Cómo deshabilitar el símbolo del sistema (CMD) en Windows usando Microsoft Intune
En este artículo aprenderás cómo bloquear el acceso al símbolo del sistema (CMD) en equipos con Windows 10/11 utilizando Microsoft Intune, a través de políticas de configuración. Esta práctica es ideal para entornos corporativos donde se requiere limitar el uso de herramientas administrativas por razones de seguridad.
Importancia de bloquear el símbolo del sistema
El símbolo del sistema (CMD) es una herramienta poderosa que permite ejecutar comandos avanzados, modificar configuraciones del sistema e incluso ejecutar scripts maliciosos si cae en las manos equivocadas.
En entornos empresariales, el uso no controlado de CMD puede generar:
- Riesgos de seguridad por uso indebido.
- Posibilidad de desactivar funciones críticas del sistema.
- Cambios no autorizados en configuraciones de red, usuarios o políticas del sistema.
Por eso, bloquear su acceso en equipos gestionados es una buena práctica de seguridad proactiva.
Beneficios de aplicar esta política con Intune
Implementar esta configuración desde Microsoft Intune trae múltiples ventajas:
- Mejora la seguridad del entorno de trabajo, evitando el uso no autorizado de herramientas administrativas.
- Centralización del control: se gestiona desde la nube y se aplica de forma masiva.
- Bloquea tanto CMD como scripts .bat/.cmd que puedan ejecutarse por usuarios.
- Política reversible: puedes volver a habilitar CMD fácilmente si lo necesitas.
- Sin necesidad de tocar cada equipo: todo se aplica remotamente, lo que ahorra tiempo y esfuerzo.
Requisitos previos
Antes de comenzar, asegúrate de tener:
- Una suscripción activa de Microsoft Intune (Microsoft Endpoint Manager).
- Permisos para crear perfiles de configuración.
- Dispositivos Windows 10 o posteriores inscritos y gestionados por Intune.
Pasos para deshabilitar el CMD en Windows con Microsoft Intune
A continuación, te explico cómo bloquear el acceso al CMD paso a paso:
1. Inicia sesión en Microsoft Intune
- Ingresa a: https://intune.microsoft.com
- Ve al menú Dispositivos > Perfiles de configuración.
2. Crea un nuevo perfil de configuración
- Haz clic en «Crear perfil».
- Plataforma: Windows 10 y posteriores
- Tipo de perfil: Plantillas
- Plantilla: Plantillas administrativas
- Haz clic en «Crear».
3. Configura las opciones para bloquear CMD
- En la pestaña «Opciones de configuración», usa el buscador y escribe: Command Prompt.
- Selecciona la categoría: Plantillas administrativas > Sistema.
- Aplica las siguientes configuraciones: Prevent access to the command prompt (User): Enabled
Disable the command prompt script processing also? (User): Yes
Estas configuraciones impiden abrir el CMD y también bloquean la ejecución de scripts por línea de comandos (.cmd y .bat).
4. Asigna el perfil a tus dispositivos
- Dirígete a la pestaña «Asignaciones».
- Selecciona los grupos de usuarios o dispositivos donde deseas aplicar la política.
- Haz clic en «Siguiente» y luego en «Crear».
Una vez que los dispositivos se sincronicen con Intune, CMD quedará bloqueado.
5. Verifica el resultado
En el dispositivo del usuario, al intentar abrir el símbolo del sistema, se mostrará el siguiente mensaje:
El administrador ha deshabilitado el símbolo del sistema.
Presione una tecla para continuar…
Preguntas frecuentes
¿Esto también bloquea PowerShell?
No. Esta política solo afecta CMD. Si quieres bloquear PowerShell, deberás crear otra política distinta.
¿Afecta al sistema operativo o solo a usuarios?
Solo afecta a la cuenta del usuario. Los procesos del sistema o scripts administrados por el sistema no se ven afectados.
¿Puedo aplicarlo a un solo grupo de usuarios?
Sí. Solo debes asignar el perfil al grupo específico dentro de Intune.
Conclusión
Bloquear el acceso al símbolo del sistema (CMD) con Microsoft Intune es una forma efectiva de aumentar la seguridad en entornos corporativos. Esta política previene la ejecución de comandos y scripts que podrían comprometer la integridad del sistema.
Microsoft Intune permite aplicar esta medida de forma centralizada, remota y rápida. Además, es completamente reversible, lo que brinda flexibilidad a los administradores de TI.
Si aún no aplicas esta política, es una excelente forma de empezar a reforzar tu postura de seguridad desde hoy mismo.
