1 - Manipulación de procesos En Windows, los usuarios con ciertos permisos podemos, sobre los procesos, modificar la prioridad de un proceso, llevarlos primer o a segundo plano. En este apartado debes identificar algunos procesos: a) Procesos que cree el sistema operativo (sistema y servicios). Lsass.exe es el proceso del Servicio de autenticación de seguridad local de Microsoft, responsable de la autenticación de identificación de usuario y la aplicación de políticas de seguridad. Ayuda a verificar usuarios que se conectan en un ordenador con Windows, maneja cambios de passwords y crea tokens de acceso, lo que encapsula información de seguridad esencial. También es utilizado por los administradores para actualizar contraseñas y perfiles de usuario. ntoskrnl.exe es responsable de servicios centrales del sistema, como: la virtualización del hardware, el control de procesos, la gestión de memoria, etc. por lo que constituye un módulo fundamental del sistema operativo. b) Procesos que creemos nosotros (usuarios). Procesos como IDLE de Python o navegadores como Internet explorer son creados por los usuarios. Son procesos que el mismo usuario normal (no hace falta ser Administrador) puede modificar, parar o priorizar: Administración de Sistemas Operativos (ASO) Página 1
c) Procesos a los que les podamos modificar su prioridad. Si nos movemos a la pestaña Detalles podemos establecer prioridades a cada proceso haciendo clic derecho sobre ellos: d) Procesos que podamos terminar con ellos. explorer.exe es el proceso que administra la interfaz del usuario (intérprete de comandos) y también la interfaz gráfica de Windows (el escritorio). Es un proceso del sistema que se puede finalizar. Para reactivar el proceso explorer.exe y volver a utilizar la interfaz gráfica, se deberá iniciar el administrador del programa (CTRL+ALT+DEL), luego seleccionar "Abrir" y entrar en explorer.exe. Cualquier proceso iniciado por el usuario podrá ser finalizado en cualquier momento. Deberemos tener cuidado con el momento de finalizarlo para no afectar al correcto funcionamiento del equipo. Administración de Sistemas Operativos (ASO) Página 2
2 - Utilización del sistema de archivos como medio lógico para el registro e identificación de los procesos del sistema (Windows). La información asociada a los procesos se registra en ficheros. A partir de esta información podemos realizar, entre otras muchas, tareas de auditoría o de análisis de rendimiento. Una herramienta muy utilizada es el Visor de Eventos o similar (depende de la versión de Windows Server utilizada). En este apartado debes utilizar la herramienta Visor de Eventos y aprender a utilizarla: tipos de eventos, utilizar filtros de búsqueda, etc. El Visor de eventos es un complemento de Microsoft Management Console (MMC) que permite consultar y administrar de una forma potente y centralizada la información contenida en los múltiples registros de eventos (logs) de las aplicaciones y servicios de Windows. Desde el visor de eventos podremos realizar las siguientes tareas: Consultar los eventos que se hayan producido. Crear filtros para los eventos que más nos interesen y almacenarlos como vistas personalizadas que podemos volver a utilizar en cualquier momento. Programar una tarea para que se ejecute en respuesta a una situación específica. Establecer suscripciones a determinados eventos. Administración de Sistemas Operativos (ASO) Página 3
Un ejemplo de filtro sería este. Quiero que me captures lo que pasó en la ultima hora, que el nivel del evento sea critico y que tenga que estar relacionado con el servicio de nombres de dominio (DNS) para todos los equipos y usuarios: Un tipo de evento muy importante es el relacionado con la Seguridad. Para ver su funcionamiento tienes que acceder a las directivas de grupo y en Configuración de Equipo / Configuración de Windows ir a Directivas de auditoría y auditar aquello que quieras. Es conveniente que no configures todo a la vez para ver mejor los resultados. Administración de Sistemas Operativos (ASO) Página 4
Voy a auditar la administración de cuentas de usuario: Una vez habilitada la auditoría voy al visor de eventos y veo que se ha hecho correctamente: Una vez que hayas realizado la configuración, crea algún usuario, grupo o UO, introduce una clave de usuario mal en varias ocasiones, intenta hacer login con una cuenta inexistente, intenta acceder a una carpeta a la que no tengas permisos, apaga el ordenador escribiendo un mensaje personalizado, etc. Todo esto queda reflejado. Intenta localizar estas situaciones y captura las pantallas. Administración de Sistemas Operativos (ASO) Página 5
Quiero auditar si hay bloqueo de cuenta de los usuarios (aciertos y errores), el inicio y cierre de sesión o si la validación de los credenciales de los usuarios es incorrecta: Aquí veo como figuran los errores de credenciales, los cambios en las directivas y el correcto cierre de sesión de un usuario (en este caso fue mark-1 en el equipo de MARKETING: Administración de Sistemas Operativos (ASO) Página 6
3 - Herramientas gráficas y comandos para el control y seguimiento de los procesos del sistema (Windows). Una de las herramientas gráficas más utilizadas es el Administrador de tareas. En este apartado debes estudiar la herramienta gráfica y buscar los comandos PowerShell relacionados. Con el comando taskgmr podemos abrir el administrador de tareas desde PowerShell: Con tasklist nos muestra una lista de tareas: Con get-process vemos una lista detallada de cada proceso: Administración de Sistemas Operativos (ASO) Página 7
UT-02- Procesos Detenemos procesos con taskkill <nombre proceso>. Con /F podemos forzar el cierre del proceso seleccionado. Con get-service podemos ver los servicios del sistema tanto los que están funcionando como los que se encuentran parados: 4 - Práctica propuesta Añadir, en Windows Server 2012, la posibilidad de arrancar de forma normal (tal como está actualmente), en Modo seguro (lo acabamos de hacer) y Modo de restauración de SD (la debes hacer tú) Para que el equipo pueda arrancar en el modo de restauración de servicios de directorio deberemos ir a las opciones de arranque: Ejecutar > Escribir msconfig > Arranque En la casilla de arranque a prueba de errores marcamos la opción de Reparar Active Directory y la próxima vez que iniciemos el equipo iniciará de esta manera. Podemos hacer este arranque permanente marcando la casilla de abajo a la derecha. Administración de Sistemas Operativos (ASO) Página 8
5 - Otras herramientas que debes estudiar: He descargado la herramienta System Explorer. Veo que su interfaz es en forma de árbol y parece mucho más completa que otras herramientas: El funcionamiento parece simple y guiado y por lo que veo puedo modificar prioridades, terminar procesos, suspenderlos, etc. Esta herramienta tiene ciertas ventajas con respecto al administrador de tareas de Windows. Por ejemplo puedes ver qué procesos dependen de otros con la vista de árbol (CTRL+T en la pestaña Procesos). Te puede ser útil, por ejemplo, para saber qué proceso hace que un programa no funcione correctamente. Además te permite comprobar si los procesos son corruptos o no, con la herramienta Virus Total que viene integrada (File Check): Administración de Sistemas Operativos (ASO) Página 9
Además también tiene la herramienta del rendimiento del equipo y otra bastante importante, puedes ver el tráfico de datos de tu sistema con los del dominio y exteriores. La herramienta en general parece bastante completa y eficaz. Sería de gran ayuda para la administración del servidor. Administración de Sistemas Operativos (ASO) Página 10
6 - Contesta a las siguientes cuestiones 1.-El administrador de un servidor que cuenta con 8 núcleos donde está instalado Ubuntu Server decide valorar el rendimiento del equipo. Para ello ejecuta el comando top y obtiene, entre otra, esta información: load average: 2.5, 2.45, 160.5 Se pide: a) Qué podemos deducir de estos valores? Load average representa la carga de la maquina. El primero determina la carga que el sistema tenía hace un minuto, el segundo hace 5 minutos y el último, hace 15 minutos. Podemos observar que la carga del sistema hace 15 minutos es altísima, con muchos procesos activos. La carga de la maquina más reciente es bastante baja. b) Cuál sería el valor de id más probable en los instantes dados? El valor de id determina el tiempo de inactividad de la CPU. En este caso el valor de id no puede ser alto porque ha trabajado mucho en el periodo de 15 minutos. 2.- En los escenarios que se presentan a continuación, el sistema va muy lento. A partir de los valores dados, intenta deducir donde se encuentra el problema y cómo se podría solucionar (si es que se puede). a) us tiene un valor muy bajo; sy tiene un valor muy bajo; id tiene un valor bastante alto; wa tiene un valor bastante bajo y la cantidad de memoria usada con respecto a la total es muy bajo. El valor de id es bajo, por lo que la CPU no está trabajando apenas. Si la CPU no está trabajando podemos deducir que la lentitud del sistema se debe al E/S de la red o al disco. El problema no es el usuario, ni la RAM ni de adaptador de red. Lo más seguro es que el disco duro esté lleno (/tmp estará hasta arriba). b) us tiene un valor muy bajo; sy tiene un valor muy bajo; id tiene un valor bastante alto; wa tiene un valor bastante bajo y la cantidad memoria usada menos el tamaño de cache es muy alto. Swap used tiene un valor muy alto. Es muy probable que tengamos problemas de memoria, algún proceso o procesos usan demasiada memoria (RAM llena) y el sistema se vuelve lento. Administración de Sistemas Operativos (ASO) Página 11