ThinkPad T400 | ThinkPad X301 | ThinkCentre M58p | Hardware Password Manager | ThinkCentre M58 | ThinkPad R400 | ThinkPad X200s | THINKPAD W700 | ThinkPad R500 | ThinkPad T500 | Lenovo ThinkPad X200 Tablet 7453 Manuel utilisateur

Guide de déploiement
Hardware Password Manager
Mise à jour : juillet 2010
Guide de déploiement
Hardware Password Manager
Mise à jour : juillet 2010
Remarque : Avant d'utiliser le présent document et le produit associé, prenez connaissance des
informations générales figurant à l'Annexe D «Remarques» à la page 53.
Troisième édition (Juillet 2010)
© Copyright Lenovo 2010.
Les produits, données, logiciels informatiques et services LENOVO ont été développés exclusivement à titre privé et sont
vendus à des entités gouvernementales en tant qu'articles commerciaux conformément à l'article 48 C.F.R. 2.101, dont
l'utilisation, la reproduction et la divulgation sont soumises à des limitations et des restrictions.
REMARQUE SUR LES DROITS LIMITÉS ET RESTREINTS : si les produits, les données, les logiciels ou les services sont
fournis conformément à un contrat General Services Administration (GSA), l'utilisation, la reproduction et la divulgation
sont soumises aux restrictions stipulées dans le contrat nº GS-35F-05925.
Table des matières
Préface . . . . . . . . . . . . . . . . . v
Chapitre 1. Présentation . . . . . . . . 1
Chapitre 2. Installation de Hardware
Password Manager sur la console
ThinkManagement . . . . . . . . . . . 3
Conditions prérequises . . . . . . . . . . .
Préparation du serveur principal . . . . . . . .
Console ThinkManagement avec configuration du
serveur HPM . . . . . . . . . . . . . . .
Migration vers un nouveau serveur LDAP . . . .
Installation de Hardware Password Manager sur
un périphérique Lenovo . . . . . . . . . . .
.
.
3
4
.
.
5
7
.
7
Chapitre 3. Gestion des
périphériques Hardware Password
Manager avec la console
ThinkManagement . . . . . . . . . . . 9
Affichage des périphériques Hardware Password
Manager et de leurs propriétés . . . . . . . . . 9
Gestion des utilisateurs enregistrés sur les
périphériques Hardware Password Manager .
10
Configuration de la connexion à un serveur
LDAP . . . . . . . . . . . . . . . .
11
Affichage des utilisateurs Hardware Password
Manager et de leurs propriétés . . . . . .
11
Suppression de l'accès d'un utilisateur à un
périphérique Hardware Password Manager. .
12
Gestion des groupes Hardware Password
Manager . . . . . . . . . . . . . . .
12
Gestion des actions distantes et des paramètres
de stratégie pour les périphériques Hardware
Password Manager . . . . . . . . . . . . .
13
Mise à jour globale des stratégies de client . . .
15
Mise à jour globale des mots de passe matériels .
16
Mise à jour du compte d'urgence . . . . . . .
17
Modification des paramètres de stratégie de
serveur. . . . . . . . . . . . . . . . . .
18
Definition des étendues et des rôles des utilisateurs
de la console . . . . . . . . . . . . . . .
19
Chapitre 4. Client Hardware
Password Manager . . . . . . . . . .
Configuration du périphérique Hardware Password
Manager . . . . . . . . . . . . . . . . .
Enregistrement d'un périphérique auprès
du serveur Hardware Password Manager et
enregistrement du premier utilisateur . . . . . .
Enregistrement d'utilisateurs supplémentaires sur
un périphérique Hardware Password Manager . .
© Copyright Lenovo 2010
21
21
22
23
Suppression d'un utilisateur d'un périphérique
Hardware Password Manager . . . . . . . . .
Annulation de l'enregistrement d'un périphérique
sur le serveur Hardware Password Manager . . .
Mise à jour des données d'identification sur un
périphérique Hardware Password Manager . . .
23
24
24
Chapitre 5. Déploiement . . . . . . .
27
Intégration des empreintes digitales . . . . . .
Compatibilité avec Safe Guard Easy/Safe Guard
Enterprise . . . . . . . . . . . . . . . .
Enregistrement en un clic . . . . . . . . . .
Préenregistrement . . . . . . . . . . .
Enregistrement d'un utilisateur sur un système
préenregistré . . . . . . . . . . . . .
27
Chapitre 6. Scénarios . . . . . . . .
31
Scénarios de maintenance (modifications de
configuration) . . . . . . . . . . . . . . .
Scénario 1 - Modifications de la configuration
matérielle . . . . . . . . . . . . . . .
Scénario 2 - Erreur CMOS . . . . . . . .
Scénario 3 - Remplacement du périphérique
de lecture d'empreintes digitales . . . . . .
Scénario 4 - Mots de passe matériels déjà
définis . . . . . . . . . . . . . . . .
Scénario 5 - Configuration sous le système
d'exploitation (paramètres du BIOS à
distance) . . . . . . . . . . . . . . .
Scénario 6 - Remplacement de la carte
mère . . . . . . . . . . . . . . . . .
Scénario 7 - Ajout d'une unité de disque dur .
Scénario 8 - Remplacement ou déplacement
d'une unité de disque dur . . . . . . . .
Scénario 9 - Changement de l'emplacement
d'un disque dur dans un système . . . . .
Scénario 10 - Retrait d'une unité de disque
dur . . . . . . . . . . . . . . . . .
Scénario 11 - Flashage du BIOS . . . . . .
Scénario 12 - Le système enregistré ne peut
plus accéder au serveur Hardware Password
Manager . . . . . . . . . . . . . . .
Scénario 13 - Accès à la configuration du
BIOS. . . . . . . . . . . . . . . . .
Scénario 14 - Chargement des paramètres par
défaut dans la configuration du BIOS . . . .
Scénario 15 - Ne pas protéger toutes les
unités de disque dur . . . . . . . . . .
Scénarios utilisateur . . . . . . . . . . . .
Scénario 1 - Oubli des données d'identification
du compte matériel, réseau connecté . . . .
29
29
29
30
31
31
31
32
33
33
33
34
34
35
35
35
36
36
36
36
37
37
iii
Scénario 2 - Oubli des données d'identification
du compte matériel, AUCUNE connexion
réseau . . . . . . . . . . . . . . . .
Scénario 3 - Oubli du mot de passe
d'entreprise . . . . . . . . . . . . . .
Scénario 4 - Connexion manuelle à l'aide de
différents types de clavier . . . . . . . .
Scénario 5 - Gestion des enregistrements à
partir de plusieurs partitions d'amorçage . .
Scénario 6 - BitLocker . . . . . . . . . .
iv
Guide de déploiement Hardware Password Manager
Annexe A. Sécurité et confort . . . .
41
37
Annexe B. Reprise après incident . .
43
37
Annexe C. Conseils et astuces . . . .
47
38
Annexe D. Remarques . . . . . . . .
53
Marques . . . . . . . . . . . . . . . . .
54
38
38
Préface
Le présent guide s'adresse aux administrateurs de systèmes informatiques ou aux responsables du
déploiement du programme Lenovo® Hardware Password Manager™ sur les ordinateurs de leur entreprise.
Il fournit les informations nécessaires à l'installation de Hardware Password Manager sur un ou plusieurs
ordinateurs, à condition que des licences du logiciel aient été acquises pour chaque ordinateur cible.
L'application Hardware Password Manager comporte une aide que les administrateurs et les utilisateurs
peuvent consulter lorsqu'ils recherchent des informations sur l'utilisation de l'application.
Lenovo Hardware Password Manager a été développé à l'intention des informaticiens professionnels
pour répondre aux défis uniques qu'ils peuvent rencontrer. Le présent guide de déploiement fournit des
instructions et des solutions relatives à l'utilisation de Hardware Password Manager. Si vous avez des
suggestions ou des commentaires, communiquez-les à votre représentant Lenovo agréé. Pour en savoir
plus sur les technologies susceptibles de vous aider à réduire le coût total de possession et à vérifier les
mises à jour périodiques de ce guide, consultez le site Web suivant :
http://www.lenovo.com
© Copyright Lenovo 2010
v
vi
Guide de déploiement Hardware Password Manager
Chapitre 1. Présentation
L'outil Hardware Password Manager (HPM) Lenovo permet à un administrateur de gérer des mots de passe
matériels pour tous les périphériques PC enregistrés. En outre, il définit la notion d'ID utilisateur et mot de
passe au niveau du BIOS pour que l'utilisateur final puisse les utiliser en tant que connexion unique au proxy.
Cet ID utilisateur et ce mot de passe peuvent être synchronisés avec l'ID et le mot de passe Windows pour
cet utilisateur. L'utilisateur a également la possibilité de s'authentifier auprès du BIOS en utilisant son
empreinte digitale. Lorsque le périphérique est mis sous tension, l'utilisateur est invité à saisir ces données
d'identification. Une fois les informations fournies, le périphérique connecte l'utilisateur à son bureau. Ce
mécanisme préserve la confidentialité de l'utilisateur et lui permet d'utiliser le périphérique, même s'il ne
connaît pas les mots de passe réels.
Une fois HPM installé, le serveur principal Lenovo ThinkManagement Console joue le rôle du serveur HPM : il
gère et authentifie les périphériques HPM. Par ailleurs, un serveur Active Directory ou eDirectory fait office
de serveur d'authentification pour Hardware Password Manager : le serveur HPM vérifie les données
d'identification utilisateur par rapport aux données enregistrées sur le serveur LDAP.
Sur les périphériques client Lenovo avec prise en charge HPM, l'administrateur installe un agent qui contient
une application Hardware Password Manager. Lorsque le périphérique client est mis sous tension, il
communique via le port UDP 50001 avec le serveur HPM.
Une fois qu'un client a démarré sur le système d'exploitation, il utilise l'application client Hardware Password
Manager pour communiquer avec un service Web sur le serveur. Cette communication s'effectue via
un canal HTTPS.
L'administrateur utilise les fonctionnalités HPM dans la console ThinkManagement pour gérer les
périphériques HPM, créer et déployer des stratégies vers ces périphériques. Ces stratégies déterminent
la façon dont Hardware Password Manager est mis en œuvre pour les périphériques ; par exemple,
l'administrateur sélectionne quelles options utilisateur sont disponibles sur les périphériques HPM dans le
cadre de la définition d'une stratégie.
© Copyright Lenovo 2010
1
2
Guide de déploiement Hardware Password Manager
Chapitre 2. Installation de Hardware Password Manager sur
la console ThinkManagement
Pour utiliser la fonctionnalité HPM, vous devez installer Lenovo ThinkManagement Console. Dans le cadre
de cette installation, vous devez définir des détails de connexion pour votre serveur LDAP pour qu'il
fournisse des services d'authentification pour HPM. Les stratégies utilisées pour la génération des mots de
passe matériels et la gestion des périphériques client sont également définies dans la console.
Ensuite, vous installez le logiciel client HPM sur les périphériques Lenovo individuels qui prennent en
charge HPM. Un paramètre du BIOS est utilisé pour activer ou désactiver la prise en charge HPM sur ces
périphériques. Ce paramètre doit être défini sur Enabled pour que le périphérique puisse fonctionner
avec HPM.
Une fois que ces tâches d'installation sont terminées, vous pouvez commencer à enregistrer les
périphériques HPM Lenovo sur le serveur HPM et enregistrer les utilisateurs sur ces périphériques.
Conditions prérequises
Les éléments suivants doivent être pris en compte avant de procéder à l'installation de Lenovo
ThinkManagement Console avec HPM sur votre serveur :
• Le serveur doit avoir accès à Internet pour obtenir les logiciels prérequis et s'activer une fois l'installation
terminée.
• Le serveur doit avoir une adresse IP statique.
• Le serveur ne peut pas être un contrôleur de domaine. Il est toutefois recommandé que le serveur se
joigne à un domaine.
• Le compte auquel vous vous connectez pour effectuer l'installation du serveur principal doit disposer de
droits d'administrateur sur le serveur avec accès en lecture et écriture. Il est préférable que ce compte
soit également un compte Administrateur du domaine. Ce compte sera utilisé pour créer le compte initial
de niveau administrateur qui permettra de se connecter à la console ThinkManagement.
Pour garantir une installation opérationnelle propre du logiciel, l'ordre d'installation suivant est recommandé :
1. Installez le système d'exploitation Windows® Server 2008 R2 (32 bits) avec SP2 ou Windows Server
2008 R2 (64 bits).
2. Installez le composant Windows Internet Information Services (IIS).
Remarque : Pour le système d'exploitation Windows Server 2003 R2 (32 bits), cette opération DOIT être
effectuée avant l'installation d'ASP.Net.
3. Installez les composants Windows suivants :
• ASP.Net
• SNMP
4. Utilisez Windows Update pour installer toutes les mises à jour critiques disponibles.
5. Installez Microsoft® .NET Framework® 2.0 ou version ultérieure.
6. Installez Web Services Enhancements (WSE) 3.0 pour Microsoft .NET si vous utilisez le système
d'exploitation Windows Server 2008 R2 (64 bits) ou installez Web Services Enhancements (WSE) 2.0
SP3 si vous utilisez le système d'exploitation Windows Server 2003 R2 (32 bits).
© Copyright Lenovo 2010
3
Une fois la console ThinkManagement installée, il est recommandé d'activer Security and Patch Manager
pour obtenir des mises à jour pour ce produit. Dans la console, cliquez sur Aide ➙ Assistant de l'aide
LANDesk® ➙ Mises à jour de sécurité pour obtenir de l'aide relative à la configuration de Security and
Patch Manager.
Préparation du serveur principal
Le serveur principal HPM va utiliser la console ThinkManagement Console 9.0 qui est basée sur LANDesk
Management Suite 9.0. Pour plus d'informations sur la configuration système requise pour LANDesk
Management Suite, accédez au site Web suivant :
http://community.landesk.com/support/docs/DOC-7478
Pour plus d'informations sur les conditions préalables à l'installation de ThinkManagement Console 9.0,
accédez au site Web suivant :
http://community.landesk.com/support/docs/DOC-6767
La plateforme recommandée pour ThinkManagement Console 9.0 est le système d'exploitation Windows
Server 2008 R2 (64 bits). Les instructions suivantes décrivent la configuration du système d'exploitation
Windows Server 2008 R2 (64 bits) pour réunir les conditions préalables à l'utilisation de ThinkManagement
Console 9.0.
1. Installez le système d'exploitation Windows Server 2008 R2 (64 bits) à partir du support d'installation.
Il est recommandé de réinstaller le système d'exploitation serveur pour le serveur principal HPM, car
les images du système d'exploitation peuvent avoir des paramètres incompatibles avec le serveur
principal HPM.
2. Exécutez Windows Update et assurez-vous que toutes les mises à jour critiques ont été effectuées.
3. Nom du serveur principal. Il est important que le nom du serveur principal soit correctement défini. Une
fois l'installation terminée, vous ne pouvez pas renommer le serveur principal HPM.
4. Désactivez le service d'indexation et le service Recherche Windows, car ils pourraient affecter le
fonctionnement normal du serveur principal HPM. Pour plus d'informations, accédez au site Web
suivant :
http://community.landesk.com/support/docs/DOC-7245
5. Ajoutez le rôle du serveur d'applications.
a. Cliquez sur Démarrer ➙ Gestionnaire de serveur.
b. Cliquez sur Ajouter des rôles.
c. Sélectionnez Serveur Web (IIS).
d. Cliquez sur Suivant. Vous serez invité à ajouter des fonctions supplémentaires requises pour ce rôle.
e. Sélectionnez Ajouter les fonctionnalités requises.
f. Sur l'écran Sélectionner des rôles de serveurs, sélectionnez Serveur d'applications. Vous serez
invité à ajouter des fonctions supplémentaires requises pour ce rôle.
g. Cliquez sur Ajouter les fonctionnalités requises.
h. Sur l'écran Sélectionner des rôles de serveurs, cliquez sur Suivant.
i.
Cliquez sur Suivant.
j.
Sélectionnez Prise en charge du serveur Web (IIS). Vous serez invité à ajouter des fonctions et
des services de rôle supplémentaires.
k. Cliquez sur Ajouter les services de rôle requis.
l.
Sélectionnez Accès réseau COM+.
m. Cliquez sur Suivant.
n. Cliquez sur Suivant.
4
Guide de déploiement Hardware Password Manager
o. Sous la section Services de rôle, sélectionnez ASP, CGI et Fichiers Include côté serveur sous
Développement d'applications.
p. Faites défiler jusqu'au bas de la liste et sélectionnez Compatibilité avec la gestion IIS 6.
q. Cliquez sur Suivant.
r. Une boîte de dialogue Confirmer les sélections pour l'installation s'affiche. Cliquez sur Installer.
s. Cliquez sur Fermer lorsque l'installation est terminée.
Lorsque vous utilisez le système d'exploitation Windows Server 2008 R2 (64 bits), la fonction de
contrôle/d'alertes (SNMP) doit également être installée.
1. Cliquez sur Démarrer ➙ Gestionnaire de serveur.
2. Dans la console Gestionnaire de serveur, cliquez sur Fonctionnalités, puis cliquez sur Ajouter des
fonctionnalités dans le volet de droite de la fenêtre.
3. Sélectionnez Services SNMP.
4. Cliquez sur Suivant.
5. Cliquez sur Installer.
6. Cliquez sur Fermer.
Lorsque vous utilisez le système d'exploitation Windows Server 2003 R2 (32 bits) avec SP2, des composants
Windows supplémentaires doivent être installés.
1. Cliquez sur Démarrer ➙ Panneau de configuration ➙ Ajout/Suppression de programmes.
2. Cliquez sur Ajouter ou supprimer des composants Windows.
3. Ajoutez les composants suivants :
a. Serveur d'applications
• ASP.NET
• Internet Information Services (IIS)
b. Outils de gestion et d'analyse
• Simple Network Management Protocol
4. Cliquez sur Suivant.
5. Pour Composants de gestion de réseau optionnels, sélectionnez Oui.
6. Cliquez sur Terminer.
7. Installez Microsoft .NET Framework 2.0.
8. Redémarrez le serveur.
Vous devez également installer Web Services Enhancements (WSE) 3.0 pour Microsoft .NET. Ce composant
est fourni par Microsoft sur le site Web suivant :
http://www.microsoft.com/downloads/details.aspx?FamilyID=018a09fd-3a74-43c5-8ec1-8d789091255d&displaylang=en
1. Téléchargez le module d'installation Microsoft WSE 3.0.msi à partir du lien ci-dessus.
2. Récupérez le module d'installation et lancez l'exécutable sur le serveur principal.
3. Suivez les instructions dans la boîte de dialogue Installation en utilisant uniquement les paramètres
par défaut.
Console ThinkManagement avec configuration du serveur HPM
Assurez-vous que le serveur LDAP (Microsoft Active Directory ou Novell eDirectory) qui se comporte comme
le serveur d'authentification LDAP pour Hardware Password Manager fonctionne correctement.
Chapitre 2. Installation de Hardware Password Manager sur la console ThinkManagement
5
Pour télécharger le module d'installation de la console ThinkManagement avec HPM, enregistrez-vous sur
le site Web suivant : http://www.landesk.com/lenovo. Une fois l'enregistrement terminé, vous recevrez
un e-mail contenant un lien permettant de télécharger le module d'installation ainsi que des données
d'identification LANDesk pour activer le serveur principal après l'installation.
Lorsque vous avez téléchargé le module d'installation, suivez les instructions ci-dessous pour terminer
l'installation du serveur principal.
1. Connectez-vous au serveur avec des droits d'administrateur.
2. Récupérez le module d'installation ThinkManagement82D.exe. Copiez et collez le chemin du dossier
dans lequel les fichiers source d'installation seront extraits dans le presse-papiers pour y accéder
plus facilement.
3. Exécutez le fichier Autorun.exe de la console ThinkManagement dans le dossier où est extrait le
module d'installation. Sélectionnez Installer sur le serveur principal. Suivez les invites de l'assistant
d'installation et sélectionnez Redémarrer maintenant après l'installation.
4. Activez le serveur principal en indiquant votre nom de contact et mot de passe LANDesk dans l'utilitaire
d'activation du serveur principal (connexion Internet requise).
5. Configurez le serveur LDAP :
a. Connectez le serveur HARDWARE PASSWORD MANAGER et le serveur d'authentification LDAP
au réseau.
b. Lancez la console ThinkManagement.
c. Dans la boîte à outils se trouve un groupe Hardware Password Manager ThinkVantage comportant
trois éléments : Utilisateurs HPM enregistrés, Groupes HPM et Actions distantes et paramètres de
stratégie. Cliquez sur Groupes HPM et cliquez sur Configurer serveur LDAP (troisième bouton)
dans la barre d'outils.
d. Entrez les informations pour ce serveur LDAP qui servira de serveur d'authentification. Les éléments
suivants doivent être définis pour le serveur LDAP :
• Nom d'hôte : Le nom du serveur LDAP.
• Port : Le numéro du port permettant de communiquer avec le serveur. Le port par défaut est
389 pour Microsoft Active Directory. Si vous devez rechercher dans un catalogue global pour
accéder à plusieurs domaines Active Directory, modifiez le port en 3268. Si vous sélectionnez
Novell eDirectory comme serveur LDAP, le port par défaut est 636.
• Type de serveur : Sélectionnez le type de serveur (Microsoft Active Directory ou Novell
eDirectory).
• Type de chiffrement : Sélectionnez le type de chiffrement utilisé pour la communication avec
le serveur.
• Authorized user :
– Nom d'utilisateur permettant la connexion au serveur Microsoft Active Directory.
– Nom de domaine\nom d'utilisateur ou simplement un nom d'utilisateur.
–
Nom d'utilisateur permettant la connexion au serveur Novell eDirectory.
Remarque : Il est préférable d'utiliser cn=admin name, o=admin context. Si les restrictions
de liaison sont définies sur None, admin name.admin context fonctionnera. Si les restrictions
de liaison sont définies sur Disallow anonymous simple bind, admin name.admin context
ne fonctionnera pas.
– Mot de passe : Mot de passe de l'utilisateur autorisé sur le serveur LDAP.
e. Cliquez sur OK lorsque les informations sont complètes.
La configuration du serveur principal de la console ThinkManagement est terminée.
6
Guide de déploiement Hardware Password Manager
Migration vers un nouveau serveur LDAP
Il peut arriver que vous ayez besoin de modifier l'adresse IP ou le nom d'hôte de votre serveur LDAP. Vous
pouvez également avoir besoin de passer à un nouveau serveur ayant une adresse IP différente, voire
même de passer à un type de serveur LDAP différent.
Si l'une de ces modifications se produit, vous devez créer une nouvelle configuration serveur LDAP.
Pour ce faire, répétez l'étape 5 de configuration LDAP. Il est recommandé d'annuler l'enregistrement des
périphériques HPM existants, puis de les réenregistrer avec la nouvelle configuration LDAP. Dans le cas
contraire, les périphériques enregistrés avec l'ancienne configuration LDAP ne seront pas en mesure
d'exécuter différentes actions HPM telles qu'une connexion à un compte intranet.
Installation de Hardware Password Manager sur un périphérique Lenovo
Pour ajouter les fonctions Hardware Password Manager à un périphérique Lenovo, vous devez déployer un
agent HPM vers le périphérique. Pour ce faire, vous pouvez utiliser une méthode Push ou Pull.
Pour déployer un agent avec les fonctions du client Hardware Password Manager :
1. Dans la console ThinkManagement, cliquez sur Outils ➙ Configuration ➙ Configuration d'agent.
2. Cliquez sur Nouvelle sur la barre d'outils Configuration d'agent et entrez un nom pour cette
configuration d'agent.
3. Veillez à sélectionner l'option Hardware Password Manager dans la section Composants d'agent
à installer.
4. Enregistrez la configuration.
Si vous prévoyez de n'utiliser qu'une seule configuration d'agent ou si vous pensez utiliser la méthode de
déploiement Pull.
Pour utiliser cette configuration d'agent par défaut, procédez comme suit :
1. Dans le volet Configuration d'agent de la console ThinkManagement, faites un clic droit sur la nouvelle
configuration d'agent.
2. Cliquez sur Définir par défaut. Une coche verte apparaît sur l'icône pour cette configuration.
Vous pouvez maintenant utiliser la méthode Push pour déployer l'agent vers vos périphériques Lenovo. Pour
plus d'informations, reportez-vous aux assistants de l'aide Getting Started et Discovering and Installing
Agents disponibles dans le menu d'aide de la console. Pour démarrer, vous avez simplement besoin
d'exécuter les étapes Launch the Configure Services Tool et Configure Scheduler Credentials.
Remarques :
1. Pour simplifier le processus de reconnaissance des périphériques, désactivez le pare-feu Windows®.
2. Pour Windows XP, le partage de fichiers simple doit être désactivé sur le périphérique Lenovo. Il
est normalement désactivé par défaut pour les périphériques qui se connectent dans un domaine.
Vous pouvez désactiver cette option à partir de Windows Explorer. Cliquez sur Outils ➙ Options
des dossiers ➙ Affichage, défilez jusqu'au bas de la liste et désélectionnez Utiliser le partage de
fichiers simple.
3. Pour Windows Vista®, il est recommandé de désactiver l'option Contrôle du compte d'utilisateur.
Lorsque l'agent est déployé, le portail client HPM est installé sur le périphérique. Le nom de fichier du portail
client cmp_portal.exe se trouve dans le dossier C:\Program Files\Lenovo\Hardware Password Manager .
Chapitre 2. Installation de Hardware Password Manager sur la console ThinkManagement
7
Vous pouvez également déployer l'agent à l'aide de la méthode Pull. Cette méthode requiert la connexion
à un dossier partagé sur le serveur HPM et l'exécution d'une application qui va installer la configuration
d'agent par défaut décrite précédemment.
1. Connectez-vous au périphérique Lenovo en tant qu'administrateur de domaine ou administrateur local.
2. Connectez-vous au partage LDLOGON directement via l'explorateur ou via le mappage d'une unité
réseau à \\<votre nom de serveur HPM>\ldlogon à l'aide des données d'identification d'administrateur
de domaine ou d'autres informations d'identification permettant d'accéder à ce partage.
3. Depuis l'unité partagée, lancez WSCFG32.EXE. Une boîte de dialogue affiche les composants qui seront
installés. Veillez à sélectionner l'option ThinkVantage Hardware Password Manager.
4. Suivez les invites pour terminer l'installation de l'agent.
Dans certains cas, il peut s'avérer nécessaire d'inclure le client ThinkVantage Hardware Password Manager
dans une image d'entreprise ou déployée à l'aide d'autres outils ou processus de gestion système. Pour
s'adapter à ces scénarios, il est possible de générér un module exécutable autonome de la configuration
d'agent à partir de la console. Cet exécutable va installer l'agent sans aucune intervention de l'utilisateur.
Pour créer un module d'installation de l'agent exécutable autonome, procédez comme suit :
1. Dans le volet Configuration d'agent de la console ThinkManagement, faites un clic droit sur Nouvelle
configuration d'agent.
2. Cliquez sur Créer le module d'installation du client autonome.
3. Indiquez le dossier dans lequel vous souhaitez enregistrer le fichier exécutable dans la boîte de dialogue
affichée.
Le nom du fichier exécutable sera basé sur le nom de la configuration d'agent. Le processus sera exécuté
en arrière-plan pendant environ une minute. Deux fichiers exécutables et deux fichiers journaux seront
créés. Un exécutable, désigné par «_with_status», fournit un programme d'installation qui affiche l'état de
l'installation à l'utilisateur. L'autre exécutable sera installé en mode silencieux.
8
Guide de déploiement Hardware Password Manager
Chapitre 3. Gestion des périphériques Hardware Password
Manager avec la console ThinkManagement
Les fonctions de Hardware Password Manager disponibles dans la console sont décrites dans les sections
suivantes :
•
«Affichage des périphériques Hardware Password Manager et de leurs propriétés» à la page 9
•
«Gestion des utilisateurs enregistrés sur les périphériques Hardware Password Manager» à la page 10
•
«Configuration de la connexion à un serveur LDAP» à la page 11
•
«Affichage des utilisateurs Hardware Password Manager et de leurs propriétés» à la page 11
•
«Suppression de l'accès d'un utilisateur à un périphérique Hardware Password Manager» à la page 12
•
«Gestion des groupes Hardware Password Manager» à la page 12
•
«Gestion des actions distantes et des paramètres de stratégie pour les périphériques Hardware Password
Manager» à la page 13
•
«Mise à jour globale des stratégies de client» à la page 15
•
«Mise à jour globale des mots de passe matériels» à la page 16
•
«Mise à jour du compte d'urgence» à la page 17
•
«Modification des paramètres de stratégie de serveur» à la page 18
Affichage des périphériques Hardware Password Manager et de leurs
propriétés
Dans la vue du réseau, un dossier distinct situé sous le dossier Devices est ajouté pour les périphériques
Hardware Password Manager Lenovo qui ont été reconnus et gérés. Ouvrez ce dossier des périphériques
gérés par Hardware Password Manager pour afficher une liste des ordinateurs et des disques durs.
Pour afficher les propriétés d'un périphérique Hardware Password Manager :
1. Dans la vue du réseau de la console ThinkManagement, développez le dossier Périphériques et
développez le dossier Périphériques Hardware Password Manager.
2. Cliquez sur Ordinateurs ou Disques durs selon le type de périphérique dont vous avez besoin.
3. Cliquez avec le bouton droit de la souris sur le nom du périphérique et sélectionnez Propriétés HPM.
Les informations dans la boîte de dialogue Propriétés ne sont pas modifiables. Les détails inclus dans
chacun des onglets sont résumés ci-dessous.
Récapitulatif
Les mots de passe répertoriés dans cet onglet sont grisés par défaut. Sélectionnez Afficher tout le texte du
mot de passe au bas de l'onglet. Cela permet d'éviter l'affichage indésirable des mots de passe matériels.
• Registration time and status : répertorie la date/heure d'enregistrement et l'état en cours.
• BIOS passwords : affiche les mots de passe pour chaque profil du BIOS, ainsi que la dernière date/heure
de sauvegarde du profil. Cette section comprend le mot de passe superviseur (SVP) qui permet la
connexion au périphérique avec l'accès administrateur, et le mot de passe à la mise sous tension (POP)
qui permet la connexion au périphérique en tant qu'utilisateur.
• Hard disk passwords : répertorie les mots de passe permettant d'accéder à chaque disque dur du
périphérique. Cette section affiche le mot de passe maître, le mot de passe utilisateur et tous les mots de
© Copyright Lenovo 2010
9
passe de secours sui ont pu êtré générés pour le disque dur (cliquez sur Afficher pour voir la liste des
mots de passe de secours).
• Compte administrateur d'urgence : répertorie les données d'identification du compte administrateur qui
peut accéder au périphérique Hardware Password Manager. Le compte administrateur d'urgence est
créé sur chaque périphérique. Ces données d'identification peuvent être utilisées en cas d'urgence pour
accéder au BIOS du périphérique avec des droits d'administrateur.
Enrolled users :
Tous les utilisateurs enregistrés pour accéder au périphérique Hardware Password Manager sont répertoriés
dans cet onglet. Le nom d'utilisateur du compte intranet est le nom utilisé pour la connexion du compte
utilisateur LDAP. Le nom d'utilisateur du compte matériel est le nom utilisé pour enregistrer des données
dans le compte matériel (une zone sécurisée de mémoire rémanente qui n'est accessible qu'à partir du BIOS
de l'ordinateur). Le chemin d'accès LDAP indique l'emplacement de l'utilisateur dans l'arborescence du
serveur LDAP (par exemple, CN=ADMINISTRATOR,CN=USERS,DC=TESTLAB).
Member of :
Cet onglet répertorie les groupes de comptes intranet auquel le périphérique appartient. Le chemin d'accès
LDAP indique l'emplacement du groupe dans l'arborescence du serveur LDAP.
Actions distantes :
La section Actions distantes répertorie tous les actions distantes antérieures qui ont été appliquées à
ce périphérique Hardware Password Manager. La section Actions distantes - Supprimer l'utilisateur
répertorie les utilisateurs enregistrés sur ce périphérique mais dont l'accès a été supprimé.
Stratégie client :
La liste Stratégie Windows indique le statut des paramètres de stratégie relatifs au système d'exploitation
actuellement appliqués au périphérique. La liste Stratégie BIOS indique le statut des paramètres de
stratégie relatifs au BIOS actuellement appliqués au périphérique. Ces paramètres sont sélectionnés dans
la boîte de dialogue Stratégie client ; pour plus d'informations, voir «Mise à jour globale des mots de
passe matériels» à la page 16.
Gestion des utilisateurs enregistrés sur les périphériques Hardware
Password Manager
Lorsqu'un périphérique Hardware Password Manager Lenovo est enregistré auprès du serveur Hardware
Password Manager, l'utilisateur principal de ce périphérique est enregistré en tant qu'utilisateur autorisé de
ce périphérique Hardware Password Manager. Vous pouvez enregistrer des utilisateurs supplémentaires sur
chaque périphérique Hardware Password Manager en utilisant le Portail client sur le périphérique ou en
incluant l'utilisateur dans un groupe Hardware Password Manager possédant des droits sur ce périphérique.
Pour gérer les utilisateurs pour les périphériques Hardware Password Manager, utilisez l'option Utilisateurs
HPM enregistrés dans la boîte à outils de la console ThinkManagement (ou cliquez sur Outils ➙
ThinkVantage Hardware Password Manager ➙ Utilisateurs HPM enregistrés).
L'outil Utilisateurs HPM enregistrés vous permet d'effectuer les opérations suivantes :
• Configurer la connexion au serveur LDAP
• Afficher une liste des utilisateurs Hardware Password Manager
• Afficher les propriétés d'un utilisateur Hardware Password Manager
•
10
Révoquer l'accès d'un utilisateur à un périphérique Hardware Password Manager
Guide de déploiement Hardware Password Manager
Configuration de la connexion à un serveur LDAP
Dans la vue Manage Enrolled Users, les utilisateurs et les groupes sont répertoriés dans une arborescence
qui affiche les utilisateurs et les groupes figurant sur le serveur LDAP que vous utilisez pour l'authentification
Hardware Password Manager. Pour afficher cette structure arborescente, vous devez d'abord configurer la
connexion au serveur LDAP.
Les informations que vous entrez dans cette boîte de dialogue permettent au serveur Hardware Password
Manager de se connecter au serveur LDAP, lequel peut être soit un serveur Microsoft Active Directory, soit
un serveur Novell eDirectory.
Vous pouvez effectuer une migration depuis un serveur LDAP vers un autre sans perdre de données. Si
vous pensez avoir besoin d'utiliser un serveur différent pour l'authentification LDAP, entrez les données
de configuration du nouveau serveur.
Pour configurer une connexion au serveur LDAP :
1. Cliquez sur Utilisateurs HPM enregistrés dans la boîte à outils (ou cliquez sur Outils ➙ ThinkVantage
Hardware Password Manager ➙ Utilisateurs HPM enregistrés).
2. Cliquez sur Serveur LDAP.
3. Entrez le nom d'hôte du serveur LDAP dans le champ Nom d'hôte.
4. Si vous souhaitez utiliser un port autre que le port par défaut pour accéder au serveur, désélectionnez
Utiliser le port par défaut et entrez un autre numéro de port.
5. Sélectionnez Type de serveur (Microsoft Active Directory ou Novell eDirectory).
6. Sélectionnez Type de chiffrement pour le serveur.
7. Entrez les données d'identification utilisées pour accéder au serveur LDAP dans les champs Utilisateur
autorisé et Mot de passe. L'utilisateur peut être indiqué au format domaine\nom d'utilisateur ou
il peut simplement s'agir du nom d'utilisateur.
Affichage des utilisateurs Hardware Password Manager et de leurs
propriétés
L'outil Utilisateurs HPM enregistrés vous permet d'afficher tous les utilisateurs qui sont enregistrés pour
accéder aux périphériques Hardware Password Manager Lenovo. Vous pouvez afficher une liste de tous
les utilisateurs ou sélectionner des groupes dans l'arborescence de répertoires LDAP afin d'afficher des
sous-ensembles de la liste. Vous pouvez afficher toutes les propriétés de chaque utilisateur Hardware
Password Manager enregistré, notamment l'ID utilisateur, le chemin d'accès LDAP, les groupes qui
contiennent l'utilisateur et les périphériques sur lesquels l'utilisateur est enregistré. Ces propriétés ne sont
pas modifiables dans la boîte de dialogue Propriétés.
Pour afficher les utilisateurs Hardware Password Manager enregistrés et leurs propriétés :
1. Cliquez sur Utilisateurs HPM enregistrés dans la boîte à outils (ou cliquez sur Outils ➙ ThinkVantage
Hardware Password Manager ➙ Utilisateurs HPM enregistrés).
2. Pour afficher tous les utilisateurs enregistrés, cliquez sur All users dans la structure arborescente.
3. Pour afficher un sous-ensemble d'utilisateurs, développez un ou plusieurs groupes figurant dans la
structure arborescente, puis cliquez sur un nom de groupe.
4. Pour afficher les propriétés d'un utilisateur, cliquez avec le bouton droit de la souris sur l'utilisateur dans
une liste d'utilisateurs, puis sélectionnez Propriétés.
Remarque : Vous pouvez également sélectionner l'utilisateur et cliquez sur Propriétés dans la barre d'outils.
Les options de la boîte de dialogue Propriétés sont résumées ci-dessous.
Chapitre 3. Gestion des périphériques Hardware Password Manager avec la console ThinkManagement
11
Summary :
Cet onglet répertorie l'ID et le nom usuel de l'utilisateur, le chemin d'accès dans l'arborescence LDAP où
se trouve l'arborescence, et le statut en cours de l'utilisateur. Il répertorie également la date et l'heure
auxquelles l'utilisateur a été enregistré en tant qu'utilisateur Hardware Password Manager.
Member of :
Cet onglet répertorie les groupes LDAP auxquels l'utilisateur appartient, avec le chemin d'accès LDAP de
chaque groupe.
Enrolled devices :
Cet onglet répertorie les périphériques sur lesquels l'utilisateur est enregistré, en indiquant le nom et l'ID
machine du périphérique.
Actions distantes :
Cet onglet répertorie toutes les actions Supprimer l'utilisateur qui ont été exécutées sur l'utilisateur, y
compris le nom du périphérique à partir duquel l'utilisateur a été supprimé et la date et l'heure de dernière
modification du statut.
Suppression de l'accès d'un utilisateur à un périphérique Hardware
Password Manager
Une fois qu'un utilisateur a été enregistré sur un périphérique Hardware Password Manager, vous pouvez
supprimer cet enregistrement si l'utilisateur ne doit plus avoir accès au périphérique. Pour supprimer un
utilisateur, vous créez une action distante qui est appliquée à chaque périphérique spécifié. La prochaine fois
que le périphérique est connecté au serveur Hardware Password Manager pour mettre à jour sa stratégie,
l'utilisateur sera supprimé de la liste des utilisateurs pour ce périphérique.
Pour supprimer un utilisateur d'un périphérique Hardware Password Manager, procédez comme suit :
1. Cliquez sur Utilisateurs HPM enregistrés dans la boîte à outils (ou cliquez sur Outils ➙ ThinkVantage
Hardware Password Manager ➙ Utilisateurs HPM enregistrés).
2. Dans la liste d'utilisateurs, sélectionnez le ou les utilisateurs.
3. Cliquez sur Révoquer l'utilisateur dans la barre d'outils.
4. Dans la boîte de dialogue Créer une action distante, désélectionnez la case à cocher pour un ou
plusieurs périphériques d'où vous souhaitez supprimer l'utilisateur.
5. Cliquez sur OK.
Gestion des groupes Hardware Password Manager
Les groupes Hardware Password Manager définissent un lien entre des groupes d'utilisateurs (définis dans
le serveur LDAP) et des périphériques Hardware Password Manager. Les groupes Hardware Password
Manager sont utiles parce qu'ils autorisent plusieurs utilisateurs à accéder à un ou plusieurs périphériques
sans qu'il soit nécessaire d'enregistrer chaque utilisateur individuellement sur chaque périphérique.
Lorsqu'un périphérique est ajouté à un groupe, tous les membres de ce groupe disposent des droits d'accès
à ce périphérique et peuvent utiliser une connexion à un compte intranet pour se connecter au périphérique.
Lorsque vous ouvrez l'outil Groupes HPM, des groupes sont répertoriés dans l'arborescence LDAP.
Chaque groupe est créé sur votre serveur LDAP ; vous ne pouvez pas créer de groupe dans la console
ThinkManagement. Toutefois, vous pouvez modifier des groupes (définir le rôle du groupe) et faire glisser
des périphériques vers des groupes afin d'associer ces périphériques aux membres de ces groupes.
12
Guide de déploiement Hardware Password Manager
Des groupes de comptes Intranet se distinguent par le rôle défini pour les utilisateur du groupe :
• User : un utilisateur final d'un périphérique Hardware Password Manager.
• Technicien de maintenance : un technicien informatique disposant d'un accès limité au périphérique
pour en assurer la maintenance. L'accès peut être limité à une plage de temps (durée) ou le technicien
peut être autorisé à un nombre défini de connexions.
• Administrateur : un utilisateur administratif autorisé à accéder aux périphériques.
Par exemple, tous les membres d'un groupe qui est défini avec le rôle Technicien de maintenance peuvent
se connecter aux périphériques du groupe un nombre de fois spécifié. Si le rôle est défini pour que
l'utilisateur ne puisse se connecter au périphérique que deux fois, l'accès au périphérique expire pour cet
utilisateur après sa seconde connexion.
Pour modifier un groupe Hardware Password Manager :
1. Cliquez sur Groupes HPM dans la boîte à outils (ou cliquez sur Outils ➙ ThinkVantage Hardware
Password Manager ➙ Groupes HPM).
2. Dans l'arborescence LDAP, cliquez sur un nom de groupe et cliquez sur le bouton Modifier un
groupe de comptes intranet dans la barre d'outils. La plupart des options de la boîte de dialogue
Edit Intranet Account Group ne sont pas modifiables. Vous pouvez sélectionner le rôle du groupe ;
si vous sélectionnez Technicien de maintenance, vous pouvez limiter l'accès aux périphériques
Hardware Password Manager.
3. Sélectionnez le rôle dans la zone de liste déroulante.
4. Sélectionnez Avec expiration si vous souhaitez limiter l'accès au périphérique à une durée ou à un
nombre de connexions spécifiques. (Cela ne s'applique qu'aux utilisateurs Service Tech.)
5. Si vous sélectionnez l'option Avec expiration, sélectionnez Durée et choisissez une heure de début
et de fin pour accéder aux périphériques Hardware Password Manager ; ou sélectionnez Nombre de
connexions restantes, puis choisissez le nombre de connexions ; ou sélectionnez Nombre de jours
autorisés par machine et choisissez un nombre de jours.
6. Cliquez sur OK.
Pour associer des périphériques à un groupe :
1. Cliquez sur Groupes HPM dans la boîte à outils (ou cliquez sur Outils ➙ ThinkVantage Hardware
Password Manager ➙ Groupes HPM).
2. Faites glisser le périphérique depuis la vue du réseau (à partir de Tous les périphériques ou
Périphériques Hardware Password Manager - Ordinateurs) jusque sur le nom du groupe dans
l'arborescence LDAP.
3. Pour afficher les périphériques associés à un groupe, cliquez sur le nom du groupe, puis sur Afficher
les ordinateurs dans la barre d'outils. Pour afficher les utilisateurs associés à un groupe, cliquez sur le
nom du groupe, puis sur Afficher utilisateurs LDAP dans la barre d'outils.
La boîte de dialogue affiche le nom distinctif LDAP du groupe et répertorie les périphériques ou utilisateurs
associés au groupe. Les membres du groupe peuvent se connecter à tous les périphériques répertoriés ici à
moins que vous n'ayez défini le groupe comme un groupe Service Tech dont l'accès aux périphériques est
soumis à une expiration, et que l'association ne soit arrivée à expiration.
Gestion des actions distantes et des paramètres de stratégie pour les
périphériques Hardware Password Manager
Les actions distantes sont des modifications apportées aux paramètres d'un périphérique Hardware
Password Manager qui sont appliquées à un ou plusieurs périphériques par l'administrateur. Ces actions
Chapitre 3. Gestion des périphériques Hardware Password Manager avec la console ThinkManagement
13
comprennent la gestion des données d'identification, l'enregistrement ou l'annulation d'enregistrement des
périphériques, ainsi que l'enregistrement ou la suppression d'utilisateurs.
Les actions distantes ne s'appliquent pas immédiatement aux périphériques Hardware Password Manager.
Une fois que l'administrateur applique à une ou plusieurs actions à un périphérique, les actions sont en
attente jusqu'à la prochaine mise sous tension du périphérique. Le périphérique se connecte alors au
serveur Hardware Password Manager server et demande l'exécution de toutes les actions en attente. Les
actions sont terminées par le client et les nouveaux paramètres deviennent effectifs.
Une action distante consiste à modifier les paramètres de stratégie sur le périphérique Hardware Password
Manager. Il existe deux types de stratégies : celles qui s'appliquent au niveau du système d'exploitation
(stratégies Windows) et celles qui s'appliquent au niveau du BIOS (stratégies du BIOS). Les stratégies
déterminent la façon dont le périphérique gère les données d'identification, et déterminent si l'enregistrement
du périphérique et de l'utilisateur démarrent automatiquement lors de la mise sous tension du périphérique.
Elles déterminent également si plusieurs utilisateurs peuvent être enregistrés sur un périphérique Hardware
Password Manager et la façon dont la connexion utilisateur est gérée pour le menu du BIOS.
Lorsque vous gérez les actions distantes, vous pouvez appliquer les actions de façon individuelle ou
globale. Lorsque l'outil Actions distantes et paramètres de stratégie est ouvert, vous pouvez faire
glisser des périphériques Hardware Password Manager à partir de la vue du réseau et les déposer sur des
actions distantes spécifiques. Vous pouvez aussi utiliser les boutons de la barre d'outils pour appliquer
les actions de façon globale.
Les actions distantes sont les suivantes :
• Renouveler un compte matériel : Remplace les mots de passe matériels du BIOS par un nouveau jeu
de données d'identification qui sont générées par le serveur Hardware Password Manager. Les nouvelles
données d'identification sont stockées dans le compte matériel, une zone sécurisée de mémoire
rémanente qui n'est accessible qu'à partir du BIOS de l'ordinateur.
• Restaurer un compte matériel : Restaure les mots de passe matériels du BIOS dans le compte matériel
à l'aide des données d'identification de secours stockées sur le serveur Hardware Password Manager.
Ces données incluent les sauvegardes des mots de passe utilisateur et système.
• Deregister PC : Efface les mots de passe matériels et modifie le statut dans le BIOS du périphérique
client de Registered en Enabled et supprime le périphérique de la liste des périphériques Hardware
Password Manager dans la console.
• Supprimer l'utilisateur : Supprime un utilisateur de la liste des utilisateurs autorisés à accéder au
périphérique Hardware Password Manager.
• Mettre à jour la stratégie client : Enregistre une stratégie client mise à jour dans le BIOS Hardware
Password Manager du périphérique, en remplacement de la stratégie précédente.
• Mettre à jour les mots de passe matériels communs : Enregistre de nouveaux mots de passe matériels
communs dans le périphérique Hardware Password Manager ; les mots de passe matériels communs
sont valides pour tous les périphériques Hardware Password Manager gérés par le serveur Hardware
Password Manager (voir «Mise à jour globale des mots de passe matériels» à la page 16).
• Mettre à jour le compte d'urgence : Enregistre les données d'identification du compte d'urgence sur le
périphérique Hardware Password Manager ; le nom d'utilisateur et le mot de passe d'urgence peuvent
être utilisés pour restaurer l'accès à un périphérique si l'utilisateur ne parvient pas à se connecter (voir
«Mise à jour du compte d'urgence» à la page 17).
Pour appliquer des actions distances aux périphériques Hardware Password Manager :
1. Cliquez sur Actions distantes et paramètres de stratégies dans la boîte à outils (ou cliquez sur Outils
➙ ThinkVantage Hardware Password Manager ➙ Actions distantes et paramètres de stratégies).
14
Guide de déploiement Hardware Password Manager
2. Pour appliquer une action distante à un périphérique individuel, faites glisser l'objet du périphérique
depuis la vue du réseau vers l'une de ces actions : Renouveler un compte matériel, Restaurer un
compte matériel, Deregister PC ou Mettre à jour la stratégie client.
3. Pour supprimer un utilisateur, faites glisser l'utilisateur cible vers l'action Supprimer l'utilisateur dans
l'arborescence Actions distantes. (Vous pouvez également supprimer des utilisateurs dans l'outil
Utilisateurs HPM enregistrés.)
4. Pour appliquer une stratégie de client mise à jour à tous les périphériques Hardware Password
Manager, cliquez sur le bouton Mettre à jour la stratégie client de façon globale dans la barre
d'outils. Sélectionnez les options de stratégie que vous souhaitez modifier dans les onglets Stratégie
Windows et Stratégie BIOS, puis cliquez sur OK. Voir «Mise à jour globale des stratégies de client» à
la page 15 pour plus d'informations.
5. Pour appliquer des mots de passe communs à tous les périphériques Hardware Password Manager,
cliquez sur le bouton Mettre à jour les mots de passe communs dans la barre d'outils. Sélectionnez
la case à cocher située en regard de chaque type de mot de passe que vous souhaitez appliquer à
l'ensemble des périphériques Hardware Password Manager. Pour utiliser le même mot de passe pour
tous les périphériques, tapez le mot de passe dans la zone de saisie correspondant au type de mot de
passe que vous sélectionnez. Si vous ne renseignez pas cette zone de saisie, un mot de passe unique
sera géré pour chaque périphérique.
6. Pour modifier le compte (administratif) d'urgence sur tous les périphériques Hardware Password
Manager, cliquez sur le bouton Mettre à jour le compte d'urgence dans la barre d'outils. Tapez un
nouveau nom d'utilisateur dans la zone de saisie. Pour utiliser le même mot de passe pour tous les
périphériques, tapez le mot de passe dans la zone de saisie. Si vous ne renseignez pas cette zone de
saisie, un mot de passe unique sera géré pour chaque périphérique.
Mise à jour globale des stratégies de client
Vous pouvez déterminer quelles stratégies de client sont appliquées à tous les périphériques Hardware
Password Manager Lenovo gérés en sélectionnant des stratégies dans la boîte de dialogue Mettre à jour
la stratégie client. Parmi les stratégies que vous pouvez sélectionner, les options suivantes s'appliquent
au niveau du système d'exploitation :
• Données d'identification compte matériel/Windows identiques : Les données d'identification de
connexion stockées dans le compte matériel du BIOS Hardware Password Manager sont identiques aux
données d'identification Windows de l'utilisateur.
• Enregistrement automatique à la connexion Windows : Lorsque l'utilisateur se connecte à Windows
pour la première fois après que le périphérique Hardware Password Manager est géré par le serveur
Hardware Password Manager, l'enregistrement Hardware Password Manager s'ouvre automatiquement.
Lorsque l'utilisateur se connecte à Windows pour la première fois après que le périphérique Hardware
Password Manager soit géré par le serveur Hardware Password Manager, l'enregistrement Hardware
Password Manager s'ouvre automatiquement. Connexions autorisées avant de forcer l'enregistrement
permet au portail client HPM d'être fermé le nombre de fois spécifié lors de la connexion. Plusieurs
scénarios de déploiement sont possibles, où un technicien doit se connecter à la machine un certain
nombre de fois avant la livraison à l'utilisateur final.
• Démarrage automatique de l'enregistrement utilisateur à la connexion Windows : L'enregistrement
Hardware Password Manager s'ouvre automatiquement lorsque le périphérique est enregistré et qu'un
utilisateur non enregistré se connecte.
• Allow multiple users to enroll on a single device : Plusieurs utilisateurs peuvent être enregistrés sur un
périphérique. Si cette case à cocher est désélectionnée, seul le premier utilisateur qui s'enregistre sur le
périphérique peut être un utilisateur enregistré (toutefois, les utilisateurs administrateurs et techniciens de
maintenance peuvent toujours accéder au périphérique si nécessaire).
Les stratégies de niveau BIOS suivantes peuvent être sélectionnées :
• Show last logon account for hardware account : Dans l'écran de connexion utilisateur du BIOS, le
dernier compte utilisateur qui s'est connecté au BIOS s'affiche par défaut.
Chapitre 3. Gestion des périphériques Hardware Password Manager avec la console ThinkManagement
15
• Prompt for hardware account on warm boot : Si le périphérique est redémarré, le BIOS nécessite une
connexion utilisateur pour s'assurer que c'est le même utilisateur qui accède au périphérique après
le redémarrage.
Dans la boîte de dialogue Mettre à jour la stratégie client, une liste de périphériques indique les
périphériques auxquels la nouvelle stratégie sera appliquée lors du prochain démarrage. La boîte de dialogue
contient une sélection de paramètres de stratégie par défaut ; si vous avez modifié les paramètres et que vous
souhaitez revenir aux paramètres par défaut d'origine, cliquez sur Restaurer la configuration par défaut.
L'option de mise à jour est disponible dans la fenêtre Mettre à jour la stratégie client. Cette fenêtre
propose trois options :
1. Appliquer uniquement à la stratégie serveur - Cette option permet de mettre à jour uniquement la
stratégie sur le serveur. Seuls les périphériques Hardware Password Manager enregistrés récemment
seront affectés.
2. Génerer uniquement des actions distantes - Cette option va générer des actions distantes pour
appliquer les modifications de la stratégie aux ordinateurs sélectionnés. La stratégie du client par
défaut ne sera pas modifiée. Les périphériques Hardware Password Manager enregistrés récemment
ne seront pas affectés.
3. Les deux (Par défaut) - Cette option affectera les ordinateurs sélectionnés ainsi que les périphériques
Hardware Password Manager enregistrés récemment.
Mise à jour globale des mots de passe matériels
Hardware Password Manager Lenovo permet la gestion globale des différents mots de passe matériels pour
les périphériques Hardware Password Manager. Vous pouvez indiquer que le même mot de passe doit être
utilisé par tous les périphériques Hardware Password Manager, ou vous pouvez générer automatiquement un
mot de passe différent pour chaque périphérique. Cette fonction gère les types de mots de passe suivants :
• SVP - Le mot de passe superviseur confère à un utilisateur des droits d'accès administrateur complets à
un périphérique, y compris pour la configuration des paramètres du BIOS. Il s'agit d'un sur-ensemble du
mot de passe à la mise sous-tension.
• POP - Le mot de passe à la mise sous tension permet à l'utilisateur de mettre le périphérique sous tension
et d'y accéder avec des droits utilisateur ordinaires.
• MHDP - Le mot de passe d'accès au disque dur maître (MDHP) permet à l'utilisateur d'accéder au disque
dur et de réinitialiser le mot de passe d'accès au disque dur utilisateur. Il s'agit d'une version élaborée du
mot de passe d'accès au disque dur utilisateur (UHDP).
• UHDP - Le mot de passe d'accès au disque dur utilisateur (UDHP) permet à l'utilisateur d'accéder au
disque dur.
Vous pouvez sélectionner n'importe lequel de ces quatre types de mots de passe à appliquer aux
périphériques Hardware Password Manager gérés. Si vous sélectionnez un type de mot de passe et
souhaitez que tous les périphériques utilisent le même mot de passe, tapez ce mot de passe dans la zone de
saisie. Si vous souhaitez que chaque périphérique dispose d'un mot de passe unique, sélectionnez la case à
cocher correspondant à ce type de mot de passe, mais laissez la zone de saisie vide.
Si vous avez apporté des modifications et si vous souhaitez rétablir les valeurs par défaut, cliquez sur
Restaurer la configuration par défaut. Par défaut, les quatre types de mot de passe sont définis avec
un mot de passe généré de façon unique pour chaque périphérique.
Après avoir modifié ces paramètres et cliqué sur OK, une tâche d'action distante est créée dans la liste
arborescente des actions distantes (dans le dossier Mettre à jour les mots de passe matériels communs).
Vous pouvez cliquer sur cette tâche pour en afficher le statut lorsqu'elle est appliquée aux périphériques
Hardware Password Manager. Sous cette tâche dans l'arborescence, les périphériques sont répertoriée par
16
Guide de déploiement Hardware Password Manager
statut : Actif, En suspens, Echec ou Réussite. Vous pouvez également afficher tous les périphériques
dans le dossier Tous les périphériques.
Pour afficher les mots de passe matériels actuels pour un périphérique Hardware Password Manager qui a
été la cible cette action distante, procédez comme suit :
1. Cliquez sur Actions distantes et paramètres de stratégie dans la boîte à outils ou cliquez sur Outils
➙ ThinkVantage Hardware Password Manager ➙ Actions distantes et paramètres de stratégie.
2. Dans l'arborescence Actions distantes, développez Actions distantes par type.
3. Développez Mettre à jour les mots de passe matériels communs.
4. Cliquez sur le dossier All devices ou sur l'un des dossiers de statut. Cliquez deux fois sur un nom
de périphérique dans la liste des périphériques.
La boîte de dialogue Afficher les mots de passe matériels affiche les définitions de mots de passe en
cours pour le périphérique qui ont été modifiées par la tâche de l'action distante, ainsi que la date et l'heure
auxquelles le mot de passe a été modifié.
L'option de mise à jour est disponible dans la boîte de dialogue Mettre à jour les mots de passe matériels
communs. Cette fenêtre propose trois options :
1. Appliquer uniquement à la stratégie serveur - Cette option permet de mettre à jour uniquement la
stratégie sur le serveur. Seuls les périphériques Hardware Password Manager enregistrés récemment
seront affectés.
2. Générer uniquement des actions distantes - Cette option va générer des actions distantes pour
appliquer les modifications de la stratégie aux ordinateurs sélectionnés. La stratégie du client par
défaut ne sera pas modifiée. Les périphériques Hardware Password Manager enregistrés récemment
ne seront pas affectés.
3. Les deux (Par défaut) - Cette option affectera les ordinateurs sélectionnés ainsi que les périphériques
Hardware Password Manager enregistrés récemment.
Mise à jour du compte d'urgence
Chaque périphérique Hardware Password Manager Lenovo possède un compte d'accès d'urgence qui peut
être utilisé pour se connecter au périphérique si l'utilisateur ne parvient pas à se connecter. Vous pouvez
modifier les données d'identification pour ce compte et appliquer les modifications à tous les périphériques
Hardware Password Manager à l'aide de l'action distante Mettre à jour le compte d'urgence.
Par défaut, le nom d'utilisateur est admin et le mot de passe est généré de façon unique pour chaque client.
Vous pouvez modifier le nom d'utilisateur, le mot de passe ou les deux. Si vous indiquez un nom d'utilisateur
mais que vous ne renseignez pas la zone de mot de passe, un mot de passe unique sera généré pour
chaque périphérique. Si vous avez apporté des modifications et si vous souhaitez rétablir les valeurs par
défaut, cliquez sur Restaurer la configuration par défaut.
Pour afficher les données d'identification actuelles du compte d'urgence pour un périphérique Hardware
Password Manager qui a été la cible d'une action distante, procédez comme suit :
1. Cliquez sur Actions distantes et paramètres de stratégies dans la boîte à outils ou cliquez sur Outils
➙ ThinkVantage Hardware Password Manager ➙ Actions distantes et paramètres de stratégies.
2. Dans l'arborescence Actions distantes, développez Actions distantes par type.
3. Développez Mettre à jour le compte d'urgence.
4. Cliquez sur le dossier All devices ou sur l'un des dossiers de statut. Cliquez deux fois sur un nom
de périphérique dans la liste des périphériques.
Chapitre 3. Gestion des périphériques Hardware Password Manager avec la console ThinkManagement
17
La boîte de dialogue Afficher le compte d'urgence affiche les données d'identification actuelles du compte
d'urgence pour le périphérique qui ont été modifiées par la tâche de l'action distante, ainsi que la date et
l'heure auxquelles les données d'identification ont été modifiées.
L'option de mise à jour est disponible dans la fenêtre Mettre à jour le compte d'urgence. Cette fenêtre
propose trois options :
1. Appliquer uniquement à la stratégie serveur - Cette option permet de mettre à jour uniquement la
stratégie sur le serveur. Seuls les périphériques Hardware Password Manager enregistrés récemment
seront affectés.
2. Générer uniquement des actions distantes - Cette option va générer des actions distantes pour
appliquer les modifications de la stratégie aux ordinateurs sélectionnés. La stratégie client par défaut
n'est pas modifiée, donc les périphériques Hardware Password Manager enregistrés récemment ne
seront pas affectés.
3. Les deux (Par défaut) - Cette option affectera les ordinateurs sélectionnés ainsi que les périphériques
Hardware Password Manager enregistrés récemment.
Modification des paramètres de stratégie de serveur
Les paramètres de stratégie de serveur comprennent différentes façons de gérer l'enregistrement des
utilisateurs, les données d'identification et les paramètres du Portail client et du BIOS pour les périphériques
Hardware Password Manager Lenovo que vous gérez. Les paramètres sont modifiés à partir de la console
ThinkManagement ; les éléments qui affectent les périphériques individuels sont ensuite mis en attente dans
une file d'attente jusqu'à la prochaine fois qu'un périphérique est amorcé et qu'il demande une stratégie
mise à jour.
Pour modifier les paramètres de stratégie de serveur :
1. Cliquez sur Actions distantes et paramètres de stratégie dans la boîte à outils ou cliquez sur Outils
➙ ThinkVantage Hardware Password Manager ➙ Actions distantes et paramètres de stratégie.
2. Cliquez sur Mettre à jour les paramètres de la stratégie serveur dans la barre d'outils.
3. Apportez des modifications dans les quatre onglets de la boîte de dialogue, puis cliquez sur OK une
fois que vous avez terminé.
Les onglets de la boîte de dialogue Paramètres de la stratégie serveur sont décrits ci-dessous.
• Général - Cet onglet répertorie le nom, l'adresse IP et le port UDP du serveur Hardware Password
Manager utilisés pour authentifier les utilisateurs Hardware Password Manager. La section Etat du
service de portail indique si le service de portail est en cours d'exécution sur le serveur Hardware
Password Manager. Le service de portail est un serveur UDP, l'un des composants du serveur Hardware
Password Manager. Il sert à la communication avec le BIOS du périphérique Hardware Password
Manager lorsque l'utilisateur se connecte à l'aide d'une connexion à un compte intranet. Vous pouvez
démarrer, arrêter ou redémarrer le service à votre guise à partir de cette boîte de dialogue.
Sélectionnez l'option Autoriser les utilisateurs à s'enregister sur plusieurs périphériques si vous
souhaitez autoriser chaque compte intranet à s'enregistrer sur plusieurs périphériques Hardware
Password Manager. Si cette case à cocher est désélectionnée, un seul compte intranet peut s'enregistrer
sur un périphérique.
Sélectionnez la case à cocher Activer l'enregistrement «en un clic» si vous souhaitez préenregistrer
de nouveaux périphériques Hardware Password Manager à l'aide des options en un clic de Lenovo.
L'enregistrement en un clic enregistre automatiquement le périphérique et crée le compte admin
d'urgence lorsque l'utilisateur se connecte à Windows. Voir aussi Chapitre 5 «Déploiement» à la page 27.
Sélectionnez Autoriser le premier utilisateur connecté sur une machine en tant qu'administrateur si
vous souhaitez que le premier utilisateur enregistré dispose des droits d'administrateur dans le BIOS.
18
Guide de déploiement Hardware Password Manager
• Credentials - Cet onglet détermine la longueur des mots de passe générés automatiquement ainsi que
le nombre de sauvegarde des mots de passe à conserver. Les sauvegardes sont chiffrées et stockées
dans la base de données Hardware Password Manager. Par défaut, les mots de passe matériels générés
automatiquement, ainsi que les mots de passe de comptes admin d'urgence, ont une longueur comprise
entre 15 et 20 caractères. Vous pouvez modifier les limites de longueur minimale et maximale pour ces
deux types de mots de passe. Vous pouvez également indiquer le nombre de sauvegardes à enregistrer
pour les mots de passe matériels. La longueur maximale du mot de passe est 64.
• Client Portal - Cet onglet détermine quelles options de menu sont activées pour être affichées dans le
menu Client Portal (Portail client) sur les périphériques Hardware Password Manager gérés. L'utilisateur
de périphérique accède au portail à partir du menu Démarrer de Windows (Démarrer ➙ Tous les
programmes ➙ ThinkVantage ➙ Hardware Password Manager). Les options du menu Client Portal
sont toujours sélectionnées. Lorsque vous exécutez des tâches telles que Supprimer l'utilisateur après
avoir entré les données d'identification intranet associées aux rôles Utilsiateur, Technicien de maintenance
et Administrateur, vous obtiendrez un message d'erreur si vous ne disposez pas des droits d'accès au
Portail client. Les utilisateurs se connectent aux périphériques Hardware Password Manager avec un
rôle qui leur a été affecté et qui correspond au groupe d'utilisateurs auquel l'utilisateur appartient. (Pour
une description des rôles, voir «Gestion des groupes Hardware Password Manager» à la page 12.) Ainsi,
par exemple, un utilisateur peut voir toutes les options sur le Portail client, tandis qu'un technicien de
maintenance ne peut accéder qu'à un ensemble limité d'options. Si un utilisateur tente d'exécuter une
option qui n'est pas sélectionnée pour ce rôle, un message d'erreur s'affiche.
• BIOS - Cet onglet détermine quelles options de menu sont activées pour être affichées dans le menu
BIOS des périphériques Hardware Password Manager gérés et vous permet d'indiquer quelles versions
du BIOS sont exclues de la gestion des périphériques Hardware Password Manager. Les options du
menu BIOS sont sélectionnées séparément pour les trois rôles d'utilisateur : User, Service Tech et
Administrator. Les utilisateurs se connectent aux périphériques Hardware Password Manager avec un
rôle qui leur a été affecté et qui correspond au groupe d'utilisateurs auquel l'utilisateur appartient. (Pour
une description des rôles, voir «Gestion des groupes Hardware Password Manager» à la page 12.) Ainsi,
par exemple, un utilisateur peut voir toutes les options dans le menu BIOS Hardware Password Manager,
tandis qu'un technicien de maintenance ne peut accéder qu'à un ensemble limité d'options.
Remarque : Lorsque la stratégie de client est définie sur Données d'identification compte
matériel/Windows identiques, l'option Modifier le mot de passe du compte matériel ne sera pas
visible, qu'elle ait été ou non sélectionnée pour le rôle.
La section Liste des versions du BIOS à exclure vous permet de répertorier les versions du BIOS que
vous souhaitez exclure de la gestion Hardware Password Manager. Si vous essayez d'exécuter des
actions distantes sur un périphérique avec un BIOS répertorié dans cette liste, l'action distante échouera.
De même, si vous essayez d'enregistrer un périphérique Hardware Password Manager dont le BIOS est
répertorié dans cette liste, l'enregistrement ne s'effectuera pas.
Definition des étendues et des rôles des utilisateurs de la console
Vous pouvez définir les étendues et les rôles de manière à contrôler l'accès aux différentes fonctions
Hardware Password Manager dans la console ThinkManagement.
Les étendues permettent de définir à quels périphériques peut accéder un utilisateur de la console. Pour
créer une étendue, procédez comme suit :
1. Sélectionnez Administration dans la boîte à outils de la console.
2. Double-cliquez sur Utilisateurs pour ouvrir l'outil Utilisateurs.
3. Cliquez sur + dans la barre d'outils. Vous pouvez également cliquer sur Etendues à l'aide du bouton
droit de la souris, puis sélectionner Nouvelle étendue.
4. Entrez un nom pour l'étendue.
5. Sélectionnez Requête LDMS en tant que type d'étendue, puis cliquez sur Nouveau.
Chapitre 3. Gestion des périphériques Hardware Password Manager avec la console ThinkManagement
19
6. Sélectionnez un élément dans la liste (par exemple : Nom de l'ordinateur, Emplacement de l'ordinateur,
Nom de domaine, etc.).
7. Sélectionnez un opérateur de comparaison (par exemple : =, <>, Like, Exists, etc.).
8. Sélectionnez une valeur existante dans les valeurs analysées qui s'affichent ou entrez une valeur sous
Modifier des valeurs.
9. Cliquez sur Insérer.
10. Cliquez sur OK.
11. Cliquez sur OK.
Une fois que vous avez défini les étendues nécessaires, vous pouvez créer des rôles à associer à ces
étendues. Pour créer un rôle, procédez comme suit :
1. Dans l'outil Utilisateurs, allez dans la barre d'outils et cliquez sur +. Vous pouvez également cliquer sur
Rôles à l'aide du bouton droit de la souris, puis sélectionner Nouveau rôle.
2. Entrez un nom pour ce rôle.
3. Sélectionnez les niveaux d'autorisation des fonctions de Hardware Password Manager dont l'accès est
autorisé pour ce rôle. Les niveaux d'autorisation sont classés en trois catégories : Afficher, Editer et
Déployer. En fonction du type d'autorisation, vous pouvez sélectionner un ou deux niveaux sur les trois.
4. Sélectionnez les étendues à associer à ce rôle.
5. Cliquez sur Enregistrer.
Pour que les utilisateurs puissent accéder à la console, ils doivent faire partie d'un groupe pour lequel l'accès
est autorisé. Pour contrôler cet accès, créez une nouvelle authentification et définissez des autorisations
de groupe en procédant comme suit :
1. Dans l'outil Utilisateurs, allez dans la barre d'outils et cliquez sur +. Vous pouvez également cliquer sur
Authentifications à l'aide du bouton droit de la souris, puis sélectionner Nouvelle authentification.
2. Entrez un nom d'authentification.
3. Entrez le nom de domaine complet.
4. Entrez le nom d'utilisateur et le mot de passe d'un compte de service pouvant être utilisé pour
rechercher le répertoire.
5. Cliquez sur OK.
Pour attribuer des autorisations à un groupe pouvant être authentifié via la nouvelle authentification,
procédez comme suit :
1. Dans l'outil Utilisateurs, allez dans la barre d'outils et cliquez sur +. Vous pouvez également cliquer sur
Autorisations de groupe à l'aide du bouton droit de la souris, puis sélectionner Nouvelle autorisation
de groupe.
2. Entrez un nom d'autorisation de groupe.
3. Sélectionnez l'authentification créée précédemment dans la liste déroulante Authentification Active
Directory.
4. Vous pouvez rechercher le groupe de votre choix dans l'arborescence ou saisir le nom de ce groupe
dans le champ Groupe Active Directory, puis cliquer sur Rechercher.
5. Cliquez sur >> pour ajouter le groupe de votre choix à la liste Groupes Active Directory ciblés.
6. Si besoin, répétez l'étape 5.
7. Sélectionnez le ou les rôle(s) à associer à cette autorisation de groupe.
8. Cliquez sur Enregistrer.
Lorsque les utilisateurs se connectent à la console, il doivent désormais sélectionner l'authentification
appropriée et saisir les données d'identification. Le niveau d'accès autorisé dépend des étendues et des
rôles que vous venez de définir.
20
Guide de déploiement Hardware Password Manager
Chapitre 4. Client Hardware Password Manager
Les périphériques Lenovo qui prennent en charge Hardware Password Manager doivent être enregistrés
auprès d'un serveur d'administration (appelé le serveur Hardware Password Manager). Le processus
d'enregistrement d'un périphérique commence par l'installation d'un agent sur ce périphérique. Après que
l'utilisateur termine l'enregistrement initial via le Portail client Hardware Password Manager, le périphérique
est enregistré ; un ou plusieurs utilisateurs sont ensuite enregistrés en tant qu'utilisateurs authentifiés sur
ce périphérique. Lorsque Hardware Password Manager est installé, seuls les utilisateurs enregistrés (ou
les utilisateurs d'un groupe auquel ce périphérique est associé) peuvent se connecter au périphérique.
L'accès au périphérique, et même l'accès au disque dur, est limité aux utilisateurs enregistrés (ou aux
utilisateurs appartenant au même groupe que le le périphérique) tant que Hardware Password Manager est
en cours d'exécution.
Le serveur principal de la console ThinkManagement fait office de serveur Hardware Password Manager, et
les fonctions de gestion sont accessibles via la console. Ces fonctions permettent à l'administrateur de
gérer les périphériques Hardware Password Manager, d'installer des agents sur les périphériques Hardware
Password Manager activés dans le BIOS et de gérer les enregistrements sur ces périphériques.
Sur un périphérique Hardware Password Manager, les fonctions de gestion sont accessibles via un menu
du BIOS (accessible avant le démarrage du système d'exploitation) et via le menu Client Portal (accessible
automatiquement après la connexion à Windows ou à partir du menu Démarrer). L'administrateur peut
personnaliser ces menus pour déterminer quelles fonctions sont accessibles.
Le présent chapitre contient des informations sur l'utilisation des périphériques Hardware Password
Manager avec Lenovo Hardware Password Manager. Il s'adresse à l'utilisateur final qui enregistrera le
périphérique auprès du serveur Hardware Password Manager et s'enregistrera en tant qu'utilisateur. Ce
guide est composé des sections suivantes :
•
«Configuration du périphérique Hardware Password Manager» à la page 21
•
«Enregistrement d'un périphérique auprès du serveur Hardware Password Manager et enregistrement du
premier utilisateur» à la page 22
•
«Enregistrement d'utilisateurs supplémentaires sur un périphérique Hardware Password Manager» à
la page 23
•
«Suppression d'un utilisateur d'un périphérique Hardware Password Manager» à la page 23
•
«Annulation de l'enregistrement d'un périphérique sur le serveur Hardware Password Manager» à
la page 24
•
«Mise à jour des données d'identification sur un périphérique Hardware Password Manager» à la page 24
Configuration du périphérique Hardware Password Manager
Avant d'enregistrer un périphérique pour Hardware Password Manager, vous devez modifier certains
paramètres dans le BIOS :
1. Mettez l'ordinateur sous tension.
2. Appuyez sur F1 pour entrer dans la fenêtre de configuration du BIOS.
3. Sélectionnez Password dans l'onglet Security.
4. Sélectionnez Hardware Password Manager et définissez la valeur Enabled.
5. Appuyez sur F10 pour enregistrer et quitter cette fenêtre.
© Copyright Lenovo 2010
21
Enregistrement d'un périphérique auprès du serveur Hardware Password
Manager et enregistrement du premier utilisateur
Pour qu'il soit possible d'enregistrer un périphérique auprès du serveur Hardware Password Manager, le
client Hardware Password Manager doit avoir été installé sur le périphérique et activé dans le BIOS. Cette
opération est effectuée par l'administrateur de la console ThinkManagement qui installe un agent avec le
client Hardware Password Manager sur le périphérique.
Une fois le client installé, il communique avec le serveur Hardware Password Manager pour authentifier le
périphérique. Le client peut ensuite demander les paramètres de stratégie Hardware Password Manager
auprès du serveur Hardware Password Manager. Le processus d'enregistrement est alors terminé lorsque
l'utilisateur entre ses données d'identification pour se connecter au périphérique.
Pour que l'enregistrement s'effectue, le périphérique doit être connecté au réseau sur lequel se trouve le
serveur Hardware Password Manager.
L'administrateur a deux options pour lancer l'enregistrement de périphériques Hardware Password Manager :
• L'enregistrement est démarré automatiquement lorsque l'utilisateur se connecte à Windows. Pour cette
option, l'administrateur sélectionne l'option Enregistrement automatique à la connexion Windows
dans la stratégie de client qui est appliquée aux périphériques Hardware Password Manager.
• L'utilisateur ouvre le Portail client pour commencer l'enregistrement.
Pour enregistrer un périphérique auprès du serveur Hardware Password Manager et enregistrer un utilisateur :
1. Cliquez sur Démarrer ➙ Tous les programmes ➙ ThinkVantage ➙ Hardware Password Manager
pour ouvrir le Portail client. (Si votre administrateur a configuré le démarrage automatique, le portail
s'ouvre automatiquement lorsque vous vous connectez.)
2. Cliquez sur Redémarrer pour redémarrer le périphérique.
3. Après le chargement du BIOS, le processus d'initialisation de HPM vérifie que vous souhaitez poursuivre
l'enregistrement. Appuyez sur Entrée pour continuer. Après que Windows a démarré et que vous vous
êtes connecté, la boîte de dialogue Portail client s'affiche automatiquement.
4. Sous Enter your Windows account, entrez votre nom d'utilisateur et votre nom de passe pour vous
connecter à Windows. Le nom d'utilisateur que vous utilisez actuellement pour vous connecter est
déjà renseigné.
5. Sous Entrez votre compte intranet, entrez votre nom d'utilisateur, mot de passe et domaine
nécessaires à la connexion au domaine sur ce périphérique.
Remarque : Si la stratégie est définie pour le compte intranet est identique à celle du compte Windows,
un seul jeu de données d'identification vous sera demandé.
6. La fenêtre en incrustation Entrez votre compte intranet peut apparaître en fonction de la stratégie
serveur. Cliquez sur Terminer.
7. Il se peut que votre système se mette parfois en veille avant de reprendre ses opérations
automatiquement.
8. Après vous être connecté au bureau, un message vous invite à redémarrer.
9. Cliquez sur OK pour redémarrer le périphérique.
10. A l'invite de connexion du BIOS, connectez-vous à l'aide de vos données d'identification Windows ou
vos données d'identification de compte matériel pour le périphérique.
Si vous désélectionnez Autoriser premier utilisateur enregistré sur une machine en tant
qu'administrateur, le premier utilisateur enregistré dispose de droits utilisateur dans le BIOS. Si vous
22
Guide de déploiement Hardware Password Manager
sélectionnez Autoriser premier utilisateur enregistré sur une machine en tant qu'administrateur, le
premier utilisateur enregistré dispose de droits d'administrateur dans le BIOS.
Enregistrement d'utilisateurs supplémentaires sur un périphérique
Hardware Password Manager
Plusieurs utilisateurs peuvent se connecter à un périphérique Hardware Password Manager avec une
protection par connexion unique si votre administrateur a activé cette possibilité. Lorsque un ou
plusieurs des utilisateurs enregistrés se connectent au périphérique, le Portail client s'exécute et ils sont
automatiquement connectés à Windows.
Les conditions suivantes doivent être remplies pour que des utilisateurs supplémentaires puissent être
enregistrés sur un périphérique :
• Dans la stratégie de client appliquée au périphérique, l'option Allow multiple users to enroll on a
single device doit être sélectionnée.
• Un compte doit être créé sur le périphérique, pour chaque utilisateur supplémentaire.
• Vous devez faire glisser les périphériques sous Hardware Password Manager Devices vers le groupe
Active Directory ou eDirectory répertorié dans l'outil Groupes HPM.
Si votre administrateur a activé l'enregistrement de plusieurs utilisateurs sur un périphérique, procédez de la
façon suivante pour enregistrer plusieurs utilisateurs.
Pour enregistrer un utilisateur supplémentaire sur un périphérique Hardware Password Manager :
1. Connectez-vous à Windows.
2. Cliquez sur Démarrer ➙ Tous les programmes ➙ ThinkVantage ➙ Hardware Password Manager
pour ouvrir le Portail client. (Si votre administrateur a configuré le démarrage automatique, le portail
s'ouvre automatiquement.)
3. Cliquez sur Enroll additional user.
4. Entrez les données d'identification intranet de l'utilisateur, ses données d'identification Windows ou ses
données d'identification de compte matériel en fonction de la stratégie définie sur le serveur.
5. Lorsque la fenêtre d'interruption du décompte du temps imparti s'affiche, patientez 30 secondes ou
cliquez sur OK pour interrompre le décompte.
6. Après vous être connecté au bureau, un message vous invite à redémarrer.
7. A l'invite de connexion du BIOS, connectez-vous à l'aide des données d'identification Windows de
l'utilisateur supplémentaire sur ce périphérique.
Remarque : Si la stratégie est définie de sorte que les données d'identification du coffre ne
correspondent pas aux données d'identification Windows, connectez-vous à l'aide des données
d'identification du compte matériel pour l'utilisateur supplémentaire.
L'utilisateur supplémentaire enregistré disposera de droits d'utilisateur ou de droits d'administrateur dans le
BIOS, en fonction du rôle du groupe : User, Administrator ou Service Tech.
Suppression d'un utilisateur d'un périphérique Hardware Password
Manager
Lorsqu'un utilisateur ne doit plus avoir accès à un périphérique Hardware Password Manager, vous pouvez
annuler son enregistrement sur ce périphérique. Une fois que l'enregistrement d'un utilisateur a été annulé,
seules les données d'identification de cet utilisateur sont supprimées du compte matériel. Les données
Chapitre 4. Client Hardware Password Manager
23
d'identification de compte matériel restent sur ce périphérique et les données d'identification des autres
utilisateurs ne sont pas affectées.
Pour supprimer un utilisateur d'un périphérique Hardware Password Manager, procédez comme suit :
1.
Connectez-vous à Windows.
2. Cliquez sur Démarrer ➙ Tous les programmes ➙ ThinkVantage ➙ Hardware Password Manager
pour ouvrir le Portail client.
3. Cliquez sur Supprimer l'utilisateur.
4. Entrez les données d'identification de votre compte intranet lorsqu'un message vous y invite.
5. Cliquez sur OK pour confirmer que le système va s'interrompre. Le système reprend automatiquement
après avoir annulé l'enregistrement de l'utilisateur.
Annulation de l'enregistrement d'un périphérique sur le serveur
Hardware Password Manager
L'enregistrement d'un périphérique sur le serveur the Hardware Password Manager peut être annulé de
deux façons :
• L'utilisateur peut ouvrir le menu de connexion (Login Menu) à Hardware Password Manager dans le BIOS
et annuler l'enregistrement du périphérique. (Voir le paragraphe Pour ouvrir le menu de connexion à
Hardware Password Manager.)
• L'administrateur peut annuler l'enregistrement du périphérique à l'aide des outils d'administration
Hardware Password Manager dans la console ThinkManagement.
Une fois que l'enregistrement du périphérique est annulé, les fonctionnalités Hardware Password Manager
ne sont plus effectives à moins que le périphérique ne soit à nouveau enregistré auprès du serveur Hardware
Password Manager.
Mise à jour des données d'identification sur un périphérique Hardware
Password Manager
Une fois que Hardware Password Management est activé sur un périphérique, vous pouvez accéder au
menu de connexion à Hardware Password Manager pour apporter des modifications à la gestion des mots
de passe. Vous pouvez également accéder au Portail client pour effectuer les tâches d'enregistrement.
Ces menus affichent les options de gestion des mots de passe qui sont disponibles sur votre périphérique.
Les options disponibles dans ces menus sont configurées par l'administrateur sur le serveur Hardware
Password Manager ; les options suivantes peuvent ne pas être toutes disponibles en fonction de la façon
dont votre administrateur a configuré Hardware Password Manager.
Les options ci-dessous font référence à un compte matériel. Il s'agit d'une zone sécurisée de mémoire
rémanente qui n'est accessible qu'à partir du BIOS de l'ordinateur. Les données d'identification matérielles
et celles de tous les utilisateurs sont stockées dans le compte matériel. Bien que l'utilisateur n'accède pas
directement au compte matériel, lorsque des données d'identification sont ajoutées ou modifiées, elles sont
enregistrées dans le compte matériel.
Le menu de connexion à Hardware Password Manager peut inclure les tâches suivantes :
• Démarrer Windows
• Restaurer les comptes matériels (restaurer les données d'identification enregistrées dans le compte
matériel)
• Annuler l'enregistrement d'un PC
24
Guide de déploiement Hardware Password Manager
• Modifier le mot de passe du compte matériel
• Annuler l'enregistrement du périphérique sur le serveur Hardware Password Manager
Le menu du Portail client peut inclure les tâches suivantes :
• Enregistrer le périphérique
• Enregistrer le premier utilisateur
• Enregistrer des utilisateurs supplémentaires
• Supprimer l'utilisateur
• Renouveler un compte matériel
• Restaurer un compte matériel
Pour ouvrir le menu de connexion à Hardware Password Manager :
1. Mettez le périphérique sous tension.
2. A l'invite de connexion utilisateur, appuyez sur la touche Echap.
3. Sélectionnez Intranet account login pour ouvrir le menu du BIOS HPM.
4. Entrez les données d'identification d'entreprise valides.
5. Le menu Hardware Password Manager s'ouvre.
Pour ouvrir le Portail client, cliquez sur Démarrer ➙ Tous les programmes ➙ ThinkVantage ➙ Hardware
Password Manager dans Windows.
Chapitre 4. Client Hardware Password Manager
25
26
Guide de déploiement Hardware Password Manager
Chapitre 5. Déploiement
Le présent chapitre contient des informations de déploiement supplémentaires concernant l'utilisation
des périphériques Hardware Password Manager avec Hardware Password Manager. Il s'adresse à
l'administrateur qui assurera la gestion des périphériques avec le serveur Hardware Password Manager et
configurera ces périphériques. Ce guide est composé des sections suivantes :
•
«Intégration des empreintes digitales» à la page 27
•
«Compatibilité avec Safe Guard Easy/Safe Guard Enterprise» à la page 29
•
«Enregistrement en un clic» à la page 29
Intégration des empreintes digitales
L'utilitaire Hardware Password Manager est pleinement compatible avec les logiciels Lenovo Fingerprint
Software recommandés (Authentec et UPEK). Pour les clients Windows XP®, il est conseillé d'installer le
client Hardware Password Manager sans la fonction GINA de Hardware Password Manager. Cela permettra
à l'utilisateur d'effectuer une connexion unique à Windows à l'aide de ses empreintes digitales. Pour
installer l'application client Hardware Password Manager sans la fonction GINA, utilisez la commande
d'installation suivante :
HPMClientInstall.exe /vNOGINA=1
Par ailleurs, l'ordre d'enregistrement est important lorsque Hardware Password Manager est utilisé avec
Fingerprint Software. Enregistrez-vous d'abord dans Hardware Password Manager pour définir des mots
de passe matériels. Enregistrez ensuite vos empreintes digitales pour l'accès avant amorçage à l'aide de
Fingerprint Software. Lorsque vous enregistrez vos empreintes digitales pour la première fois, arrêtez et
redémarrez votre ordinateur. Lorsque vous passez votre empreinte digitale sur le lecteur, la connexion
utilisateur vous invite à entrer vos informations d'identification et vous connecte au bureau. Après le
deuxième redémarrage de l'ordinateur, passez votre empreinte digitale sur le lecteur et les mots de passe
matériels réels seront publiés dans le BIOS. A ce stade, vous pouvez établir une connexion unique à
Windows simplement en effleurant le lecteur avant l'amorçage.
Si vous voyez l'assistant d'enregistrement des empreintes digitales et l'assistant d'enregistrement Hardware
Password Manager s'afficher en même temps après que vous vous êtes connecté à Windows, commencez
par l'assistant d'enregistrement Hardware Password Manager. Toutefois, si vous commencez par enregistrer
vos empreintes digitales et si vous n'avez pas encore défini de mots de passe matériels, vous pouvez
toujours synchroniser vos empreintes digitales à l'aide du compte Hardware Password Manager. Lancez
Fingerprint Software et activez l'authentification avant amorçage et la connexion unique. Suivez ensuite
les instructions ci-dessous :
Si vous créez une image, vous pouvez utiliser la procédure suivante dans votre image pour supprimer
l'assistant d'enregistrement des empreintes digitales jusqu'à ce que le système soit enregistré dans
Hardware Password Manager :
1. Désactivez l'assistant d'enregistrement des empreintes digitales au démarrage en définissant les
valeurs suivantes sur 0. Authentec :
HKEY_CURRENT_USER\Software\Authentic Biometric Suite\bFingerprintSoftwareStartUp
UPEK :
HKEY_CURRENT_USER\Software\Protector Suite\Control Center\1.0\ShowOnStartup
2. Créez un script qui active l'assistant d'enregistrement des empreintes digitales si le système est
enregistré dans Hardware Password Manager et si l'utilisateur en cours est enregistré dans Hardware
Password Manager. Le dossier programme Hardware Password Manager contient un utilitaire que les
© Copyright Lenovo 2010
27
administrateurs de systèmes informatiques peuvent utiliser pour obtenir le statut des enregistrements
dans un script.L'interface du script est définie comme suit :
• Utility Name: cmp_util.exe
• Prerequisite: psadd.sys device driver, cmp_server_dll.dll
• Usage: cmp_util.exe<commande> où <commande> est l'une des valeurs suivantes :
– supported* - indique si l'utilitaire est pris en charge sur le système en cours
– registered - indique si le système en cours est enregistré dans l'utilitaire
– enrolled - indique si l'utilisateur système Windows en cours est enregistré dans l'utilitaire
– enabled - indique si l'utilitaire est activé dans le programme du BIOS
– show - affiche les résultats sur la console pour toutes les commandes ci-dessus
• Codes retour :
– 0 - faux
– 1 - vrai
– 2 - erreur
• Exemple :
cmp_util.exe -supported
Le comportement de l'enregistrement des empreintes digitales varie légèrement entre un système enregistré
dans Hardware Password Manager et un système non enregistré. Pour les systèmes enregistrés, le
programme du BIOS invite l'utilisateur à saisir les données d'identification de connexion utilisateur Hardware
Password Manager (ID de compte et mot de passe matériels) au lieu des mots de passe matériels réels.
Après avoir vérifié les données d'identification de connexion utilisateur spécifiées, le programme du BIOS
obtient les mots de passe matériels réels à partir du compte matériel et les sauvegarde dans le lecteur
d'empreintes digitales.
Autres scénarios d'empreintes digitales à envisager :
1. L'utilisateur s'enregistre dans Hardware Password Manager après avoir enregistré ses
empreintes digitales pour l'authentification avant amorçage (les mots de passe matériels sont
définis) Dans ce scénario, l'utilisateur a déjà défini un mot de passe à la mise sous tension et s'est
enregistré pour l'authentification par empreintes digitales avant amorçage. Le Portail client gère
ce scénario de la même façon que lorsque des mots de passe avant amorçage sont définis avant
l'enregistrement dans Hardware Password Manager. Dans ce cas, le Portail client invite l'utilisateur
à supprimer tous les mots de passe matériels.
2. L'utilisateur s'enregistre dans Hardware Password Manager après avoir enregistré ses
empreintes digitales pour l'authentification avant amorçage (les mots de passe matériels sont
effacés) Dans ce scénario, l'utilisateur s'est enregistré pour l'authentification par empreintes digitales
avant amorçage, mais il a effacé manuellement le mot de passe à la mise sous tension et le mot de
passe d'accès au disque dur (comme cela lui a été demandé dans le scénario précédent). Le système
démarre et l'utilisateur peut s'enregistrer dans Hardware Password Manager. Toutefois, la prochaine fois
que l'utilisateur démarre le système et qu'il passe le doigt sur le lecteur, le programme du BIOS extrait
l'ancien mot de passe ou mots de passe à partir du périphérique de lecture d'empreintes digitales et
détermine qu'ils ne sont pas valides. Le programme BIOS invite ensuite l'utilisateur à entrer ses données
d'identification de connexion utilisateur. Si l'utilisateur est validé avec son compte matériel, les mots
de passe matériels sont extraits à partir du compte matériel du système par le programme du BIOS
et les mots de passe sont validés. S'ils sont confirmés, les nouveaux mots de passe sont stockés
automatiquement dans le périphérique de lecture d'empreintes digitales.
28
Guide de déploiement Hardware Password Manager
Compatibilité avec Safe Guard Easy/Safe Guard Enterprise
Dans les environnement où l'utilitaire Safe Guard Easy/Safe Guard Enterprise est utilisé, le client Hardware
Password Manager doit être installé après l'utilitaire Safe Guard Easy/Safe Guard Enterprise.
Une autre limitation se traduit par le non fonctionnement de la fonction de connexion unique Hardware
Password Manager lorsque l'utilitaire Safe Guard Easy/Safe Guard Enterprise est installé. Ainsi, l'utilisateur
ne se connecte pas automatiquement au système d'exploitation Windows lorsque l'utilisateur effectue une
connexion utilisateur Hardware Password Manager ordinaire.
Enregistrement en un clic
En tant qu'administrateur, vous pouvez enregistrer vos systèmes dans Hardware Password Manager pour les
protéger contre l'accès d'utilisateurs non autorisés au cours du processus de déploiement et de distribution.
Pour ce faire, l'administrateur peut préenregistrer tous ses systèmes dans le serveur Hardware Password
Manager avec un compte administrateur local commun. Ce processus s'exécute en une étape manuelle
unique (un clic), ce qui est nécessaire pour empêcher les attaques par déni de service.
Ce processus est activé automatiquement sur le système client en fonction du paramètre de stratégie, et
les données d'identification d'entreprise de l'administrateur sont obtenues à partir du serveur Hardware
Password Manager pour permettre l'enregistrement automatique.
Remarque : Un clic fait référence à l'étape manuelle unique requise par l'administrateur pour enregistrer le
système dans Hardware Password Manager. Lorsque le système est enregistré et distribué aux utilisateurs,
l'enregistrement peut être lancé automatiquement (en fonction d'une stratégie) pour tout utilisateur se
connectant à Windows sur ce système, via une connexion locale ou à partir du domaine. Le processus
d'enregistrement en un clic est ignoré si le système est déjà enregistré.
Préenregistrement
Ce processus est identique au processus d'enregistrement normal, à l'exception des différences suivantes :
1. Le Portail client (qui est lancé automatiquement lors de la connexion à Windows) active la fonction
d'enregistrement Hardware Password Manager en fonction du paramètre de stratégie en un clic.
2. Le Portail client ne demande pas de confirmation pour autoriser la poursuite de l'enregistrement.
3. Après le redémarrage, appuyez sur Entrée à l'invite Confirmer l'enregistrement.
4. Le Portail client ne demande pas la saisie des données d'identification d'entreprise, Windows ou
de compte matériel. Les données d'identification d'entreprise utilisées pour authentifier la demande
d'enregistrement sont des données de niveau administrateur lors de la configuration LDAP dans la
console d'administration. Les données d'identification Windows et de compte matériel ne sont pas
requises du fait qu'aucun compte utilisateur n'est créé ; seul le compte administrateur commun est
enregistré.
5. Le Portail client effectue l'opération d'interruption et de reprise sans notifier l'utilisateur.
6. Le Portail client renvoie un code de réussite ou d'échec au processus d'appel et redémarre
automatiquement.
Une fois le processus d'enregistrement en un clic terminé, le système est protégé par mot de passe et un
compte matériel local unique est créé. Le compte matériel est défini sur les données d'identification du
compte matériel administrateur commun. Ces systèmes peuvent être distribués en toute sécurité par
l'administrateur aux utilisateurs finals en sachant qu'ils sont protégés par des mots de passe matériels.
Chapitre 5. Déploiement
29
Enregistrement d'un utilisateur sur un système préenregistré
Lorsque le système est distribué à l'utilisateur, l'utilisateur doit se connecter à Hardware Password Manager
(une connexion réseau est nécessaire) afin d'accéder au système. Si aucune connexion réseau n'est
disponible ou si le serveur Hardware Password Manager se trouve derrière un réseau privé virtuel (VPN),
alors l'administrateur a la possibilité de fournir les données d'identification du compte matériel administrateur
commun pour autoriser l'accès au système. Ce flux est identique au flux normal d'enregistrement
d'utilisateurs supplémentaires.
30
Guide de déploiement Hardware Password Manager
Chapitre 6. Scénarios
Le présent chapitre décrit les scénarios associés aux modifications de la configuration matérielle et de la
configuration utilisateur. Pour les besoins de ces scénarios, on considère que tous les systèmes sont
enregistrés dans Hardware Password Manager.
Scénarios de maintenance (modifications de configuration)
La présente section décrit les scénarios relatifs au matériel.
Scénario 1 - Modifications de la configuration matérielle
Lorsque vous apportez une modification matérielle, une erreur BIOS est déclenchée et un message vous
invite à entrer votre mot de passe administrateur (PAP/SVP) pour accéder à la configuration du BIOS. Une
fois dans la configuration du BIOS, acceptez les modifications afin d'effacer l'erreur BIOS.
Vous pouvez également ignorer le message vous invitant à entrer le mot de passe administrateur et
redémarrer le système. Dans ce cas, l'erreur BIOS n'est pas effacée et le message vous invitant à entrer le
mot de passe administrateur s'affichera à nouveau à chaque redémarrage ultérieur jusqu'à ce que vous
accédiez à la configuration du BIOS et que vous acceptiez les modifications matérielles.
Lorsque des modifications matérielles sont apportées dans un système, l'erreur BIOS se produit et la fenêtre
de connexion utilisateur (User Login) s'affiche. Vous pouvez effectuer l'une des actions suivantes :
• Entrez les données d'identification du compte matériel dans la fenêtre de connexion utilisateur User
Login en utilisant un compte disposant des droits d'administrateur Hardware Password Manager. Si les
données d'identification du compte matériel avec des droits d'accès utilisateur Hardware Password
Manager sont saisies, le BIOS vous invite à entrer le mot de passe administrateur séparément.
• Dans la fenêtre User Login, appuyez sur Echap pour ouvrir la fenêtre Login Menu et sélectionnez Internet
Account Login pour ouvrir la fenêtre. Entrez les données d'identification d'entreprise de l'administrateur
pour publier le mot de passe administrateur.
• Dans la fenêtre User Login, appuyez sur Echap pour accéder à la fenêtre Login Menu et sélectionnez
Manually Enter Passwords pour ouvrir la fenêtre de connexion manuelle et entrer le mot de passe
administrateur. Vous pouvez obtenir le mot de passe administrateur à partir de la console d'administration
Hardware Password Manager.
Remarques :
1. Si le mot de passe administrateur n'est pas connu sur un système de bureau, vous pouvez retirer
la batterie CMOS pour effacer à la fois le mot de passe à la mise sous tension et le mot de passe
administrateur (POP et PAP).
2. Les modifications matérielles sur les ordinateur portables Lenovo ThinkPad ne génèrent pas d'erreur
du BIOS afin de permettre un remplacement en mode veille ou à chaud ; ainsi, le mot de passe
administrateur n'est pas requis.
Scénario 2 - Erreur CMOS
Pour protéger les paramètres du BIOS dans la mémoire CMOS, un total de contrôle est calculé et enregistré
pour la détection d'erreur. Chaque fois que le système démarre, ce nombre est recalculé et comparé
à la valeur enregistrée. Si ces nombres ne correspondent pas, une notification d'erreur est générée afin
d'informer l'utilisateur que le contenu de la mémoire CMOS peut avoir été endommagé et que, par
conséquent, certains paramètres peuvent être incorrects. La cause la plus courante des erreurs de total
© Copyright Lenovo 2010
31
de contrôle dans la mémoire CMOS est que la batterie est en train de se décharger ou il peut s'agir d'un
incident lié à un virus ou à la carte mère.
Les erreurs CMOS nécessitent que vous accédiez à la configuration du BIOS et que vous sélectionniez
Load Default Settings avant que le système puisse démarrer le système d'exploitation. Pour accéder à la
configuration du BIOS, il faut fournir le mot de passe superviseur.
Lorsqu'une erreur CMOS se produit, la fenêtre User Login s'affiche au moment où survient cette erreur du
BIOS. Effectuez l'une des opérations suivantes :
• Entrez les données d'identification du compte matériel avec les droits d'administrateur Hardware
Password Manager afin de publier le mot de passe administrateur, par exemple le compte admin
d'urgence. Si les données d'identification du compte matériel avec des droits d'accès utilisateur
Hardware Password Manager sont saisies, le BIOS vous invite à entrer le mot de passe administrateur.
• Entrez les données d'identification d'entreprise en procédant comme suit :
1. Appuyez sur Echap pour ouvrir la fenêtre Login Menu.
2. Sélectionnez Intranet Account Login pour ouvrir la fenêtre Internet Account Login.
3. Entrez le nom d'utilisateur et le mot de passe dans la fenêtre Internet Account Login.
• Dans la fenêtre User Login, appuyez sur Echap pour ouvrir la fenêtre User Login et sélectionnez Manually
Enter Passwords. Au moment de la connexion manuelle, entrez le mot de passe administrateur. Vous
pouvez obtenir cette information à partir de la console d'administration Hardware Password Manager.
Remarque : Pour les systèmes de bureau, vous pouvez ignorer l'erreur CMOS en appuyant sur F2 et en
démarrant le système. Le démarrage suivant affichera la même erreur jusqu'à ce que vous accédiez à la
configuration du BIOS et que vous chargiez les paramètres par défaut en appuyant sur F9.
Scénario 3 - Remplacement du périphérique de lecture d'empreintes
digitales
Les utilisateur peuvent enregistrer leurs empreintes digitales pour bénéficier de la fonction de connexion
unique à l'aide de Hardware Password Manager. Lorsqu'une empreinte digitale est enregistrée pour un
accès avant-démarrage, les mots de passe matériels sont associés à l'empreinte digitale lue et sont stockés
dans le périphérique de lecture d'empreintes digitales. Lorsque l'utilisateur fait passer sur le lecteur une
empreinte digitale enregistrée à l'invite, le BIOS publie les mots de passe réels à partir du compte matériel.
Le BIOS affiche l'invite de lecture d'empreinte digitale en premier, avant de démarrer le système. Pour
ouvrir la fenêtre User Login, l'utilisateur doit appuyez sur la touche Echap. Si le périphérique de lecture
d'empreintes digitales est supprimé, l'invite de lecture d'empreinte digitale ne s'affiche plus et la fenêtre
User Login s'affiche en premier.
Lorsqu'un périphérique de lecture d'empreintes digitales défaillant est remplacé, les empreintes digitales
enregistrées et associées aux mots de passe matériels disparaissent. Hardware Password Manager n'est
pas affecté, à ceci près que l'utilisateur ne peut plus utiliser ses empreintes digitales. L'invite de lecture
d'empreinte digitale ne s'affiche plus et la fenêtre User Login s'affiche en premier.
Pour rétablir l'accès par empreintes digitales, l'utilisateur doit enregistrer ses empreintes digitales pour
Windows et ses données d'identification d'avant-démarrage à l'aide de l'utilitaire de configuration des
empreintes digitales (Fingerprint Setup Utility). Si un périphérique de lecture des empreintes digitales est
remplacé par un autre périphérique pour lequel des empreintes digitales et des mots de passe ont déjà été
enregistrés, le BIOS écrasera ces mots de passe à condition que l'utilisateur fournisse des mots de passe
corrects en utilisant la connexion manuelle, la connexion utilisateur ou la connexion Hardware Password
Manager. Si des données d'identification de compte matériel sans droits d'administrateur Hardware
Password Manager sont fournies, seuls les mots de passe à la mise sous tension et les mots de passe
d'accès au disque dur sont mis à jour dans le périphérique de lecture d'empreintes digitales (le mot de passe
administrateur n'est pas ajouté au périphérique de lecture d'empreintes digitales tant qu'aucun utilisateur
32
Guide de déploiement Hardware Password Manager
ne se connecte avec les données d'identification administrateur Hardware Password Manager ou n'entre
manuellement le mot de passe administrateur correct.)
Scénario 4 - Mots de passe matériels déjà définis
Lorsque des mots de passe matériels sont déjà définis avant l'enregistrement, l'utilisateur ne peut pas
s'enregistrer dans Hardware Password Manager. Lors du lancement du processus d'enregistrement, le
Portail client informe l'utilisateur qu'il doit effacer manuellement les mots de passe matériels avant de
poursuivre l'enregistrement. Une fois que les mots de passe matériels ont été effacés par l'utilisateur,
l'enregistrement se poursuit normalement.
Scénario 5 - Configuration sous le système d'exploitation (paramètres
du BIOS à distance)
Ce scénario peut se produire lorsque vous recevez de nouvelles machines et que vous souhaitez déployer
les paramètres du BIOS par défaut, tels que disable serial port ou set admin password.
Lorsqu'un poste est enregistré dans Hardware Password Manager, les mots de passe matériels ne peuvent
pas être modifiés via l'option Setup under the OS (du fait qu'ils sont gérés par le serveur HPM) à moins
de fournir le mot de passe en cours qui peut être obtenu à partir de la console ThinkManagement. Si un
utilisateur désactive Hardware Password Manager soit manuellement via la configuration du BIOS, soit via
l'option Setup under the OS sur un poste qui est enregistré dans Hardware Password Manager, le BIOS
effacera les mots de passe matériels et supprimera le compte matériel local et SST.
Scénario 6 - Remplacement de la carte mère
Lorsque la carte mère est remplacée, le mot de passe à la mise sous tension, le mot de passe superviseur, le
compte matériel et les données d'identification du serveur n'existent plus sur le système. Seuls les mots de
passe d'accès au disque dur restent définis. Dans ce cas, vous devez les effacer manuellement dans la
configuration du BIOS, démarrer l'ordinateur et le réenregistrer dans Hardware Password Manager à l'aide
du Portail client. Pour effacer le mot de passe d'accès au disque dur, vous devez l'entrer manuellement.
Vous pouvez l'obtenir à partir de la console ThinkManagement.
Vous devez connaître l'identificateur du disque dur pour pouvoir identifier le mot de passe d'accès au
disque dur correct. L'ID de disque dur peut être récupéré à l'aide d'un utilitaire DOS Hardware Password
Manager fourni par Lenovo.
Lorsqu'une carte mère est déplacée d'un système vers un autre, on suppose que la carte mère n'est pas
enregistrée dans Hardware Password Manager. Vous devez effacer ou désactiver Hardware Password
Manager avant de redéployer la carte mère sur le site.
• Systèmes de bureau - Si l'enregistrement de la carte mère n'a pas été annulé, vous pouvez retirer la
batterie CMOS afin d'effacer le mot de passe à la mise sous tension/mot de passe superviseur, puis
accéder à la configuration du BIOS et désactiver Hardware Password Manager.
• ThinkPad - Le retrait de la batterie CMOS n'effacera pas le mot de passe superviseur ; vous devez obtenir
le mot de passe superviseur à partir de la console ThinkManagement afin d'accéder à la configuration du
BIOS et de désactiver Hardware Password Manager.
Remarque : Lors du remplacement d'une carte mère, vous devez réinitialiser le type/modèle et le numéro de
série de l'ordinateur pour qu'ils correspondent aux valeurs correctes avant de l'enregistrer dans Hardware
Password Manager.
Lors du réenregistrement du système client auprès de la nouvelle carte mère dans le même domaine de
serveur Hardware Password Manager, le serveur détectera que la machine est déjà enregistrée (les instances
Chapitre 6. Scénarios
33
machine/utilisateur/disque dur et la sauvegarde du compte matériel existent déjà) et effacera toutes les
structures sur le serveur avant de procéder à l'enregistrement.
Scénario 7 - Ajout d'une unité de disque dur
Lorsqu'un disque dur est ajouté à un système enregistré dans Hardware Password Manager, vous devez
renouveler le compte matériel pour que Hardware Password Manager affecte un mot de passe au nouveau
disque dur. Le renouvellement du compte matériel entraîne la renumérotation des disques durs dans la
machine et la définition des mots de passe sur tous les périphériques détectés.
Si un mot de passe d'accès au disque dur a déjà été défini pour le disque dur, vous devez effacer
manuellement ce mot de passe avant d'exécuter le renouvellement du compte matériel (Renew Hardware
Account). Si vous ne connaissez pas le mot de passe d'accès au disque dur, le disque dur ne peut plus
être utilisé.
Pour effacer le mot de passe d'accès au disque dur, vous devez connaître l'ID du disque dur et l'ID du
système afin d'obtenir le mot de passe d'accès au disque dur et le mot de passe superviseur corrects. L'ID
du disque dur et l'ID de la machine peuvent être récupérés à l'aide d'un utilitaire DOS Hardware Password
Manager fourni par Lenovo.
Remarque : Le mot de passe superviseur n'est pas requis pour effacer un mot de passe d'accès au
disque dur pour les systèmes ThinkPad.
Lorsqu'un disque dur non protégé est ajouté à un système enregistré dans Hardware Password Manager,
le BIOS détectera que le disque dur n'est pas protégé. Dans ce cas, lors de la connexion à Windows, le
Portail client informera l'utilisateur qu'une unité non protégée (disque dur) a été détectée et lui demandera s'il
souhaite renouveler le matériel.
Scénario 8 - Remplacement ou déplacement d'une unité de disque dur
Si l'unité de disque dur d'un système enregistré dans Hardware Password Manager tombe ne en panne et
doit être remplacée, trois solutions s'offrent à vous.
Si le système est toujours amorçable, il est recommandé d'annuler l'enregistrement du système dans
Hardware Password Manager. Cette action efface tous les mots de passe matériels du système. Installez
l'unité de disque dur de remplacement et suivez le processus de déploiement habituel de Hardware
Password Manager pour préparer le nouvel enregistrement du système dans Hardware Password Manager.
Si le système ne démarre pas à partir du disque dur et comporte une connexion câblée au réseau
d'entreprise, appuyez sur Echap lors du pré-amorçage de Hardware Password Manager. Choisissez d'établir
une connexion à l'intranet. Vous devez fournir les données d'identification qui sont associées au rôle
Administrator ou Service Tech. Choisissez d'annuler l'enregistrement du système dans le menu. Cette action
efface les mots de passe matériels du système.
Si le système ne démarre pas à partir du disque dur et n'est pas connecté au réseau d'entreprise, appuyez
sur F1 lors de l'autotest à la mise sous tension pour accéder à l'utilitaire de configuration du BIOS. Appuyez
sur Echap à l'invite de connexion à Hardware Password Manager. Sélectionnez Manually enter passwords.
Entrez le mot de passe superviseur qui peut être récupéré à partir de la console. Appuyez sur F1 et entre
le mot de passe maître du disque dur. Sélectionnez Security, puis Password. Désactivez le paramètre
Hardware Password Manager. Tous les mots de passe matériels seront effacés. Activez maintenant le
paramètre Hardware Password Manager et appuyez sur la touche F10 pour enregistrer et quitter l'utilitaire de
configuration du BIOS. Une fois l'annulation de l'enregistrement du système effectuée, vous pouvez installer
un nouveau disque dur et exécuter le processus de déploiement habituel de Hardware Password Manager
pour préparer le nouvel enregistrement du système dans Hardware Password Manager.
34
Guide de déploiement Hardware Password Manager
Si le disque dur de remplacement était précédemment géré par Hardware Password Manager, et s'il est
donc connu pour le serveur Hardware Password Manager et si un mot de passe d'accès au disque dur a été
défini, ce mot de passe doit être effacé manuellement via l'utilitaire de configuration du BIOS. Appuyez sur
F1 lors de l'autotest à la mise sous tension pour accéder à l'utilitaire de configuration du BIOS. Appuyez sur
Echap à l'invite de connexion à Hardware Password Manager. Sélectionnez Manually enter passwords.
Entrez le mot de passe superviseur qui peut être récupéré à partir de la console. Appuyez sur F1 et entre le
mot de passe maître du disque dur. Sélectionnez Security, puis Password. Supprimez les mots de passe
d'accès au disque dur maître et utilisateur. Appuyez sur F1 pour enregistrer et quitter cette fenêtre.
Pour effacer le mot de passe d'accès au disque dur, vous devez connaître le nom de l'ordinateur du
périphérique dans lequel le disque dur a été enregistré ou l'ID du disque dur et l'ID système afin d'obtenir le
mot de passe d'accès au disque dur et le mot de passe superviseur à partir de la console. L'ID du disque dur
et l'ID de la machine peuvent être récupérés à l'aide d'un utilitaire DOS Hardware Password Manager fourni
par Lenovo. Une fois que vous avez obtenu l'ID du disque dur et l'ID de la machine, vous pouvez obtenir le
mot de passe d'accès au disque dur et le mot de passe superviseur à l'aide de la console ThinkManagement.
Vous pouvez maintenant effacer le mot de passe d'accès au disque dur via la configuration du BIOS.
Remarque : Le mot de passe superviseur n'est pas requis pour effacer un mot de passe d'accès au
disque dur pour les systèmes ThinkPad.
Scénario 9 - Changement de l'emplacement d'un disque dur dans un
système
Ce scénario se produit lorsque l'emplacement physique des disques durs1 et 2 est permuté sur le bus. Cette
situation n'affecte pas Hardware Password Manager étant donné que l'emplacement d'un disque dur n'est
pas géré dans l'instance du disque dur sur le serveur.
Scénario 10 - Retrait d'une unité de disque dur
Lors du retrait d'un disque dur, la solution recommandée consiste à annuler l'enregistrement du système
avant de procéder au retrait, puis de réenregistrer le système après avoir installé un autre disque dur. Cette
procédure garantit qu'aucun mot de passe d'accès au disque dur n'est défini pour le disque dur supprimé.
Remarque : Le retrait du disque dur sans procéder au préalable à l'annulation de l'enregistrement laissera
une instance de disque dur orpheline sur le serveur. Vous pouvez choisir de laisser ce type d'enregistrement
au cas où le mot de passe d'accès au disque dur serait requis ultérieurement, ou de les éliminer à l'aide de
la console ThinkManagement.
Scénario 11 - Flashage du BIOS
Ce scénario décrit les répercussions sur Hardware Password Manager lors de la mise à jour du BIOS à l'aide
d'une image flash (appliquée à l'aide d'un utilitaire Flash). Du fait que les utilitaires Flash existent à la fois
dans DOS et Windows, tous les scénarios Flash doivent être testés avec les deux types d'utilitaires. Bien
que les structures de compte matériel Hardware Password Manager soient stockées dans la mémoire flash,
les utilitaires Flash ont été mis à jour pour ne pas écraser les structures liées à Hardware Password Manager.
• Pro-flashage - Lors de la mise à jour vers une version plus récente du BIOS sur le système enregistré
dans Hardware Password Manager, le compte matériel ne doit pas être altéré (par exemple, le statut
d'enregistrement dans Hardware Password Manager de l'utilisateur et les données d'identification du
compte matériel ne doivent pas changer).
• Rétro-flashage - Lors d'une mise à jour vers une version antérieure du BIOS prenant en charge Hardware
Password Manager, le compte matériel ne doit pas être altéré (par exemple, le statut d'enregistrement
dans Hardware Password Manager de l'utilisateur et les données d'identification du compte matériel ne
doivent pas changer). Les utilitaires Flash du BIOS qui prennent en charge Hardware Password Manager
ne doivent pas faire l'objet d'un rétro-flashage vers une version antérieure du BIOS qui n'inclut pas la
Chapitre 6. Scénarios
35
prise en charge de Hardware Password Manager. L'enregistrement du système doit être annulé avant de
procéder au rétro-flashage.
Scénario 12 - Le système enregistré ne peut plus accéder au serveur
Hardware Password Manager
Si un système enregistré dans Hardware Password Manager est réaffecté ou déplacé vers un emplacement
ne disposant pas d'une connectivité réseau avec le serveur Hardware Password Manager, vous devez
effacer les comptes et les mots de passe matériels du système. Vous pouvez annuler l'enregistrement du
système à l'aide de l'utilitaire de configuration du BIOS.
Pour ce faire, vous devez vous connecter au compte d'urgence afin d'accéder au mot de passe superviseur
ainsi qu'à tous les mots de passe d'accès au disque dur, et désactiver Hardware Password Manager. Une
fois que Hardware Password Manager est désactivé, le BIOS effacera toutes les structures de compte
matériel et tous les mots de passe matériels.
Si le compte d'urgence n'est pas connu, vous devez obtenir le mot de passe superviseur ainsi que les
mots de passe d'accès au disque dur à l'aide de la console ThinkManagement afin de pourvoir désactiver
Hardware Password Manager.
Dans ce cas, le serveur Hardware Password Manager se retrouvera avec une entrée orpheline (telle
qu'une sauvegarde d'instance de machine et de compte matériel). Vous pouvez utiliser la console
ThinkManagement pour identifier ces entrées orphelines et les supprimer si vous le souhaitez.
Scénario 13 - Accès à la configuration du BIOS
Les utilisateurs peuvent accéder à la configuration du BIOS de l'une des façons suivantes :
• Connexion utilisateur L'utilisateur doit disposer d'un compte local qui soit membre du groupe
Administrator de Hardware Password Manager.
• Connexion à Hardware Password Manager L'utilisateur doit disposer d'un compte d'entreprise qui soit
membre du groupe Service Tech ou Administrator de Hardware Password Manager.
• Connexion manuelle L'utilisateur doit obtenir le mot de passe superviseur auprès de l'administrateur à
l'aide de la console ThinkManagement.
Scénario 14 - Chargement des paramètres par défaut dans la
configuration du BIOS
Ce scénario décrit les répercussions du chargement des paramètres du BIOS par défaut sur un système qui
utilise Hardware Password Manager. Les utilisateur peuvent charger les paramètres du BIOS par défaut si
la mémoire CMOS est effacée ou endommagée.
Une fois que les paramètres par défaut sont chargés, le mot de passe à la mise sous tension et le mot de
passe superviseur restent définis et toutes les strcutures Hardware Password Manager restent intactes.
Scénario 15 - Ne pas protéger toutes les unités de disque dur
Ce scénario décrit une situation dans laquelle un utilisateur enregistre son système dans Hardware
Password Manager, mais souhaite qu'un disque dur supplémentaire ne soit PAS protégé. Ce disque dur sera
probablement une unité externe ou une unité installée sur une station d'accueil.
Remarque : Ce disque dur ne doit pas être connecté au système lors de l'enregistrement du système dans
Hardware Password Manager, sinon un mot de passe d'accès au disque dur lui serait affecté.
36
Guide de déploiement Hardware Password Manager
Scénarios utilisateur
La présente section décrit des scénarios que l'utilisateur peut rencontrer :
Scénario 1 - Oubli des données d'identification du compte matériel,
réseau connecté
Ce scénario se produit lorsqu'un utilisateur oublie ses données d'identification du compte matériel et qu'il
dispose d'une connectivité réseau avec le serveur Hardware Password Manager. Pour résoudre cette
situation, l'utilisateur doit procéder comme suit :
• Se connecter à Hardware Password Manager.
•
Démarrer Windows à partir du menu Hardware Password Manager Services.
• Se connecter à Windows en entrant manuellement ses données d'identification Windows.
• Lancer le Portail client et sélectionner Supprimer l'utilisateur.
• Réenregistrer le compte dans Hardware Password Manager.
Scénario 2 - Oubli des données d'identification du compte matériel,
AUCUNE connexion réseau
Ce scénario se produit lorsqu'un utilisateur oublie ses données d'identification du compte matériel et
qu'il ne dispose pas de connectivité réseau avec le serveur Hardware Password Manager. Pour résoudre
ce problème, procédez comme suit :
1. Appeler l'administrateur de systèmes informatiques et obtenir les données d'identification du compte
Administrateur. Mettre l'ordinateur sous tension et entrer ces données d'identification à l'invite de
connexion utilisateur.
2. Se connecter à Windows en entrant manuellement les données d'identification Windows.
3. Lancer le Portail client et sélectionner Supprimer l'utilisateur.
4. Réenregistrer son compte dans Hardware Password Manager.
Une autre façon de procéder consiste pour l'utilisateur à accéder à la configuration du BIOS après avoir
fourni les données d'identification du compte administrateur et avoir désactivé Hardware Password Manager.
Cette action efface le compte matériel et les mots de passe matériels. L'utilisateur peut alors lancer
Hardware Password Manager et réenregistrer le système une fois qu'il se trouve dans un lieu disposant
d'une connectivité réseau avec le serveur Hardware Password Manager.
Scénario 3 - Oubli du mot de passe d'entreprise
Ce scénario se produit lorsqu'un utilisateur oublie son mot de passe d'entreprise. Dans ce cas, l'utilisateur
peut toujours utiliser son système via la connexion utilisateur. L'utilisateur peut réinitialiser son mot de
passe d'entreprise en utilisant la procédure de l'entreprise (réinitialisation par l'administrateur de systèmes
informatiques via un site web ou manuelle).
Si la stratégie est définie de sorte que le compte matériel est identique au compte Windows de l'utilisateur,
après la réinitialisation du mot de passe d'entreprise, l'utilisateur doit se connecter à Hardware Password
Manager à l'aide des anciennes données d'identification d'entreprise. Lors de la connexion à Windows,
l'utilisateur est invité à fournir son nouveau mot de passe. Le Portail client Hardware Password Manager
demande à l'utilisateur l'autorisation de synchroniser le compte matériel avec le nouveau mot de passe.
Une fois l'opération terminée, l'utilisateur pourra utiliser son nouveau mot de passe lors de la prochaine
connexion à Hardware Password Manager.
Chapitre 6. Scénarios
37
Scénario 4 - Connexion manuelle à l'aide de différents types de clavier
Les mots de passe matériels, tels que le mot de passe à la mise sous tension, le mot de passe superviseur
et le mot de passe d'accès au disque dur, qui sont gérés par le BIOS ne sont pas portables entre des
systèmes utilisant des types de clavier différents. Cela s'explique par le fait que le texte au niveau du BIOS
est reconnu sous forme de codes d'analyse et ne peut pas être traduit dans le BIOS dans ou depuis un
format plus portable tel que ASCII. La tentative de gérer des mots de passe enregistrés sous forme de codes
d'analyse peut se traduire par le fait qu'un mot de passe saisi sur un type de clavier peut correspondre à un
jeu de codes d'analyse entièrement différent sur un autre type de clavier. Par exemple, prenons le mot de
passe azw. Sur un clavier anglais, sa représentation par code d'analyse est 0x1E, 0x2C, 0x11. Toutefois, sur
un clavier allemand, la représentation par code d'analyse est 0x1E, 0x15, 0x11.
Trois types de clavier différents sont utilisés pour prendre en charge les différentes langues :
• Français, Belge
• Allemand, Suisse, Hongrois, Polonais, Tchèque, Slovène, Slovaque
• Toutes les autres langues
Lors du déploiement depuis le serveur de mots de passe matériels, tels que le mot de passe à la mise sous
tension, le mot de passe superviseur et le mot de passe d'accès au disque dur, le serveur convertit le texte
ASCII en codes d'analyse qui dépendent du type de clavier utilisé sur le système cible. Ces mots de passe
(représentés par des codes d'analyse) sont envoyés au client pour être définis dans le matériel.
Le changement de type de clavier n'est pas pris en charge pour la saisie manuelle des mots de passe. Si un
utilisateur souhaite changer de type de clavier, la procédure recommandée est la suivante :
1. Annulez l'enregistrement dans Hardware Password Manager.
2. Changez de clavier.
3. Renouvelez l'enregistrement dans Hardware Password Manager.
Scénario 5 - Gestion des enregistrements à partir de plusieurs partitions
d'amorçage
Ce scénario peut se présenter lorsqu'un utilisateur s'enregistre sur une partition d'amorçage unique (par
exemple, Vista) et qu'il souhaite s'enregistrer dans Hardware Password Manager sur une deuxième partition
d'amorçage (par exemple, XP). Dans cette situation, le code client Hardware Password Manager doit être
installé sur chacune des partitions d'amorçage. L'utilisateur doit s'enregistrer dans Hardware Password
Manager à partir d'une partition d'amorçage. Une fois enregistré, Hardware Password Manager fonctionne
normalement dans toutes les partitions d'amorçage sur lesquelles le code client Hardware Password
Manager est installé, en supposant que les données d'identification pour la connexion à Windows soient les
mêmes dans toutes les partitions d'amorçage. Si les données d'identification Windows sont différentes,
l'utilisateur doit entrer ses données d'identification Windows dans l'interface Gina/CP de Windows lorsque
les partitions d'amorçage utilisées sont différentes de celle à partir de laquelle l'enregistrement dans
Hardware Password Manager a été effectué.
Scénario 6 - BitLocker
BitLocker et Hardware Password Manager sont compatibles, ce qui signifie qu'un client enregistré dans
Hardware Password Manager (pour la protection par mot de passe du BIOS - mot de passe à la mise sous
tension, mot de passe superviseur et mots de passe d'accès au disque dur) peut protéger davantage ses
données à l'aide de BitLocker (chiffrement du volume logique). L'enregistrement et la récupération à partir
d'une clé dans BitLocker sont gérés de façon ordinaire (en dehors du champ d'application de Hardware
Password Manager).
38
Guide de déploiement Hardware Password Manager
La procédure recommandée lorsque les deux technologies sont utilisées consiste à s'enregistrer d'abord
dans Hardware Password Manager avant d'activer BitLocker. Si l'utilisateur active BitLocker dans un
premier temps, puis qu'il s'enregistre dans Hardware Password Manager, le fait que les mots de passe du
BIOS soient définis provoquera l'échec du contrôle d'intégrité de BitLocker (les mots de passe du BIOS
sont validés dans PCR1) et le lancement du mode de récupération BitLocker. Hardware Password Manager
avertira l'utilisateur de ce problème au cours du flux d'enregistrement si BitLocker est activé. L'utilisateur
peut choisir de poursuivre l'enregistrement ou d'annuler à ce stade. Si l'utilisateur poursuit, le mode de
récupération BitLocker s'exécutera au démarrage suivant, étant donné que le contrôle d'intégrité sur les
mots de passe du BIOS (PCR1) aura échoué.
Chapitre 6. Scénarios
39
40
Guide de déploiement Hardware Password Manager
Annexe A. Sécurité et confort
La sécurité des ordinateurs est souvent privilégiée pour le confort des utilisateurs. Le tableau ci-dessous
montre comment configurer les paramètres de stratégie d'Hardware Password Manager de manière à
optimiser la sécurité et le confort.
Remarque : Les valeurs par défaut sont affichées en italique.
Tableau 1. Paramètres de stratégie Hardware Password Manager
Description
Plus sécurisé
Plus pratique
Show last logon account
for Hardware Account
Permet de déterminer si le BIOS doit mettre en
cache le dernier nom d'utilisateur de compte
matériel à s'être connecté au système. Le
mot de passe n'est pas mis en cache, ce qui
signifie que l'utilisateur doit le saisir à chaque
fois.
Non sélectionné
Sélectionné
Prompt for Hardware
Account on warm boot
Permet de déterminer si les données
d'identification du compte matériel doivent
être demandées à chaque redémarrage du
système.
Sélectionné
Non sélectionné
Paramètre de stratégie
Client - Stratégie BIOS
Client - Mots de passe
matériels communs
Set Common SVP
Permet de déterminer si le mot de passe
superviseur doit être défini sur une valeur
codée en dur commune ou si le mot de
passe doit être généré automatiquement. Le
fait d'utiliser un mot de passe superviseur
commun permet à l'administrateur d'entrer
plus facilement le mot de passe superviseur
via la méthode manuelle en cas de besoin (par
exemple pour accéder à la configuration du
BIOS et modifier les paramètres).
Non sélectionné
(mot de
passe généré
automatiquement)
Sélectionné (mot
de passe codé
en dur)
Set Common POP
Permet de déterminer si le mot de passe à
la mise sous tension doit être défini sur une
valeur codée en dur commune, ou si ce mot
de passe doit être généré automatiquement.
Non sélectionné
(mot de
passe généré
automatiquement)
Sélectionné (mot
de passe codé
en dur)
Set Common MHDP
Permet de déterminer si le mot de passe
d'accès au disque dur maître doit être défini
sur une valeur codée en dur commune
ou si le mot de passe doit être généré
automatiquement. Le fait d'utiliser un mot de
passe commun pour l'accès au disque dur
maître permet à l'administrateur d'entrer plus
facilement ce mot de passe via la méthode
manuelle en cas de besoin (par exemple
pour accéder à la configuration du BIOS et
effacer le mot de passe d'accès au disque dur
utilisateur ainsi que le mot de passe d'accès
au disque dur maître).
Non sélectionné
(mot de
passe généré
automatiquement)
Sélectionné (mot
de passe codé
en dur)
© Copyright Lenovo 2010
41
Tableau 1. Paramètres de stratégie Hardware Password Manager (suite)
Paramètre de stratégie
Set Common UHDP
Description
Plus sécurisé
Plus pratique
Permet de déterminer si le mot de passe
d'accès au disque dur utilisateur doit être
défini sur une valeur codée en dur commune
ou si ce mot de passe doit être généré
automatiquement.
Non sélectionné
(mot de
passe généré
automatiquement)
Sélectionné (mot
de passe codé
en dur)
Permet de définir le nom d'utilisateur et
le mot de passe du compte d'urgence
pour l'ensemble des systèmes. Si le nom
d'utilisateur est toujours commun, le mot de
passe peut être commun ou unique pour
chaque système (généré automatiquement).
Le fait d'utiliser un mot de passe commun
facilite l'accès de l'administrateur à la
configuration du BIOS et lui permet de se
connecter au système sans avoir besoin
d'entrer manuellement les mots de passe
matériels ou de demander une connexion à
l'intranet (pour laquelle une connexion réseau
est obligatoire).
Compte
d'urgence
défini (mot de
passe généré
automatiquement)
Compte d'urgence
défini (mot de
passe codé en dur)
Client - Compte
d'urgence
Common Emergency User
Name and Password
Stratégie de serveur Onglet General
Allow users to enroll on
multiple devices
Permet de déterminer si tous les utilisateurs
HPM peuvent être enregistrés sur plusieurs
systèmes.
Non sélectionné
Sélectionné
Enable one-touch
registration
Permet de déterminer si l'administrateur
souhaite préenregistrer les systèmes dans
une zone de transfert sans enregistrer aucun
utilisateur final. Cette opération permet de
définir les mots de passe matériels et de créer
le compte d'urgence. Un fois ces systèmes
livrés aux utilisateurs, ces derniers peuvent
se connecter à l'intranet pour démarrer le
système et s'enregistrer pour créer un compte
matériel.
Non sélectionné
Sélectionné
Enable first user enrolled
on a machine as
Administrator
Permet de déterminer si le premier
utilisateur enregistré sur un système se
voit automatiquement attribuer des droits
administrateur avec son compte matériel.
Le mot de passe superviseur peut ainsi être
communiqué lors de la connexion au système,
ce qui permet à l'utilisateur d'accéder à la
configuration du BIOS et de modifier les
paramètres en fonction de ses besoins. Cela
ne permet pas à l'utilisateur de disposer de
droits administrateurs Windows.
Non sélectionné
Sélectionné
Permet de déterminer si l'option de menu
Deregister PC est mise à la disposition des
utilisateurs lorsque ces derniers se connectent
à l'intranet.
Non sélectionné
Sélectionné
Options de menu du
Portail client - Onglet
Client Portal
Deregister PC
42
Guide de déploiement Hardware Password Manager
Annexe B. Reprise après incident
Sauvegarde du serveur principal 9.0
Avant toute mise à niveau ou modification du serveur principal Hardware Password Manager actuel, vous
devez sauvegarder tous les fichiers critiques ainsi que les fichiers personnalisés. Vous pouvez passer cette
étape s'il s'agit d'une nouvelle installation dans laquelle un serveur principal est installé pour la première fois.
Sauvegarde du serveur principal
Vous pouvez sauvegarder le serveur principal de différentes manières. La sauvegarde du serveur principal
est une étape importante. Par conséquent, nous vous recommandons de choisir une méthode fiable.
De nombreuses entreprises possèdent une stratégie de sauvegarde permettant de sauvegarder les serveurs
sur un support externe spécifique (unité de bande, unité de DVD, voire unités externes). Si votre entreprise
dispose d'une stratégie de sauvegarde, cette dernière doit être mise en œuvre avant la mise à niveau du
serveur principal.
Sauvegarde du serveur principal avec ImageW.exe et Phylock
Vous pouvez sauvegarder les unités ou les partitions du serveur principal à l'aide d'ImageW.exe, l'outil de
gestion d'images de LANDesk. L'unité système et l'unité sur laquelle le serveur principal est installé (si elles
sont différentes) doivent être sauvegardées. Pour plus d'informations sur la sauvegarde du serveur principal
avec ImageW.exe, consultez le document Manually Capturing an Image with ImageW.exe à l'adresse
suivante :
http://community.landesk.com/support/docs/DOC-2330
Sauvegarde de la base de données
Il est très important de sauvegarder la base de données. Le présent document ne présente pas les
différentes étapes de la sauvegarde de la base de données sur le serveur de base de données. Pour créer
une sauvegarde de votre base de données, consultez l'administrateur de base de données.
Important : La sauvegarde de la base de données est une opération d'une importance capitale. Il existe
de nombreuses raisons pour lesquelles la mise à niveau d'une base de données peut échouer. Sans base
de données de sauvegarde, si la mise à niveau du serveur principal est réussie, mais pas celle de la
base de données, vous devrez peut-être créer une nouvelle base de données et vous risquez de perdre
vos données. Si vous possédez une sauvegarde de la base de données et si cette dernière peut être
restaurée, le problème de mise à niveau peut être résolu et vous pouvez mettre à niveau la base de données
de manière à conserver vos données.
Sauvegarde des fichiers critiques du serveur principal
Même si le serveur principal et la base de données ont été sauvegardés dans leur intégralité, il peut être
judicieux de sauvegarder également les fichiers critiques et de garantir leur accessibilité. Si la seule
sauvegarde disponible se trouve sur une unité de bande, les fichiers critiques ne seront pas nécessairement
accessibles si la bande n'est pas restaurée. Pour des raisons d'accessibilité, il est préférable de sauvegarder
ces fichiers sur un partage.
LANDesk a créé un outil permettant de sauvegarder les fichiers critiques sur un partage :
CoreDataMigration.exe. Les dernières versions de CoreDataMigration.exe permettent de sauvegarder plus
de fichiers que les versions antérieures. L'un des fichiers d'installation de ThinkManagement Console 9.0
est une mise à jour de CoreDataMigration.exe, il est donc préférable d'utiliser la version 9.0 à la place de
© Copyright Lenovo 2010
43
la version installée sur le serveur principal (s'il s'agit d'une version antérieure). Vous trouverez la nouvelle
version de CoreDataMigration.exe dans le support d'installation de ThinkManagement Console 9.0 dans
le répertoire \LANDesk\SetupFiles folder. Si vous avez installé un serveur principal ThinkManagement
Console 9.0, vous trouverez ce fichier dans le répertoire C:\Program Files\LANDesk\ManagementSuite\ folder.
Nous vous recommandons de sauvegarder les fichiers critiques sur un partage sécurisé sur un serveur
distinct. La procédure suivante explique comment utiliser CoreDataMigration.exe.
1. Sur un partage se trouvant sur un serveur distinct (qui ne doit pas être le serveur principal), créez
un dossier LANDeskBackup.
2. Sur le serveur principal, ouvrez une invite de commande en cliquant sur Démarrer ➙ Exécuter, puis
en lançant CMD.EXE.
3. A l'invite de commande, placez-vous dans le répertoire ManagementSuite. Par défaut, le répertoire
ManagementSuite est installé à l'emplacement suivant : %ProgramFiles%\LANDesk\ManagementSuite. Il
peut cependant être installé à un autre emplacement : cd %ProgramFiles%\LANDesk\ManagementSuite
4. Exécutez la commande suivante :
coredatamigration.exe GATHER \\ServerName\Share\LANDeskBackup
Remarque : Le mot GATHER doit être entièrement en majuscules, mais le reste de la commande
n'est pas sensible à la casse en règle générale.
Sauvegarde des autres fichiers et informations nécessaires - LANDesk Management Suite pour les
programmes ThinkVantage
Si vous utilisez toutes les fonctionnalités de LANDesk Management Suite pour les programmes
ThinkVantage, vous devrez peut-être sauvegarder de nombreux autres fichiers et informations. Tous les
fichiers ne sont pas sauvegardés par l'utilitaire CoreDataMigration.exe de LANDesk. La plupart des autres
fichiers sont des fichiers dont vous seul connaissez l'existence et pouvez assurer leur sauvegarde. Dans
la section précédente, nous avons créé un partage que vous pouvez utiliser pour sauvegarder les autres
fichiers ou informations dont vous avez besoin.
Autres fichiers nécessaires :
ManagementSuite\LANDesk\Vboot\LDVPE1.IMG
ManagementSuite\LANDesk\Files\DOSUNDI.1
ManagementSuite\LANDesk\Files\BOOTMENU.1
Les fichiers d'installation du module de distribution, s'ils sont installés sur un partage de module créé
sur le serveur principal
Le répertoire Correctif, s'il est stocké sur le serveur principal
\ldlogon\ldappl3.template, s'il a fait l'objet de modifications
\ldlogon\AgentWatcher\*.ini filesf
Autres informations nécessaires :
D'autres informations peuvent également avoir besoin d'être sauvegardées. Il s'agit généralement
d'éléments stockés uniquement sur le serveur principal et non dans la base de données. Il est
particulièrement important de sauvegarder ces informations lorsque vous réalisez une migration côte à côte
ou une nouvelle installation du serveur principal avec une base de données mise à niveau. En effet, dans ces
deux situations le serveur principal est nouveau et ne dispose pas de ces informations. Exportez dans un
fichier les utilisateurs et les groupes ajoutés au groupe LANDesk Management Suite situé sur le serveur
principal, puis sauvegardez le fichier en le copiant en le collant sur un partage. Vous pouvez créer ce
fichier en exécutant les commandes suivantes :
net localgroup "LANDesk Management Suite" > "LANDesk Groups.txt"
44
Guide de déploiement Hardware Password Manager
net localgroup "LANDesk Reports" >> "LANDesk Groups.txt"
Remarque : Il est possible que les utilisateurs et groupes de domaine ne s'affichent pas lorsque vous
exécutez ces commandes. Cela signifie que le contrôleur de domaine n'est pas accessible au moment de
l'exécution des commandes (par exemple lorsque le serveur principal est déplacé dans un laboratoire pour
une mise à niveau). En cas de migration vers une nouvelle base de données, de nombreux éléments peuvent
être exportés depuis la base de données existante :
Requêtes
Modules de distribution
Méthodes de livraison
Contrôle de la licence logicielle
Vulnérabilités personnalisées
Statut de correctif (quels sont les correctifs définis sur réparation automatique)
En cas de migration vers une nouvelle base de données, de nombreux éléments ne peuvent pas être
exportés. Réalisez une copie d'écran des configurations de manière à pouvoir les appliquer au nouveau
serveur principal. Parmi ces configurations, citons entre autres :
La configuration d'administration basée sur les rôles pour les utilisateurs LANDesk et pour l'utilisateur
du modèle
Les paramètres de serveur favoris
Les configurations de reconnaissance des périphériques non gérés
Les paramètres de serveur favoris
Les paramètres sous Configurer ➙ Services
Le menu d'amorçage PXE
Les paramètres de sécurité et de correctif
Signalez toute modification personnalisée réalisée sur votre environnement d'exploitation. De nombreuses
entreprises ont réalisé des modifications personnalisées pour des raisons spécifiques à leur environnement
d'exploitation. Dans la plupart des cas, vous seul avez connaissance de ces modifications.
Annexe B. Reprise après incident
45
46
Guide de déploiement Hardware Password Manager
Annexe C. Conseils et astuces
Voici une liste de conseils associés à Hardware Password Manager Version 1.0 :
• Symptôme : Le mode de récupération Bitlocker est déclenché si vous enregistrez votre système dans
Hardware Password Manager tandis que le chiffrement Bitlocker est activé.
Description de l'incident : Si l'utilisateur active le chiffrement BitLocker dans un premier temps, puis qu'il
s'enregistre dans Hardware Password Manager, le fait que les mots de passe du BIOS soient définis
provoquera l'échec du contrôle d'intégrité de BitLocker (les mots de passe du BIOS sont validés dans
PCR1) et le lancement du mode de récupération BitLocker au prochain amorçage.
Solution : Enregistrez-vous dans Hardware Password Manager avant d'activer le chiffrement Bitlocker.
• Symptôme : Les systèmes dont l'enregistrement est annulé hors ligne continuent d'apparaître comme
étant enregistrés dans la console ThinkManagement.
Description de l'incident : Lorsque l'enregistrement d'un système est annulé en désactivant Hardware
Password Manager dans la configuration du BIOS, le serveur Hardware Password Manager n'est pas
informé de l'annulation de l'enregistrement de ce système. Par conséquent, le serveur Hardware
Password Manager continue d'afficher ce système comme étant enregistré. Si l'administrateur met à
jour un paramètre de stratégie ou destine une action distante au système dont l'enregistrement a été
annulé, le statut de cette action restera en attente jusqu'à ce que le système soit de nouveau enregistré
dans Hardware Password Manager. Le fait que des actions distantes destinées à un système restent
en attente pendant longtemps indique que le système peut ne plus être enregistré ou qu'il ne s'est pas
connecté à l'intranet depuis longtemps.
Remarque : Les utilisateurs ne peuvent pas annuler un enregistrement dans la configuration du BIOS à
moins qu'ils n'appartiennent au groupe Techniciens de maintenance ou Administrateurs (étant donné que
le SVP est requis et qu'il n'est communiqué qu'aux techniciens de maintenance et aux administrateurs).
Solution : Si l'utilisateur enregistre de nouveau le système après avoir procédé à l'annulation de
l'enregistrement dans la configuration du BIOS, le serveur se resynchronisera avec le client et affichera
le statut d'enregistrement approprié. Si l'administrateur a supprimé ce système et ne compte plus
l'enregistrer, il peut le supprimer du serveur Hardware Password Manager.
• Symptôme : Si un utilisateur déplace une unité de disque dur d'un système enregistré dans Hardware
Password Manager vers un autre, la connexion utilisateur échouera du fait que le nouveau système ne
connaît pas le mot de passe de ce disque dur.
Description de l'incident : Les unités de disque dur dotées de mots de passe ne peuvent pas être
partagées entre différents systèmes enregistrés. Les mots de passe des disques durs sont gérés de la
façon suivante :
1. Par souci de cohérence entre les ordinateurs de bureau et les ordinateurs portables, tous les mots de
passe de disque dur sont les mêmes au sein d'un système donné (bien que le BIOS d'un ordinateur
portable puisse prendre en charge des mots de passe de disque dur différents au sein d'un même
système).
2. Les mots de passe d'accès au disque dur sont différents pour chaque système (à moins qu'un mot
de passe d'accès au disque dur commun soit défini par le biais d'une stratégie).
3. En supposant que les points 1 et 2 soient vrais, il est impossible de partager une unité de disque dur
entre différents systèmes enregistrés (puisque l'on suppose que le mot de passe d'accès au disque
dur est commun à toutes les unités du système A et que si l'une de ces unités est déplacée vers le
système B, son mot de passe d'accès au disque dur différera de celui qui est stocké dans le coffre).
Solution : Seuls les systèmes peuvent être partagés entre les utilisateurs via la console d'administration
(mais pas les unités de disque dur). Par conséquent, si l'utilisateur veut partager une unité entre 2
systèmes ou plus, la procédure recommandée consiste à supprimer le mot de passe d'accès au disque
© Copyright Lenovo 2010
47
dur sur cette unité (manuellement, par le biais de la configuration du BIOS) ou à supprimer l'unité lors de
l'enregistrement initial de sorte qu'aucun mot de passe d'accès au disque dur n'est défini pour cette unité.
• Symptôme : L'installation du client HPM échoue.
Description de l'incident : Lors de l'installation du client HPM, l'installation échoue avec une erreur de
fichier LTAPI.DLL introuvable lorsque le logiciel de pare-feu est actif.
Solution : Comme indiqué dans le guide d'installation de LANDesk, désactivez la protection antivirus et
les pare-feu lors de l'installation de l'agent du client.
• Symptôme : Lorsque la stratégie Windows Ne pas demander la combinaison de touches
Ctrl+Alt+Suppr est désactivée, la connexion unique de Hardware Password Manager à Windows ne se
produit pas ; l'utilisateur est tenu d'entrer ses données d'identification Windows.
Description de l'incident : La connexion unique à Windows ne fonctionne que si le paramètre de stratégie
Windows qui requiert que l'utilisateur appuie sur Ctrl+Alt+Suppr pour ouvrir une session est activé.
Ce paramètre de sécurité détermine si la sélection de la combinaison de touches Ctrl+Alt+Suppr est
requise avant qu'un utilisateur puisse se connecter. Lorsque cette stratégie est activée sur un ordinateur,
un utilisateur n'a pas besoin d'appuyer sur Ctrl+Alt+Suppr pour se connecter. Si cette stratégie est
désactivée, l'utilisateur doit appuyer sur Ctrl+Alt+Suppr avant de se connecter à Windows (sauf s'il utilise
une carte à puce pour une connexion Windows)
La valeur par défaut sur les ordinateurs d'un domaine est Désactivée. La valeur par défaut sur les
ordinateurs autonomes est Activée.
Solution : Activez la stratégie Windows Ne pas demander la combinaison de touches Ctrl+Alt+Suppr.
• Symptôme : Vous recevez des messages de l'application antivirus au cours de l'installation du client.
Description de l'incident : L'agent du client doit être installé une fois que les logiciels antivirus et de
pare-feu ont été désactivés. Une fois l'installation terminée, ces logiciels peuvent être réactivés. Cette
action est décrite comme une condition préalable à l'installation dans le manuel LANDesk User's Guide.
Solution : Désactivez la protection antivirus et les pare-feu lors de l'installation de l'agent du client.
• Symptôme : Tous les mots de passe d'accès au disque dur sont les mêmes au sein d'un système
Hardware Password Manager enregistré. Toutefois, les mots de passe diffèrent d'un système à l'autre
lorsque la stratégie qui détermine que le serveur Hardware Password Manager génère les mots de passe
est définie (par exemple, des mots de passe d'accès au disque dur non communs).
Description de l'incident : Le serveur Hardware Password Manager génère les mêmes mots de passe
d'accès au disque dur pour tous les disques durs connectés à une même machine au cours de
l'enregistrement (pour être conforme aux fonctionnalités du BIOS des ordinateurs de bureau).
Remarque : Le mot de passe d'accès au disque maître et le mot de passe d'accès au disque utilisateur
peuvent être différents pour une unité de disque dur, mais tous les mots de passe d'accès au disque dur
maître seront identiques et tous les mots de passe d'accès au disque dur utilisateur sont identiques pour
toutes les unités connectées au sein d'un système.
Solution : Aucune
• Symptôme : Lorsque vous modifiez votre mot de passe Windows en un mot de passe vierge après vous
être enregistré dans Hardware Password Manager, l'application client n'identifie pas que l'utilisateur est
enregistré et l'invite à s'enregistrer de nouveau.
Description de l'incident : Les mots de passe vierges provoquent des incidents sous Windows Vista en
raison des limitations de l'implémentation de l'interface CAPI sous Windows Vista. Lorsque cet incident
survient, même si l'utilisateur tente de redéfinir son mot de passe sur une valeur non vierge, la situation
ne se corrige pas d'elle-même (l'utilisateur continue de recevoir un message l'invitant à s'enregistrer).
L'utilisateur doit annuler son enregistrement (par le biais de la configuration du BIOS) puis se réenregistrer.
Solution : Définissez la stratégie Windows de façon à NE PAS autoriser l'utilisation de mots de passe
Windows vierges. Si vous souhaitez vivement autoriser les mots de passe Windows vierges, Vista SP2
contient un correctif qui résout cet incident.
48
Guide de déploiement Hardware Password Manager
• Symptôme : Un utilisateur peut établir une connexion à l'intranet et choisir d'annuler l'enregistrement
(supprimer les mots de passe matériels) d'un système dans lequel il n'est pas enregistré.
Description de l'incident : Lorsqu'un système est enregistré via le processus d'enregistrement en un clic
(seul un compte administrateur d'urgence est créé), l'utilisateur peut établir une connexion à l'intranet et
accéder à l'option Deregister PC. L'idéal serait que cette option ne soit pas visible par défaut étant donné
qu'elle permet l'annulation de l'enregistrement d'un PC sécurisé avant l'enregistrement d'utilisateurs.
Solution : L'administrateur peut désactiver l'option Deregister PC à partir du menu du BIOS en tant
que paramètre de stratégie dans la console d'administration. Cette action empêchera l'utilisateur de
voir l'option Deregister PC.
• Symptôme : Lorsque la stratégie détermine que les données d'identification des comptes matériels et
Windows doivent rester synchronisés, une modification du mot de passe du coffre à partir du menu de
connexion à l'intranet n'est pas détectée par l'application client.
Description de l'incident : Le Portail client ne peut pas mettre à jour le mot de passe Windows en fonction
de modifications apportées au mot de passe du coffre. Cela s'explique par le fait que le Portail client ne
peut pas contrôler de façon précise et sécurisée les modifications apportées au mot de passe du coffre
une fois que Windows a démarré (par exemple, le client peut uniquement détecter si une modification de
mot de passe a eu lieu, mais il n'est pas informé de la nature exacte de cette modification).
Remarque : Si l'utilisateur modifie son mot de passe Windows, l'application client invite l'utilisateur à
mettre à jour son mot de passe du coffre lors de sa prochaine ouverture de session Windows.
Solution : Les administrateurs peuvent empêcher cet incident s'ils désactivent le paramètre de stratégie
de mot de passe Change Hardware Account (paramètre du menu du BIOS).
• Symptôme : Vous recevez le message d'erreur Echec de la génération de clé de chiffrement au cours de
l'enregistrement dans Hardware Password Manager.
Description de l'incident : Les utilisateurs dont le nom d'utilisateur Windows contient un ou plusieurs des
caractères !@#$*() reçoivent un message d'erreur lorsqu'ils tentent de s'enregistrer.
Solution : Modifiez votre nom d'utilisateur de façon à exclure les caractères spéciaux mentionnés
ci-dessus.
• Symptôme : L'assistant d'enregistrement dans Hardware Password Manager n'invite pas l'utilisateur à
entrer un mot de passe Windows si ce dernier est vierge.
Description de l'incident : Etant donné que Hardware Password Manager requiert un mot de passe
Windows pour procéder à un enregistrement, il faut s'attendre à ce que le client Hardware Password
Manager n'invite pas à définir un mot de passe Windows si aucun n'a été défini. Le client HPM n'autorise
pas l'utilisateur à cliquer sur Suivant si sont mot de passe Windows est vierge.
Solution : L'utilisateur doit avoir défini un mot de passe Windows avant de procéder à un enregistrement
dans Hardware Password Manager.
• Symptôme : L'installation de SGE ou SGN échoue si le client Hardware Password Manager est installé.
Description de l'incident : Si vous installez SGN ou SGE sous Windows XP alors que le client Hardware
Password Manager a été installé, une erreur s'affiche indiquant que la fonction GINA de Lenovo est
active et l'installation échoue.
Solution : Désinstallez le client Hardware Password Manager, redémarrez le système, installez SGE ou
SGN, redémarrez à nouveau, puis réinstallez le client.
• Symptôme : Lorsque vous entrez la version du BIOS dans la liste d'exclusion des versions de BIOS
pour le système ThinkCentre, le dernier caractère de la version du BIOS ne peut pas être saisi dans la
zone de saisie sur la console d'administration.
Description de l'incident : L'incident se produit parce que le serveur Hardware Password Manager
prend en charge un maximum de 8 caractères pour la version du BIOS. Les systèmes ThinkCentre
utilisent une version de BIOS à 9 caractères. Cela ne devrait pas poser de problème étant donné qu'une
Annexe C. Conseils et astuces
49
correspondance exacte n'est pas requise (la correspondance porte sur les 8 premiers caractères et ne
tient pas compte du 9ème caractère).
Solution : Aucune
• Symptôme : Un message d'erreur indiquant que le fichier PSI.DLL est manquant s'affiche.
Description de l'incident : Le message d'erreur indiquant que le fichier PSI.DLL est manquant s'affiche si
l'agent du client n'a pas été installé correctement.
Solution : Désinstallez l'agent du client, redémarrez le système, réinstallez l'agent du client. Assurez-vous
que la case à cocher Hardware Password Manager est sélectionnée lorsque vous installez l'agent du
client si vous souhaitez utiliser Hardware Password Manager sur ce système).
• Symptôme : Vous pouvez créer deux comptes matériel associés à un seul compte Windows.
Description de l'incident : Cet incident se produit lors de la restauration d'un système à partir d'une
sauvegarde qui a été effectuée avant l'enregistrement dans Hardware Password Manager. Lors de
l'enregistrement dans Hardware Password Manager, les données d'identification Windows de l'utilisateur
sont stockées dans un stockage sécurisé au sein du fichier de clés CAPI Windows. En outre, l'association
entre les données d'identification Windows et le compte intranet est conservée.
Lors de la restauration d'un système à un stade antérieur à l'enregistrement de l'utilisateur dans Hardware
Password Manager, le fichier de clés CAPI peut être perdu (étant donné qu'il est stocké dans le registre
Windows), ce qui signifie que les données d'identification Windows et les associations avec le compte
intranet sont perdues même si le système est effectivement enregistré. Dans ce cas, l'application client
continue à vous inviter à vous enregistrer (si la stratégie le requiert). Par ailleurs, si vous essayez de vous
enregistrer et que vous spécifiez le même compte intranet que celui que vous avez utilisé précédemment
pour vous enregistrer, l'application client échouera en indiquant que vous vous êtes déjà enregistré. Si
vous vous enregistrez de nouveau en utilisant un compte intranet différent, l'application client permet au
processus d'enregistrement d'aboutir, mais vous avez désormais deux comptes matériels associés au
même compte Windows (ce qui n'est pas recommandé).
Solution : Pour empêcher cet incident, assurez-vous que votre sauvegarde a été effectuée après
l'enregistrement du système dans Hardware Password Manager (en utilisant Rescue and Recovery ou
tout autre outil de sauvegarde qui effectue une sauvegarde complète du disque, par exemple).
Si vous avez déjà restauré votre système (et si, par exemple, vous avez perdu votre fichier de clés CAPI),
annulez votre enregistrement et réenregistrez-vous dans Hardware Password Manager.
• Symptôme : Lors de l'enregistrement dans Hardware Password Manager, si la connectivité réseau est
perdue au cours de l'opération d'interruption/reprise et que l'utilisateur se déconnecte avant la reprise
de la connectivité réseau, l'application réseau termine le processus d'enregistrement normalement.
Toutefois, le serveur Hardware Password Manager indique que l'enregistrement du PC a échoué.
Description de l'incident : L'incident se produit du fait que l'application client est incapable de signaler au
serveur Hardware Password Manager que l'enregistrement s'est terminé correctement.
Solution : Annulez l'enregistrement et réenregistrez-vous dans Hardware Password Manager.
• Symptôme : Un périphérique qui a été enregistré dans Hardware Password Manager, dont les mots de
passe matériels ont été définis, sont supprimés de la vue des périphériques Hardware Password Manager
sous Computers.
Description de l'incident : Dans ce cas, le périphérique peut rester connecté avec le compte matériel qui a
été créé lors de l'enregistrement. Toutefois, le périphérique ne peut pas être géré ou enregistré à nouveau
avec HPM jusqu'à ce que les mots de passe soient effacés. Solution : Dans la console, sous Network
View ➙ Hardware Password Manager devices ➙ Computers view, faites un clic droit sur Computers
et cliquez sur View all. Les ordinateurs supprimés précédemment à partir de la console s'affichent.
Obtenez les mots de passe matériels ou le mot de passe administrateur d'urgence pour le périphérique en
question et utilisez ces données d'identification pour démarrer l'ordinateur dans l'utilitaire de configuration
du BIOS. Sélectionnez Security, puis Password. Désactivez Hardware Password Manager. Tous les mots
de passe matériels seront effacés. Activez immédiatement Hardware Password Manager et appuyez sur la
touche F10 pour enregistrer et quitter cette fenêtre. Après un nouveau démarrage de Windows, le portail
50
Guide de déploiement Hardware Password Manager
client Hardware Password Manager demande à nouveau l'enregistrement automatique du périphérique si
cette stratégie est définie. A présent le périphérique peut être enregistré à nouveau si besion.
• Symptôme : Réception du message Compte matériel inexistant lors de la mise à jour de votre mot de
passe Windows.
Description de l'incident : Cet incident se produit dans les conditions suivantes :
1. La stratégie du serveur est définie de façon à ce que les comptes Windows et matériels ne soient
pas synchronisés.
2. L'utilisateur s'enregistre avec un nom de compte matériel qui est différent de son nom d'utilisateur
Windows.
3. L'administrateur de systèmes informatiques modifie la stratégie du serveur de façon à imposer la
synchronisation des comptes Windows et matériels.
4. L'utilisateur modifie son mot de passe Windows ultérieurement.
5. La prochaine fois que l'utilisateur ouvre une session Windows, l'application client notifie l'utilisateur
que son compte matériel doit être mis à jour de façon à refléter son nouveau mot de passe Windows.
6. L'utilisateur est invité à saisir ses données d'identification pour accéder à l'intranet afin de
s'authentifier auprès de Active Directory avant de mettre à jour le compte matériel.
7. L'application client affiche un message indiquant que le compte matériel n'existe pas. Cela s'explique
du fait que le nom d'utilisateur Windows de l'utilisateur ne correspond pas au nom du compte
matériel (le paramètre de stratégie en cours requiert qu'ils correspondent).
Solution : Si cet incident se produit, il est recommandé d'annuler son enregistrement et de s'enregistrer
à nouveau dans Hardware Password Manager.
Pour empêcher cet incident, l'administrateur de systèmes informatiques doit décider quel paramètre de
stratégie choisir pour la synchronisation entre les données d'identification Windows et des comptes
intranet et s'y tenir (ne pas la modifier après que des utilisateurs se sont enregistrés).
• Symptôme : Aucune information ne figure dans les fichiers d'aide concernant l'extension de la prise en
charge sans fil dans le BIOS.
Description de l'incident :Hardware Password Manager prend en charge toutes les fonctions Windows
par le biais de connexions sans fil, par exemple, l'enregistrement, le renouvellement et la restauration du
coffre, et l'exécution d'actions distantes. Cependant, le BIOS ne prend pas en charge les connexions
réseau sans fil. Ainsi, l'ordinateur doit être doté d'une connexion réseau filaire pour toutes les fonctions
BIOS qui nécessitent une connexion réseau, telles que Intranet Login (qui n'est nécessaire que si
l'utilisateur a oublié ses données d'identification).
Solution : L'utilisateur doit utiliser une connexion réseau filaire lorsqu'il effectue une connexion à l'intranet
à partir du BIOS.
• Symptôme : Réception du message Nom d'utilisateur ou mot de passe incorrect lorsque le nom
d'utilisateur et/ou le mot de passe pour l'accès à l'intranet sont corrects et d'une longueur supérieure
à 63 caractères.
Description de l'incident : Le BIOS autorise la saisie d'un nom d'utilisateur et d'un mot de passe d'un
maximum de 64 octets (caractère de terminaison NULL compris) lors d'une connexion à l'intranet
(63 caractères chacun pour le nom d'utilisateur et le mot de passe, par exemple). L'application client doit
donc appliquer la même restriction par souci de cohérence.
Solution : Définissez la stratégie Active Directory de façon à limiter les noms d'utilisateur et les mots de
passe d'accès à l'intranet à une longueur maximale de 63 caractères.
• Symptôme : L'application client Hardware Password Manager vous invite à vous enregistrer même si
l'utilisateur s'est déjà enregistré.
Description de l'incident : Si un utilisateur de domaine est configuré avec une adresse de serveur DNS
codée en dur (qui n'est pas détectée automatiquement) et que la stratégie Hardware Password Manager
est définie sur la synchronisation des données de connexion utilisateur et Windows, l'application client
Annexe C. Conseils et astuces
51
Hardware Password Manager peut ne pas reconnaître que l'utilisateur a déjà été enregistré si son mot de
passe d'accès au compte de domaines a été modifié ou réinitialisé par l'administrateur.
Solution : Annulez l'enregistrement du système (soit via la configuration du BIOS, soit via le menu Intranet
Login du BIOS), puis procédez de nouveau l'enregistrement.
• Symptôme : Suite à une restauration réalisée à partir d'une sauvegarde effectuée avant l'installation de
l'application client Hardware Password Manager, l'utilisateur est incapable de se réenregistrer auprès du
serveur Hardware Password Manager ; l'utilisateur reçoit un message indiquant une erreur interne.
Description de l'incident : Si l'utilisateur s'est enregistré dans Hardware Password Manager, puis qu'il
procède à une restauration à partir d'une sauvegarde réalisée alors que l'application client Hardware
Password Manager n'avait pas été installée, le système se retrouve dans un état où le BIOS considère
que le système est enregistré (le coffre sécurisé est alloué et les mots de passe matériels sont définis),
mais l'application client n'est plus installée.
Solution : Annulez l'enregistrement du système (soit via la configuration du BIOS, soit via le menu Intranet
Login du BIOS), puis procédez de nouveau l'enregistrement.
• Symptôme :Hardware Password ManagerEchec de la connexion à lorsqu'un serveur Novell (LDAP) est
utilisé. Cela peut se produire chaque fois que les données d'identification pour accéder au compte
intranet sont requises, par exemple, lors d'un enregistrement, d'un renouvellement ou d'une connexion à
l'intranet à l'invite du BIOS.
Description de l'incident : Vous ne pouvez pas vous connecter en utilisant des caractères spéciaux tels
que = (signe égal) et . (point). Cela peut se produit dans les scénarios suivants :
– Si les options/connexions/restrictions de liaison LDAP sont définies sur Aucune et si le format du nom
d'utilisateur est user1.novell
– Si les options/connexions/restrictions de liaison LDAP sont définies sur Disallow anonymous simple
bind et si le format du nom d'utilisateur est cn=user1, o=novell
Solution : - N/A
52
Guide de déploiement Hardware Password Manager
Annexe D. Remarques
Le présent document peut contenir des informations ou des références concernant certains produits,
logiciels ou services Lenovo non annoncés dans ce pays. Pour plus de détails, référez-vous aux documents
d'annonce disponibles dans votre pays, ou adressez-vous à votre partenaire commercial Lenovo. Toute
référence à un produit, logiciel ou service Lenovo n'implique pas que seul ce produit, logiciel ou service
puisse être utilisé. Tout autre élément fonctionnellement équivalent peut être utilisé, s'il n'enfreint aucun
droit de Lenovo. Il est de la responsabilité de l'utilisateur d'évaluer et de vérifier lui-même les installations et
applications réalisées avec des produits, logiciels ou services non expressément référencés par Lenovo.
Lenovo peut détenir des brevets ou des demandes de brevet couvrant les produits mentionnés dans le
présent document. La remise de ce document ne vous donne aucun droit de licence sur ces brevets ou
demandes de brevet. Si vous désirez recevoir des informations concernant l'acquisition de licences, veuillez
en faire la demande par écrit à l'adresse suivante :
Lenovo (United States), Inc.
1009 Think Place - Building One
Morrisville, NC 27560
U.S.A.
Attention: Lenovo Director of Licensing
LE PRESENT DOCUMENT EST LIVRE «EN L'ETAT». LENOVO DECLINE TOUTE RESPONSABILITE,
EXPLICITE OU IMPLICITE, RELATIVE AUX INFORMATIONS QUI Y SONT CONTENUES, Y COMPRIS EN
CE QUI CONCERNE LES GARANTIES DE NON-CONTREFACON ET D'APTITUDE A L'EXECUTION D'UN
TRAVAIL DONNE. Certaines juridictions n'autorisent pas l'exclusion des garanties implicites, auquel cas
l'exclusion ci-dessus ne vous sera pas applicable.
Le présent document peut contenir des inexactitudes ou des coquilles. Il est mis à jour périodiquement.
Chaque nouvelle édition inclut les mises à jour. Lenovo peut modifier sans préavis les produits et logiciels
décrits dans ce document.
Les produits décrits dans ce document ne sont pas conçus pour être implantés ou utilisés dans un
environnement où un dysfonctionnement pourrait entraîner des dommages corporels ou le décès de
personnes. Les informations contenues dans ce document n'affectent ni ne modifient les garanties ou les
spécifications des produits Lenovo. Rien dans ce document ne doit être considéré comme une licence
ou une garantie explicite ou implicite en matière de droits de propriété intellectuelle de Lenovo ou de
tiers. Toutes les informations contenues dans ce document ont été obtenues dans des environnements
spécifiques et sont présentées en tant qu'illustration. Les résultats peuvent varier selon l'environnement
d'exploitation utilisé.
Lenovo pourra utiliser ou diffuser, de toute manière qu'elle jugera appropriée et sans aucune obligation de sa
part, tout ou partie des informations qui lui seront fournies.
Les références à des sites Web non Lenovo sont fournies à titre d'information uniquement et n'impliquent en
aucun cas une adhésion aux données qu'ils contiennent. Les éléments figurant sur ces sites Web ne font pas
partie des éléments du présent produit Lenovo et l'utilisation de ces sites relève de votre seule responsabilité.
Les données de performance indiquées dans ce document ont été déterminées dans un environnement
contrôlé. Par conséquent, les résultats peuvent varier de manière significative selon l'environnement
d'exploitation utilisé. Certaines mesures évaluées sur des systèmes en cours de développement ne sont
pas garanties sur tous les systèmes disponibles. En outre, elles peuvent résulter d'extrapolations. Les
résultats peuvent donc varier. Il incombe aux utilisateurs de ce document de vérifier si ces données sont
applicables à leur environnement d'exploitation.
© Copyright Lenovo 2010
53
Marques
Les termes qui suivent sont des marques de Lenovo aux Etats-Unis et/ou dans certains autres pays :
Access Connections
Lenovo
ThinkVantage
ThinkPad
Les termes qui suivent sont des marques d'International Business Machines Corporation aux Etats-Unis
et/ou dans certains autres pays :
IBM
Lotus
Lotus Notes
Intel est une marque d'Intel Corporation aux Etats-Unis et/ou dans certains autres pays.
Microsoft et Windows 2000, Windows XP et Windows Vista sont des marques de Microsoft Corporation
aux Etats-Unis et/ou dans certains autres pays.
Les autres noms de sociétés, de produits et de services peuvent appartenir à des tiers.
54
Guide de déploiement Hardware Password Manager
Numéro de page :
Printed in USA
(1P) P/N:
**