¡Microsoft anuncia la revisión de junio de 2025 del paquete de baseline de seguridad para Windows Server 2025 (v2506)!
Microsoft ha anunciado la revisión de junio de 2025 del paquete de baseline de seguridad para Windows Server 2025 (v2506).
Puedes descargar el paquete de baseline desde el Security Compliance Toolkit de Microsoft, probar las configuraciones recomendadas en tu entorno y personalizarlas/implementarlas según corresponda.
A partir de esta versión, Microsoft plantea revisar con más frecuencia el baseline de Windows Server para mantenernos al día con las amenazas evolutivas, nuevas características de Windows y comentarios de la comunidad.
Resumen de cambios en esta versión (v2506)
Esta versión incluye varios cambios realizados desde la última publicación del baseline de seguridad para Windows Server 2025 en enero de 2025 para reforzar la seguridad de los clientes empresariales y alinearlo mejor con los estándares más recientes.
Los cambios se resumen en la siguiente tabla:
| Política de seguridad | Resumen de cambios |
|---|---|
| Denegar inicio de sesión mediante Servicios de escritorio remoto | Permitir acceso remoto a cuentas locales no admin en MS y añadir “BUILTIN\Guests” tanto en DC como en MS. |
| Autenticación WDigest | Eliminada del baseline |
| Permitir Windows Ink Workspace | Eliminada del baseline |
| Auditoría de Cambio de Política de Autorización | Configurada como “Correcto” tanto en DC como en MS |
| Incluir la línea de comandos en eventos de creación de procesos | Habilitado en DC y MS |
| Controlar si las exclusiones son visibles para usuarios locales | Configurada como No Configurada, ya que la opción padre tiene prioridad. |
Denegar inicio de sesión mediante Servicios de escritorio remoto
Microsoft actualiza SeDenyRemoteInteractiveLogonRight en servidores miembros para usar S-1-5-114 (cuenta local y miembro del grupo Administradores) en lugar de S-1-5-113 (todas las cuentas locales), para lograr un mejor equilibrio entre seguridad y flexibilidad operativa. Este cambio sigue bloqueando el acceso remoto por RDP para cuentas locales administradoras de alto riesgo —el principal vector de amenazas—, permitiendo a la vez casos de uso legítimos para cuentas locales no admin, como el soporte remoto o mantenimiento durante fallos o indisponibilidad del dominio. Permitir el inicio de sesión interactivo de cuentas no admin preserva una vía segura de recuperación sin debilitar la protección de las cuentas privilegiadas.
Además, para reforzar la postura de Remote Desktop Services (RDS) tanto en los Domain Controllers (DC) como en los Member Servers (MS) de Windows Server 2025, se añadió el grupo Invitados a la política “Denegar inicio de sesión mediante Servicios de escritorio remoto”. Aunque la cuenta Invitado está deshabilitada por defecto, denegar explícitamente su acceso por RDP añade una medida de defensa adicional si el grupo llegase a habilitarse o configurarse mal. Esto complementa la restricción existente de inicio de sesión con Cuenta Local en DC, garantizando una postura de seguridad coherente en todos los roles de servidor.
Autenticación WDigest
Se ha eliminado la política «Autenticación WDigest (desactivar podría requerir KB2871997)» del baseline de seguridad porque ya no es necesaria en Windows Server 2025. Esta política se introdujo para evitar que WDigest almacenara contraseñas en texto claro en memoria, lo cual suponía un serio riesgo de robo de credenciales. Sin embargo, a partir de la actualización 24H2 (KB5041160) para Windows Server 2022 y de forma continuada en Windows Server 2025, esta configuración ha sido obsoleta por los equipos de ingeniería, por lo que ya no es necesario forzarla y se elimina del baseline.
Permitir Windows Ink Workspace
Se ha eliminado del baseline de seguridad de Windows Server 2025 la política “Permitir Windows Ink Workspace”. Esta solo aplica para ediciones cliente de Windows, no para Windows Server. Al incluirla se generaba confusión, así que eliminarla ayuda a reducir el tiempo de procesamiento del GPO y a asegurar que las configuraciones recomendadas sean aplicables para servidores Windows.
Auditoría de cambio de política de autorización
Se establece Auditoría de cambio de política de autorización (Correcto) tanto en los Domain Controllers como en los Member Servers, para asegurar visibilidad ante cualquier cambio que afecte a la seguridad del sistema, incluyendo modificaciones en derechos de usuario y políticas de auditoría. Estos cambios impactan cómo se concede acceso y cómo se supervisa la actividad, siendo críticos para la detección de configuraciones erróneas, asignaciones no autorizadas de privilegios o manipulaciones maliciosas, especialmente en movimientos laterales o escalados de privilegios. Como estas acciones ocurren raramente, generan un volumen bajo de logs pero aportan alto valor forense y operativo.
La auditoría de Error no está configurada pero permanece disponible como opción en DC y MS si la organización dispone de la capacidad de monitorizar e interpretar intentos fallidos de modificación de políticas de seguridad.
Incluir la línea de comandos en eventos de creación de procesos
Se añadió Incluir la línea de comandos en eventos de creación de procesos al baseline para mejorar la visibilidad de cómo se ejecutan los procesos. Capturar los argumentos de línea de comandos permite detectar actividades maliciosas que podrías pasar desapercibidas, como abuso de motores de scripting, herramientas de robo de credenciales o cargas maliciosas ofuscadas. Esta configuración apoya técnicas modernas de detección de amenazas con impacto mínimo en el rendimiento y es ampliamente recomendada.
Visibilidad de exclusiones de Microsoft Defender Antivirus
Se ha actualizado la política «Controlar si las exclusiones son visibles para usuarios locales» (Configuración del equipo\Componentes de Windows\Microsoft Defender Antivirus) a No Configurada.
El motivo es que la política principal «Controlar si las exclusiones son visibles para administradores locales» ya está habilitada y tiene prioridad, lo que hace que configurar la política hija sea innecesario y pueda llevar a confusiones sin que impacte el comportamiento. La gestión de la visibilidad de exclusiones debe realizarse a través de la política principal.
Protecciones de bloqueo UEFI y basadas en virtualización
En Windows, ciertas funciones de seguridad están protegidas por Secure Boot y el TPM. Cuando se combinan con protecciones de firmware que bloquean las variables de configuración UEFI, se vuelven resistentes a manipulaciones: Windows puede detectar e intervenir ante cambios o intentos de manipulación no autorizados, dificultando mucho que un atacante desactive medidas clave tras el despliegue.
En el baseline de seguridad de Windows Server 2025 dos categorías de políticas aprovechan el bloqueo UEFI:
- Seguridad basada en virtualización (VBS) — gestionada por la política:
Sistema\Device Guard\Activar seguridad basada en virtualización - Protección de la Autoridad de Seguridad Local (LSA) — gestionada por la política:
Sistema\Local Security Authority\Configurar LSASS para que se ejecute como proceso protegido
Aunque en esta versión no hay cambios recomendados para estas políticas, queremos resaltar su papel en el refuerzo de defensas y proporcionar directrices para implantarlas.
El bloqueo UEFI aplica estas protecciones de forma que impide manipulaciones, incluso por administradores locales o remotos, lo que alinea la configuración con requisitos de seguridad altos o entornos sensibles. Sin embargo, también presenta consideraciones importantes operativas:
- Ciertas plataformas de hardware podrían no soportar completamente el bloqueo UEFI
- Podrían producirse incompatibilidades, menor rendimiento o inestabilidad del sistema
- Una vez habilitado, es difícil revertir el bloqueo UEFI
