Windows Server 2025: Beveiliging, hotpatching & VBS

19 augustus 2025

De beveiliging van Windows Server 2025 is voortgebouwd op Windows Server 2022, waarbij de nadruk lag op Zero Trust, geavanceerde compliance en sterke hybride cloud-integratie. Vanuit deze basis zijn diverse functionaliteiten toegevoegd om de beveiliging verder te versterken. In dit artikel wordt beschreven welke verbeteringen zijn geïmplementeerd in Windows Server 2025 en wat u zelf kunt doen om deze nog verder te optimaliseren.

Beveiligingsverbeteringen

Zero Trust en Identity Security

Windows Server 2025 integreert het Zero Trust-model, dat strikte toegangscontrole afdwingt in combinatie met Multi-Factor Authenticatie (MFA). Dit wordt geïmplementeerd door uw Windows Server 2025 te koppelen aan Microsoft Entra ID. Daarnaast zijn er Conditional Access Policies die toegang tot het bedrijfsnetwerk verlenen op basis van specifieke voorwaarden. Wanneer u beschikt over compatibele systemen, is Credential Guard standaard geactiveerd. Dit biedt bescherming tegen NTLM-hashes, Kerberos-tickets en andere inloggegevens door middel van virtualisatie.


Virtualisatiebeveiliging (VBS) & Secured-core

Met Virtualization-Based Security (VBS) worden gevoelige workloads geïsoleerd, waardoor de afhankelijkheid van beheerders afneemt. Cryptografische sleutels worden beschermd met VBS Key Protection, dat ze isoleert en hardwarematige beveiliging benut. Secured-core servers, uitgerust met Hypervisor-protected Code Integrity (HVCI), blokkeren schadelijke stuurprogramma’s op hardware-niveau en maken beveiligingsgebeurtenissen toegankelijk via Defender for Cloud.

Hotpatching en Resilience

Via Hotpatching met Azure Arc kunnen beveiligingsupdates maandelijks worden geïnstalleerd zonder dat daar een reboot voor nodig is. Hierbij hoeft u alleen de baseline elk kwartaal te herstarten. Daarnaast heeft Microsoft binnen het Windows Resiliency Initiative de functie Quick Machine Recovery (QMR) aangekondigd, waarmee apparaten kunnen worden hersteld zodra kritieke fouten ervoor zorgen dat ze niet meer opstarten. Deze is echter nog niet algemeen beschikbaar.

Netwerk- en communicatiebeveiliging

Authenticatie en transportveiligheid zijn versterkt met LDAP over TLS 1.3 en geavanceerde Kerberos-algoritmen. Windows Server ondersteunt DoH als client; de DNS‑Serverrol biedt geen native DoH/DoT.

Endpoint Protection

Microsoft Defender for Servers/Endpoint is een beveiligingsplatform dat bedrijven helpt om bedreigingen te voorkomen, detecteren, onderzoeken en erop te reageren. U kunt ook Microsoft Defender for Servers (via Defender for Cloud) aanschaffen. Dit is een losse betaalde Azure dienst voor uw Windows Server-workloads. Dit cloud-native applicatiebeveiligingsplatform (CNAPP) beveiligt DevOps-pipelines en biedt bescherming voor virtuele machines en workloads.

Active Directory

Active Directory (AD) blijft een essentiële functie voor het beheren van gebruikersaccounts en computers binnen een Windows-netwerk. AD is de centrale oplossing voor het beheren van gebruikers, apparaten en toegangsrechten binnen uw Windows-netwerk. Via domeincontrollers krijgen bevoegde gebruikers en systemen veilige en gecontroleerde toegang tot netwerkresources.

Beveiligingsbaselines en configuratiebeheer

Met OSConfig biedt Microsoft een oplossing om beveiligingsinstellingen op schaal te beheren. OSConfig zorgt voor consistente configuraties en herstelt deze automatisch bij afwijkingen. Ook ondersteunt OSConfig scenario-gebaseerde beveiligingsbaselines zoals CIS- en DISA STIG-richtlijnen. Hierbij zijn meer dan 300 vooraf gedefinieerde instellingen inbegrepen waarmee organisaties een sterke beveiligingspositie kunnen implementeren en behouden.

Netwerk & Kerberos defaults in 2025

Windows Server 2025 verscherpt SMB‑signing en biedt NTLM‑blocking; Kerberos verlaat verouderde algoritmes.

Wat kunt u zelf doen?

Om de beveiliging van Windows Server 2025 verder te versterken, kunt u zelf de volgende maatregelen nemen:

Credential Guard en Virtualization-Based Security activeren

Via virtualisatie worden gevoelige aanmeldgegevens afgeschermd van het systeem. VBS creëert een beveiligde en geïsoleerde omgeving waarin beveiligingsfuncties draaien.

Updates beheren met Hotpatching via Azure Arc

Hiermee worden beveiligingsupdates geïnstalleerd zonder dat de server opnieuw moet worden opgestart. Dit geldt voor zowel hybride als on-premises servers.

Defender for Servers implementeren

Dit biedt uitgebreide dreigingsdetectie, kwetsbaarheidsscans en beveiligingsaanbevelingen voor uw servers.

Oude protocollen uitschakelen

Verouderde protocollen bevatten vaak bekende kwetsbaarheden. Door moderne varianten te gebruiken, voorkomt u afluisteren, man-in-the-middle-aanvallen en spoofing.

Beveiligde AD-instellingen activeren, inclusief machine-accountwachtwoordrotatie

Hiermee worden AD-functionaliteiten, zoals de regelmatige rotatie van machinewachtwoorden, toegepast waardoor de algehele AD-veiligheid toeneemt.


FAQ

Is Defender for Cloud inbegrepen bij Windows Server 2025? 

Nee. Defender for Cloud/Servers is een aparte Azure‑dienst/licentie. 

Vereist hotpatching nooit reboots? 

Maandelijkse hotpatches niet; de kwartaal‑baseline wel. 

Ondersteunt Windows Server DoH? 

De DNS‑client wel; de DNS‑Serverrol niet. 

Is LDAP/TLS 1.3 beschikbaar? 

Ja, ondersteund (updates/nieuwere builds). 

Hoeveel baseline‑instellingen heeft OSConfig? 

Meer dan 300.