Windows Server 2025 : Sécurité, Hotpatching & VBS

La sécurité de Windows Server 2025 repose sur Windows Server 2022, qui mettait l’accent sur le Zero Trust, la conformité avancée et une forte intégration au cloud hybride. À partir de cette base, plusieurs fonctionnalités ont été ajoutées afin de renforcer la sécurité. Cet article présente les améliorations implémentées dans Windows Server 2025 ainsi que les actions que vous pouvez entreprendre pour les optimiser davantage.

Améliorations de la sécurité

Zero Trust et sécurité des identités

Windows Server 2025 intègre le modèle Zero Trust, appliquant un contrôle d’accès strict combiné à l’authentification multifacteur (MFA). Cela est réalisé en connectant Windows Server 2025 à Microsoft Entra ID. De plus, des politiques d’accès conditionnel accordent l’accès au réseau de l’entreprise sur la base de conditions spécifiques. Sur les systèmes compatibles, Credential Guard est activé par défaut. Cela protège contre les hachages NTLM, les tickets Kerberos et d’autres identifiants grâce à la virtualisation.

Virtualization-Based Security (VBS) & Secured-core

Avec la Virtualization-Based Security (VBS), les charges de travail sensibles sont isolées, ce qui réduit la dépendance aux administrateurs. Les clés cryptographiques sont protégées par VBS Key Protection, qui les isole et exploite la sécurité matérielle. Les serveurs Secured-core, équipés de l’intégrité du code protégée par l’hyperviseur (HVCI), bloquent les pilotes malveillants au niveau matériel et rendent les événements de sécurité accessibles via Defender for Cloud.

Hotpatching et résilience

Grâce au Hotpatching avec Azure Arc, les mises à jour de sécurité mensuelles peuvent être installées sans redémarrage. Seule la baseline trimestrielle nécessite un redémarrage. En outre, Microsoft a annoncé Quick Machine Recovery (QMR) dans le cadre de l’initiative Windows Resiliency, permettant de restaurer les appareils lorsque des pannes critiques les empêchent de démarrer. Cette fonctionnalité n’est toutefois pas encore disponible de manière générale.

Sécurité réseau et des communications

L’authentification et la sécurité du transport ont été renforcées avec LDAP sur TLS 1.3 et des algorithmes Kerberos avancés. Windows Server prend en charge DoH côté client ; le rôle serveur DNS ne propose pas de DoH/DoT natif.

Protection des terminaux

Microsoft Defender for Servers/Endpoint est une plateforme de sécurité qui aide les entreprises à prévenir, détecter, analyser et contrer les menaces. Vous pouvez également acquérir Microsoft Defender for Servers (via Defender for Cloud) en tant que service Azure payant distinct pour vos charges de travail Windows Server. Cette plateforme de protection des applications cloud-native (CNAPP) sécurise les pipelines DevOps et protège les machines virtuelles et les charges de travail.

Active Directory

Active Directory (AD) reste une fonction essentielle pour la gestion des comptes utilisateurs et des ordinateurs dans un réseau Windows. AD est la solution centrale pour gérer les utilisateurs, les appareils et les droits d’accès au sein de votre environnement. Grâce aux contrôleurs de domaine, les utilisateurs et systèmes autorisés bénéficient d’un accès sécurisé et contrôlé aux ressources réseau.

Baselines de sécurité et gestion de configuration

Avec OSConfig, Microsoft propose une solution pour gérer les paramètres de sécurité à grande échelle. OSConfig garantit des configurations cohérentes et les restaure automatiquement en cas de dérive. Il prend également en charge des baselines de sécurité basées sur des scénarios, telles que les directives CIS et DISA STIG. Plus de 300 paramètres prédéfinis sont inclus, permettant aux organisations de mettre en œuvre et de maintenir une posture de sécurité robuste.

Réseau et paramètres Kerberos par défaut en 2025

Windows Server 2025 renforce la signature SMB et introduit le blocage NTLM ; Kerberos abandonne les algorithmes obsolètes.

Ce que vous pouvez faire vous-même

Pour renforcer davantage la sécurité de Windows Server 2025, vous pouvez :

Activer Credential Guard et la VBS
Les informations d’identification sensibles sont isolées grâce à la virtualisation. VBS crée un environnement sécurisé et isolé pour les fonctions de sécurité.

Gérer les mises à jour avec Hotpatching via Azure Arc
Installer des mises à jour sans redémarrer le serveur, aussi bien pour les environnements hybrides que locaux.

Implémenter Defender for Servers
Offre la détection des menaces, l’analyse des vulnérabilités et des recommandations de sécurité pour vos serveurs.

Désactiver les protocoles obsolètes
Ces derniers présentent souvent des vulnérabilités connues. Les alternatives modernes permettent d’éviter l’écoute clandestine, les attaques de type « man-in-the-middle » et le spoofing.

Activer les paramètres AD sécurisés, y compris la rotation des mots de passe des comptes machine
Renforce la sécurité globale d’AD grâce à une rotation régulière des mots de passe des comptes machine.

FAQ

Defender for Cloud est-il inclus avec Windows Server 2025 ?
Non. Defender for Cloud/Servers est un service/licence Azure distinct.

Le Hotpatching ne nécessite-t-il jamais de redémarrage ?
Non pour les hotpatches mensuels ; oui pour la baseline trimestrielle.

Windows Server prend-il en charge DoH ?
Oui côté client DNS ; non pour le rôle serveur DNS.

LDAP/TLS 1.3 est-il disponible ?
Oui, pris en charge (via mises à jour/versions récentes).

Combien de paramètres baseline OSConfig propose-t-il ?
Plus de 300.