Latch para Windows: Enterprise Edition (II)

lunes, 5 de enero de 2015

Tras la introducción anterior, pasamos ahora a explicar el proceso de instalación y configuración de este plugin. En general es sencillo, sin embargo hay que tener en cuenta, que es necesario llevar a cabo una serie de pasos de pre-configuración del entorno para garantizar la protección de los usuarios del dominio de una organización.

Estos pasos se pueden dividir en tres grupos de configuraciones:
  • Configuración del dominio.
  • Configuración de la web de pareado.
  • Configuración de la sincronización entre los controladores de dominio (DCs) del dominio principal.
Para poder realizar cualquiera de estas configuraciones, el desarrollador debe solicitar el plugin desde el apartado de Mi suscripción/Contratar del Área de desarrolladores.

Solicitar el plugin desde el área de desarrolladores

Una vez se haya contratado el plugin, solo queda descargarlo e instalarlo en todos los controladores de dominio. Es absolutamente necesario que este plugin sea instalado en todos los controladores de dominio existentes en la organización (en caso de que exista más de uno). Se debe a que todos ellos deben disponer de las librerías que utiliza el plugin.

Para ello se cuenta con un enlace de descarga dentro de la aplicación creada en el proceso de adquisición de un plugin Premium mencionado anteriormente.

Descarga del plugin desde el área de desarrolladores

Una vez instalado el plugin se debe configurar, y para ello hay que utilizar los valores que Latch proporcionó al crear la aplicación (ID de aplicación, Secret, etc.). Aunque el plugin deba instalarse en todos los controladores de dominio, solo será necesario establecer los valores de configuración en el PDC (Primary Domain Controller). Gracias a la configuración de sincronización, estos datos serán propagados al resto. Los equipos deben reiniciarse para que las configuraciones surtan efecto.

Configuración del PDC que se propagará al resto de controladores

Configuración del dominio

Una vez reiniciados los servidores, se procede a realizar el primer grupo de configuraciones. En él se establecen las directivas de grupo necesarias para garantizar su correcto funcionamiento y su aplicación sobre las distintas unidades organizativas del dominio que se desean proteger.

En nuestro ejemplo se utilizaran dos unidades organizativas (LatchProtected y NonProtected). Como sus nombres lo indican, solo a una de las unidades organizativas en este ejemplo se le aplicarán las políticas que configuraremos a continuación.

Se recomienda como una buena práctica crear una nueva GPO que contenga únicamente las siguientes directivas:

  • Inicio de sesión interactivo: número de inicios de sesión anteriores que se almacenarán en caché (si el controlador de dominio no está conectado) con un valor asignado de 0 inicios de sesión.
  • Inicio de sesión interactivo: requerir la autenticación del controlador de dominio para desbloquear la sesión de trabajo habilitada.

Directivas recomendadas

El objetivo de esta configuración es evitar la posibilidad de que se pueda acceder a la cuenta del usuario sin tener en cuenta previamente su estado de la protección, o sea, sin estar conectado a red y gracias a los datos "cacheados" en local, que no contactan con el controlador de dominio. Evitar el contacto con el servidor, significaría eludir Latch.

En este ejemplo solo aplicaremos esta GPO que hemos asociado a la unidad organizativa LatchProtected.

Como último paso de este grupo de configuraciones, recomendamos el crear un usuario con suficientes privilegios como para poder modificar los valores de los registros en todos los controladores de dominio. Este usuario también se utilizará en los otros dos grupos de configuraciones. En caso de no crearse este usuario deberá utilizarse el usuario Administrador del Dominio para poder realizar las funciones de pareado a través de la web y sincronización entre los controladores de dominio.

Con estas acciones, la principal función del plugin está garantizada (Bloquear los accesos de las cuentas protegidas). Para comprobar esto basta con acceder a la aplicación de Latch para Windows, añadir alguna cuenta de usuario del dominio, parearla, y por ultimo configurar el comportamiento que debe tener dicha cuenta.

Configuración de un usuario de dominio

Una vez completado este proceso, al intentar acceder a esta cuenta de usuario desde un equipo del dominio, (mientras el servicio se encuentra bloqueado con Latch), se obtiene el siguiente mensaje.

Mensaje de bloqueo a un usuario de dominio protegido por Latch

Latch para Windows: Enterprise Edition (I)
* Latch para Windows: Enterprise Edition (y III)

Umberto Francesco Schiavo
umberto.schiavo@11paths.com

2 comentarios:

  1. o sea que habria que configurar latch en cada usuario con su dispositivo y en el dominio para que funcione?

    ResponderEliminar
    Respuestas
    1. Buenos días!

      El control sobre los usuario del dominio o dominios la tienen los DC's, pero la configuración se lleva a cabo única y exclusivamente en el DC principal.
      En lo que a la posibilidad de pareado se refiere, una vez implementado y configurado el plugin correctamente, se puede realizar a través de la Web de pareado o bien:

      1º. Siendo realizado el mismo por el propio administrador solicitando el token de pareado al usuario.

      2º. Dando acceso los administradores a dicha web a los usuarios, para que sean ellos mismos los que introduzcan dicho token para el pareado con el Latch de sus smartphones.

      Para ampliar información al respecto, puede consultar el manual del plugin en la sección de desarrolladores llamada "Plugins y SDK".

      https://latch.elevenpaths.com/www/public/documents/resources/plugin_manuals/es/WindowsEE.pdf

      Saludos Cordiales del equipo de Eleven Paths.

      Eliminar