- Windows 11 puede actuar como host de un laboratorio completo con Active Directory y Microsoft 365 usando los kits oficiales de Microsoft.
- Los laboratorios requieren buen hardware, aislamiento de la red de producción y se basan en máquinas de evaluación con caducidad.
- Hyper-V y otras soluciones como VMware encajan mejor que Proxmox para invitados Windows 11 en entornos de pruebas.
- Herramientas como BadBlood permiten simular dominios complejos y vulnerables para practicar pentesting sobre Active Directory.
Montar un entorno de pruebas realista para sistemas Microsoft ya no es algo reservado a grandes empresas. Hoy en día, con un equipo decente, puedes levantar en tu propia casa un laboratorio completo con Windows 11, Active Directory y Microsoft 365 para practicar despliegues, administración, seguridad o pentesting sin poner en riesgo ningún entorno de producción.
En este artículo vamos a ver cómo aprovechar Windows 11 como host de laboratorio de pruebas, qué opciones ofrece Microsoft (como el kit de laboratorio de implementación o el Virtual Hardware Lab Kit), qué requisitos de hardware necesitas, qué hipervisores encajan mejor y cómo puedes simular un entorno corporativo con dominio, estaciones de trabajo y herramientas de ataque y defensa sobre Active Directory.
Qué es el kit de laboratorio de implementación de Windows 11 y Microsoft 365
Microsoft ofrece un paquete preparado llamado kit de laboratorio de implementación de Windows 11 y Microsoft 365, pensado específicamente para que los profesionales de TI puedan montar un entorno de pruebas completo sin volverse locos configurando todo desde cero.
Este kit proporciona un laboratorio virtual preconfigurado que se despliega de forma casi automática y que incluye ya todo lo básico de un escenario corporativo típico: clientes de escritorio unidos a dominio, un controlador de dominio, una puerta de enlace hacia Internet y una instancia de Configuration Manager totalmente operativa.
El objetivo del kit es que puedas planificar, probar y validar escritorios modernos con Windows 11 Enterprise y Microsoft 365 Enterprise, integrados y gestionados mediante Enterprise Mobility + Security. Es decir, no es solo un «Windows 11 suelto», sino un conjunto de máquinas pensado para simular cómo se usaría Windows 11 en una empresa que trabaja con la pila completa de Microsoft.
Conviene tener claro que este paquete está orientado a evaluar productos y herramientas de despliegue y administración en contextos profesionales. Microsoft lo define como software de evaluación destinado a administradores de TI y personas que gestionan redes y dispositivos corporativos, no tanto para usuarios domésticos sin experiencia en administración.
Otro punto importante es que el entorno se distribuye como laboratorio virtual independiente. No está pensado para integrarse con tu red de producción, ni para unirse a tu dominio real. Lo recomendable es dejarlo completamente aislado y usarlo solo para pruebas, demos, experimentos y validaciones.
Componentes del laboratorio y expiración de las máquinas
Dentro del kit de laboratorio de Windows 11 y Microsoft 365 se despliega un conjunto de máquinas virtuales ya preparadas. Lo habitual es encontrarse con varias estaciones Windows 11 Enterprise unidas al dominio, un controlador de dominio que actúa como corazón del bosque de Active Directory, una puerta de enlace hacia Internet y un servidor de Configuration Manager para gestionar clientes y desplegar software.
Además, Microsoft ofrece una variante de laboratorio centrada en Office 365 (ahora Microsoft 365) en la que se pueden desplegar hasta cuatro máquinas con Windows 11 como estaciones de trabajo, junto con un servidor de dominio y otro con SQL Server, proporcionando un entorno bastante parecido a lo que podrías tener en una empresa mediana.
Es clave saber que las máquinas virtuales de Windows 11 incluidas en estos kits tienen caducidad. Generalmente, los sistemas de evaluación expiran 90 días después de aprovisionar el laboratorio. A partir de ese momento pueden empezar a mostrar avisos de licencia o ciertas limitaciones. Esto obliga a planificar bien el tiempo de pruebas o a tener previsto un nuevo despliegue cuando se acerque la fecha límite.
Debido a esta naturaleza temporal, tiene sentido usar estos laboratorios para probar procesos de despliegue, configuración y administración, documentar procedimientos internos y, cuando sea necesario, reconstruir un nuevo entorno limpio repitiendo el proceso de aprovisionamiento.
Por su propia concepción, el laboratorio es un entorno cerrado y efímero, así que no deberías utilizarlo para almacenar datos importantes ni para mantener configuraciones a largo plazo. Es un sitio en el que puedes experimentar sin miedo, romper cosas, jugar con políticas de grupo, Intune, Configuration Manager, etc., y luego tirarlo y volver a empezar.
Requisitos del sistema para usar Windows 11 como host de laboratorio
Si quieres que tu propio equipo con Windows 11 actúe como host de laboratorio, lo primero es comprobar que cumples los requisitos mínimos de hardware y sistema operativo. El laboratorio de Microsoft admite las ediciones de 64 bits de Windows 10, Windows 11 y Windows Server 2016 como sistemas anfitriones, siempre que se pueda instalar Hyper-V y se importen las imágenes necesarias.
Para el laboratorio de prueba de concepto de Windows 11, Microsoft recomienda que el host de Hyper-V cumpla unas especificaciones mínimas bastante claras: tener el rol de Hyper-V instalado, contar con permisos administrativos en el dispositivo, disponer al menos de 150 GB de espacio libre en disco (aunque se aconsejan 300 GB para ir más holgado) y un subsistema de disco con buen rendimiento.
Respecto a la memoria, se indica que el host tenga un mínimo de 16 GB de RAM disponible, si bien la experiencia mejora notablemente a partir de 32 GB, sobre todo si vas a levantar varias máquinas virtuales de forma simultánea, como ocurre en el laboratorio que incluye estaciones Windows 11, un DC, SQL y demás servicios.
También se recomienda contar con un procesador de gama media-alta para que la experiencia de uso de las máquinas virtuales sea fluida, especialmente en laboratorios con varios sistemas activos, herramientas de seguridad, Configuration Manager y otros componentes que pueden ser bastante exigentes.
Otro factor que a menudo se pasa por alto es el ancho de banda. Los kits de laboratorio de Microsoft pueden ocupar decenas de gigabytes (el de Windows 11 y Office 365 ronda los 43 GB), así que conviene usar una conexión rápida y estable para la descarga inicial, o de lo contrario el proceso puede eternizarse.
Buenas prácticas y advertencias de Microsoft para el uso del laboratorio
Más allá de los requisitos técnicos, Microsoft deja claro que estos kits están pensados para profesionales de TI que gestionan redes y dispositivos. No son juguetes para producción ni entornos en los que debas mezclar datos reales de tu empresa o de tus clientes.
La propia documentación insiste en que no se recomienda la instalación ni el uso de estos entornos si no tienes experiencia administrando sistemas de forma profesional. No porque sean peligrosos en sí mismos, sino porque es fácil cometer errores de configuración o mezclar el laboratorio con la red real si no se tiene cuidado.
Otro mensaje recurrente de Microsoft es que el laboratorio debe mantenerse aislado del entorno productivo. Lo ideal es que funcione en una red virtual separada, sin rutas hacia la red real, o al menos con un control estricto del tráfico que entra y sale. Así evitas que cualquier prueba, malware simulado o herramienta de pentesting se descontrole.
También conviene recordar que se trata de software de evaluación con caducidad. No esperes que este laboratorio se convierta en el núcleo de tu infraestructura real; está diseñado para aprender, testear migraciones, validar compatibilidad de aplicaciones y verificar políticas de seguridad, no para alojar servicios que vayan a estar en producción durante años.
Por tanto, la filosofía general debe ser: levantar, probar a fondo, documentar y destruir. Cuando se acerque la caducidad de las VMs o cuando ya no te sirva la configuración actual, puedes crear otro laboratorio nuevo y repetir el ciclo con otros escenarios distintos.
Hyper-V, Proxmox y otros hipervisores para laboratorios con Windows 11
Una duda habitual al montar un laboratorio con Windows 11 es qué hipervisor usar. Hay quien empieza en plataformas como Proxmox por su flexibilidad y su componente open source, pero en cuanto se intenta trabajar en serio con invitados Windows, los problemas de rendimiento y de integración pueden hacerse evidentes.
Hay experiencias de usuarios que comentan cómo, al intentar levantar un par de máquinas Windows para probar Active Directory sobre Proxmox, el rendimiento era muy pobre incluso siguiendo las recomendaciones de la wiki oficial. Además, echaban en falta comodidades como el soporte estable para copiar y pegar bidireccional entre host y máquina virtual, algo que en entornos de pruebas se agradece muchísimo.
Para estos casos, muchos terminan planteándose el salto a hipervisores bare metal más orientados a Windows, o directamente a Hyper-V, que forma parte del ecosistema de Microsoft y suele ofrecer mejor integración con los invitados Windows 10/11 y Windows Server.
Es verdad que, a primera vista, Hyper-V puede parecer más complejo que Proxmox o que soluciones de escritorio como VirtualBox, sobre todo si no estás acostumbrado a sus conceptos de redes virtuales, conmutadores, almacenamiento y plantillas. Pero, una vez entendido, el ajuste fino con máquinas Windows suele ser más directo y soportado oficialmente.
Como alternativas, también puedes recurrir a VMware Workstation o VMware ESXi, que se llevan muy bien con sistemas Windows y son habituales en laboratorios de administración y seguridad. Para entornos de aprendizaje y pruebas en tu propio PC, también es bastante común usar VirtualBox, aunque Hyper-V y VMware suelen aportar mejor rendimiento con características específicas de Windows.
Virtual Hardware Lab Kit (VHLK): laboratorio rápido para probar hardware
Además del laboratorio orientado a escritorios y Microsoft 365, Microsoft dispone del Virtual Hardware Lab Kit (VHLK), que es una versión virtualizada de su Hardware Lab Kit tradicional, pensada para ejecutar pruebas de certificación de hardware de Windows dentro de una máquina virtual.
Este VHLK se distribuye como un VHDX de 64 bits ya preinstalado y preconfigurado, listo para arrancar. Es decir, en lugar de dedicar un equipo físico entero al controlador de HLK, puedes montar una máquina virtual que asuma ese rol y así ahorrar hardware dedicado para pruebas.
Entre sus ventajas principales está el hecho de que está listo para usar prácticamente desde el primer arranque, con el controlador de HLK ya preparado para gestionar las pruebas sobre tus dispositivos o controladores. Esto ahorra bastante tiempo de instalación y configuración inicial.
Al estar pensado para ejecutarse como invitado, el VHLK te permite alojar la máquina virtual del controlador de HLK directamente en las máquinas de desarrollo, en lugar de depender de un servidor físico independiente solo para ese propósito. Para equipos de desarrollo que trabajan con drivers o hardware compatible con Windows, esto facilita mucho el ciclo de pruebas.
En cuanto a idiomas y ediciones, el paquete se ofrece como Kit de laboratorio de hardware virtual (VHLK) de Windows en formato VHDX de 64 bits, de modo que basta con importarlo en el hipervisor que estés usando (por ejemplo, Hyper-V) y seguir la guía de tareas iniciales para dejarlo listo.
Laboratorio de Active Directory con Windows Server 2022 y Windows 11
Si tu intención es montar un laboratorio específico para practicar Active Directory, una de las configuraciones más frecuentes consiste en usar un Windows Server 2022 como controlador de dominio y varias estaciones de trabajo con Windows 11 unidas a ese dominio.
El proceso suele dividirse en dos fases: primero, configurar el servidor con Windows Server 2022 y promoverlo a controlador de dominio, creando el dominio y el bosque que quieres usar de base. Después, se despliega al menos una estación de trabajo con Windows 11, se prepara su configuración de red y se une al dominio recién creado.
Un detalle práctico es que puedes usar VirtualBox o VMware para crear la máquina virtual de Windows 11. Si optas por VirtualBox, es muy recomendable instalar «VirtualBox Guest Additions» para mejorar el vídeo, el ratón y la integración. En VMware, conviene instalar «VMware Tools» para conseguir una experiencia fluida y disponer de funciones como el arrastre de archivos o el portapapeles compartido.
Este tipo de laboratorio es perfecto para simular entornos empresariales de tamaño medio, donde vas a tener un dominio, varias OUs, grupos, usuarios, estaciones de trabajo y posiblemente servidores adicionales. Encaja de maravilla con ejercicios de hardening, despliegue de GPO, auditoría, integración con Microsoft 365 o pruebas de herramientas de seguridad.
Además, al tratarse de máquinas virtuales, siempre puedes tomar instantáneas del servidor de dominio y de las estaciones de trabajo antes de hacer cambios importantes, de modo que si algo se tuerce puedas volver atrás rápidamente sin tener que reinstalarlo todo.
Unir una máquina Windows 11 al dominio del laboratorio
Para que el laboratorio tenga sentido, necesitas que tus sistemas con Windows 11 se encuentren unidos al dominio que has creado en el controlador de Windows Server. El proceso se puede hacer desde la interfaz gráfica de Windows 11 con unos cuantos pasos muy concretos.
En primer lugar, conviene asignar un nombre reconocible a la estación de trabajo. Desde el menú de inicio puedes buscar «PC Name» o «Nombre del PC» y utilizar la opción «Renombrar ordenador» para ponerle un identificador claro, por ejemplo, algo del estilo THW-WORKSTATION o similar.
Después hay que asegurarse de que la configuración de red apunte al servidor DNS del controlador de dominio, ya que Active Directory depende encarecidamente de DNS para localizar los servicios de dominio. En Windows 11 puedes ir al icono de conexión de red en la barra inferior, acceder a «Red e Internet», entrar en «Configuración de red avanzada», seleccionar «Ethernet» y, en las propiedades adicionales, configurar manualmente la dirección del servidor DNS usando la IP del DC.
Con el DNS bien configurado, ya puedes proceder a unir el equipo al dominio. En el buscador de Windows 11 escribe «Dominio» o «Acceso al trabajo» y abre la sección «Obtener acceso a trabajo o escuela». Desde ahí, pulsa en «Conectarse» y elige la opción «Unir este dispositivo a un dominio local de Active Directory».
El sistema te pedirá entonces que introduzcas el nombre del dominio que creaste en tu servidor, por ejemplo algo como thehackerway.local u otro que hayas usado durante la promoción del DC. Si el DNS está bien puesto, el propio Windows 11 debería resolver ese nombre sin complicaciones. Tras pulsar «Siguiente», te aparecerá el diálogo de credenciales donde deberás proporcionar usuario y contraseña de un usuario de dominio con permisos para unir equipos.
Al finalizar, se te preguntará qué cuenta de dominio va a iniciar sesión en ese equipo y si debe tener permisos de administrador local. Puedes asignar el usuario de dominio como administrador de la estación si lo necesitas para tus pruebas. Una vez aceptados los cambios, se te ofrecerá reiniciar el sistema; es buena idea hacerlo en ese momento para completar la unión al dominio.
Para comprobar que todo ha ido como debe, en el controlador de dominio puedes abrir «Usuarios y Equipos de Active Directory» desde el Administrador del Servidor. Dentro del nodo «Computers» del dominio principal deberías ver el nombre de la estación de trabajo que acabas de unir, apareciendo ya como objeto de equipo gestionado por el dominio.
Simular un dominio grande y mal configurado con BadBlood
Si lo que buscas es un laboratorio donde practicar técnicas de pentesting y ataque a Active Directory, un dominio recién creado con cuatro usuarios y dos equipos se queda muy corto y poco realista. En muchas empresas hay cientos o miles de objetos, permisos raros, grupos acumulados, OUs con políticas antiguas y un sinfín de herencias complicadas.
Para acercarte a ese tipo de entorno en tu laboratorio, existe un proyecto llamado BadBlood, que no es más que un script de PowerShell diseñado para poblar un dominio de Active Directory con toda clase de objetos y configuraciones poco seguras, generados de forma aleatoria.
BadBlood se encarga de crear usuarios, equipos, grupos, unidades organizativas (OU), ACLs y otras configuraciones que suelen encontrarse en entornos reales, pero lo hace de manera que el resultado es un dominio «mal configurado» con multitud de vulnerabilidades y escenarios interesantes que explotar con herramientas de enumeración y ataque.
Cada vez que se ejecuta el script, los objetos generados son distintos, precisamente para que tengas nuevos caminos que explorar en cada laboratorio. Eso sí, hay que tener en cuenta que es una herramienta pensada sólo para entornos de pruebas, nunca para ejecutarla en producción bajo ningún concepto.
Otro aspecto crítico es que BadBlood no dispone de un mecanismo de revertir los cambios. Una vez ha desplegado sus objetos y configuraciones, el dominio queda modificado. Si quieres limpiar el desastre, tendrías que desarrollar tus propios scripts de limpieza o, lo que es más razonable, restaurar una instantánea previa del servidor de dominio.
Cómo ejecutar BadBlood de forma segura en tu laboratorio
Antes de tocar nada, la recomendación es que crees un snapshot o instantánea de la máquina virtual del controlador de dominio (y de las estaciones de trabajo si quieres) en el punto en que el dominio está limpio. De ese modo, si BadBlood rompe más cosas de las que te gustaría o simplemente quieres volver a una versión básica del laboratorio, podrás hacerlo en minutos.
Para ejecutar el script, el primer paso es descargar el proyecto BadBlood desde su repositorio de GitHub y colocarlo en el controlador de dominio de tu laboratorio. Puedes subir el archivo por red, montarlo como ISO o copiarlo usando herramientas de la propia plataforma de virtualización.
Una vez tengas los ficheros en el DC, abre una consola de PowerShell con privilegios de administrador. Allí, deberás permitir la ejecución de scripts modificando la política con un comando como:
Set-ExecutionPolicy unrestricted
Con esto, PowerShell ya no bloqueará la ejecución del script de BadBlood. A continuación, sitúate en la carpeta donde se encuentra el archivo principal y lanza la orden:
./Invoke-BadBlood.ps1
Al ejecutarse, se abrirá una nueva ventana de PowerShell en la que se mostrarán mensajes de advertencia muy claros indicando que no debes usar esta herramienta en entornos productivos. En algún punto del proceso se te pedirá que escribas la palabra «badblood» como confirmación, y a partir de ahí comenzará la creación masiva de objetos y configuraciones en el dominio.
El proceso puede tardar varios minutos, dependiendo de la potencia de tu equipo y de los parámetros de ejecución. Al terminar, tendrás un dominio densamente poblado y con muchas malas prácticas, listo para que puedas probar herramientas de enumeración, explotación de privilegios, movimiento lateral y demás tácticas habituales en pentesting de Active Directory.
Montar el laboratorio en Azure con una cuenta gratuita
Otra posibilidad que ofrece Microsoft es desplegar el laboratorio de Windows 11 y Office 365 sobre Azure, en lugar de hacerlo en tu máquina local. Esto puede ser interesante si no dispones de un equipo con suficiente RAM, CPU o almacenamiento, o si prefieres no cargar tu PC con varias máquinas virtuales pesadas.
La duda razonable aquí es si se puede montar todo esto aprovechando una cuenta gratuita de Azure. Microsoft suele ofrecer un nivel gratuito con cierto saldo en créditos y algunos servicios sin coste durante los primeros meses, pero levantar un laboratorio con cuatro máquinas Windows 11, un DC y un servidor SQL no es precisamente ligero en consumo de recursos.
En la práctica, hay quien ha valorado esta opción y se ha encontrado con que el laboratorio de implementación de Windows 11 y Office 365 pesa unos 43 GB y está compuesto por varias VMs relativamente grandes, por lo que es fácil exceder las cuotas gratuitas de disco, CPU y RAM. Por tanto, aunque técnicamente se puede intentar, lo normal es que acabes necesitando un plan de pago o ampliaciones de recursos.
Si decides probar en Azure, conviene documentarte bien en la guía oficial de despliegue del laboratorio en la nube, revisar los tamaños de máquina virtual recomendados y calcular el coste estimado antes de darle al botón de crear. De este modo, no te llevarás sorpresas con la factura y podrás ajustar los recursos para mantener el gasto bajo control.
Para muchos, la opción más cómoda sigue siendo aprovechar un PC local con suficiente potencia y usar Hyper-V, VMware o similares para albergar el laboratorio, reservando Azure para otros experimentos más puntuales o para simular entornos híbridos mezclando infraestructura local y nube.
Al final, usar Windows 11 como host de laboratorio de pruebas abre la puerta a replicar escenarios corporativos bastante complejos en un entorno controlado, desde despliegues masivos y gestión de escritorios con Microsoft 365, hasta dominios de Active Directory repletos de objetos generados con BadBlood para poner a prueba herramientas de pentesting, siempre que se respeten las buenas prácticas de aislamiento, se aprovechen snapshots y se use el hardware adecuado, podrás trastear todo lo que quieras sin miedo a romper nada importante.
