
TL; DR: Die wichtigsten Erkenntnisse
- Sicherheit steht an erster Stelle: Zu den wichtigsten Sicherheitsverbesserungen gehören die integrierte OpenSSH-Unterstützung, der erweiterte Active Directory-Schutz mit obligatorischer LDAP-Verschlüsselung und der standardmäßig aktivierte Credential Guard.
- Modernes Management: Die neue Windows Terminal-Integration und die erweiterte OpenSSH-Unterstützung machen die Remote-Serververwaltung effizienter und sicherer als je zuvor.
- Besserer Schutz: Erweiterte Sicherheitsfunktionen wie VBS Enclaves, Hypervisor-Enforced Paging Translation und verbesserte LAPS-Funktionen bieten mehrstufigen Schutz vor modernen Bedrohungen.
- Leistungssteigerung: Signifikante Verbesserungen bei Netzwerk-, Speicher- und GPU-Virtualisierung verbessern die Gesamtsystemleistung und die Ressourcenauslastung.
- Bereit für die Cloud: Die integrierte Azure Arc-Integration und das erweiterte Software-Defined Networking machen die Hybrid-Cloud-Bereitstellung einfacher.
- Erweiterter Support: Mit der Unterstützung bis zum 10. Oktober 2034 können Unternehmen ihre langfristige Infrastrukturstrategie getrost rund um diese Version planen.
Der Schwerpunkt auf Sicherheit, zusammen mit erheblichen Leistungsverbesserungen und Cloud-Integrationsfunktionen, macht Windows Server 2025 zu einem überzeugenden Upgrade für Unternehmen jeder Größe.
OpenSSH: Eine sichere Alternative zu WinRM
Traditionell wurde WinRM (Windows Remote Management) für die Fernverwaltung in Windows-Umgebungen verwendet. WinRM basiert jedoch auf proprietären Protokollen und erfordert oft eine komplexe Konfiguration für eine sichere Kommunikation.
OpenSSH (Open Secure Shell) ist eine Open-Source-Suite von Tools, die eine sichere verschlüsselte Kommunikation über ein Netzwerk ermöglicht und damit eine robuste Alternative zu WinRM darstellt. In früheren Versionen von Windows Server erforderte OpenSSH eine manuelle Installation.
Windows Server 2025 enthält jetzt standardmäßig die serverseitige OpenSSH-Komponente, was die Bereitstellung und Verwaltung vereinfacht. Dies bedeutet, dass Administratoren den sicheren Fernzugriff auf Server ohne zusätzliche Konfigurationsschritte problemlos ermöglichen können.
Die Server-Manager-Benutzeroberfläche in Windows Server 2025 bietet auch eine einfache Ein-Klick-Option zum Aktivieren oder Deaktivieren des Dienstes sshd.exe, wodurch die OpenSSH-Verwaltung weiter vereinfacht wird. Darüber hinaus können Administratoren den Zugriff kontrollieren, indem sie Benutzer zur Gruppe „OpenSSH-Benutzer“ hinzufügen, um sicherzustellen, dass nur autorisiertes Personal die Server remote verwalten kann
Windows Terminal: Ein leistungsstarkes Tool für die Fernverwaltung
Die Windows Terminal-Anwendung, eine moderne und vielseitige Befehlszeilenschnittstelle, ist jetzt in Windows Server 2025 verfügbar. Dieses leistungsstarke Tool verbessert das Fernverwaltungserlebnis, indem es eine einheitliche Oberfläche für die Interaktion mit verschiedenen Befehlszeilen-Shells und -Tools bietet, darunter PowerShell, CMD und WSL (Windows Subsystem für Linux).

Das Windows Terminal bietet eine Reihe von Funktionen, die die Produktivität und Effizienz verbessern, darunter:
- Mehrere Tabs und Bereiche: Benutzer können mehrere Befehlszeilensitzungen in separaten Tabs oder Bereichen in einem einzigen Fenster öffnen, wodurch Multitasking optimiert und der Arbeitsablauf verbessert wird.
- Anpassbare Themen und Profile: Mit dem Windows Terminal können Benutzer das Erscheinungsbild der Benutzeroberfläche anpassen, indem sie aus verschiedenen Themen auswählen und Profile für verschiedene Shells und Tools erstellen, um die Benutzerfreundlichkeit und Personalisierung zu verbessern.
Verbesserungen der Sicherheit
Hier finden Sie eine Übersicht der wichtigsten Änderungen mit Schwerpunkt auf den neuesten Sicherheitsfunktionen:
- Verbesserte Active Directory-Sicherheit: Windows Server 2025 führt mehrere Updates für Active Directory ein, die die Sicherheit verbessern:
- LDAP-Verschlüsselung: Alle LDAP-Verbindungen sind jetzt standardmäßig verschlüsselt, wodurch vertrauliche Verzeichnisdaten während der Übertragung vor Abhören und Manipulation geschützt werden.
- TLS 1.3-Unterstützung: LDAP-über-TLS-Verbindungen unterstützen jetzt TLS 1.3, die neueste und sicherste Version des TLS-Protokolls.
- Stärkere Standardkennwörter für Computerkonten: Active Directory verwendet jetzt zufällig generierte Passwörter für Computerkonten, was die Sicherheit verbessert, indem Brute-Force-Angriffe erschwert werden.
- Schutz vertraulicher Attribute: DCs benötigen jetzt verschlüsselte Verbindungen, wenn sie Operationen mit vertraulichen Attributen abwickeln, was eine zusätzliche Schutzebene für diese sensiblen Daten darstellt.
- Kryptografische Agilität von Kerberos PKINIT: Es unterstützt jetzt mehr Algorithmen für mehr Sicherheit.
- Verhalten beim Ändern des Legacy-SAM-RPC-Passworts: Sichere Protokolle werden bevorzugt, wobei ältere Methoden für Fernanrufe gesperrt sind.
- Verbesserungen der SMB-Sicherheit: In Windows Server 2025 wurden mehrere wichtige Sicherheitsverbesserungen am Server Message Block (SMB) vorgenommen:
- SMB-Signatur standardmäßig erforderlich: SMB-Signaturen sind jetzt für alle ausgehenden Verbindungen obligatorisch, um die Datenintegrität zu schützen und Man-in-the-Middle-Angriffe zu verhindern.
- NTLM-Blockierung: Der SMB-Client unterstützt jetzt die NTLM-Blockierung für ausgehende Verbindungen und verhindert so die Verwendung dieses älteren, weniger sicheren Authentifizierungsprotokolls.
- Geschwindigkeitsbegrenzer für SMB-Authentifizierung: Diese Funktion begrenzt die Anzahl der Authentifizierungsversuche innerhalb eines bestimmten Zeitraums und hilft so, Brute-Force-Angriffe auf SMB-Server zu verhindern.
- Verbesserungen der Windows Local Administrator Password Solution (LAPS): Es wurden mehrere Verbesserungen ausgeliefert:
- Automatische Kontoverwaltung: Vereinfacht die Erstellung und Verwaltung von lokalen Administratorkonten, einschließlich Optionen für zufällige Kontonamen
- Erkennung von Bild-Rollbacks: Neues System zur Erkennung und Behebung von Kennwortkonflikten, die durch Image-Rollbacks verursacht wurden, mithilfe eines GUID-basierten Überprüfungssystems
- Passphrasen-Unterstützung: Führt einprägsamere Passphrasen (wie „EatYummyCaramelCandy“) anstelle komplexer Passwörter ein, mit integrierten Wortlisten und konfigurierbarer Länge
- Verbesserte Lesbarkeit von Passwörtern: Die neue Komplexitätseinstellung schließt häufig verwechselte Zeichen (wie „1“ und „I“) aus und gewährleistet gleichzeitig die Sicherheitsanforderungen
- Unterstützung bei der Prozessbeendigung: Neue Möglichkeit, Prozesse, die unter dem von LAPS verwalteten Konto ausgeführt werden, nach dem Zurücksetzen des Passworts automatisch zu beenden
- Credential Guard ist standardmäßig aktiviert: Credential Guard bietet deutlich besseren Schutz vor Angriffen auf den Diebstahl von Anmeldeinformationen wie Pass-the-Hash oder Pass-the-Ticket, indem Geheimnisse in einem virtualisierten Container isoliert werden, auf die das Betriebssystem selbst nicht zugreifen kann. Mit Windows Server 2025 ist Credential Guard standardmäßig aktiviert auf kompatibler Hardware. Dadurch wird eine wichtige Sicherheitsebene zum Schutz vertraulicher Anmeldeinformationen in Ihrer Serverumgebung verstärkt.
- Hypervisor-gestützte Paging-Übersetzung (HVPT): HVPT ist eine leistungsstarke hardwaregestützte Sicherheitsfunktion, die die Integrität linearer Adressübersetzungen durchsetzt. Diese Technologie dient als Schutz vor Write-was-wo-Angriffe (eine Art von Angriff, bei dem bösartiger Code versucht, beliebige Daten in beliebige Speicherorte zu schreiben), die genutzt werden kann, um die Systemsicherheit zu gefährden. HVPT stellt sicher, dass nur autorisierte Speicheränderungen vorgenommen werden, und hilft so, Rechteausweitungen und Datenbeschädigungen zu verhindern und so die allgemeine Sicherheitslage von Windows Server 2025 zu stärken.
- VBS-Enklaven: VBS-Enklaven Nutzen Sie die Vorteile virtualisierungsbasierter Sicherheit, um isolierte Ausführungsumgebungen innerhalb des Speicherbereichs des Servers. Diese Isolierung verhindert, dass nicht vertrauenswürdiger Code auf vertrauliche Daten zugreift oder den Betrieb sicherheitskritischer Anwendungen beeinträchtigt. Selbst wenn ein Angreifer die Kontrolle über die Host-Anwendung oder das Betriebssystem erlangt, bleiben die sensiblen Daten innerhalb der VBS-Enklave geschützt, wodurch die Auswirkungen potenzieller Sicherheitsverletzungen erheblich reduziert werden.
- VBS-Schlüsselschutz: Diese Funktion verwendet VBS, um einen verbesserten Schutz für kryptografische Schlüssel zu bieten. Vertrauliche kryptografische Schlüssel, die für Verschlüsselung, Authentifizierung und andere sicherheitsrelevante Vorgänge verwendet werden, werden in der sicheren, isolierten Umgebung von VBS gespeichert und verwendet. Diese Isolierung verhindert, dass bösartige Software oder unbefugte Benutzer auf diese Schlüssel zugreifen oder diese gefährden, wodurch die Vertraulichkeit und Integrität sensibler Daten gewährleistet wird.

Find and fix the security risks that pose the biggest threat to your business.
Weitere bemerkenswerte Verbesserungen in Windows Server 2025:
- Leistungsverbesserungen:
- Netzwerke: Accelerated Networking vereinfacht das SR-IOV-Management für virtuelle Maschinen und verwendet einen leistungsstarken Datenpfad, um Latenz und CPU-Auslastung zu reduzieren.
- Entwicklerlaufwerk: Optimiertes Speichervolumen für Entwickler-Workloads mit ReFS.
- NVMe-Optimierung: Verbesserte NVMe-Leistung für SSDs, Erhöhung der IOPS und Verringerung der CPU-Auslastung.
- GPU-Virtualisierung: GPU-Partitionierung ermöglicht die gemeinsame Nutzung physischer GPUs mit mehreren VMs.
- Hybrid-Cloud-Integration:
- Azure Arc-Integration: Das Azure Arc-Setup ist standardmäßig installiert, was das Hinzufügen von Servern zu Azure für die Hybridverwaltung vereinfacht.
- Softwaredefiniertes Netzwerk (SDN): Der neue Server beinhaltet Verbesserungen der SDN-Funktionen.
- Verbesserungen an Active Directory:
- 32k Datenbankseitengröße verbessert die Skalierbarkeit und Leistung.
- NUMA-Unterstützung verbessert die Leistung durch den Einsatz von CPUs in allen Prozessorgruppen.
Die Zukunft von Windows Server auf ARM
Die offiziellen Quellen bieten zwar keinen endgültigen Ausblick auf die Zukunft von Windows Server auf ARM, geben aber einen Einblick in sein Potenzial und einige der Herausforderungen, mit denen es konfrontiert ist:
- Verfügbarkeit von ARM64-Builds: Microsoft hat Vorschau-Builds von Windows Server 2025 für die ARM64-Architektur veröffentlicht. Dies zeigt Microsofts Engagement bei der Erforschung und Entwicklung der ARM-Plattform für Serveranwendungen.
- Leistungsberichte: Anwender berichten von positiven Erfahrungen mit der Leistung der ARM64-Version von Windows Server 2025, auch in virtualisierten Umgebungen auf Apple Silicon Macs. Dies deutet darauf hin, dass ARM-basierte Server möglicherweise ein wettbewerbsfähiges Leistungsniveau bieten könnten.
- Mögliche Vorteile: Die inhärenten Vorteile der ARM-Architektur, wie Energieeffizienz und geringere Wärmeabgabe, passen gut zu der wachsenden Nachfrage nach nachhaltigen und kostengünstigen Serverlösungen. Diese Vorteile könnten ARM-basierte Server für bestimmte Anwendungsfälle wie Edge-Computing oder Bereitstellungen mit hoher Dichte attraktiv machen.
Herausforderungen und Unsicherheiten:
- Eingeschränkte Hardwareverfügbarkeit: Ein erhebliches Hindernis für die breite Einführung von Windows Server auf ARM ist der Mangel an leicht verfügbarer Serverhardware. Es ist noch früh, und die Entwicklung eines breiteren Hardware-Ökosystems ist von entscheidender Bedeutung.
- Softwarekompatibilität: Die x86/x64-Architektur dominiert seit Jahrzehnten den Servermarkt, was zu einem riesigen Ökosystem von Serveranwendungen geführt hat, die für diese Plattformen optimiert sind. Windows Server auf ARM kann zwar die x86-Emulation nutzen, aber die native ARM-Unterstützung für kritische Serveranwendungen wird für eine reibungslose Einführung unerlässlich sein.
- Marktakzeptanz: Der Erfolg von Windows Server auf ARM wird von der Marktakzeptanz von Unternehmen und Organisationen abhängen. Faktoren wie Kosten, Leistung, Zuverlässigkeit und die Verfügbarkeit qualifizierter IT-Experten, die mit ARM-basierten Serverumgebungen vertraut sind, werden die Akzeptanzrate beeinflussen.
Die Aussichten für den Betrieb von Windows Server auf ARM sind optimistisch. Zwar gibt es Herausforderungen, aber die potenziellen Vorteile und das Engagement von Microsoft für die Plattform deuten darauf hin, dass ARM-basierte Server in Zukunft ein wichtigerer Bestandteil der Serverlandschaft werden könnten. Es ist jedoch noch zu früh, um definitiv zu sagen, wann oder ob Windows Server auf ARM die allgemeine Akzeptanz finden wird.
Sichern Sie Windows Server 2025 mit Mondoo
Mondoo evaluiert kontinuierlich die Sicherheit Ihrer geschäftskritischen Ressourcen, einschließlich des neuen Windows Server 2025.
- Mit Bedacht konfigurieren: Identifizieren Sie Fehlkonfigurationen von Windows Server 2025
- Besiegen Sie die Bösewichte: Informieren Sie sich über Sicherheitslücken auf Ihren Windows-Servern und beheben Sie sie, bevor Angreifer sie ausnutzen
- Seien Sie zuversichtlich: Informieren Sie sich immer über den Sicherheitsstatus Ihrer Windows-Server
Mondoo ist eine einheitliche Plattform, die die Sicherheitsprobleme priorisiert, die es zu beheben gilt. Anstatt Sie in einem Strom aus risikoarmen und irrelevanten Erkenntnissen zu ertränken, deckt Mondoo die Sicherheitsprobleme auf, die im Kontext Ihrer einzigartigen Infrastruktur am kritischsten sind. Mondoo lässt sich in Ihr Projektmanagement- oder Ticketsystem integrieren, um Sicherheitslücken nahtlos in Ihren täglichen Arbeitsablauf zu integrieren.
Identifizieren Sie Ihre wichtigsten Sicherheitsprobleme. Reparieren Sie sie. Fangen Sie sofort an.