Novedades de Windows Server 2025

• Se aplica a:

  ✅ Windows Server 2025

En este artículo se describen algunos de los desarrollos más recientes de Windows Server 2025, que cuenta con características avanzadas que mejoran la seguridad, el rendimiento y la flexibilidad. Con opciones de almacenamiento más rápidas y la capacidad de integrarse con entornos de nube híbrida, la administración de la infraestructura ahora es más simplificada. Windows Server 2025 se basa en la base sólida de su predecesor, al tiempo que presenta una gama de mejoras innovadoras para adaptarse a sus necesidades.

Si está interesado en probar las características más recientes de Windows Server 2025 antes de la versión oficial, consulte Introducción a Windows Server Insiders Preview.

Novedades

Las siguientes nuevas características son específicas de Windows Server con Desktop Experience. Para ello, es necesario que tanto los dispositivos físicos que ejecutan el sistema operativo como los controladores correctos estén disponibles.

Redes aceleradas

Accelerated Networking (AccelNet) simplifica la administración de la virtualización de E/S raíz única (SR-IOV) para máquinas virtuales hospedadas en clústeres de Windows Server 2025. Esta característica usa la ruta de acceso de datos SR-IOV de alto rendimiento para reducir la latencia, la vibración y el uso de la CPU. AccelNet también incluye una capa de administración que controla la comprobación de requisitos previos, la configuración del host y la configuración de rendimiento de la máquina virtual.

Active Directory Domain Services

Las últimas mejoras en los Active Directory Domain Services (AD DS) y Active Directory Lightweight Domain Services (AD LDS) presentan una gama de nuevas funcionalidades y funcionalidades destinadas a optimizar el sistema de administración de dominios:

• Opción opcional de tamaño de página de base de datos de 32k: AD usa una base de datos del motor de almacenamiento extensible (ESE) desde que se incluyera en Windows 2000 que usa un tamaño de página de base de datos de 8k. La decisión del diseño de arquitectura de 8k dio lugar a limitaciones en todo AD que vienen recogidas en el documento Escalabilidad de límites máximos de AD. Un ejemplo de esta limitación es un único objeto de AD de registro, que no puede superar los 8000 bytes de tamaño. Al pasar a un formato de página de base de datos de 32k, se mejoran considerablemente las áreas afectadas por las restricciones heredadas, incluidos los atributos con varios valores, que ahora pueden incluir hasta alrededor de 3200 valores, lo que supone un aumento en un factor de 2,6.

  Los nuevos controladores de dominio se pueden instalar con una base de datos de páginas de 32k que usa ID de valor largo (LID) de 64 bits y se ejecuta en un "modo de página de 8k" para respetar la compatibilidad con versiones anteriores. Un controlador de dominio actualizado sigue usando su formato de base de datos actual y páginas de 8k. El paso a páginas de base de datos de 32k se realiza en todo el bosque y para ello todos los controladores de dominio del bosque deben tener una base de datos que acepte páginas de 32k.

• Actualizaciones del esquema AD: se introducen tres nuevos archivos de base de datos de registro (LDF) que amplían el esquema AD, sch89.ldf, sch90.ldf y sch91.ldf. Las actualizaciones de esquema equivalentes de AD LDS se encuentran en MS-ADAM-Upgrade3.ldf. Para obtener más información sobre las actualizaciones de esquemas anteriores, consulte Actualizaciones de esquemas de Windows Server AD.

• Reparación de objetos de AD: AD permite ahora a los administradores de empresas reparar objetos a los que les faltan los atributos principales SamAccountType y ObjectCategory. Los administradores de empresa pueden restablecer el atributo LastLogonTimeStamp de un objeto a la hora actual. Estas operaciones se consiguen mediante una nueva función de operación de modificación de RootDSE en el objeto afectado denominada fixupObjectState.

• Compatibilidad con auditoría de vinculación de canales: los eventos 3074 y 3075 ahora se pueden habilitar para vincular el canal del protocolo ligero de acceso a directorios (LDAP). Cuando la directiva de enlace de canal se modifica a una configuración más segura, un administrador puede identificar dispositivos en el entorno que no admiten ni producen errores en el enlace de canal. Estos eventos de auditoría también están disponibles en Windows Server 2022 y versiones posteriores con la actualización KB4520412.

• Mejoras en el algoritmo de localización del controlador de dominio: el algoritmo de detección del controlador de dominio aporta nuevas funcionalidades para la asignación de nombres de dominio de tipo NetBIOS cortos a nombres de dominio de tipo DNS. Para obtener más información, consulte Cambios en el localizador de controlador de dominio de Active Directory.

  Nota:

  Windows no usa mailslots durante las operaciones de detección de controlador de dominio, ya que Microsoft ha anunciado la retirada de WINS y los mailslots para estas tecnologías antiguas.

• Niveles funcionales de bosque y dominio: el nuevo nivel funcional sirve para la compatibilidad general y es necesario para la nueva función de tamaño de página de base de datos de 32k. El nuevo nivel funcional se asigna al valor de DomainLevel 10 y ForestLevel 10 en las instalaciones desasistidas. Microsoft no tiene planes para adaptar los niveles funcionales de Windows Server 2019 y Windows Server 2022. Para realizar una promoción desasistida y una degradación de un controlador de dominio (DC), consulte Sintaxis del archivo de respuesta DCPROMO para la promoción desasistida y la degradación de controladores de dominio.

  La interfaz de programación de aplicaciones (API) DsGetDcName también admite un nuevo marcador DS_DIRECTORY_SERVICE_13_REQUIRED que permite la ubicación de los controladores de dominio que ejecutan Windows Server 2025. Puede obtener más información sobre los niveles funcionales en los siguientes artículos:

  • Niveles funcionales de bosque y dominio

  • Elevar el nivel funcional del dominio

  • Elevar el nivel funcional del bosque

  Nota:

  Se requieren nuevos bosques de AD o conjuntos de configuración de AD LDS para tener un nivel funcional de Windows Server 2016 o superior. La promoción de una réplica de AD o AD LDS requiere que el dominio o el conjunto de configuración existentes ya se ejecuten con un nivel funcional de Windows Server 2016 o superior.

  Microsoft recomienda que todos los clientes empiecen a planear ahora la actualización de sus servidores AD y AD LDS a Windows Server 2022 como preparación de la próxima versión.

• Algoritmos mejorados para búsquedas de nombre/Sid: el reenvío de búsquedas de nombre y Sid de la autoridad de seguridad local (LSA) entre cuentas de equipo ya no utiliza el canal seguro Netlogon heredado. En su lugar, se utiliza la autenticación Kerberos y el algoritmo DC Locator. Para mantener la compatibilidad con los sistemas operativos heredados, sigue siendo posible utilizar el canal seguro Netlogon como opción alternativa.

• Seguridad mejorada para atributos confidenciales : los controladores de dominio y las instancias de AD LDS solo permiten a LDAP agregar, buscar y modificar operaciones que implican atributos confidenciales cuando se cifra la conexión.

• Seguridad mejorada para las contraseñas de cuentas de equipo predeterminadas: AD utiliza ahora contraseñas de cuentas de equipo predeterminadas generadas aleatoriamente. Los DC de Windows 2025 bloquean la configuración de contraseñas de cuentas de equipo con la contraseña predeterminada del nombre de la cuenta de equipo.

  Este comportamiento se puede controlar activando la configuración de GPO Controlador de dominio: Rechazar configuración de contraseña de cuenta de equipo predeterminada que se encuentra en: Configuración del equipo\Configuración de Windows\Configuración de seguridad\directivas locales\Opciones de seguridad

  Utilidades como Active Directory Administrative Center (ADAC), Active Directory Users and Computers (ADUC), net computer y dsmod también cumple con este nuevo comportamiento. Tanto ADAC como ADUC ya no permiten crear una cuenta Windows anterior a 2k.

• Compatibilidad de PKINIT de Kerberos con agilidad criptográfica la implementación del protocolo de criptografía de clave pública de Kerberos para la autenticación inicial en Kerberos (Kerberos Public Key Cryptography for Initial Authentication, PKINIT) se actualiza para permitir la agilidad criptográfica al aceptar más algoritmos y eliminar algoritmos codificados de forma rígida.

• Configuración de GPO de administrador de LAN: la opción de configuración de GPO Seguridad de red: No guardar el valor hash del administrador de LAN en el próximo cambio de contraseña ya no está presente ni se aplica en las nuevas versiones de Windows.

• Cifrado LDAP predeterminado: todas las comunicaciones de cliente de LDAP después de una vinculación de nivel de seguridad y autenticación simple (SASL) utilizan el sellado LDAP de forma predeterminada. Para obtener más información sobre SASL, consulte Autenticación de SASL.

• Compatibilidad con LDAP para TLS 1.3: LDAP usa la última implementación SCHANNEL y es compatible con TLS 1.3 para conexiones LDAP a través de TLS. El uso de TLS 1.3 elimina los algoritmos criptográficos obsoletos, mejora la seguridad con respecto a versiones anteriores y pretende cifrar la mayor parte posible del protocolo de enlace. Para obtener más información, consulte Protocolos en TLS/SSL (Schannel SSP) y Conjuntos de cifrado TLS en Windows Server 2022.

• Acción de cambio de contraseña de RPC de SAM heredado: los protocolos seguros, como Kerberos, son el medio preferido de cambiar las contraseñas de usuario del dominio. En los controladores de dominio, el último método de cambio de contraseña de RPC de SAM SamrUnicodeChangePasswordUser4 que usa AES se acepta de forma predeterminada cuando se llama de forma remota. Los siguientes métodos RPC de SAM heredados se bloquean de valor predeterminado cuando se llama de forma remota:

  • SamrChangePasswordUser

  • SamrOemChangePasswordUser2

  • SamrUnicodeChangePasswordUser2

  Para los usuarios del dominio que son miembros del grupo Usuarios protegidos y para las cuentas locales de los equipos miembros del dominio, todos los cambios de contraseña remotos a través de la interfaz RPC de SAM heredada se bloquean de forma predeterminada, incluido SamrUnicodeChangePasswordUser4.

  Esta acción se puede controlar mediante el siguiente ajuste de objeto de directiva de grupo (GPO):

  Configuración del equipo > Plantillas administrativas > Sistema > Administrador de cuentas de seguridad > Configurar directiva de métodos de RPC para cambiar contraseña de SAM

• Compatibilidad con NUMA: AD DS ahora hace uso del hardware compatible con el acceso no uniforme a memoria (NUMA) usando las CPU en todos los grupos de procesadores. Anteriormente, AD solo usaría CPU en el grupo 0. Active Directory puede expandirse más de 64 núcleos.

• Contadores de rendimiento: el sistema de control y la resolución de problemas del rendimiento de los siguientes contadores ya están disponibles:

  • Localizador de DC: contadores específicos del cliente y del controlador de dominio disponibles.

  • Búsquedas LSA - Nombre y búsquedas SID a través de los LsaLookupNames, LsaLookupSids y las API equivalentes. Estos contadores están disponibles tanto en las SKU de cliente como en las de servidor.

  • Cliente de LDAP: disponible en Windows Server 2022 y versiones posteriores a través de la actualización KB5029250.

• Orden de prioridad de replicación: ahora AD permite a los administradores aumentar la prioridad de replicación calculada por el sistema con un partner de replicación determinado para un contexto de nomenclatura determinado. Esta característica permite una mayor flexibilidad en la configuración del pedido de replicación para abordar escenarios específicos.

Azure Arc

De forma predeterminada, se instala la característica a petición de configuración de Azure Arc, que ofrece una interfaz de asistente fácil de usar y un icono de bandeja del sistema en la barra de tareas para facilitar el proceso de agregar servidores a Azure Arc. Azure Arc amplía las funcionalidades de la plataforma Azure, lo que permite la creación de aplicaciones y servicios que pueden funcionar en diversos entornos. Entre ellos se incluyen los centros de datos, los perimetrales, los entornos multinube, y proporcionan una mayor flexibilidad. Para obtener más información, consulte Conexión de máquinas Windows Server a Azure mediante la instalación de Azure Arc.

Compatibilidad con la clonación de bloques

A partir de Windows 11 24H2 y Windows Server 2025, la unidad de desarrollo ahora admite la clonación de bloques. Como la unidad de desarrollo usa el formato del sistema de archivos ReFS, la compatibilidad con la clonación de bloques proporciona importantes ventajas de rendimiento al copiar archivos. Con la clonación de bloques, el sistema de archivos puede copiar un intervalo de bytes de archivo en nombre de una aplicación como una operación de metadatos de bajo coste, en lugar de realizar operaciones de lectura y escritura costosas en los datos físicos subyacentes. Esto permite una finalización más rápida de la copia de archivos, una E/S reducida al almacenamiento subyacente y una capacidad de almacenamiento mejorada al permitir que varios archivos compartan los mismos clústeres lógicos. Para obtener más información, consulte Clonación de bloques en ReFS.

Bluetooth

Ahora puede conectar mouse, teclados, auriculares, dispositivos de audio y mucho más mediante Bluetooth en Windows Server 2025.

Credential Guard

A partir de Windows Server 2025, Credential Guard está habilitado de forma predeterminada en los dispositivos que cumplen los requisitos. Para obtener más información sobre Credential Guard, consulte Configuración de Credential Guard.

Pantalla de escritorio

Al iniciar sesión por primera vez, la experiencia de escritorio se ajusta al estilo y la apariencia de Windows 11.

Cuenta de servicios gestionados delegada

Este nuevo tipo de cuenta permite la migración de una cuenta de servicio a una Cuenta de servicios gestionados delegada (dMSA). Este tipo de cuenta incorpora claves gestionadas y totalmente aleatorias que garantizan cambios mínimos en las aplicaciones, y desactivan al mismo tiempo las contraseñas originales de las cuentas de servicio. Para obtener más información, consulte Información general sobre las cuentas de servicio administradas delegadas.

Unidad de desarrollo

La unidad de desarrollo es un volumen de almacenamiento diseñado para mejorar el rendimiento de las cargas de trabajo de desarrollador cruciales. La unidad de desarrollo utiliza la tecnología ReFS e incorpora optimizaciones específicas del sistema de archivos para ofrecer un mayor control sobre la configuración y seguridad del volumen de almacenamiento. Esto incluye la capacidad de designar confianza, configurar la configuración del antivirus y ejercer el control administrativo sobre los filtros adjuntos. Para obtener más información, consulte Configuración de una unidad de desarrollo en Windows 11.

DTrace

Windows Server 2025 viene equipado con dtrace como herramienta nativa. DTrace es una utilidad de la línea de comandos que permite a los usuarios supervisar y solucionar problemas de rendimiento del sistema en tiempo real. DTrace permite a los usuarios instrumentar dinámicamente tanto el código del kernel como el del espacio de usuario sin necesidad de modificar el código en sí. Esta herramienta versátil admite varias técnicas de recopilación y análisis de datos, como agregaciones, histogramas y seguimiento de eventos de nivel de usuario. Para obtener más información, consulte DTrace para obtener ayuda de la línea de comandos y DTrace en Windows para obtener otras funcionalidades.

Correo electrónico y cuentas

Ahora puede añadir las siguientes cuentas en Configuración > Cuentas > Correo electrónico y cuentas para Windows Server 2025:

• Microsoft Entra ID
• Cuenta Microsoft
• Cuenta profesional o educativa

Hay que tener en cuenta que para la mayoría de las aplicaciones sigue siendo necesaria la integración de dominios.

Centro de opiniones

Ahora es posible enviar comentarios o informar de problemas encontrados durante el uso de Windows Server 2025 a través de Windows Feedback Hub. Puedes incluir capturas de pantalla o grabaciones del proceso que ocasionó el problema para ayudarnos a comprender tu situación y compartir sugerencias para mejorar tu experiencia con Windows. Para obtener más información, consulte Exploración del Centro de opiniones.

Compresión de archivos

La compilación 26040 tiene una nueva característica de compresión al comprimir un elemento realizando un clic con el botón derecho llamado Comprimir a. Esta característica admite los formatos de compresión ZIP, 7z y TAR con métodos de compresión específicos para cada uno.

Administrador de Hyper-V

Cuando los usuarios crean una nueva máquina virtual a través del Administrador de Hyper-V, la generación 2 ahora se establece como la opción predeterminada en el Asistente para nueva máquina virtual.

Traducción de paginación forzada por hipervisor

La traducción de paginación aplicada por hipervisor (HVPT) es una mejora de seguridad para aplicar la integridad de las traducciones de direcciones lineales. HVPT protege los datos críticos del sistema frente a ataques de escritura en los que el atacante escribe un valor arbitrario en una ubicación arbitraria, a menudo como resultado de un desbordamiento del búfer. HVPT protege las tablas de páginas que configuran estructuras de datos críticas del sistema. HVPT incluye todo lo que ya está protegido con integridad de código protegida por hipervisor (HVCI). HVPT está habilitado de forma predeterminada, donde la compatibilidad con hardware está disponible. HVPT no está habilitado cuando Windows Server se ejecuta como invitado en una máquina virtual.

Network ATC

Network ATC simplifica la implementación y administración de configuraciones de red para clústeres de Windows Server 2025. Utiliza un enfoque basado en intenciones, donde los usuarios especifican sus intenciones deseadas, como la administración, el proceso o el almacenamiento de un adaptador de red, y la implementación se automatiza en función de la configuración prevista. Este enfoque reduce el tiempo, la complejidad y los errores asociados a la implementación de redes de host, garantiza la coherencia de la configuración en el clúster y elimina el desfase de configuración. Para más información, consulte Implementación de redes de host con Network ATC.

NVMe

NVMe es un nuevo estándar para unidades rápidas de estado sólido (SSD). Experimente la optimización de NVMe en Windows Server 2025 con un rendimiento mejorado, lo que da lugar a un aumento de las IOPS y a la disminución del uso de la CPU.

OpenSSH

En versiones anteriores de Windows Server, la herramienta de conectividad OpenSSH requería una instalación manual antes de usarla. A partir de la compilación 26080, el componente del lado servidor OpenSSH se instala de forma predeterminada en Windows Server 2025. La interfaz de usuario de Administrador de servidores también incluye una opción de un solo clic en Acceso SSH remoto que habilita o deshabilita el servicio sshd.exe. Además, puede agregar usuarios al grupo Usuarios de OpenSSH para permitir o restringir el acceso a los dispositivos. Para obtener más información, consulte Información general de OpenSSH para Windows.

Aplicaciones ancladas

Ahora puedes anclar tus aplicaciones más utilizadas en el menú Inicio y personalizarlo en función de tus necesidades. A partir de la compilación 26085, las aplicaciones ancladas predeterminadas son:

• Instalación de Azure Arc
• Centro de opiniones
• Explorador de archivos
• Microsoft Edge
• Administrador del servidor
• Configuración
• Terminal
• Windows PowerShell

Acceso remoto

De forma predeterminada, las nuevas configuraciones de enrutamiento y servicios de acceso remoto (RRAS) no aceptan conexiones VPN basadas en los protocolos PPTP y L2TP. Si es necesario, puede habilitar estos protocolos. Las conexiones VPN basadas en SSTP e IKEv2 se siguen aceptando sin ningún cambio.

Las configuraciones existentes conservan su comportamiento. Por ejemplo, si ejecuta Windows Server 2019 y acepta conexiones PPTP y L2TP, después de actualizar a Windows Server 2025 con una actualización local, se siguen aceptando conexiones basadas en L2TP y PPTP. Este cambio no afecta a los sistemas operativos de los clientes Windows. Para obtener más información sobre cómo volver a habilitar PPTP y L2TP, consulte Configuración de protocolos VPN.

Administración segura de certificados

La búsqueda o recuperación de certificados en Windows ahora admite hashes SHA-256, como se describe en las funciones CertFindCertificateInStore y CertGetCertificateContextProperty. La autenticación del servidor TLS es más segura en Windows y ahora requiere una longitud mínima de clave RSA de 2048 bits. Para obtener más información, consulte Autenticación de servidor TLS: desuso de certificados RSA no seguros.

Línea de base de seguridad

Al implementar una línea base de seguridad personalizada, puede establecer medidas de seguridad directamente desde el principio para el rol de dispositivo o máquina virtual en función de la posición de seguridad recomendada. Esta línea base viene equipada con más de 350 configuraciones de seguridad preconfiguradas de Windows que permiten aplicar y forzar configuraciones de seguridad específicas que se ajustan a los procedimientos recomendados por los estándares de Microsoft y del sector. Para obtener más información, consulte Información general sobre OSConfig.

Bloque de mensajes del servidor

El bloque de mensajes del servidor (SMB) es uno de los protocolos más usados en las redes al proporcionar una forma fiable de compartir archivos y otros recursos entre dispositivos de la red. Windows Server 2025 ofrece las siguientes funcionalidades de SMB.

A partir de la compilación 26090, se introduce otro conjunto de cambios en el protocolo SMB para deshabilitar QUIC, la firma y el cifrado.

• Deshabilitación de SMB a través de QUIC

  Los administradores pueden deshabilitar SMB a través del cliente QUIC por medio de la directiva de grupo y PowerShell. Para deshabilitar SMB a través de QUIC mediante la directiva de grupo, establezca la directiva Habilitar SMB a través de QUIC en estas rutas de acceso como Deshabilitada.

  • Configuración del equipo\Plantillas administrativas\Red\Estación de trabajo Lanman

  • Configuración del equipo\Plantillas administrativas\Red\Servidor Lanman

  Para deshabilitar SMB a través de QUIC mediante PowerShell, ejecute este comando en un símbolo del sistema de PowerShell con privilegios elevados:

  Set-SmbClientConfiguration -EnableSMBQUIC $false
  

• Auditoría de cifrado y firma de SMB

  Los administradores pueden habilitar la auditoría del servidor y el cliente SMB para admitir la firma y el cifrado de SMB. Si un cliente o servidor de terceros no admite el cifrado o la firma de SMB, se puede detectar. Cuando el dispositivo o el software de terceros indica que admite SMB 3.1.1, pero no admite la firma de SMB, infringe el requisito del Protocolo de integridad de autenticación previa de SMB 3.1.1.

  Puede configurar las opciones de auditoría de cifrado y firma de SMB mediante la directiva de grupo o PowerShell. Estas directivas se pueden cambiar en las siguientes rutas de acceso de la directiva de grupo:

  • Configuración del equipo\Plantillas administrativas\Red\Servidor Lanman\El cliente de auditoría no admite el cifrado

  • Configuración del equipo\Plantillas administrativas\Red\Servidor Lanman\El cliente de auditoría no admite la firma

  • Configuración del equipo\Plantillas administrativas\Red\Estación de trabajo Lanman\El servidor de auditoría no admite el cifrado

  • Configuración del equipo\Plantillas administrativas\Red\Estación de trabajo Lanman\El servidor de auditoría no admite la firma

  Para realizar estos cambios mediante PowerShell, ejecute estos comandos en un símbolo del sistema con privilegios elevados, donde $true sirve para habilitar y $false sirve para deshabilitar esta configuración:

  Set-SmbServerConfiguration -AuditClientDoesNotSupportEncryption $true
  Set-SmbServerConfiguration -AuditClientDoesNotSupportSigning $true
  
  Set-SmbClientConfiguration -AuditServerDoesNotSupportEncryption $true
  Set-SmbClientConfiguration -AuditServerDoesNotSupportSigning $true
  

  Los registros de eventos de estos cambios se almacenan en las siguientes rutas de acceso del Visor de eventos con su identificador de evento especificado.

  Path	Id. del evento
  Registros de aplicaciones y servicios\Microsoft\Windows\SMBClient\Audit	31998 31999
  Registros de aplicaciones y servicios\Microsoft\Windows\SMBServer\Audit	3021 3022

• Auditoría de SMB a través de QUIC

  La auditoría de conexión del cliente SMB a través QUIC captura eventos escritos en un registro de eventos para incluir el transporte QUIC en el Visor de eventos. Estos registros se almacenan en las siguientes rutas de acceso con su identificador de evento especificado.

  Path	Id. del evento
  Registros de aplicaciones y servicios\Microsoft\Windows\SMBClient\Conectividad	30832
  Registros de aplicaciones y servicios\Microsoft\Windows\SMBServer\Conectividad	1913

• La función de servidor SMB sobre QUIC solo estaba disponible en Windows Server Azure Edition, ahora está disponible en las versiones Windows Server Standard y Windows Server Datacenter. SMB sobre QUIC añade las ventajas de QUIC, que proporciona conexiones cifradas y de baja latencia a través de Internet.

  Anteriormente, el servidor SMB de Windows obligaba a las conexiones entrantes a usar el puerto registrado por IANA TCP/445, mientras que el cliente TCP SMB solo permitía conexiones salientes a ese mismo puerto TCP. Ahora, SMB sobre QUIC permite puertos alternativos SMB en los que los puertos UDP/443 obligatorios de QUIC están disponibles para dispositivos cliente y servidor. Para obtener más información, consulte Configuración de puertos SMB alternativos.

  Otra característica que se introduce en SMB sobre QUIC es el control de acceso de cliente, que es alternativo a TCP y RDMA que proporciona conectividad segura a los servidores de archivos perimetrales a través de redes que no son de confianza. Para obtener más información, consulte Funcionamiento del control de acceso de cliente.

• Anteriormente, cuando se creaba un recurso compartido, las reglas de firewall de SMB se configuraban automáticamente para habilitar el grupo "Uso compartido de archivos e impresoras" para los perfiles de firewall pertinentes. Ahora, la creación de un recurso compartido SMB en Windows da como resultado la configuración automática del nuevo grupo "Uso compartido de archivos e impresoras (restrictivo)", que ya no permite puertos NetBIOS entrantes 137-139. Para obtener más información, consulte Reglas de firewall actualizadas.

• A partir de la compilación 25997, se ha realiza una actualización para aplicar el cifrado SMB para todas las conexiones de cliente SMB salientes. Con esta actualización, los administradores pueden establecer un mandato para que todos los servidores de destino admitan SMB 3.x y cifrado. Si un servidor carece de estas funcionalidades, el cliente no puede establecer una conexión.

• Además, en la compilación 25997, el limitador de velocidad de autenticación de SMB, que limita el número de intentos de autenticación que se pueden realizar dentro de un período de tiempo determinado, está habilitado de forma predeterminada. Para obtener más información, consulte Funcionamiento del limitador de velocidad de autenticación SMB

• A partir de la compilación 25951, el cliente SMB admite el bloqueo NTLM para las conexiones salientes remotas. Antes, el Mecanismo de negociación de GSSAPI simple y protegido de Windows (SPNEGO) negociaba Kerberos, NTLM y otros mecanismos con el servidor de destino para determinar un paquete de seguridad compatible. Para obtener más información, consulte Bloqueo de conexiones NTLM en SMB

• Una nueva característica de la compilación 25951 le permite administrar dialectos SMB en Windows, donde el servidor SMB ahora controla qué dialectos SMB 2 y SMB 3 negocia en comparación con el comportamiento anterior, que solo cotejaba el dialecto más alto.

• A partir de la compilación 25931, la firma de SMB ahora es necesaria de forma predeterminada para todas las conexiones salientes de SMB donde antes solo se requería al conectarse a recursos compartidos denominados SYSVOL y NETLOGON en controladores de dominio de AD. Para obtener más información, consulte Funcionamiento de la firma.

• El protocolo Mailslot remoto está deshabilitado de forma predeterminada a partir de la compilación 25314 y se puede quitar en una versión posterior. Para obtener más información, consulte Características que ya no desarrollamos.

• La compresión SMB agrega compatibilidad con el algoritmo de compresión LZ4 estándar del sector, además de su compatibilidad existente con XPRESS (LZ77), XPRESS Huffman (LZ77+Huffman), LZNT1 y PATTERN_V1.

Redes definidas por software (SDN)

SDN es un enfoque de redes que permite a los administradores de red administrar servicios de red a través de la abstracción de la funcionalidad de nivel inferior. SDN permite la separación del plano de control de red, que es responsable de administrar la red, desde el plano de datos, que controla el tráfico real. Esta separación permite una mayor flexibilidad y programación en la administración de red. SDN proporciona las siguientes ventajas en Windows Server 2025:

• La controladora de red, que es el plano de control de SDN, ahora se hospeda directamente como servicios de clúster de conmutación por error en las máquinas host físicas. Esto elimina la necesidad de implementar máquinas virtuales, lo que simplifica la implementación y la administración mientras se conservan los recursos.

• La segmentación basada en etiquetas permite a los administradores usar etiquetas de servicio personalizadas para asociar grupos de seguridad de red (NSG) y máquinas virtuales para el control de acceso. En lugar de especificar intervalos IP, los administradores ahora pueden usar etiquetas simples y autoexplicativas para etiquetar máquinas virtuales de carga de trabajo y aplicar directivas de seguridad basadas en estas etiquetas. Esto simplifica el proceso de administración de la seguridad de red y elimina la necesidad de recordar y volver a escribir intervalos IP. Para obtener más información, consulte Configurar grupos de seguridad de red con etiquetas en Windows Admin Center.

• Las directivas de red predeterminadas de Windows Server 2025 ofrecen opciones de protección similar a Azure a grupos de seguridad de red para cargas de trabajo implementadas a través de Windows Admin Center. La directiva predeterminada deniega todo el acceso entrante, lo que permite la apertura selectiva de puertos de entrada conocidos, al tiempo que permite el acceso de salida completo desde máquinas virtuales de carga de trabajo. Esto garantiza que las máquinas virtuales de carga de trabajo estén protegidas desde el punto de creación. Para más información, consulte Uso de directivas de acceso de red predeterminadas en máquinas virtuales en Azure Stack HCI, versión 23H2.

• SDN Multisite proporciona conectividad nativa de nivel 2 y capa 3 entre aplicaciones en dos ubicaciones sin componentes adicionales. Esta característica permite un movimiento sin problemas de las aplicaciones sin necesidad de volver a configurar la aplicación o las redes. También ofrece administración unificada de directivas de red para cargas de trabajo, lo que garantiza que no es necesario actualizar las directivas cuando una máquina virtual de carga de trabajo se mueve de una ubicación a otra. Para más información, consulte ¿Qué es SDN Multisite?.

• Se ha mejorado el rendimiento de las puertas de enlace de la capa 3 de SDN, logrando un mayor rendimiento y ciclos de CPU reducidos. Estas mejoras están habilitadas de forma predeterminada. Los usuarios experimentarán automáticamente un mejor rendimiento cuando se configure una conexión de la capa 3 de puerta de enlace de SDN mediante PowerShell o Windows Admin Center.

Registro mejorado de réplica de almacenamiento

Los registros mejorados contribuyen a que la implementación del registro de Storage Replica elimine los costes de rendimiento asociados a las abstracciones del sistema de archivos, lo que mejora el rendimiento de la replicación de bloques. Para saber más, consulta Registro de Storage Replica mejorado.

Administrador de tareas

La versión 26040 ahora incluye la moderna aplicación de administrador de tareas con material de mica conforme al estilo de Windows 11.

Enclaves de seguridad basada en virtualización (VBS)

Un enclave VBS es un entorno de ejecución de confianza (TEE) basado en software dentro del espacio de direcciones de una aplicación host. Los enclaves VBS utilizan la tecnología VBS subyacente para aislar la parte confidencial de una aplicación en una partición segura de memoria. Los enclaves de VBS permiten el aislamiento de cargas de trabajo confidenciales tanto de la aplicación de host como del resto del sistema.

Los enclaves VBS permiten a las aplicaciones proteger sus secretos evitando la necesidad de confiar en los administradores y reforzando la protección contra atacantes malintencionados. Para obtener más información, lea la referencia de Win32 de enclaves VBS.

Protecciones de claves de seguridad basada en la virtualización (VBS)

La protección de claves de VBS permite a los desarrolladores de Windows proteger las claves criptográficas mediante la seguridad basada en virtualización (VBS). VBS usa la funcionalidad de extensión de virtualización de la CPU para crear un entorno de ejecución aislado fuera del sistema operativo normal. Cuando se usa, las claves VBS quedan aisladas en un proceso seguro, lo que permite que se produzcan operaciones de claves sin exponer el material de la clave privada fuera de este espacio. En reposo, el material de clave privada se cifra mediante una clave TPM, que enlaza las claves VBS al dispositivo. Las claves protegidas de esta manera no pueden volcarse de la memoria del proceso ni exportarse en texto sin formato desde la máquina de un usuario, lo que impide ataques de filtración por parte de cualquier atacante con nivel de administrador. VBS debe estar habilitado para usar la protección de claves. Consulte Habilitación de la integridad de memoria para obtener información sobre cómo habilitar VBS.

Wi-Fi

Ahora es más fácil activar las capacidades inalámbricas, ya que la función Wireless LAN Service está instalada por defecto. El servicio de inicio inalámbrico está configurado como manual y puede activarse ejecutando net start wlansvc en el Símbolo del sistema, Terminal Windows o PowerShell.

Portabilidad de contenedores de Windows

La portabilidad es un aspecto fundamental de la administración de contenedores y tiene la capacidad de simplificar las actualizaciones aplicando una mayor flexibilidad y compatibilidad de contenedores en Windows. La portabilidad es una característica del canal anual de Windows Server para hosts de contenedor que permite a los usuarios mover imágenes de contenedores y sus datos asociados entre distintos hosts o entornos sin necesidad de modificaciones. Los usuarios pueden crear una imagen de contenedor en un host y, a continuación, implementarla en otro host sin tener que preocuparse por posibles problemas de compatibilidad. Para obtener más información, consulte Portabilidad de contenedores.

Programa Windows Insider

Windows Insider Program ofrece acceso anticipado a las últimas versiones del sistema operativo Windows a una comunidad de entusiastas. Como miembro, puedes ser de los primeros en probar las nuevas ideas y conceptos que Microsoft esté desarrollando. Tras registrarte como miembro, puedes participar en los distintos canales de difusión entrando en Inicio > Configuración > Windows Update > Windows Insider Program.

Solución de contraseñas de administrador local de Windows (LAPS)

Windows LAPS ayuda a las organizaciones a administrar las contraseñas de administrador local en sus equipos unidos a un dominio. Genera automáticamente contraseñas únicas para la cuenta de administrador local de cada equipo, las almacena de forma segura en AD y las actualiza periódicamente. Esto ayuda a mejorar la seguridad al reducir el riesgo de que los atacantes accedan a sistemas confidenciales utilizando contraseñas poco seguras o fáciles de adivinar.

Microsoft LAPS incorpora varias funciones que aportan las siguientes mejoras:

• Nueva característica de administración automática de cuentas

  La última actualización permite a los administradores de TI crear una cuenta local administrada con facilidad. Con esta característica, puede personalizar el nombre de la cuenta, habilitarla o deshabilitarla, e incluso aleatorizar el nombre de la cuenta para mejorar la seguridad. Además, la actualización incluye una integración mejorada con las directivas de administración de cuentas locales existentes de Microsoft. Para obtener más información sobre esta característica, consulte Modos de administración de cuentas LAPS de Windows.

• Nueva característica de detección de reversión de imágenes

  Windows LAPS ahora detecta cuándo se produce una reversión de imágenes. Si se produce una reversión, es posible que la contraseña almacenada en AD ya no coincida con la contraseña almacenada localmente en el dispositivo. Las reversiones pueden dar lugar a un "estado desactivado" en el que el administrador de TI no puede iniciar sesión en el dispositivo con la contraseña LAPS de Windows conservada.

  Para solucionar este problema, se agregó una nueva característica que incluye un atributo de AD denominado msLAPS-CurrentPasswordVersion. Este atributo contiene un GUID aleatorio escrito por Windows LAPS cada vez que se conserva una nueva contraseña en AD y se guarda localmente. Durante cada ciclo de procesamiento, se consulta el GUID almacenado en msLAPS-CurrentPasswordVersion y se compara con la copia conservada localmente. Si son diferentes, la contraseña se rota inmediatamente.

  Para habilitar esta característica, es necesario ejecutar la versión más reciente de Update-LapsADSchema cmdlet. Una vez finalizada, Windows LAPS reconoce el nuevo atributo y comienza a usarlo. Si no ejecuta la versión actualizada del cmdlet de Update-LapsADSchema, Windows LAPS registra un evento de advertencia 10108 en el registro de eventos, pero sigue funcionando con normalidad en todo lo demás.

  No se usa ninguna configuración de directiva para habilitar o configurar esta característica. La característica siempre está habilitada una vez que se agrega el nuevo atributo de esquema.

• Nueva característica de frase de contraseña

  Los administradores de TI ahora pueden usar una nueva característica en Windows LAPS que permite la generación de frases de contraseña menos complejas. Un ejemplo sería una frase de contraseña como EatYummyCaramelCandy, que es más fácil de leer, recordar y escribir, en comparación con una contraseña tradicional como V3r_b4tim#963?.

  Esta nueva característica también permite definir la configuración de directiva PasswordComplexity para seleccionar una de las tres listas de palabras de frase de contraseña diferentes, las cuales se incluyen en Windows sin necesidad de una descarga independiente. Una nueva configuración de directiva denominada PassphraseLength controla el número de palabras usadas en la frase de contraseña.

  Al crear una frase de contraseña, el número especificado de palabras se selecciona aleatoriamente de la lista de palabras elegida y se concatena. La primera letra de cada palabra se escribe en mayúscula para mejorar la legibilidad. Esta característica también es totalmente compatible con la copia de seguridad de contraseñas en Windows Server AD o Microsoft Entra ID.

  Las listas de palabras de frase de contraseña usadas en las tres nuevas configuraciones de frase de contraseña de PasswordComplexity proceden del artículo de Electronic Frontier Foundation: Deep Dive: EFF's New Wordlists for Random Passphrases. Las Listas de palabras clave de Windows LAPS se encuentran bajo la licencia de atribución CC-BY-3.0 y pueden descargarse.

  Nota:

  Windows LAPS no permite la personalización de las listas de palabras incorporadas ni el uso de listas de palabras configuradas por el cliente.

• Diccionario de contraseñas de legibilidad mejorada

  Windows LAPS introduce una nueva configuración de PasswordComplexity que permite a los administradores de TI crear contraseñas menos complejas. Esta característica permite personalizar LAPS para que se usen las cuatro categorías de caracteres (mayúsculas, minúsculas, números y caracteres especiales) como la configuración de complejidad existente de 4. Sin embargo, con la nueva configuración de 5, se excluyen los caracteres más complejos para mejorar la legibilidad de la contraseña y minimizar la confusión. Por ejemplo, el número "1" y la letra "I" nunca se usan con la nueva configuración.

  Cuando PasswordComplexity está configurado en 5, se realizan los siguientes cambios en el juego de caracteres de diccionario de contraseñas predeterminado:

  1. No usar las siguientes letras: 'I', 'O', 'Q', 'l', 'o'
  2. No usar los siguientes números: '0', '1'
  3. No usar los siguientes caracteres "especiales": ',', '.', '&', '{', '}', '[', ']', '(', ')', ';'
  4. Empezar usando los siguientes caracteres "especiales": ':', '=', '?', '*'

  El complemento Usuarios y equipos de Active Directory (a través de Microsoft Management Console) cuenta ahora con una ficha Windows LAPS mejorada. La contraseña de Windows LAPS se muestra ahora con un nuevo tipo de letra que mejora su legibilidad cuando se muestra en texto sin formato.

• Soporte PostAuthenticationAction para terminar procesos individuales

  Se agrega una nueva opción a la configuración de directiva de grupo PostAuthenticationActions (PAA), "Reset the password, sign out the managed account, and terminate any remaining processes" (Restablecer la contraseña, cerrar la cuenta administrada y finalizar los procesos restantes)" ubicada en Computer Configuration > Administrative Templates > System > LAPS > Post-authentication actions (Configuración del equipo > Plantillas administrativas > Sistema LAPS > Acciones posteriores a la autenticación.

  Esta nueva opción es una extensión de la opción anterior "Reset the password and sign out the managed account" (Restablecer la contraseña y cerrar la sesión de la cuenta administrada). Una vez configurado, PAA notifica y finaliza las sesiones de inicio de sesión interactivas. Enumera y finaliza cualquier proceso pendiente que aún se esté ejecutando bajo la identidad de la cuenta local administrada por Windows LAPS. Es importante señalar que ninguna notificación precede a esta finalización.

  Además, la ampliación de los eventos de registro durante la ejecución de la acción posterior a la autenticación proporciona una visión más profunda de la operación.

Para obtener más información sobre Windows LAPS, consulte ¿Qué es Windows LAPS?

Terminal Windows

La Terminal de Windows, una potente y eficaz aplicación multishell para usuarios de línea de comandos, está disponible en esta compilación. Busca "Terminal" en la barra de búsqueda.

Winget

Winget se instala por defecto, y es una herramienta de línea de comandos del Administrador de Paquetes de Windows que proporciona soluciones completas de gestión de paquetes para la instalación de aplicaciones en dispositivos Windows. Para saber más, consulta Utiliza la herramienta winget para instalar y gestionar aplicaciones.

Redes aceleradas

Accelerated Networking simplifica la administración de la virtualización de E/S raíz única (SR-IOV) para las máquinas virtuales hospedadas en clústeres de Windows Server 2025. Esta característica usa la ruta de acceso de datos SR-IOV de alto rendimiento para reducir la latencia, la vibración y el uso de la CPU. Las redes aceleradas también agregan una capa de administración que controla la comprobación de requisitos previos, la configuración del host y la configuración de rendimiento de las máquinas virtuales.

Consulte también

• Conversaciones de la comunidad Windows Server Insiders