Aun cuando uno sigue todas las advertencias al respecto se producen problemas.

Algunas veces el más simple cambio en el Registro provoca efectos devastadores que ni siquiera con una copia de seguridad de un valor se arregla. XP como 2003 y otras aplicaciones son muy flexibles, aunque a este respecto la cuestión es simple: apañátelas tú mismo.

La forma más rápida de arreglar un valor corrupto es eliminar el valor y dejar que el programa lo cree de nuevo por defecto. Este método es equivalente a desinstalar y reinstalar el programa de nuevo. La parte difícil es averiguar cual es el valor que contiene el valor defectuoso. Hay también formas para arreglar aquéllos valores que Windows u otros programas no recrean.

Evitar problemas:

- Nunca meter a los usuarios dentro del grupo local de administradores, deberíamos encontrar un equilibrio usando para ello las plantillas de seguridad, o en el grupo de usuarios avanzados.

- Las directivas son otra buena manera de administrar los valores. Cumplen dos objetivos: primero configuran los valores del usuario si estos no conocen los apropiados y también configurándolos según la directiva de la empresa y que los usuarios no pueden cambiar.

- En el Registro podemos también establecer permisos sobre las llaves e impedir que los usuarios cambien los valores. Esto suena bien, aunque puede resultar complicado y tedioso. Es más recomendable utilizar las plantillas.

Windows también puede

Quizás no puedas encontrar un valor en el Registro, o que incluso eliminándolo no se arregle el problema, en este caso lo puedes intentar desde el Panel de Control. Por ejemplo los dispositivos de entrada y salida, como el ratón, teclado, pantalla o impresora o con los valores regionales o de accesibilidad. Si un dispositivo no funciona, siempre podemos intentar que Windows lo re-detecte, primero lo eliminamos del Administrdor de dispositivos y reiniciamos para ver si lo encuentra e instala de nuevo correctamente. Quitar dispositivos directamente del Registro no es aconsejable.

Arreglar valores de aplicaciones

Prevenir es curar, en este caso la mayoría de programas organizan de la misma forma sus valores en el Registro, por-usuario en HKCU y por-equipo en HKLM. Company es el nombre del que publica la aplicación, Program su nombre, y Version es el número de versión (opcional).

Las aplicaciones correctamente diseñadas recrean los valores perdidos. Para reiniciar los valores por-usuario eliminamos la llave HCU\Software\Company\Program. Normalmente no se eliminan los valores por-equipo ya que si se hace tiene un efecto contrario al deseado en la mayoría de aplicaciones, en cualquier caso siempre podemos tener una copia e intentarlo si llegamos a considerarlo necesario.

Las aplicaciones basadas en Windows Installer son fáciles de reiniciar ya que Windows Installer contiene la función de Reparar.

Eliminar programas desde el Registro

Como habré dicho anteriormente, la previsión hace posible resolver problemas de Registro y a su vez eliminar valores de programas, pero no lo hace fácil. Algunos programas no se desinstalan correctamente y no tenemos más elección que borrar sus restos manualmente del Registro. Por ejemplo un error durante una desinstalación que deja entradas sin eliminar, quedando entradas huérfanas.

Podemos hacerlo con herramientas de terceros, los típicos comprobadores del registro, o de forma manual. Aun cuando lleva su dificultat podemos eliminar con éxito valores de programas. En realidad es más un arte que una ciencia pero siempre disponemos de algunos pasos comunes:

- Listar los archivos exe y dll de la aplicación. La mayoría se instalan en la carpeta de Archivos de programa.

- Eliminar las llaves y valores que contienen las aplicaciones de la carpeta de instalación. Buscar en el Registro cada una de ellas, por ejemplo C:\Archivos de programas\Aplicación contienen las subcarpetas programas y plantillas, entonces buscamos las cadenas C\:Archivos de programas\Aplicación, C\:Archivos de programas\Aplicación\programas y C\:Archivos de programas\Aplicación\plantillas.

- Eliminar las llaves y valores que contengan el nombre del programa.

- Eliminar las llaves y valores que contengan los archivos exe y dll listados anteriormente.

Quitar una aplicación que se ha instalado con Windows Installer es mucho más complicado. Aunque contamos con las utilidades msicuu2.exe y msizap.exe para intentar una limpieza.

Uso de otros valores del equipo

Cuando todo lo demás nos falla y estamos desesperados por reparar valores, podemos sacarlos de otro equipo. Siempre que los valores estén dentro de una llave pequeña, por ejemplo programas simples, nunca con valores de dispositivo ya que no se está nunca seguro que Windows almacene los mismos valores para incluso el mismo dispositivo en dos equipos distintos.

Se exportan los valores en el equipo remoto o externo a un archivo, REG o de Unidad (Hive file), y luego importar desde el equipo donde se quiere reemplazar los valores.

Recuperación de un desastre

Primero diré que desde que Winternals fue adquirida por MS las herramientas de las que podríamos utilizar para recuperar Windows deberían estar en MDOP, pero este paquete parece estar dentro de un tipo de licenciamiento distinto.

Aún así, Windows nos ofrece, ya se ha visto en otras ocasiones, algunas posibilidades de recuperación de desastres. Lo primero es que no espereis a que os suceda uno para usarlas, sino que os creeis un entorno de pruebas y las utiliceis para acostumbraros y aprender de las mismas.

Menú de opciones avanzadas de Windows

Windows nos ofrece cierto número de opciones al inicio del equipo, si pulsamos la tecla de función F8.

- Modo seguro

- Modo seguro con red

- Modo seguro en línea de comandos

- Habilitar el registro de incio

- Habilitar el modo VGA

- Última configuración buena conocida

- Modo restauración de servicio de directorio

- Modo depuración

Consola de recuperación de Windows

Los comandos más comunes que podemos utilizar en la consola son:

Attrib	Cambia los atributos de un archivo o directorio.
Batch	Ejecuta los comandos que especifiquemos en un archivo de texto.
Bootcfg	Configuración y recuperación del archivo de arranque. (BOOT.INI)
ChDir o Cd	Muestra en pantalla el nombre del directorio actual o nos permite cambiar a otro.
Chkdsk	Comprobación del disco con salida de informe de estado a pantalla.
Cls	Limpia la pantalla.
Copy	Copia un archivo en otra ubicación.
Delete o Del	Elimina uno o más archivos.
Dir	Muestra en pantalla la lista de archivos y subdirectorios en un directorio.
Disable	Deshabilita un controlador de dispositivo o servicio del sistema.
Diskpart	Administra las particiones del disco
Enable	Inicia o habilita un controlador de dispositivo o servicio del sistema.
Exit	Sale de la consola y reinicia el equipo.
Expand	Extrae archivos desde un archivo comprimido.
Fixboot	Escribe un nuevo sector de arranque de partición en la partición especificada.
Fixmbr	Repara el MBR(registro de arranque maestro) del disco especificado.
Format	Formatear disco.
Help	Muestra en pantalla la lista de comandos que se pueden utilizar en la consola, más o menos éstos.
Listsvc	Lista los servicios y controladores disponibles en el equipo.
Logon	Inicia sesión en la instalación de Windows.
Map	Muestra en pantalla las letras de unidad.
MkDir o Md	Crea un directorio.
More	Muestra en pantalla un archivo de texto.
Rename o Ren	Renombra un archivo.
RmDir o Rd	Elimina un directorio.
Set	Muestra en pantalla y establece las variables de entorno.

Recuperación automatizada del sistema

La creación de copias ASR es parte de una estrategia global, es el último resorte para recuperar el sistema, útil sólo si ya has intentado el resto de opciones, modo seguro, última configuración buena conocida y la consola de recuperación.

Una copia ASR consta de un proceso de dos partes: La primera, hacer una copia mediante el asistente de preparación de ASR, localizado en la utilidad de copia de seguridad. El asistente copia los datos del estado del sistema, servicios y, todos los componentes del sistema operativo. También crea un archivo que contiene información sobre las copias de seguridad, configuraciones de disco y cómo restaurar el equipo. ASR no guarda o restaura archivos de datos o programas, sólo lo necesario para iniciar el equipo ante un fallo. ASR:

1. Ejecutamos la utilidad de copia de seguridad. Inicio, todos los programas, accesorios, herramientas del sistema, copia de seguridad.
   
2. Si nos aparece el asistente, clic en Modo Avanzado, sino seguir con el siguiente paso.
   
3. En la pestaña de bienvenido clic en el asistente para iniciarlo y seguir las instrucciones que vemos en pantalla para realizar la copia y el disco ASR.
   

La segunda, es el proceso de restauración del equipo. Cuando lo arrancamos desde el CD de Windows y se nos muestra el programa de instalación, presionaremos la tecla de función F2 para usar ASR. ASR lee las configuraciones de disco desde el archivo creado en la primera parte y restablece las firmas de todos los volúmenes y los discos que contienen el sistema operativo. ASR instala entonces Windows minimamente y restaura la copia de seguridad creada con el asistente. El proceso completo es similar a una reinstalación de Windows y luego restaurar una copia de seguridad propia, pero de forma automatizada.

Aunque herramientas como ERD commander, Disk commander y Remote Recover, antes del Administration pack’s de Wininternals, ahora algunas en el MDOP mencionado anteriormente.

Queremos reparar el Registro corrupto

Lo primero es arrancar la consola de recuperación, crear una carpeta temporal, realizar copia del registro actual en la carpeta temporal, borrar los archivos del registro y su ubicación, para luego copiar los archivos del Registro desde la carpeta Repair a …System32\Config. Una vez copiados, se crea un registro para iniciar Windows, que es la copia que se creo durante la instalación y por tanto los cambios desde entonces se pierden.

1. Insertamos el CD de instalación de Windows XP y reiniciamos el equipo
2. En la pantalla de bienvenida de instalación le damos a R e iniciamos la consola de recuperación
3. Seleccionamos la instalación a la cual queremos acceder (por si tenemos más de una)
4. Introducimos la contraseña de administrador o ENTER si esta no existe
5. Desde la consola ejecutaremos los comandos en orden siguientes (Asumimos que Windows está en C:\Windows)
   

   md tmp

   copy c:\windows\system32\config\system c:\windows\tmp

   copy c:\windows\system32\config\software c:\windows\tmp\software.bak

   copy c:\windows\system32\config\sam c:\windows\tmp\sam.bak

   copy c:\windows\system32\config\security c:\windows\tmp\security.bak

   copy c:\windows\system32\config\default c:\windows\tmp\default.bak

   delete c:\windows\system32\config\system

   delete c:\windows\system32\config\software

   delete c:\windows\system32\config\sam

   delete c:\windows\system32\config\security

   delete c:\windows\system32\config\default

   copy c:\windows\repair\system c:\windows\system32\config\system

   copy c:\windows\repair\software c:\windows\system32\config\software

   copy c:\windows\repair\sam c:\windows\system32\config\sam

   copy c:\windows\repair\security c:\windows\system32\config\security

   copy c:\windows\repair\default c:\windows\system32\config\default

6. Le damos a Exit y el equipo se reinicia.

Una vez realizado, iniciaremos con una cuenta de administrador o de usuario del grupo administradores, si se tratase de Windows Home hay que iniciar en modo seguro.

Ahora, iniciado el equipo nos aprovecharemos de la utilidad System Restore para copiar los archivos de Registro de copia de seguridad, ya que esta carpeta no está disponible desde la consola de recuperación y generalmente no es visible en un uso típico de Windows. Antes pues de iniciar la restauración, cambiaremos la configuración para hacerla visible.

- Explorador de windows, menú herramientas, opciones de carpeta, pestaña Ver y activaremos las casillas para poder ver archivos y carpetas ocultos y también los protegidos por el sistema operativo.

1. Abrimos la unidad donde está el sistema.
2. Abrimos la carpeta System Volume Information
3. Abrimos una carpeta cuya marca de hora sea distinta a la hora actual, bajo esta carpeta habrá una o más carpetas cuyo nombre comienza por RPx, son puntos de restauración.
4. Abrimos una de ellas y localizamos la carpeta Snapshot.
5. Desde la carpeta Snapshot, copiamos los archivos siguientes a C:\Windows\tmp, y una vez copiados se renombran como se lista:
   

   Archivo a copiar	Nombre una vez copiado
   _REGISTRY_USER_.DEFAULT	.DEFAULT
   _REGISTRY_MACHINE_SECURITY	SECURITY
   _REGISTRY_MACHINE_SOFTWARE	SOFTWARE
   _REGISTRY_MACHINE_SYSTEM	SYSTEM
   _REGISTRY_MACHINE_SAM	SAM

 

 

Estos pasos se hacen porque los archivos no están disponibles para la consola de recuperación y hemos de colocarlos para que sí que lo estén.

En este momento hemos de eliminar los archivos actuales de Registro y cambiarlos por los últimos obtenidos, así que volvemos a iniciar y a acceder a la consola de recuperación y desde allí:

del c:\windows\system32\config\sam

del c:\windows\system32\config\security

del c:\windows\system32\config\software

del c:\windows\system32\config\default

del c:\windows\system32\config\system

copy c:\windows\tmp\software c:\windows\system32\config\software

copy c:\windows\tmp\system c:\windows\system32\config\system

copy c:\windows\tmp\sam c:\windows\system32\config\sam

copy c:\windows\tmp\security c:\windows\system32\config\security

copy c:\windows\tmp\default c:\windows\system32\config\default

Finalmente Exit para salir de la consola y el equipo se reinicia.

Ahora deberíamos restaurar el equipo a un punto en el que sabemos que funcionaba correctamente.

* Os he dicho que hay que rezar lo que se sepa? :-))))

Uno se crea su propia MMC con las herramientas que necesitaremos para editar, analizar y aplicar plantillas de seguridad:

1. Inicio, Ejecutar, escribimos MMC y pulsamos el botón Aceptar.
   
2. En el Menú Archivo, clic en Agregar o quitar complemento.
   
3. En el siguiente cuadro de diálogo, pulsamos en Agregar.
   
4. En el cuadro de Agregar un complemento independiente, seleccionamos Plantillas de seguridad y le damos a Agregar.
   
5. Sin salir del cuadro, seleccionamos Configuración y Análisis de seguridad y le damos a Agregar.
   
6. Cerramos el cuadro de diálogo y pulsamos Aceptar en la siguiente. Nos queda la consola con ambas herramientas y que podemos guardar para usarla cuando se desee.
   

Elegir una plantilla predefinida

Con Windows vienen varias plantillas de seguridad predefinidas, lo que podría hacer que no necesitaramos crear una nueva ya que podemos personalizar cualquiera de las predefinidas y guardarlas con otro nombre. Estas plantillas predefinidas nos proporcionan puntos de entrada para aplicar directivas de seguridad en distintos modelos, tengan uno, cien o miles de equipos. Las plantillas predefinidas son:

• setup security.inf La plantilla Setup security.inf se crea durante la instalación y es específica de cada equipo. Varía de un equipo a otro, dependiendo de si se trata de una instalación limpia o de una actualización. Setup security.inf representa la configuración de seguridad predeterminada que se aplica durante la instalación del sistema operativo, incluyendo los permisos de archivo para la raíz de la unidad del sistema. Puede utilizarse en servidores y en equipos cliente; no puede aplicarse a controladores de dominio. Puede aplicar partes de esta plantilla para la recuperación tras desastres.

No aplique Setup security.inf utilizando Directiva de grupo. Si lo hace, puede disminuir el rendimiento.

• compatws.inf Esta plantilla cambia los permisos predeterminados de archivos y del Registro que se conceden a los miembros del grupo Usuarios de manera que sean coherentes con los requisitos de la mayoría de los programas que no pertenecen al programa de logotipo de Windows para software (Windows Logo Program for Software). La plantilla Compatible también quita todos los miembros del grupo Usuarios avanzados.
• DC security.inf Esta plantilla se crea cuando se promueve un servidor a controlador de dominio. Refleja la configuración de seguridad predeterminada de los archivos, el Registro y los servicios del sistema. Si vuelve a aplicar esta plantilla, esta configuración se establecerá en los valores predeterminados. Sin embargo, la plantilla puede sobrescribir los permisos de los nuevos archivos, claves del Registro y servicios del sistema creados por otros programas.
• securedc.inf, securews.inf

Las plantillas Secure definen configuraciones de seguridad mejorada que es menos probable que afecten a la compatibilidad de programas. Por ejemplo, las plantillas Secure definen configuraciones más seguras de contraseñas, bloqueo y auditoría. Además, las plantillas limitan el uso de LAN Manager y los protocolos de autenticación NTLM configurando los clientes para enviar únicamente respuestas de NTLMv2 y configurando los servidores para que rechacen las respuestas de LAN Manager.

Hay dos plantillas Secure predefinidas en Windows Server 2003: Securews.inf para las estaciones de trabajo y Securedc.inf para los controladores de dominio. Para obtener información adicional acerca de cómo utilizar estas plantillas y otras plantillas de seguridad, busque "plantillas de seguridad predefinidas" en el Centro de ayuda y soporte técnico.

• hisecdc.inf, hisecws.inf Las plantillas Highly Secure especifican restricciones adicionales no definidas por las plantillas Secure, como niveles de cifrado y la firma necesarios para la autenticación y el intercambio de datos a través de canales seguros, y entre los clientes y servidores de Bloque de mensajes del servidor (SMB).
• rootsec.inf Esta plantilla especifica los permisos raíz. De forma predeterminada, Rootsec.inf define estos permisos para la raíz de la unidad del sistema. Puede utilizar esta plantilla para volver a aplicar los permisos del directorio raíz si se cambian inadvertidamente o puede modificar la plantilla para aplicar los mismos permisos raíz a otros volúmenes. Como se especifica, la plantilla no sobrescribe los permisos explícitos definidos en los objetos secundarios; sólo propaga los permisos heredados por los objetos secundarios.
• iesacls.inf Internet Explorer Security ACLs
• Notssid.inf Esta plantilla eliminalos SIDs innecesarios de TS del sistema de archivos y del Registro cuando se ejecuta TS en modo aplicación.

La mayoría de estas plantillas son incrementales, es decir modifican alguna predefinida. Cualquier plantilla que no sea setup security.inf no configuran valores de seguridad predeterminados antes de cambiar la configuración de seguridad del equipo. Tampoco podemos usarlas en el caso de utilizar el sistema de archivos FAT.

Las plantillas las podemos ver en la consola MMC que hemos creado más arriba.

Crear una plantilla personalizada

El camino más complicado es crear una plantilla personalizada desde cero:

1. Desde plantillas de seguridad, clic derecho en la carpeta donde queramos dejar la plantilla nueva y pinchar en Nueva plantilla.
   
2. En el cuadro de diálogo ponemos un nombre y descripción para la plantilla, y le damos a Aceptar.
   
3. En el panel izquierdo, abrimos la nueva plantilla (doble-clic en su nombre) Seleccionamos una área de seguridad, por ejemplo el REgistro y luego la configuramos desde el panel derecho.
    

No es el camino más recomendable, más que nada por la laboriosidad necesaria para completarla. Lo mejor es crear una plantilla desde una predefinida, se guarda con un nombre nuevo y se edita para la parte que queramos.

Puesto que estamos viendo la seguridad del Registro veamos como configurar su seguridad en una plantilla.

1. Desde plantillas de seguridad, clic derecho en una plantilla predefinida y le damos a guardar como, le damos el nombre y Aceptamos.
   
2. Abrimos con doble clic la plantilla guardada, seleccionamos el Registro en el panel izquierdo y vamos al panel derecho.
   
3. Vemos una lista de las llaves, donde podemos añadir una nueva o editarla de la lista:
   1. Doble clic en la que se quiera y seleccionamos una de las dos opciones.
      1. Configurar esta clave
         1. Propagar los permisos heredables a todas las subclaves
         2. Reemplazar los permisos existentes en todas las subclaves con permisos heredables.
      2. No permitir que se reemplacen permisos en esta clave.
         

Análisis de la configuración del equipo

Con la plantilla personalizada en mano, podemos usarla para analizar la configuración de seguridad. Con Configuración y Análisis de seguridad, que nos permite comparar el estado actual con los valores configurados en la plantilla, aquí podemos realizar cambios inmediatos en la configuración del equipo. También lo podemos usar para el seguimiento de los niveles de seguridad.

Primero: Clic derecho en Configuración y Análisis de seguridad, (la tenemos añadida a la consola) y pulsamos abrir Base de Datos.

Segundo: Desde el cuadro de diálogo que aparece respecto a la BD, podemos hacer una de dos:

Crear un nuevo análisis de BD, escribiendo un nombre nuevo para esa BD nueva y darle a Abrir, entonces importamos la plantilla y Abrir.

Abrir un análisis ya existente y darle a Abrir.

Tercero: Clic derecho en Configuración y análisis de seguridad, seleccionar Analizar ahora y aceptar la ruta del archivo de registro (o cambiarla).

En cuanto le damos a aceptar se realiza la acción:

Configuración y análisis de seguridad compara la seguridad actual del equipo contra la BD elegida. Si queremos importar diversas plantillas a la BD, click derecho sobre Configuración y análisis de seguridad y darle a importar plantilla, la herramienta las unirá en una. Si acaso detecta conflictos, la última plantilla añadida tiene precedencia (LIFO). Después del análisis del equipo, se muestra en pantalla los resultados, con indicadores que señalan diversas coincidencias o inconsistencias con la configuración definida en la plantilla:

• Aspa sobre fondo rojo.

La configuración existe tanto en la BD como en el equipo, pero no coinciden.

• Marca verde sobre círculo blanco.(imagen anterior). La configuración existe en ambas y concuerda.
• Interrogación sobre círculo blanco.

La configuración no está en la BD y no se analizó. (puede intervenir también la falta de permisos del usuario que lanza el análisis).

• Exclamación sobre círculo rojo.

La configuración está en la BD pero no en el equipo. Una llave del Registro puede estar en la BD y no estar en el equipo.

• Sin indicador. El valor no está en la BD o en el equipo.

¿Qué hacer con las discrepancias?

Podemos actualizar la BD editándola, aunque esto no cambiará en la plantilla ni en el equipo. Para ello debemos modificar la plantilla o actualizar la configuración en el equipo.

Una forma de averiguar la configuración del Registro y que al mismo tiempo nos sirve para controlar el acceso al mismo es Auditarlo. El problema con esto es la necesidad de ser muy específico con las llaves que queremos auditar a riesgo de perder rendimiento si auditamos todo o gran parte del Registro.

El proceso para auditar una llave: habilitar la directiva de auditoría – podemos hacerlo mediante la directiva de grupo en la red o activarlo de forma local. Desde el panel de control, vista clásica, herramientas administrativas, directiva de seguridad local. No hay directiva de seguridad local si se trata de un DC. Seleccionamos Directiva de auditoría del panel de la izquierda, y en el panel de la derecha doble clic en los objetos de acceso a auditar y seleccionar las casillas correspondientes a errores y aciertos. Después de habilitar las auditorías, abriremos RegEdit para auditar llaves individuales.

1. Clic en la llave a auditar
2. Menú Edición, permisos, avanzado.
3. Pestaña Auditoría, añadir.
4. Seleccionamos usuarios, grupos o equipos, ubicaciones y clic en el equipo, dominio u OU del usuario a auditar.
5. Introducimos el nombre del usuario o grupo a añadir a la auditoría de la llave y Aceptar.
6. Cada casilla de verificación indica los aciertos o errores en las actividades de las acciones de su izquierda

Una vez activada y establecida, la comprobaremos desde el visor de sucesos.

Impedir el acceso al registro

La verdad es que impedir el acceso al registro no parece recomendable ya que éste contiene configuraciones que los usuarios han de ser capaces de leer para que sus Windows funcionen correctamente, además, por ejemplo, de un control total sobre sus perfiles para el sistema y aplicaciones. Así que en todo caso, quizás lo que se desee es evitar que lo EDITEN usando el RegEdit u otras herramientas.

Evitar el uso de RegEdit puede hacerse mediante la directiva correspondiente: Impedir al acceso a Herramientas de edición del Registro

Con ello el usuario recibirá el mensaje de que ha sido deshabilitado por el administrador.

El mayor problema en esto radica en que NO todos los editores se rigen por esta directiva, así que parece que nada podría evitar a un usuario que se descargue de internet un editor, lo instale y lo use. Así que hay que usar las directivas de restricción de software y aunque esto no impedirá que los usuarios puedan usar alguno, al menos podremos restringirlos al mínimo.

Restringir el acceso remoto.

Asegurar el acceso local del Registro es una cosa y asegurar el acceso remoto es otra. Windows proporciona a los administradores y a los operadores de copia, acceso remoto al Registro. Lo que hace que cualquiera de ellos puedan acceder de forma remota desde cualquier equipo del dominio a cualquier equipo que esté unido al dominio, aunque en versiones actuales de Windows esto está más limitado.

Hay pocas veces en las que puede que queramos acceder remotamente al registro de algún equipo, por ejemplo crear un grupo de administradores en cada OU de AD para que puedan editar el registro de equipos si son de dicha OU. Para habilitar a un grupo para que pueda editar el Registro de forma remota añadiremos al grupo en la ACL de la llave: HKLM\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg. El problema qeu se corre con esto es que aunque añadir al grupo a winreg le permite el acceso remoto, cada ACL de las llaves son las que determinan qué llaves puede cambiar el grupo.

Puede que la seguridad no sea el tema relacionado con el registro más interesante o popular, aunque para los administradores debería ser uno de los importantes.

Hay centenares de facetas de la seguridad, pero aquí vamos a ver sólo uno: El registro. Podemos cambiar la ACL de una llave, auditar las llaves, tomar su propiedad, pero no podemos hacer estos cambios en valores individuales como los haríamos en archivos individuales.

El que podamos editar las ACL de las llaves no significa que debamos hacerlo. Cambiar la seguridad del registro no es muy buena idea a menos que se tenga una razón de peso para hacerlo. A lo mejor, haremos un cambio irrelevante, pero a lo peor, impedimos el funcionamiento correcto de Windows. Hablar de ello no significa que hayamos de cambiar las cosas, pero si que hay que conocerlas y entenderlas para el caso en que sí nos veamos obligados a cambiarlas.

Ejemplo: Tenemos una aplicación que los usuarios solamente pueden ejecutar si pertenecen al grupo de administradores, en un entorno corporativo normalmente esto no es deseable. La solución podría ser implementar Windows con permisos personalizados para que dichos usuarios puedan ejecutar esos programas como del grupo usuarios o usuarios avanzados. Dos metodos para implementar permisos personalizados: manualmente, usando regedit; o, usando una plantilla administrativa donde realizamos la aplicaión de permisos que deseamos y luego aplicamos esa plantilla al equipo. Por supuesto no queremos ir de escritorio a escritorio implementando la plantilla, así que la implementamos en nuestros discos/imagénes para instalación (nuevos equipos) o usamos directivas de grupo para ello: creamos una gpo importamos la plantilla y así creamos una nueva directiva de grupo para nuestra red. Los permisos los aplicará Windows automáticamente mediante la plantilla al equipo y usuario dentro del ámbito de la GPO.

Establecer permisos en llaves

La seguridad en el registro es similar a la seguridad del sistema de archivos exceptúando que podemos establecer permisos solamente en llaves y no en valores individuales.

Si tenemos control total o la propiedad de una llave del registro, podemos editar los permisos de grupos y usuarios de su ACL.

1. Con Regedit, clic en la llave a la que queremos editar su ACL.
2. En el menú Edición, clic en permisos.
3. En la lista de usuarios y grupos, clic en el cual queremos editar los permisos y seleccionar las casillas de verificación de permitir, denegar según conveniencia:
   • Control total. Asigna o le da el permiso al usuario o grupo para abrir, editar y tomar la propiedad de la llave. Literalmente, todo.
   • Lectura. Asigna o da el permiso al usuario o grupo para leer los contenidos de la llave, pero no realizar cambios. Es sólo-lectura.
   • Permisos especiales. Asigna o da permisos al usuario o grupo de forma combinada. Para asignarlos debemos acceder a Opciones Avanzadas.

Algunas veces tendremos algunos permisos difuminados, significa que no podemos cambiarlos, normalmente es porque la llave hereda el permiso desde una llave padre. Podemos quitarle la herencia si fuera el caso.

Usando los mismos pasos podemos tanto añadir como eliminar usuarios o grupos en lugar de editar los permisos de los existentes.

Asignar permisos especiales

Los permisos especiales nos permiten un mayor afinamiento en el control de las ACL de las llaves que el Control Total o Leer. Podemos permitir a usuarios el crear sub-llaves, establecer valores, leerlos y algunos más. Para ello:

1. Con RegEdit, clic en la llave a que le queremos editar su ACL.
2. En el menú Edición, clic Permisos.
3. Clic en Avanzadas.
4. Doble clic en el usuario/grupo o lo añadimos.

    

5. De los combos, desplegar Aplicar a: y entonces seleccionar de la lista el deseado.
1. Esta Clave. Los permisos sólo se aplicarán a la clave seleccionada.
2. Esta clave y sus subclaves. Los permisos se aplicarán a la clave seleccionada y a todas sus subclaves.
3. Subclaves solo. Los permisos se aplicarán a todas las subclaves de la clave seleccionada pero no a ésta.
6. En la lista de permisos, seleccionaremos las casillas de Permitir o Denegar en cada permiso deseado.
1. Control total. Todos los permisos
2. Consultar valor. Leer el valor de la llave
3. Establecer valor. Establecer valor de la llave
4. Crear subclave. Crear subclaves en la clave
5. Enumerar subclaves. Identificar las subclaves de la clave
6. Notificar. Recibir notificaciones de eventos desde la clave.
7. Crear vínculo. Crear vínculos simbólicos en la clave
8. Eliminar. Eliminar la clave y sus valores
9. Escribir DAC. Escribir la lista de acceso de la clave
10. Escribir propietario. Cambiar el propietario
11. Controles de lectura. Leer la lista del control de acceso de la clave.

Sobre la herencia: Con la herencia habilitada, las subllaves heredan los permisos de sus llaves padre, es decir, si le damos permiso Control Total a una llave, sus subllaves heredarán el mismo permiso. Podemos cambiar esto e impedir la herencia, desde el cuadro de diálogo de Opciones avanzadas y desmarcando la casilla correspondiente.

PowerShell v2

Lo primero, asegurarse que la característica está instalada.

Cuando comenzamos el aprendizaje de powershell es importante hacerlo familiarizándonos con la terminología y estructura básica de los comandos. Esto nos permitirá aprender la sintaxis, y poder escribir nuestros propios scripts y comandos.

La construcción básica de scripts de powershell se denominan cmdlets. Todos los cmdlets siguen una pauta: verbo+sustantivo, Get-service, Start-service, Format-Table, etc… En general, cuando vemos cmdlets hemos de ser capaces de entender el propósito general de lo que hacen viendo su estructura.

Podemos usar los verbos y los sustantivos de muchas combinaciones, para el sustantivo Service podemos usar los verbos Start, Stop, Suspend, Set, quedando como Start-Service, Stop-Service, Suspend-Service y Set-Service.

Esta pauta u orden es la clave para aprender la estructura de línea de comandos. Que también nos da una forma fácil para encontrar y recordar los comandos que usemos con regularidad.

Podemos añadir funcionalidad a muchos cmdlets especificando parámetros como parte de la sintaxis del comando. Por ejemplo: si usamos Get-Service, obtendremos el estado de todos los servicios en ejecución del servidor local.

Pero si en vez de eso, añadimos el parámetro –Name podemos filtrar los resultados por un comando específico en el que estemos interesados.

Por ejemplo: Get-Service –Name seclogon que nos devolverá el resultado filtrado por ese nombre, o incluso usar comodines Get-Service –Name s* que devolverá …

Además del uso de parámetros, PowerShell nos da la posibilidad de usar atajos mediante Alias, por ejemplo los mismos que los anteriores: gsv –n seclogon ,gsv –n s*

Los alias nos permiten abreviar el verbo y los parámetros de nuestros cmdlets. Podemos crear nuestros propios alias con el cmdlet New-Alias. Con Get-Help New-Alias obtenemos el cómo hacerlo. A simple vista parece que el cmdlet diga: ayuda de nuevo alias.

Aunque hay que advertir que no todos los cmdlets y parámetros disponen de un alias predeterminado. Para obtener una lista de alias actuales en nuestro R2… ???

Get-Alias, perfecto!

Seguramente ya sabreis que hay unos pocos alias integrados con el propio sistema, y nos sonarán bastante familiares de otros programas de shell, por ejemplo estos tres:

• cd
• chdir
• sl

Todos tienen el mismo cmdlet asignado: Set-Location. Así que si escribimos cualquiera de ellos en PowerShell obtendremos lo mismo:

cd c:\windows

chdir c:\windows

sl c:\windows

Set-Location c:\Windows.

Dicen que esto ayuda a la transición del aprendizaje.

Finalmente os diré que también podemos usar muchos parámetros en su posición correcta (si la sabemos) sin necesidad de indicar previamente –name o –n, puede que esto cree algo de confusión si desconocemos los comandos que ejecutamos, pero siguiendo un ejemplo anterior:

Get-Service –name seclogon, es lo mismo que gsv –n seclogon y lo mismo que gsv seclogon.

Las Funciones son otra característica de PowerShell que debemos saber, con get-command –type function obtenemos una lista.

Las funciones en algunos casos son una variación de los alias y proporcionan lo mismo que los comandos. Sin embargo, las funciones generalmente se usan para extender powershell o añadirle posibilidades. También proporcionan información adicional a los verbos.

Esto significa nada más que podemos personalizar las plantillas administrativas existentes o crear nuevas plantillas y así aumentar las directivas. Windows nos proporciona unas plantillas administrativas para sus directivas, otras aplicaciones, ya puse el ejemplo de Office, también pueden proporcionar plantillas administrativas. Más que cambiar o modificar las existentes, es más recomendable crear nuestras propias plantillas.

Un aviso: las directivas son generalmente algo que los desarrolladores hacen para dar a los administradores más control sobre las aplicaciones de usuario. Una directiva necesita de código añadido por los desarrolladores que lea las directivas y obligue sus configuraciones a sus aplicaciones. Si los desarrolladores añaden directivas a su código, también crean plantillas para ello. Por otra parte, sin código que obligue a la aplicación de la configuración de directiva, el crear una plantilla administrativa para el es inútil.

• Reparar directivas rotas. No es muy frecuente, pero puede darse el caso que para reparar una directiva incorrecta se cree una plantilla personalizada.
• Crear plantillas administrativas personalizadas. Windows tiene cientos de directivas, office también. Ir a la caza de directivas es a veces frustrante. Podemos crear plantillas personalizadas que recoja en un lugar todas las que implementamos, haciendo el trabajo más sencillo. También podemos repasar la descripción de una directiva y cambiarla para que sea más fácil de entender.
• Personalizar Windows. Muchos de los valores del registro que podemos utilizar para personalizar Windows no tienen interfaz de usuario. Podemos construir una para ellos mediante una plantilla administrativa y entonces cambiar esos valores con el Editor de Directivas.

Podemos usar cualquier editor de texto para la creación de plantillas administrativas. Las plantillas tienen su propio lenguaje y debemos aprenderlo y acostumbrarnos a él. El editor de directivas es perfecto para indicarnos mensajes de error cuando una plantilla los contiene, indicándonos el número de línea, la clave del error y algo más de info. En resumen, cómo usar una plantilla administrativa:

1. Con el lenguaje de la plantilla, creamos una, es un archivo de texto con la extensión .adm.
2. Cargamos la plantilla en el Editor de directivas.
3. Editamos la configuración que define la plantilla.

Un ejemplo, ejemplo.adm:

   1: CLASS USER

   2:  

   3: CATEGORY "Directivas de ejemplo"

   4: #if version >= 4

   5:     EXPLAIN "Este ejemplo no hace nada"

   6: #endif

   7:  

   8:  POLICY "Directiva de ejemplo"

   9:  #if version >= 4

  10:     SUPPORTED "Al menos XP Profesional"

  11:  #endif

  12:  EXPLAIN "Este tampoco hace mucho"

  13:  KEYNAME "Software\Policies"

  14:  VALUENAME Ejemplo

  15:  VALUEON NUMERIC 1

  16:  VALUEOFF NUMERIC 0

  17:  END POLICY

  18: END CATEGORY

Los If y endif engloban estados que sólo funcionan con ciertas versiones de Windows.

NT = 2; 2000 = 3; XP SP1 = 4; XP SP2 y 2003 = 5.

Sí queremos añadir comentarios a la plantilla:

; Esto es un comentario

// Esto también lo es

CLASS USER //configuración por usuario

CLASS MACHINE; Configuración por equipo.

Cadenas (strings)

Cuando creamos una plantilla fácil no nos será muy necesario, pero en cuanto trabajemos con plantillas más complicadas nos será muy útil trabajar con la codificación de cadenas, es como definir variables de texto para entendernos.

POLICY !!variable //aquí usamos una variable y no un texto.

POLICY “Ejemplo” // aquí es un texto y no una variable.

En el primer caso para que sustituya la variable variable por la cadena texto, usaremos la definición de cadenas, que no es más que añadir una sección denominada [strings] tal cual, corchetes incluídos. Con lo que el ejemplo quedaría:

POLICY !!variable //aquí usamos una variable y no un texto.

[strings]

variable=”Ejemplo”

Sintaxis de las plantillas

La primera entrada en un archivo de plantilla es la clave CLASS donde se define si la configuración de directiva que seguirá se aplica por-usuario o por-equipo. Pueden utilizarse múltiples CLASS en una misma plantilla. Cuando Windows procese el archivo de plantilla, las definidas en las secciones CLASS USER se unirán en HKCU y las de las secciones CLASS MACHINE en HKLM.

Queda claro pues que su sintaxis es: CLASS USER o CLASS MACHINE, sea para usuario o equipo.

Clave CATEGORY

Después de utilizar CLASS con los valores que aparecerán bajo Configuración de usuario o de Equipo, usaremos CATEGORY para crear subcarpetas en esa rama. El editor mostrará la configuración en esa carpeta. Podemos anidar CATEGORY dentro de CATEGORY.

Estas pueden contener cero o más directivas, las que no contienen directivas tienen una o más subcategorías.

Dentro podemos emplazar claves KEYNAME.

Para cerrar CATEGORY, END CATEGORY.

CATEGORY nombre

  KEYNAME subllave

  Directivas

END CATEGORY

nombre es el nombre de la carpeta que queremos que se vea en el editor de directivas, podemos usar variables.

Subllave es una subllave opcional de HKLM o HKCU que usamos para la categoría. No se incluye la llave raíz puesto que al definir CLASS ya le estamos indicando de donde colgará. Si hay espacios entre el nombre de la subllave hay que encomillarla.

Las claves que podemos usar dentro de CATEGORY son: CATEGORY, END, KEYNAME y POLICY.

Clave KEYNAME

Esta se usa dentro de CATEGORY y define que subllave HKCU o HKLM (dependiendo de CLASS) contiene el valor que estamos cambiando.

Clave POLICY

Esta clave es para definir una directiva que el administrador pueda cambiar. El editor mostrará la directiva y sus controles en un cuadro de diálogo que el administrador usará para cambiar el estado y valores de la directiva. Se pueden incluir múltiples POLICY en una CATEGORY, pero no es necesario una KEYNAME antes de cada POLICY, la más reciente se aplica a cada POLICY. Para finalizar, END POLICY.

Cada directiva contiene una clave VALUENAME para asociar un valor de registro con ella. De forma predeterminada, el editor asume que es un REG_DWORD y coloca un 0x01 al habilitar la directiva y la elimina al deshabilitarla; si no queremos que lo haga usaremos las claves VALUEON y VALUEOFF. No necesitamos ninguna otra clave aparte de VALUENAME para obtener este comportamiento. Sin embargo podemos especificar opciones adicionales, casillas de verificación, listas, cuadros de texto, y más, incluyendo las claves opcionales PART.

#

POLICY nombre

[KEYNAME subllave]

EXPLAIN ayuda

VALUENAME valor

[PART]

..

END POLICY

Nombre de la directiva.

Subllave, opcional, de HKCU oHKLM a usar por la categoría.

Ayuda es el texto que mostrará el editor en la pestaña de Explicación.

Valor, valor de registro a modificar.

Las claves que podemos usar dentro de una sección POLICY: ACTIONLISTOFF, ACTIONLISTON, END, KEYNAME, PART, VALUENAME, VALUEON, VALUEOFF, HELP, POLICY.

(Hay algunas más pero son para que los desarrolladores creen extensiones de directiva).

Clave	Descripción
EXPLAIN “text”	Texto de ayuda para una directiva específica. Las directivas incluyen una pestaña de Explicación, donde se proporcionan detalles sobre la misma directiva. También se ve el texto en el editor de directivas si se usa Extendido. Para las directivas en 2000, XP y 2003 deben contener un EXPLAIN seguido de una descripción completa de la directiva y su configuración, dentro de un #if version >= 3 EXPLAIN “text” #endif.
VALUENAME nombre	Esta clave identifica el valor del registro que el editor de directivas modifica cuando habilitamos/deshabilitamos la directiva. A menos que se especifiquen las claves VALUEON y VALUEOFF, el editor creará la directiva como un REG_DWORD: - Habilitada: establece como valor 0x01. – Deshabilitada,No configurada: elimina el valor. El conjunto de las tres describen el valor que habilita y deshabilita la directiva, si queremos definir valores adicionales para refinar la directiva hay que usar la clave PART.
VALUEON [NUMERIC] VALUEOFF [NUMERIC]	Se usan para escribir valores determinados basados en el estado de la directiva. VALUEON [NUMERIC] habilitado, VALUEOFF [NUMERIC] deshabilitado. VALUEON 0  //Creado como valor REG_SZ conteniendo un “0”. VALUEOFF NUMERIC 1 // Creado como REG_DWORD conteniendo 0x01.
ACTIONLIST	Permite un grupo de configuración juntas. Como una lista de valores que queremos que el editor cambie cuando cambiamos la directiva. ACTIONLISTON  *lista de valores a cambiar cuando se habilita la directiva. ACTIONLISTOFF *lista de valores a cambiar cuando se deshabilita la directiva. ACTIONLIST     [KEYNAME subllave] //subllave opcional de HKCU o HKLM.    VALUENAME valor      VALUE datos           END ACTIONLIST //valor es el valor del registro a modificar, si se habilita la directiva se establece un REG_DWORD conteniendo 0x01. Para valores diferentes a 0x01 y 0x00 hay que usar la clave VALUE. // datos que queremos que se establezcan en el valor, de forma predeterminada REG_SZ, podemos cambiar a REG_DWORD usando NUMERIC. VALUE DELETE hará que el editor elimine el valor del registro, aunque si el estado pasa a No configurada el valor tamién es eliminado.
PART	La clave PART nos permite especificar varias opciones, listas, cuadros de texto, casillas de verificación, en la parte inferior del cuadro de diálogo de la directiva. 1: ;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;; 2: CLASS USER ;;;;;;;;;;;;;;;;;; 3: ;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;; 4:  5: CATEGORY "Directivas de ejemplo" 6: EXPLAIN "Vamos a ver los PART" 7: POLICY "Directiva de ejemplo" 8: KEYNAME "Software\Policies" 9: EXPLAIN "No hace nada" 10: 11: PART ejem01 CHECKBOX 12: VALUENAME ejemplo1 13: END PART 14: PART ejem2 CHECKBOX 15: DEFCHECKED 16: VALUENAME ejemplo2 17: VALUEON NUMERIC 11 18: VALUEOFF NUMERIC 12 19: END PART 20: 21: END POLICY 22: END CATEGORY Para directivas simples sólo necesitamos habilitarlas o deshabilitarlas, no necesitaremos esta clave. De hecho, sólo un puñado relativo de directivas en Windows la usan.

Clave PART

PART Name Type

Donde Type puede ser:

Windows 2008 R2 proporciona un conjunto de funciones añadidas para el servidor llamadas características. Estas formaban parte de Windows 2008 con algunas nuevas en R2. De estas características se extraen las que son obligatorias para que ciertos roles funcionen, de las que añaden fiabilidad al servidor, como el clustering por ejemplo. Algunos sólo añaden estética, como Experiencia de Escritorio. Cuando planeamos nuestro servidor puede que necesitemos instalar algunas de ellas para lograr la configuración querida. En muchos casos no necesitaremos instalar características necesarias a un role. Las que son obligatorias normalmente se instalarán al instalar el propio role.

Para instalar una característica abrimos el Administrador del Servidor, y elegimos Características.

Pulsando en el enlace Agregar características obtendremos acceso al asistente:

Tabla de características:

Para administrar los entornos de escritorio de los usuarios se utilizan las Directivas de grupo, las GPO. Más que ver las directivas a nivel de Active Directory lo que veremos es como implementar las directivas a nivel local, incluso crear nuestras propias directivas para redes que no están basadas en AD.

Las directivas no son Preferencias, comparándolas entendemos mejor cómo Windows usa las primeras. Los usuarios establecen preferencias, su fondo de pantalla por ejemplo y las pueden cambiar en cualquier momento. Los administrdores establecen directivas como donde está la carpeta Mis Documentos y éstas toman precedencia sobre la preferencia equivalente del usuario. Windows las almacena en el registro de forma separada. Si existe una directiva, el sistema usa la configuración especificada en ella, si no la hay, usará la preferencia del usuario; en ausencia de ambas, la configuración predeterminada. Una directiva no cambia una preferencia de usuario sino que toma precedencia en su aplicación coexistiendo ambas. En cuanto un admin suprime la directiva, la preferencia vuelve a usarse.

Windows combina las directivas en una GPO. En AD hay múltiples GPO que se aplican a usuarios y equipos, dependiendo de donde se encuentren en el directorio. En Windows sólo hay UNA GPO, Local GPO. Su configuración se aplica al equipo local y a cualquier usuarios que inicie sesión en el. Ya que la Directiva Local es la primera que aplica Windows cuando arranca y los usuarios inician sesión, las directivas de red pueden sobreescribir su configuración. Es decir, si la directiva local indica una configuración y la establecida en la red por el administrador la niega, se aplicaría la segunda.

Las Directivas de grupo contienen configuración tanto para usuario como para equipo, conteniendo dos ramas principales:

• Configuración de Equipo. Valores de configuración de directiva por-equipo que especifican el comportamiento del sistema operativo, del escritorio, de seguridad, de scripts de inicio y apagado del sistema, de aplicaciones asignadas al equipo y configuración de aplicaciones. Windows las aplica las directivas por-equipo cuando se inicia el sistema y a intervalos de forma regular.
• Configuración de Usuario. Valores de configuración de directiva por-usuario que especifican el comportamiento del sistema operativo, del escritorio, de las aplicaciones publicadas y asignadas, de redirección de carpetas, de seguridad, de scripts de inicio y cierre de sesión de usuario y configuración de aplicaciones. Windows las aplica cuando el usuario inicia sesión en el equipo y a intervalos de forma regular.

Para editar la Directiva Local usamos el Editor de directivas:

A) Abrimos Inicio, ejecutar y escribimos gpedit.msc

B) O, nos creamos una MMC con el snap-in.

1. escribimos mmc en Inicio-Ejecutar

 

2. Menú Archivo, Agregar o quitar complemento

3.  En la pestaña Independiente, botón Agregar

4. Elegimos Editor de Directivas de grupo del cuadro y botón Agregar

5. Seguimos el asistente eligiendo Equipo Local

6. Pulsamos en Finalizar y cerramos todos los diálogos abiertos, pulsando luego en Aceptar del diálogo Agregar o quitar complemento.

7. obtenemos una consonla con el complemento añadido.

 

Extensiones de directiva

Las directivas tienen varias extensiones que podemos ver cuando las configuramos. De hecho, cada nodo que vemos en el editor de directivas es una extensión. De forma predeterminada, el editor carga todas las que están disponibles al iniciar. Configuración de Equipo y Configuración de Usuario contienen diferentes extensiones, podemos ver más al editar una directiva en AD que en una directiva Local. Algunas de las extensiones, resumidas, en una directiva local son:

• Scripts. Podemos asignar scripts a los usuarios que se ejecuten al inicio o cierre de sesión. También a equipos para que se ejecuten al arrancar o apagar Windows. Se encuentra dentro de la carpeta de Configuración de Windows.
• Configuración de seguridad. Podemos administrar valores de seguridad, como contraseñas, auditoría y bloqueo de directivas. También podemos administrar derechos de usuario y restringir las aplicaciones que los usuarios pueden ejecutar. Se encuentra dentro de la carpeta Configuración de Windows.
• Plantillas administrativas. Directiva crea un archivo que contiene valores de Registro y que se escriben en HKCU o HKLM. Windows carga los valores desde este archivo cuando el sistema inicia o el usuario inicia sesión. Estas son las directivas basadas en el registro.

Directivas en el registro

Directivas del registro o directivas administrativas son la misma cosa. Son valores en el registro que sobreescriben las preferencias de los usuarios y hay buenas razones para que los usuarios no las puedan cambiar. Otras directivas, como la configuración de seguridad pueden o no ser valores de registro. En el editor de directivas encontramos las directivas de registro en la carpeta Plantillas Administrativas, tanto bajo la Configuración de Equipo como de la Configuración de Usuario.

Las plantillas administrativas, archivos con la extensión .adm, definen las directivas que los administradores pueden establecer. Estas plantillas describen el interfaz de usuario para reunir configuraciones del administrador y las ubicaciones de estas configuraciones desde el registro. Cuando el administrador define directivas, el editor las guarda en un archivo llamado Registry.pol. Windows carga la configuración contenida en Registry.pol cuando el sistema se inicia, cuando los usuarios inician sesión, y a ciertos intervalos regulares.

Las extensiones, Plantillas administrativas y una extensión de parte del cliente integrada en el registro* trabajan juntas para implementar las directivas basadas en el registro.

*Procesa las directivas y crea sus correspondientes valores en el registro.

Windows tiene plantillas administrativas que definen todas las directivas compatibles con el sistema operativo. Si queremos usarlas para una aplicación, como Office, debemos cargar la plantilla administrativa correspondiente a Office. (El kit de recursos de Office contiene muchas plantillas administrativas para el manejo y administración de la suite) Las que nos proporciona Windos son:

• System.adm. Valores principales y primer archivo de plantilla, define la mayoría de valores que vemos en Plantillas Administrativas.
• Wmplayer.adm. Valores de Windows Media.
• Conf.adm. Software de NetMeeting.
• Inetres.adm. Microsoft Internet Explorer.

Todas las directivas se establecen en uno de tres estados: Hailitada, Deshabilitada o No configurada.

Habilitada explícitamente aplica la configuración añadiéndola al registro con un valor de 0x01. Deshabilitada explícitamente desactiva la configuración añadiéndola al registro con un valor de 0x00(o quitándolo). No configurada elimina el valor de configuración del registro. Hay algunas directivas que necesitan de datos adicionales.

Cuando configuramos una directiva prestemos atención a la explicación para asegurarnos que el resultado será el que queremos. Algunas directivas son positivas –se activa la característica al habilitarla-, otras negativas –se desactiva la característica al habilitarla-. Un poco de confusión, a veces para aplicar hemos de deshabilitar y al contrario. Así que leed bien la directiva y lo que hace antes. ;-)

¿Donde guarda Windows las directivas?

En la rama \Software\Policies preferentemente. En la llave HKLM, contendrá las directivas por-equipo y en HKCU las directivas por-usuario.

Otra rama, heredada de versiones anteriores, es \Software\Microsoft\Windows\CurrentVersion\Policies. En la que las directivas tienden a tatuar el registro, lo que quiere decir que hacen cambios permanentes en el registro; Debemos explicítamente cambiar estas directivas. Las ACL, listas de control de acceso, impiden a los usuarios hacer cambios en estas llaves y de ese modo las directivas que se aplican. Los grupos locales usuarios y usuarios avanzados no tienen permisos para cambiar valores en estas llaves, pero un administrador puede sobreescribirlas directamente y cambiar la directiva.

Ya que sabemos donde se ubican en el registro sólo nos resta saber en ué lugar del sistema de archivos están. La directiva local está en %raíz_del_sistema%\System32\GroupPolicy. Es una carpeta super oculta . Para verla en el explorador de Windows hemos de habilitarlo desde herramientas del menú y cambiar las opciones en la pestaña Ver del diálogo de Opciones de carpeta, tanto Ver archivos y carpetas ocultos como desmarcar ocultar archivos del sistema.

Dentro de esta carpeta encontramos las siguientes subcarpetas y archivos:

• \Adm. Donde están todos los archivos adm de la directiva local.
• \User. Archivo Registry.pol.
• \User\Scripts. Scripts por-usuario de la directiva local. Dentro de Logon para el inicio de sesión en Windows y dentro de Logoff para el cierre de sesión en Windows.
• \Machine. Registry.pol del equipo.
• \Machine\Scripts. Scripts por-equipo de la directiva local. Dentro de Startup para el arranque y en Shutdown para el apagado.

Puede copiarse la carpeta de un equipo a otro para replicar las directivas que contienen, aunque mejor comprobarlo antes de hacerlo en un entorno de trabajo.

Servicio Servidor

Manualmente podemos optimizar el servicio Servidor, personalizándolo a favor del uso de memoria, de la red o de ambos.

HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\Size

Valor REG_DWORD, con:

0x01 para minimizar el uso de memoria.

0x02 balancear el uso de memoria y el rendimiento de red.

0x03 máximizar el rendimiento de red.

Autenticación

Hay una serie de personalizaciones que pueden ayudarnos a resolver problemas y optimizar la autenticación.

Kerberos, Obligatoriedad de Catálogo Global y la habilitación de los mensajes de Winlogon extendidos para obtención de información.

KERBEROS

Kerberos es un mecanismo de autenticación que se usa para comprobar la identidad de un usuario o equipo. Es el método preferido para autenticar servicios en Windows Server 2003. Podemos modificar los parámetros de Kerberos para resolver contratiempos o simplemente para testear el protocolo, al acabar eliminamos las entradas añadidas, ya que podría influir en el rendimiento del equipo.

En la llave: HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters con valores del tipo REG_DWORD.

SkewTime	5 (minutos)	Este valor es el máximo de diferencia de hora permitido entre el equipo cliente y el servidor que acepta la autenticación.
LogLevel	0	Indica si los sucesos se guardan en el Registro de sucesos del sistema. Cualquier valos distinto a 0 provocará que todos los sucesos relacionados con Kerberos se guarden.
MaxPacketSize	1465(bytes)	Tamaño máximo del paquete UDP. Si se supera el tamaño se usa TCP.
StartupTime	120(segundos)	Tiempo que espera Windows al KDC para iniciar antes de darse por vencido.
KdcWaitTime	10(segundos)	Tiempo que espera Windows una respuesta del KDC.
KdcBackoffTime	10(segundos)	Tiempo entre sucesivas llamadas al KDC si la anterior ha fallado.
KdcSendRetries	3	Intentos de contactar con el KDC.
DefaultEncryptionType	23 (0x17)	Tipo de cifrado para la preautenticación.
FarKdcTimeout	10(minutos)	Tiempo de caducidad usado para invalidar a un controlador de dominio desde un sitio distinto en la caché de controlador de dominio.
NearKdcTimeout	30(minutos)	Tiempo de caducidad usado para invalidar a un controlador de dominio en el mismo sitio en la caché de controlador de dominio.
StronglyEncryptDatagram	FALSE	Bandera que indica si se usa un cifrado de 128 bits, lo contrario a un cifrado débil, en paquetes de datagrama.
MaxReferralCount	6	Numero de referencias KDC que un cliente sigue antes de darse por vencido.
KerbDebugLevel	0	Indicador de depuración: 1 ON, 0 OFF.
MaxTokenSize	12000	Valor máximo del token Kerberos (Se recomienda siempre un valor menor a 65535).
SpnCacheTimeout	15(minutos)	Tiempo de vida de las entradas en caché del servicio principal de nombres SPN. En DCs la caché SPN está deshabilitada.
S4UCacheTimeout	15(minutos)	Tiempo de vida de las entradas negativas en caché S4U que se usan para restringir el número de solicitudes Proxy S4U desde un equipo en particular.
S4UTicketLifeTime	15(minutos)	Tiempo de vida de los tickets obtenidos por solicitudes proxy S4U.
RetryPdc	0	Indica si el cliente contactará con el DC primario para solicitudes de autenticación (AS_REQ) si recibe un error de contraseña caducada. 0=falso; distinto a 0=verdadero.
RequestOptions	Cualquier valor de la RFC 1510	Indica si hay opciones adicionales que puedan enviarse como opciones KDC en las solicitudes de Ticket de concesión de servicio (TGS_REQ).
ClientIPAddress	0	Indica si una dirección IP de cliente se añadirá en un AS_REQ para obligar al campo Caddr a contener direcciones IP en todos los tickets. 0=falso; cualquier otro = verdadero.
TgtRenewalTime	600(segundos)	Tiempo que Kerberos espera antes intentar renovar un ticket (TGT) antes de la caducidad del ticket.
AllowTgtSessionKey	0	Indica como se exportan las claves de sesión. El valor es 0 por seguridad. 0=falso, cualquier otro=verdadero.

 

En la llave: HKLM\SYSTEM\CurrentControlSet\Services\kdc con valores del tipo REG_DWORD.

KdcUseClientAddresses	0	Indica si la dirección IP se añade a la respuesta de Ticket de concesión (TGS_REP). 0=falso; cualquier otro=verdadero.
KdcDontCheckAddresses	0	Indica si las direcciones IP para el TGS_REQ i el campo Caddr del TGT se comprobarán. 0=falso; cualqueir otro=verdadero.
NewConnectionTimeout	50(segundos)	Tiempo en que el extremo de una conexión TCP inicial permanecerá abierta para recibir datos antes de desconectarse.
MaxDatagramReplySize	1465(bytes)	Tamaño máximo de paquete UDP en los mensajes TGS_REP y AS_REP. Si el paquete excede el tamaño, el KDC devuelve un mensaje KRB_ERR_RESPONSE_TOO_BIG que solicita al cliente que cambie a TCP.
KdcExtraLogLevel	2	Indica que información escribirá y auditará el KDC en el registro de sucesos.
KdcDebugLevel	0	Depurador ON o depurador OFF.

 

Deshabilitar obligación Catálogo Global

Emplazar los servidores de Catálogo Global en sitios remotos suele ser deseable para mejorar el rendimiento del inicio de sesión de usuario, búsquedas y otras acciones que necesitan comunicación con el catálogo, y para reducir el tráfico WAN. Sin embargo, para reducir la intervención adminitrativa, las necesidades de hardware y otros relacionados, puede que no queramos tener un servidor de catálogo global en un sitio remoto. Esto es relevante en ciertos entornos, pero el problema es que los inicios de sesión necesitan que un controlador de dominio autentifique al usuario para contactar con el catálogo global y determinar si pertenece a un grupo universal. Si la oficina remota o sucursal no dispone de un catálogo global y no puede contactarse con uno, puede fallar el inicio de sesión del usuario.

Windows Server 2003 ofrece una alternativa de caché de grupos universales. Cuando se habilita para un sitio, los usuarios que inician sesión mientras el catálogo global está en línea pueden seguir haciéndolo aún cuando el catálogo global esté fuera de línea en el próximo inicio de sesión.

Para eliminar la obligación de catálogo global en un sitio y esquivar inicios denegados de sesión de usuario, lo habilitamos en el valor de configuración del controlador de dominio que lleva a cabo la autenticación del usuario:

IgnoreGCFailures (REG_DWORD) en HKLM\SYSTEM\CurrentControlSet\Control\Lsa, dándole un valor de 0x01 y reiniciando el DC.

Habilitar mensajes de Winlogon extendidos

Podemos configurar Windows para obtener mensajes de inicio de sesión, apagado, arranque y cierre de sesión extendidos, obteniendo información extendida para resolver cualquier incidencia en el comportamiento de estas acciones.

Creamos el valor verbosestatus del tipo REG_DWORD en la llave HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System, y le damos el valor 0x01.

*Hay que comprobar que no exista el valor DissableStatusMessages en la misma llave sino no se mostrarán los mensajes.

Después de instalarlo supongo que hemos de configurarlo para ‘algo’ que deseamos, ¿no?.

Tenemos funcionalidades ‘Roles’ y características añadidas para variedad de propósitos y de eso se trata, ¿que plan tenemos?

Yo destacaría algunos roles:

• Los referentes a Active Directory
• Hyper-v, y
• Servicios de Escritorio Remoto.

A grosso modo, y teniendo en cuenta que el que se maneje con soltura con 2003 esto lo tiene superchupao, haremos una incursión a nuestros planes.

Repaso de términos:

Queremos Active Directory

Es una de las funciones más común en Windows Server 2008 R2, AD vigila el acceso y autenticación de aplicaciones y recursos de nuestra red, nos proporciona los servicios de directorio para que organicemos y aseguremos la infraestructura de red.

Bosque

Principal estructura lógica de la estructura de directorio. Contiene todos los objetos de nuestro directorio, comenzando por Dominios. Los dominios de un bosque único automáticamente tendrán confianza transitiva en dos sentidos. También define varias cosas para todos los dominios en el bosque: PRIMERO, el esquema de la estructura AD – El esquema contiene la definición y atributos para todos los objetos en el bosque y es muy importante para AD ya que define diversos objetos como usuarios y grupos. Definirá que propiedades tendrán estos objetos, extenderá la compatibilidad con nuevos objetos y propiedades necesarias en aplicaciones como el correo electrónico. Y SEGUNDO, el bosque contiene la información de replicación para un funcionamiento adecuado del directorio. Finalmente, el bosque mantiene el catálogo global que proporciona capacidades de búsqueda para él mismo.

Dominio

Los dominios son la división del bosque en partes lógicas. Se crean como ayuda al control de replicación de datos y son instrumentos que nos permitirán escalar en nuestra estructura de directorio. El dominio contiene todos los principales de seguridad de la organización. También maneja la autenticación de red y mediante ella proporciona la base de protección de los recursos. Los dominios ayudan a administrar las confianzas, se consideran límites de seguridad de la red y no solo nos permiten segmentar el acceso a los recursos rápidamente sino que también son una herramienta para delegar tareas administrativas.

Árboles

Dentro de un bosque hay… árboles. Lugar de residencia de los dominios. Un árbol es donde tenemos dominios compartiendo un espacio de nombres común, un contexto de seguridad para compartir los muchos recursos ubicados en un dominio. Cualesquiera dominios que instalemos por debajo del primer dominio se convierten en dominios hijos y tienen un nuevo nombre DNS. Sin embargo, el nombre hereda el del padre. El padre dominio_padre.com, el hijo dominio_hijo.dominio_padre.com.

Confianzas

Las relaciones de confianza hacen que los dominios autentiquen recursos no almacenados en el propio dominio. Estas confianzas pueden ser de un sentido o de dos. Normalmente son de dos sentidos. Dentro de un único árbol en un bosque todos los dominios tienen una relación en dos sentidos automáticamente entre ellos.

OU

Esto proporciona una organización lógica de un dominio. Sin el uso de OUs, el dominio es un gigante de objetos desorganizados dificultando la administración. Nos ofrecen la posibilidad de organizar con lógica los objetos de nuestro directorio, normalmente cuentas de usuarios y grupos, sin embargo hay más objetos en un dominio aunque usaremos más las cuentas de usuario y equipo. Los beneficios administrativos son varios. Búsqueda de usuarios o grupos, delegación de administración de las OU que nos permite tener múltiples administradores sin que tengan privilegios en todo el dominio. Y como no, la facilidad de implementación de las directivas de grupo, una herramienta muy útil.

Usuario

Cuenta que garantiza el inicio de sesión en la red.

Grupo

Forma de organización de usuarios y grupos para dar acceso seguro a los recursos de la red.

DC

Sevidor principal donde se tienen los objetos del dominio. Responsable de la replicación a otros DC.

RODC

Variación de DC, en este caso de sólo-lectura.

Sitios

Cuando se diseñan los dominios de AD, OUs y los muchos objetos que ofrecen los contenedores lógicos para ayuda de nuestra estructura, tenemos un elemento físico de AD importante: el sitio. Los sitios nos permiten controlar la estructura física de la red. Ayudan al gobierno de las funciones principales del entorno:

• Replicación
• Autentificación y,
• Ubicación de servicio.

Con los sitios definimos los límites de nuestra red mediante las direcciones IP y las subredes, que nos dan un mecanismo para controlar el tráfico.

Cuando se planea la estructura AD se comienza desde arriba: el bósque y los dominios. Cuando instalamos el primer controlador de dominio, éste se convierte en el dominio raíz y en el principio del bosque. Definimos el espacio de nombres DNS al instalar el primer DC.

Sólo Hyper-v por favor…

Una demanda creciente es el uso de técnicas de virtualización para el relanzamiento de recursos reutilizables que ayuden a la consolidación y flexibilidad del servidor. Windows Server 2008 R2 Hyper-v está basado en la tecnología del hypervisor. Lo que permite a sistemas virtuales acceder al hardware del servidor eficientemente. A diferencia de otras tecnologías de virtualización, Hyper-v no integra controladores de terceros en la capa del hypervisor. Los controladores que son utilizados por los sistemas virtuales se colocan en la partición padre, que es el sistema operativo host. Todas las máquinas virtuales que instalemos se ubicarán en particiones hijas.

Decidir tener un servidor que maneje la carga de virtualización puede parecer simple, pero este role necesita planearse a conciencia. Microsoft proporciona una herramienta: MAP toolkit con la que podremos analizar y sacar informes que nos ayuden a decidir nuestro Hyper-v.

Servicios de escritorio remoto

Lo que hasta ahora eran Terminal Services ha pasado a Remote Desktop Services (RDS) en 2008 R2. Su funcionalidad tiene mucho de la misma de TS en 2008. Estos servicios nos servirán para proporcionar una presentación virtualizada de nuestro entrono. La metodología para planear su implementación es como la de virtualización.

Cuando instalamos RDS debemos considerar el orden adecuado de instalación de estos servicios comparándolos con las aplicaciones que usaremos en el servidor RDS. La regla general a seguir es instalar las aplicaciones y luego RDS para evitar problemillas potenciales y reinstalaciones de aplicaciones. Estas aplicaciones, en muchos casos, tienen instrucciones de instalación concretas para compatibilizarlas con su funcionamiento en Terminal Server.

Otra consideración es el cómo permitir a los clientes autentificarse contra el servidor y cuál es el nivel de seguridad. Hay dos opciones, Obligar a autentificación a nivel de red y no obligar. Esta decisión puede tener impacto sobre el tipo de clientes y el nivel de seguridad proporcionado por nuestro RDS. También controla el momento de autentificación de los clientes durante el proceso de inicio de sesión, si obligamos, el usuario se autentica antes de establecer la conexión de escritorio remoto con lo que el nivel de seguridad es mayor, sin embargo, se necesita que los clientes ejecuten al menos la versión 6.0 de escritorio remoto y que el cliente Windows sea compatible con el protocolo CredSSP, Vista Xp sp3. Si la elección es no obligar a la autenticación a nivel de red, permitiremos a cualquier versión de escritorio remoto a conectar, lo que significa una segurida menor ya que la autentificación se produce después en el proceso de conexión.

Como consejo: No es nada recomendable tener los servicios RDS en un servicor con AD en marcha (DC), primero porque creamos riesgos innecesarios a AD y segundo por la carga de trabajo que representa y la degradación de rendimiento que puede causar.

Hay dos roles de RDS: Remote Desktop Gateway y RemoteApp and Desktop Web Access, que requieren de la instalación de más servicios para su función correcta.

Si instalamos Remote Desktop Gateway, necesitaremos el servidor Web, NAP, RPC sobre HTTP y las herramientas de administración de Remote Server.

Si instalamos RemoteApp and Desktop Web Access, necesitaremos el servidor Web y las herramientas de administración de Remote Server.

Las funciones de RDS:

Remote Desktop Session Host: Un servidor Host de sesión de Escritorio remoto es el servidor que hospeda programas basados en Windows o todo el escritorio de Windows para clientes de Servicios de Escritorio remoto. Los usuarios pueden conectarse a un servidor Host de sesión de Escritorio remoto para ejecutar programas, guardar archivos y usar los recursos de red de dicho servidor. Los usuarios pueden obtener acceso a un servidor Host de sesión de Escritorio remoto mediante Conexión a Escritorio remoto o con RemoteApp.

Remote Desktop Licensing: Servidor que administra las licencias de acceso de cliente de Escritorio remoto (CAL de RDS) que son necesarias para la conexión de cada dispositivo o usuario a un servidor Host de sesión de Escritorio remoto. Administración de licencias de Escritorio remoto se usa para instalar y emitir CAL de RD en un servidor de licencias de Escritorio remoto, y para realizar el seguimiento de la disponibilidad de las mismas. Es un componente necesario para RDS.

Remote Desktop Connection Broker: El Agente de conexión a escritorio remoto es una función para granjas de servidores, ayuda esencial en el balanceo de carga de las conexiones al servidor.

Remote Desktop Gateway: Puerta de enlace de Escritorio remoto es un servicio que permite a los usuarios conectar con el servidor de escritorio remoto a través de internet, sin la necesidad de conexión directa con la red corporativa.

RemoteApp and Desktop Web Access: Esto permite a los usuarios conectar vía navegador web con los espacios de trabajo remotos configurados en el servidor RDS; este servicio también proporciona valores de configuración que pueden dejarse en el Menú de inicio del equipo cliente. La página web proporciona acceso a las aplicaciones o escritorios que están autorizados para acceso web.

Remote Desktop Virtualization Host: Habilita al servidor RDS a proporcionar servicios de virtualización de escritorios. Este servicio necesita de Hyper-v.

http://www.microsoft.com/windowsxp/Downloads/powertoys/Xppowertoys.mspx

Es fácil de instalar, luego accederemos desde Inicio, todos los programas, Powertoys for Windows y TweakUI. En el panel izquierdo elegiremos la categoría y en el derecho editamos la configuración a cambiar deseada.

-------------------------------

Taskbar y Start Menu

Grouping

La configuración de esta categoría, descrita en la tabla posterior, nos permite controlar como se agrupan los botones en la barra de tareas. Con el valor TaskbarGroupSize, que crearemos si no existe, determinamos las aplicaciones que Windows agrupa primero:

• Las menos utilizadas primero
• Las más utilizadas primero
• Cualquiera con al menos N ventanas abiertas.

En los tres casos es un valor REG_DWORD(tabla).

Menos usadas primero	TaskbarGroupSize	REG_DWORD	0x00	KKCU\Software\Microsoft\Windows \CurrentVersion\Explorer\Advanced
Más usadas primero	TaskbarGroupSize	REG_DWORD	0x01	KKCU\Software\Microsoft\Windows \CurrentVersion\Explorer\Advanced
Con N ventanas abiertas	TaskbarGroupSize	REG_DWORD	N	KKCU\Software\Microsoft\Windows \CurrentVersion\Explorer\Advanced

Start Menu

Windows nos muestra los programas más utilizados en el menú de inicio. Esta característica nos impide tener localizadas por aplicaciones que usamos frecuentemente. Algunas aplicaciones no pertenecen a esta lista, sin embargo. Es cansado ver el bloc de notas aquí sólo porque hemos abierto un archivo de texto o el Command Prompt por haber escrito cmd en ejecutar como. La solución es decirle a Windows que no queremos añadirlas al menu de inicio. La llave es HKCU\Software\Classes\Applications, las aplicaciones que sí queremos mantener en el menú de inicio se añadirán en una sub-llave con el mismo nombre del nombre del archivo del programa(sin la ruta), dentro añadimos un valor REG_SZ de nombre NoStartPage y lo dejamos en blanco.

P.e.: Si no queremos que la calculadora aparezca, HKCU\Software\Classes\Applications\Notepad.exe\NoStartPage

Desktop

No mostrar ciertos iconos en el escritorio, esto se usaba en Windows98 porque salían todos por defecto, pero ahí está.

First Icon

Aquí se elige qué icono aparece el primero en el escritorio, My documents o My Computer.

My Computer

Determinamos los iconos que queremos ver en Mi PC.

Drives

Unidades a ocultar.

Special Folders

Carpetas especiales, como Mis imágenes, Mis Documentos,…

Autoplay

Toda acción de esta categoría se halla en las subcategorías siguientes. En Drives, impedimos qué unidades ejecuten automáticamente medios al insertarlos.

          Drives

         

En Types controlamos el autoplay para tipos específicos de medio. 

          Types

         

Y en la última, handlers: cuando Windows detecta que hemos insertado un CD, DVD o unidad removible, automáticamente ejecuta el programa asociado con el tipo de contenido de ese disco; en esta categoría tenemos una lista para controlar que programas se están usando con esos distintos tipos de contenido.

          Handlers

         

Drive Letters

Esta categoría nos permite configurar como el explorador de Windows muestra las letras de unidad en relación con su etiqeuta de Volumen.

- Mostrar después de la etiqueta.

- Mostrar antes de la etiqueta.

- Mostrar las unidades de red antes de la etiqueta y las locales después de la etiqueta.

- Nunca se muestran las letras de unidad.

Control Panel

Mostrar u ocultar iconos del Panel de Control específicos.

Templates

Personalizar las plantillas que veremos cuando hagamos clic derecho sobre el escritorio o espacio sin usar de una ventana de carpeta y pulsamos NUEVO.

Internet Explorer

Las dos configuraciones que se ven en la categoría de IE: Autocorrect Backslashes to Slashes e Include Path Search in address bar están en la llave HCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Band\Address, valores AutoCorrect y PATH (ambos REG_DWORD).

Tool Background

Configuración que TweakUI establece al personalizar IE y Windows Explorer con una imagen bitmap.

KCU\Software\Microsoft\Internet Explorer\Toolbar

Fondo personalizado para la barra de IE	BackBitmapIE5	REG_SZ	archivo
Fondo personalizado para la barra de Windows Explorer	BackBitmapShell	REG_SZ	archivo

Search

Aquí podemos añadir URLs de búsqueda a IE para usarlas desde la barra de direcciones del navegador.

Por ejemplo:

Añadimos CycleOps news

 

Si abrimos el IE y en la barra de direcciones escribimos directamente Cycleops News, se abrirá el buscardor con dichas palabras de búsqueda y sus resultados.

View source

Cambio del programa con que IE mostrará el código fuente de la página web.

Small Animation

Este icono es el que vemos en la esquina derecha y arriba de la barra de IE. El icono es animado cuando el IE está ocupado y estático cuando finaliza su carga. Aquí podemos personalizar esta animación.

Large Animation

Este icono es la versión en grande del anterior.

Image Toolbar

 

Command Prompt

Configuración para la ventana de prompt.

Logon

Autologon

Útil para habilitar automáticamente el inicio de sesión, si es que es útil…

Settings

Permite copiar la configuración actual de escritorio al perfil de usuario actual.

Screen Saver

Salvapantallas

Access Control

Control de Acceso.

Repair

Pequeñas reparaciones que eran interesantes en XP o anteriores.

---

Está claro que cada versión de Windows Server ha ido dotándonos de características y funcionalidades para la administración día a día de la red. Y como no podía ser de otra manera, hemos llegado a nuestro amigo 2008 R2. Si he de destacar algunas de las posibilidades que tenemos con este sistema, yo lo haría con Hyper-v, aunque la verdad es que hay otras por enmedio.

¿Un nuevo servidor? ¿Actualizar uno que ya tenemos? ¿Migrar servicios?

Hemos de tener las ideas claras para llevarlas a cabo.

2008 R2 Hardware

Como sus antecesores este sistema ofrece ciertas funciones (a partir de ahora y en favor de una descripción única los llamaré ROLES) y diversas versiones del sistema operativo en sí. Hay una gran distinción en este caso: sólo existen versiones de 64-bits, lo cual significa que nuestro primer paso es asegurarnos del hardware que tenemos y su completa compatibilidad con esto. Como más de uno habrá pensado, esto afecta directamente a una actualización o migración no tanto a un nuevo servidor.

En principio la propia MS marca unos mínimos, mejor si los superáis con creces, que luego todo se queda corto.

Hemos de ser conscientes de la importancia de los requerimientos. La cantidad de memoria que podemos tener en el servidor depende de la elección de la versión, si es Enterprise o Datacenter podemos tener hasta 2TB, mientras en el resto están limitado a 32GB, con la salvedad de que si tenemos más de 16GB necesitaremos un espacio en disco mayor para diversas funciones del sistema como el paginamiento p.e. De la versión también depende la cantidad de núcleos del procesador soportados, en las versiones web y estándar son 4, en la Enterprise hasta 8 y la Datacenter hasta 64, sin contar con las versiones Itanium.

Los mínimos sólo indican que el sistema se instalará y ¿arrancara?, bueno sí… pero que funcionalidad tendremos???

En un hipotético caso de que nuestro deseo sea usar Hyper-v y teniendo en cuenta los cálculos que hagamos de qué vamos a virtualizar, hemos de asegurarnos de disponer de suficientes núcleos de procesador y de memoria RAM para el anfitrión y de las máquinas que hemos de virtualizar.

2008 R2 Versiones y ROLES

Las versiones son las mismas que Windows Server 2008, Datacenter, Enterprise, Standard, Itanium y Web, con la salvedad que se incorpora el nuevo Hyper-v menos en Web y ya no hay versiones sin Hyper-v.

Podemos ver comparaciones por Características por Roles u otras, accediendo a http://www.microsoft.com/windowsserver2008/es/xl/r2-editions.aspx

Cuando tengamos claro lo que deseamos hacer elegimos nuestra versión.

Roles

Dependiendo de la versión de 2008 R2 elegida, estarán disponibles o no los Roles:

• Edición Web: Diseñado para se un servidor web únicamente, los roles disponibles son DNS y Web Server. Además de la limitación de 4 procesadores y 32GB de memoria RAM.
• Edición Standard: Todos los roles de la tabla a excepción de servicios de federación AD. Limitaciones a los roles de servicios de certificados, servicios de archivo, NAP y servicios de escritorio remoto. También está limitado a 4 procesadores y 32GB de RAM.
• Edición Enterprise: Todos los roles de la tabla. Limitado a 8 procesadores y 2TB de RAM.
• Edición Datacenter: Igual que la Enterprise, pero hasta 64 procesadores y 2TB de RAM.

Server Core

Hay una instalación opcional, Server Core, qué como en Windows Server 2008 es una versión racionalizada del Windows Server. Tiene funcionalidad limitada y ejecuta un subconjunto de los roles de Windows Server R2, no tiene interfaz gráfico, lo que significa que la administración ha de ser remota o via comandos desde el prompt, y aunque pueda pensarse lo contrario no quiere decir que no tenga su utilidad dentro de una red. Puede proporcionarnos funciones sin la carga de trabajo de un servidor tradicional y con riesgos inferiores de seguridad, además de necesidades de parcheado menores para mantenerlo al día.

Los roles son 9:

• DNS
• DHCP
• AD DS
• AD LS
• Servicios de archivo
• Servicios de impresión
• IIS
• AD CS
• Hyper-v

Y las características aumentadas en la versión R2:

• Un subconjunto de .NET framework, versiones 2.0, 3.0 y 3.5.
• PowerShell
• ASP.NET
• WoW64, necesario para AD y AD LS.

Licencias?

Al instalar 2008 R2 en nuestro entorno hemos de tener en cuenta el licenciamiento. En general no ha cambiado desde Windows Server 2008, y cada R2 requiere dos tipos de licencia: Una licencia de servicor para ejecutar el sistema operativo y una licencia de acceso de cliente (CAL) que permita a los clientes acceder al servidor. Las CAL se dividen en dos a su vez: CAL por dispositivo –Un dispositivo por cualquier usuario, CAL por usuario –Un usuario desde cualquier dispositivo. Todas las CAL de Windows Server 2008 que tengamos nos sirven también para 2008 R2.

En cuanto a la parte de virtualización conviene quizás saber qué: Sí sólo utilizamos 2008 R2 para virtualizar servidores éstos no necesitan CAL para el sistema host pero sí las los sistemas anfitriones que se ejecuten; aunque hay un beneficio potencial si usamos Hyper-v en un 2008 R2 y es que dependiendo de la versión elegida puede que no necesitemos comprar licencias para las instancias virtualizadas de 2008 R2: Standard = 1 instancia virtualizada bajo la misma licencia, Enterprise = hasta 4 instancias virtualizadas y Datacenter/Itanium = sin limitación de instancias virtualizadas.

http://www.microsoft.com/windowsxp/Downloads/powertoys/Xppowertoys.mspx

Es fácil de instalar, luego accederemos desde Inicio, todos los programas, Powertoys for Windows y TweakUI. En el panel izquierdo elegiremos la categoría y en el derecho editamos la configuración a cambiar deseada.

------------

Mouse

La configuración en la categoría Mouse controla la sensibilidad del ratón. Podemos usar el Icono de Test para probar diferentes valores.

hover

Similares a la categoría de Mouse, control del tamaño del área, en pixeles, y del tiempo, en milisegundos, que el puntero del ratón debe permanecer sobre algo para que Windows lo reconozca.

Hover sensitivity	MouseHoverWidth MouseHoverHeight	REG_SZ	0 a N	HKCU\Control Panel\Mouse
Hover time (ms)	MouseHoverTime	REG_SZ	0 a N	HKCU\Control Panel\Mouse

wheel

Las tres opciones para este valor:

Use mouse wheel for scrolling	WheelScrollLines	REG_SZ	0	HKCU\Control Panel\Desktop
Scroll a page at time	WheelScrollLines	REG_SZ	-1	HKCU\Control Panel\Desktop
Scroll N lines at a time	WheelScrollLines	REG_SZ	1 a N	HKCU\Control Panel\Desktop

x-mouse

• Activation follows mouse (X-Mouse). Foco sobre cualquier ventana a la que apuntemos, pero no la traera a primer plano a menos que marquemos la siguiente opción de la lista.
• Autoraise when activating. Trae la ventana que tiene el foco a primer plano.
• Activation delay(milisegundos). Especifica el retardo en llevar la ventana a la que hemos apuntado a primer plano.

Esta configuración son bits en el valor UserPreferencesMask. El valor predeterminado de ActiveWndTrkTimeout es 0, pero algunos autores recomiendan 400 como un retardo razonable, ya que si es superior impide ojear entre primer y segundo plano.

Activation follows mouse (X-Mouse).	UserPreferencesMask	REG_BINARY	0x0001	HKCU\Control Panel\Desktop
Autoraise when activating	UserPreferencesMask	REG_BINARY	0x0040	HKCU\Control Panel\Desktop
Activation delay	ActiveWndTrkTimeout	REG_DWORD	0 a N	HKCU\Control Panel\Desktop

Explorer

Los valores en la categoría Explorer afectan a muchas y distintas acciones: podemos personalizar el menú inicio, habilitar desplazamiento suave, y de forma automática limpiar el historial de documentos.

Aviso: La mayoría de valores son directivas, así que hay que prestar atención como se expresan.

Shortcut

Cuando creamos un acceso directo, Windows agrega un signo al icono del documento original para que lo reconozcamos como tal(acceso directo). La categoría Shortcut nos permite personalizar este signo. Añadirlo o no, que sea una flecha resaltada, una flecha normal o incluso personalizarlo.

Arrow	29	REG_SZ	Null	HKLM\Software\Microsoft \Windows\CurrentVersion \Explorer\ShellIcons
Light Arrow	29	REG_SZ	C:\Windows\System32\TweakUI.exe,2	HKLM\Software\Microsoft \Windows\CurrentVersion \Explorer\ShellIcons
None	29	REG_SZ	C:\Windows\System32\TweakUI.exe,3	HKLM\Software\Microsoft \Windows\CurrentVersion \Explorer\ShellIcons
Custom	29	REG_SZ	filename,index	HKLM\Software\Microsoft \Windows\CurrentVersion \Explorer\ShellIcons

Colors

Compressed files: Windows muestra los archivos comprimidos de ese color.

Hot-Tracking: Los mostrará de ese color cuando los apuntemos y si hemos habilitado el clic simple.

Encrypted files: Estos archivos de ese color.

Las llaves son HKCU\Control Panel\Colors\HotTrackingColor, HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\AltColor y HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\AltEcryptionColor.

Thumbnails

Calidad de los thumbnails en el explorador. Valor predeterminado 0x5A para ThumbnailQuality y 0x60 para ThumbnailSize.

Image Quality	ThumbnailQuality	REG_DWORD	0x32 0x64	HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer
Size(pixels)	ThumbnailSize	REG_DWORD	0x20 0xFF	HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer

Command Keys

Si tenemos un teclado con teclas de navegación, podemos personalizarlo.

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\AppKey es la llave, si no existe, la creamos y dentro crearemos una sub-llave según el aspecto a personalizar (tabla) y dentro de éste una sub-llave denominada ShellExecute con valor REG_SZ, donde va la ruta y archivo del programa que se quiere ejecutar al pulsar dicha llave. Si la queremos deshabilitar, la cadena ha de quedar vacía, y si queremos dejar el comportamiento inicial, eliminamos la sub-llave añadida.

TECLA	Sub-llave a añadir	TECLA	Sub-llave a añadir
Atrás (IE)	1	Nuevo	29
Calculadora	18	Abrir	30
Cerrar	31	Pegar	38
Copiar	36	Imprimir	33
Corregir	45	Subir volumen micrófono	26
Cortar	37	Rehacer	35
Favoritos	6	Actualizar(IE)	3
Buscar	28	Responder	39
Adelante(IE)	2	Guardar	32
Adelante(mail)	40	Búsqueda	5
Ayuda	27	Enviar	41
Bajar volumen micrófono	25	Ortografía	42
Correo	15	Detener(IE)	4
Medio	16	Control de dictado	43
Micrófono mudo	24	Mando micrófono	44
Volumen mudo	8	Deshacer	34
Mi PC	17	Página web Inicio	7

Customizations

Vistas recordadas de las carpetas.

Slide Show

Tiempo por el que se mostrarán cada imagen en un slide show en el explorer.

Common Dialog Boxes

Los cuadros de diálogo comunes, como el Guardar como, muestra Places Bar en la parte izquierda. Son accesos directos a carpetas comunes que facilitan hacer uso de ellas. De forma predeterminada vemos, historial, documentos, escritorio, favoritos y mis sitios de red, podemos personalizarlo usando la categoría de Common Dialog Boxes.

Places Bar

Si queremos hacerlo de forma manual en el registro:

Añadir la subllave PlacesBar en la llave HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\comdlg32, y dentro los valores del tipo REG_DWORD de Place0, Place1, Place2, Place3 y Place4, que corresponden a los cinco botones disponibles.

Los valores posibles:

Carpeta	Valor	Carpeta	Valor
Escritorio	0x00	Mis sitios de red	0x12
Favoritos	0x06	Historial	0x22
Mis Documentos	0x05	Mis Imágenes	0x27
Mi Música	0x0D	Documentos Recientes	0x08
Mi PC	0x11

http://www.microsoft.com/windowsxp/Downloads/powertoys/Xppowertoys.mspx

Aquí hay algunas herramientas para XP, en este caso descargaríamos Tweak UI que nos servirá para personalizar XP o 2003.

Este pequeño programa o herramienta nos permitirá personalizar nuestro Windows (XP o 2003) en algunos aspectos en los que no encontraremos interface para ello y en los que deberíamos acudir al registro.

Es fácil de instalar, luego accederemos desde Inicio, todos los programas, Powertoys for Windows y TweakUI. En el panel izquierdo elegiremos la categoría y en el derecho editamos la configuración a cambiar deseada.

El programa de por sí es suficientemente aclarador, podemos ver una descripción de cada valor a ajustar al final de la ventana. Nos indicará si el valor es por-usuario o por-equipo. Para que tome efecto hemos de tener en cuenta que por-usuario se necesitará algunas veces cerrar y volver a iniciar sesión. Por-equipo afectará a todos los usuarios que inicien sesión en el equipo.

Categorías

General

En la categoría General los elementos de la lista de configuración pueden activarse o desactivarse.

General-Focus

Cuando una aplicación necesita tu atención –o simplemente quiere molestarte- te quita el foco de la aplicación en la que estás trabajando. Esto lleva a cambiar de ventana atrás/delante. La configuración en Focus dentro de General impide que ocurra esto.

General-ALT+TAB

Aquí se configura el número de filas y columnas que podemos ver cuando presionamos ALT+TAB. El valor REG_SZ es CoolSwitchRows para filas y CoolSwitchColumns para las columnas. Ambas en HKCU\Control Panel\Desktop. Aquí hay que tener cuidado en no configurar demasiadas filas y/o columnas que no quepan en la pantalla. Para que se habilite el cambio hay que cerrar sesión y volve ra iniciar.

Os recuerdo que lo de modificar el registro es peligrosillo, así que una copia antes de nada es lo más recomendable. También os recuerdo que la mayoría de cambios y modificaciones no son para Windows Vista-7, sino para 2003/XP.

Para personalizar el menú inicio se disponen de opciones como la propia interfaz de usuario: clic derecho en la barra de tareas y propiedades; O el uso de TWEAK UI por ejemplo, además hay docenas de políticas que controlan el comportamiento del menú de inicio, aunque puede que no nos sean de demasiada utilidad por la dificultad de realizar scripts o implementarlas en los grupos de usuarios o usuarios avanzados.

Veamos como configurarlo para impedir la aparición de programas, o en la lista de programas más usados, de restaurar el orden si no lo vemos alfabéticamente.

También podemos preparar scripts para el caso de reinstalar Windows o quizás una nueva instalación, y tenemos nuestra personalización, también si queremos desplegarla como perfiles de usuario.

Primero debemos conocer donde se encuentran en el registro: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Avanced.

Menú clásico:

Menú de inicio:

Os recuerdo que lo de modificar el registro es peligrosillo, así que una copia antes de nada es lo más recomendable. También os recuerdo que la mayoría de cambios y modificaciones no son para Windows Vista-7, sino para 2003/XP.

Personalizar las asociaciones de archivo

Las asociaciones de archivo controlan diversos aspectos de como trata Windows a los archivos:

• El icono que muestra el archivo.
• La aplicación que se ejecutará cuando hacemos doble clic en un archivo.
• Como muestra el explorador en pantalla los tipos de archivo.
• Que comando aparece en los menús de accesos directos de los archivos.
• Algunas otras menores.

La mayor parte del contenido del registro se encuentra en HKCR, que es donde Windows XP y Windows Server 2003 guardan las asociaciones de archivo y los registros de clase. Estos valores asocian distintos tipos de archivos con los programas que los pueden abrir, editar e imprimir con ellos. También se registran distintas clases de programas con las que Windows puede crear objetos usándolas.

Muchas de las personalizaciones que podemos hacer no dejan de ser simples en la llave HKCR. Añadir comandos a las asociaciones de archivo para carpetas, como abrir una ventana de símbolo del sistema con la carpeta elegida como directorio, añadir comandos a MI PC para abrir rápidamente el registro o TweakUI. Si dominamos los contenidos de HKCR, las oportunidades de modificar Windows, para verlo y sentirlo como queremos, son ilimitadas.

La llave HKCR era un enlace a HKLM\SOFTWARE\Classes antes de Windows 2000, pero ahora es más complicado. Windows mezcla HKLM\SOFTWARE\Classes con HKCU\Software\Classes . Los datos en la primera son las asociaciones y registros de clase predeterminados mientras en la segunda son los mismos datos por-usuario. La llave HKCU\Software\Classes es realmente un enlace a HKU\SID_Classes que carga Windows cuando carga el archivo de sección del perfil en HKU\SID. Si el valor es el mismo en las dos ramas, el valor HKCU tiene mayor precedencia sobre el valor en HKLM.

De hecho nos sirve para que usuarios instalen aplicaciones y usen asociaciones de archivo que no afecten a otros usuarios, es decir, dos usuarios que usan distintos programas para abrir el mismo tipo de archivo.

En cuanto se crea una nueva llave en HKCR Windows la crea en HKLM\SOFTWARE\Classes. Windows no proporciona ninguna interfaz de usuario, aparte del editor del registro, para agregar registros de clase en HKCU\Software\Classes porque la intención es permitir a los programas registrar sus clases por-usuario. Cuando editamos una clase existente, sin embargo, el cambio se refleja tanto en HKLM como en HKCU, dependiendo de donde exista ya la clase. Si existe en ambas Windows sólo actualiza la de HKCU.

Los archivos que contienen tipos de datos particulares normalmente tienen la misma extensión. Office = *.doc. Aunque la norma general de las extensiones son tres caracteres éstas pueden ser más largas. Los archivos con la misma extensión son miembros de una clase de archivo. Las clases de archivos definen comportamientos comunes para todos los archivos que comparten la misma extensión. Al personalizar las asociaciones de archivo, podemos especificar que aplicación los abre, añade comandos en el acceso directo, o indicar un icono específico que se nos mostrará en el explorador para ese tipo de archivo.

Las asociaciones se dividen en dos. La primera es una llave de extensión de archivo, HKCR\.ext. Cuando Windows necesita información sobre el tipo de archivo, mira en esa llave. El valor predeterminado de la llave contiene el nombre de la clase del programa asociado con ella, que es la segunda parte. Las clases de programas están en HKCR\identificador_de_programa, donde identificador_de_programa es el ID de la aplicación. El valor predeterminado es el nombre corto de la aplicación. Por ejemplo: HKCR\.txt tiene como valor predeterminado txtfile. Si buscamos en la llave el programa asociado, encontraremos la descripción Text File.

Las llaves de extensión de archivo pueden tener varias sub-llaves y valores, como se puede ver en la imagen, los más comunes:

OpenWithList. Aquí hallaremos una o más llaves con una relación de nombres de las aplicaciones que aparecen en la lista de programas recomendados cuando le damos al clic derecho y luego en Abrir con.

PerceivedType. Este valor REG_SZ indica el tipo percibido del archivo.  XP y 2003 son los únicos que la utilizan.

ShellNew. Esta sub-llave define una plantilla desde la que Windows crea un nuevo archivo cuando el usuario escoge ese tipo de archivo en el menú Nuevo.

Content Type. Valor REG_SZ que indica el tipo MIME.

OpenWithProgids. Aquí hay una lista de clases de programa asociados con la extensión de archivo. Windows los muestra en la lista de otros programas en Abrir con.

Ejecución de programas desde MI PC

La personalización debe hacernos las cosas más fáciles. Hay programas que utilizamos una y otra vez y queremos tenerlos en algún sitio de fácil y rápido acceso. La barra quick launch parece un lugar idóneo como la lista de programas de más uso del menú inicio. También queremos un sitio donde dispongamos de comandos que con un simple clic podamos disponer de ellos.

Para añadir comandos al menú de acceso directo a MI PC, editamos su registro de clase: HKCR\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}. Un ejemplo:

Voy a añadir mspaint.exe, que se encuentra en c:\windows\System32\mspaint.exe como un comando al hacer clic derecho en MI PC.

Edito la llave indicada:

1. Añado una nueva clave bajo la sub-llave SHELL, y la llamo MSPaint, como valor predeterminado pongo MS Paint.
2. Añado una nueva clave bajo MSPaint llamada Command, con valor predeterminado c:\windows\System32\mspaint.exe.

El resultado es…

Abrir la ventana de símbolo de comando en un directorio

Otra de las personalizaciones más comunes es abrir una ventana de sistema en un directorio en concreto, para ello añadiremos un comando a las clases Directory y Drive. Así que cuando hagamos clic derecho en cualquier carpeta y pulsemos en la opción abrir CMD aquí, tendremos la ventana con el directorio deseado.

• Creamos la sub-llave cmdaqui en HKCR\Directory\shell.

• Establecemos el valor predeterminado en Ventana Sistema Aquí
• creamos la sub-llave Command y le establecemos como valor predeterminado: C:\Windows\System32\cmd.exe /k cd "%1"

Y el resultado:

Modificaciones que pueden personalizar nuestro Windows sin usar el interfaz de usuario.

Registro de XP y 2003, ********no VISTA-W7.********

Las carpetas especiales

Digamos que son aquéllas que cuelgan del perfil de usuario, %userprofile%, y que son:

Cada valor de la llave KHCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders es una carpeta especial, como las vistas arriba.

Como se puede ver los valores son del tipo REG_EXPAND_SZ por lo que se usan variables de entorno, usar %USERPROFILE% en la ruta dirige la carpeta a una ubicación dentro de las carpetas del perfil del usuario, o podríamos usar %USERNAME% para que fuesen nombres de usuario.

En el caso de un entorno de GRUPO DE TRABAJO (NO LO NECESITAMOS EN UN ENTORNO DE DIRECTORIO ACTIVO AD) podríamos redirigir cualesquiera de estas carpetas a un recurso compartido de la red, por ejemplo: \\Equipo_que_comparte\Recurso_compartido\%USERNAME%\CARPETA_A_REDIRIGIR. Ahora en cuanto inicie sesión un usuario, Windows creará/actualizará la llave, KHCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, con las rutas de la llave de la imagen anterior, que es la que usará Windows.

Redirect.inf

   1: [Version]

   2: Signature=$CHICAGO$

   3:  

   4: [DefaultInstall]

   5: AddReg=Reg.Settings

   6: AddReg=Reg.Unistall

   7: CopyFiles=Inf.Copy

   8:  

   9: [DefaultUninstall]

  10: DelReg=Reg.Settings

  11: DelReg=Reg.Unistall

  12: DelFiles=InfCopy

  13:  

  14: [Reg.Settings]

  15: HKCU,Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders, AppData, 0x20000, "%APPDATA%"

  16: HKCU,Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders, Personal, 0x20000, "%PERSONAL%"

  17: HKCU,Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders, My Pictures, 0x20000, "%PICTURES%"

  18: HKCU,Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders, Favorites, 0x20000, "%FAVORITES%"

  19:  

  20: [Reg.Uninstall]

  21: HKCU,Software\Microsoft\Windows\CurrentVersion\Unistall\%NAME%

  22: HKCU,Software\Microsoft\Windows\CurrentVersion\Unistall\%NAME%,DisplayName,,"%NAME%"

  23: HKCU,Software\Microsoft\Windows\CurrentVersion\Unistall\%NAME%,UninstallString\,,"RunDll32.exe setupapi.dll, InstallHinfSection DefaultInstall 132"\"%53%\Application Data\Custom\Redirect.inf"

  24:  

  25: [Inf.Copy]

  26: Redirect.inf

  27:  

  28: [DestinationDirs]

  29: Inf.Copy=53,Application Data\Custom

  30:  

  31: [SourceDisksNames]

  32: 55=%DISKNAME%

  33:  

  34: [SourceDisksFiles]

  35: Redirect.inf=55

  36:  

  37: [Strings]

  38: NAME = "Carpetas redirigidas usuario"

  39: APPDATA     ="\\Servidor\Carpetas\%UserName%\Datos de Programa"

  40: PERSONAL   ="\\Servidor\Carpetas\%UserName%\Mis Documentos"

  41: PICTURES    ="\\Servidor\Carpetas\%UserName%\Mis Documentos\Mis Imágenes"

  42: FAVORITES  ="\\Servidor\Carpetas\%UserName%\Favoritos"

  43: DISKNAME    = "Setup Files"

Las carpetas especiales son ‘por usuario’ y están dentro de los perfiles de los mismos. Hay unas carpetas especiales también ‘por equipo’ en HKLM, pero no parece demasiado útil el personalizarlas, aunque se les aplican las mismas reglas.

Shell Folders

Algunas de las carpetas que vemos en el explorador de Windows, Panel de Control, Escritorio, … no existen actualmente en el sistema de archivos. Son objetos basados en clases registradas en la llave HKCR\CLSID. Algunas de las carpetas que existen en el sistema de archivos (historial o maletín por ejemplo) tienen la especial característica de convertirse en objetos basados en clases registradas en HKCR\CLSID. Una clase esencialmente es una plantilla para crear algo real, como un objeto en el interfaz de usuario, y CLSID es el lugar donde esas clases se registran para que Windows lo sepa todo de ellas.

Programas de terceros pueden añadir clases, y que nosotros podemos fácilmente encontrar ya que disponen de la sub-llave ShellFolder y dentro el valor Attributes.

Los registros de clases que contienen el valor LocalizedString son firmes candidatas a personalizar ya que contienen dicho valor sólo si objetos basados en la clase aparecen en el interfaz de usuario.

Algunas de las clases registradas que pueden ser interesantes: My computer, My Network places, My documents, Start menu, Web, Administrative tools, Printers and faxes, Folder options, User accounts, …

Podemos personalizar las carpetas que se verán en My Computer (MI PC) por ejemplo, o renombrar iconos del escritorio que no disponen del comando renombrar, etc…

Por ejemplo: Localizamos la clase que pertenece a la papelera de reciclaje, y cambiamos el valor de LocalizedString por el nombre que queremos, vamos al escritorio, F5 y ya está. En este caso el valor contenía la cadena @%SystemRoot%\System32\SHELL32.dll,-8964, que significa que Windows usa la cadena con el identificador 8964 del archivo SHELL32.dll.

Esta sub-llave, LocalizedString, es del tipo REG_EXPAND_SZ, por lo que podemos usar variables de entorno también, al estilo %UserName%.

La ausencia de ésta sub-llave indica que no se muestra su nombre en el interfaz de usuario, aunque a veces sólo hay que añadirla a la clase y darle un valor.

La sub-llave DefaultIcon representa el icono que muestra el objeto al mostrarse en pantalla, podemos cambiar el valor predeterminado para usar otro icono. Para ello usaremos la ruta y nombre de un archivo .ico, o una ruta de recurso, Nombre,Índice, donde Nombre es la ruta del archivo que contiene el icono e índice el número de identificación del mismo.

Los siguientes cambios, en SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer, afectarán a todos los usuarios si se realizan bajo HKLM o a un usuario individual si los hacemos bajo HKCU.

Añadir Iconos al escritorio

Editamos las sub-llaves mencionadas y añadimos una nueva sub-llave dentro de Desktop\NameSpace o ControlPanel\NameSpace o My Computer\NameSpace, con su ID de clase como nombre.

Ocultar Iconos del escritorio

Para ocultar los iconos en MI PC bastaría con añadir la sub-llave HideMyComputerIcons de tipo REG_DWORD con el nombre del ID de la clase del icono a ocultar y el valor 0x01.

En el caso del escritorio, HideDesktopIcons que debe contener dos sub-llaves: ClassicStartMenu y NewStartPanel. La primera oculta iconos cuando se usa el menú de inicio clásico, mientras la segunda es sobre el nuevo inicio. Se añade un REG_DWORD con el nombre del ID de clase del icono y el valor 0x01.

Panel de control

El panel de control en xp incluye una vista por categoría, que divide tareas específicas e iconos del panel en distintas categorías.Podemos añadir un icono del panel en una categoría particular añadiendo un valor REG_DWORD en la llave HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\Extended Properties\{305CA226-D286-468E-B848-2B2E8E697B74} 2. La mayoría ya tiene valores en esta llave por lo que todo lo que hemos de hacer es asignar un ID de categoría a cada una.

Por ejemplo: para colocar la herramienta de Sistema en la categoría Apariencia y temas:

ANTES:

Establecemos el sysdm.cpl de la llave mencionada a 0x01:

DESPUÉS:

Restaurar sistema nos devuelve el equipo a un estado previo sin perder información personal. Esta opción no existe en W2003, pero sí en XP y posteriores. Lo que hace es comprobar los cambios en el equipo y muchas de sus aplicaciones y crear puntos de restauración. Estos snapshots o instantáneas son en realidad las instrucciones para deshacer cambios recientes. Podemos recuperar estas instantáneas en caso de que el sistema no funcione adecuadamente. XP por ejemplo crea puntos de restauración diarios y cuando existen eventos significativos, como instalar nuevas aplicaciones, parches, controladores… Nosotros podemos modificar la programación o incluso usar scripts.

Restaurar sistema crea diversos tipos de puntos de restauración, a saber:

• Comprobación del sistema.

Hay un punto de restauración inicial cuando XP se inicia por primera vez, si lo restauramos a éste punto tendremos el sistema tal cual se instaló y arrancó la primera vez.

Se crean diversos puntos de sistema regularmente, cambie o no el sistema. Normalmente cada 24 horas, si mantenemos apagado el equipo por más de 24 horas se creará en cuanto iniciemos el sistema.

• Instalación.

Cuando instalamos programas que usan instaladores correctos se crea un punto de restauración.

• Actualizaciones automáticas.

Tanto si es por Actualizaciones automáticas como si usamos Windows Update, se crean puntos de restauración.

• Manuales.

Creamos los puntos nosotros mismos mediante Restaurar Sistema o nos montamos nuestro propio Script para que los cree según nuestras preferencias. Por ejemplo: no es mala idea realizar un punto de restauración manual antes de empezar a toquetear el registro y cambiar valores.

• Operaciones de restauración.

Se crean puntos cuando restauramos puntos, es decir, puntos que nos permiten deshacer la propia restauración.

• Controladores no firmados.

Se crean en cuanto instalamos un controlador de dispositivo no firmado. En caso de inestabilidad por dicha instalación, a restaurar.

• Copias de seguridad .

En cuanto realizamos una copia de seguridad usando la utilidad del sistema para recuperar una copia, se crea un punto por si queremos deshacer esa recuperación.

Restaurar Sistema utiliza una cantidad de espacio en disco que hemos de configurar, por supuesto a mayor cantidad de espacio mayor cantidad de puntos pueden guardarse.

Mirar dentro…

Muchos de los archivos y carpetas de Restaurar Sistema están muy ocultos, tanto que no se ven aunque marquemos ver archivos ocultos y de sistema, hemos de añadir la selección de NO ocultar archivos protegidos del sistema.

Los archivos se encuentran en la raíz_del_sistema\System32\Restore, en XP. Además del Rstrui.exe vemos el filelist.xml que es la lista de archivos y configuraciones que Restaurar Sistema controla.

Se excluyen archivos de configuración Legacy –win.ini, system.ini, autoexec.bat y config.sys-, algunas carpetas también en su mayoría nada importantes para el sistema. Se protegen desde los exe y dll hasta VBS y VxD. Si un archivo coincide con las extensiones incluidas y está en una carpeta excluida en filelist.xml, Restaurar Sistema lo sigue, como lo hace con los archivos de sección por-usuario de la rama HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList.

Los archivos de restauración están en cada carpeta de cada volumen: System Volume Information, por supuesto oculta y con ACL. No es aconsejable acceder, ya que hay que cambiar los valores de ACL. Dentro se encuentra una carpeta –restoreEQUIPO (EQUIPO=GUID del equipo):

Que a su vez contiene cada punto de restauración, con la nomenclatura de RPnum donde num es un número incremental que comienza por 1. Cada RPnum contiene las copias de seguridad y archivos eliminados. Restaurar Sistema cambia los nombres de archivos.

Así pues cada RPnum contiene copias de seguridad de los archivos de sección del Registro. Si obtenemos acceso a System Volume Information podríamos cargar estos archivos de sección con Regedit y examinarlos, o recuperar valores si se quiere. En realidad la manera más adecuada para recuperar configuraciones de estos archivos sería usar Restaurar Sistema.

Pero ya que estamos en ello; los archivos de sección que encontraremos dentro de las instantáneas (\snapshot) de un RPnum se ven perfectamente en la imagen:

Restaurar sistema dispone de opciones de administración. Tales como cambiar el tamaño de espacio en disco que usará, incluso deshabilitarlo, o disponer de un par de directivas, como Desactivar restaurar sistema, que deshabilita Restaurar sistema totalmente, y cuando no queremos que los usuarios puedan cambiar su configuración tenemos Desactivar configuración, aunque los usuarios pueden crear sus propios puntos de restauración. Estas directivas son aplicables al equipo.

Personalizar Restaurar Sistema

La llave es HKLM\Software\Microsoft\Windows NT\CurrentVersion\SystemRestore, aquí hallaremos la configuración de Restaurar sistema, que en principio toda la lista de valores son del tipo REG_DWORD en XP, pero no así en Vista o W7.

Valores que pueden modificarse sin riesgo de dañar el equipo

• CompressionBurst
  Tiempo de compresión en segundos antes de entrar en inactividad: tiempo empleado en comprimir los datos antes de que el equipo entre en inactividad. Un servicio puede comprimir datos durante el tiempo especificado y después detenerse. Así, en el siguiente intervalo, podrá repetirse el proceso.
• DiskPercent
  Valor de referencia al porcentaje de espacio de disco que Restaurar sistema usa para almacén de datos. El valor predeterminado es del 12%. Siempre se calcula como el "máximo de (12%, DSMax)", sin importar el tamaño del disco. El tamaño máximo (máximo de) es lo que se especifica en DSMax. Para tamaños de disco inferior a 4GB, el 12% es menos de 400MB, así que el "máximo de (12%, DSMax)" es 400MB. Si es mayor de 4GB, el 12% es más de 400MB, por lo que el "máximo de (12%, DSMax)" es el 12%. Este tamaño no es reservado y sólo se usa si se pide.

Windows Vista:  Recibe un valor desde el servicio Volume Shadow Copy Service (VSS). Es la cantidad máxima de espacio en disco de cada unidad ue puede usar Restaurar Sistema. El valor predeterminado es el 15% del total de la unidad o el 30% del espacio libre el que sea menor.

• DSMax
  Tamaño máximo de almacén de Restaurar sistema. De forma predeterminada son 400 MB. Y como se veía anteriormente se calcula como el "máximo de (12%, DSMax)", sin importar el tamaño del disco.  Discos menores a 4GB será 400MB y en los mayores de 4GB será realmente el 12%.  No es tamaño reservado y se usa si se pide.
• DSMin
  Aquí se refiere al mínimo de espacio libre en disco que Restaurar sistema necesita para poder funcionar durante la instalación, y para que se reactive y reanude la creación de puntos después de deshabilitarse por falta de espacio en el disco.
• RestoreStatus
  Indicación sobre la última restauración: falló (0), correcta (1) o se interrumpió (2).
• RPGlobalInterval
  Valor, en segundos, de espera antes de crear puntos automáticos del equipo durante el tiempo transcurrido. Valor predeterminado, 24 horas.

Windows Vista:  Recibe un valor desde programador de tareas. 0 si el programador está desactivado.

• RPLifeInterval
  Período de vida(TTL), en segundos, de los puntos de restauración. Llegado el momento si un punto de restauración sigue en el sistema, se elimina. Valor predeterminado (7776000) = 90 días.
• RPSessionInterval
  Valor, en segundos, de espera antes de crear puntos de comprobación automáticos del equipo (el tiempo que el equipo ha estado activo). El valor predeterminado es cero (0), lo que significa que esta característica está desactivada.

Windows Vista:  Recibe un 0 si Restaurar Sistema está deshabilitado.

• ThawInterval
  Valor, en segundos, de tiempo que Restaurar sistema espera antes de activarse a sí mismo desde un estado deshabilitado, si se cumplen las condiciones para ello. Si abrimos la ventana de Restaurar sistema, se activa inmediatamente.

Valores que no deben modificarse

• CreateFirstRunRp
  Valor que indica al equipo que cree el primer punto de restauración, como cuando Restaurar sistema se desactiva y se vuelve a activar seguidamente, o lo deshabilitamos e inmediatamente lo volvemos a habilitar. No debe debe modificarse bajo ninguna circunstancia, cualquier modificación puede dejar al equipo irrecuperable.
• DisableSR
  Activa o desactiva Restaurar sistema. Si se desactiva en el Registro, los puntos de restauración existentes no se quitan. No debe modificarse, debe activarse o desactivarse sólo desde la interfaz de usuario.
• RestoreDiskSpaceError
  Indicación al equipo para que muestre un mensaje de error si Restaurar sistema no puede ejecutarse por problemas de espacio en disco. Es informativo.
• RestoreSafeModeStatus
  Indicación de si la última restauración fue en Modo a prueba de errores.
• TimerInterval
  Tiempo de activación, en segundos. Momento u hora en la que Restaurar sistema se "activa" y comprueba su espacio en disco. Predeterminado 120, no debe modificarse ya que puede afectar al rendimiento del equipo.

Vista-W7

Normalmente Windows utiliza el 15% del espacio disponible en la unidad para guardar los puntos de restauración. En XP esta opción se hace desde la pestaña Restaurar Sistema del cuadro de diálogo de las propiedades del Sistema,

Pero esto ya no está en Vista-W7, aunque podemos hacer lo siguiente:

Vamos a la llave del Registro HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\SystemRestore\Cfg

Doble clic en DiskPercent, el valor predeterminado es F (15 en decimal), para cambiar a 10% escribiríamos A.

Si queremos cambiar la frecuencia de los puntos de restauración automáticos:

Vamos a la llave del Registro HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\SystemRestore

Cambiamos el valor RPGlobalInterval que de forma predeterminada es 86400 segundos (24 horas) a por ejemplo: 43200 (a8c0) que serían 12 horas.

Cuando se crean nuevos puntos se van eliminando los viejos si no hay espacio en disco suficiente, al estilo FIFO (Primero en entrar primero en salir).

De forma pretederminada, Vista-W7 elimina puntos de restauración a los 136 años, je! en XP eran 90 días.

Pero bueno, lo podemos cambiar en valor RPLifeInterval, por ejemplo al valor que tenía XP, 7776000 (76A700).

Para ver el espacio que ocupan los puntos de restauración, más abajo indico los comandos de vssadmin necesarios.

Utilidad para crear puntos de restauración

Para cambiar la frecuencia de los puntos automáticos sin tocar el registro:

vssadmin

Un punto de restauración es ahora un tipo de Shadowcopy. Los puntos de restauración se crean con File Backup, Complete PC backup, la tarea diaria de system restore y en las instalaciones de aplicaciones y controladores.

Las shadowcopy que crea Complete PC no son puntos de restauración, aunque ambos tipos de copia existan en el mismo lugar de almacenamiento de cada volumen.

El lugar de almacenamiento de las shadowcopy es por tanto el area destinada en cada volumen para el almacenamiento de cada shadow copy.

El comando vssadmin list shadowstorage (con privilegios) obtiene como salida:

con vssadmin resize shadowstorage podemos cambiar el tamaño del espacio en el volumen deseado, y, con vssadmin list shadows obtendremos una salida resumen, como:

------------------------------

Microsoft Windows [Versión 6.1.7600]
Copyright (c) 2009 Microsoft Corporation. Reservados todos los derechos.

C:\Windows\system32>vssadmin list shadows
vssadmin 1.1 - Herramienta administrativa de línea de comandos del Servicio de instantáneas de volumen. (C) Copyright 2001-2005 Microsoft Corp.

Contenido de  id. de conjunto de instantáneas: {357f2227-c25f-49b5-8133-9f9fde3e4666}
   Contenía 1 instantáneas en el momento de su creación: 09/12/2009 09:02:24
      Id. de instantáneas: {18fbf63d-a4b8-43c6-b52e-4f2c8e4856e4}
         Volumen original: (C:)\\?\Volume{7113d9e8-3624-11de-b05a-806e6f6e6963}\

         Volumen de instantáneas: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1
         Equipo de origen: Juansa-PC
         Equipo de servicio: Juansa-PC
         Proveedor: 'Microsoft Software Shadow Copy provider 1.0'
         Tipo: ClientAccessibleWriters
         Atributos: Persistente, Accesible para el cliente, Sin liberación automática, Diferencial, Recuperado automáticamente

Contenido de  id. de conjunto de instantáneas: {46713632-9da9-4348-9475-0dea7c78a04f}
   Contenía 1 instantáneas en el momento de su creación: 09/12/2009 09:16:04
      Id. de instantáneas: {13a94392-3d04-4ecc-b8e7-cb1cb5390924}
         Volumen original: (C:)\\?\Volume{7113d9e8-3624-11de-b05a-806e6f6e6963}\

         Volumen de instantáneas: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy2
         Equipo de origen: Juansa-PC
         Equipo de servicio: Juansa-PC
         Proveedor: 'Microsoft Software Shadow Copy provider 1.0'
         Tipo: ClientAccessibleWriters
         Atributos: Persistente, Accesible para el cliente, Sin liberación automática, Diferencial, Recuperado automáticamente

Contenido de  id. de conjunto de instantáneas: {ccd27605-a70e-4dba-9cb1-33b818eb8110}
   Contenía 1 instantáneas en el momento de su creación: 11/12/2009 07:48:21
      Id. de instantáneas: {89bf1497-9510-4b81-9e33-bdbe0cd45378}
         Volumen original: (C:)\\?\Volume{7113d9e8-3624-11de-b05a-806e6f6e6963}\

         Volumen de instantáneas: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy3
         Equipo de origen: Juansa-PC
         Equipo de servicio: Juansa-PC
         Proveedor: 'Microsoft Software Shadow Copy provider 1.0'
         Tipo: ClientAccessibleWriters
         Atributos: Persistente, Accesible para el cliente, Sin liberación automática, Diferencial, Recuperado automáticamente

Contenido de  id. de conjunto de instantáneas: {e8c1e12b-063d-46ef-839c-bac5d5f39fe3}
   Contenía 1 instantáneas en el momento de su creación: 15/12/2009 08:06:04
      Id. de instantáneas: {9f0aae64-ffa8-4f52-9c16-0ddb228a825e}
         Volumen original: (C:)\\?\Volume{7113d9e8-3624-11de-b05a-806e6f6e6963}\

         Volumen de instantáneas: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy4
         Equipo de origen: Juansa-PC
         Equipo de servicio: Juansa-PC
         Proveedor: 'Microsoft Software Shadow Copy provider 1.0'
         Tipo: ClientAccessibleWriters
         Atributos: Persistente, Accesible para el cliente, Sin liberación automática, Diferencial, Recuperado automáticamente

Contenido de  id. de conjunto de instantáneas: {fb976c3b-5c64-44d3-be68-2d7a9c3c8bf0}
   Contenía 1 instantáneas en el momento de su creación: 15/12/2009 09:43:18
      Id. de instantáneas: {774842c6-7163-4db8-b2ad-9396e72fbc07}
         Volumen original: (C:)\\?\Volume{7113d9e8-3624-11de-b05a-806e6f6e6963}\

         Volumen de instantáneas: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy5
         Equipo de origen: Juansa-PC
         Equipo de servicio: Juansa-PC
         Proveedor: 'Microsoft Software Shadow Copy provider 1.0'
         Tipo: ClientAccessibleWriters
         Atributos: Persistente, Accesible para el cliente, Sin liberación automática, Diferencial, Recuperado automáticamente

C:\Windows\system32>

-----------------------

Ya que mencionaba el consejo de hacer copia del registro antes de manipularlo…

seguridad ante todo

Es fácil olvidarse de hacer una copia de seguridad antes de cualquier cambio, por simple que sea. Pero, ¿Cómo sabemos que ese pequeño cambio no causará un error grave? No lo sabemos, así qué hay que hacer una copia de seguridad ‘siempre’ antes de cualquier cambio.

Para realizar las copias de seguridad distinguiremos varios aspectos:

- Copia de valores, que podremos restaurar rápidamente en el registro.

- Exportar la parte del registro que nos interese guardar a un archivo REG.

- Exportar las ramas hacia archivos de sección (hive files).

Cualquiera de los tres nos servirá para recuperar el registro en la mayoría de los casos.

copiar valores

Una manera fácil de copia de seguridad de los valores antes de cambiarlos:

Renómbralos. Es decir, cambia su nombre original, añadiéndoles algo que te indique que es una copia, incluso añade la fecha si quieres hacer un seguimiento de cambios. Por ejemplo:

Tenemos una copia del valor deseado en el propio registro, que podemos recuperar rápidamente con eliminar el nuevo y cambiarle el nombre al marcado como COPIA.

Exportar a REG

Manera de tener una copia para restaurarla desde un archivo.

1. Seleccionamos la rama a exportar.
2. Menú Archivo y Exportar
3. Elegiremos la opción Rama seleccionada
4. Le daremos un nombre al archivo REG
5. Ya tenemos un archivo con datos copiados del registro y listo para integrarlo de nuevo con un doble clic.

¿Que pasa al intentar integrarlo de nuevo?

Si el valor no existe en el REG ni en el Registro: NADA

Si el valor no existe en el REG pero sí en el Registro: El valor del registro no cambia ni se elimina.

Si el valor existe en el REG pero no en el Registro: El valor se añade al registro

Si el valor existe tanto en el REG como en el Registro: El valor del registro se modifica con el valor del archivo REG.

Exportar a archivos de sección

Dicen que es la mejor manera de tener copias de seguridad del Registro. Cuando importamos un archivo de sección con una llave, Regedit reemplaza la llave y todas sus sub-llaves con los valores del archivo. Es decir, se eliminará cualquier valor añadido desde la copia del archivo de sección.

Exportar a un archivo de sección es similar a hacerlo a un archivo REG, tan sólo hemos de cambiar el tipo de archivo en el cuadro de diálogo de exportar en lugar de REG y darles la extensión que consideremos más oportuna.

Para importar uno de estos archivos, haremos lo mismo después de escoger la acción Importar del menú Archivo.

No confundamos importar/exportar con cargar/descargar. Al importar realizamos cambios en el registro, mientras que al cargar creamos una nueva rama entera que Windows no usa, y sólo nos servirá para examinarla. El descargar sólo descargará archivos que hayamos cargado manualmente.

Considerando que la importación de un archivo de sección es una buena manera de restauración de una rama entera, cargar el archivo es un buen método de comprobación de valores originales.

Cargamos un archivo en el registro, el que contiene nuestros valores, Regedit nos solicita un nombre de llave, le damos uno que nos identifique la sección; ahora disponemos de una visión de los valores que contienen el archivo y que podemos comparar con los valores de la misma rama que hay actualmente en el registro, pudiendo copiar los actuales y pegar los que tenemos guardados con el fin de configurar lo deseado.

RECUERDA DESCARGAR EL ARCHIVO ANTES DE CERRAR EL REGISTRO!!

Finalmente, una utilidad vía línea de comandos es REG.EXE. Nos ofrece muchas de las características de Regedit y algunas otras más.

Como comenta Iván, manipular el registro no está exento de su peligrosidad, así que haciendo caso de su consejo OS RECUERDO:

HACER COPIA DE SEGURIDAD DEL REGISTRO ANTES DE CUALQUIER MANIPULACIÓN DEL MISMO. UN MAL USO PODRÍA DEJAR AL SISTEMA DAÑADO Y SIN RESPONDER!!!