(Original 11.03.2024) Microsoft hat in einem neuen Beitrag den Ablauf der Absicherung (Härtung) von Windows 10, Windows 11 und Server in einem neuen Terminplan zusammengestellt. Dieser Terminplan geht rückwirkend von April 2023 bis derzeit Februar 2025. Dabei geht es um die Kerberos PAC-Signaturen, den Schutz vor Umgehung von Secure Boot. Die Änderungen am Netlogon-Protokoll, sowie die Zertifikatsbasierte Authentifizierung (Server).
Für diese einzelnen Absicherungen, die Microsoft nach und nach integriert und aktiviert, gibt es inzwischen schon einzelne Beiträge. So die Änderungen am Netlogon- und Kerberos-Protokoll. Die Secure Boot-Änderungen und die Änderungen an der zertifikatbasierten Authentifizierung.
Die noch ausstehenden Termine sind:
- April 2024: Secure Boot-Schutz – Dritte Bereitstellungsphase. In dieser Phase werden zusätzliche Schutzmaßnahmen für den Bootmanager hinzugefügt. Diese Phase wird frühestens am 9. April 2024 beginnen.
- Oktober 2024: Secure Boot-Schutz – Verpflichtende Durchsetzungsphase. Die Aufhebungen (Code Integrity Boot policy und Secure Boot disallow list) werden nach der Installation von Windows-Updates auf allen betroffenen Systemen programmatisch durchgesetzt und können nicht mehr deaktiviert werden.
- Februar 2025 (Server) Zertifikatsbasierte Authentifizierung – Vollständiger Erzwingungsmodus. Wenn ein Zertifikat nicht eindeutig zugeordnet werden kann, wird die Authentifizierung verweigert.
(Update 18.01.2025): Die noch ausstehenden Termine für 2025 wurden aktualisiert.
- Januar 2025 PAC-Validierungsänderungen KB5037754 | Erzwingungsphase standardmäßig
- Updates, die im oder nach Januar 2025 veröffentlicht werden, versetzen alle Windows-Domänencontroller und -Clients in der Umgebung in den Modus „Erzwungen“. In diesem Modus wird standardmäßig ein sicheres Verhalten erzwungen. Vorhandene Registrierungsschlüsseleinstellungen, die zuvor festgelegt wurden, setzen diese Änderung des Standardverhaltens außer Kraft. Die Standardeinstellungen für den erzwungenen Modus können von einem Administrator außer Kraft gesetzt werden, um zum Kompatibilitätsmodus zurückzukehren.
- Februar 2025 Zertifikatsbasierte Authentifizierung KB5014754 | Phase 3
- Vollständiger Durchsetzungsmodus. Wenn ein Zertifikat nicht eindeutig zugeordnet werden kann, wird die Authentifizierung verweigert.
- April 2025 Änderungen bei der PAC-Validierung KB5037754 | Durchsetzungsphase
- Die Windows-Sicherheitsupdates, die im oder nach April 2025 veröffentlicht werden, entfernen die Unterstützung für die Registrierungsunterschlüssel PacSignatureValidationLevel und CrossDomainFilteringLevel und erzwingen das neue Sicherheitsverhalten. Nach der Installation des Updates vom April 2025 gibt es keine Unterstützung für den Kompatibilitätsmodus mehr.
Windows 11 Tutorials und Hilfe
- In unserem Windows 11 Wiki findet ihr sehr viele hilfreiche Tipps und Tricks.
- Falls ihr Fragen habt, dann stellt diese ganz einfach bei uns im Forum.
- Installationsmedien: Aktuelle Windows 11 ISOs findet ihr hier: 23H2 22631, oder 24H2 26100. Ansonsten immer in der rechten Sidebar.
- Windows 11 neu clean installieren Tipps und Tricks.
- Windows 11 auch ohne TPM und Secure Boot installieren.
- Windows 11 mit lokalem Konto auch Offline installieren.
- Windows 11 Inplace Upgrade Reparatur oder Feature Update.
- Automatisch anmelden Pin entfernen Windows 11.
- Alle Beiträge zu Windows 11 im Blog findet ihr über diese Seite. Wobei auch alle anderen Artikel interessant sein können.