Windows Server Summit | Sicherheit

09.01.2026 Last updated : 19.01.2026 Mein Avatar für die Krähe mit Hut. Man sieht eine Krähe mit einem Doktorhut.Krähe mit Hut

Microsoft tut doch gar nichts mehr für lokale Infrastrukturen. Alles soll in in die Cloud geschoben werden.

Zugegeben - es werden nach und nach klassische Windows Server-Funktionen und Produkte zugunsten von Azure- und Microsoft 365-Diensten abgekündigt. Jedoch scheint Microsoft mittlerweile auch eingesehen zu haben, dass die Wahrheit vorerst noch in der Mitte - also hybrider Infrastruktur - liegt.

Dementsprechend wurde vor allem an der Sicherheit geschraubt, um auch für die nächsten Jahre im lokalen Umfeld gegen Bedrohungen gerüstet zu sein.

Sicherheit und Ausfallsicherheit mit Windows Server 2025 verbessern

Integrierte Sicherheits-Basisrichtlinien

Mussten Sicherheits-Basisrichtlinien früher erst aus dem Download Center heruntergeladen und in das Active Directory importiert (oder per LGPO lokal angewendet) werden, geht dies nun sehr viel fixer!

Microsoft hat die Richtlinien nativ in das Betriebssystem integriert und ein zusätzliches Kommandozeilentool bereitgestellt, welches es erlaubt, die Richtlinien anhand von Kategorien schnell und einfach zu aktivieren.

Das schöne hierbei: wo es mit Standalone-Servern bisweilen sehr schwierig war, einzelne Richtlinien bei Bedarf wieder rückgängig zu machen, geht das mit dem neuen Ansatz sehr viel einfacher. Die Technologie basiert auf dem bekannten MDM-/CSP-Ansatz, den Intune verwendet.

Die Richtlinien sind übrigens zu etwas über 90% konform mit den CIS-Empfehlungen (Center for Internet Security). Und wer sich schon einmal damit auseinandergesetzt hat, weiß, dass diese teilweise sehr restriktiv sind. 😇

App Control for Business

Früher als Windows Defender Application Control (WDAC) bekannt und bereits seit Windows Server 2016 enthalten. Über dieses Feature lässt sich die Ausführung von klassischen und modernen Apps reglementieren, was eine Weiterentwicklung im Vergleich zu AppLocker darstellt. Microsoft empfiehlt, grundsätzlich ACfB einzusetzen und AppLocker bei Bedarf ergänzend für spezifische Bedarfe zu verwenden.

Secured-core Server

Der Secured-core Server ist ein spezielles Angebot von Hardwareherstellern, ähnlich wie damals Azure Stack oder Azure Local. Der Hardwarehersteller verwendet hierbei gängige Sicherheitshardware dazu, um eine gehärtete Windows Server-Installation auf der Hardware vorzuprovisionieren und diese auf dem aktuellen Stand zu halten. Der Kunde kauft also bei diesem Angebot, die stets auf dem aktuellen Stand der Technik ist und nicht erst zig Aktualisierungen erfordert.

Eingesetzte Technologien: Secure Boot, TPM 2.0, Boot DMA-Schutz, DRTM, VBS, HVCI

VBS Enclave

Die VBS Enclave ist eine auf virtualisierungsbasierter Sicherheit aufsetzende Funktion. Diese ermöglicht es, vertrauliche Teile einer Anwendung in einem speziellen virtualisierten Bereich zu isolieren. Diese Funktion ist daher vor allem für Anwendungsentwickler interessant.

Active Directory absichern

Speziell im Bereich Active Directory und Benutzerkontenverwaltung tut sich mit Windows Server 2025 ebenfalls einiges. Beispielsweise gibt es nun auch eine Kontensperrungsrichtlinie für lokale Konten, die standardmäßig aktiv ist. Dies bedeutet, dass man sich nun auch vom eigenen Server aussperren kann, wenn man unvorsichtig ist! Aber Sicherheit geht an der Stelle eindeutig vor.

LDAP-Signierung

In Windows Server 2025 ist nun die LDAP-Signierung standardmäßig aktiv. Demgemäß sollte jedes Unternehmen für sich selbst prüfen, ob auch LDAPS und Channel Binding standardmäßig erzwungen werden, da dies die Sicherheit ebenfalls erheblich verbessert.

Kein NetBIOS mehr für Domänencontroller-Ermittlung

NetBIOS ist ein recht altes Protokoll, das aus Kompatibilitätsgründen noch teilweise aktiv ist, aber sinnvollerweise flächendeckend deaktiviert werden sollte. Einen ersten Schritt geht Microsoft mit der Deaktivierung der Domänencontroller-Ermittlung über NetBIOS. Hierfür muss dann zwingend DNS verwendet werden.

LAPS

Die automatisierte Verwaltung für lokale Administratorkonten (Local Administrator Password Solution, LAPS) bekommt einige sinnvolle Ergänzungen:

  • Automatische Kontoverwaltung (Aktivierung/Deaktivierung/Umbenennung/ Randomisierung von Administratorkonten)
  • Passphrase-Unterstützung (Zusammenwürfeln willkürlich gewählter Begriffe zu einem Kennwort anstelle von kryptischen und schwer lesbaren Kennwörtern; z.B. BicyclePrinterSession)
  • Bessere Lesbarkeit für kryptische Kennwörter durch Entfernung ähnlich aussehender Zeichen (z.B. l/I/1, O/Q/0/o, usw.)
  • Image-Rollback-Schutz (Verhinderung defekter und damit nicht nutzbarer Kennwörter)

Typische Fehler

Interessanterweise hat Microsoft auch auf einige Fehler hingewiesen, die immer wieder in Umgebungen auftauchen. Es sollen hier nur einige hervorgehoben werden (der Rest kann im Video angesehen werden):

  • ms-DS-MachineAccountQuota = 10; standardmäßig dürfen auch normale Benutzer Computer zur Domäne hinzufügen. Dies sollte einerseits durch Anpassung der Default Domain Controllers Policy, andererseits durch Modifikation der o.g. Einstellung (= 0) verhindert werden.
  • Belassen des Domänen-/Gesamtstrukturfunktionslevels auf einem älteren Stand; es gbt mittlerweile keinen Grund mehr zur Angst, dass man damit irgendetwas irreversibel zerstört. Mittlerweile lässt sich das sogar bei Bedarf wieder auf 2008 R2 zurückdrehen. Man beraubt sich jedoch selbst um wichtige und nützliche Funktionen, wenn man das Level nicht im Rahmen eines DC-Upgrades anhebt. Also: rauf damit!
  • Zurückdrehen von Gruppenrichtlinien-Einstellungen; eine gängige Praxis (auch von mir) ist es, Einstellungen, die nicht mehr angewendet werden sollen, auf "Nicht konfiguriert" zu setzen. Der richtige Weg ist jedoch laut Microsoft, das jeweilige Gegenteil zu setzen (also von "Aktiviert" zu "Deaktiviert" und umgekehrt). Hintergrund ist, dass bei "Nicht konfiguriert" der Registry-Wert auf dem System verbleibt und lediglich ignoriert wird.

NTLM eliminieren

Bereits seit 2010 rät Microsoft von der Verwendung von NTLM ab. Da mittlerweile die Angriffe auf dieses Protokoll zunehmen, möchte Microsoft aktiv dazu bewegen, NTLM abzuschalten und auch keine Ausnahmen mehr zuzulassen. Dies mag jedoch nicht in allen Fällen möglich sein. Entwicklern wird empfohlen, in ihren Anwendungen stets "Negotiate" als Authentifizierung zu hinterlegen, damit die Anwendung dynamisch auf diesbezügliche Änderungen in Active Directory reagieren kann.

Delegierte verwaltete Dienstkonten (dMSA)

Typischerweise werden auch heute noch gewöhnliche Benutzerkonten verwendet, um Dienstkonten für Applikationen und Dienste bereitzustellen. Die Nachteile (manuelle Kennwortänderung inkl. Wartungsfenster dafür) sind hinlänglich bekannt, weswegen Microsoft mit Server 2008 R2 und 2012 R2 den neuen Typ "(Gruppen)verwaltetes Dienstkonto" oder auch (g)MSA eingeführt hat.

Die Vorteile liegen auf der Hand:

  • Das Kennwort wird durch Active Directory automatisch verwaltet und mit dem nutzenden System ausgetauscht
  • Der Austausch erfolgt nahtlos, es ist kein Neustart eines Dienstes, der Applikation, usw. notwendig

Allerdings haben gMSA den Nachteil, dass sie nur für bestimmte Zwecke (Dienste, geplante Aufgaben, IIS-Anwendungspools) eingesetzt werden können, da man sich nicht interaktiv mit einem solchen Konto anmelden kann. Außerdem kann das Kennwort eines gMSA gestohlen werden.

Mit dem neuen Typ dMSA führt Microsoft nun die Eigenschaften von MSA und gMSA zusammen und ergänzt diese um weitere Sicherheitsfunktionen, um damit idealerweise eine Ablösung sowohl herkömmlicher Dienstkonten als auch gMSA zu ermöglichen:

  • Verwendung von Credential Guard, um die Authentifizierung an das nutzende System zu binden
  • dMSA sind explizit für die Verwendung mit einem bestimmten Server/Applikation vorgesehen (gMSA können für mehrere Server/Applikationen parallel eingesetzt werden)

Ein Umstieg auf den neuen Kontentyp von einem herkömmlichen Konto (nicht gMSA) kann mittels PowerShell und einem speziellen Migrationsvorgehen erfolgen. Allerdings kann nur Windows Server 2025 als Zielsystem verwendet werden.


Weitere Informationen

Offizielle Videos:
Harden security and build resiliency with Windows Server 2025 - Windows Server Summit
Securing Active Directory - Windows Server Summit

Übersicht aller Artikel: Windows Server Summit - kurz und knackig!


Hat Dir der Beitrag gefallen? Lass es andere wissen!

Kategorien
Hybride Infrastruktur
Tags
Previous article
Windows Server Summit | Azure Arc - das "Intune für Server"
09.01.2026
Next article
Windows Server Summit | Azure File Sync - das "OneDrive für Server"
09.01.2026