Luiz Henrique Lima Campos – Microsoft MVP

Novidades de Segurança no Windows Server 2025 e Como Aplicá-las com PowerShell

1 de dezembro de 2024 por luizhenriquelima | 0 comentários

O Windows Server 2025 trouxe diversas melhorias de segurança para proteger infraestruturas de TI contra ameaças cibernéticas. Este artigo apresenta as principais novidades e explica como configurá-las usando PowerShell.

1. Hotpatching – Aplicação de Patches Sem Reinicialização

O Hotpatching permite aplicar atualizações de segurança sem a necessidade de reinicializar o servidor, minimizando o tempo de inatividade.

Como habilitar o Hotpatching com PowerShell

  1. Conectar o servidor ao Azure Arc (requer integração com o Azure).
  2. Habilitar o recurso no servidor: Set-AzConnectedMachineExtension -MachineName "NomeDoServidor" -ResourceGroupName "NomeDoGrupoDeRecursos" -ExtensionName "Hotpatch" -Publisher "Microsoft.Compute" -Type "Hotpatch" -TypeHandlerVersion "1.0" O que este comando faz?
    • Instala o Hotpatching no servidor registrado no Azure Arc.
    • Permite aplicação de patches sem reinicialização.

2. Credential Guard Ativado por Padrão

O Credential Guard protege credenciais contra ataques avançados, como Pass-the-Hash e Pass-the-Ticket, isolando os dados de autenticação.

Como verificar se o Credential Guard está ativo

Get-WindowsFeature -Name "CredentialGuard"

Se não estiver ativado, use:

Enable-WindowsOptionalFeature -Online -FeatureName "CredentialGuard"

Benefícios:

  • Impede ataques de roubo de credenciais.
  • Isola credenciais na Virtual Secure Mode (VSM).

3. SMB sobre QUIC – Transferência Segura de Arquivos

O protocolo SMB sobre QUIC permite conexões seguras pela internet sem necessidade de VPN.

Como habilitar o SMB sobre QUIC no Windows Server 2025

  1. Instalar o recurso SMB sobre QUIC: Install-WindowsFeature -Name "SMB-QUIC"
  2. Configurar um certificado TLS válido para SMB sobre QUIC.

Vantagens:

  • Substitui conexões inseguras com SMB tradicional.
  • Garante comunicação segura pela internet.

4. Aplicação de Linhas de Base de Segurança com OSConfig

O OSConfig permite configurar políticas de segurança recomendadas para proteger servidores.

Como aplicar segurança com OSConfig

  1. Instalar a ferramenta OSConfig.
  2. Executar a linha de base de segurança: osconfig apply-security-baseline

O que essa configuração faz?

  • Implementa diretrizes recomendadas de segurança.
  • Ajusta permissões e políticas para um ambiente mais seguro.

5. Habilitação do DTrace para Monitoramento Avançado

O DTrace agora está integrado ao Windows Server 2025, permitindo monitoramento em tempo real das chamadas do sistema.

Como usar o DTrace

dtrace -n syscall:::entry

O que este comando faz?

  • Captura chamadas de sistema em tempo real.
  • Permite análise detalhada do funcionamento do servidor.

Conclusão

O Windows Server 2025 traz aprimoramentos significativos para fortalecer a segurança dos servidores. Com ferramentas como Hotpatching, Credential Guard, SMB sobre QUIC, OSConfig e DTrace, os administradores podem aumentar a proteção da infraestrutura contra ameaças.

Implementando essas configurações via PowerShell, é possível garantir um ambiente seguro, estável e atualizado.

Deixe uma resposta

Campos requeridos estão marcados *.