diese Weise erfolgt eine 2-Wege-Authentifizierung.<br />
– Integrieren Sie das Fingerprint Software Tutorial.<br />
Das Fingerprint Software Tutorial hilft Benutzern zu lernen, wie ein Finger über das Lesegerät für<br />
Fingerabdrücke gezogen wird und wie sie visuelles Feedback zu ihren Aktionen erhalten.<br />
Kapitel 6. Bewährte Verfahren 65
Auf der Erstellungsmaschine:<br />
1. Starten Sie den Computer aus dem ausgeschalteten Status heraus und drücken Sie die Taste F1, um<br />
das BIOS-Konfigurationsdienstprogramm aufzurufen. Navigieren Sie zum Menü <strong>Security</strong> und löschen<br />
Sie den Sicherheitschip. Speichern Sie die Einstellungen und verlassen Sie das BIOS.<br />
2. Melden Sie sich bei Windows mit einem Domänenadministratoraccount an.<br />
3. Installieren Sie die ThinkVantage Fingerprint Software, indem Sie wie folgt vorgehen:<br />
a. Führen Sie die Datei „f001zpz2001us00.exe“ aus, um die Datei „setup.exe“ aus dem Webpaket zu<br />
extrahieren. Die Datei „setup.exe“ wird automatisch am folgenden Speicherort extrahiert:<br />
C:\SWTOOLS\APPS\TFS5.9.2-Buildxxxx\Application\0409 (wobei xxxx für die Build-ID steht).<br />
b. Doppelklicken Sie auf die extrahierte Datei „setup.exe“ und befolgen Sie die angezeigten<br />
Anweisungen, um die ThinkVantage Fingerprint Software zu installieren.<br />
4. Installieren Sie das ThinkVantage Fingerprint Software Tutorial, indem Sie wie folgt vorgehen:<br />
a. Führen Sie die Datei „f001zpz7001us00.exe“ aus, um die Datei „tutess.exe“ aus dem Webpaket zu<br />
extrahieren. Die Datei „tutess.exe“ wird automatisch am folgenden Speicherort extrahiert:<br />
C:\SWTOOLS\APPS\tutorial\TFS5.9.2 Buildxxxx\Tutorial\0409 (wobei xxxx für die Build-ID steht).<br />
b. Doppelklicken Sie auf die Datei „tutess.exe“, um das ThinkVantage Fingerprint Software Tutorial zu<br />
installieren.<br />
5. Installieren Sie die ThinkVantage Fingerprint Console, indem Sie wie folgt vorgehen:<br />
a. Führen Sie die Datei „f001zpz5001us00.exe“ aus, um die Datei „fprconsole.exe“ aus dem Webpaket<br />
zu extrahieren. Die Datei „fprconsole.exe“ wird automatisch am folgenden Speicherort extrahiert:<br />
C:\SWTOOLS\APPS\fpr_con\APPS\UPEK\FPR Console\TFS5.9.2-Buildxxx\Fprconsole (wobei xxxx für die<br />
Build-ID steht).<br />
b. Doppelklicken Sie auf die Datei „fprconsole.exe“, um die ThinkVantage Fingerprint Console zu<br />
installieren.<br />
6. Installieren Sie das Programm „<strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>“ mit der folgenden Syntax:<br />
tvtcss82_xxxxcc.exe /s /v”/qn NOCSSWIZARD=1 SUPERVISORPW="BIOSpw""<br />
7. Starten Sie den Computer erneut und melden Sie sich bei Windows mit einem<br />
Domänenadministratoraccount an. Bereiten Sie das XML-Script für die Implementierung vor.<br />
a. Führen Sie die folgenden Befehle aus:<br />
"C:\Program Files\<strong>Lenovo</strong>\<strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>\css_wizard.exe"<br />
/name:C:\ThinkPad<br />
b. Nehmen Sie im Assistenten eine Konfiguration vor, um eine Übereinstimmung mit dem Beispielscript<br />
zu erzielen, indem Sie wie folgt vorgehen:<br />
1) Klicken Sie auf Secure logon method (Sichere Anmeldemethode) ➙ Next (Weiter).<br />
2) Geben Sie für den Domänenadministratoraccount das Windows-Kennwort ein (z. B. WPW4Admin)<br />
und klicken Sie auf Next (Weiter).<br />
3) Geben Sie den <strong>Client</strong> <strong>Security</strong>-Verschlüsselungstext für den Domänenadministratoraccount ein.<br />
4) Wählen Sie die Option Ignore Password Recovery Setting aus und klicken Sie auf Next<br />
(Weiter).<br />
5) Überprüfen Sie die Zusammenfassung und klicken Sie auf Apply (Übernehmen), um die<br />
XML-Datei am folgenden Speicherort zu speichern:<br />
C:\ThinkPad.xml<br />
6) Klicken Sie auf Finish (Fertig stellen), um den Assistenten zu schließen.<br />
8. Verschlüsseln Sie das XML-Script mithilfe des Tools „xml_crypt_tool.exe“ im Verzeichnis<br />
„C:\Programme\<strong>Lenovo</strong>\<strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>“ mit einem Kennwort: Verwenden Sie dazu an einer<br />
Eingabeaufforderung die folgende Syntax:<br />
xml_crypt_tool.exe C:\ThinkPad.xml /encrypt XMLScriptPW<br />
66 <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> <strong>8.3</strong> <strong>Implementierungshandbuch</strong>
Die Datei heißt jetzt „C:\ThinkPad.xml.enc“ und wird durch das Kennwort XMLScriptPW geschützt.<br />
Auf der Implementierungsmaschine:<br />
1. Installieren Sie die ThinkVantage Fingerprint Software auf der Implementierungsmaschine, indem Sie<br />
wie folgt vorgehen:<br />
a. Implementieren Sie mithilfe des Softwareverteilungstools Ihres Unternehmens die Datei „setup.exe“,<br />
die vom Erstellungscomputer auf den Implementierungscomputer extrahiert wurde.<br />
b. Führen Sie den folgenden Befehl aus:<br />
setup.exe CTLCNTR=0 /q /i<br />
2. Installieren Sie das ThinkVantage Fingerprint Software Tutorial auf der Implementierungsmaschine,<br />
indem Sie wie folgt vorgehen:<br />
a. Implementieren Sie mithilfe des Softwareverteilungstools Ihres Unternehmens die Datei „tutess.exe“,<br />
die vom Erstellungscomputer auf den Implementierungscomputer extrahiert wurde.<br />
b. Führen Sie den folgenden Befehl aus:<br />
tutess.exe /q /i<br />
3. Installieren Sie die ThinkVantage Fingerprint Console auf der Implementierungsmaschine, indem Sie wie<br />
folgt vorgehen:<br />
a. Implementieren Sie mithilfe des Softwareverteilungstools Ihres Unternehmens die Datei<br />
„fprconsole.exe“, die vom Erstellungscomputer auf den Implementierungscomputer extrahiert wurde.<br />
b. Speichern Sie die Datei „fprconsole.exe“ im Verzeichnis C:\Programme\ThinkVantage Fingerprint<br />
Software.<br />
c. Schalten Sie die Unterstützung für die BIOS-Sicherheitsfunktionen beim Einschalten durch Ausführen<br />
des folgenden Befehls aus:<br />
fprconsole.exe settings TBX 0<br />
4. Installieren Sie ThinkVantage <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> auf der Implementierungsmaschine, indem Sie wie<br />
folgt vorgehen:<br />
a. Implementieren Sie mithilfe des Softwareverteilungstools Ihres Unternehmens die Datei<br />
„tvtvcss83_xxxx.exe“ (dabei ist xxxx die Build-ID) auf den Implementierungscomputer.<br />
b. Führen Sie den folgenden Befehl aus:<br />
tvtvcss83_xxxx.exe /s /v"/qn "NOCSSWIZARD=1" "SUPERVISORPW="BIOSpw""<br />
Durch die Installation der Software wird automatisch die Hardware für das TPM (Trusted Platform<br />
Module) aktiviert.<br />
5. Starten Sie den Computer erneut und konfigurieren Sie das System mit der XML-Scriptdatei. Gehen<br />
Sie dabei wie folgt vor:<br />
a. Kopieren Sie die zuvor vorbereitete Datei „ThinkPad.xml.enc“ in das Verzeichnis C:\.<br />
b. Führen Sie den folgenden Befehl aus:<br />
"C:\Program Files\<strong>Lenovo</strong>\<strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>\<br />
vmserver.exe" C:\ThinkPad.xml.enc XMLScriptPW<br />
6. Nach einem Neustart ist das System nun bereit für die <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>-Benutzerregistrierung.<br />
Alle Benutzer können sich mit der zugehörigen Benutzer-ID und dem Windows-Kennwort am System<br />
anmelden. Jeder Benutzer, der sich am System anmeldet, wird automatisch dazu aufgefordert, sich<br />
bei <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> zu registrieren, und kann sich dann beim Lesegerät für Fingerabdrücke<br />
registrieren.<br />
7. Nachdem alle Benutzer für das System in der ThinkVantage Fingerprint Software registriert wurden, kann<br />
die Einstellung für den sicheren Modus aktiviert werden, in dem alle Windows-Benutzer aufgefordert<br />
werden, sich ohne Administratorberechtigung mit ihrem Fingerabdruck anzumelden.<br />
• Führen Sie den folgenden Befehl aus, um die Einstellung für den sicheren Modus zu aktivieren:<br />
"C:\Program Files\ThinkVantage Fingerprint Software\<br />
Kapitel 6. Bewährte Verfahren 67
fprconsole.exe" settings securemode 1<br />
• Führen Sie den folgenden Befehl aus, um die Nachricht zum Drücken der Tastenkombination<br />
Strg+Alt+Entf„“, um sich anzumelden, von der Anmeldeanzeige zu entfernen:<br />
"C:\Program Files\ThinkVantage Fingerprint Software\fprconsole.exe settings"<br />
CAD 0<br />
8. Die Implementierung von <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> <strong>8.3</strong> und ThinkVantage Fingerprint Software ist nun<br />
abgeschlossen.<br />
Zwischen Modi von <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> wechseln<br />
Wenn Sie bei <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> vom komfortablen Modus zum sicheren Modus oder vom sicheren<br />
zum komfortablen Modus wechseln und wenn Sie Sicherungen Ihres Systems mit Hilfe von Rescue and<br />
Recovery erstellen, sollten Sie nach einem Moduswechsel eine Basissicherung durchführen.<br />
Active Directory-Implementierung für Unternehmen<br />
Gehen Sie wie folgt vor, um eine Active Directory-Implementierung für Unternehmen durchzuführen:<br />
1. Führen Sie die Installation über Active Directory oder über LANDesk aus:<br />
a. Erstellen Sie Sicherungen, und rufen Sie über Active Directory und über LANDesk Berichte dazu<br />
ab, von wem und wann die Sicherungen vorgenommen wurden.<br />
b. Ermöglichen Sie es bestimmten Gruppen, Sicherungen vorzunehmen sowie Sicherungen,<br />
Planoptionen und Kennworteinschränkungen zu löschen, und ändern Sie dann die Gruppen, um zu<br />
prüfen, ob die Einstellungen bestehen bleiben.<br />
c. Aktivieren Sie Antidote Delivery Manager über Active Directory. Speichern Sie die Pakete, die<br />
ausgeführt werden sollen, und stellen Sie sicher, dass die Berichterstellung erfasst wird.<br />
Standalone-Installation für CD oder Scriptdateien<br />
Gehen Sie wie folgt vor, um eine Standalone-Installation für eine CD oder eine Scriptdatei durchzuführen:<br />
1. Verwenden Sie eine Batchdatei, um <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>- und Fingerprint-Technologie im Hintergrund<br />
zu installieren.<br />
2. Führen Sie eine unbeaufsichtigte Konfiguration der BIOS-Kennwortwiederherstellung durch.<br />
System Update<br />
Gehen Sie wie folgt vor, um das System zu aktualisieren:<br />
1. Installieren Sie <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> und Fingerprint Software über einen angepassten System<br />
Update-Server und simulieren Sie die Situation, dass ein großes Unternehmen einen Server konfiguriert,<br />
anstatt die Installation über den <strong>Lenovo</strong> Server vorzunehmen, um eine Inhaltskontrolle zu ermöglichen.<br />
2. Installieren Sie die neuen Versionen über die drei älteren Softwareversionen (Rescue and Recovery<br />
1.0/2.0/3.0, Fingerprint, <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> 5.4–6, FFE). Die Einstellungen sollten beibehalten<br />
werden, wenn die neue Version über die alte Version installiert wird.<br />
System Migration Assistant<br />
System Migration Assistant 6.0 unterstützt die Migration von einem alten System auf das aktuelle Windows<br />
7-System und unterstützt die Migration der Softwareeinstellungen von älteren Versionen von <strong>Client</strong> <strong>Security</strong><br />
<strong>Solution</strong> und Fingerprint Software. Sie können System Migration Assistant 6.0 von der <strong>Lenovo</strong> Website unter<br />
folgender Adresse herunterladen:<br />
http://www.lenovo.com/support<br />
68 <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> <strong>8.3</strong> <strong>Implementierungshandbuch</strong>
Zertifikat unter Verwendung durch Schlüsselerstellung in TPM generieren<br />
Zertifikate können direkt mit dem <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>-CSP generiert werden und die privaten Schlüssel<br />
in den Zertifikaten werden vom TPM generiert und geschützt. Gehen Sie wie folgt vor, um mit dem CSS-CSP<br />
ein Zertifikat anzufordern:<br />
Voraussetzungen:<br />
• Auf der Servermaschine sollte Folgendes installiert sein:<br />
– Mindestens Windows Server 2003 Enterprise<br />
– Active Directory<br />
– Ein Zertifizierungsstellendienst<br />
• Das <strong>Client</strong>system sollte folgende Anforderungen erfüllen:<br />
– TPM aktiviert<br />
– <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> installiert<br />
Zertifikat beim Server anfordern<br />
Schablone für TPM-Benutzer erstellen<br />
Gehen Sie wie folgt vor, um eine Schablone für TPM-Benutzer zu erstellen:<br />
1. Klicken Sie auf Start ➙ Ausführen.<br />
2. Geben Sie mmc ein und klicken Sie auf OK. Das Konsolenfenster wird angezeigt.<br />
3. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen und klicken Sie dann auf Hinzufügen.<br />
Das Fenster „Eigenständiges Snap-In hinzufügen“ wird angezeigt.<br />
4. Doppelklicken Sie in der Snap-in-Liste doppelt auf Zertifizierungsstelle und klicken Sie dann auf<br />
Schließen.<br />
5. Klicken Sie im Fenster „Snap-in hinzufügen/entfernen“ auf OK.<br />
6. Klicken Sie in der Baumstruktur der Konsole auf Certificate Templates (Zertifikatsvorlagen). Alle<br />
Zertifikatsvorlagen werden im linken Teilfenster angezeigt.<br />
7. Klicken Sie auf Action (Aktion) ➙ Duplicate Template (Vorlage kopieren).<br />
8. Geben Sie im Feld Display Name (Anzeigename) den Text TPM User (TPM-Benutzer) ein.<br />
9. Klicken Sie auf die Registerkarte Request Handling (Verarbeitung anfordern) und klicken Sie dort<br />
auf CSPs. Stellen Sie sicher, dass Sie die Option Requests can use any CSP available on the<br />
subject's computers (Anforderungen können jeden CSP, der auf Computern des Benutzers verfügbar<br />
ist, verwenden) auswählen.<br />
10. Klicken Sie auf die Registerkarte Allgemein. Stellen Sie sicher, dass die Option Publish Certificate in<br />
Active Directory (Zertifikat in Active Directory veröffentlichen) ausgewählt ist.<br />
11. Klicken Sie auf die Registerkarte <strong>Security</strong> (Sicherheit) und klicken Sie in der Liste Group or user names<br />
(Gruppen- oder Benutzernamen) auf die Option Authenticated Users (Authentifizierte Benutzer) und<br />
stellen Sie sicher, dass die Option Enroll (Registrieren) in der Option Permissions for Authenticated<br />
Users (Berechtigungen für authentifizierte Benutzer) ausgewählt ist.<br />
Zertifizierungsstelle im Unternehmen konfigurieren<br />
Gehen Sie wie folgt vor, um das TPM-Benutzerzertifikat durch Konfiguration einer Zertifizierungsstelle<br />
im Unternehmen auszugeben:<br />
1. Öffnen Sie die Zertifizierungsstelle.<br />
Kapitel 6. Bewährte Verfahren 69
2. Klicken Sie in der Baumstruktur der Konsole auf Certificate Templates (Zertifikatsvorlagen).<br />
3. Klicken Sie im Menü Action (Aktion) auf New (Neu) ➙ Certificate to Issue (Auszugebendes Zertifikat).<br />
4. Klicken Sie auf TPM und klicken Sie auf OK.<br />
Zertifikat vom <strong>Client</strong> anwenden<br />
Gehen Sie wie folgt vor, um das Zertifikat vom <strong>Client</strong> anzuwenden:<br />
1. Stellen Sie eine Verbindung zum Intranet her, starten Sie den Internet Explorer und geben Sie die<br />
IP-Adresse des Servers an, auf dem der Zertifizierungsstellendienst installiert ist.<br />
2. Geben Sie den Domänenbenutzernamen und das zugehörige Kennwort im Fenster mit der<br />
Eingabeaufforderung ein.<br />
3. Klicken Sie auf die Option Request a certificate (Zertifikat anfordern) unter Select a task (Task<br />
auswählen).<br />
4. Klicken Sie unten auf der Website auf advanced certificate request (erweiterte Zertifikatsanforderung).<br />
5. Ändern Sie auf der Seite „Advanced Certificate Request“ die folgenden Einstellungen:<br />
• Wählen Sie TPM User (TPM-Benutzer) aus der Dropdown-Liste Certificate Template<br />
(Zertifikatsvorlage) aus.<br />
• Wählen Sie den Eintrag ThinkVantage <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> CSP aus der Dropdown-Liste<br />
CSP aus.<br />
• Stellen Sie sicher, dass die Option Mark keys as exportable (Schlüssel als exportierbar<br />
kennzeichnen) nicht ausgewählt ist.<br />
• Klicken Sie auf Submit (Senden) und folgen Sie dem Prozess.<br />
• Klicken Sie auf der Seite „Certificate Issued“ (Zertifikat ausgegeben) auf Install this certificate<br />
(Dieses Zertifikat installieren). Die Seite „Certificate Installed“ (Zertifikat installiert) wird angezeigt.<br />
USB-Tastatur mit Lesegerät für Fingerabdrücke<br />
zusammen mit ThinkPad-Notebook-Computern von 2008<br />
(R400/R500/T400/T500/W500/X200/X301) verwenden<br />
<strong>Lenovo</strong> hat mit zwei Herstellern Verträge abgeschlossen, um die Authentifizierung über Fingerabdruck in<br />
ThinkPad ® -Notebook-Computern und über USB-Tastaturen bereitzustellen. ThinkPad-Notebook-Computer<br />
vor 2008 (z. B. T61) verwenden ThinkVantage-Sensoren für Fingerabdrücke. ThinkPad-Notebook-Computer<br />
ab 2008 (ab T400) verwenden <strong>Lenovo</strong> Sensoren für Fingerabdrücke. Alle <strong>Lenovo</strong> USB-Tastaturen mit<br />
Lesegerät für Fingerabdrücke verwenden ThinkVantage-Sensoren für Fingerabdrücke. Besondere Hinweise<br />
sind für die Verwendung einer Tastatur mit Lesegerät für Fingerabdrücke zusammen mit bestimmten<br />
ThinkPad-Notebookmodellen erforderlich (z. B. ThinkPad T400 zusammen mit einer externen USB-Tastatur).<br />
In diesem Abschnitt werden allgemeine Verwendungsszenarios und Implementierungsstrategien für<br />
die Fingerprint Software, die auf den aktuellen ThinkPad-Notebook-Computermodellen installiert ist,<br />
beschrieben.<br />
Anmerkung:<br />
• <strong>Lenovo</strong> Fingerprint Software Die <strong>Lenovo</strong> Fingerprint Software ist die Software für den AuthenTec-Sensor<br />
für Fingerabdrücke (z. B. den internen Sensor für Fingerabdrücke im Modell T400).<br />
• ThinkVantage Fingerprint Software Die ThinkVantage Fingerprint Software ist die Software für den<br />
UPEK-Sensor für Fingerabdrücke (z. B. den internen Sensor für Fingerabdrücke im Modell T61 und den<br />
Sensor für Fingerabdrücke in allen externen USB-Tastaturen).<br />
70 <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> <strong>8.3</strong> <strong>Implementierungshandbuch</strong>
Windows 7-Anmeldung<br />
Zur Anmeldung beim Betriebssystem „Windows 7“ können Sie jederzeit entweder den AuthenTec-Sensor für<br />
Fingerabdrücke oder den UPEK-Sensor für Fingerabdrücke verwenden.<br />
1. Installieren Sie die <strong>Lenovo</strong> Fingerprint Software ab Version 3.2.0.275.<br />
2. Installieren Sie die ThinkVantage Fingerprint Software ab Version 5.8.2.4824.<br />
3. Starten Sie den Computer neu. Der Assistent zum Registrieren von Fingerabdrücken wird automatisch<br />
gestartet.<br />
4. Verwenden Sie die ThinkVantage Fingerprint Software, um Ihre Fingerabdrücke mit dem externen Sensor<br />
für Fingerabdrücke zu registrieren. Wenn er nicht automatisch gestartet wird, klicken Sie auf Start ➙<br />
Programme (oder Alle Programme) ➙ ThinkVantage ➙ ThinkVantage Fingerprint Software, um<br />
die Registrierung zu starten.<br />
5. Geben Sie bei entsprechender Aufforderung das Windows-Kennwort ein und wählen Sie dann einen<br />
Finger zum Registrieren aus.<br />
6. Befolgen Sie die angezeigten Anweisungen, um den Finger mithilfe des externen Sensors für<br />
Fingerabdrücke zu registrieren.<br />
7. Klicken Sie oben im Fenster auf die Option Settings (Einstellungen).<br />
8. Wählen Sie die Option Use fingerprint scan instead of password when logging into Windows<br />
(Gescannten Fingerabdruck anstelle des Kennworts bei der Windows-Anmeldung verwenden) aus,<br />
klicken Sie auf OK und dann auf Close (Schließen), um das Fenster zu schließen.<br />
9. Starten Sie den Computer erneut und stellen Sie sicher, dass Ihr Fingerabdruck zum Anmelden bei<br />
Windows über den externen Sensor für Fingerabdrücke verwendet werden kann.<br />
10. Verwenden Sie die Software zur Registrierung von Fingerabdrücken, um Ihre Fingerabdrücke mithilfe<br />
des internen Sensors für Fingerabdrücke zu registrieren. Wenn er nicht automatisch gestartet wird,<br />
klicken Sie auf Start ➙ Programme (oder Alle Programme) ➙ ThinkVantage ➙ <strong>Lenovo</strong> Fingerprint<br />
Software, um die Registrierung zu starten.<br />
11. Geben Sie bei entsprechender Aufforderung das Windows-Kennwort ein und wählen Sie dann einen<br />
Finger zum Registrieren aus.<br />
12. Befolgen Sie die angezeigten Anweisungen, um Ihren Fingerabdruck mithilfe des internen Sensors für<br />
Fingerabdrücke zu registrieren.<br />
13. Klicken Sie oben im Fenster auf die Option Settings (Einstellungen).<br />
14. Wählen Sie die Option Use fingerprint scan instead of password when logging into Windows<br />
(Gescannten Fingerabdruck anstelle des Kennworts bei der Windows-Anmeldung verwenden) aus,<br />
klicken Sie auf OK und dann auf Close (Schließen), um das Fenster zu schließen.<br />
15. Starten Sie den Computer erneut und stellen Sie sicher, dass Ihr Fingerabdruck zum Anmelden bei<br />
Windows mit dem internen Sensor für Fingerabdrücke verwendet werden kann.<br />
<strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> und Password Manager<br />
Anders als bei der Windows-Anmeldung funktionieren Authentifizierungsanforderungen von <strong>Client</strong> <strong>Security</strong><br />
<strong>Solution</strong> und Password Manager nur mit dem bevorzugten Sensor für Fingerabdrücke. Wenn z. B. eine<br />
Tastatur mit Lesegerät für Fingerabdrücke angeschlossen wird, ist ihr Sensor für Fingerabdrücke das<br />
bevorzugte Gerät. Wenn keine Tastatur mit Lesegerät für Fingerabdrücke angeschlossen ist, ist der im<br />
ThinkPad integrierte Sensor für Fingerabdrücke das bevorzugte Gerät.<br />
Erstellen Sie zum Ändern des bevorzugten Geräts den folgenden Registrierungseintrag:<br />
[HKLM\Software\<strong>Lenovo</strong>\TVT Common\<strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>]<br />
REG_DWORD "PreferInternalFPSensor" = 1<br />
Kapitel 6. Bewährte Verfahren 71
Tabelle 32. Registrierungsschlüssel<br />
Name (Name) Wert Beschreibung<br />
PreferInternalFPSensor<br />
0 (Standardwert) Gibt an, dass der externe Sensor<br />
für Fingerabdrücke immer dann<br />
bevorzugt wird, wenn eine Tastatur<br />
mit Lesegerät für Fingerabdrücke<br />
angeschlossen ist.<br />
1 Gibt an, dass der interne Sensor für<br />
Fingerabdrücke bevorzugt wird.<br />
Authentifizierung vor dem Starten – Fingerabdruck anstelle der<br />
BIOS-Kennwörter verwenden<br />
Anders als bei der Windows-Anmeldung funktionieren Authentifizierungsanforderungen für BIOS-Kennwörter<br />
nur mit dem Sensor für Fingerabdrücke, wenn das BIOS für die Verwendung konfiguriert ist. Standardmäßig<br />
erkennt das BIOS die Eingaben über die Tastatur mit Lesegerät für Fingerabdrücke, wenn diese<br />
angeschlossen ist. Wenn die Tastatur mit Lesegerät für Fingerabdrücke nicht angeschlossen ist, erkennt das<br />
BIOS die Eingaben über das interne Lesegerät für Fingerabdrücke für die Authentifizierung.<br />
Die BIOS-Einstellung Reader Priority kann so geändert werden, dass die Verwendung des internen Sensors<br />
für Fingerabdrücke erzwungen wird, auch wenn die externe Tastatur mit Lesegerät für Fingerabdrücke<br />
angeschlossen ist. Der Standardwert für Reader Priority lautet External. Die Einstellung kann in Internal<br />
Only geändert werden, um die Verwendung des internen Sensors für Fingerabdrücke zu erzwingen.<br />
Anmerkung: Diese BIOS-Einstellung gilt nur für die Aufforderungen zum Eingeben von Fingerabdrücken<br />
für das BIOS. Sie hat keine Auswirkungen auf die Windows-Anmeldung oder auf Anforderungen für die<br />
Authentifizierung über Fingerabdruck von <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>.<br />
Fingerprint Software für das Aktivieren der Authentifizierung vor dem Starten<br />
konfigurieren<br />
Wenn Sie ein Administrator-, Start- oder Festplattenkennwort im BIOS festgelegt haben, können Sie die<br />
Fingerprint Software für die Authentifizierung verwenden, anstatt diese Kennwörter einzugeben.<br />
<strong>Lenovo</strong> Fingerprint Software – für den internen Sensor für Fingerabdrücke<br />
1. Klicken Sie auf Start ➙ Programme (oder Alle Programme) ➙ ThinkVantage ➙ <strong>Lenovo</strong> Fingerprint<br />
Software, um die <strong>Lenovo</strong> Fingerprint Software zu starten.<br />
2. Ziehen Sie den Finger über das Lesegerät oder geben Sie das Windows-Kennwort ein, wenn Sie dazu<br />
aufgefordert werden.<br />
3. Klicken Sie oben im Fenster auf die Option Settings (Einstellungen).<br />
4. Wählen Sie das Kontrollkästchen Use fingerprint scan instead of power-on and hard drive<br />
passwords (Gescannten Fingerabdruck anstelle des Start- und Festplattenkennworts verwenden) und<br />
das Kontrollkästchen Always show power-on security options (Startsicherheitsoptionen immer<br />
anzeigen) aus.<br />
5. Klicken Sie auf OK, um das Fenster zu schließen.<br />
6. Wählen Sie einen der registrierten Fingerabdrücke aus, um den Fingerabdruck zu aktivieren und die<br />
BIOS-Kennwörter zu ersetzen.<br />
7. Klicken Sie auf Close (Schließen), um das Fenster zu schließen.<br />
ThinkVantage Fingerprint Software – für den externen Sensor für Fingerabdrücke<br />
1. Starten Sie die Fingerprint Software mithilfe einer der folgenden Methoden:<br />
• Klicken Sie auf Start ➙ Programme (oder Alle Programme) ➙ ThinkVantage ➙ ThinkVantage<br />
Fingerprint Software.<br />
72 <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> <strong>8.3</strong> <strong>Implementierungshandbuch</strong>
• Klicken Sie auf das Symbol für die ThinkVantage Fingerprint Software im Fenster „<strong>Lenovo</strong><br />
ThinkVantage Tools“.<br />
2. Ziehen Sie den Finger über das Lesegerät oder geben Sie das Windows-Kennwort ein, wenn Sie dazu<br />
aufgefordert werden.<br />
3. Klicken Sie oben im Fenster auf die Option Settings (Einstellungen).<br />
4. Wählen Sie das Kontrollkästchen Use fingerprint scan instead of power-on and hard drive<br />
passwords (Gescannten Fingerabdruck anstelle des Start- und Festplattenkennworts verwenden) und<br />
das Kontrollkästchen Always show power-on security options (Startsicherheitsoptionen immer<br />
anzeigen) aus.<br />
5. Klicken Sie auf OK, um das Fenster zu schließen.<br />
6. Wählen Sie einen der registrierten Fingerabdrücke aus, um den Fingerabdruck zu aktivieren und die<br />
BIOS-Kennwörter zu ersetzen.<br />
7. Klicken Sie auf Close (Schließen), um das Fenster zu schließen.<br />
Kapitel 6. Bewährte Verfahren 73
74 <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> <strong>8.3</strong> <strong>Implementierungshandbuch</strong>
Anhang A. Hinweise zur Verwendung des <strong>Lenovo</strong> Fingerprint<br />
Keyboard zusammen mit einigen Thinkpad-Notebookmodellen<br />
Das Lesegerät für Fingerabdrücke, das in einigen ThinkPad-Notebookmodellen verwendet wird,<br />
unterscheidet sich vom Lesegerät für Fingerabdrücke, das im <strong>Lenovo</strong> Fingerprint Keyboard integriert ist.<br />
Wenn die Tastatur mit Lesegerät für Fingerabdrücke zusammen mit bestimmten ThinkPad-Notebookmodellen<br />
verwendet wird, sind möglicherweise besondere Hinweise erforderlich.<br />
Weitere Informationen hierzu finden Sie auf der Downloadseite für die Fingerprint Software auf der <strong>Lenovo</strong><br />
Website; dort erhalten Sie eine Liste dieser ThinkPad-Notebookmodelle.<br />
Nur für die Modelle, die für die „<strong>Lenovo</strong> Fingerprint Software“ aufgeführt sind, sind bei der Verwendung<br />
zusammen mit der Tastatur mit Lesegerät für Fingerabdrücke besondere Hinweise erforderlich. Bei allen<br />
anderen ThinkPad-Notebookmodellen, die die „ThinkVantage Fingerprint Software“ verwenden, wird ein<br />
Lesegerät für Fingerabdrücke verwendet, das mit der Tastatur mit Lesegerät für Fingerabdrücke kompatibel<br />
ist, sodass keine besonderen Hinweise erforderlich sind.<br />
Konfiguration und Einrichtung<br />
Mindestens <strong>Lenovo</strong> Fingerprint Software 2.0 muss für die Verwendung zusammen mit dem Lesegerät<br />
für Fingerabdrücke, das im ThinkPad-Notebook verwendet wird, installiert sein. Benutzer müssen ihre<br />
Fingerabdrücke unter Verwendung des integrierten Lesegeräts für Fingerabdrücke mit der <strong>Lenovo</strong> Fingerprint<br />
Software registrieren.<br />
Mindestens ThinkVantage Fingerprint Software 5.8 muss für die Verwendung zusammen mit dem <strong>Lenovo</strong><br />
Fingerprint Keyboard installiert sein. Benutzer müssen ihre Fingerabdrücke auch unter Verwendung der<br />
Tastatur mit Lesegerät für Fingerabdrücke mit der ThinkVantage Fingerprint Software registrieren.<br />
Anmerkung: Fingerabdrücke, die mit einem der beiden Geräte registriert wurden, sind nicht austauschbar<br />
und können nicht mit dem anderen Gerät verwendet werden.<br />
Pre-desktop authentication<br />
Für die Predesktop-Authentifizierung wird entweder das integrierte Lesegerät für Fingerabdrücke oder<br />
die Tastatur mit Lesegerät für Fingerabdrücke verwendet (wodurch das Startkennwort des Systems oder<br />
das Festplattenkennwort durch einen Fingerabdruck ersetzt wird). Das BIOS bestimmt, welche Einheit zu<br />
verwenden ist, wenn das System eingeschaltet wird.<br />
Standardmäßig akzeptiert das BIOS Eingaben nur über die Tastatur mit Lesegerät für Fingerabdrücke,<br />
wenn diese angeschlossen ist. Eingaben über das integrierte Lesegerät für Fingerabdrücke werden für die<br />
Predesktop-Authentifizierung ignoriert, wenn eine Tastatur mit Lesegerät für Fingerabdrücke angeschlossen<br />
ist. Wenn die Tastatur mit Lesegerät für Fingerabdrücke nicht angeschlossen ist, wird das integrierte<br />
Lesegerät für Fingerabdrücke für die Predesktop-Authentifizierung verwendet.<br />
Die BIOS-Einstellung für „Reader Priority“ kann so geändert werden, dass der integrierte Sensor für<br />
Fingerabdrücke verwendet wird. Wenn für „Reader Priority“ die Einstellung „Internal only“ festgelegt ist, kann<br />
der integrierte Sensor für Fingerabdrücke für die Predesktop-Authentifizierung verwendet werden. Eingaben<br />
über die Tastatur mit Lesegerät für Fingerabdrücke werden in diesem Fall ignoriert.<br />
© Copyright <strong>Lenovo</strong> 2008, 2011 75
Windows-Anmeldung<br />
Sowohl das <strong>Lenovo</strong> Fingerprint Keyboard als auch das Lesegerät für Fingerabdrücke des<br />
ThinkPad-Notebook-Computers stellen jeweils eine eigene Schnittstelle für Benutzer für die Anmeldung bei<br />
Windows mit einem registrierten Fingerabdruck bereit.<br />
Wichtig: Bei der Windows-Anmeldung kann es möglicherweise zu Kompatibilitätsproblemen kommen, wenn<br />
die Schnittstellen für die Anmeldung über Fingerabdruck nicht ordnungsgemäß konfiguriert sind.<br />
Wenn der ThinkPad-Notebook-Computer sowohl über das <strong>Lenovo</strong> Fingerprint Keyboard als auch über das<br />
integrierte Lesegerät für Fingerabdrücke verfügt und das Programm „<strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>“ installiert<br />
ist, gibt es zwei Möglichkeiten, sich beim Betriebssystem Windows 7 mithilfe der Authentifizierung über<br />
Fingerabdrücke anzumelden:<br />
• Fingerprint Software-Anmeldeschnittstelle verwenden Es müssen die Anmeldeschnittstellen von <strong>Lenovo</strong><br />
Fingerprint Software und von ThinkVantage Fingerprint Software aktiviert sein. Wenn unter Windows<br />
7 beide Schnittstellen für die Anmeldung über Fingerabdruck aktiviert sind, können Benutzer den<br />
Finger entweder über die Tastatur mit Lesegerät für Fingerabdrücke oder das integrierte Lesegerät für<br />
Fingerabdrücke ziehen, um sich anzumelden.<br />
• <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>-Anmeldeschnittstelle verwenden Die Anmeldeschnittstelle von <strong>Client</strong> <strong>Security</strong><br />
<strong>Solution</strong> kann statt der Fingerprint Software-Anmeldeschnittstellen verwendet werden. Bei Verwendung<br />
der <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>-Anmeldeschnittstelle zur Anmeldung beim Windows-Betriebssystem<br />
mit der Authentifizierung über Fingerabdrücke ist die Fingerprint Software-Anmeldung in den<br />
Einstellungen des jeweiligen Fingerprint Software-Arbeitsbereichs inaktiviert. Die <strong>Client</strong> <strong>Security</strong><br />
<strong>Solution</strong>-Anmeldeschnittstelle ist in der Option zum Verwalten von Sicherheitsrichtlinien im Menü<br />
Erweitert der Anwendung „<strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>“ konfiguriert.<br />
Anmerkungen:<br />
1. Die BIOS-Einstellung „Reader Priority“ gilt in dieser Situation nicht. Wenn beide Geräte verfügbar<br />
sind, können Sie auswählen, welches Gerät für die Anmeldung verwendet werden soll.<br />
2. Nur Versionen ab <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> <strong>8.3</strong> unterstützen diese Funktion. Nähere Informationen<br />
hierzu finden Sie in „Authentifizierung mit <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>“ auf Seite 76.<br />
Authentifizierung mit <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong><br />
Anmerkung: Die folgenden Informationen gelten erst ab <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> <strong>8.3</strong>. Frühere Versionen von<br />
<strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> unterstützen nicht die Verwendung des integrierten Lesegeräts für Fingerabdrücke<br />
zusammen mit der Tastatur mit Lesegerät für Fingerabdrücke.<br />
Wenn eine Aktion in <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> durchgeführt wird, für die eine Authentifizierung über<br />
Fingerabdruck erforderlich ist, wie z. B. das automatische Eingeben eines Kennworts auf einer Website<br />
mit Password Manager, müssen Benutzer bei entsprechender Eingabeaufforderung einen Finger über<br />
die Tastatur mit Lesegerät für Fingerabdrücke ziehen, wenn diese angeschlossen ist. Eingaben über<br />
das integrierte Lesegerät für Fingerabdrücke werden ignoriert, wenn die Tastatur mit Lesegerät für<br />
Fingerabdrücke angeschlossen ist. Wenn die Tastatur mit Lesegerät für Fingerabdrücke nicht angeschlossen<br />
ist, muss der integrierte Sensor für Fingerabdrücke verwendet werden.<br />
Es gibt eine Registrierungseinstellung, mit der erzwungen werden kann, dass Benutzer den integrierten<br />
Sensor für Fingerabdrücke für die Authentifizierung mit <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> verwenden. Wenn dieser<br />
Registrierungseintrag festgelegt ist, muss die Authentifizierung mit <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> über den<br />
integrierten Sensor vorgenommen werden und Eingaben über die Tastatur mit Lesegerät für Fingerabdrücke<br />
werden ignoriert.<br />
Der Registrierungseintrag lautet wie folgt:<br />
76 <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> <strong>8.3</strong> <strong>Implementierungshandbuch</strong>
[HKLM\Software\<strong>Lenovo</strong>\TVT Common\<strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>]<br />
REG_DWORD "PreferInternalFPSensor" = 1<br />
Der Standardwert des obigen Registrierungseintrags ist 0, wenn die Authentifizierung über Fingerabdruck<br />
mit <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> über die Tastatur mit Lesegerät für Fingerabdrücke vorgenommen werden muss,<br />
und Eingaben über das integrierte Lesegerät für Fingerabdrücke werden ignoriert.<br />
Diese Einstellung kann auch über die <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>-Schablonendatei mit den Gruppenrichtlinien<br />
für Active Directory geändert werden.<br />
Anmerkungen:<br />
1. Wenn für die Einstellung für BIOS Reader Priority die Option Internal only festgelegt ist, empfiehlt<br />
es sich, den Registrierungseintrag auf „1“ zu setzen. Hierdurch wird die Authentifizierung mit <strong>Client</strong><br />
<strong>Security</strong> <strong>Solution</strong> aktiviert, um die Einstellung für die BIOS-Predesktop-Authentifizierung zu simulieren.<br />
2. Die BIOS-Einstellung und diese Registrierungseinstellung sind voneinander unabhängig.<br />
Anhang A. Hinweise zur Verwendung des <strong>Lenovo</strong> Fingerprint Keyboard zusammen mit einigen Thinkpad-Notebookmodellen 77
78 <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> <strong>8.3</strong> <strong>Implementierungshandbuch</strong>
Anhang B. Windows-Kennwort nach dem Zurücksetzen mit<br />
<strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> abgleichen<br />
Nach dem Zurücksetzen des Windows-Kennworts fordert <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> Sie kontinuierlich auf, ein<br />
neues Windows-Kennwort anzugeben, zeigt dann aber eine Fehlernachricht an, dass das Kennwort falsch<br />
ist. Die Windows-Sicherheitsfunktion ist so konzipiert, dass die Sicherheitsberechtigungsnachweise beim<br />
Zurücksetzen des Windows-Kennworts ungültig werden. Windows gibt bei jedem Versuch, das Kennwort<br />
zurückzusetzen, eine Warnung aus. Zudem ist nicht nur <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> durch das Zurücksetzen<br />
des Windows-Kennworts betroffen, sondern Sie verlieren auch den Zugriff auf Ihre mit Windows EFS<br />
verschlüsselten Zertifikate und Dateien. Wenn <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> (nach dem Zurücksetzen des<br />
Kennworts) nicht mehr auf Ihre Windows-Sicherheitsberechtigungsnachweise zugreifen kann, fordert<br />
<strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> Sie kontinuierlich auf, das neue Kennwort einzugeben, und zeigt dann eine<br />
Fehlernachricht an, dass das eingegebene Kennwort ungültig ist. <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> funktioniert<br />
nicht, wenn die Windows-Sicherheitsberechtigungsnachweise auf diese Weise ungültig gemacht werden.<br />
Wenn das Windows-Kennwort geändert wurde (Sie werden z. B. aufgefordert, sowohl das alte als auch<br />
das neue Kennwort anzugeben) werden Ihre Sicherheitsberechtigungsnachweise beibehalten und durch<br />
das neue Kennwort geschützt.<br />
Gehen Sie wie folgt vor, um das Kennwort nach dem Zurücksetzen des Windows-Kennworts mit CSS<br />
abzugleichen:<br />
1. Stellen Sie eine Sicherungskopie des Systems vor dem Zurücksetzen des Windows-Kennworts wieder<br />
her.<br />
2. Setzen Sie das Windows-Kennwort auf das ursprüngliche Kennwort zurück. Dadurch sollte der Zugriff<br />
auf die Windows-Sicherheitsberechtigungsnachweise wiederhergestellt werden.<br />
3. Erstellen Sie ein neues Windows-Benutzerkonto und verwenden Sie dieses anstelle des ursprünglichen<br />
Kontos mit den beschädigten Berechtigungsnachweisen.<br />
4. Gehen Sie wie folgt vor, um das System wiederherzustellen:<br />
a. Starten Sie Password Manager.<br />
b. Klicken Sie auf Import/Export und wählen Sie die Option Export entry list (Eintragsliste exportieren)<br />
aus.<br />
c. Geben Sie eine Position zum Speichern der Datei und einen Dateinamen ein.<br />
d. Geben Sie ein Kennwort für die Datei mit den Einträgen ein.<br />
e. Schließen Sie Password Manager.<br />
f. Starten Sie <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>.<br />
g. Klicken Sie auf Advanced (Erweitert) ➙ Reset security settings (Sicherheitseinstellungen<br />
zurücksetzen).<br />
h. Geben Sie bei entsprechender Eingabeaufforderung das neue Windows-Kennwort ein.<br />
i. <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> fordert Sie zum erneuten Starten des Systems auf.<br />
j. Starten Sie nach dem Systemwiederanlauf Password Manager.<br />
k. Klicken Sie auf Import/Export und wählen Sie die Option Import entry list (Eintragsliste importieren)<br />
aus.<br />
l. Blättern Sie zur zuvor gespeicherten Datei.<br />
m. Geben Sie bei entsprechender Eingabeaufforderung das Kennwort ein.<br />
© Copyright <strong>Lenovo</strong> 2008, 2011 79
80 <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> <strong>8.3</strong> <strong>Implementierungshandbuch</strong>
Anhang C. <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> auf einem erneut<br />
installierten Windows-Betriebssystem verwenden<br />
Wenn Ihr Windows-Betriebssystem, das mit <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> installiert ist, erneut installiert wurde,<br />
müssen Sie die Installationsdaten von <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> löschen und <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> erneut<br />
installieren, um <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> unter dem neu installierten Windows-Betriebssystem zu verwenden.<br />
Ein bewährtes Verfahren ist das folgende:<br />
1. Deinstallieren Sie <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> von dem aktuellen Windows-Betriebssystem.<br />
2. Starten Sie den Computer neu.<br />
3. Löschen Sie in der Registrierungsdatenbank die folgenden Daten:<br />
• [HKEY_LOCAL_MACHINE\SOFTWARE\<strong>Lenovo</strong>\TVT Common\<strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>]<br />
• [HKEY_LOCAL_MACHINE\SOFTWARE\<strong>Lenovo</strong>\<strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>]<br />
• [HKEY_LOCAL_MACHINE\SOFTWARE\<strong>Lenovo</strong>\Logs]<br />
• [HKEY_LOCAL_MACHINE\SOFTWARE\IBM\<strong>Security</strong>\Debug]<br />
4. Löschen Sie die zu <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> zugehörigen Daten auf der C-Partition. Es wird empfohlen,<br />
die Daten auf der gesamten C-Partition mit der Option zu suchen, alle verdeckten Dateien im Fenster<br />
zu den Dateioptionen anzuzeigen. Das Ergebnis finden Sie an den folgenden Positionen, ist jedoch<br />
nicht darauf begrenzt:<br />
• C:\Users\All Users\AppData\Roaming\<strong>Client</strong> <strong>Security</strong> <strong>Solution</strong><br />
• C:\Users\%USER%\AppData\Roaming\<strong>Client</strong> <strong>Security</strong> <strong>Solution</strong><br />
5. Löschen Sie den Sicherheitschip im BIOS-Konfigurationsdienstprogramm und aktivieren Sie den<br />
Sicherheitschip, indem Sie wie folgt vorgehen:<br />
a. Fahren Sie den Computer herunter.<br />
b. Schalten Sie den Computer ein und drücken Sie die Taste F1, um das<br />
BIOS-Konfigurationsdienstprogramm zu öffnen.<br />
c. Wählen Sie <strong>Security</strong> aus.<br />
d. Drücken Sie die Eingabetaste und wählen Sie Clear <strong>Security</strong> Chipaus.<br />
e. Drücken Sie die Eingabetaste und wählen Sie Yes aus, um Verschlüsselungsschlüssel zu löschen.<br />
f. Wählen Sie <strong>Security</strong> Chip aus und drücken Sie die Eingabetaste, um Active auszuwählen.<br />
Anmerkung: Wenn Sie <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> nicht in den Hardware-TPM-Modus versetzen<br />
möchten, legen Sie für den Sicherheitschip die Option Disabled fest.<br />
6. Starten Sie den Computer erneut und installieren Sie erneut das Programm „<strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>“.<br />
Anmerkung: Wenn Sie den Installationsmodus des Programs „<strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>“ von<br />
Softwareemulationsmodus in TPM-basierten Hardwaremodus ändern oder wenn Sie den Sicherheitschip<br />
gelöscht haben, versucht <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> vorhandene Daten wiederherzustellen, wenn es die<br />
TPM-Änderung feststellt. Der Versuch wird fehlschlagen, da die verschlüsselten Daten nicht von den neuen<br />
TPM-Daten entschlüsselt werden können. In diesem Fall tritt beim Starten von <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> ein<br />
Fehler auf.<br />
© Copyright <strong>Lenovo</strong> 2008, 2011 81
82 <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> <strong>8.3</strong> <strong>Implementierungshandbuch</strong>
Anhang D. TPM auf ThinkPad-Notebook-Computern<br />
verwenden<br />
Der Hauptnutzungsfall für das TPM ist die BitLocker-Funktion, die in bestimmten Versionen von Microsoft<br />
Windows Vista und Windows 7 enthalten ist. Dieser Anhang bietet Antworten auf die folgenden häufig<br />
gestellten Fragen beim Bereitstellen von BitLocker in Windows-Umgebungen.<br />
• „Wie wird BitLocker remote bereitgestellt?“ auf Seite 83<br />
• „Wie funktioniert die TPM-Sperrung?“ auf Seite 84<br />
Wie wird BitLocker remote bereitgestellt?<br />
Bei der Verwendung der standardmäßigen Windows-Tools zum Aktivieren des TPM wie der Datei<br />
„manage-bde.exe“ oder der TPM-Systemsteuerung muss der Computer vollständig heruntergefahren<br />
werden. Wenn Sie den Computer dann erneut einschalten, müssen Sie eine Taste drücken, um die Aktion<br />
zu bestätigen. Bei dieser Art der Interaktion ist es unmöglich, BitLocker remote und unbeaufsichtigt<br />
bereitzustellen.<br />
Es gibt zwei verschiedene Statustypen in Bezug auf das TPM: „Enabled“ (Eingeschaltet) und „Activated“<br />
(Aktiviert). Ein eingeschaltetes TPM ist nicht unbedingt aktiviert, genau wie ein aktiviertes TPM nicht<br />
unbedingt eingeschaltet ist. Das TPM muss vor der Verwendung von BitLocker eingeschaltet und aktiviert<br />
sein. ThinkPad-Notebook-Computer werden immer mit einem TPM im eingeschalteten und deaktivierten<br />
Status ausgeliefert. Daher müssen Sie den TPM-Status als aktiviert festlegen, um BitLocker erfolgreich<br />
bereitzustellen.<br />
Seit 2008 wird auf ThinkPad-Notebook-Computern Windows Management Instrumentation (WMI)<br />
bereitgestellt, um beliebige BIOS-Einstellungen (einschließlich des aktivierten Status des TPM) zu ändern.<br />
WMI kann remote gescriptet und ausgeführt werden und erfordert keine persönliche Interaktion am<br />
Computer.<br />
Gehen Sie wie folgt vor, um die BIOS-Einstellung zu ändern:<br />
1. Rufen Sie die folgende Website auf:<br />
http://support.lenovo.com/en_US/detail.page?LegacyDocID=MIGR-68488<br />
2. Klicken Sie auf Sample Scripts for BIOS Deployment Guide (Beispiel-Scripts für<br />
BIOS-Bereitstellungshandbuch), um die Datei „script.zip“ herunterzuladen. Extrahieren Sie dann die<br />
ZIP-Datei.<br />
3. Geben Sie im Befehlszeilenfenster cscript.exe SetConfig.vbs <strong>Security</strong>Chip Active ein, um die Datei<br />
„SetConfig.vbs“ auszuführen. Wenn Sie ein BIOS-Administratorkennwort verwenden, geben Sie<br />
cscript.exe SetConfigPassword.vbs <strong>Security</strong>Chip Active in das Befehlszeilenfenster ein, um stattdessen<br />
die Datei „SetConfigPassword.vbs“ auszuführen.<br />
4. Starten Sie den Computer zweimal neu. Beim ersten Neustart wird die BIOS-Einstellung geändert und<br />
beim zweiten Neustart wird die BIOS-Einstellung wirksam.<br />
Anmerkung: Bei der oben beschriebenen Vorgehensweise wird das TPM nur auf Computern aktiviert,<br />
auf denn das TPM bereits eingeschaltet ist (z. B. bei Modellen mit Werkseinstellungen). Wenn Sie das<br />
TPM mithilfe der Windows-Tools wie der Datei „manage-bde.exe“ oder der TPM-Systemsteuerung<br />
ausgeschaltet haben, müssen Sie das TPM zunächst mithilfe derselben Methode erneut einschalten, mit<br />
der es ausgeschaltet wurde.<br />
© Copyright <strong>Lenovo</strong> 2008, 2011 83
Wie funktioniert die TPM-Sperrung?<br />
Eine der wichtigsten Sicherheitsfunktionen des TPM besteht im Vermeiden von „Hammering“. Dabei handelt<br />
es sich um den Versuch, TPM-Kennwörter auf automatische Weise zu erraten. Jedes TPM implementiert<br />
eine Anti-Hammering-Methode und wenn ein Angriff erkannt wird, wechselt das TPM in den Sperrmodus.<br />
Das bedeutet, dass weitere Kennwortrateversuche ignoriert werden, bis der Sperrmodus endet. Die Trusted<br />
Computing Group (die Organisation, die das TPM-Verhalten definiert) hat jedoch keinen Standard für die<br />
TPM-Sperre definiert, daher hat jeder TPM-Hersteller seine eigene Implementierung zum Sperren entwickelt.<br />
<strong>Lenovo</strong> hat TPMs von den folgenden vier verschiedenen Herstellern verwendet:<br />
• Atmel-ThinkPad T60/R60/X60/X300, ThinkCentre M57<br />
• Intel-ThinkPad T500/R500/X200/X301<br />
• ST Micro-ThinkPad T410/T510/X201/T420/T520/X220, ThinkCentre M90<br />
• Winbond-ThinkCentre M58<br />
Diese TPMs weisen verschiedene Charakteristiken auf, wenn Sie in den Sperrmodus wechseln, wie<br />
nachfolgend beschrieben ist:<br />
Atmel TPM:<br />
• Keine Sperrung bei den ersten 15 falschen Kennwortversuchen.<br />
• Der 16. falsche Kennwortversuch führt zu einem Sperrzeitraum von 1,1 Minuten.<br />
• Dann erfolgt während der nächsten 15 falschen Kennwortversuche keine Sperrung.<br />
• Der nächste Sperrzeitraum dauert 2,2 Minuten.<br />
• Jeder Sperrzeitraum verdoppelt sich nach jeweils 15 falschen Kennwortversuchen bis zu einem<br />
maximalen Sperrzeitraum von 4,7 Stunden.<br />
• Die Sperre wird zurückgesetzt, wenn der Computer ausgeschaltet wird.<br />
Intel TPM:<br />
• Keine Sperrung bei den ersten 100 falschen Kennwortversuchen.<br />
• Der 101. falsche Kennwortversuch führt zu einem Sperrzeitraum von 16 Sekunden.<br />
• Jeder nachfolgende falsche Kennwortversuch führt zu einem doppelt so langen Sperrzeitraum wie der<br />
vorherige Sperrzeitraum und es gibt keinen maximalen Sperrzeitraum.<br />
• Der Zähler für falsche Kennwörter verringert sich jede Stunde um 1, bis er 0 erreicht.<br />
ST Micro TPM:<br />
• Keine Sperrung bei den ersten 40 falschen Kennwortversuchen.<br />
• Der 41. falsche Kennwortversuch führt zu einem Sperrzeitraum von drei Sekunden.<br />
• Jeder nachfolgende falsche Kennwortversuch führt zu einem doppelt so langen Sperrzeitraum wie der<br />
vorherige Sperrzeitraum und der maximale Sperrzeitraum lautet zwei Stunden.<br />
Winbond TPM:<br />
• Der erste falsche Kennwortversuch führt zu einem Sperrzeitraum von 0,25 Sekunden.<br />
• Jeder nachfolgende falsche Kennwortversuch führt zu einem doppelt so langen Sperrzeitraum wie der<br />
vorherige Sperrzeitraum und der maximale Sperrzeitraum lautet 14 Stunden.<br />
84 <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> <strong>8.3</strong> <strong>Implementierungshandbuch</strong>
Anmerkung: Bei 13 falschen Kennwortversuchen wird ein Sperrzeitraum von einer Sekunde erreicht.<br />
• Nach 24 Stunden wird der Zähler für falsche Kennwörter auf Null zurückgesetzt.<br />
Anhang D. TPM auf ThinkPad-Notebook-Computern verwenden 85
86 <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> <strong>8.3</strong> <strong>Implementierungshandbuch</strong>
Anhang E. Bemerkungen<br />
Möglicherweise bietet <strong>Lenovo</strong> die in dieser Dokumentation beschriebenen Produkte, Services oder<br />
Funktionen in anderen Ländern nicht an. Informationen über die gegenwärtig im jeweiligen Land verfügbaren<br />
Produkte und Services sind beim <strong>Lenovo</strong> Ansprechpartner erhältlich. Hinweise auf <strong>Lenovo</strong> Lizenzprogramme<br />
oder andere <strong>Lenovo</strong> Produkte bedeuten nicht, dass nur Programme, Produkte oder Services von <strong>Lenovo</strong><br />
verwendet werden können. Anstelle der <strong>Lenovo</strong> Produkte, Programme oder Services können auch andere<br />
ihnen äquivalente Produkte, Programme oder Services verwendet werden, solange diese keine gewerblichen<br />
oder anderen Schutzrechte von <strong>Lenovo</strong> verletzen. Die Verantwortung für den Betrieb der Produkte,<br />
Programme oder Services in Verbindung mit Fremdprodukten und Fremdservices liegt beim Kunden, soweit<br />
solche Verbindungen nicht ausdrücklich von <strong>Lenovo</strong> bestätigt sind.<br />
Für in diesem Handbuch beschriebene Erzeugnisse und Verfahren kann es <strong>Lenovo</strong> Patente oder<br />
Patentanmeldungen geben. Mit der Auslieferung dieser Dokumentation ist keine Lizenzierung dieser Patente<br />
verbunden. Lizenzanfragen sind schriftlich an folgende Adresse zu richten (Anfragen an diese Adresse<br />
müssen auf Englisch formuliert werden):<br />
<strong>Lenovo</strong> (United States), Inc.<br />
1009 Think Place - Building One<br />
Morrisville, NC 27560<br />
U.S.A.<br />
Attention: <strong>Lenovo</strong> Director of Licensing<br />
<strong>Lenovo</strong> stellt die Veröffentlichung ohne Wartung (auf „as-is“-Basis) zur Verfügung und übernimmt keine<br />
Garantie für die Handelsüblichkeit, die Verwendungsfähigkeit für einen bestimmten Zweck und die<br />
Freiheit der Rechte Dritter. Einige Rechtsordnungen erlauben keine Garantieausschlüsse bei bestimmten<br />
Transaktionen, so dass dieser Hinweis möglicherweise nicht zutreffend ist.<br />
Trotz sorgfältiger Bearbeitung können technische Ungenauigkeiten oder Druckfehler in dieser<br />
Veröffentlichung nicht ausgeschlossen werden. Die Angaben in diesem Handbuch werden in regelmäßigen<br />
Zeitabständen aktualisiert. <strong>Lenovo</strong> kann jederzeit Verbesserungen und/oder Änderungen an den in dieser<br />
Veröffentlichung beschriebenen Produkten und/oder Programmen vornehmen.<br />
Die in diesem Dokument beschriebenen Produkte sind nicht zur Verwendung bei Implantationen oder<br />
anderen lebenserhaltenden Anwendungen, bei denen ein Nichtfunktionieren zu Verletzungen oder zum<br />
Tod führen könnte, vorgesehen. Die Informationen in diesem Dokument beeinflussen oder ändern nicht<br />
die <strong>Lenovo</strong> Produktspezifikationen oder Garantien. Keine Passagen in dieser Dokumentation stellen<br />
eine ausdrückliche oder stillschweigende Lizenz oder Anspruchsgrundlage bezüglich der gewerblichen<br />
Schutzrechte von <strong>Lenovo</strong> oder von anderen Firmen dar. Alle Informationen in dieser Dokumentation<br />
beziehen sich auf eine bestimmte Betriebsumgebung und dienen zur Veranschaulichung. In anderen<br />
Betriebsumgebungen werden möglicherweise andere Ergebnisse erzielt.<br />
Werden an <strong>Lenovo</strong> Informationen eingesandt, können diese beliebig verwendet werden, ohne dass eine<br />
Verpflichtung gegenüber dem Einsender entsteht.<br />
Verweise in dieser Veröffentlichung auf Websites anderer Anbieter dienen lediglich als Benutzerinformationen<br />
und stellen keinerlei Billigung des Inhalts dieser Websites dar. Das über diese Websites verfügbare Material<br />
ist nicht Bestandteil des Materials für dieses <strong>Lenovo</strong> Produkt. Die Verwendung dieser Websites geschieht<br />
auf eigene Verantwortung.<br />
Alle in diesem Dokument enthaltenen Leistungsdaten stammen aus einer gesteuerten Umgebung. Die<br />
Ergebnisse, die in anderen Betriebsumgebungen erzielt werden, können daher erheblich von den hier<br />
erzielten Ergebnissen abweichen. Einige Daten stammen möglicherweise von Systemen, deren Entwicklung<br />
© Copyright <strong>Lenovo</strong> 2008, 2011 87
noch nicht abgeschlossen ist. Eine Garantie, dass diese Daten auch in allgemein verfügbaren Systemen<br />
erzielt werden, kann nicht gegeben werden. Darüber hinaus wurden einige Daten unter Umständen durch<br />
Extrapolation berechnet. Die tatsächlichen Ergebnisse können abweichen. Benutzer dieses Dokuments<br />
sollten die entsprechenden Daten in ihrer spezifischen Umgebung prüfen.<br />
Marken<br />
Die folgenden Ausdrücke sind Marken der <strong>Lenovo</strong> Group Limited in den USA und/oder anderen Ländern:<br />
<strong>Lenovo</strong><br />
ThinkCentre<br />
ThinkPad<br />
ThinkVantage<br />
Microsoft, Internet Explorer, Windows Server und Windows sind Marken der Microsoft-Unternehmensgruppe.<br />
Weitere Unternehmens-, Produkt- oder Servicenamen können Marken anderer Hersteller sein.<br />
88 <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> <strong>8.3</strong> <strong>Implementierungshandbuch</strong>
Glossar<br />
Administratorkennwort<br />
(ThinkCentre)/Supervisorkennwort (ThinkPad) zum<br />
Ändern der BIOS-Einstellungen<br />
Mit dem Administratorkennwort/Supervisorkennwort<br />
wird die Möglichkeit zum Ändern der<br />
BIOS-Einstellungen gesteuert. Dies umfasst<br />
das Aktivieren oder Inaktivieren des integrierten<br />
Sicherheitschips und das Löschen des SRK<br />
(Storage Root Key), der im TPM (Trusted Platform<br />
Module) gespeichert ist.<br />
AES (Advanced Encryption Standard) Bei AES handelt es sich um eine<br />
Verschlüsselungstechnik mit symmetrischem<br />
Schlüssel. Seit Oktober 2000 verwendet<br />
die US-Regierung diesen Algorithmus als<br />
Verschlüsselungstechnik, wobei AES die<br />
DES-Verschlüsselung ersetzt hat. AES bietet<br />
höhere Sicherheit gegen Brute-Force-Attacken als<br />
56-Bit-DES-Schlüssel. AES kann ggf. 128-, 192und<br />
256-Bit-Schlüssel verwenden.<br />
Verschlüsselungssysteme Verschlüsselungssysteme können allgemein<br />
klassifiziert werden in die Verschlüsselung<br />
mit symmetrischem Schlüssel, bei der ein<br />
einzelner Schlüssel für die Verschlüsselung und<br />
Entschlüsselung von Daten genutzt wird, und in die<br />
Verschlüsselung mit öffentlichem Schlüssel, bei<br />
der zwei Schlüssel (ein öffentlicher Schlüssel, der<br />
allen bekannt ist, und ein privater Schlüssel, auf<br />
den nur der Besitzer des Schlüsselpaars Zugriff hat)<br />
verwendet werden.<br />
Embedded <strong>Security</strong> Chip „Integrierter Sicherheitschip“ ist ein anderer Name<br />
für das TPM (Trusted Platform Module).<br />
Verschlüsselung mit öffentlichem<br />
Schlüssel/asymmetrischem Schlüssel<br />
Algorithmen mit öffentlichem Schlüssel verwenden<br />
gewöhnlich ein Paar zusammengehöriger Schlüssel.<br />
Dabei handelt es sich um einen geheimen privaten<br />
Schlüssel und einen öffentlichen Schlüssel, der<br />
verbreitet werden kann. Die beiden Schlüssel<br />
eines Paares sollten nicht voneinander abgeleitet<br />
werden können. Der Begriff „Verschlüsselung<br />
mit öffentlichem Schlüssel“ ist von der Idee,<br />
die Informationen zum öffentlichen Schlüssel<br />
allgemein zugänglich zu machen, abgeleitet.<br />
Daneben wird auch der Begriff „Verschlüsselung mit<br />
asymmetrischem Schlüssel“ verwendet, da nicht<br />
alle Parteien über dieselben Informationen verfügen.<br />
In gewisser Weise „verschließt“ ein Schlüssel<br />
ein Schloss (Verschlüsselung), und ein anderer<br />
Schlüssel ist für das „Aufschließen“ des Schlosses<br />
(Entschlüsselung) erforderlich.
Speicher-Rootschlüssel (SRK, Storage Root Key) Beim Speicher-Rootschlüssel (SRK) handelt es sich<br />
um ein öffentliches Schlüsselpaar mit mindestens<br />
2.048 Bit. Er ist ursprünglich leer und wird bei<br />
der Zuordnung des TPM-Eigners erstellt. Dieses<br />
Schlüsselpaar verbleibt immer im integrierten<br />
Sicherheitschip. Es dient zum Verschlüsseln<br />
(Verpacken) von privaten Schlüsseln für das<br />
Speichern außerhalb des TPMs (Trusted Platform<br />
Module) und zum Entschlüsseln der Schlüssel,<br />
wenn diese wieder in das TPM geladen werden. Der<br />
SRK kann von jedem Benutzer mit Zugriff auf das<br />
BIOS gelöscht werden.<br />
Verschlüsselung mit symmetrischem Schlüssel Bei Verschlüsselung mit symmetrischem<br />
Schlüssel wird für die Verschlüsselung und für die<br />
Entschlüsselung von Daten derselbe Schlüssel<br />
verwendet. Verschlüsselungen mit symmetrischem<br />
Schlüssel sind einfacher und schneller. Ihr<br />
größter Nachteil besteht darin, dass die beiden<br />
Parteien einen sicheren Weg finden müssen, den<br />
Schlüssel auszutauschen. Bei Verschlüsselung<br />
mit öffentlichem Schlüssel besteht dieses Problem<br />
nicht, da der öffentliche Schlüssel auf einem nicht<br />
gesicherten Weg verbreitet werden kann und<br />
der private Schlüssel nie übertragen wird. AES<br />
(Advanced Encryption Standard) ist ein Beispiel für<br />
einen symmetrischen Schlüssel.<br />
TPM (Trusted Platform Module) TPMs (Trusted Platform Modules) sind<br />
integrierte Schaltkreise für besondere<br />
Zwecke, die zum Ermöglichen einer strengen<br />
Benutzerauthentifizierung und Maschinenprüfung<br />
in Systeme integriert werden. Der Hauptzweck<br />
von TPMs ist es, den unberechtigten Zugriff<br />
auf vertrauliche und sensible Informationen zu<br />
verhindern. Das TPM ist eine auf Hardware<br />
aufbauende Sicherheitsbasis, die eine Vielzahl von<br />
Verschlüsselungsservices auf einem System zur<br />
Verfügung stellen kann. Ein anderer Name für das<br />
TPM ist „integrierter Sicherheitschip“.