Nutzen Sie beim Rollout von Windows 11 das sogenannte Lifecycle Hardening. Damit reduzieren Sie die Angriffsfläche Ihres neuen Betriebssystems von Anfang an deutlich und schützen die Datenschätze Ihres Unternehmens besser. Beachten Sie dazu die folgenden, wichtigen Maßnahmen und praktischen Tipps.
Windows 11 richtig – und sicher – ausrollen
Der 14. Oktober 2025 ist ein besonderes Datum für alle, die sich mit IT beschäftigen. An diesem Tag endet der offizielle Support von Windows 10. Ab dann gibt es keine Updates mehr für das weiterhin sehr beliebte Betriebssystem (Marktanteil Mai 2025: >50%) – außer Sie nutzen den kostenpflichtigen “Extended Support”.
Trotzdem ist klar: Windows 10 gehört nicht mehr zum Stand der Technik und muss zügig ausgetauscht werden! Viele Unternehmen setzen daher auf den Nachfolger.
Stehen auch Sie vor der Aufgabe, Windows 11 in Ihrem Unternehmen einzuführen? Dann wissen Sie: Diese Herausforderung ist mit viel Aufwand und daher oft mit einem Rollout-Projekt verbunden. Und sie stellt einen kritischen Moment dar. Wenn alles gut läuft, haben Sie das aktuellste Microsoft-OS implementiert. Wenn Sie aber etwas vergessen oder gar etwas schief geht, öffnen Sie im schlimmsten Fall Tür und Tor für Cyber-Angriffe.
👉 Daher: Ein elementarer Bestandteil Ihres Windows 11 Rollouts sollte eine intensive und nachhaltige Systemhärtung sein. Denn in einer Zeit, in der Cyber-Angriffe massiv zunehmen und Organisationen jeder Größe betreffen, ist die sichere Konfiguration Ihrer Systeme kein “nice to have” mehr. Je nach Branche und regulatorischer Situation ist sie sogar gesetzlich vorgeschrieben!
Windows 11 Rollout: Weshalb eine Härtung dazugehört
Bei der Systemhärtung, auch System Hardening oder Secure Configuration genannt, geht es um eine tiefgehende, sichere Konfiguration Ihrer Systeme. Dabei werden nicht nur Einzelplatzrechner gehärtet, sondern im besten Fall Ihre gesamte IT-Landschaft.
Das Ziel: Mit einer Härtung schließt man präventiv mögliche Schwachstellen, damit sie nicht mehr ausgenutzt werden können. In Folge schrumpft die Angriffsfläche signifikant, die Hacker und andere Angreifer ausnutzen können. Daher betrachten BSI, CIS, DISA und auch immer mehr Cyber-Versicherer, Regularien, Gesetze und Normen (DORA, ISO 27001 etc.) die Systemhärtung als essentielle Basismaßnahme.
Nicht nur das: Präventive Arbeit durch Härtung ist sinnvoller als ein gestresstes SOC-Team, das ständig – sinnbildlich gesprochen – offene Türen überwachen muss. Besser wäre es, alle Türen geschlossen zu halten.
Doch eine systemweite Härtung zu konzipieren und sie umzusetzen, kann sehr zeitaufwändig sein. Da in IT-Abteilungen ständig parallel mehrere Projekte laufen, lässt sich in der Regel sehr schwer der “perfekte” Zeitpunkt finden. Doch den gibt es nun, denn es steht ein Betriebssystemwechsel an! Nutzen Sie den Windows 11 Rollout, um eine Systemhärtung durchzuführen und zu integrieren.
Dieses sogenannte Lifecycle Hardening ist sehr effektiv und effizient zugleich. Denn es kombiniert die Hardening-Maßnahmen direkt mit Ihrem Windows 11 Rollout Projekt. Damit schlagen Sie, salopp gesagt, zwei Fliegen mit einer Klappe.
Grundlegende Tipps zur Rollout-Integration
Da Sie ohnehin jedes neue Image bewerten und testen müssen, fällt der zusätzliche Aufwand für das Lifecycle Hardening überschaubar aus. Damit Ihnen das Vorhaben gelingt, sollten Sie auf diese Punkte achten:
➡ Notwendigkeit erkennen und kommunizieren
Cyber-Angriffe treffen jeden, früher oder später. Große Angriffsflächen sind daher ein immanentes Risiko. Machen Sie sich und allen Beteiligten klar, dass eine Systemhärtung präventiv hilft, viele ausnutzbare Schwachstellen zu schließen, und daher ein “must have” darstellt.
➡ Planen Sie Ihr Vorhaben umfassend
Unkenntnis der eigenen Infrastruktur, mangelnde Dokumentation und veraltete Verwaltungsmethoden sind häufige Fallstricke bei der Einführung von Härtungsanlagen. Das mag unangenehm sein. Aber es ist notwendig, die eigene Systemlandschaft wirklich zu kennen.
➡ Wählen Sie einen Benchmark
Es gibt verschiedene, industrieerprobte Standards zur Systemhärtung, zum Beispiel die Microsoft Security Baselines, DISA STIGs und CIS Benchmarks. Auch die BSI SiSyPHuS-Studie des BSI stellt eine sehr gute Grundlage dar.
Das Gute: Viele Maßnahmen für die Windows 10 Härtung können auch für ein Windows 11 Hardening verwendet werden.
➡ Definieren Sie den Umfang
Achten Sie bei der Auswahl des Benchmarks unter anderem auf Aktualität (werden neue Features/Releases berücksichtigt?) und den Umfang/Scope Ihres Projektes (nur OS Hardening im Allgemeinen oder bspw. Browser Hardening im Speziellen?).
Identifizieren Sie Systeme nach Schutzbedarf oder Tiering. Nutzen Sie beispielsweise CIS Level I für einen normalen Schutzbedarf und CIS Level II (in Kombination mit L1) für hohen Schutzbedarf.
➡ Individualisieren Sie Ihre Härtung
Kein Windows 11 System gleicht dem anderen, da jede Organisation eigene Voraussetzungen, Vorgaben und Wünsche hat. So werden häufig Bluetooth-Geräte bei Office-Computern erlaubt, obwohl sie gemäß verschiedenen Benchmarks deaktiviert sein sollten.
Zudem muss Ihnen klar sein, dass es nie eine 100%-ige Härtung geben kann. Daher haben Sie eine angepasste, sichere Konfiguration für Ihren Rollout zu entwickeln.
➡ Finden Sie eine Implementierungsmethode
Bestimmen Sie, wie die Secure Configuration technisch umgesetzt werden soll. Eine manuelle Konfiguration ist bei großen Systemlandschaften zeitlich nicht stemmbar. Auch eine zentrale Konfiguration mittels Gruppenrichtlinien gilt als No-Go, da GPOs bei den komplexen Herausforderungen schnell an ihre Grenzen stoßen.
Sinnvoller: Härtung über PowerShell-Skripte oder – noch besser – PowerShell Desired State Configuration (DSC). Diese müssen Sie selbst umsetzen – oder Sie nutzen als “Abkürzung” den Enforce Administrator.
➡ Setzen Sie auf Pilotsysteme
Testen ist keine Schwäche, sondern Weisheit! Beginnen Sie daher den Rollout des gehärteten Windows 11 mit einer sorgfältig ausgewählten Gruppe von Zielsystemen, um sie rigoros zu testen.
Sammeln Sie alle Erkenntnisse, lernen Sie daraus und optimieren Sie Ihre Konfigurationen. Sprich: Gehen Sie nach der PDCA-Methode (Plan-Do-Check-Act) vor.
➡ Sorgen Sie für klare Kommunikation
Definieren Sie feste Rollen in Ihrem Team für Planung, Vorbereitung, Rollout und Troubleshooting. Klare Zuständigkeiten verhindern Chaos und reduzieren lange Reaktionszeiten bei Problemen.
Tauschen Sie sich auch mit den “Endusern” in Ihrem Unternehmen aus. Eventuell funktionieren nach dem Rollout manche Anwendungen nicht mehr zuverlässig, da diese “zu hart” konfiguriert wurden.
➡ Integrieren Sie den Rollout in bestehende Prozesse
Binden Sie die Härtung nahtlos in vorhandene IT-Prozesse ein. Zum Beispiel in die Provisionierung: Jedes neue System wird nur gehärtet ausgeliefert, das ist Pflicht.
Härtungs- und andere Konfigurationsänderungen müssen in der Configuration Management Database (CMDB) dokumentiert sein. Abweichungen sind vom Incident-/Event-Management zu erkennen und zu melden.
➡ Halten Sie alles aktuell
Ihre interne Systemlandschaft verändert sich ständig, ebenso die externen Bedrohungen. Daher sollten Sie regelmäßig Ihre Konfigurationen überprüfen (zum Beispiel mit einem Tool wie dem AuditTAP), anpassen und dokumentieren.
Bewerten Sie eigenständig die Auswirkungen und das Risiko von geänderten Einstellungen. Oder noch einfacher: Blicken Sie auf den AuditTAP Risk Score.
Beispiele aus der Praxis: Was Härtung bringt
Mit einer professionellen Systemhärtung verringern Sie deutlich die Angriffsflächen, da Sie unter anderemunsichere Protokolle und Algorithmen deaktivieren.
🛑 NTLMv1
Dieses veraltete Authentifizierungsprotokoll ist weniger sicher als Kerberos und anfällig für Angriffe wie NTLM Relaying oder Pass the Hash. Microsoft will NTLM, auch v2, komplett loswerden. In Windows 11 24H2 ist NTLMv1 bereits nicht mehr vorhanden. Härtung beinhaltet das Deaktivieren von NTLMv1 und zumindest das Erzwingen von NTLMv2.
🛑 SMBv1
Ein weiteres völlig veraltetes Protokoll. Es wurde beispielsweise von der WannaCry-Ransomware ausgenutzt. Das Abschalten von SMBv1 ist eine grundlegende Härtungsmaßnahme. Derart verhindern Sie den sogenannten “Eternal Blue Exploit”.
👉 Weitere Beispiele, wie vielfältig eine richtige Härtung Ihre Systeme sicherer macht, erfahren Sie in unserem Beitrag “Systemhärtung auf dem Prüfstand: Tests und echte Resultate aus der Praxis”
Fazit
Indem Sie die Systemhärtung fest in Ihren Windows 11 Rollout integrieren, stellen Sie sicher, dass jedes neue System von der ersten Sekunde an ein signifikant höheres Sicherheitsniveau aufweist. Der damit verbundene Aufwand lohnt sich.
Und machen Sie sich klar: Das Windows 11 Hardening ist – wenn es noch keine oder nur unzureichende Härtung gibt – keine optionale Aufgabe, sondern eine grundlegende Notwendigkeit!
Haben Sie noch Fragen?
Wollen Sie mehr über Systemhärtung wissen? Oder möchten Sie wissen, wie Sie mit dem Enforce Administrator eine automatisierte Systemhärtung realisieren und in Ihrem Unternehmen implementieren können? Sprechen Sie uns an – unsere Experten sind gerne für Sie da!
Bilder: Freepik, FB Pro