Despliegue de máquina virtual con Windows Server 2025 sobre entorno de virtualización Proxmox VE 9. Instalamos los drivers necesarios para detectar el disco duro y el adaptador de red de Windows Server 2025. Realizamos una configuración básica de red, establecemos opciones de seguridad y habilitamos escritorio remoto para administración en Windows Server 2025.
- Descargar ISO Windows Server 2025, ISO de VirtIO y crear máquina virtual en Proxmox.
- Instalar Windows Server 2025 Standard con experiencia de escritorio.
- Configuración básica de equipo Windows Server 2025 sobre Proxmox.
- Configuración de seguridad de Windows Server 2025.
- Habilitar escritorio remoto para administración en Windows Server 2025.
Descargar ISO Windows Server 2025, ISO de VirtIO y crear máquina virtual en Proxmox
En primer lugar, descargaremos el ISO de Windows Server 2025, disponible en la web oficial de Microsoft:
Descargaremos también el ISO de VirtIO, necesario para que la máquina virtual con Windows Server 2025 reconozca el disco duro virtual que Proxmox le presenta. Los VirtIO oficiales para Windows se encuentran en la URL:
Descargaremos el fichero ISO de la versión más reciente:
Subiremos ambos ficheros ISO (el de Windows y el de VirtIO) a almacenamiento local del nodo de Proxmox. Para ello, seleccionaremos el nodo Proxmox, seleccionaremos «local», elegiremos «ISO Images» y pulsaremos en Upload:
Una vez subidos los ISO a Proxmox, podremos crear la máquina virtual. Para ello, eligiendo el nodo, pulsaremos con el botón derecho sobre él y seleccionaremos «Create VM»:
Introduciremos un nombre para la máquina virtual, por ejemplo «w2025»:
En OS, elegiremos en Storage «local» y en «ISO image», elegiremos el fichero ISO subido de instalación de Windows:
En Type elegiremos «Microsoft Windows», en Version elegiremos «11/2022/2025» y, muy importante, marcaremos «Add addicional driver for VirtIO drivers», elegiremos en Storage «local» y en ISO image elegiremos el ISO de VirtIO subido, normalmente «virtio-win-0.1.285.iso»:
En System introduciremos los siguientes datos:
- Graphic card: Default.
- Machine: q35.
- Firmware – BIOS: OVMF (UEFI).
- Add EFI Disk: marcado.
- EFI Storage: el almacenamiento donde queramos guardar la BIOS, normalmente el mismo que la máquina virtual.
- Pre-Enroll Keys: marcado.
- SCSI Controller: VirtIO SCSI single.
- Qemu Agent: marcado.
- Add TPM: marcado.
- TPM Storage: normalmente el mismo que la máquina virtual.
- Version: v2.0.
En Disks, indicaremos:
- Bus/Device: SCSI.
- SCSI Controller: VirtIO SCSI single.
- Storage: elegiremos el almacenamiento donde se guardará la máquina virtual.
- Disk size (GiB): indicaremos el tamaño del disco de la máquina virtual.
- Cache: Default (No cache).
- Discard: no marcado.
- IO thread: marcado.
En CPU, indicaremos el número de Sockets, Cores y el tipo de CPU (en este caso «x86-64-v2):
Indicaremos la memoria RAM, para Windows Server 2025, el mínimo es de 2GB, aunque como mínimo se recomiendan 4GB:
Por último, en Network, estableceremos el adaptador de red:
Como tenemos todo preparado (ISO de Windows, ISO de VirtIO), podremos crear la máquina e iniciarla. Para ello, en Confirm, marcaremos «Start after created» y pulsaremos en «Finish»:
Una vez creada la máquina virtual, la seleccionaremos y pulsaremos en «Console»:
Se mostrará el mensaje habitual del CD de Windows para instalar «Press any key to boot from CD or DVD…», pulsaremos en la ventana de consola que ha abierto Proxmox, para colocar el cursor en la máquina y pulsaremos cualquier tecla para arrancar desde el CD. Si no nos ha dado tiempo a pulsar la tecla, esperamos al siguiente reinicio y la pulsamos.
A partir de aquí realizaremos la instalación normal de Windows Server 2025, como indicamos en el siguiente apartado.
Instalar Windows Server 2025 Standard con experiencia de escritorio
Seguiremos los pasos del asisntente para instalar Windows Server 2025. En primer lugar, elegiremos el idioma y el formato de hora y moneda:
Elegiremos el idioma del teclado:
Marcaremos «instalar Windows Server» y marcaremos «Acepto que se elimine todo, incluidos los archivos, las aplicaciones y la configuración»:
Seleccionaremos «Windows Server Standard Evaluation (experiencia de escritorio):
Leeremos los términos de licencia y pulsaremos en «Aceptar»:
Dado que estamos desplegando una máquina virtual Windows Server en entorno Proxmox, deberemos cargar el driver para el disco duro. Pulsaremos en «Cargar controlador»:
Pulsaremos en «Examinar»:
Navegaremos a la unidad de CD/DVD de VirtIO y a la carpeta «amd64», pulsaremos en la carpeta «2k25» y en «Aceptar»:
Seleccionaremos los drivers que se mostrarán «Red Hat VirtIO SCSI pass-through controller» y pulsaremos en «Instalar»:
Si la carga del driver es correcta, nos mostrará el disco duro virtual donde instalaremos Windows Server 2025. Seleccionaremos el disco duro y pulsaremos en «Siguiente»:
Pulsaremos en «Instalar»:
Se iniciará la instalación de Windows Server 2025 sobre Proxmox:
Nos solicitará contraseña para el usuario administrador:
Y el equipo arrancará en Windows Server 2025
Configuración básica de equipo Windows Server 2025 sobre Proxmox
Iniciaremos sesión con el usuario administrador:
Elegiremos los datos de diagnóstico a enviar a Microsoft «Solo obligatorios»:
Se iniciará Windows Server 2025 por primera vez. Podremos comprobar que la red no está disponible.
Para habilitar el adaptador de red y otros drivers, abriremos el Explorador de Windows y navegaremos por el CD/DVD de las VirtIO, que aún lo tendremos cargado en la máquina virtual. En la raíz del CD/DVD, haremos doble clic en el instalador virtio-win-gt-x64.msi:
Seguiremos los pasos del instalador de Virtio-win, que instalará todos los drivers:
Una vez instalado Virtio-win, veremos que el adaptador de red se habilita automáticamente (sin necesidad de reiniciar el equipo):
Es recomendable instalar también VirtIO Win Guest Tools (equivalentes a las VMware Tools en virtualización VMware):
Configuraremos la red desde la Configuración de Windows, pulsando en «Red e Internet» y en «Configuración de red avanzada»:
En «Más opciones de adaptador», pulsaremos en «Editar»:
Es recomendable, por seguridad, desmarcar todas las optiones que no vayamos a usar y dejar marcados, únicamente, «Cliente para redes Microsoft» y «Protocolo de Internet versión 4 (TCP/IPv4)». Únicamente marcaremos «Uso compartido de archivos e impresoras para redes Microsoft» si realmente necesitamos usar este servicio. Pulsaremos en «Propiedades»:
En servidores, lo habitual es no usar DHCP, marcaremos «Usar la siguiente dirección IP» y estableceremos la configuración de red para el servidor. También por seguridad, es recomendable desactivar WINS, por lo que pulsaremos en «Opciones avanzadas…»:
Y en la pestaña «WINS» desmarcaremos «Habilitar la búsqueda de LMHOSTS» y marcaremos «Deshabilitar NetBios a través de TCP/IP»:
Estableceremos un nombre (hostname) para el equipo, desde Configuración – Sistema, pulsaremos en «Configuración avanzada del sistema»:
En la pestaña «Nombre de equipo» pulsaremos en «Cambiar…»:
Introduciremos un nombre para el equipo y un grupo de trabajo. Si disponemos de dominio, desde aquí podríamos agregarlo al dominio:
Configuración de seguridad de Windows Server 2025
Es muy recomendable habilitar todas las opciones de seguridad que Windows Server 2025 incorpora. Por supuesto, lo ideal es instalar un EDR/XDR de pago para dotar de mayor protección al sistema. Pero, mientras tanto, desde la Configuración de Windows, en la sección «Privacidad y seguridad», pulsaremos en «Seguridad de Windows»:
Nos aseguraremos de que todas las áreas de protección estén activas:
- Protección contra virus y amenazas.
- Firewall y protección de red.
- Control de aplicaciones y exploradores.
- Seguridad del dispositivo.
Además, accederemos a cada una de ellas y nos aseguraremos de que todos sus módulos estén activos:
Por ejemplo, en el área de «Protección contra virus y amenazas», la protección contra ransomware está activa, pero no está configurada. Si pulsamos en «Ransomware protection» – «Manage ransomware protection», comprobaremos que están en Off porque no se han especificado carpetas del equipo a proteger. Pulsaremos en el activador «Off» para pasarlo a «On», nos mostrará opción de elegir las carpetas a proteger «Protected folders»:
Por defecto nos sugiere algunas carpetas, como Mis documentos, Imágenes, Vídeos, etc. Si queremos añadir alguna más, pulsaremos en «Add a protected folder»:
De la misma forma, en el resto de módulos de seguridad, revisaremos que todas las opciones estén habilitadas:
En Device security (Seguridad del dispositivo), también activaremos todas las opciones:
- Core isolation (Aislamiento del núcleo). Activaremos aquí «Memory integrity» (Integridad de memoria), que suele venir desactivada y que requiere de reinicio.
- Security processor (Seguridad del procesador).
- Security boot (Seguridad en el arranque).
Y en el caso del cortafuegos, muy importante, deshabilitaremos reglas que vienen habilitadas por defecto y que no se suelen necesitar (en Configuración avanzada del firewall de Windows). Sobre todo las reglas de entrada:
- Todas las de «Servidor de streamings de Transmitir en dispositivo…».
- Todas las de IPv6 si no se va a usar este protocolo.
- Administración remota de Windows (HTTP…), Agregar una cuenta profesional o educativa, Centro de opiniones.
- Si no vamos a usar acceso por Escritorio remoto, deshabilitaremos todas la reglas de «Escritorio remoto – ….». Incluso aunque vayamos a habilitarlo, es recomendable deshabilitar las reglas por defecto de Escriotorio remoto y crear la propia nuestra (como indicamos a continuación).
- Y cualquier otra regla de servicio que no se use.
En el caso del Escritorio Remoto (RDP), si lo activamos en el servidor, crearemos una regla exclusiva para apertura del RDP con ámbito, limitando el acceso RDP únicamente a la IP o IPs que realmente necesiten acceder. Evitaremos abrir este puerto RDP a toda la red, pues puede ser inseguro. En el cortafuegos de Window, en seguridad avanzada, añadiremos una nueva regla, con el puerto que hayamos indicado en el servicio de Escritorio remoto (por defecto el 3389):
Y en la pestaña «Ámbito», en «Dirección IP remota» introduciremos las direcciones IP de los equipos que tendrán acceso por escritorio remoto al servidor:
Por supuesto, otra medida de seguridad, es mantener el equipo siempre actualizado:
Siguiendo con las buenas prácticas de seguridad en Windows Server, es muy recomendable deshabilitar el usuario administrador local que se crea por defecto en la instalación de Windows. Para ello, desde Ejecutar (Windows + R), introduciremos:
lusrmgr.msc
Y crear un usuario administrador local propio:
Habilitar escritorio remoto para administración en Windows Server 2025
Windows Server 2025 permite el acceso remoto de dos usuarios concurretes sin licencia de RDP, pues lo considera acceso para administración. Para habilitar este acceso remoto, desde «Configuración» – «Sistema» – «Escritorio remoto», pulsaremos en el activador «Desactivado»:
Mostrará una ventana de confirmación, indicando que el usuario actual y los que se indiquen en el grupo correspondiente, podrán acceder remotamente al equipo. Pulsaremos en «Confirmar»:
Nos mostrará el puerto por defecto que se usará para las conexiones de Escritorio remoto (el 3389) y la opción de consultar los usuarios que tendrán acceso a Escritorio Remoto:
En cuanto a los usuarios de acceso, lo ideal sería crear un grupo de seguridad y establecer el permiso de acceso por RDP a ese grupo. Pero Windows Server, en modo de acceso remoto para administración, no permite definir el acceso de escritorio remoto para un grupo de seguridad, únicamente permite el acceso a los usuarios que pertenezcan al grupo de Administradores.
Como hemos indicado en el punto anterior, si habilitamos el acceso remoto, por seguridad, es muy recomendable limitar el acceso (desde el cortafuegos de Windows) únicamente a las IP que se necesiten, para no dejar abierto este puerto a toda la red.
Desde un equipo de la red habilitado, con mstsc.exe, podremos acceder remotamente al equipo Windows Server 2025:
Nos solicitará las credenciales de acceso (usuario y contraseña del equipo Windows Server):
Nos nos abrirá una ventana de Escritorio remoto al servidor:
