
Microsoft hat eine neue Sicherheitsbasislinie 2602 für Windows Server 2025 veröffentlicht. Das Update bringt 12 neue Gruppenrichtlinieneinstellungen mit sich, die sich auf eine verbesserte NTLM-Überwachung, ein verfeinertes Sudo-Befehlsverhalten, eine verstärkte Drucker-RPC-Sicherheit, eine verbesserte Authentifizierungshärtung und andere wichtige Verbesserungen konzentrieren.
Es sind erst acht Monate seit der Veröffentlichung des Sicherheitsbasisupdates 2506 für Server 2025 vergangen, und ich bin überrascht, eine neue Basisversion 2602 zu sehen. Microsoft erwähnte in seiner Dokumentation, dass Sicherheitsgrundlinien häufiger veröffentlicht werden, um aufkommende Bedrohungen zu bekämpfen, neue Windows-Funktionen zu integrieren und auf Community-Feedback zu reagieren.
Die Revision (v2602) des Basispakets vom Februar 2026 kann vom Microsoft Security Compliance Toolkit heruntergeladen werden. Sie können die empfohlenen Server 2025-Konfigurationen in Ihrer Umgebung testen, sie an spezifische Anforderungen anpassen und entsprechend implementieren. In der Zwischenzeit können Sie erwägen, am Windows Server-Insiderprogramm teilzunehmen und Microsoft Ihr wertvolles Feedback zu übermitteln.
Installieren und aktualisieren Sie Anwendungen von Drittanbietern mit Patch My PC
Laden Sie Security Baseline 2602 für Windows Server 2025 herunter
Besuchen Sie die Seite Microsoft Security Compliance Toolkit. Klicken Sie auf die Schaltfläche „Herunterladen“. Erweitern Sie vor dem Herunterladen die Spalte „Details“ und stellen Sie sicher, dass in der Liste der Downloads „Windows Sever 2025 Security Baseline 2602“ angezeigt wird.
Laden Sie Security Baseline 2602 für Windows Server 2025 herunter
Wählen Sie aus der Liste der Dateien „Windows Server 2025 Security Baseline – 2602.zip“ aus und klicken Sie auf die Schaltfläche „Herunterladen“. Wählen Sie einen Ordner zum Speichern der Datei. Extrahieren Sie nach dem Herunterladen die ZIP-Datei in den ausgewählten Ordner. Die extrahierten Inhalte umfassen sowohl Baseline-Dateien als auch Dokumentation mit detaillierten Informationen zu den Baselines.
Laden Sie Windows Server 2025 Security Baseline Version 2602 herunter
Was ist im Security Baseline-Paket 2602 enthalten?
Das extrahierte Sicherheitsbaseline-v2602-Updatepaket enthält die folgenden Komponenten:
-
Dokumentation: Enthält neue Einstellungen in Windows Server 2025 v2602, MSFT-WS2025-v2602-Richtlinienregeln usw.
-
GPOs: Exportierte GPOs.
-
Skripte: Enthält Baseline-ADImport.ps1, Baseline-LocalInstall.ps1, Konfigurationsdateien und Tools.
-
Vorlagen: Enthält MSS-legacy.admx, SecGuide.admx und entsprechende ADML-Dateien.
-
GP-Berichte: Exportierte Gruppenrichtlinienberichte.
Neue Richtlinieneinstellungen in Security Baseline 2602
Das Security Baseline v2602-Update für Server 2025 führt mehrere Verbesserungen ein, die seit der Veröffentlichung der Security Baseline für Windows Server 2025 im Januar 2025 vorgenommen wurden. Die Verbesserungen sollen die Unternehmenssicherheit verbessern und eine bessere Ausrichtung an den neuesten Standards gewährleisten. Einzelheiten zu den spezifischen Änderungen finden Sie in der folgenden Tabelle.
Name der Sicherheitsrichtlinie |
Was hat sich geändert—|—Konfigurieren Sie das Verhalten des Sudo-Befehls |
Als aktiviert konfiguriert: Sowohl auf MS als auch auf DC deaktiviert
Konfigurieren Sie die Validierung von ROCA-gefährdeten WHfB-Schlüsseln während der Authentifizierung |
Konfiguriert als „Aktiviert: Blockieren auf DC“, um Windows Hello for Business (WHfB)-Schlüssel zu blockieren, die für den Return of Coppersmith’s-Angriff (ROCA) anfällig sind.
Deaktivieren Sie den Start von Internet Explorer 11 über COM Automation |
Als „Aktiviert“ konfiguriert, um zu verhindern, dass ältere Skripts und Anwendungen Internet Explorer 11 mithilfe von COM-Automatisierungsschnittstellen programmgesteuert starten
Wenden Sie das Mark of the Web-Tag nicht auf Dateien an, die aus unsicheren Quellen kopiert wurden |
Sowohl auf MS als auch auf DC als deaktiviert konfiguriert
Netzwerksicherheit: NTLM einschränken: Eingehenden NTLM-Verkehr überwachen |
Konfiguriert als „Überwachung für alle Konten auf MS und DC aktivieren“.
Netzwerksicherheit: NTLM einschränken: NTLM-Authentifizierung in dieser Domäne überwachen |
Konfiguriert als „Alle auf DC aktivieren“.
Netzwerksicherheit: NTLM einschränken: Ausgehender NTLM-Verkehr zu Remote-Servern |
Konfiguriert als „Alle überwachen“ sowohl auf MS als auch auf DC
Verbesserungen bei der NTLM-Prüfung |
Standardmäßig bereits aktiviert, um die Sichtbarkeit der NTLM-Nutzung in Ihrer Umgebung zu verbessern
Herunterladen von Anlagen verhindern |
Aus der Basislinie entfernen, da es nicht für Windows Server 2025 gilt. Es hängt vom IE-RSS-Feed ab
Drucker: RPC-Verbindungseinstellungen konfigurieren |
Erzwingen Sie die Standardeinstellung „RPC über TCP mit aktivierter Authentifizierung“ sowohl auf MS als auch auf DC
Drucker: RPC-Listener-Einstellungen konfigurieren |
Als RPC über TCP | konfigurieren Kerberos auf MS
Drucker: Sich nach der Authentifizierung als Client ausgeben |
Fügen Sie EINGESCHRÄNKTE DIENSTE\PrintSpoolerService hinzu, um der eingeschränkten Dienstidentität des Druckspoolers zu ermöglichen, sich sicher als Client auszugeben
*️⃣ Quelllink:
Security Baseline Update 2506 für Server 2025,
Microsoft , Server 2025, Beitritt zum Windows Server Insider-Programm,
,
Microsoft Security Compliance Toolkit-Seite ,