Guía de planeamiento de acceso seguro con tarjetas inteligentes

El almacenamiento de datos en red es un requisito esencial para casi cualquier organización. Con frecuencia, las organizaciones deben conectar a Internet redes que contienen datos confidenciales y privados para la comunicación y con fines de generación de ingresos. El constante impulso hacia una mayor conectividad supone un considerable riesgo para la seguridad, ya que la mayoría de las organizaciones utilizan nombres de usuario y contraseñas para la autenticación y la autorización de acceso a recursos de red.

En el Capítulo 1, "Introducción", se ponía de relieve el principal problema que planteaban las combinaciones de nombre de usuario y contraseña. Dado que los nombres de usuario no son secretos, sólo la contraseña proporciona un mecanismo de seguridad eficaz frente a un atacante que intente hacerse pasar por un usuario autorizado. La constatación de la vulnerabilidad de las credenciales basadas en un nombre de usuario y una contraseña ha estimulado un interés creciente en los sistemas de autenticación de dos factores.

En esta página

	Autenticación de dos factores
	Requisitos previos para la implantación
	El caso de la entidad financiera Woodgrove National Bank
	Resumen

Autenticación de dos factores

La autenticación de dos factores va más allá de la simple combinación de un nombre de usuario y un contraseña, de modo que el usuario tiene que aportar algún tipo de testigo (token) único junto con un NIP. Existen diversos medios para implantar la autenticación de dos factores y, sin duda, surgirán más en el futuro.

Testigos de hardware

Los testigos de hardware constituyen un método de dos factores en virtud del cual los usuarios cuentan con un elemento físico, como una llave electrónica similar a las de control remoto o un autenticador de tarjetas de crédito. Este hardware proporciona un código simple de un solo uso para autenticación, el cual suele cambiar cada 60 segundos. El usuario debe combinar el código de un solo uso con un NIP secreto para identificarse de forma exclusiva y obtener acceso.

Los testigos de hardware proporcionan muchas de las ventajas de las tarjetas inteligentes, pero su proceso de planeamiento e implantación puede resultar mucho más complejo. Microsoft® Windows Server™ 2003 y Windows® XP no ofrecen compatibilidad integrada con testigos de hardware.

Tarjetas inteligentes

Las tarjetas inteligentes tienen el tamaño de una tarjeta de crédito, son de plástico y contienen una microcomputadora y una pequeña cantidad de memoria que proporcionan almacenamiento seguro a prueba de alteraciones para claves privadas y certificados de seguridad X.509. Por lo general, las tarjetas inteligentes tienen 32 ó 64 KB de memoria EEPROM (Electrically Erasable Programmable Read Only Memory, memoria sólo de lectura programable y borrable eléctricamente) y memoria ROM (memoria de sólo lectura), con un 1 KB de RAM. La ROM contiene el sistema operativo de la tarjeta inteligente. La EEPROM contiene las estructuras de directorios y archivos, el subprograma de administración de NIP y el certificado de autenticación. La RAM proporciona memoria para las operaciones de la tarjeta, como el cifrado y el descifrado.

Para la autenticación en un equipo o a través de una conexión de acceso remoto, el usuario inserta la tarjeta inteligente en el lector correspondiente y especifica el NIP. El usuario no podrá obtener acceso si sólo utiliza el NIP o la tarjeta inteligente. Los NIP asociados a las tarjetas inteligentes no son susceptibles de sufrir ataques basados en la "fuerza bruta" de procesamiento, dado que la tarjeta inteligente se bloquea al cabo de varios intentos fallidos en la especificación del NIP. Dado que los NIP suelen tener ocho caracteres como máximo, suelen ser más fáciles de recordar que las contraseñas largas compuestas de caracteres aleatorios. Las tarjetas inteligentes constituyen el mecanismo de autenticación de dos factores preferido por Microsoft.

Nota: Los NIP de las tarjetas inteligentes no tienen por qué ser numéricos. Los kits de desarrollo de los fabricantes de tarjetas inteligentes permiten especificar el número de caracteres alfabéticos, numéricos, en mayúsculas, minúsculas o no alfanuméricos que se necesitan.

Microsoft implanta tarjetas inteligentes para administradores de dominios y para el acceso remoto a recursos de red, y tiene un gran interés en fomentar esta práctica como parte de la iniciativa de defensa exhaustiva. Servicios de consultoría de Microsoft, Soporte técnico Premier, Servicios de soporte al cliente, socios de Microsoft y otros proveedores de soluciones animan a las organizaciones a que utilicen las tarjetas inteligentes para proteger el acceso a sus redes.

En la siguiente lista se resumen los pasos necesarios que debe seguir un administrador de redes para implantar una solución basada en tarjetas inteligentes:

En la siguiente lista se resume el proceso necesario para integrar una solución basada en tarjetas inteligentes para el acceso remoto.

Principio de la página

Requisitos previos para la implantación

Para implantar un sistema de tarjetas inteligentes es necesario un planteamiento con el que se garantice que las organizaciones tienen en cuenta todos los problemas antes de iniciar la fase de implantación. En esta sección se describen los requisitos previos más frecuentes, aunque quizá haya requisitos adicionales en su entorno.

Identificación de cuentas

La identificación de los usuarios y grupos que precisan acceso con tarjeta inteligente es una parte importante en el proceso de implantación de un sistema basado en tarjetas inteligentes.

Nota: Pueden omitir este paso las organizaciones que cuentan con el presupuesto y cumplen los requisitos de seguridad necesarios para implantar el acceso mediante tarjetas inteligentes para todos los usuarios.

Entre los grupos y usuarios que necesiten tarjetas inteligentes pueden encontrarse los siguientes:

En una organización también puede ser necesario el acceso mediante tarjeta inteligente para usuarios y grupos no incluidos en la lista anterior, como los miembros del consejo de administración. La identificación de estas cuentas en una fase temprana del proceso contribuye a definir el alcance del proyecto y a controlar los costos.

Para identificar las cuentas de especial importancia es necesario que defina cuándo deben utilizarse las tarjetas inteligentes. Por ejemplo, un procedimiento de seguridad recomendado aconseja que los administradores tengan dos cuentas de usuario: Una cuenta estándar para las tareas cotidianas, como el correo electrónico, y una cuenta de nivel de administrador para el mantenimiento de los servidores y otras tareas administrativas. Normalmente, el administrador iniciará sesión con la cuenta de nivel de usuario y utilizará el servicio de inicio de sesión secundario para llevar a cabo tareas administrativas. El administrador también puede utilizar el componente Escritorio remoto para administración de Windows Server 2003, que admite inicios de sesión con tarjetas inteligentes. Para obtener más información acerca de las cuentas de administrador, consulte la sección Identificación de cuentas de administrador y grupos, en el Capítulo 3, "Uso de tarjetas inteligentes para la protección de las cuentas de los administradores".

Compatibilidad con la infraestructura de tarjetas inteligentes

Las tarjetas inteligentes precisan una infraestructura adecuada compatible con el sistema operativo y los elementos de la red. Microsoft ofrece compatibilidad con las implantaciones de soluciones de tarjeta inteligente que utilizan los siguientes componentes:

Entre los componentes adicionales se encuentran las estaciones de inscripción y los agentes de inscripción.

Infraestructura de claves públicas

Las tarjetas inteligentes necesitan una infraestructura de claves públicas que permita proporcionar certificados con pares de claves pública/privada para la asignación de cuentas en Active Directory. Puede implantar esta infraestructura de claves públicas de dos formas distintas: suministrar la infraestructura interna de certificados a una organización externa o utilizar Servicios de Certificate Server en Windows Server 2003. Las organizaciones pueden subcontratar de forma total o parcial el proceso de administración de certificados para las tarjetas inteligentes.

Las organizaciones financieras pueden aprovechar la posibilidad de vincular su infraestructura de claves públicas a una raíz externa de confianza para la comprobación del correo electrónico y para transacciones seguras con organizaciones asociadas. Un método alternativo consiste en utilizar servicios de Certificate Server en Windows Server 2003 para proporcionar la infraestructura de claves públicas.

Para obtener más información acerca de Servicios de Certificate Server en Windows Server 2003, consulte el sitio Web de infraestructura de claves públicas para Windows Server 2003, en la dirección www.microsoft.com/windowsserver2003/technologies/pki/default.mspx

La infraestructura de claves públicas debe incluir un mecanismo para la revocación de certificados. La revocación de certificados es necesaria en caso de caducidad o de que se sospeche que un atacante ha tenido acceso a un certificado. Cada certificado incluye la ubicación de su lista de revocación de certificados (CRL). Para obtener más información acerca de cómo administrar la revocación de certificados, consulte el tema Administrar la revocación de certificados en la dirección www.microsoft.com/resources/documentation/WindowsServ/2003/standard/proddocs/en-us/sag_CS_procs_revocation.asp

Plantillas de certificados

Windows Server 2003 proporciona plantillas específicas para la emisión de certificados digitales destinados al uso en tarjetas inteligentes. Puede copiar y personalizar estos certificados de acuerdo con los requisitos de su organización. Las tres plantillas de certificados para el uso con tarjetas inteligentes son las siguientes:

Windows Server 2003 Enterprise Edition proporciona plantillas de la versión 2 (v2) que se pueden modificar y ampliar para proporcionar múltiples prestaciones, como inicio de sesión, mensajes de correo electrónico firmados y cifrado de archivos. También puede ampliar las plantillas de certificados para que proporcionen información adicional necesaria en su organización, como datos médicos o derechos de pensión. Windows Server 2003 Enterprise Edition admite la inscripción automática, que facilita la administración de tarjetas inteligentes en las grandes organizaciones. Cuando se solicita la renovación de un certificado existe la posibilidad de utilizar el certificado actual para firmar la solicitud.

Nota: Microsoft recomienda actualizar una infraestructura de claves públicas (PKI) de Windows Server 2003 a una PKI de Windows Server 2003 con Service Pack 1 (SP1) para aprovechar las características de seguridad mejoradas.

Para obtener más información acerca de las plantillas de certificados, consulte el tema Plantillas de certificados, en la dirección www.microsoft.com/resources/documentation/WindowsServ/2003/standard/proddocs/en-us/sag_ct_topnode.asp.

Windows Server 2003

Microsoft Windows 2000 Server admite tarjetas inteligentes para el acceso remoto y autenticación de administrador para inicio de sesión en consola únicamente. Si se desea implantar tarjetas inteligentes para los administradores, es necesario que en los servidores administrados se ejecute Windows Server 2003, que admite acciones secundarias como el inicio de sesión con tarjetas inteligentes a través de conexiones de protocolo de escritorio remoto (RDP). Este requisito del sistema operativo incluye a los controladores de dominio. Para obtener más información acerca de este requisito, consulte el Capítulo 3: "Uso de tarjetas inteligentes para la protección de las cuentas de los administradores".

Active Directory

Active Directory es un componente fundamental para la implantación de sistemas basados en tarjetas inteligentes. En Windows Server 2003, Active Directory permite exigir un inicio de sesión interactivo con tarjetas inteligentes. Asimismo, ofrece la posibilidad de asignar cuentas a certificados. Esta capacidad de asociar las cuentas de usuario a los certificados vincula la clave privada de la tarjeta inteligente al certificado que se encuentra en Active Directory. La presentación de credenciales de tarjeta inteligente en el inicio de sesión requiere que Active Directory establezca una correspondencia entre esa tarjeta en particular y una única cuenta de usuario. Para obtener más información acerca de la asignación de certificados, consulte el tema Asignar certificados a cuentas de usuario, en la dirección www.microsoft.com/resources/documentation/WindowsServ/2003/all/deployguide/en-us/dssch_pki_cyek.asp.

Active Directory también admite grupos de seguridad y la Directiva de grupo para facilitar la administración del proceso de inicio de sesión con tarjetas inteligentes y la emisión de esas tarjetas.

Grupos de seguridad

Los procesos de implantación y administración de tarjetas inteligentes se simplifican considerablemente si se utilizan grupos de seguridad dentro de Active Directory para la organización de los usuarios. Por ejemplo, para una implantación típica de tarjetas inteligentes es necesario crear los siguientes grupos de seguridad:

Para obtener más información acerca de cómo crear grupos, consulte el tema Lista de comprobación: Crear un grupo, en la dirección www.microsoft.com/resources/documentation/WindowsServ/2003/standard/proddocs/en-us/sag_adgroups_checklist_create_group.asp.

Directiva de grupo

La Directiva de grupo permite aplicar una configuración a varios equipos. Puede configurar el requisito de utilización de tarjetas inteligentes para inicio de sesión interactivo en un objeto de directiva de grupo (GPO) y después aplicar ese GPO a unidades o sitios de la organización en Active Directory. Para obtener más información acerca de cómo utilizar la Directiva de grupo, consulte el Capítulo 3: "Uso de tarjetas inteligentes para la protección de las cuentas de los administradores".

Estaciones y agentes de inscripción

Una organización puede utilizar una interfaz basada en Web para emitir tarjetas inteligentes o inscribir a usuarios, que deberán especificar sus credenciales para obtener una tarjeta inteligente. En la práctica, sin embargo, esta disposición reduce el nivel de seguridad de la tarjeta inteligente al de las credenciales que se presentan a la interfaz Web. La solución preferida consiste en crear estaciones de inscripción y designar uno o más administradores como agentes de inscripción.

Nota: Las organizaciones pueden utilizar una interfaz Microsoft Management Console (MMC) o desarrollar sus propias aplicaciones de activación.

Una estación de inscripción típica es un equipo que tiene conectados dos lectores de tarjetas inteligentes. Un lector permite al agente de inscripción iniciar sesión y el otro emite nuevas tarjetas inteligentes para los usuarios. Las estaciones de inscripción requieren un certificado de inscripción y deben tener permiso para el acceso a las plantillas de certificados. La estación de inscripción tiene una configuración de Directiva de grupo que exige que se cierre la sesión cuando el agente de inscripción quita su tarjeta inteligente.

Un administrador designado asume la función del agente de inscripción y utiliza su tarjeta inteligente para iniciar sesión en la estación de inscripción. A continuación abre la página Web correspondiente a los servicios de certificados, comprueba la identidad del usuario, inscribe al usuario y emite la tarjeta inteligente inscrita.

Las organizaciones deben estudiar detenidamente el número de estaciones de inscripción necesarias, así como la ubicación de éstas. La organización podría ubicar una estación de inscripción en las oficinas de su departamento de seguridad junto con los servicios que emiten pases de acceso a las instalaciones u otro tipo de pases de seguridad. Para agilizar la implantación inicial en una gran organización, los equipos de agentes de inscripción pueden utilizar PC portátiles como estaciones de inscripción móviles en las sucursales.

Nota: Para reducir la complejidad administrativa y controlar la inscripción de tarjetas inteligentes, se recomienda restringir el número de agentes y estaciones de inscripción al mínimo necesario para la implantación.

Servidor Web de activación

Un servidor Web de activación es un componente personalizado que permite a los usuarios activar las nuevas tarjetas inteligentes mediante el restablecimiento del NIP. Algunos kits de desarrollo de software (SDK) que ofrecen los fabricantes incluyen herramientas de ayuda para la creación de un servidor Web de activación. Microsoft no proporciona el componente del servidor de activación.

Para restablecer el NIP, el usuario ejecuta una utilidad de proveedor de servicios de cifrado (CSP) que genera una cadena hexadecimal de desafío desde la tarjeta inteligente. El usuario escribe esta cadena de desafío en un campo en la página Web y el servidor Web de activación genera una respuesta. El usuario escribe la respuesta en el campo correspondiente de la utilidad que permitirá entonces al usuario establecer el NIP de la tarjeta inteligente.

El servidor Web de activación también puede formar parte del proceso de administración. Los operadores del departamento de soporte pueden aplicar este proceso para desbloquear tarjetas cuando el usuario haya especificado incorrectamente el NIP un número máximo de veces. En este caso, el usuario lee el desafío para el operador del departamento de soporte, quien devuelve una respuesta.

EAP-TLS

En los entornos de seguridad basados en certificados se utiliza EAP-TLS (EAP-Seguridad en el nivel de transporte) para proporcionar la autenticación y el método de determinación de claves más seguros. EAP-TLS proporciona autenticación mutua, negociación del método de cifrado y determinación de las claves cifradas entre el cliente y el autenticador. RFC 2284 proporciona una descripción detallada del protocolo EAP.

Evaluar las tarjetas inteligentes

Lo más importante en la evaluación de las tarjetas inteligentes es asegurarse de que el modelo elegido admite la longitud que se ha previsto para las claves. Windows Server 2003 admite longitudes de clave de certificado comprendidas entre 384 bits (seguridad de bajo nivel) y 16.384 bits (máxima seguridad).

Los certificados que tienen claves de longitud superior proporcionan una mayor seguridad que los que tienen claves más cortas, pero también aumentan considerablemente el inicio de sesión con una tarjeta inteligente. Las limitaciones de memoria en la tarjeta inteligente también imponen una restricción a la longitud máxima de las claves de memoria que se pueden utilizar.

Una longitud de clave de certificado de 1.024 bits resulta adecuada para proteger cuentas de administrador o el acceso remoto. Un certificado con una clave de 1.024 bits ocupa, aproximadamente, 2,5 KB de espacio en la memoria de la tarjeta inteligente. Entre otros requisitos de memoria se incluye el sistema operativo (16 KB), aplicaciones del fabricante para la tarjeta inteligente, como el CSP (8 KB), y la estructura de archivos y directorios de la tarjeta inteligente (4 KB). En consecuencia, es poco probable que las tarjetas inteligentes con menos de 32 KB de memoria sean aptas para el almacenamiento de certificados de inicio de sesión y proporcionen la funcionalidad necesaria para ampliar una solución de tarjeta inteligente.

El segundo factor que se debe tener en cuenta es si la tarjeta dispone de compatibilidad integrada con Windows Server 2003 y Windows XP. Antes de adquirir tarjetas inteligentes, discuta con el fabricante los requisitos que le interesan.

Nota: Debe obtener las tarjetas inteligentes directamente de los fabricantes respectivos. Las tarjetas inteligentes no pueden obtenerse a través de Microsoft.

Aunque Windows XP y la familia Windows Server 2003 dispongan de compatibilidad integrada con algunas tarjetas inteligentes, otras tarjetas inteligentes con cifrado basadas en RSA también funcionan correctamente con esos sistemas operativos. Para las tarjetas con las que Windows no es compatible de forma nativa, el fabricante de la tarjeta debe implantar un CSP para la tarjeta que utilice la CAPI.

Para obtener más información acerca de la evaluación de tarjetas inteligentes, consulte el tema sobre evaluación de tarjetas inteligentes y lectores, en la dirección www.microsoft.com/technet/prodtechnol/windowsserver2003/library/DepKit/0eae38ec-d6e5-4ca7-96a3-42f2fd6c6e74.mspx.

Administración de NIP

Un usuario puede cambiar el NIP de una tarjeta inteligente cuando lo desee mediante una utilidad que permite al CSP mostrar el cuadro de diálogo del NIP de la clave privada. El usuario especifica el NIP antiguo y el NIP nuevo dos veces. Como a los usuarios les resulta más fácil recordar los NIP si los seleccionan personalmente, deben disponer de herramientas que les permitan cambiar de NIP.

Nota: Quizá sea preciso recordar a los usuarios que no establezcan NIP demasiado fáciles de adivinar, como su fecha de nacimiento, la matrícula de su automóvil o alguno de sus números de teléfono.

El usuario es responsable de la administración de los NIP a través de los servicios que presta el CSP. Windows XP y la familia de sistemas operativos Windows Server 2003 no administran NIP. Para conocer las herramientas de administración de NIP y las instrucciones correspondientes, póngase en contacto con el fabricante de las tarjetas inteligentes.

La mayoría de los fabricantes ofrecen tarjetas inteligentes que se integran directamente con Windows 2000 o posterior sin que sea necesaria ninguna tarea adicional de personalización o programación. Los fabricantes suministran estas tarjetas inteligentes con un NIP predeterminado y ofrecen la posibilidad de establecer restricciones para la tarjeta; por ejemplo, que sea necesario un restablecimiento del NIP en el momento de la inscripción. Sin embargo, en el caso de muchas empresas se considera que esta disposición no es aceptable.

Para crear un NIP más complejo y seguro, especifique con las herramientas de administración de NIP que los usuarios elijan un NIP con una longitud de entre cinco y ocho caracteres. Asegúrese de que el fabricante de tarjetas inteligentes seleccionado admite un NIP de hasta ocho caracteres.

Kits de desarrollo de software para tarjetas inteligentes

Microsoft no proporciona ninguna solución de serie para la implantación de tarjetas inteligentes. Quizá deba realizar más operaciones de personalización si su entorno lo requiere.

Los fabricantes de tarjetas inteligentes ofrecen kits de desarrollo de software y herramientas de personalización con las que las organizaciones puedan personalizar sus implantaciones de tarjetas inteligentes. Por ejemplo, los desarrolladores tienen la posibilidad de utilizar un kit de desarrollo de software para emitir tarjetas inteligentes en estado pendiente. Cuando el agente de inscripción emite la tarjeta, el usuario la activa y cambia el NIP. Si desea aprovechar el mayor nivel de seguridad que ofrece este método, deberá prever tareas de personalización y programación adicionales.

Evaluar lectores de tarjetas inteligentes

El factor más importante a la hora de seleccionar un lector de tarjetas inteligentes es que se adapte a la finalidad que se pretende. Por ejemplo, una estación de trabajo moderna situada en el escritorio de un administrador tiene dos conexiones USB o más, por lo que es probable que un lector de tarjetas inteligentes USB constituya la opción más adecuada. El usuario puede conectar el lector de tarjetas inteligentes junto al monitor o en otra ubicación que resulte práctica. Los usuarios que establezcan conexiones de acceso remoto desde equipos portátiles suelen preferir los lectores de tarjetas inteligentes con formato PC Card.

Los teclados pueden incluir lectores de tarjetas inteligentes que también funcionen a través de una interfaz USB. Estos teclados son aptos para un solo equipo. Pueden funcionar con varios equipos instalados en bastidores de servidor si se utilizan conmutadores de teclado, vídeo y mouse (KVM) equipados con USB. Consulte al fabricante del conmutador KVM si el dispositivo admite la autenticación con tarjetas inteligentes para varios servidores.

Windows XP y la familia Windows Server 2003 admiten los lectores de tarjetas inteligentes que se enumeran en la tabla siguiente. Windows instala los controladores adecuados al detectar el hardware del lector de tarjetas inteligentes Plug and Play.

Nota: Microsoft recomienda utilizar lectores de tarjetas inteligentes que hayan obtenido el logotipo de compatibilidad con Windows.

Tabla 2.1: Lectores de tarjetas inteligentes compatibles con Windows Server 2003

Nota: Los lectores de tarjetas inteligentes que utilizan una interfaz serie necesitan que se reinicie el equipo después de la instalación. Este requisito puede no ser aceptable para implantaciones de servidor.

Microsoft no admite ni recomienda el uso de lectores de tarjetas inteligentes que no sean Plug and Play. Si utiliza un lector de ese tipo, debe obtener instrucciones para la instalación (esto incluye el software del controlador del dispositivo asociado) directamente del fabricante del lector de tarjetas inteligentes.

Principio de la página

El caso de la entidad financiera Woodgrove National Bank

En los restantes capítulos de esta guía se utiliza el caso del banco Woodgrove National Bank. Woodgrove National Bank es un banco ficticio de inversiones de ámbito global, líder en su sector, que en su papel como intermediario financiero tiene clientes institucionales, corporativos, gubernamentales y particulares. Sus actividades incluyen valores, ventas y operaciones bursátiles, servicios de asesoramiento financiero, investigación relacionada con la inversión, capital de riesgo y servicios de correduría para instituciones financieras.

Woodgrove National Bank tiene más de 15.000 empleados en más de 60 oficinas distribuidas por todo el mundo. Tiene sedes corporativas (centros de concentración) con un gran número de empleados en Nueva York (5.000 empleados), Londres (5.200 empleados) y Tokio (500 empleados). Cada centro de concentración da soporte a varias oficinas.

Aunque Woodgrove National Bank cuenta con un entorno de servidor mixto que en el que se utilizan Windows Server y UNIX, su infraestructura se ejecuta sobre una red troncal basada en Windows Server. Tienen 1.712 servidores Windows, en la mayoría de los cuales se ejecuta Windows Server 2003. Alrededor de un centenar de estos servidores están conectados a Internet. En la organización también hay 18.000 estaciones de trabajo y 2.000 equipos portátiles. La organización está estableciendo una arquitectura de referencia normalizada en torno a Windows XP Professional con SP2 y un estándar para servidores basado en Windows Server 2003 con SP1.

La mayoría de los servidores se encuentran en tres sedes corporativas. La organización ha distribuido las estaciones de trabajo y los equipos portátiles por todas las ubicaciones. Los equipos portátiles se trasladan con frecuencia entre países y regiones. La entidad Woodgrove National Bank utiliza Microsoft Systems Management Server 2003 para administrar equipos de escritorio y portátiles, y Microsoft Operations Manager (MOM) 2005 para administrar los servidores.

Woodgrove National Bank debe ajustarse a los requisitos de la normativa financiera vigente en cada país o región en que opera. También debe cumplir con las leyes de protección de datos y demostrar eficacia en la seguridad de las operaciones.

En el resto de este documento se describen las opciones de diseño disponibles para la entidad Woodgrove National Bank ante el planeamiento de la implantación del sistema de tarjetas inteligentes.

Principio de la página

Resumen

En este capítulo se han descrito consideraciones comunes necesarias para planear soluciones de autenticación con tarjetas inteligentes. Esto incluye los requisitos previos, como la infraestructura de claves públicas y Active Directory. Se ha destacado la necesidad de evaluar las tarjetas inteligentes y los lectores de tarjetas inteligentes, y se han tratado los aspectos relacionados con la memoria de las tarjetas inteligentes, la longitud de las claves y la administración de los NIP. Los siguientes capítulos se concentran en los aspectos exclusivos del uso de las tarjetas inteligentes para ayudar a proteger las cuentas de administrador y el acceso remoto a redes.

Principio de la página

3 de 7