Hardening en Windows 11 con herramientas de terceros

Windows 11 (y Windows 10) son sistemas muy cómodos, pero vienen “abiertos” de fábrica para que casi todo funcione a la primera: protocolos antiguos, servicios que no usas, asistentes, telemetría, PowerShell con toda su artillería… Esa misma comodidad es justo lo que aprovechan atacantes y malware para entrar, moverse por la red y escalar privilegios con relativa facilidad si no haces nada más que instalar el antivirus y cruzar los dedos.

El hardening o bastionado de Windows consiste en cerrar esas puertas que sobran, activar las defensas que vienen desactivadas, controlar qué aplicaciones se pueden ejecutar y supervisar de forma continua que la configuración segura no se vaya degradando con el tiempo. Y aunque muchas cosas se pueden hacer “a mano”, hoy en día es casi impensable plantear un proyecto serio de hardening sin apoyarse en herramientas de terceros que automaticen pruebas, despliegue y monitorización.

Qué es el hardening en Windows 10 y 11 y por qué es obligatorio tomárselo en serio

Hardening, endurecimiento o bastionado significa reducir la superficie de ataque del sistema ajustando la configuración de sistema operativo, aplicaciones y servicios a unas líneas base seguras (CIS, DISA STIG, guías de Microsoft, etc.). La idea es muy simple: cada función innecesaria, cada servicio escuchando en segundo plano, cada script habilitado sin motivo, supone un vector de ataque más.

Los fabricantes, incluido Microsoft, priorizan la funcionalidad sobre la seguridad: quieren que Windows funcione en casi cualquier equipo y entorno, así que habilitan compatibilidades, protocolos heredados y componentes que la mayoría de usuarios ni sabe que existen. Todo eso está genial hasta que un atacante explota justo uno de esos “extras” que tú no necesitabas en absoluto.

El hardening se ha convertido en un requisito explícito en normativas y estándares (ISO 27001, ENS, PCI-DSS, CIS, STIG, etc.). Ya no es un “nice to have”: las organizaciones deben definir políticas de hardening específicas por tipo de sistema, rol, versión, entorno (producción, pre, laboratorio, puestos de usuario, servidores, kioscos, VDI…) e ir al máximo nivel de granularidad razonable.

Aplicar hardening sin método es la receta perfecta para romper producción. El proceso serio siempre pasa por tres fases: primero probar, luego aplicar de forma controlada, y después monitorizar de manera continua. Es justo aquí donde entran en juego las herramientas de terceros: sin ellas, los errores humanos y las sorpresas en producción están prácticamente garantizados.

Las tres fases de un proyecto de hardening en Windows

1. Fase de pruebas: entender el impacto de cada regla

Si aplicas una línea base “dura” directamente sobre producción, lo normal es que rompas cosas. Muchas guías recomiendan deshabilitar todo lo que huela a riesgo potencial, pero en la vida real tienes aplicaciones heredadas, integraciones con terceros, servicios que dependen de protocolos viejos y usuarios que trabajan con macros o componentes ActiveX.

La forma correcta de probar es simular la red real en un entorno de laboratorio lo más parecido posible, aplicar las políticas de hardening allí y observar qué se rompe: aplicaciones que dejan de arrancar, servicios que no conectan, impresiones que fallan, tareas programadas que ya no se ejecutan, etc. Esta fase es, con diferencia, la más larga, cara en horas y delicada de todo el proyecto.

Cada cambio de configuración debe evaluarse en términos de impacto vs. beneficio de seguridad. Hay reglas que son incuestionables (por ejemplo, deshabilitar protocolos arcaicos o hashes LM), y otras en las que tendrás que aceptar cierto riesgo porque la alternativa es inasumible funcionalmente. El resultado de esta fase suele ser una línea base “adaptada” a tu entorno, derivada de una referencia como CIS o STIG, pero ajustada a la realidad.

2. Fase de aplicación y despliegue controlado

Una vez afinada la política, hay que aplicarla en todos los componentes de la red: estaciones de trabajo, portátiles, servidores de aplicaciones, de bases de datos, controladores de dominio, servidores de archivos, etc. Hacer esto a mano o a base de scripts descontrolados es un billete directo al caos.

Las herramientas de gestión de configuración y de hardening permiten orquestar el despliegue desde un único punto de control, asegurando que cada tipo de sistema reciba el perfil adecuado y que las reglas se apliquen exactamente como se han probado. Aquí entran en juego tecnologías como GPO, System Center Configuration Manager, Ansible, Puppet, Chef, o soluciones especializadas de endurecimiento.

Otra ventaja clave es la trazabilidad: quién cambió qué, cuándo y en qué sistemas. Sin esa visibilidad, cuando una actualización de seguridad o un cambio de aplicación provoca un comportamiento extraño, resulta extremadamente difícil diagnosticar si la culpa está en el hardening, en un parche o en una mala configuración local.

3. Fase de monitorización y mantenimiento continuo

Una red corporativa es un entorno vivo: se instalan nuevas aplicaciones, se dan de baja equipos, se cambian roles de servidores, se añaden usuarios con distintos niveles de privilegio, etc. Si no monitorizas el cumplimiento de la línea base, en pocos meses volverás a un estado inseguro muy parecido al inicial.

La supervisión continua implica detectar desviaciones de la configuración esperada, tanto accidentales (un técnico que habilita algo “temporalmente” y se olvida) como malintencionadas (alguien que intenta reabrir una puerta cerrada por el hardening). Algunas herramientas permiten incluso corregir automáticamente esas desviaciones y dejar constancia en un registro central.

Los escáneres de cumplimiento juegan aquí un papel importante: comparan cada sistema contra una referencia (CIS, STIG, guías de Microsoft, bases corporativas internas) y generan informes del estado de endurecimiento y de la evolución en el tiempo, algo fundamental para auditorías y para priorizar acciones de mejora.

Herramientas de automatización de hardening: el enfoque “todo en uno”

Las herramientas específicas de automatización de hardening son las más completas, porque cubren las tres fases: prueban el impacto de las reglas, despliegan la configuración y monitorizan desviaciones, todo desde una consola central.

Su gran baza es el análisis de impacto automatizado: en lugar de que tus equipos de sistemas tengan que ir prueba a prueba, estas soluciones aprenden el comportamiento de los servidores y simulan qué ocurriría al aplicar una política concreta, indicando qué servicios se verían afectados antes de tocar producción.

Entre las soluciones orientadas a servidores destacan:

• CalCom Server Hardening Solution (CHS): plataforma pensada para endurecer servidores Windows reduciendo al mínimo los cortes de servicio. Analiza el impacto de cada regla, ayuda a ajustar la línea base y aplica los cambios de forma controlada. Además, vigila de manera continua que los servidores se mantengan alineados con la política de seguridad aprobada.
• CalCom Security Solution para IIS: enfoque similar, pero centrado en servidores web IIS. Se ocupa de la configuración de seguridad del middleware (cabeceras, cifrados, módulos, permisos, etc.), un punto tradicionalmente conflictivo, y automatiza tanto la fase de análisis de impacto como la aplicación y el seguimiento de la configuración segura.

Este tipo de herramientas suelen apoyarse en benchmarks reconocidos (CIS, STIG) y en guías de Microsoft, pero permiten personalizar perillosamente cada regla para adaptarla al contexto concreto de la organización, algo clave cuando trabajas con aplicaciones corporativas muy críticas.

Herramientas de gestión de configuración: Ansible, Chef, Puppet, SCCM…

Las plataformas de gestión de configuración (SCM) no nacieron para el hardening, pero son ideales para aplicarlo a escala: te permiten definir “cómo debe estar” cada tipo de sistema y empujan esa configuración a toda la infraestructura de forma repetible.

Desde el punto de vista de seguridad, un SCM te da varias ventajas:

• Aplicar de golpe una política de configuración compleja (reglas de firewall, servicios, permisos, directivas locales…) a miles de equipos sin editar nada a mano.
• Versionar la configuración: puedes saber qué versión de la política se está usando en cada momento y volver atrás si algo sale mal.
• Revisar cambios y aprobarlos: no se mete nada en producción sin pasar por un proceso de revisión, lo que reduce el riesgo de “locuras” individuales.
• Auditar y registrar: cada cambio queda reflejado, algo vital en entornos regulados.

Ejemplos habituales de este tipo de herramientas son:

• Ansible: muy extendido en entornos Linux, pero también capaz de gestionar Windows. A través de playbooks se define el estado deseado de los equipos y se aplica de forma idempotente.
• Chef: orientado a DevSecOps, permite gestionar tanto la entrega de aplicaciones como la configuración segura de la infraestructura y la verificación de cumplimiento.
• Puppet: otra plataforma de automatización de infraestructura, también usable para imponer directivas de seguridad en Windows y otros sistemas.
• Microsoft System Center Configuration Manager (SCCM / ConfigMgr): clásico en entornos Windows corporativos, combina distribución de software, gestión de parches, inventario y control de configuración del sistema operativo.

Aunque estas soluciones no traen “hardening de serie”, sí permiten traducir líneas base (CIS, STIG, plantillas de Microsoft) a código y desplegarlas de forma consistente en todo el parque, reduciendo drásticamente el error humano.

Escáneres de cumplimiento: medir qué tan endurecido está tu Windows

Los escáneres de cumplimiento no aplican configuración, pero son el termómetro de tu posture de seguridad. Evalúan cada equipo o servidor frente a una referencia (por ejemplo, CIS Benchmark for Windows 11, STIG de DISA o plantillas propias) y devuelven un informe de “qué falta” o “qué sobra”.

Su función principal es la monitorización y la generación de evidencias para auditorías internas y externas: permiten demostrar con datos objetivos en qué grado cumples una normativa o estándar determinado, y sirven para priorizar acciones de remediación.

Algunos ejemplos habituales de este tipo de herramientas son:

• Tripwire Configuration Manager: ofrece una visión central del estado de configuración y cumplimiento de todos tus activos, con capacidad de detección de cambios no autorizados.
• Qualys: conocido por el escaneo de vulnerabilidades, también dispone de módulos de análisis de configuración y cumplimiento sobre múltiples tecnologías, incluido Windows.
• NNT SecureOps: se centra en control de cambios inteligente y automatización, auditando configuraciones, detectando desviaciones en tiempo real y ayudando a mantener el cumplimiento de forma continua.
• CIS-CAT Pro Assessor: herramienta del Center for Internet Security que compara tus sistemas contra los benchmarks CIS y genera informes detallados de qué parámetros cumplen y cuáles no.

En un esquema maduro, lo normal es combinar SCM / herramientas de hardening para aplicar políticas y escáneres de cumplimiento para verificar y medir resultados, cerrando así el círculo entre definición, despliegue y control.

Herramientas de código abierto y utilidades gratuitas para endurecer Windows

Además de las soluciones comerciales, existe un ecosistema muy rico de herramientas open source y gratuitas orientadas al hardening y a la evaluación de seguridad en Windows. Suelen ser menos “bonitas” que las plataformas de pago, pero son tremendamente útiles para análisis puntuales y para entornos con presupuesto ajustado.

Algunas de las más interesantes son:

• Salt Project: framework de automatización que permite orquestar infraestructuras, ejecutar comandos remotos y gestionar configuración. Se puede usar para imponer parámetros de seguridad en Windows y mantenerlos en el tiempo.
• Microsoft Security Compliance Toolkit (SCT): paquete oficial de Microsoft con líneas base de configuración de seguridad, scripts y herramientas para analizarlas, probarlas y compararlas con el estado real de tus equipos.
• Hardening Auditor: colección de scripts orientados a revisar el cumplimiento de sistemas Windows frente a guías de endurecimiento concretas (por ejemplo, las del organismo australiano ASD para Windows 10 y Office).
• Windows Exploit Suggester – Next Generation (WES-NG): a partir del resultado de systeminfo.exe genera una lista de vulnerabilidades que afectan al sistema y posibles exploits asociados, muy útil para ver qué parches críticos faltan.
• Privesc (PowerShell) y windows-privesc-check: scripts que analizan el sistema en busca de configuraciones erróneas que puedan permitir escalada de privilegios (permisos laxos, servicios mal configurados, rutas vulnerables, etc.).

Este tipo de herramientas son especialmente útiles en la fase de pruebas y de auditoría técnica, ayudando a descubrir puntos débiles que una simple revisión de GPO o plantillas puede pasar por alto.

Hardening específico en estaciones Windows 10 y 11: de lo básico a lo avanzado

Más allá de la capa “de proceso” y de las herramientas globales, en los puestos de usuario hay una larga lista de ajustes concretos que marcan la diferencia. Algunos vienen de la propia Microsoft, otros de guías gubernamentales, y otros de la experiencia acumulada en incidentes reales.

Uso de versiones y parches actualizados

Primer punto obvio pero todavía incumplido en muchas organizaciones: usar siempre versiones soportadas x64 y mantenerlas parcheadas. Windows 10/11 de 64 bits incluyen mitigaciones como DEP a nivel de kernel, PatchGuard, firma obligatoria de drivers y ausencia de compatibilidad con controladores de 32 bits, lo que hace mucho más difícil explotar ciertas categorías de vulnerabilidades.

La gestión de parches debe ser centralizada, ya sea con WSUS, ConfigMgr, Windows Update for Business o soluciones similares, combinada con Wake-on-LAN para parchear fuera del horario crítico cuando sea posible. Los ataques de “1-day” (explotar justo después de que se publique un parche) se han disparado, así que reducir la ventana de exposición es clave.

Control de cuentas, credenciales y privilegios

El tratamiento de las cuentas privilegiadas es uno de los pilares del hardening. No tiene sentido desplegar todas las mitigaciones técnicas del mundo si luego los usuarios trabajan todo el día con cuentas de administrador local o de dominio.

Buenas prácticas básicas en este frente:

• Usar cuentas estándar para el trabajo diario y reservar las cuentas con privilegios solo para tareas administrativas concretas.
• Separar cuentas de usuario y de administración, con credenciales distintas y, a ser posible, sin acceso a Internet/mensajería en las cuentas admin.
• Implantar LAPS (Local Administrator Password Solution) o su sucesor para garantizar contraseñas únicas y robustas en las cuentas de administrador local, evitando el “password único” que permite movimientos laterales masivos.
• Restringir el uso de credenciales privilegiadas en estaciones de alto riesgo (equipos de usuarios estándar, máquinas compartidas, etc.).
• Activar Credential Guard cuando el hardware lo permita, para aislar en memoria secreta las credenciales manejadas por LSASS.

Además, conviene limitar agresivamente el caché de credenciales (por ejemplo, a un solo inicio de sesión anterior) y deshabilitar tecnologías históricamente problemáticas como WDigest o el almacenamiento de hashes LM, que son una mina de oro en ataques de fuerza bruta offline.

Configuración de seguridad de aplicaciones y del propio Windows

Muchas intrusiones empiezan explotando aplicaciones “de usuario” que vienen mal configuradas por defecto: Office permitiendo macros sin restricciones, lectores PDF aceptando JavaScript o ejecución incrustada, Java con permisos demasiado amplios, navegadores sin política de plugins, etc.

Algunas medidas clave en este terreno:

• Aplicar líneas base de seguridad para Microsoft Office, PDF readers, Java y navegadores, deshabilitando macros no firmadas, contenido activo innecesario y plugins obsoletos.
• Desplegar Microsoft Defender Exploit Guard en Windows 10/11 (o equivalentes de terceros) para habilitar mitigaciones de explotación generales (DEP, CFG, ASLR, SEHOP, protección de heap) y específicas por aplicación.
• Activar las Attack Surface Reduction Rules (ASR) en Defender Antivirus o tecnologías similares en productos de terceros, especialmente las orientadas a Office y scripts.
• Forzar la ejecución de Microsoft Edge con Application Guard para aislar la navegación de sitios no confiables en contenedores, reduciendo el impacto de exploits web.

En cuanto al propio sistema Windows, hay un paquete de ajustes casi obligatorios: reforzar UAC para que todas las operaciones sensibles requieran credenciales en escritorio seguro, obligar el uso de Secure Desktop para entrada de contraseñas, deshabilitar servicios innecesarios (spooler de impresión en equipos que no imprimen, servicios remotos que no se usan, etc.) y activar funcionalidades como Early Launch AntiMalware (ELAM), arranque seguro, arranque medido y aislamiento de núcleo cuando el hardware lo soporte.

Control de ejecución de código: AppLocker, SRP y soluciones avanzadas

El control de aplicaciones es probablemente una de las defensas más eficaces en el puesto de usuario. La idea: solo se ejecuta lo que tú dices. Nada de EXEs, scripts o DLLs improvisados desde descargas, USB o rutas no controladas.

En entornos Windows de dominio existen varias opciones nativas:

• AppLocker: permite definir reglas por editor (firma), ruta o hash, tanto para ejecutables como para scripts, instaladores y aplicaciones empaquetadas. Bien configurado y combinado con listas blancas realistas, reduce drásticamente el riesgo de ejecución de código no autorizado.
• Software Restriction Policies (SRP): más antiguo pero todavía útil en algunos escenarios, permite bloquear ejecución fuera de rutas “bendecidas” y listas blancas sencillas.
• Access controlado a carpetas (Defender): se centra en proteger directorios clave frente a modificaciones no autorizadas, mitigando especialmente el impacto de ransomware.

En los últimos años han surgido herramientas de terceros que facilitan aún más este enfoque, especialmente para usuarios avanzados y entornos domésticos o de pequeña oficina:

• HardenTools: utilidad ligera que deshabilita de un plumazo componentes de Windows con alto riesgo de abuso (Windows Script Host, ciertas integraciones de PowerShell, macros, ActiveX y OLE en Office, JavaScript incrustado en PDF, etc.), ideal para “alejar del alcance” funcionalidades que el usuario normal nunca va a necesitar.
• Hard_Configurator: herramienta muy potente que actúa como interfaz sobre políticas SRP, SmartScreen y restricciones de scripts. Permite establecer listas blancas por ruta o hash, activar modos estrictos de validación de binarios, deshabilitar ejecución en unidades externas, proteger determinadas zonas del sistema y automatizar la creación de puntos de restauración.
• Harden System Security y AppControl Manager (proyectos disponibles en GitHub): el primero ofrece una GUI muy clara para endurecer Windows desactivando componentes poco usados (PowerShell v2, Windows Media Player, telemetría excesiva, etc.) y ajustando firewall y servicios; el segundo se centra en la definición de directivas de control de aplicaciones fáciles de entender (por ejemplo, bloquear todo lo que intente ejecutarse desde Descargas), generando la configuración en XML para que la integridad de código de Windows pueda aplicarla.

El objetivo de todas estas herramientas es el mismo: que sea el administrador quien decida qué se puede ejecutar, desde dónde y con qué permisos, en lugar de que cualquier archivo descargado tenga vía libre.

Seguridad de red, cifrado y otros ajustes imprescindibles

Una parte importante del hardening de Windows 11 con herramientas de terceros tiene que ver con cómo habla el sistema con el resto del mundo: red interna, Internet, dispositivos externos y servicios en la nube.

Firewall, SMB, RPC y protocolos heredados

El firewall de Windows, bien configurado, es mejor que muchos cortafuegos perimetrales, porque decide qué aplicaciones pueden comunicarse, no solo qué puertos. Endurecerlo implica definir reglas claras de entrada y salida, limitar servicios expuestos y activar opciones como el modo oculto para reducir la visibilidad del host.

En servicios de compartición de ficheros y autenticación, hay varios puntos críticos:

• Firmar y cifrar adecuadamente las sesiones SMB para evitar secuestro de sesión y manipulación de tráfico.
• Restringir el uso de NTLMv2 solo cuando sea estrictamente necesario y priorizar Kerberos siempre que sea posible.
• Forzar la autenticación de clientes RPC para impedir comunicaciones anónimas que exponen demasiada información de la red.
• Deshabilitar NetBIOS over TCP/IP salvo en escenarios heredados muy controlados.

También conviene blindar la superficie expuesta a través de puertos “de control remoto”: restringir Escritorio remoto a los usuarios y equipos donde sea imprescindible, reforzar la cola de impresión, desactivar Asistencia remota si no se usa y proteger WinRM con autenticación y cifrado adecuados.

Cifrado de disco, dispositivos externos y DMA

El cifrado completo de disco con BitLocker o equivalente es prácticamente obligatorio en portátiles y en entornos donde un disco pueda terminar en manos de terceros. Al cifrar el disco con AES y proteger las claves con TPM (y, opcionalmente, PIN o factores adicionales), reduces drásticamente el riesgo de acceso a datos en caso de robo o pérdida del equipo.

Junto al cifrado, el control de dispositivos externos es otro frente clave:

• Limitar o bloquear el uso de unidades USB y otros dispositivos de almacenamiento a través de políticas de grupo o soluciones de control de dispositivos, permitiendo solo aquellos estrictamente necesarios.
• Deshabilitar la ejecución automática y la reproducción automática tanto en medios ópticos como en USB para impedir que se lancen ejecutables sin intervención del usuario.
• Desactivar o proteger interfaces con acceso DMA (FireWire, Thunderbolt), ya que permiten leer/escribir directamente en memoria y saltarse ciertas defensas del sistema operativo.

Tampoco hay que olvidar la grabación de CD/DVD (donde siga existiendo), que puede ser un vector de fuga de información si los usuarios tienen acceso libre. En la mayoría de casos, basta con limitarla vía GPO o sustituir grabadoras por simples lectores.

Telemetría, Copilot y búsqueda web: reducir fugas de información

Windows 10 y 11 incluyen múltiples funciones que comparten información con servicios de Microsoft: telemetría de errores, inventario de apps, consultas de búsqueda web desde el menú Inicio, integración con OneDrive, Copilot con Bing Chat, etc. Desde un punto de vista de seguridad y privacidad, conviene evaluar cuidadosamente qué se mantiene activado.

Buenas prácticas razonables en entornos corporativos:

• Redirigir la información de errores y diagnósticos a un servidor corporativo de reporting en lugar de enviarla a Microsoft salvo que se haya firmado un acuerdo específico.
• Desactivar la búsqueda web integrada en el menú Inicio para evitar que términos sensibles viajen a la nube sin necesidad.
• Bloquear o posponer el uso de Windows Copilot en entornos corporativos hasta tomar una decisión informada basada en el riesgo, priorizando configuraciones con Bing Chat Enterprise cuando se permita.
• Evitar la vinculación de cuentas Microsoft personales con cuentas de dominio para que la configuración y los archivos corporativos no se sincronicen con dispositivos no controlados.

Hardening “fino”: políticas de seguridad, auditoría y experiencia de usuario

La guinda del bastionado de Windows 11 con herramientas de terceros está en los detalles: políticas de bloqueo, auditoría, power management, UI… todas esas pequeñas cosas que, bien ajustadas, cierran huecos y mejoran la detección de incidentes.

Algunos ejemplos:

• Configurar políticas de bloqueo de cuenta razonables (por ejemplo, 5 intentos fallidos y reintento tras 15 minutos) para frenar ataques de fuerza bruta sin bloquear a usuarios legítimos cada dos por tres.
• Deshabilitar inicios de sesión con cuentas invitado integradas y cambiar su nombre, si por requisitos de compatibilidad no pueden eliminarse del todo.
• Desactivar modo seguro para cuentas no administrativas, dificultando que un usuario estándar eluda controles arrancando en Safe Mode.
• Habilitar bloqueo de sesión automático tras un periodo razonable de inactividad (10-15 minutos) y limitar la información sensible mostrada en la pantalla de bloqueo.
• Evitar que usuarios estándar puedan abrir regedit, cmd o PowerShell sin control, salvo cuando se justifique de forma expresa.
• Forzar un nivel mínimo de complejidad y longitud en contraseñas, diferenciando cuando se usan como factor único o dentro de MFA.
• Deshabilitar hibernación y suspensión híbrida en equipos muy sensibles, reduciendo la exposición de claves en memoria o en ficheros de hibernación.

En paralelo hay que diseñar una política de auditoría bien pensada: qué eventos registrar, cuánto tiempo conservarlos, dónde centralizarlos (SIEM, servidor de logs) y cómo correlacionarlos. De nada sirve que Windows genere toneladas de logs si luego nadie los revisa ni se pueden usar en una investigación forense.

Por último, la experiencia de usuario importa más de lo que parece: si el hardening convierte el puesto en algo insufrible, los usuarios buscarán vías alternativas (USB personales, nubes no autorizadas, móviles, etc.). Las herramientas de terceros con buenas interfaces, como Harden System Security o AppControl Manager en entornos pequeños, o soluciones corporativas bien integradas, ayudan precisamente a lograr un equilibrio razonable entre seguridad y usabilidad.

Adoptar un enfoque serio de hardening en Windows 11 apoyado en herramientas de terceros implica asumir que la seguridad no es un check puntual, sino un proceso continuo de diseño de políticas, pruebas de impacto, despliegue controlado y monitorización constante; combinando las capacidades nativas de Windows (Defender, BitLocker, AppLocker, Exploit Guard, Application Guard, Sandbox, Credential Guard…) con plataformas de automatización, escáneres de cumplimiento y utilidades especializadas, es perfectamente viable convertir tanto los servidores como los equipos de usuario en sistemas mucho más resistentes a malware, errores de configuración e intrusiones, sin renunciar por ello a la productividad del día a día.