🛡️ Hardening Windows 11: 7 pasos para blindar tu PC sin instalar nada

hace 4 meses

Table of Contents

Endurecer Windows 11: script completo con 7 tareas programadas

Aplicar el hardening o endurecer Windows 11 de forma manual es algo que la mayoría de usuarios nunca llega a hacer: demasiados pasos, demasiadas configuraciones dispersas y ninguna garantía de que una actualización de Windows no revierta alguna de ellas al día siguiente.

En este núcleo editorial de ciberseguridad hemos desarrollado un script para endurecer Windows 11 completo, idempotente y verificado que aplica 9 medidas de endurecimiento alineadas con el estándar CIS Benchmark para Windows 11 y crea 7 tareas programadas que mantienen el hardening activo de forma permanente, incluso tras actualizaciones de Windows. Accede al conjunto completo de guías de hardening desde el hub técnico de seguridad en Windows: guías de hardening, configuración y protección en 2026.

🔍 ¿Qué hace el script para endurecer Windows 11 y cómo instalarlo? El script aplica 9 medidas de hardening alineadas con el CIS Benchmark para Windows 11: UAC modo estricto, SmartScreen en bloqueo, Firewall con 3 perfiles, Defender RTP + 8 reglas ASR, telemetría mínima, PowerShell logging, bloqueo de pantalla a 5 minutos y auditoría completa. Instala además 7 tareas programadas que mantienen el hardening activo tras cualquier actualización o cambio. Instalación en un solo comando desde PowerShell como administrador — el proceso completo tarda menos de 10 minutos.

💡 Resumen rápido

🛡️ Endurecer Windows 11: qué hace este script

✅ UAC en modo estricto (T1548.002)
✅ SmartScreen en modo bloqueo (T1189)
✅ Firewall: 3 perfiles activos, entrada bloqueada por defecto (T1133)
✅ Microsoft Defender RTP + Cloud + 8 reglas ASR (T1204 / T1059)
✅ Telemetría al mínimo (Required)
✅ PowerShell ScriptBlock + Module logging (T1059.001)
✅ Bloqueo de pantalla automático a 5 minutos
✅ Política de auditoría completa
✅ 7 tareas programadas: inicio, logon, horaria, log borrado, firewall detenido, política de auditoría y semanal

📅 2026 · 🕐 10 minutos de lectura

🛡️ ¿Qué medidas aplica el script para endurecer Windows 11?

🔍 ¿Qué medidas de seguridad aplica el script de hardening de Windows 11?

El script aplica 9 bloques de configuración de hardening alineados con el CIS Benchmark para Windows 11:

UAC modo estricto: fuerza el diálogo de elevación en escritorio seguro para cualquier proceso que solicite privilegios (MITRE T1548.002)
SmartScreen en bloqueo: bloquea (no solo advierte) archivos sin reputación en Edge y el explorador
Firewall 3 perfiles: activa Dominio, Privado y Público con entrada bloqueada por defecto
Defender RTP + Cloud: protección en tiempo real, nivel alto en la nube, protección PUA
8 reglas ASR: bloquea macros Office, scripts ofuscados, robo de LSASS y persistencia WMI
Telemetría mínima: limita el envío de datos a Microsoft al nivel Required
PowerShell logging: registra en el Visor de eventos todo el código PowerShell ejecutado
Bloqueo pantalla a 5 min: salvapantallas seguro con bloqueo de sesión por inactividad
Auditoría completa: habilita registro de éxito y fracaso en todas las categorías de auditoría

#	Medida	Técnica MITRE	Qué hace
1	UAC modo estricto	T1548.002 — bypass UAC (MITRE ATT&CK)	Fuerza el diálogo de elevación en escritorio seguro para cualquier proceso que solicite privilegios
2	SmartScreen bloqueo	T1189	Bloquea (no solo advierte) la ejecución de archivos sin reputación en Edge y el explorador
3	Firewall 3 perfiles	T1133	Activa los perfiles Dominio, Privado y Público con entrada bloqueada por defecto
4	Defender RTP + Cloud	T1059	Protección en tiempo real, nivel de bloqueo en la nube alto y protección contra PUAs
5	8 reglas ASR	Documentación oficial de reglas ASR — Microsoft Defender	Attack Surface Reduction: bloquea macros Office, scripts ofuscados, robo de LSASS, persistencia WMI y más
6	Telemetría mínima	—	Limita el envío de datos a Microsoft al nivel mínimo requerido (Required)
7	PowerShell logging	T1059.001	Registra en el Visor de eventos todo el código PowerShell ejecutado en el sistema
8	Bloqueo pantalla 5 min	—	Activa el salvapantallas seguro con bloqueo de sesión tras 5 minutos de inactividad
9	Auditoría completa	—	Habilita el registro de éxito y fracaso en todas las categorías de auditoría de Windows

El manual técnico de Windows Defender: configuración de ASR y protección en tiempo real en 2026 explica en detalle cada una de las 8 reglas ASR que activa el script (medida 4 y 5) y cómo verificar su estado desde PowerShell y la interfaz gráfica.

⚠️ Aviso de enlace pendiente de verificación: El artículo original incluye un enlace a /ciberseguridad/como-bloquear-puertos-peligrosos-en-windows/ que no está confirmado en el catálogo de URLs. Verifica que esa página existe antes de publicar. Si no existe, omite el enlace o sustitúyelo por la guía técnica de NetBIOS: cómo deshabilitar los puertos UDP 137, UDP 138 y TCP 139 con script en 2026 mientras se crea el artículo de puertos.

🕒 Las 7 tareas programadas que instala el script

🔍 ¿Qué tareas programadas instala el script de hardening de Windows 11?

El script instala 7 tareas programadas que mantienen el hardening activo permanentemente:

Inicio del sistema: reaplica el hardening en cada arranque
Inicio de sesión (logon): captura cambios que ocurran durante el login
Cada hora: detecta y corrige desviaciones en menos de 60 minutos
Evento 1102 (log borrado): reaplica auditoría si alguien borra el log de seguridad
Evento 5025 (firewall detenido): reactiva el firewall si un proceso lo detiene
Evento 4719 (política modificada): restaura la política de auditoría si es alterada
Domingo 3:00 AM (semanal): auditoría completa con registro en CSV histórico

Tarea	Disparador	Propósito
Endurecer-Windows-Inicio	Al iniciar Windows	Reaplica el hardening en cada arranque del equipo
Endurecer-Windows-Logon	Al iniciar sesión	Captura cambios que ocurran durante el inicio de sesión
Endurecer-Windows-Horaria	Cada hora	Vigilancia continua: detecta y corrige desviaciones en menos de 60 min
Endurecer-Windows-LogBorrado	Evento 1102 (log borrado)	Reaplica auditoría si alguien borra el log de seguridad
Endurecer-Windows-Firewall	Evento 5025 (firewall detenido)	Reactiva el firewall si un proceso lo detiene
Endurecer-Windows-PoliticaAuditoria	Evento 4719 (política modificada)	Restaura la política de auditoría si es alterada
Endurecer-Windows-Auditoria	Domingo 3:00 AM (semanal)	Auditoría completa semanal con registro en CSV histórico

La misma metodología de hardening con script + tareas programadas que mantienen la configuración activa permanentemente está documentada en la guía técnica de NetBIOS: cómo deshabilitar los puertos UDP 137, UDP 138 y TCP 139 con script y tareas programadas en 2026.

⚠️ Problemas conocidos y soluciones

⚠️ El script no muestra nada en pantalla al ejecutarse. Es normal. Start-Transcript captura toda la salida y la guarda en C:\Logs\endurecer-windows.log. Para ver el resultado ejecuta: Get-Content C:\Logs\endurecer-windows.log -Tail 30

⚠️ Error: "Cambio de directiva de ejecución". PowerShell pide confirmación antes de cambiar la política de ejecución. Pulsa S y Enter para continuar. Esto solo afecta a la sesión actual, no de forma permanente.

📥 Cómo instalar el script para endurecer Windows 11 — un solo comando

🔍 ¿Cómo instalar el script de hardening de Windows 11?

Proceso de instalación en 3 pasos:

Pulsa Windows → escribe PowerShell → clic derecho → Ejecutar como administrador
Pega el comando de instalación en la ventana de PowerShell y pulsa Enter
Si PowerShell pide confirmación sobre la directiva de ejecución, pulsa S y Enter

El script se descarga, instala y ejecuta automáticamente. Toda la salida se guarda en C:\Logs\endurecer-windows.log. El proceso completo tarda menos de 2 minutos.

Abre PowerShell como administrador y pega este comando. El script se descarga, instala y ejecuta automáticamente:

⚙️ Pega este comando en PowerShell como administrador:

👉 Pulsa Windows → escribe PowerShell → clic derecho → Ejecutar como administrador

Invoke-WebRequest -Uri "https://seguridadenmipc.com/wp-content/uploads/2026/06/Endurecer-Windows.txt" -OutFile "$HOME\endurecer.ps1" -UseBasicParsing; Set-ExecutionPolicy -Scope Process -ExecutionPolicy Bypass -Force; & "$HOME\endurecer.ps1"

🔎 Cómo comprobar que el hardening está activo

🔍 ¿Cómo verificar que el hardening de Windows 11 está aplicado?

Cinco valores clave para confirmar que el hardening está activo:

Log sin errores: Get-Content C:\Logs\endurecer-windows.log -Tail 30 debe mostrar [OK] Hardening aplicado
7 tareas en estado Ready: Get-ScheduledTask -TaskName "Endurecer-Windows-*"
UAC modo estricto: ConsentPromptBehaviorAdmin = 2
Firewall activo: Enabled = True en los 3 perfiles
Defender RTP activo: DisableRealtimeMonitoring = False

💡 Ejecuta estos comandos en PowerShell como administrador:

Get-Content C:\Logs\endurecer-windows.log -Tail 30

Las 7 tareas deben estar en estado Ready. UAC ConsentPromptBehaviorAdmin = 2. Firewall Enabled = True. DisableRealtimeMonitoring = False.

✅ Checklist post-instalación

Verifica estos 9 puntos para confirmar que el hardening está aplicado:

☑ 7 tareas en estado Ready en taskschd.msc
☑ Log presente en C:\Logs\endurecer-windows.log con [OK] Hardening aplicado
☑ CSV histórico en C:\Logs\endurecer-windows-historico.csv
☑ UAC ConsentPromptBehaviorAdmin = 2
☑ Firewall Enabled = True en los 3 perfiles
☑ Defender DisableRealtimeMonitoring = False
☑ 8 reglas ASR activas en modo bloqueo
☑ PowerShell EnableScriptBlockLogging = 1
☑ Navegación y sistema funcionando con normalidad

✔ 9/9 = hardening completo · ✘ menos de 7 = revisar log e instalación

🏁 Conclusión

Endurecer Windows 11 en minutos es posible gracias a este script, que convierte un sistema estándar en un equipo alineado con el estándar CIS Benchmark para Windows 11. Las 7 tareas programadas garantizan que el hardening se mantenga activo de forma permanente, detectando y corrigiendo automáticamente cualquier desviación causada por actualizaciones de Windows, instaladores de software o cambios manuales no autorizados.

🔐 Resumen de acciones recomendadas

✅ Ejecuta el comando de instalación en PowerShell como administrador
✅ Verifica el resultado con Get-Content C:\Logs\endurecer-windows.log -Tail 30
✅ Comprueba las 7 tareas con Get-ScheduledTask -TaskName "Endurecer-Windows-*"
✅ Reinicia el equipo para aplicar todos los cambios
✅ Revisa el CSV histórico mensualmente

Script Seguridad en Windows

Autor

Entusiasta de la seguridad informática con años de experiencia en protección de sistemas Windows y defensa contra amenazas digitales. Apasionado por la tecnología y la privacidad, comparto en este blog consejos prácticos, análisis detallados y guías paso a paso para que cualquier usuario pueda fortalecer la seguridad de su PC y su vida digital

Deja una respuesta Cancelar la respuesta

👤 ¿Quiénes somos?	⚖️ Aviso Legal	📋 Términos y Condiciones	🔒 Política de Privacidad	🍪 Política de Cookies
Conoce al equipo y la misión de seguridadenmipc.com seguridadenmipc.com/quienes-somos/	Datos del titular, propiedad intelectual y responsabilidad seguridadenmipc.com/aviso-legal/	Reglas de uso, scripts PowerShell y política de AdSense seguridadenmipc.com/terminos-y-condiciones/	Tratamiento de datos, derechos RGPD y Google AdSense seguridadenmipc.com/politica-de-privacidad/	Cookies propias y de terceros, Google Analytics y AdSense seguridadenmipc.com/politica-de-coockies/