How it Works
Lenovo
Loading...
T
Loading...
Loading...
ThinkVantage Client Security Solution 8.3
Deployment Guide [de]
98 pgs1.22 Mb0
Deployment Guide [es]
92 pgs1.2 Mb0
Deployment Guide [fr]
92 pgs1.19 Mb0
Deployment Guide [it]
90 pgs1.18 Mb0
Deployment Guide [ja]
88 pgs2.39 Mb0
Deployment Guide [zc]
80 pgs1.73 Mb0
Table of contents
Loading...

Lenovo ThinkVantage Client Security Solution 8.3 Deployment Guide [es]

Download
ClientSecuritySolution8.3 Guíadedespliegue
Actualizado:diciembrede2011
Nota:Antesdeutilizarestainformaciónyelproductoalquedasoporte,lealainformacióngeneraldel ApéndiceE“Avisos”enlapágina81.
Cuartaedición(Diciembre2011) ©CopyrightLenovo2008,2011.
AVISODEDERECHOSLIMITADOSYRESTRINGIDOS:silosproductososoftwaresesuministransegúnelcontrato “GSA”(GeneralServicesAdministration),lautilización,reproducciónodivulgaciónestánsujetasalasrestricciones establecidasenelContratoNúm.GS-35F-05925.
Contenido
Prefacio................iii
Capítulo1.Visióngeneral........1
ClientSecuritySolution............1
FrasedepasodeClientSecuritySolution...2 RecuperacióndecontraseñadeClient
Security................2
ClientSecurityPasswordManager......2
SecurityAdvisor.............3
Asistentedetransferenciadecerticados...4 Restablecimientodelacontraseñade
hardware................4
SoportedesistemassinelMódulode
plataformasegura............4
FingerprintSoftware.............4
Capítulo2.Instalación..........7
ClientSecuritySolution............7
Requisitosdeinstalación..........7
Propiedadespúblicasdepersonalización...7 SoportedeMódulodeplataformasegura...8 Procedimientosdeinstalaciónyparámetros
delalíneademandatos..........9
Utilizacióndemsiexec.exe........10
PropiedadespúblicasestándardeWindows
Installer................12
Archivodeanotacionesdeinstalación...13
InstalacióndelSoftwaredehuellasdactilaresde
ThinkVantage...............14
Instalaciónsilenciosa..........14
Options................14
InstalacióndelSoftwaredehuellasdactilaresde
Lenovo..................17
Instalaciónsilenciosa..........17
Options................17
Servidordegestióndesistemas........19
Capítulo3.CómotrabajarconClient
SecuritySolution...........21
UtilizacióndelMódulodeplataformasegura...21
UtilizacióndelMódulodeplataformasegura
conWindows7............21
GestióndeClientSecuritySolutionconclavesde
cifrado..................22
Tomarpropiedad............22
Registrarusuario............23
Emulacióndesoftware..........24
Cambiodelaplacadelsistema......25
ProgramadeutilidaddeproteccióndeEFS.27
UtilizacióndelesquemaXML.........28
Ejemplos...............28
UtilizacióndeseñalesRSASecurID......35
InstalacióndelaseñaldesoftwareRSA
SecurID...............35
Requisitos..............35
Establecimientodelasopcionesdeaccesode
laSmartCard.............35
Instalaciónmanualdelaseñaldesoftware
RSASecurID.............35
SoportedeActiveDirectory........36
Valoresypolíticasparalaautenticaciónconel
lectordehuellasdactilares..........36
Opciónomisióndehuelladactilarobligada..36 Resultadodepasareldedoporeldispositivo
dehuelladactilar............36
Herramientasdelalíneademandatos.....37
SecurityAdvisor............37
AsistentedeconguracióndeClientSecurity
Solution...............38
Herramientadecifradoodescifradodel
archivodedespliegue..........39
Herramientadeprocesodelarchivode
despliegue..............39
TPMENABLE.EXE...........40
Herramientadetransferenciadecerticados.40
ActivarodesactivarTPM.........41
SoportedeActiveDirectory.........43
Archivosdeplantillaadministrativa(ADM)..44
Valoresdelapolíticadegrupo.......45
Capítulo4.Cómotrabajarconel Softwaredehuellasdactilaresde
ThinkVantage.............51
HerramientaConsoladegestión........51
Mandatosespecícosdelusuario.....51
Mandatosdevaloresglobales.......52
Modalidadseguraymodalidadcómoda.....53
Modalidadsegura-administrador.....53
Modalidadsegura-usuarioconlimitaciones.54
Modalidadcómoda-administrador....54
Modalidadcómoda-usuariocon
limitaciones..............55
Valorescongurables..........56
SoftwaredehuellasdactilaresyNovellNetware
Client..................57
Autenticando.............57
ServiciodelSoftwaredehuellasdactilaresde
ThinkVantage...............58
©CopyrightLenovo2008,2011
i
Capítulo5.Cómotrabajarconel Softwaredehuellasdactilaresde
Lenovo................59
HerramientaConsoladegestión........59
ServiciodelSoftwaredehuellasdactilaresde
Lenovo..................59
SoportedeActiveDirectoryparaelSoftwarede
huellasdactilaresdeLenovo.........59
Capítulo6.Prácticas
recomendadas............61
EjemplosdedespliegueparainstalarClient
SecuritySolution..............61
Casodeejemplo1...........61
Casodeejemplo2...........63
ConmutacióndemodalidadesdeClientSecurity
Solution.................65
ImplementacióndeunActiveDirectoryde
empresa.................66
InstalaciónautónomaparaCDoarchivosscript.66
SystemUpdate..............66
SystemMigrationAssistant..........66
Cómogeneraruncerticadoutilizandola
generacióndeclavesenTPM.........66
Requisitos:..............66
Cómosolicitaruncerticadodesdeel
servidor...............67
USBUtilizacióndelostecladosdehuelladactilar 2008conelsistemaportátildeThinkPadde
(R400/R500/T400/T500/W500/X200/X301)....68
IniciodesesiónenWindows7......68
ClientSecuritySolutionyPassword
Manager...............69
Autenticacióndeprearranqueutilizandola huelladactilarenlugardelascontraseñasdel
BIOS.................69
ApéndiceA.Consideraciones especialesparautilizarelteclado dehuellasdactilaresdeLenovo conalgunosmodelosdeequipos
portátilesThinkPad..........71
Conguraciónydenición..........71
Pre-desktopauthentication..........71
IniciodesesióndeWindows.........72
AutenticaciónconClientSecuritySolution....72
ApéndiceB.Sincronizaciónde lacontraseñaenClientSecurity Solutiontrasrestablecerla
contraseñadeWindows.......75
ApéndiceC.UtilizacióndeClient SecuritySolutionenunsistema
operativoWindowsreinstalado....77
ApéndiceD.UsodeTPMenlos
sistemasportátilesThinkPad.....79
¿CómoimplementarBitLockerdemanera
remota?.................79
¿CómofuncionaelbloqueodeTPM?.....79
ApéndiceE.Avisos..........81
Marcasregistradas.............82
Glosario................lxxxiii
iiClientSecuritySolution8.3Guíadedespliegue

Prefacio

LainformaciónquecontieneestaguíaesparadarsoportealossistemasLenovo programasThinkVantage
®
ClientSecuritySolutionyFingerprintSoftware.
®
quetenganinstaladolos
ElobjetivodeClientSecuritySolutionydelSoftwaredehuellasdactilaresconsisteenprotegerlossistemas garantizandolaseguridaddelosdatosdelosclientesyendesviarlosintentosdeviolacióndelaseguridad.
LaGuíadedesplieguedeClientSecuritySolutionproporcionalainformaciónnecesariaparainstalarClient SecuritySolutionyelSoftwaredehuellasdactilaresenunoomássistemas,asícomolasinstruccionesylos casosdeejemplodelasherramientasdeadministradorquesepuedenpersonalizarparadarsoportealas políticascorporativasydeTI.
EstaguíaestádestinadaalosadministradoresdeTIoaaquellaspersonasqueseanresponsablesdel desplieguedelprogramaThinkVantageClientSecuritySolutionydelSoftwaredehuellasdactilaresde ThinkVantageenlossistemasdesusempresas.Sitienesugerenciasocomentarios,póngaseencontacto consurepresentanteautorizadodeLenovo.Estaguíaseactualizaperiódicamenteypuedeconsultarla publicaciónmásrecienteenelsitiowebdeLenovoen: http://www.lenovo.com/support
Pararealizarpreguntasyobtenerinformaciónacercadelautilizacióndelosdistintoscomponentesdel espaciodetrabajodeClientSecuritySolutionydelSoftwaredehuellasdactilares,consulteelsistemade ayudaenlíneaylasguíasdelusuarioqueseproporcionanconClientSecuritySolutionyelSoftwarede huellasdactilares.
©CopyrightLenovo2008,2011
iii
ivClientSecuritySolution8.3Guíadedespliegue

Capítulo1.Visióngeneral

EstecapítuloproporcionaunavisióngeneraldeClientSecuritySolutionydelSoftwaredehuellasdactilares. Lastecnologíaspresentadasenestaguíadedesplieguepuedenayudar,directaeindirectamente, alosprofesionalesdeTIporquehacenquelautilizacióndelossistemaspersonalesseamásfácil ymásautosuciente,yporqueproporcionanpotentesherramientasquefacilitanysimplicanlas implementaciones.ConlaayudadelastecnologíasThinkVantage,losprofesionalesdeTIempleanmenos tiemposolucionandoproblemasdesistemasindividualesymástiempodedicadosasustareasprincipales.

ClientSecuritySolution

ElpropósitoprincipaldelsoftwaredeClientSecuritySolutionconsisteenayudaralclienteaprotegerel sistemacomounactivo,protegerlosdatoscondencialesenelsistemayprotegerlasconexionesde redalasqueaccedeelsistema.(ParasistemasdeLenovoquecontienenunTrustedComputingGroup (TCG)compatibleconTrustedPlatformModule(TPM),elsoftwareClientSecuritySolutionaprovecharáel hardwarecomolabasedeconanzaparaelsistema.Sielsistemanocontieneunchipdeseguridad incorporado,ClientSecuritySolutionaprovecharálasclavesdecifradobasadasensoftwarecomola basedeconanzadelsistema).
LasfuncionesdeClientSecuritySolution8.3incluyen:
AutenticacióndeusuarioseguraconlacontraseñadeWindows
SecuritySolution
ClientSecuritySolutionsepuedecongurarparaaceptarlacontraseñadeWindowsolafrasede pasodeClientSecuritySolutiondeunusuarioparalaautenticación.LacontraseñadeWindows proporcionacomodidadycapacidaddegestiónmedianteWindowsmientrasquelafrasedepasode ClientSecuritySolutionproporcionaseguridadadicional.Eladministradorpuedeseleccionarquémétodo deautenticacióndeseautilizaryestevalorsepuedecambiarinclusodespuésdequelosusuarios sehayanregistradoconClientSecuritySolution.
Autenticacióndeusuariomediantehuelladactilar AprovechalatecnologíadehuellasdactilaresintegradayconectadamedianteUSBparaautenticar usuariosenaplicacionesprotegidasmediantecontraseña.
AutencacióndeusuariodevariosfactoresparainiciodesesióndeWindowsyvariasoperaciones
deClientSecuritySolution
Denemúltiplesdispositivosdeautenticación(contraseñadeWindows,frasedepasodeClientSecurity yhuellasdactilares)paravariasoperacionesrelacionadasconlaseguridad.
Gestióndecontraseñas Gestionayalmacenadeformasegurainformaciónimportantedeiniciodesesión,talcomolosIDde usuarioycontraseñas.
Recuperacióndecontraseñayfrasedepaso LarecuperacióndecontraseñayfrasedepasopermitealosusuariosiniciarlasesiónenWindowsy accederasuscredencialesdeClientSecuritySolutioninclusosiolvidansucontraseñadeWindowso sufrasedepasodeClientSecuritySolutionrespondiendoapreguntasdeseguridadconguradas previamente.
Auditarvaloresdeseguridad Permitealosusuariosverunalistadetalladadelosvaloresdeseguridaddelaestacióndetrabajoy realizarcambiosparaquesatisfaganlosestándaresdenidos.
Transferenciadecerticadosdigitales ClientSecuritySolutionprotegelaclaveprivadadeloscerticadosdeusuarioydelamáquina.Utilice ClientSecuritySolutionparaprotegerlaclaveprivadadeloscerticadosexistentes.
®
olafrasedepasodeClient
©CopyrightLenovo2008,2011
1
Gestióndepolíticasparalaautenticación Unadministradorpuedeseleccionarquédispositivos(contraseñadeWindows,frasedepasodeClient SecuritySolutionohuellasdactilares)sonnecesariosparaautenticarsepararealizarlasacciones siguientes:iniciodesesióndeWindows,PasswordManageryoperacionesdecerticados.

FrasedepasodeClientSecuritySolution

LafrasedepasodeClientSecuritySolutionesunacaracterísticaopcionaldelaautenticacióndeusuario queproporcionaráseguridadmejoradaalasaplicacionesdeClientSecuritySolution.Lafrasedepasode ClientSecuritySolutiontienelosrequisitossiguientes:
•Debetenercomomínimounalongituddeochocaracteres
•Debecontenercomomínimoundígito
•Debeserdiferentedelastresúltimasfrasesdepaso
•Nodebecontenermásdedoscaracteresrepetitivos
•Nodebeempezarconundígito
•Nodebenalizarconundígito
•NodebecontenerelIDdeusuario
•Nosedebecambiarsilafrasedepasoactualtienemenosdetresdíasdeantigüedad
•Nodebecontenertresomáscaracteresidénticosconsecutivosalafrasedepasoactualencualquier posición
•NodebeserlamismaquelacontraseñadeWindows
LafrasedepasodeClientSecuritySolutionsóloesconocidaporelusuarioindividual.Laúnicaformade recuperarunafrasedepasoolvidadadeClientSecuritySolutionesejecutarlafunciónderecuperación decontraseñadeClientSecuritySolution.Sielusuariohaolvidadolasrespuestasasuspreguntasde recuperación,nohayningunaformaderecuperarlosdatosprotegidosporlafrasedepasodeClient SecuritySolution.

RecuperacióndecontraseñadeClientSecurity

EstacaracterísticaopcionalpermitealosusuariosregistradosdeClientSecurityrecuperarunacontraseña deWindowsounafrasedepasodeClientSecurityolvidadasrespondiendocorrectamenteatrespreguntas. Siestacaracterísticaestáhabilitada,seleccionarátresrespuestasadiezpreguntasseleccionadas previamente.SielusuarioolvidasucontraseñadeWindowsofrasedepasodeClientSecurity,tendrála opciónderesponderaestastrespreguntaspararestablecersucontraseñaofrasedepaso.
Nota:CuandoseutilizalafrasedepasodeClientSecurity,larecuperacióndecontraseñadeClientSecurity eslaúnicaopciónderecuperacióndeunafrasedepasoolvidada.Sielusuarioolvidalarespuestaa sustrespreguntas,estaráobligadoavolveraejecutarelasistentederegistroyperderátodoslosdatos anterioresprotegidosmedianteClientSecurity.

ClientSecurityPasswordManager

ClientSecurityPasswordManagerlepermitegestionarinformaciónfácildeolvidardelossitioswebyde lasaplicaciones,comoporejemplolosIDdeusuario,lascontraseñasyotrainformaciónpersonal.Client SecurityPasswordManagerprotegelainformaciónpersonalmedianteClientSecuritySolution,deforma queelaccesoalasaplicacionesyalossitioswebcontinúasiendototalmenteseguro.ElprogramaClient SecurityPasswordManagertambiénahorratiempoyesfuerzo,porqueelusuariosólotienequerecordar unacontraseñaofrasedepaso,obienproporcionarlahuelladactilar.
ClientSecurityPasswordManagerlepermiterealizarlasfuncionessiguientes:
2ClientSecuritySolution8.3Guíadedespliegue
CifrartodalainformaciónalmacenadamedianteelsoftwaredeClientSecuritySolution: CifraautomáticamentetodalainformaciónmedianteClientSecuritySolution.Estogarantizaquetoda lainformaciónimportantedecontraseñasestéprotegidamediantelasclavesdecifradodeClient SecuritySolution.
CompletardeformaautomáticalosIDdeusuarioycontraseñas: Automatizaelprocesodeiniciodesesiónalaccederaunaaplicaciónositioweb.Silainformaciónde iniciodesesiónsehaespecicadoenClientSecurityPasswordManager,ClientSecurityPassword Managerpuederellenarautomáticamenteloscamposnecesariosysometerelsitioweboaplicación.
EditarentradasutilizandolainterfazdeClientSecurityPasswordManager: Lepermiteeditarlasentradasdelacuentaycongurartodaslasfuncionesopcionalesenunaúnica interfazfácildeutilizar.Estainterfazhacemásfácilyrápidalagestióndelascontraseñasydela informaciónpersonal.Sinembargo,lamayoríadeloscambiosrelacionadosconentradaspuedenser detectadosautomáticamenteporClientSecurityPasswordManagerypermitealusuarioactualizarsus entradasconinclusomenostrabajo.
Guardarlainformaciónsinpasosadicionales: ClientSecurityPasswordManagerpuededetectarautomáticamentesiseestáenviandoinformación importanteaunaaplicaciónositiowebdeterminados.Cuandoseproduceunadeteccióndeestetipo, ClientSecurityPasswordManagersolicitaalusuarioqueguardelainformación,simplicandoporlotanto elprocesodealmacenarlainformaciónimportante.
GuardarlainformaciónenunÁreadeanotacionessegura: ConClientSecurityPasswordManager,elusuariopuedeguardardatosdetextoenáreasdeanotaciones seguras.Estasáreassepuedenprotegerconelmismoniveldeseguridadquesusentradasdesitio weboaplicación.
Exportareimportarinformacióndeiniciodesesión: Lepermiteexportarinformaciónpersonalimportantedeformaquepuedallevarladeformasegurade unsistemaaotro.CuandoexportalainformacióndeiniciodesesióndesdeClientSecurityPassword Manager,secreaunarchivodeexportaciónprotegidomediantecontraseñaquesepuedealmacenaren unsoporteextraíble.Utiliceestearchivoparaaccederasuinformaciónpersonaldondequieraquevaya,o paraimportarlasentradasenotrosistemaconClientSecurityPasswordManager.
Nota:HaysoportecompletoparalaimportacióndelosarchivosdeexportacióndeClientSecurity Solutiondelasversiones7.0y8.x.HaysoportelimitadoparalaimportacióndisponibleparaClient SecuritySolutionVersión6.0(lasentradasdeaplicaciónnoseimportan).Laversión5.4xylasanteriores deClientSecuritySoftwareSolutionnoseimportaránenClientSecuritySolution,versión8.xPassword Manager.

SecurityAdvisor

LaherramientaSecurityAdvisorlepermitevisualizaunresumendelosvaloresdeseguridadactualmente establecidosenelsistema.Puedeutilizarestosvaloresparavisualizarelestadoactualdelaseguridado paramejorarlaseguridaddelsistema.Losvalorespredeterminadosdelascategoríasvisualizadasse puedencambiarmedianteelregistrodeWindows.Algunasdelascategoríasdeseguridadincluidassonlas siguientes:
•Contraseñasdehardware
•ContraseñasdeusuariosdeWindows
•PolíticadecontraseñadeWindows
•Protectordepantallaprotegido
•Compartimientodearchivos
Capítulo1.Visióngeneral3
Asistentedetransferenciadecerticados
ElAsistentedetransferenciadecerticadosdeClientSecurityleguíaporelprocesodetransferirlas clavesprivadasasociadasconloscerticadosdesdeunproveedordeserviciodecifrado(CSP)de Microsoft transferencia,lasoperacionesqueutilizanloscerticadosseránmássegurasporquelasclavesprivadas estaránprotegidasporClientSecuritySolution.
®
basadoensoftwareaunCSPdeClientSecuritySolutionbasadoenhardware.Despuésdela

Restablecimientodelacontraseñadehardware

EstaherramientacreaunentornoseguroqueseejecutaindependientementedeWindowsyleayudaa restablecercontraseñasdelaunidaddediscoduroydeencendidoolvidadas.Laidentidadseestablece respondiendoaunaseriedepreguntasqueelusuariocrea.Creeesteentornoseguroloantesposible, antesdequeseolvidelacontraseña.Nopodrárestablecerunacontraseñadehardwareolvidadahasta quesehayacreadoesteentornoseguroeneldiscoduroyhastadespuésdequesehayaregistrado.Esta herramientaestádisponiblesóloensistemasseleccionados.

SoportedesistemassinelMódulodeplataformasegura

ClientSecuritySolution8.3dasoporteasistemasdeLenovoquenotenganunchipdeseguridad incorporadoquecumplalascondiciones.Estesoportepermiteunainstalaciónestándarentodala empresaandecrearunentornodeseguridadhomogéneo.Lossistemasquetienenelchipdeseguridad incorporadoseránresistentescontraataques;sinembargo,enlossistemasquenolotengan,ClientSecurity Solutionaprovecharálasclavesdecifradobasadasensoftwarecomolabasedeconanzadelsistema,así elsistematambiénsebeneciarádelaseguridadylafuncionalidadadicionales.

FingerprintSoftware

ElobjetivodelastecnologíasdehuellasdactilaresbiométricasdeLenovoesayudaralosclientesareducir loscostesasociadosconlagestióndecontraseñas,mejorarlaseguridaddesussistemasyayudarconel tratamientodelcumplimientodelasnormas.ConloslectoresdehuellasdactilaresdeLenovo,elSoftware dehuellasdactilareslepermitelaautenticacióndehuellasdactilaresensistemasindividualesyenredes.El SoftwaredehuellasdactilarescombinadoconClientSecuritySolution8.3proporcionaunafuncionalidad ampliada.ClientSecuritySolution8.3dasoportetantoalSoftwaredehuellasdactilaresdeThinkVantage
5.9.2comoalSoftwaredehuellasdactilaresdeLenovo3.3,quepuedenestardisponiblesparadistintos tiposdemáquinas.PuedesabermássobrelastecnologíasdehuellasdactilaresdeLenovoydescargarel SoftwaredehuellasdactilaresdelsitiowebdeLenovo.
ElSoftwaredehuellasdactilaresproporcionaestasfunciones:
CapacidadesdelsoftwaredeclienteSustitucióndelacontraseñadeMicrosoftWindows:
Sustituyalacontraseñaporsuhuelladactilarparaqueelaccesoalsistemaseamásfácil,rápido yseguro.
SustitucióndelacontraseñadelBIOS(tambiéndenominadacontraseñadeencendido)ydela
contraseñadediscoduro:
Sustituyalascontraseñasconsuhuelladactilarparamejorarlacomodidadylaseguridaddelinicio desesión.
Autenticacióndehuellasdactilarespreviaalarranqueparaelcifradodetodalaunidadde
SafeGuardEasy:
UtilicelaautenticacióndehuellasdactilaresparadescifrareldiscoduroantesdeiniciarWindows.
AccesoalBIOSyaWindowspasandoeldedounavez:
AhorretiempopasandoeldedoduranteelarranqueparaaccederalBIOSyaWindows.
4ClientSecuritySolution8.3Guíadedespliegue
IntegraciónconClientSecuritySolution:
UtiliceconClientSecuritySolutionPasswordManageryaprovecheelMódulodeplataformasegura. Losusuariospuedenpasareldedoparaaccederasitioswebyseleccionaraplicaciones.
FuncionesdeadministraciónConmutarmodalidaddeseguridad:
Permiteaunadministradorconmutarentrelamodalidadseguraylamodalidadcómodaparamodicar losderechosdeaccesoalosusuariosconlimitaciones.
CapacidadesdeseguridadSeguridaddelsoftware:
Protegelasplantillasdeusuariomedianteunfuertecifradocuandoestánalmacenadasenunsistemay cuandosetranserendesdeellectoralsoftware.
Seguridaddelhardware:
Proporcionaunlectordeseguridadconuncoprocesadorquealmacenayprotegeplantillasdehuellas dactilares,contraseñasdelBIOSyclavesdecifrado.
Capítulo1.Visióngeneral5
6ClientSecuritySolution8.3Guíadedespliegue

Capítulo2.Instalación

EstecapítulocontieneinstruccionesparainstalarClientSecuritySolutionyelSoftwaredehuellas dactilares.AntesdeinstalarClientSecuritySolutionoelSoftwaredehuellasdactilares,debecomprender laarquitecturadelaaplicaciónqueestáinstalando.Estecapítuloproporcionalaarquitecturadecada aplicación,asícomoinformaciónadicionalquenecesitaantesdeinstalarcadaunodeestosprogramas.

ClientSecuritySolution

ElpaquetedeinstalacióndeClientSecuritySolutionsehadesarrolladoconInstallShield10.5Premiercomo unproyectoMSIbásico.InstallShieldutilizaWindowsInstallerparainstalaraplicaciones,loqueproporciona alosadministradoresmuchascapacidadesparapersonalizarinstalaciones,comoporejemploestablecer valoresdepropiedaddesdelalíneademandatos.Enestecapítulosedescribecómoutilizaryejecutar elpaquetedeinstalacióndeClientSecuritySolution.Paraunamejorcomprensión,leaprimerotodoel capítuloantesdeempezarainstalarestospaquetes.
Nota:Alinstalarestospaquetes,consulteelarchivoléamedeClientSecuritySolutiondelsitiowebde Lenovo.Elarchivoléamecontieneinformaciónactualizadaacercadetemascomolasversionesdesoftware, lossistemassoportados,losrequisitosdelsistemayotrasconsideracionesparaayudarleenlainstalación.

Requisitosdeinstalación

LainformaciónenestasecciónproporcionalosrequisitosdelsistemaparainstalarelpaquetedeClient SecuritySolution.Paraobtenermejoresresultados,vayaalsiguientesitiowebparaasegurarsedequetiene laversiónmásrecientedelsoftware: http://www.lenovo.com/support
LossistemasLenovodebensatisfacercomomínimolossiguientesrequisitosparapoderinstalarClient SecuritySolution:
Sistemaoperativo:Windows7
Memoria:256MB –Enconguracionesdememoriacompartida,elvalordelBIOSparaelmáximodememoriacompartida
sedebeestablecerenunvalorquenoseainferiora8MB.
–Enconguracionesdememorianocompartida,serequieren120MBdememorianocompartida.
•InternetExplorer
•300MBdeespaciolibreenlaunidaddediscoduro.
•VídeocompatibleconVGAquedésoporteaunaresoluciónde800x600ydecolorde24bits.
•ElusuariodebetenerprivilegiosdeadministraciónparainstalarClientSecuritySolution.
Nota:NosedasoportealdesplieguedelpaquetedeinstalacióndeClientSecuritySolutionenWindows Server “CómogeneraruncerticadoutilizandolageneracióndeclavesenTPM”enlapágina66
®
2003.Sinembargo,seadmitesolicitaruncerticadodesdeWindowsServer2003.Consulte
®
5.5osuperiordebeestarinstalado.
.

Propiedadespúblicasdepersonalización

ElpaquetedeinstalacióndelprogramaClientSecuritySoftwarecontieneunconjuntodepropiedades públicasdepersonalizaciónquesepuedenestablecerenlalíneademandatosalejecutarlainstalación.La tablasiguienteproporcionalaspropiedadespúblicasdepersonalizaciónparaelsistemaoperativoWindows:
©CopyrightLenovo2008,2011
7
Tabla1.Propiedadespúblicas
PropiedadDescripción
EMULATIONMODEEspecicaquesefuercelainstalaciónenmodalidad
deemulacióninclusosiexisteunTPM.Especique EMULATIONMODE=1enlalíneademandatospara instalarenmodalidaddeemulación.
HALTIFTPMDISABLEDSiTPMestáenunestadoinhabilitadoylainstalación
seestáejecutandoenmodalidadsilenciosa,el valorpredeterminadoesquelainstalacióncontinúe enmodalidaddeemulación.Utilicelapropiedad HALTIFTPMDISABLED=1alejecutarlainstalaciónen modalidadsilenciosaparadetenerlainstalaciónsiTPM estáinhabilitado.
NOCSSWIZARDEstablezcaNOCSSWIZARD=1enlalíneademandatos
paraimpedirqueeldiálogoderegistrodeClientSecurity Solutionsevisualiceautomáticamentedespuésde instalarClientSecuritySolution.Estapropiedadse conguraparaunadministradorquedeseeinstalarClient SecuritySolution,peroutilizarscriptsposteriormenteal congurarelsistema.
CSS_CONFIG_SCRIPTEstablezcaCSS_CONFIG_SCRIPT=“nombredearchivo”
o“contraseñadenombredearchivo”paraqueseejecute unarchivodeconguracióndespuésdequeelusuario hayacompletadolainstalaciónyrearranque.
SUPERVISORPWEstablezcaSUPERVISORPW=“contraseña”enlalíneade
mandatosparaproporcionarlacontraseñadesupervisor parahabilitarelchipenmodalidaddeinstalación silenciosaonosilenciosa.Sielchipestáinhabilitadoyla instalaciónseestáejecutandoenmodalidadsilenciosa, sedebeproporcionarlacontraseñadesupervisor correctaparahabilitarelchip;delocontrario,elchipno sehabilitará.
PWMGRMODEEspeciquePWMGRMODE=1enlalíneademandatos
parainstalarsolamentePasswordManager.
NOSTARTMENUEspeciqueNOSTARTMENU=1enlalíneademandatos
paraimpedirquesegenereunatajoenelmenúdeinicio.
CREATESHORTCUTEspeciqueCREATESHORTCUT=1enlalíneade
mandatosparaañadirunaentradaalmenúInicio.

SoportedeMódulodeplataformasegura

ClientSecuritySolution8.3incluyesoporteparaelchipdeseguridadincorporadodelsistema:elMódulode plataformasegura(TPM).SielsistemaLenovoincluyeunTPMsoportadoporelsistemaoperativoWindows, ClientSecuritySolutionutilizaráloscontroladoresintegradosenelsistemaoperativoWindows.
EsposiblequelahabilitacióndelTPMrequieraunrearranque,yaqueelTPMeshabilitadoporelBIOS delsistema.SiejecutaWindows7,esposiblequeselesolicitequeconrmesideseahabilitarelTPM duranteeliniciodelsistema.
AntesdequeelMódulodeplataformasegurapuedarealizarcualquierfunción,debeinicializarprimero lapropiedad.CadasistematendrásólounadministradordeClientSecuritySolutionquecontrolarálas opcionesdeClientSecuritySolution.Esteadministradordebetenerprivilegiosdeadministradorde Windows.EladministradorsepuedeinicializarutilizandolosscriptsdedespliegueXML.
8ClientSecuritySolution8.3Guíadedespliegue
Despuésdecongurarlapropiedaddelsistema,acadausuarioadicionaldeWindowsqueiniciesesiónen elsistema,elAsistentedeconguracióndeClientSecuritylesolicitaráautomáticamentequeseregistree inicialicelascredencialesylasclavesdeseguridaddeusuario.
EmulacióndesoftwaredelMódulodeplataformasegura
ClientSecuritySolutiontienelaopcióndeejecutarsesinunMódulodeplataformaseguraensistemas cualicados.Lafuncionalidadseráexactamentelamismaexceptuandoelhechodequeutilizaráclaves basadasensoftwareenlugardeutilizarclavesprotegidasmediantehardware.Elsoftwaretambiénse puedeinstalarconunconmutadorparaforzarloautilizarsiempreclavesbasadasensoftwareenlugarde aprovecharelMódulodeplataformasegura.Elusodeesteconmutadoresunadecisiónqueserealiza durantelainstalaciónynosepuedeinvertirsindesinstalaryvolverainstalarelsoftware.
LasintaxisparaforzarunaemulacióndesoftwaredelMódulodeplataformaseguraes:
InstallFile.exe“/vEMULATIONMODE=1”

Procedimientosdeinstalaciónyparámetrosdelalíneademandatos

MicrosoftWindowsInstallerproporcionavariasfuncionesdeadministradormediantelosparámetrosdela líneademandatos.WindowsInstallerpuederealizarunainstalaciónadministrativadeunaaplicaciónode unproductoenunaredparaqueésteseautilizadoporungrupodetrabajooparalapersonalizacióndel mismo.Lasopcionesdelalíneademandatosquerequierenunparámetrosedebenespecicarsinningún espacioentrelaopciónysuparámetro.Porejemplo:
setup.exe/s/v"/qnREBOOT=”R”"
esválido,mientrasque
setup.exe/s/v"/qnREBOOT=”R”"
noloes.
Nota:Elcomportamientopredeterminadodelainstalacióncuandoseejecutasola(ejecutandosetup.exe sinningúnparámetro)solicitaalusuarioquerearranquealnaldelainstalación.Esnecesariorearrancar paraqueelprogramafuncionecorrectamente.Sepuedeaplazarelrearranquemedianteunparámetro delalíneademandatosparaunainstalaciónsilenciosa,talcomosehaexplicadoanteriormenteyen laseccióndeejemplo.
ParaelpaquetedeinstalacióndeClientSecuritySolution,unainstalaciónadministrativadesempaqueta losarchivosfuentedelainstalaciónenunaubicaciónespecicada.
Paraejecutarunainstalaciónadministrativa,ejecuteelpaquetedeinstalacióndesdelalíneademandatos utilizandoelparámetro/a:
setup.exe/a
Unainstalaciónadministrativapresentaunasistentequesolicitaalusuarioadministrativoqueespeciquelas ubicacionesdondedesempaquetarlosarchivosdeinstalación.Laubicacióndeextracciónpredeterminada esC:\.PuedeseleccionarunanuevaubicaciónqueincluyaunidadesquenoseanC:\(porejemplo,otras unidadeslocalesounidadesderedcorrelacionadas).Tambiénpuedecrearnuevosdirectoriosdurante estepaso.
Paraejecutarunainstalaciónadministrativadeformasilenciosa,puedeestablecerlapropiedadpública TARGETDIRenlalíneademandatosparaespecicarlaubicacióndeextracción:
setup.exe/s/v"/qnTARGETDIR=F:\TVTRR"
obien
msiexec.exe/i"ClientSecurity-PasswordManager.msi"/qnTARGERDIR=F:\TVTRR
Capítulo2.Instalación9
Nota:SinoutilizalaúltimaversióndeWindowsInstaller,elarchivosetup.exeseconguraráparaactualizar elmotordeWindowsInstalleralaúltimaversión.LaactualizacióndelmotordeWindowsInstallerle solicitaráquerearranqueelsistemainclusoconunainstalacióndeextracciónadministrativa.Paraevitarun rearranqueenestasituación,puedeutilizarlapropiedadREBOOTdeWindowsInstaller.Siestáinstaladala últimaversióndeWindowsInstaller,elarchivosetup.exenointentaráinstalarelmotordeWindowsInstaller.
Unavezquesehayacompletadounainstalaciónadministrativa,elusuarioadministrativopuederealizar personalizacionesenlosarchivosfuente,porejemplo,añadirvaloresalregistro.
Losparámetrosydescripcionessiguientesestándocumentadosenladocumentacióndeayudadel desarrolladordeInstallShield.Sehaneliminadolosparámetrosquenosonaplicablesaproyectosde MSIbásico.
Tabla2.Parámetros
ParámetroDescripción
/a:InstalaciónadministrativaElconmutador/ahacequesetup.exerealiceuna
instalaciónadministrativa.Unainstalaciónadministrativa copia(ydescomprime)losarchivosdedatosenun directorioespecicadoporelusuario,peronocrea atajos,registraservidoresCOMnicreaunregistrode desinstalación.
/x:ModalidaddedesinstalaciónElconmutador/xhacequesetup.exedesinstaleun
productoinstaladoanteriormente.
/s:ModalidadsilenciosaElmandatosetup.exe/ssuprimelaventanadeinstalación
desetup.exeparaunprogramadeinstalaciónMSIbásico, peronoleeunarchivoderespuestas.LosproyectosMSI básiconocreanniutilizanunarchivoderespuestaspara lasinstalacionessilenciosas.Paraejecutarunproducto deMSIbásico,ejecutelalíneademandatossetup.exe/s /v/qn.(Paraespecicarlosvaloresdelaspropiedades públicasparaunainstalaciónsilenciosadeMSIbásico, puedeutilizarunmandatocomoporejemplosetup.exe /s/v“/qnINST ALLDIR=D:\Destino”).
/v:pasaargumentosaMsiexecElargumento/vseutilizaparapasarconmutadoresdela
líneademandatosyvaloresdepropiedadespúblicasa msiexe.exe.
/L:conguraelidiomaLosusuariospuedenutilizarelconmutador/LconelID
decimaldeidiomaparaespecicarelidiomautilizado porelprogramadeinstalaciónenvariosidiomas.Por ejemplo,elmandatoparaespecicaralemánessetup.exe /L1031.
/w:EsperaParaunproyectoMSIbásico,elargumento/wobligaa
setup.exeaesperarhastaquesecompletelainstalación antesdesalir.Siestáutilizandolaopción/wenun archivodeprocesoporlotes,esposiblequedeba anteponerstart/WAITatodoelargumentodelalínea delmandatosetup.exe.Acontinuaciónsemuestraun ejemplocorrectamenteformadodeesteuso:
start/WAITsetup.exe/w

Utilizacióndemsiexec.exe

Parainstalarapartirdelasfuentesdesempaquetadasdespuésderealizarlaspersonalizaciones,elusuario llamaamsiexec.exedesdelalíneademandatos,pasandoelnombredelarchivo*.MSIdesempaquetado.
10ClientSecuritySolution8.3Guíadedespliegue
msiexec.exeeselprogramaejecutabledeWindowsInstallerutilizadoparainterpretarpaquetesde instalacióneinstalarproductosensistemasdedestino.
msiexec/i"C:\WindowsF older\Proles\UserName\ Personal\MySetups\projectname\productconguration\releasename\ DiskImages\Disk1\productname.msi"
Nota:Entreelmandatoanteriorenunaúnicalíneasinespaciosacontinuacióndelasbarrasinclinadas.
Enlatablasiguientesedescribenlosparámetrosdelalíneademandatosquesepuedenutilizarcon msiexec.exeasícomoejemplosdecómoutilizarlos.
Tabla3.Parámetrosdelalíneademandatos
ParámetroDescripción
/Ipaqueteocódigodelproducto
/apaqueteLaopción/apermitealosusuariosconprivilegiosdeadministradorinstalar
/xpaqueteocódigodelproductoLaopción/xdesinstalaunproducto.
/L[i|w|e|a|r|u|c|m|p|v|+]archivode anotaciones
/q[n|b|r|f]
Utiliceesteformatoparainstalarelproducto:
Othello:msiexec/i"C:\WindowsFolder\Proles\ UserName\Personal\MySetups \Othello\TrialVersion\ Release\DiskImages\Disk1\ OthelloBeta.msi"
ElcódigodelproductosereerealGUID(GloballyUniqueIdentier)quese generaautomáticamenteenlapropiedaddelcódigodelproductodelavista deproyectosdelproducto.
unproductoenlared.
Lacreaciónconlaopción/Lespecicalavíadeaccesoalarchivode anotaciones;estosdistintivosindicanquéinformaciónsedeberegistrarenel archivodeanotaciones:
•iregistramensajesdeestado
•wregistramensajesdeavisonocríticos
•eregistracualquiermensajedeerror
•aregistraeliniciodelassecuenciasdeacción
•rregistraregistrosespecícosdelasacciones
•uregistrasolicitudesdeusuario
•cregistraparámetrosinicialesdelainterfazdeusuario
•mregistramensajesdefaltadememoria
•pregistravaloresdeterminal
•vregistraelvalordesalidadetallada
•+seañadeaunarchivoexistente
•*esuncaráctercomodínquelepermiteregistrartodalainformación (excluidoelvalordesalidadetallada)
Laopción/qseutilizaparaestablecerelniveldeinterfazdeusuario conjuntamenteconlosdistintivossiguientes:
•qoqnnocreaningunainterfazdeusuario
•qbcreaunainterfazdeusuariobásica
Lossiguientesvaloresdelainterfazdeusuariovisualizanunrecuadrode diálogomodalalnaldelainstalación:
•qrvisualizaunainterfazdeusuarioreducida
•qfvisualizaunainterfazdeusuariocompleta
•qn+novisualizaningunainterfazdeusuario
•qb+visualizaunainterfazdeusuariobásica
/?o/hAmbosmandatosvisualizanlainformacióndecopyrightdeWindowsInstaller
Capítulo2.Instalación11
Tabla3.Parámetrosdelalíneademandatos(continuación)
ParámetroDescripción
TRANSFORMSElparámetrodelalíneademandatosTRANSFORMSespecicacualquier
transformaciónquedeseeaplicaralpaquetebase.
msiexec/i"C:\WindowsFolder\ Proles\UserName\Personal \MySetups\ YourProjectName\TrialVersion\ MyRelease-1 \DiskImages\Disk1\ ProductName.msi"TRANSFORMS="NewTransform1.mst"
Puedesepararvariastransformacionesmedianteunsignodepuntoycoma. Noutilicepuntoycomaenelnombredelatransformaciónyaqueelservicio deWindowsInstallerlointerpretaráincorrectamente.
Propiedades
Todaslaspropiedadespúblicassepuedenestableceromodicardesde lalíneademandatos.Laspropiedadespúblicassedistinguendelas propiedadesprivadasporelhechodequetodasestánenmayúsculas.Por ejemplo,COMPANYNAMEesunapropiedadpública.
Paraestablecerunapropiedadenlalíneademandatos,utilicelasintaxis siguiente:
PROPERTY=VALUE
SidesearacambiarelvalordeCOMPANYNAME,especicaríalosiguiente:
msiexec/i"C:\WindowsFolder\ Proles\UserName\Personal\ MySetups\YourProjectName\ TrialVersion\MyRelease-1\ DiskImages\Disk1\ProductName.msi" COMPANYNAME="InstallShield"

PropiedadespúblicasestándardeWindowsInstaller

WindowsInstallertieneunconjuntodepropiedadespúblicasestándarincorporadasquesepueden establecerenlalíneademandatosparaespecicaruncomportamientodeterminadodurantelainstalación. Latablasiguienteproporcionalaspropiedadespúblicasmáscomunesutilizadasenlalíneademandatos.
Paraobtenerinformaciónadicional,consulteelsitiowebdeMicrosoften: http://msdn2.microsoft.com/en-us/library/aa367437.aspx
LatablasiguientemuestralaspropiedadesmáshabitualmenteutilizadasdeWindowsInstaller:
Tabla4.PropiedadesdeWindowsInstaller
PropiedadDescripción
TARGETDIREspecicaeldirectoriodedestinoraízparalainstalación.
Duranteunainstalaciónadministrativa,estapropiedad eslaubicacióndondesedebecopiarelpaquetede
instalación. ARPAUTHORIZEDCDFPREFIXURLdelcanaldeactualizaciónparalaaplicación. ARPCOMMENTSProporcionaComentariosparaAgregaroquitar
programasdelPaneldecontrol. ARPCONTACTProporcionaelContactoparaAgregaroquitarprogramas
enelPaneldecontrol.
12ClientSecuritySolution8.3Guíadedespliegue
Tabla4.PropiedadesdeWindowsInstaller(continuación)
PropiedadDescripción
ARPINSTALLLOCATIONVíadeaccesocalicadatotalmentedelacarpetaprincipal
delaaplicación. ARPNOMODIFYInhabilitalafuncionalidadquemodicaríaelproducto. ARPNOREMOVEInhabilitalafuncionalidadqueeliminaríaelproducto. ARPNOREPAIRInhabilitaelbotónReparardelasistentedeProgramas. ARPPRODUCTICON
ARPREADME
ARPSIZETamañoaproximadodelaaplicaciónenkilobytes. ARPSYSTEMCOMPONENTEvitaquesevisualicelaaplicaciónenlalistadeAgregar
ARPURLINFOABOUTURLdelapáginainicialdeunaaplicación. ARPURLUPDATEINFOURLdelainformacióndeactualizacióndelaaplicación. REBOOTLapropiedadREBOOTsuprimealgunosindicadores
Especicaeliconoprincipalparaelpaquetede
instalación.
ProporcionaunarchivoléameparaAgregaroquitar
programasenelPaneldecontrol.
oquitarprogramas.
desolicitudparaunrearranquedelsistema.Un
administradorutilizanormalmenteestapropiedadconuna
seriedeinstalacionesparainstalarvariosproductosal
mismotiempoconsólounrearranquealnal.Establezca
REBOOT=“R”parainhabilitarelrearranquealnalde
unainstalación.

Archivodeanotacionesdeinstalación

ElarchivodeanotacionesdeinstalacióndeClientSecuritySolutionsedenominacssinstall83xx.logyse creaeneldirectorio%temp%silainstalaciónseiniciamedianteelarchivosetup.exe(efectúeunadoble pulsaciónenelarchivoinstall.exe,ejecuteelarchivoejecutablesinparámetrosoextraigaelpaqueteMSIy ejecuteelarchivosetup.exe).Estearchivocontienemensajesdeanotacionesquesepuedenutilizarpara depurarproblemasdeinstalación.Elarchivodeanotacionesincluyecualquieractividadquerealiceelapplet Añadir/QuitardelPaneldecontrol.Estearchivodeanotacionesnosecreaalejecutarelarchivosetup.exe directamentedesdeelpaqueteMSI.ParacrearunarchivodeanotacionesparatodaslasaccionesMSI, puedehabilitarlapolíticadeanotacionesenelregistro.Paraello,creeelvalorsiguiente:
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsof t\Windows\Installer] "Logging"="voicewarmup"
Ejemplosdeinstalación
Enlatablasiguientesemuestranejemplosdeinstalacionesutilizandoelarchivosetup.exe.
Tabla5.Ejemplosdeinstalaciónqueutilizanelarchivosetup.exe
DescripciónEjemplo
Instalaciónsilenciosasinrearranque
Instalaciónadministrativa
Instalaciónadministrativasilenciosaespecicandola ubicacióndeextracciónparaClientSecuritySoftware.
Desinstalaciónsilenciosa.
setup.exe/s/v”/qnREBOOT=”R””
setup.exe/a
setup.exe/a/s/v”/qnTARGETDIR=”F:
\CSS83””
setup.exe/s/x/v/qn
Capítulo2.Instalación13
Tabla5.Ejemplosdeinstalaciónqueutilizanelarchivosetup.exe(continuación)
DescripciónEjemplo
Instalaciónsinrearranque(Creeunarchivodeanotaciones deinstalaciónenunsubdirectoriotemporalparaClient SecuritySoftware).
InstalaciónsininstalarelÁreapreviaalescritorio
setup.exe/v”REBOOT=”R”/L*v%temp% \cssinstall83.log”
setup.exe/vPDA=0
LatablasiguienteproporcionaejemplosdeinstalaciónqueutilizanClientSecurity-PasswordManager.msi:
Tabla6.EjemplosdeinstalaciónqueutilizanClientSecurity-PasswordManager.msi
DescripciónEjemplo
Instalación
Instalaciónsilenciosasin rearranque
Desinstalaciónsilenciosa
msiexec/i“C:\CSS83\ClientSecurity Solution-PasswordManager.msi”
msiexec/i“C:\CSS83\ClientSecurity Solution-PasswordManager.msi”/qnREBOOT=”R”
msiexec/x“C:\CSS83\ClientSecurity Solution-PasswordManager.msi”/qn

InstalacióndelSoftwaredehuellasdactilaresdeThinkVantage

Elarchivosetup.exedelprogramaSoftwaredehuellasdactilaresdeThinkVantagesepuedeinstalar mediantelosmétodossiguientes:

Instalaciónsilenciosa

PararealizarunainstalaciónsilenciosadelsoftwaredehuellasdactilaresdeThinkVantage,ejecuteelarchivo setup.exequeseencuentraeneldirectoriodeinstalacióndelaunidaddeCD-ROM.
Utilicelasintaxissiguiente:
Setup.exePROPERTY=VALUE/q/i
dondeqesparalainstalaciónsilenciosaeiesparalainstalación.Porejemplo:
setup.exeINSTALLDIR="C:\ProgramFiles\ThinkVantagengerprintsoftware"/q/i
Paradesinstalarelsoftware,utiliceelparámetro/xenlugarde/i:
setup.exeINSTALLDIR="C:\ProgramFiles\ThinkVantagengerprintsoftware"/q/x

Options

EnelSoftwaredehuellasdactilaresdeThinkVantageestánsoportadaslasopcionessiguientes.
Tabla7.OpcionesadmitidasporelSoftwaredehuellasdactilaresdeThinkVantage
ParámetroDescripción
CTRLONCEVisualizaelCentrodecontrolsólounavez.Elvalor
predeterminadoes0.
CTLCNTR•0=NomuestraelCentrodecontrolalarrancar.
•1=MuestraelCentrodecontrolalarrancar. Elvalorpredeterminadoes1.
14ClientSecuritySolution8.3Guíadedespliegue
Tabla7.OpcionesadmitidasporelSoftwaredehuellasdactilaresdeThinkVantage(continuación)
ParámetroDescripción
DEFFUS•0=NoutilizalosvaloresdeConmutaciónrápidade
usuario(FUS).
•1=UtilizalosvaloresFUS.
Elvalorpredeterminadoes0. DEVICEBIOConguraeltipodedispositivoqueutilizaráelusuario.
•DEVICEBIO=#3-Utilizaelsensordeldispositivopara guardarlaprimerainscripción.
•DEVICEBIO=#0-Utilizalaunidaddediscoduropara guardarlainscripción.
•DEVICEBIO=#1-Utilizaelchipqueloacompañapara guardarlainscripción.
INSTALLDIREstableceeldirectoriodeinstalación. OEM
•0=Instalaconsoporteapasaportesdeservidoro autenticacióndeservidor.
•1=Instalasólolamodalidadautónomadelsistema conpasaporteslocales.
Elvalorpredeterminadoes1.
PASSPORT
Estableceeltipodepasaportepredeterminado.
•1=Pasaportelocal
•2=Pasaportedelservidor
Elvalorpredeterminadoes1.
POSSSO•1=Habilitaeliniciodesesiónúnico.
•0=Inhabilitaeliniciodesesiónúnico.
Elvalorpredeterminadoes1.
PSLOGON•0=Inhabilitaeliniciodesesióndehuellasdactilares.
•1=Habilitaeliniciodesesióndehuellasdactilares.
Elvalorpredeterminadoes0.
REBOOTSuprimetodoslosrearranques,incluidoslosindicadores
desolicituddurantelainstalación,estableciéndoloen Realmentesuprimir.
SECURITY
•1=Instalaenlamodalidadsegura.
•0=Instalaenlamodalidadcómoda.
SHORTCUT•0=NomuestraelatajodelCentrodecontrolal
arrancar.
•1=HabilitalavisualizacióndelatajodelCentrode controlalarrancar.
SHORTCUTFOLDER
Privilegiosdelosusuariosquenoseanadministradores
Elvalorpredeterminadoes0. Estableceelnombrepredeterminadodelacarpetade
accesodirectodelmenúInicio.
Capítulo2.Instalación15
Tabla7.OpcionesadmitidasporelSoftwaredehuellasdactilaresdeThinkVantage(continuación)
ParámetroDescripción
DELETESELF•1=Habilitalasupresióndelahuelladactilar.
•0=Inhabilitalasupresióndelahuelladactilar. Elvalorpredeterminadoes1.
ENROLLSELF•1=Habilitalainscripcióndelahuelladactilar.
•0=Inhabilitalainscripcióndelahuelladactilar. Elvalorpredeterminadoes1.
ENROLLTBX•1=Habilitalaseleccióndelahuelladactilarde
encendido.
•0=Inhabilitalaseleccióndelahuelladactilarde encendido.
Elvalorpredeterminadoes1.
IMPORTSELF•1=Habilitalaimportación/exportacióndelahuella
dactilarparausuariosquenoseanadministradores.
•0=Inhabilitalaimportación/exportacióndelahuella dactilarparausuariosquenoseanadministradores.
Elvalorpredeterminadoes1.
REVEALPWD
Protecciónantigolpes(Valoresdebloqueo) LOCKOUT•1=Habilitalaprotecciónantigolpes.
LOCKOUTCOUNTCantidadmáximadereintentos.Elvalorpredeterminado
LOCKOUTTIME
Tiempodeesperadeautenticación(Valoresdeinactividad) GUITMENABLE•1=Habilitaeltiempodeesperadeautenticaciónen
GUITMTIMEDuracióndeltiempodeesperadeautenticación.El
PWDLOGON•1=Habilitaeliniciodesesiónsolamenteconhuella
•1=Habilitalarecuperacióndecontraseñasde Windows.
•0=Inhabilitalarecuperacióndecontraseñasde Windows.
Elvalorpredeterminadoes1.
•0=Inhabilitalaprotecciónantigolpes.
Elvalorpredeterminadoes1.
es5,perosepuedeutilizarcualquiervalor. Tiempodeesperaenmilisegundos.Elvalor
predeterminadoes120000,perosepuedeutilizar cualquiervalorhasta360000.
milisegundos.
•0=Inhabilitaeltiempodeesperadeautenticaciónen milisegundos.
Elvalorpredeterminadoes1.
valorpredeterminadoes120000,perosepuedeutilizar cualquiervalorhasta360000.
dactilarparausuariosquenoseanadministradores.
•0=Inhabilitaeliniciodesesiónsolamenteconhuella dactilarparausuariosquenoseanadministradores.
Elvalorpredeterminadoes1.
16ClientSecuritySolution8.3Guíadedespliegue
Tabla7.OpcionesadmitidasporelSoftwaredehuellasdactilaresdeThinkVantage(continuación)
ParámetroDescripción
NOPOPPAPCHECK
CSS•0=SuponequenosehainstaladoClientSecurity
•0=Nomuestralasopcionesdeseguridadde
encendido.
•1=Muestrasiemprelasopcionesdeseguridadde
encendido.
Elvalorpredeterminadoes0.
Solution.
•1=SuponequesehainstaladoClientSecurity
Solution.
Elvalorpredeterminadoes0.
Nota:T odaslasopcionessonopcionales.
ParadesinstalarFingerprintSoftware,utiliceelparámetro/xenlugarde/i.Duranteladesinstalación estándar,enlainterfazdeusuariosemuestrandiálogosparaseleccionarsideseasuprimirlospasaportes existenteseinhabilitarlafuncióndeseguridaddearranque.Enlamodalidaddedesinstalaciónsilenciosa,se puedeutilizarelparámetroDELPAS.DenaelvalorDELPASen“1”paraborrarlospasaportesexistentes.Si estasopcionesnoestándenidasotienencualquierotrovalor,lospasaportespermanecenenelsistemay laseguridaddearranquecontinúahabilitada.Sidejalaseguridaddearranqueactivada,nopodráeditarlas huellasdactilaresenlamemoriadeseguridaddearranque,amenosquevuelvaainstalarelproducto.Por ejemplo,siejecutalasintaxissiguiente:
msiexec/iSetup.msiDELPAS="1"/q
desinstararáelproducto,suprimirálospasaportesexistentesydejarálaseguridaddearranqueenelsistema.

InstalacióndelSoftwaredehuellasdactilaresdeLenovo

Elarchivosetup32.exedelprogramaSoftwaredehuellasdactilaresdeLenovosepuedeinstalarmedianteel siguienteprocedimiento.

Instalaciónsilenciosa

Pararealizarunainstalaciónsilenciosadelsoftwaredehuellasdactilares,ejecuteelarchivosetup32.exeque seencuentraeneldirectoriodeinstalacióndelaunidaddeCD-ROM.
Utilicelasintaxissiguiente:
setup32.exe/s/v"/qnREBOOT="R""
Paradesinstalarelsoftware,utilicelasintaxissiguiente:
setup32.exe/x/s/v"/qnREBOOT="R""

Options

EnelSoftwaredehuellasdactilaresdeLenovoestánsoportadaslasopcionessiguientes.
Capítulo2.Instalación17
Tabla8.OpcionesadmitidasporelSoftwaredehuellasdactilaresdeLenovo
ParámetroDescripción
SHORTCUTMuestraelatajodelCentrodecontrolenelmenúInicio.
•0=NomuestraelatajodelCentrodecontrol.
•1=MuestraelatajodelCentrodecontrol.
Elvalorpredeterminadoes0.
SWAUTOSTART
SWFPLOGON•0=Noutilizaeliniciodesesióndehuelladactilar
SWPOPP•0=Inhabilitalaproteccióndecontraseñade
SWSSO•0=Inhabilitalafuncióndeiniciodesesiónúnico.
SWALLOWENROLL•0=Inhabilitalainscripcióndelahuelladactilarpara
SWALLOWDELETE•0=Inhabilitalasupresióndelahuelladactilarpara
SWALLOWIMEXPORT•0=Inhabilitalaimportación/exportacióndelahuella
SWALLOWSELECT•0=Inhabilitalaseleccióndeutilizarlahuelladactilar
•0=Noiniciaelsoftwaredehuellasdactilaresal arrancar.
•1=Iniciaelsoftwaredehuellasdactilaresalarrancar.
Elvalorpredeterminadoes1.
(GINAoCredentialProvider).
•1=Utilizaeliniciodesesióndehuelladactilar(GINAo CredentialProvider).
Elvalorpredeterminadoes0.
encendido.
•1=Habilitalaproteccióndecontraseñadeencendido.
Elvalorpredeterminadoes0.
•1=Habilitalafuncióndeiniciodesesiónúnico.
Elvalorpredeterminadoes0.
usuariosquenoseanadministradores.
•1=Habilitalainscripcióndelahuelladactilarpara usuariosquenoseanadministradores.
Elvalorpredeterminadoes1.
usuariosquenoseanadministradores.
•1=Habilitalasupresióndelahuelladactilarpara usuariosquenoseanadministradores.
Elvalorpredeterminadoes1.
dactilarparausuariosquenoseanadministradores.
•1=Habilitalaimportación/exportacióndelahuella dactilarparausuariosquenoseanadministradores.
Elvalorpredeterminadoes1.
parasustituirlacontraseñadeencendidoparausuarios quenoseanadministradores.
•1=Habilitalaseleccióndeutilizarlahuelladactilar parasustituirlacontraseñadeencendidoparausuarios quenoseanadministradores.
Elvalorpredeterminadoes1.
18ClientSecuritySolution8.3Guíadedespliegue
Tabla8.OpcionesadmitidasporelSoftwaredehuellasdactilaresdeLenovo(continuación)
ParámetroDescripción
SWALLOWPWRECOVERY•0=Inhabilitalarecuperacióndecontraseñasde
Windows.
•1=Habilitalarecuperacióndecontraseñasde
Windows.
Elvalorpredeterminadoes1.
SWANTIHAMMER•0=Inhabilitalaprotecciónantigolpes.
•1=Habilitalaprotecciónantigolpes. Elvalorpredeterminadoes1.
SWANTIHAMMERRETRIESEspecicalacantidadmáximadereintentos.Elvalor
predeterminadoes5. Nota:Estevalorfuncionasolamentecuandoseha habilitadoSWANTIHAMMER.
SWANTIHAMMERTIMEOUTEspecicaladuracióndeltiempodeesperaensegundos.
Elvalorpredeterminadoes120. Nota:Estevalorfuncionasolamentecuandoseha habilitadoSWANTIHAMMER.
SWAUTHTIMEOUT•0=Inhabilitaeltiempodeesperadeautenticación.
•1=Habilitaeltiempodeesperadeautenticación. Elvalorpredeterminadoes1.
SWAUTHTIMEOUTVALUEEspecicaelperíododdeinactividadantesdeltiempo
deesperadeautenticación,ensegundos.Elvalor predeterminadoes120. Nota:Estevalorsolamentefuncionacuandoestá habilitadoSWAUTHTIMEOUT.
SWNONADMIFPLOGONONLY•0=Inhabilitaeliniciodesesiónsolamenteconhuella
dactilarparausuariosquenoseanadministradores.
•1=Habilitaeliniciodesesiónsolamenteconhuella
dactilarparausuariosquenoseanadministradores.
Elvalorpredeterminadoes1.
SWSHOWPOWERON
CSS•0=SuponequenosehainstaladoClientSecurity
•0=Nomuestralasopcionesdeseguridadde
encendido.
•1=Muestrasiemprelasopcionesdeseguridadde
encendido.
Elvalorpredeterminadoes0.
Solution.
•1=SuponequesehainstaladoClientSecurity
Solution.
Elvalorpredeterminadoes0.

Servidordegestióndesistemas

TambiénestánsoportadaslasinstalacionesdeSMS(servidordegestióndesistemas).Abralaconsolade administradordeSMS.Creeunnuevopaqueteyestablezcalaspropiedadesdelpaquetedelaforma estándar.AbraelpaqueteyseleccioneNuevo-ProgramaenelelementoProgramas.Enlalíneade mandatos,especique:
Setup.exe/myourmiflename/q/i
Capítulo2.Instalación19
Puedeutilizarlosmismosparámetrosqueparalainstalaciónsilenciosa.
Lainstalaciónnormalmenterearrancaalnaldelprocesodeinstalación.Sideseasuprimirtodoslos rearranquesdurantelainstalaciónyrearrancarposteriormente(despuésdeinstalarmásprogramas),añada REBOOT=“ReallySuppress”alalistadepropiedades.
20ClientSecuritySolution8.3Guíadedespliegue

Capítulo3.CómotrabajarconClientSecuritySolution

AntesdeinstalarClientSecuritySolution,debecomprenderlapersonalizacióndisponibleparaClient SecuritySolution.EnestecapítuloseproporcionainformacióndepersonalizaciónsobreClientSecurity Solution,asícomoinformaciónrelativaalMódulodeplataformasegura.Estecapítuloutilizatérminos denidosporTrustedComputingGroup(TCG)enrelaciónalTrustedPlatformModule.Paraobtenermás informaciónsobreT rustedPlatformModule,consulteelsiguientesitioweb: http://www.trustedcomputinggroup.org/

UtilizacióndelMódulodeplataformasegura

ElMódulodeplataformaseguraesunchipdeseguridadincorporadodiseñadoparaproporcionarfunciones relacionadasconlaseguridadparaelsoftwarequeloutiliza.Elchipdeseguridadincorporadoseinstalaen laplacamadredeunsistemaysecomunicamedianteunbusdehardware.Lossistemasqueincorporan unMódulodeplataformasegurapuedencrearclavesdecifradoycifrarlasdeformaquesólopuedan serdescifradasporelmismoMódulodeplataformasegura.Esteproceso,amenudodenominado empaquetado,ayudaaprotegerlaclaveevitandoqueserevele.EnunsistemaconunMódulodeplataforma segura,laclavedeempaquetadomaestra,denominadaClaveraízdealmacenamiento(SRK),sealmacenaen elpropioMódulodeplataformasegura,deformaquelaparteprivadadelaclavenuncaquedaexpuesta.El chipdeseguridadincorporadotambiénpuedealmacenarotrasclavesdealmacenamiento,clavesderma, contraseñasyotraspequeñasunidadesdedatos.Debidoalacapacidadlimitadadealmacenamientoenel Módulodeplataformasegura,laSRKseutilizaparacifrarotrasclavesparaelalmacenamientofueradelchip. LaSRKnuncadejaelchipdeseguridadincorporadoyformalabaseparaelalmacenamientoprotegido.
LautilizacióndelchipdeseguridadincorporadoesopcionalyrequiereunadministradordeClientSecurity Solution.YaseaparaelusuarioindividualoparaundepartamentodeTIdeunaempresa,sedebeinicializar elMódulodeplataformasegura.Lasoperacionessubsiguientes,comoporejemplolacapacidadde recuperarsedeunaanomalíadelaunidaddediscoduroolasustitucióndelaplacadelsistema,también estánrestringidasaladministradordeClientSecuritySolution.
Nota:Siestácambiandolamodalidaddeautenticacióneintentadesbloquearelchipdeseguridad, debecerrarlasesióny,acontinuación,iniciardenuevolasesióncomoeladministradormaestro.Esto lepermitirádesbloquearelchip.Tambiénpuedeiniciarlasesióncomounusuariosecundarioycontinuar convirtiendolamodalidaddeautenticación.Estoserealizaautomáticamentecuandoelusuariosecundario inicialasesión.ClientSecuritySolutionlesolicitarálacontraseñaofrasedepasodelusuariosecundario. UnavezqueClientSecuritySolutionhayaacabadodeprocesarelcambio,elusuariosecundariopuede continuardesbloqueandoelchip.

UtilizacióndelMódulodeplataformaseguraconWindows7

SiestáhabilitadoeliniciodesesióndeWindows7yelMódulodeplataformaseguraestáinhabilitado,debe inhabilitarlacaracterísticadeiniciodesesióndeWindowsantesdeinhabilitarelMódulodeplataforma seguraenF1BIOS.Sihaceesto,evitaqueaparezcaunmensajedeseguridadqueindicalosiguiente:Seha desactivadoelchipdeseguridad,elprocesodeiniciodesesiónnosepuedeproteger.
Además,siestáactualizandoelsistemaoperativodeunsistemacliente,debeborrarelchipdeseguridad paraevitarunaanomalíaderegistrodeClientSecurity.ParaborrarelchipenF1BIOS,elsistemase debeiniciardesdeunarranqueenfrío.Nopodráborrarelchipsiintentaesteprocesodespuésdeun rearranqueentemplado.
©CopyrightLenovo2008,2011
21

GestióndeClientSecuritySolutionconclavesdecifrado

ClientSecuritySolutionsedescribemediantelasdosactividadesprincipalesdedespliegue;T omar propiedadyRegistrarusuario.AlejecutarelAsistentedeconguracióndeClienteSecurityporprimeravez, losprocesosTomarpropiedadyRegistrarusuarioserealizandurantelainicialización.ElIDdeusuariode WindowsespecícoquehacompletadoelAsistentedeconguracióndeClientSecuritySolutionesel AdministradordeClientSecuritySolutionyseregistracomounusuarioactivo.Atodoslosdemásusuarios queiniciensesiónenelsistemaselesrequeriráqueseregistrenenClientSecuritySolution.
Tomarpropiedad SeasignaunúnicoIDdeusuarioadministradorWindowsalúnicoAdministradordeClientSecurity Solutiondelsistema.LasfuncionesadministrativasdeClientSecuritySolutionsedebenrealizarmediante esteIDdeusuario.LaautorizacióndelMódulodeplataformaseguraeslacontraseñadeWindowsola frasedepasodeClientSecuritydeesteusuario.
Nota:LaúnicaformaderecuperarunacontraseñadeAdministradorofrasedepasodeClientSecurity SolutionolvidadaesdesinstalarelsoftwareconlospermisosválidosdeWindowsoborrarelchipde seguridadenelBIOS.Decualquieradelasdosmanerasseperderánlosdatosprotegidosmediantelas clavesasociadasconelMódulodeplataformasegura.ClientSecuritySolutiontambiénproporcionaun mecanismoopcionalquepermitelaautorecuperacióndeunacontraseñaofrasedepasoolvidadas basándoseenunretopregunta-respuesta.ElAdministradordeClientSecuritySolutiontomaladecisión sobresiutilizarestafunción.
Registrarusuario UnavezquesehayacompletadoelprocesoTomarpropiedadysehayacreadounAdministradorde ClientSecuritySolution,sepodrácrearunaclavebasedeusuarioparaalmacenardeformasegura credencialesparaelusuariodeWindows.Estediseñopermitequemúltiplesusuariosseregistrenen ClientSecuritySolutionyaprovechenelúnicoMódulodeplataformasegura.Lasclavesdeusuarioestán protegidasmedianteelchipdeseguridad,peroenrealidadsealmacenanfueradelchipenlaunidadde discoduro.Estediseñocreaespaciodediscodurocomofactordealmacenamientoconlimitaciones enlugardememoriarealincorporadaenelchipdeseguridad.Elnúmerodeusuariosquepueden aprovecharelmismohardwareseguroaumentaconsiderablemente.

Tomarpropiedad

LaraízdeabilidaddeClientSecuritySolutioneslaClaveraízdelsistema(SRK).Estaclaveasimétrica quenosepuedemigrarsegeneraenelentornosegurodelMódulodeplataformaseguraynuncase exponealsistema.Laautorizaciónparaaprovecharlaclavesederivadelacuentadeadministradorde WindowsduranteelmandatoTPM_TakeOwnership.Sielsistemaestáaprovechandounafrasedepasode ClientSecurity,lafrasedepasodeClientSecurityparaelAdministradordeClientSecuritySolutionserá laautorizacióndelMódulodeplataformasegura.Delocontrario,serálacontraseñadeWindowsdel AdministradordeClientSecuritySolution.
UnavezquesehayacreadolaSRKparaelsistema,sepodráncrearotrosparesdeclavesyestossepodrán almacenarfueradelMódulodeplataformasegura,peroenvueltosoprotegidosmediantelasclavesbasadas enhardware.DebidoaqueelMódulodeplataformaseguraqueincluyelaSRKeshardwareyelhardware puederesultardañado,esnecesariounmecanismoderecuperaciónparagarantizarlarecuperacióndelos datosencasodequeseproduzcandañosenelsistema.
PararecuperarunsistemasecrealaClavebasedelsistema.Estaclavedealmacenamientoasimétrica permitealAdministradordeClientSecuritySolutionlarecuperacióndeuncambiodelaplacadelsistemao lamigraciónplanicadaaotrosistema.AndeprotegerlaClavebasedelsistemaperopermitirquesea accesibleduranteelfuncionamientonormalodurantelarecuperación,secreanyprotegendosinstancias delaclavemediantedosmétodosdistintos.Enprimerlugar,secifralaClavebasedelsistemaconuna clavesimétricaAESquesederivasabiendolacontraseñadelAdministradordeClientSecuritySolution olafrasedepasodeClientSecurity.EstacopiadelaClavederecuperacióndeClientSecuritySolution
22ClientSecuritySolution8.3Guíadedespliegue
seutilizaexclusivamenteanderealizarlarecuperacióndeunMódulodeplataformaseguraborradoo
System Level Key Structure - Take Ownership
Trusted Platform Module
Encrypted via derived AES Key
Storage Root Private Key
Storage Root Public Key
System Leaf Private Key
System Base Private Key
System Leaf Public Key
System Base Public Key
System Base Private Key
System Base Public Key
If Passphrase
loop n times
CSS Admin PW/PP
One-Way Hash
One-Way Hash
System Base AES
Protection Key (derived via output of hash algorithm)
Auth
deunaplacadelsistemasustituidadebidoaunerrordehardware.
LasegundainstanciadelaClavederecuperacióndeClientSecuritySolutionesempaquetadaporlaSRK paraimportarlaenlajerarquíadeclaves.EstadobleinstanciadelaClavebasedelsistemapermiteal Módulodeplataformaseguraprotegerlossecretosvinculadosalmismomásabajodurantelautilización normalypermitelarecuperacióndeunaplacadelsistemafallidamediantelaClavebasedelsistemaque estácifradaconunaclaveAESdesbloqueadaporlacontraseñadeAdministradordeClientSecuritySolution olafrasedepasodeClientSecurity.Acontinuación,secrealaClavehojadelsistema.Estaclavesecrea paraprotegerlossecretosaniveldelsistemacomoporejemplolaclaveAES.
Eldiagramasiguienteproporcionalaestructuraparalaclaveaniveldelsistema:
Figura1.Estructuradeclaveaniveldelsistema:T omarpropiedad

Registrarusuario

ParaquelosdatosdecadausuarioesténprotegidosmedianteelmismoMódulodeplataformasegura,cada usuariotendrácreadasupropiaClavebasedeusuario.Estaclavedealmacenamientoasimétricasepuede migrarytambiénsecreadosvecesyseprotegemedianteunaclaveAESsimétricageneradaapartirdela contraseñadeusuariodeWindowsofrasedepasodeClientSecurity.
LasegundainstanciadelaClavebasedeusuarioseimportaseguidamenteenelMódulodeplataforma segurayseprotegemediantelaSRKdelsistema.ConlaClavebasedeusuario,tambiénsecreaunaclave asimétricasecundariadenominadaClavehojadeusuario.LaClavehojadeusuarioprotegesecretos personalescomoporejemplolaclaveAESdePasswordManagerutilizadaparaprotegerlainformación deiniciodesesiónenInternet,lacontraseñautilizadaparaprotegerdatosylaclaveAESdecontraseña deWindowsutilizadaparaprotegerelaccesoalsistemaoperativo.ElaccesoalaClavehojadeusuario locontrolalacontraseñadeWindowsolafrasedepasodeClientSecuritySolutiondelusuarioyse desbloqueaautomáticamenteduranteeliniciodesesión.
Capítulo3.CómotrabajarconClientSecuritySolution23
Eldiagramasiguienteproporcionalaestructuraparalaclaveaniveldeusuario:
User Level Key Structure - Enroll User
Trusted Platform Module
Encrypted via derived AES Key
Storage Root Private Key
Storage Root Public Key
User Leaf Private Key
User Base Private Key
User Leaf Public Key
User Base Public Key
Windows PW AES Key
PW Manager AES Key
User Base Private Key
User Base Public Key
If Passphrase
loop n times
User PW/PP
One-Way Hash
One-Way Hash
User Base AES
Protection Key (derived via output of hash algorithm)
Auth
Figura2.Estructuradeclaveenelniveldeusuario:Registrarusuario
Inscripciónensegundoplano
ClientSecuritySolution8.3dasoportealainscripciónensegundoplanoparainscripcionesdeusuarioque seinicianautomáticamente.Elprocesodeinscripciónseejecutaensegundoplanosinmostrarninguna noticación.
Nota:Lainscripciónensegundoplanosolamenteestádisponibleparalasinscripcionesdeusuarioquese inicianautomáticamente.Parainscripcionesdeusuarioqueseinicianmanualmente,desdeelmenúde inicioodesdeRestablecervaloresdeseguridad,apareceráundiálogoenelqueseindicaalusuarioque esperearealizarlainscripcióndeusuario.
Eladministradorlocaloeladministradordedominiostambiénpuedenforzarlaaparicióndeldiálogode esperaeditandolasiguientepolítica:
CSS_GUI_ALWAYS_SHOW_ENROLLMENT_PROCESSING
Oeditandolasiguienteclavederegistro:
HKLM\software\policies\lenovo\clientsecuritysolution\GUIoptions\ AlwaysShowEnrollmentProcessing
ElvalorpredeterminadodeAlwaysShowEnrollmentProcessinges0.Cuandolaclavederegistroanteriorse estableceen0,eldiálogodeesperanoapareceráaquellasinscripcionesdeusuarioquesehayaniniciado automáticamente.Cuandoestapolíticaseestableceen1,eldiálogodeesperaaparecerásiempredurante lainscripcióndeusuarioindependientementedecómoseinicielainscripción.

Emulacióndesoftware

ParaproporcionarunaexperienciahomogéneaparaelusuariocuyosistemanodisponedeTPM,CSS dasoportealamodalidaddeemulacióndeTPM.
24ClientSecuritySolution8.3Guíadedespliegue
LamodalidaddeemulacióndeTPMesunaraízdeabilidadbasadaenelsoftware.Lasmismasprestaciones queproporcionaTPM,incluidaslarmadigital,ladescripcióndeclavesimétrica,laimportaciónyprotección declavesRSAasícomolageneraciónaleatoriadenúmeros,estándisponiblesparaelusuario,salvoque hayunamenorseguridaddebidoaquelaraízdeabilidadsebasaenclavesbasadasensoftware.
LamodalidaddeemulacióndeTPMnosepuedeutilizarcomosustitutodeseguridadparaTPM.TPM proporcionalossiguientesdosmétodosdeproteccióndeclavesquesonmássegurosquelamodalidad deemulacióndeTPM.
•TodaslasclavesqueutilizaTPMseprotegenmedianteunasolaclavedenivelraíz.Laúnicaclavede nivelraízsecreaenelinteriordeTPMynosepuedeverniutilizarfueradeTPM.Enlamodalidadde emulacióndeTPM,laclavedenivelraízesunaclavebasadaenelsoftwarequesealmacenaenla unidaddediscoduro.
•TodaslasoperacionesdeclaveprivadaserealizanenTPM,deformaqueelmaterialdeclaveprivada paracualquierclavenoestánuncaexpuestofuerodeTPM.EnlamodalidaddeemulacióndeTPM,todas lasoperacionesdeclaveprivadaserealizanenelsoftware,porloquenohayproteccióndelmaterial declaveprivada.
LamodalidaddeemulacióndeTPMesprincipalmenteparaelusuarioalquelepreocupapocolaseguridad peromáslavelocidaddeiniciodesesióndelsistema.

Cambiodelaplacadelsistema

UncambiodelaplacadelsistemaimplicaquelaSRKanterioralaqueestabanvinculadaslasclavesyano esválida,yesnecesariaotraSRK.EstotambiénpuedesucedersiseborramedianteelBIOSelMódulo deplataformasegura.
EsnecesarioqueeladministradordeClientSecuritySolutionvinculelascredencialesdelsistemaauna nuevaSRK.SeránecesariodescifrarlaClavebasedelsistemamediantelaClavedeprotecciónAESbase delsistemaderivadadelascredencialesdeautorizacióndelAdministradordeClientSecuritySolution.
SiunAdministradordeClientSecuritySolutionesunIDdeusuariodedominioylacontraseñadedicho IDdeusuariosehacambiadoenunamáquinadistinta,paradescifrarlaClavebasedelsistemaparala recuperaciónseránecesarioconocerlacontraseñaqueseutilizóaliniciarsesiónporúltimavezenelsistema. Porejemplo,duranteeldespliegueseconguraránunIDdeusuarioyunacontraseñadeAdministradorde ClientSecuritySolution;silacontraseñadeesteusuariocambiaenunamáquinadistinta,lacontraseña originalestablecidaduranteeldespliegueserálaautorizaciónnecesariaanderecuperarelsistema.
Sigaestospasospararealizaruncambiodelaplacadelsistema:
1.EladministradordeClientSecuritySolutioniniciasesiónenelsistemaoperativo.
2.Elcódigoejecutadodeiniciodesesión(cssplanarswap.exe)reconocequeelchipdeseguridadestá inhabilitadoyrequierequeserearranqueparahabilitarlo.(Estepasosepuedeevitarhabilitandoel chipdeseguridadmedianteelBIOS).
3.Serearrancaelsistemaysehabilitaelchipdeseguridad.
4.EladministradordeClientSecuritySolutioninicialasesión;nalizaelnuevoprocesodeTomar propiedad.
5.SedescifralaClavebasedelsistemautilizandolaClavedeprotecciónAESbasedelsistemaquese derivadelaautenticacióndeadministradordeClientSecuritySolution.SeimportalaClavebasedel sistemaenlanuevaSRKyserestablecelaClavehojadelsistemaytodaslascredencialesprotegidas porésta.
6.Elsistemaestáahorarecuperado.
Nota:CuandoseutilizalaModalidaddeemulación,noesnecesariocambiarlaplacadelsistema.
Capítulo3.CómotrabajarconClientSecuritySolution25
Eldiagramasiguienteproporcionalaestructuraparaelintercambiodeplacabasetomarpropiedad:
Motherboard Swap - Take Ownership
Trusted Platform Module
Decrypted via derived AES Key
System Leaf Private Key
Store Leaf Private Key
System Leaf Public Key
Store Leaf Public Key
System Base Private Key
System Base Public Key
If Passphrase
loop n times
CSS Admin PW/PP
One-Way Hash
System Base AES
Protection Key (derived via output of hash algorithm)
Motherboard Swap - Enroll User
Trusted Platform Module
Decrypted via derived AES Key
Storage Root Private Key
Storage Root Public Key
User Leaf Private Key
User Leaf Public Key
Windows PW AES Key
PW Manager AES Key
User Base Private Key
User Base Public Key
If Passphrase
loop n times
User PW/PP
One-Way Hash
User Base AES
Protection Key
(derived via output
of hash algorithm)
Figura3.Intercambiodeplacabase:Tomarpropiedad
Conformecadausuarioiniciasesiónenelsistema,laClavebasedeusuariosedescifraautomáticamente mediantelaClavedeprotecciónAESbasedeusuarioderivadadelaautenticacióndeusuarioeimportada alanuevaSRKcreadamedianteeladministradordeClientSecuritySolution.Eldiagramasiguiente proporcionalaestructuraparaelintercambiodeplacabase:registrarusuario:
Paraqueunsegundousuarioinicielasesióndespuésdequesehayaborradoelchipodespuésdesustituir laplacamadre,debeiniciarlasesióncomoeladministradormaestro.Sesolicitaráaladministradormaestro querestaurelasclaves.Unavezquesehayacompletadolarestauracióndelasclaves,utiliceelGestor depolíticasparainhabilitareliniciodesesióndeWindowsdeClientSecurity.Losdemásusuariospodrán restaurarsusclavesrespectivas.Unavezquetodoslosusuariossecundarioshayanrestauradosusclaves,el administradormaestropuedehabilitarlafuncióndeiniciodesesióndeWindowsdeClientSecuritySolution.
Eldiagramasiguienteproporcionalaestructuraparaelintercambiodeplacabase:registrarusuario:
Figura4.Intercambiodeplacabase:Registrarusuario
26ClientSecuritySolution8.3Guíadedespliegue

ProgramadeutilidaddeproteccióndeEFS

ClientSecuritySolutionproporcionaunprogramadeutilidaddelalíneademandatosquepermitela protecciónbasadaenelTPMdecerticadosdecifradoutilizadosporelSistemadecifradodearchivos (EFS)paracifrararchivosycarpetas.Esteprogramadeutilidaddasoportealatransferenciadecerticados deterceros(certicadosgeneradosporunaentidademisoradecerticados)ytambiéndasoporteala generacióndecerticadosautormados.
LaproteccióndelcerticadodeEFSporpartedeClientSecuritySolutionsignicaquelaclaveprivada asociadaconelcerticadodeEFSestáprotegidaporelTPM.Seotorgaaccesoalcerticadodespués dequeelusuariosehayaautenticadoenClientSecuritySolution.
SinohayningúnTPMdisponible,elcerticadodeEFSseprotegeutilizandoelemuladordelTPM proporcionadoporClientSecuritySolution.DeberegistrarseconClientSecuritySolutionparapodertener loscerticadosdeEFSprotegidosporClientSecuritySolution.
PRECAUCIÓN: SiutilizaClientSecuritySolutionyelSistemadecifradodearchivos(EFS)paracifrararchivosy carpetas,cadavezqueClientSecuritySolutionoelMódulodeplataformaseguranoestédisponible nopodráaccederalosarchivoscifrados.
SielMódulodeplataformaseguradejaderesponder,ClientSecuritySolutionrestauraráelaccesoalos datoscifradosunavezquesehayasustituidolaplacabase.
UtilizacióndelprogramadeutilidaddelalíneademandatosdeEFS
LatablasiguienteproporcionalosparámetrosdelalíneademandatosqueestánsoportadosparaEFS:
Tabla9.ParámetrosdelalíneademandatosadmitidosparaEFS
ParámetroDescripción
/generate:<size>Generauncerticadoautormadoyasociaelcerticado
conEFS.Siseespecica<size>,laclavegeneradaserá deltamañodebitespecicado.Losvaloresválidos incluyen512,1024y2048.Sinoseespecicaningún valor,osiseespecicaunvalornoválido,elvalor predeterminadoserálageneracióndeclavesde1024bits.
/sn:xxxxxxEspecicaelnúmerodeseriedeuncerticadoexistente
quesedebetransferiryasociarconEFS.
/cn:yyyyyyEspecicaelnombre(“issuedto”)deuncerticado
existentequesedebetransferiryasociarconEFS.
/rstavailTransereelprimercerticadodeEFSexistente
disponibleyloasociaaEFS.
/silentNovisualizaningunasalida.Loscódigosderetorno
proporcionadosporelvalorcuandosesaledelprograma.
/?o/ho/helpVisualizalainformacióndeayuda.
Cuandonoseejecutaenmodalidadsilenciosa,elprogramadeutilidaddevolveráunodeloserrores siguientes:
0-"Commandcompletedsuccessfully" 1-"ThisutilityrequiresWindowsXP" 2-"ThisutilityrequiresClientSecuritySolutionversion8 .0" 3-"ThecurrentuserisnotenrolledwithClientSecuritySolution" 4-"Thespeciedcerticatecouldnotbef ound" 5-"Unabletogenerateaself-signedcerticate” 6-"NoEFScerticateswerefound"
Capítulo3.CómotrabajarconClientSecuritySolution27
7-"UnabletoassociatethecerticatewithEFS”
Alejecutarenmodalidadsilenciosa,lasalidadelprogramaseráunniveldeerrorcorrespondientealos númerosdeerroresquesemuestranmásarriba.

UtilizacióndelesquemaXML

ElpropósitodelosscriptsXMLespermitiralosadministradoresdeTIcrearscriptspersonalizadosque sepuedanutilizarparadesplegarycongurarClientSecuritySolution.Losscriptssepuedenproteger medianteelejecutablexml_crypt_toolconunacontraseñatalcomoelcifradoAES.Unavezcreada,la máquinavirtual(vmserver.exe)aceptalosscriptscomoentrada.Lamáquinavirtualllamaalasmismas funcionesqueelAsistentedeconguracióndeClientSecuritySolutionparacongurarelsoftware.
TodoslosscriptsconstandeunaetiquetaparaespecicareltipodecodicaciónXML,elesquemaXMLy comomínimounafunciónarealizar.ElesquemaseutilizaparavalidarelarchivoXMLycomprobarsiexisten todoslosparámetrosnecesarios.Actualmentenosefuerzalautilizacióndelesquema.Cadafunciónestá entreetiquetasdefunción.Cadafuncióncontieneunaordenqueespecicaelordenenelquelamáquina virtual(vmserver.exe)ejecutaráelmandato.Cadaversióntienetambiénunnúmerodeversión;actualmente todaslasfuncionesestánenlaversión1.0.Cadaunodelossiguientesscriptsdeejemplosólocontieneuna función.Sinembargo,enlaprácticaunscriptcontendráposiblementevariasfunciones.ElAsistentede conguracióndeClientSecuritySolutionsepuedeutilizarparacrearunscriptdeestetipo.Paraobtener informaciónadicionalsobrelacreacióndescriptsconelasistentedeconguración,consulte“Asistentede conguracióndeClientSecuritySolution”enlapágina38
Nota:Siseomiteelparámetro<DOMAIN_NAME_PARAMETER>encualquieradelasfuncionesque requierenunnombrededominio,seutilizaráelnombredelsistemapredeterminado.
.

Ejemplos

LosmandatossiguientessonejemplosdelesquemaXML:
ENABLE_TPM_FUNCTION
EstemandatohabilitaelMódulodeplataformasegurayutilizaelargumentoSYSTEM_PAP .Sielsistema yatieneestablecidaunacontraseñadeadministradorosupervisordelBIOS,sedebeproporcionareste argumento.Delocontrario,estemandatoesopcional.
<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">
<registry_settings/> </tvt_deployment> <FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENABLE_TPM_FUNCTION</COMMAND> <VERSION>1.0</VERSION> <SYSTEM_PAP>PASSWORD</SYSTEM_PAP> </FUNCTION>
</CSSFile>
Nota:Estemandatonorecibesoporteenlamodalidaddeemulación.
DISABLE_TPM_FUNCTION
EstemandatoutilizaelargumentoSYSTEM_PAP.Sielsistemayatieneestablecidaunacontraseñade administradorosupervisordelBIOS,sedebeproporcionaresteargumento.Delocontrario,estemandato esopcional.
<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation="
28ClientSecuritySolution8.3Guíadedespliegue
http://www.lenovo.comcssDeploy.xsd">
<registry_settings/> </tvt_deployment <FUNCTION> <ORDER>0001</ORDER> <COMMAND>DISABLE_TPM_FUNCTION</COMMAND> <VERSION>1.0</VERSION> <SYSTEM_PAP>password</SYSTEM_PAP> </FUNCTION>
</CSSFile>
Nota:Estemandatonorecibesoporteenlamodalidaddeemulación.
ENABLE_PWMGR_FUNCTION
EstemandatohabilitaPasswordManagerparatodoslosusuariosdeClientSecuritySolution.
<?xmlversion="1.0"encoding="UTF-8"standalone="no"?>
<CSSFilexmlns="www.lenovo.com/security/CSS"> <FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENABLE_PWMGR_FUNCTION</COMMAND> <VERSION>1.0</VERSION> </FUNCTION>
</CSSFile>
ENABLE_CSS_GINA_FUNCTION
ParaWindowsXP ,WindowsVistayWindows7,estemandatohabilitaeliniciodesesióndeClientSecurity Solution:
-<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">
<registry_settings/> </tvt_deployment <FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENABLE_CSS_GINA_FUNCTION</COMMAND> <VERSION>1.0</VERSION> </FUNCTION>
</CSSFile>
ENABLE_UPEK_GINA_FUNCTION
Notas:
1.EstemandatosolamenteesparaelSoftwaredehuellasdactilaresdeThinkVantage.
2.Estemandatonorecibesoporteenlamodalidaddeemulación.
ElmandatosiguientehabilitaeliniciodesesióndeWindowsdehuelladactilardeThinkVantageeinhabilitael iniciodesesióndeWindowsdeClientSecuritySolution.
<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">
<registry_settings/> </tvt_deployment> <FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENABLE_UPEK_GINA_FUNCTION</COMMAND> <VERSION>1.0</VERSION> </FUNCTION>
</CSSFile>
Capítulo3.CómotrabajarconClientSecuritySolution29
ENABLE_UPEK_GINA_WITH_FUS_FUNCTION
Notas:
1.EstemandatosolamenteesparaelSoftwaredehuellasdactilaresdeThinkVantage.
2.Estemandatonorecibesoporteenlamodalidaddeemulación.
Elmandatosiguientehabilitaeliniciodesesiónconelsoportedeconmutacióndeusuariorápidaeinhabilita eliniciodesesióndeWindowsdeClientSecuritySolution.Laconmutaciónrápidadeusuarionoestará habilitadacuandoelsistemaestéenunentornodedominio.SetratadeundiseñodeMicrosoft.
<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">
<registry_settings/> </tvt_deployment <FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENABLE_UPEK_GINA_WIH_FUS_FUNCTION</COMMAND> <VERSION>1.0</VERSION> </FUNCTION>
</CSSFile>
ENABLE_AUTHENTEC_GINA_FUNCTION
Notas:
1.EstemandatoessolamenteparaelSoftwaredehuellasdactilaresdeLenovo.
2.Estemandatonorecibesoporteenlamodalidaddeemulación.
ElmandatosiguientehabilitaeliniciodesesióndeWindowsdehuelladactilardeLenovoeinhabilitaelinicio desesióndeWindowsdeClientSecuritySolution.
<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">
<registry_settings/> </tvt_deployment> <FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENABLE_AUTHENTEC_GINA_FUNCTION</COMMAND> <VERSION>1.0</VERSION> </FUNCTION>
</CSSFile>
ENABLE_AUTHENTEC_GINA_WITH_FUS_FUNCTION
Notas:
1.EstemandatoessolamenteparaelSoftwaredehuellasdactilaresdeLenovo.
2.Estemandatonorecibesoporteenlamodalidaddeemulación.
Elmandatosiguientehabilitaeliniciodesesiónconelsoportedeconmutacióndeusuariorápidaeinhabilita eliniciodesesióndeWindowsdeClientSecuritySolution.Laconmutaciónrápidadeusuarionoestará habilitadacuandoelsistemaestéenunentornodedominio.SetratadeundiseñodeMicrosoft.
<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">
<registry_settings/> </tvt_deployment <FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENABLE_AUTHENTEC_GINA_WIH_FUS_FUNCTION</COMMAND> <VERSION>1.0</VERSION>
30ClientSecuritySolution8.3Guíadedespliegue
</FUNCTION>
</CSSFile>
ENABLE_NONE_GINA_FUNCTION
SisehahabilitadoGINAoCP(CredentialProvider)dealgunodeloscomponentesrelacionadoscon ThinkVantageTechnologies,comoporejemploelsoftwaredehuellasdactilaresdeThinkVantage,Client SecuritySolutionoAccessConnections,estemandatoinhabilitarálosiniciosdesesióndelsoftwarede huellasdactilaresdeThinkVantageydeClientSecuritySolution.
<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">
<registry_settings/> </tvt_deployment <FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENABLE_CSS_NONE_FUNCTION</COMMAND> <VERSION>1.0</VERSION> </FUNCTION>
</CSSFile>
Nota:Estemandatonorecibesoporteenlamodalidaddeemulación.
SET_PP_FLAG_FUNCTION
EstemandatograbaundistintivoqueClientSecuritySolutionleeparadeterminarsisedebeutilizarlafrase depasodeClientSecurityounacontraseñadeWindows.
<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">
<registry_settings/> </tvt_deployment <FUNCTION> <ORDER>0001</ORDER> <COMMAND>SET_PP_FLAG_FUNCTION</COMMAND> <PP_FLAG_SETTING_PARAMETER>USE_CSS_PP</PP_FLAG_SETTING_PARAMETER> <VERSION>1.0</VERSION> </FUNCTION>
</CSSFile>
Nota:Estemandatonorecibesoporteenlamodalidaddeemulación.
SET_ADMIN_USER_FUNCTION
EstemandatograbaundistintivoqueClientSecuritySolutionleeparadeterminarquiéneseladministrador. Losparámetrossonlossiguientes:
USER_NAME_PARAMETER Nombredeusuariodeladministrador.
DOMAIN_NAME_PARAMETER Nombrededominiodeladministrador.
<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">
<registry_settings/> </tvt_deployment <FUNCTION> <ORDER>0001</ORDER> <COMMAND>SET_ADMIN_USER_FUNCTION</COMMAND> <USER_NAME_PARAMETER>sabedi</USER_NAME_PARAMETER>
Capítulo3.CómotrabajarconClientSecuritySolution31
<DOMAIN_NAME_PARAMETER>IBM-2AA92582C79<DOMAIN_NAME_PARAMETER> <VERSION>1.0</VERSION> <SYSTEM_PAP>PASSWORD</SYSTEM_PAP> </FUNCTION>
</CSSFile>
Nota:Estemandatonorecibesoporteenlamodalidaddeemulación.
INITIALIZE_SYSTEM_FUNCTION
EstemandatoinicializalafuncióndelsistemadeClientSecuritySolution.Lasclavesaplicablesatodoel sistemasegeneranmedianteestallamadadefunción.Lasiguientelistadeparámetrosexplicacadafunción:
NEW_OWNER_AUTH_DATA_PARAMETER Esteparámetroseutilizaparaestablecerlanuevacontraseñadeusuarioparaelsistema.Paralanueva contraseñadepropietario,elvalordeesteparámetroestácontroladoporlacontraseñadepropietario actual.Sinoseestablecelacontraseñadepropietarioactual,elvalorpasadoparaesteargumentose convertiráenlanuevacontraseñadepropietario.Siyaestáestablecidalacontraseñadepropietario actualyeladministradorutilizalamismacontraseñadepropietarioactual,sepasaráesevaloreneste parámetro.Sieladministradorutilizaunanuevacontraseñadepropietario,lanuevacontraseñade propietariosepasaráenesteparámetro.
CURRENT_OWNER_AUTH_DATA_PARAMETER Esteparámetroeslacontraseñadepropietarioactualdelsistema.Sielsistemayatieneunacontraseña depropietarioexistente,esteparámetrodebepasarlacontraseñaanterior.Sisesolicitaunanueva contraseñadepropietario,sedebepasarlacontraseñadepropietarioactualenesteparámetro.Sinose conguraningúncambiodecontraseña,sepasaelvalorNO_CURRENT_OWNER_AUTH.
<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">
<registry_settings/> </tvt_deployment <FUNCTION> <ORDER>0001</ORDER> <COMMAND>INITIALIZE_SYSTEM_FUNCTION</COMMAND> <NEW_OWNER_AUTH_DATA_PARAMETER>pass1word</NEW_OWNER_AUTH_DATA_ PARAMETER> <CURRENT_OWNER_AUTH_DATA_PARAMETER>No_CURRENT_OWNER_AUTH</CURRENT _OWNER_AUTH_DATA_PARAMETER> <VERSION>1.0</VERSION> </FUNCTION>
</CSSFile>
CHANGE_TPM_OWNER_AUTH_FUNCTION
EstemandatocambialaautorizacióndeadministradordeClientSecuritySolutionyactualizalasclaves delsistemaenconsecuencia.Lasclavesaplicablesatodoelsistemasevuelvenagenerarmedianteesta llamadadefunción.Losparámetrossonlossiguientes:
•NEW_OWNER_AUTH_DATA_PARAMETER NuevacontraseñadepropietariodelMódulodeplataformasegura.
•CURRENT_OWNER_AUTH_DATA_PARAMETER ContraseñadepropietarioactualdelMódulodeplataformasegura.
<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">
<registry_settings/> </tvt_deployment <FUNCTION>
32ClientSecuritySolution8.3Guíadedespliegue
<ORDER>0001</ORDER> <COMMAND>CHANGE_TPM_OWNER_AUTH_FUNCTION</COMMAND> <NEW_OWNER_AUTH_DATA_PARAMETER>newPassWord</NEW_OWNER_AUTH_DATA_ PARAMETER> <CURRENT_OWNER_AUTH_DATA_PARAMETER>oldPassWord</CURRENT_OWNER_AUTH _DATA_PARAMETER> <VERSION>1.0</VERSION> </FUNCTION>
</CSSFile>
Nota:Estemandatonorecibesoporteenlamodalidaddeemulación.
ENROLL_USER_FUNCTION
EstemandatoregistraunusuariodeterminadoparautilizarClientSecuritySolution.Estafuncióncreatodas lasclavesdeseguridadespecícasdelusuarioparaunusuariodeterminado.Losparámetrossonlos siguientes:
USER_NAME_PARAMETER Nombredeusuariodelusuarioqueseregistrará.
DOMAIN_NAME_PARAMETER Nombrededominiodelusuarioqueseregistrará.
USER_AUTH_DATA_PARAMETER FrasedepasodelMódulodeplataformaseguraocontraseñadeWindowsconlaquesecrearánlas clavesdeseguridaddeusuario.
WIN_PW_PARAMETER LacontraseñadeWindows.
<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">
<registry_settings/> </tvt_deployment <FUNCTION> <ORDER>0001</ORDER> <COMMAND>ENROLL_USER_FUNCTION</COMMAND> <USER_NAME_PARAMETER>sabedi</USER_NAME_PARAMETER> <DOMAIN_NAME_PARAMETER>IBM-2AA92582C79<DOMAIN_NAME_PARAMETER> <USER_AUTH_DATA_PARAMETER>myCssUserPassPhrase</USER_AUTH_DATA_PARAMETER>
<WIN_PW_PARAMETER>myWindowsPassword</WIN_PW_PARAMETER> <VERSION>1.0</VERSION> </FUNCTION>
</CSSFile>
USER_PW_RECOVERY_FUNCTION
Estemandatoconguraunarecuperacióndecontraseñadeunusuariodeterminado.Losparámetros sonlossiguientes:
USER_NAME_PARAMETER Nombredeusuariodelusuarioqueseregistrará.
DOMAIN_NAME_PARAMETER Nombrededominiodelusuarioqueseregistrará.
USER_PW_REC_QUESTION_COUNT Númerodepreguntasqueelusuariodeberesponder.
Capítulo3.CómotrabajarconClientSecuritySolution33
USER_PW_REC_ANSWER_DATA_PARAMETER Respuestaalmacenadaaunapreguntadeterminada.Elnombrerealdeesteparámetroestáconectadoa unnúmeroquesecorrespondeconlapreguntaalaqueresponde.
USER_PW_REC_STORED_PASSWORD_PARAMETER Contraseñaalmacenadaquesepresentaalusuariounavezquesehancontestadotodaslaspreguntas correctamente.
<tvt_deploymentxmlns="http://www.lenovo.com" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation=" http://www.lenovo.comcssDeploy.xsd">
<registry_settings/> </tvt_deployment <FUNCTION> <ORDER>0001</ORDER> <COMMAND>USER_PW_RECOVERY_FUNCTION</COMMAND> <USER_NAME_PARAMETER>sabedi</USER_NAME_PARAMETER> <DOMAIN_NAME_PARAMETER>IBM-2AA92582C79<DOMAIN_NAME_PARAMETER> <USER_PW_REC_ANSWER_DATA_PARAMETER>Test1</USER_PW_REC_ANSWER_DATA_PARA METER> <USER_PW_REC_ANSWER_DATA_PARAMETER>Test2</USER_PW_REC_ANSWER_DATA_PARA METER> <USER_PW_REC_ANSWER_DATA_PARAMETER>Test3</USER_PW_REC_ANSWER_DATA_PARA METER> <USER_PW_REC_QUESTION_COUNT>3</USER_PW_REC_QUESTION_COUNT> <USER_PW_REC_QUESTION_LIST>20000,20001,20002</USER_PW_REC_QUESTION_LIST> </USER_PW_REC_STORED_PASSWORD_PARAMETER>Pass1word</USER_PW_REC_STORED_PASS WORD_PARAMETER> <VERSION>1.0</VERSION> </FUNCTION>
</CSSFile>
GENERATE_MUL TI_FACTOR_DEVICE_FUNCTION
EstemandatogeneralosdispositivosdevariosfactoresdeClientSecuritySolutionutilizadosparala autenticación.Losparámetrossonlossiguientes:
•USER_NAME_PARAMETER-Nombredeusuariodeladministrador.
•DOMAIN_NAME_PARAMETER-Nombrededominiodeladministrador.
•MULTI_FACTOR_DEVICE_USER_AUTH-FrasedepasodeClientSecurityocontraseñadeWindows paracrearlasclavesdeseguridaddeusuario.
<?xmlversion="1.0"encoding="UTF-8"standalone="no"?>
<CSSFile=xmlns="www.ibm.com/security/CSS"> <FUNCTION> <ORDER>0001</ORDER> <COMMAND>GENERATE_MULTI_FACTOR_DEVICE_FUNCTION</COMMAND> <USER_NAME_PARAMETER>myUserName</USER_NAME_PARAMETER> <DOMAIN_NAME_PARAMETER>domainName</DOMAIN_NAME_PARAMETER> <MULTI_FACTOR_DEVICE_USER_AUTH>myCssUserPassPhrase</MUL TI_FACTOR_DEVICE_USER_AUTH> <VERSION>1.0</VERSION> </FUNCTION>
</CSSFile>
SET_USER_AUTH_FUNCTION
EstemandatoestablecelaautenticacióndeusuariodeClientSecuritySolution:
<?xmlversion="1.0"encoding="UTF-8"standalone="no"?> <CSSFile=xmlns="www.ibm.com/security/CSS"> <FUNCTION> <ORDER>0001</ORDER> <COMMAND>SET_USER_AUTH_FUNCTION</COMMAND>
34ClientSecuritySolution8.3Guíadedespliegue
<VERSION>1.0</VERSION> </FUNCTION>
</CSSFile>

UtilizacióndeseñalesRSASecurID

Aprovechandoelmétododealgoritmodecifradodelosdatosdecifrado,lautilizacióndelasseñalesRSA SecurIDademásdeClientSecuritySolutionproporcionaráseguridaddemúltiplesfactores.Utilizando señalesRSASecurID,losusuariosseautenticanenlasredesyelsoftwareutilizandosuIDdeusuarioo PINyundisponsitivodeseñal.Eldispositivodeseñalmuestraunaseriedenúmerosquecambiancada sesentasegundos.Estemétododeautenticaciónproporcionaunnivelmuchomásabledeautenticación deusuarioquelascontraseñasreutilizables.

InstalacióndelaseñaldesoftwareRSASecurID

CompletelospasossiguientesparainstalarelsoftwareRSASecurID:
1.Vayaalsiguientesitioweb: http://www.rsasecurity.com/node.asp?id=1156
2.Completeelprocesoderegistro.
3.DescargueeinstaleelsoftwareRSASecurID.

Requisitos

1.CadausuariodeWindowsdebeestarregistradoconClientSecuritySolutionparaqueelsoftwarede RSAfuncionecorrectamentedespuésdehabersidoasociadoconClientSecuritySolution.
2.ElsoftwaredeRSAentraráenunbucleinnitointentandolaautenticaciónconunusuariodeWindows quenoestáregistradoenClientSecuritySolution.RegistreelusuarioconClientSecuritySolution parasolucionaresteproblema.

EstablecimientodelasopcionesdeaccesodelaSmartCard

ParaestablecerlasopcionesdeaccesodelaSmartCard,completelospasossiguientes:
1.EnelmenúprincipaldeRSASecurID,pulseToolsyluegoSmartCardAccessOptions.
2.EnelpanelSmartCardCommunication,seleccioneelbotóndeseleccióndeAccesstheSmartCard throughaPKCS#11module.
3.PulseelbotónBrowseynaveguehastalasiguientevíadeacceso:
C:\ProgramFiles\LENOVO\ClientSecuritySolution\csspkcs11.dll
4.Pulseelarchivocsspkcs11.dllyluegopulseSelect.
5.PulseOK.

InstalaciónmanualdelaseñaldesoftwareRSASecurID

ParaaprovecharlaproteccióndeClientSecuritySolutionconlaseñaldesoftwaredeRSASecurID, completelospasossiguientes:
1.EnelmenúprincipaldeRSASecurIDSoftwareToken,pulseFiley,acontinuación,pulseImportTokens.
2.NaveguehastalaubicacióndelarchivoSDTIDyluegopulseOpen.
3.EnelpanelSelectToken(s)toInstall,resaltelosnúmerosdeseriedelasseñalesdesoftwareque desee.
4.PulseTransferSelectedTokensSmartCard.
Nota:Silaseñaltieneunacontraseñadedistribución,especiquelacontraseñacuandoselesolicite.
Capítulo3.CómotrabajarconClientSecuritySolution35
5.PulseOK.

SoportedeActiveDirectory

LasiguientevíadeaccesoproporcionalavíadeaccesodeldirectorioparaelmóduloPKCS#11deClient SecuritySolution:
C:\ProgramFiles\Lenovo\ClientSecuritySolution\csspkcs11.dll
ParaaprovecharelmóduloPKCS#11deClientSecuritySolution,sedebenestablecerlaspolíticas siguientesparaActiveDirectory:
1.FirmaPKCS#11
2.DescifradoPKCS#11
LatablasiguienteproporcionaelcampoyladescripciónmodicablesdelaspolíticasdePKCS#11:
Tabla10.ThinkVantage\ClientSecuritySolution\Políticasdeautenticación\FirmaPKCS#11\Modalidadde personalización
CamposCSS.ADM
Campomodicable DescripcióndelcampoControlasisenecesitacontraseñaofrasedepaso. Valoresposibles•Habilitado
Necesario
–Cadavez –Unavezporcadainiciodesesión
•Deshabilitado
•Nocongurado

Valoresypolíticasparalaautenticaciónconellectordehuellas dactilares

Opciónomisióndehuelladactilarobligada

Laopcióndeomisióndelahuelladactilarpermitequeunusuarioomitalaautenticacióndehuelladactilary utiliceunacontraseñadeWindowsparainiciarlasesión.Elusuariopuedeseleccionarodeseleccionaresta opciónenlainterfazdeusuariodePasswordManagercuandoañadeunaentradanueva.
Sinembargo,deformapredeterminada,laomisióndelahuelladactilarsehabilitaaunquenoseseleccione laopción.EstoesasíparapermitirqueelusuarioinicielasesiónenWindowscuandoelsensordehuellas dactilaresnoesfuncional.Parainhabilitarlaopcióndeomisióndehuelladactilarobligada,editelasiguiente clavederegistro:
[HKEY_LOCAL_MACHINE\SOFTWARE\Lenovo\ClientSecuritySolution\CSSConguration] "GinaDenyLogonDeviceNonEnrolled"=dword:00000001
Cuandolaclavederegistroestáestablecidacomoseindicabaanteriormente,elusuarionopuedeomitirla autenticacióndelahuelladactilarsielsensordehuellasdactilaresnofunciona.

Resultadodepasareldedoporeldispositivodehuelladactilar

Durantelaautenticacióndelahuelladactilar,lapolíticasiguienteeslaencargadadecontrolarlavisualización delosresultadosdepasareldedoporeldispositivodehuelladactilar.
HKLM\Lenovo\TVTCommon\ClientSecuritySolution\FPSwipeResult
36ClientSecuritySolution8.3Guíadedespliegue
•FPSwipeResult=0:Muestratodoslosmensajes.
•FPSwipeResult=1:Muestrasolamentelosmensajesdeanomalía(valorpredeterminado).
•FPSwipeResult=2:Nomostrarningúnmensaje.

Herramientasdelalíneademandatos

LosadministradoresdeTIdelaempresatambiénpuedenimplementarlasfuncionesdeThinkVantage Technologiesdeformalocaloremotamediantelainterfazdelalíneademandatos.Losvaloresde conguraciónsepuedenmantenermediantevaloresdelarchivodetextoremoto.
ClientSecuritySolutioncontienelassiguientesherramientasdelalíneademandatos:
“SecurityAdvisor”enlapágina37
“AsistentedeconguracióndeClientSecuritySolution”enlapágina38
“Herramientadecifradoodescifradodelarchivodedespliegue”enlapágina39
“Herramientadeprocesodelarchivodedespliegue”enlapágina39
“TPMENABLE.EXE”enlapágina40
“Herramientadetransferenciadecerticados”enlapágina40
“ActivarodesactivarTPM”enlapágina41

SecurityAdvisor

ParautilizarlafunciónSecurityAdvisor,inicieelprogramaClientSecuritySolution,pulseelmenúAdvancedy pulseelbotónSecurityAdvisorenelespaciodetrabajodeClientSecuritySolution.Elsistemaejecutará elarchivowst.exequeestáubicadoeneldirectorioC:\Archivosdeprograma\Lenovo\CommonFiles\WST\ paraunainstalaciónpredeterminada.
Losparámetrossonlossiguientes:
Tabla11.Parámetros
ParámetrosDescripción
HardwarePasswords
PowerOnPassword
HardDrivePassword
AdministratorPassword
WindowsUsersPasswords
Contraseña
PasswordAge
PasswordNeverExpires
Estableceelvalordelacontraseñadehardware. 1mostraráestasección,0laocultará.Elvalor predeterminadoes1.
Estableceelvalordequesedebehabilitarunacontraseña deencendido,oelvalorapareceráresaltado.
Estableceelvalordequesedebehabilitarunacontraseña dediscoduro,oelvalorapareceráresaltado.
Estableceelvalordequesedebehabilitarunacontraseña deadministrador,oelvalorapareceráresaltado.
Estableceelvalordelacontraseñadeusuariode Windows.1mostraráestasección,0laocultará.Sino estápresente,semuestradeformapredeterminada.
Estableceelvalordequesedebehabilitarlacontraseña deusuario,oelvalorapareceráresaltado.
Estableceelvalordecuáldebeserlaantigüedadde lacontraseñadeWindowsenestamáquina,oelvalor apareceráresaltado.
EstableceelvalordequelacontraseñadeWindows nuncacaducará,oelvalorapareceráresaltado.
Capítulo3.CómotrabajarconClientSecuritySolution37
Tabla11.Parámetros(continuación)
ParámetrosDescripción
WindowsPasswordPolicy
MinimumPasswordLength
MaximumPasswordAge
ScreenSaverEstableceelvalordelprotectordepantalla.1mostrará
ScreenSaverPasswordSet
ScreenSaverTimeoutEstableceelvalordecuáldebesereltiempodeespera
FileSharingEstableceelvalordelacomparticióndearchivos.1
AuthorizedAccessOnly
ClientSecurityEstableceelvalordeClientSecurity.1mostraráesta
EmbeddedSecurityChip
ClientSecuritySolutionEstableceelvalordequéversióndeClientSecurity
Estableceelvalordelapolíticadecontraseñade Windows.1mostraráestasección,0laocultará.Sino estápresente,semuestradeformapredeterminada.
Estableceelvalordecuáldebeserlalongitudde lacontraseñaenestamáquina,oelvaloraparecerá resaltado.
Estableceelvalordecuáldebeserlaantigüedadde lacontraseñaenestamáquina,oelvaloraparecerá resaltado.
estasección,0laocultará.Sinoestápresente,se muestradeformapredeterminada.
Estableceelvalordequeelprotectordepantalladebe tenercontraseña,oelvalorapareceráresaltado.
delprotectordepantallaenestamáquina,oelvalor apareceráresaltado.
mostraráestasección,0laocultará.Sinoestápresente, semuestradeformapredeterminada.
Estableceelvalordequesedebeestablecerelacceso autorizadoparalacomparticióndearchivos,oelvalor apareceráresaltado.
sección,0laocultará.Sinoestápresente,semuestra deformapredeterminada.
Estableceelvalordequesedebehabilitarelchipde seguridad,oelvalorapareceráresaltado.
Solutiondebeestarenestamáquina,oelvaloraparecerá resaltado.
AsistentedeconguracióndeClientSecuritySolution
ElAsistentedeconguracióndeClientSecuritySolutionseutilizaparagenerarscriptsdedespliegue mediantearchivosXML.Elsiguientemandatovisualizalasdistintasfuncionesdelasistente:
"C:\ProgramFiles\Lenovo\ClientSecuritySolution\css_wizard.exe"/?
LatablasiguienteproporcionalosmandatosparaelAsistentedeconguracióndeClientSecuritySolution.
Tabla12.MandatosparaelasistentedeconguracióndeClientSecuritySolution
ParámetroResultado
/ho/? /name:NOMBREARCHIVOPrecedealavíadeaccesocalicadatotalmenteyal
/encryptCifraelarchivoscriptutilizandocifradoAES.Siestá
38ClientSecuritySolution8.3Guíadedespliegue
Visualizaelrecuadrodemensajedeayuda
nombredearchivodelarchivodedesplieguegenerado. Elarchivotendráunaextensión.xml.
cifrado,alnombredearchivoseañadirálaextensión.enc. Sinoseutilizaelmandato/pass,seutilizaunafrasede pasoestáticaparaocultarelarchivo.
Tabla12.MandatosparaelasistentedeconguracióndeClientSecuritySolution(continuación)
ParámetroResultado
/pass:Precedealafrasedepasoparalaproteccióndelarchivo
dedesplieguecifrado.
/novalidateInhabilitalascapacidadesdecomprobaciónde
contraseñayfrasedepasodelasistente,deformaque sepuedegenerarunarchivoscriptenunamáquinaya congurada.Porejemplo,esposiblequelacontraseñade administradorenlamáquinaactualnosealacontraseña deadministradorquesedeseetenerentodalaempresa. Utiliceelmandato/novalidateparapoderescribiruna contraseñadeadministradordistintaenlaGUIde css_wizarddurantelacreacióndelarchivoxml.
Ejemplo:
css_wizard.exe/encrypt/pass:mysecret/name:C:\DeployScript/novalidate

Herramientadecifradoodescifradodelarchivodedespliegue

EstaherramientaseutilizaparacifrarodescifrarlosarchivosdedespliegueXMLdeClientSecurity.El siguientemandatovisualizalasdistintasfuncionesdelaherramienta:
"C:\ProgramFiles\Lenovo\ClientSecuritySolution\xml_crypt_tool.exe"/?
Losparámetrossemuestranenlatablasiguiente:
Tabla13.ParámetrosparaelcifradoodescifradodearchivosdedespliegueXMLdeClientSecurity
ParámetrosResultados
/ho/? FILENAME
/encrypto/decrypt
PASSPHRASEVisualizaelparámetroopcionalqueesnecesariosise
Visualizaelmensajedeayuda.
Visualizaelnombredevíadeaccesoyelnombrede archivoconlaextensión.xmlo.enc.
Selecciona/encryptparaarchivosXMLy/decryptpara archivosENC.
utilizaunafrasedepasoparaprotegerelarchivo.
Ejemplos:
xml_crypt_tool.exe"C:\DeployScript.xml"/encrypt"mysecret"
y
xml_crypt_tool.exe"C:\DeployScript.xml.enc"/decrypt"mysecret"

Herramientadeprocesodelarchivodedespliegue

Laherramientavmserver.exeprocesalosscriptsdedespliegueXMLdeClientSecuritySolution.Elsiguiente mandatovisualizalasdistintasfuncionesdelasistente:
"C:\ProgramFiles\Lenovo\ClientSecuritySolution\vmserver.exe"/?
Latablasiguienteproporcionalosparámetrosparaprocesararchivos.
Capítulo3.CómotrabajarconClientSecuritySolution39
Tabla14.Parámetrosparaelprocesodearchivos
ParámetroResultado
FILENAME
PASSPHRASEElparámetroPASSPHRASEseutilizaparadescifrarun
ElparámetroFILENAMEdebetenerunaextensiónde archivoXMLoENC
archivoconlaextensiónENC
Ejemplo:
Vmserver.exeC:\DeployScript.xml.enc"mysecret"

TPMENABLE.EXE

Elarchivotpmenable.exeseutilizaparaactivarodesactivarelchipdeseguridad.
Tabla15.Parámetrosparaelarchivotpmenable.exe
ParámetroDescripción
/enableo/disable /quietOcultalosindicadoresdesolicitudparalacontraseñao
sp:contraseñaParaWindows2000yXPsolamente,paralacontraseña
Activaodesactivaelchipdeseguridad.
loserroresdelBIOS.
deadministrador/supervisordelBIOSnoutilicecomillas alrededordelacontraseña.
Ejemplo:
tpmenable.exe/enable/quiet/sp:MyBiosPW
Herramientadetransferenciadecerticados
LatablasiguienteproporcionalosconmutadoresdelalíneademandatosdelaherramientaTransferenciade certicadosdeClientSecuritySolution:
Tabla16.css_cert_transfer_tool.exe<cert_store_type><lter_type>:<name|size>|all_access|usage
ParámetroDescripción
<cert_store_type>
Ejemplos:
<lter_type>:<name|size>
cert_store_user
cert_store_machine
cert_store_all
Eselprimerparámetronecesario.Sedebeutilizarcomoelprimer conmutadorydebeincluirunodelosejemplossiguientes:
Transeresolamentecerticadosdeusuario.Los certicadosdeusuarioseasignanalusuarioactual.
Transeresolamentecerticadosdemáquina.Los certicadosdemáquinalospuedenutilizartodoslos usuariosautorizadosenunamáquina.
Transeretantotiposdecerticadodeusuariocomode máquina.
Setratadelsegundoparámetronecesario.Debeutilizarsedespués delparámetronecesario<cert_store_type>.Cadatipodeltro(salvo elqueseindicaacontinuación)debellevarunsignodedospuntos: despuésydebetenerelnombredeltemadelcerticado,laautorización oeltamañodelaclavequesebuscainmediatamentedespuésdelos dospuntos.Esteprogramadeutilidadessensiblealasmayúsculasy minúsculasysielnombrequebuscaesunnombrecompuesto,como porejemplo“AutorizaciónCA” ,tendráqueutilizarlascomillas“”enel criteriodebúsqueda(fíjeseenlosejemplos).
40ClientSecuritySolution8.3Guíadedespliegue
Tabla16.css_cert_transfer_tool.exe<cert_store_type><lter_type>:<name|size>|all_access|usage(continuación)
ParámetroDescripción Ejemplos:
Lossiguientesdosconmutadoressonindependientes;notienenunsegundoargumento: all_access usage
subject_simple_name:<name>
subject_friendly_name:<name>Transeretodosloscerticadosquecoincidanconel
issuer_simple_name:<name>
ssuer_friendly_name:<name>Transeretodosloscerticadosquecoincidanconel
key_size:<size>
Transeretodosloscerticados,nolosltra. Noproporcionainformaciónsobrelalíneademandatos,perolafunciónqueseutilizaparadeterminar
elusocorrectoseconvertiráenverdaderaofalsasilosmandatosquesepasansoncorrectosono.
Transeretodosloscerticadosquecoincidanconel nombrequeemiteelcerticado,siendoelnombredel <name>.
nombrefamiliarqueemiteelcerticado,siendoelnombre familiar<name>.
Transeretodosloscerticadosquecoincidanconel nombredelaentidademisoradecerticadosquelosha emitido,siendoelnombredelaentidad<name>.
nombrefamiliardelaentidademisoradecerticadosque loshaemitido,siendoelnombrefamiliardelaentidad <name>.
Transeretodosloscerticadosquesehancifradoconel tamañodeclave<size>enbits.Observequesetratadeun criteriodecoincidenciaexacto;elprogramanobuscará certicadoscifradosconuntamañodeclavequeseamás omenosdelmismotamaño.

ActivarodesactivarTPM

ParalossistemasportátilesdeThinkPadmodelosX200,T400,T500yposteriores(porejemplo,T410o T420),hagalosiguienteparaactivarTPM:
1.VayaalsitioWebhttp://support.lenovo.com/en_US/detail.page?LegacyDocID=MIGR-68488.
2.PulseSampleScriptsforBIOSDeploymentGuide(ScriptsdeejemploparaGuíadedesplieguede BIOS)paradescargarelarchivoscript.zip.Luegoextraigaelarchivozip.
3.Escribacscript.exeSetCong.vbsSecurityChipActiveenlaventanadelindicadordemandatopara ejecutarelarchivoSetCong.vbs.
4.Reinicieelsistema.
Nota:EnlossistemasportátilesdeThinkPadmodelosT400oT410,debereiniciarelsistemadosveces paraactivarTPM.
Paralossistemasdeescritorio,hagalosiguienteparaactivarTPM:
1.VayaalsitioWebhttp://support.lenovo.com/en_US/detail.page?LegacyDocID=MIGR-75407.
2.PulseVisualBasicsamplescriptstousewhenconguringBIOSsettings(Scriptsdeejemplo deVisualBasicparautilizarlosalcongurarlosvaloresdeBIOS)paradescargarelarchivo sample_script_m90.zip.Luegoextraigaelarchivozip.
3.Escribacscript.exeSetCong.vbsSecurityChipActiveenlaventanadelindicadordemandatopara ejecutarelarchivoSetCong.vbs.
4.Reinicieelsistema.
Capítulo3.CómotrabajarconClientSecuritySolution41
ParatodoslosmodelosdesistemasdesobremesaThinkStationymodelosdesistemasdesobremesa ThinkPadanterioresaT400(porejemplo,T61),activeTPMatravésdelaherramientadeactivaciónTPMo elarchivocss_manage_vista_tpm.exe.
UsodelaherramientadeactivaciónTPM(WindowsXP)
Elarchivotpm_activate_cmd.exeseutilizaparaactivarodesactivarTPMenlossistemasoperativos WindowsXP.
Nota:Necesitaprivilegiosdeadministradorparaejecutarestaherramienta.Antesdeejecutaresta herramienta,debeinstalarloscontroladoresSMBiosySMBusmásrecientes.
Tabla17.ParámetrosparaactivarodesactivarTPMensistemasLenovo
ParámetroDescripción
/helpo/?Muestralalistadeparámetros. /biospw:contraseña
/deactivate
/verbose
Ejemplo:
tpm_activate_cmd.exe/? tpm_activate_cmd.exe/verbose tpm_activate_cmd.exe/biospw:pass
Especicalacontraseñadelsupervisorodel administradordelBIOSsisehaestablecidoalguna.
DesactivaTPM. Nota:Siejecutaruntpm_activate_cmd.exesinel parámetro/deactivate,deformapredeterminada, activaráTPM.
Muestraunasalidadetexto.
Usodelarchivocss_manage_vista_tpm.exe(WindowsVistaoWindows7)
Elarchivocss_manage_vista_tpm.exeseusaparaactivarodesactivarTPMenlossistemasoperativos WindowsVistaoWindows7cuandoClientSecuritySolutionestáinstalado.
Nota:Necesitaprivilegiosdeadministradorparaejecutarestaherramienta.
css_manage_vista_tpm.exe[/verbose][/showinf o|/getstate|setstate:<state>]
donde
/verbosemuestralasalidadetexto.Elvalorpredeterminadoesunaoperaciónsilenciosa.
/showinf omuestrainformacióndeTPM,porejemplo,elproveedor,versióndermware,presenciafísicay
versióndeinterfaz.
/getstatemuestraelestadoTPMactual.TPMtienelossiguientestiposdeestado:
•Habilitado
•Deshabilitado
•Activado
•Desactivado
•Conpropiedad
•Sinpropiedad
42ClientSecuritySolution8.3Guíadedespliegue
/setstate:<state>estableceeltipodeestadodeTPMdesupreferencia.0representadeshabilitadoy desactivado.1representahabilitado.2representaactivado.4representaconpropiedad.Puedeusarla funciónparaañadir(esdecir,enelniveldebitsOR)paraestablecermúltiplesestadosválidos.
Porejemplo,
css_manage_vista_tpm.exe/verbose/setstate:0estableceelestadoTPMparadeshabilitarydesactivar.
css_manage_vista_tpm.exe/verbose/setstate:1estableceelestadoTPMparahabilitar.
css_manage_vista_tpm.exe/verbose/setstate:2estableceelestadoTPMparaactivar.
css_manage_vista_tpm.exe/verbose/setstate:3estableceelestadoTPMparahabilitaryactivar.
Nota:
•LostiposdeestadoTPMválidosincluyenlosiguiente: –Habilitado
–Deshabilitado –Activado –Desactivado –Habilitadoyactivado –Deshabilitadoydesactivado
•LastransicionesdeestadoTPMválidasincluyenlosiguiente: –Deshabilitado->Habilitado
–Deshabilitado->Habilitadoyactivado –Habilitado->Deshabilitado –Habilitado->Habilitadoyactivado –Habilitadoyactivado->Deshabilitado –Habilitadoyactivado->Deshabilitadoydesactivado

SoportedeActiveDirectory

ActiveDirectoryesunserviciodedirectorio.Eldirectorioesdondesealmacenalainformaciónsobrelos usuariosylosrecursos.Elserviciodedirectoriospermiteelacceso,deformaquesepuedemanipular estosrecursos.
ActiveDirectoryproporcionaunmecanismoqueotorgaalosadministradoreslacapacidaddegestionar sistemas,usuarios,dominios,políticasdeseguridadycualquiertipodeobjetosdenidosporelusuario. ElmecanismoutilizadoporActiveDirectorypararealizarestatareaseconocecomoDirectivadegrupo. ConlaDirectivadegrupo,losadministradoresdenenlosvaloresquepuedenaplicarsealossistemaso usuariosdeldominio.
LosproductosdeTecnologíaThinkVantageutilizanactualmenteunavariedaddemétodospararecopilar valoresutilizadosandecontrolarvaloresdelprograma,incluyendoleerentradasespecícasderegistro denidasporlaaplicación.
LosejemplossiguientessonvaloresqueActiveDirectorypuedegestionarparaClientSecuritySolution:
•Políticasdeseguridad.
Capítulo3.CómotrabajarconClientSecuritySolution43
•Políticasdeseguridadpersonalizadas;comoporejemplosidebeutilizarunacontraseñadeWindows ounafrasedepasodeClientSecuritySolution.

Archivosdeplantillaadministrativa(ADM)

ElarchivodeplantillasADM(administrativas)denelosvaloresdedirectivasutilizadosporlasaplicaciones enlossistemascliente.Lasdirectivassonvaloresespecícosquegobiernanelcomportamientodelas aplicaciones.Además,losvaloresdepolíticadenensisepermitiráalusuarioestablecervaloresespecícos enlaaplicación.
Losvaloresespecicadosporunadministradorenelservidorsedenencomodirectivas.Losvalores denidosporunusuarioenelsistemaclienteparaunaaplicaciónsedenencomopreferencias.Como deneMicrosoft,losvaloresdepolíticatienenprioridadsobrelaspreferencias.
Porejemplo,unusuariopuedeponerunaimagendefondoensuescritorio.Esteeselvalordepreferencia delusuario.Unadministradorpuededenirunvalorenelservidorquedictequeunusuariodebeutilizaruna imagendefondoespecíca.Elvalordelapolíticadeadministradormodicarálapreferenciaestablecidapor elusuario.
CuandounproductodeTecnologíaThinkVantagecompruebaunvalor,buscaráelvalorenelordensiguiente:
•Políticasdelsistema
•Políticasdelusuario
•Políticasdelusuariopredeterminadas
•Preferenciasdelsistema
•Preferenciasdelusuario
•Preferenciaspredeterminadasdelusuario
Comosedescribepreviamente,eladministradordenelasdirectivasdelusuarioydelsistema.Estosvalores sepuedeninicializarmedianteelarchivodeconguraciónXMLomedianteunaPolíticadegrupoenActive Directory.Laspreferenciasdelsistemaydelusuariolasestableceelusuarioenelsistemaclientemediante lasopcionesdelainterfazdelasaplicaciones.ElscriptdeconguraciónXMLinicializalaspreferencias predeterminadasdelusuario.Losusuariosnocambianlosvaloresdirectamente.Loscambiosrealizadosen estosvaloresporunusuarioseactualizaránenlaspreferenciasdelusuario.
LosclientesquenoutilicenActiveDirectorypuedencrearunconjuntopredeterminadodevaloresdepolítica paraquesedesplieguenenlossistemascliente.Losadministradorespuedenmodicarlosscriptsde conguraciónXMLyespecicarqueseprocesendurantelainstalacióndelproducto.
Denicióndevaloresgestionables
Elejemplosiguientemostrarálosvaloreseneleditordepolíticasdegrupoutilizandolasiguientejerarquía:
ComputerConguration>AdministrativeTemplates>ThinkVantageT echnologies> ClientSecuritySolution>AuthenticationPolicies>MaxRetries> Passwordnumberofretries
LosarchivosADMindicanenquélugardelregistrosereejaránlosvalores.Estosvaloresapareceránen lassiguientesubicacionesdelregistro:
Computerpolicies: HKLM\Software\Policies\Lenovo\ClientSecuritySolution\ Userpolicies: HKCU\Software\Policies\Lenovo\ClientSecuritySolution\ Def aultuserpolicies: HKLM\Software\Policies\Lenovo\ClientSecuritySolution\Userdef aults Computerpreferences: HKLM\Software\Lenovo\ClientSecuritySolution\
44ClientSecuritySolution8.3Guíadedespliegue
Userpreferences: HKCU\Software\Lenovo\ClientSecuritySolution\ Def aultuserpreferences: HKLM\Software\Lenovo\ClientSecuritySolution\Userdef aults

Valoresdelapolíticadegrupo

LastablasdeestasecciónproporcionanvaloresdepolíticaparalaConguracióndelsistemayla ConguracióndeusuarioparaClientSecuritySolution.
Númeromáximodereintentos
LatablasiguienteproporcionavaloresdepolíticaparalasPolíticasdeautenticación,Númeromáximode reintentos.
Tabla18.Conguracióndelsistema➙ThinkVantage➙ClientSecuritySolution➙Políticasdeautenticación Númeromáximodereintentos
PolíticaValorhabilitadoDescripción
Númerodereintentos decontraseña
Númerodereintentos defrasedepaso
Elnúmeromáximo dereintentoses20.
Elnúmeromáximo dereintentoses20.
Controlaelnúmeromáximodevecesqueunusuariopuedeutilizar lacontraseñadeWindowsparaautenticarseantesderecurrira modicartemporalmentelapolítica.
Controlaelnúmeromáximodevecesqueunusuariopuedeutilizarla frasedepasodeClientSecurityparaautenticarseantesderecurrira modicartemporalmentelapolítica.
Modalidadsegura
LatablasiguienteproporcionavaloresdepolíticaparalasPolíticasdeautenticación,Modalidadsegura.
Tabla19.Conguracióndelsistema➙Plantillasadministrativas➙ThinkVantage➙ClientSecuritySolutionPolíticasdeautenticación➙Modalidadsegura
PolíticaValoreshabilitadosDescripción ContraseñaEstablecelafrecuenciaenCadavezoUnavezpor
iniciodesesión.
Passphrase
Fingerprint
Alterar temporalmente
EstablecelafrecuenciaenCadavezoUnavezpor iniciodesesión.
EstablecelafrecuenciaenCadavezoUnavezpor iniciodesesión.
Establecequesealteretemporalmentela contraseña,frasedepasoohuelladactilar.
Controlasiesnecesariaunacontraseña.
Controlasiesnecesariaunafrasede paso.
Controlasiesnecesarialahuella dactilar.
Silaautenticaciónnormalfalla,dene losrequisitosdeautenticaciónalos que“recurrir”.
Modalidadpredeterminada
LatablasiguienteproporcionavaloresdepolíticaparalasPolíticasdeautenticación,Modalidad predeterminada.
Tabla20.Conguracióndelsistema➙Plantillasadministrativas➙ThinkVantage➙ClientSecuritySolution Políticasdeautenticación➙Modalidadpredeterminada
PolíticaValoreshabilitadosDescripción ContraseñaPuedeestablecerlafrecuenciaaCadavezoUna
vezporiniciodesesión.
Passphrase
PuedeestablecerlafrecuenciaaCadavezoUna vezporiniciodesesión.
Controlasiesnecesariaunacontraseña.
Controlasiesnecesariaunafrasede paso.
Capítulo3.CómotrabajarconClientSecuritySolution45
Tabla20.Conguracióndelsistema➙Plantillasadministrativas➙ThinkVantage➙ClientSecuritySolution Políticasdeautenticación➙Modalidadpredeterminada(continuación)
PolíticaValoreshabilitadosDescripción
Fingerprint
Alterar temporalmente
PuedeestablecerlafrecuenciaaCadavezoUna vezporiniciodesesión.
Establecequesealteretemporalmentela contraseña,frasedepasoohuelladactilar.
Controlasiesnecesarialahuella dactilar.
Silaautenticaciónnormalfalla,dene losrequisitosdeautenticaciónalos que“recurrir”.
Políticasdeautenticación
Lalistasiguientedepolíticascontienevaloreshabilitadosquedenenelniveldeautenticacióndecada política:
•NiveldeautenticacióndeiniciodesesióndeWindows
•Niveldeautenticacióndedesbloqueodelsistema
•NiveldeautenticacióndePasswordManager
•NiveldeautenticacióndermaCSP
•NiveldeautenticacióndecifradoCSP
•NiveldeautenticacióndermaPKCS#11
•NiveldeautenticacióndedescifradoPKCS#11
•NiveldeautenticacióndeiniciodesesióndePKCS#11
Latablasiguienteproporcionavaloresyparámetrosparalosnivelesdeautenticaciónanteriores:
Tabla21.Conguracióndelsistema➙Plantillasadministrativas➙ThinkVantage➙ClientSecuritySolution Políticasdeautenticación
PolíticaValoreshabilitadosDescripción ContraseñaEstablecelafrecuenciaenCadavezoUnavezpor
iniciodesesión.
Passphrase
Fingerprint
Alterar temporalmente
EstablecelafrecuenciaenCadavezoUnavezpor iniciodesesión.
EstablecelafrecuenciaenCadavezoUnavezpor iniciodesesión.
Establecequesealteretemporalmentela contraseña,frasedepasoohuelladactilar.
Controlasiesnecesariaunacontraseña.
Controlasiesnecesariaunafrasede paso.
Controlasiesnecesarialahuella dactilar.
Silaautenticaciónnormalfalla,dene losrequisitosdeautenticaciónalos que“recurrir”.
PasswordManager
LatablasiguienteproporcionavaloresdepolíticaparaPasswordManager.
Tabla22.Conguracióndelsistema➙ThinkVantage➙ClientSecuritySolution➙Passwordmanager
ValordepolíticaDescripción
InhabilitarPasswordManager InhabilitarsoportedeInternetExplorer
InhabilitarsoportedeMozilla
ControlasiPasswordManagerseiniciarácuandoseinicieelsistema. ControlasiPasswordManagerpodráalmacenarcontraseñasdesde
InternetExplorer. ControlasiPasswordManagerpodráalmacenarcontraseñasdesde
navegadoresbasadosenMozilla,incluyendoFirefoxyNetscape.
46ClientSecuritySolution8.3Guíadedespliegue
Tabla22.ConguracióndelsistemaThinkVantageClientSecuritySolutionPasswordmanager (continuación)
ValordepolíticaDescripción
Inhabilitarsoporteparaaplicacones Windows
InhabilitarCompletardeforma automática
Inhabilitarsoportedeteclasdecambio demodalidad
Utilizarltrodedominios Dominiosprohibidos
URLprohibidos
MódulosprohibidosControlalasaplicacionesdeWindowsparalasqueseprohíbeaPassword
Tecladecambiodemodalidad Completardeformaautomática
TecladecambiodemodalidadEscribir ytransferir
TecladecambiodemodalidadGestionarControlalatecladecambiodemodalidadCtrl+Mayús+B.
ControlasiPasswordManagerpodráalmacenarcontraseñasde aplicacionesdeWindows.
ControlasiPasswordManagercompletarádeformaautomáticadatosen lossitioswebylasaplicacionesdeWindows.
ControlasiPasswordManagerdarásoportealautilizacióndeteclasde cambiodemodalidadparacompletardeformaautomáticadatosensitios webyaplicacionesdeWindows.
ControlasiPasswordManagerltrarásitioswebenbasealosdominios. ControlalosdominiosparalosqueseprohíbeaPasswordManager
almacenarcontraseñas. ControlalosURLparalosqueseprohíbeaPasswordManageralmacenar
contraseñas.
Manageralmacenarcontraseñas. ControlalatecladecambiodemodalidaddeCompletardeforma
automáticaCtrl+F2. ControlalatecladecambiodemodalidadEscribirytransferir
Ctrl+Mayús+H.
UserInterface
Latablasiguienteproporcionavaloresdepolíticaparalainterfazdeusuario.
Tabla23.Conguracióndelsistema➙ThinkVantage➙ClientSecuritySolution➙Interfazdeusuario
ValordepolíticaDescripción
OpciónSoftwaredehuellasdactilaresMuestra,muestracomonoseleccionableuocultalaopciónSoftware
dehuellasdactilaresenlaaplicaciónClientSecuritySolution.Valor predeterminado:Mostrar.
OpciónCifradodearchivosMuestra,muestracomonoseleccionableuocultalaopciónCifradode
archivosenlaaplicaciónClientSecuritySolution.Valorpredeterminado: Mostrar.
OpciónAuditoríadevaloresde seguridad
OpciónTransferenciadecerticados digitales
OpciónCambiarestadodelchipde seguridad
OpciónBorrarbloqueodechipde seguridad
OpciónGestordepolíticasMuestra,muestracomonoseleccionableuocultalaopciónGestorde
Muestra,muestracomonoseleccionableuocultalaopciónAuditoría devaloresdeseguridadenlaaplicaciónClientSecuritySolution.Valor predeterminado:Mostrar.
Muestra,muestracomonoseleccionableuocultalaopciónTransferencia decerticadosdigitalesenlaaplicaciónClientSecuritySolution.Valor predeterminado:Mostrar.
Muestra,muestracomonoseleccionableuocultalaopciónEstado delchipdeseguridadenlaaplicaciónClientSecuritySolution.Valor predeterminado:Mostrar.
Muestra,muestracomonoseleccionableuocultalaopciónBorrarbloqueo dechipdeseguridadenlaaplicaciónClientSecuritySolution.Valor predeterminado:Mostrar.
políticasenlaaplicaciónClientSecuritySolution.Valorpredeterminado: Mostrar.
Capítulo3.CómotrabajarconClientSecuritySolution47
Tabla23.Conguracióndelsistema➙ThinkVantage➙ClientSecuritySolution➙Interfazdeusuario(continuación)
ValordepolíticaDescripción
OpciónRestaurar/CongurarvaloresMuestra,muestracomonoseleccionableuocultalaopciónAsistente
deconguraciónenlaaplicaciónClientSecuritySolution.Valor predeterminado:Mostrar
OpciónPasswordManagerMuestra,muestracomonoseleccionableuocultalaopciónPassword
ManagerenlaaplicaciónClientSecuritySolution.Valorpredeterminado: Mostrar.
OpciónRestablecercontraseñade hardware
OpciónRecuperacióndecontraseñade Windows
OpciónCambiarmodalidadde autenticación
OpciónHabilitar/inhabilitar Recuperacióndecontraseñade Windows
OpciónHabilitar/inhabilitarPassword Manager
Muestra,muestracomonoseleccionableuocultalaopciónRestablecer contraseñadehardwareenlaaplicaciónClientSecuritySolution.Valor predeterminado:Mostrar.
Muestra,muestracomonoseleccionableuocultalaopciónRecuperación decontraseñadeWindowsenlaaplicaciónClientSecuritySolution.Valor predeterminado:Mostrar.
Muestra,muestracomonoseleccionableuocultalaopciónCambiar modalidaddeautenticaciónenlaaplicaciónClientSecuritySolution.Valor predeterminado:Mostrar
Muestra,muestracomonoseleccionableuocultalaopciónparahabilitar oinhabilitarlarecuperacióndecontraseñadeWindowsenlaaplicación ClientSecuritySolution.Valorpredeterminado:Mostrar
Muestra,muestracomonoseleccionableuocultalaopciónparahabilitar oinhabilitarPasswordManagerenlaaplicaciónClientSecuritySolution. Valorpredeterminado:Mostrar
Herramientadeseguridaddelaestacióndetrabajo
Latablasiguienteproporcionavaloresdepolíticaparalaherramientadeseguridaddelaestacióndetrabajo.
Tabla24.Conguracióndelsistema➙ThinkVantage➙ClientSecuritySolution➙Herramientadeseguridad delaestacióndetrabajo
PolíticaValorDescripción
Contraseñasde hardware
Contraseñasde hardware
Contraseñasde hardware
Contraseñasde hardware
Contraseñasdeusuarios deWindows
Contraseñasdeusuarios deWindows
Contraseñasdeusuarios deWindows
Contraseñasdeusuarios deWindows
Políticadecontraseñade Windows
ContraseñasdehardwareHabilitaoinhabilitalavisualizacióndelainformaciónde
contraseñasdehardware.
ContraseñadeencendidoSeleccioneelvalorrecomendadocomohabilitaro
inhabilitaroseleccionequeseignoreestevalor.
ContraseñadediscoduroSeleccioneelvalorrecomendadocomohabilitaro
inhabilitaroseleccionequeseignoreestevalor.
ContraseñadeadministradorSeleccioneelvalorrecomendadocomohabilitaro
inhabilitaroseleccionequeseignoreestevalor.
Contraseñasdeusuariosde Windows
ContraseñaSeleccioneelvalorrecomendadocomohabilitaro
Antigüedaddecontraseña
LacontraseñanuncacaducaElvalorrecomendadosepuedeestablecerenTrue,False
Políticadecontraseñade Windows
Habilitaoinhabilitalavisualizacióndelainformaciónde contraseñadeusuariosdeWindows.
inhabilitaroseleccionequeseignoreestevalor. Númeromáximodedíasquesepermitequeexistala
contraseña.
oIgnore.
Habilitaoinhabilitalavisualizacióndelainformaciónde políticadecontraseñadeWindows.
48ClientSecuritySolution8.3Guíadedespliegue
Tabla24.Conguracióndelsistema➙ThinkVantage➙ClientSecuritySolution➙Herramientadeseguridad delaestacióndetrabajo(continuación)
PolíticaValorDescripción
Políticadecontraseñade Windows
Políticadecontraseñade Windows
ProtectordepantallaProtectordepantalla
Númeromínimode caracteresenlacontraseña
Antigüedadmáximade contraseña
Númeromínimodecaracteresquepuedetenerla contraseña,o'Ignore'estevalor.
Valordeantigüedadmáximadecontraseña-númerode díaso'Ignore'estevalorenlosresultados.
Habilitaoinhabilitalavisualizacióndelainformaciónde políticadecontraseñadeWindows.
Protectordepantalla
ProtectordepantallaTiempodeesperadel
Compartimientode archivos
Compartimientode archivos
Contraseñadeprotectorde pantallaestablecida
Númeromínimodecaracteresquepuedetenerla contraseña,o'Ignore'estevalor.
Valordeantigüedadmáximadecontraseña-númerode
protectordepantalla
díaso'Ignore'estevalorenlosresultados.
CompartimientodearchivosHabilitaoinhabilitalavisualizacióndelainformaciónde
compartimientodearchivos.
Accesoautorizado
ElvalorrecomendadosepuedeestablecerenTrue,F alse oIgnore.
ClientSecurityClientSecurityHabilitaoinhabilitalavisualizacióndelainformaciónde
ClientSecurity.
ClientSecurityChipdeseguridad
incorporado
ClientSecurityClientSecuritySolution
Versión
Seleccioneelvalorrecomendadocomohabilitaro inhabilitaroestablezcaqueseignoreestevalor.
EstablezcaelvalormínimorecomendadodeClientSecurity SolutionoestablézcaloenIgnore.
Capítulo3.CómotrabajarconClientSecuritySolution49
50ClientSecuritySolution8.3Guíadedespliegue

Capítulo4.CómotrabajarconelSoftwaredehuellasdactilares deThinkVantage

LaconsoladehuellasdactilaressedebeejecutardesdelacarpetadeinstalacióndelSoftwaredehuellas dactilaresdeThinkVantage.LasintaxisbásicaesFPRCONSOLE[USER|SETTINGS].ElmandatoUSERo SETTINGSespecicaquéconjuntodelaoperaciónseutilizará.Elmandatocompletoserá“fprconsoleuser addTestUser”.Cuandonoseconoceelmandatoonoseespecicantodoslosparámetros,semostraráuna cortalistademandatosjuntoconlosparámetros.
ThinkVantageFingerprintSoftware,lasinstruccionesdeinstalación,laconsoladegestiónytodala documentaciónrelacionadaseencuentrandisponiblesenelsiguientesitioweb: http://www.lenovo.com/support

HerramientaConsoladegestión

Enestasecciónseproporcionainformaciónacercadelosmandatosespecícosdelusuarioydelos mandatosdevaloresglobales.
Mandatosespecícosdelusuario
Pararegistraroeditarusuarios,seutilizalasecciónUSER.Cuandoelusuarioactualnotienederechosde administrador,elcomportamientodelaconsoladependedelamodalidaddeseguridaddelSoftwarede huellasdactilares.Modalidadsegura:nosepermiteningúnmandato.Modalidadcómoda:paraelusuario estándarsonposibleslosmandatosADD,EDITyDELETE.Sinembargo,elusuariopuedemodicarsólosu propiopasaporte(registradoconsunombredeusuario).Lasintaxiseslasiguiente:
FPRCONSOLEUSERcommand
dondecomandoesunodelossiguientesmandatos:ADD,EDIT,DELETE,LIST,IMPORT,EXPORT.
Tabla25.Mandatosespecícosdelusuario
MandatoSintaxisDescripción
Registrarnuevousuario
Example:
fprconsoleuseradd domain0\testuser
fprconsoleuseradd testuser
Editarusuarioregistrado
Example:
fprconsoleuseredit domain0\testuser
fprconsoleuseredit testuser
ADD[username[|domain\ username]]
EDIT[username[|domain\ username]]
Sinoseespecicaelnombrede usuario,seutilizaráelnombrede usuarioactual.
Sinoseespecicaelnombrede usuario,seutilizaráelnombrede usuarioactual. Nota:Elusuarioregistradodebe vericarprimerosuhuelladactilar.
©CopyrightLenovo2008,2011
51
Tabla25.Mandatosespecícosdelusuario(continuación)
MandatoSintaxisDescripción
Suprimirunusuario
Example:
fprconsoleuserdelete domain0\testuser
fprconsoleuserdelete testuser
fprconsoleuserdelete /ALL
EnumerarusuariosregistradosL istListalosusuariosregistrados. Exportarusuarioregistradoa
unarchivo
Importarusuarioregistrado
DELETE[username[|domain\ username|/ALL]]
Syntax:EXPORTusername [|domain\username]le
Syntax:IMPORTleElmandatoimportaráelusuariodesde
Eldistintivo/ALLborrarátodoslos usuariosregistradosenestesistema. Sinoseespecicaelnombrede usuario,seutilizaráelnombrede usuarioactual.
Estemandatoexportaráunusuario registradoaunarchivodelaunidad dediscoduro.Acontinuación,el usuariosepuedeimportarutilizando elmandatoIMPORTenotrosistemao enelmismosistema,sisesuprimeel usuario.
elarchivoespecicado. Nota:Sielusuarioenelarchivo yaestáregistradoenelmismo sistemautilizandolasmismashuellas dactilares,nosegarantizaquéusuario tendráprecedenciaenlaoperaciónde identicación.

Mandatosdevaloresglobales

LosvaloresglobalesdelSoftwaredehuellasdactilaressepuedencambiarmediantelasecciónSETTINGS. Todoslosmandatosenestasecciónnecesitanderechosdeadministrador.Lasintaxises:
FPRCONSOLESETTINGScommand
dondemandatoesunodelossiguientesmandatos:SECUREMODE,LOGON,CAD,TBX,SSO.
Tabla26.Mandatosdevaloresglobales
MandatoSintaxisDescripción
Modalidaddeseguridad
Example:
Tosettoconvenientmode: fprconsolesettings securemode0
Tipodeiniciodesesión
MensajeCTRL+AL T+SUPR
SECUREMODE0|1
LOGON0|1[/FUS]
CAD0|1
Estevalorconmutaentrelasmodalidades CómodaySeguradelSoftwaredehuellas dactilares.
Estevalorhabilita(1)oinhabilita(0)la aplicacióndeiniciodesesión.Siseutiliza elparámetro/FUS,eliniciodesesiónestá habilitadoenlamodalidaddeConmutación rápidadeusuario,silaconguracióndel sistemalopermite.
Estevalorhabilita(1)odeshabilita(0)el texto“PressCtrl+Alt+Delete”eneliniciode sesión.
52ClientSecuritySolution8.3Guíadedespliegue
Tabla26.Mandatosdevaloresglobales(continuación)
MandatoSintaxisDescripción
Seguridaddeencendido
Firmaúnicadeseguridadde encendido
TBX0|1
SSO0|1
Estevalordesactivaglobalmente(0)el soportedelaseguridaddeencendidoen elsoftwaredehuellasdactilares.Cuando elsoportedeseguridaddeencendido estádesactivado,nosemuestraningún asistentenipáginasdeseguridadde encendido,ynoimportacuálessonlos valoresdelBIOS.
Estevalorhabilita(1)oinhabilita(0)eluso delashuellasdactilaresutilizadoenel BIOSeneliniciodesesiónpararealizar automáticamenteeliniciodesesióndel usuariocuandosehavericadoelusuario enelBIOS.

Modalidadseguraymodalidadcómoda

ElSoftwaredehuellasdactilaressepuedeejecutarendosmodalidadesdeseguridad,unamodalidad segurayunamodalidadcómoda.Lamodalidadseguraestádestinadaparalassituacionesenlasquedesee conseguirmayorseguridad.Lasfuncionesespecialesestánreservadassolamentealosadministradores. Sóloellospuedeniniciarsesiónutilizandocontraseñassinautenticaciónadicional.
LamodalidadcómodaestádestinadaaPCdomésticosdondenoseatanimportanteunniveldeseguridad alto.Todoslosusuariospuedenrealizartodaslasoperaciones,incluidaslaedicióndepasaportesde otrosusuariosylaposibilidaddeiniciarsesiónenelsistemautilizandocontraseña(sinlaautenticación dehuellasdactilares).
UnAdministradorescualquiermiembrodelgrupodeadministradores.Despuésdeestablecerlamodalidad segura,sóloeladministradorpuedeconmutardenuevoalamodalidadcómoda.

Modalidadsegura-administrador

Paramejorarlaseguridad,siseespecicaelnombredeusuarioocontraseñaincorrectoseneliniciode sesión,lamodalidadseguravisualizaelsiguientemensaje:“Sólolosadministradorespuedeniniciarsesión enestesistemaconnombredeusuarioycontraseña.”
Tabla27.Opcionesparaadministradoresenlamodalidadsegura
HuellasdactilaresDescripción
Crearunnuevopasaporte
Editarpasaportes
Suprimirpasaporte
Losadministradorespuedencrearsupropiopasaporte ytambiénpuedencrearelpasaportedeunusuariocon limitaciones.
Losadministradorespuedeneditarsólosupropio pasaporte.
Losadministradorespuedensuprimirtodoslos pasaportesdeusuariosconlimitacionesyotros pasaportesdeadministrador.Siotrosusuariosestán utilizandolaseguridaddeencendido,eladministrador tendrálaopciónenestemomentodeeliminarlas plantillasdeusuariodelaseguridaddeencendido.
Capítulo4.CómotrabajarconelSoftwaredehuellasdactilaresdeThinkVantage53
Tabla27.Opcionesparaadministradoresenlamodalidadsegura(continuación)
HuellasdactilaresDescripción
Seguridaddeencendido
Settings
Valoresdeiniciodesesión
ProtectordepantallaprotegidoLosadministradorespuedenacceder. Tipodepasaporte
ModalidaddeseguridadLosadministradorespuedenconmutarentrelamodalidad
ServidoresProLosadministradorespuedenacceder-sóloimportante
Losadministradorespuedensuprimirlashuellas dactilaresdelusuarioconlimitacionesydeladministrador utilizadasenelencendido. Nota:Debehabercomomínimounahuelladactilar presentecuandolamodalidaddeencendidoestá habilitada.
Losadministradorespuedenrealizarcambiosentodos losvaloresdeiniciodesesión.
Losadministradorespuedenacceder-sóloimportante conelservidor.
seguraylamodalidadcómoda.
conelservidor.

Modalidadsegura-usuarioconlimitaciones

DuranteuniniciodesesióndeWindows,unusuarioconlimitacionesdebeutilizarunahuelladactilarpara iniciarlasesión.Siellectordehuellasdactilaresdelusuarioconlimitacionesnofunciona,seránecesario queunadministradorcambieelvalordelsoftwaredehuellasdactilaresalamodalidadcómodaparahabilitar elaccesomediantenombredeusuarioycontraseña.
Tabla28.Opcionesparausuariosconlimitacionesenlamodalidadsegura
ValorDescripción
Crearunnuevopasaporte Editarpasaportes
SuprimirpasaporteElusuarioconlimitacionespuedesuprimirsólosupropio
Seguridaddeencendido Valoresdeiniciodesesión
ProtectordepantallaprotegidoElusuarioconlimitacionespuedeacceder. TipodepasaporteElusuarioconlimitacionesnopuedeacceder. Modalidaddeseguridad
ServidoresProElusuarioconlimitacionespuedeacceder-sólo
Elusuarioconlimitacionesnopuedeacceder.
Elusuarioconlimitacionespuedeeditarsólosupropio pasaporte.
pasaporte. Elusuarioconlimitacionesnopuedeacceder.
Elusuarioconlimitacionesnopuedemodicarsus valoresdeiniciodesesión.
Elusuarioconlimitacionesnopuedemodicarlas modalidadesdeseguridad.
importanteconelservidor.

Modalidadcómoda-administrador

DuranteuniniciodesesióndeWindows,losadministradorespuedeniniciarlasesiónutilizandosupropio nombredeusuarioycontraseñaosushuellasdactilares.
54ClientSecuritySolution8.3Guíadedespliegue
Tabla29.Opcionesparaadministradoresenlamodalidadcómoda
ValoresDescripción
CrearunnuevopasaporteLosadministradorespuedencrearsólosupropio
pasaporte.
Editarpasaportes
SuprimirpasaporteLosadministradorespuedensuprimirsólosupropio
Seguridaddeencendido
Valoresdeiniciodesesión
ProtectordepantallaprotegidoLosadministradorespuedenacceder. Tipodepasaporte
ModalidaddeseguridadLosadministradorespuedenconmutarentrelamodalidad
ServidoresProLosadministradorespuedenacceder-sóloimportante
Losadministradorespuedeneditarsólosupropio pasaporte.
pasaporte. Losadministradorespuedensuprimirlashuellas
dactilaresdelusuarioconlimitacionesydeladministrador utilizadasenelencendido. Nota:Debehabercomomínimounahuelladactilar presentecuandolamodalidaddeencendidoestá habilitada.
Losadministradorespuedenrealizarcambiosentodos losvaloresdeiniciodesesión.
Losadministradorespuedenacceder-sóloimportante conelservidor.
seguraylamodalidadcómoda.
conelservidor.

Modalidadcómoda-usuarioconlimitaciones

DuranteuniniciodesesióndeWindows,losusuariosconlimitacionespuedeniniciarlasesiónutilizandosu propionombredeusuarioosushuellasdactilares.
Tabla30.Opcionesparausuariosconlimitacionesenlamodalidadcómoda
ValoresDescripción
CrearunnuevopasaporteLosusuariosconlimitacionespuedencrearsólosupropio
pasaporte.
Editarpasaportes
SuprimirpasaporteLosusuariosconlimitacionespuedensuprimirsólosu
SeguridaddeencendidoLosusuariosconlimitacionespuedensuprimirsólosus
Valoresdeiniciodesesión
ProtectordepantallaprotegidoLosusuariosconlimitacionespuedenacceder. Tipodepasaporte
Modalidaddeseguridad
ServidoresProLosusuariosconlimitacionespuedenacceder-sólo
Losusuariosconlimitacionespuedeneditarsólosu propiopasaporte.
propiopasaporte.
propiashuellasdactilares. Losusuariosconlimitacionesnopuedenmodicarlos
valoresdeiniciodesesión.
Losusuariosconlimitacionesnopuedenacceder-sólo relevanteconelservidor.
Losusuarioslimitadosnopuedenmodicarlas modalidadesdeseguridad.
importanteconelservidor.
Capítulo4.CómotrabajarconelSoftwaredehuellasdactilaresdeThinkVantage55
Valorescongurables
Sepuedenconguraralgunasopcionesdelsoftwaredehuellasdactilaresmediantelosvaloresdelregistro.
Interfazdelsoftwaredeprearranque/encendido:elmecanismoparahabilitarelsoportede prearranqueoencendidomediantehuellasdactilaresyparaalmacenarlashuellasdactilaresenelchip queloacompañanosevisualizanormalmenteenelsoftwaredehuellasdactilares,amenosquehaya establecidasenelsistemacontraseñasdeBIOSodediscoduro.Andealterarestecomportamientoy deforzarelhechodequeestasopcionessemuestrensinlaexistenciadecontraseñasdeBIOSode discoduro,añadaalregistrounadelasopcionessiguientes,laquecorrespondaaltipodemáquina quedispone:
[HKEY_LOCAL_MACHINE\SOFTWARE\ProtectorSuiteQL\1.0]
REG_DWORD"BiosF eatures"=2
o
[HKEY_LOCAL_MACHINE\SOFTWARE\ProtectorSuiteQL\1.0]
REG_DWORD"BiosF eatures"=4
EstevaloresútilcuandoSafeGuardEasyestáinstaladoenunsistemasincontraseñasdeBIOSyestá utilizandoautenticacióndehuellasdactilaresparadescifrareldiscoduro.
Sonidos:sepuedecongurarelsoftwaredehuellasdactilaresparareproducirunsonidocontenidoenun archivo.wavendistintascircunstanciasduranteelprocesodeautenticacióndehuellasdactilares.Los valoresdelregistroparaestossonidossonlossiguientes:
[HKEY_LOCAL_MACHINE\SOFTWARE\ProtectorSuiteQL\1.0\settings]
‘Success ’ REG_SZ“sndSuccess”=[pathtosoundle] Theledesignatedwillplaywheneverasuccessfulswipeisregistered.
‘Failure’ REG_SZ“sndF ailure”=[pathtosoundle] Theledesignatedwillplaywheneveranunsuccessf ulswipeisattempted.
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\ngerprint
‘Scan’ REG_SZ“sndScan”=[pathtosoundle] Theledesignatedwillplaywheneverthengerprintverication
dialogisdisplayedforClientSecuritySolution-relatedoperations.
Ifthevalueisnotpresentorisemptythennosoundisplayed.
Quality’ REG_SZ“sndQuality”=[pathtosoundle] Theledesignatedwillplaywheneveranunreadableswipehasoccurred. Ifthevalueisnotpresentorisemptythennosoundisplayed.
Validacióndelacontraseñaduranteundesbloqueodelsistema:deformapredeterminada,el softwaredehuellasdactilaresvalidalacontraseñaalmacenadaduranteeldesbloqueodelsistema.La validaciónrequierequeseestablezcauncontactoconelcontroladordeldominioypuedegenerarun retardo.Paraevitarlo,inhabilitelavalidacióndelacontraseñaduranteeldesbloqueodelsistemay editandoelregistrotalcomoseindicaacontinuación:
[HKEY_LOCAL_MACHINE\SOFTWARE\ProtectorSuiteQL\1.0\settings] REG_DWORD"DoNotTestUnlock"=1
Elsoftwaredehuellasdactilarescontinuarávalidandolacontraseñaduranteeliniciodesesióndelsistema.
56ClientSecuritySolution8.3Guíadedespliegue
Nota:Cuandolaclavederegistroanteriorsehayaestablecidoen1,sieladministradordedominiocambia
deusuariocuandoelsistemadelusuarioestábloqueado,elsoftwaredehuellasdactilaresconservará almacenadalacontraseñaantiguohastaqueelusuariosalgadelasesióneinicieotradenuevo.

SoftwaredehuellasdactilaresyNovellNetwareClient

Paraevitarconictos,losnombresdeusuarioylascontraseñasdelSoftwaredehuellasdactilaresyNovell NetwareClientdebencoincidir.SitieneinstaladoelSoftwaredehuellasdactilaresenelsistemay,a continuación,instalaNovellNetwareClient,esposiblequealgunoselementosdelregistrosesobregraben. SiseencuentraconproblemasaliniciarlasesióndelSoftwaredehuellasdactilares,vayaalapantalladelos valoresdeiniciodesesiónyvuelvaahabilitarelProtectordeiniciodesesión.
SitieneinstaladoenelsistemaNovellNetwareClientperonohainiciadosesiónenelcliente,antesde instalarelSoftwaredehuellasdactilares,aparecerálapantalladeIniciodesesióndeNovell.Proporcione lainformaciónsolicitadaenlapantalla.
Nota:LainformacióndeestasecciónessolamenteparaelSoftwaredehuellasdactilaresdeThinkVantage.
ParacambiarlosvaloresdelProtectordeiniciodesesión:
•InicieelCentrodecontrol.
•PulseValores.
•PulseValoresdeiniciodesesión.
•HabiliteoinhabiliteelProtectordeiniciodesesión. Sideseautilizareliniciodesesióndehuellasdactilares,marqueelrecuadrodeselecciónSustituirinicio desesióndeWindowsporeliniciodesesiónprotegidomediantehuellasdactilares.
Nota:Habilitaroinhabilitarelprotectordeiniciodesesiónrequiereunrearranque.
•Habiliteoinhabilitelaconmutaciónrápidadeusuario,cuandoelsistemalopermita.
•(Funciónopcional)Habiliteoinhabiliteeliniciodesesiónautomáticoparaunusuarioautenticado mediantelaseguridaddearranquedeencendido.
•EstablezcalosvaloresdeiniciodesesióndeNovell.Losvaloressiguientesestándisponiblesaliniciar sesiónenunaredNovell:
Activado
ElSoftwaredehuellasdactilaresproporcionaautomáticamentecredencialesconocidas.Sielinicio desesióndeNovellfalla,lapantalladeiniciodesesióndeNovellClientsevisualizarájuntoconun indicadordesolicitudparaespecicarlosdatoscorrectos.
Preguntarduranteeliniciodesesión
ElSoftwaredehuellasdactilaresvisualizalapantalladeiniciodesesióndeNovellClientyunindicador desolicitudparaespecicarlosdatosdeiniciodesesión.
Deshabilitado
ElSoftwaredehuellasdactilaresnointentauniniciodesesióndeNovell.

Autenticando

CompletelospasossiguientesparapasarNovellalSoftwaredehuellasdactilares:
1.InstaleelSoftwaredehuellasdactilares.
2.InstaleNovellNetwareClient.
3.Cuandoselesolicite,pulseSíparainiciarlasesión.
4.Rearranque.
Capítulo4.CómotrabajarconelSoftwaredehuellasdactilaresdeThinkVantage57
5.Cuandoselesolicite,pulseSíparainiciarlasesiónenelSoftwaredehuellasdactilares.
6.InicieNovellNetwareClient.
7.Autentifíqueseenelservidor.
8.InicielasesiónenWindows.
9.Rearranque.
Nota:ElIDdeautenticaciónylacontraseñaparaWindowsyNovelldebenseridénticos.

ServiciodelSoftwaredehuellasdactilaresdeThinkVantage

Seañadeelservicioupeksvr.exealsistematrasinstalarelsoftwaredehuellasdactilaresdeThinkVantage. Secomienzaaejecutardesdeelarranquedelsistemaypermaneceenejecuciónmientraselusuarioesté conectado.Elservicioupeksvr.exeeselnúcleodeThinkVantageFingerprintSoftwareyejecutatodaslas operacionescondispositivosydatosdeusuario.TambiénmuestratodalaGUIdevericaciónbiométricay proporcionaaccesoseguroalosdatosdelusuario.
58ClientSecuritySolution8.3Guíadedespliegue

Capítulo5.CómotrabajarconelSoftwaredehuellasdactilares deLenovo

LaconsoladehuellasdactilaressedebeejecutardesdelacarpetadeinstalacióndelSoftwaredehuellas dactilaresdeLenovo.LasintaxisbásicaesFPRCONSOLE[USER|SETTINGS].ElmandatoUSERo SETTINGSespecicaquéconjuntodelaoperaciónseutilizará.Elmandatocompletoes“fprconsoleuser addTestUser”.Cuandonoseconoceelmandatoonoseespecicantodoslosparámetros,semostraráuna cortalistademandatosjuntoconlosparámetros.
LenovoFingerprintSoftware,lasinstruccionesdeinstalación,laconsoladegestiónytodaladocumentación relacionadaseencuentrandisponiblesenelsitiowebdeLenovoen: http://www.lenovo.com/support

HerramientaConsoladegestión

ParaobtenerinformaciónacercadelaherramientaConsoladegestióndelSoftwaredehuellasdactilaresde Lenovo,consulte“HerramientaConsoladegestión”enlapágina51.

ServiciodelSoftwaredehuellasdactilaresdeLenovo

Nota:ElSoftwaredehuellasdactilaresdeLenovorequiereunserviciodeterminalenelsistema.Si
desactivaelserviciodeterminal,puedequeseproduzcanalgunosresultadosinesperadosenelSoftwarede huellasdactilaresdeLenovo.
SeañadenlossiguientesserviciosalsistematrasinstalarelSoftwaredehuellasdactilaresdeLenovo:
•ATService.exe(activadodeformapredeterminada) DebeactivarelservicioATService.exeparautilizarelsistemadehuellasdactilares.Esteserviciogestiona solicitudesprocedentesdeaplicacionesqueutilizanelsensordehuellasdactilares.
•DataTransferService(activadodeformapredeterminada) CuandoelservicioDataTransferServiceoATService.exenoterminedeformanormal,elSoftwarede huellasdactilaresdeLenovonofuncionarásegúnloprevisto.
•ADMonitor.exe(desactivadodeformapredeterminada) DebeactivarelservicioADMonitor.exeparadarsoporteaActiveDirectoryAdministration.Esteservicio supervisaloscambiosenelregistroquesepropaganensentidodescendentedesdeActiveDirectoryy reejaloscambioslocalmente.

SoportedeActiveDirectoryparaelSoftwaredehuellasdactilaresde Lenovo

EnlatablasiguientesemuestranlosvaloresdepolíticaparaelSoftwaredehuellasdactilaresdeLenovo.
©CopyrightLenovo2008,2011
59
Tabla31.Valoresdepolítica
ValorDescripción
Habilitar/InhabilitareliniciodesesióndehuellasdactilaresEspecicalautilizacióndehuellasdactilaresenlugar
decontraseñasdeWindowsparainiciarlasesiónenel sistema.Sihabilitaestevalor,podráhabilitaroinhabilitar dosopcionesmás:
Inhabilitarelcuadrodediálogo
CONTROL+ALT+SUPRparalainterfazdeiniciode sesión
Siseleccionaestaopción,sedesactivaráelmensaje quedirigealusuarioapulsarCONTROL+AL T+SUPR parainiciarlasesión.(SólodisponibleenWindowsXP).
Serequiereunusuarioquenoseaadministrador
parainiciarlasesiónconautenticacióndehuella dactilar
Siseleccionaestaopción,losusuariosquenosean administradoressolamentepodrániniciarlasesión utilizandohuellasdactilares.
Permitirqueelusuariorecuperalacontraseñamediante laautenticacióndehuelladactilar
Mostrarsiemprelasopcionesdeseguridaddeencendido
Utilizarlaautenticacióndehuelladactilarenlugardelas contraseñasdeencendidoydelaunidaddediscoduro
Establecerlacantidaddeintentosfallidosantesdel bloqueo
Establecereltiempodeesperadeinactividad
Permitirquelosusuariosregistrenhuellasdactilares
Permitirquelosusuariossuprimanhuellasdactilares
Permitirquelosusuariosimporten/exportenhuellas dactilares
Mostrar/Ocultarelementosaldenirelseparadordel softwaredehuellasdactilares
Sihabilitaestevalor,losusuariospodráverlacontraseña deWindowsdesuscuentasenelSoftwaredehuellas dactilaresdeLenovodespuésdelaautenticaciónde huelladactilar.
Sihabilitaestevalor,losusuariospodránseleccionarsi deseanutilizarellectordehuellasdactilaresenlugarde lascontraseñasdeencendidoydelaunidaddedisco durocuandoseenciendaelsistema.Enlaventanade registrodelSoftwaredehuellasdactilaresdeLenovo,se puedehabilitaroinhabilitarlaautenticacióndehuella dactilardeencendidoparacadadedoquesehaya registrado.
Sihabilitaestevalor,seutilizarlaautenticacióndehuella dactilarenlugardelascontraseñasdeencendidoyde unidaddediscoduro.
Establecelacantidaddeintentosfallidosaceptadosal iniciarlasesiónantesdebloquearalusuario,asícomo laduración(ensegundos)queelusuariopermanecerá bloqueado.
Estableceladuracióndeinactividaddelsistema(en segundos)permitidaantesqueseconcluyalasesión delusuario.
Sihabilitaestevalor,losusuariosquenosean administradorespodránregistrarhuellasdactilares utilizandoelSoftwaredehuellasdactilaresdeLenovo.
Sihabilitaestevalor,losusuariosquenosean administradorespodránsuprimirhuellasdactilares utilizandoelSoftwaredehuellasdactilaresdeLenovo.
Sihabilitaestevalor,losusuariosquenosean administradorespodránimportaryexportarhuellas dactilaresutilizandoelSoftwaredehuellasdactilaresde Lenovo.
Sihabilitaestevalor,losadministradoresdeTIpodrán controlarlaGUIdedenicióndelsoftwaredehuellas dactilares.
60ClientSecuritySolution8.3Guíadedespliegue

Capítulo6.Prácticasrecomendadas

EnestecapítulosepresentanvarioscasosdeejemploparamostrarlasprácticasrecomendadasdeClient SecuritySolutionyFingerprintSoftware.Estecasodeejemploseiniciaconlaconguracióndelaunidad dediscoduro,continúaconvariasactualizacionesysigueelciclovitaldeundespliegue.Sedescribela instalacióntantoensistemasLenovocomoensistemasnoLenovo.

EjemplosdedespliegueparainstalarClientSecuritySolution

LasecciónsiguienteproporcionaejemplosdeinstalacióndeClientSecuritySolutiontantoensistemasde sobremesacomoensistemasportátiles.

Casodeejemplo1

Acontinuaciónsemuestraunejemplodeunainstalaciónenunsistemadesobremesautilizandoestos requisitoshipotéticosdelcliente:
Administración Utilizarlacuentadeladministradorlocalparalaadministracióndelsistema.
ClientSecuritySolution –InstalaryejecutarenModalidaddeemulación.
NotodoslossistemasLenovotienenunMódulodeplataformasegura(chipdeseguridad).
–HabilitarlafrasedepasodeClientSecurity.
ProtegerlasaplicacionesdeClientSecuritySolutionconunafrasedepaso.
–HabilitareliniciodesesióndeWindowsdeClientSecurity.
IniciarsesiónenWindowsconlafrasedepasodeClientSecurity.
–HabilitarlafuncióndeRecuperacióndefrasedepasodeusuarional.
Permitiralosusuariosrecuperarsusfrasesdepasorespondiendoatrespreguntasdenidaspor elusuario.
–CifrarelscriptXMLdeClientSecuritySolutionconcontraseña,porejemplo,XMLscriptPW.
ProtegerelarchivodeconguracióndeClientSecuritySolutionconcontraseña.
–ElSoftwaredehuellasdactilarespuedeonoestarinstalado.
Enlamáquinadepreparación:
1.IniciesesiónenWindowsconunacuentadeadministradorlocal.
2.InstaleelprogramaClientSecuritySolutionmedianteelmandatosiguiente:
tvtcss83_xxxx.exe/s/v"/qn"EMULATIONMODE=1""NOCSSWIZARD=1"
(dondeXXXXeselIDdebuild)
3.ReinicieelsistemaeinicielasesiónenWindowsconunacuentadeadministradorlocal.
4.PrepareelscriptXMLparaeldesplieguerealizandolosiguiente: a.Ejecuteelsiguientemandato:
"C:\ProgramFiles\Lenovo\ClientSecuritySolution\css_wizarde.exe" /name:C:\ThinkCentre
b.Congureenelasistentesiguiendoestasinstrucciones:
1)PulseMétododeiniciodesesiónseguroSiguiente.
2)EscribalacontraseñadeWindows(porejemplo,WPW4Admin)paralacuentadeladministradory pulseSiguiente.
©CopyrightLenovo2008,2011
61
3)EspeciquelafrasedepasodeClientSecurity(porejemplo,CSPP4Admin)paralacuentadel administrador,seleccionelaopciónUtilizarlafrasedepasodeClientSecurityparaproteger elaccesoalespaciodetrabajodeRescueandRecoveryypulseSiguiente.
4)RespondaalastrespreguntasdelacuentadeladministradorypulseSiguiente,porejemplo: a)¿Cuáleraelnombredesuprimeramascota? b)¿Cuálessupelículafavorita? c)¿Cuálessuequipodefutbolfavorito?
5)ReviseelresumenyseleccioneAplicarparaguardarelarchivoXMLenlasiguienteubicación:
C:\ThinkCentre.xml
6)PulseFinalizarparacerrarelasistente.
5.AbraelarchivoThinkCentre.xmlconuneditordetexto(uneditordescriptXMLoelprogramaMicrosoft Word2003queadmiteelformatoXML),eliminetodaslasreferenciasalvalordeldominioyguardeel archivo.Estoharáqueelscriptutiliceensulugarelnombredelamáquinalocalencadasistema.
6.Utilicelaherramientaxml_crypt_tool.exeeneldirectorioC:\ProgramFiles\Lenovo\ClientSecurity
SolutionparacifrarelscriptXMLconunacontraseñamediantelasintaxissiguiente:
xml_crypt_tool.exeC:\ThinkCentre.xml/encryptXML ScriptPW
ElarchivoahorasellamaráC:\ThinkCentre.xml.encyestaráprotegidomediantelacontraseña XMLScriptPWysepodráañadiralamáquinadedespliegue.
Enlamáquinadedespliegue:
1.IniciesesiónenWindowsconunacuentadeadministradorlocal.
2.InstalelosprogramasRescueandRecoveryyClientSecuritySolutionconlasintaxissiguiente:
setup_tvtrnr40_xxxxcc.exe/s/v"/qn"EMULATIONMODE=1""NOCSSWIZARD=1"
(DondexxxxeselIDdebuildycceselcódigodepaís.)
Notas:
a.AsegúresedequelosarchivosTVT,comoporejemploZ652ZIXxxxxyy00.tvtparaWindowsXPo
Z633ZISxxxxyy00.tvtparaWindowsVistaoWindows7(enquexxxxeselIDdebuildyyyesel IDdepaís),seencuentrenenelmismodirectorioqueelarchivoejecutableo,deloscontrario, lainstalaciónfallará.
b.Siestárealizandounainstalaciónadministrativa,consulte“Casodeejemplo1”enlapágina61.
3.ReinicieelsistemaeinicielasesiónenWindowsconunacuentadeadministradorlocal.
4.AñadaelarchivoThinkCentre.xml.encpreparadoanteriormentealdirectorioC:\root.
5.PrepareelmandatoRunOnceExconlosparámetrossiguientes: a.Añadaunanuevaclave0001traslaclaveRunonceEx.Quedadelasiguienteforma:
HKEY_LOCAL_MACHINE\Software\Microsof t\Windows \CurrentVersion\RunOnceEx\0001
b.AñadaunnombredevalordeserieCSSEnrollenesaclave:
"C:\ProgramFiles\Lenovo\ClientSecuritySolution\vmserver.exe" C:\ThinkCenter .xml.encXMLscriptPW
6.EjecutelossiguientesmandatosparaprepararelsistemaparaunacopiadeseguridaddeSysprep:
%rr%C:\ProgramFiles\Lenovo\RescueandRecovery\rrcmd.exe" sysprepbackuplocation=Lname="SysprepBackup"
62ClientSecuritySolution8.3Guíadedespliegue
Acontinuación,verálasiguientesalidadespuésdequeelsistemaestépreparadopararealizaruna copiadeseguridaddeSysprep.
***************************************************** **Readytotakesysprepbackup.** **** **PLEASERUNSYSPREPNOWANDSHUTDOWN.** **** **Nexttimethemachineboots,itwillboot** **tothePredesktopAreaandtakeabackup.** *****************************************************
7.EjecutelaimplementacióndeSysprep.
8.Apagueyreinicieelsistema.SeiniciaráelprocesodecopiadeseguridadenWindowsPE.
Nota:Siapareceelmensaje“Larestauraciónestáenprocesoperoseestárealizandounacopiade seguridad”despuésdelacopiadeseguridad,apagueelsistemaynoreinicie.
9.AhoralacopiadeseguridadbasedeSysprepsehacompletado.

Casodeejemplo2

Acontinuaciónsemuestraunejemplodeunainstalaciónenunsistemaportátilutilizandoestosrequisitos hipotéticosdelcliente:
Administración –InstalarenmáquinasdondehayinstaladasversionesanterioresdeClientSecuritySolution.
–Utilizarlacuentadeladministradordedominioparalaadministracióndelsistema. –TodoslossistemastienenunacontraseñadesupervisordelBIOS,BIOSpw.
ClientSecuritySolution –UtilizarelMódulodeplataformasegura.
Todaslasmáquinastienenunchipdeseguridad. –HabilitarPasswordManager. –UsarlacontraseñadeWindowsdelusuariocomoautenticaciónparaClientSecuritySolution. –CifrarelscriptXMLdeClientSecuritySolutionconcontraseña,porejemplo,XMLscriptPW.
ProtegerelarchivodeconguracióndeClientSecuritySolutionconcontraseña.
SoftwaredehuellasdactilaresdeThinkVantage –NoutilizarlascontraseñasdelBIOSydelaunidaddediscoduro.
–IniciarsesiónenWindowsconelSoftwaredehuellasdactilaresdeThinkVantage.
Despuésdeunperíodoinicialdeautoregistrodelusuario,elusuarioconmutaráeliniciodesesiónen Modalidadseguraquerequiereunahuelladactilarparalosusuariosnoadministradores,imponiendo, porlotanto,deformaefectivaunametodologíadeautenticacióndedosfactores.
–IncluirlaGuíadeaprendizajedeFingerprintSoftware.
LaguíadeaprendizajedelSoftwaredehuellasdactilaresayudaráalosusuariosnalesaaprender cómopasarundedosobreellectordehuellasdactilaresyobtendránunarespuestavisualacerca deloquehacen.
Enlamáquinadepreparación:
1.Desdeelestadodeapagado,inicieelsistemaypulseF1parairaBIOSSetupUtilityynavegarhastael menúSeguridadyborrarelchipdeseguridad.GuardelosvaloresysalgadelBIOS.
2.IniciesesiónenWindowsconunacuentadeadministradordedominios.
3.InstaleelSoftwaredehuellasdactilaresdeThinkVantagerealizandolosiguiente:
Capítulo6.Prácticasrecomendadas63
a.Ejecuteelarchivof001zpz2001us00.exeparaextraerelarchivosetup.exedesdeelpaqueteweb.El
archivosetup.exeseextraeráautomáticamenteenlasiguienteubicación: C:\SWTOOLS\APPS\TFS5.9.2-Buildxxxx\Application\0409(dondexxxxeselIDdebuild).
b.Efectúeunadoblepulsaciónenelarchivosetup.exeysigalasinstruccionesqueaparecenenla
pantallaparainstalarThinkVantageFingerprintSoftware.
4.InstalelaguíadeaprendizajedelSoftwaredehuellasdactilaresdeThinkVantagerealizandolosiguiente: a.Ejecuteelarchivof001zpz7001us00.exeparaextraerelarchivotutess.exedesdeelpaqueteweb.El
archivotutess.exeseextraeráautomáticamenteenlasiguienteubicación: C:\SWTOOLS\APPS\tutorial\TFS5.9 .2Buildxxxx\Tutorial\0409(dondexxxxeselIDdebuild).
b.Efectúeunadoblepulsaciónenelarchivotutess.exeparainstalarlaguíadeaprendizajede
ThinkVantageFingerprintSoftware.
5.InstalelaconsoladehuellasdactilaresdeThinkVantagerealizandolosiguiente: a.Ejecutef001zpz5001us00.exeparaextraerelarchivofprconsole.exedesdeelpaqueteweb.El
archivofprconsole.exeseextraeráautomáticamenteenlasiguienteubicación: C:\SWTOOLS\APPS\fpr_con\APPS\UPEK\FPRConsole\TFS5.9 .2-Buildxxx\Fprconsole(wherexxxxes elIDdebuild).
b.Efectúeunadoblepulsaciónenelarchivofprconsole.exeparainstalarlaconsoladehuellas
dactilaresdeThinkVantage.
6.InstaleelprogramaClientSecuritySolutionconlasintaxissiguiente:
tvtcss82_xxxxcc.exe/s/v”/qnNOCSSWIZARD=1SUPERVISORPW="BIOSpw""
7.ReinicieelsistemaeinicielasesiónenWindowsconunacuentadeadministradordedominiosy prepareelscriptXMLparaeldespliegue.
a.Ejecutelossiguientesmandatos:
"C:\ProgramFiles\Lenovo\ClientSecuritySolution\css_wizard.exe" /name:C:\ThinkPad
b.Congureenelasistenteparaquecoincidanconelscriptdeejemplosiguiendoestasinstrucciones:
1)PulseMétododeiniciodesesiónseguroSiguiente.
2)EscribalacontraseñadeWindows(porejemplo,WPW4Admin)paralacuentadeladministradorde dominiosypulseSiguiente.
3)EspeciquelafrasedepasodeClientSecurityparalacuentadeadministradordedominios.
4)SeleccioneIgnorarvalorderecuperacióndecontraseñaypulseSiguiente.
5)ReviseelresumenypulseAplicarparaguardarelarchivoXMLenlasiguienteubicación:
C:\ThinkPad.xml
6)PulseFinalizarparacerrarelasistente.
8.Utilicelaherramientaxml_crypt_tool.exeeneldirectorioC:\Archivosdeprograma\Lenovo\Client SecuritySolutionparacifrarelscriptXMLconunacontraseña:enunindicadordemandatos,utilicela siguientesintaxis:
xml_crypt_tool.exeC:\ThinkPad.xml/encryptXMLScriptPW
ElarchivosellamaráahoraC:\ThinkPad.xml.encyestaráprotegidoporlacontraseñaXML ScriptPW.
Enlamáquinadedespliegue:
1.InstaleelSoftwaredehuellasdactilaresdeThinkVantageenlamáquinadedesplieguerealizandolo siguiente:
a.Despliegueelarchivosetup.exequesehaextraídodelamáquinadepreparaciónalamáquinade
despliegue,mediantelasherramientasdedistribucióndesoftwaredelaempresa.
b.Ejecuteelsiguientemandato:
64ClientSecuritySolution8.3Guíadedespliegue
setup.exeCTLCNTR=0/q/i
2.InstalelaguíadeaprendizajedelSoftwaredehuellasdactilaresdeThinkVantageenlamáquina dedesplieguerealizandolosiguiente:
a.Despliegueelarchivotutess.exequesehaextraídodelamáquinadepreparaciónalamáquinade
despliegue,mediantelasherramientasdedistribucióndesoftwaredelaempresa.
b.Ejecuteelsiguientemandato:
tutess.exe/q/i
3.InstalelaconsoladehuellasdactilaresdeThinkVantageenlamáquinadedesplieguerealizandolo siguiente:
a.Despliegueelarchivofprconsole.exequesehaextraídodelamáquinadepreparaciónalamáquina
dedespliegue,mediantelasherramientasdedistribucióndesoftwaredelaempresa.
b.Coloqueelarchivofprconsole.exeeneldirectorioC:\Archivosdeprograma\ThinkVantageFingerprint
Software.
c.DesactiveelsoportedeseguridaddeencendidodelBIOSejecutandoelmandatosiguiente:
fprconsole.exesettingsTBX0
4.InstaleThinkVantageClientSecuritySolutionenlasmáquinasdedesplieguerealizandolosiguiente: a.Despliegueelarchivotvtvcss83_xxxx.exe(dondexxxxeselIDdebuild)enlamáquinadedespliegue,
mediantelasherramientasdedistribucióndesoftwaredelaempresa.
b.Ejecuteelsiguientemandato:
tvtvcss83_xxxx.exe/s/v"/qn"NOCSSWIZARD=1""SUPERVISORPW="BIOSpw""
LainstalacióndelsoftwarehabilitaráautomáticamenteelhardwaredelMódulodeplataformasegura.
5.ReinicieelsistemaycongúreloconelarchivoscriptXMLmedianteelprocedimientosiguiente: a.CopieelarchivoThinkPad.xml.encpreparadoanteriormenteeneldirectorioC:\. b.Ejecuteelsiguientemandato:
"C:\ProgramFiles\Lenovo\ClientSecuritySolution\ vmserver.exe"C:\ThinkPad.xml.encXMLScriptPW
6.ReinicieelsistemayyaestarápreparadoparalainscripcióndeusuariodeClientSecuritySolution. TodoslosusuariospuedeniniciarsesiónenelsistemaconsuIDdeusuarioysucontraseñade Windows.Acadausuarioqueiniciesesiónenelsistemaselesolicitaráautomáticamentequese registreenClientSecuritySolutiony,acontinuación,sepodráregistrarenellectordehuellasdactilares.
7.DespuésdequetodoslosusuariosdelsistemasehayanregistradoenelSoftwaredehuellasdactilares deThinkVantage,sepuedehabilitarelvalordeModalidadseguraparahacerquetodoslosusuariosno administradoresdeWindowstenganqueiniciarsesiónconlahuelladactilar.
•Parahabilitarelvalordemodalidadsegura,ejecuteelmandatosiguiente:
"C:\ProgramFiles\ThinkVantageFingerprintSof tware\ fprconsole.exe"settingssecuremode1
•Paraeliminarelmensaje“PulseCtrl+Alt+Suprparainiciarsesiónutilizandounacontraseña”enla
pantalladeiniciodesesión,ejecuteelmandatosiguiente:
"C:\ProgramFiles\ThinkVantageFingerprintSof tware\fprconsole.exesettings" CAD0
8.AhorasehacompletadoeldesplieguedeClientSecuritySolution8.3ydelSoftwaredehuellas dactilaresdeThinkVantage.

ConmutacióndemodalidadesdeClientSecuritySolution

SiconmutalamodalidaddeClientSecuritySolutiondelamodalidadcómodaalamodalidadsegurao siconmutadelamodalidadseguraalamodalidadcómoda,yestáutilizandoRescueandRecovery
Capítulo6.Prácticasrecomendadas65
pararealizarunacopiadeseguridaddelsistema,realiceunanuevacopiadeseguridadbasedespués deconmutarlasmodalidades.

ImplementacióndeunActiveDirectorydeempresa

ParaimplementarunActiveDirectorydeempresa,completelospasossiguientes:
1.InstalemedianteActiveDirectoryoLANDesk: a.RealicecopiasdeseguridadyobtengainformesmedianteActiveDirectoryyLANDeskdequién
ycuándosehanrealizado.
b.Proporcioneaalgunosgruposlacapacidadderealizarcopiasdeseguridad,suprimircopiasde
seguridad,opcionesdeplanicaciónyrestriccionesdecontraseñay,acontinuación,cambielos gruposyveasilosvalorespersisten.
c.MedianteActiveDirectory,habiliteAntidoteDeliveryManager.Coloquelospaquetesquese
ejecutarányasegúresedequesecapturaelinforme.

InstalaciónautónomaparaCDoarchivosscript

ParaunainstalaciónautónomaparaunarchivoCDoscript,completelospasossiguientes:
1.UtiliceunarchivodeprocesoporlotesparainstalardeformasilenciosaClientSecuritySolutionyla tecnologíadehuellasdactilares.
2.ConguredeformasilenciosalarecuperacióndecontraseñadelBIOS.

SystemUpdate

Paraactualizarelsistema,completelospasossiguientes:
1.InstaleClientSecuritySolutionylatecnologíadelSoftwaredehuellasdactilaresmedianteunservidor deactualizacióndelsistemapersonalizadoquesimulalaformaenqueunagranempresatendríaun servidorconguradoenlugardeiraunservidordeLenovo,deformaquepuedancontrolarelcontenido.
2.Instalesobrelastresversionesdistintasdesoftwareanterior(RescueandRecovery1.0/2.0/3.0, softwaredehuellasdactilares,ClientSecuritySolution5.4–6,FFE).Losvalorestambiénsedeben manteneralinstalarlanuevaversiónsobrelaversiónantigua.

SystemMigrationAssistant

SystemMigrationAssistant6.0dasoportealamigracióndeunsistemaantiguoalúltimosistemaWindows 7,asícomoalamigracióndelosvaloresdelsoftwaredeversionesanterioresdeClientSecuritySolutiony delSoftwaredehuellasdactilares.PuededescargarSystemMigrationAssistant6.0desdeelsitiowebde Lenovoen: http://www.lenovo.com/support
CómogeneraruncerticadoutilizandolageneracióndeclavesenTPM
LoscerticadossepuedengenerardirectamentemedianteClientSecuritySolutionCSPyTPMgeneraráy protegerálasclavesprivadasdeloscerticados.ParasolicitaruncerticadoutilizandoelCSPdeClient SecuritySolution,lleveacabolospasossiguientes:

Requisitos:

•Lamáquinaservidordebetenerinstaladolosiguiente: –WindowsServer2003Enterpriseoposterior
–ActiveDirectory
66ClientSecuritySolution8.3Guíadedespliegue
–ElservicioCerticateAuthority
•Lamáquinaclientedebecumplirlosrequisitossiguientes: –TPMhabilitado
–TenerinstaladoelproductoClientSecuritySolution
Cómosolicitaruncerticadodesdeelservidor
CómocrearunaplantillaparaunusuariodeTPM
ParacrearunaplantillaparaunusuariodeTPM,realiceelsiguienteprocedimiento:
1.PulseInicioEjecutar.
2.EscribammcypulseAceptar.Aparecerálaventanadelaconsola.
3.DesdeelmenúArchivo,pulseAñadir/Quitarajustey,acontinuación,pulseAñadir.Aparecerá laventanaAñadirajusteautónomo.
4.EfectúeunadoblepulsaciónenAutoridaddecerticacióndelalistadeajustesypulseCerrar.
5.PulseAceptarenlaventanaAñadir/Quitarajuste.
6.PulsePlantillasdecerticadosenelárboldelaconsola.Aparecerántodaslasplantillasdecerticados enelpaneldelaizquierda.
7.PulseAcciónDuplicarplantilla.
8.EnelcampoMostrarnombre,escribaTPMUser.
9.PulseelseparadorSolicitarmanejoypulseCSP.AsegúresedeseleccionarLassolicitudespueden utilizarcualquierCSPdisponibleenlosequiposimplicados.
10.PulselapestañaGeneral.AsegúresedeseleccionarPublicarcerticadoenActiveDirectory.
11.PulseelseparadorSeguridadenlalistaGruposonombresdeusuarios,pulseUsuariosautenticados yasegúresedeseleccionarInscribirenlaopciónPermisosparausuariosautenticados.
Conguracióndeunaautoridaddecerticacióndeempresa
ParaemitirelcerticadodeusuariodeTPMcongurandounaautoridaddecerticacióndeempresa, lleveacaboelprocedimientosiguiente:
1.AbraCerticationAuthority.
2.Enelárboldelaconsola,pulseCerticateTemplates.
3.DesdeelmenúAcción,pulseNuevoCerticadoparaemitir.
4.PulseTPMypulseAceptar.
Cómoaplicarelcerticadodelcliente
Paraaplicarelcerticadodesdeelcliente,lleveacaboelprocedimientosiguiente:
1.ConéctesealaIntranet,inicieInternetExploreryescribaladirecciónIPdelservidorenelqueestá instaladoelservicioCA.
2.Indiquesunombredeusuariodedominioycontraseñaenlaventanadesolicitud.
3.PulseSolicitaruncerticadoenSeleccionarunatarea.
4.PulseSolicituddecerticadoavanzadaenlaparteinferiordelapáginaweb.
5.EnlapáginaSolicituddecerticadoavanzada,cambielosvaloressiguientes:
•SeleccioneUsuariodeTPMdelalistadesplegablePlantilladecerticados.
•SeleccioneThinkVantageClientSecuritySolutionCSPdelalistadesplegableCSP.
•AsegúresedenoseleccionarMarcarclavescomoexportables.
Capítulo6.Prácticasrecomendadas67
•PulseSometerysigaelproceso.
•EnlapáginaCerticadoemitido,pulseInstalarestecerticado.AparecerálapáginaCerticado instalado.

USBUtilizacióndelostecladosdehuelladactilar2008conelsistema portátildeThinkPadde(R400/R500/T400/T500/W500/X200/X301)

Lenovocontrataadosproveedoresparaqueproporcionenautenticacióndehuellasdactilaresenlos modelosdelossistemasportátilesytecladosUSBThinkPad anterioresa2008(porejemplo,T61)utilizansensoresdehuelladactilardeThinkVantage.Losmodelosde equiposportátilesdeThinkPadde2008(comenzandoconT400)utilizanlossensoresdehuelladactilar deLenovo.TodoslostecladosdehuellasdactilaresUSBdeLenovoutilizansensoresdehuelladactilar deThinkVantage.Sonnecesariasciertasconsideracionesespecialessiseutilizaeltecladodehuellas dactilaresenalgunosmodelosdeequipoportátildeThinkPad(porejemplo,ThinkPadT400conunteclado USBexterno).
Enestasecciónsedescribenloscasosdeejemplodeusocomúnasícomolasestrategiasdedespliegue paraelsoftwaredehuellasdactilaresqueseinstalaenlosmodelosdeequiposportátilesdeThinkPad.
Nota:
•LenovoFingerprintSoftwareElSoftwaredehuellasdactilaresdeLenovoeselsoftwareparaelsensorde huellasdactilaresAuthenTec(porejemplo,elsensordehuellasdactilaresinternoenT400).
•SoftwaredehuellasdactilaresdeThinkVantageElSoftwaredehuellasdactilaresdeThinkVantageesel softwareparaelsensordehuellasdactilaresUPEK(porejemplo,elsensordehuellasdactilaresinternoen T61yelsensordehuellasdactilaresentodoslostecladosUSBexternos).
®
.LosmodelosdeequiposportátilesThinkPad

IniciodesesiónenWindows7

ParainiciarlasesiónenelsistemaoperativoWindows7,puedeutilizarelsensordehuellasdactilares AuthenTecoelsensordehuellasdactilaresUPEKsiemprequelodesee.
1.Instalelaversión3.2.0.275oposteriordelSoftwaredehuellasdactilaresdeLenovo.
2.Instalelaversión5.8.2.4824oposteriordelSoftwaredehuellasdactilaresdeThinkVantage.
3.Reinicieelsistema.Automáticamenteseiniciaráelasistentepararegistrarlahuelladactilar.
4.UtiliceelSoftwaredehuellasdactilaresdeThinkVantagepararegistrarsushuellasdactilaresconel sensordehuellasdactilaresexterno.Sinoseiniciaautomáticamente,pulseInicioProgramas(o Todoslosprogramas)ThinkVantageThinkVantageFingerprintSoftwareparainiciarelregistro.
5.EscribasucontraseñadeWindowscuandoselesolicitey,seguidamente,elijaundedodelquevaa realizarlainscripción.
6.Sigalasindicacionesqueapareceránenlapantalladelequipopararegistrarsudedoutilizandoel sensordehuellasdactilaresexterno.
7.PulseValoresenlapartesuperiordelapantalla.
8.MarqueelrecuadrodeselecciónUtilizarexploracióndelahuelladactilarenlugardelacontraseña cuandoseinicielasesiónenWindows,pulseAceptary,acontinuación,pulseCerrarparacerrar laventana.
9.ReinicieelsistemayasegúresedequepuedeutilizarsuhuelladactilarparainiciarlasesiónenWindows conelsensordehuellasdactilaresexterno.
10.Utiliceelregistrodelahuelladactilarpararegistrarsushuellasdactilaresconelsensordehuellas dactilaresexterno.Sinoseiniciaautomáticamente,pulseInicioProgramas(oT odoslos
programas)➙ThinkVantage➙LenovoFingerprintSoftwareparainiciarelregistro.
68ClientSecuritySolution8.3Guíadedespliegue
11.EscribasucontraseñadeWindowscuandoselesolicitey,seguidamente,elijaundedodelquevaa realizarlainscripción.
12.Sigalasindicacionesqueapareceránenlapantalladelequipopararegistrarsudedoutilizandoel sensordehuellasdactilaresinterno.
13.PulseValoresenlapartesuperiordelapantalla.
14.MarqueelrecuadrodeselecciónUtilizarexploracióndelahuelladactilarenlugardelacontraseña cuandoseinicielasesiónenWindows,pulseAceptary,acontinuación,pulseCerrarparacerrar laventana.
15.ReinicieelsistemayasegúresedequepuedeutilizarsuhuelladactilarparainiciarlasesiónenWindows conelsensordehuellasdactilaresinterno.

ClientSecuritySolutionyPasswordManager

AlcontrarioqueocurreeneliniciodesesióndeWindows,lassolicitudesdeautenticacióndeClientSecurity SolutionyPasswordManagersolamentefuncionanenelsensordehullasdactilarespreferido.Porejemplo, cuandohayconectadountecladodehuellasdactilares,susensordehuellasdactilaresseráeldispositivo preferido.Cuandonohayconectadoningúntecladodehuellasdactilares,elsensordehuellasdactilares internodeThinkPadseráeldispositivopreferido.
Paracambiareldispositivopreferido,creeunaentradaderegistrotalcomoseindicaacontinuación:
[HKLM\Software\Lenovo\TVTCommon\ClientSecuritySolution] REG_DWORD"PreferInternalFPSensor"=1
Tabla32.Clavesdelregistro
Name(Nombre)ValorDescripción
Pref erInternalFPSensor
0(valorpredeterminado)
1
Especicaqueelsensordehuellas dactilaresexternoeselpreferido siemprequehayauntecladode huellasdactilaresconectado.
Especicaqueelsensordehuellas dactilaresinternoeselpreferido.

Autenticacióndeprearranqueutilizandolahuelladactilarenlugarde lascontraseñasdelBIOS

AlcontrarioqueocurreeneliniciodesesióndeWindows,lassolicitudesdeautenticaciónparacontraseñas delBIOSsolamentefuncionanenelsensordehuellasdactilarescuandosehaconguradoelBIOSparaque lasutilice.Deformapredeterminada,elBIOSreconoceelpasodeldedoeneltecladodehuellasdactilares siésteestáconectado.Sieltecladodehuellasdactilaresnoestuvieraconectado,elBIOSreconoceelpaso deldedoeneldispositivodehuellasdactilaresinternoparasuautenticación.
ElvalordelBIOSPrioridaddellectorsepuedecambiarparaforzarelusodelsensordehuellasdactilares interno,aunquehayaconectadountecladodehuellasdactilaresexterno.Elvalorpredeterminadopara PrioridaddellectoresExterno.ElvalorsepuedecambiarporSolamenteinternoparaforzareluso delsensordehuellasdactilaresinterno.
Nota:EstevalordelBIOSseaplicasolamenteasolicitudesdehuellasdactilaresenelBIOS.Notiene ningúnefectosobreeliniciodesesióndeWindowsolassolicitudesdeautenticacióndehuellasdactilares deClientSecuritySolution.
Capítulo6.Prácticasrecomendadas69
ConguracióndelSoftwaredehuellasdactilaresparahabilitarlaautenticaciónde prearranque
Sihadenidolascontraseñadesupervisor,deencendidoodeunidaddediscoduroenelBIOS,puede congurarelSoftwaredehuellasdactilaresparasuautenticaciónenlugardetenerqueescribiresas contraseñas.
LenovoFingerprintSoftware:paraelsensordehuellasdactilaresinterno
1.PulseInicio➙Programas(oTodoslosprogramas)➙ThinkVantage➙LenovoFingerprint SoftwareparainiciarLenovoFingerprintSoftware.
2.Pasesudedooescribalacontraseñacuandoselesolicite.
3.PulseValoresenlapartesuperiordelapantalla.
4.MarqueelrecuadrodeselecciónUtilizarexploracióndelahuelladactilarenlugardelas
contraseñasdeencendidoydeunidaddediscoduroasícomoelrecuadrodeselecciónMostrar siemprelasopcionesdeseguridaddeencendido.
5.PulseAceptarparacerrarlaventana.
6.Elijaunadelashuellasdactilaresregistradaparahabilitarsuhuelladactilarysustituirlascontraseñas delBIOS.
7.PulseCerrarparacerrarlaventana.
ThinkVantageFingerprintSoftware:paraelsensordehuellasdactilaresexterno
1.InicieelSoftwaredehuellasdactilaresmedianteunodelosmétodossiguientes:
•PulseInicioProgramas(oTodoslosprogramas)ThinkVantageThinkVantageFingerprint
Software.
•PulseeliconoSoftwaredehuellasdactilaresdeThinkVantageenlaventanaHerramientas
ThinkVantage.
2.Pasesudedooescribalacontraseñacuandoselesolicite.
3.PulseValoresenlapartesuperiordelapantalla.
4.MarqueelrecuadrodeselecciónUtilizarexploracióndelahuelladactilarenlugardelas
contraseñasdeencendidoydeunidaddediscoduroasícomoelrecuadrodeselecciónMostrar siemprelasopcionesdeseguridaddeencendido.
5.PulseAceptarparacerrarlaventana.
6.Elijaunadelashuellasdactilaresregistradaparahabilitarsuhuelladactilarysustituirlascontraseñas delBIOS.
7.PulseCerrarparacerrarlaventana.
70ClientSecuritySolution8.3Guíadedespliegue

ApéndiceA.Consideracionesespecialesparautilizarel tecladodehuellasdactilaresdeLenovoconalgunosmodelos deequiposportátilesThinkPad

EldispositivodehuelladactilarqueseutilizaenalgunosmodelosdeequiposportátilesThinkPadesdistinto aldispositivodehuelladactilarqueseutilizaeneltecladodehuellasdactilaresdeLenovo.Puedequesean necesariasciertasconsideracionesespecialessiseutilizaeltecladodehuelladactilarenalgunosmodelos deequiposportátilesThinkPad.
Paraobtenermásinformación,vayaalapáginadedescargadelsoftwaredehuelladactilarenelsitioweb deLenovodondeencontraráunalistadeestosmodelosdeequiposportátilesThinkPad.
Solamentelosmodelosqueaparecenlistadosen“SoftwaredehuellasdactilaresdeLenovo”necesitan algunaconsideraciónespecialcuandoseutilizanconeltecladodehuelladactilar.T odoslosdemásmodelos deequiposportátilesThinkPad,queutilizan“SoftwaredehuellasdactilaresdeThinkVantage”,utilizanun dispositivodehuelladactilarqueescompatibleconeldispositivoincluidoeneltecladodehuelladactilary norequierenningunaconsideraciónespecial.
Conguraciónydenición
Debehaberinstaladalaversión2.0,oposterior,delSoftwaredehuellasdactilaresdeLenovoparautilizarel dispositivodehuelladactilarenelequipoportátilThinkPad.Losusuariosdebenregistrarhuellasdactilares conelSoftwaredehuellasdactilaresdeLenovoutilizandoeldispositivointegradodehuelladactilar.
Debehaberinstaladalaversión5.8,oposterior,delSoftwaredehuellasdactilaresdeThinkVantagepara utilizareltecladodehuellasdactilaresdeLenovo.Losusuariostambiéndebenregistrarlashuellasdactilares conelSoftwaredehuellasdactilaresdeThinkVantageutilizandoeltecladodehuelladactilar.
Nota:Lashuellasdactilaresregistradasconundispositivonosepuedenintercambiarconelotrodispositivo.

Pre-desktopauthentication

Seutilizaráeldispositivoincorporadodehuelladactilaroeltecladodehuelladactilarparalaautenticación previaalescritorio(quesustituyealacontraseñadeencendidodelsistemaodeunidaddediscodurocon unahuelladactilar).ElBIOSdeterminaráquédispositivosedebeutilizarcuandoseenciendaelsistema.
Deformapredeterminada,elBIOSsolamenteaceptaráquesepaseeldedoeneltecladodehuelladactilar siésteestáconectado.Sisepasaeldedodiversasvecesporeldispositivointegradodehuelladactilarse harácasoomisoparalaautenticaciónpreviaalescritoriosihayaconectadountecladodehuelladactilar. Sinoestáconectadoeltecladodehuelladactilar,seutilizaráeldispositivointegradodehuelladactilar paralaautenticaciónpreviaalescritorio.
ElvalordelBIOSpara“Prioridaddellector”sepuedecambiarparaqueutiliceelsensorincorporadode huelladactilar.Sila“Prioridaddellector”sehadenidoen“Sólointerna”,sepodráutilizarelsensor integradodehuelladactilarparalaautenticaciónpreviaalescritorio.Enestecaso,seharácasoomiso delpasodeldedoporeltecladodehuelladactilar.
©CopyrightLenovo2008,2011
71

IniciodesesióndeWindows

EltecladodehuellasdactilaresdeLenovoyeldispositivodehuelladactilarqueseutilizanenlosmodelos desistemasportátilesdeThinkPadproporcionansupropiainterfazalosusuariosparainiciarsesiónen Windowsconunahuelladactilarregistrada.
Importante:SepuedenproducirproblemasdecompatibilidadcuandoseinicialasesiónenWindowssilas interfacesdeiniciodesesióndehuelladactilarnosehanconguradocorrectamente.
SielmodelodesistemaportátilThinkPadestáequipadoconeltecladodehuellasdactilaresdeLenovoy coneldispositivodehuelladactilarintegrado,yestáninstaladosconelprogramaClientSecuritySolution, existendosformasdeiniciarsesiónenelsistemaoperativoWindows7mediantelaautenticaciónde huellasdactilares:
•UtilizacióndelainterfazdeiniciodesesióndelSoftwaredehuellasdactilaresLasinterfacesdeiniciode sesióndelSoftwaredehuellasdactilaresdeLenovoydelSoftwaredehuellasdactilaresdeThinkVantage debenestarhabilitadas.Cuandoambasinterfacesdeiniciodesesióndehuelladactilarestánhabilitadas enelsistemaoperativoWindows7,losusuariospuedenpasareldedoporeltecladodehuelladactilaro poreldispositivointegradodehuelladactilarparainiciarlasesión.
•UtilizacióndelainterfazdeiniciodesesióndeClientSecuritySolutionEsposibleutilizarlainterfazde iniciodesesióndeClientSecuritySolutionenlugardelasinterfacesdeiniciodesesióndelSoftwarede huellasdactilares.CuandoseutilizalainterfazdeiniciodesesióndeClientSecuritySolutionparainiciar sesiónenelsistemaoperativoWindowsconautenticacióndehuellasdactilares,seinhabilitaeliniciode sesióndelSoftwaredehuellasdactilaresdelaopciónValoresenelespaciodetrabajodelSoftwarede huellasdactilaresrespectivo,ylainterfazdeiniciodesesióndeClientSecuritySolutionseconguraenla opciónGestionarpolíticasdeseguridaddelmenúAvanzadodeClientSecuritySolution.
Notas:
1.ElvalorPrioridaddellectordelBIOSnoseaplicaenestasituación.Puedeutilizarsecualquier dispositivodelosdosparaeliniciodesesiónsiambosdispositivosestándisponibles.
2.SóloClientSecuritySolution8.3ounaversiónposteriordansoporteaestafunción.Paraobtener másinformación,consulte“AutenticaciónconClientSecuritySolution”enlapágina72.

AutenticaciónconClientSecuritySolution

Nota:Lainformaciónsiguienteseaplicasolamentealaversión8.3,yposteriores,deClientSecurity
Solution.LasversionesanterioresdeClientSecuritySolutionnodansoportealautilizacióndeldispositivo integradodehuelladactilarconeltecladodehuelladactilar.
CuandoserealizaunaacciónconClientSecuritySolutionquerequiereautenticacióndehuelladactilar, comoporejemplolaespecicaciónautomáticadelacontraseñaenunsitiowebconPasswordManager,los usuariosdebenpasarundedosobreeltecladodehuelladactilar,siestáconectado,enelmomentoenque asíselessolicite.Seharácasoomisosisepasaeldedodiversasvecesporeldispositivoincorporado dehuelladactilar,sieltecladodehuelladactilarestáconectado.Sieltecladodehuelladactilarnoestá conectado,setendráqueutilizarelsensorintegradodehuelladactilar.
Haydisponibleunvalorderegistroparapediralosusuariosqueutilicenelsensorincorporadodehuella dactilarparalaautenticaciónconClientSecuritySolution.Sisedeneestaentradaderegistro,la autenticacióndehuelladactilarconClientSecuritySolutiondeberárealizarseconelsensorincorporadoyse harácasoomisodelaaccióndepasareldedoporeltecladodehuelladactilar.
Laentradadelregistroeslasiguiente:
[HKLM\Software\Lenovo\TVTCommon\ClientSecuritySolution] REG_DWORD"PreferInternalFPSensor"=1
72ClientSecuritySolution8.3Guíadedespliegue
Elvalorpredeterminadodelaentradaderegistroanteriores0,cuandolaautenticacióndehuelladactilar conClientSecuritySolutiondebehacerseconeltecladodehuelladactilaryseharácasoomisodelaacción depasareldedoporeldispositivoincorporadodehuelladactilar.
EstevalortambiénsepuedecambiarutilizandoelarchivodeplantillasadministrativasdeClientSecurity SolutionconlaspolíticasdegrupoparaActiveDirectory.
Notas:
1.CuandoelvalordeBIOSPrioridaddellectorsehadenidoenSólointerna,serecomiendadenirel valordelaentradaderegistroen1.EstaacciónhabilitarálaautenticaciónconClientSecuritySolution parasimularelvalordeautenticaciónpreviaalescritoriodelBIOS.
2.ElvalordeBIOSyelvalordeesteregistrosonindependientes.
ApéndiceA.ConsideracionesespecialesparautilizareltecladodehuellasdactilaresdeLenovoconalgunos
modelosdeequiposportátilesThinkPad73
74ClientSecuritySolution8.3Guíadedespliegue

ApéndiceB.SincronizacióndelacontraseñaenClientSecurity SolutiontrasrestablecerlacontraseñadeWindows

UnavezrestablecidalacontraseñadeWindows,ClientSecuritySolutionlesolicitaconstantemente unacontraseñadeWindowsnuevapero,seguidamentemuestraunmensajedeerrorqueindicaquela contraseñaesincorrecta.LaseguridaddeWindowssehadiseñadodeformaquelascredencialesde seguridaddelusuarioquedeninvalidadascuandoserestablezcalacontraseñadeWindows.Windowsle mostraráunmensajedeavisoencadaintentoderestablecerlacontraseña.Además,alrestablecerla contraseñadeWindowsnosolamenteseveráafectadoelproductoClientSecuritySolutionsinoque tambiénperderáelaccesoaloscerticadosyarchivosquesehayancifradomedianteWindowsEFS. CuandoClientSecuritySolutionyanopuedeaccederalascredencialesdeseguridaddeWindows(como resultadoderestablecerlacontraseña),ClientSecuritySolutionlesolicitaráconstantementeunacontraseña nuevayseguidamentemostraráunmensajedeerrorenelqueseindicaquelacontraseñaqueseha indicadonoesválida.ClientSecuritySolutionnopuedefuncionarcuandolascredencialesdeseguridadde Windowshanquedadoinvalidadas.SisehacambiadlacontraseñadeWindowsdelusuario(porejemplo, selesolicitaqueespeciquetantolacontraseñaantiguacomolanueva),seconservaránlascredencialesde seguridadyseprotegerángraciasalanuevacontraseña.
ParasincronizarlacontraseñaenCSStrasrestablecerlacontraseñadeWindows,realicelosiguiente:
1.RestaureunacopiadeseguridaddesusistemaantesderestablecerlacontraseñadeWindows.
2.RestablezcalacontraseñadeWindowsnuevamentealaquehabíaoriginalmente.Deestaformase restableceráelaccesoalascredencialesdeseguridaddeWindows.
3.CreeunacuentanuevadeWindowsycomienceautilizarlaenlugardeemplearlacuentaoriginalcon lascredencialescorruptas.
4.Sigaestemétodopararecuperarelsistema: a.IniciePasswordManager. b.PulseImport/ExportyseleccioneExportentrylist. c.Especiqueunaubicaciónparaguardarelarchivoyescribaunnombredearchivo. d.Especiqueunacontraseñaparaelarchivodeentradas. e.CierrePasswordManager. f.InicieClientSecuritySolution. g.PulseAvanzadasRestablecervaloresdeseguridad. h.EscribalacontraseñanuevadeWindowscuandoselesolicite. i.ClientSecuritySolutionlesolicitaráquereinicieelsistema. j.Despuésdereiniciarelsistema,iniciePasswordManager. k.PulseImport/ExportyseleccioneImportentrylist. l.Examineelarchivoquesehaguardadoanteriormente. m.Especiquelacontraseñacuandoselesolicite.
©CopyrightLenovo2008,2011
75
76ClientSecuritySolution8.3Guíadedespliegue

ApéndiceC.UtilizacióndeClientSecuritySolutionenun sistemaoperativoWindowsreinstalado

SihareinstaladoelsistemaoperativoWindowsqueyateníainstaladoconClientSecuritySolution,para utilizarClientSecuritySolutionenelsistemaoperativoWindowsreciéninstaladonecesitaborrarlosdatos delainstalacióndeClientSecuritySolutionyvolverainstalarlo.
Elmejormétodoes:
1.DesinstalarClientSecuritySolutiondelsistemaoperativoWindowsactual.
2.Reinicieelsistema.
3.Borrarlossiguientesdatosdelregistro:
•[HKEY_LOCAL_MACHINE\SOFTWARE\Lenovo\TVTCommon\ClientSecuritySolution]
•[HKEY_LOCAL_MACHINE\SOFTWARE\Lenovo\ClientSecuritySolution]
•[HKEY_LOCAL_MACHINE\SOFTWARE\Lenovo\Logs]
•[HKEY_LOCAL_MACHINE\SOFTWARE\IBM\Security\Debug]
4.BorrarlosdatosrelacionadosconClientSecuritySolutiondelaparticiónC.Serecomiendabuscarlos datosentodalaparticiónC,conlaopcióndevisualizarloselementosocultoshabilitadaenlaventana deopcióndearchivo.Elresultadopuedeencontrarse,perosinlimitarsea,enlassiguientesubicaciones:
C:\Users\AllUsers\AppData\Roaming\ClientSecuritySolution
C:\Users\%USER%\AppData\Roaming\ClientSecuritySolution
5.BorreelchipdeseguridaddeBIOSSetupUtilityyactívelorealizandolosiguiente: a.Apagueelsistema. b.EnciendaelsistemaypulseF1paraentrarenBIOSSetupUtility. c.SeleccioneSeguridad. d.PulseIntroyseleccioneBorrarchipdeseguridad. e.PulseIntroyseleccioneSíparaborrarlasclavesdecifrado. f.SeleccioneChipdeseguridadypulseIntroparaseleccionarActivo.
Nota:SinodeseaestablecerClientSecuritySolutionenlamodalidadTPMdehardware,denael chipdeseguridadcomoInhabilitado.
6.ReinicieelsistemayreinstaleelprogramaClientSecuritySolution.
Nota:CuandocambialamodalidaddeinstalacióndeClientSecuritySolutiondelamodalidaddeemulación desoftwarealamodalidadbasadaenhardwareTPM,odespuésdeborrarelchipdeseguridad,Client SecuritySolutionintentarárecuperarlosdatosexistentessidetectaelcambiodeTPMyfallaráporque losnuevosdatosdeTPMnopuedendescifrarlosdatoscifrados.Enestecaso,ClientSecuritySolution fallaráaliniciarse.
©CopyrightLenovo2008,2011
77
78ClientSecuritySolution8.3Guíadedespliegue

ApéndiceD.UsodeTPMenlossistemasportátilesThinkPad

LacausadeusoprincipaldelTPMeslacaracterísticaBitLockerqueseincluyeenalgunasversionesdelos sistemasoperativosMicrosoftWindowsVistayWindows7.Esteapéndiceproporcionarespuestasalas siguientespreguntasfrecuentesdurantelaimplementacióndeBitLockerenlosentornosWindows.
“¿CómoimplementarBitLockerdemaneraremota?”enlapágina79
“¿CómofuncionaelbloqueodeTPM?”enlapágina79

¿CómoimplementarBitLockerdemaneraremota?

ElusodelasherramientasestándardeWindowsparaactivarelTPM,comoelarchivomanage-bde.exeoel paneldecontroldelTPM,requiereuncierrecompletodesistema.Luego,cuandovuelveaencenderlo, debepulsarunateclaparaconrmarlaacción.Estetipodeinteracciónhaceimposibleimplementar BitLockerdemaneraremota.
ExistendostiposdeestadonítidosdelTPM:HabilitadoyDeshabilitado.UnTPMhabilitadonoestá necesariamenteactivado,delamismaformaqueunTPMactivado,noestánecesariamentehabilitado.El TPMdebehabilitarseyactivarseantesdeusarBitLocker.LossistemasportátilesThinkPadsiemprese envíanconelTPMenelestadohabilitadoydesactivado.Porlotanto,debeestablecerelestadodelTPMa activadoparaimplementarBitLockerexitosamente.
Desde2008,lossistemasportátilesThinkPadhanproporcionadoWindowsManagementInstrumentation (WMI)paracambiarcualquiervalordeBIOS(incluidoelestadoactivadodelTPM).WMIpuedecifrarsey ejecutarsedemaneraremotaynorequiereningunainteracciónfísicaconelsistema.
ParacambiarelvalordeBIOS,hagalosiguiente:
1.VayaalsitioWebhttp://support.lenovo.com/en_US/detail.page?LegacyDocID=MIGR-68488.
2.PulseSampleScriptsforBIOSDeploymentGuide(ScriptsdeejemploparaGuíadedesplieguede BIOS)paradescargarelarchivoscript.zip.Luegoextraigaelarchivozip.
3.Escribacscript.exeSetCong.vbsSecurityChipActiveenlaventanadelindicadordemandatopara ejecutarelarchivoSetCong.vbs.SiutilizaunacontraseñadesupervisordelBIOS,escribacscript.exe SetCongPassword.vbsSecurityChipActiveenlaventanadelindicadordemandatosparaejecutarel archivoSetCongPassword.vbs.
4.Reinicieelsistemadosveces.ElprimerreiniciocambiaelvalordelBIOSyelsegundohacequeel nuevovalorsehagaefectivo.
Nota:ElprocedimientoanterioractivasoloelTPMenlossistemasdondeésteyaestáhabilitado(por ejemplo,losmodelosenestadopredeterminadodefábrica).SihadeshabilitadoelTPMmediantelas herramientasdeWindows,comoelarchivomanage-bde.exeoelpaneldecontroldelTPM,debevolvera habilitarelTPMconelmismométodoqueutilizóparadeshabilitarlo.

¿CómofuncionaelbloqueodeTPM?

UnadelascaracterísticasdeseguridadprincipalesdelTPMesevitarel“martilleo” ,esdecir,elintentode averiguarlascontraseñasdeTPMenformaautomática.CadaTPMimplementaunmétododeproteccióny cuandosedetectaunataque,elTPMingresaalmododebloqueoloquesignicaquelosdemásintentos poraveriguarlacontraseñaseignoranhastaquenalizaestemodo.Sinembargo,TrustedComputing Group(laorganizaciónquedenelaconductadelTPM)nopudodenirunestándarparaelbloqueode TPM,demodoquecadafabricantedeTPMhadesarrolladosupropiaimplementaciónparaelbloqueo. LenovohautilizadoTPMdelossiguientescuatroproveedores:
©CopyrightLenovo2008,2011
79
•Atmel-ThinkPadT60/R60/X60/X300,ThinkCentreM57
•Intel-ThinkPadT500/R500/X200/X301
•STMicro-ThinkPadT410/T510/X201/T420/T520/X220,ThinkCentreM90
•Winbond-ThinkCentreM58
EstosTPMtienendistintascaracterísticascuandoingresanalmododebloqueo,talycomosedescribea continuación:
AtmelTPM:
•Sinbloqueodurantelosprimeros15intentosdecontraseñaserróneas
•Elintentonúmero16decontraseñaerróneageneraunperíododebloqueode1,1minuto
•Luego,nohaybloqueodurantelossiguientes15intentosdecontraseñaserróneas
•Elsiguienteperíododebloqueoesde2,2minutos
•Cadaperíododebloqueoseduplica,despuésdecadagrupode15intentosdecontraseñaserróneas, hastaunperíododebloqueomáximode4,7horas
•Elbloqueoserestablecesiseapagaelsistema
IntelTPM:
•Sinbloqueodurantelosprimeros100intentosdecontraseñaserróneas
•Elintentonúmero101decontraseñaerróneageneraunperíododebloqueode16segundos
•Cadaintentodecontraseñaerróneasubsiguientegeneraunperíododebloqueodosvecesmáslargoque elanterior,sinunperíododebloqueomáximo
•Elcontadordecontraseñaserróneasdisminuyeenunocadahora,hastaquellegaacero
STMicroTPM:
•Sinbloqueodurantelosprimeros40intentosdecontraseñaserróneas
•Elintentonúmero41decontraseñaerróneageneraunperíododebloqueodetressegundos
•Cadaintentodecontraseñaerróneasubsiguientegeneraunperíododebloqueodosvecesmáslargo queelanterior,conunperíododebloqueomáximodedoshoras
WinbondTPM:
•Elprimerintentodecontraseñaerróneageneraunperíododebloqueode0,25milisegundos
•Cadaintentodecontraseñaerróneasubsiguientegeneraunperíododebloqueodosvecesmáslargoque elanterior,conunperíododebloqueomáximode14horas
Nota:Debentranscurrir13intentosdecontraseñaerróneaparaalcanzarunperíododebloqueode unsegundo.
•Despuésde24horas,elcontadordecontraseñaserróneasserestableceacero
80ClientSecuritySolution8.3Guíadedespliegue

ApéndiceE.Avisos

PuedequeenotrospaísesLenovonoofrezcalosproductos,serviciosocaracterísticasquesedescriben enestainformación.ConsulteconelrepresentantelocaldeLenovoparaobtenerinformaciónsobre losproductosyserviciosactualmentedisponiblesensuárea.Lasreferenciasaprogramas,productos oserviciosdeLenovonopretendenestablecerniimplicarquesólopuedanutilizarselosproductos, programasoserviciosdeLenovo.Ensulugar,sepuedeutilizarcualquierproducto,programaoservicio funcionalmenteequivalentequenoinfrinjalosderechosdepropiedadintelectualdeLenovo.Sinembargo, esresponsabilidaddelusuarioevaluaryvericarelfuncionamientodelosproductos,programasoservicios quenoseandeLenovo.
Lenovopuedetenerpatentesosolicitudesdepatentependientesquetrateneltemadescritoeneste documento.Laposesióndeestedocumentonoleconereningunalicenciasobredichaspatentes.Puede enviarconsultassobrelicencias,porescrito,a:
Lenovo(UnitedStates),Inc. 1009ThinkPlace-BuildingOne Morrisville,NC27560 U.S.A. Attention:LenovoDirectorofLicensing
LENOVOPROPORCIONAESTAPUBLICACIÓN“TALCUAL”SINNINGÚNTIPODEGARANTÍA,EXPLÍCITA NIIMPLÍCITA,INCLUYENDOPERONOLIMITÁNDOSEA,LASGARANTÍASIMPLÍCITASDENO VULNERACIÓN,COMERCIALIZACIÓNOIDONEIDADPARAUNPROPÓSITODETERMINADO.Algunas jurisdiccionesnopermitenlarenunciaagarantíasexplícitasoimplícitasendeterminadastransaccionesy, porlotanto,estadeclaraciónpuedequenoseapliqueensucaso.
Estainformaciónpuedeincluirimprecisionestécnicasoerrorestipográcos.Lainformaciónincluidaeneste documentoestásujetaacambiosperiódicos;estoscambiosseincorporaránennuevasedicionesdela publicación.Lenovopuederealizarencualquiermomentomejorasy/ocambiosenel(los)producto(s)y/o programa(s)descrito(s)enestainformaciónsinprevioaviso.
Losproductosquesedescribenenestedocumentonosehandiseñadoparaserutilizadosenaplicaciones deimplantaciónoenotrasaplicacionesdesoportedirectoenlasqueunaanomalíapuedeserlacausade lesionescorporalesopuedeprovocarlamuerte.Lainformacióncontenidaenestedocumentonoafectani modicalasespecicacionesogarantíasdelosproductosdeLenovo.Estedocumentonopuedeutilizarse comolicenciaexplícitaoimplícitanicomoindemnizaciónbajolosderechosdepropiedadintelectualde Lenovoodeterceros.Todalainformacióncontenidaenestedocumentosehaobtenidoenentornos especícosysepresentacomoejemplo.Elresultadoobtenidoenotrosentornosoperativospuedevariar.
Lenovopuedeutilizarodistribuirlainformaciónqueseleproporcionaenlaformaqueconsidereadecuada, sinincurrirporelloenningunaobligaciónparaconelremitente.
LasreferenciascontenidasenestapublicaciónasitioswebquenoseandeLenovosóloseproporcionan porcomodidadyenningúnmodoconstituyenunaaprobacióndedichossitiosweb.Losmaterialesde dichossitioswebnoformanpartedelosmaterialesparaesteproductodeLenovoyelusodedichossitios webcorreacuentayriesgodelusuario.
Cualquierdatoderendimientocontenidoenestadocumentaciónsehadeterminadoparaunentorno controlado.Porlotanto,elresultadoobtenidoenotrosentornosoperativospuedevariarsignicativamente. Algunasmedidassehanrealizadoensistemasenelámbitodedesarrolloynosegarantizaqueestas medidasseanlasmismasenlossistemasdisponiblesgeneralmente.Asimismo,algunasmedidassepueden
©CopyrightLenovo2008,2011
81
habercalculadoporextrapolación.Losresultadosrealespuedenvariar.Losusuariosdeestedocumento debenvericarlosdatosaplicablesparasuentornoespecíco.

Marcasregistradas

LostérminosquesiguensonmarcasregistradasdeLenovoenlosEstadosUnidosy/oenotrospaíses:
Lenovo ThinkCentre ThinkPad ThinkVantage
Microsoft,InternetExplorer,WindowsServeryWindowssonmarcasregistradasdelgrupodeempresasde Microsoft.
Otrosnombresdeempresas,productososerviciospuedensermarcasregistradasodeserviciodeotros.
82ClientSecuritySolution8.3Guíadedespliegue

Glosario

ContraseñadelBIOSdeAdministrador(ThinkCentre) /Supervisor(ThinkPad)
Estándardecifradoavanzado(AES)AdvancedEncryptionStandardesunatécnicade
Sistemasdecifrado
Chipdeseguridadincorporado
Cifradodeclavespúblicas/clavesasimétricasLosalgoritmosdeclavespúblicasnormalmente
Lacontraseñadeadministradorosupervisorse utilizaparacontrolarlacapacidaddecambiar losvaloresdelBIOS.Estoincluyelacapacidad dehabilitaroinhabilitarelchipdeseguridad incorporadoydeborrarlaClavederaízde almacenamientoalmacenadaconelMódulode plataformasegura.
cifradodeclavessimétricas.Elgobiernodelos EE.UU.adoptóelalgoritmocomosutécnicade cifradoenoctubrede2000,sustituyendoelcifrado DESqueutilizaba.AESofreceunamayorseguridad contralosataquesdefuerzabrutaquelasclavesa 56bits,yAESpuedeutilizarclavesde128,192y 256bits,siesnecesario.
Lossistemasdecifradosepuedenclasicar ampliamenteencifradodeclavessimétricasque utilizanunaúnicaclavequecifraydescifralos datos,ycifradodeclavespúblicasqueutiliza dosclaves,unaclavepúblicaconocidaportodo elmundoyunaclaveprivadaalaquesólotiene accesoelpropietariodelpardeclaves.
Elchipdeseguridadincorporadoesotronombre paraunMódulodeplataformasegura.
utilizanunpardedosclavesrelacionadas:unaclave esprivadaysedebemantenerensecreto,mientras quelaotrasehacepúblicaysepuededistribuir ampliamente;nodebeserposiblededucirunaclave deunparsiseproporcionalaotra.Laterminología de“cifradodeclavespúblicas”derivadelaidea dehacerpartedelaclaveinformaciónpública.El términocifradodeclavesasimétricastambiénse utilizaporquenotodaslaspartesmantienenla mismainformación.Enciertosentido,unaclave “bloquea”unbloqueo(cifra);peroesnecesariouna clavedistintaparadesbloquearla(descifrarla).
Claveraízdealmacenamiento(SRK)Laclaveraízdealmacenamiento(SRK)esunpar
declavespúblicasde2,048bits(omayor).Está inicialmentevacíaysecreacuandoseasignael propietariodelTPM.Estepardeclavesnunca abandonaelchipdeseguridadincorporado.Se utilizaparacifrar(empaquetar)clavesprivadaspara elalmacenamientofueradelMódulodeplataforma segurayparadescifrarlascuandosecargande nuevoenelMódulodeplataformasegura.LaSRK lapuedeborrarcualquieraquetengaaccesoal BIOS.
CifradodeclavessimétricasLascifrasdelcifradodeclavessimétricasutilizanla
mismaclaveparacifraryparadescifrarlosdatos. Lascifrasdelasclavessimétricassonmássimples ymásrápidas,perosuprincipaldesventajaesque lasdospartesdebendealgunamaneraintercambiar laclavedeunaformasegura.Elcifradodeclaves públicasevitaesteproblemaporquelaclavepública sepuededistribuirdeunaformanosegura,yla claveprivadanosetransmitenunca.Advanced EncryptionStandardesunejemplodeunaclave simétrica.
Módulodeplataformasegura(TPM)LosMódulosdeplataformasegurasoncircuitos
integradosconunpropósitoespecialincorporados enlossistemasparapermitirunaautenticación deusuarioyvericacióndelamáquinafuertes. LanalidadprincipaldelTPMesevitarelacceso inadecuadoainformaciónimportanteycondencial. ElTPMesunaraízdeabilidadbasadaenhardware quesepuedeaprovecharparaproporcionaruna variedaddeserviciosdecifradoenunsistema. OtronombreparaelTPMeselchipdeseguridad incorporado.
Loading...
Buy Points How it Works FAQ Contact Us Questions and Suggestions Privacy Policy Cookie Policy Terms of Use