Resumen 1. Controles de redirección Deshabilitar el portapapeles, la unidad, el USB y el acceso a la impresora de forma predeterminada para evitar la exfiltración de datos y la inyección de malware. 2. La seguridad basada en la virtualización permite que VBS, Credential Guard y HVCI en Windows 11 Cloud PC fortalezcan contra el robo de credenciales y las exploits del kernel. 3. La implementación selectiva requiere que los administradores anulen manualmente la configuración a través de Intune o GPOS para las redirecciones necesarias, con ratones USB/teclados que no se ven afectados. 4. El despliegue administrativo por fase comienza a fines de 2025 a través de políticas de intune, lo que requiere anulación manual de los valores predeterminados para las redirecciones necesarias.
Microsoft presentó mejoras de seguridad significativas para Windows 365 Cloud PCS el 18 de junio de 2025, introduciendo nuevas configuraciones predeterminadas que priorizan la protección de datos y la integridad del sistema.
Las actualizaciones incluyen deshabilitar el portapapeles, la unidad, el USB y las redirecciones de la impresora de forma predeterminada, al tiempo que habilitan características de seguridad avanzadas como seguridad basada en la virtualización (VBS), guardia de credencial e integridad de código protegida por hipervisor (HVCI) para imágenes de la galería de Windows 11.
Políticas de redirección más estrictas para evitar la exfiltración de datos
El cambio más notable implica deshabilitar cuatro tipos de redirección clave de forma predeterminada para todas las PC en la nube Windows 365 recientemente aprovisionadas y reprovisionadas.
Las redirecciones de portapapeles, accionamientos, USB e impresoras se deshabilitarán automáticamente para minimizar los riesgos de exfiltración de datos e inyección de malware.
Este enfoque de seguridad primero se alinea con la Iniciativa Secure Future de Microsoft (SFI), que enfatiza tener protecciones de seguridad habilitadas y aplicadas de forma predeterminada.
El despliegue comenzará gradualmente en la segunda mitad de 2025, con los administradores de TI recibiendo notificaciones anticipadas a través de banners que se muestran en el Centro de Administración de Microsoft Intune.
Estos banners aparecerán en la política de aprovisionamiento, la acción del dispositivo individual y las páginas de acción masiva, proporcionando enlaces a la documentación para anular la configuración predeterminada a través de políticas de configuración del dispositivo Intune o objetos de política de grupo (GPOS).
Los administradores de TI que necesitan restaurar las capacidades de redirección pueden administrar la configuración a través de dos métodos principales: el catálogo de configuraciones de Intune o las configuraciones tradicionales de GPO.
El sistema está diseñado para permitir que Intune sincronice e implemente la configuración definida por el administrador después del aprovisionamiento inicial, anulando los valores predeterminados restrictivos cuando las políticas se configuran correctamente.
Características de seguridad de virtualización avanzada
Desde mayo de 2025, Microsoft ha permitido automáticamente tres tecnologías de seguridad críticas en las nuevas PC en la nube Windows 365 con imágenes de la galería Windows 11.
La seguridad basada en la virtualización (VBS) crea un enclave de memoria seguro que utiliza la virtualización de hardware para proteger los procesos críticos del sistema de amenazas avanzadas y hazañas maliciosas.
El guardia de credencial aprovecha la infraestructura de VBS para asegurar las credenciales de autenticación, reduciendo significativamente el riesgo de robo de credenciales y ataques de movimiento lateral dentro de las redes empresariales.
Mientras tanto, la integridad del código protegida por hipervisor (HVCI), también conocida como integridad de la memoria, garantiza que solo el código verificado pueda ejecutarse a nivel del núcleo, evitando que las exploits maliciosas comprometan la integridad del sistema.
Los nuevos valores predeterminados de seguridad afectarán los flujos de trabajo de los usuarios, particularmente para organizaciones que se basaron previamente en transferencias de archivos sin problemas y conectividad de dispositivo entre máquinas locales y PC en la nube.
Microsoft recomendado que los equipos de TI comunican estos cambios de manera proactiva a los usuarios finales y establecen procedimientos claros para solicitar la habilitación de redirección cuando los requisitos comerciales requieren opciones de conectividad específicas.
Para las PC en la nube de primera línea de Windows 365 que funcionan en modo compartido, la implementación varía según el método de reprovisioning utilizado.
La reprovisionamiento directo de la página de descripción general del dispositivo mantendrá las configuraciones de políticas existentes, mientras que la reprovisioning de la página de la política de aprovisionamiento aplicará los nuevos valores predeterminados restrictivos.
Esta distinción permite a los administradores mantener el control granular sobre la postura de seguridad en diferentes escenarios de implementación.
¿Eres de los equipos SOC/DFIR! – Interactuar con malware en el sandbox y encontrar IOC relacionados. – Solicitar prueba gratuita de 14 días
