{"id":308727,"date":"2025-02-21T06:00:27","date_gmt":"2025-02-21T05:00:27","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=308727"},"modified":"2025-02-24T06:52:52","modified_gmt":"2025-02-24T05:52:52","slug":"windows-10-11-und-server-absicherung-zeitplaene-2025-und-danach","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/02\/21\/windows-10-11-und-server-absicherung-zeitplaene-2025-und-danach\/","title":{"rendered":"Windows 10\/11 und Server-Absicherung: Zeitpl\u00e4ne 2025 und danach"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Windows\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Windows-klein.jpg\" alt=\"Windows\" width=\"200\" \/>[<a href=\"https:\/\/borncity.com\/win\/2025\/02\/22\/windows-10-11-and-server-hardening-timeline-for-2025-and-beyond\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Kurze Erinnerung, dass Microsoft bereits im Februar 2025 mit der H\u00e4rtung von Windows-Clients und Server f\u00fcr das Kerberos-Protokoll Ernst macht. Zudem hat Microsoft bei der Kerberos-Richtlinie f\u00fcr Host-Namen eine Beschr\u00e4nkung der String-L\u00e4nge eingef\u00fchrt. Hier eine Erinnerung an die Zeitpl\u00e4ne zur stufenweisen H\u00e4rtung sowie zur Begrenzung der Stringl\u00e4nge in der Host-to-Realm-Richtlinie in Kerberos, die im Februar 2025 eingef\u00fchrt wurde.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg02.met.vgwort.de\/na\/145219a892474c87815abca492ea395f\" alt=\"\" width=\"1\" height=\"1\" \/>Ich hatte mehrfach hier im Blog \u00fcber die betreffenden H\u00e4rtungsma\u00dfnahmen f\u00fcr Windows-Clients und -Server berichtet. Im Januar 2025 hatten die Kollegen von deskmodder.de im Beitrag\u00a0<a href=\"https:\/\/www.deskmodder.de\/blog\/2025\/01\/18\/windows-10-11-server-windows-absicherung-und-wichtige-termine-im-ueberblick\/\" target=\"_blank\" rel=\"noopener\">Windows 10, 11, Server Windows-Absicherung und wichtige Termine im \u00dcberblick<\/a> gegeben. Und Ende Januar 2025 war mir der nachfolgende Post untergekommen.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/i.postimg.cc\/ht6wsZzJ\/image.png\" alt=\"Windows Hardening\" width=\"600\" height=\"559\" \/><\/p>\n<p>Richard Hicks wies darauf hin, dass Microsoft ab Februar 2025 die vollst\u00e4ndige Durchsetzung einer starken Zertifikatszuordnung auf Dom\u00e4nencontrollern einschalten werde. Systeme, die nicht darauf vorbereitet sind, d\u00fcrften Ausf\u00e4lle zeigen. Hicks vermutet, dass es im Bereich Wi-Fi und VPN \u00c4rger geben k\u00f6nnte. Er hat dazu den Artikel\u00a0<a href=\"https:\/\/directaccess.richardhicks.com\/2025\/01\/27\/strong-certificate-mapping-enforcement-february-2025\/\" target=\"_blank\" rel=\"noopener\">Strong Certificate Mapping Enforcement February 2025<\/a> ver\u00f6ffentlicht. Nun ist der Februar 2025-Patchday vorbei und die Enforcement-Ma\u00dfnahmen sollten vorbei sein.<\/p>\n<h2 id=\"page-header\">Windows Hardening-Zeitpl\u00e4ne<\/h2>\n<p>Zum 19. Februar 2025 hat Microsoft nun seinen Support-Beitrag\u00a0<a href=\"https:\/\/support.microsoft.com\/en-us\/topic\/latest-windows-hardening-guidance-and-key-dates-eb1bd411-f68c-4d74-a4e1-456721a6551b\" target=\"_blank\" rel=\"noopener\">Latest Windows hardening guidance and key dates<\/a> aktualisiert (die \u00c4nderungen sich redaktioneller Natur), weshalb ich das Thema nochmals zur Erinnerung aufgreife. Hier die Termine f\u00fcr 2025 und danach.<\/p>\n<ul>\n<li><strong>Januar 2025:<\/strong> PAC Validation changes (<a class=\"ocpExternalLink\" href=\"https:\/\/support.microsoft.com\/topic\/6e661d4f-799a-4217-b948-be0a1943fef1\" target=\"_blank\" rel=\"noopener\" data-bi-type=\"anchor\">KB5037754<\/a>\u200b\u200b\u200b\u200b\u200b\u200b\u200b), Enforcement by default-Phase. Updates f\u00fcr Januar 2025 und danach versetzen alle Windows-Dom\u00e4nencontroller und Clients in der jeweiligen Umgebung in den erzwungenen Modus (Enforcement Modus). In diesem Modus wird standardm\u00e4\u00dfig ein sicheres Verhalten erzwungen. Vorhandene Registrierungsschl\u00fcssel-Einstellungen, die zuvor festgelegt wurden, setzen diese \u00c4nderung des Standardverhaltens au\u00dfer Kraft. Die Standardeinstellungen f\u00fcr den erzwungenen Modus k\u00f6nnen von einem Administrator au\u00dfer Kraft gesetzt werden, um zum Kompatibilit\u00e4tsmodus zur\u00fcckzukehren.<\/li>\n<li><strong>Februar 2025:<\/strong> Mit den Updates vom Februar 2025 (siehe <a class=\"ocpExternalLink\" href=\"https:\/\/support.microsoft.com\/help\/5014754\" target=\"_blank\" rel=\"noopener\" data-bi-type=\"anchor\">KB5014754<\/a>)\u00a0und danach wird die Phase 3 bei der Certificate-based Authentication (Full Enforcement Mode) aktiviert. Wenn ein Zertifikat nicht eindeutig zugeordnet werden kann, wird die Authentifizierung verweigert.<\/li>\n<li><strong>April 2025:\u00a0<\/strong>PAC Validation Changes <a class=\"ocpExternalLink\" href=\"https:\/\/support.microsoft.com\/topic\/6e661d4f-799a-4217-b948-be0a1943fef1\" target=\"_blank\" rel=\"noopener\" data-bi-type=\"anchor\">KB5037754<\/a>\u200b\u200b\u200b\u200b\u200b\u200b\u200b (Enforcement Phase). Die Windows-Sicherheitsupdates, die zum April 2025 oder danach ver\u00f6ffentlicht werden, entfernen die Unterst\u00fctzung f\u00fcr die Registrierungsunterschl\u00fcssel <em>PacSignatureValidationLevel<\/em> und <em>CrossDomainFilteringLevel<\/em> und erzwingen das neue Sicherheitsverhalten. Nach der Installation des Updates vom April 2025 gibt es keine Unterst\u00fctzung f\u00fcr den Kompatibilit\u00e4tsmodus mehr.<\/li>\n<\/ul>\n<p>Wer noch mit Windows XP-Systemen in einer AD-Umgebung befasst ist, sollte sich die Kommentare im Beitrag <a href=\"https:\/\/borncity.com\/blog\/2024\/10\/30\/kerberos-pac-schwachstellen-kommt-das-ende-fuer-windows-xp-im-april-2025\/\">Kerberos PAC-Schwachstellen: Kommt das Ende f\u00fcr Windows XP im April 2025?<\/a> durchlesen.<\/p>\n<p>Ab Januar 2026 gibt es dann weitere \u00c4nderungen zum Secure Boot Bypass-Schutz (<a class=\"ocpExternalLink\" href=\"https:\/\/support.microsoft.com\/help\/5025885\" target=\"_blank\" rel=\"noopener\" data-bi-type=\"anchor\">KB5025885<\/a>) und die Enforcement Phase beginnt. Microsoft will den Artikel mindestens sechs Monate vor Beginn der Durchsetzungsphase (Enforcement) aktualisieren. Die\u00a0Updates f\u00fcr die Durchsetzungsphase werden sie Folgendes beinhalten:<\/p>\n<blockquote><p>Das \u201eWindows Production PCA 2011\"-Zertifikat wird automatisch widerrufen, indem es der Secure Boot UEFI Forbidden List (DBX) auf f\u00e4higen Ger\u00e4ten hinzugef\u00fcgt wird. Diese Updates werden nach der Installation von Windows-Updates auf allen betroffenen Systemen programmatisch durchgesetzt, ohne dass eine Option zur Deaktivierung besteht.<\/p><\/blockquote>\n<p>Damit wird vermutlich auch die Frage beantwortet, was passiert, wenn das Windows UEFI CA 2023 Zertifikat auf den betreffenden Maschinen nicht installiert ist (siehe\u00a0<a href=\"https:\/\/borncity.com\/blog\/2024\/08\/27\/frage-blacklotus-schwachstelle-und-ablaufendes-uefi-zertifikat-was-droht-uns\/\" rel=\"bookmark\">Frage: BlackLotus-Schwachstelle und ablaufendes UEFI-Zertifikat \u2013 was droht uns?<\/a>). Ansonsten gilt, dass Details in den verlinkten Microsoft-Support-Beitr\u00e4gen nachzulesen sind.<\/p>\n<h2>String-L\u00e4nge bei Kerberos-Richtlinie f\u00fcr Host-Namen<\/h2>\n<p>Microsoft hat zum 20. Februar 2025 noch den Support-Beitrag\u00a0<a href=\"https:\/\/support.microsoft.com\/en-us\/topic\/kerberos-realm-to-host-mapping-policy-string-length-limitations-e86856c2-1e02-43fe-9c58-d7c9d6386f01\" target=\"_blank\" rel=\"noopener\">Kerberos realm to host mapping policy string-length limitations<\/a> (KB5054215) ver\u00f6ffentlicht (<a href=\"https:\/\/www.deskmodder.de\/blog\/2025\/02\/20\/beschraenkung-der-string-laenge-bei-der-kerberos-richtlinie-fuer-host-namen-ab-februar-2025\/\" target=\"_blank\" rel=\"noopener\">via<\/a>). Die Host-to-Realm-Richtlinie in Kerberos wird verwendet, um einen Host (z. B. einen Client-Computer oder Server) einem bestimmten Kerberos-Realm zuzuordnen (siehe <a class=\"ocpExternalLink\" href=\"https:\/\/learn.microsoft.com\/windows\/client-management\/mdm\/policy-csp-admx-kerberos\" target=\"_blank\" rel=\"noopener\" data-bi-type=\"anchor\">Policy CSP &#8211; ADMX_Kerberos<\/a>). Nun hat Microsoft Beschr\u00e4nkungen der Zeichenfolgenl\u00e4nge in der Host-zu-Realm-Richtlinie f\u00fcr Kerberos mit dem Februar 2025-Update eingef\u00fchrt.<\/p>\n<ul>\n<li><b class=\"ocpLegacyBold\">User Interface (UI)<\/b> Zeichenlimit f\u00fcr Hostnamen: Das Gruppenrichtlinien-Editor-Steuerelement, das zur Eingabe der Daten verwendet wird, l\u00e4dt nicht mehr als 1.024 Zeichen in den Eintrag der Realm-Hostdatei-Liste. Nutzer k\u00f6nnen jedoch bis zu 32.767 Zeichen eingeben und diese erfolgreich in <a class=\"ocpExternalLink\" href=\"https:\/\/learn.microsoft.com\/previous-versions\/windows\/desktop\/policy\/registry-policy-file-format\" target=\"_blank\" rel=\"noopener\" data-bi-type=\"anchor\">registry.pol<\/a> schreiben.<\/li>\n<li><b class=\"ocpLegacyBold\">Character limit for Host Names:<\/b> Der Kerberos-Client, der diese Einstellung auf dem Ger\u00e4t liest, f\u00fcr das die Richtlinie gilt, hat ein hartes Limit von 2.048 Zeichen f\u00fcr die Hostnamenliste.<\/li>\n<\/ul>\n<p>Die L\u00e4ngenbeschr\u00e4nkungen f\u00fcr Zeichenketten gelten bei einer Active Directory-Dom\u00e4ne und einen Drittanbieter-Realm wie FreeBSD oder Linux mit einem MIT-Trust. Und sie werden relevant, wenn Umgebungen mehrere SPN-Suffixe oder eine Liste von Hosts, die manuell dem Realm zugeordnet sind, der dem AD Forest vertraut, unterst\u00fctzen. Microsoft beschreibt im Supportbeitrag Ma\u00dfnahmen, um Probleme mit diesen Beschr\u00e4nkungen der Zeichenfolgenl\u00e4nge umzugehen.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/10\/30\/kerberos-pac-schwachstellen-kommt-das-ende-fuer-windows-xp-im-april-2025\/\">Kerberos PAC-Schwachstellen: Kommt das Ende f\u00fcr Windows XP im April 2025?<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/09\/23\/active-directory-hardening-erzwingen-der-ldap-kanalbindung\/\" rel=\"bookmark\">Active Directory Hardening: Erzwingen der LDAP-Kanalbindung<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/12\/11\/microsoft-rollt-windows-haertung-gegen-standard-ntlm-relay-angriffe-aus\/\" rel=\"bookmark\">Microsoft rollt Windows-H\u00e4rtung gegen Standard-NTLM-Relay-Angriffe aus<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/09\/05\/windows-11-server-2024-smb-security-hardening\/\" rel=\"bookmark\">Windows 11\/Server 2024 SMB Security-Hardening<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/12\/04\/windows-11-23h2-hardening-ad-domain-computer-rejoin-schlaegt-fehl\/\" rel=\"bookmark\">Windows 11 23H2 Hardening: AD Domain Computer ReJoin schl\u00e4gt fehl<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2025\/02\/05\/windows-10-11-kb5053484-neues-ps-script-fuer-zertifikate-in-boot-medien\/\" rel=\"bookmark\">Windows 10\/11 KB5053484: Neues PS-Script f\u00fcr Zertifikate in Boot-Medien<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/01\/30\/windows-10-insides-zum-secure-boot-auf-uefi-systemen\/\" rel=\"bookmark\">Windows 10: Insides zum Secure-Boot auf UEFI-Systemen<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/08\/27\/frage-blacklotus-schwachstelle-und-ablaufendes-uefi-zertifikat-was-droht-uns\/\" rel=\"bookmark\">Frage: BlackLotus-Schwachstelle und ablaufendes UEFI-Zertifikat \u2013 was droht uns?<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Kurze Erinnerung, dass Microsoft bereits im Februar 2025 mit der H\u00e4rtung von Windows-Clients und Server f\u00fcr das Kerberos-Protokoll Ernst macht. Zudem hat Microsoft bei der Kerberos-Richtlinie f\u00fcr Host-Namen eine Beschr\u00e4nkung der String-L\u00e4nge eingef\u00fchrt. Hier eine Erinnerung an die Zeitpl\u00e4ne zur &hellip; <a href=\"https:\/\/borncity.com\/blog\/2025\/02\/21\/windows-10-11-und-server-absicherung-zeitplaene-2025-und-danach\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[301,3694,2557],"tags":[4328,3288],"class_list":["post-308727","post","type-post","status-publish","format-standard","hentry","category-windows","category-windows-10","category-windows-server","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/308727","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=308727"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/308727\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=308727"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=308727"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=308727"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}