Säkerheten i Windows Server 2025 bygger vidare på Windows Server 2022, där fokus låg på Zero Trust, avancerad efterlevnad och stark hybridmolnintegration. Utifrån denna grund har olika funktioner lagts till för att ytterligare förstärka säkerheten. I den här artikeln beskrivs vilka förbättringar som har implementerats i Windows Server 2025 och vad du själv kan göra för att optimera dem ytterligare.
Säkerhetsförbättringar
Zero Trust och Identity Security
Windows Server 2025 integrerar Zero Trust-modellen, som upprätthåller strikt åtkomstkontroll i kombination med Multi-Factor Authentication (MFA). Detta implementeras genom att koppla din Windows Server 2025 till Microsoft Entra ID. Dessutom finns Conditional Access Policies som ger åtkomst till företagsnätverket baserat på specifika villkor. När du har kompatibla system är Credential Guard aktiverat som standard. Detta skyddar mot NTLM-hashar, Kerberos-biljetter och andra inloggningsuppgifter med hjälp av virtualisering.
Virtualiseringssäkerhet (VBS) & Secured-core
Med Virtualization-Based Security (VBS) isoleras känsliga arbetslaster, vilket minskar beroendet av administratörer. Kryptografiska nycklar skyddas med VBS Key Protection, som isolerar dem och använder hårdvarusäkerhet. Secured-core-servrar, utrustade med Hypervisor-protected Code Integrity (HVCI), blockerar skadliga drivrutiner på hårdvarunivå och gör säkerhetshändelser tillgängliga via Defender for Cloud.
Hotpatching och Resilience
Med Hotpatching via Azure Arc kan säkerhetsuppdateringar installeras varje månad utan att en omstart behövs. Endast baseline behöver startas om varje kvartal. Microsoft har dessutom inom Windows Resiliency Initiative meddelat funktionen Quick Machine Recovery (QMR), som gör det möjligt att återställa enheter när kritiska fel gör att de inte kan starta. Denna är dock ännu inte allmänt tillgänglig.
Nätverks- och kommunikationssäkerhet
Autentisering och transportskydd har stärkts med LDAP över TLS 1.3 och avancerade Kerberos-algoritmer. Windows Server stöder DoH som klient; DNS-Server-rollen erbjuder dock inte inbyggt stöd för DoH/DoT.
Endpoint Protection
Microsoft Defender for Servers/Endpoint är en säkerhetsplattform som hjälper företag att förebygga hot, upptäcka, undersöka och svara på dem. Du kan också köpa Microsoft Defender for Servers (via Defender for Cloud). Detta är en separat betald Azure-tjänst för dina Windows Server-arbetslaster. Denna moln-native applikationssäkerhetsplattform (CNAPP) skyddar DevOps-pipelines och erbjuder skydd för virtuella maskiner och arbetslaster.
Active Directory
Active Directory (AD) förblir en central funktion för att hantera användarkonton och datorer inom ett Windows-nätverk. AD är den centrala lösningen för att hantera användare, enheter och åtkomsträttigheter inom ditt Windows-nätverk. Genom domänkontrollanter får behöriga användare och system säker och kontrollerad åtkomst till nätverksresurser.
Säkerhetsbaselines och konfigurationshantering
Med OSConfig erbjuder Microsoft en lösning för att hantera säkerhetsinställningar i stor skala. OSConfig säkerställer konsekventa konfigurationer och återställer dem automatiskt vid avvikelser. OSConfig stöder även scenariobaserade säkerhetsbaselines som CIS- och DISA STIG-riktlinjer. Här ingår mer än 300 fördefinierade inställningar som gör det möjligt för organisationer att implementera och upprätthålla en stark säkerhetsposition.
Nätverk & Kerberos standard i 2025
Windows Server 2025 skärper SMB-signing och erbjuder NTLM-blocking; Kerberos överger föråldrade algoritmer.
Vad kan du själv göra?
För att få ut mesta möjliga av de nya säkerhetsfunktionerna i Windows Server 2025 rekommenderas att du själv vidtar följande åtgärder:
Aktivera Credential Guard och Virtualization-Based Security (VBS): Skydda inloggningsuppgifter och känsliga processer med hjälp av virtualisering.
Hantera uppdateringar med Hotpatching via Azure Arc: Minska driftstopp genom att installera säkerhetsuppdateringar utan att behöva starta om.
Implementera Microsoft Defender for Servers: Förstärk skyddet av serverarbetslaster mot hot.
Stäng av gamla protokoll: Förhindra att föråldrade autentiserings- och nätverksprotokoll utnyttjas.
Aktivera säkra inställningar i Active Directory, inklusive rotation av maskinkontots lösenord: Höj säkerheten i identitets- och åtkomsthanteringen i ditt nätverk.
FAQ
Ingår Defender for Cloud i Windows Server 2025?
Nej. Defender for Cloud eller Defender for Servers är en separat Azure-tjänst och licens.
Kräver Hotpatching verkligen aldrig omstart?
De månatliga hotpatcharna kräver ingen omstart. Däremot krävs en omstart varje kvartal i samband med installation av baseline.
Stöder Windows Server DNS-over-HTTPS (DoH)?
Ja, DNS-klienten har stöd för DoH. Däremot erbjuder inte DNS-Server-rollen inbyggt stöd för DoH/DoT.
Är LDAP över TLS 1.3 tillgängligt?
Ja, LDAP kan säkras med TLS 1.3 (via uppdateringar eller nyare builds).
Hur många fördefinierade inställningar innehåller OSConfig?
OSConfig innehåller mer än 300 fördefinierade inställningar som gör det möjligt att implementera och hantera säkerhetsbaselines.
