Lenovo ThinkVantage Client Security Solution 8.21 Deployment Guide [es]

ClientSecuritySolution8.21 Guíadedespliegue
Actualizado:febrerode2012
Nota:Antesdeutilizarestainformaciónyelproductoalquedasoporte,lealainformacióngeneraldel ApéndiceD“Avisos”enlapágina77.
Terceraedición(Febrero2012) ©CopyrightLenovo2008,2012.
AVISODEDERECHOSLIMITADOSYRESTRINGIDOS:silosproductososoftwaresesuministransegúnelcontrato “GSA”(GeneralServicesAdministration),lautilización,reproducciónodivulgaciónestánsujetasalasrestricciones establecidasenelContratoNúm.GS-35F-05925.
Contenido
Prefacio................iii
Capítulo1.Visióngeneral........1
ClientSecuritySolution............1
FrasedepasodeClientSecuritySolution...2 RecuperacióndecontraseñadeClient
Security................2
ClientSecurityPasswordManager......3
SecurityAdvisor.............3
Asistentedetransferenciadecerticados...4 Restablecimientodelacontraseñade
hardware................4
SoportedesistemassinelMódulode
plataformasegura............4
FingerprintSoftware.............4
Capítulo2.Instalación..........7
ClientSecuritySolution............7
Requisitosdeinstalación..........7
Propiedadespúblicasdepersonalización...8 SoportedeMódulodeplataformasegura...8 Procedimientosdeinstalaciónyparámetros
delalíneademandatos..........9
PropiedadespúblicasestándardeWindows
Installer................12
Archivodeanotacionesdeinstalación...13 InstalacióndeClientSecuritySolution8.21
conversionesexistentes.........14
InstalacióndelSoftwaredehuellasdactilaresde
ThinkVantage...............14
Instalaciónsilenciosa..........14
Options................15
InstalacióndelSoftwaredehuellasdactilaresde
Lenovo..................16
Instalaciónsilenciosa..........16
Options................16
Servidordegestióndesistemas........18
Capítulo3.CómotrabajarconClient
SecuritySolution...........19
UtilizacióndelMódulodeplataformasegura...19
UtilizacióndelMódulodeplataformasegura
conWindowsVista...........19
GestióndeClientSecuritySolutionconclavesde
cifrado..................20
Tomarpropiedad............20
Registrarusuario............21
Emulacióndesoftware..........22
Cambiodelaplacadelsistema......23
ProgramadeutilidaddeproteccióndeEFS.25
UtilizacióndelesquemaXML.........26
Ejemplos...............26
UtilizacióndeseñalesRSASecurID......33
InstalacióndelaseñaldesoftwareRSA
SecurID...............33
Requisitos..............33
Establecimientodelasopcionesdeaccesode
laSmartCard.............33
Instalaciónmanualdelaseñaldesoftware
RSASecurID.............34
SoportedeActiveDirectory........34
Valoresypolíticasparalaautenticaciónconel
lectordehuellasdactilares..........34
Opciónomisióndehuelladactilarobligada..34 Resultadodepasareldedoporeldispositivo
dehuelladactilar............35
Herramientasdelalíneademandatos.....35
SecurityAdvisor............35
AsistentedeconguracióndeClientSecurity
Solution...............36
Herramientadecifradoodescifradodel
archivodedespliegue..........37
Herramientadeprocesodelarchivode
despliegue..............38
TPMENABLE.EXE...........38
Herramientadetransferenciadecerticados.38
HerramientadeactivacióndeTPM.....39
SoportedeActiveDirectory.........40
Archivosdeplantillaadministrativa(ADM)..40
Valoresdelapolíticadegrupo.......41
ActiveUpdate.............45
Capítulo4.Cómotrabajarconel Softwaredehuellasdactilaresde
ThinkVantage.............47
HerramientaConsoladegestión........47
Mandatosespecícosdelusuario.....47
Mandatosdevaloresglobales.......48
Modalidadseguraymodalidadcómoda.....49
Modalidadsegura-administrador.....49
Modalidadsegura-usuarioconlimitaciones.50
Modalidadcómoda-administrador....50
Modalidadcómoda-usuariocon
limitaciones..............51
Valorescongurables..........52
SoftwaredehuellasdactilaresyNovellNetware
Client..................53
Autenticando.............53
©CopyrightLenovo2008,2012
i
ServiciodelSoftwaredehuellasdactilaresde
ThinkVantage...............54
Capítulo5.Cómotrabajarconel Softwaredehuellasdactilaresde
Lenovo................55
HerramientaConsoladegestión........55
ServiciodelSoftwaredehuellasdactilaresde
Lenovo..................55
SoportedeActiveDirectoryparaelSoftwarede
huellasdactilaresdeLenovo.........55
Capítulo6.Prácticas
recomendadas............57
EjemplosdedespliegueparainstalarClient
SecuritySolution..............57
Casodeejemplo1...........57
Casodeejemplo2...........59
ConmutacióndemodalidadesdeClientSecurity
Solution.................61
ImplementacióndeunActiveDirectoryde
empresa.................61
InstalaciónautónomaparaCDoarchivosscript.62
SystemUpdate..............62
SystemMigrationAssistant..........62
Cómogeneraruncerticadoutilizandola
generacióndeclavesenTPM.........62
Requisitos:..............62
Cómosolicitaruncerticadodesdeel
servidor...............62
Utilizacióndelostecladosdehuella dactilarUSBconelequipoportátil deThinkPadde2008,modelos
(R400/R500/T400/T500/W500/X200/X301)....63
IniciodesesiónenWindowsVista.....64
IniciodesesiónenWindowsXP......65
ClientSecuritySolutionyPassword
Manager...............66
Autenticacióndeprearranqueutilizandola huelladactilarenlugardelascontraseñasdel
BIOS.................67
ApéndiceA.Consideracionesacerca
delautilizacióndeOmniPass....69
ApéndiceB.Consideraciones especialesparautilizarelteclado dehuellasdactilaresdeLenovo conalgunosmodelosdeequipos
portátilesThinkPad..........71
Conguraciónydenición..........71
Autenticaciónpreviaalescritorio.......71
IniciodesesióndeWindows.........71
WindowsXP-Pantalladebienvenida.....72
WindowsXP-Solicituddeiniciodesesión
clásica..................72
WindowsVista...............72
AutenticaciónconClientSecuritySolution....73
ApéndiceC.Sincronizacióndela contraseñaenCSStrasrestablecer
lacontraseñadeWindows......75
ApéndiceD.Avisos..........77
Marcasregistradas.............78
Glosario................lxxix
iiClientSecuritySolution8.21Guíadedespliegue

Prefacio

EstaguíaestádestinadaalosadministradoresdeTIoaaquellosqueseanresponsablesdela implementacióndelprogramaThinkVantage Softwareenlossistemasdesusempresas.Estaguíaproporcionalainformaciónnecesariaparainstalar ClientSecuritySolutionyelSoftwaredehuellasdactilaresenunoovariossistemas,siemprequeestén disponibleslicenciasdelsoftwareparacadasistemadedestino.
ElobjetivodeClientSecuritySolutionydelSoftwaredehuellasdactilaresconsisteenprotegerlossistemas garantizandolaseguridaddelosdatosdelosclientesyendesviarlosintentosdeviolacióndelaseguridad. Pararealizarpreguntasyobtenerinformaciónacercadelautilizacióndelosdistintoscomponentesde ClientSecuritySolutionydelSoftwaredehuellasdactilares,consulteelsistemadeayudaenlíneapara loscomponentesubicadoenhttp://www.lenovo.com/thinkvantage.
Periódicamenteestasguíasseactualizan.Visiteelsiguientesitiowebparaverfuturaspublicaciones: http://www.lenovo.com/thinkvantage
Sitienesugerenciasocomentarios,póngaseencontactoconelrepresentanteautorizadodeLenovo®.
®
ClientSecuritySolutionydeThinkVantageFingerprint
©CopyrightLenovo2008,2012
iii
ivClientSecuritySolution8.21Guíadedespliegue

Capítulo1.Visióngeneral

EstecapítuloproporcionaunavisióngeneraldeClientSecuritySolutionydelSoftwaredehuellasdactilares. Lastecnologíaspresentadasenestaguíadedesplieguepuedenayudar,directaeindirectamente, alosprofesionalesdeTIporquehacenquelautilizacióndelossistemaspersonalesseamásfácil ymásautosuciente,yporqueproporcionanpotentesherramientasquefacilitanysimplicanlas implementaciones.ConlaayudadelastecnologíasThinkVantage,losprofesionalesdeTIempleanmenos tiemposolucionandoproblemasdesistemasindividualesymástiempodedicadosasustareasprincipales.

ClientSecuritySolution

ElpropósitoprincipaldelsoftwaredeClientSecuritySolutionconsisteenayudaralclienteaprotegerel sistemacomounactivo,protegerlosdatoscondencialesenelsistemayprotegerlasconexionesde redalasqueaccedeelsistema.(ParasistemasdeLenovoquecontienenunTrustedComputingGroup (TCG)compatibleconTrustedPlatformModule(TPM),elsoftwareClientSecuritySolutionaprovecharáel hardwarecomolabasedeconanzaparaelsistema.Sielsistemanocontieneunchipdeseguridad incorporado,ClientSecuritySolutionaprovecharálasclavesdecifradobasadasensoftwarecomola basedeconanzadelsistema).
LasfuncionesdeClientSecuritySolutionVersion8.2incluyenlassiguientes:
AutenticacióndeusuarioseguraconlacontraseñadeWindows®olafrasedepasodeClient
SecuritySolution
ClientSecuritySolutionsepuedecongurarparaaceptarlacontraseñadeWindowsolafrasede pasodeClientSecuritySolutiondeunusuarioparalaautenticación.LacontraseñadeWindows proporcionacomodidadycapacidaddegestiónmedianteWindowsmientrasquelafrasedepasode ClientSecuritySolutionproporcionaseguridadadicional.Eladministradorpuedeseleccionarquémétodo deautenticacióndeseautilizaryestevalorsepuedecambiarinclusodespuésdequelosusuarios sehayanregistradoconClientSecuritySolution.
Autenticacióndeusuariomediantehuelladactilar AprovechalatecnologíadehuellasdactilaresintegradayconectadamedianteUSBparaautenticar usuariosenaplicacionesprotegidasmediantecontraseña.
AutencacióndeusuariodevariosfactoresparainiciodesesióndeWindowsyvariasoperaciones
deClientSecuritySolution
Denevariosdispositivosdeautenticación(contraseñadeWindows,frasedepasodeClientSecurityy huellasdactilares)paradiversasoperacionesrelacionadasconlaseguridad.
Gestióndecontraseñas Gestionayalmacenadeformasegurainformaciónimportantedeiniciodesesión,talcomolosIDde usuarioycontraseñas.
Recuperacióndecontraseñayfrasedepaso LarecuperacióndecontraseñayfrasedepasopermitealosusuariosiniciarlasesiónenWindowsy accederasuscredencialesdeClientSecuritySolutioninclusosiolvidansucontraseñadeWindowso sufrasedepasodeClientSecuritySolutionrespondiendoapreguntasdeseguridadconguradas previamente.
Auditarvaloresdeseguridad Permitealosusuariosverunalistadetalladadelosvaloresdeseguridaddelaestacióndetrabajoy realizarcambiosparaquesatisfaganlosestándaresdenidos.
Transferenciadecerticadosdigitales ClientSecuritySolutionprotegelaclaveprivadadeloscerticadosdeusuarioydelamáquina.Utilice ClientSecuritySolutionparaprotegerlaclaveprivadadeloscerticadosexistentes.
©CopyrightLenovo2008,2012
1
Gestióndepolíticasparalaautenticación Unadministradorpuedeseleccionarquédispositivos(contraseñadeWindows,frasedepasodeClient SecuritySolutionohuellasdactilares)sonnecesariosparaautenticarsepararealizarlasacciones siguientes:iniciodesesióndeWindows,PasswordManageryoperacionesdecerticados.

FrasedepasodeClientSecuritySolution

LafrasedepasodeClientSecuritySolutionesunacaracterísticaopcionaldelaautenticacióndeusuario queproporcionaráseguridadmejoradaalasaplicacionesdeClientSecuritySolution.Lafrasedepasode ClientSecuritySolutiontienelosrequisitossiguientes:
•Debetenercomomínimounalongituddeochocaracteres
•Debecontenercomomínimoundígito
•Debeserdiferentedelastresúltimasfrasesdepaso
•Nodebecontenermásdedoscaracteresrepetitivos
•Nodebeempezarconundígito
•Nodebenalizarconundígito
•NodebecontenerelIDdeusuario
•Nosedebecambiarsilafrasedepasoactualtienemenosdetresdíasdeantigüedad
•Nodebecontenertresomáscaracteresidénticosconsecutivosalafrasedepasoactualencualquier posición
•NodebeserlamismaquelacontraseñadeWindows
LafrasedepasodeClientSecuritySolutionsóloesconocidaporelusuarioindividual.Laúnicaformade recuperarunafrasedepasoolvidadadeClientSecuritySolutionesejecutarlafunciónderecuperación decontraseñadeClientSecuritySolution.Sielusuariohaolvidadolasrespuestasasuspreguntasde recuperación,nohayningunaformaderecuperarlosdatosprotegidosporlafrasedepasodeClient SecuritySolution.

RecuperacióndecontraseñadeClientSecurity

EstacaracterísticaopcionalpermitealosusuariosregistradosdeClientSecurityrecuperarunacontraseña deWindowsounafrasedepasodeClientSecurityolvidadasrespondiendocorrectamenteatrespreguntas. Siestacaracterísticaestáhabilitada,seleccionarátresrespuestasadiezpreguntasseleccionadas previamente.SielusuarioolvidasucontraseñadeWindowsofrasedepasodeClientSecurity,tendrála opciónderesponderaestastrespreguntaspararestablecersucontraseñaofrasedepaso.
Notas:
1.CuandoseutilizalafrasedepasodeClientSecurity,larecuperacióndecontraseñadeClientSecurity eslaúnicaopciónderecuperacióndeunafrasedepasoolvidada.Sielusuarioolvidalarespuestaa sustrespreguntas,estaráobligadoavolveraejecutarelasistentederegistroyperderátodoslosdatos anterioresprotegidosmedianteClientSecurity.
2.CuandoseutilizaClientSecurityparaprotegerelÁreapreviaalescritoriodeRescueandRecovery®,la opcióndeRecuperacióndecontraseñamostrarálafrasedepasodeClientSecurityy/olacontraseña deWindows.LafrasedepasoolacontraseñasevisualizaporqueelÁreapreviaalescritorionotienela capacidadderealizarautomáticamenteuncambiodecontraseñadeWindows.Lafrasedepasoo contraseñasevisualizacuandounusuarioderedinalámbrica(dedominioqueestáalmacenadoen memoriacachédeformalocalynoestáconectadoalared)realizaestafuncióneneliniciodesesiónde Windows.
2ClientSecuritySolution8.21Guíadedespliegue

ClientSecurityPasswordManager

ClientSecurityPasswordManagerlepermitegestionarinformaciónfácildeolvidardelossitioswebyde lasaplicaciones,comoporejemplolosIDdeusuario,lascontraseñasyotrainformaciónpersonal.Client SecurityPasswordManagerprotegelainformaciónpersonalmedianteClientSecuritySolution,deforma queelaccesoalasaplicacionesyalossitioswebcontinúasiendototalmenteseguro.ElprogramaClient SecurityPasswordManagertambiénahorratiempoyesfuerzo,porqueelusuariosólotienequerecordar unacontraseñaofrasedepaso,obienproporcionarlahuelladactilar.
ClientSecurityPasswordManagerlepermiterealizarlasfuncionessiguientes:
CifrartodalainformaciónalmacenadamedianteelsoftwaredeClientSecuritySolution: CifraautomáticamentetodalainformaciónmedianteClientSecuritySolution.Estogarantizaquetoda lainformaciónimportantedecontraseñasestéprotegidamediantelasclavesdecifradodeClient SecuritySolution.
CompletardeformaautomáticalosIDdeusuarioycontraseñas: Automatizaelprocesodeiniciodesesiónalaccederaunaaplicaciónositioweb.Silainformaciónde iniciodesesiónsehaespecicadoenClientSecurityPasswordManager,ClientSecurityPassword Managerpuederellenarautomáticamenteloscamposnecesariosysometerelsitioweboaplicación.
EditarentradasutilizandolainterfazdeClientSecurityPasswordManager: Lepermiteeditarlasentradasdelacuentaycongurartodaslasfuncionesopcionalesenunaúnica interfazfácildeutilizar.Estainterfazhacemásfácilyrápidalagestióndelascontraseñasydela informaciónpersonal.Sinembargo,lamayoríadeloscambiosrelacionadosconentradaspuedenser detectadosautomáticamenteporClientSecurityPasswordManagerypermitealusuarioactualizarsus entradasconinclusomenostrabajo.
Guardarlainformaciónsinpasosadicionales: ClientSecurityPasswordManagerpuededetectarautomáticamentesiseestáenviandoinformación importanteaunaaplicaciónositiowebdeterminados.Cuandoseproduceunadeteccióndeestetipo, ClientSecurityPasswordManagersolicitaalusuarioqueguardelainformación,simplicandoporlotanto elprocesodealmacenarlainformaciónimportante.
GuardarlainformaciónenunÁreadeanotacionessegura: ConClientSecurityPasswordManager,elusuariopuedeguardardatosdetextoenáreasdeanotaciones seguras.Estasáreassepuedenprotegerconelmismoniveldeseguridadquesusentradasdesitio weboaplicación.
Exportareimportarinformacióndeiniciodesesión: Lepermiteexportarinformaciónpersonalimportantedeformaquepuedallevarladeformasegurade unsistemaaotro.CuandoexportalainformacióndeiniciodesesióndesdeClientSecurityPassword Manager,secreaunarchivodeexportaciónprotegidomediantecontraseñaquesepuedealmacenaren unsoporteextraíble.Utiliceestearchivoparaaccederasuinformaciónpersonaldondequieraquevaya,o paraimportarlasentradasenotrosistemaconClientSecurityPasswordManager.
Nota:HaysoportecompletoparalaimportacióndelosarchivosdeexportacióndeClientSecurity Solutiondelasversiones7.0y8.x.HaysoportelimitadoparalaimportacióndisponibleparaClient SecuritySolutionVersión6.0(lasentradasdeaplicaciónnoseimportan).Laversión5.4xylasanteriores deClientSecuritySoftwareSolutionnoseimportaránenClientSecuritySolution,versión8.xPassword Manager.

SecurityAdvisor

LaherramientaSecurityAdvisorlepermitevisualizaunresumendelosvaloresdeseguridadactualmente establecidosenelsistema.Puedeutilizarestosvaloresparavisualizarelestadoactualdelaseguridado paramejorarlaseguridaddelsistema.Losvalorespredeterminadosdelascategoríasvisualizadasse puedencambiarmedianteelregistrodeWindows.Algunasdelascategoríasdeseguridadincluidassonlas siguientes:
Capítulo1.Visióngeneral3
•Contraseñasdehardware
•ContraseñasdeusuariosdeWindows
•PolíticadecontraseñadeWindows
•Protectordepantallaprotegido
•Compartimientodearchivos
Asistentedetransferenciadecerticados
ElAsistentedetransferenciadecerticadosdeClientSecurityleguíaporelprocesodetransferirlas clavesprivadasasociadasconloscerticadosdesdeunproveedordeserviciodecifrado(CSP)de Microsoft transferencia,lasoperacionesqueutilizanloscerticadosseránmássegurasporquelasclavesprivadas estaránprotegidasporClientSecuritySolution.
®
basadoensoftwareaunCSPdeClientSecuritySolutionbasadoenhardware.Despuésdela

Restablecimientodelacontraseñadehardware

EstaherramientacreaunentornoseguroqueseejecutaindependientementedeWindowsyleayudaa restablecercontraseñasdelaunidaddediscoduroydeencendidoolvidadas.Laidentidadseestablece respondiendoaunaseriedepreguntasqueelusuariocrea.Creeesteentornoseguroloantesposible, antesdequeseolvidelacontraseña.Nopodrárestablecerunacontraseñadehardwareolvidadahasta quesehayacreadoesteentornoseguroeneldiscoduroyhastadespuésdequesehayaregistrado.Esta herramientaestádisponiblesóloensistemasseleccionados.

SoportedesistemassinelMódulodeplataformasegura

ClientSecuritySolutionVersión8.2escompatibleconsistemasdeLenovoquenotienenunchipde seguridadincorporadoquecumplalascondiciones.Estesoportepermiteunainstalaciónestándarentoda laempresaandecrearunentornodeseguridadhomogéneo.Lossistemasquetienenelhardwaredelchip deseguridadincorporadoseránresistentescontraataques;sinembargo,lasmáquinasquesólotengan softwaretambiénsebeneciarándelaseguridadyfuncionalidadadicional.

FingerprintSoftware

ElobjetivodelastecnologíasdehuellasdactilaresbiométricasdeLenovoesayudaralosclientesareducir loscostesasociadosconlagestióndecontraseñas,mejorarlaseguridaddesussistemasyayudarconel tratamientodelcumplimientodelasnormas.ConloslectoresdehuellasdactilaresdeLenovo,elSoftware dehuellasdactilareslepermitelaautenticacióndehuellasdactilaresensistemasindividualesyenredes. ElSoftwaredehuellasdactilarescombinadoconClientSecuritySolutionVersión8.2proporcionauna funcionalidadampliada.ParaClientSecuritySolution8.21,sedasoportetantoalSoftwaredehuellas dactilaresdeThinkVantage5.8.2comoalSoftwaredehuellasdactilaresdeLenovo2.0paradistintostipos demáquinas.PuedesabermássobrelastecnologíasdehuellasdactilaresdeLenovoydescargarel softwareen:http://www.lenovo.com/support/site.wss/MIGR-59650.html.
ElSoftwaredehuellasdactilaresproporcionaestasfunciones:
CapacidadesdelsoftwaredeclienteSustitucióndelacontraseñadeMicrosoftWindows:
Sustituyalacontraseñaporsuhuelladactilarparaqueelaccesoalsistemaseamásfácil,rápido yseguro.
SustitucióndelacontraseñadelBIOS(tambiéndenominadacontraseñadeencendido)ydela
contraseñadediscoduro:
Sustituyalascontraseñasconsuhuelladactilarparamejorarlacomodidadylaseguridaddelinicio desesión.
4ClientSecuritySolution8.21Guíadedespliegue
–Autenticacióndehuellasdactilarespreviaalarranqueparaelcifradodetodalaunidadde
SafeGuardEasy:
UtilicelaautenticacióndehuellasdactilaresparadescifrareldiscoduroantesdeiniciarWindows.
AccesoalBIOSyaWindowspasandoeldedounavez:
AhorretiempopasandoeldedoduranteelarranqueparaaccederalBIOSyaWindows.
IntegraciónconClientSecuritySolution:
UtiliceconClientSecuritySolutionPasswordManageryaprovecheelMódulodeplataformasegura. Losusuariospuedenpasareldedoparaaccederasitioswebyseleccionaraplicaciones.
FuncionesdeadministraciónConmutarmodalidaddeseguridad:
Permiteaunadministradorconmutarentrelamodalidadseguraylamodalidadcómodaparamodicar losderechosdeaccesoalosusuariosconlimitaciones.
CapacidadesdeseguridadSeguridaddelsoftware:
Protegelasplantillasdeusuariomedianteunfuertecifradocuandoestánalmacenadasenunsistemay cuandosetranserendesdeellectoralsoftware.
Seguridaddelhardware:
Proporcionaunlectordeseguridadconuncoprocesadorquealmacenayprotegeplantillasdehuellas dactilares,contraseñasdelBIOSyclavesdecifrado.
Capítulo1.Visióngeneral5
6ClientSecuritySolution8.21Guíadedespliegue

Capítulo2.Instalación

EstecapítulocontieneinstruccionesparainstalarClientSecuritySolutionyelSoftwaredehuellas dactilares.AntesdeinstalarClientSecuritySolutionoelSoftwaredehuellasdactilares,debecomprender laarquitecturadelaaplicaciónqueestáinstalando.Estecapítuloproporcionalaarquitecturadecada aplicación,asícomoinformaciónadicionalquenecesitaantesdeinstalarcadaunodeestosprogramas.

ClientSecuritySolution

ElpaquetedeinstalacióndeClientSecuritySolutionsehadesarrolladoconInstallShield10.5Premiercomo unproyectoMSIbásico.InstallShieldutilizaWindowsInstallerparainstalaraplicaciones,loqueproporciona alosadministradoresmuchascapacidadesparapersonalizarinstalaciones,comoporejemploestablecer valoresdepropiedaddesdelalíneademandatos.Enestecapítulosedescribecómoutilizaryejecutar elpaquetedeinstalacióndeClientSecuritySolution.Paraunamejorcomprensión,leaprimerotodoel capítuloantesdeempezarainstalarestospaquetes.
Nota:Alinstalarestospaquetes,consulteelarchivoléamedeClientSecuritySolution.Consulteelsiguiente sitiowebdeLenovo: http://www.lenovo.com/support/site.wss/document.do?sitestyle=lenovo&lndocid=HOME-LENOVO .ElarchivoReadmecontieneinformaciónactualizadaacercadelasversionesdesoftware,lossistemas admitidos,losrequisitosdelsistemayotrasconsideracionesparaayudarleenelprocesodeinstalación.

Requisitosdeinstalación

LainformaciónenestasecciónproporcionalosrequisitosdelsistemaparainstalarelpaquetedeClient SecuritySolution.Paraobtenermejoresresultados,vayaalsiguientesitiowebparaasegurarsedequetiene laversiónmásrecientedelsoftware: http://support.lenovo.com/en_US/downloads/detail.page?LegacyDocID=MIGR-61432.
UnaseriedesistemasantiguospuedendarsoporteaClientSecuritySolution, siemprequecumplanlosrequisitosespecicados.ConsulteelsitioWeben http://support.lenovo.com/en_US/downloads/detail.page?LegacyDocID=MIGR-61432para obtenerinformaciónsobrelossistemasdeversionesanterioresqueutilizanClientSecuritySolution.
RequisitosparasistemasLenovo
LossistemasLenovodebensatisfacercomomínimolossiguientesrequisitosparapoderinstalarClient SecuritySolution:
Sistemaoperativo:WindowsVista Pack3.
Memoria:256MB –Enconguracionesdememoriacompartida,elvalordelBIOSparaelmáximodememoriacompartida
sedebeestablecerenunvalorquenoseainferiora8MB.
–Enconguracionesdememorianocompartida,120MBdememorianocompartida.
•InternetExplorer5.5osuperiordebeestarinstalado.
•300MBdeespaciolibreeneldiscoduro.
•VídeocompatibleconVGAquedésoporteaunaresoluciónde800x600ydecolorde24bits.
•ElusuariodebetenerprivilegiosdeadministraciónparainstalarClientSecuritySolution.
•RequisitosadicionalesparaelRestablecimientodecontraseñadehardware:NTFSyWindowsXP.
®
,WindowsVistaconServicePack1oWindowsXPconService
Nota:NosedasoportealdesplieguedelpaquetedeinstalacióndeClientSecuritySolutionenWindows Server2003.
©CopyrightLenovo2008,2012
7

Propiedadespúblicasdepersonalización

ElpaquetedeinstalacióndelprogramaClientSecuritySoftwarecontieneunconjuntodepropiedades públicasdepersonalizaciónquesepuedenestablecerenlalíneademandatosalejecutarlainstalación.La tablasiguienteproporcionalaspropiedadespúblicasdepersonalizaciónparaWindowsXPandWindows 2000:
Tabla1.Propiedadespúblicas
PropiedadDescripción
EMULATIONMODEEspecicaquesefuercelainstalaciónenmodalidad
deemulacióninclusosiexisteunTPM.Especique EMULATIONMODE=1enlalíneademandatospara instalarenmodalidaddeemulación.
HALTIFTPMDISABLEDSiTPMestáenunestadoinhabilitadoylainstalación
seestáejecutandoenmodalidadsilenciosa,el valorpredeterminadoesquelainstalacióncontinúe enmodalidaddeemulación.Utilicelapropiedad HALTIFTPMDISABLED=1alejecutarlainstalaciónen modalidadsilenciosaparadetenerlainstalaciónsiTPM estáinhabilitado.
NOCSSWIZARDEstablezcaNOCSSWIZARD=1enlalíneademandatos
paraimpedirqueeldiálogoderegistrodeClientSecurity Solutionsevisualiceautomáticamentedespuésde instalarClientSecuritySolution.Estapropiedadse conguraparaunadministradorquedeseeinstalarClient SecuritySolution,peroutilizarscriptsposteriormenteal congurarelsistema.
CSS_CONFIG_SCRIPTEstablezcaCSS_CONFIG_SCRIPT=“nombredearchivo”
o“contraseñadenombredearchivo”paraqueseejecute unarchivodeconguracióndespuésdequeelusuario hayacompletadolainstalaciónyrearranque.
SUPERVISORPWEstablezcaSUPERVISORPW=“contraseña”enlalíneade
mandatosparaproporcionarlacontraseñadesupervisor parahabilitarelchipenmodalidaddeinstalación silenciosaonosilenciosa.Sielchipestáinhabilitadoyla instalaciónseestáejecutandoenmodalidadsilenciosa, sedebeproporcionarlacontraseñadesupervisor correctaparahabilitarelchip;delocontrario,elchipno sehabilitará.
PWMGRMODEEspeciquePWMGRMODE=1enlalíneademandatos
parainstalarsolamentePasswordManager.
NOSTARTMENUEspeciqueNOSTARTMENU=1enlalíneademandatos
paraimpedirquesegenereunatajoenelmenúdeinicio.

SoportedeMódulodeplataformasegura

ClientSecuritySolutionVersión8.2incluyesoporteparaelhardwaredeseguridadincorporadodelsistema: elMódulodeplataformasegura(TPM).ParaWindows2000yXP,esposiblequenecesitedescargar controladoresparaelTPMdelsistema.SiejecutaWindowsVistayelsistemaincluyeunTPMsoportado porelsistemaoperativo,ClientSecuritySolutionutilizaráloscontroladoresproporcionadosporelsistema operativo.
EsposiblequelahabilitacióndelTPMrequieraunrearranque,yaqueelTPMeshabilitadoporelBIOSdel sistema.SiejecutaWindowsVista,esposiblequeselesolicitequeconrmelahabilitacióndelTPM duranteeliniciodelsistema.
8ClientSecuritySolution8.21Guíadedespliegue
AntesdequeelMódulodeplataformasegurapuedarealizarcualquierfunción,debeinicializarprimero lapropiedad.CadasistematendrásólounadministradordeClientSecuritySolutionquecontrolarálas opcionesdeClientSecuritySolution.Esteadministradordebetenerprivilegiosdeadministradorde Windows.EladministradorsepuedeinicializarutilizandolosscriptsdedespliegueXML.
Despuésdecongurarlapropiedaddelsistema,acadausuarioadicionaldeWindowsqueiniciesesiónen elsistema,elAsistentedeconguracióndeClientSecuritylesolicitaráautomáticamentequeseregistree inicialicelascredencialesylasclavesdeseguridaddeusuario.
EmulacióndesoftwaredelMódulodeplataformasegura
ClientSecuritySolutiontienelaopcióndeejecutarsesinunMódulodeplataformaseguraensistemas cualicados.Lafuncionalidadseráexactamentelamismaexceptuandoelhechodequeutilizaráclaves basadasensoftwareenlugardeutilizarclavesprotegidasmediantehardware.Elsoftwaretambiénse puedeinstalarconunconmutadorparaforzarloautilizarsiempreclavesbasadasensoftwareenlugarde aprovecharelMódulodeplataformasegura.Elusodeesteconmutadoresunadecisiónqueserealiza durantelainstalaciónynosepuedeinvertirsindesinstalaryvolverainstalarelsoftware.
LasintaxisparaforzarunaemulacióndesoftwaredelMódulodeplataformaseguraes:
InstallFile.exe“/vEMULATIONMODE=1”

Procedimientosdeinstalaciónyparámetrosdelalíneademandatos

MicrosoftWindowsInstallerproporcionavariasfuncionesdeadministradormediantelosparámetrosdela líneademandatos.WindowsInstallerpuederealizarunainstalaciónadministrativadeunaaplicaciónode unproductoenunaredparaqueésteseautilizadoporungrupodetrabajooparalapersonalizacióndel mismo.Lasopcionesdelalíneademandatosquerequierenunparámetrosedebenespecicarsinningún espacioentrelaopciónysuparámetro.Porejemplo:
setup.exe/s/v"/qnREBOOT=”R”"
esválido,mientrasque
setup.exe/s/v"/qnREBOOT=”R”"
noloes.
Nota:Elcomportamientopredeterminadodelainstalacióncuandoseejecutasola(ejecutandosetup.exe sinningúnparámetro)solicitaalusuarioquerearranquealnaldelainstalación.Esnecesariorearrancar paraqueelprogramafuncionecorrectamente.Sepuedeaplazarelrearranquemedianteunparámetro delalíneademandatosparaunainstalaciónsilenciosa,talcomosehaexplicadoanteriormenteyen laseccióndeejemplo.
ParaelpaquetedeinstalacióndeClientSecuritySolution,unainstalaciónadministrativadesempaqueta losarchivosfuentedelainstalaciónenunaubicaciónespecicada.
Paraejecutarunainstalaciónadministrativa,ejecuteelpaquetedeinstalacióndesdelalíneademandatos utilizandoelparámetro/a:
setup.exe/a
Unainstalaciónadministrativapresentaunasistentequesolicitaalusuarioadministrativoqueespeciquelas ubicacionesdondedesempaquetarlosarchivosdeinstalación.Laubicacióndeextracciónpredeterminada esC:\.PuedeescogerunanuevaubicaciónquepuedeincluirunidadesademásdeC:\.Porejemplo,otras unidadeslocalesounidadesderedcorrelacionadas.Tambiénpuedecrearnuevosdirectoriosdurante estepaso.
Paraejecutarunainstalaciónadministrativadeformasilenciosa,puedeestablecerlapropiedadpública TARGETDIRenlalíneademandatosparaespecicarlaubicacióndeextracción:
setup.exe/s/v"/qnTARGETDIR=F:\TVTRR"
obien
Capítulo2.Instalación9
msiexec.exe/i"ClientSecurity-PasswordManager.msi"/qnTARGERDIR=F:\TVTRR
Nota:SilaversióndeWindowsInstallernoesactual,setup.exeestáconguradoparaactualizarelmotor deWindowsInstalleralaVersión3.0.Estaactualizaciónharáquelaaccióndeinstalaciónsolicitequese rearranqueinclusoconunainstalacióndeextracciónadministrativa.Utiliceelrearranqueadecuadamente paraevitarunrearranqueenestasituación.SiWindowsInstallerescomomínimolaversión3.0,setup.exe nointentaráinstalarelmotordeWindowsInstaller.
Unavezquesehayacompletadounainstalaciónadministrativa,elusuarioadministrativopuederealizar personalizacionesenlosarchivosfuente,porejemplo,añadirvaloresalregistro.Parainstalarapartirde lasfuentesdesempaquetadasdespuésdequesehayanrealizadopersonalizaciones,elusuariollamaa msiexec.exedesdelalíneademandatos,pasandoelnombredelarchivoMSIdesempaquetado.
Losparámetrosydescripcionessiguientesestándocumentadosenladocumentacióndeayudadel desarrolladordeInstallShield.Sehaneliminadolosparámetrosquenosonaplicablesaproyectosde MSIbásico.
Tabla2.Parámetros
ParámetroDescripción
/a:InstalaciónadministrativaElconmutador/ahacequesetup.exerealiceuna
instalaciónadministrativa.Unainstalaciónadministrativa copia(ydescomprime)losarchivosdedatosenun directorioespecicadoporelusuario,peronocrea atajos,registraservidoresCOMnicreaunregistrode desinstalación.
/x:ModalidaddedesinstalaciónElconmutador/xhacequesetup.exedesinstaleun
productoinstaladoanteriormente.
/s:ModalidadsilenciosaElmandatosetup.exe/ssuprimelaventanadeinstalación
desetup.exeparaunprogramadeinstalaciónMSIbásico, peronoleeunarchivoderespuestas.LosproyectosMSI básiconocreanniutilizanunarchivoderespuestaspara lasinstalacionessilenciosas.Paraejecutarunproducto deMSIbásico,ejecutelalíneademandatossetup.exe/s /v/qn.(Paraespecicarlosvaloresdelaspropiedades públicasparaunainstalaciónsilenciosadeMSIbásico, puedeutilizarunmandatocomoporejemplosetup.exe /s/v“/qnINSTALLDIR=D:\Destino”).
/v:pasaargumentosaMsiexecElargumento/vseutilizaparapasarconmutadoresdela
líneademandatosyvaloresdepropiedadespúblicasa msiexe.exe.
/L:conguraelidiomaLosusuariospuedenutilizarelconmutador/LconelID
decimaldeidiomaparaespecicarelidiomautilizado porelprogramadeinstalaciónenvariosidiomas.Por ejemplo,elmandatoparaespecicaralemánessetup.exe /L1031.
/w:EsperaParaunproyectoMSIbásico,elargumento/wobligaa
setup.exeaesperarhastaquesecompletelainstalación antesdesalir.Siestáutilizandolaopción/wenun archivodeprocesoporlotes,esposiblequedeba anteponerstart/WAITatodoelargumentodelalínea delmandatosetup.exe.Acontinuaciónsemuestraun ejemplocorrectamenteformadodeesteuso:
start/WAITsetup.exe/w
10ClientSecuritySolution8.21Guíadedespliegue
Utilizacióndemsiexec.exe
Parainstalarapartirdelasfuentesdesempaquetadasdespuésderealizarlaspersonalizaciones,elusuario llamaamsiexec.exedesdelalíneademandatos,pasandoelnombredelarchivo*.MSIdesempaquetado. msiexec.exeeselprogramaejecutabledeInstallerutilizadoparainterpretarpaquetesdeinstalacióne instalarproductosensistemasdedestino.
msiexec/i"C:\WindowsFolder\Proles\UserName\ Personal\MySetups\projectname\productconguration\releasename\ DiskImages\Disk1\productname.msi"
Nota:Entreelmandatoanteriorenunaúnicalíneasinespaciosacontinuacióndelasbarrasinclinadas.
Enlatablasiguientesedescribenlosparámetrosdelalíneademandatosquesepuedenutilizarcon msiexec.exeasícomoejemplosdecómoutilizarlos.
Tabla3.Parámetrosdelalíneademandatos
ParámetroDescripción
/Ipaqueteocódigodelproducto
/apaqueteLaopción/apermitealosusuariosconprivilegiosdeadministradorinstalar
/xpaqueteocódigodelproductoLaopción/xdesinstalaunproducto.
/L[i|w|e|a|r|u|c|m|p|v|+]archivode anotaciones
/q[n|b|r|f]
Utiliceesteformatoparainstalarelproducto:
Othello:msiexec/i"C:\WindowsF older\Proles\ UserName\Personal\MySetups \Othello\TrialVersion\ Release\DiskImages\Disk1\ OthelloBeta.msi"
ElcódigodelproductosereerealGUID(GloballyUniqueIdentier)quese generaautomáticamenteenlapropiedaddelcódigodelproductodelavista deproyectosdelproducto.
unproductoenlared.
Lacreaciónconlaopción/Lespecicalavíadeaccesoalarchivode anotaciones;estosdistintivosindicanquéinformaciónsedeberegistrarenel archivodeanotaciones:
•iregistramensajesdeestado
•wregistramensajesdeavisonocríticos
•eregistracualquiermensajedeerror
•aregistraeliniciodelassecuenciasdeacción
•rregistraregistrosespecícosdelasacciones
•uregistrasolicitudesdeusuario
•cregistraparámetrosinicialesdelainterfazdeusuario
•mregistramensajesdefaltadememoria
•pregistravaloresdeterminal
•vregistraelvalordesalidadetallada
•+seañadeaunarchivoexistente
•*esuncaráctercomodínquelepermiteregistrartodalainformación (excluidoelvalordesalidadetallada)
Laopción/qseutilizaparaestablecerelniveldeinterfazdeusuario conjuntamenteconlosdistintivossiguientes:
•qoqnnocreaningunainterfazdeusuario
•qbcreaunainterfazdeusuariobásica
Lossiguientesvaloresdelainterfazdeusuariovisualizanunrecuadrode diálogomodalalnaldelainstalación:
•qrvisualizaunainterfazdeusuarioreducida
•qfvisualizaunainterfazdeusuariocompleta
•qn+novisualizaningunainterfazdeusuario
•qb+visualizaunainterfazdeusuariobásica
Capítulo2.Instalación11
Tabla3.Parámetrosdelalíneademandatos(continuación)
ParámetroDescripción
/?o/hAmbosmandatosvisualizanlainformacióndecopyrightdeWindowsInstaller TRANSFORMSElparámetrodelalíneademandatosTRANSFORMSespecicacualquier
transformaciónquedeseeaplicaralpaquetebase.
msiexec/i"C:\WindowsF older\ Proles\UserName\Personal \MySetups\ YourProjectName\TrialVersion\ MyRelease-1 \DiskImages\Disk1\ ProductName.msi"TRANSFORMS="NewTransform1.mst"
Puedesepararvariastransformacionesmedianteunsignodepuntoycoma. Noutilicepuntoycomaenelnombredelatransformaciónyaqueelservicio deWindowsInstallerlointerpretaráincorrectamente.
Propiedades
Todaslaspropiedadespúblicassepuedenestableceromodicardesde lalíneademandatos.Laspropiedadespúblicassedistinguendelas propiedadesprivadasporelhechodequetodasestánenmayúsculas.Por ejemplo,COMPANYNAMEesunapropiedadpública.
Paraestablecerunapropiedadenlalíneademandatos,utilicelasintaxis siguiente:
PROPERTY=VALUE
SidesearacambiarelvalordeCOMPANYNAME,especicaríalosiguiente:
msiexec/i"C:\WindowsF older\ Proles\UserName\Personal\ MySetups\YourProjectName\ TrialVersion\MyRelease-1\ DiskImages\Disk1\ProductName.msi" COMPANYNAME="InstallShield"

PropiedadespúblicasestándardeWindowsInstaller

WindowsInstallertieneunconjuntodepropiedadespúblicasestándarincorporadasquesepueden establecerenlalíneademandatosparaespecicaruncomportamientodeterminadodurantelainstalación. Latablasiguienteproporcionalaspropiedadespúblicasmáscomunesutilizadasenlalíneademandatos.
Paraobtenerinformaciónadicional,consulteelsitiowebdeMicrosoften: http://msdn2.microsoft.com/en-us/library/aa367437.aspx.
LatablasiguientemuestralaspropiedadesmáshabitualmenteutilizadasdeWindowsInstaller:
Tabla4.PropiedadesdeWindowsInstaller
PropiedadDescripción
TARGETDIREspecicaeldirectoriodedestinoraízparalainstalación.
Duranteunainstalaciónadministrativa,estapropiedad eslaubicacióndondesedebecopiarelpaquetede
instalación. ARPAUTHORIZEDCDFPREFIXURLdelcanaldeactualizaciónparalaaplicación. ARPCOMMENTSProporcionaComentariosparaAgregaroquitar
programasdelPaneldecontrol.
12ClientSecuritySolution8.21Guíadedespliegue
Tabla4.PropiedadesdeWindowsInstaller(continuación)
PropiedadDescripción
ARPCONTACTProporcionaelContactoparaAgregaroquitarprogramas
enelPaneldecontrol.
ARPINSTALLLOCA TIONVíadeaccesocalicadatotalmentedelacarpetaprincipal
delaaplicación. ARPNOMODIFYInhabilitalafuncionalidadquemodicaríaelproducto. ARPNOREMOVEInhabilitalafuncionalidadqueeliminaríaelproducto. ARPNOREPAIRInhabilitaelbotónReparardelasistentedeProgramas. ARPPRODUCTICON
ARPREADME
ARPSIZETamañoaproximadodelaaplicaciónenkilobytes. ARPSYSTEMCOMPONENTEvitaquesevisualicelaaplicaciónenlalistadeAgregar
ARPURLINFOABOUTURLdelapáginainicialdeunaaplicación. ARPURLUPDATEINFOURLdelainformacióndeactualizacióndelaaplicación. REBOOTLapropiedadREBOOTsuprimealgunosindicadores
Especicaeliconoprincipalparaelpaquetede
instalación.
ProporcionaunarchivoléameparaAgregaroquitar
programasenelPaneldecontrol.
oquitarprogramas.
desolicitudparaunrearranquedelsistema.Un
administradorutilizanormalmenteestapropiedadconuna
seriedeinstalacionesparainstalarvariosproductosal
mismotiempoconsólounrearranquealnal.Establezca
REBOOT=“R”parainhabilitarelrearranquealnalde
unainstalación.

Archivodeanotacionesdeinstalación

ElarchivodeanotacionesdeinstalacióndeClientSecuritySolutionsedenominacssinstall82x32.log(para WindowsXPyWindowsVista32)ocss64install82V.log(paraWindowsVista64),ysecreaeneldirectorio %temp%silainstalaciónseiniciamediantesetup.exe(efectúeunadoblepulsaciónenelarchivoinstall.exe principal,ejecuteelarchivoejecutableprincipalsinparámetrosiextraigamsiyejecutesetup.exe).Este archivocontienemensajesdeanotacionesquesepuedenutilizarparadepurarproblemasdeinstalación. EstearchivodeanotacionesnosecreaalejecutarlainstalacióndirectamentedesdeelpaqueteMSI;esto incluyeaccionesrealizadasdesdeAgregaroquitarprogramas.Paracrearunarchivodeanotacionespara todaslasaccionesMSI,puedehabilitarlapolíticadeanotacionesenelregistro.Parahaceresto,creeelvalor:
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] "Logging"="voicewarmup"
Ejemplosdeinstalación
Latablasiguienteproporcionaejemplosdeinstalaciónutilizandosetup.exe:
Tabla5.Ejemplosdeinstalaciónqueutilizansetup.exe
DescripciónEjemplo
Instalaciónsilenciosasinrearranque.
Instalaciónadministrativa.
Instalaciónadministrativasilenciosaespecicandola ubicacióndeextracciónparaClientSecuritySoftware.
setup.exe/s/v”/qnREBOOT=”R””
setup.exe/a
setup.exe/a/s/v”/qnTARGETDIR=”F:
\CSS82””
Capítulo2.Instalación13
Tabla5.Ejemplosdeinstalaciónqueutilizansetup.exe(continuación)
DescripciónEjemplo
Desinstalaciónsilenciosasetup.exe/s/x/v/qn.
Instalaciónsinrearranque.Creeunarchivode anotacionesdeinstalacióneneldirectoriotemporalpara ClientSecuritySoftware.
InstalaciónsininstalarelÁreapreviaalescritorio setup.exe/vPDA=0.
setup.exe/s/x/v/qn
setup.exe/v”REBOOT=”R”/L*v%temp% \cssinstall80.log”
setup.exe/vPDA=0
LatablasiguienteproporcionaejemplosdeinstalaciónqueutilizanClientSecurity-PasswordManager.msi:
Tabla6.EjemplosdeinstalaciónqueutilizanClientSecurity-PasswordManager.msi
DescripciónEjemplo
Instalación
Instalaciónsilenciosasin rearranque
Desinstalaciónsilenciosa
msiexec/i“C:\CSS82\ClientSecurity Solution-PasswordManager.msi”
msiexec/i“C:\CSS82\ClientSecurity Solution-PasswordManager.msi”/qnREBOOT=”R”
msiexec/x“C:\CSS82\ClientSecurity Solution-PasswordManager.msi”/qn

InstalacióndeClientSecuritySolution8.21conversionesexistentes

ClientSecuritySolutionsepuedeactualizarapartirdeClientSecuritySolution8.0utilizandoSystemUpdate. ParainstalarClientSecuritySolution8.21conversionesexistentesanterioresalaversión8.0deClient SecuritySolution,instaleprimeroClientSecuritySolution8.0enelsistema.
ClientSecuritySolution8.0nosepuedeinstalarcomounaactualizacióndeunaversiónanterior.Debe desinstalarlaversiónexistentedeClientSecuritySolutionantesdeinstalarlaversión8.0.Paraconservar losdatosylosvaloresexistentes,completelospasossiguientesantesdeeliminarlaversiónanteriorde ClientSecuritySolution:
1.DescargueClientSecuritySolution8.0UpgradeAssistantenelsiguientesitiowebdeLenovo: http://www.lenovo.com/support/site.wss/document.do?sitestyle=lenovo&lndocid=MIGR-46391.
2.Desdelalíneademandatos,ejecutedemanerasilenciosaClientSecuritySolution8.0Upgrade AssistantantesdeeliminarlaversiónanteriordeClientSecuritySolution.
Además,losusuariosdeClientSecuritySolution7.0debenactualizaraClientSecuritySolution8.0antes deinstalarRescueandRecovery4.0
Nota:Siestáactualizandounsistemaoperativo,debeborrarelchipdeseguridadparaevitarunaanomalía deregistrodeClientSecuritySolution.

InstalacióndelSoftwaredehuellasdactilaresdeThinkVantage

Elarchivosetup.exedelprogramadesoftwaredehuellasdactilaressepuedeinstalarmediantelosmétodos siguientes:

Instalaciónsilenciosa

ParainstalardeformasilenciosaelSoftwaredehuellasdactilares,ejecuteelarchivosetup.exeubicadoenel directoriodeinstalacióndelaunidaddeCD-ROM.
Utilicelasintaxissiguiente:
14ClientSecuritySolution8.21Guíadedespliegue
Setup.exePROPERTY=VALUE/q/i
dondeqesparalainstalaciónsilenciosaeiesparalainstalación.Porejemplo:
setup.exeINSTALLDIR="C:\ProgramFiles\ThinkVantagengerprintsoftware"/q/i
Paradesinstalarelsoftware,utiliceelparámetro/xenlugarde/i:
setup.exeINSTALLDIR="C:\ProgramFiles\ThinkVantagengerprintsoftware"/q/x

Options

EnelSoftwaredehuellasdactilaresestánsoportadaslasopcionessiguientes:
Tabla7.Opcionesadmitidasporelsoftwaredehuellasdactilares
ParámetroDescripción
CTRLONCEVisualizaelCentrodecontrolsólounavez.Elvalor
predeterminadoes0.
CTLCNTREjecutaelCentrodecontrolalarrancar.Elvalor
predeterminadoes1.
DEFFUS•0=noutilizarálosvaloresdeConmutaciónrápidade
usuario(FUS).
•1=IntentaráutilizarlosvaloresdeFUS. Elvalorpredeterminadoes0.
INSTALLDIRElvalorpredeterminadoeseldirectoriodeinstalacióndel
softwaredehuellasdactilares.
OEM
PASSPORT
SECURITY
SHORTCUTFOLDER
REBOOTSuprimetodoslosrearranques,incluidoslosindicadores
DEVICEBIOConguraeltipodedispositivoqueseráutilizadoporel
•0=Instalasoporteparapasaportesdeservidoro autenticacióndeservidor
•1=Sólomodalidadautónomadelsistemacon pasaporteslocales
Elvalorpredeterminadoeseltipodecontraseña establecidodurantelainstalación.
•1=Valorpredeterminado-Pasaportelocal
•2=Pasaportedelservidor
Elvalorpredeterminadoes1.
•1=Instalasoporteparalamodalidadsegura
•0=Noinstala;sóloexistelamodalidadcómoda
Elvalorpredeterminadoeselnombredelacarpetade accesodirectoenelmenúInicio.
desolicituddurantelainstalación,estableciéndoloen Realmentesuprimir.
usuario.Tipoderegistro:
•DEVICEBIO=#3-sectordeldispositivoqueseutilizará antesdelprimerregistro.
•DEVICEBIO=#0-seutilizaráelregistroenlaunidad dediscoduro
•DEVICEBIO=#1-seutilizaráelregistroen CompanionChip
Capítulo2.Instalación15

InstalacióndelSoftwaredehuellasdactilaresdeLenovo

Elarchivosetup32.exedelprogramadesoftwaredehuellasdactilaressepuedeinstalarutilizandounade estosprocedimientos:

Instalaciónsilenciosa

Pararealizarunainstalaciónsilenciosadelsoftwaredehuellasdactilares,ejecuteelarchivosetup32.exeque seencuentraeneldirectoriodeinstalacióndelaunidaddeCD-ROM.
Utilicelasintaxissiguiente:
setup32.exe/s/v"/qnREBOOT="R""
Paradesinstalarelsoftware,utilicelasintaxissiguiente:
setup32.exe/x/s/v"/qnREBOOT="R""

Options

EnelSoftwaredehuellasdactilaresestánsoportadaslasopcionessiguientes:
Tabla8.OpcionesadmitidasporelSoftwaredehuellasdactilaresdeLenovo
ParámetroDescripción
SWAUTOSTART•0=noiniciaráelsoftwaredehuellasdactilaresdurante
elarranquedeWindows.
•1=iniciaráelsoftwaredehuellasdactilaresdurante elarranquedeWindows.
Elvalorpredeterminadoes1.
SWFPLOGON•0=noutilizaráeliniciodesesióndehuelladactilar
(GINAoCredentialProvider).
•1=utilizaráeliniciodesesióndehuelladactilar(GINA oCredentialProvider).
Elvalorpredeterminadoes0.
SWPOPP•0=inhabilitarálaproteccióndecontraseñade
encendido.
•1=habilitarálaproteccióndecontraseñade encendido.
Elvalorpredeterminadoes0.
SWSSO•0=inhabilitarálafuncióndeiniciodesesiónúnico.
•1=habilitarálafuncióndeiniciodesesiónúnico.
Elvalorpredeterminadoes0.
SWALLOWENROLL•0=nopermitelainscripcióndelahuelladactilarpara
usuariosquenoseanadministradores.
•1=permitelainscripcióndelahuelladactilarpara usuariosquenoseanadministradores.
Elvalorpredeterminadoes1.
SWALLOWDELETE•0=nopermitelasupresióndelahuelladactilarpara
usuariosquenoseanadministradores.
•1=permitelasupresióndelahuelladactilarpara usuariosquenoseanadministradores.
Elvalorpredeterminadoes1.
16ClientSecuritySolution8.21Guíadedespliegue
Tabla8.OpcionesadmitidasporelSoftwaredehuellasdactilaresdeLenovo(continuación)
ParámetroDescripción
SWALLOWIMEXPORT•0=nopermitelaimportación/exportacióndelahuella
dactilarparausuariosquenoseanadministradores.
•1=permitelaimportación/exportacióndelahuella
dactilarparausuariosquenoseanadministradores.
Elvalorpredeterminadoes1.
SWALLOWSELECT•0=nopermitelaseleccióndeutilizarlahuelladactilar
parasustituirlacontraseñadeencendidoparausuarios quenoseanadministradores.
•1=permitelaseleccióndeutilizarlahuelladactilar
parasustituirlacontraseñadeencendidoparausuarios quenoseanadministradores.
Elvalorpredeterminadoes1.
SWALLOWPWRECOVERY•0=nopermitelarecuperacióndecontraseñasde
Windows.
•1=permitelarecuperacióndecontraseñasde
Windows.
Elvalorpredeterminadoes1.
SWANTIHAMMER•0=inhabilitalaprotecciónantigolpes.
•1=hablitalaprotecciónantigolpes. Elvalorpredeterminadoes1.
SWANTIHAMMERRETRIESEspecicalacantidadmáximadereintentos.Elvalor
predeterminadoes5. Nota:Estevalorfuncionasolamentecuandoseha habilitadoSWANTIHAMMER.
SWANTIHAMMERTIMEOUTEspecicaladuracióndeltiempodeesperaensegundos.
Elvalorpredeterminadoes120. Nota:Estevalorfuncionasolamentecuandoseha habilitadoSWANTIHAMMER.
SWAUTHTIMEOUT•0=inhabilitaeltiempodeesperadeautenticación.
•1=habilitaeltiempodeesperadeautenticación. Elvalorpredeterminadoes1.
SWAUTHTIMEOUTVALUEEspecicaelperíododeinactividadantesdeltiempo
deesperadeautenticación,ensegundos.Elvalor predeterminadoes120. Nota:Estevalorsolamentefuncionacuandoestá habilitadoSWAUTHTIMEOUT.
SWNONADMIFPLOGONONLY•0=inhabilitaeliniciodesesiónsolamenteconhuella
dactilarparausuariosquenoseanadministradores.
•1=habilitaeliniciodesesiónsolamenteconhuella
dactilarparausuariosquenoseanadministradores.
Elvalorpredeterminadoes1.
Capítulo2.Instalación17
Tabla8.OpcionesadmitidasporelSoftwaredehuellasdactilaresdeLenovo(continuación)
ParámetroDescripción
SWSHOWPOWERON
CSS•0=suponequenosehainstaladoCSS.
•0=nomuestralasopcionesdeseguridadde encendido.
•1=muestrasiemprelasopcionesdeseguridadde encendido.
Elvalorpredeterminadoes0.
•1=suponequesehainstaladoCSS.
Elvalorpredeterminadoes0.

Servidordegestióndesistemas

TambiénestánsoportadaslasinstalacionesdeSMS(servidordegestióndesistemas).Abralaconsolade administradordeSMS.Creeunnuevopaqueteyestablezcalaspropiedadesdelpaquetedelaforma estándar.AbraelpaqueteyseleccioneNuevo-ProgramaenelelementoProgramas.Enlalíneade mandatos,especique:
Setup.exe/myourmiflename/q/i
Puedeutilizarlosmismosparámetrosqueparalainstalaciónsilenciosa.
Lainstalaciónnormalmenterearrancaalnaldelprocesodeinstalación.Sideseasuprimirtodoslos rearranquesdurantelainstalaciónyrearrancarposteriormente(despuésdeinstalarmásprogramas),añada REBOOT=“ReallySuppress”alalistadepropiedades.
18ClientSecuritySolution8.21Guíadedespliegue

Capítulo3.CómotrabajarconClientSecuritySolution

AntesdeinstalarClientSecuritySolution,debecomprenderlapersonalizacióndisponibleparaClient SecuritySolution.EnestecapítuloseproporcionainformacióndepersonalizaciónsobreClientSecurity Solution,asícomoinformaciónrelativaalMódulodeplataformasegura.Estecapítuloutilizatérminos denidosporTrustedComputingGroup(TCG)enrelaciónalTrustedPlatformModule.Paraobtenermás informaciónsobreTrustedPlatformModule,consulteelsiguientesitioweb: http://www.trustedcomputinggroup.org/

UtilizacióndelMódulodeplataformasegura

ElMódulodeplataformaseguraesunchipdeseguridadincorporadodiseñadoparaproporcionarfunciones relacionadasconlaseguridadparaelsoftwarequeloutiliza.Elchipdeseguridadincorporadoseinstalaen laplacamadredeunsistemaysecomunicamedianteunbusdehardware.Lossistemasqueincorporan unMódulodeplataformasegurapuedencrearclavesdecifradoycifrarlasdeformaquesólopuedan serdescifradasporelmismoMódulodeplataformasegura.Esteproceso,amenudodenominado empaquetado,ayudaaprotegerlaclaveevitandoqueserevele.EnunsistemaconunMódulodeplataforma segura,laclavedeempaquetadomaestra,denominadaClaveraízdealmacenamiento(SRK),sealmacenaen elpropioMódulodeplataformasegura,deformaquelaparteprivadadelaclavenuncaquedaexpuesta.El chipdeseguridadincorporadotambiénpuedealmacenarotrasclavesdealmacenamiento,clavesderma, contraseñasyotraspequeñasunidadesdedatos.Debidoalacapacidadlimitadadealmacenamientoenel Módulodeplataformasegura,laSRKseutilizaparacifrarotrasclavesparaelalmacenamientofueradelchip. LaSRKnuncadejaelchipdeseguridadincorporadoyformalabaseparaelalmacenamientoprotegido.
LautilizacióndelchipdeseguridadincorporadoesopcionalyrequiereunadministradordeClientSecurity Solution.YaseaparaelusuarioindividualoparaundepartamentodeTIdeunaempresa,sedebeinicializar elMódulodeplataformasegura.Lasoperacionessubsiguientes,comoporejemplolacapacidadde recuperarsedeunaanomalíadelaunidaddediscoduroolasustitucióndelaplacadelsistema,también estánrestringidasaladministradordeClientSecuritySolution.
Nota:Siestácambiandolamodalidaddeautenticacióneintentadesbloquearelchipdeseguridad, debecerrarlasesióny,acontinuación,iniciardenuevolasesióncomoeladministradormaestro.Esto lepermitirádesbloquearelchip.Tambiénpuedeiniciarlasesióncomounusuariosecundarioycontinuar convirtiendolamodalidaddeautenticación.Estoserealizaautomáticamentecuandoelusuariosecundario inicialasesión.ClientSecuritySolutionlesolicitarálacontraseñaofrasedepasodelusuariosecundario. UnavezqueClientSecuritySolutionhayaacabadodeprocesarelcambio,elusuariosecundariopuede continuardesbloqueandoelchip.

UtilizacióndelMódulodeplataformaseguraconWindowsVista

SiestáhabilitadoeliniciodesesióndeWindowsVistayelMódulodeplataformaseguraestáinhabilitado, debeinhabilitarlacaracterísticadeiniciodesesióndeWindowsantesdeinhabilitarelMódulodeplataforma seguraenF1BIOS.Sihaceesto,evitaqueaparezcaunmensajedeseguridadqueindicalosiguiente:Seha desactivadoelchipdeseguridad,elprocesodeiniciodesesiónnosepuedeproteger.
Además,siestáactualizandoelsistemaoperativodeunsistemacliente,debeborrarelchipdeseguridad paraevitarunaanomalíaderegistrodeClientSecurity.ParaborrarelchipenF1BIOS,elsistemase debeiniciardesdeunarranqueenfrío.Nopodráborrarelchipsiintentaesteprocesodespuésdeun rearranqueentemplado.
©CopyrightLenovo2008,2012
19

GestióndeClientSecuritySolutionconclavesdecifrado

ClientSecuritySolutionsedescribemediantelasdosactividadesprincipalesdedespliegue;T omar propiedadyRegistrarusuario.AlejecutarelAsistentedeconguracióndeClienteSecurityporprimeravez, losprocesosTomarpropiedadyRegistrarusuarioserealizandurantelainicialización.ElIDdeusuariode WindowsespecícoquehacompletadoelAsistentedeconguracióndeClientSecuritySolutionesel AdministradordeClientSecuritySolutionyseregistracomounusuarioactivo.Atodoslosdemásusuarios queiniciensesiónenelsistemaselesrequeriráqueseregistrenenClientSecuritySolution.
Tomarpropiedad SeasignaunúnicoIDdeusuarioadministradorWindowsalúnicoAdministradordeClientSecurity Solutiondelsistema.LasfuncionesadministrativasdeClientSecuritySolutionsedebenrealizarmediante esteIDdeusuario.LaautorizacióndelMódulodeplataformaseguraeslacontraseñadeWindowsola frasedepasodeClientSecuritydeesteusuario.
Nota:LaúnicaformaderecuperarunacontraseñadeAdministradorofrasedepasodeClientSecurity SolutionolvidadaesdesinstalarelsoftwareconlospermisosválidosdeWindowsoborrarelchipde seguridadenelBIOS.Decualquieradelasdosmanerasseperderánlosdatosprotegidosmediantelas clavesasociadasconelMódulodeplataformasegura.ClientSecuritySolutiontambiénproporcionaun mecanismoopcionalquepermitelaautorecuperacióndeunacontraseñaofrasedepasoolvidadas basándoseenunretopregunta-respuesta.ElAdministradordeClientSecuritySolutiontomaladecisión sobresiutilizarestafunción.
Registrarusuario UnavezquesehayacompletadoelprocesoT omarpropiedadysehayacreadounAdministradorde ClientSecuritySolution,sepodrácrearunaclavebasedeusuarioparaalmacenardeformasegura credencialesparaelusuariodeWindows.Estediseñopermitequemúltiplesusuariosseregistrenen ClientSecuritySolutionyaprovechenelúnicoMódulodeplataformasegura.Lasclavesdeusuarioestán protegidasmedianteelchipdeseguridad,peroenrealidadsealmacenanfueradelchipenlaunidadde discoduro.Estediseñocreaespaciodediscodurocomofactordealmacenamientoconlimitaciones enlugardememoriarealincorporadaenelchipdeseguridad.Elnúmerodeusuariosquepueden aprovecharelmismohardwareseguroaumentaconsiderablemente.

Tomarpropiedad

LaraízdeabilidaddeClientSecuritySolutioneslaClaveraízdelsistema(SRK).Estaclaveasimétrica quenosepuedemigrarsegeneraenelentornosegurodelMódulodeplataformaseguraynuncase exponealsistema.Laautorizaciónparaaprovecharlaclavesederivadelacuentadeadministradorde WindowsduranteelmandatoTPM_TakeOwnership.Sielsistemaestáaprovechandounafrasedepasode ClientSecurity,lafrasedepasodeClientSecurityparaelAdministradordeClientSecuritySolutionserá laautorizacióndelMódulodeplataformasegura.Delocontrario,serálacontraseñadeWindowsdel AdministradordeClientSecuritySolution.
UnavezquesehayacreadolaSRKparaelsistema,sepodráncrearotrosparesdeclavesyestossepodrán almacenarfueradelMódulodeplataformasegura,peroenvueltosoprotegidosmediantelasclavesbasadas enhardware.DebidoaqueelMódulodeplataformaseguraqueincluyelaSRKeshardwareyelhardware puederesultardañado,esnecesariounmecanismoderecuperaciónparagarantizarlarecuperacióndelos datosencasodequeseproduzcandañosenelsistema.
PararecuperarunsistemasecrealaClavebasedelsistema.Estaclavedealmacenamientoasimétrica permitealAdministradordeClientSecuritySolutionlarecuperacióndeuncambiodelaplacadelsistemao lamigraciónplanicadaaotrosistema.AndeprotegerlaClavebasedelsistemaperopermitirquesea accesibleduranteelfuncionamientonormalodurantelarecuperación,secreanyprotegendosinstancias delaclavemediantedosmétodosdistintos.Enprimerlugar,secifralaClavebasedelsistemaconuna clavesimétricaAESquesederivasabiendolacontraseñadelAdministradordeClientSecuritySolution olafrasedepasodeClientSecurity.EstacopiadelaClavederecuperacióndeClientSecuritySolution
20ClientSecuritySolution8.21Guíadedespliegue
seutilizaexclusivamenteanderealizarlarecuperacióndeunMódulodeplataformaseguraborradoo
System Level Key Structure - Take Ownership
Trusted Platform Module
Encrypted via derived AES Key
Storage Root Private Key
Storage Root Public Key
System Leaf Private Key
System Base Private Key
System Leaf Public Key
System Base Public Key
System Base Private Key
System Base Public Key
If Passphrase
loop n times
CSS Admin PW/PP
One-Way Hash
One-Way Hash
System Base AES
Protection Key (derived via output of hash algorithm)
Auth
deunaplacadelsistemasustituidadebidoaunerrordehardware.
LasegundainstanciadelaClavederecuperacióndeClientSecuritySolutionesempaquetadaporlaSRK paraimportarlaenlajerarquíadeclaves.EstadobleinstanciadelaClavebasedelsistemapermiteal Módulodeplataformaseguraprotegerlossecretosvinculadosalmismomásabajodurantelautilización normalypermitelarecuperacióndeunaplacadelsistemafallidamediantelaClavebasedelsistemaque estácifradaconunaclaveAESdesbloqueadaporlacontraseñadeAdministradordeClientSecuritySolution olafrasedepasodeClientSecurity.Acontinuación,secrealaClavehojadelsistema.Estaclavesecrea paraprotegerlossecretosaniveldelsistemacomoporejemplolaclaveAES.
Eldiagramasiguienteproporcionalaestructuraparalaclaveaniveldelsistema:
Figura1.Estructuradeclaveaniveldelsistema:Tomarpropiedad

Registrarusuario

ParaquelosdatosdecadausuarioesténprotegidosmedianteelmismoMódulodeplataformasegura,cada usuariotendrácreadasupropiaClavebasedeusuario.Estaclavedealmacenamientoasimétricasepuede migrarytambiénsecreadosvecesyseprotegemedianteunaclaveAESsimétricageneradaapartirdela contraseñadeusuariodeWindowsofrasedepasodeClientSecurity.
LasegundainstanciadelaClavebasedeusuarioseimportaseguidamenteenelMódulodeplataforma segurayseprotegemediantelaSRKdelsistema.ConlaClavebasedeusuario,tambiénsecreaunaclave asimétricasecundariadenominadaClavehojadeusuario.LaClavehojadeusuarioprotegesecretos personalescomoporejemplolaclaveAESdePasswordManagerutilizadaparaprotegerlainformación deiniciodesesiónenInternet,lacontraseñautilizadaparaprotegerdatosylaclaveAESdecontraseña deWindowsutilizadaparaprotegerelaccesoalsistemaoperativo.ElaccesoalaClavehojadeusuario locontrolalacontraseñadeWindowsolafrasedepasodeClientSecuritySolutiondelusuarioyse desbloqueaautomáticamenteduranteeliniciodesesión.
Capítulo3.CómotrabajarconClientSecuritySolution21
Eldiagramasiguienteproporcionalaestructuraparalaclaveaniveldeusuario:
User Level Key Structure - Enroll User
Trusted Platform Module
Encrypted via derived AES Key
Storage Root Private Key
Storage Root Public Key
User Leaf Private Key
User Base Private Key
User Leaf Public Key
User Base Public Key
Windows PW AES Key
PW Manager AES Key
User Base Private Key
User Base Public Key
If Passphrase
loop n times
User PW/PP
One-Way Hash
One-Way Hash
User Base AES
Protection Key (derived via output of hash algorithm)
Auth
Figura2.Estructuradeclaveenelniveldeusuario:Registrarusuario
Inscripciónensegundoplano
ClientSecuritySolution8.21dasoportealainscripciónensegundoplanoparainscripcionesdeusuarioque seinicianautomáticamente.Elprocesodeinscripciónseejecutaensegundoplanosinmostrarninguna noticación.
Nota:Lainscripciónensegundoplanosolamenteestádisponibleparalasinscripcionesdeusuarioquese inicianautomáticamente.Parainscripcionesdeusuarioqueseinicianmanualmente,desdeelmenúde inicioodesdeRestablecervaloresdeseguridad,apareceráundiálogoenelqueseindicaalusuarioque esperearealizarlainscripcióndeusuario.
Eladministradorlocaloeladministradordedominiostambiénpuedenforzarlaaparicióndeldiálogode esperaeditandolasiguientepolítica:
CSS_GUI_ALWAYS_SHOW_ENROLLMENT_PROCESSING
Oeditandolasiguienteclavederegistro:
HKLM\software\policies\lenovo\clientsecuritysolution\GUIoptions\ AlwaysShowEnrollmentProcessing
ElvalorpredeterminadodeAlwaysShowEnrollmentProcessinges0.Cuandolaclavederegistroanteriorse estableceen0,eldiálogodeesperanoapareceráaquellasinscripcionesdeusuarioquesehayaniniciado automáticamente.Cuandoestapolíticaseestableceen1,eldiálogodeesperaaparecerásiempredurante lainscripcióndeusuarioindependientementedecómoseinicielainscripción.

Emulacióndesoftware

ParaproporcionarunaexperienciahomogéneaparaelusuariocuyosistemanodisponedeTPM,CSS dasoportealamodalidaddeemulacióndeTPM.
LamodalidaddeemulacióndeTPMesunaraízdeabilidadbasadaenelsoftware.Lasmismasprestaciones queproporcionaTPM,incluidaslarmadigital,ladescripcióndeclavesimétrica,laimportaciónyprotección
22ClientSecuritySolution8.21Guíadedespliegue
declavesRSAasícomolageneraciónaleatoriadenúmeros,estándisponiblesparaelusuario,salvoque hayunamenorseguridaddebidoaquelaraízdeabilidadsebasaenclavesbasadasensoftware.
LamodalidaddeemulacióndeTPMnosepuedeutilizarcomosustitutodeseguridadparaTPM.TPM proporcionalossiguientesdosmétodosdeproteccióndeclavesquesonmássegurosquelamodalidad deemulacióndeTPM.
•TodaslasclavesqueutilizaTPMseprotegenmedianteunasolaclavedenivelraíz.Laúnicaclavede nivelraízsecreaenelinteriordeTPMynosepuedeverniutilizarfueradeTPM.Enlamodalidadde emulacióndeTPM,laclavedenivelraízesunaclavebasadaenelsoftwarequesealmacenaenla unidaddediscoduro.
•TodaslasoperacionesdeclaveprivadaserealizanenTPM,deformaqueelmaterialdeclaveprivada paracualquierclavenoestánuncaexpuestofuerodeTPM.EnlamodalidaddeemulacióndeTPM,todas lasoperacionesdeclaveprivadaserealizanenelsoftware,porloquenohayproteccióndelmaterial declaveprivada.
LamodalidaddeemulacióndeTPMesprincipalmenteparaelusuarioalquelepreocupapocolaseguridad peromáslavelocidaddeiniciodesesióndelsistema.

Cambiodelaplacadelsistema

UncambiodelaplacadelsistemaimplicaquelaSRKanterioralaqueestabanvinculadaslasclavesyano esválida,yesnecesariaotraSRK.EstotambiénpuedesucedersiseborramedianteelBIOSelMódulo deplataformasegura.
EsnecesarioqueeladministradordeClientSecuritySolutionvinculelascredencialesdelsistemaauna nuevaSRK.SeránecesariodescifrarlaClavebasedelsistemamediantelaClavedeprotecciónAESbase delsistemaderivadadelascredencialesdeautorizacióndelAdministradordeClientSecuritySolution.
SiunAdministradordeClientSecuritySolutionesunIDdeusuariodedominioylacontraseñadedicho IDdeusuariosehacambiadoenunamáquinadistinta,paradescifrarlaClavebasedelsistemaparala recuperaciónseránecesarioconocerlacontraseñaqueseutilizóaliniciarsesiónporúltimavezenelsistema. Porejemplo,duranteeldespliegueseconguraránunIDdeusuarioyunacontraseñadeAdministradorde ClientSecuritySolution;silacontraseñadeesteusuariocambiaenunamáquinadistinta,lacontraseña originalestablecidaduranteeldespliegueserálaautorizaciónnecesariaanderecuperarelsistema.
Sigaestospasospararealizaruncambiodelaplacadelsistema:
1.EladministradordeClientSecuritySolutioniniciasesiónenelsistemaoperativo.
2.Elcódigoejecutadodeiniciodesesión(cssplanarswap.exe)reconocequeelchipdeseguridadestá inhabilitadoyrequierequeserearranqueparahabilitarlo.(Estepasosepuedeevitarhabilitandoel chipdeseguridadmedianteelBIOS).
3.Serearrancaelsistemaysehabilitaelchipdeseguridad.
4.EladministradordeClientSecuritySolutioninicialasesión;nalizaelnuevoprocesodeTomar propiedad.
5.SedescifralaClavebasedelsistemautilizandolaClavedeprotecciónAESbasedelsistemaquese derivadelaautenticacióndeadministradordeClientSecuritySolution.SeimportalaClavebasedel sistemaenlanuevaSRKyserestablecelaClavehojadelsistemaytodaslascredencialesprotegidas porésta.
6.Elsistemaestáahorarecuperado.
Nota:CuandoseutilizalaModalidaddeemulación,noesnecesariocambiarlaplacadelsistema.
Capítulo3.CómotrabajarconClientSecuritySolution23
Eldiagramasiguienteproporcionalaestructuraparaelintercambiodeplacabasetomarpropiedad:
Motherboard Swap - Take Ownership
Trusted Platform Module
Decrypted via derived AES Key
System Leaf Private Key
Store Leaf Private Key
System Leaf Public Key
Store Leaf Public Key
System Base Private Key
System Base Public Key
If Passphrase
loop n times
CSS Admin PW/PP
One-Way Hash
System Base AES
Protection Key (derived via output of hash algorithm)
Motherboard Swap - Enroll User
Trusted Platform Module
Decrypted via derived AES Key
Storage Root Private Key
Storage Root Public Key
User Leaf Private Key
User Leaf Public Key
Windows PW AES Key
PW Manager AES Key
User Base Private Key
User Base Public Key
If Passphrase
loop n times
User PW/PP
One-Way Hash
User Base AES
Protection Key
(derived via output
of hash algorithm)
Figura3.Intercambiodeplacabase:Tomarpropiedad
Conformecadausuarioiniciasesiónenelsistema,laClavebasedeusuariosedescifraautomáticamente mediantelaClavedeprotecciónAESbasedeusuarioderivadadelaautenticacióndeusuarioeimportada alanuevaSRKcreadamedianteeladministradordeClientSecuritySolution.Eldiagramasiguiente proporcionalaestructuraparaelintercambiodeplacabase:registrarusuario:
Paraqueunsegundousuarioinicielasesióndespuésdequesehayaborradoelchipodespuésdesustituir laplacamadre,debeiniciarlasesióncomoeladministradormaestro.Sesolicitaráaladministradormaestro querestaurelasclaves.Unavezquesehayacompletadolarestauracióndelasclaves,utiliceelGestor depolíticasparainhabilitareliniciodesesióndeWindowsdeClientSecurity.Losdemásusuariospodrán restaurarsusclavesrespectivas.Unavezquetodoslosusuariossecundarioshayanrestauradosusclaves,el administradormaestropuedehabilitarlafuncióndeiniciodesesióndeWindowsdeClientSecuritySolution.
Eldiagramasiguienteproporcionalaestructuraparaelintercambiodeplacabase:registrarusuario:
Figura4.Intercambiodeplacabase:Registrarusuario
24ClientSecuritySolution8.21Guíadedespliegue

ProgramadeutilidaddeproteccióndeEFS

ClientSecuritySolutionproporcionaunprogramadeutilidaddelalíneademandatosquepermitela protecciónbasadaenelTPMdecerticadosdecifradoutilizadosporelSistemadecifradodearchivos (EFS)paracifrararchivosycarpetas.Esteprogramadeutilidaddasoportealatransferenciadecerticados deterceros(certicadosgeneradosporunaentidademisoradecerticados)ytambiéndasoporteala generacióndecerticadosautormados.
LaproteccióndelcerticadodeEFSporpartedeClientSecuritySolutionsignicaquelaclaveprivada asociadaconelcerticadodeEFSestáprotegidaporelTPM.Seotorgaaccesoalcerticadodespués dequeelusuariosehayaautenticadoenClientSecuritySolution.
SinohayningúnTPMdisponible,elcerticadodeEFSseprotegeutilizandoelemuladordelTPM proporcionadoporClientSecuritySolution.DeberegistrarseconClientSecuritySolutionparapodertener loscerticadosdeEFSprotegidosporClientSecuritySolution.
PRECAUCIÓN: SiutilizaClientSecuritySolutionyelSistemadecifradodearchivos(EFS)paracifrararchivos ycarpetas,cadavezqueClientSecuritySolutionoelMódulodeplataformaseguranoestén disponiblesnopodráaccederalosarchivoscifrados.
SielMódulodeplataformaseguradejaderesponder,ClientSecuritySolutionrestauraráelaccesoalos datoscifradosunavezquesehayasustituidolaplacabase.
UtilizacióndelprogramadeutilidaddelalíneademandatosdeEFS
LatablasiguienteproporcionalosparámetrosdelalíneademandatosqueestánsoportadosparaEFS:
Tabla9.ParámetrosdelalíneademandatosadmitidosparaEFS
ParámetroDescripción
/generate:<size>Generauncerticadoautormadoyasociaelcerticado
conEFS.Siseespecica<size>,laclavegeneradaserá deltamañodebitespecicado.Losvaloresválidos incluyen512,1024y2048.Sinoseespecicaningún valor,osiseespecicaunvalornoválido,elvalor predeterminadoserálageneracióndeclavesde1024bits.
/sn:xxxxxxEspecicaelnúmerodeseriedeuncerticadoexistente
quesedebetransferiryasociarconEFS.
/cn:yyyyyyEspecicaelnombre(“issuedto”)deuncerticado
existentequesedebetransferiryasociarconEFS.
/rstavailTransereelprimercerticadodeEFSexistente
disponibleyloasociaaEFS.
/silentNovisualizaningunasalida.Loscódigosderetorno
proporcionadosporelvalorcuandosesaledelprograma.
/?o/ho/helpVisualizalainformacióndeayuda.
Cuandonoseejecutaenmodalidadsilenciosa,elprogramadeutilidaddevolveráunodeloserrores siguientes:
0-"Commandcompletedsuccessfully" 1-"ThisutilityrequiresWindowsXP" 2-"ThisutilityrequiresClientSecuritySolutionversion8 .0" 3-"ThecurrentuserisnotenrolledwithClientSecuritySolution" 4-"Thespeciedcerticatecouldnotbefound" 5-"Unabletogenerateaself-signedcerticate” 6-"NoEFScerticateswerefound"
Capítulo3.CómotrabajarconClientSecuritySolution25
7-"UnabletoassociatethecerticatewithEFS”
Alejecutarenmodalidadsilenciosa,lasalidadelprogramaseráunniveldeerrorcorrespondientealos númerosdeerroresquesemuestranmásarriba.

UtilizacióndelesquemaXML

ElpropósitodelosscriptsXMLespermitiralosadministradoresdeTIcrearscriptspersonalizadosque sepuedanutilizarparadesplegarycongurarClientSecuritySolution.Losscriptssepuedenproteger medianteelejecutablexml_crypt_toolconunacontraseñatalcomoelcifradoAES.Unavezcreada,la máquinavirtual(vmserver.exe)aceptalosscriptscomoentrada.Lamáquinavirtualllamaalasmismas funcionesqueelAsistentedeconguracióndeClientSecuritySolutionparacongurarelsoftware.
TodoslosscriptsconstandeunaetiquetaparaespecicareltipodecodicaciónXML,elesquemaXMLy comomínimounafunciónarealizar.ElesquemaseutilizaparavalidarelarchivoXMLycomprobarsiexisten todoslosparámetrosnecesarios.Actualmentenosefuerzalautilizacióndelesquema.Cadafunciónestá entreetiquetasdefunción.Cadafuncióncontieneunaordenqueespecicaelordenenelquelamáquina virtual(vmserver.exe)ejecutaráelmandato.Cadaversióntienetambiénunnúmerodeversión;actualmente todaslasfuncionesestánenlaversión1.0.Cadaunodelossiguientesscriptsdeejemplosólocontieneuna función.Sinembargo,enlaprácticaunscriptcontendráposiblementevariasfunciones.ElAsistentede conguracióndeClientSecuritySolutionsepuedeutilizarparacrearunscriptdeestetipo.Paraobtener informaciónadicionalsobrelacreacióndescriptsconelasistentedeconguración,consulte“Asistentede conguracióndeClientSecuritySolution”enlapágina36
Nota:Siseomiteelparámetro<DOMAIN_NAME_PARAMETER>encualquieradelasfuncionesque requierenunnombrededominio,seutilizaráelnombredelsistemapredeterminado.
.

Ejemplos

LosmandatossiguientessonejemplosdelesquemaXML:
ENABLE_TPM_FUNCTION
EstemandatohabilitaelMódulodeplataformasegurayutilizaelargumentoSYSTEM_PAP .Sielsistema yatieneestablecidaunacontraseñadeadministradorosupervisordelBIOS,sedebeproporcionareste argumento.Delocontrario,estemandatoesopcional.
<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">
<registry_settings/> </tvt_deployment>
<FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENABLE_TPM_FUNCTION</COMMAND> <VERSION>1.0</VERSION> <SYSTEM_PAP>PASSWORD</SYSTEM_PAP>
</FUNCTION>
</CSSFile>
Nota:Estemandatonorecibesoporteenlamodalidaddeemulación.
DISABLE_TPM_FUNCTION
EstemandatoutilizaelargumentoSYSTEM_PAP.Sielsistemayatieneestablecidaunacontraseñade administradorosupervisordelBIOS,sedebeproporcionaresteargumento.Delocontrario,estemandato esopcional.
<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">
26ClientSecuritySolution8.21Guíadedespliegue
<registry_settings/> </tvt_deployment
<FUNCTION> <ORDER>0001</ORDER> <COMMAND>DISABLE_TPM_FUNCTION</COMMAND> <VERSION>1.0</VERSION> <SYSTEM_PAP>password</SYSTEM_PAP>
</FUNCTION>
</CSSFile>
Nota:Estemandatonorecibesoporteenlamodalidaddeemulación.
ENABLE_PWMGR_FUNCTION
EstemandatohabilitaPasswordManagerparatodoslosusuariosdeClientSecuritySolution.
<?xmlversion="1.0"encoding="UTF-8"standalone="no"?>
<CSSFilexmlns="www.lenovo.com/security/CSS">
<FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENABLE_PWMGR_FUNCTION</COMMAND> <VERSION>1.0</VERSION>
</FUNCTION>
</CSSFile>
ENABLE_CSS_GINA_FUNCTION
ParaWindows2000,XPyVista,estemandatohabilitaeliniciodesesióndeClientSecuritySolution:
-<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">
<registry_settings/> </tvt_deployment
<FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENABLE_CSS_GINA_FUNCTION</COMMAND> <VERSION>1.0</VERSION>
</FUNCTION>
</CSSFile>
ENABLE_UPEK_GINA_FUNCTION
Notas:
1.EstemandatosolamenteesparaelSoftwaredehuellasdactilaresdeThinkVantage.
2.Estemandatonorecibesoporteenlamodalidaddeemulación.
ElmandatosiguientehabilitaeliniciodesesióndeWindowsdehuelladactilardeThinkVantageeinhabilitael iniciodesesióndeWindowsdeClientSecuritySolution.
<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">
<registry_settings/> </tvt_deployment>
<FUNCTION>
<ORDER>0001</ORDER> <COMMAND>ENABLE_UPEK_GINA_FUNCTION</COMMAND> <VERSION>1.0</VERSION>
</FUNCTION>
</CSSFile>
Capítulo3.CómotrabajarconClientSecuritySolution27
ENABLE_UPEK_GINA_WITH_FUS_FUNCTION
Notas:
1.EstemandatosolamenteesparaelSoftwaredehuellasdactilaresdeThinkVantage.
2.Estemandatonorecibesoporteenlamodalidaddeemulación.
Elmandatosiguientehabilitaeliniciodesesiónconelsoportedeconmutacióndeusuariorápidaeinhabilita eliniciodesesióndeWindowsdeClientSecuritySolution.Laconmutacióndeusuariorápidapuedeque noestéhabilitadasegúnlosvaloresdelsistema.
<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">
<registry_settings/> </tvt_deployment
<FUNCTION>
<ORDER>0001</ORDER> <COMMAND>ENABLE_UPEK_GINA_WIH_FUS_FUNCTION</COMMAND> <VERSION>1.0</VERSION>
</FUNCTION>
</CSSFile>
ENABLE_AUTHENTEC_GINA_FUNCTION
Notas:
1.EstemandatoessolamenteparaelSoftwaredehuellasdactilaresdeLenovo.
2.Estemandatonorecibesoporteenlamodalidaddeemulación.
ElmandatosiguientehabilitaeliniciodesesióndeWindowsdehuelladactilardeLenovoeinhabilitaelinicio desesióndeWindowsdeClientSecuritySolution.
<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">
<registry_settings/> </tvt_deployment>
<FUNCTION>
<ORDER>0001</ORDER> <COMMAND>ENABLE_AUTHENTEC_GINA_FUNCTION</COMMAND> <VERSION>1.0</VERSION>
</FUNCTION>
</CSSFile>
ENABLE_AUTHENTEC_GINA_WITH_FUS_FUNCTION
Notas:
1.EstemandatoessolamenteparaelSoftwaredehuellasdactilaresdeLenovo.
2.Estemandatonorecibesoporteenlamodalidaddeemulación.
Elmandatosiguientehabilitaeliniciodesesiónconelsoportedeconmutacióndeusuariorápidaeinhabilita eliniciodesesióndeWindowsdeClientSecuritySolution.Laconmutacióndeusuariorápidapuedeque noestéhabilitadasegúnlosvaloresdelsistema.
<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">
<registry_settings/> </tvt_deployment
<FUNCTION>
<ORDER>0001</ORDER> <COMMAND>ENABLE_AUTHENTEC_GINA_WIH_FUS_FUNCTION</COMMAND> <VERSION>1.0</VERSION>
28ClientSecuritySolution8.21Guíadedespliegue
</FUNCTION>
</CSSFile>
ENABLE_NONE_GINA_FUNCTION
SisehahabilitadoeliniciodesesióndealgunodeloscomponentesdeTVTrelacionadosconGINA comoporejemploelSoftwaredehuellasdactilaresdeThinkVantage,ClientSecuritySolutionoAccess Connection,estemandatoinhabilitarálosiniciosdesesióndelSoftwaredehuellasdactilaresde ThinkVantageydeClientSecuritySolution.
<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">
<registry_settings/> </tvt_deployment
<FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENABLE_CSS_NONE_FUNCTION</COMMAND> <VERSION>1.0</VERSION>
</FUNCTION>
</CSSFile>
Nota:Estemandatonorecibesoporteenlamodalidaddeemulación.
SET_PP_FLAG_FUNCTION
EstemandatograbaundistintivoqueClientSecuritySolutionleeparadeterminarsisedebeutilizarlafrase depasodeClientSecurityounacontraseñadeWindows.
<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">
<registry_settings/> </tvt_deployment
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>SET_PP_FLAG_FUNCTION</COMMAND> <PP_FLAG_SETTING_PARAMETER>USE_CSS_PP</PP_FLAG_SETTING_PARAMETER> <VERSION>1.0</VERSION> </FUNCTION>
</CSSFile>
Nota:Estemandatonorecibesoporteenlamodalidaddeemulación.
SET_ADMIN_USER_FUNCTION
EstemandatograbaundistintivoqueClientSecuritySolutionleeparadeterminarquiéneseladministrador. Losparámetrossonlossiguientes:
USER_NAME_PARAMETER Nombredeusuariodeladministrador.
DOMAIN_NAME_PARAMETER Nombrededominiodeladministrador.
<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">
<registry_settings/> </tvt_deployment
<FUNCTION> <ORDER>0001</ORDER> <COMMAND>SET_ADMIN_USER_FUNCTION</COMMAND> <USER_NAME_PARAMETER>sabedi</USER_NAME_PARAMETER>
Capítulo3.CómotrabajarconClientSecuritySolution29
<DOMAIN_NAME_PARAMETER>IBM-2AA92582C79<DOMAIN_NAME_PARAMETER> <VERSION>1.0</VERSION> <SYSTEM_PAP>PASSWORD</SYSTEM_PAP>
</FUNCTION>
</CSSFile>
Nota:Estemandatonorecibesoporteenlamodalidaddeemulación.
INITIALIZE_SYSTEM_FUNCTION
EstemandatoinicializalafuncióndelsistemadeClientSecuritySolution.Lasclavesaplicablesatodoel sistemasegeneranmedianteestallamadadefunción.Lasiguientelistadeparámetrosexplicacadafunción:
NEW_OWNER_AUTH_DAT A_PARAMETER Esteparámetroseutilizaparaestablecerlanuevacontraseñadeusuarioparaelsistema.Paralanueva contraseñadepropietario,elvalordeesteparámetroestácontroladoporlacontraseñadepropietario actual.Sinoseestablecelacontraseñadepropietarioactual,elvalorpasadoparaesteargumentose convertiráenlanuevacontraseñadepropietario.Siyaestáestablecidalacontraseñadepropietario actualyeladministradorutilizalamismacontraseñadepropietarioactual,sepasaráesevaloreneste parámetro.Sieladministradorutilizaunanuevacontraseñadepropietario,lanuevacontraseñade propietariosepasaráenesteparámetro.
CURRENT_OWNER_AUTH_DAT A_PARAMETER Esteparámetroeslacontraseñadepropietarioactualdelsistema.Sielsistemayatieneunacontraseña depropietarioexistente,esteparámetrodebepasarlacontraseñaanterior.Sisesolicitaunanueva contraseñadepropietario,sedebepasarlacontraseñadepropietarioactualenesteparámetro.Sinose conguraningúncambiodecontraseña,sepasaelvalorNO_CURRENT_OWNER_AUTH.
<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">
<registry_settings/> </tvt_deployment
<FUNCTION>
<ORDER>0001</ORDER> <COMMAND>INITIALIZE_SYSTEM_FUNCTION</COMMAND> <NEW_OWNER_AUTH_DATA_PARAMETER>pass1word</NEW_OWNER_AUTH_DATA_
PARAMETER>
<CURRENT_OWNER_AUTH_DATA_PARAMETER>No_CURRENT_OWNER_AUTH</CURRENT
_OWNER_AUTH_DATA_PARAMETER>
<VERSION>1.0</VERSION>
</FUNCTION>
</CSSFile>
CHANGE_TPM_OWNER_AUTH_FUNCTION
EstemandatocambialaautorizacióndeadministradordeClientSecuritySolutionyactualizalasclaves delsistemaenconsecuencia.Lasclavesaplicablesatodoelsistemasevuelvenagenerarmedianteesta llamadadefunción.Losparámetrossonlossiguientes:
•NEW_OWNER_AUTH_DATA_PARAMETER NuevacontraseñadepropietariodelMódulodeplataformasegura.
•CURRENT_OWNER_AUTH_DATA_PARAMETER ContraseñadepropietarioactualdelMódulodeplataformasegura.
<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">
<registry_settings/> </tvt_deployment
<FUNCTION>
30ClientSecuritySolution8.21Guíadedespliegue
<ORDER>0001</ORDER> <COMMAND>CHANGE_TPM_OWNER_AUTH_FUNCTION</COMMAND> <NEW_OWNER_AUTH_DATA_PARAMETER>newPassWord</NEW_OWNER_AUTH_DATA_
PARAMETER>
<CURRENT_OWNER_AUTH_DATA_PARAMETER>oldPassWord</CURRENT_OWNER_AUTH
_DATA_PARAMETER>
<VERSION>1.0</VERSION>
</FUNCTION>
</CSSFile>
Nota:Estemandatonorecibesoporteenlamodalidaddeemulación.
ENROLL_USER_FUNCTION
EstemandatoregistraunusuariodeterminadoparautilizarClientSecuritySolution.Estafuncióncreatodas lasclavesdeseguridadespecícasdelusuarioparaunusuariodeterminado.Losparámetrossonlos siguientes:
USER_NAME_PARAMETER Nombredeusuariodelusuarioqueseregistrará.
DOMAIN_NAME_PARAMETER Nombrededominiodelusuarioqueseregistrará.
USER_AUTH_DAT A_PARAMETER FrasedepasodelMódulodeplataformaseguraocontraseñadeWindowsconlaquesecrearánlas clavesdeseguridaddeusuario.
WIN_PW_PARAMETER LacontraseñadeWindows.
<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">
<registry_settings/> </tvt_deployment
<FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENROLL_USER_FUNCTION</COMMAND> <USER_NAME_PARAMETER>sabedi</USER_NAME_PARAMETER> <DOMAIN_NAME_PARAMETER>IBM-2AA92582C79<DOMAIN_NAME_PARAMETER> <USER_AUTH_DATA_PARAMETER>myCssUserPassPhrase</USER_AUTH_DATA_PARAMETER>
<WIN_PW_PARAMETER>myWindowsPassword</WIN_PW_PARAMETER>
<VERSION>1.0</VERSION> </FUNCTION>
</CSSFile>
USER_PW_RECOVERY_FUNCTION
Estemandatoconguraunarecuperacióndecontraseñadeunusuariodeterminado.Losparámetros sonlossiguientes:
USER_NAME_PARAMETER Nombredeusuariodelusuarioqueseregistrará.
DOMAIN_NAME_PARAMETER Nombrededominiodelusuarioqueseregistrará.
USER_PW_REC_QUESTION_COUNT Númerodepreguntasqueelusuariodeberesponder.
Capítulo3.CómotrabajarconClientSecuritySolution31
USER_PW_REC_ANSWER_DATA_PARAMETER Respuestaalmacenadaaunapreguntadeterminada.Elnombrerealdeesteparámetroestáconectadoa unnúmeroquesecorrespondeconlapreguntaalaqueresponde.
USER_PW_REC_STORED_PASSWORD_PARAMETER Contraseñaalmacenadaquesepresentaalusuariounavezquesehancontestadotodaslaspreguntas correctamente.
<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">
<registry_settings/> </tvt_deployment
<FUNCTION> <ORDER>0001</ORDER> <COMMAND>USER_PW_RECOVERY_FUNCTION</COMMAND> <USER_NAME_PARAMETER>sabedi</USER_NAME_PARAMETER> <DOMAIN_NAME_PARAMETER>IBM-2AA92582C79<DOMAIN_NAME_PARAMETER> <USER_PW_REC_ANSWER_DATA_PARAMETER>Test1</USER_PW_REC_ANSWER_DATA_PARA
METER>
<USER_PW_REC_ANSWER_DATA_PARAMETER>Test2</USER_PW_REC_ANSWER_DATA_PARA
METER>
<USER_PW_REC_ANSWER_DATA_PARAMETER>Test3</USER_PW_REC_ANSWER_DATA_PARA
METER> <USER_PW_REC_QUESTION_COUNT>3</USER_PW_REC_QUESTION_COUNT> <USER_PW_REC_QUESTION_LIST>20000,20001,20002</USER_PW_REC_QUESTION_LIST>
</USER_PW_REC_STORED_PASSWORD_PARAMETER>Pass1word</USER_PW_REC_STORED_PASS
WORD_PARAMETER> <VERSION>1.0</VERSION>
</FUNCTION>
</CSSFile>
GENERATE_MUL TI_FACTOR_DEVICE_FUNCTION
EstemandatogeneralosdispositivosdevariosfactoresdeClientSecuritySolutionutilizadosparala autenticación.Losparámetrossonlossiguientes:
•USER_NAME_PARAMETER-Nombredeusuariodeladministrador.
•DOMAIN_NAME_PARAMETER-Nombrededominiodeladministrador.
•MULTI_FACTOR_DEVICE_USER_AUTH-FrasedepasodeClientSecurityocontraseñadeWindows paracrearlasclavesdeseguridaddeusuario.
<?xmlversion="1.0"encoding="UTF-8"standalone="no"?>
<CSSFile=xmlns="www.ibm.com/security/CSS"> <FUNCTION> <ORDER>0001</ORDER> <COMMAND>GENERATE_MULTI_FACTOR_DEVICE_FUNCTION</COMMAND> <USER_NAME_PARAMETER>myUserName</USER_NAME_PARAMETER> <DOMAIN_NAME_PARAMETER>domainName</DOMAIN_NAME_PARAMETER> <MULTI_FACTOR_DEVICE_USER_AUTH>myCssUserPassPhrase</MUL TI_FACTOR_DEVICE_USER_AUTH> <VERSION>1.0</VERSION> </FUNCTION>
</CSSFile>
SETUP_PDA_FUNCTION
EstemandatoconguraelÁreapreviaalescritorioparasuusoconClientSecuritySolution:
<?xmlversion="1.0"encoding="UTF-8"standalone="no"?> <CSSFile=xmlns="www.ibm.com/security/CSS"> <FUNCTION> <ORDER>0001</ORDER> <COMMAND>SETUP_PDA_FUNCTION</COMMAND>
32ClientSecuritySolution8.21Guíadedespliegue
<VERSION>1.0</VERSION> </FUNCTION>
</CSSFile>
SET_USER_AUTH_FUNCTION
EstemandatoestablecelaautenticacióndeusuariodeClientSecuritySolution:
<?xmlversion="1.0"encoding="UTF-8"standalone="no"?> <CSSFile=xmlns="www.ibm.com/security/CSS"> <FUNCTION> <ORDER>0001</ORDER> <COMMAND>SET_USER_AUTH_FUNCTION</COMMAND> <VERSION>1.0</VERSION> </FUNCTION>
</CSSFile>

UtilizacióndeseñalesRSASecurID

Aprovechandoelmétododealgoritmodecifradodelosdatosdecifrado,lautilizacióndelasseñalesRSA SecurIDademásdeClientSecuritySolutionproporcionaráseguridaddemúltiplesfactores.Utilizando señalesRSASecurID,losusuariosseautenticanenlasredesyelsoftwareutilizandosuIDdeusuarioo PINyundispositivodeseñal.Eldispositivodeseñalmuestraunaseriedenúmerosquecambiancada sesentasegundos.Estemétododeautenticaciónproporcionaunnivelmuchomásabledeautenticación deusuarioquelascontraseñasreutilizables.

InstalacióndelaseñaldesoftwareRSASecurID

CompletelospasossiguientesparainstalarelsoftwareRSASecurID:
1.Vayaalsiguientesitioweb: http://www.rsasecurity.com/node.asp?id=1156
2.Completeelprocesoderegistro.
3.DescargueeinstaleelsoftwareRSASecurID.

Requisitos

1.CadausuariodeWindowsdebeestarregistradoconClientSecuritySolutionparaqueelsoftwarede RSAfuncionecorrectamentedespuésdehabersidoasociadoconClientSecuritySolution.
2.ElsoftwaredeRSAentraráenunbucleinnitointentandolaautenticaciónconunusuariodeWindows quenoestáregistradoenClientSecuritySolution.RegistreelusuarioconClientSecuritySolution parasolucionaresteproblema.

EstablecimientodelasopcionesdeaccesodelaSmartCard

ParaestablecerlasopcionesdeaccesodelaSmartCard,completelospasossiguientes:
1.EnelmenúprincipaldeRSASecurID,pulseToolsyluegoSmartCardAccessOptions.
2.EnelpanelSmartCardCommunication,seleccioneelbotóndeseleccióndeAccesstheSmartCard throughaPKCS#11module.
3.PulseelbotónBrowseynaveguehastalasiguientevíadeacceso: C:\ProgramFiles\LENOVO\ClientSecuritySolution\csspkcs11.dll.
4.Pulseelarchivocsspkcs11.dllyluegopulseSelect.
5.PulseOK.
Capítulo3.CómotrabajarconClientSecuritySolution33

InstalaciónmanualdelaseñaldesoftwareRSASecurID

ParaaprovecharlaproteccióndeClientSecuritySolutionconlaseñaldesoftwaredeRSASecurID, completelospasossiguientes:
1.EnelmenúprincipaldeRSASecurIDSoftwareToken,pulseFiley,acontinuación,pulseImportTokens.
2.NaveguehastalaubicacióndelarchivoSDTIDyluegopulseOpen.
3.EnelpanelSelectToken(s)toInstall,resaltelosnúmerosdeseriedelasseñalesdesoftwareque desee.
4.PulseTransferSelectedTokensSmartCard.
Nota:Silaseñaltieneunacontraseñadedistribución,especiquelacontraseñacuandoselesolicite.
5.PulseOK.

SoportedeActiveDirectory

LasiguientevíadeaccesoproporcionalavíadeaccesodeldirectorioparaelmóduloPKCS#11deClient SecuritySolution:
C:\ProgramFiles\Lenovo\ClientSecuritySolution\csspkcs11.dll
ParaaprovecharelmóduloPKCS#11deClientSecuritySolution,sedebenestablecerlaspolíticas siguientesparaActiveDirectory:
1.FirmaPKCS#11
2.DescifradoPKCS#11
LatablasiguienteproporcionaelcampoyladescripciónmodicablesdelaspolíticasdePKCS#11:
Tabla10.ThinkVantage\ClientSecuritySolution\Políticasdeautenticación\FirmaPKCS#11\Modalidadde personalización
CamposCSS.ADM
Campomodicable DescripcióndelcampoControlasisenecesitacontraseñaofrasedepaso. Valoresposibles•Habilitado
Necesario
–Cadavez –Unavezporcadainiciodesesión
•Deshabilitado
•Nocongurado

Valoresypolíticasparalaautenticaciónconellectordehuellas dactilares

Opciónomisióndehuelladactilarobligada

Laopcióndeomisióndelahuelladactilarpermitequeunusuarioomitalaautenticacióndehuelladactilary utiliceunacontraseñadeWindowsparainiciarlasesión.Elusuariopuedeseleccionarodeseleccionaresta opciónenlainterfazdeusuariodePasswordManagercuandoañadeunaentradanueva.
Sinembargo,deformapredeterminada,laomisióndelahuelladactilarsehabilitaaunquenoseseleccione laopción.EstoesasíparapermitirqueelusuarioinicielasesiónenWindowscuandoelsensordehuellas
34ClientSecuritySolution8.21Guíadedespliegue
dactilaresnoesfuncional.Parainhabilitarlaopcióndeomisióndehuelladactilarobligada,editelasiguiente clavederegistro:
[HKEY_LOCAL_MACHINE\SOFTWARE\Lenovo\ClientSecuritySolution\CSSConguration] "GinaDenyLogonDeviceNonEnrolled"=dword:00000001
Cuandolaclavederegistroestáestablecidacomoseindicabaanteriormente,elusuarionopuedeomitirla autenticacióndelahuelladactilarsielsensordehuellasdactilaresnofunciona.

Resultadodepasareldedoporeldispositivodehuelladactilar

Durantelaautenticacióndelahuelladactilar,lapolíticasiguienteeslaencargadadecontrolarlavisualización delosresultadosdepasareldedoporeldispositivodehuelladactilar.
HKLM\Lenovo\TVTCommon\ClientSecuritySolution\FPSwipeResult
•FPSwipeResult=0:Muestratodoslosmensajes.
•FPSwipeResult=1:Muestrasolamentelosmensajesdeanomalía(valorpredeterminado).
•FPSwipeResult=2:Nomostrarningúnmensaje.

Herramientasdelalíneademandatos

LosadministradoresdeTIdelaempresatambiénpuedenimplementarlasfuncionesdeThinkVantage Technologiesdeformalocaloremotamediantelainterfazdelalíneademandatos.Losvaloresde conguraciónsepuedenmantenermediantevaloresdelarchivodetextoremoto.
ClientSecuritySolutioncontienelassiguientesherramientasdelalíneademandatos:
“SecurityAdvisor”enlapágina35
“AsistentedeconguracióndeClientSecuritySolution”enlapágina36
“Herramientadecifradoodescifradodelarchivodedespliegue”enlapágina37
“Herramientadeprocesodelarchivodedespliegue”enlapágina38
“TPMENABLE.EXE”enlapágina38
“Herramientadetransferenciadecerticados”enlapágina38
“HerramientadeactivacióndeTPM”enlapágina39

SecurityAdvisor

ParaejecutarSecurityAdvisordesdeClientSecuritySolution,pulse
Inicio->Programas->ThinkVantage->ClientSecuritySolution.PulseAvanzadasyseleccioneValoresde seguridaddeauditoría.EjecutaC:\Archivosdeprograma\Lenovo\CommonFiles\WST\wst.exeparauna
instalaciónpredeterminada.
Losparámetrossonlossiguientes:
Tabla11.Parámetros
ParámetrosDescripción
HardwarePasswords
PowerOnPassword
HardDrivePassword
Estableceelvalordelacontraseñadehardware. 1mostraráestasección,0laocultará.Elvalor predeterminadoes1.
Estableceelvalordequesedebehabilitarunacontraseña deencendido,oelvalorapareceráresaltado.
Estableceelvalordequesedebehabilitarunacontraseña dediscoduro,oelvalorapareceráresaltado.
Capítulo3.CómotrabajarconClientSecuritySolution35
Tabla11.Parámetros(continuación)
ParámetrosDescripción
AdministratorPassword
WindowsUsersPasswords
Contraseña
PasswordAge
PasswordNeverExpires
WindowsPasswordPolicy
MinimumPasswordLength
MaximumPasswordAge
ScreenSaverEstableceelvalordelprotectordepantalla.1mostrará
ScreenSaverPasswordSet
ScreenSaverTimeoutEstableceelvalordecuáldebesereltiempodeespera
FileSharingEstableceelvalordelacomparticióndearchivos.1
AuthorizedAccessOnly
ClientSecurityEstableceelvalordeClientSecurity.1mostraráesta
EmbeddedSecurityChip
ClientSecuritySolutionEstableceelvalordequéversióndeClientSecurity
Estableceelvalordequesedebehabilitarunacontraseña deadministrador,oelvalorapareceráresaltado.
Estableceelvalordelacontraseñadeusuariode Windows.1mostraráestasección,0laocultará.Sino estápresente,semuestradeformapredeterminada.
Estableceelvalordequesedebehabilitarlacontraseña deusuario,oelvalorapareceráresaltado.
Estableceelvalordecuáldebeserlaantigüedadde lacontraseñadeWindowsenestamáquina,oelvalor apareceráresaltado.
EstableceelvalordequelacontraseñadeWindows nuncacaducará,oelvalorapareceráresaltado.
Estableceelvalordelapolíticadecontraseñade Windows.1mostraráestasección,0laocultará.Sino estápresente,semuestradeformapredeterminada.
Estableceelvalordecuáldebeserlalongitudde lacontraseñaenestamáquina,oelvaloraparecerá resaltado.
Estableceelvalordecuáldebeserlaantigüedadde lacontraseñaenestamáquina,oelvaloraparecerá resaltado.
estasección,0laocultará.Sinoestápresente,se muestradeformapredeterminada.
Estableceelvalordequeelprotectordepantalladebe tenercontraseña,oelvalorapareceráresaltado.
delprotectordepantallaenestamáquina,oelvalor apareceráresaltado.
mostraráestasección,0laocultará.Sinoestápresente, semuestradeformapredeterminada.
Estableceelvalordequesedebeestablecerelacceso autorizadoparalacomparticióndearchivos,oelvalor apareceráresaltado.
sección,0laocultará.Sinoestápresente,semuestra deformapredeterminada.
Estableceelvalordequesedebehabilitarelchipde seguridad,oelvalorapareceráresaltado.
Solutiondebeestarenestamáquina,oelvaloraparecerá resaltado.
AsistentedeconguracióndeClientSecuritySolution
ElAsistentedeconguracióndeClientSecuritySolutionseutilizaparagenerarscriptsdedespliegue mediantearchivosXML.Elsiguientemandatovisualizalasdistintasfuncionesdelasistente:
"C:\ProgramFiles\Lenovo\ClientSecuritySolution\css_wizard.exe"/?
36ClientSecuritySolution8.21Guíadedespliegue
LatablasiguienteproporcionalosmandatosparaelAsistentedeconguracióndeClientSecuritySolution.
Tabla12.MandatosparaelasistentedeconguracióndeClientSecuritySolution
ParámetroResultado
/ho/? /name:NOMBREARCHIVOPrecedealavíadeaccesocalicadatotalmenteyal
/encryptCifraelarchivoscriptutilizandocifradoAES.Siestá
/pass:Precedealafrasedepasoparalaproteccióndelarchivo
/novalidateInhabilitalascapacidadesdecomprobaciónde
Visualizaelrecuadrodemensajedeayuda
nombredearchivodelarchivodedesplieguegenerado. Elarchivotendráunaextensión.xml.
cifrado,alnombredearchivoseañadirálaextensión.enc. Sinoseutilizaelmandato/pass,seutilizaunafrasede pasoestáticaparaocultarelarchivo.
dedesplieguecifrado.
contraseñayfrasedepasodelasistente,deformaque sepuedegenerarunarchivoscriptenunamáquinaya congurada.Porejemplo,esposiblequelacontraseñade administradorenlamáquinaactualnosealacontraseña deadministradorquesedeseetenerentodalaempresa. Utiliceelmandato/novalidateparaquepuedaescribir unacontraseñadeadministradordistintaenlaGUIde css_wizarddurantelacreacióndelarchivoxml.
Ejemplo:
css_wizard.exe/encrypt/pass:mysecret/name:C:\DeployScript/novalidate

Herramientadecifradoodescifradodelarchivodedespliegue

EstaherramientaseutilizaparacifrarodescifrarlosarchivosdedespliegueXMLdeClientSecurity.El siguientemandatovisualizalasdistintasfuncionesdelaherramienta:
"C:\ProgramFiles\Lenovo\ClientSecuritySolution\xml_crypt_tool.exe"/?
Losparámetrossemuestranenlatablasiguiente:
Tabla13.ParámetrosparaelcifradoodescifradodearchivosdedespliegueXMLdeClientSecurity
ParámetrosResultados
/ho/? FILENAME
encryptodecrypt
PASSPHRASEVisualizaelparámetroopcionalqueesnecesariosise
Ejemplos:
xml_crypt_tool.exe"C:\DeployScript.xml"/encrypt"mysecret"
y
xml_crypt_tool.exe"C:\DeployScript.xml.enc"/decrypt"mysecret"
Visualizaelmensajedeayuda
Visualizaelnombredevíadeaccesoyelnombrede archivoconlaextensión.xmlo.enc
Selecciona/encryptparaarchivos.xmly/decryptpara archivos.enc
utilizaunafrasedepasoparaprotegerelarchivo.
Capítulo3.CómotrabajarconClientSecuritySolution37

Herramientadeprocesodelarchivodedespliegue

Laherramientavmserver.exeprocesalosscriptsdedespliegueXMLdeClientSecuritySolution.Elsiguiente mandatovisualizalasdistintasfuncionesdelasistente:
"C:\ProgramFiles\Lenovo\ClientSecuritySolution\vmserver .exe"/?
Latablasiguienteproporcionalosparámetrosparaprocesararchivos.
Tabla14.Parámetrosparaelprocesodearchivos
ParámetroResultado
FILENAME
PASSPHRASEElparámetroPASSPHRASEseutilizaparadescifrarun
ElparámetroFILENAMEdebetenerunaextensiónde archivoXMLoENC
archivoconlaextensiónENC
Ejemplo:
Vmserver.exeC:\DeployScript.xml.enc"mysecret"

TPMENABLE.EXE

Elarchivotpmenable.exeseutilizaparaactivarodesactivarelchipdeseguridad.
Tabla15.Parámetrosparaelarchivotpmenable.exe
ParámetroDescripción
/enableo/disable /quietOcultalosindicadoresdesolicitudparalacontraseñao
sp:contraseñaParaWindows2000yXPsolamente,paralacontraseña
Activaodesactivaelchipdeseguridad.
loserroresdelBIOS.
deadministrador/supervisordelBIOSnoutilicecomillas alrededordelacontraseña.
Ejemplo:
tpmenable.exe/enable/quiet/sp:MyBiosPW
Herramientadetransferenciadecerticados
LatablasiguienteproporcionalosconmutadoresdelalíneademandatosdelaherramientaTransferenciade certicadosdeClientSecuritySolution:
Tabla16.css_cert_transfer_tool.exe<cert_store_type><lter_type>:<name|size>|all_access|usage
ParámetroDescripción
<cert_store_type>
Ejemplos:
cert_store_user
cert_store_machine
cert_store_all
Eselprimerparámetronecesario.Sedebeutilizarcomoelprimer conmutadorydebeincluirunodelosejemplossiguientes:
Transeresolamentecerticadosdeusuario.Los certicadosdeusuarioseasignanalusuarioactual.
Transeresolamentecerticadosdemáquina.Los certicadosdemáquinalospuedenutilizartodoslos usuariosautorizadosenunamáquina.
Transeretantotiposdecerticadodeusuariocomode máquina.
38ClientSecuritySolution8.21Guíadedespliegue
Tabla16.css_cert_transfer_tool.exe<cert_store_type><lter_type>:<name|size>|all_access|usage(continuación)
ParámetroDescripción
<lter_type>:<name|size>
Ejemplos:
Lossiguientesdosconmutadoressonindependientes;notienenunsegundoargumento: all_access usage
subject_simple_name:<name>
subject_friendly_name:<name>Transeretodosloscerticadosquecoincidanconel
issuer_simple_name:<name>
ssuer_friendly_name:<name>Transeretodosloscerticadosquecoincidanconel
key_size:<size>
Transeretodosloscerticados,nolosltra. Noproporcionainformaciónsobrelalíneademandatos,perolafunciónqueseutilizaparadeterminar
elusocorrectoseconvertiráenverdaderaofalsasilosmandatosquesepasansoncorrectosono.
Setratadelsegundoparámetronecesario.Debeutilizarsedespués delparámetronecesario<cert_store_type>.Cadatipodeltro(salvo elqueseindicaacontinuación)debellevarunsignodedospuntos: despuésydebetenerelnombredeltemadelcerticado,laautorización oeltamañodelaclavequesebuscainmediatamentedespuésdelos dospuntos.Esteprogramadeutilidadessensiblealasmayúsculasy minúsculasysielnombrequebuscaesunnombrecompuesto,como porejemplo“AutorizaciónCA” ,tendráqueutilizarlascomillas“”enel criteriodebúsqueda(fíjeseenlosejemplos).
Transeretodosloscerticadosquecoincidanconel nombrequeemiteelcerticado,siendoelnombredel <name>.
nombrefamiliarqueemiteelcerticado,siendoelnombre familiar<name>.
Transeretodosloscerticadosquecoincidanconel nombredelaentidademisoradecerticadosquelosha emitido,siendoelnombredelaentidad<name>.
nombrefamiliardelaentidademisoradecerticadosque loshaemitido,siendoelnombrefamiliardelaentidad <name>.
Transeretodosloscerticadosquesehancifradoconel tamañodeclave<size>enbits.Observequesetratadeun criteriodecoincidenciaexacto;elprogramanobuscará certicadoscifradosconuntamañodeclavequeseamás omenosdelmismotamaño.

HerramientadeactivacióndeTPM

Elarchivotpm_activate_cmd.exeseutilizaparaactivarodesactivarTPMenelsistemaLenovo.
Nota:Necesitaprivilegiosdeadministradorparaejecutarestemandato.
Tabla17.ParámetrosparaactivarodesactivarTPMensistemasLenovo
ParámetroDescripción
/helpo/?Muestralalistadeparámetros. /biospw:contraseña
/deactivate
/verbose
Especicalacontraseñadelsupervisorodel administradordelBIOSsisehaestablecidoalguna.
DesactivaTPM. Nota:Siejecutaruntpm_activate_cmd.exesinel parámetro/deactivate,deformapredeterminada, activaráTPM.
Muestraunasalidadetexto.
Capítulo3.CómotrabajarconClientSecuritySolution39
Ejemplo:
tpm_activate_cmd.exe/? tpm_activate_cmd.exe/verbose tpm_activate_cmd.exe/biospw:pass

SoportedeActiveDirectory

ActiveDirectoryesunserviciodedirectorios.Eldirectorioesdondesealmacenalainformaciónsobrelos usuariosylosrecursos.Elserviciodedirectoriospermiteelacceso,deformaquesepuedemanipular estosrecursos.
ActiveDirectoryproporcionaunmecanismoqueotorgaalosadministradoreslacapacidaddegestionar sistemas,usuarios,dominios,políticasdeseguridadycualquiertipodeobjetosdenidosporelusuario. ElmecanismoutilizadoporActiveDirectorypararealizarestoseconocecomoPolíticadegrupos.Con laPolíticadegrupos,losadministradoresdenenvaloresquesepuedenaplicaralossistemasoalos usuariosdeldominio.
LosproductosdeTecnologíaThinkVantageutilizanactualmenteunavariedaddemétodospararecopilar valoresutilizadosandecontrolarvaloresdelprograma,incluyendoleerentradasespecícasderegistro denidasporlaaplicación.
LosejemplossiguientessonvaloresqueActiveDirectorypuedegestionarparaClientSecuritySolution:
•Políticasdeseguridad.
•Políticasdeseguridadpersonalizadas;comoporejemplosidebeutilizarunacontraseñadeWindows ounafrasedepasodeClientSecuritySolution.

Archivosdeplantillaadministrativa(ADM)

ElarchivodeplantillaADM(administrativa)denevaloresdepolíticautilizadosporlasaplicacionesen lossistemascliente.Laspolíticassonvaloresespecícosquerigenelcomportamientodelaaplicación. Además,losvaloresdepolíticadenensisepermitiráalusuarioestablecervaloresespecícosenla aplicación.
Losvaloresdenidosporunadministradorenelservidorsedenencomopolíticas.Losvaloresdenidos porunusuarioenelsistemaclienteparaunaaplicaciónsedenencomopreferencias.Comodene Microsoft,losvaloresdepolíticatienenprioridadsobrelaspreferencias.
Porejemplo,unusuariopuedeponerunaimagendefondoensuescritorio.Esteeselvalordepreferencia delusuario.Unadministradorpuededenirunvalorenelservidorquedictequeunusuariodebeutilizaruna imagendefondoespecíca.Elvalordelapolíticadeadministradormodicarálapreferenciaestablecidapor elusuario.
CuandounproductodeTecnologíaThinkVantagecompruebaunvalor,buscaráelvalorenelordensiguiente:
•Políticasdelsistema
•Políticasdelusuario
•Políticasdelusuariopredeterminadas
•Preferenciasdelsistema
•Preferenciasdelusuario
•Preferenciaspredeterminadasdelusuario
Comosehadescritoanteriormente,laspolíticasdelsistemaydelusuariolasdeneeladministrador. EstosvaloressepuedeninicializarmedianteelarchivodeconguraciónXMLomedianteunaPolíticade
40ClientSecuritySolution8.21Guíadedespliegue
grupoenActiveDirectory.Laspreferenciasdelsistemaydelusuariolasestableceelusuarioenelsistema clientemediantelasopcionesdelainterfazdelasaplicaciones.ElscriptdeconguraciónXMLinicializalas preferenciaspredeterminadasdelusuario.Losusuariosnocambianlosvaloresdirectamente.Loscambios realizadosenestosvaloresporunusuarioseactualizaránenlaspreferenciasdelusuario.
LosclientesquenoutilicenActiveDirectorypuedencrearunconjuntopredeterminadodevaloresdepolítica paraquesedesplieguenenlossistemascliente.Losadministradorespuedenmodicarlosscriptsde conguraciónXMLyespecicarqueseprocesendurantelainstalacióndelproducto.
Denicióndevaloresgestionables
Elejemplosiguientemostrarálosvaloreseneleditordepolíticasdegrupoutilizandolasiguientejerarquía:
ComputerConguration>AdministrativeTemplates>ThinkVantageT echnologies> ClientSecuritySolution>AuthenticationPolicies>MaxRetries> Passwordnumberofretries
LosarchivosADMindicanenquélugardelregistrosereejaránlosvalores.Estosvaloresestaránubicados enlassiguientesubicacionesderegistro:
Computerpolicies: HKLM\Software\Policies\Lenovo\ClientSecuritySolution\ Userpolicies: HKCU\Software\Policies\Lenovo\ClientSecuritySolution\ Def aultuserpolicies: HKLM\Software\Policies\Lenovo\ClientSecuritySolution\Userdef aults Computerpref erences: HKLM\Software\Lenovo\ClientSecuritySolution\ Userpref erences: HKCU\Software\Lenovo\ClientSecuritySolution\ Def aultuserpreferences: HKLM\Software\Lenovo\ClientSecuritySolution\Userdef aults

Valoresdelapolíticadegrupo

LastablasdeestasecciónproporcionanvaloresdepolíticaparalaConguracióndelsistemayla ConguracióndeusuarioparaClientSecuritySolution.
Númeromáximodereintentos
LatablasiguienteproporcionavaloresdepolíticaparalasPolíticasdeautenticación,Númeromáximode reintentos.
Tabla18.Conguracióndelsistema➙ThinkVantage➙ClientSecuritySolution➙Políticasdeautenticación Númeromáximodereintentos
PolíticaValorhabilitadodescripción
Númerodereintentos decontraseña
Númerodereintentos defrasedepaso
Númerodereintentos mediantehuelladactilar
Elnúmeromáximo dereintentoses20.
Elnúmeromáximo dereintentoses20.
Elnúmeromáximo dereintentoses20.
Controlaelnúmeromáximodevecesqueunusuariopuedeintentar autenticarsemediantelacontraseñadeWindowsantesderecurrira modicartemporalmentelapolítica.
Controlaelnúmeromáximodevecesqueunusuariopuedeintentar autenticarsemediantelafrasedepasodeClientSecurityantesde recurriramodicartemporalmentelapolítica.
Controlaelnúmeromáximodevecesqueunusuariointenta autenticarsemediantelahuelladactilarantesderecurriraalterar temporalmentelapolítica.
Capítulo3.CómotrabajarconClientSecuritySolution41
Modalidadsegura
LatablasiguienteproporcionavaloresdepolíticaparalasPolíticasdeautenticación,Modalidadsegura.
Tabla19.Conguracióndelsistema➙Plantillasadministrativas➙ThinkVantage➙ClientSecuritySolutionPolíticasdeautenticación➙Modalidadsegura
PolíticaValoreshabilitadosdescripción ContraseñaEstablecelafrecuenciaenCadavezoUnavezpor
iniciodesesión.
Passphrase
Fingerprint
Alterar temporalmente
EstablecelafrecuenciaenCadavezoUnavezpor iniciodesesión.
EstablecelafrecuenciaenCadavezoUnavezpor iniciodesesión.
Establecequesealteretemporalmentela contraseña,frasedepasoohuelladactilar.
Controlasiesnecesariaunacontraseña.
Controlasiesnecesariaunafrasede paso.
Controlasiesnecesarialahuella dactilar.
Silaautenticaciónnormalfalla,dene losrequisitosdeautenticaciónalosque recurrir.
Modalidadpredeterminada
LatablasiguienteproporcionavaloresdepolíticaparalasPolíticasdeautenticación,Modalidad predeterminada.
Tabla20.Conguracióndelsistema➙Plantillasadministrativas➙ThinkVantage➙ClientSecuritySolution Políticasdeautenticación➙Modalidadpredeterminada
PolíticaValoreshabilitadosdescripción ContraseñaPuedeestablecerlafrecuenciaaCadavezoUna
vezporiniciodesesión.
Passphrase
Fingerprint
Alterar temporalmente
PuedeestablecerlafrecuenciaaCadavezoUna vezporiniciodesesión.
PuedeestablecerlafrecuenciaaCadavezoUna vezporiniciodesesión.
Establecequesealteretemporalmentela contraseña,frasedepasoohuelladactilar.
Controlasiesnecesariaunacontraseña.
Controlasiesnecesariaunafrasede paso.
Controlasiesnecesarialahuella dactilar.
Silaautenticaciónnormalfalla,dene losrequisitosdeautenticaciónalosque recurrir.
Políticasdeautenticación
Lalistasiguientedepolíticascontienevaloreshabilitadosquedenenelniveldeautenticacióndecada política:
•NiveldeautenticacióndeiniciodesesióndeWindows
•Niveldeautenticacióndedesbloqueodelsistema
•NiveldeautenticacióndePasswordManager
•NiveldeautenticacióndermaCSP
•NiveldeautenticacióndecifradoCSP
•NiveldeautenticacióndermaPKCS#11
•NiveldeautenticacióndedescifradoPKCS#11
•NiveldeautenticacióndeiniciodesesióndePKCS#11
Latablasiguienteproporcionavaloresyparámetrosparalosnivelesdeautenticaciónanteriores:
42ClientSecuritySolution8.21Guíadedespliegue
Tabla21.Conguracióndelsistema➙Plantillasadministrativas➙ThinkVantage➙ClientSecuritySolution Políticasdeautenticación
PolíticaValoreshabilitadosdescripción ContraseñaEstablecelafrecuenciaenCadavezoUnavezpor
iniciodesesión.
Passphrase
Fingerprint
Alterar temporalmente
EstablecelafrecuenciaenCadavezoUnavezpor iniciodesesión.
EstablecelafrecuenciaenCadavezoUnavezpor iniciodesesión.
Establecequesealteretemporalmentela contraseña,frasedepasoohuelladactilar.
Controlasiesnecesariaunacontraseña.
Controlasiesnecesariaunafrasede paso.
Controlasiesnecesarialahuella dactilar.
Silaautenticaciónnormalfalla,dene losrequisitosdeautenticaciónalosque recurrir.
PasswordManager
LatablasiguienteproporcionavaloresdepolíticaparaPasswordManager.
Tabla22.Conguracióndelsistema➙ThinkVantage➙ClientSecuritySolution➙Passwordmanager
ValordepolíticaDescripción
InhabilitarPasswordManager InhabilitarsoportedeInternetExplorer
InhabilitarsoportedeMozilla
Inhabilitarsoporteparaaplicacones Windows
InhabilitarCompletardeforma automática
Inhabilitarsoportedeteclasdecambio demodalidad
Utilizarltrodedominios Dominiosprohibidos
URLprohibidos
MódulosprohibidosControlalasaplicacionesdeWindowsparalasqueseprohíbeaPassword
Tecladecambiodemodalidad Completardeformaautomática
TecladecambiodemodalidadEscribir ytransferir
TecladecambiodemodalidadGestionarControlalatecladecambiodemodalidadCtrl+Mayús+B.
ControlasiPasswordManagerseiniciarácuandoseinicieelsistema. ControlasiPasswordManagerpodráalmacenarcontraseñasdesde
InternetExplorer. ControlasiPasswordManagerpodráalmacenarcontraseñasdesde
navegadoresbasadosenMozilla,incluyendoFirefoxyNetscape. ControlasiPasswordManagerpodráalmacenarcontraseñasde
aplicacionesdeWindows. ControlasiPasswordManagercompletarádeformaautomáticadatosen
lossitioswebylasaplicacionesdeWindows. ControlasiPasswordManagerdarásoportealautilizacióndeteclasde
cambiodemodalidadparacompletardeformaautomáticadatosensitios webyaplicacionesdeWindows.
ControlasiPasswordManagerltrarásitioswebenbasealosdominios. ControlalosdominiosparalosqueseprohíbeaPasswordManager
almacenarcontraseñas. ControlalosURLparalosqueseprohíbeaPasswordManageralmacenar
contraseñas.
Manageralmacenarcontraseñas. ControlalatecladecambiodemodalidaddeCompletardeforma
automáticaCtrl+F2. ControlalatecladecambiodemodalidadEscribirytransferir
Ctrl+Mayús+H.
UserInterface
Latablasiguienteproporcionavaloresdepolíticaparalainterfazdeusuario.
Capítulo3.CómotrabajarconClientSecuritySolution43
Tabla23.Conguracióndelsistema➙ThinkVantage➙ClientSecuritySolution➙Interfazdeusuario
ValordepolíticaDescripción
OpciónSoftwaredehuellasdactilaresMuestra,muestracomonoseleccionableuocultalaopciónSoftware
dehuellasdactilaresenlaaplicaciónClientSecuritySolution.Valor predeterminado:Mostrar.
OpciónCifradodearchivosMuestra,muestracomonoseleccionableuocultalaopciónCifradode
archivosenlaaplicaciónClientSecuritySolution.Valorpredeterminado: Mostrar.
OpciónAuditoríadevaloresde seguridad
OpciónTransferenciadecerticados digitales
OpciónCambiarestadodelchipde seguridad
OpciónBorrarbloqueodechipde seguridad
OpciónGestordepolíticasMuestra,muestracomonoseleccionableuocultalaopciónGestorde
OpciónRestaurar/CongurarvaloresMuestra,muestracomonoseleccionableuocultalaopción“Asistente
OpciónPasswordManagerMuestra,muestracomonoseleccionableuocultalaopciónPassword
OpciónRestablecercontraseñade hardware
OpciónRecuperacióndecontraseñade Windows
OpciónCambiarmodalidadde autenticación
OpciónHabilitar/inhabilitar Recuperacióndecontraseñade Windows
OpciónHabilitar/inhabilitarPassword Manager
Muestra,muestracomonoseleccionableuocultalaopciónAuditoría devaloresdeseguridadenlaaplicaciónClientSecuritySolution.Valor predeterminado:Mostrar.
Muestra,muestracomonoseleccionableuocultalaopciónTransferencia decerticadosdigitalesenlaaplicaciónClientSecuritySolution.Valor predeterminado:Mostrar.
Muestra,muestracomonoseleccionableuocultalaopciónEstado delchipdeseguridadenlaaplicaciónClientSecuritySolution.Valor predeterminado:Mostrar.
Muestra,muestracomonoseleccionableuocultalaopciónBorrarbloqueo dechipdeseguridadenlaaplicaciónClientSecuritySolution.Valor predeterminado:Mostrar.
políticasenlaaplicaciónClientSecuritySolution.Valorpredeterminado: Mostrar.
deconguración”enlaaplicaciónClientSecuritySolution.Valor predeterminado:Mostrar
ManagerenlaaplicaciónClientSecuritySolution.Valorpredeterminado: Mostrar.
Muestra,muestracomonoseleccionableuocultalaopciónRestablecer contraseñadehardwareenlaaplicaciónClientSecuritySolution.Valor predeterminado:Mostrar.
Muestra,muestracomonoseleccionableuocultalaopciónRecuperación decontraseñadeWindowsenlaaplicaciónClientSecuritySolution.Valor predeterminado:Mostrar.
Muestra,muestracomonoseleccionableuocultalaopción“Cambiar modalidaddeautenticación”enlaaplicaciónClientSecuritySolution.Valor predeterminado:Mostrar
Muestra,muestracomonoseleccionableuocultalaopciónparahabilitar oinhabilitarlarecuperacióndecontraseñadeWindowsenlaaplicación ClientSecuritySolution.Valorpredeterminado:Mostrar
Muestra,muestracomonoseleccionableuocultalaopciónparahabilitar oinhabilitarPasswordManagerenlaaplicaciónClientSecuritySolution. Valorpredeterminado:Mostrar
Herramientadeseguridaddelaestacióndetrabajo
Latablasiguienteproporcionavaloresdepolíticaparalaherramientadeseguridaddelaestacióndetrabajo.
44ClientSecuritySolution8.21Guíadedespliegue
Tabla24.Conguracióndelsistema➙ThinkVantage➙ClientSecuritySolution➙Herramientadeseguridad delaestacióndetrabajo
PolíticaValorDescripción
Contraseñasde hardware
Contraseñasde hardware
Contraseñasde hardware
Contraseñasde hardware
Contraseñasdeusuarios deWindows
Contraseñasdeusuarios deWindows
Contraseñasdeusuarios deWindows
Contraseñasdeusuarios deWindows
Políticadecontraseñade Windows
Políticadecontraseñade Windows
Políticadecontraseñade Windows
ProtectordepantallaProtectordepantalla
Protectordepantalla
ProtectordepantallaTiempodeesperadel
Compartimientode archivos
Compartimientode archivos
ClientSecurityClientSecurityHabilitaoinhabilitalavisualizacióndelainformaciónde
ClientSecurityChipdeseguridad
ClientSecurityClientSecuritySolution
ContraseñasdehardwareHabilitaoinhabilitalavisualizacióndelainformaciónde
contraseñasdehardware.
ContraseñadeencendidoSeleccioneelvalorrecomendadocomohabilitaro
inhabilitaroseleccionequeseignoreestevalor.
ContraseñadediscoduroSeleccioneelvalorrecomendadocomohabilitaro
inhabilitaroseleccionequeseignoreestevalor.
ContraseñadeadministradorSeleccioneelvalorrecomendadocomohabilitaro
inhabilitaroseleccionequeseignoreestevalor.
Contraseñasdeusuariosde Windows
ContraseñaSeleccioneelvalorrecomendadocomohabilitaro
Antigüedaddecontraseña
Lacontraseñanuncacaduca
Políticadecontraseñade Windows
Númeromínimode caracteresenlacontraseña
Antigüedadmáximade contraseña
Contraseñadeprotectorde pantallaestablecida
protectordepantalla
CompartimientodearchivosHabilitaoinhabilitalavisualizacióndelainformaciónde
AccesoautorizadoElvalorrecomendadosepuedeestableceren'True',
incorporado
Versión
Habilitaoinhabilitalavisualizacióndelainformaciónde contraseñadeusuariosdeWindows.
inhabilitaroseleccionequeseignoreestevalor. Númeromáximodedíasquesepermitequeexistala
contraseña. Elvalorrecomendadosepuedeestableceren'True',
'False'o'Ignore'.
Habilitaoinhabilitalavisualizacióndelainformaciónde políticadecontraseñadeWindows.
Númeromínimodecaracteresquepuedetenerla contraseña,o'Ignore'estevalor.
Valordeantigüedadmáximadecontraseña-númerode díaso'Ignore'estevalorenlosresultados.
Habilitaoinhabilitalavisualizacióndelainformaciónde políticadecontraseñadeWindows.
Númeromínimodecaracteresquepuedetenerla contraseña,o'Ignore'estevalor.
Valordeantigüedadmáximadecontraseña-númerode díaso'Ignore'estevalorenlosresultados.
compartimientodearchivos.
'False'o'Ignore'.
ClientSecurity. Seleccioneelvalorrecomendadocomohabilitaro
inhabilitaroestablezcaqueseignoreestevalor. EstablezcaelvalormínimorecomendadodeClientSecurity
Solutionoestablézcaloen'Ignore'.

ActiveUpdate

ActiveUpdateesunatecnologíadeeSupportqueutilizalosclientesdeactualizaciónenelsistemalocal paraentregarlospaquetesquesedeseenenlawebsinningunainteraccióndelusuario.ActiveUpdate consultalosclientesdeactualizacióndisponiblesyutilizaelclienteactualizadoparainstalarelpaqueteque sedesee.ActiveUpdateiniciaráThinkVantageSystemUpdateoSoftwareInstallerenelsistema.
Capítulo3.CómotrabajarconClientSecuritySolution45
ParadeterminarsiActiveUpdateLauncherestáinstalado,compruebesiexistelasiguienteclavederegistro:
HKLM\software\lenovo\ActiveUpdate
ParallamaraActiveUpdate,elprogramadeTecnologíaThinkVantagequerealizalallamadadebeiniciarel programaActiveUpdateLauncherypasarelarchivodeparámetros.(Consulteelarchivodeparámetrosde ActiveUpdateparaverunadescripcióndelarchivodeparámetros).
ParainhabilitarelelementodemenúActiveUpdateLauncherenelmenúdeayudaparatodoslosprogramas deTecnologíaThinkVantage:
1.VayaalaclavederegistroHKLM\software\lenovo\ActiveUpdate.
2.RenombreosuprimalaclaveActiveUpdate.
ArchivodeparámetrosdeActiveUpdate
ElarchivodeparámetrosdeActiveUpdatecontienelosvaloresquesedebenpasaraActiveUpdate.El parámetroTargetAppsepasacomosemuestraenesteejemplo:
<root>
<TargetApp>ACCESSLENOVO</T argetApp> </root> <root>
<TargetApp>1EA5A8D5-7E33-11D2-B802-00104B21678D</TargetApp> </root>
46ClientSecuritySolution8.21Guíadedespliegue

Capítulo4.CómotrabajarconelSoftwaredehuellasdactilares deThinkVantage

LaconsoladehuellasdactilaressedebeejecutardesdelacarpetadeinstalacióndelSoftwaredehuellas dactilares.LasintaxisbásicaesFPRCONSOLE[USER|SETTINGS].ElmandatoUSERoSETTINGS especicaquéconjuntodelaoperaciónseutilizará.Elmandatocompletoserá“fprconsoleuseradd TestUser”.Cuandonoseconoceelmandatoonoseespecicantodoslosparámetros,semostraráuna cortalistademandatosjuntoconlosparámetros.
ParadescargarFingerprintSoftwareyManagementConsole,visiteelsitiowebdeLenovo: http://www.lenovo.com/support/site.wss/document.do?sitestyle=lenovo&lndocid=HOME-LENOVO.

HerramientaConsoladegestión

Enestasecciónseproporcionainformaciónacercadelosmandatosespecícosdelusuarioydelos mandatosdevaloresglobales.
Mandatosespecícosdelusuario
Pararegistraroeditarusuarios,seutilizalasecciónUSER.Cuandoelusuarioactualnotienederechosde administrador,elcomportamientodelaconsoladependedelamodalidaddeseguridaddelSoftwarede huellasdactilares.Modalidadsegura:nosepermiteningúnmandato.Modalidadcómoda:paraelusuario estándarsonposibleslosmandatosADD,EDITyDELETE.Sinembargo,elusuariopuedemodicarsólosu propiopasaporte(registradoconsunombredeusuario).Lasintaxiseslasiguiente:
FPRCONSOLEUSERcommand
dondecomandoesunodelossiguientesmandatos:ADD,EDIT,DELETE,LIST,IMPORT,EXPORT.
Tabla25.Mandatosespecícosdelusuario
MandatoSintaxisDescripción
Registrarnuevousuario
Example:
fprconsoleuseradd
domain0\testuser
fprconsoleuseradd
testuser
Editarusuarioregistrado
Example:
fprconsoleuseredit
domain0\testuser
fprconsoleuseredit
testuser
ADD[username[|domain\ username]]
EDIT[username[|domain\ username]]
Sinoseespecicaelnombrede usuario,seutilizaráelnombrede usuarioactual.
Sinoseespecicaelnombrede usuario,seutilizaráelnombrede usuarioactual. Nota:Elusuarioregistradodebe vericarprimerosuhuelladactilar.
©CopyrightLenovo2008,2012
47
Tabla25.Mandatosespecícosdelusuario(continuación)
MandatoSintaxisDescripción
Suprimirunusuario
Example:
fprconsoleuserdelete domain0\testuser
fprconsoleuserdelete testuser
fprconsoleuserdelete /ALL
EnumerarusuariosregistradosListListalosusuariosregistrados. Exportarusuarioregistradoa
unarchivo
Importarusuarioregistrado
DELETE[username[|domain\ username|/ALL]]
Syntax:EXPORTusername [|domain\username]le
Syntax:IMPORTleElmandatoimportaráelusuariodesde
Eldistintivo/ALLborrarátodoslos usuariosregistradosenestesistema. Sinoseespecicaelnombrede usuario,seutilizaráelnombrede usuarioactual.
Estemandatoexportaráunusuario registradoaunarchivodelaunidad dediscoduro.Acontinuación,el usuariosepuedeimportarutilizando elmandatoIMPORTenotrosistemao enelmismosistema,sisesuprimeel usuario.
elarchivoespecicado. Nota:Sielusuarioenelarchivo yaestáregistradoenelmismo sistemautilizandolasmismashuellas dactilares,nosegarantizaquéusuario tendráprecedenciaenlaoperaciónde identicación.

Mandatosdevaloresglobales

LosvaloresglobalesdelSoftwaredehuellasdactilaressepuedencambiarmediantelasecciónSETTINGS. Todoslosmandatosenestasecciónnecesitanderechosdeadministrador.Lasintaxises:
FPRCONSOLESETTINGScommand
dondemandatoesunodelosmandatossiguientes:SECUREMODE,LOGON,CAD,TBX,SSO.
Tabla26.Mandatosdevaloresglobales
MandatoSintaxisDescripción
Modalidaddeseguridad
Example:
Tosettoconvenientmode: fprconsolesettings securemode0
Tipodeiniciodesesión
MensajeCTRL+ALT+SUPR
SECUREMODE0|1
LOGON0|1[/FUS]
CAD0|1
Estevalorconmutaentrelasmodalidades CómodaySeguradelSoftwaredehuellas dactilares.
Estevalorhabilita(1)oinhabilita(0)la aplicacióndeiniciodesesión.Siseutiliza elparámetro/FUS,eliniciodesesiónestá habilitadoenlamodalidaddeConmutación rápidadeusuario,silaconguracióndel sistemalopermite.
Estevalorhabilita(1)oinhabilita(0)eltexto “PulseCtrl+Alt+Supr”eneliniciodesesión.
48ClientSecuritySolution8.21Guíadedespliegue
Tabla26.Mandatosdevaloresglobales(continuación)
MandatoSintaxisDescripción
Seguridaddeencendido
Firmaúnicadeseguridadde
encendido
TBX0|1
SSO0|1
Estevalordesactivaglobalmente(0)el soportedelaseguridaddeencendidoen elsoftwaredehuellasdactilares.Cuando elsoportedeseguridaddeencendido estádesactivado,nosemuestraningún asistentenipáginasdeseguridadde encendido,ynoimportacuálessonlos valoresdelBIOS.
Estevalorhabilita(1)oinhabilita(0)eluso delashuellasdactilaresutilizadoenel BIOSeneliniciodesesiónpararealizar automáticamenteeliniciodesesióndel usuariocuandosehavericadoelusuario enelBIOS.

Modalidadseguraymodalidadcómoda

ElSoftwaredehuellasdactilaressepuedeejecutarendosmodalidadesdeseguridad,unamodalidad segurayunamodalidadcómoda.Lamodalidadseguraestádestinadaparalassituacionesenlasquedesee conseguirmayorseguridad.Lasfuncionesespecialesestánreservadassolamentealosadministradores. Sóloellospuedeniniciarsesiónutilizandocontraseñassinautenticaciónadicional.
LamodalidadcómodaestádestinadaaPCdomésticosdondenoseatanimportanteunniveldeseguridad alto.Todoslosusuariospuedenrealizartodaslasoperaciones,incluidaslaedicióndepasaportesde otrosusuariosylaposibilidaddeiniciarsesiónenelsistemautilizandocontraseña(sinlaautenticación dehuellasdactilares).
UnAdministradorescualquiermiembrodelgrupodeadministradores.Despuésdeestablecerlamodalidad segura,sóloeladministradorpuedeconmutardenuevoalamodalidadcómoda.

Modalidadsegura-administrador

Paramejorarlaseguridad,siseespecicaelnombredeusuarioocontraseñaincorrectoseneliniciode sesión,lamodalidadseguravisualizaelsiguientemensaje:“Sólolosadministradorespuedeniniciarsesión enestesistemaconnombredeusuarioycontraseña”.
Tabla27.Opcionesparaadministradoresenlamodalidadsegura
HuellasdactilaresDescripción
Crearunnuevopasaporte
Editarpasaportes
Suprimirpasaporte
Losadministradorespuedencrearsupropiopasaporte ytambiénpuedencrearelpasaportedeunusuariocon limitaciones.
Losadministradorespuedeneditarsólosupropio pasaporte.
Losadministradorespuedensuprimirtodoslos pasaportesdeusuariosconlimitacionesyotros pasaportesdeadministrador.Siotrosusuariosestán utilizandolaseguridaddeencendido,eladministrador tendrálaopciónenestemomentodeeliminarlas plantillasdeusuariodelaseguridaddeencendido.
Capítulo4.CómotrabajarconelSoftwaredehuellasdactilaresdeThinkVantage49
Tabla27.Opcionesparaadministradoresenlamodalidadsegura(continuación)
HuellasdactilaresDescripción
Seguridaddeencendido
Settings
Valoresdeiniciodesesión
ProtectordepantallaprotegidoLosadministradorespuedenacceder. Tipodepasaporte
ModalidaddeseguridadLosadministradorespuedenconmutarentrelamodalidad
ServidoresProLosadministradorespuedenacceder-sóloimportante
Losadministradorespuedensuprimirlashuellas dactilaresdelusuarioconlimitacionesydeladministrador utilizadasenelencendido. Nota:Debehabercomomínimounahuelladactilar presentecuandolamodalidaddeencendidoestá habilitada.
Losadministradorespuedenrealizarcambiosentodos losvaloresdeiniciodesesión.
Losadministradorespuedenacceder-sóloimportante conelservidor.
seguraylamodalidadcómoda.
conelservidor.

Modalidadsegura-usuarioconlimitaciones

DuranteuniniciodesesióndeWindows,unusuarioconlimitacionesdebeutilizarunahuelladactilarpara iniciarlasesión.Siellectordehuellasdactilaresdelusuarioconlimitacionesnofunciona,seránecesario queunadministradorcambieelvalordelsoftwaredehuellasdactilaresalamodalidadcómodaparahabilitar elaccesomediantenombredeusuarioycontraseña.
Tabla28.Opcionesparausuariosconlimitacionesenlamodalidadsegura
ValorDescripción
Crearunnuevopasaporte Editarpasaportes
SuprimirpasaporteElusuarioconlimitacionespuedesuprimirsólosupropio
Seguridaddeencendido Valoresdeiniciodesesión
ProtectordepantallaprotegidoElusuarioconlimitacionespuedeacceder. TipodepasaporteElusuarioconlimitacionesnopuedeacceder. Modalidaddeseguridad
ServidoresProElusuarioconlimitacionespuedeacceder-sólo
Elusuarioconlimitacionesnopuedeacceder.
Elusuarioconlimitacionespuedeeditarsólosupropio pasaporte.
pasaporte. Elusuarioconlimitacionesnopuedeacceder.
Elusuarioconlimitacionesnopuedemodicarsus valoresdeiniciodesesión.
Elusuarioconlimitacionesnopuedemodicarlas modalidadesdeseguridad.
importanteconelservidor.

Modalidadcómoda-administrador

DuranteuniniciodesesióndeWindows,losadministradorespuedeniniciarlasesiónutilizandosupropio nombredeusuarioycontraseñaosushuellasdactilares.
50ClientSecuritySolution8.21Guíadedespliegue
Tabla29.Opcionesparaadministradoresenlamodalidadcómoda
ValoresDescripción
CrearunnuevopasaporteLosadministradorespuedencrearsólosupropio
pasaporte.
Editarpasaportes
SuprimirpasaporteLosadministradorespuedensuprimirsólosupropio
Seguridaddeencendido
Valoresdeiniciodesesión
ProtectordepantallaprotegidoLosadministradorespuedenacceder.
Tipodepasaporte
ModalidaddeseguridadLosadministradorespuedenconmutarentrelamodalidad
ServidoresProLosadministradorespuedenacceder-sóloimportante
Losadministradorespuedeneditarsólosupropio pasaporte.
pasaporte. Losadministradorespuedensuprimirlashuellas
dactilaresdelusuarioconlimitacionesydeladministrador utilizadasenelencendido. Nota:Debehabercomomínimounahuelladactilar presentecuandolamodalidaddeencendidoestá habilitada.
Losadministradorespuedenrealizarcambiosentodos losvaloresdeiniciodesesión.
Losadministradorespuedenacceder-sóloimportante conelservidor.
seguraylamodalidadcómoda.
conelservidor.

Modalidadcómoda-usuarioconlimitaciones

DuranteuniniciodesesióndeWindows,losusuariosconlimitacionespuedeniniciarlasesiónutilizandosu propionombredeusuarioosushuellasdactilares.
Tabla30.Opcionesparausuariosconlimitacionesenlamodalidadcómoda
ValoresDescripción
CrearunnuevopasaporteLosusuariosconlimitacionespuedencrearsólosupropio
pasaporte.
Editarpasaportes
SuprimirpasaporteLosusuariosconlimitacionespuedensuprimirsólosu
SeguridaddeencendidoLosusuariosconlimitacionespuedensuprimirsólosus
Valoresdeiniciodesesión
ProtectordepantallaprotegidoLosusuariosconlimitacionespuedenacceder.
Tipodepasaporte
Modalidaddeseguridad
ServidoresProLosusuariosconlimitacionespuedenacceder-sólo
Losusuariosconlimitacionespuedeneditarsólosu propiopasaporte.
propiopasaporte.
propiashuellasdactilares. Losusuariosconlimitacionesnopuedenmodicarlos
valoresdeiniciodesesión.
Losusuariosconlimitacionesnopuedenacceder-sólo relevanteconelservidor.
Losusuarioslimitadosnopuedenmodicarlas modalidadesdeseguridad.
importanteconelservidor.
Capítulo4.CómotrabajarconelSoftwaredehuellasdactilaresdeThinkVantage51
Valorescongurables
Sepuedenconguraralgunasopcionesdelsoftwaredehuellasdactilaresmediantelosvaloresdelregistro.
Interfazdelsoftwaredeprearranque/encendido:elmecanismoparahabilitarelsoportede
prearranqueoencendidomediantehuellasdactilaresyparaalmacenarlashuellasdactilaresenelchip queloacompañanosevisualizanormalmenteenelsoftwaredehuellasdactilares,amenosquehaya establecidasenelsistemacontraseñasdeBIOSodediscoduro.Andealterarestecomportamientoy deforzarelhechodequeestasopcionessemuestrensinlaexistenciadecontraseñasdeBIOSode discoduro,añadaalregistrounadelasopcionessiguientes,laquecorrespondaaltipodemáquina quedispone:
[HKEY_LOCAL_MACHINE\SOFTWARE\ProtectorSuiteQL\1.0]
EG_DWORD"BiosFeatures"=2
o
[HKEY_LOCAL_MACHINE\SOFTWARE\ProtectorSuiteQL\1.0]
REG_DWORD"BiosFeatures"=4
EstevaloresútilcuandoSafeGuardEasyestáinstaladoenunsistemasincontraseñasdeBIOSyestá utilizandoautenticacióndehuellasdactilaresparadescifrareldiscoduro.
Sonidos:sepuedecongurarelsoftwaredehuellasdactilaresparareproducirunsonidocontenidoenun
archivo.wavendistintascircunstanciasduranteelprocesodeautenticacióndehuellasdactilares.Los valoresdelregistroparaestossonidossonlossiguientes:
[HKEY_LOCAL_MACHINE\SOFTWARE\ProtectorSuiteQL\1.0\settings]
‘Success ’ REG_SZ“sndSuccess”=[pathtosoundle] Theledesignatedwillplaywheneverasuccessf ulswipeisregistered.
Failure’ REG_SZ“sndF ailure”=[pathtosoundle] Theledesignatedwillplaywheneveranunsuccessfulswipeisattempted.
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\ngerprint
Scan’ REG_SZ“sndScan”=[pathtosoundle] Theledesignatedwillplaywheneverthengerprintverication
dialogisdisplayedf orClientSecuritySolution-relatedoperations.
Ifthevalueisnotpresentorisemptythennosoundisplayed.
Quality’ REG_SZ“sndQuality”=[pathtosoundle] Theledesignatedwillplaywheneveranunreadableswipehasoccurred. Ifthevalueisnotpresentorisemptythennosoundisplayed.
Validacióndelacontraseñaduranteundesbloqueodelsistema:deformapredeterminada,el
softwaredehuellasdactilaresvalidalacontraseñaalmacenadaduranteeldesbloqueodelsistema.La validaciónrequierequeseestablezcauncontactoconelcontroladordeldominioypuedegenerarun retardo.Paraevitarlo,inhabilitelavalidacióndelacontraseñaduranteeldesbloqueodelsistemay editandoelregistrotalcomoseindicaacontinuación:
[HKEY_LOCAL_MACHINE\SOFTWARE\ProtectorSuiteQL\1.0\settings] REG_DWORD"DoNotTestUnlock"=1
Elsoftwaredehuellasdactilarescontinuarávalidandolacontraseñaduranteeliniciodesesióndelsistema.
52ClientSecuritySolution8.21Guíadedespliegue
Nota:Cuandolaclavederegistroanteriorsehayaestablecidoen1,sieladministradordedominiocambia
deusuariocuandoelsistemadelusuarioestábloqueado,elsoftwaredehuellasdactilaresconservará almacenadalacontraseñaantiguohastaqueelusuariosalgadelasesióneinicieotradenuevo.

SoftwaredehuellasdactilaresyNovellNetwareClient

Paraevitarconictos,losnombresdeusuarioylascontraseñasdelSoftwaredehuellasdactilaresyNovell NetwareClientdebencoincidir.SitieneinstaladoelSoftwaredehuellasdactilaresenelsistemay,a continuación,instalaNovellNetwareClient,esposiblequealgunoselementosdelregistrosesobregraben. SiseencuentraconproblemasaliniciarlasesióndelSoftwaredehuellasdactilares,vayaalapantalladelos valoresdeiniciodesesiónyvuelvaahabilitarelProtectordeiniciodesesión.
SitieneinstaladoenelsistemaNovellNetwareClientperonohainiciadosesiónenelcliente,antesde instalarelSoftwaredehuellasdactilares,aparecerálapantalladeIniciodesesióndeNovell.Proporcione lainformaciónsolicitadaenlapantalla.
Nota:LainformacióndeestasecciónessolamenteparaelSoftwaredehuellasdactilaresdeThinkVantage.
ParacambiarlosvaloresdelProtectordeiniciodesesión:
•InicieelCentrodecontrol.
•PulseValores.
•PulseValoresdeiniciodesesión.
•HabiliteoinhabiliteelProtectordeiniciodesesión.Sideseautilizareliniciodesesióndehuellas dactilares,marqueelrecuadrodeselecciónSustituiriniciodesesióndeWindowsporeliniciodesesión protegidomediantehuellasdactilares.
Nota:Habilitaroinhabilitarelprotectordeiniciodesesiónrequiereunrearranque.
•Habiliteoinhabilitelaconmutaciónrápidadeusuario,cuandoelsistemalopermita.
•(Funciónopcional)Habiliteoinhabiliteeliniciodesesiónautomáticoparaunusuarioautenticado mediantelaseguridaddearranquedeencendido.
•EstablezcalosvaloresdeiniciodesesióndeNovell.Losvaloressiguientesestándisponiblesaliniciar sesiónenunaredNovell:
Activado
ElSoftwaredehuellasdactilaresproporcionaautomáticamentecredencialesconocidas.Sielinicio desesióndeNovellfalla,lapantalladeiniciodesesióndeNovellClientsevisualizarájuntoconun indicadordesolicitudparaespecicarlosdatoscorrectos.
Preguntarduranteeliniciodesesión
ElSoftwaredehuellasdactilaresvisualizalapantalladeiniciodesesióndeNovellClientyunindicador desolicitudparaespecicarlosdatosdeiniciodesesión.
Deshabilitado
ElSoftwaredehuellasdactilaresnointentauniniciodesesióndeNovell.

Autenticando

CompletelospasossiguientesparapasarNovellalSoftwaredehuellasdactilares:
1.InstaleelSoftwaredehuellasdactilares.
2.InstaleNovellNetwareClient.
3.Cuandoselesolicite,pulseSíparainiciarlasesión.
4.Rearranque.
Capítulo4.CómotrabajarconelSoftwaredehuellasdactilaresdeThinkVantage53
5.Cuandoselesolicite,pulseSíparainiciarlasesiónenelSoftwaredehuellasdactilares.
6.InicieNovellNetwareClient.
7.Autentifíqueseenelservidor.
8.InicielasesiónenWindows.
9.Rearranque.
Nota:ElIDdeautenticaciónylacontraseñaparaWindowsyNovelldebenseridénticos.

ServiciodelSoftwaredehuellasdactilaresdeThinkVantage

Seañadeelservicioupeksvr.exealsistematrasinstalarelsoftwaredehuellasdactilaresdeThinkVantage. Secomienzaaejecutardesdeelarranquedelsistemaypermaneceenejecuciónmientraselusuarioesté conectado.Elservicioupeksvr.exeeselnúcleodeThinkVantageFingerprintSoftwareyejecutatodaslas operacionescondispositivosydatosdeusuario.TambiénmuestratodalaGUIdevericaciónbiométricay proporcionaaccesoseguroalosdatosdelusuario.
54ClientSecuritySolution8.21Guíadedespliegue

Capítulo5.CómotrabajarconelSoftwaredehuellasdactilares deLenovo

LaconsoladehuellasdactilaressedebeejecutardesdelacarpetadeinstalacióndelSoftwaredehuellas dactilaresdeLenovo.LasintaxisbásicaesFPRCONSOLE[USER|SETTINGS].ElmandatoUSERo SETTINGSespecicaquéconjuntodelaoperaciónseutilizará.Elmandatocompletoes“fprconsoleuser addTestUser”.Cuandonoseconoceelmandatoonoseespecicantodoslosparámetros,semostraráuna cortalistademandatosjuntoconlosparámetros.

HerramientaConsoladegestión

ParaobtenerinformaciónacercadelaherramientaConsoladegestióndelSoftwaredehuellasdactilaresde Lenovo,consulte“HerramientaConsoladegestión”enlapágina47

ServiciodelSoftwaredehuellasdactilaresdeLenovo

Nota:ElSoftwaredehuellasdactilaresdeLenovorequiereunserviciodeterminalenelsistema.Si
desactivaelserviciodeterminal,puedequeseproduzcanalgunosresultadosinesperadosenelSoftwarede huellasdactilaresdeLenovo.
SeañadenlossiguientesserviciosalsistematrasinstalarelSoftwaredehuellasdactilaresdeLenovo:
•ATService.exe(activadodeformapredeterminada) DebeactivarelservicioATService.exeparautilizarelsistemadehuellasdactilares.Esteserviciogestiona solicitudesprocedentesdeaplicacionesqueutilizanelsensordehuellasdactilares.
•ADMonitor.exe(desactivadodeformapredeterminada) DebeactivarelservicioADMonitor.exeparadarsoporteaActiveDirectoryAdministration.Esteservicio supervisaloscambiosenelregistroquesepropaganensentidodescendentedesdeActiveDirectoryy reejaloscambioslocalmente.
.

SoportedeActiveDirectoryparaelSoftwaredehuellasdactilaresde Lenovo

EnlatablasiguientesemuestranlosvaloresdepolíticaparaelSoftwaredehuellasdactilaresdeLenovo.
Tabla31.Valoresdepolítica
ValorDescripción
Habilitar/InhabilitareliniciodesesióndehuellasdactilaresEspecicalautilizacióndellectordehuellasdactilaresen
lugardecontraseñasdeWindowsparainiciarlasesión enelsistema.Sihabilitaestevalor,podráhabilitaro inhabilitardosopcionesmás:
•InhabilitarelcuadrodediálogoCONTROL+ALT+SUPR paralainterfazdeiniciodesesión Siseleccionaestaopción,sedesactivaráelmensaje quedirigealusuarioapulsarCONTROL+ALT+SUPR parainiciarlasesión.(SólodisponibleenWindowsXP).
•Serequiereunusuarioquenoseaadministradorpara iniciarlasesiónconautenticacióndehuelladactilar Siseleccionaestaopción,losusuariosquenosean
©CopyrightLenovo2008,2012
55
Tabla31.Valoresdepolítica(continuación)
ValorDescripción
Permitirqueelusuariorecuperelacontraseñamediante laautenticacióndehuelladactilar
Mostrarsiemprelasopcionesdeseguridaddeencendido
Utilizarlaautenticacióndehuelladactilarenlugardelas contraseñasdeencendidoydelaunidaddediscoduro
Establecerlacantidaddeintentosfallidosantesdel bloqueo
Establecereltiempodeesperadeinactividad
Permitirquelosusuariosregistrenhuellasdactilares
Permitirquelosusuariossuprimanhuellasdactilares
Permitirquelosusuariosimporten/exportenhuellas dactilares
Mostrar/Ocultarelementosaldenirelseparadordel softwaredehuellasdactilares
administradoressolamentepodrániniciarlasesión utilizandoellectordehuellasdactilares.
Sihabilitaestevalor,losusuariospodránverlacontraseña deWindowsdesuscuentasenelSoftwaredehuellas dactilaresdeLenovodespuésdelaautenticaciónde huelladactilar.
Sihabilitaestevalor,losusuariospodránseleccionarsi deseanutilizarellectordehuellasdactilaresenlugarde lascontraseñasdeencendidoydelaunidaddedisco durocuandoseenciendaelsistema.Enlaventanade registrodelSoftwaredehuellasdactilaresdeLenovo,se puedehabilitaroinhabilitarlaautenticacióndehuella dactilardeencendidoparacadadedoquesehaya registrado.
Sihabilitaestevalor,seutilizarlaautenticacióndehuella dactilarenlugardelascontraseñasdeencendidoyde unidaddediscoduro.
Establecelacantidaddeintentosfallidosaceptadosal iniciarlasesiónantesdebloquearalusuario,asícomo laduración(ensegundos)queelusuariopermanecerá bloqueado.
Estableceladuracióndeinactividaddelsistema(en segundos)permitidaantesqueseconcluyalasesión delusuario.
Sihabilitaestevalor,losusuariosquenosean administradorespodránregistrarhuellasdactilares utilizandoelSoftwaredehuellasdactilaresdeLenovo.
Sihabilitaestevalor,losusuariosquenosean administradorespodránsuprimirhuellasdactilares utilizandoelSoftwaredehuellasdactilaresdeLenovo.
Sihabilitaestevalor,losusuariosquenosean administradorespodránimportaryexportarhuellas dactilaresutilizandoelSoftwaredehuellasdactilaresde Lenovo.
Sihabilitaestevalor,losadministradoresdeTIpodrán controlarlaGUIdedenicióndelsoftwaredehuellas dactilares.
56ClientSecuritySolution8.21Guíadedespliegue

Capítulo6.Prácticasrecomendadas

EnestecapítulosepresentanvarioscasosdeejemploparamostrarlasprácticasrecomendadasdeClient SecuritySolutionyFingerprintSoftware.Estecasodeejemploseiniciaconlaconguracióndelaunidad dediscoduro,continúaconvariasactualizacionesysigueelciclovitaldeundespliegue.Sedescribela instalacióntantoensistemasLenovocomoensistemasnoLenovo.

EjemplosdedespliegueparainstalarClientSecuritySolution

LasecciónsiguienteproporcionaejemplosdeinstalacióndeClientSecuritySolutiontantoensistemasde sobremesacomoensistemasportátiles.

Casodeejemplo1

Acontinuaciónsemuestraunejemplodeunainstalaciónenunsistemadesobremesautilizandoestos requisitoshipotéticosdelcliente:
Administración –Utilizarlacuentadeladministradorlocalparalaadministracióndelsistema.
ClientSecuritySolution –InstalaryejecutarenModalidaddeemulación.
–NotodoslossistemasLenovotienenunMódulodeplataformasegura(chipdeseguridad).
–HabilitarlafrasedepasodeClientSecurity.
–ProtegerlasaplicacionesdeClientSecuritySolutionconunafrasedepaso.
–HabilitareliniciodesesióndeWindowsdeClientSecurity.
–IniciarsesiónenWindowsconlafrasedepasodeClientSecurity.
–HabilitarlafuncióndeRecuperacióndefrasedepasodeusuarional.
–Permitiralosusuariosrecuperarsusfrasesdepasorespondiendoatrespreguntasyrespuestas
denidasporelusuario.
–CifrarelscriptXMLdeClientSecuritySolutionconcontraseña=“XMLscriptPW”.
–LacontraseñaprotegeelarchivodeconguracióndeClientSecuritySolution.
–Elsoftwaredehuellasdactilarespuedeonoestarinstalado.
Enlamáquinadepreparación:
1.Inicielasesiónconlacuentadel“administradorlocal”deWindows.
2.InstaleelprogramaClientSecuritySolutionconlasopcionessiguientes:
ClientSecuritySolution:tvtcss82_xxxx.exe/s/v"/qn“EMULATIONMODE=1”
(dondeXXXXeselIDdebuild)
“NOCSSWIZARD=1””
3.Despuésderearrancar,iniciesesiónconlacuentadeladministradorlocaldeWindowsyprepareel scriptXMLparaeldespliegue.Enlalíneademandatos,ejecuteestemandato:
“C:\ProgramFiles\Lenovo\ClientSecuritySolution\css_wizarde.exe” /name:C:\ThinkCentre
Seleccionelasopcionessiguientesenelasistente:
•PulseMétododeiniciodesesiónseguroSiguiente.
©CopyrightLenovo2008,2012
57
•EscribalacontraseñadeWindowsparalacuentadeladministradorypulseSiguiente.(WPW4Admin, porejemplo)
•EspeciquelafrasedepasodeClientSecurity(porejemplo,CSPP4Admin)paralacuentadel administrador,marquelacasillaUtilizarlafrasedepasodeClientSecurityparaprotegerel accesoalespaciodetrabajodeRescueandRecoveryypulseSiguiente.
•SeleccionetrespreguntasyrespuestasparalacuentadeadministradorypulseSiguiente. a.¿Cuáleraelnombredesuprimeramascota?
(Tobby,forejemplo).
b.¿Cuálessupelículafavorita?
(Loqueelvientosellevó,porejemplo).
c.¿Cuálessuequipodefútbolfavorito?
(BarcelonaF .C.,porejemplo).
•ReviseelResumenyseleccioneAplicarparagrabarelarchivoXMLenlasiguienteubicación C:\ThinkCentre.xmlypulseAplicar.
•PulseFinalizarparacerrarelasistente.
4.Abraelarchivosiguienteenuneditordetexto(loseditoresdescriptsXMLoMicrosoftWord2003tienen funcionesdeformatoXMLincorporadas)ymodiquelossiguientesvalores:
•EliminetodaslasreferenciasalvalorDomain.Estoindicaráalscriptqueutiliceensulugarelnombre
delamáquinalocalencadasistema.Guardeelarchivo.
5.UtilicelaherramientaqueseencuentraenC:\Archivosdeprograma\Lenovo\ClientSecurity Solution\xml_crypt_tool.exeparacifrarelscriptXMLconunacontraseña.Paraejecutarelarchivo desdeunindicadordemandatos,utilicelasintaxissiguiente:
a.xml_crypt_tool.exeC:\ThinkCentre.xml/encryptXMLScriptPW. b.ElarchivosellamaráahoraC:\ThinkCentre.xml.encyestaráprotegidomediantelacontraseña=
XMLScriptPW.
ElarchivoC:\ThinkCentre.xml.encestáahorapreparadoparaserañadidoalamáquinadedespliegue.
Enlamáquinadedespliegue:
1.InicielasesiónconlacuentadeladministradorlocaldeWindows.
2.InstalelosprogramasRescueandRecoveryyClientSecuritySolutionconlasopcionessiguientes:
setup_tvtrnr40_xxxxcc.exe/s/v"/qn“EMULATIONMODE=1”
(SiendoxxxxelIDdebuildyccelcódigodepaís).
“NOCSSWIZARD=1””
Notas:
a.Asegúresedequelosarchivos.tvt,comoporejemploZ652ZIXxxxxyy00.tvtparaWindowsXPo
Z633ZISxxxxyy00.tvtparaWindowsVista(enquexxxxeselIDdebuildyyyeselIDdepaís),se encuentrenenelmismodirectorioqueelarchivoejecutableo,deloscontrario,lainstalaciónfallará.
b.Siestárealizandounainstalaciónadministrativa,consulte“Casodeejemplo1”enlapágina57.
3.Despuésderearrancar,inicielasesiónconlacuentadeladministradorlocaldeWindows.
4.AñadaelarchivoThinkCentre.xml.encpreparadoanteriormentealdirectorioC:\root.
5.PrepareelmandatoRunOnceExconlosparámetrossiguientes.
•AñadaunanuevaclavealaclaveRunonceExdenominada0001.Debeser:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx\0001
•Endichaclave,añadaunnombredevalordeserieCSSEnrollconelvalor:
58ClientSecuritySolution8.21Guíadedespliegue
"C:\ProgramFiles\Lenovo\ClientSecuritySolution\vmserver .exe" C:\ThinkCenter .xml.encXMLscriptPW
6.Ejecute%rr%C:\ProgramFiles\Lenovo\RescueandRecovery\rrcmd.exe"sysprepbackuplocation=L name=”SysprepBackup.Despuésdequehayapreparadoelsistema,veráestasalida:
***************************************************** **Readytotakesysprepbackup.** **** **PLEASERUNSYSPREPNOWANDSHUTDOWN.** **** **Nexttimethemachineboots,itwillboot** **tothePredesktopAreaandtakeabackup.** *****************************************************
7.EjecutelaimplementacióndeSysprep.
8.Concluyayrearranquelamáquina.SeiniciaráelprocesodecopiadeseguridadenWindowsPE.
Nota:Sevisualizaráelmensaje:“Larestauraciónestáenprocesoperoseestárealizandounacopiade seguridad”.Despuésdelacopiadeseguridad,apagueelsistemaynoreinicie.
AhoralacopiadeseguridadbasedeSysprepsehacompletado.

Casodeejemplo2

Acontinuaciónsemuestraunejemplodeunainstalaciónenunsistemaportátilutilizandoestosrequisitos hipotéticosdelcliente:
Administración –InstalarenmáquinasdondehayinstaladasversionesanterioresdeClientSecuritySolution.
–Utilizarlacuentadeladministradordedominioparalaadministracióndelsistema. –TodoslossistemastienenunacontraseñadesupervisordelBIOS,BIOSpw.
ClientSecuritySolution –UtilizarelMódulodeplataformasegura.
–Todaslasmáquinastienenunchipdeseguridad. –HabilitarPasswordManager. –UsarlacontraseñadeWindowsdelusuariocomoautenticaciónparaClientSecuritySolution. –CifrarelscriptXMLdeClientSecuritySolutionconcontraseña=“XMLscriptPW”.
–LacontraseñaprotegeelarchivodeconguracióndeClientSecuritySolution.
SoftwaredehuellasdactilaresdeThinkVantage –NodeseautilizarlascontraseñasdelBIOSydeldiscoduro.
–IniciarsesiónconelSoftwaredehuellasdactilares.
–Despuésdeunperíodoinicialdeautoregistrodelusuario,elusuarioconmutaráeliniciodesesión
enModalidadseguraquerequiereunahuelladactilarparalosusuariosnoadministradores, imponiendo,porlotanto,deformaefectivaunametodologíadeautenticacióndedosfactores.
–IncluirlaGuíadeaprendizajedehuellasdactilares.
–Losusuariosnalespuedenaprendercómopasarcorrectamenteeldedoyobtenerunarespuesta
visualacercadeloquehacenincorrectamente.
Enlamáquinadepreparación:
1.Desdeelestadodeapagado,inicieelsistemaypulseF1parairalBIOSynavegarhastaelmenúde seguridadyborrarelchipdeseguridad.GuardeysalgadelBIOS.
Capítulo6.Prácticasrecomendadas59
2.InicielasesiónconlacuentadeladministradordedominiosdeWindows.
3.InstaleelsoftwaredehuellasdactilaresdeThinkVantageejecutandoelarchivof001zpz2001us00.exe paraextraerelarchivosetup.exedesdeelpaqueteweb.Conesto,elarchivosetup.exeseextraerá automáticamenteenlasiguienteubicación: C:\SWTOOLS\APPS\TFS5.8.2-Buildxxxx\Application\0409\setup.exe(dondexxxxeselIDdebuild).
4.InstalelaguíadeaprendizajedelSoftwaredehuellasdactilaresThinkVantageejecutandoel archivof001zpz7001us00.exeparaextraerelarchivotutess.exedelpaqueteweb.Estoextraerá automáticamenteelarchivosetup.exeenlaubicaciónsiguiente: C:\SWTOOLS\APPS\tutorial\TFS5.8.2Buildxxxx\Tutorial\0409\tutess.exe.
5.InstalelaConsoladehuellasdactilaresdeThinkVantageejecutandoelarchivof001zpz5001us00.exe paraextraerelarchivofprconsole.exedelpaqueteweb.Laejecucióndelarchivof001zpz5001us00.exe extraeráautomáticamenteelarchivosetup.exeenlasiguienteubicación: C:\SWTOOLS\APPS\fpr_con\APPS\UPEK\FPRConsole\TFS5.8 .2-Buildxxx\Fprconsole\fprconsole.exe.
6.InstaleelprogramaClientSecuritySolutionconlasopcionessiguientes:
tvtcss82_xxxxcc.exe/s/v”/qnNOCSSWIZARD=1SUPERVISORPW= ”BIOSpw”"
7.Despuésderearrancar,inicielasesiónconlacuentadeladministradordedominiosdeWindowsy prepareelscriptXMLparasudespliegue.Enlalíneademandatosejecute:
“C:\ProgramFiles\Lenovo\ClientSecuritySolution\css_wizard.exe” /name:C:\ThinkPad
Seleccionelasopcionessiguientesenelasistenteparaquecoincidanconelscriptdeejemplo:
•PulseMétododeiniciodesesiónseguroSiguiente.
•EscribalacontraseñadeWindows(porejemplo,WPW4Admin)paralacuentadeladministradorde
dominiosypulseSiguiente.
•EspeciquelafrasedepasodeClientSecurityparalacuentadeadministradordedominio.
•SeleccioneIgnorarvalorderecuperacióndecontraseñaypulseSiguiente.
•ReviseelResumenypulseAplicarparagrabarelarchivoXMLenlasiguienteubicación:
C:\ThinkPad.xml.
•PulseFinalizarparacerrarelasistente.
8.UtilicelaherramientaqueseencuentraenC:\Archivosdeprograma\Lenovo\ClientSecurity Solution\xml_crypt_tool.exeparacifrarelscriptXMLconunacontraseña.Enunindicadorde mandatos,utilicelasiguientesintaxis:
a.xml_crypt_tool.exeC:\ThinkPad.xml/encryptXMLScriptPW. b.ElarchivosellamaráahoraC:\ThinkPad.xml.encyestaráprotegidoporlacontraseña=XMLScriptPW.
Enlamáquinadedespliegue:
1.Utilizandolasherramientasdedistribucióndesoftwaredelaempresa,despliegueencadamáquina dedespliegueelejecutablesetup.exedelThinkVantageFingerprintSoftwarequesehaextraído delamáquinadepreparación.Cuandoelarchivosetup.exelleguealamáquina,instálelomediante elmandatosiguiente:
setup.exeCTL CNTR=0/q/i
2.Utilizandolasherramientasdedistribucióndesoftwaredelaempresa,despliegueencadamáquinade despliegueelejecutable(tutess.exe)delaguíadeinstalacióndelThinkVantageFingerprintSoftware quesehaextraídodelamáquinadepreparación.Cuandoelarchivotutess.exelleguealamáquina, instálelomedianteelmandatosiguiente:
tutess.exe/q/i
3.Utilizandolasherramientasdedistribucióndesoftwaredelaempresa,despliegueencadamáquina dedespliegueelejecutable(fprconsole.exe)delaConsoladehuellasdactilaresdeThinkVantageque sehaextraídodelamáquinadepreparación.
60ClientSecuritySolution8.21Guíadedespliegue
•Coloqueelarchivofprconsole.exeeneldirectorioC:\Archivosdeprograma\ThinkVantageFingerprint Software\.
•DesactiveelsoportedeseguridaddeencendidodelBIOSejecutandoelmandatosiguiente:
fprconsole.exesettingsTBX0
4.Utilizandolasherramientasdedistribucióndesoftwaredelaempresa,despliegueelejecutable tvtvcss82_xxxx.exe(siendoxxxxelIDdebuild)deThinkVantageClientSolution.
•Cuandoelarchivotvtvcss82_xxxx.exelleguealamáquina,instálelomedianteelmandatosiguiente:
tvtvcss83_xxxx.exe/s/v"/qn"NOCSSWIZARD=1""SUPERVISORPW="BIOSpw""
•LainstalacióndelsoftwarehabilitaráautomáticamenteelhardwaredelMódulodeplataformasegura.
5.Despuésderearrancarelsistema,congureelsistemaconelarchivoscriptXMLmedianteel procedimientosiguiente:
•CopieelarchivoThinkPad.xml.encpreparadoanteriormenteeneldirectorioC:\.
•Abraunindicadordemandatosdistintoyejecute
"C:\ProgramFiles\Lenovo\ClientSecuritySolution\vmserver .exe"C:\ThinkPad.xml.encXMLScriptPW
6.Despuésderearrancar,elsistemayaestarápreparadoparalainscripcióndeusuariodeClientSecurity Solution.CadausuariopuedeiniciarsesiónenelsistemaconsuIDdeusuarioysucontraseñade Windows.Acadausuarioqueiniciesesiónenelsistemaselesolicitaráautomáticamentequese registreenClientSecuritySolutiony,acontinuación,sepodráregistrarenellectordehuellasdactilares.
7.DespuésdequetodoslosusuariosdelsistemasehayanregistradoenelSoftwaredehuellasdactilares deThinkVantage,sepuedehabilitarelvalordeModalidadseguraparahacerquetodoslosusuariosno administradoresdeWindowstenganqueiniciarsesiónconlahuelladactilar.
•Ejecuteelsiguientemandato:
"C:\ProgramFiles\ThinkVantageFingerprintSoftware\fprconsole.exe"settingssecuremode1
•Paraeliminarelmensaje“PulseCtrl+Alt+Suprparainiciarsesiónutilizandounacontraseña”enla
pantalladeiniciodesesión,ejecuteelmandatosiguiente:
"C:\ProgramFiles\ThinkVantageFingerprintSoftware\fprconsole.exesettings" CAD0
AhorasehacompletadoeldesplieguedeClientSecuritySolution8.21ydelSoftwaredehuellasdactilares deThinkVantage.

ConmutacióndemodalidadesdeClientSecuritySolution

SiconmutalamodalidaddeClientSecuritySolutiondelamodalidadcómodaalamodalidadsegurao siconmutadelamodalidadseguraalamodalidadcómoda,yestáutilizandoRescueandRecovery pararealizarunacopiadeseguridaddelsistema,realiceunanuevacopiadeseguridadbasedespués deconmutarlasmodalidades.

ImplementacióndeunActiveDirectorydeempresa

ParaimplementarunActiveDirectorydeempresa,completelospasossiguientes:
1.InstalemedianteActiveDirectoryoLANDesk: a.RealicecopiasdeseguridadyobtengainformesmedianteActiveDirectoryyLANDeskdequién
ycuándosehanrealizado.
b.Proporcioneaalgunosgruposlacapacidadderealizarcopiasdeseguridad,suprimircopiasde
seguridad,opcionesdeplanicaciónyrestriccionesdecontraseñay,acontinuación,cambielos gruposyveasilosvalorespersisten.
c.MedianteActiveDirectory,habiliteAntidoteDeliveryManager.Coloquelospaquetesquese
ejecutarányasegúresedequesecapturaelinforme.
Capítulo6.Prácticasrecomendadas61

InstalaciónautónomaparaCDoarchivosscript

ParaunainstalaciónautónomaparaunarchivoCDoscript,completelospasossiguientes:
1.UtiliceunarchivodeprocesoporlotesparainstalardeformasilenciosaClientSecuritySolutionyla tecnologíadehuellasdactilares.
2.ConguredeformasilenciosalarecuperacióndecontraseñadelBIOS.

SystemUpdate

Paraactualizarelsistema,completelospasossiguientes:
1.InstaleClientSecuritySolutionylatecnologíadelSoftwaredehuellasdactilaresmedianteunservidor deactualizacióndelsistemapersonalizadoquesimulalaformaenqueunagranempresatendríaun servidorconguradoenlugardeiraunservidordeLenovo,deformaquepuedancontrolarelcontenido.
2.Instalesobrelastresversionesdistintasdesoftwareanterior(RescueandRecovery1.0/2.0/3.0, softwaredehuellasdactilares,ClientSecuritySolution5.4–6,FFE).Losvalorestambiénsedeben manteneralinstalarlanuevaversiónsobrelaversiónantigua.

SystemMigrationAssistant

MigredeT40conClientSecuritySolution7.0unT60conClientSecuritySolution8.21.
CómogeneraruncerticadoutilizandolageneracióndeclavesenTPM
LoscerticadossepuedengenerardirectamentemedianteelCSPdeClientSecurityyTPMgeneraráy protegerálasclavesprivadasdeloscerticados.ParasolicitaruncerticadoutilizandoelCSPdeClient SecuritySolution,lleveacabolospasossiguientes:

Requisitos:

•Lamáquinaservidordebetenerinstaladolosiguiente: –Windows2003Enterpriseoposterior
–ActiveDirectory –ElservicioCerticateAuthority
•Lamáquinaclientedebecumplirlosrequisitossiguientes: –TPMhabilitado
–TenerinstaladoelproductoClientSecuritySolution
Cómosolicitaruncerticadodesdeelservidor
CómocrearunaplantillaparaunusuariodeTPM
ParacrearunaplantillaparaunusuariodeTMP,lleveacaboelprocedimientosiguientetalcomose indicaacontinuación:
1.PulseInicioEjecutar.
2.EscribammcypulseAceptar.Aparecerálaventanadelaconsola.
3.DesdeelmenúArchivo,pulseAñadir/Quitarajustey,acontinuación,pulseAñadir.Aparecerá laventanaAñadirajusteautónomo.
4.EfectúeunadoblepulsaciónenAutoridaddecerticacióndelalistadeajustesypulseCerrar.
62ClientSecuritySolution8.21Guíadedespliegue
5.PulseAceptarenlaventanaAñadir/Quitarajuste.
6.PulsePlantillasdecerticadosenelárboldelaconsola.Aparecerántodaslasplantillasdecerticados enelpaneldelaizquierda.
7.PulseAcciónDuplicarplantilla.
8.EnelcampoMostrarnombre,escribaTPMUser.
9.PulseelseparadorSolicitarmanejoypulseCSP.AsegúresedeseleccionarLassolicitudespueden utilizarcualquierCSPdisponibleenlosequiposimplicados.
10.PulselapestañaGeneral.AsegúresedeseleccionarPublicarcerticadoenActiveDirectory.
11.PulseelseparadorSeguridadenlalistaGruposonombresdeusuarios,pulseUsuariosautenticados yasegúresedeseleccionarInscribirenPermisosparausuariosautenticados.
Conguracióndeunaautoridaddecerticacióndeempresa
ParaemitirelcerticadodeusuariodeTPMcongurandounaautoridaddecerticacióndeempresa,llevea caboelprocedimientosiguientetalcomoseindicaacontinuación:
1.AbraCerticationAuthority.
2.Enelárboldelaconsola,pulseCerticateTemplates.
3.DesdeelmenúAcción,pulseNuevoCerticadoparaemitir.
4.PulseTPMypulseAceptar.
Cómoaplicarelcerticadodelcliente
Paraaplicarelcerticadodesdeelcliente,lleveacaboelprocedimientosiguientetalcomoseindicaa continuación:
1.ConéctesealaIntranet,inicieInternetExploreryescribaladirecciónIPdelservidorenelqueestá instaladoelservicioCA.
2.Indiquesunombredeusuariodedominioycontraseñaenlaventanadesolicitud.
3.PulseSolicitaruncerticadoenSeleccionarunatarea.
4.PulseSolicituddecerticadoavanzadaenlaparteinferiordelapáginaweb.
5.EnlapáginaSolicituddecerticadoavanzada,cambielosvaloressiguientes:
•SeleccioneUsuariodeTPMdelalistadesplegablePlantilladecerticados.
•SeleccioneThinkVantageClientSecuritySolutionCSPdelalistadesplegableCSP.
•AsegúresedenoseleccionarMarcarclavescomoexportables.
•PulseSometerysigaelproceso.
•EnlapáginaCerticadoemitido,pulseInstalarestecerticado.AparecerálapáginaCerticado
instalado.

UtilizacióndelostecladosdehuelladactilarUSBconelequipoportátil deThinkPadde2008,modelos(R400/R500/T400/T500/W500/X200/X301)

Lenovocontrataadosproveedoresparaqueproporcionenautenticacióndehuellasdactilaresenlos modelosdelossistemasportátilesytecladosUSBThinkPad anterioresa2008(porejemplo,T61)utilizansensoresdehuelladactilardeThinkVantage.Losmodelosde equiposportátilesdeThinkPadde2008(comenzandoconT400)utilizanlossensoresdehuelladactilar deLenovo.TodoslostecladosdehuellasdactilaresUSBdeLenovoutilizansensoresdehuelladactilar deThinkVantage.Sonnecesariasciertasconsideracionesespecialessiseutilizaeltecladodehuellas dactilaresenalgunosmodelosdeequipoportátildeThinkPad(porejemplo,ThinkPadT400conunteclado USBexterno).
®
.LosmodelosdeequiposportátilesThinkPad
Capítulo6.Prácticasrecomendadas63
Enestasecciónsedescribenloscasosdeejemplodeusocomúnasícomolasestrategiasdedespliegue paraelsoftwaredehuellasdactilaresqueseinstalaenlosmodelosdeequiposportátilesdeThinkPad.
Nota:
•LenovoFingerprintSoftware ElsoftwaredehuellasdactilaresdeLenovoeselsoftwareparaelsensordehuellasdactilaresAuthenTec (porejemplo,elsensordehuellasdactilaresinternoenT400).
•ThinkVantageFingerprintSoftware ElsoftwaredehuellasdactilaresdeThinkVantageeselsoftwareparaelsensordehuellasdactilares UPEK(porejemplo,elsensordehuellasdactilaresinternoenT61yelsensordehuellasdactilares entodoslostecladosUSBexternos).

IniciodesesiónenWindowsVista

ParainiciarlasesiónenelsistemaoperativoWindowsVista,puedeutilizarelsensordehuellasdactilares AuthenTecoelsensordehuellasdactilaresUPEKsiemprequelodesee.
1.Instalelaversión3.2.0.275oposteriordelsoftwaredehuellasdactilaresdeLenovo.
2.Instalelaversión5.8.2.4824oposteriordelsoftwaredehuellasdactilaresdeThinkVantage.
3.Reinicieelsistema.Automáticamenteseiniciaráelasistentepararegistrarlahuelladactilar.
4.UtiliceelsoftwaredehuellasdactilaresdeThinkVantagepararegistrarsushuellasdactilaresconel sensordehuellasdactilaresexterno.Sinoseiniciaautomáticamente,pulseInicioProgramas ThinkVantageThinkVantageFingerprintSoftwareparainiciarelregistro.
5.EscribasucontraseñadeWindowscuandoselesolicitey,seguidamente,elijaundedodelquevaa realizarlainscripción.
6.Sigalasindicacionesqueapareceránenlapantalladelequipopararegistrarsudedoutilizandoel sensordehuellasdactilaresexterno.
7.PulseValoresenlapartesuperiordelapantalla.
8.MarqueelrecuadrodeselecciónUtilizarexploracióndelahuelladactilarenlugardelacontraseña cuandoseinicielasesiónenWindows,pulseAceptary,acontinuación,pulseCerrarparacerrar laventana.
9.ReinicieelsistemayasegúresedequepuedeutilizarsuhuelladactilarparainiciarlasesiónenWindows conelsensordehuellasdactilaresexterno.
10.Utiliceelregistrodelahuelladactilarpararegistrarsushuellasdactilaresconelsensordehuellas dactilaresexterno.Sinoseiniciaautomáticamente,pulseInicioProgramasThinkVantage LenovoFingerprintSoftwareparainiciarelregistro.
11.EscribasucontraseñadeWindowscuandoselesolicitey,seguidamente,elijaundedodelquevaa realizarlainscripción.
12.Sigalasindicacionesqueapareceránenlapantalladelequipopararegistrarsudedoutilizandoel sensordehuellasdactilaresinterno.
13.PulseValoresenlapartesuperiordelapantalla.
14.MarqueelrecuadrodeselecciónUtilizarexploracióndelahuelladactilarenlugardelacontraseña cuandoseinicielasesiónenWindows,pulseAceptary,acontinuación,pulseCerrarparacerrar laventana.
15.ReinicieelsistemayasegúresedequepuedeutilizarsuhuelladactilarparainiciarlasesiónenWindows conelsensordehuellasdactilaresinterno.
64ClientSecuritySolution8.21Guíadedespliegue

IniciodesesiónenWindowsXP

ParainiciarlasesiónenelsistemaoperativoWindowsXP,puedeutilizarelsensordehuellasdactilares AuthenTecoelsensordehuellasdactilaresUPEKsiemprequelodesee.
Casodeejemplo1–ThinkPadT400conuntecladoUSB(noconectadoaldominio)
UtilicelapantalladebienvenidadeWindowsXP.
1.Instalelaversión3.2.0.275oposteriordelsoftwaredehuellasdactilaresdeLenovo.
2.Instalelaversión5.8.2.4824oposteriordelsoftwaredehuellasdactilaresdeThinkVantage.
3.HabilitelapantalladebienvenidadeWindowsXP. a.AbraPaneldecontrolCuentasdeusuario. b.PulseCambiarlaformaenlaquelosusuariosinicianycierransesión. c.MarqueelrecuadrodeselecciónUsarlaPantalladebienvenida. Sielrecuadrodeselecciónnoestuvieradisponible,consulte“Casodeejemplo2–ThinkPadT400con
untecladoUSB(conectadoaldominio)”enlapágina65.
4.PulseInicioProgramasThinkVantageLenovoFingerprintSoftwareparainiciarelregistro.
5.EscribasucontraseñadeWindowscuandoselesolicitey,seguidamente,elijaundedodelquevaa realizarlainscripción.
6.Sigalasindicacionesqueapareceránenlapantalladelequipopararegistrarsudedoutilizandoel sensordehuellasdactilaresinterno.
7.PulseValoresenlapartesuperiordelapantalla.
8.MarqueelrecuadrodeselecciónUtilizarexploracióndelahuelladactilarenlugardelacontraseña
cuandoseinicielasesiónenWindows,desmarqueelrecuadrodeselecciónInhabilitarelsoportede conmutaciónrápidadelusuario,pulseAceptary,acontinuación,pulseCerrarparacerrarlaventana.
9.Rearranqueelsistemayasegúresedequepuedeutilizarsuhuelladactilarparainiciarlasesiónen Windowsconelsensordehuellasdactilaresinterno.
10.ConecteeltecladoUSBexterno.
11.PulseInicioProgramasThinkVantageThinkVantageFingerprintSoftwareparainiciar elregistro.
12.PulseHuellasdactilaresRegistraroEditarhuellasdactilaresy,acontinuación,pulseSiguiente paravisualizarlaventanadelacontraseñadeWindows.
13.EscribasucontraseñadeWindowscuandoselesolicitey,seguidamente,elijaundedodelquevaa realizarlainscripción.
14.Sigalasindicacionesqueapareceránenlapantallapararegistrarsudedoutilizandoelsensordehuellas dactilaresexternoeneltecladoUSB.
15.Completeelasistenteparaelregistrodehuellasdactilaresy,acontinuación,pulseFinalizarpara cerrarelasistente.
16.EnlaventanaThinkVantageFingerprintSoftware,pulseValoresValoresdelsistemaparaque aparezcalaventanaValoresdeThinkVantageFingerprintSoftware.
17.EnelseparadorIniciodesesión,marqueelrecuadrodeselecciónConmutaciónrápidadeusuario.
18.PulseAceptary,acontinuación,cierrelaventanaSoftwaredehuellasdactilaresdeThinkVantage.
19.ReinicieelsistemayasegúresedequepuedeutilizarsuhuelladactilarparainiciarlasesiónenWindows conelsensordehuellasdactilaresinternooexterno.
Casodeejemplo2–ThinkPadT400conuntecladoUSB(conectadoaldominio)
UtilicelainterfazdeiniciodesesióndeClientSecuritySolution(GINA).
Capítulo6.Prácticasrecomendadas65
1.Instalelaversión3.2.0.275oposteriordelsoftwaredehuellasdactilaresdeLenovo.
2.Instalelaversión5.8.2.4824oposteriordelsoftwaredehuellasdactilaresdeThinkVantage.
3.InstaleClientSecuritySolutionconlaversión8.20.0035oposterior.
4.AsegúresedequeeltecladoUSBestéconectadoalsistema.
5.Reinicieelsistema.Automáticamenteseiniciaráelasistentepararegistrarlahuelladactilar.Sinose iniciaautomáticamente,pulseInicioProgramasThinkVantageThinkVantageFingerprint Softwareparainiciarelregistro.
6.EscribasucontraseñadeWindowscuandoselesolicitey,seguidamente,elijaundedodelquevaa realizarlainscripción.
7.Sigalasindicacionesqueapareceránenlapantalladelequipopararegistrarsudedoutilizandoel sensordehuellasdactilaresexternoeneltecladoUSBy,acontinuación,pulseSiguienteparaque aparezcalaventana.
8.MarqueelrecuadrodeselecciónCongurarClientSecuritySolutiony,acontinuación,pulseFinalizar paracerrarlaventana.
9.PulseInicioProgramasThinkVantageLenovoFingerprintSoftwareparainiciarelregistro.
10.EscribasucontraseñadeWindowscuandoselesolicitey,seguidamente,elijaundedodelquevaa realizarlainscripción.
11.Sigalasindicacionesqueapareceránenlapantalladelequipopararegistrarsudedoutilizandoel sensordehuellasdactilaresinterno.
12.PulseValoresenlapartesuperiordelapantalla.
13.DesmarqueelrecuadrodeselecciónUtilizarexploracióndelahuelladactilarenlugardela contraseñacuandoseinicielasesiónenWindows,pulseAceptary,acontinuación,pulseCerrar paracerrarlaventana.
14.ReinicieelsistemaeinicielasesiónenWindowsconsucontraseña.
15.HagaclicenInicioTodoslosprogramasThinkVantageClientSecuritySolutionparainiciar CSS.
16.DesdeelmenúAvanzado,seleccioneGestionarpolíticasdeseguridadparaqueaparezcalaventana deGestordepolíticas.
17.EnelpanelAccionesdelusuario,seleccioneIniciarsesiónenWindows.
18.EnelpanelPolíticadeseguridad,seleccioneUtilizarunapolíticadeseguridadpredeterminada paraestaaccióndeusuario.
19.PulseAceptary,acontinuación,pulseSíparareiniciarelequipo.
20.Despuésdelreinicio,asegúresedequepuedeutilizarsuhuelladactilarparainiciarlasesiónenWindows conelsensordehuellasdactilaresinternooexterno.

ClientSecuritySolutionyPasswordManager

AlcontrarioqueocurreeneliniciodesesióndeWindows,lassolicitudesdeautenticacióndeClientSecurity SolutionyPasswordManagersolamentefuncionanenelsensordehullasdactilarespreferido.Porejemplo, cuandohayconectadountecladodehuellasdactilares,susensordehuellasdactilaresseráeldispositivo preferido.Cuandonohayconectadoningúntecladodehuellasdactilares,elsensordehuellasdactilares internodeThinkPadseráeldispositivopreferido.
Paracambiareldispositivopreferido,creeunaentradaderegistrotalcomoseindicaacontinuación:
[HKLM\Software\Lenovo\TVTCommon\ClientSecuritySolution] REG_DWORD"Pref erInternalFPSensor"=1
66ClientSecuritySolution8.21Guíadedespliegue
Tabla32.Clavesdelregistro
NombreValorDescripción
Pref erInternalFPSensor
0(valorpredeterminado)
1
Especicaqueelsensordehuellas dactilaresexternoeselpreferido siemprequehayauntecladode huellasdactilaresconectado.
Especicaqueelsensordehuellas dactilaresinternoeselpreferido.

Autenticacióndeprearranqueutilizandolahuelladactilarenlugarde lascontraseñasdelBIOS

AlcontrarioqueocurreeneliniciodesesióndeWindows,lassolicitudesdeautenticaciónparacontraseñas delBIOSsolamentefuncionanenelsensordehuellasdactilarescuandosehaconguradoelBIOSparaque lasutilice.Deformapredeterminada,elBIOSreconoceelpasodeldedoeneltecladodehuellasdactilares siésteestáconectado.Sieltecladodehuellasdactilaresnoestuvieraconectado,elBIOSreconoceelpaso deldedoeneldispositivodehuellasdactilaresinternoparasuautenticación.
ElvalordelBIOSPrioridaddellectorsepuedecambiarparaforzarelusodelsensordehuellasdactilares interno,aunquehayaconectadountecladodehuellasdactilaresexterno.Elvalorpredeterminadopara PrioridaddellectoresExterno.ElvalorsepuedecambiarporSolamenteinternoparaforzareluso delsensordehuellasdactilaresinterno.
Nota:EstevalordelBIOSseaplicasolamenteasolicitudesdehuellasdactilaresenelBIOS.Notiene ningúnefectosobreeliniciodesesióndeWindowsolassolicitudesdeautenticacióndehuellasdactilares deClientSecuritySolution.
Conguracióndelsoftwaredehuellasdactilaresparahabilitarlaautenticaciónde prearranque
Sihadenidolascontraseñadesupervisor,deencendidoodeunidaddediscoduroenelBIOS,puede congurarelsoftwaredehuellasdactilaresparasuautenticaciónenlugardetenerqueescribiresas contraseñas.
LenovoFingerprintSoftware:paraelsensordehuellasdactilaresinterno
1.PulseInicioProgramasThinkVantageLenovoFingerprintSoftwareparainiciarelsoftware dehuellasdactilares.
2.Pasesudedooescribalacontraseñacuandoselesolicite.
3.PulseValoresenlapartesuperiordelapantalla.
4.MarqueelrecuadrodeselecciónUtilizarexploracióndelahuelladactilarenlugardelascontraseñas
deencendidoydeunidaddediscoduroasícomoelrecuadrodeselecciónMostrarsiemprelas opcionesdeseguridaddeencendidoy,acontinuación,pulseAceptarparacerrarlaventana.
5.Elijaunadelashuellasdactilaresregistradaparahabilitarsuhuelladactilarysustituirlascontraseñas delBIOS.
6.PulseCerrarparacerrarlaventana.
ThinkVantageFingerprintSoftware(WindowsXP)–paraelsensordehuellasdactilaresexterno
1.PulseInicioProgramasThinkVantageThinkVantageFingerprintSoftwareparainiciarel softwaredehuellasdactilares.
2.PulseValoresSeguridaddeencendidoenlapartesuperiordelaventana.
Nota:SinoestuvieradisponibleelvalorSeguridaddeencendido,creeunaentradaderegistrotal comoseindicaacontinuaciónparavisualizarestevalor:
Capítulo6.Prácticasrecomendadas67
[HKEY_LOCAL_MACHINE\SOFTWARE\ProtectorSuiteQL\1.0] REG_DWORD"BiosFeatures"=2
3.MarqueelrecuadrodeselecciónSolicitarhuelladactilarparaelarranquedelsistemay,a continuación,pulseAceptarparacerrarlaventana.
4.PulseHuellasdactilaresRegistraroEditarhuellasdactilaresparaqueaparezcalaventana.
5.Pasesudedooescribalacontraseñacuandoselesolicite.
6.Elijaunadelashuellasdactilaresregistradaparahabilitarsuhuelladactilarysustituirlascontraseñas delBIOS.
7.PulseFinalizarparacerrarlaventana.
ThinkVantageFingerprintSoftware(WindowsVista)–paraelsensordehuellasdactilaresexterno
1.PulseInicioProgramasThinkVantageThinkVantageFingerprintSoftwareparainiciarel softwaredehuellasdactilares.
2.Pasesudedooescribalacontraseñacuandoselesolicite.
3.PulseValoresenlapartesuperiordelapantalla.
4.MarqueelrecuadrodeselecciónUtilizarexploracióndelahuelladactilarenlugardelascontraseñas
deencendidoydeunidaddediscoduroasícomoelrecuadrodeselecciónMostrarsiemprelas opcionesdeseguridaddeencendidoy,acontinuación,pulseAceptarparacerrarlaventana.
5.Elijaunadelashuellasdactilaresregistradaparahabilitarsuhuelladactilarysustituirlascontraseñas delBIOS.
6.PulseCerrarparacerrarlaventana.
68ClientSecuritySolution8.21Guíadedespliegue

ApéndiceA.Consideracionesacercadelautilizaciónde OmniPass

OmniPassfromSoftex©esunprogramaquesepuedeutilizarparainiciarsesióndeformaseguraensitios webyenaplicaciones,asícomoparaprotegerlosdatosdeunsistema.OmniPasssepuedebeneciardel TMPdelsistemaaccediendoalmismomedianteinterfacesproporcionadasporClientSecuritySolution.A ndeaprovecharelTPM,sedebeinstalarClientSecuritySolutionantesdeinstalarOmniPass.Debidoalas similitudesenlasfuncionesofrecidasporambosproductos,algunasfuncionesdeClientSecuritySolution seinhabilitanuocultancuandoOmniPassestáinstalado.
Además,siinstalaambosprogramassepuedeencontrarconconictos.Tengaencuentalosposibles conictosqueselistanenlatablasiguiente:
Tabla33.CoincidenciadefuncionesdeOmnipass
FunciónCoincidenciadefuncionesConsideraciones
AutenticacióndehuellasdactilaresElSoftwaredehuellasdactilaresde
ThinkVantageyOmniPassrequieren distintosregistrosdehuelladactilar.
GestióndecontraseñasTantoClientSecuritySolutioncomo
OmniPassproporcionanungestorde contraseñas.
IniciodesesióndeWindowsTantoClientSecuritySolutioncomo
OmniPassproporcionanunainterfaz deiniciodesesióndeWindows
CifradodearchivosTantoClientSecuritySolution8.21
comoOmniPassproporcionan aplicacionesdecifrado.
Deberegistrarlashuellasdactilares conelSoftwaredehuellasdactilares deThinkVantageparadarsoportea laautenticaciónpreviaalarranque conelsensordehuellasdactilares. Lashuellasdactilaresregistradascon elSoftwaredehuellasdactilaresde ThinkVantagesonindependientes delashuellasdactilaresregistradas conOmniPass.Lainstalaciónde OmniPassocultaráelenlacedel CentrodecontroldelSoftwarede huellasdactilaresdeThinkVantage delmenúInicio.
ClientSecuritySolutionPassword Managerseráinhabilitado automáticamenteporlainstalación deOmniPass.
Lainterfazdeiniciodesesión deClientSecuritySolutionserá inhabilitadaautomáticamenteporla instalacióndeOmniPass. Nota:Cuandoseinhabilitalainterfaz deiniciodesesióndeClientSecurity Solution,duranteeliniciodesesión deWindowsnoestarádisponible larecuperacióndeunacontraseña deWindowsolvidadamediantela Recuperacióndecontraseñade ClientSecuritySolution.
Lasdosversionespuedencoexistir; sinembargo,paraevitarconfusiones, desinstalePrivateDiskparaClient SecuritySolution7.0yanteriores.
©CopyrightLenovo2008,2012
69
Tabla33.CoincidenciadefuncionesdeOmnipass(continuación)
FunciónCoincidenciadefuncionesConsideraciones
Interfacesdecifrado
AutenticacióndeusuarioTantoClientSecuritySolution
Accesoalasfunciones
TantoClientSecuritySolutioncomo OmniPassproporcionanunCSPy unmóduloPKCS#11.Lasinterfaces decifradodeClientSecuritySolution utilizanautenticaciónindependiente deOmniPass.
comoOmniPasspuedensolicitar autenticacióndeusuario.
ClientSecuritySolutionyOmniPass proporcionanaccesoasusfunciones medianteunaaplicaciónenelmenú Inicio,loquepuedeconfundiralos usuarios.
NoseleccioneelCSPnielmódulo PKCS#11deClientSecuritySolution paraoperacionesdecifrado.
SiestáutilizandotantoClientSecurity SolutioncomoOmniPass,asegúrese dequelosusuariosentiendenla diferenciaentrelosindicadores desolicituddeautenticacióny proporcionanlainformaciónde autenticaciónadecuada(incluidas huellasdactilares)cuandoseles solicite.
EliminelaaplicaciónClientSecurity SolutiondelmenúInicio.
Ademásdelasconsideracionesanteriores,esposiblequetambiénseencuentreconlossiguientes problemasconOmnipass:
•Sisevisualizaunmensajedeerrordefaltadememoriadelplugindehuellasdactilares,omitaelerrory continúeutilizandoOmnipass.
•ElregistrodelTPMnofuncionaráparausuariosconunacontraseñadeWindowsNULA.
70ClientSecuritySolution8.21Guíadedespliegue

ApéndiceB.Consideracionesespecialesparautilizarel tecladodehuellasdactilaresdeLenovoconalgunosmodelos deequiposportátilesThinkPad

EldispositivodehuelladactilarqueseutilizaenalgunosmodelosdeequiposportátilesThinkPadesdistinto aldispositivodehuelladactilarqueseutilizaeneltecladodehuellasdactilaresdeLenovo.Puedequesean necesariasciertasconsideracionesespecialessiseutilizaeltecladodehuelladactilarenalgunosmodelos deequiposportátilesThinkPad.
Paraobtenermásinformación,vayaalapáginadedescargadelsoftwaredehuelladactilarenelsitioweb deLenovodondeencontraráunalistadeestosmodelosdeequiposportátilesThinkPad.
Solamentelosmodelosqueaparecenlistadosen“LenovoFingerprintSoftware”necesitanalguna consideraciónespecialcuandoseutilizanconeltecladodehuelladactilar.Todoslosdemásmodelosde equiposportátilesThinkPad,queutilizan“SoftwaredehuellasdactilaresdeThinkVantage”,utilizanun dispositivodehuelladactilarqueescompatibleconeldispositivoincluidoeneltecladodehuelladactilary norequierenningunaconsideraciónespecial.
Conguraciónydenición
Debehaberinstaladalaversión2.0,oposterior,delSoftwaredehuellasdactilaresdeLenovoparautilizarel dispositivodehuelladactilarenelequipoportátilThinkPad.Losusuariosdebenregistrarhuellasdactilares conelSoftwaredehuellasdactilaresdeLenovoutilizandoeldispositivointegradodehuelladactilar.
Debehaberinstaladalaversión5.8,oposterior,delSoftwaredehuellasdactilaresdeThinkVantagepara utilizareltecladodehuellasdactilaresdeLenovo.Losusuariostambiéndebenregistrarlashuellasdactilares conelSoftwaredehuellasdactilaresdeThinkVantageutilizandoeltecladodehuelladactilar.
Nota:Lashuellasdactilaresregistradasconundispositivonosepuedenintercambiarconelotrodispositivo.

Autenticaciónpreviaalescritorio

Seutilizaráeldispositivoincorporadodehuelladactilaroeltecladodehuelladactilarparalaautenticación previaalescritorio(quesustituyealacontraseñadeencendidodelsistemaodeunidaddediscodurocon unahuelladactilar).ElBIOSdeterminaráquédispositivosedebeutilizarcuandoseenciendaelsistema.
Deformapredeterminada,elBIOSsolamenteaceptaráquesepaseeldedoeneltecladodehuelladactilar siésteestáconectado.Sisepasaeldedodiversasvecesporeldispositivointegradodehuelladactilarse harácasoomisoparalaautenticaciónpreviaalescritoriosihayaconectadountecladodehuelladactilar. Sinoestáconectadoeltecladodehuelladactilar,seutilizaráeldispositivointegradodehuelladactilar paralaautenticaciónpreviaalescritorio.
ElvalordelBIOSpara“ReaderPriority”sepuedecambiarparaqueutiliceelsensorincorporadodehuella dactilar.Sila“ReaderPriority”sehadenidoen“Internalonly”,sepodráutilizarelsensorintegradode huelladactilarparalaautenticaciónpreviaalescritorio.Enestecaso,seharácasoomisodelpasodel dedoporeltecladodehuelladactilar.

IniciodesesióndeWindows

EltecladodehuellasdactilaresdeLenovoyeldispositivodehuelladactilarqueseutilizanenThinkPad proporcionanambossupropiainterfazparainiciarsesiónenWindowsconunahuelladactilar.
©CopyrightLenovo2008,2012
71
Importante:Losproblemasdecompatibilidadpuedencausarproblemascuandoseinicialasesiónsilas
interfacesdeiniciodesesióndehuelladactilarnosehanconguradocorrectamente.

WindowsXP-Pantalladebienvenida

ParadarsoportealiniciodesesióntantoconeltecladodehuellasdactilaresdeLenovocomoconelsensor dehuelladactilarincorporadodeThinkPadconlapantalladebienvenidadeWindowsXP,debetener habilitadaslasinterfacesdeiniciodesesióndelSoftwaredehuellasdactilaresdeLenovoydelSoftware dehuellasdactilaresdeThinkVantage.
CuandoseinicialasesiónconlapantalladebienvenidadeWindowsXPhabilitadayambasinterfacesde iniciodesesiónconhuelladactilarestánhabilitadas,losusuariospuedenpasareldedoporeltecladode huelladactilaroporeldispositivointegradodehuelladactilarparainiciarlasesión.
Nota:Elvalor“ReaderPriority”delBIOSnoseaplicaenestasituación.Puedeutilizarsecualquier dispositivodelosdosparaeliniciodesesiónsiambosdispositivosestándisponibles.
LapantalladebienvenidadeWindowsXPsepuedehabilitaratravésdelaopción“Cuentasdeusuario” delPaneldecontroldeWindowsXP.
LainterfazdeiniciodesesióndehuelladactilarparaLenovoFingerprintSoftware(paraelsensorintegrado dehuelladactilar)yThinkVantageFingerprintSoftware(paraeltecladodehuelladactilar)sepuedehabilitar mediantelaopción“Valores”delasrespectivasaplicacionesdesoftwaredehuelladactilar.

WindowsXP-Solicituddeiniciodesesiónclásica

Importante:LasinterfacesdeiniciodesesióndehuelladactilarparaelSoftwaredehuellasdactilaresde
LenovoyelSoftwaredehuellasdactilaresdeThinkVantagenodebenhabilitarsealavezsisehahabilitado lasolicituddeiniciodesesiónclásicadeWindowsXP(interfazdeiniciodesesiónGINA).Puedenproducirse resultadosinesperadossiestánhabilitadasambasinterfacesdeiniciodesesiónynoseutilizalapantallade bienvenidadeWindowsXP.
SiesnecesarialasolicituddeiniciodesesiónclásicadeWindowsXP(porejemplo,paradarsoporteal iniciodesesiónenundominio)yseseleccionaeliniciodesesióndehuelladactilarconcualquiersensor,se deberáhabilitarlainterfazdeiniciodesesióndeClientSecuritySolution.Conlainterfazdeiniciodesesión deClientSecuritySolutionhabilitada,eliniciodesesiónenWindowsesposibletantoconeltecladode huelladactilarcomoconeldispositivointegradodehuelladactilar.
Nota:Estaopciónsolamenteestádisponibleenlaversión8.21,oposterior,deClientSecuritySolution.
LainterfazdeiniciodesesióndeClientSecuritySolutionsepuedehabilitarmediantelaaplicación ClientSecuritySolutionenelmenúInicio.Laopciónparacongurarlainterfazdeiniciodesesiónde ClientSecuritySolutionsepuedeencontrarseleccionando“Gestionarpolíticasdeseguridad”delmenú “Avanzado”deClientSecuritySolution.
AsegúresedequelasinterfacesdeiniciodesesiónparaLenovoFingerprintSoftwareyThinkVantage FingerprintSoftwareesténhabilitadasmediantelaopción“Valores”delasrespectivasaplicacionesde softwaredehuelladactilar.

WindowsVista

ParadarsoportealiniciodesesióntantoconeltecladodehuellasdactilaresdeLenovocomoconelsensor incorporadodehuelladactilardeThinkPadenWindowsVista,debetenerhabilitadaslasinterfacesdeinicio desesióndelSoftwaredehuellasdactilaresdeLenovoydelSoftwaredehuellasdactilaresdeThinkVantage.
72ClientSecuritySolution8.21Guíadedespliegue
CuandoambasinterfacesdeiniciodesesióndehuelladactilarestánhabilitadasenWindowsVista,los usuariospuedenpasareldedoporeltecladodehuelladactilaroporeldispositivointegradodehuella dactilarparainiciarlasesión.
Notas:
1.Elvalor“Prioridaddellector”delBIOSnoseaplicaenestecaso.Puedeutilizarsecualquierdispositivo delosdosparaeliniciodesesiónsiambosdispositivosestándisponibles.
2.LapantalladeiniciodesesióndeWindowsVistasolamentepuedemostrarunmosaicoobotón,por cadainiciodesesióndehuelladactilar,aunquesepuedeutilizarcualquiersensordehuellasdactilares parainiciarlasesión.
Deformaalternativa,paradarsoportetantoaltecladodehuelladactilarcomoaldispositivointegradode huelladactilar,sepuedeutilizarlainterfazdeiniciodesesióndeClientSecuritySolutionenlugardelas interfacesdeiniciodesesióndelsoftwaredehuelladactilar.Sinembargo,estaprestaciónsolamenteestá disponibleenlaversión8.21,oposteriores,deClientSecuritySolution.
SiutilizalainterfazdeiniciodesesióndeClientSecuritySolution,lasinterfacesdeiniciodesesióndel softwaredehuelladactilardeberánestarinhabilitadasenlaopción“Valores”delasrespectivasaplicaciones desoftwaredehuelladactilar.LainterfazdeiniciodesesióndeClientSecuritySolutionsepuedehabilitar mediantelaaplicaciónClientSecuritySolutionenelmenúInicio.Laopciónparacongurarlainterfazde iniciodesesióndeClientSecuritySolutionsepuedeencontrarseleccionandoGestionarpolíticasde
seguridaddelmenúAvanzadodeClientSecuritySolution.

AutenticaciónconClientSecuritySolution

Nota:Lainformaciónsiguienteseaplicasolamentealaversión8.21,yposteriores,deClientSecurity
Solution.LasversionesanterioresdeClientSecuritySolutionnodansoportealautilizacióndeldispositivo integradodehuelladactilarconeltecladodehuelladactilar.
CuandoserealizaunaacciónconClientSecuritySolutionquerequiereautenticacióndehuelladactilar, comoporejemplolaespecicaciónautomáticadelacontraseñaenunsitiowebconPasswordManager,los usuariosdebenpasarundedosobreeltecladodehuelladactilar,siestáconectado,enelmomentoenque asíselessolicite.Seharácasoomisosisepasaeldedodiversasvecesporeldispositivoincorporado dehuelladactilar,sieltecladodehuelladactilarestáconectado.Sieltecladodehuelladactilarnoestá conectado,setendráqueutilizarelsensorintegradodehuelladactilar.
Haydisponibleunvalorderegistroparapediralosusuariosqueutilicenelsensorincorporadodehuella dactilarparalaautenticaciónconClientSecuritySolution.Sisedeneestaentradaderegistro,la autenticacióndehuelladactilarconClientSecuritySolutiondeberárealizarseconelsensorincorporadoyse harácasoomisodelaaccióndepasareldedoporeltecladodehuelladactilar.
Laentradadelregistroeslasiguiente:
[HKLM\Software\Lenovo\TVTCommon\ClientSecuritySolution] REG_DWORD"Pref erInternalFPSensor"=1
Elvalorpredeterminadodelaentradaderegistroanteriores0,cuandolaautenticacióndehuelladactilar conClientSecuritySolutiondebehacerseconeltecladodehuelladactilaryseharácasoomisodelaacción depasareldedoporeldispositivoincorporadodehuelladactilar.
EstevalortambiénsepuedecambiarutilizandoelarchivodeplantillasadministrativasdeClientSecurity SolutionconlaspolíticasdegrupoparaActiveDirectory.
Notas:
ApéndiceB.ConsideracionesespecialesparautilizareltecladodehuellasdactilaresdeLenovoconalgunos
modelosdeequiposportátilesThinkPad73
1.CuandoelvalordeBIOS“ReaderPriority”sehadenidoen“Internalonly”,serecomiendadenirel valordelaentradaderegistroen1.EstaacciónhabilitarálaautenticaciónconClientSecuritySolution parasimularelvalordeautenticaciónpreviaalescritoriodeBIOS.
2.ElvalordeBIOSyelvalordeesteregistrosonindependientes.
74ClientSecuritySolution8.21Guíadedespliegue

ApéndiceC.SincronizacióndelacontraseñaenCSStras restablecerlacontraseñadeWindows

UnavezrestablecidalacontraseñadeWindows,ClientSecuritySolutionlesolicitaconstantemente unacontraseñadeWindowsnuevapero,seguidamentemuestraunmensajedeerrorqueindicaquela contraseñaesincorrecta.LaseguridaddeWindowssehadiseñadodeformaquelascredencialesde seguridaddelusuarioquedeninvalidadascuandoserestablezcalacontraseñadeWindows.Windowsle mostraráunmensajedeavisoencadaintentoderestablecerlacontraseña.Además,alrestablecerla contraseñadeWindowsnosolamenteseveráafectadoelproductoClientSecuritySolutionsinoque tambiénperderáelaccesoaloscerticadosyarchivosquesehayancifradomedianteWindowsEFS. CuandoClientSecuritySolutionyanopuedeaccederalascredencialesdeseguridaddeWindows(como resultadoderestablecerlacontraseña),ClientSecuritySolutionlesolicitaráconstantementeunacontraseña nuevayseguidamentemostraráunmensajedeerrorenelqueseindicaquelacontraseñaqueseha indicadonoesválida.ClientSecuritySolutionnopuedefuncionarcuandolascredencialesdeseguridadde Windowshanquedadoinvalidadas.SisehacambiadlacontraseñadeWindowsdelusuario(porejemplo, selesolicitaqueespeciquetantolacontraseñaantiguacomolanueva),seconservaránlascredencialesde seguridadyseprotegerángraciasalanuevacontraseña.
ParasincronizarlacontraseñaenCSStrasrestablecerlacontraseñadeWindows,realicelosiguiente:
1.RestaureunacopiadeseguridaddesusistemaantesderestablecerlacontraseñadeWindows.
2.RestablezcalacontraseñadeWindowsnuevamentealaquehabíaoriginalmente.Deestaformase restableceráelaccesoalascredencialesdeseguridaddeWindows.
3.CreeunacuentanuevadeWindowsycomienceautilizarlaenlugardeemplearlacuentaoriginalcon lascredencialescorruptas.
4.Sigaestemétodopararecuperarelsistema: a.IniciePasswordManager. b.PulseImport/ExportyseleccioneExportentrylist. c.Especiqueunaubicaciónparaguardarelarchivoyescribaunnombredearchivo. d.Especiqueunacontraseñaparaelarchivodeentradas. e.CierrePasswordManager. f.InicieClientSecuritySolution. g.PulseAvanzadasRestablecervaloresdeseguridad. h.EscribalacontraseñanuevadeWindowscuandoselesolicite. i.ClientSecuritySolutionlesolicitaráquereinicieelsistema. j.Despuésdereiniciarelsistema,iniciePasswordManager. k.PulseImport/ExportyseleccioneImportentrylist. l.Examineelarchivoquesehaguardadoanteriormente. m.Especiquelacontraseñacuandoselesolicite.
©CopyrightLenovo2008,2012
75
76ClientSecuritySolution8.21Guíadedespliegue

ApéndiceD.Avisos

PuedequeenotrospaísesLenovonoofrezcalosproductos,serviciosocaracterísticasquesedescriben enestainformación.ConsulteconelrepresentantelocaldeLenovoparaobtenerinformaciónsobre losproductosyserviciosactualmentedisponiblesensuárea.Lasreferenciasaprogramas,productos oserviciosdeLenovonopretendenestablecerniimplicarquesólopuedanutilizarselosproductos, programasoserviciosdeLenovo.Ensulugar,sepuedeutilizarcualquierproducto,programaoservicio funcionalmenteequivalentequenoinfrinjalosderechosdepropiedadintelectualdeLenovo.Sinembargo, esresponsabilidaddelusuarioevaluaryvericarelfuncionamientodelosproductos,programasoservicios quenoseandeLenovo.
Lenovopuedetenerpatentesosolicitudesdepatentependientesquetrateneltemadescritoeneste documento.Laposesióndeestedocumentonoleconereningunalicenciasobredichaspatentes.Puede enviarconsultassobrelicencias,porescrito,a:
Lenovo(UnitedStates),Inc. 1009ThinkPlace-BuildingOne Morrisville,NC27560 U.S.A. Attention:LenovoDirectorofLicensing
LENOVOPROPORCIONAESTAPUBLICACIÓN“TALCUAL”SINNINGÚNTIPODEGARANTÍA,EXPLÍCITA NIIMPLÍCITA,INCLUYENDOPERONOLIMITÁNDOSEA,LASGARANTÍASIMPLÍCITASDENO VULNERACIÓN,COMERCIALIZACIÓNOIDONEIDADPARAUNPROPÓSITODETERMINADO.Algunas jurisdiccionesnopermitenlarenunciaagarantíasexplícitasoimplícitasendeterminadastransaccionesy, porlotanto,estadeclaraciónpuedequenoseapliqueensucaso.
Estainformaciónpuedeincluirimprecisionestécnicasoerrorestipográcos.Lainformaciónincluidaeneste documentoestásujetaacambiosperiódicos;estoscambiosseincorporaránennuevasedicionesdela publicación.Lenovopuederealizarencualquiermomentomejorasy/ocambiosenel(los)producto(s)y/o programa(s)descrito(s)enestainformaciónsinprevioaviso.
Losproductosquesedescribenenestedocumentonosehandiseñadoparaserutilizadosenaplicaciones deimplantaciónoenotrasaplicacionesdesoportedirectoenlasqueunaanomalíapuedeserlacausade lesionescorporalesopuedeprovocarlamuerte.Lainformacióncontenidaenestedocumentonoafectani modicalasespecicacionesogarantíasdelosproductosdeLenovo.Estedocumentonopuedeutilizarse comolicenciaexplícitaoimplícitanicomoindemnizaciónbajolosderechosdepropiedadintelectualde Lenovoodeterceros.Todalainformacióncontenidaenestedocumentosehaobtenidoenentornos especícosysepresentacomoejemplo.Elresultadoobtenidoenotrosentornosoperativospuedevariar.
Lenovopuedeutilizarodistribuirlainformaciónqueseleproporcionaenlaformaqueconsidereadecuada, sinincurrirporelloenningunaobligaciónparaconelremitente.
LasreferenciascontenidasenestapublicaciónasitioswebquenoseandeLenovosóloseproporcionan porcomodidadyenningúnmodoconstituyenunaaprobacióndedichossitiosweb.Losmaterialesde dichossitioswebnoformanpartedelosmaterialesparaesteproductodeLenovoyelusodedichossitios webcorreacuentayriesgodelusuario.
Cualquierdatoderendimientocontenidoenestadocumentaciónsehadeterminadoparaunentorno controlado.Porlotanto,elresultadoobtenidoenotrosentornosoperativospuedevariarsignicativamente. Algunasmedidassehanrealizadoensistemasenelámbitodedesarrolloynosegarantizaqueestas medidasseanlasmismasenlossistemasdisponiblesgeneralmente.Asimismo,algunasmedidassepueden
©CopyrightLenovo2008,2012
77
habercalculadoporextrapolación.Losresultadosrealespuedenvariar.Losusuariosdeestedocumento debenvericarlosdatosaplicablesparasuentornoespecíco.

Marcasregistradas

LostérminosquesiguensonmarcasregistradasdeLenovoenlosEstadosUnidosy/oenotrospaíses:
Lenovo RescueandRecovery ThinkCentre ThinkPad ThinkVantage
Microsoft,WindowsyWindowsVistasonmarcasregistradasdelgrupodeempresasMicrosoft.
Otrosnombresdeempresas,productososerviciospuedensermarcasregistradasodeserviciodeotros.
78ClientSecuritySolution8.21Guíadedespliegue

Glosario

ContraseñadelBIOSdeAdministrador(ThinkCentre) /Supervisor(ThinkPad)
Estándardecifradoavanzado(AES)AdvancedEncryptionStandardesunatécnicade
Sistemasdecifrado
Chipdeseguridadincorporado
Cifradodeclavespúblicas/clavesasimétricasLosalgoritmosdeclavespúblicasnormalmente
Lacontraseñadeadministradorosupervisorse utilizaparacontrolarlacapacidaddecambiar losvaloresdelBIOS.Estoincluyelacapacidad dehabilitaroinhabilitarelchipdeseguridad incorporadoydeborrarlaClavederaízde almacenamientoalmacenadaconelMódulode plataformasegura.
cifradodeclavessimétricas.Elgobiernodelos EE.UU.adoptóelalgoritmocomosutécnicade cifradoenoctubrede2000,sustituyendoelcifrado DESqueutilizaba.AESofreceunamayorseguridad contralosataquesdefuerzabrutaquelasclavesa 56bits,yAESpuedeutilizarclavesde128,192y 256bits,siesnecesario.
Lossistemasdecifradosepuedenclasicar ampliamenteencifradodeclavessimétricasque utilizanunaúnicaclavequecifraydescifralos datos,ycifradodeclavespúblicasqueutiliza dosclaves,unaclavepúblicaconocidaportodo elmundoyunaclaveprivadaalaquesólotiene accesoelpropietariodelpardeclaves.
Elchipdeseguridadincorporadoesotronombre paraunMódulodeplataformasegura.
utilizanunpardedosclavesrelacionadas:unaclave esprivadaysedebemantenerensecreto,mientras quelaotrasehacepúblicaysepuededistribuir ampliamente;nodebeserposiblededucirunaclave deunparsiseproporcionalaotra.Laterminología de“cifradodeclavespúblicas”derivadelaidea dehacerpartedelaclaveinformaciónpública.El términocifradodeclavesasimétricastambiénse utilizaporquenotodaslaspartesmantienenla mismainformación.Enciertosentido,unaclave “bloquea”unbloqueo(cifra);peroesnecesariouna clavedistintaparadesbloquearla(descifrarla).
Claveraízdealmacenamiento(SRK)Laclaveraízdealmacenamiento(SRK)esunpar
declavespúblicasde2,048bits(omayor).Está inicialmentevacíaysecreacuandoseasignael propietariodelTPM.Estepardeclavesnunca abandonaelchipdeseguridadincorporado.Se utilizaparacifrar(empaquetar)clavesprivadaspara elalmacenamientofueradelMódulodeplataforma segurayparadescifrarlascuandosecargande nuevoenelMódulodeplataformasegura.LaSRK lapuedeborrarcualquieraquetengaaccesoal BIOS.
CifradodeclavessimétricasLascifrasdelcifradodeclavessimétricasutilizanla
mismaclaveparacifraryparadescifrarlosdatos. Lascifrasdelasclavessimétricassonmássimples ymásrápidas,perosuprincipaldesventajaesque lasdospartesdebendealgunamaneraintercambiar laclavedeunaformasegura.Elcifradodeclaves públicasevitaesteproblemaporquelaclavepública sepuededistribuirdeunaformanosegura,yla claveprivadanosetransmitenunca.Advanced EncryptionStandardesunejemplodeunaclave simétrica.
Módulodeplataformasegura(TPM)LosMódulosdeplataformasegurasoncircuitos
integradosconunpropósitoespecialincorporados enlossistemasparapermitirunaautenticación deusuarioyvericacióndelamáquinafuertes. LanalidadprincipaldelTPMesevitarelacceso inadecuadoainformaciónimportanteycondencial. ElTPMesunaraízdeabilidadbasadaenhardware quesepuedeaprovecharparaproporcionaruna variedaddeserviciosdecifradoenunsistema. OtronombreparaelTPMeselchipdeseguridad incorporado.
Loading...