Beruflich Dokumente
Kultur Dokumente
Desde sus humildes comienzos en 1985, hace más de 30 años, el sistema operativo Windows ha visto muchas versiones:
desde Windows 1.0 a la versión de escritorio actual (Windows 10) y la versión de servidor (Windows Server 2016). Haga
clic aquí para visualizar un gráfico con una línea de tiempo de las versiones de escritorio y servidor de Windows.
En este capítulo, se detallan algunos de los conceptos básicos de Windows, incluida la manera en que funciona el sistema
operativo y las herramientas utilizadas para proteger terminales con Windows.
Las primeras computadoras no tenían dispositivos de almacenamiento modernos, como discos duros, unidades ópticas o
unidades de memoria flash. Los primeros métodos de almacenamiento utilizaban tarjetas perforadas, cinta de papel, cinta
magnética y hasta casetes de audio.
El almacenamiento en disquete y disco duro requiere un software para leer, escribir y administrar los datos que se
almacenan. Un sistema operativo de disco (DOS) es un sistema operativo que la computadora utiliza a fin de habilitar estos
dispositivos de almacenamiento de datos para leer y escribir archivos. El DOS proporciona un sistema de archivos que
organiza los archivos de manera específica en el disco. Microsoft compró DOS y desarrolló MS-DOS. MS-DOS utiliza una
línea de comandos como interfaz para que las personas creen programas y manipulen archivos de datos, como se muestra
en la figura.
dir: permite ver una lista de todos los archivos en el directorio actual (carpeta)
cd directorio : permite cambiar el directorio al directorio indicado
cd.. : permite cambiar el directorio actual a su directorio superior
cd\: permite cambiar el directorio al directorio raíz (normalmente, C:)
copy: permite copiar archivos a otra ubicación
del: permite eliminar uno o más archivos
find: permite buscar texto en archivos
mkdir: permite crear un directorio nuevo
ren: permite cambiar el nombre de un archivo
help: permite ver todos los comandos que pueden utilizarse con una breve descripción de cada uno
help comando : permite ver la ayuda ampliada del comando indicado
Versiones de Windows
Desde el año 1993 hubo más de 20 versiones de Windows basadas en el sistema operativo NT. La mayoría de estas
versiones eran para uso del público general y las empresas, debido a la seguridad de los archivos que ofrecía el sistema de
archivos utilizado por el sistema operativo NT. Las empresas también adoptaron los sistemas operativos Windows basados
en NT. Esto ocurrió porque muchas ediciones se diseñaron específicamente para estaciones de trabajo, profesionales,
servidores, servidores avanzados y servidores de centro de datos, por nombrar solamente algunas de las muchas versiones
de diseño específico.
A partir de Windows XP, comenzó a estar disponible una edición de 64 bits. El sistema operativo de 64 bits era una
arquitectura totalmente nueva. Tenía un espacio para la dirección postal de 64 bits, en lugar de uno de 32 bits. Esto no
significa solamente el doble de espacio, ya que estos bits son números binarios. Mientras que Windows de 32 bits tiene
espacio para un poco menos de 4 GB de RAM, Windows de 64 bits puede tener, teóricamente, espacio para 16,8 millones
de terabytes. Cuando el sistema operativo y el hardware admiten el funcionamiento de 64 bits, es posible usar conjuntos de
datos extremadamente grandes. Estos enormes conjuntos de datos incluyen bases de datos muy grandes, computación
científica y manipulación de video digital de alta definición con efectos especiales. En general, las computadoras y los
sistemas operativos de 64 bits son compatibles con programas más antiguos de 32 bits, pero los programas de 64 bits no
pueden ejecutarse en el hardware más antiguo de 32 bits.
Con cada nuevo lanzamiento de Windows, el sistema operativo se ha mejorado con la incorporación de más funciones.
Windows 7 se ofreció con seis ediciones diferentes y Windows 8 con cinco. Windows 10 se lanzó ¡con ocho ediciones
diferentes! Cada edición no ofrece solamente capacidades diferentes, sino precios distintos. Microsoft ha dicho que
Windows 10 es la última versión de Windows, y que Windows ya no es un sistema operativo, sino un servicio. Dicen que, en
lugar de comprar nuevos sistemas operativos, los usuarios solamente deberán actualizar Windows 10.
GUI de Windows
En la parte inferior del escritorio, se encuentra la barra de tareas. La barra de tareas tiene tres áreas que se utilizan para
diferentes propósitos. A la izquierda, se encuentra el menú Inicio. Se utiliza para acceder a todos los programas instalados,
las opciones de configuración y la función de búsqueda. En el centro de la barra de tareas, los usuarios colocan los iconos
de inicio rápido que ejecutan programas específicos o abren determinadas carpetas cuando se hace clic en ellos.
Finalmente, a la derecha de la barra de tareas, se encuentra el área de notificación. El área de notificación permite ver, a
simple vista, la funcionalidad de una serie de programas y características diferentes. Por ejemplo, un icono de un sobre
parpadeando puede indicar un correo electrónico nuevo, o un icono de red con una “x” roja puede indicar un problema con
la red.
El explorador de archivos de Windows, que también se ve en la figura 2, es una herramienta usada para navegar por todo
el sistema de archivos de una computadora, lo que incluye numerosos dispositivos de almacenamiento y ubicaciones de
red. Con el explorador de archivos de Windows, puede crear fácilmente carpetas, copiar archivos y carpetas, y trasladarlos
a diferentes dispositivos y ubicaciones. Básicamente, la herramienta tiene dos ventanas principales. La de la izquierda
permite navegar rápidamente hacia los dispositivos de almacenamiento, las carpetas principales y las subcarpetas. La de la
derecha permite ver el contenido de la ubicación seleccionada en el panel izquierdo.
Los sistemas operativos consisten en millones de líneas de código. El software instalado también puede
contener millones de líneas de código. Todo este código acarrea vulnerabilidades. Una vulnerabilidad es
una imperfección o debilidad que puede ser aprovechada por un atacante para reducir la viabilidad de la
información de una computadora. Para aprovechar una vulnerabilidad de un sistema operativo, el
atacante debe utilizar una técnica o herramienta para atacarla. El atacante puede utilizar la
vulnerabilidad para hacer que la computadora actúe de una manera diferente a la prevista en su diseño. En general, el
objetivo es hacerse con el control no autorizado de la computadora, cambiar permisos o manipular datos.
Estas son algunas recomendaciones de seguridad habituales del sistema operativo Windows:
Protección contra virus o malware: de manera predeterminada, Windows utiliza Windows Defender. Windows
Defender ofrece un conjunto de herramientas de protección incorporado en el sistema. Si Windows Defender está
desactivado, el sistema es más vulnerable a los ataques y al malware.
Servicios desconocidos o no administrados: hay muchos servicios que se ejecutan detrás de escena. Es
importante asegurarse de que cada servicio pueda identificarse y sea seguro. Con un servicio desconocido
ejecutándose en segundo plano, la computadora puede ser vulnerable a los ataques.
Encriptación: cuando los datos no están encriptados, pueden recopilarse y aprovecharse con facilidad. Esto no es
solamente importante para computadoras de escritorio, sino especialmente para dispositivos móviles.
Política de seguridad: se debe configurar una buena política de seguridad y debe cumplirse. Muchos ajustes en el
control de la política de seguridad de Windows pueden evitar ataques.
Firewall: de manera predeterminada, Windows utiliza Windows Firewall para limitar la comunicación con los
dispositivos de la red. Con el tiempo, es posible que las reglas ya no se apliquen. Por ejemplo, podría dejarse abierto
un puerto que ya no debe estar disponible. Es importante revisar la configuración del firewall periódicamente para
asegurarse de que las reglas todavía estén vigentes y eliminar aquellas que ya no lo estén.
Permisos de archivos y de uso compartido: estos permisos deben configurarse correctamente. Es fácil darle al
grupo “Todos” el control total, pero esto les permite a todas las personas hacer lo que deseen con todos los archivos.
Es mejor otorgar a cada usuario o grupo los permisos mínimos necesarios para todos los archivos y carpetas.
Contraseña débil o inexistente: muchas personas eligen contraseñas débiles o no utilizan ninguna. Es
especialmente importante asegurarse de que todas las cuentas, especialmente la cuenta de administrador, tengan
una contraseña muy fuerte.
Iniciar sesión como administrador: cuando un usuario inicia sesión como administrador, cualquier programa que
ejecute tendrá los privilegios de esa cuenta. Es mejor iniciar sesión como un usuario estándar y utilizar solamente la
contraseña de administrador para realizar determinadas tareas.
Todo el código que se ejecuta en el modo de núcleo usa el mismo espacio para la dirección postal. Los controladores en
modo de núcleo no están aislados del sistema operativo. Si se produce un error con el controlador en el modo de núcleo y
escribe en el espacio para la dirección postal incorrecto, el sistema operativo u otro controlador del modo de núcleo podrían
verse afectados negativamente. En este sentido, el controlador podría dejar de funcionar e interrumpir el funcionamiento de
todo el sistema operativo.
Cuando se ejecuta código en el modo de usuario, el núcleo le otorga su propio espacio para la dirección postal limitado,
junto con un proceso creado específicamente para la aplicación. Esto se hace, principalmente, para evitar que las
aplicaciones cambien código del sistema operativo que se esté ejecutando al mismo tiempo. Al tener su propio proceso, la
aplicación tiene su propio espacio para la dirección postal privado, lo que impide que otras aplicaciones modifiquen sus
datos. Esto también ayuda a evitar que el sistema operativo y otras aplicaciones dejen de funcionar si se interrumpe la
aplicación.
Un sistema de archivos determina cómo se organiza la información en los medios de almacenamiento. Algunos sistemas de
archivos pueden ser una mejor opción que otros, según el tipo de medios que se utilice. Estos son los sistemas de archivos
que admite Windows:
Tabla de asignación de archivos (FAT): este es un sistema de archivos sencillo compatible con muchos sistemas
operativos diferentes. FAT tiene limitaciones en la cantidad de particiones y en el tamaño de particiones y archivos
que puede administrar, por lo que ya no suele utilizarse para discos duros (HD) ni unidades de estado sólido (SSD).
FAT16 y FAT32 están disponibles para usarse, y FAT32 es el más común, ya que tiene muchas menos restricciones
que FAT16.
exFAT: esta es una versión extendida de FAT que tiene incluso menos restricciones que FAT32, pero no tiene muy
buena compatibilidad fuera del ecosistema de Windows.
Sistema de archivos jerárquico Plus (HFS+): este sistema de archivos se utiliza en computadoras macOS X y
permite nombres de archivo y tamaños de archivos y particiones mucho más prolongados que los sistemas de
archivos anteriores. Aunque no es compatible con Windows sin software especializado, Windows es capaz de leer
datos de particiones HFS+.
Sistema de archivos extendido (EXT): este sistema de archivos se utiliza en computadoras con Linux. Aunque no
es compatible con Windows, Windows es capaz de leer datos de particiones EXT con software especializado.
Sistema de archivos de tecnología nueva (NTFS): este es el sistema de archivos utilizado más comúnmente al
instalar Windows. Todas las versiones de Windows y Linux admiten NTFS, mientras que las computadoras con
macOS X tienen capacidad de solo lectura. Son capaces de escribir en una partición NTFS después de instalar
controladores especiales.
NTFS es el sistema de archivos más utilizado en Windows por numerosas razones. NTFS admite archivos y particiones
muy grandes y es ampliamente compatible con otros sistemas operativos. Además, NTFS también es muy confiable y
admite funciones de recuperación. Lo más importante es que admite muchas características de seguridad. El control de
acceso de datos se logra mediante descriptores de seguridad. Estos descriptores de seguridad contienen información de
propiedad y permisos en todos los niveles hasta el nivel de archivo. NTFS también controla muchas marcas de hora para
registrar la actividad del archivo. También llamadas MACE, las marcas de hora de modificación, acceso, creación y
modificación de entrada suelen usarse en las investigaciones forenses para determinar el historial de un archivo o carpeta.
NTFS también admite la encriptación del sistema de archivos para proteger todos los medios de almacenamiento.
El primer comando coloca el texto “Alternate Data Here” en un ADS del archivo Testfile.txt, llamado “ADS”.
El siguiente comando, dir, muestra que el archivo fue creado, pero no se visualiza el ADS.
El siguiente comando muestra que hay datos en el flujo de datos de Testfile.txt:ADS.
El último comando muestra el ADS del archivo Testfile.txt, porque se añadió la r al comando dir.
Antes de poder usar un dispositivo de almacenamiento, como un disco, se debe formatear con un sistema de archivos. A su
vez, antes de poder implementar un sistema de archivos en un dispositivo de almacenamiento, se debe particionar dicho
dispositivo. Los discos duros se dividen en áreas denominadas particiones. Cada partición es una unidad lógica de
almacenamiento que se puede formatear para almacenar información, como archivos de datos o aplicaciones. Durante el
proceso de instalación, la mayoría de los sistemas operativos particionan y formatean automáticamente el espacio
disponible de la unidad con un sistema de archivos, como NTFS.
El formato NTFS crea estructuras importantes en el disco para almacenar archivos y tablas para registrar las ubicaciones
de los archivos:
Sector de arranque de la partición: representa los primeros 16 sectores de la unidad y contiene la ubicación de la
tabla maestra de archivos (MFT, Master File Table). Los últimos 16 sectores contienen una copia del sector de
arranque.
MFT: esta tabla contiene las ubicaciones de todos los archivos y directorios de la partición, incluidos los atributos de
los archivos, como la información de seguridad y las marcas de hora.
Archivos del sistema: estos son archivos ocultos que almacenan información sobre otros volúmenes y atributos del
archivo.
Área de archivos: el área principal de la partición donde se almacenan los archivos y directorios.
Nota: Cuando se formatea una partición, es posible que puedan recuperarse los datos anteriores, ya que no se eliminan
completamente todos los datos. Es posible examinar el espacio y recuperar archivos que puedan poner en riesgo la
seguridad. Si se va a reutilizar una unidad, se recomienda realizar un borrado seguro. El borrado seguro escribirá datos en
toda la unidad varias veces para garantizar que no queden datos anteriores.
Proceso de arranque de Windows
En BIOS firmware, el proceso comienza con la fase de inicialización del BIOS. Esto ocurre cuando se inicializan los
dispositivos de hardware y se realiza una prueba automática de encendido (POST, Power-On Self Test) para garantizar que
todos estos dispositivos se estén comunicando. La POST finaliza cuando se detecta el disco del sistema. La última
instrucción en la POST es buscar el registro principal de arranque (MBR, Master Boot Record).
El MBR contiene un pequeño programa que se encarga de localizar y cargar el sistema operativo. La BIOS ejecuta este
código y el sistema operativo comienza a cargarse.
A diferencia de BIOS firmware, UEFI firmware tiene mucha visibilidad en el proceso de arranque. El arranque con UEFI se
realiza cargando los archivos de programa de EFI, almacenados como archivos .efi en una partición especial del disco
conocida como la partición de sistema EFI (ESP, EFI System Partition).
Nota: Una computadora que utiliza UEFI almacena código de arranque en el firmware. Esto ayuda a aumentar la seguridad
de la computadora al momento del arranque, ya que entra directamente en el modo protegido.
Después de encontrar una instalación válida de Windows, se ejecuta el archivo Bootmgr.exe en cualquier firmware (BIOS o
UEFI). Bootmgr.exe cambia el sistema del modo real al modo protegido para que pueda usarse toda la memoria del
sistema.
Bootmgr.exe lee la base de datos de configuración de arranque (Boot Configuration Database, BCD). La BCD contiene
cualquier código adicional necesario para iniciar la computadora, junto con una indicación que señala si la computadora
está saliendo de una hibernación o si es un arranque en frío. Si la computadora está saliendo de una hibernación, el
proceso de arranque continúa con Winresume.exe. Esto permite que la computadora lea el archivo Hiberfil.sys que contiene
el estado de la computadora cuando ingresó en la hibernación.
Si se inicia la computadora con un arranque en frío, se carga el archivo Winload.exe. El archivo Winload.exe crea un
registro de la configuración de hardware en el registro. El registro es una lista de todos los ajustes, las opciones, el
hardware y el software de la computadora. Más adelante en este capítulo, se analizará en detalle el registro. WinLoad.exe
también utiliza la firma de código del modo de núcleo (KMCS, Kernel Mode Code Signing) para asegurarse de que todos los
controladores estén firmados digitalmente. Esto garantiza que los controladores son seguros para cargarlos al iniciar la
computadora.
Después de que se analizan los controladores, Winload.exe ejecuta Ntoskrnl.exe, que arranca el núcleo de Windows y
configura la HAL. Finalmente, Session Manager Subsystem (SMSS) lee el registro para crear el entorno de usuario, iniciar
el servicio de Winlogon y preparar el escritorio de cada usuario a medida que inician sesión.
• HKEY_CURRENT_USER: muchos aspectos relacionados con el usuario que inicia sesión se almacenan en esta clave,
incluida la información sobre los servicios que se inician solamente cuando el usuario inicia sesión en la computadora.
La presencia de entradas diferentes en estas ubicaciones del registro define qué servicios y aplicaciones se iniciarán, según
lo que indiquen sus tipos de entrada. Estos tipos son Run, RunOnce, RunServices, RunServicesOnce y Userinit. Estas
entradas pueden introducirse manualmente en el registro, pero es mucho más seguro utilizar la herramienta Msconfig.exe.
Esta herramienta se utiliza para ver y cambiar todas las opciones de inicio de la computadora. Use el cuadro de búsqueda
para encontrar y abrir la herramienta Msconfig.
Apagar
Siempre es mejor cerrar correctamente la computadora que apagarla. Los archivos que quedan abiertos, los servicios que
se cierran de manera desordenada y las aplicaciones que se bloquean pueden sufrir daños si se apaga la computadora sin
informar primero al sistema operativo. La computadora necesita tiempo para cerrar cada aplicación, apagar cada servicio y
registrar cualquier cambio de configuración antes de interrumpir la alimentación.
Durante el apagado, la computadora cierra primero las aplicaciones del modo de usuario y, luego, los procesos de modo de
núcleo. Si un proceso del modo de usuario no responde durante una cierta cantidad de tiempo, el sistema operativo
muestra una notificación y permite que el usuario espere a que la aplicación responda o fuerce la finalización del proceso.
Si un proceso en el modo de núcleo no responde, parecerá que el apagado se detuvo y es posible que sea necesario
apagar la computadora con el botón de encendido.
Hay varias maneras de apagar una computadora con Windows: las opciones de energía del menú Inicio, el
comando shutdown de la línea de comandos, y presionar juntas las teclas Ctrl+Alt+Supr para hacer clic en el icono de
encendido. Hay tres opciones diferentes para elegir al apagar la computadora: Apagar (la computadora se apaga), Reiniciar
(la computadora se reinicia) e Hibernar (se registra el estado actual de la computadora y el entorno del usuario y se
almacenan estos datos en un archivo). La hibernación le permite al usuario continuar su trabajo rápidamente justo desde
donde lo dejó, con todos sus archivos y programas aún abiertos.
Una computadora funciona almacenando las instrucciones en la memoria RAM hasta que la CPU las procesa. El espacio
para la dirección postal virtual de un proceso es el conjunto de direcciones virtuales que puede utilizar el proceso. La
dirección virtual no es la ubicación física real en la memoria, sino una entrada en una tabla de página que se utiliza para
traducir la dirección virtual a una dirección física.
Cada proceso en una computadora con Windows de 32 bits admite un espacio para la dirección postal virtual que hace
posible manipular hasta 4 GB. Cada proceso en una computadora con Windows de 64 bits admite un espacio para la
dirección postal virtual de 8 TB.
Cada proceso de espacio del usuario se ejecuta en un espacio para la dirección postal privado, separado de otros procesos
de espacio del usuario. Cuando el proceso de espacio del usuario necesita tener acceso a los recursos del núcleo, debe
utilizar un identificador de procesos. Esto se debe a que el proceso de espacio del usuario no puede tener acceso directo a
estos recursos del núcleo. El identificador de procesos brinda el acceso que necesita el proceso de espacio del usuario sin
conectarse directamente.
Una de las herramientas más eficaces para ver la asignación de memoria es RAMMap de Sysinternals, que se ve en la
figura. Haga clic aquí para descargar RAMMap y obtener más información al respecto.
El registro de Windows
HKEY_CURRENT_USER (HKCU): contiene datos sobre el usuario con una sesión iniciada actualmente.
HKEY_USERS (HKU): contiene datos sobre todas las cuentas de usuario en el host.
HKEY_CLASSES_ROOT (HKCR): contiene datos sobre los registros de vinculación e integración de objetos (OLE).
HKEY_LOCAL_MACHINE (HKLM): contiene datos relacionados con el sistema.
HKEY_CURRENT_CONFIG (HKCC): contiene datos sobre el perfil de hardware actual.
No es posible crear nuevos subárboles. Las claves y los valores de registro en los subárboles pueden crearse, modificarse
o eliminarse usando una cuenta con privilegios de administrador. Como se ve en la figura, se utiliza la herramienta
regedit.exe para modificar el registro. Se debe tener mucho cuidado al usar esta herramienta. Cambios mínimos en el
registro podrían tener consecuencias sustanciales o hasta catastróficas.
La navegación por el registro es muy similar a la del explorador de archivos de Windows. El panel izquierdo sirve para
navegar por los subárboles y las estructuras subyacentes, y el panel derecho sirve para ver el contenido del elemento
resaltado en el panel izquierdo. Con tantas claves y subclaves, la ruta de la clave puede resultar muy prolongada. La ruta
aparece en la parte inferior de la ventana como referencia. Dado que cada clave y subclave es, en definitiva, un contenedor,
la ruta se representa como una carpeta en un sistema de archivos. La barra invertida (\) se utiliza para diferenciar la
jerarquía de la base de datos.
Las claves de registro pueden contener una subclave o un valor. Estos son los distintos valores que pueden contener las
claves:
Debido a que el registro mantiene casi toda la información del usuario y del sistema operativo, es fundamental asegurarse
de no ponerlo en riesgo. Las aplicaciones potencialmente maliciosas pueden agregar claves de registro para que se inicien
cuando se inicia la computadora. Durante un arranque normal, el usuario no verá el programa iniciarse porque la entrada
está en el registro y la aplicación no muestra ninguna ventana ni indicio de inicio durante el arranque de la computadora. Un
registro de clave, por ejemplo, sería devastador para la seguridad de una computadora si iniciara el arranque sin el
conocimiento ni consentimiento del usuario. Cuando se realizan auditorías normales de seguridad o se corrige un sistema
infectado, se deben revisar las ubicaciones de inicio de la aplicación en el registro para asegurarse de que cada elemento
sea conocido y seguro de ejecutar.
El registro también contiene la actividad que realiza un usuario durante el uso diario habitual de la computadora. Esto
abarca el historial de los dispositivos de hardware, incluidos todos los dispositivos que se han conectado a la computadora
con el nombre, el fabricante y el número de serie. En el registro, también se almacena otra información, como los
documentos que un usuario y un programa abrieron, dónde se encuentran y cuando se tuvo acceso a ellos. Esto resulta
muy útil durante la ejecución de una investigación forense.
Ejecutar como administrador
Como mejor práctica de seguridad, no es recomendable iniciar sesión en Windows utilizando la cuenta de administrador o
una cuenta con privilegios administrativos. Esto se debe a que cualquier programa que se ejecute cuando inicie sesión con
esos privilegios los heredará. El malware con privilegios administrativos tiene acceso completo a todos los archivos y
carpetas en la computadora.
En ocasiones es necesario ejecutar o instalar software que requiere los privilegios de un Administrador. Para lograr esto,
hay dos diferentes formas de realizar la instalación:
Ejecutar como administrador: haga clic con el botón secundario del mouse en el comando del explorador de
archivos de Windows y seleccione Ejecutar como administrador en el menú contextual, como se ve en la Figura 1.
Petición de ingreso de comando de administrador: busque comando, haga clic con el botón secundario en el
archivo ejecutable y seleccione Ejecutar como administrador en el menú contextual, como se ve en la Figura 2.
Cada comando que se ejecute desde esta línea de comando se implementará con privilegios de administrador,
incluida la instalación de software.
Usuarios y dominios locales
No debe habilitarse la cuenta de invitado. La cuenta de invitado no tiene una contraseña, ya que se crea cuando una
computadora será utilizada por muchas personas diferentes que no tienen cuentas propias. Cada vez que se inicia sesión
con la cuenta de invitado, se proporciona un entorno predeterminado con privilegios limitados.
Para facilitar la administración de usuarios, Windows utiliza grupos. Un grupo tendrá un nombre y un conjunto específico de
permisos asociados con él. Cuando se coloca a un usuario en un grupo, los permisos de ese grupo se le otorgan a ese
usuario. Se puede colocar a un usuario en varios grupos con muchos permisos diferentes. Cuando se superponen los
permisos, algunos de ellos (como “denegar explícitamente”) anulan los permisos otorgados por otro grupo. Hay muchos
grupos de usuarios integrados en Windows que se utilizan para realizar tareas específicas. Por ejemplo, el grupo de
usuarios del registro de rendimiento les permite a los miembros programar el registro de contadores de rendimiento y
recopilar registros de manera local o remota. Los grupos y usuarios locales se administran con el applet lusrmgr.msc del
panel de control, como se ve en la figura.
Además de grupos, Windows también puede utilizar dominios para establecer permisos. Un dominio es un tipo de servicio
de red en el que todos los usuarios, grupos, computadoras, periféricos y ajustes de seguridad se almacenan en una base
de datos, que también los controla. Esta base de datos se almacena en computadoras o grupos de computadoras
especiales que se denominan controladores de dominio (DC, Domain Controller). Cada usuario y computadora en el
dominio deben autenticarse con el DC para iniciar sesión y tener acceso a los recursos de red. El DC establece la
configuración de seguridad para cada usuario y cada computadora en cada sesión. Cualquier ajuste suministrado por el DC
se aplica de manera predeterminada en la configuración de cuenta de usuario o computadora local.
CLI y PowerShell
De manera predeterminada, los nombres y rutas de archivo no distinguen entre mayúsculas y minúsculas.
A los dispositivos de almacenamiento se les asigna una letra de referencia. La letra, seguida de una barra invertida
(\), indica la raíz del dispositivo. La jerarquía de carpetas y archivos en el dispositivo se indica usando la separación
con la barra invertida. Por ejemplo, C:\Usuarios\Jim\Escritorio\archivo.txt es el archivo denominado archivo.txt en la
carpeta Escritorio, dentro de la carpeta Jim y en el interior de la carpeta Usuarios del dispositivo C:.
Los comandos que tienen cambios opcionales utilizan la barra diagonal (/) para delimitar entre el comando y cada
cambio.
Es posible utilizar la tecla de tabulación para completar automáticamente los comandos cuando se hace referencia a
archivos o directorios.
Windows guarda un historial de los comandos que se introdujeron durante una sesión de la CLI. Se puede tener
acceso a comandos del historial con las teclas de flecha hacia arriba y abajo.
Para cambiar entre dispositivos de almacenamiento, escriba la letra del dispositivo seguida de dos puntos y presione
Entrar.
A pesar de que la CLI tiene muchos comandos y características, no puede trabajar en conjunto con el núcleo de Windows o
la GUI. Se puede utilizar otro entorno, llamado Windows PowerShell, para crear script con el fin de automatizar tareas que
la CLI común no puede crear. PowerShell también proporciona una CLI para iniciar comandos. PowerShell es un programa
integrado en Windows que se puede abrir buscando la palabra powershell y haciendo clic en el programa. Como la CLI,
PowerShell también se puede ejecutar con privilegios de administrador.
cmdlets: estos comandos realizan una acción y envían un resultado u objeto al siguiente comando que se ejecutará.
Scripts de PowerShell: estos son archivos con una extensión .ps1 que contienen comandos de PowerShell que se
ejecutan.
Funciones de PowerShell: estas son fragmentos de código a los que se puede hacer referencia en un script.
Para obtener más información sobre Windows PowerShell y comenzar a usarlo, escriba ayudaen PowerShell, como se ve
en la figura. Obtendrá mucha más información y recursos para empezar a utilizar PowerShell.
Actualmente, algunos ataques utilizan WMI para conectarse con sistemas remotos, modificar el registro y ejecutar
comandos. WMI ayuda a los atacantes a evitar la detección porque el tráfico es común, los dispositivos de seguridad de red
suelen confiar y los comandos de WMI remotos no suelen dejar rastro en el host remoto. Debido a esto, el acceso a WMI
debe limitarse al máximo.
El comando net
Para ver una lista de los numerosos comandos net, escriba net
help en la petición de ingreso de comando. En la figura, se ven los
comandos que el comando net puede utilizar. Para ver ayuda
detallada sobre cualquiera de los comandos net, escriba el
comando net help.comando.
net accounts: define los requisitos de contraseñas e inicio de sesión para los usuarios
net session: enumera las sesiones entre una computadora y otras computadoras de la red o las desconecta
net share: crea, elimina o administra recursos compartidos
net start: inicia un servicio de red o enumera los servicios de red en ejecución
net stop: detiene un servicio de red
net use: conecta, desconecta los recursos de red compartidos, y permite ver información sobre ellos
net view: permite ver una lista de computadoras y dispositivos de red en la red
Administrador de tareas y Monitor de recursos
Hay dos herramientas muy importantes y útiles para ayudar a un administrador a entender la enorme y variada cantidad de
aplicaciones, servicios y procesos que se ejecutan en una computadora con Windows. Estas herramientas también
proporcionan información sobre el rendimiento de la computadora, como el uso de CPU, memoria y red. Estas herramientas
son especialmente útiles al investigar un problema donde hay sospechas de malware. Cuando un componente no está
funcionando de la manera en que debería, estas herramientas pueden utilizarse para determinar cuál puede ser el
problema.
Administrador de tareas
El Administrador de tareas (Figura 1) ofrece mucha información sobre lo que se está ejecutando y el rendimiento general de
la computadora. Hay siete fichas en el Administrador de tareas:
Inicio: en esta ficha, se ven todas las aplicaciones y servicios que se inician durante el arranque de la computadora.
Para impedir que un programa se inicie durante el arranque, haga clic con el botón secundario en el programa y
elija Deshabilitar.
Usuarios: en esta ficha, se ven todos los usuarios que han iniciado sesión en la computadora. También se ven todos
los recursos que utilizan los procesos y las aplicaciones de cada usuario. Desde esta ficha, un administrador puede
desconectar a un usuario de la computadora.
Detalles: de manera similar a la ficha Procesos, esta ficha proporciona opciones de administración adicionales, por
ejemplo, establecer prioridades para que el procesador le dedique más o menos tiempo a un proceso. También es
posible establecer afinidad con la CPU, lo que define qué núcleo o CPU utilizará un programa. También, una función
útil denominada Analizar cadena de espera permite ver qué procesos esperan a otros. Esta característica ayuda a
determinar si un proceso está en espera o está interrumpido.
Servicios: en esta ficha, se muestran todos los servicios cargados. También aparecen la identificación del proceso
(PID, Process ID) y una breve descripción junto con el estado del proceso (En ejecución o Detenido). En la parte
inferior, hay un botón para abrir la consola de servicios y tener acceso a funciones adicionales de administración de
los servicios.
Monitor de recursos
Cuando se necesita información más detallada sobre el uso de recursos, es posible utilizar el Monitor de recursos (Figura
2). Si la computadora se comporta de manera extraña, el Monitor de recursos puede ayudar a encontrar el origen del
problema. El Monitor de recursos tiene cinco fichas:
Información general: en esta ficha, se ve el uso general de cada recurso. Si se selecciona un proceso individual, se
filtrará en todas las pestañas para mostrar solamente las estadísticas de dicho proceso.
CPU: en esta ficha, se visualizan la PID, la cantidad de subprocesos, qué CPU usa el proceso, y el uso promedio que
cada proceso tiene de la CPU. Si se expanden las filas inferiores, es posible ver información adicional sobre cualquier
servicio que el proceso utilice, y los identificadores y módulos asociados.
Memoria: en esta ficha, se ve toda la información estadística sobre la manera en que cada proceso utiliza la
memoria. También, es posible ver un panorama del uso de toda la memoria RAM debajo de la fila Procesos.
Disco: en esta ficha, se ven todos los procesos que utilizan un disco, con las estadísticas de lectura y escritura y un
panorama general de cada dispositivo de almacenamiento.
Red: en esta ficha, se ven todos los procesos que utilizan la red con las estadísticas de lectura y escritura
correspondientes. Lo más importante es poder ver las conexiones actuales de TCP, junto con todos los puertos de
escucha. Esta ficha resulta muy útil cuando se intenta determinar qué aplicaciones y procesos se comunican usando
la red. Permite observar si un proceso no autorizado tiene acceso a la red y escucha una comunicación, y cuál es la
dirección con la que se está comunicando.
Redes
Para configurar un adaptador de red, es necesario seleccionar Cambiar configuración del adaptador a fin de ver todas
las conexiones de red que están disponibles. Luego, haga clic con el botón secundario en el adaptador que desee
configurar y seleccione Propiedades, como se ve en la Figura 2. En el cuadro Esta conexión usa los siguientes
elementos:, seleccione Protocolo de Internet versión 4 (TCP/IPv4) o Protocolo de Internet versión 6 (TCP/IPv6),
según la versión que prefiera utilizar (Figura 3). Haga clic en Propiedadespara configurar el adaptador.
En el cuadro de diálogo Propiedades (Figura 4), puede optar por Obtener una dirección
automáticamente si hay un servidor DHCP disponible en la red. Si desea configurar la
dirección manualmente, puede completar la dirección, subred, puerta de enlace predeterminada
y los servidores DNS para configurar el adaptador. Haga clic en Aceptarpara aplicar los
cambios.
También puede usar la herramienta netsh.exepara configurar los parámetros de red desde una
petición de ingreso de comando. Este programa permite ver y modificar la configuración de red.
Escriba netsh /? en la petición de ingreso de comando para ver una lista de todos los
modificadores que puede utilizar con este comando.
Cuando se ejecuta el comando ping, se envían cuatro mensajes de solicitud echo de ICMP a la dirección IP indicada. Si no
hay respuesta, es posible que la configuración de red tenga un problema. También es posible que el host previsto bloquee
las solicitudes de eco de ICMP. En este caso, intente hacer ping a un host diferente en la red. Habitualmente, hay cuatro
respuestas a las solicitudes, en las que se evidencia el tamaño de cada solicitud, el tiempo que tardó en llegar y el tiempo
de duración (TTL, Time To Live). El TTL es la cantidad de saltos que un paquete realiza en el camino a su destino.
También se debe probar el sistema de nombres de dominio (DNS), ya que se utiliza muy a menudo para encontrar la
dirección de los hosts traduciéndola a partir de un nombre. Use el comando nslookup para probar el DNS.
Escriba nslookup cisco.com en la petición de ingreso de comando para encontrar la dirección del servidor web de Cisco.
Si se devuelve la dirección, significa que el DNS funciona correctamente. También es posible comprobar qué puertos están
abiertos, donde están conectados y cuál es su estado actual. Escriba netstat en la línea de comando para ver los detalles
de las conexiones de red activas, como se ve en la Figura 7. Más adelante en este capítulo, el comando netstat se
analizará en más detalle.
Acceso a los recursos de red
Al igual que otros sistemas operativos, Windows utiliza una red para varias aplicaciones diferentes, como web, correo
electrónico y servicios de archivo. Microsoft ayudó en el desarrollo del protocolo bloque de mensajes del servidor (SMB,
Server Message Block), originalmente diseñado por IBM, para compartir recursos de red. Principalmente, SMB se utiliza
para tener acceso a archivos de hosts remotos. Para conectar recursos, se utiliza el formato de convención de
nomenclatura universal (UNC, Universal Naming Convention), por ejemplo:
\\servername\sharename\file
La manera más sencilla de conectarse a un recurso compartido es escribir su UNC en el explorador de archivos de
Windows, en el cuadro en la parte superior de la pantalla, donde se ve la ruta de navegación de la ubicación actual del
sistema de archivos. Cuando Windows intenta conectarse al recurso compartido, solicita las credenciales para tener acceso
a los recursos. Recuerde que, dado que el recurso está en una computadora remota, las credenciales deben ser las de la
computadora remota, no las de la computadora local.
Además de tener acceso a recursos compartidos en hosts remotos, es posible iniciar sesión en un host remoto y manipular
la computadora como si fuese local, realizar cambios en la configuración, instalar software o solucionar un problema. En
Windows, esta función se conoce como Protocolo de escritorio remoto (RDP, Remote Desktop Protocol). Al investigar
incidentes de seguridad, un analista de seguridad suele usar el RDP para tener acceso a computadoras remotas. Para
iniciar el RDP y conectarse a una computadora remota, busque “escritorio remoto” y haga clic en la aplicación. En la figura,
se ve la ventana Conexión a escritorio remoto.
Windows Server
La mayoría de las instalaciones de Windows se realizan como instalaciones de escritorio en computadoras portátiles y de
escritorio. En centros de datos se utiliza principalmente otra versión de Windows: Windows Server. Se trata de una familia
de productos de Microsoft que empezó con Windows Server 2003. Hoy en día, la versión más reciente es Windows Server
2016. Windows Server aloja muchos servicios diferentes y puede cumplir diferentes roles dentro de una empresa.
Nota: Aunque hay un Windows Server 2000, se considera una versión de cliente de Windows NT 5.0. Windows Server
2003 es un servidor basado en NT 5.2 y es el precursor de una nueva familia de versiones de Windows Server.
Servicios de red: DNS, DHCP, Terminal Services, controladora de red y virtualización de red en Hyper-V
Servicios de archivo: SMB, NFS y DFS
Servicios web: FTP, HTTP y HTTPS
Administración: política de grupo y control de servicios de dominio de Active Directory
El comando netstat
Para facilitar este proceso, es posible vincular las conexiones con los procesos en ejecución en el Administrador de tareas.
Para hacerlo, abra una petición de ingreso de comando con privilegios administrativos y use el comando netstat -abno,
como se ve en la figura.
Al examinar las conexiones de TCP activas, un analista debe ser capaz de determinar si hay programas sospechosos que
escuchan conexiones entrantes en el host. También es posible rastrear este proceso hasta el Administrador de tareas de
Windows y cancelarlo. Puede haber más de un proceso con el mismo nombre. Si este es el caso, observe el PID para
encontrar el proceso correcto. Cada proceso que se ejecuta en la computadora tiene un PID único. Para ver los PID de los
procesos en el Administrador de tareas, ábralo, haga clic con el botón secundario en el encabezado de la tabla y
seleccione PID.
Visor de eventos
También es posible crear una vista personalizada. Esto resulta útil para buscar determinados tipos de eventos, encontrar
eventos que sucedieron durante un período específico, visualizar eventos de un determinado nivel, y muchos otros criterios.
Hay una vista personalizada incorporada que se denomina Eventos administrativos e incluye todos los eventos críticos, de
error y de advertencia de todos los registros administrativos. Esta vista es un buen lugar para empezar cuando se intenta
resolver un problema.
Administración de actualizaciones de Windows
Ningún software es perfecto, y el sistema operativo Windows no es la excepción. Los atacantes están ideando siempre
nuevas maneras de poner en riesgo computadoras y usar código malicioso. Algunos de estos ataques llegan tan rápido que
no hay manera de defenderse. Son los llamados ataques de día cero. Los desarrolladores de software de Microsoft y de
seguridad intentan constantemente adelantarse a los atacantes, pero no siempre lo logran. Para garantizar el máximo nivel
de protección contra estos ataques, siempre es necesario asegurarse de que Windows esté actualizado con los paquetes
de servicio y parches de seguridad más recientes.
Los parches son actualizaciones de códigos que proporcionan los fabricantes para evitar que un virus o gusano
recientemente descubierto logre atacar con éxito. Periódicamente, los fabricantes combinan parches y actualizaciones en
una aplicación de actualización integral denominada paquete de servicios. Numerosos ataques de virus devastadores
podrían haber sido mucho menos graves si más usuarios hubieran descargado e instalado el último paquete de servicios.
El estado de las actualizaciones, que se ve en la figura, le permite buscar actualizaciones manualmente y ver el historial de
actualización de la computadora. También hay opciones para no permitir que la computadora se reinicie en determinados
horarios, por ejemplo, durante el horario laboral. Además, es posible elegir cuándo reiniciar la computadora después de una
actualización con las opciones de reinicio (si es necesario). Por otro lado, hay opciones avanzadas para decidir cómo se
instalan las actualizaciones y cómo obtener actualizaciones para otros productos de Microsoft.
Una política de seguridad es un conjunto de objetivos de seguridad que garantiza la seguridad de una red, los datos y los
sistemas informáticos en una organización. La directiva de seguridad es un documento en constante evolución según los
cambios tecnológicos, negocios, y los requisitos de los empleados.
En la mayoría de las redes que usan computadoras Windows, Active Directory se configura con los dominios en un servidor
Windows. Las computadoras con Windows se unen al dominio. El administrador configura una política de seguridad de
dominio que se aplica a todas las computadoras que se unen al dominio. Las políticas de cuentas se configuran
automáticamente cuando un usuario inicia sesión en una computadora que es miembro de un dominio. La herramienta
Directiva de seguridad local de Windows, que se ve en la figura, se puede utilizar para las computadoras independientes
que no forman parte de un dominio de Active Directory. Para abrir el applet Directiva de seguridad local, busque “directiva
de seguridad local” y haga clic en el programa.
Las pautas para crear contraseñas son un componente importante de las políticas de seguridad. Todo usuario que deba
iniciar sesión en una PC o conectarse a un recurso de red debe tener una contraseña. Las contraseñas ayudan a impedir el
robo de datos y las acciones malintencionadas. También ayudan a confirmar que el registro de eventos sea válido, ya que
garantizan que el usuario sea la persona correcta. La opción Directiva de contraseñas se encuentra debajo de Directivas de
cuenta y permite definir los criterios para las contraseñas de todos los usuarios en la computadora local.
Utilice la Directiva de bloqueo de cuenta en Directivas de cuenta para evitar los intentos de inicio de sesión forzosos. Puede
establecer la política para permitir que el usuario introduzca cinco veces un nombre de usuario o contraseña incorrectos.
Después de cinco intentos, la cuenta queda bloqueada por 30 minutos. Después de 30 minutos, la cantidad de intentos se
restablece a cero y el usuario puede intentar iniciar sesión nuevamente.
Es importante asegurar que las computadoras estén protegidas cuando los usuarios no las utilizan. Las políticas de
seguridad deben incluir una regla que exija que la PC se bloquee al activarse el protector de pantalla. Esto asegura que,
cuando el usuario se aleja de la PC durante un período breve, se active el protector de pantalla, y no pueda utilizarse la PC
hasta que el usuario inicie sesión.
Si la configuración de Directiva de seguridad local en cada computadora independiente es la misma, es necesario usar la
función de Directiva de exportación. Guarde la política con un nombre, como workstation.inf. Luego, copie el archivo de la
política a un medio de almacenamiento externo o una unidad de red para utilizarlo en otras computadoras independientes.
Esto es especialmente útil si el administrador debe configurar directivas locales extensas para los derechos de usuario y las
opciones de seguridad.
El applet Directiva de seguridad local contiene muchas otras configuraciones de seguridad que se aplican específicamente
a la computadora local. Puede configurar derechos de usuario, reglas de firewall y hasta la capacidad de limitar la cantidad
de archivos que los usuarios o grupos pueden ejecutar con AppLocker.
Windows Defender
El malware incluye virus, gusanos, troyanos, registradores de teclado, spyware y adware. Estos están diseñados para
invadir la privacidad, robar información y dañar la computadora o los datos. Es importante que proteja las computadoras y
los dispositivos móviles mediante un software antimalware reconocido. Los siguientes tipos de software antimalware se
encuentran disponibles:
Protección antivirus: este programa monitorea continuamente en busca de virus. Cuando se detecta un virus, se
advierte al usuario y el programa intenta eliminar el virus o ponerlo en cuarentena.
Protección contra adware: este programa busca constantemente programas que muestran anuncios publicitarios en
la computadora.
Protección contra suplantación de identidad: este programa bloquea las direcciones IP de sitios web conocidos
por realizar suplantación de identidad y advierte al usuario acerca de sitios sospechosos.
Protección contra spyware: este programa analiza la computadora en busca de programas que registren claves y
otro tipo de spyware.
Fuentes confiables o no confiables: este programa le advierte si está por instalar programas inseguros o visitar
sitios web inseguros.
Es posible que deban utilizarse muchos programas distintos y que deban realizarse varios análisis para eliminar
completamente todo el software malintencionado. Ejecute solo un programa de protección contra malware a la vez.
Varias organizaciones con experiencia en seguridad, como McAfee, Symantec y Kaspersky, ofrecen protección contra
malware integral para computadoras y dispositivos móviles. Windows trae preinstalada una protección contra virus y
spyware llamada Windows Defender, que se ve en la figura. Windows Defender está activado de manera predeterminada y
proporciona protección en tiempo real contra infecciones.
Un firewall deniega selectivamente el tráfico a una PC o a un segmento de red. Los firewalls suelen actuar abriendo y
cerrando los puertos que utilizan diversas aplicaciones. Al abrir solo los puertos requeridos en un firewall, se implementa
una política de seguridad restrictiva. Se rechaza todo paquete que no esté explícitamente permitido. En cambio, una política
de seguridad permisiva permite el acceso a través de todos los puertos, excepto aquellos que estén explícitamente
denegados. En el pasado, el software y el hardware venían con una configuración permisiva. Como los usuarios no tenían
la precaución de configurar los equipos, la configuración permisiva predeterminada dejaba muchos dispositivos expuestos a
atacantes. Actualmente, si bien la mayoría de los dispositivos vienen con una configuración altamente restrictiva, permiten
una fácil configuración.
Para permitir el acceso de un programa a través del firewall de Windows, busque firewall de Windows, haga clic en el
nombre para ejecutarlo y haga clic en Permitir una aplicación o una característica a través de Firewall de Windows,
como se ve en la Figura 1.
Si desea utilizar otro firewall de software, deberá deshabilitar el Firewall de Windows. Para deshabilitar el firewall de
Windows, haga clic en Activar o desactivar Firewall de Windows.
Es posible encontrar muchos ajustes adicionales en Configuración avanzada, como se ve en la Figura 2. Aquí puede
crear reglas de tráfico entrante o saliente según diferentes criterios. También puede importar y exportar políticas o
monitorear diferentes aspectos del firewall.
Capítulo 2: Sistema operativo Windows
En este capítulo aprendieron sobre la historia y la arquitectura del sistema operativo Windows. Al día de hoy, hubo más de
40 versiones de sistemas operativos Windows para equipos de escritorio, Windows Server y Windows para dispositivos
móviles.
La HAL maneja toda la comunicación entre el hardware y el kernel. La CPU puede funcionar en dos modos independientes:
modo de kernel y modo de usuario. Las aplicaciones instaladas se ejecutan en el modo de usuario, y el código del sistema
operativo lo hace en el modo de kernel.
Las aplicaciones suelen estar compuestas por varios procesos. Un proceso es cualquier programa que se esté ejecutando.
Cada proceso en ejecución está compuesto por al menos un subproceso. Un subproceso es una parte del proceso que
puede ejecutarse. Algunos de los procesos que ejecuta Windows son servicios. Son programas que se ejecutan en
segundo plano para respaldar el funcionamiento del sistema operativo y de las aplicaciones.
Cada proceso en una computadora con Windows de 32 bits admite un espacio virtual de direcciones que hace posible un
máximo de cuatro gigabytes de asignación de direcciones. Cada proceso de una computadora con Windows de 64 bits
admite un espacio de direcciones virtuales de hasta 8 terabytes.
Windows almacena toda la información sobre el hardware, las aplicaciones, los usuarios y la configuración del sistema en
una extensa base de datos conocida como el Registro. El registro es una base de datos jerárquica en la que el nivel más
alto se conoce como sección. Estas son las cinco secciones del Registro de Windows:
HKEY_CURRENT_USER (HKCU)
HKEY_USERS (HKU)
HKEY_CLASSES_ROOT (HKCR)
HKEY_LOCAL_MACHINE (HKLM)
HKEY_CURRENT_CONFIG (HKCC)
En este capítulo, también vio cómo configurar, monitorear y proteger Windows. Para hacer esto normalmente tienen que
ejecutar programas como Administrador. Como administrador, pueden crear usuarios y grupos, deshabilitar el acceso a las
cuentas de administrador e invitado, y utilizar diversas herramientas para administradores, como las siguientes:
Como administrador, también es posible usar todas las herramientas de seguridad de Windows, por ejemplo:
Como analistas especializados en ciberseguridad tienen que comprender los aspectos básicos del funcionamiento de
Windows y qué herramientas se pueden utilizar para preservar la seguridad de los terminales Windows.