IBM Client Security Software sólo puede utilizarse en sistemas IBM que contengan IBM Embedded Security Subsystem. Este software consta de aplicaciones y componentes que permiten a los clientes de IBM proteger su información confidencial mediante hardware, con un chip de seguridad, en lugar de mediante software, más vulnerable.

Antes de proteger la información de usuarios cliente, IBM Client Security Software debe estar instalado en el cliente y los usuarios deben estar autorizados para utilizar el software. Un Asistente de instalación de fácil uso le guiará en todo el proceso de instalación.

AVISO: al menos un usuario cliente DEBE estar autorizado para utilizar UVM durante la instalación. Si NO hay ningún usuario autorizado para utilizar UVM en la configuración inicial de Client Security Software, los valores de seguridad NO se aplicarán y su información NO estará protegida.

Si ha terminado el Asistente de instalación sin autorizar a ningún usuario, concluya y reinicie el sistema; a continuación ejecute el cliente Asistente de instalación de Client Security desde el menú Inicio de Windows y autorice a un usuario de Windows para que utilice UVM. De esta forma permite a IBM Client Security Software aplicar los valores de seguridad y proteger su información confidencial.

Novedades en este release

• IBM Password Manager 1.4 se incluye en el paquete de instalación de CSS

• Lector de huellas dactilares UPEK integrado en sistemas IBM seleccionados

• La instalación con una sola pulsación instala todos los archivos necesarios

• Soporte de contraseña del administrador de longitud variable

• Nueva opción de configuración para usuarios noveles: configuración típica

• Sólo National TPM y Atmel TPM se soportan en este release

• Frase de paso del supervisor del BIOS de ThinkPad soportada en este release

Nota: si utiliza un sistema ThinkPad o NetVista con un chip de seguridad que no sea compatible con TCG, debe utilizar Client Security Software 5.3. Client Security Software 5.4 no se instalará correctamente en estos sistemas.

Versiones de software necesarias para utilizarlas con este release

• IBM Password Manager Release 1.4

• Cifrado de archivos y carpetas de IBM Release 2.10

Limitaciones o problemas conocidos de CSS Versión 5.4

• No están soportados varios lectores de huellas dactilares
  Client Security Software 5.4 da soporte a un solo software de huellas dactilares en el mismo sistema simultáneamente. Para utilizar un lector de huellas dactilares diferente, debe desinstalarse el software de huellas dactilares actual.

• La conexión de red inalámbrica da error después de transferir un certificado de usuario
  Si se deja abierto el diálogo de frase de paso sin entrar una frase de paso durante un largo período, podría hacer que la conexión de red inalámbrica diese error. Si ocurre esto, inhabilite y vuelva a habilitar el adaptador inalámbrico después de autenticarse en IBM User Verification Manager (UVM).

• Los intentos simultáneos de cifrado con el botón derecho podrían dar error
  Si se intentan cifrar varios archivos a la vez mediante el botón derecho es posible que el cifrado dé error. Es más probable que ocurra si el primer archivo es muy grande. Si ocurre esto, utilice el botón derecho para cifrar los archivos individualmente.

• Las contraseña de sobrescritura de huellas dactilares o smart cards para usuarios limitados
  Cuando un administrador actualiza la contraseña de sobrescritura de huellas dactilares o smart card de un usuario mediante la Consola del administrador, se genera un archivo actualizado y se sitúa en el directorio del archivador del usuario. Después el usuario final debe copiar este archivo actualizado del archivador al directorio correcto en el sistema. La forma habitual de hacerlo es seleccionar Restaurar la configuración de seguridad del usuario desde el archivador en User Configuration Utility. Sin embargo, esta opción sólo está disponible para los usuarios con privilegios de administrador en el sistema. Los usuarios limitados no pueden recuperar una contraseña de sobrescritura actualizada. Los usuarios limitados deben hacer que un administrador copie manualmente el archivo adecuado al directorio de Windows del sistema.

• Los usuarios invitados no pueden utilizar los programas de utilidad Cifrado de archivos y carpetas o Password Manager
  Los programas de utilidad Cifrado de archivos y carpetas o Password Manager no permiten el acceso a un usuario invitado incluso aunque la cuenta de usuario invitado se muestre en Administrator Utility.

• Limitaciones de itinerancia

  • Utilización de un servidor de itinerancia CSS

    El mensaje de solicitud de contraseña del administrador de CSS aparecerá siempre que alguien intente iniciar la sesión en el servidor de itinerancia CSS. No obstante, se puede utilizar el sistema con normalidad sin entrar esta contraseña.

  • Utilización de IBM Client Security Password Manager en un entorno de itinerancia

    Las contraseñas almacenadas en un sistema que utilice IBM Client Security Password Manager se pueden utilizar en otros sistemas dentro del entorno de itinerancia. Las nuevas entradas se recuperan automáticamente del archivador cuando el usuario inicia la sesión en otro sistema (si el archivador está disponible) de la red de itinerancia. Por tanto, si un usuario ya ha iniciado la sesión en un sistema, debe cerrar la sesión e iniciar la sesión de nuevo antes de que estén disponibles nuevas entradas en la red de itinerancia.

  • Retardo de renovación de certificado e itinerancia de Internet Explorer

    Los certificados de Internet Explorer se renuevan en el archivador cada 20 segundos. Si un usuario de itinerancia genera un nuevo certificado de Internet Explorer, el usuario debe esperar al menos 20 segundos antes de importar, restaurar o cambiar su configuración de CSS en otro sistema. Si se intenta alguna de estas acciones antes del intervalo de renovación de 20 segundos, se perderá el certificado. Además, si el usuario no estaba conectado al archivador al generar el certificado, deberá esperar 20 segundos después de conectarse al archivador para asegurarse de que se actualiza el certificado en el archivador.

  • Contraseña de Lotus Notes e itinerancia de credenciales

    Si está habilitado el soporte de Lotus Notes, UVM almacenará la contraseña de los usuarios de Lotus Notes. Los usuarios no necesitarán entrar su contraseña de Notes para iniciar la sesión de Lotus Notes. Se les pedirá su frase de paso, huellas dactilares, smart card, etc. de UVM (dependiendo de los valores de política de seguridad) para acceder a Lotus Notes.

    Si un usuario cambia su contraseña de Notes desde Lotus Notes, el ID de archivo de Lotus Notes se actualiza con la nueva contraseña, y también se actualiza la copia de UVM de la nueva contraseña de Notes. En un entorno de itinerancia, las credenciales de usuario de UVM estarán disponibles en otros sistemas de la red de itinerancia a los que el usuario puede acceder. Es posible que la copia de UVM de la contraseña de Notes no coincida con la contraseña de Notes del archivo de ID de otros sistemas de la red de itinerancia si el archivo de ID de Notes con la contraseña actualizada no está tampoco disponible en el otro sistema. Si esto ocurre, el usuario no podrá acceder a Lotus Notes.

    Si el archivo de ID de un usuario de Notes con la contraseña actualizada tampoco está disponible en otro sistema, el ID de archivo de Notes actualizado debe copiarse a los otros sistemas de la red de itinerancia de modo que la contraseña del archivo de ID coincida con la copia almacenada por UVM. De forma alternativa, los usuarios pueden ejecutar Modificar los valores de seguridad en el menú Inicio y cambiar la contraseña de Notes a su antiguo valor. A continuación se puede actualizar la contraseña de Notes mediante Lotus Notes.

  • Disponibilidad de credenciales en el inicio de sesión en un entorno de itinerancia

    Cuando un archivador se encuentra en una red compartida, se descargan del archivador los últimos conjuntos de credenciales de usuario tan pronto como el usuario tiene acceso al archivador. Al iniciar la sesión, los usuarios aún no tienen acceso a la red compartida, de modo que es posible que no se descarguen las últimas credenciales hasta que se complete el inicio de sesión. Por ejemplo, si se cambió la frase de paso de UVM en otro sistema de la red de itinerancia, o se registraron nuevas huellas dactilares en otro sistema, esas actualizaciones no estarán disponibles hasta que el proceso esté completo. Si no están disponibles las credenciales actualizadas, los usuarios deben probar la frase de paso anterior u otras huellas dactilares registradas para iniciar la sesión en el sistema. Una vez completado el inicio de sesión, las credenciales actualizadas del usuario estarán disponibles y la frase de paso y las huellas dactilares se registrarán con UVM.

  • Utilización de Netscape en un entorno de itinerancia

    Si utiliza Netscape en un entorno de itinerancia, todos los sistemas de la red de itinerancia deben utilizar la misma versión de Netscape. No pueden utilizarse credenciales en versiones diferentes, por ejemplo la 4.8 y la 7.1

• Restauración de las claves

  Después de realizar una operación de restauración de claves, debe reiniciar el sistema para continuar utilizando Client Security Software.

• Nombres de usuario local y de dominio

  Si los nombres de usuario local y de dominio son iguales, debe utilizar la misma contraseña de Windows para ambas cuentas. IBM User Verification Manager sólo almacena una contraseña de Windows por ID, de modo que los usuarios deben utilizar la misma contraseña para el inicio de sesión local y de dominio. Si no es así, se les pedirá que actualicen la contraseña de Windows de IBM UVM al cambiar entre inicios de sesión local y de dominio si está habilitada la sustitución por el inicio de sesión seguro de IBM UVM.

  CSS no proporciona la capacidad de inscribir usuarios locales y de dominio con el mismo nombre de cuenta. Si intenta inscribir usuarios locales y de dominio con el mismo ID, aparecerá el mensaje siguiente: The selected user ID has already been configured (El ID de usuario seleccionado ya está configurado). CSS no permite la inscripción separada de ID de usuario locales y de dominio comunes en un sistema, de forma que el usuario común tenga acceso al mismo conjunto de credenciales, como certificados, huellas dactilares almacenadas, etc.

• Reinstalación del software de huellas dactilares Targus

  Si se elimina y reinstala el software de huellas dactilares Targus, deben añadirse manualmente las entradas del registro necesarias para habilitar el soporte de huellas dactilares de Client Security Software o habilitar el soporte de huellas dactilares. Descargue el archivo de registro que contiene las entradas necesarias (atplugin.reg) y efectúe una doble pulsación sobre él para incluir las entradas en el registro. Pulse Sí cuando se le solicite confirmación de esta operación. Debe reiniciarse el sistema para que Client Security Software reconozca los cambios y habilitar el soporte de huellas dactilares.

  Nota: debe tener privilegios de administrador en el sistema para añadir estas entradas de registro.

• Lector de huellas dactilares USB Targus

  Si cambia el puerto al que está conectado el lector de huellas dactilares USB Targus, es posible que IBM User Verification Manager experimente problemas a la hora de reconocer las huellas dactilares de los usuarios. Si ocurre esto, vuelva a cambiar el lector USB al puerto donde estaba conectado originalmente.

• Frase de paso del supervisor del BIOS

  IBM Client Security Software 5.3 y las versiones anteriores no dan soporte a la característica de frase de paso del supervisor del BIOS disponible en algunos sistemas ThinkPad. Si habilita el uso de la frase de paso del supervisor del BIOS, cualquier habilitación o inhabilitación del chip de seguridad debe realizarse desde el programa BIOS Setup. IBM Embedded Security Subsystem no se habilitará durante la instalación interactiva cuando se haya establecido una contraseña del supervisor del BIOS.

• Utilización de Netscape 7.x

  Netscape 7.x tiene un funcionamiento distinto al de Netscape 4.x. El mensaje de solicitud de frase de paso no aparece al iniciar Netscape. En su lugar, el módulo PKCS#11 sólo se carga cuando es necesario, de modo que la frase de paso sólo aparece al efectuar una operación que requiera el módulo PKCS#11.

• Utilización de un disquete para archivar

  Si especifica un disquete como ubicación del archivador al configurar el software de seguridad, experimentará retardos prolongados, ya que el proceso de configuración escribe datos en el disquete. Algún otro medio, como una compartición de red o una llave USB, debe ser una ubicación de archivo superior.

• Registro de smart cards

  Las smart cards deben registrarse con UVM para que los usuarios puedan efectuar la autenticación satisfactoriamente con ellas. Si se asigna una tarjeta a varios usuarios, sólo el último usuario en registrar la tarjeta podrá utilizarla. En consecuencia, las smart cards sólo deben registrarse para una cuenta de usuario.

• Autenticación con smart cards

  Si es necesaria una smart card para la autenticación, UVM mostrará un diálogo solicitando la smart card. Al insertar la smart card en el lector, aparece un diálogo solicitando el PIN de la smart card. Si el usuario entra un PIN incorrecto, UVM solicitará de nuevo la smart card. Hay que retirar y reinsertar la smart card para volver a entrar el PIN. Los usuarios deben continuar retirando y reinsertando la smart card hasta que se entre el PIN correcto de la tarjeta.

• El símbolo más (+) aparece en las carpetas después del cifrado

  Después de cifrar archivos o carpetas, Windows Explorer podría mostrar un símbolo más (+) extraño ante el icono de carpeta. Este carácter extra desaparecerá cuando se actualice la ventana del Explorador.

• Número de archivos después del cifrado con el botón derecho

  Cuando intente cifrar varios archivos mediante la función de cifrado con el botón derecho, puede que la operación dé error si alguno de los archivos que se están cifrando son de un tipo no permitido, como DLL, VxD, SYS, etc. Cuando la operación con el botón derecho da error, puede que el número de archivos no cifrados que se muestra en la ventana de error sea incorrecto.

• Archivo de las credenciales de usuario

  IBM Client Security Software intenta mantener actualizada la información de copia de seguridad almacenada en el archivador efectuando con frecuencia copias de seguridad de la información del sistema, en el directorio del archivador (especificado durante la configuración del subsistema de seguridad). Si este directorio del archivador está almacenado en una unidad de soporte almacenamiento extraíble, como una llave USB, o en un recurso compartido de red, puede que el directorio del archivador no esté siempre disponible. En el caso de que CSS no pueda acceder al directorio del archivador, se mostrará un mensaje indicando que el archivador no está disponible. Si se pulsa Cancelar simplemente se cancelará el intento de efectuar copia de seguridad de un archivo específico, y es posible que CSS esté intentado efectuar copia de seguridad de varios archivos, por lo que el mensaje podría mostrarse varias veces. Para evitar que el mensaje se muestre repetidas veces cuando el archivador no esté disponible, seleccione el recuadro de selección No volver a mostrar este mensaje. El mensaje de aviso no volverá a mostrarse.

• Limitaciones de los usuarios limitados de Windows XP Home

  Los usuarios limitados de Windows XP Home no pueden actualizar su frase de paso de UVM o contraseña de Windows ni actualizar su archivador de claves mediante User Configuration Utility.

• Podría producirse un error POST 190 del sistema cuando se instala una nueva placa del sistema.

Para borrar el error POST, realice el procedimiento siguiente:

1. Reinicie el sistema.

2. Pulse F1 para entrar en el programa BIOS Setup Utility.

3. Salga del programa BIOS Setup Utility.

El error POST se borrará al salir del programa BIOS Setup Utility.

CSS 5.4: GINA soportadas

• IBM Access Connections GINA (qcongina.dll)

• Utimaco SafeGuard Easy GINA (sslogon.dll)

• Atheros Wireless GINA (athgina.dll)

• Intel Wireless GINA (iWPDGina.dll)

Actualización desde el Release 4.0x

Para eliminar completamente Client Security Software, simplemente desinstale Client Security Software Release 4.0x desde el applet Agregar o quitar programas del Panel de control. Después de reiniciar el sistema, se puede instalar y configurar Client Security Software Release 5.4 mediante el Asistente de instalación.

Para completar el procedimiento siguiente, necesitará las claves públicas y privadas creadas al configurar el Release 4.0x. Asegúrese de tenerlas disponibles.

Para quitar Client Security Software Release 4.0x, pero utilizar sus datos de seguridad existentes con el Release 5.4, realice este procedimiento:

1. Actualice la información del archivador.
   Antes de quitar Client Security Release 4.0x, asegúrese de que la información del archivador está actualizada. Se puede hacer con el procedimiento siguiente:

   1. Pulse Inicio > Programas > IBM Client Security Software > User Configuration Utility.

   2. Pulse el botón Actualizar archivador. Se actualizará la información de copia de seguridad. Anote el directorio del archivador.

   3. Salga del programa de utilidad.

2. Quite la versión existente de Client Security Software del sistema con el procedimiento siguiente:

   1. Desde el Panel de control, utilice Agregar o quitar programas para quitar IBM Client Security Software.

   2. Seleccione No cuando se le pregunte si desea rearrancar.

   3. Concluya el sistema utilizando el menú Inicio.

3. Borre la información del chip IBM Security Chip incorporado, utilizando el procedimiento siguiente:

1. Encienda el sistema.

2. Pulse F1 durante el arranque para entrar en el programa BIOS Setup Utility.

3. Vaya a los valores del chip de seguridad y borre su información.

4. Salga del programa BIOS Setup y el sistema seguirá arrancando.

   Nota: es posible que necesite pulsar y mantener pulsada la tecla Fn durante el arranque. El procedimiento de borrado del chip varía entre los sistemas. Consulte la guía del usuario de su sistema.

4. Instale IBM Client Security Release 5.4, utilizando el procedimiento siguiente:

1. Ejecute el programa de instalación del Release 5.4.

2. Rearranque cuando se le indique. Después de rearrancar, el Asistente de instalación de Client Security se iniciará automáticamente.

3. No ejecute el Asistente de instalación. En su lugar, pulse Cancelar para salir.

5. Efectúe una copia de seguridad temporal de la política de seguridad por omisión, utilizando el procedimiento siguiente:

1. Utilizando el Explorador de Windows, vaya al directorio de instalación de IBM Client Security Software (el valor por omisión es c:\Archivos de programa\IBM\security).

2. Pulse la carpeta UVM_Policy con el botón derecho del ratón y seleccione Copiar.

3. Pulse el escritorio con el botón derecho del ratón y seleccione Pegar. Se creará una copia de seguridad temporal en el escritorio. Tenga en cuenta que sus valores de política de seguridad existente serán reemplazados con los nuevos valores por omisión.

6. Restaure los valores del Release 4.0, utilizando el procedimiento siguiente:

   1. Desde el Panel de control, seleccione IBM Embedded Security System y entre la contraseña del chip.

   2. Pulse el botón Configuración de claves.

   3. Seleccione Sí para restaurar las claves del archivador de claves.

   4. Proporcione la ubicación del directorio con el archivador del Release 4.0.

   5. Proporcione la ubicación de los archivos de claves públicas y privadas que se crearon al configurar el Release 4.0x. Se le notificará que su archivador será actualizado para el nuevo release.

   6. Pulse Aceptar.

   7. Proporcione una ubicación para crear las nuevas claves del archivador (Release 5.4). Asegúrese de crear las claves en una ubicación distinta a la de las claves del archivador existentes para el Release 4.0x. Si tiene las claves del administrador creadas en otro sistema para el Release 5.4, puede seleccionar Use an existing CSS Archive key pair (Utilizar un par de claves del archivador existentes de CSS) y proporcionar la ubicación de las claves existentes.

   8. Pulse Siguiente. El archivador se convertirá y restaurará.

   9. Salga de la aplicación cuando haya terminado.

7. Restaure los valores de política

8. Utilizando el Explorador de Windows, vaya al directorio de instalación de IBM Client Security Software (el valor por omisión es c:\Archivos de programa\IBM\security).

9. Con el botón izquierdo del ratón, arrastre la carpeta UVM_Policy desde el escritorio al directorio de instalación de IBM Client Security Software.

10. Responda 'Sí' a todos los avisos.

Ha migrado los datos de seguridad desde el Release 4.0 al Release 5.4.

Si anteriormente cambió la política de seguridad del Release 4.0x, quizá desee volver a someter los valores de política de seguridad ejecutando IBM Embedded Security Subsystem desde el Panel de control. Pulse Configurar soporte de aplicaciones y políticas, Política de aplicaciones y Editar política.