Chapitre 4.
Logiciel IBM Client Security
Le Logiciel IBM Client Security constitue la connexion entre les applications et la puce de sécurité intégrée IBM, ainsi que l’interface pour l’inscription des utilisateurs, la définition de stratégies, et l’exécution de fonctions d’administration de base.
Le Logiciel IBM Client Security est constitué essentiellement des composants suivants : v
Utilitaire d’administration v
Utilitaire de configuration utilisateur v
Console d’administration v
Assistant d’installation v
Gestionnaire UVM (User Verification Manager) v
Cryptographic Service Provider v
Module PKCS #11
Le Logiciel IBM Client Security permet d’exécuter plusieurs fonctions essentielles : v
Inscription d’utilisateurs v Définition de stratégies v
Définition de stratégies de mot de passe composé v
Restauration de mots de passe composés oubliés v
Restauration d’accréditations utilisateur
Par exemple, si l’Utilisateur A se connecte au système d’exploitation, IBM Client
Security en tient compte pour toutes les prises de décision.
(Remarque
:
La stratégie de sécurité dépend du poste et non de l’utilisateur ; elle concerne tous les utilisateurs d’un seul ordinateur.) Si l’Utilisateur A tente d’agir au niveau d’IBM
ESS, IBM Client Security met en oeuvre les stratégies de sécurité telles qu’elles sont définies pour l’Utilisateur A sur cet ordinateur (authentification par mot de passe ou empreinte digitale, par exemple).
Si la personne connectée sous le profil
Utilisateur A ne peut pas fournir le mot de passe composé correct ou l’empreinte digitale requise pour l’authentification, IBM ESS ne l’autorise pas à effectuer l’action demandée.
Inscription d’utilisateurs et gestion des inscriptions
Les utilisateurs IBM ESS sont simplement des utilisateurs Windows inscrits dans l’environnement IBM ESS.
Plusieurs méthodes, décrites plus loin dans ce manuel, sont proposées pour l’inscription des utilisateurs.
La présente section décrit uniquement le processus d’inscription.
Une bonne compréhension de ce processus vous permettra de mieux cerner le fonctionnement d’IBM ESS et à terme de l’adapter à votre environnement.
Le Logiciel Client Security utilise le Gestionnaire UVM (User Verification Manager) pour gérer les mots de passe composés et d’autres éléments pour authentifier les utilisateurs système.
Le logiciel UVM permet d’activer les fonctions suivantes : v
Protection de stratégie client UVM v
Protection de la connexion au système par UVM v
Protection de l’écran de veille du Logiciel Client Security par UVM
© Copyright IBM Corp.
2004
21
A chaque utilisateur de l’environnement IBM ESS est associé au moins un objet de personnalisation utilisé à des fins d’authentification.
Le minimum requis est un mot de passe composé.
Chaque utilisateur défini dans le composant UVM au sein de l’environnement d’IBM ESS (pour l’utilisateur, UVM gère l’authentification et met en oeuvre une stratégie de sécurité) doit disposer d’un mot de passe composé, lequel doit être fourni au moins une fois à chaque démarrage de l’ordinateur.
Les sections qui suivent vous indiquent pourquoi un mot de passe composé est nécessaire, comment le définir et l’utiliser.
Raisons pour lesquelles un mot de passe composé est nécessaire
Un mot de passe composé est en premier lieu nécessaire pour de simples raisons de sécurité.
Disposer d’un composant matériel tel que le Sous-système de sécurité intégré IBM (IBM ESS) représente un énorme avantage car il offre un emplacement sécurisé et autonome pour les accréditations utilisateur.
Néanmoins, la protection assurée par ce type de puce ne sera que de courte durée si le niveau d’authentification requis pour y accéder est très faible.
Imaginons, par exemple, que vous disposiez d’une puce matérielle dédiée à l’exécution de fonctions de sécurité.
Cette puce ne nécessite, pour un appel d’opération, que d’un seul chiffre pour s’authentifier.
Un éventuel pirate informatique n’aurait alors qu’à deviner un chiffre unique (de 0 à 9) pour appeler des opérations à l’aide de vos accréditations.
L’authentification par chiffre unique réduit le niveau de sécurité de la puce dans la mesure où elle n’apporte aucune valeur ajoutée par rapport à une solution logicielle.
Aucune amélioration du niveau de sécurité ne pourra être obtenue si vous n’associez pas une authentification renforcée à la protection matérielle.
L’exigence d’un mot de passe composé par IBM ESS permet ainsi d’authentifier un utilisateur avant qu’il n’exécute des actions au niveau matériel à l’aide d’accréditations utilisateur.
Le mot de passe composé UVM ne peut être récupéré que via la paire de clés administrateur.
Par conséquent, il ne peut pas être extrait d’un système volé.
Définition d’un mot de passe composé
Chaque utilisateur sélectionne un mot de passe composé destiné à protéger leurs accréditations.
La
Chapitre 2, «Fonctionnement de la puce de sécurité intégrée», à la page 3
vous indique qu’une clé privée utilisateur est chiffrée en même temps que la clé publique administrateur.
Un mot de passe composé est également associé à cette clé privée utilisateur.
Il permet d’authentifier l’utilisateur à partir de ses accréditations.
La
indique le mot de passe composé et la clé privée chiffrée à l’aide de la clé publique administrateur.
Figure 17.
L’Utilisateur A doit fournir le mot de passe composé pour pouvoir effectuer les fonctions nécessitant la clé privée Utilisateur A.
Le mot de passe illustré à la
est sélectionné par l’utilisateur sur la base de la stratégie existante, autrement dit, sur les règles mises en oeuvre pour contrôler la création de mot de passe.
Il s’agit entre autres du nombre de caractères et du
22
Logiciel IBM Client Security version 5.30
Guide de déploiement
nombre de jours de validité.
Le mot de passe composé est créé au moment de l’inscription d’un utilisateur dans le gestionnaire UVM.
Ce dernier processus, qui a lieu lors de la mise en oeuvre d’IBM Client Security, est décrit plus loin dans le présent document.
La clé privée de l’Utilisateur A est chiffrée en même temps que la clé publique administrateur, car le déchiffrement de la clé privée n’est possible qu’à l’aide de la clé privée administrateur.
Ainsi, en cas d’oubli du mot de passe composé par un
Utilisateur A, l’administrateur peut redéfinir un nouveau mot de passe composé.
Utilisation d’un mot de passe composé
Le traitement du mot de passe composé utilisateur sur la puce est illustré de la
à la
Un mot de passe composé doit toujours être entré en début et au moins une fois par session.
De plus, l’indication d’un mot de passe composé est obligatoire.
Vous pouvez choisir des unités d’authentification supplémentaires ; cependant, aucune de ces unités ne peut remplacer la saisie initiale obligatoire d’un mot de passe composé utilisateur.
En règle générale, les informations biométriques et autres données d’authentification sont chiffrées à l’aide de la clé publique de l’utilisateur.
Un accès à la clé privée est nécessaire pour le déchiffrage de données de sécurité supplémentaires.
Chapitre 4.
Logiciel IBM Client Security
23
Figure 18.
La clé privée de l’administrateur est déchiffrée dans la puce.
La saisie au moins une fois par session du mot de passe composé est donc obligatoire pour le déchiffrage de ces données supplémentaires.
Les accréditations qui composent le clé privée et le mot de passe composé de l’Utilisateur A et qui sont chiffrées à l’aide de la clé publique de l’administrateur sont transférées dans la puce de sécurité intégrée IBM.
La clé privée de l’administrateur est elle-même déjà déchiffrée dans la puce comme indiqué plus haut.
Les accréditations sont transférées comme illustré à la
24
Logiciel IBM Client Security version 5.30
Guide de déploiement
Figure 19.
La clé privée ainsi que le mot de passe composé de l’Utilisateur A sont disponibles dans la puce.
Les accréditations sont déchiffrées, rendant ainsi disponibles la clé privée ainsi que le mot de passe composé de l’Utilisateur A dans la puce.
Lorsque l’utilisateur connecté, identifié par IBM Client Security comme étant l’Utilisateur A, tente d’utiliser les accréditations de l’Utilisateur A, une boîte de dialogue de saisie du mot de passe composé s’affiche, comme illustré à la
Chapitre 4.
Logiciel IBM Client Security
25
Figure 20.
Lorsque l’utilisateur l’Utilisateur A essaie d’utiliser les accréditations de l’Utilisateur A, une boîte de dialogue de saisie du mot de passe composé s’affiche.
Le mot de passe composé saisi est transféré dans la puce et comparé à la valeur du mot de passe composé déchiffré.
Si les valeurs coïncident, les accréditations de l’Utilisateur A peuvent alors être utilisées pour l’exécution de fonctions (signatures numériques ou déchiffrement d’e-mails, par exemple).
Il est à noter que cette comparaison est effectuée dans l’environnement sécurisée de la puce.
Celle-ci est dotée de fonctions permettant de détecter les échecs répétés de tentatives d’accès.
De plus, le mot de passe composé enregistré de l’Utilisateur A n’est jamais accessible à l’extérieur de la puce.
Par ailleurs, l’inscription des utilisateurs a lieu au cours de l’installation du Logiciel IBM Client Security.
La création du mot de passe composé de l’utilisateur constitue l’une des étapes de ce processus
26
Logiciel IBM Client Security version 5.30
Guide de déploiement
d’inscription.
La procédure de définition de ce caractéristiques ainsi que l’application de règles de mot de passe composé sont décrites plus loin.
La
illustrait la puce de sécurité intégrée IBM ainsi que le
Logiciel IBM Client Security.
La
illustre également l’initialisation entreprise et l’initialisation utilisateur.
L’initialisation entreprise est associée au Sous-système de sécurité intégré, l’initialisation utilisateur étant associée au Logiciel IBM Client Security.
Cette initialisation a été brièvement décrite dans les sections précédentes afin que vous en compreniez le concept général.
Dans les sections ci-après, le processus d’initialisation est décrit de façon plus détaillée.
Initialisation TPM
L’initialisation TPM est un processus qui consiste essentiellement à ajouter des clés matérielles publique et privée ainsi qu’un mot de passe administrateur.
La machine générique qui vous a été livrée par IBM devient ainsi unique pour votre entreprise.
Le tableau ci-après indique les méthodes mises en oeuvre pour l’initialisation des clés publique et privée et des mots de passe administrateur.
Tableau 1.
Méthodes d’initialisation du matériel
Action
Clé matérielle publique/privée
Mot de passe administrateur
Création dans
Non
Oui,
le
sur clients
possible
BIOS
certains compatibles
TCPA.
Vérifier entrée du BIOS.
Création manuelle possible par l’administrateur dans le Logiciel CSS
Oui
Création possible dans un script
Oui
Oui Oui
Le
indique clairement que les clés matérielles privée et publique ne sont pas créées lors de l’installation du logiciel.
Leur création doit être effectuée manuellement dans le logiciel ou à l’aide d’un script.
Le mot de passe administrateur peut être créé dans le BIOS, dans le Logiciel IBM Client Security, ou
à l’aide d’un script.
La puce contrôle les valeurs définies pour les clés matérielles privée et publique ; vous ne pouvez en aucun cas définir ces valeurs.
Une fonction de génération aléatoire de nombre permet de produire des paires de clés publique et privée statistiquement aléatoires.
En revanche, c’est à vous qu’il revient de définir le mot de passe administrateur.
Le mot de passe administrateur est différent car sa valeur doit être définie par l’administrateur.
Plusieurs questions doivent ainsi être posées concernant ce mot de passe : v
Qu’allez-vous définir comme mot de passe ou mots de passe administrateur ?
v
Allez-vous utiliser plusieurs mots de passe pour différents groupes ?
Le cas
échéant, comment allez-vous déterminer le mot de passe à associer à chaque ordinateur ?
v Quel administrateur aura accès au mot de passe ?
Si vous disposez de plusieurs mots de passe pour des groupes d’utilisateurs distincts, quel administrateur aura accès à quels mots de passe ?
v
Les utilisateurs finals auto-administrés auront-ils accès au mot de passe administrateur ?
Chapitre 4.
Logiciel IBM Client Security
27
Pour vous aider à trouver les réponses appropriées aux questions ci-dessus, il est important que vous sachiez ce qu’un mot de passe administrateur permet de faire : v
Accès aux utilitaires de l’administrateur v
Ajout/suppression d’utilisateurs v
Définition des applications/fonctions du Logiciel IBM Client Security pouvant
être utilisées
Les sections ci-après décrivent la relation qui existe entre le fichier de stratégie et la clé privée administrateur.
Il est important de savoir que la clé privée administrateur est nécessaire pour modifier une stratégie.
Le
récapitule les capacités que confère le mot de passe administrateur et/ou la clé privée administrateur.
Tableau 2.
Actions administrateur nécessitant un mot de passe et une clé privée
Action Mot de passe administrateur Clé privée administrateur
Accès aux utilitaires de l’administrateur
Ajout/Retrait/Restauration d’utilisateurs
Définition des applications/fonctions CSS pouvant être utilisées
Définition/modification de stratégies
Création d’un fichier permettant de réinitialiser le mot de passe composé d’un utilisateur
Oui
Oui
Oui
Oui
Oui
Non
Non
Non
Oui
Oui
Le processus d’initialisation TPM fait également référence à la clé publique et privée administrateur.
Le tableau ci-dessus indique les capacités associées à cette clé.
La définition des clés publique et privée de l’administrateur constitue donc une
étape importante.
Cette paire de clés peut en effet être unique pour chaque ordinateur ou identique pour toutes les machines.
L’administrateur a le choix entre utiliser une paire de clés existante ou créer une nouvelle paire de clés pour le client lors de l’initialisation du Logiciel IBM Client Security.
Encore une fois, la configuration la mieux adaptée à votre entreprise doit être déterminée par un modèle d’utilisation.
Méthodes éprouvées
Les grandes entreprises peuvent utiliser une clé unique pour chaque machine ou une clé unique pour chaque service.
Vous pouvez, par exemple, définir un mot de passe administrateur et/ou une clé privée administrateur pour tous les ordinateurs utilisés au sein du service des ressources humaines, un autre pour le service informatique, etc.
Vous pouvez également utiliser un processus de différenciation de type physique, comme l’emplacement d’un immeuble ou d’un site.
Il devient ensuite facile de déterminer la clé privée administrateur à utiliser lors de la création d’un fichier de réinitialisation de mot de passe en fonction de l’utilisateur qui demande cette réinitialisation.
Comme l’indiquent le
et le
une initialisation utilisateur et entreprise, ou matérielle, doit
également avoir lieu.
28
Logiciel IBM Client Security version 5.30
Guide de déploiement
Définition de la stratégie de sécurité avant le déploiement de
CSS
Chaque entité de votre entreprise concernée par le déploiement de CSS a des exigences en matière de sécurité et d’authentification.
Bien que les utilisateurs possédant un droit d’accès administrateur puissent modifier la stratégie de sécurité et forcer la transmission de ces modifications sur les ordinateurs client (voir
une configuration des paramètres de stratégie de sécurité préalable au déploiement permettra d’obtenir de meilleurs résultats.
Pour de plus amples informations sur la définition de la stratégie, reportez-vous à la section relative à la gestion de la stratégie UVM du manuel
Logiciel Client Security -
Guide
d’administration.
Préparation en prévision des oublis de mots de passe composés ou des dysfonctionnements des unités d’authentification
Il est inévitable que certains utilisateurs oublient leur mot de passe composé et il peut arriver que les unités d’authentification, telles que les unités biométriques d’enregistrement d’empreinte ou les cartes à puce, ne fonctionnent pas correctement.
Oubli du mot de passe composé :
Le mot de passe composé de l’utilisateur n’est pas stocké sur le disque dur client ou dans la puce de sécurité intégrée sous une forme lisible par un être humain.
Il est conservé en sécurité dans la mémoire de l’utilisateur et dans l’archive protégée par la paire de clés administrateur.
L’administrateur devra déchiffrer les informations utilisateur contenues dans l’archive à l’aide de sa clé privée administrateur.
Il pourra ensuite fournir le mot de passe composé déchiffré à l’utilisateur.
Lorsque l’utilisateur modifie son mot de passe composé, la nouvelle information est archivée dans l’emplacement d’archive spécifié.
Au cas où l’unité d’authentification présenterait des dysfonctionnements, vous pouvez configurer le logiciel IBM Client Security afin qu’il affiche un bouton de contournement
Cliquez ici pour continuer
.
Si l’utilisateur clique sur ce bouton, il lui suffit pour pouvoir poursuivre de saisir le mot de passe composé correct.
L’utilisateur peut ensuite exécuter des tâches sécurisées.
Pour configurer CSS afin que ce bouton de contournement soit affiché, procédez comme suit :
1.
Dans le fichier CSEC.INI
(situé dans le répertoire racine), localisez l’entrée
AllowBypass= 0
.
Si cette entrée est définie par la valeur par défaut
0
, CSS masque le bouton de contournement.
2.
Donnez la valeur 1 à
AllowBypass
.
Le bouton de contournement s’affichera lorsqu’une fenêtre CSS demandera à un utilisateur, outre de fournir le mot de passe composé, de s’authentifier.
3.
Enregistrez le fichier CSEC.INI.
Remarques :
1.
Pour que cette information puisse être archivée, il est essentiel que l’emplacement d’archive soit indiqué dans le fichier CSEC.INI
kal=c:\jgk\archive
.
En outre, si c:\jgk\archive est une unité réseau, cette unité doit être mappée sur l’ordinateur client pour que le mot de passe composé puisse être archivé.
Chapitre 4.
Logiciel IBM Client Security
29
2.
Si vous ne spécifiez pas d’emplacement d’archive ou que l’emplacement n’est pas mappé sur l’ordinateur client, les mots de passe composés ne peuvent pas
être récupérés.
Initialisation utilisateur
Avec IBM ESS, plusieurs utilisateurs peuvent effectuer simultanément des transactions indépendantes et sécurisées sur un seul ordinateur.
Ces utilisateurs doivent utiliser un mot de passe composé ainsi que d’autres méthodes d’authentification (empreintes digitales ou cartes à puce, par exemple).
Il s’agit de l’autorisation multi-facteur.
Le processus d’initialisation utilisateur constitue une
étape essentielle lors de la configuration d’ordinateurs client destinés à utiliser IBM
ESS.
Il se compose de deux parties :
1.
Inscription
2.
Personnalisation
Inscription
L’inscription consiste simplement à ajouter, ou à enregistrer, un utilisateur dans
IBM Client Security.
La
illustre la fonction du gestionnaire UVM (User
Verification Manger) dans le Logiciel IBM Client Security.
UVM contrôle les accréditations de chaque utilisateur et applique les stratégies.
Un fichier de stratégie, tel que celui représenté dans la
contient les
Figure 21.
Le gestionnaire UVM (User Verification Manager) contrôle les accréditations de chaque utilisateur et applique les stratégies.
procédures d’authentification requises pour chacun des utilisateurs gérés par UVM.
Les utilisateurs UVM sont simplement des utilisateurs Windows (local ou domaine).
UVM gère ainsi les accréditations des utilisateurs effectivement connectés sur l’ordinateur et au système d’exploitation.
Par exemple, si l’Utilisateur
A ouvre une session Windows et que cet Utilisateur A fait également partie d’UVM, ce dernier appliquera la stratégie associée à cet utilisateur lorsque celui-ci tentera d’effectuer des opérations qui nécessitent des accréditations.
Dans un autre exemple, l’Utilisateur se connecte à l’ordinateur.
Cet Utilisateur A lance ensuite
30
Logiciel IBM Client Security version 5.30
Guide de déploiement
l’application Microsoft Outlook et envoie un courrier électronique avec une signature numérique.
La clé privée utilisée pour l’envoi de ce courrier électronique avec signature numérique est protégée dans le Sous-système de sécurité intégré
IBM.
Avant que la gestionnaire UVM n’autorise l’exécution de cette opération, il applique la stratégie définie dans le fichier de stratégie associé à l’utilisateur.
Dans cet exemple, une authentification par mot de passe composé est requise pour que l’opération puisse être exécutée.
UVM invite donc l’utilisateur à entrer le mot de passe composé requis et si le processus de vérification aboutit, l’opération nécessitant l’utilisation de la clé privée peut alors être exécutée dans la puce.
Initialisation personnelle
Le processus d’initialisation personnelle consiste simplement à définir un mot de passe composé UVM personnel d’un individu.
Différentes personnes peuvent intervenir au cours des différentes étapes du processus.
Le mot de passe composé
UVM personnel d’un individu ne doit être connu que de lui.
Néanmoins, si chaque individu ne participe pas au processus d’initialisation, cet individu devra peut-être effectuer une opération supplémentaire.
Vous pouvez également configurer UVM pour qu’il force l’utilisateur à modifier le mot de passe composé à la première connexion.
Supposons que l’Utilisateur A soit initialisé par l’administrateur informatique.
Cet administrateur sélectionne l’Utilisateur A à partir d’une liste d’utilisateurs
Windows (au sein d’un domaine, par exemple).
UVM lui demande ensuite le mot de passe composé UVM à associer a l’Utilisateur A.
L’administrateur entre alors une
″valeur par défaut
″ correspondant à un
″mot de passe composé administrateur
″.
A des fins de sécurité du système, l’Utilisateur A qui reçoit le système doit personnaliser ce mot de passe composé afin que personne d’autre que lui ne puisse effectuer des transactions sécurisées à l’aide du mot de passe composé par défaut.
Tableau 3.
Méthodes d’initialisation utilisateur
Méthode
Manuelle
Fichier de configuration administrateur
*.ini
Processus Conditions
L’administrateur peut personnaliser manuellement
CSS pour l’utilisateur à l’aide de l’utilitaire d’administration.
La présence de l’administrateur est requise lors de la configuration sur chaque ordinateur.
L’administrateur peut créer un fichier de configuration qui contient une version chiffrée du mot de passe administrateur.
Ce fichier est envoyé à l’utilisateur, lequel peut alors s’inscrire individuellement sans l’intervention ou la présence de l’administrateur.
L’utilisateur effectue configuration.
la
L’administrateur crée un script qui exécute le fichier
.ini
et insère un mot de passe par défaut ou personnalisé.
La présence de l’administrateur ou de l’utilisateur est facultative.
Chapitre 4.
Logiciel IBM Client Security
31
Scénarios de déploiement
Vous déployez 1000 clients pour 1000 utilisateurs finals.
L’un des scénarios décrits ci-après correspond peut-être à la méthode de déploiement que vous envisagez de mettre en oeuvre : v
Vous savez exactement quelle machine doit être affectée à quel utilisateur final.
Par exemple, vous savez que la machine 1 est destinée à Bob et vous l’enregistrez.
Bob doit ensuite personnaliser (définir son mot de passe composé personnel) son ordinateur à réception.
Nicolas reçoit l’ordinateur, lance le
Logiciel IBM Client Security, puis définit son mot de passe composé.
v Vous ne savez pas quelle machine doit être affectée à quel utilisateur final.
Vous prenez le client 1 et le livrez à un utilisateur final X.
En raison de ces deux facteurs variables, le déploiement d’IBM ESS va être un peu différent de celui d’une application classique.
Il existe néanmoins plusieurs options qui offrent suffisamment de souplesse pour le déploiement d’IBM ESS.
Voici un exemple classique de schéma de livraison de PC dans une entreprise :
Figure 22.
Schéma de livraison classique de PC
Six scénarios de déploiement
Vous disposez de six méthodes de déploiement pour le Logiciel IBM Client
Security :
1.
Composant ajouté
—Le code du Logiciel IBM Client Security ne fait pas partie de l’image de disque.
Il est installé, initialisé et personnalisé une fois les ordinateurs déployés.
2.
Composant de l’image
—Le code du Logiciel IBM Client Security fait partie de l’image de disque mais il n’est pas installé.
Aucune personnalisation, entreprise ou utilisateur, n’a encore été initiée.
(Voir
32
Logiciel IBM Client Security version 5.30
Guide de déploiement
3.
Installation simple
—Le code du Logiciel IBM Client Security est installé et a
été personnalisé pour l’entreprise de l’utilisateur final.
(Voir
4.
Personnalisation partielle
—Le code du Logiciel IBM Client Security est installé et une personnalisation entreprise uniquement a été effectuée.
Aucune personnalisation utilisateur final n’a été initiée.
(Voir
5.
Personnalisation temporaire
—Le code du Logiciel IBM Client Security est installé et une personnalisation, entreprise et utilisateur, a été effectuée.
L’utilisateur doit réinitialiser son mot de passe composé et, si nécessaire, fournir des données d’authentification supplémentaires, telles que l’association des données scannérisées de ses empreintes digitales ou de sa carte à puce.
(Voir
6.
Personnalisation intégrale
—Le code du Logiciel IBM Client Security est installé et une personnalisation, entreprise et utilisateur, a été effectuée.
L’administrateur définit le mot de passe composé de l’utilisateur.
Si des données d’authentification par empreintes digitales ou autres sont requises, l’utilisateur doit procéder à une personnalisation.
(Voir
Chapitre 4.
Logiciel IBM Client Security
33
Figure 23.
Le code du Logiciel IBM Client Security fait partie de l’image de disque mais il n’est pas installé.
34
Logiciel IBM Client Security version 5.30
Guide de déploiement
Figure 24.
Le code du Logiciel IBM Client Security est installé, mais aucune personnalisation, entreprise ou utilisateur, n’a encore été effectuée.
Chapitre 4.
Logiciel IBM Client Security
35
Figure 25.
Le code du Logiciel IBM Client Security est installé et une personnalisation, entreprise et utilisateur, a été effectuée.
Dans le scénario 1, le Logiciel IBM Client Security est déployé une fois l’image de disque installée sur l’ordinateur.
Le Logiciel IBM Client Security est installé et configuré et la puce de sécurité intégrée est configurée une fois l’image de disque installée.
Les scénarios 2 à 6 correspondent aux différentes options de déploiement et de configuration des logiciels et de configuration de puce.
Vous pouvez choisir le scénario et la méthode d’installation les mieux adaptés à votre entreprise en fonction de ses contraintes et de son environnement.
Pour plus de détails sur les méthodes d’installation, reportez-vous à la section
″Installation et initialisation
″.
36
Logiciel IBM Client Security version 5.30
Guide de déploiement
Installation et initialisation
L’installation du Logiciel IBM Client Security peut être scindée en deux processus : installation et initialisation.
Le processus d’installation est similaire à celui d’un logiciel classique.
Vous avez le choix entre deux méthodes d’installation :
1.
Le Logiciel Client Security est ajouté sur des ordinateurs déployés.
(Voir le scénario
2.
Le Logiciel Client Security fait partie de l’image de base.
(Voir les scénarios
à
Installation
Dans la méthode 1, le Logiciel IBM Client Security est ajouté dans une image qui est installée sur chaque ordinateur par des programmes tel que ImageUltra Builder d’IBM.
Dans la méthode 2, le Logiciel IBM Client Security est ajouté sur le PC d’un utilisateur final une fois l’ordinateur déployé à partir de l’image de base.
La méthode 2 peut être appliquée de deux façons :
1.
Par l’utilisateur
—L’utilisateur lance et mène à terme l’installation, en cliquant sur les boîtes de dialogue et en entrant toutes les données requises.
2.
Installation automatique
—Le processus d’installation peut être démarré à distance et mené à terme sans intervention de l’utilisateur.
Initialisation
Il existe deux modes d’initialisation :
1.
Initialisation de masse
2.
Initialisation individuelle
Avec l’option d’initialisation de masse, il est nécessaire d’utiliser un fichier CSS.ini.
Ce fichier contient les paramètres d’options telles que l’inscription de tous les utilisateurs sur un système et l’affectation à ces derniers d’un mot de passe composé prédéfini.
Dans le cadre de l’initialisation individuelle, l’utilisateur final reçoit un fichier qui lance une auto-inscription et lui permet de définir ses mots de passe.
Ajout du Logiciel IBM Client Security sur des ordinateurs déployés dotés de la puce de sécurité
L’administrateur peut déployer le Logiciel IBM Client Security (à partir de l’image de base) uniquement (sans personnalisation ou configuration), puis le configurer sur les clients.
L’administrateur peut également déployer en masse le Logiciel IBM
Client Security, puis lancer une configuration en masse automatique.
Dans tous les cas, les logiciels doivent d’abord être installés puis configurés.
Installation du Logiciel IBM Client Security :
Pour ajouter le Logiciel IBM Client
Security dans l’image de base, il est nécessaire d’inclure les composants suivants :
1.
Pilotes : LPC (pour les systèmes TCPA) et SMBus
Remarques :
a.
Bien que SMBus possède un code pour l’installation automatique, ce pilote n’a pas encore bénéficié de la signature Microsoft et quelqu’un doit donc
être présent durant son installation.
Cette limite est en cours de résolution.
b.
Si vous créez une image du système donateur Sysprep pour le déploiement, l’installation de ce pilote ne devra être effectuée sous surveillance que durant la création de l’image du système donateur.
Chapitre 4.
Logiciel IBM Client Security
37
c.
Si vous utilisez IBM ImageUltra Builder, vous devez préparer une image transférable Sysprep.
SMBus doit faire partie de l’image de base.
Si vous ne souhaitez pas que SMBus fasse partie de l’image de base sur tous les ordinateurs, vous devrez créer deux images de base.
2.
Code du Logiciel IBM Client Security
3.
Mot de passe et clé privée administrateur définis
4.
Applets du Logiciel IBM Client Security (Chiffrement des fichiers et des dossiers et Password Manager, si le fichier de stratégie indique qu’ils doivent
être installés) Voir le manuel
Logiciel IBM Client Security Guide d’installation
pour plus de détails concernant l’installation automatique de ces applets.
Après que les trois composant sus-cités ont été ajoutés sur le système donateur, le composant matériel du Sous-système de sécurité intégré, c’est-à-dire la puce de sécurité, doit être initialisé.
Pour lancer une installation de masse, procédez comme suit :
1.
Créez le fichier CSEC.INI.
Pour ce faire, vous pouvez lancer l’assistant Client
Security : CSECWIZ.EXE
dans le répertoire Security.
A l’issue de l’assistant, cochez la case en regard de l’option
Sauvegardez les paramètres mais ne configurez pas le sous-système.
(Les paramètres vont être sauvegardés dans c:\\csec.ini)
2.
Procédez à l’extraction du contenu du kit d’installation du Logiciel IBM Client
Security (csecxxxxx_00xx.exe) à l’aide de Winzip et des noms de dossier.
3.
Dans le fichier SETUP.ISS, modifiez les entrées szIniPath et szDir, qui sont requises pour une configuration de masse.
Le paramètre szIniPath est requis pour une configuration de masse.
(Voir l’intégralité du fichier SETUP.ISS
ci-après.)
4.
Copiez les fichiers sur le système cible.
5.
Créez l’instruction de ligne de commande \setup -s.
Exécutez cette instruction de ligne de commande à partir du bureau d’un utilisateur disposant des droits d’administrateur.
Le groupe de programmes de démarrage ou le dossier
Exécuter sont des emplacements adéquats pour ce faire.
6.
Supprimez l’instruction de ligne de commande à l’amorçage suivant.
Le contenu intégral du fichier setup.iss
est reproduit ci-après accompagné de quelques descriptions :
[InstallShield Silent] Version=v6.00.000
File=Response File szIniPath=d:\csec.ini
(Le paramètre ci-dessus a pour valeur le chemin et le nom du fichier .ini
qui est requis pour la configuration de masse.
Si ce fichier se trouve sur une unité réseau, un identificateur doit être affecté à celle-ci.
Si vous effectuez une installation automatique qui ne fait pas partie d’une configuration de masse, supprimez cette entrée.
Si vous souhaitez installer le Logiciel IBM Client Security uniquement, supprimez szIniPath=d:\csec.ini
dans la ligne de code ci-dessus.
Si vous souhaitez procédez à une installation et une configuration, conservez cette instruction et vérifiez le chemin.)
[FileTransfer] OverwrittenReadOnly=NoToAll [{7BD2CFF6-B037-47D6-A76BD941EE13AD96}-
DlgOrder] Dlg0={7BD2CFF6-B037-47D6-A76B-D941EE13AD96}-
SdLicense-0 Count=4 Dlg1={7BD2CFF6-B037-47D6-A76B-D941EE13AD96}-
SdAskDestPath-0 Dlg2={7BD2CFF6-B037-47D6-A76B-D941EE13AD96}-
SdSelectFolder-0 Dlg3={7BD2CFF6-B037-47D6-A76B-D941EE13AD96}-
SdFinishReboot-0 [{7BD2CFF6-B037-47D6-A76B-D941EE13AD96}-SdLicense-0]
Result=1 [{7BD2CFF6-B037-47D6-A76B-D941EE13AD96}-SdAskDestPath-0] szDir=C:\Program Files\IBM\Security
(Le paramètre ci-dessus a pour valeur le répertoire utilisé pour l’installation de Client
Security.
Il doit s’agir d’un répertoire local sur l’ordinateur.
38
Logiciel IBM Client Security version 5.30
Guide de déploiement
Result=1
[{7BD2CFF6-B037-47D6-A76B-D941EE13AD96}-SdSelectFolder-0] szFolder=IBM Client Security Software
(Le paramètre ci-dessus a pour valeur le groupe de programmes de Client Security.)
Result=1
[Application]
Name=Client Security
Version=5.00.002f
Company=IBM
Lang=0009
[{7BD2CFF6-B037-47D6-A76B-D941EE13AD96}-SdFinishReboot-0]
Result=6
BootOption=3
Configuration :
Le fichier suivant est également essentiel lors du lancement d’une configuration de masse.
Ce fichier peut porter n’importe quel nom, pourvu qu’il ait l’extension .ini.
La liste ci-après contient les paramètres et des explications concernant ces paramètres figurant dans le fichier .ini
que vous devez créer.
Avant d’ouvrir et de modifier le fichier CSEC.INI, vous devez d’abord le déchiffrer, à l’aide de la commande CONSOLE.EXE
qui figure dans le dossier Security.
La commande suivante permet d’exécuter le fichier .ini
à partir de la ligne de commande lorsque la configuration de masse n’est pas effectuée conjointement à une installation de masse :
<dossier d’installation de CSS>\acamucli /ccf:c:\csec.ini
Tableau 4.
Paramètres de configuration Client Security
[CSSSetup] suppw=bootup hwpw=11111111 newkp=1 keysplit=1 kpl=c:\jgk kal=c:\jgk\archive pub=c:\jk\admin.key
pri=c:\jk\private1.key
En-tête de section pour la configuration de CSS.
Mot de passe administrateur/superviseur BIOS.
N’indiquez aucune valeur si aucun mot de passe n’est requis.
Mot de passe matériel CSS.
Il doit comporter huit caractères et est toujours requis.
Vous devez indiquer la valeur correcte si le mot de passe matériel a déjà été défini.
1 pour générer une nouvelle paire de clés administrateur
0 pour utiliser une paire de clés administrateur existante.
Lorsque le paramètre newkp a pour valeur 1, ce paramètre détermine le nombre de composants de clé privée.
Remarque :
Si la paire de clés existante utilise plusieurs
éléments de clé privée, tous les éléments de clé privée doivent être stockés dans le même répertoire.
Emplacement de la paire de clés d’administrateur lorsque le paramètre newkp a pour valeur 1.
S’il s’agit d’une unité réseau, un identificateur doit lui être affecté.
Emplacement de l’archive de clés utilisateur.
S’il s’agit d’une unité réseau, un identificateur doit lui être affecté.
Emplacement de la clé publique d’administrateur lorsque vous utilisez une paire de clés d’administrateur existante.
S’il s’agit d’une unité réseau, un identificateur doit lui être affecté.
Emplacement de la clé privée d’administrateur lorsque vous utilisez une paire de clés d’administrateur existante.
S’il s’agit d’une unité réseau, un identificateur doit lui être affecté.
Chapitre 4.
Logiciel IBM Client Security
39
Tableau 4.
Paramètres de configuration Client Security (suite)
wiz=0 clean=0 enableroaming=1 username=
[promptcurrent] sysregpwd=12345678
[UVMEnrollment] enrollall=0 defaultuvmpw=top defaultwinpw=down defaultppchange=0 defaultppexppolicy=1
Détermine si ce fichier a été généré par l’assistant de configuration CSS.
Cette entrée n’est pas nécessaire.
Si vous l’incluez dans ce fichier, elle doit avoir la valeur 0.
Indiquez la valeur 1 pour supprimer le fichier .ini
après l’initialisation, ou la valeur 0 pour conserver le fichier .ini
après l’initialisation.
Indiquez la valeur 1 pour activer l’itinérance pour le client, ou la valeur 0 pour la désactiver.
Indiquez [promptcurrent] pour inviter l’utilisateur en cours à entrer le mot de passe d’inscription système.
Indiquez [current] si le mot de passe d’inscription système pour l’utilisateur en cours est fourni par l’entrée sysregpwd et que cet utilisateur est autorisé à enregistrer le système auprès du serveur itinérant.
Indiquez [<specific user account>] si l’utilisateur désigné est autorisé à enregistrer le système auprès du serveur itinérant et si le mot de passe d’inscription système de cet utilisateur est fourni par l’entrée sysregpwd.
N’utilisez pas cette entrée si la valeur enableroaming est définie par 0, ou si l’entrée enableroaming est absente.
Mot de passe enregistrement système.
Indiquez le mot de passe approprié pour cette valeur afin de permettre l’enregistrement du système auprès du serveur itinérant.
N’utilisez pas cette entrée si la valeur username est définie par [promptcurrent], ou si l’entrée username est absente.
En-tête de section pour l’inscription des utilisateurs.
Indiquez la valeur 1 pour enregistrer tous les comptes utilisateur locaux dans UVM, ou la valeur 0 pour enregistrer des comptes utilisateur spécifiques dans UVM.
Lorsque le paramètre enrollall a pour valeur 1, cette valeur est le mot de passe composé UVM de tous les utilisateurs.
Lorsque le paramètre enrollall a pour valeur 1, cette valeur est le mot de passe Windows enregistré dans UVM pour tous les utilisateurs.
Lorsque le paramètre enrollall a pour valeur 1, cette valeur permet d’établir la stratégie de modification des mots de passe composé UVM pour tous les utilisateurs.
Indiquez la valeur 1 pour que l’utilisateur soit obligé de modifier le mot de passe composé UVM à la connexion suivante, ou la valeur 0 dans le cas contraire.
Lorsque le paramètre enrollall a pour valeur 1, cette valeur permet d’établir la stratégie de péremption des mots de passe composé UVM pour tous les utilisateurs.
Indiquez la valeur 0 pour spécifier que le mot de passe composé UVM arrive à expiration, ou la valeur 1 dans le cas contraire.
40
Logiciel IBM Client Security version 5.30
Guide de déploiement
Tableau 4.
Paramètres de configuration Client Security (suite)
defaultppexpdays=0 enrollusers=x, où x est le nombre total d’utilisateurs que vous allez l’ordinateur.
user1=jknox user1domain=0 inscrire user1uvmpw=chrome user1winpw=spinning user1ppchange=0 sur
Lorsque le paramètre enrollall a pour valeur 1, cette valeur permet d’établir le nombre de jours avant expiration du mot de passe composé UVM pour tous les utilisateurs.
Lorsque le paramètre ppexppolicy a pour valeur 0, cette valeur permet d’établir le nombre de jours avant expiration du mot de passe composé UVM.
La valeur de cette instruction indique le nombre total d’utilisateurs que vous allez inscrire.
Lorsque le paramètre enrollall a pour valeur 0, cette valeur indique le nombre d’utilisateurs qui seront inscrits dans
UVM.
Fournit les informations concernant chaque utilisateur à inscrire, en commençant par l’utilisateur 1.
(Il n’y a pas d’utilisateur 0.) Les noms d’utilisateur doivent correspondre à des noms de compte.
Pour obtenir le nom de compte réel sous Windows XP, procédez comme suit :
1.
Lancez la Gestion de l’ordinateur (Gestionnaire de périphériques).
2.
Développez le noeud Utilisateurs et groupes locaux.
3.
Ouvrez le dossier Utilisateurs.
Les éléments répertoriés dans la colonne Nom sont les noms de compte.
Indiquez le mot de passe composé UVM pour l’utilisateur 1
UVM.
Indiquez le mot de passe composé Windows pour l’utilisateur
1 à inscrire dans UVM.
Indiquez si le compte de l’utilisateur 1 est locale ou sur le domaine.
Indiquez la valeur 0 pour indiquer que ce compte est local, ou la valeur 1 pour indiquer que ce compte se trouve sur le domaine.
Indiquez si l’utilisateur 1 va devoir modifier le mot de passe composé UVM à la connexion suivante,
Indiquez la valeur 1 pour que l’utilisateur soit obligé de modifier le mot de passe composé UVM à la connexion suivante, ou la valeur 0 dans le cas contraire.
user1ppexppolicy=1 user1ppexpdays=0
Indiquez si le mot de passe composé UVM de l’utilisateur 1 expire.
Indiquez la valeur 0 pour spécifier que le mot de passe composé UVM arrive à expiration, ou la valeur 1 dans le cas contraire.
Lorsque le paramètre user1ppexppolicy=0, cette valeur permet d’indiquer le nombre de jours avant expiration du mot de passe composé UVM.
Pour chaque utilisateur, fournissez un jeu complet de paramètres de configuration dans l’ordre indiqué dans la partie grisée du tableau.
Fournissez d’abord tous les paramètres d’un utilisateur, puis du suivant, etc.
Si, par exemple, le paramètre enrollusers a pour valeur 2, vous devrez ajouter le groupe de paramètres de configuration ci-après.
user2=chrome user2uvmpw=left user2winpw=right
Chapitre 4.
Logiciel IBM Client Security
41
Tableau 4.
Paramètres de configuration Client Security (suite)
user2domain=0 user2ppchange=1 user2ppexppolicy=0 user2ppexpdays=90
[UVMAppConfig] uvmlogon=0 entrust=0 notes=1 netscape=0 passman=0 folderprotect=0
En-tête de section pour la configuration des modules et des applications compatibles avec UVM.
Indiquez la valeur 1 pour utiliser la protection à la connexion
UVM, ou la valeur 0 pour utiliser la connexion Windows.
Indiquez la valeur 1 pour utiliser UVM pour l’authentification Entrust, ou la valeur 0 pour utiliser l’authentification Entrust
Indiquez la valeur 1 pour utiliser la protection UVM pour
Lotus Notes, ou la valeur 0 pour utiliser la protection par mot de passe
Lotus Notes.
Indiquez la valeur 1 pour signer et chiffrer les courriers
électroniques à l’aide du module IBM PKCS #11, ou la valeur 0 dans le cas contraire.
Indiquez la valeur 1 pour utiliser Password Manager, ou la valeur 0 dans le cas contraire.
Indiquez la valeur 1 pour utiliser le support de chiffrement des fichiers et des dossiers, ou la valeur 0 dans le cas contraire.
Remarques :
1.
Si des chemins ou des fichiers se trouvent sur une unité réseau, un identificateur doit être affecté à cette unité.
2.
Le fichier INI prend en charge l’ajout de nouveaux utilisateurs après la configuration du sous-système, ce qui peut être utile pour l’inscription d’utilisateurs.
Exécutez un fichier INI comme décrit précédemment, sans inclure les valeurs
″pub=″ et
″pri=″.
Le code considère l’inscription d’utilisateurs uniquement et ne réinitialise pas le sous-système.
3.
Le fichier CSEC.ini
doit être chiffré pour que le logiciel charge le contenu.
Il doit être chiffré via CONSOLE.EXE
dans le répertoire Security.
La commande suivante peut également être utilisée pour chiffrer un fichier INI via un script.
(Vous devez utiliser des guillemets pour les noms de chemin longs) : dossier d’installation de CSS>\console.exe
/q /ini :
chemin d’accès absolu vers un fichier ini non chiffré
4.
Au fur et à mesure des améliorations et des mises à jour du Logiciel IBM Client
Security, il est possible que le fichier *.ini
soit modifié.
Le Logiciel IBM Client Security vous permet d’exécuter le fichier CSEC.INI
une seconde fois sans affecter l’installation en cours.
Vous pouvez, par exemple, exécuter ce fichier une seconde fois pour inscrire d’autres utilisateurs.
42
Logiciel IBM Client Security version 5.30
Guide de déploiement
Tableau 5.
Paramètres de configuration du Logiciel Client Security lors de la seconde exécution
[CSSSetup] suppw= hwpw=11111111 newkp=0 keysplit=1 pub= pri= kal=c:\archive wiz=0 clean=0 enableroaming=0
[UVMEnrollment] enrollall=0 enrollusers=1 user1=eddy user1uvmpw=pass1word user1winpw= user1domain=0 user1ppchange=0
En-tête de section pour la configuration de CSS.
Mot de passe administrateur/superviseur BIOS.
N’indiquez aucune valeur si aucun mot de passe n’est requis.
Mot de passe matériel CSS.
Il doit comporter huit caractères et est toujours requis.
Vous devez indiquer la valeur correcte si le mot de passe matériel a déjà été défini.
Indiquez 0 pour utiliser une paire de clés administrateur existante.
Lorsque le paramètre newkp a pour valeur 1, ce paramètre détermine le nombre de composants de clé privée.
Remarque :
Si la paire de clés existante utilise plusieurs
éléments de clé privée, tous les éléments de clé privée doivent être stockés dans le même répertoire.
Laisser à blanc
Laisser à blanc
Emplacement de l’archive de clés utilisateur.
S’il s’agit d’une unité réseau, un identificateur doit lui être affecté.
Détermine si ce fichier a été généré par l’assistant de configuration CSS.
Cette entrée n’est pas nécessaire.
Si vous l’incluez dans ce fichier, elle doit avoir la valeur 0.
Indiquez 0 pour conserver le fichier .ini
après l’initialisation.
Indiquez 0 pour désactiver la délocalisation du client.
En-tête de section pour l’inscription des utilisateurs.
Indiquez la valeur 1 pour enregistrer tous les comptes utilisateur locaux dans UVM, ou la valeur 0 pour enregistrer des comptes utilisateur spécifiques dans UVM.
La valeur de cette instruction indique le nombre total d’utilisateurs que vous allez inscrire.
Il s’agit du nom du nouvel utilisateur inscrit.
Indiquez le mot de passe composé UVM pour l’utilisateur 1
UVM.
Indiquez le mot de passe composé Windows pour l’utilisateur
1 à inscrire dans UVM.
Indiquez si le compte de l’utilisateur 1 est locale ou sur le domaine.
Indiquez la valeur 0 pour indiquer que ce compte est local, ou la valeur 1 pour indiquer que ce compte se trouve sur le domaine.
Indiquez si l’utilisateur 1 va devoir modifier le mot de passe composé UVM à la connexion suivante,
Indiquez la valeur 1 pour que l’utilisateur soit obligé de modifier le mot de passe composé UVM à la connexion suivante, ou la valeur 0 dans le cas contraire.
Chapitre 4.
Logiciel IBM Client Security
43
Tableau 5.
Paramètres de configuration du Logiciel Client Security lors de la seconde exécution (suite)
user1ppexppolicy=1 user1ppexpdays=0
Indiquez si le mot de passe composé UVM de l’utilisateur 1 expire.
Indiquez la valeur 0 pour spécifier que le mot de passe composé UVM arrive à expiration, ou la valeur 1 dans le cas contraire.
Lorsque le paramètre user1ppexppolicy=0, cette valeur permet d’indiquer le nombre de jours avant expiration du mot de passe composé UVM.
44
Logiciel IBM Client Security version 5.30
Guide de déploiement
公開リンクが更新されました
あなたのチャットの公開リンクが更新されました。