Windows Server 2025: Sikkerhed, hotpatching og VBS

Sikkerheden i Windows Server 2025 bygger videre på Windows Server 2022, med fokus på Zero Trust, avanceret compliance og stærk hybrid cloud-integration. På dette grundlag er der tilføjet forskellige funktioner for yderligere at styrke sikkerheden. I denne artikel beskrives de forbedringer, der er implementeret i Windows Server 2025, og hvad du selv kan gøre for at optimere dem yderligere.

Sikkerhedsforbedringer

Zero Trust og Identity Security

Windows Server 2025 integrerer Zero Trust-modellen, som håndhæver streng adgangskontrol kombineret med Multi-Factor Authentication (MFA). Dette implementeres ved at forbinde din Windows Server 2025 med Microsoft Entra ID. Derudover findes der Conditional Access Policies, som giver adgang til virksomhedens netværk baseret på specifikke betingelser. Når du har kompatible systemer, er Credential Guard aktiveret som standard. Dette beskytter mod NTLM-hashes, Kerberos-tokens og andre legitimationsoplysninger gennem virtualisering.

Virtualiseringsbaseret sikkerhed (VBS) og Secured-core

Med Virtualization-Based Security (VBS) isoleres følsomme workloads, hvilket reducerer afhængigheden af administratorer. Kryptografiske nøgler beskyttes med VBS Key Protection, der isolerer dem og udnytter hardwarebaseret sikkerhed. Secured-core-servere, udstyret med Hypervisor-protected Code Integrity (HVCI), blokerer ondsindede drivere på hardware-niveau og gør sikkerhedshændelser tilgængelige via Defender for Cloud.

Hotpatching og Resiliens

Via Hotpatching med Azure Arc kan sikkerhedsopdateringer installeres månedligt uden behov for genstart. Det er kun nødvendigt at genstarte baseline hvert kvartal. Derudover har Microsoft annonceret funktionen Quick Machine Recovery (QMR) inden for Windows Resiliency Initiative, som gør det muligt at gendanne enheder, når kritiske fejl forhindrer dem i at starte. Denne er dog endnu ikke alment tilgængelig.

Netværks- og kommunikationssikkerhed

Autentificering og transport-sikkerhed er styrket med LDAP over TLS 1.3 og avancerede Kerberos-algoritmer. Windows Server understøtter DoH som klient; DNS-Server-rollen tilbyder ikke indbygget DoH/DoT.

Endpoint Protection

Microsoft Defender for Servers/Endpoint er en sikkerhedsplatform, der hjælper virksomheder med at forebygge, opdage, undersøge og reagere på trusler. Du kan også købe Microsoft Defender for Servers (via Defender for Cloud). Dette er en separat betalt Azure-tjeneste til dine Windows Server-workloads. Denne cloud-native applikationssikkerhedsplatform (CNAPP) sikrer DevOps-pipelines og beskytter virtuelle maskiner og workloads.

Active Directory

Active Directory (AD) forbliver en essentiel funktion til at administrere brugerkonti og computere i et Windows-netværk. AD er den centrale løsning til at administrere brugere, enheder og adgangsrettigheder i dit Windows-netværk. Via domænecontrollere får autoriserede brugere og systemer sikker og kontrolleret adgang til netværksressourcer.

Sikkerhedsbaselines og konfigurationsstyring

Med OSConfig tilbyder Microsoft en løsning til at administrere sikkerhedsindstillinger i stor skala. OSConfig sikrer konsistente konfigurationer og gendanner dem automatisk ved afvigelser. OSConfig understøtter også scenariebaserede sikkerhedsbaselines såsom CIS- og DISA STIG-retningslinjer. Her er inkluderet mere end 300 foruddefinerede indstillinger, som gør det muligt for organisationer at implementere og opretholde en stærk sikkerhedsposition.

Netværk & Kerberos-standarder i 2025

Windows Server 2025 skærper SMB-signering og tilbyder NTLM-blokering; Kerberos udfaser forældede algoritmer.

Hvad kan du selv gøre?

For yderligere at styrke sikkerheden i Windows Server 2025 kan du selv tage følgende skridt:

Aktivér Credential Guard og Virtualization-Based Security
Ved hjælp af virtualisering isoleres følsomme legitimationsoplysninger fra systemet. VBS skaber et sikkert og isoleret miljø, hvor sikkerhedsfunktioner kører.

Administrér opdateringer med Hotpatching via Azure Arc
Dermed kan sikkerhedsopdateringer installeres uden at serveren skal genstartes. Dette gælder både for hybride og on-premises servere.

Implementér Defender for Servers
Dette giver omfattende trusselsdetektion, sårbarhedsscanninger og sikkerhedsanbefalinger til dine servere.

Deaktiver gamle protokoller
Forældede protokoller indeholder ofte kendte sårbarheder. Ved at bruge moderne varianter undgår du aflytning, man-in-the-middle-angreb og spoofing.

Aktivér sikre AD-indstillinger, herunder rotation af maskinkonto-adgangskoder
Derved anvendes AD-funktioner, såsom regelmæssig rotation af maskinadgangskoder, hvilket øger den samlede AD-sikkerhed.

FAQ

Er Defender for Cloud inkluderet i Windows Server 2025?
Nej. Defender for Cloud/Servers er en separat Azure-tjeneste/licens.

Kræver hotpatching aldrig genstart?
De månedlige hotpatches gør ikke; baseline hvert kvartal gør.

Understøtter Windows Server DoH?
Ja, DNS-klienten gør; DNS-Server-rollen gør ikke.

Er LDAP/TLS 1.3 tilgængelig?
Ja, understøttet (opdateringer/nyere builds).

Hvor mange baseline-indstillinger har OSConfig?
Mere end 300.