Windows Server 2025: Zabezpečení, hotpatching a VBS
Zabezpečení Windows Server 2025 je postaveno na Windows Server 2022, přičemž důraz byl kladen na Zero Trust, pokročilou shodu a silnou integraci s hybridním cloudem. Na tomto základě byly přidány různé funkce, aby se zabezpečení dále posílilo. V tomto článku je popsáno, jaká vylepšení byla implementována ve Windows Server 2025 a co můžete sami udělat pro jejich další optimalizaci.
Vylepšení zabezpečení
Zero Trust a Identity Security
Windows Server 2025 integruje model Zero Trust, který vynucuje přísnou kontrolu přístupu v kombinaci s vícefaktorovou autentizací (MFA). To je implementováno připojením vašeho Windows Server 2025 k Microsoft Entra ID. Kromě toho jsou zde Conditional Access Policies, které poskytují přístup k podnikové síti na základě specifických podmínek. Pokud máte kompatibilní systémy, je Credential Guard standardně aktivován. Ten chrání proti NTLM hashům, Kerberos ticketům a dalším přihlašovacím údajům pomocí virtualizace.
Virtualizace zabezpečení (VBS) & Secured-core
Díky Virtualization-Based Security (VBS) jsou citlivé pracovní zátěže izolovány, což snižuje závislost na administrátorech. Kryptografické klíče jsou chráněny pomocí VBS Key Protection, které je izoluje a využívá hardwarové zabezpečení. Servery Secured-core, vybavené Hypervisor-protected Code Integrity (HVCI), blokují škodlivé ovladače na hardwarové úrovni a zpřístupňují bezpečnostní události prostřednictvím Defender for Cloud.
Hotpatching a Resilience
Pomocí Hotpatching s Azure Arc mohou být bezpečnostní aktualizace instalovány každý měsíc bez nutnosti restartu. Pouze baseline musí být restartována každé čtvrtletí. Společnost Microsoft navíc v rámci Windows Resiliency Initiative oznámila funkci Quick Machine Recovery (QMR), která umožňuje obnovu zařízení v případě, že kritické chyby zabrání jejich spuštění. Tato funkce však zatím není obecně dostupná.
Síťové a komunikační zabezpečení
Autentizace a bezpečnost přenosu byly posíleny pomocí LDAP přes TLS 1.3 a pokročilých algoritmů Kerberos. Windows Server podporuje DoH jako klient; role DNS-Server však neposkytuje nativní podporu DoH/DoT.
Ochrana koncových bodů
Microsoft Defender for Servers/Endpoint je bezpečnostní platforma, která pomáhá podnikům předcházet hrozbám, detekovat je, vyšetřovat a reagovat na ně. Můžete si také zakoupit Microsoft Defender for Servers (prostřednictvím Defender for Cloud). Jedná se o samostatnou placenou službu Azure pro vaše Windows Server workloady. Toto cloud-native aplikační bezpečnostní řešení (CNAPP) chrání DevOps-pipelines a poskytuje ochranu pro virtuální stroje a workloady.
Active Directory
Active Directory (AD) zůstává základní funkcí pro správu uživatelských účtů a počítačů v rámci sítě Windows. AD je centrální řešení pro správu uživatelů, zařízení a přístupových práv v síti Windows. Prostřednictvím řadičů domény získávají oprávnění uživatelé a systémy bezpečný a kontrolovaný přístup k síťovým zdrojům.
Bezpečnostní baseline a správa konfigurace
S OSConfig nabízí Microsoft řešení pro správu bezpečnostních nastavení ve velkém měřítku. OSConfig zajišťuje konzistentní konfigurace a automaticky je obnovuje při odchylkách. OSConfig také podporuje scénářově založené bezpečnostní baseline, jako jsou směrnice CIS a DISA STIG. Součástí je více než 300 předdefinovaných nastavení, která umožňují organizacím implementovat a udržovat silnou bezpečnostní pozici.
Síť a Kerberos defaults v 2025
Windows Server 2025 zpřísňuje SMB-signing a nabízí NTLM-blocking; Kerberos opouští zastaralé algoritmy.
Co můžete udělat sami?
Abyste mohli co nejlépe využít nová bezpečnostní opatření ve Windows Server 2025, doporučuje se, abyste sami podnikli následující kroky:
Aktivujte Credential Guard a Virtualization-Based Security (VBS): Zajistěte ochranu přihlašovacích údajů a citlivých procesů pomocí virtualizace.
Spravujte aktualizace pomocí Hotpatching přes Azure Arc: Minimalizujte prostoje instalací bezpečnostních aktualizací bez nutnosti restartu.
Implementujte Microsoft Defender for Servers: Posilte ochranu serverových pracovních zátěží před hrozbami.
Vypněte staré protokoly: Zabraňte zneužití zastaralých autentizačních a síťových protokolů.
Aktivujte zabezpečená nastavení Active Directory, včetně rotace hesel strojových účtů: Zvyšte bezpečnost správy identity a přístupu ve vaší síti.
FAQ
Je Defender for Cloud součástí Windows Server 2025?
Ne. Defender for Cloud/Servers je samostatná služba/licence Azure.
Vyžaduje hotpatching nikdy restart?
Měsíční hotpatchy ne; čtvrtletní baseline ano.
Podporuje Windows Server DoH?
Ano, klient DNS ano; role DNS-Server nikoli.
Je LDAP/TLS 1.3 dostupný?
Ano, podporováno (aktualizace/novější buildy).
Kolik baseline nastavení má OSConfig?
Více než 300.
