Avanceret sikkerhed og vigtige nye funktioner i Windows Server

Windows Server 2025 ankommer med et meget seriøst spring inden for sikkerhedIdentitetsstyring, ydeevne og hybrid cloud-funktioner. Dette er ikke en simpel trinvis opdatering: Microsoft har adresseret stort set alle lag af systemet, fra kernen til Active Directory, inklusive SMB, Hyper-V, lagring og forudkonfigurerede hærdningspolitikker. Hvis du administrerer lokale eller hybride infrastrukturer, er det værd at forstå, hvad der er ændret, og hvordan man udnytter det.

Parallelt hermed hærder Windows Server 2025 mange klassiske angrebsvektorer fra fabrikken.Legitimationsoplysninger gemt i hukommelsen, usikre protokoller, forældet kryptering og ukontrollerede eksponerede tjenester er alle problemer, der behandles. Den introducerer også nye værktøjer til fjernadministration, automatisering og observerbarhed, der kombineret med bedste praksis giver dig mulighed for at bygge arkitekturer tæt på Zero Trust-modellen uden at drive dig selv til vanvid dagligt.

Desktop-oplevelse og basisservermiljø

Selvom vi taler om et serverorienteret system, ændrer brugeroplevelseslaget sig også.Efter at du har logget ind på Windows Server 2025 for første gang, vil du finde et skrivebord, der er meget i tråd med den visuelle stil i Windows 11, med en moderniseret brugerflade, en redesignet Jobliste med Mica-materiale og en mere poleret samlet oplevelse.

Opgraderinger på stedet gøres også mere fleksibleDu kan hoppe direkte til Windows Server 2025 fra Windows Server 2012 R2 og nyere versioner, hvilket giver mulighed for op til fire versionsskift i én operation. Dette forenkler i høj grad migreringen af ​​ældre miljøer, der ikke var klar til opgradering til 2016, 2019 eller 2022.

Integrerede tilslutningsmuligheder udvidesServeren inkluderer nu trådløs LAN-tjeneste som standard; du skal blot aktivere tjenesten med net start wlansvc at levere Wi-Fi, og tilføjer Bluetooth-understøttelse til mus, tastaturer, hovedtelefoner og andre enheder, hvilket er nyttigt i laboratorier, POC'er eller fysiske miljøer, der ikke er så "datacentre".

Blandt værktøjerne til administratorer skiller ankomsten af ​​Windows Terminal og WinGet sig ud.Disse installeres som standard. Terminalen giver dig mulighed for at arbejde med flere shells (PowerShell, CMD, SSH) i faner, mens WinGet tilbyder en meget praktisk kommandolinjepakkehåndtering til installation, opdatering og vedligeholdelse af værktøjer på servere, herunder procesinspektionsværktøjer som f.eks. Brug af Process Hacker på Windows.

Integrationen med tjenester og konti er også styrketFra Indstillinger > Konti > E-mail og konti kan du tilføje Microsoft Entra ID (tidligere Azure AD), Microsoft-konti og professionelle eller uddannelsesmæssige konti, samtidig med at du bevarer det klassiske domænelink som den primære søjle, men åbner døren for flere hybride scenarier.

Flerlagssikkerhed og indbygget hærdning

Windows Server 2025s hovedfokus er på dybdegående sikkerhed.Microsoft forbedrer standardindstillingerne, udgiver hyppige sikkerhedsopdateringer og tilføjer nye teknologier til at beskytte legitimationsoplysninger, kommunikation og eksponerede tjenester, med særligt fokus på ransomware-angreb og eskalering af rettigheder.

Opdateret sikkerhedsgrundlinje og raffinerede politikker

Den officielle sikkerhedsbaseline for Windows Server 2025 (v2506 og nyere) gennemgås oftere at tilpasse sig nye trusler og feedback fra fællesskabet. Blandt de mest relevante justeringer er ændringer af fjernloginrettigheder og avanceret revision.

Microsoft ændrer SeDenyRemoteInteractiveLogonRight-politikken at bruge SID S-1-5-114 (lokale konti, der også er administratorer) i stedet for den generiske SID S-1-5-113 (alle lokale konti). Dette holder RDP-adgang til lokale konti med høje rettigheder blokeret, men giver plads til lokale konti uden administratorrollen, der kan bruges i support- eller gendannelsesscenarier, når domænet ikke er tilgængeligt.

Gruppen Gæster er også tilføjet til politikken "Afvis login ved hjælp af Fjernskrivebordstjenester".Så selvom gæstekontoen aktiveres ved en fejl, vil den stadig ikke kunne få adgang via RDP. Dette er et ekstra lag af forsvar mod forkerte konfigurationer eller ældre gruppepolitikobjekter.

Nogle historiske direktiver fjernes fra grundlinjen, fordi de er forældede eller irrelevante.For eksempel fjernes politikken "WDigest-godkendelse (deaktivering kræver muligvis KB2871997)", fordi WDigest ikke længere gemmer adgangskoder i almindelig tekst i nuværende versioner, og "Tillad Windows Ink-arbejdsområde" fjernes, da den ikke gælder for servere, hvilket reducerer støj og GPO-behandlingstid.

Parallelt øges synligheden med nye revisionsmulighederRevision af "ændring af godkendelsespolitik (succes)" er aktiveret på domænecontrollere og medlemsservere for at logge kritiske ændringer af brugerrettigheder og sikkerhedspolitikker, og kommandolinjeregistrering er aktiveret for procesoprettelseshændelser, hvilket forbedrer detektionsfunktionerne i SIEM og EDR betydeligt, som forklaret i Sikkerhedsrevision med Auditpol og Wevtutil.

Virtualiseringsbaseret sikkerhed, Credential Guard og beskyttet LSA

Virtualiseringsbaseret sikkerhed (VBS) er ved at blive etableret som en af ​​grundpillerne i moderne hærdning.Den udnytter hardwarevirtualisering til at skabe et isoleret miljø, der beskytter kritiske komponenter fra selve operativsystemet, hvilket drastisk hindrer tyveri af legitimationsoplysninger og angreb på hukommelsesmanipulation.

Credential Guard er nu aktiveret som standard på berettigede enhederDenne funktion flytter NTLM-hemmeligheder, Kerberos TGT-tickets og Credential Manager-legitimationsoplysninger til et separat VBS-miljø, så selv en angriber med lokale administratorrettigheder ikke kan læse dem i hukommelsen ved hjælp af værktøjer som Mimikatz.

For at bekræfte status for denne beskyttelse kan du bruge PowerShell med konsultationer til klassen Win32_DeviceGuard, gennemgår værdierne af SecurityServicesConfigured y SecurityServicesRunningog verificér LSA-isoleringen ved at kontrollere værdien RunAsPPL i registreringsdatabasen. En værdi på 1 angiver, at LSASS kører som en beskyttet proces (PPL).

Baseline-modellen fremhæver også rollen af ​​to politikker, der er tæt forbundet med UEFI-blokadenAktivering af VBS (Device Guard) og konfiguration af LSA som en beskyttet proces er vigtige sikkerhedsforanstaltninger. Når disse beskyttelser kombineres med Secure Boot, TPM 2.0 og firmware, der låser UEFI-variabler, bliver de meget vanskelige at deaktivere, selv for lokale administratorer. Det er dog tilrådeligt at validere hardwarekompatibilitet og planlægge omhyggeligt, da det ikke altid er ligetil at fortryde disse foranstaltninger. For en bedre forståelse af koncepter relateret til VBS og fysisk systemisolering er dokumentationen om [emne mangler i originaltekst] nyttig. kerneisolering.

Forstærket og mere skalerbar Active Directory

Active Directory får en af ​​de største ansigtsløftninger i de seneste år, både med hensyn til ydeevne og kryptografisk sikkerhed samt standardadfærd over for ældre klienter og controllere.

Først introduceres en mulighed for databasesidestørrelse på 32k. For AD DS og AD LDS. Indtil nu har ESE-databasen arbejdet med 8k sider, hvilket har begrænset størrelsen på objekter og multiværdiattributter. Med 32k sider kan multiværdiattributter vokse sig cirka 2,6 gange større, og flere historiske skalerbarhedsbegrænsninger afhjælpes. Migreringen kræver, at alle domænecontrollere i skoven understøtter dette nye format.

Active Directory-skemaet udvides også med nye LDF-filer (sch89.ldf, sch90.ldf, sch91.ldf og deres tilsvarende i AD LDS MS-ADAM-Upgrade3.ldf), tilføjelse af klasser og attributter til de nye sikkerheds- og administrationsfunktioner. Derudover er en objektreparationsfunktion indarbejdet (fixupObjectState) for at gendanne kritiske egenskaber såsom SamAccountType u ObjectCategory i beskadigede genstande.

Adgangskodesikkerheden til teamkontoen styrkesMaskinkonti modtager nu som standard tilfældige adgangskoder, og Domain Controllers 2025 blokerer brugen af ​​den typiske adgangskode, der matcher kontonavnet. Et nyt GPO, "Domain Controller: Reject machine account default password setting", giver dig mulighed for at administrere denne adfærd og værktøjer som ADAC, ADUC eller kommandoer. net computer y dsmod De respekterer denne nye politik.

Flere kryptografiske og protokolmæssige aspekter forstærkes, især i Kerberos og LDAPRC4 er deaktiveret i TGT'er, og den ældre registreringsnøgle bruges ikke længere. SupportedEncryptionTypes Til understøttelse af Group Policy Objects (GPO'er) er PKINIT opdateret for at understøtte mere moderne algoritmer, og TLS 1.3-understøttelse er introduceret i LDAP. Derudover kræves kryptering til operationer med følsomme attributter, og LDAP-signering (forsegling) håndhæves som standard i nye implementeringer.

Driftsforbedringer omfatter NUMA-understøttelse, nye ydeevnetællere og avanceret replikeringskontrol.AD DS kan nu udnytte alle processorgrupper ud over 64 kerner, inkorporerer specifikke tællere til DC Locator, LSA-opslag (navne/SID) og LDAP-klient og tillader øget replikeringsprioritet med bestemte partnere i specifikke scenarier.

Delegerede administrerede servicekonti (dMSA) og forbedrede LAPS

En af de største nye udviklinger inden for serviceidentitetsstyring er delegerede administrerede servicekonti (dMSA).Denne nye kontotype giver dig mulighed for at migrere traditionelle servicekonti til identiteter med fuldt tilfældige, automatisk administrerede nøgler uden drastisk at ændre applikationen. Originale adgangskoder deaktiveres, hvilket reducerer angrebsflader og muliggør mere detaljeret administrativ delegering.

Den integrerede Windows LAPS-løsning tager også et betydeligt spring fremad. I Windows Server 2025 genererer og roterer LAPS unikke adgangskoder for hver lokal administrator og gemmer dem sikkert i AD eller Microsoft Entry ID, men tilføjer nu funktioner som ny automatisk lokal kontoadministration og registrering af tilbagerulning af billeder ved hjælp af attributten msLAPS-CurrentPasswordVersion og understøttelse af menneskeligt læsbare adgangskoder SpisLækkerKaramelSlik.

En ny, "mere læsbar" adgangskodekompleksitet introduceres. (værdi 5 i PasswordComplexityDette udelukker let forvekslelige tegn såsom I/O/Q/l/0/1 og visse symboler, hvilket bevarer robustheden og reducerer skrivefejl. ADUC-tilføjelsen inkluderer en forbedret LAPS-fane med mere læsbare skrifttyper til visning af adgangskoder.

Derudover integrerer LAPS nye handlinger efter godkendelse (PAA), såsom indstillingen "Nulstil adgangskoden, log den administrerede konto ud, og afslut eventuelle resterende processer", som ikke kun logger den administrerede konto ud efter nulstillingen, men også viser og afslutter alle processer, der stadig kører under den pågældende identitet, med udvidede loghændelser for at lette revision.

Hærdet SMB: QUIC, kryptering, signering og brute-force-afhjælpning

SMB-protokollen er et andet nøgleområde, der gennemgår betydelig forbedring., både på transportniveau og med hensyn til autentificering og adgangskontrol, designet specielt til hybridmiljøer og fjernarbejde.

SMB over QUIC bliver mere udbredt ud over Azure Edition Den er tilgængelig i Windows Server Standard og Datacenter. Denne tilstand indkapsler SMB 3.1.1 over QUIC ved hjælp af TLS 1.3 og UDP-porte, hvilket skaber en slags "SMB VPN" for sikker adgang til edge-servere fra upålidelige netværk, ideel til fjernarbejde og mobile enheder uden opsætning af en traditionel VPN.

Administratorer kan styre SMB via QUIC ved hjælp af GPO og PowerShellQUIC-klienten kan deaktiveres med politikken "Aktiver SMB via QUIC" eller med Set-SmbClientConfiguration -EnableSMBQUIC $falseAktivér signatur- og krypteringsrevisioner for at registrere klienter eller servere, der ikke understøtter disse funktioner, og gennemgå de tilsvarende hændelser i SMBClient- og SMBServer-loggene (Revision og Forbindelse).

Alternative SMB-porte introduceres til TCP, QUIC og RDMADette giver dig mulighed for at omgå den traditionelle TCP/445-port, når dit sikkerhedsdesign kræver det. Firewallreglerne er også blevet opdateret: Når du opretter nye delte ressourcer, åbnes NetBIOS-portene 137-139 ikke længere automatisk; i stedet bruges en mere restriktiv regelgruppe, "Fil- og printerdeling (Restriktiv)". For at kontrollere eksponeringer og åbne porte på serveren kan du se vejledninger til se åbne netværksporte.

I godkendelse kræver alle udgående SMB-forbindelser nu signering og kryptering i henhold til konfigurationen.Klienten kan blokere NTLM for fjernforbindelser, og SMB-tjenesten implementerer en godkendelseshastighedsbegrænser for at begrænse NTLM- eller PKU2U-baserede brute-force-angreb, hvilket introducerer øgede forsinkelser efter mislykkede forsøg.

IPsec, RRAS og andre forbindelseshærdende foranstaltninger

Ud over SMB justerer Windows Server 2025 andre netværks- og VPN-komponenter at tilpasse dem til moderne kryptografiske sikkerhedsstandarder.

I IPsec ændres standardrækkefølgen for nøglemoduler til IKEv2 og IKEv1 For godkendte forbindelser ved hjælp af maskincertifikater, forbliver AuthIP som en ældre indstilling, der kan genaktiveres med registreringsnøglen IpsecRestoreLegacyKeyModDette presser organisationer til at bruge IKEv2, som er mere robust og moderne.

I Routing and Remote Access (RRAS) leveres nye installationer med PPTP og L2TP deaktiveret. Som standard kan de stadig aktiveres, hvis miljøet kræver det, men hensigten er at prioritere SSTP og IKEv2, som er langt mere sikre. Konfigurationer, der allerede brugte PPTP/L2TP og opdateres, vil bevare deres funktionsmåde for at forhindre uventede afbrydelser.

Windows styrker minimumskravene til certifikater og TLSCertifikatsøgning og -administration understøtter SHA-256 som standard, og TLS-servercertifikater skal bruge RSA-nøgler på mindst 2048 bit, hvilket stemmer overens med udfasningen af ​​certifikater, der betragtes som svage.

Hyper-V, ydeevne og infrastruktur til AI

Inden for virtualisering udvider Windows Server 2025 horisonten både inden for rå ydeevne og understøttelse af arbejdsbyrder baseret på kunstig intelligens., som i stigende grad er afhængige af GPU'er, massiv hukommelse og netværk med lav latenstid.

Hyper-V øger skalerbarhedsgrænserne betydeligtNu kan en vært håndtere op til 4 PB hukommelse og 2048 logiske processorer, mens en virtuel maskine af 2. generation kan nå 240 TB RAM og 2048 vCPU'er, hvilket åbner døren til enorme databasemiljøer, avanceret analyse eller lokale AI-motorer.

GPU-partitionering (GPU-P) gør det muligt at dele en enkelt fysisk GPU mellem flere virtuelle maskiner.GPU-P allokerer dedikerede "slices" baseret på behovene for hver VM. Dette er nøglen til AI-, renderings- eller computerintensive scenarier, hvor der tidligere skulle dedikeres en GPU pr. gæstevært. Derudover understøtter GPU-P høj tilgængelighed med automatisk failover i klyngen og live-migrering, selv med partitionerede GPU'er.

Dynamisk processorkompatibilitet er redesignet til blandede klynger, ved at bruge det maksimale sæt CPU-funktioner, der deles på tværs af alle noder, hvilket forbedrer ydeevnen i forhold til den klassiske kompatibilitetstilstand, især når man bruger funktioner som adresseoversættelse på andet niveau (SLAT).

Hypervisor-funktionen for tvungen pagineringsoversættelse (HVPT) tilføjer endnu et forsvarslag HVPT beskytter mod vilkårlige hukommelsesangreb og beskytter systemets nøglesidetabelstrukturer. HVPT er som standard aktiv, når det understøttes af hardwaren, men ikke når serveren kører som en gæstevirtuel maskine.

I virtuelle netværk ankommer funktionen Accelerated Networking (AccelNet) i en forhåndsvisningsversion. For at forenkle brugen af ​​SR-IOV i klynger, reducere latenstid, jitter og CPU-forbrug, tilbyder Network ATC en intentionsbaseret model til implementering af ensartede værtsnetværkskonfigurationer på tværs af klyngen.

Moderne og optimeret lagring til udvikling

Lagringsundersystemet i Windows Server 2025 bliver også moderniseret., med forbedringer i NVMe-ydeevne, nye ReFS-funktioner og optimeringer rettet mod udviklere og højeffektive scenarier.

Dev Drive, allerede kendt i Windows 11, ankommer til serververdenen Dev Drive er en ReFS-baseret volumentype, der er optimeret til udviklingsarbejdsbelastninger og tilbyder finere kontrol over filtre, antivirus og sikkerhedsindstillinger. Nu understøtter Dev Drive også blokkloning, hvilket gør det muligt at udføre kopier af store filer som billige metadataoperationer, hvilket reducerer faktisk I/O og fremskynder processen betydeligt.

ReFS inkorporerer native deduplikering og komprimering Designet til både statiske arbejdsbelastninger (billedlagre, sikkerhedskopier) og aktive virtuelle skriveborde eller filservere. I miljøer med store datamængder kan kapacitetsbesparelserne være meget betydelige uden at påvirke ydeevnen væsentligt.

Tyndt provisionerede volumener på Direct Storage Spaces muliggør mere effektiv kapacitetsallokeringDette muliggør sikker overforsyning, samtidig med at det faktiske forbrug overvåges. Derudover er det muligt at konvertere eksisterende faste volumener til tynde volumener, hvilket returnerer ubrugt plads til puljen til genbrug i andre volumener.

Med hensyn til ren ydeevne er NVMe-understøttelse bedre afstemt.Dette øger IOPS og reducerer CPU-forbruget sammenlignet med tidligere versioner. SMB inkorporerer også komprimering med LZ4-standarden og tilføjer endnu en mulighed til XPRESS, LZNT1 og PATTERN_V1 til scenarier, hvor prioritering af komprimerings- og dekomprimeringshastighed er ønskelig.

Azure Arc, hybridmodel og centraliseret administration

Windows Server 2025 omfavner hybridmodellen fuldt ud med Azure Arc, hvilket gør det nemmere at administrere lokale servere, som om de var native Azure-ressourcer, herunder fakturering, overvågning og avancerede operationer.

Azure Arc-installationsprogrammet bliver en on-demand-funktion, der installeres som standard.Med en meget simpel guide og et ikon i proceslinjen, der fremskynder serverforbindelsen til Arc. Når du er forbundet, kan du anvende politikker, overvåge, implementere udvidelser eller integrere med andre Azure-løsninger på en samlet måde.

Pay-as-you-go-licenser introduceres via Azure ArcDette gør det muligt at licensere Windows Server i abonnementstilstand og kun betale for faktisk brug, et interessant alternativ til permanente licenser til miljøer med høj belastningsvariabilitet eller projekter af begrænset varighed.

Azure Arc-aktiveret Windows Server-administration giver flere ekstra fordeleIntegration med Windows Admin Center direkte i Azure-portalen, Just-In-Time-fjernsupport med detaljerede logfiler, automatiserede vurderinger af bedste praksis og guidet implementering af Azure Site Recovery for forretningskontinuitet.

Softwaredefineret netværk og Azure-lignende sikkerhedspolitikker

Softwaredefineret netværk (SDN) i Windows Server 2025 kommer endnu tættere på Azure-oplevelsen., både i driftsmodel og i standardbeskyttelse.

SDN-netværkscontrolleren hostes nu som en klyngetjeneste på fysiske værter, hvilket eliminerer behovet for at implementere dedikerede virtuelle maskiner til denne komponent, forenkler topologien og frigør computerressourcer.

Standardnetværkspolitikker introduceres med en "afvis som standard"-filosofi.Ligesom Azure Network Security Groups: al indgående trafik til de indlæste virtuelle maskiner afvises i første omgang, hvorved kun de eksplicit tilladte porte åbnes, mens udgående trafik som standard er tilladt for ikke at gøre applikationer langsommere.

Serviceetiketter giver mulighed for mere intuitiv segmentering af arbejdsbelastninger.At knytte NSG'er til virtuelle maskiner ved hjælp af menneskelæsbare etiketter i stedet for IP-intervaller gør det nemmere at ændre topologier uden at omskrive komplekse regler og reducerer konfigurationsfejl.

SDN Multisite-funktionalitet giver L2- og L3-forbindelse mellem forskellige lokationer uden yderligere komponenter.Opretholdelse af ensartede politikker, selv når virtuelle maskiner migrerer mellem websteder. Dette suppleres af forbedret ydeevne fra Layer 3-gateways, som bruger mindre CPU og tilbyder større gennemløb.

Containerportabilitet og Windows Server Insider-programmet

I containere fokuserer Windows Server 2025 på portabilitetPlatformen gør det muligt at flytte containerbilleder og deres data mellem forskellige værter og miljøer uden ændringer, hvilket reducerer friktion ved opdatering af værtversioner eller ændring af infrastruktur.

Denne portabilitet forenkler moderniseringen af ​​ældre applikationer.Dette skyldes, at du kan indkapsle dem i Windows-containere og flytte dem mellem lokale, offentlige cloud-miljøer eller testmiljøer uden at skulle pakke dem om hver gang, så længe du respekterer minimumskompatibiliteten for versioner.

For at holde dig opdateret om disse funktioner, Windows Server Insider Program Det giver tidlig adgang til builds med nye funktioner og ændringer, så administratorer og partnere kan teste sikkerheds-, ydeevne- og kompatibilitetsscenarier, før de når produktion.

Opdateringsstatus, kendte problemer og sikkerhedstest i den virkelige verden

Windows Server 2025 har, ligesom ethvert levende system, en konstant cyklus af opdateringer og rettelser.Microsoft dokumenterer kendte problemer og deres løsningsstatus ret transparent.

Blandt de seneste hændelser skiller en fejl med WUSA sig ud. Installation af .msu-filer fra delte ressourcer med flere pakker genererede fejl ERROR_BAD_PATHNAMEAfhjælpning involverer lokal kopiering af .msu-filerne eller brug af Known Issue Rollback (KIR) med særlige gruppepolitikker, mens en endelig løsning distribueres i fremtidige opdateringer.

Et andet problem påvirkede rotation af maskinadgangskoder ved brug af Kerberos-godkendelse med PKINITDette forårsagede udløbne adgangskoder og godkendelsesfejl på nogle enheder. Det blev rettet i sikkerhedsopdateringen fra april 2025 (KB5055523), og i mellemtiden blev funktionen Credential Guard Team Accounts midlertidigt deaktiveret, indtil en stabil løsning var tilgængelig.

Der var også rapporter om uventede opdateringer fra Windows Server 2019 og 2022 til 2025. I miljøer med tredjepartsværktøjer til administration af programrettelser, der behandlede funktionsopdateringer som anbefalede snarere end valgfrie, afbødede Microsoft situationen ved at sætte tilbudsbanneret i Windows Update på pause og samarbejde med leverandører for at præcisere brugen af ​​klassificeringen DeploymentAction=OptionalInstallation.

Ud over teorien har penetrationstestlaboratorier sat de nye beskyttelser på prøve.I tests med forskellige Potato-lignende værktøjer (Juicy, Lovely, Rogue, PrintSpoofer) mislykkedes de fleste, mens PetitPotato kun formåede at eskalere til det lokale administratorniveau, ikke til SYSTEM. Dette indikerer en reel styrkelse af personificeringskontroller og COM/RPC-tjenester, selvom det stadig er vigtigt at gennemgå tjenestekonfigurationer og filtilladelser.

Eskaleringstests, der bruger forkert konfigurerede tjenester, såsom DNSadmin-angreb eller FTP-misbrug, er fortsat mulige. Hvis der opstår grundlæggende tilladelsesfejl, er det en påmindelse om, at selv ikke det bedste operativsystem kan kompensere for dårlig konfiguration; det er tilrådeligt at bruge værktøjer til at revidere tilladelser og stier, f.eks. Brug af AccessChk i Windows og gennemgå adgangskontroller.

Der blev også gjort forsøg på at udnytte kernelsårbarheder såsom CVE-2025-21325, uden held i opdaterede builds, hvor udnyttelsen forårsagede BSOD'er på grund af KERNEL_SECURITY_CHECK_FAILURE i stedet for at eskalere til SYSTEM.

Samlet set tager Windows Server 2025 et betydeligt spring fremad inden for designsikkerhed.Det reducerer eksponering for legitimationsoplysninger, styrker protokoller og introducerer en mere aggressiv baseline uden at ofre operationel fleksibilitet. Det kombinerer lokale, hybride og AI-funktioner, så organisationer kan opbygge mere robuste, overvågbare og trusselsparate infrastrukturer, forudsat at de ledsager dette med god praksis, regelmæssige revisioner og en klar hærdningsstrategi.