+

Capítulo 2: Sistema operativo Windows

Desde sus humildes comienzos en 1985, hace más de 30 años, el sistema operativo Windows ha visto muchas versiones:
desde Windows 1.0 a la versión de escritorio actual (Windows 10) y la versión de servidor (Windows Server 2016). Haga
clic aquí para visualizar un gráfico con una línea de tiempo de las versiones de escritorio y servidor de Windows.

En este capítulo, se detallan algunos de los conceptos básicos de Windows, incluida la manera en que funciona el sistema
operativo y las herramientas utilizadas para proteger terminales con Windows.

Sistema operativo de disco

Las primeras computadoras no tenían dispositivos de almacenamiento modernos, como discos duros, unidades ópticas o
unidades de memoria flash. Los primeros métodos de almacenamiento utilizaban tarjetas perforadas, cinta de papel, cinta
magnética y hasta casetes de audio.

El almacenamiento en disquete y disco duro requiere un software para leer, escribir y administrar los datos que se
almacenan. Un sistema operativo de disco (DOS) es un sistema operativo que la computadora utiliza a fin de habilitar estos
dispositivos de almacenamiento de datos para leer y escribir archivos. El DOS proporciona un sistema de archivos que
organiza los archivos de manera específica en el disco. Microsoft compró DOS y desarrolló MS-DOS. MS-DOS utiliza una
línea de comandos como interfaz para que las personas creen programas y manipulen archivos de datos, como se muestra
en la figura.

Con MS-DOS, la computadora tenía conocimientos básicos

sobre cómo acceder a la unidad de disco y cargar los archivos
del sistema operativo directamente desde el disco como parte
del proceso de arranque. Cuando se cargaba, MS-DOS podía
tener acceso al disco fácilmente porque estaba incorporado en
el sistema operativo.

Las primeras versiones de Windows constaban de una interfaz

gráfica de usuario (GUI) que se ejecutaba en MS-DOS. Su
primera versión fue Windows 1.0 en 1985. El sistema operativo
de disco todavía controlaba la computadora y su hardware. Un
sistema operativo moderno, como Windows 10, no se
considera un sistema operativo de disco. Se basa en Windows
NT, y esta sigla significa “nuevas tecnologías”. El propio
sistema operativo controla directamente la computadora y su
hardware. NT es un sistema operativo compatible con múltiples
procesos de usuario. Esto es muy diferente del proceso
individual de un solo usuario de MS-DOS.
Actualmente, muchas de las cosas que solían hacerse a través de la interfaz de línea de comandos de MS-DOS se pueden
hacer en la GUI de Windows. Todavía es posible experimentar lo que era usar MS-DOS abriendo una ventana de comando,
pero lo que vemos ya no es MS-DOS, sino una función de Windows. Para experimentar un poco lo que era trabajar en MS-
DOS, abran una ventana de comando escribiendo cmd en la búsqueda de Windows y presionando Entrar. Estos son
algunos comandos que pueden utilizar:

 dir: permite ver una lista de todos los archivos en el directorio actual (carpeta)
 cd directorio : permite cambiar el directorio al directorio indicado
 cd.. : permite cambiar el directorio actual a su directorio superior
 cd\: permite cambiar el directorio al directorio raíz (normalmente, C:)
 copy: permite copiar archivos a otra ubicación
 del: permite eliminar uno o más archivos
 find: permite buscar texto en archivos
 mkdir: permite crear un directorio nuevo
 ren: permite cambiar el nombre de un archivo
 help: permite ver todos los comandos que pueden utilizarse con una breve descripción de cada uno
 help comando : permite ver la ayuda ampliada del comando indicado

Versiones de Windows

Desde el año 1993 hubo más de 20 versiones de Windows basadas en el sistema operativo NT. La mayoría de estas
versiones eran para uso del público general y las empresas, debido a la seguridad de los archivos que ofrecía el sistema de
archivos utilizado por el sistema operativo NT. Las empresas también adoptaron los sistemas operativos Windows basados
en NT. Esto ocurrió porque muchas ediciones se diseñaron específicamente para estaciones de trabajo, profesionales,
servidores, servidores avanzados y servidores de centro de datos, por nombrar solamente algunas de las muchas versiones
de diseño específico.

A partir de Windows XP, comenzó a estar disponible una edición de 64 bits. El sistema operativo de 64 bits era una
arquitectura totalmente nueva. Tenía un espacio para la dirección postal de 64 bits, en lugar de uno de 32 bits. Esto no
significa solamente el doble de espacio, ya que estos bits son números binarios. Mientras que Windows de 32 bits tiene
espacio para un poco menos de 4 GB de RAM, Windows de 64 bits puede tener, teóricamente, espacio para 16,8 millones
de terabytes. Cuando el sistema operativo y el hardware admiten el funcionamiento de 64 bits, es posible usar conjuntos de
datos extremadamente grandes. Estos enormes conjuntos de datos incluyen bases de datos muy grandes, computación
científica y manipulación de video digital de alta definición con efectos especiales. En general, las computadoras y los
sistemas operativos de 64 bits son compatibles con programas más antiguos de 32 bits, pero los programas de 64 bits no
pueden ejecutarse en el hardware más antiguo de 32 bits.

Con cada nuevo lanzamiento de Windows, el sistema operativo se ha mejorado con la incorporación de más funciones.
Windows 7 se ofreció con seis ediciones diferentes y Windows 8 con cinco. Windows 10 se lanzó ¡con ocho ediciones
diferentes! Cada edición no ofrece solamente capacidades diferentes, sino precios distintos. Microsoft ha dicho que
Windows 10 es la última versión de Windows, y que Windows ya no es un sistema operativo, sino un servicio. Dicen que, en
lugar de comprar nuevos sistemas operativos, los usuarios solamente deberán actualizar Windows 10.
GUI de Windows

Windows tiene una interfaz gráfica de usuario (Graphical

User Interface, GUI) para que los usuarios trabajen con
software y archivos de datos. La GUI tiene un área principal
que se conoce como el escritorio y que puede verse en la
figura 1. El escritorio se puede personalizar con diferentes
colores e imágenes de fondo. Windows admite múltiples
usuarios, para que cada uno pueda personalizar el escritorio
a su gusto. El escritorio puede almacenar archivos,
carpetas, accesos directos a ubicaciones y programas, y
aplicaciones. Además, el escritorio tiene un icono de
papelera de reciclaje, donde se almacenan los archivos
cuando el usuario los elimina. Es posible restaurar archivos
desde la papelera de reciclaje o se la puede vaciar y, de
este modo, eliminarlos definitivamente.

En la parte inferior del escritorio, se encuentra la barra de tareas. La barra de tareas tiene tres áreas que se utilizan para
diferentes propósitos. A la izquierda, se encuentra el menú Inicio. Se utiliza para acceder a todos los programas instalados,
las opciones de configuración y la función de búsqueda. En el centro de la barra de tareas, los usuarios colocan los iconos
de inicio rápido que ejecutan programas específicos o abren determinadas carpetas cuando se hace clic en ellos.
Finalmente, a la derecha de la barra de tareas, se encuentra el área de notificación. El área de notificación permite ver, a
simple vista, la funcionalidad de una serie de programas y características diferentes. Por ejemplo, un icono de un sobre
parpadeando puede indicar un correo electrónico nuevo, o un icono de red con una “x” roja puede indicar un problema con
la red.

A menudo, al hacer clic derecho sobre un icono se

presentan funciones adicionales que pueden utilizarse. Esta
lista se conoce como menú contextual y puede verse en la
figura 2. Existen menús contextuales para los iconos en el
área de notificación y también para los iconos de inicio
rápido, los iconos de configuración del sistema y para los
archivos y carpetas. El menú contextual permite tener
acceso a muchas de las funciones más utilizadas con
apenas un clic. Por ejemplo, el menú contextual para un
archivo contendrá elementos como copiar, eliminar,
compartir e imprimir. Para abrir carpetas y manipular
archivos, Windows utiliza el explorador de archivos de
Windows.

El explorador de archivos de Windows, que también se ve en la figura 2, es una herramienta usada para navegar por todo
el sistema de archivos de una computadora, lo que incluye numerosos dispositivos de almacenamiento y ubicaciones de
red. Con el explorador de archivos de Windows, puede crear fácilmente carpetas, copiar archivos y carpetas, y trasladarlos
a diferentes dispositivos y ubicaciones. Básicamente, la herramienta tiene dos ventanas principales. La de la izquierda
permite navegar rápidamente hacia los dispositivos de almacenamiento, las carpetas principales y las subcarpetas. La de la
derecha permite ver el contenido de la ubicación seleccionada en el panel izquierdo.

Vulnerabilidades en el sistema operativo

Los sistemas operativos consisten en millones de líneas de código. El software instalado también puede
contener millones de líneas de código. Todo este código acarrea vulnerabilidades. Una vulnerabilidad es
una imperfección o debilidad que puede ser aprovechada por un atacante para reducir la viabilidad de la
información de una computadora. Para aprovechar una vulnerabilidad de un sistema operativo, el
atacante debe utilizar una técnica o herramienta para atacarla. El atacante puede utilizar la
vulnerabilidad para hacer que la computadora actúe de una manera diferente a la prevista en su diseño. En general, el
objetivo es hacerse con el control no autorizado de la computadora, cambiar permisos o manipular datos.

Estas son algunas recomendaciones de seguridad habituales del sistema operativo Windows:

 Protección contra virus o malware: de manera predeterminada, Windows utiliza Windows Defender. Windows
Defender ofrece un conjunto de herramientas de protección incorporado en el sistema. Si Windows Defender está
desactivado, el sistema es más vulnerable a los ataques y al malware.
 Servicios desconocidos o no administrados: hay muchos servicios que se ejecutan detrás de escena. Es
importante asegurarse de que cada servicio pueda identificarse y sea seguro. Con un servicio desconocido
ejecutándose en segundo plano, la computadora puede ser vulnerable a los ataques.
 Encriptación: cuando los datos no están encriptados, pueden recopilarse y aprovecharse con facilidad. Esto no es
solamente importante para computadoras de escritorio, sino especialmente para dispositivos móviles.
 Política de seguridad: se debe configurar una buena política de seguridad y debe cumplirse. Muchos ajustes en el
control de la política de seguridad de Windows pueden evitar ataques.
 Firewall: de manera predeterminada, Windows utiliza Windows Firewall para limitar la comunicación con los
dispositivos de la red. Con el tiempo, es posible que las reglas ya no se apliquen. Por ejemplo, podría dejarse abierto
un puerto que ya no debe estar disponible. Es importante revisar la configuración del firewall periódicamente para
asegurarse de que las reglas todavía estén vigentes y eliminar aquellas que ya no lo estén.
 Permisos de archivos y de uso compartido: estos permisos deben configurarse correctamente. Es fácil darle al
grupo “Todos” el control total, pero esto les permite a todas las personas hacer lo que deseen con todos los archivos.
Es mejor otorgar a cada usuario o grupo los permisos mínimos necesarios para todos los archivos y carpetas.
 Contraseña débil o inexistente: muchas personas eligen contraseñas débiles o no utilizan ninguna. Es
especialmente importante asegurarse de que todas las cuentas, especialmente la cuenta de administrador, tengan
una contraseña muy fuerte.
 Iniciar sesión como administrador: cuando un usuario inicia sesión como administrador, cualquier programa que
ejecute tendrá los privilegios de esa cuenta. Es mejor iniciar sesión como un usuario estándar y utilizar solamente la
contraseña de administrador para realizar determinadas tareas.

Capa de abstracción de hardware

Las computadoras con Windows utilizan muchos tipos

de hardware distintos. El sistema operativo se puede
instalar en una computadora comprada o en una
ensamblada desde cero. Cuando se instala el sistema
operativo, debe aislarse de las diferencias en el
hardware. En la figura, se ve la arquitectura básica de
Windows. Una capa de abstracción de hardware
(Hardware Abstraction Layer, HAL) es un código que
maneja toda la comunicación entre el hardware y el
kernel. El kernel es el núcleo del sistema operativo y
controla toda la computadora. Se encarga de todas las
solicitudes de entrada y salida, la memoria y todos los
periféricos conectados a la computadora.

En algunos casos, el núcleo todavía se comunica con el

hardware directamente, por lo que no es totalmente
independiente de la HAL. La HAL también necesita el
núcleo para realizar algunas funciones.
Modo usuario y modo Kernel

Una CPU puede operar en dos modos diferentes

cuando la computadora tiene Windows instalado: el
modo de usuario y el modo de kernel. Las aplicaciones
instaladas se ejecutan en el modo de usuario, y el
código del sistema operativo lo hace en el modo de
kernel. El código que se ejecuta en el modo de núcleo
tiene acceso ilimitado al hardware subyacente y es
capaz de ejecutar cualquier instrucción de la CPU. El
código del modo de núcleo también puede hacer
referencia a cualquier dirección de la memoria
directamente. Dado que suele estar reservado para las
funciones más confiables del sistema operativo, un
error en el código que se ejecuta en el modo de núcleo
detiene el funcionamiento de toda la computadora. Por
el contrario, otros programas (como las aplicaciones de
usuario) se ejecutan en modo de usuario y no tienen
acceso directo a ubicaciones de memoria o hardware.
El código de modo de usuario debe pasar por el
sistema operativo para tener acceso a los recursos de
hardware. Debido al aislamiento que brinda el modo de usuario, los errores en dicho modo afectan solamente a la
aplicación y es posible una recuperación. La mayoría de los programas de Windows funcionan en el modo de usuario. Los
controladores de dispositivos (elementos del software que permiten que el sistema operativo y un dispositivo se
comuniquen) pueden funcionar en modo de núcleo o de usuario, según el controlador.

Todo el código que se ejecuta en el modo de núcleo usa el mismo espacio para la dirección postal. Los controladores en
modo de núcleo no están aislados del sistema operativo. Si se produce un error con el controlador en el modo de núcleo y
escribe en el espacio para la dirección postal incorrecto, el sistema operativo u otro controlador del modo de núcleo podrían
verse afectados negativamente. En este sentido, el controlador podría dejar de funcionar e interrumpir el funcionamiento de
todo el sistema operativo.

Cuando se ejecuta código en el modo de usuario, el núcleo le otorga su propio espacio para la dirección postal limitado,
junto con un proceso creado específicamente para la aplicación. Esto se hace, principalmente, para evitar que las
aplicaciones cambien código del sistema operativo que se esté ejecutando al mismo tiempo. Al tener su propio proceso, la
aplicación tiene su propio espacio para la dirección postal privado, lo que impide que otras aplicaciones modifiquen sus
datos. Esto también ayuda a evitar que el sistema operativo y otras aplicaciones dejen de funcionar si se interrumpe la
aplicación.

Sistemas de archivos de Windows

Un sistema de archivos determina cómo se organiza la información en los medios de almacenamiento. Algunos sistemas de
archivos pueden ser una mejor opción que otros, según el tipo de medios que se utilice. Estos son los sistemas de archivos
que admite Windows:

 Tabla de asignación de archivos (FAT): este es un sistema de archivos sencillo compatible con muchos sistemas
operativos diferentes. FAT tiene limitaciones en la cantidad de particiones y en el tamaño de particiones y archivos
que puede administrar, por lo que ya no suele utilizarse para discos duros (HD) ni unidades de estado sólido (SSD).
FAT16 y FAT32 están disponibles para usarse, y FAT32 es el más común, ya que tiene muchas menos restricciones
que FAT16.
 exFAT: esta es una versión extendida de FAT que tiene incluso menos restricciones que FAT32, pero no tiene muy
buena compatibilidad fuera del ecosistema de Windows.
 Sistema de archivos jerárquico Plus (HFS+): este sistema de archivos se utiliza en computadoras macOS X y
permite nombres de archivo y tamaños de archivos y particiones mucho más prolongados que los sistemas de
archivos anteriores. Aunque no es compatible con Windows sin software especializado, Windows es capaz de leer
datos de particiones HFS+.
 Sistema de archivos extendido (EXT): este sistema de archivos se utiliza en computadoras con Linux. Aunque no
es compatible con Windows, Windows es capaz de leer datos de particiones EXT con software especializado.
  Sistema de archivos de tecnología nueva (NTFS): este es el sistema de archivos utilizado más comúnmente al
instalar Windows. Todas las versiones de Windows y Linux admiten NTFS, mientras que las computadoras con
macOS X tienen capacidad de solo lectura. Son capaces de escribir en una partición NTFS después de instalar
controladores especiales.

NTFS es el sistema de archivos más utilizado en Windows por numerosas razones. NTFS admite archivos y particiones
muy grandes y es ampliamente compatible con otros sistemas operativos. Además, NTFS también es muy confiable y
admite funciones de recuperación. Lo más importante es que admite muchas características de seguridad. El control de
acceso de datos se logra mediante descriptores de seguridad. Estos descriptores de seguridad contienen información de
propiedad y permisos en todos los niveles hasta el nivel de archivo. NTFS también controla muchas marcas de hora para
registrar la actividad del archivo. También llamadas MACE, las marcas de hora de modificación, acceso, creación y
modificación de entrada suelen usarse en las investigaciones forenses para determinar el historial de un archivo o carpeta.
NTFS también admite la encriptación del sistema de archivos para proteger todos los medios de almacenamiento.

Flujos de datos alternativos

NTFS guarda los archivos como una serie de atributos; por

ejemplo, el nombre del archivo o una marca de hora. Los
datos que contiene el archivo se almacenan en el
atributo $DATA, y se conocen como flujo de datos. Con NTFS,
es posible conectar flujos de datos alternativos (ADS) al
archivo. En ocasiones, las aplicaciones aprovechan esta
función para almacenar información adicional sobre el archivo.
Los ADS son un factor importante en relación con el malware.
Esto se debe a que resulta sencillo ocultar datos en ADS. Un
atacante podría almacenar código malicioso dentro de ADS y
otro archivo podría invocar este contenido posteriormente.

En el sistema de archivos NTFS, un archivo con un ADS se

identifica después del nombre del archivo y separado por dos
puntos; por ejemplo, Testfile.txt:ADSdata. Este nombre de
archivo indica que un ADS llamado ADSdata está asociado
con el archivo denominado Testfile.txt. En la figura, se ve un
ejemplo de ADS:

 El primer comando coloca el texto “Alternate Data Here” en un ADS del archivo Testfile.txt, llamado “ADS”.
 El siguiente comando, dir, muestra que el archivo fue creado, pero no se visualiza el ADS.
 El siguiente comando muestra que hay datos en el flujo de datos de Testfile.txt:ADS.
 El último comando muestra el ADS del archivo Testfile.txt, porque se añadió la r al comando dir.

Antes de poder usar un dispositivo de almacenamiento, como un disco, se debe formatear con un sistema de archivos. A su
vez, antes de poder implementar un sistema de archivos en un dispositivo de almacenamiento, se debe particionar dicho
dispositivo. Los discos duros se dividen en áreas denominadas particiones. Cada partición es una unidad lógica de
almacenamiento que se puede formatear para almacenar información, como archivos de datos o aplicaciones. Durante el
proceso de instalación, la mayoría de los sistemas operativos particionan y formatean automáticamente el espacio
disponible de la unidad con un sistema de archivos, como NTFS.

El formato NTFS crea estructuras importantes en el disco para almacenar archivos y tablas para registrar las ubicaciones
de los archivos:

 Sector de arranque de la partición: representa los primeros 16 sectores de la unidad y contiene la ubicación de la
tabla maestra de archivos (MFT, Master File Table). Los últimos 16 sectores contienen una copia del sector de
arranque.
 MFT: esta tabla contiene las ubicaciones de todos los archivos y directorios de la partición, incluidos los atributos de
los archivos, como la información de seguridad y las marcas de hora.
 Archivos del sistema: estos son archivos ocultos que almacenan información sobre otros volúmenes y atributos del
archivo.
 Área de archivos: el área principal de la partición donde se almacenan los archivos y directorios.

Nota: Cuando se formatea una partición, es posible que puedan recuperarse los datos anteriores, ya que no se eliminan
completamente todos los datos. Es posible examinar el espacio y recuperar archivos que puedan poner en riesgo la
seguridad. Si se va a reutilizar una unidad, se recomienda realizar un borrado seguro. El borrado seguro escribirá datos en
toda la unidad varias veces para garantizar que no queden datos anteriores.
Proceso de arranque de Windows

Ocurren muchas acciones entre el momento en que se

presiona el botón de encendido de la computadora y
Windows se carga completamente, como se ve en la figura.

Existen dos tipos de firmware para computadoras: Basic

Input-Output System (BIOS) y Unified Extensible Firmware
Interface (UEFI). BIOS firmware se creó a principios de la
década de 1980 y funciona de la misma manera desde
entonces. A medida que las computadoras evolucionaron,
BIOS firmware comenzó a tener problemas para admitir todas
las nuevas funciones que solicitaban los usuarios. UEFI se
diseñó para reemplazar el BIOS y admitir las nuevas
funciones.

En BIOS firmware, el proceso comienza con la fase de inicialización del BIOS. Esto ocurre cuando se inicializan los
dispositivos de hardware y se realiza una prueba automática de encendido (POST, Power-On Self Test) para garantizar que
todos estos dispositivos se estén comunicando. La POST finaliza cuando se detecta el disco del sistema. La última
instrucción en la POST es buscar el registro principal de arranque (MBR, Master Boot Record).

El MBR contiene un pequeño programa que se encarga de localizar y cargar el sistema operativo. La BIOS ejecuta este
código y el sistema operativo comienza a cargarse.

A diferencia de BIOS firmware, UEFI firmware tiene mucha visibilidad en el proceso de arranque. El arranque con UEFI se
realiza cargando los archivos de programa de EFI, almacenados como archivos .efi en una partición especial del disco
conocida como la partición de sistema EFI (ESP, EFI System Partition).

Nota: Una computadora que utiliza UEFI almacena código de arranque en el firmware. Esto ayuda a aumentar la seguridad
de la computadora al momento del arranque, ya que entra directamente en el modo protegido.

Después de encontrar una instalación válida de Windows, se ejecuta el archivo Bootmgr.exe en cualquier firmware (BIOS o
UEFI). Bootmgr.exe cambia el sistema del modo real al modo protegido para que pueda usarse toda la memoria del
sistema.

Bootmgr.exe lee la base de datos de configuración de arranque (Boot Configuration Database, BCD). La BCD contiene
cualquier código adicional necesario para iniciar la computadora, junto con una indicación que señala si la computadora
está saliendo de una hibernación o si es un arranque en frío. Si la computadora está saliendo de una hibernación, el
proceso de arranque continúa con Winresume.exe. Esto permite que la computadora lea el archivo Hiberfil.sys que contiene
el estado de la computadora cuando ingresó en la hibernación.

Si se inicia la computadora con un arranque en frío, se carga el archivo Winload.exe. El archivo Winload.exe crea un
registro de la configuración de hardware en el registro. El registro es una lista de todos los ajustes, las opciones, el
hardware y el software de la computadora. Más adelante en este capítulo, se analizará en detalle el registro. WinLoad.exe
también utiliza la firma de código del modo de núcleo (KMCS, Kernel Mode Code Signing) para asegurarse de que todos los
controladores estén firmados digitalmente. Esto garantiza que los controladores son seguros para cargarlos al iniciar la
computadora.

Después de que se analizan los controladores, Winload.exe ejecuta Ntoskrnl.exe, que arranca el núcleo de Windows y
configura la HAL. Finalmente, Session Manager Subsystem (SMSS) lee el registro para crear el entorno de usuario, iniciar
el servicio de Winlogon y preparar el escritorio de cada usuario a medida que inician sesión.

Inicio y apagado de Windows

Hay dos elementos importantes del registro que se utilizan para iniciar automáticamente aplicaciones y servicios:

• HKEY_LOCAL_MACHINE: muchos aspectos de la configuración de Windows se almacenan en esta clave, incluida la

información sobre los servicios que se inician con cada arranque.

• HKEY_CURRENT_USER: muchos aspectos relacionados con el usuario que inicia sesión se almacenan en esta clave,
incluida la información sobre los servicios que se inician solamente cuando el usuario inicia sesión en la computadora.

La presencia de entradas diferentes en estas ubicaciones del registro define qué servicios y aplicaciones se iniciarán, según
lo que indiquen sus tipos de entrada. Estos tipos son Run, RunOnce, RunServices, RunServicesOnce y Userinit. Estas
entradas pueden introducirse manualmente en el registro, pero es mucho más seguro utilizar la herramienta Msconfig.exe.
Esta herramienta se utiliza para ver y cambiar todas las opciones de inicio de la computadora. Use el cuadro de búsqueda
para encontrar y abrir la herramienta Msconfig.

Hay cinco fichas que contienen las opciones de configuración:

• General: aquí es posible elegir tres tipos de inicio diferentes.

“Normal” carga todos los controladores y servicios. “Con diagnóstico”
carga solamente los servicios y controladores básicos. “Selectivo” le
permite al usuario elegir qué cargar en el inicio. La ficha General
puede verse en la Figura 1.

• Arranque: aquí es posible elegir cualquier sistema operativo

instalado para el inicio. También hay opciones para el arranque
a prueba de errores, que se utiliza para solucionar problemas
de inicio. La ficha Arranque puede verse en la Figura 2.

• Servicios: aquí se enumeran todos los servicios

instalados para decidir cuáles se iniciarán durante el
arranque. La ficha Servicios puede verse en la Figura 3.

• Inicio: todas las aplicaciones y servicios que están

configurados para iniciarse automáticamente en el arranque
pueden habilitarse o deshabilitarse abriendo el administrador
de tareas desde esta ficha. La ficha Inicio puede verse en la
Figura 4.
 • Herramientas: muchas herramientas comunes del sistema
operativo pueden ejecutarse directamente desde esta ficha. La ficha
Herramientas puede verse en la Figura 5.

Apagar

Siempre es mejor cerrar correctamente la computadora que apagarla. Los archivos que quedan abiertos, los servicios que
se cierran de manera desordenada y las aplicaciones que se bloquean pueden sufrir daños si se apaga la computadora sin
informar primero al sistema operativo. La computadora necesita tiempo para cerrar cada aplicación, apagar cada servicio y
registrar cualquier cambio de configuración antes de interrumpir la alimentación.

Durante el apagado, la computadora cierra primero las aplicaciones del modo de usuario y, luego, los procesos de modo de
núcleo. Si un proceso del modo de usuario no responde durante una cierta cantidad de tiempo, el sistema operativo
muestra una notificación y permite que el usuario espere a que la aplicación responda o fuerce la finalización del proceso.
Si un proceso en el modo de núcleo no responde, parecerá que el apagado se detuvo y es posible que sea necesario
apagar la computadora con el botón de encendido.

Hay varias maneras de apagar una computadora con Windows: las opciones de energía del menú Inicio, el
comando shutdown de la línea de comandos, y presionar juntas las teclas Ctrl+Alt+Supr para hacer clic en el icono de
encendido. Hay tres opciones diferentes para elegir al apagar la computadora: Apagar (la computadora se apaga), Reiniciar
(la computadora se reinicia) e Hibernar (se registra el estado actual de la computadora y el entorno del usuario y se
almacenan estos datos en un archivo). La hibernación le permite al usuario continuar su trabajo rápidamente justo desde
donde lo dejó, con todos sus archivos y programas aún abiertos.

Procesos, subprocesos y servicios

Una aplicación de Windows se compone de procesos. La

aplicación puede tener uno o varios procesos exclusivos. Un
proceso es cualquier programa que se esté ejecutando. Cada
proceso en ejecución está compuesto de, al menos, un
subproceso. Un subproceso es una parte del proceso que puede
ejecutarse. El procesador realiza los cálculos en el subproceso.
Para configurar los procesos de Windows, busque el
Administrador de tareas. En la Figura 1, se ve la ficha Procesos
del Administrador de tareas.

Todos los subprocesos exclusivos de un proceso están incluidos

en el mismo espacio para la dirección postal. Esto significa que
estos subprocesos no pueden tener acceso al espacio para la
dirección postal de ningún otro proceso. Esto evita el daño de
otros procesos. Debido a que Windows realiza múltiples tareas
simultáneamente, es posible ejecutar varios subprocesos al
mismo tiempo. La cantidad de subprocesos que se pueden
ejecutar al mismo tiempo depende de la cantidad de
procesadores que tenga la computadora.
Algunos de los procesos que ejecuta Windows son servicios.
Son programas que se ejecutan en segundo plano para
respaldar el funcionamiento del sistema operativo y de las
aplicaciones. Pueden configurarse para iniciarse
automáticamente cuando Windows arranca o es posible
iniciarlos manualmente. También pueden detenerse, reiniciarse
o deshabilitarse. Los servicios proporcionan funcionalidades de
duración prolongada, como la conexión inalámbrica o el acceso
a un servidor FTP. Para configurar los servicios de Windows,
busque “servicios”. El applet de Servicios del panel de control de
Windows se ve en la Figura 2. Tenga mucho cuidado al
manipular la configuración de estos servicios. Algunos
programas dependen de uno o más servicios para funcionar
correctamente. Deshabilitar un servicio puede afectar
negativamente otras aplicaciones o servicios.

Asignación de la memoria e identificadores

Una computadora funciona almacenando las instrucciones en la memoria RAM hasta que la CPU las procesa. El espacio
para la dirección postal virtual de un proceso es el conjunto de direcciones virtuales que puede utilizar el proceso. La
dirección virtual no es la ubicación física real en la memoria, sino una entrada en una tabla de página que se utiliza para
traducir la dirección virtual a una dirección física.

Cada proceso en una computadora con Windows de 32 bits admite un espacio para la dirección postal virtual que hace
posible manipular hasta 4 GB. Cada proceso en una computadora con Windows de 64 bits admite un espacio para la
dirección postal virtual de 8 TB.

Cada proceso de espacio del usuario se ejecuta en un espacio para la dirección postal privado, separado de otros procesos
de espacio del usuario. Cuando el proceso de espacio del usuario necesita tener acceso a los recursos del núcleo, debe
utilizar un identificador de procesos. Esto se debe a que el proceso de espacio del usuario no puede tener acceso directo a
estos recursos del núcleo. El identificador de procesos brinda el acceso que necesita el proceso de espacio del usuario sin
conectarse directamente.

Una de las herramientas más eficaces para ver la asignación de memoria es RAMMap de Sysinternals, que se ve en la
figura. Haga clic aquí para descargar RAMMap y obtener más información al respecto.
El registro de Windows

Windows almacena toda la información sobre el hardware, las

aplicaciones, los usuarios y la configuración del sistema en una
extensa base de datos conocida como el Registro. Las maneras en
que interactúan estos objetos también se registran, por ejemplo, qué
archivos abre una aplicación y todos los detalles de propiedad de
carpetas y aplicaciones. El registro es una base de datos jerárquica
donde el nivel más alto se conoce como subárbol, debajo están las
claves y, luego, las subclaves. Los valores, que almacenan datos, se
guardan en las claves y subclaves. La clave de registro puede tener
hasta 512 niveles de profundidad.

Estas son las cinco secciones del Registro de Windows:

 HKEY_CURRENT_USER (HKCU): contiene datos sobre el usuario con una sesión iniciada actualmente.
 HKEY_USERS (HKU): contiene datos sobre todas las cuentas de usuario en el host.
 HKEY_CLASSES_ROOT (HKCR): contiene datos sobre los registros de vinculación e integración de objetos (OLE).
 HKEY_LOCAL_MACHINE (HKLM): contiene datos relacionados con el sistema.
 HKEY_CURRENT_CONFIG (HKCC): contiene datos sobre el perfil de hardware actual.

No es posible crear nuevos subárboles. Las claves y los valores de registro en los subárboles pueden crearse, modificarse
o eliminarse usando una cuenta con privilegios de administrador. Como se ve en la figura, se utiliza la herramienta
regedit.exe para modificar el registro. Se debe tener mucho cuidado al usar esta herramienta. Cambios mínimos en el
registro podrían tener consecuencias sustanciales o hasta catastróficas.

La navegación por el registro es muy similar a la del explorador de archivos de Windows. El panel izquierdo sirve para
navegar por los subárboles y las estructuras subyacentes, y el panel derecho sirve para ver el contenido del elemento
resaltado en el panel izquierdo. Con tantas claves y subclaves, la ruta de la clave puede resultar muy prolongada. La ruta
aparece en la parte inferior de la ventana como referencia. Dado que cada clave y subclave es, en definitiva, un contenedor,
la ruta se representa como una carpeta en un sistema de archivos. La barra invertida (\) se utiliza para diferenciar la
jerarquía de la base de datos.

Las claves de registro pueden contener una subclave o un valor. Estos son los distintos valores que pueden contener las
claves:

 REG_BINARY: números o valores booleanos

 REG_DWORD: números superiores a 32 bits o datos sin procesar
 REG_SZ: valores de cadena

Debido a que el registro mantiene casi toda la información del usuario y del sistema operativo, es fundamental asegurarse
de no ponerlo en riesgo. Las aplicaciones potencialmente maliciosas pueden agregar claves de registro para que se inicien
cuando se inicia la computadora. Durante un arranque normal, el usuario no verá el programa iniciarse porque la entrada
está en el registro y la aplicación no muestra ninguna ventana ni indicio de inicio durante el arranque de la computadora. Un
registro de clave, por ejemplo, sería devastador para la seguridad de una computadora si iniciara el arranque sin el
conocimiento ni consentimiento del usuario. Cuando se realizan auditorías normales de seguridad o se corrige un sistema
infectado, se deben revisar las ubicaciones de inicio de la aplicación en el registro para asegurarse de que cada elemento
sea conocido y seguro de ejecutar.

El registro también contiene la actividad que realiza un usuario durante el uso diario habitual de la computadora. Esto
abarca el historial de los dispositivos de hardware, incluidos todos los dispositivos que se han conectado a la computadora
con el nombre, el fabricante y el número de serie. En el registro, también se almacena otra información, como los
documentos que un usuario y un programa abrieron, dónde se encuentran y cuando se tuvo acceso a ellos. Esto resulta
muy útil durante la ejecución de una investigación forense.
Ejecutar como administrador

Como mejor práctica de seguridad, no es recomendable iniciar sesión en Windows utilizando la cuenta de administrador o
una cuenta con privilegios administrativos. Esto se debe a que cualquier programa que se ejecute cuando inicie sesión con
esos privilegios los heredará. El malware con privilegios administrativos tiene acceso completo a todos los archivos y
carpetas en la computadora.

En ocasiones es necesario ejecutar o instalar software que requiere los privilegios de un Administrador. Para lograr esto,
hay dos diferentes formas de realizar la instalación:

 Ejecutar como administrador: haga clic con el botón secundario del mouse en el comando del explorador de
archivos de Windows y seleccione Ejecutar como administrador en el menú contextual, como se ve en la Figura 1.
 Petición de ingreso de comando de administrador: busque comando, haga clic con el botón secundario en el
archivo ejecutable y seleccione Ejecutar como administrador en el menú contextual, como se ve en la Figura 2.
Cada comando que se ejecute desde esta línea de comando se implementará con privilegios de administrador,
incluida la instalación de software.
Usuarios y dominios locales

Cuando se inicia una nueva computadora por primera vez, o al

instalar Windows, el sistema solicita la creación de una cuenta
de usuario. Esta se conoce como “usuario local”. Esta cuenta
contiene todos los ajustes de personalización, los permisos de
acceso, las ubicaciones de archivos y muchos otros datos
específicos del usuario. Hay también otras dos cuentas: de
invitado y de administrador. Ambas están deshabilitadas de
manera predeterminada.

Como una mejor práctica de seguridad, no debe habilitarse la

cuenta de administrador ni otorgarles privilegios administrativos
a los usuarios estándar. Si un usuario necesita realizar
cualquier función que requiera privilegios administrativos, el
sistema solicitará la contraseña de administrador y permitirá
realizar como administrador solamente la tarea específica. Con
la contraseña de administrador, se protege la computadora al
evitar que cualquier software no autorizado instale o ejecute los
archivos, o tenga acceso a ellos.

No debe habilitarse la cuenta de invitado. La cuenta de invitado no tiene una contraseña, ya que se crea cuando una
computadora será utilizada por muchas personas diferentes que no tienen cuentas propias. Cada vez que se inicia sesión
con la cuenta de invitado, se proporciona un entorno predeterminado con privilegios limitados.

Para facilitar la administración de usuarios, Windows utiliza grupos. Un grupo tendrá un nombre y un conjunto específico de
permisos asociados con él. Cuando se coloca a un usuario en un grupo, los permisos de ese grupo se le otorgan a ese
usuario. Se puede colocar a un usuario en varios grupos con muchos permisos diferentes. Cuando se superponen los
permisos, algunos de ellos (como “denegar explícitamente”) anulan los permisos otorgados por otro grupo. Hay muchos
grupos de usuarios integrados en Windows que se utilizan para realizar tareas específicas. Por ejemplo, el grupo de
usuarios del registro de rendimiento les permite a los miembros programar el registro de contadores de rendimiento y
recopilar registros de manera local o remota. Los grupos y usuarios locales se administran con el applet lusrmgr.msc del
panel de control, como se ve en la figura.

Además de grupos, Windows también puede utilizar dominios para establecer permisos. Un dominio es un tipo de servicio
de red en el que todos los usuarios, grupos, computadoras, periféricos y ajustes de seguridad se almacenan en una base
de datos, que también los controla. Esta base de datos se almacena en computadoras o grupos de computadoras
especiales que se denominan controladores de dominio (DC, Domain Controller). Cada usuario y computadora en el
dominio deben autenticarse con el DC para iniciar sesión y tener acceso a los recursos de red. El DC establece la
configuración de seguridad para cada usuario y cada computadora en cada sesión. Cualquier ajuste suministrado por el DC
se aplica de manera predeterminada en la configuración de cuenta de usuario o computadora local.
CLI y PowerShell

La interfaz de línea de comandos (Command Line

Interface, CLI) de Windows se puede utilizar para ejecutar
programas, navegar por el sistema de archivos y
administrar archivos y carpetas. Además, pueden crearse
archivos denominados archivos por lotes para ejecutar
varios comandos seguidos, algo muy parecido a un script
básico. Para abrir la CLI de Windows, se debe buscar
cmd.exe y hacer clic en el programa. Es necesario recordar
que hacer clic derecho el programa ofrece la opción de
ejecutar como administrador, lo que les otorga mucho más
poder a los comandos que se utilizarán.

El indicador permite ver la ubicación actual en el sistema de

archivos. Estas son algunas sugerencias para recordar
cuando se usa la CLI:

 De manera predeterminada, los nombres y rutas de archivo no distinguen entre mayúsculas y minúsculas.
 A los dispositivos de almacenamiento se les asigna una letra de referencia. La letra, seguida de una barra invertida
(\), indica la raíz del dispositivo. La jerarquía de carpetas y archivos en el dispositivo se indica usando la separación
con la barra invertida. Por ejemplo, C:\Usuarios\Jim\Escritorio\archivo.txt es el archivo denominado archivo.txt en la
carpeta Escritorio, dentro de la carpeta Jim y en el interior de la carpeta Usuarios del dispositivo C:.
 Los comandos que tienen cambios opcionales utilizan la barra diagonal (/) para delimitar entre el comando y cada
cambio.
 Es posible utilizar la tecla de tabulación para completar automáticamente los comandos cuando se hace referencia a
archivos o directorios.
 Windows guarda un historial de los comandos que se introdujeron durante una sesión de la CLI. Se puede tener
acceso a comandos del historial con las teclas de flecha hacia arriba y abajo.
 Para cambiar entre dispositivos de almacenamiento, escriba la letra del dispositivo seguida de dos puntos y presione
Entrar.

A pesar de que la CLI tiene muchos comandos y características, no puede trabajar en conjunto con el núcleo de Windows o
la GUI. Se puede utilizar otro entorno, llamado Windows PowerShell, para crear script con el fin de automatizar tareas que
la CLI común no puede crear. PowerShell también proporciona una CLI para iniciar comandos. PowerShell es un programa
integrado en Windows que se puede abrir buscando la palabra powershell y haciendo clic en el programa. Como la CLI,
PowerShell también se puede ejecutar con privilegios de administrador.

Estos son los tipos de comandos que puede ejecutar PowerShell:

 cmdlets: estos comandos realizan una acción y envían un resultado u objeto al siguiente comando que se ejecutará.
 Scripts de PowerShell: estos son archivos con una extensión .ps1 que contienen comandos de PowerShell que se
ejecutan.
 Funciones de PowerShell: estas son fragmentos de código a los que se puede hacer referencia en un script.

Para obtener más información sobre Windows PowerShell y comenzar a usarlo, escriba ayudaen PowerShell, como se ve
en la figura. Obtendrá mucha más información y recursos para empezar a utilizar PowerShell.

Hay cuatro niveles de ayuda de Windows PowerShell:

 get-help comando de PS : permite ver la ayuda básica de un comando

 get-help comando de PS [-examples]: permite ver la ayuda básica de un comando con ejemplos
 get-help comando de PS [-detailed]: permite ver la ayuda detallada de un comando con ejemplos
 get-help comando de PS [-full]: permite ver toda la información de ayuda de un comando con ejemplos más
detallados
Windows Management Instrumentation

Windows Management Instrumentation (WMI) se utiliza para

administrar computadoras remotas. Puede recuperar información sobre
componentes de la computadora, brindar estadísticas de hardware y
software, y monitorear el estado de computadoras remotas. Es posible
abrir el control WMI buscando “administración de equipos”, haciendo
clic con el botón secundario en Control WMI debajo de Servicios y
aplicaciones, y seleccionando Propiedades. La ventana Propiedades
de Control WMI se ve en la figura.

Estas son las cuatro fichas en la ventana Propiedades de Control WMI:

 General: resumen de información sobre la computadora local y WMI

 Copia de seguridad y/o restauración: permite realizar la copia de respaldo manual de las estadísticas recopiladas
por WMI
 Seguridad: ajustes para configurar quién tiene acceso a las diferentes estadísticas de WMI
 Opciones avanzadas: ajustes para configurar el espacio de nombres predeterminado para WMI

Actualmente, algunos ataques utilizan WMI para conectarse con sistemas remotos, modificar el registro y ejecutar
comandos. WMI ayuda a los atacantes a evitar la detección porque el tráfico es común, los dispositivos de seguridad de red
suelen confiar y los comandos de WMI remotos no suelen dejar rastro en el host remoto. Debido a esto, el acceso a WMI
debe limitarse al máximo.

El comando net

Windows tiene muchos comandos que se pueden introducir en la

línea de comando. Un comando importante es el comando net, que
se usa en la administración y el mantenimiento del sistema
operativo. El comando net puede ir seguido de muchos otros
comandos, que pueden combinarse con cambios para
concentrarse en resultados específicos.

Para ver una lista de los numerosos comandos net, escriba net
help en la petición de ingreso de comando. En la figura, se ven los
comandos que el comando net puede utilizar. Para ver ayuda
detallada sobre cualquiera de los comandos net, escriba el
comando net help.comando.

Los siguientes son algunos comandos de red comunes:

 net accounts: define los requisitos de contraseñas e inicio de sesión para los usuarios
 net session: enumera las sesiones entre una computadora y otras computadoras de la red o las desconecta
 net share: crea, elimina o administra recursos compartidos
 net start: inicia un servicio de red o enumera los servicios de red en ejecución
 net stop: detiene un servicio de red
 net use: conecta, desconecta los recursos de red compartidos, y permite ver información sobre ellos
 net view: permite ver una lista de computadoras y dispositivos de red en la red
Administrador de tareas y Monitor de recursos

Hay dos herramientas muy importantes y útiles para ayudar a un administrador a entender la enorme y variada cantidad de
aplicaciones, servicios y procesos que se ejecutan en una computadora con Windows. Estas herramientas también
proporcionan información sobre el rendimiento de la computadora, como el uso de CPU, memoria y red. Estas herramientas
son especialmente útiles al investigar un problema donde hay sospechas de malware. Cuando un componente no está
funcionando de la manera en que debería, estas herramientas pueden utilizarse para determinar cuál puede ser el
problema.

Administrador de tareas

El Administrador de tareas (Figura 1) ofrece mucha información sobre lo que se está ejecutando y el rendimiento general de
la computadora. Hay siete fichas en el Administrador de tareas:

 Procesos: aquí aparecen todos los programas y procesos

que se están ejecutando actualmente. En las columnas, se
ve el uso de CPU, memoria, disco y red de cada proceso.
Puede examinar las propiedades de cualquiera de estos
procesos, o terminar un proceso que no está funcionando
adecuadamente o se ha detenido.
 Rendimiento: una vista de todas las estadísticas de
rendimiento proporciona un panorama útil del desempeño
de la CPU, la memoria, el disco y la red. Al hacer clic en
cada elemento en el panel izquierdo, se ven las
estadísticas detalladas de dicho elemento en el panel
derecho.
 Historial de aplicaciones: el uso que cada aplicación hace
de los recursos a lo largo del tiempo proporciona
información sobre aplicaciones que consumen más
recursos de los que deberían. Haga clic
en Opciones y Mostrar historial de todos los
procesos para ver el historial de cada proceso que se ha
ejecutado desde que se inició la computadora.

 Inicio: en esta ficha, se ven todas las aplicaciones y servicios que se inician durante el arranque de la computadora.
Para impedir que un programa se inicie durante el arranque, haga clic con el botón secundario en el programa y
elija Deshabilitar.
 Usuarios: en esta ficha, se ven todos los usuarios que han iniciado sesión en la computadora. También se ven todos
los recursos que utilizan los procesos y las aplicaciones de cada usuario. Desde esta ficha, un administrador puede
desconectar a un usuario de la computadora.
 Detalles: de manera similar a la ficha Procesos, esta ficha proporciona opciones de administración adicionales, por
ejemplo, establecer prioridades para que el procesador le dedique más o menos tiempo a un proceso. También es
posible establecer afinidad con la CPU, lo que define qué núcleo o CPU utilizará un programa. También, una función
útil denominada Analizar cadena de espera permite ver qué procesos esperan a otros. Esta característica ayuda a
determinar si un proceso está en espera o está interrumpido.
 Servicios: en esta ficha, se muestran todos los servicios cargados. También aparecen la identificación del proceso
(PID, Process ID) y una breve descripción junto con el estado del proceso (En ejecución o Detenido). En la parte
inferior, hay un botón para abrir la consola de servicios y tener acceso a funciones adicionales de administración de
los servicios.

Monitor de recursos

Cuando se necesita información más detallada sobre el uso de recursos, es posible utilizar el Monitor de recursos (Figura
2). Si la computadora se comporta de manera extraña, el Monitor de recursos puede ayudar a encontrar el origen del
problema. El Monitor de recursos tiene cinco fichas:

 Información general: en esta ficha, se ve el uso general de cada recurso. Si se selecciona un proceso individual, se
filtrará en todas las pestañas para mostrar solamente las estadísticas de dicho proceso.
 CPU: en esta ficha, se visualizan la PID, la cantidad de subprocesos, qué CPU usa el proceso, y el uso promedio que
cada proceso tiene de la CPU. Si se expanden las filas inferiores, es posible ver información adicional sobre cualquier
servicio que el proceso utilice, y los identificadores y módulos asociados.
 Memoria: en esta ficha, se ve toda la información estadística sobre la manera en que cada proceso utiliza la
memoria. También, es posible ver un panorama del uso de toda la memoria RAM debajo de la fila Procesos.
 Disco: en esta ficha, se ven todos los procesos que utilizan un disco, con las estadísticas de lectura y escritura y un
panorama general de cada dispositivo de almacenamiento.
  Red: en esta ficha, se ven todos los procesos que utilizan la red con las estadísticas de lectura y escritura
correspondientes. Lo más importante es poder ver las conexiones actuales de TCP, junto con todos los puertos de
escucha. Esta ficha resulta muy útil cuando se intenta determinar qué aplicaciones y procesos se comunican usando
la red. Permite observar si un proceso no autorizado tiene acceso a la red y escucha una comunicación, y cuál es la
dirección con la que se está comunicando.

Redes

Una de las características más importantes de cualquier sistema

operativo es la capacidad de la computadora de conectarse a una
red. Sin esta característica, no hay acceso a los recursos de red o a
Internet. Para configurar las propiedades de redes de Windows y
probar la configuración de redes, se utiliza el Centro de redes y
recursos compartidos que se ve en la Figura 1. La manera más
sencilla de ejecutar esta herramienta es buscarla y hacer clic en
ella.

En la vista inicial, se ve un panorama general de la red activa. Esta

vista permite ver si hay acceso a Internet y si la red es privada,
pública o para invitados. También se ve el tipo de red (por cable o
inalámbrica). Desde esta ventana, es posible ver el Grupo Hogar al
que pertenece la computadora o crear uno si todavía no forma parte
de uno. Esta herramienta también puede usarse para cambiar la configuración del adaptador o la configuración de uso
compartido avanzado, establecer una nueva conexión o solucionar problemas. Tenga en cuenta que se eliminó HomeGroup
de Windows 10 en la versión 1803.

Para configurar un adaptador de red, es necesario seleccionar Cambiar configuración del adaptador a fin de ver todas
las conexiones de red que están disponibles. Luego, haga clic con el botón secundario en el adaptador que desee
configurar y seleccione Propiedades, como se ve en la Figura 2. En el cuadro Esta conexión usa los siguientes
elementos:, seleccione Protocolo de Internet versión 4 (TCP/IPv4) o Protocolo de Internet versión 6 (TCP/IPv6),
según la versión que prefiera utilizar (Figura 3). Haga clic en Propiedadespara configurar el adaptador.
 En el cuadro de diálogo Propiedades (Figura 4), puede optar por Obtener una dirección
automáticamente si hay un servidor DHCP disponible en la red. Si desea configurar la
dirección manualmente, puede completar la dirección, subred, puerta de enlace predeterminada
y los servidores DNS para configurar el adaptador. Haga clic en Aceptarpara aplicar los
cambios.

También puede usar la herramienta netsh.exepara configurar los parámetros de red desde una
petición de ingreso de comando. Este programa permite ver y modificar la configuración de red.
Escriba netsh /? en la petición de ingreso de comando para ver una lista de todos los
modificadores que puede utilizar con este comando.

Una vez finalizada la configuración de red, hay algunos

comandos básicos que pueden utilizarse para probar la
conectividad a la red local y a Internet. La prueba más
básica se realiza con el comando ping. Para probar el
adaptador, escriba ping 127.0.0.1 en la petición de
ingreso de comando, como se ve en la Figura 5. Esto
permitirá ver si el adaptador es capaz de enviar y recibir
datos. También permite confirmar que el conjunto de
protocolo TCP/IP está instalado correctamente en la
computadora. La dirección 127.0.0.1 se conoce como
dirección de loopback.

Luego, haga ping a cualquier host de la red. Si no conoce ninguna

dirección IP de otros hosts en la red, puede hacer ping a la puerta
de enlace predeterminada. Para encontrar la dirección de la puerta
de enlace predeterminada, escriba ipconfig en la petición de
ingreso de comando, como se ve en la Figura 6. Este comando
arrojará información básica de la red, incluidas la dirección IP del
host, la máscara de subred y la puerta de enlace predeterminada.
También puede hacer ping a hosts de otras redes conectadas para
asegurarse de que dispone de conectividad a esas redes. El
comando ipconfig tiene muchos modificadores que son útiles para
solucionar problemas de red. Escriba ipconfig /? para ver una lista
de todos los modificadores que puede utilizar con este comando.

Cuando se ejecuta el comando ping, se envían cuatro mensajes de solicitud echo de ICMP a la dirección IP indicada. Si no
hay respuesta, es posible que la configuración de red tenga un problema. También es posible que el host previsto bloquee
las solicitudes de eco de ICMP. En este caso, intente hacer ping a un host diferente en la red. Habitualmente, hay cuatro
respuestas a las solicitudes, en las que se evidencia el tamaño de cada solicitud, el tiempo que tardó en llegar y el tiempo
de duración (TTL, Time To Live). El TTL es la cantidad de saltos que un paquete realiza en el camino a su destino.

También se debe probar el sistema de nombres de dominio (DNS), ya que se utiliza muy a menudo para encontrar la
dirección de los hosts traduciéndola a partir de un nombre. Use el comando nslookup para probar el DNS.
Escriba nslookup cisco.com en la petición de ingreso de comando para encontrar la dirección del servidor web de Cisco.
Si se devuelve la dirección, significa que el DNS funciona correctamente. También es posible comprobar qué puertos están
abiertos, donde están conectados y cuál es su estado actual. Escriba netstat en la línea de comando para ver los detalles
de las conexiones de red activas, como se ve en la Figura 7. Más adelante en este capítulo, el comando netstat se
analizará en más detalle.
Acceso a los recursos de red

Al igual que otros sistemas operativos, Windows utiliza una red para varias aplicaciones diferentes, como web, correo
electrónico y servicios de archivo. Microsoft ayudó en el desarrollo del protocolo bloque de mensajes del servidor (SMB,
Server Message Block), originalmente diseñado por IBM, para compartir recursos de red. Principalmente, SMB se utiliza
para tener acceso a archivos de hosts remotos. Para conectar recursos, se utiliza el formato de convención de
nomenclatura universal (UNC, Universal Naming Convention), por ejemplo:

\\servername\sharename\file

En la UNC, servername es el servidor que aloja el recurso. Puede ser un nombre

de DNS, un nombre de NetBIOS o, simplemente, una dirección IP. El elemento
sharename corresponde a la raíz de la carpeta del sistema de archivos en el host
remoto, mientras que file es el recurso que el host local intenta encontrar. Es
posible que el archivo se encuentre en un nivel más profundo en el sistema de
archivos, y es necesario indicar esta jerarquía.

Al compartir recursos en la red, se deberá identificar el área del sistema de

archivos que se compartirá. Es posible aplicar el control de acceso a las carpetas
y archivos para limitar a usuarios y grupos a funciones específicas, tales como
leer, escribir o denegar. Windows también crea recursos compartidos especiales
automáticamente. Estos recursos compartidos se denominan recursos
compartidos administrativos. Un recurso compartido administrativo se identifica
con el signo de dólar ($) que aparece después de su nombre. Cada volumen de
disco tiene un recurso compartido administrativo, representado por la letra de
volumen y el signo $ (por ejemplo, C$, D$ o E$). La carpeta de instalación de
Windows se comparte como admin$, la carpeta de impresoras se comparte
como print$, y hay otros recursos compartidos administrativos que se pueden
conectar. Solamente los usuarios con privilegios administrativos pueden acceder
a estos recursos compartidos.

La manera más sencilla de conectarse a un recurso compartido es escribir su UNC en el explorador de archivos de
Windows, en el cuadro en la parte superior de la pantalla, donde se ve la ruta de navegación de la ubicación actual del
sistema de archivos. Cuando Windows intenta conectarse al recurso compartido, solicita las credenciales para tener acceso
a los recursos. Recuerde que, dado que el recurso está en una computadora remota, las credenciales deben ser las de la
computadora remota, no las de la computadora local.

Además de tener acceso a recursos compartidos en hosts remotos, es posible iniciar sesión en un host remoto y manipular
la computadora como si fuese local, realizar cambios en la configuración, instalar software o solucionar un problema. En
Windows, esta función se conoce como Protocolo de escritorio remoto (RDP, Remote Desktop Protocol). Al investigar
incidentes de seguridad, un analista de seguridad suele usar el RDP para tener acceso a computadoras remotas. Para
iniciar el RDP y conectarse a una computadora remota, busque “escritorio remoto” y haga clic en la aplicación. En la figura,
se ve la ventana Conexión a escritorio remoto.

Windows Server

La mayoría de las instalaciones de Windows se realizan como instalaciones de escritorio en computadoras portátiles y de
escritorio. En centros de datos se utiliza principalmente otra versión de Windows: Windows Server. Se trata de una familia
de productos de Microsoft que empezó con Windows Server 2003. Hoy en día, la versión más reciente es Windows Server
2016. Windows Server aloja muchos servicios diferentes y puede cumplir diferentes roles dentro de una empresa.
Nota: Aunque hay un Windows Server 2000, se considera una versión de cliente de Windows NT 5.0. Windows Server
2003 es un servidor basado en NT 5.2 y es el precursor de una nueva familia de versiones de Windows Server.

Estos son algunos de los servicios que aloja Windows Server:

 Servicios de red: DNS, DHCP, Terminal Services, controladora de red y virtualización de red en Hyper-V
 Servicios de archivo: SMB, NFS y DFS
 Servicios web: FTP, HTTP y HTTPS
 Administración: política de grupo y control de servicios de dominio de Active Directory
El comando netstat

Cuando hay malware en una computadora, suele

abrir puertos de comunicación en el host para enviar
y recibir datos. El comando netstatpuede usarse
para buscar conexiones entrantes o salientes no
autorizadas. Cuando se usa solo, el
comando netstat permite ver todas las conexiones
de TCP activas disponibles.

Al analizar estas conexiones, es posible determinar

cuál de los programas está activado para escuchar
conexiones no autorizadas. Cuando se cree que un
programa puede ser malware, se puede investigar
un poco para determinar su legitimidad. Después, el
proceso se puede deshabilitar con el Administrador
de tareas y es posible usar software de eliminación
de malware para limpiar la computadora.

Para facilitar este proceso, es posible vincular las conexiones con los procesos en ejecución en el Administrador de tareas.
Para hacerlo, abra una petición de ingreso de comando con privilegios administrativos y use el comando netstat -abno,
como se ve en la figura.

Al examinar las conexiones de TCP activas, un analista debe ser capaz de determinar si hay programas sospechosos que
escuchan conexiones entrantes en el host. También es posible rastrear este proceso hasta el Administrador de tareas de
Windows y cancelarlo. Puede haber más de un proceso con el mismo nombre. Si este es el caso, observe el PID para
encontrar el proceso correcto. Cada proceso que se ejecuta en la computadora tiene un PID único. Para ver los PID de los
procesos en el Administrador de tareas, ábralo, haga clic con el botón secundario en el encabezado de la tabla y
seleccione PID.

Visor de eventos

El Visor de eventos de Windows registra el historial de

eventos del sistema, de aplicaciones y de seguridad. Estos
archivos de registro constituyen una valiosa herramienta de
resolución de problemas, debido a que proporcionan
información necesaria para identificar un problema. Para abrir
el Visor de eventos, búsquelo y haga clic en el icono del
programa.

Windows incluye dos categorías de registros de eventos:

registros de Windows y registros de aplicaciones y servicios.
Cada una de estas categorías tiene varios tipos de registros.
Los eventos que aparecen en estos registros tienen un nivel:
información, advertencia, error o crítico. También tienen la
fecha y hora en que se produjo el evento, junto con su origen
y un identificador relacionado con el tipo de evento.

También es posible crear una vista personalizada. Esto resulta útil para buscar determinados tipos de eventos, encontrar
eventos que sucedieron durante un período específico, visualizar eventos de un determinado nivel, y muchos otros criterios.
Hay una vista personalizada incorporada que se denomina Eventos administrativos e incluye todos los eventos críticos, de
error y de advertencia de todos los registros administrativos. Esta vista es un buen lugar para empezar cuando se intenta
resolver un problema.
Administración de actualizaciones de Windows

Ningún software es perfecto, y el sistema operativo Windows no es la excepción. Los atacantes están ideando siempre
nuevas maneras de poner en riesgo computadoras y usar código malicioso. Algunos de estos ataques llegan tan rápido que
no hay manera de defenderse. Son los llamados ataques de día cero. Los desarrolladores de software de Microsoft y de
seguridad intentan constantemente adelantarse a los atacantes, pero no siempre lo logran. Para garantizar el máximo nivel
de protección contra estos ataques, siempre es necesario asegurarse de que Windows esté actualizado con los paquetes
de servicio y parches de seguridad más recientes.

Los parches son actualizaciones de códigos que proporcionan los fabricantes para evitar que un virus o gusano
recientemente descubierto logre atacar con éxito. Periódicamente, los fabricantes combinan parches y actualizaciones en
una aplicación de actualización integral denominada paquete de servicios. Numerosos ataques de virus devastadores
podrían haber sido mucho menos graves si más usuarios hubieran descargado e instalado el último paquete de servicios.

Windows verifica sistemáticamente el sitio web de Windows Update en busca

de actualizaciones de alta prioridad que ayuden a proteger una computadora
de las amenazas de seguridad más recientes. Estas actualizaciones incluyen
actualizaciones de seguridad, actualizaciones críticas y paquetes de servicios.
Según la configuración seleccionada, Windows descarga e instala
automáticamente todas las actualizaciones de alta prioridad que la PC
necesita, o notifica al usuario que dichas actualizaciones están disponibles.
Para configurar los ajustes de actualización de Windows, busque Windows
Update y haga clic en la aplicación.

El estado de las actualizaciones, que se ve en la figura, le permite buscar actualizaciones manualmente y ver el historial de
actualización de la computadora. También hay opciones para no permitir que la computadora se reinicie en determinados
horarios, por ejemplo, durante el horario laboral. Además, es posible elegir cuándo reiniciar la computadora después de una
actualización con las opciones de reinicio (si es necesario). Por otro lado, hay opciones avanzadas para decidir cómo se
instalan las actualizaciones y cómo obtener actualizaciones para otros productos de Microsoft.

Política de seguridad local

Una política de seguridad es un conjunto de objetivos de seguridad que garantiza la seguridad de una red, los datos y los
sistemas informáticos en una organización. La directiva de seguridad es un documento en constante evolución según los
cambios tecnológicos, negocios, y los requisitos de los empleados.

En la mayoría de las redes que usan computadoras Windows, Active Directory se configura con los dominios en un servidor
Windows. Las computadoras con Windows se unen al dominio. El administrador configura una política de seguridad de
dominio que se aplica a todas las computadoras que se unen al dominio. Las políticas de cuentas se configuran
automáticamente cuando un usuario inicia sesión en una computadora que es miembro de un dominio. La herramienta
Directiva de seguridad local de Windows, que se ve en la figura, se puede utilizar para las computadoras independientes
que no forman parte de un dominio de Active Directory. Para abrir el applet Directiva de seguridad local, busque “directiva
de seguridad local” y haga clic en el programa.

Las pautas para crear contraseñas son un componente importante de las políticas de seguridad. Todo usuario que deba
iniciar sesión en una PC o conectarse a un recurso de red debe tener una contraseña. Las contraseñas ayudan a impedir el
robo de datos y las acciones malintencionadas. También ayudan a confirmar que el registro de eventos sea válido, ya que
garantizan que el usuario sea la persona correcta. La opción Directiva de contraseñas se encuentra debajo de Directivas de
cuenta y permite definir los criterios para las contraseñas de todos los usuarios en la computadora local.

Utilice la Directiva de bloqueo de cuenta en Directivas de cuenta para evitar los intentos de inicio de sesión forzosos. Puede
establecer la política para permitir que el usuario introduzca cinco veces un nombre de usuario o contraseña incorrectos.
Después de cinco intentos, la cuenta queda bloqueada por 30 minutos. Después de 30 minutos, la cantidad de intentos se
restablece a cero y el usuario puede intentar iniciar sesión nuevamente.

Es importante asegurar que las computadoras estén protegidas cuando los usuarios no las utilizan. Las políticas de
seguridad deben incluir una regla que exija que la PC se bloquee al activarse el protector de pantalla. Esto asegura que,
cuando el usuario se aleja de la PC durante un período breve, se active el protector de pantalla, y no pueda utilizarse la PC
hasta que el usuario inicie sesión.

Si la configuración de Directiva de seguridad local en cada computadora independiente es la misma, es necesario usar la
función de Directiva de exportación. Guarde la política con un nombre, como workstation.inf. Luego, copie el archivo de la
política a un medio de almacenamiento externo o una unidad de red para utilizarlo en otras computadoras independientes.
Esto es especialmente útil si el administrador debe configurar directivas locales extensas para los derechos de usuario y las
opciones de seguridad.

El applet Directiva de seguridad local contiene muchas otras configuraciones de seguridad que se aplican específicamente
a la computadora local. Puede configurar derechos de usuario, reglas de firewall y hasta la capacidad de limitar la cantidad
de archivos que los usuarios o grupos pueden ejecutar con AppLocker.

Windows Defender

El malware incluye virus, gusanos, troyanos, registradores de teclado, spyware y adware. Estos están diseñados para
invadir la privacidad, robar información y dañar la computadora o los datos. Es importante que proteja las computadoras y
los dispositivos móviles mediante un software antimalware reconocido. Los siguientes tipos de software antimalware se
encuentran disponibles:

 Protección antivirus: este programa monitorea continuamente en busca de virus. Cuando se detecta un virus, se
advierte al usuario y el programa intenta eliminar el virus o ponerlo en cuarentena.
 Protección contra adware: este programa busca constantemente programas que muestran anuncios publicitarios en
la computadora.
 Protección contra suplantación de identidad: este programa bloquea las direcciones IP de sitios web conocidos
por realizar suplantación de identidad y advierte al usuario acerca de sitios sospechosos.
 Protección contra spyware: este programa analiza la computadora en busca de programas que registren claves y
otro tipo de spyware.
 Fuentes confiables o no confiables: este programa le advierte si está por instalar programas inseguros o visitar
sitios web inseguros.

Es posible que deban utilizarse muchos programas distintos y que deban realizarse varios análisis para eliminar
completamente todo el software malintencionado. Ejecute solo un programa de protección contra malware a la vez.

Varias organizaciones con experiencia en seguridad, como McAfee, Symantec y Kaspersky, ofrecen protección contra
malware integral para computadoras y dispositivos móviles. Windows trae preinstalada una protección contra virus y
spyware llamada Windows Defender, que se ve en la figura. Windows Defender está activado de manera predeterminada y
proporciona protección en tiempo real contra infecciones.

Para abrir Windows Defender, búsquelo y haga clic en el programa.

Aunque Windows Defender funciona en segundo plano, es posible
realizar análisis manuales de la computadora y los dispositivos de
almacenamiento. También puede actualizar manualmente las
definiciones de virus y spyware en la pestaña Actualizar. Además, si
desea ver todos los elementos que se detectaron durante análisis
anteriores, puede hacer clic en la ficha Historial.
Firewall de Windows

Un firewall deniega selectivamente el tráfico a una PC o a un segmento de red. Los firewalls suelen actuar abriendo y
cerrando los puertos que utilizan diversas aplicaciones. Al abrir solo los puertos requeridos en un firewall, se implementa
una política de seguridad restrictiva. Se rechaza todo paquete que no esté explícitamente permitido. En cambio, una política
de seguridad permisiva permite el acceso a través de todos los puertos, excepto aquellos que estén explícitamente
denegados. En el pasado, el software y el hardware venían con una configuración permisiva. Como los usuarios no tenían
la precaución de configurar los equipos, la configuración permisiva predeterminada dejaba muchos dispositivos expuestos a
atacantes. Actualmente, si bien la mayoría de los dispositivos vienen con una configuración altamente restrictiva, permiten
una fácil configuración.

Para permitir el acceso de un programa a través del firewall de Windows, busque firewall de Windows, haga clic en el
nombre para ejecutarlo y haga clic en Permitir una aplicación o una característica a través de Firewall de Windows,
como se ve en la Figura 1.

Si desea utilizar otro firewall de software, deberá deshabilitar el Firewall de Windows. Para deshabilitar el firewall de
Windows, haga clic en Activar o desactivar Firewall de Windows.

Es posible encontrar muchos ajustes adicionales en Configuración avanzada, como se ve en la Figura 2. Aquí puede
crear reglas de tráfico entrante o saliente según diferentes criterios. También puede importar y exportar políticas o
monitorear diferentes aspectos del firewall.
Capítulo 2: Sistema operativo Windows

En este capítulo aprendieron sobre la historia y la arquitectura del sistema operativo Windows. Al día de hoy, hubo más de
40 versiones de sistemas operativos Windows para equipos de escritorio, Windows Server y Windows para dispositivos
móviles.

La HAL maneja toda la comunicación entre el hardware y el kernel. La CPU puede funcionar en dos modos independientes:
modo de kernel y modo de usuario. Las aplicaciones instaladas se ejecutan en el modo de usuario, y el código del sistema
operativo lo hace en el modo de kernel.

NTFS formatea el disco en cuatro importantes estructuras de datos:

 Sector de arranque de la partición

 Tabla maestra de archivos (Master File Table, MFT)
 Archivos del sistema
 Área de archivos

Las aplicaciones suelen estar compuestas por varios procesos. Un proceso es cualquier programa que se esté ejecutando.
Cada proceso en ejecución está compuesto por al menos un subproceso. Un subproceso es una parte del proceso que
puede ejecutarse. Algunos de los procesos que ejecuta Windows son servicios. Son programas que se ejecutan en
segundo plano para respaldar el funcionamiento del sistema operativo y de las aplicaciones.

Cada proceso en una computadora con Windows de 32 bits admite un espacio virtual de direcciones que hace posible un
máximo de cuatro gigabytes de asignación de direcciones. Cada proceso de una computadora con Windows de 64 bits
admite un espacio de direcciones virtuales de hasta 8 terabytes.

Windows almacena toda la información sobre el hardware, las aplicaciones, los usuarios y la configuración del sistema en
una extensa base de datos conocida como el Registro. El registro es una base de datos jerárquica en la que el nivel más
alto se conoce como sección. Estas son las cinco secciones del Registro de Windows:

 HKEY_CURRENT_USER (HKCU)
 HKEY_USERS (HKU)
 HKEY_CLASSES_ROOT (HKCR)
 HKEY_LOCAL_MACHINE (HKLM)
 HKEY_CURRENT_CONFIG (HKCC)
En este capítulo, también vio cómo configurar, monitorear y proteger Windows. Para hacer esto normalmente tienen que
ejecutar programas como Administrador. Como administrador, pueden crear usuarios y grupos, deshabilitar el acceso a las
cuentas de administrador e invitado, y utilizar diversas herramientas para administradores, como las siguientes:

 Todos los comandos disponibles para la CLI y para PowerShell

 La administración remota de computadoras mediante el WMI y Escritorio remoto
 Administrador de tareas y Monitor de recursos
 Configuración de red

Como administrador, también es posible usar todas las herramientas de seguridad de Windows, por ejemplo:

 El comando netstat para buscar conexiones entrantes y salientes no autorizadas

 Visor de eventos para acceder a archivos de registro que documentan el historial de eventos de aplicaciones,
seguridad y del sistema
 Configuración y programación de Windows Update
 Política de seguridad local de Windows para asegurar computadoras independientes que no forman parte de un
dominio de Active Directory
 Configuración de Windows Defender para protección integrada antivirus y antispyware
 Configuración del Firewall de Windows para afinar la configuración predeterminada

Como analistas especializados en ciberseguridad tienen que comprender los aspectos básicos del funcionamiento de
Windows y qué herramientas se pueden utilizar para preservar la seguridad de los terminales Windows.