Logon en Windows XP Logon en Windows XP con Tarjetas y con Tarjetas y Certificados CERESCertificados CERES

Oscar Anaya Oscar Anaya Antonio VilaAntonio VilaMicrosoft IbéricaMicrosoft Ibérica

AgendaAgenda

AntecedentesAntecedentes Descripción del ProblemaDescripción del Problema Objetivos y AlcanceObjetivos y Alcance Descripción de la SoluciónDescripción de la Solución Requisitos de la PlataformaRequisitos de la Plataforma Instalación y DespliegueInstalación y Despliegue Personalización a Través de PolíticasPersonalización a Través de Políticas DemostraciónDemostración

AntecedentesAntecedentes

Acuerdo conjunto entre FNMT-RCM y Acuerdo conjunto entre FNMT-RCM y Microsoft con el objetivo principal de Microsoft con el objetivo principal de mejorar la integración de los productos de mejorar la integración de los productos de ambas organizaciones.ambas organizaciones.

Como objetivos adicionales de este acuerdo Como objetivos adicionales de este acuerdo se establecen:se establecen: La transferencia de conocimiento al personal de La transferencia de conocimiento al personal de

la FNMT-RCMla FNMT-RCM El soporte técnico preferencial a los clientes de El soporte técnico preferencial a los clientes de

la FNMT-RCMla FNMT-RCM La realización conjunta de actividades de La realización conjunta de actividades de

marketing y difusión.marketing y difusión.

Antecedentes (II)Antecedentes (II) Los sistemas operativos de la familia Los sistemas operativos de la familia

Windows, las aplicaciones de productividad Windows, las aplicaciones de productividad Office y resto de productos soportan el Office y resto de productos soportan el estándar de certificación x509v3.estándar de certificación x509v3.

Hoy en día es posible realizar de forma Hoy en día es posible realizar de forma nativa las siguientes tareas:nativa las siguientes tareas: Firma y cifrado de correo Firma y cifrado de correo Firma de documentos OfficeFirma de documentos Office Autentificación y firma en aplicaciones webAutentificación y firma en aplicaciones web Comunicaciones seguras SSL e IPSecComunicaciones seguras SSL e IPSec Cifrado de ficherosCifrado de ficheros Inicio de sesiónInicio de sesión

La autoridad de certificación CERES se basa La autoridad de certificación CERES se basa en el mismo estándar de certificaciónen el mismo estándar de certificación

Descripción del ProblemaDescripción del Problema El inicio de sesión mediante tarjeta CERES requiere El inicio de sesión mediante tarjeta CERES requiere

una adaptación:una adaptación: El inicio de sesión requiere relacionar el certificado con la El inicio de sesión requiere relacionar el certificado con la

cuenta del usuariocuenta del usuario Windows 2000, 2003 y XP implementan esta relación Windows 2000, 2003 y XP implementan esta relación

mediante el usomediante el uso el uso de una extensión del certificadoel uso de una extensión del certificado Los certificados CERES emitidos hasta la fecha no Los certificados CERES emitidos hasta la fecha no

incorporan dicha extensión y dado que se tratan de incorporan dicha extensión y dado que se tratan de información relacionada más con el ámbito laboral que con información relacionada más con el ámbito laboral que con el personal se cuestiona su inclusión.el personal se cuestiona su inclusión.

La información incluida en los puntos de distribución de La información incluida en los puntos de distribución de CRL en los certificados CERES no es suficiente para que CRL en los certificados CERES no es suficiente para que el sistema pueda acceder a las listas de revocación en la el sistema pueda acceder a las listas de revocación en la configuración por defectoconfiguración por defecto

Microsoft en base al acuerdo firmado con la FNMT tras Microsoft en base al acuerdo firmado con la FNMT tras estudiar las alternativas, acuerda conjuntamente la estudiar las alternativas, acuerda conjuntamente la modificación del comportamiento de Windows para modificación del comportamiento de Windows para adaptarse a las necesidades específicas. adaptarse a las necesidades específicas.

Objetivos y alcanceObjetivos y alcance

Permitir a los usuarios de Permitir a los usuarios de organismos públicos y privados organismos públicos y privados iniciar sesión en sus PCs contra iniciar sesión en sus PCs contra un Directorio Corporativo un Directorio Corporativo mediante el uso del conjunto mediante el uso del conjunto formado por tarjeta y certificado formado por tarjeta y certificado digital CERES como mecanismo digital CERES como mecanismo alternativo al uso del tradicional alternativo al uso del tradicional usuario y contraseña.usuario y contraseña.

Descripción de la SoluciónDescripción de la Solución Microsoft ha desarrollado un conjunto Microsoft ha desarrollado un conjunto

de módulos que modifican el de módulos que modifican el comportamiento estándar de Windows comportamiento estándar de Windows XP y Directorio Activo, que permiten XP y Directorio Activo, que permiten relacionar el certificado y la cuenta de relacionar el certificado y la cuenta de usuario usuario mediante el uso del usuario usuario mediante el uso del Directorio Activo.Directorio Activo. Se almacena el certificado del usuario y Se almacena el certificado del usuario y

su DNI en el Directorio Activosu DNI en el Directorio Activo El proceso de inicio de sesión accede al El proceso de inicio de sesión accede al

Directorio Activo para averiguar la cuenta Directorio Activo para averiguar la cuenta del usuario que presenta el certificado y del usuario que presenta el certificado y comprobar la validez de su certificadocomprobar la validez de su certificado

Directorio Activo

Descripción de la Solución (II) Descripción de la Solución (II) Esquema de la SoluciónEsquema de la Solución

Red corporativa

Solicitud Solicitud del PIN del del PIN del

usuariousuarioFicheros e impresoras

Aplicaciones webOtras Aplicaciones

Proxy corporativoBases de datosEtc…

Acceso transparente

Descripción de la Solución (III) Descripción de la Solución (III) Funcionalidades Adicionales del ProductoFuncionalidades Adicionales del Producto

Muestra durante el logon el certificado Muestra durante el logon el certificado con el que se está intentando iniciar la con el que se está intentando iniciar la sesión en Windows.  sesión en Windows.  

Proveedor de revocación basado en Proveedor de revocación basado en consultas LDAP Internet/intranet. consultas LDAP Internet/intranet. Los clientes que se suscriban a este Los clientes que se suscriban a este

servicio podrán consultar online contra servicio podrán consultar online contra FNMT o contra una réplica, el estado de FNMT o contra una réplica, el estado de un certificadoun certificado

Proveedor de revocación basado en Proveedor de revocación basado en cliente OCSP.cliente OCSP.

Requisitos Plataforma Requisitos Plataforma Requisitos de ClienteRequisitos de Cliente

Sistema Operativo:Sistema Operativo: Windows XP Professional InglésWindows XP Professional Inglés Windows XP Professional EspañolWindows XP Professional Español

La maquina cliente debe pertenecer a La maquina cliente debe pertenecer a un dominio Windows 2000 o 2003.un dominio Windows 2000 o 2003.

CSP de la FNMTCSP de la FNMT

Requisitos Plataforma Requisitos Plataforma Requisitos de ServidorRequisitos de Servidor

Sistema Operativo:Sistema Operativo: Windows 2000 Server Windows 2000 Server Windows 2000 Advanced ServerWindows 2000 Advanced Server Windows 2003 Standard EditionWindows 2003 Standard Edition Windows 2003 Enterprise EditionWindows 2003 Enterprise Edition

Debe instalarse en los controladores Debe instalarse en los controladores de dominiode dominio

Instalación y DespliegueInstalación y DespliegueExtensión del Esquema del Directorio ActivoExtensión del Esquema del Directorio Activo

Es necesario extender el esquema del Es necesario extender el esquema del Directorio Activo añadiendo el atributo Directorio Activo añadiendo el atributo “fnmt-DNI” para almacenar el DNI del “fnmt-DNI” para almacenar el DNI del usuario en su cuentausuario en su cuenta

Esta tarea la realiza la utilidad Esta tarea la realiza la utilidad ForestPrep:ForestPrep: Solo es necesario ejecutarla una vez.Solo es necesario ejecutarla una vez. La ejecución tiene que hacerse en una maquina que sea La ejecución tiene que hacerse en una maquina que sea

DC del dominio del Directorio ActivoDC del dominio del Directorio Activo Solo es necesario para la Instalación de la Parte Servidora Solo es necesario para la Instalación de la Parte Servidora

de la Aplicación.de la Aplicación. El orden es indiferente, Setup Servidor y ejecución de El orden es indiferente, Setup Servidor y ejecución de

ForestPrep o viceversa.ForestPrep o viceversa.

Instalación y Despliegue (III) Instalación y Despliegue (III) Instalación parte ServidoraInstalación parte Servidora

Instalación en Controladores de Dominio:Instalación en Controladores de Dominio: Ejecución del fichero Ejecución del fichero Setup.exeSetup.exe y seguir las y seguir las

indicaciones del Asistente. indicaciones del Asistente. Durante el proceso de instalación se introduce la Durante el proceso de instalación se introduce la

configuración de consulta de CRLs (LDAP y/o configuración de consulta de CRLs (LDAP y/o OCSP)OCSP)

Es necesario reiniciar el equipo para que los Es necesario reiniciar el equipo para que los cambios realizados sean efectivoscambios realizados sean efectivos

Es posible realizar este proceso de forma Es posible realizar este proceso de forma desatendida si no es necesario configurar la desatendida si no es necesario configurar la conexión OCSPconexión OCSP

El usuario que inicia la instalación debe El usuario que inicia la instalación debe pertenecer al grupo de administradores de pertenecer al grupo de administradores de dominiodominio

Instalación y Despliegue (II) Instalación y Despliegue (II) Instalación parte ClienteInstalación parte Cliente

Instalación en ClienteInstalación en Cliente Ejecución del fichero Ejecución del fichero Setup.exeSetup.exe y seguir y seguir

las indicaciones del Asistente. las indicaciones del Asistente. Es necesario reiniciar el equipo para que Es necesario reiniciar el equipo para que

los cambios realizados sean efectivoslos cambios realizados sean efectivos

Es posible realizar este proceso de Es posible realizar este proceso de forma desatendidaforma desatendida

El usuario que inicia la instalación El usuario que inicia la instalación debe disponer de permisos de debe disponer de permisos de administración local de la maquinaadministración local de la maquina

Instalación y Despliegue (IV)Instalación y Despliegue (IV) Alternativas de Despliegue para el clienteAlternativas de Despliegue para el cliente

La solución se basa en Directorio La solución se basa en Directorio Activo por lo que estarán disponibles Activo por lo que estarán disponibles directamente las siguientes estrategias directamente las siguientes estrategias de distribución:de distribución: PolíticasPolíticas

834487 How to install Microsoft TechNet 834487 How to install Microsoft TechNet products by using Group Policyproducts by using Group Policy

305293 Description of the Windows XP 305293 Description of the Windows XP Professional Fast Logon OptimizationProfessional Fast Logon Optimization

Logon ScriptsLogon Scripts Otros productos de despliegue y Otros productos de despliegue y

actualización de software (SMS, etc.)actualización de software (SMS, etc.)

Instalación y Despliegue (V) Instalación y Despliegue (V) “Enrollment” de usuarios“Enrollment” de usuarios

En la cuenta de Directorio Activo del En la cuenta de Directorio Activo del usuario deben incluirse el DNI del usuario deben incluirse el DNI del usuario y la parte pública de su usuario y la parte pública de su certificadocertificado

Se incluyen ejemplos de asociación de Se incluyen ejemplos de asociación de certificados a cuentas:certificados a cuentas: Script VBSScript VBS Web de “auto-enrollment”Web de “auto-enrollment”

Personalización a Través de PolíticasPersonalización a Través de Políticas

Son aplicables las políticas estándar Son aplicables las políticas estándar de Windows, incluidas las aplicables a de Windows, incluidas las aplicables a logon con Smartcardlogon con Smartcard

Ejemplos:Ejemplos: Obligar logon con SmartcardObligar logon con Smartcard Comportamiento al extraer la tarjetaComportamiento al extraer la tarjeta

Bloqueo de la estación de trabajoBloqueo de la estación de trabajo Cierre de sesiónCierre de sesión

Demostración Demostración Equipamiento y PreparaciónEquipamiento y Preparación

Un equipo portátil que emulará un Un equipo portátil que emulará un puesto de usuario y un servidor puesto de usuario y un servidor controlador de dominio controlador de dominio

Previamente el administrador deberá:Previamente el administrador deberá: Instalar la solución en estos equipos Instalar la solución en estos equipos Habilitar el inicio de sesión con tarjeta Habilitar el inicio de sesión con tarjeta

para los usuarios seleccionadospara los usuarios seleccionados

Demostración (II) Demostración (II) EscenariosEscenarios Asociación del certificado a una cuenta de Asociación del certificado a una cuenta de

usuario del Directorio Activousuario del Directorio Activo El usuario inicia sesión utilizando su tarjeta El usuario inicia sesión utilizando su tarjeta

CERESCERES Se comprobará que puede acceder a los Se comprobará que puede acceder a los

recursos de la red sin necesidad de volver a recursos de la red sin necesidad de volver a identificarseidentificarse

Accederá a una carpeta compartida en el Accederá a una carpeta compartida en el servidor que le identificará de forma automáticaservidor que le identificará de forma automática

El usuario bloqueará la sesión para El usuario bloqueará la sesión para abandonar su puesto y la recuperará abandonar su puesto y la recuperará volviendo a introducir la tarjeta CERESvolviendo a introducir la tarjeta CERES

DemostraciónDemostración

Otros ProyectosOtros Proyectos Nuevo root de CERES en IENuevo root de CERES en IE Nuevas versiones del “Logon Nuevas versiones del “Logon

con CERES”con CERES” Posible extensión a Windows Posible extensión a Windows

20002000 Desarrollo de CardModule Desarrollo de CardModule

(antiguo CSP) para la próxima (antiguo CSP) para la próxima versión de Windows, versión de Windows, Longhorn. Longhorn.

Posibilidad de inclusión CSP Posibilidad de inclusión CSP de forma nativa en el sistema de forma nativa en el sistema operativooperativo

Análisis de las diferentes Análisis de las diferentes opciones de migración del opciones de migración del logon con CERES a Longhornlogon con CERES a Longhorn

Muchas graciasMuchas gracias