Windows Server 2025 Hardening

Windows Server 2025 bringt moderne Sicherheitsfeatures – aber sie müssen aktiviert und konfiguriert werden. Eine Standardinstallation ist nicht automatisch sicher.

Secured-Core Server aktivieren:

• Virtualization-Based Security (VBS)
• Hypervisor-Protected Code Integrity (HVCI)
• System Guard Secure Launch
• Credential Guard
• Erfordert kompatible Hardware (TPM 2.0, UEFI, Secure Boot)

SMB-Härtung:

• SMBv1 deaktivieren (Ransomware-Schutz)
• SMB Signing erzwingen
• SMB Encryption aktivieren
• SMB über QUIC für Remote-Zugriffe

Credential Guard:

• Schützt NTLM-Hashes und Kerberos-Tickets
• Verhindert Pass-the-Hash-Angriffe
• Läuft in isoliertem Container
• Erfordert Secured-Core Voraussetzungen

BSI-Grundschutz Maßnahmen:

• SYS.1.2.3: Windows Server 2022/2025
• Minimale Dienste und Features
• Restriktive Firewall-Regeln
• Protokollierung und Monitoring
• Regelmäßige Updates (Hotpatching nutzen)

Zusätzliche Härtungsmaßnahmen:

• Local Administrator Password Solution (LAPS)
• Windows Defender Application Control (WDAC)
• Attack Surface Reduction (ASR) Regeln
• Network Level Authentication (NLA) für RDP
• Admin-Tiering (Tier 0/1/2)

Unser Vorgehen: Security-Audit → Baseline-Definition → Secured-Core aktivieren → GPO-Härtung → Monitoring einrichten → Dokumentation