Client Security Solution 8.3 Implementierungshandbuch - Lenovo

Client Security Solution 8.3 

Implementierungshandbuch 

Aktualisiert: Dezember 2011

Anmerkung: Vor Verwendung dieser Informationen und des darin beschriebenen Produkts sollten die 

allgemeinen Hinweise in Anhang E „Bemerkungen“ auf Seite 87 gelesen werden. 

Vierte Ausgabe (Dezember 2011) 

© Copyright Lenovo 2008, 2011. 

HINWEIS ZU EINGESCHRÄNKTEN RECHTEN (LIMITED AND RESTRICTED RIGHTS NOTICE): Werden Daten oder 

Software gemäß einem GSA-Vertrag (General Services Administration) ausgeliefert, unterliegt die Verwendung, 

Vervielfältigung oder Offenlegung den in Vertrag Nr. GS-35F-05925 festgelegten Einschränkungen.

Inhaltsverzeichnis 

Einleitung . . . . . . . . . . . . . . . iii 

Kapitel 1. Übersicht . . . . . . . . . . . 1 

Client Security Solution . . . . . . . . . . . . 1 

Client Security Solution-Verschlüsselungstext . . 2 

Client Security-Kennwortwiederherstellung. . . 2 

Password Manager von Client Security . . . . 2 

Security Advisor . . . . . . . . . . . . . 3 

Assistent zur Übertragung von Zertifikaten . . . 4 

Funktion zum Zurücksetzen von 

Hardwarekennwörtern . . . . . . . . . . . 4 

Unterstützung für Systeme ohne TPM. . . . . 4 

Fingerprint Software . . . . . . . . . . . . . 4 

Kapitel 2. Installation . . . . . . . . . . 7 

Client Security Solution . . . . . . . . . . . . 7 

Installationsvoraussetzungen . . . . . . . . 7 

Angepasste öffentliche Merkmale . . . . . . 7 

TPM-Unterstützung (Trusted Platform 

Module) . . . . . . . . . . . . . . . . 8 

Installationsverfahren und 

Befehlszeilenparameter . . . . . . . . . . 9 

Programm „msiexec.exe“ verwenden . . . . 11 

Öffentliche Standardeigenschaften von 

Windows Installer. . . . . . . . . . . . 13 

Installationsprotokolldatei . . . . . . . . 14 

ThinkVantage Fingerprint Software installieren . . 15 

Unbeaufsichtigte Installation . . . . . . . 15 

Optionen . . . . . . . . . . . . . . . 15 

Lenovo Fingerprint Software installieren . . . . . 18 

Unbeaufsichtigte Installation . . . . . . . 18 

Optionen . . . . . . . . . . . . . . . 18 

Systems Management Server . . . . . . . . . 20 

Kapitel 3. Mit Client Security Solution 

arbeiten . . . . . . . . . . . . . . . . 23 

TPM verwenden . . . . . . . . . . . . . . 23 

TPM (Trusted Platform Module) unter Windows 

7 verwenden. . . . . . . . . . . . . . 23 

Client Security Solution mit Chiffrierschlüsseln 

verwalten . . . . . . . . . . . . . . . . . 24 

Eigentumsrecht übernehmen . . . . . . . 24 

Benutzer registrieren . . . . . . . . . . 25 

Softwareemulation . . . . . . . . . . . 27 

Austausch der Systemplatine . . . . . . . 27 

Schutzdienstprogramm „EFS“ . . . . . . . 29 

XML-Schema verwenden . . . . . . . . . . 30 

Beispiele . . . . . . . . . . . . . . . 31 

RSA SecurID-Token verwenden . . . . . . . . 37 

RSA SecurID-Software-Token installieren . . 37 

Anforderungen . . . . . . . . . . . . . 38 

Smart-Card-Zugriffsoptionen festlegen . . . 38 

RSA SecurID-Software-Token manuell 

installieren . . . . . . . . . . . . . . 38 

Active Directory-Unterstützung . . . . . . 38 

Einstellungen und Richtlinien für die 

Authentifizierung über das Lesegerät für 

Fingerabdrücke . . . . . . . . . . . . . . 39 

Erzwungene Optionen zum Umgehen des 

Fingerabdrucks . . . . . . . . . . . . 39 

Ergebnis der Überprüfung des 

Fingerabdrucks . . . . . . . . . . . . 39 

Befehlszeilentools . . . . . . . . . . . . . 39 

Security Advisor . . . . . . . . . . . . 40 

Installationsassistent für Client Security 

Solution . . . . . . . . . . . . . . . 41 

Tool zur Verschlüsselung und Entschlüsselung 

der Implementierungsdatei . . . . . . . . 42 

Tool zur Verarbeitung der 

Implementierungsdatei. . . . . . . . . . 42 

TPMENABLE.EXE . . . . . . . . . . . 43 

Tool zur Übertragung von Zertifikaten . . . . 43 

TPM aktivieren oder deaktivieren. . . . . . 44 

Active Directory-Unterstützung . . . . . . . . 46 

ADM-Schablonendateien. . . . . . . . . 47 

Einstellungen für Gruppenrichtlinien . . . . 48 

Kapitel 4. Mit ThinkVantage 

Fingerprint Software arbeiten . . . . 53 

Managementkonsolentool . . . . . . . . . . 53 

Benutzerspezifische Befehle . . . . . . . 53 

Befehle für globale Einstellungen. . . . . . 54 

Sicherer Modus und komfortabler Modus . . . . 55 

Sicherer Modus – Administrator . . . . . . 55 

Sicherer Modus - Benutzer mit eingeschränkter 

Berechtigung . . . . . . . . . . . . . 56 

Komfortabler Modus - Administrator . . . . 57 

Komfortabler Modus - Benutzer mit 

eingeschränkter Berechtigung . . . . . . . 57 

Konfigurierbare Einstellungen . . . . . . . 58 

Fingerprint Software und Novell Netware Client . . 59 

Authentifizierung . . . . . . . . . . . . 60 

Dienste für ThinkVantage Fingerprint Software . . 60 

Kapitel 5. Mit Lenovo Fingerprint 

Software arbeiten . . . . . . . . . . . 61 

Managementkonsolentool . . . . . . . . . . 61 

© Copyright Lenovo 2008, 2011 i

Dienste für die Lenovo Fingerprint Software . . . 61 

Active Directory-Unterstützung für Lenovo 

Fingerprint Software . . . . . . . . . . . . 61 

Kapitel 6. Bewährte Verfahren . . . . 63 

Implementierungsbeispiele für die Installation von 

Client Security Solution . . . . . . . . . . . 63 

Szenario 1 . . . . . . . . . . . . . . 63 

Szenario 2 . . . . . . . . . . . . . . 65 

Zwischen Modi von Client Security Solution 

wechseln . . . . . . . . . . . . . . . . . 68 

Active Directory-Implementierung für 

Unternehmen . . . . . . . . . . . . . . . 68 

Standalone-Installation für CD oder 

Scriptdateien . . . . . . . . . . . . . . . 68 

System Update . . . . . . . . . . . . . . 68 

System Migration Assistant. . . . . . . . . . 68 

Zertifikat unter Verwendung durch 

Schlüsselerstellung in TPM generieren . . . . . 69 

Voraussetzungen:. . . . . . . . . . . . 69 

Zertifikat beim Server anfordern . . . . . . 69 

USB-Tastatur mit Lesegerät für 

Fingerabdrücke zusammen mit 

ThinkPad-Notebook-Computern von 2008 

(R400/R500/T400/T500/W500/X200/X301) 

verwenden . . . . . . . . . . . . . . . . 70 

Windows 7-Anmeldung . . . . . . . . . 71 

Client Security Solution und Password 

Manager . . . . . . . . . . . . . . . 71 

Authentifizierung vor dem Starten – 

Fingerabdruck anstelle der BIOS-Kennwörter 

verwenden . . . . . . . . . . . . . . 72 

ii Client Security Solution 8.3 Implementierungshandbuch 

Anhang A. Hinweise zur Verwendung 

des Lenovo Fingerprint 

Keyboard zusammen mit einigen 

Thinkpad-Notebookmodellen. . . . . 75 

Konfiguration und Einrichtung. . . . . . . . . 75 

Pre-desktop authentication. . . . . . . . . . 75 

Windows-Anmeldung . . . . . . . . . . . . 76 

Authentifizierung mit Client Security Solution . . . 76 

Anhang B. Windows-Kennwort nach 

dem Zurücksetzen mit Client Security 

Solution abgleichen . . . . . . . . . . 79 

Anhang C. Client Security Solution 

auf einem erneut installierten 

Windows-Betriebssystem 

verwenden . . . . . . . . . . . . . . 81 

Anhang D. TPM auf 

ThinkPad-Notebook-Computern 

verwenden . . . . . . . . . . . . . . 83 

Wie wird BitLocker remote bereitgestellt? . . . . 83 

Wie funktioniert die TPM-Sperrung? . . . . . . 84 

Anhang E. Bemerkungen . . . . . . . 87 

Marken . . . . . . . . . . . . . . . . . 88 

Glossar . . . . . . . . . . . . . . . . lxxxix

Einleitung 

Die in diesem Handbuch enthaltenen Informationen dienen zur Unterstützung von Lenovo ® Computern, auf 

denen die Programme „ThinkVantage ® Client Security Solution“ und „Fingerprint Software“ installiert sind. 

Das Ziel von Client Security Solution und Fingerprint Software besteht darin, Ihre Systeme durch das Sichern 

von Daten und durch die Abwehr von Sicherheitsangriffen zu schützen. 

Das Implementierungshandbuch zu Client Security Solution enthält die Informationen, die für die Installation 

von Client Security Solution und Fingerprint Software auf einem oder mehreren Computern erforderlich sind. 

Es enthält ebenfalls Anweisungen und Szenarien auf den Verwaltungstools, die angepasst werden können, 

um IT- oder unternehmensinterne Richtlinien zu unterstützen. 

Dieses Handbuch richtet sich an IT-Administratoren bzw. an Personen, die für die Implementierung von 

ThinkVantage Client Security Solution und Fingerprint Software auf Computern in ihren Unternehmen 

verantwortlich sind. Wenn Sie Vorschläge oder Kommentare dazu haben, wenden Sie sich an Ihren 

autorisierten Lenovo Ansprechpartner. Dieses Handbuch wird regelmäßig aktualisiert. Die neueste Version 

finden Sie immer auf der Lenovo Website unter: 

http://www.lenovo.com/support 

Wenn Sie Fragen zur Verwendung der verschiedenen Komponenten der Arbeitsbereiche von Client Security 

Solution und Fingerprint Software haben oder weitere Informationen dazu wünschen, schlagen Sie im 

Onlinehilfesystem und in den Benutzerhandbüchern nach, die im Lieferumfang von Client Security Solution 

und Fingerprint Software enthalten sind. 

© Copyright Lenovo 2008, 2011 iii

iv Client Security Solution 8.3 Implementierungshandbuch

Kapitel 1. Übersicht 

Dieses Kapitel enthält eine Übersicht zu Client Security Solution und zur Fingerprint Software. IT-Spezialisten 

profitieren direkt und indirekt von den im vorliegenden Implementierungshandbuch beschriebenen 

Technologien, weil sie PCs bedienerfreundlicher und unabhängiger machen und leistungsfähige Tools 

bieten, die Implementierungen vereinfachen und erleichtern. ThinkVantage Technologies ermöglichen es 

IT-Spezialisten, weniger Zeit für einzelne Computerfehler zu verwenden und sich mehr auf ihre Kernaufgaben 

zu konzentrieren. 

Client Security Solution 

Die Software „Client Security Solution“ hat vor allem den Zweck, Benutzern dabei zu helfen, den 

Computer als Ressource, vertrauliche Daten auf dem Computer sowie die vom Computer aufgebauten 

Netzverbindungen zu schützen. (Bei Lenovo Systemen, die ein TCG-konformes (TCG - Trusted Computing 

Group) TPM (Trusted Platform Module) enthalten, verwendet die Software „Client Security Solution“ die 

Hardware als Sicherheitsbasis des Systems. Wenn das System keinen integrierten Sicherheitschip enthält, 

verwendet Client Security Solution Chiffrierschlüssel auf Softwarebasis als Sicherheitsbasis des Systems.) 

Client Security Solution 8.3 bietet die folgenden Funktionen: 

• Sichere Benutzerauthentifizierung mit Windows ® -Kennwort oder Client Security 

Solution-Verschlüsselungstext 

Client Security Solution kann so konfiguriert werden, dass ein Windows-Kennwort oder ein Client 

Security Solution-Verschlüsselungstext für die Authentifizierung akzeptiert wird. Das Windows-Kennwort 

ist benutzerfreundlich und über Windows leicht zu verwalten, während der Client Security 

Solution-Verschlüsselungstext zusätzliche Sicherheit bietet. Der Administrator kann auswählen, welche 

Authentifizierungsmethode verwendet wird, und diese Einstellung kann geändert werden, auch wenn 

bereits Benutzer bei Client Security Solution registriert sind. 

• Benutzerauthentifizierung über Fingerabdruck 

Nutzt die integrierte und die über USB angeschlossene Fingerabdrucktechnologie zur Authentifizierung 

von Benutzern für kennwortgeschützte Anwendungen. 

• Mehrfache Benutzerauthentifizierung für die Windows-Anmeldung und verschiedene Vorgänge in 


Festlegung mehrerer Authentifizierungseinheiten (Windows-Kennwort, Client 

Security-Verschlüsselungstext und Fingerabdruck) für verschiedene Sicherheitsoperationen. 

• Kennwortmanagement 

Sichere Verwaltung und Speicherung von kritischen Anmeldedaten, wie z. B. Benutzer-IDs und 

Kennwörtern. 

• Wiederherstellung von Kennwort und Verschlüsselungstext 

Die Wiederherstellung von Kennwort und Verschlüsselungstext ermöglicht es Benutzern, sich bei 

Windows anzumelden und auf ihre Client Security Solution-Berechtigungsnachweise zuzugreifen, auch 

wenn sie das Windows-Kennwort oder den Client Security Solution-Verschlüsselungstext vergessen 

haben, indem sie auf vorkonfigurierte Sicherheitsfragen antworten. 

• Sicherheitseinstellungen überprüfen 

Benutzer erhalten die Möglichkeit, eine ausführliche Liste der Sicherheitseinstellungen für die Workstation 

anzuzeigen und Änderungen vorzunehmen, um festgelegte Standards einzuhalten 

• Übertragung digitaler Zertifikate 

Client Security Solution schützt den privaten Schlüssel von Benutzer- und Maschinenzertifikaten. 

Verwenden Sie Client Security Solution, um den privaten Schlüssel Ihrer bereits vorhandenen Zertifikate 

zu schützen. 

© Copyright Lenovo 2008, 2011 1

• Richtlinienverwaltung für Authentifizierung 

Ein Administrator kann auswählen, welche Einheiten (Windows-Kennwort, Client Security 

Solution-Verschlüsselungstext oder Fingerabdruck) für die Authentifizierung für folgende Aktionen 

erforderlich sind: Windows-Anmeldung, Password Manager- und Zertifikatoperationen. 

Client Security Solution-Verschlüsselungstext 

Der Client Security-Verschlüsselungstext ist eine optionale Funktion der Benutzerauthentifizierung, 

die erhöhte Sicherheit für Client Security Solution-Anwendungen bietet. Der Client Security 

Solution-Verschlüsselungstext muss folgende Bedingungen erfüllen: 

• Er muss aus mindestens acht Zeichen bestehen 

• Er muss mindestens eine Ziffer enthalten 

• Er muss sich von den letzten drei Verschlüsselungstexten unterscheiden 

• Er darf höchstens zwei wiederholte Zeichen enthalten 

• Er darf nicht mit einer Ziffer beginnen 

• Er darf nicht mit einer Ziffer enden 

• Er darf nicht die Benutzer-ID enthalten 

• Er darf nicht geändert werden, wenn der aktuelle Verschlüsselungstext weniger als drei Tage alt ist 

• Er darf nicht drei aufeinanderfolgende Zeichen enthalten, die auch in dem aktuellen Verschlüsselungstext 

enthalten sind, unabhängig von ihrer Position 

• Er darf nicht mit dem Windows-Kennwort übereinstimmen. 

Der Client Security Solution-Verschlüsselungstext ist nur dem betreffenden Benutzer bekannt. Die einzige 

Möglichkeit, einen vergessenen Client Security Solution-Verschlüsselungstext wiederherzustellen, besteht 

darin, die Client Security Solution-Kennwortwiederherstellung zu verwenden. Wenn der Benutzer die 

Antworten auf die Wiederherstellungsfragen vergisst, gibt es keine Möglichkeit mehr, die durch den Client 

Security Solution-Verschlüsselungstext geschützten Daten wiederherzustellen. 

Client Security-Kennwortwiederherstellung 

Diese optionale Funktion ermöglicht es registrierten Benutzern, ein vergessenes Windows-Kennwort oder 

einen vergessenen Client Security Solution-Verschlüsselungstext durch das Beantworten dreier Fragen 

wiederherzustellen. Wenn diese Funktion aktiviert ist, wählen Sie drei Antworten auf zehn vorausgewählte 

Fragen aus. Wenn Sie Ihr Windows-Kennwort oder Ihren Client Security-Verschlüsselungstext 

vergessen, haben Sie die Möglichkeit, diese drei Fragen zu beantworten, um Ihr Kennwort oder Ihren 

Verschlüsselungstext zurückzusetzen. 

Anmerkung: Bei Verwendung des Client Security-Verschlüsselungstextes ist dies die einzige Möglichkeit, 

einen vergessenen Verschlüsselungstext wiederherzustellen. Wenn Sie die Antworten auf die drei Fragen 

vergessen, müssen Sie den Registrierungsassistenten erneut ausführen und verlieren alle zuvor von Client 

Security gesicherten Daten. 

Password Manager von Client Security 

Mit dem Password Manager von Client Security Software können Sie leicht zu vergessende Daten für 

Anwendungen und Websites, wie z. B. Benutzer-IDs, Kennwörter und andere persönliche Daten, verwalten. 

Der Password Manager von Client Security schützt Ihre persönlichen Daten über Client Security Solution, 

sodass der Zugriff auf Ihre Anwendungen und Ihre Websites vollkommen sicher bleiben. Der Password 

Manager von Client Security verringert Ihren Zeit- und Arbeitsaufwand, da Sie sich nur ein Kennwort oder 

einen Verschlüsselungstext merken bzw. nur einmal Ihren Fingerabdruck bereitstellen müssen. 

Der Password Manager von Client Security Software bietet die folgenden Funktionen: 

2 Client Security Solution 8.3 Implementierungshandbuch

• Verschlüsseln aller gespeicherten Daten über die Client Security Solution-Software: 

Verschlüsselt automatisch alle Ihre Daten über Client Security Solution. Ihre kritischen 

Kennwortinformationen werden durch die Verschlüsselungsschlüssel von Client Security Solution 

gesichert. 

• Automatisches Ausfüllen von Benutzer-IDs und Kennwörtern: 

Automatisiert Ihren Anmeldeprozess, wenn Sie auf eine Anwendung oder eine Website zugreifen. Wenn 

Ihre Anmeldedaten in den Password Manager von Client Security eingegeben wurden, kann der Password 

Manager von Client Security automatisch die erforderlichen Felder ausfüllen und an die Website oder an 

die Anwendung übergeben. 

• Bearbeitung von Einträgen über die Schnittstelle des Password Managers von Client Security: 

Sie können die Bearbeitung aller Ihrer Benutzerkontoeinträge und die Konfiguration aller optionalen 

Funktionen über eine einzige benutzerfreundliche Schnittstelle vornehmen. Die Verwaltung Ihrer 

Kennwörter und Ihrer persönlichen Daten erfolgt über diese Schnittstelle schnell und einfach. Die meisten 

eingabebezogenen Änderungen können automatisch vom Password Manager von Client Security erkannt 

werden, sodass der Benutzer die Eingaben sogar mit noch geringerem Aufwand aktualisieren kann. 

• Speichern der Daten ohne zusätzliche Schritte: 

Der Password Manager von Client Security kann automatisch erkennen, wenn kritische Daten an eine 

bestimmte Website oder Anwendung gesendet werden. Wenn eine solche Erkennung stattfindet, fordert 

der Password Manager von Client Security den Benutzer auf, die Daten zu speichern, wodurch der 

Prozess des Speicherns kritischer Daten vereinfacht wird. 

• Speichern aller Daten in einem sicheren Arbeitspuffer: 

Mit dem Password Manager von Client Security kann der Benutzer alle Textdaten in sicheren 

Arbeitspuffern speichern. Die sicheren Arbeitspuffer des Benutzers können mit derselben Sicherheitsstufe 

wie alle anderen Einträge für Websites oder Anwendungen geschützt werden. 

• Exportieren und Importieren von Anmeldedaten: 

Sie können Ihre kritischen persönlichen Daten exportieren, um sie sicher von einem Computer zu einem 

anderen zu übertragen. Wenn Sie Ihre Anmeldedaten aus dem Password Manager von Client Security 

Software exportieren, wird eine kennwortgeschützte Exportdatei erstellt, die auf einem austauschbaren 

Datenträger gespeichert werden kann. Mit dieser Datei können Sie überall auf Ihre persönlichen Daten 

zugreifen oder Ihre Einträge auf einem anderen Computer mit dem Password Manager importieren. 

Anmerkung: Vollständige Importunterstützung ist für Exportdateien für die Versionen 7.0 und 8.x 

von Client Security Solution verfügbar. Für Client Security Solution Version 6.0 ist eingeschränkte 

Unterstützung verfügbar (Anwendungseinträge werden nicht importiert). Versionen von Client Security 

Software bis einschließlich Version 5.4x werden nicht in den Password Manager von Client Security 

Solution Version 8.x importiert. 

Security Advisor 

Mit dem Tool „Security Advisor“ können Sie eine Zusammenfassung der Sicherheitseinstellungen anzeigen, 

die zurzeit auf Ihrem Computer festgelegt sind. Sie können diese Einstellungen verwenden, um Ihren 

aktuellen Sicherheitsstatus anzuzeigen oder um Ihre Systemsicherheit zu verbessern. Die angezeigten 

Kategoriestandardwerte können über die Windows-Registrierungsdatenbank geändert werden. Zu den 

Sicherheitskategorien gehören z. B.: 

• Hardwarekennwörter 

• Windows-Benutzerkennwörter 

• Richtlinie für Windows-Kennwörter 

• Geschützter Bildschirmschoner 

• Gemeinsamer Dateizugriff 

Kapitel 1. Übersicht 3

Assistent zur Übertragung von Zertifikaten 

Der CSS-Assistent zur Übertragung von Zertifikaten führt Sie durch die einzelnen Schritte zur Übertragung 

der Ihren Zertifikaten zugeordneten privaten Schlüssel vom softwarebasierten Microsoft- ® CSP (CSP - 

Cryptographic Service Provider) zum hardwarebasierten CSS-CSP (Client Security Solution CSP). Nach 

dieser Übertragung sind Operationen, bei denen die Zertifikate verwendet werden, sicherer, da die privaten 

Schlüssel durch Client Security Solution geschützt sind. 

Funktion zum Zurücksetzen von Hardwarekennwörtern 

Mit diesem Tool können Sie eine sichere Umgebung einrichten, die unabhängig von Windows ausgeführt 

wird und die Ihnen hilft, ein vergessenes Start- oder Festplattenkennwort zurückzusetzen. Ihre Identität wird 

überprüft, indem Sie eine Reihe von Fragen beantworten, die Sie vorher selbst festlegen. Erstellen Sie diese 

sichere Umgebung möglichst, bevor Sie ein Kennwort vergessen. Sie können ein vergessenes Kennwort erst 

zurücksetzen, wenn diese sichere Umgebung auf Ihrem Festplattenlaufwerk eingerichtet ist und Sie sich 

registriert haben. Dieses Tool steht nur auf ausgewählten Computern zur Verfügung. 

Unterstützung für Systeme ohne TPM 

Client Security Solution 8.3 unterstützt Lenovo Systeme, die über keinen kompatiblen integrierten 

Sicherheitschip verfügen. Diese Unterstützung ermöglicht eine Standardinstallation im gesamten 

Unternehmen zur Erstellung einer konsistenten und sicheren Umgebung. Die Systeme, die über den 

integrierten Sicherheitschip verfügen, sind gegen Angriffe besser geschützt. Bei Systemen ohne den 

integrierten Sicherheitschip verwendet Client Security Solution jedoch Chiffrierschlüssel auf Softwarebasis 

als Sicherheitsbasis des Systems und auch das System kann von einer höheren Sicherheit und einer 

besseren Funktionalität profitieren. 

Fingerprint Software 

Die biometrischen Fingerabdrucktechnologien von Lenovo sollen Kunden helfen, die Kosten für die 

Verwaltung von Kennwörtern zu senken, die Sicherheit ihrer Systeme zu erhöhen und gesetzliche 

Bestimmungen einzuhalten. Die Fingerprint Software ermöglicht die Authentifizierung per Fingerabdruck bei 

PCs und Netzwerken, indem mit Lesegeräten für Fingerabdrücke von Lenovo gearbeitet wird. In Kombination 

mit Client Security Solution 8.3 bietet Fingerprint Software erweiterte Funktionalität. Client Security Solution 

8.3 unterstützt sowohl ThinkVantage Fingerprint Software 5.9.2 als auch Lenovo Fingerprint Software 3.3. 

Diese können für unterschiedliche Maschinentypen verfügbar sein. Sie können die Fingerprint Software von 

der Lenovo Website herunterladen oder weitere Informationen zu Lenovo Fingerabdrucktechnologien finden: 

Fingerprint Software bietet die folgenden Funktionen: 

• Client-Software-Funktionen 

– Ersetzen des Microsoft Windows-Kennworts: 

Ersetzt für einen einfachen, schnellen und sicheren Systemzugriff Ihr Kennwort durch Ihren 

Fingerabdruck. 

– Ersetzen des BIOS-Kennworts (des Startkennworts) und des Kennworts für das 

Festplattenlaufwerk: 

Ersetzt diese Kennwörter durch Ihren Fingerabdruck, wodurch die Sicherheit und der Komfort bei der 

Anmeldung erhöht werden. 

– Authentifizierung über Fingerabdruck vor dem Booten für Verschlüsselung des gesamten 

Laufwerks mit SafeGuard Easy: 

Verwendet die Authentifizierung über Fingerabdruck zum Verschlüsseln des Festplattenlaufwerks vor 

dem Starten von Windows. 


– Zugriff auf das BIOS und auf Windows mit einer einzigen Überprüfung: 

Sie müssen Ihren Fingerabdruck nur ein einziges Mal überprüfen lassen, um Zugriff auf das BIOS und 

auf Windows zu erhalten, und sparen dadurch wertvolle Zeit. 

– Integration in Client Security Solution: 

Gemeinsame Verwendung mit dem Password Manager von Client Security Solution und Nutzung des 

TPMs (Trusted Platform Module). Nach einer Überprüfung des Fingerabdrucks können Benutzer auf 

Websites zugreifen und Anwendungen auswählen. 

• Administratorfunktionen 

– Wechsel zwischen Sicherheitsmodi: 

Ein Administrator kann zwischen einem sicheren und einem komfortableren Modus hin- und 

herschalten, um die Zugriffsberechtigungen von Benutzern mit eingeschränkter Berechtigung zu 

ändern. 

• Sicherheitsfunktionen 

– Softwaresicherheit: 

Zum Schutz von Benutzerschablonen durch eine starke Verschlüsselung, wenn sie in einem System 

gespeichert sind und wenn sie vom Lesegerät zur Software übertragen werden. 

– Hardwaresicherheit: 

Verwenden Sie ein Sicherheitslesegerät mit einem Koprozessor, der Fingerabdruckmuster, 

BIOS-Kennwörter und Verschlüsselungsschlüssel speichert und schützt. 

Kapitel 1. Übersicht 5


Kapitel 2. Installation 

Dieses Kapitel enthält Anweisungen zum Installieren von Client Security Solution und Fingerprint Software. 

Bevor Sie Client Security Solution oder Fingerprint Software installieren, sollten Sie die Architektur der 

betreffenden Anwendung kennen. Dieses Kapitel enthält Informationen zur Architektur der einzelnen 

Anwendungen und weitere Informationen, die Sie vor der Installation der Programme benötigen. 


Das Installationspaket für Client Security Solution wurde mit InstallShield 10.5 Premier als Basic-MSI-Projekt 

entwickelt. InstallShield verwendet Windows Installer zum Installieren von Anwendungen, wodurch 

Administratoren zahlreiche Möglichkeiten erhalten, Installationen anzupassen, wie z. B. durch das Festlegen 

von Eigenschaftswerten über die Befehlszeile. In diesem Kapitel werden Möglichkeiten zum Verwenden 

und Ausführen des Installationspakets für Client Security Solution beschrieben. Lesen Sie zum besseren 

Verständnis zunächst das ganze Kapitel, bevor Sie mit der Installation der Pakete beginnen. 

Anmerkung: Lesen Sie bei der Installation dieser Pakete die Readme-Datei zu Client Security Solution, 

die auf der Lenovo Website verfügbar ist. Die Readme-Datei enthält aktuelle Informationen zu Themen wie 

Softwareversionen, unterstützten Systemen und Systemvoraussetzungen sowie weitere Hinweise, die 

für Sie bei der Installation hilfreich sind. 

Installationsvoraussetzungen 

Die Informationen in diesem Abschnitt enthalten die Systemvoraussetzungen für das Installieren des Client 

Security Solution-Pakets. Rufen Sie die folgende Website auf, um zu prüfen, ob Sie über die neueste 

Softwareversion verfügen: 


Lenovo Computer müssen mindestens die folgenden Voraussetzungen erfüllen, damit Client Security 

Solution installiert werden kann: 

• Betriebssystem: Windows 7 

• Speicher: 256 MB 

– Bei Konfigurationen mit gemeinsam genutztem Speicher muss die BIOS-Einstellung für den maximal 

gemeinsam genutzten Speicher mindestens 8 MB betragen. 

– Bei Konfigurationen mit nicht gemeinsam genutztem Speicher sind 120 MB an nicht gemeinsam 

genutztem Speicher erforderlich. 

• Internet Explorer ® ab Version 5.5 muss installiert sein. 

• 300 MB freier Speicherbereich auf dem Festplattenlaufwerk. 

• VGA-kompatibler Bildschirm, der eine Auflösung von 800 x 600 und 24-Bit-Farbmodus unterstützt. 

• Der Benutzer muss über die entsprechenden Verwaltungsberechtigungen verfügen, um Client Security 

Solution zu installieren. 

Anmerkung: Das Implementieren des Client Security Solution-Installationspakets unter Windows Server ® 

2003 wird nicht unterstützt. Es wird jedoch das Anfordern eines Zertifikats von Windows Server 2003 

unterstützt. Weitere Informationen hierzu finden Sie im Abschnitt „Zertifikat unter Verwendung durch 

Schlüsselerstellung in TPM generieren“ auf Seite 69. 

Angepasste öffentliche Merkmale 

Das Installationspaket für das Programm „Client Security Software“ verfügt über eine Reihe von 

angepassten öffentlichen Merkmalen, die bei der Ausführung der Installation über die Befehlszeile 

festgelegt werden können. Die folgende Tabelle enthält die angepassten öffentlichen Merkmale für das 

Windows-Betriebssystem: 


Tabelle 1. Öffentliche Merkmale 

Eigenschaft Beschreibung 

EMULATIONMODE Gibt an, dass die Installation im Emulationsmodus 

erzwungen wird, auch wenn bereits ein TPM vorhanden ist. 

Geben Sie in der Befehlszeile EMULATIONMODE=1 ein, 

um die Installation im Emulationsmodus vorzunehmen. 

HALTIFTPMDISABLED Wenn sich das TPM im inaktivierten Status befindet und 

die Installation im Befehlszeilenmodus ausgeführt wird, 

lautet die Standardeinstellung für die Installation, dass 

sie im Emulationsmodus fortgesetzt wird. Verwenden 

Sie das Merkmal HALTIFTPMDISABLED=1, wenn die 

Installation im Befehlszeilenmodus ausgeführt wird, um 

die Installation anzuhalten, wenn das TPM inaktiviert ist. 

NOCSSWIZARD Legen Sie in der Befehlszeile „NOCSSWIZARD=1“ 

fest, um zu verhindern, dass das Client Security 

Solution-Dialogfenster für die Registrierung automatisch 

angezeigt wird, nachdem Client Security Solution 

installiert wurde. Dieses Merkmal ist für einen 

Administrator konfiguriert, der Client Security Solution 

installieren, das System jedoch erst später mit Hilfe von 

Scripts konfigurieren möchte. 

CSS_CONFIG_SCRIPT Legen Sie CSS_CONFIG_SCRIPT=„Dateiname“ oder 

„Dateiname_Kennwort“ fest, um eine Konfigurationsdatei 

auszuführen, nachdem ein Benutzer die Installation 

abgeschlossen und einen Neustart durchgeführt hat. 

SUPERVISORPW Legen Sie in der Befehlszeile 

SUPERVISORPW=„Kennwort“ fest, um ein 

Administratorkennwort bereitzustellen, um den Chip 

für die Installation im Befehlszeilenmodus oder in 

einem anderen Modus zu aktivieren. Wenn der Chip 

inaktiviert ist und die Installation im Befehlszeilenmodus 

ausgeführt wird, muss das richtige Administratorkennwort 

eingegeben werden, um den Chip zu aktivieren. 

Andernfalls wird der Chip nicht aktiviert. 

PWMGRMODE Geben Sie in der Befehlszeile PWMGRMODE=1 ein, um 

nur Password Manager zu installieren. 

NOSTARTMENU Geben Sie in der Befehlszeile NOSTARTMENU=1 ein, 

um zu verhindern, dass im Startmenü ein Direktaufruf 

generiert wird. 

CREATESHORTCUT Geben Sie in der Befehlszeile CREATESHORTCUT=1 ein, 

um im Startmenü einen Eintrag hinzuzufügen. 

TPM-Unterstützung (Trusted Platform Module) 

Client Security Solution 8.3 unterstützt den integrierten Sicherheitschip des Computers, das TPM (Trusted 

Platform Module). Wenn Ihr Lenovo Computer ein vom Windows-Betriebssystem unterstütztes TPM enthält, 

verwendet Client Security Solution die mit dem Windows-Betriebssystem integrierten Treiber. 

Für das Aktivieren des TMP ist möglicherweise ein Warmstart erforderlich, da das TPM durch das 

System-BIOS aktiviert wird. Wenn Sie Windows 7 ausführen, werden Sie möglicherweise beim Systemstart 

dazu aufgefordert, die Aktivierung des TPMS zu bestätigen. 

Bevor das TPM irgendwelche Funktionen ausführen kann, muss das Eigentumsrecht initialisiert werden. 

Jedes System erhält einen Client Security Solution-Administrator, der die Client Security Solution-Optionen 


verwaltet. Dieser Adminstrator muss über eine Windows-Administratorberechtigung verfügen. Der 

Administrator kann mit Hilfe von XML-Implementierungsscripts initialisiert werden. 

Nachdem das Eigentumsrecht für das System konfiguriert ist, wird für jeden weiteren Windows-Benutzer, 

der sich am System anmeldet, automatisch der Konfigurationsassistent von Client Security Software 

aufgerufen, damit der Benutzer sich registrieren kann und die entsprechenden Sicherheitsschlüssel und 

Berechtigungsnachweise des Benutzers initialisiert werden. 

Software-Emulation für TPM 

Client Security Solution kann auf bestimmten Systemen ohne das TPM ausgeführt werden. Die Funktionalität 

ist dabei dieselbe, außer dass anstelle von hardwaregeschützten Schlüsseln Schlüssel auf Softwarebasis 

verwendet werden. Die Software kann auch mit einem Schalter installiert werden, der sie zwingt, immer 

Schlüssel auf Softwarebasis anstelle des TPMs zu verwenden. Die Entscheidung, ob dieser Schalter 

verwendet werden soll, muss bei der Installation getroffen werden. Sie kann ohne eine Deinstallation und 

eine erneute Installation der Software nicht rückgängig gemacht werden. 

Die Syntax zum Erzwingen einer Software-Emulation des TPMs lautet wie folgt: 

InstallFile.exe “/v EMULATIONMODE=1” 

Installationsverfahren und Befehlszeilenparameter 

Microsoft Windows Installer stellt verschiedene Verwaltungsfunktionen über Befehlszeilenparameter bereit. 

Windows Installer kann eine administrative Installation einer Anwendung oder eines Produkts in einem 

Netzwerk zur Verwendung durch Arbeitsgruppen oder zur kundenspezifischen Anpassung durchführen. 

Befehlszeilenoptionen, für die ein Parameter erforderlich ist, müssen ohne Leerzeichen zwischen der Option 

und dem zugehörigen Parameter angegeben werden. Beispiele: 

setup.exe /s /v"/qn REBOOT=”R”" 

ist gültig, aber 

setup.exe /s /v "/qn REBOOT=”R”" 

ungültig. 

Anmerkung: Das Standardverhalten bei einer allein ausgeführten Installation (Ausführung der Datei 

„setup.exe“ ohne Parameter) besteht darin, dass der Benutzer nach Abschluss der Installation dazu 

aufgefordert wird, den Computer erneut zu starten. Ein Neustart ist für das ordnungsgemäße Funktionieren 

des Programms erforderlich. Der Neustart kann durch einen Befehlszeilenparameter für eine unbeaufsichtigte 

Installation verzögert werden (eine Beschreibung dazu finden Sie im vorherigen Abschnitt und im Abschnitt 

mit den Beispielen). 

Beim Client Security Solution-Installationspaket entpackt eine administrative Installation die 

Installationsquellendateien an eine angegebene Position. 

Um eine administrative Installation auszuführen, führen Sie das Installationspaket über die Befehlszeile mit 

dem Parameter /a aus: 

setup.exe /a 

Eine administrative Installation stellt einen Assistenten bereit, der den Administrator auffordert, die 

Speicherpositionen zum Entpacken der Installationsdateien anzugeben. In der Standardeinstellung werden 

die Dateien auf Laufwerk C:\ extrahiert. Sie können eine andere Position auf anderen Laufwerken als C:\ 

auswählen (z. B. andere lokale Laufwerke oder zugeordnete Netzlaufwerke). Sie können in diesem Schritt 

auch neue Verzeichnisse erstellen. 

Um eine administrative Installation unbeaufsichtigt auszuführen, können Sie das öffentliche Merkmal 

TARGETDIR in der Befehlszeile festlegen, um die Position für die Extraktion anzugeben: 

Kapitel 2. Installation 9

setup.exe /s /v"/qn TARGETDIR=F:\TVTRR" 

oder 

msiexec.exe /i "Client Security - Password Manager.msi" /qn TARGERDIR=F:\TVTRR 

Anmerkung: Wenn Sie nicht die aktuelle Version von Windows Installer verwenden, wird die Datei 

„setup.exe“ konfiguriert, um die Windows Installer-Steuerkomponente auf die aktuelle Version zu 

aktualisieren. Durch die Aktualisierung der Windows Installer-Steuerkomponente wird eine Aufforderung 

zum Durchführen eines Warmstarts ausgegeben, auch wenn eine administrative Installation mit 

selbstextrahierendem Installationspaket durchgeführt wird. Sie können die Eigenschaft „REBOOT“ 

des Windows Installer verwenden, um in dieser Situation einen Warmstart zu verhindern. Wenn 

Windows Installer in der aktuellen Version vorliegt, versucht die Datei „setup.exe“ nicht, die Windows 

Installer-Steuerkomponente zu aktualisieren. 

Wenn eine administrative Installation abgeschlossen ist, kann der Administrator die Quellendateien 

anpassen, indem er beispielsweise Einstellungen zur Registrierungsdatenbank hinzufügt. 

Die folgenden Parameter und Beschreibungen sind in der Hilfedokumentation für InstallShield Developer 

enthalten. Parameter, die nicht für Basic MSI-Projekte gelten, wurden entfernt. 

Tabelle 2. Parameter 

Parameter Beschreibung 

/a : Administrative Installation Durch den Schalter /a führt setup.exe eine administrative 

Installation aus. Bei einer administrativen Installation 

werden Ihre Datendateien in ein durch den Benutzer 

angegebenes Verzeichnis kopiert (und entpackt), aber es 

werden keine Verknüpfungen erstellt, keine COM-Server 

registriert und kein Protokoll zur Deinstallation erstellt. 

/x : Deinstallationsmodus Durch den Schalter /x deinstalliert setup.exe ein zuvor 

installiertes Produkt. 

/s : Unbeaufsichtigter Modus Durch den Befehl setup.exe /s wird das 

Initialisierungsfenster von setup.exe für ein Basic 

MSI-Installationsprogramm unterdrückt, aber es wird 

keine Antwortdatei gelesen. Bei Basic MSI-Projekten 

werden keine Antwortdateien für unbeaufsichtigte 

Installationen erstellt oder verwendet. Um ein Basic 

MSI-Produkt unbeaufsichtigt auszuführen, führen 

Sie die Befehlszeile setup.exe /s /v/qn aus. (Zur 

Angabe der Werte von öffentlichen Merkmalen für eine 

unbeaufsichtigte Basic MSI-Installation können Sie einen 

Befehl wie z. B. setup.exe /s /v„/qn INSTALLDIR=D:\Ziel“ 

verwenden.) 

/v : Argumente an Msiexec übergeben Das Argument /v wird verwendet, um Befehlszeilenschalter 

und Werte von öffentlichen Merkmalen an msiexec.exe zu 

übergeben. 


Tabelle 2. Parameter (Forts.) 


/L : Sprache bei der Installation Benutzer können den Schalter /L mit der dezimalen 

Sprachen-ID verwenden, um die Sprache anzugeben, 

die in einem mehrsprachigen Installationsprogramm 

verwendet werden soll. Der Befehl, um Deutsch als 

Sprache anzugeben, lautet beispielsweise setup.exe 

/L1031. 

/w : Warten Bei einem Basic MSI-Projekt wird setup.exe durch das 

Argument /w gezwungen, mit dem Beenden bis zum 

Abschluss der Installation zu warten. Wenn Sie die 

Option /w in einer Batchdatei verwenden, sollten Sie dem 

Befehlszeilenparameter von setup.exe möglicherweise 

start /WAIT voranstellen. Ein Beispiel im richtigen Format 

hierzu sieht wie folgt aus: 

start /WAIT setup.exe /w 

Programm „msiexec.exe“ verwenden 

Um nach dem Vornehmen von Anpassungen eine Installation mithilfe der entpackten Quellendatei 

auszuführen, muss der Benutzer das Programm „msiexec.exe“ über die Befehlszeile aufrufen und dabei 

den Namen der entpackten *.MSI-Datei angeben. Das Programm „msiexec.exe“ ist die ausführbare Datei 

des Windows-Installationsprogramms, das verwendet wird, um die Installationspakete zu interpretieren 

und die Produkte auf Zielsystemen zu installieren. 

msiexec /i "C:\WindowsFolder\Profiles\UserName\ 

Personal\MySetups\project name\product configuration\release name\ 

DiskImages\Disk1\product name.msi" 

Anmerkung: Geben Sie den oben angegebenen Befehl in eine einzige Zeile ein, ohne Leerzeichen nach den 

Schrägstrichen. 

In der folgenden Tabelle sind die verfügbaren Befehlszeilenparameter beschrieben, die zusammen mit der 

Datei „msiexec.exe“ verwendet werden können. Zudem enthält sie Verwendungsbeispiele. 

Tabelle 3. Befehlszeilenparameter 


/I Paket oder Produktcode Verwenden Sie zur Installation des Produkts folgendes Format: 

Othello:msiexec /i "C:\WindowsFolder\Profiles\ 

UserName\Personal\MySetups 

\Othello\Trial Version\ 

Release\DiskImages\Disk1\ 

Othello Beta.msi" 

Der Produktcode verweist auf die GUID (Globally Unique Identifier), die im 

Produktcodemerkmal in der Projektansicht für das Produkt automatisch 

generiert wird. 

/a Paket Mit dem Parameter /a können Benutzer mit Administratorrechten ein Produkt 

im Netzwerk installieren. 

/x Paket oder Produktcode Mit dem Parameter /x wird ein Produkt deinstalliert. 


Tabelle 3. Befehlszeilenparameter (Forts.) 


/L [i|w|e|a|r |u|c|m|p|v|+] Protokolldatei Mit dem Parameter /L wird der Pfad zur Protokolldatei angegeben. Die 

folgenden Flags geben an, welche Informationen in der Protokolldatei 

gespeichert werden sollen: 

• i protokolliert Statusnachrichten 

• w protokolliert nicht schwerwiegende Warnungen 

• e protokolliert Fehlernachrichten 

• a protokolliert den Beginn von Aktionsfolgen 

• r protokolliert aktionsspezifische Aufzeichnungen 

• u protokolliert Benutzeranforderungen 

• c protokolliert die Schnittstellenparameter für den Erstbenutzer 

• m protokolliert Nachrichten zur Überschreitung der Speicherkapazität 

• p protokolliert Terminaleinstellungen 

• v protokolliert die Einstellung für ausführliche Ausgabe 

• + wird einer vorhandenen Datei hinzugefügt 

• * ist ein Platzhalterzeichen, mit dem Sie alle Informationen protokollieren 

können (außer der Einstellung für ausführliche Ausgabe) 

/q [n|b|r|f] Mit dem Parameter /q wird die Stufe der Benutzerschnittstelle in Verbindung 

mit den folgenden Flags angegeben: 

• mit q oder qn wird keine Benutzerschnittstelle erstellt 

• mit qb wird eine Basisbenutzerschnittstelle erstellt 

Die folgenden Einstellungen für die Benutzerschnittstelle bewirken die Anzeige 

eines Modaldialogfensters am Ende der Installation: 

• mit qr wird die Benutzerschnittstelle verkleinert angezeigt 

• mit qf wird die Benutzerschnittstelle in Vollgröße angezeigt 

• mit qn+ wird die Benutzerschnittstelle nicht angezeigt 

• mit qb+ wird eine Basisbenutzerschnittstelle angezeigt 

/? oder /h Beide Befehle zeigen den Copyrightvermerk für Windows Installer an. 

TRANSFORMS Mit dem Befehlszeilenparameter TRANSFORMS können Sie Umsetzungen 

angeben, die Sie für Ihr Basispaket anwenden möchten. 

msiexec /i "C:\WindowsFolder\ 

Profiles\UserName\Personal 

\MySetups\ 

Your Project Name\Trial Version\ 

My Release-1 

\DiskImages\Disk1\ 

ProductName.msi" TRANSFORMS="New Transform 1.mst" 

Mehrere Umsetzungen können durch Semikolons voneinander getrennt 

werden. Verwenden Sie keine Semikolons im Namen, den Sie umsetzen, da 

dieser sonst vom Windows Installer-Service falsch interpretiert wird. 

Merkmale Alle öffentlichen Merkmale können über die Befehlszeile festgelegt oder 

geändert werden. Die öffentlichen Merkmale unterscheiden sich von 

den privaten Merkmalen durch die ausschließliche Verwendung von 

Großbuchstaben. FIRMENNAME ist zum Beispiel ein öffentliches Merkmal. 

12 Client Security Solution 8.3 Implementierungshandbuch 

Zum Festlegen eines Merkmals über die Befehlszeile verwenden Sie die 

folgende Syntax: 

PROPERTY=VALUE 

Wenn Sie den Wert von FIRMENNAME ändern möchten, geben Sie Folgendes 

ein: 

msiexec /i "C:\WindowsFolder\ 

Profiles\UserName\Personal\ 

MySetups\Your Project Name\ 

Trial Version\My Release-1\

Tabelle 3. Befehlszeilenparameter (Forts.) 


DiskImages\Disk1\ProductName.msi" 

COMPANYNAME="InstallShield" 

Öffentliche Standardeigenschaften von Windows Installer 

Windows Installer verfügt über eine Reihe von standardmäßig integrierten öffentlichen Eigenschaften, die 

über die Befehlszeile festgelegt werden können, um ein bestimmtes Verhalten bei der Installation anzugeben. 

In der folgenden Tabelle sind die üblichsten öffentlichen Merkmale, die in der Befehlszeile verwendet 

werden, beschrieben. 

Weitere Informationen finden Sie auf der Microsoft-Website unter: 

http://msdn2.microsoft.com/en-us/library/aa367437.aspx 

In der folgenden Tabelle werden die allgemein verwendeten Eigenschaften von Windows Installer angezeigt: 

Tabelle 4. Eigenschaften von Windows Installer 


TARGETDIR Gibt das Stammzielverzeichnis für die Installation an. Bei 

einer administrativen Installation gibt dieses Merkmal die 

Position an, an die das Installationspaket kopiert wird. 

ARPAUTHORIZEDCDFPREFIX Der URL des Aktualisierungskanals der Anwendung. 

ARPCOMMENTS Stellt Kommentare zum Hinzufügen oder Entfernen von 

Programmen in der Systemsteuerung bereit. 

ARPCONTACT Stellt den Kontakt zum Hinzufügen oder Entfernen von 

Programmen in der Systemsteuerung her. 

ARPINSTALLLOCATION Der vollständig qualifizierte Pfad zum Primärordner der 

Anwendung. 

ARPNOMODIFY Inaktiviert die Funktionen, durch die das Produkt geändert 

werden könnte. 

ARPNOREMOVE Inaktiviert die Funktionen, durch die das Produkt entfernt 

werden könnte. 

ARPNOREPAIR Inaktiviert die Schaltfläche zum Reparieren im 

Programmassistenten. 

ARPPRODUCTICON Gibt das primäre Symbol für das Installationspaket an. 

ARPREADME Stellt eine Readme-Datei zum Hinzufügen oder Entfernen 

von Programmen in der Systemsteuerung bereit. 

ARPSIZE Die geschätzte Größe der Anwendung in Kilobytes. 

ARPSYSTEMCOMPONENT Verhindert das Anzeigen von Anwendungen in der Liste 

zum Hinzufügen und Entfernen von Programmen. 

ARPURLINFOABOUT URL der Homepage einer Anwendung. 


Tabelle 4. Eigenschaften von Windows Installer (Forts.) 


ARPURLUPDATEINFO URL für Informationen zur Anwendungsaktualisierung. 

REBOOT Das Merkmal REBOOT unterdrückt bestimmte 

Aufforderungen für einen Neustart des Systems. Ein 

Administrator verwendet dieses Merkmal normalerweise 

bei einer Reihe von gleichzeitigen Installationen 

verschiedener Produkte, bei denen am Ende nur ein 

Neustart durchgeführt wird. Legen Sie REBOOT=„R“ fest, 

um alle Neustarts am Ende der einzelnen Installationen 

zu inaktivieren. 

Installationsprotokolldatei 

Die Installationsprotokolldatei von Client Security Solution heißt „cssinstall83xx.log“ und wird im Verzeichnis 

„%temp%“ erstellt, wenn die Konfiguration über die Datei „setup.exe“ gestartet wird (durch Doppelklicken 

auf die Datei „install.exe“, durch Ausführen der ausführbaren Datei ohne Parameter oder durch Extrahieren 

des MSI-Pakets und Ausführen der Datei „setup.exe“). Diese Datei enthält Protokollnachrichten, die zum 

Beheben von Installationsfehlern verwendet werden können. Die Protokolldatei enthält alle Aktivitäten, 

die vom Applet Hinzufügen/Entfernen in der Systemsteuerung durchgeführt werden. Die Protokolldatei 

wird nicht erstellt, wenn Sie die Datei „setup.exe“ direkt über das MSI-Paket ausführen. Um eine 

Protokolldatei für alle MSI-Aktionen zu erstellen, können Sie die Richtlinie für die Protokollierung in der 

Registrierungsdatenbank aktivieren. Erstellen Sie hierfür den folgenden Wert: 

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] 

"Logging"="voicewarmup" 

Installationsbeispiele 

In der folgenden Tabelle werden Beispiele für Installationen mithilfe der Datei „setup.exe“ aufgeführt. 

Tabelle 5. Beispiele für die Installation mithilfe der Datei „setup.exe“ 

Beschreibung Beispiel 

Unbeaufsichtigte Installation ohne Neustart setup.exe /s /v”/qn REBOOT=”R”” 

Administrative Installation setup.exe /a 

Unbeaufsichtigte administrative Installation, bei der die 

Position zum Entpacken für Client Security Software 

angegeben wird 

setup.exe /a /s /v”/qn TARGETDIR=”F: 

\CSS83”” 

Unbeaufsichtigte Deinstallation setup.exe /s /x /v/qn 

Installation ohne Neustart (mit Erstellung eines 

Installationsprotokolls im temporären Unterverzeichnis für 

Client Security Software.) 

Installation ohne Installation der Predesktop Area setup.exe /vPDA=0 

setup.exe /v”REBOOT=”R” /L*v %temp% 

\cssinstall83.log” 

Die folgende Tabelle enthält Installationsbeispiele für die Verwendung von Client Security - Password 

Manager.msi: 


Tabelle 6. Installationsbeispiele für die Verwendung von Client Security - Password Manager.msi 

Beschreibung Beispiel 

Installation msiexec /i “C:\CSS83\Client Security 

Solution - Password Manager.msi” 

Unbeaufsichtigte Installation 

ohne Neustart 

Unbeaufsichtigte 

Deinstallation 

msiexec /i “C:\CSS83\Client Security 

Solution - Password Manager.msi” /qn REBOOT=”R” 

msiexec /x “C:\CSS83\Client Security 

Solution - Password Manager.msi” /qn 

ThinkVantage Fingerprint Software installieren 

Die Datei „setup.exe“ des Programms „ThinkVantage Fingerprint Software“ kann mithilfe der folgenden 

Methoden installiert werden: 


Um die ThinkVantage Fingerprint Software unbeaufsichtigt zu installieren, führen Sie die Datei „setup.exe“ 

aus, die sich im Installationsverzeichnis des CD-ROM-Laufwerks befindet. 

Verwenden Sie die folgende Syntax: 

Setup.exe PROPERTY=VALUE /q /i 

wobei q für die unbeaufsichtigte Installation und i für die Installation steht. Beispiele: 

setup.exe INSTALLDIR="C:\Program Files\ThinkVantage fingerprint software" /q /i 

Verwenden Sie zum Deinstallieren der Software den Parameter /x statt /i: 

setup.exe INSTALLDIR="C:\Program Files\ThinkVantage fingerprint software" /q /x 

Optionen 

Die folgenden Parameter werden von der ThinkVantage Fingerprint Software unterstützt. 

Tabelle 7. Von der ThinkVantage Fingerprint Software unterstützte Optionen 


CTRLONCE Zeigt die Steuerzentrale (Control Center) nur einmal an. 

Der Standardwert ist 0. 

CTLCNTR • 0 = Steuerzentrale (Control Center) beim Starten nicht 

anzeigen. 

• 1 = Steuerzentrale (Control Center) beim Starten 

anzeigen. 


DEFFUS • 0 = Einstellungen für schnelle Benutzerumschaltung 

(FUS, Fast User Switching) nicht verwenden. 

• 1 = Einstellungen für schnelle Benutzerumschaltung 

(FUS, Fast User Switching) verwenden. 



Tabelle 7. Von der ThinkVantage Fingerprint Software unterstützte Optionen (Forts.) 


DEVICEBIO Konfiguriert den Einheitentyp, der vom Benutzer 

verwendet wird. 

• DEVICEBIO=#3 - Einheitensensor verwenden, um die 

erste Registrierung zu speichern. 

• DEVICEBIO=#0 - Festplattenlaufwerk verwenden, um 

die Registrierung zu speichern. 

• DEVICEBIO=#1 - Zusatzchip verwenden, um die 

Registrierung zu speichern. 

INSTALLDIR Installationsverzeichnis festlegen. 

OEM • 0 = Mit Unterstützung für 

Serverberechtigungsnachweise oder 

Serverauthentifizierung installieren. 

• 1 = Nur Modus für Standalone-Computer mit lokalen 

Berechtigungsnachweisen installieren. 


PASSPORT Standardtyp des Berechtigungsnachweises festlegen. 

• 1 = Lokaler Berechtigungsnachweis 

• 2 = Serverberechtigungsnachweis 


POSSSO • 1 = „Single Sign-on“ aktivieren. 

• 0 = „Single Sign-on“ inaktivieren. 


PSLOGON • 0 = Anmeldung über Fingerabdruck inaktivieren. 

• 1 = Anmeldung über Fingerabdruck aktivieren. 


REBOOT Unterdrückt alle Neustarts einschließlich der 

Aufforderungen während der Installation, wenn Really 

Suppress festgelegt wird. 

SECURITY • 1 = Im sicheren Modus installieren. 

• 0 = Im komfortablen Modus installieren. 

SHORTCUT • 0 = Verknüpfung zu Steuerzentrale (Control Center) 

beim Starten nicht anzeigen. 

• 1 = Anzeige der Verknüpfung zu Steuerzentrale (Control 

Center) beim Starten aktivieren. 


SHORTCUTFOLDER Standardnamen des Verknüpfungsordners im Start-Menü 

festlegen. 

Benutzerberechtigungen des Benutzers ohne Administratorberechtigung 

DELETESELF • 1 = Löschen des Fingerabdrucks aktivieren. 


• 0 = Löschen des Fingerabdrucks inaktivieren. 

Der Standardwert ist 1.



ENROLLSELF • 1 = Registrierung über Fingerabdruck aktivieren. 

• 0 = Registrierung über Fingerabdruck inaktivieren. 


ENROLLTBX • 1 = Auswahl des Fingerabdrucks für den Start 

aktivieren. 

• 0 = Auswahl des Fingerabdrucks für den Start 

inaktivieren. 


IMPORTSELF • 1 = Importieren/Exportieren von Fingerabdrücken für 

Benutzer ohne Administratorberechtigung aktivieren. 

• 0 = Importieren/Exportieren von Fingerabdrücken für 

Benutzer ohne Administratorberechtigung inaktivieren. 


REVEALPWD • 1 = Wiederherstellung des Windows-Kennworts 

aktivieren. 

Anti-Hammering-Schutz (Lockout-Einstellungen) 

• 0 = Wiederherstellung des Windows-Kennworts 

inaktivieren. 


LOCKOUT • 1 = Anti-Hammering-Schutz aktivieren. 

• 0 = Anti-Hammering-Schutz inaktivieren. 


LOCKOUTCOUNT Maximale Wiederholungsanzahl. Der Standardwert ist 5 

und Sie können einen beliebigen Wert verwenden. 

LOCKOUTTIME Zeitlimit in Millisekunden. Der Standardwert ist 120.000 

und Sie können einen beliebigen Wert bis zu 360.000 

verwenden. 

Zeitlimit für Authentifizierung (Inaktivitätseinstellungen) 

GUITMENABLE • 1 = Zeitlimit für Authentifizierung in Millisekunden 

aktivieren. 

• 0 = Zeitlimit für Authentifizierung in Millisekunden 

inaktivieren. 


GUITMTIME Dauer der Zeitlimitüberschreitung für Authentifizierung. 

Der Standardwert ist 120.000 und Sie können einen 

beliebigen Wert bis zu 360.000 verwenden. 

PWDLOGON • 1 = Ausschließliche Anmeldung über Fingerabdruck für 


• 0 = Ausschließliche Anmeldung über Fingerabdruck für 






NOPOPPAPCHECK • 0 = Startsicherheitsoptionen nicht anzeigen. 

• 1 = Startsicherheitsoptionen immer anzeigen. 


CSS • 0 = Voraussetzen, dass Client Security Solution nicht 

installiert wurde. 

Anmerkung: Alle Optionen sind optional. 

• 1 = Voraussetzen, dass Client Security Solution 



Verwenden Sie zum Deinstallieren der Fingerprint Software den Parameter /x statt /i. Während der 

standardmäßigen Deinstallation über die Benutzerschnittstelle werden Dialogfenster angezeigt, um 

auszuwählen, ob vorhandene Berechtigungsnachweise gelöscht und die Sicherheitsfunktion für den 

Bootvorgang inaktiviert werden sollen. Im unbeaufsichtigten Deinstallationsmodus können Sie den 

Parameter „DELPAS“ verwenden. Legen Sie für „DELPAS“ den Wert „1“ fest, um bereits vorhandene 

Berechtigungsnachweise zu löschen. Wenn diese Optionen nicht definiert sind oder einen anderen 

Wert haben, bleiben Berechtigungsnachweise auf dem Computer erhalten und die Bootsicherheit bleibt 

aktiviert. Wenn Sie die Bootsicherheit aktiviert lassen, können Sie keine Fingerabdrücke im Speicher der 

Bootsicherheit bearbeiten, bevor Sie nicht das Produkt erneut installieren. Beispielsweise würde das 

Ausführen der Syntax 

msiexec /i Setup.msi DELPAS="1" /q 

würde das Produkt deinstallieren, alle bereits vorhandenen Berechtigungsnachweise löschen und die 

Bootsicherheit auf dem Computer aktiviert lassen. 

Lenovo Fingerprint Software installieren 

Die Datei „setup32.exe“ des Programms „Lenovo Fingerprint Software“ kann mithilfe der folgenden Prozedur 

installiert werden. 


Um die Fingerprint Software unbeaufsichtigt zu installieren, führen Sie die Datei „setup32.exe“ aus, die sich 

auf der CD-ROM im Installationsverzeichnis befindet. 

Verwenden Sie die folgende Syntax: 

setup32.exe /s /v"/qn REBOOT ="R"" 

Verwenden Sie zum Deinstallieren der Software die folgende Syntax: 

setup32.exe /x /s /v"/qn REBOOT="R"" 

Optionen 

Die folgenden Parameter werden von der Lenovo Fingerprint Software unterstützt. 


Tabelle 8. Von der Lenovo Fingerprint Software unterstützte Optionen 


SHORTCUT Zeigt die Verknüpfung zur Steuerzentrale (Control Center) 

im Start-Menü an. 

• 0 = Verknüpfung zu Steuerzentrale (Control Center) 

nicht anzeigen. 

• 1 = Verknüpfung zu Steuerzentrale (Control Center) 

anzeigen. 


SWAUTOSTART • 0 = Fingerprint Software nicht beim Starten starten. 

• 1 = Fingerprint Software beim Starten starten. 


SWFPLOGON • 0 = Anmeldung über Fingerabdruck (GINA oder 

Bereitsteller von Berechtigungsnachweis) nicht 

verwenden. 

• 1 = Anmeldung über Fingerabdruck (GINA oder 

Bereitsteller von Berechtigungsnachweis) verwenden. 


SWPOPP • 0 = Schutz durch Startkennwort inaktivieren. 

• 1 = Schutz durch Startkennwort aktivieren. 


SWSSO • 0 = Funktion „Single Sign-on“ inaktivieren. 

• 1 = Funktion „Single Sign-on“ aktivieren. 


SWALLOWENROLL • 0 = Registrierung über Fingerabdruck für Benutzer 

ohne Administratorberechtigung inaktivieren. 

• 1 = Registrierung über Fingerabdruck für Benutzer 

ohne Administratorberechtigung aktivieren. 


SWALLOWDELETE • 0 = Löschen des Fingerabdrucks für Benutzer ohne 

Administratorberechtigung inaktivieren. 

• 1 = Löschen des Fingerabdrucks für Benutzer ohne 

Administratorberechtigung aktivieren. 


SWALLOWIMEXPORT • 0 = Importieren/Exportieren von Fingerabdrücken für 


• 1 = Importieren/Exportieren von Fingerabdrücken für 



SWALLOWSELECT • 0 = Auswahl der Verwendung des Fingerabdrucks 

anstelle des Startkennworts für Benutzer ohne 

Administratorberechtigung inaktivieren. 

• 1 = Auswahl der Verwendung des Fingerabdrucks 

anstelle des Startkennworts für Benutzer ohne 

Administratorberechtigung aktivieren. 



Tabelle 8. Von der Lenovo Fingerprint Software unterstützte Optionen (Forts.) 


SWALLOWPWRECOVERY • 0 = Wiederherstellung des Windows-Kennworts 

inaktivieren. 

• 1 = Wiederherstellung des Windows-Kennworts 

aktivieren. 


SWANTIHAMMER • 0 = Anti-Hammering-Schutz inaktivieren. 

• 1 = Anti-Hammering-Schutz aktivieren. 


SWANTIHAMMERRETRIES Gibt die maximale Wiederholungsanzahl an. Der 

Standardwert ist 5. 

Anmerkung: Diese Einstellung funktioniert nur, wenn 

SWANTIHAMMER aktiviert ist. 

SWANTIHAMMERTIMEOUT Gibt die Dauer der Zeitlimitüberschreitung in Sekunden 

an. Der Standardwert ist 120. 


SWANTIHAMMER aktiviert ist. 

SWAUTHTIMEOUT • 0 = Zeitlimit für Authentifizierung inaktivieren. 

• 1 = Zeitlimit für Authentifizierung aktivieren. 


SWAUTHTIMEOUTVALUE Gibt den Inaktivitätszeitraum vor dem Zeitlimit für die 

Authentifizierung in Sekunden an. Der Standardwert ist 

120. 


SWAUTHTIMEOUT aktiviert ist. 

SWNONADMIFPLOGONONLY • 0 = Ausschließliche Anmeldung über Fingerabdruck für 


• 1 = Ausschließliche Anmeldung über Fingerabdruck für 



SWSHOWPOWERON • 0 = Startsicherheitsoptionen nicht anzeigen. 

• 1 = Startsicherheitsoptionen immer anzeigen. 


CSS • 0 = Voraussetzen, dass Client Security Solution nicht 


Systems Management Server 

• 1 = Voraussetzen, dass Client Security Solution 



SMS-Installationen (Systems Management Server) werden ebenfalls unterstützt. Öffnen Sie die 

SMS-Administratorkonsole. Erstellen Sie ein neues Paket, und legen als Paketmerkmale die Standardwerte 

fest. Öffnen Sie das Paket, und wählen Sie in der Programmauswahl die Option für neue Programme 

aus. Geben Sie in einer Befehlszeile Folgendes ein: 

Setup.exe /m yourmiffilename /q /i 

Sie können dieselben Parameter wie bei der unbeaufsichtigten Installation verwenden. 


Bei der Konfiguration wird in der Regel am Ende des Installationsprozesses ein Neustart durchgeführt. Wenn 

Sie alle Neustarts während der Installation unterdrücken möchten und den Neustart später durchführen 

möchten (nach der Installation weiterer Programme), fügen Sie REBOOT=„ReallySuppress“ zur Liste mit 

den Merkmalen hinzu. 



Kapitel 3. Mit Client Security Solution arbeiten 

Vor der Installation von Client Security Solution sollten Sie sich über die verfügbaren Optionen zur Anpassung 

von Client Security Solution informieren. Das vorliegende Kapitel enthält Informationen zur Anpassung von 

Client Security Solution sowie Informationen zum TPM (Trusted Platform Module). Die in diesem Kapitel 

verwendeten TPM-Begriffe sind durch die Trusted Computing Group (TCG) definiert. Weitere Informationen 

zum TPM finden Sie auf der folgenden Website: 

http://www.trustedcomputinggroup.org/ 

TPM verwenden 

Beim TPM (Trusted Platform Module) handelt es sich um einen integrierten Sicherheitschip, der für Software 

sicherheitsrelevante Funktionen zur Verfügung stellt. Der integrierte Sicherheitschip ist in die Steuerplatine 

integriert und kommuniziert über einen Hardwarebus. Systeme mit einem TPM können Chiffrierschlüssel 

erstellen und verschlüsseln, so dass diese nur von demselben TPM wieder entschlüsselt werden können. 

Dieser Prozess wird oft als Verpacken eines Schlüssels bezeichnet. Mit Hilfe dieses Prozesses wird der 

Schlüssel vor der Offenlegung geschützt. Auf einem System mit TPM wird der Master-Verpackungsschlüssel, 

der auch Speicher-Rootschlüssel (SRK, Storage Root Key) genannt wird, im TPM selbst gespeichert, so 

dass der private Bestandteil des Schlüssels nie ungeschützt ist. Im integrierten Sicherheitschip können auch 

andere Speicherschlüssel, Signierschlüssel, Kennwörter und andere kleine Dateneinheiten gespeichert 

werden. Aufgrund der begrenzten Speicherkapazität im TPM wird der SRK zum Verschlüsseln von anderen 

Schlüsseln für die Speicherung außerhalb des Chips verwendet. Der SRK verbleibt immer im integrierten 

Sicherheitschip und bildet die Basis für geschützte Speicher. 

Die Verwendung des Sicherheitschips ist optional und erfordert einen Client Security Solution-Administrator. 

Sowohl für Einzelpersonen als auch für IT-Abteilungen eines Unternehmens muss das TPM initialisiert 

werden. Spätere Operationen wie die Möglichkeit zur Wiederherstellung nach einem Festplattenausfall oder 

nach dem Austauschen der Systemplatine müssen ebenfalls vom Client Security Solution-Administrator 

ausgeführt werden. 

Anmerkung: Wenn Sie den Authentifizierungsmodus ändern und versuchen, den Sicherheitschip zu 

entsperren, müssen Sie sich abmelden und dann als Master-Administrator wieder anmelden. Dann 

können Sie den Chip entsperren. Sie können sich auch als Sekundärbenutzer anmelden und fortfahren, 

den Authentifizierungsmodus zu konvertieren. Die Konvertierung erfolgt automatisch mit der Anmeldung 

des Sekundärbenutzers. Client Security Solution fordert Sie zum Eingeben des Kennworts oder des 

Verschlüsselungstextes des Sekundärbenutzers auf. Wenn Client Security Solution mit dem Verarbeiten der 

Änderung fertig ist, kann der Sekundärbenutzer mit dem Entsperren des Chips fortfahren. 

TPM (Trusted Platform Module) unter Windows 7 verwenden 

Wenn die Windows 7-Anmeldung aktiviert und das TPM inaktiviert ist, müssen Sie die 

Windows-Anmeldefunktion inaktivieren, bevor Sie das TPM im BIOS über die Taste F1 inaktivieren. Dadurch 

verhindern Sie das Anzeigen einer Sicherheitsnachricht wie der folgenden: Der integrierte Sicherheitschip 

wurde inaktiviert. Der Anmeldeprozess kann nur bei aktiviertem Chip geschützt werden. 

Zudem müssen Sie, wenn Sie für das Betriebssystem eines Clientsystems ein Upgrade durchführen, den 

Inhalt des Sicherheitschips löschen, um einen Registrierungsfehler bei Client Security zu vermeiden. Um 

den Inhalt des Chips im BIOS über die Taste F1 zu löschen, muss das System kalt gestartet werden. Sie 

können den Inhalt des Chips nicht nach einem Warmstart löschen. 


Client Security Solution mit Chiffrierschlüsseln verwalten 

Client Security Solution wird durch die beiden wichtigsten Implementierungsaktivitäten beschrieben: 

„Eigentumsrecht übernehmen“ und „Benutzer registrieren“. Bei der ersten Ausführung des 

Konfigurationsassistenten von Client Security Solution werden diese beiden Prozesse während der 

Initialisierung ausgeführt. Die Windows-Benutzer-ID, die den Installationsassistenten für Client Security 

Solution ausgeführt hat, ist der Client Security Solution-Administrator und ist als aktiver Benutzer registriert. 

Jeder andere Benutzer, der sich am System anmeldet, wird automatisch aufgefordert, sich bei Client 

Security Solution zu registrieren. 

• Eigentumsrecht übernehmen 

Eine einzige Windows-Administrator-ID ist als einziger Client Security Solution-Administrator für das 

System zugeordnet. Verwaltungsfunktionen von Client Security Solution müssen über diese Benutzer-ID 

ausgeführt werden. Die Berechtigung für das TPM (Trusted Platform Module) ist entweder das 

Windows-Kennwort dieses Benutzers oder der Client Security-Verschlüsselungstext. 

Anmerkung: Die einzige Möglichkeit einer Wiederherstellung, wenn das Client Security 

Solution-Administratorkennwort oder der -Verschlüsselungstext vergessen wurde, besteht 

darin, die Software mit gültigen Windows-Berechtigungen zu deinstallieren oder den Inhalt des 

Sicherheitschips im BIOS zu löschen. Bei beiden Möglichkeiten gehen die Daten, die über die dem 

TPM zugeordneten Schlüssel geschützt werden, verloren. Client Security Solution bietet außerdem 

einen optionalen Mechanismus, mit dessen Hilfe Sie ein vergessenes Kennwort oder einen vergessenen 

Verschlüsselungstext selbst wiederherstellen können. Dieser Mechanismus basiert auf Fragen und 

Antworten zur Identifizierung. Der Client Security Solution-Administrator entscheidet, ob diese Funktion 


• Benutzer registrieren 

Nachdem der Prozess „Eigentumsrecht übernehmen“ abgeschlossen und ein Client Security 

Solution-Administrator erstellt wurde, kann ein Benutzerbasisschlüssel erstellt werden, um die 

Berechtigungsnachweise für den gerade angemeldeten Windows-Benutzer sicher zu speichern. Dadurch 

können sich mehrere Benutzer bei Client Security Solution registrieren und das einzelne TPM nutzen. 

Benutzerschlüssel werden über den Sicherheitschip gesichert, aber tatsächlich außerhalb des Chips auf 

der Festplatte gespeichert. Diese Technologie erstellt Festplattenspeicherplatz als den einschränkenden 

Speicherfaktor anstelle des tatsächlichen in den Sicherheitschip integrierten Speichers. Damit wird die 

Anzahl der Benutzer, die dieselbe sichere Hardware nutzen können, deutlich erhöht. 

Eigentumsrecht übernehmen 

Die Sicherheitsbasis für Client Security Solution ist der System-Rootschlüssel (SRK, System Root Key). 

Dieser nicht migrierbare asymmetrische Schlüssel wird in der sicheren Umgebung des TPMs (Trusted 

Platform Module) generiert und gegenüber dem System nie offengelegt. Die Berechtigung zur Nutzung des 

Schlüssels wird beim Ausführen des Befehls „TPM_TakeOwnership“ über das Windows-Administratorkonto 

abgeleitet. Wenn das System einen Client Security-Verschlüsselungstext nutzt, ist der Client 

Security-Verschlüsselungstext für den Client Security Solution-Administrator die TPM-Berechtigung. 

Andernfalls wird das Windows-Kennwort des Client Security Solution-Administrators verwendet. 

Mit Hilfe des für das System erstellten SRK können andere Schlüsselpaare erstellt und verpackt oder 

geschützt durch die auf Hardware basierenden Schlüssel außerhalb des TPMs gespeichert werden. Da es 

sich beim TPM, das den SRK enthält, um Hardware handelt und Hardware beschädigt werden kann, ist 

ein Wiederherstellungsmechanismus erforderlich, um sicherzustellen, dass bei einer Beschädigung des 

Systems eine Datenwiederherstellung möglich ist. 

Um ein System wiederherzustellen, wird ein Systembasisschlüssel erstellt. Mit diesem asymmetrischen 

Speicherschlüssel kann der Client Security Solution-Administrator das System nach dem Austauschen 

der Systemplatine oder der geplanten Migration auf ein anderes System wiederherstellen. Damit 

der Systembasisschlüssel geschützt ist und gleichzeitig bei normalem Betrieb oder bei einer 


Wiederherstellung auf ihn zugegriffen werden kann, werden zwei Instanzen des Schlüssels erstellt 

und auf zwei verschiedene Arten geschützt. Zum einen wird der Systembasisschlüssel mit einem 

symmetrischen AES-Schlüssel verschlüsselt, der vom Client Security Solution-Administratorkennwort 

oder vom Client Security-Verschlüsselungstext abgeleitet wird. Diese Kopie des Client Security 

Solution-Wiederherstellungsschlüssels dient ausschließlich zur Wiederherstellung von einem gelöschten 

TPM oder einer ausgetauschten Systemplatine aufgrund eines Hardwareausfalls. 

Die zweite Instanz des Client Security Solution-Wiederherstellungsschlüssels wird durch den SRK für 

den Import in die Schlüsselhierarchie verpackt. Durch diese doppelte Instanz des Systembasisschlüssels 

kann das TPM mit ihm verbundene geheime Daten bei normalem Betrieb schützen. Außerdem ist eine 

Wiederherstellung einer fehlerhaften Systemplatine durch den Systembasisschlüssel möglich, der mit einem 

AES-Schlüssel verschlüsselt ist, der über das Client Security Solution-Administratorkennwort oder den Client 

Security-Verschlüsselungstext entschlüsselt wird. Anschließend wird ein Systemblattschlüssel erstellt. Dieser 

Schlüssel wird erstellt, um geheime Schlüssel auf Systemebene, wie z. B. den AES-Schlüssel, zu schützen. 

Das folgende Diagramm stellt die Struktur für den Schlüssel auf Systemebene dar: 

System Level Key Structure - Take Ownership 

Trusted Platform Module 

Storage Root Private Key 

Storage Root Public Key 

System Base Private Key 

System Base Public Key 

System Leaf Private Key 

System Leaf Public Key 

Encrypted via derived AES Key 



One-Way Hash 

CSS Admin PW/PP 

One-Way Hash 

System Base AES 

Protection Key 

(derived via output 

of hash algorithm) 

Abbildung 1. Systemebenenschlüsselstruktur - Eigentumsrecht übernehmen 

Benutzer registrieren 

Auth 

If Passphrase 

loop n times 

Damit die Daten von allen Benutzern durch dasselbe TPM (Trusted Platform Module) geschützt werden 

können, muss jeder Benutzer seinen eigenen Benutzerbasisschlüssel erstellen. Dieser asymmetrische 

Speicherschlüssel kann migriert werden und wird ebenfalls zweimal erstellt und durch einen symmetrischen 

AES-Schlüssel geschützt, der über das Windows-Kennwort oder den Client Security-Verschlüsselungstext 

der einzelnen Benutzer generiert wird. 

Die zweite Instanz des Benutzerbasisschlüssels wird dann in das TPM importiert und durch den System-SRK 

geschützt. Bei der Erstellung des Benutzerbasisschlüssels wird ein zweiter asymmetrischer Schlüssel 

erstellt, der als Benutzerblattschlüssel bezeichnet wird. Mit dem Benutzerblattschlüssel werden geheime 

Daten der einzelnen Benutzer geschützt. Hierzu zählen der AES-Schlüssel für Password Manager, der 

zum Schutz von Internetanmeldedaten dient, das Kennwort, mit dem Daten geschützt werden, und der 

AES-Schlüssel für das Windows-Kennwort, der den Zugriff auf das Betriebssystem schützt. Der Zugriff 

auf den Benutzerblattschlüssel wird über das Windows-Benutzerkennwort oder den Client Security 

Kapitel 3. Mit Client Security Solution arbeiten 25

Solution-Verschlüsselungstext gesteuert. Der Benutzerblattschlüssel wird bei der Anmeldung automatisch 

entsperrt. 

Das folgende Diagramm stellt die Struktur für den Schlüssel auf Benutzerebene dar: 

User Level Key Structure - Enroll User 




User Base Private Key 

User Base Public Key 

User Leaf Private Key 

User Leaf Public Key 

Windows PW AES Key 

PW Manager AES Key 

Encrypted via derived AES Key 



One-Way Hash 

Auth 

One-Way Hash 

Abbildung 2. Schlüsselstruktur auf Benutzerebene - Benutzer registrieren 

Registrierung im Hintergrund 

User PW/PP 

User Base AES 




If Passphrase 

loop n times 

Client Security Solution 8.3 unterstützt die Registrierung im Hintergrund für die automatisch gestartete 

Benutzerregistrierung. Der Registrierungsprozess wird im Hintergrund ohne die Anzeige von 

Benachrichtigungen ausgeführt. 

Anmerkung: Die Registrierung im Hintergrund ist nur für die automatisch gestartete Benutzerregistrierung 

verfügbar. Für die manuell über das Startmenü oder über die Option Sicherheitseinstellungen 

zurücksetzen gestartete Benutzerregistrierung wird weiterhin ein Dialogfenster mit der Nachricht, dass der 

Benutzer auf die Benutzerregistrierung warten soll, angezeigt. 

Der lokale oder Domänenadministrator kann auch das Anzeigen des Dialogfensters zum Warten erzwingen, 

indem er die folgende Richtlinie wie folgt bearbeitet: 

CSS_GUI_ALWAYS_SHOW_ENROLLMENT_PROCESSING 

Er kann auch den folgenden Registrierungsschlüssel wie folgt bearbeiten: 

HKLM\software\policies\lenovo\client security solution\GUI options\ 

AlwaysShowEnrollmentProcessing 

Der Standardwert für AlwaysShowEnrollmentProcessing ist 0. Wenn für den obigen Registrierungsschlüssel 0 

festgelegt ist, wird das Dialogfenster mit der Aufforderung zum Warten für die automatisch gestartete 

Benutzerregistrierung nicht angezeigt. Wenn für diese Richtlinie 1 festgelegt ist, wird das Dialogfenster mit 

der Aufforderung zum Warten bei der Benutzerregistrierung immer angezeigt, unabhängig davon, wie 

diese gestartet wird. 


Softwareemulation 

Damit Benutzer, deren Computer über kein TPM verfügt, eine ähnliche Ansicht erhalten, unterstützt CSS 

den TMP-Emulationsmodus. 

Der TPM-Emulationsmodus ist eine softwarebasierte Sicherheitsbasis. Dem Benutzer stehen dieselben 

Funktionen, die vom TPM bereitgestellt werden, wie z. B. digitale Signatur, die Entschlüsselung 

symmetrischer Schlüssel, RSA-Schlüsselimport, Schutz und Generierung von zufallsgenerierten Nummern, 

zur Verfügung. Allerdings ist die Sicherheit geringer, da es sich bei der Sicherheitsbasis um softwarebasierte 

Schlüssel handelt. 

Der TPM-Emulationsmodus kann nicht als sicherer Ersatz für das TPM verwendet werden. Das TPM bietet 

die folgenden beiden Schlüsselschutzmethoden, die sicherer sind als der TPM-Emulationsmodus. 

• Alle vom TPM verwendeten Schlüssel sind durch einen eindeutigen Schlüssel auf Stammverzeichnisebene 

geschützt. Der eindeutige Schlüssel auf Stammverzeichnisebene wird innerhalb des TPM erstellt und 

kann außerhalb davon weder angezeigt noch verwendet werden. Im TPM-Emulationsmodus ist der 

Schlüssel auf Stammverzeichnisebene ein softwarebasierter Schlüssel, der auf dem Festplattenlaufwerk 

gespeichert ist. 

• Alle Operationen mit privatem Schlüssel werden im TPM durchgeführt, so dass das private 

Schlüsselmaterial für keinen Schlüssel jemals außerhalb des TPM angezeigt wird. Im 

TPM-Emulationsmodus werden alle Operationen mit privatem Schlüssel in der Software durchgeführt, so 

dass kein Schutz des privaten Schlüsselmaterials besteht. 

Der TPM-Emulationsmodus ist in erster Linie für Benutzer gedacht, denen Sicherheit kein so großes Anliegen 

ist und denen es eher um die Geschwindigkeit bei der Systemanmeldung geht. 

Austausch der Systemplatine 

Ein Austausch der Systemplatine bedeutet, dass der alte SRK, an den die Schlüssel gebunden waren, nicht 

mehr gilt, und dass ein anderer SRK erforderlich ist. Dieser Fall kann auch eintreten, wenn das TPM (Trusted 

Platform Module) über das BIOS gelöscht wird. 

Der Client Security Solution-Administrator muss die Berechtigungsnachweise des Systems 

an einen neuen SRK binden. Es ist erforderlich, dass der Systembasisschlüssel über den 

Systembasis-AES-Sicherungsschlüssel entschlüsselt wird, der von den Berechtigungsnachweisen zur 

Autorisierung des Client Security Solution-Administrators abgeleitet wird. 

Wenn es sich beim Client Security Solution-Administrator um eine Domänenbenutzer-ID handelt und 

das Kennwort für diese Benutzer-ID auf einer anderen Maschine geändert wurde, muss das Kennwort 

bekannt sein, das bei der letzten Anmeldung auf dem System, das wiederhergestellt werden soll, verwendet 

wurde, um den Systembasisschlüssel für die Wiederherstellung zu entschlüsseln. Ein Bespiel: Bei der 

Implementierung wird eine Benutzer-ID und ein Kennwort des Client Security Solution-Administrators 

konfiguriert. Ändert sich das Kennwort von diesem Benutzer auf einer anderen Maschine, ist das 

ursprüngliche, bei der Implementierung festgelegte Kennwort für die Autorisierung erforderlich, um das 

System wiederherzustellen. 

Gehen Sie wie folgt vor, um die Systemplatine auszutauschen: 

1. Melden Sie sich als Client Security Solution-Administrator am Betriebssystem an. 

2. Der bei der Anmeldung ausgeführte Code (cssplanarswap.exe) erkennt, dass der Sicherheitschip nicht 

aktiviert ist und fordert einen Neustart für die Aktivierung an. (Dieser Schritt kann durch die Aktivierung 

des Sicherheitschips im BIOS umgangen werden.) 

3. Das System wird erneut gestartet und der Sicherheitschip aktiviert. 


4. Melden Sie sich als Client Security Solution-Administrator an. Der neue Prozess „Eigentumsrecht 

übernehmen“ ist abgeschlossen. 

5. Der Systembasisschlüssel wird über den Systembasis-AES-Sicherungsschlüssel entschlüsselt, 

der von der Authentifizierung des Client Security Solution-Administrators abgeleitet wird. Der 

Systembasisschlüssel wird in den neuen SRK importiert und erstellt den Systemblattschlüssel und alle 

durch ihn geschützten Berechtigungsnachweise erneut. 

6. Das System ist nun wiederhergestellt. 

Anmerkung: Ein Austausch der Systemplatine ist nicht notwendig, wenn der Emulationsmodus verwendet 

wird. 

Das folgende Diagramm stellt die Struktur für den Austausch der Systemplatine und die Übernahme des 

Eigentumsrechts dar: 

Motherboard Swap - Take Ownership 


Store Leaf Private Key 

Store Leaf Public Key 

System Leaf Private Key 

System Leaf Public Key 

Decrypted via derived AES Key 



CSS Admin PW/PP 

One-Way Hash 

Abbildung 3. Austausch der Systemplatine - Eigentumsrecht übernehmen 

System Base AES 




If Passphrase 

loop n times 

Bei der Anmeldung der einzelnen Benutzer am System wird der jeweilige Benutzerbasisschlüssel automatisch 

über den Benutzerbasis-AES-Sicherungsschlüssel entschlüsselt, der von der Benutzerauthentifizierung 

abgeleitet und in den neuen vom Client Security Solution-Administrator erstellten SRK importiert wird. Das 

folgende Diagramm stellt die Struktur für den Austausch der Systemplatine und die Benutzerregistrierung dar: 

Um einen Sekundärbenutzer anzumelden, nachdem der Inhalt des Chips gelöscht wurde oder 

nachdem Sie die Systemplatine ausgetauscht haben, müssen Sie sich als Master-Administrator 

anmelden. Der Master-Administrator wird zum Wiederherstellen der Schlüssel aufgefordert. Sobald die 

Wiederherstellung der Schlüssel abgeschlossen ist, verwenden Sie den Policy Manager, um die Client 

Security-Windows-Anmeldung zu inaktivieren. Die verbleibenden Benutzer können ihre jeweiligen Schlüssel 

wiederherstellen. Sobald alle Sekundärbenutzer ihre jeweiligen Schlüssel wiederhergestellt haben, kann der 

Master-Administrator die Client Security Solution-Windows-Anmeldefunktion aktivieren. 


Das folgende Diagramm stellt die Struktur für den Austausch der Systemplatine und die Benutzerregistrierung 

dar: 

Motherboard Swap - Enroll User 




User Leaf Private Key 

User Leaf Public Key 

Windows PW AES Key 

PW Manager AES Key 



Decrypted via derived AES Key 

Abbildung 4. Austausch der Systemplatine - Benutzer registrieren 

Schutzdienstprogramm „EFS“ 

User PW/PP 

One-Way Hash 

User Base AES 




If Passphrase 

loop n times 

Client Security Solution stellt ein Befehlszeilendienstprogramm bereit, das den TPM-basierten Schutz der 

Verschlüsselungszertifikate, die von EFS (Encrypting File System) zum Verschlüsseln von Dateien und 

Ordnern bereitgestellt werden, aktiviert. Dieses Dienstprogramm unterstützt die Übertragung von Zertifikaten 

von Dritten (von einer Zertifizierungsstelle generierte Zertifikate) und unterstützt zudem das Generieren von 

selbst signierten Zertifikaten. 

Beim Schutz des EFS-Zertifikats durch Client Security Solution wird der private Schlüssel, der dem 

EFS-Zertifikat zugeordnet ist, durch das TPM geschützt. Zugriff auf das Zertifikat wird gewährt, nachdem 

der Benutzer sich bei Client Security Solution authentifiziert hat. 

Wenn kein TPM verfügbar ist, wird das EFS-Zertifikat unter Verwendung des von Client Security Solution 

bereitgestellten TPM-Emulators geschützt. Sie müssen bei Client Security Solution registriert sein, damit 

EFS-Zertifikate von Client Security Solution geschützt werden können. 

Vorsicht: 

Wenn Sie Client Security Solution und EFS (Encrypting File System) zum Verschlüsseln von Dateien 

und Ordnern verwenden, können Sie immer dann, wenn Client Security Solution oder das TPM nicht 

verfügbar sind, nicht auf die verschlüsselten Dateien zugreifen. 

Wenn das TPM (Trusted Platform Module) nicht mehr reagiert, stellt Client Security Solution den Zugriff auf 

die verschlüsselten Daten wieder her, nachdem die Systemplatine ausgetauscht wurde. 

EFS-Befehlszeilendienstprogramm verwenden 

Die folgende Tabelle enthält die Befehlszeilenparameter, die von EFS unterstützt werden: 


Tabelle 9. Von EFS unterstützte Befehlszeilenparameter 


/generate: Generiert ein selbst signiertes Zertifikat und ordnet das 

Zertifikat EFS zu. Wenn angegeben ist, wird 

der Schlüssel in der angegebenen Bitgröße generiert. 

Gültig sind die Werte 512, 1024 und 2048. Wenn kein 

Wert oder ein ungültiger Wert angegeben wird, werden 

standardmäßig Schlüssel mit 1024 Bit generiert. 

/sn:xxxxxx Gibt die Seriennummer eines vorhandenen Zertifikats an, 

das übertragen und EFS zugeordnet werden soll. 

/cn:yyyyyy Gibt den Namen („ausgegeben an“) eines vorhandenen 

Zertifikats an, das übertragen und EFS zugeordnet 

werden soll. 

/firstavail Überträgt das erste verfügbare vorhandene EFS-Zertifikat 

und ordnet es dann EFS zu. 

/silent Zeigt keine Ausgabe an. Rückkehrcodes werden vom 

Wert bei Beendigung des Programms bereitgestellt. 

/? oder /h oder /help Zeigt den Hilfetext an. 

Wenn das Dienstprogramm nicht im Hintergrund ausgeführt wird, gibt es einen der folgenden Fehler zurück: 

0 - "Command completed successfully" 

1 - "This utility requires Windows XP" 

2 - "This utility requires Client Security Solution version 8.0" 

3 - "The current user is not enrolled with Client Security Solution" 

4 - "The specified certificate could not be found" 

5 - "Unable to generate a self-signed certificate” 

6 - "No EFS certificates were found" 

7 - "Unable to associate the certificate with EFS” 

Bei der Ausführung im Hintergrund gibt das Programm eine Fehlerebene aus, die den oben angezeigten 

Fehlernummern entspricht. 

XML-Schema verwenden 

Über die XML-Scripterstellung können IT-Administratoren angepasste Scripts zur Implementierung und 

Konfiguration von Client Security Solution erstellen. Die Scripts können mit Hilfe der ausführbaren Funktion 

„xml_crypt_tool“ mit einem Kennwort geschützt werden, wie z. B. bei der AES-Verschlüsselung. Nach der 

Erstellung akzeptiert die virtuelle Maschine (vmserver.exe) die Scripts als Eingabe. Die virtuelle Maschine 

ruft dieselben Funktionen wie der Konfigurationsassistent von Client Security Solution zum Konfigurieren 

der Software auf. 

Alle Scripts bestehen aus einem Tag, das den XML-Codierungstyp, das XML-Schema und mindestens eine 

auszuführende Funktion angibt. Das Schema dient der Validierung der XML-Datei und überprüft, ob die 

erforderlichen Parameter vorhanden sind. Die Verwendung des Schemas wird derzeit nicht erzwungen. Jede 

Funktion wird in einem Funktionstag eingeschlossen. Jede Funktion enthält die Reihenfolge, in der der 

Befehl von der virtuellen Maschine (vmserver.exe) ausgeführt wird. Außerdem verfügt jede Funktion über 

eine Versionsnummer; derzeit haben alle Funktionen Version 1.0. Jedes der folgenden Beispielscripts enthält 

nur eine Funktion. In der Praxis ist es jedoch wahrscheinlicher, dass ein Script mehrere Funktionen enthält. 

Ein solches Script kann mit dem Konfigurationsassistenten von Client Security Solution erstellt werden. 

Weitere Informationen zum Erstellen von Scripts mit dem Konfigurationsassistenten finden Sie im Abschnitt 

„Installationsassistent für Client Security Solution“ auf Seite 41. 


Anmerkung: Wird in einer Funktion, die einen Domänennamen erfordert, der Parameter 

nicht angegeben, wird der Standardcomputername des Systems 

verwendet. 

Beispiele 

Die folgenden Befehle sind Beispiele für das XML-Schema: 

ENABLE_TPM_FUNCTION 

Dieser Befehl aktiviert das TPM und verwendet das Argument SYSTEM_PAP. Wenn für das System bereits 

ein BIOS-Administratorkennwort festgelegt ist, muss dieses Argument angegeben werden. Andernfalls ist 

dieser Befehl optional. 

 

< registry_settings /> 

< /tvt_deployment > 

 

0001 

ENABLE_TPM_FUNCTION 

1.0 

PASSWORD 

 

 

Anmerkung: Dieser Befehl wird im Emulationsmodus nicht unterstützt. 

DISABLE_TPM_FUNCTION 

Dieser Befehl inaktiviert das TPM und verwendet das Argument SYSTEM_PAP. Wenn für das System bereits 

ein BIOS-Administratorkennwort festgelegt ist, muss dieses Argument angegeben werden. Andernfalls ist 

dieser Befehl optional. 

 


< /tvt_deployment 

 

0001 

DISABLE_TPM_FUNCTION 

1.0 

password 

 

 


ENABLE_PWMGR_FUNCTION 

Mit diesem Befehl können Sie den Password Manager für alle Client Security Solution-Benutzer aktivieren. 

 

 

 

0001 

ENABLE_PWMGR_FUNCTION 

1.0 

 

 


ENABLE_CSS_GINA_FUNCTION 

Unter Windows XP, Windows Vista und Windows 7 wird die Client Security Solution-Anmeldung über 

den folgenden Befehl aktiviert: 

- 



 

0001 

ENABLE_CSS_GINA_FUNCTION 

1.0 

 

 

ENABLE_UPEK_GINA_FUNCTION 

Anmerkungen: 

1. Dieser Befehl ist nur für die ThinkVantage Fingerprint Software. 

2. Dieser Befehl wird im Emulationsmodus nicht unterstützt. 

Der folgende Befehl aktiviert die Windows-Anmeldung über ThinkVantage Fingerprint Software und inaktiviert 

die Windows-Anmeldung über Client Security Solution. 

 



 

0001 

ENABLE_UPEK_GINA_FUNCTION 

1.0 

 

 

ENABLE_UPEK_GINA_WITH_FUS_FUNCTION 

Anmerkungen: 

1. Dieser Befehl ist nur für die ThinkVantage Fingerprint Software. 


Der folgende Befehl aktiviert die Anmeldung mit Unterstützung für die schnelle Benutzerumschaltung und 

inaktiviert die Windows-Anmeldung über Client Security Solution. Die schnelle Benutzerumschaltung ist 

nicht aktiviert, wenn sich der Computer in einer Domänenumgebung befindet. Dies wurde von Microsoft so 

konzipiert. 

 



 

0001 

ENABLE_UPEK_GINA_WIH_FUS_FUNCTION 

1.0 

 

 


ENABLE_AUTHENTEC_GINA_FUNCTION 

Anmerkungen: 

1. Dieser Befehl gilt nur für Lenovo Fingerprint Software. 


Der folgende Befehl aktiviert die Windows-Anmeldung über das Lenovo Lesegerät für Fingerabdrücke und 

inaktiviert die Windows-Anmeldung über Client Security Solution. 

 



 

0001 

ENABLE_AUTHENTEC_GINA_FUNCTION 

1.0 

 

 

ENABLE_AUTHENTEC_GINA_WITH_FUS_FUNCTION 

Anmerkungen: 

1. Dieser Befehl gilt nur für Lenovo Fingerprint Software. 


Der folgende Befehl aktiviert die Anmeldung mit Unterstützung für die schnelle Benutzerumschaltung und 

inaktiviert die Windows-Anmeldung über Client Security Solution. Die schnelle Benutzerumschaltung ist 

nicht aktiviert, wenn sich der Computer in einer Domänenumgebung befindet. Dies wurde von Microsoft so 

konzipiert. 

 



 

0001 

ENABLE_AUTHENTEC_GINA_WIH_FUS_FUNCTION 

1.0 

 

 

ENABLE_NONE_GINA_FUNCTION 

Wenn GINA oder der Bereitsteller des Berechtigungsnachweises von einer der zugehörigen ThinkVantage 

Technologies-Komponenten, wie z. B. ThinkVantage Fingerprint Software, Client Security Solution oder 

Access Connections, aktiviert ist, wird mit diesem Befehl die Anmeldung bei ThinkVantage Fingerprint 

Software und bei Client Security Solution inaktiviert. 

 



 

0001 

ENABLE_CSS_NONE_FUNCTION 

1.0 

 

 



SET_PP_FLAG_FUNCTION 

Dieser Befehl schreibt ein Flag, das Client Security Solution liest, um zu bestimmen, ob der Client 

Security-Verschlüsselungstext oder ein Windows-Kennwort verwendet werden soll. 

 



 

0001 

SET_PP_FLAG_FUNCTION 

USE_CSS_PP 

1.0 

 

 


SET_ADMIN_USER_FUNCTION 

Über diesen Befehl wird ein Flag geschrieben, das von Client Security Solution gelesen wird, um 

festzustellen, wer Administrator ist. Es gibt die folgenden Parameter: 

• USER_NAME_PARAMETER 

Der Benutzername des Administrators. 

• DOMAIN_NAME_PARAMETER 

Die Domäne des Administrators. 

 



 

0001 

SET_ADMIN_USER_FUNCTION 

sabedi 

IBM-2AA92582C79 

1.0 

PASSWORD 

 

 


INITIALIZE_SYSTEM_FUNCTION 

Mit diesem Befehl wird die Client Security Solution-Systemfunktion initialisiert. Die systemweiten Schlüssel 

werden über diesen Funktionsaufruf generiert. In der folgenden Parameterliste sind die einzelnen Funktionen 

erklärt: 

• NEW_OWNER_AUTH_DATA_PARAMETER 

Mit diesem Parameter wird das neue Eignerkennwort für das System festgelegt. Für das neue 

Eignerkennwort wird der Wert für diesen Parameter vom aktuellen Eignerkennwort gesteuert. Ist 

kein aktuelles Eignerkennwort festgelegt, wird der Wert in diesem Parameter geladen und als neues 

Eignerkennwort verwendet. Wenn das aktuelle Eignerkennwort bereits festgelegt ist und der Administrator 

dasselbe aktuelle Eignerkennwort verwendet, wird der Wert in diesem Parameter geladen. Wenn der 


Administrator ein neues Eignerkennwort verwendet, wird das neue Eignerkennwort in diesem Parameter 

geladen. 

• CURRENT_OWNER_AUTH_DATA_PARAMETER 

Dieser Parameter ist das aktuelle Eignerkennwort des Systems. Wenn das System bereits über ein 

Eignerkennwort verfügt, sollte dieser Paramater das vorherige Kennwort laden. Wenn ein neues 

Eignerkennwort angefordert wird, wird das aktuelle Eignerkennwort in diesem Parameter geladen. Wenn 

keine Änderung des Kennworts konfiguriert ist, wird der Wert NO_CURRENT_OWNER_AUTH geladen. 

 



 

0001 

INITIALIZE_SYSTEM_FUNCTION 

pass1word 

No_CURRENT_OWNER_AUTH 

1.0 

 

 

CHANGE_TPM_OWNER_AUTH_FUNCTION 

Mit diesem Befehl wird die Client Security Solution-Administratorautorisierung geändert und die 

Systemschlüssel entsprechend aktualisiert. Die systemweiten Schlüssel werden über diesen Funktionsaufruf 

erneut generiert. Es gibt die folgenden Parameter: 

• NEW_OWNER_AUTH_DATA_PARAMETER 

Das neue Eignerkennwort des TPMs (Trusted Platform Module). 

• CURRENT_OWNER_AUTH_DATA_PARAMETER 

Das aktuelle Eignerkennwort des TPMs (Trusted Platform Module). 

 



 

0001 

CHANGE_TPM_OWNER_AUTH_FUNCTION 

newPassWord 

oldPassWord 

1.0 

 

 


ENROLL_USER_FUNCTION 

Dieser Befehl registriert einen bestimmten Benutzer für die Verwendung von Client Security Solution. Diese 

Funktion erstellt alle benutzerspezifischen Sicherheitsschlüssel für einen angegebenen Benutzer. Es gibt die 

folgenden Parameter: 


Der Name des Benutzers, der registriert werden soll. 



Der Domänenname des Benutzers, der registriert werden soll. 

• USER_AUTH_DATA_PARAMETER 

Der TPM-Verschlüsselungstext/das TPM-Windows-Kennwort zum Erstellen der Sicherheitsschlüssel 

für den Benutzer. 

• WIN_PW_PARAMETER 

Das Windows-Kennwort. 

 



 

0001 

ENROLL_USER_FUNCTION 

sabedi 

IBM-2AA92582C79 

myCssUserPassPhrase 

myWindowsPassword 

1.0 

 

 

USER_PW_RECOVERY_FUNCTION 

Dieser Befehl konfiguriert die Kennwortwiederherstellung für einen bestimmten Benutzer. Es gibt die 

folgenden Parameter: 


Der Name des Benutzers, der registriert werden soll. 


Der Domänenname des Benutzers, der registriert werden soll. 

• USER_PW_REC_QUESTION_COUNT 

Die Anzahl der Fragen, die der Benutzer beantworten muss. 

• USER_PW_REC_ANSWER_DATA_PARAMETER 

Die gespeicherte Antwort auf eine bestimmte Frage. Der tatsächliche Name dieses Parameters ist mit 

einer Nummer entsprechend der zu beantwortenden Frage verknüpft. 

• USER_PW_REC_STORED_PASSWORD_PARAMETER 

Das gespeicherte Kennwort, das angezeigt wird, wenn der Benutzer alle Fragen richtig beantwortet hat. 

 



 

0001 

USER_PW_RECOVERY_FUNCTION 

sabedi 

IBM-2AA92582C79 

Test1 

Test2 

Test3 


3 

20000,20001,20002 

Pass1word 

1.0 

 

 

GENERATE_MULTI_FACTOR_DEVICE_FUNCTION 

Mit diesem Befehl werden Mehrfacheinheiten von Client Security Solution generiert, die zur Authentifizierung 

verwendet werden. Es gibt die folgenden Parameter: 

• USER_NAME_PARAMETER - Der Benutzername des Administrators. 

• DOMAIN_NAME_PARAMETER - Der Domänenname des Administrators. 

• MULTI_FACTOR_DEVICE_USER_AUTH - Der Verschlüsselungstext oder das Windows-Kennwort zur 

Erstellung der Sicherheitsschlüssel des Benutzers. 

 

 

 

0001 

GENERATE_MULTI_FACTOR_DEVICE_FUNCTION 

myUserName 

domainName 

myCssUserPassPhrase 

1.0 

 

 

SET_USER_AUTH_FUNCTION 

Mit diesem Befehl wird die Client Security Solution-Benutzerauthentifizierung konfiguriert. 

 

 

 

0001 

SET_USER_AUTH_FUNCTION 

1.0 

 

 

RSA SecurID-Token verwenden 

Durch Nutzung der Verschlüsselungsalgorithmus-Methode zum Verschlüsseln von Daten stellt die 

Verwendung von RSA-SecurID-Token zusätzlich zu Client Security Solution Ihrem Unternehmen mehrfache 

Sicherheit zur Verfügung. Bei Verwendung von RSA-SecurID-Token authentifizieren sich Benutzer bei Netzen 

und Software unter Verwendung ihrer Benutzer-ID oder PIN und einer Tokeneinheit. Die Tokeneinheit zeigt 

eine Zeichenfolge aus Ziffern an, die sich alle 60 Sekunden ändert. Diese Authentifizierungsmethode bietet 

eine viel zuverlässigere Ebene der Benutzerauthentifizierung als wiederverwendbare Kennwörter. 

RSA SecurID-Software-Token installieren 

Gehen Sie wie folgt vor, um die Software „RSA SecurID“ zu installieren: 

1. Rufen Sie die folgende Webadresse auf: 

http://www.rsasecurity.com/node.asp?id=1156 

2. Führen Sie den Registrierungsprozess durch. 

3. Laden Sie die Software „RSA SecurID“ herunter, und installieren Sie sie. 


Anforderungen 

1. Jeder Windows-Benutzer muss bei Client Security Solution registriert sein, damit die RSA-Software 

ordnungsgemäß funktioniert, nachdem sie Client Security Solution zugeordnet wurde. 

2. Die RSA-Software gerät beim Versuch der Registrierung mit einem nicht bei Client Security Solution 

registrierten Windows-Benutzer in eine Endlosschleife. Registrieren Sie den Benutzer bei Client Security 

Solution, um diesen Fehler zu beheben. 

Smart-Card-Zugriffsoptionen festlegen 

Gehen Sie wie folgt vor, um die Smart-Card-Zugriffsoptionen festzulegen: 

1. Klicken Sie im Hauptmenü von RSA SecurID auf Tools (Werkzeuge) und dann auf Smart Card Access 

Options (Smart-Card-Zugriffsoptionen). 

2. Wählen Sie in der Anzeige „Smart Card Communication“ (Smart-Card-Kommunikation) das Optionsfeld 

Access the Smart Card through a PKCS #11 module (Über ein PKCS#11-Modul auf die Smart-Card 

zugreifen) aus. 

3. Klicken Sie auf die Schaltfläche Browse (Durchsuchen), und navigieren Sie zum folgenden Pfad: 

C:\Program Files\LENOVO\Client Security Solution\csspkcs11.dll 

4. Klicken Sie auf die Datei csspkcs11.dll und klicken Sie dann auf Select (Auswählen). 

5. Klicken Sie auf OK. 

RSA SecurID-Software-Token manuell installieren 

Um den Schutz von Client Security Solution zusammen mit dem RSA SecurID Software-Token zu nutzen, 

gehen Sie wie folgt vor: 

1. Klicken Sie im Hauptmenü der Software „RSA SecurID“ auf File (Datei) und anschließend auf Import 

Tokens (Token importieren). 

2. Navigieren Sie zur Position der SDTID-Datei, und klicken Sie dann auf Open (Öffnen). 

3. Heben Sie in der Anzeige Select Token(s) to Install (Token für die Installation auswählen) die 

Seriennummern der gewünschten Software-Token hervor. 

4. Klicken Sie auf Transfer Selected Tokens Smart Card (Smart-Card der ausgewählten Token 

übertragen). 

Anmerkung: Wenn ein Token über ein Verteilungskennwort verfügt, geben Sie es bei entsprechender 

Aufforderung ein. 

5. Klicken Sie auf OK. 

Active Directory-Unterstützung 

Beim folgenden Pfad handelt es sich um den Verzeichnispfad für das Modul „PKCS #11“ für Client Security 

Solution: 

C:\Program Files\Lenovo\Client Security Solution\csspkcs11.dll 

Um das Modul „PKCS #11“ von Client Security Solution zu nutzen, müssen die folgenden Richtlinien für 

Active Directory festgelegt sein: 

1. PKCS #11 Signature (PKCS #11-Signatur) 

2. PKCS #11 Decryption (PKCS #11-Entschlüsselung) 

Die folgende Tabelle enthält das änderbare Feld und die Beschreibung der Richtlinien für PKCS# 11: 


Tabelle 10. ThinkVantage\Client Security Solution\Authentication Policies\PKCS# 11 Signature\Custom Mode 

Felder CSS.ADM 

Änderbares Feld 

Erforderlich 

Feldbeschreibung Steuert, ob ein Kennwort oder ein Verschlüsselungstext 

erforderlich ist. 

Mögliche Werte • Aktiviert 

– Jedes Mal 

– Once per logon 

• Deaktiviert 

• Nicht konfiguriert 

Einstellungen und Richtlinien für die Authentifizierung über das 

Lesegerät für Fingerabdrücke 

Erzwungene Optionen zum Umgehen des Fingerabdrucks 

Die Option zum Umgehen des Fingerabdrucks ermöglicht es einem Benutzer, die Authentifizierung über 

Fingerabdruck zu umgehen und ein Windows-Kennwort zum Anmelden zu verwenden. Der Benutzer kann 

diese Option beim Hinzufügen eines neuen Eintrags im Password Manager auswählen oder abwählen. 

Standardmäßig ist jedoch das Umgehen des Fingerabdrucks aktiviert, auch wenn diese Option nicht 

ausgewählt ist. Dies ermöglicht es dem Benutzer, sich bei Windows anzumelden, wenn der Sensor für 

Fingerabdrücke nicht funktionsbereit ist. Um die erzwungene Option zum Umgehen des Fingerabdrucks zu 

inaktivieren, bearbeiten Sie den folgenden Registrierungsschlüssel: 

[HKEY_LOCAL_MACHINE\SOFTWARE\Lenovo\Client Security Solution\CSS Configuration] 

"GinaDenyLogonDeviceNonEnrolled"=dword:00000001 

Wenn der Registrierungsschlüssel wie oben festgelegt ist, kann der Benutzer die Authentifizierung über 

Fingerabdruck nicht umgehen, wenn der Sensor für Fingerabdrücke nicht funktioniert. 

Ergebnis der Überprüfung des Fingerabdrucks 

Bei der Authentifizierung über Fingerabdruck steuert die folgende Richtlinie die Anzeige der Überprüfung des 

Fingerabdrucks. 

HKLM\Lenovo\TVT Common\Client Security Solution\FPSwipeResult 

• FPSwipeResult=0: Alle Nachrichten werden angezeigt. 

• FPSwipeResult=1: Nur Fehlernachrichten werden angezeigt (Standardwert). 

• FPSwipeResult=2: Es werden keine Nachrichten angezeigt. 

Befehlszeilentools 

Die Funktionen von ThinkVantage Technologies können auch lokal oder über Remotezugriff von 

IT-Administratoren des Unternehmens über die Befehlszeilenschnittstelle implementiert werden. Die 

Konfigurationseinstellungen können dabei über die Einstellungen einer fernen Textdatei verwaltet werden. 

Client Security Solution verfügt über die folgenden Befehlszeilentools: 

• „ Security Advisor“ auf Seite 40 

• „Installationsassistent für Client Security Solution“ auf Seite 41 


• „Tool zur Verschlüsselung und Entschlüsselung der Implementierungsdatei“ auf Seite 42 

• „Tool zur Verarbeitung der Implementierungsdatei“ auf Seite 42 

• „TPMENABLE.EXE“ auf Seite 43 

• „Tool zur Übertragung von Zertifikaten“ auf Seite 43 

• „TPM aktivieren oder deaktivieren“ auf Seite 44 

Security Advisor 

Starten Sie zum Verwenden der Funktion „Security Advisor“ das Programm „Client Security Solution“, klicken 

Sie auf das Menü Erweitert und klicken Sie auf die Schaltfläche Security Advisor im Arbeitsbereich von 

Client Security Solution. Das System wird die Datei „wst.exe“ ausführen, die sich für eine Standardinstallation 

im Verzeichnis C:\Program Files\Lenovo\Common Files\WST\ befindet. 

Es gibt die folgenden Parameter: 

Tabelle 11. Parameter 


HardwarePasswords Legt den Wert für das Hardwarekennwort fest. Durch den 

Wert 1 wird dieser Abschnitt angezeigt, durch den Wert 0 

wird er ausgeblendet. Der Standardwert ist 1. 

PowerOnPassword Legt fest, dass ein Kennwort zum Einschalten aktiviert 

wird, oder die Einstellung wird markiert. 

HardDrivePassword Legt fest, dass ein Kennwort für das Festplattenlaufwerk 

aktiviert wird, oder die Einstellung wird markiert. 

AdministratorPassword Legt fest, dass ein Administratorkennwort aktiviert wird, 

oder die Einstellung wird markiert. 

WindowsUsersPasswords Legt den Wert für das Windows-Benutzerkennwort fest. 

Durch den Wert 1 wird dieser Abschnitt angezeigt, durch 

den Wert 0 wird er ausgeblendet. Ist dieser Parameter 

nicht vorhanden, wird der Abschnitt standardmäßig 

angezeigt. 

Kennwort Legt fest, dass das Benutzerkennwort aktiviert wird, oder 

die Einstellung wird markiert. 

PasswordAge Legt die Gültigkeitsdauer des Windows-Kennworts für 

die betreffende Maschine fest oder die Einstellung wird 

markiert. 

PasswordNeverExpires Legt fest, dass die Gültigkeit des Windows-Kennworts nie 

abläuft, oder die Einstellung wird markiert. 

WindowsPasswordPolicy Legt den Wert für das Windows-Kennwort fest. Durch 

den Wert 1 wird dieser Abschnitt angezeigt, durch den 

Wert 0 wird er ausgeblendet. Ist dieser Parameter nicht 

vorhanden, wird der Abschnitt standardmäßig angezeigt. 

MinimumPasswordLength Legt die Kennwortlänge für die betreffende Maschine fest, 

oder die Einstellung wird markiert. 

MaximumPasswordAge Legt die Gültigkeitsdauer des Kennworts für die 

betreffende Maschine fest, oder die Einstellung wird 

markiert. 

ScreenSaver Legt den Wert für den Bildschirmschoner fest. Durch 





Tabelle 11. Parameter (Forts.) 


ScreenSaverPasswordSet Legt fest, dass der Bildschirmschoner kennwortgeschützt 

ist, oder die Einstellung wird markiert. 

ScreenSaverTimeout Legt das Zeitlimit für den Bildschirmschoner für die 


markiert. 

FileSharing Legt den Wert für gemeinsamen Dateizugriff fest. Durch 




AuthorizedAccessOnly Legt fest, dass für den gemeinsamen Dateizugriff eine 

entsprechende Berechtigung erforderlich ist, oder die 

Einstellung wird markiert. 

ClientSecurity Legt den Wert für Client Security fest. Durch den Wert 1 

wird dieser Abschnitt angezeigt, durch den Wert 0 wird er 

ausgeblendet. Ist dieser Parameter nicht vorhanden, wird 

der Abschnitt standardmäßig angezeigt. 

EmbeddedSecurityChip Legt fest, dass der Sicherheitschip aktiviert wird, oder 

die Einstellung wird markiert. 

ClientSecuritySolution Legt die Version von Client Security Solution für die 


markiert. 

Installationsassistent für Client Security Solution 

Der Installationsassistent für Client Security Solution wird verwendet, um über XML-Dateien 

Implementierungsscripts zu erstellen. Mit Hilfe des folgenden Befehls können die verschiedenen Funktionen 

des Assistenten angezeigt werden: 

"C:\Program Files\Lenovo\Client Security Solution\css_wizard.exe" /? 

Die folgende Tabelle enthält die Befehle für den Installationsassistenten für Client Security Solution. 

Tabelle 12. Befehle für den Installationsassistenten für Client Security Solution 

Parameter Ergebnis 

/h oder /? Zeigt das Feld mit Hilfenachrichten an. 

/name:DATEINAME Steht vor dem vollständig qualifizierten Pfad und dem 

Dateinamen der generierten Implementierungsdatei. Die 

Datei weist die Erweiterung .xml auf. 

/encrypt Verschlüsselt die Scriptdatei durch AES-Verschlüsselung. 

Der Dateiname wird nach der Verschlüsselung mit 

der Erweiterung .enc hinzugefügt. Wenn der Befehl 

/pass nicht verwendet wird, wird ein statischer 

Verschlüsselungstext verwendet, um die Datei unkenntlich 

zu machen. 


Tabelle 12. Befehle für den Installationsassistenten für Client Security Solution (Forts.) 


/pass: Steht vor dem Verschlüsselungstext zum Schutz der 

verschlüsselten Implementierungsdatei. 

/novalidate Inaktiviert die Überprüfungsfunktionen für das 

Kennwort und für den Verschlüsselungstext des 

Assistenten, so dass eine Scriptdatei auf einer bereits 

konfigurierten Maschine erstellt werden kann. Zum 

Beispiel ist das Administratorkennwort für die aktuelle 

Maschine möglicherweise nicht das gewünschte 

Kennwort für das gesamte Unternehmen. Mit dem Befehl 

/novalidatekönnen Sie ein anderes Administratorkennwort 

eingeben (in der GUI von css_wizard während der 

Erstellung der xml-Datei). 

Beispiel: 

css_wizard.exe /encrypt /pass:my secret /name:C:\DeployScript /novalidate 

Tool zur Verschlüsselung und Entschlüsselung der 

Implementierungsdatei 

Dieses Tool dient zum Verschlüsseln und Entschlüsseln der XML-Implementierungsdateien von Client 

Security. Mit Hilfe des folgenden Befehls können die verschiedenen Funktionen des Tools angezeigt werden: 

"C:\Program Files\Lenovo\Client Security Solution\xml_crypt_tool.exe" /? 

Die Parameter werden in der folgenden Tabelle angezeigt: 

Tabelle 13. Parameter zum Verschlüsseln oder Entschlüsseln der Client Security-XML-Implementierungsdateien 

Parameter Ergebnisse 

/h oder /? Zeigt die Hilfenachricht an. 

FILENAME Zeigt den Pfadnamen und den Dateinamen mit der 

Erweiterung .xml oder .enc an. 

/encrypt oder /decrypt Wählt /encrypt für XML-Dateien und /decrypt für 

ENC-Dateien aus. 

PASSPHRASE Zeigt den optionalen Parameter an, der erforderlich ist, 

wenn ein Verschlüsselungstext verwendet wird, um die 

Datei zu schützen. 

Beispiele: 

xml_crypt_tool.exe "C:\DeployScript.xml" /encrypt "my secret" 

und 

xml_crypt_tool.exe "C:\DeployScript.xml.enc" /decrypt "my secret" 

Tool zur Verarbeitung der Implementierungsdatei 

Mit dem Tool „vmserver.exe“ werden die XML-Implementierungsscripts von Client Security Solution 

verarbeitet. Mit Hilfe des folgenden Befehls können die verschiedenen Funktionen des Assistenten angezeigt 

werden: 

"C:\Program Files\Lenovo\Client Security Solution\vmserver.exe" /? 

Die folgende Tabelle enthält die Parameter für die Dateiverarbeitung. 


Tabelle 14. Parameter für Dateiverarbeitung 


FILENAME Der Parameter FILENAME muss die Dateierweiterung .xml 

oder .enc aufweisen. 

PASSPHRASE Der Parameter PASSPHRASE dient zum Entschlüsseln 

einer Datei mit der Erweiterung .enc. 

Beispiel: 

Vmserver.exe C:\DeployScript.xml.enc"my secret" 

TPMENABLE.EXE 

Die Datei „tpmenable.exe“ dient zum Ein- und Ausschalten des Sicherheitschips. 

Tabelle 15. Parameter für die Datei „tpmenable.exe“ 


/enable oder /disable Zum Ein- oder Ausschalten des Sicherheitschips 

/quiet Zum Ausblenden von Eingabeaufforderungen für das 

BIOS-Kennwort oder von Fehlermeldungen. 

sp:Kennwort Verwenden Sie unter Windows 2000 und XP für das 

BIOS-Administrator- bzw. -Supervisor-Kennwort keine 

doppelten Anführungszeichen vor und nach dem 

Kennwort. 

Beispiel: 

tpmenable.exe /enable /quiet /sp:My BiosPW 

Tool zur Übertragung von Zertifikaten 

Die folgende Tabelle enthält Befehlszeilenschalter des Tools zur Übertragung von Zertifikaten für Client 

Security Solution: 

Tabelle 16. css_cert_transfer_tool.exe : | all_access | usage 


Dies ist der erste erforderliche Parameter. Er muss als erster Schalter 

verwendet werden und eines der folgenden Beispiele enthalten: 

Beispiele: 

cert_store_user Überträgt nur Benutzerzertifikate. Benutzerzertifikate sind 

dem aktuellen Benutzer zugeordnet. 

cert_store_machine Überträgt nur Maschinenzertifikate. Maschinenzertifikate 

können von allen berechtigten Benutzern auf einer Maschine 

verwendet werden. 

cert_store_all Überträgt sowohl Benutzer- als auch Maschinenzertifikate. 


Tabelle 16. css_cert_transfer_tool.exe : | all_access | usage (Forts.) 


: Dies ist der zweite erforderliche Parameter. Er muss nach dem 

erforderlichen Parameter verwendet werden. 

Auf jeden Filtertyp (außer die unten angegebenen) muss ein Doppelpunkt 

(:) folgen und unmittelbar auf den Doppelpunkt muss der Name des 

Zertifikatsbetreffs, die Zertifizierungsstelle oder die Schlüsselgröße, 

nach dem/der gesucht wird, folgen. Bei diesem Dienstprogramm 

muss die Groß-/Kleinschreibung beachtet werden. Wenn der Name, 

nach dem Sie suchen, ein zusammengesetzter Name ist, z. B. „Name 

der Zertifizierungsstelle“, müssen Sie das Suchkritierium in doppelte 

Anführungszeichen („“) setzen (siehe Beispiele). 

Beispiele: 

subject_simple_name: Überträgt alle Zertifikate, die dem Namen entsprechen, auf 

den das Zertifikat ausgestellt ist, wobei der Betreffname 

„“ lautet. 

subject_friendly_name: Überträgt alle Zertifikate, die dem Anzeigenamen 

entsprechen, auf den das Zertifikat ausgestellt ist, wobei 

der Anzeigename „“ lautet. 

issuer_simple_name: Überträgt alle Zertifikate, die dem Namen der 

Zertifizierungsstelle entsprechen, die sie ausgestellt hat, 

wobei der Name der Zertifizierungsstelle „“ lautet. 

issuer_friendly_name: Überträgt alle Zertifikate, die dem Anzeigenamen der 

Zertifizierungsstelle entsprechen, die sie ausgestellt hat, 

wobei der Anzeigename der Zertifizierungsstelle „“ 

lautet. 

key_size: Überträgt alle Zertifikate die mit der Schlüsselgröße 

„“ in Bit verschlüsselt sind. Beachten Sie, dass 

es sich hierbei um ein exaktes Übereinstimmungskriterium 

handelt. Das Programm sucht nicht nach Zertifikaten, die 

mit einer Schlüsselgröße verschlüsselt sind, die dieser 

Größe mindestens oder höchstens entspricht. 

Die folgenden beiden Schalter sind eigenständig, sie weisen kein zweites Argument auf: 

all_access Überträgt alle Zertifikate ungefiltert. 

usage Stellt keine Informationen in der Befehlszeile bereit, aber die Funktion, die zum Bestimmen 

der richtigen Verwendung verwendet wird, gibt „true“ oder „false“ zurück, je nachdem, ob die 

eingegebenen Befehle richtig sind. 

TPM aktivieren oder deaktivieren 

Gehen Sie bei den ThinkPad-Notebook-Computermodellen X200, T400, T500 und neueren 

ThinkPad-Notebook-Computermodellen (z. B. T410 oder T420) wie folgt vor, um das TPM zu aktivieren: 

1. Rufen Sie die folgende Website auf: 

http://support.lenovo.com/en_US/detail.page?LegacyDocID=MIGR-68488 

2. Klicken Sie auf Sample Scripts for BIOS Deployment Guide (Beispiel-Scripts für 

BIOS-Bereitstellungshandbuch), um die Datei „script.zip“ herunterzuladen. Extrahieren Sie dann die 

ZIP-Datei. 

3. Geben Sie im Befehlszeilenfenster cscript.exe SetConfig.vbs SecurityChip Active ein, um die Datei 

„SetConfig.vbs“ auszuführen. 

4. Starten Sie Ihren Computer erneut. 

Anmerkung: Bei den ThinkPad-Notebook-Computermodellen T400 oder T410 müssen Sie den Computer 

zweimal neu starten, um das TPM zu aktivieren. 


Gehen Sie bei Desktop-Computern wie folgt vor, um das TPM zu aktivieren: 



2. Klicken Sie auf Visual Basic sample scripts to use when configuring BIOS settings (Beim 

Konfigurieren von BIOS-Einstellungen zu verwendende Visual Basic-Beispiel-Scripts), um die Datei 

„sample_script_m90.zip“ herunterzuladen. Extrahieren Sie dann die ZIP-Datei. 


„SetConfig.vbs“ auszuführen. 

4. Starten Sie Ihren Computer erneut. 

Bei allen ThinkStation-Desktop-Computermodellen und ThinkPad-Notebook-Computermodellen 

vor T400 (z. B. T61) aktivieren Sie das TPM mithilfe des TPM-Aktivierungstools oder der Datei 

„css_manage_vista_tpm.exe“. 

TPM-Aktivierungstool verwenden (Windows XP) 

Die Datei „tpm_activate_cmd.exe“ wird verwendet, um das TPM unter Windows XP-Betriebssystemen zu 

aktivieren oder zu deaktivieren. 

Anmerkung: Zum Ausführen dieses Tools müssen Sie über Administratorberechtigung verfügen. Vor dem 

Ausführen dieses Tools müssen die die aktuellen SMBios- und SMBus-Treiber installieren. 

Tabelle 17. Parameter zum Aktivieren oder Inaktivieren des TPM auf dem Lenovo System 


/help or /? Zeigt die Parameterliste an. 

/biospw:Kennwort Gibt das BIOS-Supervisor- oder -Administratorkennwort 

an, wenn eines exportiert ist. 

/deactivate Inaktiviert das TPM. 

Anmerkung: Wenn Sie die Datei „tpm_activate_cmd.exe“ 

ohne den Parameter /deactivate ausführen, wird das 

TPM standardmäßig aktiviert. 

/verbose Zeigt eine Textausgabe an. 

Beispiel: 

tpm_activate_cmd.exe /? 

tpm_activate_cmd.exe /verbose 

tpm_activate_cmd.exe /biospw:pass 

Die Datei „css_manage_vista_tpm.exe“ verwenden (Windows Vista oder Windows 7) 

Die Datei „css_manage_vista_tpm.exe“ wird verwendet, um das TPM unter Windows Vista oder Windows 

7-Betriebssystemen zu aktivieren, auf denen Client Security Solution installiert ist. 

Anmerkung: Zum Ausführen dieses Tools müssen Sie über Administratorberechtigung verfügen. 

css_manage_vista_tpm.exe [/verbose] [/showinfo | /getstate | setstate: ] 

wobei 

/verbose zeigt die Textausgabe an. Die Standardeinstellung ist die Operation im Hintergrund. 

/showinfo zeigt die TPM-Informationen an, z. B. den Hersteller, die Firmwareversion, das physische 

Vorhandensein und die Schnittstellenversion. 


getstate zeigt den aktuellen TPM-Status an. Das TPM verfügt über die folgenden Statustypen: 

• Enabled (Aktiviert) 

• Disabled (Deaktiviert) 

• Activated (Aktiviert) 

• Deactivated (Deaktiviert) 

• Owned (in Eigentum) 

• Not owned (nicht in Eigentum) 

/setstate: legt den von Ihnen bevorzugten TPM-Statustyp fest. 0 stellt „disabled and deactivated“ 

(ausgeschaltet und deaktiviert) dar. 1 stellt „enabled“ (eingeschaltet) dar. 2 stellt „activated“ (aktiviert) dar. 

4 stellt „owned“ (in Eigentum) dar. Sie können die Funktion zum Hinzufügen verwenden (d. h. bitweises 

ODER), um mehrere gültige Status festzulegen. 

Zum Beispiel: 

css_manage_vista_tpm.exe /verbose /setstate:0 legt den TPM-Status auf „disabled and deactivated“ 

(ausgeschaltet und deaktiviert) fest. 

css_manage_vista_tpm.exe /verbose /setstate:1 legt den TPM-Status auf „enabled“ (eingeschaltet) fest. 

css_manage_vista_tpm.exe /verbose /setstate:2 legt den TPM-Status auf „activated“ (aktiviert) fest. 

css_manage_vista_tpm.exe /verbose /setstate:3 legt den TPM-Status auf „enabled and activated“ 

(eingeschaltet und aktiviert) fest. 

Anmerkung: 

• Zu den gültigen TPM-Statustypen gehören folgende Typen: 

– Enabled (Aktiviert) 

– Deaktiviert 

– Activated (Aktiviert) 

– Deactivated (Deaktiviert) 

– Enabled and activated (Eingeschaltet und aktiviert) 

– Disabled and deactivated (Ausgeschaltet und deaktiviert) 

• Zu den gültigen TPM-Statusübertragungen gehört Folgendes: 

– Disabled -> Enabled (Ausgeschaltet -> Eingeschaltet) 

– Disabled -> Enabled and activated (Ausgeschaltet -> Eingeschaltet und aktiviert) 

– Enabled -> Disabled (Eingeschaltet -> Ausgeschaltet) 

– Enabled -> Enabled and activated (Eingeschaltet -> Eingeschaltet und aktiviert) 

– Enabled and activated -> Disabled (Eingeschaltet und aktiviert -> Ausgeschaltet) 

– Enabled and activated -> Disabled and deactivated (Eingeschaltet und aktiviert -> Ausgeschaltet 

und deaktiviert) 

Active Directory-Unterstützung 

Active Directory ist ein Verzeichnisservice. Das Verzeichnis befindet sich dort, wo Informationen zu 

Benutzern und Ressourcen gespeichert werden. Der Verzeichnisservice ermöglicht den Zugriff auf diese 

Ressourcen, sodass sie verwaltet werden können. 


Active Directory stellt einen Mechanismus für Administratoren bereit, mit dessen Hilfe Computer, Gruppen, 

Benutzer, Domänen, Sicherheitsrichtlinien und alle Arten von benutzerdefinierten Objekten verwaltet werden 

können. Der von Active Directory dazu verwendete Mechanismus wird als „Group Policy“ (Gruppenrichtlinie) 

bezeichnet. Mit Hilfe von Gruppenrichtlinien können Administratoren Einstellungen definieren, die auf 

Computer oder Benutzer in der Domäne angewendet werden können. 

In ThinkVantage Technologies-Produkten wird derzeit eine Vielzahl von Methoden zum Zusammenstellen von 

Einstellungen zum Steuern der Programmeinstellungen verwendet, wie z. B. das Lesen aus bestimmten 

anwendungsdefinierten Einträgen in der Registrierungsdatenbank. 

Bei den folgenden Beispielen handelt es sich um Einstellungen, die Active Directory für Client Security 

Solution verwalten kann: 

• Sicherheitsrichtlinien. 

• Angepasste Sicherheitsrichtlinien, z. B. die Verwendung eines Windows-Kennworts oder eines Client 

Security Solution-Verschlüsselungstexts. 

ADM-Schablonendateien 

Eine ADM-Schablonendatei definiert die von Anwendungen auf Clientcomputern verwendeten 

Richtlinieneinstellungen. Bei Richtlinien handelt es sich um bestimmte Einstellungen, die das 

Anwendungsverhalten regeln. Richtlinieneinstellungen definieren zudem, ob der Benutzer über die 

Anwendung bestimmte Einstellungen vornehmen darf. 

Von einem Administrator auf dem Server definierte Einstellungen werden als „Richtlinien“ bezeichnet. 

Einstellungen, die von einem Benutzer auf dem Client-Computer für eine Anwendung vorgenommen werden, 

werden als „Benutzereinstellungen“ bezeichnet. Wie von Microsoft haben Richtlinieneinstellungen Vorrang 

vor Benutzereinstellungen. 

Ein Benutzer kann z. B. ein Hintergrundbild auf seinem Desktop speichern. Hierbei handelt es sich um eine 

Benutzereinstellung. Ein Administrator kann nun z. B. eine Einstellung auf dem Server vornehmen, die 

vorgibt, dass der Benutzer ein bestimmtes Hintergrundbild verwenden muss. Die Richtlinieneinstellung des 

Administrators setzt die Benutzereinstellung außer Kraft. 

Wenn ein ThinkVantage Technology-Produkt eine Überprüfung auf eine Einstellung vornimmt, sucht es in 

der folgenden Reihenfolge nach der Einstellung: 

• Computerrichtlinien 

• Benutzerrichtlinien 

• Standardbenutzerrichtlinien 

• Computereinstellungen 

• Benutzereinstellungen 

• Standardbenutzereinstellungen 

Wie zuvor beschrieben, werden Computer- und Benutzerrichtlinien vom Administrator definiert. Diese 

Einstellungen können über die XML-Konfigurationsdatei oder über eine Gruppenrichtlinie in Active Directory 

vorgenommen werden. Computer- und Benutzereinstellungen werden durch den Benutzer über Optionen 

in den Anwendungsschnittstellen vorgenommen. Standardbenutzereinstellungen werden durch das 

XML-Konfigurationsscript vorgenommen. Benutzer ändern diese Werte nicht direkt. Die von einem Benutzer 

an diesen Einstellungen vorgenommenen Änderungen werden in den Benutzereinstellungen aktualisiert. 

Kunden, die Active Directory nicht verwenden, können einen Standardsatz von Richtlinieneinstellungen, 

die auf den Clientsystemen implementiert werden sollen, erstellen. Administratoren können 


XML-Konfigurationsscripts ändern und angeben, dass diese bei der Installation des Produkts verarbeitet 

werden sollen. 

Einfach zu verwaltende Einstellungen definieren 

Im folgenden Beispiel werden Einstellungen im Editor für Gruppenrichtlinien gezeigt, die unter Verwendung 

der folgenden Hierarchie vorgenommen wurden: 

Computer Configuration>Administrative Templates>ThinkVantage Technologies> 

Client Security Solution>Authentication Policies>Max Retries> 

Password number of retries 

Die ADM-Dateien geben an, an welcher Stelle in der Registrierungsdatenbank die Einstellungen gespeichert 

werden. Diese Einstellungen befinden sich in den folgenden Verzeichnissen in der Registrierungsdatenbank: 

Computer policies: 

HKLM\Software\Policies\Lenovo\Client Security Solution\ 

User policies: 

HKCU\Software\Policies\Lenovo\Client Security Solution\ 

Default user policies: 

HKLM\Software\Policies\Lenovo\Client Security Solution\User defaults 

Computer preferences: 

HKLM\Software\Lenovo\Client Security Solution\ 

User preferences: 

HKCU\Software\Lenovo\Client Security Solution\ 

Default user preferences: 

HKLM\Software\Lenovo\Client Security Solution\User defaults 

Einstellungen für Gruppenrichtlinien 

In den Tabellen in diesem Abschnitt werden die Richtlinieneinstellungen für die Computerkonfiguration und 

die Benutzerkonfiguration für Client Security Solution angezeigt. 

Maximale Anzahl der Wiederholungsversuche 

In der folgenden Tabelle sind die Richtlinieneinstellungen für die maximale Anzahl der Wiederholungsversuche 

bei Authentifizierungsrichtlinien angegeben. 

Tabelle 18. Computer Configuration ➙ ThinkVantage ➙ Client Security Solution ➙ Authentication policies ➙ 

Max retries 

Richtlinie 

Password number of 

retries 

Passphrase number of 

retries 

Sicherer Modus 

Aktivierte 

Einstellung Beschreibung 

Maximum number 

of retries is 20. 

Maximum number 

of retries is 20. 

Steuert die maximale Anzahl der Wiederholungsversuche, die ein 

Benutzer bei der Authentifizierung mit einem Windows-Kennwort hat, 

bevor die Richtlinie zum Außerkraftsetzen einsetzt. 

Steuert die maximale Anzahl der Wiederholungsversuche, 

die ein Benutzer bei der Authentifizierung mit einem Client 

Security-Verschlüsselungstext hat, bevor die Richtlinie zum 

Außerkraftsetzen einsetzt. 

In der folgenden Tabelle sind die Richtlinieneinstellungen für den sicheren Modus für 

Authentifizierungsrichtlinien angegeben. 


Tabelle 19. Computer Configuration ➙ Administrative templates ➙ ThinkVantage ➙ Client Security Solution ➙ 

Authentication policies ➙ Secure mode 

Richtlinie Aktivierte Einstellungen Beschreibung 

Kennwort Sie können als Häufigkeit entweder Every time oder 

Once per logon festlegen. 

Verschlüsselungstext Sie können als Häufigkeit entweder Every time oder 


Fingerprint Sie können als Häufigkeit entweder Every time oder 


Außer Kraft setzen Festlegung zum Außerkraftsetzen des Kennworts, 

des Verschlüsselungstexts oder des Fingerabdrucks. 

Standardmodus 

Steuert, ob ein Kennwort erforderlich ist. 

Steuert, ob ein Verschlüsselungstext 


Steuert, ob ein Fingerabdruck 


In der folgenden Tabelle sind die Richtlinieneinstellungen für den Standardmodus für 

Authentifizierungsrichtlinien angegeben. 

Legt 

„Fallback“-Authentifizierungsbestimmungen 

fest, wenn die normale Authentifizierung 

fehlschlägt. 


Authentication policies ➙ Default mode 


Kennwort Sie können als Häufigkeit entweder Every time 

oder Once per logon festlegen. 

Verschlüsselungstext Sie können als Häufigkeit entweder Every time 


Fingerprint Sie können als Häufigkeit entweder Every time 


Außer Kraft setzen Festlegung zum Außerkraftsetzen des 

Kennworts, des Verschlüsselungstexts oder 

des Fingerabdrucks. 

Authentifizierungsrichtlinien 






Legt 



fehlschlägt. 

Die folgende Richtlinienliste enthält aktivierte Einstellungen, die die Authentifizierungsebene jeder Richtlinie 

definieren: 

• Authentifizierungsebene der Windows-Anmeldung 

• Authentifizierungsebene der Systementsperrung 

• Authentifizierungsebene des Password Managers 

• Authentifizierungsebene der CSP-Signatur 

• Authentifizierungsebene der CSP-Entschlüsselung 

• Authentifizierungsebene der PKCS#11-Signatur 

• Authentifizierungsebene der PKCS#11-Entschlüsselung 

• Authentifizierungsebene der PKCS#11-Anmeldung 

Die folgende Tabelle enthält Werte und Einstellungen für die oben genannten Authentifizierungsebenen: 



Authentication policies 


Kennwort Sie können als Häufigkeit entweder Every time oder 


Verschlüsselungstext Sie können als Häufigkeit entweder Every time oder 


Fingerprint Sie können als Häufigkeit entweder Every time oder 


Außer Kraft setzen Festlegung zum Außerkraftsetzen des Kennworts, 

des Verschlüsselungstexts oder des Fingerabdrucks. 

Passwort Manager 

Die folgende Tabelle enthält Richtlinieneinstellungen für den Password Manager. 






Legt 



fehlschlägt. 

Tabelle 22. Computer Configuration ➙ ThinkVantage ➙ Client Security Solution ➙ Password manager 

Richtlinieneinstellung Beschreibung 

Disable Password manager Steuert, ob der Password Manager bei Systemstart gestartet wird. 

Disable Internet Explorer support Steuert, ob der Password Manager Kennwörter aus dem Internet Explorer 

speichern kann. 

Disable Mozilla support Steuert, ob der Password Manager Kennwörter von auf Mozilla basierenden 

Browsern, einschließlich Firefox und Netscape, speichern kann. 

Disable support for Windows 

applications 

Steuert, ob der Password Manager Kennwörter aus Windows-Anwendungen 

speichern kann. 

Disable Auto-fill Steuert, ob der Password Manager automatisch Daten in Websites und 

Windows-Anwendungen einsetzt. 

Disable Hotkey support Steuert, ob der Password Manager die Verwendung von Direktaufrufen 

für das Einsetzen von Daten in Websites und Windows-Anwendungen 

unterstützt. 

Use Domain filtering Steuert, ob der Password Manager Websites auf der Basis von Domänen 

filtert. 

Prohibited Domains Steuert, für welche Domänen der Password Manager keine Kennwörter 

speichern darf. 

Prohibited URLs Steuert, für welche URLs der Password Manager keine Kennwörter 

speichern darf. 

Prohibited Modules Steuert, für welche Windows-Anwendungen der Password Manager keine 

Kennwörter speichern darf. 

Auto-fill Hotkey Steuert den Direktaufruf Strg+F2 zum automatischen Einsetzen. 

Type and Transfer Hotkey Steuert den Direktaufruf Strg+Umschalttaste+H zum Eingeben und 

Übertragen. 

Manage Hotkey Steuert den Direktaufruf Strg+Umschalttaste+B. 

User Interface 

Die folgende Tabelle enthält Richtlinieneinstellungen für die Benutzerschnittstelle. 


Tabelle 23. Computer Configuration ➙ ThinkVantage ➙ Client Security Solution ➙ User interface 

Richtlinieneinstellung Beschreibung 

Fingerprint software option Option „Fingerprint software“ in Client Security Solution anzeigen, 

abblenden oder ausblenden. Standard: anzeigen. 

File encryption option Option „File encryption“ in Client Security Solution anzeigen, abblenden 

oder ausblenden. Standard: anzeigen. 

Security settings audit option Option „Security settings“ in Client Security Solution anzeigen, abblenden 


Digital certificate transfer option Option „Digital certificate transfer“ in Client Security Solution anzeigen, 


Change security chip status option Option „Change security chip status“ in Client Security Solution anzeigen, 


Clear security chip lockout option Option „Clear security chip lockout“ in Client Security Solution anzeigen, 


Policy manager option Option „Policy manager“ in Client Security Solution anzeigen, abblenden 


Reset/Configure settings option Option „Configuration wizard“ in Client Security Solution anzeigen, 


Password manager option Option „Password manager“ in Client Security Solution anzeigen, 


Hardware Password Reset option Option „Hardware Password Reset“ in Client Security Solution anzeigen, 


Windows password recovery option Option „Windows password recovery“ in Client Security Solution anzeigen, 


Change authentication mode option Option „Change authentication mode“ in Client Security Solution anzeigen, 


Enable/disable Windows password 

recovery option 

Enable/disable Password Manager 

option 

Workstation-Sicherheitstools 

Option „Enable/disable Windows password recovery“ in Client Security 

Solution anzeigen, abblenden oder ausblenden. Standard: anzeigen. 

Option „Enable/disable Password Manager recovery“ in Client Security 

Solution anzeigen, abblenden oder ausblenden. Standard: anzeigen. 

Die folgende Tabelle enthält Richtlinieneinstellungen für das Workstation-Sicherheitstool. 

Tabelle 24. Computer Configuration ➙ ThinkVantage ➙ Client Security Solution ➙ Workstation security tool 

Richtlinie Einstellung Beschreibung 

Hardware Passwords Hardware Passwords Die Anzeige von Hardwarekennwortinformationen 

aktivieren oder inaktivieren. 

Hardware Passwords Power-On Password Wählen Sie als empfohlenen Wert „enable“ oder „disable“ 

aus, oder wählen Sie aus, dass diese Einstellung ignoriert 

werden soll. 

Hardware Passwords Hard Drive Password Wählen Sie als empfohlenen Wert „enable“ oder „disable“ 


werden soll. 

Hardware Passwords Administrator Password Wählen Sie als empfohlenen Wert „enable“ oder „disable“ 


werden soll. 


Tabelle 24. Computer Configuration ➙ ThinkVantage ➙ Client Security Solution ➙ Workstation security tool (Forts.) 

Richtlinie Einstellung Beschreibung 

Windows Users 

Passwords 

Windows Users 

Passwords 

Windows Users 

Passwords 

Windows Users 

Passwords 

Windows Password 

Policy 


Policy 


Policy 

Windows Users Passwords Die Anzeige von Windows-Kennwortinformationen 

aktivieren oder inaktivieren. 

Kennwort Wählen Sie als empfohlenen Wert „enable“ oder „disable“ 


werden soll. 

Gültigkeitsdauer des 

Kennworts 

Maximale Anzahl von Tagen, während deren das Kennwort 

gültig ist. 

Password never expires Als empfohlener Wert kann True, False oder Ignore 

festgelegt werden. 

Windows Password Policy Die Anzeige von Richtlinieninformationen zum 

Windows-Kennwort aktivieren oder inaktivieren. 

Minimum number of 

characters in the password 

Die minimale Anzahl von Zeichen für das Kennwort oder 

„Ignore“. 

Maximum password age Einstellung für die maximale Gültigkeitsdauer des 

Kennworts - Anzahl der Tage eingeben oder auswählen, 

dass dieser Wert in Ihren Ergebnissen ignoriert werden soll. 

Screen Saver Screen Saver Die Anzeige von Richtlinieninformationen zum 

Windows-Kennwort aktivieren oder inaktivieren. 

Screen Saver Screen Saver password set Die minimale Anzahl von Zeichen für das Kennwort oder 

„Ignore“. 

Screen Saver Screen Saver timeout Einstellung für die maximale Gültigkeitsdauer des 

Kennworts - Anzahl der Tage eingeben oder auswählen, 

dass dieser Wert in Ihren Ergebnissen ignoriert werden soll. 

File Sharing File Sharing Die Anzeige von Informationen zur gemeinsamen Nutzung 

von Daten aktivieren oder inaktivieren. 

File Sharing Authorized access Als empfohlener Wert kann True, False oder Ignore 

festgelegt werden. 

Client Security Client Security Die Anzeige von Informationen zu Client Security aktivieren 

oder inaktivieren. 

Client Security Embedded Security Chip Wählen Sie als empfohlenen Wert „enable“ oder „disable“ 

aus, oder geben Sie an, dass diese Einstellung ignoriert 

werden soll. 

Client Security Client Security Solution 

Version 


Legen Sie die empfohlene Mindestversion von Client 

Security Solution fest oder legen Sie Ignore fest.

Kapitel 4. Mit ThinkVantage Fingerprint Software arbeiten 

Die Fingerprint Console muss vom Installationsordner der ThinkVantage Fingerprint Software aus ausgeführt 

werden. Die grundlegende Syntax lautet FPRCONSOLE [USER | SETTINGS]. Der Befehl „user“ oder 

„settings“ gibt an, welcher Operationsmodus verwendet wird. Der vollständige Befehl lautet dann 

„fprconsole user add TestUser“. Wenn der Befehl nicht bekannt ist oder nicht alle Parameter angegeben 

sind, wird die Kurzbefehlliste zusammen mit den Parametern angezeigt. 

Die ThinkVantage Fingerprint Software, Installationsanweisungen, die Managementkonsole sowie 

Referenzliteratur sind auf der folgenden Website verfügbar: 


Managementkonsolentool 

Dieser Abschnitt enthält Informationen zu benutzerspezifischen Befehlen und zu Befehlen für globale 

Einstellungen. 

Benutzerspezifische Befehle 

Zum Registrieren und Bearbeiten von Benutzern wird der Abschnitt USER verwendet. Wenn der aktuelle 

Benutzer nicht über Administratorberechtigung verfügt, richtet sich das Verhalten der Konsole nach dem 

Sicherheitsmodus der Fingerprint Software. Im sicheren Modus sind keine Befehle zulässig. Im komfortablen 

Modus können Standardbenutzer die Befehle ADD, EDIT und DELETE ausführen. Der Benutzer kann 

jedoch nur das ihm zugeordnete Kennwort (das mit seinem Benutzernamen registriert ist) ändern. Die 

Syntax lautet wie folgt: 

FPRCONSOLE USER command 

Dabei steht command für einen der folgenden Befehle: ADD, EDIT, DELETE, LIST, IMPORT, EXPORT. 

Tabelle 25. Benutzerspezifische Befehle 

Befehl Syntax Beschreibung 

Neuen Benutzer registrieren 

Example: 

fprconsole user add 

domain0\testuser 

fprconsole user add 

testuser 

Registrierten Benutzer 

bearbeiten 

Example: 

fprconsole user edit 


fprconsole user edit 

testuser 

ADD [username [| domain\ 

username]] 

EDIT [username [| domain\ 

username]] 

Wird kein Benutzername angegeben, 

wird der aktuelle Benutzername 

verwendet. 

Wird kein Benutzername angegeben, 

wird der aktuelle Benutzername 

verwendet. 

Anmerkung: Der registrierte Benutzer 

muss zunächst seinen Fingerabdruck 

bestätigen. 


Tabelle 25. Benutzerspezifische Befehle (Forts.) 


Benutzer löschen 

Example: 

fprconsole user delete 



testuser 


/ALL 

Registrierte Benutzer 

aufzählen 

Registrierten Benutzer in Datei 

exportieren 

Registrierten Benutzer 

importieren 

DELETE [username [| domain\ 

username | /ALL]] 

Das Flag /ALL löscht alle auf diesem 

Computer registrierten Benutzer. Wenn 

der Benutzername nicht angegeben 

wird, wird der aktuelle Benutzername 

verwendet. 

List Listet die registrierten Benutzer auf. 

Syntax: EXPORT username 

[| domain\username] file 

Befehle für globale Einstellungen 

Mit diesem Befehl wird ein registrierter 

Benutzer in eine Datei auf dem 

Festplattenlaufwerk exportiert. Der 

Benutzer kann anschließend über den 

Befehl IMPORT auf einen anderen 

Computer oder auf denselben 

Computer importiert werden, wenn der 

Benutzer auf diesem gelöscht wurde. 

Syntax: IMPORT file Mit diesem Befehl wird der Benutzer 

aus der angegebenen Datei importiert. 

Anmerkung: Wenn der Benutzer in der 

Datei bereits auf demselben Computer 

mit denselben Fingerabdrücken 

registriert ist, ist nicht sichergestellt, 

welcher Benutzer bei der Identifikation 

Vorrang hat. 

Die globalen Einstellungen der Fingerprint Software können über den Abschnitt SETTINGS geändert werden. 

Für alle Befehle in diesem Abschnitt ist eine Administratorberechtigung erforderlich. Die Syntax lautet: 

FPRCONSOLE SETTINGS command 

Dabei steht command für einen der folgenden Befehle: SECUREMODE, LOGON, CAD, TBX, SSO. 

Tabelle 26. Befehle für globale Einstellungen 


Security mode 

Example: 

To set to convenient mode: 

fprconsole settings 

securemode 0 

SECUREMODE 0|1 Diese Einstellung wechselt zwischen dem 

komfortablen und dem sicheren Modus der 

Fingerprint Software. 

Art der Anmeldung LOGON 0|1 [/FUS] Diese Einstellung aktiviert (1) oder 

deaktiviert (0) die Anmeldeanwendung. 

Wird der Parameter /FUS verwendet, ist für 

die Anmeldung der Modus zum schnellen 

Wechseln zwischen Benutzern (FUS - 

Fast User Switching) aktiviert, wenn die 

Computerkonfiguration dies zulässt. 


Tabelle 26. Befehle für globale Einstellungen (Forts.) 


Strg+Alt+Entf-Nachricht CAD 0|1 Diese Einstellung aktiviert (1) oder inaktiviert 

(0) den Text „Drücken Sie Strg+Alt+Entf“ 

während der Anmeldung. 

Sicherheitsfunktionen beim 

Einschalten 

Sicherheitsfunktionen beim 

Einschalten - SSO (Single Sign-On) 

Sicherer Modus und komfortabler Modus 

TBX 0|1 Diese Einstellung schaltet bei der 

Einstellung 0 global die Unterstützung für 

die Sicherheitsfunktionen beim Einschalten 

in der Fingerprint Software aus. Wenn die 

Unterstützung für die Sicherheitsfunktionen 

beim Einschalten ausgeschaltet ist, 

werden keine Sicherheitsassistenten oder 

-seiten beim Einschalten angezeigt. Die 

BIOS-Einstellungen sind in diesem Fall 

bedeutungslos. 

SSO 0|1 Diese Einstellung aktiviert (1) oder 

deaktiviert (0) die Verwendung der im 

BIOS für die Anmeldung verwendeten 

Fingerabdrücke, um einen Benutzer 

automatisch anzumelden, wenn dieser im 

BIOS bestätigt ist. 

Die Fingerprint Software kann in zwei Sicherheitsmodi ausgeführt werden: dem sicheren Modus und 

dem komfortablen Modus. Der sichere Modus wurde für Situationen entwickelt, in denen ein hohes 

Sicherheitsniveau wichtig ist. Besondere Funktionen sind ausschließlich für den Administrator reserviert. Nur 

Administratoren können sich ohne zusätzliche Authentifizierung und nur mit dem Kennwort anmelden. 

Der komfortable Modus wurde für Heimcomputer entwickelt, bei denen ein hohes Sicherheitsniveau nicht 

unbedingt erforderlich ist. Alle Benutzer dürfen alle Operationen ausführen, einschließlich dem Bearbeiten 

von Berechtigungsnachweisen anderer Benutzer und der Möglichkeit, sich am System mit dem Kennwort 

(ohne Authentifizierung über Fingerabdruck) anzumelden. 

Ein Administrator ist ein Mitglied der lokalen Administratorgruppe. Wenn Sie den sicheren Modus einstellen, 

kann nur der Administrator wieder in den komfortablen Modus wechseln. 

Sicherer Modus – Administrator 

Bei der Anmeldung wird im sicheren Modus die folgende Nachricht angezeigt, wenn der falsche 

Benutzername oder das falsche Kennwort eingegeben wurde: „Only administrators can log on this computer 

with user name and password“ (Nur Administratoren dürfen sich an diesem Computer mit Benutzernamen 

und Kennwort anmelden). Damit wird eine höhere Sicherheit gewährleistet. 

Tabelle 27. Optionen für Administratoren im sicheren Modus 

Fingerprints (Fingerabdrücke) Beschreibung 

Create a new passport (Neuen Berechtigungsnachweis 

erstellen) 

Administratoren können ihren eigenen 

Berechtigungsnachweis und den Berechtigungsnachweis 

für einen Benutzer mit eingeschränkter Berechtigung 

erstellen. 

Edit Passports (Berechtigungsnachweise bearbeiten) Administratoren können nur ihren eigenen 

Berechtigungsnachweis bearbeiten. 

Kapitel 4. Mit ThinkVantage Fingerprint Software arbeiten 55

Tabelle 27. Optionen für Administratoren im sicheren Modus (Forts.) 

Fingerprints (Fingerabdrücke) Beschreibung 

Delete Passport (Berechtigungsnachweis löschen) Administratoren können die Berechtigungsnachweise von 

allen Benutzern mit eingeschränkter Berechtigung und 

anderen Administratoren löschen. Wenn andere Benutzer 

Sicherheitsfunktionen beim Einschalten verwenden, hat 

der Administrator die Möglichkeit, Benutzerschablonen zu 

diesem Zeitpunkt von den Sicherheitsfunktionen beim 

Einschalten zu entfernen. 

Power-on Security (Sicherheitsfunktionen beim 

Einschalten) 

Einstellungen 

Administratoren können die beim Starten verwendeten 

Fingerabdrücke von Benutzern mit eingeschränkter 

Berechtigung und von Administratoren löschen. 

Anmerkung: Bei aktiviertem Startmodus muss 

mindestens ein Fingerabdruck vorhanden sein. 

Logon settings (Anmeldeeinstellungen) Administratoren können an allen Anmeldeeinstellungen 

Änderungen vornehmen. 

Protected screen saver (Geschützter Bildschirmschoner) Administratoren haben Zugriff. 

Passport type (Typ des Berechtigungsnachweises) Administratoren haben Zugriff. - Nur in Verbindung mit 

Servern relevant. 

Security mode (Sicherheitsmodus) Administratoren können zwischen dem sicheren Modus 

und dem komfortablen Modus umschalten. 

Pro Servers (Pro Server) Administratoren haben Zugriff. - Nur in Verbindung mit 


Sicherer Modus - Benutzer mit eingeschränkter Berechtigung 

Bei einer Windows-Anmeldung muss ein Benutzer mit eingeschränkter Berechtigung einen Fingerabdruck 

zum Anmelden verwenden. Wenn das Lesegerät für Fingerabdrücke für Benutzer mit eingeschränkter 

Berechtigung nicht funktioniert, muss ein Administrator die Einstellung der Fingerprint Software ändern und 

den komfortablen Modus einstellen, um den Zugriff über Benutzernamen und Kennwort zu aktivieren. 

Tabelle 28. Optionen für Benutzer mit eingeschränkter Berechtigung im sicheren Modus 



erstellen) 

Benutzer mit eingeschränkter Berechtigung haben keinen 

Zugriff. 

Edit Passports (Berechtigungsnachweise bearbeiten) Benutzer mit eingeschränkter Berechtigung können nur 

ihren eigenen Berechtigungsnachweis bearbeiten. 

Delete Passport (Berechtigungsnachweis löschen) Benutzer mit eingeschränkter Berechtigung können nur 

ihren eigenen Berechtigungsnachweis löschen. 


Einschalten) 

Benutzer mit eingeschränkter Berechtigung haben keinen 

Zugriff. 

Logon settings (Anmeldeeinstellungen) Benutzer mit eingeschränkter Berechtigung können die 

Anmeldeeinstellungen nicht ändern. 

Geschützter Bildschirmschoner Benutzer mit eingeschränkter Berechtigung haben Zugriff. 

Passport type (Typ des Berechtigungsnachweises) Benutzer mit eingeschränkter Berechtigung haben keinen 

Zugriff. 


Tabelle 28. Optionen für Benutzer mit eingeschränkter Berechtigung im sicheren Modus (Forts.) 


Security mode (Sicherheitsmodus) Benutzer mit eingeschränkter Berechtigung können die 

Sicherheitsmodi nicht ändern. 

Pro Servers (Pro Server) Benutzer mit eingeschränkter Berechtigung haben Zugriff. 

- Nur in Verbindung mit Servern relevant. 

Komfortabler Modus - Administrator 

Bei einer Windows-Anmeldung können sich Administratoren entweder mit dem Administratornamen und 

dem zugehörigen Kennwort oder mit dem Fingerabdruck anmelden. 

Tabelle 29. Optionen für Administratoren im komfortablen Modus 

Einstellungen Beschreibung 


erstellen) 

Administratoren können nur ihren eigenen 

Berechtigungsnachweis erstellen. 

Edit Passports (Berechtigungsnachweise bearbeiten) Administratoren können nur ihren eigenen 

Berechtigungsnachweis bearbeiten. 

Delete Passport (Berechtigungsnachweis löschen) Administratoren können nur ihren eigenen 

Berechtigungsnachweis löschen. 


Einschalten) 

Administratoren können die beim Starten verwendeten 

Fingerabdrücke von Benutzern mit eingeschränkter 

Berechtigung und von Administratoren löschen. 

Anmerkung: Bei aktiviertem Startmodus muss 

mindestens ein Fingerabdruck vorhanden sein. 

Logon settings (Anmeldeeinstellungen) Administratoren können an allen Anmeldeeinstellungen 

Änderungen vornehmen. 

Protected screen saver (Geschützter Bildschirmschoner) Administratoren haben Zugriff. 

Passport type (Typ des Berechtigungsnachweises) Administratoren haben Zugriff. - Nur in Verbindung mit 


Security mode (Sicherheitsmodus) Administratoren können zwischen dem sicheren Modus 

und dem komfortablen Modus umschalten. 

Pro Servers (Pro Server) Administratoren haben Zugriff. - Nur in Verbindung mit 


Komfortabler Modus - Benutzer mit eingeschränkter Berechtigung 

Bei einer Windows-Anmeldung können Benutzer mit eingeschränkter Berechtigung sich entweder mit dem 

Benutzernamen und dem zugehörigen Kennwort oder mit dem Fingerabdruck anmelden. 

Tabelle 30. Optionen für Benutzer mit eingeschränkter Berechtigung im komfortablen Modus 



erstellen) 

Benutzer mit eingeschränkter Berechtigung können nur 

ihre eigenes Kennwort erstellen. 

Edit Passports (Berechtigungsnachweise bearbeiten) Benutzer mit eingeschränkter Berechtigung können nur 

ihren eigenen Berechtigungsnachweis bearbeiten. 

Delete Passport (Berechtigungsnachweis löschen) Benutzer mit eingeschränkter Berechtigung können nur 

ihren eigenen Berechtigungsnachweis löschen. 


Tabelle 30. Optionen für Benutzer mit eingeschränkter Berechtigung im komfortablen Modus (Forts.) 



Einschalten) 

Benutzer mit eingeschränkter Berechtigung können nur 

ihre eigenen Fingerabdrücke löschen. 

Logon settings (Anmeldeeinstellungen) Benutzer mit eingeschränkter Berechtigung können die 

Anmeldeeinstellungen nicht ändern. 

Geschützter Bildschirmschoner Benutzer mit eingeschränkter Berechtigung haben Zugriff. 

Passport type (Typ des Berechtigungsnachweises) Benutzer mit eingeschränkter Berechtigung haben keinen 

Zugriff. - Nur in Verbindung mit Servern relevant. 

Security mode (Sicherheitsmodus) Benutzer mit eingeschränkter Berechtigung können die 

Sicherheitsmodi nicht ändern. 

Pro Servers (Pro Server) Benutzer mit eingeschränkter Berechtigung haben Zugriff. 

- Nur in Verbindung mit Servern relevant. 

Konfigurierbare Einstellungen 

Einige Optionen der Fingerprint Software können über Einstellungen in der Registrierungsdatenbank 

konfiguriert werden. 

• Preboot/power-on software interface: Der Mechanismus zum Aktivieren der Unterstützung für die 

Fingerprint Software vor dem Starten oder beim Einschalten und zum Speichern der Fingerabdrücke 

auf dem Begleitchip wird in der Regel nicht in der Fingerprint Software angezeigt, es sei denn, 

auf dem System ist ein BIOS- oder ein Festplattenkennwort festgelegt. Um dieses Verhalten zu 

überschreiben und zu erzwingen, dass diese Optionen auch ohne das Vorhandensein eines BIOS- oder 

Festplattenkennworts angezeigt werden, fügen Sie einen der folgenden Einträge, je nachdem, welcher für 

Ihren Computermaschinentyp zutrifft, zur Registrierungsdatenbank hinzu: 

[HKEY_LOCAL_MACHINE\SOFTWARE\Protector Suite QL\1.0] 

REG_DWORD "BiosFeatures" = 2 

oder 

[HKEY_LOCAL_MACHINE\SOFTWARE\Protector Suite QL\1.0] 

REG_DWORD "BiosFeatures" = 4 

Diese Einstellung ist nützlich, wenn SafeGuard Easy auf einem System ohne BIOS-Kennwörter installiert 

ist und wenn zum Entschlüsseln des Festplattenlaufwerks die Authentifizierung über Fingerabdruck 


• Signaltöne: Die Fingerprint Software kann so konfiguriert werden, dass ein in einer .wav-Datei enthaltener 

Signalton unter bestimmten Umständen während der Authentifizierung über Fingerabdruck abgespielt 

wird. Die Registrierungseinstellungen für dieses Signaltöne lauten wie folgt: 

[HKEY_LOCAL_MACHINE\SOFTWARE\Protector Suite QL\1.0\settings] 

‘Success’ 

REG_SZ “sndSuccess” = [path to sound file] 

The file designated will play whenever a successful swipe is registered. 

‘Failure’ 

REG_SZ “sndFailure” = [path to sound file] 

The file designated will play whenever an unsuccessful swipe is attempted. 

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\fingerprint 

‘Scan’ 


REG_SZ “sndScan” = [path to sound file] 

The file designated will play whenever the fingerprint verification 

dialog is displayed for Client Security Solution-related operations. 

If the value is not present or is empty then no sound is played. 

Quality’ 

REG_SZ “sndQuality” = [path to sound file] 

The file designated will play whenever an unreadable swipe has occurred. 

If the value is not present or is empty then no sound is played. 

• Kennwortprüfung bei Systementsperrung: Standardmäßig überprüft die Fingerprint Software bei 

einer Systementsperrung das gespeicherte Kennwort. Für die Überprüfung ist der Domänencontroller 

zuständig. Es kann zu Verzögerungen kommen. Um die Verzögerung zu vermeiden, inaktivieren Sie die 

die Kennwortprüfung bei der Systementsperrung, indem Sie die Registrierungsdatenbank wie folgt 

bearbeiten: 

[HKEY_LOCAL_MACHINE\SOFTWARE\Protector Suite QL\1.0\settings] 

REG_DWORD "DoNotTestUnlock"=1 

Die Fingerprint Software überprüft weiterhin bei der Systemanmeldung das Kennwort. 

Anmerkung: Wenn für den obigen Registrierungsschlüssel 1 festgelegt ist, wird, wenn der 

Domänenadministrator das Kennwort das Benutzers ändert, wenn das System des Benutzers gesperrt 

ist, das alte Kennwort von der Fingerprint Software gespeichert, bis der Benutzer sich abmeldet und 

wieder anmeldet. 

Fingerprint Software und Novell Netware Client 

Um Konflikte zu vermeiden, müssen die Benutzernamen und die Kennwörter für die Fingerprint Software 

und für den Novell Netware Client übereinstimmen. Wenn auf Ihrem Computer die Fingerprint Software 

installiert ist und Sie anschließend den Novell Netware Client installieren, werden möglicherweise einige 

Einträge in der Registrierungsdatenbank überschrieben. Wenn Sie Probleme bei der Anmeldung bei der 

Fingerprint Software feststellen, rufen Sie das Fenster mit den Einstellungen für die Anmeldung auf, und 

aktivieren Sie den Logon Protector wieder. 

Wenn auf Ihrem Computer der Novell Netware Client installiert ist, Sie sich aber vor der Installation der 

Fingerprint Software nicht beim Client angemeldet haben, wird das Fenster für die Novell-Anmeldung 

angezeigt. Geben Sie die angeforderten Informationen ein. 

Anmerkung: Die Informationen in diesem Abschnitt gelten nur für die ThinkVantage Fingerprint Software. 

Gehen Sie wie folgt vor, um die Einstellungen für den Logon Protector zu ändern: 

• Starten Sie das Control Center (Steuerzentrale). 

• Klicken Sie auf Settings (Einstellungen). 

• Klicken Sie auf Logon settings (Anmeldeeinstellungen). 

• Aktivieren oder inaktivieren Sie den Logon Protector. 

Wenn Sie die Anmeldung über Fingerabdruck verwenden möchten, wählen Sie das Kontrollkästchen 

„Replace Windows logon with fingerprint-protected logon“ (Windows-Anmeldung durch Anmeldung 

mit Fingerabdruckschutz ersetzen) aus. 

Anmerkung: Beim Aktivieren und Inaktivieren des Logon Protector ist ein Neustart erforderlich. 

• Aktivieren oder inaktivieren Sie die schnelle Benutzerumschaltung, wenn dies vom System unterstützt 

wird. 

• (Optionale Funktion) Aktivieren oder inaktivieren Sie die automatische Anmeldung für Benutzer, die über 

die Bootsicherheitsfunktionen beim Einschalten authentifiziert sind. 


• Legen Sie die Novell-Anmeldeeinstellungen fest. Die folgenden Einstellungen stehen bei der Anmeldung 

an einem Novell-Netzwerk zur Verfügung: 

– Activated 

(Aktiviert) Die Fingerprint Software stellt automatisch bekannte Berechtigungsnachweise bereit. Schlägt 

die Novell-Anmeldung fehl, wird das Fenster für die Novell Client-Anmeldung mit der Aufforderung, die 

richtigen Daten einzugeben, angezeigt. 

– Ask during logon 

(Während Anmeldung abfragen) Die Fingerprint Software zeigt das Fenster für die Novell 

Client-Anmeldung mit der Aufforderung, die Anmeldedaten einzugeben, an. 

– Deaktiviert 

Die Fingerprint Software versucht keine Novell-Anmeldung. 

Authentifizierung 

Gehen Sie wie folgt vor, um Novell an die Fingerprint Software zu übergeben: 

1. Installieren Sie die Fingerprint Software. 

2. Installieren Sie den Novell Netware Client. 

3. Klicken Sie bei entsprechender Aufforderung auf Yes, um sich anzumelden. 

4. Führen Sie einen Warmstart durch. 

5. Klicken Sie bei entsprechender Aufforderung auf „Yes“, um sich bei der Fingerprint Software 

anzumelden. 

6. Starten Sie den Novell Netware Client. 

7. Authentifizieren Sie sich beim Server. 

8. Melden Sie sich bei Windows an. 

9. Führen Sie einen Warmstart durch. 

Anmerkung: Ihre Authentifizierungs-ID und Ihr Windows-Kennwort müssen übereinstimmen. 

Dienste für ThinkVantage Fingerprint Software 

Der Dienst „upeksvr.exe“ wird nach der Installation der ThinkVantage Fingerprint Software zum System 

hinzugefügt. Er wird beim Start gestartet und wird die ganze Zeit, während der Benutzer sich anmeldet, 

ausgeführt. Der Dienst „upeksvr.exe“ ist das Kernelement der ThinkVantage Fingerprint Software. Er 

führt alle Operationen an der Einheit und an den Benutzerdaten aus. Er zeigt zudem die grafische 

Benutzerschnittstelle für die biometrische Überprüfung an und bietet sicheren Zugriff auf die Benutzerdaten. 


Kapitel 5. Mit Lenovo Fingerprint Software arbeiten 

Die Fingerprint Console muss vom Installationsordner der Lenovo Fingerprint Software aus ausgeführt 

werden. Die grundlegende Syntax lautet FPRCONSOLE [USER | SETTINGS]. Dabei gibt der Befehl USER 

oder SETTINGS an, welche Operationsgruppe verwendet wird. Der vollständige Befehl lautet „fprconsole 

user add TestUser“. Wenn der Befehl nicht bekannt ist oder nicht alle Parameter angegeben sind, wird die 

Kurzbefehlliste zusammen mit den Parametern angezeigt. 

Die Lenovo Fingerprint Software, Installationsanweisungen, die Managementkonsole sowie Referenzliteratur 

sind auf der Lenovo Website unter folgender Adresse verfügbar: 


Managementkonsolentool 

Informationen zum Managementkonsolentool der Lenovo Fingerprint Software finden Sie im Abschnitt 

„Managementkonsolentool“ auf Seite 53. 

Dienste für die Lenovo Fingerprint Software 

Anmerkung: Für die Lenovo Fingerprint Software muss der Terminaldienst auf dem System vorhanden sein. 

Wenn Sie den Terminaldienst inaktivieren, kann es zu unerwarteten Ergebnissen in der Lenovo Fingerprint 

Software kommen. 

Die folgenden Dienste werden nach dem Installieren der Lenovo Fingerprint Software zum System 

hinzugefügt: 

• ATService.exe (standardmäßig aktiviert) 

Sie müssen den Dienst „ATService.exe“ aktivieren, um das Fingerabdrucksystem zu verwenden. Dieser 

Dienst verwaltet Anforderungen von Anwendungen, die den Sensor für Fingerabdrücke verwenden. 

• Data Transfer Service (standardmäßig aktiviert) 

Wenn Data Transfer Service oder der Dienst „ATService.exe“ fehlerhaft beendet wird, funktioniert die 

Lenovo Fingeprint Software nicht wie erwartet. 

• ADMonitor.exe (standardmäßig inaktiviert) 

Sie müssen den Dienst „ADMonitor.exe“ aktivieren, um die Verwaltung von Active Directory zu 

unterstützen. Dieser Dienst überwacht die Registrierungsdatenbank auf Änderungen, die von Active 

Directory weitergegeben werden, und spiegelt die Änderungen lokal wider. 

Active Directory-Unterstützung für Lenovo Fingerprint Software 

In der folgenden Tabelle werden die Richtlinieneinstellungen für die Lenovo Fingerprint Software angezeigt. 

Tabelle 31. Richtlinieneinstellungen 


Enable/disable fingerprint logon Gibt an, dass anstelle des Windows-Kennworts 

Fingerabdrücke für die Anmeldung am Computer 

verwendet werden. Wenn Sie diese Einstellung aktivieren, 

gibt es zwei weitere Optionen, die Sie aktivieren oder 

inaktivieren können: 

• Disable CTRL+ALT+DEL dialog for logon interface 

Wenn Sie diese Option auswählen, wird die Nachricht, 

die den Benutzer zum Drücken der Tastenkombination 


Tabelle 31. Richtlinieneinstellungen (Forts.) 


Allow user to retrieve password through fingerprint 

authentication 

Strg+Alt+Entf auffordert, um sich anzumelden, 

inaktiviert. (Nur unter Windows XP verfügbar) 

• Require non-administrator user logon with 

fingerprint authentication 

Wenn Sie diese Option auswählen, können sich 

Benutzer ohne Administratorberechtigung nur mithilfe 

ihrer Fingerabdrücke anmelden. 

Wenn Sie diese Einstellung aktivieren, können Benutzer 

das Windows-Kennwort für ihr Konto nach der 

Authentifizierung über Fingerabdruck in der Lenovo 

Fingerprint Software anzeigen. 

Always show power-on security options Wenn Sie diese Einstellung aktivieren, können Benutzer 

die Verwendung des Lesegeräts für Fingerabdrücke 

anstelle des Start- und des Festplattenkennworts 

beim Einschalten des Computers auswählen. Im 

Registrierungsfenster der Lenovo Fingerprint Software 

kann die Authentifizierung über Fingerabdruck zum 

Starten für jeden registrierten Fingerabdruck aktiviert oder 

inaktiviert werden. 

Use fingerprint authentication instead of power-on and 

HD passwords 

Wenn Sie diese Einstellung aktivieren, wird die 

Authentifizierung über Fingerabdruck anstelle des Startund 

des Festplattenkennworts verwendet. 

Set number of failed attemps before lock out Legt die zulässige Anzahl fehlgeschlagener 

Anmeldeversuche, bevor der Besucher gesperrt wird, 

sowie die Dauer (in Sekunden) der Sperrung fest. 

Set inactive timeout Legt die zulässige Dauer der Systeminaktivität (in 

Sekunden) fest, bevor der Benutzer abgemeldet wird. 

Allow users to enroll fingerprints Wenn Sie diese Einstellung aktivieren, können Benutzer 

ohne Administratorberechtigung Fingerabdrücke mit der 

Lenovo Fingerprint Software registrieren. 

Allow users to delete fingerprints Wenn Sie diese Einstellung aktivieren, können Benutzer 

ohne Administratorberechtigung zuvor registrierte 

Fingerabdrücke mit der Lenovo Fingerprint Software 

löschen. 

Allow users to import/export fingerprints Wenn Sie diese Einstellung aktivieren, können Benutzer 

ohne Administratorberechtigung zuvor registrierte 

Fingerabdrücke mit der Lenovo Fingerprint Software 

importieren und exportieren. 

Show/Hide elements in setting tab of fingerprint software Wenn Sie diese Einstellung aktivieren, können 

IT-Administratoren Elemente auf der Registerkarte 

„Settings“ (Einstellungen) der grafischen 

Benutzerschnittstelle steuern. 


Kapitel 6. Bewährte Verfahren 

Dieses Kapitel enthält Szenarios, die bewährte Verfahren für Client Security Solution und Fingerprint Software 

darstellen. Das vorliegende Beispielszenario beginnt mit der Konfiguration des Festplattenlaufwerks, 

erläutert verschiedene Aktualisierungen und beschreibt den gesamten Lebenszyklus einer Implementierung. 

Die Installation wird sowohl auf Lenovo Computern als auch auf Computern anderer Hersteller beschrieben. 

Implementierungsbeispiele für die Installation von Client Security 

Solution 

Der folgende Abschnitt enthält Beispiele zum Installieren von Client Security Solution auf Desktop- und 

Notebook-Computern. 

Szenario 1 

Hierbei handelt es sich um ein Beispiel für eine Installation auf einem Desktop-Computer unter Verwendung 

der folgenden hypothetischen Kundenanforderungen: 

• Verwaltung 

Verwenden Sie den lokalen Administratoraccount für die Verwaltung des Computers. 

• Client Security Solution 

– Installieren Sie den Emulationsmodus, und führen Sie ihn aus. 

Nicht alle Lenovo Systeme weisen ein TPM (Trusted Platform Module), also einen Sicherheitschip, auf. 

– Aktivieren Sie den Client Security-Verschlüsselungstext. 

Schützen Sie Client Security Solution-Anwendungen durch einen Verschlüsselungstext. 

– Aktivieren Sie die Client Security-Windows-Anmeldung. 

Melden Sie sich bei Windows mit dem Client Security-Verschlüsselungstext an. 

– Aktivieren Sie die Wiederherstellungsfunktion für den Verschlüsselungstext von Benutzern. 

Ermöglichen Sie Benutzern die Wiederherstellung ihres Verschlüsselungstextes durch drei 

benutzerdefinierte Fragen und Antworten. 

– Verschlüsseln Sie das Client Security Solution-XML-Script mit einem Kennwort, z. B. XMLscriptPW. 

Schützen Sie die Client Security Solution-Konfigurationsdatei mit einem Kennwort. 

– Fingerprint Software ist möglicherweise installiert. 

Auf der Erstellungsmaschine: 

1. Melden Sie sich bei Windows mit einem lokalen Administratoraccount an. 

2. Installieren Sie das Programm „Client Security Solution“ mithilfe des folgenden Befehls: 

tvtcss83_xxxx.exe /s /v"/qn "EMULATIONMODE=1" "NOCSSWIZARD=1" 

(wobei XXXX für die Build-ID steht) 

3. Starten Sie den Computer erneut und melden Sie sich bei Windows mit einem lokalen 

Administratoraccount an. 

4. Bereiten Sie das XML-Script für die Implementierung vor, indem Sie wie folgt vorgehen: 

a. Führen Sie den folgenden Befehl aus: 

"C:\Program Files\Lenovo\Client Security Solution\css_wizarde.exe" 

/name:C:\ThinkCentre 

b. Konfigurieren Sie im Assistenten Folgendes: 

1) Klicken Sie auf Secure logon method (Sichere Anmeldemethode) ➙ Next (Weiter). 


2) Geben Sie für den Administratoraccount das Windows-Kennwort ein (z. B. WPW4Admin) und 

klicken Sie auf Next (Weiter). 

3) Geben Sie den Client Security-Verschlüsselungstext (z. B. CSPP4Admin) für den 

Administratoraccount ein, wählen Sie die Option Use the Client Security passphrase to 

protect access to the Rescue and Recovery workspace (Client Security-Verschlüsselungstext 

zum Schützen des Zugriffs auf den Arbeitsbereich von Rescue and Recovery verwenden) aus 

und klicken Sie auf Next (Weiter). 

4) Beantworten Sie die drei Fragen für den Administratoraccount und klicken Sie auf Next (Weiter). 

Die drei Fragen können z. B. wie folgt lauten: 

a) Wie heißt Ihr Haustier? 

b) Was ist Ihr Lieblingsfilm? 

c) Welche ist Ihre Lieblingsmannschaft? 

5) Überprüfen Sie die Zusammenfassung und klicken Sie auf Apply (Übernehmen), um die 

XML-Datei am folgenden Speicherort zu speichern: 

C:\ThinkCentre.xml 

6) Klicken Sie auf Finish (Fertig stellen), um den Assistenten zu schließen. 

5. Öffnen Sie die Datei „ThinkCentre.xml“ in einem Texteditor (einem XML-Scripteditor oder dem Programm 

„Microsoft Word 2003“, das das XML-Format unterstützt), entfernen Sie alle Verweise auf die Einstellung 

für die Domäne und speichern Sie die Datei. Dadurch verwendet das Script den Namen der lokalen 

Maschine auf den einzelnen Systemen. 

6. Verschlüsseln Sie das XML-Script mithilfe des Tools „xml_crypt_tool.exe“ im Verzeichnis C:\Program 

Files\Lenovo\Client Security Solution mit einem Kennwort, indem Sie die folgende Syntax verwenden: 

xml_crypt_tool.exe C:\ThinkCentre.xml /encrypt XMLScriptPW 

Die Datei heißt jetzt „C:\ThinkCentre.xml.enc“ und wird durch das Kennwort XMLScriptPW geschützt. Sie 

kann nun zu dem Implementierungscomputer hinzugefügt werden. 

Auf der Implementierungsmaschine: 

1. Melden Sie sich bei Windows mit einem lokalen Administratoraccount an. 

2. Installieren Sie die Programme „Rescue and Recovery“ und „Client Security Solution“ mit der folgenden 

Syntax: 

setup_tvtrnr40_xxxxcc.exe /s /v"/qn "EMULATIONMODE=1" "NOCSSWIZARD=1" 

(Dabei steht xxxx für die Build-ID und cc für den Ländercode.) 

Anmerkungen: 

a. Stellen Sie sicher, dass die TVT-Dateien, wie z. B. „Z652ZIXxxxxyy00.tvt“ für Windows XP und 

„Z633ZISxxxxyy00.tvt“ für Windows Vista und Windows 7 (wobei xxxx für die Build-ID und yy für 

die Landes-ID steht) sich im selben Verzeichnis wie die ausführbare Datei befinden; andernfalls 

schlägt die Installation fehl. 

b. Wenn Sie eine administrative Installation durchführen, finden Sie weitere Informationen im Abschnitt 

„Szenario 1“ auf Seite 63. 

3. Starten Sie den Computer erneut und melden Sie sich bei Windows mit einem lokalen 

Administratoraccount an. 

4. Fügen Sie die zuvor vorbereitete Datei „ThinkCentre.xml.enc“ dem Stammverzeichnis C:\ hinzu. 

5. Bereiten Sie den Befehl „RunOnceEx“ mit den folgenden Parametern vor: 

a. Fügen Sie einen neuen Schlüssel 0001 nach dem RunonceEx-Schlüssel ein. Der Schlüssel wird im 

folgenden Verzeichnis gespeichert: 

HKEY_LOCAL_MACHINE \Software\Microsoft\Windows 

\Current Version\RunOnceEx\0001 


. Fügen Sie zu diesem Schlüssel einen Zeichenfolgewert mit dem Namen CSSEnroll hinzu: 

"C:\Program Files\Lenovo\Client Security Solution\vmserver.exe" 

C:\ThinkCenter.xml.enc XMLscriptPW 

6. Führen Sie die folgenden Befehle aus, um das System auf eine Sysprep-Sicherung vorzubereiten: 

%rr%C:\Program Files\Lenovo\Rescue and Recovery\rrcmd.exe" 

sysprepbackup location=L name="Sysprep Backup" 

Nachdem das System bereit ist für eine Sysprep-Sicherung, wird Ihnen die folgende Ausgabe angezeigt. 

***************************************************** 

** Ready to take sysprep backup. ** 

** ** 

** PLEASE RUN SYSPREP NOW AND SHUT DOWN. ** 

** ** 

** Next time the machine boots, it will boot ** 

** to the Predesktop Area and take a backup. ** 

***************************************************** 

7. Führen Sie die Sysprep-Implementierung aus. 

8. Fahren Sie den Computer herunter und starten Sie ihn erneut. Der Sicherungsprozess in Windows 

PE wird gestartet. 

Anmerkung: Wenn die Nachricht angezeigt wird, die besagt, dass die Wiederherstellung durchgeführt 

wird, dass jedoch gleichzeitig eine Sicherung stattfindet„“, fahren Sie nach der Sicherung den Computer 

herunter und führen Sie keinen Neustart durch. 

9. Die Sysprep-Basissicherung ist nun abgeschlossen. 

Szenario 2 

Hierbei handelt es sich um ein Beispiel für eine Installation auf einem Notebook-Computer unter Verwendung 

der folgenden hypothetischen Kundenanforderungen: 

• Verwaltung 

– Führen Sie die Installation auf Systemen aus, auf denen eine ältere Version von Client Security Solution 

installiert ist. 

– Verwenden Sie das Administratorkonto der Domäne für die Verwaltung des Computers. 

– Alle Computer verfügen über das BIOS-Administratorkennwort BIOSpw. 

• Client Security Solution 

– Verwenden Sie das TPM (Trusted Platform Module). 

Alle Maschinen verfügen über den Sicherheitschip. 

– Aktivieren Sie den Password Manager. 

– Verwenden Sie das Windows-Kennwort des Benutzers als Authentifizierung bei Client Security Solution. 

– Verschlüsseln Sie das Client Security Solution-XML-Script mit einem Kennwort, z. B. XMLscriptPW. 

Schützen Sie die Client Security Solution-Konfigurationsdatei mit einem Kennwort. 

• ThinkVantage Fingerprint Software 

– Verwenden Sie keine BIOS- und Festplattenkennwörter. 

– Melden Sie sich bei Windows mithilfe der ThinkVantage Fingerprint Software an. 

Nachdem sich der Benutzer anfangs über die Selbstregistrierung angemeldet hat, wechselt er später in 

den sicheren Modus für die Anmeldung, für die bei Benutzern ohne Administratorberechtigung ein 

Fingerabdruck erforderlich ist. Auf diese Weise erfolgt eine 2-Wege-Authentifizierung. 

– Integrieren Sie das Fingerprint Software Tutorial. 

Das Fingerprint Software Tutorial hilft Benutzern zu lernen, wie ein Finger über das Lesegerät für 

Fingerabdrücke gezogen wird und wie sie visuelles Feedback zu ihren Aktionen erhalten. 

Kapitel 6. Bewährte Verfahren 65

Auf der Erstellungsmaschine: 

1. Starten Sie den Computer aus dem ausgeschalteten Status heraus und drücken Sie die Taste F1, um 

das BIOS-Konfigurationsdienstprogramm aufzurufen. Navigieren Sie zum Menü Security und löschen 

Sie den Sicherheitschip. Speichern Sie die Einstellungen und verlassen Sie das BIOS. 

2. Melden Sie sich bei Windows mit einem Domänenadministratoraccount an. 

3. Installieren Sie die ThinkVantage Fingerprint Software, indem Sie wie folgt vorgehen: 

a. Führen Sie die Datei „f001zpz2001us00.exe“ aus, um die Datei „setup.exe“ aus dem Webpaket zu 

extrahieren. Die Datei „setup.exe“ wird automatisch am folgenden Speicherort extrahiert: 

C:\SWTOOLS\APPS\TFS5.9.2-Buildxxxx\Application\0409 (wobei xxxx für die Build-ID steht). 

b. Doppelklicken Sie auf die extrahierte Datei „setup.exe“ und befolgen Sie die angezeigten 

Anweisungen, um die ThinkVantage Fingerprint Software zu installieren. 

4. Installieren Sie das ThinkVantage Fingerprint Software Tutorial, indem Sie wie folgt vorgehen: 

a. Führen Sie die Datei „f001zpz7001us00.exe“ aus, um die Datei „tutess.exe“ aus dem Webpaket zu 

extrahieren. Die Datei „tutess.exe“ wird automatisch am folgenden Speicherort extrahiert: 

C:\SWTOOLS\APPS\tutorial\TFS5.9.2 Buildxxxx\Tutorial\0409 (wobei xxxx für die Build-ID steht). 

b. Doppelklicken Sie auf die Datei „tutess.exe“, um das ThinkVantage Fingerprint Software Tutorial zu 

installieren. 

5. Installieren Sie die ThinkVantage Fingerprint Console, indem Sie wie folgt vorgehen: 

a. Führen Sie die Datei „f001zpz5001us00.exe“ aus, um die Datei „fprconsole.exe“ aus dem Webpaket 

zu extrahieren. Die Datei „fprconsole.exe“ wird automatisch am folgenden Speicherort extrahiert: 

C:\SWTOOLS\APPS\fpr_con\APPS\UPEK\FPR Console\TFS5.9.2-Buildxxx\Fprconsole (wobei xxxx für die 

Build-ID steht). 

b. Doppelklicken Sie auf die Datei „fprconsole.exe“, um die ThinkVantage Fingerprint Console zu 

installieren. 

6. Installieren Sie das Programm „Client Security Solution“ mit der folgenden Syntax: 

tvtcss82_xxxxcc.exe /s /v”/qn NOCSSWIZARD=1 SUPERVISORPW="BIOSpw"" 

7. Starten Sie den Computer erneut und melden Sie sich bei Windows mit einem 

Domänenadministratoraccount an. Bereiten Sie das XML-Script für die Implementierung vor. 

a. Führen Sie die folgenden Befehle aus: 

"C:\Program Files\Lenovo\Client Security Solution\css_wizard.exe" 

/name:C:\ThinkPad 

b. Nehmen Sie im Assistenten eine Konfiguration vor, um eine Übereinstimmung mit dem Beispielscript 

zu erzielen, indem Sie wie folgt vorgehen: 

1) Klicken Sie auf Secure logon method (Sichere Anmeldemethode) ➙ Next (Weiter). 

2) Geben Sie für den Domänenadministratoraccount das Windows-Kennwort ein (z. B. WPW4Admin) 

und klicken Sie auf Next (Weiter). 

3) Geben Sie den Client Security-Verschlüsselungstext für den Domänenadministratoraccount ein. 

4) Wählen Sie die Option Ignore Password Recovery Setting aus und klicken Sie auf Next 

(Weiter). 

5) Überprüfen Sie die Zusammenfassung und klicken Sie auf Apply (Übernehmen), um die 

XML-Datei am folgenden Speicherort zu speichern: 

C:\ThinkPad.xml 

6) Klicken Sie auf Finish (Fertig stellen), um den Assistenten zu schließen. 

8. Verschlüsseln Sie das XML-Script mithilfe des Tools „xml_crypt_tool.exe“ im Verzeichnis 

„C:\Programme\Lenovo\Client Security Solution“ mit einem Kennwort: Verwenden Sie dazu an einer 

Eingabeaufforderung die folgende Syntax: 

xml_crypt_tool.exe C:\ThinkPad.xml /encrypt XMLScriptPW 


Die Datei heißt jetzt „C:\ThinkPad.xml.enc“ und wird durch das Kennwort XMLScriptPW geschützt. 

Auf der Implementierungsmaschine: 

1. Installieren Sie die ThinkVantage Fingerprint Software auf der Implementierungsmaschine, indem Sie 

wie folgt vorgehen: 

a. Implementieren Sie mithilfe des Softwareverteilungstools Ihres Unternehmens die Datei „setup.exe“, 

die vom Erstellungscomputer auf den Implementierungscomputer extrahiert wurde. 

b. Führen Sie den folgenden Befehl aus: 

setup.exe CTLCNTR=0 /q /i 

2. Installieren Sie das ThinkVantage Fingerprint Software Tutorial auf der Implementierungsmaschine, 

indem Sie wie folgt vorgehen: 

a. Implementieren Sie mithilfe des Softwareverteilungstools Ihres Unternehmens die Datei „tutess.exe“, 

die vom Erstellungscomputer auf den Implementierungscomputer extrahiert wurde. 


tutess.exe /q /i 

3. Installieren Sie die ThinkVantage Fingerprint Console auf der Implementierungsmaschine, indem Sie wie 

folgt vorgehen: 

a. Implementieren Sie mithilfe des Softwareverteilungstools Ihres Unternehmens die Datei 

„fprconsole.exe“, die vom Erstellungscomputer auf den Implementierungscomputer extrahiert wurde. 

b. Speichern Sie die Datei „fprconsole.exe“ im Verzeichnis C:\Programme\ThinkVantage Fingerprint 

Software. 

c. Schalten Sie die Unterstützung für die BIOS-Sicherheitsfunktionen beim Einschalten durch Ausführen 

des folgenden Befehls aus: 

fprconsole.exe settings TBX 0 

4. Installieren Sie ThinkVantage Client Security Solution auf der Implementierungsmaschine, indem Sie wie 

folgt vorgehen: 

a. Implementieren Sie mithilfe des Softwareverteilungstools Ihres Unternehmens die Datei 

„tvtvcss83_xxxx.exe“ (dabei ist xxxx die Build-ID) auf den Implementierungscomputer. 


tvtvcss83_xxxx.exe /s /v"/qn "NOCSSWIZARD=1" "SUPERVISORPW="BIOSpw"" 

Durch die Installation der Software wird automatisch die Hardware für das TPM (Trusted Platform 

Module) aktiviert. 

5. Starten Sie den Computer erneut und konfigurieren Sie das System mit der XML-Scriptdatei. Gehen 

Sie dabei wie folgt vor: 

a. Kopieren Sie die zuvor vorbereitete Datei „ThinkPad.xml.enc“ in das Verzeichnis C:\. 


"C:\Program Files\Lenovo\Client Security Solution\ 

vmserver.exe" C:\ThinkPad.xml.enc XMLScriptPW 

6. Nach einem Neustart ist das System nun bereit für die Client Security Solution-Benutzerregistrierung. 

Alle Benutzer können sich mit der zugehörigen Benutzer-ID und dem Windows-Kennwort am System 

anmelden. Jeder Benutzer, der sich am System anmeldet, wird automatisch dazu aufgefordert, sich 

bei Client Security Solution zu registrieren, und kann sich dann beim Lesegerät für Fingerabdrücke 

registrieren. 

7. Nachdem alle Benutzer für das System in der ThinkVantage Fingerprint Software registriert wurden, kann 

die Einstellung für den sicheren Modus aktiviert werden, in dem alle Windows-Benutzer aufgefordert 

werden, sich ohne Administratorberechtigung mit ihrem Fingerabdruck anzumelden. 

• Führen Sie den folgenden Befehl aus, um die Einstellung für den sicheren Modus zu aktivieren: 

"C:\Program Files\ThinkVantage Fingerprint Software\ 


fprconsole.exe" settings securemode 1 

• Führen Sie den folgenden Befehl aus, um die Nachricht zum Drücken der Tastenkombination 

Strg+Alt+Entf„“, um sich anzumelden, von der Anmeldeanzeige zu entfernen: 

"C:\Program Files\ThinkVantage Fingerprint Software\fprconsole.exe settings" 

CAD 0 

8. Die Implementierung von Client Security Solution 8.3 und ThinkVantage Fingerprint Software ist nun 

abgeschlossen. 

Zwischen Modi von Client Security Solution wechseln 

Wenn Sie bei Client Security Solution vom komfortablen Modus zum sicheren Modus oder vom sicheren 

zum komfortablen Modus wechseln und wenn Sie Sicherungen Ihres Systems mit Hilfe von Rescue and 

Recovery erstellen, sollten Sie nach einem Moduswechsel eine Basissicherung durchführen. 

Active Directory-Implementierung für Unternehmen 

Gehen Sie wie folgt vor, um eine Active Directory-Implementierung für Unternehmen durchzuführen: 

1. Führen Sie die Installation über Active Directory oder über LANDesk aus: 

a. Erstellen Sie Sicherungen, und rufen Sie über Active Directory und über LANDesk Berichte dazu 

ab, von wem und wann die Sicherungen vorgenommen wurden. 

b. Ermöglichen Sie es bestimmten Gruppen, Sicherungen vorzunehmen sowie Sicherungen, 

Planoptionen und Kennworteinschränkungen zu löschen, und ändern Sie dann die Gruppen, um zu 

prüfen, ob die Einstellungen bestehen bleiben. 

c. Aktivieren Sie Antidote Delivery Manager über Active Directory. Speichern Sie die Pakete, die 

ausgeführt werden sollen, und stellen Sie sicher, dass die Berichterstellung erfasst wird. 

Standalone-Installation für CD oder Scriptdateien 

Gehen Sie wie folgt vor, um eine Standalone-Installation für eine CD oder eine Scriptdatei durchzuführen: 

1. Verwenden Sie eine Batchdatei, um Client Security Solution- und Fingerprint-Technologie im Hintergrund 

zu installieren. 

2. Führen Sie eine unbeaufsichtigte Konfiguration der BIOS-Kennwortwiederherstellung durch. 

System Update 

Gehen Sie wie folgt vor, um das System zu aktualisieren: 

1. Installieren Sie Client Security Solution und Fingerprint Software über einen angepassten System 

Update-Server und simulieren Sie die Situation, dass ein großes Unternehmen einen Server konfiguriert, 

anstatt die Installation über den Lenovo Server vorzunehmen, um eine Inhaltskontrolle zu ermöglichen. 

2. Installieren Sie die neuen Versionen über die drei älteren Softwareversionen (Rescue and Recovery 

1.0/2.0/3.0, Fingerprint, Client Security Solution 5.4–6, FFE). Die Einstellungen sollten beibehalten 

werden, wenn die neue Version über die alte Version installiert wird. 

System Migration Assistant 

System Migration Assistant 6.0 unterstützt die Migration von einem alten System auf das aktuelle Windows 

7-System und unterstützt die Migration der Softwareeinstellungen von älteren Versionen von Client Security 

Solution und Fingerprint Software. Sie können System Migration Assistant 6.0 von der Lenovo Website unter 

folgender Adresse herunterladen: 



Zertifikat unter Verwendung durch Schlüsselerstellung in TPM generieren 

Zertifikate können direkt mit dem Client Security Solution-CSP generiert werden und die privaten Schlüssel 

in den Zertifikaten werden vom TPM generiert und geschützt. Gehen Sie wie folgt vor, um mit dem CSS-CSP 

ein Zertifikat anzufordern: 

Voraussetzungen: 

• Auf der Servermaschine sollte Folgendes installiert sein: 

– Mindestens Windows Server 2003 Enterprise 

– Active Directory 

– Ein Zertifizierungsstellendienst 

• Das Clientsystem sollte folgende Anforderungen erfüllen: 

– TPM aktiviert 

– Client Security Solution installiert 

Zertifikat beim Server anfordern 

Schablone für TPM-Benutzer erstellen 

Gehen Sie wie folgt vor, um eine Schablone für TPM-Benutzer zu erstellen: 

1. Klicken Sie auf Start ➙ Ausführen. 

2. Geben Sie mmc ein und klicken Sie auf OK. Das Konsolenfenster wird angezeigt. 

3. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen und klicken Sie dann auf Hinzufügen. 

Das Fenster „Eigenständiges Snap-In hinzufügen“ wird angezeigt. 

4. Doppelklicken Sie in der Snap-in-Liste doppelt auf Zertifizierungsstelle und klicken Sie dann auf 

Schließen. 

5. Klicken Sie im Fenster „Snap-in hinzufügen/entfernen“ auf OK. 

6. Klicken Sie in der Baumstruktur der Konsole auf Certificate Templates (Zertifikatsvorlagen). Alle 

Zertifikatsvorlagen werden im linken Teilfenster angezeigt. 

7. Klicken Sie auf Action (Aktion) ➙ Duplicate Template (Vorlage kopieren). 

8. Geben Sie im Feld Display Name (Anzeigename) den Text TPM User (TPM-Benutzer) ein. 

9. Klicken Sie auf die Registerkarte Request Handling (Verarbeitung anfordern) und klicken Sie dort 

auf CSPs. Stellen Sie sicher, dass Sie die Option Requests can use any CSP available on the 

subject's computers (Anforderungen können jeden CSP, der auf Computern des Benutzers verfügbar 

ist, verwenden) auswählen. 

10. Klicken Sie auf die Registerkarte Allgemein. Stellen Sie sicher, dass die Option Publish Certificate in 

Active Directory (Zertifikat in Active Directory veröffentlichen) ausgewählt ist. 

11. Klicken Sie auf die Registerkarte Security (Sicherheit) und klicken Sie in der Liste Group or user names 

(Gruppen- oder Benutzernamen) auf die Option Authenticated Users (Authentifizierte Benutzer) und 

stellen Sie sicher, dass die Option Enroll (Registrieren) in der Option Permissions for Authenticated 

Users (Berechtigungen für authentifizierte Benutzer) ausgewählt ist. 

Zertifizierungsstelle im Unternehmen konfigurieren 

Gehen Sie wie folgt vor, um das TPM-Benutzerzertifikat durch Konfiguration einer Zertifizierungsstelle 

im Unternehmen auszugeben: 

1. Öffnen Sie die Zertifizierungsstelle. 


2. Klicken Sie in der Baumstruktur der Konsole auf Certificate Templates (Zertifikatsvorlagen). 

3. Klicken Sie im Menü Action (Aktion) auf New (Neu) ➙ Certificate to Issue (Auszugebendes Zertifikat). 

4. Klicken Sie auf TPM und klicken Sie auf OK. 

Zertifikat vom Client anwenden 

Gehen Sie wie folgt vor, um das Zertifikat vom Client anzuwenden: 

1. Stellen Sie eine Verbindung zum Intranet her, starten Sie den Internet Explorer und geben Sie die 

IP-Adresse des Servers an, auf dem der Zertifizierungsstellendienst installiert ist. 

2. Geben Sie den Domänenbenutzernamen und das zugehörige Kennwort im Fenster mit der 

Eingabeaufforderung ein. 

3. Klicken Sie auf die Option Request a certificate (Zertifikat anfordern) unter Select a task (Task 

auswählen). 

4. Klicken Sie unten auf der Website auf advanced certificate request (erweiterte Zertifikatsanforderung). 

5. Ändern Sie auf der Seite „Advanced Certificate Request“ die folgenden Einstellungen: 

• Wählen Sie TPM User (TPM-Benutzer) aus der Dropdown-Liste Certificate Template 

(Zertifikatsvorlage) aus. 

• Wählen Sie den Eintrag ThinkVantage Client Security Solution CSP aus der Dropdown-Liste 

CSP aus. 

• Stellen Sie sicher, dass die Option Mark keys as exportable (Schlüssel als exportierbar 

kennzeichnen) nicht ausgewählt ist. 

• Klicken Sie auf Submit (Senden) und folgen Sie dem Prozess. 

• Klicken Sie auf der Seite „Certificate Issued“ (Zertifikat ausgegeben) auf Install this certificate 

(Dieses Zertifikat installieren). Die Seite „Certificate Installed“ (Zertifikat installiert) wird angezeigt. 

USB-Tastatur mit Lesegerät für Fingerabdrücke 

zusammen mit ThinkPad-Notebook-Computern von 2008 

(R400/R500/T400/T500/W500/X200/X301) verwenden 

Lenovo hat mit zwei Herstellern Verträge abgeschlossen, um die Authentifizierung über Fingerabdruck in 

ThinkPad ® -Notebook-Computern und über USB-Tastaturen bereitzustellen. ThinkPad-Notebook-Computer 

vor 2008 (z. B. T61) verwenden ThinkVantage-Sensoren für Fingerabdrücke. ThinkPad-Notebook-Computer 

ab 2008 (ab T400) verwenden Lenovo Sensoren für Fingerabdrücke. Alle Lenovo USB-Tastaturen mit 

Lesegerät für Fingerabdrücke verwenden ThinkVantage-Sensoren für Fingerabdrücke. Besondere Hinweise 

sind für die Verwendung einer Tastatur mit Lesegerät für Fingerabdrücke zusammen mit bestimmten 

ThinkPad-Notebookmodellen erforderlich (z. B. ThinkPad T400 zusammen mit einer externen USB-Tastatur). 

In diesem Abschnitt werden allgemeine Verwendungsszenarios und Implementierungsstrategien für 

die Fingerprint Software, die auf den aktuellen ThinkPad-Notebook-Computermodellen installiert ist, 

beschrieben. 

Anmerkung: 

• Lenovo Fingerprint Software Die Lenovo Fingerprint Software ist die Software für den AuthenTec-Sensor 

für Fingerabdrücke (z. B. den internen Sensor für Fingerabdrücke im Modell T400). 

• ThinkVantage Fingerprint Software Die ThinkVantage Fingerprint Software ist die Software für den 

UPEK-Sensor für Fingerabdrücke (z. B. den internen Sensor für Fingerabdrücke im Modell T61 und den 

Sensor für Fingerabdrücke in allen externen USB-Tastaturen). 


Windows 7-Anmeldung 

Zur Anmeldung beim Betriebssystem „Windows 7“ können Sie jederzeit entweder den AuthenTec-Sensor für 

Fingerabdrücke oder den UPEK-Sensor für Fingerabdrücke verwenden. 

1. Installieren Sie die Lenovo Fingerprint Software ab Version 3.2.0.275. 

2. Installieren Sie die ThinkVantage Fingerprint Software ab Version 5.8.2.4824. 

3. Starten Sie den Computer neu. Der Assistent zum Registrieren von Fingerabdrücken wird automatisch 

gestartet. 

4. Verwenden Sie die ThinkVantage Fingerprint Software, um Ihre Fingerabdrücke mit dem externen Sensor 

für Fingerabdrücke zu registrieren. Wenn er nicht automatisch gestartet wird, klicken Sie auf Start ➙ 

Programme (oder Alle Programme) ➙ ThinkVantage ➙ ThinkVantage Fingerprint Software, um 

die Registrierung zu starten. 

5. Geben Sie bei entsprechender Aufforderung das Windows-Kennwort ein und wählen Sie dann einen 

Finger zum Registrieren aus. 

6. Befolgen Sie die angezeigten Anweisungen, um den Finger mithilfe des externen Sensors für 

Fingerabdrücke zu registrieren. 

7. Klicken Sie oben im Fenster auf die Option Settings (Einstellungen). 

8. Wählen Sie die Option Use fingerprint scan instead of password when logging into Windows 

(Gescannten Fingerabdruck anstelle des Kennworts bei der Windows-Anmeldung verwenden) aus, 

klicken Sie auf OK und dann auf Close (Schließen), um das Fenster zu schließen. 

9. Starten Sie den Computer erneut und stellen Sie sicher, dass Ihr Fingerabdruck zum Anmelden bei 

Windows über den externen Sensor für Fingerabdrücke verwendet werden kann. 

10. Verwenden Sie die Software zur Registrierung von Fingerabdrücken, um Ihre Fingerabdrücke mithilfe 

des internen Sensors für Fingerabdrücke zu registrieren. Wenn er nicht automatisch gestartet wird, 

klicken Sie auf Start ➙ Programme (oder Alle Programme) ➙ ThinkVantage ➙ Lenovo Fingerprint 

Software, um die Registrierung zu starten. 

11. Geben Sie bei entsprechender Aufforderung das Windows-Kennwort ein und wählen Sie dann einen 

Finger zum Registrieren aus. 

12. Befolgen Sie die angezeigten Anweisungen, um Ihren Fingerabdruck mithilfe des internen Sensors für 

Fingerabdrücke zu registrieren. 


14. Wählen Sie die Option Use fingerprint scan instead of password when logging into Windows 

(Gescannten Fingerabdruck anstelle des Kennworts bei der Windows-Anmeldung verwenden) aus, 

klicken Sie auf OK und dann auf Close (Schließen), um das Fenster zu schließen. 

15. Starten Sie den Computer erneut und stellen Sie sicher, dass Ihr Fingerabdruck zum Anmelden bei 

Windows mit dem internen Sensor für Fingerabdrücke verwendet werden kann. 

Client Security Solution und Password Manager 

Anders als bei der Windows-Anmeldung funktionieren Authentifizierungsanforderungen von Client Security 

Solution und Password Manager nur mit dem bevorzugten Sensor für Fingerabdrücke. Wenn z. B. eine 

Tastatur mit Lesegerät für Fingerabdrücke angeschlossen wird, ist ihr Sensor für Fingerabdrücke das 

bevorzugte Gerät. Wenn keine Tastatur mit Lesegerät für Fingerabdrücke angeschlossen ist, ist der im 

ThinkPad integrierte Sensor für Fingerabdrücke das bevorzugte Gerät. 

Erstellen Sie zum Ändern des bevorzugten Geräts den folgenden Registrierungseintrag: 

[HKLM\Software\Lenovo\TVT Common\Client Security Solution] 

REG_DWORD "PreferInternalFPSensor" = 1 


Tabelle 32. Registrierungsschlüssel 

Name (Name) Wert Beschreibung 

PreferInternalFPSensor 

0 (Standardwert) Gibt an, dass der externe Sensor 

für Fingerabdrücke immer dann 

bevorzugt wird, wenn eine Tastatur 

mit Lesegerät für Fingerabdrücke 

angeschlossen ist. 

1 Gibt an, dass der interne Sensor für 

Fingerabdrücke bevorzugt wird. 

Authentifizierung vor dem Starten – Fingerabdruck anstelle der 

BIOS-Kennwörter verwenden 

Anders als bei der Windows-Anmeldung funktionieren Authentifizierungsanforderungen für BIOS-Kennwörter 

nur mit dem Sensor für Fingerabdrücke, wenn das BIOS für die Verwendung konfiguriert ist. Standardmäßig 

erkennt das BIOS die Eingaben über die Tastatur mit Lesegerät für Fingerabdrücke, wenn diese 

angeschlossen ist. Wenn die Tastatur mit Lesegerät für Fingerabdrücke nicht angeschlossen ist, erkennt das 

BIOS die Eingaben über das interne Lesegerät für Fingerabdrücke für die Authentifizierung. 

Die BIOS-Einstellung Reader Priority kann so geändert werden, dass die Verwendung des internen Sensors 

für Fingerabdrücke erzwungen wird, auch wenn die externe Tastatur mit Lesegerät für Fingerabdrücke 

angeschlossen ist. Der Standardwert für Reader Priority lautet External. Die Einstellung kann in Internal 

Only geändert werden, um die Verwendung des internen Sensors für Fingerabdrücke zu erzwingen. 

Anmerkung: Diese BIOS-Einstellung gilt nur für die Aufforderungen zum Eingeben von Fingerabdrücken 

für das BIOS. Sie hat keine Auswirkungen auf die Windows-Anmeldung oder auf Anforderungen für die 

Authentifizierung über Fingerabdruck von Client Security Solution. 

Fingerprint Software für das Aktivieren der Authentifizierung vor dem Starten 

konfigurieren 

Wenn Sie ein Administrator-, Start- oder Festplattenkennwort im BIOS festgelegt haben, können Sie die 

Fingerprint Software für die Authentifizierung verwenden, anstatt diese Kennwörter einzugeben. 

Lenovo Fingerprint Software – für den internen Sensor für Fingerabdrücke 

1. Klicken Sie auf Start ➙ Programme (oder Alle Programme) ➙ ThinkVantage ➙ Lenovo Fingerprint 

Software, um die Lenovo Fingerprint Software zu starten. 

2. Ziehen Sie den Finger über das Lesegerät oder geben Sie das Windows-Kennwort ein, wenn Sie dazu 

aufgefordert werden. 


4. Wählen Sie das Kontrollkästchen Use fingerprint scan instead of power-on and hard drive 

passwords (Gescannten Fingerabdruck anstelle des Start- und Festplattenkennworts verwenden) und 

das Kontrollkästchen Always show power-on security options (Startsicherheitsoptionen immer 

anzeigen) aus. 

5. Klicken Sie auf OK, um das Fenster zu schließen. 

6. Wählen Sie einen der registrierten Fingerabdrücke aus, um den Fingerabdruck zu aktivieren und die 

BIOS-Kennwörter zu ersetzen. 

7. Klicken Sie auf Close (Schließen), um das Fenster zu schließen. 

ThinkVantage Fingerprint Software – für den externen Sensor für Fingerabdrücke 

1. Starten Sie die Fingerprint Software mithilfe einer der folgenden Methoden: 

• Klicken Sie auf Start ➙ Programme (oder Alle Programme) ➙ ThinkVantage ➙ ThinkVantage 

Fingerprint Software. 


• Klicken Sie auf das Symbol für die ThinkVantage Fingerprint Software im Fenster „Lenovo 

ThinkVantage Tools“. 

2. Ziehen Sie den Finger über das Lesegerät oder geben Sie das Windows-Kennwort ein, wenn Sie dazu 

aufgefordert werden. 


4. Wählen Sie das Kontrollkästchen Use fingerprint scan instead of power-on and hard drive 

passwords (Gescannten Fingerabdruck anstelle des Start- und Festplattenkennworts verwenden) und 

das Kontrollkästchen Always show power-on security options (Startsicherheitsoptionen immer 

anzeigen) aus. 

5. Klicken Sie auf OK, um das Fenster zu schließen. 

6. Wählen Sie einen der registrierten Fingerabdrücke aus, um den Fingerabdruck zu aktivieren und die 

BIOS-Kennwörter zu ersetzen. 

7. Klicken Sie auf Close (Schließen), um das Fenster zu schließen. 



Anhang A. Hinweise zur Verwendung des Lenovo Fingerprint 

Keyboard zusammen mit einigen Thinkpad-Notebookmodellen 

Das Lesegerät für Fingerabdrücke, das in einigen ThinkPad-Notebookmodellen verwendet wird, 

unterscheidet sich vom Lesegerät für Fingerabdrücke, das im Lenovo Fingerprint Keyboard integriert ist. 

Wenn die Tastatur mit Lesegerät für Fingerabdrücke zusammen mit bestimmten ThinkPad-Notebookmodellen 

verwendet wird, sind möglicherweise besondere Hinweise erforderlich. 

Weitere Informationen hierzu finden Sie auf der Downloadseite für die Fingerprint Software auf der Lenovo 

Website; dort erhalten Sie eine Liste dieser ThinkPad-Notebookmodelle. 

Nur für die Modelle, die für die „Lenovo Fingerprint Software“ aufgeführt sind, sind bei der Verwendung 

zusammen mit der Tastatur mit Lesegerät für Fingerabdrücke besondere Hinweise erforderlich. Bei allen 

anderen ThinkPad-Notebookmodellen, die die „ThinkVantage Fingerprint Software“ verwenden, wird ein 

Lesegerät für Fingerabdrücke verwendet, das mit der Tastatur mit Lesegerät für Fingerabdrücke kompatibel 

ist, sodass keine besonderen Hinweise erforderlich sind. 

Konfiguration und Einrichtung 

Mindestens Lenovo Fingerprint Software 2.0 muss für die Verwendung zusammen mit dem Lesegerät 

für Fingerabdrücke, das im ThinkPad-Notebook verwendet wird, installiert sein. Benutzer müssen ihre 

Fingerabdrücke unter Verwendung des integrierten Lesegeräts für Fingerabdrücke mit der Lenovo Fingerprint 

Software registrieren. 

Mindestens ThinkVantage Fingerprint Software 5.8 muss für die Verwendung zusammen mit dem Lenovo 

Fingerprint Keyboard installiert sein. Benutzer müssen ihre Fingerabdrücke auch unter Verwendung der 

Tastatur mit Lesegerät für Fingerabdrücke mit der ThinkVantage Fingerprint Software registrieren. 

Anmerkung: Fingerabdrücke, die mit einem der beiden Geräte registriert wurden, sind nicht austauschbar 

und können nicht mit dem anderen Gerät verwendet werden. 

Pre-desktop authentication 

Für die Predesktop-Authentifizierung wird entweder das integrierte Lesegerät für Fingerabdrücke oder 

die Tastatur mit Lesegerät für Fingerabdrücke verwendet (wodurch das Startkennwort des Systems oder 

das Festplattenkennwort durch einen Fingerabdruck ersetzt wird). Das BIOS bestimmt, welche Einheit zu 

verwenden ist, wenn das System eingeschaltet wird. 

Standardmäßig akzeptiert das BIOS Eingaben nur über die Tastatur mit Lesegerät für Fingerabdrücke, 

wenn diese angeschlossen ist. Eingaben über das integrierte Lesegerät für Fingerabdrücke werden für die 

Predesktop-Authentifizierung ignoriert, wenn eine Tastatur mit Lesegerät für Fingerabdrücke angeschlossen 

ist. Wenn die Tastatur mit Lesegerät für Fingerabdrücke nicht angeschlossen ist, wird das integrierte 

Lesegerät für Fingerabdrücke für die Predesktop-Authentifizierung verwendet. 

Die BIOS-Einstellung für „Reader Priority“ kann so geändert werden, dass der integrierte Sensor für 

Fingerabdrücke verwendet wird. Wenn für „Reader Priority“ die Einstellung „Internal only“ festgelegt ist, kann 

der integrierte Sensor für Fingerabdrücke für die Predesktop-Authentifizierung verwendet werden. Eingaben 

über die Tastatur mit Lesegerät für Fingerabdrücke werden in diesem Fall ignoriert. 


Windows-Anmeldung 

Sowohl das Lenovo Fingerprint Keyboard als auch das Lesegerät für Fingerabdrücke des 

ThinkPad-Notebook-Computers stellen jeweils eine eigene Schnittstelle für Benutzer für die Anmeldung bei 

Windows mit einem registrierten Fingerabdruck bereit. 

Wichtig: Bei der Windows-Anmeldung kann es möglicherweise zu Kompatibilitätsproblemen kommen, wenn 

die Schnittstellen für die Anmeldung über Fingerabdruck nicht ordnungsgemäß konfiguriert sind. 

Wenn der ThinkPad-Notebook-Computer sowohl über das Lenovo Fingerprint Keyboard als auch über das 

integrierte Lesegerät für Fingerabdrücke verfügt und das Programm „Client Security Solution“ installiert 

ist, gibt es zwei Möglichkeiten, sich beim Betriebssystem Windows 7 mithilfe der Authentifizierung über 

Fingerabdrücke anzumelden: 

• Fingerprint Software-Anmeldeschnittstelle verwenden Es müssen die Anmeldeschnittstellen von Lenovo 

Fingerprint Software und von ThinkVantage Fingerprint Software aktiviert sein. Wenn unter Windows 

7 beide Schnittstellen für die Anmeldung über Fingerabdruck aktiviert sind, können Benutzer den 

Finger entweder über die Tastatur mit Lesegerät für Fingerabdrücke oder das integrierte Lesegerät für 

Fingerabdrücke ziehen, um sich anzumelden. 

• Client Security Solution-Anmeldeschnittstelle verwenden Die Anmeldeschnittstelle von Client Security 

Solution kann statt der Fingerprint Software-Anmeldeschnittstellen verwendet werden. Bei Verwendung 

der Client Security Solution-Anmeldeschnittstelle zur Anmeldung beim Windows-Betriebssystem 

mit der Authentifizierung über Fingerabdrücke ist die Fingerprint Software-Anmeldung in den 

Einstellungen des jeweiligen Fingerprint Software-Arbeitsbereichs inaktiviert. Die Client Security 

Solution-Anmeldeschnittstelle ist in der Option zum Verwalten von Sicherheitsrichtlinien im Menü 

Erweitert der Anwendung „Client Security Solution“ konfiguriert. 

Anmerkungen: 

1. Die BIOS-Einstellung „Reader Priority“ gilt in dieser Situation nicht. Wenn beide Geräte verfügbar 

sind, können Sie auswählen, welches Gerät für die Anmeldung verwendet werden soll. 

2. Nur Versionen ab Client Security Solution 8.3 unterstützen diese Funktion. Nähere Informationen 

hierzu finden Sie in „Authentifizierung mit Client Security Solution“ auf Seite 76. 

Authentifizierung mit Client Security Solution 

Anmerkung: Die folgenden Informationen gelten erst ab Client Security Solution 8.3. Frühere Versionen von 

Client Security Solution unterstützen nicht die Verwendung des integrierten Lesegeräts für Fingerabdrücke 

zusammen mit der Tastatur mit Lesegerät für Fingerabdrücke. 

Wenn eine Aktion in Client Security Solution durchgeführt wird, für die eine Authentifizierung über 

Fingerabdruck erforderlich ist, wie z. B. das automatische Eingeben eines Kennworts auf einer Website 

mit Password Manager, müssen Benutzer bei entsprechender Eingabeaufforderung einen Finger über 

die Tastatur mit Lesegerät für Fingerabdrücke ziehen, wenn diese angeschlossen ist. Eingaben über 

das integrierte Lesegerät für Fingerabdrücke werden ignoriert, wenn die Tastatur mit Lesegerät für 

Fingerabdrücke angeschlossen ist. Wenn die Tastatur mit Lesegerät für Fingerabdrücke nicht angeschlossen 

ist, muss der integrierte Sensor für Fingerabdrücke verwendet werden. 

Es gibt eine Registrierungseinstellung, mit der erzwungen werden kann, dass Benutzer den integrierten 

Sensor für Fingerabdrücke für die Authentifizierung mit Client Security Solution verwenden. Wenn dieser 

Registrierungseintrag festgelegt ist, muss die Authentifizierung mit Client Security Solution über den 

integrierten Sensor vorgenommen werden und Eingaben über die Tastatur mit Lesegerät für Fingerabdrücke 

werden ignoriert. 

Der Registrierungseintrag lautet wie folgt: 


[HKLM\Software\Lenovo\TVT Common\Client Security Solution] 

REG_DWORD "PreferInternalFPSensor" = 1 

Der Standardwert des obigen Registrierungseintrags ist 0, wenn die Authentifizierung über Fingerabdruck 

mit Client Security Solution über die Tastatur mit Lesegerät für Fingerabdrücke vorgenommen werden muss, 

und Eingaben über das integrierte Lesegerät für Fingerabdrücke werden ignoriert. 

Diese Einstellung kann auch über die Client Security Solution-Schablonendatei mit den Gruppenrichtlinien 

für Active Directory geändert werden. 

Anmerkungen: 

1. Wenn für die Einstellung für BIOS Reader Priority die Option Internal only festgelegt ist, empfiehlt 

es sich, den Registrierungseintrag auf „1“ zu setzen. Hierdurch wird die Authentifizierung mit Client 

Security Solution aktiviert, um die Einstellung für die BIOS-Predesktop-Authentifizierung zu simulieren. 

2. Die BIOS-Einstellung und diese Registrierungseinstellung sind voneinander unabhängig. 

Anhang A. Hinweise zur Verwendung des Lenovo Fingerprint Keyboard zusammen mit einigen Thinkpad-Notebookmodellen 77


Anhang B. Windows-Kennwort nach dem Zurücksetzen mit 

Client Security Solution abgleichen 

Nach dem Zurücksetzen des Windows-Kennworts fordert Client Security Solution Sie kontinuierlich auf, ein 

neues Windows-Kennwort anzugeben, zeigt dann aber eine Fehlernachricht an, dass das Kennwort falsch 

ist. Die Windows-Sicherheitsfunktion ist so konzipiert, dass die Sicherheitsberechtigungsnachweise beim 

Zurücksetzen des Windows-Kennworts ungültig werden. Windows gibt bei jedem Versuch, das Kennwort 

zurückzusetzen, eine Warnung aus. Zudem ist nicht nur Client Security Solution durch das Zurücksetzen 

des Windows-Kennworts betroffen, sondern Sie verlieren auch den Zugriff auf Ihre mit Windows EFS 

verschlüsselten Zertifikate und Dateien. Wenn Client Security Solution (nach dem Zurücksetzen des 

Kennworts) nicht mehr auf Ihre Windows-Sicherheitsberechtigungsnachweise zugreifen kann, fordert 

Client Security Solution Sie kontinuierlich auf, das neue Kennwort einzugeben, und zeigt dann eine 

Fehlernachricht an, dass das eingegebene Kennwort ungültig ist. Client Security Solution funktioniert 

nicht, wenn die Windows-Sicherheitsberechtigungsnachweise auf diese Weise ungültig gemacht werden. 

Wenn das Windows-Kennwort geändert wurde (Sie werden z. B. aufgefordert, sowohl das alte als auch 

das neue Kennwort anzugeben) werden Ihre Sicherheitsberechtigungsnachweise beibehalten und durch 

das neue Kennwort geschützt. 

Gehen Sie wie folgt vor, um das Kennwort nach dem Zurücksetzen des Windows-Kennworts mit CSS 

abzugleichen: 

1. Stellen Sie eine Sicherungskopie des Systems vor dem Zurücksetzen des Windows-Kennworts wieder 

her. 

2. Setzen Sie das Windows-Kennwort auf das ursprüngliche Kennwort zurück. Dadurch sollte der Zugriff 

auf die Windows-Sicherheitsberechtigungsnachweise wiederhergestellt werden. 

3. Erstellen Sie ein neues Windows-Benutzerkonto und verwenden Sie dieses anstelle des ursprünglichen 

Kontos mit den beschädigten Berechtigungsnachweisen. 

4. Gehen Sie wie folgt vor, um das System wiederherzustellen: 

a. Starten Sie Password Manager. 

b. Klicken Sie auf Import/Export und wählen Sie die Option Export entry list (Eintragsliste exportieren) 

aus. 

c. Geben Sie eine Position zum Speichern der Datei und einen Dateinamen ein. 

d. Geben Sie ein Kennwort für die Datei mit den Einträgen ein. 

e. Schließen Sie Password Manager. 

f. Starten Sie Client Security Solution. 

g. Klicken Sie auf Advanced (Erweitert) ➙ Reset security settings (Sicherheitseinstellungen 

zurücksetzen). 

h. Geben Sie bei entsprechender Eingabeaufforderung das neue Windows-Kennwort ein. 

i. Client Security Solution fordert Sie zum erneuten Starten des Systems auf. 

j. Starten Sie nach dem Systemwiederanlauf Password Manager. 

k. Klicken Sie auf Import/Export und wählen Sie die Option Import entry list (Eintragsliste importieren) 

aus. 

l. Blättern Sie zur zuvor gespeicherten Datei. 

m. Geben Sie bei entsprechender Eingabeaufforderung das Kennwort ein. 



Anhang C. Client Security Solution auf einem erneut 

installierten Windows-Betriebssystem verwenden 

Wenn Ihr Windows-Betriebssystem, das mit Client Security Solution installiert ist, erneut installiert wurde, 

müssen Sie die Installationsdaten von Client Security Solution löschen und Client Security Solution erneut 

installieren, um Client Security Solution unter dem neu installierten Windows-Betriebssystem zu verwenden. 

Ein bewährtes Verfahren ist das folgende: 

1. Deinstallieren Sie Client Security Solution von dem aktuellen Windows-Betriebssystem. 

2. Starten Sie den Computer neu. 

3. Löschen Sie in der Registrierungsdatenbank die folgenden Daten: 

• [HKEY_LOCAL_MACHINE\SOFTWARE\Lenovo\TVT Common\Client Security Solution] 

• [HKEY_LOCAL_MACHINE\SOFTWARE\Lenovo\Client Security Solution] 

• [HKEY_LOCAL_MACHINE\SOFTWARE\Lenovo\Logs] 

• [HKEY_LOCAL_MACHINE\SOFTWARE\IBM\Security\Debug] 

4. Löschen Sie die zu Client Security Solution zugehörigen Daten auf der C-Partition. Es wird empfohlen, 

die Daten auf der gesamten C-Partition mit der Option zu suchen, alle verdeckten Dateien im Fenster 

zu den Dateioptionen anzuzeigen. Das Ergebnis finden Sie an den folgenden Positionen, ist jedoch 

nicht darauf begrenzt: 

• C:\Users\All Users\AppData\Roaming\Client Security Solution 

• C:\Users\%USER%\AppData\Roaming\Client Security Solution 

5. Löschen Sie den Sicherheitschip im BIOS-Konfigurationsdienstprogramm und aktivieren Sie den 

Sicherheitschip, indem Sie wie folgt vorgehen: 

a. Fahren Sie den Computer herunter. 

b. Schalten Sie den Computer ein und drücken Sie die Taste F1, um das 

BIOS-Konfigurationsdienstprogramm zu öffnen. 

c. Wählen Sie Security aus. 

d. Drücken Sie die Eingabetaste und wählen Sie Clear Security Chipaus. 

e. Drücken Sie die Eingabetaste und wählen Sie Yes aus, um Verschlüsselungsschlüssel zu löschen. 

f. Wählen Sie Security Chip aus und drücken Sie die Eingabetaste, um Active auszuwählen. 

Anmerkung: Wenn Sie Client Security Solution nicht in den Hardware-TPM-Modus versetzen 

möchten, legen Sie für den Sicherheitschip die Option Disabled fest. 

6. Starten Sie den Computer erneut und installieren Sie erneut das Programm „Client Security Solution“. 

Anmerkung: Wenn Sie den Installationsmodus des Programs „Client Security Solution“ von 

Softwareemulationsmodus in TPM-basierten Hardwaremodus ändern oder wenn Sie den Sicherheitschip 

gelöscht haben, versucht Client Security Solution vorhandene Daten wiederherzustellen, wenn es die 

TPM-Änderung feststellt. Der Versuch wird fehlschlagen, da die verschlüsselten Daten nicht von den neuen 

TPM-Daten entschlüsselt werden können. In diesem Fall tritt beim Starten von Client Security Solution ein 

Fehler auf. 



Anhang D. TPM auf ThinkPad-Notebook-Computern 

verwenden 

Der Hauptnutzungsfall für das TPM ist die BitLocker-Funktion, die in bestimmten Versionen von Microsoft 

Windows Vista und Windows 7 enthalten ist. Dieser Anhang bietet Antworten auf die folgenden häufig 

gestellten Fragen beim Bereitstellen von BitLocker in Windows-Umgebungen. 

• „Wie wird BitLocker remote bereitgestellt?“ auf Seite 83 

• „Wie funktioniert die TPM-Sperrung?“ auf Seite 84 

Wie wird BitLocker remote bereitgestellt? 

Bei der Verwendung der standardmäßigen Windows-Tools zum Aktivieren des TPM wie der Datei 

„manage-bde.exe“ oder der TPM-Systemsteuerung muss der Computer vollständig heruntergefahren 

werden. Wenn Sie den Computer dann erneut einschalten, müssen Sie eine Taste drücken, um die Aktion 

zu bestätigen. Bei dieser Art der Interaktion ist es unmöglich, BitLocker remote und unbeaufsichtigt 

bereitzustellen. 

Es gibt zwei verschiedene Statustypen in Bezug auf das TPM: „Enabled“ (Eingeschaltet) und „Activated“ 

(Aktiviert). Ein eingeschaltetes TPM ist nicht unbedingt aktiviert, genau wie ein aktiviertes TPM nicht 

unbedingt eingeschaltet ist. Das TPM muss vor der Verwendung von BitLocker eingeschaltet und aktiviert 

sein. ThinkPad-Notebook-Computer werden immer mit einem TPM im eingeschalteten und deaktivierten 

Status ausgeliefert. Daher müssen Sie den TPM-Status als aktiviert festlegen, um BitLocker erfolgreich 

bereitzustellen. 

Seit 2008 wird auf ThinkPad-Notebook-Computern Windows Management Instrumentation (WMI) 

bereitgestellt, um beliebige BIOS-Einstellungen (einschließlich des aktivierten Status des TPM) zu ändern. 

WMI kann remote gescriptet und ausgeführt werden und erfordert keine persönliche Interaktion am 

Computer. 

Gehen Sie wie folgt vor, um die BIOS-Einstellung zu ändern: 



2. Klicken Sie auf Sample Scripts for BIOS Deployment Guide (Beispiel-Scripts für 

BIOS-Bereitstellungshandbuch), um die Datei „script.zip“ herunterzuladen. Extrahieren Sie dann die 

ZIP-Datei. 


„SetConfig.vbs“ auszuführen. Wenn Sie ein BIOS-Administratorkennwort verwenden, geben Sie 

cscript.exe SetConfigPassword.vbs SecurityChip Active in das Befehlszeilenfenster ein, um stattdessen 

die Datei „SetConfigPassword.vbs“ auszuführen. 

4. Starten Sie den Computer zweimal neu. Beim ersten Neustart wird die BIOS-Einstellung geändert und 

beim zweiten Neustart wird die BIOS-Einstellung wirksam. 

Anmerkung: Bei der oben beschriebenen Vorgehensweise wird das TPM nur auf Computern aktiviert, 

auf denn das TPM bereits eingeschaltet ist (z. B. bei Modellen mit Werkseinstellungen). Wenn Sie das 

TPM mithilfe der Windows-Tools wie der Datei „manage-bde.exe“ oder der TPM-Systemsteuerung 

ausgeschaltet haben, müssen Sie das TPM zunächst mithilfe derselben Methode erneut einschalten, mit 

der es ausgeschaltet wurde. 


Wie funktioniert die TPM-Sperrung? 

Eine der wichtigsten Sicherheitsfunktionen des TPM besteht im Vermeiden von „Hammering“. Dabei handelt 

es sich um den Versuch, TPM-Kennwörter auf automatische Weise zu erraten. Jedes TPM implementiert 

eine Anti-Hammering-Methode und wenn ein Angriff erkannt wird, wechselt das TPM in den Sperrmodus. 

Das bedeutet, dass weitere Kennwortrateversuche ignoriert werden, bis der Sperrmodus endet. Die Trusted 

Computing Group (die Organisation, die das TPM-Verhalten definiert) hat jedoch keinen Standard für die 

TPM-Sperre definiert, daher hat jeder TPM-Hersteller seine eigene Implementierung zum Sperren entwickelt. 

Lenovo hat TPMs von den folgenden vier verschiedenen Herstellern verwendet: 

• Atmel-ThinkPad T60/R60/X60/X300, ThinkCentre M57 

• Intel-ThinkPad T500/R500/X200/X301 

• ST Micro-ThinkPad T410/T510/X201/T420/T520/X220, ThinkCentre M90 

• Winbond-ThinkCentre M58 

Diese TPMs weisen verschiedene Charakteristiken auf, wenn Sie in den Sperrmodus wechseln, wie 

nachfolgend beschrieben ist: 

Atmel TPM: 

• Keine Sperrung bei den ersten 15 falschen Kennwortversuchen. 

• Der 16. falsche Kennwortversuch führt zu einem Sperrzeitraum von 1,1 Minuten. 

• Dann erfolgt während der nächsten 15 falschen Kennwortversuche keine Sperrung. 

• Der nächste Sperrzeitraum dauert 2,2 Minuten. 

• Jeder Sperrzeitraum verdoppelt sich nach jeweils 15 falschen Kennwortversuchen bis zu einem 

maximalen Sperrzeitraum von 4,7 Stunden. 

• Die Sperre wird zurückgesetzt, wenn der Computer ausgeschaltet wird. 

Intel TPM: 


• Der 101. falsche Kennwortversuch führt zu einem Sperrzeitraum von 16 Sekunden. 

• Jeder nachfolgende falsche Kennwortversuch führt zu einem doppelt so langen Sperrzeitraum wie der 

vorherige Sperrzeitraum und es gibt keinen maximalen Sperrzeitraum. 

• Der Zähler für falsche Kennwörter verringert sich jede Stunde um 1, bis er 0 erreicht. 

ST Micro TPM: 


• Der 41. falsche Kennwortversuch führt zu einem Sperrzeitraum von drei Sekunden. 


vorherige Sperrzeitraum und der maximale Sperrzeitraum lautet zwei Stunden. 

Winbond TPM: 

• Der erste falsche Kennwortversuch führt zu einem Sperrzeitraum von 0,25 Sekunden. 


vorherige Sperrzeitraum und der maximale Sperrzeitraum lautet 14 Stunden. 


Anmerkung: Bei 13 falschen Kennwortversuchen wird ein Sperrzeitraum von einer Sekunde erreicht. 

• Nach 24 Stunden wird der Zähler für falsche Kennwörter auf Null zurückgesetzt. 

Anhang D. TPM auf ThinkPad-Notebook-Computern verwenden 85


Anhang E. Bemerkungen 

Möglicherweise bietet Lenovo die in dieser Dokumentation beschriebenen Produkte, Services oder 

Funktionen in anderen Ländern nicht an. Informationen über die gegenwärtig im jeweiligen Land verfügbaren 

Produkte und Services sind beim Lenovo Ansprechpartner erhältlich. Hinweise auf Lenovo Lizenzprogramme 

oder andere Lenovo Produkte bedeuten nicht, dass nur Programme, Produkte oder Services von Lenovo 

verwendet werden können. Anstelle der Lenovo Produkte, Programme oder Services können auch andere 

ihnen äquivalente Produkte, Programme oder Services verwendet werden, solange diese keine gewerblichen 

oder anderen Schutzrechte von Lenovo verletzen. Die Verantwortung für den Betrieb der Produkte, 

Programme oder Services in Verbindung mit Fremdprodukten und Fremdservices liegt beim Kunden, soweit 

solche Verbindungen nicht ausdrücklich von Lenovo bestätigt sind. 

Für in diesem Handbuch beschriebene Erzeugnisse und Verfahren kann es Lenovo Patente oder 

Patentanmeldungen geben. Mit der Auslieferung dieser Dokumentation ist keine Lizenzierung dieser Patente 

verbunden. Lizenzanfragen sind schriftlich an folgende Adresse zu richten (Anfragen an diese Adresse 

müssen auf Englisch formuliert werden): 

Lenovo (United States), Inc. 

1009 Think Place - Building One 

Morrisville, NC 27560 

U.S.A. 

Attention: Lenovo Director of Licensing 

Lenovo stellt die Veröffentlichung ohne Wartung (auf „as-is“-Basis) zur Verfügung und übernimmt keine 

Garantie für die Handelsüblichkeit, die Verwendungsfähigkeit für einen bestimmten Zweck und die 

Freiheit der Rechte Dritter. Einige Rechtsordnungen erlauben keine Garantieausschlüsse bei bestimmten 

Transaktionen, so dass dieser Hinweis möglicherweise nicht zutreffend ist. 

Trotz sorgfältiger Bearbeitung können technische Ungenauigkeiten oder Druckfehler in dieser 

Veröffentlichung nicht ausgeschlossen werden. Die Angaben in diesem Handbuch werden in regelmäßigen 

Zeitabständen aktualisiert. Lenovo kann jederzeit Verbesserungen und/oder Änderungen an den in dieser 

Veröffentlichung beschriebenen Produkten und/oder Programmen vornehmen. 

Die in diesem Dokument beschriebenen Produkte sind nicht zur Verwendung bei Implantationen oder 

anderen lebenserhaltenden Anwendungen, bei denen ein Nichtfunktionieren zu Verletzungen oder zum 

Tod führen könnte, vorgesehen. Die Informationen in diesem Dokument beeinflussen oder ändern nicht 

die Lenovo Produktspezifikationen oder Garantien. Keine Passagen in dieser Dokumentation stellen 

eine ausdrückliche oder stillschweigende Lizenz oder Anspruchsgrundlage bezüglich der gewerblichen 

Schutzrechte von Lenovo oder von anderen Firmen dar. Alle Informationen in dieser Dokumentation 

beziehen sich auf eine bestimmte Betriebsumgebung und dienen zur Veranschaulichung. In anderen 

Betriebsumgebungen werden möglicherweise andere Ergebnisse erzielt. 

Werden an Lenovo Informationen eingesandt, können diese beliebig verwendet werden, ohne dass eine 

Verpflichtung gegenüber dem Einsender entsteht. 

Verweise in dieser Veröffentlichung auf Websites anderer Anbieter dienen lediglich als Benutzerinformationen 

und stellen keinerlei Billigung des Inhalts dieser Websites dar. Das über diese Websites verfügbare Material 

ist nicht Bestandteil des Materials für dieses Lenovo Produkt. Die Verwendung dieser Websites geschieht 

auf eigene Verantwortung. 

Alle in diesem Dokument enthaltenen Leistungsdaten stammen aus einer gesteuerten Umgebung. Die 

Ergebnisse, die in anderen Betriebsumgebungen erzielt werden, können daher erheblich von den hier 

erzielten Ergebnissen abweichen. Einige Daten stammen möglicherweise von Systemen, deren Entwicklung 


noch nicht abgeschlossen ist. Eine Garantie, dass diese Daten auch in allgemein verfügbaren Systemen 

erzielt werden, kann nicht gegeben werden. Darüber hinaus wurden einige Daten unter Umständen durch 

Extrapolation berechnet. Die tatsächlichen Ergebnisse können abweichen. Benutzer dieses Dokuments 

sollten die entsprechenden Daten in ihrer spezifischen Umgebung prüfen. 

Marken 

Die folgenden Ausdrücke sind Marken der Lenovo Group Limited in den USA und/oder anderen Ländern: 

Lenovo 

ThinkCentre 

ThinkPad 

ThinkVantage 

Microsoft, Internet Explorer, Windows Server und Windows sind Marken der Microsoft-Unternehmensgruppe. 

Weitere Unternehmens-, Produkt- oder Servicenamen können Marken anderer Hersteller sein. 


Glossar 

Administratorkennwort 

(ThinkCentre)/Supervisorkennwort (ThinkPad) zum 

Ändern der BIOS-Einstellungen 

Mit dem Administratorkennwort/Supervisorkennwort 

wird die Möglichkeit zum Ändern der 

BIOS-Einstellungen gesteuert. Dies umfasst 

das Aktivieren oder Inaktivieren des integrierten 

Sicherheitschips und das Löschen des SRK 

(Storage Root Key), der im TPM (Trusted Platform 

Module) gespeichert ist. 

AES (Advanced Encryption Standard) Bei AES handelt es sich um eine 

Verschlüsselungstechnik mit symmetrischem 

Schlüssel. Seit Oktober 2000 verwendet 

die US-Regierung diesen Algorithmus als 

Verschlüsselungstechnik, wobei AES die 

DES-Verschlüsselung ersetzt hat. AES bietet 

höhere Sicherheit gegen Brute-Force-Attacken als 

56-Bit-DES-Schlüssel. AES kann ggf. 128-, 192und 

256-Bit-Schlüssel verwenden. 

Verschlüsselungssysteme Verschlüsselungssysteme können allgemein 

klassifiziert werden in die Verschlüsselung 

mit symmetrischem Schlüssel, bei der ein 

einzelner Schlüssel für die Verschlüsselung und 

Entschlüsselung von Daten genutzt wird, und in die 

Verschlüsselung mit öffentlichem Schlüssel, bei 

der zwei Schlüssel (ein öffentlicher Schlüssel, der 

allen bekannt ist, und ein privater Schlüssel, auf 

den nur der Besitzer des Schlüsselpaars Zugriff hat) 

verwendet werden. 

Embedded Security Chip „Integrierter Sicherheitschip“ ist ein anderer Name 

für das TPM (Trusted Platform Module). 

Verschlüsselung mit öffentlichem 

Schlüssel/asymmetrischem Schlüssel 

Algorithmen mit öffentlichem Schlüssel verwenden 

gewöhnlich ein Paar zusammengehöriger Schlüssel. 

Dabei handelt es sich um einen geheimen privaten 

Schlüssel und einen öffentlichen Schlüssel, der 

verbreitet werden kann. Die beiden Schlüssel 

eines Paares sollten nicht voneinander abgeleitet 

werden können. Der Begriff „Verschlüsselung 

mit öffentlichem Schlüssel“ ist von der Idee, 

die Informationen zum öffentlichen Schlüssel 

allgemein zugänglich zu machen, abgeleitet. 

Daneben wird auch der Begriff „Verschlüsselung mit 

asymmetrischem Schlüssel“ verwendet, da nicht 

alle Parteien über dieselben Informationen verfügen. 

In gewisser Weise „verschließt“ ein Schlüssel 

ein Schloss (Verschlüsselung), und ein anderer 

Schlüssel ist für das „Aufschließen“ des Schlosses 

(Entschlüsselung) erforderlich.

Speicher-Rootschlüssel (SRK, Storage Root Key) Beim Speicher-Rootschlüssel (SRK) handelt es sich 

um ein öffentliches Schlüsselpaar mit mindestens 

2.048 Bit. Er ist ursprünglich leer und wird bei 

der Zuordnung des TPM-Eigners erstellt. Dieses 

Schlüsselpaar verbleibt immer im integrierten 

Sicherheitschip. Es dient zum Verschlüsseln 

(Verpacken) von privaten Schlüsseln für das 

Speichern außerhalb des TPMs (Trusted Platform 

Module) und zum Entschlüsseln der Schlüssel, 

wenn diese wieder in das TPM geladen werden. Der 

SRK kann von jedem Benutzer mit Zugriff auf das 

BIOS gelöscht werden. 

Verschlüsselung mit symmetrischem Schlüssel Bei Verschlüsselung mit symmetrischem 

Schlüssel wird für die Verschlüsselung und für die 

Entschlüsselung von Daten derselbe Schlüssel 

verwendet. Verschlüsselungen mit symmetrischem 

Schlüssel sind einfacher und schneller. Ihr 

größter Nachteil besteht darin, dass die beiden 

Parteien einen sicheren Weg finden müssen, den 

Schlüssel auszutauschen. Bei Verschlüsselung 

mit öffentlichem Schlüssel besteht dieses Problem 

nicht, da der öffentliche Schlüssel auf einem nicht 

gesicherten Weg verbreitet werden kann und 

der private Schlüssel nie übertragen wird. AES 

(Advanced Encryption Standard) ist ein Beispiel für 

einen symmetrischen Schlüssel. 

TPM (Trusted Platform Module) TPMs (Trusted Platform Modules) sind 

integrierte Schaltkreise für besondere 

Zwecke, die zum Ermöglichen einer strengen 

Benutzerauthentifizierung und Maschinenprüfung 

in Systeme integriert werden. Der Hauptzweck 

von TPMs ist es, den unberechtigten Zugriff 

auf vertrauliche und sensible Informationen zu 

verhindern. Das TPM ist eine auf Hardware 

aufbauende Sicherheitsbasis, die eine Vielzahl von 

Verschlüsselungsservices auf einem System zur 

Verfügung stellen kann. Ein anderer Name für das 

TPM ist „integrierter Sicherheitschip“.

Client Security Solution 8.3 Implementierungshandbuch - Lenovo

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?