WS2016LABS — Winoows Staves 2016 - nm cneves 4 copyricnT 2 ri NES Y Mt 4 & sistema, wo 6.1. Winbows SeavER 2016 Vs WINDOWS 10 (62. CAMnI0S EN CONHOST.EXE 663. Vensiones DE reRviLes 64. Cantos pROoTOCOLO SI 65. Active MeMoRY DUMP ¥'1POS DEDU {6.6 ORDEN ENLACE ADAPTADORES DE RED. 6:7, NUEVOS PARAMETROS COMANDO COMPACT 671. CowPRESIONLZX. 55.7.2, PARAMETRO"CoMPACTOS_— ‘68, SecuRiDAD: Device GUARD V CREDENTIAL GUARD, (68.1 (PARA QUE SIRVEN? 682. Reguistos (683. ;COMO FUNGIONAN? 6.84. {COMOSECONFIGURAN? G85, TRESPUNTOS HAsiCos 69. SEGURIDAD: ANTIVIRUS 6:10, "ACTUALIZACION ENCIAI™ A 6.1, ViRTUALIZACION ANIDADA SAL. sTRODUCCION 6.112 Mara concerniAaL ca (6113 Exrowan FLAG OF CPU REFERENIES ALA VIRIUALIZACION CHYPERCV™ ¥ 016 “VniWane™) 6.114 CONSIDERACIONES ADICIONALES 612. Wee (6.13. WNDOWSTNIAGING AND CONFIGURATION DESIGNER (CD). 2, POWERSHELL Vs 45 Ei Vanswonie v9 fs cA EV CID SA 72.1. MaNIMULACiON DEL TORTAPAPELESDE WINDOWS 45 122. Compare yDESCOMPRIMI 46 723, FoaMaroNEXADECIMAL a 124 LiMPIAR PAPELERA DE RECICUATE a7 7225, SxILAST DE sELECr-owtEcr a7 1216 SYMLINK, HARDLINK ¥ JUNCTION 8WS2016LABS ~ Winoows SenveR 2016 ~ cranes 72.7, Pawkmerko Der 49 128. Visor DE Loa DE WINDOWSUPDATE ~ 129, Gev-tremPRoPeRTYVALUE iO) 13. GPOS RELACIONADAS CON POWERSHEL 50 ra psc. 83 18. ONeGET 86 751. INTRODICGION 36 7552. FuNcIONAMIENTO 37 1753, ERODE FUNCIONAMIENTO T PSMODULE 38 7554, Byer De FUNGIONAMIENTO 2: CHOCOLATE 59 7 PoweRsimeL Dinzcr st [NANOSERVER. a 1, CaRACTERISTICAS 6 £82, LABORATORIO: NSTALAGION SOBRE VMWARE (WORKSTATION VIO ESXI), se 5.3, LAHORATORIO: ADMINISTRACION REMOTA 7 ef LABORATORIO: INSTALACION ROLES 78 BL INSTALAGION OFFLINE 15 1.4.2. INSTALACION ONLINE 76 5, SYSINTERNALS PARA NANOSERVER 7 % ConrENEDoRES —____ 9:1. MAQuINAS VIRTUALES VS ConTeNEpoRES____ 8 92. IMAGENES y IPOSDE-CONTENEDOR, at 83. INSTALACION. 83 94, PRU De CONCEFTO: CONTENIDOR CON TS 86 95, ADMINISTRACION 88 951, VER VERSION CLINE ¥ SERVIDOR 88 95.2. INFORMACION SORE EL SERVICIO 88 9553. LISta DE CONTAIERS ACTIVOS 99 954, Lista 8 70008108 CONTAINES 9 95'S, DETENER UN CONTAINER 99 9.5.5, BORRAR UN CONTAINER 9 95.7, CREAR UN CONTENEDOR A PARTIR DE OTRO. 89 958 Vek Los PROCESS DBL INTERIOR DE UN CONTENEDOR. 90 95.9, EXPORTAR/IMPORTAR UNA IMAGEN A FICHERO 90 95:10, DescanGn,INSTALACION ¥ EJECUCION DE OTRAS MIAGENES DE CONTAINERS 91 96, WINDOWS SERVER CONTAINERS VS. HYPER-V CONTAINERS, 3 40, Muwaryponsp 93 94 103. Lanoratonvo. 4 “UL, DNSSERVER, 99 114, SucERENCIAS RAIZIPV6 99 113: Resrose RATE LIMITING 00WS2016LABS - Winoows SeRvER 2016 ~ um cn 113. Pouicies 102 13.1, CaNDICIONES FOSBLES EN LOS FILTROS 102 1.32, PASOS GENERALE A SECUIR tec 133, ESCENARIODE EIEMPLO I: DISTINTA RISPURSTA SEGU® RED TPP ORIGEN 1.34, EscENARIODE EMPLO 2: RECURSIVIDAD SELECTIVA 1.35, ESCENARIODE BIEMPLO 3+ BALANCED DE CARGA. 7 wa tt 2A INSTALACION ¥ CONFIGURACION INICIAL 114 12.1: PaSO1:INSTALACION i 18 12.12! Paso2: PROVISIONAR IPAM. us 12.13. Paso3: SenvER DIscovERY 116 12.1 Paso: GPOS. 6 1.15. PaS05: CONFIGURAMOS SERVIDORES A NONTORTZAR ut 12.2, FUNCIONALIDADES CON WINDOWS SERVER 2016 ue 1221, DNS SeaveR us 122° ROLES POLICIES 9 13 uso 2 13.1. TARLA DE VERSIONE 132.Soronre “HTTP” TRB AcERCADE*HTTP™ 13:22. BlewPLo ne pevecewN HTTP 133 Noveoaoes, |B, ENCABEZADO DE HOST CON COMODINES 15.32. No MOSTRAR EL SERVERHEADER, mugenyeR 14.1, GPO: ENABLE WINS? LONG PAHS 17 142'Stowoine 129 143 REFS 130 14.3.1, NUBVA VERSION WIS 130 1432."BLock CLONING” 132 1456, Depurticacton 134 14.4.1 FUNCIONAMIENTO V FUESTA EN MARCHA Be 1184.2, PUNTOSA TENER ENCUENTA Y RECOMENGACIONES in 145. Stonace REPLICA mat 1451, CaRAcTERISTICAS REQUITOSY Hpos tT 18552, LanoRATORIO: STORAGE REPLICA: SERVER TO SERVER 13 14.6 SroRaGE Sraces 147 1.6.1, LaaoieaTOao: INTRODUCEION V CONFIGURAGION FASDA PASO a7 15.6.2, LABORATORIO: PRUERA Y DETECCIONDE LA REDUNDANCIA 155, 14.62, LaaowaToaio: AMPLIAR EL VIRTUAL DISK. 137 18.64, Orrize-STORAGEPOOL EN WINDOWS SERVER 2016 159 14.65, Stone DeRs Orrizarion zi 160 19466. FRMWARE UPDATE DE Los DISCOS 162 143. MSCs“WS2016LABS - winoows SexvER 2016 — um cone 15:1, SouRE NIVELES FUNCIONALES EN WINDOWS SERVER 2016, 168 182, SOBRE LA REPLICA DEL SYSVOL EN WINDOWS SERVER 2076 19 182.1-CRoNOLOGIA DH FRS Y DES-RENSYSVOL. 170 15.22. ,S1 No TENEMoS DCS CON WIN2003, NO TENEMOS REPLICA FRG? m1 1523. Veuineacion oe. no De REPLICA DeL SYSVOL. 13 152. Minearionsn nftien SYSVOLnF FRS A DFS-A 176 183, LaboeaORIO: MIGRAR DC WIN 2008 2 4 DC WIN20T6 182 15331, BSCENARIO 182 133.2. VeRInCACIONES PREVA 182 1533, PRonociOn DC2 (W206) PASOS A SEGUE 185, 133.4: DNS: PRE-Deserowoci6w De DCI (Wr2008R2) 193, 1535: REPLica: PRE-DeSmROMOCION DE_DCI (WIs2008H) 194 1536, ROLES FSMO: PRE-DesrgoMoCiON DE DCI (WIN200872) 195, 153.7. CarALoco GLOBAL: PRE-DEsHoMOCION O& DCI (WIN200ERD) 197 15.38, DespnoMociON DCI (Win2008R2): PASOS ASEGUIR, 198 15:4 UNC HARDENING. 200 185, NOVEDAD: CADUCIDAD EN LA PERTENENGIA A UN GRUPO. 202 “16, PROXIMAS PUBLICACIONES 2042. PROLOGO En el ano 2012 pubique mi primer sibro sobre Windows Server 2012 y le lame weszarzass, ‘Antes de que lo pubicase, en esa ézoce, impartia cursos sobre Windows Server 2008, Exchange Server 2007 y empezaron a aparece ls versiones beta de Windows Server 2012 las empece a pobsr Como tengo bastante mala memoria, tendo a documenta todo aqualo que voy ‘prendiondo y por oo lado también tania en mente que seria necesario rehacer tod temario del curso de Windows Server, nuevos laboraloros, nuevos concepios, nuevas. funcionalidedes, [Asi que poco a poco fue aparecienco un documento de Word con todos mis apuntes y ppens6: so mejoramos, Io expicamos con ms detale, podrlamos hacer un ibro ast fue. {Donde pubiicaro?, deci uitzr la edtorial de autopublicacén Lulu, donde Josep. Fos habia publcaco su ibto sobre vituaizacién y al ue agradezco una vez mas Su estuerzo desinteresado de dtusion de todos mis Horo. “También aprovecho para agradecer otros bloggers por su Wabalo desinteresado en la dtusion Ge mis lidos, muchas gracias a todos! Como WS2012LABS tuvo mucho éuitoy yo tenia que rehacer temario de otros cursos, {ui trabajando con otros tiles: Exchange, GPOS, Linux, FleServer. Veeam, te Todos tuvieron mucho mas éxito del que yo me esperaba, ast que fue faci! encontrar motwvacion para eserbiendo nuevos tule. ‘Siempre en cada publcacién, el principal objetivo es que el lector pueda aplicar los ‘onocimiantos adguiridos en el entorno empresa, Y legamos ls sctuaidad, nueva version de Windows Server y nuevo lero: ws20ToLABs. Un vez mas, encontrareis un libro basado en laboratoros paso a paso para explcar as oveddes inrocucisas en Windows Server 2016 ‘Como acurrié en ol tro WS2012LABS no 8s posible recoger todas las novedades que ‘ncorpora esta nueva versin de Windows Server explcadas con detalle y mediate el {uso de laboratorios con ejemplos pracicos, asi que se ha realizado una seleccion de las nuevas funcionaldades a expicar,siguiendo ol crtero de priorizar todas aquellas ovedades que podames implementar en nvesto enor de laberatono y empresa, ‘spre que distteis sulecturat3. PRESENTACION ECuél es el objetivo del bro? + El objetivo de esta publicacién es formar al lector para disenar, implementer yy administer de forma préctica las novedades iniroducidas con Windows Server 2016, construyendo una infraestructura sélida, robusta y fable Cus es a estructura del libro? “+ El libro esté estructurado en varios médulos donde se abordan- las novedades introducidas con Windows Server 2016, siempre desde un punto de vista practico y orientado a empresa. Sobre 6! autor? + Administador de sistemas: Entomos Microsoft, GNU/Linux, VMware, entre ‘lros desde el afio 2000. + Formador de tecnologia: Windows Server, Exchange, VMware, entre otros desde el afio 2006. ‘+ Autor del blog: hitpiliwi.sysadmit.com + Escritor de libros sobre IT: WS2012LABS, EX2013ADM, GPOIT, WFS, ADIT, LinuXe, VBESXi, EX2016ADM desde el afio 2012. £Guél 6s el enfoque del oro? + ES = Libro de trabajo, en formato Ad, de cémoda lecture, = Fundamentalmentapréctico, claro y concise. = Laboratori y escenaros propuestos de fécl despliegue. = Otientado a la posterior implementaci6n en una red pequefia, mediana © oranda, + NOES: = No se recogen todas las funcionalidades del producto. ~ No esté orientado @ la cartificacién oficial, pero si encontrarés contenido para complemantar cierios temas de la cerificacionWS2016LABS ~ Winoows Senvex 2018 — 4. COPYRIGHT WS2016LABS ~ Windows Server 2016 ISBN 978-1-326-81623-0 ©2016 - Xavier Genestés Git Reservades todos los derechos. Esta publicacion esta protegida por las leyes de propiedad intelectual. 'No se permite distrbuir ni parcialmente, ni totalmente, la publicacién a través de cualquier medio, soporte, sin autorizacion expresa del autor. Todas las marcas, nombres propios, que aparecen en el libro son marcas registradas de sus respectivos propiolaros, siendo su utlizacién realizada ‘exclusivamente a modo de referencia El autor del libro no se hace responsable de los problemas que pueda causar fen su infraestructura, siendo responsabilidad de los administradores. de sistemas realizar las copias de soguridad, planes de contingencia y laboratorio de pruebas previo antes de aplicar cualquier cambio en los servidores de produccign.WS2016LABS - winoows Senven 2016 ~ san cme 5. EDICIONES Y LICENCIAMIENTO Con Windows Server 2016 se presentan las siguientes ediciones: Windows Server 2016 Datacenter Windows Server 2016 ‘Standard ‘Windows Server 2016 Essentials Lcenciamiento por core. Se requieren CALs de Windows Server, Licenciamiento por core. ‘So requioren CALs de Windows Server, Licenciamiento por socket. No se requieren CALs de Windows Server. Hasta 25 usuarios / Hasta 50 dispostvos. Windows Server 2016 Licenciamiento por socket. Se requieren CALs de Windows Server. Entomo académico. Solo disponible con licenc -volumen, icenciamiento por socket. No se requieren CALs de Windows Server. Solo disponible con licencia OEM. Producto gratuito: El sistema operativo con ‘lol de Hyper-V. Las VMs con Windows dentro de Hyper-V, deben lcenciarse. ‘Windows Storage Server 2016 MultPoint Premium Server | Microsoft Hyper-V Server 2016 . Licenciamento por “core’, significa que hemos de licenciar cada “socket” teniendo en cuenta el numero de “cores” que tiene cada “socket” licenciamiento por ‘core’, lo encontraromos en las ediciones: “Standard” y ‘Datacanter’ ‘Si comparamos con versiones anteriores de Windows Server, existen dos ‘grandes cambios respecto al licenciamiento: 1 Funcionalidades distintes entre Standard y Datacenter En Windows Server 2012 y Windows Server 2012 R2, las ediciones Standard y Datacenter alsponian oe las mismas funcionalidaces, solo cambiaba el numero «de maquinas vituales que era posible licenciar por socket. Con Windows Server 2016, ademés del niimero de maquinas vituales que es posible licenciar, las funcionalidades diferen entre la edicion Standard. y Datacenter,WS2016LABS - Winoows Serves 2016 Funclonalidades: Standard VS Datacenter Datacenter Gore fonctonalty of Windows Sever Direct and Storage Replica ‘Shielded Virtual Machines ‘Networking stack 2) Licenciamiento por Core: Standard y Datacenter Por primera vez, Microsoft licencia Windows Server por “core” en vez de por socket” Las reglas para licenciar por “core” son las siguiertes: = Todos los “cores” de un servidorfisico deben ieenciarse ~ Anivel de licenciamiento: Es indiferente si el servidor fico dispone 0 no de hypertheading | minimo de cores a licenciar por cada host fisico son 16 y el minimo de cores por cada socket es de 8, La equivalencia a nivel de costes es: = Elcoste de licenciar 1 socket de Windows Server 2012 R2 equivale al coste de licenciar 8 cores en Windows Server 2016. En servidores donde tengamos mas de dos sockets fisicos 0 donde se disponga de mas de 8 cores por socket es donde existe un sobrecoste en relacion al icenciamiento de Windows Server 2012 R2. Algunas consideraciones adicionales. Los contenedores de Hyper-V (no los Windows Server containers) requieren ‘del mismo licenciamiento que si se tratara de una maquina virtual = Nano Server es considerado come si fuera un nuevo método de instalacién {de Windows Server y por tanto requiere de licencia, = Igual que con versiones anteriores de Windows Server, es necesario ‘comprar CALS.WS2016LABS - winoows Senven 2016 ~ sae coer 6, SISTEMA 6.1. WINDOWS SERVER 2016 Vs WINDOws 10 La version RTM (release to manufacturing) de Windows Server 2016 no integra luna serie de componentes que si integra Windows 10. La idea es que con Windows Server 2016 no so intogren componentes de la versién desktop sobre los cuales Microsoft reaiice acivalizaciones constants. Ejemplos de componentes que no encontraremos en Windows Server 2016 y sien Windows 10: ~ Navegador Edge: Con Windows Server 2016 RTM solo encontraremos: Internet Explorer, ya que Edge recibe muchas actualizaciones, = Cortana: Este componente recibe actualizaciones constantes, asi que no lo ‘encontraremos en Win2016. = Siore_v Madam Apos: En Win2016 no disponemos ni de la tienda de apps, fl de las apps instaladas en Win10 como: Mail, calculadora, calendario, entre otras. Si que encontraremos las aplicaciones desktop, como nepaint .exe, calc.exe, etc. La diferencia entre las “modem apps" y las aplicaciones de desktop es que las "modem apps" se actualizan muy menudo, ‘A pesar de no encontrar instalados estos componentes en Windows Server 2016, si encontraremos GPOs (directivas de grupo) para desplegar ‘configuraciones de estos componentes sobre sistemas operativos Windows 10. 6.2. CAMBIOS EN CONHOST.EXE Tanto los intérpretes de linea de comandos: cnd.exe como powershel1.exe, ublizan: conhost .exe, EI proceso conhost.exe (Console Window Host), es el encargado de ‘administrar la entrada y salida de caracteres hacia la consola, Conhost.exe s@ introduce por primera vez en Windows Vista y Windows ‘Server 2008 y se comparte el proceso para todas las sesiones de cmd.oxe y powershell .exe, A partir de Windows 7 y Windows Server 2008 2, al lanzar una ventana de cond .exe 0 powershe!1.exe, se lanza también para cada sesién, un proceso conhost exe -10-WS2016LABS ~ vinoows Seaver 2016 Por ejemplo: Si abrimes dos ventanas cnd.exe y dos ventanas de PowerShell .exe, tendremos cuatro procesos coniost .exe En Windows Server 2016 y Windows 10 se intraducen una serie de mejoras en dentro de conhast .exe Podremas examinar las mejoras si realizamos un a:ceso directo a cnd..exe 0 bien a powershell.exe, hacemos propiedades sobre el mismo y ‘examinamos las opciones de cada pestafa, Propledades sobre un acceso directo a: CW. exe Postafia “Opcio Windows 01, Windows Server 2012 Re ‘Windova 70, Windows Sover 2076 \Veamos una lista de los cambios: 41) Modo edicidn rpida (quickedit) activado por defecto: En versiones anteriores @ Windows Server 2016 0 Windows 10, el modo edicién répida (quickedit) estaba disponible, pero esiaba desactivado. woe ae Modo edicién rape (auicked) Nos permite seleccionar texto} con tan solo hacer clic con el botén izquierdo del ratén. Ya no es necesario acudir al ‘mend, “Editar, "Marcar’. -1tWSZ2016LABS - winoous Server 2016 2) Habiltar accosos ditectos con ta tecla ctr: Nuova funcionalidad introducida y activada por defecto en Windows Server 2016 y Windows 10. Nos permite hace" uso de las combinaciones de teclas: CONTROIAC y CONTROL para hacer “copiar-pegar” de texto en la consola, Sin esta funcionaldad, al hacer CoNTROL‘V en la consola, aparecia el siguiente simbolo: "v pre-WintO/ pre-Win2016: CONTROL en una ventana CMD Peo i ins Ry Pee aa coisa Igual que en versiones anteriores, también podemos utilizar la combinacién de ‘teclas: CONTROL+C para cancelar un proceso. ‘Ademds de CONTRCLIC y CONTROL+V, disponemos de mas combinaciones de ‘teclas para realizar ditintas acciones, veamos algunos ejemplos: ‘Combinaclones de teclas con CONTROL [+ Muestra el cvadro de didlogo de buscar. (CTRL + Flecha sriba |» Realize un scroll de una linea hacia ariba. = Realiza un scroll de una lines hacia abajo er * Realiza un scroll de pantalla hacia el inicio Tee ie) de la sesién de console, cane > Cambia al modo “pantalla completa’ o sale’ CTRL + Enter del modo “pantalla completa’. Jems hacer lo mismo, con Ia tects Ft, * Cambia al modo “seleccién de texto’, all s no tnomos acvado el mado ecictn ride CTRL#SHIFT+ Flecha arriba > Seleccion de texto: Selecciona linea de abajo. CTRL+SHIFT+ Flecha abajo -12-WS2016LABS ~ winoows Senver 2016 ~ 3) Autoajuste del texto ala ventana: De forma predeterminada, l redimensionar la ventana, se ajusta el texto de su interior al nuevo tamafio. En las propiedades de! acceso directo, pestafia “disefio", encontraremos la ‘opeién marcada: “Ajustar la salida de texto al cambiar de tarmac’ A) Aiuste de linea (Word wrap): De forma predeterminada, se efectuaré ajuste de linea para que no sea ecesario realizar scroll para leer toda la informacion mostrada. 5) Conversion de comilas (“Ly eliminacion de tabulaciones: De forma predeterminada, disponemos de la siguiente opcién activada: “Firar el contenido del portapapeles al pegar” ‘Con esta opcién activada, al hacer copiar-pegar desde el portapapeles a la ‘consola, se corregiran dos aspectos: = Se eliminarén las tabulac = Se cambiaran la comillas 9s (TAB), ‘comillas regulares. Ejemplo: 7 Alatar copper dale nls a OUD, win i abdacn dries ja segunda ine, son His raul 6) Aumento de los valores predeterminados: buffer y tamafio de la ventana: Por defacto, en Windows Server 2018 y Windows 10, el tamaiio del buffer es de 9.000 y el tamario de la ventana es de 120x30. -13-WS2016LABS ~ Winoows SenveR 2016 ~ runes Propiedades sobre un acceso directo a: CW.exe Pestafa “Disoio™ Winds Wins Sonar 20T2 Ra [Wade Tons Saver Te fe ite sat — oe oto aa Re fore | hata stow eer ‘ated vote a a ee nes Re: be Ty Opacidad: En a pestaia "Colores", encontraremos una nueva opcién: “Opacidad’ Con esta opcién, podemos defnir la transparencia de la ventana. ‘Si configuramos su valor a: 100%, desactivaremos esta funcionelida. Postafa "Colores": Opacidad ‘También podemos configurar el % de opacidad, ullizando combinaciones de teclas: + Incrementar transparencia (reducir opacidad) CTRL#SHIFT+"Signo més" o bien: CTRL*SHIFT*rueda del ratén hacia arriba ‘+ Recudirtransparencia (eumentar opacidad): CTRL+SHIFT*"Signo menos’ o bien: CTRL+SHIFTrueda del ratén hacia abajo" iatWS2016LABS ~ Winoows Seaver 2018 ~ x 8) Rama cel coaisto: De forma predeterminada, todos los valores que configuremos en ta consola como la fuente, etc se guardan en forma de claves en el registro en la siguiente ([REY_CORREWT_USER\Console i Q)-Usar la consola heredada’ Para utlizar la consola sin todas las mejoras descritas en los puntos anteriores, podemes marcar la opcién: ‘Usar la consola heredada’ en la pestafia ‘Opciones De esta forma, dispondremos de las mismas opciones que con la consola de: versiones anteriores de sistema operative, 6.3. VERSIONES DE PERFILES Windows 10 y Windows Server 2016 introduce una nueva versién de perf, Si disponemos de perfiles méviles, estos no serén compalibles con versiones. anteriores. Correspondencia: Versiones de perfily sistemas operatives Version pert ‘Sisteme operative, Windows NT ‘Windows 2000, Windows Servar 2003, Windows XP ‘Windows Vista, Windows 7, Windows Server 2008 ‘Windows Server 2008 R2 Windows 8, Windows Server 2012 Windows 8.1, Windows Server 2012 R2. Windows 10, Windows Server 2016WS2016LABS ~ Wnnoows Setvek 2016 ~ va caerss 6.4. Campios pRoTocoLo SMB Con Windows Server 2016 y Windows 10 se introduce una nueva version de protocolo SMB:3.1.1 Canrespandancar Veteran de SHB y Sato SpeTATVON Taser Su Siero operative [344 | TWndows 10, Windows Sever 2076 ‘Windows 8.1, Windows Server 2012 R2 ‘Windows 8, Windows Server 2012 oa Windows 7, Windows Server 2008 R2 2.0.2 ‘Windows Vista, Windows Server 2008 41 \Versiones anteriores Cada versién de SMB, incorpora novedades respecto a la version anterior. ‘A partir de PowerShell version 3, incuida en Windows Server 2012 y Windows '8, dsponemos de varios cmel-ets para adminisrar el servicio. Con 01 cmdlet Get-snbserverConfiguration, podemos ver las propiedades de nuestro servidor SMB. a informacion de sada tras la ejecucién dal cmd-le, ha sido recortada ‘Sirevisamos la configuracién del protocolo, podemos ver: Gat-Sabserverconfiguration Por defecto, las conexiones SMB 1.0 Auditsnbinccess airy | aay ceterta es cone Eaableswbiprccoscl | True | E|protocolo SMB 1.0 esté activado, EnablosnbzProtoce: | T2ve [El protocolo SMB2.0 est actvado. Tnabledplocks ELbloqueo de fcheros esta acivado 7 |-ente2 06 = True Requiresecuritystonature | 7=%6 / |- En equpos affadides al dominio False -18-WS2016LABS ~ winoows SERVER 2016 ~ ann dren ‘Si quisiéramos aualtar las conexiones SMB 1.0, podriamos activar su auditoria de la siguiente forma: Las versiones de protocolo SMB se autonegocian entre clentey servidor SMB. Siempre se negocia a la version més pequeria. Por ejemplo, entre un Windows Server 2016 y un Windows 7, ls versién SMB. (ue se ulizara sera la version 2.1 La version negociada puede verse con el emd-let: Get~SnbConnection Si sobre un Windows Server 2016 0 Windows 10, realizamos una conexi6n ‘SMB local un recurso compartido y buscamos a propiedad ‘Dialect’ de la ‘conexion, veremos la versién 3.1.1 ears otro ejemplo: CConexién SMB al recurso compartido cs del equipo c7 (Windows 7), la versién negociada es 2.10. FE Gy Se GTS [Oem 7 ae Seance arenas TERR oeWS20161ABS ~ wnnoows Sener 2016 ~ rave cues 6.5. ACTIVE Memory DuMP Y TIPOS DE DUMP Con Windows Server 2016 y Windows 10 se introduce una nueva opcién en la lista de tipos de voleado de memoria disponible: “Active Dump. Los ficheros de volcado de memoria (+ .oMP) sirven para poder diagnosticar problemas después de un crash del sistema operativo. El tipo de volcade de memoria “Active Dump" esté pensado para hosts con el rol de Hyper-V. Si por ejemplo disponemos de un host con Windows Server y el rol de Hyper-V ‘con 128GB de RAN, un voleado de memoria completo, generaria un fichero de 12868, Con “Active dump" se fran muchas paginas de memoria ullizadas por maquinas virtuales, con lo que reduce el tamario dol fichero en ~aproximadamente un 10% respecto al tamario de un volcado completo, ‘Sistema > Configuracién iene emp avanzada del sistema > (Ce pan pen pestafia “Opciones favanzadas” > “inicio y ecuperacion’ > botén Birerinemie engined ‘Configuracion”. acne amasonet eee nos sitvamos en: “Inicio y recuperacion” > botén *Configuracién’. La configuracién dl tipo de volcado de memoria, queda quardada en la siguiente rama del registro: RIM: \System GcrrentcontreiSet Control Gra saa “También disponemos de los siguientes tipos de volcados de memoria -18-WS2016LABS ~ Winoows SenvEs 2016 — rn 1) Automatic Memory Dump. “Automatic memory dump" es la opcién predeterminada a pattir de Windows. Server 2012 y Windows 8. ‘Continua siendo la opcién predeterminada en Windows Server 2016 y Windows 10, Este tipo de volcado de memoria es igual que el "Kernel Memory Dump", pero a Su vez, es capaz de reduc el tamafo del fichero de paginacién (pagefite. sy) :\Windows emery. dap or defecto, la ubicacién del ichero de dump es: Enel siguiente volcado, se sobrescribir el fichero anterior. 2) Complete Memory Dump EI "Complete Memory Dump’, realiza un volcado completo del contenido de la RAM a fichero, El tamario del fchero seré el mismo que la memoria RAM ocupada, sumando 1MB. or defecto, la ubicacién del ichero de dump es: C: \Hindows Memory .dmp Enel siguiente volcado, se sobrescribir el fchero anterior. 3) Kern! Memory Dump EI "Kernel Memory Dump, realiza un volcado de solo las paginas de memoria asociadas al kernel-mode én el momento del crash. Las paginas de memoria asociadas al kernel-mode contienen una lista de pprocesos que estaban funcionando en ese momento, ademas de la lista de los ‘rivers que estaban cargados en ese momento. Normaimente et tamafio de un fichero de dump generado por un voleado "Kemel Memory Dump" es una tercera parte del tamafio de la memoria fsica. Por ejemplo: Un equipo que dispone de 128GB RAM, el "Kernel Memory Dump" generaria aproximadamento un fichero OMP de: 42GB (28GB / 3), Por defecto, la ubicacién del ichero de dump es: C: \Windowe\venory.dnp Enel siguiente volcado, se sobrescribra el fichero anterior, 19WS2016LABS — winoows Seaver 2016 ~ winx cines 4) smait Memory Dump. 1“Small Memory Bump" ocupa tan solo 64KB y contiene la informacion basica ¥y muy limitada det dump: el cOdigo de error, la lista de los drivers cargados, etc. Por defecto, Ia ubicacién del fichero de dump es la _carpeta: C:\Windows \Minidump y dantro de la misma, cada volcado corresponderd a un fchero. En 1 siguiente vaicado, no se sobrescribira el fichero anterior y se irén ‘acumulando. 6.6. ORDEN ENLACE ADAPTADORES DE RED En versiones anteriores @ Windows Server 2016 y Windows 10 es posible cambiar el orden delos adapladores de red de la siguiente forma: Ejecutamos: nepa.cpl, pulsamos la tecla ALT y apareceré el mend con “opciones. Nos situamos en las opciones avanzadas, y seleccionamos: "Configuracién avanzada’, a continuacion aparece una ventana donde podemos cambiar el ‘orden de los adapladores de red. coroners i terns daa de» Conon nt any cs nn ri lgacterpmzn sohdoin mgnbearainte Este método para cambiar el orden de los adapladores de red via GUI, ya no ‘funciona en Windows Server 2016 y Windows 10, SoneWS2016LABS ~ Winoows Seaver 2016 ~ Si cambiamos el orden de los adaptadores de red via GU y grabamos los. ‘cambios, al volver a abrir la ventana via GUI, veremos que no se han guardado- los cambios realizados. Para cambiar 1a prioridad de los interlaces de red, debersmos cambiar la métrica de los interfaces via PowerShell Por defecto, todos los interfaces de red tienen la misma métrica: Retetat ~rni Dy métrica de interfer Es importante tener en cuenta que un valor inferior de mirc, tiene més Prioridad que un valor de métrica mas alto. -24WS20161ABS — wnnoows Senvex 2016 - sue cnerse 6.7. NUEVOS PARAMETROS COMANDO COMPACT. Encontramas e! comando compact en cualquier sistema operative Windows ‘con soporte para sistemas de ficheros NTFS. sirve para aplicar compresién NTFS sobre las carpetas El comando comps Aue indiquernos. Con Windows Server 2016 y Windows 10, se introducen nuevos parémetros. Podemos ver una lista completa de los parémetros disponibles ejecutando: compact /? 6.7.1, Compresion LZX Uno de los parémetros nuevos del comando compact introducidos con Windows Server 2016 y Windows 10 es: /ExE Con el parametro /EXE, podemos comprimir Jos ficheros aplicando nuevos algoritmes de compresion ‘Se recomienda aplicar el pardmetro /#xe: sobre ficheros y drectorios donde no sea necesaria una escritura constante sobre los mismos. Un ejemplo de etlo, son los ficheros ejecutabes. Los ficheros ejecutables no acostumbran a ser modificados, solo via actualizaciones. Los algoritmos que permite el parémetto /EXE, son los siguientes: xPRESSAK, XPRESSSK, XPRESS16K, LZX Siendo el xeRESS4K ol més rSpido, mientras que 12x es el mas compacto. ‘Algunas considera | comando compact /EXE: = No es un tipo de compresién adecuado para ficheros que cambian ‘constantemente, por ejemplo: icheros temporales, ~ Al acoder a los ficheros comprimidos se produce una descompresién temporal, por lo ‘anto se ullizaran recursos de CPU, RAM y HDD. = Los ficheros comprimidos con el parémetro /EX8, no se mostrarén en azul ‘en el explorador de Windows. = Los ficheros conprimidas ullizando algun algoritmo especificado con el pardmetro /EXE, no podran ser leldos con versiones anteriores de Windows. -2-WS2016LABS - Winoows SenvEs 2016 ~ samc \Veamos un ejemplo: (Conpact VS compact /ExE: 12K peer ERM Sees] Algunos ejemplos mas del comando conpac = Comprimirutizando el algoriime LZX todos 's ficheros y subdirectorios de la carpeta c: \SvsaDuIT: SSAA Ts Fi Jexeilzx = Quitar la compresi6n al. fichero"c:\SySADMIT\SYSADMIT. tes anteriormente comprimido utlizando el algorimo LZX. ‘compact Ju /a Jens "Ci \SYSADMIT\SYSADMIT. pest” Quitar la compresién (algoritmo LZX) a todas los ficheros y subdirectorios. dela carpeta °c: \SYSADMIT" Compact Ju Ta [o Toxo * €r\SYSROUTE — 23WS2016LABS — winoows SeRvER 2016 ~ cum cere 6.7.2. Parkmterso “CompactOS" A partir de Windows Server 2016 y Windows 10, el comando compact .exe dispone de un nuevo parémetro: /Compactos Con “CompactOS", es posible aplicar compresién NTFS a los ficheros que Ccorresponden al sistema operativo. Si ejecutamos compact .exe /2, veremos que el parémetro /Conpactos, dispone de tres opciones: query, always y never. jer nde na vert de CMD come adda: ee oe (Compact.exe /CompactOSialways = Dechert compan eee pace oipadocon arta or eect de Windows 10364: 14368 ee El ahorro de espacio con "CompactOS" en un sistema Windows 10 x64 es de 2,668. Si realizamos el mismo proceso en un sistema operativo de 32bits, el ahorro ‘seré de aproximadamente: 1,5GB. -24-WS2016LABS — winoows Seaver 2016 6.8, SEGURIDAD: DEVICE GUARD Y CREDENTIAL GUARD. Dos funcionalidades sobre seguridad introducidas en Windows Server 2016 y Windows 10 son: Device Guard y Credential Guard, 6.8.1. PARA QUE SIRVEN? = Device Guard sirve para blindar el sistema a ataques de malware. La idea fs establecer un control stricto en la ejecucién de scripts, DLLs, eculables y drivers. . = Credential Guard sive para alslar los hash de los passwords (credenciales) en un contenedor y asi evtar ataques tipo: “Pass the Hash” Solo sirve para credenciales de cuentas de dominio de Active Directory, no para cuentas locales. 6.8.2. Reauisiros Ambas funcionalidades requieren: = Edicion “Enterprise” de Windows 10: Con edicién ‘Professional’, no ‘dspondremos de esta funcionalidad, ~ Sistema operatvo de 64 bits. ~ Femware UEFI version 2.3.1 0 posterior. ~ PU intel VT-x actvado. ~ Sscure Boot activado ~ Requiere habiltar Hyper-V en el sistema operative, 6.8.3. .COmo FUNCIONAN? ‘Ambas tecnologias: Device Guard 0 Credential Guard, utiizan Viral Secure Mode (VSM). \VSM es un contenedor de Hyper-V que aisla el proceso leass.exe (Local ‘Secuity Authority (LSA)) del Kernel del sistema operative, ‘A este contenedor no se tiene acceso ni por red ni con ninguna herramienta de ‘administracion Si el cernel de Windows queda comprometido los procesos y datos guardados ‘en elcontenedor VSM quedan seguros.WS2016LABS ~ winoows Server 2016 ~ uaa creme 6.8.4. {COMO SE CONFIGURAN? ‘Asummimos que disponemos de os requisitos indicados en el punto anterior. 1) Instalar caracteristicas de Windows trol de Hyper-V y ot modo do usuario alsiado, Dentro dal rol do Hyper Las management tools de AV ng ves necesario| Inslataras, — tampoco los componente 2) Configurar Vs Habilamos la siguiente GPO de equipo: Turn On Virtualization Based Security - Situada en: ‘Computer Configuration \ Administrative Templates \ Sysiem \ Device Guard 3) Activamos y configuramos: Device Guard (Opcional) Heabiltamos la siguiente GPO de equipo: Situada en: En la GPO, deberemos indicar la ruta de un fichero (Code Integrity Policy) que ppodremos generar con PowerShell Los cmd-lets de PowerShell para generar el fichero son: New-crPolicy, Merge-CiPolicy, Set-Ruleoption -26-WS2016LABS ~ Winoows SenvER 2016 ~ mana 4) activamos y configuramos: Credential Guard (Opcional) En la GPO de equipo indicada en el paso 2: “Tum On Virtualization Based ‘Secuniy’,disponemos de una opcién que indica: “Enabee Credential Guard Con esto conseguimos que las credenciales queden guardadas en el Contenedor aislado, totalmente separado del Kemel de Windows. Recordemos que solo es itl para credenciales de cuentas de dominio (entomos Active Directory) y que no funciona con cuentas locales. 5) Configuramos Windows 10 para que inicie VSM. vines n CHO como siirsder ecto: 6) Verificames su funcionamiento er ee Sistema > Wininit y veremos: Credential Guard (uca1s0.exe) was started and will protect LSA credentials. Opcién 2: Administrador de tareas (tasknar exe) Ena pestafia detalles veremos el proceso: Isalso.exe 6.8.5. TRES PUNTOS BASICOS 1- Tanto "Device Guard" como “Credential Guard", requieren “Virtual Secure ‘Mode (VSM), por lo tanto, es necesario configurarlo primero. 2. Para que tuncione "Virtual Secure Mode (VSMy" son necesanos una sene de requisites de hardware y de sistema operatvo: la gran pega es que es necesario Windows 10 Enterprise, con la edicién prcfesional no lo tenemos disponible. 3. Mientras que “Device Guard” requiere una configuracién posterior para Policies > Windows Components > Windows Defender ‘+ SiWindows Server esté castoliano: Configuracion del equipo > Direcivas > Plantilas administrativas > Windows | Defender Como existen muchas GPOs dentro del apartado "Windows Defender’, estas stn dvididas por categoria: ‘Actualizaciones de fima, amenazas, correccién, cuarentena, deteccion, texclusiones, exclusones del sistema de inspecci6n de red, informes, interfaz cliente, MAPS, proteccién en tiempo real, sistema de inspeccién de red. Muchas de estas G2Os se aplican también en versiones anteriores a Windows Server 2016 y Windows 10, por lo tanto, encontraremos estas GPOs en las plantilas administraivas de versiones anteriores de Windows Server, Ejemple: Windows Defender: Desacivar proiesdin on fempo eal -30-WS2016LABS ~ Winoows Seaver 2016 ~ tamncnerse 6.10. “ACTUALIZACION ENCIMA” A WIN2016 Una de las opciones disponibies en Windows Server 2016 y versiones. anteriores de Windows Server, es la “actualizacién encima’. Una ‘actualizacién encima” consiste en instalar una versién de sistema ‘operative més actual sobre un sistema operative que dsponga de una versién anterior. Todo y que el método mas adecuado y seguro para actualizar a una nueva version de Windows Server es realizar una instalacion limpia y migrar los sservicias, la "actualizacion encima’ es un método posible. Los requisitos para realizar una “actualizacion encima” z Windows Server 2016 son os siguientes: = Mismo idioma, entre la version origen y destino (Wincows Server 2016). ~ El servidor origen no debe ser un controlador de dominio (DC). = Mismo tipo de instalacon, entre Ia version origen y destino. Por ejemplo, de SorverCore a ServerCore o de ServerGUI a ServerGUl. ~ Misma edicion, entre la version origen y destino: Por sjemplo, de Standard a Standard 0 de DataCentor a DataCenter. ~ Vorsién_minima_de Windows Server_origen: Windows Server 2012. No. podemos realizar una “actualizacion encima’ de Windows Server 2008 R2 a ‘Windows Server 2016, -31-WS2016LABS ~ winoous SenveR 2016 ~ ans coarse 6.11. VIRTUALIZACION ANIDADA 6.11.4, InTRODUCCION Una de las novedades que introduce Windows Server 2016 es la capacidad de virtualizacién anidada, es decir, hacer funcionar un hipervisor dentro de otro hipervisor. Gracias a esta funcinalidad, por ejemplo, podemos configurar ~ Sobre_un hipervisor Hyper-V: Una VM en su interior con Windows Server ‘con el rol de Hyper-V y varias maquinas virtuales funcionando. — Sobre un hipenisor VMWare vSphere ESXi: Una VM en su interior con Windows Server con el rol de Hyper-V y varias maquinas virtuales funclonando. La viraizacién anidada también abre la puerta 2 poder hacer funcionar Contenedores de "Hyper-V" dentro de una VM, De hecho, los contenedoras de "Hyper-V" que veremos con més profundidad fen el apartado de “Contenedores’, son un ejemplo de vitalizacién anidada, Sin embargo, a pesar de que Windows Server 2016 soporta virtuaizacién ren el anidada, nos poderos encontrar con que al instar el rol de "Hyper. segundo hipervisor: Tnelucevanagement 001s Nos aparezca el siguionte error: Error al nstalar Hyper: Este error os debide a que el primer hipervisor no muestra las los flags de CPU: NXIXD al segundo tipervisor. 32+WS2016LABS ~ winoows Seaven 2016 ~ 6.11.2. MAPA CONCEPTUAL ‘Anivel conceptual, la virtualizacion anidada funciona de la siguiente forma: aT VS — [re |e one] a as ¥ S 1) Sobre et hardware, en la BIOS/UEFI, habiltamos la opci6n: VT-x para CPUs. Intel o bien AMD-v para CPUs AMD, ademas revisaremos y activaremos todas. las opciones roferentes al soporte para la vrtualizacién. a 2) Instatamos el *Hipervisor-1” sobre ol hardware. 3) Sobre el "Hipervsor-1" habiltamos la exposicién de los flags de CPU referentes a la vitualizacién, 4) Podemos instalar maquinas virtuales sobre el *Hipervisor-1” y también podemos instalar una maquina virtual con un segundo hipervisor, segin ol dibujo: “Hipenvisor-2", 5) Para instalar el “Hipervisor2°, seré necesario que el “Hipervisor-1* exponga. los flags de CPU referentes a la vitualizacién a las méqunas viruales, en concreto a la maquina vitual que serd el "Hipervisor 2" Dicho de otra forma: El “Hipervisor-2" tendra que poder leer los flags de CPU referentes a la vrtualizacion, para ello, el "Hipervisor-1" debera exponer los. flags de CPU referentes ala virtualizacién al "Hipervisor-2".WS2016LABS ~ Winoows SenveR 2016 ~ stan cmerie 6.11.3. EXPONER FLAGS DE CPU REFERENTES A LA VIRTUALIZACION HYPER-V" y “VMWARE") Exponer flags de CPU referentes ala virualizacion, sl hipervsor es: * Sagin ol dibujo anterer: A configurar en el “Hipervisor-1" Anstynaeve: Desde una ventana de PowerShell como administrador: ‘Vitware Workstation: Exponer flags de OPU sobre virtualizacion = Propledades sobre la maquina virlusl, pestalia “Hardware’, nos situamos sobre “Processors” y marcamos la opcién: “Virtualize Infel VT-x/EPT or| AMD-VIRVE. Utlizando “‘vSphere vCanter Web Client” 0 “VMWare Host Client” podremos activar la exposicién do lags de CPU sobre virualizacin. 'Si.no disponemos de ‘vSphere vCenter Web Client’, a partir de “VMWar ‘VSphere ESXi 6 Update 2°, se integra dentro del host ESXi la herramienta de ‘administracion: “VMWare Host Client. Con "VMWare Host Cilent” podremos administrar ol host ESXi via web sin Virtual Center y podremos activar la exposicién de flags de CPU sobre ‘virtualizacionWS2016LABS ~ Winoows Seaver 2016 El procedimianto de como activar la exposicion de flags de CPU sobre viualizacion es précticamente igual en "VMWare Host Client” que en “vSphere Center Web Client’, asi que mostraremos las capturas d2 pantalla de como ‘activar la opcién con: "VMWare Host Client”. En primer lugar accedemos con un navegador web a la URL, ¢ introducimos las ‘redenciales para iniciar sesién: Nos situamos sobre la maquina virtual (VM) que haré de segundo hipervisor y pulsamos sobre “Eat settings" ‘Viware ESX: Exponer flage de GPU sobre virtuallaacion (1 de 2) Ramee = 5 Pieee = Bie ‘A continuacién, nos situamos sobre e! apartado de CPU y marcamos la opcién’ “Expose hardware assisted virtualization to the guest OS”. 35-WS2016LABS — winoows Senver 2016 ~ rise Guents 6.11.4, CONSIDERACIONES ADICIONALES: 1) Contenesiores de “Hyoer-V" desde una VM = Vitualizacién anidada, La vitualizacion anidada es intoresante no solo para méquinas virtuales si no {ue también lo es para contenedores. “Windows Server 2016" incluye dos tipos de contenedores, los contenedores de ‘windows Server y los. contenedores de “Hyper-v~.’En el capitulo de contenedores de est libro veremos con delalle sus caracteristicas funcionamiento. Si iniciamos un contensdor de "Hyper-V" desde una maquina virtual estaremos haciendo uso de fa viruaizacion anidada, Maquina vial con: | Sy Windows Server 2016 2) virtaizacién anidada = Perdida de rendimiento, ‘Situar una maquina vitual dentro de un hipervisor que a la vez esté uncionande dentro de ato hipervisor provoca una pérdida de rendimiento, Desde un punto de vista de rendimiento hemos de tratar de evitar la vvitualizacion anidada 3):VM Hyper-V" dentro de “VM Hyper-V" = Lit ‘Si utlizamos la vitualizacién anidada sobre un hipervisor "Hyper-V", las ‘maquinas virtuales que residan en el segundo hipervisortendran las siguientes Timitaciones: ‘+ "Dynamic memory cebe estar configurado a OFF. La opcién de “Dyramic memory" la encontraremos a partir de Windows Server 2008 R2 SPI y permite establecer un porceniaje y unos valores rminimos y méximos de RAM a la maquina virtual de forma que asignacion de RAMse realiza bajo demanda, Para configurar ‘Dynamic memory" a OFF desde PowerShell: -36-WS2016LABS — Wincows SenvEn 2018 ~ samscnene “Memory Resize" no funcionard "Memory Resize” permite afiadir RAM en caliente a las VMs. Las VMs deben ser Windows Server 2016 0 Windows 10. “Live migration” no funcionard, “Live migration” permite mover de ubicacién méquinas viruales en caliente. "MAC spoofing” debe ser habiltado en las VMs (propiedades en las NICs virtuales de "Hyper-V", La opcién de "MAC spoofing” a encontraremos a partir de Windows Server 2008 R2 SPI La opcién de “MAC spoofing” permite generar trfico de red utlizando otra ireccién MAC distnta a la asignada a la maquina vir Para configurar "MAC spoofing” a ON desde PowerShell Get-weietworiAdapter —Watane Nombrattt macaddrensspooting’ On snalatvoskAdapter El uso de checkpoints (snapshots), no funcionaran No podremos situar un segundo hipervisor en un host con “Device Guard” habilitago. Hosts con “Device Guard" habiltado, no pueden exponer los flags de CPU referentes a la vitualzacién a las VMs. No podremos situar un segundo hipervisor en un host con “Virtualization Based Security (VBS) habiltado. Hosts con “Virtualization Based Security (VBS)" habillado, no pueden ‘exponer los flags de CPU referentes a la vituaizacion a las VMs. Por el momento, solo se soportan CPUs con Intel VI-x. No'se soporta AMD. jaciones Debido a toda Ia lista de limitaciones y la pérdida de rendimiento 1Comienda "Hyper-V" dentro de "Hyper-V" solo en entornos de laboratori, -37-WS2016LABS ~ Winoows Senver 2016 ~ sean cmerie 6.12. Wer La herramienta WPR.exe (Windows Performance Recorder) permite al ‘administrador diagnosticar problemas de rendimiento en un equipo realizando ‘capturas del estado de cierto recurso (CPU, RAM, disco, red, etc) para realizar ‘un analisis a posterior. En versiones anteriores a Windows Server 2016 y Windows 10, podiamos ‘encontrar esta herramienta dentro del apartado "Windows Performance Toolkit” ‘en el paquete "Windows SDK”, Podemos descargar el paquete “Windows SDK" de la web de Microsoft de forma gratuita “Windows SOK" es un conjunto de herramientas y librerias gratuites que Microsoft proporciona a los desarroladores para ayuderles a Interactuar con el sistema operatvo, La novedad en Windows Server 2016 y Windows 10 es que la herramienta WPR.exe esti integrada en el sistema operative en el directorio: SsystenRoot#\systen32 WDR.exe es @! “Tecolacto” de Ia informacion, asi que ol hecho de que la herramienta WER.exe este integrada en o! sistema operativo, nos ahorra ol trabajo de despiegaria en al equipo a analizer. \Veamos cbmo funciona We. exe con un ejemplo: Woniterizacion de CPU con WPRoxe wpr -atart cpu Defamos pasar tempo... \WPRLogs \WERLogs\CPU. et En este ejemplo, iniciamos la monitorizacién de CPU, dejamos pasar cierto tiempo y cerramos la moritrizacion grabando el resultado en un fichero de extansion ETL, ‘Ademés de CPU, podemos monitorizar varios tipos de recursos como red, disco, memoria, y otros may interesantes como la actividad en el registro de Windows, uso de video 0 audio, uso de Internet Explorer 0 Edge, actividad de NET, etc -38-/S2016LABS Para ver los lipos de recursos que es posible monitorizar de forma directa, bastard con ejecutar: wpe profiles Me Caan También es posible realizar una captura de varios elementos a la vez, por ejemplo: Monitorizacién de disco, ficheros y red con NPR.oxe start DiskIO -start Filelo -start Network wer Dejamos pasar tiempo. Ma C:\WPRLOgs lpr ~stop C:\WPRLogs\Disco-ficheros-red.atl Una vez disponemos del fichero ETL del equipo que hemos moritorizado, podemos ulilzar la herramienta: "Windows Performance Analyzer" (upa.exe) para analizar el resultado. La herramienta ‘Windows Performance Analyzer’ (vpa.exe), no la fencontraremos_Integrada en el sistema operativo, pero ferma parte del ‘apartado "Windows Performance Toolkit” dal paquete "Windows SDK" que podemos descargar de forma gratuita de la web de Microsoft hitps:idev windows.com/en-us/downloadshwindows-10-sdk Una vez descargado e instalado, nos situaremos en el siguiente directorio: 39 -WS2016LABS - winoows Serves 2016 ~ raven cures e:\Progean Files (x86) \Hindove Kite\20\Windows Pe En esta ubicacién, encontraremos el ejecutable xpa.exe y podremos abrir y ejecutar el ichero ETL generado con wpr-exe. ‘Apertura del fichero de extension BTL con wpa.oxe ‘Aprovechanda que tenemos instalado el "Windows Performance Took sisponemos de la horramenta wprui -exe situada en el directorio anterior. La herramienta wpruiexe os la equivalente a la wpr.exe pero en entorno grafico. Con pri .exe, podremos defnir los datos a monitorizar e inicar y detener la captura a fichoro ETL, 40WS2016LABS - winoows Seaver 2016 ~ es 6.13. WINDOWS IMAGING AND CONFIGURATION DESIGNER (ico) Con Windows 10, se introduce por primera vez una nueva herramienta otientada a la automatizacién del despliegue y configuracién del sistema ‘perativo: “Windows Imaging and Configuration Designer (ICD)". Esta herramienta est pensada para realizar despliegues del sistema operativo © configuraciones del mismo en entornos donde no podemos. automatizar configuraciones via GPOs (Group Policy Objects) de dominio, ni utiizando "Windows Deployment Services" ni similares, "Windows Imaging and Configuration Designer (ICD) es una herramienta muy interesante en entomoa de grupo de trabeje (workgroup). La herramienta “Windows Imaging and Configuration Designer (ICD)" no esta integrada en el sistema operativ. Windows Imaging and Configuration Designer (ICD)" forma parte del paquete “Windows Assessment and Deployment Kit (Windows ADK)’ que podemos descargar de forma gratuita de la web de Microsoft hitps:/developer microsoft. comles-esiwindows/hardwarelwindows-assessment- deployment-kit Una vez descargado e instalado, ejecutaremos la herramienta “Windows Imaging and Configuration Designer” (icd. exe) Situada en el director: Nimaging and configuration Bootgner El funcionamiento general de la aplicactén, lo podriamos resumir en: ‘Al Iniciar la apicacion, disponemos de dos posibidades: 1+ ‘New provisioning package” 2: ‘New Windows image customization’ La diferencia entre ambas opciones es que con la primera opcién estaremos personalizando una serie de opciones genéricas de Windows 10, mientras que nat-WS2016LABS — winoows SeRvER 2016 ~ xem cine con la segunda opcién, exploraremos el fichero de instalacion WiM (Windows Imaging Format) que indiquemos y veremos las opciones de personalizacion el fichero WIM en concreto. Encontraremos al fchero WIM en el directorio \sources del interior de los ‘medios de instalacién de Windows 10 (ichero. ISO), Una vez selaccionadas todas las opciones de personalizacién, ambas opciones anteriores nos prmiiran seleccionar alguna de estas posibiidades: 4- Generar un fichero naka: El fichero de extensién poka, al ejecutarse sobre lun Windows 10, se ejecutardn todas las opciones seleccionadas antes de generar el paquets. 2. Personalizar el instalador: Indicando como origen el fichero WIM de la instalacién de Windows 10, nos permite generar un USB 0 un directorio donde ppodemos encontar todas las modiicaciones realizadas, \Veamos un pequefo laboratorio de su funcionamiento: ied exe: "Nuevo paquete. ak Iniciamos la aplicacién "Windows Imaging and Configuration Designer (ICD)" y seloccionamos la opciin: "New Provisioning package’. ‘A continuacién irdicamas el nombre del proyecto, segin la siguiente captura "sysapur7-IC0" y el directorio donde se ubicaré el proyecto, segin el ejemplo: “c: \s¥sanurr—rcD" {ss exe: St ms et tipo de edicion a 10 rice El asistente nos offece varias posibilidades a logit: todas las ediciones, ‘ediciones de desttop, de movil o edicién oT (internet of things). 42+WS2016LABS - winoows Senver 2015, La dlerencia entre seleccionar una opcién u otra reside en las opciones. disponibles que nos aparecerdn para poder personalizar la nstalacion de Windows 10, (Choose which settings view and configure 3) ica.cxe: Selaccion do un paquete va croado: El asstente nos ofrece la posibilidad de importar un paquete ya creado con anterridad para su edicion, Come vamos a crear un paquete nuevo, ignaramos la opcién. Import provisioning package (options eee) | 4) ica exe: Configuracién de items: ‘A cortinuacién disponemos de un editor donde podemos seleccionar y editar los ftems que queremos configurar de forma automata, Tem Ubicacion ‘Aplicaciones APPX, Deployment assets > Applications, | brvers__ | Deployment assets > Drivers / Driver set “etateacones Se WrdOr | pepoynentasets> Windows updates Equipo al dominio de Active Directory | Runtime settings > Accounts > Cuenta)OUmosinamelusuarioipassword | ComputerAccount {Usuarios locales Runtime stings > Accounts > Users 43WS2016LABS ~ Winows SeRvER 2016 - acne Carioados (CA, certicados rai, certiicados | Runtime settings > Certificates lente, Conesiones deal Exch, VPNS [Runtime setings > GonectviyPreies (GPOs locales Runtime setings > Policies 5) icd.exe: “Deploy” o “export Una vez realizadas las configuraciones en el apartado anterior, disponemos de la posibildad de generar unos medios de instalacién nuevos o bien un paquete de provisionado (ichero de extensin: ppka). Ambas opciones inclurén las configuraciones realizadas en el punto antaror. = ‘Nos_pedrd tos_medos de lor sing nd Cringe tes gece a sea co fee | EBB] pe de Windows 10 senpd BUS comet der an La sada puede sor un bien un USB boot 'No nos pediré los medios de] <2 We nage eign ee Windows 10, rms | 2) ey a La salida sera un fictero de| extension ppkg, ejecutable | desde Windows 10, i por ejemplo elegimos “Export, “Provision package", so generara un fchero. de extension pps. El ichero lo podremas ejecutar en un Windows 10 ya instalado y se efectuardn todas las configuraciones indicadas en el punto anterior. Recomendaciones: = En entomos de dominio de Active Directory hemos de intentar evitar la personalizacion de las configuraciones con herramientas tipo IDC o simiares e. intentar_utlizar drectivas de grupo (GPOs) para estanderizar las. ‘configuraciones, ‘Con CPOs diapondremos de las configuracionca decumentades. on la soncola de administracion de directivas de grupo y si son pollticas, podremos revertir Jas configuraciones desde una consola ceniralizada. - 44WS2016LABS - Winoows Seaver 2016 7. POWERSHELL V5.1 7.1. VERSIONES Y SO ‘Se integran las siguientes versiones de PowerShell en los siguientes sistemas. operatives: 7 50 Winans Sorvr 2008, Wows Vala Windows Server 2008 R2, Windows 7 Windows Server 2072, Windows 8 Winows Sener 2012 Ra, Wows 87 Windows Server 2016, Windows 10 7.2. NUEVOS CMD-LET 7.2.4. MANIPULACION DEL PORTAPAPELES DE WINDOWS. Con los omd-et: Set-clipboard y Get~clipboard, podemos manipular et Portapapeles de Windows. ~ Con set-ciipboara, guardamos en el portapapeles, ~ Con cet-ciipboard, mostramos el contenido del portapapeles. Ejomplo Set-clipboardy Get-chipboara > Set-Clipboard SYSADMIT > Gat-Clipboard [SYSADMIT En e! portapapeles de Windows, no solo quedan guardadas cadenas de texto: Cuando hacemos botin derecho, “Copiar” sobre un fichero, este queda registrado en el portapapetes. Podemos ver los ficheros registrados en el portapapeles de Windows con el emddet: Get-Clipboard y el parémetro: -Fornat FileDropList -45-WS2016LABS - Winoows SERVER 2016 ~ xm cre Ejornplo de funclonamlontor Gat-ciipboard Format Pileproplist 7.2.2. COMPRIMIR Y DESCOMPRIMAR ‘Con los cmd-lets compress-Archive y ‘comprimir y descomprimir ZIPs, Ejemplo compresion: Compr PS C:\> Compress-Archive ~Path "¢:\TES2\SYSADMIZ. zip" ~Vexbo: \FOLDER -DestinationPath Ejemplo descompresion: Exp: ra [es c:\> Expand-Archive "C:\TEST\SYSADMIT. zip" BagsWS2016LABS ~ winoows Senven 2018 ~ 7.2.3. FORMATO HEXADECIMAL Con fo:mat-hox podemos convertir a Hexadecimal Ejemplo conversion a hexadecimal: Formathex PS C:\> echo SYSADMIT |format-hex 40 01 02 03 08 05 06 07 08 09 0A aB 0c OD OF OF Ejemplo, binario ca:1c .exe, en formato hexadecimal: Get-ContentC:\Windows\systen32\cale. exe | format-hex|more zm:Sfalse ~verbose clear-Recy ‘Con ~cenfirm:$£213e, no pide confirmacién 7.2.5, SKIPLAST DE SELECT-OBJECT Encontremos el cmdlet select-object, en la primera version de PowerShell -47-WS2016LABS - winoows SERVER 2016 ~ sa cme Select-object nos permite fra la salida de un emd-et. En la vorsién 5 de PowerShell, se afiade el parémotro Skiplast al omddet Select-object. Skiplast X, permte omit las ultimas x lines. ‘Veamos un ejemplo: notepad.exe regedit exe spluowsi exe }wintip32 exe feitesexe [Get-chitartem c:\windows\*.oxe |Select-Object Nane ~Skiplast 6 vam Jprsve-exe explorer.exe HelgPane.exe = Con Skiplase;los ultimos 6 ficheros * exe no son mostrados, 7.2.6. SYMLINK, HARDLINK Y JUNCTION Como vimos en el fbro: “WFS - Windows File Server, el sistema de ficheros NTFS permite Syminks, Hardlinks y Junctions. A partir de PowerShell v.5, podemos administrar este tipo de elementos con PowerShell Sobre el cméd-let New-1ten, al pardmetro -Itemtype, se ha afiadido! Synbolichink, HardLink y Junction, Ejemplo de creacién de Junction: Now-Itom -Itemtyse Junction ~Path C:\TEST\WIN -Value C:\Windows -48-WS2016LABS 7.2.7. PARAMETRO DEPTH Con el pardmetro -Depth, podemos definir el nivel de profundidad de rocursividad, Por ejemplo: chitarton, eolo nos mostraré los fichoros y directofos del directorio. C:\Program Files y os del siguiente subdirectorio (-Depth 1). 7.2.8. VISOR DE LOG DE WiNDOWSUPDATE. ‘Sobre Windows 10 0 Windows Server 2016, los logs de Windows Update, uedan almacenados en el siguiente directorio: C:\Windows \Logs\Windowstpdate Ys ficheros de log estan en formato ETL (Event Trace Log). Los ficheros en formato ETL pueden leerse desde el Visor de eventos (eventvwr.me. ‘Con PowerShell v.6, también disponemos del omdet: Got~ WindowsUpdatelog Con Get-Windowspdateliog, podemos generar un fichere de texto a partir de los fcheros ETL. Por defecto, el fichero de texto generado quedara ubicado en el escritorio con el nombre: Windowstipdate. log -49-WS2016LABS ~ Winoows Seaver 2016 ~ xen cents 7.2.9. Ger-IreMPRoPERTWVALUE Utiizando el emd-et Get-rtenPropertyValue, nos dewelve directamente l valor de una cave del registro: Ejemplo, consulta de clave en el registro para averiguar si tenemos activado ROP: TE GIS Gab TiaabiapgrtVValus “WHDU SPER CentContoi 7.3. GPOS RELACIONADAS CON POWERSHELL En versiones ansriores de Windows Server, es posible realizar GPOs que Policies > Administratve templates > Windows ‘Components > Windows PowerShell + Para GPOs de usuario User Configuraton > Policies > Administrative templates > Windows ‘Components > Windows PowerShell En Windows Server 2016, se incluyen nuevas GPOs relacionadas con PowerShell ‘Veamos dos ejenplos: + Tum on PowerShell Scit Block Legging: Nos permite registrar an ol visor 4e evonios (eventvre.mec) los bloqué0s debido 8 la politea de ejecucion de scripts En el siguiente ejemplo, donde tenemos la GPO aplicada, vemos: = La poltica de resticcién de serpts esta en modo "Restricted" = Se ejecutaun script de PowerShell y aparece un error. = El error queda registrado en forma de evento dentro del apartado: Microsoft-Windows-Powershel1/Operational. -50-WS2016LABS Gi fret roperis- Event 10 Powerell Mirset WndowPoweShe) | Genet [aie ror Mesage = Fe CAPS Sept Te pl cant Be ade Bacau nrg [asbied on ths ssten. For more information se abo featon Pat teas merce com be 3570 Merah Windows Poweshel/Opentions PoweShel Micrsoh Wied logget 1408/2056 a0, Tak Cotegeny facing inte ‘+ Tum on PowerShell Transcription: Nos permite activar los transcriptions de las consolas de PowerShell y especifcar una ruta donde ubicaries. Como vimos en el libro "WS2012LABS — Windows Server 2012’, los transcritions se introducen en la version de PowerShell 3.0 y permiten ‘guardar en un fichero de texto todas las acciones realizadas en la sesion de Poworsholl Enel siguiente ejemplo vemos: En el lado servidor (controlador de dominio), configuramos la GPO sobre el objeto, en este caso: un equipo, indicando una ruta de recurso compartdo: \\s1\GPO-PS-Transcripts, = En el lado cliente, abrimos una sosi6n de PowerShell, ejecutamos algin cemdset y abrimos el fichero de texto ubicado en el recurso compartido ‘especificado en la GPO. 51