Microsoft Security Kompakt – wichtige Tipps in Kürze (Teil 1)

Neue DCs, altes Forest-Level: ein unterschätztes Risiko 🚨

Wir sehen es ständig: Kunden migrieren Domain Controller auf ein neues Windows Server OS – aber der Forest Functional Level (FFL) (und oft auch der Domain Functional Level, DFL) bleibt auf 2008 R2 oder 2012 stehen. Ergebnis: Viele der Security-Features der letzten Jahre bleiben einfach deaktiviert.Ja, seit Juli 2025 gibt es offiziell einen Forest & Domain Functional Level 2025 – und der lohnt sich! Microsoft Learn

| FFL/DFL      | Jahr | Security-Feature / Änderung                               | Warum wichtig                                          |
|--------------|------|-----------------------------------------------------------|--------------------------------------------------------|
| 2008 R2      | 2009 | AD Recycle Bin, Kerberos AES-128/256                      | Schnelle Objekt-Recovery, stärkere Verschlüsselung     |
| 2012         | 2012 | Kerberos FAST, Compound Auth, DAC                         | Pass-the-Ticket-Schutz, kontext¬abhängige ACLs         |
| 2012 R2      | 2013 | Protected Users Group, Auth Policies & Silos              | NTLM & Delegation blocken, Priv-Konten isolieren       |
| 2016         | 2016 | Privileged Access Management (PAM)                        | Just-in-Time Adminrechte                               |
|              |      | Kerberos-Härtungen (PKInit Freshness, NTLM-Controls)      | Weniger Ticket-Mißbrauch                               |
| 2019/2022*   | 2018 | LDAP Signing + Channel Binding (empfohlen), SMBv1 raus    | MitM-Schutz, Angriffsfläche reduziert                  |
| **2025**     | 2025 | LDAP **TLS 1.3** + Signing/Channel Binding **standard**   | Aktuellste Crypto, Relay-Attacks stoppen               |
|              |      | **Kerberos AES-SHA-256/384**                              | Stärkere Ticket-Integrität                             |
|              |      | **Delegated Managed Service Accounts (DMSA)**             | Auto-Passwort-Rotation, Least Privilege für Services   |
|              |      | **ESE 32 kB Pages** (optional)                            | Größere DB-Seiten, weniger Fragmentierung → Performance|

Für 2019/2022 gibt es kein eigenes FFL – die Features kommen per OS-Update, werden aber erst mit entsprechenden GPOs erzwungen.

Was steckt hinter den 2025-Neuerungen?

• TLS 1.3 & Kanalbindung jetzt Default – LDAP-Traffic bekommt modernen Handshake-Schutz und verschlüsselt schneller. Petri IT KnowledgebaseMicrosoft Learn
• Kerberos AES-SHA-256/384 – Tickets werden mit stärkerer Prüfsumme signiert; Angriffswinkel wie Silver-Ticket werden schwieriger. Petri IT Knowledgebase
• Delegated Managed Service Accounts – ersetzen klassische gMSA-Workarounds, rotieren Passwörter automatisch und limitieren Delegationsrechte. virtualizationhowto.com
• 32 kB Jet-Pages – mehr Platz pro Page, weniger I/O, größere Multi-Value-Attribute (z. B. SID-History), und Voraussetzung für künftige Features. Microsoft Learn

Worauf ihr achten müsst:

1. Alle DCs müssen Windows Server 2025 sein, bevor ihr den Forest-Level anhebt. Mixed Mode ist hier nicht erlaubt. Microsoft Learn

2. Prüft, ob Legacy-Apps TLS 1.3 oder LDAP-Signierung unterstützen – sonst Ausnahmen definieren oder upgraden.

3. SYSVOL muss bereits auf DFS-R laufen (FRS wird seit 2016 nicht mehr unterstützt).

4. Plant ein Roll-Back-Fenster ein: FFL-Upgrades sind one-way. Snapshots & Tests vorab!

Habt ihr den Schritt auf 2025 schon geplant?