A partir de la segunda mitad de 2025, Microsoft implementará nuevos valores de seguridad predeterminados para Windows 365, que afectarán a todas las PC en la nube que se configuren por primera vez o que se reconfiguren. La idea es clara: hacer que el entorno sea más seguro desde el primer momento, sin que los administradores tengan que hacer nada extra.
Entre los principales cambios, se desactivarán por defecto funciones como el portapapeles, el acceso a unidades, USB y la redirección de impresoras. ¿Por qué? Porque estas funciones, aunque útiles, también pueden ser puertas de entrada para robo de datos o malware si no se controlan bien. Al bloquear la posibilidad de copiar archivos entre las PC en la nube y los dispositivos físicos, se reduce notablemente ese riesgo.
Ahora bien, no todo el USB estará limitado. Microsoft aclaró que la redirección de dispositivos USB solo afectará a dispositivos de bajo nivel. Eso significa que periféricos como ratones, teclados y cámaras web seguirán funcionando con normalidad, ya que se gestionan a través de redirección de alto nivel. Así que no hay de qué preocuparse si usas este tipo de equipos.
Y no solo Windows 365 se beneficiará de estos cambios: los grupos de hosts recién creados para Azure Virtual Desktop también adoptarán estas nuevas configuraciones de seguridad.
Además, desde el mes pasado, Microsoft ya empezó a activar por defecto varias tecnologías de protección avanzadas en las Cloud PCs que usan imágenes de Windows 11 desde la galería. Estas incluyen:
-
Seguridad basada en virtualización (VBS)
-
Credential Guard (protección contra robo de credenciales)
-
Integridad de código protegida por hipervisor (HVCI)
Estas funciones ayudan a crear “zonas seguras” dentro de la memoria del sistema, haciendo mucho más difícil que un atacante pueda ejecutar código malicioso a nivel del núcleo del sistema operativo.
“Windows 365 está mejorando la seguridad de las PC en la nube al tener el portapapeles, la unidad, el USB y las redirecciones de la impresora deshabilitadas de forma predeterminada para todas las PC en la nube recién aprovisionadas y reaprovisionadas.”
En resumen: menos configuración manual, más seguridad automática, y un entorno más confiable desde el primer momento. Microsoft está apostando fuerte por hacer que trabajar desde la nube sea no solo más cómodo, sino también mucho más seguro.
Cambios clave en la seguridad predeterminada de Windows 365 y Microsoft 365
Desde mayo de 2025, Microsoft ha empezado a activar por defecto varias funciones de seguridad avanzadas en todas las PC en la nube con Windows 365 que usen imágenes de Windows 11 desde la galería. Si estás aprovisionando o reaprovisionando una Cloud PC, ahora vienen con seguridad basada en virtualización (VBS), Credential Guard y protección de integridad de código con hipervisor (HVCI) ya activadas. Básicamente, son capas extra de defensa que ayudan a proteger el sistema desde dentro, evitando que el código malicioso haga de las suyas.
Para mantener informados a los administradores de TI, Microsoft también mostrará banners de aviso en el Centro de administración de Intune, donde se explican estos nuevos valores de seguridad. Desde ahí, los administradores podrán decidir si quieren mantener esos valores por defecto o cambiarlos, por ejemplo, si sus usuarios necesitan seguir usando funciones como redirecciones USB, impresoras o portapapeles compartido.
Microsoft mostrará un banner en Intune sobre los nuevos valores que desactivan la redirección en Windows 365, con opción de anularlos vía políticas
La idea es que, cuando se configura una nueva PC en la nube, se apliquen primero los nuevos valores predeterminados (como desactivar las redirecciones) y luego, si esa máquina pertenece a un grupo con políticas personalizadas en Intune, esas políticas se aplicarán automáticamente y reemplazarán los ajustes por defecto. Es decir, si ya tienes políticas configuradas, no tendrás que preocuparte por perder configuraciones personalizadas.
Pero esto no termina ahí. Microsoft también ha anunciado que, a partir de julio de 2025, comenzará a actualizar los valores de seguridad predeterminados para todos los inquilinos de Microsoft 365. Uno de los cambios más importantes es que se bloqueará el acceso a archivos en SharePoint, OneDrive y Office si se intenta usar métodos de autenticación antiguos o inseguros.
Específicamente, Microsoft 365 dejará de permitir la autenticación mediante navegador heredado para OneDrive y SharePoint usando el protocolo RPS (Relying Party Suite), y también bloqueará FPRPC (FrontPage Remote Procedure Call), que se utilizaba para abrir archivos de Office. Todo esto apunta a cerrar puertas que ya no cumplen con los estándares de seguridad modernos.
Además, desde enero, la compañía empezó a desactivar todos los controles ActiveX en las versiones de Windows de las apps de Microsoft 365 y Office 2024. Y en julio llegará otra novedad: una nueva función en Teams que bloqueará las capturas de pantalla durante las reuniones, ideal para proteger información sensible que se muestra en tiempo real.
Por último, si usas Outlook, ten en cuenta que a partir de julio también se sumarán los archivos .library-ms y .search-ms a la lista de adjuntos bloqueados, lo que significa que ya no se podrán enviar ni recibir por correo para evitar riesgos de seguridad.
