Soluciones IBM Client Security. Guía de instalación de Client Security Software Versión 5.3

(1)

Soluciones

IBM

®

Client

Security

Guía

de

instalación

de

Client

Security

Software

Versión

5.3

(2)

(3)

Soluciones

IBM

®

Client

Security

Guía

de

instalación

de

Client

Security

Software

Versión

5.3

(4)

Primeraedición(mayode2004)

Antesdeutilizarestainformaciónyelproductoalquedasoporte,noolvideleerelApéndiceA,“Normativasde exportacióndelosEE.UU.paraClientSecuritySoftware”,enlapágina49yelApéndiceC,“Avisosymarcas

(5)

Contenido

Prefacio . . . vii

Acercadeestaguía . . . vii

Aquiénvadirigidaestaguía . . . vii

Utilización deestaguía. . . viii

Referenciasa laGuía deladministradordeClientSecuritySoftware . . . . viii

Referenciasa laGuía delusuariodeClientSecurity Software . . . viii

Información adicional . . . viii

Capítulo1. Introducción . . . 1

IBMEmbeddedSecuritySubsystem . . . 1

El chipIBMSecurityChipincorporado. . . 1

IBMClientSecuritySoftware . . . 2

Relación entrecontraseñasy claves . . . 2

Contraseña deladministrador. . . 2

Clavespúblicasyprivadasdehardware . . . 3

Clavespúblicasyprivadasdeladministrador . . . 4

ArchivadorESS . . . 4

Clavespúblicasyprivadasdelusuario . . . 4

Jerarquía deintercambio declaves deIBM. . . 4

CaracterísticasPKI(PublicKeyInfrastructure)deCSS . . . 6

Capítulo2. Cómoempezar . . . 9

Requisitosdehardware . . . 9

IBMEmbeddedSecuritySubsystem . . . 9

ModelosdeIBMsoportados . . . 9

Requisitosdesoftware . . . 9

Sistemasoperativos . . . 9

Productos preparadosparaUVM. . . 9

NavegadoresWeb . . . 10

Cómobajar elsoftware. . . 11

Capítulo3.Antesdeinstalar elsoftware . . . 13

Antes deinstalar elsoftware. . . 13

InstalaciónenclientesqueejecutanWindowsXPy Windows2000 . . . . 13

InstalaciónparautilizarloconTivoliAccessManager . . . 13

Consideraciones sobrelascaracterísticas dearranque . . . 13

Información sobreactualizacionesdelBIOS . . . 14

Utilización delpardeclavesdeladministradorparaarchivarclaves . . . 15

Capítulo4. Instalación,actualizacióny desinstalacióndelsoftware. . . . 17

Cómobajar einstalarelsoftware . . . 17

Utilización deasistentedeinstalacióndeIBMClientSecuritySoftware . . . . 18

Habilitación deIBMSecuritySubsystem . . . 21

InstalacióndelsoftwareenotrosclientesdeIBMcuandoestá disponiblela clavepública deladministrador-sólo instalacionesdesatendidas . . . 22

Instalacióndesatendida. . . 22

Desplieguemasivo . . . 22

Instalaciónmasiva . . . 23

Configuración masiva . . . 24

Actualización delaversióndeClientSecuritySoftware . . . 27

Actualización utilizandonuevosdatosdeseguridad . . . 27

Actualización desdelaversión5.1aversionesposterioresutilizandodatosde seguridadexistentes . . . 27

(6)

Desinstalación deClient SecuritySoftware. . . 28

Capítulo5. Resolucióndeproblemas. . . 29

Funcionesdeladministrador . . . 29

Autorización delosusuarios . . . 29

Supresión deusuarios . . . 29

EstablecimientodeunacontraseñadeladministradordelBIOS(ThinkCentre) 29 Establecimientodeunacontraseñadelsupervisor(ThinkPad) . . . 30

Proteccióndelacontraseñadeladministrador . . . 31

Borrado delainformacióndeIBMEmbedded SecuritySubsystem (ThinkCentre) . . . 31

Borrado delainformacióndeIBMEmbedded SecuritySubsystem(ThinkPad) 32 Limitaciones oproblemasconocidosdeCSSVersión5.2 . . . 32

Limitaciones deitinerancia . . . 32

Limitaciones delastarjetasdeidentificaciónporcontacto . . . 34

Restauración delasclaves . . . 34

Nombresdeusuariolocalydedominio. . . 34

Reinstalacióndelsoftwaredehuellas dactilaresTargus . . . 35

Frase depaso delsupervisordelBIOS. . . 35

Utilización deNetscape7.x . . . 35

Utilización deundisqueteparaarchivar. . . 35

Limitaciones delassmart cards. . . 35

El símbolomás(+)apareceenlascarpetasdespuésdelcifrado . . . 35

Limitaciones delosusuarioslimitadosdeWindowsXP . . . 36

Otraslimitaciones. . . 36

Utilización deClientSecurity SoftwareconsistemasoperativosWindows 36 Utilización deClientSecurity SoftwareconaplicacionesdeNetscape. . . . 36

CertificadodeIBMEmbedded SecuritySubsystemylosalgoritmosdecifrado 36 Utilización delaproteccióndeUVMparaunIDdeusuariodeLotusNotes 37 Limitaciones deUserConfigurationUtility . . . 37

Limitaciones deTivoliAccess Manager . . . 38

Mensajesdeerror. . . 38

Tablas deresolución deproblemas . . . 38

Información deresolucióndeproblemasdeinstalación . . . 38

Información deresolucióndeproblemasdeAdministratorUtility. . . 39

Información deresolucióndeproblemasdeUserConfigurationUtility. . . . 40

Información deresolucióndeproblemasespecíficosdeThinkPad . . . 41

Información deresolucióndeproblemasdeMicrosoft. . . 41

Información deresolucióndeproblemasdeNetscape . . . 44

Información deresolucióndeproblemasdecertificadosdigitales . . . 46

Información deresolucióndeproblemasdeTivoliAccessManager. . . 46

Información deresolucióndeproblemasdeLotusNotes . . . 47

Información deresolucióndeproblemasdecifrado . . . 48

Información deresolucióndeproblemasdedispositivospreparadospara UVM. . . 48

ApéndiceA.Normativasde exportacióndelosEE.UU.paraClientSecurity Software . . . 49

ApéndiceB.Informaciónsobrecontraseñasy frasesdepaso . . . 51

Normas paracontraseñasy frasesdepaso . . . 51

Normas paracontraseñasdeladministrador . . . 51

Normas parafrasesdepaso deUVM . . . 51

(7)

Restablecimientodeunafrasedepasodeformamanual . . . 54

ApéndiceC.Avisosy marcasregistradas . . . 55

Avisos . . . 55

Marcasregistradas . . . 56

(8)

(9)

Prefacio

Esteapartadoproporcionainformación sobreelusodeestaguía.

Acerca

de

esta

guía

Estaguíacontieneinformaciónsobre cómoinstalar IBMClientSecuritySoftware en unsistemadereddeIBM,tambiéndenominado clientedeIBM,quecontengaIBM Embedded SecuritySubsystem.Estaguíatambiéncontieneinstruccionessobre cómohabilitarIBMEmbeddedSecuritySubsystemy cómoestablecerlacontraseña deladministradorparaelsubsistemadeseguridad.

Laguíaestáorganizadadelaformasiguiente:

El ″Capítulo1,“Introducción”″contieneunbreveresumen sobrelosconceptosde seguridadbásicos,unavisióngeneraldelasaplicacionesy componentesincluidos enelsoftware,asícomounadescripcióndelascaracterísticas PKI(PublicKey Infrastructure).

El ″Capítulo2,“Cómoempezar”″contienelosrequisitospreviosdehardwarey softwareparalainstalación,asícomoinstruccionesparabajarelsoftware.

El ″Capítulo3,“Antesdeinstalarelsoftware”″ contieneinstrucciones derequisitos previos parainstalarIBMClient SecuritySoftware.

El ″Capítulo4,“Instalación,actualizacióny desinstalacióndelsoftware”″contiene instrucciones parainstalar,actualizary desinstalarelsoftware.

El ″Capítulo5,“Resolucióndeproblemas”″contieneinformación útilpararesolver problemasquepodría experimentarmientrassiguelasinstrucciones

proporcionadas enestaguía.

El ″ApéndiceA, “NormativasdeexportacióndelosEE.UU.paraClientSecurity Software”″ contieneinformación sobrelasnormativasdeexportacióndelosEE.UU. sobre estesoftware.

El ″ApéndiceB, “Informaciónsobrecontraseñasyfrasesdepaso”″contiene criterios paralasfrasesdepaso quesepuedenaplicara unafrasedepaso de UVM ynormasparalascontraseñasdeladministrador.

El ″ApéndiceC,“Avisosymarcas registradas”″contieneavisoslegales e información demarcasregistradas.

A

quién

va

dirigida

esta

guía

Estaguíavadirigidaa losadministradoresderedydelsistemaqueconfigurenla seguridaddesistemaspersonalesenlosclientesdeIBM.Seprecisan

conocimientosdelosconceptosdeseguridad,comoPKI(PublicKeyInfrastructure) y gestióndecertificadosdigitalesdentro deunentornodered.

(10)

Utilización

de

esta

guía

Utiliceestaguía parainstalaryconfigurarlaseguridaddesistemaspersonalesen los clientesdeIBM.EstaguíaacompañaalosmanualesGuíadeladministradorde Client SecuritySoftware,UtilizacióndeClientSecurityconTivoliAccess Managery

Guía delusuariodeClientSecuritySoftware.

Estaguía ylademásdocumentacióndeClientSecuritypuedebajarse desdeel sitioWebdeIBMenhttp://www.pc.ibm.com/us/security/secdownload.html.

Referencias

a

la

Guía

del

administrador

de

Client

Security

Software

En estedocumentosehacenreferenciasalaGuíadeladministradordeClient Security Software.LaGuía deladministradorcontieneinformaciónsobre la utilizacióndeUserVerification Manager(UVM)yeltrabajoconlapolítica deUVM, asícomoinformaciónsobre lautilizacióndeAdministratorUtilityyUser

ConfigurationUtility.

Después deinstalarelsoftware,utilicelasinstruccionesdelaGuíadel

administradorparaconfigurarymantenerlapolíticadeseguridadparacadacliente.

Referencias

a

la

Guía

del

usuario

de

Client

Security

Software

LaGuía delusuario deClientSecuritySoftware, queacompañaa laGuía del administradordeClientSecuritySoftware,contieneinformaciónútilsobre cómo efectuar tareasdeusuarioconClientSecuritySoftware,comolautilizacióndela proteccióndeiniciodesesióndeUVM,lacreacióndeuncertificadodigitalyla utilizacióndeUserConfigurationUtility.

Información

adicional

Puede obtenerinformación adicionalyactualizaciones deproductosdeseguridad, cuando esténdisponibles,desdeelsitioWebdeIBMen

(11)

Capítulo

1. Introducción

AlgunossistemasThinkPadTM _y_ThinkCentreTM _vienen_equipados_con_hardware

criptográficointegradoquefuncionajuntocontecnologíasdesoftwarequepueden bajarseparaproporcionarunaltoniveldeseguridadenunaplataformaPCcliente. De formaconjuntaeste hardwareysoftwaresedenominanIBMEmbedded SecuritySubsystem(ESS). ElcomponentedehardwareeselchipIBMSecurity Chipincorporadoy elcomponente desoftwareesIBMClientSecuritySoftware (CSS).

Client SecuritySoftwareestádiseñadoparasistemasdeIBMqueutilizanelchip IBMSecurityChipincorporadoparacifrararchivosyalmacenarclavesdecifrado. Estesoftwareestáconstituidoporaplicaciones ycomponentesquepermitenalos sistemascliente deIBMutilizarlascaracterísticas deseguridadparaclientesa travésdeunaredlocal,unacorporacióno Internet.

IBM

Embedded

Security

Subsystem

IBMESSsoportasolucionesdegestióndeclavescomoPKI(PublicKey Infrastructure) yconstadelasaplicacioneslocalessiguientes:

v _Cifrado_de_archivos_y _carpetas_(FFE) v _Password_Manager

v _Inicio_de_sesión _seguro_de_Windows

v _Varios_métodos _de_{autenticación}_{configurables,} _que_incluyen: – Frasedepaso

– Huelladactilar – SmartCard

– Tarjetadeidentificaciónporcontacto

Parapoderutilizarlas característicasdeIBMESSdeformaefectiva,el administradordeseguridaddebe estarfamiliarizadoconalgunosconceptos básicos.Losapartadossiguientesdescribenlosconceptos deseguridadbásicos.

El

chip

IBM

Security

Chip

incorporado

IBMEmbeddedSecuritySubsystemesunatecnologíadehardwarecriptográfico integrado queproporcionaunniveladicionaldeseguridadparaplataformas IBMPC seleccionadas.Con laaparicióndeestesubsistemadeseguridad,losprocesosde cifradoy autenticaciónsontransferidosdeunsoftwaremásvulnerablealentorno segurodeunhardware dedicado.Lamejoraenlaseguridadqueestoproporciona espalpable.

IBMEmbeddedSecuritySubsystemsoporta:

v _Operaciones_PKI_RSA3,_como_cifrado_para_información _confidencial_y_firmas digitalesparaautenticación

v _Generación_de_claves_RSA

v _Generación_de_números_{seudo-aleatorios} v _Cálculo_de_funciones_RSA_en₂₀₀_milisegundos

v _Memoria_EEPROM_para_el_{almacenamiento}_de_pares_de_claves_RSA v _Todas_las_funciones_TCPA_definidas_en_la_{especificación}_Vs._1.1

v _{Comunicación}_con_el_procesador_principal_a_través_del_bus_LPC_(Low _Pin_Count)

(12)

IBM

Client

Security

Software

IBMClientSecuritySoftwaresecomponedelassiguientes aplicacionesy componentesdesoftware:

v _{Administrator}_Utility:_se_trata_de_la_interfaz_que_utiliza_un_{administrador}_para activarodesactivarelsubsistemadeseguridadincorporadoy paracrear, archivary volvera generarlasclaves decifradoy lasfrasesdepaso.Además, unadministradorpuedeutilizaresteprogramadeutilidadparaañadirusuariosa lapolíticadeseguridadproporcionadaporClientSecuritySoftware.

v _Consola_del_{administrador:}_la_Consola_del_{administrador}_de_Client_Security Softwarepermitealadministradorconfigurarunareddeitineranciade

credencialesparacrearyconfigurararchivosquepermiteneldespliegue ypara crearunaconfiguracióndenoadministradoryunperfilderecuperación.

v _User_{Configuration}_Utility:_permite_a_un_usuario_cliente_cambiar_la_frase_de pasodeUVM,parahacer queUVMreconozcalascontraseñasdeiniciode sesióndeWindows,paraactualizarlosarchivadoresdeclavesy pararegistrar lashuellasdactilares. Unusuariotambiénpuedecrearcopiasdeseguridadde loscertificadosdigitalescreadosconIBMEmbeddedSecuritySubsystem. v _User_Verification_Manager_(UVM): _Client_Security_Software_utiliza_UVM_para

gestionarlas frasesdepasoy otroselementosparaautenticarlosusuariosdel sistema.Porejemplo,UVM puedeutilizarunlectordehuellas dactilaresparala autenticacióndeliniciodesesión.ClientSecuritySoftwarepermiteutilizar las característicassiguientes:

– Proteccióndepolítica decliente deUVM:Client SecuritySoftwarepermite aunadministradordeseguridadestablecerlapolítica deseguridaddel cliente,quedefinelaforma enlaqueseautenticaunusuarioclienteenel sistema.

Silapolíticaindicaquesonnecesarias lashuellasdactilaresparaeliniciode sesiónyelusuarionotienehuellas dactilaresregistradas,seledarála opciónderegistrarlashuellas dactilarescomopartedelinicio desesión. Asimismo,siesnecesarialacomprobacióndehuellas dactilaresynohay ningúnescánerconectado,UVMinformarádeunerror.Además,sinoseha registradolacontraseñadeWindowso, seharegistradodeformaincorrecta, conUVM,elusuariotendrálaoportunidaddeproporcionarlacontraseñade Windowscorrectacomopartedeliniciodesesión.

– Proteccióndeinicio desesióndelsistemadeUVM:Client Security Softwarepermiteaunadministradordeseguridadcontrolarelacceso al sistemamedianteunainterfazdeinicio desesión. LaproteccióndeUVM aseguraquesólolosusuariosreconocidosporlapolíticadeseguridad puedenaccederalsistemaoperativo.

Relación

entre

contraseñas

y

claves

Las contraseñasy lasclavestrabajanjuntas,junto conotrosdispositivosde autenticación opcionales,paraverificar laidentidaddelosusuariosdelsistema. Comprender larelación entrelascontraseñasy lasclavesesvitalparacomprender elfuncionamiento deIBMClientSecuritySoftware.

Contraseña

del

administrador

Lacontraseñadeladministradorseutiliza paraautenticaraladministradorenIBM Embedded SecuritySubsystem.Estacontraseña,quedebetenerunalongitud de ocho caracteres,semantieney autenticadentro delos límitesdelhardwaredel

(13)

v _Inscribir_usuarios

v _Iniciar_la_interfaz_de_políticas

v _Cambiar_la_contraseña_del_{administrador}

Lacontraseñadeladministradorsepuedeestablecerdelasformassiguientes: v _Mediante_el_Asistente_de_instalación_de_IBM_Client _Security

v _Mediante_{Administrator}_Utility v _Mediante_scripts

v _Mediante_la_interfaz_del_BIOS_(sólo_sistemas_ThinkCentre)

Es importantecontarconunaestrategiaparalacreaciónymantenimiento dela contraseñadeladministrador.Lacontraseñadeladministradorsepuedecambiarsi laseguridadestáenpeligroosehaolvidadolacontraseña.

Paraaquellosqueestánfamiliarizados conlosconceptosy terminologíadelTCG (Trusted ComputingGroup),lacontraseñadeladministradoreslomismoqueel valor deautorizacióndelpropietario.Comolacontraseña deladministradorestá asociadaa IBMEmbedded SecuritySubsystem,avecestambiénsedenomina

contraseñadehardware.

Claves

públicas

y

privadas

de

hardware

LapremisabásicadeIBMEmbeddedSecuritySubsystemesladeproporcionar unaraízdeconfianzamuyfiableenunsistemacliente.Estaraízseutilizapara protegerotrasaplicaciones yfunciones.Partedelprocesoparaestablecerunaraíz deconfianzaeslacreacióndeunaclavepúblicadehardwareyunaclaveprivada dehardware.Unaclavepúblicay unaprivada,tambiéndenominadasparde claves,estánrelacionadasmatemáticamentedetalformaque:

v _Los_datos_cifrados_con_la_clave_pública_sólo_pueden_descifrarse _con_la_clave privadacorrespondiente.

v _Los_datos_cifrados_con_la_clave_privada_sólo_pueden_descifrarse_con_la_clave públicacorrespondiente.

Laclaveprivadadehardwaresecrea,almacenayutiliza dentrodeloslímites seguros delhardwaredelsubsistemadeseguridad.Laclavepúblicadehardware está disponibleparavariosfines(deahíelnombredeclavepública),peronunca seexponefueradeloslímitesseguros delhardwaredelsubsistemadeseguridad. Las clavespúblicasyprivadasdehardware sonparteimportantedelajerarquíade intercambio declaves deIBMdescritaenunapartadomásadelante.

Las clavespúblicasyprivadasdehardware secreandelasformassiguientes: v _Mediante_el_Asistente_de_instalación_de_IBM_Client _Security

v _Mediante_{Administrator}_Utility v _Mediante_scripts

Paraaquellosqueestánfamiliarizados conlosconceptosy terminologíadelTCG (Trusted ComputingGroup),lasclavespúblicasy privadasdehardwareseconocen comolaclaveraízdealmacenamiento(SRK).

(14)

Claves

públicas

y

privadas

del

administrador

Las clavespúblicasyprivadasdeladministradorson parteintegraldelajerarquía deintercambiodeclavesdeIBM.Tambiénpermitenefectuarcopias deseguridady restaurardatosespecíficosdelusuarioencasodeunaanomalíaenlaplacadel sistemaoeneldiscoduro.

Las clavespúblicasyprivadasdeladministradorpuedenserexclusivasentodos los sistemasopuedensercomunesentodoslossistemasogruposdesistemas. Hayquetenerencuentaqueestasclaves deladministradordebengestionarse,por loquetenerunaestrategiaparautilizarclavesúnicas enlugardeclaves conocidas esimportante.

Las clavespúblicasyprivadasdeladministradorpuedencrearsedeunadelas formassiguientes:

v _Mediante_el_Asistente_de_instalación_de_IBM_Client _Security v _Mediante_{Administrator}_Utility

v _Mediante_scripts

Archivador

ESS

Las clavespúblicasyprivadasdeladministradorpermiten efectuarcopiasde seguridady restaurardatosespecíficosdelusuarioencasodeunaanomalíaenla placadelsistemaoeneldiscoduro.

Claves

públicas

y

privadas

del

usuario

IBMEmbeddedSecuritySubsystemcrea clavespúblicasyprivadasdelusuario paraprotegerdatosespecíficosdelusuario.Estospares declaves secrean cuando seinscribeunusuarioenIBMClientSecuritySoftware.Estas clavesse crean ygestionandeformatransparentemedianteelcomponente UserVerification Manager (UVM)deIBMClientSecuritySoftware.Las clavessegestionan

basándose enelusuariodeWindowsqueinicieunasesión enelsistemaoperativo.

Jerarquía

de

intercambio

de

claves

de

IBM

Un elementoesencialdelaarquitecturadeIBMEmbedded SecuritySubsystemes lajerarquíadeintercambiodeclavesdeIBM.Labase (oraíz)delajerarquíade intercambio declaves deIBMlaconstituyenlasclaves públicasyprivadasde hardware.Lasclaves públicasy privadasdehardware,denominadaselparde claves dehardware,soncreadasporIBMClientSecuritySoftwareyson estadísticamente únicasencada cliente.

El siguiente“nivel”declaveshaciaarribaenlajerarquía(despuésdelaraíz)son las clavespúblicasyprivadasdeladministradoro pardeclavesdeladministrador.

El pardeclavesdeladministradorpuedeserúnicoencadamáquina opuedeser elmismoentodoslosclienteso enunsubconjuntodelosclientes.Laformade gestionarestepardeclavesdependedecómodeseagestionarlared.Laclave privada deladministradoresúnicaencuantoa queresideenelsistemacliente (protegida porlaclavepúblicadehardware)enunaubicacióndefinida porel administrador.

IBMClientSecuritySoftwareinscribealosusuariosdeWindowsenelentorno Embedded SecuritySubsystem.Cuandoseinscribeunusuario, secrean lasclaves públicasy privadasdeusuario(elpardeclavesdeusuario)ysecreaunnuevo

(15)

hardware.Porlotanto,parautilizarlaclaveprivadadelusuario,debeestar

cargadaenelsubsistemadeseguridadlaclaveprivadadeladministrador(queestá cifradaconlaclavepúblicadehardware).Unavezcargadaenelchip,laclave privadadehardwaredescifra laclaveprivadadeladministrador.Laclaveprivada deladministradorestáahora listaparautilizarsedentro delsubsistemade seguridaddemodoquelosdatosqueestáncifrados conlaclavepública del administradorcorrespondientepuedenintercambiarsedentro delsubsistemade seguridad,descifrarsey utilizarse.LaclaveprivadadelusuarioactualdeWindows (cifradaconlaclavepúblicadeladministrador)sepasadentro delsubsistemade seguridad.Tambiénsepasarándentro delchiptodoslosdatosquenecesiteuna aplicaciónqueaprovecheelsubsistemadeseguridadincorporado, sedescifrarány seaprovecharándentrodelentornosegurodelsubsistemadeseguridad.Un ejemplo deesto loconstituye unaclaveprivadautilizadaparaautenticarunared inalámbrica.

Siemprequesenecesiteunaclave,éstaseintercambiadentrodelsubsistemade seguridad.Lasclaves privadascifradas seintercambiandentro delsubsistemade seguridady despuéspuedenutilizarseenelentornoprotegidodelchip.Lasclaves privadasnosemuestran niutilizannuncafueradeeste entornodehardware.Esto permiteprotegercasiunacantidadilimitadadedatosmedianteelchip IBMSecurity Chipincorporado.

Las clavesprivadassecifranporquedebenestarmuy protegidasy porquehay un espaciodealmacenamientolimitadoenIBMEmbedded SecuritySubsystem.En cualquiermomentodado, sólopuedehaberalmacenadasenelsubsistemade seguridadunaparejadeclaves.Lasclavespúblicasy privadasdehardwareson las únicasclavesquepermanecenalmacenadasenelsubsistemadeseguridadde arranquea arranque.Paraadmitirvariasclavesy variosusuarios,CSSutiliza una jerarquíadeintercambiodeclavesdeIBM.Siemprequesenecesiteunaclave, ésta seintercambia dentrodeIBMEmbedded SecuritySubsystem.Lasclaves privadascifradasrelacionadasseintercambiandentrodelsubsistemadeseguridad y despuéspuedenutilizarseenelentornoprotegido delchip.Lasclaves privadas nosemuestranniutilizannuncafueradeesteentornodehardware.

Laclaveprivadadeladministradorsecifra conlaclavepública dehardware.La claveprivadadehardware,quesóloestádisponible enelsubsistemadeseguridad, seutilizaparadescifrar laclaveprivadadeladministrador.Una vezdescifradala claveprivadadeladministradorenelsubsistemadeseguridad,puedepasarse dentro delsubsistemadeseguridadunaclaveprivadadeusuario(cifradaconla clavepública deladministrador)y descifrarlaconlaclaveprivada deladministrador. Puedencifrarsevariasclavesprivadasdeusuarioconlaclavepública del

administrador.Estopermitequehaya prácticamenteunnúmeroilimitadode usuariosenunsistemaconIBMESS; sinembargo,serecomiendalimitarla inscripcióna25usuariosporsistemaparagarantizarunrendimientoóptimo. IBMESSutilizaunajerarquíadeintercambiodeclavesenlaquelasclaves públicasy privadasdehardwaredelsubsistemadeseguridadseutilizanpara protegerotrosdatosalmacenadosfueradelchip.Laclaveprivadadehardwarese generaenelsubsistemadeseguridady nuncaabandonaesteentornoseguro.La clavepública dehardware estádisponiblefueradelsubsistemadeseguridady se utiliza paracifraroprotegerotroselementosdedatoscomounaclaveprivada.Una vez cifradosestosdatoscon laclavepúblicadehardwaresólo puedenser

descifradosporlaclaveprivadadehardware.Yaquelaclaveprivadadehardware sólo estádisponibleenelentornosegurodelsubsistemadeseguridad,losdatos cifrados sólopuedendescifrarsey utilizarseeneste mismoentornoseguro.Es importantetenerencuentaquecadasistematendráunaclavepúblicay privadade

(16)

hardware exclusivas.LaposibilidaddenúmerosaleatoriosdeIBMEmbedded Security Subsystemgarantizaquecadapardeclavesdehardwaresea estadísticamente único.

Características

PKI

(Public

Key

Infrastructure)

de

CSS

Client SecuritySoftwareproporcionatodoslos componentesnecesarios paracrear unainfraestructuradeclavespúblicas(PKI)ensuempresa, como:

v _Control_del_{administrador}_sobre_la _política_de _seguridad_del_cliente._La autenticacióndelosusuariosfinales enelniveldelclienteesunacuestión importantedelapolíticadeseguridad.ClientSecuritySoftwareproporcionala interfaznecesariaparagestionarlapolíticadeseguridaddeunclientedeIBM. Estainterfazformapartedelsoftwaredeautenticación UserVerificationManager (UVM),queeselcomponenteprincipaldeClient SecuritySoftware.

v _Gestión_de_claves_de_cifrado_para_{criptografía}_de _claves_públicas._Los administradorescrean clavesdecifradoparaelhardware delsistemay los usuarioscliente conClientSecuritySoftware.Cuando secrean clavesdecifrado, seenlazanalchipIBMSecurityChipincorporadomedianteunajerarquíade claves,enlaqueseutiliza unaclavedehardware denivelbaseparacifrar las clavesqueestánsobreella, incluidaslasclavesdeusuarioqueestánasociadas concadausuario cliente.Elcifradoy almacenamientodelasclavesenelchip IBMSecurityChipincorporadoañadeunacapaextra esencialdelaseguridad delcliente,yaquelasclaves estánenlazadasdeunaformaseguraalhardware delsistema.

v _Creación_y_{almacenamiento} _de_certificados_digitales_protegidos_por_el _chip IBMSecurityChip incorporado.Cuandosesolicitauncertificadodigitalque puedautilizarse paralafirmadigitalo cifradodeunmensajedecorreo electrónico,Client SecuritySoftwarepermiteelegirIBMEmbeddedSecurity Subsystemcomoproveedor deserviciocriptográficoparalasaplicacionesque utilicenMicrosoftCryptoAPI. EstasaplicacionesincluyenInternetExplorery MicrosoftOutlookExpress.Estoaseguraquelaclaveprivadadelcertificado digitalsecifreconlaclavepúblicadeusuarioenIBMEmbeddedSecurity Subsystem.Además,losusuariosdeNetscapepuedenelegirIBMEmbedded SecuritySubsystemcomoelgeneradordeclavesprivadasparaloscertificados digitalesutilizadosparaseguridad.LasaplicacionesqueutilizanPKCS#11 (Public-KeyCryptographyStandard),comoNetscapeMessenger,pueden aprovecharsedelaprotecciónproporcionadaporIBMEmbeddedSecurity Subsystem.

v _Posibilidad_de_transferir_certificados_digitales_a_IBM_Embedded_Security Subsystem.LaHerramientadetransferenciadecertificadosdeIBMClient SecuritySoftwarepermitemoverlos certificadosquesehancreadoconelCSP deMicrosoftporomisiónalCSPdeIBMEmbeddedSecuritySubsystem.Esto aumentaenormementelaprotecciónofrecidaa lasclavesprivadasasociadas conloscertificadosporqueéstossealmacenarándeformaseguraenIBM EmbeddedSecuritySubsystem,enlugardeenunsoftwarevulnerable. Nota: los certificadosdigitalesprotegidosconelCSPdeIBMEmbedded

Security SubsystemnosepuedenexportaraotroCSP.

v _Un_archivador_de _claves_y_una_solución_de_{recuperación.} _Una_función importantedePKIeslacreacióndeunarchivadordeclavesa partirdelcualse puedenrestaurarlasclavessisepierdenodañanlasoriginales.IBMClient SecuritySoftwareproporcionaunainterfazquepermitedefinirunarchivadorpara lasclavesy certificadosdigitalescreados conIBMEmbedded Security

(17)

v _Cifrado_de _archivos_y _carpetas._El _cifrado_de_archivos_y_carpetas _permite_a_un usuarioclientecifraro descifrararchivosocarpetas.Estoproporcionaunmayor niveldeseguridaddelosdatosañadido alasmedidasdeseguridaddelsistema CSS.

v _{Autenticación}_de_huellas_dactilares._IBM_Client _Security_Software_soporta_el lectordehuellasdactilares PCcardTargusyellectordehuellas dactilaresUSB Targusparalaautenticación. Debeestar instaladoClientSecuritySoftwareantes dequeseinstalenloscontroladoresdedispositivodehuellasdactilaresde Targusparasufuncionamiento correcto.

v _{Autenticación}_de_smart_card._IBM_Client _Security_Software_soporta

determinadassmartcardscomodispositivodeautenticación.ClientSecurity Softwarepermiteutilizarlassmart cardscomounaseñaldeautenticaciónpara unsólo usuarioalavez.Cadasmart cardestáenlazadaaunsistemaamenos queseutilicelaitinerancia decredenciales.Lautilizacióndeunasmart card hacequeelsistemasea másseguroporqueestatarjetadebeproporcionarse juntoconunacontraseña.

v _Itinerancia_de_{credenciales.}_La_itinerancia_de_credenciales_permite_que_un usuarioderedautorizadoutilicecualquiersistemadelared,comosiestuviese ensupropiaestacióndetrabajo.Despuésdequeunusuariorecibaautorización parautilizarUVMencualquierclienteregistradoenClientSecuritySoftware, podráimportarsusdatospersonalesencualquierotroclienteregistradodela reddeitineranciadecredenciales.Despuéssusdatospersonalesseactualizan ymantienenautomáticamenteenelarchivadordeCSSy encualquiersistema enelquesehayanimportado.Lasactualizaciones desus datospersonales, comocertificadosnuevoso cambiosdelafrasedepaso,estándisponibles inmediatamenteentodoslosdemássistemasconectadosalareddeitinerancia. v _{Certificación}_en_FIPS_140-1. _Client_Security_Software_soporta_bibliotecas

criptográficascertificadasenFIPS140-1. LasbibliotecasRSABSAFE certificadasenFIPSseutilizanensistemasTCPA.

v _Caducidad_de _las_frases_de_paso._Client_Security_Software _establece_una_frase depaso yunapolítica decaducidad defrasesdepasoespecíficaparacada usuariocuandoésteseañadeaUVM.

(18)

(19)

Capítulo

2. Cómo

empezar

Esteapartadocontienelosrequisitosdecompatibilidaddelhardware ysoftware quepuedeutilizarseconIBMClientSecuritySoftware.Tambiénseproporciona información sobrecómobajarIBMClientSecuritySoftware.

Requisitos

de

hardware

Antes debajar einstalarelsoftware,asegúresedequeelhardware delsistemaes compatible conIBMClient SecuritySoftware.

Lainformaciónmás recientesobrelosrequisitosdehardwarey softwareestá disponible enelsitioWebdeIBMenhttp://www.pc.ibm.com/us/security/index.html.

IBM

Embedded

Security

Subsystem

IBMEmbeddedSecuritySubsystemesunmicroprocesadorcriptográficoqueestá incorporadoenlaplacadelsistemadelclientedeIBM.Estecomponente esencial deIBMClientSecuritytransfierelasfuncionesdepolíticadeseguridaddeun softwarevulnerableaunhardwareseguro,aumentandoradicalmentelaseguridad delcliente local.

Sólolossistemasy estacionesdetrabajodeIBMquecontenganIBMEmbedded SecuritySubsystemsoportan IBMClient SecuritySoftware.Siintentabajare instalar elsoftwareenunsistemaquenocontengaIBMEmbedded Security Subsystem, elsoftwarenoseinstalaráoejecutarácorrectamente.

Modelos

de

IBM

soportados

Se concedelicenciay soportedeClientSecuritySoftwareparanumerosos

sistemasdesobremesay portátilesdeIBM.Paraobtenerunalistacompletadelos modelossoportados,consultelapáginaWeb

http://www.pc.ibm.com/us/security/index.html.

Requisitos

de

software

Antes debajar einstalarelsoftware,asegúresedequeelsoftwarey elsistema operativodelsistemason compatiblescon IBMClientSecuritySoftware.

Sistemas

operativos

IBMClientSecuritySoftwareprecisa unodelossistemasoperativossiguientes: v _Windows_XP

v _Windows₂₀₀₀_Professional

Productos

preparados

para

UVM

IBMClientSecurityincluyeelsoftwareUserVerificationManager(UVM)que permitepersonalizarlaautenticación desusistemadesobremesa.El primernivel decontrolbasadoenpolíticaaumentalaproteccióndesusequiposy laeficiencia delagestióndecontraseñas.UVM, queescompatible conprogramasdepolíticas deseguridadparatodalaempresa, permiteutilizarproductospreparadospara UVM, incluidoslossiguientes:

v _Dispositivos_{biométricos,}_como_lectores_de _huellas_dactilares

(20)

UVMproporcionaunainterfazconectar ylistoparadispositivosbiométricos. DebeinstalarIBMClient SecuritySoftwareantesdeinstalarunsensorpreparado paraUVM.

ParautilizarunsensorpreparadoparaUVM queyaesté instaladoenuncliente deIBM,debe desinstalarelsensorpreparado paraUVM,instalarIBMClient SecuritySoftwareydespuésreinstalarelsensorpreparadoparaUVM. v _Tivoli_Access _Manager_versiones_3.8_ó_3.9

ElsoftwareUVMsimplificay mejoralagestión depolíticasmedianteunasencilla integraciónconunasolucióncentralizadadecontroldeaccesosbasadaen política,comoTivoliAccess Manager.

ElsoftwareUVMhacecumplir lapolítica localmente,tantosielsistemaestá en red(desobremesa)odeformaautónoma,creandoasíunúnicomodelode políticaunificado.

v _Lotus_Notes_versión_4.5_o_posterior

UVMtrabajaconIBMClientSecuritySoftwareparamejorarlaseguridaddel iniciodesesióndeLotusNotes(LotusNotesversión4.5oposterior). v _Entrust_Desktop_Solutions_5.1,_6.0_ó_6.1

ElsoportedeEntrustDesktopSolutionsmejoralasposibilidadesdeseguridad deInternet,demodoquelos procesoscorporativoscríticospuedentrasladarsea Internet.EntrustEntelligenceproporcionaunasolacapa deseguridadquepuede englobarelconjuntocompletodenecesidadesdeseguridadmejoradadeuna corporación,incluidaslaidentificación,privacidad,verificaciónygestión de seguridad.

v _RSA_SecurID_Software _Token

RSASecurIDSoftwareTokenpermitequeelmismoregistrodenúmero generadorqueseutilizaenlasseñalesdehardwareRSAtradicionalesse incorporeenlasplataformasdeusuarioexistentes.En consecuencia,los usuariospuedenautenticarseenlosrecursosprotegidosaccediendoalsoftware incorporadoenlugardetener queutilizar dispositivosdeautenticación

dedicados.

v _Lector_de_huellas_dactilares_Targus

Ellectordehuellas dactilaresTargusproporcionaunainterfazsencillaque permiteincluirlaautenticación dehuellas dactilaresenlapolíticadeseguridad. v _Tarjeta_de_{identificación} _por_contacto_de _Ensure

IBMClientSecuritySoftware5.2ysuperiorrequierequelosusuariosdetarjetas deidentificaciónporcontactoactualicen elsoftwareEnsurealaversión7.41.Al actualizarIBMClientSecuritySoftwaredesdeunaversiónanterior,actualiceel softwareEnsure antesdeactualizaraClient SecuritySoftware5.2osuperior. v _Lector_de_smart_cards_Gemplus_GemPC400

Ellectordesmart cardsGemplusGemPC400permiteincluirlaautenticaciónde smartcardsenlapolítica deseguridad,loqueañadeunacapa adicionalde seguridadalaprotecciónmediantefrasedepasoestándar.

Navegadores

Web

IBMClientSecuritySoftwaresoportalosnavegadoresWebsiguientes parasolicitar certificadosdigitales:

v _Internet_Explorer_5.0_o_posterior v _Netscape_4.51-4.7x_y _Netscape_7.1

(21)

Información

del

nivel

cifrado

del

navegador

Si estáinstaladoelsoporteparauncifradofuerte,utilice laversiónde128bitsdel navegadorWeb.ParacomprobarelnivelcifradodelnavegadorWeb,consulteel sistemadeayudaproporcionadoconelnavegador.

Servicios

criptográficos

IBMClientSecuritySoftwaresoportalosservicios criptográficossiguientes:

v _Microsoft_CryptoAPI:_CryptoAPI _es_el_servicio_{criptográfico}_por_omisión_para_los sistemasoperativosyaplicaciones deMicrosoft.Con elsoportedeCryptoAPI integrado,IBMClientSecuritySoftwarepermiteutilizarlas operaciones criptográficasdeIBMEmbeddedSecuritySubsystemcuando secrean certificadosdigitalesparaaplicaciones deMicrosoft.

v _PKCS#11:_PKCS#11_es_el_estándar_{criptográfico}_para_Netscape, _Entrust,_RSA_y otrosproductos.DespuésdeinstalarelmóduloPKCS#11deIBMEmbedded SecuritySubsystem,puedeutilizarIBMEmbedded SecuritySubsystempara generarcertificadosdigitalesparaNetscape,Entrust,RSAyotras aplicaciones queutilicenPKCS#11.

Aplicaciones

de

correo

electrónico

IBMClientSecuritySoftwaresoportalossiguientes tiposdeaplicacionesque utilizancorreoelectrónico seguro:

v _Las_aplicaciones_de_correo_electrónico _que_utilizan_Microsoft_CryptoAPI_para operacionescriptográficos, comoOutlookExpressyOutlook(cuandoseutiliza conunaversiónsoportadadeInternetExplorer)

v _Las_aplicaciones_de_correo_electrónico _que_utilizan_PKCS#11_(Public_Key CryptographicStandard#11)paraoperacionescriptográficas,comoNetscape Messenger(cuandoseutilizaconunaversiónsoportadadeNetscape)

Cómo

bajar

el

software

Client SecuritySoftwarepuedebajarsedesdeelsitioWebdeIBMen http://www.pc.ibm.com/us/security/index.html.

Formulario

de

registro

Cuando bajaelsoftware,debe completarunformularioderegistroy un cuestionario,y aceptarlostérminosdelalicencia.Sigalasinstrucciones proporcionadas enelsitioWebdeIBMen

http://www.pc.ibm.com/us/security/index.htmlparabajarelsoftware.

Los archivosdeinstalacióndeIBMClientSecuritySoftwareestánincluidosdentro delarchivo autoextraíbledenominadocsec53.exe.

Normativas

de

exportación

IBMClientSecuritySoftwarecontienecódigodecifradoquepuedebajarsedentro deNorteaméricaeinternacionalmente.Siviveenunpaísenelqueesté prohibido bajarsesoftwaredecifradodeunsitioWebdelosEstadosUnidos,nopuede bajarseIBMClientSecuritySoftware. Paraobtenermásinformaciónsobre las normativas deexportación queregulanIBMClientSecuritySoftware, consulteel ApéndiceA,“Normativasdeexportación delosEE.UU.paraClient Security Software”, enlapágina49.

(22)

(23)

Capítulo

3. Antes

de

instalar

el

software

Esteapartadocontieneinstruccionessobre losrequisitospreviosparaejecutarel programadeinstalaciónyconfigurarIBMClient SecuritySoftwareenclientesde IBM.

Todoslosarchivosnecesarios paralainstalacióndeClient SecuritySoftwarese proporcionan enelsitioWebdeIBMen

http://www.pc.ibm.com/us/security/index.html.El sitioWebproporcionainformación queayudaacomprobarquesusistematiene IBMEmbedded SecuritySubsystemy quelepermiteseleccionarlaofertadeIBMClientSecurityadecuadaparasu sistema.

Antes

de

instalar

el

software

El programadeinstalacióninstalaIBMClientSecuritySoftwareenelcliente deIBM y habilitaIBMEmbeddedSecuritySubsystem;noobstante,losdetallesdela instalaciónvaríanenfunción deunaserie defactores.

Instalación

en

clientes

que

ejecutan

Windows

XP

y

Windows

2000

Los usuariosdeWindowsXPy Windows2000 debeniniciarunasesióncon derechosdeadministradorparainstalarIBMClientSecuritySoftware.

Instalación

para

utilizarlo

con

Tivoli

Access

Manager

Si tieneprevisto utilizarTivoliAccessManagerparacontrolarlos requisitosde autenticación paraelsistema,debeinstalaralgunos componentesdeTivoliAccess ManagerantesdeinstalarIBMClientSecuritySoftware.Paraobtenerdetalles, consulteelmanualUtilizacióndeClientSecurityconTivoliAccessManager.

Consideraciones

sobre

las

características

de

arranque

Haydoscaracterísticas dearranquedeIBMquepuedenafectarlaformaenlaque sehabilita IBMEmbedded SecuritySubsystemyenlaquesegeneranlasclaves decifrado.Estas característicassonlacontraseñadeladministradory Seguridad ampliaday puedenaccedersedesdeelprogramaConfiguration/SetupUtilitydeun sistemadeIBM.IBMClientSecuritySoftwaretiene unacontraseñadel

administradoraparte.Paraevitarconfusiones,lacontraseñadeladministrador establecidaenelprogramaConfiguration/Setup Utilitysedenominacontraseñadel administradordelBIOSenlos manualesdeClientSecuritySoftware.

Contraseña

del

administrador

del

BIOS

LacontraseñadeladministradordelBIOSevitaquelaspersonasnoautorizadas cambienlosvaloresdeconfiguracióndeunsistemadeIBM.Estacontraseñase estableceutilizando elprogramaConfiguration/Setup UtilityenunsistemaNetVista oThinkCentreoelprogramaIBMBIOSSetupUtilityenunsistemaThinkPad. Puede accederalprogramaapropiadopulsandoF1durantelasecuenciade arranquedelsistema.EstacontraseñasedenominaAdministratorPassword (Contraseña deladministrador)enlosprogramasConfiguration/SetupUtilitye IBM BIOSSetupUtility.

Seguridad

ampliada

Seguridad ampliadaproporcionaprotecciónextra paralacontraseñadel

administradordelBIOS,asícomoparalos valoresdelasecuenciadearranque.

(24)

Puede determinarsiSeguridadampliadaestáhabilitadao inhabilitadautilizandoel programaConfiguration/Setup Utility,alqueseaccedepulsandoF1durantela secuencia dearranquedelsistema.

Paraobtenermásinformaciónsobre lascontraseñasy Seguridadampliada, consulteladocumentaciónproporcionadaconelsistema.

Seguridad ampliadaenlosmodelosNetVista6059, 6569,6579, 6649ytodos losmodelosNetVistaQ1x: Si sehaestablecidounacontraseñadel

administradorenestosmodelosNetVista(6059, 6569,6579, 6649,6646y todos los modelosQ1x),debeabrirAdministratorUtilityparahabilitarIBMEmbedded Security Subsystemygenerarlasclavesdecifrado.

Si Seguridadampliadaestáhabilitadaenestosmodelos,debeutilizarAdministrator UtilityparahabilitarIBMEmbeddedSecuritySubsystemy generarlas clavesde cifradodespuésdeinstalarIBMClient SecuritySoftware.Sielprogramade instalacióndetectaqueSeguridadampliadaestáhabilitada, selenotificaráalfinal delproceso deinstalación.Reinicieelsistemay abraAdministratorUtilitypara habilitar IBMEmbedded SecuritySubsystemygenerarlasclavesdecifrado.

Seguridad ampliadaentodoslosdemás modelosNetVista (distintosdelos modelos6059,6569, 6579,6649 ydetodoslosmodelosNetVistaQ1x): Sise haestablecidounacontraseñadeladministradorenotrosmodelosNetVista,nose lesolicitaqueescribalacontraseñadeladministradorduranteelprocesode instalación.

Si SeguridadampliadaestáhabilitadaenestosmodelosNetVista,puedeutilizarel programadeinstalaciónparainstalarelsoftware,perodebe utilizarelprograma Configuration/Setup Utilityparahabilitar IBMEmbedded SecuritySubsystem.

Después dehaberhabilitadoIBMEmbeddedSecuritySubsystem, puedeutilizar Administrator Utilityparagenerarlasclavesdecifrado.

Información

sobre

actualizaciones

del

BIOS

Antes deinstalar elsoftware,esposiblequenecesitebajarseelúltimocódigodel BIOS(sistemadeentrada/salidabásico) paraelsistema.Paradeterminarelnivel delBIOSqueutilizaelsistema,reinicieelsistemay pulseF1 parainiciarel programaConfiguration/Setup Utility.Cuando seabraelmenú principaldel

programaConfiguration/Setup Utility,seleccioneProductData(Datosdelproducto) paraverinformación sobreelcódigodelBIOS.El niveldelcódigo delBIOS también sedenominanivelderevisióndelaEEPROM.

ParaejecutarIBMClientSecuritySoftware2.1oposterior enmodelosNetVista (6059, 6569,6579, 6649),debeutilizar elniveldelBIOSxxxx22axxoposterior; paraejecutar IBMClientSecurity Software2.1o posteriorenmodelosNetVista (6790, 6792,6274, 2283),debeutilizar elniveldelBIOSxxxx20axxoposterior. Paraobtenermásinformación,consulteelarchivoREADMEincluidoconel softwarebajado.

Paraencontrarlasúltimas actualizacionesdelcódigodelBIOSparasusistema, acceda alsitioWebdeIBMenhttp://www.pc.ibm.com/support,escribabiosenel campoSearch (buscar)yseleccionedownloadsenlalistadesplegable;después pulseIntro.Se muestraunalistadelasactualizacionesdelcódigodelBIOS.Pulse elnúmerodemodelo adecuadoy sigalasinstrucciones delapáginaWeb.

(25)

Utilización

del

par

de

claves

del

administrador

para

archivar

claves

El pardeclavesdelarchivadoressimplementeunacopiadelpardeclavesdel administradorquesealmacenaenunsistemaremotoparasurestauración.Yaque paracrearelpardeclaves delarchivadorseutilizaAdministratorUtility,debe instalar IBMClientSecurity SoftwareenunclientedeIBMinicial antesdecrearel pardeclavesdeladministrador.

(26)

(27)

Capítulo

4. Instalación,

actualización

y

desinstalación

del

software

Esteapartadocontieneinstruccionesparabajar,instalary configurarIBMClient SecuritySoftware enclientesdeIBM.Esteapartadocontienetambiéninstrucciones paradesinstalar elsoftware.Asegúresedeinstalar IBMClientSecuritySoftware antesdeinstalarcualquieradelosdistintosprogramasdeutilidadqueamplíanla funcionalidad deClientSecurity.

Importante: sivaa actualizardesdeunaversión anteriora IBMClientSecurity Software5.0,debe descifrartodoslosarchivoscifrados antesdeinstalarClient SecuritySoftware 5.1o posterior.IBMClientSecuritySoftware5.1oposteriorno puededescifrarlosarchivosquefueron cifradosutilizandoversionesanterioresa Client SecuritySoftware5.0,debidoacambiosensuimplementacióndelcifradode archivos.

Cómo

bajar

e

instalar

el

software

Todoslosarchivosnecesarios paralainstalacióndeClient SecuritySoftwarese proporcionan enelsitioWebdeIBMen

http://www.pc.ibm.com/us/security/index.html.El sitioWebproporcionainformación queayudaacomprobarquesusistematiene IBMEmbedded SecuritySubsystemy quelepermiteseleccionarlaofertadeIBMClientSecurityadecuadaparasu sistema.

Parabajarselosarchivosadecuadosparasusistema,completeelprocedimiento siguiente:

1. MedianteunnavegadorWeb,accedaalsitioWebdeIBMen http://www.pc.ibm.com/us/security/index.html.

2. PulseDownloadinstructionsandlinks(Instruccionessobre descargasy enlaces).

3. Eneláreadeinformación sobredescargasdeIBMClientSecuritySoftware, pulseelbotón Continue(Continuar).

4. PulseDetectmysystem&continue(Detectarmisistemaycontinuar)o entreelnúmerodesietedígitosdelmodelodetipodemáquinaenelcampo proporcionado.

5. CreeunIDdeusuario, regístreseconIBMrellenandoelformularioenlínea y reviseelAcuerdodelicencia;despuéspulseAcceptLicence(Aceptola licencia).

SeleredirigiráautomáticamentealapáginaparabajarseIBMClientSecurity. 6. Sigalospasosdeesta páginaparabajarsetodosloscontroladoresde

dispositivonecesarios,losarchivosreadme,elsoftware,losdocumentosde referenciay losprogramasdeutilidadadicionalesqueconstituyenIBMClient SecuritySoftware.SigalasecuenciaparabajarloespecificadaenelsitioWeb. 7. EnelescritoriodeWindows,pulseInicio>Ejecutar.

8. EnelcampoEjecutar,escribad:\directory\csec53.exe,donded:\directorio\ eslaletradelaunidady eldirectoriodondeseencuentraelarchivo.

9. PulseAceptar.

SeabrelaventanaBienvenidoalAsistentedeInstallShieldparaIBMClient SecuritySoftware.

10. PulseSiguiente.

(28)

Elasistenteextraerálosarchivoseinstalaráelsoftware.Cuandosehaya completadolainstalación,seledarálaopcióndereiniciar elsistemaenese momentoohacerlomás tarde.

11. Seleccionereiniciarelsistemaahora ypulseAceptar.

ElAsistentedeinstalacióndeIBMClientSecuritySoftware seabrirá cuando sereinicie elsistema.

Utilización

de

asistente

de

instalación

de

IBM

Client

Security

Software

ElAsistentedeinstalacióndeIBMClientSecuritySoftwareproporcionaunainterfaz queayudaainstalar ClientSecuritySoftwareya habilitarelchipIBMSecurityChip incorporado. ElAsistentedeinstalacióndeIBMClientSecuritySoftware también guía alosusuariosatravésdelastareasnecesariasrelacionadasconla configuracióndeunapolíticadeseguridadenunclientedeIBM.

Estos pasossonlossiguientes:

v _{Establecimiento}_de_una_contraseña_del_{administrador}_de_seguridad

Lacontraseñadeladministradordeseguridadseutiliza paracontrolar elacceso aIBMClientSecurityAdministratorUtility,queseutilizaparacambiarlosvalores deseguridadparaestesistema.Estacontraseñadebetenerexactamenteuna longituddeochocaracteres.

v _Creación_de_las_claves_de_seguridad_del_{administrador}

Lasclavesdeseguridaddeladministradorsonunconjuntodeclaves digitales quesealmacenanenunarchivodelsistema.Estosarchivosdeclavestambién seconocencomoclavesdeladministrador,pardeclaves deladministradoro el pardeclaves delarchivador. Esaconsejablequeguardeestasclaves de seguridadvitalesenundiscoounidadextraíble.Cuandosehace uncambioen lapolíticadeseguridadenAdministratorUtility,selesolicitaráunaclavedel administradorparacomprobarqueelcambiodepolítica estáautorizado. Tambiénseguardainformacióndeseguridaddecopiadeseguridadporsi necesitaalgunavezsustituirlaplacadelsistemao launidaddediscodurodel sistema.Almaceneesta informacióndecopiadeseguridadenalgunapartefuera delsistemalocal.

v _Protección_de _aplicaciones_con_IBM _Client_Security

Seleccionelasaplicaciones quedeseaprotegerconIBMClientSecurity.Es posiblequealgunas opcionesnoesténdisponiblessinotieneinstaladas otras aplicacionesnecesarias.

v _{Autorización}_de_los_usuarios

Esnecesarioautorizara losusuariosparaquepuedanaccederalsistema. Cuandoautoriza aunusuario, debeespecificarlafrasedepasodeeseusuario. Nosepermitequelosusuariosnoautorizadosutilicenelsistema.

v _Selección_de_un_nivel _de_seguridad_del_sistema

Laseleccióndeunniveldeseguridadpermiteestablecerrápidayfácilmenteuna políticadeseguridadbásica.Puededefinirunapolíticadeseguridad

personalizadaposteriormenteenIBMClientSecurityAdministratorUtility.

ParautilizarelAsistentedeinstalacióndeIBMClientSecuritySoftware, completeel procedimientosiguiente:

1. SielAsistentenoestáabiertoya,pulseInicio>Programas>AccessIBM > IBMClientSecuritySoftware>Asistentede instalaciónde IBMClient

(29)

Lapantalla BienvenidoalAsistentedeinstalacióndeIBMClientSecurity muestraunavisióngeneraldelos pasosdelasistente.

Nota: sitieneprevisto utilizarautenticacióndehuellasdactilares,debe instalar ellectordehuellasdactilares yelsoftwareantesdecontinuar.

2. PulseSiguienteparacomenzarautilizar elasistente.

SemuestralapantallaEstablecerlacontraseñadeladministradorde seguridad.

3. EscribalacontraseñadeladministradordeseguridadenelcampoEntrela contraseñadeladministradory pulseSiguiente.

Nota: durantelainstalacióninicial odespuésdehaberborradolainformación delchip IBMSecurityChipincorporado,selesolicitaráqueconfirmela contraseñadeladministradordeseguridadenelcampoConfirmela contraseñadeladministrador.Tambiénesposible queselesoliciteque proporcionelacontraseñadelsupervisor,siesaplicable.

SemuestralapantallaCrearlas clavesdeseguridaddeladministrador. 4. Efectúeunadelasaccionessiguientes:

v _Crear_claves_de_seguridad_nuevas

Paracrearclavesdeseguridadnuevas,utiliceelprocedimientosiguiente: a. Pulse elbotón deselección Crearclavesde seguridadnuevas. b. Especifiquedóndedeseaguardarlasclaves deseguridaddel

administrador;paraelloescribaelnombredelavíadeacceso enel campoqueseproporcionaopulseExaminary seleccionelacarpeta adecuada.

c. Si deseadividirlaclavedeseguridadparaunamayorprotección,pulse elrecuadrodeselecciónDividirla clavede seguridadde copiade seguridadparamejorarla seguridadparaqueaparezcaunamarca deselecciónenélydespuésutilicelasflechasparaseleccionarel númerodeseadoenelrecuadrodedesplazamientoNúmerode divisiones.

v _Utilizar_una_clave_de_seguridad_existente

Parautilizarunaclavedeseguridadexistente,utiliceelprocedimiento siguiente:

a. Pulse elbotón deselección Utilizarunaclavede seguridadexistente. b. Especifiquelaubicacióndelaclavepública;paraelloescribaelnombre delavíadeaccesoenelcampoqueseproporcionao pulseExaminar y seleccionelacarpetaadecuada.

c. Especifique laubicacióndelaclaveprivada;paraelloescribaelnombre delavíadeaccesoenelcampoqueseproporcionao pulseExaminar y seleccionelacarpetaadecuada.

5. Especifiquedóndedeseaguardarlascopiasdeseguridaddelainformación deseguridad;paraelloescriba elnombredelavíadeaccesoenelcampo queseproporcionao pulseExaminaryseleccionelacarpetaadecuada. 6. PulseSiguiente.

SemuestralaventanaProtegerlasaplicaciones conIBMClient Security. 7. HabilitelaproteccióndeIBMClient Security;paraelloseleccionelos

recuadrosdeselecciónadecuadosparaqueaparezcaunamarcadeselección encada recuadroseleccionadoy pulseSiguiente.Lasseleccionesdisponibles deClient Securitysonlassiguientes:

(30)

v _Proteger_el_acceso_al_sistema_mediante_la_sustitución_del_inicio_de sesión deWindowsnormalpor eliniciode sesiónsegurodeClient Security

Seleccioneeste recuadroparasustituireliniciodesesión deWindows normalporeliniciodesesiónsegurodeClient Security.Estoaumentala seguridaddelsistemay permiteiniciarunasesiónsólodespuésdehaberse autenticado conelchip IBMSecurityChipincorporadoy dispositivos

opcionales,comolectores dehuellas dactilaresosmart cards. v _Habilitar_el _cifrado_de _archivos_y _carpetas

Seleccioneeste recuadrosideseaprotegerlosarchivosdelaunidadde discoduroconelchipIBMSecurityChipincorporado.Esnecesarioque bajeelprogramadeutilidadCifradodearchivosycarpetas deIBMClient Security.

v _Habilitar_el _soporte_de _IBM_Client_Security_Password_Manager Seleccioneeste recuadrosideseautilizarIBMPasswordManagerpara almacenar,deunaformacómoday segura,lascontraseñasparalosinicios desesiónensitiosWeby paralasaplicaciones.Es necesarioquebajela aplicaciónIBMClient SecurityPasswordManager.

v _Sustituir_el_inicio_de _sesión_de _Lotus_Notes_por_el _inicio_de_sesión_de IBM ClientSecurity

Seleccioneeste recuadrosideseaqueClientSecurityautentiquelos usuariosdeLotusNotesmedianteelchip IBMSecurityChipincorporado. v _Habilitar_el _soporte_de _Entrust

Seleccioneeste recuadrosideseahabilitar laintegracióncon losproductos desoftwaredeseguridaddeEntrust.

v _Proteger_Microsoft_Internet_Explorer

Estaprotecciónpermiteprotegerlascomunicacionesdecorreoelectrónico y lanavegaciónenlaWebconMicrosoftInternetExplorer(senecesitaun certificadodigital). ElsoportedeMicrosoftInternetExplorerestáhabilitado poromisión.

Despuésdehaber seleccionadolosrecuadrosdeselección adecuados,se muestralapantallaAutorizaralosusuarios.

8. CompletelapantallaAutorizaralosusuariosmedianteunodelos procedimientossiguientes:

v _Para_autorizar_a_los_usuarios_para_que_utilicen_las_funciones _de_IBM_Client Security,haga losiguiente:

a. SeleccioneunusuarioeneláreaUsuariosnoautorizados. b. Pulse Autorizarusuario.

c. Escribay confirmelafrasedepasodeIBMClientSecurityenlos campos proporcionadosypulseSiguiente.

AparecelapantallaCaducidaddelafrasedepasodeUVM.

d. Establezcalacaducidaddelafrase depaso paraelusuarioy pulse Finalizar.

e. Pulse Siguiente.

v _Para_quitar_la_{autorización}_a _los_usuarios_para_que_utilicen_las_funciones_de IBMClientSecurity,hagalosiguiente:

a. SeleccioneunusuarioeneláreaUsuariosautorizados. b. Pulse Desautorizarusuario.

(31)

d. Pulse Siguiente.

SemuestralapantallaSeleccionarelniveldeseguridaddelsistema.

9. Seleccioneunniveldeseguridaddelsistemaefectuandounadelasacciones siguientes:

v _Seleccione_los_requisitos_de_{autenticación}_deseados_pulsando_los_recuadros deselecciónadecuados.Puede seleccionarmás deunrequisitode

autenticación.El recuadrodeselección Utilizarfrasede pasodeUVM apareceseleccionado poromisión.

v _El_controlador_del_dispositivo_de_lectura_de_huellas _dactilares_y_el_del_lector desmartcardsdebenestar instaladosantesdeiniciarelAsistentede instalacióndeIBMClientSecurityparaqueestosdispositivosestén disponiblesenelAsistentedeinstalación.

v _Seleccione_un_nivel_de_seguridad_del_sistema_arrastrando_el_selector deslizante alniveldeseguridaddeseado ypulseSiguiente.

Nota: puededefinirunapolíticadeseguridadpersonalizadaposteriormente utilizandoelEditordepolítica enAdministrator Utility.

10. Reviselos valoresdeseguridady efectúeunadelasaccionessiguientes: v _Para_aceptar_los_valores,_pulse_Finalizar.

v _Para_cambiar_los_valores,_pulse_Atrás_y _haga_los_cambios_apropiados; despuésvuelvaaesta pantallaypulseFinalizar.

IBMClient SecuritySoftwareconfigurarlosvaloresmedianteelchipIBM SecurityChipincorporado. Semuestraunmensajeconfirmando queel sistemaestá protegidoahoraporIBMClient Security.

11. PulseAceptar.

Ahorapuedeinstalary configurarlosprogramasdeutilidadIBMClientSecurity PasswordManagery Cifradodearchivosy carpetasdeIBMClient Security.

Habilitación

de

IBM

Security

Subsystem

IBMSecuritySubsystemdebeestar habilitadoantesdequesepuedautilizarClient SecuritySoftware. Sinosehahabilitadoelchip,puedehabilitarloutilizando

Administrator Utility.Puedeencontrar instruccionessobrelautilizacióndelAsistente deinstalaciónenelapartadoanterior.

ParahabilitarIBMSecuritySubsystemmedianteAdministratorUtility,completeel procedimientosiguiente:

1. Pulse Inicio>Configuración>Paneldecontrol>IBMEmbeddedSecurity Subsystem.

ApareceunapantallaquemuestraunmensajeindicandoqueIBMSecurity Subsystemnosehahabilitadoy quepreguntasideseahabilitarlo.

2. Pulse Sí.

Se muestraunmensajeindicandoquesitienehabilitadaunacontraseñadel supervisoro unacontraseñadeladministradordelBIOS,debeinhabilitarlaenel programaBIOSSetupUtilityantesdecontinuar.

3. Efectúeunadelasaccionessiguientes:

v _Si_tiene _habilitada_una_contraseña_del_supervisor,_pulse_Cancelar,_inhabilite lacontraseñadelsupervisory despuéscompleteesteprocedimiento. v _Si_no_tiene_habilitada_una_contraseña_del_supervisor,_pulse_Aceptar_para

continuar.

4. Cierretodaslasaplicacionesabiertasy pulseAceptarparareiniciar elsistema.

(32)

5. Despuésdequesereinicieelsistema,pulseInicio>Configuración >Panel de control>IBM EmbeddedSecuritySubsystemparaabrirAdministrator Utility.

Se muestraunmensajeindicandoqueIBMSecuritySubsystemnoseha configurado osehaborradosuinformación.Eneste momentosenecesitauna contraseñanueva.

6. Entrey confirmeunacontraseñadeladministradornuevaenloscampos adecuados ypulseAceptar.

Nota: lacontraseñadebetenerunalongituddeochocaracteres.

Se completalaoperaciónysemuestralapantallaprincipaldeAdministrator Utility.

Instalación

del

software

en

otros

clientes

de

IBM

cuando

está

disponible

la

clave

pública

del

administrador

-

sólo

instalaciones

desatendidas

Si hainstaladoelsoftwareenelprimerclientedeIBMyhacreadounparde claves deladministrador,puedeinstalar elsoftwareyhabilitar elsubsistemade seguridadenotrosclientesdeIBMmedianteelprogramadeinstalación. Durante lainstalación,debeelegirunaubicaciónparalaclavepúblicadel

administrador,laclaveprivadadeladministradoryparaelarchivadordeclaves.Si deseautilizarunaclavepública deladministradorqueseencuentraenundirectorio compartidoo guardarelarchivadordeclaves enundirectoriocompartido,primero debe correlacionarunaletradeunidadconeldirectoriodedestino,antesdepoder utilizar elprogramadeinstalación.Paraobtenerinformaciónsobre cómo

correlacionar unaletradeunidadconunrecursoderedcompartido, consultela documentación desusistemaoperativoWindows.

Instalación

desatendida

Una instalacióndesatendidapermitealadministradorinstalarClient Security Software enunclientedeIBMremotosintenerqueirfísicamentealsistema cliente.

Antes deiniciarunainstalacióndesatendida,leaelCapítulo3, “Antesdeinstalarel software”,enlapágina13.Nosemuestraningúnmensajedeerrordurantelas instalacionesdesatendidas.Siunainstalacióndesatendidaterminadeforma prematura, debeefectuarunainstalaciónatendidaparaverlosmensajesdeerror quepudieran aparecer.

Nota: losusuariosdebeniniciarunasesión conderechosdeusuarioadministrador parainstalarClientSecuritySoftware.

Despliegue

masivo

El desplieguemasivo permitea losadministradoresdeseguridadiniciarlapolítica deseguridadenvariossistemassimultáneamente.Estofacilita lagestión y

despliegue demedidasdeseguridady ayudaagarantizarqueseimplementanlas políticasdeseguridadcorrectas.

(33)

v _El_controlador_de_dispositivo_del_bus _SM

v _El_controlador_de_dispositivo_Atmel_TPM_(para_sistemas_TCPA)

Haydospasosprincipalesparaefectuar undespliegue masivo: v _Instalación_masiva

v _{Configuración}_masiva

Instalación

masiva

Debeefectuarunainstalacióndesatendidaparainstalar IBMClientSecurity Softwareenvariosclientessimultáneamente.Debeutilizarelparámetro de instalacióndesatendidacuandoinicieundespliegue masivo.

Parainiciarunainstalaciónmasiva,completeelprocedimientosiguiente: 1. Cree elarchivo csec.ini.

El archivocsec.inisecreacuandoelusuariocompletaelAsistentede instalacióndeIBMClient Security.Estepasosóloesnecesariosidesea efectuarunaconfiguraciónmasiva.Consulte“Configuraciónmasiva” enla página24paraobtenermásdetalles.

2. ExtraigaelcontenidodelpaquetedeinstalacióndeCSSconWinziputilizando losnombres decarpeta.

3. Editelas entradasszIniPathy szDir,quesonnecesarias parauna configuraciónmasiva,enelarchivoSetup.iss.

El contenidocompletodeestearchivoselistaacontinuación.Laubicaciónde lacarpetaseestableceenelparámetroszIniPath delarchivo csec.ini.El parámetro szIniPathsóloesnecesariosideseaefectuarunaconfiguración masiva.

4. Copielos archivosenelsistemadedestino. 5. Cree lasentenciadelínea demandatos\setup-s.

Estasentenciadelíneademandatosdebeejecutarsedesdeelescritoriodeun usuarioquetenga derechosdeadministrador.Elgrupo deprogramasInicioola claveRun esunbuenlugar parahacerlo.

6. Eliminelasentenciadelíneademandatosenelsiguientearranque.

AcontinuaciónselistaelcontenidocompletodelarchivoSetup.iss conalgunas descripciones,archivoincluidoenelcontenidodelpaquetedeinstalacióndeCSS extraídomás arriba:

[InstallShieldSilent] Version=v6.00.000 File=Response File szIniPath=d:\csssetup.ini

(El parámetroanterioreselnombreylaubicacióndelarchivo.ini,queesnecesario paralaconfiguraciónmasiva.Siesunaunidaddered,debeestarcorrelacionada. Cuando nosevayaautilizarunaconfiguraciónmasiva conunainstalación silenciosa,elimine estaentrada).

[FileTransfer] OverwrittenReadOnly=NoToAll [{7BD2CFF6-B037-47D6-A76B-D941EE13AD96}-DlgOrder] Dlg0={7BD2CFF6-B037-47D6-A76B-D941EE13AD96}-SdLicense-0 Count=4 Dlg1={7BD2CFF6-B037-47D6-A76B-D941EE13AD96}-SdAskDestPath-0 Dlg2={7BD2CFF6-B037-47D6-A76B-D941EE13AD96}-SdSelectFolder-0 Dlg3={7BD2CFF6-B037-47D6-A76B-D941EE13AD96}-SdFinishReboot-0