Guíadedesplieguede
HardwarePasswordManager
Actualizada:juliode2010
Guíadedesplieguede
HardwarePasswordManager
Actualizada:juliode2010
Nota:Antesdeutilizarestainformaciónyelproductoalquedasoporte,lealainformacióngeneraldel
ApéndiceDAvisos”enlapágina51.
Terceraedición(Julio2010)
©CopyrightLenovo2010.
Losproductos,datos,softwaredelsistemayserviciosLENOVOsehandesarrolladoexclusivamenteconnanciación
privadaysevendenaentidadesgubernamentalescomoartículoscomercialestalcomosedeneen48C.F.R.2.101con
derechoslimitadosyrestringidosparasuutilizaciónreproducciónydivulgación.
AVISODEDERECHOSLIMITADOSYRESTRINGIDOS:silosproductos,datos,softwaredesistemaoserviciosse
proporcionandeconformidadconuncontrato“GSAdeAdministracióngeneraldeservicios,lautilización,reproducción
odivulgaciónestánsujetasalasrestriccionesestablecidasenelContratoNúm.GS-35F-05925.
Contenido
Prefacio.................v
Capítulo1.Visióngeneral.......1
Capítulo2.Instalaciónde
HardwarePasswordManager
enThinkManagementConsole.....3
Requisitosprevios..............3
Preparacióndelservidorprincipal........4
ThinkManagementConsoleconconguracióndel
servidorHPM................5
MigraciónaunnuevoservidorLDAP.......6
InstalacióndeHardwarePasswordManagerenun
dispositivoLenovo..............7
Capítulo3.Administraciónde
dispositivosdeHardwarePassword
ManagerconThinkManagement
Console.................9
VisualizacióndedispositivosdeHardware
PasswordManagerydesuspropiedades.....9
Gestióndeusuariosinscritosendispositivos
deHardwarePasswordManager......10
Conguracióndeunaconexiónconun
servidorLDAP.............11
VisualizacióndeusuariosdeHardware
PasswordManagerydesuspropiedades..11
Eliminacióndelaccesodeunusuarioaun
dispositivodeHardwarePasswordManager.12
GestióndegrupodeHardwarePassword
Manager...............12
Gestióndeaccionesremotasyvaloresde
políticasparadispositivosdeHardwarePassword
Manager.................13
Actualizaciónglobaldepolíticasdeclientes...15
Actualizaciónglobaldecontraseñasde
hardware.................16
Actualizacióndelacuentadeemergencia....17
Modicacióndevaloresdepolíticasdeservidor.18
Denicióndeámbitosyrolesparausuariosde
consola.................19
Capítulo4.ClientedeHardware
PasswordManager..........21
ConguracióndeldispositivoHardwarePassword
Manager.................21
Registrodeundispositivoenelservidorde
HardwarePasswordManagereinscripcióndel
primerusuario...............22
Inscripcióndeusuariosadicionalesenun
dispositivodeHardwarePasswordManager...23
Eliminacióndeunusuariodeundispositivode
HardwarePasswordManager.........23
Desregistrodeundispositivodelservidorde
HardwarePasswordManager.........24
Actualizacióndecredencialesenundispositivode
HardwarePasswordManager.........24
Capítulo5.Despliegue........27
Integracióndehuellasdactilares........27
CompatibilidadconSafeGuardEasy/SafeGuard
Enterprise................28
Registrodeunsolotoque..........29
Registroprevio............29
Inscripcióndeusuariosenunsistema
prerregistrado.............29
Capítulo6.Situaciones.......31
Situacionesdeservicio(cambiosenla
conguración)...............31
Situación1-Cambiosenlaconguracióndel
hardware...............31
Situación2-ErrordelCMOS.......31
Situación3-Sustituirdispositivodehuella
dactilares...............32
Situación4-Contraseñasdehardwareya
establecidas..............32
Situación5-Conguraciónutilizandoel
sistemaoperativo(valoresremotosdel
BIOS)................33
Situación6-Sustituirlaplacadelsistema..33
Situación7-Añadirundiscoduro.....33
Situación8-Reemplazoomovimientode
discoduro..............34
Situación9-Cambiarlaubicacióndeldisco
durodentrodeunsistema........35
Situación10-Eliminarunaunidaddedisco
duro.................35
Situación11-ActualizacióndelBIOS(ash).35
Situación12-Unsistemaregistroyanopuede
accederalservidordeHardwarePassword
Manager...............35
Situación13-Entrarenlaconguracióndel
BIOS.................36
Situación14-Cargarvalorespredeterminados
enlaconguracióndelBIOS.......36
Situación15-Noprotegertodaslasunidades
dediscoduro.............36
Situacionesdeusuarios...........36
Situación1-Olvidodelascredencialesdela
cuentadehardware,conconexióndered..36
©CopyrightLenovo2010
iii
Situación2-Olvidodelascredencialesdela
cuentadehardware,SINconexióndered..36
Situación3-Olvidodelacontraseña
corporativa..............37
Situación4-Iniciodesesiónmanualutilizando
distintostiposdeteclados........37
Situación5-Gestióndeinscripcionesde
variasparticionesdearranque.......38
Situación6-BitLocker..........38
ApéndiceA.Seguridady
conveniencia.............39
ApéndiceB.Recuperacióntras
desastre................41
ApéndiceC.Sugerenciasy
consejos................45
ApéndiceD.Avisos..........51
Marcasregistradas.............52
ivGuíadedesplieguedeHardwarePasswordManager
Prefacio
EstapublicaciónestádirigidaaadministradoresdeIToaaquellaspersonasresponsablesdedesplegarel
programaLenovo
®
HardwarePasswordManager™enlossistemasdesusorganizaciones.Elpropósitode
estapublicaciónesproporcionarlainformaciónnecesariaparainstalarHardwarePasswordManagerenuno
ovariossistemas,siemprequelaslicenciasparaelsoftwareesténdisponiblesencadasistemadedestino.
Laaplicación
HardwarePasswordManagerproporcionaayudasobrelaaplicaciónquelosadministradoresy
usuariospuedenconsultarparaobtenerinformaciónsobrecómoutilizarlaaplicación.
LenovoHardwarePasswordManagerestádesarrolladoparaprofesionalesdeITyparalosdesafíosque
afrontan.EstaguíadedespliegueproporcionaráinstruccionesysolucionesparatrabajarconHardware
PasswordManager.Sitienesugerenciasocomentarios,póngaseencontactoconelrepresentante
autorizadodeLenovo.Paraobtenermásinformaciónsobrelastecnologíasquepuedenayudarleareducirel
costedesupropiedadyparabuscaractualizacionesperiódicasdeestaguía,vayaalsitiowebsiguiente:
http://www.lenovo.com
©CopyrightLenovo2010
v
viGuíadedesplieguedeHardwarePasswordManager
Capítulo1.Visióngeneral
LenovoHardwarePasswordManager(HPM)ledaalosadministradoreslacapacidaddeadministrar
contraseñasdehardwareparatodoslosdispositivodePCregistrados.Además,crealanocióndeunIDy
contraseñadeusuariodeniveldelBIOSparaqueelusuarionallausecomounproxydeiniciodesesión.
EsteIDycontraseñadeusuariosepuedensincronizarconelIDycontraseñadeWindowsparaelusuario.
ElusuariotambiéntienelaopcióndeautenticarseenelBiosantesdeusarlahuelladactilar.Cuandose
enciendeeldispositivo,selesolicitalascredencialesalusuario.Silasproporciona,eldispositivoiniciará
sesiónparaelusuarioensuescritorio.Estemecanismoconservalaprivacidaddelusuarioylepermiteusar
eldispositivo,aunquenosepacuálessonlascontraseñasdehardwarereales.
CuandoseinstalaHPM,elservidorprincipaldeLenovoThinkManagementConsolefuncionacomoel
servidordeHPM;administrayautenticalosdispositivosdeHPM.Además,unservidordeActiveDirectoryo
eDirectoryLDAPfuncionacomoelservidordeautenticaciónparaHardwarePasswordManager;elservidor
deHPMcompruebalascredencialesdelusuarioconlosdatosenelservidorLDAP.
EnlosdispositivosclienteLenovoquesoportanHPM,eladministradorinstalaunagentequecontieneuna
aplicaciónHardwarePasswordManager.Cuandoseenciendeeldispositivo,comunicapormediodel
puertoUDP50001conelservidorHPM.
Unavezhaarrancadoelclienteenelsistemaoperativo,utilizalaaplicaciónHardwarePasswordManager
paracomunicarseconunserviciowebenelservidor.Estacomunicaciónserealizamedianteuncanal
HTTPS.
EladministradorutilizalascaracterísticasdeHPMenThinkManagementConsoleparaadministrar
dispositivosdeHPMycrearydesplegarpolíticasendichosdispositivos.Estaspolíticasdeterminancómose
implementaHardwarePasswordManagerenlosdispositivos;porejemplo,eladministradorseleccionaqué
opcionesdeusuarioestándisponiblesenlosdispositivosdeHPMcomopartedeladenicióndelapolítica.
©CopyrightLenovo2010
1
2GuíadedesplieguedeHardwarePasswordManager
Capítulo2.InstalacióndeHardwarePasswordManageren
ThinkManagementConsole
ParausarlafuncionalidadHPM,sedebeinstalarLenovoThinkManagementConsole.Alcongurar
estainstalación,denirálosdetallesdeconexiónparaquesuservidorLDAPproporcioneserviciosde
autenticaciónparaHPM.Laspolíticasparalaformaenquesegeneranlascontraseñasdehardwarey,
también,laformaenqueseadministranydenendispositivosdeclientesenlaconsola.
Acontinuación,instalaráelsoftwaredeclienteHPMenlosdispositivosLenovoindividualesquesoportan
HPM.UnvalordeBIOSseusaparahabilitaroinhabilitarelsoportedeHPMenestosdispositivos.Estevalor
sedebeestablecerenHabilitadoparaqueeldispositivofuncioneconHPM.
Despuésdecompletarestastareasdeinstalación,podrácomenzararegistrardispositivosdeLenovoHPM
conelservidorHPMyregistrarusuariosenestosdispositivos.
Requisitosprevios
SedebeconsiderarlossiguienteselementosantesdeinstalarLenovoThinkManagementConsolecon
HPMensuservidor:
ElservidordebeteneraccesoaInternetparapoderobtenerlosrequisitospreviosyparaactivarseuna
vezcompletadainstalación.
Elservidordebetenerunadirecciónestática.
Elservidornopuedeseruncontroladordedominio.Esrecomendable,noobstante,queelservidor
sehayaunidoaundominio.
Lacuentaqueutiliceparainiciarlasesiónpararealizarlainstalacióndelservidorprincipaldebetener
privilegiosdeadministradorenelservidorconaccesocompletodelectura/escritura.Idealmenteesta
cuentaserátambiénlacuentadeunadministradordedominio.Estacuentaseráutilizadaparacrearla
cuentainicialdeniveldeadministradorqueseusaparainiciarsesiónenThinkManagementConsole.
Paragarantizarunainstalaciónlimpiayefectiva,serecomiendaelsiguienteordendeinstalación:
1.InstaleelsistemaoperativoWindows
®
Server2003R2(32bits)conSP2oWindowsServer2008
R2(64bits).
2.InstaleWindowsComponentInternetInformationServices(IIS).
Nota:ParaelsistemaoperativoWindowsServer2003R2(32bits),estoDEBErealizarseantesde
instalarASP .Net.
3.InstalelossiguientescomponentesdeWindows:
ASP.Net
SNMP
4.UtiliceWindowsUpdateparainstalartodaslasactualizacionescríticasdisponibles.
5.InstaleMicrosoft
®
.NETFramework
®
2.0oposterior.
6.InstaleWebServicesEnhancements(WSE)3.0paraMicrosoft.NETsiusaelsistemaoperativoWindows
Server2008R2(64bits),oinstaleWebServicesEnhancements(WSE)2.0SP3siusaelsistema
operativoWindowsServer2003R2(32bits).
UnavezinstaladoThinkManagementConsole,esrecomendablehabilitarSecurityandPatchManager
paraobteneractualizacionesparaesteproducto.Enlaaplicacióndeconsola,pulseAyudaAsistente
©CopyrightLenovo2010
3
deayudadeLANDesk®Actualizacionesdeseguridadparaobtenerayudasobrecómocongurar
SecurityandPatchManager.
Preparacióndelservidorprincipal
ElservidorprincipalHPMusaráThinkManagementConsole9.0quesebasaenLANDeskManagementSuite
9.0.ParaobtenermásinformaciónsobrelosrequisitosdesistemadeLANDeskManagementSuite,vayaal
siguientesitioweb:
http://community.landesk.com/support/docs/DOC-7478
ParaconocerdetallessobrelosrequisitospreviosparainstalarThinkManagementConsole9.0,vayaal
siguientesitioweb:
http://community.landesk.com/support/docs/DOC-6767
LaplataformapreferidaparaThinkManagementConsole9.0eselsistemaoperativoWindowsServer2008
R2(64bits).LassiguientesinstruccionesdescribencómocongurarelsistemaoperativoWindowsServer
2008R2(64bits)parasatisfacerlosrequisitospreviosdeThinkManagementConsole9.0.
1.InstaleelsistemaoperativoWindowsServer2008R2(64bits)desdeelsoportedeinstalación.Se
recomiendainstalarelsistemaoperativodelservidornuevamenteparaelservidorprincipalHPM,
debidoaquelasimágenesdelsistemaoperativoexistentepuedentenervaloresincompatiblesconel
servidorprincipalHPM.
2.EjecuteWindowsUpdateyasegúresedequesehayanaplicadotodaslasactualizacionescríticas
necesarias.
3.Indiqueunnombreparaelservidorprincipal.Esimportantequeseestablezcacorrectamenteelnombre
delservidorprincipal.Despuésdelainstalación,nosepuederenombrarunservidorprincipalHPM.
4.DeshabiliteelservicioIndexServeryBúsquedadeWindowsdebidoaquepuedeninterferirconel
funcionamientonormaldelservidorprincipalHPM.Paraconocermásdetalles,vayaalsitioweb:
http://community.landesk.com/support/docs/DOC-7245
5.Agregueelroldeservidordeaplicaciones.
a.PulseInicioServerManager.
b.PulseAgregarroles.
c.SeleccioneWebServer(IIS).
d.PulseSiguiente.Seleindicaráqueagreguecaracterísticasrequeridasadicionalesparaesterol.
e.SeleccioneAgregarcaracterísticasrequeridas.
f.EnlapantallaSelecciónderolesdeservidor,seleccioneServidordeaplicaciones.Seleindicará
queagreguecaracterísticasrequeridasadicionalesparaesterol.
g.PulseAgregarcaracterísticasrequeridas.
h.EnlapantallaSelecciónderolesdeservidor,pulseSiguiente.
i.PulseSiguiente.
j.SeleccioneWebServer(IIS)Support.Seleindicaráqueagregueserviciosycaracterísticas
derolesadicionales.
k.PulseAgregarrolrequerido.
l.SeleccioneCOM+Accesodered.
m.PulseSiguiente.
n.PulseSiguiente.
o.EnlasecciónServiciosderol,seleccioneASP,CGIyServidorincluyebajoDesarrollode
aplicaciones.
4GuíadedesplieguedeHardwarePasswordManager
p.DesplácesealaparteinferiordelalistayseleccioneCompatibilidaddeadministraciónIIS6.
q.PulseSiguiente.
r.ApareceelrecuadrodediálogoConrmarseleccionesdeinstalación.PulseInstalar.
s.PulseCerrarcuandonalicelainstalación.
AlusarelsistemaoperativoWindowsServer2008R2(64bits),lacaracterísticaadicionalSupervisión/Alertas
(SNMP)tambiéndebeestarinstalada.
1.PulseInicioServerManager.
2.EnlaconsolaServerManager,pulseCaracterísticasypulseAgregarcaracterísticasenelpanel
derechodelaventana.
3.SeleccioneServiciosSNMP.
4.PulseSiguiente.
5.PulseInstalar.
6.PulseCerrar.
AlusarelsistemaoperativoWindowsServer2003R2(32bits)conSP2,componentesadicionalesde
Windowsdebenestarinstalados.
1.PulseInicioPaneldecontrolAgregaroquitarprogramas.
2.PulseAgregar/eliminarcomponentesdeWindows.
3.Añadalossiguientescomponentes:
a.Servidordeaplicaciones
ASP.NET
InternetInformationServices(IIS)
b.Herramientasdeadministraciónysupervisión
SimpleNetworkManagementProtocol
4.PulseSiguiente.
5.EnComponentesopcionalesdered,seleccione.
6.PulseFinalizar.
7.InstaleMicrosoft.NETFramework2.0.
8.Reinicieelservidor.
WebServicesEnhancements(WSE)3.0forMicrosoft.NETtambiéndebeestarinstalado.Microsoft
proporcionaestecomponenteenelsiguientesitioweb:
http://www.microsoft.com/downloads/details.aspx?FamilyID=018a09fd-3a74-43c5-8ec1-8d789091255d&displaylang=en
1.DescargueelpaqueteinstaladordeMicrosoftWSE3.0.msidesdeellinkmencionadoanteriormente.
2.Extraigaelpaqueteinstaladoryejecuteelejecutableenelservidorprincipal.
3.SigalasinstruccionesdelcuadrodediálogoInstalaciónusandosólolosvalorespredeterminados.
ThinkManagementConsoleconconguracióndelservidorHPM
CompruebequeelservidorLDAP(MicrosoftActiveDirectoryoNovelleDirectory)quefuncionacomoel
servidordeautenticaciónLDAPparaHardwarePasswordManagerfuncionacorrectamente.
ParaobtenerelpaquetedeinstalacióndeThinkManagementConsoleconHPM,regístreseparasudescarga
desdeelsitiowebenhttp://www.landesk.com/lenovo.Luegodenalizarelregistro,recibiráuncorreo
electrónicoconunenlaceparadescargarelpaquetedeinstalación,asícomotambién,credencialesde
LANDeskparaactivarelservidorprincipaldespuésdelainstalación.
Capítulo2.InstalacióndeHardwarePasswordManagerenThinkManagementConsole5
Despuésdehaberdescargadoelpaquetedeinstalación,sigalasinstruccionesacontinuaciónparanalizar
lainstalacióndelservidorprincipal.
1.Iniciesesiónenelservidorconprivilegiosdeadministrador.
2.ExtraigaelpaquetedeinstalaciónThinkManagement82D.exe.Copieypeguelarutadondeseextraerán
losarchivosfuentedeinstalaciónenelportapapelesparafacilitarelacceso.
3.EjecuteAutorun.exedeThinkManagementConsoledesdelaubicacióndondeseextrajoelpaquete
deinstalación.SeleccioneInstalarenelservidorprincipal.SigalospasosdelasistenteInstalacióny
seleccioneReiniciarahoradespuésdelainstalación.
4.ActiveelservidorprincipalingresandosunombredecontactoycontraseñadeLANDeskenCoreServer
ActivationUtility(requiereconexiónaInternet).
5.CongureelservidorLDAP:
a.ConecteelservidorHARDWAREPASSWORDMANAGERyelservidordeautenticaciónLDAPa
lared.
b.InicieThinkManagementConsole.
c.EnlacajadeherramientashayungrupoThinkVantageHardwarePasswordManagercontres
elementos:usuariosinscritosHPM,gruposHPMyaccionesremotasyvaloresdepolíticas.Pulse
GruposHPMypulseCongurarservidorLDAP(eltercerbotón)enlabarradeherramientas.
d.EscribalainformacióndelservidorLDAPquefuncionarácomoservidordeautenticación.Es
necesariodenirlossiguienteselementosenelservidorLDAP:
Nombredehost:ElnombredelservidorLDAP.
Puerto:Elnúmerodepuertoparacomunicarseconelservidor.Elpuertopredeterminadoes389
paraMicrosoftActiveDirectory.Sinecesitaconsultaruncatálogoglobalparaaccederamúltiples
dominiosdeActiveDirectory,cambieelpuertoa3268.SiseleccionaNovelleDirectorycomosu
servidorLDAP,elpuertopredeterminadoserá636.
Tipodeservidor:Seleccioneeltipo,MicrosoftActiveDirectoryoNovelleDirectory.
Tipodecifrado:Seleccioneeltipodecifradoutilizadoparacomunicarseconelservidor.
Usuarioautorizado:
ElnombredeusuarioderegistroenelservidordeMicrosoftActiveDirectory.
Unnombrededominio\usuarioosimplementeunnombredeusuario.
ElnombredeusuariodeiniciodesesiónenunservidordeNovelleDirectory.
Nota:Esmejorusarelcontextocn=nombreadmin,o=admin.SiBindRestrictionsseestablece
enNone,elcontextoadminname.adminfuncionará.SiBindRestrictionsestáestablecidoen
Inhabilitarenlacesimpleanónimo,elcontextoadminname.adminnofuncionará.
Contraseña:LacontraseñadelusuarioautorizadoenelservidorLDAP .
e.PulseAceptaralcompletarlainformación.
LaconguracióndelservidorprincipalThinkManagementConsolenalizaahora.
MigraciónaunnuevoservidorLDAP
EsposiblequenecesitecambiarladirecciónIPonombredehostdelservidorLDAP.Esposibleque
necesitecambiaraunnuevoservidorconunadirecciónIPdistinta,oinclusocambiarauntipodistinto
deservidorLDAP.
Siocurrecualquieradeestoscambios,debecrearunanuevaconguracióndeservidorLDAP.Parahacerlo,
repitalatareadeconguracióndeLDAPenelpaso5.SerecomiendaquelosdispositivosHPMregistrados
existentessedesregistreny,luego,registrennuevamenteconlanuevaconguraciónLDAP.Deotraforma,
6GuíadedesplieguedeHardwarePasswordManager
losdispositivosregistradosconlaconguraciónLDAPantiguanopodránrealizardiversasaccionesHPM
comouniniciodesesióndecuentadeintranet.
InstalacióndeHardwarePasswordManagerenundispositivoLenovo
ParaañadircaracterísticasdeHardwarePasswordManageraundispositivoLenovo,debedesplegarun
agentedeHPMeneldispositivo.Puedehacerlomedianteelmétododeenvíoorecepción.
ParadesplegarunagenteconcaracterísticasdeclientedeHardwarePasswordManager:
1.EnlaconsoladeThinkManagement,pulseHerramientasConguraciónConguracióndel
agente.
2.PulseNuevoenlabarradeherramientasdeConguracióndelagente,eingreseunnombrepara
estaconguracióndeagente.
3.AsegúresedequelaopciónHardwarePasswordManagerestáseleccionadaenlasección
Componentesdeagentequeinstalar.
4.Guardelasconguraciones.
Sisólopiensausarunaconguracióndeagenteopiensausarelmétododerecepcióndedespliegue,debe
establecerestanuevaconguracióndeagenteparaquesealaconguraciónpredeterminada.
Paraestablecerestaconguracióndeagentecomopredeterminada:
1.EnelpanelConguracióndelagentedeThinkManagementConsole,pulseelbotónderechodelratón
enlaconguracióndenuevoagente.
2.PulseEstablecercomopredeterminada.Unamarcadeselecciónverdeaparecerásobreelicono
paraestaconguración.
AhorapuedeusarelmétododeenvíoparadesplegarelagenteensusdispositivosLenovo.Consultelos
asistentesdeayudadeGettingStartedyDiscoveringandInstallingAgentsenelmenúAyudadelaconsola
paraobtenermásinformación.ParaelGettingStartedsólonecesitalospasosLaunchtheCongure
ServicesToolyCongureSchedulerCredentials.
Notas:
1.Parasimplicarelprocesodedescubrimientodedispositivos,desactiveelcortafuegosdeWindows®.
2.EnWindowsXP ,deberáinhabilitarelusocompartidosimpledearchivoseneldispositivoLenovo.Esto
sueleestarinhabilitadodeformapredeterminadaparaaquellosdispositivosenundominio.Puede
desactivarestaopcióndesdeWindowsExplorer.PulseHerramientasOpcionesdecarpetaVer,
desplácesealnaldelalistaydeseleccioneUsocompartidosimpledearchivos.
3.EnWindowsVista
®
serecomiendadesactivarelControldecuentasdeusuario.
Cuandosedespliegaelagente,HPMClientPortalseinstalaeneldispositivo.Elnombredearchivode
ClientPortalescmp_portal.exe,queseencuentraeneldirectorioC:\Archivosdeprograma\Lenovo\Hardware
PasswordManager.
Tambiénpuededesplegarelagentemedianteelmétododerecepción.Estemétodoimplicalaconexióna
unacarpetacompartidaenelservidordeHPMylaejecucióndeunaaplicaciónqueinstalarálaconguración
deagentepredeterminadaquesedescribióanteriormente.
1.IniciesesióneneldispositivoLenovocomoeladministradordedominioounadministradorlocal.
2.ConéctesealacomparticiónLDLOGONdirectamentemedianteelexploradorocorrelacionandouna
unidadderedconcredenciales\\<sunombredeservidorHPM>\ldlogonuotrascredencialesque
cuentanconaccesoaestacompartición.
Capítulo2.InstalacióndeHardwarePasswordManagerenThinkManagementConsole7
3.DesdeeliniciocompartidoWSCFG32.EXE.Semuestrauncuadrodediálogoquemuestralos
componentesqueseinstalarán.AsegúresedequelaopciónThinkVantageHardwarePassword
Managerestáseleccionada.
4.Sigalasindicacionesparacompletarlainstalacióndelagente.
EnalgunoscasosesposiblequesedebaincluirelclienteThinkVantageHardwarePasswordManagerenuna
imagencorporativaodesplegarlomedianteotraherramientaoprocesodeadministracióndesistemas.Para
acomodarseaestosescenarios,sepuedegenerarunpaqueteejecutableindependientedelaconguración
delagentedesdelaconsola.Esteejecutableinstalaráelagentesinningunainteraccióndelusuario.
Paracreaunpaquetedeinstalacióndelagenteejecutableindependiente:
1.PulseelbotónderechodelratónenNuevaconguracióndeagenteelpanelConguracióndelagente
deThinkManagementConsole.
2.Pulseparacrearunpaquetedeinstalacióndeclienteindependiente.
3.Especiquelacarpetaenlaquedeseaguardarelarchivoejecutableenelcuadrodediálogoque
semuestra.
Elnombredelarchivoejecutablesebasaráenelnombredelaconguracióndelagente.Elprocesose
ejecutaráensegundoplanoporunminutoaproximadamente,Secrearándosarchivosejecutablesydos
archivosderegistro.Unejecutable,designadocomo“_with_status”,proporcionaráuninstaladorque
muestraelestadodeinstalaciónalusuario.Elotroejecutableseinstalarásilenciosamente.
8GuíadedesplieguedeHardwarePasswordManager
Capítulo3.AdministracióndedispositivosdeHardware
PasswordManagerconThinkManagementConsole
LasfuncionesdeHardwarePasswordManagerdisponiblesenlaconsolasedescribenenlassiguientes
secciones:
VisualizacióndedispositivosdeHardwarePasswordManagerydesuspropiedades”enlapágina9
“GestióndeusuariosinscritosendispositivosdeHardwarePasswordManagerenlapágina10
“ConguracióndeunaconexiónconunservidorLDAP”enlapágina11
“VisualizacióndeusuariosdeHardwarePasswordManagerydesuspropiedades”enlapágina11
“EliminacióndelaccesodeunusuarioaundispositivodeHardwarePasswordManagerenlapágina12
“GestióndegrupodeHardwarePasswordManagerenlapágina12
“GestióndeaccionesremotasyvaloresdepolíticasparadispositivosdeHardwarePasswordManager
enlapágina13
Actualizaciónglobaldepolíticasdeclientes”enlapágina15
Actualizaciónglobaldecontraseñasdehardware”enlapágina16
Actualizacióndelacuentadeemergencia”enlapágina17
“Modicacióndevaloresdepolíticasdeservidorenlapágina18
VisualizacióndedispositivosdeHardwarePasswordManagerydesus
propiedades
Enlavistadered,seañadiráunacarpetaindependienteenlacarpetaDispositivosparaaquellosdispositivos
deLenovoHardwarePasswordManagerdescubiertosyadministrados.AbraestacarpetaDispositivos
gestionadosporHardwarePasswordparaverunalistadesistemasydiscosduros.
ParaverlaspropiedadesdedispositivosdeHardwarePasswordManager:
1.EnlavistaThinkManagementConsoleNetwork,amplíelacarpetaDispositivosyamplíelacarpetade
dispositivosdeHardwarePasswordManager.
2.PulseSistemasoDiscosdurossegúneltipodedispositivoquenecesita.
3.PulseconelbotónderechoenelnombredeldispositivoyseleccionePropiedadesdeHPM.
LainformaciónenelcuadrodediálogoPropiedadesnoeseditable.Losdetallesincluidosencadaunade
laspestañasseresumenacontinuación.
Resumen
Lascontraseñasindicadasenestapestañaseatenúandeformapredeterminada.SeleccioneMostrar
todoslostextosdecontraseñasenlaparteinferiordelapestaña.Estoevitalavisualizaciónnodeseada
decontraseñasdehardware.
Horaderegistroyestado:enumeralafecha/horaderegistroyelestadoactual.
ContraseñasdeBIOS:muestralascontraseñasdecadaperldeBIOSylafecha/horaenqueserealizó
porúltimavezunacopiadeseguridad.Estasecciónincluyelacontraseñadeladministrador(SVP),que
inicialasesióneneldispositivoconaccesodeadministrador,ylacontraseñadeencendido(POP),que
inicialasesiónendispositivocomounusuario.
©CopyrightLenovo2010
9
Contraseñasdediscoduro:enumeracontraseñasparaaccederacadadiscoduroeneldispositivo.
Estasecciónmuestralacontraseñamaestra,lacontraseñadeusuarioycualquiercontraseñadecopia
deseguridadquesehayageneradoparaeldiscoduro(pulseVerparaverlalistadecontraseñasde
seguridad).
Cuentadeadministracióndeemergencia:Enumeralascredencialesdelacuentaadministrativaque
puedenaccederaldispositivoHardwarePasswordManager.Lacuentadeadministracióndeemergencia
secreaentodoslosdispositivos.Estacredencialpuedeutilizarseenunaemergenciaparaaccederal
BIOSdeldispositivoconprivilegiosdeadministrador.
Usuariosinscritos:
TodoslosusuariosinscritosparaaccederaldispositivoHardwarePasswordManageraparecenenumerados
enestapestaña.ElnombredeusuariodelacuentadelaIntraneteselnombrequeseusaparaeliniciode
sesióndelacuentadeusuarioLDAP.Elnombredeusuariodelacuentadehardwareeselnombreutilizado
paraguardardatosenlacuentadehardware(unáreaseguradelamemorianovolátilalaquesólopuede
accederseatravésdelBIOSdelsistema).LavíadeaccesodeLDAPmuestralaubicacióndelusuarioenel
árboldelservidorLDAP(porejemplo,CN=ADMINISTRATOR,CN=USERS,DC=TESTLAB).
Miembrode:
Estapestañamuestralalistadegruposdecuentasdeintranetalosqueperteneceeldispositivo.Lavíade
accesoLDAPmuestralaubicacióndelgrupoenelárboldelservidorLDAP.
Accionesremotas:
LasecciónAccionesremotasenumeratodaslasaccionesanterioresquehansidoaplicadasaeste
dispositivodeHardwarePasswordManager.LasecciónEliminaraccionesremotasdeusuarioenumera
losusuariosquehansidoregistradoseneldispositivo,perocuyoaccesohasidoeliminado.
Políticadecliente:
LalistaPolíticadeWindowsmuestraelestadodelosvaloresdepolíticasrelacionadasconelsistema
operativoaplicadasenlaactualidadeneldispositivo.LalistaPolíticadelBIOSmuestraelestadode
losvaloresdepolíticasrelacionadasconelBIOSaplicadasactualmenteeneldispositivo.Estosvalores
seseleccionanenelcuadrodediálogoActualizarpolíticadecliente;consulteActualizaciónglobalde
contraseñasdehardware”enlapágina16
paraobtenermásinformación.
GestióndeusuariosinscritosendispositivosdeHardwarePassword
Manager
CuandoseregistraundispositivodeLenovoHardwarePasswordManagerconelservidordeHardware
PasswordManager,elusuarioprincipaldedichodispositivoesinscritocomousuarioautorizadodedicho
dispositivodeHardwarePasswordManager.Puedeinscribirusuariosadicionalesencadadispositivode
HardwarePasswordManagerutilizandoClientPortaleneldispositivooincluyendoalusuarioenungrupo
deHardwarePasswordManagerconderechossobredichodispositivo.
ParagestionarlosusuariosdedispositivosdeHardwarePasswordManager,utilicelaopciónUsuarios
registradosdeHPMenlacajadeherramientasdeThinkManagementConsole(opulseHerramientas
ThinkVantageHardwarePasswordManagerUsuariosregistradosdeHPM).
UtilizandolaherramientaUsuariosregistradosdeHPM,podrá
CongurarlaconexióndelservidorLDAP
VerunalistadeusuariosdeHardwarePasswordManager
10GuíadedesplieguedeHardwarePasswordManager
VerlaspropiedadesdeunusuariodeHardwarePasswordManager
RevocarelaccesodeunusuarioaundispositivodeHardwarePasswordManager
ConguracióndeunaconexiónconunservidorLDAP
EnlavistaAdministrarusuariosregistrados,seenumeranlosusuariosygruposenunaestructuradeárbol
quemuestralosusuariosygruposenelservidorLDAPqueutilizanautenticacióndeHardwarePassword
Manager.Paraverdichaestructuradeárbol,deberáprimerocongurarlaconexióndelservidorLDAP.
LainformaciónqueespeciqueenesterecuadrodediálogopermitequeelservidordeHardwarePassword
ManagerseconectealservidorLDAP,quepuedeserunservidordeMicrosoftActiveDirectoryoun
servidordeNovelleDirectory.
PuedemigrardeunservidorLDAPaotrosinperderdatos.Sinecesitautilizarunservidordistintoparala
autenticaciónLDAP,especiquelosdatosdeconguracióndelnuevoservidor.
ParacongurarunaconexióndeservidorLDAP:
1.PulseUsuariosregistradosdeHPMenlacajadeherramientas(opulseHerramientas
ThinkVantageHardwarePasswordManagerUsuariosregistradosdeHPM).
2.PulseServidorLDAP.
3.EscribaelnombredehostdelservidorLDAPenelcampoNombredehost.
4.Sideseautilizarunpuertodistintodelpredeterminadoparaaccederalservidor,deseleccioneUtilizar
puertopredeterminadoyespeciqueotronúmerodepuerto.
5.SeleccioneeltipoenservidorenTipodeservidor(MicrosoftActiveDirectoryoNovelleDirectory).
6.SeleccioneelTipodecifradodelservidor.
7.EspeciquelascredencialesutilizadasparaaccederalservidorLDAPenloscamposUsuario
autorizadoyContraseña.Elusuariopuedeespecicarseenformatodominio\nombredeusuarioo
simplementeutilizandoelnombredeusuario.
VisualizacióndeusuariosdeHardwarePasswordManagerydesus
propiedades
LaherramientaUsuariosregistradosdeHPMpermitevertodoslosusuariosregistradosparaacceder
adispositivosdeLenovoHardwarePasswordManager.Puedeverunalistadetodoslosusuariosobien
seleccionargruposenelárboldedirectoriosLDAPparaversubconjuntosdelalista.Puedevertodaslas
propiedadesdecadausuariodeHardwarePasswordManagerinscrito,incluyendoelIDdeusuario,lavíade
accesoLDAP,losgruposqueincluyenadichousuarioylosdispositivosenlosqueestáinscrito.Dichas
propiedadesnopuedeneditarseenelcuadrodediálogoPropiedades.
ParaverlosusuariosdeHardwarePasswordManagerinscritosysuspropiedades:
1.PulseUsuariosregistradosdeHPMenlacajadeherramientas(opulseHerramientas
ThinkVantageHardwarePasswordManagerUsuariosregistradosdeHPM).
2.Paravertodoslosusuariosinscritos,pulseTodoslosusuariosenlaestructuradeárbol.
3.Paraverunsubconjuntodeusuarios,amplíecualquiergrupolistadoenlaestructuradeárbolypulse
sobreelnombredeungrupo.
4.Paraverlaspropiedadesdeunusuario,pulseconelbotónderechosobreelusuarioenunalistade
usuariosypulsePropiedades.
Nota:PuedetambiénseleccionarelusuarioypulsarelbotónPropiedadesenlabarradeherramientas.
AcontinuaciónseresumenlasopcionesenelcuadrodediálogoPropiedades.
Capítulo3.AdministracióndedispositivosdeHardwarePasswordManagerconThinkManagementConsole11
Resumen:
EstapestañaenumeralosIDynombrescomunesdelosusuarios,lavíadeaccesoenelárbolLDAPdonde
resideelusuarioyelestadoactualdelusuario.Tambiénseindicalafechayhoraenqueseregistróel
usuariocomousuariodeHardwarePasswordManager.
Miembrode:
EstapestañaindicalosgruposLDAPalosqueperteneceelusuario,conlavíadeaccesodeLDAPde
cadagrupo.
Dispositivosinscritos:
Estapestañaindicalosdispositivosenlosqueseharegistradoelusuario,conelnombrededispositivoy
elIDdemáquina.
Accionesremotas:
Estapestañaenumeracualquieraccióndeeliminacióndeusuarioquehayasidorealizadaenelusuario,
incluyendoelnombredeldispositivodelcualhasidoeliminadoelusuarioylafechayhoradelúltimo
cambiodeestado.
EliminacióndelaccesodeunusuarioaundispositivodeHardware
PasswordManager
UnavezqueseharegistradounusuarioenundispositivodeHardwarePasswordManager,puedeeliminar
dichoregistrosielusuarioyanodebeteneraccesoaldispositivo.Paraeliminarunusuario,crearáuna
acciónremotaqueseapliqueatodoslosdispositivosqueespecique.Lasiguientevezcuandoseconecte
eldispositivoaHardwarePasswordManagerparaactualizarsupolítica,elusuarioseráeliminadodela
listadeusuariosdedichodispositivo.
ParaeliminarunusuariodeundispositivodeHardwarePasswordManager:
1.PulseUsuariosregistradosdeHPMenlacajadeherramientas(opulseHerramientas
ThinkVantageHardwarePasswordManagerUsuariosregistradosdeHPM).
2.Enlalistadeusuarios,seleccioneelusuario.
3.PulseRevocarusuarioenlabarradeherramientas.
4.EnelrecuadrodediálogoCrearacciónremota,deseleccioneelrecuadrodeunoovariosdispositivos
enlosquedesearevocaralusuario.
5.PulseAceptar.
GestióndegrupodeHardwarePasswordManager
LosgruposdeHardwarePasswordManagerenlazangruposdeusuarios(talcomosedenenenelservidor
LDAP)condispositivosdeHardwarePasswordManager.LosgruposdeHardwarePasswordManager
resultanútilesporquepermitenquevariosusuariosaccedanaunoomásdispositivossintenerqueinscribir
individualmenteacadausuarioencadadispositivo.Cuandoseañadeundispositivoaungrupo,todoslos
miembrosdedichogrupotienenaccesoaldispositivoypuedenutilizarunnombredeusuariodecuenta
deIntranetparainiciarlasesióneneldispositivo.
CuandoseabrelaherramientaGruposdeHPM,losgruposaparecenlistadosenlavistadeárbolLDAP.
CadagruposecreaenelservidorLDAP;nopuedecrearungrupoenThinkManagementConsole.Sin
embargo,puedeeditargrupos(denirelroldelgrupo)yarrastrardispositivosengruposparaasociar
dichosdispositivosconlosmiembrosdelosgrupos.
12GuíadedesplieguedeHardwarePasswordManager
LosgruposdecuentasdeIntranetsedistinguenporelroldenidoporlosusuariosenelgrupo:
Usuario:unusuarionaldeundispositivodeHardwarePasswordManager.
Serviciotécnico:untécnicodeIT,autorizadoconaccesolimitadoaldispositivoparaproporcionar
serviciotécnico.Elaccesopuedeestarlimitadoaunintervalotemporal(duración)otenerautorización
duranteunnúmerodeterminadodeiniciosdesesión.
Administrador:unusuarioadministrativoautorizadoparaaccederalosdispositivos.
Porejemplo,todoslosmiembrosdeungrupodenidoconelrolServiciotécnicopuedeniniciarlasesiónen
elgrupoduranteunnúmerodeterminadodeveces.Sielrolestádenidodemaneraqueelusuariosólo
puedeiniciarlasesióneneldispositivodosveces,elaccesoaldispositivocaducaráparadichousuariotras
elsegundoiniciodesesión.
ParaeditarungrupodeHardwarePasswordManager:
1.PulseGruposdeHPMenlacajadeherramientas(opulseHerramientasThinkVantageHardware
PasswordManagerGruposdeHPM).
2.EnlavistadeárbolLDAP,pulsesobreunnombredegrupoypulseEditargrupodecuentadeintranet
enlabarradeherramientas.LamayoríadeloselementosenelcuadrodediálogoEditargrupode
cuentadeIntranetnosoneditables.Puedeseleccionarunrolparaelgrupo;siseleccionaServicio
técnico,podrálimitarelaccesoalosdispositivosdeHardwarePasswordManager.
3.Seleccioneelrolenelcuadrocombinado.
4.Seleccioneconcaducidadsidesealimitarelaccesoaldispositivoduranteunperiododetiempooaun
númerodeterminadodeiniciosdesesión.(EstoseaplicasóloalosusuariostipoServiciotécnico).
5.SihaseleccionadoConcaducidad,seleccioneDuraciónyelijaunahoradecomienzoydenalización
paraelaccesoalosdispositivosdeHardwarePasswordManager;obienseleccioneNúmerode
iniciosdesesiónrestantes,yseleccioneunnúmerodeiniciosdesesión;oseleccioneNúmerode
díaspermitidospormáquina,yespeciqueelnúmerodedías.
6.PulseAceptar.
Paraasociardispositivosconungrupo:
1.PulseGruposdeHPMenlacajadeherramientas(opulseHerramientasThinkVantageHardware
PasswordManagerGruposdeHPM).
2.Arrastreeldispositivodesdelavistadered(desdeTodoslosdispositivosodesdeDispositivosde
HardwarePasswordManager-Sistemas)alnombredegrupoenlavistadeárbolLDAP.
3.Paraverlosdispositivosasociadosconungrupo,pulseelnombredelgrupoypulseVersistemasenla
barradeherramientas.Paraverlosusuariosasociadosconungrupo,pulseelnombredelgrupoypulse
VerusuariosdeLDAPenlabarradeherramientas.
ElcuadrodediálogomuestraelnombredistinguidodeLDAPdelgrupoyenumeralosdispositivoso
usuariosasociadosconelgrupo.Losmiembrosdelgrupopuedeniniciarlasesiónentodoslosdispositivos
aquíenumerados,amenosqueelgrupohayasidodenidocomodetipoServiciotécnicoconcaducidad
sobreelaccesodegrupoydichaasociaciónhayacaducado.
Gestióndeaccionesremotasyvaloresdepolíticasparadispositivos
deHardwarePasswordManager
LasaccionesremotassoncambiosenlosvaloresdedispositivodeHardwarePasswordManageraplicados
aunoomásdispositivosporeladministrador.Lasaccionesincluyenadministracióndecredenciales,
registroodesregistrodedispositivosylainscripciónoeliminacióndeusuarios.
Capítulo3.AdministracióndedispositivosdeHardwarePasswordManagerconThinkManagementConsole13
LasaccionesremotasnoseaplicaninmediatamenteenlosdispositivosdeHardwarePasswordManager.
Unavezqueeladministradoraplicaunaomásaccionesremotasaundispositivo,lasaccionesquedan
pendienteshastalasiguientevezqueseenciendaeldispositivo.Eldispositivoseconectaráentonces
alservidordeHardwarePasswordManagerysolicitarácualquieracciónpendiente.Lasaccionesson
completadasporelclienteylosnuevosvalorespasanaestaractivos.
UnaacciónremotaescambiarlosvaloresdepolíticaseneldispositivodeHardwarePasswordManager.
Existendostiposdepolíticas:lasaplicadasenelniveldesistemaoperativo(políticasdeWindows)ylas
aplicadasenelniveldelBIOS(políticasdelBIOS).Laspolíticasdeterminancómogestionaeldispositivolas
credenciales,ydeterminansielregistroeinscripcióndelosusuariossedebeiniciarautomáticamentecuando
seenciendeeldispositivo.Tambiéndeterminansivariosusuariospuedeninscribirseenundispositivode
HardwarePasswordManagerycómogestionaeliniciodesesióndeusuariosdesdeelmenúdelBIOS.
Cuandoadministralasaccionesremotas,puedeaplicaraccionesindividualoglobalmente.Cuandoseabre
laherramientaAccionesremotasyvaloresdepolíticas,podráarrastrarlosdispositivosdeHardware
PasswordManagerdesdelavistaderedyarrastrarlosaaccionesremotasespecícas.Obienpuedeutilizar
losbotonesenlabarradeherramientasparaaplicaraccionesdeformaglobal.
Lasaccionesremotasincluyenlassiguientes:
Renovarcuentadehardware:sustituyelascontraseñasdehardwaredelBIOSconunnuevoconjunto
decredencialesgeneradasporelservidordeHardwarePasswordManager.Lasnuevascredenciales
sealmacenanenlacuentadehardware,unáreaseguradelamemorianovolátilalaquesólopuede
accederseatravésdelBIOSdelsistema.
Restaurarcuentadehardware:restauralascontraseñasdehardwaredelBIOSenlacuentade
hardwareconlascredencialesderespaldoalmacenadasenelservidordeHardwarePasswordManager.
Estoincluyecopiasdeseguridaddelacontraseñadelsistemaydelosusuarios.
DeregisterPC:borralascontraseñasdehardwareycambiaelestadodelBIOSdeldispositivodelcliente
deRegisteredaEnabledyeliminaeldispositivodelalistadedispositivosdeHardwarePassword
Managerregistradosenlaconsola.
Eliminarusuario:eliminaunusuariodelalistadeusuariosautorizadosparaaccederaundispositivode
HardwarePasswordManager.
Actualizarpolíticadecliente:guardaunapolíticadeclienteactualizadaenelBIOSdeHardware
PasswordManagerdeldispositivo,sustituyendolapolíticaanterior.
Actualizarcontraseñascomunesdehardware:guardalasnuevascontraseñascomunesdehardware
eneldispositivodeHardwarePasswordManager;lascontraseñasdehardwarecomunessonválidas
paratodoslosdispositivosdeHardwarePasswordManagergestionadosporelservidordeHardware
PasswordManager(consulteActualizaciónglobaldecontraseñasdehardware”enlapágina16
).
Actualizarcuentadeemergencia:guardalascredencialesdecuentadeemergenciaeneldispositivo
deHardwarePasswordManager;elnombredeusuarioylacontraseñapuedenutilizarsepararestaurarel
accesoaundispositivosielusuarionopuedeiniciarlasesión(consulteActualizacióndelacuentade
emergencia”enlapágina17).
ParaaplicaraccionesremotasadispositivosdeHardwarePasswordManager:
1.PulseAccionesremotasyvaloresdepolíticaenlacajadeherramientas(opulseTools
ThinkVantageHardwarePasswordManagerAccionesremotasyvaloresdepolíticas).
2.Paraaplicarunaacciónremotaaundispositivoindividual,arrastreelobjetodelavistaderedauna
deestasacciones:Renovarcuentadehardware,Restaurarcuentadehardware,Desregistrar
PCoActualizarpolíticadecliente.
3.Paraeliminarunusuario,arrastreelusuariodedestinoalaacciónEliminarusuarioenelárbolAcciones
remotas.(TambiénpuedeeliminarusuariosenlaherramientaUsuariosregistradosdeHPM).
4.ParaaplicarunapolíticadeclienteactualizadaatodoslosdispositivosdeHardwarePassword
Manager,pulseActualizarglobalmentepolíticadeclienteenlabarradeherramientas.Seleccione
14GuíadedesplieguedeHardwarePasswordManager
loselementosdepolíticasquedeseacambiarenlaspestañasPolíticadeWindowsyPolíticadel
BIOS,ypulseAceptar.ConsulteActualizaciónglobaldepolíticasdeclientes”enlapágina15para
obtenermásinformación.
5.ParaaplicarcontraseñascomunesatodoslosdispositivosdeHardwarePasswordManager,pulseel
botónActualizarcontraseñascomunesenlabarradeherramientas.Seleccioneelrecuadrojuntoa
cadatipodecontraseñaquedeseaaplicaratodoslosdispositivosdeHardwarePasswordManager.
Parautilizarlamismacontraseñaparatodoslosdispositivos,escribalacontraseñaenelrecuadrode
textoparaeltipodecontraseñaseleccionado.Sidejaelrecuadrodetextoenblanco,segenerará
unacontraseñaexclusivaporcadadispositivo.
6.Paracambiarlacuentadeemergencia(administrativa)entodoslosdispositivosdeHardwarePassword
Manager,pulseActualizarcuentadeemergenciaenlabarradeherramientas.Escribaunnuevo
nombredeusuarioenelrecuadrodetexto.Parautilizarlamismacontraseñaparatodoslosdispositivos,
escribalacontraseñaenelrecuadrodetexto.Sidejaelrecuadrodetextoenblanco,segenerará
unacontraseñaexclusivaporcadadispositivo.
Actualizaciónglobaldepolíticasdeclientes
PuededeterminarquépolíticasdeclienteseaplicanatodoslosdispositivosadministradordeLenovo
HardwarePasswordManagerseleccionandolaspolíticasenelcuadrodediálogoActualizarpolíticade
cliente.LaspolíticasquepuedenseleccionarseincluyenlossiguienteselementosdeniveldeSO:
CuentadehardwareequivaleacredencialesdeWindows:lascredencialesdeiniciodesesión
almacenadasenlacuentadehardwaredelBIOSde
HardwarePasswordManagersonlasmismasque
lascredencialesdeWindowsdelusuario.
IniciarautomáticamenteregistrodeusuariosduranteeliniciodesesióndeWindows:cuando
elusuarioinicialasesiónenWindowsporprimeravezdespuésdequeeldispositivodeHardware
PasswordManagerseagestionadoporelservidordeHardwarePasswordManager,elregistrode
HardwarePasswordManagerseabriráautomáticamente.CuandoelusuarioinicialasesiónenWindows
porprimeravezdespuésdequeeldispositivodeHardwarePasswordManagerseaadministradopor
elservidordeHardwarePasswordManager,elregistrodeHardwarePasswordManagerseabrirá
automáticamente.IniciosdesesiónpermitidosantesdeforzarelregistropermitequeHPMClient
Portalsecierreelnúmerodevecesespecicadoalmomentodeliniciodesesión.Estodasoporte
adiversosescenariosdedespliegueenlosqueuntécnicodebeiniciarsesiónenlamáquinacierta
cantidaddevecesantesdelaentregaalusuarional.
IniciarautomáticamenteelregistrodeusuarioeneliniciodesesióndeWindows:Lainscripciónde
HardwarePasswordManagerseabriráautomáticamentecuandoeldispositivosearegistradoycuando
unusuarioquenoseharegistradoinicielasesión.
Permitirquevariosusuariosseinscribanenunsolodispositivo:másdeunusuariopodráinscribirse
enundispositivo.Siesterecuadronoestáseleccionado,sólopodráinscribirseelprimerusuariodeun
dispositivo(aunqueeladministradorylosusuariosdelserviciotécnicopuedenaccederaldispositivosi
fuesenecesario).
PuedenseleccionarselassiguientespolíticasdeniveldelBIOS:
Mostrarúltimacuentadeiniciodesesióndecuentadehardware:enlapantalladeiniciodesesión
delusuariodelBIOS,aparecerácomopredeterminadalaúltimacuentadeusuarioquehayainiciado
lasesiónenelBIOS.
Solicitarcuentadehardwareenarranqueencaliente:sisereiniciaeldispositivo,elBIOSrequerirá
queseinicielasesiónparagarantizarqueelmismousuarioestáaccediendoaldispositivodespués
dereiniciar.
EnelcuadrodediálogoActualizarpolíticadecliente,apareceráunalistadedispositivosquemuestra
quédispositivosrecibiránlanuevapolíticaduranteelsiguientearranque.Elcuadrodediálogotieneuna
selecciónpredeterminadadelosvaloresdepolíticas;sihacambiadolosvaloresperodesearegresaralos
valorespredeterminados,pulseRestablecerapredeterminado.
Capítulo3.AdministracióndedispositivosdeHardwarePasswordManagerconThinkManagementConsole15
LaopciónActualizarpuedeencontrarseenelcuadrodediálogoActualizarpolíticadecliente.Tiene
tresopciones:
1.Aplicarsóloavalordeservidor:estaopcióncausaráquesóloseactualicelaactualizacióndela
políticaenelservidor.SóloseafectaránlosdispositivosdeHardwarePasswordManagerregistrados
recientemente.
2.Generarsóloaccionesremotas:estaopcióngeneraráaccionesremotasparaaplicarloscambiosde
políticasenlossistemasseleccionados.Estapolíticadeclientepredeterminadanocambiará.Deforma
quenoseafectaránlosdispositivosdeHardwarePasswordManagerregistradosrecientemente.
3.Ambos(predeterminado):estaopciónafectarálossistemasseleccionados,asícomotambién,
cualquierdispositivodeHardwarePasswordManagerregistrado.
Actualizaciónglobaldecontraseñasdehardware
LenovoHardwarePasswordManagerproporcionaadministraciónglobaldedistintascontraseñasde
hardwareendispositivosdeHardwarePasswordManager.Puedeespecicarlamismacontraseñapara
queseautilizadaportodoslosdispositivosdeHardwarePasswordManagerobienpuedegenerar
automáticamenteunacontraseñaparacadadispositivo.Estacaracterísticagestionalossiguientestipos
decontraseñas:
SVP:lacontraseñadelsupervisorproporcionaaccesocompletodeadministradoraundispositivo,
incluyendolaconguracióndelosvaloresdelBIOS.Esteesunsuperconjuntodelacontraseñade
encendido.
POP:lacontraseñadeencendidopermitequeelusuarioenciendaeldispositivoyaccedaalmismo
conprivilegiosdeusuarionormales.
MHDP:laharddiskpasswordmaestrapermitequeelusuarioaccedaaldiscoduroyrestaurela
contraseñadeldiscodurodelusuario.EsunsuperconjuntodelaUHDP.
UHDP:laharddiskpassworddelusuariopermitequeésteaccedaaldiscoduro.
Puedeseleccionarcualquieradeestoscuatrotiposdecontraseñasparaqueseapliquenalosdispositivos
deHardwarePasswordManager.Siseleccionauntipodecontraseñaydeseaquetodoslosdispositivos
utilicenlamismacontraseña,escribadichacontraseñaenelrecuadrodetexto.Sideseaquecada
dispositivotengaunacontraseñaexclusiva,seleccioneelrecuadroparadichotipodecontraseñaperodeje
elrecuadrodetextoenblanco.
Siharealizadocambiosydeseavolveralosvalorespredeterminados,pulseRestablecera
predeterminado.Deformapredeterminada,lascuatrocontraseñasseestablecenconunacontraseña
generadadeformaexclusivaparacadadispositivo.
DespuésdecambiarestosvaloresydepulsarAceptar,secrearáunatareadeacciónremotaenlalistade
árboldeaccionesremotas(enlacarpetaActualizarcontraseñascomunesdehardware).Puedepulsardicha
tareaparaverelestadodelatareacuandoseaplicaalosdispositivosdeHardwarePasswordManager.
Endichatareaenelárbol,losdispositivosapareceránlistadosporestado:Activo,Suspensión,Falloo
Satisfactorio.PuedetambiénvertodoslosdispositivosenlacarpetaTodoslosdispositivos.
ParaverlascontraseñasdehardwareactualesparaundispositivodeHardwarePasswordManagerque
hasidodestinodeestaacciónremota:
1.PulseAccionesremotasyvaloresdepolíticaenlacajadeherramientasopulseHerramientas
ThinkVantageHardwarePasswordManagerAccionesremotasyvaloresdepolíticas.
2.EnlavistadeárbolAccionesremotas,amplíeAccionesremotasportipo.
3.AmplíeActualizarcontraseñascomunesdehardware.
4.PulselacarpetaTodoslosdispositivosounadelascarpetasdeestado.Efectúeunadoblepulsación
enunnombrededispositivoenlalistadedispositivos.
16GuíadedesplieguedeHardwarePasswordManager
ElcuadrodediálogoVercontraseñasdehardwaremuestralosvaloresactualesdelascontraseñasdel
dispositivoquehansidocambiadosconlatareadeacciónremota,asícomolafechauhoraenquese
cambiólacontraseña.
LaopciónActualizarpuedeencontrarseenelcuadrodediálogoActualizarcontraseñascomunesde
hardware.Tienetresopciones:
1.Aplicarsóloavalordeservidor:estaopcióncausaráquesóloseactualicelaactualizacióndela
políticaenelservidor.SóloseafectaránlosdispositivosdeHardwarePasswordManagerregistrados
recientemente.
2.Generarsóloaccionesremotas:estaopcióngeneraráaccionesremotasparaaplicarloscambiosde
políticasenlossistemasseleccionados.Estapolíticadeclientepredeterminadanocambiará.Deforma
quenoseafectaránlosdispositivosdeHardwarePasswordManagerregistradosrecientemente.
3.Ambos(predeterminado):estaopciónafectarálossistemasseleccionados,asícomotambién,
cualquierdispositivodeHardwarePasswordManagerregistrado.
Actualizacióndelacuentadeemergencia
CadadispositivodeLenovoHardwarePasswordManagertieneunacuentadeaccesodeemergenciaque
puedeutilizarseparainiciarsesióneneldispositivosielusuarionopuedeiniciarlasesión.Puedecambiar
lascredencialesdeestacuentayaplicardichocambioatodoslosdispositivosdeHardwarePassword
ManagerconlaacciónremotaActualizarcuentadeemergencia.
Deformapredeterminada,elnombredeusuarioesadminyacontraseñasegeneradeformaexclusivapara
cadacliente.Puedecambiarelnombredeusuario,contraseñaoambos.Siespecicaunnombredeusuario
perodejaelcampodecontraseñaenblanco,segeneraráunacontraseñaexclusivaporcadadispositivo.Si
harealizadocambiosydeseavolveralosvalorespredeterminados,pulseRestablecerapredeterminado.
ParaverlascredencialesdecuentadeemergenciaparaundispositivodeHardwarePasswordManager
quehasidodestinodelaacciónremota:
1.PulseAccionesremotasyvaloresdepolíticaenlacajadeherramientasopulseHerramientas
ThinkVantageHardwarePasswordManagerAccionesremotasyvaloresdepolíticas.
2.EnlavistadeárbolAccionesremotas,amplíeAccionesremotasportipo.
3.AmplíeActualizarcuentadeemergencia.
4.PulselacarpetaTodoslosdispositivosounadelascarpetasdeestado.Efectúeunadoblepulsación
enunnombrededispositivoenlalistadedispositivos.
ElcuadrodediálogoVercuentadeemergenciamuestralascredencialesactualesdelacuentade
emergenciadeldispositivoquehansidocambiadasconlatareadeacciónremota,asícomolafechauhora
enquesecambiaronlascredenciales.
LaopciónActualizarpuedeencontrarseenelcuadrodediálogoActualizarcuentadeemergencia.Tiene
tresopciones:
1.Aplicarsóloavalordeservidor:estaopcióncausaráquesóloseactualicelaactualizacióndela
políticaenelservidor.SóloseafectaránlosdispositivosdeHardwarePasswordManagerregistrados
recientemente.
2.Generarsóloaccionesremotas:estaopcióngeneraráaccionesremotasparaaplicarloscambiosde
políticasenlossistemasseleccionados.Lapolíticadeclientepredeterminadanocambiarádeforma
quenoseafectarálosdispositivosdeHardwarePasswordManagerregistradosrecientemente.
3.Ambos(predeterminado):estaopciónafectarálossistemasseleccionados,asícomotambién,
cualquierdispositivodeHardwarePasswordManagerregistrado.
Capítulo3.AdministracióndedispositivosdeHardwarePasswordManagerconThinkManagementConsole17
Modicacióndevaloresdepolíticasdeservidor
Losvaloresdepolíticasdeservidorincluyenvariasmanerasdegestionarlainscripcióndeusuarios,
credenciales,portaldeclientesyvaloresdelBIOSdelosdispositivosdeHardwarePasswordManager
Lenovoquegestione.LosvaloressecambiandesdeThinkManagementconsole;loselementosqueafectan
adispositivosindividualesseretienenenunacolapendientehastalasiguientevezqueseiniciecada
dispositivoysolicitenunapolíticaactualizada.
Paracambiarlosvaloresdepolíticasdeservidor:
1.PulseAccionesremotasyvaloresdepolíticaenlacajadeherramientasopulseHerramientas
ThinkVantageHardwarePasswordManagerAccionesremotasyvaloresdepolíticas.
2.PulseenActualizarvaloresdepolíticasdeservicioenlabarradeherramientas.
3.HagacambiosenlascuatropestañasenelrecuadrodediálogoypulseAceptarcuandohayaterminado.
LaspestañasenelcuadrodediálogoValoresdepolíticadeservidorsedescribenacontinuación.
General:Estapestañaenumeraelnombre,direcciónIPypuertoUDPdelservidordeHardwarePassword
ManagerutilizadoparaautenticarusuariosdeHardwarePasswordManager.LasecciónEstadodel
serviciodeportalmuestrasielserviciodeportalenelservidordeHardwarePasswordManagerseestá
ejecutando.ElserviciodeportalesunservidorUDP ,unodeloscomponentesdelservidordeHardware
PasswordManager.SeutilizaparacomunicarseconelBIOSdeldispositivoHardwarePasswordManager
cuandoelusuarioinicialasesiónutilizandoIniciodesesióndecuentadeintranet.Puedeiniciar,detener
oreiniciarelserviciosegúnseanecesarioutilizandoestecuadrodediálogo.
SeleccionePermitirquelosusuariosseinscribanenariosdispositivossideseapermitirquecada
cuentadeintranetpararegistrarseenvariosdispositivosdeHardwarePasswordManager.Sieste
recuadronoestáseleccionado,sólopodráinscribirseunacuentadeintraneteneldispositivo.
SeleccioneHabilitar“registrode”unsolotoquesideseaprerregistrarnuevosdispositivosdeHardware
PasswordManagerconcaracterísticasdeuntoquedeLenovo.Elregistrodeuntoqueregistra
automáticamenteeldispositivoycreaacuentadeadministracióndeemergenciacuandoelusuarioinicia
lasesiónenWindows.ConsultetambiénCapítulo5“Despliegue”enlapágina27
.
SeleccioneEnablerstuserloggedonamachineasadministratorsideseaqueelprimerusuario
inscritotengaprivilegiosdeadministradorenelBIOS.
Credenciales-Estapestañadeterminalalongituddelascontraseñasgeneradasautomáticamenteyel
númerodecontraseñasderespaldoqueguardar.Lascopiasdeseguridadsecifranyalmacenanenla
basededatosdeHardwarePasswordManager.Deformapredeterminada,lascontraseñasdehardware
generadasautomáticamente,asícomolascontraseñasdeadministracióndeemergencia,tienenentre
15y20caracteres.Puedecambiarelnúmeromínimoymáximoparaambostiposdecontraseñas.
Puedetambiénespecicarcuántascopiasdeseguridadguardarparalascontraseñasdehardware.La
longitudmáximadelacontraseñaes64.
ClientPortal-EstapestañaespecicaquéelementosdemenúdebenmostrarseenelmenúClient
PortalendispositivosdeHardwarePasswordManager.ElusuarioaccedealportaldesdeelmenúInicio
deWindows(InicioTodoslosprogramasThinkVantageHardwarePasswordManager).
LoselementosdemenúdeClientPortalestánsiempreseleccionados.Cuandorealizatareascomo
eliminarunusuariodespuésdeespecicarlascredencialesdeintranetcorrespondientesalusuario,
serviciotécnicooadministrador,obtendráunmensajedeerrorsinotienepermisosdeClientPortal.Los
usuariosinicianlasesiónenlosdispositivosdeHardwarePasswordManagerconunrolasignado,que
correspondeconelgrupodeusuariosalqueperteneceelusuario.(Consulte“Gestióndegrupode
HardwarePasswordManager”enlapágina12paraobtenerunadescripcióndelosroles).Porejemplo,
unusuariopuedevertodaslasopcionesenClientPortal,sinembargo,unserviciotécnicopuedetenerun
conjuntolimitadodeopcionesdisponibles.Siunusuariointentaunaopciónquenoestáseleccionada
paradichorol,apareceráunmensajedeerror.
18GuíadedesplieguedeHardwarePasswordManager
BIOS-Estapestañaespecicaquéelementosdemenúestánhabilitadosparasuvisualizaciónenel
menúdelBIOSdedispositivosdeHardwarePasswordManagerylepermiteespecicarquéversionesdel
BIOSseexcluyendelagestióndedispositivosdeHardwarePasswordManager.Loselementosdelmenú
delBIOSseseleccionandeformaindependienteparalostresrolesdeusuario:Usuario,Serviciotécnico
yAdministrador.LosusuariosinicianlasesiónenlosdispositivosdeHardwarePasswordManagercon
unrolasignado,quecorrespondeconelgrupodeusuariosalqueperteneceelusuario.(Consulte
“GestióndegrupodeHardwarePasswordManager”enlapágina12
paraobtenerunadescripcióndelos
roles).Porejemplo,unusuariopuedevertodaslasopcionesenelmenúdelBIOSdeHardwarePassword
Manager,sinembargo,untécnicodeserviciopuedetenerunconjuntolimitadodeopcionesdisponibles.
Nota:CuandolapolíticadelclientesehaestablecidoenLacuentadehardwareequivalea
credencialesdeWindows,laopciónCambiarcontraseñadecuentadehardwarenosemostraráesté
seleccionadaparaelrolono.
LasecciónListadeexclusióndeversionesdelBIOSpermiteenumerarversionesdelBIOSquedesea
excluirdelagestióndeHardwarePasswordManager.Siintentarealizarcualquieracciónremotaenun
dispositivoconunBIOSenlalista,laacciónremotafallará.Delamismamanera,siintentaregistrarunde
HardwarePasswordManagerconunBIOSenlalista,elregistronoserárealizado.
Denicióndeámbitosyrolesparausuariosdeconsola
LosámbitosyfuncionessepuedendenirparacontrolarelaccesoadiversascaracterísticasdeHardware
PasswordManagerenThinkManagementConsole.
Losámbitosseusanparadeniraquédispositivosunusuariodeconsolatieneacceso.Paracrearun
newscope,hagalosiguiente:
1.SeleccioneAdministraciónenlacajadeherramientasdelaconsola.
2.EfectúeunadoblepulsaciónenUsuariosparaabrirlaherramientaUsuarios.
3.Pulse+enlabarradeherramientasoefectúeunadoblepulsaciónenÁmbitos,yluegopulseNuevo
ámbito.
4.Especiqueunnombreparaelámbito.
5.SeleccioneLDMSQuerycomoelámbitoy,acontinuación,pulseNuevo.
6.Seleccioneunelementodelalistadeelementosinventariados(porejemplo,nombredelsistema,
ubicacióndelsistema,nombredeldominio,etc.).
7.Seleccioneunoperadordecomparación(porejemplo:=,<>,Como,Existe,etc.).
8.Seleccioneunvalorexistentedesdelosvaloresexploradosquesemuestranoingreseunvalorbajo
Editvalues.
9.PulseInsertar.
10.PulseAceptar.
11.PulseAceptar.
Despuésdequehayaidenticadolosámbitosnecesario,puedecreardiversosrolesparaqueseasocien
conlosámbitos.Paracrearunnewrole,hagalosiguiente:
1.EnlaherramientaUsuarios,pulse+enlabarradeherramientasoefectúeunadoblepulsaciónen
Roles,yluegopulseNuevorol.
2.Especiqueunnombreparaesterol.
3.SeleccionelosnivelesdepermisoparalasdiversascaracterísticasdeHardwarePasswordManagera
lasquedeseaqueesteroltengaacceso.LosnivelesdepermisosecategorizanenVista,Edicióny
Despliegue.Algunospermisossólopermiteunodetresniveles,sinembargo,otrospuedenpermitirdos.
4.Seleccionelosámbitosalosqueasignaráesterol.
5.PulseGuardar.
Capítulo3.AdministracióndedispositivosdeHardwarePasswordManagerconThinkManagementConsole19
Paraquelosusuariosobtenganaccesoalaconsola,debensermiembrosdegruposquehansido
autorizadosparaelaccesoadecuado.Esteaccesosecontrolaalcrearunanuevaautenticaciónydenir
permisosdegrupodelasiguienteforma:
1.Enlaherramientadeusuarios,pulse+enlabarradeherramientasoefectúeunadoblepulsaciónen
Authentications,yluegopulseNewauthentication.
2.Especiqueunnombreparalaautenticación.
3.Especiqueelnombredeldominiocompleto.
4.Especiqueelnombredeusuarioylacontraseñadeunacuentadeservicioquesepuedeusarpara
consultareldirectorio.
5.PulseAceptar.
Paraasignarpermisosaungrupoquesepuedeautenticaratravésdelanuevaautenticación,haga
losiguiente:
1.Enlaherramientadeusuarios,pulse+enlabarradeherramientasoefectúeunadoblepulsaciónen
Permisosdegrupo,yluegopulseNuevopermisodegrupo.
2.Especiqueunnombreparaelpermisodelgrupo.
3.SeleccionelaautenticacióncreadaanteriormentedelalistadesplegableAutenticaciónAD.
4.Encuentreelgrupocorrespondienteenlavistadeárboloespeciqueelnombredelgrupoenelcampo
GrupoADypulseBuscar.
5.Pulse>>paraagregarelgrupocorrespondientealalistaTargetedADgroups.
6.Repitaelpaso5,segúnseanecesario.
7.Seleccionelosrolesqueseasignaránalpermisodeestegrupo.
8.PulseGuardar.
Ahoracuandolosusuariosiniciansesiónenlaconsolatienenqueseleccionarlaautenticación
correspondienteeingresarsuscredenciales.Elniveldeaccesootorgadoserádeterminadoporlosámbitos
yrolesquedeniórecientemente.
20GuíadedesplieguedeHardwarePasswordManager
Capítulo4.ClientedeHardwarePasswordManager
LosdispositivosLenovoquesoportanHardwarePasswordManagerdebenregistrarseconunservidor
deadministración(denominadoservidordeHardwarePasswordManager).Elprocesoderegistrarun
dispositivocomienzaconlainstalacióndeunagenteenundispositivo.Despuésdequeelusuarionalizael
procesoderegistroinicialpormediodeHardwarePasswordManagerClientPortalseregistraeldispositivo;
entonces,unoomásusuariosseregistrancomousuariosautenticadosendichodispositivo.Cuandose
instalaHardwarePasswordManager,sólolosusuariosinscritos(oaquellosusuariosenungrupoconelque
estéasociadoeldispositivo)podráiniciarlasesiónendichodispositivo.Elaccesoaldispositivo,inclusoel
accesoaldiscoduro,estarárestringidoalosusuariosinscritos(oalosusuariosenelmismogrupoqueel
dispositivo)siemprequeseestéejecutandoHardwarePasswordManager.
ElservidorprincipaldeThinkManagementConsolefuncionacomoelservidordeHardwarePassword
Manager,yesposibleaccederalascaracterísticasdegestiónmediantelaconsola.Estascaracterísticas
permitenqueeladministradorgestionedispositivosdeHardwarePasswordManager,instaleagentesen
dispositivoshabilitadosconBIOSdeHardwarePasswordManagerygestioneelregistroylainscripción
endichosdispositivos.
EnundispositivodeHardwarePasswordManager,seaccedealascaracterísticasdeadministración
medianteunmenúdelBIOS(antesdequeinicieelsistemaoperativo)ymedianteelmenúdeClientPortal
(accesoautomáticodespuésdeliniciodesesióndeWindowsodesdeunaopcióndelmenúInicio).El
administradorpuedepersonalizarestosmenúsparadeterminarquécaracterísticasestándisponibles.
EstecapítulocontieneinformaciónsobrecómoutilizardispositivosdeHardwarePasswordManager
conLenovoHardwarePasswordManager.Estáescritoparaaquellosusuariosnalesqueregistraránel
dispositivoconelservidordeHardwarePasswordManageryqueseinscribiráncomousuarios.Esta
publicaciónincluyelossiguientesapartados:
“ConguracióndeldispositivoHardwarePasswordManager”enlapágina21
“RegistrodeundispositivoenelservidordeHardwarePasswordManagereinscripcióndelprimer
usuario”enlapágina22
“InscripcióndeusuariosadicionalesenundispositivodeHardwarePasswordManagerenlapágina23
“EliminacióndeunusuariodeundispositivodeHardwarePasswordManager”enlapágina23
“DesregistrodeundispositivodelservidordeHardwarePasswordManagerenlapágina24
ActualizacióndecredencialesenundispositivodeHardwarePasswordManager”enlapágina24
ConguracióndeldispositivoHardwarePasswordManager
AntesderegistrarundispositivoconHardwarePasswordManager,deberácambiaralgunosvaloresenel
BIOS:
1.Enciendaelsistema.
2.PulseF1paraentraralaventanadeconguracióndelBIOS.
3.SeleccionePasswordenlapestañaSecurity.
4.SeleccioneHardwarePasswordManageryestablézcaloenEnabled.
5.PulseF10paraguardarysalir.
©CopyrightLenovo2010
21
RegistrodeundispositivoenelservidordeHardwarePassword
Managereinscripcióndelprimerusuario
ParapoderregistrarundispositivoconelservidordeHardwarePasswordManager,elclientedeHardware
PasswordManagerdebehabersidoinstaladoeneldispositivoyhabilitadoenelBIOS.Estolohaceel
administradordeThinkManagementConsolequeinstalaunagenteconelclientedeHardwarePassword
Managereneldispositivo.
Cuandoseinstalaelcliente,estesecomunicaconelservidordeHardwarePasswordManagerpara
autenticareldispositivo.Elclientepuede,acontinuación,solicitarvaloresdepolíticasdeHardware
PasswordManagerdelservidordeHardwarePasswordManager.Elprocesoderegistrosecompletauna
vezelusuarioespecicasuscredencialesparainiciarlasesióneneldispositivo.
Paraqueseproduzcaelregistro,eldispositivodebeestarconectadoalareddondeseencuentraelservidor
deHardwarePasswordManager.
EladministradortienedosopcionesparainiciarelregistrodedispositivosdeHardwarePasswordManager:
ElregistroseiniciaautomáticamentecuandoelusuarioinicialasesiónenWindows.Conestaopción,el
administradorseleccionalaopciónIniciarautomáticamenteregistrodeusuariosduranteelinicio
desesióndeWindowsenlapolíticadelclientequetambiénseaplicaalosdispositivosdeHardware
PasswordManager.
ElusuarioabreClientPortalparacomenzarlainscripción.
PararegistrarundispositivoconelservidordeHardwarePasswordManagereinscribirunusuario:
1.PulseInicioTodoslosprogramasThinkVantageHardwarePasswordManagerpara
abrirClientPortal.(Sieladministradorhaconguradoelinicioautomático,elportalseabrirá
automáticamentealiniciarlasesión).
2.PulseReiniciarparareiniciareldispositivo.
3.DespuésdequesecargueelBIOS,elprocesodeiniciacióndeHPMvericaquedeseacontinuar
conelregistro.PulseIntroparacontinuar.UnavezseiniciaWindowseinicialasesión,seabrirá
automáticamenteelcuadrodediálogoClientPortal.
4.EnEspeciquesucuentadeWindows,especiquesunombredeusuarioycontraseñaparainiciar
lasesiónenWindows.Elnombredeusuarioqueusaactualmenteparainiciarsesiónyadebeestar
completadoporusted.
5.EnEspeciquesucuentadeintranet,especiquesunombredeusuario,contraseñaydominiopara
iniciarsesióneneldominiodeestedispositivo.
Nota:SilapolíticaqueseestableceparalacuentadeintranetesigualalacuentadeWindows,
sóloseleindicaráunoconjuntodecredenciales.
6.EsposiblequeemerjalaventanaEspeciquesucuentadehardwaresegúnlapolíticadelservidor.
PulseFinalizar.
7.Elsistemasuspenderáautomáticamenteyluegosereanudará.
8.Despuésdeiniciarlasesiónenelescritorio,sesolicitaráquereinicie.
9.PulseAceptarparareiniciareldispositivo.
10.EnelindicadordeiniciodesesióndelBIOS,inicielasesiónutilizandolascredencialesdeWindowso
lascredencialesdelacuentadehardwaredeldispositivo.
SideseleccionaEnableFirstUserenrolledonamachineasAdministrator,elprimerusuarioinscrito
tendráprivilegiosdeusuarioenelBIOS.SiseleccionaEnableFirstUserenrolledonamachineas
Administrator,elprimerousuarioinscritotendráprivilegiosdeadministradorenelBIOS
22GuíadedesplieguedeHardwarePasswordManager
InscripcióndeusuariosadicionalesenundispositivodeHardware
PasswordManager
MásdeunusuariopuedeiniciarlasesiónalavezenundispositivodeHardwarePasswordManagercon
proteccióndeiniciodesesiónúnicosieladministradorhahabilitadovariosusuarios.Cuandocualquiera
delosusuariosregistradosinicialasesióneneldispositivo,ClientPortalseejecutaeiniciansesión
automáticamenteenWindows.
Parainscribirusuariosadicionalesenundispositivo,deberáhacerlosiguiente:
Enlapolíticadeclientesaplicadaaldispositivo,Permitirquevariosusuariosseinscribanenunsolo
dispositivodeberáestarseleccionado.
Porcadausuarioadicional,deberácrearseunacuentaeneldispositivo.
DebearrastrarlosdispositivosenDispositivosdeHardwarePasswordManageralgrupodeActive
DirectoryoeDirectoryqueseindicaenlaherramientaGruposdeHPM.
Sieladministradorhahabilitadovariosusuariosenundispositivo,completeestospasosparainscribir
amásdeunusuario.
ParainscribiraunusuarioadicionalenundispositivoHardwarePasswordManager:
1.InicielasesiónenWindows.
2.PulseInicioTodoslosprogramasThinkVantageHardwarePasswordManagerpara
abrirClientPortal.(Sieladministradorhaconguradoelinicioautomático,elportalseabrirá
automáticamente).
3.PulseInscribirusuarioadicional.
4.EspeciquelascredencialesdeusuariodeIntranet,credencialesdeWindowsocredencialesdecuenta
dehardwaresegúnlapolíticaenelservidor.
5.Sedesplegarálaventanadecuentaatrásyespere30segundos,opulseAceptarparasuspender.
6.Despuésdeiniciarlasesiónenelescritorio,sesolicitaráquereinicie.
7.EnelindicadordeiniciodesesióndelBIOS,inicielasesiónutilizandolascredencialesdeWindowsde
lacuentaadicionaldelusuariodeldispositivo.
Nota:Silapolíticaseestáestablecidadeformaquelascredencialesdelalmacénnosonigualesa
lascredencialesdeWindows,inicielasesiónutilizandolascredencialesdelacuentadehardware
delusuarioadicional.
ElusuarioadicionalinscritotendráderechosdeusuariooadministradorenelBIOS,dependiendoderoldel
grupo,usuario,administradoroserviciotécnico.
EliminacióndeunusuariodeundispositivodeHardwarePassword
Manager
CuandounusuarioyanodebeteneraccesoaundispositivodeHardwarePasswordManager,esposible
eliminaralusuarioparaconcluirsuacceso.Cuandoseeliminaunusuario,sóloseeliminanlascredenciales
delusuariodelacuentadehardware.Lascredencialesdehardwarepermaneceneneldispositivoyelresto
delascredencialesdeotrosusuariosnosevenafectadas.
ParaeliminarunusuariodeundispositivodeHardwarePasswordManager:
1.InicielasesiónenWindows.
Capítulo4.ClientedeHardwarePasswordManager23
2.PulseInicioTodoslosprogramasThinkVantageHardwarePasswordManagerparaabrir
ClientPortal.
3.PulseEliminarusuario.
4.Escribalascredencialesdelacuentadeintranetcuandoselesoliciten.
5.PulseAceptarparaconrmarqueelsistemaserásuspendido.Elsistemasereiniciaráautomáticamente
despuésdehaberseeliminadoelusuario.
DesregistrodeundispositivodelservidordeHardwarePassword
Manager
UndispositivopuededesregistrarsedelservidordeHardwarePasswordManagerdedosmaneras:
ElusuariopuedeabrirelmenúdeiniciodesesióndeHardwarePasswordManagerenelBIOSy
desregistrareldispositivo.(ConsulteelmenúdeiniciodesesióndeHardwarePasswordManager).
Eladministradorpuededesregistrareldispositivoutilizandolasherramientasdeadministraciónde
HardwarePasswordManagerenThinkManagementConsole.
Unavezsehadesregistradoeldispositivo,lafuncionalidaddeHardwarePasswordManageryanosurtirá
efectoanoserqueeldispositivosearegistradodenuevoenelservidordeHardwarePasswordManager.
ActualizacióndecredencialesenundispositivodeHardwarePassword
Manager
UnavezsehahabilitadoHardwarePasswordManagementenundispositivo,podráaccederalmenúde
iniciodesesióndeHardwarePasswordManagerpararealizarcambiosenlagestióndecontraseñas.Puede
tambiénaccederaClientPortalpararealizarlainscripciónyregistrodetareas.
Estosmenúsmuestranlasopcionesdegestióndecontraseñasdisponibleseneldispositivo.Lasopciones
disponiblesenestosmenússonconguradasporeladministradorenelservidorHardwarePassword
Manager;notodasdelassiguientesopcionespuedenestardisponiblesdependiendodecómohaya
conguradoeladministradorHardwarePasswordManager.
Lassiguientesopcioneshacenreferenciaaunacuentadehardware.Éstaesunáreaseguradememoria
novolátilalaquesóloesposibleaccederatravésdelBIOSdelsistema.Lascredencialesdehardwarey
todaslascredencialesdeusuariossealmacenanenlacuentadehardware.Aunqueelusuarionoaccede
directamentealacuentadehardware,cuandosecambianoañadencredenciales,estasseguardanen
lacuentadehardware.
ElmenúdeiniciodesesióndeHardwarePasswordManagerpuedeincluirlassiguientestareas:
IniciarWindows.
Reiniciarcuentasdehardware(reiniciarcredencialesenlacuentadehardware)
DesregistrarPC
Cambiarcontraseñadelacuentadehardware:
DeregistrareldispositivodelservidordeHardwarePasswordManager
ElmenúdeClientPortalpuedeincluirlassiguientestareas:
Registrareldispositivo
Inscribiralprimerusuario
Inscribirausuariosadicionales
24GuíadedesplieguedeHardwarePasswordManager
Eliminarusuario
Renovarcuentadehardware
Restaurarcuentadehardware
ParaabrirelmenúdeiniciodesesióndeHardwarePasswordManager:
1.Encendereldispositivo-.
2.Enelindicadordeiniciodesesión,presioneEsc.
3.SeleccioneIniciodecuentadeIntranetparaabrirelmenúdelBIOSdeHPM.
4.Escribalascredencialescorporativasválidas.
5.SeabriráelmenúdeHardwarePasswordManager.
ParaabrirClientPortal,pulseInicioTodoslosprogramasThinkVantageHardwarePassword
ManagerenWindows.
Capítulo4.ClientedeHardwarePasswordManager25
26GuíadedesplieguedeHardwarePasswordManager
Capítulo5.Despliegue
EstecapítulocontieneinformaciónadicionalsobreeldespliegueparautilizardispositivosdeHardware
PasswordManagerconHardwarePasswordManager.Estáescritoparalosadministradoresquegestionarán
dispositivosconelservidordeHardwarePasswordManagerycongurarándichosdispositivosconotros.
Estapublicaciónincluyelossiguientesapartados:
“Integracióndehuellasdactilares”enlapágina27
“CompatibilidadconSafeGuardEasy/SafeGuardEnterprise”enlapágina28
“Registrodeunsolotoque”enlapágina29
Integracióndehuellasdactilares
HardwarePasswordManagerestotalmentecompatibleconFingerprintSoftwarepreferidodeLenovo
(AuthentecyUPEK).EnclientesWindowsXP
®
,esrecomendablehaberinstaladoelclientedeHardware
PasswordManagersinHardwarePasswordManagerGINA.Hacerlopermitiráqueelusuarioutiliceelinicio
desesiónúnicoenWindowsutilizandosushuellasdactilares.ParainstalarlaaplicaciónclientedeHardware
PasswordManagersinGINA,utiliceelsiguientemandatodeinstalación:
HPMClientInstall.exe/vNOGINA=1
Esmás,elordendelainscripciónesimportantealutilizarHardwarePasswordManagerconFingerprint
Software.Primero,regístreseenHardwarePasswordManagerparaestablecerlascontraseñasdehardware.
Acontinuación,registresushuellasdactilaresparaunaccesoprevioalarranqueutilizandoFingerprint
Software.Cuandohayainscritosushuellasdactilaresporprimeravez,apagueyreinicieelsistema.Cuando
pasesuhuelladactilar,eliniciodesesióndeusuarioslesolicitaráqueespeciquesuscredencialesyque
inicielasesiónenelescritorio.Despuésdereiniciarelsistemaporsegundavez,pasesuhuelladactilary
elBIOSliberarálascontraseñasdehardwarereales.Desdeespuntopodráiniciarsesiónunavezen
Windowssólocondeslizareldedoantesdelarranque.
SielasistentederegistrodehuellasdactilaresyelasistentederegistrodeHardwarePasswordManager
aparecenalmismotiempodespuésdehaberiniciadolasesiónenWindows,procedaprimeroconel
asistentederegistrodeHardwarePasswordManager.Sinembargo,siregistrasushuellasdactilaresprimero
yaúnnohaestablecidocontraseñasdehardware,todavíapuedesincronizarlashuellasdactilaresconla
cuentadeHardwarePasswordManager.InicieFingerprintSoftwareyhabilitelaautenticacióndepreviaal
arranqueeiniciodesesiónúnico.Luego,sigalasinstruccionesacontinuación:
Siestácreandounaimagen,puedeutilizarlossiguientespasosenlaimagenparasuprimirelasistentede
registrodehuellasdactilareshastaqueelsistemasehayaregistradoconHardwarePasswordManager:
1.InhabiliteelasistentedeRegistrodehuellasdactilaresalinicioestableciendolossiguientesvalores
en0.Authentec:
HKEY_CURRENT_USER\Software\AuthenticBiometricSuite\bFingerprintSoftwareStartUp
UPEK:
HKEY_CURRENT_USER\Software\ProtectorSuite\ControlCenter\1.0\ShowOnStartup
2.CreeunscriptquehabiliteelasistentedeRegistrodehuellasdactilaressielsistemaestáregistrado
enHardwarePasswordManageryelusuarioactualestáinscritoenHardwarePasswordManager.Se
proporcionaunprogramadeutilidadenlacarpetadelprogramadeHardwarePasswordManagerque
losadministradoresdeITpuedenutilizarparaobtenerelestadodelregistroeinscripcióndentrodeun
script.Lainterfazdelscriptsedenecomosemuestraacontinuación:
Nombredelprogramadeutilidad:cmp_util.exe
Requisitoprevio:controladordedispositivopsadd.sys,cmp_server_dll.dll
©CopyrightLenovo2010
27
Uso:cmp_util.exe<mandato>donde<mandato>esunadelassiguientes:
supported*-devuelvesielprogramadeutilidadestásoportadoenelsistemaactual
registered-devuelvesielsistemaactualestáregistradoenelprogramadeutilidad
enrolled-devuelvesielusuariodelsistemaWindowsactualestáinscritoenelprogramadeutilidad
enabled-devuelvesielprogramadeutilidadestáhabilitadoenelprogramadelBIOS
show-muestralosresultadosenlaconsoladetodoslosmandatosanteriores
Códigosderetorno:
0-falso
1-verdadero
2-error
Ejemplo:
cmp_util.exe-supported
Elcomportamientodelainscripcióndelashuellasdactilaresesligeramentedistintoentreunsistema
registradoenHardwarePasswordManageryunsistemanoregistrado.Enlossistemasregistrados,el
programadelBIOSsolicitalascredencialesdeiniciodesesióndelusuariodeHardwarePasswordManager
(IDdecuentaycontraseñadelacuentadehardware)enlugardelacontraseñarealdehardware.Después
devericarlascredencialesdeiniciodesesióndelusuarioespecicadas,elprogramadelBIOSobtienelas
contraseñasrealesdehardwaredelacuentadehardwareylasguardaeneldispositivodehuellasdactilares.
Otrassituacionesdehuellasdactilaresquedebetenerencuenta:
1.ElusuarioseregistraenHardwarePasswordManagerdespuésderegistrarlashuellasdactilares
paraautenticaciónpreviaalarranque(lascontraseñasdehardwareestánestablecidas).Enesta
situación,elusuarioyahaestablecidounaPOPyhasidoregistradoparalaautenticacióndehuellas
dactilarespreviaalarranque.ClientPortaltratalasituacióndelamismamaneraqueconcualquier
contraseñapreviaalarranquequehayasidoestablecidaantesderegistrarseenHardwarePassword
Manager.Enestecaso,ClientPortalindicaalusuarioqueeliminetodaslascontraseñasdehardware.
2.ElusuarioseregistraenHardwarePasswordManagerdespuésderegistrarlashuellasdactilares
paraautenticaciónpreviaalarranque(lascontraseñasdehardwareseborran).Enestasituación,
elusuarioyaseharegistradoparalaautenticacióndehuellasdactilarespreviaalarranque,peroha
borradomanualmentelaPOPylaHDP(talcomosesolicitabaenlasituaciónanterior).Elsistemase
iniciayelusuariopuederegistrarseconHardwarePasswordManager.Sinembargo,lasiguiente
vezqueelusuarioinicieelsistemaypasesudedo,elprogramadelBIOSrecuperalacontraseñao
contraseñasanterioresdeldispositivodehuellasdactilaresydeterminaquenosonválidas.Elprograma
delBIOSsolicitaacontinuaciónlascredencialesdelusuario.Sielusuarioestávalidadoconsu
cuentadehardware,elprogramadelBIOSrecuperarálascontraseñasdehardwaredelacuentade
hardwaredelsistemaysevalidaránlascontraseñas.Lasnuevascontraseñas,deserconrmadas,se
almacenaráneneldispositivodehuellasdactilaresautomáticamente.
CompatibilidadconSafeGuardEasy/SafeGuardEnterprise
EnaquellosentornosenlosqueseutiliceelprogramadeutilidadSafeGuardEasy/SafeGuardEnterprise,
deberáinstalarelclientedeHardwarePasswordManagerdespuésdelprogramadeutilidaddeSafeGuard
Easy/SafeGuardEnterprise.
Existetambiénunalimitaciónsobredóndenofuncionalacaracterísticadeiniciodesesiónúnicode
HardwarePasswordManagercuandoseinstalaelprogramadeutilidadSafeGuardEasy/SafeGuard
Enterprise.Porlotanto,elusuarionoinicialasesiónautomáticamenteenelsistemaoperativoWindows
cuandoelusuariorealizauniniciodesesióndeusuarionormalenHardwarePasswordManager.
28GuíadedesplieguedeHardwarePasswordManager
Registrodeunsolotoque
Comoadministrador,puederegistrarlossistemasconHardwarePasswordManagerparaprotegerlosde
usuariosnoautorizadosduranteelprocesodedespliegueydistribución.Estoseconsiguepermitiendoque
unadministradorregistrepreviamentetodossussistemasenelservidordeHardwarePasswordManager
conunacuentacomúndeadministradorlocal.Esteprocesorequiereunúnicopasomanual(untoque)para
concluir,algonecesarioparaimpedirataquesdedenegacióndeservicio.
Esteprocesoseiniciaautomáticamenteenelsistemadelclientebasadoenpolítica,yseobtienenlas
credencialescorporativasdelservidordeHardwarePasswordManagerparapermitirqueelregistro
continúedesatendido.
Nota:Untoquehacereferenciaalúnicopasomanualrequeridoporeladministradorpararegistrarel
sistemaenHardwarePasswordManager.Cuandoelsistemaestáregistradoyseproporcionalosusuarios,
elregistropuedeiniciarseautomáticamente(dependiendodelapolítica)paracualquierusuarioqueiniciela
sesiónsatisfactoriamenteenWindows,yaseadeformalocaloenundominio.Elprocesoderegistrodeun
toqueseráignoradosielsistemayaestáregistrado.
Registroprevio
Esteprocesoeselmismoqueelprocesonormalderegistro,exceptoporlassiguientesdiferencias:
1.Dependiendodelapolítica,ClientPortal(iniciadoautomáticamentecuandoseinicialasesiónen
Windows)inicialafunciónderegistrodeHardwarePasswordManagerdeunsolotoquedependiendo
delvalordepolíticadeuntoque.
2.ClientPortalnosolicitaconrmaciónparaprocederconelregistroylainscripción.
3.Despuésdereiniciar,pulseIntroenConrmarregistro.
4.ClientPortalnosolicitarácredencialesdecuentascorporativas,deWindowsodehardware.Las
credencialescorporativasutilizadasparaautenticarlasolicitudderegistrosonlascredencialesde
niveldeadministradorproporcionadasporeladministradoralcongurarLDAPenlaconsolade
administración.LascredencialesdecuentasdeWindowsyhardwarenosonnecesariasyaquenose
creaningunacuentadeusuario,sóloseinscribelacuentacomúndelAdministrador.
5.ClientPortalsigueconlaoperacióndesuspensiónyreiniciosinnoticaralusuario.
6.ClientPortaldevuelveuncódigodeéxitoofalloalprocesoquehaoriginadolallamadayreinicia
automáticamente.
Cuandoelprocesoderegistrodeunsolotoquehaterminado,elsistemaestaráprotegidoconuna
contraseñaysólosecreaunacuentalocaldehardware.Lacuentadehardwareestáestablecidaconlas
credencialesdecuentadehardwaredeladministradorcomún.Eladministradorpuededistribuirestos
sistemasalosusuariosnalessabiendoqueestánprotegidosmediantecontraseñasdehardware.
Inscripcióndeusuariosenunsistemaprerregistrado
Cuandoelsistemaseproporcionaalusuario,elusuariodeberealizaruniniciodesesiónenHardware
PasswordManager(serequiereconexiónderedporcable)parapoderobteneraccesoalsistema.Sino
hayconexióndereddisponibleoelservidordeHardwarePasswordManagerestádetrásdeunaVPN,el
administradortienelaopcióndeproporcionarlascredencialesdecuentacomúndeadministradorde
hardwareparapermitiraccesoalsistema.EsteujoeselmismoqueelujoInscribirusuariosadicionales
normal.
Capítulo5.Despliegue29
30GuíadedesplieguedeHardwarePasswordManager
Capítulo6.Situaciones
Estecapítulodescribesituacionesasociadasconcambiosenelhardwareyenlaconguracióndelusuario.
Paraserviralpropósitodeestassituaciones,seasumiráquetodoslossistemasestaránregistradosen
HardwarePasswordManager.
Situacionesdeservicio(cambiosenlaconguración)
Esteapartadodescribesituacionesdehardware.
Situación1-Cambiosenlaconguracióndelhardware
Cuandosehaceuncambioenelhardware,sedesencadenaunerrorenelBIOSyselesolicitaque
especiquesucontraseñadeadministrador(PAP/SVP)parapoderentrarenlaconguracióndelBIOS.
LuegodeingresarlaconguracióndeBIOS,acepteloscambiosparaborrarelerrordelBIOS.
Puedetambiénignorarlasolicituddecontraseñadeladministradoryreiniciarelsistema.Enestecaso,el
errordelBIOSnoseráborradoysevolveráasolicitarqueescribalacontraseñadeladministradorencada
reinicioposteriorhastaqueentreenlaconguracióndelBIOSyacepteloscambiosdehardware.
Cuandoserealizancambiosdehardwareenelsistema,seproduceunerrorenelBIOS,yaparecelaventana
Iniciodesesióndeusuario.Puederealizarunadelassiguientesacciones:
EspeciquelascredencialesdelacuentadehardwareenlaventanaIniciodesesióndeusuario
utilizandounacuentaconprivilegiosdeadministradordeHardwarePasswordManager.Siseespecican
credencialesdelacuentadehardwareconprivilegiosdeusuariosdeHardwarePasswordManager,el
BIOSsolicitarálacuentadeladministradordeformaseparada.
Enlaventanadeiniciodesesióndelusuario,pulseEscparaabrirlaventanaMenúdeiniciodesesión
yseleccionarIniciodesesióndecuentadeInternetparaabrirlaventana.Escribalascredenciales
corporativasdeladministradorparaliberarlaPAP/SVP .
EnlaventanaIniciodesesióndeusuario,presioneEscparairalaventanaMenúdeiniciodesesióny
seleccioneEspecicarcontraseñasmanualmenteparairaliniciodesesiónmanualyespecicarla
PAP/SVP.PuedeobtenerlaPAP/SVPdelaconsoladeadministracióndeHardwarePasswordManager.
Notas:
1.SinoconocelaPAPdeunsistemadeescritorio,puederetirarlabateríadelCMOSparaborrarla
POPyPAP.
2.LoscambiosdehardwareenLenovoThinkPadsnogeneranerroresdelBIOSparapermitirelintercambio
dedispositivosencaliente,porloquenoesnecesarioproporcionarlaPAP/SVP.
Situación2-ErrordelCMOS
ParaprotegerlosvaloresdelenlamemoriaCMOS,secalculaunasumadecomprobaciónyseguardapara
detectarerrores.Cadavezquesereiniciaelsistema,estenúmerovuelveacalcularseysecomparacon
elvaloralmacenado.Sinocoinciden,segeneraunanoticacióndeerrorqueinformaalusuariodeque
esposiblequeelcontenidodelCMOShayaresultadodañadoyque,porlotanto,determinadosvalores
puedenserincorrectos.LacausamáscomúndeloserroresdesumadecomprobaciónenelCMOSesuna
pilaqueestáperdiendopotencia,unvirusounproblemaenlaplacadelsistema.
LoserroresdelCMOSrequierenqueentreenlaconguracióndelBIOSyqueseleccioneLoadDefault
Settingsantesdequeelsistemapuedainiciarelsistemaoperativo.ParaentrarenlaconguracióndelBIOS,
deberáproporcionarlaSVP.
©CopyrightLenovo2010
31
CuandoseproduceunerrordelCMOS,aparecelaventanaIniciodesesióndeusuariocuandoseproduce
esteerrordelBIOS.Realiceunadelasaccionessiguientes:
EscribalascredencialesdelacuentadehardwareconprivilegiosdeadministradordeHardware
PasswordManagerparaliberarlaSVP/PAP,comolacuentadeadministracióndeemergencia.Sise
especicanlascredencialesdecuentadehardwareconprivilegiosdeusuariodeHardwarePassword
Manager,elBIOSsolicitarálaPAP/SVP.
Escribalascredencialescorporativas:
1.PresionelateclaEscenlaventanaMenúdeiniciodesesión.
2.SeleccioneIniciodesesióndecuentadeintranetparaabrirlaventanaIniciodesesiónencuenta
deInternet.
3.EscribaelnombredeusuarioylacontraseñaenlaventanaIniciodesesióndecuentadeInternet.
EnlaventanaIniciodesesión,pulseEscparaabrirlaventanaIniciodesesiónyseleccioneEspecicar
contraseñasmanualmente.Eneliniciodesesiónmanual,escribalaPAP/SVP.Puedeobteneresta
informacióndelaconsoladeadministracióndeHardwarePasswordManager.
Nota:EnlossistemasdeescritoriopuedeignorarelerrordelCMOSpresionandoF2einiciandoelsistema.
SemostraráelmismoerrorduranteelsiguientereiniciohastaqueentreenlaconguracióndelBIOSy
carguelosvalorespredeterminadospresionandoF9.
Situación3-Sustituirdispositivodehuelladactilares
Losusuariospuedeninscribirsushuellasdactilaresparausarlafuncióndeiniciodesesiónúnicoen
HardwarePasswordManager.Cuandoseinscribeunahuelladactilarparaelaccesodepreinicio,seasocian
contraseñasdehardwareconlahuelladactilarpasadaysealmacenandentrodeldispositivodehuellas
dactilares.Cuandoelusuariopasaunahuelladactilarinscrita,elBIOSliberarálascontraseñasdehardware
realesdelacuentadehardware.ElBIOSmuestraelindicadordehuellasdactilaresprimeroalarrancarel
sistema.Paraabrirlaventanadeiniciodesesión,elusuariodeberápresionarlateclaESC.Siseeliminael
dispositivodehuellasdactilares,yanosemostraráelindicadordehuellasdactilaresysemostraráprimero
laventanaIniciodesesióndeusuario.
Cuandosesustituyeunahuelladactilardefectuosa,seeliminanlashuellasdactilaresregistradasy
contraseñasasociadas.HardwarePasswordManagernoseveafectadosalvoporelhechodequeel
usuarioyanopuedeutilizarsuhuelladactilar.Elindicadordehuellasdactilaresyanoapareceráyse
mostraráprimerolaventanaIniciodesesióndeusuario.
Paravolveraactivarelaccesodehuellasdactilares,elusuariodeberáregistrarsuhuelladactilarpara
WindowsycredencialesdepreinicioutilizandoFingerprintSetupUtility.Sisesustituyeundispositivode
huellasdactilaresconotroqueyaharegistradohuellasdactilaresycontraseñas,elBIOSsobrescribirá
dichascontraseñassiemprequeelusuarioproporcionecontraseñascorrectasutilizandoeliniciode
sesiónmanual,deusuarioodeHardwarePasswordManager.Siseproporcionancredencialesdela
cuentadehardwaresinprivilegiosdeadministradordeHardwarePasswordManager,sóloseactualizarán
lascontraseñasdeencendidoydediscoduroeneldispositivodehuellasdactilares(noseañadiránlas
PAP/SVPaldispositivodehuellasdactilareshastaqueunusuarioinicielasesiónconcredencialesde
administradordeHardwarePasswordManageroespeciquemanualmentelasPAP/SVPcorrectas).
Situación4-Contraseñasdehardwareyaestablecidas
Cuandolascontraseñasdehardwareyaestánestablecidasantesderegistrarse,elusuarionopodrá
registrarseenHardwarePasswordManager.Cuandoseiniciaelprocesoderegistro,ClientPortalinformará
alusuariodequedebeborrarmanualmentelascontraseñasdehardwareantesderegistrarse.Despuésde
queelusuarioborrelascontraseñasdehardware,elregistroprocederáconnormalidad.
32GuíadedesplieguedeHardwarePasswordManager
Situación5-Conguraciónutilizandoelsistemaoperativo(valores
remotosdelBIOS)
Estasituaciónpuedeproducirsecuandoserecibennuevasmáquinasydeseadesplegarvalores
predeterminadosdelBIOScomo,porejemplo,inhabilitarlospuertosserieoestablecerunacontraseña
administrativa.
CuandoseregistraunamáquinaenHardwarePasswordManager,laconguraciónnopuedecambiarlas
contraseñasenelSO(yaqueestángestionadasporelservidordeHPM)anoserqueseproporcione
lacontraseñaactualquepodráobtenerutilizandoThinkManagementConsole.Siunusuarioinhabilita
HardwarePasswordManagermanualmentemediantelaconguracióndelBIOSoutilizandolaConguración
enelSOenunamáquinaregistradadenHardwarePasswordManager,elBIOSborrarálascontraseñasde
hardwareysuprimirálacuentadehardwarelocalySST.
Situación6-Sustituirlaplacadelsistema
Cuandosesustituyelaplacadelsistema,laPOP,SVP,cuentadehardwareycredencialesdeservidoryano
existiránenelsistema.SólopermaneceránactivaslasHDP .Enestecaso,deberáborrarmanualmentela
HDPenlaconguracióndelBIOS,iniciarlamáquinayvolveraregistrarseenHardwarePasswordManager
utilizandoClientPortal.ParapoderborrarlaHDP,deberáespecicarlamanualmente.Puedeobtenerlaen
ThinkManagementConsole.
DebetenerelIDdelHDDdeldiscoduroparapoderencontrarlaHDPcorrecta.ElIDdelHDDpuede
recuperarseutilizandounprogramadeutilidaddeDOSdeHardwarePasswordManagerproporcionado
porLenovo.
Cuandosemueveunaplacadelsistemadeunsistemaaotro,seasumequedichaplacadelsistemano
estáregistradaenHardwarePasswordManager.DebeborraroinhabilitarHardwarePasswordManager
antesdevolveradesplegarlaplacadelsistema.
Sistemasdeescritorio-Silaplacadelsistemanohasidodesregistrada,podráeliminarlapiladel
CMOSparaborrarlaPOP/SVPy,acontinuación,especicarentrarenlaconguracióndelBIOSe
inhabilitarHardwarePasswordManager
ThinkPad-EliminarlapiladelCMOSnoborrarálaSVP,debeobtenerlaSVPdeThinkManagement
ConsoleparaentrarenlaconguracióndelBIOSeinhabilitarHardwarePasswordManager.
Nota:Cuandosustituyaunaplacadelsistema,deberárestablecereltipo/modelodemáquinaynúmerode
serieparaquecoincidaconlosvalorescorrectosantesderegistrarlaenHardwarePasswordManager.
Cuandovuelvaaregistrarelsistemaclienteconlanuevaplacadelsistemaenelmismodominiodelservidor
deHardwarePasswordManager,elservidorreconoceráquelamáquinayaestáregistrada(esdecir,ya
existeninstanciasdelamáquina/usuario/discoduroydelacopiadeseguridaddelacuentadehardware)y
borrarátodaslasestructurasenelservidorantesdeprocederconelregistro.
Situación7-Añadirundiscoduro
CuandoseañadeundiscoduroaunsistemayaregistradoenHardwarePasswordManager,deberárenovar
lacuentadehardwareparaqueHardwarePasswordManagerasigneunacontraseñaalnuevodiscoduro.
LaopciónRenovarcuentadehardwarevolveráaenumerarlosdiscosdurosenlamáquinayestablecerá
contraseñasentodoslosdiscosdetectados.
SieldiscoduroyatieneunaHDPestablecida,deberáborrarmanualmentelaHDPantesdeejecutarRenovar
cuentadehardware.SinoconocelaHDP,nopodráutilizareldiscoduro.
Capítulo6.Situaciones33
ParaborrarlaHDP,deberátenerelIDdelHDDyelIDdelsistemaparapoderobtenerlaHDPySVP
correctas.PuederecuperarelIDdelHDDyelIDdelamáquinautilizandounprogramadeutilidaddeDOS
deHardwarePasswordManagerproporcionadoporLenovo.
Nota:NonecesitalaSVPparaborrarunaHDPensistemasThinkPad.
CuandoseañadeundiscodurosinprotecciónaunsistemaregistradoenHardwarePasswordManager,el
BIOSdetectaráqueeldiscoduronoestáprotegido.Enestecaso,cuandoseinicielasesiónenWindows,
ClientPortalinformaráalusuariodequesehaencontradoundispositivodesprotegido(HDD)ylepreguntará
sidesearenovarelhardware.
Situación8-Reemplazoomovimientodediscoduro
SieldiscodurodeunsistemaregistradoconHardwarePasswordManagerfallaydebeserreemplazado,
existentresposibilidades.
Siaúnsepuedeiniciarelsistema,serecomiendaquedesregistreelsistemaconHardwarePassword
Manager.Estoborrarátodaslascontraseñasdehardwaredelsistema.Instaleelnuevodiscoduroypuede
irseguidoelprocesodedespliegueusualdeHardwarePasswordManagerparaprepararseparaelregistro
delsistemaconHardwarePasswordManagernuevamente.
Sielsistemanoiniciadeldiscoduroytieneunaconexiónporcablealaredcorporativa,pulseEscenel
iniciodesesiónprevioalarranquedeHardwarePasswordManager.Debeproporcionarcredencialesque
estánasociadasconelroladministradoroserviciotécnico.Elijadesregistrarelsistemadesdeelmenú.Esto
borrarálascontraseñasdehardwaredelsistema.
Sielsistemanoiniciadeldiscoduroynoestáconectadoalaredcorporativa,pulseF1duranteelPOST
paraingresaraBIOSSetupUtility.PulseEsccuandoseleindiqueparainiciarsesiónenHardware
PasswordManager.SeleccioneManuallyenterpasswords.EscribalaSVPquesepuederecuperardela
consola.PulseF1nuevamenteeingreselacontraseñamaestraparaeldiscoduro.SeleccioneSecurityy
luegoseleccionePassword.DeshabiliteelvalordeHardwarePasswordManager.Estoborrarátodaslas
contraseñasdehardware.AhorahabiliteelvalordeHardwarePasswordManagerypulseF10paraguardar
ysalirdeBIOSSetupUtility.Ahoraqueelsistemasehadesregistrado,sepuedeinstalarundiscoduro
nuevoysepuedeseguirelprocesodedespliegueusualdeHardwarePasswordManagerparaprepararse
paraelregistrodelsistemaconHardwarePasswordManagernuevamente.
SieldiscoduronuevohasidogestionadoanteriormenteporHardwarePassword,esdecirelservidorde
HardwarePasswordManagerloconoceytieneunaHDPestablecida,HDPdeberáserborradamanualmente
utilizandoBIOSSetupUtility.PulseF1durantePOSTparaentrarenBIOSSetupUtility.PulseEsccuandose
leindiqueparainiciarsesiónenHardwarePasswordManager.SeleccioneManuallyenterpasswords.
EscribalaSVPquesepuederecuperardelaconsola.PulseF1nuevamenteeingreselacontraseñamaestra
paraeldiscoduro.SeleccioneSecurityyluegoseleccionePassword.ElimineUserHDPyMasterHDP.
PulseF1paraguardarysalir.
ConelndeborrarHDP,debetenerelnombredelsistemadeldispositivoenelqueseregistróeldiscoduro
oelIDdelHDDyelIDdelsistemaparaobtenerlaHDPySVPcorrectasdelaconsola.PuederecuperarelID
delHDDyelIDdelamáquinautilizandounprogramadeutilidaddeDOSdeHardwarePasswordManager
proporcionadoporLenovo.LuegodeobtenerelIDdelHDDyelIDdelamáquina,podráobtenerlaHDPy
SVPutilizandoThinkManagementConsole.AhorapodráborrarlaHDPutilizandolaconguracióndelBIOS.
Nota:NonecesitalaSVPparaborrarunaHDPensistemasThinkPad.
34GuíadedesplieguedeHardwarePasswordManager
Situación9-Cambiarlaubicacióndeldiscodurodentrodeunsistema
Estasituaciónseproducecuandolaposiciónfísicadeldiscoduro1ydel2seintercambiaenelbus.
HardwarePasswordManagernoresultaafectadoporquelaposicióndeldiscoduronosemantieneenla
instanciadelHDDenelservidor.
Situación10-Eliminarunaunidaddediscoduro
Aleliminarundiscoduro,lasoluciónrecomendadaesdesregistrarelsistemaantesdeeliminareldisco
duroy,acontinuación,volveraregistrarelsistemadespuésdequesehayainstaladootrodiscoduro.Esta
operacióngarantizaráqueretireeldiscoduroyquenotengaHDPestablecido.
Nota:EliminareldiscodurosindesregistrarloprimerodejaráunainstanciadeHDDhuérfanaenelservidor.
PuedeelegirmantenerdichosregistrosencasodequenecesitelaHDPenelfuturooborrarlosutilizando
ThinkManagementConsole.
Situación11-ActualizacióndelBIOS(ash)
EstasituacióndescribeelimpactoenHardwarePasswordManageralactualizar(ash)elBIOSconuna
imagen(aplicadautilizandounprogramadeactualización).Puestoqueexistenprogramasdeutilidadde
actualizacióninstantáneaenDOSyWindows,todaslassituacionesdeactualizacióndebenprobarsecon
ambostiposdeprogramasdeutilidad.AunquelasestructurasdecuentasdehardwaredeHardware
PasswordManagersealmacenanenash,losprogramasdeactualizacióninmediatadeashhansido
actualizadosparaquenosobrescribanlasestructurasrelacionadasconHardwarePasswordManager.
ForwardFlashing:CuandoseactualizaaunaversiónmásmodernadelBIOSdeunsistemaregistrado
enHardwarePasswordManager,lacuentadehardwarenodeberíaresultarafectada(porejemplo,
elestadoderegistrodelusuariodeHardwarePasswordManagerylascredencialesdelacuentade
hardwarenodeberíancambiar).
Backashing:CuandoseactualizaaunaversiónanteriordelBIOSconsoportedeHardwarePassword
Manager,lacuentadehardwarenodeberíaverseafectada(porejemplo,elestadoderegistrodelusuario
deHardwarePasswordManagerylascredencialesdelacuentadehardwarenodeberíancambiar).
LosprogramasdeutilidaddeactualizacióndeBIOSconsoportedeHardwarePasswordManagerno
debenretroactualizarseaunaversiónanteriordelBIOSquenoincluyasoporteparaHardwarePassword
Manager.Elsistemadebedesregistrarseantesdelaretroactualizaicón.
Situación12-Unsistemaregistroyanopuedeaccederalservidorde
HardwarePasswordManager
SisereasignaosemueveunsistemaregistradodeHardwarePasswordManageraunaubicaciónsin
conexiónderedconelservidorHardwarePasswordManager,debeborrarlascuentasycontraseñasde
hardwaredelsistema.EstosepuedelograraldesregistrarelsistemamedianteBIOSSetupUtility.
Parahacerlo,deberáiniciarlasesiónenlacuentadeemergenciaparaobteneraccesoalaSVPyatodaslas
HDP,einhabilitarHardwarePasswordManager.CuandoseinhabilitaHardwarePasswordManager,elBIOS
borrarálasestructurasdecuentasdehardwareytodaslascontraseñasdehardware.
Sidesconocelacuentadeemergencia,deberáobtenerlaSVPyHDPutilizandoThinkManagementConsole
parainhabilitarHardwarePasswordManager.
Enestecaso,elservidordeHardwarePasswordManagercontendráunaentradahuérfana(comouna
instanciademáquinayunacopiadeseguridaddecuentadehardware).Puedeutilizarlaconsolade
ThinkManagementConsoleparaidenticarestasentradashuérfanasyborrarlassiasílodesea.
Capítulo6.Situaciones35
Situación13-EntrarenlaconguracióndelBIOS
LosusuariospuedenentrarenlaconguracióndelBIOSdeunadelassiguientesmaneras:
Iniciodesesióndeusuario:ElusuariodebetenerunacuentalocalmiembrodelgrupoAdministradorde
HardwarePasswordManager.
IniciodesesiónenHardwarePasswordManager:Elusuariodebetenerunacuentacorporativa
miembrodelosgruposServiciotécnicooAdministradordeHardwarePasswordManager.
Iniciodesesiónmanual:ElusuariodebeobtenerlaSVPdeladministradorqueutilizaThinkManagement
Console.
Situación14-Cargarvalorespredeterminadosenlaconguracióndel
BIOS
EstasituacióndescribelasimplicacionesdecargarlosvaloresdelBIOSenunsistemaqueutilizaHardware
PasswordManager.LosusuariospuedencargarlosvalorespredeterminadosdelBIOSsielCMOSresultado
borradoodañado.
Cuandosecarganlosvalorespredeterminados,laPOPySVPpermaneceránestablecidosytodaslas
estructurasdeHardwarePasswordManagerpermaneceránintactas.
Situación15-Noprotegertodaslasunidadesdediscoduro
EstasituacióndescribeunejemplodeunusuarioqueregistrasusistemaenHardwarePasswordManager,
peroquedeseautilizarundiscoduroadicionalqueNOestáprotegido.Launidaddediscoduroserá
probablementeunaunidaddediscoduroexternaounainstaladaenunaestacióndeacoplamiento.
Nota:LaunidaddediscoduronodebeconectarsecuandoelsistemaestáregistradoenHardware
PasswordManagerodelocontrarioseasignaráunaHDPaldiscoduro.
Situacionesdeusuarios
Estaseccióndescribesituacionesquepuedenencontrarlosusuarios:
Situación1-Olvidodelascredencialesdelacuentadehardware,con
conexióndered
Estasituaciónseproducecuandounusuarioolvidasuscredencialesdecuentadehardware,perotiene
conexiónderedconelservidordeHardwarePasswordManager.Pararesolveresteproblema,elusuario
deberá:
IniciarlasesiónenHardwarePasswordManager.
IniciarWindowsdesdeelmenúServiciosdeHardwarePasswordManager.
IniciarlasesiónenWindowsespecicandomanualmentesuscredencialesdeWindows.
IniciarClientPortalyseleccionarEliminarusuario.
VolverainscribirlacuentaenHardwarePasswordManager.
Situación2-Olvidodelascredencialesdelacuentadehardware,SIN
conexióndered
Estasituaciónseproducecuandounusuarioolvidasuscredencialesdecuentadehardwareynotiene
conexiónderedconelservidordeHardwarePasswordManager.Parasolucionaresteproblema,realice
losiguiente:
36GuíadedesplieguedeHardwarePasswordManager
1.LlamaraladministradordeITyobtenerlascredencialesdelacuentaadministradordeemergencia.
Encenderelsistemaeingresarlascredencialessegúnelindicadordeiniciodesesióndeusuario.
2.IniciarlasesiónenWindowsespecicandomanualmentesuscredencialesdeWindows.
3.InicieClientPortalyseleccioneEliminarusuario.
4.VuelvaainscribirsucuentaenHardwarePasswordManager.
OtramaneradehacerloesqueelusuarioingresealaconguracióndelBIOSdespuésdeproporcionarlas
credencialesdelacuentadeadministradoryqueinhabiliteHardwarePasswordManager.Estoborrarála
cuentadehardwareylascontraseñasdehardware.ElusuariopodráentoncesiniciarHardwarePassword
ManageryvolveraregistrarelsistemaalregresaraunaubicaciónconconexiónderedalservidorHardware
PasswordManager.
Situación3-Olvidodelacontraseñacorporativa
Estasituaciónseproducecuandounusuarioolvidasucontraseñacorporativa.Enestecaso,elusuario
aúnpodráutilizarelsistemamedianteiniciodesesióndeusuario.Elusuariopodrárestablecersu
contraseñacorporativautilizandoelprocesocorporativo(sitioweborestablecimientomanualrealizadopor
eladministradordeIT).
SilapolíticasehaestablecidoparaquelacuentadehardwareseaigualquelacuentadeWindowsdel
usuario,entonces,despuésderestablecerlacontraseñacorporativa,elusuariodeberealizaruniniciode
sesióndeHardwarePasswordManagermediantecredencialescorporativasantiguas.Eneliniciode
sesióndeWindows,selesolicitaráalusuarioqueingreselacontraseñanueva.Entonces,elportalde
clientesdeHardwarePasswordManagerlesolicitaráalusuarioquesincronicelacuentadehardwarecon
sucontraseñanueva.Despuésqueestonalice,elusuariopodráusarsucontraseñanuevaalsiguiente
iniciodesesióndeHardwarePasswordManager.
Situación4-Iniciodesesiónmanualutilizandodistintostiposde
teclados
LascontraseñasdehardwarecomoPOP,SVPyHDPquesongestionadasporelBIOSnopueden
trasladarseentresistemascondistintostiposdeteclados.EstosedebeaqueeltextoaniveldelBIOS
esreconocidocomocódigosdeexploraciónynopuedeconvertirsedentrodelBIOSodeoaunformato
másportátilcomo,porejemplo,ASCII.Intentargestionarcontraseñasalmacenadascomocódigosde
exploraciónpuederesultarenqueunacontraseñaespecicadaenuntipodetecladopuedetenerun
conjuntocompletamentedistintodecódigosdeexploraciónquelosdeotroteclado.Porejemplo,considere
lacontraseñaazw.Enuntecladoinglés,larepresentacióndecódigodeexploraciónes0x1E,0x2C,0x11.
Sinembargo,enuntecladoalemán,larepresentacióndecódigodeexploraciónes0x1E,0x15,0x11.
Existen3tiposdetecladosutilizadosparadarsoportealosdistintosidiomas:
Francés,belga
Alemán,suizo,Hungría,Polonia,Checoslovaquia,Eslovenia,Eslovaquia
Elrestodelosidiomas
Cuandosedespliegancontraseñasdehardwaredesdeelservidor,comoPOP,SVPyHDP,elservidor
convierteeltextoASCIIencódigosdeexploracióndependiendodeltipodetecladodelsistemade
destino.Estascontraseñas(representadasporcódigosdeexploración)seenvíanalclienteparaquesean
establecidasenelhardware.
Cambiareltipodetecladonoestásoportadoparalaentradamanualdecontraseñas.Siunusuariodesea
cambiareltipodeteclado,elmejorsistemaserá:
1.DesregistrarsedeHardwarePasswordManager.
Capítulo6.Situaciones37
2.Cambiarelteclado.
3.VolveraregistrarseenHardwarePasswordManager.
Situación5-Gestióndeinscripcionesdevariasparticionesdearranque
Estasituaciónpuedeproducirsecuandounusuarioseregistraeinscribeenunaparticióndearranque
(comoVista),ydeseainscribirseenHardwarePasswordManagerenunasegundaparticióndearranque
(comoXP).Enestecaso,deberáinstalarseelcódigodelclientedeHardwarePasswordManager.Elusuario
deberegistrarseeinscribirseenHardwarePasswordManagerdesdeunaparticióndearranque.Unavez
inscrito,HardwarePasswordManagerfuncionaráconnormalidadentodaslasparticionesdearranque
dondesehayainstaladoelcódigodeHardwarePasswordManagerasumiendoquelascredencialesde
iniciodesesióndeWindowssonlasmismasentodaslasparticionesdearranque.Silascredencialesde
iniciodesesióndeWindowssondistintas,elusuariotendráqueespecicarmanualmentesuscredenciales
deWindowsWindowsenWindowsGina/CPalutilizarparticionesdearranquedistintasdelasqueha
registradoenHardwarePasswordManager.
Situación6-BitLocker
BitLockeryHardwarePasswordManagersoncompatibles,esdecir,unclienteinscritoenHardware
PasswordManager(paralaproteccióndecontraseñasdelBIOS-POP,SVP,HDP)puedeprotegeraúnmás
susdatosutilizandoBitLocker(cifradodevolúmeneslógicos).LainscripciónenBitLockerylarecuperación
declavessegestionadelamismamaneraquehacenhoyendíalosclientes(estoseencuentramás
alládelámbitodeHardwarePasswordManager).
LamejormaneradeutilizarambastecnologíasesinscribirseenHardwarePasswordManagerantesde
habilitarBitLocker.SielusuariohabilitaprimeroBitLockery,acontinuación,seregistraenHardware
PasswordManager,elhechodequelascontraseñasdelBIOSesténestablecidasharáqueBitLockerno
apruebesucomprobacióndeintegridad(lascontraseñasdelBIOSsevalidandentrodePCR1)yharáque
seinicielamodalidadderecuperacióndeBitLocker.HardwarePasswordManageravisaráalusuariode
esteproblemaduranteelujoderegistrosiBitLockerestáhabilitado.Elusuariopuedeelegirentonces
sideseacontinuarconelregistroocancelarenesemomento.Sielusuariocontinua,seejecutarála
modalidadderecuperacióndeBitLockerenelsiguientearranqueyaquelacomprobacióndeintegridad
delascontraseñasdelBIOS(PCR1)habráfallado.
38GuíadedesplieguedeHardwarePasswordManager
ApéndiceA.Seguridadyconveniencia
Laseguridaddelsistemafrecuentementeseconsideramuchomásimportantequelaconveniencia.
LasiguientetablailustracómosepuedencongurarlosvaloresdeHardwarePasswordManagerpara
optimizarlaseguridadylaconveniencia.
Nota:Losvalorespredeterminadosseresaltanencursiva.
Tabla1.ValoresdepolíticadeHardwarePasswordManager
ValordepolíticadescripciónMásseguraMásconveniente
Cliente-PolíticaBIOS
Mostrarúltimacuenta
deiniciodesesiónpara
cuentadehardware
DeterminasielBIOSdebeguardaren
lamemoriacachéelnombredeusuario
decuentadehardwarequeiniciósesión
exitosamenteenelsistemalaúltimavez.La
contraseñanoseguardaenlamemoriacaché
yelusuariotendráqueingresarlacadavez.
Noestá
seleccionado
Seleccionado
Solicitarcuentade
hardwareenarranque
encaliente
Determinasisesolicitarálacuentade
hardwarecadavezquereinicieelsistema.
SeleccionadoNoestá
seleccionado
Cliente-Contraseñas
comunesdehardware
EstablecerSVPcomunesDeterminasiseestablecerálacontraseñadel
supervisor(SVP)enunvalorpreestablecido
comúnosegenerarálacontraseña
automáticamente.ElusodeunaSVPcomún
puedefacilitarelingresomanualdelaSVPpor
partedeladministrador,siesnecesario(por
ejemplo,ingresoaconguracióndelBIOSy
cambiodevalores).
Noestá
seleccionado
(contraseña
generada
automáticamente)
Seleccionado
(contraseña
preestablecida)
EstablecerPOPcomunesDeterminasiseestablecerálacontraseñade
encendido(POP)enunvalorpreestablecido
comúnosegenerarálaPOPautomáticamente.
Noestá
seleccionado
(contraseña
generada
automáticamente)
Seleccionado
(contraseña
preestablecida)
EstablecerMHDP
comunes
Determinasiseestablecerálacontraseña
deldiscoduromaestro(MHDP)enun
valorpreestablecidocomúnosegenerará
lacontraseñaautomáticamente.Eluso
deunaMHDPcomúnpuedefacilitarel
ingresomanualdelaMHDPporpartedel
administrador,siesnecesario(porejemplo,
ingresoaconguracióndelBIOSyborradode
UHDPyMHDP).
Noestá
seleccionado
(contraseña
generada
automáticamente)
Seleccionado
(contraseña
preestablecida)
EstablecerUHDP
comunes
Determinasiseestablecerálacontraseñade
discodurodeusuario(UHDP)enunvalor
preestablecidocomúnosegenerarálaUHDP
automáticamente.
Noestá
seleccionado
(contraseña
generada
automáticamente)
Seleccionado
(contraseña
preestablecida)
Cliente-Cuentade
emergencia
©CopyrightLenovo2010
39
Tabla1.ValoresdepolíticadeHardwarePasswordManager(continuación)
ValordepolíticadescripciónMásseguraMásconveniente
Nombredeusuarioy
contraseñadeemergencia
común
Deneelnombredeusuarioycontraseñade
cuentadeusuarioparatodoslossistemas.
Aunqueelnombredeusuariosiempreserá
común,lacontraseñapuedesercomún
oúnicaparacadasistema(generada
automáticamente).Alhacercomúnla
contraseñasefacilitaqueeladministrador
ingresealaconguracióndelBIOSoinicie
sesiónenelsistemasiningresarmanualmente
lascontraseñasdehardwareorequerirun
iniciodesesióndeintranet(elcualrequiere
unaconexióndered).
Conguración
decuentade
emergencia
(contraseña
generada
automáticamente)
Conguración
decuentade
emergencia
(contraseña
preestablecida)
Políticadeservidor-
PestañaGeneral
Permitirquelosusuarios
seregistrenendispositivos
múltiples
DeterminasitodoslosusuariosHPMse
puedenregistranenmásdeunsistema.
Noestá
seleccionado
Seleccionado
Habilitarregistrodeun
solotoque
Determinasieladministradordesearegistrar
previamentesistemasenunáreaenetapas
sinregistrarusuariosnales.Estaoperación
establecerácontraseñasdehardwareycreará
lacuentadeemergencia.Despuésdeque
estossistemasseentreguenalosusuarios,
puedeniniciarsesiónenintranetparainiciarel
sistemayregistrarseparacrearunacuenta
dehardware.
Noestá
seleccionado
Seleccionado
Habilitarprimerusuario
registradoenunamáquina
comoadministrador
Determinasielprimerusuarioquese
registraenunsistemarecibiráprivilegiosde
administradorconsucuentadehardware.
EstopermitirálaliberacióndelaSVPaliniciar
sesiónenelsistema,locualpermitealusuario
elingresoalaconguracióndelBIOSy
cambiarvalores,silodesea.Estonootorga
privilegiosdeadministradordeWindowsal
usuario.
Noestá
seleccionado
Seleccionado
Opcionesdelmenúde
ClientPortal-Pestaña
ClientPortal
DesregistrarPCDeterminasilaopcióndemenúDeregister
PCestádisponibleparalosusuarioscuando
realizanuniniciodesesiónenintranet.
Noestá
seleccionado
Seleccionado
40GuíadedesplieguedeHardwarePasswordManager
ApéndiceB.Recuperacióntrasdesastre
Copiadeseguridaddelservidorprincipal9.0
AntesdeactualizaromodicardealgunaformaelservidorprincipaldeHardwarePasswordManageractual,
esimportanterealizarunacopiadeseguridaddetodoslosarchivoscríticos,asícomotambién,cualquier
otroarchivopersonalizado.Sepuedeomitirestepasosisetratadeunainstalaciónnuevaenlaquese
instalaunservidorprincipalporprimeravez.
Realizacióndeunacopiadeseguridaddelservidorprincipal
Existenmúltiplesopcionespararealizarunacopiadeseguridaddelservidorprincipal.Esimportanterealizar
unacopiadeseguridaddelservidorprincipal,serecomiendaunmétodoconableparaesten.
Muchasempresastienenunapolíticaderealizarcopiasdeseguridaddelosservidoresenunsoporte
externoespecíco,comounaunidaddecinta,DVDoinclusounidadesexternas.Sisuempresatieneuna
políticadecopiasdeseguridad,estapolíticadebeimplementarseantesdeactualizarelservidorprincipal.
RealizacióndeunacopiadeseguridaddelservidorprincipalconImageW.exeyPhylock
Sepuedecrearcopiasdeseguridaddelservidorprincipalolasparticionesmediantelaherramientade
creacióndeimágenesdeLANDesk,ImageW.exe.Sedebecrearunacopiadeseguridaddelaunidaddel
sistemaylaunidadenlaqueseinstalaelservidorprincipal,sisondistintas.Paraobtenerinformaciónsobre
larealizacióndecopiasdeseguridaddelservidorprincipalconImageW.exe,consulteManuallyCapturingan
ImagewithImageW.exeenelsiguientesitioweb:
http://community.landesk.com/support/docs/DOC-2330
Realizarcopiadeseguridaddelabasededatos
Esimportantecrearunacopiadeseguridaddelabasededatos.Estedocumentonoincluyelospasos
pararealizarunacopiadeseguridaddelabasededatosenelservidordebasededatos.Trabajeconel
administradordelabasededatosparacrearunacopiadeseguridaddesubasededatos.
Importante:Essumamenteimportantecrearcopiasdeseguridaddelabasededatos.Existenmuchas
razonesporlasquepuedefallarlaactualizacióndeunabasededatos.Siseactualizaexitosamenteel
servidorprincipal,peronolabasededatos,entoncessinunabasededatosderespaldo,esposibleque
debainiciarconunabasededatosnuevayperderlosdatos.Sitieneunacopiadeseguridaddelabase
dedatosysepuederestaurar,sepuedesolucionarelproblemadeactualización,entoncessepuede
actualizarlabasededatosparamantenersusdatos.
Realizacióndeunacopiadeseguridaddearchivoscríticosdelservidorprincipal
Aunquetengamosunacopiadeseguridadcompletadelservidorprincipalylabasededatos,serecomienda
contarconcopiasdeseguridadaccesiblesdelosarchivoscríticos.Silaúnicacopiadeseguridadestáen
unaunidaddecinta,losarchivoscríticosnonecesariamentesonaccesiblessinrestaurarlacinta.Esmejor
contarconestosarchivosrespaldadosenunacomparticiónparanesdeaccesibilidad.
LANDeskhacreadounaherramientaparacrearcopiasdeseguridaddearchivoscríticosenuna
compartición.EstaherramientasellamaCoreDataMigration.exe.Lasversionesposterioresde
CoreDataMigration.exepuedencrearcopiasdeseguridaddearchivosquenoserespaldaronen
versionesanteriores.UnodelosarchivosdeinstalacióndeThinkManagementConsole9.0esun
CoreDataMigration.exeactualizadoyesposiblequeseamejorusarlaversión9.0enlugardelaversiónque
actualmenteestáenelservidorprincipal.LanuevaversióndeCoreDataMigration.exesepuedeencontraren
©CopyrightLenovo2010
41
elsoportedeinstalacióndeThinkManagementConsole9.0eneldirectorio\LANDesk\SetupFilesfolder.Si
tieneunservidorprincipalThinkManagementConsole9.0instalado,estearchivosepuedeencontrarenel
directorioC:\Archivosdeprograma\LANDesk\ManagementSuite\folder.
Serecomiendacrearunacopadeseguridaddelosarchivoscríticosenunacomparticiónseguraenun
servidorseparado.LossiguientespasosexplicancómousarCoreDataMigration.exe.
1.CreeunacarpetallamadaLANDeskBackupenunacomparticiónenunservidorseparadoqueno
seaelservidorprincipal.
2.AbraunindicadordemandatosenelservidorprincipalpulsandoInicioEjecutar,einiciando
CMD.EXE.
3.Enelindicadordemandatos,cambiealdirectorioManagementSuite.Deformapredeterminadael
directorioManagementSuiteseencuentraen%ProgramFiles%\LANDesk\ManagementSuite,peroesposible
quesehayainstaladoenotraubicación:cd%ProgramFiles%\LANDesk\ManagementSuite
4.Ejecuteelsiguientemandato:
coredatamigration.exeGATHER\\ServerName\Share\LANDeskBackup
Nota:LapalabraGATHERdebeestarcompletamenteenmayúscula,peroelrestogeneralmenteno
distingueentremayúsculasyminúsculas.
Realizacióndecopiadeseguridaddeotrosarchivosnecesarioseinformación-LANDeskManagement
SuiteparaprogramasdeThinkVantageTechnology
Existenmuchosotrosarchivoseinformaciónquepuedesernecesariorespaldarsiestáusando
lascapacidadescompletasdeLANDeskManagementSuiteparaThinkVantageTechnology.
CoreDataMigration.exedeLANDesknocreacopiasdeseguridaddetodo.Muchosdelosotrosarchivosson
archivossobrelosquesóloustedtieneconocimientoysóloustedpuedeserresponsableporasegurarsede
quecuentanconcopiasdeseguridad.Enlasecciónanterioryasecreóunacomparticiónyestacompartición
sepuedeusarparacrearcopiasdeseguridaddecualquierotrainformaciónoarchivonecesario.
Otrosarchivosnecesarios:
ManagementSuite\LANDesk\Vboot\LDVPE1.IMG
ManagementSuite\LANDesk\Files\DOSUNDI.1
ManagementSuite\LANDesk\Files\BOOTMENU.1
Archivosdeinstalacióndelpaquetededistribución,siestánalmacenadosenunacomparticiónde
paquetescreadaenelservidorprincipal
Eldirectoriodeparches,siestáalmacenadoenelservidorprincipal
\ldlogon\ldappl3.template,sisehanhechomodicacionesenél
\ldlogon\AgentWatcher\*.inilesf
Otrainformaciónnecesaria
Tambiénesposiblequeseanecesariocrearunacopiadeseguridaddeotrainformación.Estainformación
generalmenteincluyeelementosquenoestánalmacenadosenlabasededatos,sinoquesóloestán
almacenadosenelservidorprincipal.Esespecialmenteimportantecrearcopiasdeseguridaddeesta
informaciónsiserealizaunamigraciónladoaladoounanuevainstalacióndeservidorprincipalconuna
basededatosactualizada,debidoaqueenamboscasoselservidorprincipalseránuevoynotendrádicha
información.ExportelosusuariosygruposagregadosalgrupoLANDeskManagementSuiteenelservidor
principalaunarchivoycreeunacopiadeseguridaddelarchivocopiándoloypegándoloenlacompartición.
Elarchivosepuedecrearejecutandoestosmandatos:
netlocalgroup"LANDeskManagementSuite">"LANDeskGroups.txt"
netlocalgroup"LANDeskReports">>"LANDeskGroups.txt"
42GuíadedesplieguedeHardwarePasswordManager
Nota:Esposiblequenoaparezcanlosusuariosygruposdedominioalejecutarestosmandatossinose
puedeaccederalcontroladordedominioenelmomentoenqueseejecutaelmandato(porejemplo,sise
mueveelservidorprincipalaunentornodelaboratorioparaactualización).Almigraraunabasededatos
nueva,sepuedeexportarmuchoselementosdesdelabasededatosexistente,incluidoslossiguientes:
Queries
Paquetesdedistribución
Métodosdeentrega
Supervisióndelicenciasdesoftware
Vulnerabilidadespersonalizadas
Estadodeparche(losparquesqueestánconguradosenajusteautomático)
Simigraaunabasededatosnueva,muchoselementosnopuedenserexportados.Tomecapturesde
pantalladedichasconguracionesdeformaquesepuedanaplicaralnuevoservidorprincipal.Unejemplo
deellasincluye,entreotras:
ConguraciónRBAparalosusuariosdeLANDeskyelusuariodelaplantilla
Valoresdeservidorpreferido
Conguracionesdedescubrimientodedispositivosnoadministrados
Valoresdeservidorpreferido
ValoresbajoCongurarServicios
MenúarranquePXE
Valoresdeseguridadyparche
Documentecualquiercambiopersonalizadorealizadoensuentornooperativo.Muchasempresashan
realizadomodicacionesocambiospersonalizadosporrazonesespecícasasusentornosoperativos.
Sóloustedconocelamayoríadeestoscambios.
ApéndiceB.Recuperacióntrasdesastre43
44GuíadedesplieguedeHardwarePasswordManager
ApéndiceC.Sugerenciasyconsejos
LasiguienteesunalistadesugerenciasasociadasconHardwarePasswordManagerVersión1.0:
Síntoma:SeactivalamodalidadderecuperacióndeBitlockersiregistraunsistemaen
Hardware
PasswordManagerconelcifradodeBitlockerenuso.
Descripcióndelproblema:SielusuariohabilitaprimeroelcifradodeBitLockery,acontinuación,se
registraenHardwarePasswordManager,elhechodequelascontraseñasdelBIOSesténestablecidas
haráqueBitLockerdevuelvaunfalloparasucomprobacióndeintegridad(lascontraseñasdelBIOSse
validandentrodePCR1)yhacequeseinicielamodalidadderecuperacióndeBitLockerenelsiguiente
arranque.
Solución:Inscríbaseen
HardwarePasswordManagerantesdehabilitarelcifradodeBitlocker.
Síntoma:lossistemasdesregistradosfueradelíneaaúnaparecencomoregistradosenlaconsolade
ThinkManagement.
Descripcióndelproblema:cuandosedesregistraunsistemainhabilitandoHardwarePasswordManager
enlaconguracióndelBIOS,noseinformaalservidordeHardwarePasswordManagerqueelsistema
sehadesregistrado.Porlotanto,elservidorde
HardwarePasswordManagercontinuamostrandoel
sistemacomoregistrado.Sieladministradoractualizaunvalordepolíticaoenvíaunaacciónremotaal
sistemadesregistrado,elestadodelaacciónserápendientehastaqueelsistemasevuelvaaregistrar
en
HardwarePasswordManager.Acontinuación,lasaccionesremotasdelossistemassedejanenun
estadopendientedurantelargosperiodosdetiempo,unaindicacióndequeelsistemayanopuede
registrarsemásoquenosehaconectadoalaIntranetdurantemuchotiempo.
Nota:LosusuariosnopuedendesregistrarseenelBIOSanoserqueseanmiembrodelgrupoServicio
técnicooAdministrador(porqueelSVPesrequeridoysóloseliberaparausuariosdeServiciotécnicoy
Administrador).
Solución:sielusuariosevuelvearegistrarsedespuésdedesregistrarseenlaconguracióndelBIOS,
elservidorsevolveráasincronizarconelclienteyyamostraráelestadoderegistrocorrecto.Siel
administradorharetiradoelsistemayyanoesperaqueseregistre,podrásuprimirelsistemadelservidor
de
HardwarePasswordManager.
Síntoma:siunusuariomueveundiscodurodeunsistemaregistradode
HardwarePasswordManagera
otro,eliniciodesesióndelusuarionofuncionaráyaqueelnuevosistemanoconocelacontraseñadel
discoduro.
Descripcióndelproblema:nopuedencompartirsediscosdurosconcontraseñasentresistemas
registrados.Lascontraseñasdediscodurosemanejancomosemuestraacontinuación:
1.Paraconseguircoherenciaentreescritorioydispositivosmóviles,todaslasHDPseránlasmismas
dentrodeunsistemadeterminado(inclusoaunquelasBIOSdedispositivosmóvilespuedensoportar
variasHDPdistintasdentrodeunsistema).
2.LasHDPsondistintasparacadasistema(anoserqueseestablezcaunHDPmedianteunapolítica).
3.Suponiendoquelospasos1y2seanciertos,esimposiblecompartirunHDDendistintossistemas
registrados(yaquesesuponequelaHDPescomúnentretodaslasunidadesenunsistemaAy
cuandosemuevealsistemaB,laHDPalmacenadaesdistinta).
Solución:sololossistemaspuedencompartirseentreusuariosatravésdelaconsolaadministrativa(no
HDD).Porlotanto,sielusuariodeseacompartirunaunidadentre2omássistemas,larecomendación
seráeliminarlaHDPendichaunidad(manualmentemediantelaconguracióndelBIOS)oeliminarla
unidadcuandoseregistrainicialmentedemaneraqueunaHDPnoestéestablecidaparadichaunidad.
Síntoma:lainstalacióndelclientedeHPMfalla.
Descripcióndelproblema:cuandoseinstalaelclientedeHPM,lainstalaciónfallaconunmensajede
LTAPI.DLLnoencontradosielcortafuegosdesoftwareestáactivo.
©CopyrightLenovo2010
45
Solución:talcomosedocumentaenlapublicaciónLANDeskInstallationGuide,inhabilitelaprotección
delantivirusydelcortafuegosdurantelainstalacióndelagentedelcliente.
Síntoma:cuandolapolíticadeWindowsNorequerirCTRL+ALT+SUPRestáinhabilitada,eliniciode
sesiónúnicodeHardwarePasswordManagerenWindowsnofuncionará;elusuariodeberáespecicar
suscredencialesdeWindows.
Descripcióndelproblema:eliniciodesesiónúnicodeWindowsnofuncionarásielvalordelapolítica
deWindowsparaqueelusuariopulseCtrl+Alt+Suprparainiciarlasesiónestáhabilitado.Estevalor
deseguridaddeterminasipulsarCTRL+ALT+SUPResobligatorioantesdequeunusuariopueda
iniciarlasesión.Cuandoestapolíticaestáhabilitadaenunsistema,unusuarionotienequepulsa
CTRL+ALT+SUPRparainiciarlasesión.Siestapolíticaestáinhabilitada,cualquierusuariopuedepulsar
CTRL+ALT+SUPRantesdeiniciarlasesiónenWindows(anoserqueesténutilizandounatarjeta
inteligenteparaeliniciodesesiónenWindows)
ElvalorpredeterminadoensistemasendominiosesInhabilitado.Elvalorpredeterminadoensistemas
independientesesHabilitado.
Solución:habilitelapolíticadeWindowsNorequerirCTRL+AL T+SUPR.
Síntoma:Recibemensajesdelantivirusdurantelainstalacióndelcliente.
Descripcióndelproblema:elagentedelclientedebeinstalarseconelantivirusyloscortafuegos
inhabilitados.Despuésdelainstalación,podrávolverlosahabilitar.Estoestádocumentadoenla
publicaciónLANDeskUser'sGuidecomounrequisitodelainstalación.
Solución:Inhabilitelaproteccióndelantivirusydelcortafuegosdurantelainstalacióndelagentede
cliente.
Síntoma:todaslascontraseñasdediscodurosonlasmismas(HDP)dentrodeunsistemaregistrado
de
HardwarePasswordManager.Sinembargo,lascontraseñasserándistintasentrelossistemas
dondelapolíticaestéestablecidademaneraqueelservidordeHardwarePasswordManagergenere
lascontraseñas(porejemplo,HDPnocomunes).
Descripcióndelproblema:ElservidordeHardwarePasswordManagergenerarálasmismasHDPpara
todoslosdiscosdurosconectadosaunamáquinaduranteelregistro(paracumplirconlasfunciones
delBIOSdelescritorio).
Nota:LasMHDPyUHDPpuedendiferirparaunaunidad,perotodaslasMHDPseránlasmismasytodas
lasUHDPseránlasmismasentredistintasunidadesdentrodeunsistema.
Solución:Ninguna
Síntoma:cuandosecambialacontraseñadeWindowsaunacontraseñaenblancodespuésderegistrarla
en
HardwarePasswordManager,laaplicaciónclientenoconsideraqueelusuarioestáregistradoy
solicitaqueelusuariosevuelvaainscribir.
Descripcióndelproblema:Lascontraseñasenblancocausanproblemasenelsistemaoperativo
WindowsVistadebidoalimitacionesconlaimplementacióndeCAPIenestesistemaoperativo.Cuando
seproduceesteproblema,inclusosielusuariointentacambiarlacontraseñaaunvalornoenblanco,la
situaciónnoseresuelveautomáticamente(elusuarioaúnrecibiránoticacionesparaqueseinscriba).El
usuariodebedesregistrarse(mediantelaconguracióndeBIOS)yvolveraregistrarse.
Solución:EstablezcalapolíticadeWindowsparaqueNOpermitacontraseñasdeWindowsenblanco.
SiexisteundeseormedepermitircontraseñasdeWindowsenblanco,VistaSP2incluyeunarreglo
queresuelveesteproblema.
Síntoma:Unusuariopuederealizaruniniciodesesiónenintranetyseleccionardesregistrar(eliminarlas
contraseñasdehardware)unsistemaenelquenoesténinscritos.
Descripcióndelproblema:Cuandounsistemaseregistramedianteelprocesoderegistrodeuntoque
(sólosecreaunacuentadeadministracióndeemergencia),elusuariopuederealizaruniniciode
sesiónenintranetyverlaopciónDesregistrarPC.Idealmente,estaopciónnoestarávisibledeforma
predeterminadayaquepermitequeunPCseguroseadesregistradoantesdequecualquierusuario
seinscriba.
46GuíadedesplieguedeHardwarePasswordManager
Solución:EladministradorpuedeinhabilitarDesregistrarPCdelmenúdelBIOScomovalordepolíticaen
laconsoladeadministración.HacerloimpediráqueelusuariovealaopciónDesregistrarPC.
Síntoma:CuandolapolíticadictaquelascredencialesdecuentadehardwareydeWindowsse
mantengansincronizadas,laaplicaciónclientenodetectauncambioenlacontraseñadelalmacén
medianteelmenúdeiniciodesesiónenintranet.
Descripcióndelproblema:ClientPortalnopuedeactualizarlacontraseñadeWindowsdebidoacambios
enlacontraseñadelalmacén.EstosedebeaqueClientPortalnopuedesupervisardeformaprecisao
seguraloscambiosenlacontraseñadelalmacéndespuésdeliniciodeWindows(porejemplo,elcliente
sólopuedesabersisehaproducidouncambioenlacontraseña,peronoelcambioensí).
Nota:SielusuariocambiasucontraseñadeWindows,laaplicaciónclienteindicaráalusuarioque
cambielacontraseñadelalmacénensupróximoiniciodesesióndeWindows.
Solución:LosadministradorespuedenimpedirestosiinhabilitanlapolíticaCambiarcuentadehardware
(valordelmenúdelBIOS).
Síntoma:recibeelmensajedeerrorNohasidoposiblegenerarlaclavedecifradoduranteelregistrode
HardwarePasswordManager.
Descripcióndelproblema:losusuariosconunnombredeusuariodeWindowsquecontengacualquiera
deloscaracteres!@#$*()recibiránunmensajedeerroralintentarregistrarse.
Solución:Cambiesunombredeusuarioparaqueexcluyaloscaracteresespecialesmostrados
anteriormente.
Síntoma:ElasistentederegistrodeHardwarePasswordManagernosolicitaestablecerunacontraseña
deWindowssiestáenblanco.
Descripcióndelproblema:PuestoqueHardwarePasswordManagerrequiereunacontraseñade
Windowsparapoderregistrarse,seesperaqueelclientedeHardwarePasswordManagersolicite
establecerunacontraseñadeWindowssinosehaestablecidoninguna.Ensulugar,elclientedeHPM
nopermitequeelusuariopulseSiguientesisucontraseñadeWindowsestáenblanco.
Solución:ElusuariodebetenerunacontraseñadeWindowsestablecidaantesderegistrarseen
HardwarePasswordManager.
Síntoma:LainstalacióndeSGEoSGNfallasielclientedeHardwarePasswordManagerestáinstalado.
Descripcióndelproblema:SiestáinstalandoSGNoSGEenWindowsXPcuandoseinstalaelclientede
HardwarePasswordManager,apareceráunerrorqueindicaqueLenovoGINAestáactivoyfallarála
instalación.
Solución:DesinstaleelclientedeHardwarePasswordManager,reinicieelsistema,instaleSGEoSGN,
reiniciedenuevoyvuelvaainstalarelcliente.
Síntoma:cuandoseespecicalaversióndelBIOSenlalistadeexclusióndeversionesdelBIOSdel
sistemaThinkCentre,nopuedeescribirseelúltimocarácterdelaversióndelBIOSenelrecuadrode
textodelaconsoladeadministración.
Descripcióndelproblema:elproblemasedebeaqueelservidorde
HardwarePasswordManager
soportaunmáximode8caracteresparalaversióndelBIOS.LossistemasThinkCentretienenunaversión
deBIOScon9.Estonosuelesuponerunproblemayaquenoesnecesarioutilizarcoincidenciasexactas
(losprimeros8caracterescoincidenindependientementedelnoveno).
Solución:Ninguna
Síntoma:SeharecibidoelmensajedeerrorFaltaPSI.DLL.
Descripcióndeproblema:ElmensajedeerrorFaltaPSI.DLLaparecesinosehainstaladocorrectamente
elagentedelcliente.
Solución:Desinstaleelagentedelcliente,reinicieelsistemayvuelvaainstalarelagentedelcliente.
CompruebequeelrecuadrodeHardwarePasswordManagerestáseleccionadoalinstalarelagentedel
clientesideseautilizar
HardwarePasswordManagerendichosistema).
ApéndiceC.Sugerenciasyconsejos47
Síntoma:PuedecreardoscuentasdehardwareasociadasaunacuentadeWindows.
Descripcióndelproblema:Esteproblemaseproducecuandoserestauraunsistemautilizandounacopia
deseguridadtomadaantesderegistrarseenHardwarePasswordManager.Cuandoseinscribeen
HardwarePasswordManager,lascredencialesdeWindowsdelusuariosealmacenandeformasegura
dentrodelalmacéndeclaveCAPIdeWindows.Esmás,semantienelaasociaciónentrelascredenciales
deWindowsylacuentadelaintranet.
Cuandoserestauraunsistemaaunpuntoanterioralainscripcióndelusuarioen
HardwarePassword
Manager,esposiblequesepierdaelalmacéndeclavesCAPI(yaquesealmacenaenelregistrode
Windows),locualquieredecirquelascredencialesyasociacionesdeWindowsconlacuentadela
intranetsepierdeninclusosielsistemaestaregistrado.Enestecaso,laaplicaciónclientecontinuará
solicitándolequeseinscriba(silapolíticaleindicaquelohaga).Esmás,siintentainscribirseyespecica
lamismacuentadeintranetqueutilizóantesparainscribirse,laaplicaciónclientefallaráindicandoque
yaestáinscrito.Siibaainscribirsedenuevoutilizandounacuentadeintranetdistinta,laaplicación
clientepermitiráquenalicelainscripción,ahoratendrádoscuentasdehardwareasociadasconla
mismacuentadeWindows(norecomendado).
Solución:Paraimpediresteproblema,compruebequelacopiadeseguridadsehagaunavezseha
registradoelsistemaen
HardwarePasswordManager(cuandoseutilizaRescueandRecoveryocualquier
otraherramientadecopiadeseguridadquerealizaunacopiadeseguridaddedisco,porejemplo.
Siyaharestauradoelsistema(porejemplo,sihaperdidoelalmacéndeclavesCAPI),desregístresey
vuelvaaregistrarseen
HardwarePasswordManager.
Síntoma:cuandoseregistraenHardwarePasswordManager,sisepierdelaconectividaddered
durantelaoperacióndesuspensión/reanudaciónyelusuariocierralasesiónantesdequesereinicie
laconectividaddered,laaplicaciónclientecompletaráelprocesoderegistrodemaneranormal.Sin
embargo,elservidordeHardwarePasswordManagermuestraqueelPCnohapodidoregistrarse.
Descripcióndelproblema:elproblemaseproduceporquelaaplicaciónclientenohapodidoinformarde
lanalizaciónsatisfactoriadelregistroenelservidordeHardwarePasswordManager.
Solución:Desregístreseyvuelvaaregistrarseen
HardwarePasswordManager.
Síntoma:UndispositivoquehasidoregistradoconHardwarePasswordManager,loquesignicaquese
haestablecidocontraseñasdehardware,seeliminadelavistadedispositivosdeHardwarePassword
ManagerenSistemas.
Descripcióndelproblema:Enestecasoeldispositivoaúnpuedeiniciarsesiónmediantelacuentade
hardwarequesecrduranteelregistro.Sinembargo,eldispositivonosepuedeadministraroregistrar
nuevamenteconHPMhastaqueseborrenlascontraseñasdehardware.Solución:Enlaconsola,en
VistaderedDispositivosdeHardwarePasswordManagerVistadesistemas,pulseelbotón
derechodelratónSistemasypulseVertodos.Semostraránlossistemasqueseeliminaronpreviamente
delaconsola.Obtengalascontraseñasdehardwareolacontraseñadeadministracióndeemergencia
paraeldispositivoencuestiónyuseestascredencialesparainiciarelsistemaenBIOSSetupUtility.
SeleccioneSecurityyluegoseleccionePassword.DeshabiliteHardwarePasswordManager.Esto
borrarátodaslascontraseñasdehardware.InmediatamentehabiliteHardwarePasswordManagery
pulseF10paraguardarysalir.CuandoWindowscarguenuevamente,elportaldeclientesHardware
PasswordManagersolicitaráquevuelvaaregistrareldispositivoautomáticamentesiestapolíticaestá
determinada.Ahorasepuedevolveraregistrareldispositivosiserequiere.
Síntoma:SerecibeelmensajeLacuentadehardwarenoexistealactualizarlacontraseñadeWindows.
Descripcióndelproblema:esteproblemaseproduceenlassiguientescondiciones:
1.LapolíticadelservidorestáestablecidaennosincronizarlascuentasdeWindowsydehardware.
2.Elusuarioseregistraconunnombredecuentadeusuarioqueesdistintodelnombredeusuariode
Windows.
3.EladministradordeITcambialapolíticadelservidorparaforzarquesesincronicenlascuentas
deWindowsydehardware.
4.ElusuariocambiaposteriormentesucontraseñadeWindows.
48GuíadedesplieguedeHardwarePasswordManager
5.LasiguientevezqueelusuarioinicielasesiónenWindows,laaplicaciónclientenoticaalusuario
quesucuentadehardwarenecesitaactualizarseparareejarsunuevacontraseñadeWindows.
6.SesolicitaqueelusuarioespeciquesuscredencialesdelaIntranetparaautenticarseconActive
Directoryantesdeactualizarlacuentadehardware.
7.Laaplicaciónclientemuestraunmensajequeindicaquelacuentadehardwarenoexiste.Estose
debeaqueelnombredeusuariodelusuariodeWindowsnocoincideconelnombredecuentade
hardware(seesperaquecoincidadependiendodelvaloractualdelapolítica).
Solución:Siseproduceesteproblema,larecomendaciónesdesregistrarseyvolveraregistrarseen
HardwarePasswordManager.
Paraimpediresteproblema,eladministradordeITdebedecidirelvalordelapolíticadeseadopara
sincronizarcredencialesdecuentasdeWindowseintranetyhacerlopermanente(nocambiarlounavez
sehanregistradolosusuarios).
Síntoma:NohayinformaciónenlosarchivosdeayudasobreelalcancedelsoporteinalámbricoenBIOS.
Descripcióndelproblema:HardwarePasswordManagerSoportatodaslasfuncionesmediante
conexionesinalámbricas,comoelregistro,renovacióndelalmacén,restauracióndelalmacényla
ejecucióndeaccionesremotas.Sinembargo,elBIOSnosoportalasconexionesderedinalámbricas.
Porlotanto,elsistemadebetenerunaconexiónporcablederedparaquecualquierfuncióndelBIOS
quenecesiteunaconexióndered,comouniniciodesesiónenlaintranet(sólonecesariosielusuarioha
olvidadosuscredencialesdeiniciodesesión).
Solución:elusuariodebeutilizarunaconexiónderedporcablearealizaruniniciodesesiónenla
intranetdelBIOS.
Síntoma:SerecibeunmensajeSehaespecicadounnombredeusuarioocontraseñaincorrecto
cuandoelnombredeusuariodeintranety/ocontraseñasoncorrectosyqueesmayorde63caracteres
delongitud.
Descripcióndelproblema:ElBIOSpermitequeseespeciqueunnombredeusuarioycontraseñade64
bytes(incluyendolaterminaciónnula)alrealizaruniniciodesesiónenlaintranet(63caracterespara
elnombredeusuarioylacontraseña,porejemplo).Porlotanto,laaplicaciónclientedebecumplirlas
mismasrestriccionespormotivosdecoherencia.
Solución:DenalapolíticadeActiveDirectoryparalimitarlosnombresdeusuariosycontraseñasdela
intranetaunalongitudmáximade63caracteres.
Síntoma:Laaplicaciónclientede
HardwarePasswordManagerpermiteinscribirseinclusosiyase
hainscrito.
Descripcióndelproblema:siunusuariodeldominioestáconguradoconunadireccióndeservidorDNS
incorporadaenelcódigo(nodetectadaautomáticamente)ylapolíticadeHardwarePasswordManager
estáestablecidaparaqueWindowsyelIniciodesesióndeusuarioesténsincronizados,esposiblequela
aplicaciónclientede
HardwarePasswordManagernoreconozcaqueelusuarioyasehainscritosila
contraseñadelacuentadedominiohasidocambiadaorestablecidaporelAdministrador.
Solución:Desregistreelsistema(mediantelaconguracióndelBIOSodelmenúdeiniciodesesiónenla
intranetenelBIOS)y,acontinuación,vuelvaaregistrarse.
Síntoma:despuésderestaurarunacopiadeseguridadrealizadaantesdeinstalarlaaplicacióncliente
deHardwarePasswordManagerelusuarionopodrávolveraregistrarseenelservidordeHardware
PasswordManagerelusuariorecibiráunmensajeindicandolaexistenciadeunerrorinterno.
Descripcióndelproblema:sielusuarioseharegistradoenHardwarePasswordManagery,a
continuación,restaurautilizandounacopiadeseguridadenlaquelaaplicaciónclientedeHardware
PasswordManagernoestabainstalada,elsistemaquedaráenunestadoenelBIOSpensaráque
elsistemaestáregistrado(elalmacénseguroestáasignadoylascontraseñasdehardwareestán
establecidas),perolaaplicaciónclienteyanoestáinstalada.
Solución:Desregistreelsistema(mediantelaconguracióndelBIOSodelmenúdeiniciodesesiónenla
intranetenelBIOS)y,acontinuación,vuelvaaregistrarse.
ApéndiceC.Sugerenciasyconsejos49
Symptom:FalloeneliniciodesesióndeHardwarePasswordManagerutilizandounservidordeNovell
(LDAP).Estopuedeproducirsesiemprequesesolicitelaautenticacióndelacuentadeintranet,comoel
registro,renovaciónoiniciodesesiónenlaintranetenelindicadordelBIOS.
Descripcióndelproblema:Noesposibleiniciarlasesiónutilizandocaracteresespecialescomo=(signo
igual)y.(punto).Estopuedeproducirseencualquieradelassiguientessituaciones:
Silasrestriccionesdeopciones/conexiones/enlacesLDAPestánestablecidosenNingunoyelformato
denombredeusuarioesuser1.novell
Silasrestriccionesdeopciones/conexiones/enlacedeLDAPestánestablecidasenInhabilitarenlace
simpleanónimoyelformatodelnombredeusuarioescn=user1,o=novell
Solución:-N/D
50GuíadedesplieguedeHardwarePasswordManager
ApéndiceD.Avisos
PuedequeenotrospaísesLenovonoofrezcalosproductos,serviciosocaracterísticasquesedescriben
enestainformación.ConsulteconelrepresentantelocaldeLenovoparaobtenerinformaciónsobre
losproductosyserviciosactualmentedisponiblesensuárea.Lasreferenciasaprogramas,productos
oserviciosdeLenovonopretendenestablecerniimplicarquesólopuedanutilizarselosproductos,
programasoserviciosdeLenovo.Ensulugar,sepuedeutilizarcualquierproducto,programaoservicio
funcionalmenteequivalentequenoinfrinjalosderechosdepropiedadintelectualdeLenovo.Sinembargo,
esresponsabilidaddelusuarioevaluaryvericarelfuncionamientodecualquierotroproducto,programa
oservicio.
Lenovopuedetenerpatentesosolicitudesdepatentependientesquetrateneltemadescritoeneste
documento.Laposesióndeestedocumentonoleconereningunalicenciasobredichaspatentes.Puede
enviarconsultassobrelicencias,porescrito,a:
Lenovo(UnitedStates),Inc.
1009ThinkPlace-BuildingOne
Morrisville,NC27560
U.S.A.
Attention:LenovoDirectorofLicensing
LENOVOPROPORCIONAESTAPUBLICACIÓN“TALCUALSINNINGÚNTIPODEGARANTÍA,EXPLÍCITA
NIIMPLÍCITA,INCLUYENDOPERONOLIMITÁNDOSEA,LASGARANTÍASIMPLÍCITASDENO
VULNERACIÓN,COMERCIALIZACIÓNOIDONEIDADPARAUNPROPÓSITODETERMINADO.Algunas
jurisdiccionesnopermitenlarenunciaagarantíasexplícitasoimplícitasendeterminadastransaccionesy,
porlotanto,estadeclaraciónpuedequenoseapliqueensucaso.
Estainformaciónpuedeincluirimprecisionestécnicasoerrorestipográcos.Lainformaciónincluidaeneste
documentoestásujetaacambiosperiódicos;estoscambiosseincorporaránennuevasedicionesdela
publicación.Lenovopuederealizarencualquiermomentomejorasy/ocambiosenel(los)producto(s)y/o
programa(s)descrito(s)enestainformaciónsinprevioaviso.
Losproductosquesedescribenenestedocumentonosehandiseñadoparaserutilizadosenaplicaciones
deimplantaciónoenotrasaplicacionesdesoportedirectoenlasqueunaanomalíapuedeserlacausade
lesionescorporalesopuedeprovocarlamuerte.Lainformacióncontenidaenestedocumentonoafectani
modicalasespecicacionesogarantíasdelosproductosdeLenovo.Estedocumentonopuedeutilizarse
comolicenciaexplícitaoimplícitanicomoindemnizaciónbajolosderechosdepropiedadintelectualde
Lenovoodeterceros.Todalainformacióncontenidaenestedocumentosehaobtenidoenentornos
especícosysepresentacomoejemplo.Elresultadoobtenidoenotrosentornosoperativospuedevariar.
Lenovopuedeutilizarodistribuirlainformaciónqueseleproporcionaenlaformaqueconsidereadecuada,
sinincurrirporelloenningunaobligaciónparaconelremitente.
LasreferenciascontenidasenestapublicaciónasitioswebquenoseandeLenovosóloseproporcionan
porcomodidadyenningúnmodoconstituyenunaaprobacióndedichossitiosweb.Losmaterialesde
dichossitioswebnoformanpartedelosmaterialesparaesteproductodeLenovoyelusodedichossitios
webcorreacuentayriesgodelusuario.
Cualquierdatoderendimientocontenidoenestadocumentaciónsehadeterminadoparaunentorno
controlado.Porlotanto,elresultadoenotrossistemasoperativospuedevariardeformasignicativa.
Algunasmedidassehanrealizadoensistemasenelámbitodedesarrolloynosegarantizaqueestas
medidasseanlasmismasenlossistemasdisponiblesgeneralmente.Asimismo,algunasmedidassepueden
©CopyrightLenovo2010
51
habercalculadoporextrapolación.Losresultadosrealespuedenvariar.Losusuariosdeestedocumento
debenvericarlosdatosaplicablesparasuentornoespecíco.
Marcasregistradas
LostérminosquesiguensonmarcasregistradasdeLenovoenlosEstadosUnidosy/oenotrospaíses:
AccessConnections
Lenovo
ThinkVantage
ThinkPad
LostérminossiguientessonmarcasregistradasdeInternationalBusinessMachinesCorporationenEstados
Unidosy/oenotrospaíses:
IBM
Lotus
LotusNotes
IntelesunamarcaregistradadeIntelCorporationenEE.UU.y/oenotrospaíses.
MicrosoftyWindows2000,WindowsXPyWindowsVistasonmarcasregistradasdeMicrosoftCorporation
enEstadosUnidosoenotrospaíses.
Otrosnombresdeempresas,productososerviciospuedensermarcasregistradasodeserviciodeotros.
52GuíadedesplieguedeHardwarePasswordManager
Númerodepieza:
PrintedinUSA
(1P)P/N:
**
  • Page 1 1
  • Page 2 2
  • Page 3 3
  • Page 4 4
  • Page 5 5
  • Page 6 6
  • Page 7 7
  • Page 8 8
  • Page 9 9
  • Page 10 10
  • Page 11 11
  • Page 12 12
  • Page 13 13
  • Page 14 14
  • Page 15 15
  • Page 16 16
  • Page 17 17
  • Page 18 18
  • Page 19 19
  • Page 20 20
  • Page 21 21
  • Page 22 22
  • Page 23 23
  • Page 24 24
  • Page 25 25
  • Page 26 26
  • Page 27 27
  • Page 28 28
  • Page 29 29
  • Page 30 30
  • Page 31 31
  • Page 32 32
  • Page 33 33
  • Page 34 34
  • Page 35 35
  • Page 36 36
  • Page 37 37
  • Page 38 38
  • Page 39 39
  • Page 40 40
  • Page 41 41
  • Page 42 42
  • Page 43 43
  • Page 44 44
  • Page 45 45
  • Page 46 46
  • Page 47 47
  • Page 48 48
  • Page 49 49
  • Page 50 50
  • Page 51 51
  • Page 52 52
  • Page 53 53
  • Page 54 54
  • Page 55 55
  • Page 56 56
  • Page 57 57
  • Page 58 58
  • Page 59 59
  • Page 60 60
  • Page 61 61
  • Page 62 62