ClientSecuritySolution8.21
Guíadedespliegue
Actualizado:febrerode2012
Nota: Antesdeutilizarestainformaciónyelproductoalquedasoporte,lealainformacióngeneraldel
ApéndiceD“Avisos”enlapágina77.
Terceraedición(Febrero2012)
©CopyrightLenovo2008,2012.
AVISODEDERECHOSLIMITADOSYRESTRINGIDOS:silosproductososoftwaresesuministransegúnelcontrato
“GSA”(GeneralServicesAdministration),lautilización,reproducciónodivulgaciónestánsujetasalasrestricciones
establecidasenelContratoNúm.GS-35F-05925.
Contenido
Prefacio................ iii
Capítulo1.Visióngeneral........1
ClientSecuritySolution............ 1
FrasedepasodeClientSecuritySolution... 2
RecuperacióndecontraseñadeClient
Security................ 2
ClientSecurityPasswordManager...... 3
SecurityAdvisor............. 3
Asistentedetransferenciadecerticados... 4
Restablecimientodelacontraseñade
hardware................ 4
SoportedesistemassinelMódulode
plataformasegura............ 4
FingerprintSoftware............. 4
Capítulo2.Instalación..........7
ClientSecuritySolution............ 7
Requisitosdeinstalación.......... 7
Propiedadespúblicasdepersonalización... 8
SoportedeMódulodeplataformasegura... 8
Procedimientosdeinstalaciónyparámetros
delalíneademandatos.......... 9
PropiedadespúblicasestándardeWindows
Installer................ 12
Archivodeanotacionesdeinstalación ... 13
InstalacióndeClientSecuritySolution8.21
conversionesexistentes......... 14
InstalacióndelSoftwaredehuellasdactilaresde
ThinkVantage............... 14
Instalaciónsilenciosa.......... 14
Options................ 15
InstalacióndelSoftwaredehuellasdactilaresde
Lenovo.................. 16
Instalaciónsilenciosa.......... 16
Options................ 16
Servidordegestióndesistemas........ 18
Capítulo3.CómotrabajarconClient
SecuritySolution........... 19
UtilizacióndelMódulodeplataformasegura... 19
UtilizacióndelMódulodeplataformasegura
conWindowsVista........... 19
GestióndeClientSecuritySolutionconclavesde
cifrado.................. 20
Tomarpropiedad............ 20
Registrarusuario............ 21
Emulacióndesoftware.......... 22
Cambiodelaplacadelsistema...... 23
ProgramadeutilidaddeproteccióndeEFS. 25
UtilizacióndelesquemaXML......... 26
Ejemplos............... 26
UtilizacióndeseñalesRSASecurID...... 33
InstalacióndelaseñaldesoftwareRSA
SecurID ............... 33
Requisitos .............. 33
Establecimientodelasopcionesdeaccesode
laSmartCard............. 33
Instalaciónmanualdelaseñaldesoftware
RSASecurID ............. 34
SoportedeActiveDirectory........ 34
Valoresypolíticasparalaautenticaciónconel
lectordehuellasdactilares.......... 34
Opciónomisióndehuelladactilarobligada.. 34
Resultadodepasareldedoporeldispositivo
dehuelladactilar............ 35
Herramientasdelalíneademandatos..... 35
SecurityAdvisor............ 35
AsistentedeconguracióndeClientSecurity
Solution............... 36
Herramientadecifradoodescifradodel
archivodedespliegue.......... 37
Herramientadeprocesodelarchivode
despliegue.............. 38
TPMENABLE.EXE ........... 38
Herramientadetransferenciadecerticados. 38
HerramientadeactivacióndeTPM..... 39
SoportedeActiveDirectory......... 40
Archivosdeplantillaadministrativa(ADM).. 40
Valoresdelapolíticadegrupo....... 41
ActiveUpdate............. 45
Capítulo4.Cómotrabajarconel
Softwaredehuellasdactilaresde
ThinkVantage............. 47
HerramientaConsoladegestión........ 47
Mandatosespecícosdelusuario..... 47
Mandatosdevaloresglobales....... 48
Modalidadseguraymodalidadcómoda..... 49
Modalidadsegura-administrador..... 49
Modalidadsegura-usuarioconlimitaciones. 50
Modalidadcómoda-administrador .... 50
Modalidadcómoda-usuariocon
limitaciones.............. 51
Valorescongurables.......... 52
SoftwaredehuellasdactilaresyNovellNetware
Client.................. 53
Autenticando............. 53
©CopyrightLenovo2008,2012
i
ServiciodelSoftwaredehuellasdactilaresde
ThinkVantage............... 54
Capítulo5.Cómotrabajarconel
Softwaredehuellasdactilaresde
Lenovo ................ 55
HerramientaConsoladegestión........ 55
ServiciodelSoftwaredehuellasdactilaresde
Lenovo.................. 55
SoportedeActiveDirectoryparaelSoftwarede
huellasdactilaresdeLenovo......... 55
Capítulo6.Prácticas
recomendadas............ 57
EjemplosdedespliegueparainstalarClient
SecuritySolution.............. 57
Casodeejemplo1........... 57
Casodeejemplo2........... 59
ConmutacióndemodalidadesdeClientSecurity
Solution................. 61
ImplementacióndeunActiveDirectoryde
empresa................. 61
InstalaciónautónomaparaCDoarchivosscript. 62
SystemUpdate.............. 62
SystemMigrationAssistant.......... 62
Cómogeneraruncerticadoutilizandola
generacióndeclavesenTPM......... 62
Requisitos:.............. 62
Cómosolicitaruncerticadodesdeel
servidor ............... 62
Utilizacióndelostecladosdehuella
dactilarUSBconelequipoportátil
deThinkPadde2008,modelos
(R400/R500/T400/T500/W500/X200/X301).... 63
IniciodesesiónenWindowsVista..... 64
IniciodesesiónenWindowsXP...... 65
ClientSecuritySolutionyPassword
Manager............... 66
Autenticacióndeprearranqueutilizandola
huelladactilarenlugardelascontraseñasdel
BIOS................. 67
ApéndiceA.Consideracionesacerca
delautilizacióndeOmniPass.... 69
ApéndiceB.Consideraciones
especialesparautilizarelteclado
dehuellasdactilaresdeLenovo
conalgunosmodelosdeequipos
portátilesThinkPad.......... 71
Conguraciónydenición.......... 71
Autenticaciónpreviaalescritorio....... 71
IniciodesesióndeWindows......... 71
WindowsXP-Pantalladebienvenida ..... 72
WindowsXP-Solicituddeiniciodesesión
clásica.................. 72
WindowsVista............... 72
AutenticaciónconClientSecuritySolution.... 73
ApéndiceC.Sincronizacióndela
contraseñaenCSStrasrestablecer
lacontraseñadeWindows...... 75
ApéndiceD.Avisos.......... 77
Marcasregistradas............. 78
Glosario................ lxxix
iiClientSecuritySolution8.21Guíadedespliegue
Prefacio
EstaguíaestádestinadaalosadministradoresdeTIoaaquellosqueseanresponsablesdela
implementacióndelprogramaThinkVantage
Softwareenlossistemasdesusempresas.Estaguíaproporcionalainformaciónnecesariaparainstalar
ClientSecuritySolutionyelSoftwaredehuellasdactilaresenunoovariossistemas,siemprequeestén
disponibleslicenciasdelsoftwareparacadasistemadedestino.
ElobjetivodeClientSecuritySolutionydelSoftwaredehuellasdactilaresconsisteenprotegerlossistemas
garantizandolaseguridaddelosdatosdelosclientesyendesviarlosintentosdeviolacióndelaseguridad.
Pararealizarpreguntasyobtenerinformaciónacercadelautilizacióndelosdistintoscomponentesde
ClientSecuritySolutionydelSoftwaredehuellasdactilares,consulteelsistemadeayudaenlíneapara
loscomponentesubicadoenhttp://www.lenovo.com/thinkvantage.
Periódicamenteestasguíasseactualizan.Visiteelsiguientesitiowebparaverfuturaspublicaciones:
http://www.lenovo.com/thinkvantage
Sitienesugerenciasocomentarios,póngaseencontactoconelrepresentanteautorizadodeLenovo®.
®
ClientSecuritySolutionydeThinkVantageFingerprint
©CopyrightLenovo2008,2012
iii
ivClientSecuritySolution8.21Guíadedespliegue
Capítulo1. Visióngeneral
EstecapítuloproporcionaunavisióngeneraldeClientSecuritySolutionydelSoftwaredehuellasdactilares.
Lastecnologíaspresentadasenestaguíadedesplieguepuedenayudar,directaeindirectamente,
alosprofesionalesdeTIporquehacenquelautilizacióndelossistemaspersonalesseamásfácil
ymásautosuciente,yporqueproporcionanpotentesherramientasquefacilitanysimplicanlas
implementaciones.ConlaayudadelastecnologíasThinkVantage,losprofesionalesdeTIempleanmenos
tiemposolucionandoproblemasdesistemasindividualesymástiempodedicadosasustareasprincipales.
ClientSecuritySolution
ElpropósitoprincipaldelsoftwaredeClientSecuritySolutionconsisteenayudaralclienteaprotegerel
sistemacomounactivo,protegerlosdatoscondencialesenelsistemayprotegerlasconexionesde
redalasqueaccedeelsistema.(ParasistemasdeLenovoquecontienenunTrustedComputingGroup
(TCG)compatibleconTrustedPlatformModule(TPM),elsoftwareClientSecuritySolutionaprovecharáel
hardwarecomolabasedeconanzaparaelsistema.Sielsistemanocontieneunchipdeseguridad
incorporado,ClientSecuritySolutionaprovecharálasclavesdecifradobasadasensoftwarecomola
basedeconanzadelsistema).
LasfuncionesdeClientSecuritySolutionVersion8.2incluyenlassiguientes:
•AutenticacióndeusuarioseguraconlacontraseñadeWindows®olafrasedepasodeClient
SecuritySolution
ClientSecuritySolutionsepuedecongurarparaaceptarlacontraseñadeWindowsolafrasede
pasodeClientSecuritySolutiondeunusuarioparalaautenticación.LacontraseñadeWindows
proporcionacomodidadycapacidaddegestiónmedianteWindowsmientrasquelafrasedepasode
ClientSecuritySolutionproporcionaseguridadadicional.Eladministradorpuedeseleccionarquémétodo
deautenticacióndeseautilizaryestevalorsepuedecambiarinclusodespuésdequelosusuarios
sehayanregistradoconClientSecuritySolution.
•Autenticacióndeusuariomediantehuelladactilar
AprovechalatecnologíadehuellasdactilaresintegradayconectadamedianteUSBparaautenticar
usuariosenaplicacionesprotegidasmediantecontraseña.
•AutencacióndeusuariodevariosfactoresparainiciodesesióndeWindowsyvariasoperaciones
deClientSecuritySolution
Denevariosdispositivosdeautenticación(contraseñadeWindows,frasedepasodeClientSecurityy
huellasdactilares)paradiversasoperacionesrelacionadasconlaseguridad.
•Gestióndecontraseñas
Gestionayalmacenadeformasegurainformaciónimportantedeiniciodesesión,talcomolosIDde
usuarioycontraseñas.
•Recuperacióndecontraseñayfrasedepaso
LarecuperacióndecontraseñayfrasedepasopermitealosusuariosiniciarlasesiónenWindowsy
accederasuscredencialesdeClientSecuritySolutioninclusosiolvidansucontraseñadeWindowso
sufrasedepasodeClientSecuritySolutionrespondiendoapreguntasdeseguridadconguradas
previamente.
•Auditarvaloresdeseguridad
Permitealosusuariosverunalistadetalladadelosvaloresdeseguridaddelaestacióndetrabajoy
realizarcambiosparaquesatisfaganlosestándaresdenidos.
•Transferenciadecerticadosdigitales
ClientSecuritySolutionprotegelaclaveprivadadeloscerticadosdeusuarioydelamáquina.Utilice
ClientSecuritySolutionparaprotegerlaclaveprivadadeloscerticadosexistentes.
©CopyrightLenovo2008,2012
1
•Gestióndepolíticasparalaautenticación
Unadministradorpuedeseleccionarquédispositivos(contraseñadeWindows,frasedepasodeClient
SecuritySolutionohuellasdactilares)sonnecesariosparaautenticarsepararealizarlasacciones
siguientes:iniciodesesióndeWindows,PasswordManageryoperacionesdecerticados.
FrasedepasodeClientSecuritySolution
LafrasedepasodeClientSecuritySolutionesunacaracterísticaopcionaldelaautenticacióndeusuario
queproporcionaráseguridadmejoradaalasaplicacionesdeClientSecuritySolution.Lafrasedepasode
ClientSecuritySolutiontienelosrequisitossiguientes:
•Debetenercomomínimounalongituddeochocaracteres
•Debecontenercomomínimoundígito
•Debeserdiferentedelastresúltimasfrasesdepaso
•Nodebecontenermásdedoscaracteresrepetitivos
•Nodebeempezarconundígito
•Nodebenalizarconundígito
•NodebecontenerelIDdeusuario
•Nosedebecambiarsilafrasedepasoactualtienemenosdetresdíasdeantigüedad
•Nodebecontenertresomáscaracteresidénticosconsecutivosalafrasedepasoactualencualquier
posición
•NodebeserlamismaquelacontraseñadeWindows
LafrasedepasodeClientSecuritySolutionsóloesconocidaporelusuarioindividual.Laúnicaformade
recuperarunafrasedepasoolvidadadeClientSecuritySolutionesejecutarlafunciónderecuperación
decontraseñadeClientSecuritySolution.Sielusuariohaolvidadolasrespuestasasuspreguntasde
recuperación,nohayningunaformaderecuperarlosdatosprotegidosporlafrasedepasodeClient
SecuritySolution.
RecuperacióndecontraseñadeClientSecurity
EstacaracterísticaopcionalpermitealosusuariosregistradosdeClientSecurityrecuperarunacontraseña
deWindowsounafrasedepasodeClientSecurityolvidadasrespondiendocorrectamenteatrespreguntas.
Siestacaracterísticaestáhabilitada,seleccionarátresrespuestasadiezpreguntasseleccionadas
previamente.SielusuarioolvidasucontraseñadeWindowsofrasedepasodeClientSecurity,tendrála
opciónderesponderaestastrespreguntaspararestablecersucontraseñaofrasedepaso.
Notas:
1.CuandoseutilizalafrasedepasodeClientSecurity,larecuperacióndecontraseñadeClientSecurity
eslaúnicaopciónderecuperacióndeunafrasedepasoolvidada.Sielusuarioolvidalarespuestaa
sustrespreguntas,estaráobligadoavolveraejecutarelasistentederegistroyperderátodoslosdatos
anterioresprotegidosmedianteClientSecurity.
2.CuandoseutilizaClientSecurityparaprotegerelÁreapreviaalescritoriodeRescueandRecovery®,la
opcióndeRecuperacióndecontraseñamostrarálafrasedepasodeClientSecurityy/olacontraseña
deWindows.LafrasedepasoolacontraseñasevisualizaporqueelÁreapreviaalescritorionotienela
capacidadderealizarautomáticamenteuncambiodecontraseñadeWindows.Lafrasedepasoo
contraseñasevisualizacuandounusuarioderedinalámbrica(dedominioqueestáalmacenadoen
memoriacachédeformalocalynoestáconectadoalared)realizaestafuncióneneliniciodesesiónde
Windows.
2ClientSecuritySolution8.21Guíadedespliegue
ClientSecurityPasswordManager
ClientSecurityPasswordManagerlepermitegestionarinformaciónfácildeolvidardelossitioswebyde
lasaplicaciones,comoporejemplolosIDdeusuario,lascontraseñasyotrainformaciónpersonal.Client
SecurityPasswordManagerprotegelainformaciónpersonalmedianteClientSecuritySolution,deforma
queelaccesoalasaplicacionesyalossitioswebcontinúasiendototalmenteseguro.ElprogramaClient
SecurityPasswordManagertambiénahorratiempoyesfuerzo,porqueelusuariosólotienequerecordar
unacontraseñaofrasedepaso,obienproporcionarlahuelladactilar.
ClientSecurityPasswordManagerlepermiterealizarlasfuncionessiguientes:
•CifrartodalainformaciónalmacenadamedianteelsoftwaredeClientSecuritySolution:
CifraautomáticamentetodalainformaciónmedianteClientSecuritySolution.Estogarantizaquetoda
lainformaciónimportantedecontraseñasestéprotegidamediantelasclavesdecifradodeClient
SecuritySolution.
•CompletardeformaautomáticalosIDdeusuarioycontraseñas:
Automatizaelprocesodeiniciodesesiónalaccederaunaaplicaciónositioweb.Silainformaciónde
iniciodesesiónsehaespecicadoenClientSecurityPasswordManager,ClientSecurityPassword
Managerpuederellenarautomáticamenteloscamposnecesariosysometerelsitioweboaplicación.
•EditarentradasutilizandolainterfazdeClientSecurityPasswordManager:
Lepermiteeditarlasentradasdelacuentaycongurartodaslasfuncionesopcionalesenunaúnica
interfazfácildeutilizar.Estainterfazhacemásfácilyrápidalagestióndelascontraseñasydela
informaciónpersonal.Sinembargo,lamayoríadeloscambiosrelacionadosconentradaspuedenser
detectadosautomáticamenteporClientSecurityPasswordManagerypermitealusuarioactualizarsus
entradasconinclusomenostrabajo.
•Guardarlainformaciónsinpasosadicionales:
ClientSecurityPasswordManagerpuededetectarautomáticamentesiseestáenviandoinformación
importanteaunaaplicaciónositiowebdeterminados.Cuandoseproduceunadeteccióndeestetipo,
ClientSecurityPasswordManagersolicitaalusuarioqueguardelainformación,simplicandoporlotanto
elprocesodealmacenarlainformaciónimportante.
•GuardarlainformaciónenunÁreadeanotacionessegura:
ConClientSecurityPasswordManager,elusuariopuedeguardardatosdetextoenáreasdeanotaciones
seguras.Estasáreassepuedenprotegerconelmismoniveldeseguridadquesusentradasdesitio
weboaplicación.
•Exportareimportarinformacióndeiniciodesesión:
Lepermiteexportarinformaciónpersonalimportantedeformaquepuedallevarladeformasegurade
unsistemaaotro.CuandoexportalainformacióndeiniciodesesióndesdeClientSecurityPassword
Manager,secreaunarchivodeexportaciónprotegidomediantecontraseñaquesepuedealmacenaren
unsoporteextraíble.Utiliceestearchivoparaaccederasuinformaciónpersonaldondequieraquevaya,o
paraimportarlasentradasenotrosistemaconClientSecurityPasswordManager.
Nota: HaysoportecompletoparalaimportacióndelosarchivosdeexportacióndeClientSecurity
Solutiondelasversiones7.0y8.x .HaysoportelimitadoparalaimportacióndisponibleparaClient
SecuritySolutionVersión6.0(lasentradasdeaplicaciónnoseimportan).Laversión5.4xylasanteriores
deClientSecuritySoftwareSolutionnoseimportaránenClientSecuritySolution,versión8.xPassword
Manager.
SecurityAdvisor
LaherramientaSecurityAdvisorlepermitevisualizaunresumendelosvaloresdeseguridadactualmente
establecidosenelsistema.Puedeutilizarestosvaloresparavisualizarelestadoactualdelaseguridado
paramejorarlaseguridaddelsistema.Losvalorespredeterminadosdelascategoríasvisualizadasse
puedencambiarmedianteelregistrodeWindows.Algunasdelascategoríasdeseguridadincluidassonlas
siguientes:
Capítulo1.Visióngeneral3
•Contraseñasdehardware
•ContraseñasdeusuariosdeWindows
•PolíticadecontraseñadeWindows
•Protectordepantallaprotegido
•Compartimientodearchivos
Asistentedetransferenciadecerticados
ElAsistentedetransferenciadecerticadosdeClientSecurityleguíaporelprocesodetransferirlas
clavesprivadasasociadasconloscerticadosdesdeunproveedordeserviciodecifrado(CSP)de
Microsoft
transferencia,lasoperacionesqueutilizanloscerticadosseránmássegurasporquelasclavesprivadas
estaránprotegidasporClientSecuritySolution.
®
basadoensoftwareaunCSPdeClientSecuritySolutionbasadoenhardware.Despuésdela
Restablecimientodelacontraseñadehardware
EstaherramientacreaunentornoseguroqueseejecutaindependientementedeWindowsyleayudaa
restablecercontraseñasdelaunidaddediscoduroydeencendidoolvidadas.Laidentidadseestablece
respondiendoaunaseriedepreguntasqueelusuariocrea.Creeesteentornoseguroloantesposible,
antesdequeseolvidelacontraseña.Nopodrárestablecerunacontraseñadehardwareolvidadahasta
quesehayacreadoesteentornoseguroeneldiscoduroyhastadespuésdequesehayaregistrado.Esta
herramientaestádisponiblesóloensistemasseleccionados.
SoportedesistemassinelMódulodeplataformasegura
ClientSecuritySolutionVersión8.2escompatibleconsistemasdeLenovoquenotienenunchipde
seguridadincorporadoquecumplalascondiciones.Estesoportepermiteunainstalaciónestándarentoda
laempresaandecrearunentornodeseguridadhomogéneo.Lossistemasquetienenelhardwaredelchip
deseguridadincorporadoseránresistentescontraataques;sinembargo,lasmáquinasquesólotengan
softwaretambiénsebeneciarándelaseguridadyfuncionalidadadicional.
FingerprintSoftware
ElobjetivodelastecnologíasdehuellasdactilaresbiométricasdeLenovoesayudaralosclientesareducir
loscostesasociadosconlagestióndecontraseñas,mejorarlaseguridaddesussistemasyayudarconel
tratamientodelcumplimientodelasnormas.ConloslectoresdehuellasdactilaresdeLenovo,elSoftware
dehuellasdactilareslepermitelaautenticacióndehuellasdactilaresensistemasindividualesyenredes.
ElSoftwaredehuellasdactilarescombinadoconClientSecuritySolutionVersión8.2proporcionauna
funcionalidadampliada.ParaClientSecuritySolution8.21,sedasoportetantoalSoftwaredehuellas
dactilaresdeThinkVantage5.8.2comoalSoftwaredehuellasdactilaresdeLenovo2.0paradistintostipos
demáquinas.PuedesabermássobrelastecnologíasdehuellasdactilaresdeLenovoydescargarel
softwareen:http://www.lenovo.com/support/site.wss/MIGR-59650.html.
ElSoftwaredehuellasdactilaresproporcionaestasfunciones:
•Capacidadesdelsoftwaredecliente
–SustitucióndelacontraseñadeMicrosoftWindows:
Sustituyalacontraseñaporsuhuelladactilarparaqueelaccesoalsistemaseamásfácil,rápido
yseguro.
–SustitucióndelacontraseñadelBIOS(tambiéndenominadacontraseñadeencendido)ydela
contraseñadediscoduro:
Sustituyalascontraseñasconsuhuelladactilarparamejorarlacomodidadylaseguridaddelinicio
desesión.
4ClientSecuritySolution8.21Guíadedespliegue
–Autenticacióndehuellasdactilarespreviaalarranqueparaelcifradodetodalaunidadde
SafeGuardEasy:
UtilicelaautenticacióndehuellasdactilaresparadescifrareldiscoduroantesdeiniciarWindows.
–AccesoalBIOSyaWindowspasandoeldedounavez:
AhorretiempopasandoeldedoduranteelarranqueparaaccederalBIOSyaWindows.
–IntegraciónconClientSecuritySolution:
UtiliceconClientSecuritySolutionPasswordManageryaprovecheelMódulodeplataformasegura.
Losusuariospuedenpasareldedoparaaccederasitioswebyseleccionaraplicaciones.
•Funcionesdeadministración
–Conmutarmodalidaddeseguridad:
Permiteaunadministradorconmutarentrelamodalidadseguraylamodalidadcómodaparamodicar
losderechosdeaccesoalosusuariosconlimitaciones.
•Capacidadesdeseguridad
–Seguridaddelsoftware:
Protegelasplantillasdeusuariomedianteunfuertecifradocuandoestánalmacenadasenunsistemay
cuandosetranserendesdeellectoralsoftware.
–Seguridaddelhardware:
Proporcionaunlectordeseguridadconuncoprocesadorquealmacenayprotegeplantillasdehuellas
dactilares,contraseñasdelBIOSyclavesdecifrado.
Capítulo1.Visióngeneral5
6ClientSecuritySolution8.21Guíadedespliegue
Capítulo2. Instalación
EstecapítulocontieneinstruccionesparainstalarClientSecuritySolutionyelSoftwaredehuellas
dactilares.AntesdeinstalarClientSecuritySolutionoelSoftwaredehuellasdactilares,debecomprender
laarquitecturadelaaplicaciónqueestáinstalando.Estecapítuloproporcionalaarquitecturadecada
aplicación,asícomoinformaciónadicionalquenecesitaantesdeinstalarcadaunodeestosprogramas.
ClientSecuritySolution
ElpaquetedeinstalacióndeClientSecuritySolutionsehadesarrolladoconInstallShield10.5Premiercomo
unproyectoMSIbásico.InstallShieldutilizaWindowsInstallerparainstalaraplicaciones,loqueproporciona
alosadministradoresmuchascapacidadesparapersonalizarinstalaciones,comoporejemploestablecer
valoresdepropiedaddesdelalíneademandatos.Enestecapítulosedescribecómoutilizaryejecutar
elpaquetedeinstalacióndeClientSecuritySolution.Paraunamejorcomprensión,leaprimerotodoel
capítuloantesdeempezarainstalarestospaquetes.
Nota: Alinstalarestospaquetes,consulteelarchivoléamedeClientSecuritySolution.Consulteelsiguiente
sitiowebdeLenovo:
http://www.lenovo.com/support/site.wss/document.do?sitestyle=lenovo&lndocid=HOME-LENOVO
.ElarchivoReadmecontieneinformaciónactualizadaacercadelasversionesdesoftware,lossistemas
admitidos,losrequisitosdelsistemayotrasconsideracionesparaayudarleenelprocesodeinstalación.
Requisitosdeinstalación
LainformaciónenestasecciónproporcionalosrequisitosdelsistemaparainstalarelpaquetedeClient
SecuritySolution.Paraobtenermejoresresultados,vayaalsiguientesitiowebparaasegurarsedequetiene
laversiónmásrecientedelsoftware:
http://support.lenovo.com/en_US/downloads/detail.page?LegacyDocID=MIGR-61432.
UnaseriedesistemasantiguospuedendarsoporteaClientSecuritySolution,
siemprequecumplanlosrequisitosespecicados.ConsulteelsitioWeben
http://support.lenovo.com/en_US/downloads/detail.page?LegacyDocID=MIGR-61432para
obtenerinformaciónsobrelossistemasdeversionesanterioresqueutilizanClientSecuritySolution.
RequisitosparasistemasLenovo
LossistemasLenovodebensatisfacercomomínimolossiguientesrequisitosparapoderinstalarClient
SecuritySolution:
• Sistemaoperativo:WindowsVista
Pack3.
• Memoria:256MB
–Enconguracionesdememoriacompartida,elvalordelBIOSparaelmáximodememoriacompartida
sedebeestablecerenunvalorquenoseainferiora8MB.
–Enconguracionesdememorianocompartida,120MBdememorianocompartida.
•InternetExplorer5.5osuperiordebeestarinstalado.
•300MBdeespaciolibreeneldiscoduro.
•VídeocompatibleconVGAquedésoporteaunaresoluciónde800x600ydecolorde24bits.
•ElusuariodebetenerprivilegiosdeadministraciónparainstalarClientSecuritySolution.
•RequisitosadicionalesparaelRestablecimientodecontraseñadehardware:NTFSyWindowsXP.
®
,WindowsVistaconServicePack1oWindowsXPconService
Nota: NosedasoportealdesplieguedelpaquetedeinstalacióndeClientSecuritySolutionenWindows
Server2003.
©CopyrightLenovo2008,2012
7
Propiedadespúblicasdepersonalización
ElpaquetedeinstalacióndelprogramaClientSecuritySoftwarecontieneunconjuntodepropiedades
públicasdepersonalizaciónquesepuedenestablecerenlalíneademandatosalejecutarlainstalación.La
tablasiguienteproporcionalaspropiedadespúblicasdepersonalizaciónparaWindowsXPandWindows
2000:
Tabla1.Propiedadespúblicas
Propiedad Descripción
EMULATIONMODE Especicaquesefuercelainstalaciónenmodalidad
deemulacióninclusosiexisteunTPM.Especique
EMULATIONMODE=1enlalíneademandatospara
instalarenmodalidaddeemulación.
HALTIFTPMDISABLED SiTPMestáenunestadoinhabilitadoylainstalación
seestáejecutandoenmodalidadsilenciosa,el
valorpredeterminadoesquelainstalacióncontinúe
enmodalidaddeemulación.Utilicelapropiedad
HALTIFTPMDISABLED=1alejecutarlainstalaciónen
modalidadsilenciosaparadetenerlainstalaciónsiTPM
estáinhabilitado.
NOCSSWIZARD EstablezcaNOCSSWIZARD=1enlalíneademandatos
paraimpedirqueeldiálogoderegistrodeClientSecurity
Solutionsevisualiceautomáticamentedespuésde
instalarClientSecuritySolution.Estapropiedadse
conguraparaunadministradorquedeseeinstalarClient
SecuritySolution,peroutilizarscriptsposteriormenteal
congurarelsistema.
CSS_CONFIG_SCRIPT EstablezcaCSS_CONFIG_SCRIPT=“nombredearchivo”
o“contraseñadenombredearchivo”paraqueseejecute
unarchivodeconguracióndespuésdequeelusuario
hayacompletadolainstalaciónyrearranque.
SUPERVISORPW EstablezcaSUPERVISORPW=“contraseña”enlalíneade
mandatosparaproporcionarlacontraseñadesupervisor
parahabilitarelchipenmodalidaddeinstalación
silenciosaonosilenciosa.Sielchipestáinhabilitadoyla
instalaciónseestáejecutandoenmodalidadsilenciosa,
sedebeproporcionarlacontraseñadesupervisor
correctaparahabilitarelchip;delocontrario,elchipno
sehabilitará.
PWMGRMODE EspeciquePWMGRMODE=1enlalíneademandatos
parainstalarsolamentePasswordManager.
NOSTARTMENU EspeciqueNOSTARTMENU=1enlalíneademandatos
paraimpedirquesegenereunatajoenelmenúdeinicio.
SoportedeMódulodeplataformasegura
ClientSecuritySolutionVersión8.2incluyesoporteparaelhardwaredeseguridadincorporadodelsistema:
elMódulodeplataformasegura(TPM).ParaWindows2000yXP,esposiblequenecesitedescargar
controladoresparaelTPMdelsistema.SiejecutaWindowsVistayelsistemaincluyeunTPMsoportado
porelsistemaoperativo,ClientSecuritySolutionutilizaráloscontroladoresproporcionadosporelsistema
operativo.
EsposiblequelahabilitacióndelTPMrequieraunrearranque,yaqueelTPMeshabilitadoporelBIOSdel
sistema.SiejecutaWindowsVista,esposiblequeselesolicitequeconrmelahabilitacióndelTPM
duranteeliniciodelsistema.
8ClientSecuritySolution8.21Guíadedespliegue
AntesdequeelMódulodeplataformasegurapuedarealizarcualquierfunción,debeinicializarprimero
lapropiedad.CadasistematendrásólounadministradordeClientSecuritySolutionquecontrolarálas
opcionesdeClientSecuritySolution.Esteadministradordebetenerprivilegiosdeadministradorde
Windows.EladministradorsepuedeinicializarutilizandolosscriptsdedespliegueXML.
Despuésdecongurarlapropiedaddelsistema,acadausuarioadicionaldeWindowsqueiniciesesiónen
elsistema,elAsistentedeconguracióndeClientSecuritylesolicitaráautomáticamentequeseregistree
inicialicelascredencialesylasclavesdeseguridaddeusuario.
EmulacióndesoftwaredelMódulodeplataformasegura
ClientSecuritySolutiontienelaopcióndeejecutarsesinunMódulodeplataformaseguraensistemas
cualicados.Lafuncionalidadseráexactamentelamismaexceptuandoelhechodequeutilizaráclaves
basadasensoftwareenlugardeutilizarclavesprotegidasmediantehardware.Elsoftwaretambiénse
puedeinstalarconunconmutadorparaforzarloautilizarsiempreclavesbasadasensoftwareenlugarde
aprovecharelMódulodeplataformasegura.Elusodeesteconmutadoresunadecisiónqueserealiza
durantelainstalaciónynosepuedeinvertirsindesinstalaryvolverainstalarelsoftware.
LasintaxisparaforzarunaemulacióndesoftwaredelMódulodeplataformaseguraes:
InstallFile.exe“/vEMULATIONMODE=1”
Procedimientosdeinstalaciónyparámetrosdelalíneademandatos
MicrosoftWindowsInstallerproporcionavariasfuncionesdeadministradormediantelosparámetrosdela
líneademandatos.WindowsInstallerpuederealizarunainstalaciónadministrativadeunaaplicaciónode
unproductoenunaredparaqueésteseautilizadoporungrupodetrabajooparalapersonalizacióndel
mismo.Lasopcionesdelalíneademandatosquerequierenunparámetrosedebenespecicarsinningún
espacioentrelaopciónysuparámetro.Porejemplo:
setup.exe/s/v"/qnREBOOT=”R”"
esválido,mientrasque
setup.exe/s/v"/qnREBOOT=”R”"
noloes.
Nota: Elcomportamientopredeterminadodelainstalacióncuandoseejecutasola(ejecutandosetup.exe
sinningúnparámetro)solicitaalusuarioquerearranquealnaldelainstalación.Esnecesariorearrancar
paraqueelprogramafuncionecorrectamente.Sepuedeaplazarelrearranquemedianteunparámetro
delalíneademandatosparaunainstalaciónsilenciosa,talcomosehaexplicadoanteriormenteyen
laseccióndeejemplo.
ParaelpaquetedeinstalacióndeClientSecuritySolution,unainstalaciónadministrativadesempaqueta
losarchivosfuentedelainstalaciónenunaubicaciónespecicada.
Paraejecutarunainstalaciónadministrativa,ejecuteelpaquetedeinstalacióndesdelalíneademandatos
utilizandoelparámetro/a:
setup.exe/a
Unainstalaciónadministrativapresentaunasistentequesolicitaalusuarioadministrativoqueespeciquelas
ubicacionesdondedesempaquetarlosarchivosdeinstalación.Laubicacióndeextracciónpredeterminada
esC:\.PuedeescogerunanuevaubicaciónquepuedeincluirunidadesademásdeC:\.Porejemplo,otras
unidadeslocalesounidadesderedcorrelacionadas.Tambiénpuedecrearnuevosdirectoriosdurante
estepaso.
Paraejecutarunainstalaciónadministrativadeformasilenciosa,puedeestablecerlapropiedadpública
TARGETDIRenlalíneademandatosparaespecicarlaubicacióndeextracción:
setup.exe/s/v"/qnTARGETDIR=F:\TVTRR"
obien
Capítulo2.Instalación9
msiexec.exe/i"ClientSecurity-PasswordManager.msi"/qnTARGERDIR=F:\TVTRR
Nota: SilaversióndeWindowsInstallernoesactual,setup.exeestáconguradoparaactualizarelmotor
deWindowsInstalleralaVersión3.0.Estaactualizaciónharáquelaaccióndeinstalaciónsolicitequese
rearranqueinclusoconunainstalacióndeextracciónadministrativa.Utiliceelrearranqueadecuadamente
paraevitarunrearranqueenestasituación.SiWindowsInstallerescomomínimolaversión3.0,setup.exe
nointentaráinstalarelmotordeWindowsInstaller.
Unavezquesehayacompletadounainstalaciónadministrativa,elusuarioadministrativopuederealizar
personalizacionesenlosarchivosfuente,porejemplo,añadirvaloresalregistro.Parainstalarapartirde
lasfuentesdesempaquetadasdespuésdequesehayanrealizadopersonalizaciones,elusuariollamaa
msiexec.exedesdelalíneademandatos,pasandoelnombredelarchivoMSIdesempaquetado.
Losparámetrosydescripcionessiguientesestándocumentadosenladocumentacióndeayudadel
desarrolladordeInstallShield.Sehaneliminadolosparámetrosquenosonaplicablesaproyectosde
MSIbásico.
Tabla2.Parámetros
Parámetro Descripción
/a:Instalaciónadministrativa Elconmutador/ahacequesetup.exerealiceuna
instalaciónadministrativa.Unainstalaciónadministrativa
copia(ydescomprime)losarchivosdedatosenun
directorioespecicadoporelusuario,peronocrea
atajos,registraservidoresCOMnicreaunregistrode
desinstalación.
/x:Modalidaddedesinstalación Elconmutador/xhacequesetup.exedesinstaleun
productoinstaladoanteriormente.
/s:Modalidadsilenciosa Elmandatosetup.exe/ssuprimelaventanadeinstalación
desetup.exeparaunprogramadeinstalaciónMSIbásico,
peronoleeunarchivoderespuestas.LosproyectosMSI
básiconocreanniutilizanunarchivoderespuestaspara
lasinstalacionessilenciosas.Paraejecutarunproducto
deMSIbásico,ejecutelalíneademandatossetup.exe/s
/v/qn.(Paraespecicarlosvaloresdelaspropiedades
públicasparaunainstalaciónsilenciosadeMSIbásico,
puedeutilizarunmandatocomoporejemplosetup.exe
/s/v“/qnINSTALLDIR=D:\Destino”).
/v:pasaargumentosaMsiexec Elargumento/vseutilizaparapasarconmutadoresdela
líneademandatosyvaloresdepropiedadespúblicasa
msiexe.exe.
/L:conguraelidioma Losusuariospuedenutilizarelconmutador/LconelID
decimaldeidiomaparaespecicarelidiomautilizado
porelprogramadeinstalaciónenvariosidiomas.Por
ejemplo,elmandatoparaespecicaralemánessetup.exe
/L1031.
/w:Espera ParaunproyectoMSIbásico,elargumento/wobligaa
setup.exeaesperarhastaquesecompletelainstalación
antesdesalir.Siestáutilizandolaopción/wenun
archivodeprocesoporlotes,esposiblequedeba
anteponerstart/WAITatodoelargumentodelalínea
delmandatosetup.exe.Acontinuaciónsemuestraun
ejemplocorrectamenteformadodeesteuso:
start/WAITsetup.exe/w
10ClientSecuritySolution8.21Guíadedespliegue
Utilizacióndemsiexec.exe
Parainstalarapartirdelasfuentesdesempaquetadasdespuésderealizarlaspersonalizaciones,elusuario
llamaamsiexec.exedesdelalíneademandatos,pasandoelnombredelarchivo*.MSIdesempaquetado.
msiexec.exeeselprogramaejecutabledeInstallerutilizadoparainterpretarpaquetesdeinstalacióne
instalarproductosensistemasdedestino.
msiexec/i"C:\WindowsFolder\Proles\UserName\
Personal\MySetups\projectname\productconguration\releasename\
DiskImages\Disk1\productname.msi"
Nota: Entreelmandatoanteriorenunaúnicalíneasinespaciosacontinuacióndelasbarrasinclinadas.
Enlatablasiguientesedescribenlosparámetrosdelalíneademandatosquesepuedenutilizarcon
msiexec.exeasícomoejemplosdecómoutilizarlos.
Tabla3.Parámetrosdelalíneademandatos
Parámetro Descripción
/Ipaqueteocódigodelproducto
/apaquete Laopción/apermitealosusuariosconprivilegiosdeadministradorinstalar
/xpaqueteocódigodelproducto Laopción/xdesinstalaunproducto.
/L[i|w|e|a|r|u|c|m|p|v|+]archivode
anotaciones
/q[n|b|r|f]
Utiliceesteformatoparainstalarelproducto:
Othello:msiexec/i"C:\WindowsF older\Proles\
UserName\Personal\MySetups
\Othello\TrialVersion\
Release\DiskImages\Disk1\
OthelloBeta.msi"
ElcódigodelproductosereerealGUID(GloballyUniqueIdentier)quese
generaautomáticamenteenlapropiedaddelcódigodelproductodelavista
deproyectosdelproducto.
unproductoenlared.
Lacreaciónconlaopción/Lespecicalavíadeaccesoalarchivode
anotaciones;estosdistintivosindicanquéinformaciónsedeberegistrarenel
archivodeanotaciones:
•iregistramensajesdeestado
•wregistramensajesdeavisonocríticos
•eregistracualquiermensajedeerror
•aregistraeliniciodelassecuenciasdeacción
•rregistraregistrosespecícosdelasacciones
•uregistrasolicitudesdeusuario
•cregistraparámetrosinicialesdelainterfazdeusuario
•mregistramensajesdefaltadememoria
•pregistravaloresdeterminal
•vregistraelvalordesalidadetallada
•+seañadeaunarchivoexistente
•*esuncaráctercomodínquelepermiteregistrartodalainformación
(excluidoelvalordesalidadetallada)
Laopción/qseutilizaparaestablecerelniveldeinterfazdeusuario
conjuntamenteconlosdistintivossiguientes:
•qoqnnocreaningunainterfazdeusuario
•qbcreaunainterfazdeusuariobásica
Lossiguientesvaloresdelainterfazdeusuariovisualizanunrecuadrode
diálogomodalalnaldelainstalación:
•qrvisualizaunainterfazdeusuarioreducida
•qfvisualizaunainterfazdeusuariocompleta
•qn+novisualizaningunainterfazdeusuario
•qb+visualizaunainterfazdeusuariobásica
Capítulo2.Instalación11
Tabla3.Parámetrosdelalíneademandatos(continuación)
Parámetro Descripción
/?o/h AmbosmandatosvisualizanlainformacióndecopyrightdeWindowsInstaller
TRANSFORMS ElparámetrodelalíneademandatosTRANSFORMSespecicacualquier
transformaciónquedeseeaplicaralpaquetebase.
msiexec/i"C:\WindowsF older\
Proles\UserName\Personal
\MySetups\
YourProjectName\TrialVersion\
MyRelease-1
\DiskImages\Disk1\
ProductName.msi"TRANSFORMS="NewTransform1.mst"
Puedesepararvariastransformacionesmedianteunsignodepuntoycoma.
Noutilicepuntoycomaenelnombredelatransformaciónyaqueelservicio
deWindowsInstallerlointerpretaráincorrectamente.
Propiedades
Todaslaspropiedadespúblicassepuedenestableceromodicardesde
lalíneademandatos.Laspropiedadespúblicassedistinguendelas
propiedadesprivadasporelhechodequetodasestánenmayúsculas.Por
ejemplo,COMPANYNAMEesunapropiedadpública.
Paraestablecerunapropiedadenlalíneademandatos,utilicelasintaxis
siguiente:
PROPERTY=VALUE
SidesearacambiarelvalordeCOMPANYNAME,especicaríalosiguiente:
msiexec/i"C:\WindowsF older\
Proles\UserName\Personal\
MySetups\YourProjectName\
TrialVersion\MyRelease-1\
DiskImages\Disk1\ProductName.msi"
COMPANYNAME="InstallShield"
PropiedadespúblicasestándardeWindowsInstaller
WindowsInstallertieneunconjuntodepropiedadespúblicasestándarincorporadasquesepueden
establecerenlalíneademandatosparaespecicaruncomportamientodeterminadodurantelainstalación.
Latablasiguienteproporcionalaspropiedadespúblicasmáscomunesutilizadasenlalíneademandatos.
Paraobtenerinformaciónadicional,consulteelsitiowebdeMicrosoften:
http://msdn2.microsoft.com/en-us/library/aa367437.aspx.
LatablasiguientemuestralaspropiedadesmáshabitualmenteutilizadasdeWindowsInstaller:
Tabla4.PropiedadesdeWindowsInstaller
Propiedad Descripción
TARGETDIR Especicaeldirectoriodedestinoraízparalainstalación.
Duranteunainstalaciónadministrativa,estapropiedad
eslaubicacióndondesedebecopiarelpaquetede
instalación.
ARPAUTHORIZEDCDFPREFIX URLdelcanaldeactualizaciónparalaaplicación.
ARPCOMMENTS ProporcionaComentariosparaAgregaroquitar
programasdelPaneldecontrol.
12ClientSecuritySolution8.21Guíadedespliegue
Tabla4.PropiedadesdeWindowsInstaller(continuación)
Propiedad Descripción
ARPCONTACT ProporcionaelContactoparaAgregaroquitarprogramas
enelPaneldecontrol.
ARPINSTALLLOCA TION Víadeaccesocalicadatotalmentedelacarpetaprincipal
delaaplicación.
ARPNOMODIFY Inhabilitalafuncionalidadquemodicaríaelproducto.
ARPNOREMOVE Inhabilitalafuncionalidadqueeliminaríaelproducto.
ARPNOREPAIR InhabilitaelbotónReparardelasistentedeProgramas.
ARPPRODUCTICON
ARPREADME
ARPSIZE Tamañoaproximadodelaaplicaciónenkilobytes.
ARPSYSTEMCOMPONENT EvitaquesevisualicelaaplicaciónenlalistadeAgregar
ARPURLINFOABOUT URLdelapáginainicialdeunaaplicación.
ARPURLUPDATEINFO URLdelainformacióndeactualizacióndelaaplicación.
REBOOT LapropiedadREBOOTsuprimealgunosindicadores
Especicaeliconoprincipalparaelpaquetede
instalación.
ProporcionaunarchivoléameparaAgregaroquitar
programasenelPaneldecontrol.
oquitarprogramas.
desolicitudparaunrearranquedelsistema.Un
administradorutilizanormalmenteestapropiedadconuna
seriedeinstalacionesparainstalarvariosproductosal
mismotiempoconsólounrearranquealnal.Establezca
REBOOT=“R”parainhabilitarelrearranquealnalde
unainstalación.
Archivodeanotacionesdeinstalación
ElarchivodeanotacionesdeinstalacióndeClientSecuritySolutionsedenominacssinstall82x32.log(para
WindowsXPyWindowsVista32)ocss64install82V.log(paraWindowsVista64),ysecreaeneldirectorio
%temp%silainstalaciónseiniciamediantesetup.exe(efectúeunadoblepulsaciónenelarchivoinstall.exe
principal,ejecuteelarchivoejecutableprincipalsinparámetrosiextraigamsiyejecutesetup.exe).Este
archivocontienemensajesdeanotacionesquesepuedenutilizarparadepurarproblemasdeinstalación.
EstearchivodeanotacionesnosecreaalejecutarlainstalacióndirectamentedesdeelpaqueteMSI;esto
incluyeaccionesrealizadasdesdeAgregaroquitarprogramas.Paracrearunarchivodeanotacionespara
todaslasaccionesMSI,puedehabilitarlapolíticadeanotacionesenelregistro.Parahaceresto,creeelvalor:
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]
"Logging"="voicewarmup"
Ejemplosdeinstalación
Latablasiguienteproporcionaejemplosdeinstalaciónutilizandosetup.exe:
Tabla5.Ejemplosdeinstalaciónqueutilizansetup.exe
Descripción Ejemplo
Instalaciónsilenciosasinrearranque.
Instalaciónadministrativa.
Instalaciónadministrativasilenciosaespecicandola
ubicacióndeextracciónparaClientSecuritySoftware.
setup.exe/s/v”/qnREBOOT=”R””
setup.exe/a
setup.exe/a/s/v”/qnTARGETDIR=”F:
\CSS82””
Capítulo2.Instalación13
Tabla5.Ejemplosdeinstalaciónqueutilizansetup.exe(continuación)
Descripción Ejemplo
Desinstalaciónsilenciosasetup.exe/s/x/v/qn.
Instalaciónsinrearranque.Creeunarchivode
anotacionesdeinstalacióneneldirectoriotemporalpara
ClientSecuritySoftware.
InstalaciónsininstalarelÁreapreviaalescritorio
setup.exe/vPDA=0.
setup.exe/s/x/v/qn
setup.exe/v”REBOOT=”R”/L*v%temp%
\cssinstall80.log”
setup.exe/vPDA=0
LatablasiguienteproporcionaejemplosdeinstalaciónqueutilizanClientSecurity-PasswordManager.msi:
Tabla6.EjemplosdeinstalaciónqueutilizanClientSecurity-PasswordManager.msi
Descripción Ejemplo
Instalación
Instalaciónsilenciosasin
rearranque
Desinstalaciónsilenciosa
msiexec/i“C:\CSS82\ClientSecurity
Solution-PasswordManager.msi”
msiexec/i“C:\CSS82\ClientSecurity
Solution-PasswordManager.msi”/qnREBOOT=”R”
msiexec/x“C:\CSS82\ClientSecurity
Solution-PasswordManager.msi”/qn
InstalacióndeClientSecuritySolution8.21conversionesexistentes
ClientSecuritySolutionsepuedeactualizarapartirdeClientSecuritySolution8.0utilizandoSystemUpdate.
ParainstalarClientSecuritySolution8.21conversionesexistentesanterioresalaversión8.0deClient
SecuritySolution,instaleprimeroClientSecuritySolution8.0enelsistema.
ClientSecuritySolution8.0nosepuedeinstalarcomounaactualizacióndeunaversiónanterior.Debe
desinstalarlaversiónexistentedeClientSecuritySolutionantesdeinstalarlaversión8.0.Paraconservar
losdatosylosvaloresexistentes,completelospasossiguientesantesdeeliminarlaversiónanteriorde
ClientSecuritySolution:
1.DescargueClientSecuritySolution8.0UpgradeAssistantenelsiguientesitiowebdeLenovo:
http://www.lenovo.com/support/site.wss/document.do?sitestyle=lenovo&lndocid=MIGR-46391.
2.Desdelalíneademandatos,ejecutedemanerasilenciosaClientSecuritySolution8.0Upgrade
AssistantantesdeeliminarlaversiónanteriordeClientSecuritySolution.
Además,losusuariosdeClientSecuritySolution7.0debenactualizaraClientSecuritySolution8.0antes
deinstalarRescueandRecovery4.0
Nota: Siestáactualizandounsistemaoperativo,debeborrarelchipdeseguridadparaevitarunaanomalía
deregistrodeClientSecuritySolution.
InstalacióndelSoftwaredehuellasdactilaresdeThinkVantage
Elarchivosetup.exedelprogramadesoftwaredehuellasdactilaressepuedeinstalarmediantelosmétodos
siguientes:
Instalaciónsilenciosa
ParainstalardeformasilenciosaelSoftwaredehuellasdactilares,ejecuteelarchivosetup.exeubicadoenel
directoriodeinstalacióndelaunidaddeCD-ROM.
Utilicelasintaxissiguiente:
14ClientSecuritySolution8.21Guíadedespliegue
Setup.exePROPERTY=VALUE/q/i
dondeqesparalainstalaciónsilenciosaeiesparalainstalación.Porejemplo:
setup.exeINSTALLDIR="C:\ProgramFiles\ThinkVantagengerprintsoftware"/q/i
Paradesinstalarelsoftware,utiliceelparámetro/xenlugarde/i:
setup.exeINSTALLDIR="C:\ProgramFiles\ThinkVantagengerprintsoftware"/q/x
Options
EnelSoftwaredehuellasdactilaresestánsoportadaslasopcionessiguientes:
Tabla7.Opcionesadmitidasporelsoftwaredehuellasdactilares
Parámetro Descripción
CTRLONCE VisualizaelCentrodecontrolsólounavez.Elvalor
predeterminadoes0.
CTLCNTR EjecutaelCentrodecontrolalarrancar.Elvalor
predeterminadoes1.
DEFFUS •0=noutilizarálosvaloresdeConmutaciónrápidade
usuario(FUS).
•1=IntentaráutilizarlosvaloresdeFUS.
Elvalorpredeterminadoes0.
INSTALLDIR Elvalorpredeterminadoeseldirectoriodeinstalacióndel
softwaredehuellasdactilares.
OEM
PASSPORT
SECURITY
SHORTCUTFOLDER
REBOOT Suprimetodoslosrearranques,incluidoslosindicadores
DEVICEBIO Conguraeltipodedispositivoqueseráutilizadoporel
•0=Instalasoporteparapasaportesdeservidoro
autenticacióndeservidor
•1=Sólomodalidadautónomadelsistemacon
pasaporteslocales
Elvalorpredeterminadoeseltipodecontraseña
establecidodurantelainstalación.
•1=Valorpredeterminado-Pasaportelocal
•2=Pasaportedelservidor
Elvalorpredeterminadoes1.
•1=Instalasoporteparalamodalidadsegura
•0=Noinstala;sóloexistelamodalidadcómoda
Elvalorpredeterminadoeselnombredelacarpetade
accesodirectoenelmenúInicio.
desolicituddurantelainstalación,estableciéndoloen
Realmentesuprimir.
usuario.Tipoderegistro:
•DEVICEBIO=#3-sectordeldispositivoqueseutilizará
antesdelprimerregistro.
•DEVICEBIO=#0-seutilizaráelregistroenlaunidad
dediscoduro
•DEVICEBIO=#1-seutilizaráelregistroen
CompanionChip
Capítulo2.Instalación15
InstalacióndelSoftwaredehuellasdactilaresdeLenovo
Elarchivosetup32.exedelprogramadesoftwaredehuellasdactilaressepuedeinstalarutilizandounade
estosprocedimientos:
Instalaciónsilenciosa
Pararealizarunainstalaciónsilenciosadelsoftwaredehuellasdactilares,ejecuteelarchivosetup32.exeque
seencuentraeneldirectoriodeinstalacióndelaunidaddeCD-ROM.
Utilicelasintaxissiguiente:
setup32.exe/s/v"/qnREBOOT="R""
Paradesinstalarelsoftware,utilicelasintaxissiguiente:
setup32.exe/x/s/v"/qnREBOOT="R""
Options
EnelSoftwaredehuellasdactilaresestánsoportadaslasopcionessiguientes:
Tabla8.OpcionesadmitidasporelSoftwaredehuellasdactilaresdeLenovo
Parámetro Descripción
SWAUTOSTART •0=noiniciaráelsoftwaredehuellasdactilaresdurante
elarranquedeWindows.
•1=iniciaráelsoftwaredehuellasdactilaresdurante
elarranquedeWindows.
Elvalorpredeterminadoes1.
SWFPLOGON •0=noutilizaráeliniciodesesióndehuelladactilar
(GINAoCredentialProvider).
•1=utilizaráeliniciodesesióndehuelladactilar(GINA
oCredentialProvider).
Elvalorpredeterminadoes0.
SWPOPP •0=inhabilitarálaproteccióndecontraseñade
encendido.
•1=habilitarálaproteccióndecontraseñade
encendido.
Elvalorpredeterminadoes0.
SWSSO •0=inhabilitarálafuncióndeiniciodesesiónúnico.
•1=habilitarálafuncióndeiniciodesesiónúnico.
Elvalorpredeterminadoes0.
SWALLOWENROLL •0=nopermitelainscripcióndelahuelladactilarpara
usuariosquenoseanadministradores.
•1=permitelainscripcióndelahuelladactilarpara
usuariosquenoseanadministradores.
Elvalorpredeterminadoes1.
SWALLOWDELETE •0=nopermitelasupresióndelahuelladactilarpara
usuariosquenoseanadministradores.
•1=permitelasupresióndelahuelladactilarpara
usuariosquenoseanadministradores.
Elvalorpredeterminadoes1.
16ClientSecuritySolution8.21Guíadedespliegue
Tabla8.OpcionesadmitidasporelSoftwaredehuellasdactilaresdeLenovo(continuación)
Parámetro Descripción
SWALLOWIMEXPORT •0=nopermitelaimportación/exportacióndelahuella
dactilarparausuariosquenoseanadministradores.
•1=permitelaimportación/exportacióndelahuella
dactilarparausuariosquenoseanadministradores.
Elvalorpredeterminadoes1.
SWALLOWSELECT •0=nopermitelaseleccióndeutilizarlahuelladactilar
parasustituirlacontraseñadeencendidoparausuarios
quenoseanadministradores.
•1=permitelaseleccióndeutilizarlahuelladactilar
parasustituirlacontraseñadeencendidoparausuarios
quenoseanadministradores.
Elvalorpredeterminadoes1.
SWALLOWPWRECOVERY •0=nopermitelarecuperacióndecontraseñasde
Windows.
•1=permitelarecuperacióndecontraseñasde
Windows.
Elvalorpredeterminadoes1.
SWANTIHAMMER •0=inhabilitalaprotecciónantigolpes.
•1=hablitalaprotecciónantigolpes.
Elvalorpredeterminadoes1.
SWANTIHAMMERRETRIES Especicalacantidadmáximadereintentos.Elvalor
predeterminadoes5.
Nota: Estevalorfuncionasolamentecuandoseha
habilitadoSWANTIHAMMER.
SWANTIHAMMERTIMEOUT Especicaladuracióndeltiempodeesperaensegundos.
Elvalorpredeterminadoes120.
Nota: Estevalorfuncionasolamentecuandoseha
habilitadoSWANTIHAMMER.
SWAUTHTIMEOUT •0=inhabilitaeltiempodeesperadeautenticación.
•1=habilitaeltiempodeesperadeautenticación.
Elvalorpredeterminadoes1.
SWAUTHTIMEOUTVALUE Especicaelperíododeinactividadantesdeltiempo
deesperadeautenticación,ensegundos.Elvalor
predeterminadoes120.
Nota: Estevalorsolamentefuncionacuandoestá
habilitadoSWAUTHTIMEOUT.
SWNONADMIFPLOGONONLY •0=inhabilitaeliniciodesesiónsolamenteconhuella
dactilarparausuariosquenoseanadministradores.
•1=habilitaeliniciodesesiónsolamenteconhuella
dactilarparausuariosquenoseanadministradores.
Elvalorpredeterminadoes1.
Capítulo2.Instalación17
Tabla8.OpcionesadmitidasporelSoftwaredehuellasdactilaresdeLenovo(continuación)
Parámetro Descripción
SWSHOWPOWERON
CSS •0=suponequenosehainstaladoCSS.
•0=nomuestralasopcionesdeseguridadde
encendido.
•1=muestrasiemprelasopcionesdeseguridadde
encendido.
Elvalorpredeterminadoes0.
•1=suponequesehainstaladoCSS.
Elvalorpredeterminadoes0.
Servidordegestióndesistemas
TambiénestánsoportadaslasinstalacionesdeSMS(servidordegestióndesistemas).Abralaconsolade
administradordeSMS.Creeunnuevopaqueteyestablezcalaspropiedadesdelpaquetedelaforma
estándar.AbraelpaqueteyseleccioneNuevo-ProgramaenelelementoProgramas.Enlalíneade
mandatos,especique:
Setup.exe/myourmiflename/q/i
Puedeutilizarlosmismosparámetrosqueparalainstalaciónsilenciosa.
Lainstalaciónnormalmenterearrancaalnaldelprocesodeinstalación.Sideseasuprimirtodoslos
rearranquesdurantelainstalaciónyrearrancarposteriormente(despuésdeinstalarmásprogramas),añada
REBOOT=“ReallySuppress”alalistadepropiedades.
18ClientSecuritySolution8.21Guíadedespliegue
Capítulo3. CómotrabajarconClientSecuritySolution
AntesdeinstalarClientSecuritySolution,debecomprenderlapersonalizacióndisponibleparaClient
SecuritySolution.EnestecapítuloseproporcionainformacióndepersonalizaciónsobreClientSecurity
Solution,asícomoinformaciónrelativaalMódulodeplataformasegura.Estecapítuloutilizatérminos
denidosporTrustedComputingGroup(TCG)enrelaciónalTrustedPlatformModule.Paraobtenermás
informaciónsobreTrustedPlatformModule,consulteelsiguientesitioweb:
http://www.trustedcomputinggroup.org/
UtilizacióndelMódulodeplataformasegura
ElMódulodeplataformaseguraesunchipdeseguridadincorporadodiseñadoparaproporcionarfunciones
relacionadasconlaseguridadparaelsoftwarequeloutiliza.Elchipdeseguridadincorporadoseinstalaen
laplacamadredeunsistemaysecomunicamedianteunbusdehardware.Lossistemasqueincorporan
unMódulodeplataformasegurapuedencrearclavesdecifradoycifrarlasdeformaquesólopuedan
serdescifradasporelmismoMódulodeplataformasegura.Esteproceso,amenudodenominado
empaquetado ,ayudaaprotegerlaclaveevitandoqueserevele.EnunsistemaconunMódulodeplataforma
segura,laclavedeempaquetadomaestra,denominadaClaveraízdealmacenamiento(SRK),sealmacenaen
elpropioMódulodeplataformasegura,deformaquelaparteprivadadelaclavenuncaquedaexpuesta.El
chipdeseguridadincorporadotambiénpuedealmacenarotrasclavesdealmacenamiento,clavesderma,
contraseñasyotraspequeñasunidadesdedatos.Debidoalacapacidadlimitadadealmacenamientoenel
Módulodeplataformasegura,laSRKseutilizaparacifrarotrasclavesparaelalmacenamientofueradelchip.
LaSRKnuncadejaelchipdeseguridadincorporadoyformalabaseparaelalmacenamientoprotegido.
LautilizacióndelchipdeseguridadincorporadoesopcionalyrequiereunadministradordeClientSecurity
Solution.YaseaparaelusuarioindividualoparaundepartamentodeTIdeunaempresa,sedebeinicializar
elMódulodeplataformasegura.Lasoperacionessubsiguientes,comoporejemplolacapacidadde
recuperarsedeunaanomalíadelaunidaddediscoduroolasustitucióndelaplacadelsistema,también
estánrestringidasaladministradordeClientSecuritySolution.
Nota: Siestácambiandolamodalidaddeautenticacióneintentadesbloquearelchipdeseguridad,
debecerrarlasesióny,acontinuación,iniciardenuevolasesióncomoeladministradormaestro.Esto
lepermitirádesbloquearelchip.Tambiénpuedeiniciarlasesióncomounusuariosecundarioycontinuar
convirtiendolamodalidaddeautenticación.Estoserealizaautomáticamentecuandoelusuariosecundario
inicialasesión.ClientSecuritySolutionlesolicitarálacontraseñaofrasedepasodelusuariosecundario.
UnavezqueClientSecuritySolutionhayaacabadodeprocesarelcambio,elusuariosecundariopuede
continuardesbloqueandoelchip.
UtilizacióndelMódulodeplataformaseguraconWindowsVista
SiestáhabilitadoeliniciodesesióndeWindowsVistayelMódulodeplataformaseguraestáinhabilitado,
debeinhabilitarlacaracterísticadeiniciodesesióndeWindowsantesdeinhabilitarelMódulodeplataforma
seguraenF1BIOS.Sihaceesto,evitaqueaparezcaunmensajedeseguridadqueindicalosiguiente:Seha
desactivadoelchipdeseguridad,elprocesodeiniciodesesiónnosepuedeproteger .
Además,siestáactualizandoelsistemaoperativodeunsistemacliente,debeborrarelchipdeseguridad
paraevitarunaanomalíaderegistrodeClientSecurity.ParaborrarelchipenF1BIOS,elsistemase
debeiniciardesdeunarranqueenfrío.Nopodráborrarelchipsiintentaesteprocesodespuésdeun
rearranqueentemplado.
©CopyrightLenovo2008,2012
19
GestióndeClientSecuritySolutionconclavesdecifrado
ClientSecuritySolutionsedescribemediantelasdosactividadesprincipalesdedespliegue;T omar
propiedadyRegistrarusuario.AlejecutarelAsistentedeconguracióndeClienteSecurityporprimeravez,
losprocesosTomarpropiedadyRegistrarusuarioserealizandurantelainicialización.ElIDdeusuariode
WindowsespecícoquehacompletadoelAsistentedeconguracióndeClientSecuritySolutionesel
AdministradordeClientSecuritySolutionyseregistracomounusuarioactivo.Atodoslosdemásusuarios
queiniciensesiónenelsistemaselesrequeriráqueseregistrenenClientSecuritySolution.
•Tomarpropiedad
SeasignaunúnicoIDdeusuarioadministradorWindowsalúnicoAdministradordeClientSecurity
Solutiondelsistema.LasfuncionesadministrativasdeClientSecuritySolutionsedebenrealizarmediante
esteIDdeusuario.LaautorizacióndelMódulodeplataformaseguraeslacontraseñadeWindowsola
frasedepasodeClientSecuritydeesteusuario.
Nota: LaúnicaformaderecuperarunacontraseñadeAdministradorofrasedepasodeClientSecurity
SolutionolvidadaesdesinstalarelsoftwareconlospermisosválidosdeWindowsoborrarelchipde
seguridadenelBIOS.Decualquieradelasdosmanerasseperderánlosdatosprotegidosmediantelas
clavesasociadasconelMódulodeplataformasegura.ClientSecuritySolutiontambiénproporcionaun
mecanismoopcionalquepermitelaautorecuperacióndeunacontraseñaofrasedepasoolvidadas
basándoseenunretopregunta-respuesta.ElAdministradordeClientSecuritySolutiontomaladecisión
sobresiutilizarestafunción.
•Registrarusuario
UnavezquesehayacompletadoelprocesoT omarpropiedadysehayacreadounAdministradorde
ClientSecuritySolution,sepodrácrearunaclavebasedeusuarioparaalmacenardeformasegura
credencialesparaelusuariodeWindows.Estediseñopermitequemúltiplesusuariosseregistrenen
ClientSecuritySolutionyaprovechenelúnicoMódulodeplataformasegura.Lasclavesdeusuarioestán
protegidasmedianteelchipdeseguridad,peroenrealidadsealmacenanfueradelchipenlaunidadde
discoduro.Estediseñocreaespaciodediscodurocomofactordealmacenamientoconlimitaciones
enlugardememoriarealincorporadaenelchipdeseguridad.Elnúmerodeusuariosquepueden
aprovecharelmismohardwareseguroaumentaconsiderablemente.
Tomarpropiedad
LaraízdeabilidaddeClientSecuritySolutioneslaClaveraízdelsistema(SRK).Estaclaveasimétrica
quenosepuedemigrarsegeneraenelentornosegurodelMódulodeplataformaseguraynuncase
exponealsistema.Laautorizaciónparaaprovecharlaclavesederivadelacuentadeadministradorde
WindowsduranteelmandatoTPM_TakeOwnership.Sielsistemaestáaprovechandounafrasedepasode
ClientSecurity,lafrasedepasodeClientSecurityparaelAdministradordeClientSecuritySolutionserá
laautorizacióndelMódulodeplataformasegura.Delocontrario,serálacontraseñadeWindowsdel
AdministradordeClientSecuritySolution.
UnavezquesehayacreadolaSRKparaelsistema,sepodráncrearotrosparesdeclavesyestossepodrán
almacenarfueradelMódulodeplataformasegura,peroenvueltosoprotegidosmediantelasclavesbasadas
enhardware.DebidoaqueelMódulodeplataformaseguraqueincluyelaSRKeshardwareyelhardware
puederesultardañado,esnecesariounmecanismoderecuperaciónparagarantizarlarecuperacióndelos
datosencasodequeseproduzcandañosenelsistema.
PararecuperarunsistemasecrealaClavebasedelsistema.Estaclavedealmacenamientoasimétrica
permitealAdministradordeClientSecuritySolutionlarecuperacióndeuncambiodelaplacadelsistemao
lamigraciónplanicadaaotrosistema.AndeprotegerlaClavebasedelsistemaperopermitirquesea
accesibleduranteelfuncionamientonormalodurantelarecuperación,secreanyprotegendosinstancias
delaclavemediantedosmétodosdistintos.Enprimerlugar,secifralaClavebasedelsistemaconuna
clavesimétricaAESquesederivasabiendolacontraseñadelAdministradordeClientSecuritySolution
olafrasedepasodeClientSecurity.EstacopiadelaClavederecuperacióndeClientSecuritySolution
20ClientSecuritySolution8.21Guíadedespliegue
seutilizaexclusivamenteanderealizarlarecuperacióndeunMódulodeplataformaseguraborradoo
System Level Key Structure - Take Ownership
Trusted Platform Module
Encrypted via derived AES Key
Storage Root Private Key
Storage Root Public Key
System Leaf Private Key
System Base Private Key
System Leaf Public Key
System Base Public Key
System Base Private Key
System Base Public Key
If Passphrase
loop n times
CSS Admin PW/PP
One-Way Hash
One-Way Hash
System Base AES
Protection Key
(derived via output
of hash algorithm)
Auth
deunaplacadelsistemasustituidadebidoaunerrordehardware.
LasegundainstanciadelaClavederecuperacióndeClientSecuritySolutionesempaquetadaporlaSRK
paraimportarlaenlajerarquíadeclaves.EstadobleinstanciadelaClavebasedelsistemapermiteal
Módulodeplataformaseguraprotegerlossecretosvinculadosalmismomásabajodurantelautilización
normalypermitelarecuperacióndeunaplacadelsistemafallidamediantelaClavebasedelsistemaque
estácifradaconunaclaveAESdesbloqueadaporlacontraseñadeAdministradordeClientSecuritySolution
olafrasedepasodeClientSecurity.Acontinuación,secrealaClavehojadelsistema.Estaclavesecrea
paraprotegerlossecretosaniveldelsistemacomoporejemplolaclaveAES.
Eldiagramasiguienteproporcionalaestructuraparalaclaveaniveldelsistema:
Figura1.Estructuradeclaveaniveldelsistema:Tomarpropiedad
Registrarusuario
ParaquelosdatosdecadausuarioesténprotegidosmedianteelmismoMódulodeplataformasegura,cada
usuariotendrácreadasupropiaClavebasedeusuario.Estaclavedealmacenamientoasimétricasepuede
migrarytambiénsecreadosvecesyseprotegemedianteunaclaveAESsimétricageneradaapartirdela
contraseñadeusuariodeWindowsofrasedepasodeClientSecurity.
LasegundainstanciadelaClavebasedeusuarioseimportaseguidamenteenelMódulodeplataforma
segurayseprotegemediantelaSRKdelsistema.ConlaClavebasedeusuario,tambiénsecreaunaclave
asimétricasecundariadenominadaClavehojadeusuario.LaClavehojadeusuarioprotegesecretos
personalescomoporejemplolaclaveAESdePasswordManagerutilizadaparaprotegerlainformación
deiniciodesesiónenInternet,lacontraseñautilizadaparaprotegerdatosylaclaveAESdecontraseña
deWindowsutilizadaparaprotegerelaccesoalsistemaoperativo.ElaccesoalaClavehojadeusuario
locontrolalacontraseñadeWindowsolafrasedepasodeClientSecuritySolutiondelusuarioyse
desbloqueaautomáticamenteduranteeliniciodesesión.
Capítulo3.CómotrabajarconClientSecuritySolution21
Eldiagramasiguienteproporcionalaestructuraparalaclaveaniveldeusuario:
User Level Key Structure - Enroll User
Trusted Platform Module
Encrypted via derived AES Key
Storage Root Private Key
Storage Root Public Key
User Leaf Private Key
User Base Private Key
User Leaf Public Key
User Base Public Key
Windows PW AES Key
PW Manager AES Key
User Base Private Key
User Base Public Key
If Passphrase
loop n times
User PW/PP
One-Way Hash
One-Way Hash
User Base AES
Protection Key
(derived via output
of hash algorithm)
Auth
Figura2.Estructuradeclaveenelniveldeusuario:Registrarusuario
Inscripciónensegundoplano
ClientSecuritySolution8.21dasoportealainscripciónensegundoplanoparainscripcionesdeusuarioque
seinicianautomáticamente.Elprocesodeinscripciónseejecutaensegundoplanosinmostrarninguna
noticación.
Nota: Lainscripciónensegundoplanosolamenteestádisponibleparalasinscripcionesdeusuarioquese
inicianautomáticamente.Parainscripcionesdeusuarioqueseinicianmanualmente,desdeelmenúde
inicioodesdeRestablecervaloresdeseguridad,apareceráundiálogoenelqueseindicaalusuarioque
esperearealizarlainscripcióndeusuario.
Eladministradorlocaloeladministradordedominiostambiénpuedenforzarlaaparicióndeldiálogode
esperaeditandolasiguientepolítica:
CSS_GUI_ALWAYS_SHOW_ENROLLMENT_PROCESSING
Oeditandolasiguienteclavederegistro:
HKLM\software\policies\lenovo\clientsecuritysolution\GUIoptions\
AlwaysShowEnrollmentProcessing
ElvalorpredeterminadodeAlwaysShowEnrollmentProcessinges0.Cuandolaclavederegistroanteriorse
estableceen0,eldiálogodeesperanoapareceráaquellasinscripcionesdeusuarioquesehayaniniciado
automáticamente.Cuandoestapolíticaseestableceen1,eldiálogodeesperaaparecerásiempredurante
lainscripcióndeusuarioindependientementedecómoseinicielainscripción.
Emulacióndesoftware
ParaproporcionarunaexperienciahomogéneaparaelusuariocuyosistemanodisponedeTPM,CSS
dasoportealamodalidaddeemulacióndeTPM.
LamodalidaddeemulacióndeTPMesunaraízdeabilidadbasadaenelsoftware.Lasmismasprestaciones
queproporcionaTPM,incluidaslarmadigital,ladescripcióndeclavesimétrica,laimportaciónyprotección
22ClientSecuritySolution8.21Guíadedespliegue
declavesRSAasícomolageneraciónaleatoriadenúmeros,estándisponiblesparaelusuario,salvoque
hayunamenorseguridaddebidoaquelaraízdeabilidadsebasaenclavesbasadasensoftware.
LamodalidaddeemulacióndeTPMnosepuedeutilizarcomosustitutodeseguridadparaTPM.TPM
proporcionalossiguientesdosmétodosdeproteccióndeclavesquesonmássegurosquelamodalidad
deemulacióndeTPM.
•TodaslasclavesqueutilizaTPMseprotegenmedianteunasolaclavedenivelraíz.Laúnicaclavede
nivelraízsecreaenelinteriordeTPMynosepuedeverniutilizarfueradeTPM.Enlamodalidadde
emulacióndeTPM,laclavedenivelraízesunaclavebasadaenelsoftwarequesealmacenaenla
unidaddediscoduro.
•TodaslasoperacionesdeclaveprivadaserealizanenTPM,deformaqueelmaterialdeclaveprivada
paracualquierclavenoestánuncaexpuestofuerodeTPM.EnlamodalidaddeemulacióndeTPM,todas
lasoperacionesdeclaveprivadaserealizanenelsoftware,porloquenohayproteccióndelmaterial
declaveprivada.
LamodalidaddeemulacióndeTPMesprincipalmenteparaelusuarioalquelepreocupapocolaseguridad
peromáslavelocidaddeiniciodesesióndelsistema.
Cambiodelaplacadelsistema
UncambiodelaplacadelsistemaimplicaquelaSRKanterioralaqueestabanvinculadaslasclavesyano
esválida,yesnecesariaotraSRK.EstotambiénpuedesucedersiseborramedianteelBIOSelMódulo
deplataformasegura.
EsnecesarioqueeladministradordeClientSecuritySolutionvinculelascredencialesdelsistemaauna
nuevaSRK.SeránecesariodescifrarlaClavebasedelsistemamediantelaClavedeprotecciónAESbase
delsistemaderivadadelascredencialesdeautorizacióndelAdministradordeClientSecuritySolution.
SiunAdministradordeClientSecuritySolutionesunIDdeusuariodedominioylacontraseñadedicho
IDdeusuariosehacambiadoenunamáquinadistinta,paradescifrarlaClavebasedelsistemaparala
recuperaciónseránecesarioconocerlacontraseñaqueseutilizóaliniciarsesiónporúltimavezenelsistema.
Porejemplo,duranteeldespliegueseconguraránunIDdeusuarioyunacontraseñadeAdministradorde
ClientSecuritySolution;silacontraseñadeesteusuariocambiaenunamáquinadistinta,lacontraseña
originalestablecidaduranteeldespliegueserálaautorizaciónnecesariaanderecuperarelsistema.
Sigaestospasospararealizaruncambiodelaplacadelsistema:
1.EladministradordeClientSecuritySolutioniniciasesiónenelsistemaoperativo.
2.Elcódigoejecutadodeiniciodesesión(cssplanarswap.exe)reconocequeelchipdeseguridadestá
inhabilitadoyrequierequeserearranqueparahabilitarlo.(Estepasosepuedeevitarhabilitandoel
chipdeseguridadmedianteelBIOS).
3.Serearrancaelsistemaysehabilitaelchipdeseguridad.
4.EladministradordeClientSecuritySolutioninicialasesión;nalizaelnuevoprocesodeTomar
propiedad.
5.SedescifralaClavebasedelsistemautilizandolaClavedeprotecciónAESbasedelsistemaquese
derivadelaautenticacióndeadministradordeClientSecuritySolution.SeimportalaClavebasedel
sistemaenlanuevaSRKyserestablecelaClavehojadelsistemaytodaslascredencialesprotegidas
porésta.
6.Elsistemaestáahorarecuperado.
Nota: CuandoseutilizalaModalidaddeemulación,noesnecesariocambiarlaplacadelsistema.
Capítulo3.CómotrabajarconClientSecuritySolution23
Eldiagramasiguienteproporcionalaestructuraparaelintercambiodeplacabasetomarpropiedad:
Motherboard Swap - Take Ownership
Trusted Platform Module
Decrypted via derived AES Key
System Leaf Private Key
Store Leaf Private Key
System Leaf Public Key
Store Leaf Public Key
System Base Private Key
System Base Public Key
If Passphrase
loop n times
CSS Admin PW/PP
One-Way Hash
System Base AES
Protection Key
(derived via output
of hash algorithm)
Motherboard Swap - Enroll User
Trusted Platform Module
Decrypted via derived AES Key
Storage Root Private Key
Storage Root Public Key
User Leaf Private Key
User Leaf Public Key
Windows PW AES Key
PW Manager AES Key
User Base Private Key
User Base Public Key
If Passphrase
loop n times
User PW/PP
One-Way Hash
User Base AES
Protection Key
(derived via output
of hash algorithm)
Figura3.Intercambiodeplacabase:Tomarpropiedad
Conformecadausuarioiniciasesiónenelsistema,laClavebasedeusuariosedescifraautomáticamente
mediantelaClavedeprotecciónAESbasedeusuarioderivadadelaautenticacióndeusuarioeimportada
alanuevaSRKcreadamedianteeladministradordeClientSecuritySolution.Eldiagramasiguiente
proporcionalaestructuraparaelintercambiodeplacabase:registrarusuario:
Paraqueunsegundousuarioinicielasesióndespuésdequesehayaborradoelchipodespuésdesustituir
laplacamadre,debeiniciarlasesióncomoeladministradormaestro.Sesolicitaráaladministradormaestro
querestaurelasclaves.Unavezquesehayacompletadolarestauracióndelasclaves,utiliceelGestor
depolíticasparainhabilitareliniciodesesióndeWindowsdeClientSecurity.Losdemásusuariospodrán
restaurarsusclavesrespectivas.Unavezquetodoslosusuariossecundarioshayanrestauradosusclaves,el
administradormaestropuedehabilitarlafuncióndeiniciodesesióndeWindowsdeClientSecuritySolution.
Eldiagramasiguienteproporcionalaestructuraparaelintercambiodeplacabase:registrarusuario:
Figura4.Intercambiodeplacabase:Registrarusuario
24ClientSecuritySolution8.21Guíadedespliegue
ProgramadeutilidaddeproteccióndeEFS
ClientSecuritySolutionproporcionaunprogramadeutilidaddelalíneademandatosquepermitela
protecciónbasadaenelTPMdecerticadosdecifradoutilizadosporelSistemadecifradodearchivos
(EFS)paracifrararchivosycarpetas.Esteprogramadeutilidaddasoportealatransferenciadecerticados
deterceros(certicadosgeneradosporunaentidademisoradecerticados)ytambiéndasoporteala
generacióndecerticadosautormados.
LaproteccióndelcerticadodeEFSporpartedeClientSecuritySolutionsignicaquelaclaveprivada
asociadaconelcerticadodeEFSestáprotegidaporelTPM.Seotorgaaccesoalcerticadodespués
dequeelusuariosehayaautenticadoenClientSecuritySolution.
SinohayningúnTPMdisponible,elcerticadodeEFSseprotegeutilizandoelemuladordelTPM
proporcionadoporClientSecuritySolution.DeberegistrarseconClientSecuritySolutionparapodertener
loscerticadosdeEFSprotegidosporClientSecuritySolution.
PRECAUCIÓN:
SiutilizaClientSecuritySolutionyelSistemadecifradodearchivos(EFS)paracifrararchivos
ycarpetas,cadavezqueClientSecuritySolutionoelMódulodeplataformaseguranoestén
disponiblesnopodráaccederalosarchivoscifrados.
SielMódulodeplataformaseguradejaderesponder,ClientSecuritySolutionrestauraráelaccesoalos
datoscifradosunavezquesehayasustituidolaplacabase.
UtilizacióndelprogramadeutilidaddelalíneademandatosdeEFS
LatablasiguienteproporcionalosparámetrosdelalíneademandatosqueestánsoportadosparaEFS:
Tabla9.ParámetrosdelalíneademandatosadmitidosparaEFS
Parámetro Descripción
/generate:<size> Generauncerticadoautormadoyasociaelcerticado
conEFS.Siseespecica<size>,laclavegeneradaserá
deltamañodebitespecicado.Losvaloresválidos
incluyen512,1024y2048.Sinoseespecicaningún
valor,osiseespecicaunvalornoválido,elvalor
predeterminadoserálageneracióndeclavesde1024bits.
/sn:xxxxxx Especicaelnúmerodeseriedeuncerticadoexistente
quesedebetransferiryasociarconEFS.
/cn:yyyyyy Especicaelnombre(“issuedto”)deuncerticado
existentequesedebetransferiryasociarconEFS.
/rstavail TransereelprimercerticadodeEFSexistente
disponibleyloasociaaEFS.
/silent Novisualizaningunasalida.Loscódigosderetorno
proporcionadosporelvalorcuandosesaledelprograma.
/?o/ho/help Visualizalainformacióndeayuda.
Cuandonoseejecutaenmodalidadsilenciosa,elprogramadeutilidaddevolveráunodeloserrores
siguientes:
0-"Commandcompletedsuccessfully"
1-"ThisutilityrequiresWindowsXP"
2-"ThisutilityrequiresClientSecuritySolutionversion8 .0"
3-"ThecurrentuserisnotenrolledwithClientSecuritySolution"
4-"Thespeciedcerticatecouldnotbefound"
5-"Unabletogenerateaself-signedcerticate”
6-"NoEFScerticateswerefound"
Capítulo3.CómotrabajarconClientSecuritySolution25
7-"UnabletoassociatethecerticatewithEFS”
Alejecutarenmodalidadsilenciosa,lasalidadelprogramaseráunniveldeerrorcorrespondientealos
númerosdeerroresquesemuestranmásarriba.
UtilizacióndelesquemaXML
ElpropósitodelosscriptsXMLespermitiralosadministradoresdeTIcrearscriptspersonalizadosque
sepuedanutilizarparadesplegarycongurarClientSecuritySolution.Losscriptssepuedenproteger
medianteelejecutablexml_crypt_toolconunacontraseñatalcomoelcifradoAES.Unavezcreada,la
máquinavirtual(vmserver.exe)aceptalosscriptscomoentrada.Lamáquinavirtualllamaalasmismas
funcionesqueelAsistentedeconguracióndeClientSecuritySolutionparacongurarelsoftware.
TodoslosscriptsconstandeunaetiquetaparaespecicareltipodecodicaciónXML,elesquemaXMLy
comomínimounafunciónarealizar.ElesquemaseutilizaparavalidarelarchivoXMLycomprobarsiexisten
todoslosparámetrosnecesarios.Actualmentenosefuerzalautilizacióndelesquema.Cadafunciónestá
entreetiquetasdefunción.Cadafuncióncontieneunaordenqueespecicaelordenenelquelamáquina
virtual(vmserver.exe)ejecutaráelmandato.Cadaversióntienetambiénunnúmerodeversión;actualmente
todaslasfuncionesestánenlaversión1.0.Cadaunodelossiguientesscriptsdeejemplosólocontieneuna
función.Sinembargo,enlaprácticaunscriptcontendráposiblementevariasfunciones.ElAsistentede
conguracióndeClientSecuritySolutionsepuedeutilizarparacrearunscriptdeestetipo.Paraobtener
informaciónadicionalsobrelacreacióndescriptsconelasistentedeconguración,consulte“Asistentede
conguracióndeClientSecuritySolution”enlapágina36
Nota: Siseomiteelparámetro<DOMAIN_NAME_PARAMETER>encualquieradelasfuncionesque
requierenunnombrededominio,seutilizaráelnombredelsistemapredeterminado.
.
Ejemplos
LosmandatossiguientessonejemplosdelesquemaXML:
ENABLE_TPM_FUNCTION
EstemandatohabilitaelMódulodeplataformasegurayutilizaelargumentoSYSTEM_PAP .Sielsistema
yatieneestablecidaunacontraseñadeadministradorosupervisordelBIOS,sedebeproporcionareste
argumento.Delocontrario,estemandatoesopcional.
<tvt_deploymentxmlns="http://www.lenovo.com"
xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation="
http://www.lenovo.comcssDeploy.xsd">
<registry_settings/>
</tvt_deployment>
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>ENABLE_TPM_FUNCTION</COMMAND>
<VERSION>1.0</VERSION>
<SYSTEM_PAP>PASSWORD</SYSTEM_PAP>
</FUNCTION>
</CSSFile>
Nota:Estemandatonorecibesoporteenlamodalidaddeemulación.
DISABLE_TPM_FUNCTION
EstemandatoutilizaelargumentoSYSTEM_PAP.Sielsistemayatieneestablecidaunacontraseñade
administradorosupervisordelBIOS,sedebeproporcionaresteargumento.Delocontrario,estemandato
esopcional.
<tvt_deploymentxmlns="http://www.lenovo.com"
xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation="
http://www.lenovo.comcssDeploy.xsd">
26ClientSecuritySolution8.21Guíadedespliegue
<registry_settings/>
</tvt_deployment
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>DISABLE_TPM_FUNCTION</COMMAND>
<VERSION>1.0</VERSION>
<SYSTEM_PAP>password</SYSTEM_PAP>
</FUNCTION>
</CSSFile>
Nota:Estemandatonorecibesoporteenlamodalidaddeemulación.
ENABLE_PWMGR_FUNCTION
EstemandatohabilitaPasswordManagerparatodoslosusuariosdeClientSecuritySolution.
<?xmlversion="1.0"encoding="UTF-8"standalone="no"?>
<CSSFilexmlns="www.lenovo.com/security/CSS">
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>ENABLE_PWMGR_FUNCTION</COMMAND>
<VERSION>1.0</VERSION>
</FUNCTION>
</CSSFile>
ENABLE_CSS_GINA_FUNCTION
ParaWindows2000,XPyVista,estemandatohabilitaeliniciodesesióndeClientSecuritySolution:
-<tvt_deploymentxmlns="http://www.lenovo.com"
xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation="
http://www.lenovo.comcssDeploy.xsd">
<registry_settings/>
</tvt_deployment
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>ENABLE_CSS_GINA_FUNCTION</COMMAND>
<VERSION>1.0</VERSION>
</FUNCTION>
</CSSFile>
ENABLE_UPEK_GINA_FUNCTION
Notas:
1.EstemandatosolamenteesparaelSoftwaredehuellasdactilaresdeThinkVantage.
2.Estemandatonorecibesoporteenlamodalidaddeemulación.
ElmandatosiguientehabilitaeliniciodesesióndeWindowsdehuelladactilardeThinkVantageeinhabilitael
iniciodesesióndeWindowsdeClientSecuritySolution.
<tvt_deploymentxmlns="http://www.lenovo.com"
xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation="
http://www.lenovo.comcssDeploy.xsd">
<registry_settings/>
</tvt_deployment>
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>ENABLE_UPEK_GINA_FUNCTION</COMMAND>
<VERSION>1.0</VERSION>
</FUNCTION>
</CSSFile>
Capítulo3.CómotrabajarconClientSecuritySolution27
ENABLE_UPEK_GINA_WITH_FUS_FUNCTION
Notas:
1.EstemandatosolamenteesparaelSoftwaredehuellasdactilaresdeThinkVantage.
2.Estemandatonorecibesoporteenlamodalidaddeemulación.
Elmandatosiguientehabilitaeliniciodesesiónconelsoportedeconmutacióndeusuariorápidaeinhabilita
eliniciodesesióndeWindowsdeClientSecuritySolution.Laconmutacióndeusuariorápidapuedeque
noestéhabilitadasegúnlosvaloresdelsistema.
<tvt_deploymentxmlns="http://www.lenovo.com"
xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation="
http://www.lenovo.comcssDeploy.xsd">
<registry_settings/>
</tvt_deployment
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>ENABLE_UPEK_GINA_WIH_FUS_FUNCTION</COMMAND>
<VERSION>1.0</VERSION>
</FUNCTION>
</CSSFile>
ENABLE_AUTHENTEC_GINA_FUNCTION
Notas:
1.EstemandatoessolamenteparaelSoftwaredehuellasdactilaresdeLenovo.
2.Estemandatonorecibesoporteenlamodalidaddeemulación.
ElmandatosiguientehabilitaeliniciodesesióndeWindowsdehuelladactilardeLenovoeinhabilitaelinicio
desesióndeWindowsdeClientSecuritySolution.
<tvt_deploymentxmlns="http://www.lenovo.com"
xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation="
http://www.lenovo.comcssDeploy.xsd">
<registry_settings/>
</tvt_deployment>
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>ENABLE_AUTHENTEC_GINA_FUNCTION</COMMAND>
<VERSION>1.0</VERSION>
</FUNCTION>
</CSSFile>
ENABLE_AUTHENTEC_GINA_WITH_FUS_FUNCTION
Notas:
1.EstemandatoessolamenteparaelSoftwaredehuellasdactilaresdeLenovo.
2.Estemandatonorecibesoporteenlamodalidaddeemulación.
Elmandatosiguientehabilitaeliniciodesesiónconelsoportedeconmutacióndeusuariorápidaeinhabilita
eliniciodesesióndeWindowsdeClientSecuritySolution.Laconmutacióndeusuariorápidapuedeque
noestéhabilitadasegúnlosvaloresdelsistema.
<tvt_deploymentxmlns="http://www.lenovo.com"
xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation="
http://www.lenovo.comcssDeploy.xsd">
<registry_settings/>
</tvt_deployment
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>ENABLE_AUTHENTEC_GINA_WIH_FUS_FUNCTION</COMMAND>
<VERSION>1.0</VERSION>
28ClientSecuritySolution8.21Guíadedespliegue
</FUNCTION>
</CSSFile>
ENABLE_NONE_GINA_FUNCTION
SisehahabilitadoeliniciodesesióndealgunodeloscomponentesdeTVTrelacionadosconGINA
comoporejemploelSoftwaredehuellasdactilaresdeThinkVantage,ClientSecuritySolutionoAccess
Connection,estemandatoinhabilitarálosiniciosdesesióndelSoftwaredehuellasdactilaresde
ThinkVantageydeClientSecuritySolution.
<tvt_deploymentxmlns="http://www.lenovo.com"
xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation="
http://www.lenovo.comcssDeploy.xsd">
<registry_settings/>
</tvt_deployment
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>ENABLE_CSS_NONE_FUNCTION</COMMAND>
<VERSION>1.0</VERSION>
</FUNCTION>
</CSSFile>
Nota:Estemandatonorecibesoporteenlamodalidaddeemulación.
SET_PP_FLAG_FUNCTION
EstemandatograbaundistintivoqueClientSecuritySolutionleeparadeterminarsisedebeutilizarlafrase
depasodeClientSecurityounacontraseñadeWindows.
<tvt_deploymentxmlns="http://www.lenovo.com"
xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation="
http://www.lenovo.comcssDeploy.xsd">
<registry_settings/>
</tvt_deployment
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>SET_PP_FLAG_FUNCTION</COMMAND>
<PP_FLAG_SETTING_PARAMETER>USE_CSS_PP</PP_FLAG_SETTING_PARAMETER>
<VERSION>1.0</VERSION>
</FUNCTION>
</CSSFile>
Nota:Estemandatonorecibesoporteenlamodalidaddeemulación.
SET_ADMIN_USER_FUNCTION
EstemandatograbaundistintivoqueClientSecuritySolutionleeparadeterminarquiéneseladministrador.
Losparámetrossonlossiguientes:
•USER_NAME_PARAMETER
Nombredeusuariodeladministrador.
•DOMAIN_NAME_PARAMETER
Nombrededominiodeladministrador.
<tvt_deploymentxmlns="http://www.lenovo.com"
xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation="
http://www.lenovo.comcssDeploy.xsd">
<registry_settings/>
</tvt_deployment
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>SET_ADMIN_USER_FUNCTION</COMMAND>
<USER_NAME_PARAMETER>sabedi</USER_NAME_PARAMETER>
Capítulo3.CómotrabajarconClientSecuritySolution29
<DOMAIN_NAME_PARAMETER>IBM-2AA92582C79<DOMAIN_NAME_PARAMETER>
<VERSION>1.0</VERSION>
<SYSTEM_PAP>PASSWORD</SYSTEM_PAP>
</FUNCTION>
</CSSFile>
Nota:Estemandatonorecibesoporteenlamodalidaddeemulación.
INITIALIZE_SYSTEM_FUNCTION
EstemandatoinicializalafuncióndelsistemadeClientSecuritySolution.Lasclavesaplicablesatodoel
sistemasegeneranmedianteestallamadadefunción.Lasiguientelistadeparámetrosexplicacadafunción:
•NEW_OWNER_AUTH_DAT A_PARAMETER
Esteparámetroseutilizaparaestablecerlanuevacontraseñadeusuarioparaelsistema.Paralanueva
contraseñadepropietario,elvalordeesteparámetroestácontroladoporlacontraseñadepropietario
actual.Sinoseestablecelacontraseñadepropietarioactual,elvalorpasadoparaesteargumentose
convertiráenlanuevacontraseñadepropietario.Siyaestáestablecidalacontraseñadepropietario
actualyeladministradorutilizalamismacontraseñadepropietarioactual,sepasaráesevaloreneste
parámetro.Sieladministradorutilizaunanuevacontraseñadepropietario,lanuevacontraseñade
propietariosepasaráenesteparámetro.
•CURRENT_OWNER_AUTH_DAT A_PARAMETER
Esteparámetroeslacontraseñadepropietarioactualdelsistema.Sielsistemayatieneunacontraseña
depropietarioexistente,esteparámetrodebepasarlacontraseñaanterior.Sisesolicitaunanueva
contraseñadepropietario,sedebepasarlacontraseñadepropietarioactualenesteparámetro.Sinose
conguraningúncambiodecontraseña,sepasaelvalorNO_CURRENT_OWNER_AUTH.
<tvt_deploymentxmlns="http://www.lenovo.com"
xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation="
http://www.lenovo.comcssDeploy.xsd">
<registry_settings/>
</tvt_deployment
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>INITIALIZE_SYSTEM_FUNCTION</COMMAND>
<NEW_OWNER_AUTH_DATA_PARAMETER>pass1word</NEW_OWNER_AUTH_DATA_
PARAMETER>
<CURRENT_OWNER_AUTH_DATA_PARAMETER>No_CURRENT_OWNER_AUTH</CURRENT
_OWNER_AUTH_DATA_PARAMETER>
<VERSION>1.0</VERSION>
</FUNCTION>
</CSSFile>
CHANGE_TPM_OWNER_AUTH_FUNCTION
EstemandatocambialaautorizacióndeadministradordeClientSecuritySolutionyactualizalasclaves
delsistemaenconsecuencia.Lasclavesaplicablesatodoelsistemasevuelvenagenerarmedianteesta
llamadadefunción.Losparámetrossonlossiguientes:
•NEW_OWNER_AUTH_DATA_PARAMETER
NuevacontraseñadepropietariodelMódulodeplataformasegura.
•CURRENT_OWNER_AUTH_DATA_PARAMETER
ContraseñadepropietarioactualdelMódulodeplataformasegura.
<tvt_deploymentxmlns="http://www.lenovo.com"
xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation="
http://www.lenovo.comcssDeploy.xsd">
<registry_settings/>
</tvt_deployment
<FUNCTION>
30ClientSecuritySolution8.21Guíadedespliegue
<ORDER>0001</ORDER>
<COMMAND>CHANGE_TPM_OWNER_AUTH_FUNCTION</COMMAND>
<NEW_OWNER_AUTH_DATA_PARAMETER>newPassWord</NEW_OWNER_AUTH_DATA_
PARAMETER>
<CURRENT_OWNER_AUTH_DATA_PARAMETER>oldPassWord</CURRENT_OWNER_AUTH
_DATA_PARAMETER>
<VERSION>1.0</VERSION>
</FUNCTION>
</CSSFile>
Nota:Estemandatonorecibesoporteenlamodalidaddeemulación.
ENROLL_USER_FUNCTION
EstemandatoregistraunusuariodeterminadoparautilizarClientSecuritySolution.Estafuncióncreatodas
lasclavesdeseguridadespecícasdelusuarioparaunusuariodeterminado.Losparámetrossonlos
siguientes:
•USER_NAME_PARAMETER
Nombredeusuariodelusuarioqueseregistrará.
•DOMAIN_NAME_PARAMETER
Nombrededominiodelusuarioqueseregistrará.
•USER_AUTH_DAT A_PARAMETER
FrasedepasodelMódulodeplataformaseguraocontraseñadeWindowsconlaquesecrearánlas
clavesdeseguridaddeusuario.
•WIN_PW_PARAMETER
LacontraseñadeWindows.
<tvt_deploymentxmlns="http://www.lenovo.com"
xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation="
http://www.lenovo.comcssDeploy.xsd">
<registry_settings/>
</tvt_deployment
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>ENROLL_USER_FUNCTION</COMMAND>
<USER_NAME_PARAMETER>sabedi</USER_NAME_PARAMETER>
<DOMAIN_NAME_PARAMETER>IBM-2AA92582C79<DOMAIN_NAME_PARAMETER>
<USER_AUTH_DATA_PARAMETER>myCssUserPassPhrase</USER_AUTH_DATA_PARAMETER>
<WIN_PW_PARAMETER>myWindowsPassword</WIN_PW_PARAMETER>
<VERSION>1.0</VERSION>
</FUNCTION>
</CSSFile>
USER_PW_RECOVERY_FUNCTION
Estemandatoconguraunarecuperacióndecontraseñadeunusuariodeterminado.Losparámetros
sonlossiguientes:
•USER_NAME_PARAMETER
Nombredeusuariodelusuarioqueseregistrará.
•DOMAIN_NAME_PARAMETER
Nombrededominiodelusuarioqueseregistrará.
•USER_PW_REC_QUESTION_COUNT
Númerodepreguntasqueelusuariodeberesponder.
Capítulo3.CómotrabajarconClientSecuritySolution31
•USER_PW_REC_ANSWER_DATA_PARAMETER
Respuestaalmacenadaaunapreguntadeterminada.Elnombrerealdeesteparámetroestáconectadoa
unnúmeroquesecorrespondeconlapreguntaalaqueresponde.
•USER_PW_REC_STORED_PASSWORD_PARAMETER
Contraseñaalmacenadaquesepresentaalusuariounavezquesehancontestadotodaslaspreguntas
correctamente.
<tvt_deploymentxmlns="http://www.lenovo.com"
xmlns:xsi="http://www.w3.org/2001/XML Schema-instance"xsi:schemaLocation="
http://www.lenovo.comcssDeploy.xsd">
<registry_settings/>
</tvt_deployment
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>USER_PW_RECOVERY_FUNCTION</COMMAND>
<USER_NAME_PARAMETER>sabedi</USER_NAME_PARAMETER>
<DOMAIN_NAME_PARAMETER>IBM-2AA92582C79<DOMAIN_NAME_PARAMETER>
<USER_PW_REC_ANSWER_DATA_PARAMETER>Test1</USER_PW_REC_ANSWER_DATA_PARA
METER>
<USER_PW_REC_ANSWER_DATA_PARAMETER>Test2</USER_PW_REC_ANSWER_DATA_PARA
METER>
<USER_PW_REC_ANSWER_DATA_PARAMETER>Test3</USER_PW_REC_ANSWER_DATA_PARA
METER>
<USER_PW_REC_QUESTION_COUNT>3</USER_PW_REC_QUESTION_COUNT>
<USER_PW_REC_QUESTION_LIST>20000,20001,20002</USER_PW_REC_QUESTION_LIST>
</USER_PW_REC_STORED_PASSWORD_PARAMETER>Pass1word</USER_PW_REC_STORED_PASS
WORD_PARAMETER>
<VERSION>1.0</VERSION>
</FUNCTION>
</CSSFile>
GENERATE_MUL TI_FACTOR_DEVICE_FUNCTION
EstemandatogeneralosdispositivosdevariosfactoresdeClientSecuritySolutionutilizadosparala
autenticación.Losparámetrossonlossiguientes:
•USER_NAME_PARAMETER-Nombredeusuariodeladministrador.
•DOMAIN_NAME_PARAMETER-Nombrededominiodeladministrador.
•MULTI_FACTOR_DEVICE_USER_AUTH-FrasedepasodeClientSecurityocontraseñadeWindows
paracrearlasclavesdeseguridaddeusuario.
<?xmlversion="1.0"encoding="UTF-8"standalone="no"?>
<CSSFile=xmlns="www.ibm.com/security/CSS">
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>GENERATE_MULTI_FACTOR_DEVICE_FUNCTION</COMMAND>
<USER_NAME_PARAMETER>myUserName</USER_NAME_PARAMETER>
<DOMAIN_NAME_PARAMETER>domainName</DOMAIN_NAME_PARAMETER>
<MULTI_FACTOR_DEVICE_USER_AUTH>myCssUserPassPhrase</MUL TI_FACTOR_DEVICE_USER_AUTH>
<VERSION>1.0</VERSION>
</FUNCTION>
</CSSFile>
SETUP_PDA_FUNCTION
EstemandatoconguraelÁreapreviaalescritorioparasuusoconClientSecuritySolution:
<?xmlversion="1.0"encoding="UTF-8"standalone="no"?>
<CSSFile=xmlns="www.ibm.com/security/CSS">
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>SETUP_PDA_FUNCTION</COMMAND>
32ClientSecuritySolution8.21Guíadedespliegue
<VERSION>1.0</VERSION>
</FUNCTION>
</CSSFile>
SET_USER_AUTH_FUNCTION
EstemandatoestablecelaautenticacióndeusuariodeClientSecuritySolution:
<?xmlversion="1.0"encoding="UTF-8"standalone="no"?>
<CSSFile=xmlns="www.ibm.com/security/CSS">
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>SET_USER_AUTH_FUNCTION</COMMAND>
<VERSION>1.0</VERSION>
</FUNCTION>
</CSSFile>
UtilizacióndeseñalesRSASecurID
Aprovechandoelmétododealgoritmodecifradodelosdatosdecifrado,lautilizacióndelasseñalesRSA
SecurIDademásdeClientSecuritySolutionproporcionaráseguridaddemúltiplesfactores.Utilizando
señalesRSASecurID,losusuariosseautenticanenlasredesyelsoftwareutilizandosuIDdeusuarioo
PINyundispositivodeseñal.Eldispositivodeseñalmuestraunaseriedenúmerosquecambiancada
sesentasegundos.Estemétododeautenticaciónproporcionaunnivelmuchomásabledeautenticación
deusuarioquelascontraseñasreutilizables.
InstalacióndelaseñaldesoftwareRSASecurID
CompletelospasossiguientesparainstalarelsoftwareRSASecurID:
1.Vayaalsiguientesitioweb:
http://www.rsasecurity.com/node.asp?id=1156
2.Completeelprocesoderegistro.
3.DescargueeinstaleelsoftwareRSASecurID.
Requisitos
1.CadausuariodeWindowsdebeestarregistradoconClientSecuritySolutionparaqueelsoftwarede
RSAfuncionecorrectamentedespuésdehabersidoasociadoconClientSecuritySolution.
2.ElsoftwaredeRSAentraráenunbucleinnitointentandolaautenticaciónconunusuariodeWindows
quenoestáregistradoenClientSecuritySolution.RegistreelusuarioconClientSecuritySolution
parasolucionaresteproblema.
EstablecimientodelasopcionesdeaccesodelaSmartCard
ParaestablecerlasopcionesdeaccesodelaSmartCard,completelospasossiguientes:
1.EnelmenúprincipaldeRSASecurID,pulseToolsyluegoSmartCardAccessOptions.
2.EnelpanelSmartCardCommunication,seleccioneelbotóndeseleccióndeAccesstheSmartCard
throughaPKCS#11module .
3.PulseelbotónBrowseynaveguehastalasiguientevíadeacceso:
C:\ProgramFiles\LENOVO\ClientSecuritySolution\csspkcs11.dll .
4.Pulseelarchivocsspkcs11.dllyluegopulseSelect.
5.PulseOK.
Capítulo3.CómotrabajarconClientSecuritySolution33
InstalaciónmanualdelaseñaldesoftwareRSASecurID
ParaaprovecharlaproteccióndeClientSecuritySolutionconlaseñaldesoftwaredeRSASecurID,
completelospasossiguientes:
1.EnelmenúprincipaldeRSASecurIDSoftwareToken,pulseFiley,acontinuación,pulseImportTokens.
2.NaveguehastalaubicacióndelarchivoSDTIDyluegopulseOpen.
3.EnelpanelSelectToken(s)toInstall,resaltelosnúmerosdeseriedelasseñalesdesoftwareque
desee.
4.PulseTransferSelectedTokensSmartCard.
Nota: Silaseñaltieneunacontraseñadedistribución,especiquelacontraseñacuandoselesolicite.
5.PulseOK.
SoportedeActiveDirectory
LasiguientevíadeaccesoproporcionalavíadeaccesodeldirectorioparaelmóduloPKCS#11deClient
SecuritySolution:
C:\ProgramFiles\Lenovo\ClientSecuritySolution\csspkcs11.dll
ParaaprovecharelmóduloPKCS#11deClientSecuritySolution,sedebenestablecerlaspolíticas
siguientesparaActiveDirectory:
1.FirmaPKCS#11
2.DescifradoPKCS#11
LatablasiguienteproporcionaelcampoyladescripciónmodicablesdelaspolíticasdePKCS#11:
Tabla10.ThinkVantage\ClientSecuritySolution\Políticasdeautenticación\FirmaPKCS#11\Modalidadde
personalización
Campos CSS.ADM
Campomodicable
Descripcióndelcampo Controlasisenecesitacontraseñaofrasedepaso.
Valoresposibles •Habilitado
Necesario
–Cadavez
–Unavezporcadainiciodesesión
•Deshabilitado
•Nocongurado
Valoresypolíticasparalaautenticaciónconellectordehuellas
dactilares
Opciónomisióndehuelladactilarobligada
Laopcióndeomisióndelahuelladactilarpermitequeunusuarioomitalaautenticacióndehuelladactilary
utiliceunacontraseñadeWindowsparainiciarlasesión.Elusuariopuedeseleccionarodeseleccionaresta
opciónenlainterfazdeusuariodePasswordManagercuandoañadeunaentradanueva.
Sinembargo,deformapredeterminada,laomisióndelahuelladactilarsehabilitaaunquenoseseleccione
laopción.EstoesasíparapermitirqueelusuarioinicielasesiónenWindowscuandoelsensordehuellas
34ClientSecuritySolution8.21Guíadedespliegue
dactilaresnoesfuncional.Parainhabilitarlaopcióndeomisióndehuelladactilarobligada,editelasiguiente
clavederegistro:
[HKEY_LOCAL_MACHINE\SOFTWARE\Lenovo\ClientSecuritySolution\CSSConguration]
"GinaDenyLogonDeviceNonEnrolled"=dword:00000001
Cuandolaclavederegistroestáestablecidacomoseindicabaanteriormente,elusuarionopuedeomitirla
autenticacióndelahuelladactilarsielsensordehuellasdactilaresnofunciona.
Resultadodepasareldedoporeldispositivodehuelladactilar
Durantelaautenticacióndelahuelladactilar,lapolíticasiguienteeslaencargadadecontrolarlavisualización
delosresultadosdepasareldedoporeldispositivodehuelladactilar.
HKLM\Lenovo\TVTCommon\ClientSecuritySolution\FPSwipeResult
•FPSwipeResult=0:Muestratodoslosmensajes.
•FPSwipeResult=1:Muestrasolamentelosmensajesdeanomalía(valorpredeterminado).
•FPSwipeResult=2:Nomostrarningúnmensaje.
Herramientasdelalíneademandatos
LosadministradoresdeTIdelaempresatambiénpuedenimplementarlasfuncionesdeThinkVantage
Technologiesdeformalocaloremotamediantelainterfazdelalíneademandatos.Losvaloresde
conguraciónsepuedenmantenermediantevaloresdelarchivodetextoremoto.
ClientSecuritySolutioncontienelassiguientesherramientasdelalíneademandatos:
• “SecurityAdvisor”enlapágina35
• “AsistentedeconguracióndeClientSecuritySolution”enlapágina36
• “Herramientadecifradoodescifradodelarchivodedespliegue”enlapágina37
• “Herramientadeprocesodelarchivodedespliegue”enlapágina38
• “TPMENABLE.EXE”enlapágina38
• “Herramientadetransferenciadecerticados”enlapágina38
• “HerramientadeactivacióndeTPM”enlapágina39
SecurityAdvisor
ParaejecutarSecurityAdvisordesdeClientSecuritySolution,pulse
Inicio->Programas->ThinkVantage->ClientSecuritySolution.PulseAvanzadasyseleccioneValoresde
seguridaddeauditoría.EjecutaC:\Archivosdeprograma\Lenovo\CommonFiles\WST\wst.exeparauna
instalaciónpredeterminada.
Losparámetrossonlossiguientes:
Tabla11.Parámetros
Parámetros Descripción
HardwarePasswords
PowerOnPassword
HardDrivePassword
Estableceelvalordelacontraseñadehardware.
1mostraráestasección,0laocultará.Elvalor
predeterminadoes1.
Estableceelvalordequesedebehabilitarunacontraseña
deencendido,oelvalorapareceráresaltado.
Estableceelvalordequesedebehabilitarunacontraseña
dediscoduro,oelvalorapareceráresaltado.
Capítulo3.CómotrabajarconClientSecuritySolution35
Tabla11.Parámetros(continuación)
Parámetros Descripción
AdministratorPassword
WindowsUsersPasswords
Contraseña
PasswordAge
PasswordNeverExpires
WindowsPasswordPolicy
MinimumPasswordLength
MaximumPasswordAge
ScreenSaver Estableceelvalordelprotectordepantalla.1mostrará
ScreenSaverPasswordSet
ScreenSaverTimeout Estableceelvalordecuáldebesereltiempodeespera
FileSharing Estableceelvalordelacomparticióndearchivos.1
AuthorizedAccessOnly
ClientSecurity EstableceelvalordeClientSecurity.1mostraráesta
EmbeddedSecurityChip
ClientSecuritySolution EstableceelvalordequéversióndeClientSecurity
Estableceelvalordequesedebehabilitarunacontraseña
deadministrador,oelvalorapareceráresaltado.
Estableceelvalordelacontraseñadeusuariode
Windows.1mostraráestasección,0laocultará.Sino
estápresente,semuestradeformapredeterminada.
Estableceelvalordequesedebehabilitarlacontraseña
deusuario,oelvalorapareceráresaltado.
Estableceelvalordecuáldebeserlaantigüedadde
lacontraseñadeWindowsenestamáquina,oelvalor
apareceráresaltado.
EstableceelvalordequelacontraseñadeWindows
nuncacaducará,oelvalorapareceráresaltado.
Estableceelvalordelapolíticadecontraseñade
Windows.1mostraráestasección,0laocultará.Sino
estápresente,semuestradeformapredeterminada.
Estableceelvalordecuáldebeserlalongitudde
lacontraseñaenestamáquina,oelvaloraparecerá
resaltado.
Estableceelvalordecuáldebeserlaantigüedadde
lacontraseñaenestamáquina,oelvaloraparecerá
resaltado.
estasección,0laocultará.Sinoestápresente,se
muestradeformapredeterminada.
Estableceelvalordequeelprotectordepantalladebe
tenercontraseña,oelvalorapareceráresaltado.
delprotectordepantallaenestamáquina,oelvalor
apareceráresaltado.
mostraráestasección,0laocultará.Sinoestápresente,
semuestradeformapredeterminada.
Estableceelvalordequesedebeestablecerelacceso
autorizadoparalacomparticióndearchivos,oelvalor
apareceráresaltado.
sección,0laocultará.Sinoestápresente,semuestra
deformapredeterminada.
Estableceelvalordequesedebehabilitarelchipde
seguridad,oelvalorapareceráresaltado.
Solutiondebeestarenestamáquina,oelvaloraparecerá
resaltado.
AsistentedeconguracióndeClientSecuritySolution
ElAsistentedeconguracióndeClientSecuritySolutionseutilizaparagenerarscriptsdedespliegue
mediantearchivosXML.Elsiguientemandatovisualizalasdistintasfuncionesdelasistente:
"C:\ProgramFiles\Lenovo\ClientSecuritySolution\css_wizard.exe"/?
36ClientSecuritySolution8.21Guíadedespliegue
LatablasiguienteproporcionalosmandatosparaelAsistentedeconguracióndeClientSecuritySolution.
Tabla12.MandatosparaelasistentedeconguracióndeClientSecuritySolution
Parámetro Resultado
/ho/?
/name:NOMBREARCHIVO Precedealavíadeaccesocalicadatotalmenteyal
/encrypt CifraelarchivoscriptutilizandocifradoAES.Siestá
/pass: Precedealafrasedepasoparalaproteccióndelarchivo
/novalidate Inhabilitalascapacidadesdecomprobaciónde
Visualizaelrecuadrodemensajedeayuda
nombredearchivodelarchivodedesplieguegenerado.
Elarchivotendráunaextensión.xml.
cifrado,alnombredearchivoseañadirálaextensión.enc.
Sinoseutilizaelmandato/pass,seutilizaunafrasede
pasoestáticaparaocultarelarchivo.
dedesplieguecifrado.
contraseñayfrasedepasodelasistente,deformaque
sepuedegenerarunarchivoscriptenunamáquinaya
congurada.Porejemplo,esposiblequelacontraseñade
administradorenlamáquinaactualnosealacontraseña
deadministradorquesedeseetenerentodalaempresa.
Utiliceelmandato/novalidateparaquepuedaescribir
unacontraseñadeadministradordistintaenlaGUIde
css_wizarddurantelacreacióndelarchivoxml.
Ejemplo:
css_wizard.exe/encrypt/pass:mysecret/name:C:\DeployScript/novalidate
Herramientadecifradoodescifradodelarchivodedespliegue
EstaherramientaseutilizaparacifrarodescifrarlosarchivosdedespliegueXMLdeClientSecurity.El
siguientemandatovisualizalasdistintasfuncionesdelaherramienta:
"C:\ProgramFiles\Lenovo\ClientSecuritySolution\xml_crypt_tool.exe"/?
Losparámetrossemuestranenlatablasiguiente:
Tabla13.ParámetrosparaelcifradoodescifradodearchivosdedespliegueXMLdeClientSecurity
Parámetros Resultados
/ho/?
FILENAME
encryptodecrypt
PASSPHRASE Visualizaelparámetroopcionalqueesnecesariosise
Ejemplos:
xml_crypt_tool.exe"C:\DeployScript.xml"/encrypt"mysecret"
y
xml_crypt_tool.exe"C:\DeployScript.xml.enc"/decrypt"mysecret"
Visualizaelmensajedeayuda
Visualizaelnombredevíadeaccesoyelnombrede
archivoconlaextensión.xmlo.enc
Selecciona/encryptparaarchivos.xmly/decryptpara
archivos.enc
utilizaunafrasedepasoparaprotegerelarchivo.
Capítulo3.CómotrabajarconClientSecuritySolution37
Herramientadeprocesodelarchivodedespliegue
Laherramientavmserver.exeprocesalosscriptsdedespliegueXMLdeClientSecuritySolution.Elsiguiente
mandatovisualizalasdistintasfuncionesdelasistente:
"C:\ProgramFiles\Lenovo\ClientSecuritySolution\vmserver .exe"/?
Latablasiguienteproporcionalosparámetrosparaprocesararchivos.
Tabla14.Parámetrosparaelprocesodearchivos
Parámetro Resultado
FILENAME
PASSPHRASE ElparámetroPASSPHRASEseutilizaparadescifrarun
ElparámetroFILENAMEdebetenerunaextensiónde
archivoXMLoENC
archivoconlaextensiónENC
Ejemplo:
Vmserver.exeC:\DeployScript.xml.enc"mysecret"
TPMENABLE.EXE
Elarchivotpmenable.exeseutilizaparaactivarodesactivarelchipdeseguridad.
Tabla15.Parámetrosparaelarchivotpmenable.exe
Parámetro Descripción
/enableo/disable
/quiet Ocultalosindicadoresdesolicitudparalacontraseñao
sp:contraseña ParaWindows2000yXPsolamente,paralacontraseña
Activaodesactivaelchipdeseguridad.
loserroresdelBIOS.
deadministrador/supervisordelBIOSnoutilicecomillas
alrededordelacontraseña.
Ejemplo:
tpmenable.exe/enable/quiet/sp:MyBiosPW
Herramientadetransferenciadecerticados
LatablasiguienteproporcionalosconmutadoresdelalíneademandatosdelaherramientaTransferenciade
certicadosdeClientSecuritySolution:
Tabla16.css_cert_transfer_tool.exe<cert_store_type><lter_type>:<name|size>|all_access|usage
Parámetro Descripción
<cert_store_type>
Ejemplos :
cert_store_user
cert_store_machine
cert_store_all
Eselprimerparámetronecesario.Sedebeutilizarcomoelprimer
conmutadorydebeincluirunodelosejemplossiguientes:
Transeresolamentecerticadosdeusuario.Los
certicadosdeusuarioseasignanalusuarioactual.
Transeresolamentecerticadosdemáquina.Los
certicadosdemáquinalospuedenutilizartodoslos
usuariosautorizadosenunamáquina.
Transeretantotiposdecerticadodeusuariocomode
máquina.
38ClientSecuritySolution8.21Guíadedespliegue
Tabla16.css_cert_transfer_tool.exe<cert_store_type><lter_type>:<name|size>|all_access|usage(continuación)
Parámetro Descripción
<lter_type>:<name|size>
Ejemplos :
Lossiguientesdosconmutadoressonindependientes;notienenunsegundoargumento:
all_access
usage
subject_simple_name:<name>
subject_friendly_name:<name> Transeretodosloscerticadosquecoincidanconel
issuer_simple_name:<name>
ssuer_friendly_name:<name> Transeretodosloscerticadosquecoincidanconel
key_size:<size>
Transeretodosloscerticados,nolosltra.
Noproporcionainformaciónsobrelalíneademandatos,perolafunciónqueseutilizaparadeterminar
elusocorrectoseconvertiráenverdaderaofalsasilosmandatosquesepasansoncorrectosono.
Setratadelsegundoparámetronecesario.Debeutilizarsedespués
delparámetronecesario<cert_store_type>.Cadatipodeltro(salvo
elqueseindicaacontinuación)debellevarunsignodedospuntos:
despuésydebetenerelnombredeltemadelcerticado,laautorización
oeltamañodelaclavequesebuscainmediatamentedespuésdelos
dospuntos.Esteprogramadeutilidadessensiblealasmayúsculasy
minúsculasysielnombrequebuscaesunnombrecompuesto,como
porejemplo“AutorizaciónCA” ,tendráqueutilizarlascomillas“”enel
criteriodebúsqueda(fíjeseenlosejemplos).
Transeretodosloscerticadosquecoincidanconel
nombrequeemiteelcerticado,siendoelnombredel
<name>.
nombrefamiliarqueemiteelcerticado,siendoelnombre
familiar<name>.
Transeretodosloscerticadosquecoincidanconel
nombredelaentidademisoradecerticadosquelosha
emitido,siendoelnombredelaentidad<name>.
nombrefamiliardelaentidademisoradecerticadosque
loshaemitido,siendoelnombrefamiliardelaentidad
<name>.
Transeretodosloscerticadosquesehancifradoconel
tamañodeclave<size>enbits.Observequesetratadeun
criteriodecoincidenciaexacto;elprogramanobuscará
certicadoscifradosconuntamañodeclavequeseamás
omenosdelmismotamaño.
HerramientadeactivacióndeTPM
Elarchivotpm_activate_cmd.exeseutilizaparaactivarodesactivarTPMenelsistemaLenovo.
Nota: Necesitaprivilegiosdeadministradorparaejecutarestemandato.
Tabla17.ParámetrosparaactivarodesactivarTPMensistemasLenovo
Parámetro Descripción
/helpo/? Muestralalistadeparámetros.
/biospw:contraseña
/deactivate
/verbose
Especicalacontraseñadelsupervisorodel
administradordelBIOSsisehaestablecidoalguna.
DesactivaTPM.
Nota: Siejecutaruntpm_activate_cmd.exesinel
parámetro/deactivate,deformapredeterminada,
activaráTPM.
Muestraunasalidadetexto.
Capítulo3.CómotrabajarconClientSecuritySolution39
Ejemplo:
tpm_activate_cmd.exe/?
tpm_activate_cmd.exe/verbose
tpm_activate_cmd.exe/biospw:pass
SoportedeActiveDirectory
ActiveDirectoryesunserviciodedirectorios.Eldirectorioesdondesealmacenalainformaciónsobrelos
usuariosylosrecursos.Elserviciodedirectoriospermiteelacceso,deformaquesepuedemanipular
estosrecursos.
ActiveDirectoryproporcionaunmecanismoqueotorgaalosadministradoreslacapacidaddegestionar
sistemas,usuarios,dominios,políticasdeseguridadycualquiertipodeobjetosdenidosporelusuario.
ElmecanismoutilizadoporActiveDirectorypararealizarestoseconocecomoPolíticadegrupos.Con
laPolíticadegrupos,losadministradoresdenenvaloresquesepuedenaplicaralossistemasoalos
usuariosdeldominio.
LosproductosdeTecnologíaThinkVantageutilizanactualmenteunavariedaddemétodospararecopilar
valoresutilizadosandecontrolarvaloresdelprograma,incluyendoleerentradasespecícasderegistro
denidasporlaaplicación.
LosejemplossiguientessonvaloresqueActiveDirectorypuedegestionarparaClientSecuritySolution:
•Políticasdeseguridad.
•Políticasdeseguridadpersonalizadas;comoporejemplosidebeutilizarunacontraseñadeWindows
ounafrasedepasodeClientSecuritySolution.
Archivosdeplantillaadministrativa(ADM)
ElarchivodeplantillaADM(administrativa)denevaloresdepolíticautilizadosporlasaplicacionesen
lossistemascliente.Laspolíticassonvaloresespecícosquerigenelcomportamientodelaaplicación.
Además,losvaloresdepolíticadenensisepermitiráalusuarioestablecervaloresespecícosenla
aplicación.
Losvaloresdenidosporunadministradorenelservidorsedenencomopolíticas.Losvaloresdenidos
porunusuarioenelsistemaclienteparaunaaplicaciónsedenencomopreferencias.Comodene
Microsoft,losvaloresdepolíticatienenprioridadsobrelaspreferencias.
Porejemplo,unusuariopuedeponerunaimagendefondoensuescritorio.Esteeselvalordepreferencia
delusuario.Unadministradorpuededenirunvalorenelservidorquedictequeunusuariodebeutilizaruna
imagendefondoespecíca.Elvalordelapolíticadeadministradormodicarálapreferenciaestablecidapor
elusuario.
CuandounproductodeTecnologíaThinkVantagecompruebaunvalor,buscaráelvalorenelordensiguiente:
•Políticasdelsistema
•Políticasdelusuario
•Políticasdelusuariopredeterminadas
•Preferenciasdelsistema
•Preferenciasdelusuario
•Preferenciaspredeterminadasdelusuario
Comosehadescritoanteriormente,laspolíticasdelsistemaydelusuariolasdeneeladministrador.
EstosvaloressepuedeninicializarmedianteelarchivodeconguraciónXMLomedianteunaPolíticade
40ClientSecuritySolution8.21Guíadedespliegue
grupoenActiveDirectory.Laspreferenciasdelsistemaydelusuariolasestableceelusuarioenelsistema
clientemediantelasopcionesdelainterfazdelasaplicaciones.ElscriptdeconguraciónXMLinicializalas
preferenciaspredeterminadasdelusuario.Losusuariosnocambianlosvaloresdirectamente.Loscambios
realizadosenestosvaloresporunusuarioseactualizaránenlaspreferenciasdelusuario.
LosclientesquenoutilicenActiveDirectorypuedencrearunconjuntopredeterminadodevaloresdepolítica
paraquesedesplieguenenlossistemascliente.Losadministradorespuedenmodicarlosscriptsde
conguraciónXMLyespecicarqueseprocesendurantelainstalacióndelproducto.
Denicióndevaloresgestionables
Elejemplosiguientemostrarálosvaloreseneleditordepolíticasdegrupoutilizandolasiguientejerarquía:
ComputerConguration>AdministrativeTemplates>ThinkVantageT echnologies>
ClientSecuritySolution>AuthenticationPolicies>MaxRetries>
Passwordnumberofretries
LosarchivosADMindicanenquélugardelregistrosereejaránlosvalores.Estosvaloresestaránubicados
enlassiguientesubicacionesderegistro:
Computerpolicies:
HKLM\Software\Policies\Lenovo\ClientSecuritySolution\
Userpolicies:
HKCU\Software\Policies\Lenovo\ClientSecuritySolution\
Def aultuserpolicies:
HKLM\Software\Policies\Lenovo\ClientSecuritySolution\Userdef aults
Computerpref erences:
HKLM\Software\Lenovo\ClientSecuritySolution\
Userpref erences:
HKCU\Software\Lenovo\ClientSecuritySolution\
Def aultuserpreferences:
HKLM\Software\Lenovo\ClientSecuritySolution\Userdef aults
Valoresdelapolíticadegrupo
LastablasdeestasecciónproporcionanvaloresdepolíticaparalaConguracióndelsistemayla
ConguracióndeusuarioparaClientSecuritySolution.
Númeromáximodereintentos
LatablasiguienteproporcionavaloresdepolíticaparalasPolíticasdeautenticación,Númeromáximode
reintentos.
Tabla18. Conguracióndelsistema➙ThinkVantage➙ClientSecuritySolution➙Políticasdeautenticación➙
Númeromáximodereintentos
Política Valorhabilitado descripción
Númerodereintentos
decontraseña
Númerodereintentos
defrasedepaso
Númerodereintentos
mediantehuelladactilar
Elnúmeromáximo
dereintentoses20.
Elnúmeromáximo
dereintentoses20.
Elnúmeromáximo
dereintentoses20.
Controlaelnúmeromáximodevecesqueunusuariopuedeintentar
autenticarsemediantelacontraseñadeWindowsantesderecurrira
modicartemporalmentelapolítica.
Controlaelnúmeromáximodevecesqueunusuariopuedeintentar
autenticarsemediantelafrasedepasodeClientSecurityantesde
recurriramodicartemporalmentelapolítica.
Controlaelnúmeromáximodevecesqueunusuariointenta
autenticarsemediantelahuelladactilarantesderecurriraalterar
temporalmentelapolítica.
Capítulo3.CómotrabajarconClientSecuritySolution41
Modalidadsegura
LatablasiguienteproporcionavaloresdepolíticaparalasPolíticasdeautenticación,Modalidadsegura.
Tabla19. Conguracióndelsistema➙Plantillasadministrativas➙ThinkVantage➙ClientSecuritySolution
➙Políticasdeautenticación➙Modalidadsegura
Política Valoreshabilitados descripción
Contraseña Establecelafrecuenciaen CadavezoUnavezpor
iniciodesesión.
Passphrase
Fingerprint
Alterar
temporalmente
EstablecelafrecuenciaenCadavezoUnavezpor
iniciodesesión .
EstablecelafrecuenciaenCadavezoUnavezpor
iniciodesesión .
Establecequesealteretemporalmentela
contraseña,frasedepasoohuelladactilar.
Controlasiesnecesariaunacontraseña.
Controlasiesnecesariaunafrasede
paso.
Controlasiesnecesarialahuella
dactilar.
Silaautenticaciónnormalfalla,dene
losrequisitosdeautenticaciónalosque
recurrir.
Modalidadpredeterminada
LatablasiguienteproporcionavaloresdepolíticaparalasPolíticasdeautenticación,Modalidad
predeterminada.
Tabla20. Conguracióndelsistema➙Plantillasadministrativas➙ThinkVantage➙ClientSecuritySolution➙
Políticasdeautenticación➙Modalidadpredeterminada
Política Valoreshabilitados descripción
Contraseña Puedeestablecerlafrecuenciaa CadavezoUna
vezporiniciodesesión.
Passphrase
Fingerprint
Alterar
temporalmente
PuedeestablecerlafrecuenciaaCadavezoUna
vezporiniciodesesión .
PuedeestablecerlafrecuenciaaCadavezoUna
vezporiniciodesesión .
Establecequesealteretemporalmentela
contraseña,frasedepasoohuelladactilar.
Controlasiesnecesariaunacontraseña.
Controlasiesnecesariaunafrasede
paso.
Controlasiesnecesarialahuella
dactilar.
Silaautenticaciónnormalfalla,dene
losrequisitosdeautenticaciónalosque
recurrir.
Políticasdeautenticación
Lalistasiguientedepolíticascontienevaloreshabilitadosquedenenelniveldeautenticacióndecada
política:
•NiveldeautenticacióndeiniciodesesióndeWindows
•Niveldeautenticacióndedesbloqueodelsistema
•NiveldeautenticacióndePasswordManager
•NiveldeautenticacióndermaCSP
•NiveldeautenticacióndecifradoCSP
•NiveldeautenticacióndermaPKCS#11
•NiveldeautenticacióndedescifradoPKCS#11
•NiveldeautenticacióndeiniciodesesióndePKCS#11
Latablasiguienteproporcionavaloresyparámetrosparalosnivelesdeautenticaciónanteriores:
42ClientSecuritySolution8.21Guíadedespliegue
Tabla21. Conguracióndelsistema➙Plantillasadministrativas➙ThinkVantage➙ClientSecuritySolution➙
Políticasdeautenticación
Política Valoreshabilitados descripción
Contraseña Establecelafrecuenciaen CadavezoUnavezpor
iniciodesesión.
Passphrase
Fingerprint
Alterar
temporalmente
EstablecelafrecuenciaenCadavezoUnavezpor
iniciodesesión .
EstablecelafrecuenciaenCadavezoUnavezpor
iniciodesesión .
Establecequesealteretemporalmentela
contraseña,frasedepasoohuelladactilar.
Controlasiesnecesariaunacontraseña.
Controlasiesnecesariaunafrasede
paso.
Controlasiesnecesarialahuella
dactilar.
Silaautenticaciónnormalfalla,dene
losrequisitosdeautenticaciónalosque
recurrir.
PasswordManager
LatablasiguienteproporcionavaloresdepolíticaparaPasswordManager.
Tabla22. Conguracióndelsistema➙ThinkVantage➙ClientSecuritySolution➙Passwordmanager
Valordepolítica Descripción
InhabilitarPasswordManager
InhabilitarsoportedeInternetExplorer
InhabilitarsoportedeMozilla
Inhabilitarsoporteparaaplicacones
Windows
InhabilitarCompletardeforma
automática
Inhabilitarsoportedeteclasdecambio
demodalidad
Utilizarltrodedominios
Dominiosprohibidos
URLprohibidos
Módulosprohibidos ControlalasaplicacionesdeWindowsparalasqueseprohíbeaPassword
Tecladecambiodemodalidad
Completardeformaautomática
TecladecambiodemodalidadEscribir
ytransferir
TecladecambiodemodalidadGestionar ControlalatecladecambiodemodalidadCtrl+Mayús+B.
ControlasiPasswordManagerseiniciarácuandoseinicieelsistema.
ControlasiPasswordManagerpodráalmacenarcontraseñasdesde
InternetExplorer.
ControlasiPasswordManagerpodráalmacenarcontraseñasdesde
navegadoresbasadosenMozilla,incluyendoFirefoxyNetscape.
ControlasiPasswordManagerpodráalmacenarcontraseñasde
aplicacionesdeWindows.
ControlasiPasswordManagercompletarádeformaautomáticadatosen
lossitioswebylasaplicacionesdeWindows.
ControlasiPasswordManagerdarásoportealautilizacióndeteclasde
cambiodemodalidadparacompletardeformaautomáticadatosensitios
webyaplicacionesdeWindows.
ControlasiPasswordManagerltrarásitioswebenbasealosdominios.
ControlalosdominiosparalosqueseprohíbeaPasswordManager
almacenarcontraseñas.
ControlalosURLparalosqueseprohíbeaPasswordManageralmacenar
contraseñas.
Manageralmacenarcontraseñas.
ControlalatecladecambiodemodalidaddeCompletardeforma
automáticaCtrl+F2.
ControlalatecladecambiodemodalidadEscribirytransferir
Ctrl+Mayús+H.
UserInterface
Latablasiguienteproporcionavaloresdepolíticaparalainterfazdeusuario.
Capítulo3.CómotrabajarconClientSecuritySolution43
Tabla23. Conguracióndelsistema➙ThinkVantage➙ClientSecuritySolution➙Interfazdeusuario
Valordepolítica Descripción
OpciónSoftwaredehuellasdactilares Muestra,muestracomonoseleccionableuocultalaopciónSoftware
dehuellasdactilaresenlaaplicaciónClientSecuritySolution.Valor
predeterminado:Mostrar.
OpciónCifradodearchivos Muestra,muestracomonoseleccionableuocultalaopciónCifradode
archivosenlaaplicaciónClientSecuritySolution.Valorpredeterminado:
Mostrar.
OpciónAuditoríadevaloresde
seguridad
OpciónTransferenciadecerticados
digitales
OpciónCambiarestadodelchipde
seguridad
OpciónBorrarbloqueodechipde
seguridad
OpciónGestordepolíticas Muestra,muestracomonoseleccionableuocultalaopciónGestorde
OpciónRestaurar/Congurarvalores Muestra,muestracomonoseleccionableuocultalaopción“Asistente
OpciónPasswordManager Muestra,muestracomonoseleccionableuocultalaopciónPassword
OpciónRestablecercontraseñade
hardware
OpciónRecuperacióndecontraseñade
Windows
OpciónCambiarmodalidadde
autenticación
OpciónHabilitar/inhabilitar
Recuperacióndecontraseñade
Windows
OpciónHabilitar/inhabilitarPassword
Manager
Muestra,muestracomonoseleccionableuocultalaopciónAuditoría
devaloresdeseguridadenlaaplicaciónClientSecuritySolution.Valor
predeterminado:Mostrar.
Muestra,muestracomonoseleccionableuocultalaopciónTransferencia
decerticadosdigitalesenlaaplicaciónClientSecuritySolution.Valor
predeterminado:Mostrar.
Muestra,muestracomonoseleccionableuocultalaopciónEstado
delchipdeseguridadenlaaplicaciónClientSecuritySolution.Valor
predeterminado:Mostrar.
Muestra,muestracomonoseleccionableuocultalaopciónBorrarbloqueo
dechipdeseguridadenlaaplicaciónClientSecuritySolution.Valor
predeterminado:Mostrar.
políticasenlaaplicaciónClientSecuritySolution.Valorpredeterminado:
Mostrar.
deconguración”enlaaplicaciónClientSecuritySolution.Valor
predeterminado:Mostrar
ManagerenlaaplicaciónClientSecuritySolution.Valorpredeterminado:
Mostrar.
Muestra,muestracomonoseleccionableuocultalaopciónRestablecer
contraseñadehardwareenlaaplicaciónClientSecuritySolution.Valor
predeterminado:Mostrar.
Muestra,muestracomonoseleccionableuocultalaopciónRecuperación
decontraseñadeWindowsenlaaplicaciónClientSecuritySolution.Valor
predeterminado:Mostrar.
Muestra,muestracomonoseleccionableuocultalaopción“Cambiar
modalidaddeautenticación”enlaaplicaciónClientSecuritySolution.Valor
predeterminado:Mostrar
Muestra,muestracomonoseleccionableuocultalaopciónparahabilitar
oinhabilitarlarecuperacióndecontraseñadeWindowsenlaaplicación
ClientSecuritySolution.Valorpredeterminado:Mostrar
Muestra,muestracomonoseleccionableuocultalaopciónparahabilitar
oinhabilitarPasswordManagerenlaaplicaciónClientSecuritySolution.
Valorpredeterminado:Mostrar
Herramientadeseguridaddelaestacióndetrabajo
Latablasiguienteproporcionavaloresdepolíticaparalaherramientadeseguridaddelaestacióndetrabajo.
44ClientSecuritySolution8.21Guíadedespliegue
Tabla24. Conguracióndelsistema➙ThinkVantage➙ClientSecuritySolution➙Herramientadeseguridad
delaestacióndetrabajo
Política Valor Descripción
Contraseñasde
hardware
Contraseñasde
hardware
Contraseñasde
hardware
Contraseñasde
hardware
Contraseñasdeusuarios
deWindows
Contraseñasdeusuarios
deWindows
Contraseñasdeusuarios
deWindows
Contraseñasdeusuarios
deWindows
Políticadecontraseñade
Windows
Políticadecontraseñade
Windows
Políticadecontraseñade
Windows
Protectordepantalla Protectordepantalla
Protectordepantalla
Protectordepantalla Tiempodeesperadel
Compartimientode
archivos
Compartimientode
archivos
ClientSecurity ClientSecurity Habilitaoinhabilitalavisualizacióndelainformaciónde
ClientSecurity Chipdeseguridad
ClientSecurity ClientSecuritySolution
Contraseñasdehardware Habilitaoinhabilitalavisualizacióndelainformaciónde
contraseñasdehardware.
Contraseñadeencendido Seleccioneelvalorrecomendadocomohabilitaro
inhabilitaroseleccionequeseignoreestevalor.
Contraseñadediscoduro Seleccioneelvalorrecomendadocomohabilitaro
inhabilitaroseleccionequeseignoreestevalor.
Contraseñadeadministrador Seleccioneelvalorrecomendadocomohabilitaro
inhabilitaroseleccionequeseignoreestevalor.
Contraseñasdeusuariosde
Windows
Contraseña Seleccioneelvalorrecomendadocomohabilitaro
Antigüedaddecontraseña
Lacontraseñanuncacaduca
Políticadecontraseñade
Windows
Númeromínimode
caracteresenlacontraseña
Antigüedadmáximade
contraseña
Contraseñadeprotectorde
pantallaestablecida
protectordepantalla
Compartimientodearchivos Habilitaoinhabilitalavisualizacióndelainformaciónde
Accesoautorizado Elvalorrecomendadosepuedeestableceren'True',
incorporado
Versión
Habilitaoinhabilitalavisualizacióndelainformaciónde
contraseñadeusuariosdeWindows.
inhabilitaroseleccionequeseignoreestevalor.
Númeromáximodedíasquesepermitequeexistala
contraseña.
Elvalorrecomendadosepuedeestableceren'True',
'False'o'Ignore'.
Habilitaoinhabilitalavisualizacióndelainformaciónde
políticadecontraseñadeWindows.
Númeromínimodecaracteresquepuedetenerla
contraseña,o'Ignore'estevalor.
Valordeantigüedadmáximadecontraseña-númerode
díaso'Ignore'estevalorenlosresultados.
Habilitaoinhabilitalavisualizacióndelainformaciónde
políticadecontraseñadeWindows.
Númeromínimodecaracteresquepuedetenerla
contraseña,o'Ignore'estevalor.
Valordeantigüedadmáximadecontraseña-númerode
díaso'Ignore'estevalorenlosresultados.
compartimientodearchivos.
'False'o'Ignore'.
ClientSecurity.
Seleccioneelvalorrecomendadocomohabilitaro
inhabilitaroestablezcaqueseignoreestevalor.
EstablezcaelvalormínimorecomendadodeClientSecurity
Solutionoestablézcaloen'Ignore'.
ActiveUpdate
ActiveUpdateesunatecnologíadeeSupportqueutilizalosclientesdeactualizaciónenelsistemalocal
paraentregarlospaquetesquesedeseenenlawebsinningunainteraccióndelusuario.ActiveUpdate
consultalosclientesdeactualizacióndisponiblesyutilizaelclienteactualizadoparainstalarelpaqueteque
sedesee.ActiveUpdateiniciaráThinkVantageSystemUpdateoSoftwareInstallerenelsistema.
Capítulo3.CómotrabajarconClientSecuritySolution45
ParadeterminarsiActiveUpdateLauncherestáinstalado,compruebesiexistelasiguienteclavederegistro:
HKLM\software\lenovo\ActiveUpdate
ParallamaraActiveUpdate,elprogramadeTecnologíaThinkVantagequerealizalallamadadebeiniciarel
programaActiveUpdateLauncherypasarelarchivodeparámetros.(Consulteelarchivodeparámetrosde
ActiveUpdateparaverunadescripcióndelarchivodeparámetros).
ParainhabilitarelelementodemenúActiveUpdateLauncherenelmenúdeayudaparatodoslosprogramas
deTecnologíaThinkVantage:
1.VayaalaclavederegistroHKLM\software\lenovo\ActiveUpdate.
2.RenombreosuprimalaclaveActiveUpdate.
ArchivodeparámetrosdeActiveUpdate
ElarchivodeparámetrosdeActiveUpdatecontienelosvaloresquesedebenpasaraActiveUpdate.El
parámetroTargetAppsepasacomosemuestraenesteejemplo:
<root>
<TargetApp>ACCESSLENOVO</T argetApp>
</root>
<root>
<TargetApp>1EA5A8D5-7E33-11D2-B802-00104B21678D</TargetApp>
</root>
46ClientSecuritySolution8.21Guíadedespliegue
Capítulo4. CómotrabajarconelSoftwaredehuellasdactilares
deThinkVantage
LaconsoladehuellasdactilaressedebeejecutardesdelacarpetadeinstalacióndelSoftwaredehuellas
dactilares.LasintaxisbásicaesFPRCONSOLE[USER|SETTINGS].ElmandatoUSERoSETTINGS
especicaquéconjuntodelaoperaciónseutilizará.Elmandatocompletoserá“fprconsoleuseradd
TestUser”.Cuandonoseconoceelmandatoonoseespecicantodoslosparámetros,semostraráuna
cortalistademandatosjuntoconlosparámetros.
ParadescargarFingerprintSoftwareyManagementConsole,visiteelsitiowebdeLenovo:
http://www.lenovo.com/support/site.wss/document.do?sitestyle=lenovo&lndocid=HOME-LENOVO.
HerramientaConsoladegestión
Enestasecciónseproporcionainformaciónacercadelosmandatosespecícosdelusuarioydelos
mandatosdevaloresglobales.
Mandatosespecícosdelusuario
Pararegistraroeditarusuarios,seutilizalasecciónUSER.Cuandoelusuarioactualnotienederechosde
administrador,elcomportamientodelaconsoladependedelamodalidaddeseguridaddelSoftwarede
huellasdactilares.Modalidadsegura:nosepermiteningúnmandato.Modalidadcómoda:paraelusuario
estándarsonposibleslosmandatosADD,EDITyDELETE.Sinembargo,elusuariopuedemodicarsólosu
propiopasaporte(registradoconsunombredeusuario).Lasintaxiseslasiguiente:
FPRCONSOLEUSERcommand
dondecomandoesunodelossiguientesmandatos:ADD,EDIT,DELETE,LIST,IMPORT,EXPORT.
Tabla25.Mandatosespecícosdelusuario
Mandato Sintaxis Descripción
Registrarnuevousuario
Example:
fprconsoleuseradd
domain0\testuser
fprconsoleuseradd
testuser
Editarusuarioregistrado
Example:
fprconsoleuseredit
domain0\testuser
fprconsoleuseredit
testuser
ADD[username[|domain\
username]]
EDIT[username[|domain\
username]]
Sinoseespecicaelnombrede
usuario,seutilizaráelnombrede
usuarioactual.
Sinoseespecicaelnombrede
usuario,seutilizaráelnombrede
usuarioactual.
Nota: Elusuarioregistradodebe
vericarprimerosuhuelladactilar.
©CopyrightLenovo2008,2012
47
Tabla25.Mandatosespecícosdelusuario(continuación)
Mandato Sintaxis Descripción
Suprimirunusuario
Example:
fprconsoleuserdelete
domain0\testuser
fprconsoleuserdelete
testuser
fprconsoleuserdelete
/ALL
EnumerarusuariosregistradosList Listalosusuariosregistrados.
Exportarusuarioregistradoa
unarchivo
Importarusuarioregistrado
DELETE[username[|domain\
username|/ALL]]
Syntax:EXPORTusername
[|domain\username]le
Syntax:IMPORTleElmandatoimportaráelusuariodesde
Eldistintivo/ALLborrarátodoslos
usuariosregistradosenestesistema.
Sinoseespecicaelnombrede
usuario,seutilizaráelnombrede
usuarioactual.
Estemandatoexportaráunusuario
registradoaunarchivodelaunidad
dediscoduro.Acontinuación,el
usuariosepuedeimportarutilizando
elmandatoIMPORTenotrosistemao
enelmismosistema,sisesuprimeel
usuario.
elarchivoespecicado.
Nota: Sielusuarioenelarchivo
yaestáregistradoenelmismo
sistemautilizandolasmismashuellas
dactilares,nosegarantizaquéusuario
tendráprecedenciaenlaoperaciónde
identicación.
Mandatosdevaloresglobales
LosvaloresglobalesdelSoftwaredehuellasdactilaressepuedencambiarmediantelasecciónSETTINGS.
Todoslosmandatosenestasecciónnecesitanderechosdeadministrador.Lasintaxises:
FPRCONSOLESETTINGScommand
dondemandatoesunodelosmandatossiguientes:SECUREMODE,LOGON,CAD,TBX,SSO.
Tabla26.Mandatosdevaloresglobales
Mandato Sintaxis Descripción
Modalidaddeseguridad
Example:
Tosettoconvenientmode:
fprconsolesettings
securemode0
Tipodeiniciodesesión
MensajeCTRL+ALT+SUPR
SECUREMODE0|1
LOGON0|1[/FUS]
CAD0|1
Estevalorconmutaentrelasmodalidades
CómodaySeguradelSoftwaredehuellas
dactilares.
Estevalorhabilita(1)oinhabilita(0)la
aplicacióndeiniciodesesión.Siseutiliza
elparámetro/FUS,eliniciodesesiónestá
habilitadoenlamodalidaddeConmutación
rápidadeusuario,silaconguracióndel
sistemalopermite.
Estevalorhabilita(1)oinhabilita(0)eltexto
“PulseCtrl+Alt+Supr”eneliniciodesesión.
48ClientSecuritySolution8.21Guíadedespliegue
Tabla26.Mandatosdevaloresglobales(continuación)
Mandato Sintaxis Descripción
Seguridaddeencendido
Firmaúnicadeseguridadde
encendido
TBX0|1
SSO0|1
Estevalordesactivaglobalmente(0)el
soportedelaseguridaddeencendidoen
elsoftwaredehuellasdactilares.Cuando
elsoportedeseguridaddeencendido
estádesactivado,nosemuestraningún
asistentenipáginasdeseguridadde
encendido,ynoimportacuálessonlos
valoresdelBIOS.
Estevalorhabilita(1)oinhabilita(0)eluso
delashuellasdactilaresutilizadoenel
BIOSeneliniciodesesiónpararealizar
automáticamenteeliniciodesesióndel
usuariocuandosehavericadoelusuario
enelBIOS.
Modalidadseguraymodalidadcómoda
ElSoftwaredehuellasdactilaressepuedeejecutarendosmodalidadesdeseguridad,unamodalidad
segurayunamodalidadcómoda.Lamodalidadseguraestádestinadaparalassituacionesenlasquedesee
conseguirmayorseguridad.Lasfuncionesespecialesestánreservadassolamentealosadministradores.
Sóloellospuedeniniciarsesiónutilizandocontraseñassinautenticaciónadicional.
LamodalidadcómodaestádestinadaaPCdomésticosdondenoseatanimportanteunniveldeseguridad
alto.Todoslosusuariospuedenrealizartodaslasoperaciones,incluidaslaedicióndepasaportesde
otrosusuariosylaposibilidaddeiniciarsesiónenelsistemautilizandocontraseña(sinlaautenticación
dehuellasdactilares).
UnAdministradorescualquiermiembrodelgrupodeadministradores.Despuésdeestablecerlamodalidad
segura,sóloeladministradorpuedeconmutardenuevoalamodalidadcómoda.
Modalidadsegura-administrador
Paramejorarlaseguridad,siseespecicaelnombredeusuarioocontraseñaincorrectoseneliniciode
sesión,lamodalidadseguravisualizaelsiguientemensaje:“Sólolosadministradorespuedeniniciarsesión
enestesistemaconnombredeusuarioycontraseña”.
Tabla27.Opcionesparaadministradoresenlamodalidadsegura
Huellasdactilares Descripción
Crearunnuevopasaporte
Editarpasaportes
Suprimirpasaporte
Losadministradorespuedencrearsupropiopasaporte
ytambiénpuedencrearelpasaportedeunusuariocon
limitaciones.
Losadministradorespuedeneditarsólosupropio
pasaporte.
Losadministradorespuedensuprimirtodoslos
pasaportesdeusuariosconlimitacionesyotros
pasaportesdeadministrador.Siotrosusuariosestán
utilizandolaseguridaddeencendido,eladministrador
tendrálaopciónenestemomentodeeliminarlas
plantillasdeusuariodelaseguridaddeencendido.
Capítulo4.CómotrabajarconelSoftwaredehuellasdactilaresdeThinkVantage49
Tabla27.Opcionesparaadministradoresenlamodalidadsegura(continuación)
Huellasdactilares Descripción
Seguridaddeencendido
Settings
Valoresdeiniciodesesión
Protectordepantallaprotegido Losadministradorespuedenacceder.
Tipodepasaporte
Modalidaddeseguridad Losadministradorespuedenconmutarentrelamodalidad
ServidoresPro Losadministradorespuedenacceder-sóloimportante
Losadministradorespuedensuprimirlashuellas
dactilaresdelusuarioconlimitacionesydeladministrador
utilizadasenelencendido.
Nota: Debehabercomomínimounahuelladactilar
presentecuandolamodalidaddeencendidoestá
habilitada.
Losadministradorespuedenrealizarcambiosentodos
losvaloresdeiniciodesesión.
Losadministradorespuedenacceder-sóloimportante
conelservidor.
seguraylamodalidadcómoda.
conelservidor.
Modalidadsegura-usuarioconlimitaciones
DuranteuniniciodesesióndeWindows,unusuarioconlimitacionesdebeutilizarunahuelladactilarpara
iniciarlasesión.Siellectordehuellasdactilaresdelusuarioconlimitacionesnofunciona,seránecesario
queunadministradorcambieelvalordelsoftwaredehuellasdactilaresalamodalidadcómodaparahabilitar
elaccesomediantenombredeusuarioycontraseña.
Tabla28.Opcionesparausuariosconlimitacionesenlamodalidadsegura
Valor Descripción
Crearunnuevopasaporte
Editarpasaportes
Suprimirpasaporte Elusuarioconlimitacionespuedesuprimirsólosupropio
Seguridaddeencendido
Valoresdeiniciodesesión
Protectordepantallaprotegido Elusuarioconlimitacionespuedeacceder.
Tipodepasaporte Elusuarioconlimitacionesnopuedeacceder.
Modalidaddeseguridad
ServidoresPro Elusuarioconlimitacionespuedeacceder-sólo
Elusuarioconlimitacionesnopuedeacceder.
Elusuarioconlimitacionespuedeeditarsólosupropio
pasaporte.
pasaporte.
Elusuarioconlimitacionesnopuedeacceder.
Elusuarioconlimitacionesnopuedemodicarsus
valoresdeiniciodesesión.
Elusuarioconlimitacionesnopuedemodicarlas
modalidadesdeseguridad.
importanteconelservidor.
Modalidadcómoda-administrador
DuranteuniniciodesesióndeWindows,losadministradorespuedeniniciarlasesiónutilizandosupropio
nombredeusuarioycontraseñaosushuellasdactilares.
50ClientSecuritySolution8.21Guíadedespliegue
Tabla29.Opcionesparaadministradoresenlamodalidadcómoda
Valores Descripción
Crearunnuevopasaporte Losadministradorespuedencrearsólosupropio
pasaporte.
Editarpasaportes
Suprimirpasaporte Losadministradorespuedensuprimirsólosupropio
Seguridaddeencendido
Valoresdeiniciodesesión
Protectordepantallaprotegido Losadministradorespuedenacceder.
Tipodepasaporte
Modalidaddeseguridad Losadministradorespuedenconmutarentrelamodalidad
ServidoresPro Losadministradorespuedenacceder-sóloimportante
Losadministradorespuedeneditarsólosupropio
pasaporte.
pasaporte.
Losadministradorespuedensuprimirlashuellas
dactilaresdelusuarioconlimitacionesydeladministrador
utilizadasenelencendido.
Nota: Debehabercomomínimounahuelladactilar
presentecuandolamodalidaddeencendidoestá
habilitada.
Losadministradorespuedenrealizarcambiosentodos
losvaloresdeiniciodesesión.
Losadministradorespuedenacceder-sóloimportante
conelservidor.
seguraylamodalidadcómoda.
conelservidor.
Modalidadcómoda-usuarioconlimitaciones
DuranteuniniciodesesióndeWindows,losusuariosconlimitacionespuedeniniciarlasesiónutilizandosu
propionombredeusuarioosushuellasdactilares.
Tabla30.Opcionesparausuariosconlimitacionesenlamodalidadcómoda
Valores Descripción
Crearunnuevopasaporte Losusuariosconlimitacionespuedencrearsólosupropio
pasaporte.
Editarpasaportes
Suprimirpasaporte Losusuariosconlimitacionespuedensuprimirsólosu
Seguridaddeencendido Losusuariosconlimitacionespuedensuprimirsólosus
Valoresdeiniciodesesión
Protectordepantallaprotegido Losusuariosconlimitacionespuedenacceder.
Tipodepasaporte
Modalidaddeseguridad
ServidoresPro Losusuariosconlimitacionespuedenacceder-sólo
Losusuariosconlimitacionespuedeneditarsólosu
propiopasaporte.
propiopasaporte.
propiashuellasdactilares.
Losusuariosconlimitacionesnopuedenmodicarlos
valoresdeiniciodesesión.
Losusuariosconlimitacionesnopuedenacceder-sólo
relevanteconelservidor.
Losusuarioslimitadosnopuedenmodicarlas
modalidadesdeseguridad.
importanteconelservidor.
Capítulo4.CómotrabajarconelSoftwaredehuellasdactilaresdeThinkVantage51
Valorescongurables
Sepuedenconguraralgunasopcionesdelsoftwaredehuellasdactilaresmediantelosvaloresdelregistro.
•Interfazdelsoftwaredeprearranque/encendido:elmecanismoparahabilitarelsoportede
prearranqueoencendidomediantehuellasdactilaresyparaalmacenarlashuellasdactilaresenelchip
queloacompañanosevisualizanormalmenteenelsoftwaredehuellasdactilares,amenosquehaya
establecidasenelsistemacontraseñasdeBIOSodediscoduro.Andealterarestecomportamientoy
deforzarelhechodequeestasopcionessemuestrensinlaexistenciadecontraseñasdeBIOSode
discoduro,añadaalregistrounadelasopcionessiguientes,laquecorrespondaaltipodemáquina
quedispone:
[HKEY_LOCAL_MACHINE\SOFTWARE\ProtectorSuiteQL\1.0]
EG_DWORD"BiosFeatures"=2
o
[HKEY_LOCAL_MACHINE\SOFTWARE\ProtectorSuiteQL\1.0]
REG_DWORD"BiosFeatures"=4
EstevaloresútilcuandoSafeGuardEasyestáinstaladoenunsistemasincontraseñasdeBIOSyestá
utilizandoautenticacióndehuellasdactilaresparadescifrareldiscoduro.
•Sonidos:sepuedecongurarelsoftwaredehuellasdactilaresparareproducirunsonidocontenidoenun
archivo.wavendistintascircunstanciasduranteelprocesodeautenticacióndehuellasdactilares.Los
valoresdelregistroparaestossonidossonlossiguientes:
[HKEY_LOCAL_MACHINE\SOFTWARE\ProtectorSuiteQL\1.0\settings]
‘Success ’
REG_SZ“sndSuccess”=[pathtosoundle]
Theledesignatedwillplaywheneverasuccessf ulswipeisregistered.
Failure’
REG_SZ“sndF ailure”=[pathtosoundle]
Theledesignatedwillplaywheneveranunsuccessfulswipeisattempted.
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\ngerprint
Scan’
REG_SZ“sndScan”=[pathtosoundle]
Theledesignatedwillplaywheneverthengerprintverication
dialogisdisplayedf orClientSecuritySolution-relatedoperations.
Ifthevalueisnotpresentorisemptythennosoundisplayed.
Quality’
REG_SZ“sndQuality”=[pathtosoundle]
Theledesignatedwillplaywheneveranunreadableswipehasoccurred.
Ifthevalueisnotpresentorisemptythennosoundisplayed.
•Validacióndelacontraseñaduranteundesbloqueodelsistema:deformapredeterminada,el
softwaredehuellasdactilaresvalidalacontraseñaalmacenadaduranteeldesbloqueodelsistema.La
validaciónrequierequeseestablezcauncontactoconelcontroladordeldominioypuedegenerarun
retardo.Paraevitarlo,inhabilitelavalidacióndelacontraseñaduranteeldesbloqueodelsistemay
editandoelregistrotalcomoseindicaacontinuación:
[HKEY_LOCAL_MACHINE\SOFTWARE\ProtectorSuiteQL\1.0\settings]
REG_DWORD"DoNotTestUnlock"=1
Elsoftwaredehuellasdactilarescontinuarávalidandolacontraseñaduranteeliniciodesesióndelsistema.
52ClientSecuritySolution8.21Guíadedespliegue
Nota:Cuandolaclavederegistroanteriorsehayaestablecidoen1,sieladministradordedominiocambia
deusuariocuandoelsistemadelusuarioestábloqueado,elsoftwaredehuellasdactilaresconservará
almacenadalacontraseñaantiguohastaqueelusuariosalgadelasesióneinicieotradenuevo.
SoftwaredehuellasdactilaresyNovellNetwareClient
Paraevitarconictos,losnombresdeusuarioylascontraseñasdelSoftwaredehuellasdactilaresyNovell
NetwareClientdebencoincidir.SitieneinstaladoelSoftwaredehuellasdactilaresenelsistemay,a
continuación,instalaNovellNetwareClient,esposiblequealgunoselementosdelregistrosesobregraben.
SiseencuentraconproblemasaliniciarlasesióndelSoftwaredehuellasdactilares,vayaalapantalladelos
valoresdeiniciodesesiónyvuelvaahabilitarelProtectordeiniciodesesión.
SitieneinstaladoenelsistemaNovellNetwareClientperonohainiciadosesiónenelcliente,antesde
instalarelSoftwaredehuellasdactilares,aparecerálapantalladeIniciodesesióndeNovell.Proporcione
lainformaciónsolicitadaenlapantalla.
Nota: LainformacióndeestasecciónessolamenteparaelSoftwaredehuellasdactilaresdeThinkVantage.
ParacambiarlosvaloresdelProtectordeiniciodesesión:
•InicieelCentrodecontrol.
•PulseValores.
•PulseValoresdeiniciodesesión.
•HabiliteoinhabiliteelProtectordeiniciodesesión.Sideseautilizareliniciodesesióndehuellas
dactilares,marqueelrecuadrodeselecciónSustituiriniciodesesióndeWindowsporeliniciodesesión
protegidomediantehuellasdactilares.
Nota: Habilitaroinhabilitarelprotectordeiniciodesesiónrequiereunrearranque.
•Habiliteoinhabilitelaconmutaciónrápidadeusuario,cuandoelsistemalopermita.
•(Funciónopcional)Habiliteoinhabiliteeliniciodesesiónautomáticoparaunusuarioautenticado
mediantelaseguridaddearranquedeencendido.
•EstablezcalosvaloresdeiniciodesesióndeNovell.Losvaloressiguientesestándisponiblesaliniciar
sesiónenunaredNovell:
–Activado
ElSoftwaredehuellasdactilaresproporcionaautomáticamentecredencialesconocidas.Sielinicio
desesióndeNovellfalla,lapantalladeiniciodesesióndeNovellClientsevisualizarájuntoconun
indicadordesolicitudparaespecicarlosdatoscorrectos.
–Preguntarduranteeliniciodesesión
ElSoftwaredehuellasdactilaresvisualizalapantalladeiniciodesesióndeNovellClientyunindicador
desolicitudparaespecicarlosdatosdeiniciodesesión.
–Deshabilitado
ElSoftwaredehuellasdactilaresnointentauniniciodesesióndeNovell.
Autenticando
CompletelospasossiguientesparapasarNovellalSoftwaredehuellasdactilares:
1.InstaleelSoftwaredehuellasdactilares.
2.InstaleNovellNetwareClient.
3.Cuandoselesolicite,pulseSíparainiciarlasesión.
4.Rearranque.
Capítulo4.CómotrabajarconelSoftwaredehuellasdactilaresdeThinkVantage53
5.Cuandoselesolicite,pulseSíparainiciarlasesiónenelSoftwaredehuellasdactilares.
6.InicieNovellNetwareClient.
7.Autentifíqueseenelservidor.
8.InicielasesiónenWindows.
9.Rearranque.
Nota:ElIDdeautenticaciónylacontraseñaparaWindowsyNovelldebenseridénticos.
ServiciodelSoftwaredehuellasdactilaresdeThinkVantage
Seañadeelservicioupeksvr.exealsistematrasinstalarelsoftwaredehuellasdactilaresdeThinkVantage.
Secomienzaaejecutardesdeelarranquedelsistemaypermaneceenejecuciónmientraselusuarioesté
conectado.Elservicioupeksvr.exeeselnúcleodeThinkVantageFingerprintSoftwareyejecutatodaslas
operacionescondispositivosydatosdeusuario.TambiénmuestratodalaGUIdevericaciónbiométricay
proporcionaaccesoseguroalosdatosdelusuario.
54ClientSecuritySolution8.21Guíadedespliegue
Capítulo5. CómotrabajarconelSoftwaredehuellasdactilares
deLenovo
LaconsoladehuellasdactilaressedebeejecutardesdelacarpetadeinstalacióndelSoftwaredehuellas
dactilaresdeLenovo.LasintaxisbásicaesFPRCONSOLE[USER|SETTINGS].ElmandatoUSERo
SETTINGSespecicaquéconjuntodelaoperaciónseutilizará.Elmandatocompletoes“fprconsoleuser
addTestUser”.Cuandonoseconoceelmandatoonoseespecicantodoslosparámetros,semostraráuna
cortalistademandatosjuntoconlosparámetros.
HerramientaConsoladegestión
ParaobtenerinformaciónacercadelaherramientaConsoladegestióndelSoftwaredehuellasdactilaresde
Lenovo,consulte“HerramientaConsoladegestión”enlapágina47
ServiciodelSoftwaredehuellasdactilaresdeLenovo
Nota:ElSoftwaredehuellasdactilaresdeLenovorequiereunserviciodeterminalenelsistema.Si
desactivaelserviciodeterminal,puedequeseproduzcanalgunosresultadosinesperadosenelSoftwarede
huellasdactilaresdeLenovo.
SeañadenlossiguientesserviciosalsistematrasinstalarelSoftwaredehuellasdactilaresdeLenovo:
•ATService.exe(activadodeformapredeterminada)
DebeactivarelservicioATService.exeparautilizarelsistemadehuellasdactilares.Esteserviciogestiona
solicitudesprocedentesdeaplicacionesqueutilizanelsensordehuellasdactilares.
•ADMonitor.exe(desactivadodeformapredeterminada)
DebeactivarelservicioADMonitor.exeparadarsoporteaActiveDirectoryAdministration.Esteservicio
supervisaloscambiosenelregistroquesepropaganensentidodescendentedesdeActiveDirectoryy
reejaloscambioslocalmente.
.
SoportedeActiveDirectoryparaelSoftwaredehuellasdactilaresde
Lenovo
EnlatablasiguientesemuestranlosvaloresdepolíticaparaelSoftwaredehuellasdactilaresdeLenovo.
Tabla31.Valoresdepolítica
Valor Descripción
Habilitar/InhabilitareliniciodesesióndehuellasdactilaresEspecicalautilizacióndellectordehuellasdactilaresen
lugardecontraseñasdeWindowsparainiciarlasesión
enelsistema.Sihabilitaestevalor,podráhabilitaro
inhabilitardosopcionesmás:
•InhabilitarelcuadrodediálogoCONTROL+ALT+SUPR
paralainterfazdeiniciodesesión
Siseleccionaestaopción,sedesactivaráelmensaje
quedirigealusuarioapulsarCONTROL+ALT+SUPR
parainiciarlasesión.(SólodisponibleenWindowsXP).
•Serequiereunusuarioquenoseaadministradorpara
iniciarlasesiónconautenticacióndehuelladactilar
Siseleccionaestaopción,losusuariosquenosean
©CopyrightLenovo2008,2012
55
Tabla31.Valoresdepolítica(continuación)
Valor Descripción
Permitirqueelusuariorecuperelacontraseñamediante
laautenticacióndehuelladactilar
Mostrarsiemprelasopcionesdeseguridaddeencendido
Utilizarlaautenticacióndehuelladactilarenlugardelas
contraseñasdeencendidoydelaunidaddediscoduro
Establecerlacantidaddeintentosfallidosantesdel
bloqueo
Establecereltiempodeesperadeinactividad
Permitirquelosusuariosregistrenhuellasdactilares
Permitirquelosusuariossuprimanhuellasdactilares
Permitirquelosusuariosimporten/exportenhuellas
dactilares
Mostrar/Ocultarelementosaldenirelseparadordel
softwaredehuellasdactilares
administradoressolamentepodrániniciarlasesión
utilizandoellectordehuellasdactilares.
Sihabilitaestevalor,losusuariospodránverlacontraseña
deWindowsdesuscuentasenelSoftwaredehuellas
dactilaresdeLenovodespuésdelaautenticaciónde
huelladactilar.
Sihabilitaestevalor,losusuariospodránseleccionarsi
deseanutilizarellectordehuellasdactilaresenlugarde
lascontraseñasdeencendidoydelaunidaddedisco
durocuandoseenciendaelsistema.Enlaventanade
registrodelSoftwaredehuellasdactilaresdeLenovo,se
puedehabilitaroinhabilitarlaautenticacióndehuella
dactilardeencendidoparacadadedoquesehaya
registrado.
Sihabilitaestevalor,seutilizarlaautenticacióndehuella
dactilarenlugardelascontraseñasdeencendidoyde
unidaddediscoduro.
Establecelacantidaddeintentosfallidosaceptadosal
iniciarlasesiónantesdebloquearalusuario,asícomo
laduración(ensegundos)queelusuariopermanecerá
bloqueado.
Estableceladuracióndeinactividaddelsistema(en
segundos)permitidaantesqueseconcluyalasesión
delusuario.
Sihabilitaestevalor,losusuariosquenosean
administradorespodránregistrarhuellasdactilares
utilizandoelSoftwaredehuellasdactilaresdeLenovo.
Sihabilitaestevalor,losusuariosquenosean
administradorespodránsuprimirhuellasdactilares
utilizandoelSoftwaredehuellasdactilaresdeLenovo.
Sihabilitaestevalor,losusuariosquenosean
administradorespodránimportaryexportarhuellas
dactilaresutilizandoelSoftwaredehuellasdactilaresde
Lenovo.
Sihabilitaestevalor,losadministradoresdeTIpodrán
controlarlaGUIdedenicióndelsoftwaredehuellas
dactilares.
56ClientSecuritySolution8.21Guíadedespliegue
Capítulo6. Prácticasrecomendadas
EnestecapítulosepresentanvarioscasosdeejemploparamostrarlasprácticasrecomendadasdeClient
SecuritySolutionyFingerprintSoftware.Estecasodeejemploseiniciaconlaconguracióndelaunidad
dediscoduro,continúaconvariasactualizacionesysigueelciclovitaldeundespliegue.Sedescribela
instalacióntantoensistemasLenovocomoensistemasnoLenovo.
EjemplosdedespliegueparainstalarClientSecuritySolution
LasecciónsiguienteproporcionaejemplosdeinstalacióndeClientSecuritySolutiontantoensistemasde
sobremesacomoensistemasportátiles.
Casodeejemplo1
Acontinuaciónsemuestraunejemplodeunainstalaciónenunsistemadesobremesautilizandoestos
requisitoshipotéticosdelcliente:
•Administración
–Utilizarlacuentadeladministradorlocalparalaadministracióndelsistema.
•ClientSecuritySolution
–InstalaryejecutarenModalidaddeemulación.
–NotodoslossistemasLenovotienenunMódulodeplataformasegura(chipdeseguridad).
–HabilitarlafrasedepasodeClientSecurity.
–ProtegerlasaplicacionesdeClientSecuritySolutionconunafrasedepaso.
–HabilitareliniciodesesióndeWindowsdeClientSecurity.
–IniciarsesiónenWindowsconlafrasedepasodeClientSecurity.
–HabilitarlafuncióndeRecuperacióndefrasedepasodeusuarional.
–Permitiralosusuariosrecuperarsusfrasesdepasorespondiendoatrespreguntasyrespuestas
denidasporelusuario.
–CifrarelscriptXMLdeClientSecuritySolutionconcontraseña=“XMLscriptPW”.
–LacontraseñaprotegeelarchivodeconguracióndeClientSecuritySolution.
–Elsoftwaredehuellasdactilarespuedeonoestarinstalado.
Enlamáquinadepreparación:
1.Inicielasesiónconlacuentadel“administradorlocal”deWindows.
2.InstaleelprogramaClientSecuritySolutionconlasopcionessiguientes:
ClientSecuritySolution:tvtcss82_xxxx.exe/s/v"/qn“EMULATIONMODE=1”
(dondeXXXXeselIDdebuild)
“NOCSSWIZARD=1””
3.Despuésderearrancar,iniciesesiónconlacuentadeladministradorlocaldeWindowsyprepareel
scriptXMLparaeldespliegue.Enlalíneademandatos,ejecuteestemandato:
“C:\ProgramFiles\Lenovo\ClientSecuritySolution\css_wizarde.exe”
/name:C:\ThinkCentre
Seleccionelasopcionessiguientesenelasistente:
•PulseMétododeiniciodesesiónseguro➙Siguiente.
©CopyrightLenovo2008,2012
57
•EscribalacontraseñadeWindowsparalacuentadeladministradorypulseSiguiente.(WPW4Admin,
porejemplo)
•EspeciquelafrasedepasodeClientSecurity(porejemplo,CSPP4Admin)paralacuentadel
administrador,marquelacasillaUtilizarlafrasedepasodeClientSecurityparaprotegerel
accesoalespaciodetrabajodeRescueandRecovery ypulseSiguiente.
•SeleccionetrespreguntasyrespuestasparalacuentadeadministradorypulseSiguiente.
a.¿Cuáleraelnombredesuprimeramascota?
(Tobby,forejemplo).
b.¿Cuálessupelículafavorita?
(Loqueelvientosellevó,porejemplo).
c.¿Cuálessuequipodefútbolfavorito?
(BarcelonaF .C.,porejemplo).
•ReviseelResumenyseleccioneAplicarparagrabarelarchivoXMLenlasiguienteubicación
C:\ThinkCentre.xml ypulseAplicar.
•PulseFinalizarparacerrarelasistente.
4.Abraelarchivosiguienteenuneditordetexto(loseditoresdescriptsXMLoMicrosoftWord2003tienen
funcionesdeformatoXMLincorporadas)ymodiquelossiguientesvalores:
•EliminetodaslasreferenciasalvalorDomain.Estoindicaráalscriptqueutiliceensulugarelnombre
delamáquinalocalencadasistema.Guardeelarchivo.
5.UtilicelaherramientaqueseencuentraenC:\Archivosdeprograma\Lenovo\ClientSecurity
Solution\xml_crypt_tool.exe paracifrarelscriptXMLconunacontraseña.Paraejecutarelarchivo
desdeunindicadordemandatos,utilicelasintaxissiguiente:
a.xml_crypt_tool.exeC:\ThinkCentre.xml/encryptXMLScriptPW.
b.ElarchivosellamaráahoraC:\ThinkCentre.xml.encyestaráprotegidomediantelacontraseña=
XMLScriptPW.
ElarchivoC:\ThinkCentre.xml.encestáahorapreparadoparaserañadidoalamáquinadedespliegue.
Enlamáquinadedespliegue:
1.InicielasesiónconlacuentadeladministradorlocaldeWindows.
2.InstalelosprogramasRescueandRecoveryyClientSecuritySolutionconlasopcionessiguientes:
setup_tvtrnr40_xxxxcc.exe/s/v"/qn“EMULATIONMODE=1”
(SiendoxxxxelIDdebuildyccelcódigodepaís).
“NOCSSWIZARD=1””
Notas:
a.Asegúresedequelosarchivos.tvt,comoporejemploZ652ZIXxxxxyy00.tvtparaWindowsXPo
Z633ZISxxxxyy00.tvtparaWindowsVista(enquexxxxeselIDdebuildyyyeselIDdepaís),se
encuentrenenelmismodirectorioqueelarchivoejecutableo,deloscontrario,lainstalaciónfallará.
b.Siestárealizandounainstalaciónadministrativa,consulte“Casodeejemplo1”enlapágina57.
3.Despuésderearrancar,inicielasesiónconlacuentadeladministradorlocaldeWindows.
4.AñadaelarchivoThinkCentre.xml.encpreparadoanteriormentealdirectorioC:\root.
5.PrepareelmandatoRunOnceExconlosparámetrossiguientes.
•AñadaunanuevaclavealaclaveRunonceExdenominada0001.Debeser:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx\0001
•Endichaclave,añadaunnombredevalordeserie CSSEnrollconelvalor:
58ClientSecuritySolution8.21Guíadedespliegue
"C:\ProgramFiles\Lenovo\ClientSecuritySolution\vmserver .exe"
C:\ThinkCenter .xml.encXMLscriptPW
6.Ejecute %rr%C:\ProgramFiles\Lenovo\RescueandRecovery\rrcmd.exe"sysprepbackuplocation=L
name=”SysprepBackup.Despuésdequehayapreparadoelsistema,veráestasalida:
*****************************************************
**Readytotakesysprepbackup. **
** **
**PLEASERUNSYSPREPNOWANDSHUTDOWN. **
** **
**Nexttimethemachineboots,itwillboot **
**tothePredesktopAreaandtakeabackup. **
*****************************************************
7.EjecutelaimplementacióndeSysprep.
8.Concluyayrearranquelamáquina.SeiniciaráelprocesodecopiadeseguridadenWindowsPE.
Nota: Sevisualizaráelmensaje:“Larestauraciónestáenprocesoperoseestárealizandounacopiade
seguridad”.Despuésdelacopiadeseguridad,apagueelsistemaynoreinicie.
AhoralacopiadeseguridadbasedeSysprepsehacompletado.
Casodeejemplo2
Acontinuaciónsemuestraunejemplodeunainstalaciónenunsistemaportátilutilizandoestosrequisitos
hipotéticosdelcliente:
•Administración
–InstalarenmáquinasdondehayinstaladasversionesanterioresdeClientSecuritySolution.
–Utilizarlacuentadeladministradordedominioparalaadministracióndelsistema.
–TodoslossistemastienenunacontraseñadesupervisordelBIOS,BIOSpw.
•ClientSecuritySolution
–UtilizarelMódulodeplataformasegura.
–Todaslasmáquinastienenunchipdeseguridad.
–HabilitarPasswordManager.
–UsarlacontraseñadeWindowsdelusuariocomoautenticaciónparaClientSecuritySolution.
–CifrarelscriptXMLdeClientSecuritySolutionconcontraseña=“XMLscriptPW”.
–LacontraseñaprotegeelarchivodeconguracióndeClientSecuritySolution.
•SoftwaredehuellasdactilaresdeThinkVantage
–NodeseautilizarlascontraseñasdelBIOSydeldiscoduro.
–IniciarsesiónconelSoftwaredehuellasdactilares.
–Despuésdeunperíodoinicialdeautoregistrodelusuario,elusuarioconmutaráeliniciodesesión
enModalidadseguraquerequiereunahuelladactilarparalosusuariosnoadministradores,
imponiendo,porlotanto,deformaefectivaunametodologíadeautenticacióndedosfactores.
–IncluirlaGuíadeaprendizajedehuellasdactilares.
–Losusuariosnalespuedenaprendercómopasarcorrectamenteeldedoyobtenerunarespuesta
visualacercadeloquehacenincorrectamente.
Enlamáquinadepreparación:
1.Desdeelestadodeapagado,inicieelsistemaypulseF1parairalBIOSynavegarhastaelmenúde
seguridadyborrarelchipdeseguridad.GuardeysalgadelBIOS.
Capítulo6.Prácticasrecomendadas59
2.InicielasesiónconlacuentadeladministradordedominiosdeWindows.
3.InstaleelsoftwaredehuellasdactilaresdeThinkVantageejecutandoelarchivof001zpz2001us00.exe
paraextraerelarchivosetup.exedesdeelpaqueteweb.Conesto,elarchivosetup.exeseextraerá
automáticamenteenlasiguienteubicación:
C:\SWTOOLS\APPS\TFS5.8.2-Buildxxxx\Application\0409\setup.exe (dondexxxxeselIDdebuild).
4.InstalelaguíadeaprendizajedelSoftwaredehuellasdactilaresThinkVantageejecutandoel
archivof001zpz7001us00.exeparaextraerelarchivotutess.exedelpaqueteweb.Estoextraerá
automáticamenteelarchivosetup.exeenlaubicaciónsiguiente:
C:\SWTOOLS\APPS\tutorial\TFS5.8.2Buildxxxx\Tutorial\0409\tutess.exe .
5.InstalelaConsoladehuellasdactilaresdeThinkVantageejecutandoelarchivof001zpz5001us00.exe
paraextraerelarchivofprconsole.exedelpaqueteweb.Laejecucióndelarchivof001zpz5001us00.exe
extraeráautomáticamenteelarchivosetup.exeenlasiguienteubicación:
C:\SWTOOLS\APPS\fpr_con\APPS\UPEK\FPRConsole\TFS5.8 .2-Buildxxx\Fprconsole\fprconsole.exe .
6.InstaleelprogramaClientSecuritySolutionconlasopcionessiguientes:
tvtcss82_xxxxcc.exe/s/v”/qnNOCSSWIZARD=1SUPERVISORPW=
”BIOSpw”"
7.Despuésderearrancar,inicielasesiónconlacuentadeladministradordedominiosdeWindowsy
prepareelscriptXMLparasudespliegue.Enlalíneademandatosejecute:
“C:\ProgramFiles\Lenovo\ClientSecuritySolution\css_wizard.exe”
/name:C:\ThinkPad
Seleccionelasopcionessiguientesenelasistenteparaquecoincidanconelscriptdeejemplo:
•PulseMétododeiniciodesesiónseguro➙Siguiente.
•EscribalacontraseñadeWindows(porejemplo,WPW4Admin)paralacuentadeladministradorde
dominiosypulseSiguiente.
•EspeciquelafrasedepasodeClientSecurityparalacuentadeadministradordedominio.
•SeleccioneIgnorarvalorderecuperacióndecontraseñaypulseSiguiente.
•ReviseelResumenypulseAplicarparagrabarelarchivoXMLenlasiguienteubicación:
C:\ThinkPad.xml .
•PulseFinalizarparacerrarelasistente.
8.UtilicelaherramientaqueseencuentraenC:\Archivosdeprograma\Lenovo\ClientSecurity
Solution\xml_crypt_tool.exe paracifrarelscriptXMLconunacontraseña.Enunindicadorde
mandatos,utilicelasiguientesintaxis:
a.xml_crypt_tool.exeC:\ThinkPad.xml/encryptXMLScriptPW.
b.ElarchivosellamaráahoraC:\ThinkPad.xml.encyestaráprotegidoporlacontraseña=XMLScriptPW.
Enlamáquinadedespliegue:
1.Utilizandolasherramientasdedistribucióndesoftwaredelaempresa,despliegueencadamáquina
dedespliegueelejecutablesetup.exedelThinkVantageFingerprintSoftwarequesehaextraído
delamáquinadepreparación.Cuandoelarchivosetup.exelleguealamáquina,instálelomediante
elmandatosiguiente:
setup.exeCTL CNTR=0/q/i
2.Utilizandolasherramientasdedistribucióndesoftwaredelaempresa,despliegueencadamáquinade
despliegueelejecutable(tutess.exe)delaguíadeinstalacióndelThinkVantageFingerprintSoftware
quesehaextraídodelamáquinadepreparación.Cuandoelarchivotutess.exelleguealamáquina,
instálelomedianteelmandatosiguiente:
tutess.exe/q/i
3.Utilizandolasherramientasdedistribucióndesoftwaredelaempresa,despliegueencadamáquina
dedespliegueelejecutable(fprconsole.exe)delaConsoladehuellasdactilaresdeThinkVantageque
sehaextraídodelamáquinadepreparación.
60ClientSecuritySolution8.21Guíadedespliegue
•Coloqueelarchivofprconsole.exeeneldirectorio C:\Archivosdeprograma\ThinkVantageFingerprint
Software\.
•DesactiveelsoportedeseguridaddeencendidodelBIOSejecutandoelmandatosiguiente:
fprconsole.exesettingsTBX0
4.Utilizandolasherramientasdedistribucióndesoftwaredelaempresa,despliegueelejecutable
tvtvcss82_xxxx.exe(siendoxxxxelIDdebuild)deThinkVantageClientSolution.
•Cuandoelarchivotvtvcss82_xxxx.exelleguealamáquina,instálelomedianteelmandatosiguiente:
tvtvcss83_xxxx.exe/s/v"/qn"NOCSSWIZARD=1""SUPERVISORPW="BIOSpw""
•LainstalacióndelsoftwarehabilitaráautomáticamenteelhardwaredelMódulodeplataformasegura.
5.Despuésderearrancarelsistema,congureelsistemaconelarchivoscriptXMLmedianteel
procedimientosiguiente:
•CopieelarchivoThinkPad.xml.encpreparadoanteriormenteeneldirectorioC:\.
•Abraunindicadordemandatosdistintoyejecute
"C:\ProgramFiles\Lenovo\ClientSecuritySolution\vmserver .exe"C:\ThinkPad.xml.encXMLScriptPW
6.Despuésderearrancar,elsistemayaestarápreparadoparalainscripcióndeusuariodeClientSecurity
Solution.CadausuariopuedeiniciarsesiónenelsistemaconsuIDdeusuarioysucontraseñade
Windows.Acadausuarioqueiniciesesiónenelsistemaselesolicitaráautomáticamentequese
registreenClientSecuritySolutiony,acontinuación,sepodráregistrarenellectordehuellasdactilares.
7.DespuésdequetodoslosusuariosdelsistemasehayanregistradoenelSoftwaredehuellasdactilares
deThinkVantage,sepuedehabilitarelvalordeModalidadseguraparahacerquetodoslosusuariosno
administradoresdeWindowstenganqueiniciarsesiónconlahuelladactilar.
•Ejecuteelsiguientemandato:
"C:\ProgramFiles\ThinkVantageFingerprintSoftware\fprconsole.exe"settingssecuremode1
•Paraeliminarelmensaje“PulseCtrl+Alt+Suprparainiciarsesiónutilizandounacontraseña”enla
pantalladeiniciodesesión,ejecuteelmandatosiguiente:
"C:\ProgramFiles\ThinkVantageFingerprintSoftware\fprconsole.exesettings"
CAD0
AhorasehacompletadoeldesplieguedeClientSecuritySolution8.21ydelSoftwaredehuellasdactilares
deThinkVantage.
ConmutacióndemodalidadesdeClientSecuritySolution
SiconmutalamodalidaddeClientSecuritySolutiondelamodalidadcómodaalamodalidadsegurao
siconmutadelamodalidadseguraalamodalidadcómoda,yestáutilizandoRescueandRecovery
pararealizarunacopiadeseguridaddelsistema,realiceunanuevacopiadeseguridadbasedespués
deconmutarlasmodalidades.
ImplementacióndeunActiveDirectorydeempresa
ParaimplementarunActiveDirectorydeempresa,completelospasossiguientes:
1.InstalemedianteActiveDirectoryoLANDesk:
a.RealicecopiasdeseguridadyobtengainformesmedianteActiveDirectoryyLANDeskdequién
ycuándosehanrealizado.
b.Proporcioneaalgunosgruposlacapacidadderealizarcopiasdeseguridad,suprimircopiasde
seguridad,opcionesdeplanicaciónyrestriccionesdecontraseñay,acontinuación,cambielos
gruposyveasilosvalorespersisten.
c.MedianteActiveDirectory,habiliteAntidoteDeliveryManager.Coloquelospaquetesquese
ejecutarányasegúresedequesecapturaelinforme.
Capítulo6.Prácticasrecomendadas61
InstalaciónautónomaparaCDoarchivosscript
ParaunainstalaciónautónomaparaunarchivoCDoscript,completelospasossiguientes:
1.UtiliceunarchivodeprocesoporlotesparainstalardeformasilenciosaClientSecuritySolutionyla
tecnologíadehuellasdactilares.
2.ConguredeformasilenciosalarecuperacióndecontraseñadelBIOS.
SystemUpdate
Paraactualizarelsistema,completelospasossiguientes:
1.InstaleClientSecuritySolutionylatecnologíadelSoftwaredehuellasdactilaresmedianteunservidor
deactualizacióndelsistemapersonalizadoquesimulalaformaenqueunagranempresatendríaun
servidorconguradoenlugardeiraunservidordeLenovo,deformaquepuedancontrolarelcontenido.
2.Instalesobrelastresversionesdistintasdesoftwareanterior(RescueandRecovery1.0/2.0/3.0,
softwaredehuellasdactilares,ClientSecuritySolution5.4–6,FFE).Losvalorestambiénsedeben
manteneralinstalarlanuevaversiónsobrelaversiónantigua.
SystemMigrationAssistant
MigredeT40conClientSecuritySolution7.0unT60conClientSecuritySolution8.21.
CómogeneraruncerticadoutilizandolageneracióndeclavesenTPM
LoscerticadossepuedengenerardirectamentemedianteelCSPdeClientSecurityyTPMgeneraráy
protegerálasclavesprivadasdeloscerticados.ParasolicitaruncerticadoutilizandoelCSPdeClient
SecuritySolution,lleveacabolospasossiguientes:
Requisitos:
•Lamáquinaservidordebetenerinstaladolosiguiente:
–Windows2003Enterpriseoposterior
–ActiveDirectory
–ElservicioCerticateAuthority
•Lamáquinaclientedebecumplirlosrequisitossiguientes:
–TPMhabilitado
–TenerinstaladoelproductoClientSecuritySolution
Cómosolicitaruncerticadodesdeelservidor
CómocrearunaplantillaparaunusuariodeTPM
ParacrearunaplantillaparaunusuariodeTMP,lleveacaboelprocedimientosiguientetalcomose
indicaacontinuación:
1.PulseInicio➙Ejecutar.
2.EscribammcypulseAceptar.Aparecerálaventanadelaconsola.
3.DesdeelmenúArchivo,pulseAñadir/Quitarajustey,acontinuación,pulseAñadir.Aparecerá
laventanaAñadirajusteautónomo.
4.EfectúeunadoblepulsaciónenAutoridaddecerticacióndelalistadeajustesypulseCerrar.
62ClientSecuritySolution8.21Guíadedespliegue
5.PulseAceptarenlaventanaAñadir/Quitarajuste.
6.PulsePlantillasdecerticadosenelárboldelaconsola.Aparecerántodaslasplantillasdecerticados
enelpaneldelaizquierda.
7.PulseAcción➙Duplicarplantilla.
8.EnelcampoMostrarnombre,escribaTPMUser.
9.PulseelseparadorSolicitarmanejoypulseCSP.AsegúresedeseleccionarLassolicitudespueden
utilizarcualquierCSPdisponibleenlosequiposimplicados .
10.PulselapestañaGeneral.AsegúresedeseleccionarPublicarcerticadoenActiveDirectory.
11.PulseelseparadorSeguridadenlalistaGruposonombresdeusuarios,pulseUsuariosautenticados
yasegúresedeseleccionarInscribirenPermisosparausuariosautenticados.
Conguracióndeunaautoridaddecerticacióndeempresa
ParaemitirelcerticadodeusuariodeTPMcongurandounaautoridaddecerticacióndeempresa,llevea
caboelprocedimientosiguientetalcomoseindicaacontinuación:
1.AbraCerticationAuthority.
2.Enelárboldelaconsola,pulseCerticateTemplates.
3.DesdeelmenúAcción,pulseNuevo➙Certicadoparaemitir.
4.PulseTPMypulseAceptar.
Cómoaplicarelcerticadodelcliente
Paraaplicarelcerticadodesdeelcliente,lleveacaboelprocedimientosiguientetalcomoseindicaa
continuación:
1.ConéctesealaIntranet,inicieInternetExploreryescribaladirecciónIPdelservidorenelqueestá
instaladoelservicioCA.
2.Indiquesunombredeusuariodedominioycontraseñaenlaventanadesolicitud.
3.PulseSolicitaruncerticadoenSeleccionarunatarea.
4.PulseSolicituddecerticadoavanzadaenlaparteinferiordelapáginaweb.
5.EnlapáginaSolicituddecerticadoavanzada,cambielosvaloressiguientes:
•SeleccioneUsuariodeTPMdelalistadesplegablePlantilladecerticados.
•SeleccioneThinkVantageClientSecuritySolutionCSPdelalistadesplegableCSP.
•AsegúresedenoseleccionarMarcarclavescomoexportables.
•PulseSometerysigaelproceso.
•EnlapáginaCerticadoemitido,pulseInstalarestecerticado.AparecerálapáginaCerticado
instalado.
UtilizacióndelostecladosdehuelladactilarUSBconelequipoportátil
deThinkPadde2008,modelos(R400/R500/T400/T500/W500/X200/X301)
Lenovocontrataadosproveedoresparaqueproporcionenautenticacióndehuellasdactilaresenlos
modelosdelossistemasportátilesytecladosUSBThinkPad
anterioresa2008(porejemplo,T61)utilizansensoresdehuelladactilardeThinkVantage.Losmodelosde
equiposportátilesdeThinkPadde2008(comenzandoconT400)utilizanlossensoresdehuelladactilar
deLenovo.TodoslostecladosdehuellasdactilaresUSBdeLenovoutilizansensoresdehuelladactilar
deThinkVantage.Sonnecesariasciertasconsideracionesespecialessiseutilizaeltecladodehuellas
dactilaresenalgunosmodelosdeequipoportátildeThinkPad(porejemplo,ThinkPadT400conunteclado
USBexterno).
®
.LosmodelosdeequiposportátilesThinkPad
Capítulo6.Prácticasrecomendadas63
Enestasecciónsedescribenloscasosdeejemplodeusocomúnasícomolasestrategiasdedespliegue
paraelsoftwaredehuellasdactilaresqueseinstalaenlosmodelosdeequiposportátilesdeThinkPad.
Nota:
•LenovoFingerprintSoftware
ElsoftwaredehuellasdactilaresdeLenovoeselsoftwareparaelsensordehuellasdactilaresAuthenTec
(porejemplo,elsensordehuellasdactilaresinternoenT400).
•ThinkVantageFingerprintSoftware
ElsoftwaredehuellasdactilaresdeThinkVantageeselsoftwareparaelsensordehuellasdactilares
UPEK(porejemplo,elsensordehuellasdactilaresinternoenT61yelsensordehuellasdactilares
entodoslostecladosUSBexternos).
IniciodesesiónenWindowsVista
ParainiciarlasesiónenelsistemaoperativoWindowsVista,puedeutilizarelsensordehuellasdactilares
AuthenTecoelsensordehuellasdactilaresUPEKsiemprequelodesee.
1.Instalelaversión3.2.0.275oposteriordelsoftwaredehuellasdactilaresdeLenovo.
2.Instalelaversión5.8.2.4824oposteriordelsoftwaredehuellasdactilaresdeThinkVantage.
3.Reinicieelsistema.Automáticamenteseiniciaráelasistentepararegistrarlahuelladactilar.
4.UtiliceelsoftwaredehuellasdactilaresdeThinkVantagepararegistrarsushuellasdactilaresconel
sensordehuellasdactilaresexterno.Sinoseiniciaautomáticamente,pulseInicio➙Programas➙
ThinkVantage ➙ThinkVantageFingerprintSoftwareparainiciarelregistro.
5.EscribasucontraseñadeWindowscuandoselesolicitey,seguidamente,elijaundedodelquevaa
realizarlainscripción.
6.Sigalasindicacionesqueapareceránenlapantalladelequipopararegistrarsudedoutilizandoel
sensordehuellasdactilaresexterno.
7.PulseValoresenlapartesuperiordelapantalla.
8.MarqueelrecuadrodeselecciónUtilizarexploracióndelahuelladactilarenlugardelacontraseña
cuandoseinicielasesiónenWindows ,pulseAceptary,acontinuación,pulseCerrarparacerrar
laventana.
9.ReinicieelsistemayasegúresedequepuedeutilizarsuhuelladactilarparainiciarlasesiónenWindows
conelsensordehuellasdactilaresexterno.
10.Utiliceelregistrodelahuelladactilarpararegistrarsushuellasdactilaresconelsensordehuellas
dactilaresexterno.Sinoseiniciaautomáticamente,pulseInicio➙Programas➙ThinkVantage➙
LenovoFingerprintSoftware parainiciarelregistro.
11.EscribasucontraseñadeWindowscuandoselesolicitey,seguidamente,elijaundedodelquevaa
realizarlainscripción.
12.Sigalasindicacionesqueapareceránenlapantalladelequipopararegistrarsudedoutilizandoel
sensordehuellasdactilaresinterno.
13.PulseValoresenlapartesuperiordelapantalla.
14.MarqueelrecuadrodeselecciónUtilizarexploracióndelahuelladactilarenlugardelacontraseña
cuandoseinicielasesiónenWindows ,pulseAceptary,acontinuación,pulseCerrarparacerrar
laventana.
15.ReinicieelsistemayasegúresedequepuedeutilizarsuhuelladactilarparainiciarlasesiónenWindows
conelsensordehuellasdactilaresinterno.
64ClientSecuritySolution8.21Guíadedespliegue
IniciodesesiónenWindowsXP
ParainiciarlasesiónenelsistemaoperativoWindowsXP,puedeutilizarelsensordehuellasdactilares
AuthenTecoelsensordehuellasdactilaresUPEKsiemprequelodesee.
Casodeejemplo1–ThinkPadT400conuntecladoUSB(noconectadoaldominio)
UtilicelapantalladebienvenidadeWindowsXP.
1.Instalelaversión3.2.0.275oposteriordelsoftwaredehuellasdactilaresdeLenovo.
2.Instalelaversión5.8.2.4824oposteriordelsoftwaredehuellasdactilaresdeThinkVantage.
3.HabilitelapantalladebienvenidadeWindowsXP.
a.AbraPaneldecontrol➙Cuentasdeusuario.
b.PulseCambiarlaformaenlaquelosusuariosinicianycierransesión.
c.MarqueelrecuadrodeselecciónUsarlaPantalladebienvenida.
Sielrecuadrodeselecciónnoestuvieradisponible,consulte“Casodeejemplo2–ThinkPadT400con
untecladoUSB(conectadoaldominio)”enlapágina65.
4.PulseInicio➙Programas➙ThinkVantage➙LenovoFingerprintSoftwareparainiciarelregistro.
5.EscribasucontraseñadeWindowscuandoselesolicitey,seguidamente,elijaundedodelquevaa
realizarlainscripción.
6.Sigalasindicacionesqueapareceránenlapantalladelequipopararegistrarsudedoutilizandoel
sensordehuellasdactilaresinterno.
7.PulseValoresenlapartesuperiordelapantalla.
8.MarqueelrecuadrodeselecciónUtilizarexploracióndelahuelladactilarenlugardelacontraseña
cuandoseinicielasesiónenWindows,desmarqueelrecuadrodeselecciónInhabilitarelsoportede
conmutaciónrápidadelusuario,pulseAceptary,acontinuación,pulseCerrarparacerrarlaventana.
9.Rearranqueelsistemayasegúresedequepuedeutilizarsuhuelladactilarparainiciarlasesiónen
Windowsconelsensordehuellasdactilaresinterno.
10.ConecteeltecladoUSBexterno.
11.PulseInicio➙Programas➙ThinkVantage➙ThinkVantageFingerprintSoftwareparainiciar
elregistro.
12.PulseHuellasdactilares➙RegistraroEditarhuellasdactilaresy,acontinuación,pulseSiguiente
paravisualizarlaventanadelacontraseñadeWindows.
13.EscribasucontraseñadeWindowscuandoselesolicitey,seguidamente,elijaundedodelquevaa
realizarlainscripción.
14.Sigalasindicacionesqueapareceránenlapantallapararegistrarsudedoutilizandoelsensordehuellas
dactilaresexternoeneltecladoUSB.
15.Completeelasistenteparaelregistrodehuellasdactilaresy,acontinuación,pulseFinalizarpara
cerrarelasistente.
16.EnlaventanaThinkVantageFingerprintSoftware,pulseValores➙Valoresdelsistemaparaque
aparezcalaventanaValoresdeThinkVantageFingerprintSoftware.
17.EnelseparadorIniciodesesión,marqueelrecuadrodeselecciónConmutaciónrápidadeusuario.
18.PulseAceptary,acontinuación,cierrelaventanaSoftwaredehuellasdactilaresdeThinkVantage.
19.ReinicieelsistemayasegúresedequepuedeutilizarsuhuelladactilarparainiciarlasesiónenWindows
conelsensordehuellasdactilaresinternooexterno.
Casodeejemplo2–ThinkPadT400conuntecladoUSB(conectadoaldominio)
UtilicelainterfazdeiniciodesesióndeClientSecuritySolution(GINA).
Capítulo6.Prácticasrecomendadas65
1.Instalelaversión3.2.0.275oposteriordelsoftwaredehuellasdactilaresdeLenovo.
2.Instalelaversión5.8.2.4824oposteriordelsoftwaredehuellasdactilaresdeThinkVantage.
3.InstaleClientSecuritySolutionconlaversión8.20.0035oposterior.
4.AsegúresedequeeltecladoUSBestéconectadoalsistema.
5.Reinicieelsistema.Automáticamenteseiniciaráelasistentepararegistrarlahuelladactilar.Sinose
iniciaautomáticamente,pulseInicio➙Programas➙ThinkVantage➙ThinkVantageFingerprint
Software parainiciarelregistro.
6.EscribasucontraseñadeWindowscuandoselesolicitey,seguidamente,elijaundedodelquevaa
realizarlainscripción.
7.Sigalasindicacionesqueapareceránenlapantalladelequipopararegistrarsudedoutilizandoel
sensordehuellasdactilaresexternoeneltecladoUSBy,acontinuación,pulseSiguienteparaque
aparezcalaventana.
8.MarqueelrecuadrodeselecciónCongurarClientSecuritySolutiony,acontinuación,pulseFinalizar
paracerrarlaventana.
9.PulseInicio➙Programas➙ThinkVantage➙LenovoFingerprintSoftwareparainiciarelregistro.
10.EscribasucontraseñadeWindowscuandoselesolicitey,seguidamente,elijaundedodelquevaa
realizarlainscripción.
11.Sigalasindicacionesqueapareceránenlapantalladelequipopararegistrarsudedoutilizandoel
sensordehuellasdactilaresinterno.
12.PulseValoresenlapartesuperiordelapantalla.
13.DesmarqueelrecuadrodeselecciónUtilizarexploracióndelahuelladactilarenlugardela
contraseñacuandoseinicielasesiónenWindows ,pulseAceptary,acontinuación,pulseCerrar
paracerrarlaventana.
14.ReinicieelsistemaeinicielasesiónenWindowsconsucontraseña.
15.HagaclicenInicio➙Todoslosprogramas➙ThinkVantage➙ClientSecuritySolutionparainiciar
CSS.
16.DesdeelmenúAvanzado,seleccioneGestionarpolíticasdeseguridadparaqueaparezcalaventana
deGestordepolíticas.
17.EnelpanelAccionesdelusuario,seleccioneIniciarsesiónenWindows.
18.EnelpanelPolíticadeseguridad,seleccioneUtilizarunapolíticadeseguridadpredeterminada
paraestaaccióndeusuario .
19.PulseAceptary,acontinuación,pulseSíparareiniciarelequipo.
20.Despuésdelreinicio,asegúresedequepuedeutilizarsuhuelladactilarparainiciarlasesiónenWindows
conelsensordehuellasdactilaresinternooexterno.
ClientSecuritySolutionyPasswordManager
AlcontrarioqueocurreeneliniciodesesióndeWindows,lassolicitudesdeautenticacióndeClientSecurity
SolutionyPasswordManagersolamentefuncionanenelsensordehullasdactilarespreferido.Porejemplo,
cuandohayconectadountecladodehuellasdactilares,susensordehuellasdactilaresseráeldispositivo
preferido.Cuandonohayconectadoningúntecladodehuellasdactilares,elsensordehuellasdactilares
internodeThinkPadseráeldispositivopreferido.
Paracambiareldispositivopreferido,creeunaentradaderegistrotalcomoseindicaacontinuación:
[HKLM\Software\Lenovo\TVTCommon\ClientSecuritySolution]
REG_DWORD"Pref erInternalFPSensor"=1
66ClientSecuritySolution8.21Guíadedespliegue
Tabla32.Clavesdelregistro
Nombre Valor Descripción
Pref erInternalFPSensor
0(valorpredeterminado)
1
Especicaqueelsensordehuellas
dactilaresexternoeselpreferido
siemprequehayauntecladode
huellasdactilaresconectado.
Especicaqueelsensordehuellas
dactilaresinternoeselpreferido.
Autenticacióndeprearranqueutilizandolahuelladactilarenlugarde
lascontraseñasdelBIOS
AlcontrarioqueocurreeneliniciodesesióndeWindows,lassolicitudesdeautenticaciónparacontraseñas
delBIOSsolamentefuncionanenelsensordehuellasdactilarescuandosehaconguradoelBIOSparaque
lasutilice.Deformapredeterminada,elBIOSreconoceelpasodeldedoeneltecladodehuellasdactilares
siésteestáconectado.Sieltecladodehuellasdactilaresnoestuvieraconectado,elBIOSreconoceelpaso
deldedoeneldispositivodehuellasdactilaresinternoparasuautenticación.
ElvalordelBIOSPrioridaddellectorsepuedecambiarparaforzarelusodelsensordehuellasdactilares
interno,aunquehayaconectadountecladodehuellasdactilaresexterno.Elvalorpredeterminadopara
Prioridaddellector esExterno.ElvalorsepuedecambiarporSolamenteinternoparaforzareluso
delsensordehuellasdactilaresinterno.
Nota: EstevalordelBIOSseaplicasolamenteasolicitudesdehuellasdactilaresenelBIOS.Notiene
ningúnefectosobreeliniciodesesióndeWindowsolassolicitudesdeautenticacióndehuellasdactilares
deClientSecuritySolution.
Conguracióndelsoftwaredehuellasdactilaresparahabilitarlaautenticaciónde
prearranque
Sihadenidolascontraseñadesupervisor,deencendidoodeunidaddediscoduroenelBIOS,puede
congurarelsoftwaredehuellasdactilaresparasuautenticaciónenlugardetenerqueescribiresas
contraseñas.
LenovoFingerprintSoftware:paraelsensordehuellasdactilaresinterno
1.PulseInicio➙Programas➙ThinkVantage➙LenovoFingerprintSoftwareparainiciarelsoftware
dehuellasdactilares.
2.Pasesudedooescribalacontraseñacuandoselesolicite.
3.PulseValoresenlapartesuperiordelapantalla.
4.MarqueelrecuadrodeselecciónUtilizarexploracióndelahuelladactilarenlugardelascontraseñas
deencendidoydeunidaddediscoduroasícomoelrecuadrodeselecciónMostrarsiemprelas
opcionesdeseguridaddeencendidoy,acontinuación,pulseAceptarparacerrarlaventana.
5.Elijaunadelashuellasdactilaresregistradaparahabilitarsuhuelladactilarysustituirlascontraseñas
delBIOS.
6.PulseCerrarparacerrarlaventana.
ThinkVantageFingerprintSoftware(WindowsXP)–paraelsensordehuellasdactilaresexterno
1.PulseInicio➙Programas➙ThinkVantage➙ThinkVantageFingerprintSoftwareparainiciarel
softwaredehuellasdactilares.
2.PulseValores➙Seguridaddeencendidoenlapartesuperiordelaventana.
Nota: SinoestuvieradisponibleelvalorSeguridaddeencendido,creeunaentradaderegistrotal
comoseindicaacontinuaciónparavisualizarestevalor:
Capítulo6.Prácticasrecomendadas67
[HKEY_LOCAL_MACHINE\SOFTWARE\ProtectorSuiteQL\1.0]
REG_DWORD"BiosFeatures"=2
3.MarqueelrecuadrodeselecciónSolicitarhuelladactilarparaelarranquedelsistemay,a
continuación,pulseAceptarparacerrarlaventana.
4.PulseHuellasdactilares➙RegistraroEditarhuellasdactilaresparaqueaparezcalaventana.
5.Pasesudedooescribalacontraseñacuandoselesolicite.
6.Elijaunadelashuellasdactilaresregistradaparahabilitarsuhuelladactilarysustituirlascontraseñas
delBIOS.
7.PulseFinalizarparacerrarlaventana.
ThinkVantageFingerprintSoftware(WindowsVista)–paraelsensordehuellasdactilaresexterno
1.PulseInicio➙Programas➙ThinkVantage➙ThinkVantageFingerprintSoftwareparainiciarel
softwaredehuellasdactilares.
2.Pasesudedooescribalacontraseñacuandoselesolicite.
3.PulseValoresenlapartesuperiordelapantalla.
4.MarqueelrecuadrodeselecciónUtilizarexploracióndelahuelladactilarenlugardelascontraseñas
deencendidoydeunidaddediscoduroasícomoelrecuadrodeselecciónMostrarsiemprelas
opcionesdeseguridaddeencendidoy,acontinuación,pulseAceptarparacerrarlaventana.
5.Elijaunadelashuellasdactilaresregistradaparahabilitarsuhuelladactilarysustituirlascontraseñas
delBIOS.
6.PulseCerrarparacerrarlaventana.
68ClientSecuritySolution8.21Guíadedespliegue
ApéndiceA. Consideracionesacercadelautilizaciónde
OmniPass
OmniPassfromSoftex©esunprogramaquesepuedeutilizarparainiciarsesióndeformaseguraensitios
webyenaplicaciones,asícomoparaprotegerlosdatosdeunsistema.OmniPasssepuedebeneciardel
TMPdelsistemaaccediendoalmismomedianteinterfacesproporcionadasporClientSecuritySolution.A
ndeaprovecharelTPM,sedebeinstalarClientSecuritySolutionantesdeinstalarOmniPass.Debidoalas
similitudesenlasfuncionesofrecidasporambosproductos,algunasfuncionesdeClientSecuritySolution
seinhabilitanuocultancuandoOmniPassestáinstalado.
Además,siinstalaambosprogramassepuedeencontrarconconictos.Tengaencuentalosposibles
conictosqueselistanenlatablasiguiente:
Tabla33.CoincidenciadefuncionesdeOmnipass
Función Coincidenciadefunciones Consideraciones
Autenticacióndehuellasdactilares ElSoftwaredehuellasdactilaresde
ThinkVantageyOmniPassrequieren
distintosregistrosdehuelladactilar.
Gestióndecontraseñas TantoClientSecuritySolutioncomo
OmniPassproporcionanungestorde
contraseñas.
IniciodesesióndeWindows TantoClientSecuritySolutioncomo
OmniPassproporcionanunainterfaz
deiniciodesesióndeWindows
Cifradodearchivos TantoClientSecuritySolution8.21
comoOmniPassproporcionan
aplicacionesdecifrado.
Deberegistrarlashuellasdactilares
conelSoftwaredehuellasdactilares
deThinkVantageparadarsoportea
laautenticaciónpreviaalarranque
conelsensordehuellasdactilares.
Lashuellasdactilaresregistradascon
elSoftwaredehuellasdactilaresde
ThinkVantagesonindependientes
delashuellasdactilaresregistradas
conOmniPass.Lainstalaciónde
OmniPassocultaráelenlacedel
CentrodecontroldelSoftwarede
huellasdactilaresdeThinkVantage
delmenúInicio.
ClientSecuritySolutionPassword
Managerseráinhabilitado
automáticamenteporlainstalación
deOmniPass.
Lainterfazdeiniciodesesión
deClientSecuritySolutionserá
inhabilitadaautomáticamenteporla
instalacióndeOmniPass.
Nota: Cuandoseinhabilitalainterfaz
deiniciodesesióndeClientSecurity
Solution,duranteeliniciodesesión
deWindowsnoestarádisponible
larecuperacióndeunacontraseña
deWindowsolvidadamediantela
Recuperacióndecontraseñade
ClientSecuritySolution.
Lasdosversionespuedencoexistir;
sinembargo,paraevitarconfusiones,
desinstalePrivateDiskparaClient
SecuritySolution7.0yanteriores.
©CopyrightLenovo2008,2012
69
Tabla33.CoincidenciadefuncionesdeOmnipass(continuación)
Función Coincidenciadefunciones Consideraciones
Interfacesdecifrado
Autenticacióndeusuario TantoClientSecuritySolution
Accesoalasfunciones
TantoClientSecuritySolutioncomo
OmniPassproporcionanunCSPy
unmóduloPKCS#11.Lasinterfaces
decifradodeClientSecuritySolution
utilizanautenticaciónindependiente
deOmniPass.
comoOmniPasspuedensolicitar
autenticacióndeusuario.
ClientSecuritySolutionyOmniPass
proporcionanaccesoasusfunciones
medianteunaaplicaciónenelmenú
Inicio,loquepuedeconfundiralos
usuarios.
NoseleccioneelCSPnielmódulo
PKCS#11deClientSecuritySolution
paraoperacionesdecifrado.
SiestáutilizandotantoClientSecurity
SolutioncomoOmniPass,asegúrese
dequelosusuariosentiendenla
diferenciaentrelosindicadores
desolicituddeautenticacióny
proporcionanlainformaciónde
autenticaciónadecuada(incluidas
huellasdactilares)cuandoseles
solicite.
EliminelaaplicaciónClientSecurity
SolutiondelmenúInicio.
Ademásdelasconsideracionesanteriores,esposiblequetambiénseencuentreconlossiguientes
problemasconOmnipass:
•Sisevisualizaunmensajedeerrordefaltadememoriadelplugindehuellasdactilares,omitaelerrory
continúeutilizandoOmnipass.
•ElregistrodelTPMnofuncionaráparausuariosconunacontraseñadeWindowsNULA.
70ClientSecuritySolution8.21Guíadedespliegue
ApéndiceB. Consideracionesespecialesparautilizarel
tecladodehuellasdactilaresdeLenovoconalgunosmodelos
deequiposportátilesThinkPad
EldispositivodehuelladactilarqueseutilizaenalgunosmodelosdeequiposportátilesThinkPadesdistinto
aldispositivodehuelladactilarqueseutilizaeneltecladodehuellasdactilaresdeLenovo.Puedequesean
necesariasciertasconsideracionesespecialessiseutilizaeltecladodehuelladactilarenalgunosmodelos
deequiposportátilesThinkPad.
Paraobtenermásinformación,vayaalapáginadedescargadelsoftwaredehuelladactilarenelsitioweb
deLenovodondeencontraráunalistadeestosmodelosdeequiposportátilesThinkPad.
Solamentelosmodelosqueaparecenlistadosen“LenovoFingerprintSoftware”necesitanalguna
consideraciónespecialcuandoseutilizanconeltecladodehuelladactilar.Todoslosdemásmodelosde
equiposportátilesThinkPad,queutilizan“SoftwaredehuellasdactilaresdeThinkVantage”,utilizanun
dispositivodehuelladactilarqueescompatibleconeldispositivoincluidoeneltecladodehuelladactilary
norequierenningunaconsideraciónespecial.
Conguraciónydenición
Debehaberinstaladalaversión2.0,oposterior,delSoftwaredehuellasdactilaresdeLenovoparautilizarel
dispositivodehuelladactilarenelequipoportátilThinkPad.Losusuariosdebenregistrarhuellasdactilares
conelSoftwaredehuellasdactilaresdeLenovoutilizandoeldispositivointegradodehuelladactilar.
Debehaberinstaladalaversión5.8,oposterior,delSoftwaredehuellasdactilaresdeThinkVantagepara
utilizareltecladodehuellasdactilaresdeLenovo.Losusuariostambiéndebenregistrarlashuellasdactilares
conelSoftwaredehuellasdactilaresdeThinkVantageutilizandoeltecladodehuelladactilar.
Nota:Lashuellasdactilaresregistradasconundispositivonosepuedenintercambiarconelotrodispositivo.
Autenticaciónpreviaalescritorio
Seutilizaráeldispositivoincorporadodehuelladactilaroeltecladodehuelladactilarparalaautenticación
previaalescritorio(quesustituyealacontraseñadeencendidodelsistemaodeunidaddediscodurocon
unahuelladactilar).ElBIOSdeterminaráquédispositivosedebeutilizarcuandoseenciendaelsistema.
Deformapredeterminada,elBIOSsolamenteaceptaráquesepaseeldedoeneltecladodehuelladactilar
siésteestáconectado.Sisepasaeldedodiversasvecesporeldispositivointegradodehuelladactilarse
harácasoomisoparalaautenticaciónpreviaalescritoriosihayaconectadountecladodehuelladactilar.
Sinoestáconectadoeltecladodehuelladactilar,seutilizaráeldispositivointegradodehuelladactilar
paralaautenticaciónpreviaalescritorio.
ElvalordelBIOSpara“ReaderPriority”sepuedecambiarparaqueutiliceelsensorincorporadodehuella
dactilar.Sila“ReaderPriority”sehadenidoen“Internalonly”,sepodráutilizarelsensorintegradode
huelladactilarparalaautenticaciónpreviaalescritorio.Enestecaso,seharácasoomisodelpasodel
dedoporeltecladodehuelladactilar.
IniciodesesióndeWindows
EltecladodehuellasdactilaresdeLenovoyeldispositivodehuelladactilarqueseutilizanenThinkPad
proporcionanambossupropiainterfazparainiciarsesiónenWindowsconunahuelladactilar.
©CopyrightLenovo2008,2012
71
Importante:Losproblemasdecompatibilidadpuedencausarproblemascuandoseinicialasesiónsilas
interfacesdeiniciodesesióndehuelladactilarnosehanconguradocorrectamente.
WindowsXP-Pantalladebienvenida
ParadarsoportealiniciodesesióntantoconeltecladodehuellasdactilaresdeLenovocomoconelsensor
dehuelladactilarincorporadodeThinkPadconlapantalladebienvenidadeWindowsXP,debetener
habilitadaslasinterfacesdeiniciodesesióndelSoftwaredehuellasdactilaresdeLenovoydelSoftware
dehuellasdactilaresdeThinkVantage.
CuandoseinicialasesiónconlapantalladebienvenidadeWindowsXPhabilitadayambasinterfacesde
iniciodesesiónconhuelladactilarestánhabilitadas,losusuariospuedenpasareldedoporeltecladode
huelladactilaroporeldispositivointegradodehuelladactilarparainiciarlasesión.
Nota: Elvalor“ReaderPriority”delBIOSnoseaplicaenestasituación.Puedeutilizarsecualquier
dispositivodelosdosparaeliniciodesesiónsiambosdispositivosestándisponibles.
LapantalladebienvenidadeWindowsXPsepuedehabilitaratravésdelaopción“Cuentasdeusuario”
delPaneldecontroldeWindowsXP.
LainterfazdeiniciodesesióndehuelladactilarparaLenovoFingerprintSoftware(paraelsensorintegrado
dehuelladactilar)yThinkVantageFingerprintSoftware(paraeltecladodehuelladactilar)sepuedehabilitar
mediantelaopción“Valores”delasrespectivasaplicacionesdesoftwaredehuelladactilar.
WindowsXP-Solicituddeiniciodesesiónclásica
Importante:LasinterfacesdeiniciodesesióndehuelladactilarparaelSoftwaredehuellasdactilaresde
LenovoyelSoftwaredehuellasdactilaresdeThinkVantagenodebenhabilitarsealavezsisehahabilitado
lasolicituddeiniciodesesiónclásicadeWindowsXP(interfazdeiniciodesesiónGINA).Puedenproducirse
resultadosinesperadossiestánhabilitadasambasinterfacesdeiniciodesesiónynoseutilizalapantallade
bienvenidadeWindowsXP.
SiesnecesarialasolicituddeiniciodesesiónclásicadeWindowsXP(porejemplo,paradarsoporteal
iniciodesesiónenundominio)yseseleccionaeliniciodesesióndehuelladactilarconcualquiersensor,se
deberáhabilitarlainterfazdeiniciodesesióndeClientSecuritySolution.Conlainterfazdeiniciodesesión
deClientSecuritySolutionhabilitada,eliniciodesesiónenWindowsesposibletantoconeltecladode
huelladactilarcomoconeldispositivointegradodehuelladactilar.
Nota: Estaopciónsolamenteestádisponibleenlaversión8.21,oposterior,deClientSecuritySolution.
LainterfazdeiniciodesesióndeClientSecuritySolutionsepuedehabilitarmediantelaaplicación
ClientSecuritySolutionenelmenúInicio.Laopciónparacongurarlainterfazdeiniciodesesiónde
ClientSecuritySolutionsepuedeencontrarseleccionando“Gestionarpolíticasdeseguridad”delmenú
“Avanzado”deClientSecuritySolution.
AsegúresedequelasinterfacesdeiniciodesesiónparaLenovoFingerprintSoftwareyThinkVantage
FingerprintSoftwareesténhabilitadasmediantelaopción“Valores”delasrespectivasaplicacionesde
softwaredehuelladactilar.
WindowsVista
ParadarsoportealiniciodesesióntantoconeltecladodehuellasdactilaresdeLenovocomoconelsensor
incorporadodehuelladactilardeThinkPadenWindowsVista,debetenerhabilitadaslasinterfacesdeinicio
desesióndelSoftwaredehuellasdactilaresdeLenovoydelSoftwaredehuellasdactilaresdeThinkVantage.
72ClientSecuritySolution8.21Guíadedespliegue
CuandoambasinterfacesdeiniciodesesióndehuelladactilarestánhabilitadasenWindowsVista,los
usuariospuedenpasareldedoporeltecladodehuelladactilaroporeldispositivointegradodehuella
dactilarparainiciarlasesión.
Notas:
1.Elvalor“Prioridaddellector”delBIOSnoseaplicaenestecaso.Puedeutilizarsecualquierdispositivo
delosdosparaeliniciodesesiónsiambosdispositivosestándisponibles.
2.LapantalladeiniciodesesióndeWindowsVistasolamentepuedemostrarunmosaicoobotón,por
cadainiciodesesióndehuelladactilar,aunquesepuedeutilizarcualquiersensordehuellasdactilares
parainiciarlasesión.
Deformaalternativa,paradarsoportetantoaltecladodehuelladactilarcomoaldispositivointegradode
huelladactilar,sepuedeutilizarlainterfazdeiniciodesesióndeClientSecuritySolutionenlugardelas
interfacesdeiniciodesesióndelsoftwaredehuelladactilar.Sinembargo,estaprestaciónsolamenteestá
disponibleenlaversión8.21,oposteriores,deClientSecuritySolution.
SiutilizalainterfazdeiniciodesesióndeClientSecuritySolution,lasinterfacesdeiniciodesesióndel
softwaredehuelladactilardeberánestarinhabilitadasenlaopción“Valores”delasrespectivasaplicaciones
desoftwaredehuelladactilar.LainterfazdeiniciodesesióndeClientSecuritySolutionsepuedehabilitar
mediantelaaplicaciónClientSecuritySolutionenelmenúInicio.Laopciónparacongurarlainterfazde
iniciodesesióndeClientSecuritySolutionsepuedeencontrarseleccionandoGestionarpolíticasde
seguridaddelmenúAvanzadodeClientSecuritySolution.
AutenticaciónconClientSecuritySolution
Nota:Lainformaciónsiguienteseaplicasolamentealaversión8.21,yposteriores,deClientSecurity
Solution.LasversionesanterioresdeClientSecuritySolutionnodansoportealautilizacióndeldispositivo
integradodehuelladactilarconeltecladodehuelladactilar.
CuandoserealizaunaacciónconClientSecuritySolutionquerequiereautenticacióndehuelladactilar,
comoporejemplolaespecicaciónautomáticadelacontraseñaenunsitiowebconPasswordManager,los
usuariosdebenpasarundedosobreeltecladodehuelladactilar,siestáconectado,enelmomentoenque
asíselessolicite.Seharácasoomisosisepasaeldedodiversasvecesporeldispositivoincorporado
dehuelladactilar,sieltecladodehuelladactilarestáconectado.Sieltecladodehuelladactilarnoestá
conectado,setendráqueutilizarelsensorintegradodehuelladactilar.
Haydisponibleunvalorderegistroparapediralosusuariosqueutilicenelsensorincorporadodehuella
dactilarparalaautenticaciónconClientSecuritySolution.Sisedeneestaentradaderegistro,la
autenticacióndehuelladactilarconClientSecuritySolutiondeberárealizarseconelsensorincorporadoyse
harácasoomisodelaaccióndepasareldedoporeltecladodehuelladactilar.
Laentradadelregistroeslasiguiente:
[HKLM\Software\Lenovo\TVTCommon\ClientSecuritySolution]
REG_DWORD"Pref erInternalFPSensor"=1
Elvalorpredeterminadodelaentradaderegistroanteriores0,cuandolaautenticacióndehuelladactilar
conClientSecuritySolutiondebehacerseconeltecladodehuelladactilaryseharácasoomisodelaacción
depasareldedoporeldispositivoincorporadodehuelladactilar.
EstevalortambiénsepuedecambiarutilizandoelarchivodeplantillasadministrativasdeClientSecurity
SolutionconlaspolíticasdegrupoparaActiveDirectory.
Notas:
ApéndiceB.ConsideracionesespecialesparautilizareltecladodehuellasdactilaresdeLenovoconalgunos
modelosdeequiposportátilesThinkPad73
1.CuandoelvalordeBIOS“ReaderPriority”sehadenidoen“Internalonly”,serecomiendadenirel
valordelaentradaderegistroen1.EstaacciónhabilitarálaautenticaciónconClientSecuritySolution
parasimularelvalordeautenticaciónpreviaalescritoriodeBIOS.
2.ElvalordeBIOSyelvalordeesteregistrosonindependientes.
74ClientSecuritySolution8.21Guíadedespliegue
ApéndiceC. SincronizacióndelacontraseñaenCSStras
restablecerlacontraseñadeWindows
UnavezrestablecidalacontraseñadeWindows,ClientSecuritySolutionlesolicitaconstantemente
unacontraseñadeWindowsnuevapero,seguidamentemuestraunmensajedeerrorqueindicaquela
contraseñaesincorrecta.LaseguridaddeWindowssehadiseñadodeformaquelascredencialesde
seguridaddelusuarioquedeninvalidadascuandoserestablezcalacontraseñadeWindows.Windowsle
mostraráunmensajedeavisoencadaintentoderestablecerlacontraseña.Además,alrestablecerla
contraseñadeWindowsnosolamenteseveráafectadoelproductoClientSecuritySolutionsinoque
tambiénperderáelaccesoaloscerticadosyarchivosquesehayancifradomedianteWindowsEFS.
CuandoClientSecuritySolutionyanopuedeaccederalascredencialesdeseguridaddeWindows(como
resultadoderestablecerlacontraseña),ClientSecuritySolutionlesolicitaráconstantementeunacontraseña
nuevayseguidamentemostraráunmensajedeerrorenelqueseindicaquelacontraseñaqueseha
indicadonoesválida.ClientSecuritySolutionnopuedefuncionarcuandolascredencialesdeseguridadde
Windowshanquedadoinvalidadas.SisehacambiadlacontraseñadeWindowsdelusuario(porejemplo,
selesolicitaqueespeciquetantolacontraseñaantiguacomolanueva),seconservaránlascredencialesde
seguridadyseprotegerángraciasalanuevacontraseña.
ParasincronizarlacontraseñaenCSStrasrestablecerlacontraseñadeWindows,realicelosiguiente:
1.RestaureunacopiadeseguridaddesusistemaantesderestablecerlacontraseñadeWindows.
2.RestablezcalacontraseñadeWindowsnuevamentealaquehabíaoriginalmente.Deestaformase
restableceráelaccesoalascredencialesdeseguridaddeWindows.
3.CreeunacuentanuevadeWindowsycomienceautilizarlaenlugardeemplearlacuentaoriginalcon
lascredencialescorruptas.
4.Sigaestemétodopararecuperarelsistema:
a.IniciePasswordManager.
b.PulseImport/ExportyseleccioneExportentrylist.
c.Especiqueunaubicaciónparaguardarelarchivoyescribaunnombredearchivo.
d.Especiqueunacontraseñaparaelarchivodeentradas.
e.CierrePasswordManager.
f.InicieClientSecuritySolution.
g.PulseAvanzadas➙Restablecervaloresdeseguridad.
h.EscribalacontraseñanuevadeWindowscuandoselesolicite.
i. ClientSecuritySolutionlesolicitaráquereinicieelsistema.
j. Despuésdereiniciarelsistema,iniciePasswordManager.
k.PulseImport/ExportyseleccioneImportentrylist.
l. Examineelarchivoquesehaguardadoanteriormente.
m.Especiquelacontraseñacuandoselesolicite.
©CopyrightLenovo2008,2012
75
76ClientSecuritySolution8.21Guíadedespliegue
ApéndiceD. Avisos
PuedequeenotrospaísesLenovonoofrezcalosproductos,serviciosocaracterísticasquesedescriben
enestainformación.ConsulteconelrepresentantelocaldeLenovoparaobtenerinformaciónsobre
losproductosyserviciosactualmentedisponiblesensuárea.Lasreferenciasaprogramas,productos
oserviciosdeLenovonopretendenestablecerniimplicarquesólopuedanutilizarselosproductos,
programasoserviciosdeLenovo.Ensulugar,sepuedeutilizarcualquierproducto,programaoservicio
funcionalmenteequivalentequenoinfrinjalosderechosdepropiedadintelectualdeLenovo.Sinembargo,
esresponsabilidaddelusuarioevaluaryvericarelfuncionamientodelosproductos,programasoservicios
quenoseandeLenovo.
Lenovopuedetenerpatentesosolicitudesdepatentependientesquetrateneltemadescritoeneste
documento.Laposesióndeestedocumentonoleconereningunalicenciasobredichaspatentes.Puede
enviarconsultassobrelicencias,porescrito,a:
Lenovo(UnitedStates),Inc.
1009ThinkPlace-BuildingOne
Morrisville,NC27560
U.S.A.
Attention:LenovoDirectorofLicensing
LENOVOPROPORCIONAESTAPUBLICACIÓN“TALCUAL”SINNINGÚNTIPODEGARANTÍA,EXPLÍCITA
NIIMPLÍCITA,INCLUYENDOPERONOLIMITÁNDOSEA,LASGARANTÍASIMPLÍCITASDENO
VULNERACIÓN,COMERCIALIZACIÓNOIDONEIDADPARAUNPROPÓSITODETERMINADO.Algunas
jurisdiccionesnopermitenlarenunciaagarantíasexplícitasoimplícitasendeterminadastransaccionesy,
porlotanto,estadeclaraciónpuedequenoseapliqueensucaso.
Estainformaciónpuedeincluirimprecisionestécnicasoerrorestipográcos.Lainformaciónincluidaeneste
documentoestásujetaacambiosperiódicos;estoscambiosseincorporaránennuevasedicionesdela
publicación.Lenovopuederealizarencualquiermomentomejorasy/ocambiosenel(los)producto(s)y/o
programa(s)descrito(s)enestainformaciónsinprevioaviso.
Losproductosquesedescribenenestedocumentonosehandiseñadoparaserutilizadosenaplicaciones
deimplantaciónoenotrasaplicacionesdesoportedirectoenlasqueunaanomalíapuedeserlacausade
lesionescorporalesopuedeprovocarlamuerte.Lainformacióncontenidaenestedocumentonoafectani
modicalasespecicacionesogarantíasdelosproductosdeLenovo.Estedocumentonopuedeutilizarse
comolicenciaexplícitaoimplícitanicomoindemnizaciónbajolosderechosdepropiedadintelectualde
Lenovoodeterceros.Todalainformacióncontenidaenestedocumentosehaobtenidoenentornos
especícosysepresentacomoejemplo.Elresultadoobtenidoenotrosentornosoperativospuedevariar.
Lenovopuedeutilizarodistribuirlainformaciónqueseleproporcionaenlaformaqueconsidereadecuada,
sinincurrirporelloenningunaobligaciónparaconelremitente.
LasreferenciascontenidasenestapublicaciónasitioswebquenoseandeLenovosóloseproporcionan
porcomodidadyenningúnmodoconstituyenunaaprobacióndedichossitiosweb.Losmaterialesde
dichossitioswebnoformanpartedelosmaterialesparaesteproductodeLenovoyelusodedichossitios
webcorreacuentayriesgodelusuario.
Cualquierdatoderendimientocontenidoenestadocumentaciónsehadeterminadoparaunentorno
controlado.Porlotanto,elresultadoobtenidoenotrosentornosoperativospuedevariarsignicativamente.
Algunasmedidassehanrealizadoensistemasenelámbitodedesarrolloynosegarantizaqueestas
medidasseanlasmismasenlossistemasdisponiblesgeneralmente.Asimismo,algunasmedidassepueden
©CopyrightLenovo2008,2012
77
habercalculadoporextrapolación.Losresultadosrealespuedenvariar.Losusuariosdeestedocumento
debenvericarlosdatosaplicablesparasuentornoespecíco.
Marcasregistradas
LostérminosquesiguensonmarcasregistradasdeLenovoenlosEstadosUnidosy/oenotrospaíses:
Lenovo
RescueandRecovery
ThinkCentre
ThinkPad
ThinkVantage
Microsoft,WindowsyWindowsVistasonmarcasregistradasdelgrupodeempresasMicrosoft.
Otrosnombresdeempresas,productososerviciospuedensermarcasregistradasodeserviciodeotros.
78ClientSecuritySolution8.21Guíadedespliegue
Glosario
ContraseñadelBIOSdeAdministrador(ThinkCentre)
/Supervisor(ThinkPad)
Estándardecifradoavanzado(AES)AdvancedEncryptionStandardesunatécnicade
Sistemasdecifrado
Chipdeseguridadincorporado
Cifradodeclavespúblicas/clavesasimétricas Losalgoritmosdeclavespúblicasnormalmente
Lacontraseñadeadministradorosupervisorse
utilizaparacontrolarlacapacidaddecambiar
losvaloresdelBIOS.Estoincluyelacapacidad
dehabilitaroinhabilitarelchipdeseguridad
incorporadoydeborrarlaClavederaízde
almacenamientoalmacenadaconelMódulode
plataformasegura.
cifradodeclavessimétricas.Elgobiernodelos
EE.UU.adoptóelalgoritmocomosutécnicade
cifradoenoctubrede2000,sustituyendoelcifrado
DESqueutilizaba.AESofreceunamayorseguridad
contralosataquesdefuerzabrutaquelasclavesa
56bits,yAESpuedeutilizarclavesde128,192y
256bits,siesnecesario.
Lossistemasdecifradosepuedenclasicar
ampliamenteencifradodeclavessimétricasque
utilizanunaúnicaclavequecifraydescifralos
datos,ycifradodeclavespúblicasqueutiliza
dosclaves,unaclavepúblicaconocidaportodo
elmundoyunaclaveprivadaalaquesólotiene
accesoelpropietariodelpardeclaves.
Elchipdeseguridadincorporadoesotronombre
paraunMódulodeplataformasegura.
utilizanunpardedosclavesrelacionadas:unaclave
esprivadaysedebemantenerensecreto,mientras
quelaotrasehacepúblicaysepuededistribuir
ampliamente;nodebeserposiblededucirunaclave
deunparsiseproporcionalaotra.Laterminología
de“cifradodeclavespúblicas”derivadelaidea
dehacerpartedelaclaveinformaciónpública.El
términocifradodeclavesasimétricastambiénse
utilizaporquenotodaslaspartesmantienenla
mismainformación.Enciertosentido,unaclave
“bloquea”unbloqueo(cifra);peroesnecesariouna
clavedistintaparadesbloquearla(descifrarla).
Claveraízdealmacenamiento(SRK) Laclaveraízdealmacenamiento(SRK)esunpar
declavespúblicasde2,048bits(omayor).Está
inicialmentevacíaysecreacuandoseasignael
propietariodelTPM.Estepardeclavesnunca
abandonaelchipdeseguridadincorporado.Se
utilizaparacifrar(empaquetar)clavesprivadaspara
elalmacenamientofueradelMódulodeplataforma
segurayparadescifrarlascuandosecargande
nuevoenelMódulodeplataformasegura.LaSRK
lapuedeborrarcualquieraquetengaaccesoal
BIOS.
Cifradodeclavessimétricas Lascifrasdelcifradodeclavessimétricasutilizanla
mismaclaveparacifraryparadescifrarlosdatos.
Lascifrasdelasclavessimétricassonmássimples
ymásrápidas,perosuprincipaldesventajaesque
lasdospartesdebendealgunamaneraintercambiar
laclavedeunaformasegura.Elcifradodeclaves
públicasevitaesteproblemaporquelaclavepública
sepuededistribuirdeunaformanosegura,yla
claveprivadanosetransmitenunca.Advanced
EncryptionStandardesunejemplodeunaclave
simétrica.
Módulodeplataformasegura(TPM) LosMódulosdeplataformasegurasoncircuitos
integradosconunpropósitoespecialincorporados
enlossistemasparapermitirunaautenticación
deusuarioyvericacióndelamáquinafuertes.
LanalidadprincipaldelTPMesevitarelacceso
inadecuadoainformaciónimportanteycondencial.
ElTPMesunaraízdeabilidadbasadaenhardware
quesepuedeaprovecharparaproporcionaruna
variedaddeserviciosdecifradoenunsistema.
OtronombreparaelTPMeselchipdeseguridad
incorporado.