Guía de despliegue de IBM Client Security Software Versión 5.30

(1)

Guía

de

despliegue

de

IBM

Client

Security

Software

Versión

5.30

(2)

(3)

Prefacio

Losadministradoresde TIdebenconocer yplanificarnumerososfactorescuando desplieganIBM ClientSecuritySoftware.Estaguíanopretendeexplicarcómo utilizarEmbedded SecuritySubsystem.Másbiensetratadeunaguíasobrecómo desplegarelsoftwareensistemasequipadosconelchipIBMSecurityChip incorporadoenunaempresa.

Público

objetivo

Estaguíavadirigidaa administradoresdeTI oaaquellaspersonasresponsables deldesplieguedeIBM ClientSecuritySoftwareVersión5.3(CSS)enlossistemas de suorganización.Elobjetivodelaguíaesproporcionarlainformaciónnecesaria paralainstalación deIBMClientSecuritySoftwareenunoovariossistemas.IBM proporcionalosmanualesGuíadelusuarioy Guíadeladministradorde Client Security Software,asícomolaayuda delaaplicacióndeClientSecuritySoftware, enlaquepuedebuscarinformaciónsobreelusodelaaplicaciónensí.

Publicaciones

del

producto

Losdocumentos siguientesestádisponiblesenlabibliotecadeClientSecurity SoftwareVersión5.3:

v _Guía_del_{administrador}_de_Client_Security_Software_Versión_5.3

Proporcionainformaciónsobrelaconfiguracióny utilizaciónde las característicasdeseguridadproporcionadasconClientSecuritySoftware. v _Guía_del_usuario_de_Client_Security_Software_Versión_5.3

ContieneinformaciónsobrecómoefectuartareasdeClientSecurity Software, comolautilizaciónde laproteccióndeiniciodesesióndeUVM, la

configuracióndelprotectorde pantallade ClientSecurity,lacreaciónde un certificadodigitaly lautilizacióndeUser ConfigurationUtility.

v _Guía_de_instalación_de_Client_Security_Software_Versión_5.3

Contieneinformaciónsobrelainstalación deClientSecuritySoftwareenIBM sistemasenredconchipsIBMSecurity Chipincorporados.

v _Utilización_de _Client_Security_Software_Versión_5.3_con_Tivoli_Access_Manager ContieneinformaciónútilsobrecómoconfigurarClientSecuritySoftwarepara utilizarloconTivoliAccessManager.

Información

adicional

Puedeobtenerinformaciónadicionalyactualizacionesdeproductosdeseguridad, cuando esténdisponibles,desdeelsitioWebde IBM,en

(4)

(5)

Contenido

Prefacio

.

. iii

Públicoobjetivo . . . iii

Publicacionesdelproducto . . . iii

Informaciónadicional . . . iii

Capítulo

1. Consideraciones

antes

de

desplegar

IBM

Client

Security

Software

. 1

Requisitosyespecificacionesdedistribución. . . . 1

Capítulo

2. Cómo

funciona

el

chip

IBM

Security

Chip

incorporado

.

. 3

Jerarquíadeintercambiodeclaves . . . 5

¿Porquéelintercambiodeclaves? . . . 6

Capítulo

3. Consideraciones

clave

para

archivar

.

. 7

¿Porquéunpardeclavesdeladministrador?. . . 10

Capítulo

4. IBM

Client

Security

Software

.

. 21

Inscripcióndeusuariosygestióndelas inscripciones . . . 21

Necesidaddeunafrasedepaso . . . 22

Configuracióndeunafrasedepaso . . . 22

Utilizacióndeunafrasedepaso . . . 23

InicializacióndeTPM . . . 26

Recomendaciones . . . 27

Inicializacióndelusuario. . . 28

Inicializaciónpersonal. . . 29

Escenariosdedespliegue. . . 30

Instalacióneinicialización . . . 35

Capítulo

5. Instalación

del

componente

Client

Security

en

un

servidor

Tivoli

Access

Manager

.

. 43

Requisitosprevios . . . 43

CómobajareinstalarelcomponenteClientSecurity 43 AdicióndecomponentesClientSecurityenel servidorTivoliAccessManager. . . 44

Establecimientodeunaconexiónseguraentreel clientedeIBMyelservidorTivoliAccessManager . 45 ConfiguracióndelosclientesdeIBM. . . 46

Requisitosprevios . . . 46

Definicióndelainformacióndeconfiguraciónde TivoliAccessManager. . . 47

Establecimientoyutilizacióndelacaracterística deantememorialocal . . . 47

HabilitacióndeTivoliAccessManagerpara controlarlosobjetosdelclientedeIBM . . . . 48

Tablasderesolucióndeproblemas. . . 49

Informaciónderesolucióndeproblemasde certificadosdigitales . . . 50

InformaciónderesolucióndeproblemasdeTivoli AccessManager. . . 50

InformaciónderesolucióndeproblemasdeLotus Notes . . . 51

Informaciónderesolucióndeproblemasde cifrado . . . 51

Capítulo

6. Instalación

de

dispositivos

de

hardware

de

otros

fabricantes

como

complemento

de

IBM

Client

Security

Software

.

. 53

Capítulo

7. Despliegue

remoto

de

archivos

de

políticas

de

seguridad

nuevos

o

revisados

.

. 55

Apéndice.

Avisos

.

. 57

SitiosWebnoIBM . . . 58

(6)

(7)

Capítulo

1. Consideraciones

antes

de

desplegar

IBM

Client

Security

Software

Existen variasformasdedesplegarIBMClientSecurity Software(CSS),queutiliza elhardwareIBMEmbeddedSecurity Subsystem(ESS)integradoensistemas personalesIBM.Estedocumentoleayudaráa determinarcómodistribuirESSen su entorno.Es importanteconocer elproceso queutilizasuempresaparadistribuir lossistemas,desdelacreacióndelaimagenhastalaformaenqueelPCseentrega alusuario final.Esteprocesoinfluiráenormementeenlaformaenquesu empresa distribuyeESS.IBMESSestácompuestofundamentalmente dedospartes,comose muestraenlaFigura1:

1. ClientSecuritySoftware

2. ChipIBMSecurityChipincorporado

Requisitos

y

especificaciones

de

distribución

Si tieneprevistoinstalarIBM ClientSecuritySoftwareensistemas queestén equipadosconelchipIBM SecurityChipincorporado, cuenteconlossiguientes requisitosdealmacenamientoy bajadadelservidoryenlostiemposde instalación: 1. IBMPCconEmbeddedSecurityChip

2. Requisitosdealmacenamientoenelservidorparacódigoinstalable: aproximadamente12MB

3. Promedioderequisitosdealmacenamientoporusuario paralosdatosdel archivo declaves:200KBpor usuarioyparaalmacenamientodelarchivador Figura1.ComponentesdeIBMClientSecuritySystem

(8)

(9)

Capítulo

2. Cómo

funciona

el

chip

IBM

Security

Chip

incorporado

ElchipIBMSecurityChipincorporadoestárepresentadográficamenteenla Figura2.Existentrescomponentesprincipales:

1. Contraseña deladministrador 2. Clavepúblicade hardware 3. Claveprivadadehardware

Lasclaves públicayprivadadehardwaresonúnicasencadasistema.Laclave privadade hardwarenuncasepuedeextraerdelchip.Sepuedegenerarparesde claves delassiguientesformas:

v _Mediante_el_asistente _de_Client_Security_Software v _Mediante_{Administrator}_Utility

v _Mediante_scripts

Tenga encuentaquelasclaves dehardwarenosepuedenextraer delchip. Eladministradorutilizalacontraseñadeladministradorparaaccederalas funciones siguientes,incluidas:

v _Adición_de_usuarios

v _{Establecimiento}_de_políticas_de_seguridad v _{Establecimiento}_de_políticas_de_frases_de_paso Figura2.DatoscontenidosenelchipIBMSecurityChipincorporado

(10)

v _Inscripción_de_smart_cards

v _Inscripción_de_dispositivos_biométricos

Por ejemplo,unadministradorpuedenecesitarpermitirqueunusuarioaproveche las ventajasdelascaracterísticas yfuncionesdelchipIBM SecurityChip

incorporado. Lacontraseñadeladministradorseestablece cuandoseinstalaClient Security Software.Losdetallessobrecómoy cuándoseestablecenlas contraseñas deladministrador,setratan másadelanteenestedocumento.

Importante: desarrolleuna estrategiademantenimientodelascontraseñasdel administrador,quedebenestablecersecuandoseconfiguraESSporprimeravez. Es posiblequecadasistemaconchipIBMSecurityChipincorporadotengala mismacontraseñadeladministrador,sieladministradorde TIoeladministrador de seguridadasílodetermina.Alternativamente, cadadepartamento oedificio puedetenerasignadounacontraseñadeladministradordiferente.

LosotroscomponentesdelchipIBMSecurityChipincorporadosonlaclave pública dehardwareylaclaveprivadadehardware.Esteparde clavesRSAse generacuandoseconfiguraClient SecuritySoftware.

Cadasistematendráunaclave públicadehardwareúnicayunaclave privada única.Laposibilidaddenúmeros aleatoriosdelchipIBM SecurityChip incorporadogarantizaquecadapardeclaves dehardwareesestadísticamente único.

LaFigura3 enlapágina 5describedoscomponentesadicionalesdelchipIBM Security Chipincorporado. Conocerestosdoscomponentesesfundamentalpara una gestióneficazdelainfraestructurade IBMEmbeddedSecurity Subsystem.La Figura3enlapágina5 muestralasclavespúblicay privadadeladministradorasí como lasclavespúblicay privadadelusuario.Acontinuaciónhayunresumende las clavespúblicay privada.

v _Las_claves_pública_y_privada_se_consideran_un″par_declaves″.

v _Las_claves_privada_y_pública_están_relacionadas_{matemáticamente}_de_tal_forma que:

– Cualquier cosacifradaconlaclavepúblicasólopuededescifrarse conlaclave privada.

– Cualquier cosacifradaconlaclaveprivadasólopuededescifrarse conla clavepública.

– Conocer laclaveprivadanolepermiteobtenerlaclavepública. – Conocer laclavepúblicanolepermiteobtenerlaclaveprivada. – Generalmente,laclavepúblicaestádisponibleparatodos. v _La_clave_privada_debe_protegerse_{enérgicamente.}

v _Las_claves_pública_y_privada_son _las_bases_para_la_{infraestructura}_de_claves públicas(PKI).

(11)

Jerarquía

de

intercambio

de

claves

Parte delaarquitecturadeIBM ESSeslajerarquíade″intercambiodeclaves″.Los detallesprecisosdesu funcionamientosetrataránenlaGuíadeladministrador; sin embargo,introducimosaquíelconceptoyaqueseaplicaa laconfiguración, desplieguey gestiónmasivas.EnlaFigura3,puedeverlas clavespúblicay privadade hardware.Comosemencionabaanteriormente,estas clavessoncreadas porClient SecuritySoftwarey sonestadísticamenteúnicasencadacliente.Sobreel chipIBMEmbedded Securityincorporadopuedeverelpar declavespúblicay Figura3.Variascapasdecifradoproporcionanunafuerteseguridad

(12)

privadadeladministrador.Elpar declavespúblicay privadadeladministrador puedeserúnicoentodoslossistemasopuedeser elmismo entodoslosclienteso subconjunto declientes. Lasventajasydesventajassetrataránmásadelanteeneste documento.Lasclaves públicayprivadadeladministradorhacenlosiguiente: v _Proteger_las_claves _pública_y_privada_del_usuario

v _Permitir_el_archivo_y _{restauración}_de_credenciales_de_usuario

v _Permitir_la_itinerancia_de _credenciales_de _usuario,_descrita_en_la_Guía_del

administrador

¿Por

qué

el

intercambio

de

claves?

EnlosapartadossiguientessehablarásobrelosusuariosdelentornoIBM ESS.En estosapartadossecubriránlosdetallesdecómoconfigurarIBMyESSparaalojar a estosusuarios.Enestecasosimplementeestipularemosquecadausuario tiene una clavepúblicayprivada.Laclaveprivadadelusuariosecifraconlaclave pública deladministrador.EnlaFigura3enlapágina5,puedeverquelaclave privadadeladministradorsecifraconlaclavepúblicade hardware.¿Porquénos tenemosquepreocuparencifrarestasdiferentesclavesprivadas?

Estarazónnosllevadenuevoalajerarquíamencionadaanteriormente. Debidoal espacio dealmacenamientolimitadodelchipIBM SecurityChipincorporado, sólo puedehaberunnúmerolimitadodeclaves enelchipenunmomentodado.Las claves públicayprivadadehardwaresonlas únicasclaves persistentes(de arranque aarranque)enesteescenario.Parapermitirvariasclavesy varios usuarios, IBMESSimplementaunajerarquíadeintercambiodeclaves.Siempre quesenecesiteunaclave,éstase″intercambia″dentrodelchipIBMSecurityChip incorporado. Medianteelintercambiode clavesprivadascifradas dentrodelchip, laclaveprivadapuededescifrarseyutilizarse sóloenelentornoprotegidodel chip.

Laclaveprivadadeladministradorsecifra conlaclavepúblicadehardware.La clave privadade hardware,quesóloestádisponibleenelchip,seutilizapara descifrarlaclaveprivadadeladministrador.Unavezdescifradalaclaveprivada deladministradorenelchip,puedepasarsedentrodelchipunaclave privadade usuario desdeeldiscoduro(cifradaconlaclavepúblicadeladministrador)y descifrarlaconlaclaveprivadadeladministrador.EnlaFigura3enlapágina5 puedeverquepuededisponerde variasclavesprivadasde usuariocifradasconla clave públicadeladministrador.Esto proporcionalacapacidad deconfigurartantos usuarioscomoseannecesariosenunsistemaconIBM ESS.

(13)

Capítulo

3. Consideraciones

clave

para

archivar

Lascontraseñasy laclaves trabajanjuntas,juntoconotrosdispositivosde autenticaciónopcionales,paraverificarlaidentidadde losusuariosdelsistema. LaFigura4 muestracómofuncionandeformaconjuntaIBMEmbedded Security Subsystem yClientSecuritySoftware. Eliniciodesesiónde Windowssolicitaal UsuarioAqueinicielasesiónyelUsuarioAlohace.IBMClientSecuritySystem determinaquiéneselusuarioactualmedianteinformaciónproporcionadaporel sistemaoperativo. Laclaveprivadadeladministrador,cifradaconlaclavepública de Hardware,secargaenelchipIBMSecurity Chipincorporado.

Figura4.Laclaveprivadadeladministrador,cifradaporlaclavepúblicadehardware,secargaenelchipIBM SecurityChipincorporado.

(14)

LaFigura5 muestralaclaveprivadade hardware(quesóloestádisponibleenel chip)quedescifralaclaveprivadadeladministrador.Ahora,laclaveprivadadel administrador estádisponibleparasu utilizaciónenelchip.

Como elUsuarioAhainiciado lasesiónenelsistema,laclaveprivadadelUsuario A(cifradaconlaclavepúblicadeladministrador) sepasaalchip, comosemuestra enlaFigura6 enlapágina 9.

(15)

Laclaveprivadadeladministradorseutilizaparadescifrarlaclaveprivadadel UsuarioA.Ahora,laclaveprivadadelUsuarioAestálistaparasuutilización, como semuestraenlaFigura7enlapágina10.

(16)

Hay otrasclaves quepueden cifrarseconlaclavepúblicadelUsuarioA.Un ejemploseríaunaclave privadautilizadaparafirmarcorreoelectrónico.Cuandoel UsuarioAvaaenviaruncorreoelectrónicofirmado,laclaveprivadautilizada parafirmar(cifradaconlaclave públicadelUsuarioA)sepasaalchip.Laclave privadadelUsuarioA(yaenelchip)descifrarálaclavede firmaprivadadel UsuarioA.Ahoralaclavede firmaprivadadelUsuarioAestádisponibleenel chippararealizarlaoperacióndeseada,enestecasocrearunafirmadigital (cifradodeunhash).Tenga encuentaqueseutilizará elmismo procesode

trasladode clavesdentroyfueradelchipcuandoelUsuarioB inicielasesiónenel sistema.

¿Por

qué

un

par

de

claves

del

administrador?

Larazónprincipalparadisponerde unpar declavesdeladministradorespor tenerposibilidades dearchivo yrestauración.Elparde clavesdeladministrador sirve comocapade abstracciónentreelchipy lascredencialesdeusuario.La informacióndelaclaveprivadaespecíficadelusuariosecifraconlaclave pública deladministradorcomosemuestraenlaFigura8enlapágina11.

(17)

Importante: desarrolleuna estrategiademantenimientodelosparesdeclavesdel administrador.Es posiblequecadasistemaconchipIBMSecurityChip

incorporadotengaelmismopar declaves deladministrador,sieladministrador de TIoeladministradordeseguridadasílodetermina.Alternativamente,cada departamento oedificiopuedetenerasignadounparde clavesdeladministrador diferente.

Otrarazónparatenerunpardeclaves deladministradoreselfirmarelarchivode políticasdeseguridaddelcliente,evitandoporlotantoquenadiesalvoel

administrador puedacambiar lapolíticadeseguridad.Parapoderalcanzarunalto nivelde seguridaddelarchivo depolíticasdeseguridaddelcliente,puededividir laclaveprivadadeladministradorhastaentrecincoindividuos.Enesecaso, los cincoindividuosquetienenpartedelaclaveprivada,debenestartodospresentes parafirmarycifrar archivos,comoelarchivode políticasde seguridaddelcliente. Estoevitaqueunsoloindividuorealicefuncionesde administración

unilateralmente.Paraobtenerinformaciónsobreladivisiónde laclaveprivadadel administrador,consulteelvalorKeysplit=1enlaTabla4enlapágina37.

Durantelainicializaciónde IBMClientSecuritySoftware, losparesdeclaves del administrador puedencrearseporelsoftwareopuedenimportarse deunarchivo externo. Sideseautilizarunparde clavesdeladministradorcomún,especificarála ubicacióndelosarchivosnecesariosdurante lainstalación delcliente.

Sehacecopiadeseguridad(graba) estainformaciónespecíficadelusuarioenuna ubicacióndearchivo definidaporeladministradorcomosemuestraenlaFigura8. Estaubicacióndearchivo puedeser cualquiertipode soportequeestéconectado físicamente ológicamenteconelcliente.Elapartadode instalacióndeIBM Client Security Systemtratarásobrelasrecomendacionesparaestaubicaciónde archivo. Lasclaves públicayprivadadeladministradornosearchivan.Losdatosdel usuario situadosenlaubicacióndearchivo secifranconlaclave públicadel administrador.Disponersólode losdatosdearchivodelusuarionosirvede nada sinotienelaclaveprivadadeladministradorparadesbloquearlosdatos.A menudo sehacereferenciaa lasclavespúblicay privadadeladministradorenla documentación deIBMClientSecurity Softwarecomo″pardeclaves del

archivador″.Tenga encuentaqueelpardeclaves delarchivadornoestácifrado. Debe tenerseespecialcuidadoa lahoradealmacenar yprotegerelpardeclaves delarchivador.

(18)

Como sehamencionadoanteriormente, unadelasfuncionesmásimportantesde las clavespúblicay privadadeladministradoreslade copiade seguridady restauracióndelcontenidodeldisco.Estafuncionalidadsemuestradela10ala 15.Lospasossonlossiguientes:

1. ElClienteA, poralgunarazón,dejadeestardisponibleparaelUsuarioA.En esteejemplo,diremosquealsistema,ClienteA,lehacaídounrayo,comose muestraenlaFigura10enlapágina13.

(19)

2. ElUsuarioAobtieneunsistemadeIBM nuevoymejorado,quellamaremos ClienteB,comosemuestraenlaFigura11enlapágina14.ElClienteBes distintodelClienteAylas clavespúblicayprivadade hardwareson diferentes delas delClienteA.Estadiferenciaestárepresentadavisualmente porlas claves decolorgrisenelCliente Bylasclaves decolorverdeenelClienteA. Figura10.AlsistemadelUsuarioAlehacaídounrayo,porloqueyanopuedeutilizarse.

(20)

Sinembargo,tengaencuentaquelacontraseñadeladministradoreslamisma enelClienteByenelA.

3. ElClienteBahoranecesitalasmismascredencialesde usuarioquehabíaenel ClienteA.Estainformaciónsearchivó paraelClienteA.SivuelvealaFigura8 enlapágina11,recordaráquelasclaves delusuariosecifraronconlaclave públicadeladministradorysealmacenaronenlaubicaciónde archivo.Paraque lascredencialesdeusuario esténdisponiblesenelClienteB,lasclavespública yprivadadeladministradordebentransferirse aestamáquina.LaFigura12 muestraalClienteBrecuperandolas clavespúblicayprivadadel

administradorpararecuperardatosdelusuariodelaubicacióndearchivo. Figura11.ElUsuarioArecibeunnuevosistema,elClienteB,conunchipIBMSecurityChipincorporado.

(21)

4. LaFigura13enlapágina16muestralaclaveprivadadeladministradorquese estácifrandoconlaclavepúblicadehardwaredelClienteB.

(22)

Ahoraquelaclave privadadeladministradorsehacifradoconlaclavepública dehardware,lascredencialesdeusuario puedencargarseenelClienteBpara elUsuarioA,como semuestraenlaFigura14enlapágina17.

(23)

Figura14.LascredencialesdelUsuarioApuedencargarseenelClienteBdespuésdehabersecifradolaclave privadadeladministrador.

(24)

LaFigura15enlapágina19muestraelUsuarioAtotalmenterestauradoenel Cliente B.TengaencuentaquelaclaveprivadadelUsuarioAseha cifradoconla clave públicadeladministradormientrasestabaenelservidor dearchivo.Laclave pública deladministradoresunaclaveRSAde2048bitsyesvirtualmente

imposible dedescifrar.Estosignificaquenoestotalmentenecesarioquela ubicacióndearchivo estéprotegida otengaunfuertecontroldeacceso.Mientras queelpardeclaves dearchivador(lasclaves públicayprivadadeladministrador) y másespecíficamentelaclaveprivadadeladministrador semantenganseguras,la ubicacióndearchivo delascredencialesdeusuario puedeestarcasiencualquier sitio.

(25)

(26)

Losdetallesdecómoseestablecelacontraseñadeladministrador,dónde deben estarlasubicaciones dearchivo,etc.setrataráconmayordetallecuandolleguemos alapartadodeinstalación delsoftware.LaFigura16muestraunavisión generalde loscomponentesde unentornoESS.Lospuntos principalessonquecadacliente es únicodesdelaperspectiva deunaclavepúblicay privada,perotieneuna clave pública yprivadadeladministradorcomún.Losclientestienenunaubicaciónde archivo comúnperoestaubicacióndearchivo puedeser paraunsegmentoo grupo deusuarios.

Considere elejemplosiguiente.Eldepartamento deRecursoshumanostieneuna ubicacióndearchivo distintadeladeldepartamentodeIngeniería.Elarchivose realizapornombre deusuarioy desistema.IBM ClientSecuritySoftware

archivará losusuariosdeunsistemaenlaubicaciónde archivodefinidabasándose enelnombredelusuarioyenelnombredelsistema,comosemostraba

anteriormenteenelUsuarioAyUsuarioB.Tengaencuentatambiénlaubicación segura delasclaves públicayprivadadeladministrador.

Nota: Cadanombredesistemaynombrede usuarioquesearchivan enuna mismaubicacióndebenser únicos.Unnombredesistemaonombrede usuario duplicado seescribirá encimadelmismonombre.

(27)

Capítulo

4. IBM

Client

Security

Software

IBM ClientSecuritySoftwareeslaconexiónentrelasaplicacionesyelchipthe IBM incorporado,asícomolainterfazparainscribirusuarios,establecer políticasy realizarlasfunciones básicasde administración.IBM ClientSecuritySystemestá compuestoprincipalmentedelossiguientescomponentes:

v _{Administrator}_Utility v _User_{Configuration}_Utility v _{Administrator}_Console v _Asistente_de_instalación

v _User_Verification_Manager_(UVM) v _Proveedor_de _servicios_{criptográficos} v _Módulo_PKCS#11

IBM ClientSecuritySystemlepermiterealizarvariasfuncionesclave: v _Inscribir_usuarios

v _Establecer_políticas

v _Establecer_políticas_de _frases_de_paso v _Restablecer_frases_de _paso_olvidadas v _Restablecer_credenciales_de_usuario

Por ejemplo,sielUsuarioAinicialasesiónenelsistemaoperativo,IBM basa todaslas decisionesasumiendoqueelUsuarioAhainiciadolasesión.Nota:la política deseguridadsebasaenlamáquina,noenelusuario;lapolíticaseaplicaa todoslosusuariosdeunasolamáquina. SielUsuarioAintentautilizarIBM Embedded SecuritySubsystem,IBMClient SecuritySystemimpondrálas políticas de seguridadestablecidasparaelUsuarioAenesesistema,comolafrasedepaso y laautenticacióndelahuelladactilar.Silapersonaqueinicialasesióncomo UsuarioAnopuedesuministrarlafrasedepasocorrectanilahuelladactilar correctaparalaautenticación,IBMESSprohibiráalusuariorealizarlaacción solicitada.

Inscripción

de

usuarios

y

gestión

de

las

inscripciones

LosusuariosdeIBMESSsonsimplementeusuariosdeWindowsqueestán inscritosenelentornoIBM ESS.Losusuariospueden inscribirsedevariasformas, quesetrataránendetallemásadelanteenestedocumento.Enesteapartado, trataremos loqueocurrecuandoseinscribeunusuario.Entenderloqueocurre durante esteprocesolepermitiráconocer mejorcómofuncionaIBMESSy,en ultima instancia,cómo gestionarloconéxitoensuentorno.

ElsoftwareClientSecurityutilizaUVM(UserVerificationManager)paragestionar las frasesdepasoyotros elementosparaautenticarlosusuariosdelsistema.El software UVMpermiteutilizarlascaracterísticassiguientes:

v _Protección_de_política _de_cliente_de_UVM

v _Protección_de_inicio_de_sesión_del_sistema_de_UVM

(28)

CadausuariodelentornoIBMESStienealmenosunobjeto depersonalización asociadoqueseutilizaparacuestionesdeautenticación.Elrequisitomínimoes una frasedepaso.TodoslosusuariosdelcomponenteUVMdelentornoESS (desdelaperspectiva deusuario,UVMgestionalaautenticacióny hacecumplirla política deseguridad)debeteneruna frasede pasoyestafrasedepasodebe proporcionarse unavezporarranquedelsistema,como mínimo.Enlosapartados siguientesseexplicaráporquéseutilizaunafrasedepasoycómo utilizarla.

Necesidad

de

una

frase

de

paso

Expuesto deformasencilla,lafrasedepasosenecesitaporrazones deseguridad. Disponer deunelementodehardwarecomoIBMEmbedded SecuritySubsystem esunaventajatremendaporque proporcionaunaubicaciónsegura yautónoma paratrabajarsobrelascredencialesdeusuario.Sinembargo,laprotecciónque proporcionaunchipdehardwareesde pocautilidadsilaautenticaciónquese necesitaparaaccederalchipesdébil.Porejemplo, supongamosquetieneunchip de hardwarequerealizafuncionesdeseguridad.Sinembargo,laautenticación necesaria parainvocaruna accióndelchipesunsolodígito.Enestecaso, un hacker potencialtendríaqueaveriguarunsólodígito numérico(0a 9)parapoder invocaraccionesconsuscredenciales.Laautenticacióndeunsolodígitodebilitala seguridaddelchipporqueproporcionamuypocasoninguna ventajafrenteauna soluciónbasadaensoftware.Sinotiene unaautenticaciónfuertejunto conla protección dehardware,nohabráganado nadaenseguridad.Lafrasede pasoque necesitaIBM seutilizaparaautenticaralusuarioantesderealizarcualquier acción enelhardwareconlascredencialesdeusuario.Lafrasedepasode UVMsóloes recuperablemedianteelparde clavesdeladministrador,postantonosepuede recuperarde unsistemarobado.

Configuración

de

una

frase

de

paso

Cadausuarioselecciona unafrasedepasoparaprotegersuscredenciales.Enel Capítulo2,“CómofuncionaelchipIBMSecurity Chipincorporado”,enlapágina 3 vioquelaclaveprivadadelusuariosecifrabaconlaclavepúblicadel

administrador.Laclaveprivadadelusuario tambiéntieneasociadaunafrasede paso.Estafrasedepasoseutilizaparaautenticarelusuario consuscredenciales. LaFigura17muestralafrasedepasomáselcomponentedeclaveprivadacifrado conlaclavepúblicadeladministrador.

ElusuarioseleccionalafrasedepasomostradaenlaFigura17segúnlapolítica existente, esdecir,lasreglasespecificadas paracontrolarlacreacióndecontraseñas, como elnúmerodecaracteres yelnúmerode díasqueesválidalacontraseña.La frasede pasosecreacuandounusuarioseinscribeenUVM. Unavezmás veremos másadelanteenestedocumento cómoocurrerealmenteestoenIBM Client SecuritySoftware.

Figura17.ElUsuarioAdebeproporcionarlafrasedepasoparapoderrealizarcualquierfunciónquerequieralaclave privadadelUsuarioA.

(29)

LaclaveprivadadelUsuarioAsecifra conlaclavepúblicadeladministrador, porque paradescifrarlaclave privadasenecesitalaclaveprivadadel

administrador.Portanto,sielUsuarioAolvidalafrasedepaso,eladministrador puederestablecerunanuevafrasedepaso.

Utilización

de

una

frase

de

paso

Desde laFigura18alaFigura20enlapágina25,semuestracómo seprocesa la frasede pasoenelchip.Unafrasedepasodebeutilizarsesiemprelaprimeravez y almenosunavezpor sesión.Lafrasedepasosiempreesnecesaria.Puedeelegir añadirdispositivosde autenticaciónadicionales,peroningunodeellos puede sustituir alrequisito delafrasedepasodelusuarioinicial.Brevemente,losdatos biométricos uotrosdatosdeautenticaciónsecifranconlaclavepúblicadel usuario.Es necesarioaccedera laclaveprivadaparadescifrarestosdatosde seguridadadicionales.

Por tanto,esnecesarioproporcionarlafrasede pasoalmenosunavezporsesión paradescifrarlosdatosadicionales.Lascredencialesqueconstituyen laclave privadadelUsuarioAylafrasedepasodelUsuarioAcifradosconlaclave pública deladministradorsepasanalchipIBM SecurityChipincorporado. La clave privadadeladministradoryaestádescifradaenelchipcomo sehadescrito Figura18.Laclaveprivadadeladministradorsedescifraenelchip.

(30)

anteriormente. LascredencialessepasancomosedescribeenlaFigura19.

Lascredencialessedescifran,loquehacequeesténdisponiblesenelchiplaclave

privadadelUsuarioAylafrasedepasodelUsuarioA. Cuandoelusuario queha iniciado actualmentelasesión,identificado porIBMClientSecuritySystemcomo UsuarioA,intentautilizarlascredencialesdelUsuarioA, seabreeldiálogodela frasede paso,como semuestraenlaFigura20enlapágina25.

(31)

Lafrasedepasoespecificadasepasa alchipy secomparaconelvalorde lafrase de pasodescifrada.Socoinciden,puedenutilizarselascredencialesdelUsuarioA paradiversasfunciones comofirmasdigitaleso descifrarcorreoselectrónicos. Tenga encuentaqueestacomparacióndefrasesde pasoserealizaenelentorno segurodelchip.Elchiptiene capacidadesparanopermitirlosintentosdeacceso repetitivos fallidos.Tengatambiénencuentaquelafrasede pasoregistradadel UsuarioAnuncaseexponefueradelchip.Comoparte delainstalaciónde IBM ClientSecurity Software,losusuariosseinscriben.Parte deesteprocesode

inscripción eslacreacióndelafrasedepasodelusuario.Trataremoslosdetallesde cómo seestablece estafrasede pasoycomopuedenimponerselas normasde la frasede paso.

(32)

LaFigura1 enlapágina 1mostrabaelchipIBMSecurity Chipincorporadoasí como IBMClientSecuritySystem.LaFigura1 enlapágina1también describela inicialización delaempresaydelusuario.Lainicializacióndelaempresaestá asociada conEmbeddedSecurity Subsystemylainicialización delusuario está asociada conIBMClientSecurity Software.Enlosapartadosanterioressedescribía lainicialización quetiene lugarconelfindeconocerelconceptogeneral.Enlos apartadossiguientessedaránmásdetallessobreelprocesode inicialización.

Inicialización

de

TPM

Lainicialización deTPMesfundamentalmenteelproceso deañadirlasclaves pública yprivadadehardwareyunacontraseñadeladministrador.Esteproceso tomaunamáquinagenérica,taly comovienedeIBM,ylaconvierte enúnica para laempresa.Eldiagramasiguientemuestralosmétodosdeinicialización delas claves públicayprivadaasícomolas contraseñasdeladministrador.

Tabla1.Métodosdeinicializacióndehardware

Acción Puedecrearseenel BIOS Puedecrearse manualmenteporel administradorenel softwareCSS Puedecrearseenun script Creacióndelaclave pública/privadade hardware No Sí Sí Creacióndela contraseñadel administrador Enalgunosclientes compatiblescon TCPA,sí.Comprobar laentradadelBIOS.

Sí Sí

LaTabla1 demuestraquelasclavespúblicay privadade hardwarenosecrean automáticamentecuandoseinstalaelsoftware.Lacreaciónde lasclavespúblicay privadade hardwaredebeiniciarsemanualmente enelsoftwareomediante el script.LacontraseñadeladministradorpuedecrearseenelBIOS,enlaaplicación IBM ClientSecuritySoftwareomedianteunscript.Elchipcontrolalosvalores establecidos paralasclavespúblicay privadadehardware;ustednopuede establecer losvalores.Lascapacidadesdegeneracióndenúmerosaleatorios del chipseutilizanparaproducirparesdeclavespública yprivadaestadísticamente aleatorias. Sinembargo,ustedsiestablecelacontraseñadeladministrador.

Lacontraseñadeladministrador,noobstante,esdiferenteporque eladministrador debeestablecer estevalor.Debemosdeterminarvariostemasrelacionadosconla contraseñadeladministrador:

v _¿Qué_establecerá_como_contraseña_o_contraseñas_del_{administrador?}

v _¿Tendrá_más_de_una_para_varios_grupos?_En_ese_caso, _¿cómo_determinará_de formalógica quesistemastienenquécontraseña?

v _¿Qué_{administrador}_tendrá _acceso_a _la_contraseña? _Si_tiene_más_de_una contraseñaparagruposseparadosdeusuarios,¿quién tendráaccesoa esas contraseñas?

v _¿Qué_usuarios_finales_{autoadministrados}_tienen_acceso _a_la_contraseña_del administrador?

Paratomardecisionesefectivas sobrelostemasanteriores,esimportanteconocer quéesloquepermitehacerlacontraseñadeladministrador:

(33)

v _{Añadir/eliminar}_usuarios

v _Definir_qué_{aplicaciones/características}_de _IBM_Client_Security_Software_se puedenutilizar

Enlosapartadossiguientesexplicaremoslaconexiónentreelarchivo depolíticasy laclaveprivadadeladministrador.Demomentotengaencuentaquelaclave privadadeladministradorsenecesitaparacambiarpolíticas. LaTabla2 resumelas posibilidades queseobtienenaldisponerdelacontraseñadeladministradoro la clave privadadeladministrador.

Tabla2.Accionesdeladministradorbasadasenlacontraseñayenlaclaveprivada

Acción

Contraseñadel administrador

Claveprivadadel administrador Poderaccederalprograma

deutilidaddeladministrador

Sí No Añadir/Eliminar/Restaurar usuarios Sí No Definirqué aplicaciones/características deCSSsepuedenutilizar Sí No Definir/Cambiarpolíticas Sí Sí

Creararchivospara

restablecerlasfrasesdepaso delosusuarios

Sí Sí

Lainicializaciónde TPMtambiénhacereferenciaa lasclavespúblicay privadadel administrador.Eneldiagramaanteriorpuedeverlas posibilidadesasociadas con estaclave.Pensemosunpocoencómoseestablecenlasclavespúblicay privada deladministrador.Estepar declavespuedeserúnicoparacadasistemaopuede ser elmismo paratodas lasmáquinas.Cuando eladministradorinicializaIBM ClientSecurity Softwaretiene laopciónde utilizarunpar declavesexistente ode crearunnuevopardeclaves paraelcliente.Denuevo,elmodelo deuso

determinará quéeslomejorparasu empresa.

Recomendaciones

Lasgrandesempresas puedenutilizarunaclaveúnicaparacadacadamáquinao una claveúnicaparacadadepartamento.Por ejemplo,establecerunacontraseña y/oclaveprivadadeladministradorparatodoslossistemasutilizadosenel departamento derecursoshumanos, otraparaeldepartamento deingeniería,etc. Tambiénpuedediferenciarsobreunelementofísico,comoporedificio opor emplazamiento. Lacapacidad dedeterminarquéclaveprivadadeadministrador utilizarcuandosecreaunarchivopararestablecerlafrasedepasodeberíaser un proceso sencillobasadoenquiénsolicitarestablecerla.ComoseindicaenlaTabla1 enlapágina26y enlaTabla3enlapágina30,tambiéndeberealizarsela

inicialización delusuarioydelaempresa,odelhardware.

Establecimiento

de

políticas

de

seguridad

antes

de

desplegar

CSS

Enlosrequisitosdeseguridadyautenticaciónintervendránvariaspartesdesu organización.Aunquelaspersonasconaccesode administradorpuedenrealizar cambios enlaspolíticasy ″pasarlas″a lossistemasclientes(consulteelCapítulo7, “Despliegueremoto dearchivosdepolíticasdeseguridadnuevosorevisados”,en lapágina 55),seobtienemejores resultadossiseconfiguran losvaloresdelas

(34)

políticasantesdeldespliegue.Paraobtenerinformaciónadicionalsobreel establecimiento depolíticas,consulte″TrabajoconlapolíticadeUVM″enel manual GuíadeladministradordeClientSecuritySoftware.

Preparación

para

las

frases

de

paso

olvidadas

o

el

mal

funcionamiento

de

dispositivos

de

autenticación

Inevitablemente,losusuariosolvidaránunafrasedepaso,yexistelaposibilidad quelosdispositivosdeautenticación,como losdispositivosbiométricos delectura de huellasolas smartcards,nofuncionen correctamente.

Frasedepasoolvidada: Lafrasedepasodelusuarionosealmacenadeforma legibleenninguna partedeldiscodurodelclientenienelchipde seguridad incorporado. Sóloestásegura enlamemoriadelusuario yenotraubicación: el archivo protegidoporelpar declavesdeladministrador.Eladministrador necesitará descifrarlainformacióndelusuariocontenidaenelarchivador, utilizandolaclaveprivadadeladministrador.Acontinuacióneladministrador puedesuministrarlafrasedepasodescifradaalusuario.

Cuando elusuariocambia lafrasedepaso,lanuevainformaciónsearchivará enla ubicaciónespecíficadelarchivador.

Encasodequedemalfuncionamientoundispositivodeautenticación, puede configurarIBMClientSecurity Softwareparaquepresenteunbotón Pulsaraquí paracancelar.Alpulsarelbotóndecancelación,únicamente seindicaalusuario queescribalafrasedepasocorrectamente.Acontinuaciónelusuario puedellevar a cabotareasseguras.

ParaconfigurarCSSdeformaquemuestreelbotóndecancelación,hagalo siguiente:

1. EnelarchivoCSEC.INI(situado eneldirectorio raíz),localicelaentrada AllowBypass=0.Elvalor poromisión,0,indicaa CSS queoculte elbotón de cancelación.

2. Establezcaelvalorde AllowBypassen1.Elbotón decancelaciónaparecerá cuandolaventanadeCSS indiquealusuarioqueproporcionaautenticación ademásdelafrasedepaso.

3. GuardeelarchivoCSEC.INI.

Notas:

1. Paraconservararchivadaestainformación, esesencialqueseespecifiquela ubicacióndelarchivadorenlaentradakal=c:\jgk\archivedelarchivo CSEC.INI.Además,sic:\jgk\archiveesunaunidaddered,esaunidaddebe correlacionarseenelsistemacliente paraarchivarlafrasedepaso.

2. Sinoespecificauna ubicaciónparaelarchivadoryesaubicaciónnose correlacionaconelsistemacliente,nosepodránrecuperarlas frasesdepaso.

Inicialización

del

usuario

IBM ESSproporcionalaposibilidadde quevariosusuariosllevenacabo

transaccionesindependientesy segurasenunsolosistema.Estosusuariosdeben tenerasociadauna frasede pasoypuedentenerotroselementosde autenticación, como huellasdactilaresy/osmartcards.Estoseconocecomo Autorizacióndefactor múltiple. Lainicializacióndelusuarioesunpasocríticoenlaconfiguraciónde los sistemas clientequeutilizanIBMESS.Tengaencuentaquelainicializacióndel usuario esunprocesodedospartes:

(35)

2. Personalización

Registro

Elregistroconsistesimplementeenañadir unusuario oenregistrarloconIBM ClientSecurity System.EnlaFigura21,puedeverelcomponenteUserVerification Manager (UVM)de IBMClientSecuritySoftware.UVMcontrolalascredenciales de cadausuario eimponelapolítica.

Un archivode políticas,comoeldescritoenlaFigura21,contienelosrequisitosde

autenticacióndecadausuariogestionadoporUVM.Tenga encuentaquelos usuariosdeUVMsonsimplementeusuariosde Windows(localesodedominio). UVMgestionalas credencialesbasándose enquiénhainiciadoactualmentela sesión enelsistemayenelsistemaoperativo.Por ejemplo,sielUsuarioAiniciala sesión enWindows yelUsuarioAtambiénformapartedeUVM, UVMimponela política cuandoelUsuarioAintenta realizaroperaciones querequieren

credenciales.Enotroejemplo,elUsuarioAinicialasesiónenelsistema.El UsuarioAentraenMicrosoftOutlookyenvíauncorreoelectrónico firmado digitalmente.La claveprivadautilizadaparaenviarelcorreofirmado digitalmente estáprotegidaenIBM EmbeddedSecuritySubsystem.AntesdequeUVMpermita realizarlaoperación,impondrálapolíticacomo sehadefinidoenelarchivode políticas. Enesteejemplo,elrequisitoesautenticarunafrasede pasoantesde realizarlaoperación.UVMsolicitaráalusuariolafrasedepasoysiseverifica correctamentesellevaráacabolaoperaciónde laclaveprivadaenelchip.

Inicialización

personal

Lainicializaciónpersonal essimplementeestablecerunafrasedepasode UVM personal delindividuo. Diferentespersonaspuedenllevaracabolasdistintas partesdelproceso.Lafrasede pasode UVMdelindividuosólodeberáconocerla elindividuo.Sinembargo,sialgúnindividuonorealizaelprocesodeinicialización podríatenerquerealizarunpasoadicional. UVMtambiénsepuedeconfigurar paraobligaralusuarioa cambiarlafrasedepasolaprimeravezqueiniciela sesión.

(36)

Por ejemplo,eladministradorde TIinicializaalUsuarioA.EladministradordeTI selecciona alUsuarioAenuna listadeusuariosdeWindows Windows(deun dominio porejemplo).UVMsolicitaquelafrasede pasodeUVMestéasociada conelUsuarioA.EladministradordeTIentreun″valorporomisión″ de″Frasede pasodeladministradordeTI″.Paragarantizar laseguridaddelsistema,después de queelUsuarioArecibeelsistemadebepersonalizar lafrasede pasoparaque nadiepuedallevaracabotransaccionessegurasutilizandolafrasedepasopor omisión.

Tabla3.Métodosdeinicializacióndeusuario

Método Procesodemandatos Requisitosdelproceso

Manual Eladministradorpuede

personalizarmanualmente CSSparaelusuario medianteAdministration Utility

Eladministradordebeestar presenteencadasistema parasuconfiguración.

Archivodeconfiguracióndel administrador

Eladministradorpuedecrear unarchivodeconfiguración, quecontieneunaversión cifradadelacontraseñadel administrador.Elarchivose envíaalusuario,quiena continuaciónseinscribe individualmentesinla intervenciónnilapresencia deladministrador.

Elusuariopasaporel procesodeconfiguración.

*.ini Eladministradorcreaun

scriptqueejecutaelarchivo .iniyponeunacontraseña poromisiónopersonalizada.

Lapresenciadel

administradorodelusuario esopcional.

Escenarios

de

despliegue

Imagine quevaa desplegar1.000clientesa1.000usuariosfinales.Unadelas afirmacionessiguientespodríadescribirsuplanteamientodedespliegue:

v _Sabe_exactamente_qué_máquina_corresponde_a _cada_usuario _final._Por_ejemplo, sabequelamáquina1esparaRoberto,asíqueregistraaRobertoenlamáquina 1.Robertodebepersonalizar (establecersufrasedepasoindividual) cuando recibaelsistema.Robertorecibeelsistema,iniciaIBMClientSecurity Software, ydespuésestablece sufrasedepaso.

v _No_sabe _qué_máquina_corresponde_a_cada_usuario._Envía_el_cliente₁_al_usuario finalX.

EstosdosfactoresvariableshacenqueeldesplieguedeIBM ESSseadiferente al despliegue deunaaplicacióntípica. Sinembargo,existen variasopcionesde despliegue queproporcionanflexibilidadparadesplegarIBM ESS.

Un diagramadeflujo típicodeentregade losPCde suempresapodríasersimilar alsiguiente:

(37)

Seis

escenarios

de

despliegue

Existen seismétodosdedesplieguede IBMClientSecuritySoftware:

1. Componenteañadido—ElcódigodeIBM ClientSecuritySoftwarenoforma parte delaimagendeldisco.Seinstala,inicializaypersonaliza despuésde desplegarlossistemas.

2. Componentedelaimagen—Elcódigode IBMClientSecuritySoftwareforma parte delaimagen,peronoestáinstalado.Nosehainiciadoni la

personalizaciónde laempresanilapersonalización delusuario.Consulte la Figura23enlapágina32.

3. Instalaciónsencilla—IBMClientSecurity Softwareestáinstaladoyseha personalizadoparalaempresaoelusuario final.ConsultelaFigura24enla página33.

4. Personalizaciónparcial—IBMClientSecuritySoftwareestáinstaladoyseha realizadolapersonalización delaempresa,peronoladelusuario.Consultela Figura24enlapágina33.

5. Personalizacióntemporal—IBMClientSecuritySoftwareestáinstaladoyse harealizado lapersonalización delaempresaydelusuario.Elusuario tendrá querestablecerlafrasede pasodelusuario y,siesnecesario,proporcionarotra informacióndeautenticación,como exploracionesdehuellasdactilaresouna asociaciónde smartcard.ConsultelaFigura25enlapágina34.

6. Personalizacióncompleta —IBM ClientSecuritySoftwareestáinstaladoy se harealizado lapersonalización delaempresaydelusuario.Eladministrador establece lafrasede pasodelusuario.Sisenecesitaunaexploracióndehuella dactilaruotra autenticación,elusuariodebeproporcionaresapersonalización. ConsultelaFigura25enlapágina34.

(38)

(39)

Figura24.ElcódigodeIBMClientSecuritySoftwareestáinstaladoperonoseharealizadolapersonalizacióndela empresanidelusuario.

(40)

Figura25.IBMClientSecuritySoftwareestáinstaladoyseharealizadolapersonalizacióndelaempresaydel usuario.

(41)

Enelescenario1,IBMClientSecuritySoftwaresedespliegadespuésdesituarla imagen deldiscoenelsistema.Despuésde instalarlaimagendeldiscoseinstalay configuraIBMClientSecurity Softwarey seconfiguraelchipSecurityChip

incorporado.

Losescenarios2-6representandiversasopcionesdedesplieguey configuracióndel software ydeconfiguración delchip. Dependiendodesusnecesidadesydel entorno, puedeseleccionarelescenarioyelmétodode instalaciónquemejor cumplasusrequisitos.Consulte″Instalación einicialización″ paraobtener más informaciónsobrelosmétodosdeinstalación.

Instalación

e

inicialización

Lainstalación deIBMClientSecuritySoftwarepuededividirseendosprocesos: instalación einicialización.Elprocesodeinstalación essimilaralutilizadopara instalarsoftwarehabitual.Estainstalación puederealizarse utilizandodos métodos:

1. SeañadeClientSecuritySoftwareenlossistemasdesplegados.Consulteel escenario1 enlapágina 31.

2. ClientSecuritySoftwareformapartedelaimagen base.(Consultedesdeel escenario2 enlapágina 31alescenario6 enlapágina 31.)

Instalación

Enelmétodo1seañadeIBM ClientSecuritySoftwareaunaimagen queseañade a todoslossistemas medianteprogramascomoGhostoIBMImageUltraBuilder. Enelmétodo2,seañadeIBM ClientSecuritySoftwarea unPCdelusuariofinal después dedesplegarelsistemaconlaimagen base.Elmétodo2puederealizarse de dosformas:

1. Dirigidoporel usuario—El usuarioiniciaycompletalainstalación,pulsando enlosdiálogosyproporcionandotodas lasentradasdeusuarionecesarias. 2. Instalaciónsilenciosa—Elprocesodeinstalaciónpuedeiniciarsede forma

remotaycompletarsesolosin intervencióndelusuario.

Inicialización

Existen dosmodosde inicialización: 1. Inicializaciónmasiva

2. Inicializaciónindividual

Enlaopcióndeinicialización masiva,debeutilizarseunarchivoCSS.ini.Este archivo proporcionalosparámetrosparalasopcionescomoinscribirtodoslos usuariosenunsistemay proporcionaratodosesosusuariosuna frasedepaso.En lainicialización individualelusuariofinalpuederecibir unarchivo quepermitasu propiainscripcióny proporcionelascontraseñasdefinidasparaelusuario.

Adición

de

IBM

Client

Security

Software

en

sistemas

desplegados

con

el

chip

de

seguridad

EladministradorpuededesplegarsolamenteIBMClientSecuritySoftware(enla imagen basesinpersonalización niconfiguración)ydespués configurarloenlos clientes.Alternativamente,eladministradorpuededesplegarde formamasiva IBM ClientSecurity Softwarey despuésconfigurarautomáticamentedeformamasiva. Encualquier caso,primeroseinstalaelsoftwareydespués seconfigura.

InstalacióndeIBMClient SecuritySoftware: ParaañadirIBMClientSecurity Softwarea laimagen base,debenincluirseloscomponentessiguientes:

(42)

1. Controladores:LPC(parasistemasTCPA)y SMBus

Notas:

a. AunqueSMBustiene códigoparalainstalación automática,estecontrolador aúnnohasidoformadoporMicrosoft y,portanto,alguiendebeestar presentedurantelainstalación deestecontrolador.Estalimitaciónpronto noexistirá.

b. Sivaacrearuna imagendonantedeSysprep paraeldespliegue,la

instalaciónde estecontroladornecesitará quealguien estépresentedurante lacreaciónde laimagendonante.

c. SiestáutilizandoIBMImageUltraBuilder,debeprepararunaimagen portablede Sysprep.SMBusnecesitaformarpartedelaimagenbase.Si no deseaquetodoslossistemas tenganSMBusenlaimagenbase,necesitará creardosimágenesbase.

2. CódigodeIBM ClientSecuritySoftware

3. Contraseña yparde clavesprivadasdeladministradordefinidas

4. Instalelosappletsde IBMClientSecuritySoftwareapplets(debeninstalarse CifradodearchivosycarpetasyPasswordManagersiseindicaenelarchivo depolíticas. Consulteenelmanual GuíadeinstalacióndeIBMClient Security Installationlainstalaciónsilenciosade estosapplets)

Despuésdeañadirenelsistemadonantelostrescomponenteslistadosmásarriba, debeinicializarseelhardwarede EmbeddedSecuritySubsystem (elchipde seguridad).Parainiciarunainstalaciónmasiva, completeelprocedimiento siguiente:

1. Creeelarchivo CSEC.INI.PuedecrearelarchivoCSEC.INI utilizandoel Asistente deClientSecurity:CSECWIZ.EXEeneldirectorio Security.Después decompletarelasistente,seleccioneelrecuadrodeselecciónsituadojunto a

Guardar losvalores,peronoconfigurarelsubsistema. (Losvaloresse guardaránenC:\CSEC.INI).

2. Extraigaelcontenidodelpaquetedeinstalaciónde IBMClientSecurity Software(csecxxxxx_00xx.exe)conWinziputilizandonombresdecarpeta. 3. EditelasentradasszIniPathyszDir, necesariasparaunaconfiguración masiva,

enelarchivoSETUP.ISS.ElparámetroszIniPathsenecesitaparala configuración masiva.Consulteelarchivo SETUP.ISScompletomásabajo. 4. Copielosarchivosenelsistemade destino.

5. Creelasentenciadelalíneademandatos \setup-s.Ejecutelasentenciadela líneademandatos desdeelescritoriode unusuario quetengaderechosde administrador.Elgrupo deprogramasInicioolaopciónEjecutarsonunbuen lugarparahacerlo.

6. Eliminelasentencia delalíneademandatos enelpróximoarranque. Acontinuaciónselistaelcontenidocompletodelarchivosetup.issconvarias descripciones:

[InstallShield Silent] Version=v6.00.000 File=Response File szIniPath=d:\csec.ini

(El parámetroanterioreselnombreyubicacióndel archivo.ini,necesarioparala configuraciónmasiva.Si laubicacióndel archivo.iniestáenuna unidaddered,deberá correlacionarse.Si realizauna instalaciónsilenciosaquenoformapartedeuna

configuraciónmasiva,elimine estaentrada.Si sólodeseainstalarIBMClient Security Software,suprimaszIniPath=d:\csec.inidelalíneaanteriordecódigo. Sideseainstalary configurar, dejeelmandatoensulugar yverifiquelavíadeacceso).

(43)

[FileTransfer] OverwrittenReadOnly=NoToAll [{7BD2CFF6-B037-47D6-A76BD941EE13AD96}-DlgOrder]

Dlg0={7BD2CFF6-B037-47D6-A76B-D941EE13AD96}-SdLicense-0 Count=4 Dlg1={7BD2CFF6-B037-47D6-A76B-D941EE13AD96}-SdAskDestPath-0 Dlg2={7BD2CFF6-B037-47D6-A76B-D941EE13AD96}-SdSelectFolder-0

Dlg3={7BD2CFF6-B037-47D6-A76B-D941EE13AD96}-SdFinishReboot-0 [{7BD2CFF6-B037-47D6-A76B-D941EE13AD96}-SdLicense-0] Result=1 [{7BD2CFF6-B037-47D6-A76B-D941EE13AD96}-SdAskDestPath-0] szDir=C:\Archivos de programa\IBM\Security

(El parámetroanterioreseldirectorioutilizadoparainstalarClient Security.Debeser local del sistema).

Result=1

[{7BD2CFF6-B037-47D6-A76B-D941EE13AD96}-SdSelectFolder-0] szFolder=IBM Client Security Software

(El parámetroanterioreselgrupode programasde ClientSecurity).

Result=1 [Application] Name=Client Security Version=5.00.002f Company=IBM Lang=0009 [{7BD2CFF6-B037-47D6-A76B-D941EE13AD96}-SdFinishReboot-0] Result=6 BootOption=3

Configuración: Elarchivo siguientetambiénesesencial cuandoseiniciauna configuración masiva.Elarchivo puedetenercualquier nombresiemprequesu extensión sea.ini.Lalista siguientedetallalosvaloresysusexplicacionesparael archivo .iniquedebecrear.Antesdequepuedaabriryrevisarelarchivo

CSEC.INI, deberádescifrarloutilizandoCONSOLE.EXEdelacarpetaSecurity. Elmandatosiguienteejecutaelarchivo.inidesdelalíneademandatos cuandola configuración masivanoserealizajuntoconlainstalación masiva:

<carpeta de instalación de CSS>\acamucli /ccf:c:\csec.ini Tabla4.ValoresdeconfiguracióndeClientSecuritySystem

[CSSSetup] CabeceradelasecciónparalaconfiguracióndeCSS. suppw=bootup ContraseñadelBIOSdeladministrador/supervisor.

Déjelaenblancosinoesnecesaria.

hwpw=11111111 ContraseñadelhardwaredeCSS.Debetenerochocaracteres. Essiemprenecesaria.Debesercorrectasiyasehaestablecido unacontraseñadehardware.

newkp=1 1paragenerarunnuevopardeclavesdeladministrador 0parautilizarunpardeclavesdeladministradorya existente.

keysplit=1 Cuandonewkpes1,esteparámetrodeterminaelnúmerode componentesdelaclaveprivada.

Nota: Sielpardeclavesexistenteutilizavariaspartesdela claveprivada,todasdebenalmacenarseenelmismo directorio.

kpl=c:\jgk Ubicacióndelpardeclavesdeladministradorcuandonewkp es1,siesunaunidaddereddebeestarcorrelacionada. kal=c:\jgk\archive Ubicacióndelarchivodeclavesdelusuario,

siesunaunidaddereddebeestarcorrelacionada.

pub=c:\jk\admin.key Ubicacióndelaclavepúblicadeladministradorcuandose utilizaunpardeclavesdeladministradoryaexistente, siesunaunidaddereddebeestarcorrelacionada.

pri=c:\jk\private1.key Ubicacióndelaclaveprivadadeladministradorcuandose utilizaunpardeclavesdeladministradoryaexistente, siesunaunidaddereddebeestarcorrelacionada.

(44)

Tabla4.ValoresdeconfiguracióndeClientSecuritySystem (continuación) wiz=0 DeterminasielasistentedeconfiguracióndeCSSha

generadoestearchivo.Estaentradanoesnecesaria.Sila incluyeenelarchivoelvalordebeser0.

clean=0 1parasuprimirelarchivo.inidespuésdelainicialización, 0paraconservarelarchivo.inidespuésdelainicialización. enableroaming=1 1parahabilitarlaitineranciadelcliente,

0parainhabilitarlaitineranciadelcliente. username=

[promptcurrent]

[promptcurrent]parasolicitaralusuarioactuallacontraseña deregistrodelsistema.

[current]cuandolacontraseñaderegistrodelsistemadel usuarioactuallaproporcionalaentradasysregpwdyel usuarioactualtieneautorizaciónpararegistrarelsistemaen elservidordeitinerancia.

[<cuentaespecíficadelusuario>]sielusuariodesignadotiene autorizaciónpararegistrarelsistemaenelservidorde itineranciaysilacontraseñaderegistrodelsistemadel usuarioseproporcionaenlaentradasysregpwd.

Noutiliceestaentradasielvalordeenableroaminges0osi laentradaenableroamingnoestápresente.

sysregpwd=12345678 Contraseñaderegistrodelsistema.Establezcaestevalorcon lacontraseñacorrectaparapermitirqueelsistemaseregistre enelservidordeitinerancia.Noincluyaestaentradasiel valordeusernameestáestablecidocomo[promptcurrent]osi laentradausernamenoestápresente.

[UVMEnrollment] Cabeceradelasecciónparalainscripcióndeusuarios. enrollall=0 1parainscribirtodaslascuentasdeusuarioslocalesenUVM,

0parainscribircuentasdeusuariosespecíficosenUVM. defaultuvmpw=top Cuandoenrollalles1,estaserálafrasedepasodeUVMpara

todoslosusuarios.

defaultwinpw=down Cuandoenrollalles1,estaserálacontraseñadeWindows registradaenUVMparatodoslosusuarios.

defaultppchange=0 Cuandoenrollalles1,seestablecerálapolíticadecambiode frasedepasodeUVMparatodoslosusuarios.

1parasolicitaralusuarioquecambielafrasedepasode UVMenelpróximoiniciodesesión,

0paranosolicitaralusuarioquecambielafrasedepasode UVMenelpróximoiniciodesesión.

defaultppexppolicy=1 Cuandoenrollalles1,seestablecerálapolíticadecaducidad defrasedepasodeUVMparatodoslosusuarios.

0paraindicarquelafrasedepasodeUVMcaduca 1paraindicarquelafrasedepasodeUVMnocaduca defaultppexpdays=0 Cuandoenrollalles1,seestableceráelnúmerodedíasen

quecaducalafrasedepasodeUVMparatodoslosusuarios. Cuandoppexppolicyseestableceen0,establezcaestevalor paraestablecerelnúmerodedíasenquecaducalafrasede pasodeUVM.

enrollusers=x,dondexesel númerototaldeusuarios queinscribiráenelsistema.

Elvalordeestasentenciaespecificaelnúmerototalde usuariosqueinscribirá.

Cuandoenrollalles0,esteeselnúmerodeusuariosquese inscribiránenUVM.

(45)

Tabla4.ValoresdeconfiguracióndeClientSecuritySystem (continuación)

user1=jknox Proporcionalainformaciónparainscribiracadausuario comenzandoporelusuario1.Nohayusuario0.Losnombres deusuariodebensernombresdecuenta.Paraobtenerel nombredecuentarealenXP,hagalosiguiente

1. InicieAdministracióndeequipos(Administradorde dispositivos).

2. ExpandaelnodoUsuarioslocalesygrupos. 3. AbralacarpetaUsuarios.

LoselementoslistadosenlacolumnaNombresonlos nombresdecuenta.

user1uvmpw=chrome EspecificalafrasedepasodeUVMparaelusuario1de UVM.

user1winpw=spinning EspecificalafrasedepasodeWindowspararegistrarel usuario1enUVM.

user1domain=0 Especificasilacuentadelusuario1eslocalenestáenun dominio.

0paraindicarqueestacuentaeslocal,

1paraindicarqueestacuentaestáeneldominio.

user1ppchange=0 Especificasielusuario1tienequecambiarlafrasedepaso deUVMenelpróximoiniciodesesión.

user1ppexppolicy=1 EspecificasilafrasedepasodeUVMdelusuario1caduca. 0paraindicarquelafrasedepasodeUVMcaduca. 1paraindicarquelafrasedepasodeUVMnocaduca. user1ppexpdays=0 Siuser1ppexppolicy=0,establezcaestevalorparaindicarel

númerodedíasenquecaducalafasedepasodeUVM. Proporcioneparacadausuariounconjuntocompletodevaloresdeconfiguraciónenel ordenespecificadoenlapartesombreadadelatabla.Proporcionetodoslosparámetros paraunusuarioydespuésproporcionelosparámetrosparaelsiguienteusuario.Sipor ejemploenrolluserssehaestablecidoen2,deberíaañadirelgruposiguientedevaloresde configuración. user2=chrome user2uvmpw=left user2winpw=right user2domain=0 user2ppchange=1 user2ppexppolicy=0 user2ppexpdays=90

[UVMAppConfig] Cabeceradelasecciónparalaconfiguracióndeaplicacionesy módulospreparadosparaUVM.

uvmlogon=0 1parautilizarlaproteccióndeiniciodesesióndeUVM, 0parautilizareliniciodesesióndeWindows.

entrust=0 1parautilizarUVMparalaautenticacióndeEntrust, 0parautilizarlaautenticacióndeEntrust.

notes=1 1parautilizarlaproteccióndeUVMparaLotusNotes, 0parautilizarlaproteccióndecontraseñadeNotes.

(46)

Tabla4.ValoresdeconfiguracióndeClientSecuritySystem (continuación)

netscape=0 1parafirmarycifrarcorreoselectrónicosconelmóduloIBM PKCS#11,

0paranofirmarnicifrarcorreoselectrónicosconelmódulo IBMPKCS#11.

passman=0 1parautilizarPasswordManager, 0paranoutilizarPasswordManager

folderprotect=0 1parautilizarCifradodearchivosycarpetas, 0paranoutilizarCifradodearchivosycarpetas.

Notas:

1. Sialgúnarchivo ovíadeacceso estáenunaunidaddered,launidaddebe estarcorrelacionadaconunaletradeunidad.

2. SepuedenañadirnuevosusuariosalarchivoINIdespuésdequeelsubsistema estéconfigurado,loqueresultaútilpararealizarlainscripción delusuario. Ejecuteunarchivo INIcomo sehadescritoanteriormente,peronoincluyalos valores″pub=″ni″pri=″. Elcódigoasumiráquesetratasólodeunainscripción deusuario ynoreinicializaráelsubsistema.

3. Debedescifrarse elarchivo CSEC.iniparaqueelsoftwarecarguelos contenidos.Debedescifrarse conCONSOLE.EXE, eneldirectorio Security. Tambiénsepuedeutilizarelmandato siguienteparacifrarunarchivoINIcon unscript.(Sonnecesariaslascomillasparalosnombresde víadeacceso

largos): carpeta de instalación de CSS>\console.exe /q /ini: vía de acceso completa a un archivo ini sin cifrar

4. AmedidaqueIBMClientSecurity Softwaresemejoreyactualice,los parámetrosde *.inipuedencambiar.

IBM ClientSecuritySoftwarelepermiteejecutarelarchivo CSEC.INIunasegunda vez sinafectara lainstalaciónactualdeClientSecurity Software.Podríaejecutar estearchivouna segundavezparainscribirusuariosadicionales,porejemplo.

Tabla5.ValoresdeconfiguracióndeClientSecuritySystemalejecutarporsegundavez [CSSSetup] CabeceradelasecciónparalaconfiguracióndeCSS. suppw= ContraseñadelBIOSdeladministrador/supervisor.

Déjelaenblancosinoesnecesaria.

hwpw=11111111 ContraseñadelhardwaredeCSS.Debetenerochocaracteres. Essiemprenecesaria.Debesercorrectasiyasehaestablecido unacontraseñadehardware.

newkp=0 Entre0parautilizarunpardeclavesdeladministradorya existente.

keysplit=1 Cuandonewkpes1,esteparámetrodeterminaelnúmerode componentesdelaclaveprivada.

Nota: Sielpardeclavesexistenteutilizavariaspartesdela claveprivada,todasdebenalmacenarseenelmismo directorio.

pub= Dejarenblanco

pri= Dejarenblanco

kal=c:\archive Ubicacióndelarchivodeclavesdelusuario, siesunaunidaddereddebeestarcorrelacionada. wiz=0 DeterminasielasistentedeconfiguracióndeCSSha

(47)

Tabla5.ValoresdeconfiguracióndeClientSecuritySystemalejecutarporsegunda vez (continuación)

clean=0 Entre0paraconservarelarchivo.inidespuésdela inicialización.

enableroaming=0 Entre0parainhabilitarlaitineranciadelcliente. [UVMEnrollment] Cabeceradelasecciónparalainscripcióndeusuarios. enrollall=0 1parainscribirtodaslascuentasdeusuarioslocalesenUVM,

0parainscribircuentasdeusuariosespecíficosenUVM. enrollusers=1 Elvalordeestasentenciaespecificaelnúmerototalde

usuariosqueinscribirá.

user1=eddy Eselnombredelnuevousuarioquesevaainscribir. user1uvmpw=pass1word EspecificalafrasedepasodeUVMparaelusuario1de

UVM.

user1winpw= EspecificalafrasedepasodeWindowspararegistrarel usuario1enUVM.

user1domain=0 Especificasilacuentadelusuario1eslocalenestáenun dominio.

0paraindicarqueestacuentaeslocal,

1paraindicarqueestacuentaestáeneldominio.

user1ppchange=0 Especificasielusuario1tienequecambiarlafrasedepaso deUVMenelpróximoiniciodesesión.

user1ppexppolicy=1 EspecificasilafrasedepasodeUVMdelusuario1caduca. 0paraindicarquelafrasedepasodeUVMcaduca. 1paraindicarquelafrasedepasodeUVMnocaduca. user1ppexpdays=0 Siuser1ppexppolicy=0,establezcaestevalorparaindicarel

(48)

(49)

Capítulo

5. Instalación

del

componente

Client

Security

en

un

servidor

Tivoli

Access

Manager

Laautenticacióndelosusuariosfinales enelniveldelclienteesunacuestiónde seguridadimportante.ClientSecuritySoftwareproporcionalainterfaznecesaria paragestionar lapolítica deseguridaddeunclientedeIBM.Estainterfazforma parte delsoftwaredeautenticación,UserVerificationManager (UVM),queesel componenteprincipaldeClientSecurity Software.

Lapolíticade seguridadde UVMparaunclientedeIBM puedegestionarsededos formas:

v _Localmente,_utilizando_un_editor_de_política_que_esté_en_el_cliente_de_IBM v _En_toda_una_{corporación,}_utilizando_Tivoli_Access_Manager

AntesdeutilizarClientSecurity conTivoliAccessManager,debeestarinstaladoel componenteClientSecurityde TivoliAccessManager.Estecomponentesepuede descargar desdeelsitoWebdeIBM

http://www.pc.ibm.com/us/security/index.html.

Requisitos

previos

Antesdepoder establecerunaconexiónseguraentreelcliente deIBMy el

servidor TivoliAccessManager,debenestarinstaladosloscomponentes siguientes enelclientedeIBM:

v _IBM_Global_Security_Toolkit v _IBM_SecureWay_Directory_Client

v _Tivoli_Access_Manager_Runtime_Environment

Paraobtener informacióndetallada sobrelainstalación yutilizacióndeTivoli AccessManager,consulteladocumentaciónproporcionadaenelsitio

http://www.tivoli.com/products/index/secureway_policy_dir/index.htm.

Cómo

bajar

e

instalar

el

componente

Client

Security

ElcomponenteClientSecurityestádisponibleparabajarlogratuitamentedelsitio Webde IBM.

ParabajareinstalarelcomponenteClientSecurityenelservidorTivoliAccess Manager yelcliente deIBM,completeelprocedimientosiguiente:

1. UtilizandolainformacióndelsitioWeb,compruebe sisu máquinatiene instaladoelchipIBMSecurityChipintegrado;paraellobusque sunúmerode modelo enlatabla derequisitosdelsistema;despuéspulseContinue

(Continuar).

2. Seleccione elbotónde selecciónquesecorresponda consu tipodemáquinay pulseContinue(Continuar).

3. CreeunIDde usuario,regístreseconIBM rellenandoelformularioenlíneay revise elAcuerdodelicencia; despuéspulseAcceptLicence(Aceptola licencia).

(50)

4. Sigalospasos deestapáginaparainstalartodosloscontroladoresde dispositivonecesarios,losarchivosreadme,elsoftware,losdocumentosde referenciay losprogramasdeutilidadadicionales.

5. InstaleClient SecuritySoftwarecompletandoelprocedimientosiguiente: a. Enelescritoriode Windows,pulseInicio>Ejecutar.

b. EnelcampoEjecutar,escriba d:\directorio\csec53.exe,donde

d:\directorio\ eslaletradelaunidadyeldirectoriodondeseencuentrael archivo.

c. PulseAceptar.

SeabrelaventanaBienvenidoalAsistente deInstallShieldparaIBMClient SecuritySoftware.

d. PulseSiguiente.

Elasistenteextraerálosarchivose instalaráelsoftware.Cuandosehaya completadolainstalación,seledarálaopciónde reiniciarelsistemaen esemomentoo hacerlomástarde.

e. Seleccioneelbotóndeselecciónadecuadoy pulseAceptar.

6. Cuando sereinicie elsistema,enelescritoriodeWindows,pulseInicio> Ejecutar.

7. En elcampoEjecutar, escriba d:\directorio\TAMCSS.exe,donde

d:\directorio\ eslaletradelaunidadyeldirectoriodonde seencuentrael archivo, opulseExaminarparalocalizar elarchivo.

8. PulseAceptar.

9. EspecifiqueunacarpetadedestinoypulseUnzip(Descomprimir).

Elasistenteextraerálosarchivosenlacarpetaespecificada.Un mensajeindica silosarchivossehandescomprimidosatisfactoriamente.

10. PulseAceptar.

Adición

de

componentes

Client

Security

en

el

servidor

Tivoli

Access

Manager

Elprogramadeutilidadpdadminesunaherramientadelíneade mandatosqueel administrador puedeutilizarparaefectuarlamayoríadelastareasde

administraciónde TivoliAccessManager.Laejecución devariosmandatospermite aladministradorutilizarunarchivoquecontengavariosmandatosdepdadmin paraefectuar unatareacompletaouna seriedetareas.Lacomunicaciónentreel programa deutilidadpdadminyManagementServer (pdmgrd)estáprotegida sobreSSL.Elprogramade utilidadpdadminseinstalacomopartedelpaquete TivoliAccessManagerRuntimeEnvironment.(PDRTE).

Elprogramadeutilidadpdadminaceptaunargumentodenombre dearchivoque identifiquelaubicaciónde talarchivo, porejemplo:

MSDOS>pdadmin [-a <usuario-admin >][-p <contraseña >]<nombrevía-archivo > Elmandatosiguienteesunejemplodecómo crearelespaciodeobjetosIBM Solutions,lasaccionesdeClientSecurityy lasentradasACLindividualesenel servidor TivoliAccessManager:

MSDOS>pdadmin -a director_seg -p contraseña C:\TAM_Add_ClientSecurity.txt Consulte elmanualTivoliAccess ManagerBaseAdministratorGuideparaobtenermás