IBM Client Security Solutions: Client Security, Version 5.1
Contents
1. In Outlook Express wird eine Nachricht ber Entschl sselungsfehler angezeigt Ma nahme Sie k nnen in Outlook Express eine Nach richt ffnen indem Sie doppelt darauf kli cken Wenn Sie zu schnell auf eine verschl sselte Nachricht klicken wird in einigen F llen eine Nachricht ber Entschl sselungsfehler angezeigt Schlie en Sie die Nachricht und ffnen Sie die verschl sselte E Mail erneut Dar ber hinaus wird m glicherweise in der Voranzeige eine Fehlernachricht angezeigt wenn Sie eine verschl sselte Nachricht aus w hlen Wenn in der Voranzeige eine Fehlernachricht angezeigt wird ist keine Ma nahme erfor derlich Wenn Sie bei verschl sselten E Mails zwei Mal auf die Schaltfl che Senden klicken wird eine Fehlernachricht angezeigt Ma nahme Wenn Sie in Outlook Express zweimal auf die Schaltfl che zum Senden klicken um eine verschl sselte E Mail zu senden wird eine Fehlernachricht dar ber angezeigt dass die Nachricht nicht gesendet werden konnte Schlie en Sie die Fehlernachricht und kli cken Sie einmal auf die Schaltfl che Senden Beim Anfordern eines Zertifikats wird eine Fehlernachricht angezeigt Ma nahme Bei Verwendung von Internet Explorer erhal ten Sie m glicherweise eine Fehlernachricht wenn Sie ein Zertifikat anfordern das das CSP Modul des integrierten IBM Security Chips verwendet Fordern Sie das digitale Zertifikat erneut an2. Internet Explorer 5 0 oder h her Netscape 4 51 bis Netscape 7 Informationen zum Webbrowser Verschl sselungsgrad Wenn eine Unterst tzung f r hochgradige Verschl sselung installiert ist verwen den Sie die 128 Bit Version Ihres Webbrowsers Andernfalls verwenden Sie die 40 Bit Version Ihres Webbrowsers Weitere Informationen zur Feststellung des Verschl sselungsgrades erhalten Sie ber die Hilfefunktion des Browsers Verschl sselungsdienste Client Security unterst tzt folgende Verschl sselungsdienste Microsoft CryptoAPI CryptoAPl ist der Standardverschl sselungsdienst f r Betriebssysteme und Anwendungen von Microsoft Mit der integrierten Unter st tzung von CryptoAPI k nnen Sie ber Client Security die Verschliisselungs vorg nge des integrierten IBM Security Chips beim Erstellen von digitalen Zerti fikaten f r Microsoft Anwendungen verwenden e PKCS 11 Modul Beim PKCS 11 Modul handelt es sich um den Verschl sselungsstandard f r Netscape Entrust RSA und andere Produkte Wenn Sie das PKCS 11 Modul f r den integrierten IBM Security Chip installiert haben k nnen Sie mit dem integrierten IBM Security Chip digitale Zertifikate f r Netscape Entrust RSA und andere Anwendungen die das PKCS 11 Modul verwenden erstellen E Mail Anwendungen Client Security unterst tzt folgende Anwendungstypen ber gesicherte E Mail E Mail Anwendungen die Microsoft CryptoAPI f r Verschl sselungsvorg nge verwen
3. Kapitel 5 Fehlerbehebung 41 42 Fehlerbehebungsinformationen zu Netscape Anwendungen Die folgenden Fehlerbehebungstabellen enthalten Informationen zur Fehler behebung bei der Verwendung von Client Security mit Netscape Anwendungen Fehlersymptom M gliche L sung Fehler beim Lesen verschl sselter E Mails Ma nahme Verschl sselte E Mails k nnen nicht ent schl sselt werden da sich die Verschl sselungsgrade der Webbrowser die vom Sender und vom Empf nger verwendet werden unterscheiden Anmerkung Wenn Sie Browser mit 128 Bit Verschl sselung mit Client Security verwen den m chten muss der integrierte IBM Security Chip 256 Bit Verschl sselung unter st tzen Wenn der integrierte IBM Security Chip 256 Bit Verschl sselung unterst tzt m ssen Sie einen 40 Bit Webbrowser ver wenden Der Verschl sselungsgrad von Client Security ist im Administratordienst programm angegeben berpr fen Sie Folgendes 1 Der Verschl sselungsgrad des vom Sen der verwendeten Webbrowsers ist mit dem Verschl sselungsgrad des vom Empf nger verwendeten Webbrowsers kompatibel 2 Der Verschl sselungsgrad des Webbrowsers ist mit dem Verschl sselungsgrad kompatibel der von der Firmware von Client Security bereitgestellt wird Beim Versuch eine E Mail digital zu sig nieren wird eine Fehlernachricht ange zeigt Ma nahme Wenn das Zertifikat des integrierten IBM Security Chips in Netscape Mess
4. Fehlerbehebungsinformationen zu UVM sensiti ven Einheiten 47 Anhang A Regeln f r Kennw rter und Verschl sselungstexte 49 Regeln f r Hardwarekennworter 49 Regeln f r UVM Verschl sselungstexte 49 iii Anhang B Bemerkungen und Marken 53 Marken Bemerkungen D iv IBM Client Security Solutions Client Security Version 5 1 Installationshandbuch 54 Vorwort Dieser Abschnitt enthalt Hinweise zur Verwendung dieses Handbuchs Inhalt dieses Handbuchs Dieses Handbuch enth lt Informationen zum Installieren von Client Security auf IBM Netzwerkcomputern auch IBM Clients genannt die integrierte IBM Security Chips enthalten Au erdem enth lt dieses Handbuch Anweisungen zur Aktivie rung des integrierten IBM Security Chips und zur Festlegung eines Hardware kennworts f r den IBM Security Chip Das Handbuch umfasst folgende Inhalte Kapitel 1 Einf hrung in IBM Client Security enth lt eine bersicht ber die in der Software enthaltenen Anwendungen und Komponenten sowie eine Beschrei bung der PKI Funkionen Public Key Infrastructure Kapitel 2 Erste Schritte enth lt Voraussetzungen f r die Installation von Computerhardware und software sowie Anweisungen zum Herunterladen der Software Kapitel 3 Vorbereitung der Software Installation enth lt Anweisungen zu Vor aussetzungen f r die Installation von Client Security Kapitel 4 Software installiere
5. Regeln fur Kennworter und Verschlusselungstexte In diesem Anhang finden Sie Informationen zu den Regeln fiir verschiedene Systemkennw rter Regeln f r Hardwarekennw rter F r Hardwarekennw rter gelten die folgenden Regeln L nge Das Kennwort muss genau acht Zeichen lang sein Zeichen Das Kennwort darf nur alphanumerische Zeichen enthalten Die Kombina tion von Buchstaben und Ziffern ist zul ssig Es sind keine speziellen Zei chen wie das Leerzeichen und die Zeichen zul ssig Merkmale Sie k nnen das Kennwort f r den IBM Security Chip festlegen um den integrierten IBM Security Chip im Computer zu aktivieren Dieses Kenn wort m ssen Sie bei jedem Zugriff auf das Administratordienstprogramm eingeben Fehlversuche Wenn Sie das Kennwort zehnmal falsch eingegebenen haben wird der Computer 1 Stunde und 17 Minuten lang gesperrt Wenn Sie nach diesem Zeitraum das Kennwort zehn weitere Male falsch eingeben wird der Com puter 2 Stunden und 34 Minuten lang gesperrt Die Dauer der Computer sperrung verdoppelt sich jedes Mal wenn Sie das Kennwort zehnmal falsch eingeben Regeln f r UVM Verschl sselungstexte Die Sicherheit wird dadurch erh ht dass der UVM Verschl sselungstext l nger und eindeutiger ist als ein herk mmliches Kennwort Die Policy f r den UVM Verschl sselungstext wird ber das Administratordienstprogramm von IBM Client Security gesteuert Das Fenster Policy f r UVM Verschliisselungstext des
6. die mit den verschiedenen Versionen von Outlook Express verwendet werden erhalten Sie von Microsoft Bei der Verwendung eines Zertifikats in Outlook Express wird nach dem Ausfall eines Festplattenlaufwerks eine Fehler nachricht angezeigt Ma nahme Zertifikate k nnen im Administratordienst programm mit der Wiederherstellungs funktion f r Schl ssel wiederhergestellt werden M glicherweise sind einige Zertifi kate wie z B die kostenfreien Zertifikate von VeriSign nach einer Schl ssel wiederherstellung nicht wiederhergestellt F hren Sie nach der Wiederherstellung der Schl ssel einen der folgenden Schritte aus e Fordern Sie neue Zertifikate an e Registrieren Sie die Zertifizierungsinstanz erneut in Outlook Express IBM Client Security Solutions Client Security Version 5 1 Installationshandbuch Fehlersymptom M gliche L sung Outlook Express aktualisiert den dem Zer tifikat zugeordneten Verschl sselungsgrad nicht Ma nahme Wenn ein Sender den Verschl sselungsgrad in Netscape ausw hlt und eine signierte E Mail an einen Outlook Express Client mit Internet Explorer 4 0 128 Bit sendet stimmt m glicherweise der Verschl sselungsgrad der zur ckgesendeten E Mail nicht berein L schen Sie das zugeordnete Zertifikat aus dem Adressbuch von Outlook Express Off nen Sie die signierte E Mail erneut und f gen Sie dem Adressbuch von Outlook Express das Zertifikat hinzu
7. r die Hardware f r einen IBM Client erstellen und Kopien der Schl sseldaten an einer beliebigen Stelle f r Wiederherstellungszwecke aufbe wahren Da Sie das Administratordienstprogramm von Client Security zum Erstellen des Archivschl sselpaars verwenden m ssen Sie Client Security auf einem ersten IBM Client installieren und anschlie end das Archivschl sselpaar erstellen Weitere Anweisungen zum Installieren und zum Konfigurieren der Software auf dem ers ten IBM Client finden Sie auf den folgenden Seiten Anmerkung Wenn Sie eine UVM Policy verwenden m chten die auf fernen Cli ents verwendet werden kann m ssen Sie beim Installieren der Soft ware auf diesen Clients das gleiche Archivschl sselpaar verwenden Kapitel 3 Vorbereitung der Software Installation 11 12 IBM Client Security Solutions Client Security Version 5 1 Installationshandbuch Kapitel 4 Software installieren aktualisieren und deinstallie ren Dieses Kapitel enth lt Anweisungen zum Herunterladen Installieren und Konfi gurieren von Client Security auf IBM Clients Au erdem enth lt dieses Kapitel Anweisungen zum Deinstallieren der Software Installieren Sie IBM Client Security bevor Sie eines der Dienstprogramme f r Client Security installieren Wichtig Wenn Sie von einer Version von Client Security aufr sten die lter als Version 5 0 ist m ssen Sie alle verschl sselten Dateien entschl sseln bevor Sie Cli ent Security 5 1 installieren Cl
8. secdownload html heruntergeladen wer den Verweise auf das Client Security Administratorhandbuch Dieses Handbuch enth lt Verweise auf das Client Security Administratorhandbuch Das Administratorhandbuch umfasst Informationen zur Verwendung von User Verifi cation Manager UVM und zum Arbeiten mit der UVM Policy sowie Informatio nen zur Verwendung des Administratordienstprogramms und des Benutzer konfigurationsprogramm Wenn Sie die Software installiert haben befolgen Sie die Anweisungen im Administratorhandbuch zum Einrichten und Verwalten der Security Policy f r die einzelnen Clients Verweise auf das Client Security Benutzerhandbuch Das Client Security Benutzerhandbuch das als Erg nzung zum Client Security Administratorhandbuch dient enth lt n tzliche Informationen zur Ausf hrung von Benutzertasks mit Client Security wie z B der Verwendung des UVM Anmelde schutzes der Erstellung eines digitalen Zertifikats sowie der Verwendung des Benutzerkonfigurationsprogramms Zus tzliche Informationen vi Zus tzliche Informationen sowie aktualisierte Fassungen der Sicherheitsprodukte erhalten Sie sofern verf gbar auf der IBM Website unter http www pc ibm com ww security index html IBM Client Security Solutions Client Security Version 5 1 Installationshandbuch Kapitel 1 Einfuhrung in IBM Client Security Die Software IBM Client Security ist fiir IBM Computer konzipiert die den inte grierten IBM Sec
9. 4 0x wiederherzustellen a Klicken Sie auf Start gt Einstellungen gt Systemsteuerung gt Subsystem von IBM Client Security Die Hauptanzeige des Administratordienstprogramms von IBM Client Secu rity wird angezeigt b Klicken Sie auf die Schaltfl che Schl sselkonfiguration c W hlen Sie Ja aus um die Schl ssel aus dem Archiv wiederherzustellen 9 Geben Sie die Speicherposition des vorherigen Archivverzeichnisses an 10 Geben Sie die Speicherposition der ffentlichen und privaten Schl sseldateien f r Administratoren aus dem vorherigem Release an Die Mitteilung dass Ihr Archiv f r das neue Release aktualisiert wird wird angezeigt 11 Klicken Sie auf OK 12 Geben Sie die Speicherposition f r die neuen Schl ssel f r Administratoren an Achten Sie darauf dass die Schl ssel an einer anderen Speicherposition als die vorhandenen Schl ssel f r Administratoren erstellt werden Falls Sie bereits Schl ssel f r Administratoren f r Release 5 0 auf einem anderen Sys tem erstellt haben k nnen Sie den Eintrag Vorhandenes CSS Archiv schl sselpaar verwenden ausw hlen und die Speicherposition der vorhande nen Schl ssel angeben Kapitel 4 Software installieren aktualisieren und deinstallieren 23 13 Klicken Sie auf Weiter Ihr Archiv wird konvertiert und wiederhergestellt 14 Beenden Sie die Anwendung 15 Gehen Sie wie folgt vor um die Policy Einstellungen wiederherzustellen a Wechseln Sie im Windows Explorer
10. Administratordienst programms stellt Sicherheitsadministratoren eine einfache Schnittstelle zur Steue rung von Kriterien f r Verschl sselungstexte bereit ber das Fenster Policy f r UVM Verschliisselungstext kann der Administrator folgende Regeln f r Verschl sselungstexte festlegen Anmerkung Die Standardeinstellung f r jedes Kriterium ist unten in Klammern angegeben e ob eine Mindestanzahl an alphanumerischen Zeichen festgelegt werden soll ja 6 Wenn z B der Wert 6 festgelegt ist ist der Verschltisselungstext 1234567xxx ung ltig e ob eine Mindestanzahl an Ziffern festgelegt werden soll ja 1 Wenn z B der Wert 1 festgelegt ist ist der Verschl sselungstext thisismypassword ung ltig 49 ob eine Mindestanzahl an Leerzeichen festgelegt werden soll keine Mindestan zahl Wenn z B der Wert 2 festgelegt ist ist der Verschl sselungstext i am not here ung ltig ob mehr als zwei wiederkehrende Zeichen zul ssig sein sollen nein Wenn dies z B festgelegt ist ist der Verschl sselungstext aaabcdefghijk ung l tig ob der Verschl sselungstext mit einer Ziffer beginnen darf nein Standardm ig ist z B der Verschl sselungstext password ung ltig ob der Verschl sselungstext mit einer Ziffer enden darf nein Standardm ig ist z B der Verschl sselungstext password8 ung ltig ob der Verschl sselungstext eine Benutzer ID enthalten darf nein Standardm ig ist z B der Ve
11. Algorithmus Ma nahme Beim Senden verschl sselter E Mails zwi schen Clients die Outlook Express mit der 128 Bit Version von Internet Explorer 4 0 oder 5 0 verwenden kann nur der 3DES Algorithmus verwendet werden Wenn Sie Browser mit 128 Bit Verschl sse lung mit Client Security verwenden m ch ten muss der integrierte IBM Security Chip 256 Bit Verschl sselung unterst tzen Wenn der integrierte IBM Security Chip 56 Bit Ver schl sselung unterst tzt m ssen Sie einen 40 Bit Webbrowser verwenden Der Verschl sselungsgrad von Client Security ist im Administratordienstprogramm angege ben Aktuelle Informationen zu den Verschl sselungsalgorithmen die mit Out look Express verwendet werden erhalten Sie bei Microsoft Outlook Express Clients senden E Mails mit einem anderen Algorithmus zur ck Ma nahme Eine mit dem RC2 40 RC2 64 oder RC2 128 Algorithmus verschl sselte E Mail wird von einem Client mit Netscape Messenger an einen Client mit Outlook Express 128 Bit gesendet Eine vom Out look Express Client zur ckgesendete E Mail wird mit dem Algorithmus RC2 40 ver schl sselt Es ist keine Ma nahme erforderlich Eine Verschl sselungsanforderung gem RC2 40 RC2 64 oder RC2 128 von einem Netscape Client an einen Outlook Express Client 128 Bit wird an den Netscape Client immer mit dem RC2 40 Algorithmus zur ckgesendet Aktuelle Informationen zu den Verschl sselungsalgorithmen
12. BIOS Dienstprogramm 4 F hren Sie einen Neustart des Systems durch 5 Installieren Sie Client Security Release 5 1 und konfigurieren Sie die Software mit dem Konfigurationsassistenten von IBM Client Security Upgrade auf Client Security Version 5 1 mit vorhandenen Sicherheitsdaten durchf hren Gehen Sie wie folgt vor um ein Upgrade von einem Release von Client Security vor Version 5 0 unter Verwendung der vorhandenen Sicherheitsdaten durchzuf h ren 1 Gehen Sie wie folgt vor um Ihr Archiv zu aktualisieren a Klicken Sie auf Start gt Programme gt Access IBM gt IBM Client Security gt Client Dienstprogramm b Klicken Sie auf die Schaltfl che Archiv aktualisieren um Ihre Backup Da ten zu aktualisieren Notieren Sie sich das Archivverzeichnis c Beenden Sie das Client Dienstprogramm von IBM Client Security 2 Gehen Sie wie folgt vor um die vorhandene Version von Client Security zu ent fernen a Suchen Sie die ffentlichen und privaten Schl ssel f r Administratoren die bei der Konfiguration der vorherigen Version von Client Security erstellt wurden b Klicken Sie auf Start gt Einstellungen gt Systemsteuerung gt Software und entfernen Sie IBM Client Security c W hlen Sie bei der Frage ob ein Neustart durchgef hrt werden soll Nein aus d Fahren Sie das System herunter IBM Client Security Solutions Client Security Version 5 1 Installationshandbuch 3 Gehen Sie wie folgt vor um den Inha
13. Chip aktiviert sein Falls der Chip nicht aktiviert ist k nnen Sie ihn mit Hilfe des Administrator dienstprogramms aktivieren Anweisungen zur Verwendung des Konfigurations assistenten finden Sie im vorhergehenden Abschnitt Gehen Sie wie folgt vor um den IBM Security Chip mit dem Administratordienst programm zu aktivieren 1 Klicken Sie auf Start gt Einstellungen gt Systemsteuerung gt Subsystem von IBM Client Security Es erscheint eine Anzeige mit der Mitteilung dass der IBM Security Chip nicht aktiviert ist und der Frage ob der Chip aktiviert werden soll Kapitel 4 Software installieren aktualisieren und deinstallieren 17 2 Klicken Sie auf Ja Es wird eine Nachricht angezeigt die darauf hinweist dass vor dem Fortfahren das Administratorkennwort tiber das BIOS inaktiviert werden muss falls ein entsprechenden definiert ist 3 F hren Sie einen der folgenden Schritte aus e Wenn ein Administratorkennwort definiert ist klicken Sie auf Abbrechen inaktivieren Sie das Kennwort und f hren Sie dann diese Prozedur aus e Ist kein Administratorkennwort definiert klicken Sie auf OK um fortzufah ren 4 Schlie en Sie alle ge ffneten Anwendungen und klicken Sie auf OK um einen Neustart des Computers durchzuf hren 5 Klicken Sie nach dem Neustart zum ffnen des Administratordienstprogramms auf Start gt Einstellungen gt Systemsteuerung gt Subsystem von IBM Client Security Es wird eine Nachricht ang
14. IBM Security Chip aktivieren und die Chiffrierschl ssel f r die Hardware erstellen Wenn das Installationsprogramm feststellt dass die erweiterten Sicherheitseinrichtungen aktiviert sind erhalten Sie am Ende des Installationsprozesses eine entsprechende Nachricht Starten Sie den Computer erneut und ffnen Sie das Administratordienstprogramm um den Chip zu aktivieren und die Schl ssel f r die Hardware zu erstellen Erweiterte Sicherheitseinrichtungen auf allen anderen NetVista Modellen mit Ausnahme von 6059 6569 6579 6649 und allen NetVista Q1x Modellen Wenn f r ein anderes Modell ein Administratorkennwort festgelegt wurde m ssen Sie w hrend des Installationsprozesses kein Administratorkennwort eingeben Wenn auf diesen NetVista Modellen die erweiterten Sicherheitseinrichtungen akti viert wurden k nnen Sie die Software mit Hilfe des Installationsprogramms instal lieren m ssen jedoch den integrierten IBM Security Chip ber das Programm Configuration Setup Utility aktivieren Wenn Sie den Chip aktiviert haben k n nen Sie im Administratordienstprogramm die Schl ssel f r die Hardware erstellen Informationen zur BIOS Aktualisierung Bevor Sie die Software installieren m ssen Sie m glicherweise den neuesten BIOS Code Basic Input Output System f r Ihren Computer herunterladen Um die auf Ihrem Computer verwendete BIOS Stufe festzustellen m ssen Sie den Computer erneut starten und mit F1 das Programm Configurati
15. Zertifikate erstellen die vom integrierten IBM Security Chip erzeugt wurden PKI Funktionen Client Security bietet alle erforderlichen Komponenten um in Ihrem Unternehmen eine PKI Public Key Infrastructure aufzubauen z B Steuerung der Client Sicherheits Policy durch Administratoren Die Authentifi zierung von Endbenutzern auf Clientebene ist ein wichtiger Aspekt f r Sicher heits Policies Client Security bietet die erforderliche Schnittstelle zur Verwaltung der Sicherheits Policy eines IBM Clients Diese Schnittstelle ist Teil der Authenti fizierungssoftware UVM User Verification Manager der Hauptkomponente von Client Security Chiffrierschl sselverwaltung f r ffentliche Schl ssel Administratoren k n nen mit Client Security Chiffrierschl ssel f r die Computerhardware und f r die Clientbenutzer erstellen Bei der Erstellung von Chiffrierschl sseln sind diese ber eine Schl sselhierarchie an den integrierten IBM Security Chip gebunden In der Hierarchie wird ein Hardwareschl ssel der Basisebene verwendet um die bergeordneten Schl ssel sowie die den einzelnen Clientbenutzern zugeordneten Benutzerschl ssel zu verschl sseln Die Verschl sselung und Speicherung von Schl sseln auf dem integrierten IBM Security Chip erweitert die Clientsicherheit um eine wesentliche zus tzliche Ebene da die Schl ssel sicher an die Computer hardware gebunden sind Erstellung und Speicherung digitaler Signaturen die
16. angezeigt Gehen Sie wie folgt vor um eine Systemsicherheitsstufe auszuw hlen a W hlen Sie die von Ihnen gestellten Anforderungen f r eine Authentifizie rung durch Anklicken der entsprechenden Markierungsfelder aus Sie k n nen mehrere Anforderungen f r die Authentifizierung ausw hlen b W hlen Sie eine Systemsicherheitsstufe aus indem Sie die Auswahlleiste auf die gew nschte Sicherheitsstufe ziehen und auf Weiter klicken Anmerkung Sie k nnen zu einem sp teren Zeitpunkt mit dem Policy Editor von IBM Client Security eine angepasste Security Policy definie ren berpr fen Sie die Sicherheitseinstellungen und w hlen Sie einen der folgen den Schritte aus Klicken Sie auf Fertig stellen um die Einstellungen zu akzeptieren Gehen Sie zum ndern der Einstellungen wie folgt vor Klicken Sie auf Zur ck nehmen Sie gew nschten nderungen vor und kehren Sie zu die ser Anzeige zur ck Klicken Sie dann auf Fertig stellen Ihre Einstellungen werden ber den integrierten IBM Security Chip in IBM Client Security konfiguriert Es wird eine Nachricht angezeigt die best tigt dass Ihr Computer jetzt durch IBM Client Security gesch tzt ist Klicken Sie auf OK Sie k nnen jetzt IBM Client Security Password Manager und die Dienst programme zur Verschl sselung von Dateien und Ordnern installieren und konfigurieren IBM Security Chip aktivieren Zur Verwendung von IBM Client Security muss der IBM Security
17. digitalen Zertifika ten registrierten Fingerabdr cken und gespeicherten Kennw rtern entfernt Das Schl sselarchiv bleibt beim Deinstallieren von Client Security jedoch erhalten Kapitel 4 Software installieren aktualisieren und deinstallieren 25 26 IBM Client Security Solutions Client Security Version 5 1 Installationshandbuch Kapitel 5 Fehlerbehebung Im Folgenden finden Sie Informationen zur Vermeidung Erkennung und Behe bung von Fehlern die bei der Verwendung von Client Security auftreten k nnen Administratorfunktionen Dieser Abschnitt enthalt Informationen fiir Administratoren zur Konfiguration und zur Verwendung von Client Security Administratorkennwort festlegen ThinkCentre Uber die Sicherheitseinstellungen im Programm Configuration Setup Utility k nnen Administratoren folgende Vorg nge durchf hren Das Hardwarekennwort f r den integrierten IBM Security Chip ndern Den integrierten IBM Security Chip aktivieren oder inaktivieren Den Inhalt des integrierten IBM Security Chips l schen Achtung L schen oder inaktivieren Sie den integrierten IBM Security Chip nicht bei akti vierter gesicherter UVM Anmeldung Andernfalls wird der Inhalt der Festplatte unbrauchbar und Sie m ssen die Festplatte neu formatieren und die gesamte Software neu installieren Um den UVM Schutz zu inaktivieren ffnen Sie das Administratordienst programm klicken Sie auf Anwendungsunterst tzung und Policies konf
18. im Web mit Microsoft Internet Explorer erfordert ein digitales Zertifikat sch tzen Standardm ig ist die Unterst tzung f r Microsoft Internet Explo rer aktiviert Nach Auswahl der entsprechenden Markierungsfelder wird das Fenster Benutzer autorisieren angezeigt Geben Sie die erforderlichen Angaben in die Anzeige Benutzer autorisieren ein Verwenden Sie daf r eine der folgenden Prozeduren e Gehen Sie wie folgt vor um Benutzer zum Ausf hren der Funktionen von IBM Client Security zu autorisieren a W hlen Sie im Bereich Nicht autorisierte Benutzer einen Benutzer aus b Klicken Sie auf Benutzer autorisieren c Geben Sie den Verschl sselungstext f r IBM Client Security in die daf r vorgesehenen Felder ein best tigen Sie diese Eingaben und klicken Sie auf Fertig stellen IBM Client Security Solutions Client Security Version 5 1 Installationshandbuch 10 11 d Klicken Sie auf Weiter Gehen Sie wie folgt vor um die Autorisierung von Benutzern zur Ausf h rung der Funktionen von IBM Client Security aufzuheben a W hlen Sie im Bereich Autorisierte Benutzer einen Benutzer aus b Klicken Sie auf Benutzerberechtigung widerrufen c Geben Sie den Verschl sselungstext f r IBM Client Security in die daf r vorgesehenen Felder ein best tigen Sie diese Eingaben und klicken Sie auf Fertig stellen d Klicken Sie auf Weiter Das Fenster Sicherheitsstufe des Systems ausw hlen wird
19. in das Installationsverzeichnis von IBM Client Security Standardverzeichnis c program files ibm security b Ziehen Sie den Ordner UVM_Policy mit Hilfe der linken Taste vom Desktop in das Installationsverzeichnis von IBM Client Security c Klicken Sie zur Best tigung der angezeigten Warnungen jeweils auf Ja Die Migration Ihrer Sicherheitsdaten zu Client Security Software Release 5 0 ist damit abgeschlossen Anmerkung Falls Sie in Client Security Version 4 0x nderungen an der Sicher heits Policy vorgenommen hatten k nnen Sie diese nderungen wiederholen Gehen Sie dazu wie folgt vor 1 Klicken Sie auf Start gt Einstellungen gt Systemsteuerung gt Sub system von IBM Client Security 2 Klicken Sie auf die Schaltfl che Anwendungsunterst tzung und Policies konfigurieren 3 Klicken Sie auf die Schaltfl che Anwendungs Policy 4 Klicken Sie auf die Schaltfl che Policy bearbeiten Upgrade von Release 5 1 auf aktuellere Versionen mit vorhan denen Sicherheitsdaten durchf hren Gehen Sie wie folgt vor um ein Upgrade von Client Security Version 5 0 auf aktu ellere Versionen der Software unter Verwendung der vorhandenen Sicherheitsdaten durchzuf hren 1 Gehen Sie wie folgt vor um Ihr Archiv zu aktualisieren a Klicken Sie auf Start gt Programme gt Access IBM gt IBM Client Security gt Sicherheitseinstellungen ndern b Klicken Sie auf die Schaltfl che Archiv aktualisieren um Ihre Backup Da
20. r Tivoli Access Manager verf g bar Eine Benutzersteuerung gilt sowohl f r den Benutzer als auch f r die Gruppe Access Manager Servers einen Benutzer f r eine Gruppe definieren gilt die Benutzers teuerung sowohl f r den Benutzer als auch f r die Gruppe wenn die Option Traverse bit aktiviert wurde Ma nahme Es ist keine Ma nahme erforderlich Wenn Sie beim Konfigurieren des Tivoli Kapitel 5 Fehlerbehebung 45 46 Fehlerbehebungsinformationen zu Lotus Notes Im folgenden Abschnitt finden Sie Informationen die Ihnen bei der Behebung von Fehlern bei der Verwendung von Lotus Notes mit Client Security weiterhelfen k n nen Fehlersymptom M gliche L sung Nach dem Aktivieren des UVM Schutzes f r Lotus Notes kann Lotus Notes die Kon figuration nicht fertig stellen Ma nahme Lotus Notes kann nach dem Aktivieren des UVM Schutzes mit dem Administrator dienstprogramm die Konfiguration nicht fer tig stellen Dies ist eine bekannte Einschr nkung Lotus Notes muss konfiguriert werden und aktiv sein bevor die Lotus Notes Unterst t zung im Administratordienstprogramm akti viert wird Beim Versuch das Notes Kennwort zu ndern wird eine Fehlernachricht ange zeigt Ma nahme Wenn Sie das Notes Kennwort bei Verwen dung von Client Security ndern wird dies in einer Fehlernachricht angezeigt Wiederholen Sie die Kennwort nderung Wurde der Fehler dadurch ni
21. rieren und inaktivieren Sie das Markierungsfeld Die Windows Standardan meldung durch eine gesicherte UVM Anmeldung ersetzen Sie m ssen den Computer erneut starten damit der UVM Schutz inaktiviert wird Wenn Sie den Inhalt des integrierten IBM Security Chips l schen gehen alle Chiffrierschl ssel und Zertifikate verloren die auf dem Chip gespeichert sind Bei einigen ThinkPad Modellen ist es vor der Installation oder dem Upgrade von Client Security notwendig das Administratorkennwort vor bergehend zu inaktivieren Nach der Konfiguration von Client Security legen Sie ein Administratorkennwort fest um nicht berechtigte Benutzer daran zu hindern diese Einstellungen ndern Gehen Sie wie folgt vor um ein Administratorkennwort festzulegen 1 Fahren Sie das System herunter und starten Sie es erneut 2 Dr cken Sie w hrend der Eingabeaufforderung des Programms IBM BIOS Setup Utility die Taste F1 Das Hauptmen des Programms IBM BIOS Setup Utility wird ge ffnet W hlen Sie die Option Password aus W hlen Sie die Option Supervisor Password aus Geben Sie das Kennwort ein und dr cken Sie die Eingabetaste Geben Sie das Kennwort erneut ein und dr cken Sie die Eingabetaste Klicken Sie auf Continue Sp zem Or Bow Driicken Sie die Taste F10 um die Einstellungen zu speichern und das Pro gramm zu beenden 28 IBM Client Security Solutions Client Security Version 5 1 Installationshandbuch Nach dem Festlegen
22. sicher gespeichert sind Funktion zur Schl sselarchivierung und wiederherstellung Eine wichtige PKI Funktion ist das Erstellen eines Schl sselarchivs aus dem Schl ssel bei Ver lust oder Besch digung der Originalschl ssel wiederhergestellt werden k nnen Client Security bietet eine Schnittstelle mit der Sie mit dem integrierten IBM Security Chip erstellte Archive f r Schl ssel und digitale Zertifikate erstellen und diese Schl ssel und Zertifikate bei Bedarf wiederherstellen k nnen Verschl sselung von Dateien und Ordnern Die Verschl sselung von Dateien und Ordnern erm glicht dem Benutzer das schnelle und einfache Ver und Ent schl sseln von Dateien und Ordnern So wird eine h here Stufe von Daten sicherheit als erste der Sicherheitsma nahmen des CSS Systems gew hrleistet 2 IBM Client Security Solutions Client Security Version 5 1 Installationshandbuch Authentifizierung ber Fingerabdr cke IBM Client Security unterst tzt das Leseger t f r Fingerabdr cke von Targus als PC Karte oder ber USB f r die Authentifizierung Die Client Security Software muss installiert sein bevor die Einheitentreiber f r das Targus Leseger t f r Fingerabdr cke installiert werden damit ein ordnungsgem er Betrieb gew hrleistet ist Smartcard Authentifizierung IBM Client Security unterst tzt jetzt auch Smart cards als Authentifizierungseinheiten Client Security erm glicht die Verwen dung von Smartcards zur Auth
23. 3 Diese Ver ffentlichung ist eine bersetzung des Handbuchs IBM Client Security Solutions Client Security Version 5 1 Installation Guide herausgegeben von International Business Machines Corporation USA Copyright International Business Machines Corporation 2002 Copyright IBM Deutschland Informationssysteme GmbH 2003 Informationen die nur f r bestimmte L nder G ltigkeit haben und f r Deutschland sterreich und die Schweiz nicht zutreffen wurden in dieser Ver ffentlichung im Originaltext bernommen M glicherweise sind nicht alle in dieser bersetzung aufgef hrten Produkte in Deutschland angek ndigt und ver f gbar vor Entscheidungen empfiehlt sich der Kontakt mit der zust ndigen IBM Gesch ftsstelle nderung des Textes bleibt vorbehalten Herausgegeben von SW TSC Germany Kst 2877 April 2003 Inhaltsverzeichnis Vorwort Inhalt dieses EE E Zielgruppe Benutzung des Handbudia Verweise auf das Client Security Administrator handbuch Verweise auf das Client Security Benutzerhandbuch Zus tzliche Informationen Kapitel 1 Einf hrung in IBM Client Security Anwendungen und Komponenten von Cli nt i rity PKI Funktionen Kapitel 2 Erste Schritte Hardwarevoraussetzungen i Integrierter IBM Security Chip Unterst tzte IBM Modelle Softwarevoraussetzungen Betriebssysteme UVM sensitive Produkte Webbrowser Software heruntenladen Kapitel 3 Vorbereitung der Software Ins
24. Hardwarekennwort sch tzen 29 Inhalt des integrierten IBM Security Chips l schen ThinkCentre A 29 Inhalt des integrierten IBM Security Chips l schen ThinkPad Fr 30 Administratordienstprogramm 30 Benutzer l schen OO Keinen Zugriff auf ausgew hlte Objekte mit de Tivoli Access Manager Steuerung zulassen lt 31 Bekannte Einschr nkungen 3l Client Security mit Windows Betriebssystemen einsetzen ak Client Security mit Netscape Anwendungen ein setzen 31 Zertifikat des integrierten IBM Security Chips und Verschl sselungsalgorithmen r O2 UVM Schutz f r eine Lotus Notes Benu tzer ID verwenden R 3 92 Einschr nkungen f r das Benutzerkonfigurations programm e CH Fehlernachrichten Oo Fehlerbehebungstabellen 34 Fehlerbehebungsinformationen zur Installation 34 Fehlerbehebungsinformationen zum Administratordienstprogramm ou E Fehlerbehebungsinformationen zum Benutzer konfigurationsprogramm 37 Fehlerbehebungsinformationen zum ThinkPad 38 Fehlerbehebungsinformationen zu Microsoft An wendungen und Betriebssystemen 38 Fehlerbehebungsinformationen zu Netscape SS wendungen 42 Fehlerbehebungsinformationen z zu digitalen Zerti fikaten 44 Fehlerbehebungsinformationen z zu Tivoli Access Manager 45 Fehlerbehebungsinformationen zu Lotu Notes 46 Fehlerbehebungsinformationen zur Verschl sse lung a operai ke Be wr g aa a Ob A AZ
25. IBM Client Security Solutions Client Security Version 5 1 Installationshandbuch IBM Client Security Solutions Client Security Version 5 1 Installationshandbuch M Hinweis Vor Verwendung dieser Informationen und des darin beschriebenen Produkts sollten Sie die Informationen in Anhang B Bemerkungen und Marken auf Seite 53 lesen Die IBM Homepage finden Sie im Internet unter ibm com e IBM und das IBM Logo sind eingetragene Marken der International Business Machines Corporation e Das e business Symbol ist eine Marke der International Business Machines Corporation e Infoprint ist eine eingetragene Marke der IBM e ActionMedia LANDesk MMX Pentium und ProShare sind Marken der Intel Corporation in den USA und oder anderen Landern e C bus ist eine Marke der Corollary Inc in den USA und oder anderen L ndern e Java und alle auf Java basierenden Marken und Logos sind Marken der Sun Microsystems Inc in den USA und oder anderen Landern e Microsoft Windows Windows NT und das Windows Logo sind Marken der Microsoft Corporation in den USA und oder anderen Landern e PC Direct ist eine Marke der Ziff Communications Company in den USA und oder anderen L ndern SET und das SET Logo sind Marken der SET Secure Electronic Transaction LLC e UNIX ist eine eingetragene Marke der Open Group in den USA und oder anderen L ndern e Marken anderer Unternehmen Hersteller werden anerkannt Erste Ausgabe April 200
26. Sie werden danach automatisch zur Download Seite f r Client Security gef hrt 5 Befolgen Sie die angezeigten Anweisungsschritte um die erforderlichen Einheitentreiber Readme Dateien Software Referenzdokumente und zus tzli che Dienstprogramme von IBM Client Security herunterzuladen Gehen Sie anhand der auf der Website angegebenen Download Reihenfolge vor 6 Klicken Sie auf dem Windows Desktop auf Start gt Ausf hren 7 Geben Sie in das Feld Ausf hren d directory csec5l exe ein Hierbei gibt d directory den Laufwerkbuchstaben und das Verzeichnis an in dem die Datei gespeichert ist 8 Klicken Sie auf OK Das Begr ungsfenster des InstallShield Assistenten von IBM Client Security wird angezeigt 13 9 Klicken Sie auf Weiter Der Assistent extrahiert die Dateien und installiert die Software Nach Abschluss der Installation werden Sie gefragt ob der erforderliche Neustart sofort oder zu einem sp teren Zeitpunkt durchgef hrt werden soll 10 Klicken Sie zur Best tigung auf OK Nach dem Neustart des Computers wird der Konfigurationsassistent von IBM Client Security aufgerufen Konfigurationsassistenten f r die Installation von IBM Client Security verwenden Der Konfigurationsassistent f r die Installation von IBM Client Security stellt eine Schnittstelle zur Verf gung die Sie beim Installieren von Client Security und beim Aktivieren des integrierten IBM Security Chips unterst tzt Der Konfigurations
27. assistent von IBM Client Security f hrt Sie auch durch die Tasks zum Konfigurie ren einer Sicherheits Policy auf einem IBM Client Dies umfasst folgende Schritte e Kennwort des Sicherheitsadministrators definieren Mit dem Kennwort des Sicherheitsadministrators wird der Zugriff auf das Administratordienstprogramm von IBM Client Security gesteuert mit dem die Sicherheitseinstellungen f r diesen Computer ge ndert werden Sicherheitsschl ssel f r Administratoren erstellen Bei Sicherheitsschl sseln f r Administratoren handelt es sich um eine Gruppe digitaler Schl ssel die in einer Computerdatei gespeichert sind Es empfiehlt sich diese Sicherheitsschl ssel auf einem austauschbaren Datentr ger oder Lauf werk zu speichern Wenn im Administratordienstprogramm des IBM Sicherheits Subsystems eine nderung an der Sicherheits Policy vorgenommen wird erfolgt eine Systemanfrage nach dieser Datei als Nachweis daf r dass die Berechtigung zur nderung der Sicherheits Policy vorliegt Eine Backup Version der Sicherheitsdaten wird auch f r den Fall gespeichert dass die Systemplatine oder ein Festplattenlaufwerk des Computers ausge tauscht werden muss Diese Backup Version sollte nicht auf dem System gespei chert werden Anwendungen mit IBM Client Security sch tzen Wahlen Sie die Anwendungen aus die mit IBM Client Security gegen unzul s sige Zugriffe gesch tzt werden sollen Einige Optionen sind nur verf gbar wenn hierf r er
28. azu bei die Sicherheit des lokalen Client wesentlich zu erh hen Nur die IBM Computer und Workstations die integrierte IBM Security Chips ent halten unterst tzen auch Client Security Wenn Sie versuchen die Software her unterzuladen und auf einem Computer zu installieren der keinen integrierten IBM Security Chip enth lt hat dies zur Folge dass die Software nicht ordnungsgem installiert und demzufolge auch nicht fehlerfrei ausgef hrt wird Unterst tzte IBM Modelle Client Security ist f r eine Vielzahl von IBM Desktopcomputern und Notebooks lizenziert die es auch unterst tzt Eine vollst ndige Liste der unterst tzten Modelle finden Sie auf der Webseite http www pc ibm com ww resources security secdownload html Softwarevoraussetzungen Bevor Sie die Software herunterladen und installieren vergewissern Sie sich dass Ihre Computersoftware sowie das von Ihnen verwendete Betriebssystem mit Client Security kompatibel sind Betriebssysteme F r die Ausf hrung von Client Security ist eines der folgenden Betriebssysteme erforderlich e Windows XP e Windows 2000 Professional UVM sensitive Produkte IBM Client Security wird mit der Software User Verification Manager UVM geliefert Mit dieser Software k nnen Sie die Authentifizierung f r Ihren Desktop computer anpassen Diese erste Stufe der Policy basierten Steuerung erh ht den Investitionsschutz und die Effizienz der Kennwortverwaltung UVM ist mit
29. cht behoben starten Sie den Client neu Nach dem Festlegen eines Kennworts per Zufallsgenerator wird eine Fehlernachricht angezeigt Ma nahme Wenn Sie folgende Vorg nge ausf hren wird m glicherweise eine Fehlernachricht angezeigt e Verwenden des Tools zur Lotus Notes Konfiguration zur Einstellung des UVM Schutzes f r eine Notes ID e ffnen von Notes und Verwenden der Notes Funktion zur Kennwort nderung f r die Datei mit der Notes ID e Schlie en von Notes sofort nach der Kennwort nderung Klicken Sie auf OK um die Fehlernachricht zu schlie en Es ist keine weitere Ma nahme erforderlich Entgegen der Fehlernachricht wurde das Kennwort ge ndert Das neue Kennwort wurde von Client Security per Zufalls generator festgelegt Die Datei mit der Notes ID wird nun mit dem per Zufalls generator festgelegten Kennwort verschl s selt und der Benutzer ben tigt keine neue Benutzer ID Datei Wenn der Endbenutzer das Kennwort erneut ndert generiert UVM ein neues per Zufallsgenerator festgelegtes Kennwort f r die Notes ID IBM Client Security Solutions Client Security Version 5 1 Installationshandbuch Fehlerbehebungsinformationen zur Verschlusselung Im folgenden Abschnitt finden Sie Informationen die Ihnen bei der Behebung von Fehlern bei der Verschltisselung von Dateien unter Verwendung von Client Secu rity ab Version 3 0 weiterhelfen k nnen Fehlersymptom M gliche L sung B
30. den unternehmens bergreifenden Security Policy Programmen kompatibel und erm g licht es Ihnen UVM sensitive Produkte zu verwenden Zu diesen Produkten geh ren u a Folgende Biometrische Ger te wie z B Leseger te f r Fingerabdr cke UVM bietet eine Plug and Play Schnittstelle f r biometrische Ger te Sie m ssen Client Security vor der Installation eines UVM Sensors installieren Um einen UVM Sensor zu verwenden der bereits auf einem IBM Client instal liert wurde m ssen Sie zuerst den UVM Sensor wieder deinstallieren anschlie end Client Security installieren und dann den UVM Sensor erneut installieren Tivoli Access Manager Version 3 8 oder 3 9 UVM erleichtert und verbessert die Policy Verwaltung durch eine reibungslose Integration in eine zentralisierte Policy basierte Zugriffssteuerungsl sung wie z B Tivoli Access Manager UVM erzwingt eine lokale Policy unabh ngig davon ob es sich bei dem System um ein in ein Netzwerk integriertes System Desktop oder ein Standalone Sys tem handelt und stellt somit ein einziges einheitliches Policy Modell bereit Lotus Notes ab Version 4 5 UVM erh ht zusammen mit Client Security die Sicherheit Ihrer Lotus Notes An meldung Lotus Notes ab Version 4 5 Entrust Desktop Solutions 5 1 6 0 oder 6 1 Die Unterst tzung durch Entrust Desktop Solutions verbessert das Leistungs spektrum f r die Internet Sicherheit so dass kritische Unternehmensprozesse ber das Int
31. den wie z B Outlook Express und Outlook sofern eine unterst tzte Version von Internet Explorer verwendet wird E Mail Anwendungen die das PKCS 11 Modul Public Key Cryptographic Standard f r Verschl sselungsvorg nge verwenden wie z B Netscape Messen ger sofern eine unterst tzte Version von Netscape verwendet wird Software herunterladen Die Software Client Security kann von der IBM Website unter http www pc ibm com ww security secdownload html heruntergeladen wer den Registrierungsformular Wenn Sie die Software herunterladen m ssen Sie ein Registrierungsformular und einen Fragenkatalog ausf llen und den Lizenzbedingungen zustimmen Befolgen Sie die Anweisungen die auf der Website zum Herunterladen der Software ange zeigt werden Die Installationsdateien f r Client Security sind in der sich selbst entpackenden Datei mit dem Namen csec51 exe enthalten Kapitel 2 Erste Schritte 7 8 IBM Client Security Solutions Client Security Version 5 1 Installationshandbuch Kapitel 3 Vorbereitung der Software Installation Dieses Kapitel enth lt alle Vorbereitungen zum Ausf hren des Installations programms und zum Konfigurieren von Client Security auf IBM Clients Alle f r die Installation erforderlichen Dateien sind in der Datei csec51 exe enthalten die Sie von der IBM Website herunterladen k nnen Software Installation einleiten Das Installationsprogramm installiert Client Security a
32. den Radioknopf Entfernen aus ZS P Klicken Sie zum Deinstallieren der Software auf Ja DONO F hren Sie einen der folgenden Schritte aus Wenn Sie das PKCS 11 Modul des integrierten IBM Security Chips f r Netscape installiert haben wird eine Nachricht angezeigt die Sie zum Star ten des Inaktivierungsprozesses des PKCS 11 Moduls des integrierten IBM Security Chips auffordert Klicken Sie auf Ja um fortzufahren Daraufhin wird Ihnen eine Reihe von Nachrichten angezeigt Klicken Sie bei jeder einzelnen Nachricht so lange immer wieder auf OK bis das PKCS 11 Modul des integrierten IBM Security Chips entfernt ist Wenn Sie das PKCS 11 Modul des integrierten IBM Security Chips f r Netscape nicht installiert haben wird eine Nachricht angezeigt in der Sie gefragt werden ob Sie die gemeinsam benutzten DLL Dateien die mit Client Security installiert wurden l schen m chten Klicken Sie auf Ja um diese Dateien zu deinstallieren oder klicken Sie auf Nein wenn die installierten Dateien weiterhin installiert bleiben sollen Wenn Sie die installierten Dateien beibehalten m chten hat dies keinen Ein fluss auf die normale Funktion des Computers 9 Klicken Sie nach dem Entfernen der Software auf OK Nach dem Deinstallieren von Client Security m ssen Sie den Computer erneut starten Beim Deinstallieren von Client Security werden alle installierten Software komponenten von Client Security mit allen Benutzerschl sseln
33. des integrierten IBM Security Chips kann nicht exportiert wer den Ma nahme Das Zertifikat des integrierten IBM Security Chips kann in Netscape nicht exportiert werden Die Exportfunktion in Netscape k nnen Sie zum Sichern von Zertifikaten verwenden Rufen Sie das Administratordienstprogramm oder Benutzerkonfigurationsprogramm auf um das Schl sselarchiv zu aktualisieren Wenn Sie das Schl sselarchiv aktualisieren werden von allen Zertifikaten die dem inte grierten IBM Security Chip zugeordnet sind Kopien erstellt Beim Versuch ein wiederhergestelltes Zer tifikat nach dem Ausfall eines Festplatten laufwerks zu verwenden wird eine Fehlernachricht angezeigt Ma nahme Zertifikate k nnen im Administratordienst programm mit der Wiederherstellungs funktion f r Schl ssel wiederhergestellt werden M glicherweise sind einige Zertifi kate wie z B die kostenfreien Zertifikate von VeriSign nach einer Schl ssel wiederherstellung nicht wiederhergestellt Fordern Sie nach dem Wiederherstellen der Schl ssel ein neues Zertifikat an Kapitel 5 Fehlerbehebung 43 44 Fehlersymptom M gliche L sung Der Netscape Agent wird ge ffnet und ver ursacht einen Fehler in Netscape Ma nahme Das ffnen des Netscape Agenten f hrt zum Schlie en von Netscape Schalten Sie den Netscape Agenten aus Netscape wird mit zeitlicher Verz gerung ge ffnet Ma nahme Wenn S
34. dministrator password aus und dr cken Sie die Ein gabetaste Dr cken Sie danach erneut die Eingabetaste 8 Dr cken Sie die Taste Esc um die Einstellungen zu speichern und das Pro gramm zu verlassen Nach dem Festlegen eines Administratorkennworts wird bei jedem Zugriff auf das Programm Configuration Setup Utility eine Eingabeaufforderung angezeigt Wichtig Bewahren Sie Ihr Administratorkennwort an einem sicheren Ort auf Soll ten Sie das Administratorkennwort verlieren oder vergessen k nnen Sie nicht auf das Programm Configuration Setup Utility zugreifen und das Kennwort nicht ndern oder l schen ohne die Computerabdeckung zu entfernen und auf der Systemplatine eine Br cke zu versetzen Weitere Informationen hierzu finden Sie in der Hardwaredokumentation die mit Ihrem Computer geliefert wurde Administratorkennwort festlegen ThinkPad Mit den Sicherheitseinstellungen im Programm IBM BIOS Setup Utility k nnen Administratoren folgende Vorg nge durchf hren Den integrierten IBM Security Chip aktivieren oder inaktivieren Den Inhalt des integrierten IBM Security Chips l schen Achtung L schen oder inaktivieren Sie den integrierten IBM Security Chip nicht bei akti vierter gesicherter UVM Anmeldung Andernfalls haben Sie keinen Zugriff mehr auf das System Um den UVM Schutz zu inaktivieren ffnen Sie das Administratordienst programm klicken Sie auf Anwendungsunterst tzung und Policies konfigu
35. durch den integrierten IBM Security Chip gesch tzt sind Wenn Sie ein digitales Zertifikat anfordern das f r die digitale Signatur und f r die Verschl sselung einer E Mail verwend bar ist k nnen Sie mit Client Security den integrierten IBM Security Chip zur Bereitstellung der Verschl sselung f r Anwendungen einsetzen die mit der Mic rosoft CryptoAPI funktionieren Zu diesen Anwendungen geh ren Internet Explorer und Microsoft Outlook Express Dadurch ist sichergestellt dass der pri vate Schl ssel des digitalen Zertifikats auf dem integrierten IBM Security Chip gespeichert wird Dar ber hinaus k nnen Netscape Benutzer integrierte IBM Security Chips zum Generieren von privaten Schl sseln f r die zum Erh hen der Systemsicherheit verwendeten digitalen Zertifikate ausw hlen Anwendun gen nach dem Standard PKCS 11 Public Key Cryptography Standard Nr 11 wie z B Netscape Messenger k nnen sich ber den integrierten IBM Security Chip sch tzen Digitale Zertifikate auf den integrierten IBM Security Chip bertragen Mit dem Tool zur bertragung von Zertifikaten von Client Security k nnen Sie Zer tifikate die mit dem Standard Microsoft CSP erstellt wurden an das CSP Modul des integrierten IBM Sicherheits Subsystems bertragen Dadurch wird der not wendige Schutz f r private Schl ssel die zu Zertifikaten geh ren betr chtlich erh ht da die Schl ssel nun statt in gef hrdeter Software im integrierten IBM Security Chip
36. e Fehlernachricht ange zeigt F hren Sie einen der folgenden Schritte aus e Sollte f r den Benutzer der UVM Verschl sselungstext nicht ben tigt wer den ist keine Ma nahme erforderlich e Wenn der UVM Verschl sselungstext f r den Benutzer erforderlich ist m ssen Sie ihn in UVM aufnehmen und ggf neue Zertifikate anfordern Kapitel 5 Fehlerbehebung 35 36 Fehlersymptom M gliche L sung Beim Versuch die UVM Policy Datei zu speichern wird eine Fehlernachricht ange zeigt Ma nahme Wenn Sie versuchen eine UVM Policy Datei globalpolicy gvm durch Klicken auf ber nehmen oder Speichern zu speichern wird eine Fehlernachricht angezeigt Schlie en Sie die Fehlernachricht bearbeiten Sie die UVM Policy Datei erneut und spei chern Sie die Datei Beim Versuch den UVM Policy Editor zu ffnen wird eine Fehlernachricht ange zeigt Ma nahme Wenn der aktuelle Benutzer der am Betriebssystem angemeldet ist nicht in UVM aufgenommen wurde wird der UVM Policy Editor nicht ge ffnet Nehmen Sie den Benutzer in UVM auf und ffnen Sie den UVM Policy Editor Bei der Verwendung des Administrator dienstprogramms wird eine Fehlernachricht angezeigt Ma nahme W hrend Sie das Administratordienst programm verwenden wird m glicherweise die folgende Fehlernachricht angezeigt Beim Versuch auf den Client Security Chip zuzugreifen ist ein Puffer E A Fehler a
37. ebungstabellen Im folgenden Abschnitt finden Sie Tabellen die Ihnen bei der Behebung von Feh lern in Verbindung mit Client Security weiterhelfen k nnen 34 Fehlerbehebungsinformationen zur Installation Im folgenden Abschnitt finden Sie Informationen die Ihnen bei der Behebung von Fehlern bei der Installation von Client Security weiterhelfen k nnen Fehlersymptom M gliche L sung W hrend der Softwareinstallation wird eine Fehlernachricht angezeigt Ma nahme Bei der Softwareinstallation werden Sie in einer Nachricht gefragt ob Sie die ausge w hlte Anwendung und alle zugeh rigen Komponenten entfernen m chten Klicken Sie auf OK um das Fenster zu ver lassen Beginnen Sie erneut mit dem Installationsprozess um die neue Version von Client Security zu installieren W hrend der Installation wird eine Nach richt angezeigt die besagt dass bereits eine vorherige Version von Client Security instal liert ist Klicken Sie auf OK um das Fenster zu ver lassen Gehen Sie wie folgt vor 1 Deinstallieren Sie die Software 2 Installieren Sie die Software erneut Anmerkung Wenn Sie dasselbe Hardware kennwort zum Schutz des integrierten IBM Security Chips verwenden m chten m ssen Sie den Inhalt des Chips nicht l schen und kein neues Kennwort festlegen Der Installationszugriff wird verweigert da das Hardwarekennwort unbekannt ist Ma nahme Wenn Sie die Software auf einem IBM Clie
38. echseln Sie die Benutzer ID Weitere Informa tionen zum Wechseln von Benutzer IDs finden Sie in der Dokumentation zu Lotus Notes Wenn Sie den UVM Schutz f r die Benutzer ID zu der Sie gewechselt haben konfigurieren m chten fahren Sie mit Schritt 4 fort 4 Rufen Sie das von Client Security bereitgestellte Tool zur Lotus Notes Konfigu ration auf und konfigurieren Sie den UVM Schutz 32 IBM Client Security Solutions Client Security Version 5 1 Installationshandbuch Einschrankungen fur das Benutzerkonfigurationsprogramm Unter Windows XP gibt es f r einen Clientbenutzer unter bestimmten Umst nden Zugriffseinschr nkungen f r die verf gbaren Funktionen Windows XP Professional Unter Windows XP Professional k nnen die Einschr nkungen f r Clientbenutzer in den folgenden Situationen auftreten Client Security ist auf einer Partition installiert die sp ter in das NTFS Format konvertiert wird Der Windows Ordner befindet sich auf einer Partition die sp ter in das NTFS Format konvertiert wird Der Archivordner befindet sich auf einer Partition die sp ter in das NTFS For mat konvertiert wird In den vorgenannten F llen k nnen Benutzer von Windows XP Professional mit eingeschr nkter Berechtigung m glicherweise folgende Tasks im Benutzer konfigurationsprogramm nicht ausf hren Den UVM Verschl sselungstext ndern Das mit UVM registrierte Windows Kennwort aktualisieren e Das Schl sselarchiv aktua
39. ei der nderung des Verschl sselungs textes durch den Benutzer ber das Clientdienstprogramm berpr ft Die beiden Benutzereinstellungen zum vorherigen Kennwort werden zur ckgesetzt und Pro tokolle zum Verschl sselungstext werden entfernt Folgende allgemeine Regeln gelten f r UVM Verschl sselungstexte L nge Der Verschl sselungstext kann bis zu 256 Zeichen lang sein Zeichen Der Verschl sselungstext kann jede beliebige Kombination von Zeichen enthalten die die Tastatur erzeugt einschlie lich Leerzeichen und nicht alphanumerische Zeichen 50 IBM Client Security Solutions Client Security Version 5 1 Installationshandbuch Merkmale Der UVM Verschltisselungstext unterscheidet sich von einem Kennwort das Sie zur Anmeldung am Betriebssystem verwenden k nnen Der UVM Verschl sselungstext kann in Verbindung mit anderen Authentifizierungs einheiten verwendet werden z B mit einem UVM Sensor f r Fingerabdr cke Fehlversuche Wenn Sie w hrend einer Sitzung den UVM Verschl sselungstext mehrmals falsch eingeben wird der Computer nicht gesperrt F r die Anzahl der Fehlversuche besteht keine Begrenzung Anhang A Regeln f r Kennw rter und Verschl sselungstexte 51 52 IBM Client Security Solutions Client Security Version 5 1 Installationshandbuch Anhang B Bemerkungen und Marken Bemerkungen Dieser Anhang enth lt rechtliche Hinweise zu IBM Produkten und Informationen zu Marken Die vorliegenden Info
40. eines Administratorkennworts wird bei jedem Zugriff auf das Programm IBM BIOS Setup Utility eine Eingabeaufforderung angezeigt Wichtig Bewahren Sie Ihr Administratorkennwort an einem sicheren Ort auf Soll ten Sie das Administratorkennwort verlieren oder vergessen k nnen Sie nicht auf das Programm IBM BIOS Setup Utility zugreifen und das Kennwort nicht ndern oder l schen Weitere Informationen hierzu finden Sie in der Hardwaredokumen tation die mit Ihrem Computer geliefert wurde Hardwarekennwort sch tzen Sie k nnen ein Kennwort f r den IBM Security Chip festlegen um den integrierten IBM Security Chip f r einen Client zu aktivieren Nachdem Sie das Kennwort f r den IBM Security Chip festgelegt haben ist der Zugriff auf das Administrator dienstprogramm durch dieses Kennwort gesch tzt Sie m ssen das Kennwort f r den IBM Security Chip vor unberechtigtem Zugriff sch tzen damit nicht berech tigte Benutzer die Einstellungen im Administratordienstprogramm nicht ndern k nnen Inhalt des integrierten IBM Security Chips l schen ThinkCen tre Wenn Sie alle Chiffrierschl ssel f r Benutzer aus dem integrierten IBM Security Chip sowie das Hardwarekennwort f r den Chip l schen m chten m ssen Sie den Inhalt des Chips l schen Lesen Sie die nachfolgend unter Achtung aufgef hrten Informationen bevor Sie den Inhalt des integrierten IBM Security Chips l schen Achtung L schen oder inaktivieren Sie den
41. enger nicht ausgew hlt wurde und der Verfasser der E Mail versucht diese mit dem Zertifikat zu signieren wird eine Fehlernachricht ange zeigt Eine E Mail wird mit einem anderen Algo rithmus an den Client zur ckgesendet Verwenden Sie zur Auswahl des Zertifikats die Sicherheitseinstellungen in Netscape Messenger Wenn Netscape Messenger ge ff net ist klicken Sie in der Symbolleiste auf das Sicherheitssymbol Das Fenster mit den Sicherheitsinformationen wird ge ffnet Kli cken Sie im linken Teilfenster auf Netscape Messenger und w hlen Sie anschlie end Zertifikat des integrierten IBM Security Chips aus Weitere Informationen hierzu fin den Sie in der Dokumentation von Netscape Ma nahme Eine mit dem RC2 40 RC2 64 oder RC2 128 Algorithmus verschl sselte E Mail wird von einem Client mit Netscape Messenger an einen Client mit Outlook Express 128 Bit gesendet Eine vom Out look Express Client zur ckgesendete E Mail wird mit dem Algorithmus RC2 40 ver schl sselt Es ist keine Ma nahme erforderlich Eine Verschl sselungsanforderung gem RC2 40 RC2 64 oder RC2 128 von einem Netscape Client an einen Outlook Express Client 128 Bit wird an den Netscape Client immer mit dem RC2 40 Algorithmus zur ckgesendet Aktuelle Informationen zu den Verschl sselungsalgorithmen die mit den verschiedenen Versionen von Outlook Express verwendet werden erhalten Sie von Microsoft IBM Client Security So
42. entifizierung als Token d h es kann sich je weils nur ein Benutzer authentifizieren Jede Smartcard ist systemgebunden wenn nicht der standortunabh ngige Zugriff Roaming mit Berechtigungsnach weis verwendet wird Wenn eine Smartcard erforderlich ist sollte die System sicherheit erh ht werden da diese Karte mit einem Kennwort geliefert werden muss das m glicherweise ausspioniert werden kann Standortunabh ngiger Zugriff mit Berechtigungsnachweis Der standort unabh ngige Zugriff mit Berechtigungsnachweis erm glicht es einem von UVM autorisierten Benutzer jedes System im Netzwerk genau wie die eigene Worksta tion zu verwenden Wenn ein Benutzer berechtigt ist UVM auf irgendeinem bei CSS registrierten Client zu verwenden kann er seine pers nlichen Daten in alle anderen registrierten Clients im Netzwerk importieren Die pers nlichen Daten werden im CSS Archiv und auf jedem System in das sie importiert wurden automatisch aktualisiert und gewartet Aktualisierungen der pers nlichen Daten wie z B neue Zertifikate oder nderungen am Verschl sselungstext sind sofort auf allen Systemen verf gbar e FIPS 140 1 Zertifizierung Client Security unterst tzt FIPS 140 1 zertifizierte verschl sselte Bibliotheken FIPS zertifizierte RSA BSAFE Bibliotheken werden auf TCPA Systemen verwendet Ablauf des Verschl sselungstexts Client Security legt jeweils beim Hinzuf gen eines Benutzers einen benutzerspezifischen Verschl sse
43. ereits verschl sselte Dateien werden nicht entschl sselt Ma nahme Dateien die mit fr heren Versionen von Client Security verschl sselt wurden wer den nach dem Upgrade auf Client Security ab Version 3 0 nicht entschl sselt Dies ist eine bekannte Einschr nkung Sie m ssen alle mit fr heren Versionen von Client Security verschl sselten Dateien ent schl sseln bevor Sie Client Security ab Ver sion 3 0 installieren Client Security 3 0 kann Dateien die von fr heren Versionen von Client Security verschl sselt wurden nicht entschl sseln da in dieser Version die Imp lementierung der Dateiverschl sselung ge ndert wurde Fehlerbehebungsinformationen zu UVM sensitiven Einheiten Im folgenden Abschnitt finden Sie Informationen die Ihnen bei der Behebung von Fehlern bei der Verwendung UVM sensitiver Einheiten weiterhelfen k nnen Fehlersymptom M gliche L sung Eine UVM sensitive Einheit funktioniert nicht mehr ordnungsgem Ma nahme Wenn Sie eine UVM sensitive Einheit vom USB Anschluss Universal Serial Bus tren nen und die Einheit danach erneut am USB Anschluss anschlie en funktioniert die Einheit m glicherweise nicht ordnungsge maf Starten Sie nach dem erneuten Anschluss der Einheit an den USB Anschluss den Com puter erneut Kapitel 5 Fehlerbehebung 47 48 IBM Client Security Solutions Client Security Version 5 1 Installationshandbuch Anhang A
44. ernet abgewickelt werden k nnen Entrust Entelligence stellt einen Single Security Layer zur Verf gung der die gesamten Anforderungen eines Unternehmens hinsichtlich der erweiterten Sicherheitseinrichtungen einschlie lich Identifikation Vertraulichkeit Pr fung und Sicherheitsverwaltung erf llt RSA SecurlD Software Token Mit RSA SecurID Software Token kann der gleiche Datensatz f r den Generie rungswert f r Zufallszahlen der auch in herk mmlichen RSA Hardware Tokens verwendet wird in bereits vorhandene Benutzerplattformen integriert werden Demzufolge haben Benutzer die M glichkeit sich auf gesch tzten Ressourcen zu authentifizieren indem sie auf die integrierte Software zugreifen statt dedizierte Authentifizierungseinheiten verwenden zu m ssen Targus Leseger t f r Fingerabdr cke Das Targus Leseger t f r Fingerabdr cke ist eine benutzerfreundliche Schnitt stelle ber die die Sicherheits Policy f r die Authentifizierung ber Fingerab dr cke aktiviert werden kann Gemplus GemPC400 Smartcard Leseeinheit Die Gemplus GemPC400 Smartcard Leseeinheit aktiviert die Sicherheitspolicy f r die Smartcard Authentifizierung und f gt so dem Standardschutz durch Verschl sselungstext eine weitere Sicherheitsebene hinzu 6 IBM Client Security Solutions Client Security Version 5 1 Installationshandbuch Webbrowser Folgende Webbrowser werden von Client Security bei der Anforderung digitaler Zertifikate unterst tzt
45. es integrierten IBM Security Chips verschl sselte E Mails nur mit dem 3DES Algorithmus verschl sselt werden Beim Senden von E Mails zwischen einem Outlook Express Client 128 Bit und einem Netscape Client Eine Verschl sselungsanforderung gem RC2 40 RC2 64 oder RC2 128 von einem Netscape Client an einen Outlook Express Client 128 Bit wird an den Netscape Client immer mit dem RC2 40 Algorithmus zur ckgesendet M glicherweise stehen einige Algorithmen im Outlook Express Client 128 Bit nicht zur Auswahl Je nachdem wie die Version von Outlook Express 128 Bit konfiguriert oder aktualisiert wurde sind m glicherweise einige RC2 Algorithmen und andere Algorithmen f r die Verwendung mit dem Zertifikat des integrierten IBM Security Chips nicht verf gbar Aktuelle Informationen zu den Verschl sse lungsalgorithmen die mit den verschiedenen Versionen von Outlook Express ver wendet werden erhalten Sie von Microsoft UVM Schutz f r eine Lotus Notes Benutzer ID verwenden Der UVM Schutz funktioniert nicht wenn Sie innerhalb einer Notes Sitzung die Benutzer ID wechseln Sie k nnen den UVM Schutz nur f r die aktuelle Benut zer ID einer Notes Sitzung konfigurieren Gehen Sie wie folgt vor um von einer Benutzer ID f r die UVM Schutz aktiviert wurde zu einer anderen Benutzer ID zu wechseln 1 Verlassen Sie Lotus Notes 2 Inaktivieren Sie den UVM Schutz f r die aktuelle Benutzer ID 3 Rufen Sie Lotus Notes auf und w
46. ezeigt die darauf hinweist dass der IBM Security Chip nicht konfiguriert wurde oder sein Inhalt gel scht wurde An dieser Stelle muss ein neues Kennwort eingegeben werden 6 Geben Sie in das entsprechende Feld ein neues Kennwort f r den IBM Security Chip ein und best tigen Sie das Kennwort Klicken Sie anschlie end auf OK Anmerkung Das Kennwort muss 8 Zeichen lang sein Daraufhin kehrt das Programme zur Hauptanzeige des Administratordienst programms zur ck Software auf anderen IBM Clients installieren wenn der ffentliche Schl ssel f r Administratoren verf gbar ist nur f r nicht berwachte Installationen Wenn Sie die Software auf dem ersten IBM Client installiert und ein Schl ssel paar f r Administratoren erstellt haben k nnen Sie mit Hilfe des Installations programms die Software installieren und das Sicherheits Subsystem auf anderen IBM Clients aktivieren W hrend der Installation m ssen Sie eine Speicherposition f r den ffentlichen Schl ssel f r Administratoren den privaten Schl ssel f r Administratoren und das Schl sselarchiv ausw hlen Wenn Sie einen ffentlichen Schl ssel f r Administrato ren verwenden m chten der in einem gemeinsam benutzten Verzeichnis gespei chert ist oder das Schl sselarchiv in einem gemeinsam benutzten Verzeichnis spei chern m chten m ssen Sie erst dem Zielverzeichnis einen Laufwerkbuchstaben zuordnen bevor Sie das Installationsprogramm verwenden k nnen Wei
47. forderliche Anwendungen installiert sind Benutzer autorisieren Benutzer m ssen bevor Sie auf den Computer zugreifen k nnen f r den Zu griff autorisiert werden Beim Autorisieren eines Benutzers m ssen Sie den Verschl sselungstext des betreffenden Benutzers angeben Nicht autorisierte Benutzer haben keinen Zugriff auf den Computer Sicherheitsstufe des Systems ausw hlen Durch Auswahl einer Systemsicherheitsstufe k nnen Sie auf schnelle und einfa che Weise eine grundlegende Sicherheits Policy einrichten Sie k nnen zu einem sp teren Zeitpunkt im Administratordienstprogramm von IBM Client Security eine angepasste Sicherheits Policy definieren 14 IBM Client Security Solutions Client Security Version 5 1 Installationshandbuch Gehen Sie wie folgt vor um den Konfigurationsassistenten fiir die Installation von IBM Client Security zu verwenden 1 Falls der Assistent nicht bereits ge ffnet ist klicken Sie auf Start gt Programme gt Access IBM gt IBM Client Security gt Konfigurationsassistent von IBM Client Security Im Fenster Willkommen beim Konfigurationsassistenten von IBM Client Security wird eine bersicht ber die Konfigurationsprozedur angezeigt Anmerkung Falls Sie die Authentifizierung ber Fingerabdruck nutzen wol len m ssen Sie das Leseger t f r Fingerabdr cke und die zuge h rige Software installieren bevor Sie fortfahren Klicken Sie auf Weiter um die Konfigurationsprozedur ber den Assi
48. g k nnen gewisse Funktionen des Benutzer konfigurationsprogramms unter Windows XP Professional nicht ausf hren Ma nahme Benutzer von Windows XP Professional mit eingeschr nkter Berechtigung k nnen m gli cherweise folgende Tasks im Benutzer konfigurationsprogramm nicht ausf hren e Den UVM Verschl sselungstext ndern e Das mit UVM registrierte Windows Kenn wort aktualisieren e Das Schl sselarchiv aktualisieren Diese Einschr nkungen gelten nicht mehr nachdem ein Administrator das Administratordienstprogramm gestartet und beendet hat Benutzer mit eingeschr nkter Berechtigung k nnen das Benutzerkonfigurations programm unter Windows XP Home nicht ausf hren Ma nahme Benutzer von Windows XP Home mit einge schr nkter Berechtigung k nnen in den fol genden F llen das Benutzerkonfigurationsprogramm nicht ver wenden e Client Security ist auf einer Partition im NTFS Format installiert e Der Windows Ordner befindet sich auf einer Partition im NTFS Format e Der Archivordner befindet sich auf einer Partition im NTFS Format Dies ist eine bekannte Einschr nkung unter Windows XP Home F r dieses Problem gibt es keine L sung Kapitel 5 Fehlerbehebung 37 Fehlerbehebungsinformationen zum ThinkPad Im folgenden Abschnitt finden Sie Informationen die Ihnen bei der Behebung von Fehlern bei der Verwendung von Client Security auf ThinkPads weiterhelfen k n nen Fehlers
49. gezeigt die sich auf VBScript oder JavaScript bezieht Starten Sie den Computer erneut und bezie hen Sie das Zertifikat erneut IBM Client Security Solutions Client Security Version 5 1 Installationshandbuch Fehlerbehebungsinformationen zu Tivoli Access Manager Die folgenden Informationen zur Fehlerbehebung k nnen hilfreich sein wenn bei der Verwendung von Tivoli Access Manager in Verbindung mit Client Security Fehler auftreten Fehlersymptom M gliche L sung Die lokalen Policy Einstellungen entspre chen nicht denen auf dem Server Ma nahme Tivoli Access Manager l sst bestimmte Bit Konfigurationen zu die von UVM nicht unterst tzt werden Folglich k nnen lokale Policy Anforderungen Einstellungen ber schreiben die ein Administrator bei der Konfiguration eines PD Servers vorgenom men hat Dies ist eine bekannte Einschr nkung Kein Zugriff auf die Konfigurationsein stellungen von Tivoli Access Manager Ma nahme Im Administratordienstprogramm kann auf der Seite zur Policy Installation weder auf die Konfigurationseinstellungen von Tivoli Access Manager noch auf die entsprechen den Einstellungen zur lokalen Cache Ein richtung zugegriffen werden Installieren Sie Tivoli Access Manager Run time Environment Wenn die Laufzeit umgebung Runtime Environment auf dem IBM Client nicht installiert ist sind auf der Seite zur Policy Installation auch keine Ein stellungen f
50. handenen Sicherheitsschl ssel verwenden Gehen Sie wie folgt vor um einen vorhandenen Sicherheitsschl ssel zu ver wenden a Klicken Sie auf den Radioknopf Einen vorhandenen Sicherheitsschl s sel verwenden b Geben Sie entweder durch Eingabe des Pfadnamens in das entspre chende Feld oder durch Klicken auf Durchsuchen und Ausw hlen den entsprechenden Ordners die Speicherposition des ffentlichen Schl ssels an c Geben Sie entweder durch Eingabe des Pfadnamens in das entspre chende Feld oder durch Klicken auf Durchsuchen und Ausw hlen den entsprechenden Ordners die Speicherposition des privaten Schl ssels an Kapitel 4 Software installieren aktualisieren und deinstallieren 15 16 Geben Sie die Speicherposition der Backup Version der Sicherheitsdaten an indem Sie entweder den Pfadnamen in das daf r daf r vorgesehene Feld ein geben oder auf Durchsuchen klicken und den entsprechenden Ordner aus w hlen Klicken Sie auf Weiter Die Anzeige Anwendungen mit IBM Client Security sch tzen erscheint Aktivieren Sie den Schutz f r IBM Client Security indem Sie die entsprechen den Markierungsfelder ausw hlen so dass darin ein Haken angezeigt wird und auf Weiter klicken Folgende Auswahlm glichkeiten von Client Security stehen Ihnen jetzt zur Verf gung Sicherer Zugriff durch Ersetzen der normalen Windows Anmeldung durch die gesicherte Client Security Anmeldung W hlen Sie dieses Feld aus um die no
51. ibel sein 2 Der Verschl sselungsgrad des Webbrowsers muss mit dem Verschl sselungsgrad der Firmware von Client Security kompatibel sein Fehler bei der Verwendung eines Zertifi kats von einer Adresse der mehrere Zerti fikate zugeordnet sind Ma nahme Outlook Express kann mehrere Zertifikate zu einer einzigen E Mail Adresse auflisten und einige dieser Zertifikate k nnen ung ltig werden Ein Zertifikat wird ung ltig wenn der dem Zertifikat zugeordnete private Schl ssel auf dem integrierten IBM Security Chip des Sendercomputers auf dem das Zertifikat generiert wurde nicht mehr vor handen ist Bitten Sie den Empf nger sein digitales Zer tifikat erneut zu senden w hlen Sie anschlie end dieses Zertifikat im Adress buch von Outlook Express aus Kapitel 5 Fehlerbehebung 39 40 Fehlersymptom M gliche L sung Beim Versuch eine E Mail digital zu sig nieren wird eine Fehlernachricht ange zeigt Ma nahme Wenn der Verfasser einer E Mail versucht eine E Mail digital zu signieren jedoch sei nem E Mail Account noch kein Zertifikat zugeordnet ist wird eine Fehlernachricht angezeigt Verwenden Sie die Sicherheitseinstellungen in Outlook Express um ein Zertifikat anzu geben das dem Benutzeraccount zugeordnet werden soll Weitere Informationen hierzu finden Sie in der Dokumentation zu Outlook Express Outlook Express 128 Bit verschl sselt E Mails nur mit dem 3DES
52. icht ber dieses Markierungsfeld au er Kraft gesetzt werden Bekannte Einschr nkungen Dieser Abschnitt enth lt Informationen zu bekannten Einschr nkungen in Bezug auf Client Security Client Security mit Windows Betriebssystemen einsetzen Alle Windows Betriebssysteme weisen die folgende bekannte Einschr nkung auf Wenn ein in UVM registrierter Clientbenutzer seinen Windows Benutzern amen ndert geht die gesamte Funktionalit t von Client Security verloren Der Benutzer muss den neuen Benutzernamen erneut in UVM registrieren und alle neuen Berechtigungsnachweise anfordern Windows XP Betriebssysteme weisen die folgende bekannte Einschr nkung auf In UVM registrierte Benutzer deren Windows Benutzername zuvor ge ndert wurde werden von UVM nicht erkannt UVM verweist auf den fr heren Benutzernamen w hrend Windows nur den neuen Benutzernamen erkennt Diese Einschr nkung gilt selbst dann wenn der Windows Benutzername vor der Installa tion von Client Security ge ndert wurde Client Security mit Netscape Anwendungen einsetzen Netscape wird nach einem Berechtigungsfehler ge ffnet Wenn das Fenster UVM Verschl sselungstext ge ffnet wird m ssen Sie den UVM Verschl s selungstext eingeben und auf OK klicken bevor Sie fortfahren k nnen Wenn Sie einen falschen UVM Verschl sselungstext eingeben oder bei einer Scanner abtastung von Fingerabdr cken einen falschen Fingerabdruck liefern wird eine Fehlernachricht angeze
53. ie das PKCS 11 Modul des integrier ten IBM Security Chips hinzuf gen und anschlie end Netscape ffnen verz gert sich das ffnen von Netscape um kurze Zeit Es ist keine Ma nahme erforderlich Dies dient lediglich zu Ihrer Information Fehlerbehebungsinformationen zu digitalen Zertifikaten Die folgenden Informationen zur Fehlerbehebung k nnen hilfreich sein wenn bei der Anforderung eines digitalen Zertifikats Fehler auftreten Fehlersymptom M gliche L sung Das Fenster UVM Verschl sselungstext oder das Fenster f r die Authentifizierung ber Fingerabdr cke wird bei der Anforde rung eines digitalen Zertifikats mehrmals angezeigt Ma nahme In der UVM Sicherheits Policy ist festgelegt dass ein Benutzer sich mit einem UVM Verschl sselungstext oder ber Fingerabdr cke authentifizieren muss bevor er ein digitales Zertifikat erhalten kann Wenn der Benutzer versucht ein Zertifikat zu erhalten wird das Authentifizierungsfenster in dem er aufgefordert wird den UVM Verschl sselungstext anzugeben oder die Fingerabdr cke abtasten zu lassen mehr mals angezeigt Geben Sie bei jedem ffnen des Authentifizierungsfensters den UVM Verschl sselungstext ein bzw lassen Sie ihre Fingerabdr cke abtasten Eine Nachricht ber einen VBScript oder JavaScript Fehler wird angezeigt Ma nahme Wenn Sie ein digitales Zertifikat anfordern wird m glicherweise eine Fehlernachricht an
54. ient Security 5 1 kann aufgrund von nderungen bei der Dateiverschl sselungsimplementierung keine Dateien entschl sseln die mit lteren Versionen von Client Security als Version 5 0 verschl sselt wurden Software herunterladen und installieren Alle f r die Installation von Client Security erforderlichen Dateien sind in der Datei csec5l exe enthalten die Sie von der IBM Website unter http www pc ibm com ww security secdownload html herunterladen k nnen Auf der Website finden Sie Informationen mit deren Hilfe Sie sicherstellen k nnen dass Sie ber den integrierten IBM Security Chip verf gen und die Ihnen die Aus wahl des passenden Client Security Angebots f r Ihr System erm glichen Gehen Sie wie folgt vor um die entsprechenden Dateien f r Ihr System herunter zuladen 1 Geben Sie in einem Webbrowser den URL f r folgende IBM Website ein http www pe ibm com ww security secdownload html 2 Vergewissern Sie sich anhand der Informationen auf der Website dass Ihr Sys tem ber den integrierten IBM Security Chip verf gt indem Sie Ihre Modell nummer mit den Angaben in der Tabelle mit den Systemvoraussetzungen ver gleichen Klicken Sie anschlie end auf Continue 3 W hlen Sie den Radioknopf f r Ihren Maschinentyp und klicken Sie auf Con tinue 4 Erstellen Sie eine Benutzer ID f llen Sie das Onlineformular zur Registrierung aus und lesen Sie die Lizenzvereinbarung Klicken Sie dann auf Accept Licence
55. igt Wenn Sie auf OK klicken wird Netscape ge ffnet Sie k nnen aber das vom integrierten IBM Security Chip generierte digitale Zertifikat nicht verwenden Sie m ssen Netscape verlassen erneut aufrufen und den richti gen UVM Verschl sselungstext eingeben bevor Sie das Zertifikat f r den integrier ten IBM Security Chip verwenden k nnen Algorithmen werden nicht angezeigt Beim Anzeigen des Moduls in Netscape ist keiner der vom PKCS 11 Modul des integrierten IBM Security Chips unterst tzten Hashverfahren Algorithmen ausgew hlt Die folgenden Algorithmen werden vom PKCS 11 Modul des integrierten IBM Security Chips unterst tzt jedoch nicht als unterst tzt erkannt wenn sie in Netscape angezeigt werden e SHA 1 e MD5 Kapitel 5 Fehlerbehebung 31 Zertifikat des integrierten IBM Security Chips und Verschlusselungsalgorithmen Im Folgenden finden Sie Informationen zu Verschliisselungsalgorithmen die Sie mit dem Zertifikat des integrierten IBM Security Chips verwenden k nnen Aktu elle Informationen zu Verschl sselungsalgorithmen f r die jeweilige E Mail An wendung erhalten Sie von Microsoft oder Netscape Beim Senden von E Mails von einem Outlook Express Client 128 Bit an einen anderen Outlook Express Client 128 Bit Wenn Sie Outlook Express mit der 128 Bit Version von Internet Explorer 4 0 oder 5 0 verwenden um verschl sselte E Mails an andere Clients mit Outlook Express 128 Bit zu senden k nnen mit dem Zertifikat d
56. igu rieren und inaktivieren Sie das Markierungsfeld Die Windows Standardan meldung durch eine gesicherte UVM Anmeldung ersetzen Sie m ssen den Computer erneut starten damit der UVM Schutz inaktiviert wird e L schen oder inaktivieren Sie den integrierten IBM Security Chip nicht bei akti viertem UVM Schutz Andernfalls haben Sie keinen Zugriff mehr auf das Sys tem Wenn Sie den Inhalt des integrierten IBM Security Chips l schen gehen alle Chiffrierschl ssel und Zertifikate verloren die auf dem Chip gespeichert sind Da auf Ihre Sicherheitseinstellungen ber das Programm Configuration Setup Uti lity des Computers zugegriffen werden kann legen Sie ein Administratorkenn wort fest um zu verhindern dass diese Einstellungen durch nicht autorisierte Benutzer ge ndert werden Gehen Sie wie folgt vor um ein Administratorkennwort festzulegen 1 Fahren Sie das System herunter und starten Sie es erneut 2 Dr cken Sie w hrend der Eingabeaufforderung des Programms Configuration Setup Utility die Taste F1 Das Hauptmen des Programms Configuration Setup Utility wird ge ffnet 3 Wahlen Sie die Option System Security aus gt W hlen Sie die Option Administrator Password aus 5 Geben Sie das Kennwort ein und dr cken Sie auf der Tastatur die Taste mit dem Abw rtspfeil 6 Geben Sie das Kennwort erneut ein und dr cken Sie auf der Tastatur die Taste mit dem Abw artspfeil 27 7 W hlen Sie Change A
57. in UVM registrierten Benutzer nicht ord nungsgem Ma nahme Der registrierte Clientbenutzer hat m gli cherweise seinen Windows Benutzernamen ge ndert Wenn dies zutrifft geht die gesamte Funktionalit t von Client Security verloren Registrieren Sie den neuen Benutzernamen in UVM erneut und fordern Sie alle neuen Berechtigungsnachweise an Anmerkung Unter Windows XP werden in UVM registrierte Benutzer deren Windows Benutzername zuvor ge ndert wurde von UVM nicht erkannt Diese Einschr nkung gilt selbst dann wenn der Windows Benutzername vor der Installation von Client Security ge ndert wurde Fehler beim Lesen verschl sselter E Mails mit Outlook Express Ma nahme Verschl sselte E Mails k nnen nicht ent schl sselt werden da sich die Verschl sselungsgrade der Webbrowser die vom Sender und vom Empf nger verwendet werden unterscheiden Anmerkung Wenn Sie Browser mit 128 Bit Verschl sselung mit Client Security verwen den m chten muss der integrierte IBM Security Chip 256 Bit Verschl sselung unter st tzen Wenn der integrierte IBM Security Chip 56 Bit Verschl sselung unterst tzt m ssen Sie einen 40 Bit Webbrowser ver wenden Der Verschl sselungsgrad von Client Security ist im Administratordienst programm angegeben berpr fen Sie Folgendes 1 Der Verschl sselungsgrad des Webbrowsers beim Sender muss mit dem Verschl sselungsgrad des Webbrowsers des Empf ngers kompat
58. ind und der Benutzer keine Fingerabdr cke registriert hat hat er die M glichkeit Fingerabdr cke bei der Anmeldung zu registrieren Wenn die berpr fung von Fingerabdr cken erforderlich ist und kein Scanner ange schlossen ist meldet UVM einen Fehler Wenn das Windows Kennwort nicht oder nicht richtig in UVM registriert ist hat der Benutzer die M glichkeit das richtige Windows Kennwort als Teil der Anmeldung anzugeben UVM Systemanmeldeschutz UVM erm glicht es Administratoren den Zugriff auf die Computer ber eine Anmeldeschnittstelle zu steuern Der UVM Schutz stellt sicher dass nur Benutzer die von der Sicherheits Policy erkannt werden auf das Betriebssystem zugreifen k nnen UVM Client Security Bildschirmschonerschutz Bei Einsatz von UVM k n nen Benutzer den Zugriff auf den Computer ber eine Schnittstelle f r den Client Security Bildschirmschoner steuern Administratorkonsole Die Administratorkonsole von Client Security erm glicht es einem Sicherheitsadministrator administratorspezifische Tasks ber Fernzu griff auszuf hren Benutzerkonfigurationsprogramm Mit dem Benutzerkonfigurationsprogramm k nnen Clientbenutzer den UVM Verschl sselungstext ndern Unter Windows 2000 und Windows XP k nnen Benutzer mit dem Clientdienstprogramm Schl sselarchive aktualisieren und Windows Anmeldekennw rter ndern so dass diese von UVM erkannt werden Au erdem kann ein Benutzer Sicherungs kopien der digitalen
59. integrierten IBM Security Chip nicht bei akti viertem UVM Schutz Andernfalls haben Sie keinen Zugriff mehr auf das Sys tem Um den UVM Schutz zu inaktivieren ffnen Sie das Administratordienst programm klicken Sie auf Anwendungsunterst tzung und Policies konfigu rieren und inaktivieren Sie das Markierungsfeld Die Windows Standardan meldung durch eine gesicherte UVM Anmeldung ersetzen Sie m ssen den Computer erneut starten damit der UVM Schutz inaktiviert wird Wenn Sie den Inhalt des integrierten IBM Security Chips l schen gehen alle Chiffrierschl ssel und Zertifikate verloren die auf dem Chip gespeichert sind Gehen Sie wie folgt vor um den Inhalt des integrierten IBM Security Chips zu l schen 1 Fahren Sie das System herunter und starten Sie es erneut 2 Dr cken Sie w hrend der Eingabeaufforderung des Programms Configuration Setup Utility die Taste F1 Das Hauptmen des Programms Configuration Setup Utility wird ge ffnet W hlen Sie die Option Security aus W hlen Sie IBM TCPA Feature Setup aus W hlen Sie Clear IBM TCPA Security Feature aus W hlen Sie Yes aus Dr cken Sie die Taste Esc um fortzufahren ONDAY Dr cken Sie Taste Esc um das Programm zu verlassen und die Einstellungen zu speichern Kapitel 5 Fehlerbehebung 29 Inhalt des integrierten IBM Security Chips l schen ThinkPad Wenn Sie alle Chiffrierschliissel fiir Benutzer aus dem integrierten IBM Security Chip u
60. lisieren Diese Einschr nkungen gelten nicht mehr nachdem ein Administrator das Administratordienstprogramm gestartet und beendet hat Windows XP Home Benutzer von Windows XP Home mit eingeschr nkter Berechtigung k nnen in den folgenden F llen das Benutzerkonfigurationsprogramm nicht verwenden Client Security ist auf einer Partition im NTFS Format installiert e Der Windows Ordner befindet sich auf einer Partition im NTFS Format e Der Archivordner befindet sich auf einer Partition im NTFS Format Fehlernachrichten Fehlernachrichten f r Client Security werden in Ereignisprotokoll geschrieben Client Security verwendet einen Einheitentreiber der m glicherweise Fehlernach richten in das Ereignisprotokoll schreibt Die Fehler auf denen diese Nachrichten basieren wirken sich auf den normalen Betrieb des Computers nicht aus UVM ruft Fehlernachrichten auf die vom zugeordneten Programm generiert werden wenn f r ein Authifizierungsobjekt der Zugriff verweigert wird Wenn in der UVM Policy die Verweigerung des Zugriffs f r ein Authentifizierungsobjekt z B f r die E Mail Verschl sselung festgelegt ist variiert die Nachricht ber den verweigerten Zugriff je nach verwendeter Software Eine Fehlernachricht von Out look Express ber die Verweigerung des Zugriffs auf ein Authentifizierungsobjekt unterscheidet sich somit von einer Netscape Fehlernachricht ber verweigerten Zugriff Kapitel 5 Fehlerbehebung 33 Fehlerbeh
61. lt des integrierten IBM Security Chip zu l schen a Schalten Sie das System ein b Dr cken Sie Fl um das Programm IBM BIOS Setup Utility aufzurufen c Setzen Sie den Cursor auf das Feld mit den Einstellungen f r den IBM Security Chip und l schen Sie den Inhalt des Chips d Verlassen Sie das Programm IBM BIOS Setup Utility Der Startvorgang wird anschlie end fortgesetzt 4 F hren Sie das Installationsprogramm von Client Security Version 5 0 aus 5 F hren Sie bei entsprechender Aufforderung einen Neustart durch Nach dem Neustart wird der Konfigurationsassistent von IBM Client Security automatisch aufgerufen F hren Sie den Konfigurationsassistenten NICHT aus 6 Klicken Sie auf Abbrechen um den Konfigurationsassistenten zu beenden 7 Gehen Sie wie folgt vor um die Standard Sicherheits Policy tempor r zu sichern a Wechseln Sie im Windows Explorer in das Installationsverzeichnis von IBM Client Security Standardverzeichnis c program files ibm security b Klicken Sie mit der rechten Maustaste auf den Ordner UVM_Policy und w hlen Sie Kopieren c Klicken Sie mit der rechten Maustaste auf den Windows Desktop und w h len Sie Einf gen Auf diese Weise wird eine tempor re Sicherung auf dem Windows Desktop erstellt Anmerkung Die Einstellungen Ihrer vorhandenen Sicherheits Policy wer den durch neue Standardeinstellungen ersetzt 8 Gehen Sie wie folgt vor um die Einstellungen von IBM Client Security Version
62. lungstext und eine Policy f r das Ablaufen des Verschl sselungstexts fest Automatischer Schutz f r ausgew hlte Ordner Die Funktion zum automati schen Sch tzen von Ordnern erm glicht es einem Client Security Administrator festzulegen dass alle Ordner mit der Bezeichnung Eigene Dateien der von UVM autorisierten Benutzer automatisch gesch tzt werden ohne dass seitens der Benutzer eine Aktivit t ausgef hrt werden muss Kapitel 1 Einf hrung in IBM Client Security 3 4 IBM Client Security Solutions Client Security Version 5 1 Installationshandbuch Kapitel 2 Erste Schritte In diesem Kapitel werden die Hard und Softwarevoraussetzungen zur Verwen dung von Client Security beschrieben Au erdem werden Ihnen Informationen zum Herunterladen von Client Security bereitgestellt Hardwarevoraussetzungen Bevor Sie die Software herunterladen und installieren vergewissern Sie sich dass Ihre Computerhardware mit Client Security kompatibel ist Die neusten Informationen zu den Hard und Softwarevoraussetzungen finden Sie auf der IBM Website unter http www pc ibm com ww security secdownload html Integrierter IBM Security Chip Der integrierte IBM Security Chip ist ein verschl sselter Mikroprozessor der in der Systemplatine des IBM Clients integriert ist Diese grundlegende Komponente von IBM Client Security wandelt die Funktionen der Security Policy von ungesch tzter Software in sichere Hardware um und tr gt so d
63. lutions Client Security Version 5 1 Installationshandbuch Fehlersymptom M gliche L sung Ein digitales Zertifikat das vom integrier ten IBM Security Chip generiert wurde kann nicht verwendet werden Ma nahme Das vom integrierten IBM Security Chip generierte digitale Zertifikat ist nicht verf g bar berpr fen Sie ob Sie beim ffnen von Netscape den richtigen UVM Verschl sselungstext eingegeben haben Wenn Sie den falschen UVM Verschl sselungstext eingeben wird eine Fehlernachricht ber einen Authentifizierungsfehler angezeigt Wenn Sie auf OK klicken wird Netscape ge ffnet Sie k nnen aber das vom integrierten IBM Security Chip generierte Zertifikat nicht ver wenden Sie m ssen Netscape verlassen und erneut ffnen und anschlie end den richti gen UVM Verschl sselungstext eingeben Neue digitale Zertifikate vom selben Sen der werden innerhalb von Netscape nicht ausgetauscht Ma nahme Wenn eine digital signierte E Mail vom sel ben Sender mehrmals empfangen wird wird das erste digitale Zertifikat das der E Mail zugeordnet ist nicht berschrieben Wenn Sie mehrere E Mail Zertifikate emp fangen ist das einzige Zertifikat das Standardzertifikat L schen Sie mit den Sicherheitseinrichtungen in Netscape das erste Zertifikat und ffnen Sie anschlie end das zweite Zertifikat erneut oder bitten Sie den Sender eine weitere signierte E Mail zu senden Das Zertifikat
64. meldeschutz verwenden 0 Windows Anmeldung verwenden 1 UVM fiir Entrust Authentifizierung verwenden 0 Entrust Authentifizierung verwenden 1 UVM Schutz fiir Lotus Notes verwenden 0 Kennwort schutz von Lotus Notes verwenden 1 Password Manager verwenden 0 Password Manager nicht verwenden 1 Verschl sselung von Dateien und Ordnern verwenden 0 Verschltisselung von Dateien und Ordnern nicht verwenden Kapitel 4 Software installieren aktualisieren und deinstallieren 21 Softwareversion von Client Security aktualisieren 22 Damit Clients auf denen eine Version von Client Security vor Version 5 0 installiert ist die neuen Funktionen von Client Security nutzen k nnen muss die auf den Clients installierte Software auf Version 5 1 aktualisiert werden Wichtig Bei TCPA Systemen auf denen IBM Client Security Version 4 0x installiert ist muss vor der Installation von IBM Client Security Version 5 1 der Inhalt des Chips gel scht werden Andernfalls besteht die M glichkeit dass die Installation fehlschl gt oder die Software nicht reagiert Upgrade mit neuen Sicherheitsdaten durchf hren Gehen Sie wie folgt vor um Client Security vollst ndig zu entfernen und eine Neuinstallation durchzuf hren 1 Deinstallieren Sie die vorhandene Version von Client Security Systemsteuerung gt Software 2 F hren Sie einen Neustart des Systems durch 3 L schen Sie den Inhalt des integrierten IBM Security Chip ber das
65. n nen Sie w hrend des Systemstarts mit F1 aufrufen Administratorkennwort ThinkPad Administratorkennw rter verhindern dass nicht autorisierte Personen die Konfigurationseinstellungen eines IBM ThinkPad Computers ndern Diese Kenn w rter werden im Programm IBM BIOS Setup Utility festgelegt Dieses Pro gramm k nnen Sie w hrend des Systemstarts mit F1 aufrufen Erweiterte Sicherheitseinrichtungen Die erweiterten Sicherheitseinrichtungen bieten einen zus tzlichen Schutz f r das Administratorkennwort und die Einstellungen w hrend des Systemstarts Im Pro gramm Configuration Setup Utility k nnen Sie feststellen ob die erweiterten Sicherheitseinrichtungen aktiviert sind oder nicht Dieses Programm k nnen Sie w hrend des Systemstarts mit F1 aufrufen Weitere Informationen zu Kennw rtern und erweiterten Sicherheitseinrichtungen finden Sie in der Dokumentation zu Ihrem Computer Erweiterte Sicherheitseinrichtungen auf den NetVista Modellen 6059 6569 6579 6649 und auf allen NetVista Q1x Modellen Wenn auf den NetVista Modellen 6059 6569 6579 6649 6646 und allen Q1x Modellen ein Administratorkennwort festgelegt wurde miissen Sie den Chip im Administratordienstprogramm aktivie ren und die Schl ssel f r die Hardware erstellen Wenn auf diesen NetVista Modellen die erweiterten Sicherheitseinrichtungen aktiviert wurden m ssen Sie nach der Installation von Client Security im Administratordienstprogramm den integrierten
66. n Hierbei muss es sich um ein lokales Laufwerk des Computers handeln Result 1 7BD2CFF6 B037 47D6 A76B D941EE13AD96 SdSelectFolder 0 szFolder IBM Client Security Software Uber diesen Parameter wird die Programmgruppe f r Client Security angegeben Result 1 Application Name Client Security Version 5 00 002f Company IBM Lang 0009 7BD2CFF6 B037 47D6 A76B D941EE13AD96 SdFinishReboot 0 Result 6 BootOption 3 Massenkonfiguration Die folgende Datei wird zum Einleiten einer Massenkonfiguration ben tigt Der Name der Datei ist beliebig die Datei muss jedoch ber die Erweiterung ini verf gen Nachfolgend ist ein Beispiel f r die Datei aufgef hrt Die seitlich angegebene Beschreibung ist nicht Bestandteil der Datei Mit Hilfe des folgenden Befehls kann die Datei ber die Befehlszeile ausgef hrt werden falls die Massenkonfiguration nicht in Verbindung mit einer Masseninstallation ausgef hrt wird lt CSS_Installationsordner gt acamucli ccf c csec ini Anmerkung Falls Dateien oder Pfade auf einem Netzlaufwerk liegen muss dem Netzlaufwerk ein Laufwerkbuchstabe zugeordnet sein CSSSetup Abschnitts berschrift fiir CSS Konfiguration suppw bootup Administrator Supervisorkennwort Keine Angabe falls nicht erforderlich hwpw 11111111 CSS Hardwarekennwort Muss 8 Zeichen lang sein Angabe immer erforderlich Richtige Angabe erforderlich falls Hardwarekennwort bereits definiert wurde newkp 1 1 neues Administratorschl s
67. n aktualisieren und deinstallieren enth lt Anwei sungen zum Installieren Aktualisieren und Deinstallieren der Software Kapitel 5 Fehlerbehebung enth lt n tzliche Informationen zur Fehlerbehebung die beim Befolgen der in diesem Handbuch enthaltenen Anweisungen auftreten k nnen Anhang A Regeln f r Kennw rter und Verschl sselungstexte enth lt Kriterien f r Kennw rter die auf einen UVM Verschl sselungstext angewendet werden k n nen und Regeln f r Kennw rter f r den IBM Security Chip Anhang B Bemerkungen und Marken enth lt rechtliche Hinweise und Informa tionen zu Marken Zielgruppe Dieses Handbuch ist f r Netzwerk und Systemadministratoren konzipiert die f r die Personal Computing Sicherheit auf IBM Clients sorgen Vorausgesetzt werden Kenntnisse auf dem Gebiet der Sicherheitskonzepte wie z B in PKI Public Key Infrastructure und in der Verwaltung von digitalen Zertifikaten in einer Netzwerk umgebung Benutzung des Handbuchs Verwenden Sie dieses Handbuch um die Personal Computing Sicherheit auf IBM Clients zu installieren und einzurichten Dieses Handbuch dient als Erg nzung zu folgenden Handb chern Client Security Administratorhandbuch Client Security mit Tivoli Access Manager verwenden und Client Security Benutzerhandbuch Dieses Handbuch und die gesamte weitere Dokumentation zu Client Security kann von der IBM Website unter http www pc ibm com ww security
68. n in regelm igen Zeitabst nden aktualisiert Die nderungen werden in berarbeitungen oder in Technical News Letters TNLs bekannt gege ben IBM kann jederzeit ohne Vorank ndigung Verbesserungen und oder nde rungen an den in dieser Ver ffentlichung beschriebenen Produkten und oder Pro grammen vornehmen Lizenznehmer des Programms die Informationen zu diesem Produkt w nschen mit der Zielsetzung i den Austausch von Informationen zwischen unabh ngigen erstellten Programmen und anderen Programmen einschlie lich des vorliegenden Programms sowie ii die gemeinsame Nutzung der ausgetauschten Informationen zu erm glichen wenden sich an folgende Adresse IBM Corporation Department 80D P O Box 12195 3039 Cornwallis Research Triangle Park NC 27709 U S A Die Bereitstellung dieser Informationen kann unter Umst nden von bestimmten Bedingungen in einigen F llen auch von der Zahlung einer Geb hr abh ngig sein 53 Die Lieferung des in diesem Dokument aufgefiihrten Lizenzprogramms sowie des zugeh rigen Lizenzmaterials erfolgt im Rahmen der Allgemeinen Gesch ftsbedin gungen der IBM der Internationalen Nutzungsbedingungen der IBM f r Programmpakete oder einer quivalenten Vereinbarung Marken IBM und SecureWay sind in gewissen L ndern Marken der IBM Corporation Tivoli ist in gewissen L ndern eine Marke von Tivoli Systems Inc Microsoft Windows und Windows NT sind in gewissen L ndern Marken der Mic rosoft Corp
69. nd das Hardwarekennwort f r den Chip l schen m chten m ssen Sie den Inhalt des Chips l schen Lesen Sie die nachfolgend unter Achtung aufgef hrten Informationen bevor Sie den Inhalt des integrierten IBM Security Chips l schen Achtung L schen oder inaktivieren Sie bei aktiviertem UVM Schutz den integrierten IBM Security Chip nicht Andernfalls wird der Inhalt der Festplatte unbrauchbar und Sie m ssen die Festplatte neu formatieren und die gesamte Software neu instal lieren Um den UVM Schutz zu inaktivieren ffnen Sie das Administratordienst programm klicken Sie auf Anwendungsunterst tzung und Policies konfigu rieren und inaktivieren Sie das Markierungsfeld Die Windows Standardan meldung durch eine gesicherte UVM Anmeldung ersetzen Sie m ssen den Computer erneut starten damit der UVM Schutz inaktiviert wird Wenn Sie den Inhalt des integrierten IBM Security Chips l schen gehen alle Chiffrierschl ssel und Zertifikate verloren die auf dem Chip gespeichert sind Gehen Sie wie folgt vor um den Inhalt des integrierten IBM Security Chips zu l schen 1 Fahren Sie das System herunter und starten Sie es erneut 2 Dr cken Sie w hrend der Eingabeaufforderung des Programms IBM BIOS Setup Utility die Taste Fn Anmerkung Auf einigen ThinkPad Modellen m ssen Sie m glicherweise beim Einschalten die Taste F1 dr cken um auf das Programm IBM BIOS Setup Utility zuzugreifen Weitere Informationen hierz
70. nt mit aktiviertem integrierten IBM Security Chip installieren ist das Hardwarekennwort f r den integrierten IBM Security Chip unbekannt L schen Sie den Inhalt des Chips um mit der Installation fortzufahren Die Datei setup exe reagiert nicht ord nungsgem CSS Version 4 0x Ma nahme Wenn Sie alle Dateien aus csec4_0 exe in ein gemeinsames Verzeichnis extrahieren funktioniert die Datei setup exe nicht ord nungsgem F hren Sie die Datei smbus exe aus um den SMBus Einheitentreiber zu installieren und f hren Sie anschlie end die Datei csec4_0 exe aus um den Softwarecode von Client Security zu installieren IBM Client Security Solutions Client Security Version 5 1 Installationshandbuch Fehlerbehebungsinformationen zum Administratordienst programm Im folgenden Abschnitt finden Sie Informationen die Ihnen bei der Behebung von Fehlern bei der Verwendung des Administratordienstprogramms weiterhelfen k n nen Fehlersymptom M gliche L sung Policy f r UVM Verschl sselungstext nicht erzwungen Ma nahme Das Markierungsfeld Mehr als 2 wiederkeh rende Zeichen nicht zulassen funktioniert nicht in IBM Client Security Version 5 0 Dies ist eine bekannte Einschr nkung bei IBM Client Security Version 5 0 Die Schaltfl che Weiter ist nicht verf g bar nachdem Sie im Administratordienst programm den UVM Verschl sselungstext eingegeben und best
71. nweisung sollte vom Desktop eines Benutzers mit Administratorberechtigung ausgef hrt werden Ein geeigneter Ort hierf r ist die Programmgruppe Autostart oder das Fenster Ausf hren 6 L schen Sie die Befehlszeilenanweisung nach dem n chsten Systemstart Kapitel 4 Software installieren aktualisieren und deinstallieren 19 20 Nachfolgend ist der vollst ndige Inhalt der Datei setup iss mit einigen Beschrei bungen aufgef hrt InstallShield Silent Version v6 00 000 File Response File szIniPath d csssetup ini ber diesen Parameter werden der Name und die Speicherposition der f r die Massenkonfiguration erforderlichen ini Datei angege ben Handelt es sich hierbei um ein Netzlaufwerk muss das Laufwerk verbunden sein Soll keine Massenkonfiguration in Verbindung mit einer Installation im Hin tergrund durchgef hrt werden entfernen Sie diesen Eintrag File Transfer OverwrittenReadOnly NoToAll 7BD2CFF6 B037 47D6 A76B D941EE13AD96 DlgOrder Dlg0 7BD2CFF6 B037 47D6 A76B D941EE13AD96 SdLicense 0 Count 4 Dlg1 7BD2CFF6 B037 47D6 A76B D941EE13AD96 SdAskDestPath 0 Dlg2 7BD2CFF6 B037 47D6 A76B D941EE13AD96 SdSelectFolder 0 Dlg3 7BD2CFF6 B037 47D6 A76B D941EE13AD96 SdFinishReboot 0 7BD2CFF6 B037 47D6 A76B D941EE13AD96 SdLicense 0 Result 1 7BD2CFF6 B037 47D6 A76B D941EE13AD96 SdAskDestPath 0 szDir C Program Files IBM Security Uber diesen Parameter wird das Installationsverzeichnis fiir Client Security ange gebe
72. on Setup Utility aufrufen Wenn das Hauptmen des Programms Configuration Setup Utility angezeigt wird w hlen Sie Product Data aus um weitere Informationen zum BIOS Code zu erhalten Die BIOS Codestufe wird auch als EEPROM nderungsstufe bezeich net Um Client Security 2 1 oder h her auf den NetVista Modellen 6059 6569 6579 6649 auszuf hren m ssen Sie die BIOS Stufe xxxx22axx oder h her verwenden Um Client Security 2 1 oder h her auf den NetVista Modellen 6790 6792 6274 2283 auszuf hren m ssen Sie die BIOS Stufe xxxx20axx oder h her verwenden Weitere Informationen hierzu finden Sie in der README Datei die im Software Download enthalten ist Die neusten BIOS Code Aktualisierungen f r Ihren Computer finden Sie auf der IBM Website unter http www pc ibm com support indem Sie dort in das Such feld BIOS eingeben die entsprechenden Downloads aus der Dropdown Liste aus w hlen und die Eingabetaste dr cken Daraufhin Ihnen wird eine Liste mit allen BIOS Code Aktualisierungen angezeigt Klicken Sie auf die zutreffende NetVista Modellnummer und befolgen Sie die auf der Webseite angezeigten Anweisungen 10 IBM Client Security Solutions Client Security Version 5 1 Installationshandbuch Archivschl sselpaar verwenden Mit dem Archivschl sselpaar das sich aus dem ffentlichen Schl ssel f r Adminis tratoren und dem privaten Schl ssel f r Administratoren zusammensetzt k nnen Sie Chiffrierschl ssel f
73. oration Andere Namen von Unternehmen Produkten und Dienstleistungen k nnen Mar ken oder Dienstleistungsmarken anderer Unternehmen sein 54 IBM Client Security Solutions Client Security Version 5 1 Installationshandbuch
74. rmale Windows Anmeldung durch die sichere Client Security Anmeldung zu ersetzen Dadurch wird die Systemsicherheit erh ht Bei der Anmeldung ist dann jeweils eine Authenti fizierung mit dem integrierten IBM Sicherheitschip und optionalen Einhei ten wie z B Leseger ten f r Fingerabdr cke erforderlich e Datei und Ordnerverschl sselung aktivieren Wahlen Sie dieses Feld aus wenn Sie Dateien auf Ihrem Festplattenlauf werk mit dem integrierten IBM Security Chip sichern m chten Hierzu muss das Dienstprogramm zur Verschl sselung von Dateien und Ordnern von IBM Client Security heruntergeladen werden Unterst tzung f r IBM Client Security Password Manager aktivieren W hlen Sie dieses Feld aus wenn Sie IBM Passwort Manager verwenden m chten um die Kennw rter f r Ihre Website Anmeldungen und Anwen dungen zweckm ig und sicher zu speichern Hierf r m ssen Sie die Anwendung IBM Client Security Password Manager herunterladen Lotus Notes Anmeldung durch IBM Client Security Anmeldung ersetzen W hlen Sie dieses Feld aus wenn Benutzer von Lotus Notes in Client Secu rity ber den integrierten IBM Security Chip automatisch authentifiziert werden sollen Unterst tzung f r Entrust aktivieren Wahlen Sie dieses Feld aus wenn Sie die Integration in Entrust Sicherheits softwareprodukte aktivieren m chten e Microsoft Internet Explorer sch tzen Mit diesem Schutz k nnen Sie Ihre E Mail Kommunikation und die Suche
75. rmationen wurden f r Produkte und Services entwickelt die auf dem deutschen Markt angeboten werden M glicherweise bietet IBM die in diesem Dokument beschriebenen Produkte Ser vices oder Funktionen in anderen L ndern nicht an Informationen ber die gegen w rtig im jeweiligen Land verf gbaren Produkte und Services sind beim IBM Ansprechpartner erh ltlich Hinweise auf IBM Lizenzprogramme oder andere IBM Produkte bedeuten nicht dass nur Programme Produkte oder Dienstleistungen von IBM verwendet werden k nnen Anstelle der Produkte Programme oder Dienstleistungen k nnen auch andere ihnen quivalente Produkte Programme oder Dienstleistungen verwendet werden solange diese keine gewerblichen oder andere Schutzrechte von IBM verletzen Die Verantwortung f r den Betrieb von Fremdprodukten Fremdprogrammen und Fremddienstleistungen liegt beim Kun den F r in diesen Dokument beschriebene Erzeugnisse und Verfahren kann es IBM Patente oder IBM Patentanmeldungen geben Mit der Auslieferung dieses Hand buchs ist keine Lizenzierung dieser Patente verbunden Lizenzanfragen sind schriftlich an folgende Adresse zu richten Anfragen an diese Adresse m ssen auf Englisch formuliert werden IBM Europe Director of Licensing 92066 Paris La Defense Cedex France Trotz sorgf ltiger Bearbeitung k nnen technische Ungenauigkeiten oder Druckfeh ler in dieser Ver ffentlichung nicht ausgeschlossen werden Die Angaben in diesem Handbuch werde
76. rschl sselungstext Benutzername ung ltig wobei es sich bei Benutzername um eine Benutzer ID handelt ob der neue Verschl sselungstext sich von den letzten x Verschl sselungstexten unterscheiden muss ja 3 Standardm ig ist z B der Verschl sselungstext mypassword ung ltig wenn einer der drei vorherigen Verschl sselungstexte mypassword war ob der Verschl sselungstext mehr als drei identische aufeinander folgende Zei chen des letzten Kennworts enthalten darf nein Standardm ig ist z B der Verschl sselungstext password ung ltig wenn einer der drei vorherigen Verschl sselungstexte pass oder word war Das Fenster Policy f r UVM Verschl sselungstext des Administratordienst programms erm glicht Sicherheitsadministratoren zudem eine Steuerung des Ablaufs der Verschl sselungstexte ber das Fenster Policy f r UVM Verschl sselungstext kann der Administrator aus den folgenden Regeln f r Verschl sselungstexte ausw hlen e Verschl sselungstext ist nicht mehr g ltig nach ja 184 In diesem Beispiel l uft der Verschl sselungstext standardm ig nach 184 Tagen ab Der neue Verschl sselungstext muss der vorhandenen Policy f r den Verschl sselungstext entsprechen e Verschl sselungstext l uft nie ab Wenn diese Option ausgew hlt ist l uft der Verschl sselungstext nie ab Die Policy f r den Verschl sselungstext wird vom Administratordienstprogramm bei der Registrierung des Benutzers und b
77. selpaar generieren 0 vorhande nes Administratorschl sselpaar verwenden keysplit 1 Wenn newkp 1 wird hiermit die Anzahl der privaten Schl sselkomponenten angegeben Anmerkung Enth lt das vorhandene Schl sselpaar mehrere private Schl sselkomponenten m ssen alle privaten Schl ssel komponenten im selben Verzeichnis gespeichert werden kpl c jgk Speicherposition des Administratorschl sselpaars wenn newkp 1 Falls es sich um ein Netzlaufwerk handelt muss dieses verbunden sein kal c jgk archive Speicherposition des Benutzerschl sselarchivs Falls es sich um ein Netzlaufwerk handelt muss dieses verbunden sein pub c jk admin key Speicherposition des ffentlichen Schliissels fiir Administrato ren falls ein vorhandenes Administratorschliisselpaar verwen det wird Falls es sich um ein Netzlaufwerk handelt muss dieses verbunden sein IBM Client Security Solutions Client Security Version 5 1 Installationshandbuch pri c jk privatel key clean 0 UVMEnrollment enrollall 0 defaultuvmpw top defaultwinpw down enrollusers 2 user Joseph userluvmpw chrome userlwinpw spinning userldomain 0 user2 hallie user2uvmpw left user2winpw right user2domain 0 UVMAppConfig uvmlogon 0 entrust 0 notes 0 passman 0 folderprotect 0 Speicherposition des privaten Schliissels fiir Administratoren falls ein vorhandenes Administratorschl sselpaar verwendet wird Falls es sich um ein Netzlaufwerk handel
78. stenten zu beginnen Die Anzeige Sicherheitsadministratorkennwort angeben erscheint Geben Sie in das Feld Geben Sie das Administratorkennwort ein das Kenn wort des Sicherheitsadministrators ein und klicken Sie auf Weiter Anmerkung Bei der Erstinstallation oder nach dem L schen des Inhalts des integrierten IBM Security Chip m ssen Sie das Kennwort des Sicherheitsadministrators im Feld Best tigen Sie das Administratorkennwort best tigen Gegebenenfalls m ssen Sie auch Ihr Administratorkennwort eingeben Die Anzeige Sicherheitsschl ssel f r Administratoren erstellen erscheint F hren Sie einen der folgenden Schritte aus Neue Sicherheitsschl ssel erstellen Gehen Sie wie folgt vor um neue Sicherheitsschl ssel zu erstellen a Klicken Sie auf den Radioknopf Neue Sicherheitsschl ssel erstellen b Geben Sie die Speicherposition f r die Sicherheitsschl ssel der Adminis tratoren an indem Sie entweder den Pfadnamen in das daf r daf r vor gesehene Feld eingeben oder auf Durchsuchen klicken und den entspre chenden Ordner ausw hlen c Wenn Sie den Sicherheitsschl ssel f r einen erh hten Schutz teilen m chten klicken Sie auf das Markierungsfeld Backup Version des Sicherheitsschl ssels f r erh hte Sicherheit teilen so dass ein Haken in dem Feld angezeigt wird Mit Hilfe der Pfeiltasten k nnen Sie anschlie end im Auswahlfeld Anzahl der Teilungen die gew nschte Anzahl ausw hlen Einen vor
79. t muss dieses verbunden sein 1 ini Datei nach Initialisierung l schen 0 ini Datei nach Initialisierung nicht l schen Abschnitts berschrift f r Benutzerregistrierung 1 Alle lokalen Benutzeraccounts in UVM registrieren 0 Bestimmte Benutzeraccounts in UVM registrieren Wenn enrollall 1 gilt dieser UVM Verschl sselungstext f r alle Benutzer Wenn enrollall 1 wird dieses Windows Kennwort bei UVM fiir alle Benutzer registriert Wenn enrollall 0 wird hiermit die Anzahl der Benutzer angegeben die in UVM registriert werden Anzahl der zu registrierenden Benutzer mit 1 beginnend auf z hlen Die Benutzernamen m ssen die Accountnamen sein Gehen Sie wie folgt vor um unter XP den Accountnamen her auszufinden 1 Rufen Sie das Fenster Computerverwaltung auf 2 Klicken Sie auf den Eintrag Lokale Benutzer und Grup nm pen 3 ffnen Sie den Ordner Benutzer Bei den in der Spalte Name enthaltenen Eintr gen han delt es sich um die Accountnamen Anzahl der zu registrierenden Benutzer mit UVM Verschl sselungstext mit 1 beginnend aufz hlen Anzahl der zu registrierenden Benutzer die bei UVM mit Windows Verschl sselungstext registriert sind mit 1 begin nend aufz hlen 0 Angabe dass es sich hierbei um einen lokalen Account handelt 1 Angabe dass es sich hierbei um einen Dom nenaccount handelt Abschnitts berschrift f r Installation von UVM sensitiven Anwendungen und Modulen 1 UVM An
80. tallation Software Installation einleiten Auf Clients mit Windows XP oder Windows 2000 installieren F r die Verwendung mit Tivoli Access Manager installieren Wichtige Hinweise zu den Funktionen ken Systemstart Informationen zur BIOS Aktualisierung Archivschl sselpaar verwenden Kapitel 4 Software installieren aktuali sieren und deinstallieren Software herunterladen und installieren Konfigurationsassistenten f r die Installation von IBM Client Security verwenden IBM Security Chip aktivieren Software auf anderen IBM Clients installieren wenn der ffentliche Schl ssel f r Administratoren verf g bar ist nur f r nicht berwachte Installationen Nicht berwachte Installation ausf hren Massenimplementierung Masseninstallation Massenkonfiguration Softwareversion von Client Security aktualisieren Upgrade mit neuen Sicherheitsdaten durchf hren Upgrade auf Client Security Version 5 1 mit vor handenen Sicherheitsdaten durchf hren lt vi vi vi Ne A Ach Oo o o A oo 10 1 13 13 14 v ES 18 18 19 19 20 22 22 22 Upgrade von Release 5 1 auf aktuellere Versionen mit vorhandenen Sicherheitsdaten durchf hren 24 Client Security deinstallieren 25 Kapitel 5 Fehlerbehebung 27 Administratorfunktionen 27 Administratorkennwort festlegen ThinkCentre 27 Administratorkennwort festlegen ThinkPad 28
81. ten zu aktualisieren Notieren Sie sich das Archivverzeichnis c Beenden Sie das Benutzerkonfigurationsprogramm von IBM Client Security 2 Gehen Sie wie folgt vor um die vorhandene Version von Client Security zu ent fernen a Suchen Sie die ffentlichen und privaten Schl ssel f r Administratoren die bei der Konfiguration der vorherigen Version von Client Security erstellt wurden b F hren Sie die Datei csec51 exe aus c W hlen Sie die Option Sicherheit aus d F hren Sie einen Neustart des Systems durch 24 IBM Client Security Solutions Client Security Version 5 1 Installationshandbuch Client Security deinstallieren Vor dem Deinstallieren von IBM Client Security miissen die diversen Dienst programme von IBM Client Security deinstalliert werden Zum Deinstallieren von Client Security mtissen Benutzer mit Administratorbenutzerrechten angemeldet sein Anmerkung Vor dem Deinstallieren von IBM Client Security m ssen Sie alle Dienstprogramme von IBM Client Security und die gesamte UVM Sensorsoftware deinstallieren Gehen Sie wie folgt vor um Client Security zu deinstallieren 1 Schlie en Sie alle Windows Programme 2 Klicken Sie auf dem Windows Desktop auf Start gt Einstellungen gt System steuerung Klicken Sie auf das Symbol Software Wahlen Sie in der Liste der Software die automatisch entfernt werden kann den Eintrag IBM Client Security aus Klicken Sie auf ndern Entfernen W hlen Sie
82. tere Infor mationen zum Zuordnen eines Laufwerkbuchstabens zu einer gemeinsam benutz ten Netzwerkressource finden Sie in der Dokumentation zu Ihrem Windows Be triebssystem Nicht berwachte Installation ausf hren Durch eine nicht berwachte Installation kann Client Security von einem Administ rator auf einem fernen IBM Client installiert werden ohne dass der Administrator direkten physischen Zugriff auf den Clientcomputer haben muss Bevor Sie mit einer nicht berwachten Installation beginnen lesen Sie Kapitel 3 Vorbereitung der Software Installation auf Seite 9 Bei nicht berwachten Instal 18 IBM Client Security Solutions Client Security Version 5 1 Installationshandbuch lationen werden keine Fehlernachrichten angezeigt Wenn eine nicht tiberwachte Installation vorzeitig beendet wird f hren Sie eine berwachte Installation aus um alle Fehlernachrichten anzuzeigen Anmerkung Zum Installieren von Client Security m ssen Benutzer mit Administratorbenutzerrechten angemeldet sein Ausf hrliche Informationen zur Durchf hrung einer nicht berwachten Installation enth lt die Readme Datei css5lreadme auf der IBM Website unter http www pec ibm com ww security secdownload html Massenimplementierung Mit Hilfe einer Massenimplementierung k nnen Sicherheitsadministratoren gleich zeitig auf mehreren Computern eine Sicherheits Policy einrichten Auf diese Weise kann die Verwaltung und Implementier
83. tigt haben Wenn Sie neue Benutzer in UVM aufneh men ist die Schaltfl che Weiter m glicher weise nicht mehr verf gbar nachdem Sie Ihren UVM Verschl sselungstext im Administratordienstprogramm eingegeben und best tigt haben Ma nahme Klicken Sie in der Windows Taskleiste auf Informationen und fahren Sie mit dem Vor gang fort Beim Versuch eine lokale UVM Policy zu bearbeiten wird eine Fehlernachricht ange zeigt Ma nahme Beim Bearbeiten der lokalen UVM Policy wird m glicherweise eine Fehlernachricht angezeigt wenn in UVM keine Benutzer registriert sind F gen Sie in UVM einen Benutzer hinzu bevor Sie versuchen die Policy Datei zu bearbeiten Beim ndern des ffentlichen Schl ssels f r Administratoren wird eine Fehler nachricht angezeigt Ma nahme Wenn Sie den Inhalt des integrierten Security Chips l schen und anschlie end das Schl sselarchiv wiederherstellen wird bei der nderung des ffentlichen Schl ssels f r Administratoren m glicherweise eine Fehlernachricht angezeigt F gen Sie in UVM die Benutzer hinzu und fordern Sie ggf neue Zertifikate an Beim Versuch einen UVM Verschl sselungstext wiederherzustellen wird eine Fehlernachricht angezeigt Ma nahme Wenn Sie einen ffentlichen Schl ssel f r Administratoren ndern und anschlie end versuchen einen UVM Verschl sselungstext f r einen Benutzer wiederherzustellen wird m glicherweise ein
84. u finden Sie in der Hilfenachricht des Programms IBM BIOS Setup Utility Das Hauptmen des Programms IBM BIOS Setup Utility wird ge ffnet W hlen Sie Config aus W hlen Sie IBM Security Chip aus W hlen Sie Clear IBM Security Chip aus W hlen Sie Yes aus Dr cken Sie die Eingabetaste um fortzufahren onoun w Dr cken Sie die Taste F10 um die Einstellungen zu speichern und das Pro gramm zu beenden Administratordienstprogramm Der folgende Abschnitt enth lt Informationen die Sie bei der Verwendung des Administratordienstprogramms beachten m ssen Benutzer l schen Wenn Sie einen Benutzer l schen wird der Benutzername in der Benutzerliste des Administratordienstprogramms gel scht 30 IBM Client Security Solutions Client Security Version 5 1 Installationshandbuch Keinen Zugriff auf ausgew hlte Objekte mit der Tivoli Access Manager Steuerung zulassen Das Markierungsfeld Keinen Zugriff auf ausgew hltes Objekt zulassen ist nicht inaktiviert wenn die Tivoli Access Manager Steuerung ausgew hlt wurde Wenn Sie im UVM Policy Editor die Option Access Manager steuert ausgew hltes Objekt ausw hlen um ein Authentifizierungsobjekt ber Tivoli Access Manager zu steuern wird das Markierungsfeld Keinen Zugriff auf ausgew hltes Objekt zulassen nicht inaktiviert Auch wenn das Markierungsfeld Keinen Zugriff auf ausgew hltes Objekt zulassen weiterhin aktiviert ist kann die Tivoli Access Manager Steuerung n
85. uf dem IBM Client und akti viert den integrierten IBM Security Chip Die einzelnen Installationsschritte k nnen in Abh ngigkeit von verschiedenen Faktoren unterschiedlich ausfallen Auf Clients mit Windows XP oder Windows 2000 installieren Die Benutzer von Windows XP und Windows 2000 m ssen sich f r die Installation von Client Security mit Administratorbenutzerberechtigung anmelden F r die Verwendung mit Tivoli Access Manager installieren Wenn Sie Tivoli Access Manager zur Steuerung der Authentifizierungsbestimmun gen f r Ihren Computer verwenden m chten m ssen Sie vor der Installation von Client Security zuerst bestimmte Komponenten von Client Security Manager instal lieren Weitere Informationen hierzu finden Sie im Handbuch Client Security mit Tivoli Access Manager verwenden Wichtige Hinweise zu den Funktionen beim Systemstart Es gibt zwei IBM Funktionen beim Systemstart die die Art und Weise in der Sie das Sicherheits Subsystem integrierter IBM Security Chip aktivieren und Chiffrier schl ssel f r die Hardware erstellen beeinflussen k nnen Bei diesen Funktionen handelt es sich um das Administratorkennwort und die erweiterten Sicherheitsein richtungen Administratorkennwort NetVista Administratorkennw rter verhindern dass nicht autorisierte Personen die Konfigurationseinstellungen eines IBM Computers ndern Diese Kennw rter wer den im Programm Configuration Setup Utility festgelegt Dieses Programm k
86. ufge treten Der Fehler kann m glicherweise durch einen Warmstart behoben werden Schlie en Sie die Fehlernachricht und star ten Sie den Computer erneut Beim ndern des Kennworts f r den Security Chip wird eine Nachricht ber die Inaktivierung des Chips angezeigt Ma nahme Wenn Sie versuchen das Kennwort f r den IBM Security Chip zu ndern und nach der Eingabe des Best tigungskennworts die Ein gabetaste oder die Tabulatortaste zusammen mit der Eingabetaste dr cken wird die Schaltfl che Chip inaktivieren aktiviert und es wird eine Best tigungsnachricht f r das Inaktivieren des Chips angezeigt Gehen Sie wie folgt vor 1 Schlie en Sie das Best tigungsfenster f r die Inaktivierung des Chips 2 Geben Sie zum ndern des Kennworts f r den IBM Security Chip das neue Kennwort ein geben Sie das Best tigungskennwort ein und klicken Sie anschlie end auf Andern Dr cken Sie nachdem Sie das Best tigungs kennwort eingegeben haben nicht die Eingabetaste oder die Tabulatortaste zusammen mit der Eingabetaste IBM Client Security Solutions Client Security Version 5 1 Installationshandbuch Fehlerbehebungsinformationen zum Benutzerkonfigurations programm Die folgenden Informationen zur Fehlerbehebung k nnen hilfreich sein wenn bei der Verwendung des Benutzerkonfigurationsprogramms Fehler auftreten Fehlersymptom M gliche L sung Benutzer mit eingeschr nkter Berechtigun
87. ung von Sicherheits Policies vereinfacht werden und die Implementierung der richtigen Sicherheits Policies kann leichter sichergestellt werden F r die Durchf hrung einer Massenimplementierung m ssen folgende Einheiten treiber installiert sein e SM Buseinheitentreiber LPC Buseinheitentreiber f r TCPA Systeme Eine Massenimplementierung umfasst im Wesentlichen zwei Schritte e Masseninstallation e Massenkonfiguration Masseninstallation Zur gleichzeitigen Installation von IBM Client Security auf einer Vielzahl von Cli ents muss eine nicht berwachte Installation durchgef hrt werden Beim Einleiten einer Massenimplementierung muss der Parameter f r nicht berwachte Installa tion verwendet werden Gehen Sie wie folgt vor um eine Masseninstallation einzuleiten 1 Erstellen Sie die Datei CSS ini Dieser Schritt ist nur erforderlich wenn Sie beabsichtigen eine Massen konfiguration durchzuf hren 2 Extrahieren Sie mit Hilfe von Winzip den Inhalt des CSS Installationspakets mit Ordnernamen 3 Bearbeiten Sie in der Datei setup iss die Eintr ge szIniPath und szDir die f r eine Massenkonfiguration erforderlich sind Der vollst ndige Inhalt dieser Datei ist nachfolgend aufgef hrt Der Parameter szIniPath ist nur erforderlich wenn eine Massenkonfiguration durchgef hrt werden soll 4 Kopieren Sie die Dateien auf das Zielsystem 5 Erstellen Sie die Befehlszeilenanweisung setup s Diese Befehlszeilena
88. urity Chip zum Verschltisseln von Dateien und Speichern von Chiffrierschl sseln verwenden Client Security besteht aus Anwendungen und Komponenten mit denen IBM Kunden die Sicherheit von Clients im lokalen Netz werk im Unternehmen oder im Internet gew hrleisten k nnen Anwendungen und Komponenten von Client Security Wenn Sie Client Security installieren werden die folgenden Softwareanwendungen und komponenten installiert Administratordienstprogramm Das Administratordienstprogramm ist die Schnittstelle ber die ein Administrator den integrierten IBM Security Chip akti viert oder inaktiviert sowie Chiffrierschl ssel und Verschl sselungstexte erstellt archiviert und erneut generiert Dar ber hinaus kann ein Administrator mit die sem Dienstprogramm der Sicherheits Policy die von Client Security bereitgestellt wird Benutzer hinzuf gen User Verification Manager UVM In Client Security werden mit UVM Verschl sselungstexte und andere Elemente verwaltet mit denen System benutzer authentifiziert werden Mit einem Leseger t f r Fingerabdr cke kann UVM z B bei der Anmeldung Benutzer authentifizieren UVM bietet folgende M glichkeiten Schutz durch UVM Client Policy Mit UVM kann ein Administrator die Sicherheits Policy f r Clients festlegen die bestimmt wie auf dem System die Authentifizierung eines Clientbenutzers erfolgt Wenn die Policy festlegt dass Fingerabdr cke f r die Anmeldung erforder lich s
89. ymptom M gliche L sung Beim Versuch eine Administratorfunktion von Client Security aufzurufen wird eine Fehlernachricht angezeigt Ma nahme Nach dem Versuch eine Administrator funktion von Client Security aufzurufen wird eine Fehlernachricht mit folgendem Wortlaut angezeigt FEHLER 0197 Ung l tige ferne nderungsanforderung Dr cken Sie lt F1 gt um Setup aufzurufen Das ThinkPad Administratorkennwort muss inaktiviert sein damit Sie bestimmte Administratorfunktionen von Client Security ausf hren k nnen Gehen Sie wie folgt vor um das Administratorkennwort zu inaktivieren 1 Rufen Sie mit F1 das Programm IBM BIOS Setup Utility auf 2 Geben Sie das aktuelle Administrator kennwort ein 3 Geben Sie ein leeres neues Administratorkennwort ein und best ti gen Sie das leere Kennwort 4 Dr cken Sie die Eingabetaste 5 Dr cken Sie die Taste F10 um die Ein stellungen zu speichern und das Pro gramm zu beenden Ein anderer UVM Sensor f r Fingerabdr cke funktioniert nicht ordnungsgem Ma nahme Der IBM ThinkPad unterst tzt den Wechsel zwischen mehreren UVM Sensoren f r Fin gerabdr cke nicht Wechseln Sie die Modelle der Sensoren f r Fingerabdr cke nicht Verwenden Sie bei der Arbeit von einem fernen Standort aus stets das gleiche Modell wie bei der Arbeit an einer Andockstation Fehlerbehebungsinformationen zu Microsoft Anwendungen und Betriebss
90. ystemen Die folgenden Fehlerbehebungstabellen enthalten Informationen zur Fehler behebung bei der Verwendung von Client Security mit Microsoft Anwendungen oder Betriebssystemen Fehlersymptom M gliche L sung Bildschirmschoner wird nur auf lokaler Anzeige angezeigt Ma nahme Bei Verwendung des erweiterten Windows Desktop wird der Client Security Bildschirmschoner nur auf der lokalen Anzeige angezeigt obwohl der Zugriff auf das System und die Tastatur gesch tzt wird Wenn sensible Informationen angezeigt wer den verkleinern Sie die Fenster auf Ihrem erweiterten Desktop auf Symbolgr e bevor Sie den Client Security Bildschirmschoner aufrufen Windows Media Player Dateien werden verschl sselt statt unter Windows XP wie dergegeben zu werden Ma nahme IBM Client Security Solutions Client Security Version 5 1 Installationshandbuch Fehlersymptom M gliche L sung Wenn Sie unter Windows XP einen Ordner ffnen und auf Alles wiedergeben klicken wird der Dateiinhalt verschl sselt statt vom Windows Media Player wiedergegeben zu werden Gehen Sie wie folgt vor um die Wiedergabe von Dateien mit dem Windows Media Player zu aktivieren 1 Starten Sie den Windows Media Player 2 W hlen Sie alle Dateien im entsprechen den Ordner aus 3 Ziehen Sie die Dateien in den Bereich Wiedergabeliste von Windows Media Player Client Security funktioniert f r einen
Download Pdf Manuals
Related Search