Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Configuración de seguridad de un endpoint Windows

Fecha de actualizacion 22/01/2026
Autor
INCIBE (INCIBE)
Seguridad en Endpoint Windows

El término endpoint hace referencia a cualquier dispositivo que se conecta a una red para acceder, procesar o transferir información. Originalmente, este concepto se limitaba a las computadoras de escritorio utilizadas en entornos corporativos, donde la infraestructura informática estaba centralizada y bajo un control estricto. Sin embargo, con la transformación digital y la adopción de nuevas tecnologías, los endpoints han evolucionado adaptándose a las necesidades de los usuarios: mayor flexibilidad, movilidad y acceso remoto a los recursos empresariales. Los usuarios demandan la capacidad de conectarse desde cualquier lugar y dispositivo, lo que ha llevado a las organizaciones a ampliar su infraestructura digital diversificándose en múltiples formas: puestos de sobremesa, portátiles, teléfonos móviles, tabletas, dispositivos IoT, entornos virtualizados y servicios en la nube.

A medida que el número y la variedad de endpoints han aumentado, también lo han hecho los desafíos en ciberseguridad. La dispersión de dispositivos y la diversidad de plataformas han generado una superficie de ataque más amplia, con nuevas oportunidades para amenazas como malware, ataques de phishing y accesos no autorizados. Las empresas deben enfrentar el reto de proteger cada endpoint sin comprometer la experiencia del usuario ni limitar la agilidad operativa.

Como resultado, el número de endpoints de una organización se ha convertido en una unidad clave para dimensionar la complejidad tecnológica de una empresa y sus necesidades de seguridad, y para ello la protección de endpoints debe abordarse desde dimensiones clave. En este artículo repasaremos algunas de las claves para proteger el endpoint basado en tecnología Windows, con Microsoft Defender principalmente, desplegado de forma nativa en todos los sistemas operativos Microsoft Windows desde Windows 8.

Protección del dispositivo

La protección del dispositivo es la primera línea de defensa en la seguridad de endpoints, encargada de detectar, prevenir y mitigar amenazas antes de que comprometan el sistema. Microsoft Defender ayuda a proteger los dispositivos contra las amenazas. Aquí detallamos algunas configuraciones básicas a tener en cuenta.

  • La protección en tiempo real de Microsoft Defender debe estar siempre activada. Esta función monitorea continuamente los archivos y procesos en ejecución, detectando y bloqueando amenazas en el momento en que intentan ejecutarse. Protege contra malware, ransomware y virus, evitando que archivos sospechosos se abran sin ser analizados. Para asegurarse de que está activa, se puede ejecutar el siguiente comando en PowerShell:

    Set-MpPreference -DisableRealtimeMonitoring $false

  • La protección anti-tampering impide que software malicioso, atacantes o incluso usuarios desautorizados modifiquen la configuración de seguridad de Microsoft Defender. Protege contra la desactivación forzada del antivirus, bloquea intentos de deshabilitar la protección en tiempo real y evita cambios en las actualizaciones automáticas. Para activarla, usa el siguiente comando:

    Set-MpPreference -EnableTamperProtection $true

Control de red

El control de red es una parte esencial de la seguridad de los endpoints, ya que protege las conexiones del dispositivo contra amenazas que pueden llegar a través del tráfico de red. Microsoft Defender incorpora funciones avanzadas para bloquear y filtrar conexiones sospechosas, evitando que malware, phishing y otros ataques lleguen a comprometer el sistema. Aquí detallamos algunas configuraciones clave para mejorar la seguridad de red en un entorno Windows.

  • La creación de un perfil de red en Microsoft Defender Firewall permite una primera barrera de protección en la red. Filtra el tráfico entrante y saliente, asegurando que solo las conexiones seguras sean permitidas. Para asegurarse de que esté activado, se puede ejecutar el siguiente comando en PowerShell:

    Set-NetFirewallProfile -Profile Domain,Public,Private -Enabled True

  • La protección de red impide que el endpoint acceda a sitios web maliciosos y bloquea conexiones sospechosas antes de que puedan comprometer el sistema. Esta función es clave para prevenir ataques de phishing y la descarga de malware. Para activarla, usa el siguiente comando en PowerShell:

    Set-MpPreference -EnableNetworkProtection Enabled

  • El bloqueo de tráfico no autorizado con reglas de firewall avanzadas permite restringir el acceso a direcciones IP específicas y bloquear puertos no utilizados, reduciendo la superficie de ataque. Se pueden agregar reglas con el siguiente comando (ejemplo para bloquear tráfico RDP):

    New-NetFirewallRule -DisplayName "Bloquear Acceso RDP" -Direction Inbound -Action Block -Protocol TCP -LocalPort 3389

Control de aplicaciones

El control de aplicaciones evita que programas maliciosos o vulnerables comprometan el sistema. Microsoft Defender ofrece herramientas avanzadas para gestionar y limitar la ejecución de aplicaciones, asegurando que solo software confiable pueda ejecutarse en los dispositivos. Detallemos algunas configuraciones clave para mejorar la seguridad de las aplicaciones en un entorno Windows. 

  • El control de aplicaciones de Microsoft Defender permite definir qué aplicaciones pueden ejecutarse en el sistema, bloqueando software no autorizado. Esto garantiza que solo scripts firmados y aprobados puedan ejecutarse en el sistema. Para habilitar esta protección y establecer una política de control de aplicaciones, usa el siguiente comando en PowerShell:

    Set-ExecutionPolicy AllSigned

  • La restricción de aplicaciones no confiables con AppLocker impide la ejecución de software sospechoso. Para aplicar esta restricción, se debe definir una política en formato XML que especifique qué aplicaciones están permitidas y cuáles deben ser bloqueadas. A continuación, se muestra un ejemplo de contenido de un archivo de política. 

    <AppLockerPolicy Version="1">

     <RuleCollection Type="Exe" EnforcementMode="Enabled">

       <!-- Bloquear ejecución de aplicaciones desde carpetas no seguras -->

       <FilePathRule Id="b2c3d4e5-6789-0abc-def1-234567890abc" Name="Bloquear Aplicaciones en Descargas" Description="Bloquea la ejcución de programas desde la carpeta Descargas." Action="Deny">

         <Conditions>

           <FilePathCondition Path="C:\Usuarios\*\Descargas\*" />

         </Conditions>

       </FilePathRule>

       <FilePathRule Id="c3d4e5f6-7890-1bcd-ef23-4567890abcd" Name="Bloquear Aplicaciones en Escritorio" Description="Bloquea la ejecución de programas desde el Escritorio." Action="Deny">

         <Conditions>

           <FilePathCondition Path="C:\Usuarios\*\Escritorio\*" />

         </Conditions>

       </FilePathRule>

       <!-- Bloquear una aplicación específica por nombre -->

       <FilePathRule Id="d4e5f6g7-8901-2cde-f345-67890abcde12" Name="Bloquear TeamViewer" Description="Impide la ejecución de TeamViewer." Action="Deny">

        <Conditions>

          <FilePathCondition Path="C:\Program Files\TeamViewer\TeamViewer.exe" />

        </Conditions>

       </FilePathRule>

     </RuleCollection>

    </AppLockerPolicy>

              Una vez definido, se pueden definir reglas para bloquear aplicaciones específicas con el siguiente comando:

              New-AppLockerPolicy -XMLPolicy C:\ruta\politica.xml -RuleCollectionType Executable

  • Bloqueo de instalación de software no autorizado mediante políticas de grupo (GPO). Para evitar que usuarios instalen programas no aprobados, se pueden aplicar restricciones desde Editor de Políticas de Grupo (gpedit.msc) o con PowerShell:

    Set-ItemProperty -Path "HKLM:\Software\Policies\Microsoft\Windows\Installer" -Name "DisableMSI" -Value 1

  • Habilitar la protección contra exploitsayudan a prevenir que las vulnerabilidades conocidas sean explotadas por el malware. El script activa medidas como DEP (Protección de Ejecución de Datos) y SEHOP (Protección de Manejo de Excepciones Estructuradas).

    Set-Processmitigation -System -Enable DEP,BottomUp,SEHOP

  • Habilitar el sandboxing: El sandboxing aísla ciertos procesos y archivos en un entorno controlado, limitando los daños que puedan causar en caso de que estén infectados.

    setx /M MP_FORCE_USE_SANDBOX 1

Control de datos

El control de datos se centra en proteger la información sensible tanto en su almacenamiento como en su transferencia, asegurando que solo usuarios autorizados puedan acceder, modificar o compartir archivos críticos. Microsoft Defender y herramientas nativas de Windows ofrecen diversas funciones para cifrar datos, prevenir fugas de información y garantizar su integridad o disponibilidad. A continuación, detallamos algunas configuraciones clave para mejorar la seguridad de los datos en un entorno Windows.

  • Cifrado de archivos individuales con EFS (Encrypting File System) garantiza que solo el propietario del archivo pueda acceder a su contenido. EFS es útil para proteger documentos en entornos multiusuario dentro del mismo equipo. Para cifrar un archivo específico, usa:

    cipher /e "C:\Ruta\Archivo.docx"

            Para descifrarlo, ejecuta:

            cipher /d "C:\Ruta\Archivo.docx"

  • Cifrado de disco con BitLocker protege el contenido del disco duro evitando accesos no autorizados en caso de robo o pérdida del dispositivo. Por ejemplo, para habilitarlo en la unidad C: utilizando el estándar XTS-AES de 256 bits, usa el siguiente comando en PowerShell:

    Enable-BitLocker -MountPoint "C:" -EncryptionMethod XtsAes256 -UsedSpaceOnly

  • Prevención de fuga de datos (DLP) evita que información confidencial sea copiada o enviada sin autorización. En entornos empresariales con Microsoft Defender for Endpoint, se pueden aplicar políticas DLP desde Microsoft Purview. Para verificar si DLP está activo, ejecuta:

    Get-MpPreference | Select-Object -Property EnableControlledFolderAccess

Si el valor es False, se recomienda activarlo con:

Set-MpPreference -EnableControlledFolderAccess Enabled

  • Copias de seguridad y recuperación ante incidentes aseguran la disponibilidad de datos en caso de ataques o corrupción. Por ejemplo, para realizar una copia de seguridad completa de la unidad C: en la unidad D: usa:

    wbadmin start backup -backupTarget:D: -include:C: -allCritical -quiet

Protección de navegación

La protección de navegación previene que los usuarios accedan a sitios web maliciosos, bloquea descargas peligrosas y evita ataques de phishing. Microsoft Defender y las herramientas nativas de Windows ofrecen funciones avanzadas para filtrar contenido web, restringir accesos sospechosos y reforzar la seguridad del navegador. A continuación, se detallan algunas configuraciones clave para mejorar la protección de navegación en un entorno Windows.

  • Microsoft Defender SmartScreen impide el acceso a sitios web de phishing y bloquea descargas de archivos sospechosos. Para asegurarse de que está activo, usa el siguiente comando en PowerShell:

    Set-MpPreference -EnableSmartScreen $true

Además, esto asegurará que el navegador analice los sitios web y archivos descargados antes de permitir el acceso.

              Set-ItemProperty -Path "HKLM:\Software\Policies\Microsoft\MicrosoftEdge\PhishingFilter" -Name "EnabledV9" -Value 1

  • Filtrado de contenido: Una particularidad de ASR en Microsoft Defender es su capacidad para aplicar reglas de filtrado de contenido web y bloqueo de descargas de archivos ejecutables desde Internet. Esto permite mitigar ataques que explotan la ingeniería social, y la distribución de malware a través de descargas no seguras. El ID de regla ASR 3B576869-A4EC-4529-8536-B80A7769E899 corresponde a la política de "Bloquear la ejecución de contenido web y archivos descargados de Internet o adjuntos de correos electrónicos sospechosos". Esta regla evita que los usuarios ejecuten archivos descargados de fuentes sospechosas o adjuntos potencialmente maliciosos provenientes de correos electrónicos.

    Set-MpPreference -AttackSurfaceReductionRules_Ids "3B576869-A4EC-4529-8536-B80A7769E899" -AttackSurfaceReductionRules_Actions Enabled

  • Control de descargas: También es posible instanciar reglas de seguridad en navegadores para reforzar el control de descargas y prevenir que los usuarios ignoren advertencias sobre archivos sospechosos. Por ejemplo, en Microsoft Edge, se puede activar una política que impide que los usuarios omitan advertencias de seguridad en descargas potencialmente peligrosas:

    Set-ItemProperty -Path "HKLM:\Software\Policies\Microsoft\MicrosoftEdge\PhishingFilter" -Name "PreventOverrideAppRepUnknown" -Value 1

Conclusiones

La seguridad en los endpoints no puede depender únicamente de una solución antivirus o configuraciones aisladas; debe ser integral y abarcar múltiples capas de protección. En el caso de Windows, la combinación de herramientas como Microsoft Defender, reglas de ASR, control de navegación, cifrado de datos y restricción de aplicaciones permite fortalecer los sistemas contra ataques avanzados y minimizar la superficie de ataque. 

Para un bastionado completo y efectivo, siempre es recomendable consultar guías de seguridad confiables, aplicar configuraciones endurecidas y mantenerse actualizado con las últimas recomendaciones de la industria. Entre ellas, destacan los benchmarks y guías detalladas para proteger los sistemas operativos como el CIS Benchmark para Windows Desktop o del CCN, para la compatibilidad de la seguridad de endpoint con ENS

Adoptar estos estándares y mejores prácticas permite a empresas y usuarios mejorar significativamente la seguridad de sus sistemas sin depender únicamente de configuraciones predeterminadas. La seguridad debe ser un proceso continuo, adaptándose a las nuevas amenazas y reforzando la protección mediante herramientas avanzadas y políticas bien definidas. 

Etiquetas