Compartir a través de


Novedades de Windows Server 2025

En este artículo se describen algunos de los desarrollos más recientes de Windows Server 2025, que cuenta con características avanzadas que mejoran la seguridad, el rendimiento y la flexibilidad. Con opciones de almacenamiento más rápidas y la capacidad de integrarse con entornos de nube híbrida, la administración de la infraestructura ahora es más simplificada. Windows Server 2025 se basa en la base sólida de su predecesor, al tiempo que presenta una gama de mejoras innovadoras para adaptarse a sus necesidades.

Si está interesado en probar las características más recientes de Windows Server 2025 antes de la versión oficial, consulte Introducción a Windows Server Insiders Preview.

Experiencia de escritorio y actualización

Actualización mediante Windows Update

Puede realizar una actualización local de una de estas dos maneras: desde medios de origen o Windows Update. Microsoft ofrece una funcionalidad de actualización local opcional a través de Windows Update, conocida como actualización de características. La actualización de características está disponible para dispositivos Windows Server 2019 y Windows Server 2022.

Al actualizar con Windows Update desde el cuadro de diálogo Configuración, puede realizar la instalación directamente desde Windows Update dentro del escritorio o mediante SConfig para Server Core. Es posible que su organización prefiera implementar actualizaciones incrementalmente y desea controlar la disponibilidad de esta actualización opcional mediante la directiva de grupo.

Para obtener más información sobre cómo administrar la oferta de actualizaciones de características, consulta Administrar actualizaciones de características con la directiva de grupo en Windows Server.

Actualización local desde Windows Server 2012 R2

Con Windows Server 2025, puede actualizar hasta cuatro versiones a la vez. Puede actualizar directamente a Windows Server 2025 desde Windows Server 2012 R2 y versiones posteriores.

Pantalla de escritorio

Al iniciar sesión por primera vez, la experiencia de escritorio se ajusta al estilo y la apariencia de Windows 11.

Bluetooth

Ahora puede conectar mouse, teclados, auriculares, dispositivos de audio y mucho más mediante Bluetooth en Windows Server 2025.

DTrace

Windows Server 2025 viene equipado con dtrace como herramienta nativa. DTrace es una utilidad de la línea de comandos que permite a los usuarios supervisar y solucionar problemas de rendimiento del sistema en tiempo real. DTrace permite a los usuarios instrumentar dinámicamente tanto el código del kernel como el del espacio de usuario sin necesidad de modificar el código en sí. Esta herramienta versátil admite varias técnicas de recopilación y análisis de datos, como agregaciones, histogramas y seguimiento de eventos de nivel de usuario. Para obtener más información, consulte DTrace para obtener ayuda de la línea de comandos y DTrace en Windows para obtener otras funcionalidades.

Correo electrónico y cuentas

Ahora puede agregar los siguientes tipos de cuentas en Configuración de Windows en Cuentas > correo electrónico y cuentas para Windows Server 2025:

  • Microsoft Entra ID
  • Cuenta Microsoft
  • Cuenta profesional o educativa

Hay que tener en cuenta que para la mayoría de las aplicaciones sigue siendo necesaria la integración de dominios.

Centro de opiniones

Ahora es posible enviar comentarios o informar de problemas encontrados durante el uso de Windows Server 2025 a través de Windows Feedback Hub. Puedes incluir capturas de pantalla o grabaciones del proceso que ocasionó el problema para ayudarnos a comprender tu situación y compartir sugerencias para mejorar tu experiencia con Windows. Para obtener más información, consulte Exploración del Centro de opiniones.

Compresión de archivos

Windows Server 2025 tiene una nueva característica de compresión al comprimir un elemento realizando un clic con el botón derecho llamado Comprimir a. Esta característica admite los formatos de compresión ZIP, 7z y TAR con métodos de compresión específicos para cada uno.

Aplicaciones ancladas

Ahora puedes anclar tus aplicaciones más utilizadas en el menú Inicio y personalizarlo en función de tus necesidades. Las aplicaciones ancladas predeterminadas son actualmente:

  • Instalación de Azure Arc
  • Centro de opiniones
  • Explorador de archivos
  • Microsoft Edge
  • Administrador del servidor
  • Configuración
  • Terminal
  • Windows PowerShell

Administrador de tareas

Windows Server 2025 usa la aplicación del Administrador de tareas moderna con material de Mica que se ajusta al estilo de Windows 11.

Wi-Fi

Ahora es más fácil activar las capacidades inalámbricas, ya que la función Wireless LAN Service está instalada por defecto. El servicio de inicio inalámbrico se establece en manual y se puede habilitar mediante la ejecución net start wlansvc en el símbolo del sistema, Terminal Windows o PowerShell.

Terminal Windows

La Terminal Windows, una aplicación multishell eficaz y eficaz para los usuarios de la línea de comandos, está disponible en Windows Server 2025. Busque Terminal en la barra de búsqueda.

WinGet

Winget se instala por defecto, y es una herramienta de línea de comandos del Administrador de Paquetes de Windows que proporciona soluciones completas de gestión de paquetes para la instalación de aplicaciones en dispositivos Windows. Para saber más, consulta Utiliza la herramienta winget para instalar y gestionar aplicaciones.

Seguridad avanzada de varias capas

Hotpatch (versión preliminar)

Hotpatch ya está disponible para las máquinas de Windows Server 2025 conectadas a Azure Arc cuando están habilitadas en el portal de Azure Arc. Hotpatch permite aplicar actualizaciones de seguridad del sistema operativo sin necesidad de reiniciar la máquina. Para más información, consulte el artículo sobre revisión en caliente.

Importante

La revisión activa habilitada para Azure Arc está actualmente en versión preliminar. Consulte Términos de uso complementarios para las versiones preliminares de Microsoft Azure para conocer los términos legales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.

Credential Guard

A partir de Windows Server 2025, Credential Guard está habilitado de forma predeterminada en los dispositivos que cumplen los requisitos. Para obtener más información sobre Credential Guard, consulte Configuración de Credential Guard.

Active Directory Domain Services

Las últimas mejoras en los Active Directory Domain Services (AD DS) y Active Directory Lightweight Domain Services (AD LDS) presentan una gama de nuevas funcionalidades y funcionalidades destinadas a optimizar el sistema de administración de dominios:

  • Opción opcional de tamaño de página de base de datos de 32k: AD usa una base de datos del motor de almacenamiento extensible (ESE) desde que se incluyera en Windows 2000 que usa un tamaño de página de base de datos de 8k. La decisión del diseño de arquitectura de 8k dio lugar a limitaciones en todo AD que vienen recogidas en el documento Escalabilidad de límites máximos de AD. Un ejemplo de esta limitación es un único objeto de AD de registro, que no puede superar los 8000 bytes de tamaño. Al pasar a un formato de página de base de datos de 32k, se mejoran considerablemente las áreas afectadas por las restricciones heredadas, incluidos los atributos con varios valores, que ahora pueden incluir hasta alrededor de 3200 valores, lo que supone un aumento en un factor de 2,6.

    Los nuevos controladores de dominio se pueden instalar con una base de datos de páginas de 32k que usa ID de valor largo (LID) de 64 bits y se ejecuta en un "modo de página de 8k" para respetar la compatibilidad con versiones anteriores. Un controlador de dominio actualizado sigue usando su formato de base de datos actual y páginas de 8k. El paso a páginas de base de datos de 32k se realiza en todo el bosque y para ello todos los controladores de dominio del bosque deben tener una base de datos que acepte páginas de 32k.

  • Actualizaciones del esquema AD: se introducen tres nuevos archivos de base de datos de registro (LDF) que amplían el esquema AD, sch89.ldf, sch90.ldf y sch91.ldf. Las actualizaciones de esquema equivalentes de AD LDS se encuentran en MS-ADAM-Upgrade3.ldf. Para obtener más información sobre las actualizaciones de esquemas anteriores, consulte Actualizaciones de esquemas de Windows Server AD.

  • Reparación de objetos de AD: AD permite ahora a los administradores de empresas reparar objetos a los que les faltan los atributos principales SamAccountType y ObjectCategory. Los administradores de empresa pueden restablecer el atributo LastLogonTimeStamp de un objeto a la hora actual. Estas operaciones se consiguen mediante una nueva función de operación de modificación de RootDSE en el objeto afectado denominada fixupObjectState.

  • Compatibilidad con auditoría de vinculación de canales: los eventos 3074 y 3075 ahora se pueden habilitar para vincular el canal del protocolo ligero de acceso a directorios (LDAP). Cuando la directiva de enlace de canal se modifica a una configuración más segura, un administrador puede identificar dispositivos en el entorno que no admiten ni producen errores en el enlace de canal. Estos eventos de auditoría también están disponibles en Windows Server 2022 y versiones posteriores con la actualización KB4520412.

  • Mejoras en el algoritmo de localización del controlador de dominio: el algoritmo de detección del controlador de dominio aporta nuevas funcionalidades para la asignación de nombres de dominio de tipo NetBIOS cortos a nombres de dominio de tipo DNS. Para obtener más información, consulte Cambios en el localizador de controlador de dominio de Active Directory.

    Nota:

    Windows no usa mailslots durante las operaciones de detección de controlador de dominio, ya que Microsoft ha anunciado la retirada de WINS y los mailslots para estas tecnologías antiguas.

  • Niveles funcionales de bosque y dominio: el nuevo nivel funcional sirve para la compatibilidad general y es necesario para la nueva función de tamaño de página de base de datos de 32k. El nuevo nivel funcional se asigna al valor de DomainLevel 10 y ForestLevel 10 en las instalaciones desasistidas. Microsoft no tiene planes para adaptar los niveles funcionales de Windows Server 2019 y Windows Server 2022. Para realizar una promoción desasistida y una degradación de un controlador de dominio (DC), consulte Sintaxis del archivo de respuesta DCPROMO para la promoción desasistida y la degradación de controladores de dominio.

    La interfaz de programación de aplicaciones (API) DsGetDcName también admite un nuevo marcador DS_DIRECTORY_SERVICE_13_REQUIRED que permite la ubicación de los controladores de dominio que ejecutan Windows Server 2025. Puede obtener más información sobre los niveles funcionales en los siguientes artículos:

    Nota:

    Se requieren nuevos bosques de AD o conjuntos de configuración de AD LDS para tener un nivel funcional de Windows Server 2016 o superior. La promoción de una réplica de AD o AD LDS requiere que el dominio o el conjunto de configuración existentes ya se ejecuten con un nivel funcional de Windows Server 2016 o superior.

    Microsoft recomienda que todos los clientes empiecen a planear ahora la actualización de sus servidores AD y AD LDS a Windows Server 2022 como preparación de la próxima versión.

  • Algoritmos mejorados para búsquedas de nombre/Sid: el reenvío de búsquedas de nombre y Sid de la autoridad de seguridad local (LSA) entre cuentas de equipo ya no utiliza el canal seguro Netlogon heredado. En su lugar, se utiliza la autenticación Kerberos y el algoritmo DC Locator. Para mantener la compatibilidad con los sistemas operativos heredados, sigue siendo posible utilizar el canal seguro Netlogon como opción alternativa.

  • Seguridad mejorada para atributos confidenciales : los controladores de dominio y las instancias de AD LDS solo permiten a LDAP agregar, buscar y modificar operaciones que implican atributos confidenciales cuando se cifra la conexión.

  • Seguridad mejorada para las contraseñas de cuentas de equipo predeterminadas: AD utiliza ahora contraseñas de cuentas de equipo predeterminadas generadas aleatoriamente. Los DC de Windows 2025 bloquean la configuración de contraseñas de cuentas de equipo con la contraseña predeterminada del nombre de la cuenta de equipo.

    Este comportamiento se puede controlar activando la configuración de GPO Controlador de dominio: Rechazar configuración de contraseña de cuenta de equipo predeterminada que se encuentra en: Configuración del equipo\Configuración de Windows\Configuración de seguridad\directivas locales\Opciones de seguridad

    Utilidades como Active Directory Administrative Center (ADAC), Active Directory Users and Computers (ADUC), net computer y dsmod también cumple con este nuevo comportamiento. Tanto ADAC como ADUC ya no permiten crear una cuenta Windows anterior a 2k.

  • Compatibilidad de PKINIT de Kerberos con agilidad criptográfica la implementación del protocolo de criptografía de clave pública de Kerberos para la autenticación inicial en Kerberos (Kerberos Public Key Cryptography for Initial Authentication, PKINIT) se actualiza para permitir la agilidad criptográfica al aceptar más algoritmos y eliminar algoritmos codificados de forma rígida.

  • Configuración de GPO de administrador de LAN: la opción de configuración de GPO Seguridad de red: No guardar el valor hash del administrador de LAN en el próximo cambio de contraseña ya no está presente ni se aplica en las nuevas versiones de Windows.

  • Cifrado LDAP predeterminado: todas las comunicaciones de cliente de LDAP después de una vinculación de nivel de seguridad y autenticación simple (SASL) utilizan el sellado LDAP de forma predeterminada. Para obtener más información sobre SASL, consulte Autenticación de SASL.

  • Compatibilidad con LDAP para TLS 1.3: LDAP usa la última implementación SCHANNEL y es compatible con TLS 1.3 para conexiones LDAP a través de TLS. El uso de TLS 1.3 elimina los algoritmos criptográficos obsoletos, mejora la seguridad con respecto a versiones anteriores y pretende cifrar la mayor parte posible del protocolo de enlace. Para obtener más información, consulte Protocolos en TLS/SSL (Schannel SSP) y Conjuntos de cifrado TLS en Windows Server 2022.

  • Acción de cambio de contraseña de RPC de SAM heredado: los protocolos seguros, como Kerberos, son el medio preferido de cambiar las contraseñas de usuario del dominio. En los controladores de dominio, el último método de cambio de contraseña de RPC de SAM SamrUnicodeChangePasswordUser4 que usa AES se acepta de forma predeterminada cuando se llama de forma remota. Los siguientes métodos RPC de SAM heredados se bloquean de valor predeterminado cuando se llama de forma remota:

    Para los usuarios del dominio que son miembros del grupo Usuarios protegidos y para las cuentas locales de los equipos miembros del dominio, todos los cambios de contraseña remotos a través de la interfaz RPC de SAM heredada se bloquean de forma predeterminada, incluido SamrUnicodeChangePasswordUser4.

    Esta acción se puede controlar mediante el siguiente ajuste de objeto de directiva de grupo (GPO):

    Configuración del equipo > Plantillas administrativas > Sistema > Administrador de cuentas de seguridad > Configurar directiva de métodos de RPC para cambiar contraseña de SAM

  • Compatibilidad con NUMA: AD DS ahora hace uso del hardware compatible con el acceso no uniforme a memoria (NUMA) usando las CPU en todos los grupos de procesadores. Anteriormente, AD solo usaría CPU en el grupo 0. Active Directory puede expandirse más de 64 núcleos.

  • Contadores de rendimiento: el sistema de control y la resolución de problemas del rendimiento de los siguientes contadores ya están disponibles:

    • Localizador de DC: contadores específicos del cliente y del controlador de dominio disponibles.

    • Búsquedas LSA - Nombre y búsquedas SID a través de los LsaLookupNames, LsaLookupSids y las API equivalentes. Estos contadores están disponibles tanto en las SKU de cliente como en las de servidor.

    • Cliente de LDAP: disponible en Windows Server 2022 y versiones posteriores a través de la actualización KB5029250.

  • Orden de prioridad de replicación: ahora AD permite a los administradores aumentar la prioridad de replicación calculada por el sistema con un partner de replicación determinado para un contexto de nomenclatura determinado. Esta característica permite una mayor flexibilidad en la configuración del pedido de replicación para abordar escenarios específicos.

Cuenta de servicios gestionados delegada

Este nuevo tipo de cuenta permite la migración de una cuenta de servicio a una Cuenta de servicios gestionados delegada (dMSA). Este tipo de cuenta incorpora claves gestionadas y totalmente aleatorias que garantizan cambios mínimos en las aplicaciones, y desactivan al mismo tiempo las contraseñas originales de las cuentas de servicio. Para obtener más información, consulte Información general sobre las cuentas de servicio administradas delegadas.

Solución de contraseñas de administrador local de Windows (LAPS)

Windows LAPS ayuda a las organizaciones a administrar las contraseñas de administrador local en sus equipos unidos a un dominio. Genera automáticamente contraseñas únicas para la cuenta de administrador local de cada equipo, las almacena de forma segura en AD y las actualiza periódicamente. Las contraseñas generadas automáticamente ayudan a mejorar la seguridad al reducir el riesgo de que los atacantes obtengan acceso a sistemas confidenciales mediante contraseñas comprometidas o fácilmente adivinables.

Microsoft LAPS incorpora varias funciones que aportan las siguientes mejoras:

  • Nueva característica de administración automática de cuentas

    La última actualización permite a los administradores de TI crear una cuenta local administrada con facilidad. Con esta característica, puede personalizar el nombre de la cuenta, habilitarla o deshabilitarla, e incluso aleatorizar el nombre de la cuenta para mejorar la seguridad. Además, la actualización incluye una integración mejorada con las directivas de administración de cuentas locales existentes de Microsoft. Para obtener más información sobre esta característica, consulte Modos de administración de cuentas LAPS de Windows.

  • Nueva característica de detección de reversión de imágenes

    Windows LAPS ahora detecta cuándo se produce una reversión de imágenes. Si se produce una reversión, es posible que la contraseña almacenada en AD ya no coincida con la contraseña almacenada localmente en el dispositivo. Las reversiones pueden dar lugar a un "estado desactivado" en el que el administrador de TI no puede iniciar sesión en el dispositivo con la contraseña LAPS de Windows conservada.

    Para solucionar este problema, se agregó una nueva característica que incluye un atributo de AD denominado msLAPS-CurrentPasswordVersion. Este atributo contiene un GUID aleatorio escrito por Windows LAPS cada vez que se conserva una nueva contraseña en AD y se guarda localmente. Durante cada ciclo de procesamiento, se consulta el GUID almacenado en msLAPS-CurrentPasswordVersion y se compara con la copia conservada localmente. Si son diferentes, la contraseña se rota inmediatamente.

    Para habilitar esta característica, es necesario ejecutar la versión más reciente de Update-LapsADSchema cmdlet. Una vez finalizada, Windows LAPS reconoce el nuevo atributo y comienza a usarlo. Si no ejecuta la versión actualizada del cmdlet de Update-LapsADSchema, Windows LAPS registra un evento de advertencia 10108 en el registro de eventos, pero sigue funcionando con normalidad en todo lo demás.

    No se usa ninguna configuración de directiva para habilitar o configurar esta característica. La característica siempre está habilitada una vez que se agrega el nuevo atributo de esquema.

  • Nueva característica de frase de contraseña

    Los administradores de TI ahora pueden usar una nueva característica en Windows LAPS que permite la generación de frases de contraseña menos complejas. Un ejemplo sería una frase de contraseña como EatYummyCaramelCandy, que es más fácil de leer, recordar y escribir, en comparación con una contraseña tradicional como V3r_b4tim#963?.

    Esta nueva característica también permite definir la configuración de directiva PasswordComplexity para seleccionar una de las tres listas de palabras de frase de contraseña diferentes, las cuales se incluyen en Windows sin necesidad de una descarga independiente. Una nueva configuración de directiva denominada PassphraseLength controla el número de palabras usadas en la frase de contraseña.

    Al crear una frase de contraseña, el número especificado de palabras se selecciona aleatoriamente de la lista de palabras elegida y se concatena. La primera letra de cada palabra se escribe en mayúscula para mejorar la legibilidad. Esta característica también es totalmente compatible con la copia de seguridad de contraseñas en Windows Server AD o Microsoft Entra ID.

    Las listas de palabras de frase de contraseña usadas en las tres nuevas configuraciones de frase de contraseña de PasswordComplexity proceden del artículo de Electronic Frontier Foundation: Deep Dive: EFF's New Wordlists for Random Passphrases. Las Listas de palabras clave de Windows LAPS se encuentran bajo la licencia de atribución CC-BY-3.0 y pueden descargarse.

    Nota:

    Windows LAPS no permite la personalización de las listas de palabras incorporadas ni el uso de listas de palabras configuradas por el cliente.

  • Diccionario de contraseñas de legibilidad mejorada

    Windows LAPS introduce una nueva configuración de PasswordComplexity que permite a los administradores de TI crear contraseñas menos complejas. Esta característica permite personalizar LAPS para que se usen las cuatro categorías de caracteres (mayúsculas, minúsculas, números y caracteres especiales) como la configuración de complejidad existente de 4. Sin embargo, con la nueva configuración de 5, se excluyen los caracteres más complejos para mejorar la legibilidad de la contraseña y minimizar la confusión. Por ejemplo, el número "1" y la letra "I" nunca se usan con la nueva configuración.

    Cuando PasswordComplexity está configurado en 5, se realizan los siguientes cambios en el juego de caracteres de diccionario de contraseñas predeterminado:

    • No usar las siguientes letras: 'I', 'O', 'Q', 'l', 'o'
    • No usar los siguientes números: '0', '1'
    • No usar los siguientes caracteres "especiales": ',', '.', '&', '{', '}', '[', ']', '(', ')', ';'
    • Empezar usando los siguientes caracteres "especiales": ':', '=', '?', '*'

    El complemento Usuarios y equipos de Active Directory (a través de Microsoft Management Console) cuenta ahora con una ficha Windows LAPS mejorada. La contraseña de Windows LAPS se muestra ahora con un nuevo tipo de letra que mejora su legibilidad cuando se muestra en texto sin formato.

  • Soporte PostAuthenticationAction para terminar procesos individuales

    Se agrega una nueva opción a la configuración de directiva de grupo PostAuthenticationActions (PAA), "Reset the password, sign out the managed account, and terminate any remaining processes" (Restablecer la contraseña, cerrar la cuenta administrada y finalizar los procesos restantes)" ubicada en Computer Configuration > Administrative Templates > System > LAPS > Post-authentication actions (Configuración del equipo > Plantillas administrativas > Sistema LAPS > Acciones posteriores a la autenticación.

    Esta nueva opción es una extensión de la opción anterior "Reset the password and sign out the managed account" (Restablecer la contraseña y cerrar la sesión de la cuenta administrada). Una vez configurado, PAA notifica y finaliza las sesiones de inicio de sesión interactivas. Enumera y finaliza cualquier proceso pendiente que aún se esté ejecutando bajo la identidad de la cuenta local administrada por Windows LAPS. Es importante señalar que ninguna notificación precede a esta finalización.

    Además, la ampliación de los eventos de registro durante la ejecución de la acción posterior a la autenticación proporciona una visión más profunda de la operación.

Para obtener más información sobre Windows LAPS, consulte ¿Qué es Windows LAPS?

OpenSSH

En versiones anteriores de Windows Server, la herramienta de conectividad openSSH requería la instalación manual antes de usarla. El componente del lado servidor OpenSSH se instala de forma predeterminada en Windows Server 2025. La interfaz de usuario de Administrador del servidor también incluye una opción de un solo paso en Acceso SSH remoto que habilita o deshabilita el sshd.exe servicio. Además, puede agregar usuarios al grupo Usuarios de OpenSSH para permitir o restringir el acceso a los dispositivos. Para obtener más información, consulte Información general de OpenSSH para Windows.

Línea de base de seguridad

Al implementar una línea base de seguridad personalizada, puede establecer medidas de seguridad directamente desde el principio para el rol de dispositivo o máquina virtual en función de la posición de seguridad recomendada. Esta línea base viene equipada con más de 350 configuraciones de seguridad preconfiguradas de Windows que permiten aplicar y forzar configuraciones de seguridad específicas que se ajustan a los procedimientos recomendados por los estándares de Microsoft y del sector. Para obtener más información, consulte Información general sobre OSConfig.

Enclaves de seguridad basada en virtualización (VBS)

Un enclave VBS es un entorno de ejecución de confianza (TEE) basado en software dentro del espacio de direcciones de una aplicación host. Los enclaves VBS utilizan la tecnología VBS subyacente para aislar la parte confidencial de una aplicación en una partición segura de memoria. Los enclaves de VBS permiten el aislamiento de cargas de trabajo confidenciales tanto de la aplicación de host como del resto del sistema.

Los enclaves VBS permiten a las aplicaciones proteger sus secretos evitando la necesidad de confiar en los administradores y reforzando la protección contra atacantes malintencionados. Para obtener más información, lea la referencia de Win32 de enclaves VBS.

Protecciones de claves de seguridad basada en la virtualización (VBS)

La protección de claves de VBS permite a los desarrolladores de Windows proteger las claves criptográficas mediante la seguridad basada en virtualización (VBS). VBS usa la funcionalidad de extensión de virtualización de la CPU para crear un entorno de ejecución aislado fuera del sistema operativo normal. Cuando se usa, las claves VBS quedan aisladas en un proceso seguro, lo que permite que se produzcan operaciones de claves sin exponer el material de la clave privada fuera de este espacio. En reposo, el material de clave privada se cifra mediante una clave TPM, que enlaza las claves VBS al dispositivo. Las claves protegidas de esta manera no se pueden volcar desde la memoria del proceso ni exportarse en texto sin formato desde la máquina de un usuario. La protección de claves vbS ayuda a evitar ataques de filtración por cualquier atacante de nivel de administrador. VBS debe estar habilitado para usar la protección de claves. Consulte Habilitación de la integridad de memoria para obtener información sobre cómo habilitar VBS.

Conectividad protegida

Administración segura de certificados

La búsqueda o recuperación de certificados en Windows ahora admite hashes SHA-256, como se describe en las funciones CertFindCertificateInStore y CertGetCertificateContextProperty. La autenticación del servidor TLS es más segura en Windows y ahora requiere una longitud mínima de clave RSA de 2048 bits. Para obtener más información, consulte Autenticación de servidor TLS: desuso de certificados RSA no seguros.

SMB sobre QUIC

La función de servidor SMB sobre QUIC solo estaba disponible en Windows Server Azure Edition, ahora está disponible en las versiones Windows Server Standard y Windows Server Datacenter. SMB sobre QUIC añade las ventajas de QUIC, que proporciona conexiones cifradas y de baja latencia a través de Internet.

Directiva de habilitación de SMB a través de QUIC

Los administradores pueden deshabilitar SMB a través del cliente QUIC por medio de la directiva de grupo y PowerShell. Para deshabilitar SMB a través de QUIC mediante la directiva de grupo, establezca la directiva Habilitar SMB a través de QUIC en las siguientes rutas de acceso a Deshabilitado:

  • Computer Configuration\Administrative Templates\Network\Lanman Workstation

  • Computer Configuration\Administrative Templates\Network\Lanman Server

Para deshabilitar SMB a través de QUIC mediante PowerShell, ejecute este comando en un símbolo del sistema de PowerShell con privilegios elevados:

Set-SmbClientConfiguration -EnableSMBQUIC $false
Auditoría de cifrado y firma de SMB

Los administradores pueden habilitar la auditoría del servidor y el cliente SMB para admitir la firma y el cifrado de SMB. Si un cliente o servidor que no es de Microsoft no es compatible con el cifrado o la firma de SMB, se puede detectar. Cuando un dispositivo o software que no es de Microsoft indica que admite SMB 3.1.1, pero no admite la firma de SMB, infringe el requisito del protocolo de integridad de autenticación previa de SMB 3.1.1.

Puede configurar las opciones de auditoría de cifrado y firma de SMB mediante la directiva de grupo o PowerShell. Estas directivas se pueden cambiar en las siguientes rutas de acceso de la directiva de grupo:

  • Configuración del equipo\Plantillas administrativas\Red\Servidor Lanman\El cliente de auditoría no admite el cifrado

  • Configuración del equipo\Plantillas administrativas\Red\Servidor Lanman\El cliente de auditoría no admite la firma

  • Configuración del equipo\Plantillas administrativas\Red\Estación de trabajo Lanman\El servidor de auditoría no admite el cifrado

  • Configuración del equipo\Plantillas administrativas\Red\Estación de trabajo Lanman\El servidor de auditoría no admite la firma

Para realizar estos cambios mediante PowerShell, ejecute estos comandos en un símbolo del sistema con privilegios elevados, donde $true sirve para habilitar y $false sirve para deshabilitar esta configuración:

Set-SmbServerConfiguration -AuditClientDoesNotSupportEncryption $true
Set-SmbServerConfiguration -AuditClientDoesNotSupportSigning $true

Set-SmbClientConfiguration -AuditServerDoesNotSupportEncryption $true
Set-SmbClientConfiguration -AuditServerDoesNotSupportSigning $true

Los registros de eventos de estos cambios se almacenan en las siguientes rutas de acceso del Visor de eventos con su identificador de evento especificado.

Path Id. del evento
Registros de aplicaciones y servicios\Microsoft\Windows\SMBClient\Audit 31998
31999
Registros de aplicaciones y servicios\Microsoft\Windows\SMBServer\Audit 3021
3022
Auditoría de SMB a través de QUIC

La auditoría de conexión del cliente SMB a través QUIC captura eventos escritos en un registro de eventos para incluir el transporte QUIC en el Visor de eventos. Estos registros se almacenan en las siguientes rutas de acceso con su identificador de evento especificado.

Path Id. del evento
Registros de aplicaciones y servicios\Microsoft\Windows\SMBClient\Conectividad 30832
Registros de aplicaciones y servicios\Microsoft\Windows\SMBServer\Conectividad 1913
Control de acceso de clientes SMB sobre QUIC

Windows Server 2025 incluye SMB sobre el control de acceso de cliente QUIC. SMB a través de QUIC es una alternativa a TCP y RDMA que proporciona conectividad segura a los servidores de archivos perimetrales a través de redes que no son de confianza. El control de acceso de cliente presenta más controles para restringir el acceso a los datos mediante certificados. Para obtener más información, consulte Funcionamiento del control de acceso de cliente.

Puertos alternativos SMB

Puede usar el cliente SMB para conectarse a puertos TCP, QUIC y RDMA alternativos en lugar de sus valores predeterminados IANA/IETF de 445, 5445 y 443. Los puertos alternativos se pueden configurar mediante la directiva de grupo o PowerShell. Anteriormente, el servidor SMB de Windows obligaba a las conexiones entrantes a usar el puerto registrado por IANA TCP/445, mientras que el cliente TCP SMB solo permitía conexiones salientes a ese mismo puerto TCP. Ahora, SMB sobre QUIC permite puertos alternativos SMB en los que los puertos UDP/443 obligatorios de QUIC están disponibles para dispositivos cliente y servidor. Para obtener más información, consulte Configuración de puertos SMB alternativos.

Protección de reglas de firewall de SMB

Anteriormente, cuando se creó un recurso compartido, las reglas de firewall de SMB se configurarían automáticamente para habilitar el grupo Uso compartido de archivos e impresoras para los perfiles de firewall pertinentes. Ahora, la creación de un recurso compartido SMB en Windows da como resultado la configuración automática del nuevo grupo Uso compartido de archivos e impresoras (restrictivo), que ya no permite puertos NetBIOS entrantes 137-139. Para obtener más información, consulte Reglas de firewall actualizadas.

Cifrado SMB

Aplicar el cifrado SMB está habilitado para todas las conexiones de cliente SMB salientes. Con esta actualización, los administradores pueden establecer un mandato para que todos los servidores de destino admitan SMB 3.x y cifrado. Si un servidor carece de estas funcionalidades, el cliente no puede establecer una conexión.

Limitador de velocidad de autenticación SMB

El limitador de velocidad de autenticación SMB está diseñado para limitar el número de intentos de autenticación que se pueden realizar dentro de un período de tiempo determinado. El limitador de velocidad de autenticación SMB ayuda a combatir los ataques de autenticación por fuerza bruta. El servicio de servidor SMB usa el limitador de velocidad de autenticación para implementar un retraso entre cada intento de autenticación basado en NTLM o PKU2U con errores y está habilitado de forma predeterminada. Para más información, consulte Funcionamiento del limitador de velocidad de autenticación SMB.

Deshabilitar SMB NTLM

A partir de Windows Server 2025, el cliente SMB admite el bloqueo NTLM para las conexiones salientes remotas. Anteriormente, el Mecanismo de negociación de GSSAPI simple y protegido de Windows (SPNEGO) negociaba Kerberos, NTLM y otros mecanismos con el servidor de destino para determinar un paquete de seguridad admitido. Para más información, consulte Bloquear conexiones NTLM en SMB.

Control de dialecto SMB

Ahora puede administrar dialectos SMB en Windows. Cuando se configura el servidor SMB determina qué dialectos SMB 2 y SMB 3 negocia en comparación con el comportamiento anterior que coincide solo con el dialecto más alto.

Firma de SMB

La firma de SMB ahora es necesaria de forma predeterminada para todas las conexiones salientes de SMB en las que anteriormente solo se requería al conectarse a recursos compartidos denominados SYSVOL y NETLOGON en controladores de dominio de AD. Para obtener más información, consulte Funcionamiento de la firma.

Mailslots remotos

El protocolo Mailslot remoto está deshabilitado de forma predeterminada para SMB y para el uso del protocolo de localizador de controlador de dominio con Active Directory. Es posible que Mailslot remoto se quite en una versión posterior. Para obtener más información, consulte Características que ya no desarrollamos.

Protección de servicios de enrutamiento y acceso remoto (RRAS)

De forma predeterminada, las nuevas instalaciones de servicios de enrutamiento y acceso remoto (RRAS) no aceptan conexiones VPN basadas en protocolos PPTP y L2TP. Si es necesario, puede habilitar estos protocolos. Las conexiones VPN basadas en SSTP e IKEv2 se siguen aceptando sin ningún cambio.

Las configuraciones existentes conservan su comportamiento. Por ejemplo, si ejecuta Windows Server 2019 y acepta conexiones PPTP y L2TP, y actualiza a Windows Server 2025 mediante una actualización local, se siguen aceptando conexiones basadas en L2TP y PPTP. Este cambio no afecta a los sistemas operativos de los clientes Windows. Para más información sobre cómo volver a habilitar PPTP y L2TP, consulte Configuración de protocolos VPN.

Hyper-V, IA y rendimiento

Redes aceleradas

Accelerated Networking (AccelNet) simplifica la administración de la virtualización de E/S raíz única (SR-IOV) para máquinas virtuales hospedadas en clústeres de Windows Server 2025. Esta característica usa la ruta de acceso de datos SR-IOV de alto rendimiento para reducir la latencia, la vibración y el uso de la CPU. AccelNet también incluye una capa de administración que controla la comprobación de requisitos previos, la configuración del host y la configuración de rendimiento de la máquina virtual. Para más información, consulte Redes aceleradas en Edge (versión preliminar).

Administrador de Hyper-V

Al crear una nueva máquina virtual a través del Administrador de Hyper-V, la generación 2 ahora se establece como la opción predeterminada en el Asistente para nueva máquina virtual.

Traducción de paginación forzada por hipervisor

La traducción de paginación aplicada por hipervisor (HVPT) es una mejora de seguridad para aplicar la integridad de las traducciones de direcciones lineales. HVPT protege los datos críticos del sistema frente a ataques de escritura en los que el atacante escribe un valor arbitrario en una ubicación arbitraria, a menudo como resultado de un desbordamiento del búfer. HVPT protege las tablas de páginas que configuran estructuras de datos críticas del sistema. HVPT incluye todo lo que ya está protegido con integridad de código protegida por hipervisor (HVCI). HVPT está habilitado de forma predeterminada, donde la compatibilidad con hardware está disponible. HVPT no está habilitado cuando Windows Server se ejecuta como invitado en una máquina virtual.

Particiones de GPU (GPU-P)

La creación de particiones de GPU le permite compartir un dispositivo de GPU físico con varias máquinas virtuales (MV). En lugar de asignar toda la GPU a una sola máquina virtual, la creación de particiones de GPU asigna fracciones dedicadas de la GPU a cada máquina virtual. Con la alta disponibilidad de GPU-P de Hyper-V, una máquina virtual GPU-P se habilita automáticamente en otro nodo de clúster en caso de tiempo de inactividad no planeado. La migración en vivo de GPU-P proporciona una solución para mover una máquina virtual (para tiempos de inactividad planeados o equilibrio de carga) con GPU-P a otro nodo, ya sea independiente o en clúster. Para más información sobre la creación de particiones de GPU, consulte Creación de particiones de GPU.

Compatibilidad con procesadores dinámicos

El modo de compatibilidad dinámica del procesador se actualiza para aprovechar las nuevas funcionalidades de procesador en un entorno agrupado. La compatibilidad con procesadores dinámicos usa el número máximo de características de procesador disponibles en todos los servidores de un clúster. El modo mejora el rendimiento en comparación con la versión anterior de compatibilidad del procesador. La compatibilidad dinámica del procesador también permite guardar su estado entre hosts de virtualización que usan diferentes generaciones de procesadores. El modo de compatibilidad del procesador ahora proporciona funcionalidades dinámicas mejoradas en procesadores capaces de traducción de direcciones de segundo nivel (SLAT). Para obtener más información sobre el modo de compatibilidad actualizado, consulte Modo de compatibilidad dinámica del procesador.

Clústeres de grupo de trabajo

Los clústeres de grupo de trabajo de Hyper-V son un tipo especial de clúster de conmutación por error de Windows Server en el que los nodos de clúster de Hyper-V no son miembros de un dominio de Active Directory con la capacidad de migrar máquinas virtuales en un clúster de grupo de trabajo.

Network ATC

Network ATC simplifica la implementación y administración de configuraciones de red para clústeres de Windows Server 2025. Network ATC utiliza un enfoque basado en intenciones, donde los usuarios especifican sus intenciones deseadas, como la administración, el proceso o el almacenamiento de un adaptador de red, y la implementación se automatiza en función de la configuración prevista. Este enfoque reduce el tiempo, la complejidad y los errores asociados a la implementación de redes de host, garantiza la coherencia de la configuración en el clúster y elimina el desfase de configuración. Para más información, consulte Implementación de redes de host con Network ATC.

Escalabilidad

Con Windows Server 2025, Hyper-V ahora admite hasta 4 petabytes de memoria y 2048 procesadores lógicos por host. Este aumento permite una mayor escalabilidad y rendimiento para cargas de trabajo virtualizadas.

Windows Server 2025 también admite hasta 240 TB de memoria y 2048 procesadores virtuales de generación 2, lo que proporciona una mayor flexibilidad para ejecutar cargas de trabajo grandes. Para obtener más información, consulte Planear la escalabilidad de Hyper-V en Windows Server.

Storage

Compatibilidad con la clonación de bloques

A partir de Windows 11 24H2 y Windows Server 2025, la unidad de desarrollo ahora admite la clonación de bloques. Como la unidad de desarrollo usa el formato del sistema de archivos ReFS, la compatibilidad con la clonación de bloques proporciona importantes ventajas de rendimiento al copiar archivos. Con la clonación de bloques, el sistema de archivos puede copiar un intervalo de bytes de archivo en nombre de una aplicación como una operación de metadatos de bajo costo, en lugar de realizar operaciones costosas de lectura y escritura en los datos físicos subyacentes. Esto permite una finalización más rápida de la copia de archivos, una E/S reducida al almacenamiento subyacente y una capacidad de almacenamiento mejorada al permitir que varios archivos compartan los mismos clústeres lógicos. Para obtener más información, consulte Clonación de bloques en ReFS.

Unidad de desarrollo

La unidad de desarrollo es un volumen de almacenamiento diseñado para mejorar el rendimiento de las cargas de trabajo de desarrollador cruciales. La unidad de desarrollo utiliza la tecnología ReFS e incorpora optimizaciones específicas del sistema de archivos para ofrecer un mayor control sobre la configuración y seguridad del volumen de almacenamiento. Esto incluye la capacidad de designar confianza, configurar la configuración del antivirus y ejercer el control administrativo sobre los filtros adjuntos. Para obtener más información, consulte Configuración de una unidad de desarrollo en Windows 11.

NVMe

NVMe es un nuevo estándar para unidades rápidas de estado sólido (SSD). El rendimiento del almacenamiento NVMe se ha optimizado en Windows Server 2025 con un rendimiento mejorado, lo que da lugar a un aumento de las IOPS y a la disminución del uso de cpu.

Compresión de réplica de almacenamiento

La compresión de réplica de almacenamiento reduce la cantidad de datos transferidos a través de la red durante la replicación. Para más información sobre la compresión en réplica de almacenamiento, consulte Introducción a la réplica de almacenamiento.

Registro mejorado de réplica de almacenamiento

Los registros mejorados contribuyen a que la implementación del registro de Storage Replica elimine los costes de rendimiento asociados a las abstracciones del sistema de archivos, lo que mejora el rendimiento de la replicación de bloques. Para saber más, consulta Registro de Storage Replica mejorado.

Desduplicación y compresión de almacenamiento nativo de ReFS

La desduplicación y compresión de almacenamiento nativo de ReFS son técnicas que se usan para optimizar la eficacia del almacenamiento para cargas de trabajo estáticas y activas, como servidores de archivos o escritorios virtuales. Para más información sobre la desduplicación y compresión de ReFS, consulte Optimización del almacenamiento con desduplicación y compresión de ReFS en Azure Stack HCI.

Volúmenes aprovisionados finos

Los volúmenes aprovisionados finos con Espacios de almacenamiento directo son una manera de asignar recursos de almacenamiento de forma más eficaz y evitar la sobreasignación costosa mediante la asignación desde el grupo solo cuando sea necesario en un clúster. También puede convertir volúmenes fijos a aprovisionados finos. La conversión de volúmenes fijos a finos aprovisionados devuelve cualquier almacenamiento sin usar al grupo para que usen otros volúmenes. Para más información sobre los volúmenes aprovisionados finos, consulte Aprovisionamiento fino de almacenamiento.

Bloque de mensajes del servidor

El bloque de mensajes del servidor (SMB) es uno de los protocolos más usados en las redes al proporcionar una forma fiable de compartir archivos y otros recursos entre dispositivos de la red. Windows Server 2025 incluye compatibilidad con compresión SMB para el algoritmo de compresión LZ4 estándar del sector. LZ4 es además de la compatibilidad existente de SMB con XPRESS (LZ77), XPRESS Huffman (LZ77+Huffman), LZNT1 y PATTERN_V1.

Azure Arc e híbrido

Configuración simplificada de Azure Arc

De forma predeterminada, se instala la característica a petición de configuración de Azure Arc, que ofrece una interfaz de asistente fácil de usar y un icono de bandeja del sistema en la barra de tareas para facilitar el proceso de agregar servidores a Azure Arc. Azure Arc amplía las funcionalidades de la plataforma Azure, lo que permite la creación de aplicaciones y servicios que pueden funcionar en diversos entornos. Estos entornos incluyen centros de datos, el perímetro, entornos multinube y proporcionan una mayor flexibilidad. Para obtener más información, consulte Conexión de máquinas Windows Server a Azure mediante la instalación de Azure Arc.

Licencias de pago por uso

La opción de licencia de suscripción de pago por uso de Azure Arc es una alternativa a las licencias perpetuas convencionales para Windows Server 2025. Con el pago por uso, puedes implementar un dispositivo Windows Server, concederle una licencia y pagar solo tanto como uses. Esta característica se facilita a través de Azure Arc y se factura a través de la suscripción de Azure. Obtenga más información sobre las licencias de pago por uso de Azure Arc.

Administración de Windows Server habilitada por Azure Arc

La administración de Windows Server habilitada por Azure Arc ofrece nuevas ventajas a los clientes con licencias de Windows Server que tienen licencias activas de Software Assurance o Windows Server que son licencias de suscripción activas. Windows Server 2025 tiene las siguientes ventajas clave:

  • Windows Admin Center en Azure Arc: Windows Admin Center ahora está integrado con Azure Arc, lo que le permite administrar las instancias de Windows Server desde el portal de Azure Arc. Esta integración proporciona una experiencia de administración unificada para las instancias de Windows Server, tanto si se ejecutan de forma local, en la nube como en el perímetro.

  • Soporte remoto: ofrece a los clientes soporte técnico profesional la capacidad de conceder acceso Just-In-Time (JIT) con transcripciones de ejecución detalladas y derechos de revocación.

  • Evaluación de procedimientos recomendados: recopilación y análisis de datos de servidor para generar problemas y guías de corrección y mejoras de rendimiento.

  • Configuración de Azure Site Recovery: configuración de Azure Site Recovery para garantizar la continuidad empresarial, proporciona replicación y resistencia de datos para cargas de trabajo críticas.

Para más información sobre la administración de Windows Server habilitada por Azure Arc y las ventajas disponibles, consulte Administración de Windows Server habilitada por Azure Arc.

Redes definidas por software (SDN)

SDN es un enfoque de redes que permite a los administradores de red administrar servicios de red a través de la abstracción de la funcionalidad de nivel inferior. SDN permite la separación del plano de control de red, que es responsable de administrar la red, desde el plano de datos, que controla el tráfico real. Esta separación permite una mayor flexibilidad y programación en la administración de red. SDN proporciona las siguientes ventajas en Windows Server 2025:

  • La controladora de red, que es el plano de control de SDN, ahora se hospeda directamente como servicios de clúster de conmutación por error en las máquinas host físicas. El uso de un rol de clúster elimina la necesidad de implementar máquinas virtuales, lo que simplifica la implementación y la administración al conservar los recursos.

  • La segmentación basada en etiquetas permite a los administradores usar etiquetas de servicio personalizadas para asociar grupos de seguridad de red (NSG) y máquinas virtuales para el control de acceso. En lugar de especificar intervalos IP, los administradores ahora pueden usar etiquetas simples y autoexplicativas para etiquetar máquinas virtuales de carga de trabajo y aplicar directivas de seguridad basadas en estas etiquetas. Las etiquetas simplifican el proceso de administración de la seguridad de red y eliminan la necesidad de recordar y volver a escribir intervalos IP. Para obtener más información, consulte Configurar grupos de seguridad de red con etiquetas en Windows Admin Center.

  • Las directivas de red predeterminadas de Windows Server 2025 ofrecen opciones de protección similar a Azure a grupos de seguridad de red para cargas de trabajo implementadas a través de Windows Admin Center. La directiva predeterminada deniega todo el acceso entrante, lo que permite la apertura selectiva de puertos de entrada conocidos, al tiempo que permite el acceso de salida completo desde máquinas virtuales de carga de trabajo. Las directivas de red predeterminadas garantizan que las máquinas virtuales de carga de trabajo estén protegidas desde el punto de creación. Para más información, consulte Uso de directivas de acceso de red predeterminadas en máquinas virtuales en Azure Stack HCI, versión 23H2.

  • SDN Multisite proporciona conectividad nativa de nivel 2 y capa 3 entre aplicaciones en dos ubicaciones sin componentes adicionales. Esta característica permite un movimiento sin problemas de las aplicaciones sin necesidad de volver a configurar la aplicación o las redes. También ofrece administración unificada de directivas de red para cargas de trabajo, lo que garantiza que no es necesario actualizar las directivas cuando una máquina virtual de carga de trabajo se mueve de una ubicación a otra. Para más información, consulte ¿Qué es SDN Multisite?.

  • El rendimiento de las puertas de enlace de nivel 3 de SDN se mejora, logra un mayor rendimiento y reduce los ciclos de CPU. Estas mejoras están habilitadas de forma predeterminada. Los usuarios experimentan automáticamente un mejor rendimiento cuando se configura una conexión de nivel 3 de puerta de enlace de SDN mediante PowerShell o Windows Admin Center.

Portabilidad de contenedores de Windows

La portabilidad es un aspecto fundamental de la administración de contenedores y tiene la capacidad de simplificar las actualizaciones aplicando una mayor flexibilidad y compatibilidad de contenedores en Windows. La portabilidad es una característica de Windows Server que permite a los usuarios mover imágenes de contenedor y sus datos asociados, entre distintos hosts o entornos sin necesidad de modificaciones. Los usuarios pueden crear una imagen de contenedor en un host y, a continuación, implementarla en otro host sin tener que preocuparse por posibles problemas de compatibilidad. Para obtener más información, consulte Portabilidad de contenedores.

Programa Windows Server Insider

El Programa Windows Server Insider proporciona acceso anticipado a las últimas versiones del sistema operativo Windows para una comunidad de entusiastas. Como miembro, puedes ser de los primeros en probar las nuevas ideas y conceptos que Microsoft esté desarrollando. Después de registrarse como miembro, puedes optar por participar en diferentes canales de versión si vas a ir al Programa Windows Insider desde Windows Update.

Consulte también