Windows Server 2025: Sicurezza, Hotpatching e VBS

La sicurezza di Windows Server 2025 è basata su Windows Server 2022, con l’accento su Zero Trust, conformità avanzata e forte integrazione con l’hybrid cloud. Da questa base sono state aggiunte diverse funzionalità per rafforzare ulteriormente la sicurezza. In questo articolo viene descritto quali miglioramenti sono stati implementati in Windows Server 2025 e cosa potete fare voi stessi per ottimizzarli ulteriormente.

Miglioramenti della sicurezza

Zero Trust e Identity Security

Windows Server 2025 integra il modello Zero Trust, che applica un controllo rigoroso degli accessi in combinazione con l’autenticazione a più fattori (MFA). Questo viene implementato collegando il vostro Windows Server 2025 a Microsoft Entra ID. Inoltre, ci sono Conditional Access Policies che concedono l’accesso alla rete aziendale in base a condizioni specifiche. Quando si dispone di sistemi compatibili, Credential Guard è attivato per impostazione predefinita. Questo offre protezione contro NTLM-hash, ticket Kerberos e altre credenziali tramite virtualizzazione.

Sicurezza basata sulla virtualizzazione (VBS) & Secured-core

Con la Virtualization-Based Security (VBS) i carichi di lavoro sensibili vengono isolati, riducendo la dipendenza dagli amministratori. Le chiavi crittografiche vengono protette con VBS Key Protection, che le isola e utilizza la sicurezza hardware. I server Secured-core, dotati di Hypervisor-protected Code Integrity (HVCI), bloccano driver dannosi a livello hardware e rendono accessibili gli eventi di sicurezza tramite Defender for Cloud.

Hotpatching e Resilience

Attraverso Hotpatching con Azure Arc è possibile installare aggiornamenti di sicurezza mensili senza che sia necessario un riavvio. Solo la baseline trimestrale deve essere riavviata. Inoltre, Microsoft ha annunciato nell’ambito del Windows Resiliency Initiative la funzionalità Quick Machine Recovery (QMR), che consente di ripristinare i dispositivi quando errori critici impediscono l’avvio. Tuttavia, questa non è ancora generalmente disponibile.

Sicurezza di rete e comunicazione

L’autenticazione e la sicurezza del trasporto sono state rafforzate con LDAP su TLS 1.3 e algoritmi Kerberos avanzati. Windows Server supporta DoH come client; il ruolo DNS Server non offre un DoH/DoT nativo.

Endpoint Protection

Microsoft Defender for Servers/Endpoint è una piattaforma di sicurezza che aiuta le aziende a prevenire, rilevare, indagare e rispondere alle minacce. È anche possibile acquistare Microsoft Defender for Servers (tramite Defender for Cloud). Si tratta di un servizio Azure separato a pagamento per i vostri workload Windows Server. Questa piattaforma cloud-native di sicurezza delle applicazioni (CNAPP) protegge le pipeline DevOps e offre protezione per macchine virtuali e workload.

Active Directory

Active Directory (AD) rimane una funzionalità essenziale per la gestione di account utente e computer all’interno di una rete Windows. AD è la soluzione centrale per la gestione di utenti, dispositivi e diritti di accesso all’interno della rete Windows. Tramite i domain controller, gli utenti e i sistemi autorizzati ottengono accesso sicuro e controllato alle risorse di rete.

Baseline di sicurezza e gestione configurazioni

Con OSConfig Microsoft offre una soluzione per gestire le impostazioni di sicurezza su larga scala. OSConfig garantisce configurazioni coerenti e le ripristina automaticamente in caso di deviazioni. Inoltre, OSConfig supporta baseline di sicurezza basate su scenari come linee guida CIS e DISA STIG. Sono incluse oltre 300 impostazioni predefinite che consentono alle organizzazioni di implementare e mantenere una forte postura di sicurezza.

Predefiniti di rete & Kerberos nel 2025

Windows Server 2025 rafforza la firma SMB e offre NTLM-blocking; Kerberos abbandona algoritmi obsoleti.

Cosa potete fare voi stessi?

Per rafforzare ulteriormente la sicurezza di Windows Server 2025, potete adottare le seguenti misure:

Attivare Credential Guard e Virtualization-Based Security

Tramite la virtualizzazione le credenziali di accesso sensibili vengono schermate dal sistema. VBS crea un ambiente sicuro e isolato in cui vengono eseguite le funzionalità di sicurezza.

Gestire gli aggiornamenti con Hotpatching tramite Azure Arc

In questo modo vengono installati aggiornamenti di sicurezza senza che il server debba essere riavviato. Ciò vale sia per i server ibridi che on-premises.

Implementare Defender for Servers

Questo offre un’ampia rilevazione delle minacce, scansioni delle vulnerabilità e raccomandazioni di sicurezza per i vostri server.

Disattivare i protocolli obsoleti

I protocolli obsoleti contengono spesso vulnerabilità note. Utilizzando varianti moderne si evitano intercettazioni, attacchi man-in-the-middle e spoofing.

Attivare impostazioni AD sicure, inclusa la rotazione delle password degli account macchina

In questo modo vengono applicate funzionalità AD come la rotazione regolare delle password delle macchine, aumentando la sicurezza complessiva di AD.

FAQ

Defender for Cloud è incluso in Windows Server 2025?
No. Defender for Cloud/Servers è un servizio/licenza Azure separato.

L’hotpatching non richiede mai riavvii?
Le patch mensili no; la baseline trimestrale sì.

Windows Server supporta DoH?
Il client DNS sì; il ruolo DNS Server no.

LDAP/TLS 1.3 è disponibile?
Sì, supportato (aggiornamenti/build più recenti).

Quante impostazioni baseline ha OSConfig?
Oltre 300.