Was ist neu in Security Baseline 2602 für Windows Server 2025

/de/images/Windows-Server-2025-Security-Baseline-2602_ftimg.png

Microsoft hat eine neue Sicherheitsbasislinie 2602 für Windows Server 2025 veröffentlicht. Das Update bringt 12 neue Gruppenrichtlinieneinstellungen mit sich, die sich auf eine verbesserte NTLM-Überwachung, ein verfeinertes Sudo-Befehlsverhalten, eine verstärkte Drucker-RPC-Sicherheit, eine verbesserte Authentifizierungshärtung und andere wichtige Verbesserungen konzentrieren.

Es sind erst acht Monate seit der Veröffentlichung des Sicherheitsbasisupdates 2506 für Server 2025 vergangen, und ich bin überrascht, eine neue Basisversion 2602 zu sehen. Microsoft erwähnte in seiner Dokumentation, dass Sicherheitsgrundlinien häufiger veröffentlicht werden, um aufkommende Bedrohungen zu bekämpfen, neue Windows-Funktionen zu integrieren und auf Community-Feedback zu reagieren.

Die Revision (v2602) des Basispakets vom Februar 2026 kann vom Microsoft Security Compliance Toolkit heruntergeladen werden. Sie können die empfohlenen Server 2025-Konfigurationen in Ihrer Umgebung testen, sie an spezifische Anforderungen anpassen und entsprechend implementieren. In der Zwischenzeit können Sie erwägen, am Windows Server-Insiderprogramm teilzunehmen und Microsoft Ihr wertvolles Feedback zu übermitteln.

/de/images/PatchMyPC-AppCatalog-725x250-1.jpg Installieren und aktualisieren Sie Anwendungen von Drittanbietern mit Patch My PC

Laden Sie Security Baseline 2602 für Windows Server 2025 herunter

Besuchen Sie die Seite Microsoft Security Compliance Toolkit. Klicken Sie auf die Schaltfläche „Herunterladen“. Erweitern Sie vor dem Herunterladen die Spalte „Details“ und stellen Sie sicher, dass in der Liste der Downloads „Windows Sever 2025 Security Baseline 2602“ angezeigt wird.

/de/images/Windows-Server-2025-Security-Baseline-version-2602-1024x723.png Laden Sie Security Baseline 2602 für Windows Server 2025 herunter

Wählen Sie aus der Liste der Dateien „Windows Server 2025 Security Baseline – 2602.zip“ aus und klicken Sie auf die Schaltfläche „Herunterladen“. Wählen Sie einen Ordner zum Speichern der Datei. Extrahieren Sie nach dem Herunterladen die ZIP-Datei in den ausgewählten Ordner. Die extrahierten Inhalte umfassen sowohl Baseline-Dateien als auch Dokumentation mit detaillierten Informationen zu den Baselines.

/de/images/Download-Windows-Server-2025-Security-Baseline-version-2602-1024x712.png Laden Sie Windows Server 2025 Security Baseline Version 2602 herunter

Was ist im Security Baseline-Paket 2602 enthalten?

Das extrahierte Sicherheitsbaseline-v2602-Updatepaket enthält die folgenden Komponenten:

  1. Dokumentation: Enthält neue Einstellungen in Windows Server 2025 v2602, MSFT-WS2025-v2602-Richtlinienregeln usw.

  2. GPOs: Exportierte GPOs.

  3. Skripte: Enthält Baseline-ADImport.ps1, Baseline-LocalInstall.ps1, Konfigurationsdateien und Tools.

  4. Vorlagen: Enthält MSS-legacy.admx, SecGuide.admx und entsprechende ADML-Dateien.

  5. GP-Berichte: Exportierte Gruppenrichtlinienberichte.

Neue Richtlinieneinstellungen in Security Baseline 2602

Das Security Baseline v2602-Update für Server 2025 führt mehrere Verbesserungen ein, die seit der Veröffentlichung der Security Baseline für Windows Server 2025 im Januar 2025 vorgenommen wurden. Die Verbesserungen sollen die Unternehmenssicherheit verbessern und eine bessere Ausrichtung an den neuesten Standards gewährleisten. Einzelheiten zu den spezifischen Änderungen finden Sie in der folgenden Tabelle.

Name der Sicherheitsrichtlinie |

Was hat sich geändert—|—Konfigurieren Sie das Verhalten des Sudo-Befehls |

Als aktiviert konfiguriert: Sowohl auf MS als auch auf DC deaktiviert

Konfigurieren Sie die Validierung von ROCA-gefährdeten WHfB-Schlüsseln während der Authentifizierung |

Konfiguriert als „Aktiviert: Blockieren auf DC“, um Windows Hello for Business (WHfB)-Schlüssel zu blockieren, die für den Return of Coppersmith’s-Angriff (ROCA) anfällig sind.

Deaktivieren Sie den Start von Internet Explorer 11 über COM Automation |

Als „Aktiviert“ konfiguriert, um zu verhindern, dass ältere Skripts und Anwendungen Internet Explorer 11 mithilfe von COM-Automatisierungsschnittstellen programmgesteuert starten

Wenden Sie das Mark of the Web-Tag nicht auf Dateien an, die aus unsicheren Quellen kopiert wurden |

Sowohl auf MS als auch auf DC als deaktiviert konfiguriert

Netzwerksicherheit: NTLM einschränken: Eingehenden NTLM-Verkehr überwachen |

Konfiguriert als „Überwachung für alle Konten auf MS und DC aktivieren“.

Netzwerksicherheit: NTLM einschränken: NTLM-Authentifizierung in dieser Domäne überwachen |

Konfiguriert als „Alle auf DC aktivieren“.

Netzwerksicherheit: NTLM einschränken: Ausgehender NTLM-Verkehr zu Remote-Servern |

Konfiguriert als „Alle überwachen“ sowohl auf MS als auch auf DC

Verbesserungen bei der NTLM-Prüfung |

Standardmäßig bereits aktiviert, um die Sichtbarkeit der NTLM-Nutzung in Ihrer Umgebung zu verbessern

Herunterladen von Anlagen verhindern |

Aus der Basislinie entfernen, da es nicht für Windows Server 2025 gilt. Es hängt vom IE-RSS-Feed ab

Drucker: RPC-Verbindungseinstellungen konfigurieren |

Erzwingen Sie die Standardeinstellung „RPC über TCP mit aktivierter Authentifizierung“ sowohl auf MS als auch auf DC

Drucker: RPC-Listener-Einstellungen konfigurieren |

Als RPC über TCP | konfigurieren Kerberos auf MS

Drucker: Sich nach der Authentifizierung als Client ausgeben |

Fügen Sie EINGESCHRÄNKTE DIENSTE\PrintSpoolerService hinzu, um der eingeschränkten Dienstidentität des Druckspoolers zu ermöglichen, sich sicher als Client auszugeben

*️⃣ Quelllink:

Security Baseline Update 2506 für Server 2025, Microsoft , Server 2025, Beitritt zum Windows Server Insider-Programm, /de/images/PatchMyPC-AppCatalog-725x250-1.jpg , Microsoft Security Compliance Toolkit-Seite ,