Moderne Verschlüsselung und Sicherheitsfunktionen in Windows 11 24H2 und Windows Server 2025

Im Zuge der kontinuierlichen Weiterentwicklung seiner Betriebssysteme hat Microsoft bedeutende Änderungen im Bereich der Verschlüsselung und Sicherheit angekündigt. Insbesondere betrifft dies die Entfernung des veralteten Data Encryption Standard (DES) und die Einführung verbesserter Sicherheitsfunktionen in Windows Server 2025.

https://www.pexels.com/de-de/foto/llave-vintage-adornada-de-laton-en-el-teclado-de-computadora-negro-39389

Verschlüsselung ist längst nicht mehr nur ein technisches Detail – sie ist die Basis für Vertrauen und Sicherheit in einer vernetzten Welt. Im Jahr 2025 durchdringt sie alle Sphären digitaler Interaktion: von verschlüsselten Banktransaktionen über sichere Kommunikation in Messaging-Apps bis hin zum Schutz sensibler Patientendaten in der Telemedizin oder industrieller Steuerungssysteme im IIoT-Bereich.

Auch digitale Bildungsplattformen setzen zunehmend auf Ende-zu-Ende-Verschlüsselung, um Lernfortschritte, persönliche Daten und Live-Interaktionen zuverlässig zu schützen – insbesondere bei sensiblen Inhalten oder Prüfungsdaten. Und selbst im Unterhaltungssektor gilt, wo Transaktionen ausgeführt werden gelten höchste Sicherheitsstandards: Im Jahr 2025 setzen so auch iGaming Anbieter, wie zum Beispiel Poker-Seiten, auf moderne Verschlüsselung, um Spielerdaten, Ein- und Auszahlungen sowie Spielverläufe gegen Manipulation und Datenmissbrauch abzusichern.

Auch im Unternehmenskontext gewinnt Verschlüsselung stetig an Relevanz: Cloud-Dienste, Zero-Trust-Architekturen, automatisierte KI-Modelle, die personenbezogene Daten verarbeiten – all dies erfordert ein hohes Maß an Schutz durch moderne kryptografische Verfahren. Jede Schwachstelle in der Verschlüsselung ist ein potenzielles Einfallstor für Angriffe – sei es durch klassische Man-in-the-Middle-Taktiken, moderne KI-gestützte Angriffsstrategien oder sogenannte Quantum-ready-Angriffe, die bereits auf die Post-Quanten-Kryptografie abzielen.

Die Betriebssysteme und Server selbst spielen dabei eine Schlüsselrolle. Sie stellen das Fundament für den Schutz der gesamten IT-Umgebung dar. Deshalb kommt dem Schritt von Microsoft, die eigene Plattform von DES zu befreien und Sicherheitsmechanismen wie Credential Guard und Hotpatching zu integrieren, besondere Bedeutung zu.

Ab dem 9. September 2025 wird Microsoft den DES-Verschlüsselungsalgorithmus aus Kerberos in Windows 11 Version 24H2 und Windows Server 2025 entfernen. Diese Maßnahme ist Teil der Secure Future Initiative (SFI) von Microsoft, die darauf abzielt, veraltete und unsichere Verschlüsselungsprotokolle zu eliminieren.

Kerberos ist ein Netzwerk-Authentifizierungsprotokoll, das standardmäßig in Windows-Umgebungen verwendet wird. Obwohl DES seit Windows 7 und Windows Server 2008 R2 standardmäßig deaktiviert ist, konnte es bisher manuell für Kompatibilitätszwecke aktiviert werden. Mit der kommenden Änderung wird DES vollständig entfernt, was bedeutet, dass alle Systeme, die noch auf DES angewiesen sind, ihre Authentifizierungsmechanismen aktualisieren müssen.

Durch diese Schritte stellen Sie sicher, dass Ihre Umgebung auf die stärkere AES-Verschlüsselung umgestellt wird und somit den kommenden Sicherheitsanforderungen entspricht.

Windows Server 2025 führt mehrere sicherheitsrelevante Verbesserungen ein, die darauf abzielen, die Systemintegrität zu stärken und den Schutz sensibler Daten zu gewährleisten.

Windows Server 2025 unterstützt TLS 1.3 für verschlüsselte LDAP-Verbindungen (LDAPS), sofern Server und Clients entsprechend konfiguriert sind. TLS 1.3 bietet höhere Sicherheit durch verkürzte Handshakes, moderne Cipher Suites und besseren Datenschutz.

Eine automatische Umstellung erfolgt nicht – Administratoren müssen TLS 1.3 gezielt aktivieren, etwa durch angepasste Zertifikate und Protokolleinstellungen. Besonders in Active-Directory-Umgebungen mit sensiblen Authentifizierungsdaten ist die Migration auf TLS 1.3 ein wichtiger Schritt, um Protokoll-Downgrade-Angriffe und Abhörversuche effektiv zu verhindern.

Obwohl TLS 1.3 bereits 2018 standardisiert wurde, ist seine Einführung in vielen Unternehmen und Organisationen noch im Gange.

Credential Guard ist nun standardmäßig aktiviert und nutzt Virtualisierungstechnologie, um Anmeldeinformationen zu isolieren. Dies erschwert Angreifern den Zugriff auf sensible Daten wie Hashes von Benutzerpasswörtern.

Die Server Message Block (SMB)-Protokolle wurden verbessert, indem die SMB-Signierung für alle ausgehenden Verbindungen erzwungen wird. Dies schützt vor Man-in-the-Middle-Angriffen und stellt sicher, dass Datenintegrität und Authentizität gewährleistet sind.

Mit Hotpatching können Sicherheitsupdates angewendet werden, ohne dass ein Neustart des Systems erforderlich ist. Dies minimiert Ausfallzeiten und ermöglicht eine kontinuierliche Betriebsbereitschaft, insbesondere in kritischen Umgebungen.

Die Entfernung von DES und die Einführung verbesserter Sicherheitsfunktionen in Windows Server 2025 markieren einen bedeutenden Schritt in Richtung einer sicheren IT-Infrastruktur. Administratoren sollten proaktiv handeln, um ihre Systeme entsprechend zu aktualisieren und die neuen Sicherheitsstandards zu implementieren. Durch die Umstellung auf AES und die Nutzung der neuen Sicherheitsfunktionen können Organisationen ihre Daten besser schützen und den aktuellen Sicherheitsanforderungen gerecht werden.

Quellen:

https://techcommunity.microsoft.com/t5/windows-it-pro-blog/removal-of-des-in-kerberos-for-windows-server-and-client/ba-p/4386903

https://learn.microsoft.com/en-us/windows-server/get-started/whats-new-windows-server-2025

https://learn.microsoft.com/en-us/windows/security/identity-protection/credential-guard/configure

https://learn.microsoft.com/en-us/windows-server/storage/file-server/smb-signing