UT-02- Procesos
Administración de Sistemas Operativos (ASO) Página 1
1 - Manipulación de procesos En Windows, los usuarios con ciertos permisos podemos, sobre los procesos, modificar la
prioridad de un proceso, llevarlos primer o a segundo plano. En este apartado debes identificar
algunos procesos:
a) Procesos que cree el sistema operativo (sistema y servicios).
Lsass.exe es el proceso del Servicio de autenticación de seguridad local de Microsoft,
responsable de la autenticación de identificación de usuario y la aplicación de políticas de
seguridad. Ayuda a verificar usuarios que se conectan en un ordenador con Windows, maneja
cambios de passwords y crea tokens de acceso, lo que encapsula información de seguridad
esencial. También es utilizado por los administradores para actualizar contraseñas y perfiles de
usuario.
ntoskrnl.exe es responsable de servicios centrales del sistema, como: la virtualización
del hardware, el control de procesos, la gestión de memoria, etc. por lo que constituye un
módulo fundamental del sistema operativo.
b) Procesos que creemos nosotros (usuarios).
Procesos como IDLE de Python o navegadores como Internet explorer son creados por
los usuarios. Son procesos que el mismo usuario normal (no hace falta ser Administrador)
puede modificar, parar o priorizar:
UT-02- Procesos
Administración de Sistemas Operativos (ASO) Página 2
c) Procesos a los que les podamos modificar su prioridad.
Si nos movemos a la pestaña “Detalles” podemos establecer prioridades a cada
proceso haciendo clic derecho sobre ellos:
d) Procesos que podamos terminar con ellos.
explorer.exe es el proceso que administra la interfaz del usuario (intérprete de
comandos) y también la interfaz gráfica de Windows (el escritorio). Es un proceso del sistema
que se puede finalizar. Para reactivar el proceso explorer.exe y volver a utilizar la interfaz
gráfica, se deberá iniciar el administrador del programa (CTRL+ALT+DEL), luego seleccionar
"Abrir" y entrar en explorer.exe.
Cualquier proceso iniciado por el usuario podrá ser finalizado en cualquier momento.
Deberemos tener cuidado con el momento de finalizarlo para no afectar al correcto
funcionamiento del equipo.
UT-02- Procesos
Administración de Sistemas Operativos (ASO) Página 3
2 - Utilización del sistema de archivos como medio lógico para el
registro e identificación de los procesos del sistema (Windows). La información asociada a los procesos se registra en ficheros. A partir de esta información
podemos realizar, entre otras muchas, tareas de auditoría o de análisis de rendimiento. Una
herramienta muy utilizada es el Visor de Eventos o similar (depende de la versión de Windows
Server utilizada).
En este apartado debes utilizar la herramienta Visor de Eventos y aprender a
utilizarla: tipos de eventos, utilizar filtros de búsqueda, etc.
El Visor de eventos es un complemento de Microsoft Management Console (MMC) que
permite consultar y administrar de una forma potente y centralizada la información contenida
en los múltiples registros de eventos (logs) de las aplicaciones y servicios de Windows. Desde
el visor de eventos podremos realizar las siguientes tareas:
Consultar los eventos que se hayan producido.
Crear filtros para los eventos que más nos interesen y almacenarlos como vistas personalizadas que podemos volver a utilizar en cualquier momento.
Programar una tarea para que se ejecute en respuesta a una situación específica.
Establecer suscripciones a determinados eventos.
UT-02- Procesos
Administración de Sistemas Operativos (ASO) Página 4
Un ejemplo de filtro sería este. Quiero que me captures lo que pasó en la ultima hora, que el
nivel del evento sea critico y que tenga que estar relacionado con el servicio de nombres de
dominio (DNS) para todos los equipos y usuarios:
Un tipo de evento muy importante es el relacionado con la Seguridad. Para
ver su funcionamiento tienes que acceder a las directivas de grupo y en
Configuración de Equipo / Configuración de Windows ir a Directivas de auditoría y
auditar aquello que quieras. Es conveniente que no configures todo a la vez para ver
mejor los resultados.
UT-02- Procesos
Administración de Sistemas Operativos (ASO) Página 5
Voy a auditar la administración de cuentas de usuario:
Una vez habilitada la auditoría voy al visor de eventos y veo que se ha hecho correctamente:
Una vez que hayas realizado la configuración, crea algún usuario, grupo o UO,
introduce una clave de usuario mal en varias ocasiones, intenta hacer login con una
cuenta inexistente, intenta acceder a una carpeta a la que no tengas permisos, apaga
el ordenador escribiendo un mensaje personalizado, etc. Todo esto queda reflejado.
Intenta localizar estas situaciones y captura las pantallas.
UT-02- Procesos
Administración de Sistemas Operativos (ASO) Página 6
Quiero auditar si hay bloqueo de cuenta de los usuarios (aciertos y errores), el inicio y cierre de
sesión o si la validación de los credenciales de los usuarios es incorrecta:
Aquí veo como figuran los errores de credenciales, los cambios en las directivas y el correcto
cierre de sesión de un usuario (en este caso fue mark-1 en el equipo de MARKETING:
UT-02- Procesos
Administración de Sistemas Operativos (ASO) Página 7
3 - Herramientas gráficas y comandos para el control y
seguimiento de los procesos del sistema (Windows). Una de las herramientas gráficas más utilizadas es el Administrador de tareas.
En este apartado debes estudiar la herramienta gráfica y buscar los comandos
PowerShell relacionados.
Con el comando taskgmr podemos abrir el administrador de tareas desde PowerShell:
Con tasklist nos muestra una lista de tareas:
Con get-process vemos una lista detallada de cada proceso:
UT-02- Procesos
Administración de Sistemas Operativos (ASO) Página 8
Detenemos procesos con taskkill <nombre proceso>. Con /F podemos forzar el cierre del
proceso seleccionado.
Con get-service podemos ver los servicios del sistema tanto los que están funcionando como
los que se encuentran parados:
4 - Práctica propuesta Añadir, en Windows Server 2012, la posibilidad de arrancar de forma normal
(tal como está actualmente), en “Modo seguro” (lo acabamos de hacer) y “Modo de
restauración de SD” (la debes hacer tú)
Para que el equipo pueda arrancar en el modo de restauración de servicios de directorio
deberemos ir a las opciones de arranque: Ejecutar > Escribir “msconfig” > Arranque
En la casilla de arranque a prueba de errores marcamos la opción de “Reparar Active
Directory” y la próxima vez que iniciemos el equipo iniciará de esta manera.
Podemos hacer este arranque permanente marcando la casilla de abajo a la derecha.
UT-02- Procesos
Administración de Sistemas Operativos (ASO) Página 9
5 - Otras herramientas que debes estudiar: He descargado la herramienta System Explorer. Veo que su interfaz es en forma de árbol y
parece mucho más completa que otras herramientas:
El funcionamiento parece simple y guiado y por lo que veo puedo modificar prioridades,
terminar procesos, suspenderlos, etc.
Esta herramienta tiene ciertas ventajas con respecto al administrador de tareas de Windows.
Por ejemplo puedes ver qué procesos dependen de otros con la vista de árbol (CTRL+T en la
pestaña Procesos). Te puede ser útil, por ejemplo, para saber qué proceso hace que un
programa no funcione correctamente. Además te permite comprobar si los procesos son
corruptos o no, con la herramienta “Virus Total” que viene integrada (File Check):
UT-02- Procesos
Administración de Sistemas Operativos (ASO) Página 10
Además también tiene la herramienta del rendimiento del equipo y otra bastante importante,
puedes ver el tráfico de datos de tu sistema con los del dominio y exteriores.
La herramienta en general parece bastante completa y eficaz. Sería de gran ayuda para la
administración del servidor.
UT-02- Procesos
Administración de Sistemas Operativos (ASO) Página 11
6 - Contesta a las siguientes cuestiones
1.-El administrador de un servidor que cuenta con 8 núcleos donde está instalado
Ubuntu Server decide valorar el rendimiento del equipo. Para ello ejecuta el comando top y
obtiene, entre otra, esta información:
load average: 2.5, 2.45, 160.5
Se pide:
a) ¿Qué podemos deducir de estos valores? Load average representa la carga de la maquina. El primero determina la carga que el
sistema tenía hace un minuto, el segundo hace 5 minutos y el último, hace 15 minutos.
Podemos observar que la carga del sistema hace 15 minutos es altísima, con muchos
procesos activos. La carga de la maquina más reciente es bastante baja.
b) ¿Cuál sería el valor de id más probable en los instantes dados? El valor de “id” determina el tiempo de inactividad de la CPU. En este caso el valor de
id no puede ser alto porque ha trabajado mucho en el periodo de 15 minutos.
2.- En los escenarios que se presentan a continuación, el sistema va muy lento. A
partir de los valores dados, intenta deducir donde se encuentra el problema y cómo se podría
solucionar (si es que se puede).
a) us tiene un valor muy bajo; sy tiene un valor muy bajo; id tiene un valor bastante
alto; wa tiene un valor bastante bajo y la cantidad de memoria usada con respecto a la total
es muy bajo.
El valor de id es bajo, por lo que la CPU no está trabajando apenas. Si la CPU no está
trabajando podemos deducir que la lentitud del sistema se debe al E/S de la red o al disco. El
problema no es el usuario, ni la RAM ni de adaptador de red. Lo más seguro es que el disco
duro esté lleno (/tmp estará hasta arriba).
b) us tiene un valor muy bajo; sy tiene un valor muy bajo; id tiene un valor bastante
alto; wa tiene un valor bastante bajo y la cantidad memoria usada menos el tamaño de cache
es muy alto. Swap used tiene un valor muy alto.
Es muy probable que tengamos problemas de memoria, algún proceso o procesos
usan demasiada memoria (RAM llena) y el sistema se vuelve lento.