Lenovo ThinkVantage Client Security Solution 8.21 Deployment Guide [es]

ClientSecuritySolution8.21 Guíadedespliegue

Actualizado:febrerode2012

Nota:Antesdeutilizarestainformaciónyelproductoalquedasoporte,lealainformacióngeneraldel ApéndiceD“Avisos”enlapágina77.

Terceraedición(Febrero2012) ©CopyrightLenovo2008,2012.

AVISODEDERECHOSLIMITADOSYRESTRINGIDOS:silosproductososoftwaresesuministransegúnelcontrato “GSA”(GeneralServicesAdministration),lautilización,reproducciónodivulgaciónestánsujetasalasrestricciones establecidasenelContratoNúm.GS-35F-05925.

Contenido

Prefacio................iii

Capítulo1.Visióngeneral........1

ClientSecuritySolution............1

FrasedepasodeClientSecuritySolution...2 RecuperacióndecontraseñadeClient

Security................2

ClientSecurityPasswordManager......3

SecurityAdvisor.............3

Asistentedetransferenciadecerticados...4 Restablecimientodelacontraseñade

hardware................4

SoportedesistemassinelMódulode

plataformasegura............4

FingerprintSoftware.............4

Capítulo2.Instalación..........7

ClientSecuritySolution............7

Requisitosdeinstalación..........7

Propiedadespúblicasdepersonalización...8 SoportedeMódulodeplataformasegura...8 Procedimientosdeinstalaciónyparámetros

delalíneademandatos..........9

PropiedadespúblicasestándardeWindows

Installer................12

Archivodeanotacionesdeinstalación...13 InstalacióndeClientSecuritySolution8.21

conversionesexistentes.........14

InstalacióndelSoftwaredehuellasdactilaresde

ThinkVantage...............14

Instalaciónsilenciosa..........14

Options................15

InstalacióndelSoftwaredehuellasdactilaresde

Lenovo..................16

Instalaciónsilenciosa..........16

Options................16

Servidordegestióndesistemas........18

Capítulo3.CómotrabajarconClient

SecuritySolution...........19

UtilizacióndelMódulodeplataformasegura...19

UtilizacióndelMódulodeplataformasegura

conWindowsVista...........19

GestióndeClientSecuritySolutionconclavesde

cifrado..................20

Tomarpropiedad............20

Registrarusuario............21

Emulacióndesoftware..........22

Cambiodelaplacadelsistema......23

ProgramadeutilidaddeproteccióndeEFS.25

UtilizacióndelesquemaXML.........26

Ejemplos...............26

UtilizacióndeseñalesRSASecurID......33

InstalacióndelaseñaldesoftwareRSA

SecurID...............33

Requisitos..............33

Establecimientodelasopcionesdeaccesode

laSmartCard.............33

Instalaciónmanualdelaseñaldesoftware

RSASecurID.............34

SoportedeActiveDirectory........34

Valoresypolíticasparalaautenticaciónconel

lectordehuellasdactilares..........34

Opciónomisióndehuelladactilarobligada..34 Resultadodepasareldedoporeldispositivo

dehuelladactilar............35

Herramientasdelalíneademandatos.....35

SecurityAdvisor............35

AsistentedeconguracióndeClientSecurity

Solution...............36

Herramientadecifradoodescifradodel

archivodedespliegue..........37

Herramientadeprocesodelarchivode

despliegue..............38

TPMENABLE.EXE...........38

Herramientadetransferenciadecerticados.38

HerramientadeactivacióndeTPM.....39

SoportedeActiveDirectory.........40

Archivosdeplantillaadministrativa(ADM)..40

Valoresdelapolíticadegrupo.......41

ActiveUpdate.............45

Capítulo4.Cómotrabajarconel Softwaredehuellasdactilaresde

ThinkVantage.............47

HerramientaConsoladegestión........47

Mandatosespecícosdelusuario.....47

Mandatosdevaloresglobales.......48

Modalidadseguraymodalidadcómoda.....49

Modalidadsegura-administrador.....49

Modalidadsegura-usuarioconlimitaciones.50

Modalidadcómoda-administrador....50

Modalidadcómoda-usuariocon

limitaciones..............51

Valorescongurables..........52

SoftwaredehuellasdactilaresyNovellNetware

Client..................53

Autenticando.............53

©CopyrightLenovo2008,2012

ServiciodelSoftwaredehuellasdactilaresde

ThinkVantage...............54

Capítulo5.Cómotrabajarconel Softwaredehuellasdactilaresde

Lenovo................55

HerramientaConsoladegestión........55

ServiciodelSoftwaredehuellasdactilaresde

Lenovo..................55

SoportedeActiveDirectoryparaelSoftwarede

huellasdactilaresdeLenovo.........55

Capítulo6.Prácticas

recomendadas............57

EjemplosdedespliegueparainstalarClient

SecuritySolution..............57

Casodeejemplo1...........57

Casodeejemplo2...........59

ConmutacióndemodalidadesdeClientSecurity

Solution.................61

ImplementacióndeunActiveDirectoryde

empresa.................61

InstalaciónautónomaparaCDoarchivosscript.62

SystemUpdate..............62

SystemMigrationAssistant..........62

Cómogeneraruncerticadoutilizandola

generacióndeclavesenTPM.........62

Requisitos:..............62

Cómosolicitaruncerticadodesdeel

servidor...............62

Utilizacióndelostecladosdehuella dactilarUSBconelequipoportátil deThinkPadde2008,modelos

(R400/R500/T400/T500/W500/X200/X301)....63

IniciodesesiónenWindowsVista.....64

IniciodesesiónenWindowsXP......65

ClientSecuritySolutionyPassword

Manager...............66

Autenticacióndeprearranqueutilizandola huelladactilarenlugardelascontraseñasdel

BIOS.................67

ApéndiceA.Consideracionesacerca

delautilizacióndeOmniPass....69

ApéndiceB.Consideraciones especialesparautilizarelteclado dehuellasdactilaresdeLenovo conalgunosmodelosdeequipos

portátilesThinkPad..........71

Conguraciónydenición..........71

Autenticaciónpreviaalescritorio.......71

IniciodesesióndeWindows.........71

WindowsXP-Pantalladebienvenida.....72

WindowsXP-Solicituddeiniciodesesión

clásica..................72

WindowsVista...............72

AutenticaciónconClientSecuritySolution....73

ApéndiceC.Sincronizacióndela contraseñaenCSStrasrestablecer

lacontraseñadeWindows......75

ApéndiceD.Avisos..........77

Marcasregistradas.............78

Glosario................lxxix

iiClientSecuritySolution8.21Guíadedespliegue

Prefacio

EstaguíaestádestinadaalosadministradoresdeTIoaaquellosqueseanresponsablesdela implementacióndelprogramaThinkVantage Softwareenlossistemasdesusempresas.Estaguíaproporcionalainformaciónnecesariaparainstalar ClientSecuritySolutionyelSoftwaredehuellasdactilaresenunoovariossistemas,siemprequeestén disponibleslicenciasdelsoftwareparacadasistemadedestino.

ElobjetivodeClientSecuritySolutionydelSoftwaredehuellasdactilaresconsisteenprotegerlossistemas garantizandolaseguridaddelosdatosdelosclientesyendesviarlosintentosdeviolacióndelaseguridad. Pararealizarpreguntasyobtenerinformaciónacercadelautilizacióndelosdistintoscomponentesde ClientSecuritySolutionydelSoftwaredehuellasdactilares,consulteelsistemadeayudaenlíneapara loscomponentesubicadoenhttp://www.lenovo.com/thinkvantage.

Periódicamenteestasguíasseactualizan.Visiteelsiguientesitiowebparaverfuturaspublicaciones: http://www.lenovo.com/thinkvantage

Sitienesugerenciasocomentarios,póngaseencontactoconelrepresentanteautorizadodeLenovo®.

ClientSecuritySolutionydeThinkVantageFingerprint

©CopyrightLenovo2008,2012

iii

ivClientSecuritySolution8.21Guíadedespliegue

Capítulo1.Visióngeneral

EstecapítuloproporcionaunavisióngeneraldeClientSecuritySolutionydelSoftwaredehuellasdactilares. Lastecnologíaspresentadasenestaguíadedesplieguepuedenayudar,directaeindirectamente, alosprofesionalesdeTIporquehacenquelautilizacióndelossistemaspersonalesseamásfácil ymásautosuciente,yporqueproporcionanpotentesherramientasquefacilitanysimplicanlas implementaciones.ConlaayudadelastecnologíasThinkVantage,losprofesionalesdeTIempleanmenos tiemposolucionandoproblemasdesistemasindividualesymástiempodedicadosasustareasprincipales.

ClientSecuritySolution

ElpropósitoprincipaldelsoftwaredeClientSecuritySolutionconsisteenayudaralclienteaprotegerel sistemacomounactivo,protegerlosdatoscondencialesenelsistemayprotegerlasconexionesde redalasqueaccedeelsistema.(ParasistemasdeLenovoquecontienenunTrustedComputingGroup (TCG)compatibleconTrustedPlatformModule(TPM),elsoftwareClientSecuritySolutionaprovecharáel hardwarecomolabasedeconanzaparaelsistema.Sielsistemanocontieneunchipdeseguridad incorporado,ClientSecuritySolutionaprovecharálasclavesdecifradobasadasensoftwarecomola basedeconanzadelsistema).

LasfuncionesdeClientSecuritySolutionVersion8.2incluyenlassiguientes:

•AutenticacióndeusuarioseguraconlacontraseñadeWindows®olafrasedepasodeClient

SecuritySolution

ClientSecuritySolutionsepuedecongurarparaaceptarlacontraseñadeWindowsolafrasede pasodeClientSecuritySolutiondeunusuarioparalaautenticación.LacontraseñadeWindows proporcionacomodidadycapacidaddegestiónmedianteWindowsmientrasquelafrasedepasode ClientSecuritySolutionproporcionaseguridadadicional.Eladministradorpuedeseleccionarquémétodo deautenticacióndeseautilizaryestevalorsepuedecambiarinclusodespuésdequelosusuarios sehayanregistradoconClientSecuritySolution.

•Autenticacióndeusuariomediantehuelladactilar AprovechalatecnologíadehuellasdactilaresintegradayconectadamedianteUSBparaautenticar usuariosenaplicacionesprotegidasmediantecontraseña.

•AutencacióndeusuariodevariosfactoresparainiciodesesióndeWindowsyvariasoperaciones

deClientSecuritySolution

Denevariosdispositivosdeautenticación(contraseñadeWindows,frasedepasodeClientSecurityy huellasdactilares)paradiversasoperacionesrelacionadasconlaseguridad.

•Gestióndecontraseñas Gestionayalmacenadeformasegurainformaciónimportantedeiniciodesesión,talcomolosIDde usuarioycontraseñas.

•Recuperacióndecontraseñayfrasedepaso LarecuperacióndecontraseñayfrasedepasopermitealosusuariosiniciarlasesiónenWindowsy accederasuscredencialesdeClientSecuritySolutioninclusosiolvidansucontraseñadeWindowso sufrasedepasodeClientSecuritySolutionrespondiendoapreguntasdeseguridadconguradas previamente.

•Auditarvaloresdeseguridad Permitealosusuariosverunalistadetalladadelosvaloresdeseguridaddelaestacióndetrabajoy realizarcambiosparaquesatisfaganlosestándaresdenidos.

•Transferenciadecerticadosdigitales ClientSecuritySolutionprotegelaclaveprivadadeloscerticadosdeusuarioydelamáquina.Utilice ClientSecuritySolutionparaprotegerlaclaveprivadadeloscerticadosexistentes.

©CopyrightLenovo2008,2012

•Gestióndepolíticasparalaautenticación Unadministradorpuedeseleccionarquédispositivos(contraseñadeWindows,frasedepasodeClient SecuritySolutionohuellasdactilares)sonnecesariosparaautenticarsepararealizarlasacciones siguientes:iniciodesesióndeWindows,PasswordManageryoperacionesdecerticados.

FrasedepasodeClientSecuritySolution

LafrasedepasodeClientSecuritySolutionesunacaracterísticaopcionaldelaautenticacióndeusuario queproporcionaráseguridadmejoradaalasaplicacionesdeClientSecuritySolution.Lafrasedepasode ClientSecuritySolutiontienelosrequisitossiguientes:

•Debetenercomomínimounalongituddeochocaracteres

•Debecontenercomomínimoundígito

•Debeserdiferentedelastresúltimasfrasesdepaso

•Nodebecontenermásdedoscaracteresrepetitivos

•Nodebeempezarconundígito

•Nodebenalizarconundígito

•NodebecontenerelIDdeusuario

•Nosedebecambiarsilafrasedepasoactualtienemenosdetresdíasdeantigüedad

•Nodebecontenertresomáscaracteresidénticosconsecutivosalafrasedepasoactualencualquier posición

•NodebeserlamismaquelacontraseñadeWindows

LafrasedepasodeClientSecuritySolutionsóloesconocidaporelusuarioindividual.Laúnicaformade recuperarunafrasedepasoolvidadadeClientSecuritySolutionesejecutarlafunciónderecuperación decontraseñadeClientSecuritySolution.Sielusuariohaolvidadolasrespuestasasuspreguntasde recuperación,nohayningunaformaderecuperarlosdatosprotegidosporlafrasedepasodeClient SecuritySolution.

RecuperacióndecontraseñadeClientSecurity

EstacaracterísticaopcionalpermitealosusuariosregistradosdeClientSecurityrecuperarunacontraseña deWindowsounafrasedepasodeClientSecurityolvidadasrespondiendocorrectamenteatrespreguntas. Siestacaracterísticaestáhabilitada,seleccionarátresrespuestasadiezpreguntasseleccionadas previamente.SielusuarioolvidasucontraseñadeWindowsofrasedepasodeClientSecurity,tendrála opciónderesponderaestastrespreguntaspararestablecersucontraseñaofrasedepaso.

Notas:

1.CuandoseutilizalafrasedepasodeClientSecurity,larecuperacióndecontraseñadeClientSecurity eslaúnicaopciónderecuperacióndeunafrasedepasoolvidada.Sielusuarioolvidalarespuestaa sustrespreguntas,estaráobligadoavolveraejecutarelasistentederegistroyperderátodoslosdatos anterioresprotegidosmedianteClientSecurity.

2.CuandoseutilizaClientSecurityparaprotegerelÁreapreviaalescritoriodeRescueandRecovery®,la opcióndeRecuperacióndecontraseñamostrarálafrasedepasodeClientSecurityy/olacontraseña deWindows.LafrasedepasoolacontraseñasevisualizaporqueelÁreapreviaalescritorionotienela capacidadderealizarautomáticamenteuncambiodecontraseñadeWindows.Lafrasedepasoo contraseñasevisualizacuandounusuarioderedinalámbrica(dedominioqueestáalmacenadoen memoriacachédeformalocalynoestáconectadoalared)realizaestafuncióneneliniciodesesiónde Windows.

2ClientSecuritySolution8.21Guíadedespliegue

ClientSecurityPasswordManager

ClientSecurityPasswordManagerlepermitegestionarinformaciónfácildeolvidardelossitioswebyde lasaplicaciones,comoporejemplolosIDdeusuario,lascontraseñasyotrainformaciónpersonal.Client SecurityPasswordManagerprotegelainformaciónpersonalmedianteClientSecuritySolution,deforma queelaccesoalasaplicacionesyalossitioswebcontinúasiendototalmenteseguro.ElprogramaClient SecurityPasswordManagertambiénahorratiempoyesfuerzo,porqueelusuariosólotienequerecordar unacontraseñaofrasedepaso,obienproporcionarlahuelladactilar.

ClientSecurityPasswordManagerlepermiterealizarlasfuncionessiguientes:

•CifrartodalainformaciónalmacenadamedianteelsoftwaredeClientSecuritySolution: CifraautomáticamentetodalainformaciónmedianteClientSecuritySolution.Estogarantizaquetoda lainformaciónimportantedecontraseñasestéprotegidamediantelasclavesdecifradodeClient SecuritySolution.

•CompletardeformaautomáticalosIDdeusuarioycontraseñas: Automatizaelprocesodeiniciodesesiónalaccederaunaaplicaciónositioweb.Silainformaciónde iniciodesesiónsehaespecicadoenClientSecurityPasswordManager,ClientSecurityPassword Managerpuederellenarautomáticamenteloscamposnecesariosysometerelsitioweboaplicación.

•EditarentradasutilizandolainterfazdeClientSecurityPasswordManager: Lepermiteeditarlasentradasdelacuentaycongurartodaslasfuncionesopcionalesenunaúnica interfazfácildeutilizar.Estainterfazhacemásfácilyrápidalagestióndelascontraseñasydela informaciónpersonal.Sinembargo,lamayoríadeloscambiosrelacionadosconentradaspuedenser detectadosautomáticamenteporClientSecurityPasswordManagerypermitealusuarioactualizarsus entradasconinclusomenostrabajo.

•Guardarlainformaciónsinpasosadicionales: ClientSecurityPasswordManagerpuededetectarautomáticamentesiseestáenviandoinformación importanteaunaaplicaciónositiowebdeterminados.Cuandoseproduceunadeteccióndeestetipo, ClientSecurityPasswordManagersolicitaalusuarioqueguardelainformación,simplicandoporlotanto elprocesodealmacenarlainformaciónimportante.

•GuardarlainformaciónenunÁreadeanotacionessegura: ConClientSecurityPasswordManager,elusuariopuedeguardardatosdetextoenáreasdeanotaciones seguras.Estasáreassepuedenprotegerconelmismoniveldeseguridadquesusentradasdesitio weboaplicación.

•Exportareimportarinformacióndeiniciodesesión: Lepermiteexportarinformaciónpersonalimportantedeformaquepuedallevarladeformasegurade unsistemaaotro.CuandoexportalainformacióndeiniciodesesióndesdeClientSecurityPassword Manager,secreaunarchivodeexportaciónprotegidomediantecontraseñaquesepuedealmacenaren unsoporteextraíble.Utiliceestearchivoparaaccederasuinformaciónpersonaldondequieraquevaya,o paraimportarlasentradasenotrosistemaconClientSecurityPasswordManager.

Nota:HaysoportecompletoparalaimportacióndelosarchivosdeexportacióndeClientSecurity Solutiondelasversiones7.0y8.x.HaysoportelimitadoparalaimportacióndisponibleparaClient SecuritySolutionVersión6.0(lasentradasdeaplicaciónnoseimportan).Laversión5.4xylasanteriores deClientSecuritySoftwareSolutionnoseimportaránenClientSecuritySolution,versión8.xPassword Manager.

SecurityAdvisor

LaherramientaSecurityAdvisorlepermitevisualizaunresumendelosvaloresdeseguridadactualmente establecidosenelsistema.Puedeutilizarestosvaloresparavisualizarelestadoactualdelaseguridado paramejorarlaseguridaddelsistema.Losvalorespredeterminadosdelascategoríasvisualizadasse puedencambiarmedianteelregistrodeWindows.Algunasdelascategoríasdeseguridadincluidassonlas siguientes:

Capítulo1.Visióngeneral3

•Contraseñasdehardware

•ContraseñasdeusuariosdeWindows

•PolíticadecontraseñadeWindows

•Protectordepantallaprotegido

•Compartimientodearchivos

Asistentedetransferenciadecerticados

ElAsistentedetransferenciadecerticadosdeClientSecurityleguíaporelprocesodetransferirlas clavesprivadasasociadasconloscerticadosdesdeunproveedordeserviciodecifrado(CSP)de Microsoft transferencia,lasoperacionesqueutilizanloscerticadosseránmássegurasporquelasclavesprivadas estaránprotegidasporClientSecuritySolution.

basadoensoftwareaunCSPdeClientSecuritySolutionbasadoenhardware.Despuésdela

Restablecimientodelacontraseñadehardware

EstaherramientacreaunentornoseguroqueseejecutaindependientementedeWindowsyleayudaa restablecercontraseñasdelaunidaddediscoduroydeencendidoolvidadas.Laidentidadseestablece respondiendoaunaseriedepreguntasqueelusuariocrea.Creeesteentornoseguroloantesposible, antesdequeseolvidelacontraseña.Nopodrárestablecerunacontraseñadehardwareolvidadahasta quesehayacreadoesteentornoseguroeneldiscoduroyhastadespuésdequesehayaregistrado.Esta herramientaestádisponiblesóloensistemasseleccionados.

SoportedesistemassinelMódulodeplataformasegura

ClientSecuritySolutionVersión8.2escompatibleconsistemasdeLenovoquenotienenunchipde seguridadincorporadoquecumplalascondiciones.Estesoportepermiteunainstalaciónestándarentoda laempresaandecrearunentornodeseguridadhomogéneo.Lossistemasquetienenelhardwaredelchip deseguridadincorporadoseránresistentescontraataques;sinembargo,lasmáquinasquesólotengan softwaretambiénsebeneciarándelaseguridadyfuncionalidadadicional.

FingerprintSoftware

ElobjetivodelastecnologíasdehuellasdactilaresbiométricasdeLenovoesayudaralosclientesareducir loscostesasociadosconlagestióndecontraseñas,mejorarlaseguridaddesussistemasyayudarconel tratamientodelcumplimientodelasnormas.ConloslectoresdehuellasdactilaresdeLenovo,elSoftware dehuellasdactilareslepermitelaautenticacióndehuellasdactilaresensistemasindividualesyenredes. ElSoftwaredehuellasdactilarescombinadoconClientSecuritySolutionVersión8.2proporcionauna funcionalidadampliada.ParaClientSecuritySolution8.21,sedasoportetantoalSoftwaredehuellas dactilaresdeThinkVantage5.8.2comoalSoftwaredehuellasdactilaresdeLenovo2.0paradistintostipos demáquinas.PuedesabermássobrelastecnologíasdehuellasdactilaresdeLenovoydescargarel softwareen:http://www.lenovo.com/support/site.wss/MIGR-59650.html.

ElSoftwaredehuellasdactilaresproporcionaestasfunciones:

•Capacidadesdelsoftwaredecliente –SustitucióndelacontraseñadeMicrosoftWindows:

Sustituyalacontraseñaporsuhuelladactilarparaqueelaccesoalsistemaseamásfácil,rápido yseguro.

–SustitucióndelacontraseñadelBIOS(tambiéndenominadacontraseñadeencendido)ydela

contraseñadediscoduro:

Sustituyalascontraseñasconsuhuelladactilarparamejorarlacomodidadylaseguridaddelinicio desesión.

4ClientSecuritySolution8.21Guíadedespliegue

–Autenticacióndehuellasdactilarespreviaalarranqueparaelcifradodetodalaunidadde

SafeGuardEasy:

UtilicelaautenticacióndehuellasdactilaresparadescifrareldiscoduroantesdeiniciarWindows.

–AccesoalBIOSyaWindowspasandoeldedounavez:

AhorretiempopasandoeldedoduranteelarranqueparaaccederalBIOSyaWindows.

–IntegraciónconClientSecuritySolution:

UtiliceconClientSecuritySolutionPasswordManageryaprovecheelMódulodeplataformasegura. Losusuariospuedenpasareldedoparaaccederasitioswebyseleccionaraplicaciones.

•Funcionesdeadministración –Conmutarmodalidaddeseguridad:

Permiteaunadministradorconmutarentrelamodalidadseguraylamodalidadcómodaparamodicar losderechosdeaccesoalosusuariosconlimitaciones.

•Capacidadesdeseguridad –Seguridaddelsoftware:

Protegelasplantillasdeusuariomedianteunfuertecifradocuandoestánalmacenadasenunsistemay cuandosetranserendesdeellectoralsoftware.

–Seguridaddelhardware:

Proporcionaunlectordeseguridadconuncoprocesadorquealmacenayprotegeplantillasdehuellas dactilares,contraseñasdelBIOSyclavesdecifrado.

Capítulo1.Visióngeneral5

6ClientSecuritySolution8.21Guíadedespliegue

Capítulo2.Instalación

EstecapítulocontieneinstruccionesparainstalarClientSecuritySolutionyelSoftwaredehuellas dactilares.AntesdeinstalarClientSecuritySolutionoelSoftwaredehuellasdactilares,debecomprender laarquitecturadelaaplicaciónqueestáinstalando.Estecapítuloproporcionalaarquitecturadecada aplicación,asícomoinformaciónadicionalquenecesitaantesdeinstalarcadaunodeestosprogramas.

ClientSecuritySolution

ElpaquetedeinstalacióndeClientSecuritySolutionsehadesarrolladoconInstallShield10.5Premiercomo unproyectoMSIbásico.InstallShieldutilizaWindowsInstallerparainstalaraplicaciones,loqueproporciona alosadministradoresmuchascapacidadesparapersonalizarinstalaciones,comoporejemploestablecer valoresdepropiedaddesdelalíneademandatos.Enestecapítulosedescribecómoutilizaryejecutar elpaquetedeinstalacióndeClientSecuritySolution.Paraunamejorcomprensión,leaprimerotodoel capítuloantesdeempezarainstalarestospaquetes.

Nota:Alinstalarestospaquetes,consulteelarchivoléamedeClientSecuritySolution.Consulteelsiguiente sitiowebdeLenovo: http://www.lenovo.com/support/site.wss/document.do?sitestyle=lenovo&lndocid=HOME-LENOVO .ElarchivoReadmecontieneinformaciónactualizadaacercadelasversionesdesoftware,lossistemas admitidos,losrequisitosdelsistemayotrasconsideracionesparaayudarleenelprocesodeinstalación.

Requisitosdeinstalación

LainformaciónenestasecciónproporcionalosrequisitosdelsistemaparainstalarelpaquetedeClient SecuritySolution.Paraobtenermejoresresultados,vayaalsiguientesitiowebparaasegurarsedequetiene laversiónmásrecientedelsoftware: http://support.lenovo.com/en_US/downloads/detail.page?LegacyDocID=MIGR-61432.

UnaseriedesistemasantiguospuedendarsoporteaClientSecuritySolution, siemprequecumplanlosrequisitosespecicados.ConsulteelsitioWeben http://support.lenovo.com/en_US/downloads/detail.page?LegacyDocID=MIGR-61432para obtenerinformaciónsobrelossistemasdeversionesanterioresqueutilizanClientSecuritySolution.

RequisitosparasistemasLenovo

LossistemasLenovodebensatisfacercomomínimolossiguientesrequisitosparapoderinstalarClient SecuritySolution:

•Sistemaoperativo:WindowsVista Pack3.

•Memoria:256MB –Enconguracionesdememoriacompartida,elvalordelBIOSparaelmáximodememoriacompartida

sedebeestablecerenunvalorquenoseainferiora8MB.

–Enconguracionesdememorianocompartida,120MBdememorianocompartida.

•InternetExplorer5.5osuperiordebeestarinstalado.

•300MBdeespaciolibreeneldiscoduro.

•VídeocompatibleconVGAquedésoporteaunaresoluciónde800x600ydecolorde24bits.

•ElusuariodebetenerprivilegiosdeadministraciónparainstalarClientSecuritySolution.

•RequisitosadicionalesparaelRestablecimientodecontraseñadehardware:NTFSyWindowsXP.

,WindowsVistaconServicePack1oWindowsXPconService

Nota:NosedasoportealdesplieguedelpaquetedeinstalacióndeClientSecuritySolutionenWindows Server2003.

©CopyrightLenovo2008,2012

Propiedadespúblicasdepersonalización

ElpaquetedeinstalacióndelprogramaClientSecuritySoftwarecontieneunconjuntodepropiedades públicasdepersonalizaciónquesepuedenestablecerenlalíneademandatosalejecutarlainstalación.La tablasiguienteproporcionalaspropiedadespúblicasdepersonalizaciónparaWindowsXPandWindows 2000:

Tabla1.Propiedadespúblicas

PropiedadDescripción

EMULATIONMODEEspecicaquesefuercelainstalaciónenmodalidad

deemulacióninclusosiexisteunTPM.Especique EMULATIONMODE=1enlalíneademandatospara instalarenmodalidaddeemulación.

HALTIFTPMDISABLEDSiTPMestáenunestadoinhabilitadoylainstalación

seestáejecutandoenmodalidadsilenciosa,el valorpredeterminadoesquelainstalacióncontinúe enmodalidaddeemulación.Utilicelapropiedad HALTIFTPMDISABLED=1alejecutarlainstalaciónen modalidadsilenciosaparadetenerlainstalaciónsiTPM estáinhabilitado.

NOCSSWIZARDEstablezcaNOCSSWIZARD=1enlalíneademandatos

paraimpedirqueeldiálogoderegistrodeClientSecurity Solutionsevisualiceautomáticamentedespuésde instalarClientSecuritySolution.Estapropiedadse conguraparaunadministradorquedeseeinstalarClient SecuritySolution,peroutilizarscriptsposteriormenteal congurarelsistema.

CSS_CONFIG_SCRIPTEstablezcaCSS_CONFIG_SCRIPT=“nombredearchivo”

o“contraseñadenombredearchivo”paraqueseejecute unarchivodeconguracióndespuésdequeelusuario hayacompletadolainstalaciónyrearranque.

SUPERVISORPWEstablezcaSUPERVISORPW=“contraseña”enlalíneade

mandatosparaproporcionarlacontraseñadesupervisor parahabilitarelchipenmodalidaddeinstalación silenciosaonosilenciosa.Sielchipestáinhabilitadoyla instalaciónseestáejecutandoenmodalidadsilenciosa, sedebeproporcionarlacontraseñadesupervisor correctaparahabilitarelchip;delocontrario,elchipno sehabilitará.

PWMGRMODEEspeciquePWMGRMODE=1enlalíneademandatos

parainstalarsolamentePasswordManager.

NOSTARTMENUEspeciqueNOSTARTMENU=1enlalíneademandatos

paraimpedirquesegenereunatajoenelmenúdeinicio.

SoportedeMódulodeplataformasegura

ClientSecuritySolutionVersión8.2incluyesoporteparaelhardwaredeseguridadincorporadodelsistema: elMódulodeplataformasegura(TPM).ParaWindows2000yXP,esposiblequenecesitedescargar controladoresparaelTPMdelsistema.SiejecutaWindowsVistayelsistemaincluyeunTPMsoportado porelsistemaoperativo,ClientSecuritySolutionutilizaráloscontroladoresproporcionadosporelsistema operativo.

EsposiblequelahabilitacióndelTPMrequieraunrearranque,yaqueelTPMeshabilitadoporelBIOSdel sistema.SiejecutaWindowsVista,esposiblequeselesolicitequeconrmelahabilitacióndelTPM duranteeliniciodelsistema.

8ClientSecuritySolution8.21Guíadedespliegue

AntesdequeelMódulodeplataformasegurapuedarealizarcualquierfunción,debeinicializarprimero lapropiedad.CadasistematendrásólounadministradordeClientSecuritySolutionquecontrolarálas opcionesdeClientSecuritySolution.Esteadministradordebetenerprivilegiosdeadministradorde Windows.EladministradorsepuedeinicializarutilizandolosscriptsdedespliegueXML.

Despuésdecongurarlapropiedaddelsistema,acadausuarioadicionaldeWindowsqueiniciesesiónen elsistema,elAsistentedeconguracióndeClientSecuritylesolicitaráautomáticamentequeseregistree inicialicelascredencialesylasclavesdeseguridaddeusuario.

EmulacióndesoftwaredelMódulodeplataformasegura

ClientSecuritySolutiontienelaopcióndeejecutarsesinunMódulodeplataformaseguraensistemas cualicados.Lafuncionalidadseráexactamentelamismaexceptuandoelhechodequeutilizaráclaves basadasensoftwareenlugardeutilizarclavesprotegidasmediantehardware.Elsoftwaretambiénse puedeinstalarconunconmutadorparaforzarloautilizarsiempreclavesbasadasensoftwareenlugarde aprovecharelMódulodeplataformasegura.Elusodeesteconmutadoresunadecisiónqueserealiza durantelainstalaciónynosepuedeinvertirsindesinstalaryvolverainstalarelsoftware.

LasintaxisparaforzarunaemulacióndesoftwaredelMódulodeplataformaseguraes:

InstallFile.exe“/vEMULATIONMODE=1”

Procedimientosdeinstalaciónyparámetrosdelalíneademandatos

MicrosoftWindowsInstallerproporcionavariasfuncionesdeadministradormediantelosparámetrosdela líneademandatos.WindowsInstallerpuederealizarunainstalaciónadministrativadeunaaplicaciónode unproductoenunaredparaqueésteseautilizadoporungrupodetrabajooparalapersonalizacióndel mismo.Lasopcionesdelalíneademandatosquerequierenunparámetrosedebenespecicarsinningún espacioentrelaopciónysuparámetro.Porejemplo:

setup.exe/s/v"/qnREBOOT=”R”"

esválido,mientrasque

setup.exe/s/v"/qnREBOOT=”R”"

noloes.

Nota:Elcomportamientopredeterminadodelainstalacióncuandoseejecutasola(ejecutandosetup.exe sinningúnparámetro)solicitaalusuarioquerearranquealnaldelainstalación.Esnecesariorearrancar paraqueelprogramafuncionecorrectamente.Sepuedeaplazarelrearranquemedianteunparámetro delalíneademandatosparaunainstalaciónsilenciosa,talcomosehaexplicadoanteriormenteyen laseccióndeejemplo.

ParaelpaquetedeinstalacióndeClientSecuritySolution,unainstalaciónadministrativadesempaqueta losarchivosfuentedelainstalaciónenunaubicaciónespecicada.

Paraejecutarunainstalaciónadministrativa,ejecuteelpaquetedeinstalacióndesdelalíneademandatos utilizandoelparámetro/a:

setup.exe/a

Unainstalaciónadministrativapresentaunasistentequesolicitaalusuarioadministrativoqueespeciquelas ubicacionesdondedesempaquetarlosarchivosdeinstalación.Laubicacióndeextracciónpredeterminada esC:\.PuedeescogerunanuevaubicaciónquepuedeincluirunidadesademásdeC:\.Porejemplo,otras unidadeslocalesounidadesderedcorrelacionadas.Tambiénpuedecrearnuevosdirectoriosdurante estepaso.

Paraejecutarunainstalaciónadministrativadeformasilenciosa,puedeestablecerlapropiedadpública TARGETDIRenlalíneademandatosparaespecicarlaubicacióndeextracción:

setup.exe/s/v"/qnTARGETDIR=F:\TVTRR"

obien

Capítulo2.Instalación9

msiexec.exe/i"ClientSecurity-PasswordManager.msi"/qnTARGERDIR=F:\TVTRR

Nota:SilaversióndeWindowsInstallernoesactual,setup.exeestáconguradoparaactualizarelmotor deWindowsInstalleralaVersión3.0.Estaactualizaciónharáquelaaccióndeinstalaciónsolicitequese rearranqueinclusoconunainstalacióndeextracciónadministrativa.Utiliceelrearranqueadecuadamente paraevitarunrearranqueenestasituación.SiWindowsInstallerescomomínimolaversión3.0,setup.exe nointentaráinstalarelmotordeWindowsInstaller.

Unavezquesehayacompletadounainstalaciónadministrativa,elusuarioadministrativopuederealizar personalizacionesenlosarchivosfuente,porejemplo,añadirvaloresalregistro.Parainstalarapartirde lasfuentesdesempaquetadasdespuésdequesehayanrealizadopersonalizaciones,elusuariollamaa msiexec.exedesdelalíneademandatos,pasandoelnombredelarchivoMSIdesempaquetado.

Losparámetrosydescripcionessiguientesestándocumentadosenladocumentacióndeayudadel desarrolladordeInstallShield.Sehaneliminadolosparámetrosquenosonaplicablesaproyectosde MSIbásico.

Tabla2.Parámetros

ParámetroDescripción

/a:InstalaciónadministrativaElconmutador/ahacequesetup.exerealiceuna

instalaciónadministrativa.Unainstalaciónadministrativa copia(ydescomprime)losarchivosdedatosenun directorioespecicadoporelusuario,peronocrea atajos,registraservidoresCOMnicreaunregistrode desinstalación.

/x:ModalidaddedesinstalaciónElconmutador/xhacequesetup.exedesinstaleun

productoinstaladoanteriormente.

/s:ModalidadsilenciosaElmandatosetup.exe/ssuprimelaventanadeinstalación

desetup.exeparaunprogramadeinstalaciónMSIbásico, peronoleeunarchivoderespuestas.LosproyectosMSI básiconocreanniutilizanunarchivoderespuestaspara lasinstalacionessilenciosas.Paraejecutarunproducto deMSIbásico,ejecutelalíneademandatossetup.exe/s /v/qn.(Paraespecicarlosvaloresdelaspropiedades públicasparaunainstalaciónsilenciosadeMSIbásico, puedeutilizarunmandatocomoporejemplosetup.exe /s/v“/qnINSTALLDIR=D:\Destino”).

/v:pasaargumentosaMsiexecElargumento/vseutilizaparapasarconmutadoresdela

líneademandatosyvaloresdepropiedadespúblicasa msiexe.exe.

/L:conguraelidiomaLosusuariospuedenutilizarelconmutador/LconelID

decimaldeidiomaparaespecicarelidiomautilizado porelprogramadeinstalaciónenvariosidiomas.Por ejemplo,elmandatoparaespecicaralemánessetup.exe /L1031.

/w:EsperaParaunproyectoMSIbásico,elargumento/wobligaa

setup.exeaesperarhastaquesecompletelainstalación antesdesalir.Siestáutilizandolaopción/wenun archivodeprocesoporlotes,esposiblequedeba anteponerstart/WAITatodoelargumentodelalínea delmandatosetup.exe.Acontinuaciónsemuestraun ejemplocorrectamenteformadodeesteuso:

start/WAITsetup.exe/w

10ClientSecuritySolution8.21Guíadedespliegue

Utilizacióndemsiexec.exe

Parainstalarapartirdelasfuentesdesempaquetadasdespuésderealizarlaspersonalizaciones,elusuario llamaamsiexec.exedesdelalíneademandatos,pasandoelnombredelarchivo*.MSIdesempaquetado. msiexec.exeeselprogramaejecutabledeInstallerutilizadoparainterpretarpaquetesdeinstalacióne instalarproductosensistemasdedestino.

msiexec/i"C:\WindowsFolder\Proles\UserName\ Personal\MySetups\projectname\productconguration\releasename\ DiskImages\Disk1\productname.msi"

Nota:Entreelmandatoanteriorenunaúnicalíneasinespaciosacontinuacióndelasbarrasinclinadas.

Enlatablasiguientesedescribenlosparámetrosdelalíneademandatosquesepuedenutilizarcon msiexec.exeasícomoejemplosdecómoutilizarlos.

Tabla3.Parámetrosdelalíneademandatos

ParámetroDescripción

/Ipaqueteocódigodelproducto

/apaqueteLaopción/apermitealosusuariosconprivilegiosdeadministradorinstalar

/xpaqueteocódigodelproductoLaopción/xdesinstalaunproducto.

/L[i|w|e|a|r|u|c|m|p|v|+]archivode anotaciones

/q[n|b|r|f]

Utiliceesteformatoparainstalarelproducto:

Othello:msiexec/i"C:\WindowsF older\Proles\ UserName\Personal\MySetups \Othello\TrialVersion\ Release\DiskImages\Disk1\ OthelloBeta.msi"

ElcódigodelproductosereerealGUID(GloballyUniqueIdentier)quese generaautomáticamenteenlapropiedaddelcódigodelproductodelavista deproyectosdelproducto.

unproductoenlared.

Lacreaciónconlaopción/Lespecicalavíadeaccesoalarchivode anotaciones;estosdistintivosindicanquéinformaciónsedeberegistrarenel archivodeanotaciones:

•iregistramensajesdeestado

•wregistramensajesdeavisonocríticos

•eregistracualquiermensajedeerror

•aregistraeliniciodelassecuenciasdeacción

•rregistraregistrosespecícosdelasacciones

•uregistrasolicitudesdeusuario

•cregistraparámetrosinicialesdelainterfazdeusuario

•mregistramensajesdefaltadememoria

•pregistravaloresdeterminal

•vregistraelvalordesalidadetallada

•+seañadeaunarchivoexistente

•*esuncaráctercomodínquelepermiteregistrartodalainformación (excluidoelvalordesalidadetallada)

Laopción/qseutilizaparaestablecerelniveldeinterfazdeusuario conjuntamenteconlosdistintivossiguientes:

•qoqnnocreaningunainterfazdeusuario

•qbcreaunainterfazdeusuariobásica

Lossiguientesvaloresdelainterfazdeusuariovisualizanunrecuadrode diálogomodalalnaldelainstalación:

•qrvisualizaunainterfazdeusuarioreducida

•qfvisualizaunainterfazdeusuariocompleta

•qn+novisualizaningunainterfazdeusuario

•qb+visualizaunainterfazdeusuariobásica

Capítulo2.Instalación11

Tabla3.Parámetrosdelalíneademandatos(continuación)

ParámetroDescripción

/?o/hAmbosmandatosvisualizanlainformacióndecopyrightdeWindowsInstaller TRANSFORMSElparámetrodelalíneademandatosTRANSFORMSespecicacualquier

transformaciónquedeseeaplicaralpaquetebase.

msiexec/i"C:\WindowsF older\ Proles\UserName\Personal \MySetups\ YourProjectName\TrialVersion\ MyRelease-1 \DiskImages\Disk1\ ProductName.msi"TRANSFORMS="NewTransform1.mst"

Puedesepararvariastransformacionesmedianteunsignodepuntoycoma. Noutilicepuntoycomaenelnombredelatransformaciónyaqueelservicio deWindowsInstallerlointerpretaráincorrectamente.

Propiedades

Todaslaspropiedadespúblicassepuedenestableceromodicardesde lalíneademandatos.Laspropiedadespúblicassedistinguendelas propiedadesprivadasporelhechodequetodasestánenmayúsculas.Por ejemplo,COMPANYNAMEesunapropiedadpública.

Paraestablecerunapropiedadenlalíneademandatos,utilicelasintaxis siguiente:

PROPERTY=VALUE

SidesearacambiarelvalordeCOMPANYNAME,especicaríalosiguiente:

msiexec/i"C:\WindowsF older\ Proles\UserName\Personal\ MySetups\YourProjectName\ TrialVersion\MyRelease-1\ DiskImages\Disk1\ProductName.msi" COMPANYNAME="InstallShield"

PropiedadespúblicasestándardeWindowsInstaller

WindowsInstallertieneunconjuntodepropiedadespúblicasestándarincorporadasquesepueden establecerenlalíneademandatosparaespecicaruncomportamientodeterminadodurantelainstalación. Latablasiguienteproporcionalaspropiedadespúblicasmáscomunesutilizadasenlalíneademandatos.

Paraobtenerinformaciónadicional,consulteelsitiowebdeMicrosoften: http://msdn2.microsoft.com/en-us/library/aa367437.aspx.

LatablasiguientemuestralaspropiedadesmáshabitualmenteutilizadasdeWindowsInstaller:

Tabla4.PropiedadesdeWindowsInstaller

PropiedadDescripción

TARGETDIREspecicaeldirectoriodedestinoraízparalainstalación.

Duranteunainstalaciónadministrativa,estapropiedad eslaubicacióndondesedebecopiarelpaquetede

instalación. ARPAUTHORIZEDCDFPREFIXURLdelcanaldeactualizaciónparalaaplicación. ARPCOMMENTSProporcionaComentariosparaAgregaroquitar

programasdelPaneldecontrol.

12ClientSecuritySolution8.21Guíadedespliegue

Tabla4.PropiedadesdeWindowsInstaller(continuación)

PropiedadDescripción

ARPCONTACTProporcionaelContactoparaAgregaroquitarprogramas

enelPaneldecontrol.

ARPINSTALLLOCA TIONVíadeaccesocalicadatotalmentedelacarpetaprincipal

delaaplicación. ARPNOMODIFYInhabilitalafuncionalidadquemodicaríaelproducto. ARPNOREMOVEInhabilitalafuncionalidadqueeliminaríaelproducto. ARPNOREPAIRInhabilitaelbotónReparardelasistentedeProgramas. ARPPRODUCTICON

ARPREADME

ARPSIZETamañoaproximadodelaaplicaciónenkilobytes. ARPSYSTEMCOMPONENTEvitaquesevisualicelaaplicaciónenlalistadeAgregar

ARPURLINFOABOUTURLdelapáginainicialdeunaaplicación. ARPURLUPDATEINFOURLdelainformacióndeactualizacióndelaaplicación. REBOOTLapropiedadREBOOTsuprimealgunosindicadores

Especicaeliconoprincipalparaelpaquetede

instalación.

ProporcionaunarchivoléameparaAgregaroquitar

programasenelPaneldecontrol.

oquitarprogramas.

desolicitudparaunrearranquedelsistema.Un

administradorutilizanormalmenteestapropiedadconuna

seriedeinstalacionesparainstalarvariosproductosal

mismotiempoconsólounrearranquealnal.Establezca

REBOOT=“R”parainhabilitarelrearranquealnalde

unainstalación.

Archivodeanotacionesdeinstalación

ElarchivodeanotacionesdeinstalacióndeClientSecuritySolutionsedenominacssinstall82x32.log(para WindowsXPyWindowsVista32)ocss64install82V.log(paraWindowsVista64),ysecreaeneldirectorio %temp%silainstalaciónseiniciamediantesetup.exe(efectúeunadoblepulsaciónenelarchivoinstall.exe principal,ejecuteelarchivoejecutableprincipalsinparámetrosiextraigamsiyejecutesetup.exe).Este archivocontienemensajesdeanotacionesquesepuedenutilizarparadepurarproblemasdeinstalación. EstearchivodeanotacionesnosecreaalejecutarlainstalacióndirectamentedesdeelpaqueteMSI;esto incluyeaccionesrealizadasdesdeAgregaroquitarprogramas.Paracrearunarchivodeanotacionespara todaslasaccionesMSI,puedehabilitarlapolíticadeanotacionesenelregistro.Parahaceresto,creeelvalor:

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] "Logging"="voicewarmup"

Ejemplosdeinstalación

Latablasiguienteproporcionaejemplosdeinstalaciónutilizandosetup.exe:

Tabla5.Ejemplosdeinstalaciónqueutilizansetup.exe

DescripciónEjemplo

Instalaciónsilenciosasinrearranque.

Instalaciónadministrativa.

Instalaciónadministrativasilenciosaespecicandola ubicacióndeextracciónparaClientSecuritySoftware.

setup.exe/s/v”/qnREBOOT=”R””

setup.exe/a

setup.exe/a/s/v”/qnTARGETDIR=”F:

\CSS82””

Capítulo2.Instalación13

Tabla5.Ejemplosdeinstalaciónqueutilizansetup.exe(continuación)

DescripciónEjemplo

Desinstalaciónsilenciosasetup.exe/s/x/v/qn.

Instalaciónsinrearranque.Creeunarchivode anotacionesdeinstalacióneneldirectoriotemporalpara ClientSecuritySoftware.

InstalaciónsininstalarelÁreapreviaalescritorio setup.exe/vPDA=0.

setup.exe/s/x/v/qn

setup.exe/v”REBOOT=”R”/L*v%temp% \cssinstall80.log”

setup.exe/vPDA=0

LatablasiguienteproporcionaejemplosdeinstalaciónqueutilizanClientSecurity-PasswordManager.msi:

Tabla6.EjemplosdeinstalaciónqueutilizanClientSecurity-PasswordManager.msi

DescripciónEjemplo

Instalación

Instalaciónsilenciosasin rearranque

Desinstalaciónsilenciosa

msiexec/i“C:\CSS82\ClientSecurity Solution-PasswordManager.msi”

msiexec/i“C:\CSS82\ClientSecurity Solution-PasswordManager.msi”/qnREBOOT=”R”

msiexec/x“C:\CSS82\ClientSecurity Solution-PasswordManager.msi”/qn

InstalacióndeClientSecuritySolution8.21conversionesexistentes

ClientSecuritySolutionsepuedeactualizarapartirdeClientSecuritySolution8.0utilizandoSystemUpdate. ParainstalarClientSecuritySolution8.21conversionesexistentesanterioresalaversión8.0deClient SecuritySolution,instaleprimeroClientSecuritySolution8.0enelsistema.

ClientSecuritySolution8.0nosepuedeinstalarcomounaactualizacióndeunaversiónanterior.Debe desinstalarlaversiónexistentedeClientSecuritySolutionantesdeinstalarlaversión8.0.Paraconservar losdatosylosvaloresexistentes,completelospasossiguientesantesdeeliminarlaversiónanteriorde ClientSecuritySolution:

1.DescargueClientSecuritySolution8.0UpgradeAssistantenelsiguientesitiowebdeLenovo: http://www.lenovo.com/support/site.wss/document.do?sitestyle=lenovo&lndocid=MIGR-46391.

2.Desdelalíneademandatos,ejecutedemanerasilenciosaClientSecuritySolution8.0Upgrade AssistantantesdeeliminarlaversiónanteriordeClientSecuritySolution.

Además,losusuariosdeClientSecuritySolution7.0debenactualizaraClientSecuritySolution8.0antes deinstalarRescueandRecovery4.0

Nota:Siestáactualizandounsistemaoperativo,debeborrarelchipdeseguridadparaevitarunaanomalía deregistrodeClientSecuritySolution.

InstalacióndelSoftwaredehuellasdactilaresdeThinkVantage

Elarchivosetup.exedelprogramadesoftwaredehuellasdactilaressepuedeinstalarmediantelosmétodos siguientes:

Instalaciónsilenciosa

ParainstalardeformasilenciosaelSoftwaredehuellasdactilares,ejecuteelarchivosetup.exeubicadoenel directoriodeinstalacióndelaunidaddeCD-ROM.

Utilicelasintaxissiguiente:

14ClientSecuritySolution8.21Guíadedespliegue

Setup.exePROPERTY=VALUE/q/i

dondeqesparalainstalaciónsilenciosaeiesparalainstalación.Porejemplo:

setup.exeINSTALLDIR="C:\ProgramFiles\ThinkVantagengerprintsoftware"/q/i

Paradesinstalarelsoftware,utiliceelparámetro/xenlugarde/i:

setup.exeINSTALLDIR="C:\ProgramFiles\ThinkVantagengerprintsoftware"/q/x

Options

EnelSoftwaredehuellasdactilaresestánsoportadaslasopcionessiguientes:

Tabla7.Opcionesadmitidasporelsoftwaredehuellasdactilares

ParámetroDescripción

CTRLONCEVisualizaelCentrodecontrolsólounavez.Elvalor

predeterminadoes0.

CTLCNTREjecutaelCentrodecontrolalarrancar.Elvalor

predeterminadoes1.

DEFFUS•0=noutilizarálosvaloresdeConmutaciónrápidade

usuario(FUS).

•1=IntentaráutilizarlosvaloresdeFUS. Elvalorpredeterminadoes0.

INSTALLDIRElvalorpredeterminadoeseldirectoriodeinstalacióndel

softwaredehuellasdactilares.

OEM

PASSPORT

SECURITY

SHORTCUTFOLDER

REBOOTSuprimetodoslosrearranques,incluidoslosindicadores

DEVICEBIOConguraeltipodedispositivoqueseráutilizadoporel

•0=Instalasoporteparapasaportesdeservidoro autenticacióndeservidor

•1=Sólomodalidadautónomadelsistemacon pasaporteslocales

Elvalorpredeterminadoeseltipodecontraseña establecidodurantelainstalación.

•1=Valorpredeterminado-Pasaportelocal

•2=Pasaportedelservidor

Elvalorpredeterminadoes1.

•1=Instalasoporteparalamodalidadsegura

•0=Noinstala;sóloexistelamodalidadcómoda

Elvalorpredeterminadoeselnombredelacarpetade accesodirectoenelmenúInicio.

desolicituddurantelainstalación,estableciéndoloen Realmentesuprimir.

usuario.Tipoderegistro:

•DEVICEBIO=#3-sectordeldispositivoqueseutilizará antesdelprimerregistro.

•DEVICEBIO=#0-seutilizaráelregistroenlaunidad dediscoduro

•DEVICEBIO=#1-seutilizaráelregistroen CompanionChip

Capítulo2.Instalación15

InstalacióndelSoftwaredehuellasdactilaresdeLenovo

Elarchivosetup32.exedelprogramadesoftwaredehuellasdactilaressepuedeinstalarutilizandounade estosprocedimientos:

Instalaciónsilenciosa

Pararealizarunainstalaciónsilenciosadelsoftwaredehuellasdactilares,ejecuteelarchivosetup32.exeque seencuentraeneldirectoriodeinstalacióndelaunidaddeCD-ROM.

Utilicelasintaxissiguiente:

setup32.exe/s/v"/qnREBOOT="R""

Paradesinstalarelsoftware,utilicelasintaxissiguiente:

setup32.exe/x/s/v"/qnREBOOT="R""

Options

EnelSoftwaredehuellasdactilaresestánsoportadaslasopcionessiguientes:

Tabla8.OpcionesadmitidasporelSoftwaredehuellasdactilaresdeLenovo

ParámetroDescripción

SWAUTOSTART•0=noiniciaráelsoftwaredehuellasdactilaresdurante

elarranquedeWindows.

•1=iniciaráelsoftwaredehuellasdactilaresdurante elarranquedeWindows.

Elvalorpredeterminadoes1.

SWFPLOGON•0=noutilizaráeliniciodesesióndehuelladactilar

(GINAoCredentialProvider).

•1=utilizaráeliniciodesesióndehuelladactilar(GINA oCredentialProvider).

Elvalorpredeterminadoes0.

SWPOPP•0=inhabilitarálaproteccióndecontraseñade

encendido.

•1=habilitarálaproteccióndecontraseñade encendido.

Elvalorpredeterminadoes0.

SWSSO•0=inhabilitarálafuncióndeiniciodesesiónúnico.

•1=habilitarálafuncióndeiniciodesesiónúnico.

Elvalorpredeterminadoes0.

SWALLOWENROLL•0=nopermitelainscripcióndelahuelladactilarpara

usuariosquenoseanadministradores.

•1=permitelainscripcióndelahuelladactilarpara usuariosquenoseanadministradores.

Elvalorpredeterminadoes1.

SWALLOWDELETE•0=nopermitelasupresióndelahuelladactilarpara

usuariosquenoseanadministradores.

•1=permitelasupresióndelahuelladactilarpara usuariosquenoseanadministradores.

Elvalorpredeterminadoes1.

16ClientSecuritySolution8.21Guíadedespliegue

Tabla8.OpcionesadmitidasporelSoftwaredehuellasdactilaresdeLenovo(continuación)

ParámetroDescripción

SWALLOWIMEXPORT•0=nopermitelaimportación/exportacióndelahuella

dactilarparausuariosquenoseanadministradores.

•1=permitelaimportación/exportacióndelahuella

dactilarparausuariosquenoseanadministradores.

Elvalorpredeterminadoes1.

SWALLOWSELECT•0=nopermitelaseleccióndeutilizarlahuelladactilar

parasustituirlacontraseñadeencendidoparausuarios quenoseanadministradores.

•1=permitelaseleccióndeutilizarlahuelladactilar

parasustituirlacontraseñadeencendidoparausuarios quenoseanadministradores.

Elvalorpredeterminadoes1.

SWALLOWPWRECOVERY•0=nopermitelarecuperacióndecontraseñasde

Windows.

•1=permitelarecuperacióndecontraseñasde

Windows.

Elvalorpredeterminadoes1.

SWANTIHAMMER•0=inhabilitalaprotecciónantigolpes.

•1=hablitalaprotecciónantigolpes. Elvalorpredeterminadoes1.

SWANTIHAMMERRETRIESEspecicalacantidadmáximadereintentos.Elvalor

predeterminadoes5. Nota:Estevalorfuncionasolamentecuandoseha habilitadoSWANTIHAMMER.

SWANTIHAMMERTIMEOUTEspecicaladuracióndeltiempodeesperaensegundos.

Elvalorpredeterminadoes120. Nota:Estevalorfuncionasolamentecuandoseha habilitadoSWANTIHAMMER.

SWAUTHTIMEOUT•0=inhabilitaeltiempodeesperadeautenticación.

•1=habilitaeltiempodeesperadeautenticación. Elvalorpredeterminadoes1.

SWAUTHTIMEOUTVALUEEspecicaelperíododeinactividadantesdeltiempo

deesperadeautenticación,ensegundos.Elvalor predeterminadoes120. Nota:Estevalorsolamentefuncionacuandoestá habilitadoSWAUTHTIMEOUT.

SWNONADMIFPLOGONONLY•0=inhabilitaeliniciodesesiónsolamenteconhuella

dactilarparausuariosquenoseanadministradores.

•1=habilitaeliniciodesesiónsolamenteconhuella

dactilarparausuariosquenoseanadministradores.

Elvalorpredeterminadoes1.

Capítulo2.Instalación17

Tabla8.OpcionesadmitidasporelSoftwaredehuellasdactilaresdeLenovo(continuación)

ParámetroDescripción

SWSHOWPOWERON

CSS•0=suponequenosehainstaladoCSS.

•0=nomuestralasopcionesdeseguridadde encendido.

•1=muestrasiemprelasopcionesdeseguridadde encendido.

Elvalorpredeterminadoes0.

•1=suponequesehainstaladoCSS.

Elvalorpredeterminadoes0.

Servidordegestióndesistemas

TambiénestánsoportadaslasinstalacionesdeSMS(servidordegestióndesistemas).Abralaconsolade administradordeSMS.Creeunnuevopaqueteyestablezcalaspropiedadesdelpaquetedelaforma estándar.AbraelpaqueteyseleccioneNuevo-ProgramaenelelementoProgramas.Enlalíneade mandatos,especique:

Setup.exe/myourmiflename/q/i

Puedeutilizarlosmismosparámetrosqueparalainstalaciónsilenciosa.

Lainstalaciónnormalmenterearrancaalnaldelprocesodeinstalación.Sideseasuprimirtodoslos rearranquesdurantelainstalaciónyrearrancarposteriormente(despuésdeinstalarmásprogramas),añada REBOOT=“ReallySuppress”alalistadepropiedades.

18ClientSecuritySolution8.21Guíadedespliegue

Capítulo3.CómotrabajarconClientSecuritySolution

AntesdeinstalarClientSecuritySolution,debecomprenderlapersonalizacióndisponibleparaClient SecuritySolution.EnestecapítuloseproporcionainformacióndepersonalizaciónsobreClientSecurity Solution,asícomoinformaciónrelativaalMódulodeplataformasegura.Estecapítuloutilizatérminos denidosporTrustedComputingGroup(TCG)enrelaciónalTrustedPlatformModule.Paraobtenermás informaciónsobreTrustedPlatformModule,consulteelsiguientesitioweb: http://www.trustedcomputinggroup.org/

UtilizacióndelMódulodeplataformasegura

ElMódulodeplataformaseguraesunchipdeseguridadincorporadodiseñadoparaproporcionarfunciones relacionadasconlaseguridadparaelsoftwarequeloutiliza.Elchipdeseguridadincorporadoseinstalaen laplacamadredeunsistemaysecomunicamedianteunbusdehardware.Lossistemasqueincorporan unMódulodeplataformasegurapuedencrearclavesdecifradoycifrarlasdeformaquesólopuedan serdescifradasporelmismoMódulodeplataformasegura.Esteproceso,amenudodenominado empaquetado,ayudaaprotegerlaclaveevitandoqueserevele.EnunsistemaconunMódulodeplataforma segura,laclavedeempaquetadomaestra,denominadaClaveraízdealmacenamiento(SRK),sealmacenaen elpropioMódulodeplataformasegura,deformaquelaparteprivadadelaclavenuncaquedaexpuesta.El chipdeseguridadincorporadotambiénpuedealmacenarotrasclavesdealmacenamiento,clavesderma, contraseñasyotraspequeñasunidadesdedatos.Debidoalacapacidadlimitadadealmacenamientoenel Módulodeplataformasegura,laSRKseutilizaparacifrarotrasclavesparaelalmacenamientofueradelchip. LaSRKnuncadejaelchipdeseguridadincorporadoyformalabaseparaelalmacenamientoprotegido.

LautilizacióndelchipdeseguridadincorporadoesopcionalyrequiereunadministradordeClientSecurity Solution.YaseaparaelusuarioindividualoparaundepartamentodeTIdeunaempresa,sedebeinicializar elMódulodeplataformasegura.Lasoperacionessubsiguientes,comoporejemplolacapacidadde recuperarsedeunaanomalíadelaunidaddediscoduroolasustitucióndelaplacadelsistema,también estánrestringidasaladministradordeClientSecuritySolution.

Nota:Siestácambiandolamodalidaddeautenticacióneintentadesbloquearelchipdeseguridad, debecerrarlasesióny,acontinuación,iniciardenuevolasesióncomoeladministradormaestro.Esto lepermitirádesbloquearelchip.Tambiénpuedeiniciarlasesióncomounusuariosecundarioycontinuar convirtiendolamodalidaddeautenticación.Estoserealizaautomáticamentecuandoelusuariosecundario inicialasesión.ClientSecuritySolutionlesolicitarálacontraseñaofrasedepasodelusuariosecundario. UnavezqueClientSecuritySolutionhayaacabadodeprocesarelcambio,elusuariosecundariopuede continuardesbloqueandoelchip.

UtilizacióndelMódulodeplataformaseguraconWindowsVista

SiestáhabilitadoeliniciodesesióndeWindowsVistayelMódulodeplataformaseguraestáinhabilitado, debeinhabilitarlacaracterísticadeiniciodesesióndeWindowsantesdeinhabilitarelMódulodeplataforma seguraenF1BIOS.Sihaceesto,evitaqueaparezcaunmensajedeseguridadqueindicalosiguiente:Seha desactivadoelchipdeseguridad,elprocesodeiniciodesesiónnosepuedeproteger.

Además,siestáactualizandoelsistemaoperativodeunsistemacliente,debeborrarelchipdeseguridad paraevitarunaanomalíaderegistrodeClientSecurity.ParaborrarelchipenF1BIOS,elsistemase debeiniciardesdeunarranqueenfrío.Nopodráborrarelchipsiintentaesteprocesodespuésdeun rearranqueentemplado.

©CopyrightLenovo2008,2012

GestióndeClientSecuritySolutionconclavesdecifrado

ClientSecuritySolutionsedescribemediantelasdosactividadesprincipalesdedespliegue;T omar propiedadyRegistrarusuario.AlejecutarelAsistentedeconguracióndeClienteSecurityporprimeravez, losprocesosTomarpropiedadyRegistrarusuarioserealizandurantelainicialización.ElIDdeusuariode WindowsespecícoquehacompletadoelAsistentedeconguracióndeClientSecuritySolutionesel AdministradordeClientSecuritySolutionyseregistracomounusuarioactivo.Atodoslosdemásusuarios queiniciensesiónenelsistemaselesrequeriráqueseregistrenenClientSecuritySolution.

•Tomarpropiedad SeasignaunúnicoIDdeusuarioadministradorWindowsalúnicoAdministradordeClientSecurity Solutiondelsistema.LasfuncionesadministrativasdeClientSecuritySolutionsedebenrealizarmediante esteIDdeusuario.LaautorizacióndelMódulodeplataformaseguraeslacontraseñadeWindowsola frasedepasodeClientSecuritydeesteusuario.

Nota:LaúnicaformaderecuperarunacontraseñadeAdministradorofrasedepasodeClientSecurity SolutionolvidadaesdesinstalarelsoftwareconlospermisosválidosdeWindowsoborrarelchipde seguridadenelBIOS.Decualquieradelasdosmanerasseperderánlosdatosprotegidosmediantelas clavesasociadasconelMódulodeplataformasegura.ClientSecuritySolutiontambiénproporcionaun mecanismoopcionalquepermitelaautorecuperacióndeunacontraseñaofrasedepasoolvidadas basándoseenunretopregunta-respuesta.ElAdministradordeClientSecuritySolutiontomaladecisión sobresiutilizarestafunción.

•Registrarusuario UnavezquesehayacompletadoelprocesoT omarpropiedadysehayacreadounAdministradorde ClientSecuritySolution,sepodrácrearunaclavebasedeusuarioparaalmacenardeformasegura credencialesparaelusuariodeWindows.Estediseñopermitequemúltiplesusuariosseregistrenen ClientSecuritySolutionyaprovechenelúnicoMódulodeplataformasegura.Lasclavesdeusuarioestán protegidasmedianteelchipdeseguridad,peroenrealidadsealmacenanfueradelchipenlaunidadde discoduro.Estediseñocreaespaciodediscodurocomofactordealmacenamientoconlimitaciones enlugardememoriarealincorporadaenelchipdeseguridad.Elnúmerodeusuariosquepueden aprovecharelmismohardwareseguroaumentaconsiderablemente.

Tomarpropiedad

LaraízdeabilidaddeClientSecuritySolutioneslaClaveraízdelsistema(SRK).Estaclaveasimétrica quenosepuedemigrarsegeneraenelentornosegurodelMódulodeplataformaseguraynuncase exponealsistema.Laautorizaciónparaaprovecharlaclavesederivadelacuentadeadministradorde WindowsduranteelmandatoTPM_TakeOwnership.Sielsistemaestáaprovechandounafrasedepasode ClientSecurity,lafrasedepasodeClientSecurityparaelAdministradordeClientSecuritySolutionserá laautorizacióndelMódulodeplataformasegura.Delocontrario,serálacontraseñadeWindowsdel AdministradordeClientSecuritySolution.

UnavezquesehayacreadolaSRKparaelsistema,sepodráncrearotrosparesdeclavesyestossepodrán almacenarfueradelMódulodeplataformasegura,peroenvueltosoprotegidosmediantelasclavesbasadas enhardware.DebidoaqueelMódulodeplataformaseguraqueincluyelaSRKeshardwareyelhardware puederesultardañado,esnecesariounmecanismoderecuperaciónparagarantizarlarecuperacióndelos datosencasodequeseproduzcandañosenelsistema.

PararecuperarunsistemasecrealaClavebasedelsistema.Estaclavedealmacenamientoasimétrica permitealAdministradordeClientSecuritySolutionlarecuperacióndeuncambiodelaplacadelsistemao lamigraciónplanicadaaotrosistema.AndeprotegerlaClavebasedelsistemaperopermitirquesea accesibleduranteelfuncionamientonormalodurantelarecuperación,secreanyprotegendosinstancias delaclavemediantedosmétodosdistintos.Enprimerlugar,secifralaClavebasedelsistemaconuna clavesimétricaAESquesederivasabiendolacontraseñadelAdministradordeClientSecuritySolution olafrasedepasodeClientSecurity.EstacopiadelaClavederecuperacióndeClientSecuritySolution

20ClientSecuritySolution8.21Guíadedespliegue

seutilizaexclusivamenteanderealizarlarecuperacióndeunMódulodeplataformaseguraborradoo

System Level Key Structure - Take Ownership

Trusted Platform Module

Encrypted via derived AES Key

Storage Root Private Key

Storage Root Public Key

System Leaf Private Key

System Base Private Key

System Leaf Public Key

System Base Public Key

System Base Private Key

System Base Public Key

If Passphrase

loop n times

CSS Admin PW/PP

One-Way Hash

System Base AES

Protection Key (derived via output of hash algorithm)

Auth

deunaplacadelsistemasustituidadebidoaunerrordehardware.

LasegundainstanciadelaClavederecuperacióndeClientSecuritySolutionesempaquetadaporlaSRK paraimportarlaenlajerarquíadeclaves.EstadobleinstanciadelaClavebasedelsistemapermiteal Módulodeplataformaseguraprotegerlossecretosvinculadosalmismomásabajodurantelautilización normalypermitelarecuperacióndeunaplacadelsistemafallidamediantelaClavebasedelsistemaque estácifradaconunaclaveAESdesbloqueadaporlacontraseñadeAdministradordeClientSecuritySolution olafrasedepasodeClientSecurity.Acontinuación,secrealaClavehojadelsistema.Estaclavesecrea paraprotegerlossecretosaniveldelsistemacomoporejemplolaclaveAES.

Eldiagramasiguienteproporcionalaestructuraparalaclaveaniveldelsistema:

Figura1.Estructuradeclaveaniveldelsistema:Tomarpropiedad

Registrarusuario

ParaquelosdatosdecadausuarioesténprotegidosmedianteelmismoMódulodeplataformasegura,cada usuariotendrácreadasupropiaClavebasedeusuario.Estaclavedealmacenamientoasimétricasepuede migrarytambiénsecreadosvecesyseprotegemedianteunaclaveAESsimétricageneradaapartirdela contraseñadeusuariodeWindowsofrasedepasodeClientSecurity.

LasegundainstanciadelaClavebasedeusuarioseimportaseguidamenteenelMódulodeplataforma segurayseprotegemediantelaSRKdelsistema.ConlaClavebasedeusuario,tambiénsecreaunaclave asimétricasecundariadenominadaClavehojadeusuario.LaClavehojadeusuarioprotegesecretos personalescomoporejemplolaclaveAESdePasswordManagerutilizadaparaprotegerlainformación deiniciodesesiónenInternet,lacontraseñautilizadaparaprotegerdatosylaclaveAESdecontraseña deWindowsutilizadaparaprotegerelaccesoalsistemaoperativo.ElaccesoalaClavehojadeusuario locontrolalacontraseñadeWindowsolafrasedepasodeClientSecuritySolutiondelusuarioyse desbloqueaautomáticamenteduranteeliniciodesesión.

Capítulo3.CómotrabajarconClientSecuritySolution21

Eldiagramasiguienteproporcionalaestructuraparalaclaveaniveldeusuario:

User Level Key Structure - Enroll User

Trusted Platform Module

Encrypted via derived AES Key

Storage Root Private Key

Storage Root Public Key

User Leaf Private Key

User Base Private Key

User Leaf Public Key

User Base Public Key

Windows PW AES Key

PW Manager AES Key

User Base Private Key

User Base Public Key

If Passphrase

loop n times

User PW/PP

One-Way Hash

User Base AES

Protection Key (derived via output of hash algorithm)

Auth

Figura2.Estructuradeclaveenelniveldeusuario:Registrarusuario

Inscripciónensegundoplano

ClientSecuritySolution8.21dasoportealainscripciónensegundoplanoparainscripcionesdeusuarioque seinicianautomáticamente.Elprocesodeinscripciónseejecutaensegundoplanosinmostrarninguna noticación.

Nota:Lainscripciónensegundoplanosolamenteestádisponibleparalasinscripcionesdeusuarioquese inicianautomáticamente.Parainscripcionesdeusuarioqueseinicianmanualmente,desdeelmenúde inicioodesdeRestablecervaloresdeseguridad,apareceráundiálogoenelqueseindicaalusuarioque esperearealizarlainscripcióndeusuario.

Eladministradorlocaloeladministradordedominiostambiénpuedenforzarlaaparicióndeldiálogode esperaeditandolasiguientepolítica:

CSS_GUI_ALWAYS_SHOW_ENROLLMENT_PROCESSING

Oeditandolasiguienteclavederegistro:

HKLM\software\policies\lenovo\clientsecuritysolution\GUIoptions\ AlwaysShowEnrollmentProcessing

ElvalorpredeterminadodeAlwaysShowEnrollmentProcessinges0.Cuandolaclavederegistroanteriorse estableceen0,eldiálogodeesperanoapareceráaquellasinscripcionesdeusuarioquesehayaniniciado automáticamente.Cuandoestapolíticaseestableceen1,eldiálogodeesperaaparecerásiempredurante lainscripcióndeusuarioindependientementedecómoseinicielainscripción.

Emulacióndesoftware

ParaproporcionarunaexperienciahomogéneaparaelusuariocuyosistemanodisponedeTPM,CSS dasoportealamodalidaddeemulacióndeTPM.

LamodalidaddeemulacióndeTPMesunaraízdeabilidadbasadaenelsoftware.Lasmismasprestaciones queproporcionaTPM,incluidaslarmadigital,ladescripcióndeclavesimétrica,laimportaciónyprotección

22ClientSecuritySolution8.21Guíadedespliegue

declavesRSAasícomolageneraciónaleatoriadenúmeros,estándisponiblesparaelusuario,salvoque hayunamenorseguridaddebidoaquelaraízdeabilidadsebasaenclavesbasadasensoftware.

LamodalidaddeemulacióndeTPMnosepuedeutilizarcomosustitutodeseguridadparaTPM.TPM proporcionalossiguientesdosmétodosdeproteccióndeclavesquesonmássegurosquelamodalidad deemulacióndeTPM.

•TodaslasclavesqueutilizaTPMseprotegenmedianteunasolaclavedenivelraíz.Laúnicaclavede nivelraízsecreaenelinteriordeTPMynosepuedeverniutilizarfueradeTPM.Enlamodalidadde emulacióndeTPM,laclavedenivelraízesunaclavebasadaenelsoftwarequesealmacenaenla unidaddediscoduro.

•TodaslasoperacionesdeclaveprivadaserealizanenTPM,deformaqueelmaterialdeclaveprivada paracualquierclavenoestánuncaexpuestofuerodeTPM.EnlamodalidaddeemulacióndeTPM,todas lasoperacionesdeclaveprivadaserealizanenelsoftware,porloquenohayproteccióndelmaterial declaveprivada.

LamodalidaddeemulacióndeTPMesprincipalmenteparaelusuarioalquelepreocupapocolaseguridad peromáslavelocidaddeiniciodesesióndelsistema.

Cambiodelaplacadelsistema

UncambiodelaplacadelsistemaimplicaquelaSRKanterioralaqueestabanvinculadaslasclavesyano esválida,yesnecesariaotraSRK.EstotambiénpuedesucedersiseborramedianteelBIOSelMódulo deplataformasegura.

EsnecesarioqueeladministradordeClientSecuritySolutionvinculelascredencialesdelsistemaauna nuevaSRK.SeránecesariodescifrarlaClavebasedelsistemamediantelaClavedeprotecciónAESbase delsistemaderivadadelascredencialesdeautorizacióndelAdministradordeClientSecuritySolution.

SiunAdministradordeClientSecuritySolutionesunIDdeusuariodedominioylacontraseñadedicho IDdeusuariosehacambiadoenunamáquinadistinta,paradescifrarlaClavebasedelsistemaparala recuperaciónseránecesarioconocerlacontraseñaqueseutilizóaliniciarsesiónporúltimavezenelsistema. Porejemplo,duranteeldespliegueseconguraránunIDdeusuarioyunacontraseñadeAdministradorde ClientSecuritySolution;silacontraseñadeesteusuariocambiaenunamáquinadistinta,lacontraseña originalestablecidaduranteeldespliegueserálaautorizaciónnecesariaanderecuperarelsistema.

Sigaestospasospararealizaruncambiodelaplacadelsistema:

1.EladministradordeClientSecuritySolutioniniciasesiónenelsistemaoperativo.

2.Elcódigoejecutadodeiniciodesesión(cssplanarswap.exe)reconocequeelchipdeseguridadestá inhabilitadoyrequierequeserearranqueparahabilitarlo.(Estepasosepuedeevitarhabilitandoel chipdeseguridadmedianteelBIOS).

3.Serearrancaelsistemaysehabilitaelchipdeseguridad.

4.EladministradordeClientSecuritySolutioninicialasesión;nalizaelnuevoprocesodeTomar propiedad.

5.SedescifralaClavebasedelsistemautilizandolaClavedeprotecciónAESbasedelsistemaquese derivadelaautenticacióndeadministradordeClientSecuritySolution.SeimportalaClavebasedel sistemaenlanuevaSRKyserestablecelaClavehojadelsistemaytodaslascredencialesprotegidas porésta.

6.Elsistemaestáahorarecuperado.

Nota:CuandoseutilizalaModalidaddeemulación,noesnecesariocambiarlaplacadelsistema.

Capítulo3.CómotrabajarconClientSecuritySolution23

Eldiagramasiguienteproporcionalaestructuraparaelintercambiodeplacabasetomarpropiedad:

Motherboard Swap - Take Ownership

Trusted Platform Module

Decrypted via derived AES Key

System Leaf Private Key

Store Leaf Private Key

System Leaf Public Key

Store Leaf Public Key

System Base Private Key

System Base Public Key

If Passphrase

loop n times

CSS Admin PW/PP

One-Way Hash

System Base AES

Protection Key (derived via output of hash algorithm)

Motherboard Swap - Enroll User

Trusted Platform Module

Decrypted via derived AES Key

Storage Root Private Key

Storage Root Public Key

User Leaf Private Key

User Leaf Public Key

Windows PW AES Key

PW Manager AES Key

User Base Private Key

User Base Public Key

If Passphrase

loop n times

User PW/PP

One-Way Hash

User Base AES

Protection Key

(derived via output

of hash algorithm)

Figura3.Intercambiodeplacabase:Tomarpropiedad

Conformecadausuarioiniciasesiónenelsistema,laClavebasedeusuariosedescifraautomáticamente mediantelaClavedeprotecciónAESbasedeusuarioderivadadelaautenticacióndeusuarioeimportada alanuevaSRKcreadamedianteeladministradordeClientSecuritySolution.Eldiagramasiguiente proporcionalaestructuraparaelintercambiodeplacabase:registrarusuario:

Paraqueunsegundousuarioinicielasesióndespuésdequesehayaborradoelchipodespuésdesustituir laplacamadre,debeiniciarlasesióncomoeladministradormaestro.Sesolicitaráaladministradormaestro querestaurelasclaves.Unavezquesehayacompletadolarestauracióndelasclaves,utiliceelGestor depolíticasparainhabilitareliniciodesesióndeWindowsdeClientSecurity.Losdemásusuariospodrán restaurarsusclavesrespectivas.Unavezquetodoslosusuariossecundarioshayanrestauradosusclaves,el administradormaestropuedehabilitarlafuncióndeiniciodesesióndeWindowsdeClientSecuritySolution.

Eldiagramasiguienteproporcionalaestructuraparaelintercambiodeplacabase:registrarusuario:

Figura4.Intercambiodeplacabase:Registrarusuario

24ClientSecuritySolution8.21Guíadedespliegue

ProgramadeutilidaddeproteccióndeEFS

ClientSecuritySolutionproporcionaunprogramadeutilidaddelalíneademandatosquepermitela protecciónbasadaenelTPMdecerticadosdecifradoutilizadosporelSistemadecifradodearchivos (EFS)paracifrararchivosycarpetas.Esteprogramadeutilidaddasoportealatransferenciadecerticados deterceros(certicadosgeneradosporunaentidademisoradecerticados)ytambiéndasoporteala generacióndecerticadosautormados.

LaproteccióndelcerticadodeEFSporpartedeClientSecuritySolutionsignicaquelaclaveprivada asociadaconelcerticadodeEFSestáprotegidaporelTPM.Seotorgaaccesoalcerticadodespués dequeelusuariosehayaautenticadoenClientSecuritySolution.

SinohayningúnTPMdisponible,elcerticadodeEFSseprotegeutilizandoelemuladordelTPM proporcionadoporClientSecuritySolution.DeberegistrarseconClientSecuritySolutionparapodertener loscerticadosdeEFSprotegidosporClientSecuritySolution.

PRECAUCIÓN: SiutilizaClientSecuritySolutionyelSistemadecifradodearchivos(EFS)paracifrararchivos ycarpetas,cadavezqueClientSecuritySolutionoelMódulodeplataformaseguranoestén disponiblesnopodráaccederalosarchivoscifrados.

SielMódulodeplataformaseguradejaderesponder,ClientSecuritySolutionrestauraráelaccesoalos datoscifradosunavezquesehayasustituidolaplacabase.

UtilizacióndelprogramadeutilidaddelalíneademandatosdeEFS

LatablasiguienteproporcionalosparámetrosdelalíneademandatosqueestánsoportadosparaEFS:

Tabla9.ParámetrosdelalíneademandatosadmitidosparaEFS

ParámetroDescripción

/generate:<size>Generauncerticadoautormadoyasociaelcerticado

conEFS.Siseespecica<size>,laclavegeneradaserá deltamañodebitespecicado.Losvaloresválidos incluyen512,1024y2048.Sinoseespecicaningún valor,osiseespecicaunvalornoválido,elvalor predeterminadoserálageneracióndeclavesde1024bits.

/sn:xxxxxxEspecicaelnúmerodeseriedeuncerticadoexistente

quesedebetransferiryasociarconEFS.

/cn:yyyyyyEspecicaelnombre(“issuedto”)deuncerticado

existentequesedebetransferiryasociarconEFS.

/rstavailTransereelprimercerticadodeEFSexistente

disponibleyloasociaaEFS.

/silentNovisualizaningunasalida.Loscódigosderetorno

proporcionadosporelvalorcuandosesaledelprograma.

/?o/ho/helpVisualizalainformacióndeayuda.

Cuandonoseejecutaenmodalidadsilenciosa,elprogramadeutilidaddevolveráunodeloserrores siguientes:

0-"Commandcompletedsuccessfully" 1-"ThisutilityrequiresWindowsXP" 2-"ThisutilityrequiresClientSecuritySolutionversion8 .0" 3-"ThecurrentuserisnotenrolledwithClientSecuritySolution" 4-"Thespeciedcerticatecouldnotbefound" 5-"Unabletogenerateaself-signedcerticate” 6-"NoEFScerticateswerefound"

Capítulo3.CómotrabajarconClientSecuritySolution25

7-"UnabletoassociatethecerticatewithEFS”

Alejecutarenmodalidadsilenciosa,lasalidadelprogramaseráunniveldeerrorcorrespondientealos númerosdeerroresquesemuestranmásarriba.

UtilizacióndelesquemaXML

ElpropósitodelosscriptsXMLespermitiralosadministradoresdeTIcrearscriptspersonalizadosque sepuedanutilizarparadesplegarycongurarClientSecuritySolution.Losscriptssepuedenproteger medianteelejecutablexml_crypt_toolconunacontraseñatalcomoelcifradoAES.Unavezcreada,la máquinavirtual(vmserver.exe)aceptalosscriptscomoentrada.Lamáquinavirtualllamaalasmismas funcionesqueelAsistentedeconguracióndeClientSecuritySolutionparacongurarelsoftware.

TodoslosscriptsconstandeunaetiquetaparaespecicareltipodecodicaciónXML,elesquemaXMLy comomínimounafunciónarealizar.ElesquemaseutilizaparavalidarelarchivoXMLycomprobarsiexisten todoslosparámetrosnecesarios.Actualmentenosefuerzalautilizacióndelesquema.Cadafunciónestá entreetiquetasdefunción.Cadafuncióncontieneunaordenqueespecicaelordenenelquelamáquina virtual(vmserver.exe)ejecutaráelmandato.Cadaversióntienetambiénunnúmerodeversión;actualmente todaslasfuncionesestánenlaversión1.0.Cadaunodelossiguientesscriptsdeejemplosólocontieneuna función.Sinembargo,enlaprácticaunscriptcontendráposiblementevariasfunciones.ElAsistentede conguracióndeClientSecuritySolutionsepuedeutilizarparacrearunscriptdeestetipo.Paraobtener informaciónadicionalsobrelacreacióndescriptsconelasistentedeconguración,consulte“Asistentede conguracióndeClientSecuritySolution”enlapágina36

Nota:Siseomiteelparámetro<DOMAIN_NAME_PARAMETER>encualquieradelasfuncionesque requierenunnombrededominio,seutilizaráelnombredelsistemapredeterminado.

Ejemplos

LosmandatossiguientessonejemplosdelesquemaXML:

ENABLE_TPM_FUNCTION

EstemandatohabilitaelMódulodeplataformasegurayutilizaelargumentoSYSTEM_PAP .Sielsistema yatieneestablecidaunacontraseñadeadministradorosupervisordelBIOS,sedebeproporcionareste argumento.Delocontrario,estemandatoesopcional.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment>

<FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENABLE_TPM_FUNCTION</COMMAND> <VERSION>1.0</VERSION> <SYSTEM_PAP>PASSWORD</SYSTEM_PAP>

</FUNCTION>

</CSSFile>

Nota:Estemandatonorecibesoporteenlamodalidaddeemulación.

DISABLE_TPM_FUNCTION

EstemandatoutilizaelargumentoSYSTEM_PAP.Sielsistemayatieneestablecidaunacontraseñade administradorosupervisordelBIOS,sedebeproporcionaresteargumento.Delocontrario,estemandato esopcional.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

26ClientSecuritySolution8.21Guíadedespliegue

<registry_settings/> </tvt_deployment

<FUNCTION> <ORDER>0001</ORDER> <COMMAND>DISABLE_TPM_FUNCTION</COMMAND> <VERSION>1.0</VERSION> <SYSTEM_PAP>password</SYSTEM_PAP>

</FUNCTION>

</CSSFile>

Nota:Estemandatonorecibesoporteenlamodalidaddeemulación.

ENABLE_PWMGR_FUNCTION

EstemandatohabilitaPasswordManagerparatodoslosusuariosdeClientSecuritySolution.

<?xmlversion="1.0"encoding="UTF-8"standalone="no"?>

<CSSFilexmlns="www.lenovo.com/security/CSS">

<FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENABLE_PWMGR_FUNCTION</COMMAND> <VERSION>1.0</VERSION>

</FUNCTION>

</CSSFile>

ENABLE_CSS_GINA_FUNCTION

ParaWindows2000,XPyVista,estemandatohabilitaeliniciodesesióndeClientSecuritySolution:

-<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment

<FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENABLE_CSS_GINA_FUNCTION</COMMAND> <VERSION>1.0</VERSION>

</FUNCTION>

</CSSFile>

ENABLE_UPEK_GINA_FUNCTION

Notas:

1.EstemandatosolamenteesparaelSoftwaredehuellasdactilaresdeThinkVantage.

2.Estemandatonorecibesoporteenlamodalidaddeemulación.

ElmandatosiguientehabilitaeliniciodesesióndeWindowsdehuelladactilardeThinkVantageeinhabilitael iniciodesesióndeWindowsdeClientSecuritySolution.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment>

<ORDER>0001</ORDER> <COMMAND>ENABLE_UPEK_GINA_FUNCTION</COMMAND> <VERSION>1.0</VERSION>

</FUNCTION>

</CSSFile>

Capítulo3.CómotrabajarconClientSecuritySolution27

ENABLE_UPEK_GINA_WITH_FUS_FUNCTION

Notas:

1.EstemandatosolamenteesparaelSoftwaredehuellasdactilaresdeThinkVantage.

2.Estemandatonorecibesoporteenlamodalidaddeemulación.

Elmandatosiguientehabilitaeliniciodesesiónconelsoportedeconmutacióndeusuariorápidaeinhabilita eliniciodesesióndeWindowsdeClientSecuritySolution.Laconmutacióndeusuariorápidapuedeque noestéhabilitadasegúnlosvaloresdelsistema.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment

<ORDER>0001</ORDER> <COMMAND>ENABLE_UPEK_GINA_WIH_FUS_FUNCTION</COMMAND> <VERSION>1.0</VERSION>

</FUNCTION>

</CSSFile>

ENABLE_AUTHENTEC_GINA_FUNCTION

Notas:

1.EstemandatoessolamenteparaelSoftwaredehuellasdactilaresdeLenovo.

2.Estemandatonorecibesoporteenlamodalidaddeemulación.

ElmandatosiguientehabilitaeliniciodesesióndeWindowsdehuelladactilardeLenovoeinhabilitaelinicio desesióndeWindowsdeClientSecuritySolution.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment>

<ORDER>0001</ORDER> <COMMAND>ENABLE_AUTHENTEC_GINA_FUNCTION</COMMAND> <VERSION>1.0</VERSION>

</FUNCTION>

</CSSFile>

ENABLE_AUTHENTEC_GINA_WITH_FUS_FUNCTION

Notas:

1.EstemandatoessolamenteparaelSoftwaredehuellasdactilaresdeLenovo.

2.Estemandatonorecibesoporteenlamodalidaddeemulación.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment

<ORDER>0001</ORDER> <COMMAND>ENABLE_AUTHENTEC_GINA_WIH_FUS_FUNCTION</COMMAND> <VERSION>1.0</VERSION>

28ClientSecuritySolution8.21Guíadedespliegue

</FUNCTION>

</CSSFile>

ENABLE_NONE_GINA_FUNCTION

SisehahabilitadoeliniciodesesióndealgunodeloscomponentesdeTVTrelacionadosconGINA comoporejemploelSoftwaredehuellasdactilaresdeThinkVantage,ClientSecuritySolutionoAccess Connection,estemandatoinhabilitarálosiniciosdesesióndelSoftwaredehuellasdactilaresde ThinkVantageydeClientSecuritySolution.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment

<FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENABLE_CSS_NONE_FUNCTION</COMMAND> <VERSION>1.0</VERSION>

</FUNCTION>

</CSSFile>

Nota:Estemandatonorecibesoporteenlamodalidaddeemulación.

SET_PP_FLAG_FUNCTION

EstemandatograbaundistintivoqueClientSecuritySolutionleeparadeterminarsisedebeutilizarlafrase depasodeClientSecurityounacontraseñadeWindows.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment

<COMMAND>SET_PP_FLAG_FUNCTION</COMMAND> <PP_FLAG_SETTING_PARAMETER>USE_CSS_PP</PP_FLAG_SETTING_PARAMETER> <VERSION>1.0</VERSION> </FUNCTION>

</CSSFile>

Nota:Estemandatonorecibesoporteenlamodalidaddeemulación.

SET_ADMIN_USER_FUNCTION

EstemandatograbaundistintivoqueClientSecuritySolutionleeparadeterminarquiéneseladministrador. Losparámetrossonlossiguientes:

•USER_NAME_PARAMETER Nombredeusuariodeladministrador.

•DOMAIN_NAME_PARAMETER Nombrededominiodeladministrador.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment

<FUNCTION> <ORDER>0001</ORDER> <COMMAND>SET_ADMIN_USER_FUNCTION</COMMAND> <USER_NAME_PARAMETER>sabedi</USER_NAME_PARAMETER>

Capítulo3.CómotrabajarconClientSecuritySolution29

<DOMAIN_NAME_PARAMETER>IBM-2AA92582C79<DOMAIN_NAME_PARAMETER> <VERSION>1.0</VERSION> <SYSTEM_PAP>PASSWORD</SYSTEM_PAP>

</FUNCTION>

</CSSFile>

Nota:Estemandatonorecibesoporteenlamodalidaddeemulación.

INITIALIZE_SYSTEM_FUNCTION

EstemandatoinicializalafuncióndelsistemadeClientSecuritySolution.Lasclavesaplicablesatodoel sistemasegeneranmedianteestallamadadefunción.Lasiguientelistadeparámetrosexplicacadafunción:

•NEW_OWNER_AUTH_DAT A_PARAMETER Esteparámetroseutilizaparaestablecerlanuevacontraseñadeusuarioparaelsistema.Paralanueva contraseñadepropietario,elvalordeesteparámetroestácontroladoporlacontraseñadepropietario actual.Sinoseestablecelacontraseñadepropietarioactual,elvalorpasadoparaesteargumentose convertiráenlanuevacontraseñadepropietario.Siyaestáestablecidalacontraseñadepropietario actualyeladministradorutilizalamismacontraseñadepropietarioactual,sepasaráesevaloreneste parámetro.Sieladministradorutilizaunanuevacontraseñadepropietario,lanuevacontraseñade propietariosepasaráenesteparámetro.

•CURRENT_OWNER_AUTH_DAT A_PARAMETER Esteparámetroeslacontraseñadepropietarioactualdelsistema.Sielsistemayatieneunacontraseña depropietarioexistente,esteparámetrodebepasarlacontraseñaanterior.Sisesolicitaunanueva contraseñadepropietario,sedebepasarlacontraseñadepropietarioactualenesteparámetro.Sinose conguraningúncambiodecontraseña,sepasaelvalorNO_CURRENT_OWNER_AUTH.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment

<ORDER>0001</ORDER> <COMMAND>INITIALIZE_SYSTEM_FUNCTION</COMMAND> <NEW_OWNER_AUTH_DATA_PARAMETER>pass1word</NEW_OWNER_AUTH_DATA_

PARAMETER>

<CURRENT_OWNER_AUTH_DATA_PARAMETER>No_CURRENT_OWNER_AUTH</CURRENT

_OWNER_AUTH_DATA_PARAMETER>

</FUNCTION>

</CSSFile>

CHANGE_TPM_OWNER_AUTH_FUNCTION

EstemandatocambialaautorizacióndeadministradordeClientSecuritySolutionyactualizalasclaves delsistemaenconsecuencia.Lasclavesaplicablesatodoelsistemasevuelvenagenerarmedianteesta llamadadefunción.Losparámetrossonlossiguientes:

•NEW_OWNER_AUTH_DATA_PARAMETER NuevacontraseñadepropietariodelMódulodeplataformasegura.

•CURRENT_OWNER_AUTH_DATA_PARAMETER ContraseñadepropietarioactualdelMódulodeplataformasegura.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment

30ClientSecuritySolution8.21Guíadedespliegue

<ORDER>0001</ORDER> <COMMAND>CHANGE_TPM_OWNER_AUTH_FUNCTION</COMMAND> <NEW_OWNER_AUTH_DATA_PARAMETER>newPassWord</NEW_OWNER_AUTH_DATA_

PARAMETER>

<CURRENT_OWNER_AUTH_DATA_PARAMETER>oldPassWord</CURRENT_OWNER_AUTH

_DATA_PARAMETER>

</FUNCTION>

</CSSFile>

Nota:Estemandatonorecibesoporteenlamodalidaddeemulación.

ENROLL_USER_FUNCTION

EstemandatoregistraunusuariodeterminadoparautilizarClientSecuritySolution.Estafuncióncreatodas lasclavesdeseguridadespecícasdelusuarioparaunusuariodeterminado.Losparámetrossonlos siguientes:

•USER_NAME_PARAMETER Nombredeusuariodelusuarioqueseregistrará.

•DOMAIN_NAME_PARAMETER Nombrededominiodelusuarioqueseregistrará.

•USER_AUTH_DAT A_PARAMETER FrasedepasodelMódulodeplataformaseguraocontraseñadeWindowsconlaquesecrearánlas clavesdeseguridaddeusuario.

•WIN_PW_PARAMETER LacontraseñadeWindows.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment

<FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENROLL_USER_FUNCTION</COMMAND> <USER_NAME_PARAMETER>sabedi</USER_NAME_PARAMETER> <DOMAIN_NAME_PARAMETER>IBM-2AA92582C79<DOMAIN_NAME_PARAMETER> <USER_AUTH_DATA_PARAMETER>myCssUserPassPhrase</USER_AUTH_DATA_PARAMETER>

<WIN_PW_PARAMETER>myWindowsPassword</WIN_PW_PARAMETER>

</CSSFile>

USER_PW_RECOVERY_FUNCTION

Estemandatoconguraunarecuperacióndecontraseñadeunusuariodeterminado.Losparámetros sonlossiguientes:

•USER_NAME_PARAMETER Nombredeusuariodelusuarioqueseregistrará.

•DOMAIN_NAME_PARAMETER Nombrededominiodelusuarioqueseregistrará.

•USER_PW_REC_QUESTION_COUNT Númerodepreguntasqueelusuariodeberesponder.

Capítulo3.CómotrabajarconClientSecuritySolution31

•USER_PW_REC_ANSWER_DATA_PARAMETER Respuestaalmacenadaaunapreguntadeterminada.Elnombrerealdeesteparámetroestáconectadoa unnúmeroquesecorrespondeconlapreguntaalaqueresponde.

•USER_PW_REC_STORED_PASSWORD_PARAMETER Contraseñaalmacenadaquesepresentaalusuariounavezquesehancontestadotodaslaspreguntas correctamente.

<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">

<registry_settings/> </tvt_deployment

<FUNCTION> <ORDER>0001</ORDER> <COMMAND>USER_PW_RECOVERY_FUNCTION</COMMAND> <USER_NAME_PARAMETER>sabedi</USER_NAME_PARAMETER> <DOMAIN_NAME_PARAMETER>IBM-2AA92582C79<DOMAIN_NAME_PARAMETER> <USER_PW_REC_ANSWER_DATA_PARAMETER>Test1</USER_PW_REC_ANSWER_DATA_PARA

METER>

<USER_PW_REC_ANSWER_DATA_PARAMETER>Test2</USER_PW_REC_ANSWER_DATA_PARA

METER>

<USER_PW_REC_ANSWER_DATA_PARAMETER>Test3</USER_PW_REC_ANSWER_DATA_PARA

METER> <USER_PW_REC_QUESTION_COUNT>3</USER_PW_REC_QUESTION_COUNT> <USER_PW_REC_QUESTION_LIST>20000,20001,20002</USER_PW_REC_QUESTION_LIST>

</USER_PW_REC_STORED_PASSWORD_PARAMETER>Pass1word</USER_PW_REC_STORED_PASS

WORD_PARAMETER> <VERSION>1.0</VERSION>

</FUNCTION>

</CSSFile>

GENERATE_MUL TI_FACTOR_DEVICE_FUNCTION

EstemandatogeneralosdispositivosdevariosfactoresdeClientSecuritySolutionutilizadosparala autenticación.Losparámetrossonlossiguientes:

•USER_NAME_PARAMETER-Nombredeusuariodeladministrador.

•DOMAIN_NAME_PARAMETER-Nombrededominiodeladministrador.

•MULTI_FACTOR_DEVICE_USER_AUTH-FrasedepasodeClientSecurityocontraseñadeWindows paracrearlasclavesdeseguridaddeusuario.

<?xmlversion="1.0"encoding="UTF-8"standalone="no"?>

<CSSFile=xmlns="www.ibm.com/security/CSS"> <FUNCTION> <ORDER>0001</ORDER> <COMMAND>GENERATE_MULTI_FACTOR_DEVICE_FUNCTION</COMMAND> <USER_NAME_PARAMETER>myUserName</USER_NAME_PARAMETER> <DOMAIN_NAME_PARAMETER>domainName</DOMAIN_NAME_PARAMETER> <MULTI_FACTOR_DEVICE_USER_AUTH>myCssUserPassPhrase</MUL TI_FACTOR_DEVICE_USER_AUTH> <VERSION>1.0</VERSION> </FUNCTION>

</CSSFile>

SETUP_PDA_FUNCTION

EstemandatoconguraelÁreapreviaalescritorioparasuusoconClientSecuritySolution:

<?xmlversion="1.0"encoding="UTF-8"standalone="no"?> <CSSFile=xmlns="www.ibm.com/security/CSS"> <FUNCTION> <ORDER>0001</ORDER> <COMMAND>SETUP_PDA_FUNCTION</COMMAND>

32ClientSecuritySolution8.21Guíadedespliegue

</CSSFile>

SET_USER_AUTH_FUNCTION

EstemandatoestablecelaautenticacióndeusuariodeClientSecuritySolution:

<?xmlversion="1.0"encoding="UTF-8"standalone="no"?> <CSSFile=xmlns="www.ibm.com/security/CSS"> <FUNCTION> <ORDER>0001</ORDER> <COMMAND>SET_USER_AUTH_FUNCTION</COMMAND> <VERSION>1.0</VERSION> </FUNCTION>

</CSSFile>

UtilizacióndeseñalesRSASecurID

Aprovechandoelmétododealgoritmodecifradodelosdatosdecifrado,lautilizacióndelasseñalesRSA SecurIDademásdeClientSecuritySolutionproporcionaráseguridaddemúltiplesfactores.Utilizando señalesRSASecurID,losusuariosseautenticanenlasredesyelsoftwareutilizandosuIDdeusuarioo PINyundispositivodeseñal.Eldispositivodeseñalmuestraunaseriedenúmerosquecambiancada sesentasegundos.Estemétododeautenticaciónproporcionaunnivelmuchomásabledeautenticación deusuarioquelascontraseñasreutilizables.

InstalacióndelaseñaldesoftwareRSASecurID

CompletelospasossiguientesparainstalarelsoftwareRSASecurID:

1.Vayaalsiguientesitioweb: http://www.rsasecurity.com/node.asp?id=1156

2.Completeelprocesoderegistro.

3.DescargueeinstaleelsoftwareRSASecurID.

Requisitos

1.CadausuariodeWindowsdebeestarregistradoconClientSecuritySolutionparaqueelsoftwarede RSAfuncionecorrectamentedespuésdehabersidoasociadoconClientSecuritySolution.

2.ElsoftwaredeRSAentraráenunbucleinnitointentandolaautenticaciónconunusuariodeWindows quenoestáregistradoenClientSecuritySolution.RegistreelusuarioconClientSecuritySolution parasolucionaresteproblema.

EstablecimientodelasopcionesdeaccesodelaSmartCard

ParaestablecerlasopcionesdeaccesodelaSmartCard,completelospasossiguientes:

1.EnelmenúprincipaldeRSASecurID,pulseToolsyluegoSmartCardAccessOptions.

2.EnelpanelSmartCardCommunication,seleccioneelbotóndeseleccióndeAccesstheSmartCard throughaPKCS#11module.

3.PulseelbotónBrowseynaveguehastalasiguientevíadeacceso: C:\ProgramFiles\LENOVO\ClientSecuritySolution\csspkcs11.dll.

4.Pulseelarchivocsspkcs11.dllyluegopulseSelect.

5.PulseOK.

Capítulo3.CómotrabajarconClientSecuritySolution33

InstalaciónmanualdelaseñaldesoftwareRSASecurID

ParaaprovecharlaproteccióndeClientSecuritySolutionconlaseñaldesoftwaredeRSASecurID, completelospasossiguientes:

1.EnelmenúprincipaldeRSASecurIDSoftwareToken,pulseFiley,acontinuación,pulseImportTokens.

2.NaveguehastalaubicacióndelarchivoSDTIDyluegopulseOpen.

3.EnelpanelSelectToken(s)toInstall,resaltelosnúmerosdeseriedelasseñalesdesoftwareque desee.

4.PulseTransferSelectedTokensSmartCard.

Nota:Silaseñaltieneunacontraseñadedistribución,especiquelacontraseñacuandoselesolicite.

5.PulseOK.

SoportedeActiveDirectory

LasiguientevíadeaccesoproporcionalavíadeaccesodeldirectorioparaelmóduloPKCS#11deClient SecuritySolution:

C:\ProgramFiles\Lenovo\ClientSecuritySolution\csspkcs11.dll

ParaaprovecharelmóduloPKCS#11deClientSecuritySolution,sedebenestablecerlaspolíticas siguientesparaActiveDirectory:

1.FirmaPKCS#11

2.DescifradoPKCS#11

LatablasiguienteproporcionaelcampoyladescripciónmodicablesdelaspolíticasdePKCS#11:

Tabla10.ThinkVantage\ClientSecuritySolution\Políticasdeautenticación\FirmaPKCS#11\Modalidadde personalización

CamposCSS.ADM

Campomodicable DescripcióndelcampoControlasisenecesitacontraseñaofrasedepaso. Valoresposibles•Habilitado

Necesario

–Cadavez –Unavezporcadainiciodesesión

•Deshabilitado

•Nocongurado

Valoresypolíticasparalaautenticaciónconellectordehuellas dactilares

Opciónomisióndehuelladactilarobligada

Laopcióndeomisióndelahuelladactilarpermitequeunusuarioomitalaautenticacióndehuelladactilary utiliceunacontraseñadeWindowsparainiciarlasesión.Elusuariopuedeseleccionarodeseleccionaresta opciónenlainterfazdeusuariodePasswordManagercuandoañadeunaentradanueva.

Sinembargo,deformapredeterminada,laomisióndelahuelladactilarsehabilitaaunquenoseseleccione laopción.EstoesasíparapermitirqueelusuarioinicielasesiónenWindowscuandoelsensordehuellas

34ClientSecuritySolution8.21Guíadedespliegue

dactilaresnoesfuncional.Parainhabilitarlaopcióndeomisióndehuelladactilarobligada,editelasiguiente clavederegistro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Lenovo\ClientSecuritySolution\CSSConguration] "GinaDenyLogonDeviceNonEnrolled"=dword:00000001

Cuandolaclavederegistroestáestablecidacomoseindicabaanteriormente,elusuarionopuedeomitirla autenticacióndelahuelladactilarsielsensordehuellasdactilaresnofunciona.

Resultadodepasareldedoporeldispositivodehuelladactilar

Durantelaautenticacióndelahuelladactilar,lapolíticasiguienteeslaencargadadecontrolarlavisualización delosresultadosdepasareldedoporeldispositivodehuelladactilar.

HKLM\Lenovo\TVTCommon\ClientSecuritySolution\FPSwipeResult

•FPSwipeResult=0:Muestratodoslosmensajes.

•FPSwipeResult=1:Muestrasolamentelosmensajesdeanomalía(valorpredeterminado).

•FPSwipeResult=2:Nomostrarningúnmensaje.

Herramientasdelalíneademandatos

LosadministradoresdeTIdelaempresatambiénpuedenimplementarlasfuncionesdeThinkVantage Technologiesdeformalocaloremotamediantelainterfazdelalíneademandatos.Losvaloresde conguraciónsepuedenmantenermediantevaloresdelarchivodetextoremoto.

ClientSecuritySolutioncontienelassiguientesherramientasdelalíneademandatos:

•“SecurityAdvisor”enlapágina35

•“AsistentedeconguracióndeClientSecuritySolution”enlapágina36

•“Herramientadecifradoodescifradodelarchivodedespliegue”enlapágina37

•“Herramientadeprocesodelarchivodedespliegue”enlapágina38

•“TPMENABLE.EXE”enlapágina38

•“Herramientadetransferenciadecerticados”enlapágina38

•“HerramientadeactivacióndeTPM”enlapágina39

SecurityAdvisor

ParaejecutarSecurityAdvisordesdeClientSecuritySolution,pulse

Inicio->Programas->ThinkVantage->ClientSecuritySolution.PulseAvanzadasyseleccioneValoresde seguridaddeauditoría.EjecutaC:\Archivosdeprograma\Lenovo\CommonFiles\WST\wst.exeparauna

instalaciónpredeterminada.

Losparámetrossonlossiguientes:

Tabla11.Parámetros

ParámetrosDescripción

HardwarePasswords

PowerOnPassword

HardDrivePassword

Estableceelvalordelacontraseñadehardware. 1mostraráestasección,0laocultará.Elvalor predeterminadoes1.

Estableceelvalordequesedebehabilitarunacontraseña deencendido,oelvalorapareceráresaltado.

Estableceelvalordequesedebehabilitarunacontraseña dediscoduro,oelvalorapareceráresaltado.

Capítulo3.CómotrabajarconClientSecuritySolution35

Tabla11.Parámetros(continuación)

ParámetrosDescripción

AdministratorPassword

WindowsUsersPasswords

Contraseña

PasswordAge

PasswordNeverExpires

WindowsPasswordPolicy

MinimumPasswordLength

MaximumPasswordAge

ScreenSaverEstableceelvalordelprotectordepantalla.1mostrará

ScreenSaverPasswordSet

ScreenSaverTimeoutEstableceelvalordecuáldebesereltiempodeespera

FileSharingEstableceelvalordelacomparticióndearchivos.1

AuthorizedAccessOnly

ClientSecurityEstableceelvalordeClientSecurity.1mostraráesta

EmbeddedSecurityChip

ClientSecuritySolutionEstableceelvalordequéversióndeClientSecurity

Estableceelvalordequesedebehabilitarunacontraseña deadministrador,oelvalorapareceráresaltado.

Estableceelvalordelacontraseñadeusuariode Windows.1mostraráestasección,0laocultará.Sino estápresente,semuestradeformapredeterminada.

Estableceelvalordequesedebehabilitarlacontraseña deusuario,oelvalorapareceráresaltado.

Estableceelvalordecuáldebeserlaantigüedadde lacontraseñadeWindowsenestamáquina,oelvalor apareceráresaltado.

EstableceelvalordequelacontraseñadeWindows nuncacaducará,oelvalorapareceráresaltado.

Estableceelvalordelapolíticadecontraseñade Windows.1mostraráestasección,0laocultará.Sino estápresente,semuestradeformapredeterminada.

Estableceelvalordecuáldebeserlalongitudde lacontraseñaenestamáquina,oelvaloraparecerá resaltado.

Estableceelvalordecuáldebeserlaantigüedadde lacontraseñaenestamáquina,oelvaloraparecerá resaltado.

estasección,0laocultará.Sinoestápresente,se muestradeformapredeterminada.

Estableceelvalordequeelprotectordepantalladebe tenercontraseña,oelvalorapareceráresaltado.

delprotectordepantallaenestamáquina,oelvalor apareceráresaltado.

mostraráestasección,0laocultará.Sinoestápresente, semuestradeformapredeterminada.

Estableceelvalordequesedebeestablecerelacceso autorizadoparalacomparticióndearchivos,oelvalor apareceráresaltado.

sección,0laocultará.Sinoestápresente,semuestra deformapredeterminada.

Estableceelvalordequesedebehabilitarelchipde seguridad,oelvalorapareceráresaltado.

Solutiondebeestarenestamáquina,oelvaloraparecerá resaltado.

AsistentedeconguracióndeClientSecuritySolution

ElAsistentedeconguracióndeClientSecuritySolutionseutilizaparagenerarscriptsdedespliegue mediantearchivosXML.Elsiguientemandatovisualizalasdistintasfuncionesdelasistente:

"C:\ProgramFiles\Lenovo\ClientSecuritySolution\css_wizard.exe"/?

36ClientSecuritySolution8.21Guíadedespliegue

LatablasiguienteproporcionalosmandatosparaelAsistentedeconguracióndeClientSecuritySolution.

Tabla12.MandatosparaelasistentedeconguracióndeClientSecuritySolution

ParámetroResultado

/ho/? /name:NOMBREARCHIVOPrecedealavíadeaccesocalicadatotalmenteyal

/encryptCifraelarchivoscriptutilizandocifradoAES.Siestá

/pass:Precedealafrasedepasoparalaproteccióndelarchivo

/novalidateInhabilitalascapacidadesdecomprobaciónde

Visualizaelrecuadrodemensajedeayuda

nombredearchivodelarchivodedesplieguegenerado. Elarchivotendráunaextensión.xml.

cifrado,alnombredearchivoseañadirálaextensión.enc. Sinoseutilizaelmandato/pass,seutilizaunafrasede pasoestáticaparaocultarelarchivo.

dedesplieguecifrado.

contraseñayfrasedepasodelasistente,deformaque sepuedegenerarunarchivoscriptenunamáquinaya congurada.Porejemplo,esposiblequelacontraseñade administradorenlamáquinaactualnosealacontraseña deadministradorquesedeseetenerentodalaempresa. Utiliceelmandato/novalidateparaquepuedaescribir unacontraseñadeadministradordistintaenlaGUIde css_wizarddurantelacreacióndelarchivoxml.

Ejemplo:

css_wizard.exe/encrypt/pass:mysecret/name:C:\DeployScript/novalidate

Herramientadecifradoodescifradodelarchivodedespliegue

EstaherramientaseutilizaparacifrarodescifrarlosarchivosdedespliegueXMLdeClientSecurity.El siguientemandatovisualizalasdistintasfuncionesdelaherramienta:

"C:\ProgramFiles\Lenovo\ClientSecuritySolution\xml_crypt_tool.exe"/?

Losparámetrossemuestranenlatablasiguiente:

Tabla13.ParámetrosparaelcifradoodescifradodearchivosdedespliegueXMLdeClientSecurity

ParámetrosResultados

/ho/? FILENAME

encryptodecrypt

PASSPHRASEVisualizaelparámetroopcionalqueesnecesariosise

Ejemplos:

xml_crypt_tool.exe"C:\DeployScript.xml"/encrypt"mysecret"

xml_crypt_tool.exe"C:\DeployScript.xml.enc"/decrypt"mysecret"

Visualizaelmensajedeayuda

Visualizaelnombredevíadeaccesoyelnombrede archivoconlaextensión.xmlo.enc

Selecciona/encryptparaarchivos.xmly/decryptpara archivos.enc

utilizaunafrasedepasoparaprotegerelarchivo.

Capítulo3.CómotrabajarconClientSecuritySolution37

Herramientadeprocesodelarchivodedespliegue

Laherramientavmserver.exeprocesalosscriptsdedespliegueXMLdeClientSecuritySolution.Elsiguiente mandatovisualizalasdistintasfuncionesdelasistente:

"C:\ProgramFiles\Lenovo\ClientSecuritySolution\vmserver .exe"/?

Latablasiguienteproporcionalosparámetrosparaprocesararchivos.

Tabla14.Parámetrosparaelprocesodearchivos

ParámetroResultado

FILENAME

PASSPHRASEElparámetroPASSPHRASEseutilizaparadescifrarun

ElparámetroFILENAMEdebetenerunaextensiónde archivoXMLoENC

archivoconlaextensiónENC

Ejemplo:

Vmserver.exeC:\DeployScript.xml.enc"mysecret"

TPMENABLE.EXE

Elarchivotpmenable.exeseutilizaparaactivarodesactivarelchipdeseguridad.

Tabla15.Parámetrosparaelarchivotpmenable.exe

ParámetroDescripción

/enableo/disable /quietOcultalosindicadoresdesolicitudparalacontraseñao

sp:contraseñaParaWindows2000yXPsolamente,paralacontraseña

Activaodesactivaelchipdeseguridad.

loserroresdelBIOS.

deadministrador/supervisordelBIOSnoutilicecomillas alrededordelacontraseña.

Ejemplo:

tpmenable.exe/enable/quiet/sp:MyBiosPW

Herramientadetransferenciadecerticados

LatablasiguienteproporcionalosconmutadoresdelalíneademandatosdelaherramientaTransferenciade certicadosdeClientSecuritySolution:

Tabla16.css_cert_transfer_tool.exe<cert_store_type><lter_type>:<name|size>|all_access|usage

ParámetroDescripción

<cert_store_type>

Ejemplos:

cert_store_user

cert_store_machine

cert_store_all

Eselprimerparámetronecesario.Sedebeutilizarcomoelprimer conmutadorydebeincluirunodelosejemplossiguientes:

Transeresolamentecerticadosdeusuario.Los certicadosdeusuarioseasignanalusuarioactual.

Transeresolamentecerticadosdemáquina.Los certicadosdemáquinalospuedenutilizartodoslos usuariosautorizadosenunamáquina.

Transeretantotiposdecerticadodeusuariocomode máquina.

38ClientSecuritySolution8.21Guíadedespliegue

Tabla16.css_cert_transfer_tool.exe<cert_store_type><lter_type>:<name|size>|all_access|usage(continuación)

ParámetroDescripción

<lter_type>:<name|size>

Ejemplos:

Lossiguientesdosconmutadoressonindependientes;notienenunsegundoargumento: all_access usage

subject_simple_name:<name>

subject_friendly_name:<name>Transeretodosloscerticadosquecoincidanconel

issuer_simple_name:<name>

ssuer_friendly_name:<name>Transeretodosloscerticadosquecoincidanconel

key_size:<size>

Transeretodosloscerticados,nolosltra. Noproporcionainformaciónsobrelalíneademandatos,perolafunciónqueseutilizaparadeterminar

elusocorrectoseconvertiráenverdaderaofalsasilosmandatosquesepasansoncorrectosono.

Setratadelsegundoparámetronecesario.Debeutilizarsedespués delparámetronecesario<cert_store_type>.Cadatipodeltro(salvo elqueseindicaacontinuación)debellevarunsignodedospuntos: despuésydebetenerelnombredeltemadelcerticado,laautorización oeltamañodelaclavequesebuscainmediatamentedespuésdelos dospuntos.Esteprogramadeutilidadessensiblealasmayúsculasy minúsculasysielnombrequebuscaesunnombrecompuesto,como porejemplo“AutorizaciónCA” ,tendráqueutilizarlascomillas“”enel criteriodebúsqueda(fíjeseenlosejemplos).

Transeretodosloscerticadosquecoincidanconel nombrequeemiteelcerticado,siendoelnombredel <name>.

nombrefamiliarqueemiteelcerticado,siendoelnombre familiar<name>.

Transeretodosloscerticadosquecoincidanconel nombredelaentidademisoradecerticadosquelosha emitido,siendoelnombredelaentidad<name>.

nombrefamiliardelaentidademisoradecerticadosque loshaemitido,siendoelnombrefamiliardelaentidad <name>.

Transeretodosloscerticadosquesehancifradoconel tamañodeclave<size>enbits.Observequesetratadeun criteriodecoincidenciaexacto;elprogramanobuscará certicadoscifradosconuntamañodeclavequeseamás omenosdelmismotamaño.

HerramientadeactivacióndeTPM

Elarchivotpm_activate_cmd.exeseutilizaparaactivarodesactivarTPMenelsistemaLenovo.

Nota:Necesitaprivilegiosdeadministradorparaejecutarestemandato.

Tabla17.ParámetrosparaactivarodesactivarTPMensistemasLenovo

ParámetroDescripción

/helpo/?Muestralalistadeparámetros. /biospw:contraseña

/deactivate

/verbose

Especicalacontraseñadelsupervisorodel administradordelBIOSsisehaestablecidoalguna.

DesactivaTPM. Nota:Siejecutaruntpm_activate_cmd.exesinel parámetro/deactivate,deformapredeterminada, activaráTPM.

Muestraunasalidadetexto.

Capítulo3.CómotrabajarconClientSecuritySolution39

Ejemplo:

tpm_activate_cmd.exe/? tpm_activate_cmd.exe/verbose tpm_activate_cmd.exe/biospw:pass

SoportedeActiveDirectory

ActiveDirectoryesunserviciodedirectorios.Eldirectorioesdondesealmacenalainformaciónsobrelos usuariosylosrecursos.Elserviciodedirectoriospermiteelacceso,deformaquesepuedemanipular estosrecursos.

ActiveDirectoryproporcionaunmecanismoqueotorgaalosadministradoreslacapacidaddegestionar sistemas,usuarios,dominios,políticasdeseguridadycualquiertipodeobjetosdenidosporelusuario. ElmecanismoutilizadoporActiveDirectorypararealizarestoseconocecomoPolíticadegrupos.Con laPolíticadegrupos,losadministradoresdenenvaloresquesepuedenaplicaralossistemasoalos usuariosdeldominio.

LosproductosdeTecnologíaThinkVantageutilizanactualmenteunavariedaddemétodospararecopilar valoresutilizadosandecontrolarvaloresdelprograma,incluyendoleerentradasespecícasderegistro denidasporlaaplicación.

LosejemplossiguientessonvaloresqueActiveDirectorypuedegestionarparaClientSecuritySolution:

•Políticasdeseguridad.

•Políticasdeseguridadpersonalizadas;comoporejemplosidebeutilizarunacontraseñadeWindows ounafrasedepasodeClientSecuritySolution.

Archivosdeplantillaadministrativa(ADM)

ElarchivodeplantillaADM(administrativa)denevaloresdepolíticautilizadosporlasaplicacionesen lossistemascliente.Laspolíticassonvaloresespecícosquerigenelcomportamientodelaaplicación. Además,losvaloresdepolíticadenensisepermitiráalusuarioestablecervaloresespecícosenla aplicación.

Losvaloresdenidosporunadministradorenelservidorsedenencomopolíticas.Losvaloresdenidos porunusuarioenelsistemaclienteparaunaaplicaciónsedenencomopreferencias.Comodene Microsoft,losvaloresdepolíticatienenprioridadsobrelaspreferencias.

Porejemplo,unusuariopuedeponerunaimagendefondoensuescritorio.Esteeselvalordepreferencia delusuario.Unadministradorpuededenirunvalorenelservidorquedictequeunusuariodebeutilizaruna imagendefondoespecíca.Elvalordelapolíticadeadministradormodicarálapreferenciaestablecidapor elusuario.

CuandounproductodeTecnologíaThinkVantagecompruebaunvalor,buscaráelvalorenelordensiguiente:

•Políticasdelsistema

•Políticasdelusuario

•Políticasdelusuariopredeterminadas

•Preferenciasdelsistema

•Preferenciasdelusuario

•Preferenciaspredeterminadasdelusuario

Comosehadescritoanteriormente,laspolíticasdelsistemaydelusuariolasdeneeladministrador. EstosvaloressepuedeninicializarmedianteelarchivodeconguraciónXMLomedianteunaPolíticade

40ClientSecuritySolution8.21Guíadedespliegue

grupoenActiveDirectory.Laspreferenciasdelsistemaydelusuariolasestableceelusuarioenelsistema clientemediantelasopcionesdelainterfazdelasaplicaciones.ElscriptdeconguraciónXMLinicializalas preferenciaspredeterminadasdelusuario.Losusuariosnocambianlosvaloresdirectamente.Loscambios realizadosenestosvaloresporunusuarioseactualizaránenlaspreferenciasdelusuario.

LosclientesquenoutilicenActiveDirectorypuedencrearunconjuntopredeterminadodevaloresdepolítica paraquesedesplieguenenlossistemascliente.Losadministradorespuedenmodicarlosscriptsde conguraciónXMLyespecicarqueseprocesendurantelainstalacióndelproducto.

Denicióndevaloresgestionables

Elejemplosiguientemostrarálosvaloreseneleditordepolíticasdegrupoutilizandolasiguientejerarquía:

ComputerConguration>AdministrativeTemplates>ThinkVantageT echnologies> ClientSecuritySolution>AuthenticationPolicies>MaxRetries> Passwordnumberofretries

LosarchivosADMindicanenquélugardelregistrosereejaránlosvalores.Estosvaloresestaránubicados enlassiguientesubicacionesderegistro:

Computerpolicies: HKLM\Software\Policies\Lenovo\ClientSecuritySolution\ Userpolicies: HKCU\Software\Policies\Lenovo\ClientSecuritySolution\ Def aultuserpolicies: HKLM\Software\Policies\Lenovo\ClientSecuritySolution\Userdef aults Computerpref erences: HKLM\Software\Lenovo\ClientSecuritySolution\ Userpref erences: HKCU\Software\Lenovo\ClientSecuritySolution\ Def aultuserpreferences: HKLM\Software\Lenovo\ClientSecuritySolution\Userdef aults

Valoresdelapolíticadegrupo

LastablasdeestasecciónproporcionanvaloresdepolíticaparalaConguracióndelsistemayla ConguracióndeusuarioparaClientSecuritySolution.

Númeromáximodereintentos

LatablasiguienteproporcionavaloresdepolíticaparalasPolíticasdeautenticación,Númeromáximode reintentos.

Tabla18.Conguracióndelsistema➙ThinkVantage➙ClientSecuritySolution➙Políticasdeautenticación➙ Númeromáximodereintentos

PolíticaValorhabilitadodescripción

Númerodereintentos decontraseña

Númerodereintentos defrasedepaso

Númerodereintentos mediantehuelladactilar

Elnúmeromáximo dereintentoses20.

Controlaelnúmeromáximodevecesqueunusuariopuedeintentar autenticarsemediantelacontraseñadeWindowsantesderecurrira modicartemporalmentelapolítica.

Controlaelnúmeromáximodevecesqueunusuariopuedeintentar autenticarsemediantelafrasedepasodeClientSecurityantesde recurriramodicartemporalmentelapolítica.

Controlaelnúmeromáximodevecesqueunusuariointenta autenticarsemediantelahuelladactilarantesderecurriraalterar temporalmentelapolítica.

Capítulo3.CómotrabajarconClientSecuritySolution41

Modalidadsegura

LatablasiguienteproporcionavaloresdepolíticaparalasPolíticasdeautenticación,Modalidadsegura.

Tabla19.Conguracióndelsistema➙Plantillasadministrativas➙ThinkVantage➙ClientSecuritySolution ➙Políticasdeautenticación➙Modalidadsegura

PolíticaValoreshabilitadosdescripción ContraseñaEstablecelafrecuenciaenCadavezoUnavezpor

iniciodesesión.

Passphrase

Fingerprint

Alterar temporalmente

EstablecelafrecuenciaenCadavezoUnavezpor iniciodesesión.

Establecequesealteretemporalmentela contraseña,frasedepasoohuelladactilar.

Controlasiesnecesariaunacontraseña.

Controlasiesnecesariaunafrasede paso.

Controlasiesnecesarialahuella dactilar.

Silaautenticaciónnormalfalla,dene losrequisitosdeautenticaciónalosque recurrir.

Modalidadpredeterminada

LatablasiguienteproporcionavaloresdepolíticaparalasPolíticasdeautenticación,Modalidad predeterminada.

Tabla20.Conguracióndelsistema➙Plantillasadministrativas➙ThinkVantage➙ClientSecuritySolution➙ Políticasdeautenticación➙Modalidadpredeterminada

PolíticaValoreshabilitadosdescripción ContraseñaPuedeestablecerlafrecuenciaaCadavezoUna

vezporiniciodesesión.

Passphrase

Fingerprint

Alterar temporalmente

PuedeestablecerlafrecuenciaaCadavezoUna vezporiniciodesesión.

Establecequesealteretemporalmentela contraseña,frasedepasoohuelladactilar.

Controlasiesnecesariaunacontraseña.

Controlasiesnecesariaunafrasede paso.

Controlasiesnecesarialahuella dactilar.

Silaautenticaciónnormalfalla,dene losrequisitosdeautenticaciónalosque recurrir.

Políticasdeautenticación

Lalistasiguientedepolíticascontienevaloreshabilitadosquedenenelniveldeautenticacióndecada política:

•NiveldeautenticacióndeiniciodesesióndeWindows

•Niveldeautenticacióndedesbloqueodelsistema

•NiveldeautenticacióndePasswordManager

•NiveldeautenticacióndermaCSP

•NiveldeautenticacióndecifradoCSP

•NiveldeautenticacióndermaPKCS#11

•NiveldeautenticacióndedescifradoPKCS#11

•NiveldeautenticacióndeiniciodesesióndePKCS#11

Latablasiguienteproporcionavaloresyparámetrosparalosnivelesdeautenticaciónanteriores:

42ClientSecuritySolution8.21Guíadedespliegue

Tabla21.Conguracióndelsistema➙Plantillasadministrativas➙ThinkVantage➙ClientSecuritySolution➙ Políticasdeautenticación

PolíticaValoreshabilitadosdescripción ContraseñaEstablecelafrecuenciaenCadavezoUnavezpor

iniciodesesión.

Passphrase

Fingerprint

Alterar temporalmente

EstablecelafrecuenciaenCadavezoUnavezpor iniciodesesión.

Establecequesealteretemporalmentela contraseña,frasedepasoohuelladactilar.

Controlasiesnecesariaunacontraseña.

Controlasiesnecesariaunafrasede paso.

Controlasiesnecesarialahuella dactilar.

Silaautenticaciónnormalfalla,dene losrequisitosdeautenticaciónalosque recurrir.

PasswordManager

LatablasiguienteproporcionavaloresdepolíticaparaPasswordManager.

Tabla22.Conguracióndelsistema➙ThinkVantage➙ClientSecuritySolution➙Passwordmanager

ValordepolíticaDescripción

InhabilitarPasswordManager InhabilitarsoportedeInternetExplorer

InhabilitarsoportedeMozilla

Inhabilitarsoporteparaaplicacones Windows

InhabilitarCompletardeforma automática

Inhabilitarsoportedeteclasdecambio demodalidad

Utilizarltrodedominios Dominiosprohibidos

URLprohibidos

MódulosprohibidosControlalasaplicacionesdeWindowsparalasqueseprohíbeaPassword

Tecladecambiodemodalidad Completardeformaautomática

TecladecambiodemodalidadEscribir ytransferir

TecladecambiodemodalidadGestionarControlalatecladecambiodemodalidadCtrl+Mayús+B.

ControlasiPasswordManagerseiniciarácuandoseinicieelsistema. ControlasiPasswordManagerpodráalmacenarcontraseñasdesde

InternetExplorer. ControlasiPasswordManagerpodráalmacenarcontraseñasdesde

navegadoresbasadosenMozilla,incluyendoFirefoxyNetscape. ControlasiPasswordManagerpodráalmacenarcontraseñasde

aplicacionesdeWindows. ControlasiPasswordManagercompletarádeformaautomáticadatosen

lossitioswebylasaplicacionesdeWindows. ControlasiPasswordManagerdarásoportealautilizacióndeteclasde

cambiodemodalidadparacompletardeformaautomáticadatosensitios webyaplicacionesdeWindows.

ControlasiPasswordManagerltrarásitioswebenbasealosdominios. ControlalosdominiosparalosqueseprohíbeaPasswordManager

almacenarcontraseñas. ControlalosURLparalosqueseprohíbeaPasswordManageralmacenar

contraseñas.

Manageralmacenarcontraseñas. ControlalatecladecambiodemodalidaddeCompletardeforma

automáticaCtrl+F2. ControlalatecladecambiodemodalidadEscribirytransferir

Ctrl+Mayús+H.

UserInterface

Latablasiguienteproporcionavaloresdepolíticaparalainterfazdeusuario.

Capítulo3.CómotrabajarconClientSecuritySolution43

Tabla23.Conguracióndelsistema➙ThinkVantage➙ClientSecuritySolution➙Interfazdeusuario

ValordepolíticaDescripción

OpciónSoftwaredehuellasdactilaresMuestra,muestracomonoseleccionableuocultalaopciónSoftware

dehuellasdactilaresenlaaplicaciónClientSecuritySolution.Valor predeterminado:Mostrar.

OpciónCifradodearchivosMuestra,muestracomonoseleccionableuocultalaopciónCifradode

archivosenlaaplicaciónClientSecuritySolution.Valorpredeterminado: Mostrar.

OpciónAuditoríadevaloresde seguridad

OpciónTransferenciadecerticados digitales

OpciónCambiarestadodelchipde seguridad

OpciónBorrarbloqueodechipde seguridad

OpciónGestordepolíticasMuestra,muestracomonoseleccionableuocultalaopciónGestorde

OpciónRestaurar/CongurarvaloresMuestra,muestracomonoseleccionableuocultalaopción“Asistente

OpciónPasswordManagerMuestra,muestracomonoseleccionableuocultalaopciónPassword

OpciónRestablecercontraseñade hardware

OpciónRecuperacióndecontraseñade Windows

OpciónCambiarmodalidadde autenticación

OpciónHabilitar/inhabilitar Recuperacióndecontraseñade Windows

OpciónHabilitar/inhabilitarPassword Manager

Muestra,muestracomonoseleccionableuocultalaopciónAuditoría devaloresdeseguridadenlaaplicaciónClientSecuritySolution.Valor predeterminado:Mostrar.

Muestra,muestracomonoseleccionableuocultalaopciónTransferencia decerticadosdigitalesenlaaplicaciónClientSecuritySolution.Valor predeterminado:Mostrar.

Muestra,muestracomonoseleccionableuocultalaopciónEstado delchipdeseguridadenlaaplicaciónClientSecuritySolution.Valor predeterminado:Mostrar.

Muestra,muestracomonoseleccionableuocultalaopciónBorrarbloqueo dechipdeseguridadenlaaplicaciónClientSecuritySolution.Valor predeterminado:Mostrar.

políticasenlaaplicaciónClientSecuritySolution.Valorpredeterminado: Mostrar.

deconguración”enlaaplicaciónClientSecuritySolution.Valor predeterminado:Mostrar

ManagerenlaaplicaciónClientSecuritySolution.Valorpredeterminado: Mostrar.

Muestra,muestracomonoseleccionableuocultalaopciónRestablecer contraseñadehardwareenlaaplicaciónClientSecuritySolution.Valor predeterminado:Mostrar.

Muestra,muestracomonoseleccionableuocultalaopciónRecuperación decontraseñadeWindowsenlaaplicaciónClientSecuritySolution.Valor predeterminado:Mostrar.

Muestra,muestracomonoseleccionableuocultalaopción“Cambiar modalidaddeautenticación”enlaaplicaciónClientSecuritySolution.Valor predeterminado:Mostrar

Muestra,muestracomonoseleccionableuocultalaopciónparahabilitar oinhabilitarlarecuperacióndecontraseñadeWindowsenlaaplicación ClientSecuritySolution.Valorpredeterminado:Mostrar

Muestra,muestracomonoseleccionableuocultalaopciónparahabilitar oinhabilitarPasswordManagerenlaaplicaciónClientSecuritySolution. Valorpredeterminado:Mostrar

Herramientadeseguridaddelaestacióndetrabajo

Latablasiguienteproporcionavaloresdepolíticaparalaherramientadeseguridaddelaestacióndetrabajo.

44ClientSecuritySolution8.21Guíadedespliegue

Tabla24.Conguracióndelsistema➙ThinkVantage➙ClientSecuritySolution➙Herramientadeseguridad delaestacióndetrabajo

PolíticaValorDescripción

Contraseñasde hardware

Contraseñasdeusuarios deWindows

Políticadecontraseñade Windows

ProtectordepantallaProtectordepantalla

Protectordepantalla

ProtectordepantallaTiempodeesperadel

Compartimientode archivos

ClientSecurityClientSecurityHabilitaoinhabilitalavisualizacióndelainformaciónde

ClientSecurityChipdeseguridad

ClientSecurityClientSecuritySolution

ContraseñasdehardwareHabilitaoinhabilitalavisualizacióndelainformaciónde

contraseñasdehardware.

ContraseñadeencendidoSeleccioneelvalorrecomendadocomohabilitaro

inhabilitaroseleccionequeseignoreestevalor.

ContraseñadediscoduroSeleccioneelvalorrecomendadocomohabilitaro

inhabilitaroseleccionequeseignoreestevalor.

ContraseñadeadministradorSeleccioneelvalorrecomendadocomohabilitaro

inhabilitaroseleccionequeseignoreestevalor.

Contraseñasdeusuariosde Windows

ContraseñaSeleccioneelvalorrecomendadocomohabilitaro

Antigüedaddecontraseña

Lacontraseñanuncacaduca

Políticadecontraseñade Windows

Númeromínimode caracteresenlacontraseña

Antigüedadmáximade contraseña

Contraseñadeprotectorde pantallaestablecida

protectordepantalla

CompartimientodearchivosHabilitaoinhabilitalavisualizacióndelainformaciónde

AccesoautorizadoElvalorrecomendadosepuedeestableceren'True',

incorporado

Versión

Habilitaoinhabilitalavisualizacióndelainformaciónde contraseñadeusuariosdeWindows.

inhabilitaroseleccionequeseignoreestevalor. Númeromáximodedíasquesepermitequeexistala

contraseña. Elvalorrecomendadosepuedeestableceren'True',

'False'o'Ignore'.

Habilitaoinhabilitalavisualizacióndelainformaciónde políticadecontraseñadeWindows.

Númeromínimodecaracteresquepuedetenerla contraseña,o'Ignore'estevalor.

Valordeantigüedadmáximadecontraseña-númerode díaso'Ignore'estevalorenlosresultados.

Habilitaoinhabilitalavisualizacióndelainformaciónde políticadecontraseñadeWindows.

Númeromínimodecaracteresquepuedetenerla contraseña,o'Ignore'estevalor.

Valordeantigüedadmáximadecontraseña-númerode díaso'Ignore'estevalorenlosresultados.

compartimientodearchivos.

'False'o'Ignore'.

ClientSecurity. Seleccioneelvalorrecomendadocomohabilitaro

inhabilitaroestablezcaqueseignoreestevalor. EstablezcaelvalormínimorecomendadodeClientSecurity

Solutionoestablézcaloen'Ignore'.

ActiveUpdate

ActiveUpdateesunatecnologíadeeSupportqueutilizalosclientesdeactualizaciónenelsistemalocal paraentregarlospaquetesquesedeseenenlawebsinningunainteraccióndelusuario.ActiveUpdate consultalosclientesdeactualizacióndisponiblesyutilizaelclienteactualizadoparainstalarelpaqueteque sedesee.ActiveUpdateiniciaráThinkVantageSystemUpdateoSoftwareInstallerenelsistema.

Capítulo3.CómotrabajarconClientSecuritySolution45

ParadeterminarsiActiveUpdateLauncherestáinstalado,compruebesiexistelasiguienteclavederegistro:

HKLM\software\lenovo\ActiveUpdate

ParallamaraActiveUpdate,elprogramadeTecnologíaThinkVantagequerealizalallamadadebeiniciarel programaActiveUpdateLauncherypasarelarchivodeparámetros.(Consulteelarchivodeparámetrosde ActiveUpdateparaverunadescripcióndelarchivodeparámetros).

ParainhabilitarelelementodemenúActiveUpdateLauncherenelmenúdeayudaparatodoslosprogramas deTecnologíaThinkVantage:

1.VayaalaclavederegistroHKLM\software\lenovo\ActiveUpdate.

2.RenombreosuprimalaclaveActiveUpdate.

ArchivodeparámetrosdeActiveUpdate

ElarchivodeparámetrosdeActiveUpdatecontienelosvaloresquesedebenpasaraActiveUpdate.El parámetroTargetAppsepasacomosemuestraenesteejemplo:

<root>

<TargetApp>ACCESSLENOVO</T argetApp> </root> <root>

46ClientSecuritySolution8.21Guíadedespliegue

Capítulo4.CómotrabajarconelSoftwaredehuellasdactilares deThinkVantage

LaconsoladehuellasdactilaressedebeejecutardesdelacarpetadeinstalacióndelSoftwaredehuellas dactilares.LasintaxisbásicaesFPRCONSOLE[USER|SETTINGS].ElmandatoUSERoSETTINGS especicaquéconjuntodelaoperaciónseutilizará.Elmandatocompletoserá“fprconsoleuseradd TestUser”.Cuandonoseconoceelmandatoonoseespecicantodoslosparámetros,semostraráuna cortalistademandatosjuntoconlosparámetros.

ParadescargarFingerprintSoftwareyManagementConsole,visiteelsitiowebdeLenovo: http://www.lenovo.com/support/site.wss/document.do?sitestyle=lenovo&lndocid=HOME-LENOVO.

HerramientaConsoladegestión

Enestasecciónseproporcionainformaciónacercadelosmandatosespecícosdelusuarioydelos mandatosdevaloresglobales.

Mandatosespecícosdelusuario

Pararegistraroeditarusuarios,seutilizalasecciónUSER.Cuandoelusuarioactualnotienederechosde administrador,elcomportamientodelaconsoladependedelamodalidaddeseguridaddelSoftwarede huellasdactilares.Modalidadsegura:nosepermiteningúnmandato.Modalidadcómoda:paraelusuario estándarsonposibleslosmandatosADD,EDITyDELETE.Sinembargo,elusuariopuedemodicarsólosu propiopasaporte(registradoconsunombredeusuario).Lasintaxiseslasiguiente:

FPRCONSOLEUSERcommand

dondecomandoesunodelossiguientesmandatos:ADD,EDIT,DELETE,LIST,IMPORT,EXPORT.

Tabla25.Mandatosespecícosdelusuario

MandatoSintaxisDescripción

Registrarnuevousuario

Example:

fprconsoleuseradd

domain0\testuser

fprconsoleuseradd

testuser

Editarusuarioregistrado

Example:

fprconsoleuseredit

domain0\testuser

fprconsoleuseredit

testuser

ADD[username[|domain\ username]]

EDIT[username[|domain\ username]]

Sinoseespecicaelnombrede usuario,seutilizaráelnombrede usuarioactual.

Sinoseespecicaelnombrede usuario,seutilizaráelnombrede usuarioactual. Nota:Elusuarioregistradodebe vericarprimerosuhuelladactilar.

©CopyrightLenovo2008,2012

Tabla25.Mandatosespecícosdelusuario(continuación)

MandatoSintaxisDescripción

Suprimirunusuario

Example:

fprconsoleuserdelete domain0\testuser

fprconsoleuserdelete testuser

fprconsoleuserdelete /ALL

EnumerarusuariosregistradosListListalosusuariosregistrados. Exportarusuarioregistradoa

unarchivo

Importarusuarioregistrado

DELETE[username[|domain\ username|/ALL]]

Syntax:EXPORTusername [|domain\username]le

Syntax:IMPORTleElmandatoimportaráelusuariodesde

Eldistintivo/ALLborrarátodoslos usuariosregistradosenestesistema. Sinoseespecicaelnombrede usuario,seutilizaráelnombrede usuarioactual.

Estemandatoexportaráunusuario registradoaunarchivodelaunidad dediscoduro.Acontinuación,el usuariosepuedeimportarutilizando elmandatoIMPORTenotrosistemao enelmismosistema,sisesuprimeel usuario.

elarchivoespecicado. Nota:Sielusuarioenelarchivo yaestáregistradoenelmismo sistemautilizandolasmismashuellas dactilares,nosegarantizaquéusuario tendráprecedenciaenlaoperaciónde identicación.

Mandatosdevaloresglobales

LosvaloresglobalesdelSoftwaredehuellasdactilaressepuedencambiarmediantelasecciónSETTINGS. Todoslosmandatosenestasecciónnecesitanderechosdeadministrador.Lasintaxises:

FPRCONSOLESETTINGScommand

dondemandatoesunodelosmandatossiguientes:SECUREMODE,LOGON,CAD,TBX,SSO.

Tabla26.Mandatosdevaloresglobales

MandatoSintaxisDescripción

Modalidaddeseguridad

Example:

Tosettoconvenientmode: fprconsolesettings securemode0

Tipodeiniciodesesión

MensajeCTRL+ALT+SUPR

SECUREMODE0|1

LOGON0|1[/FUS]

CAD0|1

Estevalorconmutaentrelasmodalidades CómodaySeguradelSoftwaredehuellas dactilares.

Estevalorhabilita(1)oinhabilita(0)la aplicacióndeiniciodesesión.Siseutiliza elparámetro/FUS,eliniciodesesiónestá habilitadoenlamodalidaddeConmutación rápidadeusuario,silaconguracióndel sistemalopermite.

Estevalorhabilita(1)oinhabilita(0)eltexto “PulseCtrl+Alt+Supr”eneliniciodesesión.

48ClientSecuritySolution8.21Guíadedespliegue

Tabla26.Mandatosdevaloresglobales(continuación)

MandatoSintaxisDescripción

Seguridaddeencendido

Firmaúnicadeseguridadde

encendido

TBX0|1

SSO0|1

Estevalordesactivaglobalmente(0)el soportedelaseguridaddeencendidoen elsoftwaredehuellasdactilares.Cuando elsoportedeseguridaddeencendido estádesactivado,nosemuestraningún asistentenipáginasdeseguridadde encendido,ynoimportacuálessonlos valoresdelBIOS.

Estevalorhabilita(1)oinhabilita(0)eluso delashuellasdactilaresutilizadoenel BIOSeneliniciodesesiónpararealizar automáticamenteeliniciodesesióndel usuariocuandosehavericadoelusuario enelBIOS.

Modalidadseguraymodalidadcómoda

ElSoftwaredehuellasdactilaressepuedeejecutarendosmodalidadesdeseguridad,unamodalidad segurayunamodalidadcómoda.Lamodalidadseguraestádestinadaparalassituacionesenlasquedesee conseguirmayorseguridad.Lasfuncionesespecialesestánreservadassolamentealosadministradores. Sóloellospuedeniniciarsesiónutilizandocontraseñassinautenticaciónadicional.

LamodalidadcómodaestádestinadaaPCdomésticosdondenoseatanimportanteunniveldeseguridad alto.Todoslosusuariospuedenrealizartodaslasoperaciones,incluidaslaedicióndepasaportesde otrosusuariosylaposibilidaddeiniciarsesiónenelsistemautilizandocontraseña(sinlaautenticación dehuellasdactilares).

UnAdministradorescualquiermiembrodelgrupodeadministradores.Despuésdeestablecerlamodalidad segura,sóloeladministradorpuedeconmutardenuevoalamodalidadcómoda.

Modalidadsegura-administrador

Paramejorarlaseguridad,siseespecicaelnombredeusuarioocontraseñaincorrectoseneliniciode sesión,lamodalidadseguravisualizaelsiguientemensaje:“Sólolosadministradorespuedeniniciarsesión enestesistemaconnombredeusuarioycontraseña”.

Tabla27.Opcionesparaadministradoresenlamodalidadsegura

HuellasdactilaresDescripción

Crearunnuevopasaporte

Editarpasaportes

Suprimirpasaporte

Losadministradorespuedencrearsupropiopasaporte ytambiénpuedencrearelpasaportedeunusuariocon limitaciones.

Losadministradorespuedeneditarsólosupropio pasaporte.

Losadministradorespuedensuprimirtodoslos pasaportesdeusuariosconlimitacionesyotros pasaportesdeadministrador.Siotrosusuariosestán utilizandolaseguridaddeencendido,eladministrador tendrálaopciónenestemomentodeeliminarlas plantillasdeusuariodelaseguridaddeencendido.

Capítulo4.CómotrabajarconelSoftwaredehuellasdactilaresdeThinkVantage49

Tabla27.Opcionesparaadministradoresenlamodalidadsegura(continuación)

HuellasdactilaresDescripción

Seguridaddeencendido

Settings

Valoresdeiniciodesesión

ProtectordepantallaprotegidoLosadministradorespuedenacceder. Tipodepasaporte

ModalidaddeseguridadLosadministradorespuedenconmutarentrelamodalidad

ServidoresProLosadministradorespuedenacceder-sóloimportante

Losadministradorespuedensuprimirlashuellas dactilaresdelusuarioconlimitacionesydeladministrador utilizadasenelencendido. Nota:Debehabercomomínimounahuelladactilar presentecuandolamodalidaddeencendidoestá habilitada.

Losadministradorespuedenrealizarcambiosentodos losvaloresdeiniciodesesión.

Losadministradorespuedenacceder-sóloimportante conelservidor.

seguraylamodalidadcómoda.

conelservidor.

Modalidadsegura-usuarioconlimitaciones

DuranteuniniciodesesióndeWindows,unusuarioconlimitacionesdebeutilizarunahuelladactilarpara iniciarlasesión.Siellectordehuellasdactilaresdelusuarioconlimitacionesnofunciona,seránecesario queunadministradorcambieelvalordelsoftwaredehuellasdactilaresalamodalidadcómodaparahabilitar elaccesomediantenombredeusuarioycontraseña.

Tabla28.Opcionesparausuariosconlimitacionesenlamodalidadsegura

ValorDescripción

Crearunnuevopasaporte Editarpasaportes

SuprimirpasaporteElusuarioconlimitacionespuedesuprimirsólosupropio

Seguridaddeencendido Valoresdeiniciodesesión

ProtectordepantallaprotegidoElusuarioconlimitacionespuedeacceder. TipodepasaporteElusuarioconlimitacionesnopuedeacceder. Modalidaddeseguridad

ServidoresProElusuarioconlimitacionespuedeacceder-sólo

Elusuarioconlimitacionesnopuedeacceder.

Elusuarioconlimitacionespuedeeditarsólosupropio pasaporte.

pasaporte. Elusuarioconlimitacionesnopuedeacceder.

Elusuarioconlimitacionesnopuedemodicarsus valoresdeiniciodesesión.

Elusuarioconlimitacionesnopuedemodicarlas modalidadesdeseguridad.

importanteconelservidor.

Modalidadcómoda-administrador

DuranteuniniciodesesióndeWindows,losadministradorespuedeniniciarlasesiónutilizandosupropio nombredeusuarioycontraseñaosushuellasdactilares.

50ClientSecuritySolution8.21Guíadedespliegue

Tabla29.Opcionesparaadministradoresenlamodalidadcómoda

ValoresDescripción

CrearunnuevopasaporteLosadministradorespuedencrearsólosupropio

pasaporte.

Editarpasaportes

SuprimirpasaporteLosadministradorespuedensuprimirsólosupropio

Seguridaddeencendido

Valoresdeiniciodesesión

ProtectordepantallaprotegidoLosadministradorespuedenacceder.

Tipodepasaporte

ModalidaddeseguridadLosadministradorespuedenconmutarentrelamodalidad

ServidoresProLosadministradorespuedenacceder-sóloimportante

Losadministradorespuedeneditarsólosupropio pasaporte.

pasaporte. Losadministradorespuedensuprimirlashuellas

dactilaresdelusuarioconlimitacionesydeladministrador utilizadasenelencendido. Nota:Debehabercomomínimounahuelladactilar presentecuandolamodalidaddeencendidoestá habilitada.

Losadministradorespuedenrealizarcambiosentodos losvaloresdeiniciodesesión.

Losadministradorespuedenacceder-sóloimportante conelservidor.

seguraylamodalidadcómoda.

conelservidor.

Modalidadcómoda-usuarioconlimitaciones

DuranteuniniciodesesióndeWindows,losusuariosconlimitacionespuedeniniciarlasesiónutilizandosu propionombredeusuarioosushuellasdactilares.

Tabla30.Opcionesparausuariosconlimitacionesenlamodalidadcómoda

ValoresDescripción

CrearunnuevopasaporteLosusuariosconlimitacionespuedencrearsólosupropio

pasaporte.

Editarpasaportes

SuprimirpasaporteLosusuariosconlimitacionespuedensuprimirsólosu

SeguridaddeencendidoLosusuariosconlimitacionespuedensuprimirsólosus

Valoresdeiniciodesesión

ProtectordepantallaprotegidoLosusuariosconlimitacionespuedenacceder.

Tipodepasaporte

Modalidaddeseguridad

ServidoresProLosusuariosconlimitacionespuedenacceder-sólo

Losusuariosconlimitacionespuedeneditarsólosu propiopasaporte.

propiopasaporte.

propiashuellasdactilares. Losusuariosconlimitacionesnopuedenmodicarlos

valoresdeiniciodesesión.

Losusuariosconlimitacionesnopuedenacceder-sólo relevanteconelservidor.

Losusuarioslimitadosnopuedenmodicarlas modalidadesdeseguridad.

importanteconelservidor.

Capítulo4.CómotrabajarconelSoftwaredehuellasdactilaresdeThinkVantage51

Valorescongurables

Sepuedenconguraralgunasopcionesdelsoftwaredehuellasdactilaresmediantelosvaloresdelregistro.

•Interfazdelsoftwaredeprearranque/encendido:elmecanismoparahabilitarelsoportede

prearranqueoencendidomediantehuellasdactilaresyparaalmacenarlashuellasdactilaresenelchip queloacompañanosevisualizanormalmenteenelsoftwaredehuellasdactilares,amenosquehaya establecidasenelsistemacontraseñasdeBIOSodediscoduro.Andealterarestecomportamientoy deforzarelhechodequeestasopcionessemuestrensinlaexistenciadecontraseñasdeBIOSode discoduro,añadaalregistrounadelasopcionessiguientes,laquecorrespondaaltipodemáquina quedispone:

[HKEY_LOCAL_MACHINE\SOFTWARE\ProtectorSuiteQL\1.0]

EG_DWORD"BiosFeatures"=2

[HKEY_LOCAL_MACHINE\SOFTWARE\ProtectorSuiteQL\1.0]

REG_DWORD"BiosFeatures"=4

EstevaloresútilcuandoSafeGuardEasyestáinstaladoenunsistemasincontraseñasdeBIOSyestá utilizandoautenticacióndehuellasdactilaresparadescifrareldiscoduro.

•Sonidos:sepuedecongurarelsoftwaredehuellasdactilaresparareproducirunsonidocontenidoenun

archivo.wavendistintascircunstanciasduranteelprocesodeautenticacióndehuellasdactilares.Los valoresdelregistroparaestossonidossonlossiguientes:

[HKEY_LOCAL_MACHINE\SOFTWARE\ProtectorSuiteQL\1.0\settings]

‘Success ’ REG_SZ“sndSuccess”=[pathtosoundle] Theledesignatedwillplaywheneverasuccessf ulswipeisregistered.

Failure’ REG_SZ“sndF ailure”=[pathtosoundle] Theledesignatedwillplaywheneveranunsuccessfulswipeisattempted.

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\ngerprint

Scan’ REG_SZ“sndScan”=[pathtosoundle] Theledesignatedwillplaywheneverthengerprintverication

dialogisdisplayedf orClientSecuritySolution-relatedoperations.

Ifthevalueisnotpresentorisemptythennosoundisplayed.

Quality’ REG_SZ“sndQuality”=[pathtosoundle] Theledesignatedwillplaywheneveranunreadableswipehasoccurred. Ifthevalueisnotpresentorisemptythennosoundisplayed.

•Validacióndelacontraseñaduranteundesbloqueodelsistema:deformapredeterminada,el

softwaredehuellasdactilaresvalidalacontraseñaalmacenadaduranteeldesbloqueodelsistema.La validaciónrequierequeseestablezcauncontactoconelcontroladordeldominioypuedegenerarun retardo.Paraevitarlo,inhabilitelavalidacióndelacontraseñaduranteeldesbloqueodelsistemay editandoelregistrotalcomoseindicaacontinuación:

[HKEY_LOCAL_MACHINE\SOFTWARE\ProtectorSuiteQL\1.0\settings] REG_DWORD"DoNotTestUnlock"=1

Elsoftwaredehuellasdactilarescontinuarávalidandolacontraseñaduranteeliniciodesesióndelsistema.

52ClientSecuritySolution8.21Guíadedespliegue

Nota:Cuandolaclavederegistroanteriorsehayaestablecidoen1,sieladministradordedominiocambia

deusuariocuandoelsistemadelusuarioestábloqueado,elsoftwaredehuellasdactilaresconservará almacenadalacontraseñaantiguohastaqueelusuariosalgadelasesióneinicieotradenuevo.

SoftwaredehuellasdactilaresyNovellNetwareClient

Paraevitarconictos,losnombresdeusuarioylascontraseñasdelSoftwaredehuellasdactilaresyNovell NetwareClientdebencoincidir.SitieneinstaladoelSoftwaredehuellasdactilaresenelsistemay,a continuación,instalaNovellNetwareClient,esposiblequealgunoselementosdelregistrosesobregraben. SiseencuentraconproblemasaliniciarlasesióndelSoftwaredehuellasdactilares,vayaalapantalladelos valoresdeiniciodesesiónyvuelvaahabilitarelProtectordeiniciodesesión.

SitieneinstaladoenelsistemaNovellNetwareClientperonohainiciadosesiónenelcliente,antesde instalarelSoftwaredehuellasdactilares,aparecerálapantalladeIniciodesesióndeNovell.Proporcione lainformaciónsolicitadaenlapantalla.

Nota:LainformacióndeestasecciónessolamenteparaelSoftwaredehuellasdactilaresdeThinkVantage.

ParacambiarlosvaloresdelProtectordeiniciodesesión:

•InicieelCentrodecontrol.

•PulseValores.

•PulseValoresdeiniciodesesión.

•HabiliteoinhabiliteelProtectordeiniciodesesión.Sideseautilizareliniciodesesióndehuellas dactilares,marqueelrecuadrodeselecciónSustituiriniciodesesióndeWindowsporeliniciodesesión protegidomediantehuellasdactilares.

Nota:Habilitaroinhabilitarelprotectordeiniciodesesiónrequiereunrearranque.

•Habiliteoinhabilitelaconmutaciónrápidadeusuario,cuandoelsistemalopermita.

•(Funciónopcional)Habiliteoinhabiliteeliniciodesesiónautomáticoparaunusuarioautenticado mediantelaseguridaddearranquedeencendido.

•EstablezcalosvaloresdeiniciodesesióndeNovell.Losvaloressiguientesestándisponiblesaliniciar sesiónenunaredNovell:

–Activado

ElSoftwaredehuellasdactilaresproporcionaautomáticamentecredencialesconocidas.Sielinicio desesióndeNovellfalla,lapantalladeiniciodesesióndeNovellClientsevisualizarájuntoconun indicadordesolicitudparaespecicarlosdatoscorrectos.

–Preguntarduranteeliniciodesesión

ElSoftwaredehuellasdactilaresvisualizalapantalladeiniciodesesióndeNovellClientyunindicador desolicitudparaespecicarlosdatosdeiniciodesesión.

–Deshabilitado

ElSoftwaredehuellasdactilaresnointentauniniciodesesióndeNovell.

Autenticando

CompletelospasossiguientesparapasarNovellalSoftwaredehuellasdactilares:

1.InstaleelSoftwaredehuellasdactilares.

2.InstaleNovellNetwareClient.

3.Cuandoselesolicite,pulseSíparainiciarlasesión.

4.Rearranque.

Capítulo4.CómotrabajarconelSoftwaredehuellasdactilaresdeThinkVantage53

5.Cuandoselesolicite,pulseSíparainiciarlasesiónenelSoftwaredehuellasdactilares.

6.InicieNovellNetwareClient.

7.Autentifíqueseenelservidor.

8.InicielasesiónenWindows.

9.Rearranque.

Nota:ElIDdeautenticaciónylacontraseñaparaWindowsyNovelldebenseridénticos.

ServiciodelSoftwaredehuellasdactilaresdeThinkVantage

Seañadeelservicioupeksvr.exealsistematrasinstalarelsoftwaredehuellasdactilaresdeThinkVantage. Secomienzaaejecutardesdeelarranquedelsistemaypermaneceenejecuciónmientraselusuarioesté conectado.Elservicioupeksvr.exeeselnúcleodeThinkVantageFingerprintSoftwareyejecutatodaslas operacionescondispositivosydatosdeusuario.TambiénmuestratodalaGUIdevericaciónbiométricay proporcionaaccesoseguroalosdatosdelusuario.

54ClientSecuritySolution8.21Guíadedespliegue

Capítulo5.CómotrabajarconelSoftwaredehuellasdactilares deLenovo

LaconsoladehuellasdactilaressedebeejecutardesdelacarpetadeinstalacióndelSoftwaredehuellas dactilaresdeLenovo.LasintaxisbásicaesFPRCONSOLE[USER|SETTINGS].ElmandatoUSERo SETTINGSespecicaquéconjuntodelaoperaciónseutilizará.Elmandatocompletoes“fprconsoleuser addTestUser”.Cuandonoseconoceelmandatoonoseespecicantodoslosparámetros,semostraráuna cortalistademandatosjuntoconlosparámetros.

HerramientaConsoladegestión

ParaobtenerinformaciónacercadelaherramientaConsoladegestióndelSoftwaredehuellasdactilaresde Lenovo,consulte“HerramientaConsoladegestión”enlapágina47

ServiciodelSoftwaredehuellasdactilaresdeLenovo

Nota:ElSoftwaredehuellasdactilaresdeLenovorequiereunserviciodeterminalenelsistema.Si

desactivaelserviciodeterminal,puedequeseproduzcanalgunosresultadosinesperadosenelSoftwarede huellasdactilaresdeLenovo.

SeañadenlossiguientesserviciosalsistematrasinstalarelSoftwaredehuellasdactilaresdeLenovo:

•ATService.exe(activadodeformapredeterminada) DebeactivarelservicioATService.exeparautilizarelsistemadehuellasdactilares.Esteserviciogestiona solicitudesprocedentesdeaplicacionesqueutilizanelsensordehuellasdactilares.

•ADMonitor.exe(desactivadodeformapredeterminada) DebeactivarelservicioADMonitor.exeparadarsoporteaActiveDirectoryAdministration.Esteservicio supervisaloscambiosenelregistroquesepropaganensentidodescendentedesdeActiveDirectoryy reejaloscambioslocalmente.

SoportedeActiveDirectoryparaelSoftwaredehuellasdactilaresde Lenovo

EnlatablasiguientesemuestranlosvaloresdepolíticaparaelSoftwaredehuellasdactilaresdeLenovo.

Tabla31.Valoresdepolítica

ValorDescripción

Habilitar/InhabilitareliniciodesesióndehuellasdactilaresEspecicalautilizacióndellectordehuellasdactilaresen

lugardecontraseñasdeWindowsparainiciarlasesión enelsistema.Sihabilitaestevalor,podráhabilitaro inhabilitardosopcionesmás:

•InhabilitarelcuadrodediálogoCONTROL+ALT+SUPR paralainterfazdeiniciodesesión Siseleccionaestaopción,sedesactivaráelmensaje quedirigealusuarioapulsarCONTROL+ALT+SUPR parainiciarlasesión.(SólodisponibleenWindowsXP).

•Serequiereunusuarioquenoseaadministradorpara iniciarlasesiónconautenticacióndehuelladactilar Siseleccionaestaopción,losusuariosquenosean

Tabla31.Valoresdepolítica(continuación)

ValorDescripción

Permitirqueelusuariorecuperelacontraseñamediante laautenticacióndehuelladactilar

Mostrarsiemprelasopcionesdeseguridaddeencendido

Utilizarlaautenticacióndehuelladactilarenlugardelas contraseñasdeencendidoydelaunidaddediscoduro

Establecerlacantidaddeintentosfallidosantesdel bloqueo

Establecereltiempodeesperadeinactividad

Permitirquelosusuariosregistrenhuellasdactilares

Permitirquelosusuariossuprimanhuellasdactilares

Permitirquelosusuariosimporten/exportenhuellas dactilares

Mostrar/Ocultarelementosaldenirelseparadordel softwaredehuellasdactilares

administradoressolamentepodrániniciarlasesión utilizandoellectordehuellasdactilares.

Sihabilitaestevalor,losusuariospodránverlacontraseña deWindowsdesuscuentasenelSoftwaredehuellas dactilaresdeLenovodespuésdelaautenticaciónde huelladactilar.

Sihabilitaestevalor,losusuariospodránseleccionarsi deseanutilizarellectordehuellasdactilaresenlugarde lascontraseñasdeencendidoydelaunidaddedisco durocuandoseenciendaelsistema.Enlaventanade registrodelSoftwaredehuellasdactilaresdeLenovo,se puedehabilitaroinhabilitarlaautenticacióndehuella dactilardeencendidoparacadadedoquesehaya registrado.

Sihabilitaestevalor,seutilizarlaautenticacióndehuella dactilarenlugardelascontraseñasdeencendidoyde unidaddediscoduro.

Establecelacantidaddeintentosfallidosaceptadosal iniciarlasesiónantesdebloquearalusuario,asícomo laduración(ensegundos)queelusuariopermanecerá bloqueado.

Estableceladuracióndeinactividaddelsistema(en segundos)permitidaantesqueseconcluyalasesión delusuario.

Sihabilitaestevalor,losusuariosquenosean administradorespodránregistrarhuellasdactilares utilizandoelSoftwaredehuellasdactilaresdeLenovo.

Sihabilitaestevalor,losusuariosquenosean administradorespodránsuprimirhuellasdactilares utilizandoelSoftwaredehuellasdactilaresdeLenovo.

Sihabilitaestevalor,losusuariosquenosean administradorespodránimportaryexportarhuellas dactilaresutilizandoelSoftwaredehuellasdactilaresde Lenovo.

Sihabilitaestevalor,losadministradoresdeTIpodrán controlarlaGUIdedenicióndelsoftwaredehuellas dactilares.

56ClientSecuritySolution8.21Guíadedespliegue

Capítulo6.Prácticasrecomendadas

EnestecapítulosepresentanvarioscasosdeejemploparamostrarlasprácticasrecomendadasdeClient SecuritySolutionyFingerprintSoftware.Estecasodeejemploseiniciaconlaconguracióndelaunidad dediscoduro,continúaconvariasactualizacionesysigueelciclovitaldeundespliegue.Sedescribela instalacióntantoensistemasLenovocomoensistemasnoLenovo.

EjemplosdedespliegueparainstalarClientSecuritySolution

LasecciónsiguienteproporcionaejemplosdeinstalacióndeClientSecuritySolutiontantoensistemasde sobremesacomoensistemasportátiles.

Casodeejemplo1

Acontinuaciónsemuestraunejemplodeunainstalaciónenunsistemadesobremesautilizandoestos requisitoshipotéticosdelcliente:

•Administración –Utilizarlacuentadeladministradorlocalparalaadministracióndelsistema.

•ClientSecuritySolution –InstalaryejecutarenModalidaddeemulación.

–NotodoslossistemasLenovotienenunMódulodeplataformasegura(chipdeseguridad).

–HabilitarlafrasedepasodeClientSecurity.

–ProtegerlasaplicacionesdeClientSecuritySolutionconunafrasedepaso.

–HabilitareliniciodesesióndeWindowsdeClientSecurity.

–IniciarsesiónenWindowsconlafrasedepasodeClientSecurity.

–HabilitarlafuncióndeRecuperacióndefrasedepasodeusuarional.

–Permitiralosusuariosrecuperarsusfrasesdepasorespondiendoatrespreguntasyrespuestas

denidasporelusuario.

–CifrarelscriptXMLdeClientSecuritySolutionconcontraseña=“XMLscriptPW”.

–LacontraseñaprotegeelarchivodeconguracióndeClientSecuritySolution.

–Elsoftwaredehuellasdactilarespuedeonoestarinstalado.

Enlamáquinadepreparación:

1.Inicielasesiónconlacuentadel“administradorlocal”deWindows.

2.InstaleelprogramaClientSecuritySolutionconlasopcionessiguientes:

ClientSecuritySolution:tvtcss82_xxxx.exe/s/v"/qn“EMULATIONMODE=1”

(dondeXXXXeselIDdebuild)

“NOCSSWIZARD=1””

3.Despuésderearrancar,iniciesesiónconlacuentadeladministradorlocaldeWindowsyprepareel scriptXMLparaeldespliegue.Enlalíneademandatos,ejecuteestemandato:

“C:\ProgramFiles\Lenovo\ClientSecuritySolution\css_wizarde.exe” /name:C:\ThinkCentre

Seleccionelasopcionessiguientesenelasistente:

•PulseMétododeiniciodesesiónseguro➙Siguiente.

•EscribalacontraseñadeWindowsparalacuentadeladministradorypulseSiguiente.(WPW4Admin, porejemplo)

•EspeciquelafrasedepasodeClientSecurity(porejemplo,CSPP4Admin)paralacuentadel administrador,marquelacasillaUtilizarlafrasedepasodeClientSecurityparaprotegerel accesoalespaciodetrabajodeRescueandRecoveryypulseSiguiente.

•SeleccionetrespreguntasyrespuestasparalacuentadeadministradorypulseSiguiente. a.¿Cuáleraelnombredesuprimeramascota?

(Tobby,forejemplo).

b.¿Cuálessupelículafavorita?

(Loqueelvientosellevó,porejemplo).

c.¿Cuálessuequipodefútbolfavorito?

(BarcelonaF .C.,porejemplo).

•ReviseelResumenyseleccioneAplicarparagrabarelarchivoXMLenlasiguienteubicación C:\ThinkCentre.xmlypulseAplicar.

•PulseFinalizarparacerrarelasistente.

4.Abraelarchivosiguienteenuneditordetexto(loseditoresdescriptsXMLoMicrosoftWord2003tienen funcionesdeformatoXMLincorporadas)ymodiquelossiguientesvalores:

•EliminetodaslasreferenciasalvalorDomain.Estoindicaráalscriptqueutiliceensulugarelnombre

delamáquinalocalencadasistema.Guardeelarchivo.

5.UtilicelaherramientaqueseencuentraenC:\Archivosdeprograma\Lenovo\ClientSecurity Solution\xml_crypt_tool.exeparacifrarelscriptXMLconunacontraseña.Paraejecutarelarchivo desdeunindicadordemandatos,utilicelasintaxissiguiente:

a.xml_crypt_tool.exeC:\ThinkCentre.xml/encryptXMLScriptPW. b.ElarchivosellamaráahoraC:\ThinkCentre.xml.encyestaráprotegidomediantelacontraseña=

XMLScriptPW.

ElarchivoC:\ThinkCentre.xml.encestáahorapreparadoparaserañadidoalamáquinadedespliegue.

Enlamáquinadedespliegue:

1.InicielasesiónconlacuentadeladministradorlocaldeWindows.

2.InstalelosprogramasRescueandRecoveryyClientSecuritySolutionconlasopcionessiguientes:

setup_tvtrnr40_xxxxcc.exe/s/v"/qn“EMULATIONMODE=1”

(SiendoxxxxelIDdebuildyccelcódigodepaís).

“NOCSSWIZARD=1””

Notas:

a.Asegúresedequelosarchivos.tvt,comoporejemploZ652ZIXxxxxyy00.tvtparaWindowsXPo

Z633ZISxxxxyy00.tvtparaWindowsVista(enquexxxxeselIDdebuildyyyeselIDdepaís),se encuentrenenelmismodirectorioqueelarchivoejecutableo,deloscontrario,lainstalaciónfallará.

b.Siestárealizandounainstalaciónadministrativa,consulte“Casodeejemplo1”enlapágina57.

3.Despuésderearrancar,inicielasesiónconlacuentadeladministradorlocaldeWindows.

4.AñadaelarchivoThinkCentre.xml.encpreparadoanteriormentealdirectorioC:\root.

5.PrepareelmandatoRunOnceExconlosparámetrossiguientes.

•AñadaunanuevaclavealaclaveRunonceExdenominada0001.Debeser:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx\0001

•Endichaclave,añadaunnombredevalordeserieCSSEnrollconelvalor:

58ClientSecuritySolution8.21Guíadedespliegue

"C:\ProgramFiles\Lenovo\ClientSecuritySolution\vmserver .exe" C:\ThinkCenter .xml.encXMLscriptPW

6.Ejecute%rr%C:\ProgramFiles\Lenovo\RescueandRecovery\rrcmd.exe"sysprepbackuplocation=L name=”SysprepBackup.Despuésdequehayapreparadoelsistema,veráestasalida:

***************************************************** **Readytotakesysprepbackup.** **** **PLEASERUNSYSPREPNOWANDSHUTDOWN.** **** **Nexttimethemachineboots,itwillboot** **tothePredesktopAreaandtakeabackup.** *****************************************************

7.EjecutelaimplementacióndeSysprep.

8.Concluyayrearranquelamáquina.SeiniciaráelprocesodecopiadeseguridadenWindowsPE.

Nota:Sevisualizaráelmensaje:“Larestauraciónestáenprocesoperoseestárealizandounacopiade seguridad”.Despuésdelacopiadeseguridad,apagueelsistemaynoreinicie.

AhoralacopiadeseguridadbasedeSysprepsehacompletado.

Casodeejemplo2

Acontinuaciónsemuestraunejemplodeunainstalaciónenunsistemaportátilutilizandoestosrequisitos hipotéticosdelcliente:

•Administración –InstalarenmáquinasdondehayinstaladasversionesanterioresdeClientSecuritySolution.

–Utilizarlacuentadeladministradordedominioparalaadministracióndelsistema. –TodoslossistemastienenunacontraseñadesupervisordelBIOS,BIOSpw.

•ClientSecuritySolution –UtilizarelMódulodeplataformasegura.

–Todaslasmáquinastienenunchipdeseguridad. –HabilitarPasswordManager. –UsarlacontraseñadeWindowsdelusuariocomoautenticaciónparaClientSecuritySolution. –CifrarelscriptXMLdeClientSecuritySolutionconcontraseña=“XMLscriptPW”.

–LacontraseñaprotegeelarchivodeconguracióndeClientSecuritySolution.

•SoftwaredehuellasdactilaresdeThinkVantage –NodeseautilizarlascontraseñasdelBIOSydeldiscoduro.

–IniciarsesiónconelSoftwaredehuellasdactilares.

–Despuésdeunperíodoinicialdeautoregistrodelusuario,elusuarioconmutaráeliniciodesesión

enModalidadseguraquerequiereunahuelladactilarparalosusuariosnoadministradores, imponiendo,porlotanto,deformaefectivaunametodologíadeautenticacióndedosfactores.

–IncluirlaGuíadeaprendizajedehuellasdactilares.

–Losusuariosnalespuedenaprendercómopasarcorrectamenteeldedoyobtenerunarespuesta

visualacercadeloquehacenincorrectamente.

Enlamáquinadepreparación:

1.Desdeelestadodeapagado,inicieelsistemaypulseF1parairalBIOSynavegarhastaelmenúde seguridadyborrarelchipdeseguridad.GuardeysalgadelBIOS.

Capítulo6.Prácticasrecomendadas59

2.InicielasesiónconlacuentadeladministradordedominiosdeWindows.

3.InstaleelsoftwaredehuellasdactilaresdeThinkVantageejecutandoelarchivof001zpz2001us00.exe paraextraerelarchivosetup.exedesdeelpaqueteweb.Conesto,elarchivosetup.exeseextraerá automáticamenteenlasiguienteubicación: C:\SWTOOLS\APPS\TFS5.8.2-Buildxxxx\Application\0409\setup.exe(dondexxxxeselIDdebuild).

4.InstalelaguíadeaprendizajedelSoftwaredehuellasdactilaresThinkVantageejecutandoel archivof001zpz7001us00.exeparaextraerelarchivotutess.exedelpaqueteweb.Estoextraerá automáticamenteelarchivosetup.exeenlaubicaciónsiguiente: C:\SWTOOLS\APPS\tutorial\TFS5.8.2Buildxxxx\Tutorial\0409\tutess.exe.

5.InstalelaConsoladehuellasdactilaresdeThinkVantageejecutandoelarchivof001zpz5001us00.exe paraextraerelarchivofprconsole.exedelpaqueteweb.Laejecucióndelarchivof001zpz5001us00.exe extraeráautomáticamenteelarchivosetup.exeenlasiguienteubicación: C:\SWTOOLS\APPS\fpr_con\APPS\UPEK\FPRConsole\TFS5.8 .2-Buildxxx\Fprconsole\fprconsole.exe.

6.InstaleelprogramaClientSecuritySolutionconlasopcionessiguientes:

tvtcss82_xxxxcc.exe/s/v”/qnNOCSSWIZARD=1SUPERVISORPW= ”BIOSpw”"

7.Despuésderearrancar,inicielasesiónconlacuentadeladministradordedominiosdeWindowsy prepareelscriptXMLparasudespliegue.Enlalíneademandatosejecute:

“C:\ProgramFiles\Lenovo\ClientSecuritySolution\css_wizard.exe” /name:C:\ThinkPad

Seleccionelasopcionessiguientesenelasistenteparaquecoincidanconelscriptdeejemplo:

•PulseMétododeiniciodesesiónseguro➙Siguiente.

•EscribalacontraseñadeWindows(porejemplo,WPW4Admin)paralacuentadeladministradorde

dominiosypulseSiguiente.

•EspeciquelafrasedepasodeClientSecurityparalacuentadeadministradordedominio.

•SeleccioneIgnorarvalorderecuperacióndecontraseñaypulseSiguiente.

•ReviseelResumenypulseAplicarparagrabarelarchivoXMLenlasiguienteubicación:

C:\ThinkPad.xml.

•PulseFinalizarparacerrarelasistente.

8.UtilicelaherramientaqueseencuentraenC:\Archivosdeprograma\Lenovo\ClientSecurity Solution\xml_crypt_tool.exeparacifrarelscriptXMLconunacontraseña.Enunindicadorde mandatos,utilicelasiguientesintaxis:

a.xml_crypt_tool.exeC:\ThinkPad.xml/encryptXMLScriptPW. b.ElarchivosellamaráahoraC:\ThinkPad.xml.encyestaráprotegidoporlacontraseña=XMLScriptPW.

Enlamáquinadedespliegue:

1.Utilizandolasherramientasdedistribucióndesoftwaredelaempresa,despliegueencadamáquina dedespliegueelejecutablesetup.exedelThinkVantageFingerprintSoftwarequesehaextraído delamáquinadepreparación.Cuandoelarchivosetup.exelleguealamáquina,instálelomediante elmandatosiguiente:

setup.exeCTL CNTR=0/q/i

2.Utilizandolasherramientasdedistribucióndesoftwaredelaempresa,despliegueencadamáquinade despliegueelejecutable(tutess.exe)delaguíadeinstalacióndelThinkVantageFingerprintSoftware quesehaextraídodelamáquinadepreparación.Cuandoelarchivotutess.exelleguealamáquina, instálelomedianteelmandatosiguiente:

tutess.exe/q/i

3.Utilizandolasherramientasdedistribucióndesoftwaredelaempresa,despliegueencadamáquina dedespliegueelejecutable(fprconsole.exe)delaConsoladehuellasdactilaresdeThinkVantageque sehaextraídodelamáquinadepreparación.

60ClientSecuritySolution8.21Guíadedespliegue

•Coloqueelarchivofprconsole.exeeneldirectorioC:\Archivosdeprograma\ThinkVantageFingerprint Software\.

•DesactiveelsoportedeseguridaddeencendidodelBIOSejecutandoelmandatosiguiente:

fprconsole.exesettingsTBX0

4.Utilizandolasherramientasdedistribucióndesoftwaredelaempresa,despliegueelejecutable tvtvcss82_xxxx.exe(siendoxxxxelIDdebuild)deThinkVantageClientSolution.

•Cuandoelarchivotvtvcss82_xxxx.exelleguealamáquina,instálelomedianteelmandatosiguiente:

tvtvcss83_xxxx.exe/s/v"/qn"NOCSSWIZARD=1""SUPERVISORPW="BIOSpw""

•LainstalacióndelsoftwarehabilitaráautomáticamenteelhardwaredelMódulodeplataformasegura.

5.Despuésderearrancarelsistema,congureelsistemaconelarchivoscriptXMLmedianteel procedimientosiguiente:

•CopieelarchivoThinkPad.xml.encpreparadoanteriormenteeneldirectorioC:\.

•Abraunindicadordemandatosdistintoyejecute

"C:\ProgramFiles\Lenovo\ClientSecuritySolution\vmserver .exe"C:\ThinkPad.xml.encXMLScriptPW

6.Despuésderearrancar,elsistemayaestarápreparadoparalainscripcióndeusuariodeClientSecurity Solution.CadausuariopuedeiniciarsesiónenelsistemaconsuIDdeusuarioysucontraseñade Windows.Acadausuarioqueiniciesesiónenelsistemaselesolicitaráautomáticamentequese registreenClientSecuritySolutiony,acontinuación,sepodráregistrarenellectordehuellasdactilares.

7.DespuésdequetodoslosusuariosdelsistemasehayanregistradoenelSoftwaredehuellasdactilares deThinkVantage,sepuedehabilitarelvalordeModalidadseguraparahacerquetodoslosusuariosno administradoresdeWindowstenganqueiniciarsesiónconlahuelladactilar.

•Ejecuteelsiguientemandato:

"C:\ProgramFiles\ThinkVantageFingerprintSoftware\fprconsole.exe"settingssecuremode1

•Paraeliminarelmensaje“PulseCtrl+Alt+Suprparainiciarsesiónutilizandounacontraseña”enla

pantalladeiniciodesesión,ejecuteelmandatosiguiente:

"C:\ProgramFiles\ThinkVantageFingerprintSoftware\fprconsole.exesettings" CAD0

AhorasehacompletadoeldesplieguedeClientSecuritySolution8.21ydelSoftwaredehuellasdactilares deThinkVantage.

ConmutacióndemodalidadesdeClientSecuritySolution

SiconmutalamodalidaddeClientSecuritySolutiondelamodalidadcómodaalamodalidadsegurao siconmutadelamodalidadseguraalamodalidadcómoda,yestáutilizandoRescueandRecovery pararealizarunacopiadeseguridaddelsistema,realiceunanuevacopiadeseguridadbasedespués deconmutarlasmodalidades.

ImplementacióndeunActiveDirectorydeempresa

ParaimplementarunActiveDirectorydeempresa,completelospasossiguientes:

1.InstalemedianteActiveDirectoryoLANDesk: a.RealicecopiasdeseguridadyobtengainformesmedianteActiveDirectoryyLANDeskdequién

ycuándosehanrealizado.

b.Proporcioneaalgunosgruposlacapacidadderealizarcopiasdeseguridad,suprimircopiasde

seguridad,opcionesdeplanicaciónyrestriccionesdecontraseñay,acontinuación,cambielos gruposyveasilosvalorespersisten.

c.MedianteActiveDirectory,habiliteAntidoteDeliveryManager.Coloquelospaquetesquese

ejecutarányasegúresedequesecapturaelinforme.

Capítulo6.Prácticasrecomendadas61

InstalaciónautónomaparaCDoarchivosscript

ParaunainstalaciónautónomaparaunarchivoCDoscript,completelospasossiguientes:

1.UtiliceunarchivodeprocesoporlotesparainstalardeformasilenciosaClientSecuritySolutionyla tecnologíadehuellasdactilares.

2.ConguredeformasilenciosalarecuperacióndecontraseñadelBIOS.

SystemUpdate

Paraactualizarelsistema,completelospasossiguientes:

1.InstaleClientSecuritySolutionylatecnologíadelSoftwaredehuellasdactilaresmedianteunservidor deactualizacióndelsistemapersonalizadoquesimulalaformaenqueunagranempresatendríaun servidorconguradoenlugardeiraunservidordeLenovo,deformaquepuedancontrolarelcontenido.

2.Instalesobrelastresversionesdistintasdesoftwareanterior(RescueandRecovery1.0/2.0/3.0, softwaredehuellasdactilares,ClientSecuritySolution5.4–6,FFE).Losvalorestambiénsedeben manteneralinstalarlanuevaversiónsobrelaversiónantigua.

SystemMigrationAssistant

MigredeT40conClientSecuritySolution7.0unT60conClientSecuritySolution8.21.

CómogeneraruncerticadoutilizandolageneracióndeclavesenTPM

LoscerticadossepuedengenerardirectamentemedianteelCSPdeClientSecurityyTPMgeneraráy protegerálasclavesprivadasdeloscerticados.ParasolicitaruncerticadoutilizandoelCSPdeClient SecuritySolution,lleveacabolospasossiguientes:

Requisitos:

•Lamáquinaservidordebetenerinstaladolosiguiente: –Windows2003Enterpriseoposterior

–ActiveDirectory –ElservicioCerticateAuthority

•Lamáquinaclientedebecumplirlosrequisitossiguientes: –TPMhabilitado

–TenerinstaladoelproductoClientSecuritySolution

Cómosolicitaruncerticadodesdeelservidor

CómocrearunaplantillaparaunusuariodeTPM

ParacrearunaplantillaparaunusuariodeTMP,lleveacaboelprocedimientosiguientetalcomose indicaacontinuación:

1.PulseInicio➙Ejecutar.

2.EscribammcypulseAceptar.Aparecerálaventanadelaconsola.

3.DesdeelmenúArchivo,pulseAñadir/Quitarajustey,acontinuación,pulseAñadir.Aparecerá laventanaAñadirajusteautónomo.

4.EfectúeunadoblepulsaciónenAutoridaddecerticacióndelalistadeajustesypulseCerrar.

62ClientSecuritySolution8.21Guíadedespliegue

5.PulseAceptarenlaventanaAñadir/Quitarajuste.

6.PulsePlantillasdecerticadosenelárboldelaconsola.Aparecerántodaslasplantillasdecerticados enelpaneldelaizquierda.

7.PulseAcción➙Duplicarplantilla.

8.EnelcampoMostrarnombre,escribaTPMUser.

9.PulseelseparadorSolicitarmanejoypulseCSP.AsegúresedeseleccionarLassolicitudespueden utilizarcualquierCSPdisponibleenlosequiposimplicados.

10.PulselapestañaGeneral.AsegúresedeseleccionarPublicarcerticadoenActiveDirectory.

11.PulseelseparadorSeguridadenlalistaGruposonombresdeusuarios,pulseUsuariosautenticados yasegúresedeseleccionarInscribirenPermisosparausuariosautenticados.

Conguracióndeunaautoridaddecerticacióndeempresa

ParaemitirelcerticadodeusuariodeTPMcongurandounaautoridaddecerticacióndeempresa,llevea caboelprocedimientosiguientetalcomoseindicaacontinuación:

1.AbraCerticationAuthority.

2.Enelárboldelaconsola,pulseCerticateTemplates.

3.DesdeelmenúAcción,pulseNuevo➙Certicadoparaemitir.

4.PulseTPMypulseAceptar.

Cómoaplicarelcerticadodelcliente

Paraaplicarelcerticadodesdeelcliente,lleveacaboelprocedimientosiguientetalcomoseindicaa continuación:

1.ConéctesealaIntranet,inicieInternetExploreryescribaladirecciónIPdelservidorenelqueestá instaladoelservicioCA.

2.Indiquesunombredeusuariodedominioycontraseñaenlaventanadesolicitud.

3.PulseSolicitaruncerticadoenSeleccionarunatarea.

4.PulseSolicituddecerticadoavanzadaenlaparteinferiordelapáginaweb.

5.EnlapáginaSolicituddecerticadoavanzada,cambielosvaloressiguientes:

•SeleccioneUsuariodeTPMdelalistadesplegablePlantilladecerticados.

•SeleccioneThinkVantageClientSecuritySolutionCSPdelalistadesplegableCSP.

•AsegúresedenoseleccionarMarcarclavescomoexportables.

•PulseSometerysigaelproceso.

•EnlapáginaCerticadoemitido,pulseInstalarestecerticado.AparecerálapáginaCerticado

instalado.

UtilizacióndelostecladosdehuelladactilarUSBconelequipoportátil deThinkPadde2008,modelos(R400/R500/T400/T500/W500/X200/X301)

Lenovocontrataadosproveedoresparaqueproporcionenautenticacióndehuellasdactilaresenlos modelosdelossistemasportátilesytecladosUSBThinkPad anterioresa2008(porejemplo,T61)utilizansensoresdehuelladactilardeThinkVantage.Losmodelosde equiposportátilesdeThinkPadde2008(comenzandoconT400)utilizanlossensoresdehuelladactilar deLenovo.TodoslostecladosdehuellasdactilaresUSBdeLenovoutilizansensoresdehuelladactilar deThinkVantage.Sonnecesariasciertasconsideracionesespecialessiseutilizaeltecladodehuellas dactilaresenalgunosmodelosdeequipoportátildeThinkPad(porejemplo,ThinkPadT400conunteclado USBexterno).

.LosmodelosdeequiposportátilesThinkPad

Capítulo6.Prácticasrecomendadas63

Enestasecciónsedescribenloscasosdeejemplodeusocomúnasícomolasestrategiasdedespliegue paraelsoftwaredehuellasdactilaresqueseinstalaenlosmodelosdeequiposportátilesdeThinkPad.

Nota:

•LenovoFingerprintSoftware ElsoftwaredehuellasdactilaresdeLenovoeselsoftwareparaelsensordehuellasdactilaresAuthenTec (porejemplo,elsensordehuellasdactilaresinternoenT400).

•ThinkVantageFingerprintSoftware ElsoftwaredehuellasdactilaresdeThinkVantageeselsoftwareparaelsensordehuellasdactilares UPEK(porejemplo,elsensordehuellasdactilaresinternoenT61yelsensordehuellasdactilares entodoslostecladosUSBexternos).

IniciodesesiónenWindowsVista

ParainiciarlasesiónenelsistemaoperativoWindowsVista,puedeutilizarelsensordehuellasdactilares AuthenTecoelsensordehuellasdactilaresUPEKsiemprequelodesee.

1.Instalelaversión3.2.0.275oposteriordelsoftwaredehuellasdactilaresdeLenovo.

2.Instalelaversión5.8.2.4824oposteriordelsoftwaredehuellasdactilaresdeThinkVantage.

3.Reinicieelsistema.Automáticamenteseiniciaráelasistentepararegistrarlahuelladactilar.

4.UtiliceelsoftwaredehuellasdactilaresdeThinkVantagepararegistrarsushuellasdactilaresconel sensordehuellasdactilaresexterno.Sinoseiniciaautomáticamente,pulseInicio➙Programas➙ ThinkVantage➙ThinkVantageFingerprintSoftwareparainiciarelregistro.

5.EscribasucontraseñadeWindowscuandoselesolicitey,seguidamente,elijaundedodelquevaa realizarlainscripción.

6.Sigalasindicacionesqueapareceránenlapantalladelequipopararegistrarsudedoutilizandoel sensordehuellasdactilaresexterno.

7.PulseValoresenlapartesuperiordelapantalla.

8.MarqueelrecuadrodeselecciónUtilizarexploracióndelahuelladactilarenlugardelacontraseña cuandoseinicielasesiónenWindows,pulseAceptary,acontinuación,pulseCerrarparacerrar laventana.

9.ReinicieelsistemayasegúresedequepuedeutilizarsuhuelladactilarparainiciarlasesiónenWindows conelsensordehuellasdactilaresexterno.

10.Utiliceelregistrodelahuelladactilarpararegistrarsushuellasdactilaresconelsensordehuellas dactilaresexterno.Sinoseiniciaautomáticamente,pulseInicio➙Programas➙ThinkVantage➙ LenovoFingerprintSoftwareparainiciarelregistro.

11.EscribasucontraseñadeWindowscuandoselesolicitey,seguidamente,elijaundedodelquevaa realizarlainscripción.

12.Sigalasindicacionesqueapareceránenlapantalladelequipopararegistrarsudedoutilizandoel sensordehuellasdactilaresinterno.

13.PulseValoresenlapartesuperiordelapantalla.

14.MarqueelrecuadrodeselecciónUtilizarexploracióndelahuelladactilarenlugardelacontraseña cuandoseinicielasesiónenWindows,pulseAceptary,acontinuación,pulseCerrarparacerrar laventana.

15.ReinicieelsistemayasegúresedequepuedeutilizarsuhuelladactilarparainiciarlasesiónenWindows conelsensordehuellasdactilaresinterno.

64ClientSecuritySolution8.21Guíadedespliegue

IniciodesesiónenWindowsXP

ParainiciarlasesiónenelsistemaoperativoWindowsXP,puedeutilizarelsensordehuellasdactilares AuthenTecoelsensordehuellasdactilaresUPEKsiemprequelodesee.

Casodeejemplo1–ThinkPadT400conuntecladoUSB(noconectadoaldominio)

UtilicelapantalladebienvenidadeWindowsXP.

1.Instalelaversión3.2.0.275oposteriordelsoftwaredehuellasdactilaresdeLenovo.

2.Instalelaversión5.8.2.4824oposteriordelsoftwaredehuellasdactilaresdeThinkVantage.

3.HabilitelapantalladebienvenidadeWindowsXP. a.AbraPaneldecontrol➙Cuentasdeusuario. b.PulseCambiarlaformaenlaquelosusuariosinicianycierransesión. c.MarqueelrecuadrodeselecciónUsarlaPantalladebienvenida. Sielrecuadrodeselecciónnoestuvieradisponible,consulte“Casodeejemplo2–ThinkPadT400con

untecladoUSB(conectadoaldominio)”enlapágina65.

4.PulseInicio➙Programas➙ThinkVantage➙LenovoFingerprintSoftwareparainiciarelregistro.

5.EscribasucontraseñadeWindowscuandoselesolicitey,seguidamente,elijaundedodelquevaa realizarlainscripción.

6.Sigalasindicacionesqueapareceránenlapantalladelequipopararegistrarsudedoutilizandoel sensordehuellasdactilaresinterno.

7.PulseValoresenlapartesuperiordelapantalla.

8.MarqueelrecuadrodeselecciónUtilizarexploracióndelahuelladactilarenlugardelacontraseña

cuandoseinicielasesiónenWindows,desmarqueelrecuadrodeselecciónInhabilitarelsoportede conmutaciónrápidadelusuario,pulseAceptary,acontinuación,pulseCerrarparacerrarlaventana.

9.Rearranqueelsistemayasegúresedequepuedeutilizarsuhuelladactilarparainiciarlasesiónen Windowsconelsensordehuellasdactilaresinterno.

10.ConecteeltecladoUSBexterno.

11.PulseInicio➙Programas➙ThinkVantage➙ThinkVantageFingerprintSoftwareparainiciar elregistro.

12.PulseHuellasdactilares➙RegistraroEditarhuellasdactilaresy,acontinuación,pulseSiguiente paravisualizarlaventanadelacontraseñadeWindows.

13.EscribasucontraseñadeWindowscuandoselesolicitey,seguidamente,elijaundedodelquevaa realizarlainscripción.

14.Sigalasindicacionesqueapareceránenlapantallapararegistrarsudedoutilizandoelsensordehuellas dactilaresexternoeneltecladoUSB.

15.Completeelasistenteparaelregistrodehuellasdactilaresy,acontinuación,pulseFinalizarpara cerrarelasistente.

16.EnlaventanaThinkVantageFingerprintSoftware,pulseValores➙Valoresdelsistemaparaque aparezcalaventanaValoresdeThinkVantageFingerprintSoftware.

17.EnelseparadorIniciodesesión,marqueelrecuadrodeselecciónConmutaciónrápidadeusuario.

18.PulseAceptary,acontinuación,cierrelaventanaSoftwaredehuellasdactilaresdeThinkVantage.

19.ReinicieelsistemayasegúresedequepuedeutilizarsuhuelladactilarparainiciarlasesiónenWindows conelsensordehuellasdactilaresinternooexterno.

Casodeejemplo2–ThinkPadT400conuntecladoUSB(conectadoaldominio)

UtilicelainterfazdeiniciodesesióndeClientSecuritySolution(GINA).

Capítulo6.Prácticasrecomendadas65

1.Instalelaversión3.2.0.275oposteriordelsoftwaredehuellasdactilaresdeLenovo.

2.Instalelaversión5.8.2.4824oposteriordelsoftwaredehuellasdactilaresdeThinkVantage.

3.InstaleClientSecuritySolutionconlaversión8.20.0035oposterior.

4.AsegúresedequeeltecladoUSBestéconectadoalsistema.

5.Reinicieelsistema.Automáticamenteseiniciaráelasistentepararegistrarlahuelladactilar.Sinose iniciaautomáticamente,pulseInicio➙Programas➙ThinkVantage➙ThinkVantageFingerprint Softwareparainiciarelregistro.

6.EscribasucontraseñadeWindowscuandoselesolicitey,seguidamente,elijaundedodelquevaa realizarlainscripción.

7.Sigalasindicacionesqueapareceránenlapantalladelequipopararegistrarsudedoutilizandoel sensordehuellasdactilaresexternoeneltecladoUSBy,acontinuación,pulseSiguienteparaque aparezcalaventana.

8.MarqueelrecuadrodeselecciónCongurarClientSecuritySolutiony,acontinuación,pulseFinalizar paracerrarlaventana.

9.PulseInicio➙Programas➙ThinkVantage➙LenovoFingerprintSoftwareparainiciarelregistro.

10.EscribasucontraseñadeWindowscuandoselesolicitey,seguidamente,elijaundedodelquevaa realizarlainscripción.

11.Sigalasindicacionesqueapareceránenlapantalladelequipopararegistrarsudedoutilizandoel sensordehuellasdactilaresinterno.

12.PulseValoresenlapartesuperiordelapantalla.

13.DesmarqueelrecuadrodeselecciónUtilizarexploracióndelahuelladactilarenlugardela contraseñacuandoseinicielasesiónenWindows,pulseAceptary,acontinuación,pulseCerrar paracerrarlaventana.

14.ReinicieelsistemaeinicielasesiónenWindowsconsucontraseña.

15.HagaclicenInicio➙Todoslosprogramas➙ThinkVantage➙ClientSecuritySolutionparainiciar CSS.

16.DesdeelmenúAvanzado,seleccioneGestionarpolíticasdeseguridadparaqueaparezcalaventana deGestordepolíticas.

17.EnelpanelAccionesdelusuario,seleccioneIniciarsesiónenWindows.

18.EnelpanelPolíticadeseguridad,seleccioneUtilizarunapolíticadeseguridadpredeterminada paraestaaccióndeusuario.

19.PulseAceptary,acontinuación,pulseSíparareiniciarelequipo.

20.Despuésdelreinicio,asegúresedequepuedeutilizarsuhuelladactilarparainiciarlasesiónenWindows conelsensordehuellasdactilaresinternooexterno.

ClientSecuritySolutionyPasswordManager

AlcontrarioqueocurreeneliniciodesesióndeWindows,lassolicitudesdeautenticacióndeClientSecurity SolutionyPasswordManagersolamentefuncionanenelsensordehullasdactilarespreferido.Porejemplo, cuandohayconectadountecladodehuellasdactilares,susensordehuellasdactilaresseráeldispositivo preferido.Cuandonohayconectadoningúntecladodehuellasdactilares,elsensordehuellasdactilares internodeThinkPadseráeldispositivopreferido.

Paracambiareldispositivopreferido,creeunaentradaderegistrotalcomoseindicaacontinuación:

[HKLM\Software\Lenovo\TVTCommon\ClientSecuritySolution] REG_DWORD"Pref erInternalFPSensor"=1

66ClientSecuritySolution8.21Guíadedespliegue

Tabla32.Clavesdelregistro

NombreValorDescripción

Pref erInternalFPSensor

0(valorpredeterminado)

Especicaqueelsensordehuellas dactilaresexternoeselpreferido siemprequehayauntecladode huellasdactilaresconectado.

Especicaqueelsensordehuellas dactilaresinternoeselpreferido.

Autenticacióndeprearranqueutilizandolahuelladactilarenlugarde lascontraseñasdelBIOS

AlcontrarioqueocurreeneliniciodesesióndeWindows,lassolicitudesdeautenticaciónparacontraseñas delBIOSsolamentefuncionanenelsensordehuellasdactilarescuandosehaconguradoelBIOSparaque lasutilice.Deformapredeterminada,elBIOSreconoceelpasodeldedoeneltecladodehuellasdactilares siésteestáconectado.Sieltecladodehuellasdactilaresnoestuvieraconectado,elBIOSreconoceelpaso deldedoeneldispositivodehuellasdactilaresinternoparasuautenticación.

ElvalordelBIOSPrioridaddellectorsepuedecambiarparaforzarelusodelsensordehuellasdactilares interno,aunquehayaconectadountecladodehuellasdactilaresexterno.Elvalorpredeterminadopara PrioridaddellectoresExterno.ElvalorsepuedecambiarporSolamenteinternoparaforzareluso delsensordehuellasdactilaresinterno.

Nota:EstevalordelBIOSseaplicasolamenteasolicitudesdehuellasdactilaresenelBIOS.Notiene ningúnefectosobreeliniciodesesióndeWindowsolassolicitudesdeautenticacióndehuellasdactilares deClientSecuritySolution.

Conguracióndelsoftwaredehuellasdactilaresparahabilitarlaautenticaciónde prearranque

Sihadenidolascontraseñadesupervisor,deencendidoodeunidaddediscoduroenelBIOS,puede congurarelsoftwaredehuellasdactilaresparasuautenticaciónenlugardetenerqueescribiresas contraseñas.

LenovoFingerprintSoftware:paraelsensordehuellasdactilaresinterno

1.PulseInicio➙Programas➙ThinkVantage➙LenovoFingerprintSoftwareparainiciarelsoftware dehuellasdactilares.

2.Pasesudedooescribalacontraseñacuandoselesolicite.

3.PulseValoresenlapartesuperiordelapantalla.

4.MarqueelrecuadrodeselecciónUtilizarexploracióndelahuelladactilarenlugardelascontraseñas

deencendidoydeunidaddediscoduroasícomoelrecuadrodeselecciónMostrarsiemprelas opcionesdeseguridaddeencendidoy,acontinuación,pulseAceptarparacerrarlaventana.

5.Elijaunadelashuellasdactilaresregistradaparahabilitarsuhuelladactilarysustituirlascontraseñas delBIOS.

6.PulseCerrarparacerrarlaventana.

ThinkVantageFingerprintSoftware(WindowsXP)–paraelsensordehuellasdactilaresexterno

1.PulseInicio➙Programas➙ThinkVantage➙ThinkVantageFingerprintSoftwareparainiciarel softwaredehuellasdactilares.

2.PulseValores➙Seguridaddeencendidoenlapartesuperiordelaventana.

Nota:SinoestuvieradisponibleelvalorSeguridaddeencendido,creeunaentradaderegistrotal comoseindicaacontinuaciónparavisualizarestevalor:

Capítulo6.Prácticasrecomendadas67

[HKEY_LOCAL_MACHINE\SOFTWARE\ProtectorSuiteQL\1.0] REG_DWORD"BiosFeatures"=2

3.MarqueelrecuadrodeselecciónSolicitarhuelladactilarparaelarranquedelsistemay,a continuación,pulseAceptarparacerrarlaventana.

4.PulseHuellasdactilares➙RegistraroEditarhuellasdactilaresparaqueaparezcalaventana.

5.Pasesudedooescribalacontraseñacuandoselesolicite.

6.Elijaunadelashuellasdactilaresregistradaparahabilitarsuhuelladactilarysustituirlascontraseñas delBIOS.

7.PulseFinalizarparacerrarlaventana.

ThinkVantageFingerprintSoftware(WindowsVista)–paraelsensordehuellasdactilaresexterno

1.PulseInicio➙Programas➙ThinkVantage➙ThinkVantageFingerprintSoftwareparainiciarel softwaredehuellasdactilares.

2.Pasesudedooescribalacontraseñacuandoselesolicite.

3.PulseValoresenlapartesuperiordelapantalla.

4.MarqueelrecuadrodeselecciónUtilizarexploracióndelahuelladactilarenlugardelascontraseñas

deencendidoydeunidaddediscoduroasícomoelrecuadrodeselecciónMostrarsiemprelas opcionesdeseguridaddeencendidoy,acontinuación,pulseAceptarparacerrarlaventana.

5.Elijaunadelashuellasdactilaresregistradaparahabilitarsuhuelladactilarysustituirlascontraseñas delBIOS.

6.PulseCerrarparacerrarlaventana.

68ClientSecuritySolution8.21Guíadedespliegue

ApéndiceA.Consideracionesacercadelautilizaciónde OmniPass

OmniPassfromSoftex©esunprogramaquesepuedeutilizarparainiciarsesióndeformaseguraensitios webyenaplicaciones,asícomoparaprotegerlosdatosdeunsistema.OmniPasssepuedebeneciardel TMPdelsistemaaccediendoalmismomedianteinterfacesproporcionadasporClientSecuritySolution.A ndeaprovecharelTPM,sedebeinstalarClientSecuritySolutionantesdeinstalarOmniPass.Debidoalas similitudesenlasfuncionesofrecidasporambosproductos,algunasfuncionesdeClientSecuritySolution seinhabilitanuocultancuandoOmniPassestáinstalado.

Además,siinstalaambosprogramassepuedeencontrarconconictos.Tengaencuentalosposibles conictosqueselistanenlatablasiguiente:

Tabla33.CoincidenciadefuncionesdeOmnipass

FunciónCoincidenciadefuncionesConsideraciones

AutenticacióndehuellasdactilaresElSoftwaredehuellasdactilaresde

ThinkVantageyOmniPassrequieren distintosregistrosdehuelladactilar.

GestióndecontraseñasTantoClientSecuritySolutioncomo

OmniPassproporcionanungestorde contraseñas.

IniciodesesióndeWindowsTantoClientSecuritySolutioncomo

OmniPassproporcionanunainterfaz deiniciodesesióndeWindows

CifradodearchivosTantoClientSecuritySolution8.21

comoOmniPassproporcionan aplicacionesdecifrado.

Deberegistrarlashuellasdactilares conelSoftwaredehuellasdactilares deThinkVantageparadarsoportea laautenticaciónpreviaalarranque conelsensordehuellasdactilares. Lashuellasdactilaresregistradascon elSoftwaredehuellasdactilaresde ThinkVantagesonindependientes delashuellasdactilaresregistradas conOmniPass.Lainstalaciónde OmniPassocultaráelenlacedel CentrodecontroldelSoftwarede huellasdactilaresdeThinkVantage delmenúInicio.

ClientSecuritySolutionPassword Managerseráinhabilitado automáticamenteporlainstalación deOmniPass.

Lainterfazdeiniciodesesión deClientSecuritySolutionserá inhabilitadaautomáticamenteporla instalacióndeOmniPass. Nota:Cuandoseinhabilitalainterfaz deiniciodesesióndeClientSecurity Solution,duranteeliniciodesesión deWindowsnoestarádisponible larecuperacióndeunacontraseña deWindowsolvidadamediantela Recuperacióndecontraseñade ClientSecuritySolution.

Lasdosversionespuedencoexistir; sinembargo,paraevitarconfusiones, desinstalePrivateDiskparaClient SecuritySolution7.0yanteriores.

Tabla33.CoincidenciadefuncionesdeOmnipass(continuación)

FunciónCoincidenciadefuncionesConsideraciones

Interfacesdecifrado

AutenticacióndeusuarioTantoClientSecuritySolution

Accesoalasfunciones

TantoClientSecuritySolutioncomo OmniPassproporcionanunCSPy unmóduloPKCS#11.Lasinterfaces decifradodeClientSecuritySolution utilizanautenticaciónindependiente deOmniPass.

comoOmniPasspuedensolicitar autenticacióndeusuario.

ClientSecuritySolutionyOmniPass proporcionanaccesoasusfunciones medianteunaaplicaciónenelmenú Inicio,loquepuedeconfundiralos usuarios.

NoseleccioneelCSPnielmódulo PKCS#11deClientSecuritySolution paraoperacionesdecifrado.

SiestáutilizandotantoClientSecurity SolutioncomoOmniPass,asegúrese dequelosusuariosentiendenla diferenciaentrelosindicadores desolicituddeautenticacióny proporcionanlainformaciónde autenticaciónadecuada(incluidas huellasdactilares)cuandoseles solicite.

EliminelaaplicaciónClientSecurity SolutiondelmenúInicio.

Ademásdelasconsideracionesanteriores,esposiblequetambiénseencuentreconlossiguientes problemasconOmnipass:

•Sisevisualizaunmensajedeerrordefaltadememoriadelplugindehuellasdactilares,omitaelerrory continúeutilizandoOmnipass.

•ElregistrodelTPMnofuncionaráparausuariosconunacontraseñadeWindowsNULA.

70ClientSecuritySolution8.21Guíadedespliegue

ApéndiceB.Consideracionesespecialesparautilizarel tecladodehuellasdactilaresdeLenovoconalgunosmodelos deequiposportátilesThinkPad

EldispositivodehuelladactilarqueseutilizaenalgunosmodelosdeequiposportátilesThinkPadesdistinto aldispositivodehuelladactilarqueseutilizaeneltecladodehuellasdactilaresdeLenovo.Puedequesean necesariasciertasconsideracionesespecialessiseutilizaeltecladodehuelladactilarenalgunosmodelos deequiposportátilesThinkPad.

Paraobtenermásinformación,vayaalapáginadedescargadelsoftwaredehuelladactilarenelsitioweb deLenovodondeencontraráunalistadeestosmodelosdeequiposportátilesThinkPad.

Solamentelosmodelosqueaparecenlistadosen“LenovoFingerprintSoftware”necesitanalguna consideraciónespecialcuandoseutilizanconeltecladodehuelladactilar.Todoslosdemásmodelosde equiposportátilesThinkPad,queutilizan“SoftwaredehuellasdactilaresdeThinkVantage”,utilizanun dispositivodehuelladactilarqueescompatibleconeldispositivoincluidoeneltecladodehuelladactilary norequierenningunaconsideraciónespecial.

Conguraciónydenición

Debehaberinstaladalaversión2.0,oposterior,delSoftwaredehuellasdactilaresdeLenovoparautilizarel dispositivodehuelladactilarenelequipoportátilThinkPad.Losusuariosdebenregistrarhuellasdactilares conelSoftwaredehuellasdactilaresdeLenovoutilizandoeldispositivointegradodehuelladactilar.

Debehaberinstaladalaversión5.8,oposterior,delSoftwaredehuellasdactilaresdeThinkVantagepara utilizareltecladodehuellasdactilaresdeLenovo.Losusuariostambiéndebenregistrarlashuellasdactilares conelSoftwaredehuellasdactilaresdeThinkVantageutilizandoeltecladodehuelladactilar.

Nota:Lashuellasdactilaresregistradasconundispositivonosepuedenintercambiarconelotrodispositivo.

Autenticaciónpreviaalescritorio

Seutilizaráeldispositivoincorporadodehuelladactilaroeltecladodehuelladactilarparalaautenticación previaalescritorio(quesustituyealacontraseñadeencendidodelsistemaodeunidaddediscodurocon unahuelladactilar).ElBIOSdeterminaráquédispositivosedebeutilizarcuandoseenciendaelsistema.

Deformapredeterminada,elBIOSsolamenteaceptaráquesepaseeldedoeneltecladodehuelladactilar siésteestáconectado.Sisepasaeldedodiversasvecesporeldispositivointegradodehuelladactilarse harácasoomisoparalaautenticaciónpreviaalescritoriosihayaconectadountecladodehuelladactilar. Sinoestáconectadoeltecladodehuelladactilar,seutilizaráeldispositivointegradodehuelladactilar paralaautenticaciónpreviaalescritorio.

ElvalordelBIOSpara“ReaderPriority”sepuedecambiarparaqueutiliceelsensorincorporadodehuella dactilar.Sila“ReaderPriority”sehadenidoen“Internalonly”,sepodráutilizarelsensorintegradode huelladactilarparalaautenticaciónpreviaalescritorio.Enestecaso,seharácasoomisodelpasodel dedoporeltecladodehuelladactilar.

IniciodesesióndeWindows

EltecladodehuellasdactilaresdeLenovoyeldispositivodehuelladactilarqueseutilizanenThinkPad proporcionanambossupropiainterfazparainiciarsesiónenWindowsconunahuelladactilar.

Importante:Losproblemasdecompatibilidadpuedencausarproblemascuandoseinicialasesiónsilas

interfacesdeiniciodesesióndehuelladactilarnosehanconguradocorrectamente.

WindowsXP-Pantalladebienvenida

ParadarsoportealiniciodesesióntantoconeltecladodehuellasdactilaresdeLenovocomoconelsensor dehuelladactilarincorporadodeThinkPadconlapantalladebienvenidadeWindowsXP,debetener habilitadaslasinterfacesdeiniciodesesióndelSoftwaredehuellasdactilaresdeLenovoydelSoftware dehuellasdactilaresdeThinkVantage.

CuandoseinicialasesiónconlapantalladebienvenidadeWindowsXPhabilitadayambasinterfacesde iniciodesesiónconhuelladactilarestánhabilitadas,losusuariospuedenpasareldedoporeltecladode huelladactilaroporeldispositivointegradodehuelladactilarparainiciarlasesión.

Nota:Elvalor“ReaderPriority”delBIOSnoseaplicaenestasituación.Puedeutilizarsecualquier dispositivodelosdosparaeliniciodesesiónsiambosdispositivosestándisponibles.

LapantalladebienvenidadeWindowsXPsepuedehabilitaratravésdelaopción“Cuentasdeusuario” delPaneldecontroldeWindowsXP.

LainterfazdeiniciodesesióndehuelladactilarparaLenovoFingerprintSoftware(paraelsensorintegrado dehuelladactilar)yThinkVantageFingerprintSoftware(paraeltecladodehuelladactilar)sepuedehabilitar mediantelaopción“Valores”delasrespectivasaplicacionesdesoftwaredehuelladactilar.

WindowsXP-Solicituddeiniciodesesiónclásica

Importante:LasinterfacesdeiniciodesesióndehuelladactilarparaelSoftwaredehuellasdactilaresde

LenovoyelSoftwaredehuellasdactilaresdeThinkVantagenodebenhabilitarsealavezsisehahabilitado lasolicituddeiniciodesesiónclásicadeWindowsXP(interfazdeiniciodesesiónGINA).Puedenproducirse resultadosinesperadossiestánhabilitadasambasinterfacesdeiniciodesesiónynoseutilizalapantallade bienvenidadeWindowsXP.

SiesnecesarialasolicituddeiniciodesesiónclásicadeWindowsXP(porejemplo,paradarsoporteal iniciodesesiónenundominio)yseseleccionaeliniciodesesióndehuelladactilarconcualquiersensor,se deberáhabilitarlainterfazdeiniciodesesióndeClientSecuritySolution.Conlainterfazdeiniciodesesión deClientSecuritySolutionhabilitada,eliniciodesesiónenWindowsesposibletantoconeltecladode huelladactilarcomoconeldispositivointegradodehuelladactilar.

Nota:Estaopciónsolamenteestádisponibleenlaversión8.21,oposterior,deClientSecuritySolution.

LainterfazdeiniciodesesióndeClientSecuritySolutionsepuedehabilitarmediantelaaplicación ClientSecuritySolutionenelmenúInicio.Laopciónparacongurarlainterfazdeiniciodesesiónde ClientSecuritySolutionsepuedeencontrarseleccionando“Gestionarpolíticasdeseguridad”delmenú “Avanzado”deClientSecuritySolution.

AsegúresedequelasinterfacesdeiniciodesesiónparaLenovoFingerprintSoftwareyThinkVantage FingerprintSoftwareesténhabilitadasmediantelaopción“Valores”delasrespectivasaplicacionesde softwaredehuelladactilar.

WindowsVista

ParadarsoportealiniciodesesióntantoconeltecladodehuellasdactilaresdeLenovocomoconelsensor incorporadodehuelladactilardeThinkPadenWindowsVista,debetenerhabilitadaslasinterfacesdeinicio desesióndelSoftwaredehuellasdactilaresdeLenovoydelSoftwaredehuellasdactilaresdeThinkVantage.

72ClientSecuritySolution8.21Guíadedespliegue

CuandoambasinterfacesdeiniciodesesióndehuelladactilarestánhabilitadasenWindowsVista,los usuariospuedenpasareldedoporeltecladodehuelladactilaroporeldispositivointegradodehuella dactilarparainiciarlasesión.

Notas:

1.Elvalor“Prioridaddellector”delBIOSnoseaplicaenestecaso.Puedeutilizarsecualquierdispositivo delosdosparaeliniciodesesiónsiambosdispositivosestándisponibles.

2.LapantalladeiniciodesesióndeWindowsVistasolamentepuedemostrarunmosaicoobotón,por cadainiciodesesióndehuelladactilar,aunquesepuedeutilizarcualquiersensordehuellasdactilares parainiciarlasesión.

Deformaalternativa,paradarsoportetantoaltecladodehuelladactilarcomoaldispositivointegradode huelladactilar,sepuedeutilizarlainterfazdeiniciodesesióndeClientSecuritySolutionenlugardelas interfacesdeiniciodesesióndelsoftwaredehuelladactilar.Sinembargo,estaprestaciónsolamenteestá disponibleenlaversión8.21,oposteriores,deClientSecuritySolution.

SiutilizalainterfazdeiniciodesesióndeClientSecuritySolution,lasinterfacesdeiniciodesesióndel softwaredehuelladactilardeberánestarinhabilitadasenlaopción“Valores”delasrespectivasaplicaciones desoftwaredehuelladactilar.LainterfazdeiniciodesesióndeClientSecuritySolutionsepuedehabilitar mediantelaaplicaciónClientSecuritySolutionenelmenúInicio.Laopciónparacongurarlainterfazde iniciodesesióndeClientSecuritySolutionsepuedeencontrarseleccionandoGestionarpolíticasde

seguridaddelmenúAvanzadodeClientSecuritySolution.

AutenticaciónconClientSecuritySolution

Nota:Lainformaciónsiguienteseaplicasolamentealaversión8.21,yposteriores,deClientSecurity

Solution.LasversionesanterioresdeClientSecuritySolutionnodansoportealautilizacióndeldispositivo integradodehuelladactilarconeltecladodehuelladactilar.

CuandoserealizaunaacciónconClientSecuritySolutionquerequiereautenticacióndehuelladactilar, comoporejemplolaespecicaciónautomáticadelacontraseñaenunsitiowebconPasswordManager,los usuariosdebenpasarundedosobreeltecladodehuelladactilar,siestáconectado,enelmomentoenque asíselessolicite.Seharácasoomisosisepasaeldedodiversasvecesporeldispositivoincorporado dehuelladactilar,sieltecladodehuelladactilarestáconectado.Sieltecladodehuelladactilarnoestá conectado,setendráqueutilizarelsensorintegradodehuelladactilar.

Haydisponibleunvalorderegistroparapediralosusuariosqueutilicenelsensorincorporadodehuella dactilarparalaautenticaciónconClientSecuritySolution.Sisedeneestaentradaderegistro,la autenticacióndehuelladactilarconClientSecuritySolutiondeberárealizarseconelsensorincorporadoyse harácasoomisodelaaccióndepasareldedoporeltecladodehuelladactilar.

Laentradadelregistroeslasiguiente:

[HKLM\Software\Lenovo\TVTCommon\ClientSecuritySolution] REG_DWORD"Pref erInternalFPSensor"=1

Elvalorpredeterminadodelaentradaderegistroanteriores0,cuandolaautenticacióndehuelladactilar conClientSecuritySolutiondebehacerseconeltecladodehuelladactilaryseharácasoomisodelaacción depasareldedoporeldispositivoincorporadodehuelladactilar.

EstevalortambiénsepuedecambiarutilizandoelarchivodeplantillasadministrativasdeClientSecurity SolutionconlaspolíticasdegrupoparaActiveDirectory.

Notas:

ApéndiceB.ConsideracionesespecialesparautilizareltecladodehuellasdactilaresdeLenovoconalgunos

modelosdeequiposportátilesThinkPad73

1.CuandoelvalordeBIOS“ReaderPriority”sehadenidoen“Internalonly”,serecomiendadenirel valordelaentradaderegistroen1.EstaacciónhabilitarálaautenticaciónconClientSecuritySolution parasimularelvalordeautenticaciónpreviaalescritoriodeBIOS.

2.ElvalordeBIOSyelvalordeesteregistrosonindependientes.

74ClientSecuritySolution8.21Guíadedespliegue

ApéndiceC.SincronizacióndelacontraseñaenCSStras restablecerlacontraseñadeWindows

UnavezrestablecidalacontraseñadeWindows,ClientSecuritySolutionlesolicitaconstantemente unacontraseñadeWindowsnuevapero,seguidamentemuestraunmensajedeerrorqueindicaquela contraseñaesincorrecta.LaseguridaddeWindowssehadiseñadodeformaquelascredencialesde seguridaddelusuarioquedeninvalidadascuandoserestablezcalacontraseñadeWindows.Windowsle mostraráunmensajedeavisoencadaintentoderestablecerlacontraseña.Además,alrestablecerla contraseñadeWindowsnosolamenteseveráafectadoelproductoClientSecuritySolutionsinoque tambiénperderáelaccesoaloscerticadosyarchivosquesehayancifradomedianteWindowsEFS. CuandoClientSecuritySolutionyanopuedeaccederalascredencialesdeseguridaddeWindows(como resultadoderestablecerlacontraseña),ClientSecuritySolutionlesolicitaráconstantementeunacontraseña nuevayseguidamentemostraráunmensajedeerrorenelqueseindicaquelacontraseñaqueseha indicadonoesválida.ClientSecuritySolutionnopuedefuncionarcuandolascredencialesdeseguridadde Windowshanquedadoinvalidadas.SisehacambiadlacontraseñadeWindowsdelusuario(porejemplo, selesolicitaqueespeciquetantolacontraseñaantiguacomolanueva),seconservaránlascredencialesde seguridadyseprotegerángraciasalanuevacontraseña.

ParasincronizarlacontraseñaenCSStrasrestablecerlacontraseñadeWindows,realicelosiguiente:

1.RestaureunacopiadeseguridaddesusistemaantesderestablecerlacontraseñadeWindows.

2.RestablezcalacontraseñadeWindowsnuevamentealaquehabíaoriginalmente.Deestaformase restableceráelaccesoalascredencialesdeseguridaddeWindows.

3.CreeunacuentanuevadeWindowsycomienceautilizarlaenlugardeemplearlacuentaoriginalcon lascredencialescorruptas.

4.Sigaestemétodopararecuperarelsistema: a.IniciePasswordManager. b.PulseImport/ExportyseleccioneExportentrylist. c.Especiqueunaubicaciónparaguardarelarchivoyescribaunnombredearchivo. d.Especiqueunacontraseñaparaelarchivodeentradas. e.CierrePasswordManager. f.InicieClientSecuritySolution. g.PulseAvanzadas➙Restablecervaloresdeseguridad. h.EscribalacontraseñanuevadeWindowscuandoselesolicite. i.ClientSecuritySolutionlesolicitaráquereinicieelsistema. j.Despuésdereiniciarelsistema,iniciePasswordManager. k.PulseImport/ExportyseleccioneImportentrylist. l.Examineelarchivoquesehaguardadoanteriormente. m.Especiquelacontraseñacuandoselesolicite.

76ClientSecuritySolution8.21Guíadedespliegue

ApéndiceD.Avisos

PuedequeenotrospaísesLenovonoofrezcalosproductos,serviciosocaracterísticasquesedescriben enestainformación.ConsulteconelrepresentantelocaldeLenovoparaobtenerinformaciónsobre losproductosyserviciosactualmentedisponiblesensuárea.Lasreferenciasaprogramas,productos oserviciosdeLenovonopretendenestablecerniimplicarquesólopuedanutilizarselosproductos, programasoserviciosdeLenovo.Ensulugar,sepuedeutilizarcualquierproducto,programaoservicio funcionalmenteequivalentequenoinfrinjalosderechosdepropiedadintelectualdeLenovo.Sinembargo, esresponsabilidaddelusuarioevaluaryvericarelfuncionamientodelosproductos,programasoservicios quenoseandeLenovo.

Lenovopuedetenerpatentesosolicitudesdepatentependientesquetrateneltemadescritoeneste documento.Laposesióndeestedocumentonoleconereningunalicenciasobredichaspatentes.Puede enviarconsultassobrelicencias,porescrito,a:

Lenovo(UnitedStates),Inc. 1009ThinkPlace-BuildingOne Morrisville,NC27560 U.S.A. Attention:LenovoDirectorofLicensing

LENOVOPROPORCIONAESTAPUBLICACIÓN“TALCUAL”SINNINGÚNTIPODEGARANTÍA,EXPLÍCITA NIIMPLÍCITA,INCLUYENDOPERONOLIMITÁNDOSEA,LASGARANTÍASIMPLÍCITASDENO VULNERACIÓN,COMERCIALIZACIÓNOIDONEIDADPARAUNPROPÓSITODETERMINADO.Algunas jurisdiccionesnopermitenlarenunciaagarantíasexplícitasoimplícitasendeterminadastransaccionesy, porlotanto,estadeclaraciónpuedequenoseapliqueensucaso.

Estainformaciónpuedeincluirimprecisionestécnicasoerrorestipográcos.Lainformaciónincluidaeneste documentoestásujetaacambiosperiódicos;estoscambiosseincorporaránennuevasedicionesdela publicación.Lenovopuederealizarencualquiermomentomejorasy/ocambiosenel(los)producto(s)y/o programa(s)descrito(s)enestainformaciónsinprevioaviso.

Losproductosquesedescribenenestedocumentonosehandiseñadoparaserutilizadosenaplicaciones deimplantaciónoenotrasaplicacionesdesoportedirectoenlasqueunaanomalíapuedeserlacausade lesionescorporalesopuedeprovocarlamuerte.Lainformacióncontenidaenestedocumentonoafectani modicalasespecicacionesogarantíasdelosproductosdeLenovo.Estedocumentonopuedeutilizarse comolicenciaexplícitaoimplícitanicomoindemnizaciónbajolosderechosdepropiedadintelectualde Lenovoodeterceros.Todalainformacióncontenidaenestedocumentosehaobtenidoenentornos especícosysepresentacomoejemplo.Elresultadoobtenidoenotrosentornosoperativospuedevariar.

Lenovopuedeutilizarodistribuirlainformaciónqueseleproporcionaenlaformaqueconsidereadecuada, sinincurrirporelloenningunaobligaciónparaconelremitente.

LasreferenciascontenidasenestapublicaciónasitioswebquenoseandeLenovosóloseproporcionan porcomodidadyenningúnmodoconstituyenunaaprobacióndedichossitiosweb.Losmaterialesde dichossitioswebnoformanpartedelosmaterialesparaesteproductodeLenovoyelusodedichossitios webcorreacuentayriesgodelusuario.

Cualquierdatoderendimientocontenidoenestadocumentaciónsehadeterminadoparaunentorno controlado.Porlotanto,elresultadoobtenidoenotrosentornosoperativospuedevariarsignicativamente. Algunasmedidassehanrealizadoensistemasenelámbitodedesarrolloynosegarantizaqueestas medidasseanlasmismasenlossistemasdisponiblesgeneralmente.Asimismo,algunasmedidassepueden

habercalculadoporextrapolación.Losresultadosrealespuedenvariar.Losusuariosdeestedocumento debenvericarlosdatosaplicablesparasuentornoespecíco.

Marcasregistradas

LostérminosquesiguensonmarcasregistradasdeLenovoenlosEstadosUnidosy/oenotrospaíses:

Lenovo RescueandRecovery ThinkCentre ThinkPad ThinkVantage

Microsoft,WindowsyWindowsVistasonmarcasregistradasdelgrupodeempresasMicrosoft.

Otrosnombresdeempresas,productososerviciospuedensermarcasregistradasodeserviciodeotros.

78ClientSecuritySolution8.21Guíadedespliegue

Glosario

ContraseñadelBIOSdeAdministrador(ThinkCentre) /Supervisor(ThinkPad)

Estándardecifradoavanzado(AES)AdvancedEncryptionStandardesunatécnicade

Sistemasdecifrado

Chipdeseguridadincorporado

Cifradodeclavespúblicas/clavesasimétricasLosalgoritmosdeclavespúblicasnormalmente

Lacontraseñadeadministradorosupervisorse utilizaparacontrolarlacapacidaddecambiar losvaloresdelBIOS.Estoincluyelacapacidad dehabilitaroinhabilitarelchipdeseguridad incorporadoydeborrarlaClavederaízde almacenamientoalmacenadaconelMódulode plataformasegura.

cifradodeclavessimétricas.Elgobiernodelos EE.UU.adoptóelalgoritmocomosutécnicade cifradoenoctubrede2000,sustituyendoelcifrado DESqueutilizaba.AESofreceunamayorseguridad contralosataquesdefuerzabrutaquelasclavesa 56bits,yAESpuedeutilizarclavesde128,192y 256bits,siesnecesario.

Lossistemasdecifradosepuedenclasicar ampliamenteencifradodeclavessimétricasque utilizanunaúnicaclavequecifraydescifralos datos,ycifradodeclavespúblicasqueutiliza dosclaves,unaclavepúblicaconocidaportodo elmundoyunaclaveprivadaalaquesólotiene accesoelpropietariodelpardeclaves.

Elchipdeseguridadincorporadoesotronombre paraunMódulodeplataformasegura.

utilizanunpardedosclavesrelacionadas:unaclave esprivadaysedebemantenerensecreto,mientras quelaotrasehacepúblicaysepuededistribuir ampliamente;nodebeserposiblededucirunaclave deunparsiseproporcionalaotra.Laterminología de“cifradodeclavespúblicas”derivadelaidea dehacerpartedelaclaveinformaciónpública.El términocifradodeclavesasimétricastambiénse utilizaporquenotodaslaspartesmantienenla mismainformación.Enciertosentido,unaclave “bloquea”unbloqueo(cifra);peroesnecesariouna clavedistintaparadesbloquearla(descifrarla).

Claveraízdealmacenamiento(SRK)Laclaveraízdealmacenamiento(SRK)esunpar

declavespúblicasde2,048bits(omayor).Está inicialmentevacíaysecreacuandoseasignael propietariodelTPM.Estepardeclavesnunca abandonaelchipdeseguridadincorporado.Se utilizaparacifrar(empaquetar)clavesprivadaspara elalmacenamientofueradelMódulodeplataforma segurayparadescifrarlascuandosecargande nuevoenelMódulodeplataformasegura.LaSRK lapuedeborrarcualquieraquetengaaccesoal BIOS.

CifradodeclavessimétricasLascifrasdelcifradodeclavessimétricasutilizanla

mismaclaveparacifraryparadescifrarlosdatos. Lascifrasdelasclavessimétricassonmássimples ymásrápidas,perosuprincipaldesventajaesque lasdospartesdebendealgunamaneraintercambiar laclavedeunaformasegura.Elcifradodeclaves públicasevitaesteproblemaporquelaclavepública sepuededistribuirdeunaformanosegura,yla claveprivadanosetransmitenunca.Advanced EncryptionStandardesunejemplodeunaclave simétrica.

Módulodeplataformasegura(TPM)LosMódulosdeplataformasegurasoncircuitos

integradosconunpropósitoespecialincorporados enlossistemasparapermitirunaautenticación deusuarioyvericacióndelamáquinafuertes. LanalidadprincipaldelTPMesevitarelacceso inadecuadoainformaciónimportanteycondencial. ElTPMesunaraízdeabilidadbasadaenhardware quesepuedeaprovecharparaproporcionaruna variedaddeserviciosdecifradoenunsistema. OtronombreparaelTPMeselchipdeseguridad incorporado.

Lenovo ThinkVantage Client Security Solution 8.21 Deployment Guide [es]

Specifications and Main Features

Frequently Asked Questions

User Manual

Prefacio

Capítulo1.Visióngeneral

ClientSecuritySolution

FrasedepasodeClientSecuritySolution

RecuperacióndecontraseñadeClientSecurity

ClientSecurityPasswordManager

SecurityAdvisor

Restablecimientodelacontraseñadehardware

SoportedesistemassinelMódulodeplataformasegura

FingerprintSoftware

Capítulo2.Instalación

ClientSecuritySolution

Requisitosdeinstalación

Propiedadespúblicasdepersonalización

SoportedeMódulodeplataformasegura

Procedimientosdeinstalaciónyparámetrosdelalíneademandatos

PropiedadespúblicasestándardeWindowsInstaller

Archivodeanotacionesdeinstalación

InstalacióndeClientSecuritySolution8.21conversionesexistentes

InstalacióndelSoftwaredehuellasdactilaresdeThinkVantage

Instalaciónsilenciosa

Options

InstalacióndelSoftwaredehuellasdactilaresdeLenovo

Instalaciónsilenciosa

Options

Servidordegestióndesistemas

Capítulo3.CómotrabajarconClientSecuritySolution

UtilizacióndelMódulodeplataformasegura

UtilizacióndelMódulodeplataformaseguraconWindowsVista

GestióndeClientSecuritySolutionconclavesdecifrado

Tomarpropiedad

Registrarusuario

Emulacióndesoftware

Cambiodelaplacadelsistema

ProgramadeutilidaddeproteccióndeEFS

UtilizacióndelesquemaXML

Ejemplos

UtilizacióndeseñalesRSASecurID

InstalacióndelaseñaldesoftwareRSASecurID

Requisitos

EstablecimientodelasopcionesdeaccesodelaSmartCard

InstalaciónmanualdelaseñaldesoftwareRSASecurID

SoportedeActiveDirectory

Valoresypolíticasparalaautenticaciónconellectordehuellas dactilares

Opciónomisióndehuelladactilarobligada

Resultadodepasareldedoporeldispositivodehuelladactilar

Herramientasdelalíneademandatos

SecurityAdvisor

Herramientadecifradoodescifradodelarchivodedespliegue

Herramientadeprocesodelarchivodedespliegue

TPMENABLE.EXE

HerramientadeactivacióndeTPM

SoportedeActiveDirectory

Archivosdeplantillaadministrativa(ADM)

Valoresdelapolíticadegrupo

ActiveUpdate

Capítulo4.CómotrabajarconelSoftwaredehuellasdactilares deThinkVantage

HerramientaConsoladegestión

Mandatosdevaloresglobales

Modalidadseguraymodalidadcómoda

Modalidadsegura-administrador

Modalidadsegura-usuarioconlimitaciones

Modalidadcómoda-administrador

Modalidadcómoda-usuarioconlimitaciones

SoftwaredehuellasdactilaresyNovellNetwareClient

Autenticando

ServiciodelSoftwaredehuellasdactilaresdeThinkVantage

Capítulo5.CómotrabajarconelSoftwaredehuellasdactilares deLenovo

HerramientaConsoladegestión

ServiciodelSoftwaredehuellasdactilaresdeLenovo

SoportedeActiveDirectoryparaelSoftwaredehuellasdactilaresde Lenovo

Capítulo6.Prácticasrecomendadas

EjemplosdedespliegueparainstalarClientSecuritySolution

Casodeejemplo1

Casodeejemplo2

ConmutacióndemodalidadesdeClientSecuritySolution