Windows 11 como host de laboratorio de pruebas

  • Windows 11 es un excelente sistema anfitrión para laboratorios con Active Directory, Intune, Configuration Manager y Microsoft 365.
  • Los kits de laboratorio de Microsoft ofrecen entornos virtuales completos y preconfigurados listos para pruebas de despliegue y administración.
  • Es posible montar laboratorios avanzados de depuración de kernel, desarrollo de drivers y escenarios de seguridad ofensiva y defensiva.
  • Con hardware modesto y buenas prácticas de virtualización, puedes replicar en casa infraestructuras muy similares a las de una empresa.
Lorena Figueredo

13 minutos

Windows 11 como host de laboratorio de pruebas

Montar un laboratorio de pruebas sobre Windows 11 como sistema operativo anfitrión se ha convertido en una de las formas más prácticas de aprender, probar despliegues corporativos y trastear con nuevas herramientas sin poner en peligro tu entorno de trabajo real. Tanto si quieres juguetear con máquinas virtuales para pentesting, como si tu objetivo es simular una infraestructura empresarial completa con Active Directory, Intune, Configuration Manager o Windows IoT, Windows 11 ofrece una base muy sólida para hacerlo. Para guías prácticas sobre cómo montar un laboratorio en casa puedes consultar montar un laboratorio virtual en casa.

La idea es sencilla: usar Windows 11 como host y levantar encima un “mini data center” virtual con controladores de dominio, clientes, servidores de aplicaciones, laboratorios de depuración de controladores o entornos de Microsoft 365 listos para romperse sin miedo. A partir de las guías y kits de laboratorio oficiales de Microsoft, más algunas técnicas extra para saltarse ciertas limitaciones de hardware en equipos modestos, puedes tener un entorno tremendamente completo para estudiar, practicar y experimentar.

Windows 11 como host de laboratorio: enfoques y recursos disponibles

Cuando hablamos de usar Windows 11 como host de laboratorio de pruebas realmente estamos combinando tres grandes bloques: el propio sistema anfitrión, el hipervisor (Hyper-V, VMware, VirtualBox, etc.) y las plantillas o kits de laboratorio que vamos a ejecutar dentro de las máquinas virtuales. Microsoft ofrece varios entornos prefabricados muy potentes pensados justo para esto.

Uno de los más completos es el kit de laboratorio de implementación de Windows 11 y Microsoft 365, un paquete de varios archivos autoextraíbles que despliegan de forma automatizada un entorno de dominio con estaciones de trabajo, servidor de Configuration Manager y puerta de enlace a Internet. Incluye versiones de evaluación de:

  • Windows 11 Enterprise (según la edición, 24H2, 25H2 o similar).
  • Windows Server (2022 o 2025 en las versiones más recientes de los kits).
  • Microsoft Configuration Manager en versiones actualizadas (como 2203 o 2409).
  • Windows ADK y PE para pruebas de despliegue.

Este laboratorio base está diseñado para conectarse fácilmente a servicios de Microsoft 365 en modo prueba: licencias E5, Aplicaciones de Microsoft 365 para empresas y Office 365 E5 con Enterprise Mobility + Security (EMS). La gracia es que todo viene casi cocinado: dominio, clientes unidos, puerta de enlace a Internet y Configuration Manager ya operativo como punto central de gestión.

Otro kit importante es el laboratorio de evaluación de Microsoft Endpoint Manager, centrado en enseñar a usar la consola unificada de administración (Intune + Configuration Manager) para gestionar Windows 11 y las Apps de Microsoft 365. Este entorno también se basa en Windows 11 Enterprise, un servidor con Configuration Manager y servicios preparados para asociarse con Intune y Microsoft 365.

Además de estos kits corporativos, hay laboratorios más “técnicos” y low-level, como el dedicado a la depuración en modo kernel con WinDbg y el ejemplo de controlador KMDF Echo. Este tipo de laboratorio está pensado para desarrolladores de drivers o ingenieros de seguridad que quieran entender qué pasa dentro del kernel de Windows, cómo funcionan los IRQL, pilas de llamadas, procesos, hilos, etc.

Escenarios que puedes montar sobre Windows 11 como host

Una de las ventajas de usar Windows 11 como host de laboratorio es que puedes levantar varios escenarios muy distintos en paralelo, sin tocar tu entorno productivo. A partir de los kits y guías oficiales, los principales bloques de prácticas que se cubren son:

1. Planificación y preparación de infraestructura para entornos empresariales: aquí entrarías en la parte de infra de escritorio moderno. Entre otros, puedes practicar:

  • Cloud Management Gateway (CMG), para gestionar equipos remotos a través de Internet sin exponer directamente tu Configuration Manager local.
  • Asociación de inquilinos y administración conjunta, es decir, cómo combinar ConfigMgr e Intune para administrar el mismo dispositivo.
  • Análisis de puntos de conexión (Endpoint Analytics), revisando rendimiento y experiencia de usuario.
  • Optimización de distribución de actualizaciones de Windows 11, jugando con Delivery Optimization y distintas políticas.

2. Implementación de Windows 11 en masa: usando el entorno preconfigurado puedes simular despliegues típicos de una organización:

  • Secuencias de tareas de implementación de SO con Configuration Manager.
  • Escenarios de Windows Autopilot, desde el alta del dispositivo hasta el registro en Azure AD y la asignación de perfiles.

3. Mantenimiento del sistema una vez desplegado Windows 11, practicando distintas vías de servicio:

  • Actualizaciones vía Directiva de grupo (WSUS/GPO).
  • Mantenimiento con Microsoft Intune, configurando anillos de actualización, plazos y ventanas de reinicio.
  • Mantenimiento con Configuration Manager, administrando colecciones, grupos de actualizaciones y monitorización.

4. Gestión de dispositivos y aplicaciones con Intune, incluyendo:

  • Administración de dispositivos Windows 11 con perfiles de configuración, scripts y políticas.
  • Administración dinámica basada en atributos de usuario y dispositivo.
  • Distribución de aplicaciones Win32 usando Intune.
  • Escenarios de asistencia remota a usuarios.

5. Despliegue y mantenimiento de Aplicaciones de Microsoft 365 para empresas, tanto en equipos unidos a dominio como en dispositivos híbridos o sin AD clásico:

  • Implementaciones gestionadas en la nube desde Intune.
  • Implementaciones gestionadas de forma local con Configuration Manager.
  • Instalaciones sobre dispositivos no unidos a AD pero gestionados.
  • Mantenimiento de las apps con ambas plataformas.
  • Distribución de Teams y aplicaciones de línea de negocio (LOB).
  • Uso de filtros de asignación para segmentar despliegues.

6. Administración de Microsoft Edge en entornos empresariales:

  • Despliegue y actualización controlada del navegador.
  • Configuración de modo Internet Explorer (IE mode) para apps heredadas.
  • Personalización de la página de nueva pestaña corporativa.

7. Seguridad y cumplimiento, donde la cosa se pone interesante para red teams y equipos de seguridad defensiva:

  • Configuración y pruebas de BitLocker.
  • Gestión de Microsoft Defender Antivirus y sus políticas.
  • Despliegue de Windows Hello para empresas.
  • Activación de Credential Guard y otras protecciones de credenciales.
  • Pruebas de Microsoft Defender Application Guard, Application Control y protección contra vulnerabilidades.
  • Integración con Microsoft Defender para endpoint en entornos de prueba.

Laboratorios de depuración y desarrollo de controladores en Windows 11

Windows 11 como host de laboratorio de pruebas

Más allá del plano “IT corporativo”, Windows 11 como host permite montar laboratorios de depuración en modo kernel que son oro puro para desarrolladores de drivers y analistas de seguridad. Un laboratorio típico de este tipo se basa en dos máquinas con Windows 11: un equipo host y un equipo destino, unidos por red Ethernet para la sesión de depuración.

El laboratorio de ejemplo de WinDbg para depuración de kernel con un controlador KMDF Echo se centra en enseñar, paso a paso, cómo trabajar con:

  • Comandos básicos del depurador de Windows (WinDbg).
  • Comandos estándar sobre pilas de llamadas, IRQL, hilos y procesos.
  • Comandos avanzados específicos de drivers (comandos de tipo !extensión).
  • Uso correcto de símbolos y archivos PDB.
  • Establecimiento y gestión de puntos de interrupción en tiempo real.
  • Visualización de árboles de dispositivos Plug and Play, módulos cargados, etc.

Para montar este entorno, el hardware mínimo del laboratorio incluye:

  • Un PC host con Windows 11.
  • Un segundo PC (o VM) destino también con Windows 11.
  • Un switch o router sencillo y cableado Ethernet.
  • Acceso a Internet para descargar símbolos y herramientas.

A nivel de software en el host necesitas Visual Studio, el SDK de Windows 11, el WDK y el controlador de ejemplo Echo para Windows 11. Con eso puedes descargar el código de GitHub, compilarlo, firmarlo en modo prueba y desplegarlo en el equipo destino, donde después lo instalarás con herramientas como DevCon.

El flujo típico de este laboratorio incluye varias fases muy bien explicadas en las guías:

  • Configurar la depuración de kernel por red usando KDNET, registrando la IP del host y habilitando la depuración en el BCD del equipo destino.
  • Arrancar WinDbg en el host con la cadena de conexión adecuada (-k net:port=...,key=...), esperar a que el destino reinicie y se establezca la conexión.
  • Aprender a manejar la ventana de comandos de WinDbg, donde se introducen comandos y se ve la salida.
  • Probar comandos como vertarget, lm, lm v, x, !lmi, !dh, etc., para inspeccionar el sistema.
  • Configurar rutas de símbolos con .symfix y .sympath+, y recargar con .reload /f para tener información completa de depuración.

Una vez instalado el controlador Echo en el equipo destino (preparando el sistema para aceptar controladores de prueba, instalando el certificado, usando devcon install echo.inf root\ECHO y verificando el dispositivo en el Administrador de dispositivos), entra en juego la depuración real: establecer puntos de interrupción en funciones como EchoEvtDeviceAdd o EchoEvtIoWrite, ejecutar la aplicación de prueba EchoApp.exe y observar el flujo de ejecución en modo kernel. Para técnicas de análisis de amenazas de bajo nivel conviene revisar guías sobre cómo detectar rootkits con RootkitRevealer.

La guía cubre aspectos clave como:

  • Uso de puntos de interrupción bp, bu, bm y puntos de interrupción de datos ba.
  • Navegación por el código fuente con modo de origen activado y configuración de .srcpath.
  • Visualización de variables locales y globales con dv y ventanas de entorno local.
  • Exploración de la pila de llamadas con kb, kp o kn.
  • Inspección de procesos y hilos con !process, !thread y cambio de contexto con .thread.
  • Comprobación del IRQL con !irql y registros con r.

Windows 11 en hardware modesto: saltando comprobaciones para laboratorios

No todo el mundo tiene un servidor con 128 GB de RAM en casa, y aun así es posible usar Windows 11 como host de laboratorio en máquinas bastante más humildes. En equipos antiguos o mini PCs con CPU modesta y poca memoria, el instalador de Windows 11 puede bloquearse por no cumplir requisitos como TPM, RAM mínima o Secure Boot.

Algunos entusiastas se han dedicado a trastear precisamente con esa parte, modificando el registro que el instalador carga en memoria cuando arranca desde el USB para aplicar una serie de “bypass” a estas comprobaciones:

  • Bypass TPA (relacionado con requisitos de plataforma).
  • Bypass RAM Check, para reducir la memoria mínima exigida.
  • Bypass Secure Boot Check, sorteando la necesidad de arranque seguro.

Con estas modificaciones es posible instalar Windows 11 en dispositivos bastante justos, como compactos de oficina antiguos o portátiles de gama baja. Aun así, hay advertencias claras: no usar el mismo disco que tu sistema de trabajo, limitar este tipo de instalaciones a usos educativos y de pruebas, y no confiar en este entorno para tareas críticas hasta que no esté adecuadamente licenciado y parcheado. Además, conviene conocer cómo configurar Memory Integrity y otras protecciones antes de poner en producción cualquier imagen.

Para un laboratorio con Windows 11 host y varias VM, lo ideal es un equipo con 16 GB de RAM o más, un SSD decente y, si se puede, soporte para virtualización por hardware activada en BIOS. A partir de ahí ya es cuestión de repartir recursos entre el host y las máquinas virtuales según lo que vayas a hacer.

Crear el laboratorio: hipervisor, VMs y buenas prácticas

Sobre Windows 11 como host, tienes varias opciones para virtualizar: Hyper-V (incluido en las ediciones Pro/Enterprise), VMware Workstation o Player y Oracle VirtualBox. Cada uno tiene sus matices, pero el enfoque general es similar: una VM por rol (DC, cliente, servidor SQL, etc.) y, si quieres simplificar, usar las VMs que ya vienen preconfiguradas en los kits de laboratorio de Microsoft.

En un caso típico de laboratorio “mixto” con dos VMs (una Windows y una Linux), lo más sensato es dejar a Windows 11 host una parte razonable de RAM y CPU para mantenerse fluido, y repartir el resto entre las VMs. Por ejemplo, en un equipo con 32 GB de RAM puedes darle 8-10 GB al host y 10-12 GB a cada VM, ajustando según carga. En procesadores multinúcleo, reservar 2-4 núcleos para el host y el resto para las máquinas virtuales suele funcionar bastante bien.

En cuanto al software de virtualización para laboratorios de pruebas con Windows 11:

  • Hyper-V es ideal si quieres acercarte a lo que se usa en muchas empresas y seguir al pie de la letra las guías de Microsoft, sobre todo para los kits de Windows 11 + Microsoft 365 o Windows IoT Enterprise.
  • VMware sigue siendo muy cómodo para quienes ya lo conocen y se integra bien con snapshots y redes virtuales algo más avanzadas.
  • VirtualBox es una opción gratuita muy popular para empezar y trastear, suficiente para la mayoría de escenarios de aprendizaje.

Un punto interesante son las fuentes de instalación de las VMs Windows. En un host que trae Windows 11 preinstalado, puedes crear una unidad USB de recuperación, pero no siempre es la mejor fuente para instalar una VM. Lo más limpio suele ser descargar imágenes ISO oficiales de evaluación o uso interno (Windows 11, Windows Server, Windows 11 IoT Enterprise LTSC) desde el Centro de evaluación o portales de licencias, y usar esas ISOs directamente como medio de instalación en el hipervisor.

Para Windows IoT Enterprise, por ejemplo, el flujo básico incluye preparar un PC técnico con Windows 11, instalar ADK y las herramientas de despliegue, tener a mano la ISO de IoT Enterprise LTSC y crear un medio de instalación (USB o ISO asociada a una VM de referencia). Después arrancas el dispositivo de referencia, realizas la instalación estándar de Windows, pasas por la fase OOBE y entras en modo auditoría con Ctrl+Mayús+F3 para poder personalizar la imagen con Sysprep.

Si lo tuyo es el pentesting o la seguridad ofensiva, Windows 11 como host te sirve como base para montar un dominio Windows Server 2022/2025, unirle una o varias estaciones Windows 11 y luego corromperlo “a propósito” con proyectos como BadBlood.

La idea es sencilla: primero levantas un controlador de dominio con Windows Server, creas el dominio (por ejemplo, thehackerway.local) y luego montas una estación Windows 11 virtual que apuntas a la IP del DC como DNS. Desde esa estación:

  • Renombras el equipo con un nombre claro, tipo THW-WORKSTATION.
  • Configuras la tarjeta de red para usar como DNS la IP del DC.
  • Usas el asistente de “Unir este dispositivo a un dominio local de Active Directory” para incorporarla al dominio.
  • Compruebas en “Usuarios y equipos de Active Directory” que la máquina aparece bajo el contenedor de “Computers”.

Una vez tienes el dominio y algún cliente levantado, entra en escena BadBlood, un script de PowerShell que rellena el Active Directory de objetos aleatorios (usuarios, equipos, OUs, grupos, ACLs con configuraciones poco seguras, etc.) simulando un entorno de empresa “de verdad”, pero plagado de malas prácticas. Es perfecto para pruebas de ataque y detección.

El proceso a grandes rasgos consiste en:

  • Copiar el script Invoke-BadBlood.ps1 al controlador de dominio.
  • Abrir PowerShell como administrador, relajar la política de ejecución con Set-ExecutionPolicy unrestricted.
  • Ejecutar el script, aceptar las advertencias y escribir badblood cuando lo solicite.
  • Esperar pacientemente mientras se puebla el dominio con cientos de objetos y configuraciones vulnerables.

Es importante tener en cuenta que BadBlood no ofrece un mecanismo de revertir cambios, así que lo sensato es crear un snapshot de la máquina virtual del DC antes de ejecutarlo. De ese modo, puedes volver atrás cuando termines de hacer tus pruebas de pentesting o de hardening.

Con este tipo de laboratorio levantado sobre Windows 11 como host, puedes practicar ataques a Kerberos, escaladas de privilegios en AD, enumeración de objetos inseguros y, en paralelo, probar cómo responden herramientas defensivas como Microsoft Defender for Endpoint, políticas de seguridad de Intune, restricciones de ejecución, etc.

Al final, usar Windows 11 como sistema operativo anfitrión de laboratorio te permite replicar en casa (o en un entorno controlado) muchos de los escenarios que encuentras en empresas: despliegues masivos con Configuration Manager y Autopilot, uso de Microsoft 365 E5, Edge gestionado, Windows IoT, desarrollo y depuración de drivers a bajo nivel, y dominios de Active Directory completos listos para ser atacados o endurecidos. Con un poco de hardware decente, algo de paciencia y los kits de laboratorio de Microsoft, puedes convertir un simple PC con Windows 11 en una auténtica “fábrica” de aprendizaje técnico.

software para realizar copias de seguridad
Artículo relacionado:
Cómo montar un laboratorio virtual en casa para redes y seguridad