La seguridad de Windows Server 2025 se basa en Windows Server 2022, que ya ponía el foco en Zero Trust, el cumplimiento avanzado y una sólida integración con la nube híbrida. Sobre esta base se han añadido diversas funcionalidades para reforzar la seguridad. Este artículo describe las mejoras implementadas en Windows Server 2025 y qué puede hacer usted para optimizarlas aún más.
Mejoras de seguridad
Zero Trust y seguridad de identidades
Windows Server 2025 integra el modelo Zero Trust, aplicando un control de acceso estricto junto con la autenticación multifactor (MFA). Esto se implementa conectando Windows Server 2025 a Microsoft Entra ID. Además, las políticas de acceso condicional conceden acceso a la red corporativa en función de condiciones específicas. En sistemas compatibles, Credential Guard está activado de forma predeterminada. Esto protege contra hashes NTLM, tickets Kerberos y otras credenciales mediante virtualización.
Virtualization-Based Security (VBS) & Secured-core
Con la seguridad basada en virtualización (VBS), las cargas de trabajo sensibles se aíslan, reduciendo la dependencia de los administradores. Las claves criptográficas están protegidas con VBS Key Protection, que las aísla y aprovecha la seguridad basada en hardware. Los servidores Secured-core, equipados con integridad de código protegida por hipervisor (HVCI), bloquean controladores maliciosos a nivel de hardware y hacen accesibles los eventos de seguridad a través de Defender for Cloud.
Hotpatching y resiliencia
Con Hotpatching a través de Azure Arc, las actualizaciones de seguridad mensuales pueden instalarse sin necesidad de reiniciar. Solo es necesario reiniciar la baseline trimestral. Además, Microsoft ha anunciado Quick Machine Recovery (QMR) dentro de la iniciativa Windows Resiliency, que permite restaurar dispositivos cuando fallos críticos les impiden arrancar. Sin embargo, esta función aún no está disponible de forma general.
Seguridad de red y comunicaciones
La autenticación y la seguridad del transporte se han reforzado con LDAP sobre TLS 1.3 y algoritmos Kerberos avanzados. Windows Server admite DoH en el lado del cliente; el rol de servidor DNS no ofrece DoH/DoT nativo.
Protección de endpoints
Microsoft Defender for Servers/Endpoint es una plataforma de seguridad diseñada para ayudar a las empresas a prevenir, detectar, investigar y responder a amenazas. También puede adquirir Microsoft Defender for Servers (a través de Defender for Cloud) como un servicio de Azure independiente y de pago para cargas de trabajo de Windows Server. Esta plataforma de protección de aplicaciones nativas de la nube (CNAPP) asegura pipelines DevOps y protege máquinas virtuales y cargas de trabajo.
Active Directory
Active Directory (AD) sigue siendo una función esencial para la gestión de cuentas de usuarios y equipos en una red Windows. AD es la solución central para gestionar usuarios, dispositivos y derechos de acceso dentro de su entorno. A través de los controladores de dominio, los usuarios y sistemas autorizados obtienen acceso seguro y controlado a los recursos de red.
Baselines de seguridad y gestión de configuración
Con OSConfig, Microsoft ofrece una solución para administrar configuraciones de seguridad a gran escala. OSConfig garantiza configuraciones consistentes y las restaura automáticamente en caso de desviaciones. También admite baselines de seguridad basadas en escenarios como las directrices CIS y DISA STIG. Se incluyen más de 300 configuraciones predefinidas, lo que permite a las organizaciones implementar y mantener una postura de seguridad sólida.
Red y valores predeterminados de Kerberos en 2025
Windows Server 2025 refuerza la firma SMB e introduce el bloqueo de NTLM; Kerberos elimina algoritmos obsoletos.
Qué puede hacer usted mismo
Para reforzar aún más la seguridad de Windows Server 2025, puede adoptar las siguientes medidas:
Activar Credential Guard y VBS
Las credenciales sensibles se aíslan mediante virtualización. VBS crea un entorno seguro e aislado para las funciones de seguridad.
Gestionar actualizaciones con Hotpatching vía Azure Arc
Instalar actualizaciones sin reiniciar el servidor, tanto en entornos híbridos como locales.
Implementar Defender for Servers
Ofrece detección de amenazas, análisis de vulnerabilidades y recomendaciones de seguridad para sus servidores.
Desactivar protocolos heredados
Los protocolos antiguos suelen contener vulnerabilidades conocidas. Usar alternativas modernas evita escuchas, ataques de tipo man-in-the-middle y suplantación.
Activar configuraciones seguras de AD, incluida la rotación de contraseñas de cuentas de máquina
Mejora la seguridad general de AD mediante la rotación periódica de contraseñas de cuentas de máquina.
FAQ
¿Está Defender for Cloud incluido en Windows Server 2025?
No. Defender for Cloud/Servers es un servicio/licencia de Azure independiente.
¿Hotpatching nunca requiere reinicios?
No para los parches mensuales; sí para la baseline trimestral.
¿Windows Server admite DoH?
Sí, el cliente DNS; no el rol de servidor DNS.
¿Está disponible LDAP/TLS 1.3?
Sí, es compatible (mediante actualizaciones/versiones recientes).
¿Cuántas configuraciones baseline ofrece OSConfig?
Más de 300.
