portafolio unidad 2.pdf
TRANSCRIPT
Portafolio de evidencias unidad 2
taller de sistemas operativos Mendoza Sánchez Juan
Hora: 12:00-13:00 hrs
Software propietario. Se refiere a cualquier programa informático en
el que los usuarios tienen limitadas las posibilidades de usarlo,
modificarlo o redistribuirlo (con o sin modificaciones), o cuyo código
fuente no está disponible o el acceso a éste se encuentra restringido
2.1.- Características del software propietario
Para la Fundación para el Software Libre (FSF) este concepto se aplica
a cualquier software que no es libre o que sólo lo es parcialmente, sea
porque su uso, redistribución o modificación está prohibida, o requiere
permiso expreso del titular del software.
Definición: Cualquier programa informático en el que el usuario tiene
limitaciones para usarlo, modificarlo o redistribuirlo (esto último con
o sin modificaciones).
Para la Fundación para el Software Libre (FSF) este concepto se aplica
a cualquier software que no es libre o que sólo lo es parcialmente
(semilibre), sea porque su uso, redistribución o modificación está
prohibida, o requiere permiso expreso del titular del software.
Características:
-Facilidad de adquisición (puede venir preinstalado con la compra del
pc, o encontrarlo fácilmente en las tiendas).
- Existencia de programas diseñados específicamente para desarrollar
una tarea.
- Las empresas que desarrollan este tipo de software son por lo general
grandes y pueden dedicar muchos recursos, sobretodo económicos, en el
desarrollo e investigación.
- Interfaces gráficas mejor diseñadas.
- Más compatibilidad en el terreno de multimedia y juegos.
- Mayor compatibilidad con el hardware.
- No existen aplicaciones para todas las plataformas (Windows y Mac
OS).
- Imposibilidad de copia.
- Imposibilidad de modifación.
- Restricciones en el uso (marcadas por la licencia).
- Imposibilidad de redistribución.
- Por lo general suelen ser menos seguras.
- El coste de las aplicaciones es mayor.
- El soporte de la aplicación es exclusivo del propietario.
- El usuario que adquiere software propietario depende al 100% de la
empresa propietaria.
2.2.- Características de instalación para servidores
2.2.1.- Instalación
Instalar Windows Server 2008 se ha vuelto bastante sencillo,
siguiendo los pasos siguientes vamos a comentar algunos aspectos:
El primer paso es escoger configuraciones como idioma, país, moneda, …
El segundo paso es el tema de la clave de licencia, si no introducimos
ninguna clave se nos abre la ventana 3 en la cual podemos escoger qué
edición de Windows Server 2008queremos instalar. Hay que tener en cuenta
que la versión a instalar tiene que corresponder con la posterior
entrada de la licencia. El tercer paso corresponde a la ventana 4, donde
si estamos instalando el Windows Server 2008 sobre otro sistema
operativo, entonces tendremos las dos opciones habilitadas (Updgrade o
Custom), si por el contrario es una nueva instalación sólo tendremos
habilitado la opción de Custom. El cuarto paso es instalar el sistema,
tener paciencia y todo habrá acabado una vez reiniciado el ordenador.
Una vez reiniciado la máquina se nos presenta la ventana para
identificarnos, durante el proceso de instalación hemos tenido que
configurar estos datos. Cuando estamos identificados se nos abre el
componente Initial Configuration Tasks, una de las mejoras que lleva
el Windows Server 2008.
Windows Initial Configuration Tasks
En esta ventana podemos configurar todos aquellos aspectos que nos
quedan pendientes como: networking, computer name and domain, updating,
y más.
Es extremadamente aconsejable que el primer paso a realizar sea la
actualización del Windows Server 2008 para instalar las mejoras, se
debe de clicar en el botón “Download and instal updates”.
El mismo libro aconseja a los usuarios de fortalecer sus defensas
delante intrusos como virus, troyanos, malwares, gusanos,… mediante la
compra de un firewall (marcas como Juniper y D-LINK tienen estos
productos a un precio muy económico).
Entendiendo el product activation
Vamos a intentar explicar con un poco más de detalle cómo se gestiona
la activación del producto en Windows Server 2008.
La activación del producto es un sistema antipiratería, como muy bien
sabréis todos. En esencia, cuando se instala un Windows Server 2008 en
una máquina con una licencia concreta, es creada una clave hash única
para cada instalación que sale de un algoritmo secreto de Windows pero
que se basa en datos del hardware de la máquina y en la licencia del
software. Este hash es enviado a Microsoft para que lo valide y active
el producto. La activación de la licencia podría dar error en dos casos:
se está instalando 1 licencia en varios ordenadores o bien ha habido un
cambio en el hardware del ordenador que implique un cambio en el hash
de activación.
Igual que en la mayoría de productos Microsoft, se tiene un periodo de
gracia de 30 días para activar la licencia, si transcurre este tiempo
y no se ha activado el producto, éste no nos permitirá la entrada al
sistema una vez nos loguemos en el ordenador.
Existen dos tipos de licenciamiento para Windows Server 2008: una
licencia para una máquina (parecido a OEM pero con algunos matices) y
licencias distribuidas. Este último tipo de licenciamiento se gestiona
con la herramienta Volume Activation 2.0 permitiendo activar máquinas
individuales en una red con una licencia gestionada centralmente. Esta
gestión de red se hace con la herramienta Key Management Service (KMS).
Una vez entendido el proceso, a”grosso modo”, de instalación de Windows
Server 2008, vamos a hablar de cómo realizar el despliegue. En este
apartado vamos a hablar de:
- Windows Imaging format
- Windows PE
- Windows Deployment Services
Windows Imaging Format (WIM)
Windows Vista fue el primero en introducir el Windows Imaging Format,
una manera de crear imágenes de sistemas operativos con un formato de
hardware independiente. WIM permite la creación de múltiple imágenes en
un fichero WIM. La principal mejora de los formatos WIM es la habilidad
de editar imágenes offline usando herramientas externas de gestión como
Internet Explorer, se pueden añadir ficheros y carpetas a la imagen, y
realizar muchas más gestiones complejas. Lo mejor de todo es que para
cada cambio no es necesario crear una imagen nueva.
Windows PE (Windows Pre Environment)
Windows PE es un entorno de ejecución diseñado como asistente para la
instalación de sistemas operativos. Este nuevo formato es mucho más
visual y sencillo de usar, y contiene muchas herramientas adicionales
para configurar.
Windows Deployment Services (WDS)
Es la evolución de la herramienta Remote Installation Services (RIS),
que permite gestionar la instalación de sistemas operativos a través de
la red. Los principales cambios entre Windows Deployment Services y el
antiguo RIS son:
- La habilidad de desplegar Windows Vista y Windows Server
2008 frente la simpleza de sistemas operativos antiguos.
- Windows PE puede ser usado como sistema operativo de arranque
- Soporte para despliegues de WIM
- Transmitir datos e imágenes usando la función multicast, de
forma más escalable y eficiente
- Mejoras en PXE server (Preboot Executation Environment)
- Nuevo formato del menú de arranque, fácil de usar y fácil de
configurar
- Una consola que ayuda a gestionar el WDS servers en tu red
Siguiendo con el tema de WDS, existen 2 tipos de WDS server que se
pueden crear: un transport server y un deployment server. El transport
server sólo ofrece los servicios de networking del núcleo, no ofrece
todas las funcionalidades de WDS. El deployment server ofrece todo el
WDS, incluyendo el transport server components.
Los principales requerimientos para poder instalar Windows Deployment
Services son:
- Tener una máquina con Windows Server 2008 dentro de un
dominio
- Tener DHCP funcionando en la red
- Tener una arquitectura DNS correcta
- Tener una partición de disco en formato NTFS
- Tener una cuenta de usuario que sea usuario del dominio y
usuario administrador en el servidor que corra WDS
Para poder instalar WDS sólo se tiene que ir a “Server Manager” clicar
en “Add Roles” y seleccionar Windows Deployment Services.
Para poder configurar el WDS existe una línea de comandos llamada
WDSUTIL y un componente gráfico que a continuación mostraremos los pasos
de configuración:
En el primer paso seleccionamos de la lista de roles WDS para instalarlo.
El segundo paso se nos muestra una explicación de WDS, le damos a
siguiente. El tercer paso es seleccionar qué tipo de rol de WDS queremos
instalar, como hemos explicado antes la mejor opción es marcar los dos.
El cuarto paso se abre la ventana de Wizard para instalar el WDS, que
nos guiará con los siguientes pasos:
El quinto paso es seleccionar la localización de la carpeta donde
guardaremos la imagen que vamos a distribuir a los clientes. Recordar
que esta carpeta debe de estar en una partición con formato NTFS,
también se recomienda que esta partición no contenga ficheros de windows
para un mejor funcionamiento. El sexto paso es configurar el PXE Server,
en este paso se nos pregunta cómo queremos gestionar las peticiones de
nuevos ordenadores en el Active Directory. En este ejemplo no se
responde a ningún cliente de forma automática, se gestionará
manualmente. El séptimo paso se nos indica que todo ha ido bien y que
queremos añadir imágenes al WDS. En el séptimo paso debemos añadir las
imágenes de arranque, ya sean las creadas con PXE y gestionada con
Windows PE o bien imágenes desde dispositivos como CD o DVD. Debemos
navegar por las carpetas hasta seleccionar la imagen, clicamos con botón
derecho sobre la carpeta y seleccionamos ADD BOOT IMAGE. Seleccionamos
un nombre para la imagen y la cargamos en el WDS Server, en la carpeta
compartida, listo ya para desplegar esta imagen en la red.
2.2.2 .- Configuración En esta demostración de configuración de Server procederemos a hacer
las configuraciones típicas iniciales dejando la posibilidad de seguir
administrando a través de interfaz gráfica.
A los efectos demostrativos, cuento con la instalación de un Windows
Server 2008 como controlador de dominio y un Server Core ya instalado
el cual será configurado como servidor miembro en el dominio.
El controlador de dominio tiene la siguiente configuración:
· Sistema Operativo: Windows Server 2008 – Enterprise Edition –
x86
· Dirección IP / Máscara de subred: 192.168.1.200 / 24
· Nombre de dominio: Contoso.msft
· Nombre del equipo: DC1.contoso.msft
Voy a presuponer es que recién lo hemos instalado y solamente hemos
puesto una contraseña a la cuenta Administrador, y por lo tanto hemos
iniciado sesión.
Lo único a tener en cuenta es que como es normal en Windows 2008, la
contraseña debe tener por los menos siete caracteres, no incluir parte
o nombre del propio usuario y contener tres clases de caracteres (entre
mayúsculas, minúsculas, números y símbolos).
¿Y ahora? Hay que reconocerlo muchos administradores de red actualmente
no están acostumbrados a manejarse a través de la línea de comandos, y
por las dudas para el que todavía no lo tenga claro, eso NO es DOS J
La configuración inicial de Core Server es un equipo con un nombre
generado aleatoriamente, configuración de TCP/IP a través de DHCP, y
como si fuera poco con el Firewall activo. Podemos ver esto ejecutando:
IPCONFIG /ALL
Configuración de Red
En nuestro caso asignaré los siguientes parámetros:
Dirección IP: 192.168.1.101
Máscara de Subred: 255.255.255.0
DNS Server: 192.168.1.200
Puerta de Enlace: 192.168.1.1
Para esto ejecutaremos:
NETSH INTERFACE IPV4 SET ADDRESS NAME=”Local Area Connection”
SOURCE=STATIC 192.168.1.101 255.255.255.0 192.168.1.1
NETSH INTERFACE IPV4 ADD DNSSERVER NAME=”Local Area Connection”
ADDRESS=192.168.1.200
También lo podemos verificar con:
NETSH INTERFACE IPV4 SHOW CONFIG
Configuración de Nombre de Máquina
En este ejemplo, renombraré el equipo con el nombre: CS-01
NETDOM RENAMECOMPUTER %COMPUTERNAME% /NEWNAME:CS-01
Se observa que estoy aprovechando el uso de la variable de entorno
%computername% para no tener que ingresar el nombre generado por la
instalación
Para que el cambio surta efecto debemos reiniciar la máquina. Aunque se
puede hacer pulsando CTRL+ALT+DEL y eligiendo reiniciar, para ir
familiarizándonos con el intérprete de comandos lo haré con:
SHUTDWON /R /T 0
Configuración de Formato de Fecha y Hora
Esto lo haremos con:
CONTROL INTL.CPL
Configuración de Zona Horaria
Esto lo haremos con:
CONTROL TIMEDATE.CPL
Configuración de Windows Update
Para configurar Windows Update debemos ejecutar un script que está en
\Windows\System32 así que opté por cambiarme a dicha carpeta con:
CD \WINDOWS\SYSTEM32
Y ejecutamos el script con:
CSCRIPT SCREGEDIT.WSF /AU 4
Con “/AU 1” se deshabilitan
Con esto podemos tener algún problema si para salir a Internet es
obligatorio configurar la dirección de un Proxy.
Podemos solucionarlo, por lo menos en parte, ya que se puede asignar
una dirección de Proxy, lo que no se puede es usar autenticación.
Para asignar un proxy ejecutaremos:
NETSH WINHTTP SET PROXY <proxyserver:port>
Activación de la Instalación
Como en todas las instalaciones de Windows Server 2008 disponemos
inicialmente de un período de gracia para usar la instalación sin
introducir la Clave de Activación y sin activarlo.
Para ver y configurar estas opciones se utiliza el script SLMGR.VBS que
si lo ejecutamos sin parámetros nos mostrará todas las opciones
disponibles
Verificamos con: SLMGR.VBS -dlv o SLMGR.VBS
-xpr
Introducimos la clave con: SLMGR.VBS –ipk <product-key>
Y activamos con: SLMGR.VBS -ato
Para prolongar la evaluación: SLMGR.VBS -rearm
Unir la Máquina al Dominio
Para esto debemos ejecutar:
NETDOM JOIN CS-01 /DOMAIN:CONTOSO.MSFT /USERD:ADMINISTRATOR
/PASSWORDD:*
Y reiniciamos la máquina
Editar Archivos de Texto
El Notepad existe!!!
Modificando el Registro
Y también podemos modificar el Registro en forma gráfica, para todos
los “trucos” que conozcamos
Para los que Desean Investigar
Para todo aquel que conozca y le guste ver qué se puede hacer desde
línea de comando le sugiero moverse a la carpeta Windows y usando el
conocido DIR, ver qué encuentran en busca de ejecutables y scripts. Por
ejemplo:
DIR *.EXE /S /P
Configuración para Administración Gráfica-Remota
Como primera opción permitiremos la administración remota del Firewall
(Cortafuegos) y luego la administración remota con Consola (MMC.EXE) ya
que ambas serán necesarias ahora o a futuro.
De todas formas, como comenté algunas cosas las tendremos que hacer
desde línea de comandos, como por ejemplo Agregar/Quitar Roles y
Features, o promocionarlo a Controlador de Dominio.
Permitir Administración Remota del Firewall (Cortafuegos)
Para permitir la administración remota desde interfaz gráfica del
Firewall debemos ejecutar:
NETSH ADVFIREWALL SET CURRENTPROFILE SETTINGS RemoteManagement ENABLE
Permitir Administración Remota Mediante Consolas
Para administración remota con consolas MMC, utilizamos:
NETSH ADVFIREWALL FIREWALL SET RULE GROUP=”Remote Administration” NEW
ENABLE=YES
Administración Remota y Gráfica
Desde otra máquina del dominio he creado una consola MMC cargando dos
Snap-In típicos, el que permite administración del Firewall y la
administración de la máquina. Se pueden cargar los complementos que
crean más convenientes para su situación.
Agregar/Quitar Roles y Features
Aunque tengamos la administración remota por consola MMC habilitada,
aún hay configuraciones que se deben hacer desde línea de comandos.
Entre otras, lo que sea agregar o quitar Roles y Features lo debemos
hacer por línea de comandos.
Un comando que nos resultará particularmente útil, aunque ahora no lo
parezca es poder listar los Roles y Features instalados o no. Lo podemos
hacer simplemente con:
OCLIST
Para agregar componentes alcanza con usar OCSETUP y el nombre de lo que
deseamos agregar. Es importante tener en cuenta que el nombre del
componente es sensible a mayúsculas-minúsculas, por lo que la salida
del comando OCLIST tiene importancia.
OCSETUP <Componente-a-Agregar>
Para quitar un componente es:
OCSETUP <Componente-a-Quitar> /Uninstall
A partir de tener el componente instalado, podemos usar remotamente una
consola MMC para hacer la administración del mismo.
Algunos Comandos Útiles
Revisar en cada caso: <comando> /?
Informativos del Sistema SYSTEMINFO
MSINFO32
SET
WHOAMI
HOSTNAME
Administrar Grupos y Usuarios NET GROUP
NET LOCALGROUP
NET ACCOUNTS
NET USER
Configuración de Servicios y
Procesos
SC …
NET STOP
NET START
NET PAUSE
TASKLIST
TASKKILL
TASKMGR
Administración de Discos DISKPART
FORMAT
DEFRAG
CONVERT
Manejo de Permisos ICACLS
NET SHARE
TAKEOWN
Group Policies GPUPDATE
GPRESULT
Llegados a este punto hemos podido hacer una configuración básica de
Server, con la posibilidad de administrarlo remotamente con la conocida
interfaz gráfica.
2.3.- Administración de recursos
2.3.1.- Tipos de recursos
-Hardware
Impresoras
Memoria Ram
Procesador
Almacenamiento
-Software
Programas
2.3.2.- Administración de los recursos
El Administrador de recursos del sistema de Windows para el sistema
operativo Windows Server® 2008 R2 permite administrar el uso del
procesador y la memoria del servidor con directivas de recursos estándar
o personalizadas. La administración de los recursos le puede ayudar a
garantizar que todos los servicios que proporciona un único servidor
estén disponibles de forma equivalente o que los recursos para
aplicaciones, servicios o usuarios de alta prioridad están siempre
disponibles.
El Administrador de recursos del sistema de Windows solo administra los
recursos del procesador cuando la carga combinada del procesador es
superior al 70 por ciento. Esto significa que no limita de forma activa
los recursos que puede utilizar cada consumidor cuando la carga del
procesador es baja. En caso de contención para los recursos de
procesador, las directivas de asignación de recursos ayudan a garantizar
la disponibilidad mínima de los recursos según el perfil de
administración definido.
Características del Administrador de recursos del
sistema de Windows
El Administrador de recursos del sistema de Windows se puede utilizar
para lo siguiente:
Administrar los recursos del sistema (procesador y memoria) con
directivas pre configuradas, o crear directivas personalizadas que
asignen recursos por procesos, por usuarios, por sesiones de Servicios
de Escritorio remoto o por grupos de aplicaciones de Internet
Information Services (IIS).
Utilizar reglas de calendario para aplicar directivas distintas
en momentos distintos sin intervención manual y sin modificar la
configuración.
Seleccionar automáticamente directivas de recursos basadas en
propiedades de servidor y eventos (como eventos de clúster o
condiciones), o bien en modificaciones de la memoria física instalada
o del número de procesadores.
Recopilar datos de utilización de recursos localmente o en una
base de datos SQL personalizada. Los datos de utilización de recursos
de varios servidores se pueden consolidar en un solo equipo que ejecute
el Administrador de recursos del sistema de Windows.
Crear un grupo de equipos para facilitar la organización de los
servidores que desea administrar. Las directivas de un grupo entero
de equipos se pueden exportar o modificar fácilmente.
Ventajas de la administración de recursos
Puesto que Windows Server 2008 R2 está diseñado para ofrecer el máximo
posible de recursos a las tareas que no dependen del sistema operativo,
un servidor que ejecuta un solo rol normalmente no requiere la
administración de recursos. No obstante, cuando hay instalados varios
servicios y aplicaciones en un solo servidor, éstos no tienen en cuenta
los demás procesos. Normalmente, una aplicación o un servicio no
administrados utilizan todos los recursos disponibles para completar
una tarea. Por lo tanto, es importante utilizar una herramienta como el
Administrador de recursos del sistema de Windows para administrar los
recursos del sistema en los servidores multipropósito. La utilización
del Administrador de recursos del sistema de Windows supone dos ventajas
clave:
Se pueden ejecutar más servicios en un solo servidor porque se
puede mejorar la disponibilidad de los servicios mediante recursos
administrados de forma dinámica.
Los usuarios o administradores del sistema de máxima prioridad
pueden obtener acceso al sistema incluso en los momentos de máxima
carga de los recursos.
Métodos de la administración de recursos
El Administrador de recursos del sistema de Windows incluye cinco
directivas de administración de recursos integradas que se pueden usar
para implementar rápidamente la administración. Además, se pueden crear
directivas de administración de recursos personalizadas adaptadas a sus
necesidades.
Directivas de administración de recursos integradas
Para habilitar directivas de administración de recursos integradas,
seleccione el tipo de directiva que se desea utilizar. No es necesario
realizar ninguna otra configuración.
Directiva Descripción
Igual por proceso
Cuando se administra el sistema con la directiva de asignación de recursos Igual por proceso, se da un trato igual a todos los procesos en
ejecución. Por ejemplo, si un servidor que ejecuta diez procesos alcanza el 70 por ciento de uso del procesador, el Administrador de recursos del sistema de Windows limitará cada proceso al 10 por ciento de los
recursos del procesador mientras se encuentren en contención. Tenga en cuenta que los recursos no utilizados por procesos con poca utilización
serán asignados a otros procesos.
Igual por
usuario
Cuando la directiva de asignación de recursos Igual por usuario
administra el sistema, los procesos se agrupan en función de la cuenta de
usuario que los está ejecutando y cada uno de estos grupos de procesos recibe un tratamiento equivalente. Por ejemplo, si hay cuatro usuarios
ejecutando procesos en el servidor, se asignará a cada usuario el 25 por ciento de los recursos del sistema para completar esos procesos. Se le asignarán los mismos recursos a un usuario que ejecuta una sola
aplicación que a uno que ejecute varias. Esta directiva resulta especialmente útil para los servidores de aplicaciones.
Igual por sesión
Cuando se administra el sistema con la directiva de asignación de recursos Igual por sesión, se asignan los recursos de forma igualitaria para cada sesión conectada al sistema. Esta directiva se usa en los
servidores de Escritorio remoto.
Igual por grupo de aplicaciones de IIS
Cuando se administra el sistema con la directiva de asignación de
recursos Igual por grupo de aplicaciones de IIS, se dará un trato igual a cada grupo de aplicaciones de IIS en ejecución, y las aplicaciones que no se encuentren en un grupo de aplicaciones de IIS solo podrán utilizan los
recursos que no estén utilizando estos grupos.
Sesiones remotas
ponderadas
Cuando la directiva de asignación de recursos Sesiones remotas
ponderadas administra el sistema, los procesos se agrupan en función de la prioridad asignada a la cuenta de usuario. Por ejemplo, si hay tres usuarios conectados de forma remota, el usuario que tenga asignada la
prioridad Premium recibirá el acceso de mayor prioridad a la CPU, el que tenga asignada la prioridad Estándar recibirá la segunda prioridad a la
CPU y el que tenga asignada la prioridad Básica recibirá la prioridad menor a la CPU. Esta directiva se usa en los servidores de Escritorio remoto.
Nota
Cuando Sesiones remotas ponderadas se establece como la directiva de administración, la administración de sistemas se delega al
programador de Windows Server 2008 R2 y el Administrador de recursos del sistema de Windows solo traza un perfil del sistema. Para
configurar o quitar Sesiones remotas ponderadas como directiva de administración es necesario un reinicio del equipo impuesto por el kernel.
Administración de recursos personalizada
Puede utilizar métodos de administración de recursos personalizados
para identificar a los usuarios de los recursos y asignarles recursos
en función de sus propios criterios.
Característica Descripción
Criterios
coincidentes
del proceso
Permite seleccionar servicios o aplicaciones
para administrarlos con reglas de directiva
de asignación de recursos. Se pueden
seleccionar por nombre de archivo o comando,
o bien se pueden especificar los usuarios o
grupos. Por ejemplo, puede crear un criterio
coincidente del proceso que aplique la
administración a la
aplicación iexplore.exe cuando la ejecuta el
usuario Administrador.
Directivas de
asignación de
recursos
Asigna los recursos de procesador y memoria
a los procesos que se especifican mediante
los criterios coincidentes del proceso
especificados por el usuario.
Listas de
exclusión
Permiten excluir aplicaciones, servicios,
usuarios o grupos de la administración por
parte del Administrador de recursos del
sistema de Windows.
Nota
También se puede utilizar la búsqueda de coincidencias de rutas de línea de comandos en una directiva de asignación de recursos
para excluir una aplicación de la administración únicamente por parte de esa directiva.
Programación
Permite utiliza una interfaz de calendario
para controlar eventos únicos o
modificaciones periódicas a la asignación de
recursos. Puede haber distintas directivas
de asignación de recursos activas en
distintos momentos del día, en distintos
días de la semana o según otros paradigmas
de programación.
Aplicación de
directivas
condicionales
Permite cambiar automáticamente de directiva
de asignación de recursos como respuesta a
determinados eventos del sistema (como la
instalación de memoria o procesadores
adicionales, el inicio o la detención de un
nodo, o la modificación de la disponibilidad
de un grupo de recursos de un clúster).
2.3.3.- Administración de cuentas de usuario y de
equipo
Hemos de estar de acuerdo en que una de las funciones del
Administrador(administradores) del sistema es administrar
cuentas de usuarios , y equipos .
Al instalar Windows Server 2003 se crean unas cuentas
predeterminadas:
- Cuenta Administrador: Tiene control total en el servidor.
- Cuenta invitado: Para aquéllos usuarios sin cuenta real en
el equipo, no requiere contraseña y en principio se encuentra
deshabilitada.
- Cuenta Asistente de ayuda: Con limitado acceso al equipo.
Pero comencemos por ver las cuentas de usuario.
Cuentas de Usuarios
Una cuenta de usuario es un objeto, que consiste en toda la
información que define al usuario en Windows Server 2003. Una
cuenta de usuario puede ser Local o de Dominio, y consta de
un nombre de cuenta(username) y de la contraseña(password)
necesarios para iniciar sesión, de los grupos a los que
pertenece dicho usuario y de los derechos, privilegios y
permisos que tiene para acceder al equipo, la red y los
recursos.
Podemos utilizar una cuenta de usuario para permitir a
alguien iniciar sesión en el equipo, así como a procesos y
servicios y que se ejecuten bajo un contexto de seguridad
específico y por supuesto, para el acceso a los recursos
como: objetos de AD y sus propiedades, carpetas compartidas,
archivos, directorios y colas de impresión.
Nos encontramos con los siguientes tipos de cuentas, ya
mencionados anteriormente:
Cuentas de usuario Locales (Local user accounts): Se
almacenan en el equipo que las contiene.
Usuarios y grupos locales se encuentra en Administración de
equipos, un conjunto de herramientas administrativas que
puede utilizar para administrar un único equipo local o
remoto. Puede utilizar Usuarios y grupos locales para
proteger y administrar las cuentas de usuario y los grupos
almacenados de forma local en el equipo. A cada cuenta de
usuario o de grupo local se le puede asignar permisos y
derechos en un equipo determinado, y sólo para ese equipo.
Usuarios y grupos locales se encuentra en los siguientes
sistemas operativos de cliente y servidor:
- Clientes que utilicen Microsoft® Windows® 2000 Professional
o Windows XP Professional
- Servidores miembro que ejecuten cualquiera de los productos
de las familias de servidores de
Microsoft Windows 2000 Server o Windows Server 2003
- Servidores independientes que ejecuten cualquiera de los
productos de las familias de servidores de Microsoft Windows
2000 Server o Windows Server 2003
No puede utilizar Usuarios y grupos locales para ver las
cuentas de usuario y de grupo locales después de promocionar
un servidor miembro a controlador de dominio. Sin embargo, sí
es posible utilizar Usuarios y grupos locales en un
controlador de dominio para administrar equipos remotos (que
no sean controladores de dominio) en la red.
Usando el complemento de administración de equipo, usuarios
locales y grupos, podemos:
- crear un usuario local: Abrimos Administración de equipos
(clic derecho MI PC, administrar, o desde herramientas
administrativas del panel de control), nos situamos en
usuarios locales y grupos y lo expandimos, seleccionando
Usuarios. En el menú Acción pulsamos en Usuario nuevo y
rellenamos la información correspondiente en el cuadro de
diálogo que nos aparece, luego marcaremos/desmarcaremos las
casillas de verificación que creamos. Pulsamos enCrear y
luego en Cerrar.
El nombre del usuario que creemos no puede coincidir con
ningún otro ya existente, o de nombre de grupo existente.
Puede contener hasta 20 caracteres excepto los especiales "
/\[]:;|=,+*¿?<>, y no puede estar formado por sólo puntos o
espacios.
Las contraseñas pueden contener hasta 127 caracteres, pero si
existen equipos en la red que utilicen Windows 9x habría que
utilizar un máximo de 14 caracteres ya que usar más podría
impedir al usuario iniciar sesión en estos equipos.
Es conveniente utilizar directivas de contraseña adecuadas
para mejorar la protección del equipo.
- restablecer su contraseña: Desde el complemento
Administración de equipos, seleccionaremos al usuario que
deseamos, haremos clic con el botón derecho del ratón y
seleccionamos Establecer contraseña. Nos sale un mensaje de
advertencia, una vez leído pulsamos en continuar,
escribiremos la contraseña nueva en ambas cajas de
texto, Contraseña nueva y Confirmar contraseña nueva, y
pulsamos en Aceptar.
- deshabilitar o activar una cuenta de usuario local:
Accederemos al usuario siguiendo la secuencia ya indicada
anteriormente, clic derecho sobre la cuenta deseada y
seleccionamos propiedades. Para realizar estas tareas tan
sólo hemos de marcar/desmarcar la casilla de verificación La
cuenta está deshabilitada.
- Eliminar una cuenta de usuario local: Abriremos
Administración de equipos y haciendo clic con el botón
derecho del ratón sobre la cuenta que queremos eliminar,
seleccionaremos Eliminar.
- Cambiar el nombre de una cuenta de usuario local: Clic con
el botón secundario del ratón en la cuenta de usuario cuyo
nombre queremos cambiar, seleccionamos Cambiar nombre,
escribimos el nombre nuevo y pulsamos Aceptar.
- Asignar secuencias de comandos de inicio de sesión a una
cuenta de usuario local: Accederemos a las propiedades de la
cuenta a la que queremos asignar la secuencia de comandos,
desde la consola Administración de equipos pulsando el botón
secundario del ratón y seleccionando propiedades. En la
ficha Perfil, escribiremos el nombre de archivo y la ruta de
acceso relativa del mismo en Secuencia de comandos de inicio
de sesión.
- asignar una carpeta principal a una cuenta de usuario
local: Al igual que la asignación de una secuencia de
comandos de inicio de sesión, podemos asignar una carpeta
principal en Ruta de acceso
local (c:\carpetas\usuarios\juansa) de la ficha Perfil, o si
se encuentra en un recurso compartido ,haciendo clic en
Conectar, seleccionar la letra de unidad y escribir la ruta
de acceso.(\\carpetas\usuarios\juansa)
2.3.4.- Administración de grupos
Un grupo de Active Directory se compone de una colección de
objetos (usuarios y equipos, y otros grupos utilizados para
simplificar el acceso a los recursos y envío de correos
electrónicos). Los grupos pueden utilizarse para asignar
derechos administrativos, acceso a recursos de red, o, para
distribuir correo electrónico. Hay grupos de varios sabores, y
dependerá del modo en que el dominio se esté ejecutando el que
ciertas funcionalidades de grupo estén o no disponibles.
Active Directory de Windows Server 2008 R2 es compatible con
dos tipos distintos de grupos: Distribución y Seguridad. Ambos
tienen sus propios usos y ventajas, siempre que se utilicen
correctamente y se hayan entendido sus características.
Los grupos de distribución permiten el agrupamiento de
contactos, usuarios o grupos, principalmente para la
distribución de correo electrónico. Estos tipos de grupos no
pueden utilizarse para permitir o denegar el acceso a recursos
del dominio. Las Listas de Control de Acceso Discrecional
(DACLs), que se utilizan para permitir y/o denegar el acceso a
los recursos, o para definir los derechos de usuario, se
componen de Entradas de Control de Acceso (ACEs). Los grupos
de distribución no tienen habilitada la seguridad y no pueden
usarse en las DACL. En algunos casos, esto puede simplificar
la administración de la seguridad cuando necesitamos tener a
distribuidores externos localizados en libretas de direcciones
pero nunca necesitarán acceder a recursos del dominio o bosque.
Los grupos de seguridad tienen habilitada esta característica
y por tanto pueden utilizarse en la asignación de derechos de
usuario y en los permisos del recurso, o, en la aplicación de
directivas de grupo basadas en AD o directivas de equipo. El
uso de un grupo en lugar de usuarios de forma individual
simplifica mucho la administración. Los grupos pueden crearse
para recursos o tareas en particular, y cuando se efectúan
cambios en la lista de usuarios que necesitan acceso, sólo debe
modificarse la pertenencia de grupo para reflejar los cambios
en cada recurso que utiliza este grupo.
Para llevar a cabo tareas administrativas, los grupos de
seguridad pueden definirse dentro de distintos niveles de
responsabilidad. La granularidad que podemos aplicar es vasta,
de hecho una estructura de grupos funcional es una de las
maneras de simplificar la administración de la empresa.
Los grupos de seguridad también pueden usarse con propósitos
de correo electrónico, lo que significa que aúnan ambos
propósitos.
Además del tipo, los grupos disponen de un ámbito a
seleccionar. El ámbito, simplemente, marca los límites de quién
puede ser miembro, y dónde puede utilizarse el grupo. Sólo los
grupos de seguridad pueden usarse para delegar control y
asignar acceso a recursos. Una clasificación teniendo en cuenta
el ámbito quedaría:
Grupos locales de dominio.
Grupos globales.
Grupos universales.
2.3.5.- Administración del acceso a recursos
Control de acceso a recursos del equipo
Como administrador del sistema, usted puede controlar y supervisar la
actividad del sistema. Puede definir límites sobre quién puede utilizar
determinados recursos. Puede registrar el uso de recursos y supervisar
quién los está utilizando. También puede configurar los sistemas para
minimizar el uso indebido de los recursos.
Limitación y supervisión del supe usuario
El sistema requiere una contraseña root para el acceso del superusuario.
En la configuración predeterminada, un usuario no puede iniciar sesión
de manera remota en un sistema como root. Al iniciar sesión de manera
remota, el usuario debe utilizar el nombre de usuario y, luego, el
comando su para convertirse en root. Puede supervisar quién ha utilizado
el comando su, en especial, aquellos usuarios que están intentando
obtener acceso de superusuario. Para conocer los procedimientos para
supervisar al superusuario y limitar el acceso al superusuario, consulte
Supervisión y restricción de superusuario (mapa de tareas).
Configuración del control de acceso basado en roles para reemplazar al
superusuario
El control de acceso basado en roles (RBAC) está diseñado para limitar
las capacidades del superusuario. El superusuario (usuario root) tiene
acceso a todos los recursos del sistema. Con RBAC, puede reemplazar
root con un conjunto de roles con poderes discretos. Por ejemplo, puede
configurar un rol para manejar la creación de cuentas de usuario y otro
rol para manejar la modificación de archivos del sistema. Una vez que
haya establecido un rol para manejar una función o un conjunto de
funciones, puede eliminar esas funciones de las capacidades de root.
Cada rol requiere que un usuario conocido inicie sesión con su nombre
de usuario y contraseña. Después de iniciar sesión, el usuario asume el
rol con una contraseña de rol específica. Como consecuencia, alguien
que se entera de la contraseña root tiene una capacidad limitada para
dañar el sistema. Para obtener más información sobre RBAC, consulte
Control de acceso basado en roles (descripción general).
Prevención del uso indebido involuntario de los recursos del equipo
Puede prevenir que los usuarios y que usted realicen errores
involuntarios de las siguientes formas:
Puede evitar ejecutar un caballo de Troya si configura correctamente la
variable PATH.
Puede asignar un shell restringido a los usuarios. Un shell restringido
previene los errores del usuario al guiar a los usuarios a las partes
del sistema que necesitan para su trabajo. De hecho, mediante una
configuración cuidadosa, usted puede asegurarse de que los usuarios
sólo accedan a las partes del sistema que los ayudan a trabajar de
manera eficiente.
Puede establecer permisos restrictivos para los archivos a los que los
usuarios no necesitan acceder.
2.3.6 .- Administración de los servicios de impresión
Cuanto mayor es la organización, mayor es la cantidad de impresoras
dentro de la red y más tiempo necesita el personal de TI para instalar
y administrar esas impresoras; lo cual se traduce en mayores gastos de
operación. Windows Server 2008 incluye el Gestor de Impresión, que es
un complemento de MMC que permite a los administradores administrar,
supervisar y solucionar problemas en todas las impresoras de la
organización, incluso en las de ubicaciones remotas, desde una misma
interfaz.
El Gestor de Impresión ofrece detalles totalmente actualizados sobre el
estado de todas las impresoras y los servidores de impresión de la red
desde una consola única. El Gestor de Impresión permite encontrar
impresoras con una condición de error y también puede enviar
notificaciones por correo electrónico o ejecutar secuencias de comandos
cuando una impresora o el servidor de impresión necesitan atención. En
modelos de impresora que ofrecen una interfaz web, el Gestor de
Impresión puede tener acceso a estos datos adicionales. Esto permite
administrar fácilmente información como niveles de tóner y papel, aun
cuando las impresoras se encuentran en ubicaciones remotas. Además,
Administración de impresión puede buscar e instalar automáticamente
impresoras de red en la subred local de servidores de impresión locales.
El Gestor de Impresión supone para los administradores un ahorro de
tiempo importante a la hora de instalar impresoras en equipos cliente,
así como al administrarlas y supervisarlas. En vez de tener que instalar
y configurar conexiones de impresora en equipos individuales, el Gestor
de Impresión se puede usar con directivas de grupo para agregar
automáticamente conexiones de impresora a la carpeta Impresoras y faxes
de un equipo cliente.
Esta es una manera eficaz y que ahorra tiempo cuando se agregan
impresoras para muchos usuarios que requieren acceso a la misma
impresora, como por ejemplo usuarios en el mismo departamento o todos
los usuarios en la ubicación de una sucursal. Las opciones provistas de
automatización e interfaz centralizada de control incluidas dentro del
Gestor de Impresión para instalar, compartir y administrar impresoras
simplifican la administración y reducen el tiempo requerido por personal
de TI para implementar impresoras.
2.4.- Medición y desempeño
2.4.1.- Desempeño
El sistema está optimizado para que las búsquedas tengan una respuesta
muy rápida (si el servidor y la red lo permiten). El interfaz está
optimizado para facilitar y hacer más eficiente la labor de los
bibliotecarios. Por ejemplo, para devolución de libros se requiere un
solo paso. Para prestar un libro se requieren dos pasos: ingresar el
código del usuario e ingresar el número del ítem a prestar (o código de
barras).
2.4.2.- Herramientas de medición
El Monitor de confiabilidad y rendimiento de Windows es un complemento
de Microsoft Management Console (MMC) que combina la funcionalidad de
herramientas independientes anteriores, incluidos Registros y alertas
de rendimiento, Server Performance Advisor y Monitor de sistema.
Proporciona una interfaz gráfica para personalizar la recopilación de
datos de rendimiento y sesiones de seguimiento de eventos.
También incluye el Monitor de confiabilidad, un complemento de MMC que
lleva un seguimiento de los cambios producidos en el sistema y los
compara con los cambios de estabilidad del sistema, proporcionando una
vista gráfica de su relación.
2.4.3.- Indicadores de desempeño
Indicadores del Rendimiento de un Computador
Los indicadores del rendimiento de un computador son una serie de
parámetros que conforma un modelo simplificado de la medida del
rendimiento de un sistema y son utilizados por los arquitectos de
sistemas, los programadores y los constructores de compiladores, para
la optimización del código y obtención de una ejecución más eficiente.
Dentro de este modelo, estos son los indicadores de rendimiento más
utilizados:
Turnaround Time
El tiempo de respuesta. Desde la entrada hasta la salida, por lo que
incluye accesos a disco y memoria, compilación, sobrecargas y tiempos
de CPU. Es la medida más simple del rendimiento.
En sistemas multiprogramados no nos vale la medida del rendimiento
anterior, ya que la máquina comparte el tiempo, se produce solapamiento
E/S del programa con tiempo de CPU de otros programas. Necesitamos otra
medida como es el TIEMPO CPU USUARIO.
Tiempo de cada ciclo ( )
El tiempo empleado por cada ciclo. Es la constante de reloj del
procesador. Medida en nanosegundos.
Frecuencia de reloj (f)
Es la inversa del tiempo de ciclo. f = 1/. Medida en Mega Hertz.
Total de Instrucciones (Ic)
Es el número de instrucciones objeto a ejecutar en un programa.
Ciclos por instrucción (CPI)
Es el número de ciclos que requiere cada instrucción. Normalmente, CPI
= CPI medio.
2.4.4.- Roadmap
Un RoadMap (que podría traducirse como hoja de ruta) es una
planificación del desarrollo de un software con los objetivos a corto
y largo plazo, y posiblemente incluyendo unos plazos aproximados de
consecución de cada uno de estos objetivos. Se suele organizar en hitos
o "milestones", que son fechas en las que supuestamente estará
finalizado un paquete de nuevas funcionalidades.
Para los desarrolladores de software, se convierte en una muy buena
práctica generar un Roadmap, ya que de esta forma documentan el estado
actual y posible futuro de su software, dando una visión general o
específica de hacía dónde apunta a llegar el software.
La expresión Roadmap se utiliza para dar a conocer el "trazado del
camino" por medio del cual vamos a llegar del estado actual al estado
futuro. Es decir, la secuencia de actividades o camino de evolución que
nos llevará al estado futuro.
2.5.- Seguridad e integridad
2.5.1.- Seguridad por software
La seguridad del sistema de software, un elemento de la seguridad total
y programa de desarrollo del software, no se puede permitir funcionar
independientemente del esfuerzo total. Los sistemas múltiples simples
y altamente integrados están experimentando un crecimiento
extraordinario en el uso de computadoras y software para supervisar y/o
controlar subsistemas o funciones seguridad-críticos. A especificación
del software el error, el defecto de diseño, o la carencia de requisitos
seguridad-crítico genéricas pueden contribuir a o causar un fallo del
sistema o una decisión humana errónea. Para alcanzar un nivel aceptable
de la seguridad para el software usado en usos críticos, la ingeniería
de la seguridad del sistema de software se debe dar énfasis primario
temprano en la definición de los requisitos y el proceso del diseño
conceptual del sistema. El software Seguridad-crítico debe entonces
recibir énfasis de la gerencia y análisis continuos de la ingeniería a
través del desarrollo y ciclos vitales operacionales del sistema.
2.5.2.- Seguridad por hardware
La seguridad del hardware se refiere a la protección de objetos frente
a intromisiones provocadas por el uso del hardware. A su vez, la
seguridad del hardware puede dividirse en seguridad física y seguridad
de difusión. En el primer caso se atiende a la protección del
equipamiento hardware de amenazas externas como manipulación o robo.
Todo el equipamiento que almacene o trabaje con información sensible
necesita ser protegido, de modo que resulte imposible que un intruso
acceda físicamente a él. La solución más común es la ubicación del
equipamiento en un entorno seguro.
La seguridad de difusión consiste en la protección contra la emisión de
señales del hardware. El ejemplo más común es el de las pantallas de
ordenador visibles a través de las ventanas de una oficina, o las
emisiones electromagnéticas de algunos elementos del hardware que
adecuadamente capturadas y tratadas pueden convertirse en información.
De nuevo, la solución hay que buscarla en la adecuación de entornos
seguros.
2.5.3.- Plantillas de seguridad para proteger los
equipos
Con el complemento Plantillas de seguridad para Microsoft Management
Console puede crear una directiva de seguridad para un equipo o para la
red. Es un lugar donde se concentra toda la seguridad del sistema. El
complemento Plantillas de seguridad no introduce ningún parámetro de
seguridad nuevo, simplemente organiza todos los atributos de seguridad
existentes en una ubicación para facilitar la administración de la
seguridad.
Importar una plantilla de seguridad a un objeto de Directiva de grupo
facilita la administración de dominios ya que la seguridad se configura
para un dominio o una unidad organizativa de una sola vez. Para obtener
más información, vea Importar una plantilla de seguridad a un objeto de
directiva de grupo.
Con el fin de aplicar una plantilla de seguridad al equipo local, puede
utilizar Configuración y análisis de seguridad o la herramienta de línea
de comandos Secedit. Para obtener más información, vea Configurar la
seguridad del equipo local.
Las plantillas de seguridad se pueden utilizar para definir:
Directivas de cuentas
Directiva de contraseñas
Directiva de bloqueo de cuentas
Directiva Kerberos
Directivas locales
Directiva de auditoría
Asignación de derechos de usuario
Opciones de seguridad
Registro de sucesos: Configuración del registro de sucesos de
aplicación, sistema y seguridad
Grupos restringidos: Pertenencia a grupos importantes para la seguridad
Configuración de seguridad de Servicios del sistema Inicio y permisos
de los servicios del sistema
Configuración de seguridad del Registro: Permisos para las claves del
Registro del sistema
Configuración de seguridad del Sistema de archivos Permisos de archivos
y carpetas
Cada plantilla se guarda como un archivo .inf de texto. De esta forma,
puede copiar, pegar, importar o exportar todos o algunos de los
atributos de la plantilla. Con la excepción de la Seguridad de protocolo
IP y las directivas de clave pública, todos los atributos de seguridad
pueden estar contenidos en una plantilla de seguridad.
Plantillas nuevas y predefinidas
En cada miembro de la familia Microsoft® Windows Server 2003 o en el
sistema operativo Microsoft® Windows® XP hay una serie de plantillas
predefinidas creadas con niveles de seguridad diferentes para adaptarse
a las necesidades de una organización.
Hay varias plantillas de seguridad predefinidas que pueden ayudarle a
proteger su sistema en función de sus necesidades, dichas plantillas
son para:
Volver a aplicar la configuración predeterminada
Implementar un entorno altamente protegido
Implementar un entorno menos protegido pero más compatible
Proteger la raíz del sistema.
Para obtener más información, vea Plantillas de seguridad predefinidas.
La plantilla Setup security.inf permite volver a aplicar la
configuración de seguridad predeterminada. Esta plantilla se crea
durante la instalación de cada equipo y se debe aplicar localmente.
Puede crear una plantilla de seguridad nueva con sus propias
preferencias o bien utilizar una de las plantillas de seguridad
predefinidas. Antes de realizar cambios en la configuración de la
seguridad, debe saber cuál es la configuración predeterminada del
sistema y qué significa.
Para obtener información acerca de Plantillas de seguridad, vea
Plantillas de seguridad.