css821dg SP

Client Security Solution 8.
21
Guía de despliegue
Fecha: 24 Marzo 2009
Incluye: Software de huellas dactilares de ThinkVantage 5.8.2 y Software de huellas dactilares de Lenovo 2.0
Client Security Solution 8.21
Guía de despliegue
Fecha: 24 Marzo 2009
Segunda edición (marzo de 2009)
© Copyright Lenovo 2008, 2009.
Contenido
Prefacio . . . . . . . . . . . . . . . v Utilización de señales RSA SecurID . . . . . . 40
Instalación de la señal de software RSA SecurID 40
Capítulo 1. Visión general . . . . . . . 1 Requisitos . . . . . . . . . . . . . . 40
Establecimiento de las opciones de acceso de la
Client Security Solution. . . . . . . . . . . 1
SmartCard. . . . . . . . . . . . . . 40
Frase de paso de Client Security Solution . . . . 2
Instalación manual de la señal de software RSA
Recuperación de contraseña de Client Security . . 2
SecurID. . . . . . . . . . . . . . . 40
Client Security Password Manager . . . . . . 3
Soporte de Active Directory . . . . . . . . 41
Security Advisor . . . . . . . . . . . . 4
Valores y políticas para la autenticación con el lector
Asistente de transferencia de certificados . . . . 4
de huellas dactilares . . . . . . . . . . . 41
Restablecimiento de la contraseña de hardware . . 4
Opción omisión de huella dactilar obligada. . . 41
Soporte de sistemas sin el Módulo de plataforma
Resultado de pasar el dedo por el dispositivo de
segura . . . . . . . . . . . . . . . 5
huella dactilar . . . . . . . . . . . . 42
Software de huellas dactilares. . . . . . . . . 5
Herramientas de la línea de mandatos . . . . . 42
Security Advisor. . . . . . . . . . . . 42
Capítulo 2. Instalación . . . . . . . . 7 Asistente de configuración de Client Security
Client Security Solution. . . . . . . . . . . 7 Solution . . . . . . . . . . . . . . 44
Requisitos de instalación . . . . . . . . . 7 Herramienta de cifrado o descifrado del archivo
Propiedades públicas de personalización . . . . 8 de despliegue. . . . . . . . . . . . . 44
Soporte de Módulo de plataforma segura . . . 10 Herramienta de proceso del archivo de
Procedimientos de instalación y parámetros de la despliegue . . . . . . . . . . . . . . 45
línea de mandatos . . . . . . . . . . . 10 TPMENABLE.EXE . . . . . . . . . . . 45
Propiedades públicas estándar de Windows Herramienta de transferencia de certificados . . 46
Installer . . . . . . . . . . . . . . 14 Herramienta de activación de TPM . . . . . 47
Archivo de anotaciones de instalación . . . . 15 Soporte de Active Directory . . . . . . . . . 48
Instalación de Client Security Solution 8.21 con Archivos de plantilla administrativa (ADM) . . 48
versiones existentes. . . . . . . . . . . 16 Valores de la política de grupo . . . . . . . 49
Instalación del Software de huellas dactilares de Active Update . . . . . . . . . . . . 55
ThinkVantage. . . . . . . . . . . . . . 17
Instalación silenciosa . . . . . . . . . . 17
Capítulo 4. Cómo trabajar con el
Opciones . . . . . . . . . . . . . . 17
Instalación del Software de huellas dactilares de Software de huellas dactilares de
Lenovo . . . . . . . . . . . . . . . . 18 ThinkVantage . . . . . . . . . . . . 57
Instalación silenciosa . . . . . . . . . . 18 Herramienta Consola de gestión . . . . . . . 57
Opciones . . . . . . . . . . . . . . 19 Mandatos específicos del usuario . . . . . . 57
Servidor de gestión de sistemas . . . . . . . 22 Mandatos de valores globales . . . . . . . 58
Modalidad segura y modalidad cómoda . . . . . 59
Capítulo 3. Cómo trabajar con Client Modalidad segura - administrador. . . . . . 60
Modalidad segura - usuario con limitaciones . . 60
Security Solution . . . . . . . . . . 23
Modalidad cómoda - administrador . . . . . 61
Utilización del Módulo de plataforma segura . . . 23
Modalidad cómoda - usuario con limitaciones . . 62
Utilización del Módulo de plataforma segura con
Valores configurables . . . . . . . . . . 62
Windows Vista . . . . . . . . . . . . 24
Software de huellas dactilares y Novell Netware
Gestión de Client Security Solution con claves de
Client . . . . . . . . . . . . . . . . 63
cifrado . . . . . . . . . . . . . . . . 24
Autentificación . . . . . . . . . . . . 64
Tomar propiedad . . . . . . . . . . . 25
Servicio del Software de huellas dactilares de
Registrar usuario . . . . . . . . . . . 26
ThinkVantage. . . . . . . . . . . . . . 65
Emulación de software . . . . . . . . . 27
Cambio de la placa del sistema . . . . . . . 28
Programa de utilidad de protección de EFS . . . 30 Capítulo 5. Cómo trabajar con el
Utilización del esquema XML . . . . . . . . 31 Software de huellas dactilares de
Ejemplos . . . . . . . . . . . . . . 32 Lenovo . . . . . . . . . . . . . . 67
Utilización de SmartCards . . . . . . . . . 39 Herramienta Consola de gestión . . . . . . . 67
Instalación del paquete de la SmartCard . . . . 39 Servicio del Software de huellas dactilares de
Requisitos . . . . . . . . . . . . . . 39 Lenovo . . . . . . . . . . . . . . . . 67
Cómo funciona . . . . . . . . . . . . 39
Soporte del Gestor de políticas . . . . . . . 39
© Copyright Lenovo 2008, 2009 iii

Soporte de Active Directory para el Software de Apéndice A. Consideraciones acerca
huellas dactilares de Lenovo. . . . . . . . . 68 de la utilización de OmniPass . . . . . 85
Capítulo 6. Prácticas recomendadas . . 71 Apéndice B. Consideraciones
Ejemplos de despliegue para instalar Client Security
especiales para utilizar el teclado de
Solution . . . . . . . . . . . . . . . 71
Caso de ejemplo 1 . . . . . . . . . . . 71 huellas dactilares de Lenovo con
Caso de ejemplo 2 . . . . . . . . . . . 73 algunos modelos de equipos portátiles
Conmutación de modalidades de Client Security ThinkPad. . . . . . . . . . . . . . 87
Solution . . . . . . . . . . . . . . . 76 Configuración y definición . . . . . . . . . 87
Implementación de un Active Directory de empresa 76 Autenticación previa al escritorio . . . . . . . 87
Instalación autónoma para CD o archivos script . . 76 Inicio de sesión de Windows . . . . . . . . 88
System Update . . . . . . . . . . . . . 77 Pantalla de bienvenida Windows XP . . . . . . 88
System Migration Assistant . . . . . . . . . 77 Windows XP - Solicitud de inicio de sesión clásica 88
Cómo generar un certificado utilizando la Windows Vista . . . . . . . . . . . . . 89
generación de claves en TPM . . . . . . . . 77 Autenticación con Client Security Solution . . . . 90
Requisitos:. . . . . . . . . . . . . . 77
Cómo solicitar un certificado desde el servidor 77 Apéndice C. Sincronización de la
Utilización de los teclados de huella dactilar USB
contraseña en CSS tras restablecer la
con el equipo portátil de ThinkPad de 2008,
modelos (R400/R500/T400/T500/W500/X200/X301) 78 contraseña de Windows . . . . . . . 91
Inicio de sesión en Windows Vista. . . . . . 79
Inicio de sesión en Windows XP . . . . . . 80 Apéndice D. Avisos . . . . . . . . . 93
Client Security Solution y Password Manager . . 82 Marcas registradas . . . . . . . . . . . . 94
Autenticación de prearranque – utilizando la
huella dactilar en lugar de las contraseñas del Glosario . . . . . . . . . . . . . . 95
BIOS . . . . . . . . . . . . . . . 82
iv Client Security Solution 8.21 Guía de despliegue

Prefacio
Esta guía está destinada a los administradores de TI o a aquellas personas que
sean responsables del despliegue del programa ThinkVantage® Client Security
Solution y del Software de huellas dactilares de ThinkVantage en los sistemas de
sus empresas. Esta guía proporciona la información necesaria para instalar Client
Security Solution y el Software de huellas dactilares en uno o varios sistemas,
siempre que estén disponibles licencias del software para cada sistema de destino.
El objetivo de Client Security Solution y del Software de huellas dactilares consiste

en proteger los sistemas garantizando la seguridad de los datos de los clientes y en
desviar los intentos de violación de la seguridad. Para realizar preguntas y obtener
información acerca de la utilización de los distintos componentes de Client Security
Solution y del Software de huellas dactilares, consulte el sistema de ayuda en línea
para los componentes ubicado en http://www.lenovo.com/thinkvantage.
Periodicamente estas guías se actualizan. Visite el siguiente sitio web para ver
futuras publicaciones:
http://www.lenovo.com/thinkvantage
Si tiene sugerencias o comentarios, póngase en contacto con el representante

autorizado de Lenovo®.
© Copyright Lenovo 2008, 2009 v

vi Client Security Solution 8.21 Guía de despliegue
Capítulo 1. Visión general
Este capítulo proporciona una visión general de Client Security Solution y del
Software de huellas dactilares. Las tecnologías presentadas en esta guía de
despliegue pueden ayudar, directa e indirectamente, a los profesionales de TI
porque hacen que la utilización de los sistemas personales sea más fácil y más
autosuficiente, y porque proporcionan potentes herramientas que facilitan y
simplifican las implementaciones. Con la ayuda de las tecnologías ThinkVantage,
los profesionales de TI emplean menos tiempo solucionando problemas de
sistemas individuales y más tiempo dedicados a sus tareas principales.
Client Security Solution

El propósito principal del software de Client Security Solution consiste en ayudar
al cliente a proteger el sistema como un activo, proteger los datos confidenciales en
el sistema y proteger las conexiones de red a las que accede el sistema. (Para
sistemas de Lenovo que contienen un Módulo de plataforma segura (TPM -
Trusted Platform Module) compatible con Trusted Computing Group (TCG), el
software de Client Security Solution aprovechará el hardware como la base de
confianza para el sistema. Si el sistema no contiene un chip de seguridad
incorporado, Client Security Solution aprovechará las claves de cifrado basadas en
software como la base de confianza del sistema).
Las funciones de Client Security Solution Version 8.2 incluyen las siguientes:
v Autentificación de usuario segura con la contraseña de Windows o la frase de
paso de Client Security Solution
Client Security Solution se puede configurar para aceptar la contraseña de
Windows o la frase de paso de Client Security Solution de un usuario para la
autentificación. La contraseña de Windows proporciona comodidad y capacidad
de gestión mediante Windows mientras que la frase de paso de Client Security
Solution proporciona seguridad adicional. El administrador puede seleccionar
qué método de autentificación desea utilizar y este valor se puede cambiar
incluso después de que los usuarios se hayan registrado con Client Security
Solution.
v Autentificación de usuario mediante huella dactilar
Aprovecha la tecnología de huellas dactilares integrada y conectada mediante
USB para autentificar usuarios en aplicaciones protegidas mediante contraseña.
v Autentificación de usuario mediante SmartCard
Aprovecha una SmartCard registrada para la autentificación de usuario.
v Autenficación de usuario de varios factores para inicio de sesión de Windows
y varias operaciones de Client Security Solution
Define múltiples dispositivos de autentificación (contraseña de Windows/frase
de paso de Client Security, huellas dactilares y SmartCard) para varias
operaciones relacionadas con la seguridad.
v Gestión de contraseñas
Gestiona y almacena de forma segura información importante de inicio de
sesión, tal como los ID de usuario y contraseñas.
v Recuperación de contraseña y frase de paso
La recuperación de contraseña y frase de paso permite a los usuarios iniciar la
sesión en Windows y acceder a sus credenciales de Client Security Solution
© Copyright Lenovo 2008, 2009 1

incluso si olvidan su contraseña de Windows o su frase de paso de Client
Security Solution respondiendo a preguntas de seguridad configuradas
previamente.
v Auditar valores de seguridad
Permite a los usuarios ver una lista detallada de los valores de seguridad de la
estación de trabajo y realizar cambios para que satisfagan los estándares
definidos.
v Transferencia de certificados digitales
Client Security Solution protege la clave privada de los certificados de usuario y
de la máquina. Utilice Client Security Solution para proteger la clave privada de
los certificados existentes.
v Gestión de políticas para la autentificación
Un administrador puede seleccionar qué dispositivos (contraseña de Windows,
frase de paso de Client Security Solution, huella dactilar o SmartCard) son
necesarios para autentificarse para realizar las acciones siguientes: inicio de
sesión de Windows, Password Manager y operaciones de certificados.
Frase de paso de Client Security Solution

La frase de paso de Client Security Solution es una característica opcional de la
autentificación de usuario que proporcionará seguridad mejorada a las aplicaciones
de Client Security Solution. La frase de paso de Client Security Solution tiene los
requisitos siguientes:
v Debe tener como mínimo una longitud de ocho caracteres
v Debe contener como mínimo un dígito
v Debe ser diferente de las tres últimas frases de paso
v No debe contener más de dos caracteres repetitivos
v No debe empezar con un dígito
v No debe finalizar con un dígito
v No debe contener el ID de usuario
v No se debe cambiar si la frase de paso actual tiene menos de tres días de
antigüedad
v No debe contener tres o más caracteres idénticos consecutivos a la frase de paso
actual en cualquier posición
v No debe ser la misma que la contraseña de Windows
La frase de paso de Client Security Solution sólo es conocida por el usuario

individual. La única forma de recuperar una frase de paso olvidada de Client
Security Solution es ejecutar la función de recuperación de contraseña de Client
Security Solution. Si el usuario ha olvidado las respuestas a sus preguntas de
recuperación, no hay ninguna forma de recuperar los datos protegidos por la frase
de paso de Client Security Solution.
Recuperación de contraseña de Client Security

Esta característica opcional permite a los usuarios registrados de Client Security
recuperar una contraseña de Windows o una frase de paso de Client Security
olvidadas respondiendo correctamente a tres preguntas. Si esta característica está
habilitada, seleccionará tres respuestas a diez preguntas seleccionadas previamente.
Si el usuario olvida su contraseña de Windows o frase de paso de Client Security,
tendrá la opción de responder a estas tres preguntas para restablecer su contraseña
o frase de paso.
2 Client Security Solution 8.21 Guía de despliegue

Notas:
1. Cuando se utiliza la frase de paso de Client Security, la recuperación de
contraseña de Client Security es la única opción de recuperación de una frase
de paso olvidada. Si el usuario olvida la respuesta a sus tres preguntas, estará
obligado a volver a ejecutar el asistente de registro y perderá todos los datos
anteriores protegidos mediante Client Security.
2. Cuando se utiliza Client Security para proteger el Área previa al escritorio de
Rescue and Recovery®, la opción de Recuperación de contraseña visualizará de
hecho la frase de paso de Client Security y/o la contraseña de Windows. La
frase de paso o la contraseña se visualiza porque el Área previa al escritorio no
tiene la capacidad de realizar automáticamente un cambio de contraseña de
Windows. La frase de paso o contraseña se visualiza cuando un usuario de red
inalámbrica (de dominio que está almacenado en memoria caché de forma local
y no está conectado a la red) realiza esta función en el inicio de sesión de
Windows.
Client Security Password Manager

Client Security Password Manager le permite gestionar información fácil de olvidar
de los sitios web y de las aplicaciones, como por ejemplo los ID de usuario, las
contraseñas y otra información personal. Client Security Password Manager
protege la información personal mediante Client Security Solution, de forma que el
acceso a las aplicaciones y a los sitios web continúa siendo totalmente seguro. El
programa Client Security Password Manager también ahorra tiempo y esfuerzo,
porque el usuario sólo tiene que recordar una contraseña o frase de paso, o bien
proporcionar la huella dactilar o SmartCard.
Client Security Password Manager le permite realizar las funciones siguientes:

v Cifrar toda la información almacenada mediante el software de Client Security
Solution:
Cifra automáticamente toda la información mediante Client Security Solution.
Esto garantiza que toda la información importante de contraseñas esté protegida
mediante las claves de cifrado de Client Security Solution.
v Completar de forma automática los ID de usuario y contraseñas:
Automatiza el proceso de inicio de sesión al acceder a una aplicación o sitio
web. Si la información de inicio de sesión se ha especificado en Client Security
Password Manager, Client Security Password Manager puede rellenar
automáticamente los campos necesarios y someter el sitio web o aplicación.
v Editar entradas utilizando la interfaz de Client Security Password Manager:
Le permite editar las entradas de la cuenta y configurar todas las funciones
opcionales en una única interfaz fácil de utilizar. Esta interfaz hace más fácil y
rápida la gestión de las contraseñas y de la información personal. Sin embargo,
la mayoría de los cambios relacionados con entradas pueden ser detectados
automáticamente por Client Security Password Manager y permite al usuario
actualizar sus entradas con incluso menos trabajo.
v Guardar la información sin pasos adicionales:
Client Security Password Manager puede detectar automáticamente si se está
enviando información importante a una aplicación o sitio web determinados.
Cuando se produce una detección de este tipo, Client Security Password
Manager solicita al usuario que guarde la información, simplificando por lo
tanto el proceso de almacenar la información importante.
Capítulo 1. Visión general 3

v Guardar la información en un Área de anotaciones segura:
Con Client Security Password Manager, el usuario puede guardar datos de texto
en áreas de anotaciones seguras. Estas áreas se pueden proteger con el mismo
nivel de seguridad que sus entradas de sitio web o aplicación.
v Exportar e importar información de inicio de sesión:
Le permite exportar información personal importante de forma que pueda
llevarla de forma segura de un sistema a otro. Cuando exporta la información de
inicio de sesión desde Client Security Password Manager, se crea un archivo de
exportación protegido mediante contraseña que se puede almacenar en un
soporte extraíble. Utilice este archivo para acceder a su información personal
dondequiera que vaya, o para importar las entradas en otro sistema con Client
Security Password Manager.
Nota:
– Hay soporte completo para la importación de los archivos de exportación de
Client Security Solution de las versiones 7.0 y 8.x. Hay soporte limitado para
la importación disponible para Client Security Solution Versión 6.0 (las
entradas de aplicación no se importan). La versión 5.4x y las anteriores de
Client Security Software Solution no se importarán en Client Security
Solution, versión 8.x Password Manager.
Security Advisor
La herramienta Security Advisor le permite visualiza un resumen de los valores de
seguridad actualmente establecidos en el sistema. Puede utilizar estos valores para
visualizar el estado actual de la seguridad o para mejorar la seguridad del sistema.
Los valores predeterminados de las categorías visualizadas se pueden cambiar
mediante el registro de Windows. Algunas de las categorías de seguridad incluidas
son las siguientes:
v Contraseñas de hardware
v Contraseñas de usuarios de Windows
v Política de contraseña de Windows
v Protector de pantalla protegido
v Compartimiento de archivos
Asistente de transferencia de certificados

El Asistente de transferencia de certificados de Client Security le guía por el
proceso de transferir las claves privadas asociadas con los certificados desde un
proveedor de servicio de cifrado (CSP) de Microsoft® basado en software a un CSP
de Client Security Solution basado en hardware. Después de la transferencia, las
operaciones que utilizan los certificados serán más seguras porque las claves
privadas estarán protegidas por Client Security Solution.
Restablecimiento de la contraseña de hardware

Esta herramienta crea un entorno seguro que se ejecuta independientemente de
Windows y le ayuda a restablecer contraseñas de la unidad de disco duro y de
encendido olvidadas. La identidad se establece respondiendo a una serie de
preguntas que el usuario crea. Cree este entorno seguro lo antes posible, antes de
que se olvide la contraseña. No podrá restablecer una contraseña de hardware
olvidada hasta que se haya creado este entorno seguro en el disco duro y hasta
después de que se haya registrado. Esta herramienta está disponible sólo en
sistemas seleccionados.

Soporte de sistemas sin el Módulo de plataforma segura
Client Security Solution Versión 8.2 da soporte a sistemas de IBM® y Lenovo que
no tengan un chip de seguridad incorporado que cumpla las condiciones. Este
soporte permite una instalación estándar en toda la empresa a fin de crear un
entorno de seguridad homogéneo. Los sistemas que tienen el hardware del chip de
seguridad incorporado serán resistentes contra ataques; sin embargo, las máquinas
que sólo tengan software también se beneficiarán de la seguridad y funcionalidad
adicional.
Software de huellas dactilares

El objetivo de las tecnologías de huellas dactilares biométricas de Lenovo es
ayudar a los clientes a reducir los costes asociados con la gestión de contraseñas,
mejorar la seguridad de sus sistemas y ayudar con el tratamiento del cumplimiento
de las normas. Con los lectores de huellas dactilares de Lenovo, el Software de
huellas dactilares le permite la autentificación de huellas dactilares en sistemas
individuales y en redes. El Software de huellas dactilares combinado con Client
Security Solution Versión 8.2 proporciona una funcionalidad ampliada. Para Client
Security Solution 8.21, se da soporte tanto al Software de huellas dactilares de
ThinkVantage 5.8.2 como al Software de huellas dactilares de Lenovo 2.0 para
distintos tipos de máquinas. Puede saber más sobre las tecnologías de huellas
dactilares de Lenovo y descargar el software en la dirección:
http://www.lenovo.com/support/site.wss/MIGR-59650.html
El Software de huellas dactilares proporciona estas funciones:

v Capacidades del software de cliente
– Sustitución de la contraseña de Microsoft Windows:
Sustituya la contraseña por su huella dactilar para que el acceso al sistema
sea más fácil, rápido y seguro.
– Sustitución de la contraseña del BIOS (también denominada contraseña de
encendido) y de la contraseña de disco duro:
Sustituya las contraseñas con su huella dactilar para mejorar la comodidad y
la seguridad del inicio de sesión.
– Autentificación de huellas dactilares previa al arranque para el cifrado de
toda la unidad de SafeGuard Easy:
Utilice la autentificación de huellas dactilares para descifrar el disco duro
antes de iniciar Windows.
– Acceso al BIOS y a Windows pasando el dedo una vez:
Ahorre tiempo pasando el dedo durante el arranque para acceder al BIOS y a
Windows.
– Integración con Client Security Solution: para utilizar con Client Security
Solution Password Manager y aprovechar el Módulo de plataforma segura.
Los usuarios pueden pasar el dedo para acceder a sitios web y seleccionar
aplicaciones.
v Funciones de administración
– Conmutar modalidad de seguridad:
Permite a un administrador conmutar entre la modalidad segura y la
modalidad cómoda para modificar los derechos de acceso a los usuarios con
limitaciones.
Capítulo 1. Visión general 5

v Capacidades de seguridad
– Seguridad del software:
Protege las plantillas de usuario mediante un fuerte cifrado cuando están
almacenadas en un sistema y cuando se transfieren desde el lector al
software.
– Seguridad del hardware:
Proporciona un lector de seguridad con un coprocesador que almacena y
protege plantillas de huellas dactilares, contraseñas del BIOS y claves de
cifrado.

Capítulo 2. Instalación
Este capítulo contiene instrucciones para instalar Client Security Solution y el
Software de huellas dactilares. Antes de instalar Client Security Solution o el
Software de huellas dactilares, debe comprender la arquitectura de la aplicación
que está instalando. Este capítulo proporciona la arquitectura de cada aplicación,
así como información adicional que necesita antes de instalar cada uno de estos
programas.

El paquete de instalación de Client Security Solution se ha desarrollado con
InstallShield 10.5 Premier como un proyecto MSI básico. InstallShield utiliza
Windows Installer para instalar aplicaciones, lo que proporciona a los
administradores muchas capacidades para personalizar instalaciones, como por
ejemplo establecer valores de propiedad desde la línea de mandatos. En este
capítulo se describe cómo utilizar y ejecutar el paquete de instalación de Client
Security Solution. Para una mejor comprensión, lea primero todo el capítulo antes
de empezar a instalar estos paquetes.
Nota: Al instalar estos paquetes, consulte el archivo léame de Client Security

Solution. Consulte el siguiente sitio web de Lenovo:
http://www.lenovo.com/support/site.wss/document.do? sitestyle=lenovo
&lndocid=HOME-LENOVO
El archivo léame contiene información actualizada acerca de temas como las
versiones de software, los sistemas soportados, los requisitos del sistema y otras
consideraciones para ayudarle en el proceso de instalación.
Requisitos de instalación
La información en esta sección proporciona los requisitos del sistema para instalar
el paquete de Client Security Solution. Para obtener mejores resultados, vaya al
siguiente sitio web para asegurarse de que tiene la versión más reciente del
software:
http://www.lenovo.com/thinkvantage
Una serie de sistemas antiguos de IBM pueden dar soporte a Client Security
Solution, siempre que cumplan los requisitos especificados. Consulte el sitio web
en http://www.lenovo.com/thinkvantage si desea información acerca de los
sistemas de marca IBM que dan soporte a Client Security Solution.
Requisitos para sistemas IBM y Lenovo

Los sistemas IBM y Lenovo deben satisfacer como mínimo los siguientes requisitos
para poder instalar Client Security Solution:
v Sistema operativo: Windows Vista®, Windows Vista con Service Pack 1 o
Windows XP con Service Pack 3.
v Memoria: 256 MB
– En configuraciones de memoria compartida, el valor del BIOS para el máximo
de memoria compartida se debe establecer en un valor que no sea inferior a 8
MB.
– En configuraciones de memoria no compartida, 120 MB de memoria no
compartida.
v Internet Explorer 5.5 o superior debe estar instalado.

v 300 MB de espacio libre en el disco duro.
v Vídeo compatible con VGA que dé soporte a una resolución de 800 x 600 y de
color de 24 bits.
v El usuario debe tener privilegios de administración para instalar Client Security
Solution.
v Requisitos adicionales para el Restablecimiento de contraseña de hardware:
NTFS y Windows XP.
Nota: No se da soporte al despliegue del paquete de instalación de Client Security

Solution en Windows Server 2003.
Propiedades públicas de personalización

El paquete de instalación del programa Client Security Software contiene un
conjunto de propiedades públicas de personalización que se pueden establecer en
la línea de mandatos al ejecutar la instalación. La tabla siguiente proporciona las
propiedades públicas de personalización para Windows XP and Windows 2000:
Tabla 1. Propiedades públicas
Propiedad Descripción
EMULATIONMODE Especifica que se fuerce la instalación en
modalidad de emulación incluso si existe un
TPM. Especifique EMULATIONMODE=1 en
la línea de mandatos para instalar en
modalidad de emulación.
HALTIFTPMDISABLED Si TPM está en un estado inhabilitado y la
instalación se está ejecutando en modalidad
silenciosa, el valor predeterminado es que la
instalación continúe en modalidad de
emulación. Utilice la propiedad
HALTIFTPMDISABLED=1 al ejecutar la
instalación en modalidad silenciosa para
detener la instalación si TPM está
inhabilitado.
NOCSSWIZARD Establezca NOCSSWIZARD=1 en la línea de
mandatos para impedir que el diálogo de
registro de Client Security Solution se
visualice automáticamente después de
instalar Client Security Solution. Esta
propiedad se configura para un
administrador que desee instalar Client
Security Solution, pero utilizar scripts
posteriormente al configurar el sistema.
CSS_CONFIG_SCRIPT Establezca
CSS_CONFIG_SCRIPT=”nombrearchivo” o
“nombrearchivo contraseña” para que se
ejecute un archivo de configuración después
de que el usuario haya completado la
instalación y rearranque.

Tabla 1. Propiedades públicas (continuación)
SUPERVISORPW Establezca SUPERVISORPW=”contraseña” en
la línea de mandatos para proporcionar la
contraseña de supervisor para habilitar el
chip en modalidad de instalación silenciosa
o no silenciosa. Si el chip está inhabilitado y
la instalación se está ejecutando en
modalidad silenciosa, se debe proporcionar
la contraseña de supervisor correcta para
habilitar el chip; de lo contrario, el chip no
se habilitará.
PWMGRMODE Especifique PWMGRMODE=1 en la línea de
mandatos para instalar solamente Password
Manager.
NOSTARTMENU Especifique NOSTARTMENU=1 en la línea
de mandatos para impedir que se genere un
atajo en el menú de inicio.
Capítulo 2. Instalación 9
Soporte de Módulo de plataforma segura
Client Security Solution Versión 8.2 incluye soporte para el hardware de seguridad
incorporado del sistema: el Módulo de plataforma segura (TPM). Para Windows
2000 y XP, es posible que necesite descargar controladores para el TPM del sistema.
Si ejecuta Windows Vista y el sistema incluye un TPM soportado por el sistema
operativo, Client Security Solution utilizará los controladores proporcionados por
el sistema operativo.
Es posible que la habilitación del TPM requiera un rearranque, ya que el TPM es

habilitado por el BIOS del sistema. Si ejecuta Windows Vista, es posible que se le
solicite que confirme la habilitación del TPM durante el inicio del sistema.
Antes de que el Módulo de plataforma segura pueda realizar cualquier función,

debe inicializar primero la propiedad. Cada sistema tendrá sólo un administrador
de Client Security Solution que controlará las opciones de Client Security Solution.
Este administrador debe tener privilegios de administrador de Windows. El
administrador se puede inicializar utilizando los scripts de despliegue XML.
Después de configurar la propiedad del sistema, a cada usuario adicional de

Windows que inicie sesión en el sistema, el Asistente de configuración de Client
Security le solicitará automáticamente que se registre e inicialice las credenciales y
las claves de seguridad de usuario.
Emulación de software del Módulo de plataforma segura

Client Security Solution tiene la opción de ejecutarse sin un Módulo de plataforma
segura en sistemas cualificados. La funcionalidad será exactamente la misma
exceptuando el hecho de que utilizará claves basadas en software en lugar de
utilizar claves protegidas mediante hardware. El software también se puede
instalar con un conmutador para forzarlo a utilizar siempre claves basadas en
software en lugar de aprovechar el Módulo de plataforma segura. El uso de este
conmutador es una decisión que se realiza durante la instalación y no se puede
invertir sin desinstalar y volver a instalar el software.
La sintaxis para forzar una emulación de software del Módulo de plataforma

segura es:
InstallFile.exe “/v EMULATIONMODE=1”
Procedimientos de instalación y parámetros de la línea de

mandatos
Microsoft Windows Installer proporciona varias funciones de administrador
mediante los parámetros de la línea de mandatos. Windows Installer puede realizar
una instalación administrativa de una aplicación o de un producto en una red para
que éste sea utilizado por un grupo de trabajo o para la personalización del
mismo. Las opciones de la línea de mandatos que requieren un parámetro se deben
especificar sin ningún espacio entre la opción y su parámetro. Por ejemplo:
setup.exe /s /v"/qn REBOOT=”R”"
es válido, mientras que

setup.exe /s /v "/qn REBOOT=”R”"
no lo es.
Nota: El comportamiento predeterminado de la instalación cuando se ejecuta sola

(ejecutando setup.exe sin ningún parámetro) solicita al usuario que rearranque al

final de la instalación. Es necesario rearrancar para que el programa funcione
correctamente. Se puede aplazar el rearranque mediante un parámetro de la línea
de mandatos para una instalación silenciosa, tal como se ha explicado
anteriormente y en la sección de ejemplo.
Para el paquete de instalación de Client Security Solution, una instalación

administrativa desempaqueta los archivos fuente de la instalación en una ubicación
especificada.
Para ejecutar una instalación administrativa, ejecute el paquete de instalación

desde la línea de mandatos utilizando el parámetro /a:
setup.exe /a
Una instalación administrativa presenta un asistente que solicita al usuario

administrativo que especifique las ubicaciones donde desempaquetar los archivos
de instalación. La ubicación de extracción predeterminada es C:\. Puede
seleccionar una nueva ubicación que incluya unidades que no sean C:\. Por
ejemplo, otras unidades locales o unidades de red correlacionadas. También puede
crear nuevos directorios durante este paso.
Para ejecutar una instalación administrativa de forma silenciosa, puede establecer

la propiedad pública TARGETDIR en la línea de mandatos para especificar la
ubicación de extracción:
setup.exe /s /v"/qn TARGETDIR=F:\TVTRR"
o bien
msiexec.exe /i "Client Security - Password Manager.msi" /qn TARGERDIR=F:\TVTRR
Nota: Si la versión de Windows Installer no es actual, setup.exe está configurado

para actualizar el motor de Windows Installer a la Versión 3.0. Esta actualización
hará que la acción de instalación solicite que se rearranque incluso con una
instalación de extracción administrativa. Utilice el rearranque adecuadamente para
evitar un rearranque en esta situación. Si Windows Installer es como mínimola
versión 3.0, setup.exe no intentará instalar el motor de Windows Installer.
Una vez que se haya completado una instalación administrativa, el usuario

administrativo puede realizar personalizaciones en los archivos fuente, por
ejemplo, añadir valores al registro. Para instalar a partir de las fuentes
desempaquetadas después de que se hayan realizado personalizaciones, el usuario
llama a msiexec.exe desde la línea de mandatos, pasando el nombre del archivo
MSI desempaquetado.
Los parámetros y descripciones siguientes están documentados en la

documentación de ayuda del desarrollador de InstallShield. Se han eliminado los
parámetros que no son aplicables a proyectos de MSI básico.
Tabla 2. Parámetros
Parámetro Descripción
/a : Instalación administrativa El conmutador /a hace que setup.exe realice
una instalación administrativa. Una
instalación administrativa copia (y
descomprime) los archivos de datos en un
directorio especificado por el usuario, pero
no crea atajos, registra servidores COM ni
crea un registro de desinstalación.
Tabla 2. Parámetros (continuación)
/x : Modalidad de desinstalación El conmutador /x hace que setup.exe
desinstale un producto instalado
anteriormente.
/s : Modalidad silenciosa El mandato setup.exe /s suprime la ventana
de instalación de setup.exe para un
programa de instalación MSI básico, pero no
lee un archivo de respuestas. Los proyectos
MSI básico no crean ni utilizan un archivo
de respuestas para las instalaciones
silenciosas. Para ejecutar un producto de
MSI básico, ejecute la línea de mandatos
setup.exe /s /v/qn. (Para especificar los
valores de las propiedades públicas para una
instalación silenciosa de MSI básico, puede
utilizar un mandato como por ejemplo
setup.exe /s /v″/qn INSTALLDIR=D:\
Destino″).
/v : pasa argumentos a Msiexec El argumento /v se utiliza para pasar
conmutadores de la línea de mandatos y
valores de propiedades públicas a
msiexe.exe.
/L : configura el idioma Los usuarios pueden utilizar el conmutador
/L con el ID decimal de idioma para
especificar el idioma utilizado por el
programa de instalación en varios idiomas.
Por ejemplo, el mandato para especificar
alemán es setup.exe /L1031.
/w : Espera Para un proyecto MSI básico, el argumento
/w obliga a setup.exe a esperar hasta que se
complete la instalación antes de salir. Si está
utilizando la opción /w en un archivo de
proceso por lotes, es posible que deba
anteponer start /WAIT a todo el argumento
de la línea del mandato setup.exe. A
continuación se muestra un ejemplo
correctamente formado de este uso:
start /WAIT setup.exe /w
Utilización de msiexec.exe
Para instalar a partir de las fuentes desempaquetadas después de realizar las
personalizaciones, el usuario llama a msiexec.exe desde la línea de mandatos,
pasando el nombre del archivo *.MSI desempaquetado. msiexec.exe es el programa
ejecutable del Instalador utilizado para interpretar paquetes de instalación e
instalar productos en sistemas de destino.
msiexec /i "C:\CarpetaWindows\Perfiles\NombreUsuario\
Personal\MisValores\nombre proyecto\configuración del producto\nombre del release\
DiskImages\Disk1\nombre del producto.msi"
Nota: Entre el mandato anterior en una única línea sin espacios a continuación de
las barras inclinadas.
En la tabla siguiente se describen los parámetros de la línea de mandatos que se
pueden utilizar con msiexec.exe así como ejemplos de cómo utilizarlos.

Tabla 3. Parámetros de la línea de mandatos
/I paquete Utilice este formato para instalar el producto:
o bien Othello:msiexec /i "C:\CarpetaWindows\Perfiles\
código del producto
NombreUsuario\Personal\MisValores
\Othello\Versión de prueba\
Release\ImágenesDisco\Disco1\
Othello Beta.msi"
El código del producto se refiere al GUID (Globally Unique

Identifier) que se genera automáticamente en la propiedad
del código del producto de la vista de proyectos del
producto.
/a paquete La opción /a permite a los usuarios con privilegios de
administrador instalar un producto en la red.
/x paquete o código del La opción /x desinstala un producto.
producto
/L [i|w|e|a|r La creación con la opción /L especifica la vía de acceso al
|u|c|m|p|v|+] archivo de archivo de anotaciones; estos distintivos indican qué
anotaciones información se debe registrar en el archivo de anotaciones:
v i registra mensajes de estado
v w registra mensajes de aviso no críticos
v e registra cualquier mensaje de error
v a registra el inicio de las secuencias de acción
v r registra registros específicos de las acciones
v u registra solicitudes de usuario
v c registra parámetros iniciales de la interfaz de usuario
v m registra mensajes de falta de memoria
v p registra valores de terminal
v v registra el valor de salida detallada
v + se añade a un archivo existente
v * es un carácter comodín que le permite registrar toda la
información (excluido el valor de salida detallada)
/q [n|b|r|f] La opción /q se utiliza para establecer el nivel de interfaz
de usuario conjuntamente con los distintivos siguientes:
v q o qn no crea ninguna interfaz de usuario
v qb crea una interfaz de usuario básica
Los siguientes valores de la interfaz de usuario visualizan

un recuadro de diálogo modal al final de la instalación:
v qr visualiza una interfaz de usuario reducida
v qf visualiza una interfaz de usuario completa
v qn+ no visualiza ninguna interfaz de usuario
v qb+ visualiza una interfaz de usuario básica
/? o /h Ambos mandatos visualizan la insformación de copyright
de Windows Installer
Tabla 3. Parámetros de la línea de mandatos (continuación)
TRANSFORMS El parámetro de la línea de mandatos TRANSFORMS
especifica cualquier transformación que desee aplicar al
paquete base.
msiexec /i "C:\CarpetaWindows\
Perfiles\NombreUsuario\Personal
\MisValores\
El nombre de proyecto\Versión de prueba\
Mi Release-1
\DiskImages\Disk1\
NombreProducto.msi"
TRANSFORMS="Nueva transformación 1.mst"
Puede separar varias transformaciones mediante un signo

de punto y coma. No utilice punto y coma en el nombre de
la tansformación ya que el servicio de Windows Installer lo
interpretará incorrectamente.
Propiedades Todas las propiedades públicas se pueden establecer o
modificar desde la línea de mandatos. Las propiedades
públicas se distinguen de las propiedades privadas por el
hecho de que todas están en mayúsculas. Por ejemplo,
COMPANYNAME es una propiedad pública.
Para establecer una propiedad en la línea de mandatos,

utilice la sintaxis siguiente:
PROPERTY=VALUE
Si deseara cambiar el valor de COMPANYNAME,

especificaría lo siguiente:
msiexec /i "C:\CarpetaWindows\
Perfiles\NombreUsuario\Personal\
MisValores\El nombre de proyecto\
Versión de prueba\Mi release-1\
DiskImages\Disk1\NombreProducto.msi"
COMPANYNAME="InstallShield"
Propiedades públicas estándar de Windows Installer

Windows Installer tiene un conjunto de propiedades públicas estándar
incorporadas que se pueden establecer en la línea de mandatos para especificar un
comportamiento determinado durante la instalación. La tabla siguiente proporciona
las propiedades públicas más comunes utilizadas en la línea de mandatos.
Para obtener información adicional, consulte el sitio web de Microsoft en:

http://msdn2.microsoft.com/en-us/library/aa367437.aspx

La tabla siguiente muestra las propiedades más habitualmente utilizadas de
Windows Installer:
Tabla 4. Propiedades de Windows Installer
TARGETDIR Especifica el directorio de destino raíz para
la instalación. Durante una instalación
administrativa, esta propiedad es la
ubicación donde se debe copiar el paquete
de instalación.
ARPAUTHORIZEDCDFPREFIX URL del canal de actualización para la
aplicación.
ARPCOMMENTS Proporciona Comentarios para Agregar o
quitar programas del Panel de control.
ARPCONTACT Proporciona el Contacto para Agregar o
quitar programas en el Panel de control.
ARPINSTALLLOCATION Vía de acceso calificada totalmente de la
carpeta principal de la aplicación.
ARPNOMODIFY Inhabilita la funcionalidad que modificaría el
producto.
ARPNOREMOVE Inhabilita la funcionalidad que eliminaría el
producto.
ARPNOREPAIR Inhabilita el botón Reparar del asistente de
Programas.
ARPPRODUCTICON Especifica el icono principal para el paquete
de instalación.
ARPREADME Proporciona un archivo léame para Agregar
o quitar programas en el Panel de control.
ARPSIZE Tamaño aproximado de la aplicación en
kilobytes.
ARPSYSTEMCOMPONENT Evita que se visualice la aplicación en la lista
de Agregar o quitar programas.
ARPURLINFOABOUT URL de la página inicial de una aplicación.
ARPURLUPDATEINFO URL de la información de actualización de
la aplicación.
REBOOT La propiedad REBOOT suprime algunos
indicadores de solicitud para un rearranque
del sistema. Un administrador utiliza
normalmente esta propiedad con una serie
de instalaciones para instalar varios
productos al mismo tiempo con sólo un
rearranque al final. Establezca REBOOT=”R”
para inhabilitar el rearranque al final de una
instalación.
Archivo de anotaciones de instalación

El archivo de anotaciones de instalación de Client Security Solution se denomina
cssinstall82x32.log (para Windows XP y Windows Vista 32) o css64install82V.log
(para Windows Vista 64), y se crea en el directorio %temp% si la instalación se
inicia mediante setup.exe (efectúe una doble pulsación en el archivo install.exe
principal, ejecute el archivo ejecutable principal sin parámetros i extraiga msi y
ejecute setup.exe). Este archivo contiene mensajes de anotaciones que se pueden
utilizar para depurar problemas de instalación. Este archivo de anotaciones no se
crea al ejecutar la instalación directamente desde el paquete MSI; esto incluye
acciones realizadas desde Agregar o quitar programas. Para crear un archivo de
anotaciones para todas las acciones MSI, puede habilitar la política de anotaciones
en el registro. Para hacer esto, cree el valor:
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]
"Logging"="voicewarmup"
Ejemplos de instalación
La tabla siguiente proporciona ejemplos de instalación utilizando setup.exe:
Tabla 5. Ejemplos de instalación que utilizan setup.exe
Descripción Ejemplo
Instalación silenciosa sin rearranque. setup.exe /s /v”/qn REBOOT=”R””
Instalación administrativa. setup.exe /a
Instalación administrativa silenciosa setup.exe /a /s /v”/qn TARGETDIR=”F:
especificando la ubicación de extracción para \CSS82””
Client Security Software.
Desinstalación silenciosa setup.exe /s /x setup.exe /s /x /v/qn
/v/qn.
Instalación sin rearranque. Cree un archivo setup.exe /v”REBOOT=”R” /L*v %temp%
de anotaciones de instalación en el directorio \cssinstall80.log”
temporal para Client Security Software.
Instalación sin instalar el Área previa al setup.exe /vPDA=0
escritorio setup.exe /vPDA=0.
La tabla siguiente proporciona ejemplos de instalación que utilizan Client Security

- Password Manager.msi:
Tabla 6. Ejemplos de instalación que utilizan Client Security - Password Manager.msi
Descripción Ejemplo
Instalación msiexec /i “C:\CSS82\Client Security
Solution - Password Manager.msi”
Instalación silenciosa sin msiexec /i “C:\CSS82\Client Security
rearranque Solution - Password Manager.msi” /qn REBOOT=”R”
Desinstalación silenciosa msiexec /x “C:\CSS82\Client Security
Solution - Password Manager.msi” /qn
Instalación de Client Security Solution 8.21 con versiones

existentes
Client Security Solution se puede actualizar a partir de Client Security Solution 8.0
utilizando System Update. Para instalar Client Security Solution 8.21 con versiones
existentes anteriores a la versión 8.0 de Client Security Solution, instale primero
Client Security Solution 8.0 en el sistema.

Client Security Solution 8.0 no se puede instalar como una actualización de una
versión anterior. Debe desinstalar la versión existente de Client Security Solution
antes de instalar la versión 8.0. Para conservar los datos y los valores existentes,
complete los pasos siguientes antes de eliminar la versión anterior de Client
Security Solution:
1. Descargue Client Security Solution 8.0 Upgrade Assistant del siguiente sitio
web de Lenovo:
&lndocid=MIGR-46391
2. Desde la línea de mandatos, ejecute de manera silenciosa Client Security
Solution 8.0 Upgrade Assistant antes de eliminar la versión anterior de Client
Security Solution.
Además, los usuarios de Client Security Solution 7.0 deben actualizar a Client
Security Solution 8.0 antes de instalar Rescue and Recovery 4.0
Nota: Si está actualizando un sistema operativo, debe borrar el chip de seguridad

para evitar una anomalía de registro de Client Security Solution.
Instalación del Software de huellas dactilares de ThinkVantage

El archivo setup.exe del programa de software de huellas dactilares se puede
instalar mediante los métodos siguientes:
Instalación silenciosa
Para instalar de forma silenciosa el Software de huellas dactilares, ejecute el
archivo setup.exe ubicado en el directorio de instalación de la unidad de CD-ROM.
Utilice la sintaxis siguiente:

Setup.exe PROPERTY=VALUE /q /i
donde q es para la instalación silenciosa e i es para la instalación. Por ejemplo:

setup.exe INSTALLDIR="C:\Archivos de programa\Software de huellas dactilares
de ThinkVantage" /q /i
Para desinstalar el software, utilice el parámetro /x en lugar de /i:

setup.exe INSTALLDIR="C:\Archivos de programa\Software de huellas dactilares
de ThinkVantage" /q /x
Opciones
En el Software de huellas dactilares están soportadas las opciones siguientes:
Tabla 7. Opciones admitidas por el software de huellas dactilares
CTRLONCE Visualiza el Centro de control sólo una vez.
El valor predeterminado es 0.
CTLCNTR Ejecuta el Centro de control al arrancar. El
valor predeterminado es 1.
DEFFUS v 0 = no utilizará los valores de
Conmutación rápida de usuario (FUS).
v 1 = Intentará utilizar los valores de FUS.
Tabla 7. Opciones admitidas por el software de huellas dactilares (continuación)
INSTALLDIR El valor predeterminado es el directorio de
instalación del software de huellas dactilares.
OEM v 0 = Instala soporte para pasaportes de
servidor o autentificación de servidor
v 1 = Sólo modalidad autónoma del sistema
con pasaportes locales
PASSPORT El valor predeterminado es el tipo de
contraseña establecido durante la instalación.
v 1 = Valor predeterminado - Pasaporte
local
v 2 = Pasaporte del servidor
SECURITY v 1 = Instala soporte para la modalidad
segura
v 0 = No instala; sólo existe la modalidad
cómoda
SHORTCUTFOLDER El valor predeterminado es el nombre de la
carpeta de acceso directo en el menú Inicio.
REBOOT Suprime todos los rearranques, incluidos los
indicadores de solicitud durante la
instalación, estableciéndolo en Realmente
suprimir.
DEVICEBIO Configura el tipo de dispositivo que será
utilizado por el usuario. Tipo de registro:
v DEVICEBIO=#3 - sector del dispositivo
que se utilizará antes del primer registro.
v DEVICEBIO=#0 - se utilizará el registro en
la unidad de disco duro
v DEVICEBIO=#1 - se utilizará el registro en
CompanionChip
Instalación del Software de huellas dactilares de Lenovo

El archivo setup32.exe del programa de software de huellas dactilares se puede
instalar utilizando una de estos procedimientos:
Instalación silenciosa
Para realizar una instalación silenciosa del software de huellas dactilares, ejecute el
archivo setup32.exe que se encuentra en el directorio de instalación de la unidad
de CD-ROM.
Utilice la sintaxis siguiente:

setup32.exe /s /v"/qn REBOOT ="R""
Para desinstalar el software, utilice la sintaxis siguiente:

setup32.exe /x /s /v"/qn REBOOT="R""

Opciones
En el Software de huellas dactilares están soportadas las opciones siguientes:
Tabla 8. Opciones admitidas por el Software de huellas dactilares de Lenovo
SWAUTOSTART v 0 = no iniciará el software de huellas
dactilares durante el arranque de
Windows.
v 1 = iniciará el software de huellas
dactilares durante el arranque de
Windows.
SWFPLOGON v 0 = no utilizará el inicio de sesión de
huella dactilar (GINA o Credential
Provider).
v 1 = utilizará el inicio de sesión de huella
dactilar (GINA o Credential Provider).
SWPOPP v 0 = inhabilitará la protección de
contraseña de encendido.
v 1 = habilitará la protección de contraseña
de encendido.
SWSSO v 0 = inhabilitará la función de inicio de
sesión único.
v 1 = habilitará la función de inicio de
sesión único.
SWALLOWENROLL v 0 = no permite la inscripción de la huella
dactilar para usuarios que no sean
administradores.
v 1 = permite la inscripción de la huella
administradores.
SWALLOWDELETE v 0 = no permite la supresión de la huella
administradores.
v 1 = permite la supresión de la huella
administradores.
SWALLOWIMEXPORT v 0 = no permite la importación/
exportación de la huella dactilar para
usuarios que no sean administradores.
v 1 = permite la importación/exportación
de la huella dactilar para usuarios que no
sean administradores.
Tabla 8. Opciones admitidas por el Software de huellas dactilares de Lenovo (continuación)
SWALLOWSELECT v 0 = no permite la selección de utilizar la
huella dactilar para sustituir la contraseña
de encendido para usuarios que no sean
administradores.
v 1 = permite la selección de utilizar la
huella dactilar para sustituir la contraseña
de encendido para usuarios que no sean
administradores.
SWALLOWPWRECOVERY v 0 = no permite la recuperación de
contraseñas de Windows.
v 1 = permite la recuperación de
contraseñas de Windows.
SWANTIHAMMER v 0 = inhabilita la protección antigolpes.
v 1 = hablita la protección antigolpes.
SWANTIHAMMERRETRIES Especifica la cantidad máxima de reintentos.
Nota: Este valor funciona solamente cuando
se ha habilitado SWANTIHAMMER.
SWANTIHAMMERTIMEOUT Especifica la duración del tiempo de espera
en segundos. El valor predeterminado es
120.
Nota: Este valor funciona solamente cuando
se ha habilitado SWANTIHAMMER.
SWAUTHTIMEOUT v 0 = inhabilita el tiempo de espera de
autenticación.
v 1 = habilita el tiempo de espera de
autenticación.
SWAUTHTIMEOUTVALUE Especifica el períodod de inactividad antes
del tiempo de espera de autenticación, en
segundos. El valor predeterminado es 120.
Nota: Este valor solamente funciona cuando
está habilitado SWAUTHTIMEOUT.
SWNONADMIFPLOGONONLY v 0 = inhabilita el inicio de sesión solamente
con huella dactilar para usuarios que no
son administradores.
v 1 = habilita el inicio de sesión solamente
con huella dactilar para usuariosque no
son administradores.

Tabla 8. Opciones admitidas por el Software de huellas dactilares de Lenovo (continuación)
SWSHOWPOWERON v 0 = no muestra las opciones de seguridad
de encencido.
v 1 = muestra siempre las opciones de
seguridad de encendido.
CSS v 0 = supone que no se ha instalado CSS.
v 1 = supone que se ha instalado CSS.
Servidor de gestión de sistemas
También están soportadas las instalaciones de SMS (servidor de gestión de
sistemas). Abra la consola de administrador de SMS. Cree un nuevo paquete y
establezca las propiedades del paquete de la forma estándar. Abra el paquete y
seleccione Nuevo-Programa en el elemento Programas. En la línea de mandatos,
especifique:
Setup.exe /m nombrearchivomif /q /i
Puede utilizar los mismos parámetros que para la instalación silenciosa.
La instalación normalmente rearranca al final del proceso de instalación. Si desea

suprimir todos los rearranques durante la instalación y rearrancar posteriormente
(después de instalar más programas), añada REBOOT=″ReallySuppress″ a la lista
de propiedades.

Capítulo 3. Cómo trabajar con Client Security Solution
Antes de instalar Client Security Solution, debe comprender la personalización
disponible para Client Security Solution. En este capítulo se proporciona
información de personalización sobre Client Security Solution, así como
información relativa al Módulo de plataforma segura. Este capítulo utiliza términos
definidos por Trusted Computing Group (TCG) en relación al Módulo de
plataforma segura. Para obtener más información sobre el Módulo de plataforma
segura, consulte el siguiente sitio web:
http://www.trustedcomputinggroup.org/
Utilización del Módulo de plataforma segura

El Módulo de plataforma segura es un chip de seguridad incorporado diseñado
para proporcionar funciones relacionadas con la seguridad para el software que lo
utiliza. El chip de seguridad incorporado se instala en la placa madre de un
sistema y se comunica mediante un bus de hardware. Los sistemas que incorporan
un Módulo de plataforma segura pueden crear claves de cifrado y cifrarlas de
forma que sólo puedan ser descifradas por el mismo Módulo de plataforma
segura. Este proceso, a menudo denominado empaquetado, ayuda a proteger la clave
evitando que se revele. En un sistema con un Módulo de plataforma segura, la
clave de empaquetado maestra, denominada Clave raíz de almacenamiento (SRK -
Storage Root Key), se almacena en el propio Módulo de plataforma segura, de
forma que la parte privada de la clave nunca queda expuesta. El chip de seguridad
incorporado también puede almacenar otras claves de almacenamiento, claves de
firma, contraseñas y otras pequeñas unidades de datos. Debido a la capacidad
limitada de almacenamiento en el Módulo de plataforma segura, la SRK se utiliza
para cifrar otras claves para el almacenamiento fuera del chip. La SRK nunca deja
el chip de seguridad incorporado y forma la base para el almacenamiento
protegido.
La utilización del chip de seguridad incorporado es opcional y requiere un

Administrador de Client Security Solution. Ya sea para el usuario individual o para
un departamento de TI de una empresa, se debe inicializar el Módulo de
plataforma segura. Las operaciones subsiguientes, como por ejemplo la capacidad
de recuperarse de una anomalía del disco duro o la sustitución de la placa del
sistema, también están restringidas al Administrador de Client Security Solution.
Nota: Si está cambiando la modalidad de autentificación e intenta desbloquear el

chip de seguridad, debe cerrar la sesión y, a continuación, iniciar de nuevo la
sesión como el administrador maestro. Esto le permitirá desbloquear el chip.
También puede iniciar la sesión como un usuario secundario y continuar
convirtiendo la modalidad de autentificación. Esto se realiza automáticamente
cuando el usuario secundario inicia la sesión. Client Security Solution le solicitará
la contraseña o frase de paso del usuario secundario. Una vez que Client Security
Solution haya acabado de procesar el cambio, el usuario secundario puede
continuar desbloqueando el chip.

Utilización del Módulo de plataforma segura con Windows
Vista
Si está habilitado el inicio de sesión de Windows Vista y el Módulo de plataforma
segura está inhabilitado, debe inhabilitar la característica de inicio de sesión de
Windows antes de inhabilitar el Módulo de plataforma segura en F1 BIOS. Si hace
esto, evita que aparezca un mensaje de seguridad que indica lo siguiente: Se ha
desactivado el chip de seguridad, el proceso de inicio de sesión no se puede
proteger.
Además, si está actualizando el sistema operativo de un sistema cliente, debe

borrar el chip de seguridad para evitar una anomalía de registro de Client Security.
Para borrar el chip en F1 BIOS, el sistema se debe iniciar desde un arranque en
frío. No podrá borrar el chip si intenta este proceso después de un rearranque en
templado.
Gestión de Client Security Solution con claves de cifrado

Client Security Solution se describe mediante las dos actividades principales de
despliegue; Tomar propiedad y Registrar usuario. Al ejecutar el Asistente de
configuración de Cliente Security por primera vez, los procesos Tomar propiedad y
Registrar usuario se realizan durante la inicialización. El ID de usuario de
Windows específico que ha completado el Asistente de configuración de Client
Security Solution es el Administrador de Client Security Solution y se registra
como un usuario activo. A todos los demás usuarios que inicien sesión en el
sistema se les requerirá que se registren en Client Security Solution.
v Tomar propiedad
Se asigna un único ID de usuario administrador Windows al único
Administrador de Client Security Solution del sistema. Las funciones
administrativas de Client Security Solution se deben realizar mediante este ID de
usuario. La autorización del Módulo de plataforma segura es la contraseña de
Windows o la frase de paso de Client Security de este usuario.
Nota: La única forma de recuperar una contraseña de Administrador o frase de

paso olvidadas es desinstalar el software con los permisos válidos de Windows o
borrar el chip de seguridad en el BIOS. De cualquiera de las dos maneras se
perderán los datos protegidos mediante las claves asociadas con el Módulo de
plataforma segura. Client Security Solution también proporciona un mecanismo
opcional que permite la autorecuperación de una contraseña o frase de paso
olvidadas basándose en un reto pregunta-respuesta. El Administrador de Client
Security Solution toma la decisión sobre si utilizar esta función.
v Registrar usuario
Una vez que se haya completado el proceso Tomar propiedad y se haya creado
un Administrador de Client Security Solution, se podrá crear una clave base de
usuario para almacenar de forma segura credenciales para el usuario de
Windows. Este diseño permite que múltiples usuarios se registren en Client
Security Solution y aprovechen el único Módulo de plataforma segura. Las
claves de usuario están protegidas mediante el chip de seguridad, pero en
realidad se almacenan fuera del chip en la unidad de disco duro. Este diseño
crea espacio de disco duro como factor de almacenamiento con limitaciones en
lugar de memoria real incorporada en el chip de seguridad. El número de
usuarios que pueden aprovechar el mismo hardware seguro aumenta
considerablemente.

Tomar propiedad
La raíz de fiabilidad de Client Security Solution es la Clave raíz del sistema (SRK -
System Root Key). Esta clave asimétrica que no se puede migrar se genera en el
entorno seguro del Módulo de plataforma segura y nunca se expone al sistema. La
autorización para aprovechar la clave se deriva de la cuenta de administrador de
Windows durante el mandato TPM_TakeOwnership. Si el sistema está
aprovechando una frase de paso de Client Security, la frase de paso de Client
Security para el Administrador de Client Security Solution será la autorización del
Módulo de plataforma segura. De lo contrario, será la contraseña de Windows del
Administrador de Client Security Solution.
Una vez que se haya creado la SRK para el sistema, se podrán crear otros pares de
claves y estos se podrán almacenar fuera del Módulo de plataforma segura, pero
envueltos o protegidos mediante las claves basadas en hardware. Debido a que el
Módulo de plataforma segura que incluye la SRK es hardware y el hardware
puede resultar dañado, es necesario un mecanismo de recuperación para garantizar
la recuperación de los datos en caso de que se produzcan daños en el sistema.
Para recuperar un sistema se crea la Clave base del sistema. Esta clave de
almacenamiento asimétrica permite al Administrador de Client Security Solution la
recuperación de un cambio de la placa del sistema o la migración planificada a
otro sistema. A fin de proteger la Clave base del sistema pero permitir que sea
accesible durante el funcionamiento normal o durante la recuperación, se crean y
protegen dos instancias de la clave mediante dos métodos distintos. En primer
lugar, se cifra la Clave base del sistema con una clave simétrica AES que se deriva
sabiendo la contraseña del Administrador de Client Security Solution o la frase de
paso de Client Security. Esta copia de la Clave de recuperación de Client Security
Solution se utiliza exclusivamente a fin de realizar la recuperación de un Módulo
de plataforma segura borrado o de una placa del sistema sustituida debido a un
fallo de hardware.
La segunda instancia de la Clave de recuperación de Client Security Solution es

empaquetada por la SRK para importarla en la jerarquía de claves. Esta doble
instancia de la Clave base del sistema permite al Módulo de plataforma segura
proteger los secretos vinculados al mismo más abajo durante la utilización normal
y permite la recuperación de una placa del sistema fallida mediante la Clave base
del sistema que está cifrada con una clave AES desbloqueada por la contraseña de
Administrador de Client Security Solution o la frase de paso de Client Security. A
continuación, se crea la Clave hoja del sistema. Esta clave se crea para proteger los
secretos a nivel del sistema como por ejemplo la clave AES.
Capítulo 3. Cómo trabajar con Client Security Solution 25

El diagrama siguiente proporciona la estructura para la clave a nivel del sistema:
Figura 1. Estructura de clave a nivel del sistema - Tomar propiedad
Registrar usuario
Para que los datos de cada usuario estén protegidos mediante el mismo Módulo de
plataforma segura, cada usuario tendrá creada su propia Clave base de usuario.
Esta clave de almacenamiento asimétrica se puede migrar y también se crea dos
veces y se protege mediante una clave AES simétrica generada a partir de la
contraseña de usuario de Windows o frase de paso de Client Security.
La segunda instancia de la Clave base de usuario se importa seguidamente en el

Módulo de plataforma segura y se protege mediante la SRK del sistema. Con la
Clave base de usuario, también se crea una clave asimétrica secundaria
denominada Clave hoja de usuario. La Clave hoja de usuario protege secretos
personales como por ejemplo la clave AES de Password Manager utilizada para
proteger la información de inicio de sesión en Internet, la contraseña utilizada para
proteger datos y la clave AES de contraseña de Windows utilizada para proteger el
acceso al sistema operativo. El acceso a la Clave hoja de usuario lo controla la
contraseña de Windows o la frase de paso de Client Security Solution del usuario y
se desbloquea automáticamente durante el inicio de sesión.

El diagrama siguiente proporciona la estructura para la clave a nivel de usuario:
Figura 2. Estructura de clave a nivel de usuario - Registrar usuario
Inscripción en segundo plano

Client Security Solution 8.21 da soporte a la inscripción en segundo plano para
inscripciones de usuario que se inician automáticamente. El proceso de inscripción
se ejecuta en segundo plano sin mostrar ninguna notificación.
Nota: La inscripción en segundo plano solamente está disponible para las

inscripciones de usuario que se inician automáticamente. Para inscripciones de
usuario que se inician manualmente, desde el menú de inicio o desde Restablecer
valores de seguridad, aparecerá un diálogo en el que se indica al usuario que
espere a realizar la inscripción de usuario.
El administrador local o el administrador de dominio también pueden forzar la
aparición del diálogo de espera editando la siguiente política:
CSS_GUI_ALWAYS_SHOW_ENROLLMENT_PROCESSING
O editando la siguiente clave de registro:

HKLM\software\policies\lenovo\client security solution\GUI options\
AlwaysShowEnrollmentProcessing
El valor predeterminado de AlwaysShowEnrollmentProcessing es 0. Cuando la clave

de registro anterior se establece en 0, el diálogo de espera no aparecerá aquellas
inscripciones de usuario que se hayan iniciado automáticamente. Cuando esta
política se establece en 1, el diálogo de espera aparecerá siempre durante la
inscripción de usuario independientemente de cómo se inicie la inscripción.
Emulación de software
Para proporcionar una experiencia homogénea para el usuario cuyo sistema no
dispone de TPM, CSS da soporte a la modalidad de emulación de TPM.
La modalidad de emulación de TPM es una raíz de fiabilidad basada en el

software. Las mismas prestaciones que proporciona TPM, incluidas la firma digital,

la descripción de clave simétrica, la importación y protección de claves RSA así
como la generación aleatoria de números, están disponibles para el usuario, salvo
que hay una menor seguridad debido a que la raíz de fiabilidad se basa en claves
basadas en software.
La modalidad de emulación de TPM no se puede utilizar como sustituto de

seguridad para TPM. TPM proporciona los siguientes dos métodos de protección
de claves que son más seguros que la modalidad de emulación de TPM.
v Todas las claves que utiliza TPM se protegen mediante una sola clave de nivel
raíz. La única clave de nivel raíz se crea en el interior de TPM y no se puede ver
ni utilizar fuera de TPM. En la modalidad de emulación de TPM, la clave de
nivel raíz es una clave basada en el software que se almacena en la unidad de
disco duro.
v Todas las operaciones de clave privada se realizan en TPM, de forma que el
material de clave privada para cualquier clave no está nunca expuesto fuero de
TPM. En la modalidad de emulación de TPM, todas las operaciones de clave
privada se realizan en el software, por lo que no hay protección del material de
clave privada.
La modalidad de emulación de TPM es principalmente para el usuario al que le

preocupa poco la seguridad pero más la velocidad de inicio de sesión del sistema.
Cambio de la placa del sistema

Un cambio de la placa del sistema implica que la SRK anterior a la que estaban
vinculadas las claves ya no es válida, y es necesaria otra SRK. Esto también puede
suceder si se borra mediante el BIOS el Módulo de plataforma segura.
Es necesario que el administrador de Client Security Solution vincule las

credenciales del sistema a una nueva SRK. Será necesario descifrar la Clave base
del sistema mediante la Clave de protección AES base del sistema derivada de las
credenciales de autorización del Administrador de Client Security Solution.
Si un Administrador de Client Security Solution es un ID de usuario de dominio y

la contraseña de dicho ID de usuario se ha cambiado en una máquina distinta,
para descifrar la Clave base del sistema para la recuperación será necesario conocer
la contraseña que se utilizó al iniciar sesión por última vez en el sistema. Por
ejemplo, durante el despliegue se configurarán un ID de usuario y una contraseña
de Administrador de Client Security Solution; si la contraseña de este usuario
cambia en una máquina distinta, la contraseña original establecida durante el
despliegue será la autorización necesaria a fin de recuperar el sistema.
Siga estos pasos para realizar un cambio de la placa del sistema:

1. El administrador de Client Security Solution inicia sesión en el sistema
operativo.
2. El código ejecutado de inicio de sesión (cssplanarswap.exe) reconoce que el
chip de seguridad está inhabilitado y requiere que se rearranque para
habilitarlo. (Este paso se puede evitar habilitando el chip de seguridad
mediante el BIOS).
3. Se rearranca el sistema y se habilita el chip de seguridad.
4. El administrador de Client Security Solution inicia la sesión; finaliza el nuevo
proceso de Tomar propiedad.
5. Se descifra la Clave base del sistema utilizando la Clave de protección AES
base del sistema que se deriva de la autentificación de administrador de Client

Security Solution. Se importa la Clave base del sistema en la nueva SRK y se
restablece la Clave hoja del sistema y todas las credenciales protegidas por ésta.
6. El sistema está ahora recuperado.
Nota: Cuando se utiliza la Modalidad de emulación, no es necesario cambiar la

placa del sistema.
El diagrama siguiente proporciona la estructura para el intercambio de placa base -

tomar propiedad:
Figura 3. Intercambio de placa base - Tomar propiedad
Conforme cada usuario inicia sesión en el sistema, la Clave base de usuario se

descifra automáticamente mediante la Clave de protección AES base de usuario
derivada de la autentificación de usuario e importada a la nueva SRK creada
mediante el administrador de Client Security Solution. El diagrama siguiente
proporciona la estructura para el intercambio de placa base - registrar usuario:
Para que un segundo usuario inicie la sesión después de que se haya borrado el
chip o después de sustituir la placa madre, debe iniciar la sesión como el
administrador maestro. Se solicitará al administrador maestro que restaure las
claves. Una vez que se haya completado la restauración de las claves, utilice el
Gestor de políticas para inhabilitar el inicio de sesión de Windows de Client
Security. Los demás usuarios podrán restaurar sus claves respectivas. Una vez que
todos los usuarios secundarios hayan restaurado sus claves, el administrador
maestro puede habilitar la función de inicio de sesión de Windows de Client
Security Solution.

El diagrama siguiente proporciona la estructura para el intercambio de placa base -
registrar usuario:
Figura 4. Intercambio de placa base - Registrar usuario
Programa de utilidad de protección de EFS

Client Security Solution proporciona un programa de utilidad de la línea de
mandatos que permite la protección basada en el TPM de certificados de cifrado
utilizados por el Sistema de cifrado de archivos (EFS) para cifrar archivos y
carpetas. Este programa de utilidad da soporte a la transferencia de certificados de
terceros (certificados generados por una entidad emisora de certificados) y también
da soporte a la generación de certificados autofirmados.
La protección del certificado de EFS por parte de Client Security Solution significa
que la clave privada asociada con el certificado de EFS está protegida por el TPM.
Se otorga acceso al certificado después de que el usuario se haya autentificado en
Client Security Solution.
Si no hay ningún TPM disponible, el certificado de EFS se protege utilizando el

emulador del TPM proporcionado por Client Security Solution. Debe registrarse
con Client Security Solution para poder tener los certificados de EFS protegidos
por Client Security Solution.
PRECAUCIÓN:
Si utiliza Client Security Solution y el Sistema de cifrado de archivos (EFS) para
cifrar archivos y carpetas, cada vez que Client Security Solution o el Módulo de
plataforma segura no esté disponible no podrá acceder a los archivos cifrados.
Si el Módulo de plataforma segura deja de responder, Client Security Solution

restaurará el acceso a los datos cifrados una vez que se haya sustituido la placa
base.

Utilización del programa de utilidad de la línea de mandatos de
EFS
La tabla siguiente proporciona los parámetros de la línea de mandatos que están
soportados para EFS:
Tabla 9. Parámetros de la línea de mandatos admitidos para EFS
/generate:<tamaño> Genera un certificado autofirmado y asocia
el certificado con EFS. Si se especifica
<tamaño>, la clave generada será del
tamaño de bit especificado. Los valores
válidos incluyen 512, 1024 y 2048. Si no se
especifica ningún valor, o si se especifica un
valor no válido, el valor predeterminado
será la generación de claves de 1024 bits.
/sn:xxxxxx Especifica el número de serie de un
certificado existente que se debe transferir y
asociar con EFS.
/cn:yyyyyy Especifica el nombre (″issued to″) de un
certificado existente que se debe transferir y
asociar con EFS.
/firstavail Transfiere el primer certificado de EFS
existente disponible y lo asocia a EFS.
/silent No visualiza ninguna salida. Los códigos de
retorno proporcionados por el valor cuando
se sale del programa.
/? o /h o /help Visualiza la información de ayuda.
Cuando no se ejecuta en modalidad silenciosa, el programa de utilidad devolverá

uno de los errores siguientes:
0 - "El mandato se ha completado satisfactoriamente"
1 - "Este programa de utilidad requiere Windows XP"
2 - "Este programa de utilidad requiere Client Security Solution versión 8.0"
3 - "El usuario actual no está registrado con Client Security Solution"
4 - "No se ha podido encontrar el certificado especificado"
5 - "No se ha podido generar un certificado autofirmado”
6 - "No se ha encontrado ningún certificado de EFS"
7 - "No se ha podido asociar el certificado con EFS”
Al ejecutar en modalidad silenciosa, la salida del programa será un nivel de error

correspondiente a los números de errores que se muestran más arriba.
Utilización del esquema XML

El propósito de los scripts XML es permitir a los administradores de TI crear
scripts personalizados que se puedan utilizar para desplegar y configurar Client
Security Solution. Los scripts se pueden proteger mediante el ejecutable
xml_crypt_tool con una contraseña tal como el cifrado AES. Una vez creada, la
máquina virtual (vmserver.exe) acepta los scripts como entrada. La máquina virtual
llama a las mismas funciones que el Asistente de configuración de Client Security
Solution para configurar el software.
Todos los scripts constan de una etiqueta para especificar el tipo de codificación
XML, el esquema XML y como mínimo una función a realizar. El esquema se
utiliza para validar el archivo XML y comprobar si existen todos los parámetros

necesarios. Actualmente no se fuerza la utilización del esquema. Cada función está
entre etiquetas de función. Cada función contiene una orden que especifica el
orden en el que la máquina virtual (vmserver.exe) ejecutará el mandato. Cada
versión tiene también un número de versión; actualmente todas las funciones están
en la versión 1.0. Cada uno de los siguientes scripts de ejemplo sólo contiene una
función. Sin embargo, en la práctica un script contendrá posiblemente varias
funciones. El Asistente de configuración de Client Security Solution se puede
utilizar para crear un script de este tipo. Para obtener información adicional sobre
la creación de scripts con el asistente de configuración, consulte “Asistente de
configuración de Client Security Solution” en la página 44.
Nota: Si se omite el parámetro <DOMAIN_NAME_PARAMETER> en cualquiera

de las funciones que requieren un nombre de dominio, se utilizará el nombre del
sistema predeterminado.
Ejemplos
Los mandatos siguientes son ejemplos del esquema XML:
ENABLE_TPM_FUNCTION
Este mandato habilita el Módulo de plataforma segura y utiliza el argumento
SYSTEM_PAP. Si el sistema ya tiene establecida una contraseña de administrador o
supervisor del BIOS, se debe proporcionar este argumento. De lo contrario, este
mandato es opcional.
<tvt_deployment xmlns ="http://www.lenovo.com"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance " xsi:schemaLocation="
http://www.lenovo.com cssDeploy.xsd">
< registry_settings />
< /tvt_deployment >
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>ENABLE_TPM_FUNCTION</COMMAND>
<VERSION>1.0</VERSION>
<SYSTEM_PAP>PASSWORD</SYSTEM_PAP>
</FUNCTION>
</CSSFile>
Nota: Este mandato no recibe soporte en la modalidad de emulación.
DISABLE_TPM_FUNCTION
Este mandato utiliza el argumento SYSTEM_PAP. Si el sistema ya tiene establecida
una contraseña de administrador o supervisor del BIOS, se debe proporcionar este
argumento. De lo contrario, este mandato es opcional.
< /tvt_deployment
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>DISABLE_TPM_FUNCTION</COMMAND>
<SYSTEM_PAP>password</SYSTEM_PAP>
</FUNCTION>
</CSSFile>

ENABLE_PWMGR_FUNCTION
Este mandato habilita Password Manager para todos los usuarios de Client
Security Solution.
<?xml version="1.0" encoding="UTF-8" standalone="no" ?>
<CSSFile xmlns="www.lenovo.com/security/CSS">
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>ENABLE_PWMGR_FUNCTION</COMMAND>
</FUNCTION>
</CSSFile>
ENABLE_CSS_GINA_FUNCTION
Para Windows 2000, XP y Vista, este mandato habilita el inicio de sesión de Client
Security Solution:
- <tvt_deployment xmlns ="http://www.lenovo.com"
< /tvt_deployment
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>ENABLE_CSS_GINA_FUNCTION</COMMAND>
</FUNCTION>
</CSSFile>
ENABLE_UPEK_GINA_FUNCTION
Notas:
1. Este mandato solamente es para el Software de huellas dactilares de
ThinkVantage.
2. Este mandato no recibe soporte en la modalidad de emulación.
El mandato siguiente habilita el inicio de sesión de Windows de huella dactilar de

ThinkVantage e inhabilita el inicio de sesión de Windows de Client Security
Solution.
< /tvt_deployment >
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>ENABLE_UPEK_GINA_FUNCTION</COMMAND>
</FUNCTION>
</CSSFile>
ENABLE_UPEK_GINA_WITH_FUS_FUNCTION
Notas:
1. Este mandato solamente es para el Software de huellas dactilares de
ThinkVantage.
El mandato siguiente habilita el inicio de sesión con el soporte de conmutación de

usuario rápida e inhabilita el inicio de sesión de Windows de Client Security
Solution. La conmutación de usuario rápida puede que no esté habilitada según los
valores del sistema.

< /tvt_deployment
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>ENABLE_UPEK_GINA_WIH_FUS_FUNCTION</COMMAND>
</FUNCTION>
</CSSFile>
ENABLE_AUTHENTEC_GINA_FUNCTION
Notas:
1. Este mandato es solamente para el Software de huellas dactilares de Lenovo.
El mandato siguiente habilita el inicio de sesión de Windows de huella dactilar de

Lenovo e inhabilita el inicio de sesión de Windows de Client Security Solution.
< /tvt_deployment >
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>ENABLE_AUTHENTEC_GINA_FUNCTION</COMMAND>
</FUNCTION>
</CSSFile>
ENABLE_AUTHENTEC_GINA_WITH_FUS_FUNCTION
Notas:
1. Este mandato es solamente para el Software de huellas dactilares de Lenovo.
El mandato siguiente habilita el inicio de sesión con el soporte de conmutación de

usuario rápida e inhabilita el inicio de sesión de Windows de Client Security
Solution. La conmutación de usuario rápida puede que no esté habilitada según los
valores del sistema.
< /tvt_deployment
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>ENABLE_AUTHENTEC_GINA_WIH_FUS_FUNCTION</COMMAND>
</FUNCTION>
</CSSFile>
ENABLE_NONE_GINA_FUNCTION
Si se ha habilitado el inicio de sesión de alguno de los componentes de TVT
relacionados con GINA como por ejemplo el Software de huellas dactilares de
ThinkVantage, Client Security Solution o Access Connection, este mandato
inhabilitará los inicios de sesión del Software de huellas dactilares de
ThinkVantage y de Client Security Solution.

< /tvt_deployment
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>ENABLE_CSS_NONE_FUNCTION</COMMAND>
</FUNCTION>
</CSSFile>
SET_PP_FLAG_FUNCTION
Este mandato graba un distintivo que Client Security Solution lee para determinar
si se debe utilizar la frase de paso de Client Security o una contraseña de
Windows.
< /tvt_deployment
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>SET_PP_FLAG_FUNCTION</COMMAND>
<PP_FLAG_SETTING_PARAMETER>USE_CSS_PP</PP_FLAG_SETTING_PARAMETER>
</FUNCTION>
</CSSFile>
SET_ADMIN_USER_FUNCTION
Este mandato graba un distintivo que Client Security Solution lee para determinar
quién es el administrador. Los parámetros son los siguientes:
v USER_NAME_PARAMETER
Nombre de usuario del administrador.
v DOMAIN_NAME_PARAMETER
Nombre de dominio del administrador.
< /tvt_deployment
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>SET_ADMIN_USER_FUNCTION</COMMAND>
<USER_NAME_PARAMETER>sabedi</USER_NAME_PARAMETER>
<DOMAIN_NAME_PARAMETER>IBM-2AA92582C79<DOMAIN_NAME_PARAMETER>
<SYSTEM_PAP>PASSWORD</SYSTEM_PAP>
</FUNCTION>
</CSSFile>
INITIALIZE_SYSTEM_FUNCTION
Este mandato inicializa la función del sistema de Client Security Solution. Las
claves aplicables a todo el sistema se generan mediante esta llamada de función. La
siguiente lista de parámetros explica cada función:

v NEW_OWNER_AUTH_DATA_PARAMETER
Este parámetro se utiliza para establecer la nueva contraseña de usuario para el
sistema. Para la nueva contraseña de propietario, el valor de este parámetro está
controlado por la contraseña de propietario actual. Si no se establece la
contraseña de propietario actual, el valor pasado para este argumento se
convertirá en la nueva contraseña de propietario. Si ya está establecida la
contraseña de propietario actual y el administrador utiliza la misma contraseña
de propietario actual, se pasará ese valor en este parámetro. Si el administrador
utiliza una nueva contraseña de propietario, la nueva contraseña de propietario
se pasará en este parámetro.
v CURRENT_OWNER_AUTH_DATA_PARAMETER
Este parámetro es la contraseña de propietario actual del sistema. Si el sistema
ya tiene una contraseña de propietario existente, este parámetro debe pasar la
contraseña anterior. Si se solicita una nueva contraseña de propietario, se debe
pasar la contraseña de propietario actual en este parámetro. Si no se configura
ningún cambio de contraseña, se pasa el valor NO_CURRENT_OWNER_AUTH.
< /tvt_deployment
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>INITIALIZE_SYSTEM_FUNCTION</COMMAND>
<NEW_OWNER_AUTH_DATA_PARAMETER>contra1seña</NEW_OWNER_AUTH_DATA_
PARAMETER>
<CURRENT_OWNER_AUTH_DATA_PARAMETER>No_CURRENT_OWNER_AUTH</CURRENT
_OWNER_AUTH_DATA_PARAMETER>
</FUNCTION>
</CSSFile>
CHANGE_TPM_OWNER_AUTH_FUNCTION
Este mandato cambia la autorización de administrador de Client Security Solution
y actualiza las claves del sistema en consecuencia. Las claves aplicables a todo el
sistema se vuelven a generar mediante esta llamada de función. Los parámetros
son los siguientes:
v NEW_OWNER_AUTH_DATA_PARAMETER
Nueva contraseña de propietario del Módulo de plataforma segura.
v CURRENT_OWNER_AUTH_DATA_PARAMETER
Contraseña de propietario actual del Módulo de plataforma segura.
< /tvt_deployment
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>CHANGE_TPM_OWNER_AUTH_FUNCTION</COMMAND>
<NEW_OWNER_AUTH_DATA_PARAMETER>nuevaContraseña</NEW_OWNER_AUTH_DATA_
PARAMETER>
<CURRENT_OWNER_AUTH_DATA_PARAMETER>ContraseñaAntigua</CURRENT_OWNER_AUTH
_DATA_PARAMETER>
</FUNCTION>
</CSSFile>

ENROLL_USER_FUNCTION
Este mandato registra un usuario determinado para utilizar Client Security
Solution. Esta función crea todas las claves de seguridad específicas del usuario
para un usuario determinado. Los parámetros son los siguientes:
Nombre de usuario del usuario que se registrará.
Nombre de dominio del usuario que se registrará.
v USER_AUTH_DATA_PARAMETER
Frase de paso del Módulo de plataforma segura o contraseña de Windows con la
que se crearán las claves de seguridad de usuario.
v WIN_PW_PARAMETER
La contraseña de Windows.
< /tvt_deployment
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>ENROLL_USER_FUNCTION</COMMAND>
<USER_AUTH_DATA_PARAMETER>miFrasepasoUsuarioCss</USER_AUTH_DATA_PARAMETER>
<WIN_PW_PARAMETER>miContraseñaWindows</WIN_PW_PARAMETER>
</FUNCTION>
</CSSFile>
USER_PW_RECOVERY_FUNCTION
Este mandato configura una recuperación de contraseña de un usuario
determinado. Los parámetros son los siguientes:
Nombre de usuario del usuario que se registrará.
Nombre de dominio del usuario que se registrará.
v USER_PW_REC_QUESTION_COUNT
Número de preguntas que el usuario debe responder.
v USER_PW_REC_ANSWER_DATA_PARAMETER
Respuesta almacenada a una pregunta determinada. El nombre real de este
parámetro está conectado a un número que se corresponde con la pregunta a la
que responde.
v USER_PW_REC_STORED_PASSWORD_PARAMETER
Contraseña almacenada que se presenta al usuario una vez que se han
contestado todas las preguntas correctamente.
< /tvt_deployment
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>USER_PW_RECOVERY_FUNCTION</COMMAND>

<USER_PW_REC_ANSWER_DATA_PARAMETER>Test1</USER_PW_REC_ANSWER_DATA_PARA
METER>
METER>
METER>
<USER_PW_REC_QUESTION_COUNT>3</USER_PW_REC_QUESTION_COUNT>
<USER_PW_REC_QUESTION_LIST>20000,20001,20002</USER_PW_REC_QUESTION_LIST>
</USER_PW_REC_STORED_PASSWORD_PARAMETER>Pass1word</USER_PW_REC_STORED_PASS
WORD_PARAMETER>
</FUNCTION>
</CSSFile>
GENERATE_MULTI_FACTOR_DEVICE_FUNCTION
Este mandato genera los dispositivos de varios factores de Client Security Solution
utilizados para la autentificación. Los parámetros son los siguientes:
v USER_NAME_PARAMETER - Nombre de usuario del administrador.
v DOMAIN_NAME_PARAMETER - Nombre de dominio del administrador.
v MULTI_FACTOR_DEVICE_USER_AUTH - Frase de paso de Client Security o
contraseña de Windows para crear las claves de seguridad de usuario.
<CSSFile=xmlns="www.ibm.com/security/CSS">
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>GENERATE_MULTI_FACTOR_DEVICE_FUNCTION</COMMAND>
<USER_NAME_PARAMETER>miNombreUsuario</USER_NAME_PARAMETER>
<DOMAIN_NAME_PARAMETER>nombreDominio</DOMAIN_NAME_PARAMETER>
<MULTI_FACTOR_DEVICE_USER_AUTH>miFraseDePasoUsuarioCss</MULTI_FACTOR_DEVICE_USER_AUTH>
</FUNCTION>
</CSSFile>
SETUP_PDA_FUNCTION
Este mandato configura el Área previa al escritorio para su uso con Client Security
Solution:
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>SETUP_PDA_FUNCTION</COMMAND>
</FUNCTION>
</CSSFile>
SET_USER_AUTH_FUNCTION
Este mandato establece la autentificación de usuario de Client Security Solution:
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>SET_USER_AUTH_FUNCTION</COMMAND>
</FUNCTION>
</CSSFile>

Utilización de SmartCards
Las SmartCards proporcionan un nivel adicional de seguridad. Diseñado para dar
soporte a empresas que utilicen SmartCards para autentificar la identidad, Client
Security Solution 8.21 tiene soporte y capacidades de SmartCard. Puede utilizar
una SmartCard para iniciar la sesión en un sistema en casos en los que Client
Security Solution requiera una autentificación de usuario, como por ejemplo el
inicio de sesión de Windows y Password Manager.
Instalación del paquete de la SmartCard

Descargue e instale opcssmid.exe del sitio web de Lenovo ubicado en:
http://www.lenovo.com/support/site.wss/document.do?lndocid=MIGR-66960
Requisitos
La lista siguiente proporciona los requisitos de Client Security Solution con
capacidades de SmartCard:
v Debe haber instalado un lector de SmartCard, ya sea internamente o conectado
mediante un puerto USB (bus serie universal).
v La SmartCard debe estar registrada para ser utilizada por Client Security
Solution. Se puede acceder al registro de la SmartCard mediante Client Security
Solution.
v Sólo se puede registrar una sola SmartCard por cada usuario.
v Debe haber como mínimo un certificado en la SmartCard para firmas digitales.
Si se detecta más de un certificado válido en la tarjeta, se le solicitará que
seleccione uno de los certificados.
v Se debe configurar la SmartCard con un PIN.
Cómo funciona
Una SmartCard tiene el tamaño de una tarjeta de crédito y tiene un chip
incorporado dentro de la tarjeta. Cuando inserta una SmartCard en un lector de
tarjetas, el lector de tarjetas lee los datos almacenados en el chip incorporado de la
SmartCard.
Registro de la SmartCard
Si se detecta un lector de SmartCard, puede registrar la SmartCard con Client
Security Solution. Si no se detecta ningún lector de SmartCard, la opción estará
inhabilitada. Se pueden registrar las SmartCard, y anular el registro de las mismas,
sin perder las credenciales de Client Security Solution.
PIN
Cuando se le solicite, debe especificar el PIN de la SmartCard. Cuando inserte la
tarjeta, el PIN se validará. Después de validar el PIN, se utilizará el certificado
registrado original para autentificar la identidad del usuario. Client Security
Solucion no restringe el máximo de reintentos del PIN de la SmartCard. Si el PIN
falla, se le solicitará que vuelva a especificar el PIN.
Soporte del Gestor de políticas

El Gestor de políticas le permitirá la selección de una SmartCard para que sea
utilizada como un dispositivo de autentificación. Si selecciona utilizar una
contraseña o frase de paso, puede alterar temporalmente la SmartCard
estableciendo las políticas en el Gestor de políticas.

Si anula el registro de las SmartCards para todos los usuarios, se recomienda que
desactive la opción de política de SmartCard en el Gestor de políticas de Client
Security Solution.
Utilización de señales RSA SecurID

Aprovechando el método de algoritmo de cifrado de los datos de cifrado, la
utilización de las señales RSA SecurID además de Client Security Solution
proporcionará seguridad de múltiples factores. Utilizando señales RSA SecurID, los
usuarios se autentifican en las redes y el software utilizando su ID de usuario o
PIN y un disponsitivo de señal. El dispositivo de señal muestra una serie de
números que cambian cada sesenta segundos. Este método de autentificación
proporciona un nivel mucho más fiable de autentificación de usuario que las
contraseñas reutilizables.
Instalación de la señal de software RSA SecurID

Complete los pasos siguientes para instalar el software RSA SecurID:
1. Vaya al siguiente sitio web:
http://www.rsasecurity.com/node.asp?id=1156
2. Complete el proceso de registro.
3. Descargue e instale el software RSA SecurID.
Requisitos
1. Cada usuario de Windows debe estar registrado con Client Security Solution
para que el software de RSA funcione correctamente después de haber sido
asociado con Client Security Solution.
2. El software de RSA entrará en un bucle infinito intentando la autentificación
con un usuario de Windows que no está registrado en Client Security Solution.
Registre el usuario con Client Security Solution para solucionar este problema.
Establecimiento de las opciones de acceso de la SmartCard

Para establecer las opciones de acceso de la SmartCard, complete los pasos
siguientes:
1. En el menú principal de RSA SecurID, pulse Tools y luego Smart Card Access
Options.
2. En el panel Smart Card Communication, seleccione el botón de selección de
Access the Smart Card through a PKCS #11 module.
3. Pulse el botón Browse y navegue hasta la siguiente vía de acceso:
C:\Archivos de programa\LENOVO\Client Security Solution\csspkcs11.dll
4. Pulse el archivo csspkcs11.dll y luego pulse Select.
5. Pulse Aceptar.
Instalación manual de la señal de software RSA SecurID

Para aprovechar la protección de Client Security Solution con la señal de software
de RSA SecurID, complete los pasos siguientes:
1. En el menú principal de RSA SecurID Software Token, pulse File y, a
continuación, pulse Import Tokens.
2. Navegue hasta la ubicación del archivo SDTID y luego pulse Open.
3. En el panel Select Token(s) to Install, resalte los números de serie de las
señales de software que desee.

4. Pulse Transfer Selected Tokens Smart Card.
Nota: Si la señal tiene una contraseña de distribución, especifique la contraseña

cuando se le solicite.
5. Pulse Aceptar.
Soporte de Active Directory

La siguiente vía de acceso proporciona la vía de acceso del directorio para el
módulo PKCS #11 de Client Security Solution:
C:\Archivos de programa\Lenovo\Client Security Solution\csspkcs11.dll
Para aprovechar el módulo PKCS #11 de Client Security Solution, se deben

establecer las políticas siguientes para Active Directory:
1. Firma PKCS #11
2. Descifrado PKCS #11
La tabla siguiente proporciona el campo y la descripción modificables de las

políticas de PKCS# 11:
Tabla 10. ThinkVantage\Client Security Solution\Políticas de autentificación\ Firma PKCS#
11\Modalidad de personalización
Campos CSS.ADM
Campo modificable Necesario
Descripción del campo Controla si se necesita contraseña, frase de
paso o SmartCard.
Valores posibles v Habilitado
– Cada vez
– Una vez por cada inicio de sesión
v Inhabilitado
v No configurado
Valores y políticas para la autenticación con el lector de huellas

dactilares
Opción omisión de huella dactilar obligada

La opción de omisión de la huella dactilar permite que un usuario omita la
autenticación de huella dactilar y utilice una contraseña de Windows para iniciar la
sesión. El usuario puede seleccionar o deseleccionar esta opción en la interfaz de
usuario de Password Manager cuando añade una entrada nueva.
Sin embargo, de forma predeterminada, la omisión de la huella dactilar se habilita

aunque no se seleccione la opción. Esto es así para permitir que el usuario inicie la
sesión en Windows cuando el sensor de huellas dactilares no es funcional. Para
inhabilitar la opción de omisión de huella dactilar obligada, edite la siguiente clave
de registro:
[HKEY_LOCAL_MACHINE\SOFTWARE\Lenovo\Client Security Solution\CSS Configuration]
"GinaDenyLogonDeviceNonEnrolled"=dword:00000001

Cuando la clave de registro está establecida como se indicaba anteriormente, el
usuario no puede omitir la autenticación de la huella dactilar si el sensor de
huellas dactilares no funciona.
Resultado de pasar el dedo por el dispositivo de huella

dactilar
Durante la autenticación de la huella dactilar, la política siguiente es la encargada
de controlar la visualización de los resultados de pasar el dedo por el dispositivo
de huella dactilar.
HKLM\Lenovo\TVT Common\Client Security Solution\FPSwipeResult
v FPSwipeResult=0: Muestra todos los mensajes.
v FPSwipeResult=1: Muestra solamente los mensajes de anomalía (valor
predeterminado).
v FPSwipeResult=2: No mostrar ningún mensaje.
Herramientas de la línea de mandatos

Los administradores de TI de la empresa también pueden implementar las
funciones de ThinkVantage Technologies de forma local o remota mediante la
interfaz de la línea de mandatos. Los valores de configuración se pueden mantener
mediante valores del archivo de texto remoto.
Client Security Solution contiene las siguientes herramientas de la línea de

mandatos:
v “Security Advisor”
v “Asistente de configuración de Client Security Solution” en la página 44
v “Herramienta de cifrado o descifrado del archivo de despliegue” en la página 44
v “Herramienta de proceso del archivo de despliegue” en la página 45
v “TPMENABLE.EXE” en la página 45
v “Herramienta de transferencia de certificados” en la página 46
v “Herramienta de activación de TPM” en la página 47
Security Advisor
Para ejecutar Security Advisor desde Client Security Solution, pulse
Inicio->Programas->ThinkVantage->Client Security Solution. Pulse Avanzadas y
seleccione Valores de seguridad de auditoría. Ejecuta C:\Archivos de
programa\Lenovo\Common Files\WST\wst.exe para una instalación
predeterminada.
Los parámetros son los siguientes:

Tabla 11. Parámetros
Parámetros Descripción
HardwarePasswords Establece el valor de la contraseña de
hardware. 1 mostrará esta sección, 0 la
ocultará. El valor predeterminado es 1.
PowerOnPassword Establece el valor de que se debe habilitar
una contraseña de encendido, o el valor
aparecerá resaltado.

HardDrivePassword Establece el valor de que se debe habilitar
una contraseña de disco duro, o el valor
AdministratorPassword Establece el valor de que se debe habilitar
una contraseña de administrador, o el valor
WindowsUsersPasswords Establece el valor de la contraseña de
usuario de Windows. 1 mostrará esta
sección, 0 la ocultará. Si no está presente, se
muestra de forma predeterminada.
Contraseña Establece el valor de que se debe habilitar la
contraseña de usuario, o el valor aparecerá
resaltado.
PasswordAge Establece el valor de cuál debe ser la
antigüedad de la contraseña de Windows en
esta máquina, o el valor aparecerá resaltado.
PasswordNeverExpires Establece el valor de que la contraseña de
Windows nunca caducará, o el valor
WindowsPasswordPolicy Establece el valor de la política de
contraseña de Windows. 1 mostrará esta
sección, 0 la ocultará. Si no está presente, se
muestra de forma predeterminada.
MinimumPasswordLength Establece el valor de cuál debe ser la
longitud de la contraseña en esta máquina, o
el valor aparecerá resaltado.
MaximumPasswordAge Establece el valor de cuál debe ser la
antigüedad de la contraseña en esta
máquina, o el valor aparecerá resaltado.
ScreenSaver Establece el valor del protector de pantalla. 1
mostrará esta sección, 0 la ocultará. Si no
está presente, se muestra de forma
predeterminada.
ScreenSaverPasswordSet Establece el valor de que el protector de
pantalla debe tener contraseña, o el valor
ScreenSaverTimeout Establece el valor de cuál debe ser el tiempo
de espera del protector de pantalla en esta
FileSharing Establece el valor de la compartición de
archivos. 1 mostrará esta sección, 0 la
ocultará. Si no está presente, se muestra de
forma predeterminada.
AuthorizedAccessOnly Establece el valor de que se debe establecer
el acceso autorizado para la compartición de
archivos, o el valor aparecerá resaltado.
ClientSecurity Establece el valor de Client Security. 1
mostrará esta sección, 0 la ocultará. Si no
está presente, se muestra de forma
predeterminada.

EmbeddedSecurityChip Establece el valor de que se debe habilitar el
chip de seguridad, o el valor aparecerá
resaltado.
ClientSecuritySolution Establece el valor de qué versión de Client
Security Solution debe estar en esta
Asistente de configuración de Client Security Solution

El Asistente de configuración de Client Security Solution se utiliza para generar
scripts de despliegue mediante archivos XML. El siguiente mandato visualiza las
distintas funciones del asistente:
"C:\Archivos de programa\Lenovo\Client Security Solution\css_wizard.exe" /?
La tabla siguiente proporciona los mandatos para el Asistente de configuración de

Tabla 12. Mandatos para el asistente de configuración de Client Security Solution
Parámetro Resultado
/h o /? Visualiza el recuadro de mensaje de ayuda
/name:NOMBREARCHIVO Precede a la vía de acceso calificada
totalmente y al nombre de archivo del
archivo de despliegue generado. El archivo
tendrá una extensión .xml.
/encrypt Cifra el archivo script utilizando cifrado
AES. Si está cifrado, al nombre de archivo se
añadirá la extensión .enc. Si no se utiliza el
mandato /pass, se utiliza una frase de paso
estática para ocultar el archivo.
/pass: Precede a la frase de paso para la protección
del archivo de despliegue cifrado.
/novalidate Inhabilita las capacidades de comprobación
de contraseña y frase de paso del asistente,
de forma que se puede generar un archivo
script en una máquina ya configurada. Por
ejemplo, es posible que la contraseña de
administrador en la máquina actual no sea
la contraseña de administrador que se desee
tener en toda la empresa. Utilice el mandato
/novalidate para que pueda escribir una
contraseña de administrador distinta en la
GUI de css_wizard durante la creación del
archivo xml.
Ejemplo:
css_wizard.exe /encrypt /pass:mi secreto /name:C:\DeployScript /novalidate
Herramienta de cifrado o descifrado del archivo de despliegue

Esta herramienta se utiliza para cifrar o descifrar los archivos de despliegue XML
de Client Security. El siguiente mandato visualiza las distintas funciones de la
herramienta:

"C:\Archivos de programa\Lenovo\Client Security Solution\xml_crypt_tool.exe" /?
Los parámetros se muestran en la tabla siguiente:

Tabla 13. Parámetros para el cifrado o descifrado de archivos de despliegue XML de Client
Security
Parámetros Resultados
/h o /? Visualiza el mensaje de ayuda
FILENAME Visualiza el nombre de vía de acceso y el
nombre de archivo con la extensión .xml o
.enc
encrypt o decrypt Selecciona /encrypt para archivos .xml y
/decrypt para archivos .enc
PASSPHRASE Visualiza el parámetro opcional que es
necesario si se utiliza una frase de paso para
proteger el archivo.
Ejemplos:
xml_crypt_tool.exe "C:\DeployScript.xml" /encrypt "mi secreto"
y
xml_crypt_tool.exe "C:\DeployScript.xml.enc" /decrypt "mi secreto"
Herramienta de proceso del archivo de despliegue

La herramienta vmserver.exe procesa los scripts de despliegue XML de Client
Security Solution. El siguiente mandato visualiza las distintas funciones del
asistente:
"C:\Archivos de programa\Lenovo\Client Security Solution\vmserver.exe" /?
La tabla siguiente proporciona los parámetros para procesar archivos.

Tabla 14. Parámetros para el proceso de archivos
Parámetro Resultado
FILENAME El parámetro FILENAME debe tener una
extensión de archivo XML o ENC
PASSPHRASE El parámetro PASSPHRASE se utiliza para
descifrar un archivo con la extensión ENC
Ejemplo:
Vmserver.exe C:\DeployScript.xml.enc "mi secreto"
TPMENABLE.EXE
El archivo tpmenable.exe se utiliza para activar o desactivar el chip de seguridad.
Tabla 15. Parámetros para el archivo tpmenable.exe
/enable o /disable Activa o desactiva el chip de seguridad.
/quiet Oculta los indicadores de solicitud para la
contraseña o los errores del BIOS.

Tabla 15. Parámetros para el archivo tpmenable.exe (continuación)
sp:contraseña Para Windows 2000 y XP solamente, para la
contraseña de administrador/supervisor del
BIOS no utilice comillas alrededor de la
contraseña.
Ejemplo:
tpmenable.exe /enable /quiet /sp:Mi ContBios
Herramienta de transferencia de certificados

La tabla siguiente proporciona los conmutadores de la línea de mandatos de la
herramienta Transferencia de certificados de Client Security Solution:
Tabla 16. css_cert_transfer_tool.exe <cert_store_type> <filter_type>:<name | size> |
all_access | usage
<cert_store_type> Es el primer parámetro necesario. Se debe utilizar
como el primer conmutador y debe incluir uno de los
ejemplos siguientes:
Ejemplos: cert_store_user Transfiere solamente certificados de usuario.
Los certificados de usuario se asignan al
usuario actual.
cert_store_machine Transfiere solamente certificados de
máquina. Los certificados de máquina los
pueden utilizar todos los usuarios
autorizados en una máquina.
cert_store_all Transfiere tanto tipos de certificado de
usuario como de máquina.
<filter_type>:<name | size> Se trata del segundo parámetro necesario. Debe
utilizarse después del parámetro necesario
<cert_store_type>. Cada tipo de filtro (salvo el que se
indica a continuación) debe llevar un signo de dos
puntos ‘:’ después y debe tener el nombre del tema del
certificado, la autorización o el tamaño de la clave que
se busca inmediatamente después de los dos puntos.
Este programa de utilidad es sensible a las mayúsculas
y minúsculas y si el nombre que busca es un nombre
compuesto, como por ejemplo “Autorización CA”,
tendrá que utilizar las comillas “” en el criterio de
búsqueda (fíjese en los ejemplos).

Tabla 16. css_cert_transfer_tool.exe <cert_store_type> <filter_type>:<name | size> |
all_access | usage (continuación)
Ejemplos: subject_simple_name:<name> Transfiere todos los certificados que
coincidan con el nombre que emite el
certificado, siendo el nombre del tema
<name>.
subject_friendly_name:<name> Transfiere todos los certificados que
coincidan con el nombre familiar que emite
el certificado, siendo el nombre familiar
<name>.
issuer_simple_name:<name> Transfiere todos los certificados que
coincidan con el nombre de la entidad
emisora de certificados que los ha emitido,
siendo el nombre de la entidad <name>.
ssuer_friendly_name:<name> Transfiere todos los certificados que
coincidan con el nombre familiar de la
entidad emisora de certificados que los ha
emitido, siendo el nombre familiar de la
entidad <name>.
key_size:<size> Transfiere todos los certificados que se han
cifrado con el tamaño de clave <size> en
bits. Observe que se trata de un criterio de
coincidencia exacto; el programa no buscará
certificados cifrados con un tamaño de clave
que sea más o menos del mismo tamaño.
Los siguientes dos conmutadores son independientes; no tienen un segundo argumento:
all_access Transfiere todos los certificados, no los filtra.
usage No proporciona información sobre la línea de mandatos, pero la función que
se utiliza para determinar el uso correcto se convertirá en verdadera o falsa si
los mandatos que se pasan son correctos o no.
Herramienta de activación de TPM

El archivo tpm_activate_cmd.exe se utiliza para activar o desactivar TPM en el
sistema Lenovo.
Nota: Necesita privilegios de administrador para ejecutar este mandato.

Tabla 17. Parámetros para activar o desactivar TPM en sistemas Lenovo
/help o /? Muestra la lista de parámetros.
/biospw:contraseña Especifica la contraseña del supervisor o del
administrador del BIOS si se ha establecido
alguna.
/deactivate Desactiva TPM.
Nota: Si ejecuta run tpm_activate_cmd.exe
sin el parámetro /deactivate, de forma
predeterminada, activará TPM.
/verbose Muestra una salida de texto.
Ejemplo:

tpm_activate_cmd.exe /?
tpm_activate_cmd.exe /verbose
tpm_activate_cmd.exe /biospw:pass
Soporte de Active Directory

Active Directory es un servicio de directorios. El directorio es donde se almacena la
información sobre los usuarios y los recursos. El servicio de directorios permite el
acceso, de forma que se puede manipular estos recursos.
Active Directory proporciona un mecanismo que otorga a los administradores la

capacidad de gestionar sistemas, usuarios, dominios, políticas de seguridad y
cualquier tipo de objetos definidos por el usuario. El mecanismo utilizado por
Active Directory para realizar esto se conoce como Política de grupos. Con la
Política de grupos, los administradores definen valores que se pueden aplicar a los
sistemas o a los usuarios del dominio.
Los productos de Tecnología ThinkVantage utilizan actualmente una variedad de

métodos para recopilar valores utilizados a fin de controlar valores del programa,
incluyendo leer entradas específicas de registro definidas por la aplicación.
Los ejemplos siguientes son valores que Active Directory puede gestionar para
Client Security Solution:
v Políticas de seguridad.
v Políticas de seguridad personalizadas; como por ejemplo si debe utilizar una
contraseña de Windows o una frase de paso de Client Security Solution.
Archivos de plantilla administrativa (ADM)

El archivo de plantilla ADM (administrativa) define valores de política utilizados
por las aplicaciones en los sistemas cliente. Las políticas son valores específicos que
rigen el comportamiento de la aplicación. Además, los valores de política definen
si se permitirá al usuario establecer valores específicos en la aplicación.
Los valores definidos por un administrador en el servidor se definen como

políticas. Los valores definidos por un usuario en el sistema cliente para una
aplicación se definen como preferencias. Según define Microsoft, los valores de
política tienen prioridad sobre las preferencias.
Por ejemplo, un usuario puede poner una imagen de fondo en su escritorio. Este es
el valor de preferencia del usuario. Un administrador puede definir un valor en el
servidor que dicte que un usuario debe utilizar una imagen de fondo específica. El
valor de la política de administrador modificará la preferencia establecida por el
usuario.
Cuando un producto de Tecnología ThinkVantage comprueba un valor, buscará el

valor en el orden siguiente:
v Políticas del sistema
v Políticas del usuario
v Políticas predeterminadas del usuario
v Preferencias del sistema
v Preferencias del usuario
v Preferencias predeterminadas del usuario

Como se ha descrito anteriormente, las políticas del sistema y del usuario las
define el administrador. Estos valores se pueden inicializar mediante el archivo de
configuración XML o mediante una Política de grupo en Active Directory. Las
preferencias del sistema y del usuario las establece el usuario en el sistema cliente
mediante las opciones de la interfaz de las aplicaciones. El script de configuración
XML inicializa las preferencias predeterminadas del usuario. Los usuarios no
cambian los valores directamente. Los cambios realizados en estos valores por un
usuario se actualizarán en las preferencias del usuario.
Los clientes que no utilicen Active Directory pueden crear un conjunto

predeterminado de valores de política para que se desplieguen en los sistemas
cliente. Los administradores pueden modificar los scripts de configuración XML y
especificar que se procesen durante la instalación del producto.
Definición de valores gestionables

El ejemplo siguiente mostrará los valores en el editor de políticas de grupo
utilizando la siguiente jerarquía:
Configuración del sistema>Plantillas administrativas>Tecnologías ThinkVantage>
Client Security Solution>Políticas de autentificación>Núm. Máx. reintentos>
Número de reintentos de contraseña
Los archivos ADM indican en qué lugar del registro se reflejarán los valores. Estos
valores estarán ubicados en las siguientes ubicaciones de registro:
Políticas del sistema:
HKLM\Software\Policies\Lenovo\Client Security Solution\
Políticas del usuario:
HKCU\Software\Policies\Lenovo\Client Security Solution\
Políticas predeterminadas del usuario:
HKLM\Software\Policies\Lenovo\Client Security Solution\User defaults
Preferencias del sistema:
HKLM\Software\Lenovo\Client Security Solution\
Preferencias del usuario:
HKCU\Software\Lenovo\Client Security Solution\
Preferencias predeterminadas del usuario:
HKLM\Software\Lenovo\Client Security Solution\User defaults
Valores de la política de grupo

Las tablas de esta sección proporcionan valores de política para la Configuración
del sistema y la Configuración de usuario para Client Security Solution.
Número máximo de reintentos

La tabla siguiente proporciona valores de política para las Políticas de
autentificación, Número máximo de reintentos.
Tabla 18. Configuración del sistema>ThinkVantage>Client Security Solution>Políticas de
autentificación>Número máximo de reintentos
Valor
Política habilitado Descripción
Número de El número Controla el número máximo de veces que un
reintentos de máximo de usuario puede intentar autentificarse mediante la
contraseña reintentos es 20. contraseña de Windows antes de recurrir a
modificar temporalmente la política.

Tabla 18. Configuración del sistema>ThinkVantage>Client Security Solution>Políticas de
autentificación>Número máximo de reintentos (continuación)
Valor
Política habilitado Descripción
reintentos de frase máximo de usuario puede intentar autentificarse mediante la
de paso reintentos es 20. frase de paso de Client Security antes de recurrir a
modificar temporalmente la política.
reintentos máximo de usuario intenta autentificarse mediante la huella
mediante huella reintentos es 20. dactilar antes de recurrir a alterar temporalmente la
dactilar política.
Modalidad segura
autentificación, Modalidad segura.
Tabla 19. Configuración del sistema>Plantillas administrativas>ThinkVantage>Client Security
Solution>Políticas de autentificación>Modalidad segura
Política Valores habilitados Descripción
Contraseña Establece la frecuencia en Cada vez o Controla si es necesaria una
Una vez por inicio de sesión. contraseña.
Frase de paso Establece la frecuencia en Cada vez o Controla si es necesaria una
Una vez por inicio de sesión. frase de paso.
Huella dactilar Establece la frecuencia en Cada vez o Controla si es necesaria la
Una vez por inicio de sesión. huella dactilar.
Alterar Establece que se altere temporalmente Si la autentificación normal
temporalmente la contraseña, frase de paso o huella falla, define los requisitos de
dactilar. autentificación a los que
“recurrir”.
Modalidad predeterminada
autentificación, Modalidad predeterminada.
Solution>Políticas de autentificación>Modalidad por omision
Contraseña Puede establecer la frecuencia a Cada Controla si es necesaria una
vez o Una vez por inicio de sesión. contraseña.
Frase de paso Puede establecer la frecuencia a Cada Controla si es necesaria una
vez o Una vez por inicio de sesión. frase de paso.
Huella dactilar Puede establecer la frecuencia a Cada Controla si es necesaria la
vez o Una vez por inicio de sesión. huella dactilar.
SmartCard Puede establecer la frecuencia a Cada Controla si es necesaria una
vez o Una vez por inicio de sesión. SmartCard.
“recurrir”.

Políticas de autentificación
La lista siguiente de políticas contiene valores habilitados que definen el nivel de
autentificación de cada política:
v Nivel de autentificación de inicio de sesión de Windows
v Nivel de autentificación de desbloqueo del sistema
v Nivel de autentificación de Password Manager
v Nivel de autentificación de firma CSP
v Nivel de autentificación de cifrado CSP
v Nivel de autentificación de firma PKCS#11
v Nivel de autentificación de descifrado PKCS#11
v Nivel de autentificación de inicio de sesión de PKCS#11
La tabla siguiente proporciona valores y parámetros para los niveles de

autentificación anteriores:
Solution>Políticas de autentificación
Contraseña Establece la frecuencia en Cada vez o Controla si es necesaria una
Una vez por inicio de sesión. contraseña.
Frase de paso Establece la frecuencia en Cada vez o Controla si es necesaria una
Una vez por inicio de sesión. frase de paso.
Huella dactilar Establece la frecuencia en Cada vez o Controla si es necesaria la
Una vez por inicio de sesión. huella dactilar.
SmartCard Establece la frecuencia en Cada vez o Controla si es necesaria una
Una vez por inicio de sesión. SmartCard.
“recurrir”.
Password Manager
La tabla siguiente proporciona valores de política para Password Manager.
Tabla 22. Configuración del sistema>ThinkVantage>Client Security Solution>Password
Manager
Valor de política Descripción
Inhabilitar Password Manager Controla si Password Manager se iniciará cuando se inicie
el sistema.
Inhabilitar soporte de Internet Controla si Password Manager podrá almacenar
Explorer contraseñas desde Internet Explorer.
Inhabilitar soporte de Mozilla Controla si Password Manager podrá almacenar
contraseñas desde navegadores basados en Mozilla,
incluyendo Firefox y Netscape.
Inhabilitar soporte para Controla si Password Manager podrá almacenar
aplicacones Windows contraseñas de aplicaciones de Windows.
Inhabilitar Completar de forma Controla si Password Manager completará de forma
automática automática datos en los sitios web y las aplicaciones de
Windows.

Tabla 22. Configuración del sistema>ThinkVantage>Client Security Solution>Password
Manager (continuación)
Inhabilitar soporte de teclas de Controla si Password Manager dará soporte a la
cambio de modalidad utilización de teclas de cambio de modalidad para
completar de forma automática datos en sitios web y
aplicaciones de Windows.
Utilizar filtro de dominios Controla si Password Manager filtrará sitios web en base
a los dominios.
Dominios prohibidos Controla los dominios para los que se prohíbe a
Password Manager almacenar contraseñas.
URL prohibidos Controla los URL para los que se prohíbe a Password
Manager almacenar contraseñas.
Módulos prohibidos Controla las aplicaciones de Windows para las que se
prohíbe a Password Manager almacenar contraseñas.
Tecla de cambio de modalidad Controla la tecla de cambio de modalidad de Completar
Completar de forma automática de forma automática Ctrl+F2.
Tecla de cambio de modalidad Controla la tecla de cambio de modalidad Escribir y
Escribir y transferir transferir Ctrl+Mayús+H.
Tecla de cambio de modalidad Controla la tecla de cambio de modalidad Ctrl+Mayús+B.
Gestionar
Interfaz de usuario
La tabla siguiente proporciona valores de política para la interfaz de usuario.
Tabla 23. Configuración del sistema>ThinkVantage>Client Security Solution>Interfaz de
usuario
Opción Software de huellas Muestra, muestra como no seleccionable u oculta la
dactilares opción Software de huellas dactilares en la aplicación
Client Security Solution. Valor predeterminado: Mostrar.
Opción Cifrado de archivos Muestra, muestra como no seleccionable u oculta la
opción Cifrado de archivos en la aplicación Client
Security Solution. Valor predeterminado: Mostrar.
Opción Auditoría de valores de Muestra, muestra como no seleccionable u oculta la
seguridad opción Auditoría de valores de seguridad en la aplicación
Opción Transferencia de Muestra, muestra como no seleccionable u oculta la
certificados digitales opción Transferencia de certificados digitales en la
aplicación Client Security Solution. Valor predeterminado:
Mostrar.
Opción Cambiar estado del Muestra, muestra como no seleccionable u oculta la
chip de seguridad opción Estado del chip de seguridad en la aplicación
Opción Borrar bloqueo de chip Muestra, muestra como no seleccionable u oculta la
de seguridad opción Borrar bloqueo de chip de seguridad en la
Mostrar.
Opción Gestor de políticas Muestra, muestra como no seleccionable u oculta la
opción Gestor de políticas en la aplicación Client Security
Solution. Valor predeterminado: Mostrar.

Tabla 23. Configuración del sistema>ThinkVantage>Client Security Solution>Interfaz de
usuario (continuación)
Opción Restaurar/Configurar Muestra, muestra como no seleccionable u oculta la
valores opción ‘Asistente de configuración’ en la aplicación Client
Security Solution. Valor predeterminado: Mostrar
Opción Password Manager Muestra, muestra como no seleccionable u oculta la
opción Password Manager en la aplicación Client Security
Solution. Valor predeterminado: Mostrar.
Opción Restablecer contraseña Muestra, muestra como no seleccionable u oculta la
de hardware opción Restablecer contraseña de hardware en la
Mostrar.
Opción Recuperación de Muestra, muestra como no seleccionable u oculta la
contraseña de Windows opción Recuperación de contraseña de Windows en la
Mostrar.
Opción Cambiar modalidad de Muestra, muestra como no seleccionable u oculta la
autentificación opción ‘Cambiar modalidad de autentificación’ en la
Mostrar
Opción Configurar SmartCard Muestra, muestra como no seleccionable u oculta la
opción ‘Configurar SmartCard’ en la aplicación Client
Security Solution. Valor predeterminado: Mostrar
Opción Habilitar/inhabilitar Muestra, muestra como no seleccionable u oculta la
Recuperación de contraseña de opción para habilitar o inhabilitar la recuperación de
Windows contraseña de Windows en la aplicación Client Security
Solution. Valor predeterminado: Mostrar
Opción Habilitar/inhabilitar Muestra, muestra como no seleccionable u oculta la
Password Manager opción para habilitar o inhabilitar Password Manager en
la aplicación Client Security Solution. Valor
predeterminado: Mostrar

Herramienta de seguridad de la estación de trabajo
La tabla siguiente proporciona valores de política para la herramienta de seguridad
de la estación de trabajo.
Tabla 24. Configuración del sistema>ThinkVantage>Client Security Solution>Herramienta de
seguridad de la estación de trabajo
Política Valor Descripción
Contraseñas de Contraseñas de Habilita o inhabilita la visualización de la
hardware hardware información de contraseñas de hardware.
Contraseñas de Contraseña de Seleccione el valor recomendado como
hardware encendido habilitar o inhabilitar o seleccione que se
ignore este valor.
Contraseñas de Contraseña de disco Seleccione el valor recomendado como
hardware duro habilitar o inhabilitar o seleccione que se
ignore este valor.
Contraseñas de Contraseña de Seleccione el valor recomendado como
hardware administrador habilitar o inhabilitar o seleccione que se
ignore este valor.
Contraseñas de Contraseñas de Habilita o inhabilita la visualización de la
usuarios de usuarios de Windows información de contraseña de usuarios de
Windows Windows.
Contraseñas de Contraseña Seleccione el valor recomendado como
usuarios de habilitar o inhabilitar o seleccione que se
Windows ignore este valor.
Contraseñas de Antigüedad de Número máximo de días que se permite que
usuarios de contraseña exista la contraseña.
Windows
Contraseñas de La contraseña nunca El valor recomendado se puede establecer en
usuarios de caduca ’True’, ’False’ o ’Ignore’.
Windows
Política de Política de contraseña Habilita o inhabilita la visualización de la
contraseña de de Windows información de política de contraseña de
Windows Windows.
Política de Número mínimo de Número mínimo de caracteres que puede
contraseña de caracteres en la tener la contraseña, o ’Ignore’ este valor.
Windows contraseña
Política de Antigüedad máxima Valor de antigüedad máxima de contraseña -
contraseña de de contraseña número de días o ’Ignore’ este valor en los
Windows resultados.
Protector de Protector de pantalla Habilita o inhabilita la visualización de la
pantalla información de política de contraseña de
Windows.
Protector de Contraseña de Número mínimo de caracteres que puede
pantalla protector de pantalla tener la contraseña, o ’Ignore’ este valor.
establecida
Protector de Tiempo de espera del Valor de antigüedad máxima de contraseña -
pantalla protector de pantalla número de días o ’Ignore’ este valor en los
resultados.
Compartimiento de Compartimiento de Habilita o inhabilita la visualización de la
archivos archivos información de compartimiento de archivos.
Compartimiento de Acceso autorizado El valor recomendado se puede establecer en
archivos ’True’, ’False’ o ’Ignore’.

Tabla 24. Configuración del sistema>ThinkVantage>Client Security Solution>Herramienta de
seguridad de la estación de trabajo (continuación)
Política Valor Descripción
Client Security Client Security Habilita o inhabilita la visualización de la
información de Client Security.
Client Security Chip de seguridad Seleccione el valor recomendado como
incorporado habilitar o inhabilitar o establezca que se
ignore este valor.
Client Security Client Security Establezca el valor mínimo recomendado de
Solution Versión Client Security Solution o establézcalo en
’Ignore’.
Active Update
Active Update es una tecnología de eSupport que utiliza los clientes de
actualización en el sistema local para entregar los paquetes que se deseen en la
web sin ninguna interacción del usuario. Active Update consulta los clientes de
actualización disponibles y utiliza el cliente actualizado para instalar el paquete
que se desee. Active Update iniciará ThinkVantage System Update o Software
Installer en el sistema.
Para determinar si Active Update Launcher está instalado, compruebe si existe la

siguiente clave de registro:
HKLM\software\lenovo\Active Update
Para llamar a Active Update, el programa de Tecnología ThinkVantage que realiza

la llamada debe iniciar el programa Active Update Launcher y pasar el archivo de
parámetros. (Consulte el archivo de parámetros de Active Update para ver una
descripción del archivo de parámetros).
Para inhabilitar el elemento de menú Active Update Launcher en el menú de

ayuda para todos los programas de Tecnología ThinkVantage:
1. Vaya a la clave de registro HKLM\software\lenovo\Active Update.
2. Renombre o suprima la clave ActiveUpdate.
Archivo de parámetros de Active Update

El archivo de parámetros de Active Update contiene los valores que se deben pasar
a Active Update. El parámetro TargetApp se pasa como se muestra en este
ejemplo:
<root>
<TargetApp>ACCESSLENOVO</TargetApp>
</root>
<root>
<TargetApp>1EA5A8D5-7E33-11D2-B802-00104B21678D</TargetApp>
</root>

Capítulo 4. Cómo trabajar con el Software de huellas
dactilares de ThinkVantage
La consola de huellas dactilares se debe ejecutar desde la carpeta de instalación del
Software de huellas dactilares. La sintaxis básica es FPRCONSOLE [USER |
SETTINGS]. El mandato USER o SETTINGS especifica qué conjunto de la
operación se utilizará. El mandato completo será “fprconsole user add TestUser”.
Cuando no se conoce el mandato o no se especifican todos los parámetros, se
mostrará una corta lista de mandatos junto con los parámetros.
Para descargar el Software de huellas dactilares y la Consola de gestión, consulte el

siguiente sitio web de Lenovo:
&lndocid=HOME-LENOVO
Herramienta Consola de gestión

En esta sección se proporciona información acerca de los mandatos específicos del
usuario y de los mandatos de valores globales.
Mandatos específicos del usuario

Para registrar o editar usuarios, se utiliza la sección USER. Cuando el usuario
actual no tiene derechos de administrador, el comportamiento de la consola
depende de la modalidad de seguridad del Software de huellas dactilares.
Modalidad segura: no se permite ningún mandato. Modalidad cómoda: para el
usuario estándar son posibles los mandatos ADD, EDIT y DELETE. Sin embargo, el
usuario puede modificar sólo su propio pasaporte (registrado con su nombre de
usuario). La sintaxis es la siguiente:
FPRCONSOLE USER mandato
donde mandato es uno de los mandatos siguientes: ADD, EDIT, DELETE, LIST,
IMPORT, EXPORT.
Tabla 25. Mandatos específicos del usuario
Mandato Sintaxis Descripción
Registrar nuevo usuario ADD [nombreusuario [| dominio\ Si no se especifica el nombre
Ejemplo: nombreusuario]] de usuario, se utilizará el
fprconsole user add nombre de usuario actual.
domain0\testuser
fprconsole user add

testuser

Tabla 25. Mandatos específicos del usuario (continuación)
Editar usuario EDIT [nombreusuario [| dominio Si no se especifica el nombre
registrado \nombreusuario]] de usuario, se utilizará el
Ejemplo: nombre de usuario actual.
fprconsole user edit Nota: El usuario registrado
domain0\testuser debe verificar primero su
huella dactilar.
fprconsole user edit
testuser
Suprimir un usuario DELETE [nombreusuario El distintivo /ALL borrará

Ejemplo: [| dominio\nombreusuario todos los usuarios registrados
fprconsole user delete | /ALL]] en este sistema. Si no se
domain0\testuser especifica el nombre de
usuario, se utilizará el nombre
fprconsole user delete de usuario actual.
testuser
fprconsole user delete

/ALL
Enumerar usuarios List Lista los usuarios registrados.

registrados
Exportar usuario Sintaxis: Este mandato exportará un
registrado a un archivo EXPORT nombreusuario usuario registrado a un
[| dominio\nombreusuario] archivo de la unidad de disco
archivo duro. A continuación, el
usuario se puede importar
utilizando el mandato
IMPORT en otro sistema o en
el mismo sistema, si se
suprime el usuario.
Importar usuario Sintaxis: IMPORT archivo El mandato importará el
registrado usuario desde el archivo
especificado.
Nota: Si el usuario en el
archivo ya está registrado en
el mismo sistema utilizando
las mismas huellas dactilares,
no se garantiza qué usuario
tendrá precedencia en la
operación de identificación.
Mandatos de valores globales

Los valores globales del Software de huellas dactilares se pueden cambiar
mediante la sección SETTINGS. Todos los mandatos en esta sección necesitan
derechos de administrador. La sintaxis es:
FPRCONSOLE SETTINGS mandato
donde mandato es uno de los mandatos siguientes: SECUREMODE, LOGON, CAD,

TBX, SSO.

Tabla 26. Mandatos de valores globales
Modalidad de seguridad SECUREMODE 0|1 Este valor conmuta entre las
Ejemplo: modalidades Cómoda y Segura
Para establecer la del Software de huellas dactilares.
modalidad cómoda:
fprconsole settings
securemode 0
Tipo de inicio de sesión LOGON 0|1 [/FUS] Este valor habilita (1) o inhabilita
(0) la aplicación de inicio de
sesión. Si se utiliza el parámetro
/FUS, el inicio de sesión está
habilitado en la modalidad de
Conmutación rápida de usuario,
si la configuración del sistema lo
permite.
Mensaje CTRL+ALT+SUPR CAD 0|1 Este valor habilita(1) o
inhabilita(0) el texto “Pulse
Ctrl+Alt+Supr” en el inicio de
sesión.
Seguridad de encendido TBX 0|1 Este valor desactiva globalmente
(0) el soporte de la seguridad de
encendido en el software de
huellas dactilares. Cuando el
soporte de seguridad de
encendido está desactivado, no se
muestra ningún asistente ni
páginas de seguridad de
encendido, y no importa cuáles
son los valores del BIOS.
Firma única de seguridad de SSO 0|1 Este valor habilita (1) o inhabilita
encendido (0) el uso de las huellas dactilares
utilizado en el BIOS en el inicio
de sesión para realizar
automáticamente el inicio de
sesión del usuario cuando se ha
verificado el usuario en el BIOS.
Modalidad segura y modalidad cómoda

El Software de huellas dactilares se puede ejecutar en dos modalidades de
seguridad, una modalidad segura y una modalidad cómoda. La modalidad segura
está destinada para las situaciones en las que desee conseguir mayor seguridad.
Las funciones especiales están reservadas solamente a los administradores. Sólo
ellos pueden iniciar sesión utilizando contraseñas sin autentificación adicional.
La modalidad cómoda está destinada a PC domésticos donde no sea tan

importante un nivel de seguridad alto. Todos los usuarios pueden realizar todas las
operaciones, incluidas la edición de pasaportes de otros usuarios y la posibilidad
de iniciar sesión en el sistema utilizando contraseña (sin la autentificación de
huellas dactilares).
Un Administrador es cualquier miembro del grupo de administradores. Después de

establecer la modalidad segura, sólo el administrador puede conmutar de nuevo a
la modalidad cómoda.
Capítulo 4. Cómo trabajar con el Software de huellas dactilares de ThinkVantage 59

Modalidad segura - administrador
Para mejorar la seguridad, si se especifica el nombre de usuario o contraseña
incorrectos en el inicio de sesión, la modalidad segura visualiza el siguiente
mensaje: ″Sólo los administradores pueden iniciar sesión en este sistema con
nombre de usuario y contraseña″.
Tabla 27. Opciones para administradores en la modalidad segura
Huellas dactilares Descripción
Crear un nuevo pasaporte Los administradores pueden crear su propio
pasaporte y también pueden crear el
pasaporte de un usuario con limitaciones.
Editar pasaportes Los administradores pueden editar sólo su
propio pasaporte.
Suprimir pasaporte Los administradores pueden suprimir todos
los pasaportes de usuarios con limitaciones
y otros pasaportes de administrador. Si otros
usuarios están utilizando la seguridad de
encendido, el administrador tendrá la opción
en este momento de eliminar las plantillas
de usuario de la seguridad de encendido.
Seguridad de encendido Los administradores pueden suprimir las
huellas dactilares del usuario con
limitaciones y del administrador utilizadas
en el encendido.
Nota: Debe haber como mínimo una huella
dactilar presente cuando la modalidad de
encendido está habilitada.
Valores
Valores de inicio de sesión Los administradores pueden realizar
cambios en todos los valores de inicio de
sesión.
Protector de pantalla protegido Los administradores pueden acceder.
Tipo de pasaporte Los administradores pueden acceder - sólo
importante con el servidor.
Modalidad de seguridad Los administradores pueden conmutar entre
la modalidad segura y la modalidad
cómoda.
Servidores Pro Los administradores pueden acceder - sólo
Modalidad segura - usuario con limitaciones

Durante un inicio de sesión de Windows, un usuario con limitaciones debe utilizar
una huella dactilar para iniciar la sesión. Si el lector de huellas dactilares del
usuario con limitaciones no funciona, será necesario que un administrador cambie
el valor del software de huellas dactilares a la modalidad cómoda para habilitar el
acceso mediante nombre de usuario y contraseña.
Tabla 28. Opciones para usuarios con limitaciones en la modalidad segura
Valor Descripción
Crear un nuevo pasaporte El usuario con limitaciones no puede
acceder.

Tabla 28. Opciones para usuarios con limitaciones en la modalidad segura (continuación)
Valor Descripción
Editar pasaportes El usuario con limitaciones puede editar sólo
su propio pasaporte.
Suprimir pasaporte El usuario con limitaciones puede suprimir
sólo su propio pasaporte.
Seguridad de encendido El usuario con limitaciones no puede
acceder.
Valores de inicio de sesión El usuario con limitaciones no puede
modificar sus valores de inicio de sesión.
Protector de pantalla protegido El usuario con limitaciones puede acceder.
Tipo de pasaporte El usuario con limitaciones no puede
acceder.
Modalidad de seguridad El usuario con limitaciones no puede
modificar las modalidades de seguridad.
Servidores Pro El usuario con limitaciones puede acceder -
sólo importante con el servidor.
Modalidad cómoda - administrador

Durante un inicio de sesión de Windows, los administradores pueden iniciar la
sesión utilizando su propio nombre de usuario y contraseña o sus huellas
dactilares.
Tabla 29. Opciones para administradores en la modalidad cómoda
Valores Descripción
Crear un nuevo pasaporte Los administradores pueden crear sólo su
propio pasaporte.
Editar pasaportes Los administradores pueden editar sólo su
propio pasaporte.
Suprimir pasaporte Los administradores pueden suprimir sólo su
propio pasaporte.
Seguridad de encendido Los administradores pueden suprimir las
huellas dactilares del usuario con
limitaciones y del administrador utilizadas
en el encendido.
Nota: Debe haber como mínimo una huella
dactilar presente cuando la modalidad de
encendido está habilitada.
Valores de inicio de sesión Los administradores pueden realizar
cambios en todos los valores de inicio de
sesión.
Protector de pantalla protegido Los administradores pueden acceder.
Tipo de pasaporte Los administradores pueden acceder - sólo
Modalidad de seguridad Los administradores pueden conmutar entre
la modalidad segura y la modalidad
cómoda.
Servidores Pro Los administradores pueden acceder - sólo

Modalidad cómoda - usuario con limitaciones
Durante un inicio de sesión de Windows, los usuarios con limitaciones pueden
iniciar la sesión utilizando su propio nombre de usuario o sus huellas dactilares.
Tabla 30. Opciones para usuarios con limitaciones en la modalidad cómoda
Valores Descripción
Crear un nuevo pasaporte Los usuarios con limitaciones pueden crear
Editar pasaportes Los usuarios con limitaciones pueden editar
Suprimir pasaporte Los usuarios con limitaciones pueden
suprimir sólo su propio pasaporte.
Seguridad de encendido Los usuarios con limitaciones pueden
suprimir sólo sus propias huellas dactilares.
Valores de inicio de sesión Los usuarios con limitaciones no pueden
modificar los valores de inicio de sesión.
Protector de pantalla protegido Los usuarios con limitaciones pueden
acceder.
Tipo de pasaporte Los usuarios con limitaciones no pueden
acceder - sólo relevante con el servidor.
Modalidad de seguridad Los usuarios limitados no pueden modificar
las modalidades de seguridad.
Servidores Pro Los usuarios con limitaciones pueden
acceder - sólo importante con el servidor.
Valores configurables
Se pueden configurar algunas opciones del software de huellas dactilares mediante
los valores del registro.
v Interfaz del software de prearranque/encendido: el mecanismo para habilitar el
soporte de prearranque o encendido mediante huellas dactilares y para
almacenar las huellas dactilares en el chip que lo acompaña no se visualiza
normalmente en el software de huellas dactilares, a menos que haya establecidas
en el sistema contraseñas de BIOS o de disco duro. A fin de alterar este
comportamiento y de forzar el hecho de que estas opciones se muestren sin la
existencia de contraseñas de BIOS o de disco duro, añada al registro una de las
opciones siguientes, la que corresponda al tipo de máquina que dispone:
[HKEY_LOCAL_MACHINE\SOFTWARE\Protector Suite QL\1.0]
REG_DWORD "BiosFeatures" = 2
o,
Este valor es útil cuando SafeGuard Easy está instalado en un sistema sin
contraseñas de BIOS y está utilizando autentificación de huellas dactilares para
descifrar el disco duro.

v Sonidos: se puede configurar el software de huellas dactilares para reproducir
un sonido contenido en un archivo .wav en distintas circunstancias durante el
proceso de autentificación de huellas dactilares. Los valores del registro para
estos sonidos son los siguientes:
[HKEY_LOCAL_MACHINE\SOFTWARE\Protector Suite QL\1.0\settings]
'Success’
REG_SZ “sndSuccess” = [vía de acceso al archivo de sonido]
El archivo designado se reproducirá que se pase el dedo y éste se registre correctamente.
'Failure’
REG_SZ “sndFailure” = [vía de acceso al archivo de sonido]
El archivo designado se reproducirá siempre que se pase el dedo y éste
se registre incorrectamente.
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\fingerprint
'Scan’
REG_SZ “sndScan” = [vía de acceso al archivo de sonido]
El archivo designado se reproducirá siempre que se visualice el diálogo de verificación
de la huella dactilar para operaciones relacionadas con Client Security Solution.
Si el valor no está presente o está vacío no se reproducirá ningún sonido.
'Quality’
REG_SZ “sndQuality” = [vía de acceso al archivo de sonido]
El archivo designado se reproducirá siempre que se pase el dedo y no se pueda leer.
Si el valor no está presente o está vacío no se reproducirá ningún sonido.
v Validación de la contraseña durante un desbloqueo del sistema: de forma
predeterminada, el software de huellas dactilares valida la contraseña
almacenada durante el desbloqueo del sistema. La validación requiere que se
establezca un contacto con el controlador del dominio y puede generar un
retardo. Para evitarlo, inhabilite la validación de la contraseña durante el
desbloqueo del sistema y editando el registro tal como se indica a continuación:
[HKEY_LOCAL_MACHINE\SOFTWARE\Protector Suite QL\1.0\settings]
REG_DWORD "DoNotTestUnlock"=1
El software de huellas dactilares continuará validando la contraseña durante el

inicio de sesión del sistema.
Nota: Cuando la clave de registro anterior se haya establecido en 1, si el

administrador de dominio cambia de usuario cuando el sistema del usuario está
bloqueado, el software de huellas dactilares conservará almacenada la contraseña
antiguo hasta que el usuario salga de la sesión e inicie otra de nuevo.
Software de huellas dactilares y Novell Netware Client

Para evitar conflictos, los nombres de usuario y las contraseñas del Software de
huellas dactilares y Novell Netware Client deben coincidir. Si tiene instalado el
Software de huellas dactilares en el sistema y, a continuación, instala Novell
Netware Client, es posible que algunos elementos del registro se sobregraben. Si se
encuentra con problemas al iniciar la sesión del Software de huellas dactilares,
vaya a la pantalla de los valores de inicio de sesión y vuelva a habilitar el
Protector de inicio de sesión.
Si tiene instalado en el sistema Novell Netware Client pero no ha iniciado sesión

en el cliente, antes de instalar el Software de huellas dactilares, aparecerá la
pantalla de Inicio de sesión de Novell. Proporcione la información solicitada en la
pantalla.

Nota: La información de esta sección es solamente para el Software de huellas
dactilares de ThinkVantage.
Para cambiar los valores del Protector de inicio de sesión:

v Inicie el Centro de control.
v Pulse Valores.
v Pulse Valores de inicio de sesión.
v Habilite o inhabilite el Protector de inicio de sesión.
Si desea utilizar el inicio de sesión de huellas dactilares, marque el recuadro de
selección Sustituir inicio de sesión de Windows por el inicio de sesión protegido
mediante huellas dactilares.
Nota: Habilitar o inhabilitar el protector de inicio de sesión requiere un

rearranque.
v Habilite o inhabilite la conmutación rápida de usuario, cuando el sistema lo
permita.
v (Función opcional) Habilite o inhabilite el inicio de sesión automático para un
usuario autentificado mediante la seguridad de arranque de encendido.
v Establezca los valores de inicio de sesión de Novell. Los valores siguientes están
disponibles al iniciar sesión en una red Novell:
– Activado
El Software de huellas dactilares proporciona automáticamente credenciales
conocidas. Si el inicio de sesión de Novell falla, la pantalla de inicio de sesión
de Novell Client se visualizará junto con un indicador de solicitud para
especificar los datos correctos.
– Preguntar durante el inicio de sesión
El Software de huellas dactilares visualiza la pantalla de inicio de sesión de
Novell Client y un indicador de solicitud para especificar los datos de inicio
de sesión.
– Inhabilitado
El Software de huellas dactilares no intenta un inicio de sesión de Novell.
Autentificación
Complete los pasos siguientes para pasar Novell al Software de huellas dactilares:
1. Instale el Software de huellas dactilares.
2. Instale Novell Netware Client.
3. Cuando se le solicite, pulse Sí para iniciar la sesión.
4. Rearranque.
5. Cuando se le solicite, pulse Sí para iniciar la sesión en el Software de huellas
dactilares.
6. Inicie Novell Netware Client.
7. Autentifíquese en el servidor.
8. Inicie la sesión en Windows.
9. Rearranque.
Nota: El ID de autentificación y la contraseña para Windows y Novell deben

ser idénticos.

Servicio del Software de huellas dactilares de ThinkVantage
Se añade el servicio upeksvr.exe al sistema tras instalar el software de huellas
dactilares de ThinkVantage. Se comienza a ejecutar desde el arranque del sistema y
permanece en ejecución mientras el usuario esté conectado. El servicio upeksvr.exe
es el núcleo del software de huellas dactilares de ThinkVantage y ejecuta todas las
operaciones con dispositivos y datos de usuario. También muestra toda la GUI de
verificación biométrica y proporciona acceso seguro a los datos del usuario.

Capítulo 5. Cómo trabajar con el Software de huellas
dactilares de Lenovo
La consola de huellas dactilares se debe ejecutar desde la carpeta de instalación del
Software de huellas dactilares de Lenovo. La sintaxis básica es FPRCONSOLE
[USER | SETTINGS]. El mandato USER o SETTINGS especifica qué conjunto de la
operación se utilizará. El mandato completo es “fprconsole user add TestUser”.
Cuando no se conoce el mandato o no se especifican todos los parámetros, se
mostrará una corta lista de mandatos junto con los parámetros.
Herramienta Consola de gestión

Para obtener información acerca de la herramienta Consola de gestión del Software
de huellas dactilares de Lenovo, consulte “Herramienta Consola de gestión” en la
página 57.
Servicio del Software de huellas dactilares de Lenovo

Nota: El Software de huellas dactilares de Lenovo requiere un servicio de terminal
en el sistema. Si desactiva el servicio de terminal, puede que se produzcan algunos
resultados inesperados en el Software de huellas dactilares de Lenovo.
Se añaden los siguientes servicios al sistema tras instalar el Software de huellas

dactilares de Lenovo:
v ATService.exe (activado de forma predeterminada)
Debe activar el servicio ATService.exe para utilizar el sistema de huellas
dactilares. Este servicio gestiona solicitudes procedentes de aplicaciones que
utilizan el sensor de huellas dactilares.
v ADMonitor.exe (desactivado de forma predeterminada)
Debe activar el servicio ADMonitor.exe para dar soporte a Active Directory
Administration. Este servicio supervisa los cambios en el registro que se
propagan en sentido descendente desde Active Directory y refleja los cambios
localmente.

Soporte de Active Directory para el Software de huellas dactilares de
Lenovo
En la tabla siguiente se muestran los valores de política para el Software de huellas
dactilares de Lenovo.
Tabla 31. Valores de política
Valor Descripción
Habilitar/Inhabilitar el inicio de sesión de Especifica la utilización del lector de huellas
huellas dactilares dactilares en lugar de las contraseñas de
Windows para iniciar la sesión en el sistema.
Si habilita este valor, podrá habilitar o
inhabilitar dos opciones más:
v Inhabilitar el diálogo
CONTROL+ALT+SUPR para la interfaz
de inicio de sesión
Si selecciona esta opción, se desactivará el
mensaje que dirige al usuario a pulsar
CONTROL+ALT+SUPR para iniciar la
sesión. (Sólo disponible en Windows XP).
v Se requiere un usuario que no sea
administrador para iniciar la sesión con
autenticación de huella dactilar
Si selecciona esta opción, los usuarios que
no sean administradores solamente
podrán iniciar la sesión utilizando el
lector de huellas dactilares.
Permitir que el usuario recupera la Si habilita este valor, los usuarios podrá ver
contraseña mediante la autenticación de la contraseña de Windows de sus cuentas en
huella dactilar el Software de huellas dactilares de Lenovo
después de la autenticación de huella
dactilar.
Mostrar siempre las opciones de seguridad Si habilita este valor, los usuarios podrán
de encendido seleccionar si desean utilizar el lector de
huellas dactilares en lugar de las contraseñas
de encendido y de la unidad de disco duro
cuando se encienda el sistema. En la ventana
de registro del Software de huellas dactilares
de Lenovo, se puede habilitar o inhabilitar la
autenticación de huella dactilar de
encendido para cada dedo que se haya
registrado.
Utilizar la autenticación de huella dactilar en Si habilita este valor, se utilizar la
lugar de las contraseñas de encendido y de autenticación de huella dactilar en lugar de
la unidad de disco duro las contraseñas de encendido y de unidad de
disco duro.
Establecer la cantidad de intentos fallidos Establece la cantidad de intentos fallidos
antes del bloqueo aceptados al iniciar la sesión antes de
bloquear al usuario, así como la duración
(en segundos) que el usuario permanecerá
bloqueado.
Establecer el tiempo de espera de Establece la duración de inactividad del
inactividad sistema (en segundos) permitida antes que
se concluya la sesión del usuario.

Tabla 31. Valores de política (continuación)
Valor Descripción
Permitir que los usuarios registren huellas Si habilita este valor, los usuarios que no
dactilares sean administradores podrán registrar
huellas dactilares utilizando el Software de
huellas dactilares de Lenovo.
Permitir que los usuarios supriman huellas Si habilita este valor, los usuarios que no
dactilares sean administradores podrán suprimir
huellas dactilares utilizando el Software de
huellas dactilares de Lenovo.
Permitir que los usuarios importen/exporten Si habilita este valor, los usuarios que no
huellas dactilares sean administradores podrán importar y
exportar huellas dactilares utilizando el
Software de huellas dactilares de Lenovo.
Mostrar/Ocultar elementos al definir el Si habilita este valor, los administradores de
separador del software de huellas dactilares TI podrán controlar la GUI de definición del
software de huellas dactilares.
Capítulo 5. Cómo trabajar con el Software de huellas dactilares de Lenovo 69

Capítulo 6. Prácticas recomendadas
En este capítulo se presentan varios casos de ejemplo para mostrar las prácticas
recomendadas de Client Security Solution y el Software de huellas dactilares. Este
caso de ejemplo se inicia con la configuración de la unidad de disco duro, continúa
con varias actualizaciones y sigue el ciclo vital de un despliegue. Se describe la
instalación tanto en sistemas Lenovo como en sistemas no Lenovo.
Ejemplos de despliegue para instalar Client Security Solution

La sección siguiente proporciona ejemplos de instalación de Client Security
Solution tanto en sistemas de sobremesa como en sistemas portátiles.
Caso de ejemplo 1
A continuación se muestra un ejemplo de una instalación en un sistema de
sobremesa utilizando estos requisitos hipotéticos del cliente:
v Administración
– Utilizar la cuenta del administrador local para la administración del sistema.
v Client Security Solution
– Instalar y ejecutar en Modalidad de emulación.
- No todos los sistemas IBM o Lenovo tienen un Módulo de plataforma
segura (chip de seguridad).
– Habilitar la frase de paso de Client Security.
- Proteger las aplicaciones de Client Security Solution mediante una frase de
paso.
– Habilitar el inicio de sesión de Windows de Client Security.
- Iniciar sesión en Windows con la frase de paso de Client Security.
– Habilitar la función de Recuperación de frase de paso de usuario final.
- Permitir a los usuarios recuperar sus frases de paso respondiendo a tres
preguntas y respuestas definidas por el usuario.
– Cifrar el script XML de Client Security Solution con contraseña =
“XMLscriptPW”.
- Proteger mediante contraseña el archivo de configuración de Client Security
Solution.
– El software de huellas dactilares puede o no estar instalado.
En la máquina de preparación:
1. Inicie la sesión con la cuenta del “administrador local” de Windows.
2. Instale el programa Client Security Solution con las opciones siguientes:
Client Security Solution:tvtcss82_xxxx.exe /s /v"/qn “EMULATIONMODE=1”
(donde XXXX es el ID de build)
“NOCSSWIZARD=1””
3. Después de rearrancar, inicie sesión con la cuenta del administrador local de
Windows y prepare el script XML para el despliegue. En la línea de mandatos,
ejecute este mandato:
“C:\Archivos de programa\Lenovo\Client Security Solution\css_wizarde.exe”
/name:C:\ThinkCentre

Seleccione las opciones siguientes en el asistente:
v Pulse Método de inicio de sesión seguro -> pulse Siguiente.
v Escriba la contraseña de Windows para la cuenta del administrador -> pulse
Siguiente.
(WPW4Admin, por ejemplo)
v Especifique la frase de paso de Client Security para la cuenta del
administrador, marque el recuadro de selección Utilizar la frase de paso de
Client Security para proteger el acceso al espacio de trabajo de Rescue and
Recovery -> pulse Siguiente.
(CSPP4Admin, por ejemplo)
v Seleccione tres preguntas y respuestas para la cuenta de administrador ->
pulse Siguiente.
a. ¿Cuál era el nombre de su primera mascota?
(Tobby, for ejemplo).
b. ¿Cuál es su película favorita?
(Lo que el viento se llevó, por ejemplo).
c. ¿Cuál es su equipo de futbol favorito?
(Barcelona F.C., por ejemplo).
v Revise el Resumen y seleccione Aplicar para grabar el archivo XML en la
siguiente ubicación C:\ThinkCentre.xml -> pulse Aplicar.
v Pulse Finalizar para cerrar el asistente.
4. Abra el archivo siguiente en un editor de texto (los editores de scripts XML o
Microsoft Word 2003 tienen funciones de formato XML incorporadas) y
modifique los siguientes valores:
v Elimine todas las referencias al valor Domain. Esto indicará al script que
utilice en su lugar el nombre de la máquina local en cada sistema. Guarde el
archivo.
5. Utilice la herramienta que se encuentra en C:\Archivos de
programa\Lenovo\Client Security Solution\xml_crypt_tool.exe para cifrar el
script XML con una contraseña. Para ejecutar el archivo desde un indicador de
mandatos, utilice la sintaxis siguiente:
a. xml_crypt_tool.exe C:\ThinkCentre.xml /encrypt XMLScriptPW.
b. El archivo se llamará ahora C:\ThinkCentre.xml.enc y estará protegido
mediante la contraseña = XMLScriptPW.
El archivo C:\ThinkCentre.xml.enc está ahora preparado para ser añadido a la
máquina de despliegue.
En la máquina de despliegue:
1. Inicie la sesión con la cuenta del administrador local de Windows.
2. Instale los programas Rescue and Recovery y Client Security Solution con las
opciones siguientes:
setup_tvtrnr40_xxxxcc.exe /s /v"/qn “EMULATIONMODE=1”
(Siendo xxxx el ID de build y cc el código de país).
“NOCSSWIZARD=1””
Notas:
a. Asegúrese de que los archivos .tvt, como por ejemplo Z652ZIXxxxxyy00.tvt
para Windows XP o Z633ZISxxxxyy00.tvt para Windows Vista (en que xxxx
es el ID de build y yy es el ID de país), se encuentren en el mismo
directorio que el archivo ejecutable o, de los contrario, la instalación fallará.

b. Si está realizando una instalación administrativa, consulte “Caso de ejemplo
1” en la página 71.
3. Después de rearrancar, inicie la sesión con la cuenta del administrador local de
Windows.
4. Añada el archivo ThinkCentre.xml.enc preparado anteriormente al directorio
C:\ root.
5. Prepare el mandato RunOnceEx con los parámetros siguientes.
v Añada una nueva clave a la clave RunonceEx denominada “0001”. Debe ser:
HKEY_LOCAL_MACHINE \Software\Microsoft\Windows\Current
Version\RunOnceEx\0001.
v En dicha clave añada un nombre de valor de serie de caracteres “CSSEnroll”
con el valor: ″C:\Archivos de programa\Lenovo\Client Security
Solution\vmserver.exe” C:\ThinkCenter.xml.enc XMLscriptPW.
6. Ejecute “%rr%C:\Archivos de programa\Lenovo\Rescue and
Recovery\rrcmd.exe″ sysprepbackup location=L name=”Sysprep Backup”.
Después de que haya preparado el sistema, verá esta salida:
********************************************************
** Ready to take sysprep backup. **
** **
** PLEASE RUN SYSPREP NOW AND SHUT DOWN. **
** **
** Next time the machine boots, it will boot **
** to the Predesktop Area and take a backup. **
********************************************************
7. Ejecute la implementación de Sysprep.
8. Concluya y rearranque la máquina. Se iniciará el proceso de copia de seguridad
en Windows PE.
Nota: Se visualizará el mensaje: ″La restauración está en proceso pero se está

realizando una copia de seguridad″. Después de la copia de seguridad, apague
el sistema y no reinicie.
Ahora la copia de seguridad base de Sysprep se ha completado.
Caso de ejemplo 2
A continuación se muestra un ejemplo de una instalación en un sistema portátil
utilizando estos requisitos hipotéticos del cliente:
v Administración
– Instalar en máquinas donde hay instaladas versiones anteriores de Client
Security Solution.
– Utilizar la cuenta del administrador de dominio para la administración del
sistema.
– Todos los sistemas tienen una contraseña de supervisor del BIOS, BIOSpw.
v Client Security Solution
– Utilizar el Módulo de plataforma segura.
- Todas las máquinas tienen un chip de seguridad.
– Habilitar Password Manager.
– Utilizar la contraseña de Windows del usuario como autenticación en Client
Security Solution.
– Cifrar el script XML de Client Security Solution con contraseña =
″XMLscriptPW″.
Capítulo 6. Prácticas recomendadas 73

- La contraseña protege el archivo de configuración de Client Security
Solution.
v Software de huellas dactilares de ThinkVantage
– No desea utilizar las contraseñas del BIOS y del disco duro.
– Iniciar sesión con el Software de huellas dactilares.
- Después de un período inicial de autoregistro del usuario, el usuario
conmutará el inicio de sesión en Modalidad segura que requiere una huella
dactilar para los usuarios no administradores, imponiendo, por lo tanto, de
forma efectiva una metodología de autentificación de dos factores.
– Incluir la Guía de aprendizaje de huellas dactilares.
- Los usuarios finales pueden aprender cómo pasar correctamente el dedo y
obtener una respuesta visual acerca de lo que hacen incorrectamente.
En la máquina de preparación:
1. Desde el estado de apagado, inicie el sistema y pulse F1 para ir al BIOS y
navegar hasta el menú de seguridad y borrar el chip de seguridad. Guarde y
salga del BIOS.
2. Inicie la sesión con la cuenta del administrador de dominios de Windows.
3. Instale el software de huellas dactilares de ThinkVantage ejecutando el archivo
f001zpz2001us00.exe para extraer el archivo setup.exe desde el paquete web.
Así se extraerá automáticamente el archivo setup.exe en la ubicación siguiente:
C:\SWTOOLS\APPS\TFS5.8.2-Buildxxxx\Application\0409\setup.exe. (donde
xxxx es el ID de build).
4. Instale la guía de aprendizaje del Software de huellas dactilares ThinkVantage
ejecutando el archivo f001zpz7001us00.exe para extraer el archivo tutess.exe del
paquete web. Esto extraerá automáticamente el archivo setup.exe en la
ubicación siguiente: C:\SWTOOLS\APPS\tutorial\TFS5.8.2
Buildxxxx\Tutorial\0409\tutess.exe.
5. Instale la Consola de huellas dactilares de ThinkVantage ejecutando el archivo
f001zpz5001us00.exe para extraer el archivo fprconsole.exe del paquete web. La
ejecución del archivo f001zpz5001us00.exe extraerá automáticamente el archivo
setup.exe en la siguiente ubicación: C:\SWTOOLS\APPS\fpr_con\APPS\
UPEK\FPR Console\TFS5.8.2-Buildxxx\Fprconsole\fprconsole.exe.
6. Instale el programa Client Security Solution con las opciones siguientes:
tvtcss82_xxxxcc.exe /s /v”/qn NOCSSWIZARD=1 SUPERVISORPW=
”BIOSpw”"
7. Después de rearrancar, inicie la sesión con la cuenta del administrador de
dominios de Windows y prepare el script XML para su despliegue. En la línea
de mandatos ejecute:
“C:\Archivos de programa\Lenovo\Client Security Solution\css_wizard.exe”
/name:C:\ThinkPad
Seleccione las opciones siguientes en el asistente para que coincidan con el

script de ejemplo:
v Pulse Método de inicio de sesión seguro -> pulse Siguiente.
v Escriba la contraseña de Windows para la cuenta del administrador de
dominios -> pulse Siguiente
(WPW4Admin, por ejemplo).
v Especifique la frase de paso de Client Security para la cuenta de
administrador de dominio.
v Seleccione Ignorar valor de recuperación de contraseña -> pulse Siguiente.

v Revise el Resumen y pulse Aplicar para grabar el archivo XML en la
siguiente ubicación C:\ThinkPad.xml.
v Pulse Finalizar para cerrar el asistente.
8. Utilice la herramienta que se encuentra en C:\Archivos de
programa\Lenovo\Client Security Solution\xml_crypt_tool.exe para cifrar el
script XML con una contraseña. En un indicador de mandatos, utilice la
siguiente sintaxis:
a. xml_crypt_tool.exe C:\ThinkPad.xml /encrypt XMLScriptPW.
b. El archivo se llamará ahora C:\ThinkPad.xml.enc y estará protegido por la
contraseña = XMLScriptPW.
En la máquina de despliegue:
1. Utilizando las herramientas de distribución de software de la empresa,
despliegue en cada máquina de despliegue el ejecutable setup.exe del software
de huellas dactilares de ThinkVantage que se ha extraído de la máquina de
preparación. Cuando el archivo setup.exe llegue a la máquina, instálelo
mediante el mandato siguiente:
setup.exe CTLCNTR=0 /q /i
despliegue en cada máquina de despliegue el ejecutable (tutess.exe) de la guía
de instalación del software de huellas dactilares de ThinkVantage que se ha
extraído de la máquina de preparación. Cuando el archivo tutess.exe llegue a la
máquina, instálelo mediante el mandato siguiente:
tutess.exe /q /i
despliegue en cada máquina de despliegue el ejecutable (fprconsole.exe) de la
Consola de huellas dactilares de ThinkVantage que se ha extraído de la
máquina de preparación.
v Coloque el archivo fprconsole.exe en el directorio C:\Archivos de
programa\Software de huellas dactilares de ThinkVantage\.
v Desactive el soporte de seguridad de encendido del BIOS ejecutando el
mandato siguiente: fprconsole.exe settings TBX 0.
despliegue el ejecutable tvtvcss82_xxxx.exe (siendo xxxx el ID de build) de
ThinkVantage Client Solution.
v Cuando el archivo tvtvcss82_xxxx.exe llegue a la máquina, instálelo mediante
el mandato siguiente: tvtvcss82_xxxx.exe /s /v"/qn "NOCSSWIZARD=1"
"SUPERVISORPW="BIOSpw"".
v La instalación del software habilitará automáticamente el hardware del
Módulo de plataforma segura.
5. Después de rearrancar el sistema, configure el sistema con el archivo script
XML mediante el procedimiento siguiente:
v Copie el archivo ThinkPad.xml.enc preparado anteriormente en el directorio
C:\.
v Abra un indicador de mandatos distinto y ejecute "C:\Archivos de
programa\Lenovo\Client Security Solution\vmserver.exe"
C:\ThinkPad.xml.enc XMLScriptPW.
6. Después de rearrancar, el sistema estará ahora preparado para el registro de
usuario de Client Security Solution. Cada usuario puede iniciar sesión en el
sistema con su ID de usuario y su contraseña de Windows. A cada usuario que

inicie sesión en el sistema se le solicitará automáticamente que se registre en
Client Security Solution y, a continuación, se podrá registrar en el lector de
huellas dactilares.
7. Después de que todos los usuarios del sistema se hayan registrado en el
Software de huellas dactilares de ThinkVantage, se puede habilitar el valor de
Modalidad segura para hacer que todos los usuarios no administradores de
Windows tengan que iniciar sesión con la huella dactilar.
v Ejecute el mandato siguiente: "C:\Archivos de programa\Software de huellas
dactilares de ThinkVantage\fprconsole.exe" settings securemode 1
v Para eliminar el mensaje Pulse Ctrl+Alt+Supr para iniciar sesión utilizando
una contraseña. En la pantalla de inicio de sesión, ejecute el mandato
siguiente:
"C:\Archivos de programa\Software de huellas dactilares de ThinkVantage
\fprconsole.exe settings"
CAD 0
Ahora se ha completado el despliegue de Client Security Solution 8.21 y del

Software de huellas dactilares de ThinkVantage.
Conmutación de modalidades de Client Security Solution

Si conmuta la modalidad de Client Security Solution de la modalidad cómoda a la
modalidad segura o si conmuta de la modalidad segura a la modalidad cómoda, y
está utilizando Rescue and Recovery para realizar una copia de seguridad del
sistema, realice una nueva copia de seguridad base después de conmutar las
modalidades.
Implementación de un Active Directory de empresa

Para implementar un Active Directory de empresa, complete los pasos siguientes:
1. Instale mediante Active Directory o LANDesk:
a. Realice copias de seguridad y obtenga informes mediante Active Directory y
LANDesk de quién y cuándo se han realizado.
b. Proporcione a algunos grupos la capacidad de realizar copias de seguridad,
suprimir copias de seguridad, opciones de planificación y restricciones de
contraseña y, a continuación, cambie los grupos y vea si los valores
persisten.
c. Mediante Active Directory, habilite Antidote Delivery Manager. Coloque los
paquetes que se ejecutarán y asegúrese de que se captura el informe.
Instalación autónoma para CD o archivos script

Para una instalación autónoma para un archivo CD o script, complete los pasos
siguientes:
1. Utilice un archivo de proceso por lotes para instalar de forma silenciosa Client
Security Solution y la tecnología de huellas dactilares.
2. Configure de forma silenciosa la recuperación de contraseña del BIOS.

System Update
Para actualizar el sistema, complete los pasos siguientes:
1. Instale Client Security Solution y la tecnología del Software de huellas
dactilares mediante un servidor de actualización del sistema personalizado que
simula la forma en que una gran empresa tendría un servidor configurado en
lugar de ir a un servidor de Lenovo, de forma que puedan controlar el
contenido.
2. Instale sobre las tres versiones distintas de software anterior (Rescue and
Recovery 1.0/2.0/3.0, software de huellas dactilares, Client Security Solution
5.4–6, FFE). Los valores también se deben mantener al instalar la nueva versión
sobre la versión antigua.
System Migration Assistant

Migre de T40 con Client Security Solution 7.0 un T60 con Client Security Solution
8.21.
Cómo generar un certificado utilizando la generación de claves en

TPM
Los certificados se pueden generar directamente mediante el CSP de Client
Security y TPM generará y protegerá las claves privadas de los certificados. Para
solicitar un certificado utilizando el CSP de Client Security Solution, lleve a cabo
los pasos siguientes:
Requisitos:
v La máquina servidor debe tener instalado lo siguiente:
– Windows 2003 Enterprise o posterior
– Active Directory
– El servicio Certificate Authority
v La máquina cliente debe cumplir los requisitos siguientes:
– TPM incorporado
– Tener instalado el producto Client Security Solution
Cómo solicitar un certificado desde el servidor

Cómo crear una plantilla para un usuario de TPM
Para crear una plantilla para un usuario de TMP, lleve a cabo el procedimiento
siguiente tal como se indica a continuación:
1. Pulse Inicio > Ejecutar.
2. Escriba mmc y pulse Aceptar. Aparecerá la ventana de la consola.
3. Desde el menú Archivo, pulse Añadir/Quitar ajuste y, a continuación, pulse
Añadir. Aparecerá la ventana Añadir ajuste autónomo.
4. Efectúe una doble pulsación en Autoridad de certificación de la lista de
ajustes y pulse Cerrar.
5. Pulse Aceptar en la ventana Añadir/Quitar ajuste.
6. Pulse Plantillas de certificados en el árbol de la consola. Aparecerán todas las
plantillas de certificados en el panel de la izquierda.
7. Pulse Acción > Duplicar plantilla.

8. En el campo Mostrar nombre, escriba TPM User.
9. Pulse el separador Solicitar manejo y pulse CSP. Asegúrese de seleccionar
Las solicitudes pueden utilizar cualquier CSP disponible en los equipos
implicados.
10. Pulse el separador General. Asegúrese de seleccionar Publicar certificado en
Active Directory.
11. Pulse el separador Seguridad en la lista Grupos o nombres de usuarios, pulse
Usuarios autenticados y asegúrese de seleccionar Inscribir en Permisos para
usuarios autenticados.
Configuración de una autoridad de certificación de empresa

Para emitir el certificado de usuario de TPM configurando una autoridad de
certificación de empresa, lleve a cabo el procedimiento siguiente tal como se indica
a continuación:
1. Abra Certification Authority.
2. En el árbol de la consola, pulse Certificate Templates.
3. Desde el menú Action, pulse New > Certificate to Issue.
4. Pulse TPM y pulse OK.
Cómo aplicar el certificado del cliente

Para aplicar el certificado desde el cliente, lleve a cabo el procedimiento siguiente
tal como se indica a continuación:
1. Conéctese a la Intranet, inicie Internet Explorer y escriba la dirección IP del
servidor en el que está instalado el servicio CA.
2. Indique su nombre de usuario de dominio y contraseña en la ventana de
solicitud.
3. Pulse Solicitar un certificado en Seleccionar una tarea.
4. Pulse Solicitud de certificado avanzada en la parte inferior de la página web.
5. En la página Solicitud de certificado avanzada, cambie los valores siguientes:
v Seleccione Usuario de TPM de la lista desplegable Plantilla de certificados.
v Seleccione ThinkVantage Client Security Solution CSP de la lista
desplegable CSP.
v Asegúrese de no seleccionar Marcar claves como exportables.
v Pulse Someter y siga el proceso.
v En la página Certificado emitido, pulse Instalar este certificado. Aparecerá la
página Certificado instalado.
Utilización de los teclados de huella dactilar USB con el equipo

portátil de ThinkPad de 2008, modelos (R400/R500/T400/T500/W500/
X200/X301)
Lenovo contrata a dos proveedores para que proporcionen autenticación de huellas
dactilares en los modelos de los equipos portátiles y teclados USB ThinkPad®. Los
modelos de equipos portátiles ThinkPad anteriores a 2008 (por ejemplo, T61)
utilizan sensores de huella dactilar de ThinkVantage. Los modelos de equipos
portátiles de ThinkPad de 2008 (comenzando con T400) utilizan los sensores de
huella dactilar de Lenovo. Todos los teclados de hullas dactilares USB de IBM y
Lenovo utilizan sensores de huella dactilar de ThinkVantage. Son necesarias ciertas
consideraciones especiales si se utiliza el teclado de huellas dactilares en algunos
modelos de equipo portátil de ThinkPad (por ejemplo, ThinkPad T400 con un
teclado USB externo).

En esta sección se describen los casos de ejemplo de uso común así como las
estrategias de despliegue para el software de huellas dactilares que se instala en los
modelos de equipos portátiles de ThinkPad.
Nota:
v Software de huellas dactilares de Lenovo
El software de huellas dactilares de Lenovo es el software para el sensor de
huellas dactilares AuthenTec (por ejemplo, el sensor de huellas dactilares interno
en T400).
v Software de huellas dactilares de ThinkVantage
El software de huellas dactilares de ThinkVantage es el software para el sensor
de huellas dactilares UPEK (por ejemplo, el sensor de huellas dactilares interno
en T61 y el sensor de huellas dactilares en todos los teclados USB externos).
Inicio de sesión en Windows Vista

Para iniciar la sesión en el sistema operativo Windows Vista, puede utilizar el
sensor de huellas dactilares AuthenTec o el sensor de huellas dactilares UPEK
siempre que lo desee.
1. Instale la versión 3.2.0.275 o posterior del software de huellas dactilares de
Lenovo.
ThinkVantage.
3. Reinicie el sistema. Automáticamente se iniciará el asistente para registrar la
huella dactilar.
4. Utilice el software de huellas dactilares de ThinkVantage para registrar sus
huellas dactilares con el sensor de huellas dactilares externo. Si no se inicia
automáticamente, pulse Inicio → Programas → ThinkVantage → Software de
huellas dactilares de ThinkVantage para iniciar el registro.
5. Escriba su contraseña de Windows cuando se le solicite y, seguidamente, elija
un dedo del que va a realizar el registro.
6. Siga las indicaciones que aparecerán en la pantalla del equipo para registrar
su dedo utilizando el sensor de huellas dactilares externo.
7. Pulse Valores en la parte superior de la pantalla.
8. Marque el recuadro de selección Utilizar exploración de la huella dactilar en
lugar de la contraseña cuando se inicie la sesión en Windows, pulse Aceptar
y, a continuación, pulse Cerrar para cerrar la ventana.
9. Reinicie el sistema y asegúrese de que puede utilizar su huella dactilar para
iniciar la sesión en Windows con el sensor de huellas dactilares externo.
10. Utilice el registro de la huella dactilar para registrar sus huellas dactilares con
el sensor de huellas dactilares externo. Si no se inicia automáticamente, pulse
Inicio → Programas → ThinkVantage → Software de huellas dactilares de
Lenovo para iniciar el registro.
su dedo utilizando el sensor de huellas dactilares interno.
lugar de la contraseña cuando se inicie la sesión en Windows, pulse Aceptar
y, a continuación, pulse Cerrar para cerrar la ventana.

iniciar la sesión en Windows con el sensor de huellas dactilares interno.
Inicio de sesión en Windows XP

Para iniciar la sesión en el sistema operativo Windows XP, puede utilizar el sensor
de huellas dactilares AuthenTec o el sensor de huellas dactilares UPEK siempre
que lo desee.
Caso de ejemplo 1 – ThinkPad T400 con un teclado USB (no

conectado al dominio)
Utilice la pantalla de bienvenida de Windows XP.
Lenovo.
ThinkVantage.
3. Habilite la pantalla de bienvenida de Windows XP.
a. Abra Panel de control → Cuentas de usuario.
b. Pulse Cambiar la forma en la que los usuarios inician y cierran sesión.
c. Marque el recuadro de selección Usar la Pantalla de bienvenida.
Si el recuadro de selección no estuviera disponible, consulte “Caso de ejemplo
2 – ThinkPad T400 con un teclado USB (conectado al dominio)” en la página
81.
4. Pulse Inicio → Programas → ThinkVantage → Software de huellas dactilares de
su dedo utilizando el sensor de huellas dactilares interno.
lugar de la contraseña cuando se inicie la sesión en Windows, desmarque el
recuadro de selección Inhabilitar el soporte de conmutación rápida del
usuario, pulse Aceptar y, a continuación, pulse Cerrar para cerrar la ventana.
9. Rearranque el sistema y asegúrese de que puede utilizar su huella dactilar
para iniciar la sesión en Windows con el sensor de huellas dactilares interno.
10. Conecte el teclado USB externo.
ThinkVantage para iniciar el registro.
12. Pulse Huellas dactilares → Registrar o Editar huellas dactilares y, a
continuación, pulse Siguiente para visualizar la ventana de la contraseña de
Windows.
14. Siga las indicaciones que aparecerán en la pantalla para registrar su dedo
utilizando el sensor de huellas dactilares externo en el teclado USB.
15. Complete el asistente para el registro de huellas dactilares y, a continuación,
pulse Finalizar para cerrar el asistente.
16. En la ventana Software de huellas dactilares de ThinkVantage, pulse Valores →
Valores del sistema para que aparezca la ventana Valores del Software de
huellas dactilares de ThinkVantage.

17. En el separador Inicio de sesión, marque el recuadro de selección
Conmutación rápida de usuario.
18. Pulse Aceptar y, a continuación, cierre la ventana Software de huellas
dactilares de ThinkVantage.
iniciar la sesión en Windows con el sensor de huellas dactilares interno o
externo.
Caso de ejemplo 2 – ThinkPad T400 con un teclado USB

(conectado al dominio)
Utilice la interfaz de inicio de sesión de Client Security Solution (GINA).
Lenovo.
ThinkVantage.
3. Instale Client Security Solution con la versión 8.20.0035 o posterior.
4. Asegúrese de que el teclado USB esté conectado al sistema.
5. Reinicie el sistema. Automáticamente se iniciará el asistente para registrar la
huella dactilar. Si no se inicia automáticamente, pulse Inicio → Programas →
ThinkVantage → Software de huellas dactilares de ThinkVantage para iniciar
el registro.
su dedo utilizando el sensor de huellas dactilares externo en el teclado USB y,
a continuación, pulse Siguiente para que aparezca la ventana.
8. Marque el recuadro de selección Configurar Client Security Solution y, a
continuación, pulse Finalizar para cerrar la ventana.
11. Siga las indicaciones que aparecerán en la pantalla del equipo para registrar su
dedo utilizando el sensor de huellas dactilares interno.
13. Desmarque el recuadro de selección Utilizar exploración de la huella dactilar
en lugar de la contraseña cuando se inicie la sesión en Windows, pulse
Aceptar y, a continuación, pulse Cerrar para cerrar la ventana.
14. Reinicie el sistema e inicie la sesión en Windows con su contraseña.
15. Pulse Inicio → Programas → ThinkVantage → Client Security Solution para
iniciar CSS.
16. Desde el menú Avanzado,seleccione Gestionar políticas de seguridad para
que aparezca la ventana de Gestor de políticas.
17. En el panel Acciones del usuario, seleccione Iniciar sesión en Windows.
18. En el panel Política de seguridad, seleccione Utilizar una política de
seguridad predeterminada para esta acción de usuario.
19. Pulse Aceptar y, a continuación, pulse Sí para reiniciar el equipo.
20. Después del reinicio, asegúrese de que puede utilizar su huella dactilar para
iniciar la sesión en Windows con el sensor de huellas dactilares interno o
externo.

Client Security Solution y Password Manager
Al contrario que ocurre en el inicio de sesión de Windows, las solicitudes de
autenticación de Client Security Solution y Password Manager solamente
funcionan en el sensor de hullas dactilares preferido. Por ejemplo, cuando hay
conectado un teclado de huellas dactilares, su sensor de huellas dactilares será el
dispositivo preferido. Cuando no hay conectado ningún teclado de huellas
dactilares, el sensor de huellas dactilares interno de ThinkPad será el dispositivo
preferido.
Para cambiar el dispositivo preferido, cree una entrada de registro tal como se
indica a continuación:
[HKLM\Software\Lenovo\TVT Common\Client Security Solution]
REG_DWORD "PreferInternalFPSensor" = 1
Tabla 32. Claves del registro
Nombre Valor Descripción
PreferInternalFPSensor 0 (valor predeterminado) Especifica que el sensor de
huellas dactilares externo es
el preferido siempre que
haya un teclado de huellas
dactilares conectado.
1 Especifica que el sensor de
huellas dactilares interno es
el preferido.
Autenticación de prearranque – utilizando la huella dactilar en

lugar de las contraseñas del BIOS
Al contrario que ocurre en el inicio de sesión de Windows, las solicitudes de
autenticación para contraseñas del BIOS solamente funcionan en el sensor de
huellas dactilares cuando se ha configurado el BIOS para que las utilice. De forma
predeterminada, el BIOS reconoce el paso del dedo en el teclado de huellas
dactilares si éste está conectado. Si el teclado de huellas dactilares no estuviera
conectado, el BIOS reconoce el paso del dedo en el dispositivo de huellas dactilares
interno para su autenticación.
El valor del BIOS Prioridad del lector se puede cambiar para forzar el uso del
sensor de huellas dactilares interno, aunque haya conectado un teclado de huellas
dactilares externo. El valor predeterminado para Prioridad del lector es Externo. El
valor se puede cambiar por Solamente interno para forzar el uso del sensor de
huellas dactilares interno.
Nota: Este valor del BIOS se aplica solamente a solicitudes de huellas dactilares en
el BIOS. No tiene ningún efecto sobre el inicio de sesión de Windows o las
solicitudes de autenticación de huellas dactilares de Client Security Solution.
Configuración del software de huellas dactilares para habilitar la

autenticación de prearranque
Si ha definido las contraseña de supervisor, de encendido o de unidad de disco
duro en el BIOS, puede configurar el software de huellas dactilares para su
autenticación en lugar de tener que escribir esas contraseñas.

Software de huellas dactilares de Lenovo – para el sensor de huellas dactilares
interno:
Lenovo para iniciar el software de huellas dactilares.
2. Pase su dedo o escriba la contraseña cuando se le solicite.
lugar de las contraseñas de encendido y de unidad de disco duro así como el
recuadro de selección Mostrar siempre las opciones de seguridad de
encendido y, a continuación, pulse Aceptar para cerrar la ventana.
5. Elija una de las huellas dactilares registrada para habilitar su huella dactilar y
sustituir las contraseñas del BIOS.
6. Pulse Cerrar para cerrar la ventana.
Software de huellas dactilares de ThinkVantage (Windows XP) – para el sensor

de huellas dactilares externo:
ThinkVantage para iniciar el software de huellas dactilares.
2. Pulse Valores → Seguridad de encendido en la parte superior de la ventana.
Nota: Si no estuviera disponible el valor Seguridad de encendido, cree una

entrada de registro tal como se indica a continuación para visualizar este valor:
3. Marque el recuadro de selección Solicitar huella dactilar para el arranque del
sistema y, a continuación, pulse Aceptar para cerrar la ventana.
4. Pulse Huellas dactilares → Registrar o Editar huellas dactilares para que
aparezca la ventana.
7. Pulse Finalizar para cerrar la ventana.
Software de huellas dactilares de ThinkVantage (Windows Vista) – para el

sensor de huellas dactilares externo:
ThinkVantage para iniciar el software de huellas dactilares.
lugar de las contraseñas de encendido y de unidad de disco duro así como el
recuadro de selección Mostrar siempre las opciones de seguridad de
encendido y, a continuación, pulse Aceptar para cerrar la ventana.
6. Pulse Cerrar para cerrar la ventana.

Apéndice A. Consideraciones acerca de la utilización de
OmniPass
OmniPass de Softex© es un programa que se puede utilizar para iniciar sesión de
forma segura en sitios web y en aplicaciones, así como proteger los datos de un
sistema. OmniPass se puede beneficiar del TMP del sistema accediendo al mismo
mediante interfaces proporcionadas por Client Security Solution. A fin de
aprovechar el TPM, se debe instalar Client Security Solution antes de instalar
OmniPass. Debido a las similitudes en las funciones ofrecidas por ambos
productos, algunas funciones de Client Security Solution se inhabilitan u ocultan
cuando OmniPass está instalado.
Además, si instala ambos programas se puede encontrar con conflictos. Tenga en

cuenta los posibles conflictos que se listan en la tabla siguiente:
Tabla 33. Coincidencia de funciones de Omnipass
Función Coincidencia de funciones Consideraciones
Autentificación de huellas El Software de huellas Debe registrar las huellas
dactilares dactilares de ThinkVantage y dactilares con el Software de
OmniPass requieren distintos huellas dactilares de
registros de huella dactilar. ThinkVantage para dar
soporte a la autentificación
previa al arranque con el
sensor de huellas dactilares.
Las huellas dactilares
registradas con el Software
de huellas dactilares de
ThinkVantage son
independientes de las huellas
dactilares registradas con
OmniPass. La instalación de
OmniPass ocultará el enlace
del Centro de control del
Software de huellas
dactilares de ThinkVantage
del menú Inicio.
Gestión de contraseñas Tanto Client Security Client Security Solution
Solution como OmniPass Password Manager será
proporcionan un gestor de inhabilitado automáticamente
contraseñas. por la instalación de
OmniPass.

Tabla 33. Coincidencia de funciones de Omnipass (continuación)
Función Coincidencia de funciones Consideraciones
Inicio de sesión de Windows Tanto Client Security La interfaz de inicio de
Solution como OmniPass sesión de Client Security
proporcionan una interfaz de Solution será inhabilitada
inicio de sesión de Windows automáticamente por la
instalación de OmniPass.
Nota: Cuando se inhabilita
la interfaz de inicio de sesión
de Client Security Solution,
durante el inicio de sesión de
Windows no estará
disponible la recuperación de
una contraseña de Windows
olvidada mediante la
Recuperación de contraseña
de Client Security Solution.
Cifrado de archivos Tanto Client Security Las dos versiones pueden
Solution 8.21 como OmniPass coexistir; sin embargo, para
proporcionan aplicaciones de evitar confusiones, desinstale
cifrado. Private Disk para Client
Security Solution 7.0 y
anteriores.
Interfaces de cifrado Tanto Client Security No seleccione el CSP ni el
Solution como OmniPass módulo PKCS#11 de Client
proporcionan un CSP y un Security Solution para
módulo PKCS#11. Las operaciones de cifrado.
interfaces de cifrado de
utilizan autentificación
independiente de OmniPass.
Autentificación de usuario Tanto Client Security Si está utilizando tanto Client
Solution como OmniPass Security Solution como
pueden solicitar OmniPass, asegúrese de que
autentificación de usuario. los usuarios entienden la
diferencia entre los
indicadores de solicitud de
autentificación y
proporcionan la información
de autentificación adecuada
(incluidas huellas dactilares)
cuando se les solicite.
Acceso a las funciones Client Security Solution y Elimine la aplicación Client
OmniPass proporcionan Security Solution del menú
acceso a sus funciones Inicio.
mediante una aplicación en
el menú Inicio, lo que puede
confundir a los usuarios.
Además de las consideraciones anteriores, es posible que también se encuentre con

los siguientes problemas con Omnipass:
v Si se visualiza un mensaje de error de falta de memoria del plugin de huellas
dactilares, omita el error y continúe utilizando Omnipass.
v El registro del TPM no funcionará para usuarios con una contraseña de
Windows NULA.

Apéndice B. Consideraciones especiales para utilizar el
teclado de huellas dactilares de Lenovo con algunos modelos
de equipos portátiles ThinkPad
El dispositivo de huella dactilar que se utiliza en algunos modelos de equipos
portátiles ThinkPad es distinto al dispositivo de huella dactilar que se utiliza en el
teclado de huellas dactilares de Lenovo. Puede que sean necesarias ciertas
consideraciones especiales si se utiliza el teclado de huella dactilar en algunos
modelos de equipos portátiles ThinkPad.
Para obtener más información, vaya a la página de descarga del software de huella
dactilar en el sitio web de Lenovo donde encontrará una lista de estos modelos de
equipos portátiles ThinkPad.
Solamente los modelos que aparecen listados en “Software de huellas dactilares de

Lenovo” necesitan alguna consideración especial cuando se utilizan con el teclado
de huella dactilar. Todos los demás modelos de equipos portátiles ThinkPad, que
utilizan “Software de huellas dactilares de ThinkVantage”, utilizan un dispositivo
de huella dactilar que es compatible con el dispositivo incluido en el teclado de
huella dactilar y no requieren ninguna consideración especial.
Configuración y definición
Debe haber instalada la versión 2.0, o posterior, del Software de huellas dactilares
de Lenovo para utilizar el dispositivo de huella dactilar en el equipo portátil
ThinkPad. Los usuarios deben registrar huellas dactilares con el Software de
huellas dactilares de Lenovo utilizando el dispositivo integrado de huella dactilar.
Debe haber instalada la versión 5.8, o posterior, del Software de huellas dactilares
de ThinkVantage para utilizar el teclado de huellas dactilares de Lenovo. Los
usuarios también deben registrar las huellas dactilares con el Software de huellas
dactilares de ThinkVantage utilizando el teclado de huella dactilar.
Nota: Las huellas dactilares registradas con un dispositivo no se pueden

intercambiar con el otro dispositivo.
Autenticación previa al escritorio

Se utilizará el dispositivo incorporado de huella dactilar o el teclado de huella
dactilar para la autenticación previa al escritorio (que sustituye a la contraseña de
encendido del sistema o de unidad de disco duro con una huella dactilar). El BIOS
determinará qué dispositivo se debe utilizar cuando se encienda el sistema.
De forma predeterminada, el BIOS solamente aceptará que se pase el dedo en el

teclado de huella dactilar si éste está conectado. Si se pasa el dedo diversas veces
por el dispositivo integrado de huella dactilar se hará caso omiso para la
autenticación previa al escritorio si haya conectado un teclado de huella dactilar. Si
no está conectado el teclado de huella dactilar, se utilizará el dispositivo integrado
de huella dactilar para la autenticación previa al escritorio.
El valor del BIOS para “Prioridad del lector” se puede cambiar para que utilice el
sensor incorporado de huella dactilar. Si la “Prioridad del lector” se ha definido en

“Sólo interna”, se podrá utilizar el sensor integrado de huella dactilar para la
autenticación previa al escritorio. En este caso, se hará caso omiso del paso del
dedo por el teclado de huella dactilar.
Inicio de sesión de Windows

El teclado de huellas dactilares de Lenovo y el dispositivo de huella dactilar que se
utilizan en ThinkPad proporcionan ambos su propia interfaz para iniciar sesión en
Windows con una huella dactilar.
Importante: Los problemas de compatibilidad pueden causar problemas cuando se

inicia la sesión si las interfaces de inicio de sesión de huella dactilar no se han
configurado correctamente.
Pantalla de bienvenida Windows XP

Para dar soporte al inicio de sesión tanto con el teclado de huellas dactilares de
Lenovo como con el sensor de huella dactilar incorporado de ThinkPad con la
pantalla de bienvenida de Windows XP, debe tener habilitadas las interfaces de
inicio de sesión del Software de huellas dactilares de Lenovo y del Software de
huellas dactilares de ThinkVantage.
Cuando se inicia la sesión con la pantalla de bienvenida de Windows XP habilitada

y ambas interfaces de inicio de sesión con huella dactilar están habilitadas, los
usuarios pueden pasar el dedo por el teclado de huella dactilar o por el dispositivo
integrado de huella dactilar para iniciar la sesión.
Nota: El valor “Prioridad del lector” del BIOS no se aplica en esta situación. Puede
utilizarse cualquier dispositivo de los dos para el inicio de sesión si ambos
dispositivos están disponibles.
La pantalla de bienvenida de Windows XP se puede habilitar a través de la opción

“Cuentas de usuario” del Panel de control de Windows XP.
La interfaz de inicio de sesión de huella dactilar para el Software de huellas

dactilares de Lenovo (para el sensor integrado de huella dactilar) y el Software de
huellas dactilares de ThinkVantage (para el teclado de huella dactilar) se puede
habilitar mediante la opción “Valores” de las respectivas aplicaciones de software
de huella dactilar.
Windows XP - Solicitud de inicio de sesión clásica

Importante:: Las interfaces de inicio de sesión de huella dactilar para el Software
de huellas dactilares de Lenovo y el Software de huellas dactilares de
ThinkVantage no deben habilitarse a la vez si se ha habilitado la solicitud de inicio
de sesión clásica de Windows XP (interfaz de inicio de sesión GINA). Pueden
producirse resultados inesperados si están habilitadas ambas interfaces de inicio de
sesión y no se utiliza la pantalla de bienvenida de Windows XP.
Si es necesaria la solicitud de inicio de sesión clásica de Windows XP (por ejemplo,

para dar soporte al inicio de sesión en un dominio) y se selecciona el inicio de
sesión de huella dactilar con cualquier sensor, se deberá habilitar la interfaz de
inicio de sesión de Client Security Solution. Con la interfaz de inicio de sesión de

Client Security Solution habilitada, el inicio de sesión en Windows es posible tanto
con el teclado de huella dactilar como con el dispositivo integrado de huella
dactilar.
Nota: Esta opción solamente está disponible en la versión 8.21, o posterior, de

La interfaz de inicio de sesión de Client Security Solution se puede habilitar

mediante la aplicación Client Security Solution en el menú Inicio. La opción para
configurar la interfaz de inicio de sesión de Client Security Solution se puede
encontrar seleccionando “Gestionar políticas de seguridad” del menú “Avanzado”
de Client Security Solution.
Asegúrese de que las interfaces de inicio de sesión para el Software de huellas

dactilares de Lenovo y el Software de huellas dactilares de ThinkVantage estén
habilitadas mediante la opción “Valores” de las respectivas aplicaciones de
software de huella dactilar.
Windows Vista
Para dar soporte al inicio de sesión tanto con el teclado de huellas dactilares de
Lenovo como con el sensor incorporado de huella dactilar de ThinkPad en
Windows Vista, debe tener habilitadas las interfaces de inicio de sesión del
Software de huellas dactilares de Lenovo y del Software de huellas dactilares de
ThinkVantage.
Cuando ambas interfaces de inicio de sesión de huella dactilar están habilitadas en

Windows Vista, los usuarios pueden pasar el dedo por el teclado de huella dactilar
o por el dispositivo integrado de huella dactilar para iniciar la sesión.
Notas:
1. El valor “Prioridad del lector” del BIOS no se aplica en este caso. Puede
utilizarse cualquier dispositivo de los dos para el inicio de sesión si ambos
dispositivos están disponibles.
2. La pantalla de inicio de sesión de Windows Vista solamente puede mostrar un
“título o botón, por cada inicio de sesión de huella dactilar, aunque se puede
utilizar cualquier sensor de huellas dactilares para iniciar la sesión.
De forma alternativa, para dar soporte tanto al teclado de huella dactilar como al
dispositivo integrado de huella dactilar, se puede utilizar la interfaz de inicio de
sesión de Client Security Solution en lugar de las interfaces de inicio de sesión del
software de huella dactilar. Sin embargo, esta prestación solamente está disponible
en la versión 8.21, o posteriores, de Client Security Solution.
Si utiliza la interfaz de inicio de sesión de Client Security Solution, las interfaces de

inicio de sesión del software de huella dactilar deberán estar inhabilitadas en la
opción “Valores” de las respectivas aplicaciones de software de huella dactilar. La
interfaz de inicio de sesión de Client Security Solution se puede habilitar mediante
la aplicación Client Security Solution en el menú Inicio. La opción para configurar
la interfaz de inicio de sesión de Client Security Solution se puede encontrar
seleccionando Gestionar políticas de seguridad del menú Avanzado de Client
Security Solution.
Apéndice B. Consideraciones especiales para utilizar el teclado de huellas dactilares de Lenovo con algunos modelos de equipos
portátiles ThinkPad 89
Autenticación con Client Security Solution
Nota: La información siguiente se aplica solamente a la versión 8.21, y posteriores,
de Client Security Solution. Las versiones anteriores de Client Security Solution no
dan soporte a la utilización del dispositivo integrado de huella dactilar con el
teclado de huella dactilar.
Cuando se realiza una acción con Client Security Solution que requiere
autenticación de huella dactilar, como por ejemplo la especificación automática de
la contraseña en un sitio web con Password Manager, los usuarios deben pasar un
dedo sobre el teclado de huella dactilar, si está conectado, en el momento en que
así se les solicite. Se hará caso omiso si se pasa el dedo diversas veces por el
dispositivo incorporado de huella dactilar, si el teclado de huella dactilar está
conectado. Si el teclado de huella dactilar no está conectado, se tendrá que utilizar
el sensor integrado de huella dactilar.
Hay disponible un valor de registro para pedir a los usuarios que utilicen el sensor
incorporado de huella dactilar para la autenticación con Client Security Solution. Si
se define esta entrada de registro, la autenticación de huella dactilar con Client
Security Solution deberá realizarse con el sensor incorporado y se hará caso omiso
de la acción de pasar el dedo por el teclado de huella dactilar.
La entrada del registro es la siguiente:

[HKLM\Software\Lenovo\TVT Common\Client Security Solution]
REG_DWORD "PreferInternalFPSensor" = 1
El valor predeterminado de la entrada de registro anterior es 0, cuando la

autenticación de huella dactilar con Client Security Solution debe hacerse con el
teclado de huella dactilar y se hará caso omiso de la acción de pasar el dedo por el
dispositivo incorporado de huella dactilar.
Este valor también se puede cambiar utilizando el archivo de plantillas

administrativas de Client Security Solution con las políticas de grupo para Active
Directory.
Notas:
1. Cuando el valor de BIOS de “Prioridad del lector” se ha definido en “Sólo
interna”, se recomienda definir la entrada de registro en‘1’. Se habilitará la
autenticación con Client Security Solution para simular el valor de
autenticación previa al escritorio del BIOS.
2. El valor de BIOS y el valor de este registro son independientes.

Apéndice C. Sincronización de la contraseña en CSS tras
restablecer la contraseña de Windows
Una vez restablecida la contraseña de Windows, Client Security Solution le solicita
constantemente una contraseña de Windows nueva pero, seguidamente muestra un
mensaje de error que indica que la contraseña es incorrecta. La seguridad de
Windows se ha diseñado de forma que las credenciales de seguridad del usuario
queden invalidadas cuando se restablezca la contraseña de Windows. Windows le
mostrará un mensaje de aviso en cada intento de restablecer la contraseña.
Además, al restablecer la contraseña de Windows no solamente se verá afectado el
producto Client Security Solution sino que también perderá el acceso a los
certificados y archivos que se hayan cifrado mediante Windows EFS. Cuando
Client Security Solution ya no puede acceder a las credenciales de seguridad de
Windows (como resultado de restablecer la contraseña), Client Security Solution le
solicitará constantemente una contraseña nueva y seguidamente mostrará un
mensaje de error en el que se indica que la contraseña que se ha indicado no es
válida. Client Security Solution no puede funcionar cuando las credenciales de
seguridad de Windows han quedado invalidadas. Si se ha cambiad la contraseña
de Windows del usuario (por ejemplo, se le solicita que especifique tanto la
contraseña antigua como la nueva), se conservarán las credenciales de seguridad y
se protegerán gracias a la nueva contraseña.
Para sincronizar la contraseña en CSS tras restablecer la contraseña de Windows,

realice lo siguiente:
1. Restaure una copia de seguridad de su sistema antes de restablecer la
contraseña de Windows.
2. Restablezca la contraseña de Windows nuevamente a la que había
originalmente. De esta forma se restablecerá el acceso a las credenciales de
seguridad de Windows.
3. Cree una cuenta nueva de Windows y comience a utilizarla en lugar de
emplear la cuenta original con las credenciales corruptas.
4. Siga este método para recuperar el sistema:
a. Inicie Password Manager.
b. Pulse Import/Export y seleccione Export entry list.
c. Especifique una ubicación para guardar el archivo y escriba un nombre de
archivo.
d. Especifique una contraseña para el archivo de entradas.
e. Cierre Password Manager.
f. Inicie Client Security Solution.
g. Pulse Avanzadas → Restablecer valores de seguridad.
h. Escriba la contraseña nueva de Windows cuando se le solicite.
i. Client Security Solution le solicitará que reinicie el sistema.
j. Después de reiniciar el sistema, inicie Password Manager.
k. Pulse Import/Export y seleccione Import entry list.
l. Examine el archivo que se ha guardado anteriormente.
m. Especifique la contraseña cuando se le solicite.

Apéndice D. Avisos
Es posible que Lenovo no ofrezca todos los productos, servicios o funciones
descritos en este documento en todos los países. Consulte al representante local de
Lenovo para obtener información acerca de los productos y servicios que están
actualmente disponibles en su área. Cualquier referencia a un producto, programa
o servicio de Lenovo no pretende indicar o implicar que sólo se pueda utilizar
dicho producto, programa o servicio de Lenovo. En su lugar, se puede utilizar
cualquier producto, programa o servicio funcionalmente equivalente que no
infrinja el derecho de propiedad intelectual de Lenovo. Sin embargo, es
responsabilidad del usuario evaluar y verificar el funcionamiento de cualquier otro
producto, programa o servicio.
Lenovo puede tener patentes o solicitudes de patente pendientes que traten el tema
descrito en este documento. El suministro de este documento no le proporciona
ninguna licencia sobre estas patentes. Puede enviar preguntas sobre licencias, por
escrito, a:
Lenovo (United States), Inc
1009 Think Place
Building One
Morrisville, NC 27560
EE.UU.
A la atención de: Lenovo Director of Licensing
LENOVO GROUP LTD. PROPORCIONA ESTA PUBLICACIÓN “TAL CUAL”, SIN

GARANTÍAS DE NINGÚN TIPO, NI EXPLÍCITAS NI IMPLÍCITAS,
INCLUYENDO, PERO SIN LIMITARSE A, LAS GARANTÍAS IMPLÍCITAS DE NO
VIOLACIÓN, MERCANTIBILIDAD O ADECUACIÓN A UN PROPÓSITO
DETERMINADO. Algunas jurisdicciones no permiten la renuncia a garantías
implícitas o explícitas en algunas transacciones; por lo tanto, es posible que esta
declaración no sea aplicable en su caso.
Esta información podría incluir imprecisiones técnicas o errores tipográficos.

Periódicamente se realizan cambios en la información aquí contenida; estos
cambios se incorporarán en nuevas ediciones de la publicación. Lenovo puede
realizar mejoras y/o cambios en los productos y/o los programas descritos en esta
publicación en cualquier momento sin aviso previo.
Los productos descritos en este documento no están destinados a la utilización en

la implementación u otras aplicaciones de soporte vital cuyo funcionamiento
incorrecto pueda dar como resultado el daño o la muerte de personas. La
información contenida en este documento no afecta ni cambia las especificaciones
ni las garantías del producto Lenovo. No hay nada en este documento que
funcione como una licencia ni indemnización explícita ni explícita bajo los derechos
de propiedad intelectual de Lenovo y de terceros. Toda la información contenida
en este documento se ha obtenido en entornos específicos y se presenta como
ejemplo. El resultado obtenido en otros entornos operativos puede variar.
Lenovo puede utilizar o distribuir cualquier información que el usuario

proporcione de cualquier manera que crea conveniente sin incurrir por ello en
ninguna obligación con el usuario.

Cualquier referencia realizada en esta publicación a sitios web que no sean de
Lenovo se proporciona sólo para su comodidad y de ninguna manera sirven como
una aprobación de dichos sitios web. Los materiales de estos sitios web no forman
parte de los materiales para este producto Lenovo, y la utilización de estos sitios
web la realiza el usuario por su propia cuenta y riesgo.
Los datos de rendimiento aquí contenidos se han obtenido en un entorno

controlado. Por lo tanto, el resultado en otros sistemas operativos puede variar de
forma significativa. Algunas mediciones se han realizado en sistemas a nivel de
desarrollo y no hay ninguna garantía que de estas mediciones sean las mismas en
sistemas disponibles comercialmente. Además, algunas mediciones se han realizado
mediante extrapolación. Los resultados reales pueden variar. Los usuarios de este
documento deben verificar los datos aplicables para su entorno específico.
Marcas registradas
Los términos siguientes son marcas registradas de Lenovo en Estados Unidos o en
otros países:
Lenovo
Rescue and Recovery
ThinkCentre
ThinkPad
ThinkVantage
IBM es una marca registrada de International Business Machines Corporation en

Estados Unidos o en otros países.
Microsoft, Windows y Windows Vista son marcas registradas del grupo de

empresas de Microsoft.
Es posible que otros nombres de empresas, productos o servicios sean marcas

registradas o de servicio de otros.

Glosario
Advanced Encryption Standard (AES). Advanced Clave raíz de almacenamiento (SRK). La clave raíz de
Encryption Standard es una técnica de cifrado de claves almacenamiento (SRK) es un par de claves públicas de
simétricas. El gobierno de los EE.UU. adoptó el 2,048 bits (o más grande). Está inicialmente vacía y se
algoritmo como su técnica de cifrado en octubre de crea cuando se asigna el propietario del TPM. Este par
2000, sustituyendo el cifrado DES que utilizaba. AES de claves nunca abandona el chip de seguridad
ofrece una mayor seguridad contra los ataques de incorporado. Se utiliza para cifrar (empaquetar) claves
fuerza bruta que las claves a 56 bits, y AES puede privadas para el almacenamiento fuera del Módulo de
utilizar claves de 128, 192 y 256 bits, si es necesario. plataforma segura y para descifrarlas cuando se cargan
de nuevo en el Módulo de plataforma segura. La SRK
Chip de seguridad incorporado. El chip de seguridad la puede borrar cualquiera que tenga acceso al BIOS.
incorporado es otro nombre para un Módulo de
plataforma segura. Contraseña del BIOS de Administrador (ThinkCentre)
/ Supervisor (ThinkPad) . La contraseña de
Cifrado de claves públicas/claves asimétricas. Los administrador o supervisor se utiliza para controlar la
algoritmos de claves públicas normalmente utilizan un capacidad de cambiar los valores del BIOS. Esto incluye
par de dos claves relacionadas — una clave es privada la capacidad de habilitar o inhabilitar el chip de
y se debe mantener en secreto, mientras que la otra se seguridad incorporado y de borrar la Clave de raíz de
hace pública y se puede distribuir ampliamente; no almacenamiento almacenada con el Módulo de
debe ser posible deducir una clave de un par si se plataforma segura.
proporciona la otra. La terminología de ″cifrado de
claves públicas″ deriva de la idea de hacer parte de la Módulo de plataforma segura (TPM). Los Módulos
clave información pública. El término cifrado de claves de plataforma segura son circuitos integrados con un
asimétricas también se utiliza porque no todas las propósito especial incorporados en los sistemas para
partes mantienen la misma información. En cierto permitir una autentificación de usuario y verificación
sentido, una clave ″bloquea″ un bloqueo (cifra); pero es de la máquina fuertes. La finalidad principal del TPM
necesario una clave distinta para desbloquearla es evitar el acceso inadecuado a información
(descifrarla). importante y confidencial. El TPM es una raíz de
fiabilidad basada en hardware que se puede aprovechar
Cifrado de claves simétricas. Las cifras del cifrado de para proporcionar una variedad de servicios de cifrado
claves simétricas utilizan la misma clave para cifrar y en un sistema. Otro nombre para el TPM es el chip de
para descifrar los datos. Las cifras de las claves seguridad incorporado.
simétricas son más simples y más rápidas, pero su
principal desventaja es que las dos partes deben de Sistemas de cifrado. Los sistemas de cifrado se
alguna manera intercambiar la clave de una forma pueden clasificar ampliamente en cifrado de claves
segura. El cifrado de claves públicas evita este simétricas que utilizan una única clave que cifra y
problema porque la clave pública se puede distribuir descifra los datos, y cifrado de claves públicas que
de una forma no segura, y la clave privada no se utiliza dos claves, una clave pública conocida por todo
transmite nunca. Advanced Encryption Standard es un el mundo y una clave privada a la que sólo tiene
ejemplo de una clave simétrica. acceso el propietario del par de claves.


css821dg SP

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

css821dg SP

Uploaded by

Copyright:

Available Formats

Client Security Solution 8.

© Copyright Lenovo 2008, 2009 iii

iv Client Security Solution 8.21 Guía de despliegue

El objetivo de Client Security Solution y del Software de huellas dactilares consiste

Si tiene sugerencias o comentarios, póngase en contacto con el representante

© Copyright Lenovo 2008, 2009 v

Client Security Solution

© Copyright Lenovo 2008, 2009 1

Frase de paso de Client Security Solution

La frase de paso de Client Security Solution sólo es conocida por el usuario

Recuperación de contraseña de Client Security

2 Client Security Solution 8.21 Guía de despliegue

Client Security Password Manager

Client Security Password Manager le permite realizar las funciones siguientes:

Capítulo 1. Visión general 3

Asistente de transferencia de certificados

Restablecimiento de la contraseña de hardware

4 Client Security Solution 8.21 Guía de despliegue

Software de huellas dactilares

El Software de huellas dactilares proporciona estas funciones:

Capítulo 1. Visión general 5

6 Client Security Solution 8.21 Guía de despliegue

Client Security Solution

Nota: Al instalar estos paquetes, consulte el archivo léame de Client Security

Requisitos para sistemas IBM y Lenovo

© Copyright Lenovo 2008, 2009 7

Nota: No se da soporte al despliegue del paquete de instalación de Client Security

Propiedades públicas de personalización

8 Client Security Solution 8.21 Guía de despliegue

Es posible que la habilitación del TPM requiera un rearranque, ya que el TPM es

Antes de que el Módulo de plataforma segura pueda realizar cualquier función,

Después de configurar la propiedad del sistema, a cada usuario adicional de

Emulación de software del Módulo de plataforma segura

La sintaxis para forzar una emulación de software del Módulo de plataforma

Procedimientos de instalación y parámetros de la línea de

es válido, mientras que

Nota: El comportamiento predeterminado de la instalación cuando se ejecuta sola

10 Client Security Solution 8.21 Guía de despliegue

Para el paquete de instalación de Client Security Solution, una instalación

Para ejecutar una instalación administrativa, ejecute el paquete de instalación

Una instalación administrativa presenta un asistente que solicita al usuario

Para ejecutar una instalación administrativa de forma silenciosa, puede establecer

Nota: Si la versión de Windows Installer no es actual, setup.exe está configurado

Una vez que se haya completado una instalación administrativa, el usuario

Los parámetros y descripciones siguientes están documentados en la

12 Client Security Solution 8.21 Guía de despliegue

El código del producto se refiere al GUID (Globally Unique

Los siguientes valores de la interfaz de usuario visualizan

Puede separar varias transformaciones mediante un signo

Para establecer una propiedad en la línea de mandatos,

Si deseara cambiar el valor de COMPANYNAME,

Propiedades públicas estándar de Windows Installer

Para obtener información adicional, consulte el sitio web de Microsoft en:

14 Client Security Solution 8.21 Guía de despliegue

Archivo de anotaciones de instalación

La tabla siguiente proporciona ejemplos de instalación que utilizan Client Security

Instalación de Client Security Solution 8.21 con versiones

16 Client Security Solution 8.21 Guía de despliegue

Nota: Si está actualizando un sistema operativo, debe borrar el chip de seguridad

Instalación del Software de huellas dactilares de ThinkVantage

Utilice la sintaxis siguiente:

donde q es para la instalación silenciosa e i es para la instalación. Por ejemplo:

Para desinstalar el software, utilice el parámetro /x en lugar de /i: