Soluciones IBM Client Security. Utilización de Client Security Software Versión 5.3 con Tivoli Access Manager

(1)

Soluciones

IBM

®

Client

Security

Utilización

de

Client

Security

Software

Versión

5.3 con

Tivoli

®

Access

Manager

(2)

(3)

Soluciones

IBM

®

Client

Security

Utilización

de

Client

Security

Software

Versión

5.3 con

Tivoli

®

Access

Manager

(4)

Primeraedición(mayode2004)

Antesdeutilizarestainformaciónyelproductoalquedasoporte,noolvideleerelApéndiceA,“Normativasde exportacióndelosEE.UU.paraClientSecuritySoftware”,enlapágina39yelApéndiceD,“Avisosymarcas registradas”,enlapágina47.

EstemanualeslatraduccióndeloriginalinglésIBM®ClientSecuritySolutions,UsingClientSecuritySoftwareVersion 5.3withTivoli®Access.

(5)

Contenido

Prefacio

.

. v

Aquiénvadirigidaestaguía. . . v

Utilizacióndeestaguía . . . vi

ReferenciasalaGuíadeinstalacióndeClient SecuritySoftware . . . vi

ReferenciasalaGuíadeladministradordeClient SecuritySoftware . . . vi

Informaciónadicional . . . vi

Capítulo

1. Introducción

.

. 1

IBMEmbeddedSecuritySubsystem . . . 1

ElchipIBMSecurityChipincorporado . . . . 1

IBMClientSecuritySoftware. . . 2

Relaciónentrecontraseñasyclaves. . . 2

Contraseñadeladministrador . . . 2

Clavespúblicasyprivadasdehardware . . . . 3

Clavespúblicasyprivadasdeladministrador . . 4

ArchivadorESS . . . 4

Clavespúblicasyprivadasdelusuario . . . . 4

JerarquíadeintercambiodeclavesdeIBM . . . 4

CaracterísticasPKI(PublicKeyInfrastructure)deCSS 6

Capítulo

2. Instalación

del

componente

Client

Security

en

un

servidor

Tivoli

Access

Manager

.

. 9

Requisitosprevios . . . 9

CómobajareinstalarelcomponenteClientSecurity 9 AdicióndecomponentesClientSecurityenel servidorTivoliAccessManager. . . 10

Establecimientodeunaconexiónseguraentreel clientedeIBMyelservidorTivoliAccessManager . 11

Capítulo

3. Configuración

de

los

clientes

de

IBM

.

. 13

Requisitosprevios . . . 13

Definicióndelainformacióndeconfiguraciónde TivoliAccessManager. . . 13

Establecimientoyutilizacióndelacaracterísticade antememorialocal . . . 14

HabilitacióndeTivoliAccessManagerpara controlarlosobjetosdelclientedeIBM . . . 15

EdicióndeunapolíticalocaldeUVM . . . . 15

EdiciónyutilizacióndelapolíticadeUVMpara clientesremotos. . . 16

Capítulo

4. Resolución

de

problemas

17

Funcionesdeladministrador. . . 17

Autorizacióndelosusuarios . . . 17

Supresióndeusuarios. . . 17

Establecimientodeunacontraseñadel administradordelBIOS(ThinkCentre) . . . . 17

Establecimientodeunacontraseñadelsupervisor (ThinkPad) . . . 18

Proteccióndelacontraseñadeladministrador. . 19

BorradodelainformacióndeIBMEmbedded SecuritySubsystem(ThinkCentre). . . 19

BorradodelainformacióndeIBMEmbedded SecuritySubsystem(ThinkPad). . . 20

LimitacionesoproblemasconocidosdeCSSVersión 5.2 . . . 20

Limitacionesdeitinerancia . . . 20

Limitacionesdelastarjetasdeidentificaciónpor contacto . . . 22

Restauracióndelasclaves . . . 22

Nombresdeusuariolocalydedominio. . . . 22

Reinstalacióndelsoftwaredehuellasdactilares Targus . . . 23

FrasedepasodelsupervisordelBIOS . . . . 23

UtilizacióndeNetscape7.x . . . 23

Utilizacióndeundisqueteparaarchivar. . . . 23

Limitacionesdelassmartcards. . . 23

Elsímbolomás(+)apareceenlascarpetas despuésdelcifrado. . . 24

Limitacionesdelosusuarioslimitadosde WindowsXP . . . 24

Otraslimitaciones . . . 24

UtilizacióndeClientSecuritySoftwarecon sistemasoperativosWindows . . . 24

UtilizacióndeClientSecuritySoftwarecon aplicacionesdeNetscape. . . 24

CertificadodeIBMEmbeddedSecurity Subsystemylosalgoritmosdecifrado . . . . 25

UtilizacióndelaproteccióndeUVMparaunID deusuariodeLotusNotes . . . 25

LimitacionesdeUserConfigurationUtility. . . 25

LimitacionesdeTivoliAccessManager . . . . 26

Mensajesdeerror . . . 26

Tablasderesolucióndeproblemas. . . 26

Informaciónderesolucióndeproblemasde instalación. . . 27

Informaciónderesolucióndeproblemasde AdministratorUtility . . . 27

InformaciónderesolucióndeproblemasdeUser ConfigurationUtility . . . 28

Informaciónderesolucióndeproblemas específicosdeThinkPad . . . 29

Informaciónderesolucióndeproblemasde Microsoft . . . 30

Informaciónderesolucióndeproblemasde Netscape . . . 32

Informaciónderesolucióndeproblemasde certificadosdigitales . . . 34

InformaciónderesolucióndeproblemasdeTivoli AccessManager. . . 35

InformaciónderesolucióndeproblemasdeLotus Notes . . . 35

Informaciónderesolucióndeproblemasde cifrado . . . 36

Informaciónderesolucióndeproblemasde dispositivospreparadosparaUVM . . . 36

(6)

Apéndice

A. Normativas

de

exportación

de

los

EE.UU.

para

Client

Security

Software

.

. 39

Apéndice

B. Información

sobre

contraseñas

y

frases

de

paso

.

. 41

Normasparacontraseñasyfrasesdepaso . . . . 41 Normasparacontraseñasdeladministrador . . 41 NormasparafrasesdepasodeUVM. . . 41 NúmerodeintentoserróneosensistemasTCPAy noTCPA . . . 43 Restablecimientodeunafrasedepaso . . . 43

Restablecimientodeunafrasedepasodeforma remota . . . 43

Restablecimientodeunafrasedepasodeforma manual. . . 44

Apéndice

C. Normas

para

la

utilización

de

la

protección

de

UVM

para

el

inicio

de

sesión

del

sistema

.

. 45

Apéndice

D. Avisos

y

marcas

registradas

.

. 47

Avisos . . . 47 Marcasregistradas . . . 48

(7)

Prefacio

Estaguíacontieneinformaciónútilsobrelaconfiguraciónde ClientSecurity SoftwareparautilizarloconIBMTivoliAccessManager.

Estaguíaestáorganizada delaformasiguiente:

El″Capítulo1,“Introducción”″contieneunavisióngeneral delasaplicacionesy componentes incluidosenelsoftware,asícomounadescripción delas

características PKI(PublicKey Infrastructure).

El″Capítulo2,InstalacióndelcomponenteClientSecurityenunservidorTivoli AccessManager″ contienelosrequisitosprevioseinstruccionesparainstalarel soportedeClientSecurity enelservidorTivoliAccessManager.

El″Capítulo3,Configuración delosclientesde IBM″contieneinformaciónsobre losrequisitosprevioseinstruccionesparaconfigurarlosclientesdeIBM paraque utilicen losserviciosdeautenticaciónproporcionadosporTivoliAccessManager. El″Capítulo4,“Resoluciónde problemas”″contieneinformaciónútilpararesolver problemasquepodríaexperimentarmientrassigue lasinstrucciones

proporcionadasenestaguía.

El″ApéndiceA,“Normativasde exportacióndelosEE.UU.paraClientSecurity Software”″contieneinformaciónsobrelasnormativasdeexportaciónde los EE.UU.sobreestesoftware.

El″ApéndiceB,“Informaciónsobrecontraseñasyfrasesde paso”″contiene

criteriosparalasfrasesde pasoquesepuedenaplicara unafrasedepasodeUVM y normasparalas contraseñasdeladministrador.

El″ApéndiceC,“Normasparala utilizacióndelaprotección deUVMparael

iniciodesesióndelsistema”″contieneinformaciónsobrelautilizacióndela

protección deUVMparaeliniciodesesióndelsistemaoperativo. El″ApéndiceD,“Avisosymarcas registradas”″contieneavisoslegalese informacióndemarcasregistradas.

A

quién

va

dirigida

esta

guía

Estaguíavadirigidaa losadministradorescorporativosquevanautilizarTivoli AccessManagerversión 3.9paragestionarlosobjetosdeautenticación

configurados mediantelapolíticadeseguridaddeUserVerificationManager (UVM)enunclientedeIBM.

Losadministradoresdeben conocerlosconceptosyprocedimientossiguientes: v _Instalación_y_gestión_de_SecureWay_Directory_LDAP_(Lightweight_Directory

AccessProtocol)

v _{Procedimientos}_de_instalación_y _{configuración}_de_Tivoli_Access_Manager RuntimeEnvironment

v _Gestión_del_espacio_de _objetos_de _Tivoli_Access_Manager

(8)

Utilización

de

esta

guía

Utilice estaguíaparaconfigurarelsoportede ClientSecurityparautilizarlocon TivoliAccessManager.Estaguía acompañaalosmanualesGuíadeinstalaciónde Client SecuritySoftware,Guíadel administradordeClientSecuritySoftwareyGuíadel usuariodeClient SecuritySoftware.

Estaguíay lademásdocumentacióndeClient Securitypuedebajarsedesdeelsitio Webde IBMenhttp://www.pc.ibm.com/us/security/index.html.

Referencias

a

la

Guía

de

instalación

de

Client

Security

Software

Enestedocumentosehacenreferenciasa laGuíadeinstalacióndeClient Security Software.Despuésdehaberconfiguradoy puestoenmarchaelservidorTivoli AccessManagery dehaberinstaladoRuntimeEnvironmentenelcliente,utilicelas instrucciones delaGuíadeinstalacióndeClient SecuritySoftwareparainstalarClient Security SoftwareenlosclientesdeIBM.ConsulteelCapítulo3, “Configuraciónde losclientesdeIBM”,enlapágina 13paraobtenermásinformación.

Referencias

a

la

Guía

del

administrador

de

Client

Security

Software

Enestedocumentosehacenreferenciasa laGuíadeladministradordeClientSecurity Software.LaGuíadeladministradordeClientSecuritySoftwarecontieneinformación sobrecómoconfigurarlaautenticacióndeusuariosylapolíticade UVMparael cliente deIBM.DespuésdehaberinstaladoClient SecuritySoftware,utilicelaGuía del administradordeClientSecuritySoftwareparaconfigurarlaautenticaciónde usuariosylapolíticade seguridad.Consulte elCapítulo3,“Configuracióndelos clientesdeIBM”,enlapágina13paraobtenermásinformación.

Información

adicional

Puedeobtenerinformaciónadicionalyactualizacionesdeproductosdeseguridad, cuando esténdisponibles,desdeelsitioWebde IBMen

(9)

Capítulo

1. Introducción

AlgunossistemasThinkPadTMyThinkCentreTMvienenequipadosconhardware criptográficointegradoquefuncionajuntocontecnologíasde softwarequepueden bajarse paraproporcionarunaltoniveldeseguridadenunaplataformaPCcliente. Deformaconjuntaestehardwarey softwaresedenominanIBMEmbedded

Security Subsystem(ESS).ElcomponentedehardwareeselchipIBMSecurity Chipincorporadoyelcomponentede softwareesIBM ClientSecuritySoftware (CSS).

ClientSecurity SoftwareestádiseñadoparasistemasdeIBMqueutilizanelchip IBM SecurityChipincorporadoparacifrararchivosyalmacenar clavesde cifrado. Estesoftwareestáconstituidoporaplicacionesy componentesquepermiten alos sistemas clientedeIBMutilizarlascaracterísticas deseguridadparaclientesa través deunaredlocal,unacorporaciónoInternet.

IBM

Embedded

Security

Subsystem

IBM ESSsoportasolucionesdegestióndeclaves comoPKI(PublicKey Infrastructure)yconstade lasaplicacioneslocalessiguientes:

v _Cifrado_de _archivos_y _carpetas_(FFE) v _Password_Manager

v _Inicio_de_sesión_seguro_de_Windows

v _Varios_métodos_de _{autenticación}_{configurables,} _que_incluyen: – Frase depaso

– Huelladactilar – Smart Card

– Tarjeta deidentificaciónporcontacto

Parapoder utilizarlascaracterísticasdeIBM ESSdeformaefectiva,el administrador deseguridaddebeestarfamiliarizadoconalgunosconceptos básicos. Losapartadossiguientesdescribenlosconceptosde seguridadbásicos.

El

chip

IBM

Security

Chip

incorporado

IBM EmbeddedSecuritySubsystem esunatecnología dehardwarecriptográfico integrado queproporcionaunniveladicionaldeseguridadparaplataformasIBM PCseleccionadas.Conlaapariciónde estesubsistemade seguridad,losprocesos de cifradoy autenticaciónsontransferidos deunsoftwaremásvulnerableal entornosegurodeunhardwarededicado.Lamejora enlaseguridadqueesto proporcionaespalpable.

IBM EmbeddedSecuritySubsystem soporta:

v _Operaciones_PKI_RSA3,_como_cifrado_para_información_confidencial_y_firmas digitalesparaautenticación

v _Generación_de _claves_RSA

v _Generación_de _números_{seudo-aleatorios} v _Cálculo_de _funciones_RSA_en₂₀₀ _milisegundos

v _Memoria_EEPROM_para_el_{almacenamiento}_de_pares_de_claves_RSA v _Todas_las_funciones_TCPA_definidas_en_la_{especificación}_Vs._1.1

(10)

v _{Comunicación}_con_el_procesador_principal_a _través_del_bus_LPC_(Low_Pin_Count)

IBM

Client

Security

Software

IBM ClientSecuritySoftwaresecomponede lassiguientesaplicacionesy componentes desoftware:

v _{Administrator}_Utility:_se_trata_de_la_interfaz_que_utiliza_un_{administrador}_para

activarodesactivarelsubsistema deseguridadincorporadoyparacrear, archivary volvera generarlasclaves decifradoylasfrases depaso.Además, unadministradorpuedeutilizaresteprograma deutilidadparaañadir usuarios alapolíticadeseguridadproporcionadaporClientSecuritySoftware.

v _Consola_del_{administrador:}_la_Consola_del_{administrador}_de _Client_Security

Softwarepermitealadministradorconfiguraruna reddeitineranciade

credencialesparacrearyconfigurararchivosquepermiten eldesplieguey para crearuna configuracióndenoadministradory unperfilde recuperación.

v _User_{Configuration} _Utility:_permite_a_un_usuario_cliente _cambiar_la_frase_de

pasodeUVM,parahacerqueUVMreconozcalascontraseñasde iniciode sesióndeWindows,paraactualizarlosarchivadoresdeclaves ypararegistrar lashuellasdactilares.Un usuariotambiénpuedecrearcopiasdeseguridadde loscertificadosdigitalescreadosconIBMEmbedded SecuritySubsystem.

v _User_Verification_Manager_(UVM):_Client_Security_Software_utiliza_UVM_para

gestionarlasfrasesde pasoyotroselementosparaautenticarlosusuariosdel sistema.Porejemplo, UVMpuedeutilizarunlectorde huellasdactilaresparala autenticacióndeliniciode sesión.ClientSecuritySoftwarepermiteutilizarlas característicassiguientes:

– Protección depolíticadeclientedeUVM:ClientSecuritySoftwarepermitea

unadministradordeseguridadestablecer lapolíticadeseguridaddelcliente, quedefinelaformaenlaqueseautenticaunusuariocliente enelsistema. Si lapolítica indicaquesonnecesariaslashuellasdactilaresparaeliniciode sesióny elusuario notiene huellasdactilaresregistradas,seledarálaopción de registrarlashuellasdactilarescomopartedeliniciodesesión.Asimismo, siesnecesarialacomprobacióndehuellas dactilaresy nohayningúnescáner conectado,UVMinformarádeunerror.Además,sinoseharegistradola contraseñadeWindows o,seharegistradode formaincorrecta,conUVM, el usuario tendrálaoportunidaddeproporcionarlacontraseñade Windows correctacomoparte deliniciodesesión.

– Protección deinicio desesióndelsistemadeUVM:ClientSecuritySoftware

permitea unadministradorde seguridadcontrolarelaccesoalsistema medianteuna interfazdeiniciodesesión.Laprotección deUVMaseguraque sólolosusuariosreconocidosporlapolíticadeseguridadpueden accederal sistemaoperativo.

Relación

entre

contraseñas

y

claves

Lascontraseñasy lasclavestrabajanjuntas,juntoconotros dispositivosde autenticaciónopcionales,paraverificarlaidentidadde losusuariosdelsistema. Comprenderlarelaciónentrelascontraseñasylas clavesesvitalparacomprender elfuncionamientodeIBMClientSecuritySoftware.

Contraseña

del

administrador

LacontraseñadeladministradorseutilizaparaautenticaraladministradorenIBM Embedded SecuritySubsystem.Estacontraseña,quedebeteneruna longitudde

(11)

ochocaracteres,semantieney autenticadentrodeloslímitesdelhardwaredel subsistema deseguridadincorporado.Unavezautenticado,eladministrador puederealizarlasaccionessiguientes:

v _Inscribir_usuarios

v _Iniciar_la_interfaz_de_políticas

v _Cambiar_la_contraseña_del_{administrador}

Lacontraseñadeladministradorsepuedeestablecer delasformassiguientes: v _Mediante_el_Asistente_de_instalación _de_IBM _Client_Security

v _Mediante_{Administrator}_Utility v _Mediante_scripts

v _Mediante_la_interfaz_del_BIOS_(sólo_sistemas_ThinkCentre)

Es importantecontarconunaestrategiaparalacreaciónymantenimientodela contraseñadeladministrador.Lacontraseñadeladministradorsepuedecambiar si laseguridadestáenpeligroosehaolvidadolacontraseña.

Paraaquellos queestánfamiliarizadosconlosconceptosyterminologíadelTCG (Trusted ComputingGroup),lacontraseñadeladministradoreslomismoqueel valor deautorizacióndelpropietario.Comolacontraseñadeladministradorestá asociada aIBMEmbedded SecuritySubsystem,a vecestambiénsedenomina contraseña dehardware.

Claves

públicas

y

privadas

de

hardware

LapremisabásicadeIBMEmbedded SecuritySubsystemesladeproporcionar una raízdeconfianzamuyfiableenunsistemacliente.Estaraízseutilizapara proteger otrasaplicacionesyfunciones.Parte delproceso paraestablecer unaraíz de confianzaeslacreacióndeunaclavepública dehardwareyunaclaveprivada de hardware.Unaclavepúblicay unaprivada,tambiéndenominadasparde claves, estánrelacionadasmatemáticamentedetalformaque:

v _Los_datos_cifrados_con_la_clave_pública_sólo_pueden_descifrarse _con_la_clave privadacorrespondiente.

v _Los_datos_cifrados_con_la_clave_privada_sólo_pueden_descifrarse_con_la_clave públicacorrespondiente.

Laclaveprivadadehardwaresecrea,almacenayutilizadentrodeloslímites segurosdelhardwaredelsubsistema deseguridad.Laclave públicadehardware estádisponibleparavariosfines(de ahíelnombredeclavepública),peronuncase exponefueradeloslímitessegurosdelhardwaredelsubsistemadeseguridad.Las claves públicasy privadasdehardwaresonparteimportantede lajerarquíade intercambiode clavesdeIBM descritaenunapartadomásadelante.

Lasclaves públicasy privadasdehardwaresecreandelasformas siguientes: v _Mediante_el_Asistente_de_instalación _de_IBM _Client_Security

v _Mediante_{Administrator}_Utility v _Mediante_scripts

Paraaquellos queestánfamiliarizadosconlosconceptosyterminologíadelTCG (Trusted ComputingGroup),lasclavespúblicas yprivadasde hardwarese conocen comolaclaveraízdealmacenamiento(SRK).

(12)

Claves

públicas

y

privadas

del

administrador

Lasclaves públicasy privadasdeladministrador sonparteintegralde lajerarquía de intercambiodeclavesde IBM.Tambiénpermitenefectuarcopiasde seguridady restaurardatosespecíficosdelusuarioencasodeunaanomalía enlaplacadel sistemaoeneldiscoduro.

Lasclaves públicasy privadasdeladministrador puedenserexclusivasentodos lossistemaso puedensercomunesentodoslossistemasogruposdesistemas. Hay quetenerencuentaqueestas clavesdeladministradordebengestionarse,por loqueteneruna estrategiaparautilizarclaves únicasenlugardeclaves conocidas esimportante.

Lasclaves públicasy privadasdeladministrador puedencrearsedeuna delas formas siguientes:

v _Mediante_el_Asistente_de_instalación _de_IBM _Client_Security v _Mediante_{Administrator}_Utility

v _Mediante_scripts

Archivador

ESS

Lasclaves públicasy privadasdeladministrador permitenefectuarcopiasde seguridady restaurardatos específicosdelusuario encasodeuna anomalíaenla placadelsistemaoeneldiscoduro.

Claves

públicas

y

privadas

del

usuario

IBM EmbeddedSecuritySubsystem creaclavespúblicas yprivadasdelusuario paraproteger datosespecíficosdelusuario.Estosparesdeclaves secreancuando seinscribeunusuario enIBMClientSecuritySoftware. Estasclavessecreany gestionan deformatransparentemedianteelcomponenteUser Verification Manager (UVM)de IBMClientSecuritySoftware.Lasclaves segestionan

basándose enelusuariode Windowsqueinicieunasesiónenelsistemaoperativo.

Jerarquía

de

intercambio

de

claves

de

IBM

Un elementoesencialdelaarquitecturadeIBMEmbedded SecuritySubsystemes lajerarquíadeintercambiode clavesdeIBM.Labase(oraíz) delajerarquíade intercambiode clavesdeIBM laconstituyenlasclavespúblicas yprivadasde hardware.Lasclavespúblicas yprivadasde hardware,denominadaselparde clavesde hardware,soncreadasporIBMClientSecuritySoftwareyson

estadísticamente únicasencadacliente.

Elsiguiente“nivel”de claveshaciaarribaenlajerarquía(despuésdelaraíz)son las clavespúblicas yprivadasdeladministradoropardeclavesdel administrador.El par declaves deladministradorpuedeserúnicoencadamáquinao puedeserel mismo entodoslosclientesoenunsubconjuntodelosclientes.Laformade gestionar estepar declavesdependedecómodesea gestionarlared.Laclave privadadeladministradoresúnicaencuantoaqueresideenelsistemacliente (protegida porlaclave públicadehardware)enunaubicacióndefinida porel administrador.

IBM ClientSecuritySoftwareinscribea losusuariosde Windowsenelentorno Embedded SecuritySubsystem.Cuandoseinscribeunusuario,secreanlas claves públicas yprivadasde usuario(elparde clavesdeusuario)ysecreaunnuevo ″nivel″ declaves.Laclaveprivadadelusuario secifra conlaclavepúblicadel administrador.Laclaveprivadadeladministradorsecifraconlaclavepúblicade

(13)

hardware.Porlotanto,parautilizarlaclaveprivadadelusuario, debeestar

cargada enelsubsistemade seguridadlaclave privadadeladministrador(queestá cifradaconlaclavepúblicadehardware). Unavezcargadaenelchip, laclave privadade hardwaredescifralaclaveprivadadeladministrador.Laclaveprivada deladministradorestáahoralistaparautilizarsedentrodelsubsistemade

seguridadde modoquelosdatosqueestáncifradosconlaclavepúblicadel administrador correspondientepuedenintercambiarsedentrodelsubsistemade seguridad,descifrarse yutilizarse.Laclaveprivadadelusuarioactualde Windows (cifradaconlaclavepúblicadeladministrador)sepasadentrodelsubsistemade seguridad.Tambiénsepasarándentrodelchiptodoslosdatosquenecesite una aplicación queaproveche elsubsistema deseguridadincorporado,sedescifrarány seaprovecharándentrodelentornosegurodelsubsistema deseguridad.Un ejemplodeestoloconstituyeunaclaveprivadautilizadaparaautenticarunared inalámbrica.

Siempre quesenecesiteuna clave,éstaseintercambiadentrodelsubsistema de seguridad.Lasclavesprivadas cifradasseintercambiandentrodelsubsistemade seguridady despuéspuedenutilizarseenelentornoprotegidodelchip.Lasclaves privadas nosemuestranniutilizannuncafuerade esteentornodehardware.Esto permiteprotegercasiunacantidadilimitadadedatosmedianteelchipIBM Security Chipincorporado.

Lasclaves privadassecifran porquedebenestarmuyprotegidasy porquehayun espacio dealmacenamientolimitadoenIBMEmbeddedSecurity Subsystem.En cualquier momentodado,sólopuedehaberalmacenadasenelsubsistemade seguridaduna parejadeclaves.Lasclaves públicasyprivadas dehardwaresonlas únicasclavesquepermanecenalmacenadasenelsubsistemade seguridadde arranquea arranque.Paraadmitirvariasclavesy variosusuarios, CSSutilizauna jerarquíade intercambiode clavesde IBM.Siemprequesenecesiteuna clave,ésta seintercambiadentrodeIBMEmbedded SecuritySubsystem.Lasclaves privadas cifradas relacionadasseintercambiandentrodelsubsistemadeseguridady

después puedenutilizarseenelentornoprotegidodelchip.Lasclaves privadasno semuestranniutilizannuncafuerade esteentornodehardware.

Laclaveprivadadeladministradorsecifra conlaclavepúblicadehardware.La clave privadade hardware,quesóloestádisponibleenelsubsistemade seguridad, seutilizaparadescifrarlaclave privadadeladministrador.Unavezdescifradala clave privadadeladministradorenelsubsistema deseguridad,puedepasarse dentrodelsubsistemade seguridaduna claveprivadadeusuario(cifradaconla clave públicadeladministrador)y descifrarlaconlaclaveprivadadel

administrador.Puedencifrarsevariasclaves privadasdeusuarioconlaclave pública deladministrador.Estopermitequehayaprácticamenteunnúmero ilimitado deusuariosenunsistemaconIBMESS;sin embargo,serecomienda limitarlainscripcióna25usuariosporsistemaparagarantizarunrendimiento óptimo.

IBM ESSutilizaunajerarquíadeintercambiodeclaves enlaquelasclaves públicas yprivadasde hardwaredelsubsistemade seguridadseutilizanpara proteger otrosdatosalmacenadosfueradelchip. Laclaveprivadade hardwarese generaenelsubsistemadeseguridadynuncaabandonaesteentornoseguro.La clave públicadehardwareestádisponiblefueradelsubsistemadeseguridady se utilizaparacifraro protegerotroselementosde datoscomounaclaveprivada. Unavezcifradosestosdatosconlaclavepúblicadehardwaresólopuedenser descifradosporlaclaveprivadadehardware.Ya quelaclaveprivadadehardware sóloestádisponibleenelentornosegurodelsubsistemadeseguridad,losdatos cifradossólopueden descifrarseyutilizarse enestemismoentornoseguro. Es

(14)

importantetenerencuentaquecadasistematendráunaclavepública yprivadade hardwareexclusivas.Laposibilidadde númerosaleatoriosde IBMEmbedded Security Subsystemgarantizaquecadapar declaves dehardwaresea

estadísticamente único.

Características

PKI

(Public

Key

Infrastructure)

de

CSS

Client SecuritySoftwareproporcionatodosloscomponentesnecesariosparacrear una infraestructurade clavespúblicas(PKI)ensu empresa,como:

v _Control_del_{administrador}_sobre_la _política_de_seguridad_del_cliente._La

autenticacióndelosusuariosfinalesenelniveldelcliente esunacuestión importantede lapolíticadeseguridad.ClientSecuritySoftwareproporcionala interfaznecesariaparagestionarlapolíticadeseguridadde uncliente deIBM. Estainterfazformaparte delsoftwarede autenticaciónUserVerification Manager(UVM),queeselcomponenteprincipalde ClientSecuritySoftware.

v _Gestión_de_claves_de_cifrado _para_{criptografía}_de_claves_públicas._Los

administradorescreanclavesdecifradoparaelhardwaredelsistemaylos usuarioscliente conClientSecuritySoftware. Cuandosecreanclavesde cifrado, seenlazan alchipIBMSecurity Chipincorporadomedianteunajerarquíade claves,enlaqueseutilizaunaclavedehardwaredenivelbaseparacifrar las clavesqueestánsobreella,incluidaslasclaves deusuario queestánasociadas concadausuariocliente.Elcifradoy almacenamientodelasclaves enelchip IBMSecurityChipincorporadoañadeuna capaextraesencial delaseguridad delcliente,yaquelasclavesestánenlazadasde unaformaseguraalhardware delsistema.

v _Creación_y _{almacenamiento}_de_certificados_digitales_protegidos _por_el_chip

IBMSecurityChipincorporado.Cuandosesolicitauncertificadodigitalque

puedautilizarse paralafirmadigitalocifradodeunmensajedecorreo electrónico,ClientSecuritySoftwarepermiteelegirIBM EmbeddedSecurity Subsystemcomoproveedordeservicio criptográficoparalas aplicacionesque utilicenMicrosoftCryptoAPI. EstasaplicacionesincluyenInternetExplorer y MicrosoftOutlookExpress.Estoaseguraquelaclaveprivadadelcertificado digitalsecifreconlaclavepúblicade usuarioenIBMEmbedded Security Subsystem.Además,losusuariosdeNetscapepuedenelegirIBM Embedded SecuritySubsystemcomoelgeneradordeclaves privadasparaloscertificados digitalesutilizadosparaseguridad.LasaplicacionesqueutilizanPKCS#11 (Public-KeyCryptographyStandard),como NetscapeMessenger,pueden aprovecharsedelaprotecciónproporcionadaporIBMEmbedded Security Subsystem.

v _Posibilidad_de_transferir_certificados_digitales_a _IBM_Embedded_Security

Subsystem.LaHerramientadetransferenciade certificadosdeIBMClient

SecuritySoftwarepermitemoverloscertificadosquesehancreadoconelCSP deMicrosoftporomisión alCSPdeIBMEmbedded SecuritySubsystem.Esto aumentaenormementelaprotecciónofrecidaalas clavesprivadasasociadas con loscertificadosporqueéstossealmacenarándeformaseguraenIBMEmbedded SecuritySubsystem,enlugardeenunsoftwarevulnerable.

Nota: loscertificadosdigitalesprotegidos conelCSPdeIBM Embedded

SecuritySubsystem nosepuedenexportar aotroCSP.

v _Un_archivador _de_claves_y_una_solución_de_{recuperación.}_Una_función

importantede PKIeslacreacióndeunarchivadordeclaves apartirdelcualse puedenrestaurarlasclavessisepierden odañanlas originales.IBM Client SecuritySoftwareproporcionauna interfazquepermitedefinirunarchivador paralasclavesycertificados digitalescreadosconIBMEmbedded Security Subsystemyrestaurarestasclaves yloscertificadossiesnecesario.

(15)

v _Cifrado_de_archivos_y_carpetas. _El_cifrado_de_archivos_y_carpetas_permite_a_un usuarioclientecifraro descifrararchivoso carpetas.Estoproporcionaunmayor niveldeseguridaddelosdatosañadidoa lasmedidasdeseguridaddelsistema CSS.

v _{Autenticación}_de_huellas_dactilares._IBM_Client_Security _Software_soporta_el

lectordehuellasdactilaresPCcardTargusyellectordehuellas dactilaresUSB Targusparalaautenticación.DebeestarinstaladoClientSecuritySoftwareantes dequeseinstalenloscontroladoresde dispositivode huellasdactilaresde Targusparasufuncionamientocorrecto.

v _{Autenticación}_de_smart_card._IBM_Client_Security_Software_soporta

determinadassmartcards comodispositivode autenticación.ClientSecurity Softwarepermiteutilizarlassmartcardscomounaseñalde autenticaciónpara unsólousuario alavez.Cadasmartcardestáenlazadaa unsistemaa menos queseutilicelaitineranciade credenciales.Lautilizacióndeunasmartcard hacequeelsistemaseamásseguroporque estatarjeta debeproporcionarse junto conunacontraseña.

v _Itinerancia_de_{credenciales.}_La_itinerancia _de_credenciales_permite_que_un

usuarioderedautorizadoutilicecualquiersistemadelared,comosiestuviese ensu propiaestaciónde trabajo.Despuésdequeunusuariorecibaautorización parautilizarUVMencualquierclienteregistrado enClientSecuritySoftware, podráimportarsusdatospersonalesencualquier otroclienteregistradode la reddeitineranciadecredenciales.Despuéssusdatospersonalesseactualizany mantienenautomáticamenteenelarchivadordeCSS yencualquiersistemaen elquesehayanimportado.Lasactualizacionesde susdatospersonales, como certificadosnuevosocambiosdelafrasedepaso,estándisponibles

inmediatamenteentodoslosdemássistemasconectados alareddeitinerancia.

v _{Certificación}_en_FIPS _140-1._Client_Security _Software_soporta_bibliotecas

criptográficascertificadasenFIPS 140-1.LasbibliotecasRSABSAFEcertificadas enFIPS seutilizanensistemasTCPA.

v _Caducidad_de_las_frases_de_paso._Client_Security_Software_establece_una _frase_de

pasoyunapolíticade caducidaddefrasesdepasoespecífica paracadausuario cuandoésteseañadeaUVM.

(16)

(17)

Capítulo

2. Instalación

del

componente

Client

Security

en

un

servidor

Tivoli

Access

Manager

Laautenticacióndelosusuariosfinales enelniveldelclienteesunacuestión importantedelaseguridad.ClientSecuritySoftwareproporcionalainterfaz necesaria paragestionarlapolíticadeseguridaddeunclientede IBM.Esta interfazformaparte delsoftwarede autenticación,UserVerificationManager (UVM), queeselcomponenteprincipaldeClientSecuritySoftware.

Lapolíticade seguridadde UVMparaunclientedeIBM puedegestionarsededos formas:

v _Localmente,_utilizando_un_editor_de_política_que_esté_en_el_cliente_de_IBM v _En_toda_una_{corporación,}_utilizando_Tivoli_Access_Manager

Antesdepoder utilizarClientSecurityconTivoliAccessManager,debeestar instaladoelcomponenteClientSecuritydeTivoliAccessManager.Este componentepuedebajarsedelsitioWebdeIBMen

http://www.pc.ibm.com/us/security/index.html.

Requisitos

previos

Antesdepoder establecerunaconexiónentreelclientede IBMyelservidorTivoli AccessManager,deben estarinstalados loscomponentes siguientesenelclientede IBM:

v _IBM_Global_Security_Toolkit v _IBM_SecureWay_Directory_Client

v _Tivoli_Access_Manager_Runtime_Environment

Paraobtener informacióndetallada sobrelainstalación yutilizacióndeTivoli AccessManager,consulteladocumentaciónproporcionadaenelsitio Web http://www.tivoli.com/products/index/secureway_policy_dir/index.htm.

Cómo

bajar

e

instalar

el

componente

Client

Security

ElcomponenteClientSecurityestádisponibleparabajarlogratuitamentedelsitio Webde IBM.

ParabajareinstalarelcomponenteClientSecurityenelservidorTivoliAccess Manager yelcliente deIBM,completeelprocedimientosiguiente:

1. UtilizandolainformacióndelsitioWeb,compruebe sisu máquinatiene instaladoelchipIBMSecurityChipincorporado;paraellobusquesu número de modeloenlatabladerequisitosdelsistema;despuéspulseContinue

(Continuar).

2. Seleccione elbotónde selecciónquesecorresponda consu tipodemáquinay pulseContinue(Continuar).

3. CreeunIDde usuario,regístreseconIBM rellenandoelformularioenlíneay revise elAcuerdodelicencia; despuéspulseAcceptLicence(Aceptola licencia).

Seleredirigiráautomáticamentea lapáginaparabajarseClientSecurity.

(18)

4. Sigalospasos deestapáginaparainstalartodosloscontroladoresde dispositivonecesarios,losarchivosreadme,elsoftware,losdocumentosde referenciay losprogramasdeutilidadadicionales.

5. InstaleClient SecuritySoftwarecompletandoelprocedimientosiguiente: a. Enelescritoriode Windows,pulseInicio>Ejecutar.

b. EnelcampoEjecutar,escriba d:\directorio\csec50.exe,donde

d:\directorio\ eslaletradelaunidadyeldirectoriodondeseencuentrael archivo.

c. PulseAceptar.

SeabrelaventanaBienvenidoalAsistente deInstallShieldparaIBMClient SecuritySoftware.

d. PulseSiguiente.

Elasistenteextraerálosarchivose instalaráelsoftware.Cuandosehaya completadolainstalación,seledarálaopciónde reiniciarelsistemaen esemomentoo hacerlomástarde.

e. Seleccioneelbotóndeselecciónadecuadoy pulseAceptar.

6. Cuando sereinicie elsistema,enelescritoriodeWindows,pulseInicio> Ejecutar.

7. En elcampoEjecutar, escriba d:\directorio\TAMCSS.exe,donde

d:\directorio\ eslaletradelaunidadyeldirectoriodonde seencuentrael archivo, opulseExaminarparalocalizar elarchivo.

8. PulseAceptar.

9. EspecifiqueunacarpetadedestinoypulseUnzip(Descomprimir).

Elasistenteextraerálosarchivosenlacarpetaespecificada.Un mensajeindica silosarchivossehandescomprimidosatisfactoriamente.

10. PulseAceptar.

Adición

de

componentes

Client

Security

en

el

servidor

Tivoli

Access

Manager

Elprogramadeutilidadpdadminesunaherramientadelíneade mandatosqueel administrador puedeutilizarparaefectuarlamayoríadelastareasde

administraciónde TivoliAccessManager.Laejecución devariosmandatospermite aladministradorutilizarunarchivoquecontengavariosmandatosdepdadmin paraefectuar unatareacompletaouna seriedetareas.Lacomunicaciónentreel programa deutilidadyManagementServer (pdmgrd)estáprotegidasobreSSL.El programa deutilidadpdadminseinstalacomopartedelpaqueteTivoliAccess Manager RuntimeEnvironment.

Elprogramadeutilidadpdadminaceptaunargumentodenombre dearchivoque identifiquelaubicaciónde talarchivo, porejemplo:

MSDOS>pdadmin [-a <usuario-admin >][-p <contraseña >]<nombrevía-archivo > Elmandatosiguienteesunejemplodecómo crearelespaciodeobjetosIBM Solutions,lasaccionesdeClientSecurityy lasentradasACLindividualesenel servidor TivoliAccessManager:

MSDOS>pdadmin -a director_seg -p contraseña C:\TAM_Add_ClientSecurity.txt Consulte laguíaTivoliAccessManagerBaseAdministrator Guideparaobtenermás informaciónsobreelprogramade utilidadpdadminysusintaxisde mandatos.

(19)

Establecimiento

de

una

conexión

segura

entre

el

cliente

de

IBM

y

el

servidor

Tivoli

Access

Manager

ElclientedeIBM debeestablecersupropiaidentidadautenticada dentrodel dominio segurodeTivoliAccessManagerparasolicitardecisiones deautorización delServiciodeautorizacióndeTivoliAccessManager.

Sedebecrearunaidentidad exclusivaparalaaplicacióneneldominiosegurode TivoliAccessManager.Paraquelaidentidadautenticadaefectúelas

comprobacionesde autenticación,laaplicacióndebesermiembrodelgrupo remote-acl-users. Cuandolaaplicacióndeseecontactarunode losserviciosdel dominio seguro,primerodebeiniciarunasesiónenéste.

ElprogramadeutilidadsvrsslcfgpermitealasaplicacionesIBMClientSecurity comunicarseconTivoliAccessManagerManagementServer yAuthorization Server.

Elprogramadeutilidadsvrsslcfgefectúalastareassiguientes: v _Crea_una_identidad_de_usuario _para_la_aplicación._Por_ejemplo,

UsuarioDemo/NOMBRESISTPPAL

v _Crea_un_archivo _de_claves_de _SSL_para_ese_usuario._Por_ejemplo, UsuarioDemo.kdbyUsuarioDemo.sth

v _Añade_el_usuario _al_grupo _{remote-acl-users}

Senecesitan losparámetrossiguientes:

v _-f_{archivo_cfg}_:_vía_de _acceso_y_nombre _del_archivo _de_{configuración,}_utilice

TAMCSS.conf

v _-d_{dir_bdc}_:_el_directorio _que_contiene_los_archivos_de_la_base_de_datos_del

conjuntode clavesparaelservidor.

v _-n_{nombre_servidor}_:_el_nombre_de _usuario_de_Windows/UVM_real_del_usuario

quevaa serelcliente deIBM.

v _-P_{contraseña_admin}_la_contraseña_del_{administrador}_de _Tivoli_Access_Manager.

v _-s_{tipo_servidor}_:_debe_{especificarse}_como″remote″.

v _-S_{contraseña_servidor}_la_contraseña_para_el_usuario_recién_creado._Este

parámetroesnecesario.

v _-r_{núm_puerto}_establece _el_número_de _puerto_de_escucha_para_el_cliente _de_IBM.

Esteeselparámetroespecificado enlavariable depuertodelservidorSSLpara TivoliAccessManagerManagementServer deTivoliAccessManager Runtime.

v _-e_{duración_contraseña}_:_establece _el_período_de_caducidad_de _la_contraseña_en

númerodedías.

Paraestablecer unaconexiónseguraentreelclientedeIBM yelservidorTivoli AccessManager,completeelprocedimientosiguiente:

1. Creeundirectorio ymueva elarchivoTAMCSS.conf aldirectorionuevo. Por ejemplo, MSDOS> mkdir C:\TAMCSS MSDOS> move C:\TAMCSS.conf C:\TAMCSS\ 2. Ejecutesvrsslcfgparacrearelusuario.

MSDOS>svrsslcfg-config-fC:\TAMCSS\TAMCSS.conf-dC:\TAMCSS\-n <nombre_servidor>-s remote-S<contraseña_servidor>-P

<contraseña_admin>-e365 -r199

Nota: sustituya<nombre_servidor> porelnombrede usuariodeUVMyel

nombredesistemaprincipaldelqueseráelcliente deIBM.Porejemplo:

(20)

–nUsuarioDemo/MiNombreSistPpal.Elnombredesistemaprincipaldel clientedeIBM puedeaveriguarseescribiendo“hostname”enel

indicadordeMSDOS.Elprogramade utilidadsvrsslcfgcreará una entradaválida enelservidorTivoliAccessManageryproporcionará un archivodeclaves SSLexclusivoparalacomunicacióncifrada.

3. Ejecutesvrsslcfgparaañadirlaubicacióndeivacld alarchivo TAMCSS.conf. Poromisión,TivoliAccessManagerAuthorizationServerescucha enelpuerto 7136.Estopuedeverificarsemirandoelparámetrotcp_req_portenlasección ivacld delarchivo ivacld.confenelservidorTivoliAccessManager.Es importantequeobtengaelnombredesistemaprincipalcorrectode ivacld. Utilice elmandatopdadminserverlistparaobtenerestainformación.Los servidoressedenominan: <nombre_servidor>-<nombre_sistppal>.A continuaciónhayunejemplodeejecuciónde pdadminserverlist: MSDOS> pdadmin server list ivacld-MiSistPpal.ibm.com

Despuésseutilizaelmandatosiguienteparaañadiruna entradade duplicación paraelservidorivacld mostradoabajo.Seasumequeivacld escuchaenelpuerto por omisión7136.

svrsslcfg -add_replica -f <vía acceso archivo config.> -h

<nombre_sistppal> MSDOS>svrsslcfg -add_replica -f C:\TAMCSS\TAMCSS.conf -h MiSistPppal.ibm.com

(21)

Capítulo

3. Configuración

de

los

clientes

de

IBM

Antesdepoder utilizarTivoliAccessManagerparacontrolarlosobjetosde autenticaciónparalosclientesde IBM,debeconfigurarcadaclientemediante AdministratorUtility,uncomponentequeseproporcionaconClientSecurity Software. Estaseccióncontienelosrequisitospreviosylas instruccionespara configurarlosclientesde IBM.

Requisitos

previos

Asegúresede queseinstalaelsoftwaresiguienteenelclientedeIBMenelorden siguiente:

1. SistemaoperativoMicrosoftWindows soportado.PuedeutilizarTivoliAccess

ManagerparacontrolarlosrequisitosdeautenticaciónparalosclientesdeIBM quetenganWindowsXP,Windows2000o WindowsNTWorkstation4.0.

2. Client SecuritySoftwareversión3.0oposterior. Despuésde instalarel

softwarey habilitarelchipIBMSecurityChipincorporado,puedeutilizar ClientSecurityAdministratorUtilityparaconfigurarlaautenticaciónde usuariosyeditarlapolíticadeseguridaddeUVM. Paraobtenerinstrucciones completassobrelainstalacióny utilizaciónde ClientSecuritySoftware, consultelaGuíadeinstalaciónde ClientSecuritySoftwareylaGuíadel administradordeClientSecuritySoftware.

Definición

de

la

información

de

configuración

de

Tivoli

Access

Manager

DespuésdehaberinstaladoTivoliAccessManagerenelclientelocal,puededefinir lainformacióndeconfiguración deAccessManagermedianteAdministrator Utility,uncomponentedesoftwarequeseproporcionaconClientSecurity Software. Lainformacióndeconfiguración deAccessManager constadelos valoressiguientes:

v _Selección_de_la_vía_de_acceso _completa_al_archivo _de_{configuración} v _Selección_del_intervalo _de_renovación_de_la_antememoria_local

Paradefinirlainformaciónde configuraciónde TivoliAccessManagerenelcliente de IBM,completeelprocedimientosiguiente:

1. PulseInicio>Configuración>Panel decontrol>IBMEmbeddedSecurity

Subsystem.

2. Escriba lacontraseñadeladministradorypulseAceptar.

Despuésdequeentresu contraseña,seabrirálaventanaprincipalde AdministratorUtility.

3. PulseelbotónConfigurarsoportedeaplicacionesypolíticas.

Semostrará lapantallaConfiguración deaplicacionesypolíticasdeUVM. 4. PulseelrecuadrodeselecciónSustituirel iniciodesesiónestándarde

Windows coneliniciodesesiónsegurodeUVM.

5. PulseelbotónPolíticadeaplicaciones.

6. EneláreaInformacióndeconfiguración deTivoliAccessManager,seleccione lavíade accesocompletaalarchivode configuraciónTAMCSS.conf.Por ejemplo, C:\TAMCSS\TAMCSS.conf

(22)

TivoliAccessManagerdebeestarinstaladoenelclienteparaqueestaárea estédisponible.

7. PulseelbotónEditarpolítica.

Semuestra lapantallaEntrelacontraseñadeladministrador.

8. Escriba lacontraseñadeladministradorenelcampoproporcionadoypulse

Aceptar.

Semuestra lapantallaPolíticade IBMUVM.

9. Seleccione enelmenúdesplegableAccioneslasaccionesquedesea que controleTivoliAccessManager.

10. Seleccione elrecuadrodeselecciónAccessManagercontrola elobjeto seleccionado paraqueaparezca unamarcade selecciónenél.

11. PulseelbotónAplicar.

Estoscambios tendránlugarenlapróximarenovacióndelaantememoria.Si desea queloscambios tenganlugarinmediatamente,pulseelbotónRenovar

antememorialocal.

Establecimiento

y

utilización

de

la

característica

de

antememoria

local

Despuésdeseleccionarelarchivode configuracióndeTivoliAccessManager, puedeestablecerseelintervalo derenovacióndelaantememorialocal.Enelcliente de IBMsemantieneunaduplicaciónlocalde lainformacióndepolítica de

seguridadgestionadaporTivoliAccessManager.Puedeplanificaruna renovación automáticadelaantememorialocalenincrementosdemeses(0-12) odías(0-30). Paraestablecer orenovarlaantememorialocal,completeelprocedimiento siguiente:

1. PulseInicio>Configuración>Paneldecontrol>IBMEmbeddedSecurity

Subsystem.

2. Escribalacontraseñadeladministradory pulseAceptar.

SeabrelaventanaAdministratorUtility.Paraobtenerinformacióncompleta sobrelautilizacióndeAdministratorUtility,consultelaGuíadeladministradorde Client SecuritySoftware.

3. EnAdministratorUtility,pulseelbotónConfigurarsoportedeaplicacionesy

políticasy despuéspulseelbotónPolíticadeaplicaciones.

Semostrará lapantallaModificarlaconfiguración depolíticasde Client Security.

4. Efectúeunade lasaccionessiguientes:

v _Para_renovar_la_antememoria_local_ahora,_pulse_Renovar_antememoria_local_. v _Para_establecer _la_cadencia_de_renovación_automática,_escriba_el_número_de

meses (0-12)ydías (0-30)enloscamposproporcionadosypulseRenovar

antememorialocal.Serenovarálaantememorialocalyseactualizarála

fechade caducidaddelarchivo paraindicarlafechaenlaqueseefectuarála próximarenovaciónautomática.

(23)

Habilitación

de

Tivoli

Access

Manager

para

controlar

los

objetos

del

cliente

de

IBM

Lapolíticade UVMsecontrolamedianteunarchivo depolíticasglobales.El archivo depolíticasglobales,llamadoarchivo depolíticasde UVM,contiene requisitosdeautenticaciónparaaccionesqueseefectúanenelsistemaclientede IBM,como iniciaruna sesiónenelsistema,quitarelprotector depantallaofirmar losmensajesde correoelectrónico.

Antesdepoder habilitarTivoliAccessManagerparacontrolarlosobjetosde autenticaciónparaunclientedeIBM,utiliceeleditordepolítica deUVMpara editarelarchivode políticasdeUVM. Eleditordepolíticade UVMformapartede AdministratorUtility.

Importante: sisehabilitaTivoliAccessManagerparaquecontroleunobjeto,seda

elcontroldelobjetoalespaciode objetosdeTivoliAccessManager.Silohace, deberá reinstalarClientSecuritySoftwareparavolvera establecerelcontrollocal sobreeseobjeto.

Edición

de

una

política

local

de

UVM

Antesdeintentar editarlapolíticade UVMparaelclientelocal,asegúresede que hayinscritoalmenosunusuario enUVM.Delocontrario,semostraráunmensaje de errorcuandoeleditordepolíticaintenteabrirelarchivodepolíticaslocales. Cuando seeditalapolíticalocaldeUVMsóloseutilizaenelclienteparaelquese ha editado.SihainstaladoClientSecurityensuubicaciónporomisión,lapolítica localde UVMestáalmacenadacomo \Archivosde

programa\IBM\Security\UVM_Policy\globalpolicy.gvm.Sólolosusuariosquese hayanañadido aUVMpuedenutilizareleditordepolíticade UVM.

Nota: siestablecequelapolítica deUVMnecesitehuellasdactilaresparauna

objetodeautenticación(comoeliniciodesesióndelsistemaoperativo),los usuariosqueseañadanaUVMdebentenerregistradassushuellas

dactilaresparautilizareseobjeto.

Parainiciareleditorde políticadeUVM,completeelprocedimientosiguientede AdministratorUtility:

1. PulseelbotónConfigurarsoportedeaplicacionesypolíticasydespués pulse elbotónPolíticadeaplicaciones.

Semostrará lapantallaModificarlaconfiguración depolíticasde Client Security.

2. PulseelbotónEditarpolítica.

SemuestralapantallaEntrelacontraseñadeladministrador.

3. Escribalacontraseñadeladministradorenelcampoproporcionado ypulse

Aceptar.

SemuestralapantallaPolíticadeIBM UVM.

4. EnlapestañaSeleccióndeobjetos,pulseAcción oTipodeobjetoy seleccione elobjetoalquedeseaasignarrequisitosdeautenticación.

Entrelosejemplosde accionesválidasseincluyen Iniciodesesióndelsistema, Desbloqueodelsistema,Descifradodecorreoelectrónico;unejemplodeun tipo deobjetoesObteneruncertificadodigital.

(24)

5. Paracadaobjetoqueseleccione,tienequeseleccionarTivoliAccessManager

controlaelobjeto seleccionadoparahabilitarTivoliAccessManagerparaese

objeto.

Importante:sisehabilitaTivoliAccessManagerparaquecontroleunobjeto,se

daelcontroldelobjetoalespacio deobjetosde TivoliAccessManager.Si posteriormentedesea volveraestablecer elcontrollocalsobreeseobjeto, deberáreinstalar ClientSecuritySoftware.

Nota: mientraseditalapolíticadeUVM,puedeverinformaciónsobreel

resumendepolíticaspulsandoResumendepolíticas. 6. PulseAplicarparaguardarloscambios.

7. PulseAceptarparasalir.

Edición

y

utilización

de

la

política

de

UVM

para

clientes

remotos

ParautilizarlapolíticadeUVMenvariosclientesde IBM,editey guardela política deUVMparaclientesremotosydespuéscopieelarchivode políticasde UVMenotrosclientesdeIBM.SiinstalaClientSecurityenlaubicaciónpor omisión, sealmacenaráelarchivo depolíticasdeUVMcomo\Archivosde programa\IBM\Security\UVM_Policy\remote\globalpolicy.gvm.

Copie losarchivossiguientesenlosotrosclientesdeIBMremotosquevayan a utilizarestapolíticade UVM:

v _{\IBM\Security\UVM_Policy\remote\globalpolicy.gvm} v _{\IBM\Security\UVM_Policy\remote\globalpolicy.gvm.sig}

Si hainstaladoClientSecuritySoftwareenlaubicaciónporomisión,eldirectorio raíz delasvíasdeaccesoanterioreses\Archivosdeprograma.Copieambos archivosenlavíadeacceso deldirectorio\IBM\Security\UVM_Policy\delos clientesremotos.

(25)

Capítulo

4. Resolución

de

problemas

Elapartadosiguiente presentainformaciónqueesútilparaprevenir oidentificary corregir problemasquepodríansurgirmientrasseutilizaClientSecuritySoftware.

Funciones

del

administrador

Esteapartadocontieneinformaciónqueunadministradorpodríaencontrarútilala hora deconfigurary utilizarClientSecuritySoftware.

IBM ClientSecuritySoftwaresólopuedeutilizarseensistemasIBM quecontengan IBM EmbeddedSecuritySubsystem.Estesoftwareconstade aplicacionesy

componentes quepermiten alosclientesde IBMprotegersu información

confidencialmediantehardwaredeseguridadenlugardemediante software,más vulnerable.

Autorización

de

los

usuarios

Antesdeproteger lainformaciónde usuarioscliente,IBM ClientSecuritySoftware

debe estarinstaladoenelclienteylosusuariosdebenestarautorizadospara utilizarelsoftware.UnAsistente deinstalación defácilusoleguiaráentodo el proceso deinstalación.

Importante: almenosunusuarioclientedebe estarautorizadoparautilizarUVM

durante lainstalación.Sinoseautorizaa ningúnusuario parautilizarUVMal configurarinicialmenteClientSecurity Software,noseaplicaránsusvaloresde seguridady lainformaciónno seprotegerá.

Si haterminadoelAsistentede instalaciónsinautorizara ningúnusuario, concluya yreinicieelsistema;a continuaciónejecuteelclienteAsistentede instalación deClientSecuritydesdeelmenúIniciode Windowsyautoriceaun usuario deWindowsparaqueutiliceUVM.DeestaformapermiteaIBM Client Security Softwareaplicarlosvaloresdeseguridadyproteger suinformación confidencial.

Supresión

de

usuarios

Cuando suprimeunusuario,elnombredelusuariosesuprimede lalistade usuariosenAdministratorUtility.

Establecimiento

de

una

contraseña

del

administrador

del

BIOS

(ThinkCentre)

Losvaloresdeseguridadqueestándisponiblesenelprograma

Configuration/SetupUtilitypermitena losadministradoreshacerlosiguiente: v _Habilitar_o_inhabilitar_IBM _Embedded_Security_Subsystem

v _Borrar_la_información_de_IBM_Embedded _Security_Subsystem

Atención:

v _Cuando_se_borra_la_información_de_IBM_Embedded _Security_Subsystem,_se pierdentodaslasclavesde cifradoy loscertificadosalmacenadosenel subsistema.

(26)

Ya queseaccedealosvaloresdeseguridadmedianteelprograma Configuration/SetupUtilitydelsistema,establezcauna contraseñadel

administrador paraimpedir quelosusuariosnoautorizados cambienestosvalores. Paraestablecer unacontraseñadeladministradordelBIOS:

1. Concluyay reinicieelsistema.

2. Cuandoaparezca enpantallaelindicadordelprograma Configuration/Setup Utility,pulseF1.

SeabreelmenúprincipaldelprogramaConfiguration/SetupUtility. 3. SeleccioneSystemSecurity(Seguridaddelsistema).

4. SeleccioneAdministrator Password(Contraseña deladministrador). 5. Escribalacontraseñaypulselaflechaabajoenelteclado.

6. Vuelvaa escribirlacontraseñaypulselaflechaabajo.

7. SeleccioneChange Administratorpassword(Cambiarlacontraseñadel administrador)y pulseIntro; despuéspulseIntrodenuevo.

8. PulseEsc parasalir yguardarlosvalores.

Despuésdeestablecer unacontraseñadeladministradordelBIOS,selesolicitará cadavezqueintenteaccederalprogramaConfiguration/SetupUtility.

Importante: conserveunregistrode lacontraseñadeladministradordelBIOSen

unlugarseguro. SipierdeuolvidalacontraseñadeladministradordelBIOS,no podráaccederalprogramaConfiguration/SetupUtilityynopodrácambiaro suprimir lacontraseñadeladministradordelBIOSsinextraer lacubiertadel sistemay moverunpuenteenlaplacadelsistema.Consulteladocumentacióndel hardwareincluidaconelsistemaparaobtenermásinformación.

Establecimiento

de

una

contraseña

del

supervisor

(ThinkPad)

LosvaloresdeseguridadqueestándisponiblesenelprogramaIBMBIOSSetup Utilitypermiten alosadministradoresefectuar lastareassiguientes:

v _Habilitar_o_inhabilitar_IBM _Embedded_Security_Subsystem v _Borrar_la_información_de_IBM_Embedded _Security_Subsystem

Atención:

v _Es_necesario_inhabilitar_{temporalmente}_la_contraseña_del_supervisor_en_algunos modelosde ThinkPadantesdeinstalaroactualizarClientSecuritySoftware. DespuésdeconfigurarClientSecuritySoftware, establezcaunacontraseñadel supervisorparaimpedirquelosusuariosnoautorizados cambienestosvalores. Paraestablecer unacontraseñadelsupervisor,completeunodelosprocedimientos siguientes:

Ejemplo 1

2. Cuandoaparezca enpantallaelindicadordelprograma SetupUtility,pulseF1. SeabreelmenúprincipaldelprogramaSetupUtility.

3. SeleccionePassword(Contraseña).

4. SeleccioneSupervisorPassword(Contraseñadelsupervisor). 5. EscribalacontraseñaypulseIntro.

(27)

7. PulseContinue(Continuar). 8. PulseF10paraguardarysalir.

Ejemplo 2

1. Concluya yreinicieelsistema.

2. Cuando aparezcaelmensaje″Tointerruptnormalstartup,presstheblue AccessIBM button″ (Parainterrumpirelarranquenormal,pulseelbotón AccessIBM azul),pulseelbotónAccessIBM azul.

SeabreAccessIBM PredesktopArea.

3. Efectúeuna doblepulsaciónenStartsetuputility (Iniciarprograma de utilidaddeconfiguración).

4. Seleccione Security(Seguridad) utilizandolasteclasdireccionalespara desplazarsehaciaabajoporelmenú.

5. Seleccione Password(Contraseña).

6. Seleccione SupervisorPassword(Contraseña delsupervisor). 7. Escriba lacontraseñaypulseIntro.

8. Escriba lacontraseñadenuevoypulseIntro. 9. PulseContinue(Continuar).

10. PulseF10 paraguardarysalir.

Despuésdeestablecer unacontraseñadelsupervisor,selesolicitarácadavezque intenteaccederalprogramaBIOSSetupUtility.

Importante: conserveunregistrode lacontraseñadelsupervisorenunlugar

seguro. Sipierdeuolvidalacontraseñadelsupervisor, nopodráaccederal programa IBMBIOSSetupUtilityy nopodrácambiar osuprimirlacontraseña. Consulte ladocumentacióndelhardwareincluidaconelsistemaparaobtenermás información.

Protección

de

la

contraseña

del

administrador

Lacontraseñadeladministradorprotege elacceso aAdministratorUtility.Proteja lacontraseñadeladministrador paraimpedirquelosusuariosnoautorizados cambienvaloresenAdministratorUtility.

Borrado

de

la

información

de

IBM

Embedded

Security

Subsystem

(ThinkCentre)

Si deseaborrartodaslasclavesdecifradodelusuariodeIBM EmbeddedSecurity Subsystem yborrarlacontraseñadeladministradorparaelsubsistema,debe borrarlainformacióndelchip. Lealainformaciónquesedetallaacontinuación antesdeborrarlainformaciónde IBMEmbeddedSecurity Subsystem.

Atención:

ParaborrarlainformacióndeIBMEmbedded SecuritySubsystem,completeel procedimientosiguiente:

(28)

3. SeleccioneSecurity(Seguridad).

4. SeleccioneIBMTCPAFeatureSetup(Configuraciónde lafunciónIBMTCPA). 5. SeleccioneClearIBMTCPASecurityFeature(Borrarlafuncióndeseguridad

IBMTCPA) ypulseIntro. 6. SeleccioneYes(Sí).

7. PulseF10y seleccioneYes(Sí). 8. PulseIntro.Sereiniciaráelsistema.

Borrado

de

la

información

de

IBM

Embedded

Security

Subsystem

(ThinkPad)

Si deseaborrartodaslasclavesde cifradodelusuariodeIBM EmbeddedSecurity Subsystem yborrarlacontraseñadeladministrador,debeborrarlainformacióndel subsistema. Lealainformaciónquesedetallaacontinuaciónantesdeborrarla informacióndeIBM EmbeddedSecuritySubsystem.

Atención:

ParaborrarlainformacióndeIBMEmbedded SecuritySubsystem,completeel procedimientosiguiente:

1. Concluyaelsistema.

2. PulseymantengapulsadalateclaFncuandosereiniciaelsistema.

4. SeleccioneConfig (Configurar). 5. SeleccioneIBMSecurityChip.

6. SeleccioneClearIBMSecurityChip(BorrarelchipIBMSecurityChip). 7. SeleccioneYes(Sí).

8. PulseIntro paracontinuar. 9. PulseF10paraguardary salir.

Limitaciones

o

problemas

conocidos

de

CSS

Versión

5.2

Lainformaciónsiguientepuedeserdeayuda cuandoutilicelascaracterísticasde Client SecuritySoftwareVersión5.2.

Limitaciones

de

itinerancia

Utilización

de

un

servidor

de

itinerancia

CSS

ElmensajedesolicituddecontraseñadeladministradordeCSSaparecerásiempre quealguienintenteiniciarlasesiónenelservidor deitineranciaCSS.Noobstante, sepuedeutilizarelsistemaconnormalidadsinentrarestacontraseña.

Utilización

de

IBM

Security

Password

Manager

en

un

entorno

de

itinerancia

LascontraseñasalmacenadasenunsistemaqueutiliceIBM ClientSecurity PasswordManagersepuedenutilizarenotrossistemasdentrodelentornode itinerancia.Lasnuevasentradas serecuperanautomáticamentedelarchivador cuando elusuarioinicialasesiónenotrosistema(sielarchivadorestádisponible)

(29)

de laredde itinerancia.Portanto,siunusuarioyahainiciadolasesiónenun sistema,debecerrarlasesióneiniciarlasesiónde nuevoantesdequeestén disponibles nuevasentradasenlareddeitinerancia.

Retardo

de

renovación

de

certificado

e

itinerancia

de

Internet

Explorer

LoscertificadosdeInternet Explorerserenuevanenelarchivadorcada20 segundos.Si unusuario deitineranciageneraunnuevocertificadodeInternet Explorer,elusuariodebeesperaralmenos20segundosantesdeimportar, restaurarocambiar suconfiguración deCSSenotrosistema.Si seintentaalguna de estasaccionesantesdelintervaloderenovaciónde20segundos,seperderáel certificado.Además,sielusuario noestabaconectadoalarchivadoralgenerarel certificado, deberáesperar20segundosdespuésde conectarsealarchivadorpara asegurarse dequeseactualizaelcertificadoenelarchivador.

Contraseña

de

Lotus

Notes

e

itinerancia

de

credenciales

Si estáhabilitado elsoportedeLotusNotes,UVMalmacenarálacontraseñade los usuariosdeLotusNotes.Losusuariosnonecesitaránentrarsucontraseñade NotesparainiciarlasesióndeLotusNotes.Selespedirásu frasedepaso,huellas dactilares, smartcard,etc. deUVM(dependiendode losvaloresdepolítica de seguridad)paraaccedera LotusNotes.

Si unusuario cambiasucontraseñadeNotesdesdeLotusNotes,elIDdearchivo de LotusNotesseactualizaconlanuevacontraseña,y tambiénseactualizala copiadeUVMdelanuevacontraseñade Notes.Enunentornodeitinerancia,las credencialesde usuariodeUVMestarándisponiblesenotrossistemasdelaredde itineranciaa losqueelusuariopuedeacceder.Es posiblequelacopiadeUVMde lacontraseñadeNotesnocoincidaconlacontraseñade Notesdelarchivo deID de otrossistemasdelareddeitineranciasielarchivodeIDdeNotesconla contraseñaactualizadanoestátampocodisponibleenelotrosistema.Siesto ocurre, elusuario nopodráaccedera LotusNotes.

Si elarchivo deIDde unusuariodeNotesconlacontraseñaactualizadatampoco estádisponibleenotrosistema,elIDdearchivode Notesactualizadodebe

copiarsea losotrossistemasdelareddeitinerancia demodoquelacontraseñadel archivo deIDcoincidaconlacopiaalmacenadaporUVM. Deformaalternativa, losusuariospuedenejecutarModificarlosvaloresdeseguridadenelmenúInicio y cambiarlacontraseñade Notesasu antiguovalor.Acontinuaciónsepuede actualizar lacontraseñadeNotesmedianteLotusNotes.

Disponibilidad

de

credenciales

en

el

inicio

de

sesión

en

un

entorno

de

itinerancia

Cuando unarchivadorseencuentraenunrecursoderedcompartido,sedescargan delarchivadorlosúltimosconjuntosde credencialesdeusuariotanprontocomoel usuario tieneaccesoalarchivador.Aliniciarlasesión,losusuariosaúnnotienen acceso alrecursoderedcompartido,demodoqueesposiblequenosedescarguen las últimascredencialeshastaquesecompleteeliniciodesesión.Porejemplo,sise cambió lafrasede pasodeUVMenotrosistemadelareddeitinerancia,ose registraronnuevashuellas dactilaresenotrosistema,esas actualizacionesno estarándisponibles hastaqueelprocesoestécompleto. Sinoestándisponibleslas credencialesactualizadas,losusuariosdebenprobar lafrasede pasoanterioru otrashuellas dactilaresregistradasparainiciarlasesiónenelsistema.Unavez completado eliniciodesesión,lascredencialesactualizadasdelusuarioestarán disponibles ylafrasedepasoylashuellas dactilaresseregistraránconUVM.