Capítulo 

2: Sistema operativo Windows

Desde sus humildes comienzos en 1985, hace más de 30 años, el sistema operativo Windows ha visto
muchas versiones: desde Windows 1.0 a la versión de escritorio actual (Windows 10) y la versión de servidor
(Windows Server 2016). Haga clic aquí para visualizar un gráfico con una línea de tiempo de las versiones de
escritorio y servidor de Windows.

En este capítulo, se detallan algunos de los conceptos básicos de Windows, incluida la manera en que
funciona el sistema operativo y las herramientas utilizadas para proteger terminales con Windows.

Actividad de clase: Identificar procesos en ejecución

En esta práctica de laboratorio utilizarán el Visor de terminales TCP/UDP, una herramienta de la

suite Sysinternals, para identificar cualquier proceso en ejecución en su computadora.

Actividad de clase: Identificar procesos en ejecución

Sistema operativo de disco

Las primeras computadoras no tenían dispositivos de almacenamiento modernos, como discos duros,
unidades ópticas o unidades de memoria flash. Los primeros métodos de almacenamiento utilizaban tarjetas
perforadas, cinta de papel, cinta magnética y hasta casetes de audio.

El almacenamiento en disquete y disco duro requiere un software para leer, escribir y administrar los datos
que se almacenan. Un sistema operativo de disco (DOS) es un sistema operativo que la computadora utiliza a
fin de habilitar estos dispositivos de almacenamiento de datos para leer y escribir archivos. El DOS
proporciona un sistema de archivos que organiza los archivos de manera específica en el disco. MS-DOS es
un DOS creado por Microsoft. MS-DOS utiliza una línea de comandos como interfaz para que las personas
creen programas y manipulen archivos de datos, como se muestra en la figura.

Con MS-DOS, la computadora tenía conocimientos básicos sobre cómo acceder a la unidad de disco y cargar
los archivos del sistema operativo directamente desde el disco como parte del proceso de arranque. Cuando
se cargaba, MS-DOS podía tener acceso fácilmente al DOS, porque estaba incorporado en el sistema
operativo.

Las primeras versiones de Windows constaban de una interfaz gráfica de usuario (GUI) que se ejecutaba en
MS-DOS. Su primera versión fue Windows 1.0 en 1985. El sistema operativo de disco todavía controlaba la
computadora y su hardware. Un sistema operativo moderno, como Windows 10, no se considera un sistema
operativo de disco. Se basa en Windows NT, y esta sigla significa “nuevas tecnologías”. El propio sistema
operativo controla directamente la computadora y su hardware. NT es un sistema operativo compatible con
múltiples procesos de usuario. Esto es muy diferente del proceso individual de un solo usuario de MS-DOS.

Actualmente, todo lo que solía hacerse a través de la interfaz de línea de comandos de MS-DOS se puede
hacer en la GUI de Windows. Todavía es posible experimentar lo que era usar MS-DOS abriendo una ventana
de comando, pero lo que vemos ya no es MS-DOS, sino una función de Windows. Para experimentar un poco
lo que era trabajar en MS-DOS, abran una ventana de comando escribiendo cmd en la búsqueda de Windows
y presionando Entrar. Estos son algunos comandos que pueden utilizar:

 dir: permite ver una lista de todos los archivos en el directorio actual (carpeta)

 cd directorio : permite cambiar el directorio al directorio indicado

 cd.. : permite cambiar el directorio actual a su directorio superior

  cd\: permite cambiar el directorio al directorio raíz (normalmente, C:)

 copy: permite copiar archivos a otra ubicación

 del: permite eliminar uno o más archivos

 find: permite buscar texto en archivos

 mkdir: permite crear un directorio nuevo

 ren: permite cambiar el nombre de un archivo

 help: permite ver todos los comandos que pueden utilizarse con una breve descripción de cada uno

 help comando : permite ver la ayuda ampliada del comando indicado

Versiones de Windows

Desde el año 1993 hubo más de 20 versiones de Windows basadas en el sistema operativo NT. La mayoría
de estas versiones eran para uso del público general y las empresas, debido a la seguridad de los archivos
que ofrecía el sistema de archivos utilizado por el sistema operativo NT. Las empresas también adoptaron los
sistemas operativos Windows basados en NT. Esto ocurrió porque muchas ediciones se diseñaron
específicamente para estaciones de trabajo, profesionales, servidores, servidores avanzados y servidores de
centro de datos, por nombrar solamente algunas de las muchas versiones de diseño específico.

A partir de Windows XP, comenzó a estar disponible una edición de 64 bits. El sistema operativo de 64 bits
era una arquitectura totalmente nueva. Tenía un espacio para la dirección postal de 64 bits, en lugar de uno
de 32 bits. Esto no significa solamente el doble de espacio, ya que estos bits son números binarios. Mientras
que Windows de 32 bits tiene espacio para un poco menos de 4 GB de RAM, Windows de 64 bits puede
tener, teóricamente, espacio para 16,8 millones de terabytes. Cuando el sistema operativo y el hardware
admiten el funcionamiento de 64 bits, es posible usar conjuntos de datos extremadamente grandes. Estos
enormes conjuntos de datos incluyen bases de datos muy grandes, computación científica y manipulación de
video digital de alta definición con efectos especiales. En general, las computadoras y los sistemas operativos
de 64 bits son compatibles con programas más antiguos de 32 bits, pero los programas de 64 bits no pueden
ejecutarse en el hardware más antiguo de 32 bits.

Con cada nuevo lanzamiento de Windows, el sistema operativo se ha mejorado con la incorporación de más
funciones. Windows 7 se ofreció con seis ediciones diferentes y Windows 8 con cinco. Windows 10 se lanzó
¡con ocho ediciones diferentes! Cada edición no ofrece solamente capacidades diferentes, sino precios
distintos. Microsoft ha dicho que Windows 10 es la última versión de Windows, y que Windows ya no es un
sistema operativo, sino un servicio. Dicen que, en lugar de comprar nuevos sistemas operativos, los usuarios
solamente deberán actualizar Windows 10.

GUI de Windows

Windows tiene una interfaz gráfica de usuario (Graphical User Interface, GUI) para que los usuarios trabajen
con software y archivos de datos. La GUI tiene un área principal que se conoce como el escritorio y que
puede verse en la figura 1. El escritorio se puede personalizar con diferentes colores e imágenes de fondo.
Windows admite múltiples usuarios, para que cada uno pueda personalizar el escritorio a su gusto. El
escritorio puede almacenar archivos, carpetas, accesos directos a ubicaciones y programas, y aplicaciones.
Además, el escritorio tiene un icono de papelera de reciclaje, donde se almacenan los archivos cuando el
usuario los elimina. Es posible restaurar archivos desde la papelera de reciclaje o se la puede vaciar y, de
este modo, eliminarlos definitivamente.
En la parte inferior del escritorio, se encuentra la barra de tareas. La barra de tareas tiene tres áreas que se
utilizan para diferentes propósitos. A la izquierda, se encuentra el menú Inicio. Se utiliza para acceder a todos
los programas instalados, las opciones de configuración y la función de búsqueda. En el centro de la barra de
tareas, los usuarios colocan los iconos de inicio rápido que ejecutan programas específicos o abren
determinadas carpetas cuando se hace clic en ellos. Finalmente, a la derecha de la barra de tareas, se
encuentra el área de notificación. El área de notificación permite ver, a simple vista, la funcionalidad de una
serie de programas y características diferentes. Por ejemplo, un icono de un sobre parpadeando puede indicar
un correo electrónico nuevo, o un icono de red con una “x” roja puede indicar un problema con la red.

A menudo, al hacer clic derecho sobre un icono se presentan funciones adicionales que pueden utilizarse.
Esta lista se conoce como menú contextual y puede verse en la figura 2. Existen menús contextuales para los
iconos en el área de notificación y también para los iconos de inicio rápido, los iconos de configuración del
sistema y para los archivos y carpetas. El menú contextual permite tener acceso a muchas de las funciones
más utilizadas con apenas un clic. Por ejemplo, el menú contextual para un archivo contendrá elementos
como copiar, eliminar, compartir e imprimir. Para abrir carpetas y manipular archivos, Windows utiliza el
explorador de archivos de Windows.

El explorador de archivos de Windows, que también se ve en la figura 2, es una herramienta usada para
navegar por todo el sistema de archivos de una computadora, lo que incluye numerosos dispositivos de
almacenamiento y ubicaciones de red. Con el explorador de archivos de Windows, puede crear fácilmente
carpetas, copiar archivos y carpetas, y trasladarlos a diferentes dispositivos y ubicaciones. Básicamente, la
herramienta tiene dos ventanas principales. La de la izquierda permite navegar rápidamente hacia los
dispositivos de almacenamiento, las carpetas principales y las subcarpetas. La de la derecha permite ver el
contenido de la ubicación seleccionada en el panel izquierdo.

Vulnerabilidades en el sistema operativo

Los sistemas operativos consisten en millones de líneas de código. El software instalado también puede
contener millones de líneas de código. Todo este código acarrea vulnerabilidades. Una vulnerabilidad es una
imperfección o debilidad que puede ser aprovechada por un atacante para reducir la viabilidad de la
información de una computadora. Para aprovechar una vulnerabilidad de un sistema operativo, el atacante
debe utilizar una técnica o herramienta para atacarla. El atacante puede utilizar la vulnerabilidad para hacer
que la computadora actúe de una manera diferente a la prevista en su diseño. En general, el objetivo es
hacerse con el control no autorizado de la computadora, cambiar permisos o manipular datos.

Estas son algunas recomendaciones de seguridad habituales del sistema operativo Windows:

 Protección contra virus o malware: de manera predeterminada, Windows utiliza Windows Defender.
Windows Defender ofrece un conjunto de herramientas de protección incorporado en el sistema. Si
Windows Defender está desactivado, el sistema es más vulnerable a los ataques y al malware.

 Servicios desconocidos o no administrados: hay muchos servicios que se ejecutan detrás de

escena. Es importante asegurarse de que cada servicio pueda identificarse y sea seguro. Con un
servicio desconocido ejecutándose en segundo plano, la computadora puede ser vulnerable a los
ataques.

 Encriptación: cuando los datos no están encriptados, pueden recopilarse y aprovecharse con facilidad.
Esto no es solamente importante para computadoras de escritorio, sino especialmente para dispositivos
móviles.

 Política de seguridad: se debe configurar una buena política de seguridad y debe cumplirse. Muchos
ajustes en el control de la política de seguridad de Windows pueden evitar ataques.

 Firewall: de manera predeterminada, Windows utiliza Windows Firewall para limitar la comunicación con
los dispositivos de la red. Con el tiempo, es posible que las reglas ya no se apliquen. Por ejemplo,
podría dejarse abierto un puerto que ya no debe estar disponible. Es importante revisar la configuración
 del firewall periódicamente para asegurarse de que las reglas todavía estén vigentes y eliminar aquellas
que ya no lo estén.

 Permisos de archivos y de uso compartido: estos permisos deben configurarse correctamente. Es

fácil darle al grupo “Todos” el control total, pero esto les permite a todas las personas hacer lo que
deseen con todos los archivos. Es mejor otorgar a cada usuario o grupo los permisos mínimos
necesarios para todos los archivos y carpetas.

 Contraseña débil o inexistente: muchas personas eligen contraseñas débiles o no utilizan ninguna. Es
especialmente importante asegurarse de que todas las cuentas, especialmente la cuenta de
administrador, tengan una contraseña muy fuerte.

 Iniciar sesión como administrador: cuando un usuario inicia sesión como administrador, cualquier
programa que ejecute tendrá los privilegios de esa cuenta. Es mejor iniciar sesión como un usuario
estándar y utilizar solamente la contraseña de administrador para realizar determinadas tareas.

Capa de abstracción de hardware

Las computadoras con Windows utilizan muchos tipos de hardware distintos. El sistema operativo se puede
instalar en una computadora comprada o en una ensamblada desde cero. Cuando se instala el sistema
operativo, debe aislarse de las diferencias en el hardware. En la figura, se ve la arquitectura básica de
Windows. Una capa de abstracción de hardware (Hardware Abstraction Layer, HAL) es un código que maneja
toda la comunicación entre el hardware y el kernel. El kernel es el núcleo del sistema operativo y controla toda
la computadora. Se encarga de todas las solicitudes de entrada y salida, la memoria y todos los periféricos
conectados a la computadora.

En algunos casos, el núcleo todavía se comunica con el hardware directamente, por lo que no es totalmente
independiente de la HAL. La HAL también necesita el núcleo para realizar algunas funciones.

Modo usuario y modo Kernel

Una CPU puede operar en dos modos diferentes cuando la computadora tiene Windows instalado: el modo de
usuario y el modo de kernel. Las aplicaciones instaladas se ejecutan en el modo de usuario, y el código del
sistema operativo lo hace en el modo de kernel. El código que se ejecuta en el modo de núcleo tiene acceso
ilimitado al hardware subyacente y es capaz de ejecutar cualquier instrucción de la CPU. El código del modo
de núcleo también puede hacer referencia a cualquier dirección de la memoria directamente. Dado que suele
estar reservado para las funciones más confiables del sistema operativo, un error en el código que se ejecuta
en el modo de núcleo detiene el funcionamiento de toda la computadora. Por el contrario, otros programas
(como las aplicaciones de usuario) se ejecutan en modo de usuario y no tienen acceso directo a ubicaciones
de memoria o hardware. El código de modo de usuario debe pasar por el sistema operativo para tener acceso
a los recursos de hardware. Debido al aislamiento que brinda el modo de usuario, los errores en dicho modo
afectan solamente a la aplicación y es posible una recuperación. La mayoría de los programas de Windows
funcionan en el modo de usuario. Los controladores de dispositivos (elementos del software que permiten que
el sistema operativo y un dispositivo se comuniquen) pueden funcionar en modo de núcleo o de usuario,
según el controlador.

Todo el código que se ejecuta en el modo de núcleo usa el mismo espacio para la dirección postal. Los
controladores en modo de núcleo no están aislados del sistema operativo. Si se produce un error con el
controlador en el modo de núcleo y escribe en el espacio para la dirección postal incorrecto, el sistema
operativo u otro controlador del modo de núcleo podrían verse afectados negativamente. En este sentido, el
controlador podría dejar de funcionar e interrumpir el funcionamiento de todo el sistema operativo.
Cuando se ejecuta código en el modo de usuario, el núcleo le otorga su propio espacio para la dirección
postal limitado, junto con un proceso creado específicamente para la aplicación. Esto se hace, principalmente,
para evitar que las aplicaciones cambien código del sistema operativo que se esté ejecutando al mismo
tiempo. Al tener su propio proceso, la aplicación tiene su propio espacio para la dirección postal privado, lo
que impide que otras aplicaciones modifiquen sus datos. Esto también ayuda a evitar que el sistema operativo
y otras aplicaciones dejen de funcionar si se interrumpe la aplicación.

Sistemas de archivos de Windows

Un sistema de archivos determina cómo se organiza la información en los medios de almacenamiento.

Algunos sistemas de archivos pueden ser una mejor opción que otros, según el tipo de medios que se utilice.
Estos son los sistemas de archivos que admite Windows:

 Tabla de asignación de archivos (FAT): este es un sistema de archivos sencillo compatible con
muchos sistemas operativos diferentes. FAT tiene limitaciones en la cantidad de particiones y en el
tamaño de particiones y archivos que puede administrar, por lo que ya no suele utilizarse para discos
duros (HD) ni unidades de estado sólido (SSD). FAT16 y FAT32 están disponibles para usarse, y FAT32
es el más común, ya que tiene muchas menos restricciones que FAT16.

 exFAT: esta es una versión extendida de FAT que tiene incluso menos restricciones que FAT32, pero
no tiene muy buena compatibilidad fuera del ecosistema de Windows.

 Sistema de archivos jerárquico Plus (HFS+): este sistema de archivos se utiliza en computadoras
macOS X y permite nombres de archivo y tamaños de archivos y particiones mucho más prolongados
que los sistemas de archivos anteriores. Aunque no es compatible con Windows sin software
especializado, Windows es capaz de leer datos de particiones HFS+.

 Sistema de archivos extendido (EXT): este sistema de archivos se utiliza en computadoras con Linux.
Aunque no es compatible con Windows, Windows es capaz de leer datos de particiones EXT con
software especializado.

 Sistema de archivos de tecnología nueva (NTFS): este es el sistema de archivos utilizado más
comúnmente al instalar Windows. Todas las versiones de Windows y Linux admiten NTFS, mientras que
las computadoras con macOS X tienen capacidad de solo lectura. Son capaces de escribir en una
partición NTFS después de instalar controladores especiales.

NTFS es el sistema de archivos más utilizado en Windows por numerosas razones. NTFS admite archivos y
particiones muy grandes y es ampliamente compatible con otros sistemas operativos. Además, NTFS también
es muy confiable y admite funciones de recuperación. Lo más importante es que admite muchas
características de seguridad. El control de acceso de datos se logra mediante descriptores de seguridad.
Estos descriptores de seguridad contienen información de propiedad y permisos en todos los niveles hasta el
nivel de archivo. NTFS también controla muchas marcas de hora para registrar la actividad del archivo.
También llamadas MACE, las marcas de hora de modificación, acceso, creación y modificación de entrada
suelen usarse en las investigaciones forenses para determinar el historial de un archivo o carpeta. NTFS
también admite la encriptación del sistema de archivos para proteger todos los medios de almacenamiento.

Flujos de datos alternativos

NTFS almacena archivos como una serie de atributos, como ser el nombre del archivo o una marca de hora.
Los datos que contiene el archivo se almacenan en el atributo $DATA, y se conocen como flujo de datos. Con
NTFS, es posible conectar flujos de datos alternativos (ADS) al archivo. En ocasiones, las aplicaciones
aprovechan esta función para almacenar información adicional sobre el archivo. Los ADS son un factor
importante en relación con el malware. Esto se debe a que resulta sencillo ocultar datos en ADS. Un atacante
podría almacenar código malicioso dentro de ADS y otro archivo podría invocar este contenido
posteriormente.
En el sistema de archivos NTFS, un archivo con un ADS se identifica después del nombre del archivo y
separado por dos puntos; por ejemplo, Testfile.txt:ADSdata. Este nombre de archivo indica que un ADS
llamado ADSdata está asociado con el archivo denominado Testfile.txt. En la figura, se ve un ejemplo de ADS:

 El primer comando coloca el texto “Alternate Data Here” en un ADS del archivo Testfile.txt, llamado
“ADS”.

 El siguiente comando, dir, muestra que el archivo fue creado, pero no se visualiza el ADS.

 El siguiente comando muestra que hay datos en el flujo de datos de Testfile.txt:ADS.

 El último comando muestra el ADS del archivo Testfile.txt, porque se añadió la r al comando dir.

Antes de poder usar un dispositivo de almacenamiento, como un disco, se debe formatear con un sistema de
archivos. A su vez, antes de poder implementar un sistema de archivos en un dispositivo de almacenamiento,
se debe particionar dicho dispositivo. Los discos duros se dividen en áreas denominadas particiones. Cada
partición es una unidad lógica de almacenamiento que se puede formatear para almacenar información, como
archivos de datos o aplicaciones. Durante el proceso de instalación, la mayoría de los sistemas operativos
particionan y formatean automáticamente el espacio disponible de la unidad con un sistema de archivos,
como NTFS.

El formato NTFS crea estructuras importantes en el disco para almacenar archivos y tablas para registrar las
ubicaciones de los archivos:

 Sector de arranque de la partición: representa los primeros 16 sectores de la unidad y contiene la

ubicación de la tabla maestra de archivos (MFT, Master File Table). Los últimos 16 sectores contienen
una copia del sector de arranque.

 MFT: esta tabla contiene las ubicaciones de todos los archivos y directorios de la partición, incluidos los
atributos de los archivos, como la información de seguridad y las marcas de hora.

 Archivos del sistema: estos son archivos ocultos que almacenan información sobre otros volúmenes y
atributos del archivo.

 Área de archivos: el área principal de la partición donde se almacenan los archivos y directorios.

Nota: Cuando se formatea una partición, es posible que puedan recuperarse los datos anteriores, ya que no
se eliminan completamente todos los datos. Es posible examinar el espacio y recuperar archivos que puedan
poner en riesgo la seguridad. Si se va a reutilizar una unidad, se recomienda realizar un borrado seguro. El
borrado seguro escribirá datos en toda la unidad varias veces para garantizar que no queden datos anteriores.

Proceso de arranque de Windows

Ocurren muchas acciones entre el momento en que se presiona el botón de encendido de la computadora y
Windows se carga completamente, como se ve en la figura.

Existen dos tipos de firmware para computadoras: Basic Input-Output System (BIOS) y Unified Extensible
Firmware Interface (UEFI). BIOS firmware se creó a principios de la década de 1980 y funciona de la misma
manera desde entonces. A medida que las computadoras evolucionaron, BIOS firmware comenzó a tener
problemas para admitir todas las nuevas funciones que solicitaban los usuarios. UEFI se diseñó para
reemplazar el BIOS y admitir las nuevas funciones.
En BIOS firmware, el proceso comienza con la fase de inicialización del BIOS. Esto ocurre cuando se
inicializan los dispositivos de hardware y se realiza una prueba automática de encendido (POST, Power-On
Self Test) para garantizar que todos estos dispositivos se estén comunicando. La POST finaliza cuando se
detecta el disco del sistema. La última instrucción en la POST es buscar el registro principal de arranque
(MBR, Master Boot Record).

El MBR contiene un pequeño programa que se encarga de localizar y cargar el sistema operativo. La BIOS
ejecuta este código y el sistema operativo comienza a cargarse.

A diferencia de BIOS firmware, UEFI firmware tiene mucha visibilidad en el proceso de arranque. El arranque
con UEFI se realiza cargando los archivos de programa de EFI, almacenados como archivos .efi en una
partición especial del disco conocida como la partición de sistema EFI (ESP, EFI System Partition).

Nota: Una computadora que utiliza UEFI almacena código de arranque en el firmware. Esto ayuda a aumentar
la seguridad de la computadora al momento del arranque, ya que entra directamente en el modo protegido.

Después de encontrar una instalación válida de Windows, se ejecuta el archivo Bootmgr.exe en cualquier
firmware (BIOS o UEFI). Bootmgr.exe cambia el sistema del modo real al modo protegido para que pueda
usarse toda la memoria del sistema.

Bootmgr.exe lee la base de datos de configuración de arranque (Boot Configuration Database, BCD). La BCD
contiene cualquier código adicional necesario para iniciar la computadora, junto con una indicación que señala
si la computadora está saliendo de una hibernación o si es un arranque en frío. Si la computadora está
saliendo de una hibernación, el proceso de arranque continúa con Winresume.exe. Esto permite que la
computadora lea el archivo Hiberfil.sys que contiene el estado de la computadora cuando ingresó en la
hibernación.

Si se inicia la computadora con un arranque en frío, se carga el archivo Winload.exe. El archivo Winload.exe
crea un registro de la configuración de hardware en el registro. El registro es una lista de todos los ajustes, las
opciones, el hardware y el software de la computadora. Más adelante en este capítulo, se analizará en detalle
el registro. WinLoad.exe también utiliza la firma de código del modo de núcleo (KMCS, Kernel Mode Code
Signing) para asegurarse de que todos los controladores estén firmados digitalmente. Esto garantiza que los
controladores son seguros para cargarlos al iniciar la computadora.

Después de que se analizan los controladores, Winload.exe ejecuta Ntoskrnl.exe, que arranca el núcleo de
Windows y configura la HAL. Finalmente, Session Manager Subsystem (SMSS) lee el registro para crear el
entorno de usuario, iniciar el servicio de Winlogon y preparar el escritorio de cada usuario a medida que
inician sesión.

Inicio y apagado de Windows

Hay dos elementos importantes del registro que se utilizan para iniciar automáticamente aplicaciones y
servicios:

• HKEY_LOCAL_MACHINE: muchos aspectos de la configuración de Windows se almacenan en esta clave,

incluida la información sobre los servicios que se inician con cada arranque.

• HKEY_CURRENT_USER: muchos aspectos relacionados con el usuario que inicia sesión se almacenan en
esta clave, incluida la información sobre los servicios que se inician solamente cuando el usuario inicia sesión
en la computadora.

La presencia de entradas diferentes en estas ubicaciones del registro definen qué servicios y aplicaciones se
iniciarán, según lo que indiquen sus tipos de entrada. Estos tipos son Run, RunOnce, RunServices,
RunServicesOnce y Userinit. Estas entradas pueden introducirse manualmente en el registro, pero es mucho
más seguro utilizar la herramienta Msconfig.exe. Esta herramienta se utiliza para ver y cambiar todas las
opciones de inicio de la computadora. Use el cuadro de búsqueda para encontrar y abrir la herramienta
Msconfig.
Hay cinco fichas que contienen las opciones de configuración:

• General: aquí es posible elegir tres tipos de inicio diferentes. “Normal” carga todos los controladores y
servicios. “Con diagnóstico” carga solamente los servicios y controladores básicos. “Selectivo” le permite al
usuario elegir qué cargar en el inicio. La ficha General puede verse en la Figura 1.

• Arranque: aquí es posible elegir cualquier sistema operativo instalado para el inicio. También hay opciones
para el arranque a prueba de errores, que se utiliza para solucionar problemas de inicio. La ficha Arranque
puede verse en la Figura 2.

• Servicios: aquí se enumeran todos los servicios instalados para decidir cuáles se iniciarán durante el
arranque. La ficha Servicios puede verse en la Figura 3.

• Inicio: todas las aplicaciones y servicios que están configurados para iniciarse automáticamente en el
arranque pueden habilitarse o deshabilitarse abriendo el administrador de tareas desde esta ficha. La ficha
Inicio puede verse en la Figura 4.

• Herramientas: muchas herramientas comunes del sistema operativo pueden ejecutarse directamente desde
esta ficha. La ficha Herramientas puede verse en la Figura 5.

Apagar

Siempre es mejor cerrar correctamente la computadora que apagarla. Los archivos que quedan abiertos, los
servicios que se cierran de manera desordenada y las aplicaciones que se bloquean pueden sufrir daños si se
apaga la computadora sin informar primero al sistema operativo. La computadora necesita tiempo para cerrar
cada aplicación, apagar cada servicio y registrar cualquier cambio de configuración antes de interrumpir la
alimentación.

Durante el apagado, la computadora cierra primero las aplicaciones del modo de usuario y, luego, los
procesos de modo de núcleo. Si un proceso del modo de usuario no responde durante una cierta cantidad de
tiempo, el sistema operativo muestra una notificación y permite que el usuario espere a que la aplicación
responda o fuerce la finalización del proceso. Si un proceso en el modo de núcleo no responde, parecerá que
el apagado se detuvo y es posible que sea necesario apagar la computadora con el botón de encendido.

Hay varias maneras de apagar una computadora con Windows: las opciones de energía del menú Inicio, el
comando shutdownde la línea de comandos, y presionar juntas las teclas Ctrl+Alt+Supr para hacer clic en el
icono de encendido. Hay tres opciones diferentes para elegir al apagar la computadora: Apagar (la
computadora se apaga), Reiniciar (la computadora se reinicia) e Hibernar (se registra el estado actual de la
computadora y el entorno del usuario y se almacenan estos datos en un archivo). La hibernación le permite al
usuario continuar su trabajo rápidamente justo desde donde lo dejó, con todos sus archivos y programas aún
abiertos.

Procesos, subprocesos y servicios

Una aplicación de Windows se compone de procesos. La aplicación puede tener uno o varios procesos
exclusivos. Un proceso es cualquier programa que se esté ejecutando. Cada proceso en ejecución está
compuesto de, al menos, un subproceso. Un subproceso es una parte del proceso que puede ejecutarse. El
procesador realiza los cálculos en el subproceso. Para configurar los procesos de Windows, busque el
Administrador de tareas. En la Figura 1, se ve la ficha Procesos del Administrador de tareas.

Todos los subprocesos exclusivos de un proceso están incluidos en el mismo espacio para la dirección postal.
Esto significa que estos subprocesos no pueden tener acceso al espacio para la dirección postal de ningún
otro proceso. Esto evita el daño de otros procesos. Debido a que Windows realiza múltiples tareas
simultáneamente, es posible ejecutar varios subprocesos al mismo tiempo. La cantidad de subprocesos que
se pueden ejecutar al mismo tiempo depende de la cantidad de procesadores que tenga la computadora.

Algunos de los procesos que ejecuta Windows son servicios. Son programas que se ejecutan en
segundo plano para respaldar el funcionamiento del sistema operativo y de las aplicaciones. Pueden
configurarse para iniciarse automáticamente cuando Windows arranca o es posible iniciarlos manualmente.
También pueden detenerse, reiniciarse o deshabilitarse. Los servicios proporcionan funcionalidades de
duración prolongada, como la conexión inalámbrica o el acceso a un servidor FTP. Para configurar los
servicios de Windows, busque “servicios”. El applet de Servicios del panel de control de Windows se ve en la
Figura 2. Tenga mucho cuidado al manipular la configuración de estos servicios. Algunos programas
dependen de uno o más servicios para funcionar correctamente. Deshabilitar un servicio puede afectar
negativamente otras aplicaciones o servicios.

Asignación de la memoria e identificadores

Una computadora funciona almacenando las instrucciones en la memoria RAM hasta que la CPU las procesa.
El espacio para la dirección postal virtual de un proceso es el conjunto de direcciones virtuales que puede
utilizar el proceso. La dirección virtual no es la ubicación física real en la memoria, sino una entrada en una
tabla de página que se utiliza para traducir la dirección virtual a una dirección física.

Cada proceso en una computadora con Windows de 32 bits admite un espacio para la dirección postal virtual
que hace posible manipular hasta 4 GB. Cada proceso en una computadora con Windows de 64 bits admite
un espacio para la dirección postal virtual de 8 TB.

Cada proceso de espacio del usuario se ejecuta en un espacio para la dirección postal privado, separado de
otros procesos de espacio del usuario. Cuando el proceso de espacio del usuario necesita tener acceso a los
recursos del núcleo, debe utilizar un identificador de procesos. Esto se debe a que el proceso de espacio del
usuario no puede tener acceso directo a estos recursos del núcleo. El identificador de procesos brinda el
acceso que necesita el proceso de espacio del usuario sin conectarse directamente.

Una de las herramientas más eficaces para ver la asignación de memoria es RAMMap de Sysinternals, que se
ve en la figura. Haga clic aquí para descargar RAMMap y obtener más información al respecto.

El registro de Windows

Windows almacena toda la información sobre el hardware, las aplicaciones, los usuarios y la configuración del
sistema en una extensa base de datos conocida como el Registro. Las maneras en que interactúan estos
objetos también se registran, por ejemplo, qué archivos abre una aplicación y todos los detalles de propiedad
de carpetas y aplicaciones. El registro es una base de datos jerárquica donde el nivel más alto se conoce
como subárbol, debajo están las claves y, luego, las subclaves. Los valores, que almacenan datos, se
guardan en las claves y subclaves. La clave de registro puede tener hasta 512 niveles de profundidad.

Estas son las cinco secciones del Registro de Windows:

 HKEY_CURRENT_USER (HKCU): contiene datos sobre el usuario con una sesión iniciada
actualmente.

 HKEY_USERS (HKU): contiene datos sobre todas las cuentas de usuario en el host.

 HKEY_CLASSES_ROOT (HKCR): contiene datos sobre los registros de vinculación e integración de

objetos (OLE).

 HKEY_LOCAL_MACHINE (HKLM): contiene datos relacionados con el sistema.

 HKEY_CURRENT_CONFIG (HKCC): contiene datos sobre el perfil de hardware actual.

No es posible crear nuevos subárboles. Las claves y los valores de registro en los subárboles pueden crearse,
modificarse o eliminarse usando una cuenta con privilegios de administrador. Como se ve en la figura, se
utiliza la herramienta regedit.exe para modificar el registro. Se debe tener mucho cuidado al usar esta
herramienta. Cambios mínimos en el registro podrían tener consecuencias sustanciales o hasta catastróficas.
La navegación por el registro es muy similar a la del explorador de archivos de Windows. El panel izquierdo
sirve para navegar por los subárboles y las estructuras subyacentes, y el panel derecho sirve para ver el
contenido del elemento resaltado en el panel izquierdo. Con tantas claves y subclaves, la ruta de la clave
puede resultar muy prolongada. La ruta aparece en la parte inferior de la ventana como referencia. Dado que
cada clave y subclave es, en definitiva, un contenedor, la ruta se representa como una carpeta en un sistema
de archivos. La barra invertida (\) se utiliza para diferenciar la jerarquía de la base de datos.

Las claves de registro pueden contener una subclave o un valor. Estos son los distintos valores que pueden
contener las claves:

 REG_BINARY: números o valores booleanos

 REG_DWORD: números superiores a 32 bits o datos sin procesar

 REG_SZ: valores de cadena

Debido a que el registro mantiene casi toda la información del usuario y del sistema operativo, es fundamental
asegurarse de no ponerlo en riesgo. Las aplicaciones potencialmente maliciosas pueden agregar claves de
registro para que se inicien cuando se inicia la computadora. Durante un arranque normal, el usuario no verá
el programa iniciarse porque la entrada está en el registro y la aplicación no muestra ninguna ventana ni
indicio de inicio durante el arranque de la computadora. Un registro de clave, por ejemplo, sería devastador
para la seguridad de una computadora si iniciara el arranque sin el conocimiento ni consentimiento del
usuario. Cuando se realizan auditorías normales de seguridad o se corrige un sistema infectado, se deben
revisar las ubicaciones de inicio de la aplicación en el registro para asegurarse de que cada elemento sea
conocido y seguro de ejecutar.

El registro también contiene la actividad que realiza un usuario durante el uso diario habitual de la
computadora. Esto abarca el historial de los dispositivos de hardware, incluidos todos los dispositivos que se
han conectado a la computadora con el nombre, el fabricante y el número de serie. En el registro, también se
almacena otra información, como los documentos que un usuario y un programa abrieron, dónde se
encuentran y cuando se tuvo acceso a ellos. Esto resulta muy útil durante la ejecución de una investigación
forense.

Práctica de laboratorio: Explorar procesos, subprocesos, controles y el

registro de Windows

En esta práctica de laboratorio, explorarán los procesos, subprocesos y identificadores usando el Explorador
de procesos de SysInternals. También utilizarán el Registro de Windows para cambiar un ajuste.

Práctica de laboratorio: Explorar procesos, subprocesos, controles y el registro de Windows

Ejecutar como administrador

Como mejor práctica de seguridad, no es recomendable iniciar sesión en Windows utilizando la cuenta de
administrador o una cuenta con privilegios administrativos. Esto se debe a que cualquier programa que se
ejecute cuando inicie sesión con esos privilegios los heredará. El malware con privilegios administrativos tiene
acceso completo a todos los archivos y carpetas en la computadora.

En ocasiones es necesario ejecutar o instalar software que requiere los privilegios de un Administrador. Para
lograr esto, hay dos diferentes formas de realizar la instalación:

 Ejecutar como administrador: haga clic con el botón secundario del mouse en el comando del
explorador de archivos de Windows y seleccione Ejecutar como administrador en el menú contextual,
como se ve en la Figura 1.
  Petición de ingreso de comando de administrador: busque comando, haga clic con el botón
secundario en el archivo ejecutable y seleccione Ejecutar como administrador en el menú contextual,
como se ve en la Figura 2. Cada comando que se ejecute desde esta línea de comando se
implementará con privilegios de administrador, incluida la instalación de software.

Usuarios y dominios locales

Cuando se inicia una nueva computadora por primera vez, o al instalar Windows, el sistema solicita la
creación de una cuenta de usuario. Esta se conoce como “usuario local”. Esta cuenta contiene todos los
ajustes de personalización, los permisos de acceso, las ubicaciones de archivos y muchos otros datos
específicos del usuario. Hay también otras dos cuentas: de invitado y de administrador. Ambas están
deshabilitadas de manera predeterminada.

Como una mejor práctica de seguridad, no debe habilitarse la cuenta de administrador ni otorgarles privilegios
administrativos a los usuarios estándar. Si un usuario necesita realizar cualquier función que requiera
privilegios administrativos, el sistema solicitará la contraseña de administrador y permitirá realizar como
administrador solamente la tarea específica. Con la contraseña de administrador, se protege la computadora
al evitar que cualquier software no autorizado instale o ejecute los archivos, o tenga acceso a ellos.

No debe habilitarse la cuenta de invitado. La cuenta de invitado no tiene una contraseña, ya que se crea
cuando una computadora será utilizada por muchas personas diferentes que no tienen cuentas propias. Cada
vez que se inicia sesión con la cuenta de invitado, se proporciona un entorno predeterminado con privilegios
limitados.

Para facilitar la administración de usuarios, Windows utiliza grupos. Un grupo tendrá un nombre y un conjunto
específico de permisos asociados con él. Cuando se coloca a un usuario en un grupo, los permisos de ese
grupo se le otorgan a ese usuario. Se puede colocar a un usuario en varios grupos con muchos permisos
diferentes. Cuando se superponen los permisos, algunos de ellos (como “denegar explícitamente”) anulan los
permisos otorgados por otro grupo. Hay muchos grupos de usuarios integrados en Windows que se utilizan
para realizar tareas específicas. Por ejemplo, el grupo de usuarios del registro de rendimiento les permite a los
miembros programar el registro de contadores de rendimiento y recopilar registros de manera local o remota.
Los grupos y usuarios locales se administran con el applet lusrmgr.msc del panel de control, como se ve en la
figura.

Además de grupos, Windows también puede utilizar dominios para establecer permisos. Un dominio es un tipo
de servicio de red en el que todos los usuarios, grupos, computadoras, periféricos y ajustes de seguridad se
almacenan en una base de datos, que también los controla. Esta base de datos se almacena en
computadoras o grupos de computadoras especiales que se denominan controladores de dominio (DC,
Domain Controller). Cada usuario y computadora en el dominio deben autenticarse con el DC para iniciar
sesión y tener acceso a los recursos de red. El DC establece la configuración de seguridad para cada usuario
y cada computadora en cada sesión. Cualquier ajuste suministrado por el DC se aplica de manera
predeterminada en la configuración de cuenta de usuario o computadora local.

CLI y PowerShell

La interfaz de línea de comandos (Command Line Interface, CLI) de Windows se puede utilizar para ejecutar
programas, navegar por el sistema de archivos y administrar archivos y carpetas. Además, pueden crearse
archivos denominados archivos por lotes para ejecutar varios comandos seguidos, algo muy parecido a un
script básico. Para abrir la CLI de Windows, se debe buscar cmd.exe y hacer clic en el programa. Es
necesario recordar que hacer clic derecho el programa ofrece la opción de ejecutar como administrador, lo
que les otorga mucho más poder a los comandos que se utilizarán.

El indicador permite ver la ubicación actual en el sistema de archivos. Estas son algunas sugerencias para
recordar cuando se usa la CLI:

 De manera predeterminada, los nombres y rutas de archivo no distinguen entre mayúsculas y

minúsculas.
  A los dispositivos de almacenamiento se les asigna una letra de referencia. La letra, seguida de una
barra invertida (\), indica la raíz del dispositivo. La jerarquía de carpetas y archivos en el dispositivo se
indica usando la separación con la barra invertida. Por ejemplo, C:\Usuarios\Jim\Escritorio\archivo.txt es
el archivo denominado archivo.txt en la carpeta Escritorio, dentro de la carpeta Jim y en el interior de la
carpeta Usuarios del dispositivo C:.

 Los comandos que tienen cambios opcionales utilizan la barra diagonal (/) para delimitar entre el
comando y cada cambio.

 Es posible utilizar la tecla de tabulación para completar automáticamente los comandos cuando se hace
referencia a archivos o directorios.

 Windows guarda un historial de los comandos que se introdujeron durante una sesión de la CLI. Se
puede tener acceso a comandos del historial con las teclas de flecha hacia arriba y abajo.

 Para cambiar entre dispositivos de almacenamiento, escriba la letra del dispositivo seguida de dos
puntos y presione Entrar.

A pesar de que la CLI tiene muchos comandos y características, no puede trabajar en conjunto con el núcleo
de Windows o la GUI. Se puede utilizar otro entorno, llamado Windows PowerShell, para crear script con el fin
de automatizar tareas que la CLI común no puede crear. PowerShell también proporciona una CLI para iniciar
comandos. PowerShell es un programa integrado en Windows que se puede abrir buscando la palabra
powershell y haciendo clic en el programa. Como la CLI, PowerShell también se puede ejecutar con privilegios
de administrador.

Estos son los tipos de comandos que puede ejecutar PowerShell:

 cmdlets: estos comandos realizan una acción y envían un resultado u objeto al siguiente comando que
se ejecutará.

 Scripts de PowerShell: estos son archivos con una extensión .ps1 que contienen comandos de
PowerShell que se ejecutan.

 Funciones de PowerShell: estas son fragmentos de código a los que se puede hacer referencia en un
script.

Para obtener más información sobre Windows PowerShell y comenzar a usarlo, escriba ayudaen PowerShell,
como se ve en la figura. Obtendrá mucha más información y recursos para empezar a utilizar PowerShell.

Hay cuatro niveles de ayuda de Windows PowerShell:

 get-help comando de PS : permite ver la ayuda básica de un comando

 get-help comando de PS [-examples]: permite ver la ayuda básica de un comando con ejemplos

 get-help comando de PS [-detailed]: permite ver la ayuda detallada de un comando con ejemplos

 get-help comando de PS [-full]: permite ver toda la información de ayuda de un comando con ejemplos
más detallados

Windows Management Instrumentation
Windows Management Instrumentation (WMI) se utiliza para administrar computadoras remotas. Puede
recuperar información sobre componentes de la computadora, brindar estadísticas de hardware y software, y
monitorear el estado de computadoras remotas. Es posible abrir el control WMI buscando “administración de
equipos”, haciendo clic con el botón secundario en Control WMI debajo de Servicios y aplicaciones, y
seleccionando Propiedades. La ventana Propiedades de Control WMI se ve en la figura.

Estas son las cuatro fichas en la ventana Propiedades de Control WMI:

 General: resumen de información sobre la computadora local y WMI

 Copia de seguridad y/o restauración: permite realizar la copia de respaldo manual de las estadísticas
recopiladas por WMI

 Seguridad: ajustes para configurar quién tiene acceso a las diferentes estadísticas de WMI

 Opciones avanzadas: ajustes para configurar el espacio de nombres predeterminado para WMI

Actualmente, algunos ataques utilizan WMI para conectarse con sistemas remotos, modificar el registro y
ejecutar comandos. WMI ayuda a los atacantes a evitar la detección porque el tráfico es común, los
dispositivos de seguridad de red suelen confiar y los comandos de WMI remotos no suelen dejar rastro en el
host remoto. Debido a esto, el acceso a WMI debe limitarse al máximo.

El comando net

Windows tiene muchos comandos que se pueden introducir en la línea de comando. Un comando importante
es el comando net, que se usa en la administración y el mantenimiento del sistema operativo. El
comando net puede ir seguido de muchos otros comandos, que pueden combinarse con cambios para
concentrarse en resultados específicos.

Para ver una lista de los numerosos comandos net, escriba net help en la petición de ingreso de comando.
En la figura, se ven los comandos que el comando net puede utilizar. Para ver ayuda detallada sobre
cualquiera de los comandos net, escriba el comando net help comando.

Los siguientes son algunos comandos de red comunes:

 net accounts: define los requisitos de contraseñas e inicio de sesión para los usuarios

 net session: enumera las sesiones entre una computadora y otras computadoras de la red o las
desconecta

 net share: crea, elimina o administra recursos compartidos

 net start: inicia un servicio de red o enumera los servicios de red en ejecución

 net stop: detiene un servicio de red

 net use: conecta, desconecta los recursos de red compartidos, y permite ver información sobre ellos

 net view: permite ver una lista de computadoras y dispositivos de red en la red

Administrador de tareas y Monitor de recursos

Hay dos herramientas muy importantes y útiles para ayudar a un administrador a entender la enorme y
variada cantidad de aplicaciones, servicios y procesos que se ejecutan en una computadora con Windows.
Estas herramientas también proporcionan información sobre el rendimiento de la computadora, como el uso
de CPU, memoria y red. Estas herramientas son especialmente útiles al investigar un problema donde hay
sospechas de malware. Cuando un componente no está funcionando de la manera en que debería, estas
herramientas pueden utilizarse para determinar cuál puede ser el problema.

Administrador de tareas

El Administrador de tareas (Figura 1) ofrece mucha información sobre lo que se está ejecutando y el
rendimiento general de la computadora. Hay siete fichas en el Administrador de tareas:

 Procesos: aquí aparecen todos los programas y procesos que se están ejecutando actualmente. En las
columnas, se ve el uso de CPU, memoria, disco y red de cada proceso. Puede examinar las
propiedades de cualquiera de estos procesos, o terminar un proceso que no está funcionando
adecuadamente o se ha detenido.

 Rendimiento: una vista de todas las estadísticas de rendimiento proporciona un panorama útil del
desempeño de la CPU, la memoria, el disco y la red. Al hacer clic en cada elemento en el panel
izquierdo, se ven las estadísticas detalladas de dicho elemento en el panel derecho.

 Historial de aplicaciones: el uso que cada aplicación hace de los recursos a lo largo del tiempo
proporciona información sobre aplicaciones que consumen más recursos de los que deberían. Haga clic
en Opciones y Mostrar historial de todos los procesos para ver el historial de cada proceso que se
ha ejecutado desde que se inició la computadora.

 Inicio: en esta ficha, se ven todas las aplicaciones y servicios que se inician durante el arranque de la
computadora. Para impedir que un programa se inicie durante el arranque, haga clic con el botón
secundario en el programa y elija Deshabilitar.

 Usuarios: en esta ficha, se ven todos los usuarios que han iniciado sesión en la computadora. También
se ven todos los recursos que utilizan los procesos y las aplicaciones de cada usuario. Desde esta ficha,
un administrador puede desconectar a un usuario de la computadora.

 Detalles: de manera similar a la ficha Procesos, esta ficha proporciona opciones de administración
adicionales, por ejemplo, establecer prioridades para que el procesador le dedique más o menos tiempo
a un proceso. También es posible establecer afinidad con la CPU, lo que define qué núcleo o CPU
utilizará un programa. También, una función útil denominada Analizar cadena de espera permite ver qué
procesos esperan a otros. Esta característica ayuda a determinar si un proceso está en espera o está
interrumpido.

 Servicios: en esta ficha, se muestran todos los servicios cargados. También aparecen la identificación
del proceso (PID, Process ID) y una breve descripción junto con el estado del proceso (En ejecución o
Detenido). En la parte inferior, hay un botón para abrir la consola de servicios y tener acceso a
funciones adicionales de administración de los servicios.

Monitor de recursos

Cuando se necesita información más detallada sobre el uso de recursos, es posible utilizar el Monitor de
recursos (Figura 2). Si la computadora se comporta de manera extraña, el Monitor de recursos puede ayudar
a encontrar el origen del problema. El Monitor de recursos tiene cinco fichas:

 Información general: en esta ficha, se ve el uso general de cada recurso. Si se selecciona un proceso
individual, se filtrará en todas las pestañas para mostrar solamente las estadísticas de dicho proceso.

 CPU: en esta ficha, se visualizan la PID, la cantidad de subprocesos, qué CPU usa el proceso, y el uso
promedio que cada proceso tiene de la CPU. Si se expanden las filas inferiores, es posible ver
 información adicional sobre cualquier servicio que el proceso utilice, y los identificadores y módulos
asociados.

 Memoria: en esta ficha, se ve toda la información estadística sobre la manera en que cada proceso
utiliza la memoria. También, es posible ver un panorama del uso de toda la memoria RAM debajo de la
fila Procesos.

 Disco: en esta ficha, se ven todos los procesos que utilizan un disco, con las estadísticas de lectura y
escritura y un panorama general de cada dispositivo de almacenamiento.

 Red: en esta ficha, se ven todos los procesos que utilizan la red con las estadísticas de lectura y
escritura correspondientes. Lo más importante es poder ver las conexiones actuales de TCP, junto con
todos los puertos de escucha. Esta ficha resulta muy útil cuando se intenta determinar qué aplicaciones
y procesos se comunican usando la red. Permite observar si un proceso no autorizado tiene acceso a la
red y escucha una comunicación, y cuál es la dirección con la que se está comunicando.

Redes

Una de las características más importantes de cualquier sistema operativo es la capacidad de la computadora
de conectarse a una red. Sin esta característica, no hay acceso a los recursos de red o a Internet. Para
configurar las propiedades de redes de Windows y probar la configuración de redes, se utiliza el Centro de
redes y recursos compartidos que se ve en la Figura 1. La manera más sencilla de ejecutar esta herramienta
es buscarla y hacer clic en ella.

En la vista inicial, se ve un panorama general de la red activa. Esta vista permite ver si hay acceso a Internet y
si la red es privada, pública o para invitados. También se ve el tipo de red (por cable o inalámbrica). Desde
esta ventana, es posible ver el Grupo Hogar al que pertenece la computadora o crear uno si todavía no forma
parte de uno. Esta herramienta también puede usarse para cambiar la configuración del adaptador o la
configuración de uso compartido avanzado, establecer una nueva conexión o solucionar problemas.

Para configurar un adaptador de red, es necesario seleccionar Cambiar configuración del adaptador a fin
de ver todas las conexiones de red que están disponibles. Luego, haga clic con el botón secundario en el
adaptador que desee configurar y seleccione Propiedades, como se ve en la Figura 2. En el cuadro Esta
conexión usa los siguientes elementos:, seleccione Protocolo de Internet versión 4
(TCP/IPv4) o Protocolo de Internet versión 6 (TCP/IPv6), según la versión que prefiera utilizar (Figura 3).
Haga clic en Propiedadespara configurar el adaptador.

En el cuadro de diálogo Propiedades (Figura 4), puede optar por Obtener una dirección

automáticamente si hay un servidor DHCP disponible en la red. Si desea configurar la dirección
manualmente, puede completar la dirección, subred, puerta de enlace predeterminada y los servidores DNS
para configurar el adaptador. Haga clic en Aceptarpara aplicar los cambios.

También puede usar la herramienta netsh.exepara configurar los parámetros de red desde una petición de
ingreso de comando. Este programa permite ver y modificar la configuración de red. Escriba netsh /? en la
petición de ingreso de comando para ver una lista de todos los modificadores que puede utilizar con este
comando.

Una vez finalizada la configuración de red, hay algunos comandos básicos que pueden utilizarse para probar
la conectividad a la red local y a Internet. La prueba más básica se realiza con el comando ping. Para probar
el adaptador, escriba ping 127.0.0.1 en la petición de ingreso de comando, como se ve en la Figura 5. Esto
permitirá ver si el adaptador es capaz de enviar y recibir datos. También permite confirmar que el conjunto de
protocolo TCP/IP está instalado correctamente en la computadora. La dirección 127.0.0.1 se conoce como
dirección de loopback.

Luego, haga ping a cualquier host de la red. Si no conoce ninguna dirección IP de otros hosts en la red, puede
hacer ping a la puerta de enlace predeterminada. Para encontrar la dirección de la puerta de enlace
predeterminada, escriba ipconfig en la petición de ingreso de comando, como se ve en la Figura 6. Este
comando arrojará información básica de la red, incluidas la dirección IP del host, la máscara de subred y la
puerta de enlace predeterminada. También puede hacer ping a hosts de otras redes conectadas para
asegurarse de que dispone de conectividad a esas redes. El comando ipconfig tiene muchos modificadores
que son útiles para solucionar problemas de red. Escriba ipconfig /? para ver una lista de todos los
modificadores que puede utilizar con este comando.

Cuando se ejecuta el comando ping, se envían cuatro mensajes de solicitud echo de ICMP a la dirección IP
indicada. Si no hay respuesta, es posible que la configuración de red tenga un problema. También es posible
que el host previsto bloquee las solicitudes de eco de ICMP. En este caso, intente hacer ping a un host
diferente en la red. Habitualmente, hay cuatro respuestas a las solicitudes, en las que se evidencia el tamaño
de cada solicitud, el tiempo que tardó en llegar y el tiempo de duración (TTL, Time To Live). El TTL es la
cantidad de saltos que un paquete realiza en el camino a su destino.

También se debe probar el sistema de nombres de dominio (DNS), ya que se utiliza muy a menudo para
encontrar la dirección de los hosts traduciéndola a partir de un nombre. Use el comando nslookup para probar
el DNS. Escriba nslookup cisco.com en la petición de ingreso de comando para encontrar la dirección del
servidor web de Cisco. Si se devuelve la dirección, significa que el DNS funciona correctamente. También es
posible comprobar qué puertos están abiertos, donde están conectados y cuál es su estado actual.
Escriba netstat en la línea de comando para ver los detalles de las conexiones de red activas, como se ve en
la Figura 7. Más adelante en este capítulo, el comando netstat se analizará en más detalle.

Acceso a los recursos de red

Al igual que otros sistemas operativos, Windows utiliza una red para varias aplicaciones diferentes, como web,
correo electrónico y servicios de archivo. Microsoft ayudó en el desarrollo del protocolo bloque de mensajes
del servidor (SMB, Server Message Block), originalmente diseñado por IBM, para compartir recursos de red.
Principalmente, SMB se utiliza para tener acceso a archivos de hosts remotos. Para conectar recursos, se
utiliza el formato de convención de nomenclatura universal (UNC, Universal Naming Convention), por ejemplo:

\\servername\sharename\file

En la UNC, servername es el servidor que aloja el recurso. Puede ser un nombre de DNS, un nombre de
NetBIOS o, simplemente, una dirección IP. El elemento sharename corresponde a la raíz de la carpeta del
sistema de archivos en el host remoto, mientras que file es el recurso que el host local intenta encontrar. Es
posible que el archivo se encuentre en un nivel más profundo en el sistema de archivos, y es necesario indicar
esta jerarquía.

Al compartir recursos en la red, se deberá identificar el área del sistema de archivos que se compartirá. Es
posible aplicar el control de acceso a las carpetas y archivos para limitar a usuarios y grupos a funciones
específicas, tales como leer, escribir o denegar. Windows también crea recursos compartidos especiales
automáticamente. Estos recursos compartidos se denominan recursos compartidos administrativos. Un
recurso compartido administrativo se identifica con el signo de dólar ($) que aparece después de su nombre.
Cada volumen de disco tiene un recurso compartido administrativo, representado por la letra de volumen y el
signo $ (por ejemplo, C$, D$ o E$). La carpeta de instalación de Windows se comparte como admin$, la
carpeta de impresoras se comparte como print$, y hay otros recursos compartidos administrativos que se
pueden conectar. Solamente los usuarios con privilegios administrativos pueden acceder a estos recursos
compartidos.

La manera más sencilla de conectarse a un recurso compartido es escribir su UNC en el explorador de

archivos de Windows, en el cuadro en la parte superior de la pantalla, donde se ve la ruta de navegación de la
ubicación actual del sistema de archivos. Cuando Windows intenta conectarse al recurso compartido, solicita
las credenciales para tener acceso a los recursos. Recuerde que, dado que el recurso está en una
computadora remota, las credenciales deben ser las de la computadora remota, no las de la computadora
local.

Además de tener acceso a recursos compartidos en hosts remotos, es posible iniciar sesión en un host
remoto y manipular la computadora como si fuese local, realizar cambios en la configuración, instalar software
o solucionar un problema. En Windows, esta función se conoce como Protocolo de escritorio remoto (RDP,
Remote Desktop Protocol). Al investigar incidentes de seguridad, un analista de seguridad suele usar el RDP
para tener acceso a computadoras remotas. Para iniciar el RDP y conectarse a una computadora remota,
busque “escritorio remoto” y haga clic en la aplicación. En la figura, se ve la ventana Conexión a escritorio
remoto.

Windows Server

La mayoría de las instalaciones de Windows se realizan como instalaciones de escritorio en computadoras

portátiles y de escritorio. En centros de datos se utiliza principalmente otra versión de
Windows: Windows Server. Se trata de una familia de productos de Microsoft que empezó con Windows
Server 2003. Hoy en día, la versión más reciente es Windows Server 2016. Windows Server aloja muchos
servicios diferentes y puede cumplir diferentes roles dentro de una empresa.

Nota: Aunque hay un Windows Server 2000, se considera una versión de cliente de Windows NT 5.0.
Windows Server 2003 es un servidor basado en NT 5.2 y es el precursor de una nueva familia de versiones
de Windows Server.

Estos son algunos de los servicios que aloja Windows Server:

 Servicios de red: DNS, DHCP, Terminal Services, controladora de red y virtualización de red en Hyper-
V

 Servicios de archivo: SMB, NFS y DFS

 Servicios web: FTP, HTTP y HTTPS

 Administración: política de grupo y control de servicios de dominio de Active Directory

Práctica de laboratorio: Crear cuentas de usuario

En esta práctica de laboratorio crearán y modificarán cuentas de usuario en Windows.

Práctica de laboratorio: Crear cuentas de usuario

Práctica de laboratorio: Utilizar Windows PowerShell

El objetivo de esta práctica de laboratorio es estudiar algunas de las funciones de PowerShell.

Práctica de laboratorio: Utilizar Windows PowerShell

Práctica de laboratorio: Administrador de tareas de Windows

En esta práctica de laboratorio, explorará el Administrador de tareas y administrará procesos desde allí.

Práctica de laboratorio: Administrador de tareas de Windows

Práctica de laboratorio: Monitorear y administrar recursos del sistema en

Windows
En esta práctica de laboratorio, utilizará herramientas administrativas para controlar y administrar los recursos
del sistema.

Práctica de laboratorio: Monitorear y administrar recursos del sistema en Windows

El comando netstat

Cuando hay malware en una computadora, suele abrir puertos de comunicación en el host para enviar y
recibir datos. El comando netstat puede usarse para buscar conexiones entrantes o salientes no autorizadas.
Cuando se usa solo, el comando netstat permite ver todas las conexiones de TCP activas disponibles.

Al analizar estas conexiones, es posible determinar cuál de los programas está activado para escuchar
conexiones no autorizadas. Cuando se cree que un programa puede ser malware, se puede investigar un
poco para determinar su legitimidad. Después, el proceso se puede deshabilitar con el Administrador de
tareas y es posible usar software de eliminación de malware para limpiar la computadora.

Para facilitar este proceso, es posible vincular las conexiones con los procesos en ejecución en el
Administrador de tareas. Para hacerlo, abra una petición de ingreso de comando con privilegios
administrativos y use el comando netstat -abno, como se ve en la figura.

Al examinar las conexiones de TCP activas, un analista debe ser capaz de determinar si hay programas
sospechosos que escuchan conexiones entrantes en el host. También es posible rastrear este proceso hasta
el Administrador de tareas de Windows y cancelarlo. Puede haber más de un proceso con el mismo nombre.
Si este es el caso, observe el PID para encontrar el proceso correcto. Cada proceso que se ejecuta en la
computadora tiene un PID único. Para ver los PID de los procesos en el Administrador de tareas, ábralo, haga
clic con el botón secundario en el encabezado de la tabla y seleccione PID.

2.2.2.2 Visor de eventos

El Visor de eventos de Windows registra el historial de eventos del sistema, de aplicaciones y de seguridad.
Estos archivos de registro constituyen una valiosa herramienta de resolución de problemas, debido a que
proporcionan información necesaria para identificar un problema. Para abrir el Visor de eventos, búsquelo y
haga clic en el icono del programa.

Windows incluye dos categorías de registros de eventos: registros de Windows y registros de aplicaciones y
servicios. Cada una de estas categorías tiene varios tipos de registros. Los eventos que aparecen en estos
registros tienen un nivel: información, advertencia, error o crítico. También tienen la fecha y hora en que se
produjo el evento, junto con su origen y un identificador relacionado con el tipo de evento.

También es posible crear una vista personalizada. Esto resulta útil para buscar determinados tipos de
eventos, encontrar eventos que sucedieron durante un período específico, visualizar eventos de un
determinado nivel, y muchos otros criterios. Hay una vista personalizada incorporada que se denomina
Eventos administrativos e incluye todos los eventos críticos, de error y de advertencia de todos los registros
administrativos. Esta vista es un buen lugar para empezar cuando se intenta resolver un problema.

Administración de actualizaciones de Windows

Ningún software es perfecto, y el sistema operativo Windows no es la excepción. Los atacantes están ideando
siempre nuevas maneras de poner en riesgo computadoras y usar código malicioso. Algunos de estos
ataques llegan tan rápido que no hay manera de defenderse. Son los llamados ataques de día cero. Los
desarrolladores de software de Microsoft y de seguridad intentan constantemente adelantarse a los atacantes,
pero no siempre lo logran. Para garantizar el máximo nivel de protección contra estos ataques, siempre es
necesario asegurarse de que Windows esté actualizado con los paquetes de servicio y parches de seguridad
más recientes.

Los parches son actualizaciones de códigos que proporcionan los fabricantes para evitar que un virus o
gusano recientemente descubierto logre atacar con éxito. Periódicamente, los fabricantes combinan parches y
actualizaciones en una aplicación de actualización integral denominada paquete de servicios. Numerosos
ataques de virus devastadores podrían haber sido mucho menos graves si más usuarios hubieran descargado
e instalado el último paquete de servicios.

Windows verifica sistemáticamente el sitio web de Windows Update en busca de actualizaciones de alta
prioridad que ayuden a proteger una computadora de las amenazas de seguridad más recientes. Estas
actualizaciones incluyen actualizaciones de seguridad, actualizaciones críticas y paquetes de servicios. Según
la configuración seleccionada, Windows descarga e instala automáticamente todas las actualizaciones de alta
prioridad que la PC necesita, o notifica al usuario que dichas actualizaciones están disponibles. Para
configurar los ajustes de actualización de Windows, busque Windows Update y haga clic en la aplicación.

El estado de las actualizaciones, que se ve en la figura, le permite buscar actualizaciones manualmente y ver
el historial de actualización de la computadora. También hay opciones para no permitir que la computadora se
reinicie en determinados horarios, por ejemplo, durante el horario laboral. Además, es posible elegir cuándo
reiniciar la computadora después de una actualización con las opciones de reinicio (si es necesario). Por otro
lado, hay opciones avanzadas para decidir cómo se instalan las actualizaciones y cómo obtener
actualizaciones para otros productos de Microsoft.

Política de seguridad local

Una política de seguridad es un conjunto de objetivos de seguridad que garantiza la seguridad de una red, los
datos y los sistemas informáticos en una organización. La directiva de seguridad es un documento en
constante evolución según los cambios tecnológicos, negocios, y los requisitos de los empleados.

En la mayoría de las redes que usan computadoras Windows, Active Directory se configura con los dominios
en un servidor Windows. Las computadoras con Windows se unen al dominio. El administrador configura una
política de seguridad de dominio que se aplica a todas las computadoras que se unen al dominio. Las políticas
de cuentas se configuran automáticamente cuando un usuario inicia sesión en una computadora que es
miembro de un dominio. La herramienta Directiva de seguridad local de Windows, que se ve en la figura, se
puede utilizar para las computadoras independientes que no forman parte de un dominio de Active Directory.
Para abrir el applet Directiva de seguridad local, busque “directiva de seguridad local” y haga clic en el
programa.

Las pautas para crear contraseñas son un componente importante de las políticas de seguridad. Todo usuario
que deba iniciar sesión en una PC o conectarse a un recurso de red debe tener una contraseña. Las
contraseñas ayudan a impedir el robo de datos y las acciones malintencionadas. También ayudan a confirmar
que el registro de eventos sea válido, ya que garantizan que el usuario sea la persona correcta. La opción
Directiva de contraseñas se encuentra debajo de Directivas de cuenta y permite definir los criterios para las
contraseñas de todos los usuarios en la computadora local.

Utilice la Directiva de bloqueo de cuenta en Directivas de cuenta para evitar los intentos de inicio de sesión
forzosos. Puede establecer la política para permitir que el usuario introduzca cinco veces un nombre de
usuario o contraseña incorrectos. Después de cinco intentos, la cuenta queda bloqueada por 30 minutos.
Después de 30 minutos, la cantidad de intentos se restablece a cero y el usuario puede intentar iniciar sesión
nuevamente.

Es importante asegurar que las computadoras estén protegidas cuando los usuarios no las utilizan. Las
políticas de seguridad deben incluir una regla que exija que la PC se bloquee al activarse el protector de
pantalla. Esto asegura que, cuando el usuario se aleja de la PC durante un período breve, se active el
protector de pantalla, y no pueda utilizarse la PC hasta que el usuario inicie sesión.

Si la configuración de Directiva de seguridad local en cada computadora independiente es la misma, es

necesario usar la función de Directiva de exportación. Guarde la política con un nombre, como workstation.inf.
Luego, copie el archivo de la política a un medio de almacenamiento externo o una unidad de red para
utilizarlo en otras computadoras independientes. Esto es especialmente útil si el administrador debe configurar
directivas locales extensas para los derechos de usuario y las opciones de seguridad.

El applet Directiva de seguridad local contiene muchas otras configuraciones de seguridad que se aplican
específicamente a la computadora local. Puede configurar derechos de usuario, reglas de firewall y hasta la
capacidad de limitar la cantidad de archivos que los usuarios o grupos pueden ejecutar con AppLocker.

Windows Defender

El malware incluye virus, gusanos, troyanos, registradores de teclado, spyware y adware. Estos están
diseñados para invadir la privacidad, robar información y dañar la computadora o los datos. Es importante que
proteja las computadoras y los dispositivos móviles mediante un software antimalware reconocido. Los
siguientes tipos de software antimalware se encuentran disponibles:

 Protección antivirus: este programa monitorea continuamente en busca de virus. Cuando se detecta
un virus, se advierte al usuario y el programa intenta eliminar el virus o ponerlo en cuarentena.

 Protección contra adware: este programa busca constantemente programas que muestran anuncios
publicitarios en la computadora.

 Protección contra suplantación de identidad: este programa bloquea las direcciones IP de sitios web
conocidos por realizar suplantación de identidad y advierte al usuario acerca de sitios sospechosos.

 Protección contra spyware: este programa analiza la computadora en busca de programas que
registren claves y otro tipo de spyware.

 Fuentes confiables o no confiables: este programa le advierte si está por instalar programas
inseguros o visitar sitios web inseguros.

Es posible que deban utilizarse muchos programas distintos y que deban realizarse varios análisis para
eliminar completamente todo el software malintencionado. Ejecute solo un programa de protección contra
malware a la vez.

Varias organizaciones con experiencia en seguridad, como McAfee, Symantec y Kaspersky, ofrecen
protección contra malware integral para computadoras y dispositivos móviles. Windows trae preinstalada una
protección contra virus y spyware llamada Windows Defender, que se ve en la figura. Windows Defender está
activado de manera predeterminada y proporciona protección en tiempo real contra infecciones.

Para abrir Windows Defender, búsquelo y haga clic en el programa. Aunque Windows Defender funciona en
segundo plano, es posible realizar análisis manuales de la computadora y los dispositivos de almacenamiento.
También puede actualizar manualmente las definiciones de virus y spyware en la pestaña Actualizar.
Además, si desea ver todos los elementos que se detectaron durante análisis anteriores, puede hacer clic en
la ficha Historial.

Firewall de Windows

Un firewall deniega selectivamente el tráfico a una PC o a un segmento de red. Los firewalls suelen actuar
abriendo y cerrando los puertos que utilizan diversas aplicaciones. Al abrir solo los puertos requeridos en un
firewall, se implementa una política de seguridad restrictiva. Se rechaza todo paquete que no esté
explícitamente permitido. En cambio, una política de seguridad permisiva permite el acceso a través de todos
los puertos, excepto aquellos que estén explícitamente denegados. En el pasado, el software y el hardware
venían con una configuración permisiva. Como los usuarios no tenían la precaución de configurar los equipos,
la configuración permisiva predeterminada dejaba muchos dispositivos expuestos a atacantes. Actualmente, si
bien la mayoría de los dispositivos vienen con una configuración altamente restrictiva, permiten una fácil
configuración.

Para permitir el acceso de un programa a través del firewall de Windows, busque firewall de Windows, haga
clic en el nombre para ejecutarlo y haga clic en Permitir una aplicación o una característica a través de
Firewall de Windows, como se ve en la Figura 1.

Si desea utilizar otro firewall de software, deberá deshabilitar el Firewall de Windows. Para deshabilitar el
firewall de Windows, haga clic en Activar o desactivar Firewall de Windows.

Es posible encontrar muchos ajustes adicionales en Configuración avanzada, como se ve en la Figura 2.

Aquí puede crear reglas de tráfico entrante o saliente según diferentes criterios. También puede importar y
exportar políticas o monitorear diferentes aspectos del firewall.

Capítulo 2: Sistema operativo Windows

En este capítulo aprendieron sobre la historia y la arquitectura del sistema operativo Windows. Al día de hoy,
hubo más de 40 versiones de sistemas operativos Windows para equipos de escritorio, Windows Server y
Windows para dispositivos móviles.

La HAL maneja toda la comunicación entre el hardware y el kernel. La CPU puede funcionar en dos modos
independientes: modo de kernel y modo de usuario. Las aplicaciones instaladas se ejecutan en el modo de
usuario, y el código del sistema operativo lo hace en el modo de kernel.

NTFS formatea el disco en cuatro importantes estructuras de datos:

 Sector de arranque de la partición

 Tabla maestra de archivos (Master File Table, MFT)

 Archivos del sistema

 Área de archivos

Las aplicaciones generalmente están compuestas por muchos procesos. Un proceso es cualquier programa
que se esté ejecutando. Cada proceso en ejecución está compuesto por al menos un subproceso. Un
subproceso es una parte del proceso que puede ejecutarse. Algunos de los procesos que ejecuta Windows
son servicios. Son programas que se ejecutan en segundo plano para respaldar el funcionamiento del sistema
operativo y de las aplicaciones.

Cada proceso en una computadora con Windows de 32 bits admite un espacio virtual de direcciones que hace
posible un máximo de cuatro gigabytes de asignación de direcciones. Cada proceso en una computadora con
Windows de 64 bits admite un espacio virtual de direcciones de hasta ocho terabytes.

Windows almacena toda la información sobre el hardware, las aplicaciones, los usuarios y la configuración del
sistema en una extensa base de datos conocida como el Registro. El registro es una base de datos jerárquica
en la que el nivel más alto se conoce como sección. Estas son las cinco secciones del Registro de Windows:

 HKEY_CURRENT_USER (HKCU)

 HKEY_USERS (HKU)
  HKEY_CLASSES_ROOT (HKCR)

 HKEY_LOCAL_MACHINE (HKLM)

 HKEY_CURRENT_CONFIG (HKCC)

En este capítulo también aprendieron a configurar, monitorear y preservar la seguridad de Windows. Para
hacer esto normalmente tienen que ejecutar programas como Administrador. Como administrador, pueden
crear usuarios y grupos, deshabilitar el acceso a las cuentas de administrador e invitado, y utilizar diversas
herramientas para administradores, como las siguientes:

 Todos los comandos disponibles para la CLI y para PowerShell

 Administración de computadoras remotas utilizando WMI y escritorio remoto

 Administrador de tareas y Monitor de recursos

 Configuración de red

Como administrador, también es posible usar todas las herramientas de seguridad de Windows, por ejemplo:

 El comando netstat para buscar conexiones entrantes y salientes no autorizadas

 Visor de eventos para acceder a archivos de registro que documentan el historial de eventos de
aplicaciones, seguridad y del sistema

 Configuración y programación de Windows Update

 Política de seguridad local de Windows para asegurar computadoras independientes que no forman
parte de un dominio de Active Directory

 Configuración de Windows Defender para protección integrada antivirus y antispyware

 Configuración del Firewall de Windows para afinar la configuración predeterminada

Como analistas especializados en ciberseguridad tienen que comprender los aspectos básicos del
funcionamiento de Windows y qué herramientas se pueden utilizar para preservar la seguridad de los
terminales Windows.