Client Security Version 5.3 mit Tivoli Access Manager verwenden
Contents
1. Erste Ausgabe Mai 2004 Diese Ver ffentlichung ist eine bersetzung des Handbuchs IBM Client Security Solutions Using Client Security Software Version 5 3 with Tivoli Access Manager herausgegeben von International Business Machines Corporation USA Copyright International Business Machines Corporation 2004 Copyright IBM Deutschland GmbH 2004 Informationen die nur f r bestimmte L nder G ltigkeit haben und f r Deutschland sterreich und die Schweiz nicht zutreffen wurden in dieser Ver ffentlichung im Originaltext bernommen M glicherweise sind nicht alle in dieser bersetzung aufgef hrten Produkte in Deutschland angek ndigt und ver f gbar vor Entscheidungen empfiehlt sich der Kontakt mit der zust ndigen IBM Gesch ftsstelle nderung des Textes bleibt vorbehalten Herausgegeben von SW TSC Germany Kst 2877 Mai 2004 Inhaltsverzeichnis Vorwort Zielgruppe Benutzung des Handbuchs Verweise auf das Client Security Installations handbuch s Verweise auf das Client Security Administrator handbuch i Zus tzliche Informationen Kapitel 1 Einfuhrung Integriertes IBM Sicherheits R Integrierter IBM Security Chip IBM Client Security Beziehung zwischen Kennw rlern und Schl sseln Administratorkennwort ffentlicher und privater Hardwareschl ssel ffentlicher und privater Administratorschl ssel ESS Archiv ffentliche und private Benisizers hltissel IBM Schl2. Die Access IBM Predesktop Area wird angezeigt Klicken Sie doppelt auf die Option Start setup utility W hlen Sie die Option Security mit Hilfe der Cursortasten zum Abw rts bl ttern im Men aus W hlen Sie die Option Password aus W hlen Sie die Option Supervisor Password aus Geben Sie das Kennwort ein und dr cken Sie die Eingabetaste Geben Sie das Kennwort erneut ein und dr cken Sie die Eingabetaste Klicken Sie auf Continue Dr cken Sie die Taste F10 um die Einstellungen zu speichern und das Pro gramm zu beenden Po som nao Nach dem Festlegen eines Administratorkennworts wird bei jedem Zugriff auf das Programm IBM BIOS Setup Utility eine Eingabeaufforderung angezeigt Wichtig Bewahren Sie Ihr Administratorkennwort an einem sicheren Ort auf Soll ten Sie das Administratorkennwort verlieren oder vergessen k nnen Sie nicht auf das Programm IBM BIOS Setup Utility zugreifen und das Kennwort nicht ndern oder l schen Weitere Informationen hierzu finden Sie in der Hardwaredokumen tation die mit Ihrem Computer geliefert wurde Administratorkennwort sch tzen Das Administratorkennwort sch tzt den Zugriff auf das Administratordienst programm Halten Sie das Administratorkennwort geheim um zu verhindern dass Benutzer ohne Autorisierung Einstellungen im Administratordienstprogramm ndern k nnen Inhalt des integrierten IBM Sicherheits Subsystems l schen ThinkCentre Wenn Sie alle Chiffrierschl
3. ber das Fenster Policy f r UVM Verschltisselungstext kann der Administrator aus den folgenden Regeln f r Verschl sselungstexte ausw hlen e Verschl sselungstext ist nicht mehr g ltig nach ja 184 In diesem Beispiel l uft der Verschl sselungstext standardm ig nach 184 Tagen ab Der neue Verschl sselungstext muss der vorhandenen Policy f r den Verschl sselungstext entsprechen Verschl sselungstext l uft nie ab ja Wenn diese Option ausgew hlt ist l uft der Verschl sselungstext nie ab Die Policy f r den Verschl sselungstext wird vom Administratordienstprogramm bei der Registrierung des Benutzers und bei der nderung des Verschl sselungs textes durch den Benutzer ber das Clientdienstprogramm berpr ft Die beiden Benutzereinstellungen zum vorherigen Kennwort werden zur ckgesetzt und Pro tokolle zum Verschl sselungstext werden entfernt Folgende allgemeine Regeln gelten f r UVM Verschl sselungstexte L nge Der Verschl sselungstext kann bis zu 256 Zeichen lang sein 42 IBM Client Security Solutions Client Security Version 5 3 mit Tivoli Access Manager verwenden Zeichen Der Verschl sselungstext kann jede beliebige Kombination von Zeichen enthalten die mit Hilfe der Tastatur erzeugt werden k nnen einschlie lich Leerzeichen und nicht alphanumerischer Zeichen Merkmale Der UVM Verschl sselungstext unterscheidet sich von einem Kennwort das Sie zur Anmeldung am Betriebssystem verwenden k
4. Client Security mit Netscape Anwendungen einsetzen Netscape wird nach einem Berechtigungsfehler ge ffnet Wenn das Fenster UVM Verschliisselungstext ge ffnet wird m ssen Sie den UVM Verschl sse lungstext eingeben und anschlie end auf OK klicken bevor Sie fortfahren k nnen Wenn Sie einen falschen UVM Verschl sselungstext eingeben oder bei einer Scannerabtastung von Fingerabdr cken einen falschen Fingerabdruck liefern wird eine Fehlernachricht angezeigt Wenn Sie auf OK klicken wird Netscape zwar ge ffnet aber Sie k nnen das vom integrierten IBM Sicherheits Subsystem gene rierte digitale Zertifikat nicht verwenden Sie m ssen Netscape verlassen erneut aufrufen und den richtigen UVM Verschl sselungstext eingeben bevor Sie das Zer tifikat f r das integrierte IBM Sicherheits Subsystem verwenden k nnen Algorithmen werden nicht angezeigt Beim Anzeigen des Moduls in Netscape ist keiner der vom PKCS 11 Modul des integrierten IBM Sicherheits Subsystems unterst tzten Hashverfahren Algorithmen ausgew hlt Die folgenden Algorithmen werden vom PKCS 11 Modul des integrierten IBM Sicherheits Subsystems unter st tzt jedoch nicht als unterst tzt erkannt wenn sie in Netscape angezeigt wer den SHA 1 e MD5 Zertifikat des integrierten IBM Sicherheits Subsystems und Verschl sselungsalgorithmen Im Folgenden finden Sie Informationen zu Einschr nkungen in Bezug auf Verschl sselungsalgorithmen die im Zertifikat des integ
5. m Ma nahme Starten Sie nach dem erneuten Anschlie en der Einheit an den USB Anschluss den Com puter erneut IBM Client Security Solutions Client Security Version 5 3 mit Tivoli Access Manager verwenden Anhang A Informationen zu Kennwortern und Verschlusselungstexten Dieser Anhang enth lt Informationen zu Kennw rtern und Verschl sselungstexten Regeln f r Kennw rter und Verschl sselungstexte Beim Umgang mit einem sicheren System gibt es viele verschiedene Kennw rter und Verschl sselungstexte Verschiedene Kennw rter haben verschiedene Regeln Dieser Abschnitt enth lt Informationen zum Administratorkennwort und zum UVM Verschl sselungstext Regeln zum Administratorkennwort Die Regeln die f r ein Administratorkennwort gelten k nnen nicht von einem Sicherheitsadministrator ge ndert werden Die folgenden Regeln gelten f r das Administratorkennwort L nge Das Kennwort muss genau acht Zeichen lang sein Zeichen Das Kennwort darf nur alphanumerische Zeichen enthalten Die Kombina tion von Buchstaben und Ziffern ist zul ssig Es sind keine speziellen Zei chen wie das Leerzeichen und die Zeichen zul ssig Merkmale Legen Sie das Administratorkennwort fest um den integrierten IBM Secu rity Chip im Computer zu aktivieren Dieses Kennwort m ssen Sie bei jedem Zugriff auf das Administratordienstprogramm und die Administratorkonsole eingeben Fehlversuche Wenn Sie das Kennwor
6. ssel f r Benutzer aus dem integrierten IBM Sicherheits Subsystem sowie das Administratorkennwort f r das Subsystem l schen m chten m ssen Sie den Inhalt des Chips l schen Lesen Sie die nachfolgenden Informatio nen bevor Sie den Inhalt des integrierten IBM Sicherheits Subsystems l schen Kapitel 4 Fehlerbehebung 19 Achtung Wenn Sie den Inhalt des integrierten IBM Sicherheits Subsystems l schen gehen alle Chiffrierschl ssel und Zertifikate verloren die auf dem Subsystem gespei chert sind Gehen Sie wie folgt vor um den Inhalt des integrierten IBM Sicherheits Subsys tems zu l schen 1 Fahren Sie das System herunter und starten Sie es erneut 2 Wenn die Eingabeaufforderung des Programms IBM BIOS Setup Utility ange zeigt wird dr cken Sie die Taste Fl Das Hauptmen des Programms wird ge ffnet 3 W hlen Sie die Option Security aus 4 W hlen Sie IBM TCPA Feature Setup aus 5 W hlen Sie Clear IBM TCPA Security Feature aus und dr cken Sie die Ein gabetaste 6 W hlen Sie Yes aus 7 Dr cken Sie die Taste F10 und w hlen Sie Yes aus 8 Dr cken Sie die Eingabetaste Daraufhin wird der Computer neu gestartet Inhalt des integrierten IBM Sicherheits Subsystems l schen ThinkPad Wenn Sie alle Chiffrierschl ssel f r Benutzer aus dem integrierten IBM Sicherheits Subsystem sowie das Administratorkennwort l schen m chten m ssen Sie den Inhalt des Subsystems l schen Lesen Sie die nachfo
7. Es ist wichtig zu beachten dass diese Administratorschl ssel mit einer Strategie zur Ver wendung eindeutiger oder bekannter Schl ssel verwaltet werden m ssen ffentliche und private Administratorschl ssel k nnen wie folgt erstellt werden e ber den Installationsassistenten von IBM Client Security e Uber das Administratordienstprogramm e Mit Hilfe von Scripts ESS Archiv Mit Hilfe von ffentlichen und privaten Administratorschl sseln k nnen benutzer spezifische Daten bei einem Ausfall der Systemplatine oder des Festplatten laufwerks gesichert und wiederhergestellt werden ffentliche und private Benutzerschl ssel Das integrierte IBM Sicherheits Subsystem erstellt ffentliche und private Benutzer schl ssel um benutzerspezifische Daten zu sichern Diese Schl sselpaare werden erstellt wenn ein Benutzer bei IBM Client Security registriert wird Diese Schl ssel werden transparent von der IBM Client Security Komponente User Verification Manager UVM erstellt und verwaltet Die Schl ssel werden basierend darauf verwaltet welcher Windows Benutzer am Betriebssystem angemeldet ist IBM Schl sselauslagerungshierarchie Ein grundlegendes Element der Architektur des integrierten IBM Sicherheits Sub systems ist die IBM Schl sselauslagerungshierarchie Die Basis oder Root der IBM Schl sselauslagerungshierarchie sind die ffentlichen und privaten Hardware schl ssel Der ffentliche und der private Hardwaresc
8. M glichkeit das richtige Windows Kennwort als Teil der Anmeldung anzugeben UVM Schutz bei der Anmeldung am System Client Security erm glicht es Sicherheitsadministratoren den Zugriff auf die Computer ber eine Anmelde schnittstelle zu steuern Der UVM Schutz stellt sicher dass nur Benutzer die von der Sicherheitspolicy erkannt werden auf das Betriebssystem zugreifen k nnen Beziehung zwischen Kennw rtern und Schl sseln Kennw rter und Schl ssel dienen zusammen mit weiteren optionalen Authentifi zierungsger ten zur Pr fung der Identit t von Systembenutzern Zum Verst ndnis der Funktionsweise von IBM Client Security ist es entscheidend die Beziehung zwischen Kennw rtern und Schl sseln zu verstehen 2 IBM Client Security Solutions Client Security Version 5 3 mit Tivoli Access Manager verwenden Administratorkennwort Das Administratorkennwort wird zur Authentifizierung eines Administrators beim integrierten IBM Sicherheits Subsystem verwendet Dieses Kennwort das aus acht Zeichen bestehen muss wird innerhalb der sicheren Hardware des integrierten Sicherheits Subsystems verwaltet und authentifiziert Wenn es authentifiziert ist kann der Administrator folgende Aktionen ausf hren Benutzer registrieren Policy Schnittstelle starten e Administratorkennwort ndern Das Administratorkennwort kann wie folgt definiert werden e ber den Installationsassistenten von IBM Client Security e Uber das Administrator
9. Steuerung dem Tivoli Access Manager Objekt bereich Wenn dieses Objekt zu einem sp teren Zeitpunkt wieder lokal gesteu ert werden soll m ssen Sie Client Security erneut installieren Anmerkung Beim Bearbeiten der UVM Policy k nnen Sie eine Zusammenfas sung der Informationen zur Policy aufrufen indem Sie auf Poli cy Zusammenfassung klicken 6 Klicken Sie auf bernehmen um Ihre nderungen zu speichern 7 Klicken Sie auf OK um den Vorgang zu beenden UVM Policy f r ferne Clients bearbeiten und verwenden Damit die UVM Policy auf mehreren IBM Clients verwendet werden kann bear beiten und speichern Sie die UVM Policy f r einen fernen Client Anschlie end kopieren Sie die UVM Policy Datei auf andere IBM Clients Wenn Sie Client Secu rity im Standardverzeichnis installieren wird die UVM Policy Datei im Verzeichnis Program Files IBM Security UVM_Policy remote globalpolicy gvm gespei chert Kopieren Sie die folgenden Dateien auf die anderen IBM Clients auf denen diese UVM Policy verwendet werden soll e IBM Security UVM_Policy remote globalpolicy gvm e IBM Security UVM_Policy remote globalpolicy gvm sig Wurde Client Security im Standardverzeichnis installiert ist das Stammverzeichnis der oben genannten Pfade Program Files Kopieren Sie die beiden Dateien auf den fernen Clients in den Verzeichnispfad IBM Security UVM_Policy IBM Client Security Solutions Client Security Version 5 3 mit Tivoli Access Manager ver
10. der mit dem ffentlichen Hardwareschl ssel verschl sselt ist in das Sicherheits Subsystem geladen werden Ist er in den Chip geladen entschl sselt der private Hardwareschl ssel den privaten Administratorschl ssel Der private Administratorschl ssel ist nun f r die Verwendung im Sicherheits Subsystem bereit so dass Daten die mit dem entsprechenden ffentlichen Administrator schl ssel verschl sselt wurden in das Sicherheits Subsystem ausgelagert ent schl sselt und verwendet werden k nnen Der private Schl ssel des aktuellen Win dows Benutzers mit dem ffentlichen Administratorschl ssel verschl sselt wird an das Sicherheits Subsystem weitergeleitet Alle Daten die von einer Anwendung ben tigt werden die das integrierte Sicherheits Subsystem einsetzt werden ebenso an den Chip weitergeleitet entschl sselt und innerhalb der sicheren Umgebung des Sicherheits Subsystems genutzt Ein Beispiel hierf r ist ein privater Schl ssel der zur Authentifizierung bei einem drahtlosen Netzwerk verwendet wird Wenn ein Schl ssel erforderlich ist wird er in das Sicherheits Subsystem ausgela gert Die verschl sselten privaten Schl ssel werden in das Sicherheits Subsystem ausgelagert und k nnen dann in der gesch tzten Umgebung des Chips verwendet werden Die privaten Schl ssel werden niemals ungesch tzt au erhalb dieser Hardwareumge bung verwendet So kann eine beinahe unbegrenzte Datenmenge durch den inte grierten IBM Security C
11. die Anmeldung am Betriebssystem ein Fingerabdruck erforderlich ist m ssen Benutzer die UVM hinzugef gt sind ihren Fingerabdruck registrieren lassen um diese Objekt verwenden zu k nnen F hren Sie im Administratordienstprogramm die folgenden Schritte aus um den UVM Policy Editor zu starten 1 Klicken Sie auf die Schaltfl che Anwendungsunterst tzung und Policies kon figurieren und anschlie end auf Anwendungspolicy Die Anzeige Policy Konfiguration von Client Security ndern erscheint 2 Klicken Sie auf die Schaltfl che Policy bearbeiten Die Anzeige Administratorkennwort eingeben erscheint 3 Geben Sie das Administratorkennwort in das entsprechende Feld ein und kli cken Sie auf OK Die Anzeige IBM UVM Policy erscheint 4 Klicken Sie auf der Registerkarte Objektauswahl auf Aktion oder Objekttyp und w hlen Sie das Objekt aus dem Authentifizierungsbestimmungen zuge ordnet werden sollen Zu den Beispielen f r zul ssige Aktionen geh ren Systemanmeldung Entsper ren des Systems und E Mail Entschl sselung Ein Beispiel f r den Objekttyp ist Digitales Zertifikat anfordern Kapitel 3 IBM Clients konfigurieren 15 16 5 W hlen Sie f r jedes ausgew hlte Objekt Tivoli Access Manager steuert ausge wahltes Objekt aus um den Tivoli Access Manager fiir das entsprechende Objekt zu aktivieren Wichtig Wenn Sie den Tivoli Access Manager zur Steuerung eines Objektes ausw hlen bergeben Sie die
12. die sp ter in das NTFS Format konvertiert wird Der Archivordner befindet sich auf einer Partition die sp ter in das NTFS For mat konvertiert wird 26 IBM Client Security Solutions Client Security Version 5 3 mit Tivoli Access Manager verwenden In den vorgenannten F llen k nnen Benutzer von Windows XP Professional mit eingeschr nkter Berechtigung m glicherweise folgende Tasks im Benutzer konfigurationsprogramm nicht ausf hren Den UVM Verschl sselungstext ndern Das mit UVM registrierte Windows Kennwort aktualisieren e Das Schl sselarchiv aktualisieren Windows XP Home Benutzer von Windows XP Home mit eingeschr nkter Berechtigung k nnen in den folgenden F llen das Benutzerkonfigurationsprogramm nicht verwenden Client Security ist auf einer Partition im NTFS Format installiert Der Windows Ordner befindet sich auf einer Partition im NTFS Format e Der Archivordner befindet sich auf einer Partition im NTFS Format Einschr nkungen bei Tivoli Access Manager Das Markierungsfeld Keinen Zugriff auf ausgew hltes Objekt zulassen ist nicht inaktiviert wenn die Tivoli Access Manager Steuerung ausgew hlt wurde Wenn Sie im UVM Policy Editor die Option Access Manager steuert ausgew hltes Objekt ausw hlen um ein Authentifizierungsobjekt ber Tivoli Access Manager zu steuern wird das Markierungsfeld Keinen Zugriff auf ausgew hltes Objekt zulassen nicht inaktiviert Auch wenn das Markierungsfeld Keinen Zugri
13. f r das keine Administrator berechtigung erforderlich ist Benutzerkonfigurationsprogramm Uber das Benutzerkonfigurationsprogramm kann ein Clientbenutzer den UVM Verschl sselungstext ndern Windows An meldekennw rter f r die Erkennung durch UVM aktivieren Schl sselarchive aktualisieren und elektronische Fingerabdr cke registrieren Au erdem kann ein Benutzer Sicherungskopien der digitalen Zertifikate erstellen die vom integrier ten IBM Sicherheits Subsystem erzeugt wurden User Verification Manager UVM In Client Security werden mit UVM Verschl sselungstexte und andere Elemente verwaltet mit denen System benutzer authentifiziert werden Mit einem Leseger t f r Fingerabdr cke kann UVM z B bei der Anmeldung Benutzer authentifizieren Client Security bietet folgende Funktionen UVM Client Policy Schutz Mit Client Security kann ein Sicherheitsadminis trator die Sicherheitspolicy f r Clients festlegen die bestimmt wie auf dem System die Authentifizierung eines Clientbenutzers erfolgt Wenn die Policy festlegt dass Fingerabdr cke f r die Anmeldung erforderlich sind und der Benutzer keine Fingerabdr cke registriert hat hat er die M g lichkeit Fingerabdr cke bei der Anmeldung zu registrieren Wenn die berpr fung von Fingerabdr cken erforderlich ist und kein Scanner ange schlossen ist meldet UVM einen Fehler Wenn das Windows Kennwort nicht oder nicht richtig in UVM registriert ist hat der Benutzer die
14. gesch tzt sind Wenn Sie ein digitales Zertifikat anfor dern das f r die digitale Unterschrift und f r die Verschl sselung einer E Mail verwendbar ist k nnen Sie mit Client Security das integrierte IBM Sicherheits Subsystem zur Bereitstellung der Verschl sselung f r Anwendungen einsetzen die in Verbindung mit der Microsoft CryptoAPI eingesetzt werden Zu diesen Anwendungen geh ren Internet Explorer und Microsoft Outlook Express Dadurch ist sichergestellt dass der private Schl ssel des digitalen Zertifikats mit dem ffentlichen Benutzerschl ssel auf dem integrierten IBM Sicherheits Subsys tem verschl sselt wird Dar ber hinaus k nnen Netscape Benutzer das inte grierte IBM Sicherheits Subsystem zum Generieren von privaten Schl sseln f r die zum Erh hen der Systemsicherheit verwendeten digitalen Zertifikate aus w hlen Anwendungen nach dem Standard PKCS 11 Public Key Cryptography Standard Nr 11 wie z B Netscape Messenger k nnen sich ber das integrierte IBM Sicherheits Subsystem sch tzen Digitale Zertifikate an das integrierte IBM Sicherheits Subsystem bertragen Mit dem Tool zur bertragung von Zertifikaten von IBM Client Security k nnen Sie Zertifikate die mit dem Standard Microsoft CSP erstellt wurden an das CSP Modul des integrierten IBM Sicherheits Subsystems bertragen Dadurch wird der notwendige Schutz f r private Schl ssel die zu Zertifikaten geh ren betr chtlich erh ht da die Schl ssel nu
15. ist in die sichere Umgebung einer dedizierten Hardware bertragen So wird die Sicherheit deutlich gesteigert Das integrierte IBM Sicherheits Subsystem unterst tzt folgende Funktionen e RSA3 PKI Operationen wie z B die Verschl sselung aus Datenschutzgr nden und digitale Unterschriften zur Authentifizierung RSA Schliisselerstellung Erstellung von Zufallszahlen Berechnung von RSA Funktionen in 200 Millisekunden e EEPROM Speicher f r RSA Schl sselpaarspeicherung Alle in der Spezifikation Vs 1 1 definierten TCPA Funktionen Kommunikation mit dem Hauptprozessor ber den LPC Bus LPC Low Pin Count IBM Client Security IBM Client Security enth lt die folgenden Softwareanwendungen und komponen ten Administratordienstprogramm Das Administratordienstprogramm ist die Schnittstelle ber die ein Administrator das integrierte IBM Sicherheits Subsys tem aktiviert oder inaktiviert sowie Chiffrierschl ssel und Verschl sselungstexte erstellt archiviert und erneut generiert Dar ber hinaus kann ein Administrator mit diesem Dienstprogramm der Sicherheitspolicy die von Client Security bereit gestellt wird Benutzer hinzuf gen e Administratorkonsole Uber die Administratorkonsole von Client Security kann ein Administrator ein Netzwerk mit standortunabh ngigem Zugriff konfigurie ren Dateien zur Implementierung erstellen und konfigurieren sowie ein Konfi gurations und Wiederherstellungsprofil erstellen
16. nnen Der UVM Verschl sselungstext kann in Verbindung mit anderen Authentifizierungs einheiten verwendet werden z B mit einem UVM Sensor f r Fingerabdr cke Fehlversuche Wenn Sie w hrend einer Sitzung den UVM Verschl sselungstext mehrmals falsch eingeben f hrt der Computer eine Reihe von Anti Hammering Ver z gerungen aus Diese Verz gerungen werden im folgenden Abschnitt angegeben Anzahl der Fehlschl ge auf TCPA Systemen und anderen Systemen Die folgende Tabelle enth lt die Einstellungen f r Anti Hammering Verz gerungen f r ein TCPA System Versuche Verz gerung bei n chstem Fehlschlag 15 1 1 Minute 31 2 2 Minuten 47 4 4 Minuten 63 8 8 Minuten 79 17 6 Minuten 95 35 2 Minuten 111 1 2 Stunden 127 2 3 Stunden 143 4 7 Stunden TCPA Systeme unterscheiden nicht zwischen Verschl sselungstexten f r Benutzer und dem Administratorkennwort Jede Authentifizierung die mit Hilfe des inte grierten IBM Security Chips arbeitet richtet sich nach derselben Policy Das maxi male Zeitlimit ist 4 7 Stunden Eine Verz gerung durch TCPA Systeme dauert h chstens 4 7 Stunden Andere Systeme unterscheiden zwischen Verschl sselungstexten f r Benutzer und dem Administratorkennwort Auf solchen System folgt nach 10 fehlgeschlagenen Versuchen das Administratorkennwort einzugeben eine Verz gerung von 77 Minuten bei Benutzerkennw rtern folgt nach 32 fehlgeschlagenen Versuchen eine Ve
17. statistisch eindeutig ist PKI Funktionen von CSS Client Security bietet alle erforderlichen Komponenten um in Ihrem Unternehmen eine PKI Public Key Infrastructure aufzubauen z B Steuerung der Client Sicherheitspolicy durch Administratoren Die Authentifi zierung von Endbenutzern auf Clientebene ist ein wichtiger Aspekt f r Sicher heitspolicies Client Security bietet die erforderliche Schnittstelle zur Verwaltung der Sicherheitspolicy eines IBM Clients Diese Schnittstelle ist Teil der Authentifi zierungssoftware UVM User Verification Manager der Hauptkomponente von Client Security Chiffrierschl sselverwaltung f r ffentliche Schl ssel Administratoren k n nen mit Client Security Chiffrierschl ssel f r die Computerhardware und f r die Clientbenutzer erstellen Bei der Erstellung von Chiffrierschl sseln sind diese ber eine Schl sselhierarchie an den integrierten IBM Security Chip gebunden In der Hierarchie wird ein Hardwareschl ssel der Basisebene verwendet um die bergeordneten Schl ssel sowie die den einzelnen Clientbenutzern zugeordneten Benutzerschl ssel zu verschl sseln Die Verschl sselung und Speicherung von Schl sseln auf dem integrierten IBM Security Chip erweitert die Clientsicherheit um eine wesentliche zus tzliche Ebene da die Schl ssel sicher an die Computer hardware gebunden sind Erstellung und Speicherung digitaler Unterschriften die durch den integrier ten IBM Security Chip
18. von Client Security sind im Client Security Installations handbuch und im Client Security Administratorhandbuch enthalten Informationen zur Konfiguration von Tivoli Access Manager angeben Nach dem Installieren von Tivoli Access Manager auf dem lokalen Client k nnen Sie die Informationen zur Konfiguration von Tivoli Access Manager mit dem Administratordienstprogramm einer Komponente von Client Security angeben Die Informationen zur Konfiguration von Tivoli Access Manager umfassen die fol genden Angaben Vollst ndigen Pfad f r die Konfigurationsdatei ausw hlen Aktualisierungsintervall f r lokalen Cache ausw hlen Gehen Sie wie folgt vor um die Informationen zur Konfiguration von Tivoli Access Manager auf dem IBM Client anzugeben 1 Klicken Sie auf Start gt Einstellungen gt Systemsteuerung gt Integriertes IBM Sicherheits Subsystem 2 Geben Sie das Administratorkennwort ein und klicken Sie auf OK Wenn Sie das Kennwort eingegeben haben wird das Hauptfenster des Administratordienstprogramms ge ffnet 3 Klicken Sie auf die Schaltfl che Anwendungsunterst tzung und Policies kon figurieren Die Anzeige Konfiguration der UVM Anwendungen und Policies wird angezeigt 4 Aktivieren Sie das Markierungsfeld Die Windows Standardanmeldung durch eine gesicherte UVM Anmeldung ersetzen 5 Klicken Sie auf die Schaltfl che Anwendungspolicy 6 W hlen Sie unter Informationen zur Konfiguration von Tivol
19. 1 festgelegt ist ist der Verschl sselungstext thisismypassword ung ltig e ob eine Mindestanzahl an Leerzeichen festgelegt werden soll keine Mindestan zahl Wenn z B der Wert 2 festgelegt ist ist der Verschl sselungstext i am not here ung ltig ob der Verschl sselungstext mit einer Ziffer beginnen darf nein Standardm ig ist z B der Verschl sselungstext lpassword ung ltig ob der Verschl sselungstext mit einer Ziffer enden darf nein Standardm ig ist z B der Verschl sselungstext password8 ung ltig ob der Verschl sselungstext eine Benutzer ID enthalten darf nein Standardm ig ist z B der Verschl sselungstext Benutzername ung ltig wobei es sich bei Benutzername um eine Benutzer ID handelt ob der neue Verschl sselungstext sich von den letzten x Verschl sselungstexten unterscheiden muss ja 3 Standardm ig ist z B der Verschl sselungstext mypassword ung ltig wenn einer der drei vorherigen Verschl sselungstexte mypassword war ob der Verschl sselungstext mehr als drei identische aufeinander folgende Zei chen des letzten Kennworts enthalten darf nein Standardm ig ist z B der Verschl sselungstext password ung ltig wenn einer der drei vorherigen Verschl sselungstexte pass oder word war Das Fenster Policy f r UVM Verschl sselungstext des Administratordienst programms erm glicht Sicherheitsadministratoren zudem eine Steuerung des Ablaufs der Verschl sselungstexte
20. 9 Geben Sie einen Zielordner an und klicken Sie auf Unzip Der Assistent extrahiert die Dateien in den angegebenen Ordner Eine Nach richt teilt mit dass die Dateien erfolgreich dekomprimiert wurden 10 Klicken Sie auf OK Client Security Komponenten auf dem Tivoli Access Manager Server hinzuf gen Beim Dienstprogramm pdadmin handelt es sich um ein Befehlszeilentool mit dem der Administrator die meisten Tivoli Access Manager Verwaltungstasks durchf hren kann Die Funktion zur Ausf hrung mehrerer Befehle erm glicht es dem Administrator ber eine Datei die mehrere pdadmin Befehle enth lt eine vollst ndige Task oder eine Reihe von Tasks auszuf hren Die Kommunikation zwischen dem Dienstprogramm pdadmin und dem Verwaltungsserver pdmgrd wird ber SSL gesichert Das Dienstprogramm pdadmin wird als Teil des Run time Environment Pakets von Tivoli Access Manager installiert Das Dienstprogramm pdadmin akzeptiert ein Argument f r einen Dateinamen das die Position einer solchen Datei angibt z B MSDOS gt pdadmin a lt Administrator gt p lt Kennwort gt lt Dateiname_mit_Pfad gt Der folgende Befehl ist ein Beispiel daf r wie auf dem Tivoli Access Manager Ser ver der Objektbereich f r IBM Solutions Client Security Actions und einzelne ACL Eintr ge erstellt werden k nnen MSDOS gt pdadmin a sec_master p password C TAM Add ClientSecurity txt Weitere Informationen zum Dienstprogramm pdadmi
21. Betriebssystemen Die folgenden Fehlerbehebungstabellen enthalten Informationen zur Fehler behebung bei der Verwendung von Client Security mit Microsoft Anwendungen oder Betriebssystemen Fehlersymptom M gliche L sung Bildschirmschoner wird nur auf lokaler Anzeige angezeigt Ma nahme Bei Verwendung des erweiterten Windows Desktop wird der Client Security Bildschirmschoner nur auf der lokalen Anzeige angezeigt obwohl der Zugriff auf das System und die Tastatur gesch tzt wird Wenn sensible Informationen angezeigt wer den verkleinern Sie die Fenster auf Ihrem erweiterten Desktop auf Symbolgr e bevor Sie den Client Security Bildschirmschoner aufrufen Client Security funktioniert f r einen in UVM registrierten Benutzer nicht ord nungsgem Ma nahme Der registrierte Clientbenutzer hat m gli cherweise seinen Windows Benutzernamen ge ndert Wenn dies zutrifft geht die gesamte Funktionalit t von Client Security verloren Registrieren Sie den neuen Benutzernamen in UVM erneut und fordern Sie alle neuen Berechtigungsnachweise an ge ndert wurde Anmerkung Unter Windows XP werden in UVM registrierte Benutzer deren Windows Benutzername zuvor ge ndert wurde von UVM nicht erkannt Diese Einschr nkung gilt selbst dann wenn der Windows Benutzername vor der Installation von Client Security Fehler beim Lesen verschl sselter E Mails mit Outlook Express Ma nahme Ver
22. C TAMCSS conf C TAMCSS 2 F hren Sie svrsslcfg aus um den Benutzer zu erstellen MSDOS gt svrsslcfg config f C TAMCSS TAMCSS conf d C TAMCSS n lt Servername gt s remote S lt Serverkennwort gt P lt Administratorkennwort gt e 365 r 199 Anmerkung Geben Sie fiir lt Servername gt den gewiinschten UVM Benut zernamen und Hostnamen des IBM Clients an Beispiel n DemoUser MyHostName Den IBM Client Hostnamen k nnen Sie herausfinden indem Sie in die MSDOS Befehlszeile host name eingeben Das Dienstprogramm svrsslcfg erstellt dann auf dem Tivoli Access Manager Server einen giiltigen Eintrag und stellt eine eindeutige SSL Schliisseldatei fiir verschliisselte Uber tragung zur Verfiigung 3 F hren Sie svrssicfg aus um die Position von ivacld der Datei TAMCSS conf hinzuzuf gen Standardm ig ist beim PD Autorisierungsserver der Anschluss 7136 empfangs bereit Sie k nnen das ber den Parameter tcp_req_port in der Zeilengruppe ivacld der Datei ivacld conf auf dem Tivoli Access Manager Server berpr fen Es ist wichtig dass Sie den richtigen ivacld Hostnamen eingeben Diese Information k nnen Sie ber den Befehl pdadmin server list anfordern Die Server wie folgt angeben lt Servername gt lt Hostname gt Beispiel f r den Befehl pdadmin server list MSDOS gt pdadmin server list ivacld MyHost ibm com Mit dem folgenden Befehl wird anschlie end ein Replikatseintrag f r den
23. Einstellung des UVM Schutzes f r eine Notes ID e ffnen von Notes und Verwenden der Notes Funktion zur Kennwort nderung f r die Datei mit der Notes ID e Schlie en von Notes sofort nach der Kennwort nderung Klicken Sie auf OK um die Fehlernachricht zu schlie en Es ist keine weitere Ma nahme erforderlich Entgegen der Fehlernachricht wurde das Kennwort ge ndert Das neue Kennwort wurde von Client Security per Zufalls generator festgelegt Die Datei mit der Notes ID wird nun mit dem per Zufalls generator festgelegten Kennwort verschl s selt und der Benutzer ben tigt keine neue Benutzer ID Datei Wenn der Endbenutzer das Kennwort erneut ndert generiert UVM ein neues per Zufallsgenerator festgelegtes Kennwort f r die Notes ID Kapitel 4 Fehlerbehebung 39 Fehlerbehebungsinformationen zur Verschl sselung Im folgenden Abschnitt finden Sie Informationen die Ihnen bei der Behebung von Fehlern bei der Verschl sselung von Dateien unter Verwendung von Client Secu rity ab Version 3 0 weiterhelfen k nnen Fehlersymptom M gliche L sung Bereits verschl sselte Dateien werden nicht entschl sselt Ma nahme Dateien die mit fr heren Versionen von Client Security verschl sselt wurden wer den nach dem Upgrade auf Client Security ab Version 3 0 nicht entschl sselt Dies ist eine bekannte Einschr nkung Sie m ssen alle mit fr heren Versionen von Client Security verschl sselte
24. HOSTNAME Erstellt eine SSL Schl sseldatei f r diesen Benutzer Beispiel DemoUser kdb und DemoUser sth F gt den Benutzer der Gruppe der fernen ACL Benutzer hinzu Die folgenden Parameter werden ben tigt e f cfg_file Name und Pfad der Konfigurationsdatei Verwenden Sie TAMCSS conf d kdb_dir Das Verzeichnis das die Schliisselringdatenbankdateien f r den Ser ver enthalten soll e n Servername Der aktuelle Windows Benutzername UVM Benutzername des gew nschten IBM Client Benutzers e P admin_pwd Das Tivoli Access Manager Administratorkennwort s server_type Es muss fern angegeben werden e S server_pwd Das Kennwort f r den neu erstellten Benutzer Hierbei handelt es sich um einen erforderlichen Parameter r port_num Die empfangsbereite Anschlussnummer f r den IBM Client Dabei handelt es sich um den in der Tivoli Access Manager Runtime Variablen SSL Server Port for PD Management Server SSL Serveranschluss f r PD Verwaltungsserver angegebenen Parameter e e pwd_life Verfallszeit des Kennworts in Anzahl an Tagen Kapitel 2 Client Security Komponente auf einem Tivoli Access Manager Server installieren 11 12 Gehen Sie wie folgt vor um eine gesicherte Verbindung zwischen dem IBM Client und dem Tivoli Access Manager Server aufzubauen 1 Erstellen Sie ein Verzeichnis und verschieben Sie die Datei TAMCSS conf in das neue Verzeichnis Beispiel MSDOS gt mkdir C TAMCSS MSDOS gt move
25. IBM Client Security Solutions Client Security Version 3 3 mit Tivoli Access Manager verwenden IBM Client Security Solutions Client Security Version 3 3 mit Tivoli Access Manager verwenden m Hinweis Vor Verwendung dieser Informationen und des darin beschriebenen Produkts sollten Sie die Informationen in Anhang C Bemerkungen und Marken auf Seite 47 lesen Die IBM Homepage finden Sie im Internet unter ibm com IBM und das IBM Logo sind eingetragene Marken der International Business Machines Corporation e Das e business Symbol ist eine Marke der International Business Machines Corporation e Infoprint ist eine eingetragene Marke der IBM e ActionMedia LANDesk MMX Pentium und ProShare sind Marken der Intel Corporation in den USA und oder anderen Landern e C bus ist eine Marke der Corollary Inc in den USA und oder anderen L ndern e Java und alle auf Java basierenden Marken und Logos sind Marken der Sun Microsystems Inc in den USA und oder anderen Landern e Microsoft Windows Windows NT und das Windows Logo sind Marken der Microsoft Corporation in den USA und oder anderen Landern e PC Direct ist eine Marke der Ziff Communications Company in den USA und oder anderen L ndern SET und das SET Logo sind Marken der SET Secure Electronic Transaction LLC e UNIX ist eine eingetragene Marke der Open Group in den USA und oder anderen L ndern e Marken anderer Unternehmen Hersteller werden anerkannt
26. Wenn dies nicht der Fall ist werden die Benutzer dazu aufgefordert das IBM UVM Windows Kennwort zu aktualisieren wenn sie zwi schen lokaler und Dom nenanmeldung umschalten wenn die Ersetzung der gesi cherten IBM UVM Windows Anmeldung aktiviert ist CSS ist nicht in der Lage getrennte Dom nenbenutzer und lokale Benutzer mit demselben Accountnamen zu registrieren Wenn Sie versuchen lokale Benutzer und Dom nenbenutzer mit der selben ID zu registrieren wird folgende Nachricht angezeigt Die ausgew hlte Benutzer ID wurde bereits konfiguriert Bei CSS ist es nicht m glich allgemeine IDs von Dom nen und von lokalen Benutzern einzeln in einem System zu regist rieren so dass mit der allgemeinen Benutzer ID auf dieselbe Gruppe von Berech tigungsnachweisen wie z B Zertifikate gespeicherte Fingerabdr cke usw zuge griffen werden kann Targus Software zum Lesen von Fingerabdr cken erneut installieren Wurde die Targus Software zum Lesen von Fingerabdr cken entfernt und anschlie end erneut installiert m ssen die erforderlichen Registrierungseintr ge zum Akti vieren der Unterst tzung f r das Lesen von Fingerabdr cken bei Client Security manuell aktiviert werden Laden Sie die Registrierungsdatei mit den erforderlichen Eintr gen atplugin reg herunter und klicken Sie doppelt darauf um die Regis trierungseintr ge in die Registrierungsdatenbank aufzunehmen Klicken Sie bei ent sprechender Aufforderung auf Ja um die O
27. alschen UVM Verschl sselungstext eingeben wird eine Fehlernachricht ber einen Authentifizierungsfehler angezeigt Wenn Sie auf OK klicken wird Netscape zwar ge ff net aber Sie k nnen das vom integrierten IBM Sicherheits Subsystem generierte Zertifi kat nicht verwenden Sie m ssen Netscape verlassen und erneut ffnen und anschlie end den richtigen UVM Verschl sselungs text eingeben Neue digitale Zertifikate vom selben Sen der werden innerhalb von Netscape nicht ausgetauscht Ma nahme Wenn eine digital signierte E Mail vom sel ben Sender mehrmals empfangen wird wird das erste digitale Zertifikat das der E Mail zugeordnet ist nicht berschrieben Wenn Sie mehrere E Mail Zertifikate emp fangen gibt es nur ein Standardzertifikat L schen Sie mit den Sicherheitsein richtungen in Netscape das erste Zertifikat und ffnen Sie anschlie end das zweite Zer tifikat erneut oder bitten Sie den Sender eine weitere signierte E Mail zu senden IBM Client Security Solutions Client Security Version 5 3 mit Tivoli Access Manager verwenden Fehlersymptom M gliche L sung Das Zertifikat des integrierten IBM Sicher heits Subsystems kann nicht exportiert werden Ma nahme Das Zertifikat des integrierten IBM Sicher heits Subsystems kann in Netscape nicht exportiert werden Die Exportfunktion in Netscape k nnen Sie zum Sichern von Zerti fikaten verwenden Beim Versuch ein wieder
28. chr nkungen beim ber hrungslosen Ausweis Proximity Badge Schliissel wiederherstellen Namen des lokalen Benutzers und des Dom nen benutzers Targus Software zum Lesers von Fingerabdr cken erneut installieren Administratorverschl sselungstext f r das BIOS Netscape 7 x verwenden Diskette zum Archivieren verwende Einschr nkungen bei Smartcards 2 Pluszeichen wird fiir Ordner nach der Ver schl sselung angezeigt Einschr nkungen f r Benutzer mit eingeschrank ter Berechtigung unter Windows XP Client Security mit Windows Betriebssystemen einsetzen Client Security mit Netscape Anwendungen ein setzen Zertifikat des integrierten IBM Sicherheits Sub systems und Verschl sselungsalgorithmen UVM Schutz f r eine Lotus Notes Benutzer ID verwenden Einschr nkungen f r das Benutzerkonfigurations programm Einschrankungen bei Tivoli Access Manager Fehlernachrichten Fehlerbehebungsinformationen zur Installation Fehlerbehebungsinformationen zum Administratordienstprogramm Fehlerbehebungsinformationen zum Benutzer konfigurationsprogramm Fehlerbehebungsinformationen zum ThinkPad Fehlerbehebungsinformationen zu Microsoft An wendungen und Betriebssystemen Fehlerbehebungsinformationen zu Netscape An wendungen Fehlerbehebungsinformationen zu digitalen Zerti fikaten Fehlerbehebungsinformationen zu Tivoli Access Manager i Fehlerbehebungsinformationen zu Lotus Notes Fehlerbeh
29. ctory LPAP Protokolls Light weight Directory Access Protocol Installations und Konfigurationsverfahren f r Tivoli Access Manager Runtime Environment Verwaltung des Tivoli Access Manager Objektbereichs Benutzung des Handbuchs Mit dem vorliegenden Handbuch k nnen Sie die Client Security Unterst tzung f r Tivoli Access Manager konfigurieren Das Handbuch ist eine Erg nzung zu den Ver ffentlichungen Client Security Installationshandbuch Client Security Administrator handbuch und Client Security Benutzerhandbuch Dieses Handbuch und die gesamte Dokumentation zu Client Security kann von der IBM Website unter http www pc ibm com us security index html herunter geladen werden Verweise auf das Client Security Installationshandbuch Das vorliegende Handbuch enth lt Verweise auf das Client Security Installations handbuch Nachdem auf dem Client der Tivoli Access Manager Server installiert und konfiguriert wurde und die Runtime Environment installiert wurde k nnen Sie mit Hilfe der Anweisungen im Client Security Installationshandbuch Client Secu rity auf IBM Clients installieren Weitere Informationen k nnen Sie Kapitel 3 IBM Clients konfigurieren auf Seite 13 entnehmen Verweise auf das Client Security Administratorhandbuch Das vorliegende Handbuch enth lt Verweise auf das Client Security Administrator handbuch Das Client Security Administratorhandbuch enth lt Informationen dazu wie f r den IBM Cli
30. derer Unternehmen sein 48 IBM Client Security Solutions Client Security Version 5 3 mit Tivoli Access Manager verwenden
31. die Taste F1 Das Hauptmen des Programms Configuration Setup Utility wird ge ffnet 3 Wahlen Sie die Option System Security aus A W hlen Sie die Option Administrator Password aus 5 Geben Sie das Kennwort ein und dr cken Sie auf der Tastatur die Taste mit dem Abw rtspfeil 6 Geben Sie das Kennwort erneut ein und dr cken Sie auf der Tastatur die Taste mit dem Abw rtspfeil 7 W hlen Sie Change Administrator password aus und dr cken Sie die Ein gabetaste Dr cken Sie danach erneut die Eingabetaste 8 Dr cken Sie die Taste Esc um die Einstellungen zu speichern und das Pro gramm zu verlassen Nach dem Festlegen eines BIOS Administratorkennworts wird bei jedem Zugriff auf das Programm Configuration Setup Utility eine Eingabeaufforderung ange zeigt Wichtig Bewahren Sie Ihr BIOS Administratorkennwort an einem sicheren Ort auf Sollten Sie das BIOS Administratorkennwort verlieren oder vergessen k nnen Sie nicht auf das Programm Configuration Setup Utility zugreifen und das Kenn wort nicht ndern oder l schen ohne die Computerabdeckung zu entfernen und auf der Systemplatine eine Br cke zu versetzen Weitere Informationen hierzu fin den Sie in der Hardwaredokumentation die mit Ihrem Computer geliefert wurde Administratorkennwort festlegen ThinkPad Mit den Sicherheitseinstellungen im Programm IBM BIOS Setup Utility k nnen Administratoren folgende Vorg nge durchf hren e Das integriert
32. dienstprogramm Mit Hilfe von Scripts e ber die BIOS Schnittstelle nur Computer vom Typ ThinkCentre Es ist wichtig zum Erstellen und Verwalten des Administratorkennworts nach einer Strategie vorzugehen Das Administratorkennwort kann ge ndert werden z B wenn es vergessen wurde Im Vergleich mit TCG Konzepten Trusted Computing Group und TCG Termino logie entspricht das Administratorkennwort dem OAV Owner Authorization Value Da das Administratorkennwort mit dem integrierten IBM Sicherheits Sub system verkn pft ist wird es manchmal auch als das Hardwarekennwort bezeichnet ffentlicher und privater Hardwareschl ssel Grunds tzlich kann zum integrierten IBM Sicherheits Subsystem gesagt werden dass es eine leistungsf hige Sicherheitsbasis Root of Trust auf einem Clientsystem bereitstellt Diese Basis wird zum Sichern anderer Anwendungen und Funktionen verwendet Zum Erstellen einer solchen Sicherheitsbasis geh rt die Erstellung ei nes ffentlichen und eines privaten Hardwareschl ssels ffentliche und private Schl ssel auch als Schl sselpaare bezeichnet sind mathematisch in der Weise ver kn pft dass Folgendes gilt e Alle mit dem ffentlichen Schl ssel verschl sselten Daten k nnen nur mit dem entsprechenden privaten Schl ssel entschl sselt werden Alle mit dem privaten Schl ssel verschl sselten Daten k nnen nur mit dem ent sprechenden ffentlichen Schl ssel entschl sselt werden Der privat
33. e Hardwareschl ssel wird innerhalb der sicheren Hardware des Sicher heits Subsystems erstellt gespeichert und verwendet Der ffentliche Hardware schl ssel wird zu verschiedenen Zwecken zur Verf gung gestellt weshalb er auch als ffentlicher Schl ssel bezeichnet wird ist aber niemals ungesch tzt weil er niemals au erhalb der sicheren Hardware des Sicherheits Subsystems verwendet wird Der ffentliche und der private Hardwareschl ssel sind ein kritischer Teil der IBM Schl sselauslagerungshierarchie die in einem der folgenden Abschnitte behandelt wird ffentliche und private Hardwareschl ssel werden wie folgt erstellt e ber den Installationsassistenten von IBM Client Security e ber das Administratordienstprogramm Mit Hilfe von Scripts Kapitel 1 Einf hrung 3 In Konzepten und Terminologie von TCG Trusted Computing Group wiirden der ffentliche und der private Hardwareschl ssel als Storage Root Key SRK bezeich net ffentlicher und privater Administratorschl ssel Der ffentliche und der private Administratorschl ssel sind integraler Bestandteil der IBM Schl sselauslagerungshierarchie Sie erm glichen auch dass benutzer spezifische Daten bei einem Ausfall der Systemplatine oder des Festplatten laufwerks gesichert und wiederhergestellt werden Der ffentliche und der private Administratorschl ssel k nnen entweder auf jedem System eindeutig oder f r alle Systeme oder Systemgruppen gleich sein
34. e IBM Sicherheits Subsystem aktivieren oder inaktivieren e Den Inhalt des integrierten IBM Sicherheits Subsystems l schen Achtung e Bei einigen ThinkPad Modellen ist es vor der Installation oder dem Upgrade von Client Security notwendig das Administratorkennwort vor bergehend zu inaktivieren Nach der Konfiguration von Client Security legen Sie ein Administratorkennwort fest um nicht berechtigte Benutzer daran zu hindern diese Einstellungen zu ndern Wenden Sie eines der folgenden Verfahren an um ein Administratorkennwort fest zulegen 18 IBM Client Security Solutions Client Security Version 5 3 mit Tivoli Access Manager verwenden Beispiel 1 1 Fahren Sie das System herunter und starten Sie es erneut 2 Wenn die Eingabeaufforderung des Programms IBM BIOS Setup Utility ange zeigt wird dr cken Sie die Taste Fl Das Hauptmen des Programms wird ge ffnet W hlen Sie die Option Password aus W hlen Sie die Option Supervisor Password aus Geben Sie das Kennwort ein und dr cken Sie die Eingabetaste Geben Sie das Kennwort erneut ein und dr cken Sie die Eingabetaste Klicken Sie auf Continue ONDD Dr cken Sie die Taste F10 um die Einstellungen zu speichern und das Pro gramm zu beenden Beispiel 2 1 Fahren Sie das System herunter und starten Sie es erneut 2 Wenn die Nachricht To interrupt normal startup press the blue Access IBM button angezeigt wird dr cken Sie die blaue Taste Access IBM
35. ebungsinformationen zur Verschl sse lung Fehlerbehebungsinformationen zu UVM sen ven Einheiten 20 21 21 22 23 28 23 24 24 24 24 24 24 25 29 29 20 26 26 27 27 28 28 29 2 OL noA 33 35 38 38 39 40 40 iii Anhang A Informationen zu Kennwor tern und Verschl sselungstexten 41 Regeln f r Kennw rter und Verschliisselungstexte 41 Regeln zum Administratorkennwort 41 Regeln f r UVM Verschliisselungstexte 41 Anzahl der Fehlschl ge auf TCPA Systemen und anderen Systemen sor a ga 243 Verschl sselungstext zurtcksetzent es 44 Verschl sselungstext ber Remotezugriff zurliek setzen on on nn nn A Verschl sselungstext manuell zur cksetzen Anhang B Regeln f r den UVM Schutz f r die Anmeldung am System Anhang C Bemerkungen und Marken Bemerkungen Marken iv IBM Client Security Solutions Client Security Version 5 3 mit Tivoli Access Manager verwenden 44 45 47 47 48 Vorwort Das vorliegende Handbuch enth lt n tzliche Informationen zur Konfiguration von Client Security f r die Verwendung mit IBM Tivoli Access Manager Das Handbuch ist wie folgt aufgebaut Kapitel 1 Einf hrung enth lt eine bersicht ber die in der Software enthalte nen Anwendungen und Komponenten sowie eine Beschreibung der PKI Funkionen Public Key Infrastr
36. ederherzustellen IBM Client Security Solutions Client Security Version 5 3 mit Tivoli Access Manager verwenden Unterst tzung von ber hrungslosem Ausweis Proximity Badge und Cisco LEAP Durch das Aktivieren des Zugriffsschutzes mit ber hrungslosem Ausweis Proxi mity Badge und der Unterst tzung von Cisco LEAP k nnen unerwartete Ergeb nisse auftreten Es wird empfohlen diese Komponenten nicht zusammen auf dem selben System zu installieren oder zu verwenden Unterst tzung f r Ensure Software Bei Client Security 5 2 ist es erforderlich dass die Benutzer eines ber hrungslosen Ausweises Proximity Badge ihre Ensure Software auf Version 7 41 aufr sten Wenn Sie einen Upgrade von einer fr heren Version von Client Security aus durch f hren m ssen Sie zuerst die Ensure Software aufr sten bevor Sie auf Client Security 5 2 aufr sten k nnen Schl ssel wiederherstellen Nach der Durchf hrung einer Wiederherstellungsoperation f r die Schl ssel m s sen Sie den Computer erneut starten damit Sie Client Security weiterhin verwen den k nnen Namen des lokalen Benutzers und des Dom nenbenutzers Wenn die Namen des Dom nenbenutzers und des lokalen Benutzers gleich sind sollten Sie f r beide Accounts dasselbe Windows Kennwort verwenden IBM User Verification Manager speichert nur ein Windows Kennwort pro ID Die Benutzer sollten daher dasselbe Kennwort f r die lokale Anmeldung und f r die Dom nen anmeldung verwenden
37. ehlerbehebungsinformationen zum Administratordienst programm Im folgenden Abschnitt finden Sie Informationen die Ihnen bei der Behebung von Fehlern bei der Verwendung des Administratordienstprogramms weiterhelfen k n nen Fehlersymptom M gliche L sung Die Schaltfl che Weiter ist nicht verf g bar nachdem Sie im Administratordienst programm den UVM Verschl sselungstext eingegeben und best tigt haben Ma nahme Wenn Sie neue Benutzer in UVM aufneh men ist die Schaltfl che Weiter m glicher weise nicht mehr verf gbar nachdem Sie Ihren UVM Verschl sselungstext im Administratordienstprogramm eingegeben und best tigt haben Klicken Sie in der Windows Taskleiste auf Informationen und fahren Sie mit dem Vor gang fort Beim ndern des ffentlichen Administratorschl ssels wird eine Fehler nachricht angezeigt Ma nahme Wenn Sie den Inhalt des integrierten Sicher heits Subsystems l schen und anschlie end das Schl sselarchiv wiederherstellen wird beim ndern des ffentlichen Administrator schl ssels m glicherweise eine Fehler nachricht angezeigt Verschl sselungstext wiederherzustellen wird eine Fehlernachricht angezeigt Wenn Sie einen ffentlichen Administrator schl ssel ndern und anschlie end versu chen einen UVM Verschl sselungstext f r einen Benutzer wiederherzustellen wird m glicherweise eine Fehlernachricht ange zeigt F gen Sie in UVM die Benutz
38. eine Nachricht ber Entschl sselungsfehler angezeigt Ma nahme Sie k nnen in Outlook Express eine Nach richt ffnen indem Sie doppelt darauf kli cken Wenn Sie zu schnell auf eine verschl sselte Nachricht klicken wird in einigen F llen eine Nachricht ber Entschl sselungsfehler angezeigt Schlie en Sie die Nachricht und ffnen Sie die verschl sselte E Mail erneut Dar ber hinaus wird m glicherweise in der Voranzeige eine Fehlernachricht angezeigt wenn Sie eine verschl sselte Nachricht aus w hlen Wenn in der Voranzeige eine Fehlernachricht angezeigt wird ist keine Ma nahme erfor derlich Wenn Sie bei verschl sselten E Mails zwei Mal auf die Schaltfl che Senden klicken wird eine Fehlernachricht angezeigt Ma nahme Wenn Sie in Outlook Express zweimal auf die Schaltfl che zum Senden klicken um eine verschl sselte E Mail zu senden wird eine Fehlernachricht dar ber angezeigt dass die Nachricht nicht gesendet werden konnte Schlie en Sie die Fehlernachricht und kli cken Sie anschlie end einmal auf die Schalt fl che Senden Beim Anfordern eines Zertifikats wird eine Fehlernachricht angezeigt Ma nahme ten Sie m glicherweise eine Fehlernachricht wenn Sie ein Zertifikat anfordern das das CSP Modul des integrierten IBM Sicherheits Subsystems verwendet Bei Verwendung von Internet Explorer erhal Fordern Sie das digitale Zertifikat erneut an Fe
39. eingeschr nkter Berechtigung k nnen gewisse Funktionen des Benutzer konfigurationsprogramms unter Windows XP Professional nicht ausf hren Ma nahme Benutzer von Windows XP Professional mit eingeschr nkter Berechtigung k nnen m gli cherweise folgende Tasks im Benutzer konfigurationsprogramm nicht ausf hren e Den UVM Verschl sselungstext ndern e Das mit UVM registrierte Windows Kenn wort aktualisieren e Das Schl sselarchiv aktualisieren Dies ist eine bekannte Einschr nkung unter Windows XP Professional F r dieses Pro blem gibt es zurzeit keine L sung Benutzer mit eingeschr nkter Berechtigung k nnen das Benutzerkonfigurations programm unter Windows XP Home nicht ausf hren Ma nahme Benutzer von Windows XP Home mit einge schr nkter Berechtigung k nnen in den fol genden F llen das Benutzerkonfigurationsprogramm nicht ver wenden e Client Security ist auf einer Partition im NTFS Format installiert e Der Windows Ordner befindet sich auf einer Partition im NTFS Format e Der Archivordner befindet sich auf einer Partition im NTFS Format Dies ist eine bekannte Einschr nkung unter Windows XP Home F r dieses Problem gibt es zurzeit keine L sung Kapitel 4 Fehlerbehebung 31 32 Fehlerbehebungsinformationen zum ThinkPad Im folgenden Abschnitt finden Sie Informationen die Ihnen bei der Behebung von Fehlern bei der Verwendung von Client Security auf ThinkPads we
40. eiterhelfen k nnen Fehlersymptom M gliche L sung W hrend der Softwareinstallation wird eine Fehlernachricht angezeigt Ma nahme Bei der Softwareinstallation werden Sie in einer Nachricht gefragt ob Sie die ausge w hlte Anwendung und alle zugeh rigen Komponenten entfernen m chten Klicken Sie auf OK um das Fenster zu ver lassen Beginnen Sie erneut mit dem Installationsprozess um die neue Version von Client Security zu installieren W hrend der Installation wird eine Nach richt angezeigt dass das Programm aufge r stet oder entfernt werden muss F hren Sie einen der folgenden Schritte aus e Wenn eine fr here Version von Client Security als Version 5 0 installiert ist kli cken Sie auf Entfernen und l schen Sie mit Hilfe des Programms IBM BIOS Setup Utility den Inhalt des Sicherheits Subsystems e Klicken Sie anderenfalls auf Upgrade und fahren Sie mit der Installation fort Der Installationszugriff wird verweigert da das Administratorkennwort unbekannt ist Ma nahme Wenn Sie die Software auf einem IBM Client mit aktiviertem integrierten IBM Sicherheits Subsystem installieren ist das Administratorkennwort f r das integrierte IBM Sicherheits Subsystem unbekannt L schen Sie den Inhalt des Sicherheits Sub systems um mit der Installation fortzufah ren IBM Client Security Solutions Client Security Version 5 3 mit Tivoli Access Manager verwenden F
41. enster mit den Sicherheitsinformationen wird ge ffnet Kli cken Sie im linken Teilfenster auf Netscape Messenger und w hlen Sie anschlie end Zertifikat des integrierten IBM Security Chips aus Weitere Informationen hierzu fin den Sie in der Dokumentation von Netscape Eine E Mail wird mit einem anderen Algo rithmus an den Client zur ckgesendet Ma nahme Eine mit dem RC2 40 RC2 64 oder RC2 128 Algorithmus verschl sselte E Mail wird von einem Client mit Netscape Messenger an einen Client mit Outlook Express 128 Bit gesendet Eine vom Out look Express Client zur ckgesendete E Mail wird mit dem Algorithmus RC2 40 ver schl sselt Es ist keine Ma nahme erforderlich Eine Verschl sselungsanforderung gem RC2 40 RC2 64 oder RC2 128 von einem Netscape Client an einen Outlook Express Client 128 Bit wird an den Netscape Client immer mit dem RC2 40 Algorithmus zur ckgesendet Aktuelle Informationen zu den Verschl sselungsalgorithmen die mit den verschiedenen Versionen von Outlook Express verwendet werden erhalten Sie von Microsoft Ein digitales Zertifikat das vom integrier ten IBM Sicherheits Subsystem generiert wurde kann nicht verwendet werden Ma nahme Das vom integrierten IBM Sicherheits Sub system generierte digitale Zertifikat ist nicht verf gbar berpr fen Sie ob Sie beim ffnen von Netscape den richtigen UVM Verschl sselungstext eingegeben haben Wenn Sie den f
42. ent Benutzerauthentifizierung und UVM Policy eingerichtet wer den Nach der Installation von Client Security k nnen Sie mit Hilfe der Anweisun gen im Client Security Administratorhandbuch die Benutzerauthentifizierung und Sicherheitspolicy einrichten Weitere Informationen k nnen Sie nts konfigurieren auf Seite 13 nts konfigurieren auf Seite 13 entnehmen Zus tzliche Informationen vi Zus tzliche Informationen sowie Aktualisierungen f r Sicherheitsprodukte k nnen falls verf gbar von der IBM Website unter http www pec ibm com us security index html heruntergeladen werden IBM Client Security Solutions Client Security Version 5 3 mit Tivoli Access Manager verwenden Kapitel 1 Einfuhrung Computer vom Typ Select ThinkPad und ThinkCentre sind mit integrierter Verschl sselungshardware ausgestattet die mit f r den Download verf gbaren Softwaretechnologien funktionieren und einen leistungsfahigen Schutz fiir Client PC Plattformen bieten Zusammenfassend werden diese Hardware und diese Soft ware integriertes IBM Sicherheits Subsystem ESS Embedded Security Subsys tem genannt Bei der Hardwarekomponente handelt es sich um den integrierten IBM Security Chip und bei der Softwarekomponente um IBM Client Security CSS Client Security Software Die Software IBM Client Security ist fiir IBM Computer konzipiert die den inte grierten IBM Security Chip zum Verschltisseln von Dateien und Speicher
43. er hinzu und fordern Sie ggf neue Zertifikate an Beim Versuch einen UVM Ma nahme F hren Sie einen der folgenden Schritte aus Sollte f r den Benutzer der UVM Verschl sselungstext nicht ben tigt wer den ist keine Ma nahme erforderlich e Wenn der UVM Verschliisselungstext f r den Benutzer erforderlich ist m ssen Sie ihn in UVM aufnehmen und ggf neue Zertifikate anfordern Beim Versuch die UVM Policy Datei zu speichern wird eine Fehlernachricht ange zeigt Ma nahme Wenn Sie versuchen eine UVM Policy Datei globalpolicy gvm durch Klicken auf Uber nehmen oder Speichern zu speichern wird eine Fehlernachricht angezeigt Schlie en Sie die Fehlernachricht bearbeiten Sie die UVM Policy Datei erneut und spei chern Sie die Datei Kapitel 4 Fehlerbehebung 29 Fehlersymptom M gliche L sung Beim Versuch den UVM Policy Editor zu Ma nahme ffnen wird eine Fehlernachricht ange zeigt Wenn der aktuelle Benutzer der am Nehmen Sie den Benutzer in UVM auf und Betriebssystem angemeldet ist nicht in UVM ffnen Sie den UVM Policy Editor aufgenommen wurde wird der UVM Policy Editor nicht ge ffnet Bei der Verwendung des Administrator Ma nahme dienstprogramms wird eine Fehlernachricht angezeigt W hrend Sie das Administratordienst Schlie en Sie die Fehlernachricht und star programm verwenden wird m glicherweise ten Sie den Computer erneut die
44. erneut f hren Sie dann den Installationsassistenten von Client Security ber das Windows Startmen aus und autorisieren Sie einen Windows Benutzer f r die Verwendung von UVM Dadurch bernimmt IBM Client Security Ihre Sicherheitseinstellungen und sch tzt Ihre schutzw rdigen Daten Benutzer l schen Wenn Sie einen Benutzer l schen wird der Benutzername in der Benutzerliste des Administratordienstprogramms gel scht BIOS Administratorkennwort festlegen ThinkCentre ber die Sicherheitseinstellungen im Programm Configuration Setup Utility k n nen Administratoren folgende Vorg nge durchf hren e Das integrierte IBM Sicherheits Subsystem aktivieren oder inaktivieren Den Inhalt des integrierten IBM Sicherheits Subsystems l schen Achtung e Wenn Sie den Inhalt des integrierten IBM Sicherheits Subsystems l schen gehen alle Chiffrierschl ssel und Zertifikate verloren die auf dem Subsystem gespei chert sind 17 Da auf Ihre Sicherheitseinstellungen tiber das Programm Configuration Setup Utility des Computers zugegriffen werden kann legen Sie ein Administrator kennwort fest um zu verhindern dass diese Einstellungen durch nicht autorisierte Benutzer ge ndert werden Gehen Sie wie folgt vor um ein BIOS Administratorkennwort festzulegen 1 Fahren Sie das System herunter und starten Sie es erneut 2 Wenn die Eingabeaufforderung des Programms Configuration Setup Utility angezeigt wird driicken Sie
45. ert werden Diese Komponente kann ber die IBM Website unter der Adresse http www pc ibm com us security index html heruntergeladen werden Voraussetzungen Damit eine gesicherte Verbindung zwischen dem IBM Client und dem Tivoli Access Manager Server hergestellt werden kann m ssen die folgenden Komponen ten auf dem IBM Client installiert werden IBM Global Security Toolkit IBM SecureWay Directory Client Tivoli Access Manager Runtime Environment Weitere Informationen zur Installation und Benutzung von Tivoli Access Manager k nnen Sie der Dokumentation auf der Website unter der Adresse http www tivoli com products index secureway_policy_dir index htm entneh men Client Security Komponente herunterladen und installieren Die Client Security Komponente kann gebiihrenfrei von der IBM Website herunter geladen werden Gehen Sie wie folgt vor um die Client Security Komponente herunterzuladen und auf dem Tivoli Access Manager Server und dem IBM Client zu installieren 1 Vergewissern Sie sich anhand der Informationen auf der Website dass Ihr Sys tem ber den integrierten IBM Security Chip verf gt indem Sie Ihre Modell nummer mit den Angaben in der Tabelle mit den Systemvoraussetzungen ver gleichen Klicken Sie anschlie end auf Continue 2 W hlen Sie den Radioknopf f r Ihren Maschinentyp und klicken Sie auf Con tinue 3 Erstellen Sie eine Benutzer ID f llen Sie das Onlineformular zur Registrierung au
46. erung sowohl f r den Benutzer als auch f r die Gruppe wenn die Option Traverse bit aktiviert wurde Es ist keine Ma nahme erforderlich Fehlerbehebungsinformationen zu Lotus Notes Im folgenden Abschnitt finden Sie Informationen die Ihnen bei der Behebung von Fehlern bei der Verwendung von Lotus Notes mit Client Security weiterhelfen k n nen Fehlersymptom Nach dem Aktivieren des UVM Schutzes f r Lotus Notes kann Lotus Notes die Kon figuration nicht fertig stellen M gliche L sung Ma nahme Lotus Notes kann nach dem Aktivieren des UVM Schutzes mit dem Administrator dienstprogramm die Konfiguration nicht fer tig stellen Dies ist eine bekannte Einschr nkung Lotus Notes muss konfiguriert werden und aktiv sein bevor die Lotus Notes Unterst t zung im Administratordienstprogramm akti viert wird Beim Versuch das Notes Kennwort zu ndern wird eine Fehlernachricht ange zeigt Ma nahme Wenn Sie das Notes Kennwort bei Verwen dung von Client Security ndern wird dies in einer Fehlernachricht angezeigt Wiederholen Sie die Kennwort nderung Wurde der Fehler dadurch nicht behoben starten Sie den Client neu Nach dem Festlegen eines Kennworts per Zufallsgenerator wird eine Fehlernachricht angezeigt Ma nahme Wenn Sie folgende Vorg nge ausf hren wird m glicherweise eine Fehlernachricht angezeigt e Verwenden des Tools zur Lotus Notes Konfiguration zur
47. es der Fall ist kann der Benutzer nicht auf Lotus Notes zugreifen Wenn die Notes ID Datei mit dem aktualisierten Kennwort eines Benutzers nicht auch auf einem anderen System verf gbar ist sollte die ID Datei auf die anderen Systeme innerhalb des Netzwerks mit standortunabh ngigem Zugriff kopiert wer den so dass das Kennwort in der ID Datei mit der durch UVM gespeicherten Kopie bereinstimmt Alternativ k nnen die Benutzer im Startmen auch die Anwendung Sicherheitseinstellungen ndern ausf hren und das Notes Kennwort auf das bisherige Kennwort zur cksetzen Das Notes Kennwort kann dann ber Lotus Notes wieder aktualisiert werden Verf gbarkeit von Berechtigungsnachweisen bei der Anmeldung in einer Umgebung mit standortunabh ngigem Zugriff Befindet sich ein Archiv in einem gemeinsam benutzten Netzwerk wird die aktu ellste Gruppe von Benutzerberechtigungen aus dem Archiv heruntergeladen sobald der Benutzer auf das Archiv zugreifen kann Bei der Anmeldung haben die Benutzer nicht sofort Zugriff auf das gemeinsam benutzte Netzwerk so dass die aktuellsten Berechtigungsnachweise erst heruntergeladen werden k nnen nachdem die Anmeldung am System abgeschlossen ist Wenn z B der UVM Verschl sse lungstext auf einem anderen System im Netzwerk mit standortunabh ngigem Zugriff ge ndert wurde oder wenn neue Fingerabdr cke in einem anderen System registriert wurden sind diese Aktualisierungen erst verf gbar wenn der Anmelde proz
48. ess abgeschlossen ist Sind die aktualisierten Benutzerberechtigungen nicht verf gbar sollten die Benutzer versuchen sich mit dem fr heren Verschl sselungs text oder mit anderen registrierten Fingerabdr cken am System anzumelden Sobald die Anmeldung abgeschlossen ist sind die aktualisierten Benutzerberech tigungen verf gbar und das neue Kennwort sowie der Fingerabdruck sind bei UVM registriert Einschr nkungen beim ber hrungslosen Ausweis Proximity Badge Sicheren UVM Anmeldeschutz mit ber hrungslosem Ausweis Proximity Badge von XyLoc aktivieren Um die Unterst tzung des sicheren UVM Anmeldeschutzes f r die Verwendung eines ber hrungslosen Ausweises Proximity Badge bei CSS erfolgreich zu aktivie ren m ssen Sie die Komponenten in folgender Reihenfolge installieren 1 Installieren Sie Client Security 2 Aktivieren Sie den sicheren UVM Anmeldeschutz mit Hilfe des CSS Administratordienstprogramms 3 Starten Sie den Computer erneut 4 Installieren Sie die Software von XyLoc f r die Unterst tzung von ber hrungs losen Ausweisen Proximity Badges Anmerkung Wenn die Software von XyLoc f r den ber hrungslosen Ausweis zuerst installiert wird wird die Anmeldeschnittstelle f r Client Secu rity nicht angezeigt Wenn dieser Fall eintritt m ssen Sie Client Security und die XyLoc Software deinstallieren und anschlie end in der oben genannten Reihenfolge erneut installieren um den sicheren UVM Anmeldeschutz wi
49. ff auf ausgew hltes Objekt zulassen weiterhin aktiviert ist kann die Tivoli Access Manager Steuerung nicht ber dieses Markierungsfeld au er Kraft gesetzt werden Fehlernachrichten Fehlernachrichten f r Client Security werden in Ereignisprotokoll geschrieben Client Security verwendet einen Einheitentreiber der m glicherweise Fehlernach richten in das Ereignisprotokoll schreibt Die Fehler auf denen diese Nachrichten basieren wirken sich auf den normalen Betrieb des Computers nicht aus UVM ruft Fehlernachrichten auf die vom zugeordneten Programm generiert werden wenn f r ein Authentifizierungsobjekt der Zugriff verweigert wird Wenn in der UVM Policy die Verweigerung des Zugriffs f r ein Authentifizie rungsobjekt z B f r die E Mail Verschl sselung festgelegt ist variiert die Nach richt ber den verweigerten Zugriff je nach verwendeter Software Eine Fehler nachricht von Outlook Express ber die Verweigerung des Zugriffs auf ein Authentifizierungsobjekt unterscheidet sich somit von einer Netscape Fehler nachricht ber verweigerten Zugriff Kapitel 4 Fehlerbehebung 27 Fehlerbehebungstabellen 28 Im folgenden Abschnitt finden Sie Tabellen die Ihnen bei der Behebung von Feh lern in Verbindung mit Client Security weiterhelfen k nnen Fehlerbehebungsinformationen zur Installation Im folgenden Abschnitt finden Sie Informationen die Ihnen bei der Behebung von Fehlern bei der Installation von Client Security w
50. folgende Fehlernachricht angezeigt Beim Versuch auf das integrierte IBM Sicherheits Subsystem zuzugreifen ist ein Puffer E A Fehler aufgetreten Der Fehler kann m glicherweise durch einen Warmstart behoben werden Beim ndern des Administratorkennworts Ma nahme wird eine Nachricht ber Inaktivierung des Chips angezeigt Wenn Sie versuchen das Administrator Gehen Sie wie folgt vor kennwort zu ndern und nach der Eingabe 4 Schlie en Sie das Best tigungsfenster f r des Best tigungskennworts die Eingabetaste die Inaktivierung des Chips oder die Tabulatortaste zusammen mit der Eingabetaste dr cken wird die Schaltfl che Chip inaktivieren aktiviert und es wird eine Best tigungsnachricht f r das Inaktivie ren des Chips angezeigt 2 Geben Sie zum ndern des Administratorkennworts das neue Kenn wort ein geben Sie das Best tigungs kennwort ein und klicken Sie anschlie end auf ndern Dr cken Sie nachdem Sie das Best tigungskennwort eingegeben haben nicht die Eingabetaste oder die Tabulatortaste zusammen mit der Eingabetaste 30 IBM Client Security Solutions Client Security Version 5 3 mit Tivoli Access Manager verwenden Fehlerbehebungsinformationen zum Benutzerkonfigurations programm Die folgenden Informationen zur Fehlerbehebung k nnen hilfreich sein wenn bei der Verwendung des Benutzerkonfigurationsprogramms Fehler auftreten Fehlersymptom M gliche L sung Benutzer mit
51. ft hat dass die Informationen in der Datei mit dem eingegebenen Kennwort bereinstimmen erh lt der Benutzer Zugriff Der Benutzer wird anschlie end unverz glich dazu aufgefordert den Verschl s selungstext zu ndern Dies ist die empfohlene Vorgehensweise zum Zur cksetzen eines verlorenen Verschl sselungstextes Verschl sselungstext manuell zur cksetzen Wenn der Administrator vor Ort auf das System des Benutzers zugreifen kann der seinen Verschl sselungstext vergessen hat kann sich der Administrator auf dem System des Benutzers als Administrator anmelden den privaten Schl ssel des Administrators f r das Administratordienstprogramm angeben und den Ver schl sselungstext des Benutzers manuell ndern Ein Administrator muss den alten Verschl sselungstext eines Benutzers nicht kennen um den Verschl sselungstext zu ndern 44 IBM Client Security Solutions Client Security Version 5 3 mit Tivoli Access Manager verwenden Anhang B Regeln fur den UVM Schutz fur die Anmeldung am System Mit dem UVM Schutz wird sichergestellt dass nur Benutzer die in UVM fiir einen bestimmten IBM Client hinzugef gt wurden auf das Betriebssystem zugreifen k n nen Windows Betriebssysteme umfassen Anwendungen die einen Anmeldeschutz bieten Auch wenn UVM Schutz parallel mit diesen Windows Anmeldeanwendun gen verwendet werden kann funktioniert er je nach Betriebssystem etwas anders Die UVM Anmeldeschnittstelle ersetzt die Anmeldu
52. hatte w hrend das Zertifikat erstellt wurde sollte er 20 Sekunden warten nachdem die Verbin dung zum Archiv hergestellt wurde um sicherzustellen dass das Zertifikat im Archiv aktualisiert wurde Lotus Notes Kennwort und standortunabh ngiger Zugriff mit Berechtigungsnachweis Wenn die Lotus Notes Unterst tzung aktiviert ist wird das Lotus Notes Kennwort des Benutzers durch UVM gespeichert Die Benutzer brauchen ihr Notes Kennwort k nftig nicht mehr einzugeben um sich bei Lotus Notes anzumelden Sie werden nach ihrem UVM Verschl sselungstext dem Fingerabdruck der Smartcard usw je nach Einstellungen der Sicherheitspolicy gefragt um auf Lotus Notes zugreifen zu k nnen Wenn ein Benutzer sein Notes Kennwort von Lotus Notes aus ndert wird die Lotus Notes ID Datei mit dem neuen Kennwort aktualisiert und die UVM Kopie des neuen Notes Kennworts wird ebenfalls aktualisiert In einer Umgebung mit standortunabh ngigem Zugriff sind die UVM Berechtigungsnachweise des Benut zers auch in anderen Systemen des Netzwerks mit standortunabh ngigem Zugriff verf gbar auf die der Benutzer zugreifen kann Es ist m glich dass die Kopie des Notes Kennworts von UVM nicht mit dem Notes Kennwort in der ID Datei auf anderen Systemen im Netzwerk mit standortunabh ngigem Zugriff bereinstimmt Kapitel 4 Fehlerbehebung 21 22 wenn die Notes ID Datei mit dem aktualisierten Kennwort nicht ebenfalls auf einem anderen System verf gbar ist Wenn di
53. hergestelltes Zer tifikat nach dem Ausfall eines Festplatten laufwerks zu verwenden wird eine Fehlernachricht angezeigt Rufen Sie das Administratordienstprogramm oder Benutzerkonfigurationsprogramm auf um das Schl sselarchiv zu aktualisieren Wenn Sie das Schl sselarchiv aktualisieren werden von allen Zertifikaten die dem inte grierten IBM Sicherheits Subsystem zugeord net sind Kopien erstellt Ma nahme Zertifikate k nnen im Administratordienst programm mit der Wiederherstellungs funktion f r Schl ssel wiederhergestellt werden M glicherweise sind einige Zertifi kate wie z B die kostenfreien Zertifikate von VeriSign nach einer Schl ssel wiederherstellung nicht wiederhergestellt Fordern Sie nach dem Wiederherstellen der Schl ssel ein neues Zertifikat an Der Netscape Agent wird ge ffnet und ver ursacht einen Fehler in Netscape Ma nahme Das ffnen des Netscape Agenten f hrt zum Schlie en von Netscape Netscape wird mit zeitlicher Verz gerung ge ffnet Schalten Sie den Netscape Agenten aus Ma nahme Wenn Sie das PKCS 11 Modul des integrier ten IBM Sicherheits Subsystems hinzuf gen und anschlie end Netscape ffnen verz gert sich das ffnen von Netscape um kurze Zeit Es ist keine Ma nahme erforderlich Dies dient lediglich zu Ihrer Information Kapitel 4 Fehlerbehebung 37 Fehlerbehebungsinformationen zu digitalen Zertifikaten Die folgenden I
54. hip gesch tzt werden Die privaten Schl ssel werden verschl sselt weil sie sehr gut gesch tzt werden m ssen und der Speicherplatz im integrierten IBM Sicherheits Subsystem begrenzt ist Es k nnen nur einige Schl ssel gleichzeitig im Sicherheits Subsystem gespei chert werden Der ffentliche und der private Hardwareschl ssel sind die einzigen Schl ssel die bei jedem Booten im Sicherheits Subsystem gespeichert bleiben Damit mehrere Schl ssel und mehrere Benutzer zugelassen werden k nnen nutzt CSS die IBM Schl sselauslagerungshierarchie Wenn ein Schl ssel erforderlich ist wird er in das integrierte IBM Sicherheits Subsystem ausgelagert Die zugeh rigen verschl sselten privaten Schl ssel werden in das Sicherheits Subsystem ausgelagert und k nnen dann in der gesch tzten Umgebung des Chips verwendet werden Die privaten Schl ssel werden niemals ungesch tzt au erhalb dieser Hardware umgebung verwendet Der private Administratorschl ssel wird mit dem ffentlichen Hardwareschl ssel verschl sselt Der private Hardwareschl ssel der nur im Sicherheits Subsystem verf gbar ist wird zum Entschl sseln des privaten Administratorschl ssels ver wendet Wenn der private Administratorschl ssel im Sicherheits Subsystem ent schl sselt wird kann ein privater Benutzerschl ssel mit dem ffentlichen Administratorschl ssel verschl sselt in das Sicherheits Subsystem weitergeleitet und mit dem privaten Administratorschl ssel entsc
55. hl ssel auch als das Hard wareschliisselpaar bezeichnet werden von IBM Client Security erstellt und sind auf jedem Client statistisch eindeutig Die n chsth here Ebene in der Schl sselhierarchie ber der Basisebene ist das Schl sselpaar aus ffentlichem und privatem Administratorschl ssel auch als Administratorschl sselpaar bezeichnet Das Administratorschl sselpaar kann auf jeder Maschine eindeutig oder auf allen Clients oder auf einer Teilgruppe von Cli ents dasselbe sein Die Verwaltung dieses Schl sselpaars richtet sich nach der Ver waltung des Netzwerks Der private Administratorschl ssel ist insofern eindeutig als er auf dem Clientsystem durch den ffentlichen Hardwareschl ssel gesch tzt an einer vom Administrator definierten Adresse gespeichert ist IBM Client Security registriert Windows Benutzer in der Umgebung des integrier ten IBM Sicherheits Subsystems Wenn ein Benutzer registriert ist werden ein ffentlicher und ein privater Benutzerschl ssel das Benutzerschl sselpaar und 4 IBM Client Security Solutions Client Security Version 5 3 mit Tivoli Access Manager verwenden somit eine neue Schl sselebene erstellt Der private Benutzerschltissel wird mit dem ffentlichen Administratorschl ssel verschl sselt Der private Administrator schl ssel wird mit dem ffentlichen Hardwareschl ssel verschl sselt Daher muss zum Verwenden des privaten Benutzerschl ssels der private Administrator schl ssel
56. hl sselt werden Mit dem ffentlichen Administratorschl ssel k nnen mehrere private Benutzerschl ssel ver schl sselt werden Dadurch kann eine fast unbegrenzte Anzahl an Benutzern auf einem System mit IBM ESS arbeiten F r eine optimale Leistung empfiehlt es sich jedoch die Registrierung auf 25 Benutzer pro Computer zu beschr nken IBM ESS verwendet eine Schl sselauslagerungshierarchie bei der der ffentliche und der private Hardwareschl ssel im Sicherheits Subsystem zum Sichern weiterer Daten die au erhalb des Chips gespeichert sind verwendet werden Der private Hardwareschl ssel wird im Sicherheits Subsystem generiert und verl sst diese sichere Umgebung nie Der ffentliche Hardwareschl ssel ist au erhalb des Sicher Kapitel 1 Einf hrung 5 heits Subsystems verf gbar und wird zum Verschl sseln oder Sichern weiterer Daten wie z B eines privaten Schl ssels verwendet Wenn diese Daten mit dem ffentlichen Hardwareschl ssel verschl sselt sind k nnen sie nur durch den priva ten Hardwareschl ssel entschl sselt werden Da der private Hardwareschl ssel nur in der sicheren Umgebung des Sicherheits Subsystems verf gbar ist k nnen die Daten nur in dieser sicheren Umgebung entschl sselt und verwendet werden Jeder Computer verf gt ber einen eindeutigen ffentlichen und privaten Hardwareschl ssel Die Zufallszahlenfunktion des integrierten IBM Sicherheits Subsystems stellt sicher dass jedes Hardwareschl sselpaar
57. hlerbehebungsinformationen zu Netscape Anwendungen Die folgenden Fehlerbehebungstabellen enthalten Informationen zur Fehler behebung bei der Verwendung von Client Security mit Netscape Anwendungen Fehlersymptom M gliche L sung Fehler beim Lesen verschl sselter E Mails Ma nahme Verschl sselte E Mails k nnen nicht ent schl sselt werden da sich die Verschl sselungsgrade der Webbrowser die vom Sender und vom Empf nger verwendet werden unterscheiden berpr fen Sie Folgendes 1 Der Verschl sselungsgrad des vom Sen der verwendeten Webbrowsers ist mit dem Verschl sselungsgrad des vom Empf nger verwendeten Webbrowsers kompatibel 2 Der Verschl sselungsgrad des Webbrowsers ist mit dem Verschl sselungsgrad kompatibel der von der Firmware von Client Security bereitgestellt wird Kapitel 4 Fehlerbehebung 35 36 Fehlersymptom M gliche L sung Beim Versuch eine E Mail digital zu sig nieren wird eine Fehlernachricht ange zeigt Ma nahme Wenn das Zertifikat des integrierten IBM Sicherheits Subsystems in Netscape Messen ger nicht ausgew hlt wurde und der Verfas ser der E Mail versucht diese mit dem Zertifikat zu signieren wird eine Fehler nachricht angezeigt Verwenden Sie zur Auswahl des Zertifikats die Sicherheitseinstellungen in Netscape Messenger Wenn Netscape Messenger ge ff net ist klicken Sie in der Symbolleiste auf das Sicherheitssymbol Das F
58. i Access Mana ger den vollst ndigen Pfad zur Konfigurationsdatei TAMCSS conf aus Beispiel C TAMCSS TAMCSS conf 13 Dieser Bereich wird nur angezeigt wenn Tivoli Access Manager auf dem Cli ent installiert ist 7 Klicken Sie auf die Schaltflache Policy bearbeiten Die Anzeige Administratorkennwort eingeben erscheint 8 Geben Sie das Administratorkennwort in das entsprechende Feld ein und kli cken Sie auf OK Die Anzeige IBM UVM Policy erscheint 9 Wahlen Sie im Dropdown Men Aktionen die Aktionen aus die ber Tivoli Access Manager gesteuert werden sollen 10 Aktivieren Sie das Markierungsfeld Access Manager steuert ausgew hltes Objekt 11 Klicken Sie auf die Schaltfl che bernehmen Die nderung werden bei der n chsten Cache Aktualisierung wirksam Wenn Sie m chten dass die Anderungen sofort wirksam werden klicken Sie auf die Schaltfl che Lokalen Cache aktualisieren Lokalen Cache definieren und verwenden 14 Nach Auswahl der Tivoli Access Manager Konfigurationsdatei kann das Aktualisierungsintervall f r den lokalen Cache festgelegt werden Auf dem IBM Client wird ein lokales Replikat der von Tivoli Access Manager verwalteten Sicher heitspolicy Informationen verwaltet Sie k nnen festlegen dass der lokale Cache automatisch in einem einem Intervall von Monaten 0 12 oder Tagen 0 30 aktualisiert wird Gehen Sie wie folgt vor um den lokalen Cache zu definieren oder zu aktualis
59. icy Datei enthalt Authentifizierungsbe stimmungen f r Aktionen die auf dem IBM Client System ausgef hrt werden wie z B am System anmelden Bildschirmschoner l schen oder E Mails signieren Bearbeiten Sie zun chst mit dem UVM Policy Editor die UVM Policy Datei damit Sie den Tivoli Access Manager zur Steuerung der Authentifizierungsobjekte f r einen IBM Client verwenden k nnen Der UVM Policy Editor geh rt zum Admi nistratordienstprogramm Wichtig Bei der Aktivierung des Tivoli Access Manager zur Steuerung eines Objekts wird die Objektsteuerung dem Tivoli Access Manager Objektbereich ber geben Wenn das Objekt dann wieder lokal gesteuert werden soll m ssen Sie Cli ent Security erneut installieren Lokale UVM Policy bearbeiten Bevor Sie versuchen die UVM Policy f r den lokalen Client zu bearbeiten muss mindestens ein Benutzer in UVM registriert sein Sonst wird eine Fehlernachricht angezeigt wenn der Policy Editor versucht die Datei f r die lokale Policy zu ff nen Sie bearbeiten eine lokale UVM Policy und verwenden sie nur auf dem Client f r den sie bearbeitet wurde Wurde Client Security im Standardverzeichnis installiert wird die lokale UVM Policy im Verzeichnis Program Files IBM Security UVM_Policy globalpolicy gvm gespeichert Nur ein Benutzer der UVM hinzuge f gt wurde kann den UVM Policy Editor verwenden Anmerkung Wird f r UVM Policy angegeben dass f r ein Authentifizierungsob jekt wie z B
60. ieren 1 Klicken Sie auf Start gt Einstellungen gt Systemsteuerung gt Integriertes IBM Sicherheits Subsystem 2 Geben Sie das Administratorkennwort ein und klicken Sie auf OK Das Fenster Administratordienstprogramm wird angezeigt Ausf hrliche Informationen zur Verwendung des Administratordienstprogramms sind im Client Security Administratorhandbuch enthalten 3 Klicken Sie im Administratordienstprogramm auf die Schaltfl che Anwen dungsunterst tzung und Policies konfigurieren und anschlie end auf Anwen dungspolicy Die Anzeige Policy Konfiguration von Client Security ndern erscheint 4 F hren Sie einen der folgenden Schritte aus Klicken Sie auf Lokalen Cache aktualisieren um den lokalen Cache jetzt zu aktualisieren Geben Sie den Wert f r Monat 0 12 und Tag 0 30 in die entsprechen den Felder ein und klicken Sie auf Lokalen Cache aktualisieren um die H ufigkeit automatischer Aktualisierungen anzugeben Der lokale Cache wird aktualisiert und das Ablaufdatum f r Dateien im lokalen Cache wird aktualisiert damit ersichtlich ist wann die n chste automatische Aktualisie rung durchgef hrt wird IBM Client Security Solutions Client Security Version 5 3 mit Tivoli Access Manager verwenden Tivoli Access Manager zur Steuerung von IBM Client Objekten aktivie ren Die UVM Policy wird durch eine Datei f r eine globale Policy gesteuert Die Datei fiir eine globale Policy die sog UVM Pol
61. ise kann der Computer aber auch ohne die Eingabe dieses Kennworts benutzt werden IBM Client Security Password Manager in einer Umgebung mit standortunabh ngigem Zugriff verwenden Kennw rter die in einem System gespeichert wurden das IBM Client Security Password Manager verwendet k nnen auch in anderen Systemen innerhalb einer Umgebung mit standortunabh ngigem Zugriff verwendet werden Neue Eintr ge werden automatisch vom Archiv abgerufen wenn sich der Benutzer bei einem anderen System im Netzwerk mit standortunabh ngigem Zugriff anmeldet wenn das Archiv verf gbar ist Aus diesem Grund muss sich der Benutzer wenn er bereits bei einem System angemeldet ist zun chst abmelden und erneut anmelden bevor neue Eintr ge im Netzwerk mit standortunabh ngigem Zugriff verf gbar sind Verz gerungen bei der Aktualisierung des Zertifikats f r den Internet Explorer und des standortunabh ngigen Zugriffs Die Zertifikate f r den Internet Explorer werden alle 20 Sekunden im Archiv aktu alisiert Wurde durch einen standortunabh ngigen Benutzer ein neues Zertifikat f r den Internet Explorer erstellt muss der Benutzer mindestens 20 Sekunden warten bis er seine CSS Konfiguration auf einem anderen System importieren wiederher stellen oder ndern kann Bei dem Versuch eine dieser Aktionen vor dem Ende des Aktualisierungsintervalls von 20 Sekunden durchzuf hren geht das Zertifikat verloren Auch wenn der Benutzer keine Verbindung zum Archiv
62. iterhelfen k n nen Fehlersymptom M gliche L sung Beim Versuch eine Administratorfunktion von Client Security aufzurufen wird eine Fehlernachricht angezeigt Ma nahme Nach dem Versuch eine Administrator funktion von Client Security aufzurufen wird eine Fehlernachricht angezeigt Das ThinkPad Administratorkennwort muss inaktiviert sein damit Sie bestimmte Administratorfunktionen von Client Security ausf hren k nnen Gehen Sie wie folgt vor um das Administratorkennwort zu inaktivieren 1 Rufen Sie mit F1 das Programm IBM BIOS Setup Utility auf 2 Geben Sie das aktuelle Administrator kennwort ein 3 Geben Sie ein leeres neues Administratorkennwort ein und best ti gen Sie das leere Kennwort 4 Dr cken Sie die Eingabetaste 5 Dr cken Sie die Taste F10 um die Ein stellungen zu speichern und das Pro gramm zu beenden Ein anderer UVM Sensor f r Fingerabdr cke funktioniert nicht ordnungsgem Ma nahme Der IBM ThinkPad unterst tzt den Wechsel zwischen mehreren UVM Sensoren f r Fin gerabdr cke nicht Wechseln Sie die Modelle der Sensoren f r Fingerabdr cke nicht Verwenden Sie bei der Arbeit von einem fernen Standort aus stets das gleiche Modell wie bei der Verwendung einer Andockstation IBM Client Security Solutions Client Security Version 5 3 mit Tivoli Access Manager verwenden Fehlerbehebungsinformationen zu Microsoft Anwendungen und
63. lgenden Informationen bevor Sie den Inhalt des integrierten IBM Sicherheits Subsystems l schen Achtung Wenn Sie den Inhalt des integrierten IBM Sicherheits Subsystems l schen gehen alle Chiffrierschl ssel und Zertifikate verloren die auf dem Subsystem gespei chert sind Gehen Sie wie folgt vor um den Inhalt des integrierten IBM Sicherheits Subsys tems zu l schen 1 Fahren Sie den Computer herunter 2 Halten Sie beim erneuten Starten des Computers die Taste Fn gedr ckt 3 Wenn die Eingabeaufforderung des Programms IBM BIOS Setup Utility ange zeigt wird dr cken Sie die Taste Fl Das Hauptmen des Programms wird ge ffnet W hlen Sie Config aus W hlen Sie IBM Security Chip aus W hlen Sie Clear IBM Security Chip aus W hlen Sie Yes aus Dr cken Sie die Eingabetaste um fortzufahren oON Oa e Driicken Sie die Taste F10 um die Einstellungen zu speichern und das Pro gramm zu beenden 20 IBM Client Security Solutions Client Security Version 5 3 mit Tivoli Access Manager verwenden Bekannte Probleme oder Einschrankungen bei CSS Version 5 2 Die folgenden Informationen k nnen bei der Verwendung der Funktionen von Cli ent Security Version 5 2 n tzlich sein Einschr nkungen beim standortunabh ngigen Zugriff CSS Roaming Server verwenden Die Aufforderung zur Eingabe des CSS Administratorkennworts erscheint immer dann wenn jemand versucht sich am CSS Roaming Server anzumelden Nor malerwe
64. n und zu der Befehlssyntax k nnen Sie dem Tivoli Access Manager Base Administrator Guide entnehmen 10 IBM Client Security Solutions Client Security Version 5 3 mit Tivoli Access Manager verwenden Gesicherte Verbindung zwischen dem IBM Client und dem Tivoli Access Manager Server aufbauen F r den IBM Client muss innerhalb der gesicherten Tivoli Access Manager Dom ne eine eigene authentifizierte Identit t aufgebaut werden um vom Tivoli Access Manager Authorization Service Autorisierungsentscheidungen anfordern zu k n nen In der gesicherten Tivoli Access Manager Dom ne muss f r die Anwendung eine eindeutige Identit t erstellt werden Damit f r die authentifizierte Identit t Authen tifizierungs berpr fungen durchgef hrt werden k nnen muss die Anwendung zur Gruppe der fernen ACL Benutzer geh ren Wenn die Anwendung auf einen der Services der gesicherten Dom ne zugreifen m chte muss sie sich erst an der gesi cherten Dom ne anmelden Das Dienstprogramm svrsslcfg erm glicht es IBM Client Security Anwendungen mit dem Tivoli Access Manager Verwaltungsserver und Autorisierungsserver zu kommunizieren Das Dienstprogramm svrsslcfg erm glicht es IBM Client Security Anwendungen mit dem Tivoli Access Manager Verwaltungsserver und Autorisierungsserver zu kommunizieren Das Dienstprogramm svrssicfg f hrt die folgenden Tasks aus Erstellt f r die Anwendung eine Benutzeridentifikation Beispiel DemoUser
65. n Dateien ent schl sseln bevor Sie Client Security ab Ver sion 3 0 installieren Client Security 3 0 kann Dateien die von fr heren Versionen von Client Security verschl sselt wurden nicht entschl sseln da in dieser Version die Imp lementierung der Dateiverschl sselung ge ndert wurde Fehlerbehebungsinformationen zu UVM sensitiven Einheiten Im folgenden Abschnitt finden Sie Informationen die Ihnen bei der Behebung von Fehlern bei der Verwendung UVM sensitiver Einheiten weiterhelfen k nnen Fehlersymptom M gliche L sung Eine UVM sensitive Einheit funktioniert nicht mehr ordnungsgem Ma nahme Eine UVM sensitive Sicherheitseinheit wie z B eine Smartcard eine Smartcard Lese einheit oder eine Leseeinheit f r Fingerab dr cke funktioniert nicht ordnungsgem berpr fen Sie ob die Einheit richtig vom System konfiguriert wird Nach dem Konfi gurieren einer Einheit ist es m glicherweise erforderlich das System erneut zu booten damit der Service ordnungsgem startet Fehlerbehebungsinformationen zur Einheit finden Sie in der Dokumentation zur Ein heit oder wenden Sie sich an den Hersteller der Einheit Eine UVM sensitive Einheit funktioniert nicht mehr ordnungsgem Wenn Sie eine UVM sensitive Einheit vom USB Anschluss Universal Serial Bus tren nen und die Einheit danach erneut am USB Anschluss anschlie en funktioniert die Einheit m glicherweise nicht ordnungsge
66. n statt in anf lliger Software im integrier ten IBM Sicherheits Subsystem sicher gespeichert sind 6 IBM Client Security Solutions Client Security Version 5 3 mit Tivoli Access Manager verwenden Anmerkung Digitale Zertifikate die durch das CSP Modul des integrierten IBM Sicherheits Subsystems gesch tzt wurden k nnen nicht in ein anderes CSP Modul exportiert werden Funktion zur Schl sselarchivierung und wiederherstellung Eine wichtige PKI Funktion ist das Erstellen eines Schl sselarchivs aus dem Schl ssel bei Ver lust oder Besch digung der Originalschl ssel wiederhergestellt werden k nnen IBM Client Security bietet eine Schnittstelle mit der Sie mit ein Archiv f r Schl ssel und Zertifikate die mit dem integrierten IBM Sicherheits Subsystem erstellt wurden einrichten k nnen und diese Schl ssel und Zertifikate bei Bedarf wiederherstellen k nnen Verschl sselung von Dateien und Ordnern Die Verschl sselung von Dateien und Ordnern erm glicht dem Benutzer das Ver und Entschl sseln von Dateien und Ordnern So steht ein h heres Ma an Datensicherheit an erster Stelle der Ma nahmen der Systemsicherheit von CSS Authentifizierung ber Fingerabdr cke IBM Client Security unterst tzt das Leseger t f r Fingerabdr cke von Targus als PC Karte oder ber USB f r die Authentifizierung Die Client Security Software muss installiert sein bevor die Einheitentreiber f r das Targus Leseger t f r Fingerabdr cke installier
67. n von Chiffrierschl sseln verwenden Client Security besteht aus Anwendungen und Komponenten mit denen IBM Clientsysteme Clientsicherheitsfunktionen in einem lokalen Netzwerk in einem Unternehmen oder im Internet verwenden k nnen Integriertes IBM Sicherheits Subsystem Das integrierte IBM Sicherheits Subsystem ESS Embedded Security Subsystem unterst tzt Schl sselverwaltungsl sungen wie z B Public Key Infrastructure PKI und besteht aus den folgenden lokalen Anwendungen Verschl sselung von Dateien und Ordnern FFE File and Folder Encryption e Password Manager Gesicherte Windows Anmeldung Mehrere konfigurierbare Authentifizierungsmethoden wie z B Verschl sselungstext Fingerabdruck Smartcard Ber hrungsloser Ausweis Proximity Card oder Proximity Badge Um die Funktionen von IBM ESS effektiv nutzen zu k nnen muss ein Sicherheits administrator mit einigen Grundkonzepten vertraut sein In den folgenden Abschnitten werden grundlegende Sicherheitskonzepte beschrieben Integrierter IBM Security Chip Bei IBM Embedded Security Subsystem dem integrierten IBM Sicherheits Subsys tem handelt es sich um die integrierte Verschl sselungshardwaretechnologie die eine zus tzliche Sicherheitsstufe zur Auswahl von IBM PC Plattformen bereitstellt Mit der Einf hrung dieses Sicherheits Subsystems werden Verschl sselungs und Authentifizierungsprozesse von der Software die fehleranf lliger als Hardware
68. nformationen zur Fehlerbehebung k nnen hilfreich sein wenn bei der Anforderung eines digitalen Zertifikats Fehler auftreten Fehlersymptom M gliche L sung Das Fenster UVM Verschl sselungstext oder das Fenster f r die Authentifizierung ber Fingerabdr cke wird bei der Anforde rung eines digitalen Zertifikats mehrmals angezeigt Ma nahme In der UVM Sicherheitspolicy ist festgelegt dass ein Benutzer sich mit einem UVM Verschl sselungstext oder ber Fingerabdr cke authentifizieren muss bevor er ein digitales Zertifikat erhalten kann Wenn der Benutzer versucht ein Zertifikat zu erhalten wird das Authentifizierungsfenster in dem er aufgefordert wird den UVM Verschl sselungstext anzugeben oder die Fingerabdr cke abtasten zu lassen mehr mals angezeigt Geben Sie bei jedem ffnen des Authentifizierungsfensters den UVM Verschl sselungstext ein bzw lassen Sie ihre Fingerabdr cke abtasten Eine Nachricht ber einen VBScript oder JavaScript Fehler wird angezeigt Ma nahme Wenn Sie ein digitales Zertifikat anfordern wird m glicherweise eine Fehlernachricht angezeigt die sich auf VBScript oder JavaScript bezieht Starten Sie den Computer erneut und bezie hen Sie das Zertifikat erneut Fehlerbehebungsinformationen zu Tivoli Access Manager Die folgenden Informationen zur Fehlerbehebung k nnen hilfreich sein wenn bei der Verwendung von Tivoli Access Manager in Verbind
69. ng am Betriebssystem so dass immer wenn sich ein Benutzer am System anmelden m chte das UVM Anmelde fenster angezeigt wird Lesen Sie die folgenden Hinweise bevor Sie den UVM Anmeldeschutz f r das Sys tem konfigurieren und verwenden L schen Sie den Inhalt des integrierten IBM Security Chips nicht bei aktiviertem UVM Schutz Andernfalls wird der Inhalt der Festplatte unbrauchbar und Sie m ssen die Festplatte neu formatieren und die gesamte Software neu installie ren Wenn Sie im Administratordienstprogramm das Markierungsfeld Die Win dows Standardanmeldung durch eine gesicherte UVM Anmeldung ersetzen inaktivieren kehrt das System zum Windows Anmeldungsprozess zur ck ohne die gesicherte UVM Anmeldung zu verwenden Sie haben die Option die maximale Anzahl der Versuche f r die Eingabe des richtigen Kennworts f r die Windows Anmeldeanwendung anzugeben Diese Option steht bei UVM Anmeldeschutz nicht zur Verf gung F r die Anzahl der zul ssigen Fehlversuche bei der Eingabe des UVM Verschl sselungstextes k n nen Sie keine Grenze festlegen 45 46 IBM Client Security Solutions Client Security Version 5 3 mit Tivoli Access Manager verwenden Anhang C Bemerkungen und Marken Bemerkungen Dieser Anhang enth lt rechtliche Hinweise zu IBM Produkten und Informationen zu Marken Die vorliegenden Informationen wurden f r Produkte und Services entwickelt die auf dem deutschen Markt angeboten werden M glicher
70. oben angezeigten ivacld Server hinzugef gt Es wird davon ausgegangen dass f r ivacld der Standardanschluss 7136 empfangsbereit ist svrsslcfg add_replica f lt Pfad_zur_Konfigurationsdatei gt h lt Hostname gt MSDOS gt svrssicfg add_replica f C TAMCSS TAMCSS conf h MyHost ibm com IBM Client Security Solutions Client Security Version 5 3 mit Tivoli Access Manager verwenden Kapitel 3 IBM Clients konfigurieren Sie m ssen zun chst jeden Client mit dem Administratordienstprogramm einer Komponente von Client Security konfigurieren damit Sie dann ber den Tivoli Access Manager die Authentifizierungsobjekte f r IBM Clients steuern k nnen Der folgende Abschnitt beschreibt die Voraussetzungen und enth lt die Anweisungen f r die Konfiguration von IBM Clients Voraussetzungen Stellen Sie sicher dass die folgende Software in der angegebenen Reihenfolge auf dem IBM Client installiert ist 1 Von Microsoft Windows unterst tztes Betriebssystem Bei IBM Clients unter Windows XP Windows 2000 oder Windows NT Workstation 4 0 k nnen Sie ber den Tivoli Access Manager die Authentifizierungsbestimmungen steuern 2 Client Security ab Version 3 0 Nach dem Installieren der Software und dem Aktivieren des integrierten IBM Security Chip k nnen Sie mit dem Adminis tratordienstprogramm die Benutzerauthentifizierung konfigurieren und die UVM Sicherheitspolicy editieren Ausf hrliche Anweisungen zur Installation und Verwendung
71. peration zu best tigen Das System muss erneut gestartet werden damit die nderungen von Client Security erkannt werden und die Unterst tzung f r das Lesen von Fingerabdr cken aktiviert wird Anmerkung Zum Hinzuf gen dieser Registrierungseintr ge ist die Administrator berechtigung f r das System erforderlich Kapitel 4 Fehlerbehebung 23 Administratorverschl sselungstext f r das BIOS IBM Client Security 5 2 und fr here Versionen unterst tzen nicht die auf einigen ThinkPad Systemen verf gbare Funktion f r den Administratorverschl sselungs text f r das BIOS Wenn Sie die Verwendung des Administratorverschl sselungs textes f r das BIOS aktivieren muss jede Aktivierung und Inaktivierung des Sicherheits Subsystems ber das Programm IBM BIOS Setup Utility vorgenom men werden Netscape 7 x verwenden Netscape 7 x unterscheidet sich von Netscape 4 x Die Eingabeaufforderung f r den Verschl sselungstext erscheint nicht sobald Netscape gestartet wurde Stattdessen wird das PKCS 11 Modul nur bei Bedarf geladen so dass die Eingabeaufforderung f r den Verschl sselungstext nur dann angezeigt wird wenn eine Operation ausge f hrt wird bei der das PKCS 11 Modul erforderlich ist Diskette zum Archivieren verwenden Wenn Sie bei der Konfiguration der Sicherheitssoftware eine Diskette als Archiv position angegeben haben m ssen Sie mit langen Verz gerungen rechnen wenn die Daten w hrend des Konfigurationsprozesses a
72. rierten IBM Sicherheits Subsystems verwendet werden k nnen Aktuelle Informationen zu Verschl sse lungsalgorithmen f r die jeweilige E Mail Anwendung erhalten Sie von Microsoft oder Netscape Kapitel 4 Fehlerbehebung 25 Beim Senden von E Mails von einem Outlook Express Client 128 Bit an einen anderen Outlook Express Client 128 Bit Wenn Sie Outlook Express mit der 128 Bit Version von Internet Explorer 4 0 oder 5 0 verwenden um verschl sselte E Mails an andere Clients mit Outlook Express 128 Bit zu senden k nnen mit dem Zertifikat des integrierten IBM Sicherheits Subsystems verschl sselte E Mails nur mit dem 3DES Algorithmus verschl sselt werden Beim Senden von E Mails zwischen einem Outlook Express Client 128 Bit und einem Netscape Client Eine Verschl sselungsanforderung gem RC2 40 RC2 64 oder RC2 128 von einem Netscape Client an einen Outlook Express Client 128 Bit wird an den Netscape Client immer mit dem RC2 40 Algorithmus zur ckgesendet M glicherweise stehen einige Algorithmen im Outlook Express Client 128 Bit nicht zur Auswahl Je nachdem wie die Version von Outlook Express 128 Bit konfiguriert oder aktualisiert wurde sind m glicherweise einige RC2 Algorithmen und andere Algorithmen f r die Verwendung mit dem Zertifikat des integrierten IBM Sicherheits Subsystems nicht verf gbar Aktuelle Informationen zu den Verschl sselungsalgorithmen die mit den verschiedenen Versionen von Outlook Express ve
73. rwendet werden erhalten Sie von Microsoft UVM Schutz f r eine Lotus Notes Benutzer ID verwenden Der UVM Schutz funktioniert nicht wenn Sie innerhalb einer Notes Sitzung die Benutzer ID wechseln Sie k nnen den UVM Schutz nur f r die aktuelle Benut zer ID einer Notes Sitzung konfigurieren Gehen Sie wie folgt vor um von einer Benutzer ID f r die UVM Schutz aktiviert wurde zu einer anderen Benutzer ID zu wechseln 1 Verlassen Sie Lotus Notes 2 Inaktivieren Sie den UVM Schutz f r die aktuelle Benutzer ID 3 Rufen Sie Lotus Notes auf und wechseln Sie die Benutzer ID Weitere Informa tionen zum Wechseln von Benutzer IDs finden Sie in der Dokumentation zu Lotus Notes Wenn Sie den UVM Schutz f r die Benutzer ID zu der Sie gewechselt haben konfigurieren m chten fahren Sie mit Schritt 4 fort 4 Rufen Sie das von Client Security bereitgestellte Tool zur Lotus Notes Konfigu ration auf und konfigurieren Sie den UVM Schutz Einschr nkungen f r das Benutzerkonfigurationsprogramm Unter Windows XP gibt es f r einen Clientbenutzer unter bestimmten Umst nden Zugriffseinschr nkungen f r die verf gbaren Funktionen Windows XP Professional Unter Windows XP Professional k nnen die Einschr nkungen f r Clientbenutzer in den folgenden Situationen auftreten Client Security ist auf einer Partition installiert die sp ter in das NTFS Format konvertiert wird Der Windows Ordner befindet sich auf einer Partition
74. rz gerung von 1 Minute und die L nge der Sperrzeit verdoppelt sich alle 32 fehlgeschlagene Versuche Anhang A Informationen zu Kennw rtern und Verschl sselungstexten 43 Verschlusselungstext zurucksetzen Wenn ein Benutzer seinen Verschl sselungstext vergisst kann der Administrator es dem Benutzer erm glichen seinen Verschl sselungstext zur ckzusetzen Verschl sselungstext ber Remotezugriff zur cksetzen Gehen Sie wie folgt vor um ein Kennwort ber Remotezugriff zur ckzusetzen e Administratoren Ein Administrator kann ber Remotezugriff wie folgt vorgehen 1 2 Ein neues einmaliges Kennwort f r den Benutzer erstellen und bertragen Dem Benutzer eine Datendatei senden Die Datendatei kann dem Benutzer per E Mail zugesendet auf einen aus tauschbaren Datentr ger wie z B eine Diskette kopiert oder direkt in die Archivierungsdatei des Benutzers vorausgesetzt der Benutzer kann auf die ses System zugreifen geschrieben werden Diese verschl sselte Datei wird zum Abgleichen mit dem neuen einmaligen Kennwort verwendet e Benutzer Der Benutzer muss wie folgt vorgehen 1 2 3 Am Computer anmelden Wenn der Verschl sselungstext eingegeben werden soll die Option ausw h len dass der Verschl sselungstext vergessen wurde Das einmalige Kennwort das der Administrator bertragen hat eingeben und die Position der Datei die der Administrator gesendet hat angeben Nachdem UVM berpr
75. s tzliche Zeichen wird nicht mehr angezeigt wenn das Explorer Fenster aktualisiert wird Einschr nkungen f r Benutzer mit eingeschr nkter Berechti gung unter Windows XP Benutzer mit eingeschr nkter Berechtigung unter Windows XP k nnen ihren UVM Verschl sselungstext das Windows Kennwort oder ihr Schl sselarchiv nicht mit Hilfe des Benutzerkonfigurationsprogramms aktualisieren 24 IBM Client Security Solutions Client Security Version 5 3 mit Tivoli Access Manager verwenden Weitere Einschrankungen Dieser Abschnitt enth lt Informationen zu weiteren bekannten Problemen und Ein schr nkungen in Verbindung mit Client Security Client Security mit Windows Betriebssystemen einsetzen Alle Windows Betriebssysteme weisen die folgende bekannte Einschr nkung auf Wenn ein in UVM registrierter Clientbenutzer seinen Windows Benutzern amen ndert geht die gesamte Funktionalit t von Client Security verloren Der Benutzer muss den neuen Benutzernamen erneut in UVM registrieren und alle neuen Berechtigungsnachweise anfordern Windows XP Betriebssysteme weisen die folgende bekannte Einschr nkung auf In UVM registrierte Benutzer deren Windows Benutzername zuvor ge ndert wurde werden von UVM nicht erkannt UVM verweist auf den fr heren Benutzernamen w hrend Windows nur den neuen Benutzernamen erkennt Diese Einschr nkung gilt selbst dann wenn der Windows Benutzername vor der Installa tion von Client Security ge ndert wurde
76. s und lesen Sie die Lizenzvereinbarung Klicken Sie dann auf Accept Licence Sie werden danach automatisch zur Download Seite f r Client Security gef hrt 4 Befolgen Sie die angezeigten Anweisungsschritte um die erforderlichen Einheitentreiber Readme Dateien Software Referenzdokumente und zus tzli che Dienstprogramme herunterzuladen 5 Gehen Sie wie folgt vor um Client Security zu installieren a Klicken Sie auf dem Windows Desktop auf Start gt Ausfiihren b Geben Sie in das Feld Ausf hren d verzeichnis csec50 exe ein Hier bei gibt d verzeichnis den Laufwerkbuchstaben und das Verzeichnis an in dem die Datei gespeichert ist c Klicken Sie auf OK Das Begr ungsfenster des InstallShield Assistenten von IBM Client Secu rity wird angezeigt d Klicken Sie auf Weiter Der Assistent extrahiert die Dateien und installiert die Software Nach Abschluss der Installation werden Sie gefragt ob der erforderliche Neu start sofort oder zu einem sp teren Zeitpunkt durchgef hrt werden soll e W hlen Sie den entsprechenden Radioknopf aus und klicken Sie auf OK 6 Klicken Sie nach dem Neustart auf dem Windows Desktop auf Start gt Aus f hren 7 Geben Sie in das Feld Ausf hren d verzeichnis TAMCSS exe ein Hierbei gibt d verzeichnis den Laufwerkbuchstaben und das Verzeichnis an in dem die Datei gespeichert ist Klicken Sie auf Durchsuchen wenn Sie die Datei ausw hlen m chten 8 Klicken Sie auf OK
77. schl sselte E Mails k nnen nicht ent schl sselt werden da sich die Verschl sselungsgrade der Webbrowser die vom Sender und vom Empf nger verwendet werden unterscheiden berpr fen Sie Folgendes 1 Der Verschl sselungsgrad des Webbrowsers beim Sender muss mit dem Verschl sselungsgrad des Webbrowsers des Empf ngers kompatibel sein 2 Der Verschl sselungsgrad des Webbrowsers muss mit dem Verschl sselungsgrad der Firmware von Client Security kompatibel sein Fehler bei der Verwendung eines Zertifi kats von einer Adresse der mehrere Zerti fikate zugeordnet sind Ma nahme einige dieser Zertifikate k nnen ung ltig der dem Zertifikat zugeordnete private Schl ssel auf dem integrierten IBM Sicher heits Subsystem des Sendercomputers auf dem das Zertifikat generiert wurde nicht mehr vorhanden ist Outlook Express kann mehrere Zertifikate zu Bitten Sie den Empf nger sein digitales Zer einer einzigen E Mail Adresse auflisten und tifikat erneut zu senden w hlen Sie anschlie end dieses Zertifikat im Adress werden Ein Zertifikat wird ung ltig wenn buch von Outlook Express aus Kapitel 4 Fehlerbehebung 33 34 Fehlersymptom M gliche L sung Beim Versuch eine E Mail digital zu sig nieren wird eine Fehlernachricht ange zeigt Ma nahme Wenn der Verfasser einer E Mail versucht eine E Mail digital zu signieren jedoch sei nem E Mail Account noch kein Zertifikat z
78. sselauslagerungshierarchie PKI Funktionen von CSS Kapitel 2 Client Security Komponente auf einem Tivoli Access Manager Server installieren Voraussetzungen Client Security Komponente herunterladen und installieren Client Security Komponenten auf dem Tivoli Access Manager Server hinzuf gen Gesicherte Verbindung zwischen dem IBM Client und dem Tivoli Access Manager Server aufbauen Kapitel 3 IBM Clients isle e Voraussetzungen Informationen zur Konfiguration von Tivoli Acess Manager angeben Lokalen Cache definieren ind verwenden Tivoli Access Manager zur Steuerung von IBM Cli ent Objekten aktivieren Lokale UVM Policy bearbeiten UVM Policy f r ferne Clients bearbeiten and ver 16 wenden Kapitel 4 I Administratorfunktionen Benutzer autorisieren Benutzer l schen BIOS Administratorkennwort festlegen Think Centre Administratorkennwort festlegen ThinkPad Administratorkennwort sch tzen Inhalt des integrierten IBM Sicherheits Subsys tems l schen ThinkCentre i lt Vi vi vi ARR A RWONNHH 10 11 13 lt 13 18 14 15 15 17 17 17 17 17 18 19 19 Weitere Einschr nkungen Fehlerbehebungstabellen Inhalt des integrierten IBM Sicherheits Subsys tems l schen ThinkPad Bekannte Probleme oder Einschr nkungen bei CSS Version 5 2 Einschrankungen bein standortunabh ngigen Zugriff Eins
79. t werden damit ein ordnungsgem er Betrieb gew hrleistet ist Smartcard Authentifizierung IBM Client Security unterst tzt auch Smartcards als Authentifizierungseinheiten Client Security erm glicht die Verwendung von Smartcards zur Authentifizierung als Token d h es kann sich jeweils nur ein Benutzer authentifizieren Jede Smartcard ist systemgebunden wenn nicht der standortunabh ngige Zugriff Roaming mit Berechtigungsnachweis verwendet wird Wenn f r ein System eine Smartcard erforderlich ist erh ht dies die Sys temsicherheit weil neben einem Kennwort das m glicherweise ausspioniert werden kann auch eine Smartcard ben tigt wird Standortunabh ngiger Zugriff mit Berechtigungsnachweis Der standort unabh ngige Zugriff mit Berechtigungsnachweis erm glicht es einem autorisier ten Benutzer jeden Computer im Netzwerk genau wie die eigene Workstation zu verwenden Nachdem ein Benutzer autorisiert wurde UVM auf irgendeinem bei Client Security registrierten Client zu verwenden kann er seine pers nlichen Daten in alle anderen registrierten Clients im standortunabh ngigen Netzwerk mit Berechtigungsnachweis importieren Die pers nlichen Daten werden dann automatisch im CSS Archiv und auf jedem Computer in den sie importiert wur den aktualisiert und gewartet Aktualisierungen dieser pers nlichen Daten wie z B neue Zertifikate oder nderungen am Verschl sselungstext sind sofort auf allen anderen Computern die an das Net
80. t zehnmal falsch eingegebenen haben wird der Computer 1 Stunde und 17 Minuten lang gesperrt Wenn Sie nach diesem Zeitraum das Kennwort zehn weitere Male falsch eingeben wird der Com puter 2 Stunden und 34 Minuten lang gesperrt Die Dauer der Computer sperrung verdoppelt sich jedes Mal wenn Sie das Kennwort zehnmal falsch eingeben Regeln f r UVM Verschl sselungstexte ber IBM Client Security k nnen Sicherheitsadministratoren Regeln definieren die f r den UVM Verschl sselungstext eines Benutzers gelten Die Sicherheit wird dadurch erh ht dass der UVM Verschl sselungstext l nger und eindeutiger ist als ein herk mmliches Kennwort Die Policy f r den UVM Verschl sselungstext wird ber das Administratordienstprogramm gesteuert Das Fenster Policy f r UVM Verschliisselungstext des Administratordienst programms stellt Sicherheitsadministratoren eine einfache Schnittstelle zur Steue rung von Kriterien f r Verschl sselungstexte bereit ber das Fenster Policy f r UVM Verschliisselungstext kann der Administrator folgende Regeln f r Verschl sselungstexte festlegen 41 Anmerkung Die Standardeinstellung f r jedes Kriterium ist unten in Klammern angegeben ob eine Mindestanzahl an alphanumerischen Zeichen festgelegt werden soll ja 6 Wenn z B der Wert 6 festgelegt ist ist der Verschl sselungstext 1234567 xxx ung ltig e ob eine Mindestanzahl an Ziffern festgelegt werden soll ja 1 Wenn z B der Wert
81. tlook Express verwendet werden erhalten Sie von Microsoft Bei der Verwendung eines Zertifikats in Outlook Express wird nach dem Ausfall eines Festplattenlaufwerks eine Fehler nachricht angezeigt Ma nahme Zertifikate k nnen im Administratordienst programm mit der Wiederherstellungs funktion f r Schl ssel wiederhergestellt werden M glicherweise sind einige Zertifi kate wie z B die kostenfreien Zertifikate von VeriSign nach einer Schl ssel wiederherstellung nicht wiederhergestellt F hren Sie nach der Wiederherstellung der Schl ssel einen der folgenden Schritte aus e Fordern Sie neue Zertifikate an e Registrieren Sie die Zertifizierungsinstanz erneut in Outlook Express Outlook Express aktualisiert den dem Zer tifikat zugeordneten Verschl sselungsgrad nicht Ma nahme Wenn ein Sender den Verschl sselungsgrad in Netscape ausw hlt und eine signierte E Mail an einen Outlook Express Client mit Internet Explorer 4 0 128 Bit sendet stimmt m glicherweise der Verschl sselungsgrad der zur ckgesendeten E Mail nicht berein L schen Sie das zugeordnete Zertifikat aus dem Adressbuch von Outlook Express ff nen Sie die signierte E Mail erneut und f gen Sie dem Adressbuch von Outlook Express das Zertifikat hinzu IBM Client Security Solutions Client Security Version 5 3 mit Tivoli Access Manager verwenden Fehlersymptom M gliche L sung In Outlook Express wird
82. tters TNLs bekannt gege ben IBM kann jederzeit ohne Vorank ndigung Verbesserungen und oder nde rungen an den in dieser Ver ffentlichung beschriebenen Produkten und oder Pro grammen vornehmen Lizenznehmer des Programms die Informationen zu diesem Produkt w nschen mit der Zielsetzung i den Austausch von Informationen zwischen unabh ngigen erstellten Programmen und anderen Programmen einschlie lich des vorliegenden Programms sowie ii die gemeinsame Nutzung der ausgetauschten Informationen zu erm glichen wenden sich an folgende Adresse IBM Corporation Department 80D P O Box 12195 3039 Cornwallis Research Triangle Park NC 27709 U S A Die Bereitstellung dieser Informationen kann unter Umst nden von bestimmten Bedingungen in einigen F llen auch von der Zahlung einer Geb hr abh ngig sein 47 Die Lieferung des in diesem Dokument aufgefiihrten Lizenzprogramms sowie des zugeh rigen Lizenzmaterials erfolgt im Rahmen der Allgemeinen Gesch ftsbedin gungen der IBM der Internationalen Nutzungsbedingungen der IBM f r Programmpakete oder einer quivalenten Vereinbarung Marken IBM und SecureWay sind in gewissen L ndern Marken der IBM Corporation Tivoli ist in gewissen L ndern eine Marke von Tivoli Systems Inc Microsoft Windows und Windows NT sind in gewissen L ndern Marken der Microsoft Corporation Andere Namen von Unternehmen Produkten und Dienstleistungen k nnen Mar ken oder Dienstleistungsmarken an
83. ucture Kapitel 2 Client Security Komponente auf einem Tivoli Access Manager Server 77 von Client Security auf dem Tivoli Access Manager Server Kapitel 3 IBM Clients konfigurieren enth lt die notwendigen Informationen und Anweisungen zur Konfiguration von IBM Clients f r die Verwendung der Authen tifizierungsservices von Tivoli Access Manager Kapitel 4 Fehlerbehebung enth lt n tzliche Informationen zur Fehlerbehebung die beim Befolgen der in diesem Handbuch enthaltenen Anweisungen auftreten k nnen Anhang A Informationen zu Kennw rtern und Verschl sselungstexten t enth lt Kriterien f r Verschl sselungstexte die auf einen UVM Verschl sselungstext ange wendet werden k nnen und Regeln f r Administratorkennw rter Anhang B Regeln f r den UVM Schutz f r die Anmeldung am System enth lt Informationen zur Verwendung des UVM Schutzes f r die Anmeldung am Betriebssystem Anhang C Bemerkungen und Marken enth lt rechtliche Hinweise und Informa tionen zu Marken Zielgruppe Das vorliegende Handbuch wendet sich an Administratoren des Unternehmens die mit Tivoli Access Manager Version 3 9 auf einem IBM Client Authentifizie rungsobjekte verwalten die mit der UVM Sicherheitspolicy User Verification Manager konfiguriert sind Die Administratoren m ssen mit den folgenden Begriffen und Verfahren vertraut sein Installation und Verwaltung des SecureWay Dire
84. uf die Diskette geschrieben wer den Ein anderer Datentr ger wie z B ein gemeinsam benutztes Netzwerk oder ein USB Memory Key eignet sich m glicherweise besser als Archivposition Einschr nkungen bei Smartcards Smartcards registrieren Smartcards m ssen erst bei UVM registriert werden damit ein Benutzer eine Authentifizierung mit Hilfe der Karte erfolgreich durchf hren kann Wenn eine Karte mehreren Benutzern zugeordnet ist kann nur der letzte Benutzer der die Karte registrieren lie diese auch verwenden Aus diesem Grund sollten Smart cards nur f r einen Benutzeraccount registriert werden Authentifizierung mit Smartcards Ist f r die Authentifizierung eine Smartcard erforderlich zeigt UVM ein Dialogfeld an in dem die Smartcard angefordert wird Wenn die Smartcard in die Leseeinheit eingelegt wird erscheint ein Dialogfenster in dem die PIN Nummer der Smartcard angefordert wird Gibt der Benutzer eine falsche PIN Nummer ein fordert UVM die Smartcard noch einmal an Die Smartcard muss entnommen und erneut einge legt werden bevor die PIN Nummer erneut eingegeben werden kann Die Benut zer m ssen die Smartcard so oft entnehmen und erneut einlegen bis die richtige PIN Nummer f r die Karte eingegeben wurde Pluszeichen wird f r Ordner nach der Verschl sselung angezeigt Nach der Verschl sselung von Dateien oder Ordnern zeigt der Windows Explorer m glicherweise ein Pluszeichen vor dem Ordnersymbol an Dieses zu
85. ugeordnet ist wird eine Fehlernachricht angezeigt Verwenden Sie die Sicherheitseinstellungen in Outlook Express um ein Zertifikat anzu geben das dem Benutzeraccount zugeordnet werden soll Weitere Informationen hierzu finden Sie in der Dokumentation zu Outlook Express Outlook Express 128 Bit verschl sselt E Mails nur mit dem 3DES Algorithmus Ma nahme Beim Senden verschl sselter E Mails zwi schen Clients die Outlook Express mit der 128 Bit Version von Internet Explorer 4 0 oder 5 0 verwenden kann nur der 3DES Algorithmus verwendet werden Aktuelle Informationen zu den Verschl sselungsalgorithmen die mit Out look Express verwendet werden erhalten Sie bei Microsoft Outlook Express Clients senden E Mails mit einem anderen Algorithmus zur ck Ma nahme Eine mit dem RC2 40 RC2 64 oder RC2 128 Algorithmus verschl sselte E Mail wird von einem Client mit Netscape Messenger an einen Client mit Outlook Express 128 Bit gesendet Eine vom Out look Express Client zur ckgesendete E Mail wird mit dem Algorithmus RC2 40 ver schl sselt Es ist keine Ma nahme erforderlich Eine Verschl sselungsanforderung gem RC2 40 RC2 64 oder RC2 128 von einem Netscape Client an einen Outlook Express Client 128 Bit wird an den Netscape Client immer mit dem RC2 40 Algorithmus zur ckgesendet Aktuelle Informationen zu den Verschl sselungsalgorithmen die mit den verschiedenen Versionen von Ou
86. ung mit Client Security Fehler auftreten Fehlersymptom M gliche L sung Die lokalen Policy Einstellungen entspre chen nicht denen auf dem Server Ma nahme Tivoli Access Manager l sst bestimmte Bit Konfigurationen zu die von UVM nicht unterst tzt werden Folglich k nnen lokale Policy Anforderungen Einstellungen ber schreiben die ein Administrator bei der Konfiguration eines PD Servers vorgenom men hat Dies ist eine bekannte Einschr nkung Kein Zugriff auf die Konfigurationsein stellungen von Tivoli Access Manager Ma nahme Im Administratordienstprogramm kann auf der Seite zur Policy Installation weder auf die Konfigurationseinstellungen von Tivoli Access Manager noch auf die entsprechen den Einstellungen zur lokalen Cache Ein richtung zugegriffen werden Installieren Sie Tivoli Access Manager Run time Environment Wenn die Laufzeit umgebung Runtime Environment auf dem IBM Client nicht installiert ist sind auf der Seite zur Policy Installation auch keine Ein stellungen f r Tivoli Access Manager verf g bar IBM Client Security Solutions Client Security Version 5 3 mit Tivoli Access Manager verwenden Fehlersymptom M gliche L sung Eine Benutzersteuerung gilt sowohl f r den Benutzer als auch f r die Gruppe Ma nahme Wenn Sie beim Konfigurieren des Tivoli Access Manager Servers einen Benutzer f r eine Gruppe definieren gilt die Benutzers teu
87. weise bietet IBM die in diesem Dokument beschriebenen Produkte Ser vices oder Funktionen in anderen L ndern nicht an Informationen ber die gegen w rtig im jeweiligen Land verf gbaren Produkte und Services sind beim IBM Ansprechpartner erh ltlich Hinweise auf IBM Lizenzprogramme oder andere IBM Produkte bedeuten nicht dass nur Programme Produkte oder Dienstleistungen von IBM verwendet werden k nnen Anstelle der Produkte Programme oder Dienstleistungen k nnen auch andere ihnen quivalente Produkte Programme oder Dienstleistungen verwendet werden solange diese keine gewerblichen oder andere Schutzrechte von IBM verletzen Die Verantwortung f r den Betrieb von Fremdprodukten Fremdprogrammen und Fremddienstleistungen liegt beim Kun den F r in diesen Dokument beschriebene Erzeugnisse und Verfahren kann es IBM Patente oder IBM Patentanmeldungen geben Mit der Auslieferung dieses Hand buchs ist keine Lizenzierung dieser Patente verbunden Lizenzanfragen sind schriftlich an folgende Adresse zu richten Anfragen an diese Adresse m ssen auf Englisch formuliert werden IBM Europe Director of Licensing 92066 Paris La Defense Cedex France Trotz sorgf ltiger Bearbeitung k nnen technische Ungenauigkeiten oder Druckfeh ler in dieser Ver ffentlichung nicht ausgeschlossen werden Die Angaben in diesem Handbuch werden in regelm igen Zeitabst nden aktualisiert Die nderungen werden in berarbeitungen oder in Technical News Le
88. wenden Kapitel 4 Fehlerbehebung Im Folgenden finden Sie Informationen zur Vermeidung Erkennung und Behe bung von Fehlern die bei der Verwendung von Client Security auftreten k nnen Administratorfunktionen Dieser Abschnitt enthalt Informationen fiir Administratoren zur Konfiguration und zur Verwendung von Client Security IBM Client Security kann nur auf IBM Computern verwendet werden die tiber IBM Embedded Security Subsystem ESS das integrierte IBM Sicherheits Subsys tem verfiigen Diese Software besteht aus Anwendungen und Komponenten mit denen IBM Clients schutzw rdige Daten ber eine sichere Hardware anstatt ber anf llige Software sichern k nnen Benutzer autorisieren Damit die Clientbenutzerinformationen gesch tzt werden k nnen muss IBM Cli ent Security auf dem Client installiert sein und die Benutzer m ssen zur Verwen dung der Software autorisiert sein Ein benutzerfreundlicher Installationsassistent f hrt Sie durch den gesamten Installationsprozess Wichtig Mindestens ein Clientbenutzer muss bei der Installation f r die Verwen dung von UVM autorisiert werden Wenn bei der Erstinstallation von Client Secu rity kein Benutzer zur Verwendung von UVM autorisiert wird werden die Sicherheitseinstellungen nicht bernommen und Ihre Daten werden nicht gesch tzt Wenn Sie den Installationsassistenten beendet haben ohne Benutzer autorisiert zu haben fahren Sie das System herunter und starten Sie es
89. zwerk mit standortunabh ngigem Zugriff angeschlossen sind verf gbar FIPS 140 1 Zertifizierung Client Security unterst tzt FIPS 140 1 zertifizierte verschl sselte Bibliotheken FIPS zertifizierte RSA BSAFE Bibliotheken werden auf TCPA Systemen verwendet Ablauf des Verschl sselungstexts Client Security legt jeweils beim Hinzuf gen eines Benutzers einen benutzerspezifischen Verschl sselungstext und eine Policy f r das Ablaufen des Verschl sselungstexts fest Kapitel 1 Einf hrung 7 8 IBM Client Security Solutions Client Security Version 5 3 mit Tivoli Access Manager verwenden Kapitel 2 Client Security Komponente auf einem Tivoli Access Manager Server installieren Die Authentifizierung von Endbenutzern auf der Clientebene ist ein wichtiger Sicherheitsaspekt Client Security stellt die Schnittstelle zur Verfiigung die zum Verwalten der Sicherheitspolicy auf einem IBM Client erforderlich ist Diese Schnittstelle ist Teil der Authentifizierungssoftware User Verification Manager UVM die die Hauptkomponente von Client Security darstellt Fir die Verwaltung der UVM Sicherheitspolicy fiir einen IBM Client stehen zwei Methoden zur Verfiigung Lokale Verwaltung ber den Policy Editor der sich auf dem IBM Client befindet Unternehmensweite Verwaltung ber Tivoli Access Manager Damit Client Security mit Tivoli Access Manager verwendet werden kann muss die Client Security Komponente von Tivoli Access Manager installi
Download Pdf Manuals
Related Search