Mejoras en el administrador de discos en Windows Vista


Nos falta prácticamente un mes para cumplir un año como BLOG y ya llevamos más de 170 artículos y posts sobre Windows Vista, y aun hay cosas de las que hablar (para los que digan que Windows Vista no aporta nada nuevo a Windows XP).


En esta ocasión voy a hablar sobre las mejoras en el “Administrador de discos” de Windows Vista, particularmente de la capacidad de redimensionar particiones grafica, cómoda y rápidamente sin tener que usar otras herramientas como “Partition Magic”, por mencionar la más conocida.


El “Administrador de discos” es una herramienta gráfica de gestión de volúmenes incluida en Windows para tareas habituales de almacenamiento como la inicialización de discos, la creación de particiones y el formato de estas. También incluye opciones menos conocidas como la creación de “Discos Dinámicos” para la creación de sistemas RAID lógicos gestionados por el sistema operativo.


Vamos con el tema que nos ocupa:


La manera más rápida para abrir el “Administrador de discos” es abrir el menú contextual sobre Equipo y seleccionar “Administrar” (ver imagen)



Esto abrirá el administrador de equipos probablemente bien conocido por todos dado que es la consola gráfica principal de gestión del sistema, desde la que podemos crear usuarios, administrar recursos compartidos, comprobar dispositivos, el visor de eventos etc.




Dentro del administrador de equipos debemos ir a “ALMACENAMIENTO>ADMINISTRADOR DE DISCOS” donde podremos gestionar nuestros discos duros.



En el ejemplo presente tengo un solo disco duro con una única partición que ocupa todo el almacenamiento disponible. Esto es un caso típico (quizás el más habitual), donde cuando instalamos el sistema operativo no pensamos que necesitaremos una partición adicional en un futuro para otro sistema operativo, o una partición para los datos.


En un caso como el mostrado necesitaremos redimensionar la partición haciéndola más pequeña para después usar el espacio obtenido para crear una partición nueva.


Windows Vista, a diferencia de XP, ofrece la posibilidad de “Reducir el volumen” sin necesidad de hacer uso de software de terceros. Para ello solo debemos pulsar con el botón derecho del ratón sobre la partición deseada y seleccionar “reducir volumen”.




 


Esto abrirá un asistente que nos preguntará cuanto espacio en MB deseamos reducir (en mi ejemplo, voy a reducir 20GB para instalar Windows Server 2008 en una nueva partición). Tras pulsar en “Aceptar” comenzará la reducción del volumen, un proceso bastante rápido con respecto a otro software comercial ya que no hay movimiento de información (el volumen solo puede reducirse hasta la ubicación del cilindro del último bloque de datos escrito).




Una vez reducido el volumen (imagen superior) podemos proceder a la creación de la nueva partición en el espacio no asignado (en negro) para Windows Server 2008, pero justo en este momento, un compañero de trabajo nos dice que en vez de instalar Windows Server 2008 nos puede pasar una máquina virtual de “Virtual PC 2007 SP1” que ocupa 10GB con dicho sistema operativo ya instalado y preparado para trastear con él.


Necesitamos instalar esa máquina virtual y para ello necesitamos recuperar almenos 10GB del volumen que habíamos reducido (el proceso contrario), para ello es imprescindible que el espacio No Asignado (el espacio en negro de la imagen) sea contiguo (en la parte derecha) al de la partición que vamos a aumentar, esto es así porque el proceso de redimensión del administrador de discos de Windows Vista no mueve ni copia sectores por lo que solo puede ampliarse el espacio por el final de la partición.


Pulsamos con el botón derecho del ratón sobre la partición a aumentar y seleccionamos la opción “Extender Volumen” (ver imagen).




 


Indicamos el espacio a aumentar (10GB) y pulsamos en “aceptar”. En menos de un minuto tendremos nuestra partición redimensionada demostrando de nuevo la rapidez de este sistema (ahora el espacio no asignado lo tenemos en 9,77GB).




Ya podemos copiar esa máquina Virtual de Windows Server 2008 y reproducir un laboratorio de Directorio Activo, Terminal Services, Rights Management Services o Network Access Protecction entre otros…


Espero que os sea de utilidad, un saludo y hasta el próximo artículo.

Compatibilidad de aplicaciones con Windows Vista (Conceptos generales)

La inspiración viene cuando menos te lo esperas, y a veces hace falta ir a un seminario impartido por algún figura de Microsoft para que se encienda una lucecilla en la cabeza que se aferra a ella susurrando “este es un buen tema para el Blog”, asi que aquí estamos, escribiendo el primer articulillo sobre compatibilidad de aplicaciones con Windows Vista, como prometí la semana pasada.


Siendo este mi primer artículo sobre el tema, es necesario hacer una pequeña reflexión… ¿Cuáles son las principales quejas relativas a Windows Vista?.


Está claro que depende de a quien se lo preguntes, los usuarios suelen decir que no encuentran las cosas, y se suelen dejar llevar por opiniones ajenas del producto ¿quién no tiene un amigo informático aunque sea de titulillo del INEM?.


Si la pregunta se la realizas a un técnico probablemente te dirá algo como lo siguiente (según experiencia propia):




  1. Consume mucha RAM (mi Ubuntu no consume tanto.. xDD)


  2. El UAC es un coñazo


  3. Las aplicaciones no funcionan bien (ni algunos servicios y scripts)


  4. La configuración de red es mucho más complicada (¡¡¡no soy capaz de hacer “ping”!!!)


  5. Faltan drivers


  6. Complicado de “Piratear” (¿¿??) –> La gente no se corta un pelo 😉

Del mundo antisistema (Anti-Microsoft, se entiende) se oyen otras voces como que “Windows Vista recorta libertades” y  comentarios por el estilo que más tienen que ver con colores políticos e ideológicos que por ser prácticos y técnicos.


Luego cuando uno se mueve al mundo de la seguridad informática se escuchan otras voces reconociendo la seguridad de Windows Vista, y se oyen incluso elogios de aquellos que han visto en Windows Vista un nuevo reto donde creackear las cosas se ha vuelto mucho más difícil.


Tras casi tres años de experiencia en el producto (en Informática64 empezamos a dar formación desde las Betas y ya estamos planificando las de Windows 7) amenudo nos toca acometer las quejas anteriormente comentadas que se hacen muchos técnicos y empresas sobre el producto (¡Viva la consultoría informática!), algo a lo que hay que añadir Windows Server 2008, sistema curiosamente muy respetado y valorado, aunque comparte el mismo Kernel que Windows Vista.


A modo de FAQ, voy a dar un pequeño repaso a las quejas antes citadas:


Q: Windows Vista Consume mucha RAM (mi Ubuntu no consume tanto.. xDD)


A: Windows Vista usa un gestor de memoria llamado Superfetch que carga páginas de aplicaciones en la RAM antes de que estas sean utilizadas con el fin de acelerar su ejecución. Básicamente el planteamiento es ¿Si tienes 4GB de RAM por qué solo vas a aprovechar 512MB?


 


Q: El UAC es un coñazo


A: Es cierto que el UAC (Control de Cuentas de Usuario) es un poco lata (aunque se mejoró con el SP1 de Windows Vista), pero la pregunta es más bien ¿prefieres que todo lo que ejecutan tus usuarios administradores se haga con plenos privilegios administrativos?, la experiencia ha demostrado que esto es un peligro casi mayor que el propio malware, aparte de que el UAC hace muuucho más que controlar privilegios ¿has oido hablar de MIC?¿de UIPI?¿la integridad de aplicaciones?¿la virtualización?


UAC es uno de los pilares de seguridad de Windows Vista (y Windows server 2008), entro otras muchas tecnologías.


 


Q: Las aplicaciones no funcionan bien (ni algunos servicios y scripts)


A: Esto es un tema más complicado, y es lo que ha motivado esta nueva serie de post, de momento valdrá con mencionar que si hay aplicaciones con problemas en Windows Vista es debido a la gran cantidad de sistemas de seguridad que incluye este sistema operativo, de manera que va a ser necesario empaparse bien de estás tecnologías de seguridad.


 


Q: La configuración de red es mucho más complicada (¡¡¡no soy capaz de hacer “ping”!!!)


A: Ojala las cosas fueran más sencillas, pero por suerte o por desgracia al informático le toca actualizarse, y es que los aspectos de red de Windows Vista han sido completamente rediseñados. Para empezar tenemos una capa dual IPv4/IPv6, compatibilidad con Network Access Protecction (NAP) de Windows Server 2008, un nuevo sistema IPSEC (AuthIP), una pila TCP/IP completamente nueva, nuevos protocolos como SMB2.0 y LLTD, mejoras de rendimiento para redes inalámbricas y sobre todo un firewall de Windows completamente nuevo con reglas de entrada y de salida, control de servicios, IPSEC incorporado y gestión mediante perfiles (para protegernos cuando estamos en una WIFI de cafetería o de aeropuerto).


Puede gustarte más o menos, pero en esta profesión hay que actualizarse más que los propios médicos… (lo peor sería ser médico e informático xDD)


 


Q: Faltan drivers


A: Esto es cierto (aunque con el SP1 se ha mejorado mucho el tema), es un problema que ya tuvo XP en su momento, y lo único que se puede hacer es solititar a los fabricantes que diseñen drivers para Windows Vista, o bien adquirir nuevo hadrware que sí sea compatible.


Reflexionando un poco no tardamos en darnos cuenta que tambien fastidia tener que volver a compilar un módulo para un dispositivo concreto dentro de un nuevo Kernel de Linux…


 


Q: Complicado de “Piratear” (¿¿??) –> La gente no se corta un pelo 😉


A: También lo es puentear un coche o ….. ¿no?


 


Tiempo de tomar un café…


¿Que tal el carajillo?¿te ha sentado bien? que envidia, yo estoy en el curro y me tengo que conformar con ese café de máquina que como mínimo debe ser cancerijeno 😛


Tras este punto y aparte, reflexión espiritual, o posesión por espíritus e”SPECTRA”les, empezamos con el tema que ha motivado este post: La compatibilidad de aplicaciones…


Lo primero es tener claro el concepto: La mayoría de los errores de aplicaciones en Windows Vista son debidas a las nuevas opciones de seguridad que este incorpora, en particular las siguientes tecnologías:


Control de Cuentas de Usuario (UAC)


A lo largo de la vida de este blog ya se ha hablado mucho de UAC y de su importancia:


http://geeks.ms/blogs/vista-tecnica/archive/tags/Control+de+Cuentas+de+Usuario/default.aspx


Y aun así, no hemos llegado a tratar el tema al 100%


Básicamente el UAC es un sistema añadido a Windows Vista para el cumplimiento del principio del “menor número de privilegios posibles”, algo así como el SUDO de Linux, pero con un enfoque completamente diferente.


Tradicionalmente en los S.O. de escritorio de Microsoft siempre se ha trabajado de manera predeterminada como “Administrador”, una práctica nada recomendable y en cierta manera inducida por el hecho de que Windows 2000 y XP por defecto creaban usuarios administradores desde la propia instalación. Ni que decir tiene que cualquier malware ejecutado como administrador tiene terribles consecuencias, algo que ha hecho a la plataforma Microsoft, y particularmente a Windows XP por su extendido uso, un claro candidato para la gran mayoría del malware actual (esto ha llegado hasta el punto de que los creadores de malware han realizado campañas constatadas incitando a la gente a que se quede en Windows XP y no migre a Windows Vista).


Con Windows Vista, aunque nuestros usuarios pertenezcan al grupo “Administradores” reciben un token de usuario corriente (sin privilegios) y otro de administrador (con sus privilegios administrativos), cualquier aplicación que ejecuten los usuarios se hará con el token de usuario limitado, que además tiene un nivel de integridad inferior (sistema de seguridad MIC) al token de administrador. Las aplicaciones solo se ejecutarán con plenos privilegios si se acepta una “solicitud de elevación” que se lanza si la aplicación lo solicita o si se usa la opción del menú contextual “Ejecutar como Administrador”.


Aunque lo anterior era la definición básica la cosa no acaba aquí, el UAC es capaz de comprobar si la aplicación se encuentra firmada digitalmente por un proveedor de confianza y advertirnos si no es así o si la integridad de la aplicación firmada ha cambiado (incluyendo las propios componentes del Sistema, lo que puede ayudarnos a identificar la presencia de malware). UAC también comprueba si un ejecutable es un fichero de instalación, solicitando elevación si es así (se acabó la posibilidad de que un usuario corriente instale una aplicación personal sin nuestro consentimiento). Aparte es el responsable de virtualizar aplicaciones provenientes de Windows XP o sistemas anteriores, algo que permite que una mayor cantidad de aplicaciones se ejecuten con bajos privilegios (sin requerir ser administradores).


Problemas con el UAC:


Las aplicaciones corporativas que requieran ejecutarse con plenos privilegios para funcionar no arrancarán con un simple doble click, sino que deberá seleccionarse la opción “Ejecutar como administrador”, no obstante hay alternativas (algo que dejo para post posteriores).


Las páginas web, complementos ActiveX y Applets también pueden presentar problemas dado que Internet Explorer se ejecuta con privilegios de usuario corriente.


Otro problema que presenta el UAC de cara a las aplicaciones es el de la virtualización. Las aplicaciones no pensadas nativamente para Windows Vista pueden presentar problemas cuando intentan escribir en ubicaciones donde un usuario corriente no tiene privilegios (como la carpeta “Windows”, PogramFiles o “HKEY_LOCAL_MACHINE”). Podeis comprobar más sobre la virtualización de aplicaciones en los siguientes posts:

http://geeks.ms/blogs/vista-tecnica/archive/tags/Virtualizaci_26002300_243_3B00_n/default.aspx

Básicamente los errores que presentan las aplicaciones con la virtualización es que al redirecionarse “Windows”, PogramFiles y “HKEY_LOCAL_MACHINE al perfil del usuario las aplicaciones que necesiten una configuración común entre varios usuarios, se encontrarán con que cada usuario tiene una configuración diferente (la de su respectivo perfil).


ID de sesión 0


Otro de los grandes culpables de que las aplicaciones no funcionen bien es el aislamiento que Windows Vista impone a los servicios. Este tema ya lo tratamos este tema en el articulo siguiente:


http://geeks.ms/blogs/vista-tecnica/archive/2007/12/24/sistemas-de-integridad-en-windows-vista-i-windows-service-hardening-primera-parte.aspx


Básicamente los servicios se ejecutan en un contexto diferente al del usuario (el ID 0), aislando a los usuarios de los servicios e impidiendo la posibilidad de realizar una interacción directa, esto mejora la seguridad, reduciendo el riesgo del equipo ante un atacante que puediera valerse de una vulnerabilidad de un servicio para obtener acceso al sistema.


Problema de ID de sesión 0:


El problema básico es que caulquier aplicación que necesite ejecutarse bajo el usuario SYSTEM (como los scripts de inicio de sesión de los equipos), no mostrarán advertencias interactivas al usuario de manera directa y como consecuencia no tendrán el comportamiento esperado.


 


MIC y el modo protegido:


Windows Vista incluye otra tecnología de seguridad conocida como Mandatory Integrity Control (MIC) que hace un uso exhaustivo de los conocidos anillos de seguridad de la arquitectura x86 para mejorar la seguridad del sistema con creces mediante la aplicación de 4 niveles de seguridad (“sistema” para servicios, Alto para Administradores, Medio para Usuarios y Bajo para aplicaciones específicas como Internet Explorer 7)


Internet Explorer hace uso de MIC en Windows Vista mediante el “Modo protegido” mediante el cual consigue que cualquier elemento que intente acceder al disco duro deba ser advertido al usuario el 100% de las veces (incluso si dicho intento de escritura es por culpa de una vulnerabilidad), dado que Internet Explorer se ejecutará con un nivel de integridad inferior al del propio usuario.


Problema con el Modo protegido:


Ciertas páginas web que requieran realizar cambios de manera frecuente en el usuario, mostrarán continuas advertencias y podrían alertar al usuario.


Los elementos indicados arriba reúnen la inmensa mayoría de los problemas de compatibilidad conocidos, pero existen otros, como las APIs descontinuadas, comprobaciones de versiones, entornos gráficos, incompatibilidades con IPv6 y un largo etc. que aunque son responsables de un menor número de incidencias también son aspectos a tener en cuenta.


Hay que entender las tecnologías de seguridad de Windows Vista para acometer los diferentes escenarios de compatibilidad de aplicaciones, algo que dejo para más adelante, dado que esto ya me queda demasiado largo….


En resumen, Windows Vista incluye un gran número de elementos de seguridad que pueden afectar a la ejecución esperada de las aplicaciones, sinembargo, también es cierto que la seguridad tiene un coste, y Windows Vista es sin duda a día de hoy el sistema operativo de escritorio más seguro del mercado (aquí dejo mi “Flame” particular :P).

Compatibilidad de Aplicaciones con Windows Vista

Hace ya unos días asistí como oyente al seminario Compatibilidad de Aplicaciones con Windows Vista impartido por Antonio Gámir (Ms Technology Especialist Windows) y José Parada (Ms Technology Especialist).




Como el propio nombre de las sesiones indica, en ellas se analizó un tema como el de la compatibilidad de aplicaciones para el sistema operativo cliente de Microsoft. Tema, por otra parte, de habitual presencia en diversos foros IT y que de forma (a veces un tanto ficticia) suele dar lugar a debate.


En el desarrollo del seminario se hizo un extenso repaso a las interioridades de Windows Vista, valorándose cómo sus nuevas opciones y posibilidades de seguridad podían provocar errores en aplicaciones heredadas de sistemas operativos anteriores. En función de ello se realizó una revisión a temas como UAC, UIPI, virtualización de aplicaciones y Windows Service Hardening, entre otros.


Junto a lo anterior se explicaron aquellos servicios de tipo gratuito que Microsoft ofrece así como las posibilidades del Ms Windows Vista para paliar dichos problemas de compatibilidad.


Tras mi asistencia a dicho seminario, publicaré próximamente una serie de posts sobre esta temática de compatibilidad de aplicaciones con Windows Vista. Espero que esta serie sea de utilidad para más de uno, ayudándonos también a entender por qué ciertas aplicaciones presentan alguna interferencia de funcionamiento en este fantástico sistema operativo.


 

Profundizando en el UAC: Manifiestos de las aplicaciones

No es la primera vez que se aborda el tema de los manifiestos de las aplicaciones en este blog, ya habíamos hecho referencia a estos de una manera más o menos detallada en el articulo sobre virtualización de Windows Vista de hace unos meses. De todos modos hagamos un repaso.


Desde hace ya tiempo, nuestras aplicaciones y documentos en Windows tienen la posibilidad de añadir un pequeño fichero interno o externo en XML que entre otras cosas suele aportar información sobre la versión del producto, dependencias de librerías, hashes de la aplicación para mantener la integridad, requerimientos de compatibilidad y un largo etc.


En Windows Vista los manifiestos se usan además para controlar que aplicaciones deben “elevarse” automáticamente en un entorno de UAC (Control de Cuentas de Usuario), es decir: permiten controlar que aplicaciones deben solicitar su ejecución con privilegios administrativos sin la necesidad de tener que usar el típico “Ejecutar como Administrador“.


Lo ideal para que veáis esto en la práctica es que os hagáis con un editor de manifiestos, uno sencillo, gratuito y versátil lo tenéis disponible para descarga en el siguiente enlace:


http://www.wilsonc.demon.co.uk/d10resourceeditor.htm


Tenéis una descripción de su uso en el articulo Virtualización de procesos II en este mismo Blog.


Nota: Los manifiestos pueden ser ficheros externos (con el mismo nombre que la aplicación de referencia, pero con extension .manifiest) o estar incluidos en el propio ejecutable, esto significa que si editáis un manifiesto interno de una aplicación firmada digitalmente o con algún tipo de control de integridad, estaréis invalidando dicha firma y la aplicación podría presentar algún tipo de error.


Si abrís el manifiesto de una aplicación presente en Windows Vista vais a tener algo parecido a lo siguiente:



A nosotros nos interesa la parte específica que afecta al UAC que es


<trustInfo xmlns=”urn:schemas-microsoft-com:asm.v3″>
    <security>
        <requestedPrivileges>
            <requestedExecutionLevel
                level=”asInvoker”
                uiAccess=”false”
            />
        </requestedPrivileges>
    </security>
</trustInfo>


 


Como veis son una serie de etiquetas  XML que afectaran al comportamiento de UAC para cualquier aplicación donde se encuentre presente. Alguna de estas etiquetas como TrustInfo, Sucurity y RequestPrivileges ya existían en ciertas aplicaciones de Windows XP para comprobar si el usuario que ejecutaba la aplicación cumplía con los requisitos de privilegios necesarios para ello, pero la etiqueta “requestExecutionLevel” es específica de Windows Vista.


En requestExecutionLevel tenemos los siguientes valores


     <requestedExecutionLevel
            level=”asInvoker”
             uiAccess=”false”
      />


Level: Indica el nivel de ejecución de la aplicación. Los valores posibles son:




  • asInvoker: Ejecuta la aplicación con los privilegios de los que el usuario disfrute en ese momento, que por regla general será con el “token de usuario estandar”. En la practica significa que las aplicaciones con este valor en su manifiesto no van a solicitar elevación de privilegios.

 




  • highestAvaible: Ejecuta la aplicación con los máximos privilegios de los que disponga un usuario, por ejemplo, si un usuario pertenece al grupo Operadores de Red (grupo que también es filtrado por UAC), se ejecutara la aplicación con esos privilegios. Si un usuario pertenece al grupo Administradores la aplicación se ejecutara como administrador. Las aplicaciones con este nivel de ejecución en su manifiesto se ejecutaran como usuario corriente y solo mostrarán la ventana de solicitud de elevación si el usuario pertenece a alguno de los grupos especiales filtrados por el UAC (operadores de red, usuario avanzados, administradores etc.).

 




  • requireAdministrator: Ejecuta la aplicación solo si el usuario que lo hace pertenece al grupo administradores. La aplicación mostrara automáticamente la ventana de solicitud de elevación.

uiAccess: Controla si una aplicación puede sobrepasar los niveles de protección del entorno gráfico del usuario para poder escribir en ventanas de aplicaciones ejecutadas con un nivel de privilegios mayor.




  • false: La aplicación no puede sobrepasar los niveles de protección del escritorio del usuario. Es el caso de la mayoría de las aplicaciones.

 



  • true: La aplicación puede sobrepasar los niveles de protección del escritorio del usuario.

Un claro ejemplo de esto es el “Teclado en Pantalla” (%windir%system32 osk.exe) que es una aplicación que necesita poder escribir en cualquier ventana del escritorio, incluso las de aquellas aplicaciones que hayan sido ejecutadas con privilegios de administrador.


Nota: La configuración por defecto de las políticas de grupo de Windows Vista obligan a que las aplicaciones con “uiAccess=trae” solo puedan elevarse si están firmadas digitalmente y en ubicaciones seguras como %ProgramFiles% o %Windir%. Esto es así porque en caso contrario podrían dar lugar a una posible escalada de privilegios por parte de algún usuario malintencionado o por algún tipo de malware.


Eso es todo, ya tenemos los conocimientos necesarios para adaptar nuestras aplicaciones en cada momento al nivel de ejecución que deseemos. Seguiremos hablando en futuros post sobre UAC para conocer cada vez en mayor profundidad los entresijos de esta importante tecnología.

UAC Y MODO PROTEGIDO DE INTERNET EXPLORER por Fernando Villarreal

En el siguiente post veremos cómo conseguir que el UAC (Control de Cuentas de Usuario) sea transparente para nosotros sin perder el modo protegido del Internet Explorer. Si desactivaramos el UAC desde el Panel de Control en Cuentas de Usuario nos encontrariamos con el modo protegido del Internet Explorer deshabilitado. A continuación vamos a ver como evitar esto mediante la modificación de políticas locales. Para ello vamos a inicio y en ejecutar escribimos Secpol.msc. Este comando esta disponible en Windows Vista Ultimate y Bussines, aunque veremos otra manera para implementarlo en las demás versiones.



Una vez ejecutado el comando secpol.msc se nos despliega una consola llamada local policy. Aquí desplegamos en el árbol la carpeta local policies, pinchamos en Security Options y buscamos las políticas de Cuentas de Usuario y en concreto la que dice comportamiento del indicador de elevación para los administradores en modo de aprobación de administrador. Con la modificación de esta política deshabilitamos la ventana de aprobación por ejemplo a la hora de instalar una aplicación.



Para ello hacemos doble clic sobre la política para su modificación viendo lo siguiente.



Marcamos la primera opción del desplegable en para que no nos pida el modo de elevación y así evitar la pregunta. Desde esta consola podemos modificar varias opciones, a nivel local, del comportamiento de las cuentas de usuario. La modificación realizada desde la consola de políticas no afectara al modo protegido del explorer, pudiendo así deshabilitar las opciones de control de cuentas de usuario sin perder el modo protegido en el Internet Explorer. Entre otras opciones podemos encontrar el que no pida credenciales a los usuarios o que no pida elevación a los usuarios del equipo, ya que la modificación realizada anteriormente la hemos hecho para los administradores de la maquina.


Ahora veremos como ejecutar la misma consola en versiones de Vista que no ejecuten el comando Secpol.msc, como por ejemplo un home Premium. Al ejecutar el comando Secpol lo que hacemos es abrir una consola predeterminada. Pues bien veamos como crear nuestra propia consola de políticas locales. Para ello en inicio/ejecutar escribimos mmc apareciendo la siguiente pantalla.




Sin duda es la misma consola que hemos ejecutado antes con secpol pero en este caso vacia, asi que vamos a agregar el complemento que necesitamos. Vamos a Archivo / agregar complemento, apareciendo la siguiente pantalla. Aquí debemos localizar la opción que pone editor de política de objeto de grupo (group policy object editor ) y hacemos doble click sobre ella para agregarla a la consola.



Ahora nos preguntara si la queremos aplicar sobre el equipo local, y le decimos que si pulsando en finalizar. Para ejecutarlo en un equipo remoto vamos a Browse(examinar) y le damos la ruta del equipo remoto al que queremos acceder.



Tras darle a finalizar en la ventana, damos a aceptar para cerrar, quedando la consola para editar las políticas. Ahora desplegamos el árbol marcandole la siguiente ruta Windows Settings/ Security Settings (cofiguracion de Windows / configuración de seguridad). En el panel de la derecha buscamos la carpeta que pone politicas locales, pinchamos y le marcamos opciones de seguridad.



Una vez llegados hasta aquí tenemos la misma consola que ejecuntando el comando secpol.msc, y la cual podemos guardar para tenerla siempre a mano. Ahora solo queda realizar las modificaciones mendionadas anteriormente y listo .


http://support.microsoft.com/kb/922708


http://msdn.microsoft.com/en-us/library/aa374163.aspx


http://technet.microsoft.com/en-us/library/cc758588.aspx


Espero os sirva de ayuda

Un saludo

Volviendo la Vista atrás por Fran Nogal

Pasado ya más de un año y medio de la salida de Windows Vista, podemos echar un vistazo a anteriores lanzamientos de otros sistemas y ver que, cíclicamente, se van cumpliendo unas premisas en los detractores de todo sistema de Microsoft. Tomemos como ejemplo el lanzamiento de Windows XP:


Windows XP estaba disponible el día 25 de Octubre del 2001, mientras que Windows Vista (codename “LongHorn”) empezaba a ser desarrollado en Junio de ese mismo año (¿no os suena a Windows Vista vs Windows7?)


¿Cómo recibieron los usuarios este nuevo sistema operativo? Bien, el problema de internet y toda la información que almacena es que podemos ponernos a buscar y sacar algunas cosas curiosas. Por ejemplo:


Tomamos una revisión que hacen en esta web en la que vemos el autor le pone a un Windows XP Home Edition una nota de 8, la nota que le ponen los usuarios es de más o menos un 5, encontrándonos comentarios del estilo de



Además nos podemos encontrar revisiones en las que se habla de los altos requisitos de sistema de Windows XP respecto a anteriores sistemas operativos e incluso de problemas que vamos a tener si actualizamos al nuevo sistema operativo:



Tambien habia blogs clamando al cielo contra el nuevo sistema operativo



e incluso había comentarios que auguraban que iba a ser un fracaso debido al volumen de ventas.



Creo que la imagen de aquí arriba se comenta por sí sola, ¿para qué necesitamos el entorno grafico de Windows XP? Cogemos y volvemos a la interfaz clásica, y es más, no hace falta para nada que actualicemos, mejor nos quedamos en Windows 98…


Pero es que incluso una vez lanzado el SP1 de Windows XP, las notas que los usuarios le dieron al sistema Operativo bajaron a un 4, y tras años después del lanzamiento de Windows XP todavía había usuarios que querían volver a Windows 98.


¿Veis algún paralelismo con la situación actual de Windows Vista? ….


 

Referencias vista-tecnica por Francisco Oca

Durante el presente año, se han publicado un considerable número de posts en Vista Técnica. La información recogida en ellos es de un interesante valor técnico, y creemos que de ayuda a profesionales y usuarios del sistema operativo. Reflejamos a continuación los títulos de post publicados mensualmente, y un acceso directo a los mismos para facilitar su acceso y lectura. Esperamos que os sea de ayuda.

Enero

Cómo desactivar la herramienta de informe de errores en Vista. Por Iñaki Ayucar
Rojo es el color por Leandro Martín
Windows Vista y Malware III
LEGALIZ@IT
¿Quién cuida mejor a su chica?
Hands On Lab de Windows Vista en Madrid
Activar o desactivar componentes de Windows Vista por Leandro Martín

Febrero

¿El tamaño importa?
Windows Vista SP1 (II de III)
Windows Vista SP1 (I de III)
Windows Vista y Malware IV

Marzo

Tecnologías de Seguridad en Windows Vista (I de IV) por Chema Alonso
Herramienta Recortes
Phishing.. Caso abierto, o de cómo denunciar un hecho
Sistemas de Integridad en Windows Vista I: Windows Service Hardening (segunda parte)
Asegur@IT II
Webcast TechNet: Windows Vista SP1 por José Parada
Windows Vista SP1 (III de III)
Control Parental (I de IV) por Alejandro Refojo
Microsoft Desktop Optimization Pack

Abril

Webcast: Microsoft Softgrid. Virtualización de aplicaciones
Bitlocker Drive Encription y SP1
Ajedrez en Windows Vista
Tecnologías de Seguridad en Windows Vista (II de IV) por Chema Alonso
Windows Vista y Malware V
Windows Defender: Herramientas de Gestion (IV de IV)
Windows Defender: Análisis bajo demanda (III de IV)
Hands On Lab Nuevos de Vista en Madrid
El conocimiento es poder…. A descargar!!!!
Ya está disponible el Webcast grabado del SP1
Control Parental (II de IV) por Alejandro Refojo
Copias de seguridad en Windows Vista
Soporte técnico gratuito para instalaciones y compatibilidad de Windows Vista SP1

Mayo

InfoSecurity 2008. Seguridad en Tecnologías Microsoft
Control Parental (III de IV) por Alejandro Refojo
El extraño caso de las vistas en carpetas
Opciones de accesibilidad (II de II)
Administración Remota de Windows Vista mediante WS-Management (I de III)
Opciones de Accesibilidad en Windows Vista (I de II)
Archivos sin conexión por Francisco Nogal
Tecnologías de Seguridad en Windows Vista (IV de IV)
Tecnologías de Seguridad en Windows Vista (III de IV)
Hands On Lab de Windows Vista en Barcelona
Enseña tu Windows Vista
¿Cumple tu máquina con los requisitos para implementar o migrar a Windows Vista?
Inglés, Español, Catalán, Gallego y Euskera a la vez en Windows Vista por David Cervigón

Junio

Virtualización de procesos I: Virtualización del registro en Windows Vista
Asistencia Remota en Windows Vista por Francisco Nogal
Programador de tareas de Windows Vista por Francisco Nogal
SpringBoard para Windows Vista
Carpetas ofline (II de II) por Josh Saenz G.
Recuperación de Iconos y restauración de la Papelera de Reciclaje por Fernando Villarreal
Carpetas Offline (I de II) por Josh Sáenz G.
Cómo se juega y cómo jugar al Mahjong Titans
Sonido independiente por aplicación y dispositivo en Windows Vista
Apagar en vez de Suspender en el Menú Inicio de Windows Vista
Where is my windows sidebar??? por Fernando Villarreal
Centro de Movilidad de Windows Vista

Julio

Windows Codename MOJAVE. Lo que realmente piensan los usuarios de Windows Vista
Configuración de preferencias en Windows Vista (I de II) por Josh Sáenz G.
Windows Easy Transfer (2 de 2)
Habla a tu Vista
Windows Easy Transfer (1 de 2)
Galería fotográfica en Windows Vista II de II
Como ejecutar una aplicación con privilegios administrativos en perfiles limitados por Josh Sáenz G.
Extra de Windows Vista Ultimate – Windows Dreamscene
Windows Eventing 6.0 (I de V)
Galería fotográfica en Windows Vista I de II
Extra de Windows Vista Ultimate – Hold ‘Em
Windows RE por Francisco Nogal
Control Parental (IV de IV) por Alejandro Refojo
Acelera tu Windows Vista por Fernando Villareal
Miniaturas de imagenes en Windows Vista

Agosto

Deshablitar UAC para ciertas aplicaciones por Francisco Nogal
Programas predefinidos en Windows Vista
Windows DVD Maker
Idiomas adicionales en Windows Vista por Francisco Nogal
Configuración de preferencias en Windows Vista (II de II) por Josh Sáenz G.
Prepara tu línea de comandos
Virtualización de procesos II: Virtualización del Sistema de Archivos en Windows Vista
Guía de Seguridad de Windows Vista

Septiembre

Herramienta Fax y Escáner de Windows (Escáner) por Matías Cordero
Herramienta Fax y Escáner de Windows (Fax) por Matías Cordero
PowerShell (III de V)
Hands On Lab de Windows Vista en Madrid en Septiembre
“Utilidad De Configuración Del Sistema” por Fran Nogal
Prepara tu línea de comandos II
Salto de protecciones de memoria en Windows Vista

Seguiremos posteando en el blog con temas que consideremos de interés. Cualquier solicitud o sugerencia sobre temas a tratar será siempre bien recibida.

Saludos a todos los que leéis el blog y bienvenidos a los que  os incorporáis ahora como lectores.

 

"Utilidad De Configuración Del Sistema" por Fran Nogal

Detrás de este nombre tan misterioso se encuentra una herramienta que cualquier técnico de sistemas ya ha utilizado en Windows XP y que en Windows Vista ha tomado un poco más de importancia de la que ya tenía, y que nos va a servir para resolver problemas con el inicio de nuestro equipo.


Como la mayoría sabréis, la forma más común, tanto en Windows Vista como Windows XP, de arrancar esta utilidad es ir a INICIO-EJECUTAR (esto en Windows XP) o WINDOWS +R (Windows Vista) y ahí ejecutamos MSCONFIG. Una vez abierta la herramienta (en el caso de Windows Vista antes nos habrá saltado el UAC si lo tenemos habilitado porque esta herramienta es una herramienta de administración y por tanto necesita elevación de privilegios.) pasaremos a revisar su funcionamiento en cada una de las pestañas.


En la primera pestaña, tanto en Windows XP como en Windows Vista, nos salen las diferentes opciones que nos ofrece el Sistema Operativo para controlar su inicio. Seleccionando INICIO NORMAL el sistema operativo arrancará de forma predeterminada cargando todos sus programas, servicios y controladores. Sí seleccionamos INICIO CON DIAGNOSTICO Windows decidirá que controladores de dispositivos y software cargará al inicio. Si utilizamos esta opción se deshabilitaran algunos servicios como los de RED, Informe de Errores y Restaurar Sistema, por ejemplo. En la tercera opción, INICIO SELECTIVO, tendremos nosotros que tomar la decisión de qué queremos que cargue al inicio. Si clicamos en esta opción, se activaran los checkbox que tenemos debajo. Sí desactivamos la casilla de verificación, por ejemplo CARGAR SERVICIOS DEL SISTEMA, esa opción no se procesara al reiniciar el sistema, es decir, no se cargaran esos servicios. Si aun clicando en la casilla de verificación, esa opción sigue quedándose activada, significará que todavía algún servicio será cargado.


Cuando pasamos a la siguiente pestaña, mientras que en Windows XP nos salen System.ini y Win.ini, en Windows Vista ya no es así ya que han dejado de existir esas dos pestañas dentro de esta utilidad en el nuevo sistema operativo. Quitando esas dos pestañas, la siguiente pestaña es que nos aparece es, o boot.ini en Windows XP o Arranque en Windows Vista. Esta es una de las pestañas más importantes y que mas cambio ha sufrido, sobre todo por el cambio en el modo de arranque de Windows Vista. En Windows XP desde esta pestaña podremos modificar el archivo de arranque boot.ini agregándole además ciertos parámetros. Pero con Windows Vista esto se ha vuelto incluso con más posibilidades de modificación.


Si seleccionamos Arranque a prueba de errores, se nos habilitaran las opciones que tenemos debajo, actuando estas de la siguiente manera:



  • MINIMO: arranca el explorador de Windows, servicios críticos pero no se arranca los servicios de red

  • SHELL ALTERNO: No se ejecutan ni la interfaz grafica ni los servicios de red, apareciendo solo el símbolo de sistema y ejecutándose los servicios crítico

  • REPARAR ACTIVE DIRECTORY: Se ejecutan los servicios críticos del sistema y Active Directory

  • RED: Se arranca la interfaz grafica de usuario y los servicios de red están habilitados

Si marcamos la opción de SIN ARRANQUE DE GUI, no nos mostrara la pantalla de bienvenida de Windows al arrancar.


Con REGISTRO DE ARRANQUE activaremos que al iniciar el sistema nos creara un log del arranque en la ruta %SystemRoot%Ntbtlog.txt. Y ya por último, dentro de todo este abanico de opciones, con VIDEO BASE e INFORMACION DEL ARRANQUE DEL SO,  lo que haremos es, en el primer caso cargar únicamente los controladores VGA ESTANDAR, mientras que en el segundo caso nos ira mostrando el nombre de los controladores según vayan cargando.


Veréis además que hay una casilla con la etiqueta de CONVERTIR EN PERMANENTE TODA LA CONFIGURACIÓN DE INICIO que si la marcamos hará que todos los cambios que realicemos a partir de que aceptemos tengan que ser de forma manual, ya que no se guardarán los cambios que hagamos, por ejemplo, al seleccionar la opción de INICIO NORMAL de la pestaña general.


Pero además de todo esto, tenemos un botón de opciones avanzadas, en las que nos dará la opción de todavía poder modificar mas el arranque, pudiendo seleccionar cuantos procesadores queremos que trabajen en el arranque del equipo o indicar cuál es la cantidad máxima de memoria con la que queremos trabajar pero lo más importante es que podremos realizar una depuración hacia un dispositivo USB (en XP solo era posible con puertos COM y Firewire), de manera que sea posible realizar una conexión remota para el control del arranque sin necesidad de que el sistema operativo se encuentre online.



Las dos siguientes fichas no han sufrido mucho cambio de Windows XP a Windows Vista, mientras que en la ficha SERVICIOS aparecerán los servicios que se ejecutan al inicio del sistema pudiendo desde ella habilitar y deshabilitar cualquiera de ellos. Quizas la característica más curiosa sea la de Ocultar todos los servicios de Microsoft, que si la seleccionamos nos mostrara en pantalla únicamente los servicios que pertenezcan a productos de terceros, como podemos ver en la imagen.



La pestaña INICIO DE WINDOWS tiene la misma funcionalidad tanto en WINDOWS XP como en Windows Vista, es decir, podemos deseleccionar que programa no queremos que se ejecute al inicio para no ralentizar demasiado el sistema (desde el Explorador de Software de Windows Defender también podremos seleccionar que programas se ejecutan al inicio pero teniendo más información).


Y ya por ultimo tenemos una nueva pestaña, llamada HERRAMIENTAS (que también se incluye en Windows XP SP3), desde la que podremos ejecutar diferentes utilidades avanzadas pero que como principal  característica es que podremos añadirle las herramientas que creamos. Para hacer esto deberemos guardar dentro de %SystemRoot%/system32 un archivo llamado Mscfgtlc.xml. En nuestro caso hemos añadido la línea siguiente:


<MSCONFIGTOOLS>


  <TOOL NAME=”Mostrar Direccion IP” PATH=”%windir%system32cmd.exe” DEFAULT_OPT=”/k %windir%system32ipconfig.exe” ADV_OPT=”/k %windir%system32ipconfig.exe  /all” HELP=”Muestra nuestra direccion de red.”/>


</MSCONFIGTOOLS>


Creo que es bastante fácil de entender, ejecutaremos el símbolo de sistema y un IPCONFIG para ver nuestra dirección IP. Guardamos y cerramos el archivo y cuando volvamos a abrir la utilidad de configuración del sistema ya nos aparecerá la nueva herramienta como podéis ver:



Como podéis ver, esta utilidad sigue conservando todo lo bueno que tenía en el WINDOWS XP pero además se le han añadido nuevas características que la hacen todavía mejor herramienta.


Otra referencia a MSCONFIG la encontramos en este mismo BLOG en un post sobre cómo acelear Windows Vista en: http://geeks.ms/blogs/vista-tecnica/archive/2008/07/03/acelera-tu-windows.aspx


Nota: Gracias

Virtualización de procesos II: Virtualización del Sistema de Archivos en Windows Vista

Dado que el mes pasado ha sido el primer mes que hemos impartido los HANDS ON LAB de virtualización en Windows Server 2008 después de la salida oficial de Hyper-V, me he animado a escribir la segunda parte del artículo sobre “virtualización de procesos” que ya publicamos hace unas semanas en este blog y que podéis ver aquí:


 

Virtualización de procesos I: Virtualización del registro en Windows Vista 

En esta ocasión abordaremos la virtualización de procesos ante los errores de escritura en el sistema de ficheros y ahondaremos más en esta tecnología para poder controlar que aplicaciones son virtualizadas y cuales no.

 

Haciendo un breve repaso, recordemos que Windows Vista es capaz de virtualizar aplicaciones ante errores de escritura tanto en el registro de Windows como en el sistema de ficheros, siempre y cuando tengamos el “Control de Cuentas de Usuario” (UAC), habilitado, ofreciéndonos la ventaja de conseguir que una mayor cantidad de aplicaciones, sobre todo aplicaciones antiguas y heredadas, sean capaces de funcionar sin requerir privilegios administrativos (recomiendo que releáis la primera parte del artículo para que no perdáis el hilo).

 

La virtualización del sistema de ficheros es similar a la virtualización del registro: cuando una aplicación “virtualizada” intenta escribir en una ubicación donde por defecto no tiene permisos de escritura (algo que generalmente ocurre por una mala programación o por una incompatibilidad cuando la aplicación procede de sistemas operativos anteriores), dicha escritura es redirigida a una ubicación donde el usuario si dispone de los permisos apropiados, “engañando” de esta manera al proceso afectado que no sabe que en realidad está escribiendo en otro sitio. De esta manera evitamos la necesidad de usar “privilegios administrativos” para ejecutar ciertas aplicaciones que por regla general no ofrecen ventaja administrativa alguna.

 

Hecho este repaso, vamos a realizar un ejemplo de virtualización con Windows Vista, similar al que ya realizamos en el anterior post sobre esta tecnología, pero cambiando el registro de Windows por el Sistema de ficheros.


 


 

Ejemplo de virtualización 

La aplicación elegida para la práctica en este caso es el CMD, que deberemos ejecutar mediante un usuario estándar sin privilegios administrativos, o bien (para los que entendáis como funciona esto del UAC), con un usuario administrativo pero ejecutando el CMD mediante el “token” de usuario corriente.

 

Una vez estemos en el CMD podemos probar a intentar crear un fichero o carpeta en alguna de las ubicaciones tradicionales donde por defecto un usuario corriente no tiene privilegios de escritura como %programfiles% o %Windir%. El mensaje que nos devolverá el sistema, como es lógico, es de “Acceso Denegado”.

 

 

Para evitar dicho “Acceso Denegado” vamos a virtualizar el CMD. Para ello nos dirigimos al “Administrador de Tareas” y pinchamos en la pestaña “Procesos”, abrimos el menú contextual sobre el proceso “cmd.exe”, seleccionamos “virtualización” y pulsamos en “Aceptar” sobre la advertencia que nos aparece de que la aplicación podría tener u comportamiento inesperado (precisamente eso es lo que buscamos).


 



 


 


Una vez que ya tenemos el CMD en estado “virtualizado”, regresamos a él e intentamos realizar un “mkdir” sobre cualquiera de las ubicaciones donde anteriormente nos devolvía acceso denegado ¡¡Se nos crea la carpeta sin devolvernos ningún error de acceso!! Y si jugueteamos un poquito más podemos comprobar que al hacer un “dir /ad” nos aparece listada la carpeta e incluso podemos crear ficheros en ella, sinembargo si navegamos a dicha ubicación con el explorador o abriendo un nuevo proceso cmd, la carpeta no aparece por ningún sitio. La carpeta solo es visible para procesos virtualizados, por ejemplo, si queréis ver la carpeta desde otro proceso cmd deberéis virtualizar también dicho proceso.

 

Ahora surge la pregunta clave: si la carpeta no existe realmente en la ubicación donde realizamos el mkdir ¿dónde se crea realmente? Pues en aquel lugar donde un usuario corriente tenga permisos de escritura, es decir, en el perfil del usuario, concretamente en “%userprofile%AppdataLocalVirtualStore”.


 

 

Después de divertirnos virtualizando procesos, si lo deseamos, podemos echar un vistazo al “visor de eventos” para comprobar la información que se ha registrado ahí referente a la virtualización.

 

 


 

Ahondando en la virtualización: 

Ya hemos visto como se puede virtualizar manualmente un proceso, y conocemos los aspectos más significativos de este sistema, pero nos falta dar respuesta a otras preguntas interesantes como:

 

¿Es posible auditar los intentos de escritura que son virtualizados?


¿Cómo sabe Windows Vista que aplicaciones debe virtualizar?


¿Cómo puedo hacer para que mis aplicaciones sean o no sean virtualizadas?

 

En esta parte del post iremos dando respuesta a estás preguntas a modo de FAQ y nos sumergiremos un poquito más en Virtualización y el UAC.

 

Vamos con la primera pregunta:


 

¿Es posible auditar los intentos de escritura que son virtualizados? 

Si, es posible auditar los intentos de escritura virtualizados, tanto en Windows Server 2008 como en Windows Vista.

 

Windows trata las escrituras virtualizadas como procesos de escritura “correctos” de cara a los registros de auditoría (no los trata como errores de escritura), de manera que habilitando la típica “auditoria de acceso a objetos” en las políticas, y la “auditoria correcta de escrituras” en la pestaña de seguridad de la carpeta correspondiente esteramos automáticamente auditando también los procesos de virtualización acontecidos sobre dicha carpeta.


 

¿Cómo sabe Windows Vista que aplicaciones debe virtualizar?  

Antes que nada debemos recordar que el propósito de la virtualización de procesos es que aplicaciones heredadas, no diseñadas para trabajar con Windows Vista, puedan funcionar sin ningún tipo de problema con bajos privilegios.

 

Las aplicaciones que se diseñen para Windows Vista o Windows Server 2008, deberían cumplir las especificaciones de este sistema operativo y ejecutarse sin problemas como un usuario  corriente avisando a este en el caso de que la aplicación requiera de privilegios administrativos. Por tanto las aplicaciones programadas para Windows Vista no deberían requerir virtualización.

 

Teniendo esto en cuenta vamos a comprobar las condiciones que deben cumplirse para que Windows determine que una aplicación “NO” necesite virtualizarse:

 

  • Aplicaciones de 64bits. Se considera que son aplicaciones modernas y por lo tanto deberían estar preparadas para ejecutarse correctamente según los requisitos de Windows Vista y Windows Server 2008.
 

  • Servicios de Windows. Aunque estos se ejecuten con una cuenta de usuario estándar.
 

  • Aplicaciones con una “solicitud de nivel de ejecución” declarada en su “manifiesto”. La “solicitud de nivel de ejecución” es un nuevo elemento de Windows Vista y Windows Server 2008 que permite a Programadores y Administradores personalizar la manera en que sus aplicaciones interactúan con el UAC. Se considera que todas las aplicaciones adaptadas a Windows Vista deberían incluir este elemento en sus manifiestos internos. Cuando una aplicación tiene configurada una “Solicitud de nivel de ejecución” en su manifiesto, se considera como “no heredada” y no se virtualizará.

 

¿Cómo puedo hacer para que mis aplicaciones sean o no sean virtualizadas? 

Según las condiciones que hemos visto en el punto anterior, todas las aplicaciones son automáticamente virtualizadas menos en casos específicos como que la aplicación sea de 64 bits o que en su manifiesto interno aparezca información para interactuar con el UAC. No obstante puede que nos interese virtualizar aplicaciones que no son virtualizas automáticamente o no virtualizar aquellas otras que se virtualizan de manera automática.

 

Si NO deseamos que nuestras aplicaciones sean virtualizadas de manera automática tenemos tres opciones:

 

  • Deshabilitar el UAC
 

  • Configurar la política de grupo oportuna, como ya mencione en el primer post sobre este asunto.
 

  • Agregar en el manifiesto de la aplicación una entrada de “solicitud de nivel de ejecución”  (Ver Caso Practico)

 


Caso Práctico: Impidiendo la virtualización de aplicaciones heredadas mediante la edición de su manifiesto:


Como acabamos de ver, la manera más interesante para impedir la virtualización de una aplicación es modificar su manifiesto, pero ¿que es un manifiesto?


 


Un manifiesto es un pequeño fichero XML que describe aspectos de una aplicación, como la versión, el fabricante, las dll requeridas, las dependencias etc. Dicho manifiesto  puede ser interno (integrado en la propia aplicación) o externo (en un fichero con el mismo nombre pero con la extensión .manifest).


 


En su origen los manifiestos nacieron como una manera sencilla y eficaz de solucionar el conocido como “Infierno de las dlls”, al hacer la propia aplicación referencia a la versión de DLL que deseaba utilizar. Con el tiempo, los manifiestos han sido utilizado para diversos propósitos incluida la interacción de las aplicaciones con el UAC en el caso de Windows Vista.


 


Bueno, ahora que sabemos lo que es un manifiesto, solo nos queda editarlos, pero ¿como podemos editar un manifiesto de una aplicación? Pues con una herramienta versatil, sencilla y gratuita como XNResourceEditor 


 


Lo único que teneis que hacer es ejecutar la aplicación, pulsar en “OPEN” y seleccionar el .exe que deseeis editar.


 



 


Aunque nos aparecen varias carpetas de recursos, la que nos interesa en nuestro caso es la etiquetada como “XP Theme Manifest” que nos mostrará el manifiesto de la aplicación seleccionada, si este existe.


 


Si comparamos los manifiestos de una aplicación basada en XP (imagen superior) con otra basada en Windows Vista (imagen inferior) podremos ver una diferencia interesante ¿la encuentras?.


 



 


En efecto, la principal diferencia es algo asi como:


 


<trustInfo xmlns=”urn:schemas-microsoft-com:asm.v3″>
    <security>
        <requestedPrivileges>
            <requestedExecutionLevel
                level=”asInvoker”
                uiAccess=”false”
            />
        </requestedPrivileges>
    </security>
</trustInfo>


 


Esta parte del manifiesto indica el modo en que la aplicación desea relacionarse con UAC, la conocida como “solicitud de nivel de ejecución” que ya indiqué con anterioridad.


 


Ya podemos ir uniendo hilos…


..si deseamos que nuestra aplicación de XP no se virtualice automaticamente, lo unico que tenemos que hacer es agregarle una “Solicitud de nivel de ejecución” similar a la de arriba.


 


Vamos a probarlo en la práctica. En mi caso voy a utilizar una herramienta tradicional de Windows XP que MUCHOS de nosotros echamos de menos en Windows Vista: “el PinBall”


 


Lo unico que tenemos que hacer es copiar la carpeta %programfiles%Windows NTPinball de un equipo con WindowsXP a otro con Windows Vista, ejecutar el juego y comprobar si Windows Vista lo virtualiza o no de manera automática desde el “Administrador de tarteas”


 



 


En la imagen superior podemos ver claramente que PINBALL.exe aparece como Virtualizado (la columna “Virtualización” no aparece de manera automática y es necesario agregarla desde “Ver>Seleccionar Columnas”)


 


Vamos a impedir que el PINBALL se virtualice, para ello abrimos el fichero PINBALL.exe con la aplicación XNResourceEditor, vamos a “XP Theme Manifest” y bajo la etiqueta </dependency> pegamos la “Solicitud de nivel de ejecución” que deseemos (copiada de una aplicación de Windows Vista o de este mismo blog). Guardamos la aplicación en la carpeta del juego como PinBallNOVIRT.exe (XNResourceEditor no es capaz de sobreescribir el fichero desde el que esta leyendo por lo que debemos guardarlo con otro nombre) y lo ejecutamos.


 



 



 


¡¡¡FUNCIONA!!! Ya no aparece como virtualizado…


 


Para terminar, el último caso que puede interesarnos es virtualizar un determinado intento de escritura para una aplicación que no sea automáticamente virtualizada. Lógicamente la manera más sencilla de hacerlo sería modificar el manifiesto de la aplicación y eliminar la entrada de “solicitud de nivel de ejecución” para que la aplicación se considere como heredada, no obstante Microsoft nos ofrece una alternativa, más compleja, pero más profesional: “Application compatibility Toolkit 5.0” (ACT 5.0)

 

ACT5.0 está pensada para solucionar los problemas de compatibilidad que una aplicación puede presentar en Windows Vista. Es una herramienta ideada para que las empresas puedan identificar y distribuir soluciones a problemas de compatibilidad conocidos de manera corporativa y en forma de pequeños parches. Podéis descargar esta herramienta gratuitamente desde el siguiente enlace:


 


http://www.microsoft.com/downloads/details.aspx?FamilyID=24da89e9-b581-47b0-b45e-492dd6da2971&displaylang=en

 

ACT5.0 no virtualiza las aplicaciones de la misma forma que hemos tratado en este post, pero si es capaz de “virtualizar” o “redirigir” determinadas escrituras para que una aplicación funcione con normalidad. No obstante ACT es una herramienta extensa, que dará para varios posts en este mismo Blog en un futuro, y esto ya me esta quedando demasiado largo (como de costumbre), de manera que con la mención a esta herramienta creo que puedo dar por finalizado este tema…

 

Como siempre, gracias por vuestro tiempo, y os animo a seguir cotilleando lo que hay “dentro” de vuestro Windows Vista, que no es poco.

  

Windows Codename MOJAVE. Lo que realmente piensan los usuarios de Windows Vista

Se escucha un murmullo en los corrillos de la oficina, delante de la máquina de café, en la conversación del cigarrillo matutino… “Windows Vista deja colgados a los equipos”, “Windows Vista no deja ver películas piratas”, “Windows vista envía información personal a Microsoft”, “con Windows Vista controlan tus programas P2P y tus descargas”,” Windows Vista es el nuevo Windows ME”…


La historia reciente deja constancia de otros bulos notables, los conocidos tradicionalmente como “leyendas Urbanas”…


¿Quién no conoce a alguien que no haya visto ese programa de “Sorpresa Sorpresa” de Ricky Martín una niña y su perro?


¿Bill Gates Asesinado en los Ángeles?


¿Tráfico ha instalado dispositivos para provocar llamadas a móviles y detener a los infractores?


¿”La Oreja de Van Gogh” declaró abiertamente en televisión su ideología Pro-Etarra?


Curiosamente muchos de estos “bulos” han provocado caídas en bolsa ¿o será también una leyenda urbana?


Y es que el ser humano tiene una necesidad nata de “opinar”, de comentar, de cotillear sobre aspectos de los que muchas veces no tiene conocimientos. Quizás sea la necesidad de cubrir la ignorancia o el simple impulso de romper un silencio incomodo cuando los temas de conversación tradicionales quedan agotados ¿Qué tal el finde? ¿Qué tal la familia?¿Que tal las vacaciones?¿QUE TAL EL NUEVO WINDOWS VISTA?


Una empresa de Marketing ha decidido comprobar empíricamente lo que realmente opinan los usuarios de Windows Vista, y el resultado es MOJAVE, el nombre en código de una “supuesta” nueva versión de Windows que aspiraba a sustituir a Vista, pero a los sujetos del experimento les espera una sorpresa, ese Windows Codename Mojave, del que dicen maravillas no es sino otro que el propio “Windows Vista”, del que 5 minutos antes habían echado pestes.



La conclusión del experirmento MOJAVE es: “Opina por ti mismo”, prueba Windows Vista.