Windows Server 2025: Bezpieczeństwo, aktualizacje na gorąco i VBS

Zabezpieczenia Windows Server 2025 opierają się na Windows Server 2022, z naciskiem na Zero Trust, zaawansowaną zgodność oraz silną integrację z chmurą hybrydową. Na tej podstawie dodano różne funkcjonalności, aby jeszcze bardziej wzmocnić bezpieczeństwo. W tym artykule opisano, jakie ulepszenia zostały zaimplementowane w Windows Server 2025 i co mogą Państwo zrobić, aby je jeszcze bardziej zoptymalizować.

Ulepszenia zabezpieczeń

Zero Trust i Identity Security

Windows Server 2025 integruje model Zero Trust, który wymusza ścisłą kontrolę dostępu w połączeniu z uwierzytelnianiem wieloskładnikowym (MFA). Jest to realizowane poprzez powiązanie Windows Server 2025 z Microsoft Entra ID. Dodatkowo istnieją Conditional Access Policies, które przyznają dostęp do sieci firmowej na podstawie określonych warunków. Gdy dysponują Państwo kompatybilnymi systemami, Credential Guard jest domyślnie włączony. Chroni on przed hashami NTLM, biletami Kerberos i innymi poświadczeniami dzięki wirtualizacji.

Zabezpieczenia oparte na wirtualizacji (VBS) & Secured-core

Dzięki Virtualization-Based Security (VBS) wrażliwe obciążenia są izolowane, co zmniejsza zależność od administratorów. Klucze kryptograficzne są chronione za pomocą VBS Key Protection, które je izoluje i wykorzystuje zabezpieczenia sprzętowe. Serwery Secured-core, wyposażone w Hypervisor-protected Code Integrity (HVCI), blokują złośliwe sterowniki na poziomie sprzętu i udostępniają zdarzenia bezpieczeństwa poprzez Defender for Cloud.

Hotpatching i Resilience

Dzięki Hotpatching z Azure Arc można instalować comiesięczne aktualizacje zabezpieczeń bez konieczności ponownego uruchamiania systemu. Jedynie baseline kwartalny wymaga restartu. Ponadto Microsoft ogłosił w ramach Windows Resiliency Initiative funkcję Quick Machine Recovery (QMR), która umożliwia przywrócenie urządzeń, gdy krytyczne błędy uniemożliwiają ich uruchomienie. Nie jest ona jednak jeszcze ogólnie dostępna.

Zabezpieczenia sieciowe i komunikacyjne

Uwierzytelnianie i bezpieczeństwo transportu zostały wzmocnione dzięki LDAP przez TLS 1.3 oraz zaawansowanym algorytmom Kerberos. Windows Server obsługuje DoH jako klient; rola serwera DNS nie oferuje natywnego DoH/DoT.

Endpoint Protection

Microsoft Defender for Servers/Endpoint to platforma zabezpieczeń, która pomaga firmom zapobiegać zagrożeniom, wykrywać je, analizować i reagować na nie. Mogą Państwo również zakupić Microsoft Defender for Servers (poprzez Defender for Cloud). Jest to osobna, płatna usługa Azure dla obciążeń Windows Server. Ta natywna dla chmury platforma zabezpieczeń aplikacji (CNAPP) chroni pipeline’y DevOps oraz zapewnia ochronę maszyn wirtualnych i obciążeń.

Active Directory

Active Directory (AD) pozostaje kluczową funkcją do zarządzania kontami użytkowników i komputerami w sieci Windows. AD jest centralnym rozwiązaniem do zarządzania użytkownikami, urządzeniami i uprawnieniami dostępu w Państwa sieci Windows. Dzięki kontrolerom domeny uprawnieni użytkownicy i systemy uzyskują bezpieczny i kontrolowany dostęp do zasobów sieciowych.

Baselines zabezpieczeń i zarządzanie konfiguracją

Dzięki OSConfig Microsoft oferuje rozwiązanie do zarządzania ustawieniami zabezpieczeń na dużą skalę. OSConfig zapewnia spójne konfiguracje i automatycznie je przywraca w przypadku odchyleń. Obsługuje także baselines zabezpieczeń oparte na scenariuszach, takich jak wytyczne CIS i DISA STIG. Zawiera ponad 300 predefiniowanych ustawień, które umożliwiają organizacjom wdrożenie i utrzymanie silnej pozycji w zakresie bezpieczeństwa.

Domyślne ustawienia sieci i Kerberos w 2025

Windows Server 2025 zaostrza podpisywanie SMB i oferuje blokowanie NTLM; Kerberos porzuca przestarzałe algorytmy.

Co mogą Państwo zrobić sami?

Aby jeszcze bardziej wzmocnić bezpieczeństwo Windows Server 2025, mogą Państwo podjąć następujące działania:

Aktywować Credential Guard i Virtualization-Based Security

Dzięki wirtualizacji wrażliwe dane logowania są odseparowane od systemu. VBS tworzy bezpieczne i izolowane środowisko, w którym działają funkcje zabezpieczeń.

Zarządzać aktualizacjami za pomocą Hotpatching poprzez Azure Arc

Dzięki temu aktualizacje zabezpieczeń są instalowane bez konieczności ponownego uruchamiania serwera. Dotyczy to zarówno serwerów hybrydowych, jak i lokalnych.

Wdrożyć Defender for Servers

Oferuje to kompleksowe wykrywanie zagrożeń, skanowanie podatności i zalecenia dotyczące zabezpieczeń dla serwerów.

Wyłączyć stare protokoły

Przestarzałe protokoły często zawierają znane luki. Korzystając z nowoczesnych wariantów, można zapobiec podsłuchiwaniu, atakom man-in-the-middle i spoofingowi.

Aktywować zabezpieczone ustawienia AD, w tym rotację hasła konta maszyny

Dzięki temu stosowane są funkcjonalności AD, takie jak regularna rotacja haseł maszyn, co zwiększa ogólne bezpieczeństwo AD.

FAQ

Czy Defender for Cloud jest zawarty w Windows Server 2025?
Nie. Defender for Cloud/Servers to osobna usługa/licencja Azure.

Czy hotpatching nigdy nie wymaga restartów?
Miesięczne hotpatches nie; kwartalny baseline tak.

Czy Windows Server obsługuje DoH?
Klient DNS tak; rola serwera DNS nie.

Czy LDAP/TLS 1.3 jest dostępny?
Tak, obsługiwany (aktualizacje/nowsze kompilacje).

Ile ustawień baseline ma OSConfig?
Ponad 300.