ElevenPaths, innovación radical y disruptiva en seguridad Guía de instalación y uso del plugin “Latch for Windows Enterprise Edition” para acceder a sistemas Microsoft Windows Versión 4.1 – Enero 2015 ElevenPaths [email protected] elevenpaths.com Guía de instalación y uso del plugin “Latch for Windows Enterprise Edition” para acceder a sistemas Microsoft Windows V.4.1 – Enero 2015 CONTENIDO 1 Obtención del plugin “Latch”....................................................................................... 3 1.1 Requisitos previos..................................................................................................................... 3 1.2 Obtención del identificador de la aplicación ............................................................................ 3 1.3 Descarga del plugin................................................................................................................... 7 2 Instalación del plugin .................................................................................................. 8 2.1 Configuraciones previas............................................................................................................ 8 2.2 Instalación del plugin por parte del administrador .................................................................. 8 2.2.1 Habilitar y configurar el plugin ................................................................................................... 9 2.2.2 Configuración de la web de pareado .......................................................................................... 9 2.2.3 Sincronización........................................................................................................................... 12 2.2.4 Desinstalación del plugin .......................................................................................................... 14 3 Uso del plugin “Latch” por el usuario .......................................................................... 15 3.1 Adición y pareado de un usuario en la aplicación “Latch para Windows” ............................. 15 3.1.1 Adición y pareado realizado por el usuario final ...................................................................... 15 3.1.2 Adición y pareado realizado por el administrador ................................................................... 17 3.2 Desparear un usuario ............................................................................................................. 18 4 Uso del plugin “Latch” por el administrador ............................................................... 20 5 Deshabilitación de emergencia ................................................................................... 21 6 Recursos .................................................................................................................... 22 2015 © Telefónica Digital Identity & Privacy, S.L.U. All Rights Reserved. Página 2 de 23 Guía de instalación y uso del plugin “Latch for Windows Enterprise Edition” para acceder a sistemas Microsoft Windows V.4.1 – Enero 2015 1 Obtención del plugin “Latch” Este manual está dirigido principalmente a administradores de sistemas familiarizados o especializados en entornos Microsoft, por lo que se presuponen una serie de conocimientos previos respecto al manejo de dichos entornos y a términos como “IIS”, “Políticas de grupo”, "Controladores de dominio” o “Servicios” entre otros. El plugin ha sido probado en sistemas operativos Microsoft Windows, tanto en las versiones de 32 como en las de 64 bits. Este plugin permite proteger el inicio de sesión de un usuario frente a un dominio controlado por Microsoft Windows Server y no requiere instalación de software en los equipos de los usuarios clientes. El principal escenario que se presenta en este manual consiste básicamente en un equipo servidor con roles de ADDS con el plugin Latch instalado, y un equipo cliente incluido en el dominio, en el que un usuario final se pareará con Latch para así poder proteger su inicio de sesión. Pasos a seguir para una correcta instalación y funcionamiento del plugin: 1. 2. 3. 4. 5. Obtención del plugin. Configuraciones previas. Instalación del plugin en los controladores de dominio existentes. Creación y configuración de la web de pareado. Configuración de la sincronización entre varios controladores de dominio, (solo en caso de que existan varios controladores de dominio). 6. Realización del pareado de los usuarios. 1.1 Requisitos previos Sistema operativo Microsoft Windows Server 2003 R2, 2008, 2008 R2, 2012 o 2012 R2 (32 o 64 bits). Versión 4 del .Net Framework. (En caso de no disponer de este framework el plugin lo instalará, siendo posible que para esta instalación sean a su vez necesarias otras). 1.2 Obtención del identificador de la aplicación Para obtener el “Application ID” y el “Secret”, fundamentales para integrar Latch en un servicio, es necesario contar con una cuenta de usuario desarrollador en Latch: https://latch.elevenpaths.com. Para ello, hay que situarse en la parte superior derecha de la pantalla y acceder a la sección “Área de desarrolladores”. Imagen 01: Situación del “Área de Desarrolladores” en la página de Latch. 2015 © Telefónica Digital Identity & Privacy, S.L.U. All Rights Reserved. Página 3 de 23 Guía de instalación y uso del plugin “Latch for Windows Enterprise Edition” para acceder a sistemas Microsoft Windows V.4.1 – Enero 2015 Tras pulsar el botón “Registrarse como desarrollador”, se selecciona la pestaña “Crear una nueva cuenta de desarrollador”, donde aparecerá un formulario que el usuario tendrá que rellenar para realizar el registro como desarrollador. Imagen 02: Formulario de alta de desarrollador. Una vez completado, el desarrollador recibirá un correo electrónico en la dirección que ha indicado, con un código para activar la cuenta recién creada. Imagen 03: Formulario para insertar el código de activación enviado al usuario. 2015 © Telefónica Digital Identity & Privacy, S.L.U. All Rights Reserved. Página 4 de 23 Guía de instalación y uso del plugin “Latch for Windows Enterprise Edition” para acceder a sistemas Microsoft Windows V.4.1 – Enero 2015 Activada la cuenta, el desarrollador ya está en disposición de crear aplicaciones con Latch y acceder a la documentación para desarrolladores, incluyendo los SDKs y los plugins existentes. Para ello el desarrollador debe iniciar sesión en la página web de Latch y acceder de nuevo a la sección “Área de desarrolladores” (https://latch.elevenpaths.com/www/developerArea), desde donde podrá observar sus aplicaciones, a través de la sección “Mis aplicaciones” del menú lateral. Imagen 04: Sección “Mis aplicaciones” con las aplicaciones que haya configurado el usuario. Desde el botón “Añadir una nueva aplicación”, el desarrollador creará una nueva aplicación, siendo el nombre indicado, el que desea que aparezca en la aplicación móvil de los usuarios finales. Imagen 05: Creación de una aplicación. El nombre indicado se mostrará en la aplicación móvil. Al crear la aplicación, se muestra información acerca de la misma, siendo parte de ella editable. Los datos fundamentales que el desarrollador deberá utilizar cuando instale el plugin son el “ID de aplicación” y el “Secreto”. Además existen los siguientes parámetros adicionales que el desarrollador podrá modificar en cualquier momento, y que establecen las características de su aplicación: Nombre: Se corresponde con el nombre de la aplicación que verán los usuarios finales en sus dispositivos cuando pareen el servicio. Ellos mismos podrán personalizarlo en su propio dispositivo si así lo desean. 2015 © Telefónica Digital Identity & Privacy, S.L.U. All Rights Reserved. Página 5 de 23 Guía de instalación y uso del plugin “Latch for Windows Enterprise Edition” para acceder a sistemas Microsoft Windows V.4.1 – Enero 2015 Imagen: Se corresponde con el icono de la aplicación que aparecerá en el dispositivo del usuario final, su tamaño no debe superar 1MB. Se recomienda que esté en formato png de 24 bits sin canal alfa, y que sus proporciones sean 1:1. 2º factor OTP (One-time password): Solo está disponible para desarrolladores con un modelo de suscripción que no sea de tipo Community. Posibilita que el servicio esté protegido además por una contraseña, que se le enviaría al usuario final en el momento en que quisiera acceder al servicio. La configuración del OTP puede ser: 1. Deshabilitado: No aparecería la opción en el dispositivo móvil del usuario final. 2. Opcional: El usuario final podría elegir si desea utilizar esta opción para proteger el servicio. 3. Obligatorio: El usuario final recibiría una contraseña cada vez quisiera acceder al servicio. Bloquear tras consultar: Solo está disponible para desarrolladores con un modelo de suscripción que no sea de tipo Community. Posibilita que el servicio se bloquee automáticamente una vez que se ha accedido al mismo. La configuración de esta opción puede ser: 1. Deshabilitado: No aparecería la opción en el dispositivo móvil del usuario final. 2. Opcional: El usuario final podría elegir si desea utilizar esta opción para proteger el servicio. 3. Obligatorio: El servicio se bloqueará automáticamente una vez que se hubiera accedido al mismo. En este último caso, la opción “Programar bloqueo” desaparecería de la vista de detalles del servicio. Correo electrónico de contacto y teléfono de contacto: Estos datos se mostrarán en las notificaciones que recibirán los usuarios cuando haya un intento de acceso fraudulento al servicio o a alguna de sus operaciones. Operaciones: Se corresponde con cada una de las acciones incluidas en el servicio pero independientes entre sí, y que el desarrollador quiere proteger con Latch. La cantidad de operaciones que se pueden incluir depende del modelo de suscripción elegido. En cada una de las operaciones se puede utilizar un "2º factor OTP" (OTP) y un “Bloquear tras consultar” (LOR). La creación de operaciones no es obligatoria y dependerá de la naturaleza del servicio que se desea proteger. Nota: Es recomendable crear 2 operaciones para este plugin, una correspondiente al acceso a la aplicación (login en este caso) sin OTP, y otra correspondiente al despareo de la misma (unpair en este caso) que sí soporta OTP. Esto va a hacer que el usuario final tenga un mayor control sobre el uso de Latch en su cuenta, ya que por un lado protegerá el acceso a su sistema operativo Windows que tenga pareado, y por otro impedirá que, si un usuario malintencionado consigue sus credenciales de alguna forma, (cookies, robo de sesión, Hijacking…) no pueda quitar la protección que proporciona Latch. Una vez finalizada la configuración y guardados los cambios, la nueva aplicación aparecerá en el listado de aplicaciones del desarrollador. Este podrá editarla en el momento que desee. Imagen 06: Aplicación creada. Se puede editar de nuevo para cambiar las características indicadas anteriormente. 2015 © Telefónica Digital Identity & Privacy, S.L.U. All Rights Reserved. Página 6 de 23 Guía de instalación y uso del plugin “Latch for Windows Enterprise Edition” para acceder a sistemas Microsoft Windows V.4.1 – Enero 2015 1.3 Descarga del plugin Desde el menú lateral de la página para desarrolladores, el desarrollador podrá acceder a la sección “Documentación y SDKs” y, dentro de este apartado, al de “Plugins y SDKs”. Aquí el desarrollador puede observar los diversos enlaces a los SDKs de distintos lenguajes de programación, así como a los plugins desarrollados hasta el momento. Imagen 07: Ejemplo de SDKs y Plugins disponibles. Desde la sección de “Plugins Premium” el desarrollador debe pulsar el botón “DESCARGAR” correspondiente a este plugin para acceder al código fuente del mismo. Además podrá descargarse un manual de instalación y uso del plugin. Una vez realizada la suscripción para este plugin el desarrollador podrá descargarse la versión correspondiente a su sistema operativo (32 o 64 bits). 2015 © Telefónica Digital Identity & Privacy, S.L.U. All Rights Reserved. Página 7 de 23 Guía de instalación y uso del plugin “Latch for Windows Enterprise Edition” para acceder a sistemas Microsoft Windows V.4.1 – Enero 2015 2 Instalación del plugin 2.1 Configuraciones previas Durante la ejecución de este plugin se aplican 2 políticas de dominio. Una es la que obliga a que el usuario pueda iniciar sesión solo si el controlador de dominio está presente y es capaz de validar sus credenciales. La otra se establece para que no almacene en caché la contraseña del usuario que inicia sesión, para evitar un “login offline”. Imagen 08: Configuración de las políticas. Además si no se desea usar el administrador del dominio, debe crearse un usuario con permisos suficientes como para modificar los valores de los registros en todos los controladores de dominio. Este a su vez se utilizará para la configuración de la web de pareado, y será con el que se inicie el servicio de sincronización de los valores de registros entre los controladores de dominio. 2.2 Instalación del plugin por parte del administrador Una vez descargado el fichero zip con el ejecutable, el administrador deberá instalarlo tanto en el controlador de dominio principal (Primary Domain Controller o PDC) como en los otros. Para ello deberá seguir las instrucciones que se van indicando durante la instalación. Por defecto se instala en la ruta: C:\Program Files\Eleven Paths\Latch for Windows, aunque el usuario puede modificarla durante la instalación. En esta carpeta además de la aplicación estarán disponibles los elementos necesarios para la creación de la web de pareado de los clientes y para la creación del servicio de sincronización de registros. Imagen 09: Contenido del plugin Latch tras la instalación. 2015 © Telefónica Digital Identity & Privacy, S.L.U. All Rights Reserved. Página 8 de 23 Guía de instalación y uso del plugin “Latch for Windows Enterprise Edition” para acceder a sistemas Microsoft Windows V.4.1 – Enero 2015 Al finalizar dicha instalación, el plugin se ha añadido como una aplicación más del sistema operativo con el nombre “Latch para Windows”. Imagen 10: Acceso a la configuración del plugin. 2.2.1 Habilitar y configurar el plugin Es fundamental activar el plugin marcando la casilla de verificación “Habilitado” situada en la parte superior. Para configurar el plugin hay que pulsar el botón “Config. de Latch”. A continuación aparecerá una ventana en la que habrá que indicar el “Application ID”, y el “Secret” generados anteriormente. Además deberán incluirse en los apartados “ID op. login” e “ID op. despareado” los identificadores de las operaciones “login” y “unpair” creadas, (véase imagen 05). Imagen 11: Inclusión del Application ID, del Secret y de los id de las operaciones. A continuación hay que reiniciar el sistema operativo para habilitar el plugin. Este reinicio puede hacerse antes o después de finalizar toda la configuración del plugin, sin embargo siempre debe realizarse después de modificar el estado de la casilla “Habilitado”. 2.2.2 Configuración de la web de pareado Debido a que en los equipos de los clientes, estos no deben instalar nada, el administrador deberá proporcionarles un sitio web donde puedan realizar el pareado. Este sitio web deberá estar alojado en un servidor web, pudiendo ser un controlador de dominio o un servidor diferente. El contenido de este sitio ya está incluido en el plugin de Latch, por lo tanto el administrador no tiene la necesidad de desarrollarlo. Concretamente es el fichero comprimido 2015 © Telefónica Digital Identity & Privacy, S.L.U. All Rights Reserved. Página 9 de 23 Guía de instalación y uso del plugin “Latch for Windows Enterprise Edition” para acceder a sistemas Microsoft Windows V.4.1 – Enero 2015 LatchForWindowsLoginWebApp.zip, situado en la carpeta en la que se instaló el plugin (C:\Program Files\Eleven Paths\Latch for Windows). En caso de no tener servidor web, o no querer utilizarlo, sería el propio administrador el que tendría que añadir y parear a los clientes de manera individual (véase Adición y pareado realizado por el administrador). Para configurar el sitio web, el administrador debe crear un nuevo sitio para incluir el contenido de la web. En este manual se va a mostrar cómo se realiza con un IIS, para ello deberá crear un sitio web con su respectivo grupo de aplicación, (en este manual se han llamado ParearLatch y ParearLatchAppPool respectivamente). Este grupo de aplicación debe usar la versión 4.0 de .NET CLR, y la identidad con la que se ejecuta, debe ser la del usuario con privilegios para modificar los valores de los registros remotos de los controladores de dominio, (tal y como se ha mencionado en el apartado Configuraciones previas). Imagen 12: Configuración del grupo de aplicación. A continuación el administrador deberá incluir el contenido del LatchForWindowsLoginWebApp.zip, en la raíz del nuevo sitio web creado: ParearLatch. 2015 © Telefónica Digital Identity & Privacy, S.L.U. All Rights Reserved. fichero Página 10 de 23 Guía de instalación y uso del plugin “Latch for Windows Enterprise Edition” para acceder a sistemas Microsoft Windows V.4.1 – Enero 2015 Imagen 13: Inclusión del sitio web proporcionado por el plugin. En caso de que el servidor web esté alojado en un servidor diferente al del controlador de dominio, el administrador deberá modificar el fichero Web.config incluido en el sitio web ParearLatch. Esta modificación exige que se añada la dirección IP del PDC o su nombre en dicho fichero. Imagen 14: Modficación del fichero Web.config. 2015 © Telefónica Digital Identity & Privacy, S.L.U. All Rights Reserved. Página 11 de 23 Guía de instalación y uso del plugin “Latch for Windows Enterprise Edition” para acceder a sistemas Microsoft Windows V.4.1 – Enero 2015 2.2.3 Sincronización Puede darse el caso de que la infraestructura de la empresa disponga de varios equipos controladores de dominio. En este caso en el PDC se realizarán todos los cambios que luego se replicarán en los otros equipos controladores de dominio. Además en cada uno de los controladores de dominio utilizados deberá habilitarse el servicio de registro remoto. El plugin de Latch deberá instalarse en todos los controladores de dominio, de tal forma que todos puedan disponer de las librerías necesarias para la utilización del plugin. En los controladores de dominio adicionales el plugin solo necesita ser habilitado, y en ellos no deberían modificarse los valores de configuración de los clientes, ya que el PDC es el único que tratará y replicará dicha información. El plugin incluye un servicio de sincronización para que los cambios relacionados con Latch que se realicen en el PDC (cambios en la web de pareado, nuevos usuarios pareados, agregar usuarios, cambios de configuración, etcétera), se repliquen correctamente en los demás controladores de dominio. La sincronización se realizará partiendo desde el PDC, para ello deberá crease un servicio que apunte al fichero LatchForWindowsLoginSync.exe extraído del fichero comprimido LatchForWindowsLoginSync.zip, situado en la carpeta de instalación del plugin: C:\Program Files\Eleven Paths\Latch for Windows. Para la realización de esta guía se ha creado un servicio llamado LatchLogin a través de la consola: sc create LatchLogin binPath= ”C:\Program Files\Eleven Paths\Latch for Windows \LatchForWindowsLoginSync\LatchForWindowsLoginSync\LatchForWindowsLoginSync.exe” start=”auto” Imagen 15: Creación del servicio desde la consola. Una vez creado este servicio, debe configurarse el usuario con privilegios que se creó para modificar los valores en el registro de los controladores de dominio. De esta forma los cambios que se produzcan tanto en la web de pareado como en el PDC se van a replicar en los otros controladores de dominio. Esta replicación es unidireccional. 2015 © Telefónica Digital Identity & Privacy, S.L.U. All Rights Reserved. Página 12 de 23 Guía de instalación y uso del plugin “Latch for Windows Enterprise Edition” para acceder a sistemas Microsoft Windows V.4.1 – Enero 2015 Imagen 16: Configuración del servicio LatchLogin. Para configurar la sincronización debe abrirse la aplicación “Latch para Windows” y pulsar el botón “Sincronización”. En la nueva ventana se añaden todos los controladores de dominio existentes. Además se puede configurar la frecuencia con la que el PDC replicará en los demás controladores de dominio. Imagen 17: Configuración de la sincronización. 2015 © Telefónica Digital Identity & Privacy, S.L.U. All Rights Reserved. Página 13 de 23 Guía de instalación y uso del plugin “Latch for Windows Enterprise Edition” para acceder a sistemas Microsoft Windows V.4.1 – Enero 2015 2.2.4 Desinstalación del plugin La desinstalación se hace como un programa normal de Microsoft Windows, desde la sección “Programas y características” del panel de control. Pero para una completa desinstalación hay que eliminar los elementos creados anteriormente, es decir el servicio, el sitio web y el usuario con privilegios para modificar los valores de los registros remotos de los controladores de dominio. Además es necesario reiniciar el equipo. En caso de que se vuelva a instalar más adelante se mantendrán los datos configurados anteriormente. 2015 © Telefónica Digital Identity & Privacy, S.L.U. All Rights Reserved. Página 14 de 23 Guía de instalación y uso del plugin “Latch for Windows Enterprise Edition” para acceder a sistemas Microsoft Windows V.4.1 – Enero 2015 3 Uso del plugin “Latch” por el usuario Latch no afecta en ningún caso y de ningún modo a la forma habitual de operar del servicio. Únicamente permite o impide acciones, situándose como una capa de seguridad adicional e independiente que, una vez eliminada o si quedase inhabilitada, no tendría ningún efecto sobre el servicio, que volvería a su estado original. 3.1 Adición y pareado de un usuario en la aplicación “Latch para Windows” La adición de cuentas de usuarios que estén protegidos con Latch en un dominio, puede realizarla tanto el administrador como el propio usuario. Esto último solo es posible si el administrador ha configurado la página web de pareado tal y como se ha explicado en el apartado “Configuración de la web de pareado”. En todo caso hay que tener en cuenta que: Independientemente de que exista o no la página web de acceso, el administrador siempre puede añadir, quitar o modificar la configuración de las cuentas de los usuarios que estén protegidas con Latch. Los usuarios lo único que necesitan es tener la aplicación Latch instalada en el teléfono, y serán ellos los que únicamente puedan generar el código de pareado. 3.1.1 Adición y pareado realizado por el usuario final Paso 1: Simplemente, deberá acceder a la página web proporcionada por Latch y que configuró el administrador. Imagen 18: Pantalla donde un usuario deberá introducir el código de pareado generado por Latch. Paso 2: Desde la aplicación Latch del dispositivo móvil deberá obtener el código de pareado, para ello deberá pulsar el botón “Añadir nuevo servicio”, situado en la parte inferior de la aplicación (y en la nueva pantalla que aparecerá, el botón “Generar nuevo código”. Paso 3: A continuación debe introducir (antes de que expiren) los mismos caracteres mostrados en el dispositivo móvil, en el sitio creado por el administrador para realizar el pareado con Latch y pulsar el botón para confirmar el pareado. En el dispositivo móvil se recibirá una notificación indicando que el servicio ya está pareado. 2015 © Telefónica Digital Identity & Privacy, S.L.U. All Rights Reserved. Página 15 de 23 Guía de instalación y uso del plugin “Latch for Windows Enterprise Edition” para acceder a sistemas Microsoft Windows V.4.1 – Enero 2015 Imagen 19: Botón que genera el código de pareado. Imagen 20: Código de pareado generado. Imagen 21: Notificación recibida tras el pareado. Paso 4: Una vez pareado, el usuario final podrá acceder al listado de servicios que mantiene pareados en Latch. Podrá comprobar que se ha añadido el recientemente pareado. A partir de este momento el usuario será capaz de bloquear y desbloquear el acceso a estos servicios, simplemente pulsando el botón junto al nombre de cada uno. Imagen 22: Servicio desbloqueado. Imagen 23: Servicio bloqueado. Para realizar una prueba del funcionamiento, el usuario final deberá bloquear su servicio con Latch, e intentar acceder de nuevo, introduciendo sus credenciales. 2015 © Telefónica Digital Identity & Privacy, S.L.U. All Rights Reserved. Página 16 de 23 Guía de instalación y uso del plugin “Latch for Windows Enterprise Edition” para acceder a sistemas Microsoft Windows V.4.1 – Enero 2015 El resultado será que no podrá acceder aunque introduzca las credenciales correctas, y además recibirá una notificación en el dispositivo móvil, indicando que se ha detectado un intento de acceso al servicio. En esta notificación se incluyen el correo electrónico y el número de teléfono que el desarrollador indicó (imagen 5). Imagen 24: Acceso de un usuario. Imagen 25: Notificación de un intento de acceso no autorizado. Imagen 26: Mensaje de error devuelto por Windows al estar el servicio bloqueado por Latch. Tras desbloquear el servicio desde Latch e introducir de nuevo sus credenciales el usuario sí será capaz de acceder. 3.1.2 Adición y pareado realizado por el administrador El proceso es el mismo que el mostrado anteriormente. Lo único que cambia es que es el propio administrador, desde la ventana de la aplicación “Latch para Windows”, el que añadirá a los usuarios que quieran utilizar Latch. El administrador simplemente indicará el nombre de la cuenta de usuario con el que este accede al dominio, y le solicitará a dicho usuario el código de pareado, para introducirlo en la caja de texto correspondiente. Tras pulsar los botones “Parear” y “Aceptar”, el usuario ya estará pareado (véase “paso 2” y siguientes). 2015 © Telefónica Digital Identity & Privacy, S.L.U. All Rights Reserved. Página 17 de 23 Guía de instalación y uso del plugin “Latch for Windows Enterprise Edition” para acceder a sistemas Microsoft Windows V.4.1 – Enero 2015 Imagen 27: Adición y pareado de un usuario por parte del administrador. 3.2 Desparear un usuario El despareo puede realizarlo tanto el administrador como el propio usuario. El administrador puede hacerlo desde la misma ventana desde la que realizó el pareado, pulsando el botón “Desparear”, y a continuación “Aceptar”. Imagen 28: Despareo de un usuario por parte del administrador. 2015 © Telefónica Digital Identity & Privacy, S.L.U. All Rights Reserved. Página 18 de 23 Guía de instalación y uso del plugin “Latch for Windows Enterprise Edition” para acceder a sistemas Microsoft Windows V.4.1 – Enero 2015 El usuario final puede realizar el despareo desde la misma página web desde la que se pareó, simplemente deberá pulsar el botón “Desparear”. Esta acción puede estar protegida con Latch, ya que cuando se creó la aplicación se añadió una operación llamada “unpair” (véase imagen 05) para impedir precisamente que un usuario malintencionado desparee al usuario legítimo . Hay que indicar que el administrador siempre podrá desparear al usuario final desde la herramienta de escritorio, independientemente de que este tenga o no la operación “unpair” bloqueada. Esta operación solo bloquea la acción si se realiza desde la web. En cualquiera de los dos casos el usuario recibirá una notificación indicando que el servicio ha sido despareado, y por tanto ha perdido la protección adicional que Latch proporciona. Imagen 29: Despareo de Latch. 2015 © Telefónica Digital Identity & Privacy, S.L.U. All Rights Reserved. Imagen 30: Notificación de que el servicio se ha despareado. Página 19 de 23 Guía de instalación y uso del plugin “Latch for Windows Enterprise Edition” para acceder a sistemas Microsoft Windows V.4.1 – Enero 2015 4 Uso del plugin “Latch” por el administrador El administrador podrá configurar los distintos comportamientos que tendrá la aplicación para cada uno de los usuarios añadidos. Estos comportamientos dependen del estado que devuelva el servidor de Latch, cuando se le haga una petición. Los estados que puede devolver Latch son los siguientes: - Bloqueado: Define el comportamiento en caso de que el servidor de Latch indique que el estado de la aplicación es bloqueado. Desbloqueado: Define el comportamiento en caso de que el servidor de Latch indique que el estado de la aplicación es desbloqueado. Sin respuesta: Define el comportamiento en caso de que el servidor de Latch no responda. Esto puede deberse a diversos motivos, como por ejemplo que no haya conexión a Internet. Los comportamientos posibles en cada uno de los casos anteriores son: - Éxito: Permite el acceso. Bloqueado: Bloquea el acceso. Deshabilitado: Bloquea el acceso. Contraseña incorrecta: Bloquea el acceso. Imagen 31: Detalle de las opciones del usuario. 2015 © Telefónica Digital Identity & Privacy, S.L.U. All Rights Reserved. Página 20 de 23 Guía de instalación y uso del plugin “Latch for Windows Enterprise Edition” para acceder a sistemas Microsoft Windows V.4.1 – Enero 2015 5 Deshabilitación de emergencia Para impedir que se ejecute el plugin, es posible entrar en el sistema Windows en “Modo a prueba de fallos”, con esta acción no se realiza la carga del plugin. Otra posibilidad es acceder con un LiveCDse u otro método de arranque que no autentique frente al dominio y renombrar el archivo LatchWindowsSubauthProvider.dll ubicado en la carpeta C:\Windows\System32 de todos los controladores de dominio. Para volver a habilitar el plugin, solo es necesario renombrar el fichero con su nombre original y reiniciar el equipo. 2015 © Telefónica Digital Identity & Privacy, S.L.U. All Rights Reserved. Página 21 de 23 Guía de instalación y uso del plugin “Latch for Windows Enterprise Edition” para acceder a sistemas Microsoft Windows V.4.1 – Enero 2015 6 Recursos Para información acerca de cómo utilizar la app Latch, y probar gratuitamente sus múltiples características, puede consultarse la guía del usuario en español e inglés: 1. Guía del usuario de Latch con Nevele Bank. 2. Latch user´s guide for Nevele Bank. Además puede encontrarse la siguiente documentación constantemente ampliada: Manuales en español e inglés acerca de la integración y utilización de Latch con los plugins disponibles, en la propia web de Latch y en el canal de Slideshare de ElevenPaths. Vídeos subtitulados en español e inglés acerca de la integración y utilización de Latch con los plugins disponibles en los canales de ElevenPaths en YouTube y Vimeo Manuales acerca de la integración y utilización de Latch en las organizaciones que ya lo han implantado (Movistar, Tuenti, UNIR, USAL, etcétera), en la propia web de Latch y en el canal de Slideshare de ElevenPaths. Información acerca de la API de Latch en la propia web de Latch. 2015 © Telefónica Digital Identity & Privacy, S.L.U. All Rights Reserved. Página 22 de 23 Guía de instalación y uso del plugin “Latch for Windows Enterprise Edition” para acceder a sistemas Microsoft Windows V.4.1 – Enero 2015 PUBLICACIÓN: Enero 2015 En ElevenPaths pensamos de forma diferente cuando hablamos de seguridad. Liderados por Chema Alonso, somos un equipo de expertos con inquietud para replantearnos la industria y gran experiencia y conocimiento en el sector de la seguridad. Dedicamos toda nuestra experiencia y esfuerzos en crear productos innovadores para que la vida digital sea más segura para todos. La evolución de las amenazas de seguridad en la tecnología es cada vez más rápida y constante. Por eso, desde junio de 2013, nos hemos constituido como una start-up dentro de Telefónica para trabajar de forma ágil y dinámica, y ser capaces de transformar el concepto de seguridad anticipándonos a los futuros problemas que afecten a nuestra identidad, privacidad y disponibilidad online. Con sede en Madrid, estamos presentes también en Londres, EE.UU, Brasil, Argentina y Colombia. TIENES ALGO QUE CONTARNOS, PUEDES HACERLO EN: elevenpaths.com Blog.elevenpaths.com @ElevenPaths Facebook.com/ElevenPaths YouTube.com/ElevenPaths La información contenida en el presente documento es propiedad de Telefónica Digital Identity & Privacy, S.L.U. (“TDI&P”) y/o de cualquier otra entidad dentro del Grupo Telefónica o sus licenciantes. TDI&P y/o cualquier compañía del Grupo Telefónica o los licenciantes de TDI&P se reservan todos los derechos de propiedad industrial e intelectual (incluida cualquier patente o copyright) que se deriven o recaigan sobre este documento, incluidos los derechos de diseño, producción, reproducción, uso y venta del mismo, salvo en el supuesto de que dichos derechos sean expresamente conferidos a terceros por escrito. La información contenida en el presente documento podrá ser objeto de modificación en cualquier momento sin necesidad de previo aviso. La información contenida en el presente documento no podrá ser ni parcial ni totalmente copiada, distribuida, adaptada o reproducida en ningún soporte sin que medie el previo consentimiento por escrito por parte de TDI&P. El presente documento tiene como único objetivo servir de soporte a su lector en el uso del producto o servicio descrito en el mismo. El lector se compromete y queda obligado a usar la información contenida en el mismo para su propio uso y no para ningún otro. TDI&P no será responsable de ninguna pérdida o daño que se derive del uso de la información contenida en el presente documento o de cualquier error u omisión del documento o por el uso incorrecto del servicio o producto. El uso del producto o servicio descrito en el presente documento se regulará de acuerdo con lo establecido en los términos y condiciones aceptados por el usuario del mismo para su uso. TDI&P y sus marcas (así como cualquier marca perteneciente al Grupo Telefónica) son marcas registradas. TDI&P y sus filiales se reservan todo los derechos sobre las mismas. 2015 © Telefónica Digital Identity & Privacy, S.L.U. All Rights Reserved. Página 23 de 23