PowerShell y GPOs de Ciberseguridad: Crea políticas en Active Directory que blindan tus equipos Windows 11

PowerShell y GPOs de Ciberseguridad: Crea políticas en Active Directory que blindan tus equipos Windows 11

por Raúl Unzué

Políticas GPO para Windows 11

Si trabajas en IT, sabes lo rápido que puede volverse caótica una red cuando no tienes bien controladas las configuraciones de los equipos cliente. Y cuando hablamos de Ciberseguridad, ese descontrol puede significar mucho más que un usuario curioso hurgando donde no debe. Puede ser la diferencia entre contener un ataque o tener que reescribir todo tu protocolo de respuesta ante incidentes.

¿Y cómo evitamos eso? Con políticas, sí, pero no basta con las básicas que se aplican “por defecto” en muchos entornos. Aquí es donde entra en juego el combo mágico: PowerShell + GPOs. Porque sí, puedes crear GPOs desde la consola gráfica (GPMC), pero en cuanto tienes que replicar configuraciones, desplegarlas en masa o automatizar ciertas reglas de hardening, el ratón se te queda corto.

Esta guía está pensada para Sysadmins que quieren llevar el control de sus endpoints con precisión quirúrgica. Vas a ver cómo crear GPOs orientadas exclusivamente a mejorar la seguridad de los equipos Windows 11 en un dominio de Active Directory. Desde bloquear el acceso a puertos USB, hasta evitar la ejecución de PowerShell sin control, limitar servicios, reforzar contraseñas o hasta evitar el copiado de datos hacia discos externos.

Comandos PowerShell para crear GPOs de Ciberseguridad en entornos con Active Directory

Estos comandos requieren el módulo "GroupPolicy" y permisos de administrador de dominio. Para instalar el módulo puedes hacerlo desde:

  • Ve a Configuración > Aplicaciones > Características opcionales
  • Haz clic en Agregar una característica
  • Busca RSAT: Herramientas de administración de directiva de grupo
  • Instala y reinicia si es necesario

Generar políticas de Ciberseguridad para Windows 11

El procedimiento para generar varias GPO´s que nos ayuden a securizar nuestros Windows 11, sería el siguiente:

  1. Crear una nueva GPO base

    New-GPO -Name "Hardening-W11" -Comment "Políticas de seguridad para Windows 11"

  2. Bloquear puertos USB (almacenamiento)

    Set-GPRegistryValue -Name "Hardening-W11" -Key "HKLM\System\CurrentControlSet\Services\USBSTOR" -ValueName "Start" -Type DWord -Value 4

  3. Desactivar ejecución de PowerShell sin firmar

    Set-GPRegistryValue -Name "Hardening-W11" -Key "HKLM\Software\Policies\Microsoft\Windows\PowerShell" -ValueName "ExecutionPolicy" -Type String -Value "AllSigned"

  4. Evitar ejecución de macros en Office

    Set-GPRegistryValue -Name "Hardening-W11" -Key "HKCU\Software\Microsoft\Office\16.0\Word\Security" -ValueName "VBAWarnings" -Type DWord -Value 4

  5. Bloquear instalación de impresoras

    Set-GPRegistryValue -Name "Hardening-W11" -Key "HKLM\Software\Policies\Microsoft\Windows NT\Printers" -ValueName "DisableWebPnPDownload" -Type DWord -Value 1

  6. Impedir guardar contraseñas en navegador Edge

    Set-GPRegistryValue -Name "Hardening-W11" -Key "HKLM\Software\Policies\Microsoft\MicrosoftEdge\Main" -ValueName "FormSuggest Passwords" -Type String -Value "no"

  7. Forzar cierre de sesión tras inactividad

    Set-GPRegistryValue -Name "Hardening-W11" -Key "HKCU\Control Panel\Desktop" -ValueName "ScreenSaveTimeOut" -Type String -Value "600"

  8. Evitar ejecución automática desde unidades externas

    Set-GPRegistryValue -Name "Hardening-W11" -Key "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" -ValueName "NoDriveTypeAutoRun" -Type DWord -Value 255

  9. Impedir acceso a la línea de comandos CMD

    Set-GPRegistryValue -Name "Hardening-W11" -Key "HKCU\Software\Policies\Microsoft\Windows\System" -ValueName "DisableCMD" -Type DWord -Value 1

  10. Bloquear software no firmado

    Set-GPRegistryValue -Name "Hardening-W11" -Key "HKLM\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers" -ValueName "TransparentEnabled" -Type DWord -Value 1

  11. Restringir uso de RDP a usuarios autorizados

    Set-GPRegistryValue -Name "Hardening-W11" -Key "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" -ValueName "fDenyTSConnections" -Type DWord -Value 1

  12. Deshabilitar SMBv1

    Set-GPRegistryValue -Name "Hardening-W11" -Key "HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" -ValueName "SMB1" -Type DWord -Value 0

  13. Limitar acceso a panel de control

    Set-GPRegistryValue -Name "Hardening-W11" -Key "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" -ValueName "NoControlPanel" -Type DWord -Value 1

  14. Ocultar unidades específicas

    Set-GPRegistryValue -Name "Hardening-W11" -Key "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" -ValueName "NoDrives" -Type DWord -Value 4

  15. Aplicar la GPO a una OU

    New-GPLink -Name "Hardening-W11" -Target "OU=Equipos,DC=empresa,DC=local" -Enforced Yes

El poder de las GPO´s

Las GPOs son ese superpoder que muchos administradores no explotan al máximo. Y cuando se combinan con PowerShell, el resultado es brutal (velocidad, consistencia y control total). En temas de ciberseguridad, cada GPO bien aplicada es un punto de entrada que cierras, un riesgo que eliminas antes de que se convierta en incidente.

Lo bueno es que no necesitas ser un experto en scripting para aplicarlas, solo entender lo que hace cada clave de registro o parámetro de política. Y lo mejor, son reversibles, auditables y replicables.

Hoy te he dejado una plantilla real de políticas que puedes implementar desde ya. Modifica, ajusta, pero sobre todo, usa GPOs con intención. No pongas restricciones por poner, entiende lo que protege cada cambio. Porque en ciberseguridad, el detalle marca la diferencia entre un entorno simplemente funcional y uno realmente seguro.

Fin del Artículo. ¡Cuéntanos algo en los Comentarios!

Temas Relacionados: Ciberseguridad Microsoft PowerShell Windows 11 Ciberseguridad GPO
Redactor del Artículo: Raúl Unzué

Raúl Unzué

Soy un apasionado de la virtualización con más de 20 años de experiencia, especializado en soluciones como VMware(premio vExpert y vExpert Pro desde 2013), Proxmox e Hyper-V. Durante mi carrera, he ayudado a empresas a optimizar sus infraestructuras TI mientras comparto mis conocimientos como redactor IT. Mi objetivo es traducir lo complejo en algo práctico y accesible, combinando teoría con experiencia real. Si te interesa la virtualización, las herramientas TI o simplemente aprender algo nuevo, espero ayudarte con mis artículos.

También te puede interesar Otros artículos y noticias sobre tecnología
Se filtran 16.000 millones de contraseñas en una brecha de seguridad nunca antes vista
...20/06/2025

Se filtran 16.000 millones de contraseñas en una brecha de seguridad nunca antes vista

De IDS a XDR: Cómo han cambiado las herramientas de detección de intrusiones en los últimos 10 años
... 17/06/2025

De IDS a XDR: Cómo han cambiado las herramientas de detección de intrusiones en los últimos 10 años

Samsung añade KEEP en One UI 8, un sistema que permite encriptar los datos de cada aplicación y guardarlos en zona segura
...08/07/2025

Samsung añade KEEP en One UI 8, un sistema que permite encriptar los datos de cada aplicación y guardarlos en zona segura

Centros de Operaciones de Seguridad (SOC): qué son, cómo funcionan y consejos para montar uno sin volverte loco
... 19/05/2025

Centros de Operaciones de Seguridad (SOC): qué son, cómo funcionan y consejos para montar uno sin volverte loco

Tipos de equipos de Ciberseguridad y cómo trabajan en la Defensa Digital
... 24/06/2025

Tipos de equipos de Ciberseguridad y cómo trabajan en la Defensa Digital

Los certificados TLS/SSL pasarán a caducar cada 47 días en vez de cada 398 días a partir de 2029
...17/04/2025

Los certificados TLS/SSL pasarán a caducar cada 47 días en vez de cada 398 días a partir de 2029