1. Introducción
Windows es una familia de sistemas operativos desarrollados y comercializados por Microsoft. Existen versiones para hogares, empresas, servidores y dispositivos móviles, como computadores de bolsillo y teléfonos inteligentes. Hay variantes para procesadores de 16, 32 y 64 bits.
Incorpora diversas aplicaciones como Internet Explorer, el Reproductor de Windows Media, Windows Movie Maker, Windows Mail, Windows Messenger, Windows Defender, entre otros.
Desde hace muchos años es el sistema operativo más difundido y usado del mundo; de hecho la mayoría de los programas se desarrollan mayoritariamente para este sistema.
Windows ha pasado por distintas versiones:
Windows 3.1. Es la versión anterior a Windows 95. Hoy día ya está totalmente obsoleta, sin embargo fue el primer entorno gráfico para los PC (antes ni siquiera se usaba el ratón).
Windows 95. Sistema operativo que revolucionó la informática y la hizo más cómoda para los usuarios del PC. Todos los sistemas Windows actuales se basan en esta versión, ya muy superada.
Windows 98. La versión de Windows 95 del año 1998. Hay muchas personas que lo siguen utilizando.
Windows NT. Versión profesional de Windows, sistema para grandes ordenadores o redes locales de ordenadores. Se maneja igual que Windows 95, pero el interior del sistema (su potencia) es muy superior.
Windows 2000. Versión de Windows NT creada en el año 2000. Resultó muy estable. Integró notables mejoras de seguridad y de gestión del sistema.
Windows Me (Millenium). Versión Windows personal creada en el año 2000. Se puede considerar el nuevo Windows 98. No tuvo mucho éxito debido a su inestabilidad.
Windows XP. Versión de Windows más extendida. Pretende integrar los sistemas Windows de casa con los profesionales. Usa tecnología NT. De hecho se trata de una versión más moderna de Windows 2000. Ha añadido importantes mejoras visuales y una gran facilidad de uso y de control. Hay dos versiones fundamentales: Windows XP Home (para usuarios particulares sin grandes pretensiones de software) y Windows XP Professional (para usuarios profesionales o grandes ordenadores). Esta última es mucho más estable.
Windows Server 2003. Versión más extendida de Windows para servidores. Está basada en el núcleo de Windows XP, al que se le han añadido una serie de servicios, y se le han bloqueado algunas de sus características (para mejorar el rendimiento, o simplemente porque no serán usadas).
Windows Vista. Apareció en el mercado el 30 de enero de 2007. Cabe destacar los continuos retrasos en las fechas de entrega del sistema operativo. Inicialmente se anunció su salida al mercado a inicios-mediados de 2006; posteriormente y debido a problemas durante el proceso de desarrollo, se retrasó su salida hasta finales de 2006. El último retraso trasladó la fecha hasta finales de enero de 2007. Estos continuos retrasos han llevado a Microsoft a tomar diversas medidas para minimizar los gastos extras derivados de los retrasos. También cabe destacar que Windows Vista trae una nueva interfaz gráfica llamada Aero, que es una evolución de la interfaz gráfica denominada Luna de Windows XP.
Windows Server 2008. Al igual que Windows Server 2003 se basa en Windows XP, a su vez, Windows Server 2008 se basa en Windows Vista en cuanto a su interfaz Aero, mucho más amigable y sencilla, y en Windows Server 2003 SP2.
Windows CE y Windows Mobile. Versiones de Windows para dispositivos móviles (PDA).
Windows 7. Es la última versión de Microsoft Windows, la cual sucede a Windows Vista. Aparecido a finales del 2009, ha tenido una gran aceptación por el gran público (no como el Vista)
2. Instalación de Windows XP
Antes de instalar Windows XP, es conveniente asegurarnos de que los componentes de nuestro hardware cumplen los requisitos mínimos y que todo nuestro sistema informático es compatible con XP. Si lo instalamos en un sistema moderno, no debería haber muchos problemas, pero en sistemas más antiguos si podemos encontrarnos con incompatibilidades.
Requisitos de Hardware
CPU: Microprocesador Pentium 2 de 233 MHz o equivalente. (Recomendado Pentium 2 a 300 MHz o equivalente).
RAM: Se recomienda 128 megabytes (MB). 64 MB de RAM es el mínimo de y 4 gigabytes (GB) de RAM es el máximo.
Disco duro: Partición con un tamaño mínimo de 2GB, disponiendo al menos de 1,5 GB de espacio libre en el disco duro.
Monitor: Resolución VGA o superior.
Accesorios: Teclado y Ratón o dispositivos compatibles.
Dispositivos: Unidad de CD-ROM o DVD.
En términos generales, cualquier equipo adquirido después del año 2000, cumplirá estos requisitos mínimos de hardware, lo que nos permitirá instalar en él el sistema operativo Mcrosoft Windows XP Home Edition o Professional. (La edición Home es una versión especial del sistema operativo que tiene recortadas diversas capacidades).
Instalación limpia desde un Windows anterior
Si sistema operativo actual no es compatible o no deseamos conservar una instalación previa, podemos realizar una instalación limpia desde el sistema operativo actual. Con este tipo de instalación conseguiremos un sistema operativo mucho más eficiente y efectivo.
Podemos hacer una instalación limpia de Windows XP de dos formas. O bien podemos arrancar la maquina con el CD de instalación, o bien podemos insertar el CD con el sistema operativo actual en funcionamiento, y escoger la opción de instalar Windows XP.
En general, para instalar una copia nueva mediante el disco compacto en un sistema que ya este en funcionamiento seguiremos los siguientes pasos:
Iniciamos el equipo con el sistema operativo actual e insertamos el CD de Windows XP Professional en la unidad de CD-ROM.
Si Windows detecta automáticamente el CD, aparecerá el cuadro de diálogo del CD de Windows XP Professional. Para iniciar la actualización, hacemos clic en ‘Instalar Windows XP’. Se iniciará el asistente para la instalación.
Si Windows no detecta automáticamente el disco compacto, hacemos clic en Inicio y, después, en Ejecutar. A continuación, escribimos la ruta de acceso al archivo de instalación, tal y como se indica a continuación. D:\setup. (Obviamente, D se sustituye por la letra de nuestra unidad óptica).
Cuando se nos pide que elijamos un tipo de instalación, seleccionamos ‘Instalación Nueva’ y, después, hacemos clic en ‘Siguiente’.
Tras aceptar el contrato e introducir la clave de producto, y si disponemos de conexión a Internet, podemos descargarnos archivos actualizados de la instalación, a fin de disponer de las últimas actualizaciones disponibles para nuestro sistema operativo.
A continuación se iniciará la fase de copia de archivos, la cual requerirá algún reinicio.
Seleccionar opciones especiales. Podemos personalizar la instalación de Windows XP, el idioma y la configuración de accesibilidad para instalaciones nuevas.
Seleccionar un sistema de archivos. Escogeremos el sistema de archivos NTFS a menos que tengamos una razón de peso para escoger FAT 32.
Configuración regional. Podemos cambiar la configuración regional del usuario y el sistema para los distintos idiomas y regiones.
Personalice su software. Escribimos el nombre completo de la persona que hará uso del equipo y, opcionalmente, de la organización a quien se concede la licencia de esta copia de Windows XP Professional. Estos campos son simplemente informativos, pero hay que recordar que podrán ser vistos en la red local y en Internet.
Nombre de equipo y contraseña de administrador. Escribimos un nombre de equipo único, que sea diferente de otros nombres de equipo, grupo de trabajo o dominio de la red. El asistente propone un nombre de equipo, pero podemos cambiarlo (durante la instalación o posteriormente). NOTA.- Es muy peligroso utilizar un nombre de equipo que coincida con el nombre de algún usuario. En nuestro caso utilizaremos como nombre de equipo ALUMNO05 por ejemplo.
También durante la instalación, el asistente crea automáticamente una cuenta de administrador. Cuando utilicemos esa cuenta tendremos todos los derechos sobre la configuración del equipo y podremos crear cuentas de usuario. Es decir, al iniciar sesión como administrador después de instalar Windows XP Professional recibiremos los privilegios administrativos necesarios para iniciar sesión y administrar el equipo. Por motivos de seguridad siempre se debe asignar una contraseña a la cuenta de administrador. Hay que asegurarse de recordar y proteger esta contraseña. Por regla general, nunca se debe dejar esa contraseña en blanco.
Configuración de fecha y hora.
Configuración de red. Es recomendable seleccionar la opción de configuración ‘Típica’ para la configuración de red. Posteriormente ya modificaremos la configuración de red, pero con el sistema ya instalado.
Grupo de trabajo o dominio del equipo. Durante el proceso de instalación, debe unirse a un grupo de trabajo o a un dominio. El tema de dominios lo veremos en los apartados de Windows 2003, con lo que de momento utilizaremos un grupo de trabajo. Es recomendable que todo el grupo utilice un mismo nombre de grupo. ALUMNOS en nuestro caso.
Nota: Aunque vayamos a conectarnos a un dominio, en recomendable unirse a un grupo de trabajo durante la instalación y después, una vez finalizada la instalación de Windows XP Professional, configurar la unión al dominio. Para trabajar en un dominio, es imprescindible que exista en algún punto de la red, un controlador principal de dominio. Este controlador debe estar montado con una versión servidor de Windows NT, Windows 2000 o Windows 2003.
Durante estos pasos, se nos ofrecerá la opción de entrar en opciones avanzadas. Desde estas opciones podremos indicar si queremos particionar el disco, elegir la partición donde se instalará Windows, elegir el directorio donde se instalará, etc. Si escogemos estas opciones, tenemos una instalación aun mas controlada.
Instalación limpia desde el CD de Windows XP
Esta es la mejor manera posible de instalar Windows XP en la mayoría de los casos.
Si usamos el CD de Windows XP para arrancar la maquina, conseguiremos siempre una instalación limpia de Windows XP. Para arrancar la maquina desde el CD de Windows XP debemos asegurarnos de que la BIOS esta configurada para arrancar antes desde el CD que desde el HD.
Durante este tipo de instalación, tendremos la posibilidad de elegir en que partición y en que disco duro deseamos instalar Windows XP, y podremos crear nuevas particiones y borrar particiones ya existentes si es necesario. Hay que tener mucho cuidado al eliminar particiones, y asegurarnos siempre de que no borramos una partición necesaria. Desde este punto también podemos elegir instalar Windows XP en cualquier disco duro disponible en el sistema.
Los pasos a seguir son muy parecidos a los que vimos anteriormente en la instalación de Windows XP desde un sistema operativo anterior.
3. El gestor de arranque de Windows XP: el ntldr
Ya hemos visto en el tema anterior, que la familia NT de Windows incluye su propio gestor de arranque, el ntldr. Este gestor de arranque cuando comprueba que hemos instalado un Windows NT en un disco duro donde ya existía un sistema operativo anterior de Microsoft modifica el fichero boot.ini para permitirnos arrancar bien desde uno o de otro.
Recordemos que el orden normal de inicio de un sistema informático es: POST -> MBR -> SECTOR_DE_ARRANQUE. El gestor de arranque de Windows XP (ntldr) reside en el sector de arranque.
Aunque Windows XP, Windows 2000 y Windows 2003 usan el mismo gestor, cada uno tiene su propia versión. Hay que tener cuidado con esto, ya que podemos tener un ntldr incorrecto en nuestro sistema. Lo ideal es tener almacenada una copia de cada uno de ellos, para evitar posibles errores.
Estructura del archivo boot.ini
El archivo boot.ini que reside siempre, al igual que los que hemos citado previamente, en la partición activa del sistema (normalmente C), es un fichero de texto, que podemos ver y modificar.
No es aconsejable modificar directamente el archivo boot.ini, dado que esta protegido con los atributos de archivo rhs (read only, hidden, System) y hay que desactivarlos para editarlo y volver a activarlos tras la edición. En XP, en propiedades de Mi PC (Windows + Pausa) en la pestaña de “avanzado” podemos modificar sus opciones, e incluso podemos editarlo sin tener que cambiar sus atributos.
También podemos modificar algunos aspectos de este archivo desde aquí.
Veamos una estructura normal del boot.ini:
Podemos ver que el boot.ini consta de dos secciones. En la primera [boot loader], encontramos dos líneas. El número de la línea timeout especifica el tiempo que esperará el sistema antes de arrancar la opción que está definida en la línea default
La siguiente sección [operating systems] contiene los sistemas operativos y sus ubicaciones en nuestro sistema. Más adelante, comentaremos como “enumera” Windows NT, W2000/2003 o XP los discos y particiones para poder entender con detalle qué es lo que está especificando dicha línea.
Aunque el número de sistemas operativos que tengamos instalados en nuestra máquina no está limitado, el cargador de Windows únicamente nos mostrará en la pantalla inicial de arranque del sistema las 10 primeras líneas especificadas en la sección [operating systems] del boot.ini.
Veamos otro ejemplo de boot.ini, en este caso el de una maquina que tiene instalado MS-DOS y Windows XP únicamente:
Nos damos cuenta que si el sistema operativo es de núcleo NT, el boot.ini almacena la información referente al disco y a la partición en la que esta instalado. Sin embargo, si el sistema operativo es MSDOS o Windows 9x, no hace falta hacer esta referencia, dado que estos sistemas deben tener su arranque en C: forzosamente (es una limitación de estos sistemas operativos, deben estar instalados en la primera partición activa forzosamente, o lo que es lo mismo en C). En estos casos, el archivo que se cargará es el bootsect.dos que esta en el raíz de C. Este archivo bootsect.dos es en realidad el sector de arranque de los antiguos sistemas operativos de Microsoft. Es decir, el orden de inicio del sistema informático seria:
POST -> MBR -> SECT.ARR. (NTLDR) -> BOOTSECT.DOS (SEC.ARR.MSDOS).
En el boot.ini aparecen líneas del estilo:
Estas líneas responden a rutas ARC, un estándar de Microsoft. Veamos el significado de cada uno de los términos. El formato general es:
Esta sintaxis usada por Microsoft se denomina ARC. En su primera forma, se divide en 5 partes:
multi(n). Aquí puede venir o bien multi o bien scsi. Multi significa que el sistema usará la BIOS para acceder al disco duro mediante un controlador IDE. El valor que sigue a multi es siempre 0, por que solo se puede arrancar desde el primer controlador IDE. En caso de que tengamos un disco duro SCSI en lugar de IDE, ponemos scsi seguido del numero del adaptador SCSI del que queremos arrancar.
disk(n). Si en la parte anterior hemos puesto multi, aquí siempre va un disk(0). Si hemos puesto SCSI aquí ponemos el ID del dispositivo SCSI.
rdisk(n). El número representa el número del disco duro dentro del controlador IDE. (de 0 a 3, representando los 4 discos duros que podemos tener en un controlador IDE).
partition(n). Aquí siempre se pone partition. El número indica en que partición esta instalado el sistema operativo. ATENCION. El número de partición comienza por 1, no por 0 como en las otras opciones y se numera de forma especial, luego lo veremos.
directorio = “texto”. Indicamos en que directorio se instaló Windows XP y ponemos un texto cualquiera que aparecerá en el menú al reiniciar el sistema.
Así, por ejemplo, ¿que estará indicando esta línea?:
NTLDR al leer esta línea, accederá al segundo disco duro de la controladora IDE, y se irá a la segunda partición de ese disco duro, se dirigirá al directorio \WINNT e intentará cargar el sistema operativo allí situado (ntoskrnl.exe). Por pantalla la línea que el usuario verá en el menú de arranque, pondrá Mi Sistema.
Ahora bien, partition(2) no indica la segunda partición física del disco duro, sino la segunda partición usando el formato de enumeración de Windows. Veamos esta enumeración como se realiza:
NTLDR lee la tabla de particiones para el disco apropiado, y numera cada partición siguiendo esta lógica:
Busca en la tabla de particiones, todas las particiones que no tengan como ID 00 (no usada) o 05 (extendida). Es decir, busca todas las particiones primarias.
A cada partición encontrada le asigna un número secuencial, comenzando por 1.
Busca la tabla de particiones de nuevo, y lee las particiones con ID 05 (extendidas).
Sólo con la primera partición extendida, asigna números correlativos a las unidades lógicas que existan dentro de esa partición.
Es decir: Empieza a numerar desde 1 a todas las particiones primarias, y luego sigue dándole números a todas las unidades lógicas de la 1ª partición extendida. (Puede haber más particiones extendidas, pero Windows sólo usa la 1ª).
Entonces imaginemos el siguiente disco duro:
¿Qué numeración recibiría cada volumen?
Obviamente la Primaria activa recibiría el número 1, la 2ª Primaria el 2, la 1ª unidad lógica el 3 y la 2ª unidad lógica el 4.
Esta numeración se usa en sistemas Windows, pero no en sistemas Linux. En un sistema Linux los números del 1 al 4 se reservan para las primarias, asi que las unidades lógicas comienzan por el número 5. De hecho, el disco anterior se numera en Windows 1 3 4 2 pero en Linux se numeraría 1 5 6 2. Hay que recordar esto, ya que si instalamos ambos sistemas en la misma maquina podremos liarnos al usar distintos tipos de numeraciones.
Bien, hasta aquí hemos explicado el primer formato de línea que vimos en el boot.ini, pero había otro que no hemos comentado:
Recordemos que un sector de arranque (boot sector) de un sistema operativo no era más que un pequeño programa de 512 bytes que se grababa en el primer sector del disco duro o disquete desde donde queremos cargar el sistema operativo. El Fichero_de_boot referenciado en la línea es precisamente un programa de este tipo. Si no indicamos ningún nombre, ntldr presupone que el fichero se llamará BOOTSECT.DOS. Esto ocurre asi por que cuando se instala un sistema operativo de la familia NT en un disco duro donde ya exista un MSDOS o un Windows 95/98, el proceso de instalación lee el sector de arranque de esos sistemas y los graba automáticamente en C:\ con el nombre BOOTSECT.DOS.
Ntldr no comprueba que lo que haya en este fichero sea un sector de arranque de verdad, sino que simplemente lo lee y le da el control del ordenador. Gracias a esto es posible conseguir que ntldr cargue cualquier sistema operativo que queramos, incluido Linux. Todo lo que tenemos que hacer es obtener un fichero con el contenido del sector de arranque del sistema operativo que queramos arrancar, para ello existen una gran cantidad de herramientas. Imaginemos que tenemos Linux instalado en nuestro sistema, y grabamos su sector de arranque en un ficherito, por ejemplo C:\BOOTSECT.LIN, si ahora en boot.ini ponemos la siguiente línea:
C:\BOOTSECT.LIN = “Esto es mi Linux”Conseguiríamos arrancar el sector de arranque de Linux.
Nos falta por explicar sobre las rutas ARC las opciones que se pueden poner al final de cada línea. Aunque hay muchas opciones posibles, vamos a resumir aquí las más importantes y que son las que veremos habitualmente:
/basevideo Arrancará nuestra maquina usando el adaptador estándar VGA. Es útil en caso de que nuestra maquina se niegue a arrancar después de instalar un nuevo driver de vídeo.
/fastdetect Desactiva la detección de ratón en los puertos serie. Se incluye este modificador en todas las entradas del boot.ini por defecto.
/maxmen:n Especifica la cantidad de memoria que Windows va a usar. Debe usarse este modificador si sospechamos que un chip de memoria está dañado.
/noguiboot Arranca sin sacar la pantalla gráfica de inicio del sistema.
/sos Nos muestra por pantalla los nombres de los controladores de dispositivos que se van cargando. Debemos usar este modificador cuando falla el arranque para poder determinar que driver es el causante del error.
/bootlog Crea un fichero en %SYSTEMROOT%\NTBTLOG.TXT donde va escribiendo los nombres de todos los drivers que se cargan en la carga de Windows.
/safeboot Hace que el sistema se inicie en modo a prueba de errores. En este modo Windows se inicia sin cargar los archivos de inicio, se suele usar cuando no podemos iniciar Windows de forma normal para reparar errores. Esta opción permite usar distintos operadores, como por ejemplo:
/safeboot:minimal /sos /bootlog /noguiboot
/safeboot:network /sos /bootlog /noguiboot
/safeboot:minimal(alternateshell) /sos /bootlog /noguiboot (usa shell de texto)
/safeboot:dsrepair /sos (usado para restaurar controladores de Dominio)
Conociendo bien los procesos de arranque de los sistemas operativos, seremos capaces de instalar varios de ellos en una sola maquina, y lo que es más importante, reparar el arranque de un sistema cuando nos falle. Esta operación suele ser simple, si sabemos lo que estamos haciendo, o bien tremendamente complicada y peligrosa si no lo sabemos.
Recuperación de errores
Si hemos entendido bien los anteriores puntos, habremos visto como para el arranque de un sistema operativo es necesario procesar:
El programa del MBR
El programa del Sector de Arranque
Los ficheros de inicio propios del sistema operativo.
También nos habremos dado cuenta que hay sistemas operativos que comparten parte de estos programas y otros sistemas que cuentan con su propia versión. Por lo tanto, un fallo que se puede cometer y con el que hay que tener muchísimo cuidado es el de sobrescribir estos programas de un sistema operativo anterior con un nuevo sistema operativo que instalemos.
Pongamos un ejemplo para ver por que se producen estos errores y como podemos arreglarlos:
CASO A) Tenemos un sistema informático con un único disco duro, en el que tenemos una partición creada con Windows 98 y queremos instalar Windows XP en otra partición que crearemos en el espacio disponible del disco duro. Es decir, tenemos
y pasamos a tener:
Al instalar Windows XP, va a sobrescribir EL MBR DEL 1º DISCO DURO DEL SISTEMA, por lo que el actual MBR del disco duro (el MBR de Windows 98) va a desaparecer. Puesto que los MBR no forman parte del sistema operativo, puede usarse cualquier programa MBR sin problemas de compatibilidad.
También XP va a escribir su propio sector de arranque en el sector de arranque de la PARTICION ACTIVA de ese disco duro. La partición activa será la partición 1, donde esta instalado Windows 98 (a menos que activemos la segunda partición). Esto quiere decir que Windows XP va a sobrescribir el sector de arranque de la partición 1 y por lo tanto, va a borrar el sector de arranque de Windows 98. Windows 98 no es capaz de ejecutarse si no se carga el sector de arranque de Windows 98. Es decir, el sector de arranque si forma parte del sistema operativo, y cada SO necesita su propio sector de arranque.
¿Quiere decir esto que en este sistema ya no funcionará Windows 98?. No. En este sistema, Windows XP detecta que se esta instalando en un disco duro donde ya esta instalado Windows 98, así que copia el sector de arranque de Windows 98 con el nombre de bootsect.dos en C:\ antes de instalar su propio sector de arranque y añade una línea en el boot.ini que permite cargar Windows 98.
Es decir, en este sistema SI perdemos el inicio de Windows 98, pero al iniciar Windows XP este nos permite pasar a iniciar Windows 98. El boot.ini de esta maquina quedaría así:
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Windows XP Professional" C:\ = "Microsoft Windows 98"
Si en el menú que nos aparece cuando iniciemos la maquina, elegimos Microsoft Windows XP Professional, se cargará Windows XP desde la 2ª partición del primer disco duro de nuestro sistema.
Si en el menú que nos aparece cuando iniciemos la maquina, elegimos Microsoft Windows 98 se cargará desde C:\ el fichero bootsect.dos y se le cederá el control de la maquina, con lo que cargaremos el sector de arranque de Windows 98, este cargará el IO.SYS y se iniciará Windows 98 sin ningún problema.
En este caso da lo mismo que hablemos de Windows 98, Windows 98 segunda edición, Windows 95 o MSDOS, ya que todos estos sistemas operativos operan del mismo modo.
Asimismo, da igual hablar de Windows 2000, de Windows XP o de Windows 2003, dado que ambos respetan a los sistemas operativos anteriores de la misma forma.
Ahora bien, imaginemos que formateamos o borramos la partición de Windows 98… ¿que ocurrirá cuando iniciemos de nuevo la maquina?. Pues obviamente habremos perdido también Windows XP, dado que los archivos de inicio de Windows XP se han escrito en C:, en la 1ª partición activa, es decir, en la partición de Windows 98 y habremos perdido estos ficheros.
CASO B) Este caso es importante, por que es el que nos va a ocurrir en clase dentro de poco. En un sistema informático en el que tenemos varios Windows XP instalados, instalamos en una nueva partición Windows 2003. ¿Qué ocurrirá?
Pues absolutamente nada, como Windows 2003 reconoce a los sistemas operativos anteriores, instalará su propio sistema de arranque y respetara a los sistemas operativos anteriores, por lo que obtendremos un menú de arranque donde aparecerán los XP antiguos y el nuevo 2003.
CASO C) ¿Pero que ocurrirá en un sistema de este tipo cuando, una vez instalado Windows 2003, instalemos un Windows XP nuevo? Obviamente, al instalar XP este se empeña en instalar su propia gestión de arranque, su propio MBR; su propio sector de arranque, su propio ntldr… y recordemos que XP no sabe de la existencia de Windows 2003.
Para solucionarlo, tendremos que usar la consola de recuperación del 2003, y volver a instalar el MBR, el sector de arranque y el ntldr de Windows 2003, que permitirá arrancar 2003 y XP. Es posible que perdamos la estructura del archivo boot.ini al hacer operaciones de este tipo, por lo que es importante que comprendamos como funciona para poder editarlo, o incluso crearlo a mano.
La consola de recuperación
Windows 2000, XP y 2003 incorporan una nueva Consola de Recuperación, mucho más potente que los viejos métodos de restauración de instalaciones defectuosas, y para usarla no es necesario contar con un disco de inicio como en los sistemas anteriores.
Basta con tener a mano el propio CD de instalación del sistema operativo. (y conocer la contraseña de Administrador del sistema).
Imaginemos que navegando por el disco duro, se nos ocurre la feliz idea de borrar el fichero NTLDR que se encuentra en el directorio raíz de nuestra partición activa en el primer disco duro, (total, es un fichero con un nombre muy raro). Cuando reiniciemos la maquina, nos encontraremos con la sorpresa de que el sistema no arranca, y se queja de que no encuentra el fichero NTLDR.
Lo que tenemos que hacer, como es obvio, es copiar de nuevo el fichero NTLDR a nuestra partición raíz, pero dado que nuestro sistema no se inicia, deberemos arrancar la maquina de otro modo. Si arrancamos desde un disquete de Windows 98 nos encontraremos con el problema de que la partición seguramente usará el sistema de ficheros NTFS y será inaccesible para Windows 98 (o MSDOS, o Windows 95, etc.). En un caso como este, debemos acceder a la consola de recuperación.
La consola de recuperación presenta de un entorno de trabajo que podríamos definir como un cruce entre la línea de comandos que ya conocemos y algunas opciones de configuración de Windows, con utilidades de partición de discos, y que puede leer y escribir sin problemas en particiones NTFS.
Una cosa importante a tener en cuenta, es que al usar la consola de recuperación no tendremos el teclado configurado al idioma castellano, asi que las barras, signos especiales, etc, no estarán en su ubicación habitual.
Lo primero que hay que hacer, como es obvio, es entrar en la consola de recuperación. Iniciamos nuestra maquina desde el CD de Windows XP, y esperamos que nos aparezca la opción de “Pulse R para Reparar una instalación de Windows XP usando la consola de recuperación”.
Una vez que entremos en la consola, podremos seleccionar cualquiera de las instalaciones de Windows XP. Escribimos el número de la instalación que queremos recuperar y pulsamos Intro.
El paso siguiente es la validación. Una de las principales diferencias entre los sistemas de ficheros FAT y NTFS es la seguridad. La consola nos pedirá que introduzcamos la contraseña del ADMINISTRADOR (no vale cualquier otra, y como ya sabemos, olvidar esta contraseña es pecado mortal de los gordos). Tras introducir esta contraseña, se nos presentará un indicador de sistema para la introducción de comandos en el directorio raíz de la instalación que hayamos escogido.
¿Y ahora que? ¿Cómo trabajamos desde una línea de comandos? Siempre que nos encontremos en una de estas, lo mejor es teclear la orden HELP y ver que nos dice. Podemos ver en la ayuda del sistema que podemos realizar operaciones típicas del DOS (COPY, DEL, ATTRIB, FORMAT, etc.). Para resolver el problema con el que empezamos este punto, solo tendríamos que copiar el archivo NTLDR de nuestro CD de XP al directorio raíz de nuestro disco duro. (Podemos encontrar este fichero en el directorio I386 del CD).
Además en esta consola podemos ejecutar otros comandos. Los dos más importantes son:
FIXBOOT – Instala el sector de arranque de Windows. Para usar esta orden, deberemos indicar la unidad que queremos arreglar (FIXBOOT C: etc.)
FIXMBR – Instala el programa de MBR de Windows XP en el MBR del disco duro.
Otras órdenes que podemos usar son:
DISKPART – Es un programa muy parecido al que se utiliza en la instalación de Windows XP para realizar particiones. Permite crear particiones, eliminarlas, etc.
LISTSVC – Nos muestra una lista de los dispositivos y servicios que carga nuestro Windows XP en el arranque.
DISABLE – Si Windows XP no arranca del todo por causa de un dispositivo, digamos que es porque accidentalmente hemos cambiado algún parámetro critico del mismo, o bien por que hemos instalado un servicio que bloquea el sistema, mediante este comando podemos deshabilitar este dispositivo o servicio para que nuestro sistema pueda arrancar sin problemas. En DISABLE hay que indicar el nombre del dispositivo o servicio que obtenemos con la orden LISTSVC.
ENABLE – El opuesto de DISABLE.
EXPAND – Es un descompresor, útil muchas veces ya que muchos de los archivos del CD de Windows XP vienen comprimidos. (Archivos con extensión .CAB)
FORMAT – Formatea un volumen.
MAP – Muestra la asignación de volúmenes y letras de nuestros discos.
/ARC – Muestra la información usando la nomenclatura ARC.
BOOTCFG – Permite modificar el archivo boot.ini. Dispone de varias opciones:
/LIST – Muestra las entradas actuales de boot.ini
/SCAN – Busca en nuestros discos duros las instalaciones de Windows que pueden añadirse a boot.ini
/ADD – Añade una entrada al archivo boot.ini de las encontradas con /SCAN.
/DEFAULT – Nos permite indicar la entrada que se cargará por defecto.
SYSTEMROOT – Cambia el directorio actual al directorio de Windows.
La consola de recuperación nos puede sacar de un montón de problemas, por lo que es interesante realizar un pequeño truco, que nos permite ejecutar la consola de recuperación desde el propio disco duro, sin necesitar el CD de XP. Para ello debemos:
Abrir sesión en nuestro Windows XP con la cuenta de Administrador o como un usuario con derechos de Administrador.
Insertamos el CD de Windows XP. (Cerrar el auto arranque si se ejecuta).
Abrimos una sesión de símbolo de comandos (Inicio – Ejecutar – CMD) y ejecutamos el programa WINNT32.EXE que esta situado en la carpeta I386 del CD de Windows XP con el parámetro /cmdcons
(La línea es algo como: E:\I386\WINNT32.EXE /CMDCONS si nuestra unidad de CD es la E:)
Con esto conseguimos que se cree una línea en el boot.ini que precisamente se encarga de cargar la consola de recuperación, que se habrá instalado en un directorio del disco duro.
Configuración de Windows XP
Windows Update y Service Packs
Periódicamente, Microsoft realiza cambios sobre sus sistemas operativos. Estos cambios se lanzan como parches y pueden solucionar problemas que se hayan detectado en el sistema operativo o añadirle nuevas funcionalidades. Cada cierto tiempo, se lanzan los Paquetes de Servicio (Service Packs) que suelen agrupar todos los parches que se han lanzado anteriormente.
En Windows XP, se puede escoger que el propio sistema descargue automáticamente estos parches cuando vayan apareciendo, de modo que nuestro sistema siempre este actualizado. Desde el punto de vista de la seguridad, es muy importante tener actualizado el sistema, para minimizar los riesgos de que alguien explote una inseguridad del sistema.
Esta característica de actualización automática se conoce como Windows Update, y puede ser configurada en cualquier momento, accediendo a Propiedades del Sistema. (Se puede llegar a estas propiedades de diversas maneras, una es escoger Panel de Control en menú Inicio y allí hacer click sobre Sistema, otra es hacer click derecho en mi PC y escoger propiedades, etc.). Una vez en propiedades del sistema hay que escoger la pestaña Actualizaciones Automáticas:
Si queremos forzar estas actualizaciones, podemos hacerlo mediante Windows Update. Para ejecutar esta herramienta, debemos irnos a Inicio – Ayuda y soporte técnico – y elegir la tarea – Mantenga actualizado su equipo con Windows Update. Es necesario tener acceso a Internet para poder ejecutar Windows Update.
(http://update.microsoft.com/windowsupdate/v6/default.aspx?ln=es)
Cuando el número de parches aparecidos para un sistema operativo es muy alto, Microsoft suele unirlos en un solo parche de gran tamaño conocido como Service Pack. En el caso de Windows XP, y a la hora de escribir estos apuntes esta disponible el Service Pack 2 para Windows XP que incluye todas las actualizaciones aparecidas para este sistema operativo hasta el momento.
En la actualidad, para acceder a Windows Update, hay que pasar un proceso de Validación de Windows Original, que comprobará online si nuestro sistema es original o bien una copia pirata. En el caso de que no se detecte la legalidad del sistema, será imposible descargar nada de Windows Update. Sin embargo, la actualización automática del equipo no pasa por este filtro de validación.
Restauración del Sistema
Un driver mal diseñado, un programa malicioso o mal programado, un error por nuestra parte, una corrupción del registro… existen muchas causas por las que nuestro sistema puede volverse inestable o incluso dejar de funcionar totalmente. En estos casos, una ayuda imprescindible es la capacidad de Windows de Restaurar el sistema a un punto anterior, lo que eliminara automáticamente todos los cambios que hayamos realizado en nuestro equipo desde el momento en que se creó dicho punto de restauración.
Para restaurar nuestro equipo a un punto anterior, debemos irnos a Inicio → Ayuda y soporte técnico → Restaurar Sistema.
(Existen otros modos de llegar a esta utilidad, como casi siempre suele ocurrir en Windows).
Vemos como desde esta herramienta, podemos restaurar el equipo a un punto anterior, y también crear un punto de restauración nuevo.
Si miramos en el panel de la derecha de dicha herramienta, veremos como también podemos acceder a la configuración de restauración de sistema.
Cada punto de restauración de sistema que creemos, consume un espacio en disco. Cada cierto tiempo, Windows crea automáticamente sus propios puntos de restauración, y también son creados automáticamente cuando instalamos nuevo software o drivers siempre que estos sean considerados importantes por el sistema.
El total del espacio en disco que pueden ocupar entre todos los puntos restauración, así como el funcionamiento general del programa de restauración, pueden ser ajustados desde la configuración de Restaurar Sistema.
Un problema que puede suceder en Windows XP es que se reciban mensajes de que una unidad no tiene espacio disponible sin razón aparente. En estos casos, a veces basta con acceder a estas propiedades y desactivar restaurar sistema en esa unidad. No es buena idea desactivar toda la restauración del sistema, ya que nos quedaremos sin posibilidad de dar marcha atrás cuando se produzca algún error en el equipo.
Cuando se crea un punto de restauración, y no existe espacio suficiente, Windows elimina el punto de restauración más antiguo que encuentre. No existe forma de salvaguardar un punto de restauración en concreto.
Configurando el inicio del Sistema
Cuando se inicia Windows (y no estamos conectados a un dominio) nos aparece la pantalla de bienvenida. Desde esta pantalla, podemos elegir cualquier usuario que hayamos dado de alta en el sistema, a excepción del Administrador, que no puede ser seleccionado desde esta pantalla.
Esta pantalla es conocida como pantalla de bienvenida, y tiene la ventaja de que no hay que escribir el nombre de usuario, sino solo elegirlo de una lista de usuarios, y que cada cuenta de usuario puede contener un pequeño grafico. Sin embargo esta pantalla tiene el inconveniente de no poder entrar en el sistema usando muchas cuentas que el sistema oculta automáticamente.
Si no queremos usar esta pantalla de bienvenida, tenemos la posibilidad de usar la pantalla de entrada al sistema de Windows 2000. Para ello debemos irnos a Panel de Control – Cuentas de Usuario y escoger la opción de “Cambiar la forma en la que los usuarios inician y cierran sesión”.
Veremos como existe una casilla, donde podemos activar o desactivar la pantalla de bienvenida.
Si desactivamos la pantalla de bienvenida, entraremos en el sistema con la pantalla clásica de Windows 2000.
Esta forma de entrar en el sistema tiene el inconveniente de tener que escribir el nombre de la cuenta de usuario (aunque esto refuerza la seguridad del sistema). Contamos con la ventaja en este método de que podemos usar todas las cuentas del sistema, incluida la de Administrador para abrir sesión en Windows XP.
Habremos notado en la pantalla donde cambiamos la forma en la que los usuarios inician y cierran sesión, que también podíamos activar o desactivar “Usar cambio rápido de usuario”.
El cambio rápido de usuario nos permite cambiar del usuario de la sesión actual, a otra sesión de otro usuario sin tener que cerrar la misma. Esto es útil cuando otro usuario necesita usar la maquina, pero nosotros tenemos un programa en ejecución. Podemos usar el cambio rápido de usuario para abrir otra sesión en nuestra maquina, sin tener que cerrar la nuestra y por lo tanto, detener el programa.
El cambio rápido de usuarios, se hace con la combinación de teclas WINDOWS + L
Si el cambio rápido de usuarios esta desactivado, contamos con la posibilidad de pulsar CTRL + ALT + SUPR en la pantalla de bienvenida del sistema (la que usa los dibujitos) para cambiar la entrada del sistema a la pantalla clásica.
Si solo tenemos un usuario dado de alta en el sistema, aparte del Administrador, y a este usuario no le asignamos contraseña, veremos como las pantallas de bienvenida no son mostradas, y el sistema se inicia automáticamente.
Una vez que iniciamos sesión en nuestro equipo, una buena cantidad de programas se ejecutan automáticamente. Si queremos controlar que programas se ejecutan en el inicio, podemos ejecutar la consola msconfig. Aquí, en la pestaña inicio veremos todos los programas que se inician automáticamente instalados (a consciencia o no) por el usuario, y podemos desactivar los que queramos.
Si queremos saber que se ejecuta en nuestro sistema, debemos prestar atención a todas las pestañas, y no solo a la última de inicio. Por ejemplo, existen vario virus que utilizan para ejecutarse en el inicio de nuestro sistema el System.Ini, colocando en el las líneas:
[boot]
shell=explorer.exe load.exe -dontrunold
con lo que consiguen que se ejecute load.exe (o cualquier otro archivo) que es la carga del Virus.
Asistencia Remota
La asistencia remota es una utilidad incorporada en Windows XP por primera vez. Esta utilidad nos permite obtener asistencia (o prestarla) directamente en nuestro equipo a través de la red local o de Internet. Para activar esta opción, debemos hacer lo siguiente:
Nos vamos a Propiedades del Sistema, y en la pestaña Acceso Remoto nos aseguramos de que la opción “Permitir envío de invitaciones de Asistencia Remota desde este equipo” esta activada. Desde configuración avanzada, podemos elegir si vamos a permitir el control remoto de nuestro equipo, y el tiempo que vamos a permitir que una invitación que cursemos sea valida.
Ahora debemos enviar una invitación a algún usuario, que consideremos que puede prestarnos la asistencia técnica que necesitemos. Es obligatorio que el usuario que invitemos este también usando alguna versión de Windows XP. Para mandar la invitación debemos ir a Inicio – Ayuda y Soporte Técnico - y escoger Invitar a un amigo a conectarse a su equipo mediante asistencia remota. Podemos enviar la invitación mediante el Messenger de Windows o por correo electrónico. Al hacer la invitación, indicaremos cuanto tiempo va a ser efectiva, y también podemos indicar una contraseña para asegurarnos de que el que tome el control de nuestra maquina, sea el invitado y no otro. Obviamente esta contraseña debe ser indicada al usuario que invitemos. Una vez enviada la invitación, desde esta misma pantalla podemos consultar el estado de la misma.
Cuando el usuario invitado acepte la invitación, podremos ver en pantalla una ventana de asistencia remota, en la cual se puede chatear con el invitado, y este puede acceder a nuestra maquina, y usarla sin limite para encontrar el problema que tenemos. En cualquier momento podemos cancelar la asistencia cerrando la ventana de asistencia remota. Por motivos de seguridad, el asistente no podrá usar nuestra maquina hasta que nosotros no se lo indiquemos en un cuadro de dialogo que nos aparecerá.
Esta es la pantalla que ve el usuario que esta recibiendo la asistencia remota. El usuario que esta dando la asistencia remota, verá una ventana parecida, pero con un apartado en el que se ve el escritorio completo de la maquina que se esta controlando. En este apartado podemos usar la maquina controlada exactamente igual que la nuestra. Podemos utilizar características avanzadas como charla por voz, envíos de archivos de una maquina a la otra, etc. Esta característica funciona incluso en una red local, bastando con enviar un correo electrónico. (Hay que tener cuidado con aceptar invitaciones de control, ya que el fichero adjunto que hay que ejecutar, podría contener un virus si es enviado por un usuario malicioso).
En la próxima pagina, vemos la pantalla de control que se ve en la maquina que presta la asistencia. En cualquier momento se puede interrumpir el control desde cualquiera de las sistemas.
Escritorio Remoto
Windows XP también cuenta con la opción de controlar una maquina remotamente, desde cualquier punto de nuestra red local o incluso desde Internet. De este modo, podemos por ejemplo controlar nuestro PC situado en nuestra casa desde nuestro PC del instituto, pudiendo realizar las mismas acciones o casi si estuviéramos sentados delante de nuestra maquina.
Para realizar esto, primero debemos configurar el equipo a controlar para que utilice escritorio remoto. Para ello, si el equipo trabaja con Windows XP debemos abrir Sistema en Panel de Control. En la pestaña Remoto debemos activar la casilla de verificación Permitir a los usuarios conectarse remotamente a este equipo.
Para que podamos activar esta opción, debemos haber entrado en el sistema como un usuario con permisos de administración. Vemos también como desde aquí podemos seleccionar los usuarios de nuestro sistema que podrán acceder a el desde el exterior, y se nos informa que es imposible acceder desde el exterior con una cuenta de usuario que no tenga contraseña.
Si el equipo que queremos controlar no es Windows XP, debemos introducir el CD de Windows XP y cuando aparezca la página de bienvenida, hacemos clic en Realizar tareas adicionales y, a continuación, clic en Configurar conexión a Escritorio remoto.
Una vez que hemos activado en la maquina a controlar el acceso remoto a la misma, ya podemos controlarla remotamente. Para ello, nos situamos en la maquina desde la que queremos controlar nuestro PC y ejecutamos el asistente “Conexión a Escritorio Remoto”. Para abrir Conexión a Escritorio remoto, hacemos clic en Inicio, seleccionamos Programas o Todos los programas, Accesorios, Comunicaciones y, a continuación, clic en Conexión a Escritorio remoto.
En el formulario que nos aparece, indicamos a que equipo nos queremos conectar (podemos usar el nombre del equipo o su dirección IP). Una vez conectado al equipo, nos pedirá que iniciemos sesión (para lo que necesitaremos un nombre de usuario y contraseña usado en la maquina a controlar). Si en la maquina a controlar existe alguna sesión abierta, se cerrará para permitir abrir nuestra sesión.
Si en Conexión a Escritorio Remoto, pulsamos Opciones >> podremos modificar la configuración de la conexión, indicando un nombre de usuario y contraseña que se utilizaran directamente, cambiando la resolución de la pantalla de control, etc. Incluso podemos hacer que los volúmenes de datos de ambos sistemas funcionen a la vez, con lo que podemos copiar archivos de un sistema a otro, etc.
Conexión Web a Escritorio remoto es una aplicación Web compuesta por un control ActiveX, páginas ASP de ejemplo y otros archivos. Cuando se implementa en un servidor Web, Conexión Web a Escritorio remoto permite a los usuarios crear una conexión con el escritorio remoto de otro equipo dentro de Internet Explorer, aunque el programa Conexión a Escritorio remoto, antes conocido como el cliente de Servicios de Terminal Server, no esté instalado en el equipo del usuario.
Windows XP sufre una limitación, por la cual sólo un usuario podrá usar Windows XP al mismo tiempo, de modo que si nos conectamos mediante escritorio remoto a un equipo, si un usuario esta usando ese mismo equipo tendrá que parar su sesión mientras nosotros controlamos la maquina. Del mismo modo, si alguien inicia sesión en una maquina en la que se este trabajado remotamente, la conexión remota se cerrará. Esta limitación es solo comercial, en Windows 2003 por ejemplo, pueden trabajar al mismo tiempo muchos usuarios sobre la misma maquina, tanto en sesión local (sentado delante de la maquina) como con escritorio remoto.
Administrador de Tareas
Podemos acceder al administrador de tareas de Windows pulsando CTRL + ALT + SUPR una vez en nuestro Windows XP.
Desde el administrador de tareas podemos ver las aplicaciones propias que se están ejecutando en nuestro sistema, los procesos que están en memoria así como los recursos hardware que estos procesos están usando, los usuarios conectados al sistema, el uso de la memoria de nuestro sistema, el uso de la CPU, etc.
Desde los menús superiores, podemos añadir columnas a las vistas, ordenar por distintos criterios los procesos, etc.
NOTA.- Proceso inactivo del sistema, no es un proceso en si mismo, sino que muestra los recursos libres de nuestra maquina.
El formulario del administrador de tareas tiene bastante más potencia de la que parece en un principio:
Desde Archivo – Nueva tarea podemos iniciar cualquier programa que deseemos. Un error muy comun de Windows nos deja nuestro sistema sin la barra de herramientas, y viendo unicamente el fondo de pantalla. Si lanzamos el administrador de tareas y como nueva tarea indicamos el Explorer.exe conseguiremos volver a funcionar con normalidad.
Desde Ver – Seleccionar columnas podemos presentar mucho tipo de información en pantalla, como las lecturas que los programas han realizado en disco duro, etc.
Desde Apagar – podemos apagar el sistema, suspenderlo, reiniciarlo, etc.
Desde la pestaña Usuarios podemos ver todos los usuarios que han iniciado sesión en nuestro sistema (veremos por ejemplo los que estén conectados mediante escritorio remoto, los que hayan dejado una sesión abierta, etc) y podemos con botón derecho enviarles un mensaje, cerrar su sesión, etc.
Principios de Seguridad en Windows XP
En la mayoría de los sistemas operativos actuales, aparecen dos conceptos relacionados con la seguridad del sistema: Autentificación y Autorización.
Autentificación: Para usar el sistema es necesario abrir una sesión de trabajo (login) para lo cual tendremos que autentificarnos, proporcionando al sistema un nombre de usuario y una contraseña. En caso de no tener una cuenta de usuario abierta en el sistema, será imposible entrar en el mismo.
Autorización: Una vez que el usuario se ha autentificado y abierto sesión, cada vez que quiera usar un recurso (un fichero, una carpeta, una impresora, etc) el sistema comprobará si esta autorizado o no para realizar esa acción. Los administradores del sistema pueden modificar estas autorizaciones mediante unas listas de acceso.
Gestión de Cuentas de Usuario y Grupos
Podemos crear, borrar y modificar cuentas de usuario en Windows XP usando varios programas distintos.
Asistente para cuentas de usuario desde Panel de Control.
Gestión de cuentas de usuario mediante consola especial.
Gestión de cuentas de usuario locales y grupo mediante consola.
Desde el shell de texto.
Asistente para cuentas de usuario desde Panel de Control
Para abrir la herramienta Cuentas de usuarios, hay que abrir el Panel de control desde el menú Inicio y, a continuación, hacer doble clic en Cuentas de usuario.
Para crear una cuenta de usuario nueva, hay que seguir estos pasos:
Hacer clic en Crear una nueva cuenta en la lista desplegable Elija una tarea.
Escribir el nombre que deseamos utilizar para la cuenta y, después, hacer clic en Siguiente.
Seleccionar el tipo de cuenta que deseamos y después hacer clic en Crear cuenta.
Para realizar cambios en una cuenta, hay que seguir estos pasos:
Hacer clic en Cambiar una cuenta en la lista desplegable Elija una tarea.
Hacer clic en la cuenta que desea cambiar.
Seleccionar el elemento que desea cambiar: (nombre, imagen, tipo, contraseña, borrado).
Nota: No se puede borrar una cuenta de un usuario si tiene sesión abierta en el sistema.
Gestión de cuentas de usuario mediante consola especial
Podemos también gestionar las cuentas de usuario mediante una consola. Si estamos conectados a un dominio, este es el gestor de usuarios que usaremos por defecto. Para acceder a dicho gestor, hay que ejecutar la siguiente orden desde Inicio – Ejecutar, o bien desde una ventana del intérprete de comandos:
CONTROL USERPASSWORDS2
Con este gestor de cuentas de usuario, tenemos un control mucho mayor sobre las cuentas de usuario que el que obtenemos con el asistente.
La primera opción que vemos en pantalla, “Los usuarios deben escribir su nombre y contraseña para usar el equipo” nos permite indicar si queremos usar la autentificación o no. Si lo desactivamos, obtendremos un XP que se iniciará automáticamente con la cuenta que indiquemos sin mostrarnos siquiera la pantalla de bienvenida. Obviamente, esta opción solo debería usarse en ambientes domésticos donde solo un usuario usa el ordenador.
Para agregar cuentas de usuario usamos el botón agregar, para eliminar cuentas el botón quitar, etc. Si seleccionamos una cuenta de usuario y pulsamos el botón propiedades, pasamos a la siguiente pantalla.
Desde esta pantalla, podemos observar como podemos incluir al usuario en algún grupo de usuarios, bien uno de los dos incluidos en el gestor (usuarios estándar y usuarios restringidos) o bien seleccionando otro grupo como puede ser el de administradores, etc.
Vemos que este control de grupos es mucho más amplio que el que nos ofrece el asistente donde las opciones son usuarios administradores o usuarios restringidos.
En las distintas pestañas de este gestor, podemos ver opciones muy interesantes como el Passport de MSN, opciones para modificar el inicio del sistema, opciones para almacenar las contraseñas de nuestro equipo, etc.
Una opción muy interesante que nos podemos encontrar en la primera pantalla (y que es un fallo de seguridad tremendo por parte de Microsoft, que no seria admisible en un sistema servidor) es la posibilidad de cambiar la contraseña del Administrador. Para hacerlo, basta con que nos hayamos autentificado con una cuenta de usuario que pertenezca al grupo Administradores. Esta opción ha sido incluida ya que a veces los usuarios no recuerdan con el tiempo la contraseña que le asignaron a la cuenta de Administrador en el momento de la instalación del equipo.
Gestión de cuentas de usuarios locales y grupo mediante consola
La tercera opción que tenemos para gestionar cuentas de usuario, es la opción más interesante de todas las que nos ofrece XP. Es la consola de usuarios locales y grupos. Podemos llegar a dicha consola de varias formas.
Podemos ejecutar desde Inicio – Ejecutar y escribir LUSRMGR.MSC.
O desde Panel de Control – Herramientas Administrativas – Administración de Equipos y en ella escogemos la carpeta de usuarios locales y grupos.
Lleguemos desde donde lleguemos, veremos que tenemos dos carpetas, una para los usuarios y otra para los grupos. Podemos crear usuarios nuevos accediendo a las propiedades de la carpeta usuarios (botón derecho sobre ella) y seleccionando la opción de Usuario Nuevo. Podemos modificar un usuario accediendo a sus propiedades. Del mismo modo podemos crear nuevos grupos y modificar los ya existentes.
Podemos tanto asignar a un usuario varios grupos, como asignar a un grupo varios usuarios.
Podemos crear todas las cuentas de usuarios que deseemos, pero aparte de estas cuentas normales, existen dos cuentas de usuario especiales en Windows XP, ya creadas y que no pueden (no deben) ser modificadas o eliminadas.
La cuenta del Administrador del sistema (Administrador). Todos los sistemas XP tienen una cuenta especial conocida como Administrador. Esta cuenta tiene todos los derechos sobre todo el equipo. Puede crear otras cuentas de usuario y es el responsable de gestionar el sistema. Muchas funciones del sistema están limitados para que solo puedan ser ejecutadas por el Administrador. Es posible crear cuentas de usuario y darles los mismos derechos que la cuenta Administrador (integrándolas como miembros del grupo Administradores), aunque Administrador solo puede haber uno. Esta cuenta siempre debe contar con contraseña y se crea en el momento de la instalación del sistema.
La cuenta de Invitado. (Guest). Es la contraria a la cuenta de Administrador, esta totalmente limitada, no cuenta apenas con ningún permiso o derecho pero permite que cualquier usuario pueda entrar en nuestro sistema sin contraseña (lo que se denomina acceso anónimo) y darse un “paseo” por el mismo. Por defecto, en Windows XP Profesional esta cuenta esta desactivada. Es altamente recomendable nunca activar dicha cuenta, ya que representa un riesgo altísimo de seguridad.
Si comprobáis el nombre de esta ultima consola, veréis que aparece la palabra local en el mismo. Esto es asi por que se distinguen dos ámbitos al hablar de usuarios: Los usuarios locales y los usuarios de dominio. Mientras no tengamos instalado un dominio (para lo cual necesitaremos algún servidor Windows de la familia NT) siempre estaremos trabajando con cuentas locales.
Si accedemos a las propiedades de un usuario, veremos como tenemos tres pestañas con las que trabajar:
General: Podemos indicar el nombre completo de la cuenta, una descripción, e indicar algunas opciones de la cuenta.
El usuario debe cambiar la contraseña en el siguiente inicio de sesión. Cuando el usuario inicie sesión la próxima vez se verá obligado a cambiar su contraseña.
El usuario no puede cambiar la contraseña. Prohibimos que el usuario pueda cambiar su contraseña.
La contraseña nunca caduca. Ya veremos como en Windows XP las contraseñas se consideran material fungible, es decir, que tras un cierto tiempo de uso el sistema obligará a cambiar dichas contraseñas. Mediante esta opción indicamos que la contraseña podrá usarse sin que caduque nunca.
Cuenta deshabilitada: No borra la cuenta, pero impide que sea usada. Es el estado por defecto de la cuenta Invitado.
La cuenta esta bloqueada: Por determinados mecanismos de seguridad que ya veremos, se puede llegar a bloquear una cuenta, que implicará que dicha cuenta estará deshabilitada. Desde esta opción podemos volver a desbloquearla, simplemente desmarcando la casilla.
Miembro de: Desde esta pestaña podemos introducir al usuario en grupos. Los grupos se usan para dar permisos y derechos a los usuarios fácilmente, sin tener que ir usuario por usuario. Asi por ejemplo, si introducimos a un usuario como miembro del grupo Administradores, le estaremos dando todos los permisos del grupo Administradores. En la pestaña miembro de veremos todos los grupos a los que el usuario pertenece actualmente. Si le damos al botón agregar podremos escribir directamente el nombre de un grupo donde agregarlo. Si queremos escoger dicho grupo de una lista de los grupos posibles, hay que escoger la opción Avanzada y luego Buscar ahora, que nos mostrará una lista de todos los grupos del sistema. Basta con seleccionar el que queramos (o los que queramos) y pulsar aceptar.
Perfil: Nos permite indicar la ruta del perfil, los archivos de inicio de sesión y las carpetas personales del usuario. Como en un apunte posterior veremos el tema de perfiles, de momento lo dejamos pendiente.
Desde el shell de texto
La ultima opción para gestionar las cuentas de usuario, es hacerlo directamente desde el Shell de texto. Esta opción puede parecer la más engorrosa, pero resulta ser la mas practica en muchísimas ocasiones, sobre todo si conocemos como hacer scripts de sistema.
Para ello disponemos de varias ordenes que nos permiten gestionar las cuentas de usuario:
Net user
Agrega o modifica cuentas de usuario o muestra información acerca de ellas.
Sintaxis
net user [nombreDeUsuario [contraseña *] [opciones]] [/domain]net user nombreDeUsuario {contraseña *} /add [opciones] [/domain]]net user [nombreDeUsuario [/delete] [/domain]]
Parámetros
NombreDeUsuario Específica el nombre de la cuenta de usuario que se desea agregar, eliminar, modificar o ver. El nombre de la cuenta de usuario puede tener hasta 20 caracteres.
Contraseña Asigna o cambia una contraseña para la cuenta de usuario. Escriba un asterisco (*) si desea que se le pida la contraseña. Los caracteres de la contraseña no se muestran en la pantalla a medida que los escribe.
/domain Realiza la operación en el controlador principal del dominio principal del equipo.
opciones
Especifica una opción de la línea de comandos. La tabla siguiente enumera las opciones válidas de la línea de comandos que puede utilizar:
Sintaxis de las opciones de la línea de comandos | Descripción |
/active:{no yes} | Habilita o deshabilita la cuenta de usuario. Si no está activa, el usuario no puede tener acceso a los recursos del equipo. La opción predeterminada es yes (activa). |
/comment:"texto" | Proporciona un comentario descriptivo acerca de la cuenta de usuario. Puede tener hasta 48 caracteres. Escriba el texto entre comillas. |
/countrycode:nnn | Usa los códigos de país o región del sistema operativo para instalar los archivos de Ayuda y mensajes de error en el idioma especificado. 0 significa el código de país predeterminado. |
/expires:{{mm/dd/aaaa dd/mm/aaaa mmm,dd ,aaaa} never} | Provoca que la cuenta de usuario caduque si se especifica fecha. Las fechas de caducidad pueden tener el formato [mm/dd/aaaa], [dd/mm/aaaa] o [mmm,dd ,aaaa], según el código de país o región. Tenga en cuenta que la cuenta caduca al comienzo de la fecha especificada. |
/fullname:"nombre" | Especifica un nombre de usuario completo en lugar de un nombre de usuario normal. Escriba dicho nombre entre comillas. |
/homedir:rutaDeAcceso | Establece la ruta de acceso del directorio particular del usuario. Dicha ruta de acceso debe ser una ya existente. |
/passwordchg:{yes no} | Especifica si los usuarios pueden cambiar su contraseña. La opción predeterminada es yes. |
/passwordreq:{yes no} | Especifica si una cuenta de usuario debe tener una contraseña. La opción predeterminada es yes. |
/profilepath:[rutaDeAcceso] | Establece una ruta de acceso al perfil de inicio de sesión del usuario. Esta ruta de acceso señala a un perfil de registro. |
/scriptpath:rutaDeAcceso | Establece una ruta de acceso a la secuencia de comandos de inicio de sesión del usuario. El parámetro rutaDeAcceso no puede ser una ruta de acceso absoluta. RutaDeAcceso es relativa a %raízSistema%\System32\Repl\Import\Scripts. |
/times:{día[-día][,día[-día]] ,hora[-hora][,hora[-hora]] [;…] all} | Especifica las horas en las que se permite al usuario el uso del equipo. El parámetro Hora está limitado a incrementos de 1 hora. Para los valores de día, puede escribir el día o usar abreviaturas (L, Ma, Mi, J, V, S, D). Para las horas puede usar la notación de 12 horas o de 24 horas. Para el formato de 12 horas, use am, pm, a.m. o p.m. El valor all significa que un usuario puede iniciar una sesión en cualquier momento. Un valor nulo (en blanco) significa que un usuario nunca puede iniciar la sesión. Separe el día y la hora mediante comas y las unidades de día y hora con punto y coma (por ejemplo, L,4AM-5PM;M,1AM-3PM). No use espacios en la especificación de horas. |
/usercomment:"texto" | Especifica que un administrador puede agregar o cambiar el "Comentario de usuario" de la cuenta. Escriba el texto entre comillas. |
/workstations:{nombreDeEquipo[,...] *} | Enumera hasta ocho estaciones de trabajo desde las que un usuario puede iniciar una sesión en la red. Separe los nombres de las estaciones con una coma. Si /workstations no es una lista o ésta es igual a un *, el usuario puede iniciar una sesión desde cualquier equipo. |
net help comando
Muestra ayuda para el comando net especificado.
Comentarios
Utilizado sin parámetros, net user muestra una lista de las cuentas de usuario en el equipo.
La contraseña debe tener la longitud mínima establecida con net accounts /minpwlen. Puede tener hasta 127 caracteres. Sin embargo, si utiliza Windows 2000 o Windows XP en una red en la que también hay equipos que utilizan Windows 95 o Windows 98, considere la posibilidad de utilizar contraseñas que no tengan más de 14 caracteres. Windows 95 y Windows 98 admiten contraseñas de hasta 14 caracteres. Si su contraseña tiene más caracteres, es posible que no pueda iniciar una sesión en la red desde esos equipos.
Ejemplos
Para mostrar una lista de todas las cuentas de usuario del equipo local, escriba:
net user Para ver información acerca de la cuenta de usuario juanh, escriba:
net user juanh Para agregar una cuenta de usuario para Enrique Pérez, con derechos de inicio de sesión desde las 8 a.m. a 5 p.m. de lunes a viernes (sin espacios en las especificaciones de las horas), una contraseña obligatoria (enriquep) y el nombre completo del usuario, escriba:
net user enriquep enriquep /add /passwordreq:yes /times:lunes-viernes,8am-5pm /fullname:"Enrique Pérez" Obviamente la mayor potencia del shell de texto aparece cuando usamos scripts. Imaginemos el siguiente ejemplo:
Necesito crear una cuenta de usuario por cada uno de los alumnos del grupo, quiero indicar que solo puedan abrir sesión de lunes a viernes entre las 16 y las 22 horas, quiero usar como contraseña de cada usuario “caballo” pero obligando a cambiar dicha contraseña en el primer inicio de sesión del alumno.
Si tengo unos 40 alumnos entre varios grupos, esta claro que el tiempo que voy a usar en crear dichas cuentas va a ser importante. (Imaginad que ocurriría en una empresa con 600 empleados).
Podría solucionar todo el problema de la siguiente forma:
Creo un fichero de texto (alumnos.txt) donde en cada línea aparece el nombre del alumno (sin espacios en blanco). Dicho fichero naturalmente podría obtenerlo de la lista de clase, de un programa de horario, etc.
Creo un proceso por lotes que vaya leyendo dicho fichero de texto y vaya creando una cuenta de usuario por cada línea. Sería algo asi:
Rem ------ creacuen.bat -------@Echo OffClsEcho ------ Creando cuentas de usuario --------For /F %%A In (.\ALUMNOS.TXT) Do (
Echo ------ Creando cuenta para %%A
NET USER %%A caballo /ADD /TIMES:LUNES-VIERNES,4PM-10PM
)Echo ------ Proceso Finalizado -----------------
Si probamos este proceso, se nos crearán varias cuentas en el sistema. Para borrarlas automáticamente podríamos crear un script como el siguiente:
Rem ------ borracuen.bat -------For /F %%A In (.\ALUMNOS.TXT) Do (NET USER %%A /DELETE)
Gestión de las contraseñas
Windows XP es un sistema operativo muy configurable por parte del usuario. Aunque estas configuraciones suelen estar algo ocultas para que no sean accesibles por los usuarios normales, y solo pueden ser modificadas desde las consolas del sistema.
En concreto, desde la consola de Configuración de Seguridad Local, podemos gestionar varios aspectos sobre las contraseñas. (Inicio – Ejecutar – SecPol.msc – Configuración de Seguridad – Directivas de Cuenta – Directivas de Contraseñas)
Las configuraciones más útiles que podemos gestionar desde aquí son:
Forzar el historial de contraseñas. Impide que un usuario cambie su contraseña por una contraseña que haya usado anteriormente, el valor numérico indica cuantas contraseñas recordará XP.
Las contraseñas deben cumplir los requerimientos de complejidad. Obliga a que las contraseñas deban cumplir ciertos requerimientos, como son mezclar letras mayúsculas, minúsculas y números, no parecerse al nombre de la cuenta, etc.
Longitud minina de la contraseña. Indica cuantos caracteres debe tener la contraseña como mínimo, un valor cero en este campo indica que pueden dejarse las contraseñas en blanco.
Vigencia máxima de la contraseña. Las contraseñas de los usuarios caducan y dejan de ser validas después del número de días indicados en esta configuración, y el sistema obligará al usuario a cambiarlas. (Recordemos que al crear una cuenta de usuario podemos indicar que la contraseña nunca caduca para esa cuenta).
Vigencia minina de la contraseña. Indica cuanto tiempo debe transcurrir desde que un usuario se cambia la contraseña, hasta que puede volver a cambiarla. Esta configuración de seguridad local se usa para evitar que un usuario cambie continuamente su contraseña a fin de volver a quedarse con su contraseña original caducada.
Bloqueo de las cuentas
Desde secpol.msc también podemos gestionar un comportamiento de las cuentas de usuario relacionado con las contraseñas, y es el bloquear las cuentas si se intenta acceder al sistema con las mismas pero usando contraseñas incorrectas. Esta configuración la encontramos en (Inicio – Ejecutar – SecPol.msc – Configuración de Seguridad – Directivas de Cuenta – Directivas de Bloqueo de Cuentas)
Aquí podemos configurar:
Duración del bloqueo de cuenta. (Durante cuanto tiempo permanecerá una cuenta bloqueada si se supera el umbral de bloqueo. Un valor cero indica que la cuenta se bloqueará hasta que un Administrador la desbloquee).
Restablecer la cuenta de bloqueos después de. (Indica cada cuanto tiempo se pone el contador de intentos erróneos a cero).
Umbral de bloqueo de la cuenta. (Indica cuantos intentos erróneos se permiten antes de bloquear la cuenta).
SID
Imaginad que creamos una cuenta en nuestro equipo con nombre PACO y contraseña P1c4. Creamos varias carpetas que solo le pertenecen a el, ciframos archivos para que solo los pueda leer el, etc. Un día sin embargo por error borramos la cuenta PACO y todas esas informaciones quedan “huérfanas”. Ni cortos ni perezosos decidimos crear otra vez la cuenta PACO con contraseña P1c4, para intentar acceder a dichos ficheros y carpetas. Pues bien, comprobaremos que nuestro sistema sabe perfectamente que ese nuevo PACO no tiene nada que ver con el antiguo PACO, y los considera usuarios totalmente distintos.
Esto es asi por que el sistema operativo no usa para referirse a las cuentas su nombre o su contraseña, esos son campos que usamos nosotros, al igual que nos llamamos entre nosotros con nuestro nombre, no con nuestro DNI. El DNI que usa el sistema para referirse a las cuentas de usuario se denomina SID. (Security IDentifier o Identificador de Seguridad).
Un ejemplo de SID:
S-1-5-21-448539723-413027322-839522115-1003
El ultimo número, en este caso 1003 se conoce como RID (identificador relativo del usuario) y todo lo que esta delante del mismo identifica el dominio al que pertenece ese usuario. En concreto, esos tres grandes números que se observan (448539723-413027322-839522115) se generan automáticamente y al azar cada vez que instalamos un XP, y aparecerán en todas las cuentas que creemos en dicho sistema. (Esta es la razón por la que no se debe simplemente “clonar” o copiar un XP entero de una maquina a otra, puesto que este número será igual y esos sistemas no podrán trabajar adecuadamente en red).
La parte del SID S-1-5-21 nos da información sobre el objeto con el que estamos trabajando. Asi por ejemplo si hablamos de algunos grupos o usuarios especiales tenemos:
S-1-1-0 es el SID del grupo Todos (Everyone)
S-1-2-0 es el SID del grupo Usuarios locales
S-1-3-1 es el SID de Creator – Owner
S-1-5 Este inicio de SID nos indica que estamos trabajando con un usuario o grupo normal. Dentro de este grupo algunos SID conocidos son:
S-1-5-32-544 SID del grupo Administradores
S-1-5-32-545 SID del grupo Usuarios
Desde Windows XP es posible ver los SID que se le asignan a nuestros usuarios y grupos con la orden whoami.exe, sin embargo si intentáis ejecutar esta orden en vuestro Windows XP os dirá que dicho comando no existe. Esto es asi por que esta orden no es de las que vienen incluidas en una instalación típica de Windows XP, para instalar esta orden (y otras varias también bastante interesantes) debéis instalar las herramientas de soporte de Windows XP.
Para ello, introducid el CD de Windows XP Profesional en la unidad de CD con el sistema en marcha, explorad dicho CD y ejecutar el programa SETUP que esta en la carpeta \SUPPORT\TOOLS. Esto instalará en vuestro sistema varias herramientas, entre las cuales estará el comando WHOAMI.EXE.
Una vez instalado, abrid un shell, y ejecutad la siguiente orden:
M:\Archivos de programa\Support Tools>whoami /USER /SIDQue os responderá algo como lo siguiente:
[User]="SIS\Joan" S-1-5-21-448539723-413027322-839522115-1003Podemos ver aquí como nos dice el nombre de nuestro usuario actual y además nos indica que SID le ha sido otorgado por el sistema.
Si queremos ver no solo el SID que se le ha otorgado a nuestro usuario, sino el SID de todos los grupos a los que pertenece nuestro usuario, usad la orden con los parámetros /USER /SID /GROUPS.
Whoami solo nos muestra información sobre el usuario actual, asi que si queremos ver los SID de distintos usuarios, tendremos que ejecutar dicha orden como dichos usuarios. Aprovecho aquí para comentaros una orden que a veces es muy util. En lugar de tener que ir cerrando y abriendo sesión con cada usuario, podemos “hacernos pasar” por dicho usuario sin tener que cerrar sesión, ni abrir sesión, ni nada. Para ello usaremos la orden runas (ejecutar como si fuera).
Para ellos, abrid un shell y ejecutad la orden: RunAs /user:usuario_a_suplantar cmd
Con esto conseguiremos abrir una nueva shell en la que seremos el usuario que estamos suplantando, por lo que si ejecutamos en dicha ventana whoami nos responderá con el nuevo usuario.
Abrimos una nueva sesión de cmd ya que si ejecutamos directamente runas whoami se ejecutaría la orden, pero no veríamos nada.
Recursos Locales: Gestión de ACL
Llamamos recursos de un sistema a los distintos elementos con los que ese sistema cuenta para que sean usados por los usuarios. Así, una impresora, una carpeta, un MODEM, un fichero, una conexión de red, son recursos.
Bien, pues cada recurso cuenta con una lista donde aparecen los usuarios que pueden usar dicho recurso y de que forma pueden usarlo.
Ya hemos visto que el sistema no ve usuarios y grupos, realmente ve Identificadores de Seguridad (SID), de modo que dicha lista realmente tendrá en su interior una serie de SIDs y los permisos que cada uno de esos SIDs tiene sobre el recurso.
Esta lista con la que cuenta cada recurso se conoce como ACL (Access Control List, o Lista de Control de Acceso).
Cuando un usuario intenta acceder a un recurso, pide autorización al recurso para hacerlo. El recurso comprobará entonces si en su ACL aparece el SID del usuario, y en caso contrario, comprobará si en su ACL aparece el SID de algún grupo al que pertenezca el usuario.
Si no aparece en la ACL ningún SID del usuario, el recurso niega el acceso al usuario.
Si aparece en la ACL algún SID del usuario, el recurso comprueba si la acción que quiere realizar el usuario (leer, borrar, escribir, etc) esta permitida para ese SID en su ACL, si lo esta le autoriza para hacerlo, en caso contrario se lo impide.
Puede ocurrir que un usuario tenga permisos contradictorios… imaginemos que en el ACL de la carpeta margarita aparece que el SID del usuario PACO puede escribir en la carpeta, pero PACO pertenece al grupo PROFESORES que aparece en el ACL de margarita como que no tiene derecho a escribir. Bien, en este caso se aplica la siguiente regla:
Lo que más pesa en cualquier ACL es la denegación implícita de permisos. Si un permiso está denegado, no se sigue mirando, se deniega inmediatamente.
Basta con que un permiso este concedido en cualquier SID para que se considere concedido. (A excepción de la regla 1, es decir, que no este denegado implícitamente en ningún sitio)
Esto se entiende mejor gestionando el ACL de algún recurso.
Por ejemplo, creemos en el raíz de nuestro volumen (en NTFS) una carpeta con nombre MARGARITA. Una vez creada, accedemos a sus propiedades y en ellas a la pestaña Seguridad:
Podemos ver como en la parte superior tenemos las SID a las que concedemos permisos (usuarios y grupos) y en la parte inferior tenemos los permisos concretos que le concedemos a dicha SID. Si veis las dos columnas por cada permiso, podemos tanto Permitir como Denegar un permiso. La denegación de un permiso es la que mas pesa, y se aplica inmediatamente. De hecho, se aconseja no denegar permisos, a menos que sea absolutamente necesario.
Puede ocurrir que en las propiedades de vuestro recurso no aparezca la pestaña Seguridad. Esto ocurre por que aún tendréis activado el uso compartido simple de archivos de Windows XP, que es una forma de olvidarnos de las ACL y trabajar de una forma muy simple, indicada para usuarios que no desean preocuparse por estos temas.
Para desactivar este uso compartido simple, accedemos a Mi PC, y allí en el menú Herramientas – Opciones de carpeta – Ver accedemos al final de la lista y allí encontramos dicha opción que hay que desactivar.
Más o menos todo lo que se ve en la ACL deberíais entenderlo sin problemas. Con los botones agregar y quitar podemos añadir o quitar SID de la ACL.
En la parte inferior podemos pulsar en las casillas de Permitir y Denegar para dar y quitar permisos.
¿Pero… por que aparece la columna de Permitir en gris y no nos deja cambiarla? Bien, ha llegado el momento de hablar de la herencia.
Imaginemos que creamos una carpeta por ejemplo CONTABLES, y la preparamos minuciosamente para que pueden leer y escribir en ella los usuarios que sean miembros del grupo CONTABLES, para que solo puedan leer los del grupo JEFES pero no escribir, y que los demás usuarios no puedan ni leer en ella ni escribir. Bien, si ahora dentro de la carpeta CONTABLES creamos una nueva carpeta INFORMES, ¿no sería lógico que esta carpeta INFORMES “heredara” la ACL de su carpeta madre CONTABLES para que no tuviera que configurarla nuevamente?
Pues precisamente eso es lo que hace Windows XP, cualquier recurso que creemos, heredará automáticamente la ACL de su recurso padre si es que existe. En nuestro caso, la carpeta MARGARITA ha heredado la ACL de la raíz de nuestro volumen. De modo que no podremos quitar usuarios, quitar permisos, etc.
Para realizar cambios en la ACL de nuestra carpeta MARGARITA, debemos indicarle que “rompa” la herencia, es decir, que deseamos retocar manualmente su ACL.
Para ello, accedemos al botón de Opciones Avanzadas que esta en la pestaña Seguridad.
Podemos ver en estas opciones avanzadas 4 pestañas, de momento nos quedamos en la primera, permisos.
Vemos como en la parte inferior de esta ventana, podemos ver como esta marcada la opción de “Heredar del objeto principal las entradas de permiso relativas a los objetos secundarios. Incluirlas junto con las entradas indicadas aquí de forma explicita”. Si desmarcamos dicha opción mataremos la relación de herencia de nuestro recurso, y podremos gestionar su ACL “a pelo”. Hagámoslo.
Cuidado ahora, una vez quitada la herencia, el sistema nos da a elegir entre dos opciones:
Si escogemos la opción Copiar, la herencia se interrumpirá, y podremos retocar la ACL como nos plazca, pero dicha ACL será la que ahora mismo tiene el recurso, heredada de su objeto principal.
Si escogemos la opción Quitar, la ACL se borrará totalmente, se interrumpirá la herencia y la podremos crear desde cero.
Si elegimos quitar y empezar desde cero, hay que tener en cuenta que en las ACL no solo deben aparecer nuestras SID normales, sino que grupos como Creator Owner o System son necesarios para que el sistema pueda trabajar sin problemas con dichas carpetas. Si quitamos estos SID tendremos problemas en el futuro (copias de seguridad, auditorias, etc).
Vemos como debajo de la opción de Heredar del objeto principal, tenemos otra opción que nos permite activar que los objetos por debajo del nuestro hereden las modificaciones que hagamos en nuestra ACL. Esto es importante tenerlo en cuenta si queremos que los cambios que hagamos en la ACL se repliquen en los objetos hijos del nuestro, ya que hemos roto la herencia y a veces tendremos que forzar dichos cambios.
Realizad el siguiente ejercicio:
Cread 4 usuarios con nombre MELINDA, BELINDA, ROSALINDA y DESIDERIA.
Introducid los 4 usuarios anteriores en el grupo DANZA.
Cread una carpeta en la raíz de vuestro volumen con nombre BAILE. Modificad su ACL para que sólo puedan leer y escribir en dicha carpeta los miembros del grupo BAILE. Quitad el grupo Administradores, Usuarios, etc. Dejad los que aparecen en mayúsculas (creator owner y system) para que no tengamos problemas con la carpeta.
Comprobad abriendo sesión con los usuarios nuevos que efectivamente ellos pueden entrar y escribir en dicha carpeta y los demás usuarios del sistema no. (Podéis hacerlo bien cerrando y abriendo sesión o con Runas, lo que os resulte más cómodo).
Ahora bien, esa entrada en la ACL que se ve como Creator Owner indica el usuario que creó la carpeta y que por lo tanto es su propietario. Si dicha carpeta la creamos por ejemplo con el usuario Jose, el usuario Jose veremos como tiene permisos sobre dicha carpeta. Para evitar esto, repetid el ejercicio pero cread la carpeta con MELINDA por ejemplo. (En vez de con una carpeta BAILE hacedlo con la carpeta BAILAD por ejemplo).
Bien, ahora tendremos una carpeta donde ni los miembros del grupo Administradores ni el Administrador pueden entrar, leer o escribir. Es solamente para los usuarios del grupo DANZA… ¿o no?
Es imposible que un usuario en un sistema impida que el Administrador realice alguna función, (siempre que el Administrador sepa lo que es Administrar un sistema, claro). En este caso como Administrador (o miembro del grupo Administradores) podemos hacer lo siguiente. Accedemos a las propiedades de la carpeta “rebelde”, si bien en ella no podemos modificar nada si podemos acceder a sus propiedades avanzadas, y dentro de dichas propiedades accedemos a Propietario.
Podéis ver como desde aquí podemos cambiar el propietario actual del objeto, e indicar que el propietario actual es el grupo Administradores (o el usuario actual si es del grupo Administradores). Basta con que seleccionemos el grupo Administradores y marquemos abajo Reemplazar propietario en subcontenedores y objetos y demos aplicar – aceptar. Seremos propietarios de la carpeta.
Basta con que actualicemos la ventana de permisos y ya podremos modificar la ACL del recurso como queramos.
Ojo, esto no nos permite acceder a la carpeta directamente, nos permite modificar su ACL, donde tendremos que introducir el SID del grupo Administradores para así si, poder acceder a la carpeta con los permisos que indiquemos.
Los distintos permisos que se pueden aplicar para cada SID en la ACL no son únicamente los que vemos en las propiedades de la carpeta, si entramos en opciones avanzadas y allí en permisos – agregar veremos como podemos indicar otro tipo de permisos.
El permiso Recorrer carpeta permite o impide que el usuario pase de una carpeta a otra para llegar a otros archivos o carpetas, incluso aunque el usuario no tenga permisos para las carpetas recorridas (sólo se aplica a carpetas).
El permiso Atributos de lectura permite o impide que el usuario vea los atributos de un archivo o de una carpeta, como sólo lectura y oculto. Los atributos están definidos por el sistema de archivos NTFS..
El permiso Atributos de escritura permite o impide que el usuario cambie los atributos de un archivo o de una carpeta, como sólo lectura y oculto. Los atributos están definidos por el sistema de archivos NTFS.
El permiso Leer permisos permite o impide que el usuario lea permisos del archivo o de la carpeta, como Control total, Leer y Escribir.
El permiso Tomar posesión permite o impide que el usuario tome posesión del archivo o de la carpeta. El propietario de un archivo o de una carpeta puede cambiar los permisos correspondientes, cualesquiera que sean los permisos existentes que protegen el archivo o la carpeta.
Un permiso muy especial es el de Control Total. Si este permiso se lo otorgamos a un usuario en una carpeta, este usuario podrá eliminar cualquier cosa que haya en esa carpeta, incluso si le denegamos el permiso de eliminación en esos recursos. Hay que tener mucho cuidado al conceder este permiso.
También podemos gestionar las ACL desde shell de texto, con la instrucción XCACLS.EXE que viene incluida en las herramientas de soporte del cd de Windows XP (se ha debido instalar al mismo tiempo que instalamos whoami). También es posible usar la orden CACLS que es prácticamente igual que CACLS, aunque un poco menos potente.
Usando xcacls al mismo tiempo que runas, podemos crear carpetas usando varios usuarios, modificar sus permisos, etc. Si esto mismo lo hacemos abriendo y cerrando las distintas sesiones nos ocupará mucho más tiempo.
Veamos como se usa esta orden mediante un pequeño ejercicio.
Creamos un usuario desde shell de texto con nombre Nami y contraseña 1234.
NET USER NAMI 1234 /ADDCreamos un usuario desde shell de texto con nombre Zoro y contraseña 1234.
NET USER ZORO 1234 /ADDLanzamos un shell de texto usando la cuenta de usuario Nami. (A partir de aquí todo lo realizaremos desde este shell, usando la cuenta Nami).
RUNAS /USER:NAMI CMDCreamos una carpeta TESORO. (Puede que nos tengamos que ir al raíz para tener permisos para crear carpetas).
MKDIR TESOROVisualizamos los permisos de dicho carpeta, su ACL.
XCACLS TESOROIndicamos con xcacls que añadimos al usuario Zoro a la ACL de la carpeta, con permisos de lectura.
XCACLS TESORO /G ZORO:R /EComprobamos que se han modificado los permisos.
XCACLS TESOROLe quitamos a los Administradores los permisos sobre esta carpeta.
XCACLS TESORO /R ADMINISTRADORES /EComprobamos que se han modificado los permisos.
XCACLS TESOROLo último que vamos a ver sobre las ACL es el concepto de Creator Owner. El propietario de un recurso es aquel usuario que creó el recurso, y este propietario siempre tiene el poder ultimo sobre el recurso. No importa que dicho usuario desaparezca de su ACL, o incluso que se le deniegue el acceso al recurso; su propietario siempre podrá modificar su ACL.
Uno de los principales poderes del Administrador del sistema (y de hecho, de cualquier miembro del grupo Administradores) es que puede tomar posesión de cualquier recurso. Es decir, que el Administrador puede indicarle a cualquier recurso que él es el creador o propietario del recurso, por lo que pasa a tener todos los poderes sobre el mismo.
Para conseguir esto, tenemos que entrar en las opciones avanzadas de la pestaña Seguridad del recurso, y allí irnos a la pestaña Propietario.
Veremos como aunque no tengamos ningún permiso sobre el recurso, desde esta pestaña podemos indicar que el propietario del recurso será el grupo Administradores (recomendado antes que asignar el propietario al usuario individual), bastará entonces actualizar las propiedades del recurso para ver como pasamos a tener todos los poderes.
Recursos Compartidos
En el punto anterior hemos visto como podemos modificar las ACL de los recursos para que sean usadas por los usuarios y grupos LOCALES, es decir, aquellos que residen en nuestra propia maquina.
Vamos a ver ahora como modificamos esas ACL para permitir el uso por parte de usuarios y grupos que no pertenecen a nuestra propia maquina, sino que van a entrar en nuestro sistema a través de la red.
Windows presenta dos posibilidades a la hora de usar una red, trabajar en lo que se conoce como grupo de trabajo en la que todas las maquinas son iguales en derechos y obligaciones (red entre pares, o peer to peer) o bien trabajar en una red centralizada, donde existe una maquina que ejecuta un rol de control sobre las demás y que corre un sistema operativo servidor como Windows 2003 (Dominio).
Dejaremos el tema de cómo trabajar en un Dominio para los apuntes sobre Windows 2003, y nos centraremos ahora en los grupos de trabajo.
Obviamente para poder trabajar en un grupo de trabajo, debemos tener nuestro Windows XP bien configurado para trabajar en red. Para ello comprobad que:
Aseguraros que en propiedades de red, estáis usando una conexión TCP/IP, y que se encuentra en ella configurada una dirección IP valida, una mascara de red, una puerta de enlace y un servidor DNS correctos. (Panel de control – Conexiones de Red – Propiedades de nuestra conexión – Propiedades de TCP/IP).
Aseguraros que vuestra maquina tiene un nombre descriptivo, y que estáis trabajando en el mismo grupo de trabajo que el resto de vuestros compañeros. (Propiedades de Mi PC – Nombre de Equipo)
Aseguraros que no estáis corriendo ningún cortafuego que impida el acceso a vuestra maquina desde la red. En el caso de usar el cortafuegos incorporado en Windows XP, aseguraros que esta permitida la comparición en red. (Panel de Control – Centro de Seguridad).
Para comprobar si hemos metido bien los datos podemos usar la orden IPCONFIG, que nos muestra nuestros valores de configuración en la red.
IPCONFIGPara asegurarnos que estamos en red, podemos utilizar la orden PING, que envía paquetes a una dirección IP y nos responde si dichos paquetes llegan a su destino y vuelven sin problemas.
PING Dirección-IP-destinoSi todas las maquinas responden al PING, sabemos que al menos la red TCP/IP esta trabajando sin problemas.
En Windows XP por defecto el ping está bloqueado, para habilitarlo en el firewall, última pestaña-> ICMP -> permitir solicitud eco entrante, o bien desactiva el firewall.
Por favor, huid siempre que sea posible de acceder a la red desde el explorador de archivos. Es un sistema que precisa para su buen funcionamiento un servidor WINS en la red, y si este no existe es un procedimiento enormemente lento y engorroso. Mucho mejor el PING para comprobar si estamos conectados. (Windows usa su propio protocolo para compartir recursos en un grupo de trabajo, este protocolo es conocido como NetBios y usa un localizador para encontrar los nombres de las maquinas conocido como Wins. Si estamos en un Dominio, el protocolo usado es únicamente TCP/IP y el localizador es DNS).
Una vez que estamos en red, podemos intentar acceder a las otras maquinas de la red para comprobar si están compartiendo algún tipo de información en la red, e intentad acceder a el.
Para ver los nombres de las maquinas NetBios que son conocidas por nuestro sistema en la red, escribid la orden NET VIEW.
Net ViewEs probable que la unica maquina que podamos ver sea la nuestra, esto es asi por que estos son nombres NetBios y no estamos usando un servidor Wins. Podemos forzar a Net View a que busque una maquina en concreto para mostrarnosla:
Net View \\Nombre_MaquinaNet View file://dirección_ip_remota/
Podemos ver como Net View (en este caso la dirección IP es 127.0.0.1 que se conoce como localhost, es decir, nuestra propia maquina) nos muestra que recursos compartidos tiene esa maquina en la red, y de que tipo son. Esos son los recursos a los que podemos acceder de forma “normal”.
Es posible que en este punto ya no funcionen algunas cosas… vayamos por partes:
Si al hacer un net view \\127.0.0.1 (localhost) nos dice que no hay entradas en lista, es evidente que no estamos compartiendo nada. Compartid alguna carpeta (propiedades de carpeta, compartir) y comprobadlo de nuevo.
Si aun compartiendo cosas, somos incapaces de ver nada, comprobad de nuevo el estado del cortafuegos (Panel de Control – Cortafuegos – Excepciones – Compartir).
Comprobad que vuestra configuración IP es correcta, dirección IP, mascara de red, etc.
Comprobad que el cable de red esta correcto, que tenéis conexión a Internet, etc.
Obviamente, para acceder a un recurso desde la red, debemos recibir autorización. Es decir, al igual que vimos en el punto anterior, el usuario que intenta usar el recurso debe estar incluido en la ACL del recurso.
Así, es seguro que si intentamos acceder directamente a otro equipo con Net View recibiremos el error 5 probablemente, acceso denegado. Esto es así porque el equipo remoto no nos autoriza a ver sus contenidos compartidos. Windows XP no permite por defecto que alguien entre por la red al equipo si no se autoriza, mediante un nombre de usuario y contraseña correctos.
Al igual que usamos Net View para ver lo que un equipo comparte, podemos hacerlo desde el explorador de archivos. Para ello, iros al explorador y escribid en su barra de direcciones
Vemos como obtenemos el mismo resultado que desde Net View, pero de forma gráfica (Por favor, intentad no entrar en esa opción de Ver equipos del grupo de trabajo, os reitero que es lenta, engorrosa y genera errores).
Esta maquina nos ha dado permiso por que es la nuestra, claro (127.0.0.1, localhost) pero ¿que ocurre si le damos la dirección de otra maquina?
Pensemos un poco…. El equipo remoto al que queremos conectarnos tiene sus recursos, con sus ACL y demás como vimos anteriormente. De repente ve como un usuario intenta acceder, autorizarse, pero no desde el equipo local (con su SID y demás) sino desde la red. Es obvio que en este ambiente no se pueden usar las SID (recordar que la SID incluye dentro un numero aleatorio que depende de cada equipo, por lo que una maquina no reconoce los SID normales de otra maquina).
Asi que la maquina remota a la que intentamos acceder, insiste en autorizarnos, y lo hace de la siguiente forma:
Comprueba el nombre de usuario y la contraseña que esta usando en su maquina el usuario que intenta colarse por la red. Si ese nombre de usuario y contraseña coinciden con un nombre de usuario y contraseña locales de la propia maquina, supone que es el usuario indicado y le deja pasar.
En caso de que el punto 1 no se cumpla, comprueba si en la maquina que intenta entrar esta activa la cuenta de Invitado y el sistema esta configurado para permitir que se use la cuenta Invitado para red, y los permisos de red y la seguridad del recurso también lo permiten.
Si no se cumplen el punto 1 ni 2, aparece una pantalla como la indicada arriba que pregunta directamente un nombre de usuario y contraseña para entrar en el equipo.
Un punto importante que hay que conocer: Una vez que un equipo nos deja acceder al mismo nos concede una credencial, esta credencial no se borra inmediatamente, sino que es recordada en el equipo durante un tiempo. Esto es importante saberlo por que podremos encontrarnos con un equipo que nos concede el paso, borramos la cuenta que permite ese paso, y sin embargo al volver a probar resulta que seguimos entrando sin problemas. Simplemente ocurre que las credenciales siguen estando activas, aunque la situación que las genero haya desaparecido. Para actualizar estas credenciales la forma más segura es reiniciando el equipo.
Recursos compartidos mediante cuenta local
Bien, creemos una carpeta y compartámosla en red, para ir viendo punto por punto como se realiza esta acción.
Creamos un usuario en nuestro sistema con el nombre RINO y contraseña 1234.
Cread una carpeta ALMACEN en la raíz de vuestro volumen.
Accedemos a sus propiedades y a la pestaña Compartir. (Si no se ve esta pestaña, es que tenéis activado la opción de uso compartido simple de archivos y habrá que desactivarla (Mi PC – Herramientas – Opciones de Carpeta – Ver – ultima opción).
Allí indicamos que queremos compartir el archivo, le ponemos un nombre y un comentario, y entramos en la opción de Permisos. Esta opción será la que nos indique que usuarios pueden entrar desde la red a dicho recurso.
Agregamos al usuario RINO en Permisos, con control total.
Accedemos a la pestaña Seguridad de ALMACEN. Añadimos al usuario Rino con todos los permisos (No es suficiente con añadir al usuario en Permisos, también hay que añadirlo en Seguridad).
Ahora que le hemos concedido al usuario RINO el derecho a entrar en la carpeta ALMACEN, nos situamos en otro ordenador.
Creamos la cuenta RINO con contraseña 1234
Abrimos sesión con dicha cuenta RINO en esa maquina.
Desde shell de texto escribid lo siguiente (vale el nombre de la maquina o su dirección IP):
Net View \\Nombre_Maquina_donde_esta_Almacen
Deberiamos ver el recurso compartido ALMACEN_EN_RED
Escribimos:
Net Use X: \\Nombre_Maquina_Almacen\ALMACEN_EN_RED Si lo hemos realizado todo bien, con esto veremos que tenemos un nuevo volumen en el sistema, con la letra X y que corresponde al recurso compartido.
Para hacer lo mismo desde el explorador, escribid en la barra de direcciones del explorador \\Nombre_Maquina_Almacen
Hacemos click con el botón derecho en la carpeta ALMACEN_EN_RED y escogemos la opción conectar a unidad de red, con lo que crearemos otro volumen para dicho recurso en nuestro sistema.
Si escribimos directamente \\Nombre_Maquina_Almacen\ALMACEN_EN_RED accederemos al recurso, sin crear ninguna letra de volumen.
Veremos como accedemos usando la cuenta del usuario RINO, ya que le hemos dado los permisos necesarios, tanto en permisos como en seguridad.
Si queremos que esos volúmenes (X) que hemos creado se conecten automáticamente cada vez que iniciemos sesión, añadimos el parámetro /persistent:yes desde shell de texto en el net use, o bien indicamos volver a conectar si lo hacemos desde el explorador.
Net Use X: \\Nombre_Maquina_Almacen\ALMACEN_EN_RED /persistent:yes
Si queremos borrar la asociación del recurso con la letra, basta con escribir NET USE * /DELETE y los borrara todos. (Si solo queremos uno, en lugar de * poned su nombre).
Recursos compartidos y acceso anónimo
Hasta aquí hemos visto como acceder usando una cuenta de usuario común en los dos equipos. Veamos ahora como podemos activar el acceso de usuarios anónimos usando la cuenta Invitado. Esto nos permitirá ofrecer recursos compartidos en red para que pueda usarlo cualquier maquina sin preocuparnos de las cuentas locales que dicha maquina tenga.
Para ello, realizamos lo siguiente:
Compartimos un recurso en nuestra maquina.
Nos aseguramos de que la cuenta Invitado esta activa.
Accedemos a secpol.msc para tocar algunas directivas de grupo que deben ser cambiadas para permitir el acceso anónimo de usuarios:
Desde directivas locales – Asignación de derechos de usuario:
Denegar el acceso desde la red a este equipo. Nos aseguramos que la cuenta Invitado no esta incluida en esta directiva.
Tener acceso a este equipo desde la red. Nos aseguramos que la cuenta Invitado esta incluida en esta directiva.
Desde directivas locales – Opciones de seguridad.
Acceso de red: deja los permisos de Todos para aplicarse a usuarios anónimos. Si la habilitamos, basta con que en permisos al compartir agreguemos el grupo Todos. Si esta deshabilitado el grupo Todos no incluye la cuenta Invitado, por lo que habrá que agregar específicamente la cuenta Invitado.
Con estos pasos, conseguiremos un sistema en el cual, si compartimos un recurso, en sus propiedades en permisos indicamos que puede ser usada por Todos y en su seguridad incluimos el usuario Invitado, cualquier usuario de la red podrá entrar en el recurso con los permisos que indiquemos para la cuenta Invitado. Esto se conoce como acceso anónimo.
Modificando otras directivas de grupo, es posible crear otros esquemas de compartición y trabajo en red, pero este es uno de los más útiles y simples, ya que permite recursos nominales y recursos anónimos.
La forma de crear un recurso compartido oculto en Windows es muy simple, basta con terminar el nombre de dicho recurso con el símbolo $. Asi, si creamos una carpeta VIDEOS y la compartimos en red con AVI$, dicha carpeta no será visible ni con Net View ni desde el explorador, sin embargo dicho recurso se podrá usar sin ningún problema indicando su nombre completo \\Equipo\Avi$.
De hecho, Windows comparte de forma predeterminada TODOS nuestros volúmenes completos, con los nombres C$, D$, etc. Estos recursos compartidos se usan desde la Administración de sistemas, y no deben ser desactivados. Esta forma de trabajar es muy cómoda, puesto que un Administrador siempre podrá acceder a sus equipos desde red, sin tener que compartir implícitamente ningún recurso.
Si queremos ver nuestros recursos compartidos, incluidos algunos ocultos, lo podemos hacer desde la consola COMPMGMT.MSC.
Desde esta consola también podemos ver las sesiones abiertas por usuarios remotos en nuestro equipo (e incluso desconectar dichas sesiones y también podemos ver que archivos están abiertos por dichas sesiones).
El recurso compartido IPC$ es un recurso utilizado para funciones avanzadas de Administración de sistemas.
Recursos compartidos: Impresoras
Compartir una impresora es prácticamente igual que compartir una carpeta. Basta con que accedamos a nuestra impresora (Inicio – Impresoras y Faxes, o bien accedemos desde Panel de Control), y en sus propiedades indiquemos compartir.
Desde esta opción podemos compartir la impresora, indicar un nombre de recurso compartido, y podemos instalar en nuestro sistema controladores adicionales. Estos controladores permiten que cuando una maquina remota quiera acceder a nuestra impresora no tenga que instalar ningún driver (controlador) adicional, sino que se los bajara automáticamente desde nuestra propia maquina.
Recursos compartidos: ejercicios
Se propone ahora un ejercicio completo sobre compartición de recursos.
Crear la cuenta de usuario PAVO.
Crear una carpeta en el raíz de nuestro volumen con nombre AVE.
Preparad dicha carpeta para que el usuario PAVO pueda acceder desde la red (para lo cual tendrá que abrir sesión como PAVO en una maquina remota) y tenga permisos totales sobre dicha carpeta.
Probad que efectivamente el usuario PAVO puede entrar desde otra maquina a la carpeta AVE. Preparad dicha maquina para que de forma predeterminada cada vez que el usuario PAVO abra sesión en dicha maquina se conecte a la carpeta AVE y la muestre como unidad Y:
Crear en el primer equipo una carpeta en el raíz de nuestro volumen con nombre P2P.
Preparad dicha carpeta para que cualquier usuario de cualquier maquina pueda acceder desde la red a la carpeta P2P, con permisos de solo lectura.
Cread un fichero de texto en la carpeta P2P, ahora comprobad que desde cualquier maquina de la red y desde cualquier usuario se puede conectar a la carpeta P2P del primer equipo y se puede leer el fichero de texto.
Perfiles de Usuario
Un perfil de usuario contiene todas las características y ficheros que forman parte de entorno de trabajo de un usuario. Esto incluye los parámetros especiales de ese usuario en el registro del sistema para multitud de aspectos, desde el aspecto del cursor del ratón, a la forma en que configura el Word, las cookies que utiliza, los favoritos de Internet, sus carpetas de documentos, accesos directos a carpetas de red, etc.
Por defecto, cada usuario que inicia sesión en nuestra maquina cuenta con un perfil de usuario, que se crea cuando dicho usuario inicia sesión por primera vez en nuestra maquina. Los perfiles de usuario locales se almacenan bajo la carpeta DOCUMENTS AND SETTINGS que se crea en el mismo volumen donde instalamos Windows XP, y en una carpeta con el nombre de la cuenta del usuario. Podemos usar la variable de entorno %SystemDrive% que indica en que volumen se instaló Windows XP. La variable %UserName% nos devuelve el nombre de usuario actual, con lo que nuestro perfil estará almacenado en %SystemDrive%\Documents And Settings\%UserName%. Toda esta ruta esta también almacenada en una variable de entorno que es la de %UserProfile%.
Dentro de cada perfil de usuario, encontramos una jerarquía de directorios o carpetas. El raíz de dicho perfil (es decir, la carpeta dentro de Documents And Settings que tiene como nombre el nombre del usuario) contiene un fichero NTUSER.DAT, que contiene la porción de información del registro del sistema inherente a dicho usuario. Dentro del perfil se incluyen las siguientes carpetas:
Datos de programa. Esta carpeta oculta contiene datos específicos para programas, comos los diccionarios de los procesadores de textos, bases de datos de los CDs, certificados de Internet Explorer, etc. La información que se almacena en esta carpeta depende de los programas.
Cookies. Esta carpeta contiene las cookies del Internet Explorer. (Galletas, pequeños ficheros de textos usados por las páginas Web para proporcionar diversos servicios).
Favoritos. Los favoritos del Internet Explorer.
Configuración Local. Esta carpeta oculta contiene configuraciones y ficheros que no se mueven con el perfil del usuario, bien por que sean específicos de la maquina local o por que sean excesivamente grandes y no merezcan la pena ser mantenidos junto con el perfil. Por ejemplo, aquí se encuentran los históricos de Internet Explorer, los ficheros temporales del mismo, etc.
Mis Documentos. Esta carpeta es la que realmente se usa, cuando en cualquier programa almacenamos algo en la carpeta Mis Documentos. Así, si en un programa almacenamos algo en Documentos de Ana, por ejemplo, lo estamos almacenando en la carpeta Mis Documentos del perfil Ana. Si almacenamos algo en Mis Documentos directamente, lo estamos almacenando en la carpeta Mis Documentos del perfil del usuario actual.
Entorno de Red. Tenemos aquí los accesos directos que aparecen en Mis sitios de Red.
Impresoras. Tenemos aquí accesos directos a impresoras y faxes.
Documentos Recientes. Accesos directos a los últimos documentos con los que hemos trabajado.
Send To. (Enviar a) Esta carpeta contiene accesos directos a las carpetas y aplicaciones que aparecen en el menú contextual de un objeto en el explorador de archivos, bajo la opción Enviar a. Podemos añadir en esta carpeta, nuevos destinos para nuestros programas y documentos.
Menú Inicio. Esta carpeta contiene los objetos personales (como accesos directos a aplicaciones y documentos) que vemos aparecer en el Menú Inicio.
Plantillas. Tenemos aquí accesos directos a plantillas de documentos. Estas plantillas son usadas por el comando Nuevo en el explorador.
Escritorio. Tenemos en esta carpeta los accesos directos que se muestran en el escritorio del usuario.
Perfiles comunes
En la carpeta de perfiles (%SystemDrive%\Documents And Settings) podemos encontrar dos perfiles que no están asociados a ninguna cuenta de usuario en particular. Estos son All Users (Todos los usuarios) y Default User (Usuario por defecto). La carpeta Default User está oculta.
Perfil All Users. El contenido de este perfil, se añade a los contenidos de los perfiles de cada usuario. Por ejemplo, si ponemos algún acceso directo en All Users\Escritorio, este acceso le aparecerá a todos nuestros usuarios en sus escritorios. Por defecto, solo los administradores pueden añadir objetos al escritorio y al menú inicio del perfil All Users. Sin embargo, todos los usuarios pueden añadir objetos en la carpeta de documentos compartidos.
Perfil Default User. Cuando un usuario inicia sesión en nuestro sistema por primera vez (y no tiene un perfil móvil u obligatorio), Windows crea un nuevo perfil local para dicho usuario, copiando el contenido de la carpeta Default User a una nueva carpeta con el nombre del usuario. Por lo tanto, podemos configurar los perfiles de nuestros nuevos usuarios, modificando el contenido de la carpeta Default User. Por defecto, solo los administradores pueden hacer cambios en esta carpeta.
Es interesante conocer bien el funcionamiento de estos perfiles especiales, ya que pueden simplificar enormemente la vida a los administradores. Podemos, por ejemplo, incluir enlaces directos a las páginas Web de la empresa, a documentos donde se expliquen las características de seguridad que se han de seguir, etc.
Hay que tener cuidado con un error que se suele cometer con los permisos de los ficheros al usar estos perfiles. Si copiamos un fichero a la carpeta de perfil para Default User, este fichero obtiene los permisos de la carpeta. Sin embargo, si movemos un fichero a la carpeta de perfil para Default User, este fichero conserva sus permisos propios. Esto hace que si como administrador creamos un fichero y lo movemos a la carpeta Default User (o a cualquier carpeta en realidad) este fichero nos pertenecerá a nosotros, y es muy probable que el usuario no tenga permiso ni siquiera para verlo.
Gestionando Perfiles
Una vez comprendido que es un perfil y donde se encuentran ubicados, es tentador para un administrador gestionarlos directamente desde el explorador de archivos, copiarlos, borrarlos, etc.
Sin embargo, esta no es una práctica recomendada, ya que se corre el riesgo de dejar perfiles inutilizables. De hecho, salvo las carpetas escritorio y menú inicio, las demás carpetas no deben ser modificadas desde el explorador de archivos.
Para gestionar estos perfiles, debemos usar el formulario de perfiles de usuario que XP incorpora. Para llegar a este formulario debemos ir al formulario Sistema (Panel de Control – Sistema o Propiedades de Mi PC) y allí Opciones Avanzadas – Perfiles de Usuario: Configuración.
Los miembros que no sean miembros del grupo Administrador no podrán ver otros perfiles diferentes al suyo, y no pueden modificar ningún perfil. No se puede gestionar un perfil que tenga sesión abierta en el sistema.
Desde aquí podemos borrar perfiles dejando el registro del sistema actualizado, copiar perfiles de un usuario a otro y cambiar el tipo de dicho perfil, pasándolo de local a móvil, etc.
El concepto de cambiar tipo de local a móvil, etc, lo veremos con posterioridad.
Asignando Perfiles
Normalmente, cuando creamos una nueva cuenta de usuario su perfil se crea automáticamente la primera vez que dicha cuenta de usuario inicia sesión en nuestro sistema (es ese rato largo que se llevan las nuevas cuentas en las que aparece en pantalla algo como aplicando su configuración personal). Sin embargo, como Administrador del sistema podemos asignar directamente un perfil a una cuenta de usuario. Para ello debemos usar la consola LUSRMGR.MSC. Si desde allí escogemos un usuario y hacemos doble clic, veremos como nos aparecen las propiedades de dicho usuario, y tenemos una pestaña para gestionar su perfil.
Desde este formulario, podemos configurar lo siguiente:
Ruta de acceso al perfil. Si no queremos que el perfil este localizado en su ubicación por defecto, podemos indicar aquí donde queremos que se cree dicho perfil. Hay que tener en cuenta que el usuario que use el perfil debe tener derechos totales sobre dicha carpeta. De esta forma veremos como podemos crear tres tipos distintos de perfiles: locales, móviles y obligatorios.
Archivo de comandos de inicio de sesión. Aquí podemos colocar el nombre y localización de un fichero de comandos (Script) que se ejecutará cada vez que el usuario inicie sesión.
Ruta de acceso local. La carpeta particular (Home) es una carpeta en la que el usuario puede almacenar sus ficheros y programas. Aunque la mayoría de los programas usan la carpeta Mis Documentos para almacenar los ficheros del usuario, podemos necesitar crear una carpeta alternativa para dicho usuario. Si hemos creado un Script de inicio de sesión para el usuario, su directorio por defecto inicial es esta carpeta Home. Aquí indicamos en que directorio de nuestro sistema hemos creado la carpeta para dicho usuario.
Conectar. Desde aquí podemos indicar una carpeta particular para ese usuario, e indicar una letra de volumen para que dicha carpeta sea referenciada.
El Script de inicio de sesión, es un programa que se ejecuta automáticamente cada vez que el usuario inicia sesión en nuestra maquina. Cualquier fichero ejecutable (bat, cmd, vbs, js, wsf, exe, com,..) puede ser usado como Script de inicio. Normalmente estos scripts se pueden utilizar para conectarnos a sitios de red, para iniciar ciertos programas de control, etc. Este es simplemente uno de los sitios donde podemos obligar a las cuentas de usuario a ejecutar un programa, en XP tenemos varios lugares más desde donde hacer esto. Podemos obligar a que se ejecuten programas cuando un usuario inicia sesión, cuando la cierra, cuando se enciende el sistema, cuando se apaga, a intervalos de tiempo, a horas programadas, etc.
Toda esta gestión de perfiles que hemos visto, solo funciona adecuadamente si estamos unidos a un dominio. En un ámbito de grupo de trabajo, no es recomendable trabajar con perfiles que no sean locales.
Tipos de perfiles
Windows admite tres tipos distintos de perfiles.
Perfiles de usuarios locales. Son los que se almacenan en %SystemDrive%\Documents And Settings en el disco duro local. Si un usuario cambia algo en su perfil, esos cambios solo se registran en nuestra maquina local, como es obvio. Es el único tipo de perfil usado si no estamos en un dominio.
Perfiles de usuario móviles. Estos perfiles no se almacenan en el disco duro local de la maquina, sino en un servidor de red. Esto implica que esos perfiles están disponibles para los usuarios sin importar en que maquina abran sesión, siempre que dichas maquinas tengan acceso a ese servidor. El perfil se encuentra almacenado en un servidor, de modo que al iniciar sesión se copia dicho perfil a la maquina en la que se encuentre el usuario. Si el usuario modificar algo del perfil, dichos cambios son introducidos también en el servidor. Estos perfiles móviles pueden ser utilizados si contamos con un servidor en la red que cuente con Windows Server (2000, 2003, etc).
Perfiles de usuario Obligatorios. Estos perfiles solo pueden ser cambiados por los administradores. Inicialmente, es igual que un perfil de usuario móvil, ya que el perfil se encuentra almacenado en un servidor, y se crea una copia de dicho perfil en la maquina en la que el usuario inicia sesión. Pero a diferencia el perfil móvil, los cambios que el usuario efectué en su perfil no se copian en el servidor. Es decir, aunque el usuario puede cambiar su perfil una vez abierta sesión, la próxima vez que inicie otra sesión verá que no se han almacenado ninguno de los cambios que ha introducido. Una ventaja de los perfiles de usuario obligatorios, es que pueden ser usados por múltiples usuarios sin que se afecten los unos a los otros. Obviamente, el administrador si puede modificar estos perfiles como le parezca.
Todo este tema de perfiles esta pensando principalmente para trabajar en un dominio, usando un servidor Windows donde estén almacenados dichos perfiles. Intentar trabajar con ellos en un ámbito de grupo de trabajo es altamente desaconsejable.
Directivas de Grupo
Las directivas de grupo forman parte de la estructura de Windows 2000, Windows XP y Windows 2003. En estos sistemas, las políticas de grupo son una herramienta muy poderosa que permite a los administradores configurar equipos de forma local o remota, instalando aplicaciones, restringiendo los derechos de los usuarios, eliminando aplicaciones, instalando y ejecutando scripts, y redirigiendo carpetas del sistema a red o viceversa. Pero también tienen utilidad las políticas de grupo en entornos pequeños, incluso en una sola maquina. Usando las políticas de grupo en una maquina corriendo Windows XP, podemos:
Modificar políticas que se encuentran en el registro del sistema. El registro del sistema es una gran base de datos en la que se configuran cientos de comportamientos de Windows XP. Desde las políticas de grupo podemos acceder a estas características y modificarlas, de una forma mucho más simple que mediante la edición pura del registro.
Asignar scripts que se ejecutaran automáticamente cuando el sistema se encienda, se apague, un usuario inicie sesión o cierre sesión.
Especificar opciones especiales de seguridad.
Si estamos trabajando bajo un dominio (con un servidor en la red administrando dicho dominio) las políticas de grupo cobran mayor protagonismo. En un ambiente de grupo de trabajo, las políticas de grupo de cada maquina, controlan los aspectos únicamente de dicha maquina y en algunos casos es imposible sacarles el rendimiento esperado.
La consola desde donde podemos gestionar las directivas de grupo es el gpedit.msc.
Para poder trabajar con el gpedit.msc necesitamos estar usando una cuenta de usuario que pertenezca al grupo Administradores. Esta consola es muy configurable, permitiéndonos añadir y quitar opciones según deseemos. De momento, vamos a trabajar con las opciones que aparecen por defecto.
Si nuestro equipo esta unido a un dominio, podemos configurar directivas del dominio completo, que afectaran a varias maquinas. Sin embargo, nos vamos a centrar aquí en las directivas locales, ya que no estamos trabajando en un dominio de momento.
Principalmente, veremos que dentro las directivas de grupo locales tenemos dos opciones: Configuración del equipo y Configuración del usuario. En el caso de estar trabajando en grupo de trabajo es prácticamente indistinto trabajar con una opción u otra.
La mejor forma de comprender que podemos hacer desde esta herramienta, es ir leyendo todas las posibles configuraciones que nos permiten las directivas de grupo. Contamos con más de 240 configuraciones que podemos perfilar para la configuración del equipo, y más de 440 configuraciones o directivas que podemos asignar para los usuarios. Obviamente, la gran mayoría de estas directivas pueden ser ignoradas por su escasa utilidad.
Para aprender más de una directiva en concreto, simplemente tendremos que seleccionarla con el ratón, y veremos una descripción detallada de dicha directiva en el panel central.
Algunas directivas aparecen tanto en la configuración del equipo como en la configuración del usuario. En caso de conflicto, la configuración del equipo siempre tiene preferencia.
Para modificar el estado o configuración de una directiva, simplemente tenemos que realizar doble clic sobre dicha directiva para que nos aparezca el cuadro de dialogo que nos permite modificar dicha directiva. Si en dicho cuadro de dialogo pulsamos sobre la pestaña Explicación, nos mostrará una explicación de la funcionalidad de dicha directiva.
Si escogemos la pestaña Configuración, veremos como podemos:
No configurar la directiva, con lo que se comportará según el criterio por defecto para dicha directiva.
Habilitarla, con lo que la pondremos en marcha en el sistema.
Deshabilitarla, con lo que impediremos que se ponga en marcha dicha directiva.
Algunas directivas especiales permiten especificar otras informaciones.
Hay que tener cuidado en leer muy bien la directiva y su explicación antes de modificarla, ya que podemos entender justo lo contrario de lo que hace. Por ejemplo, si habilitamos la directiva que deshabilita el contenido extra en el escritorio, estamos deshabilitando dicha opción. (¿Esta claro, no?).
Probad a deshabilitar la directiva que hemos tomado como ejemplo (gpedit.msc – Configuración de Usuario – Plantillas Administrativas – Sistema - Impedir el acceso al símbolo del sistema) e intentad ejecutar una ventana de símbolo de comandos (cmd.exe)
Como ejercicio, probad a habilitar la directiva (gpedit.msc – Configuración de Usuario – Plantillas Administrativas – Sistema – No ejecutar aplicaciones de Windows especificadas) e insertar en la lista de aplicaciones prohibidas el solitario de Windows (sol.exe) y el block de notas Windows (notepad.exe). Probad a ejecutar cualquiera de estos programas.
Vemos como desde las directivas de grupo podemos modificar el comportamiento de Windows, dándonos una gran potencia en la administración del equipo.
Ahora bien, habremos notado que cuando activamos directivas de grupo, tanto desde configuración del equipo, como desde configuración del usuario, estas directivas se aplican a todos los usuarios, incluidos nosotros mismos. Esto esta bien si lo que queremos es proteger una maquina de un ciber, por ejemplo, pero si estamos en una maquina que usamos normalmente nos interesa buscar un método que nos permita “saltarnos” las directivas.
Para conseguir esto, tenemos que tener en cuenta lo siguiente:
Las directivas de grupo se almacenan en una carpeta de nuestro sistema, concretamente en la carpeta %SystemRoot&\System32\GroupPolicy.
Cada vez que un usuario inicia sesión en nuestro equipo, el usuario lee automáticamente las directivas que encuentre en dicha carpeta
Todas las directivas que son leídas desde dicha carpeta se aplican al usuario que acaba de entrar en el sistema.
¿Teniendo en cuenta lo anterior, se os ocurre alguna manera de impedir que las directivas se apliquen, por ejemplo, a los miembros del grupo Administradores?
Es bastante simple, basta con impedir que los usuarios del grupo Administradores puedan leer dicha carpeta. Es decir, modificamos los permisos de seguridad de la carpeta donde están las directivas, %SystemRoot&\System32\GroupPolicy de modo que impidamos que los Administradores tengan permiso de lectura. (Aquí usamos por primera vez la entrada DENEGAR de los permisos).
Cerrar sesión y volver a abrirla como un usuario del grupo Administradores. Podremos comprobar como a dicho usuario ya no se le aplican las directivas, dado que no puede leerlas.
De este modo, podemos conseguir que las directivas del sistema no se nos apliquen, pero si nos damos cuenta, al denegarnos a nosotros mismos los permisos sobre la carpeta GroupPolicy, estamos consiguiendo también que sea imposible que modifiquemos las directivas de grupo. Esto implica que siempre que vayamos a modificar una directiva de grupo tendremos que tomar el control sobre la carpeta GroupPolicy, para poder leer y escribir en ella antes de poder modificar la directiva, y una vez que hayamos modificado la directiva, volver a quitarnos el permiso de lectura sobre dicha carpeta. Todo esto lo tenemos que hacer sin cerrar sesión, ya que podemos correr importantes riesgos en caso contrario.
Esta complejidad de los permisos sobre GroupPolicy vienen dados por que en cierta forma estamos “forzando” el uso de las directivas, que están pensadas para trabajar generalmente en un dominio, y no en un grupo de trabajo.
Técnicas avanzadas en Windows XP.
Windows XP es un sistema operativo altamente configurable y que cuenta con una gran cantidad de técnicas avanzadas normalmente no usadas por los usuarios genericos pero que como Administradores de Sistemas debemos conocer. Tratemos algunas de ellas.
El Registro del Sistema
En las versiones anteriores a Windows 95, cada programa que se instalaba en el sistema (incluyendo los propios programas de Windows) contaba con una serie de ficheros donde se almacenaban las configuraciones de dichos programas. Estos ficheros solían tener la extensión .ini y se contaban por miles los que en un momento dado podían estar instalados. A partir de Windows 95, aunque no se prohibieron los ficheros .ini se ideo otra forma de trabajar. Se creó una base de datos jerárquica central donde se guardan todas las configuraciones de todos los programas, incluidas las configuraciones del sistema operativo. Esta base de datos es conocida como el Registro de Windows.
Cualquier opción que escojamos en el panel de control, en un menú de Word, una preferencia que escojamos en un juego que instalemos, cualquier directiva de grupo que activemos, etc., en realidad hace referencia a un cambio que se produce en una clave del Registro. Asimismo, existen miles de posibles configuraciones que no están a nuestro alcance usando medios normales, pero se pueden configurar desde el Registro.
Hay que tener mucho cuidado a la hora de editar el Registro. Es potencialmente posible destruir absolutamente todo nuestro sistema. Cualquier cambio que se realice, debe estar meditado con anterioridad, y nunca debe realizarse ningún cambio sin contar con una copia de seguridad actualizada del Registro. Tocar el registro viene a ser como tocar directamente las piezas del motor de un coche, nos da la máxima potencia posible a la hora de modificar el coche, pero si cometemos un error no hay marcha atrás, no hay ningún sistema que nos vigile para asegurarnos de que no metemos la pata.
El Editor del Registro
El Editor del Registro (REGEDIT.EXE) es la herramienta que Microsoft pone a nuestra disposición en el sistema para editar el contenido del registro. Ejecutad este programa y comprobad su aspecto, parecido al del explorador de archivos.
Las carpetas representan claves del Registro y se muestran en el área de exploración en el lado izquierdo de la ventana Editor del Registro. En el área de temas de la derecha, se muestran las entradas de una clave. Al hacer doble clic en una entrada, se abre un cuadro de diálogo de edición.
Como es obvio, esta herramienta de edición del registro sólo puede ser usada por usuarios avanzados de nuestro equipo, como todos los miembros del grupo Administradores.
Claves del Editor del Registro
El registro del sistema esta estructurado en forma arborescente (como los directorios de un volumen). En primer lugar tenemos las carpetas principales que cuelgan de la raíz del registro. Estas carpetas principales son:
Clave | Descripción |
HKEY_CURRENT_USER | Información sobre el usuario actual. |
HKEY_USERS | Información sobre todos los usuarios. |
HKEY_LOCAL_MACHINE | Información sobre el equipo. |
HKEY_CLASSES_ROOT | Información sobre las extensiones y sus asociaciones. |
HKEY_CURRENT_CONFIG | Información sobre la configuración actual que se esta usando. |
En cada una de estas carpetas, y en sus sucesivas subcarpetas o subdirectorios, podemos crear tanto carpetas en la parte izquierda, como entradas en la parte derecha. Estas entradas pueden ser variables de cuatro tipos distintos de datos.
Tipos de datos | Descripción |
REG_BINARY | Datos binarios en formato hexadecimal. |
REG_DWORD | Datos de doble palabra. |
REG_EXPAND_SZ | Cadena de texto de longitud variable. |
REG_MULTI_SZ | Lista o array separados por espacios. |
REG_SZ | Cadena de texto de longitud fija. |
REG_FULL_RESOURCE_DESCRIPTOR | Tablas anidadas. |
Normalmente, cuando tengamos que crear una entrada para realizar algo, se nos indicara de qué tipo tiene que ser.
Editando el Registro
Al editar el registro hay que tener en cuenta una serie de cuestiones
Cualquier cambio que se realice en el registro, se aplicará de inmediato y no existe ninguna función deshacer. Es decir, no existe ninguna forma automática de dar marcha atrás.
Cualquier cosa que se borre en el registro, se borra automáticamente. El registro no espera a que pulsemos Guardar (save) para guardar el registro en disco, los cambios se guardan automáticamente.
Una forma relativamente segura de editar el registro, consiste es realizar una copia de seguridad antes de modificar nada, de forma que si deseamos volver atrás, siempre podamos cargar la copia de seguridad. En el menú Archivo del programa Regedit, tenemos la opción Exportar que nos permite grabar todo el Registro, o simplemente una porción del mismo.
Es conveniente exportar a un sitio seguro la rama del registro que vamos a modificar, de modo que siempre podamos restaurarla en caso de necesidad desde el menú Archivo con la opción Importar. Hay que tener en cuenta una cosa a la hora de importar y exportar partes del registro. Si exportamos un archivo .reg (archivo de registro) realizamos una copia parcial únicamente, de modo que si exportamos, añadimos una clave nueva al registro, y luego importamos, nuestra clave nueva seguirá existiendo. Sin embargo, un archivo de subárbol realiza una copia total, de modo que si exportamos, añadimos una clave nueva al registro, y luego importamos, veremos como nuestra nueva clave desaparece dejando el registro tal y como estaba a la hora de realizar la exportación.
Mientras que los archivos .reg se guardan en modo texto, y por lo tanto son editables, los archivos de subárbol se guardan en formato especial, y no pueden ser editados ni visualizados por métodos normales.
Windows XP presenta un comportamiento anómalo cuando se importan subárboles grandes, llegando a presentar problemas de memoria baja e incluso llegando a corromper partes del registro. Se recomienda no utilizar subárboles siempre que sea posible.
Para mayor seguridad, también podemos crear un punto de restauración del sistema en Windows XP, lo que nos asegura que en el peor de los casos siempre podremos volver al punto anterior a la modificación del registro, es el metodo recomendado para modificar el registro. (Creamos un punto de restauración, modificamos el registro, si algo falla restauramos).
El tamaño del Registro es considerable, por lo que el programa Regedit cuenta con una serie de comandos para facilitarnos la tarea de manejar el registro. El comando Buscar, que se encuentra en el menú Edición nos permite localizar un valor concreto dentro de registro, Buscar siguiente nos permite ir navegando entre los distintos valores encontrados. También cuenta con una opción de Favoritos, como la de Internet Explorer para almacenar accesos a las ramas y valores a los que solemos acceder.
Para cambiar el valor de una clave del registro, normalmente solo tenemos que hacer doble clic sobre dicha clave (en el panel de la derecha) lo que nos mostrará un formulario donde podremos indicar el nuevo valor.
Vamos a realizar un pequeño ejercicio para comprobar como encontramos y modificamos un valor. Si vamos al formulario propiedades del sistema (botón derecho – propiedades sobre el icono de Mi PC ó bien Tecla Windows + Pause) veremos como aparece “Registrado a nombre de” y el nombre del usuario que ha registrado la copia de Windows XP. Este dato se pidió en el momento de la instalación, y no es posible cambiarlo.
Sin embargo, esta información esta almacenada como no podía ser de otra forma en el Registro. Abrid el editor de registro (Regedit.Exe) y en el menú edición escoged la opción Buscar (Control – B). Como buscar el nombre que aparece en Registrado puede ser complicado ya que puede aparecer multitud de veces, vamos a buscar el número que aparece debajo del nombre en propiedades de Mi PC. Para ello introducir el número en buscar, y marcar que busque sólo en Datos.
El valor que nos interesa es uno llamado ProductId, si encontráis el número en otro valor basta con que indiquéis “Seguir Buscando” o pulséis la tecla F3 para que busquéis la próxima vez que aparece el valor.
En la misma carpeta (clave) en que encontramos ProductId veremos que aparecen dos valores RegisteredOwner y RegisteredOrganization. Estos son los campos donde se guardan los textos que vemos en propiedades de Mi PC. Cambiad estos valores por otros cualesquiera. Cerrad la ventana de propiedades de Mi PC si es que la tenéis abierta, y volver a abrirla. Mirad si ha cambiado algo.
Comprobareis como cualquier cambio que se hace en el registro es automáticamente ejecutado por el sistema, sin tener siquiera que cerrar el editor del registro. Esto hace que tengamos que andar con pies de plomo a la hora de modificar valores en el registro.
Si miramos en el registro ese valor que hemos modificado, el de RegisteredOwner, veremos como existe una ruta para llegar a ese valor, al igual que existe una ruta para llegar a un archivo. En concreto, la ruta completa de RegisteredOwner es:
MiPC\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\RegisteredOwnerComprobad como al hacer click derecho sobre una entrada del registro, el sistema nos da las opciones para eliminar una entrada, y como también podemos crear entradas nuevas en el registro dentro de cualquier clave.
Bien, ahora veamos como exportar ramas. Volved a colocaros en dicha rama, sino estáis ya allí, y en el menú Archivo del editor del registro, escoged la opción Exportar. Marcad en la zona inferior del formulario de grabación Rama Seleccionada, y aseguraros de que la rama es la que hemos indicado arriba. (No importa que no comience con Mi PC). Ponerle un nombre al fichero .reg que se va a grabar y guardarlo en cualquier directorio. Abrid ahora dicho fichero .reg con el block de notas, y comprobad su contenido.
El archivo resultante es bastante grande, ya que esta rama que hemos exportado contiene mucha información, sin embargo lo que a nosotros nos interesa se encuentra al principio de dicho fichero, que será algo parecido a:
Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion]"CurrentBuild"="1.511.1 () (Obsolete data - do not use)""InstallDate"=dword:3c6674ea"ProductName"="Microsoft Windows XP""RegDone"="""RegisteredOrganization"="Luna""RegisteredOwner"="Luis Enrique"
Vemos como es una estructura típica de un archivo de registro en Windows. Vamos a realizar nuestro propio archivo de registro. Para ello, cread con el block de notas un fichero con nombre HOLA.REG y el siguiente contenido.
Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion]"RegisteredOwner"="ERNESTO MATE"
En dicho fichero como veis, indicamos simplemente la versión que usamos (5.0) la ruta completa donde quiero trabajar y el valor que le quiero dar a la entrada. Una vez grabado dicho fichero con el contenido arriba indicado (contenido exacto), haced doble click sobre dicho fichero HOLA.REG. Veremos como Windows nos pide confirmación para insertar la información del fichero HOLA.REG en el registro.
Confirmar que se agregue HOLA.REG al registro. Ahora, pulsad Tecla Windows + Pause para ver que ha ocurrido con el usuario registrado del sistema.
Este es un método muy simple de modificar valores del registro. Basta escribir un fichero con la cabecera arriba indicada, escribir la ruta completa del valor a modificar entre corchetes, y posteriormente, y entre comillas la entrada a cambiar y el valor al que se va a cambiar.
Una ultima cosa, las claves del registro (en el panel izquierdo) tienen también permisos para usuarios, al igual que las carpetas. Dando botón derecho sobre una clave, y escogiendo la opción permisos podremos indicar que usuarios de nuestro sistema tienen derecho a modificar dicha clave (pensad en esto, si existe una clave que indica el nombre del fondo de pantalla, por ejemplo, y quitamos permisos a todos los usuarios menos al Administrador para modificar esta clave…..).
Utilidad de la edición del Registro de Windows
Hemos visto (por encima) como se puede editar el registro y en que consiste. ¿Es esto realmente útil?
Existen infinidad de configuraciones en un entorno Windows, a muchas de ellas podremos acceder desde las directivas de grupo o desde las propias opciones de configuración que nos dan los programas, pero a muchas otras es imposible acceder desde otro sitio que no sea desde el propio registro. Un usuario avanzado de informática, debe conocer como editar el Registro, ya que tarde o temprano se verá forzado a “bajar” al nivel de registro para solucionar determinadas cosas.
Por ejemplo, podemos configurar XP para que nos muestre un mensaje cada vez que iniciamos Windows. Para ello habrá que modificar los valores de legalnoticecaption y legalnoticetext en la clave:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinLogon]Otro ejemplo, sabemos que la cuenta Administrador no aparece en la pantalla de bienvenida de usuario. Si queremos que aparezca, basta que creemos (o modifiquemos si existe) una entrada del tipo DWord con el nombre Administrador y con valor 1 en:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList]También es bastante interesante explorar las claves HKEY_LOCAL_MACHINE\SOFTWARE\ y HKEY_CURRENT_USER\SOFTWARE donde veremos una lista de todo el software que tenemos instalado en la maquina. Incluido el software “oculto” que no se muestra en ningún otro sitio de Windows. Un usuario avanzado debe consultar esta lista para comprobar que se ha instalado en la maquina, muchas veces sin pedir permiso (programas que se instalan junto con otros programas a modo de troyanos).
Puede ocurrir, por ejemplo, que veamos que en esta lista de software aparece una clave con el valor Cydoor (conocido troyano “legal” que espía la información que esta en nuestra maquina y la envía a Internet, incluyendo contraseñas, páginas visitadas, números de serie, etc.). En general, cualquier clave que encontremos aquí que nos parezca extraña debe ser estudiada cuidadosamente.
En Internet podéis encontrar cientos de “trucos” que pueden realizarse desde el registro. Hay que tener mucho cuidado con estos “trucos”, pues muchos de ellos, amen de no servir absolutamente para nada, pueden tener efectos negativos.
Imaginemos que en un equipo instalamos un juego (podría ser cualquier otra aplicación). Este juego se instala en un directorio de nuestro disco duro, y como no necesita el cd para funcionar, perdemos dicho cd. ¿Es posible en estas circunstancias copiar el juego a otro ordenador?. En la mayoría de las ocasiones, esto es imposible puesto que al instalar el juego en realidad estamos instalando dos cosas en el sistema: El juego en si en un directorio (que podemos copiar a otro ordenador), y una serie de líneas, valores y claves en el registro, que no podremos copiar directamente. Pero ahora que sabemos como exportar e importar ramas del registro, no tendríamos problemas en realizar esta copia.
Como ejercicio: en el registro existen varias ramas desde donde se puede indicar que se ejecuten programas en el inicio de Windows XP. Buscar desde que posiciones del registro se puede hacer esto. (Anteriormente vimos algunas utilidades que nos permitían ver que aplicaciones se ejecutaban en el inicio). Una vez encontradas dichas ramas, introducir una nueva entrada para ejecutar un programa cualquiera en el inicio de Windows XP.
Modificación de un registro remoto
Podemos modificar el registro de otro ordenador, por ejemplo, para repararlo o hacerle algún tipo de mantenimiento. Es parecido a la administración remota de otra equipo que hacemos desde Administración de equipos, aunque podemos perfilar algo más la administración directamente desde el registro.
Para ello, veremos que en el programa Regedit.exe tenemos una opción en el menú para conectar a un registro de red. Solo podemos modificar las ramas HKEY_USERS y HKEY_LOCAL_MACHINE remotamente, que suelen ser las más interesantes.
Imaginemos que queremos cambiar el fondo de pantalla que esta usando un usuario, su combinación de colores, el salvapantallas que usa o cualquier otro aspecto que no podemos modificar directamente desde Administración de Equipos. Esto lo podemos modificar tocando la rama de HKEY_USERS que se refiere al usuario al que deseamos modificar. (Para que esta rama exista realmente, el usuario debe tener abierta sesión en el equipo a controlar remotamente). Estos cambios no se producirán automáticamente, y solo serán llevados a cabo cuando el usuario del equipo remoto cierre la sesión actual y abra una nueva.
Monitorizando el Sistema con el visor de Sucesos
Un suceso es cualquier incidencia que se produce en un sistema, que puede ser potencialmente interesante para un administrador.
Windows XP permite llevar un registro de los sucesos que se producen en el sistema. Estos registros son almacenados automáticamente en tres ficheros:
Seguridad (Secevent.evt),
Aplicación (Appevent.evt)
Sistema (Sysevent.evt).
El visor de sucesos, es un añadido de consola que se instala conjuntamente con el Windows XP y que nos permite visualizar estos tres archivos.
Los sucesos se dividen en categorías o tipos, y estos pueden ser:
Error.- Representan posibles perdidas de datos o rendimiento.
Advertencia.- Posibilidad de que se produzca un error en un futuro.
Información.- Informan de un tipo de actividad, y pueden ser configurables
Para ejecutar el Visor de Sucesos, podemos ir Herramientas Administrativas – Visor de Sucesos o directamente ejecutar la consola mediante la orden eventvwr.msc.
Las 8 columnas que podemos ver por cada suceso son:
Tipo. Indica si es Información, Advertencia o Error.
Fecha. Indica la fecha en que se produjo el suceso.
Hora. Indica la hora en que se produjo el suceso.
Origen. La aplicación o componente del sistema que genero dicho suceso.
Categoría. Algunos sucesos pertenecen a alguna categoría especial. La mayoría de los sucesos no pertenecen a ninguna categoría especial.
Suceso. Todos los sucesos son identificados mediante un valor numérico. Este valor corresponde a la descripción del suceso.
Usuario. La cuenta de usuario asociada con cada suceso. No todos los sucesos están asociados con una cuenta de usuario particular. Muchos sucesos, especialmente los de sistema, no son generados por ningún usuario. Estos sucesos muestran en esta columna No disponible.
Equipo. El equipo donde ocurrió el suceso.
Al hacer doble clic sobre un suceso, veremos una información detallada del mismo. También podemos acceder a esta información pulsando la tecla Enter o desde el menú del visor de sucesos.
Podemos gestionar algunas configuraciones sobre estos tres archivos de sucesos, como el tamaño máximo que queremos que tengan, o establecer un tiempo de caducidad. Para ello, hay que dar botón derecho sobre Aplicación, Seguridad o Sistema en el panel de la izquierda y escoger la opción Propiedades del menú contextual que aparecerá. Desde aquí, también podemos realizar otras opciones como filtrar los sucesos o borrar los archivos.
Desde estas propiedades también indicaremos al sistema la forma en la que queremos que se comporte cuando los registros lleguen a su tamaño máximo permitido. Hay que tener mucho cuidado con esta opción, ya que si estos archivos llegan a su tamaño máximo y le indicamos al sistema que no puede borrarlos, el sistema no permitirá que inicie sesión ningún usuario en nuestro sistema, a excepción del Administrador.
Auditando sucesos
Hemos visto anteriormente como podemos ver los sucesos que se producen en el sistema, pero la principal utilidad del visor de sucesos es la de auditar nuestros propios sucesos. Existe la posibilidad de añadir a esas listas de auditoria, una serie de sucesos que nosotros establezcamos. Esto se conoce como establecer auditorias sobre dispositivos.
Habremos comprobado anteriormente, que el archivo de sucesos seguridad no tiene ninguna entrada. Este archivo se reserva para las auditorias que nosotros establezcamos. Para comenzar a utilizar estas auditorias de seguridad:
Nos vamos a Herramientas Administrativas – Directivas de seguridad local. (SECPOL.MSC).
Nos vamos a Directivas Locales – Directivas de Auditoria.
Aquí veremos los posibles sucesos que podemos auditar. Por cada suceso, podemos habilitar que se auditen tanto los intentos correctos como los erróneos.
Por ejemplo, para que nuestro sistema audite los inicios de sesión basta que activemos desde SECPOL.MSC – Directivas locales – Directivas de Auditorias – Auditar sucesos de inicio de sesión de cuenta – Correctos. De este modo, cada vez que un usuario inicie sesión en nuestro sistema se crearán varios sucesos en el registro de seguridad de sucesos. (Si marcamos ambos sucesos, los erróneos y los correctos, es normal que se nos produzcan en muchas ocasiones ambos).
La opción que nos aparece en la configuración de seguridad local sobre el acceso a objetos, nos va a permitir auditar el acceso a cualquier objeto del sistema que deseemos. Para comprobarlo, activar dicha opción (Auditar el acceso a objetos – Correcto) en la configuración de seguridad local.
Ahora, creamos una carpeta con nombre VIGILAR por ejemplo, en el systemdrive. Si accedemos a las propiedades de dicha carpeta, pestaña Seguridad – Opciones Avanzadas, (el mismo sitio desde donde cambiábamos la herencia de los objetos) veremos que también tenemos aquí una pestaña Auditoria. En dicha opción de auditoria, podemos indicar si queremos auditar el acceso a este recurso u objeto, e incluso indicar a que usuarios queremos auditar. Para nuestro ejemplo, vamos a insertar en la lista de usuarios de la Auditoria de la carpeta VIGILAR al meta grupo TODOS. (Con lo que auditaremos los accesos a dicha carpeta para todos los usuarios de nuestro sistema).
Cuando hagamos esto, veremos que nos aparece un nuevo formulario, en el que podemos indicar que tipo de acceso queremos auditar para el usuario TODOS en la carpeta VIGILAR.
De este modo, podemos auditar sobre un objeto, los intentos de cambiar sus permisos, de tomar posesión de la misma, de crear carpetas dentro, etc.
Para nuestro ejemplo, vamos a auditar los intentos (tanto correctos como incorrectos) de recorrer carpeta y listar carpeta.
Si ahora nos vamos a el visor de sucesos y miramos en su apartado seguridad, veremos como aparecen varios accesos a la carpeta VIGILAR, indicando que nosotros mismos estamos accediendo a dicha carpeta. Si dejamos la carpeta abierta en una ventana del explorador, veremos además como estamos generando sucesos continuos, pues el explorador relee la carpeta cada pocos segundos.
Esto nos indica que tenemos que tener mucho cuidado a la hora de auditar sucesos, pues es muy fácil que acabemos con una cantidad tal de sucesos auditados que sea casi imposible buscar el que realmente queremos ver. Por suerte, tenemos en el visor de sucesos, en sus menús, la opción de buscar un suceso determinado por varios campos.
Vamos a perfilar la auditoria de esta carpeta VIGILAR. Cambiar su auditoria, de tal modo que audite sólo los intentos de acceso de un usuario de vuestro sistema. Abrid sesión como dicho usuario, intentad acceded a la carpeta, y comprobar como se crea el registro de sucesos adecuado.
Servicios en Windows XP
Un servicio es un programa especializado que normalmente desarrolla una función de soporte para otros programas y que corre en segundo plano o Background. Muchos servicios operan a niveles muy bajos (interactuando directamente con el hardware, por ejemplo); por esta razón, suelen ejecutarse directamente por la cuenta de Sistema (una cuenta automática que usa nuestro sistema para ejecutar aplicaciones con privilegios totales), en lugar de ejecutarse desde la cuenta de un usuario particular. Existen muchos servicios que se ejecutan en Windows XP, veamos como podemos verlos, iniciarlos, pararlos, añadir servicios y en general, configurarlos.
De momento, si pulsamos Control – Alt. – Suprimir (para acceder al Administrador de Tareas) y accedemos a los procesos que actualmente están corriendo en nuestro sistema, veremos como se están ejecutando gran cantidad de ellos. La mayoría de dichos procesos son servicios, que XP pone en marcha al iniciar el sistema y solo detiene cuando vayamos a apagar el sistema.
Para gestionar los servicios, usamos la consola services.msc (como siempre, podemos ejecutar directamente la consola, o llegar a ella desde Herramientas Administrativas – Servicios.
Esta consola de servicios, ofrece mucha información sobre cada uno de los servicios que actualmente se están usando. Desde esta consola podemos parar, iniciar, detener y reiniciar cualquier servicio. Para ello, basta con dar botón derecho sobre un servicio y escoger la opción deseada desde el menú contextual que aparece.
La mayoría de los servicios son iniciados automáticamente cuando iniciamos el sistema (aunque ningún usuario haya iniciado sesión), y son parados cuando le indicamos al sistema que se cierre. Sin embargo, algunas veces nos podemos ver forzados a parar o iniciar manualmente algún servicio. No todos los servicios permiten que los iniciemos o paremos manualmente, esto suele ser debido a que existen servicios que dependen de otros servicios.
Otra manera de iniciar o detener un servicio, es utilizar los comandos NET START y NET STOP desde el símbolo de sistema. El modo de usar estos comandos es NET START/STOP nombre del servicio.
Configurando los servicios
Para revisar o modificar la forma en que un servicio se inicia, o que sucede cuando no funciona correctamente, podemos acceder a las propiedades de dicho servicio. (Doble clic sobre el servicio en la consola de servicios).
Desde este formulario, podemos modificar una gran variedad de aspectos sobre dichos servicio. En la pestaña general del formulario, podemos especificar las opciones de inicio del servicio. La más interesante es la que se refiere al tipo de inicio. Las opciones son:
Automático. El servicio se inicia conjuntamente con el sistema.
Manual. El servicio no se inicia hasta que nosotros (usuario) se lo indiquemos.
Deshabilitado. El servicio nunca será iniciado.
Desde la pestaña Iniciar sesión, podemos indicar que el servicio se inicie desde una cuenta de usuario y no desde la cuenta del sistema. En caso de usar esta opción, debemos asegurarnos de que el usuario indicado tiene derecho para iniciar dicho servicio.
Desde la pestaña recuperación, podemos indicar que queremos que se realice si dicho servicio deja de funcionar. (Que re reinicie automáticamente el servicio, que se reinicie todo el sistema, que lo deshabilite, que se ejecute un programa determinado, etc.).
La ultima pestaña, de Dependencias, nos indica si este servicio depende de otro, de modo que podamos ver la jerarquía de servicios, y sepamos que ocurrirá si paramos dicho servicio.
Hay que tener en cuenta, que los nombres de servicios que vemos desde esta consola, no se corresponden normalmente con los nombres de los servicios que vemos desde el administrador de tareas de Windows (pulsando Control – Alt. – Suprimir). Así, veremos en el administrador de tareas que existe un Proceso en funcionamiento denominado SVCHOST.EXE. Este proceso en realidad es el servicio de alerta, como podemos comprobar si hacemos clic sobre dicho servicio y vemos la ruta de ejecución del mismo, que hace referencia al programa SVCHOST.EXE. (Veremos en varios servicios, como todos ellos utilizan el servicio SVCHOST.EXE como servidor (host) para ejecutarse).
También podemos gestionar los servicios desde el símbolo del sistema, mediante las órdenes NET START, NET STOP, NET PAUSE y NET CONTINUE.
Como ejemplo, para que la orden NET SEND mensaje funcione, debemos tener activo el servicio MENSAJERO. Podemos activar dicho servicio desde la consola de servicios o directamente con la orden NET START MENSAJERO. De igual modo, podemos pararlo desde la consola o con NET STOP MENSAJERO. (Probad como funciona dicho NET SEND) ;-)
Hay que tener en cuenta que si dicho servicio lo dejamos en manual, tendremos que iniciarlo siempre cada vez que iniciemos sesión en la maquina. Sin embargo, si lo dejamos en automático, el servicio siempre estará activo, aunque no haya ningún usuario usando nuestra maquina mediante una sesión abierta.
Existen determinados programas, como puede el ICS (Conexión compartida a Internet) que corren como servicios automáticos. Esto permite, que baste con encender nuestro equipo para que dichos programas funcionen, sin que sea necesario que abramos ninguna sesión en la maquina. Esto es una ventaja de Windows 2000 sobre otros sistemas como Windows 98, donde no se ejecuta ningún programa hasta que no comencemos a utilizar directamente el sistema.
Hay que tener mucho cuidado al parar servicios, ya que muchos de ellos son imprescindibles para el funcionamiento del sistema. Sin embargo, en muchos casos es conveniente parar sistemas que sepamos que no son imprescindibles, bien para ganar rendimiento o para solucionar problemas.
Por ejemplo, si tenemos una cola de impresión que se niega a vaciarse, podemos parar un momento el servicio de cola de impresión, para iniciarlo posteriormente, con lo que vaciaremos toda la cola de impresión.
Como hemos visto en este tema, un servicio presenta muchas ventajas sobre un programa normal.
Se inicia automáticamente en cuanto que se enciende el sistema, sin necesidad de iniciar sesión con ninguna cuenta.
Podemos indicar que se ponga en marcha de nuevo si surge algún problema y se para, recuperando dicho servicio.
Siempre se va a ejecutar si lo ponemos en Automático.
De este modo, podría ser ventajoso poder transformar un programa normal y corriente en un servicio. Ahora bien, podemos comprender fácilmente que solo determinado tipo de programas puede ser convertido en un servicio; aquellos que no necesitan interactividad con el operario, puesto que un servicio se va a ejecutar en segundo plano, y no puede emitir formularios por pantalla.
Desgraciadamente, Microsoft no incluye en su sistema operativo directamente ninguna utilidad que nos permita realizar esta conversión, sin embargo, la propia Microsoft si incluye dicha utilidad (srvany) “Kit de recursos de Windows 2000”. También necesitamos para este fin la utilidad instsrv que nos permite instalar un servicio mediante srvany.
Para ello, copiamos en un directorio (por ejemplo C:\SERV) los archivos necesarios, que podemos bajarnos directamente de Internet realizando una búsqueda sobre srvany download. Estos archivos son: srvany.exe, srvany.wri e instsrv.exe.
Desde un símbolo de comandos, nos vamos al directorio anterior (C:\SERV) y escribimos la orden
INSTSRV MISERVICIO C:\SERV\SRVANY.EXECon esto, hemos creado un nuevo servicio, con el nombre que le hayamos indicado (MISERVICIO en este ejemplo, pero puede ser cualquiera) para comprobarlo, ejecutamos la consola services.msc y veremos como efectivamente se ha creado un servicio con el nombre que le hayamos dado. Desde aquí, podemos indicar el tipo de inicio que deseamos para nuestro servicio, la cuenta a la que vamos a asociarlo, etc.
Bien, ahora tenemos que indicar a dicho servicio que es programa es el que queremos que se ejecute como servicio. Para ello, nos vamos al editor del registro del sistema (Regedit) y nos vamos a la ruta HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services y veremos como se ha creado una carpeta con el nombre que le hayamos dado al servicio.
Bajo esta carpeta MISERVICIO, tenemos que crear una clave con nombres Parameters, y en dicha clave tenemos que crear un nuevo valor alfanumérico con nombre Application. El valor de Application debe ser el nombre del programa que queremos ejecutar como un servicio, utilizando la RUTA COMPLETA del ejecutable.
Podemos crear también aparte del valor Application, los valores AppParameters y AppDirectory para indicar los parámetros que va a usar el programa y el directorio donde se va a ejecutar el programa. Ambos valores también son alfanuméricos.
Una vez realizado esto, ya tenemos nuestro programa funcionando continuamente en la maquina como servicio. Si queremos poner en marcha o parar el servicio, podemos usar bien la consola que vimos anteriormente (services.msc) o podemos usar las ordenes del símbolo de comandos NET START MISERVICIO y NET STOP MISERVICIO.
Si queremos desinstalar un servicio que hayamos instalado con instsrv podemos utilizar el formato:
INSTSRV MISERVICIO remove
Podemos instalar tantas instancias de srvany como queramos, siempre que utilicemos un nuevo nombre para cada servicio distinto que instalemos.
Normalmente este procedimiento se suele utilizar para transformar en servicios programas que actúan de servidor de algún tipo, ya sea de FTP, Web, News, P2P, etc.
Si el programa que transformamos en servicio no funciona, o no puede ser ejecutado como servicio (cosa que ocurre con algunos programas, por la forma en la que están programados) el servicio podrá ser iniciado, pero se detendrá automáticamente. Así por ejemplo, un programa tipo emule es casi imposible de correr como servicio (aunque se puede conseguir con mucho esfuerzo) dado que es un programa que cuenta con una pesada interfaz gráfica y no esta diseñada para trabajar en segundo plano, sin acceso a la pantalla.
