Ein paar Fragen zur IBM Client Security Software

B

bosk

New member
Themenstarter
Registriert
14 Jan. 2005
Beiträge
28
Hallo zusammen,

ich hab an euch mal ein paar Fragen zur IBM Client Security Software.
Ich hab mir das ganze "Paket" gestern abend mal runtergeladen, und auf meinem R50p installiert. Dabei hab ich auch gleich die Windows-Anmeldung durch die UVM-Anmeldung ersetzt...

Ich finds wirklich sehr lobenswert, das ein Hersteller ein System so absichert...

Nur ist jetzt meine Frage an euch: Was ist jetzt durch diese Software besonders abgesichert?

Ich hab ein Bios-Passwort, ein Passwort zum starten des Notebooks, ein Windows-Kennwort und jetzt noch die UVM-Anmeldung (wiederum ein anderes Kennwort)...

Aber meine Frage ist jetzt an euch: Bringt mir diese Software etwas besonderes? Oder brauch ich die eigentlich nicht...

vielen Dank euch euch
bosk
 
Lustiger Zufall... Ich habe gestern abend das gleiche getan! Bei mir wäre wichtig zu wissen, ob man eine CSS-gesicherte Festplatte aus dem Notebook ausbauen und in einen anderen lesen kann (ohne das Betriebssystem von dieser Platte zu starten) -- das möchte ich nämlich nicht so gerne!
 
Wenn man die Platte in ein anderes Thinkpad einbaut und im Bios den Security Chip löscht, ist wieder eine normale Anmeldung ohne UVM möglich. Allerding zuvor verschlüsselte Dateien oder Ordner können dann nicht mehr entschlüsselt werden, ausser man spielt wieder die von CCS generierten Schüssel in den Chip ein (davon sollte man auf jeden Fall immer ein Backup machen!).

@bosk:
hier kannst du mehr über CSS nachlesen: http://www.pc.ibm.com/us/think/thinkvantagetech.html

Das solltest du auch unbedingt tun, denn wenn du nicht weißt warum du CSS installiert hast, kann das ganze Spiel sehr schnell zu totalem Datenverlust führen. CSS ist eine sehr komplex Anwendung die man nur verwenden sollte wenn man sie braucht und keinesfalls nur so mal installieren.
 
also mal ein kleiner Einstieg.

ich nutze CSS nun schon seitdem ist mein R50p habe und muss sagen, dass ich sehr zufrieden damit bin. Nun zum eigentlichen.

ich kann s0larist so nicht ganz recht geben. Wenn du die platte in ein anderes Thinkpad einbaust und dort einfach im Bios den Chip deaktivierst, ist in Windows nicht einfach die Anmeldung vom UVM weg. die wird sich eher beschweren, dass der Chip nicht aktiviert ist und somit rein gar nichts zulassen.
Einzige Möglichkeit, das zu umgehen, ist mit einem anderen Betriebssystem, zb Linux. dann kannst ohne Probleme auf deine Daten zugreifen.
UVM alleine bringt also noch gar nichts. Doch mann kann das ganze umgehen, indem man gleich mit der passenden Software und dem Chip die ganze Platte verschlüsseln lässt. Wenn jetzt jemand das Noti klaut, kann er mit diesem selbst nicht mehr auf die Daten zugriffen, da ihm das Passwort fehlt. Jetzt nützt auch Linux nichts mehr, da ja die ganze Platte verschlüsselt ist und es nun einmal für Linux kein CSS gibt.
Die Platte in ein anderes Noti einbauen und dann dem Chip deaktivieren bringt auch nichts.

--> maximale Sicherheit
Nur man sollte eben wissen, was man macht, da wie s0larist schon gesagt hat, man viel kaputt machen kann. Und einmal Passwort oder Schlüssel verloren, braucht man entweder gigantische Rechenleistung oder ein paar Jahrmillionen um wieder an seine Daten zu kommen.

Noch ein kleiner Tipp. Ich nutze auch diese Verschlüsselung von Dateien mittels Rechtsklick. Und nun das beste, aber ohne diese Sofware installierst zu haben, dann kann man nämlich auf allein Platten Dateien verschlüsseln und nicht nur auf C:

Gruß
Martin
 
Original von Martin Klinkigt

ich kann s0larist so nicht ganz recht geben. Wenn du die platte in ein anderes Thinkpad einbaust und dort einfach im Bios den Chip deaktivierst, ist in Windows nicht einfach die Anmeldung vom UVM weg. die wird sich eher beschweren, dass der Chip nicht aktiviert ist und somit rein gar nichts zulassen.
Zum Vergrößern anklicken....

Das kommt auf die Version von CSS drauf an. Seit 5.3 oder 5.4 ist es jedenfalls so, habe ich selber durch den Austausch meines Systemboards so erlebt.

Hier die Prozedur, die ich damals wegen dem Systemboard-Austausch vom IBM Support bekommen habe:

Die neue Vorgehensweise sollte sein:

- Stellen Sie sicher, dass Sie das Keypair im Zugriff haben, das Sie bei der Installation der CSS damals anlegen mussten
und auch dass Sie den Admin Passphrase wissen, den Sie ebenfalls damals in CSS angelegt haben.
- im Bios den Security Chip clearen
dadurch wird dann das UVM logon automatisch deaktiviert und Sie müssen sich dann mit dem normalen
Windows Administrator Logon + Passwort anmelden, dass Sie dort angelegt hatten.

Nun muss dem Security Chip wieder das Keypair zugänglich gemacht werden und dies geschieht folgendermassen:

- CSS Admin Tool starten - dies findet man in Windows im Control Pannel

nun gibt es 2 Möglichkeiten:

a.) wenn die CSS Software im "typical mode" installiert wurde, dann wird jetzt der "CSS Admin Passphrase" abgefragt
und danach bitte den Instruktionen am Bildschirm folgen (e.g. den Pfad zu dem Keypair bestaetigen etc.)

b.) wenn die CSS Software im "advanced mode" installiert wurde, dann muss dem Programm jetzt mitgeteilt werden
wo er die Keypairs denn finden kann - danach bitte den Anweisungen am Bildschirm folgen.


Wenn dieser Process abgeschlossen ist, dann sind die verschlüsselten Daten wieder zugänglich und Sie
können entweder das UVM Logon etc. wieder installieren oder falls Sie keine Security mehr verwenden möchte, dann
alle Daten entschlüsseln und danach die CSS komplett deinstallieren (Bitte lesen Sie dazu die Anleitung für CSS).
 
womit bestätig wäre, das man sich auf UVM alleine nicht verlassen sollte, wenn es um Datensicherheit geht :wink:

Gruß
Martin
 
So ist es, UVM bringt eigentlich fast gar nichts. Nur im Zusammenspiel mit Safeguard Easy 4.1 (Festplattenvollverschlüsselung) wird es erst interessant, das ja auch den TPM Chip unterstützt.
 
Grad mal ne kleine Frage am Rande: kann ich mit der Software und dem Chip auch nur einzelne Dateien und Ordner verschlüsseln oder muss man immer die ganze Platte verschlüsseln?
 
Um einzelne Dateien zu verschlüsseln, brauchst du noch nicht einmal eine "fremde" Software. Das geht problemlos mit CSS, welches du von IBM runterladen kannst.

Einfach Rechtsklick auf die Datei und dann "Datei verschlüsseln"

Gruß
Martin
 
Ah ok, alles klar. Hab noch kein Thinkpad deswegen die blöde Frage ;)
Dann werd ich das auch mal ausprobieren, aber nur an einzelnen Dateien zum Testen. Die ganze Platte zu verschlüsseln ist mir etwas zu heiss ;)
 
Hallo,

wollte gerade einen Thread erstellen, aber hier gibt es ja bereits einen.. vorhin habe ich auch mal die Client Security Software installiert. Dazu bietet IBM ja noch Utimaco Private Disk zum Download an.

Der Nutzen stellt sich bisher so dar:
- ein digitales "Schlüsselbund" für Passwörter, mit halbautomatischer Eingabeautomatik in Dialogen, Websites etc.
- Verschlüsseln von Dateien/Ordnern über das Kontextmenü im Explorer. Das ist eher rudimentär, die Dateien werden einzeln verschlüsselt und erhalten jeweils ein andere Dateiendung
- die Lizenz für jenes Utimatico Private Disk, das mit dem CSS-Mechanismus zusammenarbeitet. Man kann virtuelle Partitionen anlegen, deren Inhalt vollständig verschlüsselt ist -- für mich eher praktisnäher/sinnvoller als die IBM-Funktion.

Etwas überraschend ist, dass das Passwort (oder meinetwegen auch eine Smartcard) keine systemweite Authentifizierung macht. D.h. für jede Anwendung (Windows-Anmeldung, Schlüsselbund, Private Disk) muss das Password einzeln eingegeben werden.

Die alternative Windows-Anmeldung über CSS erscheint bei Nutzung von Smartcards (vermutlich ist dort auch der Fingerprint Reader integriert?) sinnvoll zu sein, bei Password-Anmeldung sehe ich das nicht ganz so. Denn einen sicheren Zugangsschutz wie ein BIOS-Passwort bietet diese alternative Anmeldung nicht... davor warnt CSS auch selbst.


Der Sinn des Security Chips gegenüber reinen Softwarelösungen scheint zu sein, dass das "Geheimnis" für die Verschlüsselungsalgorithmen nicht nur auf dem vergebenen (oft kurzen und/oder erratbaren) Passwort besteht, sondern im Chip steckt.... also mehr Aufwand beim Entschlüsseln geklauter Daten.

Habe ich etwas übersehen, und gibt es noch weitere Nutzungsmöglichkeiten "out of the box"? Eine vollständige Partitionsverschlüsselung mit Utimaco-Software wurde ja glaube bereits erwähnt. Glaube der größte Nutzen dieses Chips ist es, dass man sich überhaupt mal darum kümmert und sensible Daten evtl. verschlüsselt auf dem Noti ablegt. Ob nun rein passwort-basiert oder in Zusammenhang mit Hardware, dürfte bei 08/15-Gebrauch erstmal zweitrangig sein.

Gruß,
herbie
 
Hallo

Original von herbie

Hallo,Etwas überraschend ist, dass das Passwort (oder meinetwegen auch eine Smartcard) keine systemweite Authentifizierung macht. D.h. für jede Anwendung (Windows-Anmeldung, Schlüsselbund, Private Disk) muss das Password einzeln eingegeben werden.
herbie
Zum Vergrößern anklicken....

Das kann man alles für jede einzelne Funktion einstellen
Entweder nur einmal das Passwort bei der UVM-Windowsanmeldung eingeben und alle anderen Programme funktioniert ohne erneute Eingabe oder Bei der UVM-Windowsanmeldung und bei der ersten Nutzung des jeweiligen Programms oder bei der UVM-Windowsanmeldung und bei jeder Nutzung der Programme.
Einstellen kann man dies global bei der erstinstallation der Software oder einzeln später unter: Systemsteuerung =>IBM Sicherheitssystem=> Anwendungsunterstützung und Policies konfigurieren... => Anwendungspolicy => Policy bearbeiten=>Aktion auswählen dann auf Authentifizierungselemente dort dann den gewünschten Wert einstellen.

Ich denke das das verschlüsseln der Schlüssel durch die Hardware schon sehr effektiv ist um die Sicherheit nochmals zu erhöhen.

Soviel ich weiß arbeitet ESS auch z.B. mit Safeguard easy zusammen ein Programm mit dem man die Festplatte komplett verschlüsseln kann auch dort macht die Erweiterung der Sicherheit durch die Hardware Sinn.

Gruß Norge
 
Aber eine Verschlüsselung "on the fly" - (wie z.B. bei der Windows eigenen Verschlüsselungi) st nicht möglich oder? Bevor man z.B. mit einem zuvor verschlüsselten WordDok weiterarbeiten kann muss man es erst wieder entschlüsseln. Oder?
 
Geht schon, nur glaube nicht für beliebige existierende Verzeichnisse. Mit der von IBM mitgelieferten Utimaco-Software legt man halt vorher ein virtuelles Laufwerk an, worauf die Daten dann aber schon "on the fly" komprimiert werden.

Die IBM-Lösung hingegen ist, wie gesagt, offenbar eine recht primitive "on demand" Ver- oder Entschlüsselung. So etwas, das man in ein paar Scriptzeilen auch selbst schreiben kann.

Gruß,
herbie
 
Doch, SafeGuard Easy erzeugt ein virtuelles Laufwerk. Alle Daten befinden sich in einer SafeGuard-Datei. Wenn man sie mountet, erscheint ein neues Laufwerk im "Arbeitsplatz". Finde ich sehr praktisch, erleichtert auch das Erstellen von Backups (einfach die SafeGuard-Datei auf CD brennen).


[Edit: Sorry, hab zu langsam getippt, siehe Post über diesem...]
 
Hallo

Mit dem EFF von IBM geht das nicht das ist richtig.
Wenn man das für IBM Benutzer kostenfreie Safeguard Private Disk verwendet, kann man virtuelle Laufwerke erstellen die man manuell oder automatisch beim booten mounten kann.
Wenn man Safeguard easy verwendet wird die Festplatte komplett verschlüsselt und nach meinem Wissensstand on the fly entschlüsselt, das schöne an diesem Programm ist das es wirklich alles verschlüsselt und niemand über irendwelche Temp dateien oder den Auslagerungsspeicher an sensible Daten herankommt. Ein weiterer Pluspunkt ist das es mit Rapid restore von IBM zusammenarbeitet.

Gruß Norge
 
Safeguard easy hat IBM aber nicht lizensiert, oder? Mal davon abgesehen, dass die Lösung mit dem virtuellen Laufwerk ziemlich harmlose Folgen für das System hat und damit weniger risikobehaftet ist.
 
hallo zusammen,

hat die verschlüsselung de rganzen platte z.b. negative auswirkung auf die performance des thinkpads, da ja ständig ver- / entschlüsselt werden muss oder habe ich da was nicht ganz verstanden ?

danke und gruß
marc
 
Was ich mich frage: Weshalb muss es Sekunden lang dauern, bis IBM meinen Schlüssel aus dem Chip geholt hat, um ein Passwort in ein Formular einzufügen.

Ich hab' es jetzt übrigens "geschafft", meine Utimaco Private Disk mit Passwörtern und persönlichen Daten bis auf weiteres unbrauchbar zu machen, weil ich angeblich kein gültiges Zertifikat besitze...
 
Original von maaaak

hallo zusammen,

hat die verschlüsselung de rganzen platte z.b. negative auswirkung auf die performance des thinkpads, da ja ständig ver- / entschlüsselt werden muss oder habe ich da was nicht ganz verstanden ?
Zum Vergrößern anklicken....

Ja du musst mit schlechterer Performance rechnen. Bei normalen Zugriffen ist wahrscheinlich nur die CPU Auslastung höher, wenn aber die CPU schon anderes stark belastet wird, dann musst du auch mit schlechterer Performance rechnen
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
  • ok1.de
  • IT Refresh - IT Teile & mehr
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben