Client Security Solution 8.3 Implementierungshandbuch - Lenovo

Weitere Magazine

Empfehlungen

Info

Client Security Solution mit Chiffrierschlüsseln verwalten Client Security Solution wird durch die beiden wichtigsten Implementierungsaktivitäten beschrieben: „Eigentumsrecht übernehmen“ und „Benutzer registrieren“. Bei der ersten Ausführung des Konfigurationsassistenten von Client Security Solution werden diese beiden Prozesse während der Initialisierung ausgeführt. Die Windows-Benutzer-ID, die den Installationsassistenten für Client Security Solution ausgeführt hat, ist der Client Security Solution-Administrator und ist als aktiver Benutzer registriert. Jeder andere Benutzer, der sich am System anmeldet, wird automatisch aufgefordert, sich bei Client Security Solution zu registrieren. • Eigentumsrecht übernehmen Eine einzige Windows-Administrator-ID ist als einziger Client Security Solution-Administrator für das System zugeordnet. Verwaltungsfunktionen von Client Security Solution müssen über diese Benutzer-ID ausgeführt werden. Die Berechtigung für das TPM (Trusted Platform Module) ist entweder das Windows-Kennwort dieses Benutzers oder der Client Security-Verschlüsselungstext. Anmerkung: Die einzige Möglichkeit einer Wiederherstellung, wenn das Client Security Solution-Administratorkennwort oder der -Verschlüsselungstext vergessen wurde, besteht darin, die Software mit gültigen Windows-Berechtigungen zu deinstallieren oder den Inhalt des Sicherheitschips im BIOS zu löschen. Bei beiden Möglichkeiten gehen die Daten, die über die dem TPM zugeordneten Schlüssel geschützt werden, verloren. Client Security Solution bietet außerdem einen optionalen Mechanismus, mit dessen Hilfe Sie ein vergessenes Kennwort oder einen vergessenen Verschlüsselungstext selbst wiederherstellen können. Dieser Mechanismus basiert auf Fragen und Antworten zur Identifizierung. Der Client Security Solution-Administrator entscheidet, ob diese Funktion verwendet wird. • Benutzer registrieren Nachdem der Prozess „Eigentumsrecht übernehmen“ abgeschlossen und ein Client Security Solution-Administrator erstellt wurde, kann ein Benutzerbasisschlüssel erstellt werden, um die Berechtigungsnachweise für den gerade angemeldeten Windows-Benutzer sicher zu speichern. Dadurch können sich mehrere Benutzer bei Client Security Solution registrieren und das einzelne TPM nutzen. Benutzerschlüssel werden über den Sicherheitschip gesichert, aber tatsächlich außerhalb des Chips auf der Festplatte gespeichert. Diese Technologie erstellt Festplattenspeicherplatz als den einschränkenden Speicherfaktor anstelle des tatsächlichen in den Sicherheitschip integrierten Speichers. Damit wird die Anzahl der Benutzer, die dieselbe sichere Hardware nutzen können, deutlich erhöht. Eigentumsrecht übernehmen Die Sicherheitsbasis für Client Security Solution ist der System-Rootschlüssel (SRK, System Root Key). Dieser nicht migrierbare asymmetrische Schlüssel wird in der sicheren Umgebung des TPMs (Trusted Platform Module) generiert und gegenüber dem System nie offengelegt. Die Berechtigung zur Nutzung des Schlüssels wird beim Ausführen des Befehls „TPM_TakeOwnership“ über das Windows-Administratorkonto abgeleitet. Wenn das System einen Client Security-Verschlüsselungstext nutzt, ist der Client Security-Verschlüsselungstext für den Client Security Solution-Administrator die TPM-Berechtigung. Andernfalls wird das Windows-Kennwort des Client Security Solution-Administrators verwendet. Mit Hilfe des für das System erstellten SRK können andere Schlüsselpaare erstellt und verpackt oder geschützt durch die auf Hardware basierenden Schlüssel außerhalb des TPMs gespeichert werden. Da es sich beim TPM, das den SRK enthält, um Hardware handelt und Hardware beschädigt werden kann, ist ein Wiederherstellungsmechanismus erforderlich, um sicherzustellen, dass bei einer Beschädigung des Systems eine Datenwiederherstellung möglich ist. Um ein System wiederherzustellen, wird ein Systembasisschlüssel erstellt. Mit diesem asymmetrischen Speicherschlüssel kann der Client Security Solution-Administrator das System nach dem Austauschen der Systemplatine oder der geplanten Migration auf ein anderes System wiederherstellen. Damit der Systembasisschlüssel geschützt ist und gleichzeitig bei normalem Betrieb oder bei einer 24 Client Security Solution 8.3 Implementierungshandbuch
Wiederherstellung auf ihn zugegriffen werden kann, werden zwei Instanzen des Schlüssels erstellt und auf zwei verschiedene Arten geschützt. Zum einen wird der Systembasisschlüssel mit einem symmetrischen AES-Schlüssel verschlüsselt, der vom Client Security Solution-Administratorkennwort oder vom Client Security-Verschlüsselungstext abgeleitet wird. Diese Kopie des Client Security Solution-Wiederherstellungsschlüssels dient ausschließlich zur Wiederherstellung von einem gelöschten TPM oder einer ausgetauschten Systemplatine aufgrund eines Hardwareausfalls. Die zweite Instanz des Client Security Solution-Wiederherstellungsschlüssels wird durch den SRK für den Import in die Schlüsselhierarchie verpackt. Durch diese doppelte Instanz des Systembasisschlüssels kann das TPM mit ihm verbundene geheime Daten bei normalem Betrieb schützen. Außerdem ist eine Wiederherstellung einer fehlerhaften Systemplatine durch den Systembasisschlüssel möglich, der mit einem AES-Schlüssel verschlüsselt ist, der über das Client Security Solution-Administratorkennwort oder den Client Security-Verschlüsselungstext entschlüsselt wird. Anschließend wird ein Systemblattschlüssel erstellt. Dieser Schlüssel wird erstellt, um geheime Schlüssel auf Systemebene, wie z. B. den AES-Schlüssel, zu schützen. Das folgende Diagramm stellt die Struktur für den Schlüssel auf Systemebene dar: System Level Key Structure - Take Ownership Trusted Platform Module Storage Root Private Key Storage Root Public Key System Base Private Key System Base Public Key System Leaf Private Key System Leaf Public Key Encrypted via derived AES Key System Base Private Key System Base Public Key One-Way Hash CSS Admin PW/PP One-Way Hash System Base AES Protection Key (derived via output of hash algorithm) Abbildung 1. Systemebenenschlüsselstruktur - Eigentumsrecht übernehmen Benutzer registrieren Auth If Passphrase loop n times Damit die Daten von allen Benutzern durch dasselbe TPM (Trusted Platform Module) geschützt werden können, muss jeder Benutzer seinen eigenen Benutzerbasisschlüssel erstellen. Dieser asymmetrische Speicherschlüssel kann migriert werden und wird ebenfalls zweimal erstellt und durch einen symmetrischen AES-Schlüssel geschützt, der über das Windows-Kennwort oder den Client Security-Verschlüsselungstext der einzelnen Benutzer generiert wird. Die zweite Instanz des Benutzerbasisschlüssels wird dann in das TPM importiert und durch den System-SRK geschützt. Bei der Erstellung des Benutzerbasisschlüssels wird ein zweiter asymmetrischer Schlüssel erstellt, der als Benutzerblattschlüssel bezeichnet wird. Mit dem Benutzerblattschlüssel werden geheime Daten der einzelnen Benutzer geschützt. Hierzu zählen der AES-Schlüssel für Password Manager, der zum Schutz von Internetanmeldedaten dient, das Kennwort, mit dem Daten geschützt werden, und der AES-Schlüssel für das Windows-Kennwort, der den Zugriff auf das Betriebssystem schützt. Der Zugriff auf den Benutzerblattschlüssel wird über das Windows-Benutzerkennwort oder den Client Security Kapitel 3. Mit Client Security Solution arbeiten 25
Seite 1 und 2: Client Security Solution 8.3 Implem
Seite 3 und 4: Inhaltsverzeichnis Einleitung . . .
Seite 5 und 6: Einleitung Die in diesem Handbuch e
Seite 7 und 8: Kapitel 1. Übersicht Dieses Kapite
Seite 9 und 10: • Verschlüsseln aller gespeicher
Seite 11 und 12: - Zugriff auf das BIOS und auf Wind
Seite 13 und 14: Kapitel 2. Installation Dieses Kapi
Seite 15 und 16: verwaltet. Dieser Adminstrator muss
Seite 17 und 18: Tabelle 2. Parameter (Forts.) Param
Seite 19 und 20: Tabelle 3. Befehlszeilenparameter (
Seite 21 und 22: Tabelle 6. Installationsbeispiele f
Seite 23 und 24: Tabelle 7. Von der ThinkVantage Fin
Seite 25 und 26: Tabelle 8. Von der Lenovo Fingerpri
Seite 27 und 28: Bei der Konfiguration wird in der R
Seite 29: Kapitel 3. Mit Client Security Solu
Seite 33 und 34: Softwareemulation Damit Benutzer, d
Seite 35 und 36: Das folgende Diagramm stellt die St
Seite 37 und 38: Anmerkung: Wird in einer Funktion,
Seite 39 und 40: ENABLE_AUTHENTEC_GINA_FUNCTION Anme
Seite 41 und 42: Administrator ein neues Eignerkennw
Seite 43 und 44: 3 20000,20001,20002 Pass1word 1.0
Seite 45 und 46: Tabelle 10. ThinkVantage\Client Sec
Seite 47 und 48: Tabelle 11. Parameter (Forts.) Para
Seite 49 und 50: Tabelle 14. Parameter für Dateiver
Seite 51 und 52: Gehen Sie bei Desktop-Computern wie
Seite 53 und 54: Active Directory stellt einen Mecha
Seite 55 und 56: Tabelle 19. Computer Configuration
Seite 57 und 58: Tabelle 23. Computer Configuration
Seite 59 und 60: Kapitel 4. Mit ThinkVantage Fingerp
Seite 61 und 62: Tabelle 26. Befehle für globale Ei
Seite 63 und 64: Tabelle 28. Optionen für Benutzer
Seite 65 und 66: REG_SZ “sndScan” = [path to sou
Seite 67 und 68: Kapitel 5. Mit Lenovo Fingerprint S
Seite 69 und 70: Kapitel 6. Bewährte Verfahren Dies
Seite 71 und 72: . Fügen Sie zu diesem Schlüssel e
Seite 73 und 74: Die Datei heißt jetzt „C:\ThinkP
Seite 75 und 76: Zertifikat unter Verwendung durch S
Seite 77 und 78: Windows 7-Anmeldung Zur Anmeldung b
Seite 79 und 80: • Klicken Sie auf das Symbol für
Seite 81 und 82:
Anhang A. Hinweise zur Verwendung d
Seite 83 und 84:
[HKLM\Software\Lenovo\TVT Common\Cl
Seite 85 und 86:
Anhang B. Windows-Kennwort nach dem
Seite 87 und 88:
Anhang C. Client Security Solution
Seite 89 und 90:
Anhang D. TPM auf ThinkPad-Notebook
Seite 91 und 92:
Anmerkung: Bei 13 falschen Kennwort
Seite 93 und 94:
Anhang E. Bemerkungen Möglicherwei
Seite 95 und 96:
Glossar Administratorkennwort (Thin
Alle anzeigen

Client Security Solution 8.3 Implementierungshandbuch - Lenovo

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?