Windows To Go (Parte 2/2): Configuración automática utilizando el Workspace Creator Tool.

Win8Togo-250x239

Hace apenas unos días, iniciamos esta serie de dos artículos acerca de Windows To Go, la primera parte, nos adentramos un poco sobre la introducción general de la característica, y aprendimos a realizar la Configuración manual del dispositivo; hoy veremos el paso a paso específico para preparar el Espacio de trabajo utilizando la herramienta embebida en Windows 8 Enterprise llamada: “Create a Windows To Go workspace” (pwcreator.exe).

Los requerimientos son básicamente los mismos especificados en el artículo anterior, es decir:

Windows 8 Enterprise.

– Memoria USB 3.0 compatible con Windows To Go, o un dispositivo USB (Como un disco externo por ejemplo) de preferencia, también 3.0.

– Equipo técnico con Windows 8 Enterprise instalado donde se prepare el Área de trabajo.

– Equipo de referencia donde se pueda probar Windows To Go (Puede ser el mismo equipo técnico).

*Nota: Con el asistente, en caso de querer utilizar una USB, tiene que cumplir con los requerimientos de Windows To Go, de lo contrario, no permitirá ni siquiera iniciar y habría que probarla con la configuración manual.

Configurando Windows To Go con el Worskpace creator

Desde el Equipo técnico con Windows 8 Enterprise, ejecutamos el Workspace, para esto, abrimos la Pantalla de Inicio (Tecla Windows), y digitamos: pwcreator.exe y presionamos la tecla ENTER.

Nos saldrá la ventana de Create a Windows To Go Workspace, abajo tendremos referenciados todos los dispositivos USB que tengamos conectados al equipo, por supuesto, los que no funcionen, el asistente nos indicará con un mensaje inferior y no dejará avanzar:

image

Debemos seleccionar el disco extraible USB, o la memoria compatible con Windows To Go, y hacer clic en el botón Siguiente (Next).

image

En la página de Seleccionar una imagen de Windows 8 (Choose a Windows 8 image), es donde referenciaremos la carpeta que contenga los archivos de instalación de Windows 8, o bien, la unidad de DVD, sea física o virtual.
Para hacer esto, hacemos clic en el botón Agregar ubicación de búsqueda (Add search location), indicamos la locación, y después de un breve análisis, el asistente nos debe mostrar qué edición está disponible a instalar y en qué directorio se encuentra. Tengamos presente que nosotros podremos agregar varias ubicaciones de búsqueda:

image

Al finalizar, seleccionamos el nombre dependiendo a la ubicación que tenga la imagen que deseamos desplegar, y hacemos clic en el botón Siguiente (Next) para continuar.

*Nota: El asistente buscará entre todos las carpetas y subcarpetas de la ubicación especificada por el archivo de imagen install.wim (Mismo que se utiliza en el proceso manual y que contiene toda la instalación de Windows).

En la página de (Establecer una contraseña de BitLocker (Opcional)) “Set a BitLocker password (Optional)”, podremos habilitar nuestro dispositivo para que la unidad del sistema se encuentre totalmente cifrada al momento de la implementación, esto por supuesto, nos dejará agregar una protección impenetrable y adicional al dispositivo. Pueden ver más acerca de BitLocker en este artículo.

image 

Es decisión de cada uno si habilita BitLocker o no, después de esto, hacemos clic en Siguiente (Next) para continuar.

En la página de Listos para crear tu área de trabajo de Windows To Go (Ready to Create your Windows To Go Workspace), nos aseguramos de tener todos los archivos importantes del dispositivo guardados puesto que se borrarán, y hacemos clic en el botón Crear (Create) para iniciar el proceso de creación del Área de trabajo de Windows To Go.

image

Iniciará entonces el proceso de creación de Windows To Go, donde primero prepará el dispositivo, luego aplicará la imagen, y por último establecerá la serie de políticas para esconder las unidades locales y el mismo dispositivo, además de habilitar BitLocker (Si así se dispuso en el asistente previo):

image

*Nota: Esto puede tardar más o menos minutos, dependiendo del tipo de dispositivo.

Finalmente, el asistente nos mostrará una última ventana donde pedirá si establecemos el inicio de una vez en el equipo desde Windows To Go, o bien, terminar sin establecerlo.

image

*Nota: Este modo de inicio se puede establecer sólo desde un Windows 8 Enterprise, en equipos con sistemas anteriores, hay que modificar manualmente los parámetros de arranque desde el firmware para referenciar la USB.

Si todo sale bien, lo primero que debemos ver al iniciar en un equipo, será la petición de BitLocker (Si se estableció):

P1060438

Como verán, Windows To Go cargará con todas las configuraciones recomendadas que debería tener el Área de trabajo, quedará solo disfrutar =)

Espero sea de utilidad.

Saludos,

Checho

Windows To Go (Parte I/2): Configuración manual

Win8Togo-250x239

Esta seríe de dos artículos sobre Windows To Go, cubren quizá, el tema que más esperaba abordar desde la salida de Windows 8 en su versión Developer Preview, y es que esta es en mi opinión, la característica más fascinante que se integró en este nuevo sistema operativo.

Aunque el resultado es en esencia el mismo, Windows To Go tiene dos procesos básicos y diferentes para configurarse, el primero es el auto aprovisionamiento con una herramienta embebida en Windows 8 Enterprise llamada Windows To Go Worskpace Creator Tool (pwcreator.exe) y a través de un procedimiento bastante familiar, utilizando técnicas y herramientas de implementación. Hoy nos concentraremos en lo segundo, y es cómo configurar Windows To Go manualmente, pero teniendo en cuenta algunos conceptos e información importante.

*Nota 1: Aunque no están ligadas más que en la característica, la Parte 2 de Windows To Go, es donde exploraremos el procedimiento de configuración utilizando la herramienta.

*Nota 2: En realidad, habrán otras foras de aprovisionar un espacio de trabajo con Windows To Go, por ejemplo, desde System Center Configuration Manager 2012 SP1, pero no los cubriré en estos dos artículos.

¿Qué es Windows To Go?

Windows To Go, nos brinda la posibilidad de generar un espacio completo de trabajo de Windows 8 instalado en un dispositivo USB compatible, esto quiere decir, que podremos arrancar con nuestra USB desde cualquier equipo que cumpla los requerimientos necesarios (Procesadores con tecnología x86 ó x64), y tendremos Windows 8 completamente funcional, con la gran cantidad de características empresariales, tal cual otra estación de trabajo, por ejemplo DirectAccess, BranchCache, funciones de seguridad, etc. Cada que Windows To Go inicie en un nuevo equipo, reconocerá todos los controladores y dispositivos y los instalará, pero mantendrá un solo perfil y nombre de equipo, además de esto, después de la segunda vez que se inicie en una misma máquina, Windows To Go estará en la capacidad de reconocerlo, y arrancar mucho más rápido que recién configurado.

Windows To Go se puede cifrar utilizando BitLocker, por lo que cada que se inicie en un equipo, podremos tener un mecanimos de autenticación adicional, por otra parte, Windows To Go tiene una serie de políticas de grupo específicas para la característica, que me agregan o deshabilitan diferentes características.
Cuando se configura utilizando la herramienta de autoaprovisionamiento, Windows To Go no mostrará las particiones del equipo host en el que se arrancó, sólo la del sistema, que será la del propio dispositivo en cuestión, aunque este comportamiento se puede modificar.

Windows To Go, y la herramienta de Windows To Go Workspace Creator, están soportados sólo en la edición de Windows 8 Enterprise, que se adquiere a través de Software Assurance, aunque técnicamente, cualquier edición, exceptuando Windows RT, se puede volver un espacio de trabajo dentro de un dispositivo USB.

Pueden encontrar más información oficial en el sitio web de Microsoft TechNet:
http://technet.microsoft.com/en-us/library/hh831833

Configurando Windows To Go manualmente

En este post, como lo mencioné antes, detallaré el paso a paso para implementar Windows To Go en un dispositivo USB manualmente, aunque se deben utilizar varios comandos, no es algo complejo, pero no deja de tener detalles importantes que iré mencionando.

Los requerimientos…

Windows 8 Enterprise en cualquier arquitectura (32 ó 64 bits). Actualmente, se puede descargar el RTM desde la página de Suscriptores MSDN y TechNet, o bien desde la de Licenciamiento por Volumen; si no tienen acceso a alguna de las anteriores, aún pueden probar Windows 8 Enterprise descargando la versión de evaluación por 90 días desde aquí: http://technet.microsoft.com/es-ES/evalcenter/hh699156.aspx?ocid=wc-bl-sprblog

*Nota: Técnicamente, a excepción de Windows RT, cualquier edición como Windows 8 ó Windows 8 Pro se puede volver un espacio de trabajo de Windows To Go, pero sólo utilizando Windows 8 Enterprise estará soportado por Microsoft.

Dispositivo USB 3.0 certificado para Windows To Go con 32 GB de espacio. Actualmente, hay dos fabricantes que tienen esta certificación: Kingston DataTraveler Ultimate y Super Talent Express RC8.

*Nota: Técnicamente, se puede implementar Windows To Go en un dispositivo USB 2.0, incluso en alguno que tenga sólo 8GB, de hecho, en este post, utilizaré uno de estas características; el inconveniente está en que la velocidad de instalación y del primer arranque, pueden ser demasiado bajas y pobres, en algunos dispositivos incluso se cae el inicio de Windows To Go por primera vez por su lentitud en escritura y lectura. Un dispositivo USB 3.0 garantiza una experiencia muy similar a la que se vive en un host actualmente.

Un equipo host que tenga puerto USB 2.0 o 3.0, en lo posible, que tenga instalado Windows Assessment and Deployment Kit (ADK) para el aprovisionamiento del Espacio de Trabajo de Windows To Go.

El equipo debe estar certificado para correr Windows 7 o Windows 8.

*Nota: En realidad, Windows To Go es independiente del sistema operativo que esté instalado en el equipo host, pero como es un sistema completo, requiere también disponer de unas capacidades mínimas en hardware, por esto se plantea el anterior requerimiento. Entonces, si se tiene un gran equipo desperdiciado con Windows XP, se puede libremente arrancar Windows To Go.

Un equipo donde se pueda iniciar desde Windows To Go. Puede ser incluso el mismo equipo host donde se configura.

Si desean ver más consideraciones generales sobre el Hardware, pueden ver el artículo oficial de TechNet: http://technet.microsoft.com/en-us/library/f82d1a0a-d8f7-4e8a-86a6-704166969a42#wtg_hardware

¡Manos a la obra!

Lo primero que haremos, para ganar agilidad en el proceso sobre todo, será copiar todos los archivos de instalación de Windows 8 a una carpeta local del sistema, ojalá que sea fácil de acceder, por ejemplo, para este artículo, yo copié los archivos a una carpeta llamada “8” en “C:”, es decir: C:8.

*Nota 1: En todo el post me estaré referenciando a esta carpeta, cada uno debe remplazarla en sus comandos por la ubicación que le corresponda.

*Nota: La copia la pueden hacer manual desde el Explorador, o bien utilizando la herramienta de xcopy.

Conectamos el dispositivo USB en nuestro Equipo host, a continuación, ejecutamos una ventana del Símbolo del Sistema con privilegios elevados desde la Pantalla de Inicio, para esto, basta con buscar CMD, seleccionar Símbolo del Sistema, y presionar CTRL + SHIFT+ENTER para elevar los privilegios, o bien, haciendo clic derecho y seleccionando “Ejecutar como administrador” en la parte inferior.

La primer parte del proceso, consiste en utilizar la herramienta Diskpart embebida en Windows, para preparar el dispositivo, así podrá tener su propia partición activa para instalar el sistema operativo, junto con algunos otros parámetros. Ejecutamos las siguientes instrucciones en orden secuencial (Una tras otra):

Diskpart

List disk
Veremos una lista de todos los discos conectados a nuestro equipo, debemos fijarnos en el número que Windows le asignó a nuestro dispositivo USB y referenciarlo en el próximo comando.

Select disk #
Donde # es el número que le corresponde al disco USB, para este caso por ejemplo, la USB era el “2”, así que mi comando sería: Select disk 2

– Clean

Create Partition Primary

Active

Format fs=ntfs quick

Assign

Attributes volume set NoDefaultDriveLetter

Exit

El proceso en la ventana del Símbolo del sistema, debe verse similar a la siguiente captura:

DISMF

*Nota: Si alguna vez han preparado un dispositivo USB para instalar Windows Vista/7/8 desde ahí, verán que el proceso es muy similar, exceptuando el comando de Attributes volume set NoDefaultDriveLetter, éste se utiliza para que una vez el dispositivo con Windows To Go se conecte en otro equipo, no se pueda ver en el Explorador de Windows (O Explorador de Archivos en Win8), así se garantiza seguridad en la información que contiene.

Si instalamos el ADK como lo recomendé previamente, ejecutamos desde la Pantalla de Inicio el Deployment and Imaging Tools con privilegios elevados (CTRL + SHIFT + ENTER o Clic derecho, Ejecutar como administrador):

image

Si no instalaron el ADK, los siguientes comandos, los podrán correr desde el mismo Símbolo del Sistema que ejecutamos previamente para preparar el dispositivo.

*Nota: La razón por la que se puede hacer con las dos consolas, es que la herramienta de Dism está tanto en el ADK como embebida en Windows; personalmente recomiendo utilizar la que viene con el ADK.

El próximo paso será aplicar la imagen que está dentro de los archivos de instalación de Windows 8, y que contiene todo el sistema operativo en el dispositivo USB, aunque hasta Windows 7 lo normal era utilizar ImageX, lo haremos con DISM, la razón es que ImageX se estará descontinuando para los futuros procesos de implementación de Windows 8.

Ejecutamos:

Dism /Apply-Image /ImageFile:<DirWin>Sourcesinstall.wim /Index:1 /ApplyDir:<USB>

Donde <DirWin> es la ubicación de nuestros archivos de Windows 8 que copiamos en el primer caso, y <USB> es el dispositivo USB donde implementaremos la imagen. Para este artículo, mi ubicación es C:8 y la letra de unidad es la L:, por lo que el comando sería:

Dism /Apply-Image /ImageFile:C:8Sourcesinstall.wim /Index:1 /ApplyDir:L:

DISMI

*Nota 1: El proceso tardará mucho o poco, dependiendo de la calidad del dispositivo.

*Nota 2: Si quieren utilizar ImageX, el comando sería por ejemplo:
ImageX /Apply C:8Sourcesinstall.wim 1 L:

El siguiente paso será copiar todos los archivos críticos de arranque a la partición del sistema, para crear además una nueva entrada en el BCD Store, esto ayudará a iniciar Windows To Go desde cualquier equipo.

Ejecutamos:

bcdboot.exe <USB>Windows /F ALL /S <USB>

Donde <USB> corresponde a la letra del dispositivo que estamos configurando.
Para este post, como mi letra es la “L:”, el comando sería:

bcdboot.exe L:Windows /F ALL /S L:

bcd

*Nota: Las banderas de /F y /S, son utilizadas en conjunto para identificar el tipo de Firmware en el que correrá el dispositivo, como deseamos asegurar que Windows To Go pueda iniciar tanto en UEFI como en BIOS, le agregamos el ALL

Con esto, nuestro dispositivo ya puede arrancar en cualquier otro PC y tendremos Windows To Go funcionando, pero.. si así lo hiciéramos, correríamos el riesgo de poder ver todas las particiones y discos del equipo host, incluso la que Windows reserva:

WTG1

Eso por supuesto, no es una gran idea en materia de seguridad, y debido a esa razón, el Workspace Creator se encarga de utilizar una nueva política de Storage Area Network (SAN) para que todos los discos pasen a estar desactivados.
Como lo estamos haciendo manualmente, debemos acudir a un pequeño Archivo de Autorespuesta que establezca esta política mientras se está preparando el equipo en el primer inicio.

Abrimos un editor de texto como el Blog de Notas y pegamos exactamente lo que está dentro de las líneas horizontales:


<?xml version=’1.0′ encoding=’utf-8′ standalone=’yes’?>
<unattend xmlns="urn:schemas-microsoft-com:unattend">
  <settings pass="offlineServicing">
    <component
        xmlns:wcm=http://schemas.microsoft.com/WMIConfig/2002/State
        xmlns:xsi=http://www.w3.org/2001/XMLSchema-instance
        language="neutral"
        name="Microsoft-Windows-PartitionManager"
        processorArchitecture="x86"
        publicKeyToken="31bf3856ad364e35"
        versionScope="nonSxS"
        >
      <SanPolicy>4</SanPolicy>
    </component>
    <component
        xmlns:wcm=http://schemas.microsoft.com/WMIConfig/2002/State
        xmlns:xsi=http://www.w3.org/2001/XMLSchema-instance
        language="neutral"
        name="Microsoft-Windows-PartitionManager"
        processorArchitecture="amd64"
        publicKeyToken="31bf3856ad364e35"
        versionScope="nonSxS"
        >
      <SanPolicy>4</SanPolicy>
    </component>
  </settings>
</unattend>


Lo guardamos como: SAM.xml y después lo situamos en la raíz del dispositivo USB donde implementamos Windows 8. Para mi caso, sería en L:SAM.xml

*Nota 1: Noten el parámetro de <SanPolicy>, que es el que indica que sea “4” para que se pongan offline los discos, se encuentra dos veces, porque el archivo integra las dos arquitecturas posibles para ejecutar Windows To Go (x86 y x64).

*Nota 2: Si desean, pueden descargar el XML desde aquí:


Este es el enlace directo: http://sdrv.ms/P0whnz

Después de ubicar el archivo en el directorio raíz de la USB, desde un Símbolo del Sistema o una consola de Deployment and Imaging Tools con privilegios elevados (Abrimos de nuevo si las cerramos en los anteriores procedimientos), y ejecutamos:

Dism /Image:<USB> /Apply-Unattend:<USB>SAM.xml

Donde <USB> es la letra que corresponde a nuestro dispositivo. Para este artículo, como mantenemos la “L:”, el comando sería:

Dism /Image:L: /Apply-Unattend:L:SAM.xml

SAM

¡Todo listo! Removemos de forma segura el dispositivo USB, y finalmente, podemos probarlo en diferentes equipos, en el primero tendremos que configurar nuestro nombre de usuario y personalizaciones básicas, pero a partir del segundo, Windows To Go se encargará de reconocer los controladores, y dispositivos, e iniciará directamente con nuestro nombre de usuario.

Explorando Windows To Go

Después de dar los datos básicos al iniciar con el Espacio de Trabajo de Windows To Go, podremos comprobar que en efecto, todas las configuraciones previas funcionaron, por ejemplo, al entrar al Explorador de Archivos (A.K.A. Explorador de Windows), en la ventana de Equipo, debemos ver sólo la unidad correspondiente a nuestro sistema, es decir, la de la USB, sin importar dónde se corra:

WTG1

Todos los demás discos y particiones, permanecerán siempre desactivados en los equipos host donde se inicie Windows To Go, para comprobarlo, basta con ir al Administrador de Discos y verlo con sus propios ojos:

WTG2

Noten que sólo la unidad del sistema (USB), tiene asignada letra y está activa, las demás aparecerán sólo con su tamaño correspondiente. Si quisiéramos activarlas en equipos host confiables, bastaría con hacer clic derecho sobre el disco y seleccionar “En línea”:

WTG4

Al iniciar en diferentes equipos, podremos también ver que el único cambio en las Propiedades del sistema, es el hardware que detecta (RAM, Procesador, Arquitectura, etc), de resto, mantendremos la información que le hayamos establecido en el primero de todos los equipos, por ejemplo:

Equipo 1:

WTG3

Equipo 2:

WTG6

Eso puede resolver algunas de las dudas que surgen de primero, pero por ejemplo, ¿Qué sucede si quitamos accidental o intencionalmente el dispositivo USB mientras está corriendo Windows To Go? Pues bien, el equipo dejará de funcionar, y empezará a contar 60 segundos exactos para que insertemos de nuevo nuestro dispositivo, si lo hacemos en el transcurso de tiempo establecido, funcionará instantáneamente otra vez y nos avisará del pequeño error que cometimos:

WTG5

Si no insertamos el dispositivo en el período de tiempo, Windows To Go se apagará inmediatamente, lo que puede ocasionar pérdida de datos, daño en el Espacio de Trabajo de Windows To Go, o incluso un Pantallazo Azul indicando que no puede leer el dispositivo.

Mientras el dispositivo USB esté configurado con Windows To Go siguiendo todo este procedimiento, como le establecimos con Diskpart que no se podía ver cuando se conectara en equipos que estuvieran corriendo otro sistema operativo con la propiedad de “attributes volume set NoDefaultDriveLetter”, escucharemos que Windows reconoció el dispositivo, pero no lo podremos ver en el Explorador:

2

Sin embargo, si buscamos por el Administrador de Discos nuevamente, veremos que el dispositivo se reconoció, pero no tiene Letra de unidad asignada:

1

Esto no es todo en materia de seguridad, nosotros podremos utilizar la hasta ahora impenetrable característica de BitLocker para cifrar completamente el dispositivo desde el Espacio de Trabajo, así, cada que conectemos la USB en un equipo desde el que queramos iniciar, tendremos que proveer las credenciales de BitLlocker para poder continuar.

Algunas consideraciones

1. Windows To Go, no incluye Windows RE, que se refiere a las Opciones Avanzadas de Recuperación de Windows 8, aunque cuando se configura manualmente, debe establecerse esto también.

2. En Windows To Go, no funciona Refresh y Reset

3. En Windows To Go, predeterminadamente, no se pueden descargar aplicaciones de la Tienda (Windows Store), aunque se encuentra instalada, al intentar ingresar, nos mostrará el siguiente mensaje:

WTGT

La razón de esto, es que algunas Aplicaciones de Windows 8 (A.K.A. Metro), pueden depender de ciertas características de Hardware, así que por política se desactiva en Espacios de Trabajo.

4. En Windows To Go, no se puede Hibernar de forma predeterminada, y la razón, es que los archivos de Hibernación funcionan de la mano con el hardware donde se está trabajando, para garantizar que WTG sea móvil, se desactiva esto por política.

*Nota: Es posible tanto descargar de la Tienda, como utilizar la Hibernación en un Espacio de Trabajo de Windows To Go, para esto debemos explorar las políticas que se han creado propias para esta característica, y habilitar estas funcionalidades y accesos.

Las políticas se encuentran en:

\Configuración de equipoPlantillas administrativasComponentes de WindowsSistema operativo portátil

Para habilitar el acceso a la Tienda, se debe modificar la plantilla de “Permitir que la Tienda instale aplicaciones en el Área de trabajo de Windows To Go”, ubicada en:

\Configuración de equipoPlantillas administrativasComponentes de WindowsTienda

Iremos tratando más a profundidad estos últimos temas en futuros artículos.

Espero les sea de utilidad, en un post más adelante, indicaré el paso a paso para configurar Windows To Go desde el Workspace Creator Tool.

Saludos,

Checho

Eliminar Aplicaciones de Windows 8 por usuario, o para todos los usuarios, utilizando PowerShell

1537_Win8Logo_01_008485DD

Hace poco que pude tocar el tema de AppLocker en Windows 8, por el lanzamiento del esperado y polémico RTM, y no pude esperar más para hablar un poco más de algunas nuevas funcionalidades características que se pueden ir viendo con este sistema operativo.

Windows 8 introdujo, como lo he mencionado en artículos anteriores, un nuevo modelo de aplicaciones, conocidas antes de como “Metro”, ahora denominadas “Aplicaciones de Windows 8”, que difieren en casi todo con respecto a las aplicaciones de escritorio que conocemos. Dentro del sistema operativo las podemos identificar fácilmente porque son las que están “ancladas” a la Pantalla de Inicio y se representan por unas baldosas:

image

La ejecución es además en pantalla completa, y se adquieren por ahora, sólo a través de la Tienda (Windows Store), aunque también se podrán desplegar internamente.

*Nota: En otro futuro artículo, trataremos de entrar un poco en profundidad sobre el funcionamiento de las Aplicaciones de Windows 8 para entenderlas un poco más.

La desinstalación de estas aplicaciones es realmente sencilla, sólo la seleccionamos con clic derecho y en la parte inferior hacemos clic en Desinstalar:

image

El inconveniente está es que Windows 8 viene aprovisionado de forma predeterminada con varias aplicaciones que no son realmente útiles, incluso para un ambiente de hogar, por diferentes razones; no es posible entonces desde políticas de grupo por ejemplo el manipular estas aplicaciones, sólo quizá bloquear la instalación o ejecución. Sin embargo, PowerShell con Windows 8 nos entrega una serie nueva de cmdlets justo para trabajar con imágenes online u offline de Windows 8, para este post en específico, nos concentraremos con algunos muy útiles para la consulta y desinstalación de Aplicaciones en el sistema operativo, por usuario, y para todos los usuarios incluso.

*Importante: Es necesario tener en cuenta, que lo que haremos con PowerShell, lo podremos hacer también con DISM que está embebido en Windows 8 y en ADK, aunque PowerShell nos da el privilegio adicional de ser mucho más administrable.

*Nota: PowerShell es una plataforma mucho más robusta que el conocido Símbolo del Sistema (cmd) para hacer Scripting enfocado sobre todo a los IT Pro, pero además, una consola desde la que podremos gestionar de una forma centralizada muchísimos productos, características y tecnologías Microsoft.

A continuación, aprenderemos a consultar y a desinstalar las Aplicaciones de Windows 8 para una imagen Online, es decir, que ya está instalada, pero es importante tener en cuenta que esto también se podrá realizar en una imagen Offline (Sin instalar), por lo que seguramente estaremos tocando el tema en otros artículos.

Consultando aplicaciones con PowerShell

Antes de proceder a desinstalar, que es finalmente el objetivo de este post, es primordial por supuesto que podamos consultar la información sobre las aplicaciones instaladas y aprovisionadas, puesto que requerimos algunos campos como el nombre completo para desinstalar, entre otras cosas.

Para ejecutar PowerShell, desde la Pantalla de Inicio lo buscamos, y presionamos CTRL + SHIF + ENTER para ejecutar como administrador (También es posible hacer clic derecho y seleccionar Ejecutar como administrador en la parte inferior):

image

Hay dos cmdlets disponibles para consultar las Aplicaciones de Windows 8, aunque vale la pena diferenciar la funcionalidad de cada uno:

Get-AppxProvisionedPackage: Con este cmdlet, podremos consultar todas las aplicaciones que se instalarán para todos los usuarios.

Como una imagen puede estar Offline u Online, es necesario especificar el parámetro después del cmdlet, para este caso, que trabajaremos sobre una instalación ya hecha, para ver todas las aplicaciones tendríamos que ejecutar:

Get-AppxProvisionedPackage –Online

image

*Nota: Como las instalaciones serán las mismas para todos los usuarios, no es posible hacer filtro por nombre específico de sesión.

Get-AppxPackage: Con este cmdlet, es posible consultar también las aplicaciones, a diferencia del anterior, es que con Get-AppxPackage, sabremos todas las que ya se encuentran instaladas, e incluso hacer el filtro, sea por usuario, o por máquina (Para todos los usuarios).

Para consultar las que se encuentran instaladas, y disponibles para todos los usuarios, ejecutamos: Get-AppxPackage –AllUsers

Sin embargo, si sólo estamos interesados en las del usuario en particular, debemos ejecutar: Get-AppxPackage –User <NombreUsuario>

Donde <NombreUsuario> corresponde al que deseamos consultar, por ejemplo, para mi usuario llamado “Checho” sería: Get-AppxPackage –User Checho

PS1

Volviendo al tema específico de decidir las aplicaciones a desinstalar, una vez tengamos la información completa de las que se encuentran en el usuario, basta con buscar la que deseamos quitar, y tener en cuenta el campo de PackageFullName, pues es como debemos referenciar el paquete en la desinstalación.

Sin embargo, para filtrar esta información, basta con indicar sólo el nombre utilizando el comando: Get-AppxPackage –Name <NombreApp> –User <NombreUsuario>

Donde <NombreApp> es como aparece en el campo de Name y <NombreUsuario> corresponde al usuario que deseamos consultar.

Para este artículo, la que yo quiero quitar es “Lector” (Microsoft Reader), para mi usuario “Checho”, el comando sería:

Get-AppxPackage –Name Microsoft.Reader –User Checho

image

*Nota: Existen otros parámetros que permiten realizar operaciones adicionales, pueden ver la documentación aquí:
http://technet.microsoft.com/en-us/library/hh856044.aspx

El nombre completo de mi aplicación (PackageFullName), para este caso sería:
Microsoft.Reader_6.2.8516.0_x86__8wekyb3d8bbwe

Desinstalando Aplicaciones con PowerShell

Una vez tengamos el nombre completo, podremos decidir si queremos desinstalarla sólo para el usuario, o para el resto de los usuarios que se creen; debemos tener en cuenta entonces dos posibles cmdlets a utilizar:

Remove-AppxPackage: Con este cmdlet, nos será posible eliminar alguna aplicaciones especificada, pero sólo para el usuario actual en el que se encuentre la sesión iniciada, debemos acompañarlo del parámetro de –Package <NombreCompletoApp> para que funcione.

En mi caso, si quisera borrar la aplicación de Lector (Microsoft Reader) para mi usuario actual (Checho), el comando sería:

Remove_AppxPackage –Package Microsoft.Reader_6.2.8516.0_x86__8wekyb3d8bbwe

image

Eso sin embargo no desinstalará la aplicación para todos los usuarios, y de hecho no hay forma de hacerlo para los que ya estén creados, sin embargo, aquí entra el otro cmdlet que nos puede ayudar:

Remove-AppxProvisionedPackage: Lo que haremos con este cmd, será eliminar una aplicación que esté aprovsionada de forma predeterminada, para que no aparezca instalada en cada nuevo usuario que se cree.

Al igual que para obtener la información, es necesario especificar si se está Online u Offline, pero adicional a esto, debemos referenciar el nombre completo del paquete con el parámetro de –PackageName, el comando completo sería:

Remove-AppxProvionedPackage –Online –PackageName <NombreCompletoApp>

Donde <NombreCompletoApp> se refiere al que consultamos en las propiedades anteriormente.

Para mi caso, si quisiera quitar para todos los usuarios la misma aplicación de Microsoft.Reader, ejecutaría:

Remove-AppxProvisionedPackage –Online –PackageName Microsoft.Reader_6.2.8516.0_x86__8wekyb3d8bbwe

image

Es importante tener en cuenta, que la aplicación no se borrará para el usuario actual, sólo para los nuevos usuarios, si se quisiera borrar también para el local, se debe recurrir a Remove-AppxPackage, o bien realizar este mismo comando de forma Offline, además, las aplicaciones podrán seguir siendo instaladas desde la Tienda (Windows Store), siempre y cuando el usuario tenga acceso permitido.

Por supuesto, variaciones de esto, como el trabajo offline, las estaremos tratando en futuros post. Espero que esto sea de utilidad.

Saludos,

Checho

Explorando AppLocker en Windows 8

1537_Win8Logo_01_008485DD

A estas alturas, ya debe estar en boca de todos que Windows 8 pasó a ser oficialmente RTM, lo que representa un fin de desarrollo sobre el producto y la entrega de éste a fabricantes que lo estarán entregando con la disponibilidad general después de Octubre 26 del presente año.

Lo que es nuevo y muy interesante hoy, 15 de Agosto de 2012, es que todos los que tengan suscripciones MSDN o TechNet, ya pueden acceder al producto final desde mucho antes a su lanzamiento, pero la noticia buena se extiende a que además, se ha liberado una versión de prueba de Windows 8 Enterprise por 90 días para descarga general, la pueden obtener desde aquí: http://msdn.microsoft.com/es-es/evalcenter/jj554510.aspx

*Nota: Con Windows 8 Enterprise podrán probar durante ese período todas las características nuevas y mejoradas de este sistema operativo.

Introducción a AppLocker

En este artículo, hablaremos sobre los cambios que hay en una de las mejores características de seguridad que maneja Windows desde su versión anterior llamada AppLocker.

AppLocker como lo mencioné, salió a la luz con el flamante Windows 7, y nació como una actualización a las Políticas de Restricción de Software que no estaban dando abasto suficiente con su funcionamiento a los requerimientos sobre el contról de las aplicaciones en nuestros escritorios empresariales. AppLocker permite a los administradores de TI, de una forma centralizada por medio de unas políticas de grupo, o localmente, Permitir o Denegar la ejecución de aplicaciones en Windows, con diferentes filtros y metadatos que nos permitían hacer de estas restricciones una estupenda herramienta contra el software no autorizado en los equipos de la empresa. con AppLocker podemos llegar a establecer una política para que pongamos como base una versión de aplicación, y no autoricemos versiones posteriores (Aún sin conocerlas) o versiones inferiores.

Hasta Windows 7, existían tres tipos de políticas: Reglas de ejecutables, Reglas de Windows Installer, Reglas de scripts; con esto Windows aseguraba casi todo el tipo de software que se puede correr en una máquina. Tanto en Windows 7, como en Windows 8, al tratar de ejecutar alguna de las aplicaciones que estaban restringidas, o no estaban en el rango de permitidas, incluso elevando privilegios, obtenemos un mensaje similar al siguiente:

image

*Nota: Una pequeña diferencia en Windows 8, es una pequeña variable con respecto al mensaje, y además, sólo lo muestra cuando se llama al ejecutable directamente elevando privilegios.

La idea con Windows 8 para AppLocker, como con BitLocker, es mantener los grandes logros que se consiguieron con la característica, pero además, brindar mejoras notables que aprovechen el enfoque del nuevo sistema operativo.
Como se habrán dado cuenta por la Pantalla de Inicio, desde la Developer Preview, existe un nuevo modelo de aplicaciones conocidas antes como Aplicaciones Metro, ahora llamadas oficialmente Aplicaciones de Windows 8. Este modelo representa diferentes cambios en sus comportamientos, como el hecho de que predeterminadamente no se cierran, sino que pasan a un estado de suspensión, memoria compartida, etc, pero además, a parte de que este tipo de aplicaciones se instala en unos directorios diferentes a Archivos de Programas, no son ejecutables, sino que mantienen una sola extensión (.appx), que les permite identificarse e instalarse en Windows 8 como si fuese un registro.

Por estas, y otras razones que van más por el lado de desarrollo, AppLocker ha implementado un nuevo tipo de regla denominada: Reglas de aplicaciones empaquetadas. De esta forma, ahora podremos basarnos en los diferentes metadatos de estas aplicaciones de interfaz moderna para permitir o denegar de la misma forma que se hace en el escritorio de una manera centralizada.

Configurando Reglas de aplicaciones empaquetadas

Para acceder a estas reglas, y más específicamente a la Consola de AppLocker, realizamos los siguientes pasos:

En la Pantalla de Inicio, ejecutamos: gpedit.msc

AL1

En la Consola de Editor de directivas de grupo local, expandimos Configuración de Windows, Configuración de Seguridad, Directivas de control de aplicaciones, AppLocker:

AL2

Hacemos clic derecho sobre Reglas de aplicaciones empaquetadas, y seleccionamos Crear nueva regla:

AL3

A partir de aquí, se abrirá el asistente para crear una nueva regla empaquetada, en la segunda página, debemos decidir si queremos Permitir o Denegar, obviamente, la más popular sería la segunda. Después de esto, debajo de Usuarios o grupos, debemos escoger para qué usuarios va dirigido, predeterminadamente está para todos, por lo que afecta al usuario que está creando la regla también:

AL4

En la página de Editor, tendremos dos opciones, referenciar una aplicación empaquetada como referencia (Aplicaciones de Windows 8), o bien indicar un paquete .appx para que a partir de sus metadatos, se pueda personalizar la regla. Suele ser más fácil personalizar la regla sobre algo instalado, puesto que bastará con que sea del mismo editor por ejemplo para que aplique a otras que no se han ni instalado.

Para este artículo procederé así, por lo que basta con hacer clic en el botón Seleccionar e indicar alguna de las aplicaciones que ya están en Windows, noten que describe varios atributos para una elección más sabia:

image

Basta seleccionar alguna aplicación como lo muestra la captura, hacer clic en Aceptar y se habilitarán en la misma página de Editor todo lo que se le puede establecer a la Regla. Si hacemos clic en Siguiente, predeterminadamente se aplicará la regla a la versión del paquete, así que si deseamos indicar algo más, debemos habilitar “Usar valores personalizados”, y procecer a modificar a gusto propio, por ejemplo, estableciendo como prioridad que no se le permita a ninguna aplicación que contenga el mismo Editor ejecutarse:

image

Al hacer clic en el botón de Siguiente, estaremos en la página de Excepciones, donde se podrán agregar usuarios o grupos que deseemos no les aplique la regla:

image

Si no hay alguna excepción, clic en el botón Siguiente para finalmente darle un nombre y una descripción a la Regla y hacer clic en Crear para que se establezca la política:

image

Con esto se concluye el primer paso, para que la Regla empiece a funcionar, debemos activar el Servicio de Identidad de Aplicación, que como su nombre lo dice, se encarga de identificar cada aplicación dentro del sistema operativo, para acceder a los servicios, desde la Pantalla de Inicio ejecutamos: services.msc.

En la Consola de Servicios, buscamos Identidad de Aplicación, lo cambiamos a Automatico, lo iniciamos y hacemos clic en Aceptar para que modifique:

AL5

Por último, y sólo para ayudarle a Windows a tomar las políticas rápidamente, ejecutamos una ventana del Símbolo del sistema (cmd) con privilegios elevados (Clic derecho en la Pantalla de Inicio, seleccionar Ejecutar como administrador en la parte inferior), y digitamos: Gpupdate /Force

image

¡Esto es todo! Después de unos segundos adicionales, si tratamos de ejecutar alguna aplicación de Windows 8, veremos un mensaje de alerta que nos impedirá entrar a todas las que cumplan con la Regla creada anteriormente:

image

Si no queremos que siga aplicando la regla, debemos entrar nuevamente a la Consola de AppLocker en el Editor de directivas de grupo locales y eliminarla.

Espero que les haya sido de utilidad, y próximamente espero tener nuevos artículos relacionados con lo que nos falta por tocar de Windows 8.

Saludos,

Checho