La pantalla blanca al iniciar PES 2019, Process Explorer, Procdump, Windbg y su solución

Desde los tiempos de Winning Eleven, he sido fiel seguidor de Pro Evolution Soccer (PES), primero en la consola de Play Station y luego en el PC hasta el son de hoy. Aunque ya no lo hago todos los días, con regularidad entro en las noches para jugar un rato después de trabajo. Para mi fortuna, casi nunca tengo problemas con la plataforma de Steam, sin importar que estoy instalando todas las compilaciones que salen del programa de Windows Insider; sin embargo, ayer iba a jugar en la noche y me di cuenta de que el juego no estaba entrando, solo aparecía la pantalla blanca y se cerraba:

image

Después de revisar actualizaciones de Windows y hacer un reinicio del equipo, probé yendo a las propiedades del juego en Steam, pestaña de Local Files y utilicé la opción de Verify itegrity of ame files:

SNAGHTML12e95ca

En principio parece que iba a funcionar porque hace reparaciones si encuentra algo raro, pero la pantalla blanca solo se prolongó por unos segundos más antes de cerrarse inesperadamente otra vez. Como no estaba dispuesto a ponerme a descargar otra vez un juego tan pesado sin saber si solucionaría el inconveniente, decidí ponerme a diagnosticar para intentar encontrar la forma de volver a jugar.

Lo primero que hice fue verificar si el juego se estaba cerrando completamente, para eso abrí Process Explorer, fui al menú de Options, luego Difference Highlighting Duration y lo establecí a lo máximo, es decir, 9 segundos, para poder alcanzar a ver cuáles procesos se cerraban mientras cambiaba entre aplicaciones.

Efectivamente, me encontré con que el juego se estaba cerrando abruptamente después de que desaparecía la ventana en blanco:

image

El otro detalle importante es que también se estaba activando el reporte de errores de Windows, WerFault.exe, que me indicaba que estaba sucediendo un crash de la aplicación:

image

¿Qué estaba impidiendo la ejecución del juego? Pues bien, existen muchos motivos por los que una aplicación puede hacer crash al ejecutarse, incluso diferentes soluciones; una de las formas más productivas para encontrar la causa es obtener un volcado de memoria del proceso en el momento del fallo y proceder a analizarlo con un depurador como Windbg. No es una tarea muy sencilla por lo técnico que puede volverse, pero generalmente solo se necesitan algunos conocimientos básicos para dar con la pista del problema.

Procdump, al rescate

Procdump es una herramienta que hace parte de la suite de Sysinternals y que permite generar volcado de memoria según los parámetros que le indiquemos al proceso que debe de monitorear: excepciones, hangs, etc. Para no complicarme tanto organizando los parámetros, en parte porque no soy muy bueno con la herramienta, opté por utilizar el parámetro –i para instalar el controlador de Procdump indicando la ruta donde quería los volcados para que él mismo me escribiera uno cada que hubiese una excepción en Windows. El comando completo es:

procdump.exe –i C:\Dumps

image

La ruta final puede ser cualquiera, yo traté de mantenerlo simple.

Tan pronto intenté jugar nuevamente, la pantalla se puso blanca, la aplicación se cerró y Procdump hizo lo suyo: crear el volcado de memoria que necesitaba.

image

Windbg

Con el volcado de memoria ya creado, procedí a ejecutar Windbg, abrir el .DMP que había generado el Procdump y finalmente corrí el comando de !analyze –v para que hiciera un análisis automático:

image

Normalmente el análisis que hace Windbg se acerca mucho al controlador o módulo que ocasiona la falla, aunque puede llegar a reportar varios que no están dentro de los símbolos:

image

Lo malo de esto es que muchas veces salen falsos positivos porque indica controladores o componentes propios del sistema operativo como desconocidos.

La forma más fácil de identificar el posible causante es mostrar la pila de ejecución que había al momento del crash y empezar desde la función que le indica a Windows que debe detenerse hacia abajo hasta encontrar controladores o módulos de terceros para analizar con más detalles. En mi caso, encontré dos: NvCamera64 y nvwgf2umx.

image

Windbg permite utilizar el comando lmvm para obtener detalles de cada controlador o módulo. Al ejecutarlo con cada uno, me di cuenta de que pertenecían a NVIDIA:

image

Aunque el primero no tenía la descripción, el segundo, nvwgf2umx, indicaba que era del controlador de D3D10.

Imagino yo que no funcionaba alguna actualización de PES 2019 o la última compilación de Windows, así que mi camino fue ir al GeForce Experience y buscar a ver si existía un nuevo controlador; efectivamente, no hace mucho habían liberado otra versión:

image

Después de hacer una instalación limpia desde el asistente y reiniciar Windows, ejecuté nuevamente el juego y, para mi tranquilidad, todo había vuelto a la normalidad:

image

Una vez más, todo salvado gracias a estas maravillosas herramientas y un poco de investigación.

Saludos,

—Checho

Empaquetar una aplicación de 16 bits a 32 bits con Advanced Installer

Si alguno de ustedes trabaja con implementación masiva de sistemas operativos Windows o ha estado en algún proyecto de migración, seguramente se habrán topado con un escenario inevitable de compatibilidad de aplicaciones, pues suelen ser aplicaciones necesarias para el negocio pero demasiado viejas. Como además las migraciones se hacen a Windows en arquitectura de 64 bits por el aprovechamiento de recursos, se van a encontrar con aplicaciones que funcionan bien en 32 bits, pero que al momento de ejecutarlas en un sistema de 64 bits reciben este tipo de mensajes:

image

Como probablemente sepan, Windows en arquitectura de 32 bits puede ejecutar aplicaciones de 16 bits, pero un sistema a 64 bits solo puede llegar a ejecutar aplicaciones de 32 bits, por lo que las que estén en 16 bits no serán compatibles. Ahora, una aplicación puede tener sus binarios después de la instalación nativamente en 16 bits o bien pueden estar en 32 bits y solamente el paquete de instalación en 16 bits; en el primer caso la única solución es compilar toda la aplicación desde el código en una nueva arquitectura, aunque eso casi nunca se puede hacer por falta de tener el código original. Si es el segundo caso, el camino, como lo voy a mostrar aquí, es construir un nuevo paquete de instalación que esté en 32 bits y pueda ser ejecutado en un sistema de 64 bits con la ayuda de Advanced Installer.

Hay un proceso de mucho más nivel para hacer esto descrito por Aaron Margosis de Microsoft en este artículo, mas no lo seguiré aquí

Requerimientos

1. Tener instalado Advanced Installer en un equipo técnico

Nota: Advanced Installer es un producto licenciado, aunque tiene período de prueba.

2. Tener instalado VMWare Workstation. Se puede hacer con Hyper-V, pero la experiencia no es tan transparente, lamentablemente

3. Instalar una máquina virtual de Windows 10 a 32 bits desde Advanced Installer. Pueden ver el detalle en su página oficial

4. Crear un snapshot de la instalación de Windows de 32 bits en limpio. Si no saben hacerlo en VMWare, pueden ver el procedimiento oficial en su página

Nota: les recomiendo que antes de tomar el snapshot descarguen todas las actualizaciones, deshabiliten internet, notificaciones, antivirus, actualización de aplicaciones, notificaciones y cualquier otra interrupción en el proceso de empaquetamiento

3. Guardar el instalador de la aplicación de 16 bits en el equipo técnico

<

p align=”justify”>4. Descargar Sigcheck de Sysinternals en el equipo técnico

1.0. Instalación manual de la aplicación en equipo de 32 bits

¡Empecemos! Lo primero que tenemos que hacer es instalar la aplicación de 16 bits en el equipo virtual que creamos en el tercer requerimiento para asegurarnos de que el binario que se ejecuta en Windows es, efectivamente, de 32 bits. Como aquí la aplicación será diferente en cada escenario, no mostraré procedimiento de instalación.

1.1. Comprobación de arquitectura con Sigcheck

Una vez instalada, debemos ejecutar Sigcheck e indicarle como único parámetro la ruta completa del ejecutable. Sigcheck nos dirá el MachineType, que corresponde a la arquitectura en la que corre la aplicación:

image

En mi caso, el resultado es 32-bit, así que no es el binario el que está en 16 bits, sino el instalador, tal como lo puedo comprobar corriendo Sigheck con el nombre del instalador:

image

Noten que el MachineType es 16-bit.

Opcionalmente, pueden utilizar la función GetBinaryType de la API de Windows para obtener la misma información, por ejemplo:

SNAGHTML626df8a

Con esto confirmado, ya sabemos que simplemente debemos construir un nuevo instalador que soporte la arquitectura de 32 bits mínimamente para que funcione en ambos, 32 y 64 bits.

2.0. Empaquetamiento de la aplicación utilizando el Repackager de Advanced Installer

2.1. Sobre el Repackaging

El proceso de empaquetamiento es uno de los más interesantes de Advanced Installer: consiste básicamente en monitorear el proceso completo de instalación de una aplicación en conjunto con las configuraciones posteriores para luego empaquetar todos los cambios que hizo en el sistema operativo y, con base en eso, construir un nuevo instalador que hace las mismas operaciones.

Esta característica no está pensada necesariamente para tema de compatibilidad de aplicaciones, sino más bien para mejorar el proceso de instalación de alguna aplicación; sin embargo, sirve muy bien para el propósito de pasar de instaladores de 16 bits a 32 bits sin tener que obtener acceso al código fuente, así que me parece perfecto.

Pueden obtener más información sobre el proceso técnico del Repackager en la web oficial de Advanced Installer.

2.2. Empaquetando

Para empaquetar nuestra aplicación, realizamos los siguientes pasos:

Para poder realizar estos pasos es necesario haber cumplido los requerimientos 3 y 4

Prendemos la máquina virtual que instalamos en el requerimiento 3:

image

Ejecutamos Advanced Installer con privilegios administrativos, vamos a NewConvert y luego doble clic en Repackage Installation:

image

En la ventana de Welcome to the Repackager Wizard, clic en Next

image

En la página de Repackaging Scenario, seleccionamos la segunda opción, Repackage an application in an existing virtual machine, nos aseguramos de que la máquina virtual sea la que creamos en el requerimiento 3 y hacemos clic en Next

image

En la página de Package Information, ubicamos el instalador de nuestra aplicación en el campo de Setup Path como obligatorio y, opcionalmente, modificamos los demás campos como el nombre, versión y empresa para luego dar clic en Next

image

En la página de Customize Settings, dejamos la selección predeterminada y clic en Next para iniciar el empaquetamiento.

image

En la ventana de alerta que nos informa que estamos a punto de empezar, le damos a OK.

image

Veremos que el asistente empieza a informar de varios pasos mientras en la máquina virtual se ejecuta el asistente de instalación de la aplicación con una consola en segundo plano:

SNAGHTML652bebe

Aquí lo único que debemos de hacer es instalar manualmente la aplicación y, si es necesario, ejecutarla para que todos los componentes que debe instalar y registrarse se apliquen correctamente. A parte de eso, si requerimos hacer cambios en Windows o en la aplicación, podemos hacerlos también, pues Advanced Installer capturará casi todo.

Cuando terminemos todo, volvemos al símbolo del sistema, nos aseguramos de que la consola esté capturando nuestro teclado (poniéndola en primer plano) y presionamos INTRO para que termine:

image

Al terminar, la máquina virtual se pausará y volveremos al asistente del Repackager. Ahí hacemos clic en Next para continuar.

image

En la pagína de You have successfully completed the Repackager Wizard, hacemos clic en Finish para abrir el proyecto en Advanced Installer.

image

En la ventana de Advanced Installer de Filter Repackager result, podemos modificar todos los recursos que el asistente capturó para luego darle Import.

image

En la ventana de Repackager, dejamos la primera opción y hacemos clic en Next para poder entrar al proyecto y hacer modificaciones adicionales, si es que lo necesitamos.

image

Nota: pueden darle a Build Package si ya están seguros, pero a mi personalmente me gusta siempre revisar y agregar cosas dentro del proyecto.

image

No entraré en detalles sobre todo lo que se puede hacer dentro de la herramienta porque no es el objetivo del artículo y se haría demasiado extenso (¡más de lo que está!), pero es importante saber que aquí se pueden modificar permisos NTFS, crear accesos directos, modificar archivos y registro, agregar scripts, aplicaciones adicionales a ejecutar antes, durante o después, entre otras.

Al terminar de hacer cualquier modificación, hacemos clic en el botón de Build en el panel superior de herramientas:

image

En el cuadro que nos aparece de Guardar como, escogemos el directorio en donde deseamos que se cree nuestro instalador y clic en Save.

image

En la ventana de Build Project podremos ver el log de la compilación y el acceso directo al .MSI que predeterminadamente se crea:

image

3.0. Prueba de instalación

¡Todo listo! Lo único que nos queda es pasar el instalador a un equipo de 64 bits y proceder a probar la instalación completa de la aplicación:

image

Habrá veces en que diferentes archivos no quedaron en el paquete de instalación, así que habrá que agregarlos (si se saben cuáles son) o bien hacer el proceso nuevamente teniendo cuidado con ejecutar todo lo que se necesite. Afortunadamente, Advanced Installe hace muy bien el trabajo, así que pocas veces tendremos que realizar cambios.

Espero que sea de ayuda.

Saludos,

—Checho

Pass-The-Hash y Windows Defender Credential Guard en Windows 10

Desde el lanzamiento de Windows 10, Microsoft ha hecho enormes esfuerzos por mejorar la seguridad de la plataforma en diferentes frentes agregando más y más características en cada compilación, trabajo que va teniendo frutos, pues se ha convertido el sistema operativo Microsoft más seguro de todos.

Como vale la pena ir conociendo cómo implementar estas nuevas características, iré escribiendo, conforme pueda y sepa, lo que aprendo por aquí por si alguien más desea hacer pruebas en sus respectivas empresas. Por supuesto, todas las correcciones serán más que bienvenidas.

Una de las nuevas características de seguridad se llama Credential Guard, que básicamente utiliza seguridad basada en virtualización para aislar secretos que puedan llevar a ataques de robo de credenciales. Los secretos se protegen y almacenan en un nuevo componente llamado Insolated LSA; la comunicación con el proceso de LSA se hace a través de RPC. Básicamente previene los ataques protegiendo los hashes de las contraseñas NTLM, Kerberos y las contraseñas de dominio almacenadas en el Credential Manager. Pueden obtener más información del sitio oficial.

Pass-The-Hash es un ataque que utiliza una técnica para obtener los hashes de las contraseñas y reutilizarlos para autenticarse a través de la red en otros equipos hasta lograr ganar privilegios con una cuenta de Active Directory.

Veamos qué tan fácil puede llegar a ejecutarse un Pass-The-Hash en Windows 10 y cómo Windows Defender Credential Guard nos puede ayudar a prevenirlo.

Ejecutando un ataque de Pass-The-Hash

Antes que nada, por si desean seguir el ataque, esto es lo que necesitamos:

1. Mimikatz. Lo pueden descargar desde aquí: https://github.com/gentilkiwi/mimikatz/releases

2. PsExec. Lo pueden descargar desde aquí:
https://docs.microsoft.com/en-us/sysinternals/downloads/psexec

3. Entorno de directorio activo

4. Equipo cliente unido al dominio para probar

Notas:

  • Cabe aclarar que obviamente necesitaremos cuentas de dominio con diferentes privilegios para probar.
  • Es probable que deban darle permisos desde el antivirus al Mimikatz, pues normalmente lo bloquean.

Primer paso: obtener el hash NTLM de las contraseñas con Mimikatz

Para poder extraer el hash de las contraseñas de un equipo, cada cuenta de dominio tuvo que haberse conectado de alguna forma, pues al cerrar sesión ya no es posible que Mimikatz cree el hash, así que no lo mostraría en la consola.

No sé si sea diferente con otra aplicación; en mi caso, aunque pude extraer el NTLM hash después de cerrar sesión con otras cuentas, el ataque de Pass-The-Hash no funcionaba correctamente.

Ahora, para mi escenario tengo dos cuentas con las que voy a jugar: Sergio y Andy; la primera, Sergio, es una cuenta de dominio que solo es administradora en el equipo local (no estoy teniendo en cuenta aquí lo de ganar privilegios locales), mientras que la segunda, Andy, es una cuenta que tiene privilegios locales sobre todas las máquinas, incluyendo el controlador de dominio.

Si yo intento hacer conexión utilizando PsExec desde mi cuenta de Sergio, no podré hacerlo por ser una cuenta estándar, más allá de tener privilegios administrativos locales:

SNAGHTML14d1dec7

Afortunadamente, Andy está conectando al equipo, pero necesitamos obtener y reutilizar ese hash para nuestro ataque.

Desde una cuenta local o de dominio con privilegios administrativos en la máquina ejecutamos Mimikatz como administrador:

image

Lo primero es solicitar privilegios a Windows de depuración ejecutando:

privilege::debug

image

Una vez adquiridos los privilegios, es decir, que la consola responda con un OK, vamos a extraer toda la información sobre las contraseñas que están en memoria con el módulo de sekurlsa:

sekurlsa::logonpasswords

image

Inmediatamente veremos datos para todas las cuentas que estén conectadas, incluyendo el más importante para este dato que sería el hash NTLM:

image

Por supuesto, nosotros no estamos interesados el usuario de Sergio, sino en el de Andy. Mimikatz, como dije, me da también el hash de la contraseña correspondiente, siempre y cuando tenga una sesión abierta:

image

Noten que el campo de contraseña lo muestra en nulo porque la forma en que se almacenan en Windows 10 difiere de Windows 7 y anteriores, así que no la podemos ver. Si estuviésemos en un Windows 7, habríamos obtenido la contraseña sin problemas.

Como pueden ver, ya tenemos el hash NTLM y eso es todo lo que necesitamos para autenticarnos a través de la red como Andy.

Segundo paso: realizar el ataque de Pass-The-Hash con el hash obtenido

Desde Mimikatz, lanzamos nuestro ataque de Pass-The-Hash con los datos que ya tenemos:

sekurlsa::pth /user:andy /domain:winside.local /ntlm:a87f3a337d73085c45f9416be5787d86

image

Nota: obviamente los datos en usuario, dominio y NTLM van a ser diferentes en cada escenario, pero dejo el comando de forma ilustrativa.

Lo que va a pasar aquí es que Mimikatz va a lanzar el cmd con una identidad falsa, Windows va a creer que era el usuario actual, es decir, Sergio en este caso, pero va a utilizar el hash de la contraseña del usuario de Andy:

image

Nuestro último paso es simplemente utilizar la consola que se nos abrió para autenticarnos en las próximas máquinas como Andy. Por ejemplo, utilizando PsExec nuevamente sobre el controlador de dominio:

PsExec \\LEO cmd.exe

Si le doy un whoami, van a ver que estoy conectando como Andy, gracias a que reutilicé el hash de la contraseña almacenada en memoria de mi equipo:

SNAGHTML14e3f7a6

Suponiendo que logre burlar la seguridad para ejecutar Mimikatz, yo podría, por supuesto, seguir obteniendo el hash NTLM de las credenciales locales hasta llegar a un usuario que tenga realmente poderes sobre el dominio:

image

Implementando Windows Defender Credential Guard

La implementación de Credential Guard es relativamente sencilla, basta con cumplir los requerimientos en las máquinas físicas o virtuales y proceder a desplegarlo a través de una directiva de grupo, manualmente (Registro de Windows) o con un script de PowerShell liberado por Microsoft.

Para mayor claridad, crearemos la GPO para Credential Guard desde cero.

Nos conectamos a la consola de administración de directivas de grupo y creamos la GPO en la OU que corresponda:

image

Yo la llamaré Credential Guard Policies.

image

Hacemos clic derecho sobre la GPO, editamos y navegamos hasta:

Computer Configuration\Policies\Administrative Templates\System\Device Guard

Allí hacemos doble clic sobre la plantilla de Turn On Virtualization Based Security

image

En la plantilla, clic en Enabled, y debajo de Credential Guard Configuration seleccionamos la opción de Enabled with UEFI Lock, esto es para que remotamente no se pueda deshabilitar, pues está protegido por UEFI.

image

Nota: para fines de prueba pueden utilizar la de Enabled Without Lock.

Actualizamos directivas de grupo en el equipo cliente y reiniciamos.

Después de reiniciar, ejecutamos Msinfo32 y verificamos que en la parte inferior la característica de Virtualization Based Security esté en ejecución y lo demás haga referencia a Credential Guard:

image

En caso de que esté habilitado pero no en ejecución, es necesario habilitar manualmente la característica de Hyper-V Hypervisor desde Activar o desactivar características de Windows y reiniciar nuevamente:

image

Obteniendo el hash de las contraseñas con Credential Guard habilitado

Después de que Windows Defender Credential Guard esté habilitado y funcionando, podemos intentar nuevamente utilizar Mimikatz o cualquier otra herramienta que obtenga el hash NTLM de las cuentas y nos encontraremos con algo completamente diferente:

image

Como pueden ver, ya no tengo forma de obtener el hash porque ahora Windows, utilizando la tecnología de seguridad basada en virtualización, más específicamente la de Insolated User Mode, está protegiendo los secretos (credenciales) para que solo unos binarios autorizados puedan llegar a ellos. Si no tengo el hash NTLM, naturalmente, no puedo hacer el ataque de Pass-The-Hash en las máquinas.

Credential Guard está disponible solo en ediciones Enterprise y Education de Windows 10.

Espero sea de utilidad y pueda seguir compartiendo otras tecnologías nuevas de seguridad en Windows 10.

Saludos,

—Checho

La pantalla verde de la muerte (GSOD) al iniciar sesión, Windbg, Windows PE, Autoruns y su solución

Aunque he tenido algunos problemas resueltos en mi día a día laboral, no había vuelto a sacar tiempo para compartirlos; sin embargo, recién pude recuperar mi propio equipo de uno interesante, así que decidí sentarme un rato y escribirlo como en viejos tiempos.

El problema

Recién había actualizado mi Windows 10 a la compilación 17063 y necesitaba reinstalar el VMWare Workstation por un problema que hay con Advanced Installer, herramienta indispensable en mi trabajo, así que procedí a hacerlo, pero cuando reinicié el equipo para terminar la desinstalación, justo después de iniciar sesión, mi equipo empezó a arrojar pantalla verde de la muerte (GSOD):

«Your Windows Insider Build ran into a problem and needs to restart. We’re just collecting some error info, and then we’ll restart for you.»

GSOD

Nota: el color verde es solo para las compilaciones del programa Windows Insider.

A pesar de que el reinicio del equipo era correcto, incluso el inicio de sesión parecía funcionar, siempre terminaba por obtener el GSOD y se reiniciaba otra vez.

La causa

¿Cómo solucionar el problema cuando no puedes ingresar a Windows? Para pensar en eso, tenía que encontrar primero qué controlador me estaba causando la pantalla verde.

Recordemos que cuando ocurren una pantalla azul/verde de la muerte, mientras nos muestra el aterrador mensaje, Windows escribe un archivo que contiene el volcado de memoria de lo que ocurría al momento del fallo; normalmente escribe uno completo, MEMORY.dmp, ubicado en la raíz del directorio de Windows y otro más pequeño, escrito en el directorio Minidumps.
Si logramos obtener alguno de estos archivos desde el equipo con el fallo, es muy probable que podamos identificar la causa raíz.

Windows PE

Como no podía extraer el volcado de memoria desde el equipo en línea, opté por recurrir al buen amigo Windows PE e iniciar desde ahí el equipo, de esta forma me aseguraba no sufrir más reinicios inesperados y poder navegar desde la consola libremente por mis archivos.

Una vez en el Windows PE, busqué en qué unidad se encontraban los archivos del sistema operativo sin conexión, en mi caso la E:\, y copié el archivo MEMORY.dmp para poder analizarlo en otro equipo con xcopy a mi memoria USB, con letra H:\, así:

xcopy E:\Windows\MEMORY.dmp H:\DumpFile

image

El siguiente paso fue ejecutar la última versión del Windbg en otro equipo, conectar la memoria con el volcado de memoria y abrirlo para el análisis:

2017-12-21_16-21-53

El Windbg tarda unos segundos mientras prepara el ambiente y luego deja a disposición la consola de comandos. El paso básico aquí es proceder con el !analyze –v para que nos dé un resultado de cuál puede ser el controlador que falla y bastante información más, pero en este caso decidí utilizar solamente el comando kc para ver los nombres de todos los módulos y funciones que cargaron antes de que se produjera el bugcheck. Afortunádamente me encontré con algo interesante:

2017-12-21_16-29-46

Aquí cabe recordar que debemos buscar de primero siempre lo que no corresponda a Windows, es decir, que no inicie con nt! Para mi caso, como pueden ver, solo había algo diferente a todo lo demás: gdrv.

Luego, desde el mismo Windbg, utilicé lmvm gdrv para ver qué información podía extraer de ese controlador, aunque no tuve demasiada:

2017-12-21_16-32-09

Hasta aquí pude confirmar que efectivamente había un controlador implicado, pero con estos detalles del Windbg no podía saber a qué programa pertenecía (o no sabía cómo). ¿Qué hacer, entonces?

Autoruns y Windows PE

Como lo he mostrado en varias ocasiones durante toda la vida de este blog, Autoruns, de Sysinternals, tiene una fantástica característica que consiste en cargar todo lo que hay en un sistema operativo sin conexión para hacer análisis desde un Windows PE, por ejemplo. De esta forma podemos saber todo lo que carga con Windows y buscar posibles causas de problemas como una pantalla azul/verde que no deja arrancar.

Lo que hice fue copiar el Autoruns64.exe desde la página de Sysinternals al Windows PE, inicié nuevamente mi equipo desde ahí, ejecuté Autoruns y activé la característica desde el menú de File, Analyze Offline System. 

En la ventana de Offline System solo debemos indicar el directorio en donde está Windows, en mi caso la E:\Windows, y el perfil a cargar, en mi caso E:\Users\Checho:

image

Una vez hecho eso, ya estaba viendo todo lo que cargaba en mi sistema operativo. ¡Todo listo para encontrar a quién le pertenecía el controlador!

Desde el cuadro de texto de Filter, ubicado en la parte superior, debajo de la barra de menú, escribí el nombre del controlador, gdrv, y para mi fortuna, encontré lo que buscaba:

image

Según la descripción, el controlador pertenecía a GIGABYTE Tools, es decir, a la aplicación de App Center del fabricante.

La solución

Naturalmente, si Windows no tiene activo en el inicio el controlador que falla, el problema no va a ocurrir. Desde Autoruns, deshabilité la carga de ese controlador quitando la selección, así:

image

Cerré Autoruns, Windows PE y reinicié mi máquina. Como era de esperarse, no tuve más la pantalla verde, aunque sí un mensaje de error del App Center por no poder cargar su controlador:

image

Intenté buscar una versión más actualizada del App Center, pero no la encontré en la página de Gigabyte, así que tuve que quitar la aplicación de mi equipo mientras logro reportar el problema o sale alguna versión nueva.

Saludos,

—Checho
https://twitter.com/secalderonr

Establecer la ubicación predeterminada de la carpeta OneDrive a través de directivas de grupo

Hace unos días, como parte de mi trabajo, estaba apoyando un compañero en un proyecto de ingeniería de imágenes en Windows 10 y nos encontramos con que uno de los requerimientos que tenía el cliente sobre la imagen era cambiar la ubicación predeterminada de la carpeta OneDrive a otra partición de forma predeterminada, así el usuario que iniciara sesión solo tendría que indicar la cuenta y no hacer el cambio manualmente.

Predeterminadamente no se puede hacer el cambio hasta después de configurada la cuenta, además de que aplica por usuario; así que nos dimos en la tarea de buscar y encontramos un artículo técnico de la base de conocimientos de Office donde describía una serie de directivas de grupo asociadas a unos archivos ADMX disponibles para descargar:
https://support.office.com/en-us/article/Use-Group-Policy-to-control-OneDrive-sync-client-settings-0ecb2cf5-8882-42b3-a6e9-be6bda30899c

Lamentablemente me encontré con que para para algunas personalizaciones como la que yo buscaba, establecer la ubicación predeterminada de la carpeta OneDrive, había que hacer personalizaciones manuales sobre los archivos, pero la plantilla que uno descarga no tiene ni siquiera el XML con todos los valores base que requiere para funcionar y la ayuda está pésimamente documentada.

Con el ánimo de dejar algo de documentación para futuras ocasiones en que lo necesite y para el que le pueda servir, escribiré a continuación cómo deben de quedar configurados los archivos para que la directiva se pueda aplicar correctamente.

Requerimientos

1. Debemos saber cuál es el Tenant ID de nuestro Azure AD. Si necesitan saber cómo encontrar el Tenant ID, pueden ver este artículo

2. Aunque podemos hacer las modificaciones con el Bloc de notas, yo les recomiendo utilizar un editor como Notepad++ para los siguientes pasos. Pueden descargarlo desde aquí:
https://notepad-plus-plus.org/

Descarga de archivos

Aunque hay dos partes desde la web oficial que se pueden descargar, la mejor es la que está en la misma KB que compartí arriba: download the OneDrive Deployment Package

Configuración del ADMX y ADML

Una vez descarguemos el paquete de implementación, debemos descomprimir el contenido para poder empezar a modificar los dos archivos importantes, OneDrive.admx y OneDrive.adml:

image

Procedemos a hacer clic derecho sobre el archivo OneDrive.admx y lo editamos con Notepad++

image

Lo primero que debemos hacer es ubicarnos en las directivas DefaultRootDir y DisableCustomRoot para remplazar nuestro tenant ID por la cadena que veremos en el XML, así: {INSERT YOUR TENANT’S GUID HERE}

image

image

Naturalmente todos tendremos un identificador diferente.

Es importante aclarar que debemos tener cuidado de no incluir comillas adicionales ni corchetes, por ejemplo:

image

La directiva que nos va a permitir modificar la ubicación predeterminada de la carpeta de OneDrive es la que está con el nombre de DefaultRootDir, así que debemos hacerle algunas correcciones sobre lo que trae predeterminadamente la plantilla para que funcione.

Después de la etiqueta de supportedOn y antes de elements, vamos a agregar esto:

<enabledValue>
     <string>D:\ODUsers\%UserName%</string>
</enabledValue>
<disabledValue>
     <string></string>
</disabledValue>

Lo anterior es para que la plantilla aplique el cambio en el registro y aparezca como Enabled en la consola de directivas de grupo.

Noten que en la etiqueta de string yo agregué una ruta predeterminada; esto es de vital importancia para que pueda funcionar. La ruta puede ser cualquiera, pero debemos asegurarnos de que sea la misma tanto en este archivo .admx como en el .adml más adelante.

Todo quedaría así:


<policy name=”DefaultRootDir” class=”User” displayName=”$(string.DefaultRootDir)” explainText=”$(string.DefaultRootDir_help)” presentation=”$(presentation.DefaultRootDir_Pres)” key=”SOFTWARE\Microsoft\OneDrive\Tenants\81e570c6-569e-4b33-8ef5-8574e89d545b” valueName=”DefaultRootDir”>
       <parentCategory ref=”OneDriveNGSC” />
       <supportedOn ref=”windows:SUPPORTED_Windows7″ />
     <enabledValue>
        <string>D:\ODUsers\%UserName%</string>
     </enabledValue>
     <disabledValue>
         <string></string>
     </disabledValue>
       <elements>
         <text id=”OneDriveSyncFolder” valueName=”DefaultRootDir” required= “true” expandable=”true” />
       </elements>
     </policy>


image

Guardamos los cambios desde nuestro editor y cerramos el OneDrive.admx.

Hacemos clic derecho sobre el archivo OneDrive.adml y procedemos a editarlo también.

image

Al principio del archivo, debajo de  <stringTable>, vamos a agregar lo siguiente:

<!– OneDrive Sync Folder –>
<string id=”OneDriveSyncFolder”>OneDrive Sync Folder</string>

Nos quedaría así:


<resources>
     <stringTable>
    
       <!– OneDrive Sync Folder –>
       <string id=”OneDriveSyncFolder”>OneDrive Sync Folder</string>


image

Después de esta modificación, bajamos del todo en el archivo hasta la etiqueta llamada <presentationTable>; allí ubicamos la etiqueta de <defaultValue> y cambiamos su contenido por la ruta que deseamos mostrar predeterminadamente al abrir la plantilla en el Administrador de directivas de grupo. En mi caso, pondré la ubicación a:

D:\ODUsers\%UserName%


<presentationTable>
    <presentation id=”AutomaticUploadBandwidthPercentage_Pres”>
    <text>Select the maximum amount of bandwidth to take up when uploading files.</text>
         <text>Valid values are from 10 – 90.</text>
         <decimalTextBox refId=”BandwidthSpinBox” defaultValue=”70″ spinStep=”1″>Bandwidth:</decimalTextBox>
       </presentation>
       <presentation id=”DefaultRootDir_Pres”>
        <textBox refId=”OneDriveSyncFolder”>
         <label>OneDrive Sync Folder</label>
        <defaultValue>D:\ODUsers\%UserName%</defaultValue>
       </textBox>
      </presentation>
   </presentationTable>


image

Guardamos el archivo desde el editor y cerramos.

Importar los archivos al repositorio central del Directorio activo

En este punto voy a asumir que ya tienen creado un repositorio central en el controlador de dominio; si no es así, los invito a seguir este artículo para crearlo:

https://support.microsoft.com/en-us/help/3087759/how-to-create-and-manage-the-central-store-for-group-policy-administra

Para registrar los archivos correctamente, seguimos estos pasos:

1. Cerramos cualquier instancia del Administrador de directivas de grupo que tengamos abierta

2. Copiamos el archivo OneDrive.admx a la carpeta raíz de PolicyDefinitios del repositorio central:

image

3. Copiamos el archivo OneDrive.adml en la subcarpeta en-US de PolicyDefinitios:

image

Crear la directiva de grupo

Por último, procedemos a abrir el Administrador de directivas de grupo, creamos o editamos la plantilla desde donde queremos configurar la carpeta de OneDrive y navegamos hasta:

User Configuration\Policies\Administrative Templates\OneDrive

Doble clic sobre la plantilla Set the default location for the OneDrive folder

image

En la ventana de la plantilla, seleccionamos Enabled y, si es necesario, modificamos la ruta en la que OneDrive hará la sincronización, debajo de OneDrive Sync Folder:

image

Como nosotros modificamos la ruta en el archivo OneDrive.admx y OneDrive.adml, será la que aparezca predeterminadamente. Si necesitamos que sea otra, basta con cambiarla y ya.

Hacemos clic en el botón OK para habilitar la directiva. Debemos asegurarnos de que en la ventana del Administrador de directivas se quede viendo como Enabled:

image

Probar la directiva de grupo

Iniciamos en un equipo que tenga Windows 7 o Windows 10 y el último cliente de OneDrive instalado con un usuario de dominio que le aplique la directiva, ejecutamos OneDrive y procedemos a realizar la configuración:

1. Iniciar sesión con la cuenta:

image

2. Ingreso de contraseña:

image

3. Confirmación de la carpeta predeterminada:

image

Noten que, predeterminadamente, la carpeta de OneDrive está apuntando a la misma ubicación que definimos en la directiva de grupo.

4. Sincronización de archivos:

image

5. Confirmación:

image

6. Por último, confirmamos que la carpeta se haya creado físicamente en la ruta que indicamos en la directiva de grupo:

image

Espero les sea de utilidad.

Saludos,

<

p align=”justify”>Checho

Establecer un fondo personalizado para la Pantalla de bloqueo en Windows 10, versión 1703, con un paquete de aprovisionamiento

Una de las características que introdujo Windows 8 a nivel de interfaz gráfica fue la pantalla de bloqueo, que permitía tener una imagen personalizada mostrándose justo antes del inicio de sesión en Windows. Desde ese entonces y hasta la la compilación 1511 de Windows 10 las organizaciones podían establecer una imagen corporativa en todas las ediciones de Windows a través de directivas de grupo; sin embargo, desde Windows 10, versión 1607, solo es posible en ediciones Education y Enterprise, así que todas las empresas que tenían Windows 10 Pro perdieron esta opción, por lo menos de forma soportada.

Con la reciente liberación de Windows 10 Creators Update (versión 1703), Microsoft habilitó un nuevo CSP, más concretamente Personalization CSP, que permite configurar tanto el fondo de pantalla de escritorio como el de la Pantalla de bloqueo utilizando directivas MDM en las ediciones empresariales de Windows 10. Gracias a que los paquetes de aprovisionamiento se basan principalmente en directivas MDM, las empresas con Windows 10 Pro no necesitan tener Windows Intune para empezar a aprovechar estas nuevas características.

A continuación, mostraré cómo podemos utilizar la última versión del Windows Imaging and Configuration Designer (Windows ICD) para construir un paquete de aprovisionamiento que despliegue un fondo de pantalla de bloqueo personalizado y evite que el usuario lo pueda cambiar.

Requerimientos

1. Instalar todas las herramientas de implementación desde la última versión del ADK, la cual pueden descargar desde el sitio oficial:
https://developer.microsoft.com/en-us/windows/hardware/windows-assessment-deployment-kit

image

2. Un equipo cliente que tenga instalado Windows 10 Pro, versión 1703; es decir, Creators Update

Nota: este proceso funciona perfectamente en las ediciones Enterprise y Education también, pero ahí es más fácil por directivas de grupo.

Creación del paquete de aprovisionamiento

Lo primero que vamos a hacer es crear y configurar el paquete de aprovisionamiento con las directivas MDM que deseamos aplicar.

1. Desde nuestro equipo técnico en donde instalamos el ADK ejecutamos el Windows Imaging and Configuration Designer

2. En la página de inicio, hacemos clic en Advanced provisioning para crear un paquete completamente personalizado

image

3. En la ventana de New project, indicamos un nombre para el paquete debajo de Name y hacemos clic en el botón Next

image

  1. En la página de Choose which settings to view and configure, seleccionamos All Windows desktop editions y clic en Next

image

5. En la página de Import a provisioning package (optional), dejamos en blanco y clic en el botón de Finish

image

Windows Configuration Designer abrirá nuestro paquete de aprovisionamiento con todas las configuraciones disponibles debajo de Runtime settings:

image

Personalización del paquete

Aunque un solo paquete de aprovisionamiento puede contener múltiples configuraciones, nos enfocaremos solo en establecer nuestro fondo para la Pantalla de bloqueo.

1. Expandimos Runtime settings, luego el nodo de Personalization y clic en DeployLockScreenImage

2. En el panel central, hacemos clic en el botón de Browse y buscamos la imagen que deseamos establecer con extensión .jpeg o .jpg (se pueden más formatos, pero no viene al caso)

image

3. Después de escoger la imagen, hacemos clic en LockScreenImageUrl y en el campo de texto del centro escribimos el nombre de la imagen que seleccionamos en el paso 2. Para mi caso, por ejemplo, sería balls.jpg

image

4. Expandimos el nodo de SharedPC, luego PolicyCustomization, clic en SetEduPolicies y cambiamos el valor en el panel central de FALSE a TRUE

image

Nota: el paso 4 solo es necesario si vamos a configurar el fondo para la Pantalla de bloqueo en Windows 10 Pro, versión 1703.

Compilación del paquete

Finalmente, seguimos estos pasos para compilar nuestro paquete de aprovisionamiento:

1. Hacemos clic en el botón de Export, ubicado en la parte superior izquierda, y luego en Provisioning Package

image

2. En la primera ventana de Build, cambiamos el owner de OEM a IT Admin y clic en Next

image

Nota: el owner determina la prioridad en que Windows realizará configuraciones en el equipo, en caso de que hayan dos paquetes tratando de establecer las mismas directivas con distintas configuraciones.

3. En la página de Select security details for the provisioning package, hacemos clic en Next

image

4. En la página de Select where to save the provisioning package, dejamos el directorio predeterminado y hacemos clic en Next

image

5. En la página de Build the provisioning package, hacemos clic en el botón de Build para crear nuestro paquete de aprovisionamiento

image

6. En la página de All done, hacemos clic en el enlace que nos da el Output location para acceder al paquete de aprovisionamiento y clic en el botón de Finish

image

¡Todo listo! Lo único que nos queda es copiar nuestro CusttomLockScreen.ppkg o como lo hayan nombrado al equipo en donde aplicaremos la directiva para probar.

Prueba del paquete en Windows 10 Pro, versión 1703

Así luce la Pantalla de bloqueo en un escenario no administrado:

image

Como ven, la selección predeterminada es la de Windows spotlight, aunque el usuario lo puede cambiar por una imagen fija.

Lo que haremos será copiar el paquete de aprovisionamiento creado anteriormente y hacer doble clic para lanzarlo.

Normalmente el paquete nos da una leve descripción de tareas generales que hará y las opciones de aceptar o cancelar:

image

Lo único que tenemos que hacer es darle a Yes, add it y Windows se encargará de toda la configuración.

Una vez se cierre la ventana del paquete de aprovisionamiento, abrimos nuevamente la aplicación de Configuraciones, Personalización, Pantalla de bloqueo para ver cómo luce ahora:

image

Windows indica que algunas de las opciones están siendo administradas por la organización, por ende deshabilita toda personalización que pueda hacer el usuario.

Para comprobar que todo quedó aplicado, basta con bloquear el equipo y ver que nuestro fondo corporativo fue aplicado en la Pantalla de bloqueo.

image

Espero sea de utilidad.

—Checho

Cambiar el fondo de pantalla establecido por directivas de grupo en Windows 10

En mi empresa, como en todas las organizaciones, hay una directiva de grupo que establece un fondo de pantalla corporativo en todas las estaciones Windows. Si bien es algo normal y los encargados de TI suelen cambiarlo con cierta frecuencia, se vuelve muy aburridor estar viendo el mismo fondo de pantalla todos los días; por este motivo, decidí explorar un poco cómo reconoce Windows la directiva para cambiarlo por uno que sea de mi gusto y compartirlo por aquí.

Nota: es necesario contar con privilegios administrativos para poder realizar los procedimientos que voy a describir aquí.

Explorando la directiva del fondo de pantalla

Para poder seguir lo que pasa al activar una directiva de grupo, es necesario forzar la configuración con la herramienta de gpupdate, con el parámetro de /force, y seguirla con Process Monitor mientras hace el procedimiento.

image

Ya que Process Monitor genera bastante bulla con el log, debemos configurar filtro para que nos muestre lo que esté haciendo el proceso de svchost.exe, encargado de replicar las directivas de grupo, que las operaciones sean de escritura en el registro y que no muestre nada de sistema de archivos, procesos o redes.

image

Después de esto, abrí el cuadro de búsqueda (CTRL + F) y procedí a buscar todas las ocurrencias que tuviese la palabra «Wallpaper».

image

El primer resultado, aunque no es exactamente el que buscaba, encontré algunos detalles interesantes:

image

El Path hacía referencia a la subclave de registro que almacena la información correspondiente a las GPO aplicadas tanto en máquina como en usuario. En este caso, al SID correspondiente a mi usuario, S-1-5-21-3916089143-2390449709-3607105231-11656.

Noten que, según me indicaba Process Monitor, Windows estaba escribiendo un valor (RegSetValue) con el nombre de DisplayName y su contenido era GPO Wallpaper, nombre de la GPO que se encargaba de configurar el fondo de pantalla corporativo en mi equipo.

Haciendo clic derecho desde Process Monitor e indicando Jumpt To…, encontré todos los detalles referentes a la directiva de grupo en el registro: nombre, ubicación física, ruta completa de la OU, identificador único de la GPO, entre otras.

image

Toda esta información estaba alojada en la subclave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\DataStore\SID, mas no era la única GPO, pues en la raíz de DataStore están alojados las GPO tanto para usuario como para máquina. Las que corresponden a la máquina están en la subclave de Machine, y las de usuario, en su respectiva subclave que tiene como nombre el SID.
 

image

Esta información puede llegar a ser muy útil si estamos haciendo diagnóstico de problemas con directivas de grupo que no estén aplicando en los clientes; sin embargo, no me decía desde dónde estaba llamando al fondo de pantalla ni la ubicación de este. Lo que hice fue seguir buscando en Process Monitor con la misma palabra, Wallpaper, y esto fue lo que encontré:

SNAGHTML22c85cd8

Windows creó un valor de registro llamado Wallpaper en la ruta HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\; cabe agregar que normalmente las directivas de grupo, correspondientes a usuario, se agregan en la subclave de Policies.

Abrí el Registro de Windows para explorar de una forma más visual y hallé lo que estaba buscando, la ruta exacta de la directiva de fondo de pantalla.

image

El primer valor, Wallpaper, hace referencia a la ruta física, normalmente de red, en donde está ubicada la imagen a establecer como fondo de pantalla; el segundo valor, WallpaperStyle, le dice a Windows cómo debe posicionar la imagen en el escritorio: centrado, ajustado, etc.

Una vez obtenida la información, el siguiente paso, naturalmente, era proceder a hacer la personalización.

Cambiar el fondo de pantalla por uno personalizado

Para realizar el cambio de fondo corporativo a uno personal, realizamos los siguientes pasos:

1. Asegurarnos de estar en la subclave de registro: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

2. Doble clic sobre el valor Wallpaper para abrir la ventana de edición

3. Le indicamos una ruta completa, local o de red, en donde esté alojado nuestro fondo de pantalla, en el cuadro de texto:

image

4. Clic en el botón de Aceptar (OK)

5. Reiniciamos el sistema o reiniciamos el proceso de Explorer.exe para que el fondo se aplique y lo veamos en nuestra pantalla

¿Se puede impedir el cambio efectuado por la directiva?

En teoría sí, pero después de intentarlo muchas veces, me encontré con la sorpresa que no. Básicamente, para evitar el cambio habría que quitarle todo tipo de privilegios de escritura al usuario SYSTEM sobre la subclave de System o incluso de Policies; sin embargo, todos los administradores, incluyendo SYSTEM, por supuesto, tienen el privilegio de tomar propiedad (SeTakeOwnershipPrivilege), lo que les permite volver a restablecer todos los permisos de las subclaves.

Trataré de adentrarme más en esto cuando aprenda un poco de Internals.

Saludos,

—Checho

Personalizar la barra de tareas de Windows 10 con directivas de grupo

El pasado mes de mayo escribí un artículo sobre una característica bastante llamativa en Windows 10, versión 1511, que, expandiendo lo que ya se podía en Windows 8.1 Update, permitía crear un diseño parcial del menú de inicio para todos los usuarios, utilizando Directivas de grupo.

Windows 10, versión 1607, agregó otra funcionalidad más a estas características para anclar una serie de accesos predeterminados en la barra a través de Directivas de grupo y así ayudar a los administradores de infraestructura a estandarizar fácilmente las personalizaciones de usuario. En este artículo explicaré cómo podemos realizar estas personalizaciones.

Requerimientos

1. Controladores de dominio con los ADMX actualizados a Windows 10, versión 1607

2. Equipo con Windows 10, versión 1607, que sirva de referencia

3. Equipos con Windows 10 Enterprise o Education, versión 1607, en donde se implemente la directiva de grupo

Nota: esta característica no está disponible en ediciones Home y Pro.

Paso 1: configurar la barra de tareas

Estos pasos se deben realizar en el equipo de referencia, que puede estar o no unido al dominio de la empresa. Lo más importante es que si vamos a referenciar aplicaciones no integradas en Windows, estas deben instalarse también en los equipos en donde se va a desplegar la directiva.

Lo primero que hay que hacer, después de instalar las aplicaciones, si es que se requiere agregar un acceso directo, es anclar todos los accesos directos que vamos a predeterminar en los demás equipos. Basta con buscar la aplicación en el menú de inicio, hacer clic derecho y luego clic izquierdo en Anclar a la barra de tareas.

image

Para este artículo, yo anclé el Internet Explorer, Notepad++, Conexión a acceso remoto y el Símbolo del sistema.

image

Paso 2: crear y guardar el XML

El siguiente paso es crear o personalizar el XML. Microsoft provee una muestra en su documentación, así solo debemos dedicarnos a encontrar el Desktop Application Link Path adecuado para cada aplicación anclada; se utilizan dos rutas:

  • %APPDATA%\Microsoft\Windows\Start Menu\Programs
  • %ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs

Nota: las aplicaciones de interfaz moderna también se pueden anclar y relacionar en el XML que se crea, pero no las mostraré en el ejemplo, puesto que casi no se ve en la vida real; de hecho, las empresas tienden a bloquear estas aplicaciones.

Los accesos directos pueden estar en una u otra, por lo que toca buscarlo manualmente carpeta por carpeta. Por ejemplo, el acceso al Notepad++ está en:

%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Notepad++\Notepad++.lnk

image

El Internet Explorer, por poner otro ejemplo, está en la ruta:

%APPDATA%\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk

image

Ambas rutan deben estar dentro de la etiqueta <taskbar:DesktopApp DesktopApplicationLinkPath=/> del XML, así:


<?xml version=”1.0″ encoding=”utf-8″?>
<LayoutModificationTemplate
    xmlns=”
http://schemas.microsoft.com/Start/2014/LayoutModification”
    xmlns:defaultlayout=”http://schemas.microsoft.com/Start/2014/FullDefaultLayout”
    xmlns:start=”http://schemas.microsoft.com/Start/2014/StartLayout”
    xmlns:taskbar=”http://schemas.microsoft.com/Start/2014/TaskbarLayout”
    Version=”1″>
  <CustomTaskbarLayoutCollection>
    <defaultlayout:TaskbarLayout>
      <taskbar:TaskbarPinList>
        <taskbar:DesktopApp DesktopApplicationLinkPath=”%APPDATA%\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk”/>
        <taskbar:DesktopApp DesktopApplicationLinkPath=”%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Notepad++\Notepad++.lnk”/>
        <taskbar:DesktopApp DesktopApplicationLinkPath=”%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Accessories\Remote Desktop Connection.lnk”/>
        <taskbar:DesktopApp DesktopApplicationLinkPath=”%APPDATA%\Microsoft\Windows\Start Menu\Programs\System Tools\Command Prompt.lnk”/>
       
      </taskbar:TaskbarPinList>
    </defaultlayout:TaskbarLayout>
</CustomTaskbarLayoutCollection>
</LayoutModificationTemplate>


image

Nota: la base de este XML está tomada de la documentación de Microsoft.

Después de agregar las entradas correspondientes a cada acceso directo anclado, debemos guardar el XML con cualquier nombre descriptivo y ubicaro en una ruta de red, en la que pueda acceder el controlador de dominio que creará la directiva. Para este caso, yo la ubiqué en \\DC\Resources y lo llamé TaskBarLayout1.xml.

image

Paso 3: crear y desplegar la directiva

En el controlador de dominio, después de actualizar los ADMX, creamos o editamos la GPO destinada para personalizar la barra de tareas en los equipos con Windows 10, versión 1607, y realizamos lo siguiente:

1. User Configuration > Policies > Administrative Templates > Start Menu and Taskbar

2. Doble clic en la plantilla de Start Layout

image

3. Habilitamos la directiva y escribimos debajo de Start Layout File la ruta del XML

image

4. Clic en Apply y OK para terminar

Paso 4: probar la directiva de grupo

Si todo sale bien, cuando unamos un nuevo equipo al dominio o simplemente  reiniciemos para forzar directivas de grupo, la barra de tareas debe aparecer con todos los nuevos accesos a la derecha.

Así está la barra de tareas sin aplicar la directiva:

image

Así se ve después de aplicada:

image

Parece increíble que una característica así se haya tardado tanto en llegar, ¿no creen?

Espero sea de utilidad.

Saludos,

—Checho

Establecer un diseño parcial del menú de inicio en Windows 10 a través de Directivas de grupo

Hace ya algunos años, en los tiempos de Windows 8.1, escribí una entrada en donde mostré una de las nuevas características que tenía el sistema operativo: diseño del menú de inicio, que se utilizaba para establecer una pantalla de inicio corporativa, con grupos e iconos obligatorios y que no se podían modificar por parte del usuario.  Windows 10, a partir de la versión 1511, continuó con esta funcionalidad, pero ahora es posible configurar dos tipos de diseño: completo y parcial.

A continuación pasaré a describir un poco la diferencia y explicar, paso a paso, cómo se puede implementar en una organización.

Diseño completo y parcial en Windows 10

El diseño completo del Menú de inicio es exactamente igual al que tenía Windows 10; es decir, desde otro equipo con la misma arquitectura (32 o 64 bits) se exporta el XML utilizando PowerShell y se aplica a través de una GPO, impidiendo que los usuarios, una vez se les aplique la directiva, puedan realizar modificaciones sobre los grupos o iconos anclados. El diseño parcial del Menú de inicio, nuevo en Windows 10 1511, permite crear grupos obligatorios, mas deja que el usuario modifique como quiera el resto del menú de inicio agregando nuevos grupos, por ejemplo.

Requerimientos

1. Entorno de dominio con los ADMX actualizados para Windows  10.

2. Dos equipos con Windows 10, versión 1511, y que al menos uno esté unido al dominio.

3. Ruta compartida disponible para trabajar con el XML.

Generar el archivo XML con el diseño del Menú de inicio

En el primer equipo, debemos personalizar manualmente los grupos que deseemos establecer como obligatorios para los usuarios; por ejemplo, yo creé un grupo de «Trabajo» y otro de «Soporte» en donde anclé todas las aplicaciones necesarias, además cambié los tamaños acorde a como quería.

image

Una vez personalizado el Menú de inicio, ejecutamos PowerShell con privilegios elevados.

image

El cmdlet que se debe utilizar es Export-StartLayout, que se encarga de exportar la descripción del menú de inicio actual en formato .xml. La sintaxis es muy fácil:

Export-StartLayout –Path <ruta><nombre.>.xml

Por ejemplo, para guardar el XML en el disco local y llamar al archivo «Inicio.xml», se ejecutaría:

Export-StartLayout –Path C:\Inicio.xml

image

Copiamos el archivo .xml al servidor en donde vamos a aplicar la directiva de grupo. Una vez copiado, editamos el archivo y agregamos la siguiente línea en el elemento <DefaultLayoutOverride>:

LayoutCustomizationRestrictionType=”OnlySpecifiedGroups”

Debería verse así:

image

 <DefaultLayoutOverride LayoutCustomizationRestrictionType=”OnlySpecifiedGroups”>

Guardamos el archivo en el directorio compartido creado en los requerimientos.

image

Implementar directiva de grupo

En el controlador de dominio, abrimos la GPO destinada para esta directiva y navegamos hasta:

User Configuration\Policies\Administrative Templates\Start Menu and Taskbar

Doble clic sobre la plantilla «Start Layout».

image

En la plantilla de «Start Layout», seleccionamos Enabled  y luego, debajo de Start Layout File, digitamos la ruta completa de red al archivo .xml:

image

Clic en OK al terminar para aplicar la directiva.

Probar la configuración del Menú de inicio

Para que el diseño parcial del Menú de inicio surta efecto es necesario reiniciar la máquina. Una vez hecho esto, debemos ver el Menú tal cual como se configuró en la primera máquina:

image

Noten los iconos que tienen los dos grupos obligatorios que establecí, creados para indicarle al usuario que no se pueden modificar de ninguna manera.

El otro aspecto importante es que, al ser un diseño parcial, se pueden crear otros grupos a gusto del usuario y que no interfieren para nada con los obligatorios:

image

Estos grupos personalizables no tienen el icono del candado para indicarle al usuario que tiene completa libertad.

Espero sea de utilidad.

Saludos,

—Checho

Implementación básica de Work Folders para Windows 8.1 y Windows 10

Normalmente no acostumbro a publicar entradas referentes a Windows que se concentren más en el lado del servidor que del cliente; sin embargo, hay varias tecnologías, viejas y nuevas, que requieren bastante trabajo de cara al servidor para que el cliente pueda disfrutar de ellas.

Debido a que Windows 10 está trayendo tantas características interesantes, trataré de ir mostrando, conforme vaya aprendiendo, la implementación. Hoy, no obstante, quiero mostrar una característica que viene desde Server 2012 R2, relativamente simple de implementar y que puede llegar a ser muy útil: Work Folders.

Introducción a Work Folders

Work Folders es un rol que está disponible desde Windows Server 2012 R2, y que provee una forma consistente para que los usuarios puedan acceder a sus datos corporativos, independiente si es desde un computador personal o de trabajo, incluso a través de internet y desde dispositivo móvil.

Básicamente, con Work Folders podemos crear un repositorio central en el que los usuarios almacenen archivos corporativos y puedan acceder a ellos desde su equipo empresarial o, siguiendo el modelo de BYOD, desde su computador personal. Estos archivos pueden ser completamente controlados desde la organización utilizando directivas de seguridad; además, con Windows 10, se podrá activar Enterprise Data Protection (EDP) para cifrar el contenido y aprovechar todas las ventajas de esta otra característica.

La implementación de este rol, aunque puede llegar a ser compleja, se puede hacer de una forma básica para que los dispositivos puedan acceder a los datos desde que estén conectados la red empresarial. A continuación mostraré cómo podemos realizar un despliegue básico, para luego probar el acceso a los archivos desde un equipo con Windows 8.1 y otro con Windows 10.

Nota: Pueden obtener más información sobre Work Folders aquí: https://technet.microsoft.com/en-us/library/dn265974.aspx.

Requerimientos

Para implementar Work Folders necesitaremos:

  1. Ambiente de dominio
  2. Servidor con Windows Server 2012 R2 adicional y que esté unido al dominio
  3. Repositorio central en donde se vayan a almacenar los archivos
  4. 2 o más equipos con sistema operativo cliente. En este ambiente utilizaré uno con Windows 8.1 y otro con Windows 10, versión 1511

Implementando Work Folders

Las siguientes operaciones las haremos en el servidor adicional que tiene instalado Windows Server 2012 R2 (segundo requerimiento):

  1. En el Server Manager, clic en Add roles and features

    image

  2. En la página de Before you begin, si está habilitada, clic en Next
  3. En Installation type, dejamos la opción predeterminada y clic en Next

    image

  4. En la página de Server Selection, nos aseguramos de tener seleccionado el servidor destinado para Work Folders y clic en Next

    image

  5. En la página de Server Roles, expandimos el nodo de File and Storage Services, luego File and iSCSI Services y seleccionamos Work Folders

    image

    Cuando seleccionamos Work Folders, nos aparecerá una ventana adicional de Add features that are required for Work Folders?, allí simplemente hacemos clic en Add features

    image

  6. En la página de Features, clic en Next

    image
  7. En la página de Confirmation, clic en el botón Install para iniciar la instalación

    image

  8. Una vez terminado el proceso de instalación hacemos clic en Close

    image

Creando y configurando el Sync Share

Para que Work Folders pueda funcionar necesitamos un Sync Share, que puede verse básicamente como un repositorio central en donde estarán todas las carpetas, y en donde se administrará el acceso a diferentes grupos de Directorio Activo. Para configurar nuestro Sync Share, debemos seguir estos pasos:

  1. En el Server Manager, hacemos clic en el nuevo nodo de File and Storage Service

    image

  2. A continuación hacemos clic en Work Folders, y luego en el enlace de To create a Sync Share for Work Folders, start the new Sync Share Wizard

    image

  3. En la página de Before you begin, clic en el botón Next

    image
  4. En la página de Server and Path, seleccionamos Enter a local path y le indicamos el directorio en donde deseamos habilitar Work Folders

    image

  5. En la página de User Folder Structure, dejamos la selección de User alias y clic en Next

    image

    Nota: En el caso de que esta carpeta contenga otras subcarpetas, podemos seleccionar Sync only the following subfolder, aunque esto cobraría valor si Work Folders se estuviese implementando en la misma carpeta de Folder Redirection por ejemplo.

  6. En la página de Sync Share Name, escogemos un nombre, descripción (opcional) y clic en Next

    image

  7. En la página de Sync Access, clic en el botón Add…, buscamos el grupo de Directorio Activo al que deseamos otorgarle permisos para trabajar sobre Work Folders, clic en OK y luego en Next

    image

    Nota: Si deseamos, como administradores, tener acceso a las carpetas, debemos deshabilitar la opción de Disable inherited permissions and grant users exclusive access to their files.

  8. En la página de Device Policies, decidimos si queremos cifrar o no, además de aplicar las directivas de seguridad y clic en Next

    image

  9. En la página de Confirmation, hacemos clic en el botón Create para terminar

    image

  10. Si todo sale bien, nos debe mostrar la página de Results con las operaciones completadas. Clic en Close.

    image

 

Creando directivas de grupo

Aunque cada usuario puede configurar el acceso a Work Folders sin mayor problema, es preferible, al menos para los usuarios de dominio, hacerlo de forma controlada con las directivas de grupo y evitar problemas.

Las siguientes tareas deben hacerse en el Controlador de dominio (primer requerimiento):

  1. Abrir el Group Policy Management, navegar hasta la OU (Unidad organizacional) que se aplicará la directiva (o en la raíz para todo el dominio), clic derecho y luego Create a GPO in this domain, and Link it here…

    image
  2. Le indicamos un nombre de preferencia (en mi caso: Work Folders policies), y clic en OK

    image

  3. Clic derecho en la nueva GPO y luego Edit…

    image

  4. En el Editor de directivas de grupo, navegamos hasta: User Configuration\Policies\Administrative Templates\Windows Components\Work Folders

    image

  5. Hacemos doble clic sobre la carpeta Work Folders, y luego, Specify Work Folders settings

    image

  6. En la ventana de la plantilla Specify Work Folders settings, marcamos Enabled, escribimos como URL la ruta completa a nuestro servidor con el rol de Work Folders, marcamos Force automatic setup y clic en OK

    image

    Nota: Hay que tener en cuenta que la URL será diferente en cada escenario.

  7. Cerramos la plantilla de Specify Work Folders settings
  8. Navegamos ahora hasta Computer Configuration\Preferences\Windows Settings\Registry, y hacemos clic derecho en Registry y luego New Registry item

    SNAGHTML14d962d9

  9. Aquí lo que haremos será básicamente configurar un valor de registro para que Work Folders no nos solicite una URL segura (https) al momento de conectarnos, puesto que para eso necesitaríamos un certificado público. Los valores deben quedar así:
    1. Hive: HKEY_LOCAL_MACHINE
    2. Key Path: SOFTWARE\Microsoft\Windows\CurrentVersion\WorkFolders
    3. Value name: AllowUnsecureConnection
    4. Value type: REG_DWORD
    5. Value data: 1

    image

  10. Clic en OK y cerramos todo

Probando Work Folders

Windows 8.1

En este escenario utilizaré un equipo que no está unido al dominio (Traiga su propio dispositivo); debido a que no recibe directivas, no hay manera de que Work Folders se configure automáticamente, así que es necesario hacer algunos pasos para podernos conectar:

  1. Ejecutamos el CMD con privilegios elevados y ejecutamos:
    Reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WorkFolders /v AllowUnsecureConnection /t REG_DWORD /d 1

    image

  2. Desde la Pantalla de inicio, buscamos Work Folders y luego clic en Manage Work Folders

    image

  3. En la ventana de Work Folders, clic en el enlace de Set up Work Folders

    image

  4. En la página de Enter your work email address, clic en Enter a Work Folders URL instead

    image

  5. En la página de Enter a Work Folders URL, digitamos toda la dirección del servidor que configuramos previamente, y que es diferente en cada caso. Hacemos clic en Next después

    image

  6. Debido a que no estamos en el dominio, es necesario autenticarnos antes de continuar

    image

  7. En la página de Introducing Work Folders, podemos hacer clic en el botón Change para indicarle una ruta diferente a nuestros archivos sincronizados con Work Folders o bien clic en Next para terminar

    image

  8. En la página de Security policies, señalamos el cuadro de I accept these policies on my PC y clic en Setup Work Folders

    image

  9. Después de unos segundos, nuestro PC debe quedar listo para utilizar Work Folders. Clic en Close para terminar

    image

  10. Nuestro último paso es, por supuesto, pasar a crear o copiar nuestros archivos en la carpeta de Work Folders y comprobar la sincronización

    image
    Figura 1: Archivo guardado en Windows 8.1.

    image
    Figura 2: Archivo en el servidor de Work Folders.

 

Windows 10

Debido a que Windows 10 está en el dominio, la tarea se simplifica completamente. Lo único que debemos hacer es reiniciar, iniciar sesión con uno de los usuarios pertenecientes al grupo de Work Folders (Andy Clayton en mi caso) e inmediatamente tendremos la característica funcional desde nuestro Explorador de archivos, carpeta de Work Folders:

image

Nota: Si el equipo de Windows 8.1 está unido al dominio tampoco habrá que configurarlo.

Cambios de Work Folders en Windows 10

Si bien la característica es muy similar con Windows 8/8.1, hay algunas novedades con respecto a Windows 10 documentadas en TechNet, y que se resumen en:

  1. La sincronización es casi inmediata: En Windows 8.1 las actualizaciones de los archivos se hacían sin tardar mucho en el servidor, pero podría tardarse hasta 10 minutos en el cliente; Windows 10, si hay buena conexión, no esperará tanto para efectuar los cambios localmente.
  2. Integración con Enterprise Data Protection (EDP): EDP es una característica que, hasta la fecha, aún se encuentra en desarrollo, aunque ya se puede ir probando. Básicamente, EDP se encarga de cifrar archivos y permitir utilizar solo aplicaciones de confianza para tratar estos archivos, además de brindar borrado remoto desde System Center Configuration Manager o una plataforma MDM. Work Folders podrá cifrar los archivos utilizando EDP.
  3. Integración con Office 2013 y 2016: Si tenemos la suite instalada en nuestro equipo con Windows 10, podemos agregar fácilmente la carpeta de Work Folders como ubicación para Abrir y Guardar como:

    image

    Nota: Esta opción solo nos aparecerá si estamos en Windows 10.

Espero que esto sea de utilidad.

—Checho