Consejos de seguridad para proteger un equipo Windows 11 al máximo posible sin instalar antivirus/EDR de terceros. Aunque la práctica recomendada es adquirir licencia de un antivirus/EDR profesional e instalarlo en el equipo, indicamos aquí algunos trucos/consejos para securizar nuestro equipo Windows 11 sin antivirus externo, con el propio Windows Defender.
- Actualizaciones de seguridad de Windows 11.
- Cortafuegos de Windows 11.
- Configuración de red segura en Windows 11.
- Activar aislamiento del núcleo en Windows 11.
- Protección antivirus y contra amenazas – Seguridad de Windows.
- Control de aplicaciones y navegador – Seguridad de Windows.
- Trabajar con cuenta de usuario limitada.
- Ejecutar descargas dudosas o acceder a sitios web peligrosos, Sandbox.
- Postura de seguridad final tras aplicar todas las medidas anteriores.
Actualizaciones de seguridad de Windows 11
En primer lugar, mantendremos siempre actualizado el sistema operativo Windows 11. De vez en cuando, desde Windows Update, revisaremos que el equipo está actualizado:

Por defecto, las actualizaciones de Windows se realizan de forma automática. Es conveniente que sea así, para que tengamos el equipo siempre actualizado:

Cortafuegos de Windows 11
Este elemento de seguridad es fundamental en Windows 11. Debemos tenerlo siempre activo, dado que será la primera barrera de defensa en caso de ataque. Cuando un atacante encuentra alguna vulnerabilidad en el sistema, si tenemos el cortafuegos activo, puede que el acceso se bloquee (no siempre evidentemente). Por lo tanto, revisaremos que tenemos el firewall de Windows activo:

revisaremos que esté activo en todas las zonas (dominio, privada y pública). En caso de no estarlo, se puede activar pulsando en «Propiedades de Firewall de Windows Defender»:

Se activa por cada zona:

Si disponemos de algún acceso externo a nuestro equipo (por ejemplo por Escritorio Remoto), crearemos o modificaremos la regla del cortafuegos existente para limitar los equipos externos a los que permitamos la conexión. No debemos tener reglas de acceso externo con todas las direcciones permitidas. Por ejemplo, en la regla de acceso a Escritorio Remoto, en el ámbito, añadiremos únicamente las IP de los equipos a los que queramos permitir el acceso:

En este caso, sólo permitiremos el acceso por RDP (Escritorio remoto) a los equipos con IP 192.168.1.202 y 192.168.100.200:

Configuración de red segura en Windows 11
Desde la configuración del adaptador de red del equipo:

Elegiremos el adaptador de red «Ethernet» y pulsaremos con el botón derecho del ratón sobre él, eligiendo «Propiedades»:

Para securizar al máximo, desmarcaremos todas las opciones salvo «Cliente para redes Microsoft» y «Protocolo de Internet versión 4 (TCP/IPv4). Salvo que vayamos a compartir alguna impresora o carpeta de nuestro equipo, desmarcaremos también la opción de «Uso compartido de archivos e impresoras para redes Microsoft» (es lo recomendable):

En la ventana anterior, pulsaremos en «Propiedades». revisaremos los servidores DNS, es conveniente usar DNS seguros o bien desplegar algún DNS interno con bloqueo de publicidad y sitios web con malware (como indicamos en este tutorial):

En la ventana anterior, pulsaremos en «Opciones avanzadas…». En la pestaña «WINS» desmarcaremos todo, dejando marcado «Deshabilitar NetBios a través de TCP/IP». Desmarcaremos también «Habilitar búsqueda de LMHOSTS»:

Aceptaremos en todas las ventanas anteriores para aplicar los cambios.
Activar aislamiento del núcleo en Windows 11
Activaremos el aislamiento del núcleo, tal y como indicamos en este tutorial:

Protección antivirus y contra amenazas – Seguridad de Windows
Desde el panel de «Seguridad de Windows»:

Comprobaremos, módulo a módulo, que los tenemos todos activados. Empezamos por «Protección antivirus y contra amenazas»:

En «Configuración de antivirus y protección contra amenazas», pulsaremos en «Administrar la configuración»:

Nos aseguraremos de tener marcados todas las protecciones:
- Protección en tiempo real.
- Protección de unidad para desarrolladores.
- Protección basada en la nube.
- Envío de muestras automático.
- Protección contra alteraciones.

En la parte inferior, en «Controla el acceso a la carpeta», pulsaremos en «Administrar el acceso controlado a carpetas»:

Activaremos la protección contra ransomware y en «Carpetas protegidas» agregaremos todas las unidades de disco y carpetas que queramos proteger contra una posible infección por ransomware:

Una vez protegidas, si algún programa o proceso intenta hacer modificaciones en los ficheros de alguna de las carpetas protegidas, Windows lo bloqueará. Por ejemplo, el programa ProyectoA Gestión Integral, que necesita modificar un fichero INI, si está en las carpetas protegidas, mostrará el error:

En este caso, si es una aplicación no maliciosa y sabemos que es correcta, podremos agregarla como excepción, pulsando en «Permitir que una aplicación acceda a una de las carpetas controladas»:

Pulsaremos en «Agregar una aplicación permitida» y en el desplegable, si Windows la bloqueó anteriormente, podemos pulsar en «Aplicaciones bloqueadas recientemente»:

Nos mostrará todas las aplicaciones que haya bloqueado recientemente. Si la aplicación que queremos permitir está en el listado pulsaremos en el botón + de su izquierda. En caso de no estar en el listado podremos explorar y buscarla en el disco duro o en las aplicaciones instaladas:

También es recomendable activar la opción de Recuperación de datos por ataque de ransomware, configurando una cuenta de Microsoft con espacio para copias de seguridad de nuestros datos en la nube:

Control de aplicaciones y navegador – Seguridad de Windows
Accederemos a la Seguridad de Windows y a «Control de aplicaciones y navegador», pulsaremos en «Activar» en «Protección basada en reputación»:

Una vez activada la Protección basada en reputación, pulsaremos en «Configuración de Protección basada en reputación»:

Y revisaremos que tenemos activadas todas las opciones:
- Comprobar aplicaciones y archivos.
- SmartScreen para Microsoft Edge.
- Protección contra el phishing.
- Bloqueo de aplicaciones potencialmente no deseadas.
- SmartScreen para aplicaciones de Microsoft Store.


Revisaremos también la opción de seguridad «Protección contra vulnerabilidades», pulsando en «Configuración de Protección contra vulnerabilidades»:

Por defecto todas las opciones están activadas, salvo «Forzar la selección aleatoria de imágenes (ASLR obligatorio)»:

Trabajar con cuenta de usuario limitada
Es muy recomendable usar un usuario que NO sea administrador del equipo para el trabajo diario habitual. únicamente iniciaremos sesión con el usuario administrador en caso de tener que hacer alguna acción concreta que requiera de los privilegios de administrador (como instalar software).
De esta forma, si la sesión iniciada con el usuario limitado se ve comprometida (por un ataque, una vulnerabilidad o una ejecución de software malicioso desde email, pendrive o cualquier otro medio) al ser un usuario limitado, el atacante o el software malicioso no podrá realizar modificaciones en el sistema operativo para propagarse y establecer su persistencia.
Dejaremos un usuario administrador del equipo, con una contraseña de fortaleza alta, sólo para uso excepcional en caso de establecer configuraciones en Windows o instalación de aplicaciones.
En este ejemplo, el usuario alonso es un usuario limitado y es con el que se inicia sesión de forma normal para trabajar. El usuario mm_es_u_a tiene una contraseña de fortaleza alta (letras, números, mayúsculas, minúsculas, caracteres especiales y de 14 caracteres de longitud) y pertenece al grupo de Administradores. Este usuario sólo se usa en caso de tener que hacer alguna tarea en el equipo que requiera de privilegios elevados. Cuando se ha finalizado la tarea se cierra sesión y se accede con el usuario limitado de trabajo.

Como indicamos, el usuario alonso es únicamente miembro del grupo «Usuarios»:

Mientras que el usuario mm_es_u_a es miembro del grupo Administradores:

Dado que ya contamos con un usuario administrador del equipo, es muy recomendable tener la cuenta de «administrador» que se crea en la instalación de Windows deshabilitada:

Ejecutar descargas dudosas o acceder a sitios web peligrosos, Sandbox
Si necesitamos ejecutar algún fichero de origen dudoso o acceder a algún sitio web que pueda ser «peligroso», es muy recomendable usar Windows Sandbox, o bien desde el propio navegador Edge, o bien (más seguro) desde Windows Sandbox:

Esto lanzará un equipo virtual aislado desde el que podremos hacer pruebas sin que afecten a nuestro equipo. En este tutorial explicamos cómo activar Windows Sandbox:
Postura de seguridad final tras aplicar todas las medidas anteriores
Desde «Seguridad de Windows», pulsando en «Inicio», debemos tener una visión global como la siguiente, que indica que todas las medidas de seguridad de Windows están aplicadas:

También nos lo indicará en el área de notificación, con el icono de Seguridad de Windows, aparecerá con un círculo verde con el símbolo de verificado y el texto «Seguridad de Windows – No se requieren acciones»:
