
Microsoft hat seine Sicherheitslage für Windows Server noch einmal gestärkt, indem es ein aktualisiertes Basispaket einführt und gleichzeitig den Schutz für alle Kerndienste erweitert.
Einem Bericht von Neowin zufolge hat Microsoft das Sicherheitsbasispaket für Windows Server 2025 aktualisiert und strengere Kontrollen eingeführt, die auf Unternehmens- und Regierungsumgebungen mit komplexer Microsoft-Infrastruktur abzielen.
Sicherheitsbaselines bieten vorkonfigurierte Gruppenrichtlinienobjekte (GPOs), Registrierungseinstellungen und gehärtete Sicherheitskonfigurationen, die Unternehmen bereitstellen können, um den Schutz auf allen Servern zu standardisieren.
Mit Version 2602 hat Microsoft mehrere Änderungen eingeführt, die darauf abzielen, das Risiko einer Rechteausweitung zu verringern und alte Angriffsvektoren zu schließen.
Eines der bemerkenswertesten Updates deaktiviert den Sudo-Befehlsmodus auf Mitgliedsservern (MS) und Domänencontrollern (DCs). Dieser Schritt verringert das Risiko einer Umgehung der Benutzerkontensteuerung (UAC) und begrenzt den potenziellen Missbrauch erhöhter Berechtigungen.
ROCA-Schutzmaßnahmen wechseln in den Blockmodus
Microsoft hat außerdem den Schutz vor Return of Coppersmith’s Attack (ROCA) verstärkt, einer kryptografischen Schwachstelle, die bestimmte RSA-Schlüssel betrifft.
Die Validierung von ROCA-anfälligen Windows Hello for Business-Schlüsseln wird jetzt im Blockmodus auf Domänencontrollern ausgeführt. Diese Änderung verhindert die Verwendung potenziell kompromittierter Authentifizierungsschlüssel, anstatt sie lediglich zu überwachen.
Internet Explorer-Automatisierung deaktiviert
Ältere Komponenten erhalten weiterhin Aufmerksamkeit. Der Start von Internet Explorer 11 über COM-Automatisierung wurde aufgrund anhaltender Sicherheitsbedenken deaktiviert.
Gleichzeitig gilt das Mark of the Web (MotW)-Tagging jetzt für Dateien, die aus dem Internet oder anderen nicht vertrauenswürdigen Quellen heruntergeladen wurden. MotW ermöglicht integrierte Schutzmaßnahmen wie SmartScreen-Filterung und automatische Makroblockierung in Microsoft Office-Anwendungen.
Erweiterte NTLM-Prüfung und RPC-Härtung
Microsoft hat die Sichtbarkeit und Kontrolle der NTLM-Authentifizierung in der gesamten Domäne verbessert.
„Eingehenden NTLM-Verkehr überwachen“ ermöglicht jetzt die Überwachung aller Konten auf Mitgliedsservern und Domänencontrollern. Domänencontroller erzwingen außerdem eine vollständige NTLM-Authentifizierungsüberwachung, während ausgehender NTLM-Verkehr zu Remoteservern so eingestellt ist, dass alle Aktivitäten überwacht werden.
Diese Maßnahmen geben Administratoren einen klareren Einblick in die Nutzung der Legacy-Authentifizierung, während Microsoft Unternehmen weiterhin auf moderne Alternativen drängt.
Die Einstellungen für Remote Procedure Call (RPC) wurden ebenfalls verschärft. Verbindungen werden über RPC über TCP mit aktivierter Authentifizierung erzwungen, während RPC-Listener auf Mitgliedsservern Kerberos über TCP verwenden.
Druckspooler und Richtlinienanpassungen
Die Druckspooler-Richtlinie ermöglicht jetzt einen sicheren Client-Identitätswechsel mithilfe von EINGESCHRÄNKTEN DIENSTLEISTUNGEN\PrintSpoolerService und berücksichtigt so Sicherheitsbedenken, ohne wichtige Druckdienste zu deaktivieren.
Microsoft hat außerdem eine Richtlinie entfernt, die das Herunterladen von Anlagen verhindert, und weist darauf hin, dass diese nicht für Windows Server 2025 gilt.
Darüber hinaus gab das Unternehmen Leitlinien zum Ablauf von Secure Boot-Zertifikaten und zur Härtung von SMB-Servern weiter und stärkte damit seine umfassendere Plattformsicherheitsstrategie.
Diese Änderungen folgen der jüngsten Durchsetzung von TLS 1.2 für Azure Blob Storage durch Microsoft und sind Teil einer umfassenderen Anstrengung, veraltete Verschlüsselungsstandards auslaufen zu lassen.
Unabhängig davon hat Microsoft das Windows 10 Extended Security Updates-Programm um LTSB und bestimmte Server-Editionen erweitert. Das Unternehmen führte außerdem über das Update KB5077230 die Unterstützung von peripheren Fingerabdrücken für die erweiterte Windows Hello-Anmeldung ein und stärkte damit die Authentifizierung auf Geräteebene weiter.
Mit der aktualisierten Windows Server 2025-Basislinie verschärft Microsoft weiterhin die Sicherheitsstandards für Unternehmen, während sich Unternehmen auf immer komplexere Bedrohungslandschaften vorbereiten.
*️⃣ Quelllink:
Neowin, Durchsetzung von TLS 1.2 für Azure Blob Storage, Erweiterung des Windows 10 Extended Security Updates-Programms, Verbesserte Windows Hello-Anmeldung über Update KB5077230,