Client Security Solution 8.3 Implementierungshandbuch - Lenovo
Client Security Solution 8.3 Implementierungshandbuch - Lenovo
Client Security Solution 8.3 Implementierungshandbuch - Lenovo
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Das folgende Diagramm stellt die Struktur für den Austausch der Systemplatine und die Benutzerregistrierung<br />
dar:<br />
Motherboard Swap - Enroll User<br />
Trusted Platform Module<br />
Storage Root Private Key<br />
Storage Root Public Key<br />
User Leaf Private Key<br />
User Leaf Public Key<br />
Windows PW AES Key<br />
PW Manager AES Key<br />
User Base Private Key<br />
User Base Public Key<br />
Decrypted via derived AES Key<br />
Abbildung 4. Austausch der Systemplatine - Benutzer registrieren<br />
Schutzdienstprogramm „EFS“<br />
User PW/PP<br />
One-Way Hash<br />
User Base AES<br />
Protection Key<br />
(derived via output<br />
of hash algorithm)<br />
If Passphrase<br />
loop n times<br />
<strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> stellt ein Befehlszeilendienstprogramm bereit, das den TPM-basierten Schutz der<br />
Verschlüsselungszertifikate, die von EFS (Encrypting File System) zum Verschlüsseln von Dateien und<br />
Ordnern bereitgestellt werden, aktiviert. Dieses Dienstprogramm unterstützt die Übertragung von Zertifikaten<br />
von Dritten (von einer Zertifizierungsstelle generierte Zertifikate) und unterstützt zudem das Generieren von<br />
selbst signierten Zertifikaten.<br />
Beim Schutz des EFS-Zertifikats durch <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> wird der private Schlüssel, der dem<br />
EFS-Zertifikat zugeordnet ist, durch das TPM geschützt. Zugriff auf das Zertifikat wird gewährt, nachdem<br />
der Benutzer sich bei <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> authentifiziert hat.<br />
Wenn kein TPM verfügbar ist, wird das EFS-Zertifikat unter Verwendung des von <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong><br />
bereitgestellten TPM-Emulators geschützt. Sie müssen bei <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> registriert sein, damit<br />
EFS-Zertifikate von <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> geschützt werden können.<br />
Vorsicht:<br />
Wenn Sie <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> und EFS (Encrypting File System) zum Verschlüsseln von Dateien<br />
und Ordnern verwenden, können Sie immer dann, wenn <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> oder das TPM nicht<br />
verfügbar sind, nicht auf die verschlüsselten Dateien zugreifen.<br />
Wenn das TPM (Trusted Platform Module) nicht mehr reagiert, stellt <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> den Zugriff auf<br />
die verschlüsselten Daten wieder her, nachdem die Systemplatine ausgetauscht wurde.<br />
EFS-Befehlszeilendienstprogramm verwenden<br />
Die folgende Tabelle enthält die Befehlszeilenparameter, die von EFS unterstützt werden:<br />
Kapitel 3. Mit <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> arbeiten 29