[15/09/2023] Los sistemas operativos necesitan un mínimo de mantenimiento para funcionar correctamente a largo plazo. Aunque Microsoft ya incluye algunas herramientas importantes, muchos profesionales desean o necesitan herramientas más potentes y útiles que les ayuden a la hora de utilizar sistemas Windows.
Afortunadamente, Microsoft proporciona numerosas herramientas gratuitas que ayudan con el análisis, el mantenimiento y la solución de problemas. Algunas de estas herramientas son útiles para todos en el uso diario, mientras que otras sólo son necesarias en situaciones especiales.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
Hay varias razones por las que las herramientas no se incluyen como equipamiento estándar de Windows. Debido al gran número de funciones diferentes, la necesidad de estas herramientas específicas a menudo no es obvia a primera vista, y a veces hay que crear primero los requisitos previos para utilizar las herramientas. En este artículo explicaremos cómo utilizar las herramientas de Microsoft Sysinternal para que pueda realizar el mantenimiento necesario o analizar y solucionar problemas en Windows de forma óptima y eficiente.
Configuración de las herramientas Sysinternals de Microsoft
En el pasado, si quería desarrollar herramientas relacionadas con el sistema para Windows, necesitaba un conocimiento profundo del sistema operativo. Eso fue hasta 1996, cuando los programadores Mark Russinovich y Bryce Cogswell programaron software de diagnóstico para Windows para su empresa Winternals Software LP. En el 2006, Microsoft se hizo con la empresa y empezó a distribuir este software por su cuenta.
Bajo el nombre de Sysinternals, estas herramientas se desarrollan y adaptan continuamente para las nuevas versiones de Windows, como Windows 10 y 11, y se ponen a disposición para su descarga gratuita. Algunas de las herramientas ofrecen una interfaz gráfica de usuario, mientras que otras se inician mediante Powershell o el símbolo del sistema. En Descargar encontrará las herramientas individuales y también la suite Sysinternals, que contiene casi todas las más de 60 herramientas.
Configure cómodamente las herramientas de Sysinternals: El Centro de Control del Sistema de Windows (WSCC) descarga las herramientas y proporciona breves descripciones.
Sin embargo, recomendamos el Centro de Control del Sistema Windows (WSCC, por sus siglas en inglés) para instalar las herramientas de Sysinternals. Descarga todos o sólo los programas deseados de Microsoft, y también se encarga de actualizar estas herramientas en el futuro.
Una vez descargado WSCC, colóquelo en una carpeta con un nombre corto y sin espacios ni caracteres especiales, por ejemplo C:WSCC o C:ToolsWSCC. Esto facilita el uso de las herramientas de línea de comandos.
Cuando lo inicie por primera vez, podrá configurar algunas opciones. Sin embargo, normalmente basta con confirmar con OK. En la ventana Fuentes de software, seleccione los paquetes de herramientas para la instalación. Haga clic en Aceptar y, a continuación, en Sí. En la siguiente ventana, puede especificar la ruta de instalación. Acepte la ruta predeterminada.\ SysInternals Suite haciendo clic en Aceptar. A continuación, haga clic en Instalar para descargar todas las herramientas o puede quitar las marcas de verificación de las que no necesite.
WSCC muestra la categoría Sysinternals Suite en la vista de árbol a la izquierda de la ventana y grupos como Archivo y Disco, Red y Seguridad debajo de ella. La lista con las herramientas asociadas aparece en la parte derecha de la ventana. Junto a cada programa hay un botón para iniciar la herramienta, y a veces un botón ? que lleva al archivo de ayuda.
La suite Sysinternals contiene algunos programas con un 64 adicional en su nombre. Estas son las versiones de 64 bits. En WSCC puede poner una marca de verificación delante de Iniciar la versión de 64 bits si está disponible a través de Configuración en General. Entonces, si está disponible, se iniciará la herramienta de 64 bits.
Configuración de la línea de comandos: Para que las herramientas puedan iniciarse en Powershell o en la línea de comandos sin especificar una ruta, configure la variable de entorno "Path".
Configuración de las herramientas de la línea de comandos: Puede iniciar cada herramienta mediante el Explorador de Windows o el símbolo del sistema directamente desde el directorio de descarga. En Powershell o símbolo del sistema es necesario poner el directorio delante del nombre del programa. Esto puede evitarse incluyendo la carpeta en la variable de entorno Path. Para la configuración, busque variables de entorno en Configuración (Win-I) y haga clic en Editar variables de entorno para esta cuenta en el resultado de la búsqueda. Haga clic en Ruta en Variables de usuario y luego en Editar. Utilice Nuevo para añadir el directorio en el que se encuentran las herramientas de Sysinternals. A continuación, éstas pueden iniciarse simplemente por su nombre.
Explorador de procesos: ¿Qué se está ejecutando actualmente en el PC?
Explorador de procesos: La herramienta muestra todos los procesos en ejecución con nombres y descripciones y proporciona información sobre la carga de la CPU y los requisitos de memoria.
Mientras su computadora está en funcionamiento, se ejecutan en él aplicaciones que usted mismo ha iniciado, así como numerosos procesos y servicios en segundo plano. El Administrador de tareas de Windows, que puede iniciarse con Ctrl-Shift-Esc, muestra todas las aplicaciones que se están ejecutando actualmente en la computadora. Cuando el Administrador de tareas está abierto en Windows 10/11, primero haga clic en Más detalles en la parte inferior izquierda y luego vaya a la pestaña Detalles para ver una lista de todos los programas en ejecución. Los usuarios de Windows 11 a partir de la versión 22H2 pueden hacer clic directamente en Detalles en el panel izquierdo.
La herramienta de Sysinternals Process Explorer (Procexp.exe, Procexp64.exe) ofrece aún más funciones que el Administrador de tareas de Windows. El programa muestra lo que está sucediendo actualmente en la PC a través de fondos de color. Los procesos que se acaban de iniciar aparecen resaltados en verde, los que se están terminando aparecen en rojo.
Haciendo clic en las cabeceras de las columnas, esta lista puede ordenarse por nombre, carga del procesador (CPU) y carga de memoria (Bytes privados). Esto permite encontrar las aplicaciones que ocupan mucha memoria principal o que exigen mucho al procesador.
Historial de rendimiento: Las Propiedades de un proceso pueden utilizarse para observar cómo evoluciona la carga del procesador, los requisitos de memoria y los accesos al disco duro (E/S).
Haciendo clic en Propiedades en el menú contextual se obtiene información más detallada. Las pestañas Gráfico de rendimiento y Gráfico GPU ofrecen una visión gráfica de las actividades del procesador y la memoria durante un periodo de tiempo más largo. Y la pestaña TCP/IP te muestra a qué recursos de red está accediendo una aplicación en ese momento.
Si un proceso se bloquea, puede cerrarse con la opción Matar proceso del menú contextual o reiniciarse con Reiniciar. Tenga en cuenta, sin embargo, que esto sólo funciona si tienes los derechos de acceso necesarios. Si no es así, vaya a Archivo -> Ejecutar como Administrador para iniciar el Explorador de Procesos con los derechos necesarios.
¿Procesos peligrosos?: Si algunos procesos le parecen sospechosos, vaya a Buscar en Internet en el menú contextual. Esto iniciará una búsqueda en Internet del nombre del proceso en el navegador, que le proporcionará más información. Si sospecha que se trata de malware, vaya a Comprobar Virustotal.com en el menú contextual. La primera vez que lo invoque, tendrá que confirmar las condiciones de uso de www.virustotal.com. Para comprobar todos los programas en ejecución, vaya a Opciones -> VirusTotal.com -> Comprobar VirusTotal.com.
En la columna VirusTotal podrá ver los resultados del análisis de virus. Si un programa muestra 0/75, por ejemplo, probablemente puede sentirse seguro clasificando el archivo como inofensivo. Si aparece 1/75, uno de los 75 escáneres de virus ha encontrado un archivo sospechoso. Haga clic en el resultado de Virustotal para abrir el informe de la prueba en el navegador. Si sólo uno o dos escáneres de virus han informado de anomalías, puede suponer que han detectado un virus por error: una falsa alarma. Si hay más, también podría tratarse de malware. En este caso, haga clic en Comportamiento o Comunidad en el sitio web de Virustotal para obtener más información sobre el archivo. En caso de duda, desinstale el programa afectado y analice a fondo el sistema con un software antivirus actualizado.
Autoruns: Reducir los inicios automáticos de programas
Arranques automáticos bajo control: Autoruns muestra todas las rampas de inicio automático. Para los programas que no necesita, simplemente quite la marca delante de su nombre.
Como la mayoría de la gente sabe, un Windows recién instalado arranca rápidamente y reacciona sin retrasos. Por desgracia, esto suele cambiar con el tiempo. La razón de esta ralentización se debe a programas que se configuran para iniciarse automáticamente durante la instalación. Un programa de este tipo puede entonces, por ejemplo, buscar actualizaciones o esperar eventos en segundo plano. Sin embargo, esto retrasa el inicio de Windows y ralentiza el sistema. Ninguno de los programas de inicio automático es realmente necesario, pero pueden ser útiles. Por lo tanto, debe sopesar en cada caso si un programa de inicio automático es importante para usted y si desea aceptar un retraso en el inicio del sistema por ello.
Sysinternals-Autoruns: Sysinternals-Autoruns (Autoruns.exe, Autoruns64.exe) enumera todas las rampas de inicio automático y también puede mostrar y gestionar extensiones para el Explorador de Windows y Microsoft Office.
Tras iniciarse, la herramienta muestra varias pestañas para las distintas áreas. Encontrará que la pestaña más práctica es la de Todo, que muestra todo junto. La lista es bastante larga, pero puede limitarse a través de Opciones -> Ocultar entradas de Microsoft para ocultar los productos que no proceden de Microsoft y mostrar sólo el software añadido posteriormente de otros fabricantes.
Elimine las marcas de todas las entradas que no necesite: esto no borra nada. Si más tarde resulta que un programa debería iniciarse automáticamente después de todo, siempre puede volver a marcar la casilla.
Utilice Archivo -> Ejecutar como Administrador para iniciar Autoruns con derechos ampliados. Por regla general, esto no es necesario a menos que, por ejemplo, los servicios del sistema deban ser desactivados en Servicios. Sin embargo, se recomienda precaución en este caso. No desactive los servicios de Microsoft, ya que puede provocar fallas de funcionamiento.
Guardar y comparar: Después de instalar algún software en su computadora, es probable que aparezcan nuevas entradas de inicio automático. Para evitar tener que buscarlas, guarde el estado actual en un archivo mediante Archivo -> Guardar. Más tarde, el estado guardado puede compararse con la configuración actual mediante Archivo -> Comparar. La herramienta resalta las entradas nuevas en verde, las eliminadas aparecen en rojo.
Examinar los procesos más de cerca: A veces no está claro qué programa se oculta tras una entrada de inicio automático y cuál es su función. Al igual que con el Explorador de procesos, haciendo clic con el botón derecho del mouse, puede seleccionar Buscar en línea e iniciar así una búsqueda en Internet en el navegador por el nombre del proceso.
Compruebe la seguridad: Envíe archivos sospechosos a Virustotal.com. El resultado muestra si uno o más escáneres de virus encuentran malware en el archivo.
También puede realizar una comprobación de seguridad, similar a la del Explorador de procesos, mediante la opción del menú contextual Enviar archivo a VirusTotal o Comprobar VirusTotal.com. Si Virustotal informa de muchas detecciones de virus, ese programa posterior debería examinarse con más detenimiento y, en caso de duda, borrarlo o cambiarle el nombre.
Monitor de procesos: Examine el comportamiento de los programas
Un antivirus puede detectar malware en un programa o clasificarlo como peligroso por su comportamiento. Sin embargo, también puede examinar por su cuenta a qué archivos individuales, entradas del registro o recursos de red accede un programa, y descubrir así cualquier comportamiento indeseable.
Este tipo de información puede determinarse con la ayuda del Monitor de Procesos (Procmon.exe, Procmon64.exe). Sin embargo, no es una tarea fácil, porque casi todos los programas acceden constantemente al disco duro o a la red, y es difícil filtrar la información relevante de entre las masas de datos.
Monitor de procesos: La herramienta muestra a qué recursos del sistema está accediendo un programa. Por ejemplo, se pueden determinar los accesos al registro, a los archivos y a la red.
La monitorización comienza inmediatamente después de iniciar el Monitor de Procesos. Se puede detener la grabación al cabo de poco tiempo con la combinación de teclas Ctrl-E. La ventana del programa muestra una lista cronológica de los accesos de todos los programas activos. En Nombre del proceso encontrará el nombre del programa que realizó una acción, en Operación la acción. Por ejemplo, RegQueryValue significa que el programa ha consultado un valor del registro.
Se puede utilizar un filtro para examinar un programa específico. Abra el programa que desea examinar, haga clic en el ícono con el objetivo (Incluir proceso desde la ventana) en el Monitor de procesos, mantenga pulsado el botón izquierdo del mouse y arrastre la cruz reticular hasta la ventana del programa que desea examinar. Vaya a Filtro -> Filtro. Ya debería haber algunas entradas en la lista y puede, por ejemplo, excluir el propio Procmon.exe del examen. Al principio está la línea PID is [ID] include, donde [ID] es el ID del proceso del programa seleccionado. En la ventana principal de Process Monitor, active la grabación con la combinación de teclas Ctrl-E.
Cree un filtro para Process Monitor: Utilice un filtro para restringir el registro a los eventos que son importantes para usted, como el acceso a la red.
Para una configuración alternativa, vaya a Filtro -> Filtro y haga clic en Restablecer. En Mostrar entradas que cumplan estas condiciones seleccione la entrada Nombre del proceso. A la derecha, introduzca es y, tras él, el nombre del programa que desea examinar, incluida la extensión de nombre de archivo .exe. Al final de la línea, seleccione Incluir. A continuación, determine el nombre del programa, por ejemplo, mediante el Explorador de procesos. Si es necesario, defina más filtros, como Clase de evento es Red incluir si sólo le interesa el acceso a la red, o Clase de evento es Sistema de archivos incluir. Haga clic en Añadir y, por último, en Aceptar.
Una vez definida la selección de filtros, borre los eventos registrados hasta el momento con Ctrl-X e inicie de nuevo la grabación con Ctrl-E. El área mostrada en la lista de eventos también puede controlarse mediante los cinco botones de la zona derecha de la barra de herramientas.
Consejo: La herramienta Sysmon de Sysinternals puede utilizarse para registrar todos los eventos del sistema o algunos seleccionados que puedan indicar código malicioso o actividades de hackers.
PS Tools: Herramientas de línea de comandos que también pueden utilizarse para el mantenimiento remoto
Ayuda para PS-Tools: El archivo de ayuda Pstools.chm contiene descripciones de las herramientas y explicaciones sobre el significado de las opciones de línea de comandos disponibles.
Las herramientas de Sysinternals contienen varias herramientas de línea de comandos cuyos nombres comienzan por PS. Con las herramientas PS puede visualizar los procesos en ejecución, finalizar procesos o apagar el PC. La ayuda sobre las herramientas se proporciona en el archivo Pstools.chm.
Las herramientas son especialmente interesantes porque pueden utilizarse para controlar remotamente otras PC de la red. En las PC de destino, debe ejecutar las siguientes tres líneas de comando en un símbolo del sistema como administrador y, a continuación, reiniciar la PC:
sc config RemoteRegistry start=auto
sc start RemoteRegistry
reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f
Asegúrese también de que puede acceder a los recursos compartidos de red a través del Explorador de Windows, y de que está activado el uso compartido de archivos e impresoras.
Todas las herramientas funcionan en la PC local si no especifica ninguna otra opción. Para el acceso remoto, las herramientas le pedirán la dirección IP o el nombre de la PC al que desea acceder. La forma general de la llamada es
tool.exe \[IP] -u [Benutzer] -p [Passwort] [weitere Optionen] (otras opciones)
Para tareas que no requieran derechos administrativos, establezca el nombre de un usuario estándar como [usuario], de lo contrario utilice una cuenta que tenga derechos administrativos. Por ejemplo
psexec \[IP] -u [Benutzer] -p [Passwort] powershell.exe
Puede utilizar un Powershell de forma interactiva en la otra PC. El comando para ello es
psshutdown -r -t 10 \[IP] -u [Benutzer] -p [Passwort]
La PC remota se reiniciará después de 10 segundos.
Apagado remoto: Con la herramienta Psshutdown, se puede reiniciar una PC a través de la red. La PC de destino debe estar configurada para el acceso remoto.
Manejar: Desbloquear carpetas bloqueadas
A veces no es posible eliminar o renombrar carpetas o archivos. El mensaje de error dice La acción no puede completarse porque la carpeta (o un archivo en ella) está abierto en otro programa. Se recibe un mensaje similar cuando se intenta expulsar una unidad USB, pero un archivo abierto lo impide. Por desgracia, Windows no suele indicar en qué programa exactamente está abierto el archivo o la carpeta. La herramienta de Sysinternals Handle Viewer (handle.exe, handle64.exe) es un poco más habladora. Ejecútela en un Powershell o símbolo del sistema que inicie con derechos administrativos. Puede llamar a la herramienta con
handle C:[MeinOrdner]
Handle Viewer mostrará la ruta completa a la carpeta o archivo afectado por el marcador de posición. También mostrará el nombre del programa, su ID de proceso y el ID del manejador. Si el programa aún se está ejecutando, puede cerrarlo para detener el mensaje de error.
¿Quién está bloqueando un archivo? Handle muestra qué proceso acaba de abrir un archivo exclusivamente. En caso necesario, también se puede cerrar el manejador del fichero.
Si el programa se ha bloqueado en segundo plano, cierre el handle introduciendo el comando
handle -p [Prozess-ID] -c [Handle-ID]
Al hacerlo, sólo se cerrará el manejador, el programa en sí suele seguir ejecutándose. Sin embargo, en el caso de archivos no guardados, es probable que esto provoque la pérdida de datos, así que tenga cuidado.
Basado en el artículo de Thorsten Eggeling (PCWorld) y editado por CIO Perú