MENU
  1. Inicio
  2. Windows
  3. Windows Server
  4. Guía completa para instalar el Security Baseline en Windows Server 2022 paso a paso

Guía completa para instalar el Security Baseline en Windows Server 2022 paso a paso

Windows Server

El Security Baseline de Windows Server 2022 permite implantar, en cuestión de minutos, cientos de configuraciones recomendadas por Microsoft para reducir la superficie de ataque, cumplir normativas y estandarizar la seguridad de todos los servidores de la organización.

Índice

Resumen del problema

Muchos administradores se encuentran con tres obstáculos recurrentes cuando intentan aplicar el Windows Server 2022 Security Baseline:

  • No localizan una guía oficial que describa la instalación end‑to‑end.
  • Tienen dudas acerca de dónde ubicar los archivos .admx y .adml para que estén disponibles en todo el dominio.
  • Reciben errores al lanzar el script en un Controlador de Dominio (DC) porque faltan dependencias —en especial LGPO.exe— o por políticas de ejecución restrictivas.

En la siguiente guía se describe un procedimiento probado en entornos de laboratorio y en producción para superar todos esos escollos.

Solución paso a paso

Descargar el Security Compliance Toolkit

  1. Acceda al Security Compliance Toolkit y descargue la versión más reciente. El paquete contiene la carpeta Windows Server‑2022‑Security‑Baseline‑FINAL.
  2. Dentro encontrará dos subcarpetas clave:
    • Scripts: incluye los instaladores (.ps1) y plantillas (.gpo).
    • Tools: aloja herramientas auxiliares como LGPO.exe.
  3. Compruebe que LGPO.exe esté presente. De no ser así, descárguelo y cópielo manualmente en la subcarpeta Tools o en cualquier ruta incluida en la variable de entorno %Path%.

Ajustar la directiva de ejecución de PowerShell

Para permitir que los scripts firmados se ejecuten sin obstáculos:

Set-ExecutionPolicy RemoteSigned

Establecerla en RemoteSigned es el mínimo necesario; tras la implementación, puede revertirla a un valor más estricto.

Centralizar las plantillas administrativas (.admx)

  1. Copie todos los ficheros .admx junto con la carpeta de idioma .adml a la tienda central de su dominio:
\<dominio>\SYSVOL<dominio>\Policies\PolicyDefinitions

Esta ubicación se replica automáticamente mediante SYSVOL, de modo que cualquier Editor de GPO abrirá las nuevas directivas sin intervención adicional.

Ejecutar el script apropiado

Con una consola de PowerShell elevada, cambie al directorio Scripts y lance:

.\Baseline-LocalInstall.ps1 -WSDomainController   # Para un DC
.\Baseline-LocalInstall.ps1 -WSMember            # Para un servidor miembro
.\Baseline-LocalInstall.ps1 -WSNonDomainJoined   # Para servidores en workgroup

Si el script se ejecuta sin parámetros, devolverá un error con la lista completa de opciones; bastará con repetir la invocación con el modificador adecuado.

¿Qué hace exactamente el script?

  • Importa la configuración de políticas locales mediante LGPO.exe, aplicando cada elemento del baseline.
  • Configura valores de auditoría, políticas de bloqueo de cuenta, TLS 1.2, SMB firma obligatoria y decenas de parámetros adicionales.
  • Genera un registro verbose en el mismo directorio para fines de comprobación y forense.
  • Reinicia servicios críticos (o el propio equipo, si es necesario) para que determinadas claves de registro entren en vigor.

Aplicación en un Controlador de Dominio

Los DC son el «cerebro» del directorio; por tanto:

  • Ejecute el script localmente en el DC con -WSDomainController; evite sesiones remotas que puedan heredar políticas de credenciales restrictivas.
  • Verifique que no exista ninguna GPO de dominio que sobrescriba los valores del baseline. Una revisión rápida con Resultant Set of Policy (rsop.msc) tras la instalación puede ahorrarle horas de depuración.
  • En entornos grandes, considere importar el archivo .gpo provisto en la carpeta Scripts mediante la Consola de Administración de Directivas de Grupo (GPMC). De ese modo, tendrá un único GPO central que puede enlazar a OUs específicas y gestionar mediante control de versiones.

Información complementaria y buenas prácticas

PasoRecomendación
PruebasImplemente primero en un servidor de laboratorio o en una Organizational Unit limitada. Ejecute gpupdate /force y abra rsop.msc para verificar la aplicación.
ReversiónAntes de iniciar el script, exporte la configuración actual con LGPO.exe /b \\servidor\share\BackupBaseline; tendrá un punto de restauración instantáneo.
Actualizaciones futurasMicrosoft publica revisiones del baseline cuando emergen nuevas amenazas. Programe una revisión trimestral del Security Compliance Toolkit.
Auditoría y hardening adicionalCombine el baseline con Microsoft Defender for Identity, LAPS, y las guías CIS Benchmarks para una defensa en profundidad.

Solucionar errores frecuentes

A continuación se listan las incidencias más habituales detectadas en campo, así como su remedio:

  • «El sistema no puede encontrar LGPO.exe»: asegúrese de copiar la herramienta a Tools o a una ruta del %Path%. Compruebe también los permisos NTFS.
  • «Cannot be loaded because running scripts is disabled»: valide que la directiva de ejecución sigue en RemoteSigned. Tras culminar la instalación, puede volver a AllSigned si su política corporativa lo exige.
  • «Access denied» modificando el registro: ejecute la consola con Run as Administrator y confirme que el UAC no esté bloqueando la elevación.
  • Baselines parcialmente aplicados en DC: evalúe conflicto con GPO existentes mediante gpresult /h c:\gp.html; abra el informe y localice parámetros con precedencia superior.

Optimizar el rendimiento tras el baseline

Aunque el Security Baseline refuerza la postura defensiva, algunas configuraciones —por ejemplo, la firma de SMB en redes saturadas— pueden introducir latencias. Si detecta impacto en un workload concreto:

  1. Identifique el parámetro responsable con gpresult y consulte la documentación del baseline.
  2. Genere una GPO de Excepción enlazada a la OU del servidor afectado y ajuste el valor a un nivel equilibrado.
  3. Documente la excepción en su CMDB para futuras auditorías.

Automatizar la verificación de conformidad

Para asegurarse de que los servidores permanecen alineados con el baseline a lo largo del tiempo:

  1. Incorpore la comprobación dentro de su plataforma de Continuous Compliance (por ejemplo, Azure Arc Policy o System Center Configuration Manager DCM).
  2. Automatice alertas que se disparen si un parámetro crítico diverge.
  3. Integre la salida en dashboards de seguridad para obtener una visión unificada.

Preguntas frecuentes (FAQ)

¿Es reversible la instalación del baseline?

Sí. El archivo de copia de seguridad generado por LGPO.exe /b permite restaurar cada clave y cada valor a su estado original.

¿Necesito reiniciar el servidor?

La mayoría de configuraciones surten efecto con gpupdate /force. Sin embargo, cambios en TLS, SMB, y ciertos servicios de seguridad requieren reinicio. El script marca los reinicios necesarios en el log generado.

¿Es compatible con servidores Core?

Totalmente. El baseline se diseñó pensando en ediciones Server Core. La única diferencia es que la verificación gráfica de GPO se reemplaza por cmdlets como Get-GPResultantSetOfPolicy.

Conclusiones

Con la correcta descarga del Security Compliance Toolkit, la centralización de las plantillas .admx, el ajuste de la directiva de ejecución y la ejecución del script adecuado, cualquier administrador puede desplegar el Security Baseline de Windows Server 2022 en menos de una hora. El resultado es un entorno alineado con las mejores prácticas de Microsoft, más resistente a ataques y con trazabilidad completa de cambios.

Windows Server
PowerShell Windows Server 2022 hardening Security Baseline LGPO
Índice