Solución de problemas de procesos y servicios

Al final del último artículo, te burlé de que ni siquiera habíamos comenzado a administrar y solucionar problemas de aplicaciones, procesos y servicios de Windows. Esto se debe a que mantener la compatibilidad para programas y software antiguos (heredados) y administrar la tienda de Microsoft y las aplicaciones de tiendas de terceros es solo una pequeña parte de lo que se ofrece. Seamos realistas, mientras hay muchos millones de personas muy felices de vivir exclusivamente dentro de un navegador web para banca, compras, mensajes, correo electrónico y trabajo, no hay sustituto para una PC o computadora portátil de escritorio completa. Mi dispositivo móvil principal mientras escribo esto se llama Astro Slide, disponible en www.planetcom.co.uk. Es un dispositivo portátil con una pantalla deslizante de 6.39 pulgadas y un teclado completo (ver Figura 13-1).

Figura 13-1. El astro de la astro de las computadoras planetas

A medida que van los dispositivos móviles, este es un dispositivo fantástico para "hacer cosas" mientras están en movimiento, y es popular entre todas las personas que necesitan escribir mensajes y correos electrónicos más largos a los codificadores que desean trabajar en movimiento. El dispositivo, y esta es una de las razones por las que lo menciono aquí, también es popular entre los administradores de sistemas de TI y los técnicos de centros de datos que necesitan acceso a un entorno de secuencias de comandos (el Astro ejecuta Android y Linux) para la configuración del lado del servidor y la solución de problemas. Esto puede suceder en casi cualquier momento, y tener un dispositivo en el que se puede hacer, justo en su bolsillo, significa que la respuesta puede ser más rápida y que el técnico no tiene que llevar una computadora portátil voluminosa con ellos todo el tiempo.
Sin embargo, tan bueno que sea el Astro, este libro tiene alrededor de 600 páginas o más (difícil de ser preciso en este punto de escribirlo, ya que mi último libro fue corrido por más de 100 páginas, había mucha información excelente para incluir), y Simplemente no podía escribir este o cualquier otro de sus capítulos en un teclado portátil, sin importar cuán bueno fuera.
Para esto, necesito una PC completa; Tampoco me llevo a cabo con las computadoras portátiles para "trabajo real", prefiriendo la ergonomía que viene con un teclado completo, mouse y un monitor de buen tamaño a una distancia que proporciona mi PC de escritorio. Pero esto también me lleva al software. Podría, se podría argumentar, poder escribir este libro perfectamente bien en Microsoft Word Online, la versión basada en la web despojada del navegador web.
A esto, hay tres respuestas. En primer lugar, las características y la funcionalidad de la versión en Web basada en Word no proporcionan todas las características y funcionalidades que necesito escribir, editar y revisar un libro con mis editores. En segundo lugar, he comprado una suscripción de Microsoft 365 que viene con la versión completa de escritorio de Office de todos modos, y por lo tanto, ¿por qué compraría una potente PC de escritorio y luego usaría cosas en un navegador?
Entonces, para mi forma de llegar al punto, todos necesitamos software, ya sea esta oficina de Microsoft, gerentes de relaciones con el cliente, recursos humanos, cuentas y paquetes de logística, paquetes personalizados (a medida) escritos especialmente para el negocio o suites grandes de software de audio, video o edición de fotos, diseño asistido por computadora (CAD), diseño y representación de gráficos por computadora, entornos de programación, etc. La lista de tareas para las que aún necesitamos un paquete de software adecuado no se pondrá más corta en la próxima década más o menos.
Sin embargo, podrías sentir uno de los que vienen, ¿no? El uso creciente de aplicaciones en línea y aplicaciones web progresivas (PWA) y personas que desean vivir en sus navegadores web significan que necesitamos mantener la compatibilidad, así que comencemos allí.

Internet Explorer está muerto ... ¡Long Live Internet Explorer!

El navegador web de Internet Explorer (IE) de Microsoft, que se introdujo por primera vez en el opcional "¡Plus!" Empacar para Windows 95 y ni siquiera incluido con el sistema operativo en ese momento, está oficialmente muerto ... más o menos.
Todo el soporte para el navegador finalizó el 15 de junio de 2022, sin que se emitan más parches de seguridad o estabilidad ... que nuevamente no es cierto, ya que todavía está incluido con Windows 10, y Microsoft se ha comprometido a apoyarlo para clientes empresariales solo durante tanto tiempo durante tanto tiempo durante tanto tiempo durante mucho tiempo. Como el sistema operativo también obtiene soporte.
Sin embargo, Internet Explorer, sin embargo, podría preguntar, nunca se ha incluido con Windows 11, entonces, ¿por qué mencionarlo aquí? Bueno, hay muchas organizaciones y corporaciones que, de la misma manera que tienen programas heredados para instalar, también utilizan sistemas heredados de intranet y sitios web que no juegan bien con los navegadores web modernos.
Este soporte, proporcionado en el navegador web Edge de Microsoft, será compatible hasta "al menos 2029" según Microsoft. Entonces, ¿cuál es este soporte y cómo puede aprovecharlo?
Puede encontrar el modo de compatibilidad de Internet Explorer en la configuración de Edge, en el navegador predeterminado (consulte la Figura 13-2).

Figura 13-2. Puede administrar la compatibilidad de Internet Explorer en Edge

Hay tres opciones disponibles para usted. El primero es permitir que abra sitios de sitio web e intranet en el borde. Las opciones nunca son sitios incompatibles solamente y siempre (recomendados). Debajo de esto se encuentra una opción para elegir qué sitios web e intranet desea abrir en modo de compatibilidad IE; Las opciones son predeterminadas, permiten y no lo permiten.
Por último, puede agregar sitios web específicos y sitios de intranet a la función utilizando el botón Agregar. Escriba o corte y pegue la dirección de su navegador para agregarla. Sin embargo, un inconveniente es que esto expira después de un mes y necesita ser actualizado (ver Figura 13-3), por lo que es mejor administrar esta característica a través de la política de grupo o la configuración del lado del servidor si puede.

Figura 13-3. Puede agregar sitios web e intranet al modo de compatibilidad de IE

Para establecer estas políticas, abra la política de grupo buscando GPEDIT en el menú de inicio y navegue a la configuración de la computadora ➤ Plantillas administrativas ➤ Componentes de Windows ➤ Microsoft Edge. Aquí, encontrará varias políticas de IE 11 que incluyen "Enviar todos los sitios de intranet a Internet Explorer 11" (ver Figura 13-4).

Figura 13-4. Puede administrar la compatibilidad de IE en la política grupal

¿Uso de aplicaciones web instaladas y un sistema operativo Edge?

Microsoft ha estado perdiendo a Google en el mercado educativo ahora durante años, y el sistema operativo Chrome del rival ha hecho fuertes incursiones debido a ser lo suficientemente livianos como para funcionar con hardware de gama baja y no requerir reinicios para grandes actualizaciones. En tiempos más recientes, Google ha comenzado a hacer avances impresionantes en el sector empresarial, y esta es una amenaza real y creíble para Microsoft, no solo para Windows sino para las ventas de Microsoft 365, Office y sus servicios en la nube Azure, todos los cuales Google tiene un competidor (no tan bueno).
En los últimos meses, ha habido rumores que circulan sobre Edge OS, una versión súper iluminada de Windows 11 que contiene solo el navegador web Edge (que ahora se basa en el motor del navegador Chromium de Google de todos modos) y la tienda Microsoft.
Este nuevo sistema operativo, si existe y se lanza, podría competir mucho más fácilmente con Chrome OS, y la adición de aplicaciones de Android a través del complemento de Amazon AppStore ciertamente ayudaría a este respecto.
En Windows 11 puede usar Edge para instalar sitios web como si fueran aplicaciones y administrarlas en el navegador. Estas se llaman aplicaciones web progresivas (PWA). Un grupo de trabajo que incluye a Apple, Google, Microsoft, Sony, Samsung y el Consorcio web mundial (W3C) está diseñando estándares apropiados de compatibilidad y operabilidad para PWA, que incluyen poder trabajar mientras están fuera de línea y acceder a archivos que también se almacenan fuera de línea.
El navegador web Edge de Microsoft es totalmente compatible con PWAS, pero también le permite instalar cualquier sitio web como si fuera una aplicación, con la advertencia de que los sitios que no son PWA aún no funcionarán sin una conexión a Internet.
Puede instalar un sitio web como una aplicación en el menú Configuración de Edge, haciendo clic en aplicaciones e instalar este sitio como una aplicación (consulte la Figura 13-5).

Figura 13-5. Cualquier sitio web se puede instalar como una aplicación en el borde

Con la aplicación instalada, se le pregunta si desea fijar su icono al menú de inicio o la barra de tareas o agregar un enlace al escritorio e incluso iniciar la "aplicación" cuando inicia sesión en Windows (consulte la Figura 13-6).

Figura 13-6. Puede fijar aplicaciones web al menú de inicio y barra de tareas

Con la aplicación instalada, puede ejecutarla como si fuera cualquier otra aplicación (ver Figura 13-7), y aparecerá en su propia ventana en el escritorio.

Figura 13-7. Puede ejecutar sitios web instalados como si fueran una aplicación normal

Cuando necesite administrar o eliminar una aplicación web, lo hace desde el borde. Nuevamente, desde la configuración del navegador, haga clic en aplicaciones y luego haga clic en Administrar aplicaciones. Esto abrirá una pestaña del navegador que muestra todas las aplicaciones que ha instalado (consulte la Figura 13-8). Desde aquí, puede obtener detalles de la aplicación, como cualquier permiso que esté configurado para ella.

Figura 13-8. Administra aplicaciones web instaladas desde el navegador

Además, ya sea desde el panel de detalles o del icono de tres puntos en la esquina superior derecha de la información de la aplicación, puede encontrar una opción de desinstalación.

Usando el administrador de tareas del navegador

Así como Windows 11 tiene su propio administrador de tareas para administrar procesos y servicios en ejecución, también lo hace Edge, y esta es una de las razones por las que algunas personas sospechan que Edge OS es algo real. Desde el menú Configuración de borde, haga clic en más herramientas y luego al administrador de tareas del navegador. Esto abre un administrador de tareas bastante básico en el que puede ver pestañas y procesos que se ejecutan dentro del navegador (ver Figura 13-9).

Figura 13-9. Puede administrar procesos colgados directamente desde el navegador

Haga clic con el botón derecho en cualquier lugar dentro del Administrador de tareas del navegador mostrará un menú de métricas disponibles, como la hora de la CPU, la hora de inicio, la memoria GPU y la prioridad del proceso.
Si necesita cerrar un proceso que se ha colocado o se portó mal, puede hacerlo haciendo clic en el proceso y luego haciendo clic en el botón Final Process en la esquina inferior derecha de la ventana.
Administración avanzada de los procesos y servicios de Windows Mientras estamos en el tema del Administrador de tareas, recordará que en el Capítulo 12 detallé cómo puede usar el Administrador de tareas de Windows 11 para administrar los procesos de ejecución.
En realidad, es más poderoso que esto, ya que hay controles avanzados disponibles en la pestaña Detalles.
Si necesita cerrar cualquier proceso en la PC que haya colgado, así como puede con la pestaña Procesos, puede hacer clic con el botón derecho en cualquier proceso y seleccionar la tarea final del menú contextual que parece cerrarlo; A veces, sin embargo, necesita más control, especialmente si varios procesos dependientes también se están ejecutando que necesita cerrar.
Aquí es donde la pestaña Detalles entra en sí. Esta es una versión más técnica y más detallada de la pestaña Procesos e incluye absolutamente todo lo que se ejecuta en la PC, incluidos los archivos DLL. Aquí, si necesita cerrar una aplicación con todas sus dependencias, tal vez porque una dependencia abierta le impide reiniciar la aplicación, puede hacer clic con el botón derecho y seleccionar el árbol de proceso final del menú contextual (consulte la Figura 13-10).

Figura 13-10. Puede cerrar un proceso y todas sus dependencias de la pestaña Detalles

Se hace clic con el botón derecho en un proceso en la pestaña Detalles que también puede elegir opciones adicionales:

• La prioridad establecida le permite establecer una prioridad de procesamiento para el proceso, de bajo a tiempo real. Esto es útil si necesita o desea darle al proceso más potencia de procesamiento, como al renderizar videos.
• Establecer afinidad le permite elegir qué núcleos de procesador físico y virtual serán utilizados por el proceso.
• Analice las pantallas de la cadena de espera qué procesos están utilizando o están esperando usar un recurso que esté actualmente en uso o bloqueado por otro proceso.
• La virtualización de UAC ofusca la ruta para una carpeta de destino que el proceso debe escribir y, en su lugar, lo presenta un contenedor virtualizado, una especie de enlace simbólico a esa ruta. Esto se puede usar cuando un programa anterior necesita permisos que normalmente están bloqueados por el control de la cuenta del usuario.
• Crear archivo de volcado creará un archivo .dmp binario con datos sobre lo que el proceso está haciendo en ese momento y guardará el archivo en la carpeta %AppData %\ TEMP en su disco duro. Esto se puede leer más tarde utilizando un programa compatible como el Kit de desarrollo de software de Windows para ver qué estaba sucediendo con la aplicación y su uso de PCResource en ese momento.
• La ubicación del archivo abierto abrirá una ventana del explorador de archivos en la ubicación de instalación de ese proceso ejecutable o dll.
• Search Online abrirá una ventana de búsqueda en busca de detalles sobre el proceso.
• Las propiedades abrirán un panel Inspector de Propiedades para ese proceso.
• Vaya a los servicios cambiará a la pestaña Servicios, y los veremos más adelante en este artículo.

Servicios de administración y solución de problemas

Los servicios son programas que se ejecutan en segundo plano en su PC y que realizan tareas específicas, como administrar colas de impresión, implementar la seguridad y el manejo del tráfico de red. Esencialmente, son programas que permiten al software utilizar hardware y características de su PC y de Windows y que son llamados y compartidos por diferentes aplicaciones en la PC simultáneamente.
Esto está en marcado contraste con cómo se hicieron las cosas en los primeros días de las PC. En mi oficina en casa, he creado mi propio museo de computadoras (disponible en https://windows.do/my-computer-museum para aquellos que están interesados). Entre los muchos dispositivos de palma de palma y portátiles de los que siempre he sido fanático, como estoy seguro de que adivinaste al comienzo de este capítulo, y clásicos como un Apple Macintosh original y una PC IBM 5150 de primera generación con un Copia de WordPerfect 5.1.
Me encantó este procesador de palabras y lo logré mucho con él. Sin embargo, una de sus idiosincrasias era que entre los muchos discos disquetes de 5¼ pulgadas que apareció fueron los discos que contenían conductores para las impresoras más comunes disponibles en ese momento. Como WordPerfect 5.1 era un programa DOS, no había cosas como servicios de impresión; Necesitaba cargar el controlador de impresora correcto en el programa cuando necesitara imprimir un documento.
En estos días, los servicios son algo que damos por sentado. Sin embargo, pueden causar problemas, especialmente cuando tiene servicios que se comparten entre diferentes aplicaciones en ejecución en la PC, y doblemente cuando considera que estos no solo están escritos por Microsoft, sino que también provienen de compañías de software de terceros.
Task Manager en Windows 11 contiene su propia pestaña de servicios a partir de la cual puede administrar los servicios, pero solo es realmente útil para poder buscar en línea en un clic derecho para un servicio si no está seguro de lo que es (ver Figura 13- 11).

Figura 13-11. Task Manager le permite buscar detalles en línea de los servicios

El mejor lugar para administrar y solucionar problemas es directamente del panel de servicios. Puede acceder a esto desde Windows Tools o desde una búsqueda de menú Inicio. Cuando se abra, verá su tarifa estándar de consola de administración de Microsoft (MMC) y contiene una lista completa de todos los servicios instalados en la PC, junto con su estado actual (detenido, en ejecución, suspendido) y su tipo de inicio (discapacitado, manual , Automático) (ver Figura 13-12).

Figura 13-12. El Servicio MMC es el mejor lugar para administrar y solucionar los servicios

Consejo: One Advantage Task Manager tiene sobre los Servicios MMC es que enumera el PID (identificador de proceso) para ejecutar servicios. Esto es útil si necesita coincidir con un PID en un informe de visor de eventos a un servicio en la PC para identificarlo.

Al hacer clic en los encabezados de la columna en los servicios, le permitirá ordenarlos mediante ese tipo de columna, por lo que puede, por ejemplo, agruparlos por estado para facilitar la vista de todos los servicios en ejecución y detenidos.
Si sospecha que un servicio se ha bloqueado o se está portando mal, puede reiniciarlo, detenerlo o comenzar desde un clic derecho (ver Figura 13-13).

Figura 13-13. Puede comenzar, detener y reiniciar los servicios desde un clic derecho

Consejo: La opción de pausa para los servicios es útil cuando detener un servicio dará como resultado que se genere un error y quizás un programa que se bloquee. También es útil al diagnosticar infecciones por malware, que veremos en el Capítulo 18, cuando detener un servicio puede hacer que el malware inicie una nueva instancia de ese servicio.

Cuando necesite un control más fino sobre un servicio, haga clic con el botón derecho y seleccione Propiedades en el menú que aparece. Esto mostrará un cuadro de diálogo con cuatro pestañas (ver Figura 13-14).

Figura 13-14. Puede obtener un buen control sobre los servicios en Windows

La primera pestaña, General, contiene botones para comenzar, detener, detener y reanudar el servicio además de poder cambiar su "tipo de inicio". La forma en que los servicios comienzan en Windows están determinados por el autor del servicio, y determinarán la mejor manera de iniciar los servicios.
Sin embargo, puede encontrar, para un ejemplo, que un servicio está causando que una PC comience lentamente o tarda mucho en llegar al escritorio después del inicio de sesión. Esto puede suceder en el hardware de gama baja si se ejecutarán muchos servicios cuando un usuario firma. Si identifica servicios que no se necesitarán durante los primeros minutos, tal vez un servicio de impresora, puede configurarlos Un inicio retrasado que comenzará en silencio en segundo plano después de que el usuario ya esté en el escritorio y puede comenzar a trabajar.
En la pestaña Iniciar sesión, verá que el servicio seguramente se configurará para iniciar sesión como la cuenta del sistema local (ver Figura 13-15). Esto permite que el sistema sea administrado correctamente por Windows. Sin embargo, puede tener un servicio personalizado en su organización que requiere credenciales de inicio de sesión específicas, ya sea por razones de seguridad o permiso.

Figura 13-15. Puede establecer credenciales de inicio de sesión para un servicio

Si bien esta situación es rara, puede ser útil. Para dar solo un ejemplo, es posible que tenga un servicio de seguridad en ejecución que necesita privilegios elevados que el usuario no tenga, para que pueda acceder a una tienda de carpetas segura en la red. Aquí, puede dar al servicio acceso al entorno seguro sin necesidad también de pasar esos permisos al usuario final.
Es en la pestaña Recuperación de recuperación que encontrará todas las herramientas de solución de problemas para los servicios (ver Figura 13-16). Aquí, puede decirle a la PC qué debe hacer si un servicio falla o se bloquea.

Figura 13-16. Puede solucionar problemas de los servicios desde la pestaña de recuperación

Las opciones predeterminadas para un servicio variarán de un servicio a otro, pero son las siguientes:

• No tome ninguna medida para que cuando el servicio se bloquee, se detenga.
• Reinicie el servicio que comenzará el servicio nuevamente o al menos intentar reiniciarlo. Opcionalmente, puede especificar un retraso en minutos para que el servicio se reinicie después.
• Ejecute un programa que le permitirá especificar un programa o script para ejecutar, con parámetros de línea de comandos opcionales. Esto se puede usar para informar errores, reinstalar o reiniciar el servicio, o ejecutar una herramienta de diagnóstico.
• Reinicie la computadora que se usa mejor solo para máquinas independientes que no tienen un usuario que interactúe con ellas, ya que podrían enojarse. Si tiene una PC dedicada que se ejecuta como un cajero automático, un controlador de fabricación o un dispositivo médico, entonces hacer que Windows reinicie automáticamente la PC a menudo puede ser una buena manera de mantener el sistema en funcionamiento.

Estas opciones están disponibles para las fallas de primera, segunda y posterior, y puede restablecer [el] recuento de falla después de un número específico de días.
Por último, la pestaña Dependencias le dirá si algún otro servicio de Windows depende de este (ver Figura 13-17). Es más común que un servicio se mantenga por sí solo, pero puede encontrar que algunos servicios llaman y requieren el uso de otros. Estos también pueden bloquearse y verse afectados cuando falla un servicio, y es posible que también deba reiniciar o solucionarlos.

Figura 13-17. Puede ver cualquier servicio que dependa del seleccionado

Gestión y solución de problemas de procesos y servicios con PowerShell

Como es de esperar, PowerShell viene con una variedad de comandos para administrar y solucionar procesos y servicios. Puede obtener información sobre la ejecución de procesos en una PC local o remota con el comando Get-Process. También hay diferentes opciones y subcomandos con los que puede usar esto para profundizar en procesos específicos en la PC para obtener datos sobre ellos, y puede leer sobre estos subcomandos en el sitio web de Microsoft Docs.
Windows y los servicios de terceros pueden interrogarse de la misma manera con el comando GetService. Puede usar este comando por sí solo para ver el estado de todos los servicios instalados o en uno de los siguientes formatos:

• Get Service "Net*" para enumerar los servicios que comienzan con los caracteres SET pero continúan usando un comodín.
• Get -Service -DisplayName "*Network*" para mostrar servicios que tienen una palabra o término específico en su nombre descriptivo.
• Get -Service -Name "Net*" -Exclude "NetLogon" para buscar servicios, pero para excluir los específicos de los resultados.
• Get-Service | Where -Object {$ _. Status -eq "en ejecución"} para obtener una lista de los servicios de ejecución actuales. Esto también se puede usar con los subcomandos "detenidos" y "suspendidos".

Puede leer más sobre cómo administrar los servicios utilizando PowerShell en el sitio web de Microsoft Docs.
Algunos comandos muy útiles para administrar procesos y servicios en una PC incluyen stop-process, start-process, stop-servicio, servicio de inicio y quizás uno de los más útiles, especialmente con servicios problemáticos de terceros, servicio de suspensión y reinicio -Servicio. Se puede encontrar más información sobre cómo funcionan estos comandos útiles y simples en el sitio web de Microsoft Docs.

Procesos y servicios de solución de problemas con Microsoft Sysinternals

Sysinternals Suite de Microsoft contiene una gran cantidad de herramientas y utilidades para administrar procesos y servicios en una PC, tanto localmente como para PC remotas en una red. Puede descargar sysinternals desde https://docs.microsoft.com/sysinternals.

PSTOOLS

PTools no es una sola utilidad, pero es un conjunto completo de utilidades para administrar sistemas de PC de forma remota. Incluye utilidades que pueden ejecutar aplicaciones de forma remota, mostrar información sobre archivos y usuarios, matar procesos, obtener información detallada sobre los procesos y cerrar y reiniciar la PC. Los detalles completos de las herramientas disponibles y sus interruptores se pueden encontrar en el sitio web de Sysinternals.

Psexeco

Este comando se utiliza para ejecutar procesos en una PC remota. Use esto en el formato psexec \\ remotePc "C: \\ Long Name.exe".

PSFILE

PSFile, también detallado anteriormente en este capítulo, mostrará una lista de archivos que actualmente están abiertos en una PC remota. Use esto en el formato psfile [\\ remotePC [-U opcionalUsername [-p userPassword]]] [[ID | PathandNameOffile] [-c tOcloseFile].

Psgetsid

Esta herramienta se utiliza para mostrar el identificador de seguridad (SID) de una computadora o usuario remoto. Úselo en el formato psgetsid [\\ remotePC [ remotePC [ ...] | @file \] [-u OpcionalUsernam [-p userPassword]]] [cuenta | Sid].

Psinfo

PSINFO puede mostrar información sobre una computadora remota. Puede usar esto con el Switch \\ RemotePC para una PC específica o \\* para ejecutarlo en todas las PC en red. También puede usarlo con estos interruptores para obtener información detallada sobre [-h] hotasas instaladas, [-s] aplicaciones instaladas e información de disco [-d] y usar [-c] para exportar los datos como un archivo CSV.

PSPing

PSPing hace exactamente lo que puede esperar: muestra información detallada de ping para probar las conexiones de red. Es una utilidad de línea de comandos que es mucho más configurable que el comando de ping estándar de Windows 10. PSPing se usa con uno de los cuatro interruptores principales y luego una serie de subswitches para probar ICMP (el protocolo principal utilizado por los enrutadores para informar errores), TCP, latencia y ancho de banda. Los detalles completos de los conmutadores están disponibles en el sitio web de Sysinternals.

Pskill

Si necesita matar un proceso en ejecución en una PC remota, entonces PSKill es la herramienta para usar. Úselo en el formato pskill [-] [-t] [\\ remotePC [-optionAlUsername [-p userPassword]]] donde [-] muestra una lista de opciones compatibles, y [-t] mata no solo el proceso sino también todos sus procesos dependientes.

Lista

PSList mostrará información detallada sobre los procesos que se ejecutan en una PC remota. Úselo con los conmutadores [-d] para mostrar detalles adicionales, [-m] para mostrar información de uso de la memoria y [-t] para mostrar árboles de proceso.

Psloggedon

Esta herramienta mostrará detalles de cada usuario actualmente iniciado (iniciado sesión) a una PC remota. Esto se puede usar con el conmutador [-l] para mostrar solo las cuentas que se registran en la PC localmente, y no en la red.

Pislista

Esto se utiliza para crear un volcado de registros de registro de eventos desde una PC remota. Hay bastantes interruptores y comandos para esta utilidad, que puede ver en la Tabla 13-1. Lo usa en el formato pslogList [-] [\\ remotePC [ remotePC [ ...] | @file [-u OpcionalUsername [-p userPassword]]] [-s [-t delimitador]] [-m #| -n #| -h #| -d #| -w] [-c] [-x] [-r] [-a mm/dd/yy] [-b mm/dd/yy] [-f filtro] [-i id [ id [ ...] | -e id [ id [ ...]]] [-o Fuente de eventos [ fuente de eventos] [ ..]]] [-q Fuente de eventos [ fuente de eventos] [ ..]] [- l Archivo de registro de eventos] .

PSPASSWD

Esta herramienta de seguridad se puede usar para cambiar las contraseñas de la cuenta en una PC remota. Úselo en el formato pspasswd [[\\ remotePC [ remotePC [ ..] | @File [-U UserName [-p Password]]] UserName [NewPassword].

PSService

Esto le permite ver y controlar los servicios en una PC remota. Úselo en el formato psservice [\\ remotePC [-U OpcionalUsername] [-p userPassword]] .

Psshutdown

PSSHUTDOWN se puede usar para apagar o reiniciar una PC remota. Esto se puede usar con los siguientes interruptores útiles: [-f] para obligar a todas las aplicaciones a cerrar de inmediato en lugar de darles tiempo para cerrar por su cuenta; [-l] para bloquear la PC remota; [-m] para mostrar un mensaje para aparecer en la pantalla para cualquiera que use la PC cuando comienza el recuadro de cierre, que se puede configurar con el conmutador [-t xx], el valor predeterminado es de 20 segundos; [-r] para reiniciar la PC; y [-c] para permitir que el apagado sea abortado por alguien que todavía usa la PC remota.

Psuspend

Si necesita suspender un proceso en una PC remota, esta herramienta hará el trabajo. Úselo en el formato pssuspend [-] [-r] [\\ remotePC [-U OpcionalUsername] [-p userPassword]] donde [-r] reanuda los procesos suspendidos después de haber sido suspendidos previamente.

Autorunas

Cómo administrar programas de inicio y aplicaciones en Windows 11, pero en realidad hay considerablemente más que comienza con el sistema operativo que quizás no conozca. Estos incluyen códecs de audio y video, bibliotecas de enlaces dinámicos (DLL), tareas programadas, controladores, servicios y más. Autoruns le permite examinar absolutamente todo lo que comienza con la PC para que si recibe un error en el inicio o cuando un usuario inicia sesión, puede encontrar y deshabilitar el elemento ofensivo (consulte la Figura 13-18). Esto a menudo puede suceder cuando un programa no se instala incorrectamente, tal vez debido a un error o tal vez porque es un desinstalante más antiguo o mal escrito.

Figura 13-18. Autoruns le permite administrar todos los elementos de inicio en una PC

En el menú Opciones, puede mostrar u ocultar ubicaciones vacías y también entradas de Microsoft, ya que no desea deshabilitar una parte de Windows 11 cuando se inicia. Además, algunas características útiles se encuentran en el menú del archivo:

• Analizar el sistema fuera de línea le permite examinar las entradas de inicio de Windows para un disco duro adjunto que se ha eliminado de otra PC. Esto puede ser útil si está diagnosticando una PC que no comenzará o que tenga una infección por malware.
• Guardar/abrir le permite guardar las entradas de inicio como un archivo que se puede enviar por correo electrónico a una persona de soporte o leer y examinar en otra PC.
• Compare es una opción que le permite comparar las entradas de inicio actuales en la PC con las entradas guardadas desde otra PC.
• Las opciones de escaneo se encuentran en el menú Opciones y le permite verificar la base de datos de Virustotal.com para ver si alguna coincidencia con malware conocido se encuentra en las entradas de inicio.

Puede deshabilitar y volver a habilitar entradas en la lista de inicio desactivando o revisando su caja en Autoruns. Esto puede ser útil en lugar de eliminar la entrada por completo.
Desactiva y vuelve a habilitar las entradas desde el menú de entrada, en caso de que elimine accidentalmente una entrada de inicio que luego demuestra ser necesaria para el funcionamiento suave de Windows y su software instalado. Cada entrada en la lista principal también está codificada por colores para ayudarlo a identificarlos más fácilmente:

• Amarillo donde existe una entrada de inicio, pero Autoruns no puede encontrar el programa instalado en su PC.
• Verde donde se agregó la entrada recientemente desde la última vez que usó Autoruns.
• Pink donde no existe información conocida del editor, ya sea porque la entrada no está firmada digitalmente o porque no se ha incluido información del editor con el proceso.
• Purple es la dirección de registro de la entrada.

Manejar

Anteriormente en este capítulo, le mostré algunas utilidades de Sysinternals para tratar con archivos bloqueados. Handle es una utilidad de línea de comandos que puede proporcionar detalles de qué aplicación ha abierto y bloqueado un archivo o director en particular en su PC. Úselo en el formato de manejo con interruptores adicionales, que se detallan en el sitio web de Sysinternals que es útil, como [-u] para mostrar el nombre de usuario de la persona con el archivo abierto.

Listdlls

Los DLL son archivos que son una parte esencial de Windows 10, o proporcionadas por compañías de software de terceros, que permiten a las aplicaciones compartir funciones en la PC. En los días de DOS, cada programa en ejecución tenía que proporcionar su propia forma de administrar todo, y recuerdo el excelente procesador de palabras de WordPerfect 5.1 que viene con una batería de discos que contenían sus propios conductores de impresora.
DLLS quitó todo este dolor, pero saber lo que se está ejecutando puede ser imposible sin el uso de una utilidad como Listdlls. Esta es una utilidad de línea de comandos (con interruptores disponibles en el sitio web de Sysinternals) que puede enumerar todas las DLL que han sido cargadas por una aplicación o proceso o enumerar todos los procesos que acceden a una DLL en particular. Si encuentra, por ejemplo, que una aplicación, proceso o DLL se bloquea, puede usar esta herramienta para ver si las DLL en uso tienen alguna otra dependencia que pueda estar causando el problema. Puede usarlo en el formato Listdlls [ProcessName] para ver qué DLLS están en uso mediante un proceso específico o en Formating Listdlls [-d dllname] para ver qué procesos en ejecución están utilizando una DLL específica. Otros interruptores útiles, que están disponibles en el sitio web de Sysinternals, incluyen [-u] que solo mostrará DLLS sin firmar y [-V] que mostrará información de la versión DLL.

Portmonía

Si está utilizando un sistema de PC al que se adjuntan los dispositivos en serie o paralelo, y aún son más comunes de lo que piensa, entonces la utilidad de Portmon puede mostrar toda la actividad para esos puertos. Esto incluye comunicaciones exitosas y fallidas y el proceso utilizando cada puerto. Esta información puede ser útil para rastrear problemas de comunicación entre la PC y los dispositivos adjuntos.

Procdump

Procdump es una utilidad de línea de comandos con dos usos. El primero de ellos es para monitorear una aplicación para picos de procesadores de CPU y informar cuando se produce una espiga. Si tiene una aplicación que es periódicamente, o incluso regularmente, utilizando grandes cantidades de tiempo de procesador, entonces Procdump puede proporcionar información valiosa sobre lo que está haciendo en ese momento.
El segundo uso para Procdump es monitorear las aplicaciones cuando se colgan. A veces, puede encontrar una aplicación para la cual la ventana parece bloquearse temporalmente. Esto se debe a que la aplicación está haciendo o tratando de hacer algo en segundo plano y no puede continuar hasta que esa tarea esté completa. En esta circunstancia, Procdump puede proporcionar información sobre lo que está ocurriendo con esa aplicación en ese momento. Los detalles completos de los muchos interruptores disponibles para usar con Procdump están disponibles en el sitio web de Sysinternals.
Sin embargo, en su formato básico, úselo como procdump winword.exe (ver Figura 13-19), y producirá su salida en un archivo .dmp. Esto se puede leer con Microsoft Visual Studio, el Kit de controladores de Windows (WDK) o el Kit de desarrollo de software de Windows (SDK), pero una búsqueda en línea revelará otros lectores de archivos .dmp gratuitos.

Figura 13-19. Procdump produce informes sobre programas estrellados

Explorador de procesos

Una suite Sysinternals contiene algunas herramientas muy útiles que deberían estar en cualquier kit de herramientas de TI Pro. Una de ellas es Autoruns como detallé anteriormente, y otro es Process Explorer.
Process Explorer le dirá absolutamente todo lo que está sucediendo con los procesos en ejecución y colgada en la PC, incluida su CPU, memoria y uso de la red, que los DLL están utilizando las Apps, si es segura o se ejecuta en un entorno virtualizado, los permisos Diferentes usuarios y grupos de usuarios tienen con la aplicación y más (ver Figura 13-20).

Figura 13-20. Process Explorer proporciona una gran cantidad de detalles sobre los procesos de ejecución

La vista principal de Process Explorer enumera todos los procesos de ejecución en la PC, junto con los detalles de cualquier subprocesos. Todos estos elementos están codificados por colores para que sean más fáciles de identificar.

Consejo: A veces, el explorador de procesos puede no ejecutar, informando una imagen de "no se puede extraer una imagen de 64 bits. Ejecutar el explorador de procesos desde un error de directorio escritable". Si se encuentra con esto, navegue a su carpeta AppData \ Local \ TEMP escribiendo % TMP % en el menú de inicio o la barra Breadcrumb en el explorador de archivos, haga clic con el botón derecho en la aplicación PROCEXP64 y ejecutarlo como administrador desde allí.

• Los procesos morados, que en nuestro caso incluyen el malware, son archivos que pueden comprimirse (también llamados empaquetados), que para aplicaciones legítimas pueden ayudarlos a usar menos memoria, pero en el caso de malware también puede ayudar a ocultar el código de su escáner antimalware. Mirar los archivos de color púrpura debería ser su primer paso.
• Los procesos rojos son los que actualmente existen (se detienen).
• Los procesos verdes se han ejecutado recientemente (también conocidos como desovados).
• Los procesos de azul claro son aquellos administrados por la misma cuenta que inició el Explorador de procesos.
• Los procesos azul oscuro son los que han sido seleccionados actualmente en Process Explorer.
• Los procesos rosados ​​están ejecutando servicios en la PC, como el SVCHOST.exe común, que es un proceso del sistema de Windows que puede alojar uno o más servicios en los que comparten un proceso para reducir el uso general de recursos en una PC.

Puedes realizar acciones en procesos como matarlos; matar el árbol de proceso, que también cerrará cualquier proceso dependiente; reiniciar el proceso; y suspendiéndolo. Esta última opción es útil en la que está solucionando un proceso, y cerrarlo generará un error o hará que algo más deje de funcionar.
Además, puede establecer la afinidad del proceso, lo que significa que puede determinar qué núcleos de procesadores físicos y virtuales están disponibles para él y su prioridad de procesamiento.
Tanto en el proceso como en los menús de opciones, puede verificar los procesos de la base de datos en el sitio web de Virustotal.com si sospecha que un proceso en ejecución podría ser malware.
Puede hacer doble clic en un proceso para abrir su panel de propiedades donde se puede encontrar una gran cantidad de información y control. En la pestaña Imagen, por ejemplo, puede ver la ruta y, si corresponde, la entrada de AutoStart para el proceso, que podría ser una entrada de registro (ver Figura 13-21).

Figura 13-21. La información detallada sobre los procesos está disponible

Además, en las pestañas de seguridad y entorno, puede ver información técnica sobre el proceso, incluido el cual los usuarios y los grupos de usuarios tienen permisos para acceder y ejecutar el proceso.
Las pestañas de propiedades restantes proporcionarán información en vivo sobre el proceso, como su CPU, memoria, GPU (procesador de gráficos) y actividades y uso de redes.

Monitor de proceso

Otra de las herramientas altamente útiles en la suite Sysinternals es el Monitor de proceso. Esta utilidad es increíblemente útil al diagnosticar y solucionar problemas de muchos tipos de problemas en una PC, incluidas aplicaciones colgadas y dependencias de aplicaciones, infecciones de malware, software mal configurado, archivos eliminados y claves de registro, y más además (ver Figura 13-22).

Figura 13-22. Process Monitor es muy útil para ver lo que está sucediendo en una PC

Detalles del monitor de proceso, en tiempo real, en cada proceso y servicio en ejecución en la PC, con información sobre cada operación que realizan, cada clave de registro a la que tienen o tienen acceso, y si las acciones que están tomando tienen éxito o informan una error.
Quizás esté buscando las dependencias para el malware que ha infectado una PC. Puede usar Monitor de proceso para identificar todos los servicios, DLL y claves de registro asociadas con la aplicación de malware central. También puede usar Process Monitor para verificar las dependencias para cualquier aplicación en ejecución en la PC, para ver qué archivos y claves están asociadas con ella. Toda esta información puede ser útil al diagnosticar problemas con las aplicaciones y las características de Windows, porque puede ver de un vistazo lo que está sucediendo, si las tareas realizadas han tenido éxito o no, o si las claves de registro esenciales, los DLL o los servicios están faltando o informando un error.
Además, puede filtrar la vista para reducir la información que se muestra en un subconjunto de la información disponible completa. Si un archivo está bloqueado en la PC y no se puede eliminar, moverse, copiar, o incluso abrir, también puede ver qué proceso está utilizando actualmente y ha bloqueado el archivo, para que el proceso pueda cerrarse o terminarse. Quizás lo más útil, puede establecer un monitor de proceso para registrar cada operación en el momento de arranque, y estos datos se pueden exportar para que se lean más adelante en una variedad de formatos, incluidos los archivos CSV y XML.
Puede hacer doble clic en cualquier proceso o clave de registro para ver detalles adicionales al respecto, incluidas las direcciones de memoria utilizadas, llamadas DLLS y cualquier interruptor de línea de comando con el que se haya ejecutado (ver Figura 13-23). También puede ver qué cuenta de usuario o sistema de la PC ha ejecutado el proceso.

Figura 13-23. Process Monitor proporciona información extensa

Cuando está solucionando y diagnosticando una actividad de proceso que ha fallado, como el error de desbordamiento del búfer de memoria visto en la Figura 13-24, puede obtener la hora y el día exactos de la falla y ver detalles técnicos al respecto.

Figura 13-24. Puede obtener detalles técnicos sobre fallas en el proceso

Shellrunas

Shellrunas es otra utilidad de línea de comandos, pero que le permite iniciar una aplicación o proceso bajo las credenciales de inicio de sesión de un usuario que no sea el que ya está iniciado sesión en la PC. Úselo en el formato Shellrunas /Reg para agregar esta funcionalidad al menú contextual de Click Right en el Explorador de archivos con más conmutadores disponibles en el sitio web de Sysinternals.

VMMAP

Las PC no solo contienen ejecutando aplicaciones y procesos en la memoria; También guarda algo de memoria en el disco en forma de memoria virtual, conocido como el archivo de paginación en Windows.
VMMAP le permite ver el uso de memoria física y virtual de un proceso específico (ver Figura 13-25). Si una aplicación o proceso está acaparando la memoria, esta utilidad puede proporcionar información detallada sobre la cantidad de memoria y qué tipos de memoria se están utilizando.

Figura 13-25. VMMAP le permite ver el uso del archivo de página para un proceso

Resumen

Después de dos capítulos sobre la resolución de problemas y el diagnóstico de problemas con procesos y servicios, está bastante claro que hay un lote horrible que se puede hacer para mantener los programas y el software que se ejecutan sin problemas en una PC y para mantener la PC estable en caso de que un programa se bloquee o se esté bloqueando o esté incorrectamente desinstalado.
La suite Sysinternals de Microsoft en particular es extraordinariamente útil a este respecto, especialmente con Autoruns, Process Explorer y Process Monitor, todo lo cual veremos con más detalle cuando examinamos cómo eliminar las infecciones de malware en el siguiente.
En el próximo capítulo, veremos más herramientas de Sysinternals como parte de cómo configurar, diagnosticar y solucionar problemas de redes en una PC ya que, seamos sinceros, nuestras PC son más o menos un pedazo de basura si no pueden obtener Acceso a acciones de red, servicios en la nube e Internet.