Cambios de protección para Windows Server Update Services en Windows Server 2025

Resumen

En el panorama digital actual en rápida evolución, el mantenimiento del cumplimiento y la seguridad en toda la organización es de suma importancia. Como parte de este compromiso, estamos realizando algunos cambios importantes en Windows Server Update Services (WSUS). A partir de la actualización de seguridad de septiembre de 2025, WSUS que se ejecuta en Windows Server 2025 quita las dependencias del código antiguo que ya no es compatible. Esto significa que los sistemas operativos (SO) Windows que alcanzaron el final de su ciclo de vida ya no podrán recibir actualizaciones de seguridad extendida (ESU), a menos que tomes medidas adicionales.

¿Afecta este cambio a los sistemas operativos?  

Este cambio de protección de seguridad solo afecta a los sistemas operativos que han alcanzado la finalización del soporte (EOS). No afectará a los productos del mercado. Windows 10 y versiones posteriores de Windows no se ven afectados.

En concreto, este cambio impedirá la actualización de los puntos de conexión de Windows que ejecutan Windows Server 2012 y Windows Server 2012 R2 y solo los que usan actualizaciones de seguridad extendida (ESU). La fecha de finalización extendida para estas versiones era el 10 de octubre de 2023 y las ESU podrían estar disponibles hasta 2026.

Consulta la herramienta de búsqueda de la directiva de ciclo de vida de Microsoft y preguntas frecuentes sobre el ciclo de vida: Windows para las versiones de Windows. 

¿Cuál es el impacto de este cambio?  

Al igual que con todos los cambios de seguridad, este cambio no se realiza a la ligera. Quitar determinados archivos binarios de WSUS ayuda a garantizar la integridad y la seguridad de nuestra cadena de suministro de software. Esto se aplica específicamente a las dependencias de componentes que ya no cumplen con nuestros estándares de cumplimiento y seguridad. Estos archivos binarios incluyen ARCHIVOS DLL y EXEs que WSUS usa para actualizar el servicio SelfUpdate en Windows Update (WU) en dispositivos.

La ventaja de seguridad de quitar estos archivos binarios de Windows Server 2025 incluye un posible cambio si usas actualizaciones de ESU para Windows Server 2012.

Importante: Si WSUS forma parte de una implementación jerárquica (como servidores conectados aguas abajo y ascendentes), no hay ningún impacto en su entorno. La distribución de sincronización y actualización seguirá funcionando según lo esperado.

Pasos siguientes a corto y largo plazo

¿Sigues necesitando actualizar los dispositivos que ejecutan cualquiera de los sistemas operativos Windows afectados? Tenga en cuenta los siguientes pasos temporales para restaurar el servicio para las actualizaciones de ESU en Windows Server 2012:

1. Elige una versión anterior compatible de WSUS. Por ejemplo, Windows Server 2025 en la actualización de seguridad de agosto de 2025 o anterior, o Windows Server 2022.

2. Busca la carpeta "SelfUpdate" en esta versión de WSUS en %systemdrive%\Program Files\Update Services.

3. Copia la carpeta "SelfUpdate" y su contenido de la versión anterior elegida de WSUS.

4. Cológalo en la ruta de instalación de WSUS en Windows Server 2025 actualizado con la actualización de seguridad publicada en septiembre de 2025 o después.

5. Agregue esta carpeta como directorio virtual en el sitio web de WSUS en Internet Information Services (IIS).

 Después de completar estos pasos, se reanudará el servicio. Para estar seguro a largo plazo, se recomienda actualizar las versiones heredadas del sistema operativo y actualizar a Windows Server 2025.  ​​​​​​​