Windows Server 2025 Security Baseline v2602: NTLM-Auditing, Sudo-Deaktivierung und neue Härtungsmaßnahmen
📖 Lesezeit: ca. 4 Minuten
Microsoft hat im Februar 2026 die überarbeitete Security Baseline v2602 für Windows Server 2025 veröffentlicht. Das Update verschärft die Standardkonfigurationen für Gruppenrichtlinien und Registry-Einstellungen mit dem Ziel, Legacy-Angriffsflächen zu reduzieren und die NTLM-Ablösung vorzubereiten. Für IT-Administratoren bedeutet das: Testen, Anpassen und schrittweise ausrollen.
Security Baselines sind Microsofts empfohlene Sicherheitskonfigurationen – vorkonfigurierte GPOs, Registry-Einstellungen und gehärtete Policies. Sie dienen als Ausgangspunkt für standardisierte, sichere Serverumgebungen und werden über das Microsoft Security Compliance Toolkit bereitgestellt.
Die wichtigsten Änderungen in v2602
Sudo-Modus deaktiviert
Die wohl auffälligste Änderung: Der sudo-Befehl wird auf Member Servern und Domain Controllern standardmäßig deaktiviert. Microsoft stuft sudo als potenziellen Angriffsvektor für Privilege Escalation ein, da es UAC-Prompts umgehen und Angreifern erhöhte Rechte verschaffen kann – insbesondere in Active Directory-Umgebungen.
Organisationen, die sudo für Automations-Scripts, Orchestrierung oder delegierte Administration nutzen, müssen ihre Workflows vor der Übernahme der Baseline anpassen. Scripts, die
sudo aufrufen, werden nach Anwendung der Policy fehlschlagen.Erweiterte NTLM-Auditing-Empfehlungen
Microsoft treibt die NTLM-Ablösung weiter voran. Die v2602-Baseline führt drei neue Auditing-Empfehlungen ein, die als Vorbereitung für spätere NTLM-Einschränkungen dienen:
→
Restrict NTLM: Audit Incoming NTLM Traffic – Auf „Enable auditing for all accounts” setzen (MS + DC). Protokolliert alle eingehenden NTLM-Anfragen, die bei späterer Enforcement blockiert würden.
→
Restrict NTLM: Audit NTLM authentication in this domain – Auf „Enable all” setzen (DC). Protokolliert NTLM-Pass-Through-Authentifizierungen auf Domain-Ebene.
→
Outgoing NTLM traffic to remote servers – Auf „Audit all” setzen (MS + DC). Identifiziert Server, die noch NTLM-Traffic empfangen.
Zusätzlich aktiviert Windows Server 2025 automatisch zwei neue NTLM-Auditing-Funktionen, die detaillierte Logs für Sicherheitsteams bereitstellen. Diese sind standardmäßig aktiv und erfordern keine manuelle Konfiguration.
🔧 Passende Tools von IT-Service Walter
GPO Analyzer Pro – GPO-Infrastruktur analysieren, Sicherheitsrisiken und Compliance-Verstöße automatisiert erkennen
ISW-ADVital – Active Directory Sicherheitsanalyse inkl. Kerberos-Delegierungen, Passwortrichtlinien und LAPS-Status
AuditPol Manager Pro – Windows-Auditpol-Verwaltung mit Best-Practice-Empfehlungen nach internationalen Standards
Weitere Änderungen
Stärkerer Schutz gegen die Return of Coppersmith’s Attack (ROCA), eine Schwachstelle in bestimmten RSA-Schlüsseln. ROCA-anfällige Windows Hello for Business-Schlüssel werden blockiert.
Neue RPC-Konfigurationen erzwingen TCP mit Authentifizierung. Der Print Spooler erhält eingeschränkte Impersonation-Rechte über RESTRICTED SERVICES\PrintSpoolerService.
Internet Explorer 11 wird in der Baseline standardmäßig deaktiviert. Die Policy „Prevent downloading of enclosures” wurde entfernt, da sie auf Server 2025 nicht mehr anwendbar ist.
Zusätzliche Empfehlungen zur Absicherung von SMB-Server-Konfigurationen, passend zur breiteren Strategie der TLS 1.2-Durchsetzung und Verschlüsselungsmodernisierung.
Rollout-Strategie: So gehen Sie vor
Microsoft betont ausdrücklich, dass die Baseline nicht ohne vorherige Tests in Produktivumgebungen angewendet werden sollte. Die empfohlene Vorgehensweise:
Aktivieren Sie die drei NTLM-Auditing-Policies und sammeln Sie Event-Logs über mindestens 2-4 Wochen. Identifizieren Sie alle Systeme und Anwendungen mit NTLM-Abhängigkeiten.
Laden Sie das Baseline-Paket über das Security Compliance Toolkit herunter und testen Sie es in einer isolierten Umgebung. Prüfen Sie insbesondere sudo-abhängige Scripts und Druckinfrastruktur.
Aktualisieren Sie Automations-Scripts, die sudo verwenden. Migrieren Sie NTLM-abhängige Anwendungen auf Kerberos. Dokumentieren Sie Ausnahmen.
Starten Sie mit einer Pilotgruppe und überwachen Sie SIEM-Events und Helpdesk-Tickets. Erweitern Sie den Rollout schrittweise.
Nach erfolgreicher Pilotphase: Baseline per GPO auf alle Server anwenden. Kontinuierliches Monitoring sicherstellen.
🛡️ Compliance automatisiert prüfen
Security Configuration Manager – Windows-Sicherheitseinstellungen nach CIS Benchmark, BSI Grundschutz & NIST prüfen
Group Policy Backup & Restore Manager – GPOs vollständig sichern und wiederherstellen inkl. Verlinkungen und WMI-Filter
Windows Live-Ereignismonitor – Echtzeit-Überwachung von Ereignisprotokollen lokal und remote
PowerShell: NTLM-Events auswerten
Mit folgendem Script können Sie die NTLM-Auditing-Events auf Ihren Domain Controllern sammeln und auswerten:
$startDate = (Get-Date).AddDays(-7)
$ntlmEvents = Get-WinEvent -FilterHashtable @{
LogName = ‘Microsoft-Windows-NTLM/Operational’
StartTime = $startDate
} -ErrorAction SilentlyContinue
# Nach Quell-IP gruppieren
$ntlmEvents | Group-Object -Property {
$_.Properties[0].Value
} | Sort-Object Count -Descending |
Select-Object Count, Name -First 20 |
Format-Table -AutoSize
Die Security Baseline v2602 ist Microsofts bisher deutlichstes Signal in Richtung NTLM-Abschaltung und Zero-Trust-Härtung auf Serverebene. Die Deaktivierung von sudo und die erweiterten Auditing-Empfehlungen erfordern eine sorgfältige Vorbereitung – insbesondere in Umgebungen mit gewachsener Automatisierung. Die Investition in eine strukturierte NTLM-Inventur zahlt sich jetzt aus und erspart spätere Notfall-Rollbacks.