Fundamentos para la gestión de sistemas

asociados a la serie de guías CCN-STIC-500

TEMA 1: INTRODUCCIÓN,
LA GESTIÓN DE SISTEMAS OPERATIVOS

Enero 2020
 Tema 1: introducción, la gestión de sistemas operativos

ÍNDICE
1. ARQUITECTURA CLIENTE SERVIDOR...................................................................... 3
2. INTRODUCCIÓN A WINDOWS 10 .......................................................................... 7
2.1 NOVEDADES DE FUNCIONALIDAD Y SEGURIDAD ....................................................8
2.1.1 NOVEDADES DE FUNCIONALIDAD.......................................................................8
2.1.2 NOVEDADES DE SEGURIDAD .............................................................................11
2.2 VERSIONES .............................................................................................................16
2.3 OPCIONES DE MANTENIMIENTO ...........................................................................17
3. INTRODUCCIÓN A WINDOWS SERVER 2016 ........................................................ 20
3.1 NOVEDADES DE SEGURIDAD Y FUNCIONALIDAD ..................................................20
3.1.1 NOVEDADES DE FUNCIONALIDAD.....................................................................20
3.1.2 NOVEDADES DE SEGURIDAD .............................................................................25
3.2 VERSIONES .............................................................................................................27
3.3 TIPOS DE INSTALACIÓN ..........................................................................................28

Centro Criptológico Nacional 2

 Tema 1: introducción, la gestión de sistemas operativos

1. ARQUITECTURA CLIENTE SERVIDOR

La arquitectura cliente-servidor es un modelo por el que se dividen las funciones de los
equipos que intervienen en la comunicación de forma que las tareas se realizan de la
forma más eficiente posible y se simplifican las actualizaciones y mantenimiento del
sistema.
Dos procesos de aplicaciones remotas pueden comunicarse principalmente de dos
formas diferentes:
 Entre iguales (Peer-to-peer): es la arquitectura de redes de ordenadores en la que
cada ordenador, o nodo, posee las mismas capacidades y responsabilidades.
Ambos procesos remotos se ejecutan al mismo nivel e intercambian datos
utilizando el medio que compartan.

IMG0001 – Esquema arquitectura entre iguales

 Cliente-servidor: En la arquitectura cliente-servidor, los clientes o programas que

necesitan servicios, y los servidores, o programas que proveen servicios, se
comunican sobre una red para realizar unas tareas determinadas de forma
conjunta. Un cliente realiza una petición de un servicio a un servidor, el cual la
recibe y procesa, enviando de vuelta la respuesta adecuada.

Centro Criptológico Nacional 3

 Tema 1: introducción, la gestión de sistemas operativos

IMG0002 – Esquema arquitectura cliente-servidor

Los componentes básicos de este modelo serían los siguientes:

 Cliente: un cliente es aquel proceso que reclama servicios a otro, y para ello
necesita interactuar con el usuario, procesa la aplicación, envía los
requerimientos, recibe los resultados y los presenta al usuario o aplicación que los
ha pedido
 Servidor: un servidor es aquel proceso que provee servicios a otros, escuchando
pasivamente, gestionando la comunicación, procesando la información,
enviándola de vuelta al cliente y validando los cambios internos.
 Middleware: es el medio intermedio entre cliente y servidor y que posibilita la
comunicación, incluyendo los protocolos de transporte y los específicos del
servicio.

Las características principales de la arquitectura cliente servidor son:

 Protocolos asimétricos: los servidores esperan pasivamente hasta que un cliente
inicia la comunicación. Los servidores deben tener capacidad para establecer
relaciones de uno a muchos con diferentes clientes, lo que significa que un único
servidor puede proveer los recursos solicitados a múltiples clientes de forma
simultánea.
 Escalabilidad tanto en horizontal (se puede aumentar el número de clientes) como
en vertical (aumentar la potencia o número de servidores y balancear la carga)
 Cualquier máquina puede actuar como servidor o como cliente. No es el tipo de
máquina, tamaño, o capacidad lo que hace que ésta sea un servidor (aunque son
generalmente mucho más potentes), sino su capacidad de recibir múltiples
peticiones y enviar sus respuestas. También es posible que un sistema actúe como
servidor y como cliente simultáneamente, por ejemplo, si los procesos cliente y
servidor residen en la misma máquina.
 Transparencia de la localización: tanto clientes como servidores pueden estar o
no en la misma red llegando el tráfico igualmente entre ellos.
 Independencia de hardware y software, ya que se utilizarán protocolos de envío
de información por la red independientes de cómo sean clientes y servidores
 Mantenimiento sencillo de la información debido a que ésta se encuentra
centralizada en el servidor.

Algunos ejemplos de servidores serían:

 Servidores web
 Servidores de correo
 Servidores de ficheros.

Centro Criptológico Nacional 4

 Tema 1: introducción, la gestión de sistemas operativos

 Servidores de bases de datos

El proceso de comunicación entre cliente y servidor sería el siguiente:

1.- El cliente inicia la comunicación solicitando un recurso al servidor.
2.- El servidor recibe la petición del cliente y la acepta o rechaza.
3.- El servidor procesa la solicitud del cliente si fue aceptada.
4.- El servidor envía la información solicitada al cliente.
5.- El cliente recibe la información que solicitó y la procesa para el usuario o servicio.
Cuando un cliente pide establecer una conexión a un servidor, el servidor puede o
aceptar o rechazar la conexión. Si la conexión es aceptada, el servidor establece y
mantiene la conexión bajo los protocolos específicos de la conexión. Por ejemplo, un
cliente de correo podría pedir una conexión SMTP (protocolo para transferencia simple
de correo) a un servidor de correo para mandar un mensaje.
La aplicación SMTP del servidor de correo le pedirá al cliente sus credenciales para
autenticarse, como dirección de correo y contraseña. Si son correctas, éste le permitirá
mandar el mail al destinatario.
Direcciones ip y puertos
 Las direcciones IP pertenecen a la capa de red del modelo OSI, permiten el
envío de información a través de la red identificando quién es quién para poder
dirigirle el tráfico.
 Los puertos, que pertenecen a la capa de transporte del modelo OSI,
simplifican el envío y reensamblaje de cada paquete enviado a la red haciendo
que las distintas aplicaciones utilicen cada uno uno diferente. De esta forma, el
ordenador que recibe un paquete podrá conocer a qué aplicación tiene que
enviar esa información entre los múltiples programas que se ejecutan en él. Los
puertos están numerados del 1 al 65536, siendo los “Puertos bien conocidos”
del 1 al 1023, números que han sido reservados para aplicaciones comunes, por
ejemplo:
- Navegación web: HTTP, puerto 80 TCP. HTTPS, puerto 443 TCP.
- Correo: POP3, puerto 110 TCP. SMTP, 25 TCP.

Dos procesos en este modelo pueden interactuar de diversas formas:

 Sockets. En este paradigma, el servidor tiene abierto un puerto determinado, uno
de los “puertos bien conocidos” (well-known port) o un puerto que conozca el
cliente, que estará a la escucha esperando que algún cliente envíe una solicitud. El
cliente abrirá un puerto para poder recibir la información del servidor. Un socket,
por tanto, se compone de dos direcciones IP (la del cliente y la del servidor) y los
números de puerto de ambos.
 Llamada a procedimiento remoto (RPC, Remote Procedure Call). Esta técnica
permite ejecutar tareas en un equipo remoto, de forma que el cliente llama al
procedimiento remoto que se encuentra en el servidor a través de la red. En esta
comunicación se envía también un “resguardo” (stub), para ajustar la

Centro Criptológico Nacional 5

 Tema 1: introducción, la gestión de sistemas operativos

configuración del cliente al servidor. Después, el servidor interpretará la

información del paquete y realizará la tarea, enviando de vuelta la respuesta al
cliente, que lo recibirá y continuará con el proceso.

Es importante tener en cuenta que, la arquitectura cliente-servidor realmente es un

modelo lógico que divide las tareas en unos niveles o capas (cliente y servidor).
Aunque tradicionalmente se asocia el modelo con un equipo conectado a un único
servidor, (que sería una arquitectura de dos capas), existen otras arquitecturas en
varios niveles, donde la presentación y la base de datos o la aplicación que se consulte,
se encuentran en servidores distintos.
 Arquitectura de dos niveles (2-tier). Modelo tradicional, la lógica de la aplicación
está integrada con la de presentación o la base de datos

IMG0003 – Esquema arquitectura de 2 niveles

 Arquitectura de tres niveles (3-tier). Modelo donde la lógica de la aplicación está

separada de la base de datos.

Centro Criptológico Nacional 6

 Tema 1: introducción, la gestión de sistemas operativos

IMG0004 – Esquema arquitectura de 3 niveles

 Arquitectura multinivel (multi-tier). Modelo donde se dividen en más niveles.

El siguiente esquema representaría, de forma simplificada, la información de los

puntos anteriores de forma unificada para un cliente que solicita una página web a un
servidor:

2. INTRODUCCIÓN A WINDOWS 10

Windows 10 es el sistema operativo vigente de Microsoft lanzado al público en general

el 29 de julio de 2015 y que durante el primer año se pudo actualizar de forma gratuita
desde Windows 7 sp1 o Windows 8.1. Es un producto pensado para que pueda ser

Centro Criptológico Nacional 7

 Tema 1: introducción, la gestión de sistemas operativos

utilizado en diferentes dispositivos, desde ordenadores de sobremesa o portátiles, a

móviles y tablets, cambiando la forma de presentación y estilo, pero manteniendo el
núcleo del sistema.
Por ello, Microsoft describió a Windows 10 como un “sistema operativo como un
servicio”, de forma que recibirá actualizaciones para sus características y
funcionalidades a lo largo del tiempo. Permitirá también ajustar las instalaciones de las
actualizaciones de forma que se puedan instalar antes o después para probar que no
producen problemas.

2.1 Novedades de funcionalidad y seguridad

Microsoft ha introducido múltiples nuevas características, desde interfaces
actualizadas, a nuevas aplicaciones y servicios. Entre ellas, se encuentran una nueva
interfaz de usuario en el escritorio muy centrada en multitarea y poder ser utilizada
tanto con ratón y teclado como pantallas táctiles, la integración de Cortana como una
extensión de la función de búsqueda y su uso por voz, nuevas aplicaciones de correo,
calendario, fotos y mapas. Además, el navegador Edge también incluye nuevas
características para abrir documentos e integración con Cortana, se ha incluido un
panel de notificación lateral mejorado respecto a Windows 8, y se ha introducido
Windows Hello, que permite desbloquear el equipo usando reconocimiento facial o
huella digital.

2.1.1 Novedades de funcionalidad

A continuación, se van a enumerar las principales novedades en funcionalidad que

presenta Windows 10:
a) Interfaz de escritorio
Esta edición introdujo una arquitectura de aplicaciones «universales». Desarrolladas
con la interfaz Continuum y, posteriormente, con la interfaz Fluent Design, estas
aplicaciones pueden ser diseñadas para ejecutarse en todas las familias de
productos de Microsoft con un código casi idéntico (incluyendo computadoras
personales, tabletas, teléfonos inteligentes, sistemas embebidos, Xbox One, Surface
Hub y HoloLens).
Uno de los cambios más significativos que ofrece Microsoft Windows 10 lo
constituye la interfaz. En este entorno de fusión se incluye la “Plataforma Universal
de Windows – UWP”, también conocidas como Appx. Se tratan de aplicaciones que
se incluyen precargadas en Microsoft Windows 10 y que añaden funciones
adicionales para Windows y que pueden ser adquiridas a través de la Tienda de
Microsoft.
b) Autenticación: Microsoft Passport y Windows Hello
Microsoft Windows 10 ofrece continuidad a los mecanismos de autenticación que
ya presentaba Microsoft Windows 8 y que mejoraron algunos aspectos de Microsoft
Windows 7. Adicionalmente, incorpora una forma más personal de iniciar sesión en
los dispositivos a través de Windows Hello (autenticación biométrica). Realmente la
novedad importante y que cambia totalmente los mecanismos de Autenticación es

Centro Criptológico Nacional 8

 Tema 1: introducción, la gestión de sistemas operativos

Microsoft Passport. Este mecanismo permite implementar una autenticación de

doble factor mediante la autenticación con credenciales vinculadas a un dispositivo
y la autenticación de Windows Hello o un PIN.
Estos son los cambios más significativos en cuanto a los procesos de autenticación:
 Kerberos ha sufrido cambios en la delegación restringida entre dominios
internos del bosque y se aumenta la protección del protocolo a través de túnel
seguro de autenticación flexible (FAST).
 Windows Hello como mecanismo adicional para el inicio de sesión por
biometría. Presenta mejoras en los cambios rápidos de usuarios con
dispositivos biométricos y en la compatibilidad con proveedores de
credenciales.
 Microsoft Passport reemplaza las contraseñas con autenticación segura en dos
fases que consta de un dispositivo inscrito y Windows Hello (biométrico) o PIN.
Microsoft Passport permite a los usuarios autenticarse en una cuenta
Microsoft, en una cuenta de Active Directory, en una cuenta de Microsoft Azure
Active Directory (AD) o en un servicio Microsoft que admita la autenticación
mediante Fast ID Online (FIDO).
Después de una comprobación inicial de dos pasos durante la inscripción a
Microsoft Passport, éste se configura en el dispositivo del usuario y
posteriormente el usuario establece un modo de autenticación biométrica
(huella dactilar, iris o reconocimiento facial) basada en Windows Hello o un PIN.
El usuario proporciona el gesto para comprobar la identidad y Windows usa
Microsoft Passport para autenticar al usuario y permitirle el acceso a recursos y
servicios protegidos.
 Se Agrega soporte para tarjetas inteligentes virtuales que simulan la
funcionalidad de las Smart Card físicas. Usan el chip TPM para almacenar la
tarjeta virtual estando siempre disponible en el equipo y pudiendo acceder el
usuario, a través del chip criptográfico, a su tarjeta bajo demanda. El chip TPM
puede almacenar diferentes tarjetas para múltiples usuarios que estuvieran
empleando el equipo.
c) Sistema de telemetría
Dentro de los mecanismos de mejora y soporte de Microsoft, Microsoft Windows
10 incorpora un servicio de recolección de datos y telemetría con el fin de mejorar
las condiciones de soporte. Los datos serán remitidos a Microsoft para ofrecer
mejoras en los servicios.
La telemetría proporciona las siguientes características:
 Comprobar, y llevar a cabo la actualización del sistema operativo.
 Mantener el sistema operativo seguro, confiable y eficaz.
 Mejorar el sistema operativo mediante el análisis de los datos agregados de uso
de Windows en una enorme muestra representativa de máquinas.

Centro Criptológico Nacional 9

 Tema 1: introducción, la gestión de sistemas operativos

En Microsoft Windows 10 se han establecido 4 niveles de comportamiento de la

telemetría: Seguridad, Básico, Avanzado, Completo.

IMG0006 – Comparación niveles telemetría

d) Microsoft Store
Con la nueva Microsoft Store para empresas, las organizaciones pueden realizar
compras por volumen de aplicaciones de Windows, ofrece compras de aplicaciones
basadas en identidad organizativa, opciones flexibles de distribución y la capacidad
de recuperar o reutilizar las licencias. Las organizaciones también pueden usar la
Tienda para empresas y crear una tienda privada para sus empleados, que incluye
aplicaciones de la tienda, así como aplicaciones privadas de línea de negocio (LOB).
Este componente no se encuentra disponible en la opción de mantenimiento
LTSB/LTSC.

e) Aplicaciones para la Plataforma universal de Windows (UWP)

También conocidas como Appx o Modern App, este tipo de aplicaciones
representan el nuevo concepto de aplicaciones universales que difiere del modelo
tradicional de aplicaciones. Disponibles en todas las versiones de producto, pueden
ser implementadas sobre un puesto de trabajo o un dispositivo móvil. Debe tenerse
en consideración que determinados paneles del escritorio son aplicaciones de este
tipo.
Este componente se encuentra limitado en la opción LTSB/LTSC, al no disponer de la
tienda de Microsoft, y controlado mediante la implementación de políticas de
grupo.
f) Sistema Experiencia de Usuario
Microsoft proporciona al usuario una serie de nuevas funcionalidades en el uso del
dispositivo y la comunicación con Internet. Ofrece capacidad de respuesta ante
nuevas necesidades facilitando datos y respuesta ante las necesidades del usuario.

Centro Criptológico Nacional 10

 Tema 1: introducción, la gestión de sistemas operativos

g) Servicio Cortana
Es el nuevo asistente personal que suministra información al usuario y permite
facilitar información del sistema y/o Internet. Este componente no está disponible
en la opción de mantenimiento LTSB/LTSC.
h) Internet Explorer 11 y Microsoft Edge
Microsoft Windows 10 incorpora dos navegadores diferentes. Internet Explorer
supone el concepto tradicional de navegación, mientras que Microsoft Edge ofrece
nuevas funcionalidades que se adaptan a las condiciones de navegación de Internet
en la actualidad y supone una nueva experiencia de usuario. La opción de
mantenimiento LTSB/LTSC no incluye Microsoft Edge, solamente incluye Internet
Explorer 11.
i) Control de cuentas de usuario
El control de cuentas de usuario (UAC) fue introducido en Microsoft Windows Vista
y Microsoft Windows Server 2008 como un mecanismo para limitar las acciones
administrativas de aquellos usuarios que no eran conscientes del empleo de sus
privilegios. UAC permite a los usuarios iniciar sesión en sus equipos con una cuenta
de usuario estándar.
En MS Windows 10 la funcionalidad del UAC es mejorada para:
 Permitir que un usuario con privilegios de administrador pueda configurar la
experiencia UAC a través del Panel de Control.
 Proporcionar directivas de seguridad local adicional que permitan que un
administrador local cambie el comportamiento de los mensajes UAC, para
administradores locales, en modo de aprobación de administrador.
 Proporcionar directivas de seguridad local adicional que permitan que un
administrador local cambie el comportamiento de los mensajes UAC para los
usuarios estándar.

2.1.2 Novedades de seguridad

A continuación, se van a enumerar las principales novedades en seguridad que

presenta las versiones Enterprise y Pro para Microsoft Windows 10:
a) AppLocker
AppLocker es una característica heredada de Microsoft Windows 8 y presente en la
versión Enterprise de Microsoft Windows 10. Esta característica reemplaza la
característica Directivas de restricción de software. AppLocker controla la manera
en que se accede a los archivos por parte de los usuarios y su uso, y mediante reglas
permite o impide el inicio de una aplicación. AppLocker no controla el
comportamiento de las aplicaciones después de que éstas se han ejecutado.
b) MBAM (Microsoft BitLocker Administration and Monitoring)
MBAM es una característica de Microsoft Windows 10 Enterprise que hace
referencia a la administración y supervisión de Microsoft BitLocker, proporcionando
la capacidad de administración de forma empresarial y simplificada tanto para
BitLocker To Go como para BitLocker.

Centro Criptológico Nacional 11

 Tema 1: introducción, la gestión de sistemas operativos

Facilita mecanismos para implementación de las claves de cifrado y recuperación,

junto con los mecanismos para la recuperación de estas. Ofrece además la
posibilidad de establecer procesos de supervisión en el acceso a las claves, así como
la generación de informes sobre el cumplimiento.
c) Direct Access
Direct Access es un tipo avanzado de red virtual privada (VPN) la cual establece
automáticamente una conexión bidireccional entre los clientes y la red a la que se
conectan. Es el resultado de la combinación del protocolo de seguridad de Internet
o IPsec y el protocolo de Internet versión 6 o IPv6. Direct Access utiliza IPsec con la
finalidad de asegurar las comunicaciones que se establecen por Internet. A su vez
también utiliza IPsec para autenticar al cliente lo que permite la administración del
equipo por parte del personal responsable de forma previa a que se produzca el
inicio de sesión del usuario.
d) Windows To Go
La versión Enterprise de Microsoft Windows 10 permite generar en una memoria
USB un sistema operativo para el arranque desde el mismo, y así transportar y
ejecutar el escritorio completo de un usuario en una unidad de almacenamiento
externo, posibilitando a los departamentos TI apoyar la tendencia “Trae tu propio
dispositivo” (BYOD, Bring your own device) sin comprometer la seguridad del
entorno corporativo.
e) Credential Guard
Credential Guard es una nueva icaracterística introducida en Microsoft Windows 10
Enterprise que utiliza la seguridad basada en virtualización para aislar la información
confidencial de tal manera que únicamente el software con privilegios suficientes
pueda acceder a ella. Credential Guard evita ataques de Pass-the-Hash mediante la
protección de los hashes de contraseñas y de los tickets Kerberos.
f) Device Guard
Device Guard es una combinación de características de seguridad de hardware y
software relacionadas con la empresa que, configuradas conjuntamente, bloquean
un dispositivo para que solo pueda ejecutar aplicaciones de confianza. Esto también
significa que incluso si un atacante consigue controlar el kernel de Windows, es
mucho menos probable que pueda ejecutar código malintencionado después de
que el equipo se reinicie debido a la forma en que se toman las decisiones sobre
qué se puede ejecutar y en qué momento.
g) Arranque seguro UEFI
Ayuda a prevenir que el programa maligno se arranque antes de iniciar el propio
Windows.
En Windows 10 versión 1803 se implementan nuevas características de seguridad, y
también todas las características y correcciones incluidas en las actualizaciones
acumulativas anteriores a Windows 10:
a) Antivirus de Windows Defender
Antivirus de Windows Defender comparte el estado de detección entre los servicios
de M365 e interopera con ATP de Windows Defender. También se han

Centro Criptológico Nacional 12

 Tema 1: introducción, la gestión de sistemas operativos

implementado directivas adicionales para mejorar la protección en función de la

nube y hay nuevos canales disponibles para la protección de emergencia.
b) Protección contra vulnerabilidades de seguridad de Windows Defender
Protección contra vulnerabilidades de seguridad de Windows Defender ha mejorado
la reducción del área de la superficie de ataque, ha ampliado el soporte de las
aplicaciones de Microsoft Office y es compatible con Windows Server.
c) ATP de Windows Defender
ATP de Windows Defender se ha mejorado con nuevas capacidades.
d) Protección de aplicaciones de Windows Defender.
Protección de aplicaciones de Windows Defender ha agregado compatibilidad para
Edge.
e) Device Guard de Windows Defender
“Integridad de código configurable” ha cambiado su nombre a “Control de
aplicaciones de Windows Defender”. El cambio se ha realizado para ayudar a
distinguirla como función independiente para controlar la ejecución de aplicaciones.
f) Windows Information Protection
Esta versión permite el soporte para WIP con archivos a petición, así como el cifrado
de archivos mientras el archivo está abierto en otra aplicación, y mejora el
rendimiento.
g) Detección de ransomware de Office 365
Para suscriptores de Office 365 Home y Office 365 Personal, la detección de
ransomware notifica cuando los archivos de OneDrive se han visto atacados y guiará
por el proceso de restauración de los archivos.
En Windows 10, versión 1809 se incluyen nuevas características de seguridad y
contiene todas las características y correcciones incluidas en las actualizaciones
acumulativas anteriores.
a) Protección contra virus y amenazas
Con acceso controlado a carpetas se ayuda a evitar que el ransomware y otro
código dañino destructivo cambie los archivos personales y se aumentará la
funcionalidad.
b) BitLocker
A través de una directiva de administración de dispositivos modernos (MDM),
BitLocker puede habilitarse de forma silenciosa para los usuarios estándar que se
han unido a Azure Active Directory (AAD). En Windows 10, versión 1803, el cifrado
automático de BitLocker se habilitó para los usuarios de AAD estándar, pero aún
requería hardware moderno que pasara la interfaz de prueba de seguridad de
hardware (HSTI). Esta nueva funcionalidad permite BitLocker mediante directiva
incluso en dispositivos que no pasan la HSTI.

Centro Criptológico Nacional 13

 Tema 1: introducción, la gestión de sistemas operativos

c) Mejoras de protección de aplicaciones de Windows Defender

Protección de aplicaciones de Windows Defender (WDAG) ha introducido una nueva
interfaz de usuario dentro de Seguridad de Windows en esta versión. Los usuarios
independientes pueden instalar y configurar sus opciones de configuración de
Protección de aplicaciones de Windows Defender en Seguridad de Windows sin
necesidad de cambiar la configuración de las claves del registro.
d) Centro de seguridad de Windows
El Centro de seguridad de Windows Defender es denominado Centro de seguridad
de Windows y permite administrar todas las necesidades de seguridad, como
Antivirus de Windows Defender y Firewall de Windows Defender.
El servicio WSC requiere productos antivirus para ejecutarse como un proceso
protegido para el registro. Los productos que aún no se han implementado no
aparecerán en la interfaz de usuario del Centro de seguridad de Windows y
Antivirus de Windows Defender seguirá habilitado en paralelo con estos productos.
e) Firewall de Windows Defender
Firewall de Windows Defender admite los procesos del subsistema de Windows
para Linux (WSL). Se puede agregar reglas específicas para un proceso WSL en
Firewall de Windows Defender, al igual que se haría para cualquier proceso de
Windows.
f) Microsoft Edge
Se han añadido nuevas directivas de grupo y nuevas configuraciones de
administración de dispositivos modernos para administrar Microsoft Edge.
g) ATP de Windows Defender
Protección contra amenazas avanzada (ATP) de Windows Defender se ha mejorado
con nuevas capacidades.
h) Escritorio remoto con biometría
Windows 10 versión 1809 permite usar la biometría para autenticarse en sesiones
de escritorio remoto para los usuarios de Azure Active Directory y Active Directory
con Windows Hello para empresas.
Las novedades de Microsoft Windows 10, versión 1903, que también contiene todas
las características y correcciones incluidas en las actualizaciones acumulativas
anteriores a Windows 10, versión 1809, son las siguientes:
a) Windows Information Protection

Con esta versión, ATP de Windows Defender amplía el descubrimiento y la protección

de la información confidencial con Etiquetado automático.
b) Marco de configuración de seguridad

Con esta versión de Windows 10, Microsoft presenta una nueva taxonomía para
configuraciones de seguridad, denominada SECCON Framework, que consta de 5
configuraciones de seguridad de dispositivos.
c) Líneas base de seguridad de Intune

Ayudan a proteger a los usuarios y dispositivos mediante líneas de base de seguridad,

que son grupos preconfigurados de configuraciones de Windows que le ayudan a

Centro Criptológico Nacional 14

 Tema 1: introducción, la gestión de sistemas operativos

aplicar un grupo conocido de configuraciones y valores predeterminados que

recomiendan los equipos de seguridad pertinentes.
d) Protección contra amenazas avanzada de Microsoft Defender (ATP)
 Se pueden configurar dispositivos con protección web avanzada que les
permitan definir las listas de direcciones permitidas y de direcciones denegadas
para direcciones URL y de IP específicas.
 Se han ampliado controles para la protección frente a ransomware, el uso
indebido de credenciales y los ataques que se transmiten a través del
almacenamiento extraíble.
 Compatibilidad con plataformas: además de Windows 10, la funcionalidad de
ATP de Windows Defender se ha ampliado para admitir clientes Windows 7 y
Windows 8,1, así como macOS, Linux y Windows Server con sus capacidades de
Endpoint Detection (EDR) y Endpoint Protection Platform (EPP).
e) Tecnologías de protección de última generación de ATP de Microsoft Defender
 Cumplimiento de la certificación de la norma ISO 27001.
 Compatibilidad con la geolocalización.
f) Protección contra amenazas
 Espacio aislado de Windows: entorno de escritorio aislado en el que puede
ejecutar software que no es de confianza sin temor a un impacto duradero en
su dispositivo.
 Configuración de privacidad del micrófono: aparece un icono de micrófono en
el área de notificación que te permite ver qué aplicaciones usan el micrófono.
 Mejoras de Protección de aplicaciones de Windows Defender:
g) Protección del sistema
La protección del sistema ha agregado una nueva característica en esta versión de
Windows denominada SMM firmware. Esta característica se basa en el lanzamiento
seguro de protección del sistema para verificar que el firmware del modo de
administración de sistemas (SMM) en el dispositivo funcione de manera saludable;
en concreto, la memoria del sistema operativo y los secretos están protegidos de
SMM. Por el momento, no hay dispositivos con hardware compatible, pero estarán
disponibles en los próximos meses.
h) Protección de identidad
 Certificación FIDO2 de Windows Hello: Windows Hello es ahora un autenticador
certificado por FIDO2 y habilita el inicio de sesión sin contraseña para los sitios
web que admiten autenticación FIDO2, como la cuenta de Microsoft y Azure
AD.
 Experiencia de restablecimiento de PIN de Windows Hello optimizada: los
usuarios de la cuenta de Microsoft tienen una experiencia de restablecimiento
de PIN de Windows Hello renovada con el mismo aspecto que si se iniciara
sesión en la web.

Centro Criptológico Nacional 15

 Tema 1: introducción, la gestión de sistemas operativos

Inicia sesión con cuentas de Microsoft sin contraseña: inicia sesión en Windows
10 con una cuenta de número de teléfono. Después, usa Windows Hello para
obtener una experiencia de inicio de sesión aún más sencilla.
 Escritorio remoto con biometría: los usuarios de Azure Active Directory y Active
Directory que usen Windows Hello para empresas pueden usar la biometría
para autenticarse en una sesión de escritorio remoto.
i) Administración de seguridad
 Windows Defender Firewall ahora es compatible con el subsistema de Windows
para Linux (WSL): permite agregar reglas para el proceso de WSL, como en los
procesos de Windows.
 Las mejoras de la aplicación de Seguridad de Windows incluyen ahora el
historial de protección, que contiene información detallada y más sencilla para
comprender acerca de las amenazas y las acciones disponibles. Los bloques de
acceso controlado a carpetas ahora están en el historial de protección, acciones
de la herramienta de análisis de Windows Defender sin Conexión y cualquier
recomendación pendiente.
 La protección contra alteraciones permite evitar que otras personas alteren
características de seguridad importantes.

2.2 Versiones
Tradicionalmente, Microsoft ha proporcionado versiones para los entornos
domésticos, profesionales y de negocio. La nomenclatura, en inglés, de dichas
versiones son Home, Professional (también denominada Pro) y Enterprise.
Adicionalmente, existen versiones específicas para educación. Cada una de ellas aporta
diferentes funcionalidades, en función del entorno de implementación factible. Para
entornos de tipo corporativo, Microsoft, por ejemplo, había proporcionado dos líneas
de productos diferenciadas, las versiones Professional y Enterprise. La diferencia
radicaba en que esta última aportaba una serie de características para un control
corporativo mayor.
Adicionalmente a este tipo de versionado que se mantiene en Microsoft Windows 10,
aparece una nueva categorización basada en las opciones de mantenimiento. Esta
nueva categorización atiende a la necesidad de dar respuesta a una necesidad más
específica para, por ejemplo, asegurar que los sistemas se encuentren actualizados de
tal forma que, ante una desactualización, el sistema limite su funcionamiento (ver el
punto 2.3 Opciones de mantenimiento LTSC, CB y CBB).
Las versiones de Windows 10 son, por tanto, las siguientes:
 Windows 10 Home
Versión estándar de Windows, equivalente a las ediciones con funciones
básicas de sus antecesores.7
 Windows 10 Pro
Orientada a los usuarios de pequeñas empresas, entusiastas y programadores.

Centro Criptológico Nacional 16

 Tema 1: introducción, la gestión de sistemas operativos

 Windows 10 Enterprise
Contiene todas las características de Windows 10 Pro, con algunas
características adicionales para ayudar a las organizaciones basadas en IT.
 Windows 10 Education
Proporciona experiencias de aprendizaje de gran alcance con una amplia gama
de herramientas para la educación.

Windows Windows 10 Windows 10 Windows 10

Características
10 Home Pro Enterprise Education

Continuum Sí Sí Sí Sí
Cortana Sí Sí Sí Sí
Cifrado de dispositivo Sí Sí Sí Sí
Microsoft Edge Sí Sí Sí Con 1703
Microsoft Passport Sí Sí Sí Sí
Gestión de dispositivos móviles Sí Sí Sí Sí
Escritorios virtuales Sí Sí Sí Sí
Windows Hello Sí Sí Sí Sí
BitLocker y EFS No Sí Sí Sí
Business Store No Sí Sí Sí
Current Branch for Business (CBB) No Sí Sí Sí
Unión a dominios y Gestión de Directiva
No Sí Sí Sí
de Grupo
Enterprise Data Protection No Sí Sí Sí
64-bit SKUs 64-bit SKUs 64-bit SKUs
Hyper-V No
only only only
Microsoft Azure Active Directory join No Sí Sí Sí
Cliente y Cliente y Cliente y
Escritorio remoto Solo cliente
servidor servidor servidor
AppLocker No No Sí Sí
Branch Cache No Sí Sí
Credential Guard No Sí Sí
Device Guard No Sí Sí
Direct Access No Sí Sí
Long Term Servicing Branch (LTSB) No Sí

TABLA0001 – Comparación Características Windows 10

2.3 Opciones de mantenimiento

El sistema operativo Microsoft Windows 10 establece una nueva forma de construir,
desplegar y actualizar Windows: Windows como servicio. Antes de MS Windows 10,

Centro Criptológico Nacional 17

 Tema 1: introducción, la gestión de sistemas operativos

Microsoft lanzaba nuevas versiones de Windows cada pocos años. Con este modelo, el
cambio de una versión a otra implicaba un trabajo importante en los clientes, ya que el
volumen de cambios existente requería unos procesos de validación y migración
costosos.
Con el modelo de Windows como Servicio, Microsoft lanzará nuevas funcionalidades
de Windows 10 de forma periódica y continua en el tiempo, simplificando los procesos
necesarios para mantener el sistema actualizado con las nuevas funcionalidades. Se
lanzarán una media de dos actualizaciones de Windows 10 al año.
Windows 10 recibe dos tipos de actualizaciones:
a) Actualizaciones de calidad (Quality Updates). Incluye tanto actualizaciones de
seguridad como actualizaciones recomendadas, en un modelo acumulativo.
b) Actualizaciones de características (Feature Updates). Donde se recogen las nuevas
funcionalidades del producto, y a las que se hace referencia en el modelo de
servicio de Windows 10.

Las opciones de mantenimiento de Windows 10 determinan la rapidez con la que los

sistemas recibirán las actualizaciones, una vez éstas son publicadas por Microsoft.
Dentro de las opciones de mantenimiento de Microsoft Windows 10, se encuentran
disponibles tres opciones:
a) Canal Semi-Anual (Dirigido). En este modelo, los equipos reciben las
actualizaciones tan pronto como Microsoft las publica. Es el modelo que siguen, por
ejemplo, los equipos de consumo. En empresa, se recomienda este modelo para
pilotos o pruebas sobre Microsoft Windows 10.
b) Canal Semi-Anual. Las organizaciones normalmente siguen un ciclo de pruebas
antes de desplegar de forma masiva nuevas características a los usuarios. Para
Microsoft Windows 10, la fase de piloto y/o pruebas se cubriría dentro del plazo de
la versión Canal Semi-Anual (Dirigido), mientras que el despliegue masivo se
realizaría en el Canal Semi-Anual. Los clientes en el modelo Canal Semi-Anual
recibirán la misma versión de Microsoft Windows 10 que aquellos que están en el
modelo Canal Semi-Anual (Dirigido), pero la recibirán en un período de tiempo
posterior.
c) LTSC (Canal de mantenimiento a largo plazo para empresas o Long Term Servicing
Channel). Esta opción de mantenimiento de Microsoft Windows 10 está orientada a
sistemas especializados y de misión crítica, que tradicionalmente requieren un ciclo
de vida mayor y normalmente, no se benefician de nuevas funcionalidades, ya que
habitualmente realizan una tarea única y concreta. En este modelo de actualización,
estos equipos recibirán únicamente actualizaciones de calidad. Microsoft generará
actualizaciones de características para este modelo aproximadamente una vez cada
dos años, aunque no es de obligación su instalación inmediata.

La nueva nomenclatura adoptada por Microsoft para las opciones de mantenimiento

del sistema operativo Windows 10:

Centro Criptológico Nacional 18

 Tema 1: introducción, la gestión de sistemas operativos

 CB: rama semianual (dirigida).

 CBB: rama semianual.
 Canal de mantenimiento a largo plazo (LTSB): canal de mantenimiento a largo
plazo (LTSC).

Entre estas opciones, resulta reseñable, la disponibilidad de las actualizaciones y el

ciclo de vida de mantenimiento:
 Para la opción Canal Semi-Anual (Dirigido), la duración mínima del ciclo de vida
de mantenimiento es de 4 meses aproximadamente.
 Para la opción Canal Semi-Anual, la duración mínima del ciclo de vida de
mantenimiento es de 8 meses aproximadamente.
 Para la opción LTSC, la duración mínima del ciclo de vida de mantenimiento es
de 10 años.

Debe entenderse lo anterior como el plazo máximo en que un sistema podrá

mantenerse operacional sin la debida actualización del sistema. Esto no indica, como
es lógico, que sea adecuado mantener un sistema desactualizado durante un plazo de
8 meses. Las buenas prácticas de seguridad establecen la necesidad de mantener los
sistemas actualizados con las últimas actualizaciones disponibles en materia de
seguridad.

El ciclo de vida de las distintas opciones de mantenimiento de MS Windows 10 varía,

según se esté siguiendo el modelo de servicio (Canal Semi-Anual / Canal Semi-Anual
(Dirigido)) o el modelo tradicional (LTSC):
a) Microsoft soporta de forma simultánea en el tiempo dos versiones Canal Semi-
Anual, más un período de gracia de 60 días. De esta forma, cada actualización de
características de Microsoft Windows 10 en este modelo se soportará y actualizará
un mínimo de 18 meses.
b) En el caso de la opción LTSC, el soporte completo de la misma será de 5 años desde
la fecha de lanzamiento, más otros 5 años de soporte extendido.
c) Si un equipo configurado en el modelo de Windows como Servicio no se actualiza
dentro del plazo fijado, dejará de recibir actualizaciones de calidad. Las buenas
prácticas de seguridad establecen la necesidad de mantener los sistemas
actualizados con las últimas actualizaciones disponibles en materia de seguridad.
Hay que destacar que parte de las nuevas características de MS Windows 10 que se
van lanzando en este modelo de servicio son también relativas a seguridad.
Adicionalmente a las condiciones citadas anteriormente, debe conocerse que la opción
LTSC, con respecto a las otras dos, mantiene diferencias en cuanto a las
funcionalidades del producto. Así, ésta no aporta todas las características con las que
contaría Microsoft Windows 10 Enterprise y Pro. Elementos tales como Cortana,

Centro Criptológico Nacional 19

 Tema 1: introducción, la gestión de sistemas operativos

Microsoft Edge o la tienda, entre otros, no se encontrarían disponibles para dicha

opción de sistema.
La opción LTSC no tendrá el mismo mantenimiento de funcionalidad que las otras dos
opciones existentes. Así, resultaría factible que mientras las opciones Canal Semi-Anual
mantienen mejoras funcionales de producto, así como sus características, éstas no
estarían disponibles para la versión LTSC. Sí mantendría en su ciclo de vida las
actualizaciones de seguridad, pero no de aquellas actualizaciones que correspondan a
mejoras funcionales.
Debe tomarse también en consideración que la opción Canal Semi-Anual (Dirigido) se
encuentra disponible para las versiones Home, Education, Pro y Enterprise; la opción
Canal Semi-Anual se encuentra disponible para las versiones Education, Pro y
Enterprise; y la opción LTSC se encontraría disponible, solamente, para la versión
Enterprise.

3. INTRODUCCIÓN A WINDOWS SERVER 2016

Windows Server 2016 es un sistema operativo servidor, desarrollado al mismo tiempo

que Windows 10 y constituye la última evolución de la versión Windows Server
2012 R2. El 12 de octubre de 2016 fue lanzada al público de forma oficial.
3.1 Novedades de seguridad y funcionalidad
Una de las muchas novedades que incorpora Windows Server 2016 es una seguridad
avanzada multicapa, que ofrece a los administradores una serie de herramientas
avanzadas, que permiten detectar y bloquear toda la actividad sospechosa antes de
que ésta pueda ser capaz de causar daños en el servidor, ayudando con ello a proteger
tanto la maquina local, como las máquinas virtuales alojadas en ese servidor.
Otra de las grandes novedades que trae Windows Server 2016 es la integración de la
última tecnología de Azure para hacer más flexible esa combinación del entorno virtual
con el entorno físico. Muchas de las mejoras que ofrece este sistema operativo están
orientadas a las soluciones de nube o entornos híbridos.
Windows Server 2016 ofrece una nueva opción de implementación denominada Nano
Server. El cual es un sistema operativo de servidor administrado de forma remota y
optimizado para centros de datos y nubes privadas.

3.1.1 Novedades de funcionalidad

A continuación, se van a enumerar las principales novedades en funcionalidad que

presenta Windows Server 2016:
a) Virtualización
Las máquinas físicas y virtuales se benefician de una mayor precisión temporal
gracias a las mejoras en los servicios de sincronización de hora de Hyper-V y Win32.
Windows Server ahora puede hospedar servicios que cumplen con las próximas

Centro Criptológico Nacional 20

 Tema 1: introducción, la gestión de sistemas operativos

normas que requieren una precisión de 1 ms con respecto a UTC. Otras novedades
en esta materia serían:
 Nuevas funcionalidades en Hyper-V
o En Hyper-V se ha creado una funcionalidad nueva y modificada del rol
de Hyper-V en Windows Server 2016, el cliente Hyper-V que se ejecuta
en Windows 10 y Microsoft Hyper-V Server 2016.
o Los contenedores Windows Server 2016 aportan mejoras de
rendimiento, una administración de red simplificada y compatibilidad
para contenedores de Windows en Windows 10.
 Mejoras en virtualización para Nano Server
o Nano Server cuenta con un módulo actualizado para compilar imágenes
de Nano Server, que incluye una mayor separación de la funcionalidad
del host físico y la máquina virtual de invitado y compatibilidad con las
diferentes ediciones de Windows Server.
o También hay mejoras en la Consola de recuperación, como la
separación de reglas de firewall de entrada y salida, y la posibilidad de
reparar la configuración de WinRM.
 Máquinas virtuales blindadas
Windows Server 2016 proporciona una nueva máquina virtual blindada basada
en Hyper-V para proteger cualquier máquina virtual de generación 2 de un
tejido comprometido. Entre las características introducidas en Windows Server
2016 destacan las siguientes:
o El nuevo modo "Cifrado admitido" que ofrece un nivel de protección
mayor que el de una máquina virtual común, pero menor que el modo
"Blindado", mientras se continúa admitiendo vTPM; el cifrado de disco;
el cifrado de tráfico y Migración en vivo; y otras características, incluidas
las facilidades en la administración directa del tejido, como las
conexiones de consola de máquina virtual y Powershell Direct.
o Soporte completo para la conversión de las máquinas virtuales no
blindadas de segunda generación a máquinas virtuales blindadas,
incluido el cifrado de disco automatizado.
o Hyper-V Virtual Machine Manager ahora puede ver los tejidos sobre los
que puede ejecutarse una máquina virtual blindada, lo que permite al
administrador de tejidos abrir un protector de clave de la máquina
virtual blindada y ver los tejidos sobre los que puede ejecutar.
o Puede cambiar los modos de atestación en un Servicio de protección de
host. Ahora puede cambiar sobre la marcha entre la atestación basada
en Active Directory, menos segura pero más sencilla, y la atestación
basada en TPM.

Centro Criptológico Nacional 21

 Tema 1: introducción, la gestión de sistemas operativos

o Las herramientas de diagnóstico integrales basadas en Windows

PowerShell que pueden detectar configuraciones incorrectas o errores
en ambos hosts protegidos de Hyper-V y el Servicio de protección de
host.
o Un entorno de recuperación que ofrece un medio para solucionar
problemas y reparar máquinas virtuales blindadas dentro del tejido en
el que se ejecutan normalmente ofreciendo al mismo tiempo un nivel
de protección idéntico al de la propia máquina virtual blindada.
o Compatibilidad con el Servicio de protección de host para proteger el
entorno existente de Active Directory: puede dirigir el Servicio de
protección de host para usar un bosque existente de Active Directory
como su Active Directory en lugar de crear su propia instancia de Active
Directory.

b) Identidad y acceso
Las nuevas características de Identidad aumentan la capacidad de las
organizaciones de proteger los entornos de Active Directory y les ayudan a migrar a
implementaciones de solo en la nube e implementaciones híbridas, donde algunas
aplicaciones y servicios se hospedan en la nube y otros se hospedan de forma local.
 Servicios de certificados de Active Directory
Servicios de certificados de Active Directory (AD CS) en Windows Server 2016
aumenta la compatibilidad para la atestación de claves de TPM: ahora puedes
usar el KSP de tarjeta inteligente para atestación de la clave, y los dispositivos
que no están unidos al dominio ahora pueden utilizar la inscripción NDES para
obtener los certificados que pueden recibir atestación para las claves que están
en TPM.
 Active Directory Domain Services
Los Servicios de dominio de Active Directory incluyen mejoras que ayudan a las
organizaciones a proteger los entornos de Active Directory y mejoran la
administración de identidades tanto para dispositivos personales como
corporativos.
 Servicios de federación de Active Directory (AD FS)
Los Servicios de federación de Active Directory (ADFS) en Windows Server 2016
incluyen nuevas características que le permiten configurar AD FS para la
autenticación de usuarios almacenados en directorios de protocolo ligero de
acceso a directorios (LDAP).
 Proxy de aplicación web
La versión más reciente del Proxy de aplicación web se centra en las nuevas
características que permiten la publicación y la autenticación previa de más
aplicaciones y una experiencia de usuario mejorada. Consulte la lista completa
de las nuevas características que incluye autenticación previa para aplicaciones

Centro Criptológico Nacional 22

 Tema 1: introducción, la gestión de sistemas operativos

de cliente enriquecidas Exchange ActiveSync y dominios con comodín para una

publicación más sencilla de aplicaciones de SharePoint.

c) Administración
El área Administración y automatización se centra en la información de referencia y
las herramientas para profesionales de TI que desean ejecutar y administrar
Windows Server 2016, incluido Windows PowerShell.
Windows PowerShell 5.1 incluye nuevas e importantes características, entre las que
se incluyen el soporte para el desarrollo con clases y las nuevas características de
seguridad, que amplían y mejoran su uso, y le permiten controlar y administrar
entornos basados en Windows de manera más sencilla y completa.
Las incorporaciones nuevas de Windows Server 2016 incluyen: la capacidad de
ejecutar PowerShell.exe localmente en Nano Server (ya no solo de manera remota),
nuevos cmdlets de usuarios y grupos locales para reemplazar la GUI y la
incorporación de compatibilidad con la depuración de PowerShell y en Nano Server
para la transcripción y el registro de seguridad y JEA.
A continuación, se indican algunas de las otras nuevas características de
administración:
 Windows Management Framework 5 incluye actualizaciones a la configuración
de estado deseado de Windows PowerShell (DSC), la Administración remota de
Windows (WinRM) y el Instrumental de administración de Windows (WMI).
 PackageManagement ha unificado la administración de paquetes para
inventario, instalación y detección de software. Windows Server 2016 y
Windows 10 incluyen la nueva característica PackageManagement
(anteriormente denominada OneGet) que permite a profesionales de TI o de
DevOps automatizar la detección de software, la instalación y el inventario, de
manera local o remota, con independencia de la tecnología de instalador y de
dónde se encuentra el software.
 Mejoras de PowerShell para ayudar a realizar análisis forenses digitales y a
reducir las infracciones de seguridad

d) Funciones de red
Esta área abarca los productos y las características de redes dirigidos al profesional
de TI para diseñar, implementar y mantener Windows Server 2016.
 Redes definidas por software
Ahora puede reflejar y enrutar tráfico a dispositivos virtuales nuevos o
existentes. Junto con un firewall distribuido y los grupos de seguridad de
red, esto le permite segmentar dinámicamente y proteger las cargas de
trabajo de una manera similar a Azure. En segundo lugar, puede
implementar y administrar por completo las redes definidas por software
(SDN) con System Center Virtual Machine Manager. Por último, puede usar
Docker para administrar las redes de contenedor de Windows Server y

Centro Criptológico Nacional 23

 Tema 1: introducción, la gestión de sistemas operativos

asociar directivas de SDN no solo con las máquinas virtuales, sino también
con contenedores.
 Mejoras en el rendimiento de TCP
El valor predeterminado del intervalo de congestión inicial (ICW) se ha
aumentado de 4 a 10 y TCP Fast Open (TFO) se ha implementado. TFO
reduce la cantidad de tiempo necesario para establecer una conexión TCP y
el ICW aumentado permite la transferencia de objetos más grandes a la
ráfaga inicial. Esta combinación puede reducir significativamente el tiempo
necesario para transferir un objeto de Internet entre el cliente y la nube.
Para mejorar el comportamiento de TCP al realizar la recuperación de
pérdida de paquetes, se han implementado Tail Loss Probe (TLP) y Recent
Acknowledgement (RACK) en TCP. TLP ayuda a convertir los tiempos de
espera de retransmisión (RTO) para recuperaciones rápidas y RACK reduce el
tiempo necesario para que la recuperación rápida retransmita un paquete
perdido.

e) Almacenamiento
El almacenamiento en Windows Server 2016 incluye nuevas características y
mejoras de almacenamiento definido por el software, así como servidores de
archivos tradicionales. A continuación se muestran algunas de las nuevas
características; para consultar más mejoras y detalles, vea Novedades de Espacios
de almacenamiento en Windows Server 2016.
 Espacios de almacenamiento directo
Espacios de almacenamiento directo permite la creación de almacenamiento
altamente disponible y escalable con servidores de almacenamiento local.
Simplifica la implementación y administración de los sistemas de
almacenamiento definidos por software y desbloquea el uso de las nuevas
clases de dispositivos de disco, como SSD de SATA y dispositivos de disco
NVMe, que no estaban disponibles con Espacios de almacenamiento de
clúster con discos compartidos.
 Réplica de almacenamiento
Réplica de almacenamiento (SR) permite la replicación sincrónica
independiente del almacenamiento y a nivel de bloque entre servidores o
clústeres para la recuperación ante desastres, así como la extensión de un
clúster de conmutación por error entre sitios. La replicación sincrónica
permite el reflejo de datos en sitios físicos con volúmenes coherentes frente
a bloqueos para asegurar que no se produce absolutamente ninguna
pérdida de datos en el nivel de sistema de archivos. La replicación
asincrónica permite la extensión de sitios más allá del área metropolitana
con la posibilidad de pérdida de datos.

f) Calidad de servicio (QoS) del almacenamiento

Ahora puede usar la calidad de servicio del almacenamiento para supervisar de
manera centralizada el rendimiento del almacenamiento de extremo a extremo y

Centro Criptológico Nacional 24

 Tema 1: introducción, la gestión de sistemas operativos

crear directivas de administración mediante Hyper-V y clústeres de CSV en Windows

Server 2016.

g) Clúster de conmutación por error

Windows Server 2016 incluye una serie de nuevas características y mejoras para
varios servidores que se agrupan en un único clúster tolerante a errores mediante la
característica Clústeres de conmutación por error. Algunas de las adiciones se
enumeran a continuación; para obtener una lista más completa, vea Novedades de
los clústeres de conmutación por error de Windows Server 2016.
 Actualización gradual del sistema operativo del clúster
La actualización gradual del sistema operativo del clúster permite a un
administrador actualizar el sistema operativo de los nodos del clúster de
Windows Server 2012 R2 a Windows Server 2016 sin detener la función
Hyper-V o las cargas de trabajo del Servidor de archivos de escalabilidad
horizontal. Con esta característica, se pueden evitar las penalizaciones de
tiempo de inactividad en los acuerdos de nivel de servicio (SLA).
 Testigo en la nube
Testigo en la nube es un nuevo tipo de testigo de cuórum de clúster de
conmutación por error en Windows Server 2016 que utiliza Microsoft Azure
como punto de arbitraje. El testigo en la nube, como cualquier otro testigo
de cuórum, obtiene un voto y pueden participar en los cálculos de cuórum.
 Servicio de mantenimiento
El Servicio de mantenimiento mejora la supervisión diaria, las operaciones y
la experiencia de mantenimiento de recursos de clúster en un clúster de
Espacios de almacenamiento directo.

3.1.2 Novedades de seguridad

Windows Server 2016 incluye nuevas herramientas integradas para contrarrestar las
posibles vulnerabilidades de seguridad, permitiendo frustrar ataques en sus sistemas.
Además, en caso de que un usuario no autorizado lograse entrar en su infraestructura,
las nuevas capas de seguridad, que se integran en el nuevo sistema operativo,
limitarán los daños que pueden causar y ayudarán a detectar las actividades
sospechosas.
Una de las principales novedades en cuanto a la seguridad es la característica exclusiva
de Microsoft denominada “Máquinas virtuales blindadas”, que permite cifrar las
máquinas virtuales con BitLocker y asegurarse con ello que se ejecutan sólo en hosts
autorizados por el Servicio de protección de host.
Otra nueva característica de Windows Server 2016 es el entorno protegido que se
conoce como Virtual Secure Mode (VSM), utilizado por una serie de componentes,
incluyendo la protección de credenciales. Virtual Secure Mode es un entorno de
ejecución seguro donde se mantienen claves y procesos críticos de seguridad. Se
ejecutan como Trustlets en una partición virtualizada segura.
Las principales novedades de seguridad que se implementan con Windows Server 2016
son:

Centro Criptológico Nacional 25

 Tema 1: introducción, la gestión de sistemas operativos

 Just Enough Administration: Permite conceder permisos granulares a las

cuentas de usuarios para limitar sus acciones a las estrictamente necesarias.
También es posible reducir el número de administradores de las maquinas
con la ayuda de las cuentas virtuales o cuentas de servicio que realizan
acciones con privilegios en nombre de usuarios normales.
 Just in Time Administration: Permite limitar el tiempo de duración de los
privilegios concedidos, evitando con ello que existan usuarios con privilegios
administrativos que se olviden con el paso del tiempo que fueron
concedidos.
 Credential Guard utiliza la seguridad basada en la virtualización para aislar
las claves de usuario para que únicamente el software del sistema con
privilegios pueda acceder a ellos. El acceso no autorizado a estos datos
puede desencadenar en la sustracción de información con ataques como
“Pass-the-Hash” o “Pass-The-Ticket”. Credential Guard frena estos ataques
mediante la protección de hash de contraseña NTLM y vales de concesión de
autenticación Kerberos.
 Credential Guard remoto ofrece un inicio de sesión único para las sesiones
de escritorio remoto (RDP), redirigiendo las solicitudes de Kerberos al
dispositivo que está solicitando la conexión. lo que elimina la necesidad de
pasar credenciales al host de escritorio remoto (RDP).
 Device Guard es una combinación de características de seguridad de
hardware y software que, configuradas conjuntamente, bloquean un
dispositivo para que solo pueda ejecutar aplicaciones de confianza que se
definen en la integridad de código. Si la aplicación no es de confianza, no se
podrá ejecutar.
 Control Flow Guard (CFG) es una característica de seguridad de plataforma
optimizada para combatir vulnerabilidades de corrupción de memoria.
 La protección de flujo de control es otra característica de seguridad que
viene configurada de forma nativa para bloquear vectores de ataque
comunes.
 Por último, Windows Defender, aunque no una novedad como tal, es una
protección activa contra programa maligno conocido y actualiza las
definiciones de antimalware mediante Windows Update y ayuda a
protegerse frente a vulnerabilidades desconocidas sin que ello afecte a los
roles de servidor.

A continuación, se muestra una tabla comparando las características de seguridad que

posee Windows Server 2016 frente a Windows Server 2012 R2.

Nombre del Parámetro Win. Server 2012 R2 Win. Server 2016

Centro Criptológico Nacional 26

 Tema 1: introducción, la gestión de sistemas operativos

Nombre del Parámetro Win. Server 2012 R2 Win. Server 2016

Máquinas virtuales blindadas

Servicio de protección de host

Just Enough Administration

Just in Time Administration

Credential Guard

Credential Guard Remoto

Device Guard

AppLocker

Windows Defender

Protección de flujo de control

Máquinas virtuales de2 generación

Detección de amenazas mejoradas

Acceso de control dinámico

Firewall con Seguridad Avanzada

BitLocker

Parcialmente soportado, Totalmente soportado

TABLA0002 – Comparación Seguridad Win. Server 2012 y Windows Server 2016

3.2 Versiones
En Windows Server 2016 posee las mismas ediciones que poseía Windows Server 2012
R2, el anterior sistema operativo. Existen tres ediciones principales de Windows Server,
según el tamaño de su organización y los requisitos de los centros de datos y
virtualización:
 La edición Datacenter es ideal para entornos altamente virtualizados y de
centros de datos definidos por software.
 La edición Standard es ideal para clientes con entornos con baja densidad de
virtualización o no virtualizados.
 La edición Essentials ofrece una solución de servidor flexible, asequible y fácil
de usar para pequeñas empresas con un máximo de 25 usuarios y 50

Centro Criptológico Nacional 27

 Tema 1: introducción, la gestión de sistemas operativos

dispositivos. Essentials es una opción adecuada para clientes que usen

actualmente la edición Foundation, que se descontinuó.

Las versiones Datacenter y Standard presentan las mismas funcionalidades y servicios

que se pueden implementar, aunque la diferencia fundamental entre ambas versiones
reside en el número de Entornos de Sistema Operativo (OSE) y contenedores de Hyper-
V que cubren:
 La versión Windows Server 2016 Standard permite ejecutar hasta dos instancias
de máquinas virtuales en un máximo de dos procesadores.
 La versión Windows Server 2016 Datacenter permite ejecutar un número
ilimitado de máquinas virtuales en un máximo de dos procesadores.

Por lo tanto, para aquellos entornos de servidor donde se vaya a realizar una alta
implementación de máquinas virtuales, deberá emplearse la versión de Windows
Server 2016 Datacenter. Para el resto de los sistemas donde el servidor físico no vaya a
realizar implementaciones de máquinas virtuales o la implementación vaya a ser en un
número no superior a 2, se debería instalar la versión Windows Server 2016 Standard.
Además, la versión Datacenter incluye la funcionalidad “blindado de máquinas
virtuales” (Shielded Virtual Machines), la cual proporciona una protección adicional
contra código malicioso, y dispone de redes definidas de software, espacios de
almacenamiento directo y réplica de almacenamiento, cualidades de las que no
dispone la edición Standard.
Datacenter Standard
Funciones básicas de Windows Server ✓ ✓
Entorno del sistema operativo (contenedores de Hyper-V/OSE) Ilimitado 2*
Contenedores de Windows Server Ilimitado Ilimitado
Servicio de protección de host ✓ ✓
Réplica de almacenamiento ✓ ✓
Máquinas virtuales blindadas ✓
Redes definidas mediante software ✓

TABLA0003 – Comparación Versiones Windows Server 2016

3.3 Tipos de instalación

Windows Server 2016 presenta tres opciones de instalación: Server Core, Server con
experiencia de escritorio, y adicionalmente un Nano Server que se distribuye en
medios físicos, pero no es realmente una opción de instalación.
Se presentan las siguientes opciones de instalación en el canal de mantenimiento a
largo plazo:

Centro Criptológico Nacional 28

 Tema 1: introducción, la gestión de sistemas operativos

 Todas las ediciones de Windows Server disponibles

 Server Core y Server con experiencia de escritorio

En el caso de Windows Server (canal semianual), se presentan las siguientes opciones

de instalación:
 Ediciones Standard y Datacenter
 Server Core para host de contenedor e imagen de contenedor de Nano Server

La opción Servidor con Experiencia de escritorio es el equivalente de la opción de

instalación completa disponible en Windows Server 2012 R2 con la característica
Experiencia de escritorio instalada. Si no se elige una opción en el Asistente para
instalación, se instala la opción de instalación Server Core.
 Windows Server 2016 (Server Core)
La opción de instalación básica reduce el espacio requerido en el disco y la
posible superficie expuesta a ataques, de modo que se recomienda elegir la
instalación básica, a menos que se necesiten particularmente los elementos
adicionales de la interfaz de usuario y las herramientas de administración de
gráficos que se incluyen en la opción de Server con Experiencia de escritorio.
Con esta opción de instalación básica, no se instala la interfaz de usuario
estándar (la Experiencia de escritorio) y el servidor se administra mediante la
línea de comandos, Windows PowerShell o métodos remotos.
 Windows Server 2016 (Servidor con Experiencia de escritorio)
La opción Servidor con Experiencia de escritorio instala la interfaz de usuario
estándar y todas las herramientas, incluidas las características de experiencia
de cliente que requieren una instalación independiente. Los roles y
características de servidor se instalan con Administrador del servidor o con
otros métodos. En comparación con la opción Server Core, requiere más
espacio en disco y tiene requisitos de mantenimiento de mantenimiento más
estrictos, por lo que se recomienda que elija la instalación Server Core a menos
que se necesite particularmente los elementos de la interfaz de usuario y las
herramientas de administración de gráficos que se incluyen en la opción
Servidor con Experiencia de escritorio. Para instalar una opción aún más ligera,
se instalaría Nano Server.
 Nano Server
Nano server es un sistema operativo de servidor administrado de forma remota
y optimizado para centros de datos y nubes privadas. Es similar a Windows
Server en modo Server Core, pero mucho más pequeño; no tiene ninguna
capacidad de inicio de sesión local y solo es compatible con agentes,
herramientas y aplicaciones de 64 bits.

Centro Criptológico Nacional 29

 Tema 1: introducción, la gestión de sistemas operativos

Ocupa menos espacio en disco, se configura significativamente más rápido y

requiere muchas menos actualizaciones y reinicios que Windows Server.
Cuando se reinicia, lo hace mucho más rápido. La opción de instalación de
Nano Server está disponible para las ediciones Standard y Datacenter de
Windows Server 2016. Al tratarse de un modo de instalación aún más reducido
que la versión Server Core, se minimiza la superficie de ataque disponible
aumentando con ello la seguridad.
La instalación de la opción de Nano Server se recomienda para una serie de
escenarios:
o Como un host para las máquinas virtuales de Hyper-V.
o Como un host de almacenamiento para el servidor de archivos de
escalabilidad horizontal, como un servidor DNS.
o Como un servidor web que ejecuta Internet Information Services (IIS).
Nano Server también tiene una serie de limitaciones:
o Nano Server no puede actuar como un controlador de dominio de
Directorio Activo y no se admiten directivas de grupo.
o No puede configurarse para utilizar un servidor proxy para el acceso a
Internet.
o No se admiten ni System Center Configuration Manager ni System
Center Data Protection Manager.

Nota: A diferencia de algunas versiones anteriores de Windows Server, no se puede convertir

entre Server Core y Servidor con Experiencia de escritorio tras la instalación, por lo que, si se
instala Servidor con Experiencia de escritorio y más tarde se quisiera usar Server Core, se debe
efectuar una instalación nueva
Por otro lado, existen dos canales de versión principal disponibles para clientes de
Windows Server, el Canal de mantenimiento a largo plazo (LTSC) y el Canal semianual.
a) Canal de mantenimiento a largo plazo (LTSC)
Este es el modelo de distribución anteriormente denominado "Rama de
mantenimiento a largo plazo, LTSB"), donde se publica una nueva versión
principal de Windows Server cada 2 o 3 años. Los usuarios tienen derecho a 5
años de soporte estándar y 5 años de soporte extendido.
Este canal es adecuado para los sistemas que requieren una opción de
mantenimiento prolongado y una estabilidad funcional. Las implementaciones
de Windows Server 2016 y las versiones anteriores de Windows Server no se
verán afectadas por las nuevas versiones del canal semianual. El Canal de
mantenimiento a largo plazo seguirá recibiendo actualizaciones de seguridad y
no relacionadas con la seguridad, pero no recibirá las nuevas funciones y
funcionalidades. El producto LTSC actual es Windows Server 2019.
b) Canal semianual (SAC)
El canal semianual es ideal para los clientes que innovan de forma rápida para
sacar partido de nuevas funciones del sistema operativo a un ritmo más rápido,
tanto en aplicaciones, especialmente las integradas en contenedores y
microservicios, como en el centro de datos híbrido definido por software. Los

Centro Criptológico Nacional 30

 Tema 1: introducción, la gestión de sistemas operativos

productos de Windows Server del canal semianual tendrán novedades

disponibles dos veces al año, en primavera y en otoño. Cada lanzamiento de
este canal tendrá soporte técnico durante 18 meses desde el lanzamiento
inicial.
La mayoría de las funciones presentadas en el Canal semianual se acumularán
en la próxima versión del Canal de mantenimiento a largo plazo de Windows
Server. Las ediciones, la funcionalidad y el contenido de soporte pueden variar
entre las distintas versiones, en función de los comentarios de los clientes.
Nota: Como parte de la alineación con Windows 10 y Office 365 ProPlus, se está adoptando
una terminología común para que sea lo más fácil posible comprender el proceso de
mantenimiento. La referencia con la antigua nomenclatura es la siguiente:
Canal semianual: se refiere a la rama actual (CB) como "canal semianual (dirigido)", mientras
que la rama actual para empresas (CBB) se denomina simplemente "canal semianual".
Canal de mantenimiento a largo plazo: la sucursal de mantenimiento a largo plazo (LTSB) se
denominará canal de mantenimiento a largo plazo (LTSC).

Canal de mantenimiento a largo Canal semianual

plazo (Windows Server 2019) (Windows Server)
Servidores de archivos de uso
Aplicaciones en contenedor,
general, cargas de trabajo de
hosts de contenedor y
Escenarios Microsoft y otras que no lo son,
escenarios de aplicaciones que
recomendados aplicaciones tradicionales, roles de
se benefician de una
infraestructura, centro de datos
innovación más rápida
definido mediante software
Nuevas
Cada 2–3 años Cada 6 meses
versiones
5 años de soporte estándar, más 5
Soporte 18 meses
años de soporte ampliado
Todas las ediciones de Windows Ediciones Standard y
Ediciones
Server disponibles Datacenter
¿Quién puede Todos los clientes a través de todos Solo clientes de Software
usarlas? los canales Assurance y de la nube
Server Core para host de
Opciones de Server Core y Server con experiencia
contenedor e imagen de
instalación de escritorio
contenedor de Nano Server

TABLA0004 – Comparación Canales de Mantenimiento Windows Server 2016

Centro Criptológico Nacional 31