IBM 客户端安全软件 V5.3 |
IBM 客户端安全软件只能在包含 IBM 嵌入式安全子系统的 IBM 计算机中使用。该软件由应用程序和组件组成,这些应用程序和组件使 IBM 客户机能够通过安全硬件芯片而不是通过易受攻击的软件来保护它们的敏感信息。
IBM 客户端安全软件必须安装在客户机上并且必须授权用户使用该软件之后才能保护客户机的用户信息。易于使用的“安装向导”会指导您完成整个安装过程。
警告:必须至少授权一个客户机用户在安装过程中使用 UVM。如果没有授权用户在客户端安全软件初始设置时使用 UVM,则将不应用您的安全设置并且不保护您的信息。
如果您在没有授权任何用户的情况下完成“安装向导”,请关机并且重新启动系统;然后从 Windows“开始”菜单运行“客户端安全安装向导”并且授权一个 Windows 用户使用 UVM。这将使 IBM 客户端安全软件能够应用您的安全设置并且保护您的敏感信息。
支持 National Semiconductor TPM
现在 IBM 客户端安全软件支持安全芯片(或称为可信平台模块,TPM),该安全芯片由 National Semiconductor 制造,已用于 ThinkCentre M51、S51 和 A51p。
ThinkVantage 技术 GINA
IBM ThinkVantage 技术(TVT)GINA 是透明 Windows 登录替换,它改进了与其它 GINA 产品的交互作用,且使多个 ThinkVantage 技术产品(带有它们自己的 GINA)能够共存并与其它 GINA 产品合作。
证书转移向导
IBM 客户端安全证书转移向导指导您逐步完成将与数字证书相关联的私钥从基于软件的 Microsoft 加密服务提供程序(CSP)转移到基于硬件的 IBM 嵌入式安全子系统 CSP 的过程。在转移后,由于私钥将受 IBM 嵌入式安全子系统的保护,所以使用证书的操作将更加安全。
支持 TCG 软件规范(TSS)1.1
现在 IBM 客户端安全软件支持工业标准可靠计算组织的最新软件规范。
对安全证书漫游的增强功能
现在 IBM 客户端安全软件提供更多对在漫游环境中删除与限制用户和系统的控制。
IBM 密码管理器 R1.3
IBM 文件和文件夹加密 R2.01
Microsoft Windows XP Service Pack 2
本警告适用于在 Windows XP 系统上使用 IBM 嵌入式安全子系统的客户:需要进行操作!
本警告适用于在 Windows XP 系统上使用 IBM ESS 的客户,并且仅适用于这些客户。Microsoft Windows XP Service Pack 2(XP SP2)对 Windows 引入一个变更,此变更将阻碍客户端安全软件(IBM 嵌入式安全子系统的软件组件)工作。这将影响除 V5.3 以外的所有客户端安全软件版本。如果正在运行 Windows XP 的系统上使用 IBM ESS 并且想要应用 Windows XP SP2,则“必须”也升级到 CSS 5.3。这是一项免费升级,可从万维网的 http://www.pc.ibm.com/security 下载。
Atmel TPM 设备驱动程序
如果从 IBM 客户端安全软件的以前版本进行升级,则可能需要更新系统的 TPM 设备驱动程序。CSS 安装过程将提示您在继续操作前先升级设备驱动程序。
如果在使用由 Atmel 制造的安全芯片的系统上进行向 CSS R5.3 的升级,则可能会提示您升级设备驱动程序。如果看见该提示,则必须下载并安装最新设备驱动程序(可在 CSS 下载 Web 站点获得)。CSS 安装过程将确保在允许您继续之前安装了正确的 Atmel 设备驱动程序。如果安装的是较旧版本的设备驱动程序,则 CSS 将显示一则消息,提示用户在继续前安装新的设备驱动程序。
升级 CSS 和 Atmel 设备驱动程序的操作如下:
打开 Windows 控制面板。
选择添加/删除程序。
在当前安装的程序列表中选择 Atmel TPM。
单击删除按钮。
单击是将该驱动程序从系统中删除。
安装更新的 Atmel 设备驱动程序。
安装客户端安全软件。
注:不要同时安装 Atmel TPM 设备驱动程序和 National TPM 设备驱动程序。
传送用户证书之后,无线网络连接失败
不输入过长的密码短语而保留密码短语对话框打开可能导致您的无线网络连接失败。如果该情况发生,则在验证 IBM 用户验证管理工具(UVM)之后禁用并重新启用您的无线适配器。
尝试同时右键单击加密可能失败
尝试使用右键单击一次加密多个文件可能导致加密失败。如果第一个文件非常大,则很可能发生该情况。如果该情况发生,则使用右键单击单独加密文件。
指纹或智能卡覆盖受限用户的密码
当管理员使用管理员控制台更新用户指纹或智能卡覆盖密码时,将生成更新文件并将其放置在用户存档目录中。然后最终用户必须将该更新文件从存档复制到系统的正确目录中。这样做的通常方法是在用户配置实用程序中选择从存档复原用户配置。然而,该选项只对在计算机上具有管理员权限的用户可用。受限用户无法获取更新的覆盖密码。受限用户必须让管理员手动将相应文件复制到系统的 Windows 目录中。
漫游限制
使用 CSS 漫游服务器
无论何时有人尝试登录 CSS 漫游服务器时,都将显示 CSS 管理员密码提示。然而,可以在不输入该密码的情况下正常使用计算机。
在漫游环境中使用 IBM 客户端安全密码管理器
在漫游环境中,使用 IBM 客户端安全密码管理器存储在一个系统上的密码可以在其它系统上使用。当用户在漫游网络中登录到其它系统(如果存档可用)时,自动从存档检索新条目。因此,如果用户已登录到一个系统上,则必须先注销并且再次登录才能使任何新条目在漫游网络上可用。
Internet Explorer 证书和漫游刷新延迟
Internet Explorer 证书在存档中每 20 秒刷新一次。当漫游用户生成一个新的 Internet Explorer 证书时,该用户在另一个系统上导入、复原或更改其 CSS 配置之前必须等待至少 20 秒。在 20 秒刷新时间间隔之前尝试这些操作中的任一操作都将导致证书丢失。同样,如果生成证书时用户没有连接到存档,则该用户应该在连接到存档后等待 20 秒以确保证书在存档中更新。
Lotus Notes 密码和安全证书漫游
如果已启用 Lotus Notes 支持,则 UVM 将存储用户的 Lotus Notes 密码。用户登录 Lotus Notes 将不需要输入他们的 Notes 密码。他们将被要求输入自己的 UVM 口令、指纹、智能卡等(根据安全策略设置)以获取对 Lotus Notes 的访问权。
如果用户在 Lotus Notes 中更改他的 Notes 密码,则将用该新密码更新 Lotus Notes 标识文件并且该新 Notes 密码的 UVM 副本也会得到更新。在漫游环境中,用户的 UVM 安全证书将在该用户可以访问的漫游网络的其它系统上可用。如果带有更新密码的 Notes 标识文件在其它系统上不可用,则 Notes 密码的 UVM 副本也可能与漫游网络中其它系统上的标识文件中的 Notes 密码不匹配。如果出现该情况,则用户将无法访问 Lotus Notes。
如果带有更新密码的用户 Notes 标识文件在另一系统上也不可用,则应将更新的 Notes 标识文件复制到漫游网络中的其它系统上以使标识文件中的密码与 UVM 存储的副本匹配。或者,用户也可以从“开始”菜单运行“修改安全设置”并且将 Notes 密码改回原来的值。然后,可以通过 Lotus Notes 再次更新 Notes 密码。
登录漫游环境时安全证书的可用性
当存档位于网络共享时,一旦用户拥有对该存档的访问权,就可以从该存档下载用户安全证书的最新集合。登录时,用户对网络共享还没有访问权,所以系统登录完成后才能下载最新安全证书。例如,如果 UVM 口令已在漫游网络中的其它系统上更改或者新的指纹已在其它系统上注册,则登录过程完成后那些更新才可用。如果更新的用户安全证书不可用,则用户应该尝试使用先前的口令或者其它注册指纹来登录系统。登录完成后,用户的更新安全证书将可用并且将向 UVM 注册新的口令和指纹。
在漫游环境中使用 Netscape
如果在漫游环境中使用 Netscape,则漫游网络中的所有系统必须使用相同版本的 Netscape。安全证书无法在不同版本(例如 4.8 和 7.1)上使用
复原密钥
执行密钥复原操作后,在您可以继续使用客户端安全软件之前,必须重新启动计算机。
本地和域用户名
如果域和本地用户名相同,则您应该对这两个帐户使用相同的 Windows 密码。因为 IBM 用户验证管理工具仅为每个标识存储一个 Windows 密码,所以用户应该对本地和域登录使用相同的密码。否则当他们在本地和域登录之间切换时(已启用 IBM UVM 安全 Windows 登录替换时),将提示他们更新 IBM UVM Windows 密码。
CSS 不提供用同一个帐户名分别登记域和本地用户的能力。如果您尝试用相同的标识登记本地和域用户,则显示以下消息:选择的用户标识已配置。在一个系统上,CSS 不允许分别登记公共域和本地用户标识,这样公共用户标识就有权访问相同的安全证书集(如证书、存储的指纹等)。
重新安装 Targus 指纹软件
如果 Targus 指纹软件被除去并且重新安装,则必须手动添加启用客户端安全软件中的指纹支持所需要的注册表项以启用指纹支持。下载包含所需注册表项的注册表文件(atplugin.reg)并且双击该文件以使注册表项合并到该注册表中。提示时,单击是以确认该操作。必须重新引导系统以使客户端安全软件能够识别更改并启用指纹支持。
注:您必须具有系统管理员权限才能添加这些注册表项。
Targus USB 指纹阅读器
如果更改 Targus USB 指纹阅读器所连接的端口,则 IBM 用户验证管理工具可能在识别用户指纹时遇到问题。如果发生这种情况,则将 USB 阅读器切换回以前连接的端口。
BIOS 超级用户口令
IBM 客户端安全软件 5.3 及更早版本不支持在某些 ThinkPad 系统上可用的 BIOS 超级用户口令功能。如果启用 BIOS 超级用户口令,则对安全芯片的任何启用和禁用都必须从 BIOS Setup 程序来进行。当设置了 BIOS 超级用户密码时,在交互式安装过程中将不会启用 IBM 嵌入式安全子系统。
使用 Netscape 7.x
Netscape 7.x 与 Netscape 4.x 运作情况不同。在启动 Netscape 时不出现口令提示。相反,仅在需要的时候才装入 PKCS#11 模块,所以口令提示仅在执行需要 PKCS#11 模块的操作时出现。
使用软盘进行存档
如果在配置安全软件时指定软盘作为存档位置,则当配置过程将数据写入软盘时将会遇到长时间的延迟。其它某些介质(例如网络共享或 USB 存储钥匙)可能是绝佳的存档位置。
注册智能卡
在用户可以成功地使用智能卡进行验证之前,必须向 UVM 注册该智能卡。如果某智能卡分配给多个用户,则只有最后注册该卡的用户才能使用该卡。所以智能卡应该只注册给一个用户帐户。
使用智能卡验证
如果需要智能卡进行验证,UVM 会显示请求智能卡的对话框。将智能卡插入阅读器后会显示请求智能卡 PIN 的对话框。如果用户输入不正确的 PIN,UVM 将再次请求智能卡。必须取出智能卡并再次插入然后再重新输入 PIN。用户必须不断地取出并再次插入该智能卡,直到输入该智能卡的正确 PIN。
加密后加(+)字符显示在文件夹上
加密文件或文件夹后,Windows“资源管理器”会在文件夹图标之前显示一个额外的加(+)字符。刷新“资源管理器”窗口后该额外字符会消失。
在右键单击加密后的文件计数
当尝试使用右键单击加密功能加密多个文件时,如果被加密文件中的任何文件为禁止的类型,如 DLL、VxD、SYS 等,此操作可能失败。当右键单击操作失败时,显示在错误窗口中的未加密文件数可能不正确。
存档用户安全证书
IBM 客户端安全软件通过频繁地将系统上的信息备份到(在配置安全子系统过程中指定的)存档目录中尝试使存档中的备份信息保持最新。如果该存档目录存储在可移动介质驱动器(如 USB 存储钥匙)或者网络共享上,则存档目录可能不是始终都可用。如果 CSS 无法访问存档目录,则将显示一条消息表明该存档不可用。单击取消将只取消备份某特定文件的尝试,而 CSS 可能正在尝试备份多个文件,这样该消息可能多次出现。为了避免在存档不可用时该消息反复出现,请选中不再显示此消息复选框。该警告消息将不再出现。
Windows XP Home 受限用户限制
Windows XP Home 受限用户无法更新其 UVM 口令、Windows 密码并且无法使用用户配置实用程序更新其密钥存档。
在以下情况中可能出现系统 POST 190 错误:
清除安全芯片并且复原密钥后重新引导系统时
安装新系统板时
要清除 POST 错误,请完成以下过程:
重新启动计算机。
得到提示时按 F1 进入 BIOS Setup Utility。
退出 BIOS Setup Utility。
退出 BIOS Setup Utility 时将清除 POST 错误。
Cisco LEAP(cswgina.dll)
Novell Netware(nwgina.dll)
IBM Rapid Restore Ultra(xpgina.dll, 2kgina.dll)
要完全除去客户端安全软件,只需要从“控制面板”的“添加/删除程序”applet 卸载客户端安全软件 R4.0x。重新启动计算机后,可以通过“安装向导”安装和配置客户端安全软件 R5.3。
要完成以下过程,需要配置 R4.0x 时创建的公钥和私钥。请确保它们可用。
要除去客户端安全软件 R4.0x,但将现有的安全数据用于 R5.3,请完成以下过程:
更新存档信息。
在除去客户端安全 R4.0x 之前,确保存档信息为最新。该操作可以通过完成以下过程来实现:
单击开始 > 程序 > IBM 客户端安全软件 > 客户机实用程序。
单击更新存档按钮。这样就更新了备份信息。请记录存档目录。
退出实用程序。
使用以下过程从计算机除去现有的客户端安全软件:
从“控制面板”使用“添加/删除程序”除去 IBM 客户端安全软件。
提示重新引导时选择“否”。
使用“开始”菜单关闭系统。
使用以下过程清除嵌入式安全芯片:
对系统加电。
在启动过程中按 F1 进入 BIOS Setup Utility。
转至 Security Chip Settings 并清除安全芯片。
退出 BIOS Setup 然后系统将重新引导。
注:可能需要在启动过程中按住 Fan 键。芯片清除过程根据系统的不同而变化。请参阅计算机随附的用户指南。
使用以下过程安装 IBM 客户端安全 R5.3:
运行 R5.3 安装程序。
提示时重新引导。重新引导后将自动启动“客户端安全安装向导”。
请不要运行该“安装向导”。而是单击取消退出。
使用以下过程临时备份缺省安全策略:
使用 Windows 资源管理器转至 IBM 客户端安全软件安装目录(缺省目录为 c:\program files\IBM\security)。
右键单击 UVM_Policy 文件夹并选择复制。
右键单击桌面并选择粘贴。这将在桌面上创建一个临时备份。请注意现有的安全策略将被新的缺省值替换。
使用以下过程从 R4.0 复原设置:
从“控制面板”选择“IBM 嵌入式安全系统”,然后输入芯片密码。
单击密钥配置按钮。
选择是从密钥存档复原密钥。
提供 R4.0 存档目录的位置。
提供配置 R4.0x 时创建的公钥和私钥文件的位置。会通知您将为新的发行版更新您的存档。
单击确定。
提供创建新(R5.3)存档密钥的位置。确保在与现有的 R4.0x 存档密钥位置不同的位置创建密钥。如果您已经具有为另一个系统上的 R5.3 创建的管理员密钥,可以选择使用现有的 CSS 存档密钥对并提供现有密钥的位置。
单击下一步。将转换和复原您的存档。
完成时退出应用程序。
复原策略设置。
使用 Windows 资源管理器转至 IBM 客户端安全软件安装目录(缺省目录为 c:\program files\IBM\security)。
使用鼠标左键,将 UVM_Policy 文件夹从桌面拖到 IBM 客户端安全软件安装目录。
对于所有警告都回答“是”。
现在您的安全数据已经从 R4.0 迁移到了 R5.3。
如果您以前在 R4.0x 中更改了安全策略,则可能要通过从“控制面板”运行“IBM 嵌入式安全子系统”来重新提交安全策略设置。单击配置应用程序支持和策略,然后单击应用程序策略,然后单击编辑策略。