Lenovo ThinkVantage Client Security Solution 8.21 Deployment Guide [es]

ClientSecuritySolution8.21 Guíadedespliegue

Actualizado:febrerode2012

Nota:Antesdeutilizarestainformaciónyelproductoalquedasoporte,lealainformacióngeneraldel ApéndiceD“Avisos”enlapágina77.

Terceraedición(Febrero2012) ©CopyrightLenovo2008,2012.

AVISODEDERECHOSLIMITADOSYRESTRINGIDOS:silosproductososoftwaresesuministransegúnelcontrato “GSA”(GeneralServicesAdministration),lautilización,reproducciónodivulgaciónestánsujetasalasrestricciones establecidasenelContratoNúm.GS-35F-05925.

Contenido

Prefacio................iii

Capítulo1.Visióngeneral........1

ClientSecuritySolution............1

FrasedepasodeClientSecuritySolution...2 RecuperacióndecontraseñadeClient

Security................2

ClientSecurityPasswordManager......3

SecurityAdvisor.............3

Asistentedetransferenciadecerticados...4 Restablecimientodelacontraseñade

hardware................4

SoportedesistemassinelMódulode

plataformasegura............4

FingerprintSoftware.............4

Capítulo2.Instalación..........7

ClientSecuritySolution............7

Requisitosdeinstalación..........7

Propiedadespúblicasdepersonalización...8 SoportedeMódulodeplataformasegura...8 Procedimientosdeinstalaciónyparámetros

delalíneademandatos..........9

PropiedadespúblicasestándardeWindows

Installer................12

Archivodeanotacionesdeinstalación...13 InstalacióndeClientSecuritySolution8.21

conversionesexistentes.........14

InstalacióndelSoftwaredehuellasdactilaresde

ThinkVantage...............14

Instalaciónsilenciosa..........14

Options................15

InstalacióndelSoftwaredehuellasdactilaresde

Lenovo..................16

Instalaciónsilenciosa..........16

Options................16

Servidordegestióndesistemas........18

Capítulo3.CómotrabajarconClient

SecuritySolution...........19

UtilizacióndelMódulodeplataformasegura...19

UtilizacióndelMódulodeplataformasegura

conWindowsVista...........19

GestióndeClientSecuritySolutionconclavesde

cifrado..................20

Tomarpropiedad............20

Registrarusuario............21

Emulacióndesoftware..........22

Cambiodelaplacadelsistema......23

ProgramadeutilidaddeproteccióndeEFS.25

UtilizacióndelesquemaXML.........26

Ejemplos...............26

UtilizacióndeseñalesRSASecurID......33

InstalacióndelaseñaldesoftwareRSA

SecurID...............33

Requisitos..............33

Establecimientodelasopcionesdeaccesode

laSmartCard.............33

Instalaciónmanualdelaseñaldesoftware

RSASecurID.............34

SoportedeActiveDirectory........34

Valoresypolíticasparalaautenticaciónconel

lectordehuellasdactilares..........34

Opciónomisióndehuelladactilarobligada..34 Resultadodepasareldedoporeldispositivo

dehuelladactilar............35

Herramientasdelalíneademandatos.....35

SecurityAdvisor............35

AsistentedeconguracióndeClientSecurity

Solution...............36

Herramientadecifradoodescifradodel

archivodedespliegue..........37

Herramientadeprocesodelarchivode

despliegue..............38

TPMENABLE.EXE...........38

Herramientadetransferenciadecerticados.38

HerramientadeactivacióndeTPM.....39

SoportedeActiveDirectory.........40

Archivosdeplantillaadministrativa(ADM)..40

Valoresdelapolíticadegrupo.......41

ActiveUpdate.............45

Capítulo4.Cómotrabajarconel Softwaredehuellasdactilaresde

ThinkVantage.............47

HerramientaConsoladegestión........47

Mandatosespecícosdelusuario.....47

Mandatosdevaloresglobales.......48

Modalidadseguraymodalidadcómoda.....49

Modalidadsegura-administrador.....49

Modalidadsegura-usuarioconlimitaciones.50

Modalidadcómoda-administrador....50

Modalidadcómoda-usuariocon

limitaciones..............51

Valorescongurables..........52

SoftwaredehuellasdactilaresyNovellNetware

Client..................53

Autenticando.............53

©CopyrightLenovo2008,2012

ServiciodelSoftwaredehuellasdactilaresde

ThinkVantage...............54

Capítulo5.Cómotrabajarconel Softwaredehuellasdactilaresde

Lenovo................55

HerramientaConsoladegestión........55

ServiciodelSoftwaredehuellasdactilaresde

Lenovo..................55

SoportedeActiveDirectoryparaelSoftwarede

huellasdactilaresdeLenovo.........55

Capítulo6.Prácticas

recomendadas............57

EjemplosdedespliegueparainstalarClient

SecuritySolution..............57

Casodeejemplo1...........57

Casodeejemplo2...........59

ConmutacióndemodalidadesdeClientSecurity

Solution.................61

ImplementacióndeunActiveDirectoryde

empresa.................61

InstalaciónautónomaparaCDoarchivosscript.62

SystemUpdate..............62

SystemMigrationAssistant..........62

Cómogeneraruncerticadoutilizandola

generacióndeclavesenTPM.........62

Requisitos:..............62

Cómosolicitaruncerticadodesdeel

servidor...............62

Utilizacióndelostecladosdehuella dactilarUSBconelequipoportátil deThinkPadde2008,modelos

(R400/R500/T400/T500/W500/X200/X301)....63

IniciodesesiónenWindowsVista.....64

IniciodesesiónenWindowsXP......65

ClientSecuritySolutionyPassword

Manager...............66

Autenticacióndeprearranqueutilizandola huelladactilarenlugardelascontraseñasdel

BIOS.................67

ApéndiceA.Consideracionesacerca

delautilizacióndeOmniPass....69

ApéndiceB.Consideraciones especialesparautilizarelteclado dehuellasdactilaresdeLenovo conalgunosmodelosdeequipos

portátilesThinkPad..........71

Conguraciónydenición..........71

Autenticaciónpreviaalescritorio.......71

IniciodesesióndeWindows.........71

WindowsXP-Pantalladebienvenida.....72

WindowsXP-Solicituddeiniciodesesión

clásica..................72

WindowsVista...............72

AutenticaciónconClientSecuritySolution....73

ApéndiceC.Sincronizacióndela contraseñaenCSStrasrestablecer

lacontraseñadeWindows......75

ApéndiceD.Avisos..........77

Marcasregistradas.............78

Glosario................lxxix

iiClientSecuritySolution8.21Guíadedespliegue

Prefacio

EstaguíaestádestinadaalosadministradoresdeTIoaaquellosqueseanresponsablesdela implementacióndelprogramaThinkVantage Softwareenlossistemasdesusempresas.Estaguíaproporcionalainformaciónnecesariaparainstalar ClientSecuritySolutionyelSoftwaredehuellasdactilaresenunoovariossistemas,siemprequeestén disponibleslicenciasdelsoftwareparacadasistemadedestino.

ElobjetivodeClientSecuritySolutionydelSoftwaredehuellasdactilaresconsisteenprotegerlossistemas garantizandolaseguridaddelosdatosdelosclientesyendesviarlosintentosdeviolacióndelaseguridad. Pararealizarpreguntasyobtenerinformaciónacercadelautilizacióndelosdistintoscomponentesde ClientSecuritySolutionydelSoftwaredehuellasdactilares,consulteelsistemadeayudaenlíneapara loscomponentesubicadoenhttp://www.lenovo.com/thinkvantage.

Periódicamenteestasguíasseactualizan.Visiteelsiguientesitiowebparaverfuturaspublicaciones: http://www.lenovo.com/thinkvantage

Sitienesugerenciasocomentarios,póngaseencontactoconelrepresentanteautorizadodeLenovo®.

ClientSecuritySolutionydeThinkVantageFingerprint

©CopyrightLenovo2008,2012

iii

ivClientSecuritySolution8.21Guíadedespliegue

Capítulo1.Visióngeneral

EstecapítuloproporcionaunavisióngeneraldeClientSecuritySolutionydelSoftwaredehuellasdactilares. Lastecnologíaspresentadasenestaguíadedesplieguepuedenayudar,directaeindirectamente, alosprofesionalesdeTIporquehacenquelautilizacióndelossistemaspersonalesseamásfácil ymásautosuciente,yporqueproporcionanpotentesherramientasquefacilitanysimplicanlas implementaciones.ConlaayudadelastecnologíasThinkVantage,losprofesionalesdeTIempleanmenos tiemposolucionandoproblemasdesistemasindividualesymástiempodedicadosasustareasprincipales.

ClientSecuritySolution

ElpropósitoprincipaldelsoftwaredeClientSecuritySolutionconsisteenayudaralclienteaprotegerel sistemacomounactivo,protegerlosdatoscondencialesenelsistemayprotegerlasconexionesde redalasqueaccedeelsistema.(ParasistemasdeLenovoquecontienenunTrustedComputingGroup (TCG)compatibleconTrustedPlatformModule(TPM),elsoftwareClientSecuritySolutionaprovecharáel hardwarecomolabasedeconanzaparaelsistema.Sielsistemanocontieneunchipdeseguridad incorporado,ClientSecuritySolutionaprovecharálasclavesdecifradobasadasensoftwarecomola basedeconanzadelsistema).

LasfuncionesdeClientSecuritySolutionVersion8.2incluyenlassiguientes:

•AutenticacióndeusuarioseguraconlacontraseñadeWindows®olafrasedepasodeClient

SecuritySolution

ClientSecuritySolutionsepuedecongurarparaaceptarlacontraseñadeWindowsolafrasede pasodeClientSecuritySolutiondeunusuarioparalaautenticación.LacontraseñadeWindows proporcionacomodidadycapacidaddegestiónmedianteWindowsmientrasquelafrasedepasode ClientSecuritySolutionproporcionaseguridadadicional.Eladministradorpuedeseleccionarquémétodo deautenticacióndeseautilizaryestevalorsepuedecambiarinclusodespuésdequelosusuarios sehayanregistradoconClientSecuritySolution.

•Autenticacióndeusuariomediantehuelladactilar AprovechalatecnologíadehuellasdactilaresintegradayconectadamedianteUSBparaautenticar usuariosenaplicacionesprotegidasmediantecontraseña.

•AutencacióndeusuariodevariosfactoresparainiciodesesióndeWindowsyvariasoperaciones

deClientSecuritySolution

Denevariosdispositivosdeautenticación(contraseñadeWindows,frasedepasodeClientSecurityy huellasdactilares)paradiversasoperacionesrelacionadasconlaseguridad.

•Gestióndecontraseñas Gestionayalmacenadeformasegurainformaciónimportantedeiniciodesesión,talcomolosIDde usuarioycontraseñas.

•Recuperacióndecontraseñayfrasedepaso LarecuperacióndecontraseñayfrasedepasopermitealosusuariosiniciarlasesiónenWindowsy accederasuscredencialesdeClientSecuritySolutioninclusosiolvidansucontraseñadeWindowso sufrasedepasodeClientSecuritySolutionrespondiendoapreguntasdeseguridadconguradas previamente.

•Auditarvaloresdeseguridad Permitealosusuariosverunalistadetalladadelosvaloresdeseguridaddelaestacióndetrabajoy realizarcambiosparaquesatisfaganlosestándaresdenidos.

•Transferenciadecerticadosdigitales ClientSecuritySolutionprotegelaclaveprivadadeloscerticadosdeusuarioydelamáquina.Utilice ClientSecuritySolutionparaprotegerlaclaveprivadadeloscerticadosexistentes.

©CopyrightLenovo2008,2012

•Gestióndepolíticasparalaautenticación Unadministradorpuedeseleccionarquédispositivos(contraseñadeWindows,frasedepasodeClient SecuritySolutionohuellasdactilares)sonnecesariosparaautenticarsepararealizarlasacciones siguientes:iniciodesesióndeWindows,PasswordManageryoperacionesdecerticados.

FrasedepasodeClientSecuritySolution

LafrasedepasodeClientSecuritySolutionesunacaracterísticaopcionaldelaautenticacióndeusuario queproporcionaráseguridadmejoradaalasaplicacionesdeClientSecuritySolution.Lafrasedepasode ClientSecuritySolutiontienelosrequisitossiguientes:

•Debetenercomomínimounalongituddeochocaracteres

•Debecontenercomomínimoundígito

•Debeserdiferentedelastresúltimasfrasesdepaso

•Nodebecontenermásdedoscaracteresrepetitivos

•Nodebeempezarconundígito

•Nodebenalizarconundígito

•NodebecontenerelIDdeusuario

•Nosedebecambiarsilafrasedepasoactualtienemenosdetresdíasdeantigüedad

•Nodebecontenertresomáscaracteresidénticosconsecutivosalafrasedepasoactualencualquier posición

•NodebeserlamismaquelacontraseñadeWindows

LafrasedepasodeClientSecuritySolutionsóloesconocidaporelusuarioindividual.Laúnicaformade recuperarunafrasedepasoolvidadadeClientSecuritySolutionesejecutarlafunciónderecuperación decontraseñadeClientSecuritySolution.Sielusuariohaolvidadolasrespuestasasuspreguntasde recuperación,nohayningunaformaderecuperarlosdatosprotegidosporlafrasedepasodeClient SecuritySolution.

RecuperacióndecontraseñadeClientSecurity

EstacaracterísticaopcionalpermitealosusuariosregistradosdeClientSecurityrecuperarunacontraseña deWindowsounafrasedepasodeClientSecurityolvidadasrespondiendocorrectamenteatrespreguntas. Siestacaracterísticaestáhabilitada,seleccionarátresrespuestasadiezpreguntasseleccionadas previamente.SielusuarioolvidasucontraseñadeWindowsofrasedepasodeClientSecurity,tendrála opciónderesponderaestastrespreguntaspararestablecersucontraseñaofrasedepaso.

Notas:

1.CuandoseutilizalafrasedepasodeClientSecurity,larecuperacióndecontraseñadeClientSecurity eslaúnicaopciónderecuperacióndeunafrasedepasoolvidada.Sielusuarioolvidalarespuestaa sustrespreguntas,estaráobligadoavolveraejecutarelasistentederegistroyperderátodoslosdatos anterioresprotegidosmedianteClientSecurity.

2.CuandoseutilizaClientSecurityparaprotegerelÁreapreviaalescritoriodeRescueandRecovery®,la opcióndeRecuperacióndecontraseñamostrarálafrasedepasodeClientSecurityy/olacontraseña deWindows.LafrasedepasoolacontraseñasevisualizaporqueelÁreapreviaalescritorionotienela capacidadderealizarautomáticamenteuncambiodecontraseñadeWindows.Lafrasedepasoo contraseñasevisualizacuandounusuarioderedinalámbrica(dedominioqueestáalmacenadoen memoriacachédeformalocalynoestáconectadoalared)realizaestafuncióneneliniciodesesiónde Windows.

2ClientSecuritySolution8.21Guíadedespliegue

ClientSecurityPasswordManager

ClientSecurityPasswordManagerlepermitegestionarinformaciónfácildeolvidardelossitioswebyde lasaplicaciones,comoporejemplolosIDdeusuario,lascontraseñasyotrainformaciónpersonal.Client SecurityPasswordManagerprotegelainformaciónpersonalmedianteClientSecuritySolution,deforma queelaccesoalasaplicacionesyalossitioswebcontinúasiendototalmenteseguro.ElprogramaClient SecurityPasswordManagertambiénahorratiempoyesfuerzo,porqueelusuariosólotienequerecordar unacontraseñaofrasedepaso,obienproporcionarlahuelladactilar.

ClientSecurityPasswordManagerlepermiterealizarlasfuncionessiguientes:

•CifrartodalainformaciónalmacenadamedianteelsoftwaredeClientSecuritySolution: CifraautomáticamentetodalainformaciónmedianteClientSecuritySolution.Estogarantizaquetoda lainformaciónimportantedecontraseñasestéprotegidamediantelasclavesdecifradodeClient SecuritySolution.

•CompletardeformaautomáticalosIDdeusuarioycontraseñas: Automatizaelprocesodeiniciodesesiónalaccederaunaaplicaciónositioweb.Silainformaciónde iniciodesesiónsehaespecicadoenClientSecurityPasswordManager,ClientSecurityPassword Managerpuederellenarautomáticamenteloscamposnecesariosysometerelsitioweboaplicación.

•EditarentradasutilizandolainterfazdeClientSecurityPasswordManager: Lepermiteeditarlasentradasdelacuentaycongurartodaslasfuncionesopcionalesenunaúnica interfazfácildeutilizar.Estainterfazhacemásfácilyrápidalagestióndelascontraseñasydela informaciónpersonal.Sinembargo,lamayoríadeloscambiosrelacionadosconentradaspuedenser detectadosautomáticamenteporClientSecurityPasswordManagerypermitealusuarioactualizarsus entradasconinclusomenostrabajo.

•Guardarlainformaciónsinpasosadicionales: ClientSecurityPasswordManagerpuededetectarautomáticamentesiseestáenviandoinformación importanteaunaaplicaciónositiowebdeterminados.Cuandoseproduceunadeteccióndeestetipo, ClientSecurityPasswordManagersolicitaalusuarioqueguardelainformación,simplicandoporlotanto elprocesodealmacenarlainformaciónimportante.

•GuardarlainformaciónenunÁreadeanotacionessegura: ConClientSecurityPasswordManager,elusuariopuedeguardardatosdetextoenáreasdeanotaciones seguras.Estasáreassepuedenprotegerconelmismoniveldeseguridadquesusentradasdesitio weboaplicación.

•Exportareimportarinformacióndeiniciodesesión: Lepermiteexportarinformaciónpersonalimportantedeformaquepuedallevarladeformasegurade unsistemaaotro.CuandoexportalainformacióndeiniciodesesióndesdeClientSecurityPassword Manager,secreaunarchivodeexportaciónprotegidomediantecontraseñaquesepuedealmacenaren unsoporteextraíble.Utiliceestearchivoparaaccederasuinformaciónpersonaldondequieraquevaya,o paraimportarlasentradasenotrosistemaconClientSecurityPasswordManager.

Nota:HaysoportecompletoparalaimportacióndelosarchivosdeexportacióndeClientSecurity Solutiondelasversiones7.0y8.x.HaysoportelimitadoparalaimportacióndisponibleparaClient SecuritySolutionVersión6.0(lasentradasdeaplicaciónnoseimportan).Laversión5.4xylasanteriores deClientSecuritySoftwareSolutionnoseimportaránenClientSecuritySolution,versión8.xPassword Manager.

SecurityAdvisor

LaherramientaSecurityAdvisorlepermitevisualizaunresumendelosvaloresdeseguridadactualmente establecidosenelsistema.Puedeutilizarestosvaloresparavisualizarelestadoactualdelaseguridado paramejorarlaseguridaddelsistema.Losvalorespredeterminadosdelascategoríasvisualizadasse puedencambiarmedianteelregistrodeWindows.Algunasdelascategoríasdeseguridadincluidassonlas siguientes:

Capítulo1.Visióngeneral3

•Contraseñasdehardware

•ContraseñasdeusuariosdeWindows

•PolíticadecontraseñadeWindows

•Protectordepantallaprotegido

•Compartimientodearchivos

Asistentedetransferenciadecerticados

ElAsistentedetransferenciadecerticadosdeClientSecurityleguíaporelprocesodetransferirlas clavesprivadasasociadasconloscerticadosdesdeunproveedordeserviciodecifrado(CSP)de Microsoft transferencia,lasoperacionesqueutilizanloscerticadosseránmássegurasporquelasclavesprivadas estaránprotegidasporClientSecuritySolution.

basadoensoftwareaunCSPdeClientSecuritySolutionbasadoenhardware.Despuésdela

Restablecimientodelacontraseñadehardware

EstaherramientacreaunentornoseguroqueseejecutaindependientementedeWindowsyleayudaa restablecercontraseñasdelaunidaddediscoduroydeencendidoolvidadas.Laidentidadseestablece respondiendoaunaseriedepreguntasqueelusuariocrea.Creeesteentornoseguroloantesposible, antesdequeseolvidelacontraseña.Nopodrárestablecerunacontraseñadehardwareolvidadahasta quesehayacreadoesteentornoseguroeneldiscoduroyhastadespuésdequesehayaregistrado.Esta herramientaestádisponiblesóloensistemasseleccionados.

SoportedesistemassinelMódulodeplataformasegura

ClientSecuritySolutionVersión8.2escompatibleconsistemasdeLenovoquenotienenunchipde seguridadincorporadoquecumplalascondiciones.Estesoportepermiteunainstalaciónestándarentoda laempresaandecrearunentornodeseguridadhomogéneo.Lossistemasquetienenelhardwaredelchip deseguridadincorporadoseránresistentescontraataques;sinembargo,lasmáquinasquesólotengan softwaretambiénsebeneciarándelaseguridadyfuncionalidadadicional.

FingerprintSoftware

ElobjetivodelastecnologíasdehuellasdactilaresbiométricasdeLenovoesayudaralosclientesareducir loscostesasociadosconlagestióndecontraseñas,mejorarlaseguridaddesussistemasyayudarconel tratamientodelcumplimientodelasnormas.ConloslectoresdehuellasdactilaresdeLenovo,elSoftware dehuellasdactilareslepermitelaautenticacióndehuellasdactilaresensistemasindividualesyenredes. ElSoftwaredehuellasdactilarescombinadoconClientSecuritySolutionVersión8.2proporcionauna funcionalidadampliada.ParaClientSecuritySolution8.21,sedasoportetantoalSoftwaredehuellas dactilaresdeThinkVantage5.8.2comoalSoftwaredehuellasdactilaresdeLenovo2.0paradistintostipos demáquinas.PuedesabermássobrelastecnologíasdehuellasdactilaresdeLenovoydescargarel softwareen:http://www.lenovo.com/support/site.wss/MIGR-59650.html.

ElSoftwaredehuellasdactilaresproporcionaestasfunciones:

•Capacidadesdelsoftwaredecliente –SustitucióndelacontraseñadeMicrosoftWindows:

Sustituyalacontraseñaporsuhuelladactilarparaqueelaccesoalsistemaseamásfácil,rápido yseguro.

–SustitucióndelacontraseñadelBIOS(tambiéndenominadacontraseñadeencendido)ydela

contraseñadediscoduro:

Sustituyalascontraseñasconsuhuelladactilarparamejorarlacomodidadylaseguridaddelinicio desesión.

4ClientSecuritySolution8.21Guíadedespliegue

–Autenticacióndehuellasdactilarespreviaalarranqueparaelcifradodetodalaunidadde

SafeGuardEasy:

UtilicelaautenticacióndehuellasdactilaresparadescifrareldiscoduroantesdeiniciarWindows.

–AccesoalBIOSyaWindowspasandoeldedounavez:

AhorretiempopasandoeldedoduranteelarranqueparaaccederalBIOSyaWindows.

–IntegraciónconClientSecuritySolution:

UtiliceconClientSecuritySolutionPasswordManageryaprovecheelMódulodeplataformasegura. Losusuariospuedenpasareldedoparaaccederasitioswebyseleccionaraplicaciones.

•Funcionesdeadministración –Conmutarmodalidaddeseguridad:

Permiteaunadministradorconmutarentrelamodalidadseguraylamodalidadcómodaparamodicar losderechosdeaccesoalosusuariosconlimitaciones.

•Capacidadesdeseguridad –Seguridaddelsoftware:

Protegelasplantillasdeusuariomedianteunfuertecifradocuandoestánalmacenadasenunsistemay cuandosetranserendesdeellectoralsoftware.

–Seguridaddelhardware:

Proporcionaunlectordeseguridadconuncoprocesadorquealmacenayprotegeplantillasdehuellas dactilares,contraseñasdelBIOSyclavesdecifrado.

Capítulo1.Visióngeneral5

6ClientSecuritySolution8.21Guíadedespliegue

Capítulo2.Instalación

EstecapítulocontieneinstruccionesparainstalarClientSecuritySolutionyelSoftwaredehuellas dactilares.AntesdeinstalarClientSecuritySolutionoelSoftwaredehuellasdactilares,debecomprender laarquitecturadelaaplicaciónqueestáinstalando.Estecapítuloproporcionalaarquitecturadecada aplicación,asícomoinformaciónadicionalquenecesitaantesdeinstalarcadaunodeestosprogramas.

ClientSecuritySolution

ElpaquetedeinstalacióndeClientSecuritySolutionsehadesarrolladoconInstallShield10.5Premiercomo unproyectoMSIbásico.InstallShieldutilizaWindowsInstallerparainstalaraplicaciones,loqueproporciona alosadministradoresmuchascapacidadesparapersonalizarinstalaciones,comoporejemploestablecer valoresdepropiedaddesdelalíneademandatos.Enestecapítulosedescribecómoutilizaryejecutar elpaquetedeinstalacióndeClientSecuritySolution.Paraunamejorcomprensión,leaprimerotodoel capítuloantesdeempezarainstalarestospaquetes.

Nota:Alinstalarestospaquetes,consulteelarchivoléamedeClientSecuritySolution.Consulteelsiguiente sitiowebdeLenovo: http://www.lenovo.com/support/site.wss/document.do?sitestyle=lenovo&lndocid=HOME-LENOVO .ElarchivoReadmecontieneinformaciónactualizadaacercadelasversionesdesoftware,lossistemas admitidos,losrequisitosdelsistemayotrasconsideracionesparaayudarleenelprocesodeinstalación.

Requisitosdeinstalación

LainformaciónenestasecciónproporcionalosrequisitosdelsistemaparainstalarelpaquetedeClient SecuritySolution.Paraobtenermejoresresultados,vayaalsiguientesitiowebparaasegurarsedequetiene laversiónmásrecientedelsoftware: http://support.lenovo.com/en_US/downloads/detail.page?LegacyDocID=MIGR-61432.

UnaseriedesistemasantiguospuedendarsoporteaClientSecuritySolution, siemprequecumplanlosrequisitosespecicados.ConsulteelsitioWeben http://support.lenovo.com/en_US/downloads/detail.page?LegacyDocID=MIGR-61432para obtenerinformaciónsobrelossistemasdeversionesanterioresqueutilizanClientSecuritySolution.

RequisitosparasistemasLenovo

LossistemasLenovodebensatisfacercomomínimolossiguientesrequisitosparapoderinstalarClient SecuritySolution:

•Sistemaoperativo:WindowsVista Pack3.

•Memoria:256MB –Enconguracionesdememoriacompartida,elvalordelBIOSparaelmáximodememoriacompartida

sedebeestablecerenunvalorquenoseainferiora8MB.

–Enconguracionesdememorianocompartida,120MBdememorianocompartida.

•InternetExplorer5.5osuperiordebeestarinstalado.

•300MBdeespaciolibreeneldiscoduro.

•VídeocompatibleconVGAquedésoporteaunaresoluciónde800x600ydecolorde24bits.

•ElusuariodebetenerprivilegiosdeadministraciónparainstalarClientSecuritySolution.

•RequisitosadicionalesparaelRestablecimientodecontraseñadehardware:NTFSyWindowsXP.

,WindowsVistaconServicePack1oWindowsXPconService

Nota:NosedasoportealdesplieguedelpaquetedeinstalacióndeClientSecuritySolutionenWindows Server2003.

©CopyrightLenovo2008,2012

Propiedadespúblicasdepersonalización

ElpaquetedeinstalacióndelprogramaClientSecuritySoftwarecontieneunconjuntodepropiedades públicasdepersonalizaciónquesepuedenestablecerenlalíneademandatosalejecutarlainstalación.La tablasiguienteproporcionalaspropiedadespúblicasdepersonalizaciónparaWindowsXPandWindows 2000:

Tabla1.Propiedadespúblicas

PropiedadDescripción

EMULATIONMODEEspecicaquesefuercelainstalaciónenmodalidad

deemulacióninclusosiexisteunTPM.Especique EMULATIONMODE=1enlalíneademandatospara instalarenmodalidaddeemulación.

HALTIFTPMDISABLEDSiTPMestáenunestadoinhabilitadoylainstalación

seestáejecutandoenmodalidadsilenciosa,el valorpredeterminadoesquelainstalacióncontinúe enmodalidaddeemulación.Utilicelapropiedad HALTIFTPMDISABLED=1alejecutarlainstalaciónen modalidadsilenciosaparadetenerlainstalaciónsiTPM estáinhabilitado.

NOCSSWIZARDEstablezcaNOCSSWIZARD=1enlalíneademandatos

paraimpedirqueeldiálogoderegistrodeClientSecurity Solutionsevisualiceautomáticamentedespuésde instalarClientSecuritySolution.Estapropiedadse conguraparaunadministradorquedeseeinstalarClient SecuritySolution,peroutilizarscriptsposteriormenteal congurarelsistema.

CSS_CONFIG_SCRIPTEstablezcaCSS_CONFIG_SCRIPT=“nombredearchivo”

o“contraseñadenombredearchivo”paraqueseejecute unarchivodeconguracióndespuésdequeelusuario hayacompletadolainstalaciónyrearranque.

SUPERVISORPWEstablezcaSUPERVISORPW=“contraseña”enlalíneade

mandatosparaproporcionarlacontraseñadesupervisor parahabilitarelchipenmodalidaddeinstalación silenciosaonosilenciosa.Sielchipestáinhabilitadoyla instalaciónseestáejecutandoenmodalidadsilenciosa, sedebeproporcionarlacontraseñadesupervisor correctaparahabilitarelchip;delocontrario,elchipno sehabilitará.

PWMGRMODEEspeciquePWMGRMODE=1enlalíneademandatos

parainstalarsolamentePasswordManager.

NOSTARTMENUEspeciqueNOSTARTMENU=1enlalíneademandatos

paraimpedirquesegenereunatajoenelmenúdeinicio.

SoportedeMódulodeplataformasegura

ClientSecuritySolutionVersión8.2incluyesoporteparaelhardwaredeseguridadincorporadodelsistema: elMódulodeplataformasegura(TPM).ParaWindows2000yXP,esposiblequenecesitedescargar controladoresparaelTPMdelsistema.SiejecutaWindowsVistayelsistemaincluyeunTPMsoportado porelsistemaoperativo,ClientSecuritySolutionutilizaráloscontroladoresproporcionadosporelsistema operativo.

EsposiblequelahabilitacióndelTPMrequieraunrearranque,yaqueelTPMeshabilitadoporelBIOSdel sistema.SiejecutaWindowsVista,esposiblequeselesolicitequeconrmelahabilitacióndelTPM duranteeliniciodelsistema.

8ClientSecuritySolution8.21Guíadedespliegue

AntesdequeelMódulodeplataformasegurapuedarealizarcualquierfunción,debeinicializarprimero lapropiedad.CadasistematendrásólounadministradordeClientSecuritySolutionquecontrolarálas opcionesdeClientSecuritySolution.Esteadministradordebetenerprivilegiosdeadministradorde Windows.EladministradorsepuedeinicializarutilizandolosscriptsdedespliegueXML.

Despuésdecongurarlapropiedaddelsistema,acadausuarioadicionaldeWindowsqueiniciesesiónen elsistema,elAsistentedeconguracióndeClientSecuritylesolicitaráautomáticamentequeseregistree inicialicelascredencialesylasclavesdeseguridaddeusuario.

EmulacióndesoftwaredelMódulodeplataformasegura

ClientSecuritySolutiontienelaopcióndeejecutarsesinunMódulodeplataformaseguraensistemas cualicados.Lafuncionalidadseráexactamentelamismaexceptuandoelhechodequeutilizaráclaves basadasensoftwareenlugardeutilizarclavesprotegidasmediantehardware.Elsoftwaretambiénse puedeinstalarconunconmutadorparaforzarloautilizarsiempreclavesbasadasensoftwareenlugarde aprovecharelMódulodeplataformasegura.Elusodeesteconmutadoresunadecisiónqueserealiza durantelainstalaciónynosepuedeinvertirsindesinstalaryvolverainstalarelsoftware.

LasintaxisparaforzarunaemulacióndesoftwaredelMódulodeplataformaseguraes:

InstallFile.exe“/vEMULATIONMODE=1”

Procedimientosdeinstalaciónyparámetrosdelalíneademandatos

MicrosoftWindowsInstallerproporcionavariasfuncionesdeadministradormediantelosparámetrosdela líneademandatos.WindowsInstallerpuederealizarunainstalaciónadministrativadeunaaplicaciónode unproductoenunaredparaqueésteseautilizadoporungrupodetrabajooparalapersonalizacióndel mismo.Lasopcionesdelalíneademandatosquerequierenunparámetrosedebenespecicarsinningún espacioentrelaopciónysuparámetro.Porejemplo:

setup.exe/s/v"/qnREBOOT=”R”"

esválido,mientrasque

setup.exe/s/v"/qnREBOOT=”R”"

noloes.

Nota:Elcomportamientopredeterminadodelainstalacióncuandoseejecutasola(ejecutandosetup.exe sinningúnparámetro)solicitaalusuarioquerearranquealnaldelainstalación.Esnecesariorearrancar paraqueelprogramafuncionecorrectamente.Sepuedeaplazarelrearranquemedianteunparámetro delalíneademandatosparaunainstalaciónsilenciosa,talcomosehaexplicadoanteriormenteyen laseccióndeejemplo.

ParaelpaquetedeinstalacióndeClientSecuritySolution,unainstalaciónadministrativadesempaqueta losarchivosfuentedelainstalaciónenunaubicaciónespecicada.

Paraejecutarunainstalaciónadministrativa,ejecuteelpaquetedeinstalacióndesdelalíneademandatos utilizandoelparámetro/a:

setup.exe/a

Unainstalaciónadministrativapresentaunasistentequesolicitaalusuarioadministrativoqueespeciquelas ubicacionesdondedesempaquetarlosarchivosdeinstalación.Laubicacióndeextracciónpredeterminada esC:\.PuedeescogerunanuevaubicaciónquepuedeincluirunidadesademásdeC:\.Porejemplo,otras unidadeslocalesounidadesderedcorrelacionadas.Tambiénpuedecrearnuevosdirectoriosdurante estepaso.

Paraejecutarunainstalaciónadministrativadeformasilenciosa,puedeestablecerlapropiedadpública TARGETDIRenlalíneademandatosparaespecicarlaubicacióndeextracción:

setup.exe/s/v"/qnTARGETDIR=F:\TVTRR"

obien

Capítulo2.Instalación9

msiexec.exe/i"ClientSecurity-PasswordManager.msi"/qnTARGERDIR=F:\TVTRR

Nota:SilaversióndeWindowsInstallernoesactual,setup.exeestáconguradoparaactualizarelmotor deWindowsInstalleralaVersión3.0.Estaactualizaciónharáquelaaccióndeinstalaciónsolicitequese rearranqueinclusoconunainstalacióndeextracciónadministrativa.Utiliceelrearranqueadecuadamente paraevitarunrearranqueenestasituación.SiWindowsInstallerescomomínimolaversión3.0,setup.exe nointentaráinstalarelmotordeWindowsInstaller.

Unavezquesehayacompletadounainstalaciónadministrativa,elusuarioadministrativopuederealizar personalizacionesenlosarchivosfuente,porejemplo,añadirvaloresalregistro.Parainstalarapartirde lasfuentesdesempaquetadasdespuésdequesehayanrealizadopersonalizaciones,elusuariollamaa msiexec.exedesdelalíneademandatos,pasandoelnombredelarchivoMSIdesempaquetado.

Losparámetrosydescripcionessiguientesestándocumentadosenladocumentacióndeayudadel desarrolladordeInstallShield.Sehaneliminadolosparámetrosquenosonaplicablesaproyectosde MSIbásico.

Tabla2.Parámetros

ParámetroDescripción

/a:InstalaciónadministrativaElconmutador/ahacequesetup.exerealiceuna

instalaciónadministrativa.Unainstalaciónadministrativa copia(ydescomprime)losarchivosdedatosenun directorioespecicadoporelusuario,peronocrea atajos,registraservidoresCOMnicreaunregistrode desinstalación.

/x:ModalidaddedesinstalaciónElconmutador/xhacequesetup.exedesinstaleun

productoinstaladoanteriormente.

/s:ModalidadsilenciosaElmandatosetup.exe/ssuprimelaventanadeinstalación

desetup.exeparaunprogramadeinstalaciónMSIbásico, peronoleeunarchivoderespuestas.LosproyectosMSI básiconocreanniutilizanunarchivoderespuestaspara lasinstalacionessilenciosas.Paraejecutarunproducto deMSIbásico,ejecutelalíneademandatossetup.exe/s /v/qn.(Paraespecicarlosvaloresdelaspropiedades públicasparaunainstalaciónsilenciosadeMSIbásico, puedeutilizarunmandatocomoporejemplosetup.exe /s/v“/qnINSTALLDIR=D:\Destino”).

/v:pasaargumentosaMsiexecElargumento/vseutilizaparapasarconmutadoresdela

líneademandatosyvaloresdepropiedadespúblicasa msiexe.exe.

/L:conguraelidiomaLosusuariospuedenutilizarelconmutador/LconelID

decimaldeidiomaparaespecicarelidiomautilizado porelprogramadeinstalaciónenvariosidiomas.Por ejemplo,elmandatoparaespecicaralemánessetup.exe /L1031.

/w:EsperaParaunproyectoMSIbásico,elargumento/wobligaa

setup.exeaesperarhastaquesecompletelainstalación antesdesalir.Siestáutilizandolaopción/wenun archivodeprocesoporlotes,esposiblequedeba anteponerstart/WAITatodoelargumentodelalínea delmandatosetup.exe.Acontinuaciónsemuestraun ejemplocorrectamenteformadodeesteuso:

start/WAITsetup.exe/w

10ClientSecuritySolution8.21Guíadedespliegue

Utilizacióndemsiexec.exe

Parainstalarapartirdelasfuentesdesempaquetadasdespuésderealizarlaspersonalizaciones,elusuario llamaamsiexec.exedesdelalíneademandatos,pasandoelnombredelarchivo*.MSIdesempaquetado. msiexec.exeeselprogramaejecutabledeInstallerutilizadoparainterpretarpaquetesdeinstalacióne instalarproductosensistemasdedestino.

msiexec/i"C:\WindowsFolder\Proles\UserName\ Personal\MySetups\projectname\productconguration\releasename\ DiskImages\Disk1\productname.msi"

Nota:Entreelmandatoanteriorenunaúnicalíneasinespaciosacontinuacióndelasbarrasinclinadas.

Enlatablasiguientesedescribenlosparámetrosdelalíneademandatosquesepuedenutilizarcon msiexec.exeasícomoejemplosdecómoutilizarlos.

Tabla3.Parámetrosdelalíneademandatos

ParámetroDescripción

/Ipaqueteocódigodelproducto

/apaqueteLaopción/apermitealosusuariosconprivilegiosdeadministradorinstalar

/xpaqueteocódigodelproductoLaopción/xdesinstalaunproducto.

/L[i|w|e|a|r|u|c|m|p|v|+]archivode anotaciones

/q[n|b|r|f]

Utiliceesteformatoparainstalarelproducto:

Othello:msiexec/i"C:\WindowsF older\Proles\ UserName\Personal\MySetups \Othello\TrialVersion\ Release\DiskImages\Disk1\ OthelloBeta.msi"

ElcódigodelproductosereerealGUID(GloballyUniqueIdentier)quese generaautomáticamenteenlapropiedaddelcódigodelproductodelavista deproyectosdelproducto.

unproductoenlared.

Lacreaciónconlaopción/Lespecicalavíadeaccesoalarchivode anotaciones;estosdistintivosindicanquéinformaciónsedeberegistrarenel archivodeanotaciones:

•iregistramensajesdeestado

•wregistramensajesdeavisonocríticos

•eregistracualquiermensajedeerror

•aregistraeliniciodelassecuenciasdeacción

•rregistraregistrosespecícosdelasacciones

•uregistrasolicitudesdeusuario

•cregistraparámetrosinicialesdelainterfazdeusuario

•mregistramensajesdefaltadememoria

•pregistravaloresdeterminal

•vregistraelvalordesalidadetallada

•+seañadeaunarchivoexistente

•*esuncaráctercomodínquelepermiteregistrartodalainformación (excluidoelvalordesalidadetallada)

Laopción/qseutilizaparaestablecerelniveldeinterfazdeusuario conjuntamenteconlosdistintivossiguientes:

•qoqnnocreaningunainterfazdeusuario

•qbcreaunainterfazdeusuariobásica

Lossiguientesvaloresdelainterfazdeusuariovisualizanunrecuadrode diálogomodalalnaldelainstalación:

•qrvisualizaunainterfazdeusuarioreducida

•qfvisualizaunainterfazdeusuariocompleta

•qn+novisualizaningunainterfazdeusuario

•qb+visualizaunainterfazdeusuariobásica

Capítulo2.Instalación11

Tabla3.Parámetrosdelalíneademandatos(continuación)

ParámetroDescripción

/?o/hAmbosmandatosvisualizanlainformacióndecopyrightdeWindowsInstaller TRANSFORMSElparámetrodelalíneademandatosTRANSFORMSespecicacualquier

transformaciónquedeseeaplicaralpaquetebase.

msiexec/i"C:\WindowsF older\ Proles\UserName\Personal \MySetups\ YourProjectName\TrialVersion\ MyRelease-1 \DiskImages\Disk1\ ProductName.msi"TRANSFORMS="NewTransform1.mst"

Puedesepararvariastransformacionesmedianteunsignodepuntoycoma. Noutilicepuntoycomaenelnombredelatransformaciónyaqueelservicio deWindowsInstallerlointerpretaráincorrectamente.

Propiedades

Todaslaspropiedadespúblicassepuedenestableceromodicardesde lalíneademandatos.Laspropiedadespúblicassedistinguendelas propiedadesprivadasporelhechodequetodasestánenmayúsculas.Por ejemplo,COMPANYNAMEesunapropiedadpública.

Paraestablecerunapropiedadenlalíneademandatos,utilicelasintaxis siguiente:

PROPERTY=VALUE

SidesearacambiarelvalordeCOMPANYNAME,especicaríalosiguiente:

msiexec/i"C:\WindowsF older\ Proles\UserName\Personal\ MySetups\YourProjectName\ TrialVersion\MyRelease-1\ DiskImages\Disk1\ProductName.msi" COMPANYNAME="InstallShield"

PropiedadespúblicasestándardeWindowsInstaller

WindowsInstallertieneunconjuntodepropiedadespúblicasestándarincorporadasquesepueden establecerenlalíneademandatosparaespecicaruncomportamientodeterminadodurantelainstalación. Latablasiguienteproporcionalaspropiedadespúblicasmáscomunesutilizadasenlalíneademandatos.

Paraobtenerinformaciónadicional,consulteelsitiowebdeMicrosoften: http://msdn2.microsoft.com/en-us/library/aa367437.aspx.

LatablasiguientemuestralaspropiedadesmáshabitualmenteutilizadasdeWindowsInstaller:

Tabla4.PropiedadesdeWindowsInstaller

PropiedadDescripción

TARGETDIREspecicaeldirectoriodedestinoraízparalainstalación.

Duranteunainstalaciónadministrativa,estapropiedad eslaubicacióndondesedebecopiarelpaquetede

instalación. ARPAUTHORIZEDCDFPREFIXURLdelcanaldeactualizaciónparalaaplicación. ARPCOMMENTSProporcionaComentariosparaAgregaroquitar

programasdelPaneldecontrol.

12ClientSecuritySolution8.21Guíadedespliegue

Tabla4.PropiedadesdeWindowsInstaller(continuación)

PropiedadDescripción

ARPCONTACTProporcionaelContactoparaAgregaroquitarprogramas

enelPaneldecontrol.

ARPINSTALLLOCA TIONVíadeaccesocalicadatotalmentedelacarpetaprincipal

delaaplicación. ARPNOMODIFYInhabilitalafuncionalidadquemodicaríaelproducto. ARPNOREMOVEInhabilitalafuncionalidadqueeliminaríaelproducto. ARPNOREPAIRInhabilitaelbotónReparardelasistentedeProgramas. ARPPRODUCTICON

ARPREADME

ARPSIZETamañoaproximadodelaaplicaciónenkilobytes. ARPSYSTEMCOMPONENTEvitaquesevisualicelaaplicaciónenlalistadeAgregar

ARPURLINFOABOUTURLdelapáginainicialdeunaaplicación. ARPURLUPDATEINFOURLdelainformacióndeactualizacióndelaaplicación. REBOOTLapropiedadREBOOTsuprimealgunosindicadores

Especicaeliconoprincipalparaelpaquetede

instalación.

ProporcionaunarchivoléameparaAgregaroquitar

programasenelPaneldecontrol.

oquitarprogramas.

desolicitudparaunrearranquedelsistema.Un

administradorutilizanormalmenteestapropiedadconuna

seriedeinstalacionesparainstalarvariosproductosal

mismotiempoconsólounrearranquealnal.Establezca

REBOOT=“R”parainhabilitarelrearranquealnalde

unainstalación.

Archivodeanotacionesdeinstalación

ElarchivodeanotacionesdeinstalacióndeClientSecuritySolutionsedenominacssinstall82x32.log(para WindowsXPyWindowsVista32)ocss64install82V.log(paraWindowsVista64),ysecreaeneldirectorio %temp%silainstalaciónseiniciamediantesetup.exe(efectúeunadoblepulsaciónenelarchivoinstall.exe principal,ejecuteelarchivoejecutableprincipalsinparámetrosiextraigamsiyejecutesetup.exe).Este archivocontienemensajesdeanotacionesquesepuedenutilizarparadepurarproblemasdeinstalación. EstearchivodeanotacionesnosecreaalejecutarlainstalacióndirectamentedesdeelpaqueteMSI;esto incluyeaccionesrealizadasdesdeAgregaroquitarprogramas.Paracrearunarchivodeanotacionespara todaslasaccionesMSI,puedehabilitarlapolíticadeanotacionesenelregistro.Parahaceresto,creeelvalor:

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] "Logging"="voicewarmup"

Ejemplosdeinstalación

Latablasiguienteproporcionaejemplosdeinstalaciónutilizandosetup.exe:

Tabla5.Ejemplosdeinstalaciónqueutilizansetup.exe

DescripciónEjemplo

Instalaciónsilenciosasinrearranque.

Instalaciónadministrativa.

Instalaciónadministrativasilenciosaespecicandola ubicacióndeextracciónparaClientSecuritySoftware.

setup.exe/s/v”/qnREBOOT=”R””

setup.exe/a

setup.exe/a/s/v”/qnTARGETDIR=”F:

\CSS82””

Capítulo2.Instalación13

Tabla5.Ejemplosdeinstalaciónqueutilizansetup.exe(continuación)

DescripciónEjemplo

Desinstalaciónsilenciosasetup.exe/s/x/v/qn.

Instalaciónsinrearranque.Creeunarchivode anotacionesdeinstalacióneneldirectoriotemporalpara ClientSecuritySoftware.

InstalaciónsininstalarelÁreapreviaalescritorio setup.exe/vPDA=0.

setup.exe/s/x/v/qn

setup.exe/v”REBOOT=”R”/L*v%temp% \cssinstall80.log”

setup.exe/vPDA=0

LatablasiguienteproporcionaejemplosdeinstalaciónqueutilizanClientSecurity-PasswordManager.msi:

Tabla6.EjemplosdeinstalaciónqueutilizanClientSecurity-PasswordManager.msi

DescripciónEjemplo

Instalación

Instalaciónsilenciosasin rearranque

Desinstalaciónsilenciosa

msiexec/i“C:\CSS82\ClientSecurity Solution-PasswordManager.msi”

msiexec/i“C:\CSS82\ClientSecurity Solution-PasswordManager.msi”/qnREBOOT=”R”

msiexec/x“C:\CSS82\ClientSecurity Solution-PasswordManager.msi”/qn

InstalacióndeClientSecuritySolution8.21conversionesexistentes

ClientSecuritySolutionsepuedeactualizarapartirdeClientSecuritySolution8.0utilizandoSystemUpdate. ParainstalarClientSecuritySolution8.21conversionesexistentesanterioresalaversión8.0deClient SecuritySolution,instaleprimeroClientSecuritySolution8.0enelsistema.

ClientSecuritySolution8.0nosepuedeinstalarcomounaactualizacióndeunaversiónanterior.Debe desinstalarlaversiónexistentedeClientSecuritySolutionantesdeinstalarlaversión8.0.Paraconservar losdatosylosvaloresexistentes,completelospasossiguientesantesdeeliminarlaversiónanteriorde ClientSecuritySolution:

1.DescargueClientSecuritySolution8.0UpgradeAssistantenelsiguientesitiowebdeLenovo: http://www.lenovo.com/support/site.wss/document.do?sitestyle=lenovo&lndocid=MIGR-46391.

2.Desdelalíneademandatos,ejecutedemanerasilenciosaClientSecuritySolution8.0Upgrade AssistantantesdeeliminarlaversiónanteriordeClientSecuritySolution.

Además,losusuariosdeClientSecuritySolution7.0debenactualizaraClientSecuritySolution8.0antes deinstalarRescueandRecovery4.0

Nota:Siestáactualizandounsistemaoperativo,debeborrarelchipdeseguridadparaevitarunaanomalía deregistrodeClientSecuritySolution.

InstalacióndelSoftwaredehuellasdactilaresdeThinkVantage

Elarchivosetup.exedelprogramadesoftwaredehuellasdactilaressepuedeinstalarmediantelosmétodos siguientes:

Instalaciónsilenciosa

ParainstalardeformasilenciosaelSoftwaredehuellasdactilares,ejecuteelarchivosetup.exeubicadoenel directoriodeinstalacióndelaunidaddeCD-ROM.

Utilicelasintaxissiguiente:

14ClientSecuritySolution8.21Guíadedespliegue

Setup.exePROPERTY=VALUE/q/i

dondeqesparalainstalaciónsilenciosaeiesparalainstalación.Porejemplo:

setup.exeINSTALLDIR="C:\ProgramFiles\ThinkVantagengerprintsoftware"/q/i

Paradesinstalarelsoftware,utiliceelparámetro/xenlugarde/i:

setup.exeINSTALLDIR="C:\ProgramFiles\ThinkVantagengerprintsoftware"/q/x

Options

EnelSoftwaredehuellasdactilaresestánsoportadaslasopcionessiguientes:

Tabla7.Opcionesadmitidasporelsoftwaredehuellasdactilares

ParámetroDescripción

CTRLONCEVisualizaelCentrodecontrolsólounavez.Elvalor

predeterminadoes0.

CTLCNTREjecutaelCentrodecontrolalarrancar.Elvalor

predeterminadoes1.

DEFFUS•0=noutilizarálosvaloresdeConmutaciónrápidade

usuario(FUS).

•1=IntentaráutilizarlosvaloresdeFUS. Elvalorpredeterminadoes0.

INSTALLDIRElvalorpredeterminadoeseldirectoriodeinstalacióndel

softwaredehuellasdactilares.

OEM

PASSPORT

SECURITY

SHORTCUTFOLDER

REBOOTSuprimetodoslosrearranques,incluidoslosindicadores

DEVICEBIOConguraeltipodedispositivoqueseráutilizadoporel

•0=Instalasoporteparapasaportesdeservidoro autenticacióndeservidor

•1=Sólomodalidadautónomadelsistemacon pasaporteslocales

Elvalorpredeterminadoeseltipodecontraseña establecidodurantelainstalación.

•1=Valorpredeterminado-Pasaportelocal

•2=Pasaportedelservidor

Elvalorpredeterminadoes1.

•1=Instalasoporteparalamodalidadsegura

•0=Noinstala;sóloexistelamodalidadcómoda

Elvalorpredeterminadoeselnombredelacarpetade accesodirectoenelmenúInicio.

desolicituddurantelainstalación,estableciéndoloen Realmentesuprimir.

usuario.Tipoderegistro:

•DEVICEBIO=#3-sectordeldispositivoqueseutilizará antesdelprimerregistro.

•DEVICEBIO=#0-seutilizaráelregistroenlaunidad dediscoduro

•DEVICEBIO=#1-seutilizaráelregistroen CompanionChip

Capítulo2.Instalación15

InstalacióndelSoftwaredehuellasdactilaresdeLenovo

Elarchivosetup32.exedelprogramadesoftwaredehuellasdactilaressepuedeinstalarutilizandounade estosprocedimientos:

Instalaciónsilenciosa

Pararealizarunainstalaciónsilenciosadelsoftwaredehuellasdactilares,ejecuteelarchivosetup32.exeque seencuentraeneldirectoriodeinstalacióndelaunidaddeCD-ROM.

Utilicelasintaxissiguiente:

setup32.exe/s/v"/qnREBOOT="R""

Paradesinstalarelsoftware,utilicelasintaxissiguiente:

setup32.exe/x/s/v"/qnREBOOT="R""

Options

EnelSoftwaredehuellasdactilaresestánsoportadaslasopcionessiguientes:

Tabla8.OpcionesadmitidasporelSoftwaredehuellasdactilaresdeLenovo

ParámetroDescripción

SWAUTOSTART•0=noiniciaráelsoftwaredehuellasdactilaresdurante

elarranquedeWindows.

•1=iniciaráelsoftwaredehuellasdactilaresdurante elarranquedeWindows.

Elvalorpredeterminadoes1.

SWFPLOGON•0=noutilizaráeliniciodesesióndehuelladactilar

(GINAoCredentialProvider).

•1=utilizaráeliniciodesesióndehuelladactilar(GINA oCredentialProvider).

Elvalorpredeterminadoes0.

SWPOPP•0=inhabilitarálaproteccióndecontraseñade

encendido.

•1=habilitarálaproteccióndecontraseñade encendido.

Elvalorpredeterminadoes0.

SWSSO•0=inhabilitarálafuncióndeiniciodesesiónúnico.

•1=habilitarálafuncióndeiniciodesesiónúnico.

Elvalorpredeterminadoes0.

SWALLOWENROLL•0=nopermitelainscripcióndelahuelladactilarpara

usuariosquenoseanadministradores.

•1=permitelainscripcióndelahuelladactilarpara usuariosquenoseanadministradores.

Elvalorpredeterminadoes1.

SWALLOWDELETE•0=nopermitelasupresióndelahuelladactilarpara

usuariosquenoseanadministradores.

•1=permitelasupresióndelahuelladactilarpara usuariosquenoseanadministradores.

Elvalorpredeterminadoes1.

16ClientSecuritySolution8.21Guíadedespliegue

Tabla8.OpcionesadmitidasporelSoftwaredehuellasdactilaresdeLenovo(continuación)

ParámetroDescripción

SWALLOWIMEXPORT•0=nopermitelaimportación/exportacióndelahuella

dactilarparausuariosquenoseanadministradores.

•1=permitelaimportación/exportacióndelahuella

dactilarparausuariosquenoseanadministradores.

Elvalorpredeterminadoes1.

SWALLOWSELECT•0=nopermitelaseleccióndeutilizarlahuelladactilar

parasustituirlacontraseñadeencendidoparausuarios quenoseanadministradores.

•1=permitelaseleccióndeutilizarlahuelladactilar

parasustituirlacontraseñadeencendidoparausuarios quenoseanadministradores.

Elvalorpredeterminadoes1.

SWALLOWPWRECOVERY•0=nopermitelarecuperacióndecontraseñasde

Windows.

•1=permitelarecuperacióndecontraseñasde

Windows.

Elvalorpredeterminadoes1.

SWANTIHAMMER•0=inhabilitalaprotecciónantigolpes.

•1=hablitalaprotecciónantigolpes. Elvalorpredeterminadoes1.

SWANTIHAMMERRETRIESEspecicalacantidadmáximadereintentos.Elvalor

predeterminadoes5. Nota:Estevalorfuncionasolamentecuandoseha habilitadoSWANTIHAMMER.

SWANTIHAMMERTIMEOUTEspecicaladuracióndeltiempodeesperaensegundos.

Elvalorpredeterminadoes120. Nota:Estevalorfuncionasolamentecuandoseha habilitadoSWANTIHAMMER.

SWAUTHTIMEOUT•0=inhabilitaeltiempodeesperadeautenticación.

•1=habilitaeltiempodeesperadeautenticación. Elvalorpredeterminadoes1.

SWAUTHTIMEOUTVALUEEspecicaelperíododeinactividadantesdeltiempo

deesperadeautenticación,ensegundos.Elvalor predeterminadoes120. Nota:Estevalorsolamentefuncionacuandoestá habilitadoSWAUTHTIMEOUT.

SWNONADMIFPLOGONONLY•0=inhabilitaeliniciodesesiónsolamenteconhuella

dactilarparausuariosquenoseanadministradores.

•1=habilitaeliniciodesesiónsolamenteconhuella

dactilarparausuariosquenoseanadministradores.

Elvalorpredeterminadoes1.

Capítulo2.Instalación17

Tabla8.OpcionesadmitidasporelSoftwaredehuellasdactilaresdeLenovo(continuación)

ParámetroDescripción

SWSHOWPOWERON

CSS•0=suponequenosehainstaladoCSS.

•0=nomuestralasopcionesdeseguridadde encendido.

•1=muestrasiemprelasopcionesdeseguridadde encendido.

Elvalorpredeterminadoes0.

•1=suponequesehainstaladoCSS.

Elvalorpredeterminadoes0.

Servidordegestióndesistemas

TambiénestánsoportadaslasinstalacionesdeSMS(servidordegestióndesistemas).Abralaconsolade administradordeSMS.Creeunnuevopaqueteyestablezcalaspropiedadesdelpaquetedelaforma estándar.AbraelpaqueteyseleccioneNuevo-ProgramaenelelementoProgramas.Enlalíneade mandatos,especique:

Setup.exe/myourmiflename/q/i

Puedeutilizarlosmismosparámetrosqueparalainstalaciónsilenciosa.

Lainstalaciónnormalmenterearrancaalnaldelprocesodeinstalación.Sideseasuprimirtodoslos rearranquesdurantelainstalaciónyrearrancarposteriormente(despuésdeinstalarmásprogramas),añada REBOOT=“ReallySuppress”alalistadepropiedades.

18ClientSecuritySolution8.21Guíadedespliegue

Capítulo3.CómotrabajarconClientSecuritySolution

AntesdeinstalarClientSecuritySolution,debecomprenderlapersonalizacióndisponibleparaClient SecuritySolution.EnestecapítuloseproporcionainformacióndepersonalizaciónsobreClientSecurity Solution,asícomoinformaciónrelativaalMódulodeplataformasegura.Estecapítuloutilizatérminos denidosporTrustedComputingGroup(TCG)enrelaciónalTrustedPlatformModule.Paraobtenermás informaciónsobreTrustedPlatformModule,consulteelsiguientesitioweb: http://www.trustedcomputinggroup.org/

UtilizacióndelMódulodeplataformasegura

ElMódulodeplataformaseguraesunchipdeseguridadincorporadodiseñadoparaproporcionarfunciones relacionadasconlaseguridadparaelsoftwarequeloutiliza.Elchipdeseguridadincorporadoseinstalaen laplacamadredeunsistemaysecomunicamedianteunbusdehardware.Lossistemasqueincorporan unMódulodeplataformasegurapuedencrearclavesdecifradoycifrarlasdeformaquesólopuedan serdescifradasporelmismoMódulodeplataformasegura.Esteproceso,amenudodenominado empaquetado,ayudaaprotegerlaclaveevitandoqueserevele.EnunsistemaconunMódulodeplataforma segura,laclavedeempaquetadomaestra,denominadaClaveraízdealmacenamiento(SRK),sealmacenaen elpropioMódulodeplataformasegura,deformaquelaparteprivadadelaclavenuncaquedaexpuesta.El chipdeseguridadincorporadotambiénpuedealmacenarotrasclavesdealmacenamiento,clavesderma, contraseñasyotraspequeñasunidadesdedatos.Debidoalacapacidadlimitadadealmacenamientoenel Módulodeplataformasegura,laSRKseutilizaparacifrarotrasclavesparaelalmacenamientofueradelchip. LaSRKnuncadejaelchipdeseguridadincorporadoyformalabaseparaelalmacenamientoprotegido.

LautilizacióndelchipdeseguridadincorporadoesopcionalyrequiereunadministradordeClientSecurity Solution.YaseaparaelusuarioindividualoparaundepartamentodeTIdeunaempresa,sedebeinicializar elMódulodeplataformasegura.Lasoperacionessubsiguientes,comoporejemplolacapacidadde recuperarsedeunaanomalíadelaunidaddediscoduroolasustitucióndelaplacadelsistema,también estánrestringidasaladministradordeClientSecuritySolution.

Nota:Siestácambiandolamodalidaddeautenticacióneintentadesbloquearelchipdeseguridad, debecerrarlasesióny,acontinuación,iniciardenuevolasesióncomoeladministradormaestro.Esto lepermitirádesbloquearelchip.Tambiénpuedeiniciarlasesióncomounusuariosecundarioycontinuar convirtiendolamodalidaddeautenticación.Estoserealizaautomáticamentecuandoelusuariosecundario inicialasesión.ClientSecuritySolutionlesolicitarálacontraseñaofrasedepasodelusuariosecundario. UnavezqueClientSecuritySolutionhayaacabadodeprocesarelcambio,elusuariosecundariopuede continuardesbloqueandoelchip.

UtilizacióndelMódulodeplataformaseguraconWindowsVista

SiestáhabilitadoeliniciodesesióndeWindowsVistayelMódulodeplataformaseguraestáinhabilitado, debeinhabilitarlacaracterísticadeiniciodesesióndeWindowsantesdeinhabilitarelMódulodeplataforma seguraenF1BIOS.Sihaceesto,evitaqueaparezcaunmensajedeseguridadqueindicalosiguiente:Seha desactivadoelchipdeseguridad,elprocesodeiniciodesesiónnosepuedeproteger.

Además,siestáactualizandoelsistemaoperativodeunsistemacliente,debeborrarelchipdeseguridad paraevitarunaanomalíaderegistrodeClientSecurity.ParaborrarelchipenF1BIOS,elsistemase debeiniciardesdeunarranqueenfrío.Nopodráborrarelchipsiintentaesteprocesodespuésdeun rearranqueentemplado.

GestióndeClientSecuritySolutionconclavesdecifrado

ClientSecuritySolutionsedescribemediantelasdosactividadesprincipalesdedespliegue;T omar propiedadyRegistrarusuario.AlejecutarelAsistentedeconguracióndeClienteSecurityporprimeravez, losprocesosTomarpropiedadyRegistrarusuarioserealizandurantelainicialización.ElIDdeusuariode WindowsespecícoquehacompletadoelAsistentedeconguracióndeClientSecuritySolutionesel AdministradordeClientSecuritySolutionyseregistracomounusuarioactivo.Atodoslosdemásusuarios queiniciensesiónenelsistemaselesrequeriráqueseregistrenenClientSecuritySolution.

•Tomarpropiedad SeasignaunúnicoIDdeusuarioadministradorWindowsalúnicoAdministradordeClientSecurity Solutiondelsistema.LasfuncionesadministrativasdeClientSecuritySolutionsedebenrealizarmediante esteIDdeusuario.LaautorizacióndelMódulodeplataformaseguraeslacontraseñadeWindowsola frasedepasodeClientSecuritydeesteusuario.

Nota:LaúnicaformaderecuperarunacontraseñadeAdministradorofrasedepasodeClientSecurity SolutionolvidadaesdesinstalarelsoftwareconlospermisosválidosdeWindowsoborrarelchipde seguridadenelBIOS.Decualquieradelasdosmanerasseperderánlosdatosprotegidosmediantelas clavesasociadasconelMódulodeplataformasegura.ClientSecuritySolutiontambiénproporcionaun mecanismoopcionalquepermitelaautorecuperacióndeunacontraseñaofrasedepasoolvidadas basándoseenunretopregunta-respuesta.ElAdministradordeClientSecuritySolutiontomaladecisión sobresiutilizarestafunción.

•Registrarusuario UnavezquesehayacompletadoelprocesoT omarpropiedadysehayacreadounAdministradorde ClientSecuritySolution,sepodrácrearunaclavebasedeusuarioparaalmacenardeformasegura credencialesparaelusuariodeWindows.Estediseñopermitequemúltiplesusuariosseregistrenen ClientSecuritySolutionyaprovechenelúnicoMódulodeplataformasegura.Lasclavesdeusuarioestán protegidasmedianteelchipdeseguridad,peroenrealidadsealmacenanfueradelchipenlaunidadde discoduro.Estediseñocreaespaciodediscodurocomofactordealmacenamientoconlimitaciones enlugardememoriarealincorporadaenelchipdeseguridad.Elnúmerodeusuariosquepueden aprovecharelmismohardwareseguroaumentaconsiderablemente.

Tomarpropiedad

LaraízdeabilidaddeClientSecuritySolutioneslaClaveraízdelsistema(SRK).Estaclaveasimétrica quenosepuedemigrarsegeneraenelentornosegurodelMódulodeplataformaseguraynuncase exponealsistema.Laautorizaciónparaaprovecharlaclavesederivadelacuentadeadministradorde WindowsduranteelmandatoTPM_TakeOwnership.Sielsistemaestáaprovechandounafrasedepasode ClientSecurity,lafrasedepasodeClientSecurityparaelAdministradordeClientSecuritySolutionserá laautorizacióndelMódulodeplataformasegura.Delocontrario,serálacontraseñadeWindowsdel AdministradordeClientSecuritySolution.

UnavezquesehayacreadolaSRKparaelsistema,sepodráncrearotrosparesdeclavesyestossepodrán almacenarfueradelMódulodeplataformasegura,peroenvueltosoprotegidosmediantelasclavesbasadas enhardware.DebidoaqueelMódulodeplataformaseguraqueincluyelaSRKeshardwareyelhardware puederesultardañado,esnecesariounmecanismoderecuperaciónparagarantizarlarecuperacióndelos datosencasodequeseproduzcandañosenelsistema.

PararecuperarunsistemasecrealaClavebasedelsistema.Estaclavedealmacenamientoasimétrica permitealAdministradordeClientSecuritySolutionlarecuperacióndeuncambiodelaplacadelsistemao lamigraciónplanicadaaotrosistema.AndeprotegerlaClavebasedelsistemaperopermitirquesea accesibleduranteelfuncionamientonormalodurantelarecuperación,secreanyprotegendosinstancias delaclavemediantedosmétodosdistintos.Enprimerlugar,secifralaClavebasedelsistemaconuna clavesimétricaAESquesederivasabiendolacontraseñadelAdministradordeClientSecuritySolution olafrasedepasodeClientSecurity.EstacopiadelaClavederecuperacióndeClientSecuritySolution

20ClientSecuritySolution8.21Guíadedespliegue

seutilizaexclusivamenteanderealizarlarecuperacióndeunMódulodeplataformaseguraborradoo

System Level Key Structure - Take Ownership

Trusted Platform Module

Encrypted via derived AES Key

Storage Root Private Key

Storage Root Public Key

System Leaf Private Key

System Base Private Key

System Leaf Public Key

System Base Public Key

System Base Private Key

System Base Public Key

If Passphrase

loop n times

CSS Admin PW/PP

One-Way Hash

System Base AES

Protection Key (derived via output of hash algorithm)

Auth

deunaplacadelsistemasustituidadebidoaunerrordehardware.

LasegundainstanciadelaClavederecuperacióndeClientSecuritySolutionesempaquetadaporlaSRK paraimportarlaenlajerarquíadeclaves.EstadobleinstanciadelaClavebasedelsistemapermiteal Módulodeplataformaseguraprotegerlossecretosvinculadosalmismomásabajodurantelautilización normalypermitelarecuperacióndeunaplacadelsistemafallidamediantelaClavebasedelsistemaque estácifradaconunaclaveAESdesbloqueadaporlacontraseñadeAdministradordeClientSecuritySolution olafrasedepasodeClientSecurity.Acontinuación,secrealaClavehojadelsistema.Estaclavesecrea paraprotegerlossecretosaniveldelsistemacomoporejemplolaclaveAES.

Eldiagramasiguienteproporcionalaestructuraparalaclaveaniveldelsistema:

Figura1.Estructuradeclaveaniveldelsistema:Tomarpropiedad

Registrarusuario

ParaquelosdatosdecadausuarioesténprotegidosmedianteelmismoMódulodeplataformasegura,cada usuariotendrácreadasupropiaClavebasedeusuario.Estaclavedealmacenamientoasimétricasepuede migrarytambiénsecreadosvecesyseprotegemedianteunaclaveAESsimétricageneradaapartirdela contraseñadeusuariodeWindowsofrasedepasodeClientSecurity.

LasegundainstanciadelaClavebasedeusuarioseimportaseguidamenteenelMódulodeplataforma segurayseprotegemediantelaSRKdelsistema.ConlaClavebasedeusuario,tambiénsecreaunaclave asimétricasecundariadenominadaClavehojadeusuario.LaClavehojadeusuarioprotegesecretos personalescomoporejemplolaclaveAESdePasswordManagerutilizadaparaprotegerlainformación deiniciodesesiónenInternet,lacontraseñautilizadaparaprotegerdatosylaclaveAESdecontraseña deWindowsutilizadaparaprotegerelaccesoalsistemaoperativo.ElaccesoalaClavehojadeusuario locontrolalacontraseñadeWindowsolafrasedepasodeClientSecuritySolutiondelusuarioyse desbloqueaautomáticamenteduranteeliniciodesesión.

Capítulo3.CómotrabajarconClientSecuritySolution21

+ 61 hidden pages