Professional Documents
Culture Documents
21
Guía de despliegue
Fecha: 24 Marzo 2009
Incluye: Software de huellas dactilares de ThinkVantage 5.8.2 y Software de huellas dactilares de Lenovo 2.0
Client Security Solution 8.21
Guía de despliegue
Fecha: 24 Marzo 2009
Segunda edición (marzo de 2009)
© Copyright Lenovo 2008, 2009.
Contenido
Prefacio . . . . . . . . . . . . . . . v Utilización de señales RSA SecurID . . . . . . 40
Instalación de la señal de software RSA SecurID 40
Capítulo 1. Visión general . . . . . . . 1 Requisitos . . . . . . . . . . . . . . 40
Establecimiento de las opciones de acceso de la
Client Security Solution. . . . . . . . . . . 1
SmartCard. . . . . . . . . . . . . . 40
Frase de paso de Client Security Solution . . . . 2
Instalación manual de la señal de software RSA
Recuperación de contraseña de Client Security . . 2
SecurID. . . . . . . . . . . . . . . 40
Client Security Password Manager . . . . . . 3
Soporte de Active Directory . . . . . . . . 41
Security Advisor . . . . . . . . . . . . 4
Valores y políticas para la autenticación con el lector
Asistente de transferencia de certificados . . . . 4
de huellas dactilares . . . . . . . . . . . 41
Restablecimiento de la contraseña de hardware . . 4
Opción omisión de huella dactilar obligada. . . 41
Soporte de sistemas sin el Módulo de plataforma
Resultado de pasar el dedo por el dispositivo de
segura . . . . . . . . . . . . . . . 5
huella dactilar . . . . . . . . . . . . 42
Software de huellas dactilares. . . . . . . . . 5
Herramientas de la línea de mandatos . . . . . 42
Security Advisor. . . . . . . . . . . . 42
Capítulo 2. Instalación . . . . . . . . 7 Asistente de configuración de Client Security
Client Security Solution. . . . . . . . . . . 7 Solution . . . . . . . . . . . . . . 44
Requisitos de instalación . . . . . . . . . 7 Herramienta de cifrado o descifrado del archivo
Propiedades públicas de personalización . . . . 8 de despliegue. . . . . . . . . . . . . 44
Soporte de Módulo de plataforma segura . . . 10 Herramienta de proceso del archivo de
Procedimientos de instalación y parámetros de la despliegue . . . . . . . . . . . . . . 45
línea de mandatos . . . . . . . . . . . 10 TPMENABLE.EXE . . . . . . . . . . . 45
Propiedades públicas estándar de Windows Herramienta de transferencia de certificados . . 46
Installer . . . . . . . . . . . . . . 14 Herramienta de activación de TPM . . . . . 47
Archivo de anotaciones de instalación . . . . 15 Soporte de Active Directory . . . . . . . . . 48
Instalación de Client Security Solution 8.21 con Archivos de plantilla administrativa (ADM) . . 48
versiones existentes. . . . . . . . . . . 16 Valores de la política de grupo . . . . . . . 49
Instalación del Software de huellas dactilares de Active Update . . . . . . . . . . . . 55
ThinkVantage. . . . . . . . . . . . . . 17
Instalación silenciosa . . . . . . . . . . 17
Capítulo 4. Cómo trabajar con el
Opciones . . . . . . . . . . . . . . 17
Instalación del Software de huellas dactilares de Software de huellas dactilares de
Lenovo . . . . . . . . . . . . . . . . 18 ThinkVantage . . . . . . . . . . . . 57
Instalación silenciosa . . . . . . . . . . 18 Herramienta Consola de gestión . . . . . . . 57
Opciones . . . . . . . . . . . . . . 19 Mandatos específicos del usuario . . . . . . 57
Servidor de gestión de sistemas . . . . . . . 22 Mandatos de valores globales . . . . . . . 58
Modalidad segura y modalidad cómoda . . . . . 59
Capítulo 3. Cómo trabajar con Client Modalidad segura - administrador. . . . . . 60
Modalidad segura - usuario con limitaciones . . 60
Security Solution . . . . . . . . . . 23
Modalidad cómoda - administrador . . . . . 61
Utilización del Módulo de plataforma segura . . . 23
Modalidad cómoda - usuario con limitaciones . . 62
Utilización del Módulo de plataforma segura con
Valores configurables . . . . . . . . . . 62
Windows Vista . . . . . . . . . . . . 24
Software de huellas dactilares y Novell Netware
Gestión de Client Security Solution con claves de
Client . . . . . . . . . . . . . . . . 63
cifrado . . . . . . . . . . . . . . . . 24
Autentificación . . . . . . . . . . . . 64
Tomar propiedad . . . . . . . . . . . 25
Servicio del Software de huellas dactilares de
Registrar usuario . . . . . . . . . . . 26
ThinkVantage. . . . . . . . . . . . . . 65
Emulación de software . . . . . . . . . 27
Cambio de la placa del sistema . . . . . . . 28
Programa de utilidad de protección de EFS . . . 30 Capítulo 5. Cómo trabajar con el
Utilización del esquema XML . . . . . . . . 31 Software de huellas dactilares de
Ejemplos . . . . . . . . . . . . . . 32 Lenovo . . . . . . . . . . . . . . 67
Utilización de SmartCards . . . . . . . . . 39 Herramienta Consola de gestión . . . . . . . 67
Instalación del paquete de la SmartCard . . . . 39 Servicio del Software de huellas dactilares de
Requisitos . . . . . . . . . . . . . . 39 Lenovo . . . . . . . . . . . . . . . . 67
Cómo funciona . . . . . . . . . . . . 39
Soporte del Gestor de políticas . . . . . . . 39
Periodicamente estas guías se actualizan. Visite el siguiente sitio web para ver
futuras publicaciones:
http://www.lenovo.com/thinkvantage
Las funciones de Client Security Solution Version 8.2 incluyen las siguientes:
v Autentificación de usuario segura con la contraseña de Windows o la frase de
paso de Client Security Solution
Client Security Solution se puede configurar para aceptar la contraseña de
Windows o la frase de paso de Client Security Solution de un usuario para la
autentificación. La contraseña de Windows proporciona comodidad y capacidad
de gestión mediante Windows mientras que la frase de paso de Client Security
Solution proporciona seguridad adicional. El administrador puede seleccionar
qué método de autentificación desea utilizar y este valor se puede cambiar
incluso después de que los usuarios se hayan registrado con Client Security
Solution.
v Autentificación de usuario mediante huella dactilar
Aprovecha la tecnología de huellas dactilares integrada y conectada mediante
USB para autentificar usuarios en aplicaciones protegidas mediante contraseña.
v Autentificación de usuario mediante SmartCard
Aprovecha una SmartCard registrada para la autentificación de usuario.
v Autenficación de usuario de varios factores para inicio de sesión de Windows
y varias operaciones de Client Security Solution
Define múltiples dispositivos de autentificación (contraseña de Windows/frase
de paso de Client Security, huellas dactilares y SmartCard) para varias
operaciones relacionadas con la seguridad.
v Gestión de contraseñas
Gestiona y almacena de forma segura información importante de inicio de
sesión, tal como los ID de usuario y contraseñas.
v Recuperación de contraseña y frase de paso
La recuperación de contraseña y frase de paso permite a los usuarios iniciar la
sesión en Windows y acceder a sus credenciales de Client Security Solution
Nota:
– Hay soporte completo para la importación de los archivos de exportación de
Client Security Solution de las versiones 7.0 y 8.x. Hay soporte limitado para
la importación disponible para Client Security Solution Versión 6.0 (las
entradas de aplicación no se importan). La versión 5.4x y las anteriores de
Client Security Software Solution no se importarán en Client Security
Solution, versión 8.x Password Manager.
Security Advisor
La herramienta Security Advisor le permite visualiza un resumen de los valores de
seguridad actualmente establecidos en el sistema. Puede utilizar estos valores para
visualizar el estado actual de la seguridad o para mejorar la seguridad del sistema.
Los valores predeterminados de las categorías visualizadas se pueden cambiar
mediante el registro de Windows. Algunas de las categorías de seguridad incluidas
son las siguientes:
v Contraseñas de hardware
v Contraseñas de usuarios de Windows
v Política de contraseña de Windows
v Protector de pantalla protegido
v Compartimiento de archivos
Requisitos de instalación
La información en esta sección proporciona los requisitos del sistema para instalar
el paquete de Client Security Solution. Para obtener mejores resultados, vaya al
siguiente sitio web para asegurarse de que tiene la versión más reciente del
software:
http://www.lenovo.com/thinkvantage
Una serie de sistemas antiguos de IBM pueden dar soporte a Client Security
Solution, siempre que cumplan los requisitos especificados. Consulte el sitio web
en http://www.lenovo.com/thinkvantage si desea información acerca de los
sistemas de marca IBM que dan soporte a Client Security Solution.
Capítulo 2. Instalación 9
Soporte de Módulo de plataforma segura
Client Security Solution Versión 8.2 incluye soporte para el hardware de seguridad
incorporado del sistema: el Módulo de plataforma segura (TPM). Para Windows
2000 y XP, es posible que necesite descargar controladores para el TPM del sistema.
Si ejecuta Windows Vista y el sistema incluye un TPM soportado por el sistema
operativo, Client Security Solution utilizará los controladores proporcionados por
el sistema operativo.
no lo es.
o bien
msiexec.exe /i "Client Security - Password Manager.msi" /qn TARGERDIR=F:\TVTRR
Capítulo 2. Instalación 11
Tabla 2. Parámetros (continuación)
Parámetro Descripción
/x : Modalidad de desinstalación El conmutador /x hace que setup.exe
desinstale un producto instalado
anteriormente.
/s : Modalidad silenciosa El mandato setup.exe /s suprime la ventana
de instalación de setup.exe para un
programa de instalación MSI básico, pero no
lee un archivo de respuestas. Los proyectos
MSI básico no crean ni utilizan un archivo
de respuestas para las instalaciones
silenciosas. Para ejecutar un producto de
MSI básico, ejecute la línea de mandatos
setup.exe /s /v/qn. (Para especificar los
valores de las propiedades públicas para una
instalación silenciosa de MSI básico, puede
utilizar un mandato como por ejemplo
setup.exe /s /v″/qn INSTALLDIR=D:\
Destino″).
/v : pasa argumentos a Msiexec El argumento /v se utiliza para pasar
conmutadores de la línea de mandatos y
valores de propiedades públicas a
msiexe.exe.
/L : configura el idioma Los usuarios pueden utilizar el conmutador
/L con el ID decimal de idioma para
especificar el idioma utilizado por el
programa de instalación en varios idiomas.
Por ejemplo, el mandato para especificar
alemán es setup.exe /L1031.
/w : Espera Para un proyecto MSI básico, el argumento
/w obliga a setup.exe a esperar hasta que se
complete la instalación antes de salir. Si está
utilizando la opción /w en un archivo de
proceso por lotes, es posible que deba
anteponer start /WAIT a todo el argumento
de la línea del mandato setup.exe. A
continuación se muestra un ejemplo
correctamente formado de este uso:
start /WAIT setup.exe /w
Utilización de msiexec.exe
Para instalar a partir de las fuentes desempaquetadas después de realizar las
personalizaciones, el usuario llama a msiexec.exe desde la línea de mandatos,
pasando el nombre del archivo *.MSI desempaquetado. msiexec.exe es el programa
ejecutable del Instalador utilizado para interpretar paquetes de instalación e
instalar productos en sistemas de destino.
msiexec /i "C:\CarpetaWindows\Perfiles\NombreUsuario\
Personal\MisValores\nombre proyecto\configuración del producto\nombre del release\
DiskImages\Disk1\nombre del producto.msi"
Nota: Entre el mandato anterior en una única línea sin espacios a continuación de
las barras inclinadas.
En la tabla siguiente se describen los parámetros de la línea de mandatos que se
pueden utilizar con msiexec.exe así como ejemplos de cómo utilizarlos.
Capítulo 2. Instalación 13
Tabla 3. Parámetros de la línea de mandatos (continuación)
Parámetro Descripción
TRANSFORMS El parámetro de la línea de mandatos TRANSFORMS
especifica cualquier transformación que desee aplicar al
paquete base.
msiexec /i "C:\CarpetaWindows\
Perfiles\NombreUsuario\Personal
\MisValores\
El nombre de proyecto\Versión de prueba\
Mi Release-1
\DiskImages\Disk1\
NombreProducto.msi"
TRANSFORMS="Nueva transformación 1.mst"
Capítulo 2. Instalación 15
utilizar para depurar problemas de instalación. Este archivo de anotaciones no se
crea al ejecutar la instalación directamente desde el paquete MSI; esto incluye
acciones realizadas desde Agregar o quitar programas. Para crear un archivo de
anotaciones para todas las acciones MSI, puede habilitar la política de anotaciones
en el registro. Para hacer esto, cree el valor:
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]
"Logging"="voicewarmup"
Ejemplos de instalación
La tabla siguiente proporciona ejemplos de instalación utilizando setup.exe:
Tabla 5. Ejemplos de instalación que utilizan setup.exe
Descripción Ejemplo
Instalación silenciosa sin rearranque. setup.exe /s /v”/qn REBOOT=”R””
Instalación administrativa. setup.exe /a
Instalación administrativa silenciosa setup.exe /a /s /v”/qn TARGETDIR=”F:
especificando la ubicación de extracción para \CSS82””
Client Security Software.
Desinstalación silenciosa setup.exe /s /x setup.exe /s /x /v/qn
/v/qn.
Instalación sin rearranque. Cree un archivo setup.exe /v”REBOOT=”R” /L*v %temp%
de anotaciones de instalación en el directorio \cssinstall80.log”
temporal para Client Security Software.
Instalación sin instalar el Área previa al setup.exe /vPDA=0
escritorio setup.exe /vPDA=0.
Instalación silenciosa
Para instalar de forma silenciosa el Software de huellas dactilares, ejecute el
archivo setup.exe ubicado en el directorio de instalación de la unidad de CD-ROM.
Opciones
En el Software de huellas dactilares están soportadas las opciones siguientes:
Tabla 7. Opciones admitidas por el software de huellas dactilares
Parámetro Descripción
CTRLONCE Visualiza el Centro de control sólo una vez.
El valor predeterminado es 0.
CTLCNTR Ejecuta el Centro de control al arrancar. El
valor predeterminado es 1.
DEFFUS v 0 = no utilizará los valores de
Conmutación rápida de usuario (FUS).
v 1 = Intentará utilizar los valores de FUS.
El valor predeterminado es 0.
Capítulo 2. Instalación 17
Tabla 7. Opciones admitidas por el software de huellas dactilares (continuación)
Parámetro Descripción
INSTALLDIR El valor predeterminado es el directorio de
instalación del software de huellas dactilares.
OEM v 0 = Instala soporte para pasaportes de
servidor o autentificación de servidor
v 1 = Sólo modalidad autónoma del sistema
con pasaportes locales
PASSPORT El valor predeterminado es el tipo de
contraseña establecido durante la instalación.
v 1 = Valor predeterminado - Pasaporte
local
v 2 = Pasaporte del servidor
El valor predeterminado es 1.
SECURITY v 1 = Instala soporte para la modalidad
segura
v 0 = No instala; sólo existe la modalidad
cómoda
SHORTCUTFOLDER El valor predeterminado es el nombre de la
carpeta de acceso directo en el menú Inicio.
REBOOT Suprime todos los rearranques, incluidos los
indicadores de solicitud durante la
instalación, estableciéndolo en Realmente
suprimir.
DEVICEBIO Configura el tipo de dispositivo que será
utilizado por el usuario. Tipo de registro:
v DEVICEBIO=#3 - sector del dispositivo
que se utilizará antes del primer registro.
v DEVICEBIO=#0 - se utilizará el registro en
la unidad de disco duro
v DEVICEBIO=#1 - se utilizará el registro en
CompanionChip
Instalación silenciosa
Para realizar una instalación silenciosa del software de huellas dactilares, ejecute el
archivo setup32.exe que se encuentra en el directorio de instalación de la unidad
de CD-ROM.
Capítulo 2. Instalación 19
Tabla 8. Opciones admitidas por el Software de huellas dactilares de Lenovo (continuación)
Parámetro Descripción
SWALLOWSELECT v 0 = no permite la selección de utilizar la
huella dactilar para sustituir la contraseña
de encendido para usuarios que no sean
administradores.
v 1 = permite la selección de utilizar la
huella dactilar para sustituir la contraseña
de encendido para usuarios que no sean
administradores.
El valor predeterminado es 1.
SWALLOWPWRECOVERY v 0 = no permite la recuperación de
contraseñas de Windows.
v 1 = permite la recuperación de
contraseñas de Windows.
El valor predeterminado es 1.
SWANTIHAMMER v 0 = inhabilita la protección antigolpes.
v 1 = hablita la protección antigolpes.
El valor predeterminado es 1.
SWANTIHAMMERRETRIES Especifica la cantidad máxima de reintentos.
El valor predeterminado es 5.
Nota: Este valor funciona solamente cuando
se ha habilitado SWANTIHAMMER.
SWANTIHAMMERTIMEOUT Especifica la duración del tiempo de espera
en segundos. El valor predeterminado es
120.
Nota: Este valor funciona solamente cuando
se ha habilitado SWANTIHAMMER.
SWAUTHTIMEOUT v 0 = inhabilita el tiempo de espera de
autenticación.
v 1 = habilita el tiempo de espera de
autenticación.
El valor predeterminado es 1.
SWAUTHTIMEOUTVALUE Especifica el períodod de inactividad antes
del tiempo de espera de autenticación, en
segundos. El valor predeterminado es 120.
Nota: Este valor solamente funciona cuando
está habilitado SWAUTHTIMEOUT.
SWNONADMIFPLOGONONLY v 0 = inhabilita el inicio de sesión solamente
con huella dactilar para usuarios que no
son administradores.
v 1 = habilita el inicio de sesión solamente
con huella dactilar para usuariosque no
son administradores.
El valor predeterminado es 1.
Capítulo 2. Instalación 21
Servidor de gestión de sistemas
También están soportadas las instalaciones de SMS (servidor de gestión de
sistemas). Abra la consola de administrador de SMS. Cree un nuevo paquete y
establezca las propiedades del paquete de la forma estándar. Abra el paquete y
seleccione Nuevo-Programa en el elemento Programas. En la línea de mandatos,
especifique:
Setup.exe /m nombrearchivomif /q /i
Una vez que se haya creado la SRK para el sistema, se podrán crear otros pares de
claves y estos se podrán almacenar fuera del Módulo de plataforma segura, pero
envueltos o protegidos mediante las claves basadas en hardware. Debido a que el
Módulo de plataforma segura que incluye la SRK es hardware y el hardware
puede resultar dañado, es necesario un mecanismo de recuperación para garantizar
la recuperación de los datos en caso de que se produzcan daños en el sistema.
Para recuperar un sistema se crea la Clave base del sistema. Esta clave de
almacenamiento asimétrica permite al Administrador de Client Security Solution la
recuperación de un cambio de la placa del sistema o la migración planificada a
otro sistema. A fin de proteger la Clave base del sistema pero permitir que sea
accesible durante el funcionamiento normal o durante la recuperación, se crean y
protegen dos instancias de la clave mediante dos métodos distintos. En primer
lugar, se cifra la Clave base del sistema con una clave simétrica AES que se deriva
sabiendo la contraseña del Administrador de Client Security Solution o la frase de
paso de Client Security. Esta copia de la Clave de recuperación de Client Security
Solution se utiliza exclusivamente a fin de realizar la recuperación de un Módulo
de plataforma segura borrado o de una placa del sistema sustituida debido a un
fallo de hardware.
Registrar usuario
Para que los datos de cada usuario estén protegidos mediante el mismo Módulo de
plataforma segura, cada usuario tendrá creada su propia Clave base de usuario.
Esta clave de almacenamiento asimétrica se puede migrar y también se crea dos
veces y se protege mediante una clave AES simétrica generada a partir de la
contraseña de usuario de Windows o frase de paso de Client Security.
Emulación de software
Para proporcionar una experiencia homogénea para el usuario cuyo sistema no
dispone de TPM, CSS da soporte a la modalidad de emulación de TPM.
Para que un segundo usuario inicie la sesión después de que se haya borrado el
chip o después de sustituir la placa madre, debe iniciar la sesión como el
administrador maestro. Se solicitará al administrador maestro que restaure las
claves. Una vez que se haya completado la restauración de las claves, utilice el
Gestor de políticas para inhabilitar el inicio de sesión de Windows de Client
Security. Los demás usuarios podrán restaurar sus claves respectivas. Una vez que
todos los usuarios secundarios hayan restaurado sus claves, el administrador
maestro puede habilitar la función de inicio de sesión de Windows de Client
Security Solution.
La protección del certificado de EFS por parte de Client Security Solution significa
que la clave privada asociada con el certificado de EFS está protegida por el TPM.
Se otorga acceso al certificado después de que el usuario se haya autentificado en
Client Security Solution.
PRECAUCIÓN:
Si utiliza Client Security Solution y el Sistema de cifrado de archivos (EFS) para
cifrar archivos y carpetas, cada vez que Client Security Solution o el Módulo de
plataforma segura no esté disponible no podrá acceder a los archivos cifrados.
Todos los scripts constan de una etiqueta para especificar el tipo de codificación
XML, el esquema XML y como mínimo una función a realizar. El esquema se
utiliza para validar el archivo XML y comprobar si existen todos los parámetros
Ejemplos
Los mandatos siguientes son ejemplos del esquema XML:
ENABLE_TPM_FUNCTION
Este mandato habilita el Módulo de plataforma segura y utiliza el argumento
SYSTEM_PAP. Si el sistema ya tiene establecida una contraseña de administrador o
supervisor del BIOS, se debe proporcionar este argumento. De lo contrario, este
mandato es opcional.
<tvt_deployment xmlns ="http://www.lenovo.com"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance " xsi:schemaLocation="
http://www.lenovo.com cssDeploy.xsd">
< registry_settings />
< /tvt_deployment >
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>ENABLE_TPM_FUNCTION</COMMAND>
<VERSION>1.0</VERSION>
<SYSTEM_PAP>PASSWORD</SYSTEM_PAP>
</FUNCTION>
</CSSFile>
DISABLE_TPM_FUNCTION
Este mandato utiliza el argumento SYSTEM_PAP. Si el sistema ya tiene establecida
una contraseña de administrador o supervisor del BIOS, se debe proporcionar este
argumento. De lo contrario, este mandato es opcional.
<tvt_deployment xmlns ="http://www.lenovo.com"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance " xsi:schemaLocation="
http://www.lenovo.com cssDeploy.xsd">
< registry_settings />
< /tvt_deployment
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>DISABLE_TPM_FUNCTION</COMMAND>
<VERSION>1.0</VERSION>
<SYSTEM_PAP>password</SYSTEM_PAP>
</FUNCTION>
</CSSFile>
ENABLE_CSS_GINA_FUNCTION
Para Windows 2000, XP y Vista, este mandato habilita el inicio de sesión de Client
Security Solution:
- <tvt_deployment xmlns ="http://www.lenovo.com"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance " xsi:schemaLocation="
http://www.lenovo.com cssDeploy.xsd">
< registry_settings />
< /tvt_deployment
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>ENABLE_CSS_GINA_FUNCTION</COMMAND>
<VERSION>1.0</VERSION>
</FUNCTION>
</CSSFile>
ENABLE_UPEK_GINA_FUNCTION
Notas:
1. Este mandato solamente es para el Software de huellas dactilares de
ThinkVantage.
2. Este mandato no recibe soporte en la modalidad de emulación.
ENABLE_UPEK_GINA_WITH_FUS_FUNCTION
Notas:
1. Este mandato solamente es para el Software de huellas dactilares de
ThinkVantage.
2. Este mandato no recibe soporte en la modalidad de emulación.
ENABLE_AUTHENTEC_GINA_FUNCTION
Notas:
1. Este mandato es solamente para el Software de huellas dactilares de Lenovo.
2. Este mandato no recibe soporte en la modalidad de emulación.
ENABLE_AUTHENTEC_GINA_WITH_FUS_FUNCTION
Notas:
1. Este mandato es solamente para el Software de huellas dactilares de Lenovo.
2. Este mandato no recibe soporte en la modalidad de emulación.
ENABLE_NONE_GINA_FUNCTION
Si se ha habilitado el inicio de sesión de alguno de los componentes de TVT
relacionados con GINA como por ejemplo el Software de huellas dactilares de
ThinkVantage, Client Security Solution o Access Connection, este mandato
inhabilitará los inicios de sesión del Software de huellas dactilares de
ThinkVantage y de Client Security Solution.
SET_PP_FLAG_FUNCTION
Este mandato graba un distintivo que Client Security Solution lee para determinar
si se debe utilizar la frase de paso de Client Security o una contraseña de
Windows.
<tvt_deployment xmlns ="http://www.lenovo.com"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance " xsi:schemaLocation="
http://www.lenovo.com cssDeploy.xsd">
< registry_settings />
< /tvt_deployment
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>SET_PP_FLAG_FUNCTION</COMMAND>
<PP_FLAG_SETTING_PARAMETER>USE_CSS_PP</PP_FLAG_SETTING_PARAMETER>
<VERSION>1.0</VERSION>
</FUNCTION>
</CSSFile>
SET_ADMIN_USER_FUNCTION
Este mandato graba un distintivo que Client Security Solution lee para determinar
quién es el administrador. Los parámetros son los siguientes:
v USER_NAME_PARAMETER
Nombre de usuario del administrador.
v DOMAIN_NAME_PARAMETER
Nombre de dominio del administrador.
<tvt_deployment xmlns ="http://www.lenovo.com"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance " xsi:schemaLocation="
http://www.lenovo.com cssDeploy.xsd">
< registry_settings />
< /tvt_deployment
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>SET_ADMIN_USER_FUNCTION</COMMAND>
<USER_NAME_PARAMETER>sabedi</USER_NAME_PARAMETER>
<DOMAIN_NAME_PARAMETER>IBM-2AA92582C79<DOMAIN_NAME_PARAMETER>
<VERSION>1.0</VERSION>
<SYSTEM_PAP>PASSWORD</SYSTEM_PAP>
</FUNCTION>
</CSSFile>
INITIALIZE_SYSTEM_FUNCTION
Este mandato inicializa la función del sistema de Client Security Solution. Las
claves aplicables a todo el sistema se generan mediante esta llamada de función. La
siguiente lista de parámetros explica cada función:
CHANGE_TPM_OWNER_AUTH_FUNCTION
Este mandato cambia la autorización de administrador de Client Security Solution
y actualiza las claves del sistema en consecuencia. Las claves aplicables a todo el
sistema se vuelven a generar mediante esta llamada de función. Los parámetros
son los siguientes:
v NEW_OWNER_AUTH_DATA_PARAMETER
Nueva contraseña de propietario del Módulo de plataforma segura.
v CURRENT_OWNER_AUTH_DATA_PARAMETER
Contraseña de propietario actual del Módulo de plataforma segura.
<tvt_deployment xmlns ="http://www.lenovo.com"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance " xsi:schemaLocation="
http://www.lenovo.com cssDeploy.xsd">
< registry_settings />
< /tvt_deployment
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>CHANGE_TPM_OWNER_AUTH_FUNCTION</COMMAND>
<NEW_OWNER_AUTH_DATA_PARAMETER>nuevaContraseña</NEW_OWNER_AUTH_DATA_
PARAMETER>
<CURRENT_OWNER_AUTH_DATA_PARAMETER>ContraseñaAntigua</CURRENT_OWNER_AUTH
_DATA_PARAMETER>
<VERSION>1.0</VERSION>
</FUNCTION>
</CSSFile>
<WIN_PW_PARAMETER>miContraseñaWindows</WIN_PW_PARAMETER>
<VERSION>1.0</VERSION>
</FUNCTION>
</CSSFile>
USER_PW_RECOVERY_FUNCTION
Este mandato configura una recuperación de contraseña de un usuario
determinado. Los parámetros son los siguientes:
v USER_NAME_PARAMETER
Nombre de usuario del usuario que se registrará.
v DOMAIN_NAME_PARAMETER
Nombre de dominio del usuario que se registrará.
v USER_PW_REC_QUESTION_COUNT
Número de preguntas que el usuario debe responder.
v USER_PW_REC_ANSWER_DATA_PARAMETER
Respuesta almacenada a una pregunta determinada. El nombre real de este
parámetro está conectado a un número que se corresponde con la pregunta a la
que responde.
v USER_PW_REC_STORED_PASSWORD_PARAMETER
Contraseña almacenada que se presenta al usuario una vez que se han
contestado todas las preguntas correctamente.
<tvt_deployment xmlns ="http://www.lenovo.com"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance " xsi:schemaLocation="
http://www.lenovo.com cssDeploy.xsd">
< registry_settings />
< /tvt_deployment
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>USER_PW_RECOVERY_FUNCTION</COMMAND>
<USER_NAME_PARAMETER>sabedi</USER_NAME_PARAMETER>
GENERATE_MULTI_FACTOR_DEVICE_FUNCTION
Este mandato genera los dispositivos de varios factores de Client Security Solution
utilizados para la autentificación. Los parámetros son los siguientes:
v USER_NAME_PARAMETER - Nombre de usuario del administrador.
v DOMAIN_NAME_PARAMETER - Nombre de dominio del administrador.
v MULTI_FACTOR_DEVICE_USER_AUTH - Frase de paso de Client Security o
contraseña de Windows para crear las claves de seguridad de usuario.
<?xml version="1.0" encoding="UTF-8" standalone="no" ?>
<CSSFile=xmlns="www.ibm.com/security/CSS">
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>GENERATE_MULTI_FACTOR_DEVICE_FUNCTION</COMMAND>
<USER_NAME_PARAMETER>miNombreUsuario</USER_NAME_PARAMETER>
<DOMAIN_NAME_PARAMETER>nombreDominio</DOMAIN_NAME_PARAMETER>
<MULTI_FACTOR_DEVICE_USER_AUTH>miFraseDePasoUsuarioCss</MULTI_FACTOR_DEVICE_USER_AUTH>
<VERSION>1.0</VERSION>
</FUNCTION>
</CSSFile>
SETUP_PDA_FUNCTION
Este mandato configura el Área previa al escritorio para su uso con Client Security
Solution:
<?xml version="1.0" encoding="UTF-8" standalone="no" ?>
<CSSFile=xmlns="www.ibm.com/security/CSS">
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>SETUP_PDA_FUNCTION</COMMAND>
<VERSION>1.0</VERSION>
</FUNCTION>
</CSSFile>
SET_USER_AUTH_FUNCTION
Este mandato establece la autentificación de usuario de Client Security Solution:
<?xml version="1.0" encoding="UTF-8" standalone="no" ?>
<CSSFile=xmlns="www.ibm.com/security/CSS">
<FUNCTION>
<ORDER>0001</ORDER>
<COMMAND>SET_USER_AUTH_FUNCTION</COMMAND>
<VERSION>1.0</VERSION>
</FUNCTION>
</CSSFile>
Requisitos
La lista siguiente proporciona los requisitos de Client Security Solution con
capacidades de SmartCard:
v Debe haber instalado un lector de SmartCard, ya sea internamente o conectado
mediante un puerto USB (bus serie universal).
v La SmartCard debe estar registrada para ser utilizada por Client Security
Solution. Se puede acceder al registro de la SmartCard mediante Client Security
Solution.
v Sólo se puede registrar una sola SmartCard por cada usuario.
v Debe haber como mínimo un certificado en la SmartCard para firmas digitales.
Si se detecta más de un certificado válido en la tarjeta, se le solicitará que
seleccione uno de los certificados.
v Se debe configurar la SmartCard con un PIN.
Cómo funciona
Una SmartCard tiene el tamaño de una tarjeta de crédito y tiene un chip
incorporado dentro de la tarjeta. Cuando inserta una SmartCard en un lector de
tarjetas, el lector de tarjetas lee los datos almacenados en el chip incorporado de la
SmartCard.
Registro de la SmartCard
Si se detecta un lector de SmartCard, puede registrar la SmartCard con Client
Security Solution. Si no se detecta ningún lector de SmartCard, la opción estará
inhabilitada. Se pueden registrar las SmartCard, y anular el registro de las mismas,
sin perder las credenciales de Client Security Solution.
PIN
Cuando se le solicite, debe especificar el PIN de la SmartCard. Cuando inserte la
tarjeta, el PIN se validará. Después de validar el PIN, se utilizará el certificado
registrado original para autentificar la identidad del usuario. Client Security
Solucion no restringe el máximo de reintentos del PIN de la SmartCard. Si el PIN
falla, se le solicitará que vuelva a especificar el PIN.
Requisitos
1. Cada usuario de Windows debe estar registrado con Client Security Solution
para que el software de RSA funcione correctamente después de haber sido
asociado con Client Security Solution.
2. El software de RSA entrará en un bucle infinito intentando la autentificación
con un usuario de Windows que no está registrado en Client Security Solution.
Registre el usuario con Client Security Solution para solucionar este problema.
Security Advisor
Para ejecutar Security Advisor desde Client Security Solution, pulse
Inicio->Programas->ThinkVantage->Client Security Solution. Pulse Avanzadas y
seleccione Valores de seguridad de auditoría. Ejecuta C:\Archivos de
programa\Lenovo\Common Files\WST\wst.exe para una instalación
predeterminada.
Ejemplo:
css_wizard.exe /encrypt /pass:mi secreto /name:C:\DeployScript /novalidate
Ejemplos:
xml_crypt_tool.exe "C:\DeployScript.xml" /encrypt "mi secreto"
y
xml_crypt_tool.exe "C:\DeployScript.xml.enc" /decrypt "mi secreto"
Ejemplo:
Vmserver.exe C:\DeployScript.xml.enc "mi secreto"
TPMENABLE.EXE
El archivo tpmenable.exe se utiliza para activar o desactivar el chip de seguridad.
Tabla 15. Parámetros para el archivo tpmenable.exe
Parámetro Descripción
/enable o /disable Activa o desactiva el chip de seguridad.
/quiet Oculta los indicadores de solicitud para la
contraseña o los errores del BIOS.
Ejemplo:
tpmenable.exe /enable /quiet /sp:Mi ContBios
Ejemplo:
Los ejemplos siguientes son valores que Active Directory puede gestionar para
Client Security Solution:
v Políticas de seguridad.
v Políticas de seguridad personalizadas; como por ejemplo si debe utilizar una
contraseña de Windows o una frase de paso de Client Security Solution.
Por ejemplo, un usuario puede poner una imagen de fondo en su escritorio. Este es
el valor de preferencia del usuario. Un administrador puede definir un valor en el
servidor que dicte que un usuario debe utilizar una imagen de fondo específica. El
valor de la política de administrador modificará la preferencia establecida por el
usuario.
Los archivos ADM indican en qué lugar del registro se reflejarán los valores. Estos
valores estarán ubicados en las siguientes ubicaciones de registro:
Políticas del sistema:
HKLM\Software\Policies\Lenovo\Client Security Solution\
Políticas del usuario:
HKCU\Software\Policies\Lenovo\Client Security Solution\
Políticas predeterminadas del usuario:
HKLM\Software\Policies\Lenovo\Client Security Solution\User defaults
Preferencias del sistema:
HKLM\Software\Lenovo\Client Security Solution\
Preferencias del usuario:
HKCU\Software\Lenovo\Client Security Solution\
Preferencias predeterminadas del usuario:
HKLM\Software\Lenovo\Client Security Solution\User defaults
Modalidad segura
La tabla siguiente proporciona valores de política para las Políticas de
autentificación, Modalidad segura.
Tabla 19. Configuración del sistema>Plantillas administrativas>ThinkVantage>Client Security
Solution>Políticas de autentificación>Modalidad segura
Política Valores habilitados Descripción
Contraseña Establece la frecuencia en Cada vez o Controla si es necesaria una
Una vez por inicio de sesión. contraseña.
Frase de paso Establece la frecuencia en Cada vez o Controla si es necesaria una
Una vez por inicio de sesión. frase de paso.
Huella dactilar Establece la frecuencia en Cada vez o Controla si es necesaria la
Una vez por inicio de sesión. huella dactilar.
Alterar Establece que se altere temporalmente Si la autentificación normal
temporalmente la contraseña, frase de paso o huella falla, define los requisitos de
dactilar. autentificación a los que
“recurrir”.
Modalidad predeterminada
La tabla siguiente proporciona valores de política para las Políticas de
autentificación, Modalidad predeterminada.
Tabla 20. Configuración del sistema>Plantillas administrativas>ThinkVantage>Client Security
Solution>Políticas de autentificación>Modalidad por omision
Política Valores habilitados Descripción
Contraseña Puede establecer la frecuencia a Cada Controla si es necesaria una
vez o Una vez por inicio de sesión. contraseña.
Frase de paso Puede establecer la frecuencia a Cada Controla si es necesaria una
vez o Una vez por inicio de sesión. frase de paso.
Huella dactilar Puede establecer la frecuencia a Cada Controla si es necesaria la
vez o Una vez por inicio de sesión. huella dactilar.
SmartCard Puede establecer la frecuencia a Cada Controla si es necesaria una
vez o Una vez por inicio de sesión. SmartCard.
Alterar Establece que se altere temporalmente Si la autentificación normal
temporalmente la contraseña, frase de paso o huella falla, define los requisitos de
dactilar. autentificación a los que
“recurrir”.
Password Manager
La tabla siguiente proporciona valores de política para Password Manager.
Tabla 22. Configuración del sistema>ThinkVantage>Client Security Solution>Password
Manager
Valor de política Descripción
Inhabilitar Password Manager Controla si Password Manager se iniciará cuando se inicie
el sistema.
Inhabilitar soporte de Internet Controla si Password Manager podrá almacenar
Explorer contraseñas desde Internet Explorer.
Inhabilitar soporte de Mozilla Controla si Password Manager podrá almacenar
contraseñas desde navegadores basados en Mozilla,
incluyendo Firefox y Netscape.
Inhabilitar soporte para Controla si Password Manager podrá almacenar
aplicacones Windows contraseñas de aplicaciones de Windows.
Inhabilitar Completar de forma Controla si Password Manager completará de forma
automática automática datos en los sitios web y las aplicaciones de
Windows.
Interfaz de usuario
La tabla siguiente proporciona valores de política para la interfaz de usuario.
Tabla 23. Configuración del sistema>ThinkVantage>Client Security Solution>Interfaz de
usuario
Valor de política Descripción
Opción Software de huellas Muestra, muestra como no seleccionable u oculta la
dactilares opción Software de huellas dactilares en la aplicación
Client Security Solution. Valor predeterminado: Mostrar.
Opción Cifrado de archivos Muestra, muestra como no seleccionable u oculta la
opción Cifrado de archivos en la aplicación Client
Security Solution. Valor predeterminado: Mostrar.
Opción Auditoría de valores de Muestra, muestra como no seleccionable u oculta la
seguridad opción Auditoría de valores de seguridad en la aplicación
Client Security Solution. Valor predeterminado: Mostrar.
Opción Transferencia de Muestra, muestra como no seleccionable u oculta la
certificados digitales opción Transferencia de certificados digitales en la
aplicación Client Security Solution. Valor predeterminado:
Mostrar.
Opción Cambiar estado del Muestra, muestra como no seleccionable u oculta la
chip de seguridad opción Estado del chip de seguridad en la aplicación
Client Security Solution. Valor predeterminado: Mostrar.
Opción Borrar bloqueo de chip Muestra, muestra como no seleccionable u oculta la
de seguridad opción Borrar bloqueo de chip de seguridad en la
aplicación Client Security Solution. Valor predeterminado:
Mostrar.
Opción Gestor de políticas Muestra, muestra como no seleccionable u oculta la
opción Gestor de políticas en la aplicación Client Security
Solution. Valor predeterminado: Mostrar.
Active Update
Active Update es una tecnología de eSupport que utiliza los clientes de
actualización en el sistema local para entregar los paquetes que se deseen en la
web sin ninguna interacción del usuario. Active Update consulta los clientes de
actualización disponibles y utiliza el cliente actualizado para instalar el paquete
que se desee. Active Update iniciará ThinkVantage System Update o Software
Installer en el sistema.
donde mandato es uno de los mandatos siguientes: ADD, EDIT, DELETE, LIST,
IMPORT, EXPORT.
Tabla 25. Mandatos específicos del usuario
Mandato Sintaxis Descripción
Registrar nuevo usuario ADD [nombreusuario [| dominio\ Si no se especifica el nombre
Ejemplo: nombreusuario]] de usuario, se utilizará el
fprconsole user add nombre de usuario actual.
domain0\testuser
Valores configurables
Se pueden configurar algunas opciones del software de huellas dactilares mediante
los valores del registro.
v Interfaz del software de prearranque/encendido: el mecanismo para habilitar el
soporte de prearranque o encendido mediante huellas dactilares y para
almacenar las huellas dactilares en el chip que lo acompaña no se visualiza
normalmente en el software de huellas dactilares, a menos que haya establecidas
en el sistema contraseñas de BIOS o de disco duro. A fin de alterar este
comportamiento y de forzar el hecho de que estas opciones se muestren sin la
existencia de contraseñas de BIOS o de disco duro, añada al registro una de las
opciones siguientes, la que corresponda al tipo de máquina que dispone:
[HKEY_LOCAL_MACHINE\SOFTWARE\Protector Suite QL\1.0]
REG_DWORD "BiosFeatures" = 2
o,
[HKEY_LOCAL_MACHINE\SOFTWARE\Protector Suite QL\1.0]
REG_DWORD "BiosFeatures" = 4
Este valor es útil cuando SafeGuard Easy está instalado en un sistema sin
contraseñas de BIOS y está utilizando autentificación de huellas dactilares para
descifrar el disco duro.
'Failure’
REG_SZ “sndFailure” = [vía de acceso al archivo de sonido]
El archivo designado se reproducirá siempre que se pase el dedo y éste
se registre incorrectamente.
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\fingerprint
'Scan’
REG_SZ “sndScan” = [vía de acceso al archivo de sonido]
El archivo designado se reproducirá siempre que se visualice el diálogo de verificación
de la huella dactilar para operaciones relacionadas con Client Security Solution.
Si el valor no está presente o está vacío no se reproducirá ningún sonido.
'Quality’
REG_SZ “sndQuality” = [vía de acceso al archivo de sonido]
El archivo designado se reproducirá siempre que se pase el dedo y no se pueda leer.
Si el valor no está presente o está vacío no se reproducirá ningún sonido.
v Validación de la contraseña durante un desbloqueo del sistema: de forma
predeterminada, el software de huellas dactilares valida la contraseña
almacenada durante el desbloqueo del sistema. La validación requiere que se
establezca un contacto con el controlador del dominio y puede generar un
retardo. Para evitarlo, inhabilite la validación de la contraseña durante el
desbloqueo del sistema y editando el registro tal como se indica a continuación:
[HKEY_LOCAL_MACHINE\SOFTWARE\Protector Suite QL\1.0\settings]
REG_DWORD "DoNotTestUnlock"=1
Autentificación
Complete los pasos siguientes para pasar Novell al Software de huellas dactilares:
1. Instale el Software de huellas dactilares.
2. Instale Novell Netware Client.
3. Cuando se le solicite, pulse Sí para iniciar la sesión.
4. Rearranque.
5. Cuando se le solicite, pulse Sí para iniciar la sesión en el Software de huellas
dactilares.
6. Inicie Novell Netware Client.
7. Autentifíquese en el servidor.
8. Inicie la sesión en Windows.
9. Rearranque.
Caso de ejemplo 1
A continuación se muestra un ejemplo de una instalación en un sistema de
sobremesa utilizando estos requisitos hipotéticos del cliente:
v Administración
– Utilizar la cuenta del administrador local para la administración del sistema.
v Client Security Solution
– Instalar y ejecutar en Modalidad de emulación.
- No todos los sistemas IBM o Lenovo tienen un Módulo de plataforma
segura (chip de seguridad).
– Habilitar la frase de paso de Client Security.
- Proteger las aplicaciones de Client Security Solution mediante una frase de
paso.
– Habilitar el inicio de sesión de Windows de Client Security.
- Iniciar sesión en Windows con la frase de paso de Client Security.
– Habilitar la función de Recuperación de frase de paso de usuario final.
- Permitir a los usuarios recuperar sus frases de paso respondiendo a tres
preguntas y respuestas definidas por el usuario.
– Cifrar el script XML de Client Security Solution con contraseña =
“XMLscriptPW”.
- Proteger mediante contraseña el archivo de configuración de Client Security
Solution.
– El software de huellas dactilares puede o no estar instalado.
En la máquina de preparación:
1. Inicie la sesión con la cuenta del “administrador local” de Windows.
2. Instale el programa Client Security Solution con las opciones siguientes:
Client Security Solution:tvtcss82_xxxx.exe /s /v"/qn “EMULATIONMODE=1”
(donde XXXX es el ID de build)
“NOCSSWIZARD=1””
3. Después de rearrancar, inicie sesión con la cuenta del administrador local de
Windows y prepare el script XML para el despliegue. En la línea de mandatos,
ejecute este mandato:
“C:\Archivos de programa\Lenovo\Client Security Solution\css_wizarde.exe”
/name:C:\ThinkCentre
En la máquina de despliegue:
1. Inicie la sesión con la cuenta del administrador local de Windows.
2. Instale los programas Rescue and Recovery y Client Security Solution con las
opciones siguientes:
setup_tvtrnr40_xxxxcc.exe /s /v"/qn “EMULATIONMODE=1”
(Siendo xxxx el ID de build y cc el código de país).
“NOCSSWIZARD=1””
Notas:
a. Asegúrese de que los archivos .tvt, como por ejemplo Z652ZIXxxxxyy00.tvt
para Windows XP o Z633ZISxxxxyy00.tvt para Windows Vista (en que xxxx
es el ID de build y yy es el ID de país), se encuentren en el mismo
directorio que el archivo ejecutable o, de los contrario, la instalación fallará.
Caso de ejemplo 2
A continuación se muestra un ejemplo de una instalación en un sistema portátil
utilizando estos requisitos hipotéticos del cliente:
v Administración
– Instalar en máquinas donde hay instaladas versiones anteriores de Client
Security Solution.
– Utilizar la cuenta del administrador de dominio para la administración del
sistema.
– Todos los sistemas tienen una contraseña de supervisor del BIOS, BIOSpw.
v Client Security Solution
– Utilizar el Módulo de plataforma segura.
- Todas las máquinas tienen un chip de seguridad.
– Habilitar Password Manager.
– Utilizar la contraseña de Windows del usuario como autenticación en Client
Security Solution.
– Cifrar el script XML de Client Security Solution con contraseña =
″XMLscriptPW″.
En la máquina de preparación:
1. Desde el estado de apagado, inicie el sistema y pulse F1 para ir al BIOS y
navegar hasta el menú de seguridad y borrar el chip de seguridad. Guarde y
salga del BIOS.
2. Inicie la sesión con la cuenta del administrador de dominios de Windows.
3. Instale el software de huellas dactilares de ThinkVantage ejecutando el archivo
f001zpz2001us00.exe para extraer el archivo setup.exe desde el paquete web.
Así se extraerá automáticamente el archivo setup.exe en la ubicación siguiente:
C:\SWTOOLS\APPS\TFS5.8.2-Buildxxxx\Application\0409\setup.exe. (donde
xxxx es el ID de build).
4. Instale la guía de aprendizaje del Software de huellas dactilares ThinkVantage
ejecutando el archivo f001zpz7001us00.exe para extraer el archivo tutess.exe del
paquete web. Esto extraerá automáticamente el archivo setup.exe en la
ubicación siguiente: C:\SWTOOLS\APPS\tutorial\TFS5.8.2
Buildxxxx\Tutorial\0409\tutess.exe.
5. Instale la Consola de huellas dactilares de ThinkVantage ejecutando el archivo
f001zpz5001us00.exe para extraer el archivo fprconsole.exe del paquete web. La
ejecución del archivo f001zpz5001us00.exe extraerá automáticamente el archivo
setup.exe en la siguiente ubicación: C:\SWTOOLS\APPS\fpr_con\APPS\
UPEK\FPR Console\TFS5.8.2-Buildxxx\Fprconsole\fprconsole.exe.
6. Instale el programa Client Security Solution con las opciones siguientes:
tvtcss82_xxxxcc.exe /s /v”/qn NOCSSWIZARD=1 SUPERVISORPW=
”BIOSpw”"
7. Después de rearrancar, inicie la sesión con la cuenta del administrador de
dominios de Windows y prepare el script XML para su despliegue. En la línea
de mandatos ejecute:
“C:\Archivos de programa\Lenovo\Client Security Solution\css_wizard.exe”
/name:C:\ThinkPad
En la máquina de despliegue:
1. Utilizando las herramientas de distribución de software de la empresa,
despliegue en cada máquina de despliegue el ejecutable setup.exe del software
de huellas dactilares de ThinkVantage que se ha extraído de la máquina de
preparación. Cuando el archivo setup.exe llegue a la máquina, instálelo
mediante el mandato siguiente:
setup.exe CTLCNTR=0 /q /i
2. Utilizando las herramientas de distribución de software de la empresa,
despliegue en cada máquina de despliegue el ejecutable (tutess.exe) de la guía
de instalación del software de huellas dactilares de ThinkVantage que se ha
extraído de la máquina de preparación. Cuando el archivo tutess.exe llegue a la
máquina, instálelo mediante el mandato siguiente:
tutess.exe /q /i
3. Utilizando las herramientas de distribución de software de la empresa,
despliegue en cada máquina de despliegue el ejecutable (fprconsole.exe) de la
Consola de huellas dactilares de ThinkVantage que se ha extraído de la
máquina de preparación.
v Coloque el archivo fprconsole.exe en el directorio C:\Archivos de
programa\Software de huellas dactilares de ThinkVantage\.
v Desactive el soporte de seguridad de encendido del BIOS ejecutando el
mandato siguiente: fprconsole.exe settings TBX 0.
4. Utilizando las herramientas de distribución de software de la empresa,
despliegue el ejecutable tvtvcss82_xxxx.exe (siendo xxxx el ID de build) de
ThinkVantage Client Solution.
v Cuando el archivo tvtvcss82_xxxx.exe llegue a la máquina, instálelo mediante
el mandato siguiente: tvtvcss82_xxxx.exe /s /v"/qn "NOCSSWIZARD=1"
"SUPERVISORPW="BIOSpw"".
v La instalación del software habilitará automáticamente el hardware del
Módulo de plataforma segura.
5. Después de rearrancar el sistema, configure el sistema con el archivo script
XML mediante el procedimiento siguiente:
v Copie el archivo ThinkPad.xml.enc preparado anteriormente en el directorio
C:\.
v Abra un indicador de mandatos distinto y ejecute "C:\Archivos de
programa\Lenovo\Client Security Solution\vmserver.exe"
C:\ThinkPad.xml.enc XMLScriptPW.
6. Después de rearrancar, el sistema estará ahora preparado para el registro de
usuario de Client Security Solution. Cada usuario puede iniciar sesión en el
sistema con su ID de usuario y su contraseña de Windows. A cada usuario que
Requisitos:
v La máquina servidor debe tener instalado lo siguiente:
– Windows 2003 Enterprise o posterior
– Active Directory
– El servicio Certificate Authority
v La máquina cliente debe cumplir los requisitos siguientes:
– TPM incorporado
– Tener instalado el producto Client Security Solution
Nota:
v Software de huellas dactilares de Lenovo
El software de huellas dactilares de Lenovo es el software para el sensor de
huellas dactilares AuthenTec (por ejemplo, el sensor de huellas dactilares interno
en T400).
v Software de huellas dactilares de ThinkVantage
El software de huellas dactilares de ThinkVantage es el software para el sensor
de huellas dactilares UPEK (por ejemplo, el sensor de huellas dactilares interno
en T61 y el sensor de huellas dactilares en todos los teclados USB externos).
Para cambiar el dispositivo preferido, cree una entrada de registro tal como se
indica a continuación:
[HKLM\Software\Lenovo\TVT Common\Client Security Solution]
REG_DWORD "PreferInternalFPSensor" = 1
Tabla 32. Claves del registro
Nombre Valor Descripción
PreferInternalFPSensor 0 (valor predeterminado) Especifica que el sensor de
huellas dactilares externo es
el preferido siempre que
haya un teclado de huellas
dactilares conectado.
1 Especifica que el sensor de
huellas dactilares interno es
el preferido.
El valor del BIOS Prioridad del lector se puede cambiar para forzar el uso del
sensor de huellas dactilares interno, aunque haya conectado un teclado de huellas
dactilares externo. El valor predeterminado para Prioridad del lector es Externo. El
valor se puede cambiar por Solamente interno para forzar el uso del sensor de
huellas dactilares interno.
Nota: Este valor del BIOS se aplica solamente a solicitudes de huellas dactilares en
el BIOS. No tiene ningún efecto sobre el inicio de sesión de Windows o las
solicitudes de autenticación de huellas dactilares de Client Security Solution.
Para obtener más información, vaya a la página de descarga del software de huella
dactilar en el sitio web de Lenovo donde encontrará una lista de estos modelos de
equipos portátiles ThinkPad.
Configuración y definición
Debe haber instalada la versión 2.0, o posterior, del Software de huellas dactilares
de Lenovo para utilizar el dispositivo de huella dactilar en el equipo portátil
ThinkPad. Los usuarios deben registrar huellas dactilares con el Software de
huellas dactilares de Lenovo utilizando el dispositivo integrado de huella dactilar.
Debe haber instalada la versión 5.8, o posterior, del Software de huellas dactilares
de ThinkVantage para utilizar el teclado de huellas dactilares de Lenovo. Los
usuarios también deben registrar las huellas dactilares con el Software de huellas
dactilares de ThinkVantage utilizando el teclado de huella dactilar.
El valor del BIOS para “Prioridad del lector” se puede cambiar para que utilice el
sensor incorporado de huella dactilar. Si la “Prioridad del lector” se ha definido en
Nota: El valor “Prioridad del lector” del BIOS no se aplica en esta situación. Puede
utilizarse cualquier dispositivo de los dos para el inicio de sesión si ambos
dispositivos están disponibles.
Windows Vista
Para dar soporte al inicio de sesión tanto con el teclado de huellas dactilares de
Lenovo como con el sensor incorporado de huella dactilar de ThinkPad en
Windows Vista, debe tener habilitadas las interfaces de inicio de sesión del
Software de huellas dactilares de Lenovo y del Software de huellas dactilares de
ThinkVantage.
De forma alternativa, para dar soporte tanto al teclado de huella dactilar como al
dispositivo integrado de huella dactilar, se puede utilizar la interfaz de inicio de
sesión de Client Security Solution en lugar de las interfaces de inicio de sesión del
software de huella dactilar. Sin embargo, esta prestación solamente está disponible
en la versión 8.21, o posteriores, de Client Security Solution.
Apéndice B. Consideraciones especiales para utilizar el teclado de huellas dactilares de Lenovo con algunos modelos de equipos
portátiles ThinkPad 89
Autenticación con Client Security Solution
Nota: La información siguiente se aplica solamente a la versión 8.21, y posteriores,
de Client Security Solution. Las versiones anteriores de Client Security Solution no
dan soporte a la utilización del dispositivo integrado de huella dactilar con el
teclado de huella dactilar.
Cuando se realiza una acción con Client Security Solution que requiere
autenticación de huella dactilar, como por ejemplo la especificación automática de
la contraseña en un sitio web con Password Manager, los usuarios deben pasar un
dedo sobre el teclado de huella dactilar, si está conectado, en el momento en que
así se les solicite. Se hará caso omiso si se pasa el dedo diversas veces por el
dispositivo incorporado de huella dactilar, si el teclado de huella dactilar está
conectado. Si el teclado de huella dactilar no está conectado, se tendrá que utilizar
el sensor integrado de huella dactilar.
Hay disponible un valor de registro para pedir a los usuarios que utilicen el sensor
incorporado de huella dactilar para la autenticación con Client Security Solution. Si
se define esta entrada de registro, la autenticación de huella dactilar con Client
Security Solution deberá realizarse con el sensor incorporado y se hará caso omiso
de la acción de pasar el dedo por el teclado de huella dactilar.
Lenovo puede tener patentes o solicitudes de patente pendientes que traten el tema
descrito en este documento. El suministro de este documento no le proporciona
ninguna licencia sobre estas patentes. Puede enviar preguntas sobre licencias, por
escrito, a:
Lenovo (United States), Inc
1009 Think Place
Building One
Morrisville, NC 27560
EE.UU.
A la atención de: Lenovo Director of Licensing
Marcas registradas
Los términos siguientes son marcas registradas de Lenovo en Estados Unidos o en
otros países:
Lenovo
Rescue and Recovery
ThinkCentre
ThinkPad
ThinkVantage