IBM Client Security Solutions: Client Security Version 5.1
Contents
1. 14 Benutzer autorisieren 14 Benutzer entfernen 2 16 Neue Benutzer erstellen 2 16 Kapitel 5 Nach dem Hinzuf gen von Benutzern in UVM 17 UVM Anmeldeschutz fiir das Betricbesystent Se y4 UVM Anmeldeschutz fiir das Betriebssystem konfigurieren x 17 UVM Anmeldeschutz f r das Betriebssystem konfigurieren 18 Fingerabdr cke von Benutzern in UVM Tegistrie ren zos w 18 UVM Schutz f r Lotus Notes verwenden poa o g g UVM Schutz f r eine Lotus Notes Benutzer ID aktivieren und konfigurieren 19 UVM Schutz innerhalb von Lotus Notes verwen den 20 UVM Schutz f r eine Lotus Notes Benutzer ID inaktivieren 21 UVM Schutz f r eine ie gewechselte Lotus Notes Benutzer ID konfigurieren 21 Client Security mit Netscape Anwendungen we zen 21 F r Netscape Anwendungen PKCS 11 Module des integrierten IBM Security Chips installieren 22 PKCS 11 Anmeldeschutz f r ie deed dungen verwenden 22 Integrierten IBM Security Chip zum Genereren eines digitalen Zertifikats f r Netscape Anwen dungen ausw hlen 2 Schl sselarchiv f r Netscape Anwendungen aktualisieren 23 Digitales Zertifikat f r Netscape Anwendungen verwenden ee ee 23 Kapitel 6 Mit der UVM Policy arbeiten 25 Lokale UVM Policy bearbeiten 26 Objektauswahl 2 22 nn nn 26 Authentifizierungselemente2. 4 Klicken Sie auf Autorisieren Die Anzeige Konfiguration der Benutzerauthentifizierung erscheint 5 Geben Sie den UVM Verschl sselungstext f r den neuen Benutzer ein und best tigen Sie diesen Klicken Sie dann auf Weiter Wenn der Verschl sselungstext nicht die Bedingungen der Sicherheits Policy erf llt erscheint eine Anzeige die darauf hinweist dass der eingegebene Verschl sselungstext ung ltig ist Klicken Sie in diesem Fall auf OK und anschlie end auf Bedingungen f r Verschl sselungstext anzeigen um die Parameter anzuzeigen die ein g ltiger Verschl sselungstext erf llen muss Wenn der Verschl sselungstext akzeptiert wird wird eine Nachricht angezeigt die angibt dass die Operation erfolgreich ausgef hrt wurde 6 Klicken Sie auf OK um fortzufahren Die Anzeige Windows Anmeldekennwort erscheint Wenn die gesicherte UVM Anmeldung aktiviert ist muss das aktuelle Windows Kennwort dieses Benutzers gespeichert werden damit sich der Benutzer am System anmelden kann In dieser Anzeige stehen dem Administrator folgende Auswahlm g lichkeiten zur Verf gung Aktuelles Windows Kennwort des Benutzers jetzt speichern Um das aktu elle Windows Kennwort des Benutzers jetzt zu speichern geben Sie das Kennwort des Benutzers in das entsprechende Feld ein und best tigen Sie es Klicken Sie dann auf Weiter Anmerkung Das hier eingegebene Kennwort muss mit dem aktuellen Win dows Kennwort des Benutzers berei
3. 8 Geben Sie in das Feld Datei mit ffentlichem CSS Archivschl ssel den Pfad und den Dateinamen des ffentlichen Schl ssels f r Administratoren ein oder klicken Sie auf Durchsuchen um die Datei zu suchen Geben Sie in das Feld Datei mit privatem CSS Archivschltissel den Pfad und den Dateinamen des privaten Schl ssels f r Administratoren ein oder klicken Sie auf Durchsuchen um die Datei zu suchen Klicken Sie auf Weiter Es erscheint eine Nachricht in der mitgeteilt wird dass der Vorgang erfolgreich abgeschlossen wurde Anmerkung Wenn der private Schl ssel f r Administratoren in mehrere Dateien aufgeteilt wurde werden Sie in einer Nachricht aufgefor dert die Position und den Namen der einzelnen Dateien einzuge ben Klicken Sie nachdem Sie die einzelnen Dateinamen in das Feld Schliisseldatei eingegeben haben auf die Option Weiter lesen Klicken Sie auf OK Klicken Sie auf Fertig stellen Z hler f r fehlgeschlagene Authentifizierungsversuche zur cksetzen Gehen Sie im Administratordienstprogramm wie folgt vor um f r einen Benutzer den Z hler f r fehlgeschlagene Authentifizierungsversuche zur ckzusetzen 1 4 W hlen Sie im Bereich F r die Benutzung von UVM berechtigte Windows Benutzer einen Benutzer aus Klicken Sie auf Z hler f r fehlgeschlagene Versuche zur cksetzen Die Anzeige Z hler f r fehlgeschlagene Versuche f r BENUTZERNAME zur cksetzen erscheint Geben
4. Kapitel 8 Anweisungen f r den Clientbenutzer enth lt Anweisungen zu unter schiedlichen Tasks die der Clientbenutzer mit Client Security ausf hren kann Dazu geh ren Anweisungen zur Verwendung der gesicherten UVM Anmeldung des Client Security Bildschirmschoners der sicheren E Mail bertragung und des Benutzerkonfigurationsprogramms Kapitel 9 Fehlerbehebung enth lt n tzliche Informationen zum Umgehen bekannter Einschr nkungen und Fehler die m glicherweise beim Befolgen der Anweisungen in diesem Handbuch auftreten Anhang A Regeln f r Kennw rter und Verschl sselungstexte enth lt Kriterien f r Kennw rter die auf einen UVM Verschl sselungstext angewendet werden k n nen und Regeln f r Kennw rter f r den IBM Security Chip Anhang B Regeln f r den UVM Schutz f r die Anmeldung am System enth lt Informationen zur Verwendung des UVM Schutzes f r die Anmeldung am Betriebssystem Anhang C Bemerkungen und Marken enth lt rechtliche Hinweise und Informa tionen zu Marken Zielgruppe Dieses Handbuch ist f r Sicherheitsadministratoren bestimmt die folgende Vor gange durchf hren Benutzerauthentifizierung f r den IBM Client konfigurieren e UVM Sicherheits Policy f r IBM Clients konfigurieren und bearbeiten Mit dem Administratordienstprogramm das Sicherheitssubsystem den integrier ten IBM Security Chip und den einzelnen IBM Clients zugeordnete Einstellun g
5. bietet das Administratordienstprogramm dem Administrator die M glichkeit einen vergessenen oder verlorenen Verschl sselungstext wiederherzustellen Gehen Sie im Administratordienstprogramm wie folgt vor um einen Verschl sselungstext wiederherzustellen 1 W hlen Sie im Feld F r die Benutzung von UVM berechtigte Windows Benut zer einen Benutzer aus 2 Klicken Sie auf die Schaltfl che Verschl sselungstext ndern Die Anzeige Verschl sselungstext ndern erscheint 3 Geben Sie in das Feld Archivposition des IBM Sicherheits Subsystems den Pfad und den Verzeichnisnamen des Schl sselarchives ein oder klicken Sie auf Durchsuchen um das Verzeichnis auszuw hlen 4 Geben Sie im Bereich Archivschl ssel des IBM Sicherheits Subsystems in das Feld Datei mit privatem Schl ssel den Pfad und den Verzeichnisnamen des privaten Schl ssels f r Administratoren ein oder klicken Sie auf Durchsuchen um die Datei auszuw hlen 5 Geben Sie im Bereich Archivschl ssel des IBM Sicherheits Subsystems in das Feld Datei mit ffentlichem Schl ssel den Pfad und den Verzeichnisnamen des ffentlichen Schl ssels f r Administratoren ein oder klicken Sie auf Durch suchen um die Datei auszuw hlen IBM Client Security Solutions Client Security Version 5 1 Administratorhandbuch 6 Klicken Sie auf OK In einer Nachricht wird der UVM Verschltisselungstext fiir den Benutzer ange zeigt 7 Klicken Sie auf OK We
6. 3 Wenn ein Benutzeraccount der autorisiert wurde aus dem Windows System gel scht wird listet die Schnittstelle f r gesicherte UVM Anmeldung f lschli cherweise weiterhin den Account als f r die Anmeldung bei Windows geeignet auf Dieser Account kann nicht zur Anmeldung bei Windows verwendet wer den 4 Nachdem ein Benutzer autorisiert wurde d rfen Sie dessen Windows Benutzernamen nicht ndern Andernfalls m ssen Sie den neuen Benutzer namen in UVM erneut autorisieren und alle neuen Berechtigungsnachweise anfordern Benutzer autorisieren Benutzer m ssen sich mit der Administratorberechtigung anmelden wenn sie das Administratordienstprogramm einsetzen m chten Gehen Sie wie folgt vor um Benutzer in UVM zu autorisieren 1 Klicken Sie auf dem Windows Desktop des IBM Clients auf Start gt Einstellun gen gt Systemsteuerung gt Subsystem von IBM Client Security Die Anzeige Administratorkennwort eingeben erscheint 14 IBM Client Security Solutions Client Security Version 5 1 Administratorhandbuch 2 Geben Sie das Administratorkennwort ein und klicken Sie auf OK Das Hauptfenster des Administratordienstprogramms f r das IBM Sicherheits Subsystem wird angezeigt 3 W hlen Sie im Bereich Zu autorisierende Windows Benutzer ausw hlen in der Liste einen Namen aus Anmerkung Die Benutzernamen in der Liste sind durch die Benutzeraccounts definiert die im Betriebssystem oder im Netzwerk erstellt wur den
7. che Anwendungs Policy Die Anzeige Policy Konfiguration von Client Security ndern erscheint 28 IBM Client Security Solutions Client Security Version 5 1 Administratorhandbuch 3 Klicken Sie auf die Schaltflache Policy bearbeiten Die Anzeige Administratorkennwort eingeben erscheint 4 Geben Sie Ihr Administratorkennwort ein und klicken Sie auf OK Die Anzeige IBM UVM Policy erscheint 5 Klicken Sie auf der Registerkarte Objektauswahl auf Aktion oder Objekttyp und w hlen Sie das Objekt aus dem Authentifizierungsbestimmungen zuge ordnet werden sollen Zu den m glichen Aktionen geh ren die Anmeldung am System das Entsper ren des Systems und die E Mail Entschl sselung ein Objekttyp ist z B Digita les Zertifikat anfordern 6 F hren Sie f r jedes Objekt das Sie ausw hlen einen der folgenden Schritte aus Klicken Sie auf die Registerkarte Authentifizierungselemente und bearbei ten Sie die Einstellungen f r die verf gbaren Authentifizierungselemente die Sie dem Objekt zuordnen m chten Zur Steuerung des ausgew hlten Objekts ber Tivoli Access Manager w hlen Sie Access Manager steuert ausgew hltes Objekt aus W hlen Sie diese Option nur aus wenn Sie Tivoli Access Manager zum Steuern der Authentifi zierungselemente f r den IBM Client verwenden m chten Weitere Informati onen hierzu finden Sie im Handbuch Client Security mit Tivoli Access Manager verwenden Wichtig Wenn Sie Ti
8. dat Datei generiert wurde Das System registrierungskennwort sysregpwd wird wie unter dem n chsten Punkt beschrieben behandelt IBM Client Security Solutions Client Security Version 5 1 Administratorhandbuch c Ein tats chlicher Benutzername wie z B joseph Wenn ein solcher desi gnierter Benutzername verwendet wird muss die Datei joseph dat zuvor durch den Roaming Server generiert worden sein Das Systemregistrierungs kennwort sysregpwd wird in diesem Fall wie unter dem n chsten Punkt beschrieben behandelt 4 Wenn die Option 2 oder 3 verwendet wird muss ein weiterer Eintrag sysregpwd SYSREGPW hinzugef gt werden Hierbei handelt es sich um das 8 stellige Kennwort f r den derzeitigen Benutzer wenn Option 2 implementiert wird oder f r den designierten Benutzer wenn Option 3 implementiert wird 5 Um die Clientregistrierung abzuschlie en verbinden Sie das System ber den Roaming Server mit der Archivpositionskonfiguration Diese Archivposition wird in der Datei CSEC INI benannt Beispiele f r die Datei CSEC INI In den folgenden Beispielen werden eine CSEC INI Datei und deren Ver nderung je nachdem welche Option f r standortunabh ngigen Berechtigungsnachweis aus gew hlt wird gezeigt Es gibt folgende Optionen Keine Werte f r standortunabh ngigen Zugriff Diese Basisdatei ist nicht f r standortunabh ngigen Zugriff mit Berechtigungsnachweis aktiviert Option 1 f r standortunabh ngigen Zug
9. die mit Netscape Express erstellt wurden 12 IBM Client Security Solutions Client Security Version 5 1 Administratorhandbuch Kapitel 4 Benutzer autorisieren Folgende Informationen sind hilfreich bei der Autorisierung von Windows Benut zern f r die Verwendung von User Verification Manager UVM Authentifizierung f r Clientbenutzer Die Authentifizierung von Endbenutzern auf Clientebene ist ein wichtiger Aspekt der Computersicherheit Client Security bietet die erforderliche Schnittstelle zur Verwaltung der Sicherheits Policy eines IBM Clients Diese Schnittstelle ist Teil der Authentifizierungssoftware UVM User Verification Manager der Hauptkompo nente von Client Security Die UVM Sicherheits Policy f r einen IBM Client k nnen Sie auf eine der zwei fol genden Arten verwalten Lokal mit einem Policy Editor der sich auf dem IBM Client befindet Unternehmensweite Verwaltung ber Tivoli Access Manager Chiffrierschl ssel der Hardwareverschl sselung werden erzeugt wenn Sie den ers ten Benutzer hinzuf gen Authentifizierungselemente Authentifizierungselemente z B UVM Verschliisselungstexte oder Fingerabdr cke von Benutzern werden verwendet um Benutzer mit dem IBM Client zu autorisie ren Wenn Sie einen Benutzer f r die Verwendung von UVM autorisieren ordnen Sie dem Clientbenutzer einen UVM Verschl sselungstext zu Der UVM Verschl s selungstext kann bis zu 256 Zeichen lang sein und ist das wichtigste
10. programm bereitgestellt Wenn Sie Anderungen an der UVM Policy speichern werden Sie in einer Nach richt zur Eingabe des privaten Schliissels fiir Administratoren aufgefordert Geben Sie den privaten Schliissel fiir Administratoren ein und klicken Sie auf OK um die nderungen zu speichern Wenn Sie einen falschen privaten Schl ssel f r Administratoren eingeben werden die Anderungen nicht gespeichert Die Authentifizierung richtet sich nach Ihrer Auswahl im Policy Editor Wenn Sie z B die Option Nach erstem Gebrauch auf diese Weise ist kein Verschl sselungs text erforderlich f r die Lotus Notes Anmeldung ausw hlen werden Sie bei jeder Anmeldung bei Lotus Notes zur UVM Authentifizierung aufgefordert Solange Sie danach den Computer nicht warmstarten oder sich vom Computer abmelden m ssen Sie anschlie end zum erneuten Zugriff auf Lotus Notes keinen Verschl sselungstext eingeben Wenn Sie in der UVM Policy festlegen dass f r ein Authentifizierungsobjekt z B f r eine Anmeldung am Betriebssystem Fingerabdr cke erforderlich sind muss jeder Benutzer der in UVM aufgenommen wird sich mit einem Fingerab druck registrieren um dieses Objekt verwenden zu k nnen Beim Bearbeiten einer UVM Policy k nnen Sie die Zusammenfassungs informationen der Policy anzeigen indem Sie auf die Option Zusammenfassung f r Policy klicken Dar ber hinaus k nnen Sie mit bernehmen Ihre nderungen speichern Wenn Sie auf bernehmen
11. 128 Bit wird an den Netscape Client immer mit dem RC2 40 Algorithmus zur ckgesendet Aktuelle Informationen zu den Verschl sselungsalgorithmen die mit den verschiedenen Versionen von Outlook Express verwendet werden erhalten Sie von Microsoft IBM Client Security Solutions Client Security Version 5 1 Administratorhandbuch Fehlersymptom M gliche L sung Ein digitales Zertifikat das vom integrier ten IBM Security Chip generiert wurde kann nicht verwendet werden Ma nahme Das vom integrierten IBM Security Chip generierte digitale Zertifikat ist nicht verf g bar berpr fen Sie ob Sie beim ffnen von Netscape den richtigen UVM Verschl sselungstext eingegeben haben Wenn Sie den falschen UVM Verschl sselungstext eingeben wird eine Fehlernachricht ber einen Authentifizierungsfehler angezeigt Wenn Sie auf OK klicken wird Netscape ge ffnet Sie k nnen aber das vom integrierten IBM Security Chip generierte Zertifikat nicht ver wenden Sie m ssen Netscape verlassen und erneut ffnen und anschlie end den richti gen UVM Verschl sselungstext eingeben Neue digitale Zertifikate vom selben Sen der werden innerhalb von Netscape nicht ausgetauscht Ma nahme Wenn eine digital signierte E Mail vom sel ben Sender mehrmals empfangen wird wird das erste digitale Zertifikat das der E Mail zugeordnet ist nicht berschrieben Wenn Sie mehrere E Mail Zertifikate emp fangen ist da
12. Andernfalls wird der Inhalt der Festplatte unbrauchbar und Sie m ssen die Festplatte neu formatieren und die gesamte Software neu installieren Um den UVM Schutz zu inaktivieren ffnen Sie das Administratordienst programm klicken Sie auf Anwendungsunterst tzung und Policies konfigu rieren und inaktivieren Sie das Markierungsfeld Die Windows Standardan meldung durch eine gesicherte UVM Anmeldung ersetzen Sie m ssen den Computer erneut starten damit der UVM Schutz inaktiviert wird e L schen oder inaktivieren Sie den integrierten IBM Security Chip nicht bei akti viertem UVM Schutz Andernfalls haben Sie keinen Zugriff mehr auf das Sys tem Wenn Sie den Inhalt des integrierten IBM Security Chips l schen gehen alle Chiffrierschl ssel und Zertifikate verloren die auf dem Chip gespeichert sind Da auf Ihre Sicherheitseinstellungen ber das Programm Configuration Setup Uti lity des Computers zugegriffen werden kann legen Sie ein Administratorkenn wort fest um zu verhindern dass diese Einstellungen durch nicht autorisierte Benutzer ge ndert werden Gehen Sie wie folgt vor um ein Administratorkennwort festzulegen 1 Fahren Sie das System herunter und starten Sie es erneut 2 Dr cken Sie w hrend der Eingabeaufforderung des Programms Configuration Setup Utility die Taste F1 Das Hauptmen des Programms Configuration Setup Utility wird ge ffnet 3 Wahlen Sie die Option System Security aus gt W
13. Benutzer in der Liste einen Benutzernamen aus Klicken Sie auf Benutzer bearbeiten Das Fenster Schl sselkonfiguration von Client Security ndern UVM Benutzerattribute bearbeiten wird angezeigt W hlen Sie das Markierungsfeld Bei UVM sensitiver Einheit registrieren aus und klicken Sie auf Weiter Das Fenster Schl sselkonfiguration von Client Security ndern UVM gesi cherte Einheiten wird angezeigt Klicken Sie auf Fingerabdruck des Benutzers registrieren Klicken Sie im Bereich f r die Hand auf Links oder Rechts Klicken Sie auf den Bereich zur Fingerauswahl um den zu scannenden Finger auszuw hlen und klicken Sie auf Registrierung starten Legen Sie den Finger auf den UVM Sensor f r Fingerabdr cke und befolgen Sie die angezeigten Anweisungen Je nach Scanner m ssen Sie m glicherweise den Fingerabdruck viermal scan nen Klicken Sie auf Brechen Sie den Vorgang f r diesen Finger ab wenn Sie die Scannerabtastung des Fingerabdrucks abbrechen m chten Geben Sie einen anderen zu registrierenden Finger an oder klicken Sie auf Ver lassen um das Programm zu beenden 18 IBM Client Security Solutions Client Security Version 5 1 Administratorhandbuch UVM Schutz fur Lotus Notes verwenden UVM bietet erweiterte Sicherheitseinrichtungen fiir Lotus Notes Benutzer UVM Schutz fur eine Lotus Notes Benutzer ID aktivieren und konfigurieren Bevor Sie den UVM Schutz fiir Lotus Notes aktivieren k nnen muss No
14. Die Verschl sselung und Speicherung von Schl sseln auf dem integrierten IBM Security Chip erweitert die Clientsicherheit um eine wesentliche zus tzliche Ebene da die Schl ssel sicher an die Computer hardware gebunden sind Erstellung und Speicherung digitaler Signaturen die durch den integrierten IBM Security Chip gesch tzt sind Wenn Sie ein digitales Zertifikat anfordern das f r die digitale Signatur und f r die Verschl sselung einer E Mail verwend bar ist k nnen Sie mit Client Security den integrierten IBM Security Chip zur Bereitstellung der Verschl sselung f r Anwendungen einsetzen die mit der Mic rosoft CryptoAPI funktionieren Zu diesen Anwendungen geh ren Internet Explorer und Microsoft Outlook Express Dadurch ist sichergestellt dass der pri vate Schl ssel des digitalen Zertifikats auf dem integrierten IBM Security Chip gespeichert wird Dar ber hinaus k nnen Netscape Benutzer integrierte IBM Security Chips zum Generieren von privaten Schl sseln f r die zum Erh hen der Systemsicherheit verwendeten digitalen Zertifikate ausw hlen Anwendun gen nach dem Standard PKCS 11 Public Key Cryptography Standard Nr 11 wie z B Netscape Messenger k nnen sich ber den integrierten IBM Security Chip sch tzen Digitale Zertifikate auf den integrierten IBM Security Chip bertragen Mit dem Tool zur bertragung von Zertifikaten von Client Security k nnen Sie Zer tifikate die mit dem Standard Microsoft CSP erst
15. Element f r die UVM Authentifizierung Wenn Sie einen UVM Verschl sselungstext zuordnen werden f r diesen Clientbenutzer Chiffrierschl ssel erstellt und in einer Datei gespeichert die vom integrierten IBM Security Chip verwaltet wird Wenn der IBM Client eine UVM sensitive Einheit zur Authentifizierung verwendet z B Fingerab dr cke von Benutzern muss das Authentifizierungselement auch in UVM regist riert sein Bei der Benutzerauthentifizierung k nnen Sie die folgenden Sicherheitsein richtungen von Client Security ausw hlen UVM Schutz f r die Anmeldung am Betriebssystem Der UVM Schutz stellt sicher dass nur Benutzer die von UVM erkannt werden auf den Computer zugreifen k nnen Lesen Sie die wichtigen Informationen im Abschnitt uvm Anmeldeschutz f r das Betriebssystem konfigurieren bevor Sie den UVM Schutz f r die Anmeldung am System aktivieren Client Security Bildschirmschoner Nachdem Sie einen Clientbenutzer hinzuge f gt haben kann dieser Benutzer den Client Security Bildschirmschoner konfigu rieren und verwenden Der Client Security Bildschirmschoner wird mit der Anzeigeoption des Betriebssystems konfiguriert 13 Vor dem Autorisieren von Benutzern Wichtig Autorisieren Sie nur Benutzeraccounts mit denen eine Anmeldung am Betriebssystem m glich ist Wenn ein Benutzeraccount autorisiert wird der nicht zur Anmeldung am Betriebssystem verwendet werden kann werden bei aktivierter gesichert
16. Fingerab dr cke scannen oder beides damit Sie die Authentifizierungsbestimmungen erf l len Die Authentifizierungsbestimmungen sind in der UVM Policy f r den Compu ter definiert Integrierten IBM Security Chip zum Generieren eines digitalen Zertifikats f r Netscape Anwendungen ausw hlen Bei der Erstellung des digitalen Zertifikats werden Sie aufgefordert die Karte oder die Datenbank auszuw hlen in der Sie den Schl ssel generieren m chten W hlen Sie Integriertes IBM Sicherheits Subsystem aus Weitere Informationen zum Generieren von digitalen Zertifikaten und zu deren Verwendung mit Netscape finden Sie in der Dokumentation zu Netscape 22 IBM Client Security Solutions Client Security Version 5 1 Administratorhandbuch Schlusselarchiv fur Netscape Anwendungen aktualisieren Sichern Sie das digitale Zertifikat nach seiner Erstellung indem Sie das Schl ssel archiv aktualisieren Das Schl sselarchiv k nnen Sie mit dem Benutzerkonfigu rationsprogramm aktualisieren Digitales Zertifikat f r Netscape Anwendungen verwenden Verwenden Sie zur Anzeige zur Auswahl und zur Verwendung digitaler Zertifi kate die Sicherheitseinstellungen in den Netscape Anwendungen Sie m ssen z B in den Sicherheitseinstellungen f r Netscape Messenger das Zertifikat ausw hlen bevor Sie es f r digitale Signaturen oder f r die Verschl sselung von E Mails ver wenden k nnen Weitere Informationen hierzu finden Sie in der Dokumentation zu Ne
17. Notes Kennwort zu ndern wird eine Fehlernachricht ange zeigt Ma nahme Wenn Sie das Notes Kennwort bei Verwen dung von Client Security ndern wird dies in einer Fehlernachricht angezeigt Wiederholen Sie die Kennwort nderung Wurde der Fehler dadurch nicht behoben starten Sie den Client neu Nach dem Festlegen eines Kennworts per Zufallsgenerator wird eine Fehlernachricht angezeigt Ma nahme Wenn Sie folgende Vorg nge ausf hren wird m glicherweise eine Fehlernachricht angezeigt e Verwenden des Tools zur Lotus Notes Konfiguration zur Einstellung des UVM Schutzes f r eine Notes ID e ffnen von Notes und Verwenden der Notes Funktion zur Kennwort nderung f r die Datei mit der Notes ID e Schlie en von Notes sofort nach der Kennwort nderung Klicken Sie auf OK um die Fehlernachricht zu schlie en Es ist keine weitere Ma nahme erforderlich Entgegen der Fehlernachricht wurde das Kennwort ge ndert Das neue Kennwort wurde von Client Security per Zufalls generator festgelegt Die Datei mit der Notes ID wird nun mit dem per Zufalls generator festgelegten Kennwort verschl s selt und der Benutzer ben tigt keine neue Benutzer ID Datei Wenn der Endbenutzer das Kennwort erneut ndert generiert UVM ein neues per Zufallsgenerator festgelegtes Kennwort f r die Notes ID IBM Client Security Solutions Client Security Version 5 1 Administratorhandbuch Fehlerbehebungsinformation
18. Sicherheitseinstellungen in Outlook Express um ein Zertifikat anzu geben das dem Benutzeraccount zugeordnet werden soll Weitere Informationen hierzu finden Sie in der Dokumentation zu Outlook Express Outlook Express 128 Bit verschl sselt E Mails nur mit dem 3DES Algorithmus Ma nahme Beim Senden verschl sselter E Mails zwi schen Clients die Outlook Express mit der 128 Bit Version von Internet Explorer 4 0 oder 5 0 verwenden kann nur der 3DES Algorithmus verwendet werden Wenn Sie Browser mit 128 Bit Verschl sse lung mit Client Security verwenden m ch ten muss der integrierte IBM Security Chip 256 Bit Verschl sselung unterst tzen Wenn der integrierte IBM Security Chip 56 Bit Ver schl sselung unterst tzt m ssen Sie einen 40 Bit Webbrowser verwenden Der Verschl sselungsgrad von Client Security ist im Administratordienstprogramm angege ben Aktuelle Informationen zu den Verschl sselungsalgorithmen die mit Out look Express verwendet werden erhalten Sie bei Microsoft Outlook Express Clients senden E Mails mit einem anderen Algorithmus zur ck Ma nahme Eine mit dem RC2 40 RC2 64 oder RC2 128 Algorithmus verschl sselte E Mail wird von einem Client mit Netscape Messenger an einen Client mit Outlook Express 128 Bit gesendet Eine vom Out look Express Client zur ckgesendete E Mail wird mit dem Algorithmus RC2 40 ver schl sselt Es ist keine Ma nahme erforderlich Ein
19. Sie f r den ausgew hlten Benutzer den UVM Verschl sselungstext ein und klicken Sie auf OK In einer Nachricht wird Ihnen mitgeteilt dass der Vorgang erfolgreich ausge f hrt wurde Klicken Sie auf OK Tivoli Access Manager Einstellungsinformationen ndern Die folgenden Informationen sind f r Sicherheitsadministratoren vorgesehen die Tivoli Access Manager zur Verwaltung von Authentifizierungsobjekten f r die UVM Sicherheits Policy verwenden m chten Weitere Informationen hierzu finden Sie im Handbuch Client Security mit Tivoli Access Manager verwenden Auf die Tivoli Access Manager Konfigurationsdatei zugreifen F r die Konfiguration von Tivoli Access Manager auf dem IBM Client verwendet Client Security eine Konfigurationsdatei ber diese Konfigurationsdatei wird Tivoli Access Manager mit dem Objekten verkn pft an die die UVM Policy die Steuerung bergibt Gehen Sie im Administratordienstprogramm wie folgt vor um auf die Tivoli Access Manager Konfiguration zuzugreifen 1 Klicken Sie auf die Schaltfl che Anwendungsunterst tzung und Policies kon figurieren Die Anzeige Konfiguration der UVM Anwendungen und Policies wird ange zeigt Kapitel 7 Weitere Funktionen des Sicherheitsadministrators 37 2 Geben Sie im Bereich Informationen zur Konfiguration von Tivoli Access Manager den Pfad und den Dateinamen der Konfigurationsdatei ein oder kli cken Sie auf Durchsuchen um die Datei zu suchen 3 Klicke
20. Sie sich bei Lotus Notes an Klicken Sie in der Men leiste von Lotus Notes auf die Optionen Datei gt Extras gt Benutzer ID Das Fenster IBM User Verification Manager wird angezeigt Geben Sie den UVM Verschl sselungstext ein und klicken Sie auf OK Das Fenster Benutzer ID wird angezeigt Klicken Sie auf Kennwort festlegen Das Fenster IBM User Verification Manager wird angezeigt W hlen Sie den Radioknopf Eigenes Kennwort erstellen aus Geben Sie in die verf gbaren Felder das neue Lotus Notes Kennwort ein und berpr fen Sie es Klicken Sie anschlie end auf OK Anmerkung Wenn Sie das Kennwort innerhalb von Lotus Notes in einen bereits verwendeten Wert ndern lehnt Notes die Kennwort nderung ab teilt dies jedoch Client Security nicht mit Folglich speichert UVM das Kennwort das von Notes abgelehnt wurde Wird beim ndern des Kennworts in Lotus Notes eine Nachricht angezeigt die besagt dass das Kennwort bereits zuvor verwendet wurde m ssen Sie Lotus Notes verlassen das Benutzerkonfigu rationsprogramm starten und das alte Notes Kennwort wiederher stellen Wenn das Lotus Notes Kennwort per Zufallsgenerator festgelegt wurde und Sie die Fehlernachricht erhalten haben Sie keine M g lichkeit das alte Kennwort festzustellen und k nnen daher das Kennwort nicht manuell zur cksetzen Sie m ssen von Ihrem Admi nistrator eine neue ID Datei anfordern oder eine fr her gesicherte Kopie der ID Datei wie
21. aus w hlen Dadurch ist sichergestellt dass der private Schl ssel des digitalen Zertifi kats auf dem IBM Security Chip gespeichert wird Kapitel 8 Anweisungen f r den Clientbenutzer 47 Wenn Sie die Sicherheit noch erh hen m chten k nnen Sie den hohen Verschl sselungsgrad ausw hlen Da der integrierte IBM Security Chip einen Verschl sselungsgrad von bis zu 1024 Bit f r die Verschl sselung des privaten Schl ssels des digitalen Zertifikats verarbeiten kann sollten Sie diese Option aus w hlen wenn sie von der Schnittstelle der Zertifizierungsinstanz angeboten wird die 1024 Bit Verschl sselung wird hier auch als hochgradige Verschl sselung bezeichnet Wenn Sie CSP Modul des integrierten IBM Sicherheits Subsystems als CSP aus gew hlt haben m ssen Sie unter Umst nden Ihren UVM Verschl sselungstext ein geben und oder sich durch eine Sensorabtastung Ihrer Fingerabdr cke ausweisen um die Authentifizierungsbestimmungen f r das digitale Zertifikat zu erf llen Die Authentifizierungsbestimmungen sind in der UVM Policy f r den Computer defi niert Zertifikate vom Microsoft CSP bertragen Mit dem Tool zur bertragung von Zertifikaten von Client Security k nnen Sie Zertifikate die mit dem Standard Microsoft CSP erstellt wurden an das CSP Mo dul des integrierten IBM Sicherheits Subsystems bertragen Dadurch wird der notwendige Schutz f r private Schl ssel die zu Zertifikaten geh ren betr chtlich erh ht da di
22. das System warmstarten damit Sie nicht vom System gesperrt werden In den folgenden Anweisungen wird davon ausgegangen dass das Administrator dienstprogramm nicht durch einen Ausfall eines Festplattenlaufwerks besch digt worden ist Sollte der Ausfall des Festplattenlaufwerks zur Besch digung der Dateien von Client Security gef hrt haben m ssen Sie Client Security m glicher weise erneut installieren Gehen Sie im Administratordienstprogramm wie folgt vor um Chiffrierschl ssel aus einem Schl sselarchiv wiederherzustellen Anmerkung Wenn Sie das Schl sselpaar f r Administratoren nach der Wiederher stellung des Archivs ndern wird eine Fehlernachricht angezeigt Wenn dies eintritt m ssen Sie die Benutzer in UVM aufnehmen und anschlie end neue Zertifikate anfordern 1 Klicken Sie auf die Schaltfl che Schl sselkonfiguration Die Anzeige Schl sselkonfiguration von Client Security ndern Schl ssel konfigurieren erscheint 2 Klicken Sie auf den Radioknopf Schl ssel des IBM Sicherheits Subsystems ber Archiv wiederherstellen und anschlie end auf Weiter Die Anzeige Schl sselkonfiguration von Client Security ndern Schl ssel wie derherstellen erscheint 3 Geben Sie in das Feld Archivverzeichnis Pfad den Pfad des Archiv verzeichnisses ein oder klicken Sie auf Durchsuchen um das Verzeichnis aus zuw hlen 36 IBM Client Security Solutions Client Security Version 5 1 Administratorhandbuch 7
23. der UVM Verschl sselungstext l nger und eindeutiger ist als ein herk mmliches Kennwort Die Policy f r den UVM Verschl sselungstext wird ber das Administratordienstprogramm von IBM Client Security gesteuert Das Fenster Policy f r UVM Verschliisselungstext des Administratordienst programms stellt Sicherheitsadministratoren eine einfache Schnittstelle zur Steue rung von Kriterien f r Verschl sselungstexte bereit ber das Fenster Policy f r UVM Verschliisselungstext kann der Administrator folgende Regeln f r Verschl sselungstexte festlegen Anmerkung Die Standardeinstellung f r jedes Kriterium ist unten in Klammern angegeben e ob eine Mindestanzahl an alphanumerischen Zeichen festgelegt werden soll ja 6 Wenn z B der Wert 6 festgelegt ist ist der Verschltisselungstext 1234567xxx ung ltig e ob eine Mindestanzahl an Ziffern festgelegt werden soll ja 1 Wenn z B der Wert 1 festgelegt ist ist der Verschl sselungstext thisismypassword ung ltig 73 ob eine Mindestanzahl an Leerzeichen festgelegt werden soll keine Mindestan zahl Wenn z B der Wert 2 festgelegt ist ist der Verschl sselungstext i am not here ung ltig ob mehr als zwei wiederkehrende Zeichen zul ssig sein sollen nein Wenn dies z B festgelegt ist ist der Verschl sselungstext aaabcdefghijk ung l tig ob der Verschl sselungstext mit einer Ziffer beginnen darf nein Standardm ig ist z B der Verschl sselun
24. die Verwendung eines gescanntes Fingerabdrucks zur Authentifizierung eines Benutzers auf eine der drei folgenden Arten festlegen Es ist immer ein neuer Fingerabdruck erforderlich e Nach erstem Gebrauch auf diese Weise ist kein Fingerabdruck erforder lich Kein Fingerabdruck erforderlich wenn Bereitstellung bei der Anmeldung am System erfolgt ist Globale Einstellungen f r Fingerabdr cke ber diese Auswahl kann ein Administrator eine maximale Anzahl an Authentifizierungsversuchen festlegen bis ein Benutzer vom System gesperrt wird ber diesen Bereich kann der Administrator auch festlegen dass der Schutz durch die Authentifizierung ber Fingerabdr cke durch den UVM Verschl sselungstext au er Kraft gesetzt werden kann Smartcard Auswahl Diese Auswahl erm glicht es einem Administrator eine Smartcard als zus tzliche erforderliche Authentifizierungseinheit festzulegen Globale Smartcard Einstellungen Diese Auswahl erm glicht es einem Administrator die Policy so festzule gen dass berschreibungen zugelassen werden wenn der UVM Ver schl sselungstext angegeben wird UVM Policy Editor verwenden F hren Sie im Administratordienstprogramm die folgenden Schritte aus um den UVM Policy Editor zu verwenden 1 Klicken Sie auf die Schaltfl che Anwendungsunterst tzung und Policies kon figurieren Die Anzeige Konfiguration der UVM Anwendungen und Policies wird ange zeigt 2 Klicken Sie auf die Schaltfl
25. ein und dr cken Sie die Eingabetaste Klicken Sie auf Continue 2 0 Or Bow Driicken Sie die Taste F10 um die Einstellungen zu speichern und das Pro gramm zu beenden 52 IBM Client Security Solutions Client Security Version 5 1 Administratorhandbuch Nach dem Festlegen eines Administratorkennworts wird bei jedem Zugriff auf das Programm IBM BIOS Setup Utility eine Eingabeaufforderung angezeigt Wichtig Bewahren Sie Ihr Administratorkennwort an einem sicheren Ort auf Soll ten Sie das Administratorkennwort verlieren oder vergessen k nnen Sie nicht auf das Programm IBM BIOS Setup Utility zugreifen und das Kennwort nicht ndern oder l schen Weitere Informationen hierzu finden Sie in der Hardwaredokumen tation die mit Ihrem Computer geliefert wurde Hardwarekennwort sch tzen Sie k nnen ein Kennwort f r den IBM Security Chip festlegen um den integrierten IBM Security Chip f r einen Client zu aktivieren Nachdem Sie das Kennwort f r den IBM Security Chip festgelegt haben ist der Zugriff auf das Administrator dienstprogramm durch dieses Kennwort gesch tzt Sie m ssen das Kennwort f r den IBM Security Chip vor unberechtigtem Zugriff sch tzen damit nicht berech tigte Benutzer die Einstellungen im Administratordienstprogramm nicht ndern k nnen Inhalt des integrierten IBM Security Chips l schen ThinkCen tre Wenn Sie alle Chiffrierschl ssel f r Benutzer aus dem integrierten IBM Security Chip sowie das
26. integrierten IBM Security Chip nicht bei akti vierter gesicherter UVM Anmeldung Andernfalls haben Sie keinen Zugriff mehr auf das System Um den UVM Schutz zu inaktivieren ffnen Sie das Administratordienst programm klicken Sie auf Anwendungsunterst tzung und Policies konfigu rieren und inaktivieren Sie das Markierungsfeld Die Windows Standardan meldung durch eine gesicherte UVM Anmeldung ersetzen Sie m ssen den Computer erneut starten damit der UVM Schutz inaktiviert wird Wenn Sie den Inhalt des integrierten IBM Security Chips l schen gehen alle Chiffrierschl ssel und Zertifikate verloren die auf dem Chip gespeichert sind Bei einigen ThinkPad Modellen ist es vor der Installation oder dem Upgrade von Client Security notwendig das Administratorkennwort vor bergehend zu inaktivieren Nach der Konfiguration von Client Security legen Sie ein Administratorkennwort fest um nicht berechtigte Benutzer daran zu hindern diese Einstellungen ndern Gehen Sie wie folgt vor um ein Administratorkennwort festzulegen 1 Fahren Sie das System herunter und starten Sie es erneut 2 Dr cken Sie w hrend der Eingabeaufforderung des Programms IBM BIOS Setup Utility die Taste F1 Das Hauptmen des Programms IBM BIOS Setup Utility wird ge ffnet W hlen Sie die Option Password aus W hlen Sie die Option Supervisor Password aus Geben Sie das Kennwort ein und dr cken Sie die Eingabetaste Geben Sie das Kennwort erneut
27. keine L sung Kapitel 9 Fehlerbehebung 61 Fehlerbehebungsinformationen zum ThinkPad Im folgenden Abschnitt finden Sie Informationen die Ihnen bei der Behebung von Fehlern bei der Verwendung von Client Security auf ThinkPads weiterhelfen k n nen Fehlersymptom M gliche L sung Beim Versuch eine Administratorfunktion von Client Security aufzurufen wird eine Fehlernachricht angezeigt Ma nahme Nach dem Versuch eine Administrator funktion von Client Security aufzurufen wird eine Fehlernachricht mit folgendem Wortlaut angezeigt FEHLER 0197 Ung l tige ferne nderungsanforderung Dr cken Sie lt F1 gt um Setup aufzurufen Das ThinkPad Administratorkennwort muss inaktiviert sein damit Sie bestimmte Administratorfunktionen von Client Security ausf hren k nnen Gehen Sie wie folgt vor um das Administratorkennwort zu inaktivieren 1 Rufen Sie mit F1 das Programm IBM BIOS Setup Utility auf 2 Geben Sie das aktuelle Administrator kennwort ein 3 Geben Sie ein leeres neues Administratorkennwort ein und best ti gen Sie das leere Kennwort 4 Dr cken Sie die Eingabetaste 5 Dr cken Sie die Taste F10 um die Ein stellungen zu speichern und das Pro gramm zu beenden Ein anderer UVM Sensor f r Fingerabdr cke funktioniert nicht ordnungsgem Ma nahme Der IBM ThinkPad unterst tzt den Wechsel zwischen mehreren UVM Sensoren f r Fin gerabdr cke n
28. klicken werden Sie in einer Nachricht auf gefordert den privaten Schl ssel f r Administratoren einzugeben Geben Sie den privaten Schl ssel f r Administratoren ein und klicken Sie auf OK um die nde rungen zu speichern Wenn Sie einen falschen privaten Schl ssel f r Administrato ren eingeben werden die nderungen nicht gespeichert Objektauswahl Mit Hilfe von UVM Policy Objekten k nnen Sie f r verschiedene Benutzeraktionen unterschiedliche Sicherheitspolicies aktivieren G ltige Objekte sind auf der Regis terkarte Objektauswahl der Anzeige IBM UVM Policy im Administratordienst programm angegeben Es gibt folgende g ltige UVM Policy Objekte Systemanmeldung Mit diesem Objekt wird die Authentifizierung gesteuert die zum Anmel den am System erforderlich ist Entsperren des Systems Mit diesem Objekt wird die Authentifizierung gesteuert die zum Ausblen den des Client Security Bildschirmschoners erforderlich ist 26 IBM Client Security Solutions Client Security Version 5 1 Administratorhandbuch Lotus Notes Anmeldung Mit diesem Objekt wird die Authentifizierung gesteuert die zum Anmel den bei Lotus Notes erforderlich ist Anmeldekennwort fiir Lotus Notes Mit diesem Objekt wird die Authentifizierung gesteuert die f r UVM zum Generieren eines per Zufallsgenerator festgelegten Lotus Notes Kennworts erforderlich ist Digitale Signatur E Mail Mit diesem Objekt wird die Authentifizierung gesteuert die beim
29. konfigurieren Gehen Sie wie folgt vor um von einer Benutzer ID f r die UVM Schutz aktiviert wurde zu einer anderen Benutzer ID zu wechseln 1 Verlassen Sie Lotus Notes 2 Inaktivieren Sie den UVM Schutz f r die aktuelle Benutzer ID 3 Rufen Sie Lotus Notes auf und wechseln Sie die Benutzer ID Weitere Informa tionen zum Wechseln von Benutzer IDs finden Sie in der Dokumentation zu Lotus Notes Wenn Sie den UVM Schutz f r die Benutzer ID zu der Sie gewechselt haben konfigurieren m chten fahren Sie mit Schritt 4 fort 4 Rufen Sie das von Client Security bereitgestellte Tool zur Lotus Notes Konfigu ration auf und konfigurieren Sie den UVM Schutz 56 IBM Client Security Solutions Client Security Version 5 1 Administratorhandbuch Einschrankungen fur das Benutzerkonfigurationsprogramm Unter Windows XP gibt es f r einen Clientbenutzer unter bestimmten Umst nden Zugriffseinschr nkungen f r die verf gbaren Funktionen Windows XP Professional Unter Windows XP Professional k nnen die Einschr nkungen f r Clientbenutzer in den folgenden Situationen auftreten Client Security ist auf einer Partition installiert die sp ter in das NTFS Format konvertiert wird Der Windows Ordner befindet sich auf einer Partition die sp ter in das NTFS Format konvertiert wird Der Archivordner befindet sich auf einer Partition die sp ter in das NTFS For mat konvertiert wird In den vorgenannten F llen k nnen Benutze
30. r Fingerabdr cke installiert werden damit ein ordnungsgem er Betrieb gew hrleistet ist Smartcard Authentifizierung IBM Client Security unterst tzt jetzt auch Smart cards als Authentifizierungseinheiten Client Security erm glicht die Verwen dung von Smartcards zur Authentifizierung als Token d h es kann sich je weils nur ein Benutzer authentifizieren Jede Smartcard ist systemgebunden wenn nicht der standortunabh ngige Zugriff Roaming mit Berechtigungsnach weis verwendet wird Wenn eine Smartcard erforderlich ist sollte die System sicherheit erh ht werden da diese Karte mit einem Kennwort geliefert werden muss das m glicherweise ausspioniert werden kann Standortunabh ngiger Zugriff mit Berechtigungsnachweis Der standort unabh ngige Zugriff mit Berechtigungsnachweis erm glicht es einem von UVM autorisierten Benutzer jedes System im Netzwerk genau wie die eigene Worksta tion zu verwenden Wenn ein Benutzer berechtigt ist UVM auf irgendeinem bei CSS registrierten Client zu verwenden kann er seine pers nlichen Daten in alle anderen registrierten Clients im Netzwerk importieren Die pers nlichen Daten werden im CSS Archiv und auf jedem System in das sie importiert wurden automatisch aktualisiert und gewartet Aktualisierungen der pers nlichen Daten wie z B neue Zertifikate oder nderungen am Verschl sselungstext sind sofort auf allen Systemen verf gbar e FIPS 140 1 Zertifizierung Client Security u
31. sselarchiv aktualisieren Diese Einschr nkungen gelten nicht mehr nachdem ein Administrator das Administratordienstprogramm gestartet und beendet hat Windows XP Home Benutzer von Windows XP Home mit eingeschr nkter Berechtigung k nnen in den folgenden F llen das Benutzerkonfigurationsprogramm nicht verwenden Client Security ist auf einer Partition im NTFS Format installiert Der Windows Ordner befindet sich auf einer Partition im NTFS Format e Der Archivordner befindet sich auf einer Partition im NTFS Format Benutzerkonfigurationsprogramm verwenden Gehen Sie wie folgt vor um das Benutzerkonfigurationsprogramm zu verwenden 1 Klicken Sie auf Start gt Programme gt Access IBM gt IBM Client Security gt Sicherheitseinstellungen ndern Die Hauptanzeige des Benutzerkonfigurationsprogramms von IBM Client Secu rity wird angezeigt 2 Geben Sie f r den Benutzer dessen UVM Verschl sselungstext oder Windows Kennwort ge ndert werden muss den UVM Verschl sselungstext ein und kli cken Sie auf OK 3 W hlen Sie eine der folgenden Registerkarten aus e Kennw rter und Archiv aktualisieren Uber diese Registerkarte k nnen Sie Ihren UVM Verschl sselungstext ndern Ihr Windows Kennwort in UVM aktualisieren Ihr Lotus Notes Kennwort in UVM zur cksetzen und Ihr Verschl sselungsarchiv aktualisieren 46 IBM Client Security Solutions Client Security Version 5 1 Administratorhandbuch e UVM Signalt ne konfigurier
32. von Windows ndern m ssen Sie das betreffende Kennwort auch ber das Benutzerkonfigurationsprogramm von IBM Client Security ndern Wenn ein Administrator das Administratordienstprogramm zum ndern des Windows Anmeldekennworts f r einen Benutzer verwendet werden alle zuvor f r diesen Benutzer erstellten Chiffrierschl ssel gel scht und die zuge ordneten digitalen Zertifikate werden ung ltig Lotus Notes Kennwort zur cksetzen Zur Erh hung der Sicherheit k nnen Lotus Notes Benutzer ihr Notes Kennwort ndern Das Schl sselarchiv aktualisieren Wenn Sie digitale Zertifikate erstellen und von den privaten Schl sseln die auf dem integrierten IBM Security Chip gespeichert sind Kopien erstellen m chten oder wenn Sie das Schl sselarchiv an eine andere Position versetzen m chten aktualisieren Sie das Schl ssel archiv Einstellungen f r UVM Signalt ne konfigurieren Mit dem Benutzerkonfi gurationsprogramm k nnen Sie eine Audiodatei ausw hlen die bei erfolgreicher oder fehlgeschlagener Authentifizierung wiedergegeben werden soll Benutzerkonfiguration Auf dieser Registerkarte k nnen die folgenden Funktio nen ausgef hrt werden Benutzer zur cksetzen Mit dieser Funktion k nnen Sie Ihre Sicherheits konfiguration wiederherstellen Beim Zur cksetzen der Sicherheitskonfi guration werden alle Schl ssel Zertifikate und Fingerabdr cke gel scht Benutzerkonfiguration ber Archiv wiederherstellen Mit dieser F
33. 003 Diese Ver ffentlichung ist eine bersetzung des Handbuchs IBM Client Security Solutions Client Security Version 5 1 Administrator s Guide herausgegeben von International Business Machines Corporation USA Copyright International Business Machines Corporation 2002 Copyright IBM Deutschland Informationssysteme GmbH 2003 Informationen die nur f r bestimmte L nder G ltigkeit haben und f r Deutschland sterreich und die Schweiz nicht zutreffen wurden in dieser Ver ffentlichung im Originaltext bernommen M glicherweise sind nicht alle in dieser bersetzung aufgef hrten Produkte in Deutschland angek ndigt und ver f gbar vor Entscheidungen empfiehlt sich der Kontakt mit der zust ndigen IBM Gesch ftsstelle nderung des Textes bleibt vorbehalten Herausgegeben von SW TSC Germany Kst 2877 April 2003 Inhaltsverzeichnis Vorwort 2 2 ew we ee ee nn V Zielgruppe Te er ui Benutzung des Handbuchs a aM Verweise auf das Client Security Installations handbuch vi Verweise auf das Handbuch Client Security mit Tivoli Access Manager verwenden vi Verweise auf das Client Security Benutzerhandbuch vii Zus tzliche Informationen 222a Vii Kapitel 1 Einf hrung in IBM Client Security 1 Anwendungen und Kompania von a Client on rity Se ip Ge ie a eee ee ee PKI Funktionen he oe ee ec ee Kapitel 2 Verschl sselung von Dateien und Ordnern 5 Dateis
34. 1 newkp 1 keysplit 1 kpl c jgk kal c jgk archive enableroaming 1 usernames current sysregpwd 12345678 clean 0 UVMEnrollment enrollall 0 userl joseph userluvmpw q1234r userlwinpw userldomain 0 userlppchange 0 userl ppexppolicy 0 userlppexpdays 184 CSSSetup suppw bootup hwpw 11111111 newkp 1 keysplit 1 kpl c jgk kal c jgk archive enableroaming 1 username joseph sysregpwd 12345678 clean 0 UVMEnrollment enrollall 0 userl joseph userluvmpw q1234r userlwinpw userldomain 0 userlppchange 0 userl ppexppolicy 0 userlppexpdays 184 33 enrollusers 1 UVMAppConfig uvmlogon 0 entrust 0 notes 0 netscape 0 passman 0 folderprotect 0 autoprotect 0 enrollusers 1 UVMAppConfig uvmlogon 0 entrust 0 notes 0 netscape 0 passman 0 folderprotect 0 autoprotect 0 enrollusers 1 UVMAppConfig uvmlogon 0 entrust 0 notes 0 netscape 0 passman 0 folderprotect 0 autoprotect 0 enrollusers 1 UVMAppConfig uvmlogon 0 entrust 0 notes 0 netscape 0 passman 0 folderprotect 0 autoprotect 0 Position des Schl sselarchivs ndern Wenn das Schltisselarchiv zum ersten Mal erstellt wird werden von allen Chiffrier schl sseln Kopien erstellt und an der Position gespeichert die bei der Installation angegeben wurde Anmerkung Dar ber hinaus kann der Clientbenutzer die Position des Schl ssel archivs mit dem Benutzerkonfigurationsprogramm ndern Weitere Informationen hierzu finden Sie in Ka
35. 28 UVM Policy Editor verwenden 28 UVM Policy f r ferne Clients bearbeiten aude ver wenden nn ee QO Kapitel 7 Weitere Funktionen des Sicherheitsadministrators 31 Administratorkonsole verwenden 31 Client in einem Netzwerk mit standort unabh ngigen Zugriff mit nr registrieren det abe Position des Schl sselardhivs ndern aor en OF Archivschl sselpaar ndern 34 Schl ssel aus dem Archiv wiederherstellen 2 20 36 iii Z hler f r fehlgeschlagene Authentifizierungsversu che zurticksetzen 37 Tivoli Access Manager Einstellungsinformationen andern 37 Auf die Tivoli Access Manager Konfigurations datei zugreifen 2 37 Lokalen Cache aktualisieren 38 UVM Verschl sselungstext wiederherstellen 38 Kennwort f r den IBM Security Chip ndern 39 Informationen zu Client Security anzeigen 40 Integrierten IBM Security Chip inaktivieren 40 Integrierten IBM Security Chip aktivieren und Kennwort f r den IBM Security Chip festlegen 41 Unterst tzung f r Entrust aktivieren 2 42 Kapitel 8 Anweisungen f r den Client benutzer 43 UVM Schutz f r die Anmeldung am sent ver wenden s A Be gra 43 Client entsperren 43 Client Security Bildschirmschoner 44 Client Security Bildschirmschoner konfigurieren 44 Verhalten des Client Security Bildschirmschoners 44 Benutzerkonfigurationsprogramm a a 45 Funktionen des Benutzerkonfigurations progr
36. AY Dr cken Sie Taste Esc um das Programm zu verlassen und die Einstellungen zu speichern Kapitel 9 Fehlerbehebung 53 Inhalt des integrierten IBM Security Chips l schen ThinkPad Wenn Sie alle Chiffrierschliissel fiir Benutzer aus dem integrierten IBM Security Chip und das Hardwarekennwort f r den Chip l schen m chten m ssen Sie den Inhalt des Chips l schen Lesen Sie die nachfolgend unter Achtung aufgef hrten Informationen bevor Sie den Inhalt des integrierten IBM Security Chips l schen Achtung L schen oder inaktivieren Sie bei aktiviertem UVM Schutz den integrierten IBM Security Chip nicht Andernfalls wird der Inhalt der Festplatte unbrauchbar und Sie m ssen die Festplatte neu formatieren und die gesamte Software neu instal lieren Um den UVM Schutz zu inaktivieren ffnen Sie das Administratordienst programm klicken Sie auf Anwendungsunterst tzung und Policies konfigu rieren und inaktivieren Sie das Markierungsfeld Die Windows Standardan meldung durch eine gesicherte UVM Anmeldung ersetzen Sie m ssen den Computer erneut starten damit der UVM Schutz inaktiviert wird Wenn Sie den Inhalt des integrierten IBM Security Chips l schen gehen alle Chiffrierschl ssel und Zertifikate verloren die auf dem Chip gespeichert sind Gehen Sie wie folgt vor um den Inhalt des integrierten IBM Security Chips zu l schen 1 Fahren Sie das System herunter und starten Sie es erneut 2 Dr cken Sie w h
37. Agent wird ge ffnet und ver ursacht einen Fehler in Netscape Ma nahme Das ffnen des Netscape Agenten f hrt zum Schlie en von Netscape Schalten Sie den Netscape Agenten aus Netscape wird mit zeitlicher Verz gerung ge ffnet Ma nahme Wenn Sie das PKCS 11 Modul des integrier ten IBM Security Chips hinzuf gen und anschlie end Netscape ffnen verz gert sich das ffnen von Netscape um kurze Zeit Es ist keine Ma nahme erforderlich Dies dient lediglich zu Ihrer Information Fehlerbehebungsinformationen zu digitalen Zertifikaten Die folgenden Informationen zur Fehlerbehebung k nnen hilfreich sein wenn bei der Anforderung eines digitalen Zertifikats Fehler auftreten Fehlersymptom M gliche L sung Das Fenster UVM Verschl sselungstext oder das Fenster f r die Authentifizierung ber Fingerabdr cke wird bei der Anforde rung eines digitalen Zertifikats mehrmals angezeigt Ma nahme In der UVM Sicherheits Policy ist festgelegt dass ein Benutzer sich mit einem UVM Verschl sselungstext oder ber Fingerabdr cke authentifizieren muss bevor er ein digitales Zertifikat erhalten kann Wenn der Benutzer versucht ein Zertifikat zu erhalten wird das Authentifizierungsfenster in dem er aufgefordert wird den UVM Verschl sselungstext anzugeben oder die Fingerabdr cke abtasten zu lassen mehr mals angezeigt Geben Sie bei jedem ffnen des Authentifizierungsfenst
38. Computers registriert sein Zum Einrichten des Bildschirmschoners von Client Security m ssen Sie folgende Schritte ausf hren 1 Klicken Sie auf Start gt Einstellungen gt Systemsteuerung 2 Klicken Sie doppelt auf das Symbol Anzeige 3 Klicken Sie auf die Registerkarte Bildschirmschoner 4 W hlen Sie im Dropdown Men Bildschirmschoner die Option Client Secu rity aus Zum ndern der Zeitspanne nach der der Bildschirmschoner ange zeigt wird klicken Sie auf Einstellungen und w hlen Sie die gew nschte Zeit spanne aus 5 Klicken Sie auf OK Verhalten des Client Security Bildschirmschoners Das Verhalten des Client Security Bildschirmschoners h ngt von den Einstellungen f r das UVM Administratordienstprogramm und f r den Windows Bildschirm schoner ab Das System berpr ft zuerst die Windows Einstellungen und dann die Einstellungen f r das UVM Administratordienstprogramm Daher sperrt der Bildschirmschoner nur wenn das Markierungsfeld Kennwortschutz auf der Registerkarte mit den Windows Einstellungen f r den Bildschirmschoner aktiviert ist Wenn dieses Feld ausgew hlt ist fordert das System entweder das Windows Kenn wort oder den UVM Verschl sselungstext an je nachdem ob im Administrator dienstprogramm das Markierungsfeld gt Die Windows Standardanmeldung durch eine gesicherte UVM Anmeldung ersetzen ausgew hlt wurde Wenn es ausge w hlt wurde fordert das System die Eingabe des UVM Verschl sselungstex
39. Hardwarekennwort f r den Chip l schen m chten m ssen Sie den Inhalt des Chips l schen Lesen Sie die nachfolgend unter Achtung aufgef hrten Informationen bevor Sie den Inhalt des integrierten IBM Security Chips l schen Achtung L schen oder inaktivieren Sie den integrierten IBM Security Chip nicht bei akti viertem UVM Schutz Andernfalls haben Sie keinen Zugriff mehr auf das Sys tem Um den UVM Schutz zu inaktivieren ffnen Sie das Administratordienst programm klicken Sie auf Anwendungsunterst tzung und Policies konfigu rieren und inaktivieren Sie das Markierungsfeld Die Windows Standardan meldung durch eine gesicherte UVM Anmeldung ersetzen Sie m ssen den Computer erneut starten damit der UVM Schutz inaktiviert wird Wenn Sie den Inhalt des integrierten IBM Security Chips l schen gehen alle Chiffrierschl ssel und Zertifikate verloren die auf dem Chip gespeichert sind Gehen Sie wie folgt vor um den Inhalt des integrierten IBM Security Chips zu l schen 1 Fahren Sie das System herunter und starten Sie es erneut 2 Dr cken Sie w hrend der Eingabeaufforderung des Programms Configuration Setup Utility die Taste F1 Das Hauptmen des Programms Configuration Setup Utility wird ge ffnet W hlen Sie die Option Security aus W hlen Sie IBM TCPA Feature Setup aus W hlen Sie Clear IBM TCPA Security Feature aus W hlen Sie Yes aus Dr cken Sie die Taste Esc um fortzufahren OND
40. IBM Client Security Solutions Client Security Version 95 1 Administratorhandbuch IBM Client Security Solutions Client Security Version 95 1 Administratorhandbuch M Hinweis Vor Verwendung dieser Informationen und des darin beschriebenen Produkts sollten Sie die Informationen in Anhang C Bemerkungen und Marken auf Seite 79 lesen Die IBM Homepage finden Sie im Internet unter ibm com e IBM und das IBM Logo sind eingetragene Marken der International Business Machines Corporation e Das e business Symbol ist eine Marke der International Business Machines Corporation e Infoprint ist eine eingetragene Marke der IBM e ActionMedia LANDesk MMX Pentium und ProShare sind Marken der Intel Corporation in den USA und oder anderen Landern e C bus ist eine Marke der Corollary Inc in den USA und oder anderen L ndern e Java und alle auf Java basierenden Marken und Logos sind Marken der Sun Microsystems Inc in den USA und oder anderen L ndern e Microsoft Windows Windows NT und das Windows Logo sind Marken der Microsoft Corporation in den USA und oder anderen L ndern e PC Direct ist eine Marke der Ziff Communications Company in den USA und oder anderen L ndern SET und das SET Logo sind Marken der SET Secure Electronic Transaction LLC e UNIX ist eine eingetragene Marke der Open Group in den USA und oder anderen L ndern e Marken anderer Unternehmen Hersteller werden anerkannt Erste Ausgabe April 2
41. Klicken auf die Schaltflache zum Signieren in Microsoft Outlook oder in Outlook Express erforderlich ist Entschliisselung E Mail Mit diesem Objekt wird die Authentifizierung gesteuert die beim Klicken auf die Schaltfl che zum Entschl sseln in Microsoft Outlook oder in Out look Express erforderlich ist Schutz fiir Dateien und Ordner Mit diesem Objekt wird die Authentifizierung gesteuert die nach der Aus wahl der Ver und Entschl sselung ber die rechte Maustaste erforderlich ist Password Manager Dieses Objekt steuert die Authentifizierungsbestimmungen zum Verwen den des Programms IBM Password Manager das auf der IBM Website erh ltlich ist Wenn es aktiviert ist sollten die meisten Benutzer die Einstel lung Nach erstem Gebrauch auf diese Weise ist kein Verschl sselungstext erforderlich beibehalten Netscape PKCS 11 Anmeldung Mit diesem Objekt wird die Authentifizierung gesteuert die erforderlich ist wenn vom PKCS 11 Modul der Aufruf PKCS 11 C_OpenSession empfangen wird Die meisten Benutzer sollten die Einstellung Nach ers tem Gebrauch auf diese Weise ist kein Verschl sselungstext erforderlich beibehalten Entrust Anmeldung Mit diesem Objekt wird die Authentifizierung gesteuert die erforderlich ist wenn Entrust den Aufruf PKCS 11 C_OpenSession ausgibt der vom PKCS 11 Modul empfangen werden soll Die meisten Benutzer sollten die Einstellung Nach erstem Gebrauch auf diese Weise ist kein V
42. M Be nutzerauthentifizierung auf Client 2 Alle Clientbenutzer registrieren ihre Fingerab dr cke so dass diese zur Authentifizierung verwendet werden k nnen In diesem Beispiel wird ein UVM Sensor f r Fingerabdr cke installiert Au erdem wurde ermittelt dass beide Clients die den UVM Schutz f r die Windows Anmeldung erfordern Der Administrator hat entschieden dass die lokale UVM Policy bear beitet und von den einzelnen Clients verwendet werden soll Zum Einrichten von Client Security m ssen Sie folgende Schritte ausf hren 1 Installieren Sie die Software auf Client 1 und Client 2 Weitere Informationen hierzu finden Sie im Client Security Installationshandbuch 2 Installieren Sie die UVM Sensoren f r Fingerabdr cke und die zugeh rige Soft ware auf den einzelnen Clients Weitere Informationen zu UVM sensitiven Produkten finden Sie im World Wide Web unter der Adresse http www pc ibm com ww security secdownload html 3 Konfigurieren Sie die Benutzerauthentifizierung mit UVM f r die einzelnen Cli ents Gehen Sie wie folgt vor a F gen Sie in UVM Benutzer hinzu indem Sie ihnen einen UVM Verschl s selungstext zuordnen Da Client 1 drei Benutzer aufweist m ssen Sie das Hinzuf gen von Benutzern in UVM wiederholen bis alle Benutzer hinzu gef gt sind b Konfigurieren Sie f r die einzelnen Clients den UVM Schutz f r die Win dows Anmeldung c Registrieren Sie die Fingerabdr cke der Benutzer Da in einer Pol
43. Vor dem Upgrade von einer lteren Version des Dienst programms IBM FFE Wenn Sie von einer lteren Version des Dienstprogramms IBM FFE Version 1 04 oder lter aufr sten m chten und sich die gesch tzten Ordner auf anderen Lauf werken als Laufwerk C befinden heben Sie den Schutz f r diese Ordner auf bevor Sie Version 1 05 des Dienstprogramms IBM FFE installieren Wenn Sie nach dem Installieren von Version 1 05 diese Ordner erneut sch tzen m ssen verschieben Sie sie auf Laufwerk C und sch tzen Sie sie Vor dem Deinstallieren des Dienstprogramms IBM FFE Heben Sie vor dem Deinstallieren des Dienstprogramms IBM FFE mit Hilfe die ses Dienstprogramms den Schutz f r alle zuvor gesch tzten Dateien und Ordner auf Einschr nkungen beim Dienstprogramm zur Verschl sselung von Dateien und Ordnern Dienstprogramm FFE Das Dienstprogramm IBM FFE weist folgende Einschr nkungen auf Einschr nkungen beim Verschieben von gesch tzten Dateien und Ordnern Das Dienstprogramm IBM FFE unterst tzt folgende Aktionen nicht Dateien und Ordner innerhalb gesch tzter Ordner verschieben e Dateien oder Ordner zwischen gesch tzten und ungesch tzten Ordnern ver schieben Kapitel 2 Verschl sselung von Dateien und Ordnen 7 8 Wenn Sie versuchen eine dieser nicht unterst tzten Verschiebeoperationen durch zuf hren wird vom Betriebssystem eine Nachricht angezeigt die besagt dass der Zugriff verweige
44. Windows Media Player zu aktivieren 1 Starten Sie den Windows Media Player 2 W hlen Sie alle Dateien im entsprechen den Ordner aus 3 Ziehen Sie die Dateien in den Bereich Wiedergabeliste von Windows Media Player Client Security funktioniert f r einen in UVM registrierten Benutzer nicht ord nungsgem Ma nahme Der registrierte Clientbenutzer hat m gli cherweise seinen Windows Benutzernamen ge ndert Wenn dies zutrifft geht die gesamte Funktionalit t von Client Security verloren Registrieren Sie den neuen Benutzernamen in UVM erneut und fordern Sie alle neuen Berechtigungsnachweise an Anmerkung Unter Windows XP werden in UVM registrierte Benutzer deren Windows Benutzername zuvor ge ndert wurde von UVM nicht erkannt Diese Einschr nkung gilt selbst dann wenn der Windows Benutzername vor der Installation von Client Security ge ndert wurde Fehler beim Lesen verschl sselter E Mails mit Outlook Express Ma nahme Verschl sselte E Mails k nnen nicht ent schl sselt werden da sich die Verschl sselungsgrade der Webbrowser die vom Sender und vom Empf nger verwendet werden unterscheiden Anmerkung Wenn Sie Browser mit 128 Bit Verschl sselung mit Client Security verwen den m chten muss der integrierte IBM Security Chip 256 Bit Verschl sselung unter st tzen Wenn der integrierte IBM Security Chip 56 Bit Verschl sselung unterst tzt m ssen Sie einen 40 Bit Webbr
45. alen Cache Ein richtung zugegriffen werden Installieren Sie Tivoli Access Manager Run time Environment Wenn die Laufzeit umgebung Runtime Environment auf dem IBM Client nicht installiert ist sind auf der Seite zur Policy Installation auch keine Ein stellungen f r Tivoli Access Manager verf g bar Eine Benutzersteuerung gilt sowohl f r den Benutzer als auch f r die Gruppe Access Manager Servers einen Benutzer f r eine Gruppe definieren gilt die Benutzers teuerung sowohl f r den Benutzer als auch f r die Gruppe wenn die Option Traverse bit aktiviert wurde Ma nahme Es ist keine Ma nahme erforderlich Wenn Sie beim Konfigurieren des Tivoli Kapitel 9 Fehlerbehebung 69 70 Fehlerbehebungsinformationen zu Lotus Notes Im folgenden Abschnitt finden Sie Informationen die Ihnen bei der Behebung von Fehlern bei der Verwendung von Lotus Notes mit Client Security weiterhelfen k n nen Fehlersymptom M gliche L sung Nach dem Aktivieren des UVM Schutzes f r Lotus Notes kann Lotus Notes die Kon figuration nicht fertig stellen Ma nahme Lotus Notes kann nach dem Aktivieren des UVM Schutzes mit dem Administrator dienstprogramm die Konfiguration nicht fer tig stellen Dies ist eine bekannte Einschr nkung Lotus Notes muss konfiguriert werden und aktiv sein bevor die Lotus Notes Unterst t zung im Administratordienstprogramm akti viert wird Beim Versuch das
46. allationshandbuch Verweise auf das Handbuch Client Security mit Tivoli Access Manager verwenden In diesem Dokument finden Sie Verweise auf das Handbuch Client Security mit Tivoli Access Manager verwenden Sicherheitsadministratoren die mit Tivoli Access Manager Authentifizierungsobjekte f r die UVM Policy verwalten sollten das Handbuch Client Security mit Tivoli Access Manager verwenden lesen vi IBM Client Security Solutions Client Security Version 5 1 Administratorhandbuch Verweise auf das Client Security Benutzerhandbuch In diesem Dokument finden Sie Verweise auf das Client Security Benutzerhandbuch Administratoren k nnen mit diesem Handbuch UVM Policies auf IBM Clients auf denen Client Security eingesetzt wird verwalten und warten Nachdem ein Admi nistrator die Benutzerauthentifizierung und die UVM Sicherheits Policy konfigu riert hat kann ein Clientbenutzer im Client Security Benutzerhandbuch Informationen zu Client Security lesen Das Benutzerhandbuch enth lt Informationen zur Ausf hrung von Arbeiten mit Client Security wie z B zur gesicherten UVM Anmeldung zur Konfiguration des Client Security Bildschirmschoners zur Erstellung eines digitalen Zertifikats und zur Verwendung des Benutzerkonfigurationsprogramms Zus tzliche Informationen Zus tzliche Informationen sowie Aktualisierungen f r Sicherheitsprodukte k nnen Sie sobald sie verf gbar sind von der IBM Website unter http www pc ibm com ww securi
47. amms 45 Einschr nkungen des Benutzerkonfigurations programms unter Windows XP 46 Benutzerkonfigurationsprogramm wer Wentleti 46 E Mails sicher versenden und im World Wide Web sicher navigieren 47 Client Security mit Microsoft Anwendungen Asa zen 47 Digitales Zertifikat f r Mictosoft Anwendungen beziehen 47 Zertifikate vom Microsoft CSP bertragen 48 Schl sselarchiv f r Microsoft Anwendungen aktualisieren 48 Digitales Zertifikat f r Microsoft Anwendungen verwenden 49 Einstellungen f r UVM Signalt ne konfigurieren 49 Kapitel 9 Fehlerbehebung 51 Administratorfunktionen 51 Administratorkennwort festlegen ThinkCentre 51 Administratorkennwort festlegen ThinkPad 52 Hardwarekennwort sch tzen 158 Inhalt des integrierten IBM Security Chips l schen ThinkCentre 08 Inhalt des integrierten IBM Security Chips l schen ThinkPad 2 54 Administratordienstprogramm Benutzer l schen Keinen Zugriff auf ausgew hlte Objekte writ des Tivoli Access Manager Steuerung zulassen Bekannte Einschr nkungen Client Security mit Windows Betriebssystemen einsetzen Client Security mit Netscape Anwendungen ein setzen z Zertifikat des integrierten IBM Security Chips und Verschliisselungsalgorithmen UVM Schutz f r eine Lotus Notes BenatzerID verwenden programm Fehlernachrichten Fehlerbehebungstabellen Fehlerbehebungsinformationen zur Installation Fe
48. ationen zum Benutzerkonfigurations programm Die folgenden Informationen zur Fehlerbehebung k nnen hilfreich sein wenn bei der Verwendung des Benutzerkonfigurationsprogramms Fehler auftreten Fehlersymptom M gliche L sung Benutzer mit eingeschr nkter Berechtigung k nnen gewisse Funktionen des Benutzer konfigurationsprogramms unter Windows XP Professional nicht ausf hren Ma nahme Benutzer von Windows XP Professional mit eingeschr nkter Berechtigung k nnen m gli cherweise folgende Tasks im Benutzer konfigurationsprogramm nicht ausf hren e Den UVM Verschl sselungstext ndern e Das mit UVM registrierte Windows Kenn wort aktualisieren e Das Schl sselarchiv aktualisieren Diese Einschr nkungen gelten nicht mehr nachdem ein Administrator das Administratordienstprogramm gestartet und beendet hat Benutzer mit eingeschr nkter Berechtigung k nnen das Benutzerkonfigurations programm unter Windows XP Home nicht ausf hren Ma nahme Benutzer von Windows XP Home mit einge schr nkter Berechtigung k nnen in den fol genden F llen das Benutzerkonfigurationsprogramm nicht ver wenden e Client Security ist auf einer Partition im NTFS Format installiert e Der Windows Ordner befindet sich auf einer Partition im NTFS Format e Der Archivordner befindet sich auf einer Partition im NTFS Format Dies ist eine bekannte Einschr nkung unter Windows XP Home F r dieses Problem gibt es
49. cherweise der Verschl sselungsgrad der zur ckgesendeten E Mail nicht berein L schen Sie das zugeordnete Zertifikat aus dem Adressbuch von Outlook Express Off nen Sie die signierte E Mail erneut und f gen Sie dem Adressbuch von Outlook Express das Zertifikat hinzu In Outlook Express wird eine Nachricht ber Entschl sselungsfehler angezeigt Ma nahme Sie k nnen in Outlook Express eine Nach richt ffnen indem Sie doppelt darauf kli cken Wenn Sie zu schnell auf eine verschl sselte Nachricht klicken wird in einigen F llen eine Nachricht ber Entschl sselungsfehler angezeigt Schlie en Sie die Nachricht und ffnen Sie die verschl sselte E Mail erneut Dar ber hinaus wird m glicherweise in der Voranzeige eine Fehlernachricht angezeigt wenn Sie eine verschl sselte Nachricht aus w hlen Wenn in der Voranzeige eine Fehlernachricht angezeigt wird ist keine Ma nahme erfor derlich Wenn Sie bei verschl sselten E Mails zwei Mal auf die Schaltfl che Senden klicken wird eine Fehlernachricht angezeigt Ma nahme Wenn Sie in Outlook Express zweimal auf die Schaltfl che zum Senden klicken um eine verschl sselte E Mail zu senden wird eine Fehlernachricht dar ber angezeigt dass die Nachricht nicht gesendet werden konnte Schlie en Sie die Fehlernachricht und kli cken Sie einmal auf die Schaltfl che Senden Beim Anfordern eines Zertifikats wird eine Fehlernachricht a
50. chnittstelle ersetzt die Anmeldung am Betriebssystem so dass immer wenn sich ein Benutzer am System anmelden m chte das UVM Anmeldefenster angezeigt wird UVM Anmeldeschutz f r das Betriebssystem konfigurieren Lesen Sie die folgenden Informationen bevor Sie den UVM Anmeldeschutz f r das System konfigurieren und verwenden Wenn die UVM Policy angibt dass die Authentifizierung ber Fingerabdr cke f r die Anmeldung am System erforderlich ist und wenn f r den Benutzer keine Fingerabdr cke registriert sind muss der Benutzer Fingerabdr cke regist rieren um sich anmelden zu k nnen Wenn das Windows Kennwort des Benutzers nicht oder falsch in UVM regist riert wurde muss der Benutzer das richtige Windows Kennwort eingeben um sich anzumelden L schen Sie den Inhalt des integrierten IBM Security Chips nicht bei aktiviertem UVM Schutz Andernfalls haben Sie keinen Zugriff mehr auf das System Wei tere Informationen hierzu finden Sie im Abschnitt Administratorfunktionen in Kapitel 9 Fehlerbehebung auf Seite 51 Wenn Sie im Administratordienstprogramm das Markierungsfeld Die Windows Standardanmeldung durch eine gesicherte UVM Anmeldung ersetzen inakti vieren kehrt das System zum Windows Anmeldungsprozess zur ck ohne die gesicherte UVM Anmeldung zu verwenden Wenn Sie die Windows Standardanmeldung durch die gesicherte UVM Anmel dung ersetzen und die Cisco LEAP Funktion aktivieren m ssen Sie das Cis
51. chutz durch Klicken mit en en ae 5 Ordnerschutz durch Klicken mit der rechten Maus taste bos se 2 aD Status der Ordnerverschl sselung u ee Hinweise zur Verwendung des Dienstprogramms zur Verschl sselung von Dateien und Ordnern Dienst programm FFE File and Folder a oH Laufwerkbuchstabenschutz se a Geschtitzte Dateien und Ordner l schen he Be ok Vor dem Upgrade von einer lteren Version des Dienstprogramms IBM FFE tee Vor dem Deinstallieren des Dienstprogramms IBM FFE ae s ea Einschr nkungen beim Dienstprogramm zur Ver schl sselung von Dateien und Ordnern ee programm FFE 37 Einschr nkungen beim Verschieb ri von gesch tz ten Dateien und Ordnern oo ale Einschr nkungen beim Ausf hren von Anwer dungen 8 Langenbeschrankungen f r Pfadnaimen 8 Fehler beim Sch tzen eines Ordners 8 Kapitel 3 Client Security verwenden 9 Beispiel 1 Ein Client unter Windows 2000 und ein Client unter Windows XP beide mit Outlook Express 9 Beispiel 2 Zwei IBM Clients unter Windows 2000 mit Lotus Notes und mit dem Client Security Bildschirmschoner 10 Beispiel 3 Mehrere IBM Clients untet Windows 2000 mit Tivoli Access Manager Verwaltung und mit Netscape als E Mail Programm Il Kapitel 4 Benutzer autorisieren 13 Authentifizierung f r Clientbenutzer 13 Authentifizierungselemente 13 Vor dem Autorisieren von Benutzern
52. co Aironet Client Utility ACU erneut installieren 17 UVM Anmeldeschutz fur das Betriebssystem konfigurieren Gehen Sie wie folgt vor um den UVM Anmeldeschutz fiir das Betriebssystem zu konfigurieren is 4 5 Klicken Sie auf dem Windows Desktop des IBM Clients auf Start gt Einstellun gen gt Systemsteuerung gt Subsystem von IBM Client Security Das Hauptfenster des Administratordienstprogramms wird angezeigt Klicken Sie auf Anwendungsunterstiitzung und Policies konfigurieren Die Anzeige Konfiguration der UVM Anwendungen und Policies erscheint Wahlen Sie das Markierungsfeld Die Windows Standardanmeldung durch eine gesicherte UVM Anmeldung ersetzen aus Klicken Sie auf OK Starten Sie den Computer erneut Wenn der Computer erneut gestartet wird werden Sie aufgefordert sich anzumel den Weitere Informationen zum UVM Schutz finden Sie im Abschnitt UVM An eldeschutz f r das Betriebssystem auf Seite 17 Fingerabdr cke von Benutzern in UVM registrieren Wenn die UVM Policy so bearbeitet wurde dass sie die Authentifizierung ber Fingerabdr cke umfasst muss jeder Benutzer in UVM Fingerabdr cke registrieren Anmerkung Windows XP unterst tzt keine Digital Persona U are U Pro Lesege r te f r Fingerabdr cke Gehen im Administratordienstprogramm wie folgt vor um Fingerabdr cke von Benutzern in UVM zu registrieren 1 W hlen Sie im Bereich F r die Benutzung von UVM berechtigte Windows
53. datei ein die bei erfolgreicher Authentifizierung wiedergegeben werden soll oder klicken Sie auf Durchsu chen wenn Sie eine Datei ausw hlen wollen 4 Geben Sie im Abschnitt UVM Authentifizierungst ne in das Feld Authentifi zierungsfehler den Dateipfad zur Audiodatei ein die bei nicht erfolgreicher Authentifizierung wiedergegeben werden soll oder klicken Sie auf Durchsu chen wenn Sie eine Datei ausw hlen wollen 5 Klicken Sie auf OK um den Vorgang abzuschlie en Kapitel 8 Anweisungen f r den Clientbenutzer 49 50 IBM Client Security Solutions Client Security Version 5 1 Administratorhandbuch Kapitel 9 Fehlerbehebung Im Folgenden finden Sie Informationen zur Vermeidung Erkennung und Behe bung von Fehlern die bei der Verwendung von Client Security auftreten k nnen Administratorfunktionen Dieser Abschnitt enthalt Informationen fiir Administratoren zur Konfiguration und zur Verwendung von Client Security Administratorkennwort festlegen ThinkCentre Uber die Sicherheitseinstellungen im Programm Configuration Setup Utility k nnen Administratoren folgende Vorg nge durchf hren Das Hardwarekennwort f r den integrierten IBM Security Chip ndern Den integrierten IBM Security Chip aktivieren oder inaktivieren Den Inhalt des integrierten IBM Security Chips l schen Achtung L schen oder inaktivieren Sie den integrierten IBM Security Chip nicht bei akti vierter gesicherter UVM Anmeldung
54. den verschl sselt Der aktuelle Benutzer erh lt keine Optionen f r die rechte Maustaste Von einem anderen Benutzer gesch tzt Ein anderer Benutzer sch tzt diesen Ordner Alle enthaltenen Dateien werden verschl sselt einschlie lich aller Dateien in Teilordnern und sie sind f r den aktuellen Benutzer nicht verf gbar Der aktuelle Benutzer erh lt keine Optio nen f r die rechte Maustaste bergeordneter Ordner eines gesch tzten Ordners Ein bergeordneter Ordner eines gesch tzten Ordners kann sich in einem der folgenden drei Status befinden Enth lt mindestens einen Teilordner der vom aktuellen Benutzer gesch tzt wurde Der aktuelle Benutzer sch tzt mindestens einen Teilordner Alle Dateien in den verschl sselten Teilordnern werden verschl sselt Der Benutzer erh lt die Option den bergeordneten Ordner zu sch tzen Enth lt mindestens einen Teilordner der von mindestens einem anderen Benutzer gesch tzt wurde Mindestens ein anderer Benutzer sch tzt mindestens einen Teilordner Alle Dateien in den verschl sselten Teilordnern werden verschl sselt und sind f r den aktuellen Benutzer nicht verf gbar Der aktuelle Benutzer erh lt keine Optionen f r die rechte Maustaste Enth lt Teilordner die vom aktuellen Benutzer und von mindestens einem anderen Benutzer gesch tzt wurden Sowohl der aktuelle Benutzer als auch mindestens ein anderer Benutzer sch tzen Teilordner Der aktuelle Benutzer erh lt ke
55. derherstellen 20 IBM Client Security Solutions Client Security Version 5 1 Administratorhandbuch UVM Schutz f r eine Lotus Notes Benutzer ID inaktivieren Gehen Sie wie folgt vor um den UVM Schutz fiir eine Lotus Notes Benutzer ID zu inaktivieren 1 Klicken Sie auf dem Windows Desktop des IBM Clients auf Start gt Einstellun gen gt Systemsteuerung gt Subsystem von IBM Client Security Nachdem Sie das Kennwort eingegeben haben wird das Hauptfenster des Administrator dienstprogramms angezeigt 2 Klicken Sie auf Anwendungsunterstiitzung und Policies konfigurieren Die Anzeige Konfiguration der UVM Anwendungen und Policies erscheint 3 Inaktivieren Sie das Markierungsfeld Lotus Notes Unterstiitzung aktivieren 4 Klicken Sie auf OK In der Anzeige Operationen zur Anwendungsuntersttitzung wird eine Nach richt angezeigt die besagt dass die Lotus Notes Unterst tzung inaktiviert ist UVM Schutz f r eine gewechselte Lotus Notes Benutzer ID konfigurieren Gehen Sie wie folgt vor um von einer einer Benutzer ID mit aktiviertem UVM Schutz zu einer anderen Benutzer ID zu wechseln 1 Verlassen Sie Lotus Notes 2 Inaktivieren Sie den UVM Schutz f r die aktuelle Benutzer ID Weitere Infor mationen hierzu finden Sie im Abschnitt UVM Schutz f r eine Lotus Notes Benutzer ID inaktivieren 3 Rufen Sie Lotus Notes auf und wechseln Sie die Benutzer ID Weitere Informa tionen zum Wechseln von Benutzer IDs finden Si
56. e Verschl sselungsanforderung gem RC2 40 RC2 64 oder RC2 128 von einem Netscape Client an einen Outlook Express Client 128 Bit wird an den Netscape Client immer mit dem RC2 40 Algorithmus zur ckgesendet Aktuelle Informationen zu den Verschl sselungsalgorithmen die mit den verschiedenen Versionen von Outlook Express verwendet werden erhalten Sie von Microsoft Bei der Verwendung eines Zertifikats in Outlook Express wird nach dem Ausfall eines Festplattenlaufwerks eine Fehler nachricht angezeigt Ma nahme Zertifikate k nnen im Administratordienst programm mit der Wiederherstellungs funktion f r Schl ssel wiederhergestellt werden M glicherweise sind einige Zertifi kate wie z B die kostenfreien Zertifikate von VeriSign nach einer Schl ssel wiederherstellung nicht wiederhergestellt F hren Sie nach der Wiederherstellung der Schl ssel einen der folgenden Schritte aus e Fordern Sie neue Zertifikate an e Registrieren Sie die Zertifizierungsinstanz erneut in Outlook Express IBM Client Security Solutions Client Security Version 5 1 Administratorhandbuch Fehlersymptom M gliche L sung Outlook Express aktualisiert den dem Zer tifikat zugeordneten Verschl sselungsgrad nicht Ma nahme Wenn ein Sender den Verschl sselungsgrad in Netscape ausw hlt und eine signierte E Mail an einen Outlook Express Client mit Internet Explorer 4 0 128 Bit sendet stimmt m gli
57. e Schl ssel nun statt in gef hrdeter Software im integrierten IBM Security Chip sicher gespeichert sind Gehen Sie wie folgt vor um das Tool zur bertragung von Zertifikaten auszuf h ren 1 F hren Sie im Stammverzeichnis der Sicherheitssoftware das Programm xfercert exe aus normalerweise in C Program Files IBM Security Im Hauptdialogfenster werden Zertifikate angezeigt die dem Standard Microsoft CSP zugeordnet sind Anmerkung Nur Zertifikate deren private Schl ssel bei der Erstellung als exportierbar gekennzeichnet wurden werden in dieser Liste ange zeigt 2 W hlen Sie die Zertifikate aus die Sie an das CSP Modul des integrierten IBM Sicherheits Subsystems bertragen m chten 3 Klicken Sie auf die Schaltfl che Zertifikate bertragen Die Zertifikate werden nun dem CSP Modul des integrierten IBM Sicherheits Sub systems zugeordnet und die privaten Schl ssel werden vom integrierten IBM Security Chip gesch tzt Alle Operationen die diese privaten Schl ssel verwenden z B die Erstellung digitaler Signaturen oder die Entschl sselung von E Mails wer den innerhalb der gesch tzten Umgebung des Chips ausgef hrt Schl sselarchiv f r Microsoft Anwendungen aktualisieren Sichern Sie das digitale Zertifikat nach seiner Erstellung indem Sie das Schl ssel archiv aktualisieren Sie k nnen das Schl sselarchiv mit dem Administratordienst programm aktualisieren 48 IBM Client Security Solutions Client Securi
58. e Windows Anmeldeanwendung anzugeben Diese Option steht bei UVM Anmeldeschutz nicht zur Verf gung F r die Anzahl der zul ssigen Fehlversuche bei der Eingabe des UVM Verschl sselungstextes k n nen Sie keine Grenze festlegen 77 78 IBM Client Security Solutions Client Security Version 5 1 Administratorhandbuch Anhang C Bemerkungen und Marken Bemerkungen Dieser Anhang enth lt rechtliche Hinweise zu IBM Produkten und Informationen zu Marken Die vorliegenden Informationen wurden f r Produkte und Services entwickelt die auf dem deutschen Markt angeboten werden M glicherweise bietet IBM die in diesem Dokument beschriebenen Produkte Ser vices oder Funktionen in anderen L ndern nicht an Informationen ber die gegen w rtig im jeweiligen Land verf gbaren Produkte und Services sind beim IBM Ansprechpartner erh ltlich Hinweise auf IBM Lizenzprogramme oder andere IBM Produkte bedeuten nicht dass nur Programme Produkte oder Dienstleistungen von IBM verwendet werden k nnen Anstelle der Produkte Programme oder Dienstleistungen k nnen auch andere ihnen quivalente Produkte Programme oder Dienstleistungen verwendet werden solange diese keine gewerblichen oder andere Schutzrechte von IBM verletzen Die Verantwortung f r den Betrieb von Fremdprodukten Fremdprogrammen und Fremddienstleistungen liegt beim Kun den F r in diesen Dokument beschriebene Erzeugnisse und Verfahren kann es IBM Patente oder IBM Patentanmeldu
59. e in der Dokumentation zu Lotus Notes 4 Zur Konfiguration des UVM Schutzes f r die Benutzer ID zu der Sie gewech selt sind rufen Sie das Tool zur Lotus Notes Konfiguration auf von Client Security bereitgestellt und konfigurieren den UVM Schutz Weitere Informatio nen hierzu finden Sie im Abschnitt UVM Schutz innerhalb von Lotus Notes verwenden auf Seite 20 Client Security mit Netscape Anwendungen einsetzen Die Anweisungen in diesem Abschnitt gelten speziell f r die Verwendung von Cli ent Security im Zusammenhang mit dem Anfordern und Anwenden digitaler Zerti fikate bei Anwendungen die den Standard PKCS 11 unterst tzen insbesondere Netscape Anwendungen Weitere Informationen zur Verwendung der Sicherheitseinstellungen f r Netscape Anwendungen finden Sie in der Dokumentation die mit Netscape geliefert wird IBM Client Security unterst tzt nur Netscape Version 4 7x Anmerkung Wenn Sie Browser mit 128 Bit Verschl sselung mit Client Security verwenden m chten muss der integrierte IBM Security Chip 256 Bit Verschl sselung unterst tzen Den Grad der Verschl sselung durch Client Security k nnen Sie feststellen indem Sie auf die Schaltfl che Chipeinstellungen klicken Kapitel 5 Nach dem Hinzuf gen von Benutzern in UVM 21 Fur Netscape Anwendungen PKCS 11 Module des integrier ten IBM Security Chips installieren Bevor Sie ein digitales Zertifikat verwenden k nnen m ssen Sie das PKCS 11 Modul des integ
60. ekt ber Tivoli Access Manager zu steuern wird das Markierungsfeld Keinen Zugriff auf ausgew hltes Objekt zulassen nicht inaktiviert Auch wenn das Markierungsfeld Keinen Zugriff auf ausgew hltes Objekt zulassen weiterhin aktiviert ist kann die Tivoli Access Manager Steuerung nicht ber dieses Markierungsfeld au er Kraft gesetzt werden Bekannte Einschr nkungen Dieser Abschnitt enth lt Informationen zu bekannten Einschr nkungen in Bezug auf Client Security Client Security mit Windows Betriebssystemen einsetzen Alle Windows Betriebssysteme weisen die folgende bekannte Einschr nkung auf Wenn ein in UVM registrierter Clientbenutzer seinen Windows Benutzern amen ndert geht die gesamte Funktionalit t von Client Security verloren Der Benutzer muss den neuen Benutzernamen erneut in UVM registrieren und alle neuen Berechtigungsnachweise anfordern Windows XP Betriebssysteme weisen die folgende bekannte Einschr nkung auf In UVM registrierte Benutzer deren Windows Benutzername zuvor ge ndert wurde werden von UVM nicht erkannt UVM verweist auf den fr heren Benutzernamen w hrend Windows nur den neuen Benutzernamen erkennt Diese Einschr nkung gilt selbst dann wenn der Windows Benutzername vor der Installa tion von Client Security ge ndert wurde Client Security mit Netscape Anwendungen einsetzen Netscape wird nach einem Berechtigungsfehler ge ffnet Wenn das Fenster UVM Verschl sselungstext ge ffnet wird m sse
61. ellt wurden an das CSP Modul des integrierten IBM Sicherheits Subsystems bertragen Dadurch wird der not wendige Schutz f r private Schl ssel die zu Zertifikaten geh ren betr chtlich erh ht da die Schl ssel nun statt in gef hrdeter Software im integrierten IBM Security Chip sicher gespeichert sind Funktion zur Schl sselarchivierung und wiederherstellung Eine wichtige PKI Funktion ist das Erstellen eines Schl sselarchivs aus dem Schl ssel bei Ver lust oder Besch digung der Originalschl ssel wiederhergestellt werden k nnen Client Security bietet eine Schnittstelle mit der Sie mit dem integrierten IBM Security Chip erstellte Archive f r Schl ssel und digitale Zertifikate erstellen und diese Schl ssel und Zertifikate bei Bedarf wiederherstellen k nnen Verschl sselung von Dateien und Ordnern Die Verschl sselung von Dateien und Ordnern erm glicht dem Benutzer das schnelle und einfache Ver und Ent schl sseln von Dateien und Ordnern So wird eine h here Stufe von Daten sicherheit als erste der Sicherheitsma nahmen des CSS Systems gew hrleistet 2 IBM Client Security Solutions Client Security Version 5 1 Administratorhandbuch Authentifizierung ber Fingerabdr cke IBM Client Security unterst tzt das Leseger t f r Fingerabdr cke von Targus als PC Karte oder ber USB f r die Authentifizierung Die Client Security Software muss installiert sein bevor die Einheitentreiber f r das Targus Leseger t f
62. en Uber diese Registerkarte k nnen Sie eine Audiodatei ausw hlen die bei erfolgreicher oder fehlgeschlagener Authentifi zierung wiedergegeben werden soll Benutzerkonfiguration ber diese Registerkarte kann ein Benutzer seine Benutzerkonfiguration aus dem Archiv wiederherstellen oder seine Sicherheitskonfiguration zur cksetzen 4 Klicken Sie auf OK um die Konfiguration zu beenden E Mails sicher versenden und im World Wide Web sicher navigieren Wenn Sie ber das Internet ungesicherte Transaktionen senden k nnen diese abge fangen und gelesen werden Den unbefugten Zugriff auf Ihre Internet Transaktio nen k nnen Sie verhindern indem Sie sich ein digitales Zertifikat besorgen und damit die E Mails signieren und verschl sseln oder den Webbrowser sichern Ein digitales Zertifikat auch digitale ID oder Sicherheitszertifikat genannt ist ein elektronischer Berechtigungsnachweis der von einer Zertifizierungsinstanz ausge stellt und digital signiert wird Wenn Sie ein digitales Zertifikat erhalten beschei nigt die Zertifizierungsinstanz dadurch Ihre Identit t als Eigner des Zertifikats Bei der Zertifizierungsinstanz handelt es sich um einen vertrauensw rdigen Anbieter von digitalen Zertifikaten z B eine Firma wie VeriSign oder einen Server der als Zertifizierungsinstanz innerhalb Ihres Unternehmens eingerichtet wird Das digitale Zertifikat enth lt Ihre Identit t d h Ihren Namen und Ihre E Mail Adresse die Ablaufda
63. en UVM Verschl sselungstext ndern Unter Windows 2000 und Windows XP k nnen Benutzer mit dem Clientdienstprogramm Schl sselarchive aktualisieren und Windows Anmeldekennw rter ndern so dass diese von UVM erkannt werden Au erdem kann ein Benutzer Sicherungs kopien der digitalen Zertifikate erstellen die vom integrierten IBM Security Chip erzeugt wurden PKI Funktionen Client Security bietet alle erforderlichen Komponenten um in Ihrem Unternehmen eine PKI Public Key Infrastructure aufzubauen z B Steuerung der Client Sicherheits Policy durch Administratoren Die Authentifi zierung von Endbenutzern auf Clientebene ist ein wichtiger Aspekt f r Sicher heits Policies Client Security bietet die erforderliche Schnittstelle zur Verwaltung der Sicherheits Policy eines IBM Clients Diese Schnittstelle ist Teil der Authenti fizierungssoftware UVM User Verification Manager der Hauptkomponente von Client Security Chiffrierschl sselverwaltung f r ffentliche Schl ssel Administratoren k n nen mit Client Security Chiffrierschl ssel f r die Computerhardware und f r die Clientbenutzer erstellen Bei der Erstellung von Chiffrierschl sseln sind diese ber eine Schl sselhierarchie an den integrierten IBM Security Chip gebunden In der Hierarchie wird ein Hardwareschl ssel der Basisebene verwendet um die bergeordneten Schl ssel sowie die den einzelnen Clientbenutzern zugeordneten Benutzerschl ssel zu verschl sseln
64. en verwalten Dieses Handbuch ist au erdem f r Tivoli Access Manager Administratoren konzi piert die mit IBM Tivoli Access Manager Authentifizierungsobjekte verwalten die sich in der UVM Policy befinden Tivoli Access Manager Administratoren m ssen Folgendes verwalten k nnen e Objektbereich von Tivoli Access Manager Prozesse f r die Authentifizierung die Autorisierung und die Anforderung des Berechtigungsnachweises IBM Umgebung mit verteilter Datenverarbeitung IBM Distributed Computing Environment DCE e Protokoll LDAP Lightweight Directory Access Protocol von IBM SecureWay Directory Benutzung des Handbuchs Mit diesem Handbuch k nnen Sie die Benutzerauthentifizierung und die UVM Sicherheits Policy f r IBM Clients konfigurieren Es wird erg nzt durch das Client Security Installationshandbuch das Handbuch Client Security mit Tivoli Access Mana ger verwenden und das Client Security Benutzerhandbuch Das vorliegende Handbuch und die gesamte Dokumentation zu Client Security kann von der IBM Website unter http www pc ibm com ww security secdownload html heruntergeladen werden Verweise auf das Client Security Installationshandbuch In diesem Dokument finden Sie Verweise auf das Client Security Installations handbuch Sie m ssen Client Security auf einem IBM Client installieren bevor Sie das vorliegende Handbuch verwenden k nnen Anweisungen zur Software installation finden Sie im Client Security Inst
65. en zur Verschlusselung Im folgenden Abschnitt finden Sie Informationen die Ihnen bei der Behebung von Fehlern bei der Verschltisselung von Dateien unter Verwendung von Client Secu rity ab Version 3 0 weiterhelfen k nnen Fehlersymptom M gliche L sung Bereits verschl sselte Dateien werden nicht entschl sselt Ma nahme Dateien die mit fr heren Versionen von Client Security verschl sselt wurden wer den nach dem Upgrade auf Client Security ab Version 3 0 nicht entschl sselt Dies ist eine bekannte Einschr nkung Sie m ssen alle mit fr heren Versionen von Client Security verschl sselten Dateien ent schl sseln bevor Sie Client Security ab Ver sion 3 0 installieren Client Security 3 0 kann Dateien die von fr heren Versionen von Client Security verschl sselt wurden nicht entschl sseln da in dieser Version die Imp lementierung der Dateiverschl sselung ge ndert wurde Fehlerbehebungsinformationen zu UVM sensitiven Einheiten Im folgenden Abschnitt finden Sie Informationen die Ihnen bei der Behebung von Fehlern bei der Verwendung UVM sensitiver Einheiten weiterhelfen k nnen Fehlersymptom M gliche L sung Eine UVM sensitive Einheit funktioniert nicht mehr ordnungsgem Ma nahme Wenn Sie eine UVM sensitive Einheit vom USB Anschluss Universal Serial Bus tren nen und die Einheit danach erneut am USB Anschluss anschlie en funktioniert die Einheit m glich
66. er Ordner nicht gesch tzt werden kann da m glicherweise eine oder mehrere Dateien verwendet werden berpr fen Sie Folgendes berpr fen Sie ob eine der Dateien im Ordner derzeit verwendet wird e Wenn im Windows Explorer ein oder mehrere Teilordner eines Ordners den Sie sch tzen m chten angezeigt werden stellen Sie sicher dass der Ordner den Sie zu sch tzen versuchen hervorgehoben und aktiv ist und nicht einer der Teil ordner IBM Client Security Solutions Client Security Version 5 1 Administratorhandbuch Kapitel 3 Client Security verwenden Administratoren k nnen mit den zahlreichen Komponenten von Client Security die Sicherheitsfunktionen einrichten die f r IBM Clientbenutzer erforderlich sind Sie k nnen sich an den folgenden Beispielen orientieren wenn Sie die Policies und die Konfiguration mit Client Security planen Windows NT Anwender k nnen z B f r die Anmeldung am System den UVM Schutz einrichten dadurch werden unbe rechtigte Benutzer daran gehindert sich am IBM Client anzumelden Beispiel 1 Ein Client unter Windows 2000 und ein Client unter Win dows XP beide mit Outlook Express In diesem Beispiel ist auf einem IBM Client Client 1 Windows 2000 und Outlook Express installiert auf dem anderen Client Client 2 Windows XP und Outlook Express F r drei Benutzer ist die Konfiguration der UVM Authentifizierung auf Client 1 erforderlich ein Clientbenutzer ben tigt eine Konfiguration der UV
67. er UVM Anmeldung alle Benutzer fiir das System gesperrt Wenn Sie einen Clientbenutzer autorisieren bietet das Administratordienst programm eine Liste mit Benutzernamen an in der Sie eine Auswahl treffen k n nen Die in dieser Liste aufgef hrten Namen sind Benutzeraccounts die mit dem Betriebssystem hinzugef gt wurden Erstellen Sie mit dem Betriebssystem Benutze raccounts und Profile f r die entsprechenden Benutzer bevor Sie in UVM Clientbe nutzer hinzuf gen Client Security funktioniert in Verbindung mit den Sicherheits einrichtungen des Betriebssystems Windows XP und Windows 2000 Mit dem Programm Benutzer und Kennw rter k nnen Sie neue Benutzerac counts erstellen und Benutzeraccounts oder Benutzergruppen verwalten Weitere Informationen finden Sie in der Dokumentation zum Betriebssystem Unter Windows XP wird das Feld Zu autorisierende Windows Benutzer ausw h len nicht aktualisiert wenn Sie auf die Schaltfl che zum Erstellen eines neuen Win dows Benutzers klicken Sie m ssen das Administratordienstprogramm beenden und erneut starten um dieses Feld zu aktualisieren Anmerkungen 1 Wenn Sie mit der Betriebssystemsoftware neue Benutzer erstellen muss das Dom nenkennwort f r jeden neuen Benutzer gleich sein 2 Autorisieren Sie keinen neuen Benutzer dessen Windows Benutzername zuvor ge ndert wurde Andernfalls verweist UVM auf den fr heren Benutzernamen w hrend Windows nur den neuen Benutzernamen erkennt
68. ers den UVM Verschl sselungstext ein bzw lassen Sie ihre Fingerabdr cke abtasten Eine Nachricht ber einen VBScript oder JavaScript Fehler wird angezeigt Ma nahme Wenn Sie ein digitales Zertifikat anfordern wird m glicherweise eine Fehlernachricht angezeigt die sich auf VBScript oder JavaScript bezieht Starten Sie den Computer erneut und bezie hen Sie das Zertifikat erneut IBM Client Security Solutions Client Security Version 5 1 Administratorhandbuch Fehlerbehebungsinformationen zu Tivoli Access Manager Die folgenden Informationen zur Fehlerbehebung k nnen hilfreich sein wenn bei der Verwendung von Tivoli Access Manager in Verbindung mit Client Security Fehler auftreten Fehlersymptom M gliche L sung Die lokalen Policy Einstellungen entspre chen nicht denen auf dem Server Ma nahme Tivoli Access Manager l sst bestimmte Bit Konfigurationen zu die von UVM nicht unterst tzt werden Folglich k nnen lokale Policy Anforderungen Einstellungen ber schreiben die ein Administrator bei der Konfiguration eines PD Servers vorgenom men hat Dies ist eine bekannte Einschr nkung Kein Zugriff auf die Konfigurationsein stellungen von Tivoli Access Manager Ma nahme Im Administratordienstprogramm kann auf der Seite zur Policy Installation weder auf die Konfigurationseinstellungen von Tivoli Access Manager noch auf die entsprechen den Einstellungen zur lok
69. erschl sselungstext entsprechen e Verschl sselungstext l uft nie ab Wenn diese Option ausgew hlt ist l uft der Verschl sselungstext nie ab Die Policy f r den Verschl sselungstext wird vom Administratordienstprogramm bei der Registrierung des Benutzers und bei der nderung des Verschl sselungs textes durch den Benutzer ber das Clientdienstprogramm berpr ft Die beiden Benutzereinstellungen zum vorherigen Kennwort werden zur ckgesetzt und Pro tokolle zum Verschl sselungstext werden entfernt Folgende allgemeine Regeln gelten f r UVM Verschl sselungstexte L nge Der Verschl sselungstext kann bis zu 256 Zeichen lang sein Zeichen Der Verschl sselungstext kann jede beliebige Kombination von Zeichen enthalten die die Tastatur erzeugt einschlie lich Leerzeichen und nicht alphanumerische Zeichen 74 IBM Client Security Solutions Client Security Version 5 1 Administratorhandbuch Merkmale Der UVM Verschltisselungstext unterscheidet sich von einem Kennwort das Sie zur Anmeldung am Betriebssystem verwenden k nnen Der UVM Verschl sselungstext kann in Verbindung mit anderen Authentifizierungs einheiten verwendet werden z B mit einem UVM Sensor f r Fingerabdr cke Fehlversuche Wenn Sie w hrend einer Sitzung den UVM Verschl sselungstext mehrmals falsch eingeben wird der Computer nicht gesperrt F r die Anzahl der Fehlversuche besteht keine Begrenzung Anhang A Regeln f r Kennw rter und Verschli
70. erschl sselungstext erforderlich beibehalten Entrust Anmeldekennwort ndern Mit diesem Objekt wird die Authentifizierung gesteuert die zum ndern des Entrust Anmeldekennworts erforderlich ist Dazu gibt Entrust den Auf ruf PKCS 11 C_OpenSession aus der vom PKCS 11 Modul empfangen werden soll Die meisten Benutzer sollten die Einstellung Nach erstem Gebrauch auf diese Weise ist kein Verschl sselungstext erforderlich beibe halten Kapitel 6 Mit der UVM Policy arbeiten 27 Authentifizierungselemente Uber die UVM Policy wird festgelegt welche verfiigbaren Authentifizierungsele mente f r jedes aktivierte Objekte erforderlich sind Auf diese Weise k nnen Sie f r verschiedene Benutzeraktionen unterschiedliche Sicherheits Policies einrichten Auf der Registerkarte Authentifizierungselemente der Anzeige IBM UVM Policy im Administratordienstprogramm k nnen folgende Authentifizierungselemente ausgew hlt werden Auswahl von Verschl sselungstext ber diese Auswahl kann ein Administrator den UVM Verschl sselungs text zur Authentifizierung eines Benutzers auf eine der drei folgenden Arten festlegen e Es ist immer ein neuer Verschl sselungstext erforderlich e Nach erstem Gebrauch auf diese Weise ist kein Verschl sselungstext erforderlich Kein Verschl sselungstext erforderlich wenn Bereitstellung bei der Anmeldung am System erfolgt ist Fingerabdruck Auswahl ber diese Auswahl kann ein Administrator
71. ertifikate registrier ter Fingerabdr cke und gespeicherter Kennw rter gel scht werden Klicken Sie auf Ja um fortzufahren Es wird eine Nachricht mit der Frage angezeigt ob die archivierten Informatio nen des Benutzers gel scht werden sollen Wenn diese Informationen gel scht werden kann der Benutzer auf keinem System zuvor gespeicherte Einstellun gen wiederherstellen Klicken Sie auf Ja um den Vorgang abzuschlie en Neue Benutzer erstellen Benutzer m ssen sich mit der Administratorberechtigung anmelden wenn sie das Administratordienstprogramm einsetzen m chten Gehen Sie wie folgt vor um neue Benutzer zu erstellen i Klicken Sie auf dem Windows Desktop des IBM Clients auf Start gt Einstellun gen gt Systemsteuerung gt Subsystem von IBM Client Security Die Anzeige Administratorkennwort eingeben erscheint Geben Sie das Administratorkennwort ein und klicken Sie auf OK Das Hauptfenster des Administratordienstprogramms f r das IBM Sicherheits Subsystem wird angezeigt Klicken Sie im Bereich Zu autorisierende Windows Benutzer ausw hlen auf Neuen Windows Benutzer erstellen Die Anzeige Windows Benutzeraccounts erscheint Klicken Sie auf Einen neuen Account erstellen Geben Sie in das entsprechende Feld einen Namen f r den neuen Account ein Klicken Sie anschlie end auf Weiter Wahlen Sie mit Hilfe des entsprechenden Radioknopfs einen Accounttyp aus Klicken Sie auf Account erstelle
72. erweise nicht ordnungsge maf Starten Sie nach dem erneuten Anschluss der Einheit an den USB Anschluss den Com puter erneut Kapitel 9 Fehlerbehebung 71 72 IBM Client Security Solutions Client Security Version 5 1 Administratorhandbuch Anhang A Regeln fur Kennworter und Verschlusselungstexte In diesem Anhang finden Sie Informationen zu den Regeln fiir verschiedene Systemkennw rter Regeln f r Hardwarekennw rter F r Hardwarekennw rter gelten die folgenden Regeln L nge Das Kennwort muss genau acht Zeichen lang sein Zeichen Das Kennwort darf nur alphanumerische Zeichen enthalten Die Kombina tion von Buchstaben und Ziffern ist zul ssig Es sind keine speziellen Zei chen wie das Leerzeichen und die Zeichen zul ssig Merkmale Sie k nnen das Kennwort f r den IBM Security Chip festlegen um den integrierten IBM Security Chip im Computer zu aktivieren Dieses Kenn wort m ssen Sie bei jedem Zugriff auf das Administratordienstprogramm eingeben Fehlversuche Wenn Sie das Kennwort zehnmal falsch eingegebenen haben wird der Computer 1 Stunde und 17 Minuten lang gesperrt Wenn Sie nach diesem Zeitraum das Kennwort zehn weitere Male falsch eingeben wird der Com puter 2 Stunden und 34 Minuten lang gesperrt Die Dauer der Computer sperrung verdoppelt sich jedes Mal wenn Sie das Kennwort zehnmal falsch eingeben Regeln f r UVM Verschl sselungstexte Die Sicherheit wird dadurch erh ht dass
73. forderlich sein sollen Klicken Sie auf bernehmen um Ihre Auswahl zu speichern Die Anzeige Privater Administratorschl ssel erforderlich erscheint Geben Sie entweder durch Eingabe des Pfadnamens in das entsprechende Feld oder durch Klicken auf Durchsuchen und Ausw hlen des entsprechenden Ordners die Speicherposition des privaten Schl ssels an Klicken Sie auf OK In der Anzeige IBM User Verification Manager Zusammenfassung f r Policy wird eine Zusammenfassung der Objekte angezeigt die ber die lokale Client Policy gesteuert werden Starten Sie Lotus Notes Wenn Lotus Notes gestartet wird ist die UVM Kennwortregistrierung been det Kapitel 5 Nach dem Hinzuf gen von Benutzern in UVM 19 UVM Schutz innerhalb von Lotus Notes verwenden Bevor Sie den UVM Schutz f r Lotus Notes verwenden k nnen m ssen Sie die Schritte im Abschnitt UVM Schutz innerhalb von Lotus Notes konfigurieren befolgen UVM Schutz innerhalb von Lotus Notes konfigurieren Gehen Sie wie folgt vor um den UVM Schutz innerhalb von Lotus Notes zu konfi gurieren 1 Melden Sie sich bei Lotus Notes an Das Fenster IBM User Verification Manager wird angezeigt Geben Sie in die verf gbaren Felder das Lotus Notes Kennwort ein und best tigen Sie es Nun ist das Lotus Notes Kennwort in UVM registriert Lotus Notes Kennwort neu festlegen Gehen Sie wie folgt vor um das Lotus Notes Kennwort neu festzulegen 1 2 Melden
74. griff je nach verwendeter Software Eine Fehlernachricht von Out look Express ber die Verweigerung des Zugriffs auf ein Authentifizierungsobjekt unterscheidet sich somit von einer Netscape Fehlernachricht ber verweigerten Zugriff Kapitel 9 Fehlerbehebung 57 Fehlerbehebungstabellen Im folgenden Abschnitt finden Sie Tabellen die Ihnen bei der Behebung von Feh lern in Verbindung mit Client Security weiterhelfen k nnen 58 Fehlerbehebungsinformationen zur Installation Im folgenden Abschnitt finden Sie Informationen die Ihnen bei der Behebung von Fehlern bei der Installation von Client Security weiterhelfen k nnen Fehlersymptom M gliche L sung W hrend der Softwareinstallation wird eine Fehlernachricht angezeigt Ma nahme Bei der Softwareinstallation werden Sie in einer Nachricht gefragt ob Sie die ausge w hlte Anwendung und alle zugeh rigen Komponenten entfernen m chten Klicken Sie auf OK um das Fenster zu ver lassen Beginnen Sie erneut mit dem Installationsprozess um die neue Version von Client Security zu installieren W hrend der Installation wird eine Nach richt angezeigt die besagt dass bereits eine vorherige Version von Client Security instal liert ist Klicken Sie auf OK um das Fenster zu ver lassen Gehen Sie wie folgt vor 1 Deinstallieren Sie die Software 2 Installieren Sie die Software erneut Anmerkung Wenn Sie dasselbe Hardware kennwort zum Schutz de
75. gstext password ung ltig ob der Verschl sselungstext mit einer Ziffer enden darf nein Standardm ig ist z B der Verschl sselungstext password8 ung ltig ob der Verschl sselungstext eine Benutzer ID enthalten darf nein Standardm ig ist z B der Verschl sselungstext Benutzername ung ltig wobei es sich bei Benutzername um eine Benutzer ID handelt ob der neue Verschl sselungstext sich von den letzten x Verschl sselungstexten unterscheiden muss ja 3 Standardm ig ist z B der Verschl sselungstext mypassword ung ltig wenn einer der drei vorherigen Verschl sselungstexte mypassword war ob der Verschl sselungstext mehr als drei identische aufeinander folgende Zei chen des letzten Kennworts enthalten darf nein Standardm ig ist z B der Verschl sselungstext password ung ltig wenn einer der drei vorherigen Verschl sselungstexte pass oder word war Das Fenster Policy f r UVM Verschl sselungstext des Administratordienst programms erm glicht Sicherheitsadministratoren zudem eine Steuerung des Ablaufs der Verschl sselungstexte ber das Fenster Policy f r UVM Verschl sselungstext kann der Administrator aus den folgenden Regeln f r Verschl sselungstexte ausw hlen e Verschl sselungstext ist nicht mehr g ltig nach ja 184 In diesem Beispiel l uft der Verschl sselungstext standardm ig nach 184 Tagen ab Der neue Verschl sselungstext muss der vorhandenen Policy f r den V
76. gt vor um einen Client ohne Benutzerunterst tzung in einem Netzwerk mit standortunabh ngigem Zugriff mit Berechtigungsnachweis zu regist rieren 1 Entschl sseln Sie ber das Konsolendienstprogramm die zuvor generierte Datei CSEC INI Diese Datei enth lt das Hardwarekennwort und die Benutzer die registriert werden sollen 2 F gen Sie im Abschnitt csssetup der Datei die Zeichenfolge enableroaming 1 hinzu Dies bedeutet dass das System als Client f r den standortunabh ngigen Zugriff registriert werden soll 3 F gen Sie im selben Abschnitt den Eintrag username OPTION hinzu F r die sen Wert gibt es drei Optionen a Die Zeichenfolge promptcurrent einschlie lich der eckigen Klam mern Diese Bezeichnung sollte verwendet werden wenn eine dat Datei f r den derzeit angemeldeten Benutzer auf dem Roaming Server generiert wurde und der derzeitige Benutzer das Systemregistrierungskennwort kennt Durch diese Option wird ein Dialogfenster angezeigt in dem der Benutzer zur Eingabe von sysregpwd Systemregistrierungskennwort aufge fordert wird Wenn es sich um eine Installation ohne Benutzerunterst tzung handeln soll ist dem Administrator nat rlich daran gelegen dies zu ver meiden da hierf r ein derzeit aktiver Benutzer erforderlich ist b Die Zeichenfolge current einschlie lich der eckigen Klammern Diese Bezeichnung sollte verwendet werden wenn f r den derzeit angemel deten Benutzer auf dem Server eine
77. hl sselungsgrad kompatibel der von der Firmware von Client Security bereitgestellt wird Beim Versuch eine E Mail digital zu sig nieren wird eine Fehlernachricht ange zeigt Ma nahme Wenn das Zertifikat des integrierten IBM Security Chips in Netscape Messenger nicht ausgew hlt wurde und der Verfasser der E Mail versucht diese mit dem Zertifikat zu signieren wird eine Fehlernachricht ange zeigt Eine E Mail wird mit einem anderen Algo rithmus an den Client zur ckgesendet Verwenden Sie zur Auswahl des Zertifikats die Sicherheitseinstellungen in Netscape Messenger Wenn Netscape Messenger ge ff net ist klicken Sie in der Symbolleiste auf das Sicherheitssymbol Das Fenster mit den Sicherheitsinformationen wird ge ffnet Kli cken Sie im linken Teilfenster auf Netscape Messenger und w hlen Sie anschlie end Zertifikat des integrierten IBM Security Chips aus Weitere Informationen hierzu fin den Sie in der Dokumentation von Netscape Ma nahme Eine mit dem RC2 40 RC2 64 oder RC2 128 Algorithmus verschl sselte E Mail wird von einem Client mit Netscape Messenger an einen Client mit Outlook Express 128 Bit gesendet Eine vom Out look Express Client zur ckgesendete E Mail wird mit dem Algorithmus RC2 40 ver schl sselt Es ist keine Ma nahme erforderlich Eine Verschl sselungsanforderung gem RC2 40 RC2 64 oder RC2 128 von einem Netscape Client an einen Outlook Express Client
78. hlen Sie die Option Administrator Password aus 5 Geben Sie das Kennwort ein und dr cken Sie auf der Tastatur die Taste mit dem Abw rtspfeil 6 Geben Sie das Kennwort erneut ein und dr cken Sie auf der Tastatur die Taste mit dem Abw artspfeil 51 7 W hlen Sie Change Administrator password aus und dr cken Sie die Ein gabetaste Dr cken Sie danach erneut die Eingabetaste 8 Dr cken Sie die Taste Esc um die Einstellungen zu speichern und das Pro gramm zu verlassen Nach dem Festlegen eines Administratorkennworts wird bei jedem Zugriff auf das Programm Configuration Setup Utility eine Eingabeaufforderung angezeigt Wichtig Bewahren Sie Ihr Administratorkennwort an einem sicheren Ort auf Soll ten Sie das Administratorkennwort verlieren oder vergessen k nnen Sie nicht auf das Programm Configuration Setup Utility zugreifen und das Kennwort nicht ndern oder l schen ohne die Computerabdeckung zu entfernen und auf der Systemplatine eine Br cke zu versetzen Weitere Informationen hierzu finden Sie in der Hardwaredokumentation die mit Ihrem Computer geliefert wurde Administratorkennwort festlegen ThinkPad Mit den Sicherheitseinstellungen im Programm IBM BIOS Setup Utility k nnen Administratoren folgende Vorg nge durchf hren Den integrierten IBM Security Chip aktivieren oder inaktivieren Den Inhalt des integrierten IBM Security Chips l schen Achtung L schen oder inaktivieren Sie den
79. hlerbehebungsinformationen zum Administratordienstprogramm x Fehlerbehebungsinformationen zum Benutzer konfigurationsprogramm Fehlerbehebungsinformationen zum ThinkPad Fehlerbehebungsinformationen zu Microsoft An wendungen und Betriebssystemen Fehlerbehebungsinformationen zu Netscape Age wendungen fikaten Fehlerbehebungsinformationen zu Tivoli Access Manager Fehlerbehebungsinformationen zu Tas Notes Fehlerbehebungsinformationen zur Verschl sse lung Fehlerbehebungsinformationen zu UVM Sensit ven Einheiten Anhang A Regeln f r Kennw rter und Verschl sselungstexte Regeln f r Hardwarekennw rter Regeln f r UVM Verschl sselungstexte Anhang B Regeln f r den UVM Schutz f r die Anmeldung am System Anhang C Bemerkungen und Marken Bemerkungen Marken iv IBM Client Security Solutions Client Security Version 5 1 Administratorhandbuch 54 54 io DD 55 55 56 56 Einschr nkungen f r das Benutzerkonfigurations 57 97 58 58 99 61 62 62 66 Fehlerbehebungsinformationen zu digitalen Zerti 68 69 70 71 71 73 73 73 77 79 79 80 Vorwort Dieses Handbuch enth lt Informationen zur Konfiguration und zur Verwendung der Sicherheitsfunktionen von Client Security Das Handbuch ist wie folgt aufgebaut Kapitel 1 Einf hrung in IBM Client Security enth lt eine bersicht ber die Anwe
80. i entrust ini suchen kann Sobald der Benutzer die Datei gefunden und ausgew hlt hat kann Client Security die Unterst tzung f r Entrust aktivieren Nach Auswahl des Markierungsfelds Entrust Unterst tzung aktivieren muss ein Neustart durch gef hrt werden damit Entrust den integrierten IBM Security Chip verwenden kann Gehen Sie wie folgt vor um die Entrust Unterst tzung zu aktivieren 1 Klicken Sie auf dem Windows Desktop des IBM Clients auf Start gt Einstellun gen gt Systemsteuerung gt Subsystem von IBM Client Security Das Hauptfenster des Administratordienstprogramms wird angezeigt 2 Klicken Sie auf Anwendungsunterst tzung und Policies konfigurieren Die Anzeige Konfiguration der UVM Anwendungen und Policies wird ange zeigt 3 W hlen Sie das Markierungsfeld Entrust Unterst tzung aktivieren aus 4 Klicken Sie auf bernehmen In der Anzeige Entrust Unterst tzung von IBM Client Security wird eine Nachricht dar ber ausgegeben dass die Entrust Unterst tzung aktiviert ist Anmerkung Sie m ssen den Computer erneut starten damit die nderungen wirksam werden IBM Client Security Solutions Client Security Version 5 1 Administratorhandbuch Kapitel 8 Anweisungen fur den Clientbenutzer Hier finden Sie Informationen zu den folgenden Tatigkeiten von Clientbenutzern e UVM Schutz f r die Anmeldung am System verwenden Client Security Bildschirmschoner konfigurieren Benutzerkonfiguration
81. icht Wechseln Sie die Modelle der Sensoren f r Fingerabdr cke nicht Verwenden Sie bei der Arbeit von einem fernen Standort aus stets das gleiche Modell wie bei der Arbeit an einer Andockstation Fehlerbehebungsinformationen zu Microsoft Anwendungen und Betriebssystemen Die folgenden Fehlerbehebungstabellen enthalten Informationen zur Fehler behebung bei der Verwendung von Client Security mit Microsoft Anwendungen oder Betriebssystemen Fehlersymptom M gliche L sung Bildschirmschoner wird nur auf lokaler Anzeige angezeigt Ma nahme Bei Verwendung des erweiterten Windows Desktop wird der Client Security Bildschirmschoner nur auf der lokalen Anzeige angezeigt obwohl der Zugriff auf das System und die Tastatur gesch tzt wird Wenn sensible Informationen angezeigt wer den verkleinern Sie die Fenster auf Ihrem erweiterten Desktop auf Symbolgr e bevor Sie den Client Security Bildschirmschoner aufrufen Windows Media Player Dateien werden verschl sselt statt unter Windows XP wie dergegeben zu werden Ma nahme IBM Client Security Solutions Client Security Version 5 1 Administratorhandbuch Fehlersymptom M gliche L sung Wenn Sie unter Windows XP einen Ordner ffnen und auf Alles wiedergeben klicken wird der Dateiinhalt verschl sselt statt vom Windows Media Player wiedergegeben zu werden Gehen Sie wie folgt vor um die Wiedergabe von Dateien mit dem
82. icy festge legt wird dass drei Benutzer den Client 1 verwenden m ssen alle drei Benutzer ihre Fingerabdr cke registrieren Anmerkung Wenn Sie als Authentifizierungsbestimmung in der UVM Po licy f r den Client Fingerabdr cke konfigurieren m ssen die einzelnen Benutzer ihre Fingerabdr cke registrieren 4 Bearbeiten und speichern Sie eine lokale UVM Policy auf jedem Client der die Authentifizierung f r Folgendes erfordert Anmeldung am Betriebssystem Anfordern eines digitalen Zertifikats Verwendung einer digitalen Signatur f r E Mails Starten Sie die einzelnen Clients erneut um den UVM Schutz f r die Windows Anmeldung zu aktivieren Informieren Sie die Benutzer ber die UVM Verschl sselungstexte die Sie f r sie konfiguriert haben und ber die Authentifizierungsbestimmungen die Sie f r den IBM Client in der UVM Policy konfiguriert haben Clientbenutzer k nnen folgende Tasks ausf hren Sie k nnen den UVM Schutz zum Sperren und Entsperren des Betriebssystems verwenden Sie k nnen ein digitales Zertifikat anfordern und den integrierten IBM Security Chip ausw hlen um die zum Zertifikat geh rige Verschl sselung bereitzustellen Sie k nnen das digitale Zertifikat zur Verschl sselung von E Mails verwenden die mit Outlook Express erstellt wurden Beispiel 2 Zwei IBM Clients unter Windows 2000 mit Lotus Notes und mit dem Client Security Bildschirmschoner In diesem Beispiel ist auf zwei IBM C
83. ient Security muss vor der Installation des Dienstprogramms zur Verschl sselung von Dateien und Ordnern installiert werden Das Dienstprogramm zur Platten berpr fung wird m glicherweise bei einem Neu start nach dem Sch tzen oder dem Aufheben des Schutzes von Ordnern ausge f hrt Warten Sie bis das System gepr ft ist bevor Sie den Computer verwenden Dateischutz durch Klicken mit der rechten Maustaste Sie k nnen Dateien im Kontextmen mit der rechten Maustaste manuell ver und entschl sseln Wenn Sie Dateien auf diese Weise verschl sseln wird an den Datei namen die Erweiterung enc angeh ngt Diese verschl sselten Dateien k nnen Sie anschlie end auf fernen Servern sicher speichern Sie bleiben so lange ver schl sselt und f r Anwendungen nicht verf gbar bis Sie sie mit der rechten Maus taste wieder entschl sseln Ordnerschutz durch Klicken mit der rechten Maustaste Ein in UVM registrierter Benutzer kann einen Ordner ausw hlen um den Ord ner mit der rechten Maustaste zu sch tzen oder den Schutz aufzuheben Dadurch kann er alle Dateien innerhalb des Ordners oder alle untergeordneten Teilordner verschl sseln Wenn Sie Dateien auf diese Weise sch tzen wird an deren Namen keine Erweiterung angeh ngt Wenn Sie mit einer Anwendung auf eine Datei im verschl sselten Ordner zugreifen wird diese entschl sselt in den Speicher geladen und erneut verschl sselt bevor Sie sie auf der Festplatte speichern Alle Wi
84. inden Sie im Client Security Installationshandbuch 3 Installieren Sie die UVM Sensoren f r Fingerabdr cke und die zugeh rige Software auf den einzelnen Clients Weitere Informationen zu verf gbaren UVM sensitiven Produkten finden Sie im World Wide Web unter der Adresse http www pc ibm com ww security secdownload html Kapitel 3 Client Security verwenden 11 4 Konfigurieren Sie auf jedem Client die Benutzerauthentifizierung mit UVM Weitere Informationen hierzu finden Sie im Abschnitt auf Seite 16 Gehen Sie anschlie end wie folgt vor a Fiigen Sie in UVM Benutzer hinzu indem Sie ihnen einen UVM Verschl sselungstext zuordnen b Konfigurieren Sie f r die einzelnen Clients den UVM Schutz f r die Win dows Anmeldung c Registrieren Sie f r die einzelnen Clientbenutzer die Fingerabdr cke Wenn auf einem IBM Client die Authentifizierung ber Fingerabdr cke erforder lich ist m ssen alle Benutzer dieses Clients ihre Fingerabdr cke registrie ren 5 Geben Sie die Informationen zur Tivoli Access Manager Konfiguration auf den einzelnen Clients an Weitere Informationen hierzu finden Sie im Handbuch Client Security mit Tivoli Access Manager verwenden 6 Bearbeiten und speichern Sie auf einem der Clients eine UVM Policy f r ferne Clients und kopieren Sie diese anschlie end auf die anderen Clients Konfigu rieren Sie die UVM Policy so dass Tivoli Access Manager die folgenden Authentifizierungsobjekte steuert Anmeld
85. ine Optionen f r die rechte Maustaste Kritischer Ordner Ein kritischer Ordner ist ein Ordner in einem kritischen Pfad und kann daher nicht gesch tzt werden Es gibt die beiden folgenden kritischen Pfade den Pfad von Windows und den Pfad von Client Security Jeder Status wird von der Option zum Sch tzen eines Ordners durch Klicken mit der rechten Maustaste unterschiedlich gehandhabt 6 IBM Client Security Solutions Client Security Version 5 1 Administratorhandbuch Hinweise zur Verwendung des Dienstprogramms zur Verschl sselung von Dateien und Ordnern Dienstprogramm FFE File and Folder Encryption Die folgenden Informationen sind m glicherweise n tzlich wenn Sie bestimmte Funktionen zur Verschl sselung von Dateien und Ordnern durchf hren Laufwerkbuchstabenschutz Das IBM Dienstprogramm FFE kann ausschlie lich zum Verschl sseln von Dateien und Ordnern auf Laufwerk C verwendet werden Dieses Dienstprogramm unterst tzt keine Verschl sselung auf anderen Festplattenpartitionen oder anderen physischen Laufwerken Gesch tzte Dateien und Ordner l schen Damit sich keine sensiblen Dateien und Ordner ungesch tzt im Papierkorb befin den cm ssen Sie die Tastenkombination Umschalttaste Entf verwenden um gesch tzte Ordner und Dateien zu l schen Durch diese Tastenkombination wird eine nicht an Bedingungen gebundene L schoperation durchgef hrt und die gel schten Dateien werden nicht im Papierkorb abgelegt
86. ioniert nicht in IBM Client Security Version 5 0 Dies ist eine bekannte Einschr nkung bei IBM Client Security Version 5 0 Die Schaltfl che Weiter ist nicht verf g bar nachdem Sie im Administratordienst programm den UVM Verschl sselungstext eingegeben und best tigt haben Wenn Sie neue Benutzer in UVM aufneh men ist die Schaltfl che Weiter m glicher weise nicht mehr verf gbar nachdem Sie Ihren UVM Verschl sselungstext im Administratordienstprogramm eingegeben und best tigt haben Ma nahme Klicken Sie in der Windows Taskleiste auf Informationen und fahren Sie mit dem Vor gang fort Beim Versuch eine lokale UVM Policy zu bearbeiten wird eine Fehlernachricht ange zeigt Ma nahme Beim Bearbeiten der lokalen UVM Policy wird m glicherweise eine Fehlernachricht angezeigt wenn in UVM keine Benutzer registriert sind F gen Sie in UVM einen Benutzer hinzu bevor Sie versuchen die Policy Datei zu bearbeiten Beim ndern des ffentlichen Schl ssels f r Administratoren wird eine Fehler nachricht angezeigt Ma nahme Wenn Sie den Inhalt des integrierten Security Chips l schen und anschlie end das Schl sselarchiv wiederherstellen wird bei der nderung des ffentlichen Schl ssels f r Administratoren m glicherweise eine Fehlernachricht angezeigt F gen Sie in UVM die Benutzer hinzu und fordern Sie ggf neue Zertifikate an Beim Versuch einen UVM Verschl sse
87. ions Client Security Version 5 1 Administratorhandbuch Kapitel 7 Weitere Funktionen des Sicherheitsadministrators Wenn Sie Client Security auf IBM Clients konfigurieren verwenden Sie das Administratordienstprogramm um den integrierten IBM Security Chip zu aktivie ren ein Kennwort f r den IBM Security Chip festzulegen Hardwareschl ssel zu generieren und die Sicherheits Policy festzulegen In diesem Abschnitt erhalten Sie Anweisungen zur Verwendung weiterer Funktionen des Administratordienst programms Gehen Sie wie folgt vor um das Administratordienstprogramm zu ffnen 1 Klicken Sie auf dem Windows Desktop des IBM Clients auf Start gt Einstellun gen gt Systemsteuerung gt Subsystem von IBM Client Security Da der Zugriff auf das Administratordienstprogramm mit dem Kennwort f r den IBM Security Chip gesch tzt ist werden Sie in einer Nachricht aufgefor dert das Kennwort f r den IBM Security Chip einzugeben 2 Geben Sie das Kennwort f r den IBM Security Chip ein und klicken Sie auf OK Administratorkonsole verwenden ber die Administratorkonsole von Client Security kann ein Sicherheitsadmi nistrator administratorspezifische Tasks ber Remotezugriff von seinem System aus ausf hren Die Anwendung f r die Administratorkonsole console exe muss vom Verzeichnis program files ibm security installiert und ausgef hrt werden Diese Administratorkonsole bietet einem Sicherheitsadministrator folgende Funkti
88. isselungstexte 75 76 IBM Client Security Solutions Client Security Version 5 1 Administratorhandbuch Anhang B Regeln fur den UVM Schutz fur die Anmeldung am System Mit dem UVM Schutz wird sichergestellt dass nur Benutzer die in UVM fiir einen bestimmten IBM Client hinzugef gt wurden auf das Betriebssystem zugreifen k n nen Windows Betriebssysteme umfassen Anwendungen die einen Anmeldeschutz bieten Auch wenn UVM Schutz parallel mit diesen Windows Anmeldeanwendun gen verwendet werden kann funktioniert er je nach Betriebssystem etwas anders Die UVM Anmeldeschnittstelle ersetzt die Anmeldung am Betriebssystem so dass immer wenn sich ein Benutzer am System anmelden m chte das UVM Anmelde fenster angezeigt wird Lesen Sie die folgenden Hinweise bevor Sie den UVM Anmeldeschutz f r das Sys tem konfigurieren und verwenden L schen Sie den Inhalt des integrierten IBM Security Chips nicht bei aktiviertem UVM Schutz Andernfalls wird der Inhalt der Festplatte unbrauchbar und Sie m ssen die Festplatte neu formatieren und die gesamte Software neu installie ren Wenn Sie im Administratordienstprogramm das Markierungsfeld Die Windows Standardanmeldung durch eine gesicherte UVM Anmeldung ersetzen inakti vieren kehrt das System zum Windows Anmeldungsprozess zur ck ohne die gesicherte UVM Anmeldung zu verwenden Sie haben die Option die maximale Anzahl der Versuche f r die Eingabe des richtigen Kennworts f r di
89. iten und speichern Die von Client Security bereitgestellte Sicherheits Policy wird als UVM Policy bezeichnet und kombiniert die Einstellungen die Sie im Abschnitt a au vorge nommen haben mit den Einstellungen auf Clientebene Mit der UVM Policy k n nen Sie die Sicherheits Policy eines lokalen Clients steuern oder Sie k nnen die Policy auf ferne Clients in einem Netzwerk kopieren Das Administratordienstprogramm weist einen integrierten UVM Policy Editor auf mit dem Sie die UVM Policy fiir einen lokalen Client bearbeiten und speichern k nnen Tasks die Sie am IBM Client ausf hren z B die Anmeldung am Betriebs system oder das Ausblenden des Bildschirmschoners werden als Authentifizie rungsobjekte bezeichnet und diesen Objekten m ssen in der UVM Policy Authen tifizierungsbestimmungen zugeordnet sein Sie k nnen z B eine UVM Policy definieren in der die folgenden Anforderungen festgelegt sind Jeder Benutzer muss einen UVM Verschl sselungstext eingeben und sich mit einem ber hrungslosen Ausweis Proximity Badge authentifizieren um sich am Betriebssystem anmelden zu k nnen Jeder Benutzer muss jedes Mal einen UVM Verschl sselungstext eingeben wenn ein digitales Zertifikat angefordert wird Sie k nnen auch mit Tivoli Access Manager einzelne Authentifizierungsobjekte so steuern wie diese in der UVM Policy festgelegt sind In der UVM Policy sind die Anforderungen f r Authentifizierungsobjekte f r den IBM Clien
90. ivaten Administratorschl ssels In diesem Feld kann der Administrator den privaten Administratorschl ssel suchen Andere Administratorfunktionen die von einem fernen Standort aus durchge f hrt werden k nnen ber die Administratorkonsole kann der Sicherheits administrator von einem fernen Standort aus die folgenden Funktionen ausf h ren Administratorenkonfigurationsdatei generieren Uber diese Funktion kann der Administrator die Administratorkonfigurationsdatei generieren Diese Datei wird ben tigt wenn ein Benutzer seinen Eintrag mit Hilfe des Client dienstprogramms registrieren oder zur cksetzen m chte Diese Datei wird vom Administrator in der Regel per E Mail an den Benutzer gesendet Konfigurationsdatei f r Installationsprogramm verschl sseln entschl sseln Diese Funktion aktiviert die Verschl sselung der Konfigurationsdatei f r das Installationsprogramm und bietet so zus tzliche Sicherheit Mit dieser Funk tion kann die Datei auch zur Bearbeitung entschl sselt werden Standortunabh ngigen Zugriff mit Berechtigungsnachweis konfigurieren Durch diese Funktion wird dieses System als CSS Roaming Server registriert Nach der Registrierung k nnen alle von UVM autorisierten Benutzer im Netzwerk auf ihre pers nlichen Daten Verschl sselungstexte Zertifikat usw auf diesem System zugreifen Client in einem Netzwerk mit standortunabh ngigen Zugriff mit Berechtigungsnachweis registrieren Gehen Sie wie fol
91. klicken Sie auf Durchsuchen um nach der Datei zu suchen 6 Geben Sie im Bereich Alter CSS Archivschl ssel den Dateinamen f r den alten privaten Archivschl ssel in das Feld Datei mit privatem Schl ssel ein oder klicken Sie auf Durchsuchen um nach der Datei zu suchen 7 Geben Sie in das Feld Archivposition den Pfad ein in dem das Schl ssel archiv gespeichert ist oder klicken Sie auf Durchsuchen um den Pfad auszu w hlen 8 Klicken Sie auf Weiter Anmerkung Wenn das Archivschl sselpaar in mehrere Dateien aufgeteilt wurde werden Sie in einer Nachricht aufgefordert die Position und den Namen der einzelnen Dateien einzugeben Klicken Sie nachdem Sie die einzelnen Dateinamen in das Feld Schl ssel datei eingegeben haben auf die Option Weiter lesen Es erscheint eine Nachricht die anzeigt dass der Vorgang erfolgreich beendet wurde 9 Klicken Sie auf OK Es erscheint eine Nachricht die anzeigt dass der Vorgang beendet wurde 10 Klicken Sie auf Fertig stellen Kapitel 7 Weitere Funktionen des Sicherheitsadministrators 35 Schlussel aus dem Archiv wiederherstellen Falls Sie eine Systemplatine oder ein ausgefallenes Festplattenlaufwerk ausge tauscht haben m ssen Sie die Schl ssel m glicherweise wiederherstellen Bei der Wiederherstellung von Schl sseln kopieren Sie die neuesten Schl sseldateien f r Benutzer aus dem Schl sselarchiv und speichern diese auf dem integrierten IBM Security Chip Die
92. lients Client 1 und Client 2 Windows 2000 und Lotus Notes installiert F r zwei Benutzer ist die Konfiguration der UVM Au thentifizierung auf Client 1 erforderlich ein Clientbenutzer ben tigt eine Konfigu ration der UVM Benutzerauthentifizierung auf Client 2 Beide Clientbenutzer ben tigen den UVM Schutz f r die Anmeldung am System und verwenden den Client Security Bildschirmschoner sowie den UVM Schutz f r Lotus Notes Der Administ rator legte eine UVM Policy f r ferne Clients fest die auf Client 1 bearbeitet und anschlie end auf Client 2 kopiert wird Zum Einrichten von Client Security m ssen Sie folgende Schritte ausf hren 1 Installieren Sie die Software auf Client 1 und Client 2 Da eine UVM Policy f r ferne Clients verwendet wird m ssen Sie denselben ffentlichen Schl ssel zur Verwaltung verwenden wenn Sie die Software auf Client 1 und auf Client 2 installieren Weitere Informationen zur Softwareinstallation finden Sie im Client Security Installationshandbuch Konfigurieren Sie die Benutzerauthentifizierung mit UVM f r die einzelnen Cli ents Gehen Sie anschlie end wie folgt vor a F gen Sie in UVM Benutzer hinzu indem Sie ihnen einen UVM Verschl s selungstext zuordnen Da Client 1 zwei Benutzer aufweist m ssen Sie das Hinzuf gen von Benutzern in UVM wiederholen bis alle zwei Benutzer hinzugef gt sind b Konfigurieren Sie f r die einzelnen Clients den UVM Schutz f r die Win dows Anmeldung Ak
93. ltigkeit der Chiffrierschl ssel f r die Hardware Status des integrierten IBM Security Chips Integrierten IBM Security Chip inaktivieren Im Administratordienstprogramm gibt es eine M glichkeit den integrierten IBM Security Chip zu inaktivieren Da das Kennwort f r den IBM Security Chip erfor derlich ist um das Administratordienstprogramm zu starten und den Chip zu inaktivieren m ssen Sie das Kennwort f r den IBM Security Chip vor unberechtig tem Zugriff sch tzen damit unberechtigte Benutzer ihn nicht inaktivieren k nnen Wichtig L schen Sie bei aktiviertem UVM Schutz den Inhalt des integrierten IBM Security Chips nicht Andernfalls haben Sie keinen Zugriff mehr auf das System Den UVM Schutz k nnen Sie entfernen indem Sie das Administratordienst programm ffnen und das Markierungsfeld Die Windows Standardanmeldung durch eine gesicherte UVM Anmeldung ersetzen inaktivieren Sie m ssen den Computer erneut starten damit der UVM Schutz f r die Anmeldung am System inaktiviert wird Gehen Sie im Administratordienstprogramm wie folgt vor um den integrierten IBM Security Chip zu inaktivieren 1 Klicken Sie auf die Schaltfl che Chipeinstellungen 2 Klicken Sie auf die Schaltfl che Chip inaktivieren und befolgen Sie die ange zeigten Anweisungen 3 Wenn f r den Computer erweiterte Sicherheitseinrichtungen aktiviert sind m ssen Sie m glicherweise das Administratorkennwort eingeben das mit dem Programm Configurati
94. lungstext wiederherzustellen wird eine Fehlernachricht angezeigt Ma nahme Wenn Sie einen ffentlichen Schl ssel f r Administratoren ndern und anschlie end versuchen einen UVM Verschl sselungstext f r einen Benutzer wiederherzustellen wird m glicherweise eine Fehlernachricht ange zeigt F hren Sie einen der folgenden Schritte aus e Sollte f r den Benutzer der UVM Verschl sselungstext nicht ben tigt wer den ist keine Ma nahme erforderlich e Wenn der UVM Verschl sselungstext f r den Benutzer erforderlich ist m ssen Sie ihn in UVM aufnehmen und ggf neue Zertifikate anfordern Kapitel 9 Fehlerbehebung 59 60 Fehlersymptom M gliche L sung Beim Versuch die UVM Policy Datei zu speichern wird eine Fehlernachricht ange zeigt Ma nahme Wenn Sie versuchen eine UVM Policy Datei globalpolicy gvm durch Klicken auf ber nehmen oder Speichern zu speichern wird eine Fehlernachricht angezeigt Schlie en Sie die Fehlernachricht bearbeiten Sie die UVM Policy Datei erneut und spei chern Sie die Datei Beim Versuch den UVM Policy Editor zu ffnen wird eine Fehlernachricht ange zeigt Ma nahme Wenn der aktuelle Benutzer der am Betriebssystem angemeldet ist nicht in UVM aufgenommen wurde wird der UVM Policy Editor nicht ge ffnet Nehmen Sie den Benutzer in UVM auf und ffnen Sie den UVM Policy Editor Bei der Verwendung des Administrato
95. m Dokument aufgefiihrten Lizenzprogramms sowie des zugeh rigen Lizenzmaterials erfolgt im Rahmen der Allgemeinen Gesch ftsbedin gungen der IBM der Internationalen Nutzungsbedingungen der IBM f r Programmpakete oder einer quivalenten Vereinbarung Marken IBM und SecureWay sind in gewissen L ndern Marken der IBM Corporation Tivoli ist in gewissen L ndern eine Marke von Tivoli Systems Inc Microsoft Windows und Windows NT sind in gewissen L ndern Marken der Mic rosoft Corporation Andere Namen von Unternehmen Produkten und Dienstleistungen k nnen Mar ken oder Dienstleistungsmarken anderer Unternehmen sein 80 IBM Client Security Solutions Client Security Version 5 1 Administratorhandbuch
96. n Schutz durch UVM Client Policy Mit UVM kann ein Administrator die Sicherheits Policy f r Clients festlegen die bestimmt wie auf dem System die Authentifizierung eines Clientbenutzers erfolgt Wenn die Policy festlegt dass Fingerabdr cke f r die Anmeldung erforder lich sind und der Benutzer keine Fingerabdr cke registriert hat hat er die M glichkeit Fingerabdr cke bei der Anmeldung zu registrieren Wenn die berpr fung von Fingerabdr cken erforderlich ist und kein Scanner ange schlossen ist meldet UVM einen Fehler Wenn das Windows Kennwort nicht oder nicht richtig in UVM registriert ist hat der Benutzer die M glichkeit das richtige Windows Kennwort als Teil der Anmeldung anzugeben UVM Systemanmeldeschutz UVM erm glicht es Administratoren den Zugriff auf die Computer ber eine Anmeldeschnittstelle zu steuern Der UVM Schutz stellt sicher dass nur Benutzer die von der Sicherheits Policy erkannt werden auf das Betriebssystem zugreifen k nnen UVM Client Security Bildschirmschonerschutz Bei Einsatz von UVM k n nen Benutzer den Zugriff auf den Computer ber eine Schnittstelle f r den Client Security Bildschirmschoner steuern Administratorkonsole Die Administratorkonsole von Client Security erm glicht es einem Sicherheitsadministrator administratorspezifische Tasks ber Fernzu griff auszuf hren Benutzerkonfigurationsprogramm Mit dem Benutzerkonfigurationsprogramm k nnen Clientbenutzer d
97. n Kehren Sie zum Administratordienstprogramms fiir das IBM Sicherheits Sub system zur ck Der neue Benutzeraccount wird im Bereich Zu autorisierende Windows Benut zer ausw hlen angezeigt 16 IBM Client Security Solutions Client Security Version 5 1 Administratorhandbuch Kapitel 5 Nach dem Hinzuf gen von Benutzern in UVM Nach dem Autorisieren der Benutzer k nnen Sie zus tzliche Client Security Funk tionen ausf hren wie z B folgende e UVM Schutz f r die Anmeldung am Betriebssystem konfigurieren Weitere Informationen hierzu finden Sie im Abschnitt UVM Anmeldeschutz f r das Betriebssystem konfigurieren e Benutzerchiffrierschl ssel archivieren Weitere Informationen hierzu finden Sie im Abschnitt Position des Schl sselarchivs ndern auf Seite 34 e Client Security Bildschirmschoner konfigurieren Weitere Informationen hierzu finden Sie in Kapitel 8 Anweisungen f r den Clientbenutzer auf Seite 43 Fingerabdr cke von Benutzern in UVM registrieren Weitere Informationen hierzu finden Sie im Abschnitt Fingerabdrticke von Benutzern in UVM registrieren auf Seite 18 Wenn vor dem Hinzuf gen von Benutzern in UVM ein UVM Sensor f r Finger abdr cke installiert wurde k nnen Sie die Fingerabdr cke registrieren UVM Anmeldeschutz f r das Betriebssystem Der UVM Anmeldeschutz f r Systeme erweitert die Kennwortfunktionen die vom Betriebssystem bereitgestellt werden Die UVM Anmeldes
98. n Sie auf die Schaltflache Policy bearbeiten 4 Fahren Sie mit der Prozedur zur Policy Bearbeitung fort Lokalen Cache aktualisieren Auf dem IBM Client wird ein lokales Replikat der von Tivoli Access Manager ver walteten Sicherheits Policy Informationen verwaltet Sie k nnen die Aktualisie rungsfrequenz des lokalen Cache in Inkrementen von einem Monat oder einem Tag festlegen oder durch Klicken auf eine Schaltflache den lokalen Cache sofort aktuali sieren Gehen Sie im Administratordienstprogramm wie folgt vor um den lokalen Cache einzustellen oder zu aktualisieren 1 Klicken Sie auf die Schaltflache Anwendungsunterstiitzung und Policies kon figurieren Die Anzeige Konfiguration der UVM Anwendungen und Policies wird ange zeigt 2 F hren Sie im Bereich Aktualisierungsintervall f r lokalen Cache einen der folgenden Schritte aus Klicken Sie auf Lokalen Cache aktualisieren um den lokalen Cache jetzt zu aktualisieren Geben Sie zum Festlegen der Aktualisierungsfrequenz die Anzahl der Monate und Tage in die angezeigten Felder ein Der Wert f r die Monate und Tage gibt die Zeitspanne zwischen den geplanten Aktualisierungen an UVM Verschl sselungstext wiederherstellen 38 Ein UVM Verschl sselungstext wird f r jeden Benutzer erstellt der durch die Sicherheits Policy f r den IBM Client autorisiert ist Da Verschl sselungstexte ver loren gehen vergessen werden oder vom Clientbenutzer ge ndert werden k nnen
99. n Sie den UVM Verschl s selungstext eingeben und auf OK klicken bevor Sie fortfahren k nnen Wenn Sie einen falschen UVM Verschl sselungstext eingeben oder bei einer Scanner abtastung von Fingerabdr cken einen falschen Fingerabdruck liefern wird eine Fehlernachricht angezeigt Wenn Sie auf OK klicken wird Netscape ge ffnet Sie k nnen aber das vom integrierten IBM Security Chip generierte digitale Zertifikat nicht verwenden Sie m ssen Netscape verlassen erneut aufrufen und den richti gen UVM Verschl sselungstext eingeben bevor Sie das Zertifikat f r den integrier ten IBM Security Chip verwenden k nnen Algorithmen werden nicht angezeigt Beim Anzeigen des Moduls in Netscape ist keiner der vom PKCS 11 Modul des integrierten IBM Security Chips unterst tzten Hashverfahren Algorithmen ausgew hlt Die folgenden Algorithmen werden vom PKCS 11 Modul des integrierten IBM Security Chips unterst tzt jedoch nicht als unterst tzt erkannt wenn sie in Netscape angezeigt werden e SHA 1 e MD5 Kapitel 9 Fehlerbehebung 55 Zertifikat des integrierten IBM Security Chips und Verschlusselungsalgorithmen Im Folgenden finden Sie Informationen zu Verschliisselungsalgorithmen die Sie mit dem Zertifikat des integrierten IBM Security Chips verwenden k nnen Aktu elle Informationen zu Verschl sselungsalgorithmen f r die jeweilige E Mail An wendung erhalten Sie von Microsoft oder Netscape Beim Senden von E Mails von einem Outlook Ex
100. n Sie in Anhang A Regeln f r Kenn rter und Verschl sselungstexte auf Seite 73 Gehen Sie im Administratordienstprogramm wie folgt vor um das Kennwort f r den IBM Security Chip zu ndern 1 Klicken Sie auf die Schaltfl che Chipeinstellungen Die Anzeige Einstellungen f r IBM Security Chip ndern erscheint 2 Klicken Sie auf Kennwort f r Chip ndern Die Anzeige Kennwort f r IBM Security Chip ndern erscheint 3 Geben Sie in das Feld Neues Kennwort das neue Kennwort ein 4 Geben Sie das Kennwort in das Feld Best tigung erneut ein 5 Klicken Sie auf OK In einer Nachricht wird Ihnen mitgeteilt dass der Vorgang erfolgreich ausge f hrt wurde Achtung Dr cken Sie weder die Eingabetaste noch Tabulatortaste gt Eingabe taste um die nderungen zu speichern Andernfalls erscheint die Anzeige Chip inaktivieren Wenn das Fenster Chip inaktivieren ge ffnet wird inakti vieren Sie den Chip nicht sondern schlie en Sie das Fenster 6 Klicken Sie auf OK Kapitel 7 Weitere Funktionen des Sicherheitsadministrators 39 Informationen zu Client Security anzeigen Nach Klicken auf die Schaltfl che Chipeinstellungen im Administratordienst programm werden die folgenden Informationen zum integrierten IBM Security Chip und zu Client Security angezeigt Versionsnummer der Firmware die mit Client Security verwendet wird Verschl sselungsstatus des integrierten Security Chips G
101. ndows Operationen die auf eine Datei in einem gesch tzten Ordner zuzu greifen versuchen erhalten Zugriff auf die Daten in entschl sselter Form Diese Funktion steigert die Benutzerfreundlichkeit so dass Sie eine Datei vor ihrer Ver wendung nicht entschl sseln und nach der Verarbeitung durch ein Programm nicht erneut verschl sseln m ssen Status der Ordnerverschl sselung Mit Client Security k nnen Benutzer mit der rechten Maustaste sensible Dateien und Ordner sch tzen Die Art des Datei oder Ordnerschutzes h ngt von der urspr nglichen Verschl sselung der Datei bzw des Ordners ab Ein Ordner kann sich in einem der folgenden Status befinden wobei jeder Status unterschiedlich behandelt wird wenn Sie die rechte Maustaste fiir Ordner verwen den Ungesch tzter Ordner Weder dieser Ordner noch seine Teilordner noch einer seiner bergeordneten Ordner wurde gesch tzt Der Benutzer erh lt die Option diesen Ordner zu sch tzen Gesch tzter Ordner Ein gesch tzter Ordner kann sich in einem der folgenden drei Status befinden Vom aktuellen Benutzer gesch tzt Der aktuelle Benutzer sch tzt diesen Ordner Alle enthaltenen Dateien werden verschl sselt einschlie lich aller Dateien in Teilordnern Der Benutzer erh lt die Option den Schutz dieses Ordners aufzuheben Vom aktuellen Benutzer gesch tzter Teilordner eines Ordners Der aktuelle Benutzer sch tzt einen der bergeordneten Ordner dieses Ord ners Alle Dateien wer
102. ndungen und Komponenten der Software sowie eine Beschreibung der PKI Funktionen Kapitel 2 Verschl sselung von Dateien und Ordnern enth lt Informationen zur Verwendung von Client Security f r den Schutz sensibler Dateien und Ordner Kapitel 3 Client Security verwenden enth lt Beispiele f r die Verwendung von Client Security Komponenten f r die Konfiguration der von Clientbenutzern ben tigten Sicherheitseinrichtungen Kapitel 4 Benutzer autorisieren enth lt Informationen zur Authentifizierung von Clientbenutzern und erl utert das Autorisieren und Entfernen von Benutzern im User Verification Manager UVM Kapitel 5 Nach dem Hinzuf gen von Benutzern in UVM enth lt Anweisungen zum Einrichten des UVM Schutzes f r die Betriebssystemanmeldung zur Verwen dung des UVM Schutzes f r Lotus Notes und zur Verwendung von Client Security mit Netscape Anwendungen Kapitel 6 Mit der UVM Policy arbeiten enth lt Anweisungen zum Bearbeiten einer lokalen UVM Policy zur Verwendung einer UVM Policy f r einen fernen Cli ent und zum ndern des Kennworts f r eine UVM Policy Datei Kapitel 7 Weitere Funktionen des Sicherheitsadministrators enth lt Anweisun gen zum ndern der Speicherposition des Schl sselarchivs zum Wiederherstellen eines UVM Verschl sselungstextes und zum Aktivieren oder Inaktivieren des inte grierten IBM Security Chips mit Hilfe des Administratordienstprogramms
103. ngen geben Mit der Auslieferung dieses Hand buchs ist keine Lizenzierung dieser Patente verbunden Lizenzanfragen sind schriftlich an folgende Adresse zu richten Anfragen an diese Adresse m ssen auf Englisch formuliert werden IBM Europe Director of Licensing 92066 Paris La Defense Cedex France Trotz sorgf ltiger Bearbeitung k nnen technische Ungenauigkeiten oder Druckfeh ler in dieser Ver ffentlichung nicht ausgeschlossen werden Die Angaben in diesem Handbuch werden in regelm igen Zeitabst nden aktualisiert Die nderungen werden in berarbeitungen oder in Technical News Letters TNLs bekannt gege ben IBM kann jederzeit ohne Vorank ndigung Verbesserungen und oder nde rungen an den in dieser Ver ffentlichung beschriebenen Produkten und oder Pro grammen vornehmen Lizenznehmer des Programms die Informationen zu diesem Produkt w nschen mit der Zielsetzung i den Austausch von Informationen zwischen unabh ngigen erstellten Programmen und anderen Programmen einschlie lich des vorliegenden Programms sowie ii die gemeinsame Nutzung der ausgetauschten Informationen zu erm glichen wenden sich an folgende Adresse IBM Corporation Department 80D P O Box 12195 3039 Cornwallis Research Triangle Park NC 27709 U S A Die Bereitstellung dieser Informationen kann unter Umst nden von bestimmten Bedingungen in einigen F llen auch von der Zahlung einer Geb hr abh ngig sein 79 Die Lieferung des in diese
104. ngezeigt Ma nahme Bei Verwendung von Internet Explorer erhal ten Sie m glicherweise eine Fehlernachricht wenn Sie ein Zertifikat anfordern das das CSP Modul des integrierten IBM Security Chips verwendet Fordern Sie das digitale Zertifikat erneut an Kapitel 9 Fehlerbehebung 65 66 Fehlerbehebungsinformationen zu Netscape Anwendungen Die folgenden Fehlerbehebungstabellen enthalten Informationen zur Fehler behebung bei der Verwendung von Client Security mit Netscape Anwendungen Fehlersymptom M gliche L sung Fehler beim Lesen verschl sselter E Mails Ma nahme Verschl sselte E Mails k nnen nicht ent schl sselt werden da sich die Verschl sselungsgrade der Webbrowser die vom Sender und vom Empf nger verwendet werden unterscheiden Anmerkung Wenn Sie Browser mit 128 Bit Verschl sselung mit Client Security verwen den m chten muss der integrierte IBM Security Chip 256 Bit Verschl sselung unter st tzen Wenn der integrierte IBM Security Chip 256 Bit Verschl sselung unterst tzt m ssen Sie einen 40 Bit Webbrowser ver wenden Der Verschl sselungsgrad von Client Security ist im Administratordienst programm angegeben berpr fen Sie Folgendes 1 Der Verschl sselungsgrad des vom Sen der verwendeten Webbrowsers ist mit dem Verschl sselungsgrad des vom Empf nger verwendeten Webbrowsers kompatibel 2 Der Verschl sselungsgrad des Webbrowsers ist mit dem Versc
105. nn der private Schliissel fiir Administratoren in mehrere Dateien aufgeteilt wurde werden Sie in einer Nachricht aufgefordert die Position und den Namen der einzelnen Dateien einzugeben Klicken Sie nachdem Sie die einzel nen Dateinamen in das Feld Datei mit privatem Schl ssel eingegeben haben auf die Option Weiter lesen Durch diese Prozedur werden per Zufallsgenerator ein tempor res Kennwort und eine Kennwortdatei generiert Diese beiden Elemente sind f r einen erneu ten Zugriff auf as gesperrte System erforderlich 8 Senden Sie die Datei an den Benutzer und teilen Sie ihm das tempor re Kenn wort auf einem anderen Weg mit Kennwort f r den IBM Security Chip ndern Sie m ssen ein Kennwort f r den IBM Security Chip festlegen um den integrierten IBM Security Chip f r einen Client zu aktivieren Nachdem Sie das Kennwort f r den IBM Security Chip festgelegt haben ist der Zugriff auf das Administrator dienstprogramm durch dieses Kennwort gesch tzt Sie k nnen die Sicherheit erh hen indem Sie das Kennwort f r den IBM Security Chip regelm ig ndern Wenn ein Kennwort l ngere Zeit gleich bleibt ist es in geringerem Ma e gesch tzt gegen unberechtigten Zugriff von au en Halten Sie das Security Chip Kennwort geheim um zu verhindern dass Benutzer ohne Autorisierung Einstellungen im Administ ratordienstprogramm ndern k nnen Weitere Informationen zu den Regeln f r das Kennwort f r den IBM Security Chip finde
106. nstimmen Diese Einstel lung hat keinen Einfluss auf das Kennwort das im Betriebssys tem gespeichert ist Benutzer soll Windows Kennwort sp ter mit dem Benutzerkonfigurations programm speichern Soll der Benutzer das Windows Kennwort sp ter mit dem Benutzerkonfigurationsprogramm speichern w hlen Sie den entspre chenden Radioknopf und klicken sie auf Weiter Es erscheint eine Nachricht in der mitgeteilt wird dass der Vorgang erfolgreich abgeschlossen wurde 7 Klicken Sie auf Fertig stellen Kapitel 4 Benutzer autorisieren 15 Benutzer entfernen Benutzer m ssen sich mit der Administratorberechtigung anmelden wenn sie das Administratordienstprogramm einsetzen m chten Gehen Sie wie folgt vor um die Autorisierung von Benutzern in UVM aufzuheben 1 Klicken Sie auf dem Windows Desktop des IBM Clients auf Start gt Einstellun gen gt Systemsteuerung gt Subsystem von IBM Client Security Die Anzeige Administratorkennwort eingeben erscheint Geben Sie das Administratorkennwort ein und klicken Sie auf OK Das Hauptfenster des Administratordienstprogramms f r das IBM Sicherheits Subsystem wird angezeigt W hlen Sie im Bereich F r die Benutzung von UVM berechtigte Windows Benutzer in der Liste einen Benutzernamen aus Klicken Sie auf Benutzer entfernen Es wird eine Warnung angezeigt die darauf hinweist dass die Sicherheitsdaten des ausgew hlten Benutzers einschlie lich aller Schl ssel Z
107. nterst tzt FIPS 140 1 zertifizierte verschl sselte Bibliotheken FIPS zertifizierte RSA BSAFE Bibliotheken werden auf TCPA Systemen verwendet Ablauf des Verschl sselungstexts Client Security legt jeweils beim Hinzuf gen eines Benutzers einen benutzerspezifischen Verschl sselungstext und eine Policy f r das Ablaufen des Verschl sselungstexts fest Automatischer Schutz f r ausgew hlte Ordner Die Funktion zum automati schen Sch tzen von Ordnern erm glicht es einem Client Security Administrator festzulegen dass alle Ordner mit der Bezeichnung Eigene Dateien der von UVM autorisierten Benutzer automatisch gesch tzt werden ohne dass seitens der Benutzer eine Aktivit t ausgef hrt werden muss Kapitel 1 Einf hrung in IBM Client Security 3 4 IBM Client Security Solutions Client Security Version 5 1 Administratorhandbuch Kapitel 2 Verschlusselung von Dateien und Ordnern Das Dienstprogramm zur Verschliisselung von Dateien und Ordnern das von der Website f r IBM Client Security heruntergeladen werden kann erm glicht es Benutzern sensible Dateien und Ordner durch Klicken mit der rechten Maustaste zu verschl sseln Art und Umfang des durch die Verschl sselung erzielten Schutzes richten sich nach der beim Verschl sseln der Datei bzw des Ordners angewandten Vorgehensweise Anhand der folgenden Informationen k nnen Sie bestimmen welche Verschl sselungstechnik Sie zum Schutz Ihrer Daten anwenden sollten IBM Cl
108. on Client Security ndern Schl ssel konfigurieren erscheint 2 Klicken Sie auf den Radioknopf Archivschl sselpaar f r das IBM Sicher heits Subsystems ndern und anschlie end auf Weiter Die Anzeige Schl sselkonfiguration von Client Security ndern Neue Datei mit ffentlichem Schl ssel f r UVM Administrator erscheint 3 Geben Sie im Bereich Neuer CSS Archivschl ssel den Dateinamen f r den neuen ffentlichen Archivschl ssel in das Feld Datei mit ffentlichem Schl s sel ein Durch Klicken auf Durchsuchen k nnen Sie die neue Datei suchen oder Sie k nnen durch Klicken auf Erstellen einen neuen ffentlichen Archiv schl ssel generieren Anmerkung Achten Sie darauf dass Sie den neuen ffentlichen Schl ssel an einer anderen Position als die alten Archivschl sseldateien erstellen 4 Geben Sie im Bereich Neuer CSS Archivschl ssel den Dateinamen f r den neuen privaten Archivschl ssel in das Feld Datei mit privatem Schl ssel ein Durch Klicken auf Durchsuchen k nnen Sie die neue Datei suchen oder Sie k nnen durch Klicken auf Erstellen ein neues Archivschl sselpaar generieren Anmerkung Achten Sie darauf dass Sie das neue Schl sselpaar an einer anderen Position als die alten Archivschl sseldateien erstellen 5 Geben Sie im Bereich Alter CSS Archivschl ssel den Dateinamen f r den alten ffentlichen Archivschl ssel in das Feld Datei mit ffentlichem Schl s sel ein oder
109. on Setup Utility zum Inaktivieren des Chips festgelegt wurde Damit Sie den integrierten IBM Security Chip und die Chiffrierschl ssel f r die Hardware nach der Inaktivierung verwenden k nnen m ssen Sie den Chip erneut aktivieren 40 IBM Client Security Solutions Client Security Version 5 1 Administratorhandbuch Integrierten IBM Security Chip aktivieren und Kennwort fur den IBM Security Chip festlegen Wenn Sie nach der Softwareinstallation den integrierten IBM Security Chip aktivie ren m ssen k nnen Sie das Kennwort fiir den IBM Security Chip mit dem Administratordienstprogramm zurticksetzen und neue Chiffrierschliissel konfigu rieren M glicherweise m ssen Sie den integrierten IBM Security Chip aktivieren um das Schl sselarchiv nach einem Austausch der Systemplatine oder nach der Inaktivie rung des Chips wiederherzustellen Gehen Sie wie folgt vor um den Chip zu aktivieren und ein Kennwort f r den IBM Security Chip festzulegen 1 Klicken Sie auf dem Windows Desktop des IBM Clients auf Start gt Einstellun gen gt Systemsteuerung gt Subsystem von IBM Client Security In einer Nachricht werden Sie aufgefordert den integrierten IBM Security Chip f r den IBM Client zu aktivieren 2 Klicken Sie auf Ja In einer Nachricht werden Sie aufgefordert den Computer erneut zu starten Sie m ssen den Computer erneut starten damit der integrierte IBM Security Chip aktiviert wird Wenn f r den Computer erweiter
110. onen Authentifizierungselemente bergehen oder berschreiben Zu den Funktio nen zum bergehen und berschreiben die der Administrator durchf hren kann geh ren die folgenden UVM Verschl sselungstext bergehen Diese Funktion erm glicht es dem Administrator das bergehen des UVM Verschl sselungstextes zuzulassen Bei Verwendung dieser Funktion wird zusammen mit einer Kennwortdatei ein Verschl sselungstext per Zufallsgenerator erstellt Der Administrator schickt die Kennwortdatei an den Benutzer und bermittelt ihm dann den Verschl sselungstext auf einem anderen Weg So ist die Sicherheit des neuen Verschl sselungstextes gew hrleistet Kennwort zum berschreiben des Fingerabdrucks der Smartcard anzeigen ndern ber diese Funktion kann der Administrator die Sicher heits Policy auch dann au er Kraft setzen wenn das Au erkraftsetzen von Verschl sselungstexten f r Fingerabdr cke oder Smartcard nicht erlaubt ist Dies kann erforderlich werden wenn das Leseger t f r Fingerabdr cke defekt oder die Smartcard nicht verf gbar ist Der Administrator kann das Ersatz kennwort dem Benutzer m ndlich mitteilen oder per E Mail senden 31 32 Auf Archivschl sselinformationen zugreifen Der Administrator kann hier auf die folgenden Informationen zugreifen Archivverzeichnis In diesem Feld kann der Administrator Archivschl ssel informationen von einem fernen Standort aus suchen Position des pr
111. owser ver wenden Der Verschl sselungsgrad von Client Security ist im Administratordienst programm angegeben berpr fen Sie Folgendes 1 Der Verschl sselungsgrad des Webbrowsers beim Sender muss mit dem Verschl sselungsgrad des Webbrowsers des Empf ngers kompatibel sein 2 Der Verschl sselungsgrad des Webbrowsers muss mit dem Verschl sselungsgrad der Firmware von Client Security kompatibel sein Fehler bei der Verwendung eines Zertifi kats von einer Adresse der mehrere Zerti fikate zugeordnet sind Ma nahme Outlook Express kann mehrere Zertifikate zu einer einzigen E Mail Adresse auflisten und einige dieser Zertifikate k nnen ung ltig werden Ein Zertifikat wird ung ltig wenn der dem Zertifikat zugeordnete private Schl ssel auf dem integrierten IBM Security Chip des Sendercomputers auf dem das Zertifikat generiert wurde nicht mehr vor handen ist Bitten Sie den Empf nger sein digitales Zer tifikat erneut zu senden w hlen Sie anschlie end dieses Zertifikat im Adress buch von Outlook Express aus Kapitel 9 Fehlerbehebung 63 64 Fehlersymptom M gliche L sung Beim Versuch eine E Mail digital zu sig nieren wird eine Fehlernachricht ange zeigt Ma nahme Wenn der Verfasser einer E Mail versucht eine E Mail digital zu signieren jedoch sei nem E Mail Account noch kein Zertifikat zugeordnet ist wird eine Fehlernachricht angezeigt Verwenden Sie die
112. pitel 8 Anweisungen f r den Clientbenutzer auf Seite 43 Gehen Sie im Administratordienstprogramm wie folgt vor um die Position des Schl sselarchivs zu ndern 1 Klicken Sie auf die Schaltfl che Schl sselkonfiguration Die Anzeige Schl sselkonfiguration von Client Security ndern Schl ssel konfigurieren erscheint 2 Klicken Sie auf den Radioknopf Archivposition ndern und anschlie end auf Weiter Die Anzeige Schl sselkonfiguration von Client Security ndern Neue Position des Schl sselarchivs erscheint 3 Geben Sie den neuen Pfad ein oder klicken Sie auf Durchsuchen um den Pfad auszuw hlen 4 Klicken Sie auf OK Es erscheint eine Nachricht die anzeigt dass der Vorgang beendet wurde 5 Klicken Sie auf Fertig stellen Archivschl sselpaar ndern Nach der ersten Erstellung des Archivschl sselpaars wird dieses gew hnlich auf einer Diskette oder in einem Netzwerkverzeichnis gespeichert Falls das Archiv schl sselpaar besch digt wird k nnen Sie es durch ein anderes Archivschl ssel paar ersetzen Anmerkung Aktualisieren Sie das Archiv unbedingt bevor Sie das Archiv schl sselpaar ndern 34 IBM Client Security Solutions Client Security Version 5 1 Administratorhandbuch Gehen Sie im Administratordienstprogramm wie folgt vor um die das Archiv schliisselpaar zu ndern 1 Klicken Sie auf die Schaltfl che Schl sselkonfiguration Die Anzeige Schl sselkonfiguration v
113. press Client 128 Bit an einen anderen Outlook Express Client 128 Bit Wenn Sie Outlook Express mit der 128 Bit Version von Internet Explorer 4 0 oder 5 0 verwenden um verschl sselte E Mails an andere Clients mit Outlook Express 128 Bit zu senden k nnen mit dem Zertifikat des integrierten IBM Security Chips verschl sselte E Mails nur mit dem 3DES Algorithmus verschl sselt werden Beim Senden von E Mails zwischen einem Outlook Express Client 128 Bit und einem Netscape Client Eine Verschl sselungsanforderung gem RC2 40 RC2 64 oder RC2 128 von einem Netscape Client an einen Outlook Express Client 128 Bit wird an den Netscape Client immer mit dem RC2 40 Algorithmus zur ckgesendet M glicherweise stehen einige Algorithmen im Outlook Express Client 128 Bit nicht zur Auswahl Je nachdem wie die Version von Outlook Express 128 Bit konfiguriert oder aktualisiert wurde sind m glicherweise einige RC2 Algorithmen und andere Algorithmen f r die Verwendung mit dem Zertifikat des integrierten IBM Security Chips nicht verf gbar Aktuelle Informationen zu den Verschl sse lungsalgorithmen die mit den verschiedenen Versionen von Outlook Express ver wendet werden erhalten Sie von Microsoft UVM Schutz f r eine Lotus Notes Benutzer ID verwenden Der UVM Schutz funktioniert nicht wenn Sie innerhalb einer Notes Sitzung die Benutzer ID wechseln Sie k nnen den UVM Schutz nur f r die aktuelle Benut zer ID einer Notes Sitzung
114. r dienstprogramms wird eine Fehlernachricht angezeigt Ma nahme W hrend Sie das Administratordienst programm verwenden wird m glicherweise die folgende Fehlernachricht angezeigt Beim Versuch auf den Client Security Chip zuzugreifen ist ein Puffer E A Fehler aufge treten Der Fehler kann m glicherweise durch einen Warmstart behoben werden Schlie en Sie die Fehlernachricht und star ten Sie den Computer erneut Beim ndern des Kennworts f r den Security Chip wird eine Nachricht ber die Inaktivierung des Chips angezeigt Ma nahme Wenn Sie versuchen das Kennwort f r den IBM Security Chip zu ndern und nach der Eingabe des Best tigungskennworts die Ein gabetaste oder die Tabulatortaste zusammen mit der Eingabetaste dr cken wird die Schaltfl che Chip inaktivieren aktiviert und es wird eine Best tigungsnachricht f r das Inaktivieren des Chips angezeigt Gehen Sie wie folgt vor 1 Schlie en Sie das Best tigungsfenster f r die Inaktivierung des Chips 2 Geben Sie zum ndern des Kennworts f r den IBM Security Chip das neue Kennwort ein geben Sie das Best tigungskennwort ein und klicken Sie anschlie end auf Andern Dr cken Sie nachdem Sie das Best tigungs kennwort eingegeben haben nicht die Eingabetaste oder die Tabulatortaste zusammen mit der Eingabetaste IBM Client Security Solutions Client Security Version 5 1 Administratorhandbuch Fehlerbehebungsinform
115. r von Windows XP Professional mit eingeschr nkter Berechtigung m glicherweise folgende Tasks im Benutzer konfigurationsprogramm nicht ausf hren Den UVM Verschl sselungstext ndern Das mit UVM registrierte Windows Kennwort aktualisieren e Das Schl sselarchiv aktualisieren Diese Einschr nkungen gelten nicht mehr nachdem ein Administrator das Administratordienstprogramm gestartet und beendet hat Windows XP Home Benutzer von Windows XP Home mit eingeschr nkter Berechtigung k nnen in den folgenden F llen das Benutzerkonfigurationsprogramm nicht verwenden Client Security ist auf einer Partition im NTFS Format installiert e Der Windows Ordner befindet sich auf einer Partition im NTFS Format e Der Archivordner befindet sich auf einer Partition im NTFS Format Fehlernachrichten Fehlernachrichten f r Client Security werden in Ereignisprotokoll geschrieben Client Security verwendet einen Einheitentreiber der m glicherweise Fehlernach richten in das Ereignisprotokoll schreibt Die Fehler auf denen diese Nachrichten basieren wirken sich auf den normalen Betrieb des Computers nicht aus UVM ruft Fehlernachrichten auf die vom zugeordneten Programm generiert werden wenn f r ein Authifizierungsobjekt der Zugriff verweigert wird Wenn in der UVM Policy die Verweigerung des Zugriffs f r ein Authentifizierungsobjekt z B f r die E Mail Verschl sselung festgelegt ist variiert die Nachricht ber den verweigerten Zu
116. rend der Eingabeaufforderung des Programms IBM BIOS Setup Utility die Taste Fn Anmerkung Auf einigen ThinkPad Modellen m ssen Sie m glicherweise beim Einschalten die Taste F1 dr cken um auf das Programm IBM BIOS Setup Utility zuzugreifen Weitere Informationen hierzu finden Sie in der Hilfenachricht des Programms IBM BIOS Setup Utility Das Hauptmen des Programms IBM BIOS Setup Utility wird ge ffnet W hlen Sie Config aus W hlen Sie IBM Security Chip aus W hlen Sie Clear IBM Security Chip aus W hlen Sie Yes aus Dr cken Sie die Eingabetaste um fortzufahren onoun w Dr cken Sie die Taste F10 um die Einstellungen zu speichern und das Pro gramm zu beenden Administratordienstprogramm Der folgende Abschnitt enth lt Informationen die Sie bei der Verwendung des Administratordienstprogramms beachten m ssen Benutzer l schen Wenn Sie einen Benutzer l schen wird der Benutzername in der Benutzerliste des Administratordienstprogramms gel scht 54 IBM Client Security Solutions Client Security Version 5 1 Administratorhandbuch Keinen Zugriff auf ausgew hlte Objekte mit der Tivoli Access Manager Steuerung zulassen Das Markierungsfeld Keinen Zugriff auf ausgew hltes Objekt zulassen ist nicht inaktiviert wenn die Tivoli Access Manager Steuerung ausgew hlt wurde Wenn Sie im UVM Policy Editor die Option Access Manager steuert ausgew hltes Objekt ausw hlen um ein Authentifizierungsobj
117. rierten IBM Security Chips im Computer installieren Da die Instal lation des PKCS 11 Moduls des integrierten IBM Security Chips einen UVM Verschl sselungstext erfordert m ssen Sie in die Sicherheits Policy f r den Computer mindestens einen Benutzer aufnehmen Gehen Sie wie folgt vor um das PKCS 11 Modul des integrierten IBM Security Chips zu installieren 1 ffnen Sie Netscape und klicken Sie auf Datei gt Seite ffnen 2 Suchen Sie die Installationsdatei IBMPKCSINSTALL HTML Falls bei der Installation das vorgeschlagene Standardverzeichnis bernommen wurde befindet sich die Datei im Verzeichnis C Program Files IBM Security 3 ffnen Sie die Installationsdatei IBMPKCSINSTALL HTML in Netscape Nach dem ffnen der Datei in Netscape beginnt die Installationsprozedur und das Fenster UVM Verschl sselungstext wird aufgerufen 4 Geben Sie den UVM Verschl sselungstext ein und klicken Sie auf OK Es wird eine Nachricht mit der Frage angezeigt ob das Sicherheitsmodul tat s chlich installiert werden soll 5 Klicken Sie auf OK In einer Nachricht wird Ihnen mitgeteilt dass das Modul installiert wurde 6 Klicken Sie auf OK PKCS 11 Anmeldeschutz f r Netscape Anwendungen ver wenden Wenn f r den Computer der PKCS 11 Anmeldeschutz konfiguriert ist m ssen Sie die Authentifizierungsbestimmungen bei jeder Anmeldung bei Netscape erf llen M glicherweise m ssen Sie den UVM Verschl sselungstext eingeben die
118. riff Diese Datei ist f r standort unabh ngigen Zugriff unter Verwendung der Option 1 f r die Clientregistrie rung aktiviert Der derzeitige Benutzer muss das Systemregistrierungskennwort angeben Option 2 f r standortunabh ngigen Zugriff Diese Datei ist f r standort unabh ngigen Zugriff unter Verwendung der Option 2 f r die Clientregistrie rung aktiviert Der derzeitige Benutzer muss seine Benutzer ID und das System registrierungskennwort angeben Option 3 f r standortunabh ngigen Zugriff Diese Datei ist f r standort unabh ngigen Zugriff unter Verwendung der Option 3 f r die Clientregistrie rung aktiviert Der Benutzer ist designiert Der designierte Benutzer muss das Systemregistrierungskennwort angeben Im Folgenden finden Sie Beispiele f r vier verschiedene CSEC INI Dateien CSSSetup suppw bootup hwpw 11111111 newkp 1 keysplit 1 kpl c jgk kal c jgk archive clean 0 UVMEnrollment enrollall 0 userl joseph userluvmpw q1234r userlwinpw userldomain 0 userlppchange 0 userl ppexppolicy 0 userlppexpdays 184 CSSSetup suppw bootup hwpw 11111111 newkp 1 keysplit 1 kpl c jgk kal c jgk archive enableroaming 1 username promptcurrent clean 0 UVMEnrollment enrollall 0 userl joseph userluvmpw q1234r userlwinpw userldomain 0 userlppchange 0 userl ppexppolicy 0 userlppexpdays 184 Kapitel 7 Weitere Funktionen des Sicherheitsadministrators CSSSetup suppw bootup hwpw 1111111
119. rt wurde Dies ist ein normaler Vorgang Die Nachricht besagt lediglich dass diese Verschiebeoperation nicht unterst tzt wird Alternativ zur Verschiebeoperation k nnen Sie folgende Operation ausf hren 1 Kopieren Sie die gesch tzten Dateien oder Ordner an die neue Position 2 L schen Sie die urspr nglichen Dateien oder Ordner mit Hilfe der Tasten kombination Umschalttaste Entf Einschr nkungen beim Ausf hren von Anwendungen Das Dienstprogramm IBM FFE unterst tzt nicht das Ausf hren von Anwendun gen von einem gesch tzten Ordner aus Die ausf hrbare Datei PROGRAMM EXE kann z B nicht von einem gesch tzten Ordner aus ausgef hrt werden L ngenbeschr nkungen f r Pfadnamen Wenn Sie versuchen einen Ordner mit Hilfe des Dienstprogramms IBM FFE zu sch tzen oder eine Datei oder einen Ordner von einem ungesch tzten Ordner in einen gesch tzten Ordner zu verschieben erhalten Sie m glicherweise eine Nach richt des Betriebssystems die besagt dass ein oder mehrere Pfadnamen zu lang sind Wenn Sie diese Nachricht erhalten berschreitet der Pfadname einer eines oder mehrerer Dateien oder Ordner die maximal zul ssige Zeichenl nge Beheben Sie den Fehler indem Sie entweder die Ordnerstruktur neu anordnen so dass der Pfad verk rzt wird oder indem Sie Ordner oder Dateinamen k rzen Fehler beim Sch tzen eines Ordners Wenn Sie versuchen einen Ordner zu sch tzen und eine Nachricht erhalten die besagt dass d
120. s einzige Zertifikat das Standardzertifikat L schen Sie mit den Sicherheitseinrichtungen in Netscape das erste Zertifikat und ffnen Sie anschlie end das zweite Zertifikat erneut oder bitten Sie den Sender eine weitere signierte E Mail zu senden Das Zertifikat des integrierten IBM Security Chips kann nicht exportiert wer den Ma nahme Das Zertifikat des integrierten IBM Security Chips kann in Netscape nicht exportiert werden Die Exportfunktion in Netscape k nnen Sie zum Sichern von Zertifikaten verwenden Rufen Sie das Administratordienstprogramm oder Benutzerkonfigurationsprogramm auf um das Schl sselarchiv zu aktualisieren Wenn Sie das Schl sselarchiv aktualisieren werden von allen Zertifikaten die dem inte grierten IBM Security Chip zugeordnet sind Kopien erstellt Beim Versuch ein wiederhergestelltes Zer tifikat nach dem Ausfall eines Festplatten laufwerks zu verwenden wird eine Fehlernachricht angezeigt Ma nahme Zertifikate k nnen im Administratordienst programm mit der Wiederherstellungs funktion f r Schl ssel wiederhergestellt werden M glicherweise sind einige Zertifi kate wie z B die kostenfreien Zertifikate von VeriSign nach einer Schl ssel wiederherstellung nicht wiederhergestellt Fordern Sie nach dem Wiederherstellen der Schl ssel ein neues Zertifikat an Kapitel 9 Fehlerbehebung 67 68 Fehlersymptom M gliche L sung Der Netscape
121. s integrierten IBM Security Chips verwenden m chten m ssen Sie den Inhalt des Chips nicht l schen und kein neues Kennwort festlegen Der Installationszugriff wird verweigert da das Hardwarekennwort unbekannt ist Ma nahme Wenn Sie die Software auf einem IBM Client mit aktiviertem integrierten IBM Security Chip installieren ist das Hardwarekennwort f r den integrierten IBM Security Chip unbekannt L schen Sie den Inhalt des Chips um mit der Installation fortzufahren Die Datei setup exe reagiert nicht ord nungsgem CSS Version 4 0x Ma nahme Wenn Sie alle Dateien aus csec4_0 exe in ein gemeinsames Verzeichnis extrahieren funktioniert die Datei setup exe nicht ord nungsgem F hren Sie die Datei smbus exe aus um den SMBus Einheitentreiber zu installieren und f hren Sie anschlie end die Datei csec4_0 exe aus um den Softwarecode von Client Security zu installieren IBM Client Security Solutions Client Security Version 5 1 Administratorhandbuch Fehlerbehebungsinformationen zum Administratordienst programm Im folgenden Abschnitt finden Sie Informationen die Ihnen bei der Behebung von Fehlern bei der Verwendung des Administratordienstprogramms weiterhelfen k n nen Fehlersymptom M gliche L sung Policy f r UVM Verschl sselungstext nicht erzwungen Ma nahme Das Markierungsfeld Mehr als 2 wiederkeh rende Zeichen nicht zulassen funkt
122. se kopierten Schl sseldateien f r Benutzer befinden sich in dem Verzeichnis in dem sie zuvor auf dem Computer gespeichert wurden z B in einem Netzwerkverzeichnis oder auf einer Diskette Wenn infolge eines Festplattenausfalls die Integrit t der Benutzerschl ssel besch digt ist k nnen Sie die Schl ssel aus dem Schl sselarchiv wiederherstellen Beim Wiederherstellen der Schl ssel werden alle gespeicherten Schl ssel berschrieben Wenn Sie die Systemplatine des Computers durch eine Systemplatine mit einem integrierten IBM Security Chip ersetzen und die Chiffrierschl ssel auf dem Fest plattenlaufwerk weiterhin g ltig bleiben k nnen Sie die Chiffrierschl ssel wieder herstellen die zuvor dem Computer zugeordnet waren indem Sie diese mit dem integrierten IBM Security Chip auf der neuen Systemplatine erneut verschl sseln Nachdem Sie den neuen Chip aktiviert und ein Kennwort f r den IBM Security Chip festgelegt haben k nnen Sie einen Schl ssel wiederherstellen Weitere Infor mationen hierzu finden Sie im Abschnitt Integrierten IBM Security Chip aktivie ren und Kennwort f r den IBM Security Chip festlegen auf Seite 41 Anmerkung Nach einer Wiederherstellung von Schl sseln wird die UVM Anmel dung automatisch aktiviert Wenn Sie also f r die UVM Anmeldung die Authentifizierung ber Fingerabdr cke festgelegt haben M S SEN Sie die Software f r Fingerabdr cke installieren bevor Sie nach einer Wiederherstellung
123. sprogramm verwenden E Mails sicher versenden und im World Wide Web sicher navigieren Einstellungen f r UVM Signalt ne konfigurieren UVM Schutz f r die Anmeldung am System verwenden In diesem Abschnitt finden Sie Informationen zur Verwendung der gesicherten UVM Anmeldung f r die Anmeldung am System Bevor Sie den UVM Schutz ver wenden k nnen muss dieser f r den Computer aktiviert sein Mit dem UVM Schutz k nnen Sie den Zugriff auf das Betriebssystem ber eine Anmeldeschnittstelle steuern Die gesicherte UVM Anmeldung ersetzt die Anmeldeanwendung von Windows so dass sich beim Entsperren des Computers durch einen Benutzer statt des Windows Anmeldefensters das UVM Anmelde fenster ffnet Wenn der UVM Schutz f r den Computer aktiviert ist wird die UVM Anmeldeschnittstelle beim Start des Computers aufgerufen W hrend das System aktiv ist k nnen Sie die UVM Anmeldeschnittstelle mit der Tastenkombination Strg Alt Entf aufrufen um damit den Computer herunterzu fahren zu sperren den Task Manager zu ffnen oder den aktuellen Benutzer abzu melden Client entsperren Einen Windows Client mit aktiviertem UVM Schutz k nnen Sie folgenderma en entsperren 1 Dr cken Sie die Tastenkombination Strg Alt Entf um auf die UVM Anmelde schnittstelle zuzugreifen 2 Geben Sie den Benutzernamen und die Dom ne ein an der Sie angemeldet sind und klicken Sie anschlie end auf Entsperren Das Fenster UVM Verschl sselungs
124. t jedoch nicht f r die einzelnen Benutzer festgelegt Wenn Sie also in der UVM Policy festlegen dass f r ein Objekt z B f r eine Anmeldung am Betriebs system eine Authentifizierung ber Fingerabdr cke erforderlich ist muss sich jeder Benutzer der f r die Verwendung von UVM autorisiert wird mit einem Fin gerabdruck registrieren um dieses Objekt verwenden zu k nnen Weitere Informa tionen zum Autorisieren eines Benutzers finden Sie im Abschnitt Benutzer entfernen auf Seite 16 Die UVM Policy wird in einer Datei mit dem Namen globalpolicy gvm gespei chert Zur Verwendung von UVM auf fernen Clients muss die UVM Policy auf einem IBM Client gespeichert sein und anschlie end auf ferne Clients kopiert wer den Durch Kopieren der UVM Policy Datei auf ferne Clients sparen Sie m glicher weise Zeit wenn Sie diese UVM Policy auf den fernen Clients konfigurieren 25 Lokale UVM Policy bearbeiten Sie bearbeiten eine lokale UVM Policy und verwenden diese nur auf dem Client fiir den Sie sie bearbeitet haben Wenn Sie Client Security an seiner Standard position installiert haben wird die lokale UVM Policy im Pfad Program Files IBM Security UVM_Policy globalpolicy gvm gespeichert Mit dem UVM Policy Editor k nnen Sie eine lokale UVM Policy bearbeiten und speichern Nur ein Benutzer der in UVM aufgenommen wurde kann den UVM Policy Editor ver wenden Die Schnittstelle fiir den UVM Policy Editor wir im Administratordienst
125. te Sicherheitsein richtungen aktiviert sind m ssen Sie m glicherweise das Administrator kennwort eingeben das mit dem Programm Configuration Setup Utility zum Aktivieren des Chips festgelegt wurde 3 Klicken Sie auf OK um den Computer erneut zu starten 4 Klicken Sie auf dem Windows Desktop auf Start gt Einstellungen gt System steuerung gt Subsystem von IBM Client Security Da der Zugriff auf das Administratordienstprogramm mit dem Kennwort f r den IBM Security Chip gesch tzt ist werden Sie in einer Nachricht aufgefor dert das Kennwort f r den IBM Security Chip einzugeben 5 Geben Sie in das Feld Neues Kennwort ein neues Kennwort f r den IBM Security Chip ein geben Sie es in das Feld Best tigung erneut ein 6 Klicken Sie auf OK Kapitel 7 Weitere Funktionen des Sicherheitsadministrators 41 Unterst tzung fur Entrust aktivieren 42 Der integrierte IBM Security Chip arbeitet mit Client Security zusammen so dass die Sicherheitseinrichtungen von Entrust erweitert werden Wenn Sie die Unterst t zung fiir Entrust auf einem Computer mit Client Security aktivieren werden die Sicherheitsfunktionen von Entrust auf den IBM Security Chip bertragen Client Security findet automatisch die Datei entrust ini um die Unterst tzung f r Entrust zu aktivieren Wenn sich jedoch die Datei entrust ini nicht im normalen Pfad befindet wird ein Dialogfenster ge ffnet in dem der Benutzer nach der Date
126. ten Authentifizierungsobjekte zu verwenden In diesem Beispiel ist auf mehre ren IBM Clients sowohl Windows 2000 als auch Netscape installiert Auf allen Cli ents ist der NetSEAT Client eine Komponente von Tivoli Access Manager installiert Auf allen Clients die einen LDAP Server verwenden ist der LDAP Cli ent installiert Die UVM Policy f r ferne Clients wird auf allen Clients installiert Mit der UVM Policy kann Tivoli Access Manager ausgew hlte Authentifizierungs objekte f r Clients steuern In diesem Beispiel ist f r einen einzigen Benutzer auf jedem Client die UVM Kon figuration der Authentifizierung erforderlich Alle Benutzer registrieren ihre Finger abdr cke so dass diese zur Authentifizierung verwendet werden k nnen In die sem Beispiel wird ein UVM Sensor f r Fingerabdr cke installiert und f r alle Clients ist der UVM Schutz f r die Windows Anmeldung erforderlich Zum Einrichten von Client Security m ssen Sie folgende Schritte ausf hren 1 Installieren Sie die Komponente Client Security auf dem Tivoli Access Mana ger Server Weitere Informationen hierzu finden Sie im Handbuch Client Secu rity mit Tivoli Access Manager verwenden 2 Installieren Sie Client Security auf allen Clients Da eine UVM Policy f r ferne Clients verwendet wird m ssen Sie denselben ffentlichen Schl ssel zur Ver waltung verwenden wenn Sie die Software auf allen Clients installieren Wei tere Informationen zur Softwareinstallation f
127. ten des Zertifikats eine Kopie des ffentlichen Schl ssels sowie die Iden tit t der Zertifizierungsinstanz und deren digitale Signatur Client Security mit Microsoft Anwendungen einsetzen Die nachfolgenden Informationen beziehen sich auf die Verwendung von Client Security f r das Anfordern und Anwenden digitaler Zertifikate im Zusammenhang mit Anwendungen die die Schnittstelle Microsoft CryptoAPl z B Outlook Express unterst tzen Weitere Informationen zur Erstellung der Sicherheitseinstellungen und zur Verwen dung von E Mail Anwendungen wie Outlook Express und Outlook finden Sie in der Dokumentation die mit diesen Anwendungen geliefert wird Anmerkung Wenn Sie Browser mit 128 Bit Verschl sselung mit Client Security verwenden m chten muss der integrierte IBM Security Chip die 256 Bit Verschl sselung unterst tzen Der Verschl sselungsgrad von Cli ent Security wird vom Administratordienstprogramm bestimmt Digitales Zertifikat f r Microsoft Anwendungen beziehen Wenn Sie ber eine Zertifizierungsinstanz ein f r Microsoft Anwendungen zu ver wendendes digitales Zertifikat erstellen werden Sie aufgefordert f r das Zertifikat einen CSP Cryptographic Service Provider auszuw hlen Damit Sie die Verschl sselungsfunktionen des integrierten IBM Security Chips f r Microsoft Anwendungen nutzen k nnen m ssen Sie bei Erhalt des digitalen Zerti fikats als CSP das CSP Modul des integrierten IBM Sicherheits Subsystems
128. tes an Wenn es nicht ausgew hlt wurde fordert das System das Windows Kennwort an Dar ber hinaus sind m glicherweise in der Sicherheits Policy f r den Computer weitere Authentifizierungsbestimmungen festgelegt daher ist m glicherweise eine weiter reichende Authentifizierung erforderlich M glicherweise m ssen Sie z B Ihre Fingerabdr cke mit den Scanner abtasten lassen um den Computer zu ent sperren Anmerkung Wenn Sie den integrierten IBM Security Chip inaktivieren oder alle Benutzer aus der Sicherheits Policy entfernen ist der Client Security Bildschirmschoner nicht verf gbar 44 IBM Client Security Solutions Client Security Version 5 1 Administratorhandbuch Benutzerkonfigurationsprogramm Das Benutzerkonfigurationsprogramm erm glicht es den Clientbenutzern verschie dene Vorg nge zum Verwalten der Systemsicherheit auszuf hren f r die keine Administratorberechtigungen erforderlich sind Funktionen des Benutzerkonfigurationsprogramms Das Benutzerkonfigurationsprogramm bietet Clientbenutzern folgende M glichkei ten e Kennw rter und Archiv aktualisieren Auf dieser Registerkarte k nnen die fol genden Funktionen ausgef hrt werden Den UVM Verschl sselungstext ndern Zum Erh hen der Sicherheit k nnen Sie den UVM Verschl sselungstext regelm ig ndern Windows Kennwort aktualisieren Wenn Sie das Windows Kennwort f r einen UVM berechtigten Clientbenutzer mit dem Benutzerverwaltungs programm
129. tes auf dem IBM Client installiert sein eine Notes Benutzer ID und ein Kennwort m ssen f r den Benutzer festgelegt werden und der Notes Benutzer muss zum Verwenden von UVM autorisiert sein Gehen Sie wie folgt vor um den UVM Schutz f r Lotus Notes einzurichten 1 10 11 12 Klicken Sie auf dem Windows Desktop des IBM Clients auf Start gt Einstel lungen gt Systemsteuerung gt Subsystem von IBM Client Security Das Hauptfenster des Administratordienstprogramms wird angezeigt Klicken Sie auf Anwendungsunterst tzung und Policies konfigurieren Die Anzeige Konfiguration der UVM Anwendungen und Policies erscheint W hlen Sie das Markierungsfeld Lotus Notes Unterst tzung aktivieren aus Der UVM Schutz f r die Lotus Notes Benutzer ID ist jetzt aktiviert Falls erforderlich fahren Sie mit den folgenden Schritten fort um die Policy f r die Lotus Notes Anmeldung zu konfigurieren Klicken Sie auf Anwendungs Policy Die Anzeige Policy Konfiguration von Client Security ndern erscheint Klicken Sie auf Policy bearbeiten Geben Sie das Administratorkennwort ein und klicken Sie auf OK Die Anzeige IBM UVM Policy Lotus Notes Anmeldung erscheint W hlen Sie auf der Registerkarte Objektauswahl im Dropdown Men Aktion den Eintrag Lotus Notes Anmeldung aus W hlen Sie auf der Registerkarte Authentifizierungselemente die Authentifi zierungselemente aus die f r die Lotus Notes Anmeldung er
130. text wird ge ffnet Anmerkung Obwohl UVM mehrere Dom nen erkennt muss das Benutzer kennwort f r alle Dom nen bereinstimmen 3 Geben Sie den UVM Verschl sselungstext ein und klicken Sie auf OK um auf das Betriebssystem zuzugreifen Anmerkungen 1 Wenn der UVM Verschl sselungstext f r den eingegebenen Benutzernamen und f r die eingegebene Dom ne nicht der richtige ist wird das UVM An meldefenster erneut ge ffnet 2 Je nach den Authentifizierungsbestimmungen der UVM Policy f r den Client kann m glicherweise eine weiter reichende Authentifizierung erforderlich sein 43 Client Security Bildschirmschoner Der Client Security Bildschirmschoner besteht aus einer Serie sich bewegender Bil der die angezeigt werden wenn der Computer fiir eine angegebene Zeitspanne nicht benutzt wird Wenn Sie den Client Security Bildschirmschoner konfigurieren k nnen Sie den Zugriff auf den Computer ber eine Bildschirmschoneranwendung steuern Wenn der Client Security Bildschirmschoner auf der Arbeitsoberflache angezeigt wird m ssen Sie den UVM Verschl sselungstext eingeben um auf die Arbeitsoberfl che des Systems zugreifen zu k nnen Client Security Bildschirmschoner konfigurieren In diesem Abschnitt finden Sie Informationen zur Konfiguration des Client Securi ty Bildschirmschoners Bevor Sie den Client Security Bildschirmschoner verwenden k nnen muss mindestens ein Benutzer in der Sicherheits Policy des betreffenden
131. tivieren Sie den UVM Schutz f r Lotus Notes auf beiden Clients Weitere Informationen hierzu finden Sie im Abschnitt UVM Schutz f r Lotus Notes verwenden auf Seite 19 10 IBM Client Security Solutions Client Security Version 5 1 Administratorhandbuch 4 Bearbeiten und speichern Sie eine UVM Policy fiir ferne Clients auf Client 1 und kopieren Sie diese anschlie end auf Client 2 Die UVM Policy macht eine Benutzerauthentifizierung f r das Entfernen des Bildschirmschoners f r die Anmeldung bei Lotus Notes und f r die Anmeldung am Betriebssystem erfor derlich Weitere Informationen hierzu finden Sie im Abschnitt UVM Policy f r ferne Clients bearbeiten und verwenden auf Seite 29 5 Starten Sie die einzelnen Clients erneut um den UVM Schutz f r die Anmel dung am System zu aktivieren 6 Informieren Sie die Clientbenutzer ber die UVM Verschl sselungstexte und ber die Policies die f r die einzelnen Clients festgelegt wurden Nun k nnen die Benutzer im Client Security Benutzerhandbuch die Anweisungen zu folgenden Tasks lesen Aktivierung des Client Security Bildschirmschoners Verwendung des UVM Schutzes f r Windows 2000 Beispiel 3 Mehrere IBM Clients unter Windows 2000 mit Tivoli Access Manager Verwaltung und mit Netscape als E Mail Programm Die Zielgruppe f r das folgende Beispiel sind Unternehmensadministratoren die planen Tivoli Access Manager zur Verwaltung der mit der UVM Policy konfigu rier
132. tscape Nach der Installation des PKCS 11 Moduls des integrierten IBM Security Chips fordert Sie UVM bei jeder Verwendung des digitalen Zertifikats auf die Authen tifizierungsbestimmungen zu erf llen M glicherweise m ssen Sie den UVM Verschl sselungstext eingeben die Fingerabdr cke scannen oder beides damit Sie die Authentifizierungsbestimmungen erf llen Die Authentifizierungsbestimmun gen sind in der UVM Policy f r den Computer definiert Wenn Sie die in der UVM Policy festgelegten Authentifizierungsbestimmungen nicht erf llen wird eine Fehlernachricht angezeigt Wenn Sie bei dieser Nachricht auf OK klicken wird Netscape ge ffnet Sie k nnen jedoch das vom integrierten IBM Security Chip generierte digitale Zertifikat erst verwenden wenn Sie Netscape erneut starten und den richtigen UVM Verschl sselungstext die Fingerabdr cke oder beides angeben Kapitel 5 Nach dem Hinzuf gen von Benutzern in UVM 23 24 IBM Client Security Solutions Client Security Version 5 1 Administratorhandbuch Kapitel 6 Mit der UVM Policy arbeiten Bevor Sie die UVM Policy fiir den lokalen Client bearbeiten miissen Sie sicherstel len dass mindestens ein Benutzer fiir die Verwendung von UVM autorisiert ist Andernfalls erhalten Sie beim Offnen der lokalen Policy Datei mit dem Policy Edi tor eine Fehlernachricht Nachdem Benutzer fiir die Verwendung von UVM autorisiert sind miissen Sie fiir jeden IBM Client eine Sicherheits Policy bearbe
133. ty Version 5 1 Administratorhandbuch Digitales Zertifikat fur Microsoft Anwendungen verwenden Verwenden Sie zur Anzeige und zur Verwendung digitaler Zertifikate die Sicherheitseinstellungen in den Microsoft Anwendungen Weitere Informationen hierzu finden Sie in der Dokumentation von Microsoft Nachdem Sie das digitale Zertifikat erstellt und damit eine E Mail signiert haben werden Sie von UVM aufgefordert die Authentifizierungsbestimmungen beim ers ten digitalen Signieren einer E Mail zu erf llen M glicherweise m ssen Sie den UVM Verschl sselungstext eingeben die Fingerabdr cke scannen oder beides damit Sie die Authentifizierungsbestimmungen zur Verwendung des digitalen Zer tifikats erf llen Die Authentifizierungsbestimmungen sind in der UVM Policy f r den Computer definiert Einstellungen f r UVM Signalt ne konfigurieren ber die Schnittstelle des Benutzerkonfigurationsprogramms k nnen Einstellungen f r Signalt ne konfiguriert werden Gehen Sie wie folgt vor um die Standardein stellung f r Signalt ne zu ndern 1 Klicken Sie auf Start gt Programme gt Access IBM gt IBM Client Security gt Sicherheitseinstellungen ndern Die Anzeige des Benutzerkonfigurationsprogramms von IBM Client Security wird angezeigt 2 Klicken Sie auf die Registerkarte UVM Signalt ne konfigurieren 3 Geben Sie im Abschnitt UVM Authentifizierungst ne in das Feld Erfolgrei che Authentifizierung den Dateipfad zur Audio
134. ty index html herunterladen Vorwort Vii viii IBM Client Security Solutions Client Security Version 5 1 Administratorhandbuch Kapitel 1 Einfuhrung in IBM Client Security Die Software IBM Client Security ist fiir IBM Computer konzipiert die den inte grierten IBM Security Chip zum Verschltisseln von Dateien und Speichern von Chiffrierschl sseln verwenden Client Security besteht aus Anwendungen und Komponenten mit denen IBM Kunden die Sicherheit von Clients im lokalen Netz werk im Unternehmen oder im Internet gew hrleisten k nnen Anwendungen und Komponenten von Client Security Wenn Sie Client Security installieren werden die folgenden Softwareanwendungen und komponenten installiert Administratordienstprogramm Das Administratordienstprogramm ist die Schnittstelle ber die ein Administrator den integrierten IBM Security Chip akti viert oder inaktiviert sowie Chiffrierschl ssel und Verschl sselungstexte erstellt archiviert und erneut generiert Dar ber hinaus kann ein Administrator mit die sem Dienstprogramm der Sicherheits Policy die von Client Security bereitgestellt wird Benutzer hinzuf gen User Verification Manager UVM In Client Security werden mit UVM Verschl sselungstexte und andere Elemente verwaltet mit denen System benutzer authentifiziert werden Mit einem Leseger t f r Fingerabdr cke kann UVM z B bei der Anmeldung Benutzer authentifizieren UVM bietet folgende M glichkeite
135. ung am Betriebssystem e Anfordern eines digitalen Zertifikats e Verwendung einer digitalen Signatur f r E Mails Weitere Informationen hierzu finden Sie im Abschnitt UVM Policy f r ferne Clients bearbeiten und verwenden auf Seite 29 7 Starten Sie die einzelnen Clients erneut um den UVM Schutz f r die Win dows Anmeldung zu aktivieren 8 Installieren Sie das PKCS 11 Modul des integrierten IBM Security Chips auf jedem Client Dieses Modul unterst tzt die Verschl sselung auf Clients die ber Netscape E Mails senden und empfangen sowie den integrierten IBM Security Chip f r die Anforderung digitaler Zertifikate Weitere Informationen hierzu finden Sie im Client Security Installationshandbuch 9 Erm glichen Sie Tivoli Access Manager die Steuerung der IBM Client Security Solutions Objekte die in der Verwaltungskonsole von Tivoli Access Manager angezeigt werden 10 Informieren Sie die Clientbenutzer ber die UVM Verschl sselungstexte die f r die einzelnen Clients festgelegt wurden 11 Weisen Sie die Clientbenutzer an im Client Security Benutzerhandbuch die Anweisungen zu folgenden Tasks zu lesen Mit dem UVM Schutz das Betriebssystem sperren und entsperren Benutzerkonfigurationsprogramm verwenden e Ein Digitales Zertifikat anfordern das den integrierten IBM Security Chip verwendet um die zum Zertifikat geh rige Verschl sselung bereitzustellen Ein Digitales Zertifikat zur Verschl sselung von E Mails verwenden
136. unktion k nnen Sie Einstellungen ber das Archiv wiederherstellen Dies ist n tzlich wenn Dateien besch digt wurden oder Sie eine vorherige Konfiguration wie derherstellen m chten Bein einem CSS Roaming Server registrieren Mit Hilfe dieser Funktion k n nen Sie dieses System bei einem CSS Roaming Server registrieren Wenn das System registriert ist k nnen Sie Ihre aktuelle Konfiguration in dieses System importieren Kapitel 8 Anweisungen f r den Clientbenutzer 45 Einschrankungen des Benutzerkonfigurationsprogramms unter Windows XP Unter Windows XP gibt es unter bestimmten Umst nden Zugriffseinschrankungen f r die f r einen Clientbenutzer verf gbaren Funktionen Windows XP Professional Unter Windows XP Professional k nnen die Einschr nkungen f r Clientbenutzer in den folgenden Situationen auftreten Client Security ist auf einer Partition installiert die sp ter in das NTFS Format konvertiert wird Der Windows Ordner befindet sich auf einer Partition die sp ter in das NTFS Format konvertiert wird Der Archivordner befindet sich auf einer Partition die sp ter in das NTFS For mat konvertiert wird In den vorgenannten F llen k nnen Benutzer von Windows XP Professional mit eingeschr nkter Berechtigung m glicherweise folgende Tasks im Benutzer konfigurationsprogramm nicht ausf hren Den UVM Verschl sselungstext ndern Das mit UVM registrierte Windows Kennwort aktualisieren Das Schl
137. voli Access Manager zur Steuerung eines Objektes aus w hlen bergeben Sie die Steuerung dem Tivoli Access Manager Objekt bereich Wenn Sie dies tun und Sie die lokale Steuerung f r dieses Objekt wiederherstellen m chten m ssen Sie Client Security erneut installieren e Wahlen Sie Keinen Zugriff auf ausgew hltes Objekt zulassen aus um den Zugriff f r das von Ihnen ausgew hlte Objekt zu verweigern 7 Klicken Sie auf OK um die nderungen zu speichern und das Programm zu verlassen UVM Policy f r ferne Clients bearbeiten und verwenden Die UVM Policy k nnen Sie auf mehreren IBM Clients verwenden indem Sie die UVM Policy f r einen fernen Client bearbeiten und speichern und anschlie end die UVM Policy Datei auf andere IBM Clients kopieren Wenn Sie Client Security an seiner Standardposition installieren wird die UVM Policy Datei im Pfad Pro gram Files IBM Security UVM_Policy remote globalpolicy gvm gespeichert Kopieren Sie die folgenden Dateien auf andere ferne IBM Clients die diese UVM Policy verwenden e IBM Security UVM_Policy remote globalpolicy gvm e IBM Security UVM_Policy remote globalpolicy gvm sig Wenn Sie Client Security an seiner Standardposition installiert haben lautet das Stammverzeichnis f r den oben genannten Pfad Program Files Kopieren Sie beide Dateien in das Verzeichnis IBM Security UVM_Policy auf den fernen Clients Kapitel 6 Mit der UVM Policy arbeiten 29 30 IBM Client Security Solut
Download Pdf Manuals
Related Search