Client Security Solution 8.3 Implementierungshandbuch - Lenovo
Client Security Solution 8.3 Implementierungshandbuch - Lenovo
Client Security Solution 8.3 Implementierungshandbuch - Lenovo
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Softwareemulation<br />
Damit Benutzer, deren Computer über kein TPM verfügt, eine ähnliche Ansicht erhalten, unterstützt CSS<br />
den TMP-Emulationsmodus.<br />
Der TPM-Emulationsmodus ist eine softwarebasierte Sicherheitsbasis. Dem Benutzer stehen dieselben<br />
Funktionen, die vom TPM bereitgestellt werden, wie z. B. digitale Signatur, die Entschlüsselung<br />
symmetrischer Schlüssel, RSA-Schlüsselimport, Schutz und Generierung von zufallsgenerierten Nummern,<br />
zur Verfügung. Allerdings ist die Sicherheit geringer, da es sich bei der Sicherheitsbasis um softwarebasierte<br />
Schlüssel handelt.<br />
Der TPM-Emulationsmodus kann nicht als sicherer Ersatz für das TPM verwendet werden. Das TPM bietet<br />
die folgenden beiden Schlüsselschutzmethoden, die sicherer sind als der TPM-Emulationsmodus.<br />
• Alle vom TPM verwendeten Schlüssel sind durch einen eindeutigen Schlüssel auf Stammverzeichnisebene<br />
geschützt. Der eindeutige Schlüssel auf Stammverzeichnisebene wird innerhalb des TPM erstellt und<br />
kann außerhalb davon weder angezeigt noch verwendet werden. Im TPM-Emulationsmodus ist der<br />
Schlüssel auf Stammverzeichnisebene ein softwarebasierter Schlüssel, der auf dem Festplattenlaufwerk<br />
gespeichert ist.<br />
• Alle Operationen mit privatem Schlüssel werden im TPM durchgeführt, so dass das private<br />
Schlüsselmaterial für keinen Schlüssel jemals außerhalb des TPM angezeigt wird. Im<br />
TPM-Emulationsmodus werden alle Operationen mit privatem Schlüssel in der Software durchgeführt, so<br />
dass kein Schutz des privaten Schlüsselmaterials besteht.<br />
Der TPM-Emulationsmodus ist in erster Linie für Benutzer gedacht, denen Sicherheit kein so großes Anliegen<br />
ist und denen es eher um die Geschwindigkeit bei der Systemanmeldung geht.<br />
Austausch der Systemplatine<br />
Ein Austausch der Systemplatine bedeutet, dass der alte SRK, an den die Schlüssel gebunden waren, nicht<br />
mehr gilt, und dass ein anderer SRK erforderlich ist. Dieser Fall kann auch eintreten, wenn das TPM (Trusted<br />
Platform Module) über das BIOS gelöscht wird.<br />
Der <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>-Administrator muss die Berechtigungsnachweise des Systems<br />
an einen neuen SRK binden. Es ist erforderlich, dass der Systembasisschlüssel über den<br />
Systembasis-AES-Sicherungsschlüssel entschlüsselt wird, der von den Berechtigungsnachweisen zur<br />
Autorisierung des <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>-Administrators abgeleitet wird.<br />
Wenn es sich beim <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>-Administrator um eine Domänenbenutzer-ID handelt und<br />
das Kennwort für diese Benutzer-ID auf einer anderen Maschine geändert wurde, muss das Kennwort<br />
bekannt sein, das bei der letzten Anmeldung auf dem System, das wiederhergestellt werden soll, verwendet<br />
wurde, um den Systembasisschlüssel für die Wiederherstellung zu entschlüsseln. Ein Bespiel: Bei der<br />
Implementierung wird eine Benutzer-ID und ein Kennwort des <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>-Administrators<br />
konfiguriert. Ändert sich das Kennwort von diesem Benutzer auf einer anderen Maschine, ist das<br />
ursprüngliche, bei der Implementierung festgelegte Kennwort für die Autorisierung erforderlich, um das<br />
System wiederherzustellen.<br />
Gehen Sie wie folgt vor, um die Systemplatine auszutauschen:<br />
1. Melden Sie sich als <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>-Administrator am Betriebssystem an.<br />
2. Der bei der Anmeldung ausgeführte Code (cssplanarswap.exe) erkennt, dass der Sicherheitschip nicht<br />
aktiviert ist und fordert einen Neustart für die Aktivierung an. (Dieser Schritt kann durch die Aktivierung<br />
des Sicherheitschips im BIOS umgangen werden.)<br />
3. Das System wird erneut gestartet und der Sicherheitschip aktiviert.<br />
Kapitel 3. Mit <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> arbeiten 27