Mejores prácticas para gestionar cuentas locales en Windows 11 de forma segura

  • Separar cuentas de usuario y administración, aplicar privilegios mínimos y usar Ejecutar como reduce drásticamente el impacto de malware y errores humanos.
  • LAPS protege las cuentas de administrador local con contraseñas únicas y robustas, siempre que los permisos de lectura en AD estén muy restringidos y auditados.
  • Las directivas de contraseñas y bloqueo de cuentas en Windows permiten imponer contraseñas largas, complejas y con rotación controlada, dificultando ataques de fuerza bruta y reutilización.
  • Restringir dónde pueden iniciar sesión las cuentas privilegiadas, usar tarjetas inteligentes y auditar el uso de credenciales críticas refuerza la seguridad y la trazabilidad en toda la red.
Joaquin Romero

14 minutos

gestionar cuentas locales en Windows 11

Proteger las cuentas locales y de administrador en Windows 11 ya no es opcional: hoy es una obligación si no quieres que una sola máquina comprometida arrastre a todo tu dominio. Además, conviene comprobar si tus cuentas han sido filtradas.

La gracia está en combinar bien todas las piezas: administradores locales gestionados con LAPS, cuentas de dominio con privilegios mínimos, contraseñas fuertes y políticas de bloqueo coherentes. Si a esto le sumas procedimientos claros (quién puede hacer qué, desde dónde y cómo se audita), tendrás una base muy sólida para gestionar cuentas locales en Windows 11 de forma segura.

Por qué los administradores y las cuentas locales son tan peligrosas

Las cuentas con privilegios elevados son un caramelo para cualquier atacante porque tienen acceso total al equipo y, muchas veces, al dominio completo. Esto aplica tanto al clásico Administrador local como a los grupos de alto nivel en Active Directory.

En un entorno de dominio típico vas a encontrarte al menos estos tipos de cuentas y grupos con alto impacto en la seguridad:

es verdad que lo sistemas recién instalados son más rápidos
Artículo relacionado:
Comprueba si tus cuentas han sido filtradas y protégete rápido
  • Cuentas de administrador local: la integrada de cada equipo (puedes habilitar la cuenta de administrador oculta) y cualquier usuario añadido al grupo local Administradores. Tienen control absoluto del sistema donde residen.
  • Administradores de dominio: cuentas del grupo Administradores del dominio, con autoridad sobre todos los equipos miembros de ese dominio.
  • Administradores de organización (forest admins): en el dominio raíz del bosque, con control sobre todos los dominios y, en la práctica, sobre toda la infraestructura AD.
  • Administradores de esquema y otros grupos especiales: pueden modificar el esquema de AD, gestionar GPO a nivel de bosque, emitir certificados, etc. Cualquier metedura de pata aquí tiene efecto cascada.

El problema no son solo los atacantes externos. También usuarios internos con demasiados permisos o poco conocimiento pueden causar un destrozo monumental: borrar datos críticos, desconfigurar controladores de dominio, desactivar antivirus o abrir la puerta sin querer a malware.

Si además te acostumbras a trabajar siempre logueado como administrador, estás regalando el equipo a cualquier código malicioso: el malware se ejecutará con los mismos privilegios que tu sesión, podrá crear usuarios, volcar hashes, moverse lateralmente y, con un poco de suerte para él, escalar hasta el dominio. Para reducir vectores físicos de compromiso revisa medidas prácticas para proteger tu equipo frente a USBs maliciosos.

Tipos de cuentas administrativas que debes controlar

En la práctica, cuando planificas seguridad en Windows 11 en entorno corporativo, te interesan tres grandes categorías de cuentas con privilegios:

  • Cuentas de administrador local en estaciones y servidores miembros. Incluye la cuenta Administrador integrada y cualquier otro usuario del grupo local Administradores.
  • Cuentas de administrador de dominio, normalmente miembros de Administradores de dominio, que suelen tener privilegios locales también en muchos servidores críticos.
  • Administradores de bosque (miembros de Administradores de organización y, en algunos casos, de Administradores de esquema) que pueden tocar bosques, dominios, CA, tarjetas inteligentes, etc.

A estas hay que sumar un subtipo muy delicado: cuentas asociadas a certificados de agente (agente de recuperación EFS, inscripción, recuperación de claves…). Con ellas se puede suplantar identidades, inscribir tarjetas inteligentes para otros usuarios o descifrar datos. Deberían estar sometidas a políticas de seguridad incluso más estrictas que las cuentas admin normales.

Buenas prácticas básicas: privilegios mínimos y separación de funciones

El principio que más seguridad te va a regalar por menos esfuerzo es el de privilegios mínimos: cada usuario, servicio o equipo debe tener exactamente los permisos que necesita, ni uno más. Pero hay que aplicarlo de verdad, no solo en la presentación de PowerPoint.

Aplicar privilegios mínimos implica varias decisiones prácticas:

  • Dos cuentas por administrador: una cuenta normal para el día a día (correo, navegación, ofimática) y otra solo para tareas administrativas. La cuenta admin no debe usarse para leer correo ni para navegar por Internet.
  • Uso sistemático de Ejecutar como (Runas o Servicio de inicio de sesión secundario) en lugar de trabajar logueado como administrador. Lanzas la consola o herramienta con credenciales elevadas y listo.
  • No dar privilegios de dominio donde no hacen falta: una cuenta con derechos en un bosque no tiene por qué tenerlos en otro, aunque haya confianza entre ellos.
  • Revisión periódica de pertenencia a grupos privilegiados, eliminando cuentas y grupos que ya no se usan o tienen permisos excesivos.
  Cómo forzar solo las actualizaciones que necesitas en Windows 11 sin riesgos

Además, es muy recomendable separar claramente las funciones de Administrador de dominio y Administrador de organización. Puedes optar por una sola cuenta muy protegida para Administradores de organización o, mejor aún, crearla solo cuando haga falta realizar una tarea que lo requiera, usarla y eliminarla inmediatamente después.

LAPS: ventajas reales y riesgos si no lo montas bien

gestionar cuentas locales en Windows 11

LAPS (Local Administrator Password Solution y su versión moderna de Windows LAPS) resuelve uno de los fallos clásicos de muchas redes: la misma contraseña de administrador local en todos los equipos. Esa práctica es una receta perfecta para el movimiento lateral: comprometes un PC, dump de hashes, pass-the-hash, y ya puedes saltar de máquina en máquina.

Con LAPS, cada equipo del dominio tiene una contraseña única, larga y aleatoria para su cuenta de administrador local, almacenada cifrada en Active Directory y rotada automáticamente. Esto aporta ventajas muy claras:

  • Mitiga ataques pass-the-hash y pass-the-ticket: si un atacante roba el hash de administrador local de una máquina, solo le sirve en esa máquina.
  • Facilita el rescate de equipos: si un PC se queda fuera del dominio o el perfil de usuario se corrompe, tienes una credencial de administrador local superrobusta para entrar y arreglarlo.
  • Elimina la necesidad de compartir contraseñas locales “maestras” entre técnicos, con todo el desastre de seguridad que eso supone.

Ahora bien, no es magia. Para que funcione tienes que tener cuentas (o grupos) con permiso para leer esas contraseñas en AD. Y ahí es donde te entra el vértigo: si alguien roba esas credenciales con permisos de lectura LAPS, te puede ir sacando una a una las contraseñas locales de todo el parque.

La clave para que LAPS sea una ventaja neta y no un nuevo agujero es tratar esos permisos de lectura como si fueran oro:

  • Grupo muy reducido de técnicos autorizados (idealmente grupos de seguridad dedicados en AD) con permisos de lectura de atributos LAPS solo en las OUs que necesiten.
  • Auditoría rigurosa de quién lee qué contraseña y cuándo. Esto te da trazabilidad cuando quieras revisar quién ha elevado privilegios en un momento dado.
  • Nunca usar esas cuentas con permisos LAPS para tareas cotidianas. Que sean cuentas de administración específicas o uso de Just-in-Time/Just-Enough Administration si tu entorno lo permite.

Y una pregunta importante: ¿LAPS hace que ya no necesites administradores de dominio locales en los equipos? No necesariamente. Lo razonable es combinar:

  • Un administrador local gestionado con LAPS para incidencias, rescates y tareas muy puntuales.
  • Uno o varios grupos de dominio asignados al grupo Administradores local mediante GPO para tareas de soporte, despliegue de software, escaneo de vulnerabilidades, etc.

Así obtienes la flexibilidad que necesitas para herramientas como escáneres de vulnerabilidades o sistemas de despliegue, pero no dependes de una única credencial local clónica en toda la red.

Cómo mantener visibilidad: quién hace qué cuando eleva privilegios

Surge una duda razonable: si usas LAPS con una sola cuenta de administrador local por equipo, ¿cómo controlas quién ha usado esa cuenta? Desde el punto de vista contable y de auditoría, no quieres un “cajón de sastre” donde todos entran con la misma identidad sin dejar rastro.

La respuesta está en mezclar varias medidas:

  • No usar la sesión interactiva directa con el admin local salvo casos extremos. Lo ideal es que los técnicos se autentiquen con sus propias cuentas nominativas (de dominio), y solo usen la credencial local para tareas que lo exijan.
  • Auditar eventos de inicio de sesión (interactivo, RDP, uso de Runas, etc.) en estaciones y servidores. Puedes centralizar los logs en un SIEM o en un servidor de recopilación de eventos.
  • Vincular la lectura de la contraseña LAPS a una petición de cambio o ticket. Si una herramienta o portal interno obliga a justificar por qué se consulta la contraseña de un equipo, ya tienes trazabilidad.

Al final, si un técnico tiene que ver la contraseña LAPS en AD, debería quedar rastro: quién la pidió, para qué equipo y en qué momento. Eso compensa en parte que la sesión que luego se inicie en el equipo sea con la cuenta local “impersonal”.

  Cómo limitar la telemetría de Windows 11 manteniendo la estabilidad de las apps

Estrategia de cuentas en Windows 11: multiusuario y perfiles separados

Más allá del nivel corporativo, incluso en entornos domésticos o en pequeñas empresas compensa crear un usuario diferente para cada persona o rol. Compartir siempre la misma cuenta (y ya no digamos la de administrador) es una mala idea por varios motivos:

  • Privacidad nula: cualquiera puede ver tus archivos, historial de navegación, correos abiertos en clientes locales, etc.
  • Riesgo de malware y cambios de configuración: si todos son administradores, un usuario inexperto puede instalar software malicioso o desactivar opciones críticas.
  • Falta de trazabilidad: en un entorno de trabajo, si todo el mundo usa “PCVentas” con la misma cuenta, es imposible saber quién hizo según qué cambio.

Windows 11 facilita mucho la gestión de usuarios:

  • Cuentas locales: ideales si te preocupa la privacidad y no quieres que todo pase por la identidad online de Microsoft. Buen encaje en PCs compartidos, entornos con políticas propias o cuando no necesitas integración con servicios Microsoft 365.
  • Cuentas Microsoft: sincronizan ajustes, credenciales y acceso a servicios en nube (OneDrive, Office, Xbox…). Muy cómodas cuando se usan servicios de la compañía a diario.
  • Cuentas familiares: pensadas para menores, con controles parentales, límites de tiempo, filtros de contenido y supervisión centralizada a través de Microsoft Family Safety.
gestionar usuarios windows con powershell
Artículo relacionado:
Guía definitiva para gestionar usuarios de Windows con PowerShell

Para crear usuarios en Windows 11 tienes varias vías: Configuración > Cuentas > Otros usuarios, el administrador de equipos (usuarios y grupos locales), la herramienta netplwiz o directamente comandos como net user desde la consola. Lo importante no es tanto la ruta como el resultado: cada persona con su cuenta y sólo los que deban ser administrador, en el grupo Administradores.

Directiva de contraseñas en Windows: clave para limitar errores humanos

Da igual lo bien que diseñes la arquitectura si luego permites que los usuarios pongan contraseñas como “123456” o “contraseña”. La directiva de contraseñas de Windows sirve precisamente para imponer reglas mínimas de seguridad y evitar despropósitos.

Esta directiva forma parte de las políticas de seguridad locales o de dominio y te permite ajustar aspectos como:

  • Longitud mínima: número mínimo de caracteres que debe tener una contraseña.
  • Complejidad: si debe incluir mayúsculas, minúsculas, números y símbolos.
  • Historial: cuántas contraseñas anteriores se recuerdan para impedir que el usuario las reutilice.
  • Vigencia máxima y mínima: cada cuánto hay que cambiarla y cuánto tiempo hay que mantenerla antes de poder volver a cambiarla.
  • Bloqueo de cuenta: número de intentos fallidos y tiempo de bloqueo para evitar ataques de fuerza bruta.

Esto se configura desde el Editor de directivas de grupo (gpedit.msc) o, en escenarios de dominio, vía GPO: Configuración del equipo > Configuración de Windows > Configuración de seguridad > Directivas de cuenta > Directiva de contraseñas.

Cómo debe ser una contraseña decente hoy en día

Si quieres que las contraseñas realmente resistan ataques actuales, la teoría básica sigue siendo válida, pero hay que aplicarla con rigor. Una buena contraseña debería ser:

  • Única: no reutilizada en otros servicios ni dispositivos. Evitas el “efecto dominó” si se filtra en otra web o app.
  • Larga: a partir de 10-12 caracteres empieza a ser razonable, aunque para cuentas críticas (como administradores de dominio) 15 o más caracteres es lo ideal.
  • Compleja pero memorizable: combinación de mayúsculas, minúsculas, números y símbolos, pero organizada en forma de frase de paso fácil de recordar y difícil de reventar por diccionario.

Un truco muy útil es el de las frases cifradas: eliges una frase que recuerdes (“Mi hijo Juan es tres años mayor que mi hija Ana”) y te quedas con la primera letra de cada palabra, metiendo números y símbolos: MhJe3@mqmh@. Esto genera contraseñas largas y robustas sin obligarte a escribir cosas incomprensibles.

En entornos más serios aún, puedes tirar directamente de generadores de contraseñas y gestores de credenciales como KeePassXC, combinados con autenticación multifactor. Lo que sí debes evitar a toda costa son:

  • Contraseñas en blanco o triviales (“admin”, “qwerty”, fechas de nacimiento…).
  • Contraseñas anotadas en notas adhesivas pegadas a la pantalla o guardadas en documentos sin cifrar.
  • Reutilizar una misma clave en correo, redes sociales, VPN y acceso a Windows.
  Herramientas de programación: IDE y utilidades clave en Windows 11

Combinando directiva de contraseñas y bloqueo de cuentas

La directiva de contraseñas no va sola; se complementa con la directiva de bloqueo de cuentas. El objetivo es que un atacante no pueda lanzar miles de intentos seguidos contra una credencial.

En Windows puedes definir:

  • Umbral de bloqueo: número de intentos de inicio de sesión fallidos antes de bloquear la cuenta.
  • Duración del bloqueo: tiempo que la cuenta permanecerá bloqueada.
  • Ventana de recuento: intervalo de tiempo en el que se cuentan los intentos fallidos para determinar si se bloquea.

En versiones anteriores de Windows, había utilidades como passprop.exe para someter incluso la cuenta Administrador integrada a las políticas de bloqueo, primero solo en inicios remotos y luego también en interactivos. Hoy en día, con Windows 11 y AD actuales, puedes modular mejor estos comportamientos mediante GPO, pero la idea es la misma: que ni siquiera el administrador clásico se escape de los controles.

Detección de contraseñas débiles y auditoría periódica

Imponer reglas está bien, pero la realidad es que siempre habrá usuarios que busquen el mínimo esfuerzo o que lleven años con la misma clave. Por eso conviene complementar la directiva con herramientas de análisis de contraseñas:

  • Herramientas online (en red) como MBSA (Microsoft Baseline Security Analyzer, en entornos heredados) que comprueban si hay contraseñas vacías, iguales al nombre de usuario o al del equipo.
  • Herramientas offline de terceros que analizan hashes y buscan contraseñas débiles sin provocar bloqueos de cuenta (método recomendado).

Cuando detectes una contraseña floja, lo ideal es automatizar la respuesta: forzar el cambio por una contraseña fuerte o enviar un aviso muy claro al propietario. En entornos más regulados, puede exigirse directamente el restablecimiento inmediato y notificación al equipo de seguridad.

La auditoría no se limita a las contraseñas; también debe cubrir el uso de cuentas privilegiadas: quién inicia sesión dónde, quién cambia pertenencias a grupos, quién modifica directivas de seguridad, etc. Visor de sucesos, GPOs adecuadas y, si el tamaño de la organización lo justifica, un SIEM son tus aliados aquí.

Cuentas privilegiadas: dónde se pueden usar y cómo protegerlas aún más

Otra pieza crítica es limitar los equipos desde los que se pueden usar cuentas de dominio con privilegios altos. Un administrador de dominio no debería iniciar sesión jamás en el PC de un usuario cualquiera, por muy prisa que tenga.

Algunas medidas muy efectivas son:

  • Permitir inicios de sesión interactivos de administradores de dominio solo en controladores de dominio y estaciones de administración dedicadas, nunca en equipos de usuario o servidores poco confiables.
  • Prohibir el uso de cuentas admin como servicio o para tareas por lotes, salvo que se gestionen con extremo cuidado.
  • Deshabilitar la delegación para cuentas privilegiadas, marcándolas como “La cuenta es importante y no se puede delegar”, evitando suplantaciones a través de servidores de confianza para la delegación.

Para elevar aún más el nivel, es muy recomendable obligar a que los inicios de sesión administrativos usen tarjetas inteligentes (autenticación de dos factores fuerte). Esto evita muchos problemas derivados de contraseñas compartidas, robadas o capturadas con keyloggers, y garantiza que quien inicia sesión tiene físicamente la tarjeta más el PIN.

En cuentas extremadamente sensibles (miembros de Administradores de organización, por ejemplo), se puede llegar a compartir la cuenta entre dos personas de forma controlada: uno custodia la tarjeta inteligente y el otro el PIN, de forma que los dos han de estar presentes para usarla. No es perfecto desde el punto de vista de responsabilidad individual, pero añade una capa de control y supervisión física bastante potente.

PsLoggedOn Windows
Artículo relacionado:
Guía para ver actividad de usuarios con PsLoggedOn

Todo este entramado de medidas —LAPS bien configurado, directiva de contraseñas estricta pero razonable, privilegios mínimos, auditoría y autenticación reforzada con tarjetas inteligentes— permite que las cuentas locales y de administrador en Windows 11 sean una herramienta controlada y no una pistola cargada apuntando a tu propia red, ayudándote a mantener seguridad, trazabilidad y capacidad de respuesta sin reventar el día a día de los usuarios ni volverte loco gestionando incidencias. Comparte la información y otros usuarios conocerán del tema.