A segurança do Windows Server 2025 é baseada no Windows Server 2022, com ênfase em Zero Trust, conformidade avançada e forte integração com a cloud híbrida. A partir desta base foram adicionadas diversas funcionalidades para reforçar ainda mais a segurança. Neste artigo é descrito quais as melhorias implementadas no Windows Server 2025 e o que pode fazer para as otimizar ainda mais.
Melhorias de segurança
Zero Trust e Identity Security
O Windows Server 2025 integra o modelo Zero Trust, que impõe um controlo rigoroso de acesso em combinação com a autenticação multifator (MFA). Isto é implementado ao ligar o seu Windows Server 2025 ao Microsoft Entra ID. Além disso, existem Conditional Access Policies que concedem acesso à rede empresarial com base em condições específicas. Quando dispõe de sistemas compatíveis, o Credential Guard está ativado por predefinição. Isto oferece proteção contra hashes NTLM, tickets Kerberos e outras credenciais através de virtualização.
Segurança baseada em virtualização (VBS) & Secured-core
Com a Virtualization-Based Security (VBS) as workloads sensíveis são isoladas, reduzindo a dependência dos administradores. As chaves criptográficas são protegidas com o VBS Key Protection, que as isola e utiliza segurança baseada em hardware. Os servidores Secured-core, equipados com Hypervisor-protected Code Integrity (HVCI), bloqueiam controladores maliciosos a nível de hardware e tornam os eventos de segurança acessíveis através do Defender for Cloud.
Hotpatching e Resilience
Através do Hotpatching com Azure Arc podem ser instaladas atualizações de segurança mensalmente sem que seja necessário reiniciar. Apenas a baseline trimestral precisa de ser reiniciada. Além disso, a Microsoft anunciou, no âmbito da Windows Resiliency Initiative, a funcionalidade Quick Machine Recovery (QMR), que permite restaurar dispositivos quando erros críticos impedem o arranque. Contudo, esta ainda não está geralmente disponível.
Segurança de rede e comunicação
A autenticação e a segurança do transporte foram reforçadas com LDAP sobre TLS 1.3 e algoritmos Kerberos avançados. O Windows Server suporta DoH como cliente; o papel de servidor DNS não oferece DoH/DoT nativo.
Endpoint Protection
O Microsoft Defender for Servers/Endpoint é uma plataforma de segurança que ajuda as empresas a prevenir, detetar, investigar e responder a ameaças. Também pode adquirir o Microsoft Defender for Servers (através do Defender for Cloud). Este é um serviço Azure separado e pago para workloads do Windows Server. Esta plataforma de segurança de aplicações cloud-native (CNAPP) protege pipelines DevOps e oferece proteção para máquinas virtuais e workloads.
Active Directory
O Active Directory (AD) continua a ser uma funcionalidade essencial para a gestão de contas de utilizador e computadores dentro de uma rede Windows. O AD é a solução central para a gestão de utilizadores, dispositivos e direitos de acesso dentro da sua rede Windows. Através dos controladores de domínio, os utilizadores e sistemas autorizados obtêm acesso seguro e controlado aos recursos da rede.
Baselines de segurança e gestão de configuração
Com o OSConfig a Microsoft oferece uma solução para gerir definições de segurança em larga escala. O OSConfig assegura configurações consistentes e restaura-as automaticamente em caso de desvios. O OSConfig também suporta baselines de segurança baseados em cenários como as diretrizes CIS e DISA STIG. Estão incluídas mais de 300 definições pré-configuradas que permitem às organizações implementar e manter uma forte posição de segurança.
Padrões de rede & Kerberos em 2025
O Windows Server 2025 reforça a assinatura SMB e oferece NTLM-blocking; o Kerberos abandona algoritmos obsoletos.
O que pode fazer você mesmo?
Para reforçar ainda mais a segurança do Windows Server 2025, pode adotar as seguintes medidas:
Ativar o Credential Guard e a Virtualization-Based Security
Através da virtualização, as credenciais de acesso sensíveis são protegidas do sistema. O VBS cria um ambiente seguro e isolado no qual as funcionalidades de segurança são executadas.
Gerir atualizações com Hotpatching através do Azure Arc
Desta forma são instaladas atualizações de segurança sem que o servidor precise de ser reiniciado. Isto aplica-se tanto a servidores híbridos como on-premises.
Implementar o Defender for Servers
Isto oferece deteção de ameaças abrangente, análises de vulnerabilidade e recomendações de segurança para os seus servidores.
Desativar protocolos obsoletos
Os protocolos obsoletos contêm frequentemente vulnerabilidades conhecidas. Ao utilizar variantes modernas, evita escutas, ataques man-in-the-middle e spoofing.
Ativar definições seguras do AD, incluindo a rotação da palavra-passe da conta da máquina
Desta forma são aplicadas funcionalidades do AD, como a rotação regular das palavras-passe das máquinas, aumentando a segurança geral do AD.
Contacte-nos para questões sobre software pre-owned da Softtrader Banner
FAQ
O Defender for Cloud está incluído no Windows Server 2025?
Não. O Defender for Cloud/Servers é um serviço/licença Azure separado.
O hotpatching nunca requer reinícios?
As hotpatches mensais não; a baseline trimestral sim.
O Windows Server suporta DoH?
O cliente DNS sim; o papel de servidor DNS não.
O LDAP/TLS 1.3 está disponível?
Sim, suportado (atualizações/compilações mais recentes).
Quantas definições de baseline tem o OSConfig?
Mais de 300.
