Inhaltsverzeichnis
Windows Server 2025: Neue Sicherheitsstandards gegen moderne Angriffe
Microsoft hat Ende Februar 2026 eine überarbeitete Security-Baseline für Windows Server 2025 veröffentlicht. Damit gibt es neue empfohlene Sicherheitskonfigurationen, die Server im Alltag besser gegen typische Angriffe absichern sollen. Für Unternehmen ist das relevant, weil viele Risiken nicht durch spektakuläre Sicherheitslücken entstehen, sondern durch alte oder zu offene Voreinstellungen. Die neue Baseline zeigt deshalb, welche Schutzmaßnahmen Microsoft jetzt als sinnvoll ansieht. Für die Windows Server 2025 Sicherheit ist das ein wichtiger Schritt, auch weil die Empfehlungen stärker auf aktuelle Bedrohungen, kontrollierte Authentifizierung und mehr Transparenz bei älteren Verfahren ausgerichtet sind.
Was die neue Security-Baseline grundsätzlich bedeutet
Eine Security-Baseline ist kein einzelnes Update und auch kein neues Sicherheitsprogramm. Sie ist vielmehr ein Paket aus empfohlenen Einstellungen, mit denen Administratoren Server einheitlich härten können. Microsoft stellt diese Vorgaben über das Security Compliance Toolkit bereit. Dort lassen sich die Baselines herunterladen, prüfen und bei Bedarf an die eigene Umgebung anpassen.
Wichtig ist: Die Baseline ersetzt keine individuelle Sicherheitsstrategie. Sie liefert aber eine fundierte Ausgangsbasis, damit Server nicht mit unnötig großzügigen Standardeinstellungen betrieben werden. Gerade für Organisationen mit vielen Systemen ist das hilfreich, weil sich Regeln so besser vergleichen und konsistent umsetzen lassen.
Mit anderen Worten: Die Baseline sorgt dafür, dass bekannte Schutzmaßnahmen nicht erst mühsam einzeln gesucht werden müssen. Microsoft bündelt hier seine aktuellen Empfehlungen in einem Paket. Sie verändert dabei nicht automatisch die Standardwerte des Betriebssystems, sondern gibt eine belastbare Vorlage für eine bewusst härtere Konfiguration. Für die Windows Server 2025 Sicherheit bedeutet das vor allem mehr Klarheit und weniger Zufall bei zentralen Schutzfunktionen.
Diese Änderungen stehen im Mittelpunkt der Version 2602
Die nun veröffentlichte Version 2602 bringt mehrere konkrete Anpassungen. Microsoft hat unter anderem eine Richtlinie für den Umgang mit „sudo“ ergänzt und empfiehlt, diese Funktion in der Baseline wirksam zu deaktivieren. Der Hintergrund: Zusätzliche Wege zur Rechteausweitung können in sensiblen Umgebungen missbraucht werden. Außerdem soll verhindert werden, dass ältere Skripte den Internet Explorer 11 noch per COM-Automatisierung starten. Das klingt zunächst technisch, ist aber einfach erklärt: Alte Komponenten sollen nicht mehr indirekt aktiviert werden, wenn sie ein Risiko darstellen. Ebenfalls wichtig ist die Behandlung des sogenannten „Mark of the Web“. Dateien aus unsicheren Quellen sollen weiterhin entsprechend markiert werden, damit Windows sie vorsichtiger behandelt.
Hinzu kommen neue oder verschärfte Vorgaben für NTLM-Auditing sowie Anpassungen im Druckerbereich, etwa bei RPC-Verbindungen und Kerberos. Eine ältere Richtlinie zu RSS-Anhängen wurde dagegen entfernt, weil sie für Windows Server 2025 nicht mehr sinnvoll ist. Ergänzend verweist Microsoft außerdem auf Prüfungen rund um anfällige Windows-Hello-for-Business-Schlüssel, Hinweise zu Secure-Boot-Zertifikatsrichtlinien sowie zusätzliche Empfehlungen zur Absicherung und Protokollierung beim SMB-Server.
Warum NTLM-Auditing und Kerberos für Unternehmen so wichtig sind
Ein besonders relevanter Teil der neuen Empfehlungen betrifft die Authentifizierung im Netzwerk. Microsoft setzt den Schwerpunkt erneut auf den schrittweisen Abschied von NTLM und auf den stärkeren Einsatz von Kerberos. Für viele Leser ist entscheidend, warum das wichtig ist: NTLM ist ein älteres Verfahren, das in vielen Firmen noch genutzt wird, aber aus heutiger Sicht mehr Risiken mitbringt. Deshalb baut Microsoft die Überwachung aus. Windows Server 2025 bringt zwar bereits zwei erweiterte NTLM-Auditing-Funktionen standardmäßig aktiviert mit. Die neue Baseline geht aber noch weiter und empfiehlt zusätzlich drei konkrete NTLM-Richtlinien für eingehende, Domänen- und ausgehende NTLM-Nutzung. Administratoren sehen dadurch besser, wo alte Verfahren noch im Einsatz sind und welche Anwendungen davon abhängen.
Genau das ist für spätere Umstellungen wichtig. Denn moderne Sicherheit bedeutet nicht nur, unsichere Technik abzuschalten, sondern zuerst zu verstehen, wo sie noch gebraucht wird. Die neue Baseline verstärkt diesen Ansatz, indem sie zusätzliche NTLM-Prüfungen empfiehlt und damit Transparenz schafft. Für die Windows Server 2025 Sicherheit ist das zentral, weil Identitäts- und Anmeldeprozesse oft das eigentliche Einfallstor für Angriffe sind.
Windows Server 2025 Sicherheit: Was Administratoren jetzt praktisch tun sollten
Die neue Baseline sollte nicht unbesehen in jede produktive Umgebung übernommen werden. Microsoft weist selbst darauf hin, dass Unternehmen die empfohlenen Einstellungen zunächst testen und dann an ihre eigene Infrastruktur anpassen sollen. Das ist wichtig, weil manche Änderungen zwar sicherer sind, aber bestehende Abläufe beeinflussen können. Das gilt etwa für ältere Anwendungen, für spezielle Druckumgebungen oder für Systeme, die noch stark auf NTLM angewiesen sind.
Sinnvoll ist daher ein stufenweises Vorgehen: zuerst die Baseline herunterladen, dann die Unterschiede zur bisherigen Konfiguration prüfen und anschließend in einer Testumgebung ausrollen. Erst wenn klar ist, welche Nebenwirkungen entstehen, sollte die Umsetzung breit erfolgen.
Für weniger techniknahe Verantwortliche lässt sich das so zusammenfassen: Die Baseline ist eine gute Leitplanke, aber kein Schalter, den man blind umlegt. Sie hilft, Sicherheitsstandards systematisch zu verbessern, wenn man sie kontrolliert einführt. Gerade in gewachsenen IT-Landschaften ist dieser pragmatische Weg meist der sicherste.
Einordnung: Warum diese Veröffentlichung mehr ist als ein Routine-Update
Auf den ersten Blick wirkt eine aktualisierte Baseline wie ein normales Verwaltungsdetail. Tatsächlich zeigt sie aber recht deutlich, in welche Richtung Microsoft die Plattform entwickelt. Alte Technologien wie NTLM oder IE-bezogene Sonderwege werden weiter zurückgedrängt. Gleichzeitig werden Schutzmechanismen so gesetzt, dass riskante Ausnahmen schwerer möglich sind. Das ist keine große Produktneuheit, aber für den Alltag oft wichtiger als eine neue Funktion. Denn viele Angriffe nutzen keine exotischen Schwachstellen, sondern schlecht gepflegte Standards, zu breite Berechtigungen oder alte Kompatibilitätsreste. Genau hier setzt die Baseline an. Sie macht aus Best Practices konkrete Vorgaben, die sich nachvollziehbar anwenden lassen. Wer Windows Server 2025 betreibt, bekommt damit einen klareren Rahmen für sichere Standardeinstellungen.