Windows Server 2025: Sicherheit, Hotpatching und VBS

Die Sicherheit von Windows Server 2025 basiert auf Windows Server 2022, mit Schwerpunkt auf Zero Trust, erweiterter Compliance und starker Hybrid-Cloud-Integration. Auf dieser Grundlage wurden verschiedene Funktionen hinzugefügt, um die Sicherheit weiter zu stärken. In diesem Artikel wird beschrieben, welche Verbesserungen in Windows Server 2025 implementiert wurden und was Sie selbst tun können, um diese weiter zu optimieren.

Sicherheitsverbesserungen

Zero Trust und Identity Security

Windows Server 2025 integriert das Zero-Trust-Modell, das strenge Zugangskontrollen in Kombination mit Multi-Faktor-Authentifizierung (MFA) erzwingt. Dies wird umgesetzt, indem Ihr Windows Server 2025 mit Microsoft Entra ID verbunden wird. Zusätzlich gibt es Conditional Access Policies, die den Zugriff auf das Unternehmensnetzwerk auf der Grundlage spezifischer Bedingungen gewähren. Wenn Sie über kompatible Systeme verfügen, ist Credential Guard standardmäßig aktiviert. Dies schützt vor NTLM-Hashes, Kerberos-Tickets und anderen Anmeldeinformationen durch Virtualisierung.

Virtualisierungsbasierte Sicherheit (VBS) & Secured-core

Mit Virtualization-Based Security (VBS) werden sensible Workloads isoliert, wodurch die Abhängigkeit von Administratoren reduziert wird. Kryptografische Schlüssel werden mit VBS Key Protection geschützt, das sie isoliert und hardwarebasierte Sicherheit nutzt. Secured-core-Server mit Hypervisor-protected Code Integrity (HVCI) blockieren schädliche Treiber auf Hardware-Ebene und machen Sicherheitsereignisse über Defender for Cloud zugänglich.

Hotpatching und Resilienz

Über Hotpatching mit Azure Arc können monatlich Sicherheitsupdates installiert werden, ohne dass ein Neustart erforderlich ist. Lediglich das vierteljährliche Baseline-Update erfordert einen Reboot. Außerdem hat Microsoft im Rahmen des Windows Resiliency Initiative die Funktion Quick Machine Recovery (QMR) angekündigt, mit der Geräte wiederhergestellt werden können, wenn kritische Fehler den Start verhindern. Diese Funktion ist jedoch noch nicht allgemein verfügbar.

Netzwerk- und Kommunikationssicherheit

Authentifizierung und Transportsicherheit wurden durch LDAP über TLS 1.3 und erweiterte Kerberos-Algorithmen verbessert. Windows Server unterstützt DoH als Client; die DNS-Serverrolle bietet jedoch kein natives DoH/DoT.

Endpoint Protection

Microsoft Defender for Servers/Endpoint ist eine Sicherheitsplattform, die Unternehmen hilft, Bedrohungen zu verhindern, zu erkennen, zu untersuchen und darauf zu reagieren. Sie können auch Microsoft Defender for Servers (über Defender for Cloud) erwerben. Dies ist ein separater, kostenpflichtiger Azure-Dienst für Ihre Windows-Server-Workloads. Diese cloud-native Application Security Platform (CNAPP) schützt DevOps-Pipelines und bietet Schutz für virtuelle Maschinen und Workloads.

Active Directory

Active Directory (AD) bleibt eine wesentliche Funktion für die Verwaltung von Benutzerkonten und Computern in einem Windows-Netzwerk. AD ist die zentrale Lösung für die Verwaltung von Benutzern, Geräten und Zugriffsrechten. Über Domänencontroller erhalten autorisierte Benutzer und Systeme sicheren und kontrollierten Zugriff auf Netzwerkressourcen.

Sicherheitsbaselines und Konfigurationsmanagement

Mit OSConfig bietet Microsoft eine Lösung zur Verwaltung von Sicherheitseinstellungen im großen Maßstab. OSConfig stellt konsistente Konfigurationen sicher und setzt diese bei Abweichungen automatisch zurück. Außerdem unterstützt OSConfig szenariobasierte Sicherheitsbaselines wie CIS- und DISA-STIG-Richtlinien. Mehr als 300 vordefinierte Einstellungen sind enthalten, mit denen Organisationen eine starke Sicherheitsposition implementieren und aufrechterhalten können.

Netzwerk- & Kerberos-Standards 2025

Windows Server 2025 verschärft SMB-Signing und bietet NTLM-Blocking; Kerberos verabschiedet sich von veralteten Algorithmen.

Was können Sie selbst tun?

Um die Sicherheit von Windows Server 2025 weiter zu verstärken, können Sie selbst die folgenden Maßnahmen ergreifen:

Credential Guard und Virtualization-Based Security aktivieren

Über Virtualisierung werden sensible Anmeldedaten vom System abgeschirmt. VBS erstellt eine sichere und isolierte Umgebung, in der Sicherheitsfunktionen laufen.

Updates mit Hotpatching über Azure Arc verwalten

Hiermit werden Sicherheitsupdates installiert, ohne dass der Server neu gestartet werden muss. Dies gilt sowohl für hybride als auch für lokale Server.

Defender for Servers implementieren

Dies bietet umfassende Bedrohungserkennung, Schwachstellen-Scans und Sicherheitsempfehlungen für Ihre Server.

Alte Protokolle deaktivieren

Veraltete Protokolle enthalten oft bekannte Schwachstellen. Durch die Verwendung moderner Varianten verhindern Sie Abhören, Man-in-the-Middle-Angriffe und Spoofing.

Gesicherte AD-Einstellungen aktivieren, einschließlich Maschinenkontokennwortrotation

Hiermit werden AD-Funktionalitäten wie die regelmäßige Rotation von Maschinenkennwörtern angewendet, wodurch die allgemeine AD-Sicherheit steigt.

FAQ

Ist Defender for Cloud in Windows Server 2025 enthalten?
Nein. Defender for Cloud/Servers ist ein separater Azure-Dienst/Lizenz.

Erfordert Hotpatching niemals Reboots?
Monatliche Hotpatches nicht; die vierteljährliche Baseline schon.

Unterstützt Windows Server DoH?
Der DNS-Client ja; die DNS-Serverrolle nein.

Ist LDAP/TLS 1.3 verfügbar?
Ja, unterstützt (Updates/neuere Builds).

Wie viele Baseline-Einstellungen hat OSConfig?
Mehr als 300.