Cyber incident?
Zurück
News 09.06.2026

Windows 11 24H2

Am 1. Oktober veröffentlichte Microsoft das neueste Windows 11 Feature-Update. Der Fokus von Windows 24H2 lag auf Stabilität und Zuverlässigkeit. Dieses Update bietet 36 Monate Support für Enterprise- und Education-Editionen. Wie bei jedem Feature-Update lieferte Microsoft auch einige neue Features und Funktionen mit:

Windows LAPS Verbesserungen

Mit Windows 11 24H2 erhält Windows LAPS eine Funktion zur automatischen Kontoverwaltung. Nun lässt sich das automatische Erstellen des verwalteten lokalen Kontos konfigurieren, der Name definieren sowie aktivieren/deaktivieren oder zufällig generieren. Im Vergleich zu früheren Versionen von Windows 11 ist das ein riesiger Schritt nach vorn und macht eine eigene Lösung zum Erstellen eines lokalen Admin-Users überflüssig. Darüber hinaus gibt es neue Settings, um die Komplexität (passphraseLength und readability) des Passworts zu konfigurieren.

Neuer Update-Prozess

In der neuesten Version von Windows 11 hat Microsoft „Checkpoint Cumulative Updates“ eingeführt. Bisher enthielten kumulative Updates alle Änderungen seit der letzten Release-to-Manufacturing-(RTM-)Version, die als Baseline für jedes Update diente. Dieser Ansatz führte oft zu grossen Update-Dateien, da sich mit der Zeit mehr Änderungen ansammelten. Mit Checkpoint Cumulative Updates will Microsoft die Grösse dieser Updates reduzieren, indem periodisch neue Baselines gesetzt werden, was künftige Updates effizienter und handhabbarer macht. Bei Checkpoint Updates basiert jedes kumulative Update auf dem vorherigen kumulativen Update, das als „Checkpoint“ dient. Dieser Ansatz reduziert die Grösse nachfolgender Update-Pakete, sodass sie schneller heruntergeladen und installiert werden – was letztlich die gesamte User Experience verbessert.

Personal Data Encryption für Ordner

Personal Data Encryption (PDE) fungiert als Sicherheitsmechanismus, um Ihre Known Folders zu schützen. Mit dieser Funktion lassen sich Ihre bekannten Windows-Ordner mit einem benutzerauthentifizierten Verschlüsselungsmechanismus absichern. Das bedeutet, dass sich Ihre Nutzer mit Windows Hello for Business (WHfB) authentifizieren müssen, um Zugriff auf ihren Desktop sowie ihre Ordner „Dokumente“ und „Bilder“ zu erhalten. Anders als BitLocker, das ganze Volumes verschlüsselt und die Verschlüsselungsschlüssel beim Systemstart freigibt, verschlüsselt PDE einzelne Dateien und gibt die Schlüssel erst bei der Anmeldung des Nutzers mit Windows Hello for Business frei. Diese Unterscheidung erlaubt es PDE, zusätzliche Sicherheit zu bieten, indem Daten auf Dateiebene geschützt werden. Das heisst: Selbst wenn jemand lokaler Administrator auf einem Nutzergerät ist, ist es nicht möglich, auf die durch Personal Data Encryption geschützten Daten dieses Nutzers zuzugreifen.

Local Security Authority (LSA) Protection-Aktivierung beim Upgrade

LSA Protection hilft, den Diebstahl von Secrets und Credentials zu verhindern, die für die Anmeldung verwendet werden, indem sie verhindert, dass nicht autorisierter Code im LSA-Prozess ausgeführt wird, und das Auslesen des Prozessspeichers unterbindet. Ab diesem Upgrade erfolgt für eine gewisse Zeit ein Audit auf Inkompatibilitäten mit LSA Protection. Werden keine Inkompatibilitäten erkannt, wird LSA Protection automatisch aktiviert.
Weitere Informationen zum Update finden Sie hier: https://learn.microsoft.com/en-us/windows/whats-new/whats-new-windows-11-version-24h2

Neue Security Baselines

Microsoft Security Baselines sind vordefinierte Sätze von Sicherheitskonfigurationen und Einstellungen, die von Microsoft entwickelt wurden, um Organisationen zu helfen, ihre Windows-Umgebungen und andere Microsoft-Produkte wie Microsoft Office und Microsoft Edge abzusichern. Diese Baselines sind darauf ausgelegt, die Absicherung von Systemen zu vereinfachen, indem sie eine standardisierte Best-Practice-Konfiguration bereitstellen, die sich einfach anwenden und verwalten lässt.


Eine neue Windows-Version ist eine ausgezeichnete Gelegenheit, Ihre aktuellen Security- und Konfigurations-Policies zu überprüfen und zu aktualisieren, Einstellungen für neue Features anzupassen und veraltete Konfigurationen zu entfernen. Zudem ist es entscheidend, eine gut geplante, effiziente und zuverlässige Update-Strategie zu etablieren und dabei alle Möglichkeiten zu nutzen, die Microsoft Intune zur Unterstützung dieses Prozesses bietet.


Zusammen mit Windows 24H2 hat Microsoft neue Security Baselines veröffentlicht. Im Vergleich zu den Windows 11 23H2 Security Baselines wurden zahlreiche neu konfigurierte Einstellungen für die folgenden Features hinzugefügt.

Sudo Command

Der neu eingeführte Sudo Command lässt sich nun innerhalb einer Policy konfigurieren. Es ist möglich, anzupassen, wie der Sudo Command funktioniert. Wie in Linux-Umgebungen kann der Sudo Command in bestimmten Umgebungen als potenzieller Privilege-Escalation-Vektor genutzt werden. Microsoft hat diese Einstellung in seiner Baseline für Windows 11 24H2 deaktiviert.
Wenn Ihre Nutzer den Sudo Command nicht verwenden, empfehlen wir, diese Einstellung zu deaktivieren.

Mark of the Web

Nach einigen Diskussionen über das Mark of the Web (MotW) wurde eine neue Einstellung zu den Security Baselines hinzugefügt. Sie erzwingt den Wert „disable“, was bedeutet, dass das MotW einer Datei hinzugefügt wird, die von einem Netzwerk-Share auf das lokale Dateisystem kopiert wurde. Natürlich kann Zone Mapping verwendet werden, um beliebige File Shares in die Zonen „Vertrauenswürdig“/„Intranet“ abzubilden.

Microsoft Defender Antivirus

Mehrere Features von Microsoft Defender Antivirus werden ab sofort standardmässig aktiviert. Dazu gehört Endpoint Detection and Response (EDR), das im Block Mode aktiviert wird. Echtzeitschutz und Security-Intelligence-Updates während der OOBE sind standardmässig aktiviert. So ist Defender bereits während des Setups auf dem neuesten Stand. Ausgeschlossene Dateien werden bei Quick Scans gescannt, und AV-Exclusions sind für Nutzer sichtbar.


Einen Überblick über alle Security-Baseline-Einstellungen finden Sie im Microsoft Security Compliance Toolkit: Link


Das Verwalten von Security Baselines ist ein nie endendes Thema, da sie mit jedem neuen Release von Windows 10/11, Microsoft Edge, Windows Server oder den Microsoft 365 Apps Updates erhalten.


Release-Kadenz Microsoft Baselines

  • Microsoft Windows: 1x pro Jahr
  • Microsoft Office: 2x pro Jahr (seit 2306 wurde allerdings keine neue Baseline veröffentlicht)
  • Microsoft Edge Stable: bei jedem Major Release, in der Regel monatlich
  • Microsoft Edge Extended Stable: bei jedem Major Release, in der Regel alle zwei Monate

Kontinuierliche Evaluation von Policies

Microsoft-Security-Baseline-Updates prüfen

Settings und Exclusions verfeinern, Dokumentation aktualisieren

  • Der Schlüssel, um Ihre Policies aktuell zu halten, ist, sie regelmässig zu überprüfen und zu evaluieren.
  • Jeder Zyklus beginnt mit dem Definieren von Settings und Exclusions und dem entsprechenden Aktualisieren der Dokumentation.
  • Diese Phase ist entscheidend, da sie das Fundament für einen effektiven Policy-Update-Prozess bildet.

Pilot-Targeting für GPO oder Intune via OU oder Security Group vorbereiten

  • Nach dem Definieren von Settings und Exclusions Pilot-Targeting und Deployment vorbereiten.

Policies und Profile erstellen

  • Als Nächstes die erforderlichen Policies und Exclusions basierend auf der Dokumentation aufsetzen.

Potenziell problematische Settings identifizieren und anpassen

  • So viel wie möglich hinterfragen, um so wenige Exclusions oder Abweichungen wie möglich zu haben.
  • Exclusions dort konfigurieren, wo sie aufgrund möglicher Business-Auswirkungen explizit erforderlich sind.

Profile auf Test-Endpoints und -Nutzer ausrollen

  • Test-Nutzer/-Gruppen identifizieren (diese sollten Business-Nutzer einschliessen)
  • Der nächste Schritt ist das Ausrollen der Policies auf Test-Endpoints und -Nutzer.

Testing

  • Mit dem richtigen Feedback-Prozess erhalten Sie viel wertvolles Feedback Ihrer Nutzer, das Sie nutzen können, um Ihre Policies erneut zu verbessern und zu verfeinern.

Sobald Microsoft neue Security Baselines veröffentlicht, beginnt der gesamte Zyklus von Neuem. Das ist die ganze Magie aus der Vogelperspektive.

So aktualisieren Sie auf Windows 11 24H2

Wie in der Einleitung erwähnt, ist eine gut ausgearbeitete, effiziente und zuverlässige Update-Strategie der Schlüssel zu einem nahtlosen Upgrade auf Windows 11 24H2 in Ihrer Organisation. Es ist wichtig, die in der Abbildung oben genannten Deployment-Zeiten (*) an Ihre individuellen Business-Bedürfnisse anzupassen.
Microsoft Intune bietet verschiedene Settings, um das Verhalten und die Endnutzer-Experience bei der Installation von Updates zu konfigurieren.
Windows Update for Business (WUfB) spielt eine wichtige Rolle dabei, Windows-Geräte aktuell zu halten.
Mit der Feature-Update-Deployment-Policy lässt sich ein granularer Rollout des neuesten Windows 11 Release konfigurieren. Zudem erfüllen viele Organisationen die Lizenzanforderungen, um Windows Autopatch (Windows 10/11 Enterprise E3+ oder F3) zu nutzen. Diese Lösung hebt den Upgrade-Prozess auf die nächste Stufe. Der gesamte Rollout lässt sich einfach über Deployment Waves planen.

Nützliche Features in Windows Update for Business

Mit dem Intune Service Release 2405 hat Microsoft eine nützliche Ergänzung für Feature-Update-Policies eingeführt. Admins können ein Feature-Update nun als optionales Update für Nutzer bereitstellen. So können Nutzer selbst entscheiden, wann sie bereit sind, die neuesten Updates zu installieren.

Intune Admin Portal

Screenshot der Feature-Update-Deployment-Policy in Microsoft Intune

Enduser Experience

Mit der oben gesetzten Konfiguration erhält der Nutzer eine Toast-Benachrichtigung, sobald das Update verfügbar ist.

Wie baseVISION Sie auf Ihrer Windows-Upgrade-Journey unterstützt

Windows zu upgraden und Sicherheitsrichtlinien wie Microsoft Security Baselines oder CIS Baselines zu aktualisieren, kann sich wie eine Belastung anfühlen – aber keine Sorge, wir haben Sie abgedeckt.
Unser Client Update Management Concept ist zuverlässig, effizient und einfach anpassbar und macht Updates zum Kinderspiel. Ob Sie Hilfe beim Ausrollen von Windows-Updates, beim Auffrischen Ihrer Security Baselines, beim Rollout neuer Policies oder beim Wechsel von Microsoft Security Baselines zu CIS benötigen – unsere Experten unterstützen Sie.
Überlassen Sie uns den Stress mit den Updates, damit Sie sich auf das Wesentliche konzentrieren können.