Latch for Windows Enterprise Edition

Anuncio
ElevenPaths, innovación radical y
disruptiva en seguridad
Guía de instalación y uso del plugin
“Latch for Windows Enterprise Edition”
para acceder a sistemas Microsoft Windows
Versión 4.1 – Enero 2015
ElevenPaths
[email protected]
elevenpaths.com
Guía de instalación y uso del plugin “Latch for Windows Enterprise Edition”
para acceder a sistemas Microsoft Windows
V.4.1 – Enero 2015
CONTENIDO
1 Obtención del plugin “Latch”....................................................................................... 3
1.1 Requisitos previos..................................................................................................................... 3
1.2 Obtención del identificador de la aplicación ............................................................................ 3
1.3 Descarga del plugin................................................................................................................... 7
2 Instalación del plugin .................................................................................................. 8
2.1 Configuraciones previas............................................................................................................ 8
2.2 Instalación del plugin por parte del administrador .................................................................. 8
2.2.1
Habilitar y configurar el plugin ................................................................................................... 9
2.2.2
Configuración de la web de pareado .......................................................................................... 9
2.2.3
Sincronización........................................................................................................................... 12
2.2.4
Desinstalación del plugin .......................................................................................................... 14
3 Uso del plugin “Latch” por el usuario .......................................................................... 15
3.1 Adición y pareado de un usuario en la aplicación “Latch para Windows” ............................. 15
3.1.1
Adición y pareado realizado por el usuario final ...................................................................... 15
3.1.2
Adición y pareado realizado por el administrador ................................................................... 17
3.2 Desparear un usuario ............................................................................................................. 18
4 Uso del plugin “Latch” por el administrador ............................................................... 20
5 Deshabilitación de emergencia ................................................................................... 21
6 Recursos .................................................................................................................... 22
2015 © Telefónica Digital Identity & Privacy, S.L.U. All Rights Reserved.
Página 2 de 23
Guía de instalación y uso del plugin “Latch for Windows Enterprise Edition”
para acceder a sistemas Microsoft Windows
V.4.1 – Enero 2015
1 Obtención del plugin “Latch”
Este manual está dirigido principalmente a administradores de sistemas familiarizados o
especializados en entornos Microsoft, por lo que se presuponen una serie de conocimientos previos
respecto al manejo de dichos entornos y a términos como “IIS”, “Políticas de grupo”, "Controladores
de dominio” o “Servicios” entre otros.
El plugin ha sido probado en sistemas operativos Microsoft Windows, tanto en las versiones de 32
como en las de 64 bits. Este plugin permite proteger el inicio de sesión de un usuario frente a un
dominio controlado por Microsoft Windows Server y no requiere instalación de software en los
equipos de los usuarios clientes.
El principal escenario que se presenta en este manual consiste básicamente en un equipo servidor
con roles de ADDS con el plugin Latch instalado, y un equipo cliente incluido en el dominio, en el que
un usuario final se pareará con Latch para así poder proteger su inicio de sesión.
Pasos a seguir para una correcta instalación y funcionamiento del plugin:
1.
2.
3.
4.
5.
Obtención del plugin.
Configuraciones previas.
Instalación del plugin en los controladores de dominio existentes.
Creación y configuración de la web de pareado.
Configuración de la sincronización entre varios controladores de dominio, (solo en caso de
que existan varios controladores de dominio).
6. Realización del pareado de los usuarios.
1.1 Requisitos previos


Sistema operativo Microsoft Windows Server 2003 R2, 2008, 2008 R2, 2012 o 2012 R2 (32 o
64 bits).
Versión 4 del .Net Framework. (En caso de no disponer de este framework el plugin lo
instalará, siendo posible que para esta instalación sean a su vez necesarias otras).
1.2 Obtención del identificador de la aplicación
Para obtener el “Application ID” y el “Secret”, fundamentales para integrar Latch en un servicio, es
necesario contar con una cuenta de usuario desarrollador en Latch: https://latch.elevenpaths.com.
Para ello, hay que situarse en la parte superior derecha de la pantalla y acceder a la sección “Área de
desarrolladores”.
Imagen 01: Situación del “Área de Desarrolladores” en la página de Latch.
2015 © Telefónica Digital Identity & Privacy, S.L.U. All Rights Reserved.
Página 3 de 23
Guía de instalación y uso del plugin “Latch for Windows Enterprise Edition”
para acceder a sistemas Microsoft Windows
V.4.1 – Enero 2015
Tras pulsar el botón “Registrarse como desarrollador”, se selecciona la pestaña “Crear una nueva
cuenta de desarrollador”, donde aparecerá un formulario que el usuario tendrá que rellenar para
realizar el registro como desarrollador.
Imagen 02: Formulario de alta de desarrollador.
Una vez completado, el desarrollador recibirá un correo electrónico en la dirección que ha indicado,
con un código para activar la cuenta recién creada.
Imagen 03: Formulario para insertar el código de activación enviado al usuario.
2015 © Telefónica Digital Identity & Privacy, S.L.U. All Rights Reserved.
Página 4 de 23
Guía de instalación y uso del plugin “Latch for Windows Enterprise Edition”
para acceder a sistemas Microsoft Windows
V.4.1 – Enero 2015
Activada la cuenta, el desarrollador ya está en disposición de crear aplicaciones con Latch y acceder
a la documentación para desarrolladores, incluyendo los SDKs y los plugins existentes.
Para ello el desarrollador debe iniciar sesión en la página web de Latch y acceder de nuevo a la
sección “Área de desarrolladores” (https://latch.elevenpaths.com/www/developerArea), desde
donde podrá observar sus aplicaciones, a través de la sección “Mis aplicaciones” del menú lateral.
Imagen 04: Sección “Mis aplicaciones” con las aplicaciones que haya configurado el usuario.
Desde el botón “Añadir una nueva aplicación”, el desarrollador creará una nueva aplicación, siendo
el nombre indicado, el que desea que aparezca en la aplicación móvil de los usuarios finales.
Imagen 05: Creación de una aplicación. El nombre indicado se mostrará en la aplicación móvil.
Al crear la aplicación, se muestra información acerca de la misma, siendo parte de ella editable. Los
datos fundamentales que el desarrollador deberá utilizar cuando instale el plugin son el “ID de
aplicación” y el “Secreto”. Además existen los siguientes parámetros adicionales que el desarrollador
podrá modificar en cualquier momento, y que establecen las características de su aplicación:

Nombre: Se corresponde con el nombre de la aplicación que verán los usuarios finales en sus
dispositivos cuando pareen el servicio. Ellos mismos podrán personalizarlo en su propio
dispositivo si así lo desean.
2015 © Telefónica Digital Identity & Privacy, S.L.U. All Rights Reserved.
Página 5 de 23
Guía de instalación y uso del plugin “Latch for Windows Enterprise Edition”
para acceder a sistemas Microsoft Windows
V.4.1 – Enero 2015

Imagen: Se corresponde con el icono de la aplicación que aparecerá en el dispositivo del usuario
final, su tamaño no debe superar 1MB. Se recomienda que esté en formato png de 24 bits sin
canal alfa, y que sus proporciones sean 1:1.

2º factor OTP (One-time password): Solo está disponible para desarrolladores con un modelo de
suscripción que no sea de tipo Community. Posibilita que el servicio esté protegido además por
una contraseña, que se le enviaría al usuario final en el momento en que quisiera acceder al
servicio. La configuración del OTP puede ser:
1. Deshabilitado: No aparecería la opción en el dispositivo móvil del usuario final.
2. Opcional: El usuario final podría elegir si desea utilizar esta opción para proteger el servicio.
3. Obligatorio: El usuario final recibiría una contraseña cada vez quisiera acceder al servicio.

Bloquear tras consultar: Solo está disponible para desarrolladores con un modelo de suscripción
que no sea de tipo Community. Posibilita que el servicio se bloquee automáticamente una vez
que se ha accedido al mismo. La configuración de esta opción puede ser:
1. Deshabilitado: No aparecería la opción en el dispositivo móvil del usuario final.
2. Opcional: El usuario final podría elegir si desea utilizar esta opción para proteger el servicio.
3. Obligatorio: El servicio se bloqueará automáticamente una vez que se hubiera accedido al
mismo. En este último caso, la opción “Programar bloqueo” desaparecería de la vista de
detalles del servicio.

Correo electrónico de contacto y teléfono de contacto: Estos datos se mostrarán en las
notificaciones que recibirán los usuarios cuando haya un intento de acceso fraudulento al
servicio o a alguna de sus operaciones.

Operaciones: Se corresponde con cada una de las acciones incluidas en el servicio pero
independientes entre sí, y que el desarrollador quiere proteger con Latch. La cantidad de
operaciones que se pueden incluir depende del modelo de suscripción elegido. En cada una de
las operaciones se puede utilizar un "2º factor OTP" (OTP) y un “Bloquear tras consultar” (LOR).
La creación de operaciones no es obligatoria y dependerá de la naturaleza del servicio que se
desea proteger.
Nota: Es recomendable crear 2 operaciones para este plugin, una correspondiente al acceso a la
aplicación (login en este caso) sin OTP, y otra correspondiente al despareo de la misma (unpair
en este caso) que sí soporta OTP. Esto va a hacer que el usuario final tenga un mayor control
sobre el uso de Latch en su cuenta, ya que por un lado protegerá el acceso a su sistema operativo
Windows que tenga pareado, y por otro impedirá que, si un usuario malintencionado consigue
sus credenciales de alguna forma, (cookies, robo de sesión, Hijacking…) no pueda quitar la
protección que proporciona Latch.
Una vez finalizada la configuración y guardados los cambios, la nueva aplicación aparecerá en el
listado de aplicaciones del desarrollador. Este podrá editarla en el momento que desee.
Imagen 06: Aplicación creada. Se puede editar de nuevo para cambiar las características indicadas anteriormente.
2015 © Telefónica Digital Identity & Privacy, S.L.U. All Rights Reserved.
Página 6 de 23
Guía de instalación y uso del plugin “Latch for Windows Enterprise Edition”
para acceder a sistemas Microsoft Windows
V.4.1 – Enero 2015
1.3 Descarga del plugin
Desde el menú lateral de la página para desarrolladores, el desarrollador podrá acceder a la sección
“Documentación y SDKs” y, dentro de este apartado, al de “Plugins y SDKs”. Aquí el desarrollador
puede observar los diversos enlaces a los SDKs de distintos lenguajes de programación, así como a
los plugins desarrollados hasta el momento.
Imagen 07: Ejemplo de SDKs y Plugins disponibles.
Desde la sección de “Plugins Premium” el desarrollador debe pulsar el botón “DESCARGAR”
correspondiente a este plugin para acceder al código fuente del mismo. Además podrá descargarse
un manual de instalación y uso del plugin.
Una vez realizada la suscripción para este plugin el desarrollador podrá descargarse la versión
correspondiente a su sistema operativo (32 o 64 bits).
2015 © Telefónica Digital Identity & Privacy, S.L.U. All Rights Reserved.
Página 7 de 23
Guía de instalación y uso del plugin “Latch for Windows Enterprise Edition”
para acceder a sistemas Microsoft Windows
V.4.1 – Enero 2015
2 Instalación del plugin
2.1 Configuraciones previas
Durante la ejecución de este plugin se aplican 2 políticas de dominio. Una es la que obliga a que el
usuario pueda iniciar sesión solo si el controlador de dominio está presente y es capaz de validar sus
credenciales. La otra se establece para que no almacene en caché la contraseña del usuario que
inicia sesión, para evitar un “login offline”.
Imagen 08: Configuración de las políticas.
Además si no se desea usar el administrador del dominio, debe crearse un usuario con permisos
suficientes como para modificar los valores de los registros en todos los controladores de dominio.
Este a su vez se utilizará para la configuración de la web de pareado, y será con el que se inicie el
servicio de sincronización de los valores de registros entre los controladores de dominio.
2.2 Instalación del plugin por parte del administrador
Una vez descargado el fichero zip con el ejecutable, el administrador deberá instalarlo tanto en el
controlador de dominio principal (Primary Domain Controller o PDC) como en los otros. Para ello
deberá seguir las instrucciones que se van indicando durante la instalación. Por defecto se instala en
la ruta: C:\Program Files\Eleven Paths\Latch for Windows, aunque el usuario puede modificarla
durante la instalación. En esta carpeta además de la aplicación estarán disponibles los elementos
necesarios para la creación de la web de pareado de los clientes y para la creación del servicio de
sincronización de registros.
Imagen 09: Contenido del plugin Latch tras la instalación.
2015 © Telefónica Digital Identity & Privacy, S.L.U. All Rights Reserved.
Página 8 de 23
Guía de instalación y uso del plugin “Latch for Windows Enterprise Edition”
para acceder a sistemas Microsoft Windows
V.4.1 – Enero 2015
Al finalizar dicha instalación, el plugin se ha añadido como una aplicación más del sistema operativo
con el nombre “Latch para Windows”.
Imagen 10: Acceso a la configuración del plugin.
2.2.1 Habilitar y configurar el plugin
Es fundamental activar el plugin marcando la casilla de verificación “Habilitado” situada en la parte
superior. Para configurar el plugin hay que pulsar el botón “Config. de Latch”. A continuación
aparecerá una ventana en la que habrá que indicar el “Application ID”, y el “Secret” generados
anteriormente. Además deberán incluirse en los apartados “ID op. login” e “ID op. despareado” los
identificadores de las operaciones “login” y “unpair” creadas, (véase imagen 05).
Imagen 11: Inclusión del Application ID, del Secret y de los id de las operaciones.
A continuación hay que reiniciar el sistema operativo para habilitar el plugin. Este reinicio puede
hacerse antes o después de finalizar toda la configuración del plugin, sin embargo siempre debe
realizarse después de modificar el estado de la casilla “Habilitado”.
2.2.2 Configuración de la web de pareado
Debido a que en los equipos de los clientes, estos no deben instalar nada, el administrador deberá
proporcionarles un sitio web donde puedan realizar el pareado. Este sitio web deberá estar alojado
en un servidor web, pudiendo ser un controlador de dominio o un servidor diferente. El contenido
de este sitio ya está incluido en el plugin de Latch, por lo tanto el administrador no tiene la
necesidad
de
desarrollarlo.
Concretamente
es
el
fichero
comprimido
2015 © Telefónica Digital Identity & Privacy, S.L.U. All Rights Reserved.
Página 9 de 23
Guía de instalación y uso del plugin “Latch for Windows Enterprise Edition”
para acceder a sistemas Microsoft Windows
V.4.1 – Enero 2015
LatchForWindowsLoginWebApp.zip, situado en la carpeta en la que se instaló el plugin (C:\Program
Files\Eleven Paths\Latch for Windows).
En caso de no tener servidor web, o no querer utilizarlo, sería el propio administrador el que tendría
que añadir y parear a los clientes de manera individual (véase Adición y pareado realizado por el
administrador).
Para configurar el sitio web, el administrador debe crear un nuevo sitio para incluir el contenido de
la web.
En este manual se va a mostrar cómo se realiza con un IIS, para ello deberá crear un sitio web con su
respectivo grupo de aplicación, (en este manual se han llamado ParearLatch y ParearLatchAppPool
respectivamente). Este grupo de aplicación debe usar la versión 4.0 de .NET CLR, y la identidad con
la que se ejecuta, debe ser la del usuario con privilegios para modificar los valores de los registros
remotos de los controladores de dominio, (tal y como se ha mencionado en el apartado
Configuraciones previas).
Imagen 12: Configuración del grupo de aplicación.
A
continuación
el
administrador
deberá
incluir
el
contenido
del
LatchForWindowsLoginWebApp.zip, en la raíz del nuevo sitio web creado: ParearLatch.
2015 © Telefónica Digital Identity & Privacy, S.L.U. All Rights Reserved.
fichero
Página 10 de 23
Guía de instalación y uso del plugin “Latch for Windows Enterprise Edition”
para acceder a sistemas Microsoft Windows
V.4.1 – Enero 2015
Imagen 13: Inclusión del sitio web proporcionado por el plugin.
En caso de que el servidor web esté alojado en un servidor diferente al del controlador de dominio,
el administrador deberá modificar el fichero Web.config incluido en el sitio web ParearLatch. Esta
modificación exige que se añada la dirección IP del PDC o su nombre en dicho fichero.
Imagen 14: Modficación del fichero Web.config.
2015 © Telefónica Digital Identity & Privacy, S.L.U. All Rights Reserved.
Página 11 de 23
Guía de instalación y uso del plugin “Latch for Windows Enterprise Edition”
para acceder a sistemas Microsoft Windows
V.4.1 – Enero 2015
2.2.3 Sincronización
Puede darse el caso de que la infraestructura de la empresa disponga de varios equipos
controladores de dominio. En este caso en el PDC se realizarán todos los cambios que luego se
replicarán en los otros equipos controladores de dominio. Además en cada uno de los controladores
de dominio utilizados deberá habilitarse el servicio de registro remoto.
El plugin de Latch deberá instalarse en todos los controladores de dominio, de tal forma que todos
puedan disponer de las librerías necesarias para la utilización del plugin. En los controladores de
dominio adicionales el plugin solo necesita ser habilitado, y en ellos no deberían modificarse los
valores de configuración de los clientes, ya que el PDC es el único que tratará y replicará dicha
información.
El plugin incluye un servicio de sincronización para que los cambios relacionados con Latch que se
realicen en el PDC (cambios en la web de pareado, nuevos usuarios pareados, agregar usuarios,
cambios de configuración, etcétera), se repliquen correctamente en los demás controladores de
dominio.
La sincronización se realizará partiendo desde el PDC, para ello deberá crease un servicio que apunte
al
fichero
LatchForWindowsLoginSync.exe
extraído
del
fichero
comprimido
LatchForWindowsLoginSync.zip, situado en la carpeta de instalación del plugin: C:\Program
Files\Eleven Paths\Latch for Windows.
Para la realización de esta guía se ha creado un servicio llamado LatchLogin a través de la consola:
sc create LatchLogin binPath= ”C:\Program Files\Eleven Paths\Latch for Windows
\LatchForWindowsLoginSync\LatchForWindowsLoginSync\LatchForWindowsLoginSync.exe”
start=”auto”
Imagen 15: Creación del servicio desde la consola.
Una vez creado este servicio, debe configurarse el usuario con privilegios que se creó para modificar
los valores en el registro de los controladores de dominio. De esta forma los cambios que se
produzcan tanto en la web de pareado como en el PDC se van a replicar en los otros controladores
de dominio. Esta replicación es unidireccional.
2015 © Telefónica Digital Identity & Privacy, S.L.U. All Rights Reserved.
Página 12 de 23
Guía de instalación y uso del plugin “Latch for Windows Enterprise Edition”
para acceder a sistemas Microsoft Windows
V.4.1 – Enero 2015
Imagen 16: Configuración del servicio LatchLogin.
Para configurar la sincronización debe abrirse la aplicación “Latch para Windows” y pulsar el botón
“Sincronización”. En la nueva ventana se añaden todos los controladores de dominio existentes.
Además se puede configurar la frecuencia con la que el PDC replicará en los demás controladores de
dominio.
Imagen 17: Configuración de la sincronización.
2015 © Telefónica Digital Identity & Privacy, S.L.U. All Rights Reserved.
Página 13 de 23
Guía de instalación y uso del plugin “Latch for Windows Enterprise Edition”
para acceder a sistemas Microsoft Windows
V.4.1 – Enero 2015
2.2.4 Desinstalación del plugin
La desinstalación se hace como un programa normal de Microsoft Windows, desde la sección
“Programas y características” del panel de control.
Pero para una completa desinstalación hay que eliminar los elementos creados anteriormente, es
decir el servicio, el sitio web y el usuario con privilegios para modificar los valores de los registros
remotos de los controladores de dominio. Además es necesario reiniciar el equipo. En caso de que
se vuelva a instalar más adelante se mantendrán los datos configurados anteriormente.
2015 © Telefónica Digital Identity & Privacy, S.L.U. All Rights Reserved.
Página 14 de 23
Guía de instalación y uso del plugin “Latch for Windows Enterprise Edition”
para acceder a sistemas Microsoft Windows
V.4.1 – Enero 2015
3 Uso del plugin “Latch” por el usuario
Latch no afecta en ningún caso y de ningún modo a la forma habitual de operar del servicio.
Únicamente permite o impide acciones, situándose como una capa de seguridad adicional e
independiente que, una vez eliminada o si quedase inhabilitada, no tendría ningún efecto sobre el
servicio, que volvería a su estado original.
3.1 Adición y pareado de un usuario en la aplicación “Latch para
Windows”
La adición de cuentas de usuarios que estén protegidos con Latch en un dominio, puede realizarla
tanto el administrador como el propio usuario. Esto último solo es posible si el administrador ha
configurado la página web de pareado tal y como se ha explicado en el apartado “Configuración de
la web de pareado”.
En todo caso hay que tener en cuenta que:

Independientemente de que exista o no la página web de acceso, el administrador siempre
puede añadir, quitar o modificar la configuración de las cuentas de los usuarios que estén
protegidas con Latch.

Los usuarios lo único que necesitan es tener la aplicación Latch instalada en el teléfono, y
serán ellos los que únicamente puedan generar el código de pareado.
3.1.1 Adición y pareado realizado por el usuario final
Paso 1: Simplemente, deberá acceder a la página web proporcionada por Latch y que configuró el
administrador.
Imagen 18: Pantalla donde un usuario deberá introducir el código de pareado generado por Latch.
Paso 2: Desde la aplicación Latch del dispositivo móvil deberá obtener el código de pareado, para
ello deberá pulsar el botón “Añadir nuevo servicio”, situado en la parte inferior de la aplicación (y
en la nueva pantalla que aparecerá, el botón “Generar nuevo código”.
Paso 3: A continuación debe introducir (antes de que expiren) los mismos caracteres mostrados
en el dispositivo móvil, en el sitio creado por el administrador para realizar el pareado con Latch y
pulsar el botón para confirmar el pareado. En el dispositivo móvil se recibirá una notificación
indicando que el servicio ya está pareado.
2015 © Telefónica Digital Identity & Privacy, S.L.U. All Rights Reserved.
Página 15 de 23
Guía de instalación y uso del plugin “Latch for Windows Enterprise Edition”
para acceder a sistemas Microsoft Windows
V.4.1 – Enero 2015
Imagen 19: Botón que genera el
código de pareado.
Imagen 20: Código de pareado
generado.
Imagen 21: Notificación recibida
tras el pareado.
Paso 4: Una vez pareado, el usuario final podrá acceder al listado de servicios que mantiene
pareados en Latch. Podrá comprobar que se ha añadido el recientemente pareado. A partir de
este momento el usuario será capaz de bloquear y desbloquear el acceso a estos servicios,
simplemente pulsando el botón junto al nombre de cada uno.
Imagen 22: Servicio desbloqueado.
Imagen 23: Servicio bloqueado.
Para realizar una prueba del funcionamiento, el usuario final deberá bloquear su servicio con Latch,
e intentar acceder de nuevo, introduciendo sus credenciales.
2015 © Telefónica Digital Identity & Privacy, S.L.U. All Rights Reserved.
Página 16 de 23
Guía de instalación y uso del plugin “Latch for Windows Enterprise Edition”
para acceder a sistemas Microsoft Windows
V.4.1 – Enero 2015
El resultado será que no podrá acceder aunque introduzca las credenciales correctas, y además
recibirá una notificación en el dispositivo móvil, indicando que se ha detectado un intento de acceso
al servicio. En esta notificación se incluyen el correo electrónico y el número de teléfono que el
desarrollador indicó (imagen 5).
Imagen 24: Acceso de un usuario.
Imagen 25: Notificación de un
intento de acceso no autorizado.
Imagen 26: Mensaje de error devuelto por Windows al estar el servicio bloqueado por Latch.
Tras desbloquear el servicio desde Latch e introducir de nuevo sus credenciales el usuario sí será
capaz de acceder.
3.1.2 Adición y pareado realizado por el administrador
El proceso es el mismo que el mostrado anteriormente. Lo único que cambia es que es el propio
administrador, desde la ventana de la aplicación “Latch para Windows”, el que añadirá a los usuarios
que quieran utilizar Latch.
El administrador simplemente indicará el nombre de la cuenta de usuario con el que este accede al
dominio, y le solicitará a dicho usuario el código de pareado, para introducirlo en la caja de texto
correspondiente. Tras pulsar los botones “Parear” y “Aceptar”, el usuario ya estará pareado (véase
“paso 2” y siguientes).
2015 © Telefónica Digital Identity & Privacy, S.L.U. All Rights Reserved.
Página 17 de 23
Guía de instalación y uso del plugin “Latch for Windows Enterprise Edition”
para acceder a sistemas Microsoft Windows
V.4.1 – Enero 2015
Imagen 27: Adición y pareado de un usuario por parte del administrador.
3.2 Desparear un usuario
El despareo puede realizarlo tanto el administrador como el propio usuario.
El administrador puede hacerlo desde la misma ventana desde la que realizó el pareado, pulsando el
botón “Desparear”, y a continuación “Aceptar”.
Imagen 28: Despareo de un usuario por parte del administrador.
2015 © Telefónica Digital Identity & Privacy, S.L.U. All Rights Reserved.
Página 18 de 23
Guía de instalación y uso del plugin “Latch for Windows Enterprise Edition”
para acceder a sistemas Microsoft Windows
V.4.1 – Enero 2015
El usuario final puede realizar el despareo desde la misma página web desde la que se pareó,
simplemente deberá pulsar el botón “Desparear”. Esta acción puede estar protegida con Latch, ya
que cuando se creó la aplicación se añadió una operación llamada “unpair” (véase imagen 05) para
impedir precisamente que un usuario malintencionado desparee al usuario legítimo .
Hay que indicar que el administrador siempre podrá desparear al usuario final desde la herramienta
de escritorio, independientemente de que este tenga o no la operación “unpair” bloqueada. Esta
operación solo bloquea la acción si se realiza desde la web.
En cualquiera de los dos casos el usuario recibirá una notificación indicando que el servicio ha sido
despareado, y por tanto ha perdido la protección adicional que Latch proporciona.
Imagen 29: Despareo de Latch.
2015 © Telefónica Digital Identity & Privacy, S.L.U. All Rights Reserved.
Imagen 30: Notificación de que el
servicio se ha despareado.
Página 19 de 23
Guía de instalación y uso del plugin “Latch for Windows Enterprise Edition”
para acceder a sistemas Microsoft Windows
V.4.1 – Enero 2015
4 Uso del plugin “Latch” por el administrador
El administrador podrá configurar los distintos comportamientos que tendrá la aplicación para cada
uno de los usuarios añadidos. Estos comportamientos dependen del estado que devuelva el servidor
de Latch, cuando se le haga una petición.
Los estados que puede devolver Latch son los siguientes:
-
Bloqueado: Define el comportamiento en caso de que el servidor de Latch indique que el
estado de la aplicación es bloqueado.
Desbloqueado: Define el comportamiento en caso de que el servidor de Latch indique que el
estado de la aplicación es desbloqueado.
Sin respuesta: Define el comportamiento en caso de que el servidor de Latch no responda.
Esto puede deberse a diversos motivos, como por ejemplo que no haya conexión a Internet.
Los comportamientos posibles en cada uno de los casos anteriores son:
-
Éxito: Permite el acceso.
Bloqueado: Bloquea el acceso.
Deshabilitado: Bloquea el acceso.
Contraseña incorrecta: Bloquea el acceso.
Imagen 31: Detalle de las opciones del usuario.
2015 © Telefónica Digital Identity & Privacy, S.L.U. All Rights Reserved.
Página 20 de 23
Guía de instalación y uso del plugin “Latch for Windows Enterprise Edition”
para acceder a sistemas Microsoft Windows
V.4.1 – Enero 2015
5 Deshabilitación de emergencia
Para impedir que se ejecute el plugin, es posible entrar en el sistema Windows en “Modo a prueba
de fallos”, con esta acción no se realiza la carga del plugin.
Otra posibilidad es acceder con un LiveCDse u otro método de arranque que no autentique frente al
dominio y renombrar el archivo LatchWindowsSubauthProvider.dll ubicado en la carpeta
C:\Windows\System32 de todos los controladores de dominio. Para volver a habilitar el plugin, solo
es necesario renombrar el fichero con su nombre original y reiniciar el equipo.
2015 © Telefónica Digital Identity & Privacy, S.L.U. All Rights Reserved.
Página 21 de 23
Guía de instalación y uso del plugin “Latch for Windows Enterprise Edition”
para acceder a sistemas Microsoft Windows
V.4.1 – Enero 2015
6 Recursos
Para información acerca de cómo utilizar la app Latch, y probar gratuitamente sus múltiples
características, puede consultarse la guía del usuario en español e inglés:
1. Guía del usuario de Latch con Nevele Bank.
2. Latch user´s guide for Nevele Bank.
Además puede encontrarse la siguiente documentación constantemente ampliada:

Manuales en español e inglés acerca de la integración y utilización de Latch con los plugins
disponibles, en la propia web de Latch y en el canal de Slideshare de ElevenPaths.

Vídeos subtitulados en español e inglés acerca de la integración y utilización de Latch con
los plugins disponibles en los canales de ElevenPaths en YouTube y Vimeo

Manuales acerca de la integración y utilización de Latch en las organizaciones que ya lo han
implantado (Movistar, Tuenti, UNIR, USAL, etcétera), en la propia web de Latch y en el canal
de Slideshare de ElevenPaths.

Información acerca de la API de Latch en la propia web de Latch.
2015 © Telefónica Digital Identity & Privacy, S.L.U. All Rights Reserved.
Página 22 de 23
Guía de instalación y uso del plugin “Latch for Windows Enterprise Edition”
para acceder a sistemas Microsoft Windows
V.4.1 – Enero 2015
PUBLICACIÓN:
Enero 2015
En ElevenPaths pensamos de forma diferente cuando hablamos
de seguridad. Liderados por Chema Alonso, somos un equipo de
expertos con inquietud para replantearnos la industria y gran
experiencia y conocimiento en el sector de la seguridad.
Dedicamos toda nuestra experiencia y esfuerzos en crear
productos innovadores para que la vida digital sea más segura
para todos.
La evolución de las amenazas de seguridad en la tecnología es
cada vez más rápida y constante. Por eso, desde junio de 2013,
nos hemos constituido como una start-up dentro de Telefónica
para trabajar de forma ágil y dinámica, y ser capaces de
transformar el concepto de seguridad anticipándonos a los
futuros problemas que afecten a nuestra identidad, privacidad y
disponibilidad online.
Con sede en Madrid, estamos presentes también en Londres,
EE.UU, Brasil, Argentina y Colombia.
TIENES ALGO QUE CONTARNOS, PUEDES HACERLO EN:
elevenpaths.com
Blog.elevenpaths.com
@ElevenPaths
Facebook.com/ElevenPaths
YouTube.com/ElevenPaths
La información contenida en el presente documento es propiedad de Telefónica Digital Identity & Privacy, S.L.U. (“TDI&P”) y/o de
cualquier otra entidad dentro del Grupo Telefónica o sus licenciantes. TDI&P y/o cualquier compañía del Grupo Telefónica o los
licenciantes de TDI&P se reservan todos los derechos de propiedad industrial e intelectual (incluida cualquier patente o copyright) que se
deriven o recaigan sobre este documento, incluidos los derechos de diseño, producción, reproducción, uso y venta del mismo, salvo en el
supuesto de que dichos derechos sean expresamente conferidos a terceros por escrito. La información contenida en el presente
documento podrá ser objeto de modificación en cualquier momento sin necesidad de previo aviso.
La información contenida en el presente documento no podrá ser ni parcial ni totalmente copiada, distribuida, adaptada o reproducida en
ningún soporte sin que medie el previo consentimiento por escrito por parte de TDI&P.
El presente documento tiene como único objetivo servir de soporte a su lector en el uso del producto o servicio descrito en el mismo. El
lector se compromete y queda obligado a usar la información contenida en el mismo para su propio uso y no para ningún otro.
TDI&P no será responsable de ninguna pérdida o daño que se derive del uso de la información contenida en el presente documento o de
cualquier error u omisión del documento o por el uso incorrecto del servicio o producto. El uso del producto o servicio descrito en el
presente documento se regulará de acuerdo con lo establecido en los términos y condiciones aceptados por el usuario del mismo para su
uso.
TDI&P y sus marcas (así como cualquier marca perteneciente al Grupo Telefónica) son marcas registradas. TDI&P y sus filiales se reservan
todo los derechos sobre las mismas.
2015 © Telefónica Digital Identity & Privacy, S.L.U. All Rights Reserved.
Página 23 de 23
Descargar