ProtectTools Security Manager

Guía de referenciaProtectTools Security Manager

Número de referencia del documento: 389171-163

Febrero de 2006

© Copyright 2005, 2006 Hewlett-Packard Development Company, L.P.

Microsoft y Windows son marcas comerciales registradas de Microsoft Corporation en los EE. UU. Java es una marca registrada de Sun Microsystems, Inc. en los EE. UU. Intel es una marca comercial o una marca registrada de Intel Corporation o de sus subsidiarias en los EE. UU. y en otros países.

La información contenida en el presente documento está sujeta a cambios sin previo aviso. Las únicas garantías para productos y servicios HP están establecidas en las declaraciones de garantía explícitas que acompañan a dichos productos y servicios. Ninguna información contenida en este documento debe ser interpretada como una garantía adicional. HP no se responsabilizará por errores técnicos o de edición ni por omisiones contenidas en el presente documento.

Guía de referenciaProtectTools Security ManagerTercera edición: febrero de 2006Primera edición: mayo de 2005Número de referencia del documento: 389171-163

Contenido

1 Introducción

ProtectTools Security Manager . . . . . . . . . . . . . . . . . . . . 1–1Acceso a ProtectTools Security Manager . . . . . . . . . 1–2

Comprensión de los roles de seguridad . . . . . . . . . . . . . . 1–3Administración de contraseñas para ProtectTools . . . . . . 1–4

Creación de una contraseña segura . . . . . . . . . . . . . . 1–8

2 Smart Card Security for ProtectTools

Conceptos básicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–1Inicialización de una smart card. . . . . . . . . . . . . . . . . . . . 2–2Modo de seguridad de BIOS de smart card . . . . . . . . . . . 2–3

Activación del modo de seguridad de BIOS de smart card y definición de la contraseña de administrador de smart card: . . . . . . . . . . . . . . . . . . . 2–4Cambio de la contraseña de administrador de smart card . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–6Definición y cambio de contraseña de usuario de smart card . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–7Almacenamiento de la contraseña de administrador o de usuario . . . . . . . . . . . . . . . . . . . . 2–8

Tareas generales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–10Actualización de la configuración de smart card en el BIOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–10Selección del lector de smart card . . . . . . . . . . . . . . 2–10Cambio del PIN de una smart card . . . . . . . . . . . . . 2–11Copia de seguridad y restauración de smart card . . 2–11

Guía de referencia iii

Contenido

3 Java Card Security for ProtectTools

Conceptos básicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–1Tareas generales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–2

Cambio del PIN de una Java Card. . . . . . . . . . . . . . . 3–2Selección del lector de smart card . . . . . . . . . . . . . . . 3–3

Tareas avanzadas (sólo para administradores) . . . . . . . . . 3–4Asignación de un PIN a una Java Card . . . . . . . . . . . 3–4Asignación de un nombre a una Java Card . . . . . . . . 3–5Configuración de autenticación de inicio . . . . . . . . . 3–6Copia de seguridad y restauración de Java Card . . . 3–10

4 Embedded Security for ProtectTools

Conceptos básicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–1Procedimientos de configuración. . . . . . . . . . . . . . . . . . . 4–2

Activación del chip de seguridad integrado . . . . . . . 4–2Inicialización del chip de seguridad integrado . . . . . 4–3Configuración de una cuenta de usuario básico . . . . 4–5

Tareas generales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–7Uso de la unidad segura personal . . . . . . . . . . . . . . . 4–7Encriptación de archivos y carpetas . . . . . . . . . . . . . 4–7Envío y recepción de correo electrónico encriptado . 4–8Cambio de contraseña de clave de usuario básico. . . 4–8

Tareas avanzadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–9Copias de seguridad y restauración . . . . . . . . . . . . . . 4–9Cambio de contraseña de propietario . . . . . . . . . . . 4–11Reconfiguración de una contraseña de usuario . . . . 4–11Activación y desactivación de Embedded Security. 4–11Migración de claves con el asistente de migración . 4–13

5 BIOS Configuration for ProtectTools

Conceptos básicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–1Tareas generales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–2

Administración de opciones de arranque. . . . . . . . . . 5–2

Guía de referencia iv

Contenido

Activación y desactivación de las opciones de configuración del sistema . . . . . . . . . . . . . . . . . . . . . 5–3

Tareas avanzadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–5Administración de configuración de ProtectTools . . 5–5Administración de contraseñas de la utilidad de configuración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–8

6 Credential Manager for ProtectTools

Conceptos básicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6–1Procedimientos de configuración. . . . . . . . . . . . . . . . . . . 6–2

Inicio de sesión en Credential Manager . . . . . . . . . . 6–2Registro de credenciales . . . . . . . . . . . . . . . . . . . . . . 6–5

Tareas generales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6–9Creación de un token virtual . . . . . . . . . . . . . . . . . . . 6–9Cambio de la contraseña de inicio de sesión de Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6–10Cambio del PIN de un token . . . . . . . . . . . . . . . . . . 6–10Administración de identidad . . . . . . . . . . . . . . . . . . 6–11Bloqueo del equipo . . . . . . . . . . . . . . . . . . . . . . . . . 6–13Uso de inicio de sesión de red de Microsoft . . . . . . 6–14Uso del registro único (Single Sign On) . . . . . . . . . 6–17

Tareas avanzadas (sólo para administradores) . . . . . . . . 6–22Especificación de cómo los usuarios y los administradores inician la sesión. . . . . . . . . . . . . . . 6–22Configuración de requisitos de autenticación personalizados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6–23Configuración de las propiedades de Credential Manager . . . . . . . . . . . . . . . . . . . . . . . . . 6–24Configuración de Credential Manager . . . . . . . . . . 6–25

Glosario

Índice

Guía de referencia v

1Introducción

ProtectTools Security ManagerEl software ProtectTools Security Manager proporciona recursos de seguridad que le ayudan a protegerse contra el acceso no autorizado al equipo, a las redes y a datos críticos. El recurso de seguridad optimizada se suministra a través de los siguientes módulos de software:

Smart Card Security for ProtectTools

Java Card Security for ProtectTools

Embedded Security for ProtectTools

BIOS Configuration for ProtectTools

Credential Manager for ProtectTools

Los módulos de software disponibles para su equipo pueden variar según el modelo. Por ejemplo, Embedded Security for ProtectTools requiere que el chip de seguridad integrado Trusted Platform Module (TPM) (sólo en algunos modelos) se encuentre instalado en el equipo y Smart Card Security for ProtectTools requiere una smart card y un lector opcionales.

Los módulos de software ProtectTools pueden estar preinstalados, precargados o disponibles para su descarga desde el sitio Web de HP. Para obtener más información, visite http://www.hp.com/la.

Las instrucciones de esta guía han sido redactadas bajo el supuesto de que ya han sido instalados los módulos de software ProtectTools correspondientes.

Guía de referencia 1–1

http://www.hp.com/la

Introducción

Acceso a ProtectTools Security Manager

Para acceder a ProtectTools Security Manager desde el Panel de control de Microsoft® Windows®:

» Seleccione Inicio > Todos los programas > HP ProtectTools Security Manager.

Después de haber configurado el módulo Credential Manager, también es posible abrir ProtectTools iniciando la sesión directamente en Credential Manager desde la pantalla de inicio de sesión de Windows. Para obtener más información, consulte “Inicio de sesión en Windows con Credential Manager”, en el Capítulo 6, “Credential Manager for ProtectTools”.


Introducción

Comprensión de los roles de seguridad

En la administración de la seguridad de equipos (particularmente en grandes organizaciones), una importante práctica consiste en dividir responsabilidades y derechos entre varios tipos de administradores y usuarios.

En una pequeña organización o para uso individual, estos roles pueden ser asumidos por una misma persona.

Para ProtectTools, los deberes y privilegios de seguridad pueden ser divididos en los siguientes roles:

Funcionario de seguridad: define el nivel de seguridad para la empresa o red y determina los recursos de seguridad para implementar, como smart card, lectores biométricos o tokens USB.

Muchos de los recursos en ProtectTools pueden ser personalizados por el funcionario de seguridad en cooperación con HP. Para obtener más información, visite http://www.hp.com/la.

Administrador de TI: aplica y administra los recursos de seguridad definidos por el funcionario de seguridad. También puede activar o desactivar algunos recursos. Por ejemplo, si el funcionario de seguridad ha decidido implementar smart card, el administrador de TI puede activar el modo de seguridad de smart card en el BIOS.

Usuario: utiliza los recursos de seguridad. Por ejemplo, si el funcionario de seguridad y el administrador de TI han activado smart card para el sistema, el usuario puede definir el PIN de la smart card y utilizar la tarjeta para su autenticación.


http://www.hp.com/la

Introducción

Administración de contraseñas para ProtectTools

La mayoría de los recursos de ProtectTools Security Manager son protegidos por contraseñas. La siguiente tabla enumera las contraseñas más comúnmente utilizadas, el módulo de software donde se define la contraseña y la función de la misma.

Las contraseñas que son definidas y utilizadas sólo por administradores de TI también son indicadas en esta tabla. Todas las demás contraseñas pueden ser definidas por usuarios o administradores habituales.

Contraseña de ProtectTools

Definida en este módulo de ProtectTools Función

Contraseña de configuración en la utilidad de configuración

También conocida como contraseña de administrador de BIOS, de la utilidad de configuración f10 o de configuración de seguridad.

BIOS Configuration, por el administrador de TI

Protege contra el acceso no autorizado a la utilidad de configuración.

Contraseña de inicio BIOS Configuration Protege contra el acceso no autorizado al contenido del equipo cuando éste se inicia, se reinicia o sale de la hibernación.

(Continuación)


Introducción

Contraseña de administrador de smart card

También conocida como contraseña de tarjeta de administrador de BIOS

Smart Card Security,por el administrador de TI

Utilizada para realizar una autenticación de inicio (BIOS) de smart card. Permite el acceso a la utilidad de configuración y al contenido del equipo cuando éste se inicia, se reinicia o sale de la hibernación. Permite crear archivos de recuperación para restaurar las tarjetas de usuario o de administrador.

Contraseña de usuario de smart card

También conocida como contraseña de tarjeta de usuario de BIOS

Smart Card Security Utilizada para realizar una autenticación de inicio (BIOS) de smart card.Permite el acceso al contenido del equipo cuando éste se inicia, se reinicia o sale de la hibernación.

PIN de smart card Smart Card Security Protege contra el acceso al contenido de la smart card y autentica a los usuarios de la smart card.Cuando se utiliza para realizar autenticación de inicio, el PIN de smart card también protege contra el acceso a la utilidad de configuración y al contenido del equipo.

Contraseña de archivo de recuperación de smart card

Smart Card Security Protege el acceso al archivo de recuperación que contiene las contraseñas del BIOS.

(Continuación)




Introducción

PIN de Java™ Card Seguridad de Java Card

Protege contra el acceso al contenido de la Java Card y autentica a los usuarios de la Java Card.Cuando se utiliza para realizar autenticación de inicio, el PIN de Java Card también protege contra el acceso a la utilidad de configuración y al contenido del equipo.

Contraseña de clave de usuario básico

También conocida como contraseña de Embedded Security.

Embedded Security Utilizada para acceder a los recursos de Embedded Security, por ejemplo correo electrónico seguro, encriptación de archivos y carpetas. Cuando se utiliza para realizar la autenticación de inicio, también protege el acceso al contenido del equipo cuando éste se inicia, se reinicia o sale de la hibernación.

Contraseña de token de recuperación de emergencia

También conocida como contraseña de clave de token de recuperación de emergencia.

Embedded Security, por el administrador de TI

Protege el acceso al token de recuperación de emergencia, que es un archivo de seguridad para el chip de seguridad integrado.

(Continuación)




Introducción

Contraseña de propietario Embedded Security, por el administrador de TI

Protege al sistema y al chip TPM contra el acceso no autorizado a todas las funciones de propietario de Embedded Security.

Contraseña de inicio de sesión de Credential Manager

Credential Manager Esta contraseña ofrece dos opciones:

Puede ser utilizada en un inicio de sesión separado para acceder a Credential Manager después de iniciar la sesión de Microsoft Windows.

Puede usarse en lugar del proceso de inicio de sesión de Windows, posibilitando el acceso a Windows y a Credential Manager simultáneamente.

Contraseña de archivo de recuperación de Credential Manager

Credential Manager, por el administrador de TI

Protege el acceso al archivo de recuperación de Credential Manager.

Contraseña de inicio de sesión de Windows

Panel de control de Windows

Puede utilizarse en el inicio de sesión manual o guardado en la smart card.




Introducción

Creación de una contraseña segura

Cuando cree contraseñas, primero debe seguir las especificaciones definidas por el programa. Sin embargo, en general debe tener en cuenta las siguientes pautas que le ayudarán a crear contraseñas sólidas y a reducir las oportunidades de que su contraseña sea violada:

Utilice contraseñas con más de seis caracteres, preferiblemente más de ocho.

Mezcle mayúsculas y minúsculas en la contraseña.

Cuando sea posible, mezcle caracteres alfanuméricos e incluya caracteres especiales y signos de puntuación.

Substituya caracteres especiales o números por letras en una palabra clave. Por ejemplo, puede utilizar el número 1 para letras I o L.

Combine palabras en dos o más idiomas.

Divida una palabra o frase con números o caracteres especiales en el medio, por ejemplo, “Mary2-2Cat45”.

No utilice contraseñas que puedan aparecer en el diccionario.

No utilice su nombre en la contraseña ni ninguna otra información personal, como la fecha de nacimiento, nombres de mascotas o el apellido de soltera, incluso escribiéndolo de forma invertida.

Cambie las contraseñas regularmente. Puede cambiarlas sólo añadiendo un par de caracteres.

Si anota la contraseña, no la guarde en un lugar muy visible cerca del equipo.

No guarde la contraseña en un archivo, como por ejemplo un mensaje de correo electrónico, en el equipo.

No comparta cuentas ni le diga a nadie su contraseña.


2Smart Card Security for

ProtectTools

Conceptos básicosSmart Card Security for ProtectTools administra la instalación y la configuración de smart card para equipos que poseen un lector de smart card opcional.

Con Smart Card Security, usted puede:

Acceder a recursos de seguridad de smart card.

Inicializar una smart card de modo que pueda utilizarla con otros módulos ProtectTools, como Credential Manager for ProtectTools.

Trabajar con la utilidad de configuración para activar la autenticación de smart card en un entorno de inicio y configurar smart card específicas para un administrador y un usuario. Esto requiere que un usuario inserte la smart card y opcionalmente ingrese un PIN antes de permitir que el sistema operativo cargue.

Definir y cambiar la contraseña usada para autenticar usuarios de smart card.

Hacer copias de seguridad y restaurar contraseñas de BIOS de smart card almacenadas en una smart card.



Inicialización de una smart cardDebe inicializar la smart card antes de utilizarla.

Para inicializar la smart card:

1. Inserte la smart card en el lector.

2. Seleccione Inicio > Todos los programas > HP ProtectTools Security Manager.

3. En el panel izquierdo, seleccione Smart Card Security y luego seleccione Smart Card.

4. En el panel derecho, haga clic en Inicializar.

5. Escriba su nombre en la primera casilla en el cuadro de diálogo Inicializar la smart card.

6. Defina y confirme el PIN de la smart card en las cajas apropiadas. El código PIN debe tener entre 4 y 8 caracteres numéricos.

Ä Para evitar perder acceso al equipo, no olvide el PIN de la smart card. Si olvida el PIN de su smart card, puede ser imposible operar el equipo. La smart card se bloqueará y quedará inutilizable a menos que se ingrese correctamente el PIN de la smart card en un máximo de cinco intentos. El conteo de estos intentos vuelve a cero después de ingresar el PIN correcto.

7. Haga clic en Aceptar para completar la inicialización.



Modo de seguridad de BIOS de smart card

Cuando está activado, el modo de seguridad de BIOS de smart card le solicitará utilizar una smart card para iniciar el equipo.

El proceso de activación del modo de seguridad de BIOS de smart card incluye los siguientes pasos:

1. Activar el soporte de autenticación de inicio de smart card en la configuración de BIOS. Consulte “Activación y desactivación del soporte de autenticación de inicio con smart card o Java Card,” en el Capítulo 5, “BIOS Configuration for ProtectTools”.

La activación de este recurso le permite utilizar una smart card para realizar una autenticación de inicio. Los recursos del modo de seguridad de BIOS de smart card permanecerán indisponibles hasta que active el soporte de autenticación de inicio de smart card.

2. Activación del modo de seguridad de BIOS de smart card en Smart Card Security. Consulte “Activación del modo de seguridad de BIOS de smart card y definición de la contraseña de administrador de smart card:”, más adelante en este capítulo.

3. Definición de la contraseña de administrador de smart card.

La contraseña de administrador de smart card se define como parte del proceso de activación del modo de seguridad de BIOS de smart card.

La contraseña de administrador de smart card no es la misma que la contraseña de configuración de la utilidad de configuración. La contraseña de administrador de smart card vincula la smart card al equipo para fines de identificación y también le permite hacer lo siguiente:

Acceder a la utilidad de configuración o al contenido del equipo.



Crear nuevas smart card de administrador y de usuario.

Crear un archivo de recuperación para restaurar una smart card de administrador o de usuario.

Activación del modo de seguridad de BIOS de smart card y definición de la contraseña de administrador de smart card:

Para activar el modo de seguridad de BIOS de smart card y definir la contraseña de administrador de smart card:


2. En el panel izquierdo, seleccione Smart Card Security y luego seleccione BIOS.

3. En el panel derecho, en Modo de seguridad de BIOS, haga clic en Activar.

4. Haga clic en Siguiente.

5. Ingrese la contraseña de configuración de la utilidad de configuración en el indicador y haga clic en Siguiente.

6. Inserte la nueva smart card de administrador y siga las instrucciones en la pantalla. Las instrucciones varían y pueden incluir las siguientes tareas:

Inicialización de smart card. Consulte “Inicialización de una smart card” para obtener instrucciones detalladas.

Definición de una contraseña de administrador de smart card. Consulte “Almacenamiento de la contraseña de administrador o de usuario” para obtener instrucciones detalladas.

Creación de un archivo de recuperación. Consulte “Creación de un archivo de recuperación” para obtener instrucciones detalladas.



Desactivación del modo de seguridad de BIOS de smart card

Al desactivar el modo de seguridad de BIOS de smart card, se desactivan las contraseñas de administrador y de usuario de smart card y ya no será más necesario el uso de la smart card para acceder al equipo.

Si el modo de seguridad de BIOS de smart card ha sido previamente activado, el botón de la página de “BIOS de Smart Card Security” cambiará a Desactivar.

Para desactivar smart card security:



3. En el panel derecho, en Modo de seguridad de BIOS, haga clic en Desactivar.

4. Inserte la tarjeta que contiene la actual contraseña de administrador de smart card y luego haga clic en Siguiente.

5. Ingrese el PIN de la smart card cuando se le indique y haga clic en Finalizar.



Cambio de la contraseña de administrador de smart card

La contraseña de administrador de smart card es definida como parte del proceso de activación del modo de seguridad de BIOS de smart card. Puede cambiar la contraseña de administrador de smart card después de haberla definido. Consulte “Modo de seguridad de BIOS de smart card,”, que aparece anteriormente en este capítulo, para obtener más información sobre la contraseña de administrador de smart card.

El siguiente procedimiento actualiza la contraseña de administrador de smart card almacenada en la tarjeta y en la utilidad de configuración.

Para definir la contraseña de administrador de smart card:



3. En el panel derecho, en Modo de seguridad de BIOS, al lado de la tarjeta de administrador de BIOS, haga clic en Cambiar.

4. Ingrese el PIN de la smart card y haga clic en Siguiente.

5. Inserte la nueva tarjeta de administrador y haga clic en Siguiente.

6. Ingrese el PIN de la smart card y haga clic en Finalizar.



Definición y cambio de contraseña de usuario de smart card

Para definir o cambiar la contraseña de usuario de smart card:



3. En el panel derecho, en Modo de seguridad de BIOS, al lado de tarjeta de usuario de BIOS, haga clic en el botón Configurar.

Si ya existe una contraseña de usuario en la utilidad de configuración, haga clic en el botón Cambiar.

4. Ingrese el PIN de la smart card y haga clic en Siguiente.

5. Inserte la nueva tarjeta de usuario y haga clic en Siguiente.

Si ya existe una contraseña de usuario en la tarjeta, aparecerá el cuadro de diálogo Finalizar. Omita los pasos 6 a 8 y vaya al paso 9.

Si no hay ninguna contraseña de usuario en la tarjeta, se abrirá el Asistente de contraseña de BIOS.

6. En el Asistente de contraseña de BIOS, es posible realizar una de las siguientes tareas:

Ingresar una contraseña manualmente.

Generar una contraseña aleatoria de 32 bytes.

El uso de una contraseña conocida le permite crear tarjetas duplicadas sin utilizar un archivo de recuperación. La generación de una contraseña aleatoria ofrece mayor seguridad. Sin embargo, para hacer tarjetas de copia de seguridad debe tener un archivo de recuperación.



7. En Requisitos de inicio, seleccione la casilla de verificación si requiere el ingreso del PIN de la smart card al iniciar.

Si no requiere ingresar el PIN de la smart card al inicio, desmarque esta casilla.

8. Ingrese el PIN de la smart card y haga clic en Aceptar. El sistema le solicitará crear un archivo de recuperación.

Se recomienda enfáticamente crear un archivo de recuperación. Para obtener más información, consulte “Creación de un archivo de recuperación”, más adelante en este capítulo.

9. Ingrese el PIN de la smart card en el cuadro de diálogo Finalizar y luego haga clic en Finalizar.

Almacenamiento de la contraseña de administrador o de usuario

Si desea crear una tarjeta de copia de seguridad y ya ha definido la contraseña de administrador, puede almacenar la contraseña en la nueva tarjeta.

ÄPRECAUCIÓN: Este procedimiento actualiza sólo la contraseña en la tarjeta y no en la utilidad de configuración. No será posible acceder al equipo con la nueva tarjeta.

Para almacenar la contraseña de administrador o de usuario:

1. Inserte una smart card en el lector.





4. En el panel derecho, en Contraseña de BIOS en Smart Card, haga clic en Almacenar.

5. En el Asistente de contraseña de BIOS, es posible realizar una de las siguientes tareas:

Ingresar una contraseña manualmente.

Generar una contraseña aleatoria de 32 bytes.

El uso de una contraseña conocida le permite crear tarjetas duplicadas sin utilizar un archivo de recuperación. La generación de una contraseña aleatoria ofrece mayor seguridad. Sin embargo, para hacer tarjetas de copia de seguridad debe tener un archivo de recuperación.

6. En Privilegio de acceso, haga clic en Administrador o Usuario para el tipo de tarjeta.

7. En Requisitos de inicio, seleccione la casilla de verificación si requiere el ingreso del PIN de la smart card al inicio.

Si no requiere ingresar el PIN de la smart card al inicio, desmarque esta casilla.

8. Ingrese el PIN de la smart card y haga clic en Aceptar.

9. Ingrese de nuevo el PIN de la smart card en el cuadro de diálogo Finalizar y luego haga clic en Finalizar. El sistema le solicitará crear un archivo de recuperación.

Se recomienda enfáticamente crear un archivo de recuperación de smart card. Para obtener más información, consulte “Creación de un archivo de recuperación”, más adelante en este capítulo.



Tareas generales

Actualización de la configuración de smart card en el BIOS

Para exigir un PIN de smart card cuando reinicia el equipo:



3. En el panel derecho, en Propiedades de contraseña de BIOS en Smart Card, haga clic en Configuración.

4. Seleccione la casilla de verificación para requerir un PIN al reiniciar.

Para eliminar este requerimiento, desmarque la casilla de verificación.


Selección del lector de smart card

Asegúrese de seleccionar el lector de smart card correcto en Smart Card Security antes de utilizar la smart card. Si no se selecciona el lector correcto en Smart Card Security, puede ser que algunos de los recursos no estén disponibles o no se muestren correctamente.

Para seleccionar el lector de smart card:


2. En el panel izquierdo, seleccione Smart Card Security y luego seleccione General.

3. En el panel derecho, en Lector de Smart Card, seleccione el lector correcto.

4. Inserte la smart card en el lector. La información del lector se actualizará automáticamente.



Cambio del PIN de una smart card

Para cambiar el PIN de una smart card:



3. En el panel derecho en Cambiar PIN, haga clic en Cambiar PIN.

4. Escriba su actual PIN de la smart card.

5. Defina y confirme el nuevo PIN.

6. Haga clic en Aceptar en el cuadro de diálogo de confirmación.

Copia de seguridad y restauración de smart card

Después de haber inicializado una smart card y de que la tarjeta esté lista para su uso, se recomienda enfáticamente crear un archivo de recuperación de la smart card. El archivo de recuperación puede utilizarse para transferir los datos de una smart card a otra. Este archivo también puede utilizarse para hacer una copia de seguridad de la smart card original para recuperar los datos en caso de que se pierda o sea robada.

ÄPRECAUCIÓN: Para evitar tener un archivo de recuperación que no corresponde a una smart card con información actualizada, cree inmediatamente un nuevo archivo de recuperación y almacénelo en un lugar seguro. Si mantiene una smart card de copia de seguridad, también debe actualizar la información de ésta restaurando el nuevo archivo de recuperación en esa smart card.



Creación de un archivo de recuperación

Para crear un archivo de recuperación:



3. En el panel derecho, en Recuperación, haga clic en Crear.


5. Ingrese la ruta y el nombre del archivo en el cuadro Nombre de archivo.

Ä Para evitar perder el acceso al equipo, no guarde el archivo de recuperación en la unidad de disco duro del equipo ya que no podrá acceder al archivo sin la smart card. Por otra parte, otras personas pueden acceder a un archivo de recuperación guardado en la unidad de disco duro, presentando un riesgo de seguridad.

6. Defina y confirme una contraseña de archivo de recuperación y luego haga clic en Aceptar.

ÄPRECAUCIÓN: Para evitar la pérdida de los datos del archivo de recuperación de la smart card, no olvide la contraseña del archivo de recuperación. No podrá volver a crear su tarjeta a partir del archivo de recuperación si olvida la contraseña.



Restauración de los datos de una smart card

Es posible restaurar los datos de la smart card desde el archivo de recuperación. Esto resulta especialmente útil si la tarjeta se pierde o es robada o si desea crear una copia de seguridad de la smart card. Si utiliza una tarjeta que posee datos anteriores almacenados, los datos se sobrescribirán.

Antes de comenzar, necesitará lo siguiente:

Acceso al equipo con el software Smart Card Security instalado

Archivo de recuperación de la smart card

Contraseña del archivo de recuperación de la smart card

Smart card

Para restaurar una smart card:



3. Inserte el disquete u otros medios que contengan el archivo de recuperación de la smart card.

4. Inserte una smart card en el lector. Si la tarjeta no está inicializada, se le solicitará inicializarla. Para obtener instrucciones detalladas sobre la inicialización de la smart card, consulte “Inicialización de una smart card”, que aparece anteriormente en este capítulo.

5. En el panel derecho, en Recuperación, haga clic en Restaurar.

6. Asegúrese de seleccionar el nombre del archivo de recuperación correcto e ingrese la contraseña del archivo de recuperación.

7. Ingrese el PIN de la smart card.

8. Haga clic en Aceptar. El contenido de la smart card original se restaura en la nueva smart card.



Creación de una copia de seguridad de una smart card

Se recomienda enfáticamente crear smart card duplicadas para fines de copia de seguridad. Se puede utilizar dos métodos para crear una tarjeta de copia de seguridad, dependiendo de si la contraseña de la smart card ha sido generada de forma manual o aleatoria.

Para crear una smart card de reemplazo con una contraseña de smart card generada de forma aleatoria:

» Inserte una smart card en el lector y luego cargue el archivo de recuperación apropiado en la misma. Para obtener más información, consulte “Restauración de los datos de una smart card”, que aparece anteriormente en este capítulo.

Para crear una smart card de reemplazo con una contraseña de smart card generada manualmente:

1. Inicialice una smart card nueva. Para obtener instrucciones, consulte “Inicialización de una smart card”, que aparece anteriormente en este capítulo.

2. Guarde la contraseña de administrador o usuario de la tarjeta en la nueva smart card. Para obtener instrucciones, consulte “Almacenamiento de la contraseña de administrador o de usuario”, que aparece anteriormente en este capítulo.


3Java Card Security for

ProtectTools

Conceptos básicosJava Card Security for ProtectTools administra la instalación y la configuración de las Java Card para equipos que poseen un lector de smart card opcional.

Con Java Card Security, es posible:

Acceder a recursos de seguridad de Java Card.

Trabajar con la utilidad de configuración para activar la autenticación de Java Card en un entorno de preinicio y configurar Java Card específicas para un administrador y un usuario. Esto requiere que un usuario inserte la Java Card e ingrese un PIN para permitir que el sistema operativo cargue.

Definir y cambiar el PIN usado para autenticar usuarios de la Java Card.

Efectuar una copia de seguridad y restaurar la autenticación de inicio en la Java Card.



Tareas generalesLa página “General” le permite realizar las siguientes tareas:

Cambiar el PIN de una Java Card

Seleccionar el lector de smart card

El lector de smart card utiliza tanto Java Card como smart card. Este recurso está disponible si cuenta con más de un lector de smart card en el equipo.

Cambio del PIN de una Java Card

Para cambiar el PIN de una Java Card:

El PIN de una Java Card debe tener entre 4 y 8 caracteres numéricos.


2. En el panel izquierdo, seleccione Java Card Security, y luego seleccione General.

3. Inserte una Java Card (con un PIN existente) en el lector de smart card.

4. En el panel derecho, haga clic en Cambiar.

5. En el cuadro de diálogo Cambiar PIN, ingrese el PIN actual en la casilla PIN actual.

6. Ingrese un nuevo PIN en el cuadro Nuevo PIN y luego ingrese el PIN nuevamente en la casilla Confirmar nuevo PIN.

7. Haga clic en Aceptar.



Selección del lector de smart card

Asegúrese de seleccionar el lector de smart card correcto en Java Card Security antes de utilizar la Java Card. Si no se selecciona el lector correcto en Java Card Security, puede ser que algunos de los recursos no estén disponibles o no se muestren correctamente.

Para seleccionar el lector de smart card:


2. En el panel izquierdo, seleccione Java Card Security y luego seleccione General.

3. Inserte la Java Card en el lector de smart card.

4. En el panel derecho, en Lector de Smart Card, seleccione el lector correcto.



Tareas avanzadas (sólo para administradores)

La página “Avanzadas” le permite realizar las siguientes tareas:

Asignar un PIN a una Java Card

Asignar un nombre a una Java Card

Definir la autenticación de inicio

Efectuar una copia de seguridad y restaurar Java Card

Debe tener una contraseña de configuración de la utilidad de configuración para llegar a la página “Avanzadas”.

Asignación de un PIN a una Java Card

Debe asignar un PIN a una Java Card antes de poder utilizarla para la autenticación de inicio.

Para asignar un PIN a una Java Card:

El PIN de la Java Card debe tener entre 4 y 8 caracteres numéricos.


2. En el panel izquierdo, seleccione Java Card Security, y luego seleccione General.

3. Inserte una nueva Java Card en el lector de smart card.

4. Cuando se abra el cuadro de diálogo Cambiar PIN, ingrese un nuevo PIN en la casilla Nuevo PIN y luego ingrese el PIN nuevamente en la casilla Confirmar nuevo PIN.




Asignación de un nombre a una Java Card

Debe asignar un nombre a una Java Card antes de poder utilizarla para la autenticación de inicio.

Para asignar un nombre a una Java Card:


2. En el panel izquierdo, seleccione Java Card Security y luego seleccione Avanzadas.

3. Cuando aparezca el cuadro de diálogo Contraseña de configuración, ingrese su contraseña de configuración de la utilidad de configuración y luego haga clic en Aceptar.


Si no asignó un PIN a esta tarjeta, se abre el cuadro de diálogo Cambiar PIN, permitiéndole ingresar un nuevo PIN.

5. En el panel derecho, en Nombre de Java Card, haga clic en Cambiar.

6. Ingrese un nombre para la Java Card en el cuadro Nombre.

7. Ingrese el PIN actual de la Java Card en la casilla PIN.




Configuración de autenticación de inicio

Cuando está activada, la autenticación de inicio requiere que utilice una Java Card para iniciar el equipo.

El proceso de activación de la autenticación de inicio de Java Card implica los siguientes pasos:

1. Activación del soporte de autenticación de inicio de Java Card en BIOS Configuration o en la utilidad de configuración. Consulte “Activación y desactivación del soporte de autenticación de inicio con smart card o Java Card,” en el Capítulo 5, “BIOS Configuration for ProtectTools”.

2. Activación de la autenticación de inicio de Java Card en Java Card Security. Consulte Activación de la autenticación de inicio de Java Card y creación de una Java Card de administrador”, más adelante en este capítulo.

3. Creación y activación de una Java Card de administrador.



Activación de la autenticación de inicio de Java Card y creación de una Java Card de administrador

Para activar la autenticación de inicio con Java Card:


2. En el panel izquierdo, seleccione Java Card Security, y luego seleccione Avanzadas.

3. Cuando aparezca el cuadro de diálogo Contraseña de Computer Setup, ingrese su contraseña de la utilidad de configuración y luego haga clic en Aceptar.


Si no asignó un PIN a esta tarjeta, se abrirá el cuadro de diálogo Cambiar PIN, permitiéndole ingresar un nuevo PIN.

5. En el panel derecho, en Autenticación de inicio, haga clic en la casilla de verificación Activar.

6. Si DriveLock no está activado, ingrese el PIN de la Java Card y luego haga clic en Aceptar.

– o –

Si DriveLock está activado:

a. Seleccione Hacer que la identidad de Java Card sea única.

– o –

Seleccione Hacer que la identidad de la Java Card sea igual a la contraseña de DriveLock.

Si DriveLock está activado en el equipo, puede configurar la identidad de Java Card para que sea la misma que la contraseña de usuario de DriveLock,



que le permite validar tanto DriveLock como Java Card utilizando sólo Java Card cuando inicie el equipo.

b. Si corresponde, ingrese su contraseña de usuario de DriveLock en el cuadro Contraseña de DriveLock, y luego ingrésela nuevamente en el cuadro Confirmar contraseña.

c. Ingrese el PIN de la Java Card.

d. Haga clic en Aceptar.

7. Cuando se le solicite crear un archivo de recuperación, consulte “Creación de un archivo de recuperación”, o puede hacer clic en Cancelar y crear un archivo de recuperación más adelante.

Creación de una Java Card de usuario

Para crear una Java Card de usuario deben configurarse una autenticación de inicio y una tarjeta de administrador.

Para crear una Java Card de usuario:




4. Inserte una Java Card que se utilizará como tarjeta de usuario.

5. En el panel derecho, en Autenticación de inicio, haga clic en Crear al lado de Identidad de la tarjeta de usuario.

6. Ingrese un PIN para la Java Card de usuario y luego haga clic en Aceptar.



Desactivación de la autenticación de inicio con Java Card

Cuando desactive la autenticación de inicio con Java Card, ya no se necesitará el uso de una Java Card para acceder al equipo.

Para desactivar la autenticación de inicio con Java Card:




4. Inserte la Java Card, ingrese el PIN, y luego haga clic en Aceptar.

5. En el panel derecho, en Autenticación de inicio, desmarque la casilla de verificación Activar.



Copia de seguridad y restauración de Java Card

Una vez que haya asignado la identidad de autenticación de inicio a una Java Card, se recomienda enfáticamente que cree un archivo de recuperación de Java Card. El archivo de recuperación puede usarse para transferir la identidad de autenticación de inicio de una Java Card a otra. Este archivo puede utilizarse también para hacer una copia de seguridad de la Java Card original y recuperarla en caso de que se pierda o sea robada.

ÄPRECAUCIÓN: Para evitar tener un archivo de recuperación que no corresponda a una Java Card que contiene información actualizada, cree inmediatamente un nuevo archivo de recuperación en un medio extraíble y guárdelo en un lugar seguro. Si mantiene una Java Card de copia de seguridad, también debe actualizar la información de ésta restaurando el nuevo archivo de recuperación en esa Java Card.

Creación de un archivo de recuperación

Para crear un archivo de recuperación:




4. En el panel derecho, en Recuperación, haga clic en Crear.



5. Ingrese el camino y el nombre del archivo en el cuadro Nombre de archivo.

Ä Para evitar perder el acceso al equipo, no guarde el archivo de recuperación en la unidad de disco duro ya que no podrá acceder al archivo sin la Java Card. Por otra parte, otras personas pueden acceder a un archivo de recuperación guardado en la unidad de disco duro, presentando un riesgo de seguridad.

6. Ingrese una contraseña para el archivo de recuperación en el cuadro Contraseña de archivo de recuperación, y luego ingrésela nuevamente en el cuadro Confirmar contraseña.

7. Ingrese el PIN de la Java Card y luego haga clic en Aceptar.

ÄPRECAUCIÓN: Para evitar la pérdida de los datos del archivo de recuperación de la Java Card, no olvide la contraseña del archivo de recuperación. No podrá volver a crear su tarjeta a partir del archivo de recuperación si olvida la contraseña.

Restauración de los datos de una Java Card

Es posible restaurar los datos de una Java Card desde el archivo de recuperación. Esto resulta especialmente útil si la tarjeta se pierde o es robada o si desea crear una copia de seguridad de una Java Card. Si utiliza una tarjeta que posee datos anteriores almacenados, los datos se sobrescribirán.

Antes de comenzar, necesitará lo siguiente:

Acceso al equipo con el software Java Card Security instalado

Archivo de recuperación de la Java Card

Contraseña del archivo de recuperación de la Java Card

Java Card

Para restaurar una Java Card:






4. Inserte el disquete u otros medios que contengan el archivo de recuperación de la Java Card.

5. Inserte una Java Card en el lector. Si no se asignó un PIN a la tarjeta, se le solicitará crear uno. Para obtener instrucciones detalladas sobre la asignación de un PIN a la Java Card, consulte “Asignación de un PIN a una Java Card”, que aparece anteriormente en este capítulo.

6. En el panel derecho, en Recuperación, haga clic en Restaurar.

7. Asegúrese de seleccionar el nombre del archivo de recuperación correcto e ingrese la contraseña del archivo de recuperación.

8. Ingrese el PIN de la Java Card.


El contenido de la Java Card original se restaura en la nueva Java Card.

Creación de una copia de seguridad de una Java Card

Se recomienda enfáticamente crear Java Card duplicadas para fines de copia de seguridad.

Para crear una Java Card de reemplazo:

» Inserte una Java Card en el lector y luego cargue el archivo de recuperación apropiado en ella. Para obtener más información, consulte “Restauración de los datos de una Java Card”, que aparece anteriormente en este capítulo.


4Embedded Security for

ProtectTools

Conceptos básicos

El chip de seguridad integrado Trusted Platform Module (TPM) debe estar instalado en el equipo para utilizar Embedded Security for ProtectTools.

Embedded Security for ProtectTools brinda protección contra el acceso no autorizado a datos o credenciales de usuario. Este módulo de software proporciona los siguientes recursos de seguridad:

Encriptación de archivos y carpetas de Enhanced Microsoft Encryption File System (EFS)

Creación de una unidad segura personal (PSD) para proteger los datos de usuario

Funciones de administración de datos, como copias de seguridad y restauración de jerarquía de claves

Soporte para aplicaciones de terceros (como Microsoft Outlook e Internet Explorer) para operaciones de certificados digitales protegidas al usar el software Embedded Security



El chip de seguridad integrado TPM optimiza y activa otros recursos de seguridad del ProtectTools Security Manager. Por ejemplo, Credential Manager for ProtectTools puede usar el chip incorporado como un factor de autenticación cuando el usuario inicia la sesión de Windows. En algunos modelos, el chip de seguridad integrado TPM también activa recursos de seguridad de BIOS optimizados a los cuales se accede mediante BIOS Configuration for ProtectTools.

Procedimientos de configuración

ÄPRECAUCIÓN: Para reducir el riesgo de seguridad, se recomienda enfáticamente que su administrador de TI inmediatamente inicialice el chip de seguridad integrado. Si no se inicializa el chip de seguridad integrado, esto podría provocar que usuarios no autorizados, gusanos o virus informáticos tomen el control del equipo o de las tareas del propietario, como el manejo del archivo de recuperación de emergencia y la configuración del acceso de usuario.

Siga los pasos de las próximas dos secciones para activar e inicializar el chip de seguridad integrado.

Activación del chip de seguridad integrado

El chip de seguridad integrado debe ser activado en la utilidad de configuración. Este procedimiento no puede realizarse en BIOS Configuration for ProtectTools.

Para activar/desactivar el chip de seguridad integrado:

1. Abra la utilidad de configuración encendiendo o reiniciando el equipo y luego presionando f10 mientras aparece el mensaje “F10 = ROM Based Setup” en la esquina inferior izquierda de la pantalla.

2. Si no ha definido una contraseña de configuración, utilice las teclas de flecha para seleccionar Seguridad > Contraseña de configuración y luego presione Intro.



3. Escriba su contraseña en los campos Contraseña nueva y Verificar nueva contraseña, luego presione f10.

4. En el menú Seguridad, use las teclas de flecha para seleccionar TPM Embedded Security y luego presione Intro.

5. En Embedded Security, si el dispositivo está oculto, seleccione Disponible.

6. Seleccione Estado de dispositivo de seguridad integrado y cambie a Activar.

7. Presione f10 para aceptar los cambios en la configuración Embedded Security.

8. Para guardar sus preferencias y salir de la utilidad de configuración, use las teclas de flecha para seleccionar Archivo > Salir guardando los cambios. Luego, siga las instrucciones que aparecen en la pantalla.

Inicialización del chip de seguridad integrado

En el proceso de inicialización para Embedded Security, usted podrá:

Definir una contraseña de propietario para el chip de seguridad integrado que protege el acceso a todas las funciones de propietario del chip de seguridad integrado.

Configurar el archivo de recuperación de emergencia, que es un área de almacenamiento protegida que permite la reencriptación de las claves de usuario básico para todos los usuarios.

Para inicializar el chip de seguridad integrado:

1. Haga clic con el botón derecho en el icono ProtectTools Security Manager en el área de notificación, en el extremo derecho de la barra de tareas, y luego seleccione Inicialización de Embedded Security. Se abrirá el Asistente de inicialización de HP ProtectTools Embedded Security.




3. Defina y confirme una contraseña de propietario y luego haga clic en Siguiente. Se abrirá el cuadro de diálogo Recuperación de emergencia de configuración.

4. Haga clic en Siguiente para aceptar la ubicación predeterminada del archivo de recuperación o haga clic en el botón Explorar para seleccionar una ubicación diferente, y luego haga clic en Siguiente.

5. Defina y confirme una contraseña de token de recuperación de emergencia y luego haga clic en Aceptar.

6. Haga clic en Explorar, seleccione la ubicación para el archivo de recuperación de emergencia y luego haga clic en Siguiente.

7. En la página de “Resumen", haga clic en Siguiente.

Si no desea configurar una cuenta de usuario básico en este momento, desmarque la casilla de verificación Iniciar el asistente de inicialización de usuario de Embedded Security y luego haga clic en Finalizar. Es posible iniciar el asistente manualmente para configurar una cuenta de usuario básico en cualquier momento siguiendo las instrucciones que se presentan en la próxima sección.

Si desea configurar una cuenta de usuario básico, seleccione la casilla de verificación Iniciar el asistente de inicialización de usuario de Embedded Security y luego haga clic en Finalizar. Aparecerá el Asistente de inicialización de usuario de Embedded Security. Consulte las instrucciones de la próxima sección para obtener más detalles.



Configuración de una cuenta de usuario básico

La configuración de una cuenta de usuario básico en Embedded Security:

Produce una clave de usuario básico que protege datos encriptados y define una contraseña de clave de usuario básico para proteger la clave de usuario básico.

Configura una unidad personal segura (PSD) para almacenar archivos y carpetas encriptados.

ÄPRECAUCIÓN: Guarde de forma segura la contraseña de la clave de usuario básico. No se puede obtener acceso a los datos encriptados ni recuperarlos sin la contraseña.

Para configurar una cuenta de usuario básico y activar los recursos de seguridad del usuario:

1. Si no se abre el Asistente de inicialización de usuario de Embedded Security, seleccione Inicio > Todos los programas > HP ProtectTools Security Manager.

2. En el panel izquierdo, seleccione Embedded Security, y luego seleccione Configuración de usuario.

3. En el panel derecho, en Recursos de Embedded Security, haga clic en Configurar.

Aparecerá el Asistente de inicialización de usuario de Embedded Security.


5. Defina y confirme una contraseña de clave de usuario básico y luego haga clic en Siguiente.

6. Haga clic en Siguiente para confirmar la configuración.

7. Seleccione los recursos de seguridad que prefiera y haga clic en Siguiente.

8. Haga clic nuevamente en Siguiente.



Para utilizar correo electrónico seguro, primero debe configurar el cliente de correo electrónico para usar un certificado digital que se crea con Embedded Security. Si no hay un certificado digital disponible, debe obtener uno de la autoridad de certificación. Para obtener instrucciones sobre la configuración del correo electrónico y la obtención de certificados digitales, consulte la Ayuda en línea para cliente de correo electrónico.

9. Si existe más de un certificado de encriptación, seleccione el certificado apropiado y luego haga clic en Siguiente.

10. Seleccione la letra de la unidad y la etiqueta para su unidad personal segura (PSD) y luego haga clic en Siguiente.

11. Seleccione el tamaño y la ubicación de la unidad personal segura (PSD) y luego haga clic en Siguiente.

12. En la página de “Resumen", haga clic en Siguiente.

13. Haga clic en Finalizar.



Tareas generalesDespués de que la cuenta de usuario básico haya sido configurada, es posible realizar las siguientes tareas:

Encriptación de archivos y carpetas

Envío y recepción de correo electrónico encriptado

Uso de la unidad segura personal

Después de haber configurado la unidad segura personal, se le solicitará ingresar la contraseña de clave de usuario básico en el próximo inicio de sesión. Si se ingresa correctamente la contraseña de clave de usuario básico, podrá acceder a la PSD directamente desde el Explorador de Windows.

Encriptación de archivos y carpetas

Al trabajar con archivos encriptados en Windows XP Professional, tenga en cuenta las siguientes reglas:

Sólo se pueden encriptar archivos y carpetas en particiones NTFS. No se pueden encriptar archivos y carpetas en particiones FAT.

Los archivos de sistema y los archivos comprimidos no pueden ser encriptados y los archivos encriptados no pueden ser comprimidos.

Las carpetas temporales deben encriptarse porque son potencialmente interesantes para los piratas informáticos.

Cuando se encripta un archivo o carpeta por primera vez, se configura automáticamente una política de recuperación. Esta política asegura que si pierde sus certificados de encriptación y las claves privadas, podrá utilizar un agente de recuperación para desencriptar sus datos.



Para encriptar archivos y carpetas:

1. Haga clic con el botón derecho sobre el archivo o la carpeta que desea encriptar.

2. Haga clic en Encriptar.

3. Haga clic en una de las siguientes opciones:

Aplicar cambios sólo a esta carpeta.

Aplicar cambios a esta carpeta, a las subcarpetas y a los archivos.


Envío y recepción de correo electrónico encriptado

Embedded Security le permite enviar y recibir correo electrónico encriptado, pero los procedimientos varían según el programa que utiliza para acceder a su correo electrónico. Para obtener más información, consulte la Ayuda en línea de Embedded Security y la Ayuda en línea para su correo electrónico.

Cambio de contraseña de clave de usuario básico

Para cambiar la contraseña de la clave de usuario básico:


2. En el panel izquierdo, seleccione Embedded Security, y luego seleccione Configuración de usuario.

3. En el panel derecho, en Contraseña de usuario básico, haga clic en Cambiar.

4. Escriba la antigua contraseña y luego defina y confirme la nueva contraseña.




Tareas avanzadas

Copias de seguridad y restauración

El recurso de copia de seguridad de Embedded Security crea un archivo que contiene información de certificación a ser restaurada en caso de emergencia.

Creación de un archivo de copia de seguridad

Para crear un archivo de copia de seguridad:


2. En el panel izquierdo, seleccione Embedded Security, y luego seleccione Copia de seguridad.

3. En el panel derecho, haga clic en Copia de seguridad.

4. Haga clic en Explorar para seleccionar la ubicación donde se guardará el archivo de copia de seguridad.

5. Seleccione si se va a agregar el archivo de recuperación de emergencia a los datos de la copia de seguridad.





Restauración de datos de certificación desde el archivo de copia de seguridad

Para restaurar los datos desde el archivo de copia de seguridad:


2. En el panel izquierdo, seleccione Embedded Security, y luego seleccione Copia de seguridad.

3. En el panel derecho, haga clic en Restaurar.

4. Haga clic en Explorar para seleccionar el archivo de copia de seguridad desde la ubicación donde se guardó.


6. Seleccione si se debe iniciar el Asistente de inicialización de usuario de Embedded Security.

Si desea iniciar el asistente de inicialización, haga clic en Finalizar y luego siga las instrucciones en la pantalla para completar la inicialización. Para obtener más información, consulte “Configuración de una cuenta de usuario básico” que aparece anteriormente en este capítulo.

Si elige no iniciar el asistente de inicialización, haga clic en Finalizar.



Cambio de contraseña de propietario

Para cambiar la contraseña de propietario:


2. En el panel izquierdo, seleccione Embedded Security, y luego seleccione Opciones avanzadas.

3. En el panel derecho, en Contraseña de propietario, haga clic en Cambiar.

4. Escriba la antigua contraseña y luego defina y confirme la nueva contraseña de propietario.


Reconfiguración de una contraseña de usuario

Un administrador puede ayudar a un usuario a reconfigurar una contraseña olvidada. Para obtener información adicional, consulte la Ayuda en línea.

Activación y desactivación de Embedded Security

Es posible desactivar los recursos de Embedded Security si desea trabajar sin la función de seguridad.

Los recursos de Embedded Security pueden ser activados o desactivados en dos diferentes niveles.

Desactivación temporal: con esta opción, se reactiva automáticamente la seguridad integrada al reiniciar Windows. Esta opción está disponible para todos los usuarios por función predeterminada.



Desactivación permanente: con esta opción, se requiere la contraseña de propietario para reactivar Embedded Security. Esta opción está disponible sólo para administradores.

Desactivación permanente de Embedded Security

Para desactivar permanentemente Embedded Security:


2. En el panel izquierdo, seleccione Embedded Security, y luego seleccione Opciones avanzadas.

3. En el panel derecho, en Embedded Security, haga clic en Desactivar.

4. Ingrese su contraseña de propietario cuando y luego haga clic en Aceptar.

Activación de Embedded Security después de la desactivación permanente

Para activar Embedded Security después de haberlo desactivado permanentemente:


2. En el panel izquierdo, seleccione Embedded Security, y luego seleccione Avanzado.

3. En el panel derecho, en Embedded Security, haga clic en Activar.

4. Ingrese su contraseña de propietario y luego haga clic en Aceptar.



Migración de claves con el asistente de migración

La migración es una tarea avanzada de administrador que permite la administración, restauración y transferencia de claves y certificados.

Para obtener detalles sobre la migración, consulte la Ayuda en línea de Embedded Security.


5BIOS Configuration for

ProtectTools

Conceptos básicosBIOS Configuration for ProtectTools provee acceso a los ajustes de configuración y seguridad de la utilidad de configuración. Esto proporciona a los usuarios acceso a través de Windows a los recursos de seguridad del sistema que son administrados por la utilidad de configuración.

Con BIOS Configuration, es posible:

Administrar contraseñas de inicio y de configuración.

Configurar otros recursos de autenticación de inicio, como activación de contraseñas de smart card y soporte de autenticación de Embedded Security.

Activar y desactivar recursos de hardware, como inicio por CD-ROM o diferentes puertos de hardware.

Configurar opciones de arranque, que incluyen la activación de MultiBoot y el cambio del orden de arranque.

Muchos de los recursos en BIOS Configuration for ProtectTools están también disponibles en la utilidad de configuración.



Tareas generalesLa configuración de BIOS le permite administrar varias configuraciones del equipo que de otro modo serían accesibles sólo presionando f10 en el inicio e ingresando a la utilidad de configuración.

Administración de opciones de arranque

Es posible utilizar la configuración de BIOS para administrar varios ajustes para tareas que se ejecutan al encender o reiniciar el equipo.

Para administrar las opciones de arranque:


2. En el panel izquierdo, seleccione BIOS Configuration.

3. Ingrese la contraseña de configuración de la utilidad de configuración en el indicador de contraseña de administrador de BIOS y haga clic en Aceptar.

Sólo aparecerá el indicador de contraseña de administrador de BIOS si ya ha definido la contraseña de usuario de la utilidad de configuración. Para obtener más información acerca de la definición de la contraseña de configuración en la utilidad de configuración, consulte “Configuración de la contraseña de configuración”, más adelante en este capítulo.

4. En el panel izquierdo, seleccione Configuración del sistema.

5. En el panel derecho, seleccione las demoras (en segundos) para f9, f10 y f12 y para Mensaje emergente de inicio rápido (seg.).

6. Active o desactive MultiBoot.



7. Si ha activado MultiBoot, seleccione el orden de arranque eligiendo un dispositivo de arranque y luego haciendo clic en flecha arriba o flecha abajo para ajustar su orden en la lista.

8. Para guardar los cambios, haga clic en Aplicar y luego haga clic en Aceptar en la ventana de ProtectTools.

Activación y desactivación de las opciones de configuración del sistema

Algunos de los elementos listados a continuación podrían no ser admitidos por su equipo.

Para activar o desactivar opciones de configuración del sistema:




4. En el panel izquierdo, seleccione Configuración del sistema, y luego active o desactive una opción de configuración del sistema o configure una opción de configuración del sistema en el panel derecho:

Opciones de puerto

Activar puerto en serie

Activar puerto de infrarrojos

Activar puerto paralelo

Activar ranura SD

Activar puerto USB

Activar puerto 1394

Activar ranura para Cardbus

Activar ranura para ExpressCard



Opciones de arranque

f9, f10, y f12 Demora (seg)

MultiBoot

Demora emergente de Express Boot (segundos)

Activar arranque desde la unidad de CD-ROM

Activar arranque desde la unidad de disquete

Arranque por adaptador de red interno

Activar arranque desde el adaptador de red interno (PXE o RPL)

Orden de arranque

Configuración del dispositivo

Activar Bloq Num al iniciar

Activar Intercambio de teclas Fn/Ctrl

Activar dispositivo de puntero múltiple

Activar soporte de legado USB

Modo puerto paralelo (estándar, bidireccional, EPP o ECP)

Prevención de ejecución de datos

Modo nativo SATA

CPU de núcleo doble

Activar soporte para funcionalidad SpeedStep automática Intel®

Ventilador siempre encendido mientras se usa la alimentación de CA

Transferencias de datos BIOS DMA

Desactivación de ejecución Intel o AMD PSAE

Opciones de dispositivo incorporado

Radio de dispositivo WLAN integrado

Radio de dispositivo WWAN integrado



Radio de dispositivo Bluetooth® integrado

Alternancia LAN/WLAN

Wake on LAN desde Apagado

5. Haga clic en Aplicar, y luego haga clic en Aceptar en la ventana de ProtectTools para guardar los cambios y salir.

Tareas avanzadas

Administración de configuración de ProtectTools

Algunos de los recursos de ProtectTools Security Manager pueden ser administrados en BIOS Configuration.

Activación y desactivación del soporte de autenticación de inicio con smart card o Java Card

La activación de esta opción permite el uso de una smart card o una Java Card para la autenticación del usuario cuando enciende el equipo.

Para activar completamente el recurso de autenticación de inicio, también debe configurar el módulo de smart card utilizando Smart Card Security for ProtectTools o Java Card Security for ProtectTools.

Para activar el soporte de autenticación de inicio con smart card:






4. En el panel izquierdo, seleccione Seguridad.

5. En Smart Card Security, seleccione Activar.

Para desactivar la autenticación de inicio con smart card, Desactivar.

6. Haga clic en Aplicar y luego haga clic en Aceptar en la ventana de ProtectTools para guardar los cambios.

Activación y desactivación del soporte de autenticación de inicio para Embedded Security

La activación de esta opción posibilita que el sistema utilice el chip de seguridad integrado TPM (si está disponible) para la autenticación del usuario cuando enciende el equipo.

Para activar completamente el recurso de autenticación de inicio, también debe configurar el chip de seguridad integrado TPM utilizando el módulo Embedded Security for ProtectTools.

Para activar el soporte de autenticación de inicio para embedded security:





5. En Embedded Security, seleccione Activar al lado de Soporte de autenticación de inicio.



Para desactivar la autenticación de inicio para Embedded Security, seleccione Desactivar.


Activación y desactivación de la protección automática de disco duro mediante DriveLock

Cuando DriveLock está activado, las contraseñas de bloqueo de unidad serán generadas y fijadas en la unidad automáticamente y protegidas por el chip de seguridad integrado TPM.

Las contraseñas generadas automáticamente no se fijarán en la unidad hasta que se reinicie el equipo y se ingrese con éxito la contraseña de seguridad integrada de TPM.

La opción de activación de DriveLock Automático permanece indisponible a menos que:

El equipo tenga un chip de seguridad TPM instalado e inicializado. Para obtener instrucciones sobre cómo activar e inicializar el chip de seguridad TPM, consulte “Activación del chip de seguridad integrado” y “Inicialización del chip de seguridad integrado” en el Capítulo 4, “Embedded Security for ProtectTools”.

Ninguna contraseña de DriveLock ha sido activada.

Si se han definido manualmente contraseñas de DriveLock en el equipo, primero debe desactivarlas antes de poder configurar la protección de DriveLock Automático.

Para activar o desactivar la protección de DriveLock Automático:


2. Seleccione BIOS Configuration, en el panel izquierdo.





5. En Embedded Security, seleccione Activar al lado de Soporte de DriveLock Automático.

Para desactivar la protección de DriveLock Automático para Embedded Security, seleccione Desactivar.

6. Para guardar los cambios, haga clic en Aplicar y luego haga clic en Aceptar en la ventana de ProtectTools.

Administración de contraseñas de la utilidad de configuración

Se puede utilizar BIOS Configuration para definir y cambiar las contraseñas de inicio y de configuración en la utilidad de configuración y también administrar varias configuraciones de contraseña.

ÄPRECAUCIÓN: Las contraseñas que define en la página “Contraseñas” en BIOS Configuration se guardan inmediatamente al hacer clic en el botón Aplicar o Aceptar en la ventana de ProtectTools. Asegúrese de recordar la contraseña que haya definido ya que no podrá eliminar la configuración de la contraseña sin suministrar la contraseña anterior.

La contraseña de inicio puede proteger su PC portátil (notebook) contra su uso no autorizado.

Después de haber definido una contraseña de inicio, el botón Configurar de la página “Contraseñas” es reemplazado por el botón Cambiar.

Una contraseña de configuración de la utilidad de configuración protege los parámetros de configuración y la información de identificación del sistema en la utilidad de configuración. Una



vez definida, esta contraseña se debe ingresar para acceder a la utilidad de configuración. Si ha definido una contraseña de configuración, ésta se le solicitará antes de abrir la sección de BIOS Configuration for ProtectTools.

Después de haber definido una contraseña de configuración, el botón Configurar de la página “Contraseñas” es reemplazado por el botón Cambiar.

Configuración de la Contraseña de inicio

Para configurar la contraseña de inicio:


2. En el panel izquierdo, seleccione BIOS Configuration, y luego seleccione Seguridad.

3. En el panel derecho, al lado de Contraseña de arranque, haga clic en Configurar.

4. Escriba y confirme la contraseña en los campos Introduzca la contraseña y Verifique la contraseña.

5. Haga clic en Aceptar en el cuadro de diálogo Contraseñas.


Cambio de la contraseña de inicio

Para cambiar la contraseña de inicio:



3. En el panel derecho, al lado de Contraseña de arranque, haga clic en Cambiar.



4. Escriba su contraseña actual en el campo Contraseña antigua.

5. Defina y confirme la nueva contraseña en el campo Introduzca la nueva contraseña.



Configuración de la contraseña de configuración

Para configurar la contraseña de configuración de la utilidad de configuración:



3. En el panel derecho, al lado de Contraseña de configuración, haga clic en Configurar.

4. Defina y confirme la contraseña en los campos Introduzca la contraseña y Verifique la contraseña.



Cambio de la contraseña de configuración

Para cambiar la contraseña de configuración de la utilidad de configuración:





3. En el panel derecho, al lado de Contraseña de configuración, haga clic en Cambiar.

4. Escriba su contraseña actual en el campo Contraseña antigua.

5. Escriba y confirme la nueva contraseña en los campos Introduzca la contraseña y Verifique la contraseña.



Configuración de opciones de contraseña

Puede utilizar BIOS Configuration for ProtectTools para definir opciones de contraseña para optimizar la seguridad del sistema.

Activación y desactivación de seguridad estricta

ÄPRECAUCIÓN: Para evitar que el equipo quede permanentemente inutilizable, anote la contraseña de configuración, la contraseña de inicio o el PIN de la smart card configurados y guárdelos en un lugar seguro y lejos del equipo. Sin estas contraseñas o sin el PIN, el equipo no se podrá desbloquear.

La activación de la seguridad estricta proporciona protección optimizada para las contraseñas de inicio o de administrador y otras formas de autenticación de inicio.

Para activar o desactivar la seguridad estricta:


2. En el panel izquierdo, seleccione BIOS Configuration y luego seleccione Seguridad.

3. En el panel derecho, en Opciones de contraseña, active o desactive Seguridad estricta.




Activación y desactivación de la autenticación de inicio al reiniciar WindowsEsta opción posibilita optimizar la seguridad solicitando que los usuarios ingresen una contraseña de inicio, TPM o smart card cuando se reinicia Windows.

Para activar o desactivar la autenticación de inicio al reiniciar Windows:



3. En el panel derecho, en Opciones de contraseña, active o desactive Requerir contraseña al reiniciar.



6Credential Manager for

ProtectTools

Conceptos básicosCredential Manager for ProtectTools tiene recursos de seguridad que proporcionan protección contra el acceso no autorizado al equipo. Estos recursos incluyen:

Alternativas a contraseñas al iniciar la sesión en Microsoft Windows, como el uso de una smart card o un lector biométrico. Para obtener información adicional, consulte “Registro de credenciales”, más adelante en este capítulo.

Recurso de registro único (Single Sign On), que automáticamente recuerda las credenciales de los sitios Web, aplicaciones y recursos de red protegidos.

Soporte para dispositivos de seguridad opcionales, como smart card y lectores biométricos.

Soporte para configuración de seguridad adicional, como la solicitud de autenticación con un dispositivo de seguridad opcional para desbloquear el equipo.



Procedimientos de configuración

Inicio de sesión en Credential Manager

Dependiendo de la configuración, se puede iniciar la sesión en Credential Manager de cualquiera de las siguientes maneras:

Credential Manager Logon Wizard (preferido)

Icono de Credential Manager en el área de notificación

ProtectTools Security Manager

Si utiliza el indicador de inicio de sesión de Credential Manager en la pantalla de Inicio de sesión de Windows para iniciar la sesión en Credential Manager, iniciará la sesión en Windows simultáneamente.

Inicio de sesión por primera vez

La primera vez que abra Credential Manager, inicie la sesión con una contraseña normal de Windows. Se creará automáticamente una cuenta de Credential Manager con sus credenciales de inicio de sesión de Windows.

Después de iniciar la sesión en Credential Manager, puede registrar credenciales adicionales, como una huella digital o una smart card. Para obtener información adicional, consulte “Registro de credenciales”, más adelante en este capítulo.

En el próximo inicio de sesión, puede seleccionar la política de inicio de sesión y utilizar cualquier combinación de las credenciales registradas.



Uso del Credential Manager Logon Wizard

Para iniciar la sesión en Credential Manager utilizando el Credential Manager Logon Wizard:

1. Abra el Credential Manager Logon Wizard de cualquiera de las siguientes formas:

Desde la pantalla de inicio de sesión de Windows

Desde el área de notificación, haciendo doble clic en el icono de ProtectTools.

Desde la página “Credential Manager” de ProtectTools Security Manager, haciendo clic en el enlace Log on en la parte superior derecha de la ventana.


3. Ingrese el nombre de usuario en el campo User name y luego haga clic en Siguiente.

4. Ingrese una contraseña en el cuadro Password y luego haga clic en Siguiente.

5. Siga las instrucciones en la pantalla para iniciar la sesión con el método de autenticación seleccionado.




Creación de nueva cuenta

Se puede utilizar el Credential Manager Logon Wizard para crear una nueva cuenta de usuario. Antes de comenzar, se debe iniciar la sesión en Windows con una cuenta de administrador, pero no iniciar la sesión en Credential Manager.

Para crear una nueva cuenta:

1. Abra Credential Manager haciendo doble clic en el icono del área de notificación. El Credential Manager Logon Wizard se abrirá.

2. En la página “Introduce Yourself”, haga clic en el botón More y luego haga clic en Sign Up for a New Account.


4. En la página “Registration”, escriba el nombre de usuario, el nombre y el apellido del usuario y la descripción de la cuenta. Luego haga clic en Siguiente.

5. En la página “Authentication Methods”, seleccione los métodos de autenticación que desea registrar (y desmarque las casillas de verificación de aquellos métodos que no desea registrar) y luego haga clic en Siguiente.

6. Siga las instrucciones que aparecen en la pantalla para registrar las credenciales seleccionadas.




Registro de credenciales

Se puede utilizar la página “My identity” para registrar sus diversos métodos de autenticación o credenciales. Después de haberse registrado, puede utilizar estos métodos para iniciar la sesión en Credential Manager.

Registro de huellas digitales

Un lector de huellas digitales le permite iniciar la sesión en Microsoft Windows utilizando una huella digital registrada en ProtectTools Security Manager, en lugar de utilizar una contraseña de Windows.

Si va a utilizar un equipo HP con un lector de huellas digitales integrado o si pretende utilizar un lector de huellas digitales opcional, se requieren dos pasos para iniciar la sesión en Windows utilizando un lector de huellas digitales.

Configurar el lector de huellas digitales.

Utilizar su huella digital registrada para iniciar la sesión en Windows.

Configuración del lector de huellas digitales

Si va a utilizar un lector de huellas digitales opcional, conecte el lector al equipo antes de realizar los siguientes pasos.

Para configurar un lector de huellas digitales:

1. En Windows, haga doble clic en el icono Credential Manager en el área de notificación de la barra de tareas.

– o –

Seleccione Inicio > Todos los programas > ProtectTools Security Manager, y luego haga clic en Credential Manager que se encuentra del lado izquierdo.

2. En la página “My Identity”, haga clic en Log On, ubicada en la esquina superior derecha de la página.



El Credential Manager Logon Wizard se abrirá.

3. En la página “Introduce Yourself", haga clic en Siguiente para aceptar el nombre de usuario predeterminado.

Si existen otros usuarios registrados en el equipo, se puede seleccionar la persona cuyas huellas digitales deben ser registradas ingresando el nombre de usuario de Windows.

4. En la página “Enter Password", ingrese la contraseña de usuario de Windows, si se ha establecido una. De lo contrario, haga clic en Finalizar.

5. En la página “My Services and Applications", haga clic en Register Fingerprints.

Por función predeterminada, Credential Manager exige el registro de por lo menos dos dedos distintos.

6. Cuando se abre el Credential Manager Registration Wizard, escanee lentamente su dedo deslizándolo hacia abajo sobre el sensor de huellas digitales.

El dedo índice de la mano derecha es el dedo predeterminado para el registro de la primera huella digital. Es posible cambiar la función predeterminada, haciendo clic en el dedo que desea registrar, sea de la mano izquierda o de la derecha. Al hacer clic en un dedo, éste será resaltado para mostrar que ha sido seleccionado.

7. Continúe escaneando el mismo dedo en el sensor de huellas digitales hasta que el dedo de la pantalla se vuelva verde.

El indicador de progreso se actualiza luego de cada vez que desliza el dedo por el sensor. Son necesarios varios escaneos para registrar una huella digital.

Si necesita iniciar de nuevo la operación durante el proceso de registro, haga clic con el botón derecho en el dedo resaltado que aparece en la pantalla y luego haga clic en Comenzar nuevamente.



8. Haga clic en un dedo diferente en la pantalla para registrarlo y luego repita los pasos 6 y 7.

Ä Debe registrar por lo menos dos dedos para finalizar la configuración.

Si hace clic en Finalizar antes de registrar por lo menos 2 dedos, aparecerá un mensaje de error. Haga clic en Aceptar para continuar.

9. Después de haber registrado por lo menos 2 dedos, haga clic en Finalizar y luego en Aceptar.

10. Para configurar el lector de huellas digitales para un usuario diferente de Windows, inicie la sesión de Windows como ese usuario y luego repita los pasos 1 hasta el 9.

Utilización de su huella digital registrada para iniciar la sesión en WindowsPara iniciar la sesión en Windows utilizando su huella digital:

1. Inmediatamente después de haber registrado sus huellas digitales, reinicie Windows.

2. En la esquina superior izquierda de la pantalla, haga clic en Log on to Credential Manager.

3. En el cuadro de diálogo Credential Manager Logon Wizard, en lugar de hacer clic en el nombre de usuario, escanee cualquiera de los dedos registrados para iniciar la sesión en Windows.

4. Ingrese su contraseña de Windows para asociar la huella digital a la contraseña.

Al iniciar la sesión en Windows la primera vez que utiliza su huella digital, y teniendo una contraseña de Windows, debe ingresar la contraseña con el fin de asociarla a la huella digital. Después de haber asociado la contraseña a la huella digital, no necesitará ingresar nuevamente la contraseña al utilizar el lector de huellas digitales.



Registro de una smart card o un token

Para registrar una smart card o un token:


2. En el panel izquierdo, seleccione Credential Manager, y luego seleccione My Identity.

3. En el panel derecho, en I want to, haga clic en Register Smart Card or Token.


5. Seleccione el método de autenticación que desee registrar y haga clic en Siguiente.

6. Siga las instrucciones en la pantalla para completar el registro.

Registro de otras credenciales

Para registrar otras credenciales:



3. En el panel derecho, en I Want to, haga clic en More y luego haga clic en Register Credentials.

4. Seleccione el método de autenticación que desee registrar y haga clic en Siguiente.

5. Siga las instrucciones en la pantalla para completar el registro.



Tareas generalesTodos los usuarios tienen acceso a la página “My Identity” en Credential Manager. Desde la página “My Identity”, es posible

Crear y registrar credenciales de autenticación.

Administrar contraseñas.

Administrar cuentas de Red Microsoft.

Administrar el registro único en credenciales.

Creación de un token virtual

Un token virtual funciona de manera muy similar a una smart card o token USB. El token se guarda en el disco duro del equipo o en el registro de Windows. Cuando se inicia la sesión con un token virtual, se le solicita un PIN de usuario para completar la autenticación.

Para crear un nuevo token virtual:



3. En el panel derecho, en I Want To, haga clic en More y luego haga clic en Register Credentials.


5. Haga clic en Virtual Token y luego haga clic en Siguiente.

6. Haga clic en Create New y luego haga clic en Siguiente.

7. Ingrese un nombre y una ubicación para el archivo de token virtual (o haga clic en el botón Browse para buscar una nueva ubicación) y luego haga clic en Siguiente.

8. Defina y confirme un master PIN y un user PIN.




Cambio de la contraseña de inicio de sesión de Windows

Es posible cambiar su contraseña de inicio de sesión de Windows desde la página “My Identity” en Credential Manager.



3. En el panel derecho, en I Want To, haga clic en Change Windows Logon Password.

4. Escriba su contraseña anterior en el campo Old password.

5. Defina y confirme su nueva contraseña en los campos New password y Confirm password.


Cambio del PIN de un token

Se puede cambiar el PIN de una smart card o token virtual desde la página “My Identity” en Credential Manager.



3. En el panel derecho, en I Want To, haga clic en More y luego haga clic en Change Token PIN.


5. Seleccione el token del que desea cambiar el PIN y luego haga clic en Siguiente.

6. Siga las instrucciones en la pantalla para completar el cambio de PIN.



Administración de identidad

Copia de seguridad de una identidad

Se recomienda crear una copia de seguridad de su identidad en Credential Manager, en caso de pérdida de datos o eliminación accidental.

Para crear una copia de seguridad de una identidad:



3. En el panel derecho, en I Want To, haga clic en More y luego haga clic en Backup Identity.


5. Seleccione los elementos que desee copiar y haga clic en Siguiente.

6. En la página “Device Type”, seleccione el tipo de dispositivo que desea utilizar para almacenar la copia de seguridad y luego haga clic en Siguiente.

Deberá conocer la contraseña o el PIN del dispositivo seleccionado para el archivo de copia de seguridad.

7. Siga las instrucciones que aparecen en la pantalla para el dispositivo seleccionado y luego haga clic en Finalizar.



Restauración de una identidad

Para restaurar una identidad:



3. En el panel derecho, en I Want To, haga clic en More y luego haga clic en Restore Identity.


5. En la página “Device Type”, seleccione el tipo de dispositivo donde está almacenada la copia de seguridad y luego haga clic en Siguiente.

6. Siga las instrucciones que aparecen en la pantalla para el dispositivo seleccionado y luego haga clic en Finalizar.

7. Haga clic en Sí en el cuadro de diálogo de confirmación.

Eliminación de una identidad del sistema

Se puede eliminar completamente una identidad de Credential Manager.

Esto no afecta la cuenta de usuario de Windows.

Para eliminar su identidad del sistema:



3. En el panel derecho, en I Want To, haga clic en More y luego haga clic en Remove My Identity from the System.

4. Haga clic en Sí en el cuadro de diálogo de confirmación. La identidad saldrá de la sesión y será eliminada del sistema.



Bloqueo del equipo

Para proteger su equipo cuando está lejos del escritorio, utilice el recurso de bloqueo de workstation. Esto evita que usuarios no autorizados obtengan acceso a su equipo. Sólo usted y los miembros del grupo de administradores del equipo pueden desbloquearla.

Para mayor seguridad, se puede configurar el recurso de bloqueo de workstation para que exija una smart card, un lector biométrico o un token para desbloquear el equipo. Para obtener más información, consulte “Configuración de Credential Manager”, más adelante en este capítulo.

Para bloquear el equipo:



3. En el panel derecho, en I Want To, haga clic en More y luego haga clic en Lock Workstation. Aparecerá la pantalla de inicio de sesión de Windows. Debe utilizar una contraseña de Windows o el Credential Manager Logon Wizard para desbloquear el equipo.



Uso de inicio de sesión de red de Microsoft

Es posible utilizar Credential Manager para iniciar la sesión de Windows, ya sea en un equipo local o en un dominio de red. Al iniciar la sesión en Credential Manager por primera vez, el sistema automáticamente agrega su cuenta de usuario de Windows local como la cuenta de red para el servicio de inicio de sesión de red. Consulte “Inicio de sesión por primera vez”, que aparece anteriormente en este capítulo, para obtener más información.

Inicio de sesión en Windows con Credential Manager

Se puede utilizar Credential Manager para iniciar la sesión en una cuenta local o en una red de Windows.

1. Desde la pantalla de inicio de sesión de Windows, seleccione Log on to Credential Manager.

2. Haga clic en Siguiente en la página de bienvenida, si aparece.

3. Escriba su nombre de usuario en la casilla User name.

Si desea que éste sea el nombre de usuario predeterminado, seleccione Use this name next time you log on.

4. Seleccione Credential Manager en la lista Log on to.

5. Haga clic en Siguiente. En la página “Logon Policy”, seleccione el método de autenticación que desee utilizar.

Si desea que este método sea el predeterminado, seleccione Use this policy next time you log on.

6. Siga las instrucciones del método de autenticación seleccionado. Si la información de autenticación es correcta, iniciará la sesión en la cuenta de Windows y en Credential Manager.



Adición de cuentas

Es posible agregar cuentas locales y de dominio adicionales después de iniciar la sesión en Credential Manager.

Para agregar una cuenta:


2. En el panel izquierdo, seleccione Credential Manager y luego seleccione My Identity.

3. En el panel derecho, en Microsoft Network Logon, haga clic en Add a Network Account.

4. Defina el nombre de usuario de la nueva cuenta en la casilla User name.

5. Haga clic en el dominio en la lista de dominios disponibles.

6. Escriba y confirme la contraseña.

Si desea que ésta sea la cuenta de usuario predeterminada, seleccione Use these credentials by default.


Remoción de cuentas

Es posible quitar cuentas locales y de dominio después de iniciar la sesión en Credential Manager.

Para quitar una cuenta:



3. En el panel derecho, en Microsoft Network Logon, haga clic en Manage Network Accounts.

4. Haga clic en la cuenta que desea quitar y luego haga clic en Remove.



5. En el cuadro de diálogo de confirmación, haga clic en Sí.

Definición de un usuario predeterminado

Se puede definir o cambiar el usuario predeterminado después de iniciar la sesión en Credential Manager.

Para definir un usuario predeterminado:



3. En el panel derecho, en Microsoft Network Logon, haga clic en Manage Network Accounts.

4. Haga clic en la cuenta que desea que sea la predeterminada y luego haga clic en Properties.

5. En la ficha Set Up Account del cuadro de diálogo Account Properties, seleccione la casilla de verificación Use these credentials by default.

6. Haga clic en Aplicar y luego en Aceptar.



Uso del registro único (Single Sign On)

Credential Manager tiene un recurso de registro único (Single Sign On - SSO) que almacena los nombres de usuario y contraseñas para múltiples aplicaciones de Internet y de Windows y que ingresa automáticamente las credenciales de inicio de sesión al acceder a la aplicación registrada.

La seguridad y la privacidad son importantes recursos del registro único. Todas las credenciales son encriptadas y están disponibles sólo después de iniciar la sesión en Credential Manager.

También es posible configurar el registro único para validar sus credenciales de autenticación con una smart card, un lector biométrico o un token, antes de iniciar la sesión en un sitio seguro o en una aplicación segura. Esto es particularmente útil cuando inicia la sesión en aplicaciones o sitios Web que contienen información personal, como números de cuenta bancaria. Para obtener mayor información, consulte “Configuración de Credential Manager”, más adelante en este capítulo.

Registro de una nueva aplicación

Credential Manager le solicitará registrar cualquier aplicación que inicie mientras está registrado en Credential Manager. También puede registrar una aplicación manualmente.

Uso del registro automáticoPara registrar una aplicación con registro automático:

1. Abra una aplicación que requiera que inicie la sesión.



2. En el cuadro de diálogo Credential Manager Single Sign On, haga clic en Options para configurar los siguientes valores para el registro:

No sugiera utilizar el recurso de registro único con este sitio o aplicación.

Llene sólo credenciales. No se inscriba.

Solicite confirmación antes de enviar credenciales.

3. Haga clic en Sí para finalizar el registro.

Uso del registro manual (arrastrar y soltar)1. Seleccione Inicio > Todos los programas > HP

ProtectTools Security Manager.


3. En el panel derecho, en Single Sign On, haga clic en Register New Application.

4. Ejecute la aplicación que desea registrar hasta que llegue a la página que muestra la casilla de la contraseña.

5. En la página “Drag and Drop Registration” del SSO Registration Wizard, seleccione el tipo de actividad que desea automatizar.

En la mayoría de los casos, la actividad que desea automatizar será Logon dialog.

6. Haga clic y arrastre el icono desde la página del asistente sobre el área de la aplicación donde está ubicada la casilla de la contraseña. Suelte el puntero cuando el área quede resaltada.

No verá moverse el icono de dedo a lo largo de la página, pero cuando arrastre el puntero sobre el campo de inicio de sesión en la aplicación aparecerá un icono rectangular.



7. En la página “Application Information” del SSO Registration Wizard, ingrese el nombre y la descripción de la aplicación.


9. Ingrese la credencial de inicio de sesión, por ejemplo el nombre de usuario y la contraseña, en la casilla de la aplicación.

10. En el cuadro de diálogo de confirmación, confirme o modifique el nombre de la credencial y luego haga clic en Sí.

Administración de aplicaciones y credenciales

Modificación de las propiedades de una aplicaciónPara modificar las propiedades de una aplicación:



3. En el panel derecho, en Single Sign On, haga clic en Manage Applications and Credentials.

4. Seleccione la aplicación que desee modificar y haga clic en Properties.

a. Haga clic en la ficha General para modificar el nombre y la descripción de la aplicación. Cambie la configuración seleccionando o desmarcando las casillas de verificación situadas junto a la configuración apropiada.

b. Haga clic en la ficha Script para ver y editar el script de la aplicación SSO (Registro único).

5. Haga clic en Aceptar para guardar los cambios.



Remoción de aplicaciones desde el Registro únicoPara quitar aplicaciones desde el Registro único:




4. Seleccione la aplicación que desee eliminar y haga clic en Remove.

5. Haga clic en Sí en el cuadro de diálogo de confirmación.


Exportación de aplicacionesEs posible exportar aplicaciones para crear una copia de seguridad del script de aplicación de Single Sign On. Este archivo puede ser utilizado para recuperar la fecha de Single Sign On. Esto actúa como un complemento del archivo de copia de seguridad de identidad, que contiene sólo la información de la credencial.

Para exportar una aplicación:




4. Haga clic en la entrada de la aplicación que desea exportar. Luego haga clic en More y haga clic en Export Application.

5. Siga las instrucciones en la pantalla para completar la exportación.




Importación de aplicacionesPara importar una aplicación:




4. Haga clic en la entrada de la aplicación que desea importar. Luego haga clic en More y haga clic en Import Application.

5. Siga las instrucciones en pantalla para completar la importación.


Modificación de credencialesPara modificar credenciales:




4. Seleccione la entrada de la aplicación que desee modificar y haga clic en More.

5. Seleccione cualquiera de las siguientes opciones:

Agregar nuevas credenciales

Eliminar credenciales

Eliminar credenciales no utilizadas

Editar credenciales



6. Siga las instrucciones que aparecen en la pantalla.

7. Haga clic en Aceptar para guardar los cambios.

Tareas avanzadas (sólo para administradores)

La página “Authentication and Credentials” y la página “Advanced Settings” de Credential Manager están disponibles sólo para aquellos usuarios con derechos de administrador. Desde estas páginas es posible:

Especificar cómo los usuarios y los administradores inician la sesión.

Configurar propiedades de credenciales.

Configurar los valores del programa Credential Manager.

Especificación de cómo los usuarios y los administradores inician la sesión

Desde la página “Authentication and Credentials” es posible especificar qué tipo de credencial o combinación de credenciales se requiere por parte de los usuarios o administradores.

Para especificar cómo los usuarios o administradores inician la sesión:


2. En el panel izquierdo, seleccione Credential Manager, y luego seleccione Authentication and Credentials.

3. En el panel derecho, haga clic en la ficha Authentication.

4. Haga clic en la categoría (Users o Administrators) en la lista de categorías.

5. Haga clic en el tipo o combinación de métodos de autenticación en la lista.




7. Haga clic en Aplicar y luego haga clic en Aceptar para guardar los cambios.

Configuración de requisitos de autenticación personalizados

Si el conjunto de credenciales de autenticación que desea no está listado en la ficha Authentication de la página “Authentication and Credentials”, es posible crear requisitos personalizados.

Para configurar requisitos personalizados:



3. En el panel derecho, haga clic en la ficha Authentication.

4. Haga clic en la categoría (Users o Administrators) en la lista de categorías.

5. Haga clic en Custom en la lista de métodos de autenticación.

6. Haga clic en Configure.

7. Seleccione los métodos de autenticación que desee usar.

8. Elija la combinación de métodos haciendo clic en una de las siguientes opciones:

Utilizar Y combinar los métodos de autenticación

(Los usuarios deben autenticarse con todos los métodos marcados cada vez que inician la sesión.)

Utilizar O combinar los métodos de autenticación

(Los usuarios podrán elegir cualquiera de los métodos seleccionados cada vez que inician la sesión.)





Configuración de las propiedades de Credential Manager

Desde la ficha Credentials de la página “Authentication and Credentials”, puede visualizar la lista de métodos de autenticación disponibles y modificar la configuración.

Para configurar las credenciales:



3. En el panel derecho, haga clic en la ficha Credentials.

4. Haga clic en el tipo de credencial que desea modificar.

Para registrar la credencial, haga clic en Register y luego siga las instrucciones que aparecen en la pantalla.

Para eliminar la credencial, haga clic en Clear y luego haga clic en Sí en el cuadro de diálogo de confirmación.

Para modificar las propiedades de la credencial, haga clic en Properties y luego siga las instrucciones que aparecen en la pantalla.

5. Haga clic en Aplicar, y luego haga clic en Aceptar.



Configuración de Credential Manager

Desde la página “Advanced Settings”, es posible acceder y modificar la configuración utilizando las siguientes fichas:

General: le permite modificar los valores de la configuración básica.

Single Sign On: le permite modificar la configuración de cómo funciona el registro único para el usuario común, por ejemplo cómo maneja la detección de pantallas de inicio de sesión, el inicio de sesión automática para diálogos registrados y la visualización de contraseñas.

Services and Applications: le permite visualizar los servicios disponibles y modificar la configuración de dichos servicios.

Biometric Settings: le permite seleccionar el software del lector de huellas digitales y ajustar el nivel de seguridad del dispositivo.

Smart Cards and Tokens: le permite ver y modificar las propiedades de todas las smart card y tokens disponibles.

Para modificar la configuración de Credential Manager:


2. En el panel izquierdo, seleccione Credential Manager, y luego seleccione Advanced Settings.

3. En el panel derecho, haga clic en la ficha apropiada de la configuración que desea modificar.

4. Siga las instrucciones que aparecen en la pantalla para modificar la configuración.




Ejemplo 1: uso de la página “Advanced Settings” para permitir el inicio de sesión de Windows desde Credential ManagerPara activar el inicio de sesión en Windows desde Credential Manager:



3. En el panel derecho, haga clic en la ficha General.

4. Seleccione la casilla de verificación Use Credential Manager to log on to Windows.


6. Reinicie el equipo.

Ejemplo 2: uso de la página “Advanced Settings” para solicitar la verificación del usuario antes del registro únicoPara solicitar que el registro único verifique sus credenciales antes del inicio de sesión en un cuadro de diálogo o en una página Web:



3. En el panel derecho, haga clic en la ficha Single Sign On.

4. En When registered logon dialog or Web page is visited, seleccione la casilla de verificación Validate user before submitting credentials.


6. Reinicie el equipo.


Glosario

Los siguientes términos son utilizados en este documento y en todos los temas relativos a ProtectTools Security Manager.

Archivo de recuperación de emergencia: área de almacenamiento protegido que permite la reencriptación de claves de usuario básicas, de una clave de propietario de plataforma a otra.

Autenticación: proceso de verificación para confirmar si el usuario está autorizado a realizar una tarea, por ejemplo acceder a un equipo, modificar la configuración de un programa particular o ver datos protegidos.

Autenticación de inicio: recurso de seguridad que exige alguna forma de autenticación, como una smart card, un chip de seguridad o contraseña, cuando se enciende el equipo.

Autoridad de certificación (CA): servicio que emite los certificados requeridos para ejecutar una infraestructura de clave pública.

Biométrica: categoría de credenciales de autenticación que utilizan un recurso físico, como una huella digital, para identificar a un usuario.

Certificado digital: credenciales electrónicas que confirman la identidad de un individuo o una compañía al vincular la identidad del propietario del certificado digital a un par de claves electrónicas que se usan para firmar información digital.

Chip de seguridad integrado Trusted Platform Module (TPM) (sólo en algunos modelos): chip de seguridad integrado que puede proteger información de usuario altamente confidencial de ataques maliciosos. Es la base de la confianza en

Guía de referencia Glosario1

Glosario

una determinada plataforma. El TPM provee algoritmos criptográficos y operaciones que cumplen especificaciones del Trusted Computing Group (TCG).

Contraseña de smart card de administrador: contraseña que vincula una smart card de administrador al equipo en la utilidad de configuración con el fin de lograr su identificación al iniciar o reiniciar. Esta contraseña puede ser establecida manualmente por el administrador o generada de forma aleatoria.

Contraseña de smart card de usuario: contraseña que vincula una smart card de usuario al equipo en la utilidad de configuración con el fin de lograr su identificación al iniciar o reiniciar. Esta contraseña puede ser establecida manualmente por el administrador o generada de forma aleatoria.

Credenciales: método por el cual un usuario prueba sus derechos para la realización de una tarea en particular durante el proceso de autenticación.

Criptografía: práctica de encriptar y desencriptar datos de modo que puedan ser decodificados sólo por determinados individuos.

Cuenta de red: usuario de Windows o cuenta de administrador en un equipo local, un grupo de trabajo local o un dominio.

Cuenta de usuario de Windows: perfil para que un individuo autorizado inicie la sesión en una red o en un equipo individual.

Desencriptación: procedimiento usado en criptografía para convertir datos encriptados en texto común.

Dominio: grupo de equipos que forman parte de una red y comparten una base de datos de directorio común. Los dominios tienen un nombre exclusivo y cada uno tiene un conjunto de reglas y procedimientos comunes.

DriveLock: recurso de seguridad que vincula el disco duro a un usuario y exige que el usuario ingrese correctamente la contraseña de bloqueo de unidad cuando se inicia el equipo.

DriveLock automático: recurso de seguridad que hace que las contraseñas de bloqueo de unidad sean generadas y protegidas por el chip de seguridad integrado TPM. Cuando el usuario es


Glosario

autenticado por el chip integrado TPM durante el inicio, ingresando la contraseña de clave de usuario básica TPM correcta, el BIOS desbloquea el disco duro para el usuario.

Encriptación: procedimiento, como el uso de un algoritmo, empleado en criptografía para convertir texto común en texto cifrado con el fin de evitar que destinatarios no autorizados lean los datos. Existen muchos tipos de encriptación de datos y la encriptación es la base de la seguridad de la red. Los tipos comunes incluyen estándar de encriptación de datos y encriptación de claves públicas.

Firma digital: datos enviados con un archivo que verifica al remitente del material y garantiza que el archivo no haya sido modificado después de firmado.

Identidad: en ProtectTools Credential Manager, conjunto de credenciales y configuraciones que son manejadas como una cuenta o un perfil de un usuario en particular.

Infraestructura de claves públicas (PKI): estándar que define las interfaces para la creación, uso y administración de certificados y claves criptográficas.

Java Card: pequeña pieza de hardware, similar en tamaño y forma a una tarjeta de crédito, que almacena información de identificación del propietario. Utilizada para autenticar al propietario en un equipo.

Migración: tarea que permite la administración, restauración y transferencia de claves y certificados.

Modo de seguridad de BIOS: opción en Smart Card Security que, cuando está activada, requiere el uso de una smart card y un PIN válido para la autenticación del usuario.

Perfil de BIOS: conjunto de ajustes de configuración del BIOS que pueden ser guardados y aplicados a otras cuentas.

Proveedor de servicio criptográfico (CSP): proveedor o biblioteca de algoritmos criptográficos que pueden usarse en una interfaz bien definida para realizar funciones criptográficas particulares.


Glosario

Registro único (Single Sign On): recurso que almacena datos de autenticación y permite el uso de Credential Manager para acceder a Internet y a aplicaciones de Windows que requieren autenticación de contraseñas.

Reinicio: proceso de reinicio del equipo.

Seguridad estricta: recurso de seguridad en la configuración del BIOS que proporciona protección optimizada para las contraseñas de inicio y de configuración y otras formas de autenticación de inicio.

Sistema de encriptación de archivos (EFS): sistema que encripta todos los archivos y subcarpetas dentro de la carpeta seleccionada.

Smart card: pequeña pieza de hardware, similar en tamaño y forma a una tarjeta de crédito, que almacena información de identificación del propietario. Se la utiliza para autenticar al propietario en un equipo.

Token USB: dispositivo de seguridad que almacena información de identificación acerca de un usuario. Como un lector biométrico o una smart card, es utilizado para autenticar al propietario en un equipo.

Token virtual: recurso de seguridad que funciona de manera muy parecida a una smart card o a un lector. El token se guarda en la unidad de disco duro del equipo o en el registro de Windows. Cuando se inicia la sesión con un token virtual, se le solicita un PIN de usuario para completar la autenticación.

Unidad segura personal (PSD): proporciona un área de almacenamiento protegido para datos confidenciales.


Índice

Aactivación

autenticación de inicio 5–5autenticación de smart card

5–5chip TPM 4–2DriveLock Automático 5–7opciones de configuración

del sistema 5–3seguridad de BIOS de

smart card 2–3seguridad estricta 5–11

administración de identidad 6–11

autenticación de inicio 3–6activar y desactivar 5–5al reiniciar Windows 5–12

BBIOS Configuration for

ProtectTools 5–1bloqueo de workstation 6–13

Cchip TPM

activación 4–2inicialización 4–3

Contraseña de administrador de BIOS

cambio 5–10configuración 5–10definición 1–4

contraseña de administrador de smart card


Contraseña de administrador en la utilidad de configuración


contraseña de archivo de recuperación de smart card

configuración 2–12definición 1–5

Contraseña de clave de usuario básico


contraseña de configuración de seguridad 1–4

contraseña de inicioconfiguración y cambio

5–9

Guía de referencia Índice–1

Índice

definición 1–4Contraseña de inicio de sesión

de Windows 1–7Contraseña de la utilidad de

configuración F10 1–4contraseña de propietario


contraseña de tarjeta de administrador de BIOS


contraseña de tarjeta de usuario de BIOS

configuración y cambio 2–7

definición 1–5contraseña de token de

recuperación de emergenciaconfiguración 4–4definición 1–6

contraseña de usuario de smart card

almacenamiento 2–8configuración y cambio

2–7definición 1–5

contraseñasadministración 1–4pautas 1–8

copia de seguridadembedded security 4–9identidad 6–11Java Card 3–12

registro único 6–20smart card 2–11, 3–10

Credential Managerasistente de inicio de sesión

6–3contraseña de archivo de

recuperación 1–7contraseña de inicio de

sesión 1–7cuenta 6–4

Credential Manager for ProtectTools 6–1

cuentaCredential Manager 6–4usuario básico 4–5

cuenta de red 6–15cuenta de red de Windows

6–15cuenta de usuario básico 4–5

Ddesactivación

autenticación de inicio 5–5autenticación de inicio con

Java Card 3–9autenticación de smart card

5–5DriveLock Automático 5–7opciones de configuración

del sistema 5–3seguridad de BIOS de

smart card 2–5seguridad estricta 5–11

DriveLock Automático 5–7


Índice

EEmbedded Security for

ProtectTools 4–1encriptación de archivos y

carpetas 4–7

Hhuellas digitales 6–5

Iidentidad 6–11inicialización

chip de seguridad integrado 4–3

smart card 2–2

JJava Card

asignación de un nombre 3–5

autenticación de inicio 3–6cambio de PIN 3–2, 3–4configuración de un PIN

3–2, 3–4PIN, definición 1–6

Java Card Security for ProtectTools 3–1

Llector de smart card, selección

3–3lectores biométricos 6–5

Oopciones de configuración del

sistema 5–3opciones de inicio 5–2

PPIN de smart card

cambio 2–11definición 1–5

propiedadesaplicación 6–19autenticación 6–22credencial 6–24

ProtectTools Security Manager 1–1

Rrecuperación

identidad 6–12Java Card 3–11smart card 2–13

recuperación de emergencia 4–4

registroaplicación 6–17credenciales 6–5

Registro únicoexportación de

aplicaciones 6–20modificación de las

propiedades de una aplicación 6–19

registro automático 6–17registro manual 6–18remoción de aplicaciones

6–20

Sseguridad de BIOS de smart

card 2–3seguridad estricta 5–11


Índice

Smart Card Security for ProtectTools 2–1

Ttoken virtual 6–9

Uunidad segura personal (PSD)

4–7usuario predeterminado 6–16


Documents

ProtectTools Security Manager