Se aplica a
Windows Server 2012 Windows Server 2012 R2 ESU Windows 10 Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows Server 2016 Windows 10 Enterprise version 1607 Windows 10 Pro Education, version 1607 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 DO_NOT_USE_Windows 11 IoT Enterprise, version 23H2

Fecha de publicación original: abril de 2023

KB ID: 5036534

Cambiar fecha

Descripción

8 de abril de 2025

  • Se ha agregado información sobre las protecciones para una vulnerabilidad con autenticación Kerberos para CVE-2025-26647.

19 de febrero de 2025

  • Se ha revisado el texto de la sección Introducción.

  • Se ha quitado la sección "Cambios de protección de un vistazo" cuando la información no está actualizada.

  • Se ha agregado la sección "Otros cambios clave en Windows" para las referencias a las funciones y funcionalidades que ya no se están desarrollando en Windows.

30 de enero de 2025

  • Se ha agregado la entrada de enero de 2026 o posterior en la sección "Endurecer los cambios por mes".

17 de enero de 2025

  • Se agregaron las entradas de abril de 2024, enero de 2025 y abril de 2025 en la sección "Endurecer los cambios por mes".

10 de marzo de 2024

  • Se revisó la escala de tiempo mensual para agregar más protección al contenido relacionado y se eliminó la entrada de febrero de 2024 de la escala de tiempo, ya que no se está endureciendo relacionada.

Introducción

El endurecimiento es un elemento clave de nuestra estrategia de seguridad continua para ayudar a mantener su patrimonio protegido mientras se enfoca en su trabajo. Las ciberdelincuencias cada vez más creativas apuntan a debilidades en cualquier lugar posible, desde el chip a la nube.

En este artículo se revisan las áreas vulnerables que están experimentando cambios de protección implementados a través de las actualizaciones de seguridad de Windows. También publicamos avisos en el Centro de mensajes de Windows para alertar a los administradores de TI sobre el endurecimiento de las fechas clave a medida que se acerquen.  

Nota: Este artículo se actualizará con el paso del tiempo para proporcionar la información más reciente sobre el endurecimiento de los cambios y las escalas de tiempo. Consulte la sección Registro de cambios para realizar un seguimiento de los cambios más recientes.

Cambios de endurecimiento por mes

Consulte los detalles de los cambios recientes y futuros de protección por mes para ayudarle a planear cada fase y aplicación final.

  • Cambios en el protocolo Netlogon KB5021130 | Fase 2 Fase de obligatoriedad inicial. Elimina la capacidad de deshabilitar el sellado RPC estableciendo el valor 0 en la subclave del Registro RequireSeal .

  • KB5014754 de autenticación basada en certificados | Fase 2 Quita el modo deshabilitado .

  • Protección de omisión de arranque seguro KB5025885 | Fase 1 Fase de implementación inicial. Windows Novedades publicó el 9 de mayo de 2023 o después soluciona las vulnerabilidades analizadas en CVE-2023-24932, los cambios en los componentes de arranque de Windows y dos archivos de revocación que se pueden aplicar manualmente (una directiva de integridad de código y una lista de desaprobación de arranque seguro (DBX) actualizada).

  • Cambios en el protocolo Netlogon KB5021130 | Fase 3 Obligatoriedad de forma predeterminada. La subclave RequireSeal se moverá al modo de obligatoriedad a menos que la configure explícitamente para que esté en modo de compatibilidad.

  • Firmas PAC de Kerberos KB5020805 | Fase 3 Tercera fase de implementación. Quita la capacidad de deshabilitar la adición de firma PAC estableciendo la subclave KrbtgtFullPacSignature en un valor de 0.

  • Cambios en el protocolo Netlogon KB5021130 | Fase 4 Obligatoriedad final. Las actualizaciones de Windows publicadas el 11 de julio de 2023 quitarán la capacidad de establecer el valor 1en larequireSealsubclave del registro. Esto habilita la fase de cumplimiento de CVE-2022-38023.

  • Firmas PAC de Kerberos KB5020805 | Fase 4 Modo de aplicación inicial. Quita la capacidad de establecer el valor 1 para la subclave KrbtgtFullPacSignature y pasa al modo de cumplimiento como predeterminado (KrbtgtFullPacSignature = 3), que se puede invalidar con una configuración de auditoría explícita. 

  • Protección de omisión de arranque seguro KB5025885 | Fase 2 Segunda fase de implementación. Novedades para Windows publicado el 11 de julio de 2023 o después incluyen la implementación automatizada de los archivos de revocación, nuevos eventos del registro de eventos para informar de si la implementación de revocación se realizó correctamente y el paquete de actualización dinámica de SafeOS para WinRE.

  • Firmas PAC de Kerberos KB5020805 | Fase 5

    Fase de cumplimiento completa. Quita la compatibilidad con la subclave del Registro KrbtgtFullPacSignature, elimina la compatibilidad con el modo Auditoría y se denegará la autenticación a todos los vales de servicio sin las nuevas firmas PAC.

  • Actualizaciones de permisos de Active Directory (AD) KB5008383 | Fase 5 Fase de implementación final. La fase de implementación final puede comenzar una vez que haya completado los pasos enumerados en la sección "Tomar medidas" de KB5008383. Para pasar al modo de obligatoriedad , siga las instrucciones de la sección "Instrucciones de implementación" para establecer los bits 28 y 29 en el atributo dSHeuristics . A continuación, supervise los eventos 3044-3046. Notifican cuando el modo de obligatoriedad ha bloqueado una operación de agregar o modificar LDAP que anteriormente se podía haber permitido en el modo auditoría

  • Protección de omisión de arranque seguro KB5025885 | Fase 3 Tercera fase de implementación. Esta fase agregará mitigaciones de administrador de arranque adicionales. Esta fase no comenzará antes del 9 de abril de 2024.

  • Cambios de validación de PAC KB5037754 | Fase de modo de compatibilidad

    La fase de implementación inicial comienza con las actualizaciones publicadas el 9 de abril de 2024. Esta actualización agrega un nuevo comportamiento que impide la elevación de vulnerabilidades de privilegios descritas en CVE-2024-26248 y CVE-2024-29056, pero no la aplica a menos que se actualicen tanto los controladores de dominio de Windows como los clientes Windows del entorno.

    Para habilitar el nuevo comportamiento y mitigar las vulnerabilidades, debes asegurarte de que se actualice todo el entorno de Windows (incluidos los controladores de dominio y los clientes). Los eventos de auditoría se registrarán para ayudar a identificar los dispositivos no actualizados.

  • Protección de omisión de arranque seguro KB5025885 | Fase 3 Fase de obligatoriedad obligatoria. Las revocaciones (directiva de arranque de integridad de código y lista de no permitir arranque seguro) se aplicarán mediante programación después de instalar las actualizaciones de Windows en todos los sistemas afectados sin ninguna opción que se deshabilite.

  • Cambios de validación de PAC KB5037754 | Obligatoriedad de fase predeterminada

    Novedades publicado en enero de 2025 o después moverá todos los controladores de dominio y clientes de Windows del entorno al modo obligatorio. Este modo exigirá el comportamiento seguro de forma predeterminada. La configuración de clave del Registro existente que se haya establecido anteriormente invalidará este cambio de comportamiento predeterminado.

    El administrador puede anular la configuración predeterminada del modo obligatorio para volver al modo de compatibilidad.

  • KB5014754 de autenticación basada en certificados | Fase 3 Modo de obligatoriedad completa. Si un certificado no se puede asignar de forma segura, se denegará la autenticación.

  • Cambios en la validación de PAC KB5037754 | Fase de aplicación Las actualizaciones de seguridad de Windows publicadas en abril de 2025 o después, quitarán la compatibilidad con las subclaves del Registro PacSignatureValidationLevel y CrossDomainFilteringLevel y aplicarán el nuevo comportamiento seguro. No se admitirá el modo de compatibilidad después de instalar la actualización de abril de 2025.

  • Protecciones de autenticación Kerberos para CVE-2025-26647 KB5057784 | Modo auditoría La fase de implementación inicial comienza con las actualizaciones publicadas el 8 de abril de 2025. Estas actualizaciones agregan un nuevo comportamiento que detecta la vulnerabilidad de elevación de privilegios descrita en CVE-2025-26647 , pero no la aplica. Para habilitar el nuevo comportamiento y protegerse de la vulnerabilidad, debe asegurarse de que todos los controladores de dominio de Windows se actualizan y que la configuración de la clave del registro AllowNtAuthPolicyBypass se establece en 2.

  • Protecciones de autenticación Kerberos para CVE-2025-26647 KB5057784 | Si se aplica por la fase predeterminada Novedades publicada en julio de 2025 o después, se aplicará la comprobación de LA TIENDA NTAuth de forma predeterminada. La configuración de la clave del registro AllowNtAuthPolicyBypass seguirá permitiendo que los clientes vuelvan al modo Auditoría si es necesario. Sin embargo, se quitará la capacidad de deshabilitar por completo esta actualización de seguridad.

  • Protecciones de autenticación Kerberos para CVE-2025-26647 KB5057784 | Modo de obligatoriedad ​​​​​​​Novedades publicó en octubre de 2025 o después, interrumpirá el soporte técnico de Microsoft para la clave del registro AllowNtAuthPolicyBypass. En esta etapa, todos los certificados deben ser emitidos por autoridades que forman parte del almacén NTAuth.

  • Protección contra omisión de arranque seguro KB5025885 | Fase de aplicación La fase de cumplimiento no comenzará antes de enero de 2026 y avisaremos con al menos seis meses de antelación en este artículo antes de que comience esta fase. Cuando se publiquen actualizaciones para la fase de aplicación, incluirán lo siguiente:

    • El certificado "Windows Production PCA 2011" se revocará automáticamente al agregarse a la lista prohibida de UEFI (DBX) de arranque seguro en dispositivos compatibles. Estas actualizaciones se aplicarán mediante programación después de instalar actualizaciones de Windows en todos los sistemas afectados sin ninguna opción para deshabilitar.

Otros cambios clave en Windows

Cada versión del cliente de Windows y Windows Server agrega nuevas funciones y funcionalidades. En ocasiones, las nuevas versiones también quitan características y funcionalidades, a menudo porque existe una opción más reciente. Consulta los siguientes artículos para obtener más información sobre las características y funcionalidades que ya no se están desarrollando en Windows.

Cliente

Servidor

Obtener las últimas noticias

Agrega un marcador al Centro de mensajes de Windows para encontrar fácilmente las últimas actualizaciones y avisos. Además, si es un administrador de TI con acceso a la Centro de administración de Microsoft 365, configure Email preferencias en el Centro de administración de Microsoft 365 para recibir notificaciones y actualizaciones importantes.

SUSCRIBIRSE A FUENTES RSS

¿Necesita más ayuda?

¿Quiere más opciones?

Explore las ventajas de las suscripciones, examine los cursos de aprendizaje, aprenda a proteger su dispositivo y mucho más.

Ventajas de la suscripción de Microsoft 365

Aprendizaje de Microsoft 365

Seguridad de Microsoft

Centro de accesibilidad