Le logiciel IBM Client Security ne peut être utilisé que sur les ordinateurs IBM équipés du sous-système de sécurité intégré IBM. Il est constitué d'applications et de composants qui permettent aux clients IBM de sécuriser les informations sensibles via une puce de sécurité matérielle et non pas via un logiciel plus vulnérable.

Pour que les informations appartenant à l'utilisateur et situées sur le client puissent être protégées, le logiciel IBM Client Security doit être installé sur le client et l'utilisateur doit être autorisé à utiliser ce logiciel. IBM met à votre disposition un assistant d'installation facile à utiliser qui vous guide pendant toute la procédure d'installation.

AVERTISSEMENT : Pendant l'installation, au moins un utilisateur client DOIT être autorisé à utiliser UVM. Si AUCUN utilisateur n'est autorisé à utiliser UVM lors de l'installation initiale du logiciel Client Security, vos paramètres de sécurité NE SERONT PAS appliqués et vos informations NE SERONT PAS protégées.

Si vous avez terminé l'installation à l'aide de l'assistant sans accorder d'autorisation à aucun utilisateur, arrêtez puis redémarrez le système. Exécutez ensuite l'assistant d'installation Client Security à partir du menu Démarrer de Windows et accordez à un utilisateur Windows l'autorisation d'utiliser UVM. Le logiciel IBM Client Security pourra alors appliquer vos paramètres de sécurité et assurer la protection des informations sensibles.

Nouveautés de cette édition

• IBM Password Manager 1.4 est inclus dans le module d'installation CSS

• Lecteur d'empreinte digitale intégré UPEK sur certains ordinateurs IBM

• L'installation en un clic installe tous les fichiers nécessaires

• Prise en charge de mots de passe administrateur de longueur variable

• Nouvelle option de configuration pour les utilisateurs débutants : configuration classique

• Seuls les TPM nationaux et Atmel sont pris en charge dans cette édition

• Le mot de passe composé superviseur BIOS (ThinkPad) est pris en charge dans cette édition

Remarque : Si vous utilisez un ordinateur ThinkPad ou NetVista avec une puce de sécurité non TCG, vous devez utiliser le logiciel Client Security version 5.3. Le logiciel Client Security version 5.4 ne s'installera pas sur ces ordinateurs.

Versions de logiciel requises à utiliser avec cette édition

• IBM Password Manager version 1.4

• IBM FFE (File and Folder Encryption - chiffrement de fichiers et de dossiers) version 2.10

Incidents ou limitations connus dans CSS version 5.4

• Prise en charge d'un seul lecteur d'empreinte digitale
  Le logiciel Client Security version 5.4 ne prend pas en charge plusieurs lecteurs d'empreinte digitale simultanément sur le même ordinateur. Pour utiliser un lecteur d'empreinte digitale différent, le lecteur d'empreinte digitale actuel doit être désinstallé.

• Echec de la connexion à un réseau sans fil après le transfert d'un certificat utilisateur
  Si vous laissez la boîte de dialogue de saisie du mot de passe composé ouverte sans entrer de mot de passe composé pendant un certain temps, la connexion à votre réseau sans fil risque d'échouer. Dans ce cas, désactivez et réactivez votre carte de réseau sans fil après vous être authentifié dans IBM User Verification Manager (UVM).

• Risque d'échec des tentatives de chiffrement simultané en cliquant sur le bouton droit de la souris
  Si vous tentez de chiffrer plusieurs fichiers simultanément à l'aide du bouton droit de la souris, le chiffrement risque d'échouer. Il est plus probable que cela se produise si le premier fichier est très volumineux. Dans ce cas, utilisez le bouton droit de la souris pour chiffrer les fichiers individuellement.

• Mots de passe de substitution de carte à puce ou d'empreinte digitale pour certains utilisateurs
  Lorsqu'un administrateur met à jour un mot de passe de substitution de carte à puce ou d'empreinte digitale à l'aide de la console d'administration, un fichier mis à jour est généré et placé dans l'archive de l'utilisateur. L'utilisateur final doit alors copier ce fichier à partir de l'archive vers le répertoire en cours sur le système. Pour ce faire, il convient généralement de sélectionner l'option de restauration de la configuration utilisateur à partir de l'archive dans l'utilitaire de configuration utilisateur. Cependant, cette option n'est disponible que pour les utilisateurs dotés de privilèges administrateur sur cet ordinateur. Certains utilisateurs ne pourront pas récupérer un mot de passe de substitution mis à jour. Pour certains, il faudra qu'un administrateur copie manuellement le fichier approprié dans le répertoire Windows du système.

• Les utilisateurs invités ne peuvent pas utiliser l'utilitaire de chiffrement des fichiers et dossiers ni l'utilitaire de gestion des mots de passe
  Les utilitaires de chiffrement des fichiers et dossiers ou de gestion des mots de passe n'autorisent pas l'accès à un utilisateur invité même si son compte est affiché dans l'utilitaire d'administration.

• Limitations de la fonction d'itinérance

  • Utilisation d'un serveur itinérant CSS

    L'invite de mot de passe administrateur CSS s'affiche chaque fois que quelqu'un tente d'ouvrir une session sur le serveur itinérant CSS. Cependant, l'ordinateur peut être utilisé normalement sans qu'il soit nécessaire d'entrer ce mot de passe.

  • Utilisation du logiciel IBM Client Security Password Manager dans un environnement itinérant

    Les mots de passe stockés sur un système utilisant IBM Client Security Password Manager peuvent être utilisés sur les autres systèmes de l'environnement itinérant. Les nouvelles entrées sont automatiquement extraites de l'archive lorsque l'utilisateur ouvre une session sur un autre système (si l'archive est disponible) du réseau itinérant. Aussi, si un utilisateur a déjà ouvert une session sur un système, il doit la fermer puis la rouvrir pour que les nouvelles entrées soient disponibles sur le réseau itinérant.

  • Certificat Internet Explorer et délais de rafraîchissement sur le serveur itinérant

    Les certificats Internet Explorer sont rafraîchis toutes les 20 secondes dans l'archive. Lorsqu'un nouveau certificat Internet Explorer est généré par un utilisateur itinérant, ce dernier doit attendre au moins 20 secondes avant de pouvoir importer, restaurer ou modifier sa configuration CSS sur un autre système. S'il tente l'une de ces actions avant l'écoulement du délai de 20 secondes, le certificat est perdu. En outre, si l'utilisateur n'était pas connecté à l'archive lors de la génération du certificat, il devra attendre 20 secondes après la connexion à l'archive pour être sûr que le certificat a été mis à jour dans l'archive.

  • Mot de passe Lotus Notes et itinérance des accréditations

    Si le support Lotus Notes est activé, les mots de passe utilisateur Lotus Notes sont stockés par UVM. Les utilisateurs n'ont pas besoin de saisir leur mot de passe Lotus Notes pour ouvrir une session sous Lotus Notes. Il leur sera demandé leur mot de passe composé UVM, leurs empreintes digitales, leur carte à puce, etc. (selon les paramètres de stratégie de sécurité définis) pour pouvoir accéder à Lotus Notes.

    Si un utilisateur modifie son mot de passe Notes à partir de Lotus Notes, le fichier d'ID Lotus Notes est mis à jour avec le nouveau mot de passe et la copie UVM du nouveau mot de passe Notes est également mise à jour. En environnement itinérant, les accréditations UVM de l'utilisateur sont disponibles sur les autres systèmes du réseau itinérant auxquels l'utilisateur peut accéder. Il peut arriver que la copie UVM du mot de passe Notes ne corresponde pas au mot de passe Notes figurant dans le fichier d'ID des autres systèmes du réseau itinérant si le fichier d'ID Notes contenant le mot de passe mis à jour n'est pas disponible sur les autres systèmes. Dans ce cas, l'utilisateur ne pourra pas accéder à Lotus Notes.

    Si le fichier d'ID Notes d'un utilisateur contenant le mot de passe mis à jour n'est pas disponible sur les autres systèmes, il doit être copié sur les autres systèmes du réseau itinérant afin que le mot de passe contenu dans le fichier d'ID corresponde à la copie stockée par UVM. Les utilisateurs peuvent aussi exécuter la commande Modification de vos paramètres de sécurité à partir du menu Démarrer et remplacer le mot de passe Notes par son ancienne valeur. Le mot de passe Notes peut ensuite être de nouveau mis à jour via Lotus Notes.

  • Disponibilité des accréditations à l'ouverture de session en environnement itinérant

    Lorsqu'une archive est située sur un partage de réseau, les derniers jeux d'accréditations utilisateur sont téléchargés à partir de l'archive dès que l'utilisateur a accès à cette dernière. A l'ouverture de session, les utilisateurs n'ont pas encore accès aux partages de réseau, aussi, les dernières accréditations peuvent ne pas être téléchargées tant que la procédure d'ouverture de session sur le système n'est pas terminée. Par exemple, si le mot de passe composé UVM a été modifié sur un autre système du réseau itinérant ou si de nouvelles empreintes digitales ont été enregistrées sur un autre système, ces mises à jour ne seront pas disponibles tant que la procédure d'ouverture de session ne sera pas terminée. Si les accréditations d'utilisateur mises à jour ne sont pas disponibles, les utilisateurs doivent essayer l'ancien mot de passe composé ou d'autres empreintes digitales pour ouvrir une session sur le système. Une fois que la procédure d'ouverture de session est terminée, les accréditations d'utilisateur mises à jour sont disponibles et le nouveau mot de passe composé, ainsi que les nouvelles empreintes digitales, sont enregistrés auprès d'UVM.

  • Utilisation de Netscape en environnement itinérant

    Si vous utilisez Netscape en environnement itinérant, tous les systèmes du réseau itinérant doivent utiliser la même version de Netscape. Les droits d'accès ne peuvent pas être utilisés avec des versions différentes, telles que 4.8 et 7.1

• Restauration de clés

  Après l'exécution d'une restauration de clé, vous devez redémarrer l'ordinateur pour pouvoir continuer à utiliser le logiciel Client Security.

• Noms d'utilisateur local et d'utilisateur de domaine

  Si les noms d'utilisateur local et d'utilisateur de domaine sont les mêmes, vous devez utiliser le même mot de passe Windows pour les deux comptes. Le gestionnaire IBM User Verification Manager (UVM) stocke un seul mot de passe Windows par ID. Les utilisateurs doivent donc utiliser le même mot de passe pour l'ouverture de session locale et l'ouverture de session de domaine. S'ils ne le font pas, ils sont invités à mettre à jour le mot de passe Windows IBM UVM lorsqu'ils passent de la session locale à la session de domaine (si la fonction de remplacement d'ouverture de session sécurisée Windows IBM UVM est activée).

  CSS ne permet pas d'inscrire des utilisateurs locaux et de domaine distincts sous le même nom de compte. Si vous tentez d'inscrire des utilisateurs locaux et des utilisateurs de domaine sous le même ID, le message suivant s'affiche : L'ID utilisateur sélectionné a déjà été configuré. CSS ne permet pas l'inscription séparée des ID utilisateur local et utilisateur de domaine communs sur un système (l'ID utilisateur commun a accès au même jeu d'accréditations telles que les certificats, les empreintes digitales stockées, etc.).

• Réinstallation du logiciel d'empreintes digitales Targus

  Si le logiciel d'empreintes digitales Targus est supprimé, puis réinstallé, les entrées de registre nécessaires à l'activation du support d'empreinte digitale du logiciel Client Security doivent être ajoutées manuellement pour que le support soit activé. Téléchargez le fichier de registre contenant les entrées nécessaires (atplugin.reg) et cliquez deux fois dessus pour que les entrées de registre soient fusionnées dans le registre. Cliquez sur Oui lorsque vous y êtes invité pour confirmer l'opération. Vous devez ensuite redémarrer le système pour que le logiciel Client Security prenne en compte les modifications et active le support d'empreinte digitale.

  Remarque : Vous devez disposer de droits d'administrateur sur le système pour pouvoir ajouter ces entrées de registre.

• Lecteur d'empreintes digitales USB Targus

  Si vous changez le port de connexion du lecteur d'empreintes digitales USB Targus, il est possible que le logiciel IBM User Verification Manager rencontre des difficultés pour reconnaître les empreintes d'un utilisateur. Dans ce cas, reconnectez le lecteur USB au port auquel il était relié auparavant.

• Mot de passe composé superviseur BIOS

  Le logiciel IBM Client Security version 5.3 et versions antérieures ne prend pas en charge la fonction de mot de passe composé superviseur BIOS disponible sur certains systèmes ThinkPad. Si vous activez l'utilisation du mot de passe composé superviseur BIOS, toute activation ou désactivation de la puce de sécurité devra être effectuée à partir du programme de configuration du BIOS. Le sous-système de sécurité intégré IBM ne sera pas activé au cours de l'installation interactive si un mot de passe superviseur BIOS est défini.

• Utilisation de Netscape 7.x

  Netscape 7.x se comporte différemment de Netscape 4.x. L'invite de mot de passe composé ne s'affiche pas dès le démarrage de Netscape. Le module PKCS#11 n'est chargé que lorsque cela est nécessaire. Par conséquent, l'invite de mot de passe composé s'affiche uniquement en cas d'exécution d'une opération nécessitant la présence du module PKCS#11.

• Utilisation d'une disquette pour l'archivage

  Si vous désignez une disquette comme emplacement d'archivage lors de la configuration du logiciel de sécurité, vous devrez faire face à de longs délais d'attente lors de l'écriture des données par le processus de configuration sur la disquette. Il est conseillé d'utiliser d'autres supports (tels qu'un partage de réseau ou une clé USB) qui donneront de meilleurs résultats.

• Enregistrement de cartes à puce

  Les cartes à puce doivent être enregistrées auprès d'UVM pour qu'un utilisateur puisse s'authentifier avec succès grâce à la carte. Si une carte est affectée à plusieurs utilisateurs, seul le dernier utilisateur ayant enregistré la carte pourra l'utiliser. Par conséquent, les cartes à puce ne doivent être enregistrées que pour un seul compte utilisateur.

• Authentification à l'aide de cartes à puce

  Lorsqu'une carte à puce est nécessaire pour une authentification, UVM affiche une boîte de dialogue demandant l'insertion de la carte à puce. Une fois que vous avez inséré la carte à puce dans le lecteur, une boîte de dialogue demandant le code confidentiel de la carte s'affiche. Si vous saisissez un code confidentiel incorrect, UVM demande à nouveau l'insertion de la carte à puce. Vous devez alors retirer puis réinsérer la carte à puce pour pouvoir saisir à nouveau votre code confidentiel. Vous devez retirer puis réinsérer la carte à puce jusqu'à ce que vous ayez entré le code confidentiel correct.

• Le caractère plus (+) s'affiche sur les dossiers après leur chiffrement

  Lorsque des fichiers ou des dossiers font l'objet d'un chiffrement, l'Explorateur Windows affiche un caractère plus (+) devant l'icône du dossier. Ce caractère disparaît lorsque vous rafraîchissez la fenêtre de l'explorateur.

• Nombre de fichiers après chiffrement effectué à l'aide du bouton droit de la souris

  Lorsque vous tentez de chiffrer plusieurs fichiers à l'aide du bouton droit de la souris, il est possible que l'opération échoue si l'un de ces fichiers est d'un type interdit, tel que DLL, VxD, SYS, etc. Si cette opération échoue, il est possible que le nombre de fichiers non chiffrés indiqué dans la fenêtre d'erreur soit incorrect.

• Archivage des droits d'accès utilisateur

  Le logiciel IBM Client Security tente de conserver les informations de sauvegarde stockées dans l'archive à jour en sauvegardant fréquemment les données sur le système dans le répertoire d'archivage (spécifié lors de la configuration du sous-système de sécurité). Si ce répertoire est stocké sur une unité à support amovible, telle qu'une clé USB, ou sur un partage de réseau, il peut ne pas toujours être disponible. Si CSS ne peut pas accéder au répertoire d'archivage, un message indique que l'archive est indisponible. Si vous cliquez sur Annuler, la tentative de sauvegarde d'un fichier spécifique est annulée et CSS tentera éventuellement de sauvegarder plusieurs fichiers, il est donc possible que ce message apparaisse plusieurs fois. Afin d'éviter l'affichage répété de ce message lorsque l'archive est indisponible, cochez la case Ne plus afficher ce message. Il ne s'affichera plus.

• Utilisateurs limités de Windows XP Home

  Les utilisateurs limités de Windows XP Home ne peuvent pas mettre à jour leur mot de passe composé UVM, leur mot de passe Windows ou leur archive de clés à partir de l'utilitaire de configuration utilisateur.

• Une erreur POST 190 peut se produire lors de l'installation d'une nouvelle carte mère :

Pour supprimer cette erreur POST, procédez comme suit :

1. Redémarrez l'ordinateur.

2. Appuyez sur F1 pour accéder à l'utilitaire de configuration du BIOS lorsque vous y êtes invité.

3. Quittez l'utilitaire de configuration du BIOS.

L'erreur POST est supprimée lorsque vous quittez l'utilitaire de configuration du BIOS.

CSS 5.4 : GINA prises en charge

• GINA IBM Access Connections (qcongina.dll)

• GINA Utimaco SafeGuard Easy (sslogon.dll)

• GINA Atheros sans fil (athgina.dll)

• GINA Intel sans fil (iWPDGina.dll)

Mise à jour à partir de la version 4.0x

Pour supprimer complètement le logiciel Client Security, il suffit de désinstaller la version 4.0x de ce logiciel à partir de l'applet Ajout/Suppression de programmes du Panneau de configuration. Une fois que vous avez redémarré l'ordinateur, vous pouvez alors installer le logiciel Client Security version 5.4 et le configurer via l'assistant d'installation.

Pour pouvoir exécuter la procédure suivante, vous devez disposer des clés publique et privée qui ont été créées lors de la configuration de la version 4.0x. Vérifiez que vous disposez de ces clés.

Pour supprimer le logiciel Client Security 4.0x, mais utiliser les données de sécurité existantes avec la version 5.4, procédez comme suit :

1. Effectuez une mise à jour des informations d'archive.
   Avant de supprimer le logiciel Client Security 4.0x, vérifiez que les informations d'archive sont bien à jour. Pour cela, exécutez la procédure suivante :

   1. Cliquez sur Démarrer > Programmes > Logiciel IBM Client Security >Utilitaire client.

   2. Cliquez sur le bouton de mise à jour de l'archive. Cela vous permet de mettre à jour les informations de sauvegarde. Notez le répertoire d'archivage.

   3. Quittez l'utilitaire.

2. Supprimez le logiciel Client Security existant sur l'ordinateur :

   1. A partir du Panneau de configuration, utilisez la fonction Ajout/Suppression de programmes pour supprimer le logiciel IBM Client Security.

   2. Sélectionnez Non lorsque vous êtes invité à redémarrer le système.

   3. Arrêtez le système à partir du menu Démarrer.

3. Videz la puce de sécurité intégrée :

1. Mettez le système sous tension.

2. Appuyez sur F1 durant le démarrage pour accéder à l'utilitaire de configuration du BIOS.

3. Affichez les paramètres de configuration de la puce de sécurité et videz cette dernière.

4. Quittez l'utilitaire de configuration du BIOS. Le système redémarre alors.

   Remarque : Il se peut que vous deviez maintenir enfoncée la touche Fn durant le démarrage. La procédure de vidage de la puce varie d'un système à l'autre. Reportez-vous au guide d'utilisation fourni avec l'ordinateur.

4. Installez IBM Client Security 5.4 :

1. Exécutez le programme d'installation de la version 5.4.

2. Redémarrez le système lorsque vous y êtes invité. Après le redémarrage, l'assistant d'installation du logiciel Client Security est automatiquement lancé.

3. N'exécutez pas l'assistant d'installation. Cliquez sur Annuler pour quitter le programme.

5. Effectuez une sauvegarde temporaire de la stratégie de sécurité par défaut :

1. A l'aide de l'Explorateur Windows, accédez au répertoire d'installation du logiciel IBM Client Security (par défaut, c:\program files\IBM\security).

2. Cliquez avec le bouton droit de la souris sur le dossier UVM_Policy, puis sélectionnez Copier.

3. Cliquez avec le bouton droit de la souris sur le bureau, puis cliquez sur Coller. Une copie de sauvegarde temporaire est alors créée sur le bureau. Vos paramètres de stratégie de sécurité existants sont remplacés par les nouveaux paramètres par défaut.

6. Restaurez les paramètres à partir de la version 4.0 :

   1. A partir du Panneau de configuration, sélectionnez le sous-système de sécurité intégré IBM et tapez le mot de passe d'accès à la puce.

   2. Cliquez sur le bouton Configuration de clé.

   3. Sélectionnez Oui pour restaurer les clés de l'archive de clés.

   4. Indiquez l'emplacement du répertoire d'archivage de la version 4.0x.

   5. Indiquez l'emplacement des fichiers de clés publique et privée que vous avez créés lors de la configuration de la version 4.0x. Le système vous informe que votre archive va être mise à jour avec la nouvelle version.

   6. Cliquez sur OK.

   7. Indiquez un emplacement pour la création des nouvelles clés d'archive (version 5.4). Faites attention à créer les nouvelles clés dans un emplacement différent de celui dans lequel se trouvent les clés d'archive existantes de la version 4.0x. Si vous disposez de clés administrateur que vous avez déjà créées pour la version 5.4 sur un autre système, vous pouvez sélectionner l'option Utilisation d'une paire de clés d'archive CSS existante et indiquer l'emplacement des clés existantes.

   8. Cliquez sur Suivant. Votre archive est convertie et restaurée.

   9. Quittez l'application lorsque la procédure est terminée.

7. Restaurez les paramètres de stratégie.

8. A l'aide de l'Explorateur Windows, accédez au répertoire d'installation du logiciel IBM Client Security (par défaut, c:\program files\IBM\security).

9. A l'aide du bouton gauche de la souris, faites glisser le dossier UVM_Policy du bureau vers le répertoire d'installation du logiciel IBM Client Security.

10. Répondez Oui à tous les avertissements.

La migration de vos données de sécurité de la version 4.0 vers la version 5.4 est terminée.

Si vous aviez auparavant modifié votre stratégie de sécurité dans la version 4.0x, vous pouvez éventuellement soumettre de nouveau vos paramètres de stratégie de sécurité en exécutant le sous-système de sécurité intégré IBM à partir du Panneau de configuration. Cliquez sur Configuration du support d'application et des stratégies, puis sur Stratégie d'application et enfin sur Edition de la stratégie.