Lenovo ThinkPad R400 (German) Hardware Password Manager Deployment Guide - Page 9

Kapitel 1.

Übersicht

Mit dem Lenovo Hardware Password Manager (HPM) kann ein Administrator Hardwarekennwörter für alle

registrierten PC-Einheiten verwalten. Außerdem wird so der Rahmen für eine Benutzer-ID und Kennwörter auf

BIOS-Ebene geschaffen, die Endbenutzer als Single Sign-on-Proxy verwenden können. Diese Benutzer-ID

und das Kennwort können mit der Windows-ID und dem Kennwort für den Benutzer synchronisiert werden.

Benutzer haben auch die Möglichkeit, sich per Fingerabdruck bei BIOS zu authentifizieren. Wenn die

Einheit eingeschaltet wird, wird der Benutzer zur Eingabe dieser Berechtigungsnachweise aufgefordert.

Stellt er diese bereit, wird er bei der Einheit auf dem Desktop angemeldet. Durch diesen Mechanismus

wird die Privatsphäre der Benutzer geschützt und sie können die Einheit verwenden, auch wenn ihnen die

tatsächlichen Hardwarekennwörter nicht bekannt sind.

Wenn HPM installiert ist, fungiert der zentrale Server der ThinkManagement-Konsole von Lenovo als

HPM-Server - er verwaltet und authentifiziert HPM-Einheiten. Zusätzlich dient ein Active Directory- oder

eDirectory-LDAP-Server als Authentifizierungsserver für den Hardware Password Manager - der HPM-Server

gleicht die Benutzerberechtigungen mit den Daten auf dem LDAP-Server ab.

Der Administrator installiert auf Lenovo Clienteinheiten, die HPM unterstützen, einen Agenten, der eine

Hardware Password Manager-Anwendung enthält. Wenn die Clienteinheit eingeschaltet wird, kommuniziert

sie über den UDP-Port 50001 mit dem HPM-Server.

Nachdem der Client im Betriebssystem gebootet wurde, verwendet er die Clientanwendung für den

Hardware Password Manager, um mit einem Web-Service auf dem Server zu kommunizieren. Diese

Kommunikation findet über einen HTTPS-Kanal statt.

Der Administrator verwendet die HPM-Funktionen in der ThinkManagement-Konsole zur Verwaltung

der HPM-Einheiten und zum Erstellen und Implementieren von Richtlinien zu diesen Einheiten. Anhand

dieser Richtlinien wird bestimmt, wie der Hardware Password Manager für die Einheiten implementiert

wird. Der Administrator wählt beispielsweise aus, welche Benutzeroptionen bei HPM-Einheiten als Teil der

Richtliniendefinition zur Verfügung stehen.

© Copyright Lenovo 2010

1

Section	Page
Einleitung	7
Kapitel 1. Übersicht	9
Kapitel 2. Hardware Password Manager auf der ThinkManagement-Konsole installieren	11
Voraussetzungen	11
Den zentralen Server vorbereiten	12
Serverkonfiguration für die ThinkManagement-Konsole mit HPM	14
Migration auf einen neuen LDAP-Server	15
Hardware Password Manager auf einer Lenovo Einheit installieren	15
Kapitel 3. Hardware Password Manager-Einheiten mit der ThinkManagement-Konsole verwalten	17
Hardware Password Manager-Einheiten und ihre Eigenschaften anzeigen	17
Registrierte Benutzer auf Hardware Password Manager-Einheiten verwalten	18
LDAP-Serververbindung konfigurieren	19
Hardware Password Manager-Benutzer und ihre Eigenschaften anzeigen	19
Zugriff eines Benutzers auf eine Hardware Password Manager-Einheit entfernen	20
Hardware Password Manager-Gruppen verwalten	21
Fern ausgeführte Aktionen und Richtlinieneinstellungen für Hardware Password Manager-Einheiten verwalten	22
Client-Richtlinien global aktualisieren	23
Hardwarekennwörter global aktualisieren	24
Notfall-Account aktualisieren	26
Richtlinieneinstellungen für den Server ändern	26
Bereiche und Rollen für Konsolenbenutzer definieren	28
Kapitel 4. Hardware Password Manager-Client	31
Konfiguration der Hardware Password Manager-Einheit	31
Eine Einheit beim Hardware Password Manager-Server registrieren und den ersten Benutzer registrieren	32
Zusätzliche Benutzer auf einer Hardware Password Manager-Einheit registrieren	33
Einen Benutzer von einer Hardware Password Manager-Einheit entfernen	33
Registrierung einer Einheit auf dem Hardware Password Manager-Server aufheben	34
Berechtigungsnachweis auf einer Hardware Password Manager-Einheit aktualisieren	34
Kapitel 5. Implementierung	37
Integration von Fingerabdrücken	37
Kompatibilität mit Safe Guard Easy/Safe Guard Enterprise	39
One-Touch-Registrierung	39
Vorabregistrierung	39
Benutzerregistrierung auf einem vorab registrierten System	40
Kapitel 6. Szenarios	41
Service-Szenarios (Konfigurationsänderungen)	41
Szenario 1 - Änderungen der Hardwarekonfiguration	41
Szenario 2 - CMOS-Fehler	41
Szenario 3 - Lesegerät für Fingerabdrücke ersetzen	42
Szenario 4 - Hardwarekennwörter sind bereits festgelegt	43
Szenario 5 - Konfiguration im Betriebssystem (ferne BIOS-Einstellungen)	43
Szenario 6 - Systemplatine ersetzen	43
Szenario 7 - Festplattenlaufwerk hinzufügen	44
Szenario 8 - Festplattenlaufwerk entfernen oder umsetzen	44
Szenario 9 - Position der Festplatte innerhalb eines Systems ändern	45
Szenario 10 - Festplattenlaufwerk entfernen	45
Szenario 11 - Flash-Aktualisierung des BIOS durchführen	45
Szenario 12 - Registriertes System kann nicht mehr auf den Hardware Password Manager-Server zugreifen	46
Szenario 13 - BIOS-Konfigurationsprogramm aufrufen	46
Szenario 14 - Standardeinstellungen im BIOS-Konfigurationsprogramm laden	46
Szenario 15 - Nicht alle Festplattenlaufwerke schützen	47
Benutzerszenarios	47
Szenario 1 - Berechtigungsnachweis für Hardware-Account vergessen, Netz ist verbunden	47
Szenario 2 - Berechtigungsnachweis für Hardware-Account vergessen, KEINE Netzwerkverbindung	47
Szenario 3 - Unternehmensweites Kennwort vergessen	47
Szenario 4 - Manuelle Anmeldung mit unterschiedlichen Tastaturtypen	48
Szenario 5 - Handhabung von Registrierungen von mehreren Bootpartitionen aus	48
Szenario 6 - BitLocker	49
Anhang A. Sicherheit und Komfort	51
Anhang B. Wiederherstellung nach einem Katastrophenfall	53
Anhang C. Hinweise und Tipps	57
Anhang D. Bemerkungen	63

Lenovo ThinkPad R400 (German) Hardware Password Manager Deployment Guide - Page 9

Kapitel 1. Übersicht

Page 9 highlights