Home

IBM Client Security Solutions: Client Security Version 5.3

Contents

1. InstallShield Silent Version v6 00 000 File Response File szIniPath d csssetup ini Beim obigen Parameter handelt es sich um den Namen und die Position der ini Datei die fiir die Massenkonfiguration erforderlich ist Handelt es sich hierbei um ein Netzlaufwerk muss das Laufwerk verbunden sein Soll keine Massenkonfi guration in Verbindung mit einer Installation im Hintergrund durchgef hrt wer den entfernen Sie diesen Eintrag File Transfer OverwrittenReadOnly NoToAll 7BD2CFF6 B037 47D6 A76B D941EE13AD96 DlgOrder Dlg0 7BD2CFF6 B037 47D6 A76B D941EE13AD96 SdLicense 0 Count 4 Dlg1 7BD2CFF6 B037 47D6 A76B D941EE13AD96 SdAskDestPath 0 Dlg2 7BD2CFF6 B037 47D6 A76B D941EE13AD96 SdSelectFolder 0 Dlg3 7BD2CFF6 B037 47D6 A76B D941EE13AD96 SdFinishReboot 0 7BD2CFF6 B037 47D6 A76B D941EE13AD96 SdLicense 0 Result 1 7BD2CFF6 B037 47D6 A76B D941EE13AD96 SdAskDestPath 0 szDir C Program Files IBM Security Beim obigen Parameter handelt es sich um das Verzeichnis zum Installieren von Client Security Hierbei muss es sich um ein lokales Laufwerk des Computers han deln Result 1 7BD2CFF6 B037 47D6 A76B D941EE13A D96 SdSelectFolder 0 szFolder IBM Client Security Software Beim obigen Parameter handelt es sich um die Programmgruppe f r Client Secu rity Result 1 Application Name Client Security Version 5 00 002f Company IBM Lang 0009 7BD2CFF6 B037 47D6 A76B D941EE13A D96 SdFinishReboo
2. passman 0 folderprotect 0 Anzahl der zu registrierenden Benutzer mit 1 beginnend auf z hlen Die Benutzernamen m ssen die Accountnamen sein Gehen Sie wie folgt vor um den Accountnamen unter Windows 2000 abzurufen 1 Rufen Sie das Fenster Computerverwaltung auf 2 Klicken Sie auf den Eintrag Lokale Benutzer und Grup n pen 3 ffnen Sie den Ordner Benutzer Bei den in der Spalte Name enthaltenen Eintr gen han delt es sich um die Accountnamen Um den Accountnamen unter Windows XP von der Windows Systemsteuerung aus aufzurufen klicken Sie auf das Symbol f r die Benutzeraccounts Die Benutzeraccounts werden ange zeigt Anzahl der zu registrierenden Benutzer mit UVM Verschl sselungstext mit 1 beginnend aufz hlen Anzahl der zu registrierenden Benutzer die bei UVM mit Windows Kennwort registriert sind mit 1 beginnend aufz h len 0 Angabe dass es sich hierbei um einen lokalen Account han delt 1 Angabe dass es sich hierbei um einen Dom nenaccount handelt 1 anfordern dass der Benutzer den UVM Verschl sselungs text bei der n chsten Anmeldung ndert 0 nicht anfordern dass der Benutzer den UVM Verschl sselungstext bei der n chsten Anmeldung ndert 0 anzeigen dass der UVM Verschl sselungstext abl uft 1 anzeigen dass der UVM Verschl sselungstext nicht abl uft Wenn ppexppolicy 0 definieren Sie diesen Wert um die Anzahl von Tagen bis zum Ablaufen des UVM Versc
3. 4 IBM Client Security Solutions Client Security Version 5 3 Installationshandbuch IBM Client Security registriert Windows Benutzer in der Umgebung des integrier ten IBM Sicherheits Subsystems Wird ein Benutzer registriert werden ffentliche und private Benutzerschl ssel das Benutzerschl sselpaar erstellt und eine neue Schl sselebene wird erstellt Der private Benutzerschl ssel wird mit dem ffentli chen Administratorschl ssel verschl sselt Der private Administratorschl ssel wird mit dem ffentlichen Hardwareschl ssel verschl sselt Daher muss zum Verwen den des privaten Benutzerschl ssels der private Administratorschl ssel der mit dem ffentlichen Hardwareschl ssel verschl sselt ist in das Sicherheits Subsystem geladen werden Ist er in den Chip geladen entschl sselt der private Hardware schl ssel den privaten Administratorschl ssel Der private Administratorschl ssel ist nun f r die Verwendung im Sicherheits Subsystem bereit so dass Daten die mit dem entsprechenden ffentlichen Administatorschl ssel verschl sselt wurden in das Sicherheits Subsystem ausgelagert entschl sselt und verwendet werden k n nen Der private mit dem ffentlichen Administratorschl ssel verschl sselte Schl ssel des aktuellen Windows Benutzers wird an das Sicherheits Subsystem weitergelei tet Alle von einer Anwendung ben tigten Daten die das integrierte Sicherheits Subsystem einsetzt werden ebenso an den Chip weitergelei
4. nnen muss der Sicherheits administrator mit einigen grundlegenden Konzepten vertraut sein In den folgen den Abschnitten werden grundlegende Sicherheitskonzepte beschrieben Integrierter IBM Security Chip Beim integrierten IBM Sicherheits Subsystem IBM Embedded Security Subsystem handelt es sich um die integrierte Verschl sselungshardware Technologie die eine zus tzliche Schutzebene f r ausgew hlte IBM PC Plattformen bietet Durch die Einf hrung dieses Sicherheits Subsystems werden Verschl sselungs und Authenti fizierungsprozesse von der Software die relativ fehleranf llig ist auf die sichere Umgebung einer dedizierten Hardware bertragen So wird die Sicherheit deutlich erh ht Das integrierte IBM Sicherheits Subsystem unterst tzt folgende Funktionen e RSA3 PKI Vorgange wie z B Verschl sselung aus Datenschutzgr nden sowie digitale Unterschriften zur Authentifizierung e RSA Schl sselerstellung Erstellung von Zufallszahlen Berechnung von RSA Funktionen in 200 Millisekunden EEPROM Speicher f r RSA Schl sselpaarspeicherung Alle in der Spezifikation Vs 1 1 definierten TCPA Funktionen Kommunikation mit dem Hauptprozessor ber den LPC Bus LPC Low Pin Count IBM Client Security IBM Client Security beinhaltet folgende Softwareanwendungen und Komponenten Administratordienstprogramm Das Administratordienstprogramm ist die Schnittstelle die vom Administrator zum Aktivieren oder Inaktivieren des inte g
5. tzten Ressourcen zu authentifizieren indem sie auf die integrierte Software zugreifen statt dedizierte Authentifizierungseinheiten verwenden zu m ssen Targus Leseger t f r Fingerabdr cke Das Targus Leseger t f r Fingerabdr cke ist eine benutzerfreundliche Schnitt stelle ber die die Sicherheitspolicy f r die Authentifizierung ber Fingerabdr cke aktiviert werden kann Ensure Proximity Badge Bei IBM Client Security ab Version 5 2 m ssen die Benutzer des ber hrungslosen Ausweises Proximity Badge ihre Ensure Software auf Version 7 41 aktualisie ren Bei der Aktualisierung von einer fr heren Version von IBM Client Security sollten Sie Ihre Ensure Software aktualisieren bevor Sie eine Aktualisierung auf Client Security ab Version 5 2 durchf hren Gemplus GemPC400 Smartcard Leseeinheit Die Gemplus GemPC400 Smartcard Leseeinheit aktiviert die Sicherheitspolicy f r die Smartcard Authentifizierung und f gt so dem Standardschutz durch Verschl sselungstext eine weitere Sicherheitsebene hinzu 10 IBM Client Security Solutions Client Security Version 5 3 Installationshandbuch Webbrowser Folgende Webbrowser werden von IBM Client Security bei der Anforderung digita ler Zertifikate unterst tzt Internet Explorer 5 0 oder h her Netscape 4 51 4 7x und Netscape 7 1 Informationen zum Browser Verschl sselungsgrad Wenn eine Unterst tzung f r hochgradige Verschl sselung installiert ist verwen den Sie die
6. B Netscape Mes senger sofern eine unterst tzte Version von Netscape verwendet wird Software herunterladen Die Software Client Security kann von der IBM Website unter http www pc ibm com us security index html heruntergeladen werden Registrierungsformular Wenn Sie die Software herunterladen miissen Sie ein Registrierungsformular und einen Fragenkatalog ausf llen und den Lizenzbedingungen zustimmen Folgen Sie den Anweisungen auf der IBM Website http www pc ibm com us security index html um die Software herunterzu laden Die Installationsdateien f r IBM Client Security sind in der sich selbst entpacken den Datei mit dem Namen csec53 exe enthalten Kapitel 2 Erste Schritte 11 12 IBM Client Security Solutions Client Security Version 5 3 Installationshandbuch Kapitel 3 Vorbereitung der Software Installation Dieses Kapitel enth lt alle Vorbereitungen zum Ausf hren des Installations programms und zum Konfigurieren von IBM Client Security auf IBM Clients Alle f r die Installation von Client Security erforderlichen Dateien finden Sie auf der IBM Website http www pc ibm com us security index html Auf der Web site finden Sie Informationen mit deren Hilfe Sie sicherstellen k nnen dass Sie ber das integrierte IBM Sicherheits Subsystem IBM Embedded Security Subsys tem verf gen und die Ihnen die Auswahl des passenden IBM Client Security An gebots f r Ihr System erm glichen Software Installa
7. Diese Ver ffentlichung ist eine bersetzung des Handbuchs IBM Client Security Solutions Client Security Version 5 3 Installation Guide herausgegeben von International Business Machines Corporation USA Copyright International Business Machines Corporation 2004 Copyright IBM Deutschland GmbH 2004 Informationen die nur f r bestimmte L nder G ltigkeit haben und f r Deutschland sterreich und die Schweiz nicht zutreffen wurden in dieser Ver ffentlichung im Originaltext bernommen M glicherweise sind nicht alle in dieser bersetzung aufgef hrten Produkte in Deutschland angek ndigt und ver f gbar vor Entscheidungen empfiehlt sich der Kontakt mit der zust ndigen IBM Gesch ftsstelle nderung des Textes bleibt vorbehalten Herausgegeben von SW TSC Germany Kst 2877 Mai 2004 Inhaltsverzeichnis Vorwort a a 0 un en en ee Inhalt dieses Handbuchs ot de he ee Ge at ee Se aV Zielgruppe eae a Benutzung des Handbuchs Silk amp os i vi Verweise auf das Client Security Administrator handbuch vi Verweise auf das Client Security Benutzerhandbuch vi Zus tzliche Informationen 2200 Wi Kapitel 1 Einf hrung IBM ESS Integrierter IBM Security Chip IBM Client Security 5 Beziehung zwischen Kennw rtern und Schl sseln Administratorkennwort ffentlicher und privater Hardwareschl ssel ffentlicher und privater Administratorschl ssel ESS Archiv Offentliche und private Beniistze
8. Eine UVM sensitive Einheit funktioniert nicht mehr ordnungsgem Ma nahme Wenn Sie eine UVM sensitive Einheit vom USB Port trennen und anschlie end die Ver bindung der Einheit zum USB Port wieder herstellen kann es sein dass die Einheit nicht mehr einwandfrei funktioniert Starten Sie den Computer erneut nachdem Sie die Einheit erneut an den USB Anschluss angeschlossen haben IBM Client Security Solutions Client Security Version 5 3 Installationshandbuch Anhang A Informationen zu Kennw rtern und Verschl sselungstexten Dieser Anhang enth lt Informationen zu Kennw rtern und Verschl sselungstexten Regeln f r Kennw rter und Verschl sselungstexte In einem sicheren System gibt es viele verschiedene Kennw rter und Verschl sse lungstexte F r die verschiedenen Kennw rter gelten unterschiedliche Regeln Die ser Abschnitt enth lt Informationen zum Administratorkennwort sowie zum UVM Verschl sselungstext Regeln f r Administratorkennw rter Die Regeln f r ein Administratorkennwort k nnen von einem Sicherheits administrator nicht ge ndert werden Folgende Regeln gelten f r Administratorkennworter L nge Das Kennwort muss genau 8 Zeichen umfassen Zeichen Das Kennwort darf nur alphanumerische Zeichen enthalten Eine Kombina tion aus Buchstaben und Zahlen ist zul ssig Sonderzeichen wie z B Leer zeichen sind unzul ssig Merkmale Legen Sie das Administratorkennwort
9. Notieren Sie sich das BIOS Administratorkennwort und bewahren Sie es an einem sicheren Platz auf Wenn Sie das BIOS Administratorkennwort verlieren oder vergessen k nnen Sie auf das Programm Configuration Setup Utility nicht mehr zugreifen und das Kennwort nicht mehr ndern oder l schen ohne die Abdeckung des Computers zu entfernen und eine Br cke auf die Systemplatine zu versetzen Weitere Informationen hierzu finden Sie in der Hardwaredokumentation zu Ihrem Computer Administratorkennwort festlegen ThinkPad Mit den im Programm IBM BIOS Setup Utility verf gbaren Sicherheitsein stellungen k nnen die Administratoren folgende Tasks durchf hren Integriertes IBM Sicherheits Subsystem aktivieren oder inaktivieren Inhalt des integrierten IBM Sicherheits Subsystems l schen Achtung Auf einigen ThinkPad Modellen m ssen Sie das Administratorkennwort vor bergehend inaktivieren bevor Sie Client Security installieren oder aktualisieren k nnen Wenn Sie Client Security konfiguriert haben legen Sie ein Administratorkennwort fest um zu verhindern dass diese Einstellungen durch nicht autorisierte Benutzer ge ndert werden Gehen Sie nach einer der beiden folgenden Prozeduren vor um ein Administrator kennwort festzulegen Beispiel 1 1 Schalten Sie den Computer aus und starten Sie ihn erneut 32 IBM Client Security Solutions Client Security Version 5 3 Installationshandbuch 2 Wenn die Eingabeaufford
10. Tasks zum Konfigurie ren einer Sicherheitspolicy auf einem IBM Client Dies umfasst folgende Schritte Kennwort des Sicherheitsadministrators definieren Das Sicherheitsadministratorkennwort das in diesen Handb chern als Administratorkennwort bezeichnet wird wird zur Steuerung des Zugriffs auf das Administratordienstprogramm von IBM Client Security verwendet das zur Anderung der Sicherheitseinstellungen f r diesen Computer dient Dieses Kenn wort muss genau 8 Zeichen umfassen e Sicherheitsschl ssel f r Administratoren erstellen Bei Sicherheitsschl sseln f r Administratoren handelt es sich um eine Gruppe digitaler Schl ssel die in einer Computerdatei gespeichert sind Diese Schl ssel dateien werden auch als Administratorschl ssel Administratorschl sselpaar oder als Archivschl sselpaar bezeichnet Es empfiehlt sich diese wichtigen Sicherheitsschl ssel auf einem austauschbaren Datentr ger oder Laufwerk zu speichern Wenn im Administratordienstprogramm eine nderung an der Sicher heitspolicy vorgenommen wird erfolgt eine Systemanfrage nach einem Adminis tratorschl ssel als Nachweis daf r dass die Berechtigung zur nderung der Sicherheitspolicy vorliegt Eine Backup Version der Sicherheitsdaten wird auch f r den Fall gespeichert dass die Systemplatine oder ein Festplattenlaufwerk des Computers ausge tauscht werden muss Speichern Sie diese Sicherheitsdaten au erhalb des lokalen Systems Anwendungen mit IBM Cl
11. an einem sicheren Platz auf Wenn Sie das Administratorkennwort verlieren oder ver gessen k nnen Sie auf das Programm IBM BIOS Setup Utility nicht mehr zugrei fen und das Kennwort nicht mehr ndern oder l schen Weitere Informationen hierzu finden Sie in der Hardwaredokumentation zu Ihrem Computer Administratorkennwort schutzen Das Administratorkennwort schiitzt den Zugriff auf das Administratordienst programm Bewahren Sie das Administratorkennwort an einem sicheren Ort auf um zu verhindern dass die Einstellungen im Administratordienstprogramm durch nicht autorisierte Benutzer ge ndert werden Inhalt des integrierten IBM Sicherheits Subsystems l schen ThinkCentre Wenn Sie alle Chiffrierschl ssel f r Benutzer aus dem integrierten IBM Sicherheits Subsystem entfernen und das Administratorkennwort f r das Sicherheits Subsys tem l schen m chten m ssen Sie den Inhalt des Chips l schen Lesen Sie die fol genden Hinweise bevor Sie den Inhalt des integrierten IBM Sicherheits Subsystems l schen Kapitel 5 Fehlerbehebung 33 Achtung e Wenn der Inhalt des integrierten IBMcherheits Subsystems gel scht wird gehen alle auf dem Sicherheits Subsystem gespeicherten Chiffrierschl ssel und Zertifi kate verloren Gehen Sie wie folgt vor um den Inhalt des integrierten IBM Sicherheits Subsys tems zu l schen 1 Schalten Sie den Computer aus und starten Sie ihn erneut 2 Wenn die Eingabeaufforderung f r das Konf
12. auf Netscape Messenger und w h len Sie anschlie end Zertifikat des integrierten IBM Security Chips aus Wei tere Informationen hierzu finden Sie in der Netscape Dokumentation Eine E Mail wird mit einem anderen abweichenden Algorithmus an den Client zur ckgesendet Ma nahme Eine E Mail die mit den Algorithmen RC2 40 RC2 64 oder RC2 128 verschl s selt wurde wird von einem Netscape Messenger Client an einen Outlook Express Client 128 Bit Version versendet Die vom Outlook Express Client zur ckgesendete E Mail wird mit Hilfe des RC2 40 Algorith mus verschl sselt Es muss keine Ma nahme durchgef hrt wer den Eine Verschl sselungsanforderung vom Typ RC2 40 RC2 64 oder RC2 128 von einem Netscape Client an einen Outlook Express Client 128 Bit Version wird stets mit dem RC2 40 Algorithmus an den Netscape Client zur ckgesendet Unter Microsoft finden Sie aktuelle Informationen zu den Verschl sselungsalgorithmen die in Ihrer Version von Outlook Express verwen det werden Die Verwendung eines digitalen Zertifi kats das durch das integrierte IBM Sicher heits Subsystem erstellt wurde ist nicht m glich Ma nahme Das digitale Zertifikat das durch das inte grierte IBM Sicherheits Subsystem erstellt wurde kann nicht verwendet werden Pr fen Sie ob der korrekte UVM Verschl sselungstext beim ffnen von Netscape eingegeben worden ist Wenn Sie einen fehlerhaften UVM Verschl
13. der Eingabetaste dr cken wird die Schaltfl che Chip inaktivieren aktiviert und eine Best tigungsnachricht ber die Inaktivierung des Chips angezeigt Gehen Sie wie folgt vor 1 Schlie en Sie das Best tigungsfenster mit der Nachricht ber die Inaktivierung des Chips 2 Um das Administratorkennwort zu ndern geben Sie das neue Kennwort ein geben Sie anschlie end das Best tigungskennwort ein und klicken Sie auf ndern Dr cken Sie nachdem Sie das Best tigungskennwort eingege ben haben nicht die Eingabetaste oder die Tabulatortaste zusammen mit der Eingabetaste Fehlerbehebungsinformationen zum Benutzerkonfigurations programm Die folgenden Informationen zur Fehlerbehebung k nnen hilfreich sein wenn bei der Verwendung des Benutzerkonfigurationsprogramms Fehler auftreten Fehlersymptom M gliche L sung Benutzer mit eingeschr nkter Berechtigung k nnen gewisse Funktionen des Benutzer konfigurationsprogramms unter Windows XP Professional nicht ausf hren Ma nahme Benutzer von Windows XP Professional mit eingeschr nkter Berechtigung k nnen m gli cherweise folgende Tasks im Benutzer konfigurationsprogramm nicht ausf hren e Ihre UVM Verschl sselungstexte ndern e Das bei UVM registrierte Windows Kenn wort aktualisieren e Das Schl sselarchiv aktualisieren Dies ist eine bekannte Einschr nkung von Windows XP Professional Zu diesem Fehler gibt es zurzeit keine L su
14. die Benutzer ID einrichten m chten zu der Sie gewechselt haben fahren Sie mit Schritt 4 fort 4 Starten Sie das Tool zur Lotus Notes Konfiguration das von Client Security bereitgestellt wird und richten Sie einen UVM Schutz ein Einschr nkungen f r das Benutzerkonfigurationsprogramm Unter Windows XP gibt es bestimmte Zugriffsbeschr nkungen die die einem Cli entbenutzer bereitgestellten Funktionen unter gewissen Umst nden einschr nken Windows XP Professional Unter Windows XP Professional kann es in folgenden F llen Einschr nkungen f r Clientbenutzer geben Client Security ist auf einer Partition installiert die zu einem sp teren Zeitpunkt in ein NTFS Format konvertiert wird Der Windows Ordner befindet sich auf einer Partition die zu einem sp teren Zeitpunkt in ein NTFS Format konvertiert wird Der Archivordner befindet sich auf einer Partition die zu einem sp teren Zeit punkt in ein NTFS Format konvertiert wird 40 IBM Client Security Solutions Client Security Version 5 3 Installationshandbuch In den vorgenannten F llen k nnen Benutzer von Windows XP Professional mit eingeschr nkter Berechtigung m glicherweise folgende Tasks im Benutzer konfigurationsprogramm nicht ausf hren Ihre UVM Verschl sselungstexte ndern e Das bei UVM registrierte Windows Kennwort aktualisieren e Das Schl sselarchiv aktualisieren Windows XP Home Benutzer von Windows XP Home mit eingeschr nkter Berechtigung
15. die Datei csec ini Die Datei csec ini wird erstellt nachdem der Benutzer den Installations assistenten von IBM Client Security abgeschlossen hat Dieser Schritt ist nur erforderlich wenn Sie beabsichtigen eine Massenkonfiguration durchzuf hren Im Abschnitt Massenkonfiguration auf Seite 25 finden Sie weitere Informatio nen 2 Extrahieren Sie mit Hilfe von Winzip den Inhalt des CSS Installationspakets mit Ordnernamen 3 Bearbeiten Sie in der Datei Setup iss die Eintr ge szIniPath und szDir die f r eine Massenkonfiguration erforderlich sind Der vollst ndige Inhalt dieser Datei ist nachfolgend aufgef hrt Die Verzeich nisposition wird vom Parameter szIniPath der Datei csec ini festgelegt Der Parameter szIniPath ist nur erforderlich wenn eine Massenkonfiguration durchgef hrt werden soll Kapitel 4 Software installieren aktualisieren und deinstallieren 23 4 Kopieren Sie die Dateien auf das Zielsystem 5 Erstellen Sie die Befehlszeilenanweisung setup s Diese Befehlszeilenanweisung sollte vom Desktop eines Benutzers mit Administratorberechtigung ausgef hrt werden Ein geeigneter Ort hierf r ist die Programmgruppe Autostart oder das Fenster Ausf hren 6 L schen Sie die Befehlszeilenanweisung nach dem n chsten Systemstart Der vollst ndige Inhalt der Datei Setup iss die in dem durch die obigen Schritte extrahierten CSS Installationspaket enthalten ist ist unten mit einigen Beschreibun gen aufgef hrt
16. fest um den integrierten IBM Secu rity Chip im Computer zu aktivieren Dieses Kennwort muss bei jedem Zugriff auf das Administratordienstprogramm und die Administrator konsole eingegeben werden Fehlversuche Wenn Sie 10 Mal hintereinander ein fehlerhaftes Kennwort eingeben wird der Computer f r 1 Stunde und 17 Minuten gesperrt Wenn Sie nach Ablauf dieser Zeit das Kennwort wiederum 10 Mal falsch eingeben wird der Computer f r 2 Stunden und 34 Minuten gesperrt Die Zeitdauer der Inaktivierung des Computers wird jedes Mal verdoppelt wenn Sie 10 Mal hintereinander ein fehlerhaftes Kennwort eingeben Regeln f r UVM Verschl sselungstexte In IBM Client Security k nnen Administratoren Regeln f r UVM Verschl sselungs texte der Benutzer festlegen Zur Erh hung der Sicherheit kann der UVM Ver schl sselungstext l nger und eindeutiger abgefasst sein als ein herk mmliches Kennwort Die Policy f r den UVM Verschl sselungstext wird ber das Administratordienstprogramm gesteuert Das Fenster Policy f r UVM Verschliisselungstext des Administratordienst programms stellt Sicherheitsadministratoren eine einfache Schnittstelle zur Steue rung von Kriterien f r Verschl sselungstexte bereit ber das Fenster Policy f r UVM Verschliisselungstext kann der Administrator folgende Regeln f r Verschl sselungstexte festlegen 55 Anmerkung Die Standardeinstellung f r jedes Kriterium ist in Klammern angege ben ob eine Mindest
17. in UVM registrieren Wenn enrollall 1 gilt dieser UVM Verschl sselungstext f r alle Benutzer Wenn enrollall 1 wird dieses Windows Kennwort bei UVM f r alle Benutzer registriert Wenn enrollall 1 gilt die Policy f r das ndern des UVM Verschl sselungstexts f r alle Benutzer 1 anfordern dass der Benutzer den UVM Verschl sselungs text bei der n chsten Anmeldung ndert 0 nicht anfordern dass der Benutzer den UVM Verschl sselungstext bei der n chsten Anmeldung ndert Wenn enrollall 1 gilt die Policy f r das Ablaufen des UVM Verschl sselungstexts f r alle Benutzer 0 Der UVM Verschl sselungstext l uft ab 1 Der UVM Verschl sselungstext l uft nicht ab Wenn enrollall 1 wird die Anzahl von Tagen bis zum Ablaufen des UVM Verschl sselungstextes f r alle Benutzer festgelegt Wenn ppexppolicy 0 definieren Sie diesen Wert um die Anzahl von Tagen bis zum Ablaufen des UVM Verschl sselungstextes festzulegen Wenn enrollall 0 wird hiermit die Anzahl der Benutzer angegeben die in UVM registriert werden 26 IBM Client Security Solutions Client Security Version 5 3 Installationshandbuch user1 jknox userluvmpw chrome userlwinpw spinning userldomain 0 userlppchange 0 userlppexppolicy 1 userlppexpdays 0 user2 russell user2uvmpw left user2winpw right user2domain 0 user2ppchange 1 user2ppexppolicy 0 user2ppexpdays 90 UVMAppConfig uvmlogon 0 entrust 0 notes 1 netscape 0
18. ren auch Leerzeichen und nicht alphanumerische Zeichen Merkmale Der UVM Verschl sselungstext weicht von einem Kennwort das Sie f r die Anmeldung an einem Betriebssystem verwenden k nnen ab Der UVM Verschl sselungstext kann zusammen mit anderen Authentifizie rungseinheiten wie z B einem UVM Sensor f r Fingerabdr cke verwen det werden Fehlversuche Wenn Sie den UVM Verschl sselungstext w hrend einer Sitzung mehrmals falsch eingeben f hrt der Computer eine Reihe von Anti Hammering Ver z gerungen aus Diese Verz gerungen werden im folgenden Abschnitt n her beschrieben Z hlung fehlgeschlagener Versuche auf TCPA Systemen und anderen Systemen In der folgenden Tabelle werden die Einstellungen f r Anti Hammering Verz ge rung f r ein TCPA System angezeigt Versuche Verz gerung beim n chsten Fehlschlagen 15 1 1 Minuten 31 2 2 Minuten 47 4 4 Minuten 63 8 8 Minuten 79 17 6 Minuten 95 35 2 Minuten 111 1 2 Stunden 127 2 3 Stunden 143 4 7 Stunden TCPA Systeme unterscheiden nicht zwischen Benutzerverschl sselungstexten und dem Administratorkennwort Jede Authentifizierung ber den integrierten IBM Security Chip unterliegt der gleichen Policy Das maximale Zeitlimit liegt bei 4 7 Stunden Die Verz gerung berschreitet bei TCPA System nicht 4 7 Stunden Andere Systeme unterscheiden zwischen dem Administratorkennwort und Benutzerverschl sselungstexten Bei diesen and
19. sseln bevor Sie Client Security ab Version 5 1 installieren IBM Client Security ab Version 5 1 kann aufgrund von nderungen bei der Dateiverschl sselungsimplementierung keine Dateien entschl sseln die mit lteren Versionen von IBM Client Security als Ver sion 5 0 verschl sselt wurden Software herunterladen und installieren Alle f r die Installation von Client Security erforderlichen Dateien finden Sie auf der IBM Website http www pc ibm com us security index html Auf der Web site finden Sie Informationen mit deren Hilfe Sie sicherstellen k nnen dass Sie ber das integrierte IBM Sicherheits Subsystem verf gen und die Ihnen die Aus wahl des passenden IBM Client Security Angebots f r Ihr System erm glichen Gehen Sie wie folgt vor um die entsprechenden Dateien f r Ihr System herunter zuladen 1 Rufen Sie in einem Webbrowser folgende IBM Website auf http www pc ibm com us security index html 2 Klicken Sie auf Download instructions and links 3 Klicken Sie im Bereich mit den Download Informationen zu IBM Client Secu rity auf die Schaltflache Continue 4 Klicken Sie auf Detect my system amp continue oder geben Sie die siebenstel lige Maschinentyp Modellnummer in das vorgesehene Feld ein 5 Erstellen Sie eine Benutzer ID f llen Sie das Onlineformular zur Registrierung aus und lesen Sie die Lizenzvereinbarung Klicken Sie dann auf Accept Licence Sie werden danach automatisch zur Download Seite f r IB
20. teuerung sowohl f r den Benutzer als auch f r die Gruppe wenn die Option Traverse bit aktiviert wurde Es muss keine Ma nahme durchgef hrt wer den Fehlerbehebungsinformationen zu Lotus Notes Die folgenden Informationen zur Fehlerbehebung k nnen hilfreich sein wenn bei der Verwendung von Lotus Notes in Verbindung mit Client Security Fehler auftre ten Fehlersymptom M gliche L sung Nach dem Aktivieren des UVM Schutzes f r Lotus Notes kann die Konfiguration von Lotus Notes nicht abgeschlossen wer den Ma nahme Lotus Notes kann die Installation nicht abschlie en wenn der UVM Schutz mit Hilfe des Administratordienstprogramms aktiviert wurde Dies ist eine bekannte Einschr nkung Lotus Notes muss konfiguriert und ausge f hrt werden bevor die Lotus Notes Unter st tzung im Administratordienstprogramm aktiviert wird Beim Versuch das Notes Kennwort zu ndern wird eine Fehlernachricht ange zeigt Ma nahme Wenn Sie w hrend der Verwendung von Client Security das Notes Kennwort ndern kann dies zur Anzeige einer Fehlernachricht f hren Versuchen Sie noch ein Mal das Kennwort zu ndern Wenn dieser Versuch fehlschl gt starten Sie den Client erneut IBM Client Security Solutions Client Security Version 5 3 Installationshandbuch Fehlersymptom M gliche L sung Nachdem Sie ein Kennwort per Zufalls generator festgelegt haben wird eine Feh
21. 0 defaultuvmpw top defaultwinpw down defaultppchange 0 defaultppexppolicy 1 defaultppexpdays 0 enrollusers 2 promptcurrent der derzeitige Benutzer wird zur Eingabe des Registrierungskennworts fiir den Client mit standort unabh ngigem Zugriff aufgefordert current wenn das Registrierungskennworts f r den Client mit standortunabh ngigem Zugriff f r den derzeitigen Benut zer durch den Eintrag sysregpwd geliefert wird und der der zeitige Benutzer zum Registrieren des Systems ber den Server f r den standortunabh ngigen Zugriff berechtigt ist lt Entsprechender Benutzeraccount gt wenn der designierte Benutzer zum Registrieren des Systems ber den Server f r den standortunabh ngigen Zugriff berechtigt ist und wenn das Systemregistrierungskennwort f r diesen Benutzer durch den Eintrag sysregpwd geliefert wird Verwenden Sie diesen Eintrag nicht wenn der Wert f r enableroaming 0 ist oder wenn der Eintrag nicht vorhanden ist Systemregistrierungskennwort Definieren Sie f r diesen Wert das richtige Kennwort um das System f r die Registrierung ber den Server f r den standortunabh ngigen Zugriff zu aktivieren Nehmen Sie diesen Eintrag nicht auf wenn der Wert f r username als promptcurrent definiert ist oder wenn der Eintrag f r den Benutzernamen nicht vorhanden ist Abschnitts berschrift f r Benutzerregistrierung 1 alle lokalen Benutzeraccounts in UVM registrieren 0 bestimmte Benutzeraccounts
22. 128 Bit Version Ihres Webbrowsers Weitere Informationen zur Feststel lung des Verschl sselungsgrades erhalten Sie ber die Hilfefunktion des Browsers Verschl sselungsdienste IBM Client Security unterst tzt folgende Verschl sselungsdienste Microsoft CryptoAPI CryptoAPl ist der Standardverschl sselungsdienst f r Betriebssysteme und Anwendungen von Microsoft Mit der integrierten Unter st tzung von CryptoAPI k nnen Sie ber IBM Client Security die Verschl sse lungsvorg nge des integrierten IBM Sicherheits Subsystems beim Erstellen von digitalen Zertifikaten f r Microsoft Anwendungen verwenden e PKCS 11 Modul Beim PKCS 11 Modul handelt es sich um den Verschl s selungsstandard f r Netscape Entrust RSA und andere Produkte Wenn Sie das PKCS 11 Modul f r das integrierte IBM Sicherheits Subsystem installiert haben k nnen Sie mit dem integrierten IBM Sicherheits Subsystem digitale Zertifikate f r Netscape Entrust RSA und andere Anwendungen die das PKCS 11 Modul verwenden erstellen E Mail Anwendungen IBM Client Security unterst tzt folgende Anwendungstypen ber gesicherte E Mail E Mail Anwendungen die Microsoft CryptoAPI f r Verschl sselungsvorg nge verwenden wie z B Outlook Express und Outlook sofern eine unterst tzte Version von Internet Explorer verwendet wird E Mail Anwendungen die das PKCS 11 Modul Public Key Cryptographic Standard f r Verschl sselungsvorg nge verwenden wie z
23. 2 Klicken Sie auf Ja Es wird eine Nachricht angezeigt die darauf hinweist dass vor dem Fortfahren das Administratorkennwort oder ein BIOS Administratorkennwort ber das Programm IBM BIOS Setup Utility inaktiviert werden muss falls ein entspre chendes definiert ist 3 F hren Sie einen der folgenden Schritte aus e Wenn ein Administratorkennwort definiert ist klicken Sie auf Abbrechen inaktivieren Sie das Kennwort und f hren Sie dann diese Prozedur aus e Ist kein Administratorkennwort definiert klicken Sie auf OK um fortzufah ren 4 Schlie en Sie alle ge ffneten Anwendungen und klicken Sie auf OK um einen Neustart des Computers durchzuf hren 5 Klicken Sie nach dem Neustart zum ffnen des Administratordienstprogramms auf Start gt Einstellungen gt Systemsteuerung gt Integriertes IBM Sicherheits Subsystem Es wird eine Nachricht angezeigt die darauf hinweist dass das IBM Sicher heits Subsystem nicht konfiguriert wurde oder sein Inhalt gel scht wurde An dieser Stelle muss ein neues Kennwort eingegeben werden 6 Geben Sie in das entsprechende Feld ein neues Administratorkennwort ein und best tigen Sie das Kennwort Klicken Sie anschlie end auf OK Anmerkung Das Kennwort muss 8 Zeichen lang sein Daraufhin kehrt das Programme zur Hauptanzeige des Administratordienst programms zur ck Software auf anderen IBM Clients installieren wenn der ffentliche Schl ssel f r Administratoren verf gbar
24. Das Administratorkennwort wird zur Authentifizierung des Administrators beim integrierten IBM Sicherheits Subsystem verwendet Dieses Kennwort das acht Zei chen lang sein muss wird innerhalb der sicheren Hardware des integrierten IBM Sicherheits Subsystems verwaltet und authentifiziert Wenn es authentifiziert ist kann der Administrator folgende Aktionen ausf hren Benutzer registrieren Die Policy Schnittstelle starten Das Administratorkennwort ndern Das Administratorkennwort kann auf eine der folgenden Arten definiert werden e Uber den Installationsassistenten von IBM Client Security e Uber das Administratordienstprogramm Mit Hilfe von Scripts e Uber die BIOS Schnittstelle nur f r ThinkCentre Computer Es ist wichtig zum Erstellen und Verwalten des Administratorkennworts nach einer Strategie vorzugehen Das Administratorkennwort kann ge ndert werden wenn es besch digt oder vergessen wurde Im Vergleich mit TCG Begriffen und TCG Terminologie entspricht das Adminis tratorkennwort dem OAV Owner Authorization Value Da das Administrator kennwort mit dem integrierten IBM Sicherheits Subsystem verkn pft ist wird es manchmal auch als das Hardwarekennwort bezeichnet ffentlicher und privater Hardwareschl ssel Grunds tzlich kann zum integrierten IBM Sicherheits Subsystem gesagt werden dass es als Root of Trust auf einem Clientsystem fungiert Diese Root wird zum Sichern anderer Anwendungen und Funktionen v
25. IBM Client Security Solutions Client Security Version 3 3 Installationshandbuch IBM Client Security Solutions Client Security Version 3 3 Installationshandbuch m Hinweis Vor Verwendung dieser Informationen und des darin beschriebenen Produkts sollten Sie die Informationen in Anhang B Bemerkungen und Marken auf Seite 59 lesen Die IBM Homepage finden Sie im Internet unter ibm com e IBM und das IBM Logo sind eingetragene Marken der International Business Machines Corporation e Das e business Symbol ist eine Marke der International Business Machines Corporation e Infoprint ist eine eingetragene Marke der IBM e ActionMedia LANDesk MMX Pentium und ProShare sind Marken der Intel Corporation in den USA und oder anderen Landern e C bus ist eine Marke der Corollary Inc in den USA und oder anderen L ndern e Java und alle auf Java basierenden Marken und Logos sind Marken der Sun Microsystems Inc in den USA und oder anderen Landern e Microsoft Windows Windows NT und das Windows Logo sind Marken der Microsoft Corporation in den USA und oder anderen Landern e PC Direct ist eine Marke der Ziff Communications Company in den USA und oder anderen L ndern SET und das SET Logo sind Marken der SET Secure Electronic Transaction LLC e UNIX ist eine eingetragene Marke der Open Group in den USA und oder anderen L ndern e Marken anderer Unternehmen Hersteller werden anerkannt Erste Ausgabe Mai 2004
26. IBM Website unter http www pec ibm com us security secdownload html heruntergeladen werden Verweise auf das Client Security Administratorhandbuch Dieses Handbuch enth lt Verweise auf das Client Security Administratorhandbuch Das Administratorhandbuch umfasst Informationen zur Verwendung von User Verifi cation Manager UVM und zum Arbeiten mit der UVM Policy sowie Informatio nen zur Verwendung des Administratordienstprogramms und des Benutzer konfigurationsprogramm Wenn Sie die Software installiert haben befolgen Sie die Anweisungen im Administratorhandbuch zum Einrichten und Verwalten der Sicherheitspolicy f r die einzelnen Clients Verweise auf das Client Security Benutzerhandbuch Das Client Security Benutzerhandbuch das als Erg nzung zum Client Security Administratorhandbuch dient enth lt n tzliche Informationen zur Ausf hrung von Benutzertasks mit Client Security wie z B der Verwendung des UVM Anmelde schutzes der Erstellung eines digitalen Zertifikats sowie der Verwendung des Benutzerkonfigurationsprogramms Zus tzliche Informationen vi Zus tzliche Informationen sowie aktualisierte Fassungen der Sicherheitsprodukte erhalten Sie sofern verf gbar auf der IBM Website unter http www pc ibm com us security index html IBM Client Security Solutions Client Security Version 5 3 Installationshandbuch Kapitel 1 Einf hrung Select ThinkPad und ThinkCentre Computer sind mit integrierter Ver
27. M Client Security gef hrt 6 Befolgen Sie die angezeigten Anweisungen um die erforderlichen Einheiten treiber Readme Dateien Software Referenzdokumente und zus tzliche Dienstprogramme von IBM Client Security herunterzuladen Gehen Sie nach der auf der Website angegebenen Download Reihenfolge vor 7 Klicken Sie auf dem Windows Desktop auf Start gt Ausf hren 8 Geben Sie in das Feld Ausf hren d directory csec53 exe ein Hierbei gibt d directory den Laufwerkbuchstaben und das Verzeichnis an in dem die Datei gespeichert ist 9 Klicken Sie auf OK Das Begr ungsfenster des InstallShield Assistenten von IBM Client Security wird angezeigt 10 Klicken Sie auf Weiter 17 Der Assistent extrahiert die Dateien und installiert die Software Nach Abschluss der Installation werden Sie gefragt ob der erforderliche Neustart sofort oder zu einem sp teren Zeitpunkt durchgef hrt werden soll 11 Klicken Sie zur Best tigung auf OK Nach dem Neustart des Computers wird der Konfigurationsassistent von IBM Client Security aufgerufen Konfigurationsassistenten f r die Installation von IBM Client Security verwenden Der Konfigurationsassistent f r die Installation von IBM Client Security stellt eine Schnittstelle zur Verf gung die Sie beim Installieren von Client Security und beim Aktivieren des integrierten IBM Security Chips unterst tzt Der Konfigurations assistent von IBM Client Security f hrt Sie auch durch die
28. Nachricht ber einen Entschl sselungsfehler angezeigt Schlie en Sie die Nachricht und ffnen Sie die verschl sselte E Mail erneut Eine Nachricht ber einen Entschl sselungs fehler kann auch bei der Auswahl einer ver schl sselten Nachricht in der Voranzeige erscheinen Wenn in der Voranzeige eine Fehlernachricht erscheint muss keine weitere Ma nahme durchgef hrt werden Wenn Sie bei verschl sselten E Mails zwei Mal auf die Schaltfl che Senden klicken wird eine Fehlernachricht angezeigt Ma nahme Wenn Sie in Outlook Express zwei Mal auf Senden klicken um eine verschl sselte E Mail zu senden wird eine Fehlernachricht angezeigt die besagt dass die Nachricht nicht versendet werden konnte Schlie en Sie die Fehlernachricht und kli cken Sie ein Mal auf die Schaltfl che Sen den Beim Anfordern eines Zertifikats wird eine Fehlernachricht angezeigt Ma nahme Wenn Sie Internet Explorer verwenden wird Ihnen bei der Anforderung eines Zertifikats das das CSP Modul des integrierten IBM Sicherheits Subsystems verwendet m gli cherweise eine Fehlernachricht angezeigt Fordern Sie das digitale Zertifikat erneut an Fehlerbehebungsinformationen zu Netscape Anwendungen Die folgenden Fehlerbehebungstabellen enthalten Informationen die sich f r Sie m glicherweise als hilfreich erweisen k nnen wenn bei der Verwendung von Cli ent Security in Verbindung mit Netscape Anwendu
29. NetVista Q1x Modellen Wenn auf den NetVista Modellen 6059 6569 6579 6649 6646 und allen Q1x Modellen ein Administratorkennwort festgelegt wurde m ssen Sie das integrierte IBM Sicherheits Subsystem im Administratordienstprogramm aktivieren und die Chiffrierschl ssel erstellen Wenn auf diesen Modellen die erweiterten Sicherheitseinrichtungen aktiviert wur den m ssen Sie nach der Installation von Client Security im Administratordienst programm das integrierte IBM Sicherheits Subsystem aktivieren und die Chiffrier schl ssel erstellen nachdem Sie IBM Client Security installiert haben Wenn das Installationsprogramm feststellt dass die erweiterten Sicherheitseinrichtungen akti viert sind erhalten Sie am Ende des Installationsprozesses eine entsprechende Nachricht Starten Sie den Computer erneut und ffnen Sie das Administrator dienstprogramm um das integrierte IBM Sicherheits Subsystem zu aktivieren und die Chiffrierschl ssel zu erstellen Erweiterte Sicherheitseinrichtungen auf allen anderen NetVista Modellen mit Ausnahme von 6059 6569 6579 6649 und allen NetVista Q1x Modellen Wenn f r ein anderes Modell ein Administratorkennwort festgelegt wurde m ssen Sie w hrend des Installationsprozesses kein Administratorkennwort eingeben Wenn auf diesen NetVista Modellen die erweiterten Sicherheitseinrichtungen akti viert wurden k nnen Sie die Software mit Hilfe des Installationsprogramms instal lieren m ssen jedoch das integ
30. Schl sselwiederherstellung im Administratordienstprogramm wiederherge stellt werden Einige Zertifikate wie z B die von VeriSign bereitgestellten kostenfreien Zertifikate k nnen m glicherweise nach einer Schl sselwiederherstellung nicht mehr wiederhergestellt werden Wenn Sie die Schl ssel wiederhergestellt haben w hlen Sie eine der folgenden M g lichkeiten e Neue digitale Zertifikate anfordern e Zertifizierungsinstanz erneut bei Outlook Express registrieren In Outlook Express wird der Verschl sselungsgrad eines Zertifikats nicht aktualisiert Ma nahme Wenn ein Sender den Verschl sselungsgrad in Netscape ausw hlt und eine signierte E Mail an einen Client sendet der Outlook Express mit Internet Explorer 4 0 128 Bit Version verwendet wird bei der Antwort E Mail m glicherweise ein abweichender Verschl sselungsgrad verwendet L schen Sie das entsprechende Zertifikat aus dem Adressbuch von Outlook Express Off nen Sie die signierte E Mail erneut und neh men Sie das Zertifikat in das Adressbuch von Outlook Express auf Kapitel 5 Fehlerbehebung 47 Fehlersymptom M gliche L sung In Outlook Express wird eine Nachricht ber Entschl sselungsfehler angezeigt Ma nahme Sie k nnen eine Nachricht in Outlook Express durch Doppelklicken ffnen In eini gen F llen wird Ihnen wenn Sie zu schnell auf eine verschl sselte Nachricht doppel klicken m glicherweise eine
31. Security aktualisieren 28 Upgrade mit neuen Sicherheitsdaten durchf hren 28 Upgrade von Version 5 1 auf aktuellere Versionen mit vorhandenen Sicherheitsdaten durchf hren 28 Client Security deinstallieren 29 Kapitel 5 a 31 Administratorfunktionen ol Benutzer autorisieren 31 Benutzer l schen 31 BIOS Adiministratoik nnwort festlegen Think Centre soL Administratorkennwort festlegen ThinkPad s O2 Administratorkennwort sch tzen p 33 Inhalt des integrierten IBM Sicherheits Subsys tems l schen ThinkCentre 33 Inhalt des integrierten IBM Sicherheits Subsys tems l schen ThinkPad 34 Bekannte Probleme und Einschr nkungen bei Css Version 5 2 235 Einschr nkungen bei standortunabh ngigem Zugriff 35 Einschr nkungen bel ber hrungslosem K swes Proximity Badge 36 Schl ssel wiederherstellen 2 OF Namen des lokalen Benutzers und des Dom nen benutzers 37 Targus Software zum Lesers von Fingerabdr cken erneut installieren 37 Administratorverschl sselungstext f r das BIOS 38 Netscape 7 x verwenden 38 Diskette zum Archivieren verwenden 38 Einschr nkungen bei Smartcards 3 38 Pluszeichen wird auf Ordnern nach der Ver schl sselung angezeigt 38 Einschr nkungen f r Benutzer mit eingeschr nk ter Berechtigung unter Windows XP 38 Weitere Einschr nkungen 39 Client Security unter Windows Betriebssystemen verwenden P 39 Client Security mit Netscape An
32. anzahl an alphanumerischen Zeichen festgelegt werden soll ja 6 Wenn z B 6 erlaubte Zeichen definiert sind ist 1234567xxx ein ung ltiges Kennwort e ob eine Mindestanzahl an Ziffern festgelegt werden soll ja 1 Wenn hierf r 1 festgelegt ist ist thisismypassword ein ung ltiges Kennwort ob eine Mindestanzahl an Leerzeichen festgelegt werden soll keine Mindestan zahl Wenn hierf r 2 festgelegt ist ist i am not here ein ung ltiges Kennwort ob der Verschl sselungstext mit einer Ziffer beginnen darf nein Standardm ig ist z B lpassword ein ung ltiges Kennwort ob der Verschl sselungstext mit einer Ziffer enden darf nein Standardm ig ist z B password8 ein ung ltiges Kennwort ob der Verschl sselungstext eine Benutzer ID enthalten darf nein Standardm ig ist z B Benutzername ein ung ltiges Kennwort wobei es sich bei Benutzername um eine Benutzer ID handelt ob der neue Verschl sselungstext sich von den letzten x Verschl sselungstexten unterscheiden muss ja 3 Standardm ig ist z B mypassword ein ung ltiges Kennwort wenn eines der drei vorherigen Kennw rter mypassword war ob der Verschl sselungstext mehr als drei identische aufeinanderfolgende Zei chen des letzten Kennworts enthalten darf nein Standardm ig ist z B paswor ein ung ltiges Kennwort wenn das vorherige Kennwort pass oder word lautete Das Fenster Policy f r UVM Verschliisselungstext des Admini
33. ape 7 x verwenden Netscape 7 x unterscheidet sich von Netscape 4 x Die Eingabeaufforderung f r den Verschl sselungstext erscheint nicht sobald Netscape gestartet wurde Stattdessen wird das PKCS 11 Modul nur bei Bedarf geladen so dass die Eingabeaufforderung f r den Verschl sselungstext nur dann angezeigt wird wenn eine Operation ausge f hrt wird bei der das PKCS 11 Modul erforderlich ist Diskette zum Archivieren verwenden Wenn Sie bei der Konfiguration der Sicherheitssoftware eine Diskette als Archiv position angegeben haben m ssen Sie mit langen Verz gerungen rechnen wenn die Daten w hrend des Konfigurationsprozesses auf die Diskette geschrieben wer den Ein anderer Datentr ger wie z B ein gemeinsam benutztes Netzwerk oder ein USB Memory Key eignet sich m glicherweise besser als Archivposition Einschr nkungen bei Smartcards Smartcards registrieren Smartcards m ssen erst bei UVM registriert werden bevor ein Benutzer eine Authentifizierung mit Hilfe der Karte erfolgreich durchf hren kann Wenn eine Karte mehreren Benutzern zugeordnet ist kann nur der letzte Benutzer der die Karte registrieren lie diese auch verwenden Aus diesem Grund sollten Smart cards nur f r ein Benutzeraccount registriert werden Smartcards authentifizieren Ist f r die Authentifizierung eine Smartcard erforderlich zeigt UVM ein Dialogfeld an in dem die Smartcard angefordert wird Wenn die Smartcard in die Leseeinheit eingelegt wi
34. aus W hlen Sie IBM Security Chip aus W hlen Sie Clear IBM Security Chip aus Klicken Sie auf Yes Dr cken Sie die Eingabetaste um fortzufahren ea nom Dr cken Sie die Taste F10 um die Eingaben zu speichern und das Men zu verlassen 34 IBM Client Security Solutions Client Security Version 5 3 Installationshandbuch Bekannte Probleme und Einschr nkungen bei CSS Version 5 2 Die folgenden Informationen sind m glicherweise bei der Verwendung der Funkti onen von Client Security Software Version 5 2 hilfreich Einschr nkungen bei standortunabh ngigem Zugriff CSS Roaming Server verwenden Die Aufforderung zur Eingabe des CSS Administratorkennworts wird angezeigt wenn ein Benutzer sich beim CSS Roaming Server anmelden m chte Der Compu ter kann jedoch wie gewohnt ohne Eingabe dieses Kennworts verwendet werden IBM Security Password Manager in einer Umgebung mit standortunabh ngigem Zugriff verwenden Kennw rter die mit IBM Client Security Password Manager auf einem System gespeichert wurden k nnen auch auf anderen Systemen innerhalb der Umgebung mit standortunabh ngigem Zugriff verwendet werden Neue Eintr ge werden automatisch aus dem Archiv abgerufen wenn sich der Benutzer an einem anderen System innerhalb des Netzwerks mit standortunabh ngigem Zugriff anmeldet wenn das Archiv verf gbar ist Wenn also ein Benutzer bereits bei einem System angemeldet ist muss er sich abmelden und erneut anmelden damit d
35. bh ngigem Zugriff Befindet sich ein Archiv in einem gemeinsam benutzten Netzwerk wird die aktuellste Gruppe von Benutzerberechtigungen aus dem Archiv heruntergeladen sobald der Benutzer auf das Archiv zugreifen kann Bei der Anmeldung haben die Benutzer nicht sofort Zugriff auf das gemeinsam benutzte Netzwerk so dass die aktuellsten Berechtigungsnachweise erst heruntergeladen werden k nnen nachdem die Anmeldung am System abgeschlossen ist Wenn z B der UVM Verschl sse lungstext auf einem anderen System im Netzwerk mit standortunabh ngigem Zugriff ge ndert wurde oder wenn neue Fingerabdr cke in einem anderen System registriert wurden sind diese Aktualisierungen erst verf gbar wenn der Anmelde prozess beendet ist Sind die aktualisierten Benutzerberechtigungen nicht verf g bar sollten die Benutzer versuchen sich mit dem fr heren Verschl sselungstext oder mit anderen registrierten Fingerabdr cken am System anzumelden Sobald die Anmeldung beendet ist sind die aktualisierten Benutzerberechtigungen verf g bar und das neue Kennwort sowie der Fingerabdruck sind bei UVM registriert Einschr nkungen bei ber hrungslosem Ausweis Proximity Badge Sicheren UVM Anmeldeschutz mit ber hrungslosem Ausweis Proximity Badge von XyLoc aktivieren Um die Unterst tzung des sicheren UVM Anmeldeschutzes f r die Verwendung eines ber hrungslosen Ausweises Proximity Badge bei CSS erfolgreich zu aktivie ren m ssen Sie die Komponenten in
36. cher Schl ssel Die Administratoren erstellen mit Hilfe von Client Security Chiffrierschl ssel f r die Computerhardware und die Clientbenutzer Beim Erstellen von Chiffrier schl sseln sind sie ber eine Schl sselhierarchie an den integrierten IBM Secu rity Chip gebunden Hierbei werden ber einen Hardwareschl ssel der Basis ebene die h herrangigen Schl ssel sowie die Benutzerschl ssel f r die einzelnen Clientbenutzer verschl sselt Das Verschl sseln und Speichern der Schl ssel auf dem integrierten IBM Security Chip stellt eine wichtige Zusatzebene der Client Sicherheit dar da die Schl ssel fest an die Computerhardware gebunden sind Erstellung und Speicherung digitaler Zertifikate mit Schutz durch den inte grierten IBM Security Chip Wenn Sie ein digitales Zertifikat anfordern das zum digitalen Signieren oder Verschl sseln einer E Mail verwendet werden kann k nnen Sie ber Client Security das integrierte IBM Sicherheits Subsystem als CSP f r Anwendungen die Microsoft CryptoAPI verwenden ausw hlen Zu diesen Anwendungen geh ren auch Internet Explorer und Microsoft Outlook Express Hierdurch wird gew hrleistet dass der private Schl ssel des digitalen Zertifikats mit dem ffentlichen Benutzerschl ssel auf dem integrierten IBM Sicherheits Subsystem verschl sselt ist Benutzer von Netscape k nnen das inte grierte IBM Sicherheits Subsystem als Funktion zur Erstellung privater Schl ssel f r digitale Zertifikate ausw
37. chgef hrt werden k nnen Gehen Sie wie folgt vor um das Administratorkennwort zu inaktivieren 1 Dr cken Sie die Taste F1 um das Pro gramm IBM BIOS Setup Utility aufzu rufen 2 Geben Sie das aktuelle Administrator kennwort ein 3 Geben Sie als neues Administrator kennwort ein leeres Kennwort ein und best tigen Sie dieses wiederum mit einem leeren Kennwort 4 Dr cken Sie die Eingabetaste 5 Dr cken Sie die Taste F10 um die Einga ben zu speichern und das Men zu ver lassen Ma nahme Vom IBM ThinkPad Computer wird der Wechsel zwischen mehreren UVM Sensoren f r Fingerabdr cke nicht unterst tzt Wechseln Sie nicht zwischen verschiedenen Sensormodellen f r Fingerabdr cke Ver wenden Sie bei der Arbeit von einem fernen Standort aus stets das gleiche Modell wie bei der Arbeit an einer Andockstation Kapitel 5 Fehlerbehebung 45 Fehlerbehebungsinformationen zu Microsoft Anwendungen und Betriebssystemen Die folgenden Fehlerbehebungstabellen enthalten Informationen die sich f r Sie m glicherweise als hilfreich erweisen k nnen wenn bei der Verwendung von Cli ent Security in Verbindung mit Microsoft Anwendungen oder Betriebssystemen Fehler auftreten Fehlersymptom Bildschirmschoner wird nur auf lokaler Anzeige angezeigt M gliche L sung Ma nahme Bei Verwendung des erweiterten Windows Desktops wird der Client Security Bildschirmschoner nur auf der lokalen Anz
38. e dr ckt w rden der ffentliche und der private Hardwareschl ssel als Storage Root Key SRK bezeichnet ffentlicher und privater Administratorschl ssel Der ffentliche und der private Administratorschl ssel sind integraler Bestandteil der IBM Schl sselauslagerungshierarchie Sie erm glichen es dass benutzer spezifische Daten bei einem Ausfall der Systemplatine oder des Festplatten laufwerks gesichert und wiederhergestellt werden k nnen Der ffentliche und der private Administratorschl ssel k nnen entweder auf jedem System eindeutig oder f r alle Systeme oder Systemgruppen gleich sein Es ist wichtig zu beachten dass diese Administratorschl ssel verwaltet werden m ssen und dass das Vorhandensein einer Strategie der Verwendung eindeutiger bzw bekannter Schl ssel entscheidend ist ffentliche und private Schl ssel k nnen auf eine der folgenden Arten erstellt wer den Uber den Installationsassistenten von IBM Client Security e Uber das Administratordienstprogramm Mit Hilfe von Scripts ESS Archiv Mit Hilfe von ffentlichen und privaten Administratorschl sseln k nnen benutzer spezifische Daten bei einem Ausfall der Systemplatine oder des Festplattenlauf werks gesichert und wiederhergestellt werden ffentliche und private Benutzerschl ssel Das integrierte IBM Sicherheits Subsystem erstellt ffentliche und private Benutzer schl ssel um die benutzerspezifischen Daten zu sichern Diese Schl ss
39. e Softwareversion von Client Security zu installieren F hren Sie einen der folgenden Schritte aus e Wenn eine ltere Client Security Version als 5 0 installiert ist w hlen Sie Entfernen aus und l schen Sie den Inhalt des Sicherheits Subsystems mit Hilfe des Pro gramms IBM BIOS Setup Utility e Wahlen Sie andernfalls Upgrade aus und fahren Sie mit der Installation fort Unbekanntes Administratorkennwort Installationszugriff wird nicht zugelassen Ma nahme Wenn Sie die Software auf einem IBM Client mit einem aktivierten integrierten IBM Sicherheits Subsystem installieren ist das Administratorkennwort f r das integrierte IBM Sicherheits Subsystem unbekannt L schen Sie den Inhalt des Sicherheits Sub systems um mit der Installation fortzufah ren IBM Client Security Solutions Client Security Version 5 3 Installationshandbuch Fehlerbehebungsinformationen zum Administratordienst programm Die folgenden Informationen zur Fehlerbehebung k nnen hilfreich sein wenn bei der Verwendung des Administratordienstprogramms Fehler auftreten Fehlersymptom M gliche L sung Wenn Sie den UVM Verschl sselungstext in das Administratordienstprogramm ein gegeben und ihn best tigt haben ist die Schaltfl che Weiter nicht mehr verf gbar Ma nahme Wenn Sie neue Benutzer in UVM aufneh men ist die Schaltfl che Weiter m glicher weise nicht mehr verf gbar nachdem Sie Ihren UVM Versc
40. e Fingerabdr cke usw zuge griffen werden kann Targus Software zum Lesen von Fingerabdr cken erneut installieren Wurde die Targus Software zum Lesen von Fingerabdr cken entfernt und anschlie end erneut installiert m ssen die erforderlichen Registrierungseintr ge zum Akti vieren der Unterst tzung f r das Lesen von Fingerabdr cken bei Client Security manuell aktiviert werden Laden Sie die Registrierungsdatei mit den erforderlichen Eintr gen atplugin reg herunter und klicken Sie doppelt darauf um die Regis trierungseintr ge dem Register hinzuzuf gen Klicken Sie bei entsprechender Auf forderung auf Ja um diese Operation zu best tigen Das System muss erneut gestartet werden damit die nderungen von Client Security erkannt werden und die Unterst tzung f r das Lesen von Fingerabdr cken aktiviert wird Anmerkung F r das Hinzuf gen dieser Registrierungseintr ge ist die Administratorberechtigung auf dem System erforderlich Kapitel 5 Fehlerbehebung 37 Administratorverschl sselungstext f r das BIOS IBM Client Security 5 2 und fr here Versionen unterst tzen nicht die auf einigen ThinkPad Systemen verf gbare Funktion f r den Administratorverschl sselungs text f r das BIOS Wenn Sie die Verwendung des Administratorverschl sselungs textes f r das BIOS aktivieren muss jede Aktivierung und Inaktivierung des Sicherheits Subsystems ber das Programm IBM BIOS Setup Utility vorge nommen werden Netsc
41. eginnen lesen Sie Kapitel 3 Vorbereitung der Software Installation auf Seite 13 Bei nicht berwachten Instal lationen werden keine Fehlernachrichten angezeigt Wenn eine nicht berwachte Installation vorzeitig beendet wird f hren Sie eine berwachte Installation aus um alle Fehlernachrichten anzuzeigen Anmerkung Zum Installieren von Client Security m ssen Benutzer mit Adminis tratorbenutzerrechten angemeldet sein Massenimplementierung Mit Hilfe einer Massenimplementierung k nnen Sicherheitsadministratoren gleich zeitig auf mehreren Computern eine Sicherheitspolicy einrichten Auf diese Weise kann die Verwaltung und Implementierung von Sicherheitspolicies vereinfacht werden und die Implementierung der richtigen Sicherheitspolicies kann leichter sichergestellt werden F r die Durchf hrung einer Massenimplementierung m ssen folgende Einheiten treiber installiert sein e SM Buseinheitentreiber Atmel TPM Einheitentreiber f r TCPA Systeme Eine Massenimplementierung umfasst im Wesentlichen zwei Schritte e Masseninstallation Massenkonfiguration Masseninstallation Zur gleichzeitigen Installation von IBM Client Security auf mehreren Clients muss eine nicht berwachte Installation durchgef hrt werden Beim Einleiten einer Massenimplementierung muss der Parameter f r nicht berwachte Installation ver wendet werden Gehen Sie wie folgt vor um eine Masseninstallation einzuleiten 1 Erstellen Sie
42. eige angezeigt obwohl der Zugriff auf das System und die Tastatur gesch tzt wer den Wenn sensible Informationen angezeigt wer den verkleinern Sie die Fenster auf Ihrem erweiterten Desktop auf Symbolgr e bevor Sie den Client Security Bildschirmschoner aufrufen Client Security wird f r einen bei UVM registrierten Benutzer nicht ordnungsge m ausgef hrt Ma nahme Der registrierte Clientbenutzer hat m gli cherweise seinen Windows Benutzernamen ge ndert In diesem Fall geht die gesamte Funktionalit t von Client Security verloren ge ndert wurde Sie m ssen den neuen Benutzernamen erneut bei UVM registrieren und alle neuen Berechtigungsnachweise anfordern Anmerkung Unter Windows XP werden bei UVM registrierte Benutzer die zuvor ihren Windows Benutzernamen ge ndert haben von UVM nicht erkannt Diese Einschr nkung gilt selbst dann wenn der Windows Benutzername vor der Installation von Client Security Fehler beim Lesen verschl sselter E Mails mit Outlook Express Eine verschl sselte E Mail kann nicht ent schl sselt werden da die Verschl sselungs grade der von Sender und Empf nger verwendeten Webbrowser voneinander abweichen Ma nahme Pr fen Sie folgende Sachverhalte auf ihre Richtigkeit 1 Der Verschl sselungsgrad des vom Sen der verwendeten Webbrowsers ist mit dem Verschl sselungsgrad des vom Empf nger verwendeten Webbrowsers kompatibel 2 Der Verschl sselungsgrad de
43. eise bietet IBM die in diesem Dokument beschriebenen Produkte Ser vices oder Funktionen in anderen L ndern nicht an Informationen ber die gegen w rtig im jeweiligen Land verf gbaren Produkte und Services sind beim IBM Ansprechpartner erh ltlich Hinweise auf IBM Lizenzprogramme oder andere IBM Produkte bedeuten nicht dass nur Programme Produkte oder Dienstleistungen von IBM verwendet werden k nnen Anstelle der IBM Produkte Programme oder Dienstleistungen k nnen auch andere ihnen quivalente Produkte Programme oder Dienstleistungen verwendet werden solange diese keine gewerblichen oder anderen Schutzrechte der IBM verletzen Die Verantwortung f r den Betrieb von Fremdprodukten Fremdprogrammen und Fremddienstleistungen liegt beim Kun den F r in diesem Handbuch beschriebene Erzeugnisse und Verfahren kann es IBM Patente oder Patentanmeldungen geben Mit der Auslieferung dieses Handbuchs ist keine Lizenzierung dieser Patente verbunden Lizenzanfragen sind schriftlich an folgende Adresse zu richten Anfragen an diese Adresse m ssen auf Englisch for muliert werden IBM Europe Director of Licensing 92066 Paris La Defense Cedex France Trotz sorgf ltiger Bearbeitung k nnen technische Ungenauigkeiten oder Druckfeh ler in dieser Ver ffentlichung nicht ausgeschlossen werden Die Angaben in diesem Handbuch werden in regelm igen Zeitabst nden aktualisiert Die nderungen werden in berarbeitungen oder in Technical News Let
44. elpaare wer den bei der Registrierung eines Benutzers bei IBM Client Security erstellt Diese Schl ssel werden transparent von der UVM Komponente User Verification Mana ger von IBM Client Security erstellt und verwaltet Die Schl ssel werden basie rend darauf verwaltet welcher Windows Benutzer am Betriebssystem angemeldet ist IBM Schl sselauslagerungshierarchie Ein wesentlicher Bestandteil der Architektur des integrierten IBM Sicherheits Sub systems ist die IBM Schl sselauslagerungshierarchie Die Basis oder Root der IBM Schl sselauslagerungshierarchie sind der ffentliche und der private Hard wareschl ssel Der ffentliche und der private Hardwareschl ssel als Hardware schliisselpaar bezeichnet werden von IBM Client Security erstellt und sind auf jedem Client statistisch eindeutig Die n chste Ebene der Schl sselhierarchie ber der Basis oder Rootebene sind der ffentliche und der private Administratorschl ssel bzw das Administrator schl sselpaar Das Administratorschl sselpaar kann auf jeder Maschine eindeutig sein oder es kann auf allen Clients oder auf einer Untergruppe von Clients das selbe sein Die Verwaltung dieses Schl sselpaares h ngt davon ab wie Sie Ihr Netzwerk verwalten m chten Der private Administratorschl ssel ist insofern ein deutig als er auf dem Clientsystem durch den ffentlichen Hardwareschl ssel gesch tzt an einer vom Administrator definierten Adresse gespeichert ist
45. en Au erdem werden Ihnen Informationen zum Herunterladen von IBM Client Security bereitgestellt Hardwarevoraussetzungen Bevor Sie die Software herunterladen und installieren vergewissern Sie sich dass Ihre Computerhardware mit IBM Client Security kompatibel ist Die neusten Informationen zu den Hard und Softwarevoraussetzungen finden Sie auf der IBM Website unter http www pc ibm com us security index html Integriertes IBM Sicherheits Subsystem Das integrierte IBM Sicherheits Subsystem IBM Embedded Security Subsystem ist ein verschl sselter Mikroprozessor der in der Systemplatine des IBM Clients inte griert ist Diese grundlegende Komponente von IBM Client Security wandelt die Funktionen der Sicherheitspolicy von ungesch tzter Software in sichere Hardware um und tr gt so dazu bei die Sicherheit des lokalen Client wesentlich zu erh hen Nur die IBM Computer und Workstations die das integrierte IBM Sicherheits Sub system enthalten unterst tzen auch IBM Client Security Wenn Sie versuchen die Software herunterzuladen und auf einem Computer zu installieren der ber kein integriertes IBM Sicherheits Subsystem verf gt hat dies zur Folge dass die Soft ware nicht ordnungsgem installiert und demzufolge auch nicht fehlerfrei ausge f hrt wird Unterst tzte IBM Modelle Client Security ist f r eine Vielzahl von IBM Desktopcomputern und Notebooks lizenziert die es auch unterst tzt Eine vollst ndige Liste der u
46. en Sie wie folgt vor um Client Security vollst ndig zu entfernen und eine Neuinstallation durchzuf hren 1 Deinstallieren Sie die vorhandene Version von Client Security Systemsteuerung gt Software F hren Sie einen Neustart des Systems durch L schen Sie den Inhalt des integrierten IBM Security Chip ber das Programm IBM BIOS Setup Utility F hren Sie einen Neustart des Systems durch Installieren Sie Client Security Release 5 1 und konfigurieren Sie die Software mit dem Konfigurationsassistenten von IBM Client Security Upgrade von Version 5 1 auf aktuellere Versionen mit vorhan denen Sicherheitsdaten durchf hren Gehen Sie wie folgt vor um ein Upgrade von Client Security Version 5 1 auf aktu ellere Versionen der Software unter Verwendung der vorhandenen Sicherheitsdaten durchzuf hren 1 Gehen Sie wie folgt vor um Ihr Archiv zu aktualisieren a Cc Klicken Sie auf Start gt Programme gt Access IBM gt IBM Client Security gt Sicherheitseinstellungen ndern Klicken Sie auf die Schaltfl che Schl sselarchiv aktualisieren um Ihre Backup Daten zu aktualisieren Notieren Sie sich das Archivverzeichnis Beenden Sie das Benutzerkonfigurationsprogramm von IBM Client Security 2 Gehen Sie wie folgt vor um die vorhandene Version von Client Security zu ent fernen a b Klicken Sie auf dem Windows Desktop auf Start gt Ausf hren Geben Sie in das Feld Ausf hren d directory c
47. eren Wahlen Sie dieses Feld aus wenn Sie die Integration in Entrust Sicherheits softwareprodukte aktivieren m chten e Microsoft Internet Explorer sch tzen Mit diesem Schutz k nnen Sie Ihre E Mail Kommunikation und die Suche im Web mit Microsoft Internet Explorer erfordert ein digitales Zertifikat sch tzen Standardm ig ist die Unterst tzung f r Microsoft Internet Explo rer aktiviert Nach Auswahl der entsprechenden Markierungsfelder wird das Fenster Benutzer autorisieren angezeigt Geben Sie die erforderlichen Angaben in die Anzeige Benutzer autorisieren ein Verwenden Sie daf r eine der folgenden Prozeduren e Gehen Sie wie folgt vor um Benutzer zum Ausf hren der Funktionen von IBM Client Security zu autorisieren a W hlen Sie im Bereich Nicht autorisierte Benutzer einen Benutzer aus b Klicken Sie auf Benutzer autorisieren c Geben Sie den Verschl sselungstext f r IBM Client Security in die daf r vorgesehenen Felder ein best tigen Sie diese Eingaben und klicken Sie auf Weiter IBM Client Security Solutions Client Security Version 5 3 Installationshandbuch Das Fenster f r das Ablaufen des UVM Verschl sselungstexts wird angezeigt d Legen Sie die Regel f r den Ablauf des Verschl sselungstextes f r den Benutzer fest und klicken Sie auf Fertig stellen e Klicken Sie auf Weiter e Gehen Sie wie folgt vor um die Autorisierung von Benutzern zur Ausf h rung der Funktionen von IBM Cl
48. eren Systemen gibt es f r das Administratorkennwort eine Verz gerung von 77 Minuten nach 10 fehlgeschla genen Versuchen f r Benutzer gibt es nur eine Verz gerung von 1 Minute nach 32 fehlgeschlagenen Versuchen bei allen weiteren 32 fehlgeschlagenen Versuchen ver doppelt sich die Sperrzeit Anhang A Informationen zu Kennw rtern und Verschl sselungstexten 57 Verschl sselungstext zur cksetzen Wenn ein Benutzer seinen Verschl sselungstext vergisst kann der Administrator den Benutzer diesen Verschl sselungstext wiederherstellen lassen Verschl sselungstext ber Remotezugriff zur cksetzen Gehen Sie wie folgt vor um ein Kennwort ber Remotezugriff zur ckzusetzen e Administratoren Ein ferner Administrator muss wie folgt vorgehen 1 Erstellen Sie ein neues Kennwort f r den einmaligen Gebrauch und teilen Sie es dem Benutzer mit 2 Senden Sie dem Benutzer eine Datendatei Die Datendatei kann dem Benutzer per E Mail gesendet werden auf einen austauschbaren Datentr ger wie z B eine Diskette kopiert werden oder direkt in die Archivdatei des Benutzers geschrieben werden vorausgesetzt dass der Benutzer auf dieses System zugreifen kann Diese verschl sselte Datei wird zum Abgleich mit dem neuen Kennwort f r den einmaligen Gebrauch verwendet e Benutzer Der Benutzer muss wie folgt vorgehen 1 Melden Sie sich am Computer an 2 Wenn Sie zum Eingeben des Verschl sselungstextes aufgefordert werden w hlen Sie da
49. erung f r das Konfigurationsdienstprogramm am Bildschirm angezeigt wird dr cken Sie die Taste Fl Das Hauptmen des Konfigurationsdienstprogramms wird ge ffnet W hlen Sie Password aus W hlen Sie Supervisor Password aus Geben Sie Ihr Kennwort ein und dr cken Sie die Eingabetaste Geben Sie Ihr Kennwort erneut ein und dr cken Sie die Eingabetaste Klicken Sie auf Continue GNA Pp amp Dr cken Sie die Taste F10 um die Eingaben zu speichern und das Men zu verlassen Beispiel 2 1 Schalten Sie den Computer aus und starten Sie ihn erneut 2 Wenn die Nachricht To interrupt normal startup press the blue Access IBM button angezeigt wird dr cken Sie die blaue Taste Access IBM Access IBM Predesktop Area wird ge ffnet 3 Klicken Sie doppelt auf Start setup utility gt Navigieren Sie mit Hilfe der Cursortasten im Men und w hlen Sie die Option Security aus Wahlen Sie Password aus W hlen Sie Supervisor Password aus Geben Sie Ihr Kennwort ein und dr cken Sie die Eingabetaste Geben Sie Ihr Kennwort erneut ein und dr cken Sie die Eingabetaste Klicken Sie auf Continue SCO ONO Dr cken Sie die Taste F10 um die Eingaben zu speichern und das Men zu verlassen Wenn Sie ein Administratorkennwort festgelegt haben wird bei jedem Zugriff auf das Programm IBM BIOS Setup Utility eine Eingabeaufforderung angezeigt Wichtig Notieren Sie sich das Administratorkennwort und bewahren Sie es
50. erwendet Zum Aufbauen einer Root of Trust ist das Erstellen eines ffentlichen Hardwareschl ssels und eines privaten Hardwareschl ssels erforderlich Ein ffentlicher und ein privater Schl s sel die als Schl sselpaar bezeichnet werden stehen in folgender mathematischer Beziehung zueinander alle mit dem ffentlichen Schl ssel verschl sselten Daten nur durch den entspre chenden privaten Schl ssel entschl sselt werden k nnen und alle mit dem privaten Schl ssel verschl sselten Daten nur durch den entspre chenden ffentlichen Schl ssel entschl sselt werden k nnen Der private Hardwareschl ssel wird innerhalb der sicheren Hardware des Sicher heits Subsystems erstellt gespeichert und verwendet Der ffentliche Hardware schl ssel steht zu verschiedenen Zwecken zur Verf gung daher die Bezeichnung ffentlicher Schl ssel er wird jedoch nie au erhalb der gesicherten Hardware des Sicherheits Subsystems verwendet Der ffentliche und der private Hardware schl ssel sind ein kritischer Teil der IBM Schl sselauslagerungshierarchie die in einem der folgenden Abschnitte behandelt wird ffentliche und private Hardwareschl ssel k nnen auf eine der folgenden Arten erstellt werden e Uber den Installationsassistenten von IBM Client Security e ber das Administratordienstprogramm Mit Hilfe von Scripts Kapitel 1 Einf hrung 3 In Begriffen und in der Terminologie von TCG Trusted Computing Group ausg
51. festgelegt wurde dass ein Zugriff auf ein Authentifizie rungsobjekt z B durch E Mail Entschl sselung nicht zugelassen wird kann die Nachricht ber den nicht zugelassenen Zugriff in Abh ngigkeit von der jeweils verwendeten Software unterschiedlich ausfallen So weicht z B die Fehlernachricht in Outlook Express die besagt dass ein Zugriff auf ein Authentifizierungsobjekt nicht m glich ist von der Fehlernachricht ab die f r den gleichen Sachverhalt in Netscape angezeigt wird Kapitel 5 Fehlerbehebung 41 Fehlerbehebungstabellen Der folgende Abschnitt enth lt Fehlerbehebungstabellen die sich beim Auftreten von Fehlern in Client Security Fehler als hilfreich erweisen k nnen 42 Fehlerbehebungsinformationen zur Installation Die folgenden Informationen zur Fehlerbehebung k nnen hilfreich sein wenn bei der Installation von Client Security Fehler auftreten Fehlersymptom M gliche L sung W hrend der Softwareinstallation wird eine Fehlernachricht angezeigt Ma nahme W hrend der Softwareinstallation wird eine Nachricht angezeigt in der Sie gefragt wer den ob Sie die ausgew hlte Anwendung und alle zugeh rigen Komponenten entfer nen m chten Bei der Installation wird eine Nachricht angezeigt dass Sie einen Programm Upgrade durchf hren oder dieses Programm entfernen m ssen Klicken Sie auf OK um das Fenster zu schlie en Starten Sie den Installations prozess noch ein Mal um die neu
52. folgender Reihenfolge installieren 1 Installieren Sie Client Security 2 Aktivieren Sie den sicheren UVM Anmeldeschutz mit Hilfe des CSS Administratordienstprogramms 3 Starten Sie den Computer erneut 4 Installieren Sie die Software von XyLoc f r die Unterst tzung von ber hrungs losen Ausweisen Proximity Badges Anmerkung Wenn die Software von XyLoc f r den ber hrungslosen Ausweis zuerst installiert wird wird die Anmeldeschnittstelle f r Client Secu rity nicht angezeigt Wenn dies eintritt m ssen Sie Client Security und XyLoc deinstallieren und anschlie end in der oben genannten Reihenfolge erneut installieren um den sicheren UVM Anmelde schutz wiederherzustellen IBM Client Security Solutions Client Security Version 5 3 Installationshandbuch Unterst tzung von ber hrungslosem Ausweis Proximity Badge und Cisco LEAP Durch das Aktivieren des Zugriffsschutzes mit ber hrungslosem Ausweis Proxi mity Badge und die Unterst tzung von Cisco LEAP k nnen unerwartete Ergeb nisse auftreten Es wird empfohlen diese Komponenten nicht zusammen auf dem selben System zu installieren oder zu verwenden Ensure Technologies Softwareunterst tzung Bei Client Security 5 2 m ssen die Benutzer des ber hrungslosen Ausweises Proxi mity Badge ihre Ensure Software auf Version 7 41 aktualisieren Bei der Aktuali sierung von einer fr heren Version von IBM Client Security sollten Sie Ihre Ensure Software aktualisieren be
53. gezeigt Wenn Sie Nein ausw hlen k nnen Sie diese Daten wiederherstellen wenn Sie die aktuellere Version von IBM Cli ent Security installieren Kapitel 4 Software installieren aktualisieren und deinstallieren 29 11 Klicken Sie nach dem Entfernen der Software auf Fertig stellen Nach dem Deinstallieren von Client Security m ssen Sie den Computer erneut starten Beim Deinstallieren von Client Security werden alle installierten Software komponenten von Client Security mit allen Benutzerschl sseln digitalen Zertifika ten registrierten Fingerabdr cken und gespeicherten Kennw rtern entfernt 30 IBM Client Security Solutions Client Security Version 5 3 Installationshandbuch Kapitel 5 Fehlerbehebung Dieses Kapitel enth lt n tzliche Informationen zum Verhindern oder Erkennen und Beheben m glicher Fehler bei der Verwendung von Client Security Administratorfunktionen Dieser Abschnitt enth lt Informationen die sich f r den Administrator beim Ein richten und Verwenden von Client Security als hilfreich erweisen k nnen IBM Client Security kann nur f r IBM Computer verwendet werden auf denen das integrierte IBM Sicherheits Subsystem IBM Embedded Security Subsystem installiert ist Diese Software besteht aus Anwendungen und Komponenten die IBM Clients die Sicherung ihrer schutzw rdigen Daten ber gesicherte Hardware anstelle von ungesicherter Software erm glichen Benutzer autorisieren Bevor Sie die Clientbe
54. hiermit die Anzahl der privaten Schl sselkomponenten angegeben Anmerkung Enth lt das vorhandene Schl sselpaar mehrere private Schl sselkomponenten m ssen alle privaten Schl ssel komponenten im selben Verzeichnis gespeichert werden Speicherposition des Administratorschl sselpaars wenn newkp 1 Falls es sich um ein Netzlaufwerk handelt muss dieses verbunden sein Position des Benutzerschl sselarchivs Handelt es sich hierbei um ein Netzlaufwerk muss das Lauf werk verbunden sein Position des ffentlichen Administratorschl ssels wenn ein vorhandenes Administratorschl sselpaar verwendet wird Handelt es sich hierbei um ein Netzlaufwerk muss das Lauf werk verbunden sein Position des privaten Administratorschl ssels wenn ein vor handenes Administratorschl sselpaar verwendet wird Handelt es sich hierbei um ein Netzlaufwerk muss das Lauf werk verbunden sein Gibt an ob diese Datei vom Installationsassistent von CSS generiert wurde Dieser Eintrag ist nicht erforderlich Wenn Sie ihn in die Datei aufnehmen sollte der Wert 0 sein 1 ini Datei nach Initialisierung l schen 0 ini Datei nach Initialisierung nicht l schen 1 zur Aktivierung von standortunabh ngigem Zugriff f r den Client 0 zur Inaktivierung von standortunabh ngigem Zugriff f r den Client Kapitel 4 Software installieren aktualisieren und deinstallieren 25 username promptcurrent sysregpwd 12345678 UVMEnrollment enrollall
55. hl sselungstext im Administratordienstprogramm eingegeben und best tigt haben Klicken Sie in der Windows Taskleiste auf den Eintrag Informationen und fahren Sie mit der Prozedur fort Beim ndern des ffentlichen Schl ssels f r Administratoren wird eine Fehler nachricht angezeigt Wenn Sie den Inhalt des integrierten IBM Sicherheits Subsystems l schen und anschlie end das Schl sselarchiv wiederher stellen wird beim ndern des ffentlichen Schl ssels f r Administratoren m glicher weise eine Fehlernachricht angezeigt Ma nahme Nehmen Sie die Benutzer in UVM auf und fordern Sie ggf neue Zertifikate an Beim Versuch einen UVM Verschl sse lungstext wiederherzustellen wird eine Fehlernachricht angezeigt Ma nahme Wenn Sie den ffentlichen Schl ssel f r Administratoren ndern und anschlie end versuchen einen UVM Verschl sselungstext f r einen Benutzer wiederherzustellen wird m glicherweise eine Fehlernachricht ange zeigt F hren Sie einen der folgenden Schritte aus e Wenn kein UVM Verschliisselungstext f r den Benutzer ben tigt wird muss keine Ma nahme durchgef hrt werden e Wenn ein UVM Verschl sselungstext f r den Benutzer ben tigt wird m ssen Sie den Benutzer in UVM aufnehmen und ggf auch neue Zertifikate anfordern Beim Versuch die UVM Policy Datei zu speichern wird eine Fehlernachricht ange zeigt Ma nahme Wenn Sie versuchen eine UVM Policy Da
56. hl sselungstextes anzugeben Abschnitts berschrift f r Installation von UVM sensitiven Anwendungen und Modulen Verwendung von UVM Anmeldeschutz Verwendung der Windows Anmeldung Verwendung von UVM f r Entrust Authentifizierung Verwendung der Entrust Authentifizierung Aktivierung von Lotus Notes Unterst tzung Inaktivierung von Lotus Notes Unterst tzung Signieren und Verschl sseln von E Mails mit dem IBM PKCS 11 Modul 0 kein Signieren und Verschl sseln von E Mails mit dem IBM PKCS 11 Modul 1 Verwendung von Password Manager 0 keine Verwendung von Password Manager 1 Verwendung der Verschl sselung von Dateien und Ordnern 0 keine Verwendung der Verschl sselung von Dateien und Ordnern ororor Kapitel 4 Software installieren aktualisieren und deinstallieren 27 Softwareversion von Client Security aktualisieren 28 Bei Clients auf denen fr here Versionen von Client Security installiert sind sollten Sie die Software auf diese Version aktualisieren um die neuen Client Security Funktionen nutzen zu k nnen Wichtig Bei TCPA Systemen auf denen IBM Client Security Version 4 0x installiert war muss Version 4 0x der Software deinstalliert und der Chip gel scht werden um diese Version von IBM Client Security zu installieren Andernfalls besteht die M glichkeit dass die Installation fehlschl gt oder die Software nicht reagiert Upgrade mit neuen Sicherheitsdaten durchf hren Geh
57. hlen die f r die Sicherheit verwendet werden Anwendungen die das PKCS 11 Modul Public Key Cryptography Standard verwenden wie z B Netscape Messenger k nnen den vom integrierten IBM Sicherheits Subsystem bereitgestellten Schutz in Anspruch nehmen Die M glichkeit digitale Zertifikate zum integrierten IBM Sicherheits Sub system zu bertragen Das Tool zur bertragung von Zertifikaten von IBM Cli ent Security erm glicht das bertragen von Zertifikaten die mit dem Standard Microsoft CSP erstellt wurden zum CSP des integrierten IBM Sicherheits Sub systems Dadurch wird der Schutz den die privaten Schl ssel in Verbindung mit 6 IBM Client Security Solutions Client Security Version 5 3 Installationshandbuch den Zertifikaten bieten bedeutend erh ht da diese nun sicher im integrierten IBM Sicherheits Subsystem gespeichert werden anstatt in anf lliger Software Anmerkung Digitale Zertifikate die durch den CSP des integrierten IBM Sicherheits Subsystems gesch tzt wurden k nnen nicht in einen anderen CSP exportiert werden Funktion zur Schl sselarchivierung und wiederherstellung Eine wichtige PKI Funktion ist das Erstellen eines Schl sselarchivs in dem die Schl ssel wie derhergestellt werden k nnen wenn die Originalschl ssel verloren gegangen sind oder besch digt wurden IBM Client Security stellt eine Schnittstelle zur Verf gung ber die Sie ein Archiv f r Schl ssel und digitale Zertifikate die mit dem
58. icherheits Subsystems verf gbar und wird zum Verschl sseln oder Sichern weite rer Daten wie z B eines privaten Schl ssels verwendet Wenn diese Daten mit dem ffentlichen Hardwareschl ssel verschl sselt sind k nnen sie nur durch den privaten Hardwareschl ssel entschl sselt werden Da der private Hardware schl ssel nur in der sicheren Umgebung des Sicherheits Subsystems verf gbar ist k nnen die Daten nur in dieser sicheren Umgebung entschl sselt und verwendet werden Jeder Computer verf gt ber einen eindeutigen ffentlichen und privaten Hardwareschl ssel Die Zufallszahlfunktion des integrierten IBM Sicherheits Sub systems stellt sicher dass jedes Hardwareschl sselpaar statistisch eindeutig ist PKI Funktionen Public Key Infrastructure Client Security stellt alle erforderlichen Komponenten f r die Erstellung einer PKI von ffentlichen Schl sseln in Ihrem Unternehmen bereit Zu diesen Komponenten geh ren u a Steuerung der Client Sicherheitspolicy ber Administratoren Die Authentifi zierung auf Clientebene ist ein wichtiger Gesichtspunkt der Sicherheitspolicy Client Security stellt die Schnittstelle zur Verf gung die f r die Verwaltung der Sicherheitspolicy eines IBM Clients erforderlich ist Diese Schnittstelle ist Bestandteil der Authentifizierungssoftware von User Verification Manager UVM der Hauptkomponente von Client Security Chiffrierschl sselverwaltung f r die Verschl sselung ffentli
59. ie neuen Ein tr ge im Netzwerk mit standortunabh ngigem Zugriff verf gbar sind Internet Explorer Zertifikat und Verz gerung der Aktualisierung bei standortunabh ngigem Zugriff Internet Explorer Zertifikate werden im Archiv alle 20 Sekunden aktualisiert Wird ein neues Internet Explorer Zertifikat von einem Benutzer mit standortunabh n gigem Zugriff generiert dauert es mindestens 20 Sekunden bis der Benutzer seine CSS Konfiguration auf einem anderen System importieren wiederherstellen oder ndern kann Bei dem Versuch eine dieser Aktionen vor dem Ende des Aktuali sierungsintervalls von 20 Sekunden durchzuf hren geht das Zertifikat verloren Auch wenn der Benutzer keine Verbindung zum Archiv hatte w hrend das Zertifi kat erstellt wurde sollte er 20 Sekunden warten nachdem die Verbindung zum Archiv hergestellt wurde um sicherzustellen dass das Zertifikat im Archiv aktuali siert wurde Lotus Notes Kennwort und standortunabh ngiger Zugriff mit Berechtigungsnachweis Wenn die Lotus Notes Unterst tzung aktiviert ist wird das Lotus Notes Kennwort des Benutzers durch UVM gespeichert Die Benutzer brauchen ihr Notes Kennwort k nftig nicht mehr einzugeben um sich bei Lotus Notes anzumelden Sie werden nach ihrem UVM Verschl sselungstext dem Fingerabdruck der Smartcard usw je nach Einstellungen der Sicherheitsstrategie gefragt um auf Lotus Notes zugreifen zu k nnen Wenn ein Benutzer sein Notes Kennwort von Lotus Notes au
60. ient Policy Schutz Client Security erm glicht es Sicherheitsadmi nistratoren die Client Sicherheitspolicy einzurichten die festlegt wie ein Cli entbenutzer auf dem System authentifiziert wird Wenn die Policy festlegt dass Fingerabdr cke f r die Anmeldung erforderlich sind und der Benutzer keine Fingerabdr cke registriert hat hat er die M g lichkeit Fingerabdr cke bei der Anmeldung zu registrieren Wenn die berpr fung von Fingerabdr cken erforderlich ist und kein Scanner ange schlossen ist meldet UVM einen Fehler Wenn das Windows Kennwort nicht oder nicht richtig in UVM registriert ist hat der Benutzer die M glichkeit das richtige Windows Kennwort als Teil der Anmeldung anzugeben UVM Schutz bei der Anmeldung am System Client Security erm glicht es Administratoren den Zugriff auf Computer ber eine Anmeldeschnittstelle zu steuern Der UVM Schutz stellt sicher dass nur Benutzer die von der Sicher heitspolicy erkannt werden auf das Betriebssystem zugreifen k nnen Beziehung zwischen Kennw rtern und Schl sseln Kennw rter und Schl ssel dienen zusammen mit weiteren optionalen Authentifi zierungsger ten zur Pr fung der Identit t von Systembenutzern Zum Verst ndnis der Funktionsweise von IBM Client Security ist es entscheidend die Beziehung zwischen Kennw rtern und Schl sseln zu verstehen 2 IBM Client Security Solutions Client Security Version 5 3 Installationshandbuch Administratorkennwort
61. ient Security aufzuheben a W hlen Sie im Bereich Autorisierte Benutzer einen Benutzer aus b Klicken Sie auf Benutzerberechtigung widerrufen Die Nachricht mit dem Inhalt Sind Sie sicher dass Sie die Autorisie rung aufheben m chten wird angezeigt c Klicken Sie auf Ja d Klicken Sie auf Weiter Das Fenster Sicherheitsstufe des Systems ausw hlen wird angezeigt 9 W hlen Sie eine Systemsicherheitsstufe aus indem Sie eine der folgenden Aktionen ausf hren e W hlen Sie die gew nschten Authentifizierungsbestimmungen aus indem Sie auf die entsprechenden Markierungsfelder klicken Sie k nnen mehrere Anforderungen f r die Authentifizierung ausw hlen Das Markierungsfeld UVM Verschl sselungstext verwenden ist standardm ig ausgew hlt Die Einheitentreiber f r das Leseger t f r Fingerabdr cke und f r die Smartcard m ssen installiert werden bevor der Installationsassistent f r IBM Client Security gestartet wird damit diese Einheiten f r den Installationsassistenten verf gbar sind e W hlen Sie eine Systemsicherheitsstufe aus indem Sie die Auswahlleiste auf die gew nschte Sicherheitsstufe ziehen und auf Weiter klicken Anmerkung Sie k nnen zu einem sp teren Zeitpunkt eine angepasste Sicherheitsrichtlinie definieren indem Sie den Policy Editor des Administratordienstprogramms verwenden 10 berpr fen Sie die Sicherheitseinstellungen und w hlen Sie einen der folgen den Schritte aus K
62. ient Security sch tzen Wahlen Sie die Anwendungen aus die mit IBM Client Security gegen unzul s sige Zugriffe gesch tzt werden sollen Einige Optionen sind nur verf gbar wenn hierf r erforderliche Anwendungen installiert sind e Benutzer autorisieren Benutzer m ssen bevor Sie auf den Computer zugreifen k nnen f r den Zugriff autorisiert werden Beim Autorisieren eines Benutzers m ssen Sie den Verschl s selungstext des betreffenden Benutzers angeben Nicht autorisierte Benutzer haben keinen Zugriff auf den Computer Sicherheitsstufe des Systems ausw hlen Durch Auswahl einer Systemsicherheitsstufe k nnen Sie auf schnelle und einfa che Weise eine grundlegende Sicherheitspolicy einrichten Sie k nnen zu einem sp teren Zeitpunkt im Administratordienstprogramm von IBM Client Security eine angepasste Sicherheitspolicy definieren 18 IBM Client Security Solutions Client Security Version 5 3 Installationshandbuch Gehen Sie wie folgt vor um den Konfigurationsassistenten f r die Installation von IBM Client Security zu verwenden 1 Falls der Assistent nicht bereits ge ffnet ist klicken Sie auf Start gt Programme gt Access IBM gt IBM Client Security gt Konfigurationsassistent von IBM Client Security Im Fenster Willkommen beim Konfigurationsassistenten von IBM Client Security wird eine bersicht ber die Konfigurationsprozedur angezeigt Anmerkung Falls Sie die Authentifizierung ber Fingerabdruck nutze
63. igurationsdienstprogramm am Bildschirm angezeigt wird dr cken Sie die Taste Fl Das Hauptmen des Konfigurationsdienstprogramms wird ge ffnet 3 W hlen Sie Security aus 4 W hlen Sie IBM TCPA Feature Setup aus 5 W hlen Sie Clear IBM TCPA Security Feature aus und dr cken Sie die Ein gabetaste 6 Klicken Sie auf Yes 7 Dr cken Sie die Taste F10 und w hlen Sie Yes aus 8 Dr cken Sie die Eingabetaste Der Computer wird erneut gestartet Inhalt des integrierten IBM Sicherheits Subsystems l schen ThinkPad Wenn Sie alle Chiffrierschl ssel f r Benutzer aus dem integrierten IBM Sicherheits Subsystem entfernen und das Administratorkennwort l schen m chten m ssen Sie den Inhalt des Sicherheits Subsystems l schen Lesen Sie die folgenden Hinweise bevor Sie den Inhalt des integrierten IBM Sicherheits Subsystems l schen Achtung e Wenn der Inhalt des integrierten IBMcherheits Subsystems gel scht wird gehen alle auf dem Sicherheits Subsystem gespeicherten Chiffrierschl ssel und Zertifi kate verloren Gehen Sie wie folgt vor um den Inhalt des integrierten IBM Sicherheits Subsys tems zu l schen 1 Fahren Sie den Computer herunter 2 Halten Sie die Taste Fn beim Starten des Computers gedr ckt 3 Wenn die Eingabeaufforderung f r das Konfigurationsdienstprogramm am Bildschirm angezeigt wird dr cken Sie die Taste Fl Das Hauptmen des Konfigurationsdienstprogramms wird ge ffnet W hlen Sie Config
64. integrierten IBM Sicherheits Subsystems erstellt wurden einrichten k nnen Au erdem k nnen Sie dar ber bei Bedarf die entsprechenden Schl ssel und Zer tifikate wiederherstellen FFE File and Folder Encryption Verschl sselung von Dateien und Ordnern Die Verschl sselung von Dateien und Ordnern erm glicht es Clientbenutzern Dateien oder Ordner zu verschl sseln oder zu entschl sseln So steht ein h he res Ma an Datensicherheit an erster Stelle der Ma nahmen zur Systemsicherheit von CSS Authentifizierung ber Fingerabdr cke IBM Client Security unterst tzt das Leseger t f r Fingerabdr cke von Targus als PC Karte oder ber USB f r die Authentifizierung Client Security muss installiert sein bevor die Einheiten treiber f r das Targus Leseger t f r Fingerabdr cke installiert werden damit ein ordnungsgem er Betrieb gew hrleistet ist Smartcard Authentifizierung IBM Client Security unterst tzt bestimmte Smart cards als Authentifizierungseinheiten Client Security erm glicht die Verwen dung von Smartcards zur Authentifizierung als Token d h es kann sich jeweils nur ein Benutzer authentifizieren Jede Smartcard ist systemgebunden wenn nicht der standortunabh ngige Zugriff Roaming mit Berechtigungsnachweis verwendet wird Wenn eine Smartcard erforderlich ist sollte die Systemsicher heit erh ht werden da diese Karte mit einem Kennwort geliefert werden muss das m glicherweise ausspioniert werden kann S
65. ist nur f r nicht berwachte Installationen Wenn Sie die Software auf dem ersten IBM Client installiert und ein Schl ssel paar f r Administratoren erstellt haben k nnen Sie mit Hilfe des Installations programms die Software installieren und das Sicherheits Subsystem auf anderen IBM Clients aktivieren W hrend der Installation m ssen Sie eine Speicherposition f r den ffentlichen Schl ssel f r Administratoren den privaten Schl ssel f r Administratoren und das Schl sselarchiv ausw hlen Wenn Sie einen ffentlichen Schl ssel f r Administrato ren verwenden m chten der in einem gemeinsam benutzten Verzeichnis gespei chert ist oder das Schl sselarchiv in einem gemeinsam benutzten Verzeichnis spei chern m chten m ssen Sie erst dem Zielverzeichnis einen Laufwerkbuchstaben zuordnen bevor Sie das Installationsprogramm verwenden k nnen Weitere Infor mationen zum Zuordnen eines Laufwerkbuchstabens zu einer gemeinsam benutz ten Netzwerkressource finden Sie in der Dokumentation zu Ihrem Windows Be triebssystem 22 IBM Client Security Solutions Client Security Version 5 3 Installationshandbuch Nicht berwachte Installation ausf hren Durch eine nicht berwachte Installation kann Client Security von einem Administ rator auf einem fernen IBM Client installiert werden ohne dass der Administrator direkten physischen Zugriff auf den Clientcomputer haben muss Bevor Sie mit einer nicht berwachten Installation b
66. itel 4 Software installieren aktualisieren und deinstallieren enth lt Anwei sungen zum Installieren Aktualisieren und Deinstallieren der Software Kapitel 5 Fehlerbehebung enth lt n tzliche Informationen zur Fehlerbehebung die beim Befolgen der in diesem Handbuch enthaltenen Anweisungen auftreten k nnen Anhang A Informationen zu Kennw rtern und Verschl sselungstexten enth lt Kriterien f r Verschl sselungstexte die auf einen UVM Verschl sselungstext ange wendet werden k nnen und Regeln f r Kennw rter f r Administratorkennw rter Anhang B Bemerkungen und Marken enth lt rechtliche Hinweise und Informa tionen zu Marken Zielgruppe Dieses Handbuch ist f r Netzwerk und Systemadministratoren konzipiert die f r die Personal Computing Sicherheit auf IBM Clients sorgen Vorausgesetzt werden Kenntnisse auf dem Gebiet der Sicherheitskonzepte wie z B in PKI Public Key Infrastructure und in der Verwaltung von digitalen Zertifikaten in einer Netzwerk umgebung Benutzung des Handbuchs Verwenden Sie dieses Handbuch um die Personal Computing Sicherheit auf IBM Clients zu installieren und einzurichten Dieses Handbuch dient als Erg nzung zu folgenden Handb chern Client Security Administratorhandbuch Client Security mit Tivoli Access Manager verwenden und Client Security Benutzerhandbuch Dieses Handbuch und die gesamte weitere Dokumentation zu Client Security kann von der
67. k nnen in den folgenden F llen das Benutzerkonfigurationsprogramm nicht verwenden Client Security ist auf einer Partition im NTFS Format installiert e Der Windows Ordner ist auf einer Partition im NTFS Format installiert Der Archivordner ist auf einer Partition im NTFS Format installiert Einschr nkungen bei Tivoli Access Manager Das Markierungsfeld Keinen Zugriff auf ausgew hltes Objekt zulassen ist nicht inaktiviert wenn die Tivoli Access Manager Steuerung ausgew hlt wurde Wenn Sie im UVM Policy Editor die Option Access Manager steuert ausgew hltes Objekt ausw hlen um ein Authentifizierungsobjekt ber Tivoli Access Manager zu steuern wird das Markierungsfeld Keinen Zugriff auf ausgew hltes Objekt zulassen nicht inaktiviert Auch wenn das Markierungsfeld Keinen Zugriff auf ausgew hltes Objekt zulassen weiterhin aktiviert ist kann es nicht als Ersatz f r die Tivoli Access Manager Steuerung ausgew hlt werden Fehlernachrichten Fehlernachrichten in Zusammenhang mit Client Security werden im Ereignis protokoll erzeugt Client Security verwendet einen Einheitentreiber der Fehlern achrichten im Ereignisprotokoll erzeugen kann Die Fehler die mit diesen Nach richten zusammenh ngen beeintr chtigen die normale Arbeitsweise des Com puters nicht UVM ruft Fehlernachrichten auf die vom zugeh rigen Programm erzeugt wer den wenn der Zugriff auf ein Authentifizierungsobjekt nicht zugelassen wird Wenn eine UVM Policy so
68. l lieren Tivoli Access Manager Version 3 8 oder 3 9 UVM erleichtert und verbessert die Policy Verwaltung durch eine reibungslose Integration in eine zentralisierte Policy basierte Zugriffssteuerungsl sung wie z B Tivoli Access Manager UVM erzwingt eine lokale Policy unabh ngig davon ob es sich bei dem System um ein in ein Netzwerk integriertes System Desktop oder ein Standalone Sys tem handelt und stellt somit ein einziges einheitliches Policy Modell bereit Lotus Notes ab Version 4 5 UVM erh ht zusammen mit IBM Client Security die Sicherheit Ihrer Lotus Notes Anmeldung Lotus Notes ab Version 4 5 Entrust Desktop Solutions 5 1 6 0 oder 6 1 Die Unterst tzung durch Entrust Desktop Solutions verbessert das Leistungs spektrum f r die Internet Sicherheit so dass kritische Unternehmensprozesse ber das Internet abgewickelt werden k nnen Entrust Entelligence stellt einen Single Security Layer zur Verf gung der die gesamten Anforderungen eines Unternehmens hinsichtlich der erweiterten Sicherheitseinrichtungen einschlie lich Identifikation Vertraulichkeit Pr fung und Sicherheitsverwaltung erf llt RSA SecurlD Software Token Mit RSA SecurID Software Token kann der gleiche Datensatz f r den Generie rungswert f r Zufallszahlen der auch in herk mmlichen RSA Hardware Tokens verwendet wird in bereits vorhandene Benutzerplattformen integriert werden Demzufolge haben Benutzer die M glichkeit sich auf gesch
69. leistungen k nnen Mar ken oder Dienstleistungsmarken anderer Unternehmen sein 60 IBM Client Security Solutions Client Security Version 5 3 Installationshandbuch
70. lernachricht angezeigt Ma nahme M glicherweise wird eine Fehlernachricht angezeigt wenn Sie folgende Schritte aus f hren e Uber das Tool zur Lotus Notes Konfigura tion UVM Schutz f r eine Notes ID festle gen e Notes aufrufen und ber die entspre chende Notes Funktion das Kennwort f r die Notes ID Datei ndern e Notes sofort nach dem ndern des Kenn worts schlie en Klicken Sie auf OK um die Fehlernachricht zu schlie en Es m ssen keine weiteren Ma nahmen durchgef hrt werden Entgegen der Fehlernachricht wurde das Kennwort ge ndert Bei dem neuen Kenn wort handelt es sich um ein per Zufalls generator festgelegtes Kennwort das von Client Security erstellt wurde Die Datei mit der Notes ID wird nun mit dem per Zufalls generator festgelegten Kennwort verschl s selt Der Benutzer ben tigt keine Datei mit einer neuen Benutzer ID Wenn der End benutzer das Kennwort erneut ndert wird in UVM ein neues per Zufallsgenerator fest gelegtes Kennwort f r die Notes ID erstellt Fehlerbehebungsinformationen zur Verschl sselung Die folgenden Informationen zur Fehlerbehebung k nnen hilfreich sein wenn beim Verschl sseln von Dateien mit Hilfe von Client Security ab Version 3 0 Fehler auf treten Fehlersymptom M gliche L sung Zuvor verschl sselte Dateien werden nicht entschl sselt Ma nahme Dateien die mit fr heren Versionen von Client Security verschl sse
71. licken Sie auf Fertig stellen um die Einstellungen zu akzeptieren Gehen Sie zum ndern der Einstellungen wie folgt vor Klicken Sie auf Zur ck nehmen Sie gew nschten Anderungen vor und kehren Sie zu die ser Anzeige zur ck Klicken Sie dann auf Fertig stellen Ihre Einstellungen werden ber den integrierten IBM Security Chip in IBM Client Security konfiguriert Es wird eine Nachricht angezeigt die best tigt dass Ihr Computer jetzt durch IBM Client Security gesch tzt ist 11 Klicken Sie auf OK Sie k nnen jetzt IBM Client Security Password Manager und die Dienst programme zur Verschl sselung von Dateien und Ordnern installieren und konfigurieren IBM Sicherheits Subsystem aktivieren Zur Verwendung von IBM Client Security muss das IBM Sicherheits Subsystem aktiviert sein Falls der Chip nicht aktiviert ist k nnen Sie ihn mit Hilfe des Administratordienstprogramms aktivieren Anweisungen zur Verwendung des Konfigurationsassistenten finden Sie im vorhergehenden Abschnitt Kapitel 4 Software installieren aktualisieren und deinstallieren 21 Gehen Sie wie folgt vor um das IBM Sicherheits Subsystem mit dem Adminis tratordienstprogramm zu aktivieren 1 Klicken Sie auf Start gt Einstellungen gt Systemsteuerung gt Integriertes IBM Sicherheits Subsystem Es erscheint eine Anzeige mit der Mitteilung dass das IBM Sicherheits Subsys tem nicht aktiviert ist und der Frage ob es jetzt aktiviert werden soll
72. lient Eine Verschl sselungsanforderung vom Typ RC2 40 RC2 64 oder RC2 128 von einem Netscape Client an einen Outlook Express Client 128 Bit Version wird stets mit dem RC2 40 Algorithmus an den Netscape Client zur ckgesendet Einige Algorithmen stehen im Outlook Express Client 128 Bit Version m gli cherweise nicht zur Verf gung Je nachdem auf welche Weise Ihre Version von Outlook Express 128 Bit Version konfiguriert oder aktualisiert wurde k nnen m glicherweise einige RC2 Algorithmen und andere Algorithmen nicht im Zertifi kat des integrierten IBM Sicherheits Subsystems verwendet werden Unter Micro soft finden Sie aktuelle Informationen zu den Verschl sselungsalgorithmen die in Ihrer Version von Outlook Express verwendet werden UVM Schutz f r eine Lotus Notes Benutzer ID verwenden UVM Schutz ist nicht aktiviert wenn Sie in einer Notes Sitzung zwischen ver schiedenen Benutzer IDs wechseln Sie k nnen einen UVM Schutz nur f r die aktuelle Benutzer ID in einer Notes Sitzung einrichten Gehen Sie wie folgt vor um von einer Benutzer ID f r die UVM Schutz aktiviert wurde zu einer anderen Benutzer ID zu wechseln 1 Beenden Sie Notes 2 Inaktivieren Sie den UVM Schutz f r die aktuelle Benutzer ID 3 ffnen Sie Notes und wechseln Sie zu einer anderen Benutzer ID Weitere Informationen zum Wechseln zwischen verschiedenen Benutzer IDs finden Sie in der Dokumentation zu Lotus Notes Wenn Sie einen UVM Schutz f r
73. lt wurden wer den nach dem Upgrade auf Client Security ab Version 3 0 nicht entschl sselt Dies ist eine bekannte Einschr nkung Sie m ssen alle Dateien entschl sseln die mit Hilfe lterer Versionen von Client Security verschl sselt wurden bevor Sie Client Security ab Version 3 0 installieren Client Security 3 0 kann aufgrund von nderungen bei der Dateiverschl sselungsimplementierung keine Dateien entschl sseln die mit fr heren Ver sionen von Client Security verschl sselt wurden Kapitel 5 Fehlerbehebung 53 54 Fehlerbehebungsinformationen zu UVM sensitiven Einheiten Die folgenden Informationen zur Fehlerbehebung k nnen hilfreich sein wenn bei der Verwendung von UVM sensitiven Einheiten Fehler auftreten Fehlersymptom M gliche L sung Eine UVM sensitive Einheit funktioniert nicht mehr ordnungsgem Eine UVM sensitive Sicherheitskomponente wie z B eine Smartcard ein Smartcard Le seger t oder ein Leseger t f r Fingerabdr cke funktioniert nicht ordnungsgem Ma nahme Stellen Sie fest ob die Komponente vom System ordnungsgem konfiguriert wurde Nach dem Konfigurieren einer Komponente m ssen Sie m glicherweise das System erneut booten damit der Service ordnungs gem gestartet wird Schlagen Sie in den Informationen zur Fehlerbehebung an der Komponente in der Dokumentation zur Komponente nach oder wenden Sie sich an den Hersteller der Kom ponente
74. m com support indem Sie dort in das Such feld BIOS eingeben die entsprechenden Downloads aus der Dropdown Liste aus w hlen und die Eingabetaste dr cken Daraufhin Ihnen wird eine Liste mit allen BIOS Code Aktualisierungen angezeigt Klicken Sie auf die zutreffende Modell nummer und befolgen Sie die auf der Webseite angezeigten Anweisungen Administratorschl sselpaar zur Schl sselarchivierung verwenden Das Archivschl sselpaar ist eine Kopie des Administratorschl sselpaars das Sie zur Wiederherstellung auf einem fernen System speichern Da das Administrator dienstprogramm zur Erstellung des Archivschl sselpaars verwendet wird m ssen Sie IBM Client Security auf einem ersten IBM Client installieren bevor Sie das Administratorschl sselpaar erstellen k nnen Kapitel 3 Vorbereitung der Software Installation 15 16 IBM Client Security Solutions Client Security Version 5 3 Installationshandbuch Kapitel 4 Software installieren aktualisieren und deinstallie ren Dieses Kapitel enth lt Anweisungen zum Herunterladen Installieren und Konfigu rieren von IBM Client Security auf IBM Clients Au erdem enth lt dieses Kapitel Anweisungen zum Deinstallieren der Software Installieren Sie IBM Client Security bevor Sie eines der Dienstprogramme f r Client Security installieren Wichtig Wenn Sie von einer Version von IBM Client Security aufr sten die lter als Version 5 0 ist m ssen Sie alle verschl sselten Dateien entschl
75. ms l schen Achtung e Wenn der Inhalt des integrierten IBMcherheits Subsystems gel scht wird gehen alle auf dem Sicherheits Subsystem gespeicherten Chiffrierschl ssel und Zertifi kate verloren 31 Da auf Ihre Sicherheitseinstellungen ber das Programm Configuration Setup Utility des Computers zugegriffen werden kann legen Sie ein Administrator kennwort fest um zu verhindern dass diese Einstellungen durch nicht autorisierte Benutzer ge ndert werden Gehen Sie wie folgt vor um ein BIOS Administratorkennwort festzulegen 1 Schalten Sie den Computer aus und starten Sie ihn erneut 2 Wenn die Eingabeaufforderung f r das Programm Configuration Setup Uti lity am Bildschirm angezeigt wird dr cken Sie F1 Das Hauptmen des Programms Configuration Setup Utility wird ge ffnet 3 W hlen Sie System Security aus A W hlen Sie Administrator Password aus 5 Geben Sie Ihr Kennwort ein und dr cken Sie den Abw rtspfeil auf der Tasta tur 6 Geben Sie Ihr Kennwort erneut ein und dr cken Sie den Abw rtspfeil 7 W hlen Sie Change Administrator password aus und dr cken Sie die Ein gabetaste Dr cken Sie anschlie end erneut die Eingabetaste 8 Dr cken Sie Esc um die Einstellungen zu speichern und das Men zu verlas sen Wenn Sie ein BIOS Administratorkennwort festgelegt haben wird bei jedem Zugriff auf das Programm Configuration Setup Utility eine Eingabeaufforderung angezeigt Wichtig
76. n F W hlen Sie den Radioknopf Entfernen aus Klicken Sie auf Weiter um die Software zu deinstallieren Klicken Sie auf OK um diese Aktion zu best tigen oo Nog Geben Sie das Administratorkennwort in die vorgesehene Schnittstelle ein und klicken Sie auf OK 10 F hren Sie einen der folgenden Schritte aus e Wenn Sie das PKCS 11 Modul des integrierten IBM Security Chips f r Netscape installiert haben wird eine Nachricht angezeigt die Sie zum Star ten des Inaktivierungsprozesses des PKCS 11 Moduls des integrierten IBM Security Chips auffordert Klicken Sie auf Ja um fortzufahren Daraufhin wird Ihnen eine Reihe von Nachrichten angezeigt Klicken Sie bei jeder einzelnen Nachricht so lange immer wieder auf OK bis das PKCS 11 Modul des integrierten IBM Security Chips entfernt ist e Wenn Sie das PKCS 11 Modul des integrierten IBM Security Chips f r Netscape nicht installiert haben wird eine Nachricht angezeigt in der Sie gefragt werden ob Sie die gemeinsam benutzten DLL Dateien die mit Cli ent Security installiert wurden l schen m chten Klicken Sie auf Ja um diese Dateien zu deinstallieren oder klicken Sie auf Nein wenn die installierten Dateien weiterhin installiert bleiben sollen Wenn Sie die installierten Dateien beibehalten m chten hat dies keinen Ein fluss auf die normale Funktion des Computers Die Nachricht mit dem Inhalt Sollen die Daten zu diesem System aus dem Archiv gel scht werden wird an
77. n Informationen zur Fehlerbehebung k nnen hilfreich sein wenn bei der Anforderung eines digitalen Zertifikats Fehler auftreten Fehlersymptom M gliche L sung W hrend der Anforderung eines digitalen Zertifikats wird das Fenster f r den UVM Verschl sselungstext bzw das Fenster zur Authentifizierung ber Fingerabdr cke mehrmals angezeigt Ma nahme Die UVM Sicherheitspolicy schreibt vor dass ein Benutzer zuerst den UVM Verschl sselungstext eingeben oder die Authentifizierung ber Fingerabdr cke erbringen muss bevor er ein digitales Zerti fikat anfordern kann Versucht der Benutzer ein Zertifikat anzufordern wird das Authentifizierungsfenster in dem der Benut zer den UVM Verschl sselungstext eingeben oder eine Scannerabtastung des Fingerab drucks hinterlassen muss mehrmals ange zeigt Geben Sie in jedes ge ffnete Authentifizierungsfenster den entsprechen den UVM Verschl sselungstext ein bzw hin terlassen Sie die Scannerabtastung Ihres Fingerabdrucks VBScript oder JavaScript Fehlernachricht wird angezeigt Ma nahme Wenn Sie ein digitales Zertifikat anfordern wird m glicherweise eine Fehlernachricht f r VBScript oder JavaScript angezeigt Starten Sie den Computer erneut und for dern Sie das Zertifikat erneut an Fehlerbehebungsinformationen zu Tivoli Access Manager Die folgenden Informationen zur Fehlerbehebung k nnen hilfreich sein wenn bei der Verwendung von Ti
78. n Umgebung des Sicherheits Subsystems verwendet werden Die privaten Schl ssel werden niemals ungesch tzt au erhalb dieser Hardwareumgebung verwendet Der private Administratorschl ssel wird mit dem ffentlichen Hardwareschl ssel verschl sselt Der private Hardwareschl ssel der nur im Sicherheits Subsystem verf gbar ist wird zum Entschl sseln des privaten Administratorschl ssels ver wendet Wenn der private Administratorschl ssel im Sicherheits Subsystem ent schl sselt wird kann ein privater Benutzerschl ssel mit dem ffentlichen Administratorschl ssel verschl sselt in das Sicherheits Subsystem weitergeleitet und mit dem privaten Administratorschl ssel entschl sselt werden Mit dem ffentlichen Administratorschl ssel k nnen mehrere private Benutzerschl ssel ver schl sselt werden Hierdurch kann eine fast unbegrenzte Anzahl an Benutzern auf einem System mit dem IBM ESS arbeiten f r eine optimale Leistung empfiehlt es sich jedoch die Registrierung auf 25 Benutzer pro Computer zu beschr nken Kapitel 1 Einf hrung 5 IBM ESS verwendet eine Schl sselauslagerungshierarchie bei der der ffentliche und der private Hardwareschl ssel im Sicherheits Subsystem zum Sichern weiterer Daten die au erhalb des Chips gespeichert sind verwendet werden k nnen Der private Hardwareschl ssel wird im Sicherheits Subsystem generiert und verl sst nie diese sichere Umgebung Der ffentliche Hardwareschl ssel ist au erhalb des S
79. n wol len m ssen Sie das Leseger t f r Fingerabdr cke und die zuge h rige Software installieren bevor Sie fortfahren Klicken Sie auf Weiter um die Konfigurationsprozedur ber den Assistenten zu beginnen Die Anzeige Sicherheitsadministratorkennwort angeben erscheint Geben Sie in das Feld Geben Sie das Administratorkennwort ein das Kenn wort des Sicherheitsadministrators ein und klicken Sie auf Weiter Anmerkung Bei der Erstinstallation oder nach dem L schen des Inhalts des integrierten IBM Security Chip m ssen Sie das Kennwort des Sicherheitsadministrators im Feld Best tigen Sie das Adminis tratorkennwort best tigen Gegebenenfalls m ssen Sie auch Ihr Administratorkennwort eingeben Die Anzeige Sicherheitsschl ssel f r Administratoren erstellen erscheint F hren Sie einen der folgenden Schritte aus e Neue Sicherheitsschl ssel erstellen Gehen Sie wie folgt vor um neue Sicherheitsschl ssel zu erstellen a Klicken Sie auf den Radioknopf Neue Sicherheitsschl ssel erstellen b Geben Sie die Speicherposition f r die Sicherheitsschl ssel der Adminis tratoren an indem Sie entweder den Pfadnamen in das daf r daf r vor gesehene Feld eingeben oder auf Durchsuchen klicken und den entspre chenden Ordner ausw hlen c Wenn Sie den Sicherheitsschl ssel f r einen erh hten Schutz teilen m chten klicken Sie auf das Markierungsfeld Backup Version des Sicherheitsschl ssels f r erh hte Siche
80. n zu vermeiden wird das Administratorkennwort das im Programm Configuration Setup Utility festgelegt wird in den Handb chern zu Client Security als das BIOS Administratorkennwort bezeichnet BIOS Administratorkennwort BIOS Administratorkennw rter verhindern dass nicht autorisierte Personen die Konfigurationseinstellungen eines IBM Computers ndern Diese Kennw rter wer den ber das Programm Configuration Setup Utility auf einem NetVista oder ThinkCentre Computer oder das Programm IBM BIOS Setup Utility auf einem ThinkPad festgelegt Sie k nnen das jeweilige Programm aufrufen indem Sie beim Computerstart die Taste F1 dr cken Dieses Kennwort wird in den Programmen Configuration Setup Utility und IBM BIOS Setup Utility als Administrator kennwort Administrator Password bezeichnet 13 Erweiterte Sicherheitseinrichtungen Die erweiterten Sicherheitseinrichtungen bieten einen zus tzlichen Schutz f r das BIOS Administratorkennwort und die Einstellungen w hrend des Systemstarts Im Programm Configuration Setup Utility k nnen Sie feststellen ob die erweiterten Sicherheitseinrichtungen aktiviert sind oder nicht Dieses Programm k nnen Sie w hrend des Computerstarts mit F1 aufrufen Weitere Informationen zu Kennw rtern und erweiterten Sicherheitseinrichtungen finden Sie in der Dokumentation zu Ihrem Computer Erweiterte Sicherheitseinrichtungen auf den NetVista Modellen 6059 6569 6579 6649 und auf allen
81. ng IBM Client Security Solutions Client Security Version 5 3 Installationshandbuch Fehlersymptom M gliche L sung Benutzer mit eingeschr nkter Berechtigung k nnen das Benutzerkonfigurations programm unter Windows XP Home nicht ausf hren Ma nahme Benutzer von Windows XP Home mit einge schr nkter Berechtigung k nnen in den fol genden F llen das Benutzerkonfigurationsprogramm nicht ver wenden e Client Security ist auf einer Partition im NTFS Format installiert e Der Windows Ordner ist auf einer Parti tion im NTFS Format installiert e Der Archivordner ist auf einer Partition im NTFS Format installiert Dies ist eine bekannte Einschr nkung von Windows XP Home Zu diesem Fehler gibt es zurzeit keine L sung Fehlerbehebungsinformationen zum ThinkPad Die folgenden Informationen zur Fehlerbehebung k nnen hilfreich sein wenn bei der Verwendung von Client Security auf ThinkPad Computern Fehler auftreten Fehlersymptom M gliche L sung Beim Versuch eine Administratorfunktion von Client Security aufzurufen wird eine Fehlernachricht angezeigt Ma nahme Nach dem Versuch eine Client Security Administratorfunktion auszuf hren wird eine Fehlermeldung angezeigt Ein anderer UVM Sensor f r Fingerabdrii cke arbeitet nicht ordnungsgem Das ThinkPad Administratorkennwort muss inaktiviert sein damit bestimmte Administratorfunktionen von Client Security dur
82. ngen Fehler auftreten Fehlersymptom M gliche L sung Fehler beim Lesen verschl sselter E Mails Ma nahme Eine verschl sselte E Mail kann nicht ent schl sselt werden da die Verschl sselungs grade der von Sender und Empf nger verwendeten Webbrowser voneinander abweichen Pr fen Sie folgende Sachverhalte auf ihre Richtigkeit 1 Der Verschl sselungsgrad des vom Sen der verwendeten Webbrowsers ist mit dem Verschl sselungsgrad des vom Empf nger verwendeten Webbrowsers kompatibel 2 Der Verschl sselungsgrad des Webbrowsers ist mit dem Verschl sselungsgrad kompatibel der von der Firmware von Client Security bereitgestellt wird IBM Client Security Solutions Client Security Version 5 3 Installationshandbuch Fehlersymptom M gliche L sung Beim Versuch eine E Mail digital zu sig nieren wird eine Fehlernachricht angezeigt Ma nahme Wenn das Zertifikat des integrierten IBM Sicherheits Subsystems in Netscape Messen ger nicht ausgew hlt wurde und der Verfas ser einer E Mail versucht die Nachricht mit dem Zertifikat zu signieren wird eine Fehlernachricht angezeigt Im Programm Netscape Messenger k nnen Sie ber die Sicherheitseinstellungen das Zertifikat ausw hlen Wenn Netscape Messenger ge ffnet ist klicken Sie in der Symbolleiste auf das Sicherheitssymbol Das Fenster mit den Sicherheitsinformationen wird ge ffnet Klicken Sie im linken Teil fenster
83. nterst tzten Modelle finden Sie auf der Webseite http www pec ibm com us security index html Softwarevoraussetzungen Bevor Sie die Software herunterladen und installieren vergewissern Sie sich dass Ihre Computersoftware sowie das von Ihnen verwendete Betriebssystem mit IBM Client Security kompatibel sind Betriebssysteme F r die Ausf hrung von IBM Client Security ist eines der folgenden Betriebssys teme erforderlich e Windows XP e Windows 2000 Professional UVM sensitive Produkte IBM Client Security wird mit der Software User Verification Manager UVM geliefert Mit dieser Software k nnen Sie die Authentifizierung f r Ihren Desktop computer anpassen Diese erste Stufe der Policy basierten Steuerung erh ht den Investitionsschutz und die Effizienz der Kennwortverwaltung UVM ist mit den unternehmens ber greifenden Sicherheitspolicy Programmen kompatibel und erm glicht es Ihnen UVM sensitive Produkte zu verwenden Zu diesen Produkten geh ren u a fol gende Biometrische Ger te wie z B Leseger te f r Fingerabdr cke UVM bietet eine Plug and Play Schnittstelle f r biometrische Ger te Sie m ssen IBM Client Security vor der Installation eines UVM Sensors installieren Um einen UVM Sensor zu verwenden der bereits auf einem IBM Client instal liert wurde m ssen Sie zuerst den UVM Sensor wieder deinstallieren anschlie end IBM Client Security installieren und dann den UVM Sensor erneut insta
84. nutzerinformationen sch tzen k nnen muss IBM Client Security auf dem Client installiert werden und die Benutzer m ssen f r diese Soft ware berechtigt werden Ein benutzerfreundlicher Installationsassistent f hrt Sie durch den gesamten Installationsprozess Wichtig Mindestens ein Clientbenutzer muss w hrend der Installation f r die Ver wendung von UVM berechtigt sein Ist bei der Erstinstallation von Client Security kein Benutzer f r die Verwendung von UVM berechtigt werden die Sicherheitsein stellungen nicht bernommen und Ihre Daten werden nicht gesch tzt Wenn Sie den Installationsassistenten abgeschlossen haben ohne Benutzer zu berechtigen f hren Sie einen Neustart Ihres Computers durch f hren Sie dann den Installationsassistenten von Client Security vom Windows Startmen aus und berechtigen Sie einen Windows Benutzer f r die Verwendung von UVM Hier durch bernimmt IBM Client Security Ihre Sicherheitseinstellungen und sch tzt Ihre schutzw rdigen Daten Benutzer l schen Wenn Sie einen Benutzer l schen wird der Benutzername in der Benutzerliste des Administratordienstprogramms gel scht BIOS Administratorkennwort festlegen ThinkCentre Mit den im Programm Configuration Setup Utility verf gbaren Sicherheitsein stellungen k nnen die Administratoren folgende Vorg nge durchf hren Integriertes IBM Sicherheits Subsystem aktivieren oder inaktivieren Inhalt des integrierten IBM Sicherheits Subsyste
85. rd erscheint ein Dialogfenster in dem die PIN Nummer der Smartcard angefordert wird Gibt der Benutzer eine falsche PIN Nummer ein fordert UVM die Smartcard noch einmal an Die Smartcard muss entnommen und erneut einge legt werden bevor die PIN Nummer erneut eingegeben werden kann Die Benut zer m ssen die Smartcard so oft entnehmen und erneut einlegen bis die richtige PIN Nummer f r die Karte eingegeben wurde Pluszeichen wird auf Ordnern nach der Verschl sselung angezeigt Nach der Verschl sselung von Dateien oder Ordnern zeigt der Windows Explorer m glicherweise ein Pluszeichen vor dem Ordnersymbol an Dieses zus tzliche Zeichen wird nicht mehr angezeigt wenn das Explorer Fenster aktualisiert wird Einschr nkungen f r Benutzer mit eingeschr nkter Berechti gung unter Windows XP Benutzer mit eingeschr nkter Berechtigung unter Windows XP k nnen ihren UVM Verschl sselungstext das Windows Kennwort oder ihr Schl sselarchiv nicht mit Hilfe des Benutzerkonfigurationsprogramms aktualisieren 38 IBM Client Security Solutions Client Security Version 5 3 Installationshandbuch Weitere Einschr nkungen Dieser Abschnitt enth lt Informationen zu weiteren bekannten Problemen und Ein schr nkungen von Client Security Client Security unter Windows Betriebssystemen verwenden Alle Windows Betriebssystem weisen die folgende bekannte Einschr nkung auf Wenn ein Clientbenutzer der bei UVM registriert ist seinen Windo
86. rheit teilen so dass ein Haken in dem Feld angezeigt wird Mit Hilfe der Pfeiltasten k nnen Sie anschlie end im Auswahlfeld Anzahl der Teilungen die gew nschte Anzahl ausw hlen Einen vorhandenen Sicherheitsschl ssel verwenden Gehen Sie wie folgt vor um einen vorhandenen Sicherheitsschl ssel zu ver wenden a Klicken Sie auf den Radioknopf Einen vorhandenen Sicherheitsschl s sel verwenden b Geben Sie entweder durch Eingabe des Pfadnamens in das entspre chende Feld oder durch Klicken auf Durchsuchen und Ausw hlen den entsprechenden Ordners die Speicherposition des ffentlichen Schl ssels an c Geben Sie entweder durch Eingabe des Pfadnamens in das entspre chende Feld oder durch Klicken auf Durchsuchen und Ausw hlen den entsprechenden Ordners die Speicherposition des privaten Schl ssels an Kapitel 4 Software installieren aktualisieren und deinstallieren 19 20 Geben Sie die Speicherposition der Backup Version der Sicherheitsdaten an indem Sie entweder den Pfadnamen in das daf r daf r vorgesehene Feld ein geben oder auf Durchsuchen klicken und den entsprechenden Ordner aus w hlen Klicken Sie auf Weiter Die Anzeige Anwendungen mit IBM Client Security sch tzen erscheint Aktivieren Sie den Schutz f r IBM Client Security indem Sie die entsprechen den Markierungsfelder ausw hlen so dass darin ein Haken angezeigt wird und auf Weiter klicken Folgende Auswahlm glichkeiten von Client Sec
87. rierte IBM Sicherheits Subsystem ber das Pro gramm Configuration Setup Utility aktivieren Nachdem Sie das integrierte IBM Sicherheits Subsystem aktiviert haben k nnen Sie im Administratordienstpro gramm die Chiffrierschl ssel erstellen Informationen zur BIOS Aktualisierung Bevor Sie die Software installieren m ssen Sie m glicherweise den neuesten BIOS Code Basic Input Output System f r Ihren Computer herunterladen Um die auf Ihrem Computer verwendete BIOS Stufe festzustellen m ssen Sie den Computer erneut starten und mit F1 das Programm Configuration Setup Utility aufrufen Wenn das Hauptmen des Programms Configuration Setup Utility angezeigt wird w hlen Sie Product Data aus um weitere Informationen zum BIOS Code zu erhalten Die BIOS Codestufe wird auch als EEPROM nderungsstufe bezeich net Um IBM Client Security 2 1 oder h her auf den NetVista Modellen 6059 6569 6579 6649 auszuf hren m ssen Sie die BIOS Stufe xxxx22axx oder h her verwen den Um IBM Client Security 2 1 oder h her auf den NetVista Modellen 6790 6792 6274 2283 auszuf hren m ssen Sie die BIOS Stufe xxxx20axx oder h her verwen den Weitere Informationen hierzu finden Sie in der README Datei die im Soft ware Download enthalten ist 14 IBM Client Security Solutions Client Security Version 5 3 Installationshandbuch Die neusten BIOS Code Aktualisierungen f r Ihren Computer finden Sie auf der IBM Website unter http www pc ib
88. rierten IBM Sicherheits Subsystems sowie zum Erstellen Archivieren und Neu generieren von Chiffrierschl sseln und Verschl sselungstexten verwendet wird Au erdem kann ein Administrator in diesem Dienstprogramm Benutzer in die von Client Security bereitgestellte Sicherheitspolicy aufnehmen Administratorkonsole Die Administratorkonsole von Client Security erm glicht es einem Administrator ein Netzwerk mit standortunabh ngigem Zugriff mit Berechtigungsnachweis zu konfigurieren Dateien zu erstellen und zu konfigurie ren die Implementierung erm glichen und eine Konfiguration und ein Konfigu rations und Wiederherstellungsprofil ohne Administratorberechtigung zu erstel len Benutzerkonfigurationsprogramm Das Benutzerkonfigurationsprogramm erm glicht es Clientbenutzern den UVM Verschl sselungstext zu ndern Windows Anmeldekennw rter f r die Erkennung durch UVM zu aktivieren Schl sselarchive zu aktualisieren sowie Fingerabdr cke zu registrieren Au er dem kann ein Benutzer Sicherungskopien der digitalen Zertifikate erstellen die vom integrierten IBM Sicherheits Subsystem erzeugt wurden User Verification Manager UVM Client Security verwendet UVM um Verschl sselungstexte und andere Elemente zur Authentifizierung von System benutzern zu verwalten So kann z B ein Leseger t f r Fingerabdr cke von UVM f r die Anmeldungsauthentifizierung verwendet werden Client Security unterst tzt die folgenden Funktionen UVM Cl
89. rschltissel IBM Schl sselauslagerungshierarchie PKI Funktionen Public Key Infrastructure ARR AR RWWONNHH Kapitel 2 Erste Schritte Hardwarevoraussetzungen Integriertes IBM Sicherheits Subsystem Unterst tzte IBM Modelle Softwarevoraussetzungen Betriebssysteme UVM sensitive Produkte Webbrowser Software herunterladen m me O O 1 0 0 rsd RR Kapitel 3 Vorbereitung der Software Installation eee ee ee a 18 Software Installation a soe 8 13 Auf Clients mit Windows XP oder Windows 2000 installieren 13 F r die Verwendung iit Tivoli Access Manager installieren 13 Wichtige Hinweise zu den Funktionen bin Systemstart z eae 2 TS Informationen zur BIOS Aktualisierung 14 Administratorschliisselpaar zur Schliisselarchi vierung verwenden 15 Kapitel 4 Software installieren aktuali sieren und deinstallieren 17 Software herunterladen und installieren 17 Konfigurationsassistenten f r die Installation von IBM Client Security verwenden 18 IBM Sicherheits Subsystem aktivieren 21 Software auf anderen IBM Clients installieren wenn der ffentliche Schl ssel f r Administratoren verf g bar ist nur f r nicht berwachte Installationen 22 Nicht berwachte Installation ausf hren 23 Massenimplementierung 23 Masseninstallation 23 Massenkonfiguration 2 25 Softwareversion von Client
90. s ndert wird die Lotus Notes ID Datei mit dem neuen Kennwort aktualisiert und die UVM Kopie des neuen Notes Kennworts wird ebenfalls aktualisiert In einer Umgebung mit standortunabh ngigem Zugriff sind die UVM Berechtigungsnachweise des Benut zers auch in anderen Systemen des Netzwerks mit standortunabh ngigem Zugriff verf gbar auf die der Benutzer zugreifen kann Es ist m glich dass die Kopie des Notes Kennworts von UVM nicht mit dem Notes Kennwort in der ID Datei auf anderen Systemen im Netzwerk mit standortunabh ngigem Zugriff bereinstimmt wenn die Notes ID Datei mit dem aktualisierten Kennwort nicht ebenfalls auf einem anderen System verf gbar ist Wenn dies der Fall ist kann der Benutzer nicht auf Lotus Notes zugreifen Kapitel 5 Fehlerbehebung 35 36 Wenn die Notes ID Datei mit dem aktualisierten Kennwort eines Benutzers nicht auch in einem anderen System verf gbar ist sollte die aktualisierte Notes ID Datei in die anderen Systeme innerhalb des Netzwerks mit standortunabh ngigem Zugriff kopiert werden so dass das Kennwort in der ID Datei mit der durch UVM gespeicherten Kopie bereinstimmt Alternativ k nnen die Benutzer im Startmen auch die Anwendung Sicherheitseinstellungen ndern ausf hren und das Notes Kennwort in den alten Wert ndern Das Notes Kennwort kann dann ber Lotus Notes wieder aktualisiert werden Verf gbarkeit von Berechtigungsnachweisen bei der Anmeldung in einer Umgebung mit standortuna
91. s Webbrowsers ist mit dem Verschl sselungsgrad kompatibel der von der Firmware von Client Security bereitgestellt wird Fehler bei der Verwendung eines Zertifi kats von einer Adresse die ber mehrere ihr zugeordnete Zertifikate verf gt Ma nahme Outlook Express kann mehrere Zertifikate f r eine einzelne E Mail Adresse enthalten wobei einige dieser Zertifikate m glicher weise ung ltig sind Ein Zertifikat kann das Zertifikat im integrierten IBM Sicher heits Subsystem des Sender Computers in dem das Zertifikat erstellt wurde nicht mehr existiert ung ltig sein wenn der private Schl ssel f r Bitten Sie den Empf nger das digitale Zerti fikat erneut zu senden W hlen Sie dieses Zertifikat anschlie end im Adressbuch von Outlook Express aus IBM Client Security Solutions Client Security Version 5 3 Installationshandbuch Fehlersymptom M gliche L sung Beim Versuch eine E Mail digital zu sig nieren wird eine Fehlernachricht angezeigt Ma nahme Wenn der Verfasser einer E Mail versucht seine Nachricht zu signieren obwohl seinem E Mail Account kein Zertifikat zugeordnet ist wird eine entsprechende Fehlernachricht angezeigt In den Sicherheitseinstellungen von Outlook Express k nnen Sie ein Zertifikat angeben das dem Benutzeraccount zugeordnet wer den soll Weitere Informationen hierzu fin den Sie in der Dokumentation zu Outlook Express Outlook Express 128 Bi
92. s Markierungsfeld Verschl sselungstext vergessen aus 3 Geben Sie das Kennwort f r den einmaligen Gebrauch das der ferne Admi nistrator Ihnen mitgeteilt hat ein und geben Sie die Position der vom Admi nistrator gesendeten Datei an Nachdem UVM berpr ft hat ob die Informationen in der Datei mit dem angegebenen Verschl sselungstext bereinstimmen wird dem Benutzer Zugriff gew hrt Der Benutzer wird dann unverz glich aufgefordert den Verschl sselungstext zu ndern Dies ist die empfohlene Vorgehensweise um einen vergessenen Verschl sselungs text wiederherzustellen Verschl sselungstext manuell zur cksetzen Wenn der Administrator direkt auf das System des Benutzers der seinen Verschl sselungstext vergessen hat zugreifen kann kann er sich am System des Benutzers als Administrator anmelden im Administratordienstprogramm den pri vaten Administratorschl ssel angeben und manuell den Verschl sselungstext des Benutzers ndern Der Administrator muss zum ndern des Verschl sselungs textes den alten Verschl sselungstext des Benutzers nicht kennen 58 IBM Client Security Solutions Client Security Version 5 3 Installationshandbuch Anhang B Bemerkungen und Marken Bemerkungen Dieser Anhang enth lt rechtliche Hinweise auf IBM Produkte sowie Informationen zu den Marken Die vorliegenden Informationen wurden f r Produkte und Services entwickelt die auf dem deutschen Markt angeboten werden M glicherw
93. schl sselungshardware ausgestattet die mit f r den Download verf gbaren Softwaretechnologien arbeitet und einen leistungsf higen Schutz f r Client PC Plattformen bietet In der Gesamtheit wird diese Hardware und Software als das integrierte IBM Sicherheits Subsystem oder abgek rzt als ESS Embedded Security Subsystem bezeichnet Bei der Hardwarekomponente handelt es sich um den inte grierten IBM Security Chip bei der Softwarekomponente um IBM Client Security abgek rzt CSS Client Security Software Die Software IBM Client Security ist f r IBM Computer konzipiert die den inte grierten IBM Security Chip zum Verschl sseln von Dateien und zum Speichern von Chiffrierschl sseln verwenden Diese Software umfasst Anwendungen und Komponenten die es IBM Clientsystemen erm glichen die Client Sicherheits funktionen in einem lokalen Netzwerk in einem Unternehmen oder im Internet zu nutzen IBM ESS IBM ESS das integrierte IBM Sicherheits Subsystem unterst tzt Schl sselverwal tungsl sungen wie z B die PKI Infrastruktur und besteht aus den folgenden lokalen Anwendungen Verschl sselung von Dateien und Ordnern FFE File and Folder Encryption Password Manager Gesicherte Windows Anmeldung Mehreren konfigurierbaren Authentifizierungsmethoden wie z B Verschl sselungstext Fingerabdruck Smartcard Ber hrungsloser Ausweis Proximity Card Um die Funktionen von IBM ESS effizient nutzen zu k
94. sec5xxus_ 0yy exe ein Hierbei gibt d directory den Laufwerkbuchstaben und das Verzeichnis an in dem die ausf hrbare Datei gespeichert ist xx und yy bestehen aus alpha numerischen Zeichen W hlen Sie die Option Sicherheit aus F hren Sie einen Neustart des Systems durch IBM Client Security Solutions Client Security Version 5 3 Installationshandbuch Client Security deinstallieren Stellen Sie sicher dass die verschiedenen Dienstprogramme IBM Client Security Password Manager Dienstprogramm zur Verschl sselung von Dateien und Ord nern von IBM Client Security FFE die die Funktionalit t von Client Security ver bessern deinstalliert wurden bevor Sie IBM Client Security deinstallieren Zum Deinstallieren von Client Security m ssen Benutzer mit Administratorbenutzer rechten angemeldet sein Anmerkung Vor dem Deinstallieren von IBM Client Security m ssen Sie alle Dienstprogramme von IBM Client Security und die gesamte UVM Sensorsoftware deinstallieren Das Administratorkennwort ist zum Deinstallieren von Client Security erforderlich Gehen Sie wie folgt vor um Client Security zu deinstallieren 1 Schlie en Sie alle Windows Programme 2 Klicken Sie auf dem Windows Desktop auf Start gt Einstellungen gt System steuerung 3 Klicken Sie auf das Symbol Software W hlen Sie in der Liste der Software die automatisch entfernt werden kann den Eintrag IBM Client Security aus Klicken Sie auf ndern Entferne
95. sieren Wenn Sie das Schl sselarchiv aktualisieren werden Kopien von allen Zertifikaten des integrierten IBM Sicherheits Subsystems erstellt Beim Versuch ein wiederhergestelltes Zer tifikat nach einem Ausfall des Festplatten laufwerks zu verwenden wird eine Fehlernachricht angezeigt Ma nahme Die Zertifikate k nnen ber die Funktion zur Schl sselwiederherstellung im Administratordienstprogramm wiederherge stellt werden Einige Zertifikate wie z B die von VeriSign bereitgestellten kostenfreien Zertifikate k nnen m glicherweise nach einer Schl sselwiederherstellung nicht mehr wiederhergestellt werden Wenn Sie die Schl ssel wiederhergestellt haben k nnen Sie ein neues Zertifikat anfor dern Der Netscape Agent ffnet Netscape und erzeugt einen Netscape Fehler Ma nahme Der Netscape Agent ffnet und schlie t Netscape Schalten die den Netscape Agent aus Netscape wird mit zeitlicher Verz gerung ge ffnet Wenn Sie das PKCS 11 Modul des integrier ten IBM Sicherheits Subsystems hinzuf gen und anschlie end Netscape ffnen kommt es zu einer kurzen zeitlichen Verz gerung bevor Netscape ge ffnet wird Ma nahme Es muss keine Ma nahme durchgef hrt wer den Diese Angaben dienen nur zur allge meinen Information IBM Client Security Solutions Client Security Version 5 3 Installationshandbuch Fehlerbehebungsinformationen zu digitalen Zertifikaten Die folgende
96. sselungs text eingeben wird eine Fehlernachricht angezeigt die besagt dass ein Authentifizierungsfehler aufgetreten ist Wenn Sie auf OK klicken wird Netscape ge ffnet Sie k nnen jedoch das durch das integrierte IBM Sicherheits Subsystem erstellte Zertifikat nicht verwenden Sie m s sen erst Netscape beenden und erneut ff nen und dann den korrekten UVM Verschl sselungstext eingeben Kapitel 5 Fehlerbehebung 49 50 Fehlersymptom M gliche L sung Neue digitale Zertifikate vom selben Sen der werden in Netscape nicht ersetzt Ma nahme Wenn eine digital signierte E Mail vom sel ben Sender mehrmals eingeht wird das erste digitale Zertifikat f r die E Mail nicht berschrieben Zertifikat des integrierten IBM Sicherheits Subsystems kann nicht exportiert werden Wenn Sie mehrere E Mail Zertifikate erhal ten ist nur eines davon das Standard zertifikat Verwenden Sie die Sicherheitseinrichtungen von Netscape um das das erste Zertifikat zu l schen ffnen Sie anschlie end das zweite Zertifikat erneut oder bitten Sie den Sender eine weitere sig nierte E Mail zu senden Ma nahme Das Zertifikat des integrierten IBM Sicher heits Subsystems kann nicht in Netscape exportiert werden Die Exportfunktion von Netscape kann zum Sichern von Zertifikaten verwendet werden Rufen Sie das Administratordienstprogramm oder Benutzerkonfigurationsprogramm auf um das Schl sselarchiv zu aktuali
97. stratordienst programms stellt Sicherheitsadministratoren eine einfache Schnittstelle zur Steue rung des Ablaufs von Verschl sselungstexten bereit ber das Fenster Policy f r UVM Verschliisselungstext kann der Administrator zwischen den folgenden Regeln f r Verschl sselungstexte ausw hlen Verschl sselungstext l uft nach einer bestimmten Anzahl von Tagen ab ja 184 Standardm ig l uft der Verschl sselungstext z B nach 184 Tagen ab Der neue Verschl sselungstext muss mit der festgelegten Richtlinie f r Verschl sselungs texte bereinstimmen Entscheiden ob der Verschl sselungstext ablaufen soll ja Wenn diese Option ausgew hlt ist l uft der Verschl sselungstext nie ab Die Policy f r den Verschl sselungstext wird vom Administratordienstprogramm bei der Registrierung des Benutzers und bei der nderung des Verschl sselungs textes durch den Benutzer ber das Clientdienstprogramm berpr ft Die beiden Benutzereinstellungen zum vorherigen Kennwort werden zur ckgesetzt und Pro tokolle zum Verschl sselungstext werden entfernt Folgende allgemeine Regeln gelten f r UVM Verschl sselungstexte L nge Der Verschl sselungstext kann bis zu 256 Zeichen umfassen 56 IBM Client Security Solutions Client Security Version 5 3 Installationshandbuch Zeichen Der Verschl sselungstext kann sich aus jeder beliebigen Kombination von Zeichen zusammensetzen die auf der Tastatur enthalten sind Dazu geh
98. systems verwenden k nnen Algorithmen werden nicht angezeigt Beim Anzeigen des Moduls in Netscape ist keiner der vom PKCS 11 Modul des integrierten IBM Sicherheits Subsystems unterst tzten Hashverfahren Algorithmen ausgew hlt Folgende Algorithmen wer den zwar vom PKCS 11 Modul des integrierten IBM Sicherheits Subsystems unterst tzt in der Netscape Anzeige jedoch nicht als unterst tzt angegeben e SHA 1 e MD5 Verschl sselungsalgorithmen und Zertifikat des integrierten IBM Sicherheits Subsystems Folgende Informationen helfen Ihnen Fehler zu erkennen die bei Verschl sse lungsalgorithmen die im Zertifikat des integrierten IBM Sicherheits Subsystems verwendet werden k nnen m glicherweise auftreten Aktuelle Informationen zu Verschl sselungsalgorithmen f r die jeweilige E Mail Anwendung erhalten Sie von Microsoft oder Netscape Kapitel 5 Fehlerbehebung 39 Beim Versand von E Mails von einem Outlook Express Client 128 Bit Version an einen anderen Outlook Express Client 128 Bit Version Wenn Sie Outlook Express mit der 128 Bit Version von Internet Explorer 4 0 oder 5 0 zum Senden ver schl sselter E Mails ber Outlook Express 128 Bit Version an andere Clients ver wenden k nnen die E Mails die mit dem Zertifikat des integrierten IBM Sicher heits Subsystems verschl sselt wurden nur den 3DES Algorithmus verwenden Beim Versand von E Mails zwischen einem Outlook Express Client 128 Bit Ver sion und einem Netscape C
99. t 0 Result 6 BootOption 3 24 IBM Client Security Solutions Client Security Version 5 3 Installationshandbuch Massenkonfiguration Die folgende Datei wird zum Einleiten einer Massenkonfiguration ben tigt Der Name der Datei ist beliebig die Datei muss jedoch ber die Erweiterung ini verf gen Nachfolgend ist ein Beispiel f r die Datei aufgef hrt Die seitlich angegebene Beschreibung ist nicht Bestandteil der Datei Mit Hilfe des folgenden Befehls kann die Datei ber die Befehlszeile ausgef hrt werden falls die Massenkonfiguration nicht in Verbindung mit einer Masseninstallation ausgef hrt wird lt CSS_Installationsordner gt acamucli ccf c csec ini Anmerkung Falls Dateien oder Pfade auf einem Netzlaufwerk liegen muss dem Netzlaufwerk ein Laufwerkbuchstabe zugeordnet sein CSSSetup suppw bootup hwpw 11111111 newkp 1 keysplit 1 kpl c jgk kal c jgk archive pub c jk admin key pri c jk privatel key wiz 0 clean 0 enableroaming 1 Abschnitts berschrift fiir CSS Konfiguration BIOS Administratorkennwort Keine Angabe falls nicht erforderlich Administratorkennwort f r das integrierte IBM Sicherheits Subsystem Muss 8 Zeichen lang sein Angabe immer erforder lich Richtige Angabe erforderlich falls Administratorkennwort bereits definiert wurde 1 Generieren eines neuen Administratorschl sselpaars 0 Verwenden eines vorhandenen Administratorschl sselpaars Wenn newkp 1 wird
100. t Version ver schl sselt E Mails nur mit dem 3DES Algo rithmus Ma nahme F r den Versand von verschl sselten E Mails zwischen Clients die Outlook Express mit der 128 Bit Version von Internet Explorer 4 0 bzw 5 0 verwenden kann nur der 3DES Algorithmus eingesetzt werden Unter Microsoft finden Sie aktuelle Informa tionen zu den Verschl sselungsalgorithmen die in Outlook Express verwendet werden Outlook Express Clients geben E Mails mit einem anderen Algorithmus zur ck Ma nahme Eine E Mail die mit den Algorithmen RC2 40 RC2 64 oder RC2 128 verschl s selt wurde wird von einem Netscape Messenger Client an einen Outlook Express Client 128 Bit Version versendet Die vom Outlook Express Client zur ckgesendete E Mail wird mit Hilfe des RC2 40 Algorith mus verschl sselt Es muss keine Ma nahme durchgef hrt wer den Eine Verschl sselungsanforderung vom Typ RC2 40 RC2 64 oder RC2 128 von einem Netscape Client an einen Outlook Express Client 128 Bit Version wird stets mit dem RC2 40 Algorithmus an den Netscape Client zur ckgesendet Unter Microsoft finden Sie aktuelle Informationen zu den Verschl sselungsalgorithmen die in Ihrer Version von Outlook Express verwen det werden Nach dem Ausfall eines Festplatten laufwerks wird bei der Verwendung eines Zertifikats in Outlook Express eine Fehler nachricht angezeigt Ma nahme Die Zertifikate k nnen ber die Funktion zur
101. tandortunabh ngiger Zugriff mit Berechtigungsnachweis Der standort unabh ngige Zugriff mit Berechtigungsnachweis erm glicht es einem f r das Netzwerk autorisierten Benutzer jedes System im Netzwerk genau wie die eigene Workstation zu verwenden Wenn ein Benutzer berechtigt ist UVM auf irgendeinem bei Client Security registrierten Client zu verwenden kann er seine pers nlichen Daten in alle anderen registrierten Clients im Netzwerk f r stand ortunabh ngigen Zugriff mit Berechtigungsnachweis importieren Die pers n lichen Daten werden im CSS Archiv und auf jedem System in das sie importiert wurden automatisch aktualisiert und gewartet Aktualisierungen der pers nli chen Daten wie z B neue Zertifikate oder nderungen am Verschl sse lungstext sind sofort auf allen Systemen verf gbar FIPS 140 1 Zertifizierung Client Security unterst tzt FIPS 140 1 zertifizierte verschl sselte Bibliotheken FIPS zertifizierte RSA BSAFE Bibliotheken werden auf TCPA Systemen verwendet Ablauf des Verschl sselungstexts Client Security legt bei jedem Hinzuf gen eines Benutzers einen benutzerspezifischen Verschl sselungstext und eine Policy f r das Ablaufen des Verschl sselungstexts fest Kapitel 1 Einf hrung 7 8 IBM Client Security Solutions Client Security Version 5 3 Installationshandbuch Kapitel 2 Erste Schritte In diesem Kapitel werden die Hard und Softwarevoraussetzungen zur Verwen dung von IBM Client Security beschrieb
102. tei globalpolicy gvm durch Klicken auf Uber nehmen oder Speichern zu speichern wird eine Fehlernachricht angezeigt Schlie en Sie die Fehlernachricht bearbeiten Sie die UVM Policy Datei erneut um Thre Anderungen vorzunehmen und speichern Sie anschlie end die Datei Beim Versuch den UVM Policy Editor zu ffnen wird eine Fehlernachricht angezeigt Ma nahme Wenn der aktuelle am Betriebssystem ange meldete Benutzer nicht in UVM aufgenom men wurde wird der UVM Policy Editor nicht ge ffnet Nehmen Sie den Benutzer in UVM auf und ffnen Sie den UVM Policy Editor Kapitel 5 Fehlerbehebung 43 44 Fehlersymptom M gliche L sung Bei der Ausf hrung des Administrator dienstprogramms wird eine Fehlernachricht angezeigt Ma nahme Wenn Sie das Administratordienstprogramm ausf hren wird m glicherweise folgende Fehlernachricht angezeigt Beim Versuch auf das integrierte IBM Sicherheits Subsystem zuzugreifen ist ein Puffer E A Fehler aufgetreten Dieser Fehler kann m glicherweise durch einen Warmstart behoben werden Schlie en Sie die Fehlernachricht und star ten Sie den Computer erneut Beim ndern des Administratorkennworts wird eine Nachricht ber die Inaktivierung des Chips angezeigt Ma nahme Wenn Sie versuchen das Administrator kennwort zu ndern und nach der Eingabe des Best tigungskennworts die Eingabetaste oder die Tabulatortaste zusammen mit
103. ters TNLs bekannt gege ben IBM kann jederzeit ohne Vorank ndigung Verbesserungen und oder nde rungen an den in dieser Ver ffentlichung beschriebenen Produkten und oder Pro grammen vornehmen Lizenznehmer des Programms die Informationen zu diesem Produkt w nschen mit der Zielsetzung i den Austausch von Informationen zwischen unabh ngigen erstellten Programmen und anderen Programmen einschlie lich des vorliegenden Programms sowie ii die gemeinsame Nutzung der ausgetauschten Informationen zu erm glichen wenden sich an folgende Adresse IBM Corporation Department 80D P O Box 12195 3039 Cornwallis Research Triangle Park NC 27709 U S A Die Bereitstellung dieser Informationen kann unter Umst nden von bestimmten Bedingungen in einigen F llen auch von der Zahlung einer Geb hr abh ngig sein 59 Die Lieferung des in diesem Handbuch aufgef hrten Lizenzprogramms sowie des zugeh rigen Lizenzmaterials erfolgt im Rahmen der Allgemeinen Gesch ftsbedin gungen der IBM der ICA Lizenzbedingungen IBM Customer Agreement der IPLA Lizenzbedingungen International Program License Agreement oder einer quivalenten Vereinbarung Marken IBM und SecureWay sind in gewissen L ndern Marken der IBM Corporation Tivoli ist in gewissen L ndern eine Marke der Tivoli Systems Inc Microsoft Windows und Windows NT sind in gewissen L ndern Marken der Microsoft Corporation Andere Namen von Unternehmen Produkten und Dienst
104. tet entschl sselt und innerhalb der sicheren Umgebung des Sicherheits Subsystems genutzt Ein Beispiel hierf r ist ein privater Schl ssel der zur Authentifizierung bei einem drahtlosen Netzwerk verwendet wird Wenn ein Schl ssel erforderlich ist wird er in das Sicherheits Subsystem ausgela gert Die verschl sselten privaten Schl ssel werden in das Sicherheits Subsystem ausgelagert und k nnen dann in der gesch tzten Umgebung des Chips verwendet werden Die privaten Schl ssel werden niemals ungesch tzt au erhalb dieser Hardwareumgebung verwendet So kann eine beinahe unbegrenzte Datenmenge durch den integrierten IBM Security Chip gesch tzt werden Die privaten Schl ssel werden verschl sselt weil sie sehr gut gesch tzt werden m ssen und im integrierten IBM Sicherheits Subsystem der Speicherplatz begrenzt ist Es k nnen nur einige Schl ssel gleichzeitig im Sicherheits Subsystem gespei chert werden Der ffentliche und der private Hardwareschl ssel sind die einzigen Schl ssel die bei jedem Booten im Sicherheits Subsystem gespeichert bleiben Damit mehrere Schl ssel und mehrere Benutzer zugelassen werden k nnen imple mentiert IBM Client Security die IBM Schl sselauslagerungshierarchie Wenn ein Schl ssel erforderlich ist wird er in das integrierte IBM Sicherheits Subsystem aus gelagert Die zugeh rigen verschl sselten privaten Schl ssel werden in das Sicher heits Subsystem ausgelagert und k nnen dann in der gesch tzte
105. tion einleiten Das Installationsprogramm installiert IBM Client Security auf dem IBM Client und aktiviert das integrierte IBM Sicherheits Subsystem Die einzelnen Installations schritte k nnen in Abh ngigkeit von verschiedenen Faktoren unterschiedlich aus fallen Auf Clients mit Windows XP oder Windows 2000 installieren Die Benutzer von Windows XP und Windows 2000 m ssen sich f r die Installation von IBM Client Security mit Administratorbenutzerberechtigung anmelden F r die Verwendung mit Tivoli Access Manager installieren Wenn Sie Tivoli Access Manager zur Steuerung der Authentifizierungsbestimmun gen f r Ihren Computer verwenden m chten m ssen Sie vor der Installation von IBM Client Security zuerst bestimmte Komponenten von Tivoli Access Manager installieren Weitere Informationen hierzu finden Sie im Handbuch Client Security mit Tivoli Access Manager verwenden Wichtige Hinweise zu den Funktionen beim Systemstart Es gibt zwei IBM Funktionen beim Systemstart die die Art und Weise in der Sie das integrierte IBM Sicherheits Subsystem IBM Embedded Security Subsystem aktivieren und Chiffrierschl ssel erstellen beeinflussen k nnen Diese Funktionen bestehen aus dem Administratorkennwort und den erweiterten Sicherheitsein richtungen und k nnen ber das Programm Configuration Setup Utility von einem IBM Computer aus verwendet werden IBM Client Security verf gt ber ein eigenes Administratorkennwort Um Verwechslunge
106. urity stehen Ihnen jetzt zur Verf gung e Sicherer Zugriff auf den Computer durch Ersetzen der normalen Win dows Anmeldung durch die gesicherte Client Security Anmeldung W hlen Sie dieses Feld aus um die normale Windows Anmeldung durch die sichere Client Security Anmeldung zu ersetzen Dadurch wird die Systemsicherheit erh ht Bei der Anmeldung ist dann jeweils eine Authenti fizierung mit dem integrierten IBM Sicherheitschip und optionalen Einhei ten wie z B Leseger ten f r Fingerabdr cke oder Smartcards erforderlich e Datei und Ordnerverschl sselung aktivieren W hlen Sie dieses Feld aus wenn Sie Dateien auf Ihrem Festplattenlauf werk mit dem integrierten IBM Security Chip sichern m chten Hierzu muss das Dienstprogramm zur Verschl sselung von Dateien und Ordnern von IBM Client Security heruntergeladen werden Unterst tzung f r IBM Client Security Password Manager aktivieren W hlen Sie dieses Feld aus wenn Sie IBM Passwort Manager verwenden m chten um die Kennw rter f r Ihre Website Anmeldungen und Anwen dungen zweckm ig und sicher zu speichern Hierf r m ssen Sie die Anwendung IBM Client Security Password Manager herunterladen Lotus Notes Anmeldung durch IBM Client Security Anmeldung ersetzen W hlen Sie dieses Feld aus wenn Benutzer von Lotus Notes in Client Secu rity ber den integrierten IBM Security Chip automatisch authentifiziert werden sollen Unterst tzung f r Entrust aktivi
107. voli Access Manager in Verbindung mit Client Security Fehler auftreten Fehlersymptom M gliche L sung Die lokalen Policy Einstellungen stimmen nicht mit denjenigen auf dem Server ber ein Ma nahme Tivoli Access Manager l sst bestimmte Bit Konfigurationen zu die von UVM nicht unterst tzt werden Daher k nnen bei der Konfiguration des PD Servers die von einem Administrator eingegebenen Einstellungen mit den Einstellungen f r die lokalen Policy Bestimmungen berschrieben werden Dies ist eine bekannte Einschr nkung Kapitel 5 Fehlerbehebung 51 Fehlersymptom M gliche L sung Kein Zugriff auf die Konfigurationsein stellungen von Tivoli Access Manager Ma nahme Im Administratordienstprogramm kann auf der Seite zur Policy Installation weder auf die Konfigurationseinstellungen von Tivoli Access Manager noch auf die entsprechen den Einstellungen zur lokalen Cache Ein richtung zugegriffen werden Installieren Sie Tivoli Access Manager Run time Environment Wenn die Laufzeit umgebung Runtime Environment auf dem IBM Client nicht installiert ist sind auf der Seite zur Policy Installation auch keine Ein stellungen f r Tivoli Access Manager verf g bar Benutzersteuerung gilt sowohl f r den Benutzer als auch f r die Gruppe Ma nahme Wenn Sie beim Konfigurieren des Tivoli Access Manager Servers einen Benutzer f r eine Gruppe definieren gilt die Benutzers
108. vor Sie eine Aktualisierung auf Client Security 5 2 durchf hren Schl ssel wiederherstellen Nach der Durchf hrung einer Wiederherstellungsoperation f r die Schl ssel m s sen Sie den Computer erneut starten bevor Sie Client Security weiterhin verwen den k nnen Namen des lokalen Benutzers und des Dom nenbenutzers Wenn die Namen des Dom nenbenutzers und des lokalen Benutzers gleich sind sollten Sie f r beide Accounts dasselbe Windows Kennwort verwenden IBM User Verification Manager speichert nur ein Windows Kennwort pro ID Die Benutzer sollten daher dasselbe Kennwort f r die lokale Anmeldung und f r die Dom nen anmeldung verwenden Wenn dies nicht der Fall ist werden die Benutzer dazu aufgefordert das IBM UVM Windows Kennwort zu aktualisieren wenn sie zwi schen lokaler und Dom nenanmeldung umschalten wenn die Ersetzung der gesi cherten IBM UVM Windows Anmeldung aktiviert ist CSS ist nicht in der Lage getrennte Dom nenbenutzer und lokale Benutzer mit demselben Accountnamen zu registrieren Wenn Sie versuchen lokale Benutzer und Dom nenbenutzer mit der selben ID zu registrieren wird folgende Nachricht angezeigt Die ausgew hlte Benutzer ID wurde bereits konfiguriert Bei CSS ist es nicht m glich allgemeine IDs von Dom nen und von lokalen Benutzern einzeln in einem System zu regist rieren so dass mit der allgemeinen Benutzer ID auf dieselbe Gruppe von Berech tigungsnachweisen wie z B Zertifikate gespeichert
109. wendungen ver wenden 39 Verschl sselungsalgorithmen und Zertifikat d s integrierten IBM Sicherheits Subsystems 39 UVM Schutz f r eine Lotus Notes Benutzer ID verwenden 40 Einschr nkungen f r das Benutzerkonfigurations programm 40 Einschr nkungen bei Tivoli Access Manager 41 Fehlernachrichten 41 Fehlerbehebungstabellen 42 iii iv Fehlerbehebungsinformationen zur Installation Fehlerbehebungsinformationen zum Administratordienstprogramm 2 Fehlerbehebungsinformationen zum Benutz r konfigurationsprogramm Fehlerbehebungsinformationen zum ThinkPad Fehlerbehebungsinformationen zu Microsoft An wendungen und Betriebssystemen Fehlerbehebungsinformationen zu Netscape An wendungen 2 Fehlerbehebungsinformationen zu digitalen Zerti fikaten Fehlerbehebungsinformationen 3 zu Tivoli Access Manager Fehlerbehebungsinformationen zu Lotus Notes Fehlerbehebungsinformationen zur Verschltisse lung ee Be a Fehlerbehebungsinformationen zu UVM sensiti ven Einheiten 42 43 44 45 46 48 OL 51 52 53 54 Anhang A Informationen zu Kennw r tern und Verschl sselungstexten 55 Regeln f r Kennw rter und Verschl sselungstexte 55 Regeln f r Administratorkennw rter 55 Regeln f r UVM Verschl sselungstexte 55 Z hlung fehlgeschlagener Versuche auf TCPA Syste men und anderen Systemen 2 57 Verschl sselungstext zur ckset
110. ws Benutzer namen ndert geht die gesamte Funktionalit t von Client Security verloren Der Benutzer muss sich mit dem neuen Benutzernamen erneut bei UVM registrieren und kann erst anschlie end alle neuen Berechtigungsnachweise anfordern Windows XP Betriebssysteme weisen die folgende bekannte Einschr nkung auf Die Benutzer die bei UVM registriert sind und ihren zuvor verwendeten Win dows Benutzernamen ge ndert haben werden von UVM nicht erkannt UVM ver weist auf den alten Benutzernamen w hrend Windows nur den neuen Benutzer namen erkennt Diese Einschr nkung gilt selbst dann wenn der Windows Benutzername vor der Installation von Client Security ge ndert wurde Client Security mit Netscape Anwendungen verwenden Netscape wird nach der Anzeige eines Berechtigungsfehlers ge ffnet Wenn das Fenster f r UVM Verschl sselungstext ge ffnet wird m ssen Sie den UVM Verschl sselungstext eingeben und auf OK klicken bevor Sie fortfahren k nnen Wenn Sie einen falschen UVM Verschl sselungstext eingeben oder der gescannte Fingerabdruck fehlerhaft ist wird eine Fehlernachricht angezeigt Wenn Sie auf OK klicken wird Netscape zwar ge ffnet Sie k nnen jedoch das durch das inte grierte IBM Sicherheits Subsystem erstellte digitale Zertifikat nicht verwenden Sie m ssen erst Netscape schlie en und erneut ffnen und den korrekten UVM Verschl sselungstext eingeben bevor Sie das Zertifikat des integrierten IBM Sicher heits Sub
111. zen 58 Verschl sselungstext ber Remotezugriff zurick setzen 2 0 58 Verschl sselungstext manuell zrade s 58 Anhang B Bemerkungen und Marken 59 Bemerkungen s e nn nn 59 Marken 2 nn nn 60 IBM Client Security Solutions Client Security Version 5 3 Installationshandbuch Vorwort Dieser Abschnitt enth lt Hinweise zur Verwendung dieses Handbuchs Inhalt dieses Handbuchs Das vorliegende Handbuch enth lt Informationen zum Einsatz von IBM Client Security auf IBM Netzwerkcomputern bzw IBM Clients auf denen das integrierte IBM Sicherheits Subsystem IBM Embedded Security Subsystem installiert ist Au erdem finden Sie in diesem Handbuch Anweisungen zum Aktivieren des inte grierten IBM Sicherheits Subsystems sowie zum Festlegen des Administrator kennworts f r das Sicherheits Subsystem Das Handbuch umfasst folgende Inhalte Kapitel 1 Einf hrung enth lt eine kurze bersicht ber grundlegende Sicherheitskonzepte eine bersicht ber die in der Software enthaltenen Anwen dungen und Komponenten sowie eine Beschreibung der PKI Funkionen Public Key Infrastructure Kapitel 2 Erste Schritte enth lt Voraussetzungen f r die Installation von Computerhardware und software sowie Anweisungen zum Herunterladen der Software Kapitel 3 Vorbereitung der Software Installation enth lt Anweisungen zu Vor aussetzungen f r die Installation von IBM Client Security Kap

Download Pdf Manuals

Related Search

Related Contents

Link-Belt® Idlers - Tri-State Electrical Supply  Manual de instrucciones  Convertastep Operators Manual  取扱説明書 - クリマテック  Philips myLiving Wall light 33200/87/16  ThermoVision® Micron/A10 Camera User's Guide  Expert 52 Manual  STAGE 12P DMX - AV-iQ  Handy Home Products 19515-0 Instructions / Assembly  

Copyright © All rights reserved. Failed to retrieve file