Académique Documents
Professionnel Documents
Culture Documents
disruptiva en seguridad
ElevenPaths
info@elevenpaths.com
elevenpaths.com
Gua de instalacin y uso del plugin Latch for Windows Enterprise Edition
para acceder a sistemas Microsoft Windows
V.4.1 Enero 2015
CONTENIDO
1 Obtencin del plugin Latch....................................................................................... 3
1.1 Requisitos previos..................................................................................................................... 3
1.2 Obtencin del identificador de la aplicacin ............................................................................ 3
1.3 Descarga del plugin................................................................................................................... 7
2.2.2
2.2.3
Sincronizacin........................................................................................................................... 12
2.2.4
3.1.2
2015 Telefnica Digital Identity & Privacy, S.L.U. All Rights Reserved.
Pgina 2 de 23
Gua de instalacin y uso del plugin Latch for Windows Enterprise Edition
para acceder a sistemas Microsoft Windows
V.4.1 Enero 2015
Sistema operativo Microsoft Windows Server 2003 R2, 2008, 2008 R2, 2012 o 2012 R2 (32 o
64 bits).
Versin 4 del .Net Framework. (En caso de no disponer de este framework el plugin lo
instalar, siendo posible que para esta instalacin sean a su vez necesarias otras).
2015 Telefnica Digital Identity & Privacy, S.L.U. All Rights Reserved.
Pgina 3 de 23
Gua de instalacin y uso del plugin Latch for Windows Enterprise Edition
para acceder a sistemas Microsoft Windows
V.4.1 Enero 2015
Tras pulsar el botn Registrarse como desarrollador, se selecciona la pestaa Crear una nueva
cuenta de desarrollador, donde aparecer un formulario que el usuario tendr que rellenar para
realizar el registro como desarrollador.
Una vez completado, el desarrollador recibir un correo electrnico en la direccin que ha indicado,
con un cdigo para activar la cuenta recin creada.
2015 Telefnica Digital Identity & Privacy, S.L.U. All Rights Reserved.
Pgina 4 de 23
Gua de instalacin y uso del plugin Latch for Windows Enterprise Edition
para acceder a sistemas Microsoft Windows
V.4.1 Enero 2015
Activada la cuenta, el desarrollador ya est en disposicin de crear aplicaciones con Latch y acceder
a la documentacin para desarrolladores, incluyendo los SDKs y los plugins existentes.
Para ello el desarrollador debe iniciar sesin en la pgina web de Latch y acceder de nuevo a la
seccin rea de desarrolladores (https://latch.elevenpaths.com/www/developerArea), desde
donde podr observar sus aplicaciones, a travs de la seccin Mis aplicaciones del men lateral.
Imagen 04: Seccin Mis aplicaciones con las aplicaciones que haya configurado el usuario.
Desde el botn Aadir una nueva aplicacin, el desarrollador crear una nueva aplicacin, siendo
el nombre indicado, el que desea que aparezca en la aplicacin mvil de los usuarios finales.
Imagen 05: Creacin de una aplicacin. El nombre indicado se mostrar en la aplicacin mvil.
Al crear la aplicacin, se muestra informacin acerca de la misma, siendo parte de ella editable. Los
datos fundamentales que el desarrollador deber utilizar cuando instale el plugin son el ID de
aplicacin y el Secreto. Adems existen los siguientes parmetros adicionales que el desarrollador
podr modificar en cualquier momento, y que establecen las caractersticas de su aplicacin:
Nombre: Se corresponde con el nombre de la aplicacin que vern los usuarios finales en sus
dispositivos cuando pareen el servicio. Ellos mismos podrn personalizarlo en su propio
dispositivo si as lo desean.
2015 Telefnica Digital Identity & Privacy, S.L.U. All Rights Reserved.
Pgina 5 de 23
Gua de instalacin y uso del plugin Latch for Windows Enterprise Edition
para acceder a sistemas Microsoft Windows
V.4.1 Enero 2015
Imagen: Se corresponde con el icono de la aplicacin que aparecer en el dispositivo del usuario
final, su tamao no debe superar 1MB. Se recomienda que est en formato png de 24 bits sin
canal alfa, y que sus proporciones sean 1:1.
2 factor OTP (One-time password): Solo est disponible para desarrolladores con un modelo de
suscripcin que no sea de tipo Community. Posibilita que el servicio est protegido adems por
una contrasea, que se le enviara al usuario final en el momento en que quisiera acceder al
servicio. La configuracin del OTP puede ser:
1. Deshabilitado: No aparecera la opcin en el dispositivo mvil del usuario final.
2. Opcional: El usuario final podra elegir si desea utilizar esta opcin para proteger el servicio.
3. Obligatorio: El usuario final recibira una contrasea cada vez quisiera acceder al servicio.
Bloquear tras consultar: Solo est disponible para desarrolladores con un modelo de suscripcin
que no sea de tipo Community. Posibilita que el servicio se bloquee automticamente una vez
que se ha accedido al mismo. La configuracin de esta opcin puede ser:
1. Deshabilitado: No aparecera la opcin en el dispositivo mvil del usuario final.
2. Opcional: El usuario final podra elegir si desea utilizar esta opcin para proteger el servicio.
3. Obligatorio: El servicio se bloquear automticamente una vez que se hubiera accedido al
mismo. En este ltimo caso, la opcin Programar bloqueo desaparecera de la vista de
detalles del servicio.
Operaciones: Se corresponde con cada una de las acciones incluidas en el servicio pero
independientes entre s, y que el desarrollador quiere proteger con Latch. La cantidad de
operaciones que se pueden incluir depende del modelo de suscripcin elegido. En cada una de
las operaciones se puede utilizar un "2 factor OTP" (OTP) y un Bloquear tras consultar (LOR).
La creacin de operaciones no es obligatoria y depender de la naturaleza del servicio que se
desea proteger.
Nota: Es recomendable crear 2 operaciones para este plugin, una correspondiente al acceso a la
aplicacin (login en este caso) sin OTP, y otra correspondiente al despareo de la misma (unpair
en este caso) que s soporta OTP. Esto va a hacer que el usuario final tenga un mayor control
sobre el uso de Latch en su cuenta, ya que por un lado proteger el acceso a su sistema operativo
Windows que tenga pareado, y por otro impedir que, si un usuario malintencionado consigue
sus credenciales de alguna forma, (cookies, robo de sesin, Hijacking) no pueda quitar la
proteccin que proporciona Latch.
Una vez finalizada la configuracin y guardados los cambios, la nueva aplicacin aparecer en el
listado de aplicaciones del desarrollador. Este podr editarla en el momento que desee.
Imagen 06: Aplicacin creada. Se puede editar de nuevo para cambiar las caractersticas indicadas anteriormente.
2015 Telefnica Digital Identity & Privacy, S.L.U. All Rights Reserved.
Pgina 6 de 23
Gua de instalacin y uso del plugin Latch for Windows Enterprise Edition
para acceder a sistemas Microsoft Windows
V.4.1 Enero 2015
2015 Telefnica Digital Identity & Privacy, S.L.U. All Rights Reserved.
Pgina 7 de 23
Gua de instalacin y uso del plugin Latch for Windows Enterprise Edition
para acceder a sistemas Microsoft Windows
V.4.1 Enero 2015
Adems si no se desea usar el administrador del dominio, debe crearse un usuario con permisos
suficientes como para modificar los valores de los registros en todos los controladores de dominio.
Este a su vez se utilizar para la configuracin de la web de pareado, y ser con el que se inicie el
servicio de sincronizacin de los valores de registros entre los controladores de dominio.
2015 Telefnica Digital Identity & Privacy, S.L.U. All Rights Reserved.
Pgina 8 de 23
Gua de instalacin y uso del plugin Latch for Windows Enterprise Edition
para acceder a sistemas Microsoft Windows
V.4.1 Enero 2015
Al finalizar dicha instalacin, el plugin se ha aadido como una aplicacin ms del sistema operativo
con el nombre Latch para Windows.
Imagen 11: Inclusin del Application ID, del Secret y de los id de las operaciones.
A continuacin hay que reiniciar el sistema operativo para habilitar el plugin. Este reinicio puede
hacerse antes o despus de finalizar toda la configuracin del plugin, sin embargo siempre debe
realizarse despus de modificar el estado de la casilla Habilitado.
2015 Telefnica Digital Identity & Privacy, S.L.U. All Rights Reserved.
Pgina 9 de 23
Gua de instalacin y uso del plugin Latch for Windows Enterprise Edition
para acceder a sistemas Microsoft Windows
V.4.1 Enero 2015
A
continuacin
el
administrador
deber
incluir
el
contenido
del
LatchForWindowsLoginWebApp.zip, en la raz del nuevo sitio web creado: ParearLatch.
2015 Telefnica Digital Identity & Privacy, S.L.U. All Rights Reserved.
fichero
Pgina 10 de 23
Gua de instalacin y uso del plugin Latch for Windows Enterprise Edition
para acceder a sistemas Microsoft Windows
V.4.1 Enero 2015
En caso de que el servidor web est alojado en un servidor diferente al del controlador de dominio,
el administrador deber modificar el fichero Web.config incluido en el sitio web ParearLatch. Esta
modificacin exige que se aada la direccin IP del PDC o su nombre en dicho fichero.
2015 Telefnica Digital Identity & Privacy, S.L.U. All Rights Reserved.
Pgina 11 de 23
Gua de instalacin y uso del plugin Latch for Windows Enterprise Edition
para acceder a sistemas Microsoft Windows
V.4.1 Enero 2015
2.2.3 Sincronizacin
Puede darse el caso de que la infraestructura de la empresa disponga de varios equipos
controladores de dominio. En este caso en el PDC se realizarn todos los cambios que luego se
replicarn en los otros equipos controladores de dominio. Adems en cada uno de los controladores
de dominio utilizados deber habilitarse el servicio de registro remoto.
El plugin de Latch deber instalarse en todos los controladores de dominio, de tal forma que todos
puedan disponer de las libreras necesarias para la utilizacin del plugin. En los controladores de
dominio adicionales el plugin solo necesita ser habilitado, y en ellos no deberan modificarse los
valores de configuracin de los clientes, ya que el PDC es el nico que tratar y replicar dicha
informacin.
El plugin incluye un servicio de sincronizacin para que los cambios relacionados con Latch que se
realicen en el PDC (cambios en la web de pareado, nuevos usuarios pareados, agregar usuarios,
cambios de configuracin, etctera), se repliquen correctamente en los dems controladores de
dominio.
La sincronizacin se realizar partiendo desde el PDC, para ello deber crease un servicio que apunte
al
fichero
LatchForWindowsLoginSync.exe
extrado
del
fichero
comprimido
LatchForWindowsLoginSync.zip, situado en la carpeta de instalacin del plugin: C:\Program
Files\Eleven Paths\Latch for Windows.
Para la realizacin de esta gua se ha creado un servicio llamado LatchLogin a travs de la consola:
sc create LatchLogin binPath= C:\Program Files\Eleven Paths\Latch for Windows
\LatchForWindowsLoginSync\LatchForWindowsLoginSync\LatchForWindowsLoginSync.exe
start=auto
Una vez creado este servicio, debe configurarse el usuario con privilegios que se cre para modificar
los valores en el registro de los controladores de dominio. De esta forma los cambios que se
produzcan tanto en la web de pareado como en el PDC se van a replicar en los otros controladores
de dominio. Esta replicacin es unidireccional.
2015 Telefnica Digital Identity & Privacy, S.L.U. All Rights Reserved.
Pgina 12 de 23
Gua de instalacin y uso del plugin Latch for Windows Enterprise Edition
para acceder a sistemas Microsoft Windows
V.4.1 Enero 2015
Para configurar la sincronizacin debe abrirse la aplicacin Latch para Windows y pulsar el botn
Sincronizacin. En la nueva ventana se aaden todos los controladores de dominio existentes.
Adems se puede configurar la frecuencia con la que el PDC replicar en los dems controladores de
dominio.
2015 Telefnica Digital Identity & Privacy, S.L.U. All Rights Reserved.
Pgina 13 de 23
Gua de instalacin y uso del plugin Latch for Windows Enterprise Edition
para acceder a sistemas Microsoft Windows
V.4.1 Enero 2015
2015 Telefnica Digital Identity & Privacy, S.L.U. All Rights Reserved.
Pgina 14 de 23
Gua de instalacin y uso del plugin Latch for Windows Enterprise Edition
para acceder a sistemas Microsoft Windows
V.4.1 Enero 2015
Los usuarios lo nico que necesitan es tener la aplicacin Latch instalada en el telfono, y
sern ellos los que nicamente puedan generar el cdigo de pareado.
Imagen 18: Pantalla donde un usuario deber introducir el cdigo de pareado generado por Latch.
Paso 2: Desde la aplicacin Latch del dispositivo mvil deber obtener el cdigo de pareado, para
ello deber pulsar el botn Aadir nuevo servicio, situado en la parte inferior de la aplicacin (y
en la nueva pantalla que aparecer, el botn Generar nuevo cdigo.
Paso 3: A continuacin debe introducir (antes de que expiren) los mismos caracteres mostrados
en el dispositivo mvil, en el sitio creado por el administrador para realizar el pareado con Latch y
pulsar el botn para confirmar el pareado. En el dispositivo mvil se recibir una notificacin
indicando que el servicio ya est pareado.
2015 Telefnica Digital Identity & Privacy, S.L.U. All Rights Reserved.
Pgina 15 de 23
Gua de instalacin y uso del plugin Latch for Windows Enterprise Edition
para acceder a sistemas Microsoft Windows
V.4.1 Enero 2015
Paso 4: Una vez pareado, el usuario final podr acceder al listado de servicios que mantiene
pareados en Latch. Podr comprobar que se ha aadido el recientemente pareado. A partir de
este momento el usuario ser capaz de bloquear y desbloquear el acceso a estos servicios,
simplemente pulsando el botn junto al nombre de cada uno.
Para realizar una prueba del funcionamiento, el usuario final deber bloquear su servicio con Latch,
e intentar acceder de nuevo, introduciendo sus credenciales.
2015 Telefnica Digital Identity & Privacy, S.L.U. All Rights Reserved.
Pgina 16 de 23
Gua de instalacin y uso del plugin Latch for Windows Enterprise Edition
para acceder a sistemas Microsoft Windows
V.4.1 Enero 2015
El resultado ser que no podr acceder aunque introduzca las credenciales correctas, y adems
recibir una notificacin en el dispositivo mvil, indicando que se ha detectado un intento de acceso
al servicio. En esta notificacin se incluyen el correo electrnico y el nmero de telfono que el
desarrollador indic (imagen 5).
Imagen 26: Mensaje de error devuelto por Windows al estar el servicio bloqueado por Latch.
Tras desbloquear el servicio desde Latch e introducir de nuevo sus credenciales el usuario s ser
capaz de acceder.
2015 Telefnica Digital Identity & Privacy, S.L.U. All Rights Reserved.
Pgina 17 de 23
Gua de instalacin y uso del plugin Latch for Windows Enterprise Edition
para acceder a sistemas Microsoft Windows
V.4.1 Enero 2015
2015 Telefnica Digital Identity & Privacy, S.L.U. All Rights Reserved.
Pgina 18 de 23
Gua de instalacin y uso del plugin Latch for Windows Enterprise Edition
para acceder a sistemas Microsoft Windows
V.4.1 Enero 2015
El usuario final puede realizar el despareo desde la misma pgina web desde la que se pare,
simplemente deber pulsar el botn Desparear. Esta accin puede estar protegida con Latch, ya
que cuando se cre la aplicacin se aadi una operacin llamada unpair (vase imagen 05) para
impedir precisamente que un usuario malintencionado desparee al usuario legtimo .
Hay que indicar que el administrador siempre podr desparear al usuario final desde la herramienta
de escritorio, independientemente de que este tenga o no la operacin unpair bloqueada. Esta
operacin solo bloquea la accin si se realiza desde la web.
En cualquiera de los dos casos el usuario recibir una notificacin indicando que el servicio ha sido
despareado, y por tanto ha perdido la proteccin adicional que Latch proporciona.
2015 Telefnica Digital Identity & Privacy, S.L.U. All Rights Reserved.
Pgina 19 de 23
Gua de instalacin y uso del plugin Latch for Windows Enterprise Edition
para acceder a sistemas Microsoft Windows
V.4.1 Enero 2015
2015 Telefnica Digital Identity & Privacy, S.L.U. All Rights Reserved.
Pgina 20 de 23
Gua de instalacin y uso del plugin Latch for Windows Enterprise Edition
para acceder a sistemas Microsoft Windows
V.4.1 Enero 2015
5 Deshabilitacin de emergencia
Para impedir que se ejecute el plugin, es posible entrar en el sistema Windows en Modo a prueba
de fallos, con esta accin no se realiza la carga del plugin.
Otra posibilidad es acceder con un LiveCDse u otro mtodo de arranque que no autentique frente al
dominio y renombrar el archivo LatchWindowsSubauthProvider.dll ubicado en la carpeta
C:\Windows\System32 de todos los controladores de dominio. Para volver a habilitar el plugin, solo
es necesario renombrar el fichero con su nombre original y reiniciar el equipo.
2015 Telefnica Digital Identity & Privacy, S.L.U. All Rights Reserved.
Pgina 21 de 23
Gua de instalacin y uso del plugin Latch for Windows Enterprise Edition
para acceder a sistemas Microsoft Windows
V.4.1 Enero 2015
6 Recursos
Para informacin acerca de cmo utilizar la app Latch, y probar gratuitamente sus mltiples
caractersticas, puede consultarse la gua del usuario en espaol e ingls:
1. Gua del usuario de Latch con Nevele Bank.
2. Latch users guide for Nevele Bank.
Adems puede encontrarse la siguiente documentacin constantemente ampliada:
Manuales en espaol e ingls acerca de la integracin y utilizacin de Latch con los plugins
disponibles, en la propia web de Latch y en el canal de Slideshare de ElevenPaths.
2015 Telefnica Digital Identity & Privacy, S.L.U. All Rights Reserved.
Pgina 22 de 23
Gua de instalacin y uso del plugin Latch for Windows Enterprise Edition
para acceder a sistemas Microsoft Windows
V.4.1 Enero 2015
PUBLICACIN:
Enero 2015
La informacin contenida en el presente documento es propiedad de Telefnica Digital Identity & Privacy, S.L.U. (TDI&P) y/o de
cualquier otra entidad dentro del Grupo Telefnica o sus licenciantes. TDI&P y/o cualquier compaa del Grupo Telefnica o los
licenciantes de TDI&P se reservan todos los derechos de propiedad industrial e intelectual (incluida cualquier patente o copyright) que se
deriven o recaigan sobre este documento, incluidos los derechos de diseo, produccin, reproduccin, uso y venta del mismo, salvo en el
supuesto de que dichos derechos sean expresamente conferidos a terceros por escrito. La informacin contenida en el presente
documento podr ser objeto de modificacin en cualquier momento sin necesidad de previo aviso.
La informacin contenida en el presente documento no podr ser ni parcial ni totalmente copiada, distribuida, adaptada o reproducida en
ningn soporte sin que medie el previo consentimiento por escrito por parte de TDI&P.
El presente documento tiene como nico objetivo servir de soporte a su lector en el uso del producto o servicio descrito en el mismo. El
lector se compromete y queda obligado a usar la informacin contenida en el mismo para su propio uso y no para ningn otro.
TDI&P no ser responsable de ninguna prdida o dao que se derive del uso de la informacin contenida en el presente documento o de
cualquier error u omisin del documento o por el uso incorrecto del servicio o producto. El uso del producto o servicio descrito en el
presente documento se regular de acuerdo con lo establecido en los trminos y condiciones aceptados por el usuario del mismo para su
uso.
TDI&P y sus marcas (as como cualquier marca perteneciente al Grupo Telefnica) son marcas registradas. TDI&P y sus filiales se reservan
todo los derechos sobre las mismas.
2015 Telefnica Digital Identity & Privacy, S.L.U. All Rights Reserved.
Pgina 23 de 23