Client Security Solution 8.3 Implementierungshandbuch - Lenovo

Weitere Magazine

Empfehlungen

Info

Solution-Verschlüsselungstext gesteuert. Der Benutzerblattschlüssel wird bei der Anmeldung automatisch entsperrt. Das folgende Diagramm stellt die Struktur für den Schlüssel auf Benutzerebene dar: User Level Key Structure - Enroll User Trusted Platform Module Storage Root Private Key Storage Root Public Key User Base Private Key User Base Public Key User Leaf Private Key User Leaf Public Key Windows PW AES Key PW Manager AES Key Encrypted via derived AES Key User Base Private Key User Base Public Key One-Way Hash Auth One-Way Hash Abbildung 2. Schlüsselstruktur auf Benutzerebene - Benutzer registrieren Registrierung im Hintergrund User PW/PP User Base AES Protection Key (derived via output of hash algorithm) If Passphrase loop n times Client Security Solution 8.3 unterstützt die Registrierung im Hintergrund für die automatisch gestartete Benutzerregistrierung. Der Registrierungsprozess wird im Hintergrund ohne die Anzeige von Benachrichtigungen ausgeführt. Anmerkung: Die Registrierung im Hintergrund ist nur für die automatisch gestartete Benutzerregistrierung verfügbar. Für die manuell über das Startmenü oder über die Option Sicherheitseinstellungen zurücksetzen gestartete Benutzerregistrierung wird weiterhin ein Dialogfenster mit der Nachricht, dass der Benutzer auf die Benutzerregistrierung warten soll, angezeigt. Der lokale oder Domänenadministrator kann auch das Anzeigen des Dialogfensters zum Warten erzwingen, indem er die folgende Richtlinie wie folgt bearbeitet: CSS_GUI_ALWAYS_SHOW_ENROLLMENT_PROCESSING Er kann auch den folgenden Registrierungsschlüssel wie folgt bearbeiten: HKLM\software\policies\lenovo\client security solution\GUI options\ AlwaysShowEnrollmentProcessing Der Standardwert für AlwaysShowEnrollmentProcessing ist 0. Wenn für den obigen Registrierungsschlüssel 0 festgelegt ist, wird das Dialogfenster mit der Aufforderung zum Warten für die automatisch gestartete Benutzerregistrierung nicht angezeigt. Wenn für diese Richtlinie 1 festgelegt ist, wird das Dialogfenster mit der Aufforderung zum Warten bei der Benutzerregistrierung immer angezeigt, unabhängig davon, wie diese gestartet wird. 26 Client Security Solution 8.3 Implementierungshandbuch
Softwareemulation Damit Benutzer, deren Computer über kein TPM verfügt, eine ähnliche Ansicht erhalten, unterstützt CSS den TMP-Emulationsmodus. Der TPM-Emulationsmodus ist eine softwarebasierte Sicherheitsbasis. Dem Benutzer stehen dieselben Funktionen, die vom TPM bereitgestellt werden, wie z. B. digitale Signatur, die Entschlüsselung symmetrischer Schlüssel, RSA-Schlüsselimport, Schutz und Generierung von zufallsgenerierten Nummern, zur Verfügung. Allerdings ist die Sicherheit geringer, da es sich bei der Sicherheitsbasis um softwarebasierte Schlüssel handelt. Der TPM-Emulationsmodus kann nicht als sicherer Ersatz für das TPM verwendet werden. Das TPM bietet die folgenden beiden Schlüsselschutzmethoden, die sicherer sind als der TPM-Emulationsmodus. • Alle vom TPM verwendeten Schlüssel sind durch einen eindeutigen Schlüssel auf Stammverzeichnisebene geschützt. Der eindeutige Schlüssel auf Stammverzeichnisebene wird innerhalb des TPM erstellt und kann außerhalb davon weder angezeigt noch verwendet werden. Im TPM-Emulationsmodus ist der Schlüssel auf Stammverzeichnisebene ein softwarebasierter Schlüssel, der auf dem Festplattenlaufwerk gespeichert ist. • Alle Operationen mit privatem Schlüssel werden im TPM durchgeführt, so dass das private Schlüsselmaterial für keinen Schlüssel jemals außerhalb des TPM angezeigt wird. Im TPM-Emulationsmodus werden alle Operationen mit privatem Schlüssel in der Software durchgeführt, so dass kein Schutz des privaten Schlüsselmaterials besteht. Der TPM-Emulationsmodus ist in erster Linie für Benutzer gedacht, denen Sicherheit kein so großes Anliegen ist und denen es eher um die Geschwindigkeit bei der Systemanmeldung geht. Austausch der Systemplatine Ein Austausch der Systemplatine bedeutet, dass der alte SRK, an den die Schlüssel gebunden waren, nicht mehr gilt, und dass ein anderer SRK erforderlich ist. Dieser Fall kann auch eintreten, wenn das TPM (Trusted Platform Module) über das BIOS gelöscht wird. Der Client Security Solution-Administrator muss die Berechtigungsnachweise des Systems an einen neuen SRK binden. Es ist erforderlich, dass der Systembasisschlüssel über den Systembasis-AES-Sicherungsschlüssel entschlüsselt wird, der von den Berechtigungsnachweisen zur Autorisierung des Client Security Solution-Administrators abgeleitet wird. Wenn es sich beim Client Security Solution-Administrator um eine Domänenbenutzer-ID handelt und das Kennwort für diese Benutzer-ID auf einer anderen Maschine geändert wurde, muss das Kennwort bekannt sein, das bei der letzten Anmeldung auf dem System, das wiederhergestellt werden soll, verwendet wurde, um den Systembasisschlüssel für die Wiederherstellung zu entschlüsseln. Ein Bespiel: Bei der Implementierung wird eine Benutzer-ID und ein Kennwort des Client Security Solution-Administrators konfiguriert. Ändert sich das Kennwort von diesem Benutzer auf einer anderen Maschine, ist das ursprüngliche, bei der Implementierung festgelegte Kennwort für die Autorisierung erforderlich, um das System wiederherzustellen. Gehen Sie wie folgt vor, um die Systemplatine auszutauschen: 1. Melden Sie sich als Client Security Solution-Administrator am Betriebssystem an. 2. Der bei der Anmeldung ausgeführte Code (cssplanarswap.exe) erkennt, dass der Sicherheitschip nicht aktiviert ist und fordert einen Neustart für die Aktivierung an. (Dieser Schritt kann durch die Aktivierung des Sicherheitschips im BIOS umgangen werden.) 3. Das System wird erneut gestartet und der Sicherheitschip aktiviert. Kapitel 3. Mit Client Security Solution arbeiten 27
Seite 1 und 2: Client Security Solution 8.3 Implem
Seite 3 und 4: Inhaltsverzeichnis Einleitung . . .
Seite 5 und 6: Einleitung Die in diesem Handbuch e
Seite 7 und 8: Kapitel 1. Übersicht Dieses Kapite
Seite 9 und 10: • Verschlüsseln aller gespeicher
Seite 11 und 12: - Zugriff auf das BIOS und auf Wind
Seite 13 und 14: Kapitel 2. Installation Dieses Kapi
Seite 15 und 16: verwaltet. Dieser Adminstrator muss
Seite 17 und 18: Tabelle 2. Parameter (Forts.) Param
Seite 19 und 20: Tabelle 3. Befehlszeilenparameter (
Seite 21 und 22: Tabelle 6. Installationsbeispiele f
Seite 23 und 24: Tabelle 7. Von der ThinkVantage Fin
Seite 25 und 26: Tabelle 8. Von der Lenovo Fingerpri
Seite 27 und 28: Bei der Konfiguration wird in der R
Seite 29 und 30: Kapitel 3. Mit Client Security Solu
Seite 31: Wiederherstellung auf ihn zugegriff
Seite 35 und 36: Das folgende Diagramm stellt die St
Seite 37 und 38: Anmerkung: Wird in einer Funktion,
Seite 39 und 40: ENABLE_AUTHENTEC_GINA_FUNCTION Anme
Seite 41 und 42: Administrator ein neues Eignerkennw
Seite 43 und 44: 3 20000,20001,20002 Pass1word 1.0
Seite 45 und 46: Tabelle 10. ThinkVantage\Client Sec
Seite 47 und 48: Tabelle 11. Parameter (Forts.) Para
Seite 49 und 50: Tabelle 14. Parameter für Dateiver
Seite 51 und 52: Gehen Sie bei Desktop-Computern wie
Seite 53 und 54: Active Directory stellt einen Mecha
Seite 55 und 56: Tabelle 19. Computer Configuration
Seite 57 und 58: Tabelle 23. Computer Configuration
Seite 59 und 60: Kapitel 4. Mit ThinkVantage Fingerp
Seite 61 und 62: Tabelle 26. Befehle für globale Ei
Seite 63 und 64: Tabelle 28. Optionen für Benutzer
Seite 65 und 66: REG_SZ “sndScan” = [path to sou
Seite 67 und 68: Kapitel 5. Mit Lenovo Fingerprint S
Seite 69 und 70: Kapitel 6. Bewährte Verfahren Dies
Seite 71 und 72: . Fügen Sie zu diesem Schlüssel e
Seite 73 und 74: Die Datei heißt jetzt „C:\ThinkP
Seite 75 und 76: Zertifikat unter Verwendung durch S
Seite 77 und 78: Windows 7-Anmeldung Zur Anmeldung b
Seite 79 und 80: • Klicken Sie auf das Symbol für
Seite 81 und 82: Anhang A. Hinweise zur Verwendung d
Seite 83 und 84:
[HKLM\Software\Lenovo\TVT Common\Cl
Seite 85 und 86:
Anhang B. Windows-Kennwort nach dem
Seite 87 und 88:
Anhang C. Client Security Solution
Seite 89 und 90:
Anhang D. TPM auf ThinkPad-Notebook
Seite 91 und 92:
Anmerkung: Bei 13 falschen Kennwort
Seite 93 und 94:
Anhang E. Bemerkungen Möglicherwei
Seite 95 und 96:
Glossar Administratorkennwort (Thin
Alle anzeigen

Client Security Solution 8.3 Implementierungshandbuch - Lenovo

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?