Gilt für
Windows Server 2012 Windows Server 2012 R2 ESU Windows 10 Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows Server 2016 Windows 10 Enterprise version 1607 Windows 10 Pro Education, version 1607 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 DO_NOT_USE_Windows 11 IoT Enterprise, version 23H2

Ursprüngliches Veröffentlichungsdatum: April 2023

KB-ID: 5036534

Datum ändern

Beschreibung

8. April 2025

  • Informationen zu Schutzmaßnahmen für ein Sicherheitsrisiko mit Kerberos-Authentifizierung für CVE-2025-26647 wurden hinzugefügt.

19. Februar 2025

  • Die Formulierung des Abschnitts "Einführung" wurde überarbeitet.

  • Der Abschnitt "Härtungsänderungen auf einen Blick" wurde entfernt, da die Informationen veraltet sind.

  • Der Abschnitt "Andere Wichtige Änderungen in Windows" für Verweise auf die Features und Funktionen, die nicht mehr in Windows entwickelt werden, wurde hinzugefügt.

30. Januar 2025

  • Der Eintrag Januar 2026 oder höher wurde im Abschnitt "Härten von Änderungen nach Monat" hinzugefügt.

17. Januar 2025

  • Die Einträge April 2024, Januar 2025 und April 2025 wurden im Abschnitt "Härtungsänderungen nach Monat" hinzugefügt.

10. März 2024

  • Die monatliche Zeitleiste wurde überarbeitet, um weitere hardening-bezogene Inhalte hinzuzufügen, und der Eintrag vom Februar 2024 wurde aus dem Zeitleiste entfernt, da er nicht härter wird.

Einführung

Die Härtung ist ein Schlüsselelement unserer fortlaufenden Sicherheitsstrategie, um Ihren Bestand zu schützen, während Sie sich auf Ihre Arbeit konzentrieren. Immer kreativere Cyberbedrohungen zielen schwachstellen überall hin, vom Chip bis in die Cloud.

In diesem Artikel werden anfällige Bereiche erläutert, in denen Härtungsänderungen durchgeführt werden, die über Windows-Sicherheitsupdates implementiert werden. Wir veröffentlichen auch Erinnerungen im Windows-Nachrichtencenter , um IT-Administratoren bei der Härtung wichtiger Termine zu warnen, während sie sich nähern.  

Hinweis: Dieser Artikel wird im Laufe der Zeit aktualisiert, um die neuesten Informationen zu Härtungsänderungen und Zeitplänen bereitzustellen. Lesen Sie den Abschnitt Änderungsprotokoll , um die neuesten Änderungen nachzuverfolgen.

Härten von Änderungen nach Monat

Lesen Sie die Details zu den letzten und bevorstehenden Härtungsänderungen nach Monat, um Sie bei der Planung der einzelnen Phasen und der endgültigen Erzwingung zu unterstützen.

  • Netlogon-Protokolländerungen KB5021130 | Phase 2 Erste Erzwingungsphase. Entfernt die Möglichkeit, die RPC-Versiegelung zu deaktivieren, indem der Wert 0 auf den Registrierungsunterschlüssel RequireSeal festgelegt wird.

  • Zertifikatbasierte authentifizierung KB5014754 | Phase 2 Entfernt den deaktivierten Modus.

  • Schutz durch Umgehung des sicheren Starts KB5025885 | Phase 1 Anfängliche Bereitstellungsphase. Windows Updates am oder nach dem 9. Mai 2023 veröffentlicht, um Sicherheitsrisiken zu beheben, die in CVE-2023-24932 erläutert wurden, Änderungen an Windows-Startkomponenten und zwei Sperrdateien, die manuell angewendet werden können (eine Codeintegritätsrichtlinie und eine aktualisierte Liste für sichere Startverbote (DBX)).

  • Netlogon-Protokolländerungen KB5021130 | Phase 3 Standardmäßige Erzwingung. RequireSeal-Unterschlüssel wird in den Erzwingungsmodus verschoben, es sei denn, Sie konfigurieren ihn explizit im Kompatibilitätsmodus.

  • Kerberos PAC Signatures KB5020805 | Phase 3 Dritte Bereitstellungsphase. Entfernt die Möglichkeit, das Hinzufügen von PAC-Signaturen zu deaktivieren, indem der Unterschlüssel KrbtgtFullPacSignature auf den Wert 0 festgelegt wird.

  • Netlogon-Protokolländerungen KB5021130 | Phase 4 Endgültige Erzwingung. Die am 11. Juli 2023 veröffentlichten Windows-Updates entfernen die Möglichkeit, den Wert 1 für den Registrierungsunterschlüssel RequireSealfestzulegen. Dadurch wird die Erzwingungsphase von CVE-2022-38023 aktiviert.

  • Kerberos PAC Signatures KB5020805 | Phase 4 Anfänglicher Erzwingungsmodus. Entfernt die Möglichkeit, den Wert 1 für den Unterschlüssel KrbtgtFullPacSignature festzulegen, und wechselt in den Erzwingungsmodus als Standard (KrbtgtFullPacSignature = 3), den Sie mit einer expliziten Überwachungseinstellung überschreiben können. 

  • Schutz durch Umgehung des sicheren Starts KB5025885 | Phase 2 Zweite Bereitstellungsphase. Updates für Windows, die am oder nach dem 11. Juli 2023 veröffentlicht wurden, umfassen die automatisierte Bereitstellung der Sperrdateien, neue Ereignisprotokollereignisse zum Melden, ob die Sperrbereitstellung erfolgreich war, und das SafeOS Dynamic Update-Paket für WinRE.

  • Kerberos PAC Signatures KB5020805 | Phase 5

    Vollständige Erzwingungsphase. Entfernt die Unterstützung für den Registrierungsunterschlüssel KrbtgtFullPacSignature, entfernt die Unterstützung für den Überwachungsmodus , und für alle Diensttickets ohne die neuen PAC-Signaturen wird die Authentifizierung verweigert.

  • Aktualisierungen von Active Directory-Berechtigungen (AD) KB5008383 | Phase 5 Letzte Bereitstellungsphase. Die letzte Bereitstellungsphase kann beginnen, nachdem Sie die schritte ausgeführt haben, die im Abschnitt "Aktion ergreifen" von KB5008383 aufgeführt sind. Um in den Erzwingungsmodus zu wechseln, befolgen Sie die Anweisungen im Abschnitt "Bereitstellungsanleitung", um die 28. und 29. Bits für das dSHeuristics-Attribut festzulegen. Überwachen Sie dann die 3044-3046-Ereignisse. Sie melden, wenn der Erzwingungsmodus einen LDAP-Vorgang zum Hinzufügen oder Ändern blockiert hat, der möglicherweise zuvor im Überwachungsmodus zulässig war. 

  • Schutz durch Umgehung des sicheren Starts KB5025885 | Phase 3 Dritte Bereitstellungsphase. In dieser Phase werden zusätzliche Risikominderungen für den Start-Manager hinzugefügt. Diese Phase beginnt frühestens am 9. April 2024.

  • PAC-Validierungsänderungen KB5037754 | Kompatibilitätsmodusphase

    Die erste Bereitstellungsphase beginnt mit den Updates, die am 9. April 2024 veröffentlicht wurden. Dieses Update fügt ein neues Verhalten hinzu, das die in CVE-2024-26248 und CVE-2024-29056 beschriebenen Sicherheitsrisiken durch Rechteerweiterungen verhindert, es aber nur erzwingt, wenn sowohl Windows-Domänencontroller als auch Windows-Clients in der Umgebung aktualisiert werden.

    Um das neue Verhalten zu aktivieren und die Sicherheitsrisiken zu minimieren, müssen Sie sicherstellen, dass Ihre gesamte Windows-Umgebung (einschließlich Domänencontrollern und Clients) aktualisiert wird. Überwachungsereignisse werden protokolliert, um Geräte zu identifizieren, die nicht aktualisiert werden.

  • Schutz durch Umgehung des sicheren Starts KB5025885 | Phase 3 Obligatorische Erzwingungsphase. Die Sperrungen (Codeintegritäts-Startrichtlinie und Verbotsliste für den sicheren Start) werden programmgesteuert erzwungen, nachdem Updates für Windows auf allen betroffenen Systemen installiert wurden, ohne dass die Option deaktiviert werden kann.

  • PAC-Validierungsänderungen KB5037754 | Standardmäßige Erzwingungsphase

    Updates, die im Oder nach Januar 2025 veröffentlicht wurden, verschieben alle Windows-Domänencontroller und -Clients in der Umgebung in den Erzwungenen Modus. Dieser Modus erzwingt standardmäßig sicheres Verhalten. Vorhandene Registrierungsschlüsseleinstellungen, die zuvor festgelegt wurden, setzen diese Standardverhaltensänderung außer Kraft.

    Die Standardeinstellungen für den erzwungenen Modus können von einem Administrator überschrieben werden, um in den Kompatibilitätsmodus zu rückgängig machen.

  • zertifikatbasierte authentifizierung KB5014754 | Phase 3 Vollständiger Erzwingungsmodus. Wenn ein Zertifikat nicht stark zugeordnet werden kann, wird die Authentifizierung verweigert.

  • PAC-Validierungsänderungen KB5037754 | Erzwingungsphase Die windows-Sicherheitsupdates, die im Oder nach April 2025 veröffentlicht wurden, entfernen die Unterstützung für die Registrierungsunterschlüssel PacSignatureValidationLevel und CrossDomainFilteringLevel und erzwingen das neue sichere Verhalten. Nach der Installation des Updates vom April 2025 wird der Kompatibilitätsmodus nicht mehr unterstützt.

  • Kerberos-Authentifizierungsschutz für CVE-2025-26647 KB5057784 | Überwachungsmodus Die erste Bereitstellungsphase beginnt mit den Updates, die am 8. April 2025 veröffentlicht wurden. Diese Updates fügen ein neues Verhalten hinzu, das das in CVE-2025-26647 beschriebene Sicherheitsrisiko der Rechteerweiterung erkennt, aber nicht erzwingt. Um das neue Verhalten zu aktivieren und vor der Sicherheitsanfälligkeit zu schützen, müssen Sie sicherstellen, dass alle Windows-Domänencontroller aktualisiert werden und die Registrierungsschlüsseleinstellung AllowNtAuthPolicyBypass auf 2 festgelegt ist.

  • Kerberos-Authentifizierungsschutz für CVE-2025-26647 KB5057784 | Durch Standardphase erzwungen Updates im oder nach Juli 2025 veröffentlicht, erzwingt standardmäßig die NTAuth Store-Überprüfung. Mit der Registrierungsschlüsseleinstellung AllowNtAuthPolicyBypass können Kunden bei Bedarf in den Überwachungsmodus zurückkehren. Die Möglichkeit, dieses Sicherheitsupdate vollständig zu deaktivieren, wird jedoch entfernt.

  • Kerberos-Authentifizierungsschutz für CVE-2025-26647 KB5057784 | Erzwingungsmodus ​​​​​​​Updates, die im oder nach Oktober 2025 veröffentlicht wurden, wird die Microsoft-Unterstützung für den Registrierungsschlüssel AllowNtAuthPolicyBypass eingestellt. In diesem Stadium müssen alle Zertifikate von Autoritäten ausgestellt werden, die Teil des NTAuth-Speichers sind.

  • Schutz durch Umgehung des sicheren Starts KB5025885 | Erzwingungsphase Die Durchsetzungsphase beginnt nicht vor Januar 2026, und wir werden mindestens sechs Monate im Voraus in diesem Artikel warnen, bevor diese Phase beginnt. Wenn Updates für die Erzwingungsphase veröffentlicht werden, enthalten sie Folgendes:

    • Das Zertifikat "Windows Production PCA 2011" wird automatisch widerrufen, indem es der UEFI Forbidden List (DBX) für den sicheren Start auf tauglichen Geräten hinzugefügt wird. Diese Updates werden programmgesteuert erzwungen, nachdem Updates für Windows auf allen betroffenen Systemen installiert wurden, ohne dass die Option deaktiviert werden kann.

Andere Wichtige Änderungen in Windows

Jede Version des Windows-Clients und Windows Server fügt neue Features und Funktionen hinzu. Gelegentlich entfernen neue Versionen auch Features und Funktionen, häufig weil eine neuere Option vorhanden ist. Ausführliche Informationen zu den Features und Funktionen, die in Windows nicht mehr entwickelt werden, finden Sie in den folgenden Artikeln.

Client

Server

Abrufen aktueller Nachrichten

Speichern Sie das Windows-Nachrichtencenter mit einem Lesezeichen, um die neuesten Updates und Erinnerungen einfach zu finden. Wenn Sie ein IT-Administrator mit Zugriff auf die Microsoft 365 Admin Center sind, richten Sie Email Einstellungen auf dem Microsoft 365 Admin Center ein, um wichtige Benachrichtigungen und Updates zu erhalten.

Facebook LinkedIn E-Mail
RSS-FEEDS ABONNIEREN

Benötigen Sie weitere Hilfe?

Möchten Sie weitere Optionen?

Erkunden Sie die Abonnementvorteile, durchsuchen Sie Trainingskurse, erfahren Sie, wie Sie Ihr Gerät schützen und vieles mehr.

Vorteile des Microsoft 365-Abonnements

Microsoft 365-Training

Microsoft Security

Barrierefreiheitscenter