Uno de los mayores problemas con los que se encuentra un administrador de sistemas, es la necesidad de apagar fuegos continuamente, solucionando problemas que necesitan acciones inmediatas y dedicando poco tiempo a actividades de mayor relevancia que le permitan mejorar la infraestructura sobre la que opera. No en vano, hay estudios que dicen que el tiempo que dedica un técnico de sistemas a solventar problemas recurrentes está en torno a un 80% de su jornada, mientras que solo dedica un 20% del tiempo a operación, mejora, etc.
Desde Jotelulu hemos pensado que podríamos ayudar al SysAdmin a optimizar su tiempo de trabajo, haciendo pequeñas recomendaciones, como por ejemplo la que nos ocupa hoy: seleccionar algunas de las herramientas más útiles para administradores de sistemas Windows.
En esta ocasión, haremos un repaso de algunas herramientas que nos facilita Microsoft, pero no de manera integrada con sus versiones de Windows, sino, con descargables desde su base de conocimiento, actualmente llamada “Microsoft Docs”, y donde residen grandes cantidades de manuales, documentación, tutoriales e incluso herramientas como las que nos ocupan ahora.
Herramientas para Administradores de Sistemas
Las herramientas para administradores de sistemas que trataremos hoy están todas recogidas dentro de “Microsoft SysInternals”, una suite de herramientas y ayudas para técnicos de sistemas creada por Mark Russinovich en 1996.
Como no tenemos tiempo para analizarlas todas, vamos a hablar de 5 herramientas que pueden ser bastante útiles en el día a día, y que probablemente sean las mejores de entre todas las herramientas de SysInternals, al menos desde nuestro punto de vista.
Las herramientas que hemos seleccionado son:
- Process Explorer
- Process Monitor
- PsTools
- AccessChk
- TCPview
Process Explorer
Process Explorer es una herramienta realmente excelente para hacer troubleshooting. Nos permite hacer un análisis exhaustivo del rendimiento del sistema, pudiendo encontrar problemas que estén penalizando el rendimiento, además de ayudarnos a detectar malware, o virus.
Muestra todos los procesos que se ejecutan en el sistema, mostrando su árbol de ejecución y dependencias, así como el uso de CPU y memoria para cada proceso. Nos permite ver información como los comandos utilizados para iniciar el proceso, la ruta al proceso ejecutable y los servicios del sistema relacionados con el proceso.
Process Explorer, nos permite ver, igual que en el caso del administrador de tareas, estadísticas básicas de recursos, pero, además, proporciona el nombre del proveedor que creó el proceso y una descripción de qué es el proceso o qué ejecuta.
Process Monitor
Process Monitor es el complemento perfecto para Process Explorer y está diseñado para monitorizar y obtener información adicional de cada proceso del sistema, para así mejorar el entendimiento de lo que está haciendo.
Nos permite ver qué claves de registro está utilizando un programa y por tanto dónde almacena su configuración y cuáles son modificados cada vez que se realiza un cambio, qué procesos acceden a distintos recursos como por ejemplo sistemas de ficheros, a la red, incluyendo la salida a Internet, etc.
Una de las cosas que lo convierten en una herramienta tan potente y eficaz es la capacidad de filtrado que tiene, que nos permite afinar la búsqueda, y obtener información muy extensa sobre cualquier proceso y sus actividades en su sistema.
Imagen: Ejecución de Process Monitor en Windows 10 y detalle de uno de los procesos
PsTools
Otra de las herramientas para administradores de sistemas a analizar esPsTools, que no es una aplicación, sino un conjunto de aplicaciones que tienen un propósito y un trasfondo similar. El trasfondo al que nos referimos es el de explotación de procesos al estilo de UNIX System V, o sea, la instantánea de procesos.
Existe una versión de PowerShell de cada uno de ellos, por lo que muchos administradores podrán decir que estas herramientas están obsoletas, o mejor dicho, no son necesarias, ya que pueden ser suplidas por los cmdlets de PowerShell correspondientes. Es mucho más sencillo usar estos comandos que hacerlo desde PowerShell, va a funcionar de manera idéntica en cualquier versión de Windows.
Las herramientas incluidas en este pack son:
- PsExec: Permite ejecutar procesos de forma remota.
- PsFile: Nos muestra los archivos abiertos de forma remota.
- PsGetSid: Nos muestra el SID del ordenador o sistema.
- PsInfo: Nos muestra información básica y muy relevante del sistema.
- PsKill: Permite finalizar procesos en ejecución.
- PsList: Nos muestra listados de información detallada sobre los procesos en ejecución.
- PsLoggedOn: Nos muestra quién está conectado al sistema, informando de si lo hace localmente o lo hace a través del uso compartido de recursos.
- PsLogList: Nos permite volcar los registros del registro de eventos.
- PsPassword: Permite cambiar las contraseñas.
- PsPing: Se usa para medir el rendimiento de la red.
- PsService: Nos permite ver y controlar los servicios del sistema.
- PsShutdown: Nos permite realizar un reinicio o apagado del sistema de manera formzada. Lo cual es muy útil en determinados casos de saturación del mismo.
- PsSuspend: Nos permite suspender un proceso en ejecución.
AccessChk
AccessChk permite hacer una auditoría de los accesos que tienen los usuarios y grupos. Auditando los accesos a recursos de tipos como archivos, directorios, impresoras, servicios de Windows, objetos globales o incluso a claves de registro.
Funciona de manera muy sencilla, le especificamos un nombre de usuario o un grupo y una ruta, y el comando audita los permisos efectivos para esa cuenta y para esa ruta en concreto. La información de accesos que nos mostrará son los accesos efectivos.
Numerosos ejemplos que nos proporcionan en la propia página del producto y que son directamente extrapolables a nuestras instalaciones sin mucha transformación.
TCPview
TCPView es un programa que nos permite listar todas las conexiones TCP y UDP, incluyendo conexiones locales y remotas y el estado de estas. Los datos que nos presenta esta aplicación son equivalentes a la información que nos mostraría “netstat”, pero presentada de una manera un poco más amigable y con algo de información adicional.
Incluye “Tcpvcon”, la versión de línea de comandos que permite lanzar dicha aplicación desde el CLI y extraer información de cadenas concretas mediante distintas tuberías o paso de parámetros y que puede ser de gran potencia si se combina con otros comandos y programas.
“TCPView” realiza una enumeración inicial, en la que se listan los puntos finales tanto para el protocolo TCP como para UDP, mostrando aquellos que estén activos. Además, hace una traducción IP/DNS para obtener los nombres de los destinos y por supuesto, de los servicios activos.
Nos permite cerrar aquellas conexiones TCP/IP establecidas que consideremos convenientes, lo cual puede ser muy útil en caso de tener sospechas de tener una brecha de seguridad o cualquier otro tipo de evento. Por último, nos permite guardar una ventana de salida en un archivo para poder estudiarlo posteriormente.
Imagen: Ejecución inicial de TCPview sobre Windows 10
Cerramos por hoy el repaso de útiles herramientas para administradores de sistemas, aunque en breve volveremos a publicar nuevos listados de utilidades, a ser posible gratuitas.
Esperamos que esta información os sea útil y os ayude a gestionar mejor vuestros sistemas Microsoft, tanto servidores como clientes.
¡Un saludo!